序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的公安網(wǎng)絡(luò)安全建設(shè)樣本�,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�,請(qǐng)盡情閱讀�。
第1篇
【關(guān)鍵詞】網(wǎng)絡(luò)安全與執(zhí)法 人才培養(yǎng)目標(biāo) 專業(yè)研究方向 專業(yè)教學(xué)內(nèi)容建設(shè)
隨著網(wǎng)絡(luò)應(yīng)用種類增多及普及程度上升�,網(wǎng)絡(luò)犯罪發(fā)案率呈現(xiàn)明顯上升趨勢(shì)�。網(wǎng)絡(luò)犯罪與傳統(tǒng)犯罪具有顯著區(qū)別�。網(wǎng)際空間犯罪分子具有明顯的跨區(qū)域性、隱蔽性并在執(zhí)法過(guò)程中存在沒有明確法律條文規(guī)范等問(wèn)題�。我國(guó)不少公安院校將網(wǎng)絡(luò)安全與執(zhí)法作為學(xué)院著力發(fā)展的專業(yè),并以該專業(yè)學(xué)生的培養(yǎng)為依托�,為公安機(jī)關(guān)輸送一批批的網(wǎng)絡(luò)警察�。如何提高該專業(yè)學(xué)生的綜合素質(zhì)使他們成為合格網(wǎng)絡(luò)警察�,是我們進(jìn)行該專業(yè)建設(shè)時(shí)需要認(rèn)真思考的問(wèn)題。筆者在文中就該專業(yè)開設(shè)的必要性�、人才培養(yǎng)目標(biāo)、專業(yè)研究方向�、課程設(shè)置等內(nèi)容進(jìn)行闡述。
一�、網(wǎng)絡(luò)安全與執(zhí)法專業(yè)開設(shè)意義及必要性
“網(wǎng)絡(luò)安全與執(zhí)法”是一新興公安技術(shù)類專業(yè),屬公安技術(shù)學(xué)科�,大類為工學(xué),屬國(guó)家控制與特色專業(yè)�。其核心內(nèi)容是:“研究預(yù)防網(wǎng)絡(luò)犯罪、控制網(wǎng)絡(luò)犯罪和處置網(wǎng)絡(luò)犯罪的理論�、方法和規(guī)范,以計(jì)算機(jī)技術(shù)�、網(wǎng)絡(luò)輕薄技術(shù)、計(jì)算機(jī)犯罪偵查取證技術(shù)�、信息與網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)監(jiān)察技術(shù)為核心技術(shù),以相關(guān)法律法規(guī)為基礎(chǔ)理論�,是一門新興的交叉學(xué)科?!彪S著網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展,網(wǎng)絡(luò)安全事件不時(shí)發(fā)生�,網(wǎng)絡(luò)犯罪逐年攀升,對(duì)網(wǎng)絡(luò)安全管理需求不斷提高。需要公安干警掌握管控網(wǎng)絡(luò)虛擬社會(huì)的技術(shù)體系�,全面提升自身“網(wǎng)上防范控制、打擊處置及技術(shù)對(duì)接能力�,提高虛擬社會(huì)陣地控制、信息獲取�、情報(bào)分析整體水平?!彼裕_設(shè)網(wǎng)絡(luò)安全與執(zhí)法專業(yè)�,培養(yǎng)出大批網(wǎng)絡(luò)警察意義重大,具有明顯的開設(shè)必要性�。
二、網(wǎng)絡(luò)安全與執(zhí)法專業(yè)人才培養(yǎng)目標(biāo)
鑒于網(wǎng)絡(luò)安全與執(zhí)法專業(yè)開設(shè)的重要意義及廣闊的市場(chǎng)需求�,各地公安院校相繼開設(shè)該專業(yè)(或方向),培養(yǎng)該領(lǐng)域的專門人才�。但前期調(diào)研發(fā)現(xiàn)�,各地公安院校對(duì)該專業(yè)(或方向)的專業(yè)定位、培養(yǎng)目標(biāo)等等理解各異�。以四川警察學(xué)院、湖北警察學(xué)院�、浙江警察學(xué)院等地方公安院校為例,其專業(yè)名稱�、研究方向、課程設(shè)置等對(duì)比�。
通過(guò)對(duì)多家公安院校的調(diào)研,筆者認(rèn)為�,公安院校對(duì)網(wǎng)絡(luò)安全與執(zhí)法方面專業(yè)人才的培養(yǎng)�,主要從計(jì)算機(jī)能力�、法律知識(shí)、公安干警通識(shí)能力(格斗�、戰(zhàn)術(shù)、射擊�、體能等)、公安信息化知識(shí)等綜合知識(shí)及能力的培養(yǎng)�。其培養(yǎng)目標(biāo)也應(yīng)定位于具備對(duì)涉及計(jì)算機(jī)、網(wǎng)絡(luò)案件�、異常事件偵辦綜合能力的復(fù)合型應(yīng)用人才。
三�、網(wǎng)絡(luò)安全與執(zhí)法專業(yè)研究方向
筆者認(rèn)為,網(wǎng)絡(luò)安全與執(zhí)法專業(yè)研究方向可考慮以下幾類�。
