前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全方針和策略主題范文,僅供參考,歡迎閱讀并收藏。
論文摘要:文章首先分析了信息安全外包存在的風險,根據(jù)風險提出信息安全外包的管理框架,并以此框架為基礎(chǔ)詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制,并獲得與外包商合作的最大收益。
1信息安全外包的風險
1.1信任風險
企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系,仍是決定時候?qū)踩?wù)外包的一個重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息,并全面了解其企業(yè)和系統(tǒng)的安全狀況,而這些重要的信息如果被有意或無意地對公眾散播出去,則會對企業(yè)造成巨大的損害。并且,如若企業(yè)無法信任外包商,不對外包商提供一些關(guān)鍵信息的話,則會造成外包商在運作過程中的信息不完全,從而導(dǎo)致某些環(huán)節(jié)的失效,這也會對服務(wù)質(zhì)量造成影響。因此,信任是雙方合作的基礎(chǔ),也是很大程度上風險規(guī)避的重點內(nèi)容。
1.2依賴風險
企業(yè)很容易對某個信息安全服務(wù)的外包商產(chǎn)生依賴性,并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響,恰當?shù)娘L險緩釋方法是將安全服務(wù)外包給多個服務(wù)外包商,但相應(yīng)地會加大支出并造成管理上的困難,企業(yè)將失去三種靈活性:第一種是短期靈活性,即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應(yīng)變能力;第二種是適應(yīng)能力,即在短期到中期的事件范圍內(nèi)所需的靈活性,這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力,再造能力即包括了信息技術(shù);第三種靈活性就是進化性,其本質(zhì)是中期到長期的靈活性,它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時期。進化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。
1.3所有權(quán)風險
不管外包商提供服務(wù)的范圍如何,企業(yè)都對基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護持有所有權(quán)和責任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔職責,并且其服務(wù)級別協(xié)議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關(guān)人員意識到,應(yīng)該將信息安全作為其首要責任,并進行安全培訓(xùn)課程,增強常規(guī)企業(yè)的安全意識。
1.4共享環(huán)境風臉
信息安全服務(wù)的外包商使用的向多個企業(yè)提供服務(wù)的操作環(huán)境要比單獨的機構(gòu)內(nèi)部環(huán)境將包含更多的風險,因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器),這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風險。
1.5實施過程風險
啟動一個可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商,或者一個服務(wù)外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡,這一切都可能引起新的風險。企業(yè)應(yīng)該要求外包商說明其高級實施計劃,并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。
1.6合作關(guān)系失敗將導(dǎo)致的風險
如果企業(yè)和服務(wù)商的合作關(guān)系失敗,企業(yè)將面臨極大的風險。合作關(guān)系失敗帶來的經(jīng)濟損失、時間損失都是不言而喻的,而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗,如同其他商業(yè)關(guān)系一樣,它需要給予足夠的重視、關(guān)注,同時還需要合作關(guān)系雙方進行頻繁的溝通。
2信息安全外包的管理框架
要進行成功的信息安全外包活動,就要建立起一個完善的管理框架,這對于企業(yè)實施和管理外包活動,協(xié)調(diào)與外包商的關(guān)系,最大可能降低外包風險,從而達到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分,分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標準,然后是對企業(yè)遭受的風險進行系統(tǒng)的評估.并根據(jù)方針和風險程度.決定風險管理的內(nèi)容并確定信息安全外包的流程。之后,雙方共同制定適合企業(yè)的信息安全外包的控制方法,協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu),同時加強管理與外包商的關(guān)系。
3信息安全外包風險管理的實施
3.1制定信息安全方針
信息安全方針在很多時候又稱為信息安全策略,信息安全方針指的是在一個企業(yè)內(nèi),指導(dǎo)如何對資產(chǎn),包括敏感性信息進行管理、保護和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義,定義的內(nèi)容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標準的簡要說明,以及遵守這些原則和標準對企業(yè)的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義,而具體的信息安全保護的責任細節(jié)將留至服務(wù)標準的部分來闡明。
3.2選擇信息安全管理的標準
信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:
(1)BS7799:BS7799標準是由英國標準協(xié)會指定的信息安全管理標準,是國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規(guī)范》。
(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分,分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計劃部分;信息技術(shù)安全的技術(shù)管理部分;防護和選擇部分以及外部連接的防護部分。
3.3確定信息安全外包的流程
企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實物場所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度,識別所有需要管理和控制的風險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案,然后進行合乎規(guī)范的評估,識別目前面臨的風險。企業(yè)可以定期的選擇對服務(wù)外包商的站點和服務(wù)進行獨立評估,或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后,外包商授予企業(yè)獨立評估方評估權(quán)限,并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進一步消息和細節(jié),以減少任何對可用性,服務(wù)程度,客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi),與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計劃程序以應(yīng)對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存,企業(yè)將這些文檔作為評估的重要工具,對外包商的服務(wù)績效進行考核。評估結(jié)束后,對事件解決方案和優(yōu)先級的檢查都將記錄在相應(yīng)的文件中,以便今后雙方在服務(wù)和信息安全管理上進行改進。
3.4制定信息安全外包服務(wù)的控制規(guī)則
依照信息安全外包服務(wù)的控制規(guī)則,主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架,主要闡明信息安全服務(wù)要如何執(zhí)行,執(zhí)行的通用標準和量度,服務(wù)外包商以及各方的任務(wù)和職責;第二部分是信息安全服務(wù)的相關(guān)要求,這個部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級別;報告要求,服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求,包括安全策略、程序和規(guī)章制度;連續(xù)計劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計;事故管理等內(nèi)容。
3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:
(1)首席安全官:CSO是公司的高層安全執(zhí)行者,他需要直接向高層執(zhí)行者進行工作匯報,主要包括:首席執(zhí)行官、首席運營官、首席財務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項安全措施在公司的執(zhí)行情況,并確定安全工作的標準和主動性,包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。
(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進行信息安全的技術(shù)。
(3)管理委員會:這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機構(gòu)。組成人員包括雙方的首席執(zhí)行官,客戶企業(yè)的CIO和CSO,外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個委員會每年召開一次會議,負責審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評估結(jié)果、關(guān)系變化等內(nèi)容。
