開(kāi)篇:寫(xiě)作不僅是一種記錄���,更是一種創(chuàng)造�,它讓我們能夠捕捉那些稍縱即逝的靈感���,將它們永久地定格在紙上����。下面是小編精心整理的12篇信息安全服務(wù)評(píng)估報(bào)告�,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友�,陪伴您不斷探索和進(jìn)步。
第1篇
關(guān)鍵詞:信息安全;風(fēng)險(xiǎn)評(píng)估����;脆弱性���;威脅
1.引言
隨著信息技術(shù)的飛速發(fā)展,關(guān)系國(guó)計(jì)民生的關(guān)鍵信息資源的規(guī)模越來(lái)越大���,信息系統(tǒng)的復(fù)雜程度越來(lái)越高,保障信息資源���、信息系統(tǒng)的安全是國(guó)民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度����,運(yùn)用科學(xué)的分析方法和手段����,系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性�,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施����,以防范和化解風(fēng)險(xiǎn)����,或者將殘余風(fēng)險(xiǎn)控制在可接受的水平�,從而最大限度地保障網(wǎng)絡(luò)與信息安全。
2���、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析
“網(wǎng)絡(luò)信息的安全”從狹義的字面上來(lái)講就是網(wǎng)絡(luò)上各種信息的安全�,而從廣義的角度考慮����,還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件�、數(shù)據(jù)以及數(shù)據(jù)處理����、存儲(chǔ)����、傳輸?shù)仁褂眠^(guò)程的安全���。
網(wǎng)絡(luò)信息安全具有如下6個(gè)特征:(1)保密性���。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w�。(2)完整性。即信息未經(jīng)授權(quán)不能被修改����、破壞����。(3)可用性���。即能保證合法的用戶(hù)正常訪問(wèn)相關(guān)的信息����。(4)可控性。即信息的內(nèi)容及傳播過(guò)程能夠被有效地合法控制���。
(5)可審查性。即信息的使用過(guò)程都有相關(guān)的記錄可供事后查詢(xún)核對(duì)���。網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛,根據(jù)不同的分類(lèi)方法可以有多種不同的分類(lèi)���。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題的復(fù)雜性。
而通過(guò)有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析���,就能夠?yàn)榇藦?fù)雜問(wèn)題的解決找到一個(gè)考慮問(wèn)題的立足點(diǎn),能夠?qū)?fù)雜的問(wèn)題量化����,同時(shí),也為能通過(guò)其他方法如人工智能網(wǎng)絡(luò)方法解決問(wèn)題提供依據(jù)和基礎(chǔ)。
網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類(lèi):(1)自然界因素,如地震���、火災(zāi)、風(fēng)災(zāi)、水災(zāi)����、雷電等�;(2)社會(huì)因素���,主要是人類(lèi)社會(huì)的各種活動(dòng)�,如暴力、戰(zhàn)爭(zhēng)、盜竊等;(3)網(wǎng)絡(luò)硬件的因素����,如機(jī)房包括交換機(jī)���、路由器����、服務(wù)器等受電力���、溫度����、濕度、灰塵�、電磁干擾等影響�;(4)軟件的因素,包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶(hù)計(jì)算機(jī)的操作系統(tǒng)����、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等���;(5)人為的因素,主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來(lái)的影響因素,如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)���、騙取口令、木馬攻擊等;(6)其他因素���,包括政府職能部門(mén)的監(jiān)管因素、有關(guān)部門(mén)對(duì)相關(guān)法律法規(guī)立法因素、教育部門(mén)對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門(mén)對(duì)相關(guān)安全內(nèi)容的宣傳因素等�。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響�。
3�、安全風(fēng)險(xiǎn)評(píng)估方法
3.1定制個(gè)性化的評(píng)估方法
雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程,但在實(shí)踐過(guò)程中,不應(yīng)只是這些方法的套用和拷貝����,而是以他們作為參考�,根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力�,進(jìn)行“基因”重組,定制個(gè)性化的評(píng)估方法,使得評(píng)估服務(wù)具有可裁剪性和靈活性����。評(píng)估種類(lèi)一般有整體評(píng)估�、IT安全評(píng)估����、滲透測(cè)試、邊界評(píng)估����、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估�、脆弱性?huà)呙?、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等����。
3.2安全整體框架的設(shè)計(jì)
風(fēng)險(xiǎn)評(píng)估的目的�,不僅在于明確風(fēng)險(xiǎn)���,更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)�。作為評(píng)估直接輸出���,用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架���。但是由于不同企業(yè)環(huán)境差異����、需求差異,加上在操作層面可參考的模板很少�,使得整體框架應(yīng)用較少�。但是����,企業(yè)至少應(yīng)該完成近期1~2年內(nèi)框架,這樣才能做到有律可依�。
3.3多用戶(hù)決策評(píng)估
不同層面的用戶(hù)能看到不同的問(wèn)題����,要全面了解風(fēng)險(xiǎn)�,必須進(jìn)行多用戶(hù)溝通評(píng)估。將評(píng)估過(guò)程作為多用戶(hù)“決策”過(guò)程�,對(duì)于了解風(fēng)險(xiǎn)����、理解風(fēng)險(xiǎn)����、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng)�,具有極大的意義���。事實(shí)證明���,多用戶(hù)參與的效果非常明顯。多用戶(hù)“決策”評(píng)估,也需要一個(gè)具體的流程和方法。
3.4敏感性分析
由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián),使得風(fēng)險(xiǎn)越來(lái)越隱蔽���。要提高評(píng)估效果����,必須進(jìn)行深入關(guān)聯(lián)分析�,比如對(duì)一個(gè)老漏洞,不是簡(jiǎn)單地分析它的影響和解決措施����,而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞����,找出病“根”����,開(kāi)出有效的“處方”。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫(kù)支撐���,同時(shí)要求評(píng)估者具有敏銳的分析能力����。
3.5評(píng)估結(jié)果管理
安全風(fēng)險(xiǎn)評(píng)估的輸出���,不應(yīng)是文檔的堆砌�,而是一套能夠進(jìn)行記錄���、管理的系統(tǒng)�。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng)���,但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng),使用它來(lái)指導(dǎo)評(píng)估過(guò)程,管理評(píng)估結(jié)果,以便在管理層面提高評(píng)估效果����。
4�、風(fēng)險(xiǎn)評(píng)估的過(guò)程
4.1前期準(zhǔn)備階段
主要任務(wù)是明確評(píng)估目標(biāo)�,確定評(píng)估所涉及的業(yè)務(wù)范圍,簽署相關(guān)合同及協(xié)議,接收被評(píng)估對(duì)象已存在的相關(guān)資料。展開(kāi)對(duì)被評(píng)估對(duì)象的調(diào)查研究工作�。
4.2中期現(xiàn)場(chǎng)階段
編寫(xiě)測(cè)評(píng)方案�,準(zhǔn)備現(xiàn)場(chǎng)測(cè)試表���、管理問(wèn)卷���,展開(kāi)現(xiàn)場(chǎng)階段的測(cè)試和調(diào)查研究階段���。
4.3后期評(píng)估階段
撰寫(xiě)系統(tǒng)測(cè)試報(bào)告�。進(jìn)行補(bǔ)充調(diào)查研究,評(píng)估組依據(jù)系統(tǒng)測(cè)試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告�。
5.風(fēng)險(xiǎn)評(píng)估的錯(cuò)誤理解
(1)
不能把最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告認(rèn)為是結(jié)果唯一����。
(2)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)所有的安全問(wèn)題���。
(3)
不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以一勞永逸的解決安全問(wèn)題����。
(4)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是漏洞掃描。
(5)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是IT部門(mén)的工作,與其它部門(mén)無(wú)關(guān)����。
(6)
不能認(rèn)為風(fēng)險(xiǎn)評(píng)估是對(duì)所有信息資產(chǎn)都進(jìn)行評(píng)估�。
第2篇
地址:__________________________
法定代表人:____________________
乙方:__________________________
地址:__________________________
法定代表人:____________________
受_________委托����,由乙方即中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心_________測(cè)評(píng)中心(該中心系由國(guó)家授權(quán)履行對(duì)信息安全產(chǎn)品���,信息系統(tǒng)及信息安全服務(wù)進(jìn)行測(cè)評(píng)認(rèn)證的第三方權(quán)威����,公證機(jī)構(gòu)。)對(duì)甲方即進(jìn)行測(cè)評(píng)����。為保證信息系統(tǒng)檢測(cè)評(píng)估過(guò)程的順利進(jìn)行����,提高信息系統(tǒng)的安全性,現(xiàn)經(jīng)甲���、乙雙方平等協(xié)商,自愿簽訂本協(xié)議���,共同遵守如下條款:
1.經(jīng)甲乙雙方協(xié)商,于_______年______月______日起(時(shí)間約為_(kāi)_______周)由乙方對(duì)甲方網(wǎng)絡(luò)系統(tǒng)的安全性進(jìn)行檢測(cè)評(píng)估。
2.測(cè)評(píng)范圍為_(kāi)______________________________________���。
3.在檢測(cè)評(píng)估過(guò)程中,甲方應(yīng)協(xié)助并向乙方提供有關(guān)網(wǎng)絡(luò)系統(tǒng)檢測(cè)評(píng)估所需的文檔。
4.乙方在對(duì)甲方的網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè)評(píng)估中必須嚴(yán)格依照信息系統(tǒng)檢測(cè)評(píng)估要求與標(biāo)準(zhǔn)執(zhí)行�。信息系統(tǒng)檢測(cè)評(píng)估過(guò)程如下:
(1)甲方向乙方提交系統(tǒng)檢測(cè)評(píng)估申請(qǐng)文檔�;
(2)乙方對(duì)甲方提交的文檔進(jìn)行形式化審查�;
(3)乙方對(duì)甲方提交的文檔進(jìn)行技術(shù)審查;
(4)乙方確定現(xiàn)場(chǎng)核查方案及計(jì)劃;
(5)乙方對(duì)甲方申請(qǐng)檢測(cè)的系統(tǒng)進(jìn)行現(xiàn)場(chǎng)核查檢測(cè)�;
(6)乙方整理分析檢測(cè)數(shù)據(jù)并撰寫(xiě)檢測(cè)報(bào)告�;
(7)乙方向甲方提交系統(tǒng)檢測(cè)報(bào)告���。
5.乙方在檢測(cè)評(píng)估完畢后_________個(gè)工作日內(nèi)向甲方提交網(wǎng)絡(luò)系統(tǒng)檢測(cè)評(píng)估報(bào)告�。
6.乙方有義務(wù)對(duì)甲方提交的任何文檔資料以及檢測(cè)評(píng)估數(shù)據(jù)與結(jié)果保密,嚴(yán)格依照《中華人民共和國(guó)保密法》相關(guān)事宜執(zhí)行,以確保任何相關(guān)技術(shù)及業(yè)務(wù)文檔不得泄露。
7.甲方應(yīng)在本協(xié)議生效之日起_________個(gè)工作日內(nèi)將系統(tǒng)檢測(cè)評(píng)估費(fèi)用人民幣_(tái)________元轉(zhuǎn)入乙方指定的銀行賬戶(hù)中���。
8.本協(xié)議未盡事宜,雙方協(xié)商解決�,與國(guó)家法律法規(guī)相抵觸的按國(guó)家規(guī)定執(zhí)行���。
9.本協(xié)議自簽訂之日起生效,一式三份�,甲方持一份����,乙方持兩份�。
甲方(蓋章):_________乙方(蓋章):_________
第3篇
【 關(guān)鍵詞 】 信息安全;電力企業(yè)���;風(fēng)險(xiǎn)評(píng)估���;管理模式
1 引言
在如今的信息化社會(huì)中���,信息通過(guò)共享傳遞實(shí)現(xiàn)其價(jià)值���。在信息交換的過(guò)程中�,人們肯定會(huì)擔(dān)心自己的信息泄露����,所以信息安全備受關(guān)注,企業(yè)的信息安全就更為重要了�。但是網(wǎng)絡(luò)是一個(gè)開(kāi)放互聯(lián)的環(huán)境����,接入網(wǎng)絡(luò)的方式多樣����,再加上技術(shù)存在的漏洞或者人們可能的操作失誤等,信息安全問(wèn)題一刻不容忽視���。尤其是電力,是國(guó)家規(guī)定的重要信息安全領(lǐng)域�。所以電力企業(yè)要把信息安全管理體系的建設(shè)�,作為重要的一環(huán)納入到整個(gè)企業(yè)管理體系中去����。
2 電力企業(yè)信息管理體系建設(shè)的依據(jù)
關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多���。英國(guó)BSI/DISC的BDD信息管理委員會(huì)制定的安全管理體系主要包含兩個(gè)部分內(nèi)容:信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范����。信息安全管理實(shí)施規(guī)則是一個(gè)基礎(chǔ)性指導(dǎo)文件,里面有10大管理項(xiàng)、36個(gè)執(zhí)行的目標(biāo)和127種控制的方法����,可以作為開(kāi)發(fā)人員在信息安全管理體系開(kāi)發(fā)過(guò)程中的一個(gè)參考文檔���。信息安全管理體系規(guī)范則詳細(xì)描述了在建立�、施工和維護(hù)信息安全管理體系過(guò)程的要求,并提出了一些具體操作的建議����。
國(guó)際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)�,如ISO x系列����、ISO/IEC x系列等。我國(guó)也制定了一系列的信息安全標(biāo)準(zhǔn)���,如GB 15851―1995。
