当前位置:永利电子游戏网址 > 通讯器械 > 【中网办关于加强党政部门云计算服务网络安全

【中网办关于加强党政部门云计算服务网络安全

文章作者:通讯器械 上传时间:2019-09-30

某些人对于存储数据的安全总是有很高的要求,对此数据安全公司Imation今天推出了一系列主打安全性能的USB移动硬盘,全身采用铝合金无缝设计,最高存储容量为1TB,安全系数达到FIPS140-2Level3的要求,除了信息采用256-bit的硬件加密之外还配备指纹认证,同时还包括“防窃”,“远程清除数据”,“设备回收”,“合规报告”等功能,能够全方位的保护你的数据。

中网办发文〔2014〕14号

1评价数据采集分析处理原则 安全评价资料、数据采集是进行安全评价必要的关键性基础工作。预评价与验收评价资料以可行性研究报告及设计文件为主,同时要求下列资料:可类比的安全卫生技术资料、监测数据,适用的法规、标准、规范、安全卫生设施及其运行效果,安全卫生的管理及其运行情况,安全、卫生、消防组织机构情况等。 安全现状评价所需资料要比预评价与验收评价复杂得多,它重点要求厂方提供反映现实运行状况的各种资料与数据,而这类资料、数据往往由生产一线的车间人员、设备管理部门、安全、卫生、消防管理部门、技术检测部门等分别掌握,有些甚至还需要财务部门提供。表1是针对化工行业安全评价列出的“安全评价所需资料一览表”,可作为评价所需资料的参考。 对安全评价资料、数据采集处理方面 ,应遵循以下原则:首先应保证满足评价的全面、客观、具体、准确的要求;其次应尽量避免不必要的资料索取,以免给企业带来不必要的负担。根据这一原则,参考国外评价资料要求,结合我国对各类安全评价的各项要求,各阶段安全评价资料、数据应满足的一般要求见表2。 2评价数据的分析处理 1)数据收集 数据收集是进行安全评价最关键的基础工作。所收集的数据要以满足安全评价需要为前提。由于相关数据可能分别掌握在管理部门(设备、安全、卫生、消防、人事、劳动工资、财务等)、检测部门(质量科、技术科)以及生产车间,因此,数据收集时要做好协调工作,尽量使收集到的数据全面、客观、具体、准确。 2)数据范围 收集数据的范围以已确定的评价边界为限,兼顾与评价项目相联系的接口。如:对改造项目进行评价时,动力系统不属于改造范围,但动力系统的变化会导致所评价系统的变化,因此,数据收集应该将动力系统的数据包括在内。 3)数据内容 安全评价要求提供的数据内容一般分为:人力与管理数据、设备与设施数据、物料与材料数据、方法与工艺数据、环境与场所数据。 4)数据来源 被评价单位提供的设计文件(可行性研究报告或初步设计)、生产系统实际运行状况和管理文件等;其他法定单位测量、检测、检验、鉴定、检定、判定或评价的结果或结论等;评价机构或其委托检测单位,通过对被评价项目或可类比项目实地检查、检测、检验得到的相关数据,以及通过调查、取证得到的安全技术和管理数据;相关的法律 法规、相关的标准规范、相关的事故案例、相关的材料或物性数据、相关的救援知识。 5)数据的真实性和有效性控制 对收集到的安全评价资料数据,应关注以下几个方面: 收集的资料数据,要对其真实性和可信度进行评估,必要时可要求资料提供方书面说明资料来源;对用作类比推理的资料要注意类比双方的相关程度和资料获得的条件;代表性不强的资料(未按随机原则获取的资料)不能用于评价;安全评价引用反映现状的资料必须在数据有效期限内。 6)数据汇总及数理统计 通过现场检查、检测、检验及访问,得到大量数据资料,首先应将数据资料分类汇总,再对数据进行处理,保证其真实性、有效性和代表性,必要时可进行复测,经数理统计将数据整理成可以与相关标准比对的格式,采用能说明实际问题的评价方法,得出评价结果。 7)数据分类 定性检查结果,如:符合、不符合、无此项或文字说明等;定量检测结果,如:20mg/m3、30mA、88dB、0.8MPa等带量纲的数据;汇总数据,如:起重机械30台/套,职工安全培训率89%等计数或比例数据;检查记录,如:易燃易爆物品储量12t、防爆电器合格证编号等;照片、录像,如:法兰间采用四氟乙烯垫片、反应釜设有防爆片和安全阀、将器具放入冲压机光电感应器生效连锁切断电源等用录像记录安全装置试验结果。特别是制作评价报告电子版本时,图像数据更为直观,效果更好;其他数据类型,如:连续波形对比数据、数据分布、线性回归、控制图等,图表数据。 