一是信息安全技術(shù)。網(wǎng)絡(luò)安全的底層核心技術(shù)是信息安全技術(shù)�。為更好發(fā)展該專業(yè),必須有教師投入精力扎實(shí)研究信息安全技術(shù)�。即研究信息安全技術(shù)相關(guān)的知識(shí)體系。這包括對(duì)密碼學(xué)知識(shí)的研究及用戶口令分析�;計(jì)算機(jī)操作系統(tǒng)安全;數(shù)據(jù)庫(kù)原理及數(shù)據(jù)庫(kù)安全檢測(cè)�;網(wǎng)絡(luò)協(xié)議分析;多媒體信息安全等內(nèi)容�。
二是信息安全管理。公安院校培養(yǎng)網(wǎng)絡(luò)安全與執(zhí)法專業(yè)人才的目的是為了向公安機(jī)關(guān)輸送合格警察。就是能夠熟練應(yīng)用信息安全技術(shù)�,對(duì)虛擬網(wǎng)絡(luò)社會(huì)進(jìn)行動(dòng)態(tài)管理及涉網(wǎng)、涉機(jī)案件進(jìn)行偵辦的公安干警�。所以,與上述內(nèi)容相關(guān)的法律法規(guī)問(wèn)題研究�;虛擬網(wǎng)絡(luò)社會(huì)管理過(guò)程中若干關(guān)鍵問(wèn)題研究;信息安全產(chǎn)品管理�、相關(guān)人員的管理等一系列管理學(xué)上的關(guān)鍵問(wèn)題,都可作為該專業(yè)的研究方向及內(nèi)容�。
三是公安信息化。公安信息化是公安部“十二五規(guī)劃”中重點(diǎn)發(fā)展內(nèi)容�。是將信息安全技術(shù)、管理在公安系統(tǒng)中具體應(yīng)用的研究方向�,并在此基礎(chǔ)上有所拓展,更強(qiáng)調(diào)“執(zhí)法”層面�。在研究?jī)?nèi)容上涵蓋了電子設(shè)備勘查取證、情報(bào)信息分析研判�、網(wǎng)絡(luò)安全監(jiān)察等等。電子設(shè)備的偵查�、取證技術(shù)�、涉及電子設(shè)備的犯罪案件偵查技術(shù)和電子證據(jù)的司法鑒定技術(shù)等。從電子證據(jù)的收集�、固定、分析�、鑒定檢驗(yàn)等方面研究涉網(wǎng)涉機(jī)犯罪案件中的電子數(shù)據(jù)證據(jù)偵查、取證技術(shù)及管理執(zhí)法?!扒閳?bào)信息主導(dǎo)警務(wù)”是大勢(shì)所趨。對(duì)公安情報(bào)信息的搜集�、處理、分析研判及熱點(diǎn)難點(diǎn)問(wèn)題剖析等都是值得研究的關(guān)鍵問(wèn)題�。對(duì)于這些問(wèn)題的研究,有助于解決現(xiàn)階段公安工作情報(bào)分析面臨的海量信息無(wú)法快速甄別處理�、情報(bào)信息挖掘關(guān)鍵技術(shù)、情報(bào)聚類分析存在的瓶頸等問(wèn)題�。在網(wǎng)絡(luò)安全監(jiān)察方面,對(duì)惡意代碼進(jìn)行分析檢測(cè)�、對(duì)常用操作系統(tǒng)如WINDOWS, LINUX等進(jìn)行內(nèi)核分析�,對(duì)網(wǎng)絡(luò)攻防技術(shù)進(jìn)行研究、控制網(wǎng)絡(luò)輿情信息等等都是值得關(guān)注的�。
四、網(wǎng)絡(luò)安全與執(zhí)法專業(yè)教學(xué)內(nèi)容建設(shè)
(一)網(wǎng)絡(luò)安全與執(zhí)法??普n程體系開設(shè)
筆者認(rèn)為,專業(yè)教學(xué)內(nèi)容的建設(shè)必須與專業(yè)培養(yǎng)學(xué)生的基本素質(zhì)為導(dǎo)向�。網(wǎng)絡(luò)安全與執(zhí)法專業(yè)畢業(yè)生應(yīng)具備下述能力:首先,基本素質(zhì)方面要掌握�、思想和中國(guó)特色社會(huì)主義理論體系的基本原理,并熟悉我國(guó)公安工作的路線�、方針、政策和相關(guān)法律法規(guī)�。當(dāng)然�,作為理工科學(xué)生必須具備的通識(shí)知識(shí):數(shù)學(xué)�、英文、計(jì)算機(jī)等理論知識(shí)體系必須掌握�。其次,業(yè)務(wù)能力方面�,學(xué)生需要能夠進(jìn)行互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)察、了解國(guó)家相關(guān)法律法規(guī)及標(biāo)準(zhǔn)�,能夠根據(jù)等級(jí)進(jìn)行網(wǎng)絡(luò)安全保護(hù);對(duì)涉網(wǎng)�、涉計(jì)算機(jī)案件能夠進(jìn)行快速偵辦;能夠面對(duì)海量互聯(lián)網(wǎng)情報(bào)信息進(jìn)行快速�、有效的搜集工作等等。其他素質(zhì)方面�,應(yīng)具備較強(qiáng)的人際關(guān)系處理能力;具備格斗�、查技戰(zhàn)術(shù)、警體�、射擊等方面的要求;具有獨(dú)自解決突發(fā)問(wèn)題的能力等等�。
綜上述,該專業(yè)課程內(nèi)容應(yīng)主要包括:網(wǎng)絡(luò)技術(shù)�、數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)�、網(wǎng)絡(luò)安全技術(shù)�、網(wǎng)絡(luò)安全監(jiān)察�、網(wǎng)絡(luò)信息監(jiān)控技術(shù)�、電子證據(jù)分析與鑒定、網(wǎng)絡(luò)對(duì)抗技術(shù)�、網(wǎng)絡(luò)情報(bào)信息獲取與分析技術(shù)、計(jì)算機(jī)犯罪偵查與取證等內(nèi)容�。