(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務(wù)水平的變更,新的技術(shù)手段的應(yīng)用,服務(wù)優(yōu)先等級的更換以及服務(wù)的財政問題等,咨詢委員會的成員包括企業(yè)內(nèi)部的TI’人員和安全專員,還有財務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員,以及外包商的具體項目的負責人。
(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題,工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系,將突出的問題組建成項目進行解決,并將無法解決的問題提交給咨詢委員會。
(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成,其中主要人員是企業(yè)內(nèi)部的各個業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負責聯(lián)絡(luò)各個業(yè)務(wù)部門,發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞,并將這些問題報告給安全工作組。
(8)指令問題管理小組:這個小組的人員組成全部為企業(yè)內(nèi)部人員,包括信息安全專員以及各個業(yè)務(wù)部門的負責人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后,或者,是當CSO了關(guān)于信息安全的企業(yè)改進方案之后,這些解決方案都將傳送給指令問題管理小組,這個小組的人員經(jīng)過學(xué)習討論后,繼而將其到各個業(yè)務(wù)部門。
(9)監(jiān)督委員會:這個委員會全部由企業(yè)內(nèi)部人員組成。負責對外包商的服務(wù)過程的監(jiān)督。
關(guān)鍵詞 信息系統(tǒng);安全;保障體系;技術(shù);信息技術(shù)基礎(chǔ)設(shè)施
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)14-0137-02
油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高,信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點,在信息安全形勢多變的情況下,獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障,將給公司的業(yè)務(wù)正常運作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此,需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實際情況的信息安全保障體系,采用先進的安全管理過程模式,完善信息安全管理制度與規(guī)范,提高員工的信息安全意識,提升風險控制及保障水平,以支撐油服核心業(yè)務(wù)的健康發(fā)展。
1 信息安全保障體系
1.1 信息安全保障體系建設(shè)需求
油服在信息安全方面已部署了部分信息安全防護措施,如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時,每年都開展信息系統(tǒng)安全測評工作,對公司的信息系統(tǒng)進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等,從而能夠較為全面的掌握當前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運維和使用情況,以提高信息系統(tǒng)的安全防護能力。但從總體來看,仍缺乏信息安全保障體系框架,總體安全方針和策略不夠明確,安全區(qū)域劃分不夠細致,網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標準,未部署安全運維管理中心,無法真正起到縱深安全防御的效用。
1.2 信息安全保障體系目標與定位
信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢,在風險評估的基礎(chǔ)上,明確與等級保護相適應(yīng)的安全策略及具體的實施辦法。對全網(wǎng)進行合理的安全域劃分,技術(shù)與管理并重的同時,以應(yīng)用與實效為主導(dǎo),從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面,保障油服信息安全,形成集檢測、響應(yīng)、恢復(fù)、防護為一體的安全保障體系。
2 油服信息安全保障體系架構(gòu)模型
油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法,縱向把保護對象分成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò);橫向把控制體系分成安全管理、安全技術(shù)和安全運行的控制體系,同時通過“一個安全管理中心”的安全管理概念和模式,形成一個依托于安全保護對象為基礎(chǔ),橫向建立安全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系
框架。
2.1 安全管理體系
根據(jù)等級保護基本要求的相關(guān)內(nèi)容,信息安全管理體系重點落實安全管理制度、安全管理機構(gòu)和人員安全管理的相關(guān)控制要求。
2.2 安全技術(shù)體系
根據(jù)等級保護基本要求的相關(guān)內(nèi)容,通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)各個層面的實施,建立與實際情況相結(jié)合的安全技術(shù)體系。
2.3 安全運行體系
根據(jù)等級保護基本要求的相關(guān)內(nèi)容,信息安全運行體系重點落實系統(tǒng)建設(shè)管理和系統(tǒng)運維管理的相關(guān)控制要求,并與實際情況相結(jié)合,形成符合等級保護要求的信息安全運行體系
框架。
2.4 安全管理中心
根據(jù)等級保護基本要求和安全設(shè)計技術(shù)要求的相關(guān)內(nèi)容,通過“自動、平臺化”的方式,對信息安全管理、技術(shù)、運行三個體系的相關(guān)控制內(nèi)容,結(jié)合實際情況加以落實。
3 油服信息安全保障體系架構(gòu)設(shè)計
3.1 安全管理體系架構(gòu)設(shè)計
信息安全管理體系架構(gòu)的設(shè)計可從以下3方面開展。
3.1.1 信息安全組織
油服信息安全組織為信息安全管理委員會,各業(yè)務(wù)部門為信息安全小組,部門經(jīng)理為本小組的第一安全責任人。同時,定義了組織中各職能角色的職責,以此指導(dǎo)信息安全工作開展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及時反映公司的信息安全風險動態(tài),便于靈活地修訂與更新;另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的,哪些是必須做的。
3.1.3 人員安全管理
在人員安全管理方面,可以通過對人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個方面進行設(shè)計。
3.2 安全技術(shù)體系架構(gòu)設(shè)計
信息安全技術(shù)體系架構(gòu)設(shè)計可從以下3個方面開展。
3.2.1 信息安全服務(wù)架構(gòu)
信息安全服務(wù)架構(gòu)設(shè)計分為保護、檢測、響應(yīng)與恢復(fù)四個環(huán)節(jié),實現(xiàn)對信息可用性、完整性和機密性的保護,監(jiān)測檢查系統(tǒng)存在的安全漏洞,對危害系統(tǒng)安全的事件行為做出響應(yīng)
處理。
3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)
信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體,結(jié)合系統(tǒng)軟硬件進行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風險劃分不同的網(wǎng)絡(luò)安全域,并實施安全防護措施。
3.2.3 應(yīng)用安全架構(gòu)
應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上,更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對信息安全的需求,通過在業(yè)務(wù)系統(tǒng)中實現(xiàn)集成保障信息安全的機制,從而達到信息安全技術(shù)控制要求。
3.3 安全運行體系架構(gòu)設(shè)計
油服信息安全運行體系架構(gòu)設(shè)計主要從以下3個方面開展。
3.3.1 信息系統(tǒng)安全等級劃分
油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡(luò)系統(tǒng)等級和應(yīng)用系統(tǒng)等級三個方面進行定義。
3.3.2 信息安全技術(shù)控制
信息安全技術(shù)控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,包含身份鑒別、訪問控制、安全審計等五大類通用技術(shù)。
3.3.3 信息安全運作控制
信息安全運作控制是在油服業(yè)務(wù)運作和信息技術(shù)運作過程中進行實施的運作類安全控制,包括控制針對的主要風險點及具體分類。
4 結(jié)束語
在油服業(yè)務(wù)不斷拓展,國際化步伐不斷深入的過程中,信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長,信息安全也愈發(fā)重要。健全油服信息安全保障體系,為實現(xiàn)“制度標準化、工作制度化”的管理常態(tài)奠定了堅實的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手,還從安全域劃分、安全邊界防護、主動監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮,進一步加強落實信息安全等級保護的基本要求,初步實現(xiàn)對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細粒度、全方位的安全管控,從而更為有效地提升了油服在信息安全方面的管理水平。
參考文獻
[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計算機安全,2007(7):72-75.
[2]王朗.一個信息安全保障體系模型的研究和設(shè)計[J].北京師范大學(xué)學(xué)報(自然科學(xué)版),2004(2):58-62.
[3]黃海鷹.信息安全保障體系建設(shè)研究[J].數(shù)字圖書館論壇,2009(9):13-15.