8)数据结构 汇总类,如:厂内车辆取证情况汇总、特种作业人员取证汇总;检查表类,如:安全色与安全标志检查表;定量数据消除量纲加权变成指数进行分级评价,如:有毒作业分级;定性数据通过因子加权赋值变成指数进行分级评价,如:机械工厂安全评价;引用类,如:引用其他法定检测机构“专项检测、检验”的数据;其他数据格式,如:集合、关系、函数、矩阵、树(林、二叉树)、图(有向图、串)、形式语言(群、环)、偏集和格、逻辑表达式、卡诺图等。 9)数据处理 在安全检测检验中,通常用随机抽取的样本来推断总体。为了使样本的性质充分反映总体的性质,在样本的选取上遵循随机化原则:样本各个体选取要具有代表性,不得任意删留;样本各个体选取必须是独立的,各次选取的结果互不影响。 若采用了无效或无代表性的数据,会造成检查、检测结果错误,得出不符合实际情况的评价结论。对获得的数据在使用之前,要进行数据处理,消除或减弱不正常数据对检测结果的影响。在处理数据时常注意以下几种数据特性。 概率。随机事件在若干次观测中出现的次数叫频数,频数与总观测次数之比叫频率。当检测次数逐渐增多时,某一检测数据出现的频率总是趋近某一常数,此常数能表示现场出现此检测数据的可能性,这就是概率。在概率论中,把事件发生可能性的数称为概率。在实际工作中,我们常以频率近似地代替概率。 显著性差异。概率在0~1的范围内波动。当概率为1时,此事件必然发生;当概率为0时,此事件必然不发生。数理统计中习惯上认为概率P≤0.05为小概率,并以此作为事物间差别有无显著性的界限。 原设定的系统,若系统之间无显著性差异(通过显著性检验确定),就可将其合并,采用相同的安全技术措施;若系统之间存在显著性差异,就应分别对待。 数据整理和加 工有3种基本形式:按一定要求将原始数据进行分组,作出各种统计表及统计图;将原始数据由小到大顺序排列,从而由原始数列得到递增数列;按照统计推断的要求将原始数据归纳为一个或几个数字特征。 10)“异常值”和“未检出”的处理 “异常值”的处理。异常值是指现场检测或实验室分析结果中偏离其他数据很远的个别极端值,极端值的存在导致数据分布范围拉宽。当发现极端值与实际情况明显不符时,首先要在检测条件中直接查找可能造成干扰的因素,以便使极端值的存在得到解释,并加以修正。若发现极端值属外来影响造成则应舍去;若查不出产生极端值的原因时,应对极端值进行判定再决定取舍。 对极端值有许多处理方法。在这里介绍一种“Q值检验法”。 “Q值检验法”是迪克森(W.J.Dixon)在1951年专为分析化学中少量观测次数(n<10)提出的一种简易判据式。检验时将数据从小到大依次排列:X1,X2,X3,…,Xn-1,Xn,然后将极端值代入以下公式求出Q值,将Q值对照表3的Q0.90,若Q值≥Q0.90则有90%的置信此极端值应被舍去。 式中及——极端值与邻近值间的偏差; ——全距。 例:现场仪器测在同一点上4次测出:0.1014,0.1012,0.1025,0.1016,其中0.1025与其他数值差距较大,是否应该舍去? 根据“Q值检验法”: (4次观测的Q0.90=0.76) 所以,0.1025不能舍弃,测出结果应用4次观测均值0.1017。 “未检出”的处理。在检测上,有时因采样设备和分析方法不够精密,会出现一些小于分析方法“检出限”的数据,在报告中称为“未检出”。这些“未检出”并不是真正的零值,而是处于“零值”与“检出限”之间的值,用“0”来代替不合理(可造成统计结果偏低)。“未检出”的处理在实际工作中可用两种方法进行处理:将“未检出”按标准的1/10加入统计整理;将“未检出”按分析方法“最低检出限”的1/2加入统计。总之,在统计分组时不要轻易将“未检出”舍掉。 检测数据质量控制。检测质量控制经常采用两种控制方式来保证获得数据的正确性:一是用线性回归方法对原制作的“标准曲线”进行复核;二是核对精密度和准确度。 记录精密度和准确度最简便的方法是制作“休哈特控制图”,通过控制图可以看出检测、检验是否在控制之中,有利于观察正、负偏差的发展趋势,及时发现异常,找出原因,采取措施。 安全评价的数据处理。收集到的数据要经过筛选和整理,才能用于安全评价。数据要:来源可靠,收集到的数据要经过甄别,舍去不可靠的数据;数据完整,凡安全评价中要使用的数据都应设法收集到;取值合理,评价过程取值带有一定主观性,取值正确与否往往影响评价结果。 为提高取值准确性可从以下三方面着手:严格按技术守则规定取值;有一定范围的取值,可采用内插法提高精度;较难把握的取值,可采用向专家咨询方法,集思广益来解决。