(二)網(wǎng)絡(luò)安全與執(zhí)法專業(yè)課程建設(shè)的保障條件
一是師資保障。鑒于網(wǎng)絡(luò)安全與執(zhí)法專業(yè)人才培養(yǎng)目標(biāo)�,不難發(fā)現(xiàn),該專業(yè)課程的教授涉及計(jì)算機(jī)�、信息安全、法律�、管理等交叉學(xué)科。為保障這些課程的順利教授�,師資隊(duì)伍建設(shè)是關(guān)鍵。當(dāng)然�,各公安院校為了更好加強(qiáng)師資隊(duì)伍建設(shè),都積極推出精品課程建設(shè)�、教學(xué)團(tuán)隊(duì)建設(shè)等質(zhì)量工程,并鼓勵(lì)教師到一線去鍛煉�,或到大學(xué)去豐富專業(yè)知識(shí)。但在實(shí)際上課過(guò)程中�,仍然存在“以教師定課程”的問(wèn)題。即存在系部現(xiàn)有教師能上什么課�、甚至上什么課省事就開什么課的問(wèn)題。一些公安院校是近幾年升入本科的院校�,部分資歷較老�、學(xué)歷偏低的教師往往在專業(yè)人才培養(yǎng)方案設(shè)置及選擇教授課程上具有優(yōu)先權(quán)�。但部分教師直接從專科學(xué)生的教授跨越到本科學(xué)生的教授�,部分老資格專業(yè)教師十幾年、幾十年教授??茖W(xué)生,專業(yè)知識(shí)深度不夠�,知識(shí)結(jié)構(gòu)存在老化問(wèn)題。而這些同志往往主導(dǎo)了專業(yè)學(xué)科建設(shè)�。這無(wú)疑阻礙了專業(yè)課程建設(shè),設(shè)置的專業(yè)課程內(nèi)容也有所偏差�。所以,公安院校需要理清管理機(jī)制和體制�,選擇職稱、學(xué)歷較高并具有基層實(shí)踐經(jīng)驗(yàn)的中青年骨干教師共同確定教學(xué)內(nèi)容�。
二是實(shí)驗(yàn)室建設(shè)。顯然�,網(wǎng)絡(luò)安全與執(zhí)法專業(yè)課程內(nèi)容的教授必須以專業(yè)實(shí)驗(yàn)室為依托。不少公安院校在公安技術(shù)類專業(yè)實(shí)驗(yàn)室建設(shè)方面投入大量資金�。但一些實(shí)驗(yàn)室建設(shè)定位不明,僅局限于機(jī)房�,完成日常教學(xué)工作。特別是公安信息技術(shù)實(shí)驗(yàn)室的建設(shè)�,據(jù)了解,這類實(shí)驗(yàn)室的建設(shè)因涉及學(xué)院與各省公安廳�、地市公安局的共建�,并沒有成熟模式可借鑒�。關(guān)鍵問(wèn)題在于信息系統(tǒng)真實(shí)系統(tǒng)接入還是培訓(xùn)系統(tǒng)接入的選擇(如各地市綜合警綜平臺(tái)�、大情報(bào)系統(tǒng)、視頻監(jiān)控系統(tǒng)等信息系統(tǒng)的接入)�、真實(shí)數(shù)據(jù)源獲取數(shù)據(jù)的清洗、雙方合作的費(fèi)用等關(guān)鍵問(wèn)題�。所以,公安院校應(yīng)在實(shí)驗(yàn)室建設(shè)方面與學(xué)科建設(shè)�、專業(yè)建設(shè)緊密關(guān)聯(lián),并制定短期�、中期、長(zhǎng)期發(fā)展規(guī)劃�。對(duì)科研方向正確定位,將實(shí)驗(yàn)室作為科學(xué)研究基地�;將研究成果不斷地在教學(xué)中及服務(wù)一線中得以實(shí)踐。
五�、總結(jié)
總之,網(wǎng)絡(luò)安全與執(zhí)法專業(yè)建設(shè)是各地公安院校建設(shè)的重點(diǎn)與熱點(diǎn)�,具有非常重要的意義及必要性。根據(jù)其人才培養(yǎng)目標(biāo)可確定該專業(yè)學(xué)生的培養(yǎng)在業(yè)務(wù)能力上應(yīng)具備計(jì)算機(jī)知識(shí)�、信息安全知識(shí)等基礎(chǔ),并具備軟件開發(fā)�、網(wǎng)絡(luò)監(jiān)察、情報(bào)分析�、電子證據(jù)偵查取證等方面業(yè)務(wù)素質(zhì)和能力�。課程開發(fā)過(guò)程中應(yīng)注意采用“厚基礎(chǔ)�、重實(shí)踐”的模式設(shè)定教授課程體系,并克服師資建設(shè)�、實(shí)驗(yàn)室建設(shè)存在的問(wèn)題,為公安系統(tǒng)培養(yǎng)網(wǎng)絡(luò)安全專業(yè)人才奠定基礎(chǔ)�。
參考文獻(xiàn):
[1]靳慧云. 地方公安院校網(wǎng)絡(luò)安全與執(zhí)法專業(yè)建設(shè)探究[J]. 信息網(wǎng)絡(luò)安全. 2011年第10期.
[2]佟 暉, 齊瑩素�, 劉長(zhǎng)文, 尤 慧. 網(wǎng)絡(luò)安全與執(zhí)法專業(yè)實(shí)踐教學(xué)體系研究[J]. 北京人民警察學(xué)院學(xué)報(bào). 2012年第6期.
[3]郭風(fēng)海�, 賈春福. 信息安全開放實(shí)驗(yàn)探討[J]. 計(jì)算機(jī)教育. 2010年第10期.