關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多���,如何針對(duì)企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要,尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)�,選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎���。我國(guó)電力企業(yè)已經(jīng)引入了一些國(guó)際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證���,關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)����,但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境�,所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下���,也應(yīng)該根據(jù)企業(yè)自身地區(qū)���、人文����、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求。
3 信息安全管理體系里的重要環(huán)節(jié)
3.1 硬件環(huán)境要求
信息安全管理體系并沒(méi)有特別要求添加什么特別的設(shè)備���,只是對(duì)企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式,內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離���。企業(yè)每個(gè)員工基本都有自己的移動(dòng)設(shè)備,如手機(jī)等,為了增加信息安全的系數(shù)����,企業(yè)可以限制公司設(shè)備的無(wú)線(xiàn)網(wǎng)絡(luò)拓展�。另外�,實(shí)時(shí)監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備,監(jiān)控硬件設(shè)備的安全。
3.2 軟件環(huán)境要求
在企業(yè)設(shè)備(主要是計(jì)算機(jī))上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等,以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外,企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密���、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問(wèn)題,都在信息安全管理體系設(shè)計(jì)的考慮范疇����。
3.3 企業(yè)員工管理
盡管現(xiàn)在一直倡導(dǎo)智能化�,但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工����。不管是對(duì)設(shè)備終端操作來(lái)進(jìn)行信息的首發(fā)�,還是對(duì)企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作,都是有員工來(lái)進(jìn)行的���。所以,對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)����,提高員工的信息安全防范意識(shí)�,讓員工掌握一定的信息安全防范與處理手段是非常重要的事情���。針對(duì)不同的職位����,在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn),然后對(duì)培訓(xùn)結(jié)果進(jìn)行考核���,不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核�。另外���,如果有條件的話(huà)���,企業(yè)應(yīng)該定期(例如每年)進(jìn)行一次信息安全的相關(guān)演習(xí)���。
另外���,電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的�,這時(shí)候會(huì)有施工人員和駐場(chǎng)人員在電力企業(yè)����,對(duì)這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)�。
3.4 信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估
風(fēng)險(xiǎn)評(píng)估在信息安全管理體系中是確定企業(yè)信息安全需求的一個(gè)重要途徑,它是對(duì)企業(yè)的信息資產(chǎn)所面臨的威脅���、存在的弱點(diǎn)����、造成的影響,以及三者綜合作用下所帶來(lái)的風(fēng)險(xiǎn)可能性的評(píng)測(cè)���。風(fēng)險(xiǎn)評(píng)估的主要任務(wù)是:檢測(cè)評(píng)估對(duì)象所面臨的各種風(fēng)險(xiǎn)���,估計(jì)風(fēng)險(xiǎn)的概率和可能帶來(lái)的負(fù)面影響的程度���,確定信息安全管理體系承受風(fēng)險(xiǎn)的能力����,確定不同風(fēng)險(xiǎn)發(fā)生后消減和控制的優(yōu)先級(jí)���,對(duì)消除風(fēng)險(xiǎn)提出建議����。在信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估過(guò)程中,形成《風(fēng)險(xiǎn)系數(shù)評(píng)估報(bào)告》���、《風(fēng)險(xiǎn)處理方案》等文檔�,作為對(duì)信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險(xiǎn)系數(shù)的評(píng)估要盡可能全面的反映企業(yè)的信息安全管理體系,除了常規(guī)手段���,也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對(duì)風(fēng)險(xiǎn)的理解,企業(yè)員工對(duì)他們所操作的對(duì)象有比較深刻的理解���,對(duì)其中可能存在的不足也有自己的見(jiàn)解,在風(fēng)險(xiǎn)系數(shù)評(píng)估的過(guò)程中,可以進(jìn)行一些員工的問(wèn)卷調(diào)查等����,把員工對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)納入風(fēng)險(xiǎn)評(píng)估的考慮范疇�。
企業(yè)的設(shè)備會(huì)老舊更換�,員工也會(huì)更換,所以企業(yè)的信息安全是動(dòng)態(tài)的,因此風(fēng)險(xiǎn)評(píng)估工作也要視具體情況定期進(jìn)行����,針對(duì)當(dāng)前情況作評(píng)估報(bào)告�,然后制定相應(yīng)的風(fēng)險(xiǎn)處理方案�。還有,之所以要建立信息安全管理體系,其中很重要的一點(diǎn)就是體系內(nèi)各個(gè)模塊的結(jié)合�,信息安全管理體系的風(fēng)險(xiǎn)評(píng)估與關(guān)鍵內(nèi)容的實(shí)時(shí)監(jiān)控就應(yīng)該結(jié)合起來(lái)�。
為了降低信息安全管理體系的風(fēng)險(xiǎn)系數(shù)�,提升信息安全等級(jí),要做的工作很多。滲透測(cè)試就是其中很有必要的一項(xiàng)工作。滲透測(cè)試是測(cè)試人員通過(guò)模擬惡意攻擊者的攻擊方式,來(lái)評(píng)估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)測(cè)方法����。這個(gè)測(cè)試過(guò)程會(huì)對(duì)系統(tǒng)的可知的所有弱點(diǎn)�、技術(shù)方面的缺陷或者漏洞等作主動(dòng)的分析�。滲透測(cè)試對(duì)于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價(jià)值。隨著技術(shù)的不斷進(jìn)步����,可能還會(huì)出現(xiàn)其他的更有價(jià)值的信息安全技術(shù)����,作為信息安全備受矚目的電力企業(yè),應(yīng)當(dāng)時(shí)刻關(guān)注相關(guān)技術(shù)的進(jìn)展����,并及時(shí)將它們納入企業(yè)信息安全管理體系中來(lái)。
3.5 信息安全管理體系的管理模式
文章前面提到企業(yè)信息安全是動(dòng)態(tài)的,所以信息安全管理體系需要建立一個(gè)長(zhǎng)效的機(jī)制���,針對(duì)最新的情況及時(shí)對(duì)自身作出調(diào)整,使信息安全管理體系有效的運(yùn)行。現(xiàn)在一般會(huì)采用PDCA循環(huán)過(guò)程模式:計(jì)劃����,依照體系整個(gè)的方針和目標(biāo)���,建立與控制風(fēng)險(xiǎn)系數(shù)���、提高信息安全的有關(guān)的安全方針���、過(guò)程���、指標(biāo)和程序等���;執(zhí)行:實(shí)施和運(yùn)作計(jì)劃中建立的方針�、過(guò)程���、程序等���;評(píng)測(cè):根據(jù)方針���、目標(biāo)等����,評(píng)估業(yè)績(jī),并形成報(bào)告,也就是文章前面說(shuō)到的風(fēng)險(xiǎn)系數(shù)評(píng)估;舉措:采取主動(dòng)糾正或預(yù)防措施對(duì)體系進(jìn)行調(diào)整���,進(jìn)一步提高體系運(yùn)作的有效性���。這四個(gè)步驟循環(huán)運(yùn)轉(zhuǎn)�,成為一個(gè)閉環(huán),是信息安全管理體系得到持續(xù)的改進(jìn)���。
4 重要技術(shù)及展望
4.1 安全隔離技術(shù)
電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成,從被防御的角度來(lái)看的話(huà)����,內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻�、桌面弱口令監(jiān)控�、入侵檢測(cè)技術(shù)等;而主動(dòng)防護(hù)則主要采用的是安全隔離技術(shù)等�。安全隔離技術(shù)包括物理隔離�、協(xié)議隔離技術(shù)和防火墻技術(shù)�。一般電力企業(yè)采用了物理隔離與防火墻技術(shù),在內(nèi)網(wǎng)設(shè)立防火墻���,在內(nèi)外網(wǎng)之間進(jìn)行物理隔離。
4.2 數(shù)據(jù)加密技術(shù)
企業(yè)的數(shù)據(jù)在傳輸過(guò)程中一般都要進(jìn)行加密來(lái)降低信息泄露的風(fēng)險(xiǎn)����?���?梢愿鶕?jù)電力企業(yè)內(nèi)部具體的安全要求��,對(duì)規(guī)定的文檔�����、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過(guò)外網(wǎng)傳輸?shù)臅r(shí)候�����,除了對(duì)數(shù)據(jù)進(jìn)行加密外��,還應(yīng)該在鏈路兩端進(jìn)行通道加密���。
4.3 終端弱口令監(jiān)控技術(shù)
終端設(shè)備眾多���,而且是業(yè)務(wù)應(yīng)用的主要入口��,所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過(guò)于簡(jiǎn)單薄弱�����,相當(dāng)于沒(méi)有設(shè)定而將設(shè)備暴露��。終端的信息安全是電力企業(yè)信息安全的第一道防線(xiàn)���,因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來(lái)加強(qiáng)這第一道防線(xiàn)的穩(wěn)固性對(duì)電力企業(yè)的信息安全非常重要�����。
電力企業(yè)信息安全管理體系是一個(gè)復(fù)雜的系統(tǒng),包含眾多的安全技術(shù)���,如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶(hù)身份認(rèn)證技術(shù)��、虛擬專(zhuān)用網(wǎng)技術(shù)���、協(xié)議隔離技術(shù)等�����。凡是與信息安全相關(guān)的技術(shù)��,電力企業(yè)都應(yīng)當(dāng)關(guān)注�����,并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去�����。
智能化已成為不管是研究還是社會(huì)應(yīng)用的熱門(mén)詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢?不妨做一個(gè)展望�����,電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力���,在信息安全環(huán)境越來(lái)越復(fù)雜��,信息量越來(lái)越龐大的情況下是否會(huì)更能發(fā)揮信息安全管理體系的作用呢��?這應(yīng)該是值得期待的。
5 防病毒軟件部署
電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署,如防病毒軟件部署�����、桌面弱口令監(jiān)控系統(tǒng)部署�����、系統(tǒng)安全衛(wèi)士部署等��。但是它們的部署情況類(lèi)似,這里用防病毒軟件的部署來(lái)展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架�����。
殺毒軟件種類(lèi)有很多���,這里以賽門(mén)鐵克殺毒軟件為例��。企業(yè)版的賽門(mén)鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能�����,能夠很大程度地減輕維護(hù)人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行���,在電力企業(yè)內(nèi)部正式使用時(shí),盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專(zhuān)用的服務(wù)器�����。
服務(wù)器安裝配置好賽門(mén)鐵克防病毒軟件后�����,可以遠(yuǎn)程控制客戶(hù)端與下級(jí)升級(jí)服務(wù)器的軟件安裝與升級(jí)�����。
電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的,這樣的話(huà),防病毒軟件的更新可能無(wú)法自動(dòng)完成���。防病毒軟件需要升級(jí)的時(shí)候,維護(hù)人員在通過(guò)外網(wǎng)在相應(yīng)網(wǎng)址下載賽門(mén)鐵克升級(jí)包��,然后通過(guò)安全U盤(pán)拷貝到防病毒軟件系統(tǒng)專(zhuān)用服務(wù)器進(jìn)行升級(jí)操作�����。在圖1中�����,省電力公司的防病毒管理控制臺(tái)獲得升級(jí)包可以下發(fā)給下級(jí)升級(jí)服務(wù)器和客戶(hù)端進(jìn)行防病毒軟件系統(tǒng)的自動(dòng)升級(jí)更新���。圖1是一個(gè)簡(jiǎn)單的框圖�����,如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話(huà)�����,還可以更多級(jí)地分布部署。
6 結(jié)束語(yǔ)
電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營(yíng)管理密切相關(guān)���,是企業(yè)整個(gè)管理系統(tǒng)的一部分。信息安全管理體系是一個(gè)整體性的管理工作���,把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理,讓它們協(xié)調(diào)運(yùn)作�����,實(shí)現(xiàn)信息安全管理體系的功能��。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定��、有效地維護(hù)企業(yè)的信息安全。
參考文獻(xiàn)
[1] 王志強(qiáng)�����,李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司�����,2008,6(3):26-29.
[2] 陳賀,宮俊峰.淺析信息安全體系如何建立[J].中國(guó)管理信息化��,2014�����,17(1):74-76.
[3] 郭建�����,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù)��,2013(1):180-187.
[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù),2013��,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密�����,2010��,01(10):68-71.
[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識(shí)與技術(shù),2005(29).
[7] 曹鳴鵬�����, 趙偉��, 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用���,2001���, 21(10): 20-23.
[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué),2004(14):125-127.
作者簡(jiǎn)介:
崔阿軍(1984-)�����,男��,甘肅平?jīng)鋈?��,碩士研究生��,工程師;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究。
張馴(1984-),男,江蘇揚(yáng)州人��,本科�����,工程師��;主要研究方向和關(guān)注領(lǐng)域:電力信息通信安全技術(shù)研究。
李志茹(1984-),女��,山東平度人���,碩士研究生�����,工程師���;主要研究方向和關(guān)注領(lǐng)域:信息化建設(shè)及安全技術(shù)��。
龔波(1981-),男���,湖南新邵人��,本科�����,工程師;主要研究方向和關(guān)注領(lǐng)域:電力信息化建設(shè)及安全技術(shù)�����。
第4篇
僅供參考
為保證有效平穩(wěn)處置互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件中�����,實(shí)現(xiàn)統(tǒng)一指揮���、協(xié)調(diào)配合�����,及時(shí)發(fā)現(xiàn)�����、快速反應(yīng),嚴(yán)密防范�����、妥善處置��,保障互聯(lián)網(wǎng)網(wǎng)絡(luò)安全���,維護(hù)社會(huì)穩(wěn)定,制定本預(yù)案�����。
一�����、總則
(一)編制目的
為提處置網(wǎng)絡(luò)與信息安全突發(fā)事件的能力��,形成科學(xué)、有效�����、反應(yīng)迅速的應(yīng)急工作機(jī)制��,確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全��、運(yùn)行安全和數(shù)據(jù)安全,最大程度地預(yù)防和減少網(wǎng)絡(luò)與信息安全突發(fā)事件及其造成的損害���,保障信息資產(chǎn)安全,特制定本預(yù)案���。
(二)編制依據(jù)
根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、公安部《計(jì)算機(jī)病毒防治管理辦法》���,制定本預(yù)案。
(三)分類(lèi)分級(jí)
本預(yù)案所稱(chēng)網(wǎng)絡(luò)與信息安全突發(fā)事件���,是指本系統(tǒng)信息系統(tǒng)突然遭受不可預(yù)知外力的破壞、毀損、故障,發(fā)生對(duì)國(guó)家���、社會(huì)、公眾造成或者可能造成重大危害��,危及公共安全的緊急事件��。
1、事件分類(lèi)
根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的性質(zhì)、機(jī)理和發(fā)生過(guò)程,網(wǎng)絡(luò)與信息安全突發(fā)事件主要分為以下三類(lèi):
(1)自然災(zāi)害��。指地震��、臺(tái)風(fēng)���、雷電���、火災(zāi)���、洪水等引起的網(wǎng)絡(luò)與信息系統(tǒng)的損壞�����。
(2)事故災(zāi)難。指電力中斷、網(wǎng)絡(luò)損壞或是軟件�����、硬件設(shè)備故障等引起的網(wǎng)絡(luò)與信息系統(tǒng)的損壞�����。
(3)人為破壞��。指人為破壞網(wǎng)絡(luò)線(xiàn)路�����、通信設(shè)施,黑客攻擊���、病毒攻擊��、恐怖襲擊等引起的網(wǎng)絡(luò)與信息系統(tǒng)的損壞���。
2���、事件分級(jí)
根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的可控性���、嚴(yán)重程度和影響范圍�����,縣上分類(lèi)情況。
(1)i級(jí)�����、ⅱ級(jí)��。重要網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生全局大規(guī)模癱瘓�����,事態(tài)發(fā)展超出控制能力,需要縣級(jí)各部門(mén)協(xié)調(diào)解決,對(duì)國(guó)家安全、社會(huì)秩序�����、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害的信息安全突發(fā)事件���。
(2)ⅲ級(jí)�����。某一部分的重要網(wǎng)絡(luò)與信息系統(tǒng)癱瘓,對(duì)國(guó)家安全�����、社會(huì)秩序���、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害���,屬縣內(nèi)控制之內(nèi)的信息安全突發(fā)事件�����。
(3)ⅳ級(jí)�����。重要網(wǎng)絡(luò)與信息系統(tǒng)使用效率上受到一定程度的損壞,對(duì)公民�����、法人和其他組織的權(quán)益有一定影響��,但不危害國(guó)家安全��、社會(huì)秩序���、經(jīng)濟(jì)建設(shè)和公共利益的信息安全突發(fā)事件���。
(四)適用范圍
適用于本系統(tǒng)發(fā)生或可能導(dǎo)致發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急處置工作���。
(五)工作原則
1、居安思危���,預(yù)防為主。立足安全防護(hù)���,加強(qiáng)預(yù)警,重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全���、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)�����,從預(yù)防���、監(jiān)控��、應(yīng)急處理��、應(yīng)急保障和打擊犯罪等環(huán)節(jié),在法律��、管理�����、技術(shù)�����、人才等方面,采取多種措施�����,充分發(fā)揮各方面的作用�����,共同構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。
2、提高素質(zhì)��,快速反應(yīng)��。加強(qiáng)網(wǎng)絡(luò)與信息安全科學(xué)研究和技術(shù)開(kāi)發(fā)���,采用先進(jìn)的監(jiān)測(cè)��、預(yù)測(cè)、預(yù)警���、預(yù)防和應(yīng)急處置技術(shù)及設(shè)施,充分發(fā)揮專(zhuān)業(yè)人員的作用,在網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生時(shí)���,按照快速反應(yīng)機(jī)制��,及時(shí)獲取充分而準(zhǔn)確的信息,跟蹤研判,果斷決策���,迅速處置,最大程度地減少危害和影響。
3���、以人為本,減少損害。把保障公共利益以及公民���、法人和其他組織的合法權(quán)益的安全作為首要任務(wù),及時(shí)采取措施,最大限度地避免公共財(cái)產(chǎn)、信息資產(chǎn)遭受損失���。
4、加強(qiáng)管理,分級(jí)負(fù)責(zé)。按照“條塊結(jié)合,以條為主”的原則,建立和完善安全責(zé)任制及聯(lián)動(dòng)工作機(jī)制��。根據(jù)部門(mén)職能���,各司其職��,加強(qiáng)部門(mén)間協(xié)調(diào)與配合�����,形成合力,共同履行應(yīng)急處置工作的管理職責(zé)���。
5、定期演練�����,常備不懈��。積極參與縣上組織的演練���,規(guī)范應(yīng)急處置措施與操作流程,確保應(yīng)急預(yù)案切實(shí)有效�����,實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急處置的科學(xué)化�����、程序化與規(guī)范化。
二�����、組織指揮機(jī)構(gòu)與職責(zé)
(一)組織體系
成立網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組���,組長(zhǎng)局黨委書(shū)記��、局長(zhǎng)擔(dān)任��,副組長(zhǎng)由局分管領(lǐng)導(dǎo),成員包括:信息全體人員���、各通信公司相關(guān)負(fù)責(zé)人。
(二)工作職責(zé)
1���、研究制訂我中心網(wǎng)絡(luò)與信息安全應(yīng)急處置工作的規(guī)劃、計(jì)劃和政策��,協(xié)調(diào)推進(jìn)我中心網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制和工作體系建設(shè)�����。
2�����、發(fā)生i級(jí)、ⅱ級(jí)��、ⅲ級(jí)網(wǎng)絡(luò)與信息安全突發(fā)事件后��,決定啟動(dòng)本預(yù)案��,組織應(yīng)急處置工作。如網(wǎng)絡(luò)與信息安全突發(fā)事件屬于i級(jí)�����、ⅱ級(jí)的�����,向縣有關(guān)部門(mén)通報(bào)并協(xié)調(diào)縣有關(guān)部門(mén)配合處理��。
3、研究提出網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制建設(shè)規(guī)劃��,檢查�����、指導(dǎo)和督促網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制建設(shè)�����。指導(dǎo)督促重要信息系統(tǒng)應(yīng)急預(yù)案的修訂和完善,檢查落實(shí)預(yù)案執(zhí)行情況��。
4��、指導(dǎo)應(yīng)對(duì)網(wǎng)絡(luò)與信息安全突發(fā)事件的科學(xué)研究�����、預(yù)案演習(xí)、宣傳培訓(xùn)�����,督促應(yīng)急保障體系建設(shè)��。
5��、及時(shí)收集網(wǎng)絡(luò)與信息安全突發(fā)事件相關(guān)信息�����,分析重要信息并提出處置建議�����。對(duì)可能演變?yōu)閕級(jí)、ⅱ級(jí)、ⅲ級(jí)的網(wǎng)絡(luò)與信息安全突發(fā)事件��,應(yīng)及時(shí)向相關(guān)領(lǐng)導(dǎo)提出啟動(dòng)本預(yù)案的建議�����。
6�����、負(fù)責(zé)提供技術(shù)咨詢(xún)、技術(shù)支持��,參與重要信息的研判�����、網(wǎng)絡(luò)與信息安全突發(fā)事件的調(diào)查和總結(jié)評(píng)估工作���,進(jìn)行應(yīng)急處置工作�����。
三、監(jiān)測(cè)���、預(yù)警和先期處置
(一)信息監(jiān)測(cè)與報(bào)告
1��、要進(jìn)一步完善各重要信息系統(tǒng)網(wǎng)絡(luò)與信息安全突發(fā)事件監(jiān)測(cè)��、預(yù)測(cè)、預(yù)警制度��。按照“早發(fā)現(xiàn)���、早報(bào)告���、早處置”的原則���,加強(qiáng)對(duì)各類(lèi)網(wǎng)絡(luò)與信息安全突發(fā)事件和可能引發(fā)網(wǎng)絡(luò)與信息安全突發(fā)事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測(cè)��。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時(shí)��,在按規(guī)定向有關(guān)部門(mén)報(bào)告的同時(shí)��,按緊急信息報(bào)送的規(guī)定及時(shí)向領(lǐng)導(dǎo)匯報(bào)。初次報(bào)告最遲不得超過(guò)4小時(shí)��,較大�����、重大和特別重大的網(wǎng)絡(luò)與信息安全突發(fā)事件實(shí)行態(tài)勢(shì)進(jìn)程報(bào)告和日?qǐng)?bào)告制度�����。報(bào)告內(nèi)容主要包括信息來(lái)源、影響范圍�����、事件性質(zhì)���、事件發(fā)展趨勢(shì)和采取的措施等��。
2、重要信息系統(tǒng)管理人員應(yīng)確立2個(gè)以上的即時(shí)聯(lián)系方式�����,避免因信息網(wǎng)絡(luò)突發(fā)事件發(fā)生后���,必要的信息通報(bào)與指揮協(xié)調(diào)通信渠道中斷��。
3���、及時(shí)上報(bào)相關(guān)網(wǎng)絡(luò)不安全行為:
(1)惡意人士利用本系統(tǒng)網(wǎng)絡(luò)從事違法犯罪活動(dòng)的情況�����。
(2)網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常,網(wǎng)絡(luò)和信息系統(tǒng)癱瘓���、應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失等情況��。
(3)網(wǎng)絡(luò)恐怖活動(dòng)的嫌疑情況和預(yù)警信息��。
(4)網(wǎng)絡(luò)安全狀況�����、安全形勢(shì)分析預(yù)測(cè)等信息。
(5)其他影響網(wǎng)絡(luò)與信息安全的信息�����。
(二)預(yù)警處理與預(yù)警
1��、對(duì)于可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)事件,系統(tǒng)管理員應(yīng)立即采取措施控制事態(tài),請(qǐng)求相關(guān)職能部門(mén)�����,協(xié)作開(kāi)展風(fēng)險(xiǎn)評(píng)估工作���,并在2小時(shí)內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估���,判定事件等級(jí)并預(yù)警���。必要時(shí)應(yīng)啟動(dòng)相應(yīng)的預(yù)案��,同時(shí)向信息安全領(lǐng)導(dǎo)小組匯報(bào)���。
2���、領(lǐng)導(dǎo)小組接到匯報(bào)后應(yīng)立即組織現(xiàn)場(chǎng)救援���,查明事件狀態(tài)及原因�����,技術(shù)人員應(yīng)及時(shí)對(duì)信息進(jìn)行技術(shù)分析、研判�����,根據(jù)問(wèn)題的性質(zhì)���、危害程度,提出安全警報(bào)級(jí)別��。
(三)先期處置
1���、當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時(shí),及時(shí)請(qǐng)技術(shù)人員做好先期應(yīng)急處置工作并立即采取措施控制事態(tài),必要時(shí)采用斷網(wǎng)�����、關(guān)閉服務(wù)器等方式防止事態(tài)進(jìn)一步擴(kuò)大���,同時(shí)向上級(jí)信息安全領(lǐng)導(dǎo)小組通報(bào)�����。
2���、信息安全領(lǐng)導(dǎo)小組在接到網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生或可能發(fā)生的信息后,應(yīng)加強(qiáng)與有關(guān)方面的聯(lián)系���,掌握最新發(fā)展態(tài)勢(shì)。對(duì)有可能演變?yōu)棰<?jí)網(wǎng)絡(luò)與信息安全突發(fā)事件,技術(shù)人員處置工作提出建議方案�����,并作好啟動(dòng)本預(yù)案的各項(xiàng)準(zhǔn)備工作。信息安全領(lǐng)導(dǎo)小組根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)展態(tài)勢(shì)��,視情況決定現(xiàn)場(chǎng)指導(dǎo)、組織設(shè)備廠商或者系統(tǒng)開(kāi)發(fā)商應(yīng)急支援力量��,做好應(yīng)急處置工作��。對(duì)有可能演變?yōu)棰⒓?jí)或i級(jí)的網(wǎng)絡(luò)與信息安全突發(fā)事件���,要根據(jù)縣有關(guān)部門(mén)的要求�����,上報(bào)縣政府有關(guān)部門(mén),趕赴現(xiàn)場(chǎng)指揮、組織應(yīng)急支援力量��,積極做好應(yīng)急處置工作�����。
四���、應(yīng)急處置
(一)應(yīng)急指揮
1、本預(yù)案啟動(dòng)后�����,領(lǐng)導(dǎo)小組要迅速建立與現(xiàn)場(chǎng)通訊聯(lián)系��。抓緊收集相關(guān)信息��,掌握現(xiàn)場(chǎng)處置工作狀態(tài),分析事件發(fā)展趨勢(shì)���,研究提出處置方案,調(diào)集和配置應(yīng)急處置所需要的人�����、財(cái)��、物等資源��,統(tǒng)一指揮網(wǎng)絡(luò)與信息安全應(yīng)急處置工作。
2�����、需要成立現(xiàn)場(chǎng)指揮部的�����,立即在現(xiàn)場(chǎng)開(kāi)設(shè)指揮部���,并提供現(xiàn)場(chǎng)指揮運(yùn)作的相關(guān)保障?��,F(xiàn)場(chǎng)指揮部要根據(jù)事件性質(zhì)迅速組建各類(lèi)應(yīng)急工作組,開(kāi)展應(yīng)急處置工作。
(二)應(yīng)急支援
本預(yù)案啟動(dòng)后��,領(lǐng)導(dǎo)小組可根據(jù)事態(tài)的發(fā)展和處置工作需要�����,及時(shí)申請(qǐng)?jiān)雠蓪?zhuān)家小組和應(yīng)急支援單位�����,調(diào)動(dòng)必需的物資、設(shè)備,支援應(yīng)急工作���。參加現(xiàn)場(chǎng)處置工作的有關(guān)人員要在現(xiàn)場(chǎng)指揮部統(tǒng)一指揮下,協(xié)助開(kāi)展處置行動(dòng)�。
(三)信息處理
現(xiàn)場(chǎng)信息收集����、分析和上報(bào)。技術(shù)人員應(yīng)對(duì)事件進(jìn)行動(dòng)態(tài)監(jiān)測(cè)、評(píng)估����,及時(shí)將事件的性質(zhì)�、危害程度和損失情況及處置工作等情況及時(shí)報(bào)領(lǐng)導(dǎo)小組�,不得隱瞞、緩報(bào)�、謊報(bào)����。符合緊急信息報(bào)送規(guī)定的�,屬于i級(jí)、ⅱ級(jí)信息安全事件的����,同時(shí)報(bào)縣委、縣政府相關(guān)網(wǎng)絡(luò)與信息安全部門(mén)����。
(四)擴(kuò)大應(yīng)急
經(jīng)應(yīng)急處置后�,事態(tài)難以控制或有擴(kuò)大發(fā)展趨勢(shì)時(shí)��,應(yīng)實(shí)施擴(kuò)大應(yīng)急行動(dòng)����。要迅速召開(kāi)信息安全工作領(lǐng)導(dǎo)小組會(huì)議�,根據(jù)事態(tài)情況,研究采取有利于控制事態(tài)的非常措施�,并向縣政府有關(guān)部門(mén)請(qǐng)求支援�。
(五)應(yīng)急結(jié)束
網(wǎng)絡(luò)與信息安全突發(fā)事件經(jīng)應(yīng)急處置后�,得到有效控制,將各監(jiān)測(cè)統(tǒng)計(jì)數(shù)據(jù)報(bào)信息安全工作領(lǐng)導(dǎo)小組�,提出應(yīng)急結(jié)束的建議��,經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后實(shí)施。
五��、相關(guān)網(wǎng)絡(luò)安全處置流程
(一)攻擊、篡改類(lèi)故障
指網(wǎng)站系統(tǒng)遭到網(wǎng)絡(luò)攻擊不能正常運(yùn)作�,或出現(xiàn)非法信息����、頁(yè)面被篡改?�,F(xiàn)網(wǎng)站出現(xiàn)非法信息或頁(yè)面被篡改�,要第一時(shí)間請(qǐng)求相關(guān)職能部門(mén)取證并對(duì)其進(jìn)行刪除����,恢復(fù)相關(guān)信息及頁(yè)面,同時(shí)報(bào)告領(lǐng)導(dǎo),必要時(shí)可請(qǐng)求對(duì)網(wǎng)站服務(wù)器進(jìn)行關(guān)閉,待檢測(cè)無(wú)故障后再開(kāi)啟服務(wù)。
(二)病毒木馬類(lèi)故障
指網(wǎng)站服務(wù)器感染病毒木馬��,存在安全隱患��。
1)對(duì)服務(wù)器殺毒安全軟件進(jìn)行系統(tǒng)升級(jí)��,并進(jìn)行病毒木馬掃描,封堵系統(tǒng)漏洞����。
2)發(fā)現(xiàn)服務(wù)器感染病毒木馬,要立即對(duì)其進(jìn)行查殺����,報(bào)告領(lǐng)導(dǎo)��,根據(jù)具體情況,酌情上報(bào)�。
3)由于病毒木馬入侵服務(wù)器造成系統(tǒng)崩潰的����,要第一時(shí)間報(bào)告領(lǐng)導(dǎo)����,并聯(lián)系相關(guān)單位進(jìn)行數(shù)據(jù)恢復(fù)。
(三)突發(fā)性斷網(wǎng)
指突然性的內(nèi)部網(wǎng)絡(luò)中某個(gè)網(wǎng)絡(luò)段����、節(jié)點(diǎn)或是整個(gè)網(wǎng)絡(luò)業(yè)務(wù)中斷��。
1)查看網(wǎng)絡(luò)中斷現(xiàn)象,判定中斷原因��。若不能及時(shí)恢復(fù),應(yīng)當(dāng)開(kāi)通備用設(shè)備和線(xiàn)路�。
2)若是設(shè)備物理故障����,聯(lián)系相關(guān)廠商進(jìn)行處理�。
(四)數(shù)據(jù)安全與恢復(fù)
1.發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時(shí),運(yùn)維人員應(yīng)及時(shí)報(bào)告領(lǐng)導(dǎo)��,檢查����、備份系統(tǒng)當(dāng)前數(shù)據(jù)。
2.強(qiáng)化數(shù)據(jù)備份�,若備份數(shù)據(jù)損壞�,則調(diào)用異地光盤(pán)備份數(shù)據(jù)��。
3.數(shù)據(jù)損壞事件較嚴(yán)重?zé)o法保證正常工作的,經(jīng)部門(mén)領(lǐng)導(dǎo)同意��,及時(shí)通知各部門(mén)以手工方式開(kāi)展工作��。
4.中心應(yīng)待數(shù)據(jù)系統(tǒng)恢復(fù)后��,檢查基礎(chǔ)數(shù)據(jù)的完整性;重新備份數(shù)據(jù)����,并寫(xiě)出故障分析報(bào)告����。
(五)有害信息大范圍傳播
系統(tǒng)內(nèi)發(fā)生對(duì)互聯(lián)網(wǎng)電子公告服務(wù)�、電子郵件、短信息等網(wǎng)上服務(wù)中大量出現(xiàn)危害國(guó)家安全��、影響社會(huì)穩(wěn)定的有害��、敏感信息等情況進(jìn)行分析研判����,報(bào)經(jīng)縣委�、縣政府分管領(lǐng)導(dǎo)批準(zhǔn)后啟動(dòng)預(yù)案;或根據(jù)上進(jìn)部門(mén)要求對(duì)網(wǎng)上特定有害��、敏感信息及時(shí)上報(bào)�,由上級(jí)職能部門(mén)采取封堵控制措施,按照市上職能部門(mén)要求統(tǒng)一部署啟動(dòng)預(yù)案��。
(六)惡意炒作社會(huì)熱點(diǎn)�、敏感問(wèn)題
本系統(tǒng)互聯(lián)網(wǎng)網(wǎng)站、電子公告服務(wù)中出現(xiàn)利用社會(huì)熱點(diǎn)��、敏感問(wèn)題集中����、連續(xù)、反復(fù)消息��,制造輿論焦點(diǎn)����,夸大�、捏造、歪曲事實(shí)�,煽動(dòng)網(wǎng)民與政府對(duì)立�、對(duì)黨對(duì)社會(huì)主義制度不滿(mǎn)情緒��,形成網(wǎng)上熱點(diǎn)問(wèn)題惡意炒作事件時(shí)��,啟動(dòng)預(yù)案。
(七)敏感時(shí)期和重要活動(dòng)、會(huì)議期間本地互聯(lián)網(wǎng)遭到網(wǎng)絡(luò)攻擊
敏感時(shí)期和重要活動(dòng)、會(huì)議期間,本系統(tǒng)互聯(lián)網(wǎng)遭受網(wǎng)絡(luò)攻擊時(shí)����,啟動(dòng)預(yù)案�。要加強(qiáng)值班備勤��,提高警惕����,密切注意本系統(tǒng)網(wǎng)上動(dòng)態(tài)��。收到信息后��,及時(shí)報(bào)警,要迅速趕赴案(事)發(fā)網(wǎng)站,指導(dǎo)案(事)件單位采取應(yīng)急處置措施�,同時(shí)收集��、固定網(wǎng)絡(luò)攻擊線(xiàn)索,請(qǐng)求縣上技術(shù)力量����,分析研判��,提出技術(shù)解決方案����,做好現(xiàn)場(chǎng)調(diào)查和處置工作記錄��,協(xié)助網(wǎng)站恢復(fù)正常運(yùn)行并做好防范工作。
六����、后期處置
(一)善后處置
在應(yīng)急處置工作結(jié)束后����,要迅速采取措施��,抓緊組織搶修受損的基礎(chǔ)設(shè)施�,減少損失����,盡快恢復(fù)正常工作,統(tǒng)計(jì)各種數(shù)據(jù)��,查明原因����,對(duì)事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評(píng)估,認(rèn)真制定恢復(fù)重建計(jì)劃�,迅速組織實(shí)施��。
(二)調(diào)查和評(píng)估
在應(yīng)急處置工作結(jié)束后,信息安全工作領(lǐng)導(dǎo)小組應(yīng)立即組織有關(guān)人員和專(zhuān)家組成事件調(diào)查組����,對(duì)事件發(fā)生及其處置過(guò)程進(jìn)行全面的調(diào)查,查清事件發(fā)生的原因及財(cái)產(chǎn)損失狀況和總結(jié)經(jīng)驗(yàn)教訓(xùn)��,寫(xiě)出調(diào)查評(píng)估報(bào)告�。
七、應(yīng)急保障
(一)通信與信息保障
領(lǐng)導(dǎo)小組各成員應(yīng)保證電話(huà)24小時(shí)開(kāi)機(jī)�,以確保發(fā)生信息安全事故時(shí)能及時(shí)聯(lián)系到位�。
(二)應(yīng)急裝備保障
各重要信息系統(tǒng)在建設(shè)系統(tǒng)時(shí)應(yīng)事先預(yù)留出一定的應(yīng)急設(shè)備,做好信息網(wǎng)絡(luò)硬件�、軟件�、應(yīng)急救援設(shè)備等應(yīng)急物資儲(chǔ)備工作����。在網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生時(shí)����,由領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)一調(diào)用��。
(三)應(yīng)急隊(duì)伍保障
按照一專(zhuān)多能的要求建立網(wǎng)絡(luò)與信息安全應(yīng)急保障隊(duì)伍��。選擇若干經(jīng)國(guó)家有關(guān)部門(mén)資質(zhì)認(rèn)可的,具有管理規(guī)范、服務(wù)能力較強(qiáng)的企業(yè)作為我縣網(wǎng)絡(luò)與信息安全的社會(huì)應(yīng)急支援單位����,提供技術(shù)支持與服務(wù)�;必要時(shí)能夠有效調(diào)動(dòng)機(jī)關(guān)團(tuán)體����、企事業(yè)單位等的保障力量��,進(jìn)行技術(shù)支援�。
(四)交通運(yùn)輸保障
應(yīng)確定網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急交通工具��,確保應(yīng)急期間人員����、物資�、信息傳遞的需要,并根據(jù)應(yīng)急處置工作需要����,由領(lǐng)導(dǎo)小組統(tǒng)一調(diào)配��。
(五)經(jīng)費(fèi)保障
網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)公共事件應(yīng)急處置資金,應(yīng)列入年度工作經(jīng)費(fèi)預(yù)算�,切實(shí)予以保障��。
八、工作要求
(一)高度重視�。
互聯(lián)網(wǎng)信息安全突發(fā)事件應(yīng)急處置工作事關(guān)國(guó)家安全�、社會(huì)政治穩(wěn)定和經(jīng)濟(jì)發(fā)展�,要切實(shí)增強(qiáng)政治責(zé)任感和敏感性,建立應(yīng)急處置的快速反應(yīng)機(jī)制�。
(二)妥善處置�。
正確區(qū)分和處理網(wǎng)上不同性質(zhì)的矛盾�,運(yùn)用多種手段,依法開(kāi)展工作�,嚴(yán)厲打擊各類(lèi)涉網(wǎng)違法犯罪活動(dòng)�,嚴(yán)守工作秘密��,嚴(yán)禁暴露相關(guān)專(zhuān)用技術(shù)偵查手段�。
第5篇
關(guān)鍵詞:電力信息網(wǎng)��;安全����;信息化�;風(fēng)險(xiǎn)
中圖分類(lèi)號(hào):TM73
文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1009-2374(2012)24-0010-03
1 我國(guó)電力信息化應(yīng)用和發(fā)展的現(xiàn)狀
當(dāng)前我國(guó)電力企業(yè)信息化建設(shè)所需要的硬件環(huán)境已經(jīng)基本完成�,有著比較良好的網(wǎng)絡(luò)建設(shè)現(xiàn)況和硬件設(shè)備數(shù)量,信息化已經(jīng)應(yīng)用在電力系統(tǒng)的生產(chǎn)����、調(diào)度和營(yíng)業(yè)等部門(mén)中��。在網(wǎng)絡(luò)硬件建設(shè)上,千兆骨干網(wǎng)已經(jīng)基本得以實(shí)現(xiàn),普遍使用VLAN����、MPLS等技術(shù)����。而在軟件上�,已經(jīng)對(duì)生產(chǎn)管理信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)、調(diào)度自動(dòng)化系統(tǒng)�、營(yíng)銷(xiāo)信息系統(tǒng)等相關(guān)的子系統(tǒng)進(jìn)行應(yīng)用�。在電力生產(chǎn)����、經(jīng)營(yíng)�、科研、建設(shè)、管理以及設(shè)計(jì)等各個(gè)領(lǐng)域中廣泛應(yīng)用計(jì)算機(jī)及信息網(wǎng)絡(luò)技術(shù)����,在降低成本�、安全生產(chǎn)����、縮短工期、節(jié)能消耗、勞動(dòng)生產(chǎn)率的提高等方面����,有著明顯的經(jīng)濟(jì)和社會(huì)效應(yīng)。在管理上,已經(jīng)建立了較為完善的信息化管理機(jī)制�,并且培養(yǎng)了一支強(qiáng)有力的技術(shù)隊(duì)伍����,對(duì)電力工業(yè)的發(fā)展起到很好的促進(jìn)作用����。
2 我國(guó)電力信息網(wǎng)安全現(xiàn)狀
安全體系目前已經(jīng)逐步在電力信息系統(tǒng)中建立起來(lái):電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)和電力信息網(wǎng)絡(luò)兩者之間有防火墻隔離;及時(shí)購(gòu)買(mǎi)和更新網(wǎng)絡(luò)防病毒軟件;系統(tǒng)在運(yùn)行中有數(shù)據(jù)備份設(shè)備����。但是�,在現(xiàn)實(shí)中�,網(wǎng)絡(luò)防火墻僅僅是在小部分單位配備,仍有相當(dāng)數(shù)量的單位沒(méi)有配備防火墻����,網(wǎng)絡(luò)中存在薄弱環(huán)節(jié)��;在網(wǎng)絡(luò)安全上缺乏長(zhǎng)遠(yuǎn)和統(tǒng)一的規(guī)劃,安全管理存在不少真空地帶����,仍有很多的安全隱患存在于網(wǎng)絡(luò)中��。例如,潮州市供電局對(duì)省公司的要求嚴(yán)格執(zhí)行��,對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù)����,通過(guò)使用備份系統(tǒng)、安裝網(wǎng)管軟件�、安全防病毒軟件�、安裝防火墻等措施,使得信息的安全得到有效保障,并且能夠?qū)﹄娏I(yíng)業(yè)和生產(chǎn)提供有效地技術(shù)支持�。可是目前整體來(lái)說(shuō)還不夠完善��,仍存在不少風(fēng)險(xiǎn)��,給網(wǎng)絡(luò)安全埋下隱患�。
3 當(dāng)前我國(guó)電力信息網(wǎng)安全風(fēng)險(xiǎn)
3.1 計(jì)算機(jī)和信息網(wǎng)絡(luò)的安全意識(shí)亟待提高
電力部門(mén)對(duì)應(yīng)用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)所帶來(lái)的信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)不足��,未能充分預(yù)測(cè)評(píng)估各種可能的風(fēng)險(xiǎn)并制訂相應(yīng)的應(yīng)急預(yù)案��,一旦發(fā)生安全事故��,可能會(huì)擴(kuò)大損失。
3.2 信息安全管理規(guī)范缺乏統(tǒng)一性
雖然電力部門(mén)長(zhǎng)期以來(lái)都十分重視計(jì)算機(jī)安全�,可是由于各地區(qū)實(shí)際情況差異較大��,使得在整個(gè)電力系統(tǒng)中對(duì)于計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行還缺乏一整套完善和統(tǒng)一的管理規(guī)范。
3.3 計(jì)算機(jī)信息安全系統(tǒng)與電力行業(yè)特點(diǎn)結(jié)合得不夠緊密
由于電力部門(mén)在計(jì)算機(jī)的安全措施��、技術(shù)和策略方面投入不足����,為了使電力部門(mén)能夠保持穩(wěn)定、安全和高效的運(yùn)行��,應(yīng)該建立一套與電力計(jì)算機(jī)應(yīng)用的特點(diǎn)相結(jié)合的計(jì)算機(jī)信息安全體系�。
3.4 面臨的外部安全沖擊比較大
由于電力部門(mén)所運(yùn)行的計(jì)算機(jī)系統(tǒng)早期以來(lái)都是內(nèi)部的局域網(wǎng),在這樣的封閉網(wǎng)絡(luò)中沒(méi)有連接互聯(lián)網(wǎng),所以早期的計(jì)算機(jī)安全防護(hù)只需要防止外部物理破壞或者是安全控制內(nèi)部人員即可��,而如今的網(wǎng)絡(luò)則必須面對(duì)黑客����、病毒以及木馬等各種國(guó)際互聯(lián)網(wǎng)上的安全攻擊�。
4 當(dāng)前電力信息網(wǎng)絡(luò)安全防護(hù)對(duì)策
4.1 劃分不同層次�,有針對(duì)性地進(jìn)行電力信息網(wǎng)的安全教育
在企業(yè)安全管理中,重要的內(nèi)容就是安全意識(shí)和相關(guān)技能的教育��,對(duì)這些教育的實(shí)施力度直接影響企業(yè)安全策略被理解的程度和現(xiàn)實(shí)過(guò)程中被執(zhí)行的效果��。為使安全策略的執(zhí)行得到有效保證,電力企業(yè)的相關(guān)管理部門(mén)應(yīng)該對(duì)企業(yè)內(nèi)部的所有人員進(jìn)行相關(guān)的安全培訓(xùn)�,企業(yè)所有的人員必須對(duì)企業(yè)的安全策略有充分的了解并且嚴(yán)格地執(zhí)行��,在進(jìn)行安全教育的具體過(guò)程中還應(yīng)該對(duì)層次性和普遍性進(jìn)行把握。一是對(duì)于信息安全工作管理部門(mén)的負(fù)責(zé)人����,對(duì)其教育的重點(diǎn)則應(yīng)該放在建立安全管理部門(mén)�、制定安全管理制度��、構(gòu)成信息安全系統(tǒng)�、信息安全整體策略和目標(biāo)等����。二是對(duì)信息安全運(yùn)行管理和維護(hù)負(fù)責(zé)的技術(shù)人員,則應(yīng)該將重點(diǎn)放在信息安全管理策略的充分了解�、對(duì)安全評(píng)估基本方法的掌握以及合理運(yùn)用安全操作和維護(hù)技術(shù)等上面����。三是對(duì)信息用戶(hù)����,其重點(diǎn)就是對(duì)各種安全操作流程進(jìn)行學(xué)習(xí),對(duì)相關(guān)的安全策略充分的了解和掌握,當(dāng)然還應(yīng)該包括用戶(hù)自身所必須承擔(dān)的安全職責(zé)等����。同時(shí)��,對(duì)特定崗位的人員要做到進(jìn)行特定的安全培訓(xùn),定期和持續(xù)性地進(jìn)行相關(guān)的安全教育��,最根本的解決辦法就是將安全文化在納入整個(gè)企業(yè)的文化體系建
立中�。
4.2 將最先進(jìn)的安全防護(hù)技術(shù)措施應(yīng)用到電力信息網(wǎng)中
4.2.1 嚴(yán)格配置防火墻過(guò)濾規(guī)則。在企業(yè)局域網(wǎng)和外網(wǎng)之間唯一的出口是防火墻�,防火墻作為內(nèi)�、外網(wǎng)互相訪問(wèn)所必須通過(guò)的一道墻�,絕對(duì)不允許出現(xiàn)內(nèi)部繞過(guò)防火墻直接連接外網(wǎng)。在DMZ區(qū)域內(nèi)對(duì)企業(yè)對(duì)外提供各種服務(wù)的服務(wù)器的放置�,能夠使得服務(wù)器不受攻擊,得到有效保護(hù)。在進(jìn)行防火墻的訪問(wèn)策略設(shè)置的時(shí)候�,必須遵循的原則是缺省全部關(guān)閉��,按照需求進(jìn)行開(kāi)通,這樣就可以對(duì)明確拒絕許可證之外的任何服務(wù)。
第6篇
一�、引言
隨著我國(guó)信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用����,信息安全的重要性愈發(fā)突出��。在國(guó)家重視信息安全的大背景下��,推出了信息安全等級(jí)保護(hù)制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)��,公安部等四部委聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》(公通字【2007】43號(hào))��。隨著等級(jí)保護(hù)工作的深入開(kāi)展��,原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》(衛(wèi)辦發(fā)【2011】85號(hào)),進(jìn)一步規(guī)范和指導(dǎo)了我國(guó)醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作�,并對(duì)三級(jí)甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級(jí)作了要求��,原則上不低于第三級(jí)。
從《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》中可知信息安全等級(jí)保護(hù)對(duì)象是國(guó)家秘密信息��、法人和其他組織以及公民的專(zhuān)有信息和公開(kāi)信息��。對(duì)信息系統(tǒng)及其安全產(chǎn)品進(jìn)行等級(jí)劃分�,并按等級(jí)對(duì)信息安全事件響應(yīng)����。
二、醫(yī)院信息安全等級(jí)保護(hù)工作實(shí)施步驟
2.1定級(jí)與備案。根據(jù)公安部信息安全等級(jí)保護(hù)評(píng)估中心編制的《信息安全等級(jí)保護(hù)政策培訓(xùn)教程》����,有兩個(gè)定級(jí)要素決定了信息系統(tǒng)的安全保護(hù)等級(jí)�,一個(gè)是等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體�,另外一個(gè)是對(duì)客體造成侵害的程度。表1是根據(jù)定級(jí)要素制訂的信息系統(tǒng)等級(jí)保護(hù)級(jí)別��。
對(duì)于三級(jí)醫(yī)院��,門(mén)診量與床位相對(duì)較多�,影響范圍較廣�,一旦信息系統(tǒng)遭到破壞,將會(huì)給患者造成生命財(cái)產(chǎn)損失��,對(duì)社會(huì)秩序帶來(lái)重大影響����。因此,從影響范圍和侵害程度來(lái)看�,我們非常認(rèn)同國(guó)家衛(wèi)計(jì)委對(duì)三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級(jí)的限制要求����。
在完成定級(jí)報(bào)告編制工作后�,填寫(xiě)備案表,并按屬地化管理要求到市級(jí)公安機(jī)關(guān)辦理備案手續(xù)����,在取得備案回執(zhí)后才算完成定級(jí)備案工作����。我院已按照要求向我市公安局網(wǎng)安支隊(duì)�,同時(shí)也是我市信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組辦公室,提交了定級(jí)報(bào)告與備案表。
2.2安全建設(shè)與整改�。在完成定級(jí)備案后�,就要結(jié)合醫(yī)院實(shí)際����,分析信息安全現(xiàn)狀,進(jìn)行合理規(guī)劃與整改��。
2.2.1等保差距分析與風(fēng)險(xiǎn)評(píng)估�。了解等級(jí)保護(hù)基本要求?!缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》分別從技術(shù)和管理兩方面提出了基本要求��。基本技術(shù)要求包括五個(gè)方面:物理安全�、網(wǎng)絡(luò)安全�、主機(jī)安全����、應(yīng)用安全和數(shù)據(jù)安全�,主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品(包括硬件和軟件)及安全配置來(lái)實(shí)現(xiàn);基本管理要求也包括五個(gè)方面:安全管理制度��、安全管理機(jī)構(gòu)��、人員安全管理����、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理�����,主要是根據(jù)相關(guān)政策��、制度以及規(guī)范流程等方面對(duì)人員活動(dòng)進(jìn)行約束控制,以期達(dá)到安全管理要求。
技術(shù)類(lèi)安全要求按保護(hù)側(cè)重點(diǎn)進(jìn)一步劃分為三類(lèi):業(yè)務(wù)信息安全類(lèi)(S類(lèi))���、系統(tǒng)服務(wù)安全類(lèi)(A類(lèi))、通用安全保護(hù)類(lèi)(G類(lèi))�����。如受條件限制��,可以逐步完成三級(jí)等級(jí)保護(hù)���,A類(lèi)和S類(lèi)有一類(lèi)滿(mǎn)足即可�����,但G類(lèi)必須達(dá)到三級(jí),最嚴(yán)格的G3S3A3控制項(xiàng)共計(jì)136條.醫(yī)院可以結(jié)合自身建設(shè)情況���,選擇其中一個(gè)標(biāo)準(zhǔn)進(jìn)行差距分析�����。
管理方面要求很?chē)?yán)格���,只有完成所有的154條控制項(xiàng)�����,達(dá)到管理G3的要求��,才能完成三級(jí)等級(jí)保護(hù)要求。這需要我們逐條對(duì)照,發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞��,找出與管理要求的差距�����。
對(duì)于有條件的三甲醫(yī)院��,可以先進(jìn)行風(fēng)險(xiǎn)評(píng)估,通過(guò)分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀���、安全脆弱性及潛在安全威脅,形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》���。
經(jīng)過(guò)與三級(jí)基本要求對(duì)照,我院還存在一定差距��。比如:在物理環(huán)境安全方面�����,我院機(jī)房雖有滅火器���,但沒(méi)安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少���,不能很好的應(yīng)對(duì)網(wǎng)絡(luò)人侵。在運(yùn)維管理方面�����,缺乏預(yù)警機(jī)制���,無(wú)法提前判斷系統(tǒng)潛在威脅等��。
2.2.2建設(shè)整改方案��。根據(jù)差距分析情況,結(jié)合醫(yī)院信息系統(tǒng)安全實(shí)際需求和建設(shè)目標(biāo),著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面��,滿(mǎn)足于臨床的實(shí)際需求�����,避免資金投入的浪費(fèi)�����、起不到實(shí)際效果。