關(guān)鍵詞:信息安全;管理體系;PKI/CA;MPLS VPN;基線
在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運用生產(chǎn)經(jīng)營、綜合管理之中,實現(xiàn)資源和信息共享,為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專業(yè)人員及企業(yè)全員共同面對的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程,木桶原理可以很好地詮釋信息安全,一個企業(yè)安全不取決于最強項,而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識、專業(yè)人員技術(shù)水平等多方面共同建設(shè),才能有效提高企業(yè)信息安全,才能為企業(yè)生產(chǎn)、經(jīng)營保駕護航。
1基層供電信息安全現(xiàn)狀
基層供電企業(yè)信息安全建設(shè)方面,在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護、人員意識、專業(yè)人員技術(shù)水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設(shè)方面較為被動,大多數(shù)都是現(xiàn)實之中出現(xiàn)某一問題,然后一個相關(guān)制度,制度修修補補。同一類問題有時出現(xiàn)不同管理規(guī)定里,處理辦法不一,甚至發(fā)生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設(shè)渠道不同,未提前進行信息安全方面考慮,管理職責不明,導(dǎo)致部分信息安全工作開始不順暢。
1.2安全區(qū)域劃分不明,網(wǎng)絡(luò)架構(gòu)不清晰
基層供電企業(yè)系統(tǒng)建設(shè)主要由上級推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設(shè)時候相當部分系統(tǒng)未充分考慮系統(tǒng),特別是業(yè)務(wù)部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么,存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯,網(wǎng)絡(luò)架構(gòu)不清晰。
1.3未建立一體化安全防護體系
從近些年已經(jīng)發(fā)生的各類信息安全事件來看,內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足,存在網(wǎng)絡(luò)帶寬濫用;終端接入沒有相應(yīng)準入控制,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風險;內(nèi)部人員對核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機制;移動介質(zhì)未實施注冊制管理等問題。
1.4未建立行之有效設(shè)備基線標準
網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求,在設(shè)備和系統(tǒng)中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞?;鶎庸╇娖髽I(yè)在部署設(shè)備和系統(tǒng)時,沒有統(tǒng)一基線標準,沒有對設(shè)備和系統(tǒng)進行相應(yīng)基線加固,企業(yè)存在潛在風險。
1.5信息安全意識較差,技術(shù)水平參差不齊
企業(yè)信息安全認識存在認識上誤區(qū),常常認為我們有較強信息安全保護設(shè)備,外部不易攻破內(nèi)部,事實上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識較為薄弱表現(xiàn)。專業(yè)技術(shù)人員缺乏必要自我學(xué)習和知識主動更新,未取得專門信息安全專業(yè)人員資質(zhì),處理問題能力表現(xiàn)參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業(yè)信息安全為國家信息安全的重要元素,電網(wǎng)安全事關(guān)國計民生。2014年2月,國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊,其中一個關(guān)鍵問題就是利用移動介質(zhì)擺渡來進行攻擊,造成設(shè)備癱瘓,這一系列信息安全事件都事關(guān)國家安全,因此人人都要有信息安全意識。首先要防止企業(yè)機密數(shù)據(jù)(財務(wù)、人資、投資、客戶等)泄漏;其次,保持數(shù)據(jù)真實性和完整性,錯誤的或被篡改的不當信息可能會導(dǎo)致錯誤的決策或商業(yè)機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運作,業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效,不能得到及時有效恢復(fù),會造成重大損失。建立嚴格的訪問控制,前面數(shù)據(jù)分級時有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限;權(quán)限分離原則是將不同的工作職能分開,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限。通過對內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為,提高工作效率,保護企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營上來。
3特點探析
通過我們對基層供電企業(yè)在信息安全存在問題及必要性來看,主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識等方面存在問題,有以下特點。
3.1管理制度方面
常說信息安全“三方技術(shù)、七分管理”,制度建設(shè)對信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級主管部門建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照執(zhí)行,可以根據(jù)各單位具體情況進一步細化,讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上,實現(xiàn)全網(wǎng)一體化,規(guī)范化。
3.2網(wǎng)絡(luò)信息安全技術(shù)方面
上級專業(yè)主管部門,站在企業(yè)高度,制定專業(yè)技術(shù)標準和技術(shù)細則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡(luò)準入控制等方面統(tǒng)一規(guī)劃,分布實施,最終實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。
3.3信息安全意識培養(yǎng)方面
企業(yè)員工信息安全意識培養(yǎng)是個長期的過程,不是通過一次兩次培訓(xùn)就能解決的,采取形式多樣化方式來培養(yǎng)員工安全意識,可以通過集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業(yè)人員,要讓他們養(yǎng)成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執(zhí)行,填寫相應(yīng)資源申請,有時候領(lǐng)導(dǎo)打招呼也要按照制度流程來執(zhí)行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業(yè)信息安全意識就會得到極大提高。
3.4專業(yè)技術(shù)人員水平方面
信息安全技術(shù)日新月異,不學(xué)習就落后,不斷收集信息安全方面信息,共同討論相關(guān)話題,建立相應(yīng)培訓(xùn)機制,專業(yè)人員實行持證上崗,提升專業(yè)人員實際解決問題能力,有效提高人員專業(yè)素養(yǎng),成為企業(yè)信息安全方面專家。
4實施和開展
從2009年開始,先后進行一系列信息安全建設(shè),涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面,整體提高基層供電企業(yè)信息安全狀況。
4.1信息安全制度建設(shè)
2010年開始信息安全體系ISO27001、27002建設(shè),結(jié)合企業(yè)情況,形成30個信息安全相關(guān)文件,涵蓋企業(yè)信息安全方針、等級保護、人員管理、機房管理、網(wǎng)絡(luò)信息系統(tǒng)運行維護管理、終端安全、病毒防護、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設(shè)管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經(jīng)過這一系列制度建設(shè),基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一,明確短板情況。
4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控
首先依據(jù)電監(jiān)會5號文件要求,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進行部署建設(shè),生產(chǎn)實時控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國家強制認證單向數(shù)據(jù)隔離裝置進行強制隔離,網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng),構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認證系統(tǒng),已建成系統(tǒng)進行未采用PKI登陸系統(tǒng),進行相應(yīng)改造結(jié)合PKI/CA系統(tǒng),采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求,進行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備,建立統(tǒng)一上網(wǎng)行為管理策略,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源,審計員工上網(wǎng)日志,以備不時之需。建立企業(yè)統(tǒng)一病毒防護系統(tǒng),實現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫自動更新,防護策略統(tǒng)一下發(fā),定期統(tǒng)計病毒分布情況,同時作為終端接入內(nèi)網(wǎng)必備選項,對終端病毒態(tài)勢比較嚴重用戶進行督促整改,有效防止病毒在企業(yè)內(nèi)部蔓延,進一步進化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護,在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺,進行日志管理分析,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢,預(yù)警企業(yè)內(nèi)部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設(shè)統(tǒng)一桌面管理,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng),系統(tǒng)啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務(wù)器上實現(xiàn)IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網(wǎng)站進行安全合規(guī)性檢查,滿足要求后自動接入內(nèi)網(wǎng),強制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準入規(guī)則。實行移動介質(zhì)注冊制,極大提高終端安全性,有效保護企業(yè)信息資產(chǎn)。建立內(nèi)部運維控制機制,實現(xiàn)4A統(tǒng)一安全管理,認證、賬號、授權(quán)、審計集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池,按照用戶需求,提交相應(yīng)申請材料,授權(quán)訪問特定設(shè)備和資源,并對用戶訪問行為全程記錄審計。
5結(jié)語
關(guān)鍵詞:電力制造企業(yè);計算機網(wǎng)絡(luò);安全
一、安全風險分析
電力制造企業(yè)計算機網(wǎng)絡(luò)一般都會將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對分隔開來,以避免外來因素對生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見的風險一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見的風險種類比較多,通??梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風險有操作系統(tǒng)和數(shù)據(jù)庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言論等風險,會使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風險的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。當需要數(shù)據(jù)傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置。
二、安全需求分析
一般電力制造企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人三方面著手,其中安全策略足安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓(xùn)和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業(yè)經(jīng)營鏈中的細胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強教育和制度約束。
三、安全思想和原則
電力制造企業(yè)信息安全的主要目標一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營服務(wù);服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾。保證系統(tǒng)安全事件(計算機病毒、篡改網(wǎng)頁、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時響應(yīng)與及時恢復(fù),數(shù)據(jù)不丟失。(1)先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測和最小化原則等多種因素,它們是設(shè)計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機制,集成先進的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴格的安全管理是確保安全策略落實的基礎(chǔ)。計算機網(wǎng)絡(luò)使用機構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強培訓(xùn)和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網(wǎng)絡(luò)安全意識。(3)嚴格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅強的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強安全教育和宣傳,嚴肅網(wǎng)絡(luò)規(guī)章制度和紀律。對網(wǎng)絡(luò)犯罪嚴懲不貸。
四、安全策略與方法
1、物理安全策略和方法。
物理安全的目的是保護路由器、交換機、工作站、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路的設(shè)計,包括建設(shè)符合標準的中心機房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料:要建立設(shè)備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權(quán)限,防止和控制越權(quán)操作。
2、訪問控制策略和方法。
網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級進行保護,主要是根據(jù)業(yè)務(wù)功能、信息保密級別、安全等級等要求的差異將網(wǎng)絡(luò)進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VL心、防火墻是當前主要的網(wǎng)絡(luò)分段的主要手段。而訪問管理控制是限制系統(tǒng)內(nèi)資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術(shù)和安全管理中心結(jié)合起來,實現(xiàn)多重防護體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。
3、開放的網(wǎng)絡(luò)服務(wù)策略和方法。
Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來構(gòu)建堅固的大門,同時對Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強化內(nèi)部網(wǎng)絡(luò)用戶的責任感和守約,必要時增加審計手段。
4、電子郵件安全策略和方法。
電子郵件策略主要是針對郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術(shù)快速發(fā)展,電力制造企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進行。
5、網(wǎng)絡(luò)反病毒策略和方法。
每個電力制造企業(yè)為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實時監(jiān)控,并且針對特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。
目前,計算機網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力制造企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰主管、誰負責、聯(lián)合保護、協(xié)調(diào)處置”的原則,實行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全電力制造企業(yè)內(nèi)部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓(xùn)體系,根據(jù)科學(xué)的網(wǎng)絡(luò)安全策略,采用適合的安全產(chǎn)品,確保各項電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運行,為電力制造企業(yè)創(chuàng)造新業(yè)績鋪路架橋。
參考文獻
自20世紀80年代以來,隨著信息技術(shù)迅速滲透到社會經(jīng)濟的各個領(lǐng)域,尤其是Internet/Intranet技術(shù)和電子商務(wù)(Ecommerce)的廣泛應(yīng)用,推動著人類社會從工業(yè)經(jīng)濟時代向網(wǎng)絡(luò)經(jīng)濟時代和信息化社會的方向前進。在這個動態(tài)演進的過程中,經(jīng)濟發(fā)展越來越需要信息的支持,信息已成為經(jīng)濟發(fā)展的戰(zhàn)略資源和社會管理的基本要素。
企業(yè)的信息化建設(shè)對于企業(yè)發(fā)展具有重要的戰(zhàn)略意義。對信息的采集、共享、利用和傳播成為決定企業(yè)競爭力的關(guān)鍵因素。只有實現(xiàn)信息化,企業(yè)才可能實現(xiàn)企業(yè)生產(chǎn)經(jīng)營活動的運營自動化、管理網(wǎng)絡(luò)化、決策智能化,從而理順和提高企業(yè)的管理水平,提高設(shè)計效率,降低企業(yè)的庫存,節(jié)約占用資金,降低生產(chǎn)成本,改善職工的工作環(huán)境,縮短企業(yè)的服務(wù)時間和提高企業(yè)的客戶滿意度,并可及時地獲取客戶需求,實現(xiàn)按訂單生產(chǎn)。
但是,信息化也使企業(yè)同時承受著巨大的信息安全的風險。據(jù)統(tǒng)計,全球平均20秒就發(fā)生一次計算機病毒入侵;互聯(lián)網(wǎng)上的防火墻大約25%被攻破;竊取商業(yè)信息的事件平均以每月260%的速度增加;約70%的網(wǎng)絡(luò)主管報告了因機密信息泄露而受損失。我國公安機關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起,與上年相比增長45.9%,其中利用計算機實施的違法犯罪5301起,占案件總數(shù)的79.9%.而病毒的泛濫,更讓國內(nèi)眾多企業(yè)蒙受了巨額經(jīng)濟損失。加強信息安全建設(shè),已成了目前國內(nèi)外企業(yè)迫在眉睫的大事。
二、信息安全和信息安全管理
根據(jù)國際標準化組織(ISO)的定義,信息安全是“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全是一個動態(tài)的復(fù)雜過程,它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。
信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進行的破壞以及自然危害。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據(jù)風險評估的結(jié)果為信息系統(tǒng)選擇適當?shù)陌踩胧咨茟?yīng)對可能發(fā)生的風險。信息安全的目標就是要保證敏感數(shù)據(jù)的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)[1].為了達到這個目的,人們建立起信息安全管理體系(InformationSecurityManagementSystems)。它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標,以及完成這些目標所用方法的系統(tǒng),表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
在信息安全管理體系中,通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎(chǔ)選擇控制目標與控制方式等建立起信息安全管理框架。在該體系中,人們在技術(shù)層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全,如密碼學(xué)和訪問控制等。但僅僅依靠技術(shù)手段不可能徹底解決信息安全問題。這是因為,信息以及信息用戶的社會屬性決定了信息安全中存在非技術(shù)因素,而從屬于非技術(shù)因素的問題,無法依靠單純的技術(shù)手段加以解決[2].非技術(shù)手段主要包括法律手段、經(jīng)濟手段和行政手段等,在市場經(jīng)濟環(huán)境中,企業(yè)應(yīng)首選法律和經(jīng)濟手段來保護信息安全。
三、法務(wù)會計師在企業(yè)信息安全管理中的作用
信息及信息用戶的社會屬性使得法務(wù)會計師為企業(yè)提供專業(yè)服務(wù)成為必要,而法務(wù)會計師獨特的知識結(jié)構(gòu)和專業(yè)經(jīng)驗使得其在企業(yè)信息安全管理發(fā)揮其獨特作用提供了可能。根據(jù)信息安全風險的成因,法務(wù)會計師可以因地制宜地制定相關(guān)對策。當前威脅企業(yè)信息安全的主要成因是:
1.技術(shù)風險。主要包括信息電磁化風險和系統(tǒng)及軟件風險。在網(wǎng)絡(luò)環(huán)境下,企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲于磁性介質(zhì)中,在傳遞及存儲過程中均有被攻擊者篡改或截獲的可能。
2.人員風險。由于企業(yè)中負責具體業(yè)務(wù)的人員并不一定熟悉計算機操作,因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當而造成的意外損失。而由于系統(tǒng)管理涉及企業(yè)重要機密,操作人員是否會利用職權(quán)之便對信息進行破壞或剽竊也是企業(yè)管理者應(yīng)該關(guān)注的重要問題。
3.法律風險。網(wǎng)絡(luò)的出現(xiàn)和廣泛應(yīng)用對傳統(tǒng)社會產(chǎn)生了強烈的沖擊,舊有的法律法規(guī)體系已不能完全適應(yīng)、指導(dǎo)和規(guī)范網(wǎng)絡(luò)安全的實踐。網(wǎng)絡(luò)本身的虛擬性、實時性、廣泛性要求更加切實可行,更加完備的標準準則和法律法規(guī)的出現(xiàn)。
現(xiàn)階段,面對信息安全的威脅,企業(yè)缺乏有力的系統(tǒng)性的對應(yīng)措施和策略,基本處于“頭痛醫(yī)頭、腳痛醫(yī)腳”的狀態(tài),解決方案手段單一,缺乏多種手段的共同治理。很多組織已經(jīng)越來越意識到要真正達到信息安全的目標僅僅通過信息安全技術(shù)和產(chǎn)品是不可能實現(xiàn)的,結(jié)合法律、制度等社會性手段的信息安全管理體系(ISMS)的搭建才能實現(xiàn)信息系統(tǒng)的整體安全保障。因為,很多企業(yè)信息資產(chǎn)安全管理方面除了存在信息安全技術(shù)薄弱方面的原因外,還存在如下一些問題如,信息安全管理制度過于簡單,內(nèi)容不全;交叉重復(fù),混亂無章;求大求全,無針對性;鎖在柜中,無人問津;以及制度執(zhí)行中的人為破壞等等。
建立包含技術(shù)和法律等手段的多層面的信息安全管理體系可以強化員工的信息安全意識,規(guī)范組織的信息安全行為,對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護,維持競爭優(yōu)勢;在信息系統(tǒng)受到侵襲時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;使組織的商業(yè)伙伴和客戶對組織充滿信心,提高組織的知名度與信任度。因為信息安全事關(guān)企業(yè)信息資產(chǎn)和業(yè)務(wù)安全,需要通過法制渠道滿足企業(yè)在電子商務(wù)和管理環(huán)境中維護競爭優(yōu)勢的需要,法務(wù)會計師可以充分利用其在法律和會計信息管理方面的優(yōu)勢,為企業(yè)建立有效的信息資產(chǎn)保護計劃提供有價值的服務(wù),并依法追究相關(guān)組織和人員的責任。
信息技術(shù)的飛速發(fā)展沖擊著各行各業(yè),給全球房地產(chǎn)業(yè)也帶來一場深刻的變革和發(fā)展的契機。在政府的牽頭和推動下,在房地產(chǎn)業(yè)各界積極參與和實踐下,中國房地產(chǎn)業(yè)已取得卓有成效的成果,呈現(xiàn)全面信息化的發(fā)展勢頭。具體表現(xiàn)在:
(1)房地產(chǎn)政務(wù)信息化成效顯著。
許多城市利用信息技術(shù)開發(fā)了房地產(chǎn)政務(wù)管理軟件,有效地改進了行政管理,提高了工作效率,完善了政府對房地產(chǎn)市場的監(jiān)控和預(yù)測能力。
(2)房地產(chǎn)企業(yè)信息化取得長足進展。