图片 1

各省、自治区、直辖市党委网络安全和信息化领导小组办公室,中央和国家机关各部委、各人民团体网络安全和信息化相关工作机构:

为加强党政部门云计算服务网络安全管理,维护国家网络安全,现就党政部门云计算服务网络安全管理提出以下意见。

一、充分认识加强党政部门云计算服务网络安全管理的必要性

云计算服务是以云计算技术与模式为主要特征的信息技术服务,包括SaaS(软件即服务)、PaaS(平台即服务)、IaaS(基础设施即服务)等。党政部门采购云计算服务,有利于提高资源利用率和为民服务效率与水平,同时,安全风险也很突出:用户对数据、系统的控制管理能力减弱;安全责任不明确,一些单位可能由于数据和业务的外包而放松安全管理;云计算平台更加复杂,风险和隐患增多,控制和监管手段不足;云计算平台间的互操作和移植比较困难,用户数据和业务迁移到云计算平台后容易形成对云计算服务提供者(以下称服务商)的过度依赖。对此,各级党政部门务必高度重视,增强风险意识、责任意识,切实加强采购和使用云计算服务过程中的网络安全管理。

二、进一步明确党政部门云计算服务网络安全管理的基本要求

党政部门在采购使用云计算服务过程中应遵守,并通过合同等手段要求为党政部门提供云计算服务的服务商遵守以下要求:

——安全管理责任不变。网络安全管理责任不随服务外包而外包,无论党政部门数据和业务是位于内部信息系统还是服务商云计算平台上,党政部门始终是网络安全的最终责任人,应加强安全管理,通过签订合同、持续监督等方式要求服务商严格履行安全责任和义务,确保党政部门数据和业务的机密性、完整性、可用性,以及互操作性、可移植性。

——数据归属关系不变。党政部门提供给服务商的数据、设备等资源,以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。服务商应保障党政部门对这些资源的访问、利用、支配,未经党政部门授权,不得访问、修改、披露、利用、转让、销毁党政部门数据;在服务合同终止时,应按要求做好数据、文档等资源的移交和清除工作。

——安全管理标准不变。承载党政部门数据和业务的云计算平台要参照党政信息系统进行网络安全管理,服务商应遵守党政信息系统的网络安全政策规定、信息安全等级保护要求、技术标准,落实安全管理和防护措施,接受党政部门和网络安全主管部门的网络安全监管。

——敏感信息不出境。为党政部门提供服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。

三、合理确定采用云计算服务的数据和业务范围

党政部门要参照《信息安全技术 云计算服务安全指南》等国家标准,对数据的敏感程度、业务的重要性进行分类,全面分析、综合平衡采用云计算服务后的安全风险和效益,科学规划和确定采用云计算服务的数据、业务范围和进度安排。对于涉及国家秘密、工作秘密的业务,不得采用社会化云计算服务。对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务,应在确保安全的前提下再考虑向云计算平台迁移。对于保护等级四级以上的信息系统,以及一旦出现问题可能造成重大经济损失,甚至危害国家安全的业务不宜采用社会化云计算服务。

四、统一组织党政部门云计算服务网络安全审查

中央网信办会同有关部门建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。

五、加强云计算服务过程的持续指导和监督

党政部门应按照合同管理等有关要求,参考相关技术标准和指南,同服务商签订服务合同、协议。合同和协议要充分体现网络安全管理要求,明确合同双方的网络安全责任义务。直接参与党政业务系统运行管理的服务商人员应签订安全保密协议,必要时要对其进行背景调查。

党政部门要认真履行合同规定的责任义务,监督服务商加强安全防护管理,要求服务商在发生网络安全案件或重大事件时,及时向有关部门报告,配合开展调查工作。要组织对云计算服务的安全监测,加强安全检查,及时发现和通报安全隐患。

六、强化保密审查和安全意识培养

党政部门应建立健全云计算服务保密审查制度,指定机构和人员负责对迁移到云计算平台上的数据、业务进行保密审查,确保数据和业务不涉及国家秘密。综合分析数据关联性,防止因数据汇聚涉及国家秘密,不得使用非涉密网络中的云计算平台处理涉及国家秘密的信息。党政部门在使用云计算服务前,要集中组织开展机关工作人员网络安全和保密教育培训,明示使用云计算服务面临的安全保密风险;要求服务商加强对员工的安全和保密教育,自觉维护党政部门云计算服务安全。

中央网络安全和信息化领导小组办公室

2014年12月30日

本文由永利电子游戏网址发布于通讯器械,转载请注明出处:【中网办关于加强党政部门云计算服务网络安全

关键词: