序論:速發(fā)表網(wǎng)結合其深厚的文秘經(jīng)驗,特別為您篩選了11篇網(wǎng)絡安全總體規(guī)劃范文����。如果您需要更多原創(chuàng)資料,歡迎隨時與我們的客服老師聯(lián)系�,希望您能從中汲取靈感和知識��!
篇1
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息�����,市場研究機構Gartner 研究報告稱,很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范�。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務的壓力為主���,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平��。尤其對于機構構成方式為分布式的企業(yè)而言�����,因為信息安全需求和部署相對更加復雜����,投入更多���,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏��。
本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案��。
2 總體規(guī)劃原則和目標
2.1 總體規(guī)劃原則
對于分布式企業(yè)的信息安全規(guī)劃����,要遵守如下原則:適度集中����,控制風險���;突出重點,分級保護���;統(tǒng)籌安排��,分步實施�;分級管理�,責任到崗;資源優(yōu)化����,注重效益。
這個原則的制定主要是根據(jù)分布式企業(yè)的實際機構構成情況�、人員素質情況以及資源配置情況來制定的。
2.2 總體規(guī)劃目標
信息系統(tǒng)安全規(guī)劃的方法可以不同�����、側重點可以不同�����,但是需要圍繞組織安全�、管理安全、技術安全進行全面的考慮����。信息系統(tǒng)安全規(guī)劃的最終效果應該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上,下面將分別對組織規(guī)劃�、管理規(guī)劃和技術規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃����,對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統(tǒng)安全規(guī)劃的目標應該與企業(yè)信息化的目標是一致的���,而且應該比企業(yè)信息化的目標更具體明確�����、更貼近安全�����。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署�����。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標
組織建設是信息安全建設的基本保證�����,信息安全組織的目標是:
1)完善和形成一個獨立的�����、完整的����、動態(tài)的、開放的信息安全組織架構����,達到國際國內(nèi)標準的要求;
2)打造一支具有專業(yè)水準的���、過硬本領的信息安全隊伍�����。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全��,對外可以向社會提供高品質的安全服務�����;
3)建設一個 “信息安全運維中心(SOC)”���,能夠滿足當前和未來的業(yè)務發(fā)展及信息安全組織運轉的支撐系統(tǒng),能夠對外提供安全服務平臺�����。
3.2 組織規(guī)劃實施
對于組織規(guī)劃這個方面�����,是屬于一個企業(yè)信息安全規(guī)劃的上層建筑��,需要用一種由上而下的方法來實現(xiàn)��,其主要是在具體人事機制��、管理機制和培訓機制上做工作����。對于分布式企業(yè)而言,需要主導部門從上層著手,建章立制���,強化安全教育�,加大基礎人力���、財力和物力的投入�����。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標
信息安全管理規(guī)劃的目標是���,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標��,一套信息安全策略���,一套信息安全制度��,一套信息安全流程規(guī)范�����,一套信息安全教育培訓體系��,一套信息安全風險監(jiān)管機制���,一套信息安全績效考核指標�?����!捌咛仔畔踩洿胧标P系如圖1所示����。
4.2 信息安全管理設計
基于對管理目標的分析��,信息安全管理的原則以風險管理為主��,集中安全控制���。管理要素由管理對象��、安全威脅�����、脆弱性�����、風險�����、保護措施組成�����。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中�,提高信息安全保障能力和水平,維護國家安全����、社會穩(wěn)定和公共利益,保障和促進信息化健康發(fā)展的基本策略�����。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明�����、保護必要性描述���、保護責任人�、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則�����。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關于信息安全工作應達到的要求��,在信息安全規(guī)范方面����,根據(jù)調(diào)查�,建立信息安全管理規(guī)范、信息安全技術規(guī)范����。其中,安全管理規(guī)范主要針對人員�����、團隊���、制度和資源管理提供參照性準則�����;信息安全技術規(guī)范主要針對安全設計����、施工、維護和操作提供技術性指導建議����。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患�,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態(tài)度而給出的評價依據(jù)�,其目的是增強信息安全責任意識,提高信息安全工作質量����。
4.2.7 信息安全監(jiān)管機制
信息安全監(jiān)管機制是指有關信息安全風險的識別、分析和控制的措施總和����。其主要目的加強信息安全風險的控制,做到“安全第一���,預防為主”�。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業(yè)人員的信息安全意識和技能�����,增強企業(yè)信息安全能力�����。
5 信息安全技術規(guī)劃
5.1 技術規(guī)劃目標
信息安全技術規(guī)劃目標簡言之是:給業(yè)務運營提供信息安全環(huán)境�,為企業(yè)轉型提供契機,構建信息安全服務支撐系統(tǒng)���。具體目標如下:
1)打造信息安全基礎環(huán)境���,調(diào)整和優(yōu)化IT基礎設施����,建立安全專網(wǎng),設置兩個中心(信息安全運維中心����、災備中心);
2)建立一體化信息安全平臺���,綜合集成安全決策調(diào)度�����、安全巡檢��、認證授權�、安全防護、安全監(jiān)控��、安全審計����、應急響應、安全服務��、安全測試����、安全培訓等功能,實現(xiàn)的集中安全管理控制�,快速安全事件響應,高可信的安全防護��,拓展企業(yè)業(yè)務���,開辟信息安全服務新領域����。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎設施�,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續(xù)不斷的安全應用服務,提供實時監(jiān)控����、遠程入侵發(fā)現(xiàn)、事件響應����、安全更新與升級等業(yè)務,SOC 要求具有充分保障自身的安全措施���。除了SOC 的組織建設�����、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設��,主要內(nèi)容是SOC 的選址��、布局、布線���、系統(tǒng)集成�,實現(xiàn)SOC 自身的防火����、防潮、防電����、防塵、安全監(jiān)控功能�;
2)軟件基礎建設,包括SSS 系統(tǒng)�、機房監(jiān)控子系統(tǒng)、功能小組及中心組劃分�����。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產(chǎn)����、組織、管理和安全措施的關系
5.3 信息安全綜合測試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深,需要部署到大量IT 產(chǎn)品和應用系統(tǒng)�����,為了保障安全����,必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患���?���;诖?�,綜合測試環(huán)境建設的內(nèi)容包括:安全測試網(wǎng)絡����;測試系統(tǒng)設備;安全測試工具����;安全測試分析系統(tǒng);安全測試知識庫�����。
其中��,安全測試網(wǎng)絡要求能夠模擬企業(yè)網(wǎng)絡真實的帶寬���;測試系統(tǒng)設備能夠提供典型的網(wǎng)絡服務流量模擬��、典型的應用系統(tǒng)流量模擬�;安全測試工具覆蓋防范類�、檢測類、評估類�����、應急恢復類�、管理類等,并提供使用說明����、漏洞掃描、應用安全分析���;安全測試分析系統(tǒng)能夠提供統(tǒng)計分析��、圖表展現(xiàn)功能�����;安全知識庫包含以下內(nèi)容:漏洞知識庫�,補丁信息庫,安全標準知識庫����,威脅場景視頻庫,攻擊特征知識庫��,信息安全解決案例庫����,安全產(chǎn)品知識庫,安全概念和術語知識庫�����。
5.4 安全平臺建設規(guī)劃
參照國際上PDRR 模型和國家信息安全方面規(guī)范��,建議信息安全總體框架設計如圖2所示��。
主要目的����,以資產(chǎn)為核心���,通過安全組織實現(xiàn)資產(chǎn)保護����,以安全管理來約束組織的行為,以技術手段輔助安全管理���。其中���,資產(chǎn)、組織�����、管理��、安全措施的關系如圖3所示�,核心為資產(chǎn),圍繞資產(chǎn)是組織�,組織是管理,最外層是安全措施����。
在平臺中集成十個安全機制���,它們分別是:信息安全集中管理;信息安全巡檢��;信息安全認證授權��;信息安全防護��;信息安全監(jiān)控�;信息安全測試;信息安全審核�����;信息安全應急響應��;信息安全教育培訓����;信息安全服務。
6 信息安全服務業(yè)務規(guī)劃
6.1 服務業(yè)務規(guī)劃目標
信息安全服務業(yè)務規(guī)劃目標簡言之是:以信息安全服務為切入點���,充分發(fā)揮企業(yè)優(yōu)勢資源����,引領信息安全市場,為企業(yè)轉型創(chuàng)造時機��。具體目標如下:
1)推出面向客戶安全(檢查��、教育���、配置)產(chǎn)品;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品�����;3)推出面向家庭安全上網(wǎng)產(chǎn)品�����;4)推出面向企業(yè)安全運維產(chǎn)品�����;5)推出面向企業(yè)災害恢復產(chǎn)品���。
6.2 服務業(yè)務規(guī)劃設計
服務業(yè)務規(guī)劃主要針對具體業(yè)務而言�,在此列舉信息類分布式企業(yè)業(yè)務作為示例:
1)信息安全咨詢類產(chǎn)品,其服務功能主要有:信息安全風險評估�;信息安全規(guī)劃設計;信息安全產(chǎn)品顧問����。
2)信息安全教育培訓類產(chǎn)品,其服務功能主要有:提供信息安全操作環(huán)境���;提供信息安全知識教育���;提供信息安全運維教育。
3)家庭類安全服務產(chǎn)品�����,其服務功能主要有:推出“家庭綠色上網(wǎng)”安全服務��;家庭上網(wǎng)防病毒服務�;家庭上網(wǎng)機器安全檢查服務;家庭上網(wǎng)機數(shù)據(jù)備份服務��。
4)企業(yè)類安全服務產(chǎn)品����,其服務功能主要有:企業(yè)安全上網(wǎng)控制服務�;企業(yè)安全專網(wǎng)服務���;安全信息通告�����;企業(yè)運維服務����。
5)容災類安全服務產(chǎn)品��,其服務功能主要有:面向政府數(shù)據(jù)災備服務����;面向政府信息系統(tǒng)災備服務����;面向企業(yè)數(shù)據(jù)災備服務;面向企業(yè)信息系統(tǒng)災備服務�。
7 結束語
通過結合分布式企業(yè)的具體實際,按照信息安全體系結構相關標準��,提出了分布式企業(yè)的信息安全規(guī)劃原則和目標����。并依據(jù)次原則與目標�����,按照組織�����、管理和技術三個方面提出了具體的實現(xiàn)與設計規(guī)范原則���。最后,依據(jù)服務規(guī)劃目標�,提出了信息類分布式企業(yè)的信息安全服務規(guī)劃設計實例。
參考文獻:
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡安全技術與應用�,2006,3:62~64�����,57.