房地產(chǎn)經(jīng)營方式開始打上信息時代的烙印。一些房地產(chǎn)企業(yè)建立了企業(yè)內(nèi)部網(wǎng)站,提高了信息傳輸速度,加快了企業(yè)決策速度,提高了辦事效率。此外,各種針對房地產(chǎn)企業(yè)的計算機軟件,如房屋銷售軟件、物業(yè)管理軟件、租賃軟件、房地產(chǎn)可行性分析軟件、房地產(chǎn)開發(fā)管理軟件等,也得到了廣泛的開發(fā)和應(yīng)用。
(3)初步建立了房地產(chǎn)宏觀監(jiān)測系統(tǒng)。
為適應(yīng)我國房地產(chǎn)業(yè)發(fā)展的內(nèi)在要求,針對市場信息零散、盲目投資行為大量存在等狀況,我國已建立包括中房預(yù)警系統(tǒng)、中房指數(shù)、國房景氣指數(shù)等在內(nèi)的房地產(chǎn)宏觀監(jiān)測系統(tǒng)。
(4)智能化小區(qū)和網(wǎng)絡(luò)小區(qū)建設(shè)步伐加快。
近年來,住宅的智能化功能被列為評價樓盤綜合性能的不可缺少的一個重要指標,智能化住宅已逐步進入普通人的生活。社區(qū)提供與外界進行數(shù)據(jù)交換的軟硬件設(shè)施和服務(wù)是家居功能向外拓展的必要條件。智能化的物業(yè)管理深入到各單位住宅,真正實現(xiàn)建筑智能化到社區(qū)管理的智能化。
(5)房地產(chǎn)網(wǎng)站發(fā)展迅速。
由于房地產(chǎn)業(yè)自身的行業(yè)特點,使其在網(wǎng)上具有更大的優(yōu)勢,房地產(chǎn)業(yè)各界都以最快的速度建立或準備建立自己的網(wǎng)站,將網(wǎng)絡(luò)作為房地產(chǎn)信息的主要渠道。房地產(chǎn)網(wǎng)站建設(shè)提供了全天候、全方位市場服務(wù)的新模式,建立房地產(chǎn)在線咨詢服務(wù)系統(tǒng),引入城市電子地圖,實現(xiàn)網(wǎng)上售樓,改變了傳統(tǒng)的購房方式。同國外相比,我國房地產(chǎn)信息化整體水平較低,地區(qū)差異較大,東西部發(fā)展不平衡,仍存在諸多制約因素,還有很長的路要走。但是,房地產(chǎn)業(yè)唯有實現(xiàn)信息化,唯有與網(wǎng)絡(luò)結(jié)合,才能煥發(fā)出新的活力。建立和完善房地產(chǎn)企業(yè)的網(wǎng)絡(luò)系統(tǒng),實現(xiàn)總公司與下屬子公司之間的雙向溝通和信息共享。通過信息平臺的整合,為企業(yè)管理決策提供全方位、完整的信息數(shù)據(jù),使企業(yè)的管理逐步走向信息化,建立企業(yè)網(wǎng)站,使其向房地產(chǎn)行業(yè)和管理信息服務(wù)方向轉(zhuǎn)化,加強與員工的溝通,將信息化手段應(yīng)用于具體管理工作的流程中。以國家信息化工作的指導(dǎo)方針“統(tǒng)一規(guī)劃、聯(lián)合建設(shè)、推廣應(yīng)用、發(fā)展產(chǎn)業(yè)、資源共享”為房地產(chǎn)企業(yè)信息化工作的指導(dǎo)思想,將房地產(chǎn)企業(yè)的管理全部數(shù)字化,充分利用先進的信息技術(shù),使本企業(yè)集團形成一個管理對象數(shù)字化、管理專業(yè)網(wǎng)絡(luò)化、數(shù)據(jù)動態(tài)實時化、管理決策科學(xué)化的現(xiàn)代企業(yè),走一條結(jié)合自身特點,依托信息技術(shù)發(fā)展房地產(chǎn)信息化產(chǎn)業(yè)的振興之路。
二、企業(yè)信息安全防范
隨著企業(yè)信息化的發(fā)展,辦公自動化、財務(wù)管理系統(tǒng),企業(yè)相關(guān)業(yè)務(wù)系統(tǒng)等生產(chǎn)經(jīng)營方面的重要系統(tǒng)投入在線運行,越來越多的重要數(shù)據(jù)和機密信息都通過企業(yè)內(nèi)外部網(wǎng)絡(luò)來傳輸。這在提高生產(chǎn)效率和管理水平的同時,也帶來了不同以往的安全風險和問題。通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息如被非法用戶截取,導(dǎo)致泄露企業(yè)機密;如被非法篡改,造成數(shù)據(jù)混亂,信息錯誤,造成工作失誤等。另一方面,病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)丟失,對企業(yè)的生產(chǎn)管理以及經(jīng)濟效益等造成不可估量的損失。因此,如何保護企業(yè)機密,保障企業(yè)信息安全,成為企業(yè)信息化發(fā)展中需要面臨和解決的問題,提上了企業(yè)的議事日程。企業(yè)信息安全管理即針對當前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用環(huán)境制定相應(yīng)的防御措施,保護企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞,為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實性、可用性、不可否認。企業(yè)信息安全是一項復(fù)雜的系統(tǒng)工程,涉及技術(shù)、設(shè)備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。首先,企業(yè)必須根據(jù)實際情況全面做好安全風險評估。第二,采用信息安全新技術(shù),建立信息安全防護體系。綜合各種計算機網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)等綜合起來,形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護體系。企業(yè)根據(jù)自身信息系統(tǒng)建設(shè)和應(yīng)用的步伐,建立完整的信息安全防護體系,統(tǒng)籌規(guī)劃,分步實施。第
對于具有開發(fā)性、國際性和自由度的互聯(lián)網(wǎng)在增加應(yīng)用自由度的同時,也存在著太多太復(fù)雜的安全隱患,信息安全令人擔擾。有人這樣說:“如果上網(wǎng),你所受到的安全威脅將增大幾倍;而如果不上網(wǎng),則你所得到的服務(wù)將減少幾倍”。因此,可信網(wǎng)絡(luò)已經(jīng)成為當前研究的熱點話題。網(wǎng)絡(luò)應(yīng)為科研服務(wù),作為校園網(wǎng)在提高管理效率、促進教科研發(fā)展、方便校園生活的同時,網(wǎng)絡(luò)中的各種安全問題也層出不窮,提高IT安全建設(shè)和管理水平已成為高校信息化建設(shè)中不容忽視的重要工作內(nèi)容。
2 校園網(wǎng)安全面臨的困難
現(xiàn)在大多數(shù)校園網(wǎng)以Windows作為系統(tǒng)平臺,因為其功能太多,太復(fù)雜了(Windows操作系統(tǒng)就有上千萬行程序),致使操作系統(tǒng)都不可能做到完全正確,所以其它系統(tǒng)的安全性能都是很難保證的。對于具有更復(fù)雜環(huán)境的校園網(wǎng)來說,不但面臨著系統(tǒng)安全及其威脅,而且還具有自已的特殊性。一方面,學(xué)生的好奇心強,一些學(xué)生社會責任感較輕,喜歡挑戰(zhàn);另一方面,校園網(wǎng)的網(wǎng)絡(luò)條件普遍較好,計算機來源又較為復(fù)雜,隱蔽的IP地址使之更容易實施網(wǎng)絡(luò)攻擊。同時,教育信息化管理中長期形成的“重技術(shù),輕管理”的思想,也使得校園網(wǎng)的安全形勢更加嚴峻。
隨著信息技術(shù)的不斷發(fā)展,病毒傳播的途徑越來越多樣化。對于校園網(wǎng)管理人員而言,還不得不面對大面積的ARP欺騙病毒,這對于用戶群龐大而導(dǎo)致可控性和有序性很差的校園網(wǎng)提出了巨大的挑戰(zhàn),構(gòu)建校園網(wǎng)絡(luò)應(yīng)急響應(yīng)機制迫在眉睫。
3 校園網(wǎng)應(yīng)急響應(yīng)機制的建立
2007年6-7月間,由教育部科技發(fā)展中心主辦、中國教育網(wǎng)絡(luò)雜志承辦的“2007教育行業(yè)信息安全大會”在北京等地召開。會議對“高校建立應(yīng)急響應(yīng)機制”進行了專題問卷調(diào)查,調(diào)查結(jié)果顯示,66%的高校未建立安全應(yīng)急響應(yīng)機制,33%的高校計劃在年內(nèi)建立學(xué)校的安全應(yīng)急響應(yīng)機制。由此可見還有大部分高校在網(wǎng)絡(luò)安全管理方面還需加大力度,僅憑單純的安全產(chǎn)品和簡單的防御技術(shù)是無法抵擋攻擊的,必須依靠應(yīng)急響應(yīng)等一套完整的服務(wù)管理機制,建立其相應(yīng)的流程,通過加強學(xué)習努力提高隊伍的技術(shù)水平及響應(yīng)能力,從技術(shù)和管理兩個維度保證網(wǎng)絡(luò)安全。
校園網(wǎng)應(yīng)急響應(yīng)是指在校園網(wǎng)內(nèi)行使CERT/CC(計算機緊急響應(yīng)小組及其協(xié)調(diào)中心)的職能,對校園網(wǎng)內(nèi)的各網(wǎng)絡(luò)應(yīng)用部門和用戶提供網(wǎng)絡(luò)安全事件的快速響應(yīng)或技術(shù)支持服務(wù),也對校園網(wǎng)內(nèi)的各接入單位及用戶提供安全事件響應(yīng)相關(guān)的咨詢服務(wù)。校園網(wǎng)應(yīng)急響應(yīng)組的主要職能是:對計算機網(wǎng)絡(luò)系統(tǒng)的安全事件一是進行緊急反應(yīng),盡快恢復(fù)系統(tǒng)或網(wǎng)絡(luò)的正常運轉(zhuǎn)。二是要使系統(tǒng)和網(wǎng)絡(luò)設(shè)施所遭受的破壞最小化。三是對影響系統(tǒng)和網(wǎng)絡(luò)安全的漏洞及防治措施進行通報,對安全風險進行評估等。
比較完善的網(wǎng)絡(luò)安全機制,應(yīng)包括網(wǎng)絡(luò)安全服務(wù)、網(wǎng)絡(luò)安全管理和用戶安全意識三方面。因此,校園網(wǎng)應(yīng)急響應(yīng)組依據(jù)其職責不同分為以下三個安全工作小組。
(1)事件處理工作小組及職能:主要負責安全事件的應(yīng)急與救援、事件的分析、安全警報的等。主要職能是服務(wù),制定和實施校園網(wǎng)安全策略及網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急響應(yīng)預(yù)案;監(jiān)測網(wǎng)絡(luò)運行日常狀態(tài),及時安全公告、安全建議和安全警報,當發(fā)生了安全事件時及時向CERT熱線響應(yīng);解答用戶的安全方面的咨詢;定期對網(wǎng)內(nèi)用戶進行風險評估等。
(2)技術(shù)研發(fā)工作小組及職能:主要通過研發(fā),尋求安全漏洞的解決方案,應(yīng)急處理的信息與技術(shù)支持平臺。主要職能是安全研究,研究內(nèi)容是校園網(wǎng)常用網(wǎng)絡(luò)攻擊技術(shù)及防范。
(3)教育培訓(xùn)工作小組及職能:建立應(yīng)急處理服務(wù)隊伍,通過各種形式的培訓(xùn)提高全校師生的網(wǎng)絡(luò)安全意識,加強師生行為安全。主要職能是宣傳教育,對校園網(wǎng)用戶進行安全知識的教育與網(wǎng)絡(luò)安全技術(shù)培訓(xùn),使其提高自我保護意識,自覺關(guān)注網(wǎng)絡(luò)上最新的病毒和黑客攻擊,自主解決網(wǎng)絡(luò)安全問題。
應(yīng)急響應(yīng)是全方位的工作,再好的經(jīng)驗也是具有不可復(fù)制性,無論建立何種模式的機制,最重要的是要與高校網(wǎng)絡(luò)自身特點相結(jié)合,建立有自身特色的應(yīng)急響應(yīng)機制并在實踐過程中不斷改進和完善。一個良好的響應(yīng)機制要技術(shù)力量到位、部門責任明確、合作流程清晰,并遵循可行性、高效率、高效益和低風險的原則。因此我們應(yīng)通過加強主動性,使安全故障的應(yīng)急響應(yīng)能力從報警向預(yù)警的道路上邁出堅實的步伐,為從容不迫應(yīng)對網(wǎng)絡(luò)突發(fā)安全事件打下基礎(chǔ)。
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全漏洞;防火墻
中圖分類號:TN915.08文獻標識碼:A文章編號:1007-9599 (2010) 06-0000-01
Guarantee of Network Information Security
Li Chunyu,Li Gang
(Anyang Institute of Technology,Computer Engineering Department,Anyang455000,Chian)
Abstract:With the advent of information age,network and information security issues has also been impressively put forward to the world.This paper analyzes the network information security problems according to the actual need to introduce some specific preventive measures to improve the security of computer network information.
Keywords:Network security;Security vulnerabilities;Firewall
一、概述
隨著信息化時代的到來,“騰訊QQ”、“淘寶”已走進千家萬戶,帶來了經(jīng)濟的繁榮和發(fā)展,豐富和活躍了人們的精神文化生活,大大推進了社會文明建設(shè)的進程,但同時隨著人們信息化期望程度的加深,網(wǎng)絡(luò)與信息安全問題也已赫然擺在世人面前,網(wǎng)絡(luò)信息的安全問題,不論社會還是網(wǎng)絡(luò)技術(shù)方面,已是當務(wù)之急。
二、討論:網(wǎng)絡(luò)信息方面存在的安全問題
(一)病毒、木馬威脅加劇
據(jù)國內(nèi)信息安全廠商瑞星公司2008年11月份報告統(tǒng)計顯示,2008年的前10個月,互聯(lián)網(wǎng)上共出現(xiàn)新病毒9306985個,是2007年同期的12.16倍,木馬病毒和后門程序之和超過776萬,占總體病毒的83.4%,病毒數(shù)量呈現(xiàn)出了井噴式爆發(fā)。病毒木馬的機械化生產(chǎn)加速了新變種的產(chǎn)生,大量出現(xiàn)的系統(tǒng)及第三方應(yīng)用程序漏洞為病毒木馬傳播提供了更廣泛的途徑。
(二)安全漏洞
2008年安全漏洞被曝光的頻率及數(shù)量比以往都要多。存在的主要十大安全漏洞分別是:瀏覽器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻擊、Adobe Acrobat閱讀器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如Facebook應(yīng)用、網(wǎng)絡(luò)廣告等)、Realplayer漏洞和DNS緩存漏洞等。
(三)黑客行為,數(shù)據(jù)泄露
根據(jù)國家計算機病毒應(yīng)急處理中心的分析報告,2007年全國計算機病毒感染率已經(jīng)高達91.5%,其中相當部分已經(jīng)被黑客控制。黑客行為其核心特點是利用網(wǎng)絡(luò)用戶的失誤或系統(tǒng)的脆弱性因素,針對特定目標進行拒絕服務(wù)攻擊或侵占。
(四)垃圾郵件的泛濫
其核心特點是以廣播的方式鯨吞網(wǎng)絡(luò)資源,影響網(wǎng)絡(luò)用戶的正常活動。附帶調(diào)查性垃圾郵件,以獲取終端用戶的個人信息為目的。一旦用戶鏈接到目的網(wǎng)址,會被要求填寫一張個人信息表。這些信息可能被出售給營銷公司,也可能用于將來發(fā)送垃圾郵件。
(五)有害信息的惡意傳播
其核心特點是以廣泛傳播有害言論的方式,來控制、影響社會的輿論。
三、結(jié)論:網(wǎng)絡(luò)信息安全的防護措施
(一)以人為本,確保安全制度的建立和落實
根據(jù)實際情況和所采用的技術(shù)條件,制定出切實可行又比較全面的各類安全管理制度。
要強化工作人員的安全教育和法制教育,真正認識到計算機網(wǎng)絡(luò)系統(tǒng)安全的重要性和解決這一問題的長期性、艱巨性及復(fù)雜性。
(二)利用訪問與控制策略,確保網(wǎng)絡(luò)信息安全
訪問控制策略是網(wǎng)絡(luò)安全防范和保護的主要策略,其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護用,而訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制策略包括入網(wǎng)訪問控制策略、操作權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測、鎖定控制策略和防火墻控制策略等7個方面的內(nèi)容。
(三)利用防火墻控制網(wǎng)絡(luò)信息安全
防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻總體上分為包過濾、應(yīng)用級網(wǎng)關(guān)和服務(wù)器等幾大類型。
數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯,則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系, 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài),這有利于實施非法訪問和攻擊。
服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù), 其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記, 形成報告,同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報,并保留攻擊痕跡。
(四)利用數(shù)據(jù)加密技術(shù)控制網(wǎng)絡(luò)信息安全
數(shù)據(jù)傳輸加密技術(shù)目的是對傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端到端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發(fā)送者端自動加密,并進入TCP/IP數(shù)據(jù)包回封,然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng),當這些信息一旦到達目的地,將被自動重組、解密,成為可讀數(shù)據(jù)。數(shù)據(jù)存儲加密技術(shù)目的是防止在存儲環(huán)節(jié)的數(shù)據(jù)失密。
數(shù)據(jù)傳輸加密技術(shù)是為增強普通關(guān)系數(shù)據(jù)庫管理系統(tǒng)的安全性,提供一個安全適用的數(shù)據(jù)庫加密平臺,對數(shù)據(jù)庫存儲的內(nèi)容實施有效保護。它通過數(shù)據(jù)庫存儲加密等安全方法實現(xiàn)了數(shù)據(jù)庫數(shù)據(jù)存儲保密和完整性要求,使得數(shù)據(jù)庫以密文方式存儲并在密態(tài)方式下工作,確保了數(shù)據(jù)安全。