第2篇
1入侵防護(hù)系統(tǒng)功能分析
1.1多種入侵檢測(cè)機(jī)制相互結(jié)合
入侵防護(hù)系統(tǒng)以協(xié)議為基礎(chǔ),結(jié)合智能協(xié)議識(shí)別�、專家系統(tǒng)、異常檢測(cè)以及狀態(tài)防火墻技術(shù)�,為用戶提供多層次的網(wǎng)絡(luò)安全防護(hù)功能。協(xié)議識(shí)別和分析機(jī)制可對(duì)網(wǎng)絡(luò)報(bào)文中的協(xié)議特征進(jìn)行動(dòng)態(tài)分析�,還能在無(wú)人操作的情況下快速準(zhǔn)確地檢測(cè)入侵行為,發(fā)現(xiàn)入侵木馬和后門�。專家知識(shí)庫(kù)將攻擊特征與已知攻擊特征庫(kù)進(jìn)行匹配和識(shí)別,記錄新的攻擊特征�,不斷豐富數(shù)據(jù)庫(kù),為及時(shí)監(jiān)測(cè)攻擊行為提供了保障�。異常檢測(cè)機(jī)制包括流量異常和協(xié)議異常檢測(cè)機(jī)制。流量異常檢測(cè)機(jī)制以“正常流量值”為標(biāo)準(zhǔn)�,及時(shí)發(fā)現(xiàn)非預(yù)期的異常流量,從而防范未知蠕蟲、分布式拒絕服務(wù)器攻擊以及其他零日攻擊�。協(xié)議異常檢測(cè)機(jī)制以RFC為標(biāo)準(zhǔn),檢測(cè)操作行為是否符合RFC規(guī)定�。協(xié)議異常檢測(cè)機(jī)制可發(fā)現(xiàn)未知的溢出攻擊、拒絕服務(wù)器攻擊和零日攻擊�。
1.2防御深度入侵
入侵防護(hù)系統(tǒng)可通過(guò)精細(xì)的檢測(cè)和防御措施,阻斷SQL注入�、拒絕服務(wù)器�、蠕蟲病毒等多種入侵行為。同時(shí)�,入侵防護(hù)系統(tǒng)還能阻斷廣告或間諜軟件、木馬等非法程序擴(kuò)散�。最后,入侵防護(hù)系統(tǒng)重組IP碎片能力強(qiáng)大�,并可追蹤數(shù)據(jù)流,可有效阻斷任意分片式攻擊行為�。
1.3防御病毒
入侵防護(hù)系統(tǒng)可對(duì)HTTP、IMAP�、SMTP等協(xié)議進(jìn)行特征和啟發(fā)式掃描,檢測(cè)和控制協(xié)議的病毒流量�,并及時(shí)查殺病毒,防范病毒對(duì)網(wǎng)絡(luò)造成損害�。
1.4防御Web的威脅
由于病毒種類越來(lái)越多,木馬傳播方式和途徑也更加隱蔽�,Web危險(xiǎn)具有新的特點(diǎn),web威脅呈混合性、滲透性�、和利益驅(qū)動(dòng)性特點(diǎn),web威脅也已經(jīng)成為增速碎塊�、危害最大的網(wǎng)絡(luò)風(fēng)險(xiǎn)因素之一。而網(wǎng)絡(luò)是辦公的重要措施�,對(duì)網(wǎng)絡(luò)的依賴性使網(wǎng)絡(luò)遭受web威脅的幾率更高。而入侵防護(hù)系統(tǒng)可根據(jù)web信譽(yù)評(píng)價(jià)技術(shù)和URL過(guò)濾技術(shù)檢測(cè)web�,對(duì)植入木馬的web網(wǎng)頁(yè)發(fā)出警報(bào),提醒操作人員�,達(dá)到預(yù)防低于web威脅入侵網(wǎng)絡(luò)的目的。
1.5流量管理功能
流量管具有全局維度�、局部維度、時(shí)間維度�、流量維度流量控制四元組,并基于內(nèi)容和面向?qū)ο筇峁┝髁勘Wo(hù)對(duì)策�,為用戶提供豐富的、靈活性更強(qiáng)的流量管理功能�。入侵防護(hù)系統(tǒng)可對(duì)流量進(jìn)行智能識(shí)別和分類,根據(jù)流量管理協(xié)議對(duì)流量許可和優(yōu)先級(jí)進(jìn)行控制�,阻斷非授權(quán)用戶的流量,管理合法網(wǎng)絡(luò)資源�,優(yōu)化各類型流量的比例和分布情況,在保證最小寬帶和限制最大寬帶的基礎(chǔ)上�,確保關(guān)鍵程序能夠正常穩(wěn)定地運(yùn)行。
2入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用分析
2.1入侵防護(hù)系統(tǒng)部署方式
入侵防護(hù)系統(tǒng)包括兩種在部署方式�,一是在線部署,二是旁路部署。除特殊情況外�,入侵防護(hù)系統(tǒng)選擇直接串聯(lián)介入網(wǎng)絡(luò),以實(shí)現(xiàn)有效管理和控制所有流經(jīng)入侵防護(hù)系統(tǒng)的數(shù)據(jù)流量�,而采用路旁部署方式接入入侵防護(hù)系統(tǒng)無(wú)法完全發(fā)揮防護(hù)系統(tǒng)功能,系統(tǒng)只能發(fā)揮入侵檢測(cè)的作用�,系統(tǒng)設(shè)備也只能監(jiān)視流量使用情況,無(wú)法及時(shí)控制異常流量�。
2.2系統(tǒng)部署方式選擇
入侵防護(hù)系統(tǒng)部署方式影響流經(jīng)防護(hù)系統(tǒng)的流量,并對(duì)入侵防護(hù)系統(tǒng)的防護(hù)作用和防護(hù)范圍造成影響�。因此,要充分發(fā)揮入侵防護(hù)系統(tǒng)的功能�,更大范圍的提供保護(hù)作用�,應(yīng)采用在線部署方式。通常情況下�,可采用透明式串聯(lián)部署,并將入侵防護(hù)系統(tǒng)部署在網(wǎng)絡(luò)關(guān)鍵出口位置�。該部署方式不僅能夠發(fā)揮入侵防護(hù)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量、過(guò)濾和阻斷非法網(wǎng)絡(luò)流量的功能�,還能更好的發(fā)揮系統(tǒng)BYPAASS容錯(cuò)功能,使系統(tǒng)軟件或硬件發(fā)生故障后依然能維持正常網(wǎng)絡(luò)通信�。但是,還需根據(jù)供電局網(wǎng)絡(luò)具體情況�,選擇最恰當(dāng)?shù)娜肭址雷o(hù)系統(tǒng)部署方式。