[2] Harold F. Tipton���,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications��,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡信息安全防御體系探討[J].河北省科學院學報����,2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡動態(tài)安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408�,13335,15004���,14598���,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2����,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2���,Information Security Management Systems-Specification With Guidance for use[S].
篇2
眾所周知,電子政務網(wǎng)絡作為一個多應用平臺其中納入了多個應用系通��,如辦公自動化系統(tǒng)��、人事管理系統(tǒng)����、財務管理系統(tǒng)���、業(yè)務系統(tǒng)、郵件系統(tǒng)等�。對于網(wǎng)絡管理者而言必須要對此類應用的運行情況加以詳細了解。其次需要注意的是��,電子政務網(wǎng)絡用戶較多����,不可避免的會出現(xiàn)因用戶運行其他應用程序而影響到電子政務網(wǎng)絡的正常運行,從而導致網(wǎng)絡工作效率的下降�����,甚至對網(wǎng)絡安全構成極大的威脅���。
1 網(wǎng)絡運行維護管理中的問題
1.1 網(wǎng)絡規(guī)模的影響
隨著電子政務網(wǎng)絡規(guī)模的日趨龐大��,通訊線路也越來越長��,在這一條件下網(wǎng)絡的安全問題及脆弱性逐漸增大���。尤其是隨著網(wǎng)絡客戶數(shù)量的不斷提升����,網(wǎng)絡所受的安全性威脅也越來越大��,具體主要體現(xiàn)在以下兩個方面:
1.1.1 網(wǎng)絡結構難以控制
網(wǎng)絡規(guī)模的不斷擴張必然會導致網(wǎng)絡結構出現(xiàn)較大變化���,如果網(wǎng)絡管理者不能及時發(fā)現(xiàn)和處理這一問題�����,很容易出現(xiàn)因網(wǎng)絡配置不當而導致網(wǎng)絡性能下降等問題的出現(xiàn)�,嚴重時甚至會導致網(wǎng)絡安全出現(xiàn)重大的安全隱患���,給電子政務網(wǎng)絡帶來較大的經(jīng)濟損失��,因此網(wǎng)絡管理這必須要將網(wǎng)絡規(guī)模與網(wǎng)絡結構的優(yōu)化納入到網(wǎng)絡安全總體規(guī)劃及管理當中去�����。
1.1.2 網(wǎng)絡漏洞無法掌握
一般而言�,絕大多數(shù)網(wǎng)絡攻擊都是基于系統(tǒng)漏洞為基礎的���。電子政務網(wǎng)絡規(guī)模龐大�����、系統(tǒng)多樣�����、設備種類繁多�����,因此單靠網(wǎng)絡管理者的能力很難建立一套完善的網(wǎng)絡安全防護系統(tǒng)��,加上近年來網(wǎng)絡黑客技術水平的不斷提升����,電子政務網(wǎng)絡的安全問題愈演愈烈����。
1.2 信息與資源相關的安全威脅
在信息與資源相關的安全威脅中,非授權訪問是其中的一個重要組成部分����。我們所說的非授權訪問,即未獲得許可便瀏覽計算機資源或進入網(wǎng)絡����,比如刻意避開系統(tǒng)訪問控制機制對網(wǎng)絡資源及網(wǎng)絡設備展開非正常使用��。一般非授權訪問主要有以下幾種方式���,分別為非法用戶進入網(wǎng)絡系統(tǒng)、非法操作���、合法用戶越權操作�����、假冒身份攻擊等����。此外��,還包括信息泄漏或丟失��。通常信息泄露��、信息丟失主要是指部分系統(tǒng)數(shù)據(jù)在人為前提下有意或無意被泄露�、丟失的問題。往往包括信息傳輸過程中泄露或丟失���、搭線竊聽截獲信息��、探測用戶口令���、賬號等有用信息、建立隱蔽隧道竊取信息�����、存儲介質丟失信息等����。
1.3 內(nèi)、外網(wǎng)數(shù)據(jù)交換安全
由于外網(wǎng)同Internet保持連接�,因此內(nèi)外網(wǎng)在交換數(shù)據(jù)的過程中或多或少的對內(nèi)網(wǎng)產(chǎn)生了一定威脅,這種威脅主要體現(xiàn)在以下幾點:木馬程序竊取關鍵信息數(shù)據(jù)���、計算機病毒����、何可攻擊���、垃圾郵件等����。此外,在電子政務內(nèi)部網(wǎng)絡當中同樣也要注意內(nèi)部工作人員或黑客對系統(tǒng)發(fā)起的攻擊行為��,據(jù)相關權威部門的評測報告限制�,一般對系統(tǒng)產(chǎn)生威脅的80%攻擊行為均來自于系統(tǒng)內(nèi)部。同外部攻擊行為相區(qū)別的是�����,系統(tǒng)內(nèi)部攻擊主要是因黑客或內(nèi)部工作人員對系統(tǒng)�、操作系統(tǒng)內(nèi)容而發(fā)起的對系統(tǒng)本身的攻擊等。
2 網(wǎng)絡運行維護管理的解決對策
2.1 建立起基礎安全服務設施
要想實現(xiàn)網(wǎng)絡安全就必須要有一個良好的安全服務基礎作為保障�����,進而保證整個電子政務網(wǎng)絡的安全�����、高效運行�����。基礎安全服務設施的作用主要為電子政務網(wǎng)絡創(chuàng)設出良好的網(wǎng)絡環(huán)境����,即相互信任,進而為安全技術的應用與科學決策提供依據(jù)����。但需要注意的是�,基礎安全服務設施的搭建必須要有可信的身份。系統(tǒng)內(nèi)設的安全措施通常會根據(jù)用戶身份來決定是否通過驗證與執(zhí)行用戶所提出的訪問要求��,因此用戶身份是否可信便成為了基礎安全策略最為核心的問題���。實際上����,可信的身份服務即為驗證提供正確的用戶身份信息���,如果驗證無法通過�,那么系統(tǒng)防火墻便會根據(jù)假的用戶身份來做出錯誤判斷而不予服務����。
2.2 設置安全技術支撐平臺
解決了電子政務網(wǎng)絡中的信任問題后便能夠在可信任的環(huán)境下對現(xiàn)有安全產(chǎn)品與技術實施既定的安全策略,其中包括訪問控制、通訊加密���、漏洞檢查�����、物理安全與黑客入侵檢測等����。正式上述這些策略的執(zhí)行為整個電子政務網(wǎng)絡建立起了一個較為真實的安全策略環(huán)境����,這對于低于網(wǎng)絡攻擊、預防信息破壞��、控制用戶權限及防止泄密有著極為重要的作用��?;诎踩珝u實現(xiàn)網(wǎng)內(nèi)系統(tǒng),限制他人進入內(nèi)部網(wǎng)絡系統(tǒng)����,過濾非法使用用戶和不安全服務。特殊點的訪問嚴格把關����,限制非法分子訪問特殊點����。將見識網(wǎng)絡安全和預警提到重要主義方面��,為這兩方面的實施提供方便���。充分利用資源���,防止資源的濫用���,倡導可持續(xù)性利用���。
2.3 合理運用防火墻技術
在計算機網(wǎng)絡安全中的應用防火墻技術是保證網(wǎng)絡安全的重要手段。是網(wǎng)絡通信時執(zhí)行的一種控制訪問限度的一種手段�。其主要目的是迫使所有網(wǎng)絡的連接都接受檢驗,控制出入的一種網(wǎng)絡上的限制�。防止安全的網(wǎng)絡環(huán)節(jié)遭到外界因素的破壞和干擾。在正常的邏輯思維當中��,防火墻實際上是發(fā)揮了一個分離器或者是限制器的作用�����,甚至起到了分析器的作用。這樣能夠充分的將內(nèi)部網(wǎng)絡和公共網(wǎng)絡之間的任何活動實施監(jiān)控�����,保證了內(nèi)部網(wǎng)絡的安全����。計算機防火墻技術,他能允許將你“同意”進來的人進入你的網(wǎng)絡��,拒絕不同意的人�。“包過濾”技術是防火墻技術的一種重要方式����。而要實施“包過濾” 的標準就是根據(jù)安全策略制定的。訪問控制的標準就是:包的源地址和連接請求方向�。硬件的包過濾技術之外還可以通過服務器軟件來實現(xiàn)。
3 結語
一般來說�����,對于電子政務網(wǎng)絡這一種涉及審批��、執(zhí)行、政策制定的應用而言���,系統(tǒng)內(nèi)文件應都具有可信度較高的時間戳����,因此電子政務網(wǎng)絡安全的保障也要對這一方面加以重視����,這對于區(qū)分政府工作間的重要工作c責任認定具有非常重要的作用。因此����,為了能夠更好的提高電子政務網(wǎng)絡的安全性與穩(wěn)定性,我們就必須要充分重視其在網(wǎng)絡運行維護管理中的問題�����,并采取有效措施來對其加以解決��。
參考文獻
[1]廖堅強����,李明生.電信業(yè)重組后益陽聯(lián)通運行維護管理模式研究[J].企業(yè)家天地(下旬刊)��,2011(11):68.
篇3
引言
所謂稅務電子政務是指稅務部門運用現(xiàn)代電腦和網(wǎng)絡技術,將其承擔的稅務管理和服務職能轉移到網(wǎng)絡上進行�,同時實現(xiàn)稅務部門組織結構和工作流程的重組優(yōu)化,超越時間��、空間和部門分隔的制約���,向社會和納稅人提供高效優(yōu)質��、規(guī)范透明和全方位的管理與服務��。稅務電子政務的實施使得稅務部門事務變得公開�、高效���、透明�����、廉潔和信息共享�,與此同時�����,也使得政務信息系統(tǒng)安全問題更加突出和嚴重���,影響稅務電子政務信息系統(tǒng)功能的發(fā)揮����,甚至對稅務部門和納稅人產(chǎn)生危害,嚴重的還將對國家信息安全乃至國家安全產(chǎn)生威脅����。因此,建設稅務電子政務信息系統(tǒng)安全的保障體系是發(fā)展稅務電子政務的關鍵所在�����,具有極其重要的意義���。
1稅務電子政務系統(tǒng)安全體系概述
稅務電子政務系統(tǒng)安全體系方面的研究始終是學術界研究重點和稅務部門���、企業(yè)界廣泛關注的焦點之一,已經(jīng)出現(xiàn)了較多的研究成果和實踐案例���,比如將稅務電子政務安全相關標準分成信息安全總體標準、密碼算法����、密碼管理標準��、防信息泄漏標準��、信息安全產(chǎn)品標準��、系統(tǒng)與網(wǎng)路安全標準��、信息安全評估標準����、信息安全管理標準8個類別���;將稅務電子政務安全體系劃分為“網(wǎng)絡安全政策法規(guī)�、網(wǎng)絡安全組織管理�����、網(wǎng)絡安全標準規(guī)范��、網(wǎng)絡安全服務產(chǎn)業(yè)���、網(wǎng)絡安全技術產(chǎn)品和網(wǎng)絡安全基礎設施”六個組成部分��;將稅務電子政務安全保障體系劃分為安全法規(guī)�、安全管理、安全標準��、安全服務���、安全技術產(chǎn)品和安全基礎設施6大要素��;部分廠商則或者從網(wǎng)絡��、傳輸���、存儲安全以及可靠性、隱秘性���、易維護性等角度構建安全體系����,或者從物理����、網(wǎng)絡、主機���、應用角度設計����;或者從物理隔離���、基礎平臺安全���、應用平臺安全和安全管理四個方面進行總體考慮。
2如何構建完善的稅務電子政務系統(tǒng)安全體系
我們知道���,稅務電子政務系統(tǒng)安全體系是整個稅務電子政務系統(tǒng)安全�、有效�����、高效運行的重要保證�,因此安全體系應切合稅務電子政務系統(tǒng)實際需求,在保證物理安全和網(wǎng)絡安全的基礎上����,充分保證數(shù)據(jù)安全和應用系統(tǒng)安全,同時通過安全制度建設和安全教育培訓實現(xiàn)安全體系有效實施�����,以全面保證稅務電子政務應用系統(tǒng)中各類信息的采集、處理����、管理、傳輸?shù)劝踩M行����,并滿足將來稅務電子政務系統(tǒng)安全方面的擴展需求。下面我們將在闡述稅務電子政務系統(tǒng)安全體系基本構建原則的基礎上�,從物理安全、網(wǎng)絡安全�、數(shù)據(jù)安全、應用系統(tǒng)安全����、安全制度建設、安全教育和培訓等方面對完善的稅務電子政務安全體系進行說明�。
(1)構建電子政務系統(tǒng)安全體系的基本原則
參照我國稅務電子政務建設指導意見并結合稅務電子政務安全體系方面的研究,我認為:構建稅務電子政務系統(tǒng)安全體系應當遵循以下原則:
Ÿ1)全面設計���、整體部署
2)統(tǒng)一標準���,加強管理
Ÿ3)需求主導��,重點突出
Ÿ4)靈活配置�����、動態(tài)部署
5)制度建設、安全培訓
(2)電子政務系統(tǒng)安全體系之物理安全
物理安全是整個稅務電子政務系統(tǒng)安全的前提��,用于保證計算機網(wǎng)絡設備�、設施以及其他媒體免遭地震、水災�����、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞����。稅務電子政務系統(tǒng)安全體系中的物理安全可以分為環(huán)境安全、設備安全和媒體安全��,涉及到稅務電子政務系統(tǒng)應用范圍內(nèi)的各方主體��。其中���,環(huán)境安全是對系統(tǒng)運行環(huán)境的安全保護����,如區(qū)域保護和災難保護等,具體可以參照國家標準GB50173-93�、GB2887-89、GB9361-88等相關要求進行設計�����;設備安全則主要包括存儲�����、傳輸或系統(tǒng)運行所用設備的防盜��、防毀�����、防磁���、防止線路截獲���、抗電磁干擾及電源保護等;媒體安全則包括存儲媒體本身的安全以及媒體中存儲數(shù)據(jù)安全��。
(3)稅務電子政務系統(tǒng)安全體系之網(wǎng)絡安全
稅務電子政務系統(tǒng)安全體系之網(wǎng)絡安全主要分為傳輸網(wǎng)絡安全和業(yè)務網(wǎng)絡安全兩類。對于稅務電子政務系統(tǒng)相關的傳輸網(wǎng)絡����,網(wǎng)絡安全主要是保證參與稅務電子政務系統(tǒng)各方主體之間的數(shù)據(jù)傳輸網(wǎng)絡以及公共網(wǎng)絡服務的安全可靠運行,從目前稅務電子政務建設情況來看��,傳輸網(wǎng)絡安全目前需要由網(wǎng)絡基礎設施提供商或服務商為其安全性提供充分保證�。對于稅務電子政務系統(tǒng)相關的業(yè)務網(wǎng)絡��,網(wǎng)絡安全主要包括控制撥號用戶接入�����、設置防火墻�����、防范病毒���、控制與公網(wǎng)互連���、防范黑客入侵以及就網(wǎng)絡安全進行嚴格監(jiān)控和規(guī)范管理等以保護業(yè)務網(wǎng)絡資源和電子政務應用服務。
1)撥號用戶接入問題:
目前�,我國稅務電子政務系統(tǒng)網(wǎng)絡建設并不完善�����,還存在部分網(wǎng)絡環(huán)境較差的單位��,在使用稅務電子政務系統(tǒng)的時候需要通過撥號方式利用公用電話交換網(wǎng)在網(wǎng)絡上傳輸數(shù)據(jù)���。以該種方式傳輸?shù)臄?shù)據(jù)可能在傳輸過程中被竊聽、被篡改���,因此針對由于使用撥號方式傳輸數(shù)據(jù)所產(chǎn)生的安全隱患��,需要采用撥號用戶身份認證等加強對撥號用戶的安全驗證��,對撥號用戶實現(xiàn)統(tǒng)一管理��,采用加密手段對關鍵數(shù)據(jù)加密后進行傳輸����,防止數(shù)據(jù)泄漏和被非法竊?��?;嚴格限制撥號上網(wǎng)用戶能訪問的系統(tǒng)信息和系統(tǒng)資源��,防止非法用戶撥號進入電子政務系統(tǒng)所在網(wǎng)絡。
2)防火墻設置問題:
在稅務電子政務系統(tǒng)運行所在專網(wǎng)和外網(wǎng)之間�����、不同安全域之間需要根據(jù)需要設置防火墻���,依據(jù)安全政策對出入網(wǎng)絡的信息流進行控制���,有條件地允許、拒絕����、檢測或過濾��。防火墻設置需要綜合考慮電子政務系統(tǒng)所要求的速度��、性能����、管理、便易性和性價比等各個方面�,進行周密設計和總體規(guī)劃;另外應注意加強安全管理���,采取一些必要的措施保證較高的安全性��,比如防火墻要安裝在不同的介質上��,盡量使用不同的服務器提供不同性質的服務�����,對于重要系統(tǒng)的出口應重點配置防火墻���,在實際配置和實施時應該關閉不需要的服務�����,要經(jīng)常檢查防火墻的日志����,發(fā)現(xiàn)異常應該及時處理���,采取多層防御�、冗余防御等多種方法和措施��。
3)關于防病毒問題:
在稅務電子政務系統(tǒng)中,需要基于業(yè)務需求建立多層次病毒防衛(wèi)體系��。無論是B/S還是C/S結構����,均需要在稅務電子政務系統(tǒng)每一個安裝或運行點強調(diào)安裝反病毒軟件,在稅務電子政務系統(tǒng)中的業(yè)務處理終端和服務器端應同時提供對應的防病毒保護措施�。防病毒工作是一個長期的工作,應及時進行防病毒軟件或系統(tǒng)的升級���、換代工作�����。另外除了采用各種防病毒產(chǎn)品以外����,還應建立和實施完善的綜合安全性操作程序�����,該操作程序應包括各種安全措施�����,如定期數(shù)據(jù)備份���、關鍵信息加密保護等���。
4)控制與公網(wǎng)互連的問題:
在稅務電子政務系統(tǒng)中,數(shù)據(jù)傳輸?shù)姆绞揭话惆堎|傳輸���、介質傳輸和網(wǎng)絡傳輸���,因此對于公網(wǎng)傳輸?shù)那闆r應加強安全方面的管理和控制。稅務電子政務系統(tǒng)要求內(nèi)外網(wǎng)物理隔離����,一般可以采用雙穴主機及類似措施,在嚴格控制與公網(wǎng)互連的前提下���,妥善解決公網(wǎng)與專網(wǎng)之間的數(shù)據(jù)傳輸問題����。
5)關于防止黑客問題:
隨著網(wǎng)絡規(guī)模的擴張和信息技術的飛速發(fā)展����,黑客技術也不斷發(fā)展,其攻擊的范圍和層次也不斷擴張。稅務電子政務系統(tǒng)作為我國政府信息化的重要項目(比如金稅工程���、秦稅工程等)也有可能成為某些惡意黑客的攻擊對象���。因此在設計和實施稅務電子政務系統(tǒng)安全體系時,應加強采用入侵檢測技術防范黑客入侵和侵襲���,并在必要的時候采取證據(jù)記錄��、跟蹤恢復����、強制斷開等措施保證業(yè)務網(wǎng)絡的安全��。
6)網(wǎng)絡安全管理和監(jiān)測:
網(wǎng)絡安全管理和監(jiān)測是稅務電子政務系統(tǒng)安全設施和安全機制有效發(fā)揮作用的重要保證����,主要包括安全規(guī)范的制定和實施、各類操作用戶的安全管理����、安全體系的運營監(jiān)控����、應急處理和安全控制等�����。
(4)稅務電子政務系統(tǒng)安全體系之數(shù)據(jù)安全
稅務電子政務系統(tǒng)一般將需要采集��、整理���、處理、傳輸�����、統(tǒng)計�����、分析等所對應的數(shù)據(jù)進行安全分級�,比如有些系統(tǒng)將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和關鍵數(shù)據(jù)三級���,有些系統(tǒng)將數(shù)據(jù)分為自主保護���、審計保護���、標記保護、結構化保護和驗證保護五級等����,然后對于不同級別的數(shù)據(jù)采用不同的安全措施。
根據(jù)數(shù)據(jù)的處理形式不同��,安全體系之數(shù)據(jù)安全可以分為數(shù)據(jù)傳輸安全����、數(shù)據(jù)存儲安全、數(shù)據(jù)庫安全三個方面�����。
(5)稅務電子政務系統(tǒng)安全體系之應用系統(tǒng)安全
稅務電子政務系統(tǒng)安全體系之應用系統(tǒng)安全主要包括用戶身份認證���、訪問控制�����、安全審計及日志�����、安全技術及應用四個部分�����。
1)用戶身份認證
這里的用戶是一個比較寬泛的概念��,不僅包括使用稅務電子政務系統(tǒng)的政務工作者(人)��,還包括訪問或者使用稅務電子政務系統(tǒng)的其他系統(tǒng)或者主機����、服務器等(系統(tǒng)��、計算機)��。
用戶身份認證根據(jù)稅務電子政務系統(tǒng)是否部署認證中心CA可以劃分為如下兩種情形:當稅務電子政務系統(tǒng)中沒有部署認證中心CA時��,一般采用用戶名稱����、密碼、附加驗證碼的形式進行用戶身份認證�。只有稅務電子政務系統(tǒng)的數(shù)據(jù)庫中保存了該用戶的記錄,并且該用戶具有合法訪問當前稅務電子政務系統(tǒng)的權限���,用戶才能夠登錄當前稅務電子政務系統(tǒng)���。如果稅務電子政務系統(tǒng)部署了認證中心CA����,那么一般CA是在全系統(tǒng)部署并發(fā)揮作用的����,每個稅務電子政務系統(tǒng)用戶首先向CA申請數(shù)字證書并以此作為用戶參與稅務電子政務系統(tǒng)的合法身份。超級秘書網(wǎng)
用戶身份認證一般發(fā)生于用戶登錄稅務電子政務系統(tǒng)時或者不同稅務電子政務系統(tǒng)之間傳遞數(shù)據(jù)時的情況���。在用戶登錄稅務電子政務系統(tǒng)時��,需要對登錄用戶持有的數(shù)字證書進行認證���,以保證只有合法持有有效數(shù)字證書的用戶才能夠登錄稅務電子政務系統(tǒng),同時還需要進行安全審計和記錄系統(tǒng)安全日志�����。
2)訪問控制