隨著計算機技術(shù)和通信技術(shù)的發(fā)展,計算機網(wǎng)絡(luò)將日益成為重要信息交換手段,滲透到社會生活的各個領(lǐng)域,只有采取強有力的安全策略,才能保障網(wǎng)絡(luò)信息的安全性
參考文獻:
[1]汪?;?淺議網(wǎng)絡(luò)安全問題及防范對策[J].信息技術(shù),2007
[2]趙丹麗,管建和.網(wǎng)絡(luò)通信與安全探討[J].軟件導(dǎo)刊,2008
[論文關(guān)鍵詞】電力信息安全策略
[論文摘要]通過對電力系統(tǒng)計算機網(wǎng)絡(luò)存在的網(wǎng)絡(luò)安全問廈的分析,提出相應(yīng)的安全對策,并介紹應(yīng)用于電力系統(tǒng)計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)。
在全球信息化的推動下,計算機信息網(wǎng)絡(luò)作用不斷擴大的同時,信息網(wǎng)絡(luò)的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障,是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠站自動化、配電網(wǎng)自動化、電力負荷控制、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。應(yīng)結(jié)合電力工業(yè)特點,深入分析電力系統(tǒng)信息安全存在的問題,探討建立電力系統(tǒng)信息安全體系,保證電網(wǎng)安全穩(wěn)定運行,提高電力企業(yè)社會效益和經(jīng)濟效益,更好地為國民經(jīng)濟高速發(fā)展和滿足人民生活需要服務(wù)。
研究電力系統(tǒng)信息安全問題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當前信息化工作的重要內(nèi)容。
一、電力系統(tǒng)的信息安全體系
信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。
信息安全涉及的因素有,物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。
信息安全應(yīng)該實行分層保護措施,有以下五個方面,
①物理層面安全,環(huán)境安全、設(shè)備安全、介質(zhì)安全,②網(wǎng)絡(luò)層面安全,網(wǎng)絡(luò)運行安全,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全,③系統(tǒng)層面安全,操作系統(tǒng)安全,數(shù)據(jù)庫管理系統(tǒng)安全,④應(yīng)用層面安全,辦公系統(tǒng)安全,業(yè)務(wù)系統(tǒng)安全,服務(wù)系統(tǒng)安全,⑤管理層面安全,安全管理制度,部門與人員的組織規(guī)則。
二、電力系統(tǒng)的信息安全策略
電力系統(tǒng)的信息安全具有訪問方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點。信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細考慮,并在實際運行中嚴格管理。為了保障信息安全,采取的策略如下:
(一)設(shè)備安全策略
這是在企業(yè)網(wǎng)規(guī)劃設(shè)計階段就應(yīng)充分考慮安全問題。將一些重要的設(shè)備,如各種服務(wù)器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止意外損壞。對于終端設(shè)備,如工作站、小型交挾機、集線器和其它轉(zhuǎn)接設(shè)備要落實到人,進行嚴格管理。
(一)安全技術(shù)策略
為了達到保障信息安全的目的,要采取各種安全技術(shù),其不可缺少的技術(shù)層措施如下:
1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù),它通過單一集中的安全檢查點,強制實糟相應(yīng)的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。
2.病毒防護技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端,在服務(wù)器上安裝基于服務(wù)器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計算機病毒預(yù)防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個LAN內(nèi)的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
4.數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫必須定期進行備份,按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進災(zāi)難恢復(fù)技術(shù),對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復(fù)預(yù)案,并進行定期預(yù)演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。
5.安全審計技術(shù)。隨著系統(tǒng)規(guī)模的擴展與安全設(shè)施的完善,應(yīng)該引入集中智能的安全審計系統(tǒng),通過技術(shù)手段,實現(xiàn)自動對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、安全設(shè)施運行日志等進行統(tǒng)一安全審計,及時自動分析系統(tǒng)安全事件,實現(xiàn)系統(tǒng)安全運行管理。
6.建立信息安全身份認證體系。CA是CertificateAuthority的縮寫,即證書授權(quán)。在電子商務(wù)系統(tǒng)中,所有實體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的。一個完整、安全的電子商務(wù)系統(tǒng)必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統(tǒng)就其實質(zhì)來說,是一個典型的電子商務(wù)系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場技術(shù)支持系統(tǒng)中,作為市場成員交易各方的身份確認、物流控制、財務(wù)結(jié)算、實時數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認證系統(tǒng)。在電力系統(tǒng)中,電子商務(wù)逐步擴展到電力營銷系統(tǒng)、電力物質(zhì)采購系統(tǒng)、電力燃料供應(yīng)系統(tǒng)等許多方面。因此,建立全國和網(wǎng)、省公司的cA機構(gòu),對企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認證和數(shù)字簽名等安全認證,對系統(tǒng)中關(guān)鍵業(yè)務(wù)進行安全審計,并開展與銀行之間、上下級CA機構(gòu)之間、其他需要CA機構(gòu)之間的交叉認證的技術(shù)研究及試點工作。
(三)組織管理策略
信息安全是技術(shù)措施和組織管理措施的統(tǒng)一,“三分技術(shù)、七分管理”。據(jù)統(tǒng)計,在所有的計算機安全事件中,屬于管理方面的原因比重高達70%以上。沒有管理,就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品,如果沒有科學(xué)的組織管理配合,都會形同虛設(shè)。
1.安全意識與安全技能。通過普及安全知識的培訓(xùn),可以提高電力企業(yè)職員安全知識和安全意識,使他們具備一些基本的安全防護意識和發(fā)現(xiàn)解決某些常見安全問題的能力。通過專業(yè)安全培訓(xùn)提高操作維護者的安全操作技能,然后再配合第三方安全技術(shù)和產(chǎn)品,將使信息安全保障工作得到提升。
2.安全策略與制度。電力企業(yè)應(yīng)該從企業(yè)發(fā)展角度對整體的信息安全工作提供方針性指導(dǎo),制定一套指導(dǎo)性的、統(tǒng)一的安全策略和制度。沒有標準,無法衡量信息的安全,沒有法規(guī),無從遵循信息安全的制度,沒有策略,無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化,是法規(guī)與管理的接口和信息安全得以實現(xiàn)的重要保證。
3.安全組織與崗位。電力企業(yè)的組織體系應(yīng)實行“統(tǒng)一組織、分散管理”的方式,建立一個有效、獨立的信息安全部門作為企業(yè)的信息安全管理機構(gòu),全面負責企業(yè)范圍內(nèi)的信息安全管理和維護工作。安全崗位是信息系統(tǒng)安全管理機構(gòu),根據(jù)系統(tǒng)安全需要設(shè)定的負責某一個或某幾個安全事務(wù)的職位,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作,使各級信息技術(shù)部門也因此會很好配合信息安全推行工作。