(1)部署在內(nèi)網(wǎng)核心交換機(jī)與出口防火墻之間�。采用該部署方式無(wú)需改變現(xiàn)有網(wǎng)絡(luò)及業(yè)務(wù)模式,還能對(duì)內(nèi)網(wǎng)客戶端進(jìn)行嚴(yán)格的管理、觀察客戶端的IP�,以便準(zhǔn)確定位攻擊源。入侵防護(hù)系統(tǒng)還能防護(hù)向外和向內(nèi)的攻擊和流量�,而且由于防火墻已經(jīng)過(guò)濾多數(shù)非法攻擊和流量,流經(jīng)入侵防護(hù)系統(tǒng)的攻擊流量更少�,系統(tǒng)復(fù)雜輕。(2)布置在出口防火墻與出口路由器之間�,該部署方式無(wú)需改變的現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)模式。同時(shí)�,部署方式將入入侵防護(hù)系統(tǒng)作為最外層防護(hù)網(wǎng)關(guān),可有效放于外部攻擊流量�,入侵防護(hù)系統(tǒng)日志會(huì)清楚記錄外部攻擊信息。由于外來(lái)攻擊流量都必須經(jīng)過(guò)入侵防護(hù)系統(tǒng)�,因而流經(jīng)防火墻的攻擊流量較少,防火墻的負(fù)載更輕�。最后,采用該方式部署后�,入侵防護(hù)系統(tǒng)對(duì)對(duì)內(nèi)網(wǎng)客戶端的入侵行為防護(hù)措施簡(jiǎn)單,只有事件設(shè)置策略�,如目的any。該不是方式的缺點(diǎn)也較為明顯�。如內(nèi)網(wǎng)客戶端訪問(wèn)外網(wǎng)需通過(guò)防火墻NAT地址翻譯,而無(wú)法在入侵防護(hù)系統(tǒng)內(nèi)查詢內(nèi)網(wǎng)客戶端的真實(shí)IP地質(zhì)�,而只能觀察NAT后的地址,造成入侵防護(hù)系統(tǒng)無(wú)法準(zhǔn)確定位內(nèi)部攻擊源�,也無(wú)法針對(duì)不同客戶端IP設(shè)置入侵保護(hù)策略�。
2.3系統(tǒng)部署
從入侵防護(hù)系統(tǒng)兩種部署方式可以看到�,入侵防護(hù)系統(tǒng)部署在內(nèi)網(wǎng)核心交換機(jī)與出口防火墻之間的優(yōu)勢(shì)更多,更適合我國(guó)供電局網(wǎng)絡(luò)安全建設(shè)需求�。這種部署方式在防放于外來(lái)攻擊的同時(shí),還能避免入侵防護(hù)系統(tǒng)受防火墻NAT地質(zhì)翻譯的影響�,對(duì)內(nèi)網(wǎng)不同IP設(shè)置不同入侵范湖策略,有效阻斷和定位內(nèi)部攻擊行為�。例如,供電網(wǎng)可采用透明方式�,將入侵防護(hù)系統(tǒng)部署在內(nèi)網(wǎng)核心交換機(jī)與出口防火墻之間,部署拓?fù)浣Y(jié)構(gòu)如圖1所示�。該部署方式具有以下四個(gè)優(yōu)點(diǎn)。第一�,入侵防護(hù)系統(tǒng)設(shè)備配置簡(jiǎn)單,安裝更加方便�;第二�,入侵防護(hù)系統(tǒng)對(duì)內(nèi)網(wǎng)客戶端管理更加有效,可對(duì)內(nèi)網(wǎng)客戶端的行為和流量進(jìn)行有效管理和控制�。第三,可觀察內(nèi)網(wǎng)客戶端的真實(shí)IP地址�,電網(wǎng)運(yùn)行管理人員也更容易快速查找和定位內(nèi)網(wǎng)攻擊源。第四�,入侵防護(hù)系統(tǒng)部署在內(nèi)網(wǎng)核心交換機(jī)與出口防火墻之間,系統(tǒng)防護(hù)可同時(shí)監(jiān)控和控制內(nèi)網(wǎng)向外的流量和來(lái)透過(guò)防火墻的外網(wǎng)攻擊流量�,系統(tǒng)在監(jiān)控和管理流入電網(wǎng)系統(tǒng)攻擊流量和流向電網(wǎng)外部流量之前�,電網(wǎng)的防火墻的訪問(wèn)控制級(jí)攻擊防護(hù)系統(tǒng)已經(jīng)對(duì)多數(shù)外網(wǎng)攻擊進(jìn)行了過(guò)濾處理�,最終流經(jīng)入侵防護(hù)系統(tǒng)的外網(wǎng)攻擊流量大大減少,入侵防護(hù)系統(tǒng)的負(fù)載也更輕�,入侵防護(hù)系統(tǒng)傳輸內(nèi)外網(wǎng)數(shù)據(jù)的效率顯著提高。
3結(jié)語(yǔ)
供電局網(wǎng)絡(luò)安全建設(shè)應(yīng)用入侵防護(hù)系統(tǒng)后�,系統(tǒng)能夠?qū)嵤┲鲃?dòng)攔截攻擊、木馬和而言流量等�,避免用戶操作時(shí)被植入惡意代碼,有效的保證了關(guān)鍵系統(tǒng)業(yè)務(wù)正常應(yīng)用�,凈化了局域網(wǎng)使用環(huán)境,提高企業(yè)生產(chǎn)和辦公效率�。最后,入侵防護(hù)系不僅提高了電網(wǎng)防御能力�,管理員的工作量減輕,管理員可將時(shí)間和精力用于分析網(wǎng)絡(luò)安全時(shí)間�,及時(shí)發(fā)現(xiàn)全局網(wǎng)絡(luò)安全中存在的不足,為開展下一步工作提供參考�。
作者:阮俊杰 單位:廣東電網(wǎng)有限責(zé)任公司佛山供電局
引用:
[1]張文明.淺談入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用[J].無(wú)線互聯(lián)科技,2013.
[2]莫若節(jié).供電局互聯(lián)網(wǎng)訪問(wèn)存在的安全問(wèn)題及對(duì)策探討[J].技術(shù)與市場(chǎng)�,2013.
[3]呂維新.入侵防護(hù)系統(tǒng)在昆明供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用[J].電力信息化,2010.
[4]謝群.昆明供電局綜合數(shù)據(jù)網(wǎng)三層網(wǎng)絡(luò)架構(gòu)研究與應(yīng)用[J].電子制作�,2014.