在稅務電子政務系統(tǒng)中����,需要指定各個應用層次中的每一個用戶所能夠訪問的業(yè)務資源和系統(tǒng)資源��,也即訪問控制和權限分配策略�。
這里的權限不但包括用戶能否訪問的業(yè)務范圍����、業(yè)務數(shù)據(jù)��、數(shù)據(jù)的訪問方式���、操作類型等����,還包括稅務電子政務系統(tǒng)相關的系統(tǒng)資源��,包括打印���、郵件等���。
3)安全技術及應用
根據(jù)安全級別的劃分,可以采用包括數(shù)據(jù)加密與解密�、數(shù)據(jù)摘要及驗證、數(shù)字簽名及驗證��、時間戳加蓋及驗證等在內(nèi)的安全技術保證系統(tǒng)的安全性、完整性和不可否認性�。
(6)稅務電子政務系統(tǒng)安全體系之安全制度建設
稅務電子政務系統(tǒng)安全體系要真正發(fā)揮作用,還需要制定安全制度并嚴格實施���。一般的�����,安全制度包括人員安全管理�、系統(tǒng)文檔管理�����、環(huán)境安全管理����、設備購置使用、系統(tǒng)開發(fā)管理���、運營安全管理����、應急情況處理等內(nèi)容。
(7)稅務電子政務系統(tǒng)安全體系之安全教育和培訓
稅務電子政務系統(tǒng)中���,用戶安全意識及其掌握的安全知識是整個安全體系高效���、有效運行和正常維護的重要因素之一,因此在電子政務系統(tǒng)的設計��、研發(fā)�����、實施�����、運維���、服務的過程中,應建立完善的安全教育和培訓體系��,以定期或不定期對電子政務系統(tǒng)涉及的各類用戶進行安全相關的教育和培訓����。
綜上所述,建立全方位、多層次的���、完善的稅務電子政務系統(tǒng)安全體系��,應從物理安全�、網(wǎng)絡安全���、數(shù)據(jù)安全�、應用系統(tǒng)安全��、安全制度建設���、安全教育培訓六個方面進行全面��、細致規(guī)劃和周密�、整體部署��。另外�,在構建稅務電子政務系統(tǒng)安全體系的同時,還需要注意切合稅務電子政務系統(tǒng)實際進行設計��,安全思路清晰�、安全體系全面、安全重點突出等相關問題。
參考文獻:
篇4
在通信領域�����,信息安全尤為重要�,它是通信安全的重要環(huán)節(jié)。在通信組織運作時���,信息安全是維護通信安全的重要內(nèi)容���。通信涉及到我們生活的許多方面,小到人與人之間聯(lián)系的紐帶����,大到國與國之間的信息交流�。因此,研究信息安全和防護具有重要的現(xiàn)實意義�。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知�����,未來的社會是信息化的社會��,網(wǎng)絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點��,如果信息安全防護工作跟不上���,一個國家可能面臨信息被竊���、網(wǎng)絡被毀、指揮系統(tǒng)癱瘓���、制信息權喪失的嚴重后果����。因此��,信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障����,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程�����。一旦信息安全出現(xiàn)問題��,可能導致整個國家的經(jīng)濟癱瘓,戰(zhàn)爭和軍事領域是這樣�����,政治�����、經(jīng)濟��、文化����、科技等領域也不例外。信息安全關系到國家的生死存亡����,關系到世界的安定和平。比如���,美國加利弗尼亞州銀行協(xié)會的曾經(jīng)發(fā)出一份報告,稱如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡“黑客”的破壞����,造成的后果將是致命的�����,3天就會影響加州的經(jīng)濟���,5天就能波及全美經(jīng)濟,7天會使全世界經(jīng)濟遭受損失����。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調(diào):執(zhí)行國家安全政策時把信息安全放在重要位置��。俄羅斯于2000年通過的《國家信息安全學說》�,第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護�。近年來,我國也越來越重視信息安全問題���,相關的研究層出不窮��,為我國信息安全的發(fā)展奠定了基礎���。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現(xiàn)在軍事信息安全上�����,同時也涉及到政治、經(jīng)濟���、文化等各方面�。當今社會�,由于國家活動對信息和信息網(wǎng)絡的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞����,就可能導致整個國家能源供應的中斷、經(jīng)濟活動的癱瘓���、國防力量的削弱和社會秩序的混亂�����,其后果不堪設想�。由于我國信息化起步較晚����,目前信息化系統(tǒng)大多數(shù)還處在“不設防’�,的狀態(tài)下�����,國防信息安全的形勢十分嚴峻��。具體體現(xiàn)在以卜幾個方面:首先����,全社會對信息安全的認識還比較模糊����。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足�����,信息安全觀念還十分淡薄��。因此�,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應用系統(tǒng)處在不設防狀態(tài)�����,具有極大的風險性和危險性��。其次,我國的信息化系統(tǒng)還嚴重依賴大量的信息技術及設備極有可能對我國信息系統(tǒng)埋下不安全的隱患����。無論是在計算機硬件上,還是在計算機軟件上�����,我國信息化系統(tǒng)的國產(chǎn)率還較低����,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造��。再次��,在軍事領域�,通過網(wǎng)絡泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大��。最后�,我國國家信息安全防護管理機構缺乏權威,協(xié)調(diào)不夠��,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割��、相互隔離�,管理混亂�����,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃����,妨礙了信息安全管理的方針、原則和國家有關法規(guī)的貫徹執(zhí)行����。
二、通信中存在的信息安全問題
2.1信息網(wǎng)絡安全意識有待加強
我國的信息在傳輸?shù)倪^程中���,特別是軍事信息�,由于存在擴散和較為敏感的特征�����,有的人利用了這一特點采取種種手段截獲信息��,以便了解和掌握對方的新措施。更有甚者���,在信息網(wǎng)絡運行管理和使用中�,更多的是考慮效益����、速度和便捷。而把安全����、保密等置之度外。因此���,我們更要深層次地加強網(wǎng)絡安全方面的觀念�����,認識到信息安全防護工作不僅僅是操作人員的“專利”����,它更需要所有相關人員來共同防護����。
2.2信息網(wǎng)絡安全核心技術貧乏
目前�����,我國在信息安全技術領域自主知識產(chǎn)權產(chǎn)品少采用的基礎硬件操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件大部分依賴國外產(chǎn)品�。有些設備更是拿來就用��,忽略了一定的安全隱患��。技術上的落后���,使得設備受制于人。因此�,我們要加大對信息網(wǎng)絡安全關鍵技術的研發(fā),避免出現(xiàn)信息泄露的“后門”�。
2.3信息網(wǎng)絡安全防護體系不完善
防護體系是系統(tǒng)頂層設計的一個重要組成部分,是保證各系統(tǒng)之間可集成���、可互操作的關鍵��。以前信息網(wǎng)絡安全防護主要是進行一對一的攻防�����,技術單一?�,F(xiàn)代化的信息網(wǎng)絡安全防護體系已經(jīng)成為一個規(guī)模龐大�����、技術復雜���、獨具特色的重要信息子系統(tǒng)��,并擔負著網(wǎng)絡攻防對抗的重任����。因此��,現(xiàn)代化信息網(wǎng)絡安全防護體系的建立應具有多效地安全防護機制����、安全防護服務和相應的安全防護管理措施等內(nèi)容。
2.4信息網(wǎng)絡安全管理人才缺乏
高級系統(tǒng)管理人才缺乏����,已成為影響我軍信息網(wǎng)絡安全防護的因素之一。信息網(wǎng)絡安全管理人才不僅要精通計算機網(wǎng)絡技術�����,還要熟悉安全技術。既要具有豐富的網(wǎng)絡工程建設經(jīng)驗����,又要具備管理知識。顯然�,加大信息安全人才的培養(yǎng)任重而道遠。
三�����、通信組織運用中的網(wǎng)絡安全防護
網(wǎng)絡安全是通信系統(tǒng)安全的重要環(huán)節(jié)�。保障通信組織的安全主要是保障網(wǎng)絡安全����。網(wǎng)絡安全備受關注,如何防范病毒入侵���、保護信息安全是人們關心的問題�,筆者總結了幾點常用的防范措施����,遵循這些措施可以降低風險發(fā)生的概率,進而降低通信組織中信息安全事故發(fā)生的概率����。
3.1數(shù)據(jù)備份
對重要信息資料要及時備份���,或預存影像資料,保證資料的安全和完整�����。設置口令��,定期更換�����,以防止人為因素導致重要資料的泄露和丟失��。利用鏡像技術����,在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作,當其中一個系統(tǒng)故障時����,另一個系統(tǒng)仍然能正常工作。加密對網(wǎng)絡通信加密���,以防止網(wǎng)絡被竊聽和截取�,尤其是絕密文件更要加密處理,并定期更換密碼�����。另外���,文件廢棄處理時對重要文件粉碎處理�,并確保文件不可識別���。
3.2防治病毒
保障信息系統(tǒng)安全的另一個重要措施是病毒防治����。安裝殺毒軟件���,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性��,保證在使用前對軟盤進行病毒檢查���,殺毒軟件應及時更新版本�。一旦發(fā)現(xiàn)正在流行的病毒,要及時采取相應的措施��,保障信息資料的安全���。
3.3提高物理安全
物理安全是保障網(wǎng)絡和信息系統(tǒng)安全的基本保障�����,機房的安全尤為重要��,要嚴格監(jiān)管機房人員的出入���,堅決執(zhí)行出入管理制度,對機房工作人員要嚴格審查�,做到專人專職、專職專責����。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全���,例如用高強度電纜在計算機的機箱穿過�。但是�����,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作����。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序�����,不要給入侵者以可乘之機��。一旦系統(tǒng)存在安全漏洞�,將會迅速傳播,若不及時修正��,可能導致無法預料的結果���。為了保障系統(tǒng)的安全運行,可以及時關注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明��,根據(jù)其附有的解決方法�����,及時安裝補丁軟件。用戶可以經(jīng)常訪問這些站點以獲取有用的信息�。
3.5構筑防火墻
構筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗豐富的專業(yè)技術人員設置的��,能阻止一般性病毒入侵系統(tǒng)�����。防火墻的不足之處是很難防止來自內(nèi)部的攻擊����,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬�����。
四��、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰(zhàn)���,我們有必要從以下幾個方面著手��,加強國防信息安全建設���。
4.1要加強宣傳教育�,切實增強全民的國防信息安全意識
在全社會范圍內(nèi)普及信息安全知識�����,樹立敵情觀念��、紀律觀念和法制觀念����,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境����。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經(jīng)常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié)����,采取各種措施,把這項工作做好�����;另一方面要結合工作實際�,進行以安全防護知識、理論�����、技術以及有關法規(guī)為內(nèi)容的自我學習和教育�。
4.2要建立完備的信息安全法律法規(guī)
信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來�����,我國先后制定和頒布了《關于維護互聯(lián)網(wǎng)安全的決定》�����、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》����、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》�����、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》����、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》���、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看�����,我國信息安全法規(guī)建設尚處在起步階段���,層次不高�,具備完整性��、適用性和針對性的信息安全法律體系尚未完全形成����。因此,我們應當加快信息安全有關法律法規(guī)的研究�,及早建立我國信息安全法律法規(guī)體系。
4.3要加強信息管理
要成立國家信息安全機構����,研究確立國家信息安全的重大決策,制定和國家信息安全政策����。在此基礎上����,成立地方各部門的信息安全管理機構�,建立相應的信息安全管理制度�����,對其所屬地區(qū)和部門內(nèi)的信息安全實行統(tǒng)一管理��。
4.4要加強信息安全技術開發(fā)��,提高信息安全防護技術水平
沒有先進��、有效的信息安全技術����,國家信息安全就是一句空話。因此��,我們必須借鑒國外先進技術��,自主進行信息安全關鍵技術的研發(fā)和運用�����。大力發(fā)展防火墻技術,開發(fā)出高度安全性���、高度透明性和高度網(wǎng)絡化的國產(chǎn)自主知識產(chǎn)權的防火墻���。積極發(fā)展計算機網(wǎng)絡病毒防治技術,加強計算機網(wǎng)絡安全管理���,為保護國家信息安全打卜一個良好的基礎��。
4.5加強計算機系統(tǒng)網(wǎng)絡風險的防范加強網(wǎng)絡安全防范是風險防范的重要環(huán)節(jié)
首先�,可以采取更新技術��、更新設備的方式�����。并且要加強工作人員風險意識�����,加大網(wǎng)絡安全教育的投入�����。其次,重要數(shù)據(jù)和信息要及時備份��,也可采用影像技術提高資料的完整性�����。第三�����,及時更新殺毒軟件版本�,殺毒軟件可將部分病毒拒之門外�����,殺毒軟件更新提高了防御病毒攻擊的能力�。第五,對重要信息采取加密技術����,密碼設置應包含數(shù)字、字母和其他字符��。加密處理可以防止內(nèi)部信息在網(wǎng)絡上被非授權用戶攔截���。第六��,嚴格執(zhí)行權限控制�,做好信息安全管理工作。“三分技術����,七分管理”,可見信息安全管理在預防風險時的重要性�,只有加強監(jiān)管和管理,才能使信息安全更上一個臺階��。
4.6建立和完善計算機系統(tǒng)風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎��,是進行信息安全管理和防護的標準��。首先�,要高度重視安全問題。隨著信息技術的發(fā)展��,攻擊者的攻擊手段也在不斷進化����,面對高智商的入侵者,我們必須不惜投入大量人力、物力�����、財力來研究和防范風險�����。在研究安全技術和防范風險的策略時��,可以借鑒國外相關研究���,尤其是一些發(fā)達國家,他們信息技術起步早�����,風險評估研究也很成熟���,我們可以借鑒他們的管理措施��,結合我們的實際����,應用到風險防范中���,形成風險管理制度����,嚴格執(zhí)行。
篇5
但是�����,在世界范圍內(nèi)�,黑客活動越來越猖狂,黑客攻擊者無孔不入����,對信息系統(tǒng)的安全造成了很大的威脅,對社會造成了嚴重的危害���。除此之外�,互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加��,這就給黑客更多的學習攻擊的信息���,在黑客網(wǎng)站上�,學習黑客技術、獲得黑客攻擊工具變得輕而易舉�����,更是加大了對互聯(lián)網(wǎng)的威脅��。如何才能保障信息系統(tǒng)的信息安全�����,怎樣才能確保網(wǎng)絡信息的安全性�,尤其是網(wǎng)絡上重要的數(shù)據(jù)的安全性。
在通信領域����,信息安全尤為重要,它是通信安全的重要環(huán)節(jié)����。在通信組織運作時�����,信息安全是維護通信安全的重要內(nèi)容��。通信涉及到我們生活的許多方面,小到人與人之間聯(lián)系的紐帶��,大到國與國之間的信息交流�����。因此�,研究信息安全和防護具有重要的現(xiàn)實意義。
一��、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知���,未來的社會是信息化的社會�����,網(wǎng)絡空間的爭奪尤其激烈����。信息化成為國家之間競爭的焦點��,如果信息安全防護工作跟不上����,一個國家可能面臨信息被竊����、網(wǎng)絡被毀��、指揮系統(tǒng)癱瘓��、制信息權喪失的嚴重后果�。因此,信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障����,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程�����。一旦信息安全出現(xiàn)問題�����,可能導致整個國家的經(jīng)濟癱瘓��,戰(zhàn)爭和軍事領域是這樣�,政治����、經(jīng)濟��、文化����、科技等領域也不例外�。信息安全關系到國家的生死存亡,關系到世界的安定和平���。比如����,美國加利弗尼亞州銀行協(xié)會的曾經(jīng)發(fā)出一份報告��,稱如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡“黑客”的破壞�����,造成的后果將是致命的���,3天就會影響加州的經(jīng)濟�,5天就能波及全美經(jīng)濟�����,7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要����,美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調(diào):執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》���,第一次把信息安全擺在戰(zhàn)略地位�����。并從理論和時間中加強信息安全的防護��。近年來��,我國也越來越重視信息安全問題����,相關的研究層出不窮����,為我國信息安全的發(fā)展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分��,它不僅體現(xiàn)在軍事信息安全上�����,同時也涉及到政治���、經(jīng)濟���、文化等各方面。當今社會���,由于國家活動對信息和信息網(wǎng)絡的依賴性越來越大�����,所以一旦信息系統(tǒng)遭到破壞�,就可能導致整個國家能源供應的中斷��、經(jīng)濟活動的癱瘓���、國防力量的削弱和社會秩序的混亂���,其后果不堪設想�����。由于我國信息化起步較晚���,目前信息化系統(tǒng)大多數(shù)還處在“不設防’,的狀態(tài)下�,國防信息安全的形勢十分嚴峻。具體體現(xiàn)在以卜幾個方面:首先����,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解����,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄��。因此���,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視���,許多應用系統(tǒng)處在不設防狀態(tài),具有極大的風險性和危險性。其次���,我國的信息化系統(tǒng)還嚴重依賴大量的信息技術及設備極有可能對我國信息系統(tǒng)埋下不安全的隱患����。無論是在計算機硬件上��,還是在計算機軟件上�,我國信息化系統(tǒng)的國產(chǎn)率還較低���,而在引進國外技術和設備的過程中���,又缺乏必要的信息安全檢測和改造。再次����,在軍事領域,通過網(wǎng)絡泄密的事故屢有發(fā)生��,敵對勢力“黑客”攻擊對我軍事信息安全危害極大��。最后�,我國國家信息安全防護管理機構缺乏權威,協(xié)調(diào)不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力�����。各信息系統(tǒng)條塊分割��、相互隔離�,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃���,妨礙了信息安全管理的方針�、原則和國家有關法規(guī)的貫徹執(zhí)行����。
二、通信中存在的信息安全問題
2.1信息網(wǎng)絡安全意識有待加強
我國的信息在傳輸?shù)倪^程中�����,特別是軍事信息�,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息��,以便了解和掌握對方的新措施�。更有甚者,在信息網(wǎng)絡運行管理和使用中,更多的是考慮效益�、速度和便捷。而把安全�、保密等置之度外。因此�����,我們更要深層次地加強網(wǎng)絡安全方面的觀念���,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護����。
2.2信息網(wǎng)絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產(chǎn)權產(chǎn)品少采用的基礎硬件操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件大部分依賴國外產(chǎn)品���。有些設備更是拿來就用�,忽略了一定的安全隱患�����。技術上的落后�,使得設備受制于人。因此,我們要加大對信息網(wǎng)絡安全關鍵技術的研發(fā)�����,避免出現(xiàn)信息泄露的“后門”��。
2.3信息網(wǎng)絡安全防護體系不完善
防護體系是系統(tǒng)頂層設計的一個重要組成部分����,是保證各系統(tǒng)之間可集成、可互操作的關鍵��。以前信息網(wǎng)絡安全防護主要是進行一對一的攻防��,技術單一?�,F(xiàn)代化的信息網(wǎng)絡安全防護體系已經(jīng)成為一個規(guī)模龐大�����、技術復雜�、獨具特色的重要信息子系統(tǒng),并擔負著網(wǎng)絡攻防對抗的重任��。因此�,現(xiàn)代化信息網(wǎng)絡安全防護體系的建立應具有多效地安全防護機制�、安全防護服務和相應的安全防護管理措施等內(nèi)容����。
2.4信息網(wǎng)絡安全管理人才缺乏
高級系統(tǒng)管理人才缺乏,已成為影響我軍信息網(wǎng)絡安全防護的因素之一��。信息網(wǎng)絡安全管理人才不僅要精通計算機網(wǎng)絡技術����,還要熟悉安全技術。既要具有豐富的網(wǎng)絡工程建設經(jīng)驗��,又要具備管理知識��。顯然�����,加大信息安全人才的培養(yǎng)任重而道遠�����。
三�����、通信組織運用中的網(wǎng)絡安全防護
網(wǎng)絡安全是通信系統(tǒng)安全的重要環(huán)節(jié)����。保障通信組織的安全主要是保障網(wǎng)絡安全。網(wǎng)絡安全備受關注����,如何防范病毒入侵、保護信息安全是人們關心的問題��,筆者總結了幾點常用的防范措施��,遵循這些措施可以降低風險發(fā)生的概率����,進而降低通信組織中信息安全事故發(fā)生的概率。