第3篇
關(guān)鍵詞:等級(jí)保護(hù);測(cè)評(píng)�;信息安全;管理
中圖分類號(hào):TP393
文獻(xiàn)標(biāo)志碼:C
文章編號(hào):1006-8228(2011)12-60-02
0 引言
信息安全等級(jí)保護(hù)作為國(guó)家信息安全工作的一項(xiàng)基本制度�、基本國(guó)策�,已經(jīng)在全國(guó)實(shí)行多年�,各信息系統(tǒng)運(yùn)營(yíng)使用單位都深刻認(rèn)識(shí)到等級(jí)保護(hù)制度的重要性。在我國(guó)信息安全等級(jí)保護(hù)制度中�,等級(jí)保護(hù)分五個(gè)工作環(huán)節(jié)――定級(jí)、備案�、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查�。其中,等級(jí)測(cè)評(píng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定�,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�,對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的檢測(cè)評(píng)估活動(dòng),是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié)�。
隨著等級(jí)保護(hù)工作的不斷推進(jìn),等級(jí)測(cè)評(píng)機(jī)構(gòu)的體系建設(shè)也在不斷深入�,全國(guó)等級(jí)測(cè)評(píng)機(jī)構(gòu)的數(shù)量在不斷增加,測(cè)評(píng)機(jī)構(gòu)的品質(zhì)和能力�、測(cè)評(píng)人員的水平和素質(zhì)、測(cè)評(píng)競(jìng)爭(zhēng)環(huán)境等諸多方面的問(wèn)題將不斷出現(xiàn)�。因此�,加強(qiáng)對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)的合理、有效監(jiān)管�,對(duì)提升測(cè)評(píng)行業(yè)質(zhì)量,保證測(cè)評(píng)數(shù)據(jù)公正�、客觀�,以及保障重點(diǎn)行業(yè)的重要信息系統(tǒng)安全等至關(guān)重要�。
1 國(guó)家層面對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式
測(cè)評(píng)工作作為等級(jí)保護(hù)制度中最重要工作環(huán)節(jié),具有明顯的專業(yè)性和技術(shù)性恃點(diǎn)�,其政策導(dǎo)向性強(qiáng)。因此�,僅有相關(guān)測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)是不夠的,測(cè)評(píng)機(jī)構(gòu)的體系化�、規(guī)范化管理也是關(guān)鍵。
2009年7月公安部開始信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作�,其目的是探索信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和管理的模式和經(jīng)驗(yàn),保證全國(guó)重要信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)工作的順利開展�。試點(diǎn)工作主要在浙江、重慶�、河南、廣東等省市展開�。其主要內(nèi)容是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)完成五個(gè)方面的工作:一是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備的條件;二是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)的主要內(nèi)容�;三是檢驗(yàn)并完善等級(jí)測(cè)評(píng)人員管理的主要內(nèi)容;四是檢驗(yàn)并完善等級(jí)測(cè)評(píng)工作規(guī)范性要求的主要內(nèi)容�;五是檢驗(yàn)并完善測(cè)評(píng)機(jī)構(gòu)監(jiān)督管理的主要內(nèi)容等。從試點(diǎn)工作情況分析�,國(guó)家對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式采用的是能力評(píng)估和政府干預(yù)相結(jié)合的模式。
從工作程序上分為四個(gè)步驟:
(1)各測(cè)評(píng)機(jī)構(gòu)向設(shè)區(qū)的市級(jí)以上所在地公安網(wǎng)安部門申請(qǐng)�,公安網(wǎng)安部門根據(jù)《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范(試行)》對(duì)測(cè)評(píng)機(jī)構(gòu)所提交的申請(qǐng)材料進(jìn)行審核,審核通過(guò)后�,提交給上一級(jí)公安網(wǎng)安部門報(bào)批�,并予以受理�。
(2)公安部網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一將各地上報(bào)的測(cè)評(píng)機(jī)構(gòu)信息轉(zhuǎn)發(fā)給公安部信息安全等級(jí)保護(hù)評(píng)估中心,由評(píng)估中心按照《信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求(試行)》對(duì)各測(cè)評(píng)機(jī)構(gòu)進(jìn)行能力評(píng)估�。能力評(píng)估通過(guò)后,由評(píng)估中心將能力評(píng)估材料遞交公安部網(wǎng)絡(luò)安全保衛(wèi)局審核批準(zhǔn)�。
(3)各省公安網(wǎng)安部門收到公安部網(wǎng)絡(luò)安全保衛(wèi)局對(duì)測(cè)評(píng)機(jī)構(gòu)審核的意見及相關(guān)證書,下發(fā)給各地網(wǎng)安部門�。
(4)公安部信息安全等級(jí)保護(hù)評(píng)估中心在網(wǎng)站上公布測(cè)評(píng)機(jī)構(gòu)名單,接受社會(huì)監(jiān)督�。
能力評(píng)估的內(nèi)容和要求上,分為組織管理能力�、測(cè)評(píng)實(shí)施能力、設(shè)施和設(shè)備安全與保障能力�、質(zhì)量管理能力、規(guī)范性保證能力�、風(fēng)險(xiǎn)控制能力、可持續(xù)發(fā)展能力等七個(gè)方面和基本要求�、約束性要求等兩個(gè)部分。
2 浙江省等級(jí)測(cè)評(píng)機(jī)構(gòu)現(xiàn)有監(jiān)管模式
浙江省信息等級(jí)保護(hù)工作一直處于國(guó)內(nèi)前列�,2006年就頒布了《浙江省信息安全等級(jí)保護(hù)管理辦法》(省政府第223號(hào)令),并在同年開展了全國(guó)等級(jí)保護(hù)試點(diǎn)項(xiàng)目�。通過(guò)多年積累的經(jīng)驗(yàn),2007年浙江省開始在測(cè)評(píng)機(jī)構(gòu)管理�、測(cè)評(píng)工作模式等方面進(jìn)行探索,初步形成具有浙江特色的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式�。
(1)以社會(huì)協(xié)會(huì)管理為主,政府監(jiān)管為輔的管理模式
浙江省結(jié)合實(shí)際�,政府層面出臺(tái)了《浙江省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理規(guī)定(試行)》,明確了省內(nèi)從事等級(jí)測(cè)評(píng)工作的單位性質(zhì)�、條件和義務(wù)等要素。社會(huì)協(xié)會(huì)層面出臺(tái)了《浙江省信息安全測(cè)評(píng)機(jī)構(gòu)資信等級(jí)評(píng)定管理辦法(試行)》實(shí)現(xiàn)測(cè)評(píng)機(jī)構(gòu)資信等級(jí)一�、二級(jí)管理,形成測(cè)評(píng)機(jī)構(gòu)管理行業(yè)規(guī)范�,變政府由市場(chǎng)參與主體向市場(chǎng)監(jiān)管主體轉(zhuǎn)變,由管理審批型向管理服務(wù)型轉(zhuǎn)變�、由直接行政干預(yù)向間接宏觀調(diào)控轉(zhuǎn)變。
(2)建立以行業(yè)自律管理為主的監(jiān)管體系
嚴(yán)格測(cè)評(píng)機(jī)構(gòu)行業(yè)自律管理�,測(cè)評(píng)機(jī)構(gòu)間簽署《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)行業(yè)自律公約》,強(qiáng)化機(jī)構(gòu)自律化管理�,進(jìn)一步規(guī)范測(cè)評(píng)機(jī)構(gòu)行為和工作秩序。
(3)建立機(jī)構(gòu)統(tǒng)一管理標(biāo)準(zhǔn)�,專控審查機(jī)構(gòu)自身及人員能力建設(shè)
全省測(cè)評(píng)機(jī)構(gòu)必須按照“審核標(biāo)準(zhǔn)統(tǒng)一�,管理規(guī)范標(biāo)準(zhǔn)統(tǒng)一、技術(shù)標(biāo)準(zhǔn)統(tǒng)一�、測(cè)評(píng)工具標(biāo)準(zhǔn)統(tǒng)一、報(bào)告樣式標(biāo)準(zhǔn)統(tǒng)一”的五統(tǒng)一規(guī)范開展測(cè)評(píng)工作�,并由政府組織機(jī)構(gòu)年審,設(shè)立準(zhǔn)入準(zhǔn)出機(jī)制�。測(cè)評(píng)機(jī)構(gòu)的能力審查對(duì)測(cè)評(píng)過(guò)程中技術(shù)人員行為的規(guī)范性、合理性和程序標(biāo)準(zhǔn)性,對(duì)機(jī)構(gòu)業(yè)務(wù)范圍�、管理能力和技術(shù)能力要求等給予明確規(guī)定,規(guī)范申請(qǐng)�、審核、查驗(yàn)和推薦流程�,組建由公安、保密�、密碼管理、信息辦和安全等部門專家組成的專門審查小組對(duì)機(jī)構(gòu)背景�、管理水平、資格和技術(shù)能力進(jìn)行量化評(píng)價(jià)�,作為推薦依據(jù)。同時(shí)�,嚴(yán)格規(guī)范測(cè)評(píng)機(jī)構(gòu)工作程序,加強(qiáng)對(duì)機(jī)構(gòu)內(nèi)部管理規(guī)范化建設(shè)督導(dǎo)�,要求健全人員管理、項(xiàng)目管理�、文檔管理、設(shè)備管理�、保密制度等各項(xiàng)制度,要求制定《質(zhì)量手冊(cè)》�、《程序文件》、《作業(yè)指導(dǎo)書》�、《測(cè)評(píng)過(guò)程記錄表單》等測(cè)評(píng)實(shí)施過(guò)程文檔,完善測(cè)評(píng)實(shí)施規(guī)程�。
全省機(jī)構(gòu)都已被要求必須獲得CMA中國(guó)計(jì)量認(rèn)證�,并被引導(dǎo)和鼓勵(lì)去獲得CNAS實(shí)驗(yàn)室認(rèn)證�、ISO27001認(rèn)證等。所有從業(yè)人員必須獲得初級(jí)以上“測(cè)評(píng)師”技術(shù)證書�,測(cè)評(píng)工作中持證上崗�。對(duì)測(cè)評(píng)從業(yè)人員要進(jìn)行錄用考核、備案和背景審查等工作�。
3 現(xiàn)有監(jiān)管模式的不足
在現(xiàn)行的測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式中,我們側(cè)重于對(duì)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備條件(包括審核是否在境內(nèi)注冊(cè)成立�、注冊(cè)資本多少、法人資格�、公司已有的資質(zhì)、測(cè)評(píng)人員已獲得的技術(shù)認(rèn)證等)的監(jiān)管�;僅關(guān)注機(jī)構(gòu)是否已具有完備的保密管理、項(xiàng)目管理�、質(zhì)量管理、人員管理和培訓(xùn)教育等制度�,而對(duì)這些制度的落實(shí)情況及執(zhí)行情況缺乏有效監(jiān)督;對(duì)測(cè)評(píng)活動(dòng)實(shí)施過(guò)程中的合法性�,有效性問(wèn)題缺乏必要的考量。
4 對(duì)測(cè)評(píng)機(jī)構(gòu)進(jìn)行有效性監(jiān)管方法的探討
(1)對(duì)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)大綱實(shí)行報(bào)備審核
測(cè)評(píng)大綱應(yīng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)的整體測(cè)評(píng)策略性文件�,能綜合反映不同測(cè)評(píng)機(jī)構(gòu)從事等級(jí)測(cè)評(píng)活動(dòng)的經(jīng)驗(yàn)、知識(shí)�、測(cè)評(píng)方法和測(cè)評(píng)程序?;趯?duì)被測(cè)評(píng)單位的利益保護(hù)以及對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管要求,測(cè)評(píng)大綱應(yīng)具有法律效力,須報(bào)公安機(jī)關(guān)審核備案后使用�。測(cè)評(píng)機(jī)構(gòu)只有按照測(cè)評(píng)大綱中明確的指標(biāo)嚴(yán)格檢測(cè)、測(cè)評(píng)�,其測(cè)評(píng)結(jié)果才能真實(shí)地反映被測(cè)單位計(jì)算機(jī)信息
系統(tǒng)的安全狀況,為安全整改建設(shè)提供科學(xué)的依據(jù)和指南�。