3.1數(shù)據(jù)備份
對重要信息資料要及時備份�,或預存影像資料,保證資料的安全和完整��。設置口令�,定期更換,以防止人為因素導致重要資料的泄露和丟失���。利用鏡像技術����,在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作,當其中一個系統(tǒng)故障時�,另一個系統(tǒng)仍然能正常工作。加密對網(wǎng)絡通信加密�,以防止網(wǎng)絡被竊聽和截取,尤其是絕密文件更要加密處理��,并定期更換密碼�。另外,文件廢棄處理時對重要文件粉碎處理���,并確保文件不可識別����。
3.2防治病毒
保障信息系統(tǒng)安全的另一個重要措施是病毒防治���。安裝殺毒軟件,定期檢查病毒�����。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性����,保證在使用前對軟盤進行病毒檢查�����,殺毒軟件應及時更新版本�����。一旦發(fā)現(xiàn)正在流行的病毒���,要及時采取相應的措施,保障信息資料的安全����。
3.3提高物理安全
物理安全是保障網(wǎng)絡和信息系統(tǒng)安全的基本保障,機房的安全尤為重要�����,要嚴格監(jiān)管機房人員的出入�,堅決執(zhí)行出入管理制度,對機房工作人員要嚴格審查�����,做到專人專職、專職專責�����。另外�����,可以在機房安裝許多裝置以確保計算機和計算機設備的安全����,例如用高強度電纜在計算機的機箱穿過。但是�,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作����。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序�����,不要給入侵者以可乘之機�����。一旦系統(tǒng)存在安全漏洞�,將會迅速傳播,若不及時修正���,可能導致無法預料的結果���。為了保障系統(tǒng)的安全運行,可以及時關注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明�����,根據(jù)其附有的解決方法�����,及時安裝補丁軟件�����。用戶可以經(jīng)常訪問這些站點以獲取有用的信息�。
3.5構筑防火墻
構筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗豐富的專業(yè)技術人員設置的���,能阻止一般性病毒入侵系統(tǒng)���。防火墻的不足之處是很難防止來自內(nèi)部的攻擊�����,也不能阻止惡意代碼的入侵��,如病毒和特洛伊木馬�。
四�、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰(zhàn),我們有必要從以下幾個方面著手�,加強國防信息安全建設。
4.1要加強宣傳教育����,切實增強全民的國防信息安全意識
在全社會范圍內(nèi)普及信息安全知識,樹立敵情觀念�����、紀律觀念和法制觀念�,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境����。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經(jīng)常分析新形勢卜信息安全工作形勢�,自覺針對存在的薄弱環(huán)節(jié)�,采取各種措施�,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識��、理論��、技術以及有關法規(guī)為內(nèi)容的自我學習和教育����。
4.2要建立完備的信息安全法律法規(guī)
信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來�����,我國先后制定和頒布了《關于維護互聯(lián)網(wǎng)安全的決定》�����、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》�、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》���、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》�、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)�,但從整體上看,我國信息安全法規(guī)建設尚處在起步階段�,層次不高,具備完整性���、適用性和針對性的信息安全法律體系尚未完全形成�。因此���,我們應當加快信息安全有關法律法規(guī)的研究�,及早建立我國信息安全法律法規(guī)體系����。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策�����,制定和國家信息安全政策���。在此基礎上�����,成立地方各部門的信息安全管理機構��,建立相應的信息安全管理制度����,對其所屬地區(qū)和部門內(nèi)的信息安全實行統(tǒng)一管理���。
4.4要加強信息安全技術開發(fā)����,提高信息安全防護技術水平
沒有先進���、有效的信息安全技術�����,國家信息安全就是一句空話��。因此���,我們必須借鑒國外先進技術��,自主進行信息安全關鍵技術的研發(fā)和運用��。大力發(fā)展防火墻技術���,開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡化的國產(chǎn)自主知識產(chǎn)權的防火墻���。積極發(fā)展計算機網(wǎng)絡病毒防治技術��,加強計算機網(wǎng)絡安全管理�����,為保護國家信息安全打卜一個良好的基礎�。
4.5加強計算機系統(tǒng)網(wǎng)絡風險的防范加強網(wǎng)絡安全防范是風險防范的重要環(huán)節(jié)
首先�����,可以采取更新技術�����、更新設備的方式��。并且要加強工作人員風險意識,加大網(wǎng)絡安全教育的投入�����。其次��,重要數(shù)據(jù)和信息要及時備份�����,也可采用影像技術提高資料的完整性���。第三,及時更新殺毒軟件版本����,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力��。第五����,對重要信息采取加密技術,密碼設置應包含數(shù)字�����、字母和其他字符。加密處理可以防止內(nèi)部信息在網(wǎng)絡上被非授權用戶攔截�。第六,嚴格執(zhí)行權限控制����,做好信息安全管理工作。“三分技術���,七分管理”�,可見信息安全管理在預防風險時的重要性�,只有加強監(jiān)管和管理,才能使信息安全更上一個臺階�。
4.6建立和完善計算機系統(tǒng)風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準����。首先,要高度重視安全問題���。隨著信息技術的發(fā)展�,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者��,我們必須不惜投入大量人力���、物力�����、財力來研究和防范風險���。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究����,尤其是一些發(fā)達國家,他們信息技術起步早����,風險評估研究也很成熟��,我們可以借鑒他們的管理措施�,結合我們的實際,應用到風險防范中����,形成風險管理制度��,嚴格執(zhí)行���。
篇6
楊浦區(qū)早在1996年就成立了區(qū)教育信息中心,并將其建成了連接各校園網(wǎng)的門戶站點�,校際共享的教育教學的資料庫,教育行政部門管理的網(wǎng)絡中心���。
全區(qū)中小學信息中心網(wǎng)絡實現(xiàn)24小時開通�,建立了全區(qū)中小學電子郵件系統(tǒng)����,通知、提示��、文件全部網(wǎng)上運行�����,加快了信息的傳遞速度�����,提高了工作效率。分批推進校園網(wǎng)建設�����,實施“校校通”工程�,做到“線路通、資源通���、應用通”�����。
但是��,數(shù)字化技術的大量應用����,也使惡意和非惡意性的侵害和攻擊行為發(fā)生的可能性大大提高���,如何保障信息系統(tǒng)安全、優(yōu)良的運行��,實行高效����、及時的管理?同時維護也成為重點考慮的問題���。
楊浦區(qū)教育信息系統(tǒng)是教育行業(yè)內(nèi)發(fā)展快、基礎架構完善的網(wǎng)絡�,承載著整個區(qū)的網(wǎng)絡教育以及教職員的研究項目的任務。由于網(wǎng)絡系統(tǒng)比較出名����,容易招致黑客的惡意攻擊。
每當攻擊導致網(wǎng)絡出現(xiàn)故障時����,學生將無法完成自己的課堂作業(yè),教職人員無法進行自己的研究項目�,行政管理人員則無法完成日常的管理任務。攻擊也會給網(wǎng)絡小組造成極大的麻煩����,此外,學校還必須投入數(shù)十萬元的資金用于恢復網(wǎng)絡����。
如何尋求新的解決方案給網(wǎng)絡安全再上一道門。那么��,什么樣的門才能實現(xiàn)這個功能呢?防火墻的目標是用于網(wǎng)絡訪問控制,對于黑客使用緩沖區(qū)溢出等應用或攻擊OS弱點無能為力�。
另外,對于通過郵件傳播的蠕蟲病毒�����,防火墻也無法阻擋�����。而且�����,黑客的攻擊都是利用防火墻允許通過的協(xié)議發(fā)起的針對主機漏洞的攻擊���。IDS只能是被動的報警��,有時候還有相當大的漏報和誤報現(xiàn)象發(fā)生�。
最終�,IPS(入侵防護系統(tǒng))吸引了信息中心同事們的注意。他們發(fā)現(xiàn)���,IPS不僅具有IDS的預警功能�����,而且�,還可以在報警的同時�����,截獲惡意的數(shù)據(jù)包����,實現(xiàn)主動防御。
通過對防火墻��、IDS以及IPS等安全工具的優(yōu)劣勢進行比較分析���,楊浦區(qū)教育信息中心的技術人員都覺得IPS是最佳的選擇����,于是����,他們決定引進IPS系統(tǒng)。
通過多家公司的產(chǎn)品測試�,最后決定購買McAfee的設備�。McAfee具有全面的安全產(chǎn)品��,如防病毒���、病毒網(wǎng)關�����、入侵防護以及安全風險管理���。目前主要是解決網(wǎng)絡安全事情,特別是蠕蟲和非法攻擊�����。經(jīng)過嚴格的測試和對比����,最后決定選擇McAfee Intrushield 2600。
McAfee Intmshield 2600可同時以In-Line的方式防護四條鏈路�����,做到對網(wǎng)絡入侵攻擊的實時阻斷�。提供一對千兆端口和三對百兆快速以太網(wǎng)端口�����,吞吐量高達600Mb/s,不僅滿足了楊浦區(qū)教育信息中心的現(xiàn)有網(wǎng)絡需求�,并且為信息中心網(wǎng)絡今后的擴展提供了很大空間。
同時���,可以根據(jù)楊浦區(qū)教育城局域的需求����,在McAfee Intrushield2600上針對VLAN和CIDR設定虛擬IPS����,以做到更進一步的細致防護,確保整個楊浦區(qū)教育城域網(wǎng)網(wǎng)絡的安全�����。
在安全系統(tǒng)中�����,將McAfee Intrushield 2600的一對檢測防護端口以In-Line的方式串接在核心交換機和鏈路負載均衡設備Radware LinkProof之間���,以做到實時的阻斷整個楊浦區(qū)教育城域網(wǎng)內(nèi)網(wǎng)對外網(wǎng)及外網(wǎng)對內(nèi)網(wǎng)的入侵攻擊��。
一對檢測防護端口同樣以In-Line的方式串接在核心交換機和電信MPLSVPN接入之間����,以做到實時的阻斷內(nèi)部網(wǎng)絡中各學校對信息中心應用服務器群的入侵攻擊,有效的保護信息中心的安全�����。
MsAfee IntruShield能夠通過先進的簽名檢測�����、異常檢測以及DoS攻擊檢測來預防各種各樣的攻擊�����,其先進的功能也使楊浦區(qū)教育信息中心的工作人員受益匪淺�。自從部署了McAfee IntruShield以后,楊浦區(qū)教育城域網(wǎng)被攻擊的次數(shù)顯著降低了���。
加油IC卡:防毒也“加油”
文 斌
如今80%的病毒通過電子郵件進行傳播����,那么加油IC卡系統(tǒng)是如何對整個防病毒系統(tǒng)進行集中管理,如何在網(wǎng)關處就將帶病毒的電子郵件掃除門外?
中國石化加油IC卡系統(tǒng)是中國石化集團公司與銀行合作開展的跨系統(tǒng)���、跨地區(qū)的特大型IC卡應用項目��。
IC卡系統(tǒng)通過以現(xiàn)代支付工具IC卡取代傳統(tǒng)的現(xiàn)金���、油票等結算���,實現(xiàn)加油款的電子支付和交易數(shù)據(jù)的自動采集�����,在各級石油公司和加油站建設零售業(yè)務管理信息系統(tǒng)��,以高科技的經(jīng)營管理和服務提高工作效率���、降低經(jīng)營成本,使企業(yè)在市場競爭中處于有利的地位�。
項目的建設不僅為開展油品電子商務業(yè)務奠定基礎,也有利于逐步以加油卡這一現(xiàn)代金融工具替代傳統(tǒng)的現(xiàn)金����、油票結算���,同時采用銀企合作方式建設通用加油卡系統(tǒng),也為國有商業(yè)銀行開辟了新的業(yè)務領域和新的服務市場�。由于中國石化加油IC卡系統(tǒng)需要完成各種交易信息的傳送和處理,因此����,確保系統(tǒng)的安全可靠至關重要。
全方位保護系統(tǒng)
為了全面實現(xiàn)“中國石化加油Ic卡防病毒管理系統(tǒng)”的目標�����,最大限度地防范病毒危害�,在建立“中國石化加油IC卡防病毒管理系統(tǒng)”時,針對網(wǎng)絡構造和應用環(huán)境的實際情況����,采用McAfee Active Virus Defense(AVD)和McAfee安全網(wǎng)關解決方案。
建立全方位的����、統(tǒng)一完整的加油IC卡防病毒系統(tǒng),從桌面客戶端���、服務器�����、群件以及網(wǎng)關上進行全方位�、多層次的整體防護,并通過McAfee AVD的核心產(chǎn)品ePolicy Orchestrator(ePO)對整個防病毒系統(tǒng)進行集中管理����,分級控制,確保保護整個企業(yè)網(wǎng)絡遠離各種病毒攻擊���。
針對桌面客戶端的防病毒產(chǎn)品VirusScan,VirusScan支持多種操作系統(tǒng)�����,從而能夠對最廣大的用戶群提供支持����,同時集成了一些功能強大的輔助技術,可以自動地保護系統(tǒng)免于崩潰和數(shù)據(jù)的意外丟失����。
針對服務器的防病毒產(chǎn)品NetShield,NetShield支持Novell、Win NT�����、Win2000S和NetApp等多種操作系統(tǒng)����,能夠從一個直觀的控制臺保護整個企業(yè)的文件、應用程序和群件服務器����,方便地從本地服務器或工作站監(jiān)測、配置和執(zhí)行遠程服務�。
分別專門針對Lotus Domino和Microsoft Exchange群件環(huán)境的防病毒產(chǎn)品GroupShield for Domino和GroupShield for Exchange。
傳統(tǒng)的反病毒產(chǎn)品并不能對專有數(shù)據(jù)庫內(nèi)部以及群件環(huán)境中使用的通信進行掃 描�,但群件服務器級的病毒防護功能對于企業(yè)防止病毒的擴散是十分重要的。應用了McAfee高級掃描技術的GroupShield能夠有效防止病毒在信息傳遞過程中發(fā)作����,在病毒擴散到網(wǎng)絡其他部分時有效地將其查殺。
VirusScan防范多威脅
VirusScan Enterprise 8.Oi使得用戶和管理員能夠從容應對最常見的潛在惡意軟件程序�����,包括蠕蟲��、間諜軟件以及廣告軟件。
VirusScan Enterprise 8.Oi擴展了對新類型惡意代碼的檢測功能��,這就意味著它能夠為企業(yè)的敏感信息和資產(chǎn)提供更有效�、更強大的保護。該產(chǎn)品在初始配置情況下能夠預防約200多種最具危險性的潛在惡意程序�,用戶還可以按照計劃在潛在惡意程序安全列表中添加新發(fā)現(xiàn)的惡意程序。
網(wǎng)關攔截病毒
電子郵件已經(jīng)成為計算機病毒傳播的主要媒介���,據(jù)統(tǒng)計�����,80%的病毒通過電子郵件進行傳播���。
如果能夠在網(wǎng)關處就開始對電子郵件進行掃描,在病毒進入網(wǎng)絡之前就將其截住��,從而將對關鍵業(yè)務系統(tǒng)可能造成的危害減到最低��。
McAfee安全網(wǎng)關全面集成了軟硬件技術的防病毒硬件設備�。利用McAfee安全網(wǎng)關����,企業(yè)用戶能夠對出入網(wǎng)絡的電子郵件����、HTTP數(shù)據(jù)與FTP數(shù)據(jù)進行掃描以搜尋病毒信號���。一旦偵探到病毒信號���,能夠將其清除、阻止或隔離該信息或數(shù)據(jù)��。
中國石化加油IC卡系統(tǒng)是中國石化集團公司的重要系統(tǒng)�,整個系統(tǒng)的穩(wěn)定性直接影響著業(yè)務的發(fā)展。自從利用McAfee構建起全面防病毒系統(tǒng)后�,整個系統(tǒng)運行穩(wěn)定,實現(xiàn)了全方位的病毒防護�,確保了整個系統(tǒng)免遭病毒的攻擊和危害,保障了業(yè)務的順利發(fā)展���。
SOC建設劍指金融安全
劉 巖
安全管理已經(jīng)被業(yè)界所認可�����,那么如何將這些管理上的制度和規(guī)范落實���,將這些安全管理目標真正用技術手段加以控制?
正如ISO 17799國際標準所強調(diào)的�����,“信息安全是管理的過程�,而不能僅僅考慮技術因素����。”隨著信息技術的發(fā)展��,金融領域的科技工作重點已經(jīng)由網(wǎng)絡建設���、數(shù)據(jù)大集中����、安全基礎設施建設�����,發(fā)展到安全管理的階段�。
那么如何才能更加體系化�、流程化、平臺化的進行信息安全管理系統(tǒng)的建設呢?
從BS7799談起
由英國標準協(xié)會(BSI)在1999年首次提出的BS7799安全管理標準���,2000年正式成為ISO/IEC 17799����,并于2005年發(fā)展為最新版本ISO/IEC 27001。
該標準通過11個大類的安全目標和安全控制����,構建了信息安全管理系統(tǒng)的框架,為各機構進行信息安全管理工作提供基礎的依據(jù)���。
七分管理��,三分技術���,管理和技術在金融領域的安全工作中是密不可分的,管理需要以強大的技術手段作為依托�����,技術的實施需要以管理目標作為依據(jù)�����。
近年來����,國內(nèi)的各大銀行均在加強安全策略和規(guī)范的建設���,如人民銀行早在2003年牽頭編制了《銀行和相關金融服務信息安全管理規(guī)范》,而交通銀行也正在制定信息安全總體規(guī)劃��,并制定相應的規(guī)范���。
國外的同行業(yè)機構已經(jīng)將7799的認證工作確實的落實到具體的安全技術體系之上��,例如英國的SmileBank���,其網(wǎng)上銀行最早獲得了英國BSI的7799 ISMS認證,并以此認證工作為契機為網(wǎng)銀的客戶提供強有力的安全保障��。
如何將安全管理上的目標真正用技術手段做到控制呢?SOC(Seevturity Op-eration Center)就是在這樣的大環(huán)境之下順理成章出現(xiàn)并不斷發(fā)展�����,它是從單一的技術手段向管理過渡的重要里程碑��。
四個中心��,五個模塊
啟明星辰提出的SOC解決方案,其體系架構如圖1所示�����,由“四個中心����、五個功能模塊”組成:
“四個中心”是漏洞評估中心�、事件流量監(jiān)控中心、綜合分析決策支持與預警中心和響應管理中心�����;
“五個功能模塊”是策略管理���、資產(chǎn)管理�����、用戶管理��、安全知識管理和自身系統(tǒng)維護管理���。常用的關鍵系統(tǒng)功能:
脆弱性管理
通過脆弱性管理可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況,結合當前安全的安全動態(tài)和預警信息,有助于各級安全管理機構及時調(diào)整安全策略��,開展有針對性的安全工作�����,并且可以借助弱點評估中心的技術手段和安全考核機制可以有效督促各級安全管理機構將安全工作落實���。
綜合分析與預警
綜合分析與預警是安全運營中心的核心模塊���,依據(jù)資產(chǎn)管理和脆弱性管理中心進行綜合的事件協(xié)同關聯(lián)分析,并基于資產(chǎn)(CIA屬性+價值)進行風險評估分析����,按照風險優(yōu)先級針對各個業(yè)務區(qū)域和具體事件產(chǎn)生預警,參照網(wǎng)絡安全運行知識管理平臺的信息��,并依據(jù)安全策略管理平臺的策略驅動響應管理中心進行響應處理�����。
響應管理
響應管理是根據(jù)當前的網(wǎng)絡安全狀態(tài)��,及時調(diào)動有關資源做出響應����,降低風險對網(wǎng)絡的負面影響�。
網(wǎng)絡安全響應模塊負責根據(jù)預定義好的安全策略規(guī)則�����,及時工作指令��,調(diào)動有關資源做出響應�。實現(xiàn)人機接口�,通過人工派單方式發(fā)送到相應的工單處理部門。工單的通知方式包括圖形顯示�、SNMP Trap、郵件和短信����。
安全策略管理
網(wǎng)絡安全的整體性要求需要有統(tǒng)一安全策略和基于工作流程的管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略�,指導各級安全管理機構因地制宜的做好安全策略的部署工作,有利于在全網(wǎng)形成安全防范的合力���,提高全網(wǎng)的整體安全防御能力����。
同時通過策略和配置管理平臺的建設可以進一步完善整個IP網(wǎng)絡的安全策略體系建設,為指導各項安全工作的開展提供行動指南����,有效解決目前因缺乏口令、認證�、訪問控制等方面策略而帶來到安全風險問題。
安全知識管理
安全信息管理是安全信息的WEB系統(tǒng)����,不僅可以充分共享各種安全信息資源,而且也會成為各級網(wǎng)絡安全運行管理機構和技術人員之間進行安全知識和經(jīng)驗交流的平臺����,有助于提高人員的安全技術水平和能力。
實現(xiàn)在安全管理中心WEB門戶提供統(tǒng)一界面以安全WEB的形式最新的安全信息��,并將處理的安全事件方法和方案收集起來����,形成一個安全共享知識庫,該信息庫的數(shù)據(jù)以數(shù)據(jù)庫的形式存儲及管理���,為培養(yǎng)高素質的網(wǎng)絡技術人員提供培訓資源��。
SOC架起安全橋梁
SOC是安全管理工作的重要工具之一���。機構資產(chǎn)的梳理�、防火墻的配置����、入侵檢測系統(tǒng)的事件分析、甚至整個信息系統(tǒng)的脆弱性和威脅分析�,這些都不能做到整體的安全管理。因為管理者不可能過多的關注某些細節(jié)�,安全管理需要對整體的安全現(xiàn)狀和態(tài)勢進行宏觀地把握����,并果斷 有效的傳達旨意,采取措施����。所以SOC的首要價值是通過技術的實現(xiàn)手段加強對安全管理的關注。應該關注的問題有:
銜接宏觀與微觀
金融機構的安全建設提出了更多管理層面的問題�����,需要對多種資源的整合管理更加重視�����。目前企業(yè)的安全運行管理普遍現(xiàn)象是,不同類安全產(chǎn)品分別有其自身的管理控制臺����,網(wǎng)絡與主機設備由網(wǎng)管系統(tǒng)管理。特別對于金融行業(yè)而言�����,需要有效地整合各系統(tǒng)�����,對事件的數(shù)據(jù)格式��、分級進行標準化�����,從全局上對整個網(wǎng)絡安全事件進行分析����。
解決人員依賴性
企業(yè)需要解決人力嚴重不足的問題,降低對人員技術水平�、經(jīng)驗以及責任心的依賴,把人員所造成的安全風險降到最低����?�?紤]到事件優(yōu)先級判斷與參與人員的技術水平和經(jīng)驗相關����,很難有客觀的分析和判斷����,需要建立一套完整的事件采集、統(tǒng)計��、判斷和處理機制����。
關注業(yè)務風險
對于技術型的人員來說�,往往采用技術型語言來描述問題。這種情況下�,容易與領導和非技術部門人員產(chǎn)生溝通和交流的問題。因此需要將技術型問題上升到管理型的問題����,風險數(shù)字化,損失數(shù)據(jù)化�。
合規(guī)性
BS 7799作為系統(tǒng)的安全管理標準�����,在國際金融界廣為使用�。所謂7分管理�、3分技術。管理和技術一直很難整合起來��,管理不僅是制度�����,還需要有一種系統(tǒng)來實現(xiàn)管理的目的����。SOC將安全管理需求與安全技術解決方案的整合,將管理和日常技術工作融合在一起����。
有效顯示
第一時間發(fā)現(xiàn)病毒或者入侵事件源頭和發(fā)展趨勢,通過圖形化顯示��,直觀了解全網(wǎng)的情況����。
SOC能夠把問題顯示出來����,能夠量化���。每天發(fā)現(xiàn)了多少次���,解決了多少次,從而了解到網(wǎng)絡安全的真實現(xiàn)狀��。
通過監(jiān)控大屏幕的顯示可以將整個網(wǎng)絡管理的現(xiàn)狀和態(tài)勢展示出來����,機構領導者可以直觀的在監(jiān)控中心了解宏觀安全,并指揮各地的安全工作的落實����。
例如�����,交通管理指揮中心人員不需要親自前往各個擁堵的路段�����,他們只需要通過各種手段采集交通信息作匯總和,統(tǒng)一的指揮調(diào)度��。安全管理工作也同樣需要這樣的機制進行全局的管控��。
有效提煉���,實施預警
SOC系統(tǒng)可以從海量的安全事件報警中得出有價值的信息����,及時采取報警措施�。
有效投資
安全風險是無限的,而安全投資是有限的����。應該利用有限的安全投資解決無限的安全風險(安全投資ROI=減少的安全損失/安全投入)。
與安全域劃分相結合
安全域的劃分和賦值是金融行業(yè)網(wǎng)絡安全建設的重要環(huán)節(jié)��。啟明星辰的泰合SOC解決方案的另一大特點�����,也是安全建設非常有價值的功能之一��,是可以部署基于安全域的SOC平臺,從而實現(xiàn)多層次可定制的安全域管理��,基于域的細粒度風險計算和監(jiān)控能力���,并且以安全域的思想進行風險管理���。
安全域作為安全建設的核心,需要長期的管理����,SOC是安全域管理監(jiān)控的有效工具。使用資源管理中的安全域管理的核心功能�����,可以使安全建設從單純的信息安全工作向業(yè)務保障轉換���,同時將宏觀的信息安全建設向下落實���。
中國的信息安全起步和發(fā)展都處于世界前列,特別是在金融領域���,2000年以來信息安全的技術和管理層面都已經(jīng)作了大量的工作。但是行業(yè)科技人員和管理者還需要繼續(xù)腳踏實地的落實信息安全管理工作,從而切實地為我們的金融客戶提供高可靠�、高質量的服務,使金融機構穩(wěn)步健康地發(fā)展�����。
雙認證護航遠程安全
滿 欣
由于RSA SecurlD認證器上每隔60秒轉換一次6位數(shù)的無窮盡無重復口令多么高明的黑客都無法在如此短的時間內(nèi)猜測出如此復雜的口令��。
中國大地財產(chǎn)保險股份有限公司(簡稱大地財險)由包括中國再保險(集團)公司在內(nèi)的10家境內(nèi)外投資人共同發(fā)起設立�����,總部設在上海�,目前全國有15家分公司。
為了建設一個高起點和高標準的信息化系統(tǒng)�,大地財險與IBM公司合作,引進國際先進的保險理念和信息技術���,初步建立起公司的信息技術基礎平臺����。
基于VPN的種種優(yōu)勢以及最大化保險人的工作效率�,大地財險的許多業(yè)務資源訪問已經(jīng)開始通過VPN實現(xiàn),具備合法身份的工作人員可以利用VPN訪問公司的核心資源��。
VPN是把雙刃劍?
大地財險的運營越來越依賴企業(yè)的核心力系統(tǒng)和數(shù)據(jù),在通過VPN提高工作效率的同時��,也看到了潛在的安全風險���。
畢竟���,VPN所應用的通信隧道,需要通過公共網(wǎng)絡并且必須向各種各樣的用戶打開自己的“網(wǎng)絡之門”���。如果是正確的人存取了正確的信息���,就等于你找到了一種功能無與倫比的商務工具。但是��,當VPN的遠程存取權落入錯誤的掌握之下時���,就無疑是一場大災難�����。
如何為企業(yè)的VPN訪問建立一個更加安全的環(huán)境�,成為大地財險完善VPN服務的一個關鍵因素���。
VPN網(wǎng)絡安全認證主要有以下幾種形式:密碼屬于一種最弱的安全形式����,密碼公認的優(yōu)點在于易于部署應用并且費用非常低廉����。但是,密碼非常容易被猜中����、被竊取或者受到其他的破壞。
雙因素認證必須提供兩種形式的認證內(nèi)容�����。這就象是一部銀行的自動取款機(ATM)�,用戶既需要知道身份(卡)號碼,還需要擁有認證設備(令牌或者智能卡)�����。
隨著互聯(lián)網(wǎng)交易數(shù)量的增長����,將數(shù)字證書作為一種認證形式變得更加廣泛���。數(shù)字證書可以幫助識別用戶,因為它要求使用具有唯一性的數(shù)字信用證明����。
使用智能卡的安全等級最強。這不僅在于使用智能卡得到了雙因素認證保護����,而且還因為雙密鑰可以在智能卡上生成并儲存。
生物認證利用的是某個用戶所擁有的唯一生物特征�����。利用這種技術需要掌握某些生物數(shù)據(jù)��,例如:指紋�、視網(wǎng)膜掃描以及聲波紋等等。
最終�,大地財險決定采用雙因素認證來保障其VPN網(wǎng)絡的安全登錄。
虛擬專用網(wǎng)絡(VPN)正迅速成為遠程存取應用中最普及的一種方法�。通過建立在復雜交織的公共網(wǎng)絡中的一個專用通信隧道,VPN可以使用戶充分利用互聯(lián)網(wǎng)的強大功能�,不僅大大節(jié)省了用戶遠程存取應用的費用,而且還進一步提高了工作效率���。
但是���,作為個人專用并不一定意味著一個虛擬的個人網(wǎng)絡具備應有的安全性��,這是由于VPN經(jīng)常采用的保護手段僅限于一種門檻偏低的密碼屏障���。
大地財險通過對業(yè)界知名安全廠商所提供解決方案的對比����,最終采用了RSA SecurID和Web Express認證解決方案。
同步令牌雙認證
目前�,大地財險僅僅為其符合資格的保險人配備了RSA SecurID令牌。RSA SecurID時間同步令牌提供功能強大的雙因素認證�,這種技術要求用戶提供他們知道的口令和他們擁有的硬件令牌。
這些令牌被設計成一種易于操作使用并且便于攜帶的小件產(chǎn)品��,用來替代口令這種可以被輕松猜中或破解的安全性能偏弱的認證形式�。
雙因素用戶認證系統(tǒng)能夠代替基本的密碼安全機制,有效抵御非法入侵�����,使寶貴的網(wǎng)絡資源獲得完善的保護�,免受意外造成的破壞及惡意入侵����。