(2)對(duì)等級(jí)測(cè)評(píng)活動(dòng)的各周期程序?qū)嵭斜O(jiān)督指導(dǎo)
等級(jí)測(cè)評(píng)流程分為四個(gè)階段:測(cè)評(píng)準(zhǔn)備、方案編制�、現(xiàn)場(chǎng)測(cè)評(píng)及報(bào)告編制,政府部門的督導(dǎo)工作須貫穿其中�。如,在測(cè)評(píng)準(zhǔn)備階段�,為了避免測(cè)評(píng)小組成員和委托人之間存在利害關(guān)系,影響測(cè)評(píng)結(jié)果的公平�、客觀、真實(shí)�,測(cè)評(píng)機(jī)構(gòu)在確定測(cè)評(píng)小組成員名單后讓測(cè)評(píng)委托人確認(rèn)簽字,確認(rèn)書要留檔備查�,未經(jīng)確認(rèn)開展的項(xiàng)目測(cè)評(píng)報(bào)告不具有法律效力。方案編制中�,必須明確測(cè)評(píng)對(duì)象、范圍�、依據(jù)法律法規(guī)和標(biāo)準(zhǔn)、制定具體的測(cè)評(píng)檢查表�,記錄文件要測(cè)評(píng)雙方簽字確認(rèn),方案和測(cè)評(píng)過(guò)程文檔應(yīng)留檔備查?,F(xiàn)場(chǎng)測(cè)評(píng)中�,測(cè)評(píng)小組必須使用可信�、安全等級(jí)測(cè)評(píng)工具采集數(shù)據(jù),測(cè)評(píng)工具要向公安機(jī)關(guān)報(bào)備�,現(xiàn)場(chǎng)測(cè)評(píng)要按照檢測(cè)程序全面檢測(cè)關(guān)鍵測(cè)評(píng)項(xiàng),依據(jù)測(cè)評(píng)標(biāo)準(zhǔn)客觀�、公正、準(zhǔn)確評(píng)價(jià)�,政府主管部門應(yīng)隨機(jī)駐點(diǎn)督查現(xiàn)場(chǎng)測(cè)評(píng)過(guò)程實(shí)施情況�。測(cè)評(píng)報(bào)告反映的是被測(cè)評(píng)單位信息系統(tǒng)的安全保護(hù)現(xiàn)狀,應(yīng)具有法律效力�,報(bào)告要使用標(biāo)準(zhǔn)模板,起草過(guò)程中測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)遵守國(guó)家的有關(guān)法律法規(guī)�,保守被測(cè)評(píng)單位秘密、保障被測(cè)單位利益�,政府部門有必要明確測(cè)機(jī)構(gòu)及其工作人員的法律責(zé)任來(lái)規(guī)范其職業(yè)道德。測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)結(jié)果直接對(duì)信息系統(tǒng)運(yùn)營(yíng)使用單位的建設(shè)�、整改和運(yùn)營(yíng)成本,以及對(duì)監(jiān)管部門的行政監(jiān)管成本產(chǎn)生影響�,也就是說(shuō),測(cè)評(píng)報(bào)告對(duì)國(guó)家和社會(huì)都會(huì)產(chǎn)生影響�。因此,測(cè)評(píng)機(jī)構(gòu)要對(duì)自身的測(cè)評(píng)行為負(fù)責(zé)�,政府主管部門將對(duì)機(jī)構(gòu)及從業(yè)人員違反法律規(guī)定的行為予以民事、行政或刑事處罰�。
(3)對(duì)測(cè)評(píng)人員實(shí)行從錄用到離職的全程監(jiān)督
等級(jí)測(cè)評(píng)涉及用戶單位的核心業(yè)務(wù)系統(tǒng)�,是一項(xiàng)高技術(shù)的專業(yè)安全服務(wù)�,需要具有一定政治素質(zhì)、道德素質(zhì)和專業(yè)素質(zhì)的測(cè)評(píng)人員來(lái)支撐�。管理應(yīng)進(jìn)一步加大對(duì)測(cè)評(píng)人員的政治背景、從業(yè)背景�、專業(yè)背景、技術(shù)素養(yǎng)的審查力度�,建立完備測(cè)評(píng)人員檔案庫(kù),考量測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)人員穩(wěn)定性�,重點(diǎn)加大對(duì)離職測(cè)評(píng)人員的管控,明確保密條約�,關(guān)注人員離職去向。
(4)制定測(cè)評(píng)機(jī)構(gòu)優(yōu)劣考量機(jī)制�,促進(jìn)誠(chéng)信服務(wù)的企業(yè)文化
等級(jí)測(cè)評(píng)的執(zhí)行主體是測(cè)評(píng)機(jī)構(gòu),測(cè)評(píng)機(jī)構(gòu)的企業(yè)文化是否具有凝聚性�,企業(yè)價(jià)值觀是否誠(chéng)信,內(nèi)部管理模式是否健康�,關(guān)乎其市場(chǎng)競(jìng)爭(zhēng)力,更關(guān)乎測(cè)評(píng)機(jī)構(gòu)能否為信息系統(tǒng)安全等級(jí)保護(hù)工作提供安全�、客觀、公正的檢測(cè)評(píng)估服務(wù)�。因此,要求測(cè)評(píng)企業(yè)必須有一定的政治覺悟�,要嚴(yán)格遵守國(guó)家有關(guān)法律法規(guī),要承擔(dān)社會(huì)責(zé)任和法律責(zé)任�,不能唯利是圖�。政府部門要定期開展管理評(píng)審�,制定考量測(cè)評(píng)機(jī)構(gòu)優(yōu)劣評(píng)判標(biāo)準(zhǔn),完善被測(cè)評(píng)單位滿意度反饋機(jī)制�,建立機(jī)構(gòu)誠(chéng)信狀況、信用狀況�、評(píng)級(jí)結(jié)果等信息公開機(jī)制,將政府監(jiān)管和社會(huì)監(jiān)督結(jié)合起來(lái)�,通過(guò)評(píng)星評(píng)級(jí)、市場(chǎng)退出和獎(jiǎng)懲機(jī)制的建立�,鼓勵(lì)誠(chéng)信機(jī)構(gòu),懲戒不誠(chéng)信機(jī)構(gòu)�,增加機(jī)構(gòu)不規(guī)范測(cè)評(píng)行為的風(fēng)險(xiǎn)成本。
(5)規(guī)范價(jià)格體系�,推動(dòng)測(cè)評(píng)機(jī)構(gòu)良性發(fā)展
等級(jí)測(cè)評(píng)是近兩年才興起的行業(yè)�,政府要引導(dǎo)建立良好的測(cè)評(píng)市場(chǎng)價(jià)格體系,借鑒其他行業(yè)自律的經(jīng)驗(yàn)手段�,避免惡性價(jià)格競(jìng)爭(zhēng),要保障等級(jí)測(cè)評(píng)有一定的利潤(rùn)空間�,以使得測(cè)評(píng)機(jī)構(gòu)能朝更專業(yè)、更具實(shí)力方向發(fā)展�,充分調(diào)動(dòng)測(cè)評(píng)機(jī)構(gòu)提升品牌建設(shè)、服務(wù)工作效率�、專業(yè)能力、測(cè)評(píng)人員素質(zhì)的內(nèi)在動(dòng)力�。