整改方案制訂應(yīng)遵循以下原則:安全技術(shù)和安全管理相結(jié)合���,技術(shù)作保障,管理是更好的落實(shí)安全措施���;從安全區(qū) 域邊界、安全計(jì)算環(huán)境和安全通信網(wǎng)絡(luò)進(jìn)行三維防護(hù)���,建立安全管理中心。方案設(shè)計(jì)完成后�����,應(yīng)組織專(zhuān)家或經(jīng)過(guò)第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行評(píng)審��,以保證方案的可用性。
整改方案實(shí)施��。實(shí)施過(guò)程中應(yīng)注意技術(shù)與管理相結(jié)合��,并根據(jù)實(shí)際情況適當(dāng)調(diào)整安全措施���,提高整體保護(hù)水平�����。
我院整改方案是先由醫(yī)院內(nèi)部自查��,再邀請(qǐng)等級(jí)測(cè)評(píng)#司進(jìn)行預(yù)測(cè)評(píng),結(jié)合醫(yī)院實(shí)際最終形成的方案���。網(wǎng)絡(luò)技術(shù)義員熟悉系統(tǒng)現(xiàn)狀,易于發(fā)現(xiàn)潛在安全威脅�,所以醫(yī)院要先自查��,對(duì)自身安全進(jìn)行全面了解。等級(jí)測(cè)評(píng)公司派專(zhuān)業(yè)安全人員進(jìn)駐醫(yī)院���,經(jīng)過(guò)與醫(yī)院技術(shù)人員溝通,利用安全工具進(jìn)行測(cè)試��,可以形成初步的整改報(bào)告�����,對(duì)我院安全整改具有指導(dǎo)意義�����。
2.3開(kāi)展等級(jí)保護(hù)測(cè)評(píng)��。下一步工作就是開(kāi)展等級(jí)測(cè)評(píng)��。在測(cè)評(píng)機(jī)構(gòu)的選擇上,首先要查看其是否具有“DICP”認(rèn)證�,有沒(méi)有在當(dāng)?shù)毓膊块T(mén)進(jìn)行備案�,還可以到中國(guó)信息安全等級(jí)保護(hù)網(wǎng)站(網(wǎng)站地址:djbh.net)進(jìn)行核實(shí)����。測(cè)評(píng)周期一般為1至2月,其測(cè)評(píng)流程如下��。
2.3.1測(cè)評(píng)準(zhǔn)備階段�。醫(yī)院與測(cè)評(píng)機(jī)構(gòu)共同成立項(xiàng)目領(lǐng)導(dǎo)小組,制定工作任務(wù)與測(cè)評(píng)計(jì)劃等前期準(zhǔn)備工作�����。項(xiàng)目啟動(dòng)前�����,為防止醫(yī)院信息泄露�����,還需要簽訂保密協(xié)議。項(xiàng)目啟動(dòng)后,測(cè)評(píng)機(jī)構(gòu)要進(jìn)行前期調(diào)研,主要是了解醫(yī)院信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)���、設(shè)備運(yùn)行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況,然后再選擇相應(yīng)的測(cè)評(píng)工具和文檔��。
在測(cè)評(píng)準(zhǔn)備階段,主要是做好組織機(jī)構(gòu)建設(shè)工作,配合等級(jí)測(cè)評(píng)公司人員的調(diào)査工作。
2.3.2測(cè)評(píng)方案編制階段��。測(cè)評(píng)內(nèi)容主要由測(cè)評(píng)對(duì)象與測(cè)評(píng)指標(biāo)來(lái)確定�����。我院測(cè)評(píng)對(duì)象包含三級(jí)的醫(yī)院信息系統(tǒng)�����、基礎(chǔ)網(wǎng)絡(luò)和二級(jí)的門(mén)戶(hù)網(wǎng)站��。測(cè)評(píng)機(jī)構(gòu)要與醫(yī)院溝通,制定工具測(cè)試方法與測(cè)評(píng)指導(dǎo)書(shū)�����,編制測(cè)評(píng)方案���。在此階段���,主要工作由等級(jí)測(cè)評(píng)機(jī)構(gòu)來(lái)完成��。
2.3.3現(xiàn)場(chǎng)測(cè)評(píng)階段����。在經(jīng)過(guò)實(shí)施準(zhǔn)備后����,測(cè)評(píng)機(jī)構(gòu)要對(duì)上述控制項(xiàng)進(jìn)行逐一測(cè)評(píng),大約需要1至2周�����,需要信息科人員密切配合與注意�����。為保障醫(yī)院業(yè)務(wù)正常開(kāi)展�,測(cè)評(píng)工作應(yīng)盡量減少對(duì)業(yè)務(wù)工作的沖擊�����。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時(shí)應(yīng)避免業(yè)務(wù)高峰期����,可以選擇下班時(shí)間或晚上。為避免對(duì)現(xiàn)有業(yè)務(wù)造成影響���,測(cè)評(píng)工具應(yīng)在接人前進(jìn)行測(cè)試�,同時(shí)要做好應(yīng)急預(yù)案準(zhǔn)備��,一旦影響醫(yī)院業(yè)務(wù),應(yīng)立即啟動(dòng)應(yīng)急預(yù)案���、在對(duì)209條控制項(xiàng)進(jìn)行測(cè)評(píng)后應(yīng)進(jìn)行結(jié)果確認(rèn)���,并將資料歸還醫(yī)院����。
該階段是從真實(shí)情況中了解信息系統(tǒng)全面具體的主要工作��,也是技術(shù)人員比較辛苦的階段����。除了要密切配合測(cè)評(píng)�����,還不能影響醫(yī)院業(yè)務(wù)開(kāi)展�����,除非必要,不然安全測(cè)試工作必須在夜間進(jìn)行�����。
2.3.4報(bào)告編制階段���。通過(guò)判定測(cè)評(píng)單項(xiàng)���,測(cè)評(píng)機(jī)構(gòu)對(duì)單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行整理��,逐項(xiàng)分析,最終得出整體測(cè)評(píng)報(bào)告�����。測(cè)評(píng)報(bào)告包含了醫(yī)院信息安全存在的潛在威脅點(diǎn)��、整改建議與最終測(cè)評(píng)結(jié)果�����。對(duì)于公安機(jī)關(guān)來(lái)講,醫(yī)院能否通過(guò)等級(jí)測(cè)評(píng)的主要標(biāo)準(zhǔn)就是測(cè)評(píng)結(jié)果��。因此��,測(cè)評(píng)報(bào)告的結(jié)果至關(guān)重要�。測(cè)評(píng)結(jié)果分為:不符合���、部分符合�、全部符合。有的測(cè)評(píng)機(jī)構(gòu)根據(jù)單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行打分,最后給出總分�����,以分值來(lái)判定是否通過(guò)測(cè)評(píng)�。為得到理想測(cè)評(píng)結(jié)果�����,需要醫(yī)院落實(shí)安全整改方案�。
2.4安全運(yùn)維。我們必須清醒地認(rèn)識(shí)到,實(shí)施安全等級(jí)保護(hù)是一項(xiàng)長(zhǎng)期工作����,它不僅要在信息化建設(shè)規(guī)劃中考慮�����,還要在日常運(yùn)維管理中重視�����,是不斷循環(huán)的過(guò)程。按照等級(jí)保護(hù)制度要求,信息系統(tǒng)等級(jí)保護(hù)級(jí)別定為三級(jí)的三甲醫(yī)院每年要自查一次�,還要邀請(qǐng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)并進(jìn)行整改�,監(jiān)管部門(mén)每年要抽查一次�����。因此�����,醫(yī)院要按照PDCA的循環(huán)工作機(jī)制,不斷改進(jìn)安全技術(shù)與管理上,完善安全措施���,更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行���。―
三、結(jié)語(yǔ)
第7篇
關(guān)鍵詞:商業(yè)銀行;信息系統(tǒng);風(fēng)險(xiǎn)評(píng)估
中圖分類(lèi)號(hào):TP311
文獻(xiàn)標(biāo)識(shí)碼:A
1引言
商業(yè)銀行作為現(xiàn)代經(jīng)濟(jì)的核心,在加快實(shí)現(xiàn)銀行信息化建設(shè)的過(guò)程中,越來(lái)越關(guān)注信息化項(xiàng)目的合理性、有效性、經(jīng)濟(jì)性、可用性和安全性。在這種需求的推動(dòng)下,銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估走上了銀行風(fēng)險(xiǎn)控制的前臺(tái),成為商業(yè)銀行信息化項(xiàng)目治理的重要組成部分。運(yùn)用先進(jìn)的評(píng)估方法,逐步完善信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的流程,建立適合商業(yè)銀行風(fēng)險(xiǎn)特征的評(píng)估的模型,并通過(guò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的手段,保障信息資產(chǎn)的安全、數(shù)據(jù)的完整、提高信息系統(tǒng)的效率,可以使商業(yè)銀行不斷加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理和內(nèi)部控制,以適應(yīng)風(fēng)險(xiǎn)環(huán)境日益復(fù)雜化的需要,以確保信息系統(tǒng)安全、穩(wěn)定、有效運(yùn)行。
2商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)分析
2.1商業(yè)銀行信息系統(tǒng)基本特征
隨著我國(guó)經(jīng)濟(jì)的飛速發(fā)展及加入WTO后和世界經(jīng)濟(jì)一體化進(jìn)程的加快,企業(yè)以及個(gè)人相互之間的資金往來(lái)需要一個(gè)安全高效的資金劃撥、支付結(jié)算手段及環(huán)境,銀行不斷完善信息管理系統(tǒng),實(shí)現(xiàn)信息系統(tǒng)的電子化、網(wǎng)絡(luò)化,使商業(yè)銀行的信息系統(tǒng)具有了新的特點(diǎn)。
1)商業(yè)銀行的業(yè)務(wù)系統(tǒng)的特點(diǎn)
網(wǎng)點(diǎn)虛擬化,將帳戶(hù)的核算與管轄分開(kāi),會(huì)計(jì)核算由總行統(tǒng)一處理,各行處負(fù)責(zé)具體業(yè)務(wù)的經(jīng)辦,使業(yè)務(wù)處理打破了分支機(jī)構(gòu)界限。通過(guò)帳務(wù)與業(yè)務(wù)的結(jié)合,使得會(huì)計(jì)系統(tǒng)和銀行業(yè)務(wù)的聯(lián)系更加緊密,客戶(hù)的數(shù)據(jù)在各系統(tǒng)內(nèi)可以共享,并通過(guò)流程的控制使業(yè)務(wù)操作更加安全、可靠。
面向業(yè)務(wù)設(shè)計(jì)銀行業(yè)務(wù)處理,所有功能都由交易來(lái)驅(qū)動(dòng),記帳部分位于業(yè)務(wù)的底層,業(yè)務(wù)層通過(guò)調(diào)用統(tǒng)一的記帳核心來(lái)完成帳務(wù)處理。通過(guò)實(shí)施業(yè)務(wù)流程再造,實(shí)現(xiàn)銀行業(yè)務(wù)的重組,更好地配置現(xiàn)有的資源。
2)商業(yè)銀行信息系統(tǒng)的業(yè)務(wù)結(jié)構(gòu)分析商業(yè)銀行主要業(yè)務(wù)包括存款、貸款、信用卡、中間業(yè)務(wù)、國(guó)際業(yè)務(wù)、結(jié)算、代收代付、ATM、POS、網(wǎng)上銀行等。商業(yè)銀行信息系統(tǒng)為銀行業(yè)務(wù)提供一個(gè)支撐平臺(tái),結(jié)構(gòu)如圖1所示。圖1商業(yè)銀行信息系統(tǒng)業(yè)務(wù)結(jié)構(gòu)
3)商業(yè)銀行信息系統(tǒng)結(jié)構(gòu)分析商業(yè)銀行信息系統(tǒng)構(gòu)架為三個(gè)層次,第一層核心業(yè)務(wù)系統(tǒng),主要提供帳務(wù)記錄、主要業(yè)務(wù)支撐和業(yè)務(wù)報(bào)表;第二層中間業(yè)務(wù)平臺(tái),是核心數(shù)據(jù)與外部接口的交換平臺(tái),提供數(shù)據(jù)接口的轉(zhuǎn)換功能;第三層系統(tǒng),提供外部數(shù)據(jù)的接口,如圖2所示。圖2商業(yè)銀行信息系統(tǒng)層次結(jié)構(gòu)
2.2商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)的特點(diǎn)
銀行業(yè)務(wù)處理中對(duì)及時(shí)性和可靠性的特殊需求,使得商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)體現(xiàn)出明顯的行業(yè)特征。
1)商用銀行信息系統(tǒng)風(fēng)險(xiǎn)的業(yè)務(wù)特點(diǎn)
網(wǎng)絡(luò)和安全技術(shù)的飛速發(fā)展,使得商業(yè)銀行已成為商品交易的電子平臺(tái)和電子金庫(kù)。因此商業(yè)銀行對(duì)數(shù)據(jù)完整性要求極高,對(duì)業(yè)務(wù)和數(shù)據(jù)的可用性、安全性,以及對(duì)業(yè)務(wù)中斷和數(shù)據(jù)丟失等事故的防范和處理要求十分嚴(yán)格。
2)商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)的技術(shù)特點(diǎn)
銀行開(kāi)展信息化的時(shí)間較長(zhǎng),其應(yīng)用系統(tǒng)較為普及,但長(zhǎng)期來(lái),銀行信息系統(tǒng)相對(duì)較為封閉。近年來(lái),隨著網(wǎng)銀、中間業(yè)務(wù)等銀行新型業(yè)務(wù)和金融產(chǎn)品的出現(xiàn),對(duì)開(kāi)放信息系統(tǒng)的要求越來(lái)越高,銀行的信息系統(tǒng)均開(kāi)始不同程度向外界開(kāi)放。
由于各商業(yè)銀行實(shí)行數(shù)據(jù)大集中,導(dǎo)致單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來(lái)越多,銀行信息系統(tǒng) 對(duì)網(wǎng)絡(luò)依賴(lài)程度越來(lái)越高。
3)商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)的現(xiàn)狀
信息系統(tǒng)本身固有的風(fēng)險(xiǎn)在加大。銀行業(yè)是信息化技術(shù)與產(chǎn)品相對(duì)密集的行業(yè),由于信息化規(guī)模的不斷擴(kuò)大,信息技術(shù)迅速發(fā)展,銀行信息系統(tǒng)所采用信息技術(shù)與信息系統(tǒng)軟硬件本身存在著很大的脆弱性,如果這些脆弱性被特定的威脅所利用,就會(huì)產(chǎn)生風(fēng)險(xiǎn),從而對(duì)銀行信息系統(tǒng)的機(jī)密性、完整性及可用性產(chǎn)生損害。
銀行數(shù)據(jù)集中后使信息系統(tǒng)風(fēng)險(xiǎn)不易分解。目前各家商業(yè)銀行已陸續(xù)完成數(shù)據(jù)大集中,實(shí)現(xiàn)銀行賬務(wù)數(shù)據(jù)與營(yíng)業(yè)機(jī)構(gòu)的分離,使銀行從以賬務(wù)和產(chǎn)品為中心轉(zhuǎn)變?yōu)橐钥蛻?hù)為中心。但是,數(shù)據(jù)集中后信息系統(tǒng)風(fēng)險(xiǎn)增大,系統(tǒng)一旦出現(xiàn)問(wèn)題,將影響到整個(gè)銀行的正常運(yùn)營(yíng)。
電子金融服務(wù)的發(fā)展,使商業(yè)銀行隨時(shí)面對(duì)來(lái)自公共網(wǎng)絡(luò)的威脅。近年來(lái),網(wǎng)上銀行、移動(dòng)銀行、電子商務(wù)等銀行新業(yè)務(wù),在成為商業(yè)銀行利潤(rùn)增長(zhǎng)點(diǎn)的同時(shí),使商業(yè)銀行的網(wǎng)絡(luò)風(fēng)險(xiǎn)日益凸現(xiàn)。
人員的風(fēng)險(xiǎn)成為最大的風(fēng)險(xiǎn)。統(tǒng)計(jì)結(jié)果表明,在商業(yè)銀行信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成的。
3商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)
3.1商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀與趨勢(shì)
信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估已得到國(guó)際社會(huì)的普遍重視,風(fēng)險(xiǎn)評(píng)估的重點(diǎn)也從操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境發(fā)展到整個(gè)管理體系。西方國(guó)家在實(shí)踐中不斷發(fā)現(xiàn),風(fēng)險(xiǎn)評(píng)估作為保證信息安全的重要基石發(fā)揮著關(guān)鍵作用。在信息安全、安全技術(shù)的相關(guān)標(biāo)準(zhǔn)中,風(fēng)險(xiǎn)評(píng)估均作為關(guān)鍵步驟進(jìn)行闡述,如ISO13335、COBIT、BS7799-3等。
我國(guó)的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作目前還處于起步階段,還沒(méi)有形成一套成形的專(zhuān)業(yè)規(guī)范,缺少一支能夠全面開(kāi)展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的人才隊(duì)伍。無(wú)論是國(guó)際上大型的跨國(guó)公司還是國(guó)內(nèi)一些規(guī)模較大的企業(yè)都在不斷地?cái)U(kuò)大信息技術(shù)在其經(jīng)營(yíng)活動(dòng)的應(yīng)用范圍,運(yùn)用傳統(tǒng)的信息技術(shù)和風(fēng)險(xiǎn)評(píng)估知識(shí)已經(jīng)不能實(shí)現(xiàn)真正意義上的"風(fēng)險(xiǎn)基礎(chǔ)模式"的風(fēng)險(xiǎn)評(píng)估,這些都影響到我國(guó)IT治理和信息系統(tǒng)風(fēng)險(xiǎn)控制的實(shí)施。
隨著商業(yè)銀行經(jīng)營(yíng)管理活動(dòng)對(duì)信息技術(shù)的高度依存,信息科技風(fēng)險(xiǎn)控制已成為商業(yè)銀行風(fēng)險(xiǎn)管理的重要內(nèi)容,并需要從戰(zhàn)略的角度將信息系統(tǒng)與實(shí)現(xiàn)公司治理的總體目標(biāo)緊密聯(lián)系在一起。因此,解析國(guó)內(nèi)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀及存在的問(wèn)題,并根據(jù)國(guó)際經(jīng)驗(yàn)與我國(guó)實(shí)際情況進(jìn)行差異性分析,最后,找到我國(guó)銀行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的有效方法,由此,實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估在國(guó)內(nèi)銀行業(yè)質(zhì)的飛躍。
3.2商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型的設(shè)計(jì)
在目前所應(yīng)用的風(fēng)險(xiǎn)控制與評(píng)估模型中,基本區(qū)分為兩類(lèi),一類(lèi)是基于業(yè)務(wù)風(fēng)險(xiǎn)控制的風(fēng)險(xiǎn)評(píng)估模型,這類(lèi)模型的基礎(chǔ)是傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估理論,因此更加注重于業(yè)務(wù)流程的控制和業(yè)務(wù)的風(fēng)險(xiǎn)管理;另一類(lèi)是關(guān)注于技術(shù)控制的風(fēng)險(xiǎn)評(píng)估模型,這類(lèi)模型建立在相關(guān)的信息安全標(biāo)準(zhǔn)之上,主要考慮的是技術(shù)的實(shí)現(xiàn)架構(gòu)和實(shí)現(xiàn)方式,評(píng)估系統(tǒng)的技術(shù)風(fēng)險(xiǎn)。
銀行在面對(duì)實(shí)際的信息風(fēng)險(xiǎn)時(shí),需要建立定位于信息全面管理的風(fēng)險(xiǎn)評(píng)估模型。因此,必須結(jié)合業(yè)務(wù)風(fēng)險(xiǎn)模型和技術(shù)風(fēng)險(xiǎn)模型的相關(guān)方法,通過(guò)分析系統(tǒng)自身內(nèi)部控制機(jī)制中存在的薄弱環(huán)節(jié)和危險(xiǎn)因素,發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行為,完成系統(tǒng)弱點(diǎn)和安全威脅的定性分析,在銀行信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)各要素之間建立風(fēng)險(xiǎn)評(píng)估模型,如圖3所示。
商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估模型由三個(gè)基本元素組成,分別是銀行核心業(yè)務(wù)系統(tǒng)、銀行信息系統(tǒng)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估的方法和技術(shù)。
銀行核心業(yè)務(wù)系統(tǒng)是業(yè)務(wù)運(yùn)轉(zhuǎn)的基礎(chǔ),是商業(yè)銀行固有風(fēng)險(xiǎn)的體現(xiàn),它通過(guò)硬件平臺(tái)的支撐、應(yīng)用軟件的設(shè)計(jì)、數(shù)據(jù)資源的管理,實(shí)現(xiàn)銀行業(yè)務(wù)職能。
銀行信息系統(tǒng)風(fēng)險(xiǎn)管理,是商業(yè)銀行控制剩余風(fēng)險(xiǎn)的能力。它主要包括系統(tǒng)建設(shè)風(fēng)險(xiǎn)控制、系統(tǒng)數(shù)據(jù)完備性、系統(tǒng)功能實(shí)現(xiàn)、業(yè)務(wù)流程風(fēng)險(xiǎn)控制、數(shù)據(jù)遷移等6個(gè)方面。
風(fēng)險(xiǎn)評(píng)估的方法和技術(shù),是風(fēng)險(xiǎn)評(píng)估和控制的手段。它針對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理的需求和特點(diǎn),采用不同的風(fēng)險(xiǎn)評(píng)估方法和技術(shù),識(shí)別固有風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn),對(duì)銀行信息系統(tǒng)進(jìn)行整體風(fēng)險(xiǎn)的評(píng)估。
4商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型的實(shí)現(xiàn)
4.1風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)框架
商業(yè)銀行隨時(shí)面對(duì)遭遇傷害和損失的可能性,而這些風(fēng)險(xiǎn)由關(guān)鍵信息資產(chǎn)、資產(chǎn)所面臨的威脅以及威脅所利用的脆弱點(diǎn)來(lái)確定。實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型,需對(duì)信息資產(chǎn)的識(shí)別,進(jìn)行威脅分析和弱點(diǎn)分析,實(shí)現(xiàn)框架如圖4所示。
信息資產(chǎn)不僅包括硬件設(shè)備,還包括應(yīng)用軟件和信息系統(tǒng)的相關(guān)人員。信息資產(chǎn)的識(shí)別與賦值可以通過(guò)普查和調(diào)查的方式實(shí)現(xiàn)。
信息系統(tǒng)的威脅來(lái)源于內(nèi)部風(fēng)險(xiǎn)的管理和外部風(fēng)險(xiǎn)環(huán)境的變化,通常使用的手段包括:用戶(hù)訪談、異常行為檢測(cè)、日志分析等方法進(jìn)行分析。
弱點(diǎn)來(lái)源于信息系統(tǒng)的安全與業(yè)務(wù)安全需求的不匹配,弱點(diǎn)分析的方法有:應(yīng)用軟件評(píng)估、網(wǎng)絡(luò)構(gòu)架評(píng)估、人工評(píng)估、工具掃描、安全管理審計(jì)、策略評(píng)估等。
圖險(xiǎn)評(píng)估模型實(shí)現(xiàn)框架
4.2風(fēng)險(xiǎn)評(píng)估的實(shí)施步驟
商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的實(shí)施主要有如下步驟:
1)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略進(jìn)行分析
商業(yè)銀行首先應(yīng)建立信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略,并在內(nèi)部和維護(hù),以對(duì)信息安全的支持與承諾,使其與銀行的業(yè)務(wù)發(fā)展相一致。
信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估必須對(duì)信息系統(tǒng)業(yè)務(wù)支持的可行性進(jìn)行分析,了解技術(shù)發(fā)展的內(nèi)外部狀況和管理層對(duì)信息技術(shù)的支持度等情況,評(píng)價(jià)信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略是否與業(yè)務(wù)發(fā)展戰(zhàn)略相一致。如圖5所示,首先需要確定總風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn);其次把確認(rèn)的風(fēng)險(xiǎn)進(jìn)行排序,建立戰(zhàn)略風(fēng)險(xiǎn)和流程風(fēng)險(xiǎn)項(xiàng)目;最后確定流程執(zhí)行的效力。
2)對(duì)風(fēng)險(xiǎn)評(píng)估內(nèi)容進(jìn)行詳細(xì)定義。
建立信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估范圍的表格,如該項(xiàng)評(píng)估所包含的系統(tǒng)、人員、資源等。對(duì)信息系統(tǒng)的運(yùn)行進(jìn)行評(píng)估,如主機(jī)系統(tǒng)、硬件設(shè)備、人員管理、災(zāi)難備份、權(quán)限管理等。建立信息系統(tǒng)流程評(píng)估表格,如主流程、次流程、流程所對(duì)應(yīng)的操作;流程中的主要固有風(fēng)險(xiǎn)、風(fēng)險(xiǎn)的控制手段等。
3)明確審計(jì)的技術(shù)和步驟。
確定信息系統(tǒng)審計(jì)需要使用的技術(shù)和技術(shù)使用的步驟,常用的測(cè)試技術(shù)有現(xiàn)場(chǎng)觀察、訪談、審閱、再執(zhí)行、知識(shí)評(píng)估等。
4)出具審計(jì)報(bào)告。
對(duì)信息系統(tǒng)進(jìn)行測(cè)試后,出具評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)包括信息系統(tǒng)的基本情況、面臨的內(nèi)外部風(fēng)險(xiǎn)、評(píng)估所發(fā)現(xiàn)的問(wèn)題、對(duì)評(píng)估發(fā)現(xiàn)事項(xiàng)提出的建議。
5)風(fēng)險(xiǎn)問(wèn)題的跟蹤和跟進(jìn)。
評(píng)估完成后,對(duì)發(fā)現(xiàn)的問(wèn)題需根據(jù)問(wèn)題的重要性和對(duì)象,提出報(bào)告并跟蹤解決。圖5 信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略及流程分析
5結(jié)束
第8篇
隨著近年來(lái)信息安全話(huà)題的持續(xù)熱議,越來(lái)越多的企業(yè)管理人員開(kāi)始關(guān)注這一領(lǐng)域�����,針對(duì)黑客入侵���、數(shù)據(jù)泄密�、系統(tǒng)監(jiān)控、信息管理等問(wèn)題陸續(xù)采取了一系列措施�����,開(kāi)始構(gòu)筑企業(yè)的信息安全防護(hù)屏障�。然而在給企業(yè)做咨詢(xún)項(xiàng)目的時(shí)候,還是經(jīng)常會(huì)聽(tīng)到這樣的話(huà):
“我們已經(jīng)部署了防火墻�����、入侵檢測(cè)設(shè)備防范外部黑客入侵�,采購(gòu)了專(zhuān)用的數(shù)據(jù)防泄密軟件進(jìn)行內(nèi)部信息資源管理,為什么還是會(huì)出現(xiàn)企業(yè)敏感信息外泄的問(wèn)題�����?”
“我們的IT運(yùn)營(yíng)部門(mén)建立了系統(tǒng)的運(yùn)行管理和安全監(jiān)管制度和體系��,為什么卻遲遲難以落實(shí)����?各業(yè)務(wù)部門(mén)都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣�����?�!?/p>
“我們已經(jīng)在咨詢(xún)公司的協(xié)助下建立了ISMS體系��,投入了專(zhuān)門(mén)的人力進(jìn)行安全管理和控制���,并且通過(guò)了企業(yè)信息安全管理體系的認(rèn)證和審核���,一開(kāi)始的確獲得了顯著的成效�����,但為什么經(jīng)過(guò)一年的運(yùn)行后,卻發(fā)現(xiàn)各類(lèi)安全事件有增無(wú)減���?”
這些問(wèn)題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭,腳痛醫(yī)腳”的安全解決方案����,自然顧此失彼��,難以形成有效的安全防護(hù)能力。上述的三個(gè)案例,案例一中企業(yè)發(fā)生過(guò)敏感信息外泄事件,于是采購(gòu)了專(zhuān)用的數(shù)據(jù)防泄密軟件��,卻并未制定相關(guān)的信息管理制度和進(jìn)行員工保密意識(shí)培訓(xùn),結(jié)果只能是防外不防內(nèi)�,還會(huì)給員工的正常工作帶來(lái)諸多不便���;案例二中企業(yè)管理者認(rèn)識(shí)到安全管理的重要性��,要求相關(guān)部門(mén)編制了大量的管理制度和規(guī)范,然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施��,不切實(shí)際的管理制度最終因?yàn)闃I(yè)務(wù)部門(mén)的排斥而束之高閣����;案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系,然而認(rèn)證通過(guò)后隨著業(yè)務(wù)發(fā)展卻并未進(jìn)行必要的改進(jìn)和優(yōu)化��,隨著時(shí)間的推移管理體系與實(shí)際工作脫節(jié)日益嚴(yán)重���,各類(lèi)安全隱患再次出現(xiàn)也就不足為奇�����。
其實(shí),企業(yè)面臨的各種安全威脅和隱患���,與人體所面臨的各種疾病有諸多類(lèi)似之處,我們常說(shuō)西醫(yī)治標(biāo)不治本,指的就是采取分片分析的發(fā)現(xiàn)問(wèn)題―分析問(wèn)題―解決問(wèn)題的思路處理安全威脅�,通過(guò)技術(shù)手段的積累雖然可以解決很多問(wèn)題���,但總會(huì)產(chǎn)生疲于應(yīng)付的狀況���,難以形成有效的安全保障體系���;類(lèi)比于中醫(yī)理論將人體看為一個(gè)互相聯(lián)系的整體�����,信息安全管理體系的建立正是通過(guò)全面的調(diào)研分析,充分發(fā)現(xiàn)企業(yè)面臨的各種問(wèn)題和隱患�����,緊密聯(lián)系業(yè)務(wù)工作和安全保障需要�����,形成系統(tǒng)的解決方案�����,通過(guò)動(dòng)態(tài)的維護(hù)機(jī)制形成完善的防護(hù)體系�����。
總體來(lái)說(shuō)���,信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)�����,以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法�����,來(lái)建立��、實(shí)施��、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)企業(yè)的信息安全系統(tǒng)��,目的是保障企業(yè)的信息安全�����。它是直接管理活動(dòng)的結(jié)果���,表示成方針���、原則�、目標(biāo)、方法、過(guò)程��、核查表(Checklists)等要素的集合��,涉及到人、程序和信息系統(tǒng)�����。
針對(duì)ISMS的建立�����,我們可以從中醫(yī)“望聞問(wèn)切對(duì)癥下藥治病于未病”的三個(gè)角度來(lái)進(jìn)行分析和討論:
第一���,“望聞問(wèn)切”��,全面的業(yè)務(wù)、資產(chǎn)和風(fēng)險(xiǎn)評(píng)估是ISMS建設(shè)的基礎(chǔ)���;
第二,“對(duì)癥下藥”�����,可落實(shí)�、可操作、可驗(yàn)證的管理體系是ISMS建設(shè)的核心�;
第三��,“治病于未病”,持續(xù)跟蹤��,不斷完善的思想是ISMS持續(xù)有效的保障���。
望聞問(wèn)切
為了完成ISMS建設(shè)���,就必然需要對(duì)企業(yè)當(dāng)前信息資源現(xiàn)狀進(jìn)行系統(tǒng)的調(diào)研和分析���,為企業(yè)的健康把把脈����,畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進(jìn)行ISMS建設(shè)�。
首先,自然是對(duì)企業(yè)現(xiàn)有資源的梳理,重點(diǎn)可以從以下幾個(gè)方面入手:
1.業(yè)務(wù)主體(設(shè)備���、人員、軟件等)。
業(yè)務(wù)主體是最直觀���、最直接的信息系統(tǒng)資源,比如多少臺(tái)服務(wù)器、多少臺(tái)網(wǎng)絡(luò)設(shè)備,都屬于業(yè)務(wù)主體的范疇���,按照業(yè)務(wù)主體本身的價(jià)值進(jìn)行一個(gè)估值,也是進(jìn)行整個(gè)信息系統(tǒng)資源價(jià)值評(píng)估的基礎(chǔ)評(píng)估��。由于信息技術(shù)日新月異的變化���,最好的主體未必服務(wù)于最核心的信息系統(tǒng)����,同時(shí)價(jià)值最昂貴的設(shè)備未必最后對(duì)企業(yè)的價(jià)值也最大。在建立體系的過(guò)程中��,對(duì)業(yè)務(wù)設(shè)備的盤(pán)點(diǎn)和清理是很重要的���,也是進(jìn)行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個(gè)重要數(shù)據(jù)�����。
2.業(yè)務(wù)數(shù)據(jù)(服務(wù)等)����。
業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負(fù)責(zé)人逐步關(guān)注的方面,之前我們只關(guān)注設(shè)備的安全�,網(wǎng)絡(luò)的良好工作狀態(tài)��,往往忽略了數(shù)據(jù)對(duì)業(yè)務(wù)和企業(yè)的重要性?��,F(xiàn)在��,核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)�,業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上���,很多還需要軟件容器�����,所以�,單純地看業(yè)務(wù)數(shù)據(jù)意義也不大��,保證業(yè)務(wù)數(shù)據(jù)��,必須保證其運(yùn)行的平臺(tái)和容器都是正常的,所以���,業(yè)務(wù)數(shù)據(jù)也是我們重點(diǎn)分析的方面之一。
3.業(yè)務(wù)流程。
企業(yè)所有的信息資源都是通過(guò)業(yè)務(wù)流程實(shí)現(xiàn)其價(jià)值的��,如果沒(méi)有業(yè)務(wù)流程�����,所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵��。所以,對(duì)業(yè)務(wù)流程的了解和分析也是很重要的一個(gè)方面。
以上三個(gè)方面是企業(yè)信息資源的三個(gè)核心方面,孤立地看待任何一個(gè)方面都是毫無(wú)意義的�����。
其次���,當(dāng)我們對(duì)企業(yè)的當(dāng)前信息資產(chǎn)進(jìn)行分析以后需要對(duì)其價(jià)值進(jìn)行評(píng)估��。
評(píng)估的過(guò)程就是對(duì)當(dāng)前的信息資產(chǎn)進(jìn)行量化的數(shù)據(jù)分析,進(jìn)行安全賦值��,我們將信息資產(chǎn)的安全等級(jí)劃分為 5 級(jí)����,數(shù)值越大,安全性要求越高,5 級(jí)的信息資產(chǎn)定義非常重要��,如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴(yán)重的損失����。1 級(jí)的信息資產(chǎn)定義為不重要,其被損害不會(huì)對(duì)企業(yè)造成過(guò)大影響���,甚至可以忽略不計(jì)。對(duì)信息資產(chǎn)的評(píng)估在自身價(jià)值����、信息類(lèi)別���、保密性要求�����、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個(gè)方面進(jìn)行評(píng)估賦值�����,最后信息資產(chǎn)的賦值取 5 個(gè)屬性里面的最大值�。
這里需要提出的是,這里不僅僅應(yīng)該給硬件���、軟件�、數(shù)據(jù)賦值,業(yè)務(wù)流程作為核心的信息資源也必須賦值���,而且?guī)讉€(gè)基本要素之間的安全值是相互疊加的,比如需要運(yùn)行核心流程的交換機(jī)的賦值��,是要高于需要運(yùn)行核心流程的交換機(jī)的賦值的。很多企業(yè)由于歷史原因���,運(yùn)行核心業(yè)務(wù)流程的往往是比較老的設(shè)備,在隨后的分析可以看得出來(lái)�����,由于其年代的影響����,造成資產(chǎn)的風(fēng)險(xiǎn)增加,也是需要重點(diǎn)注意的一點(diǎn)�����。
最后���,對(duì)企業(yè)當(dāng)前信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估���。
風(fēng)險(xiǎn)評(píng)估是 ISMS 建立過(guò)程中非常重要的一個(gè)方面�����,我們對(duì)信息資產(chǎn)賦值的目的就是為了計(jì)算風(fēng)險(xiǎn)值��,從而我們可以看出整個(gè)信息系統(tǒng)中風(fēng)險(xiǎn)最大的部分在哪里。對(duì)于風(fēng)險(xiǎn)值的計(jì)算有個(gè)簡(jiǎn)單的參考公式:風(fēng)險(xiǎn)值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值(特定行業(yè)也有針對(duì)性的經(jīng)驗(yàn)公式)�。
ISMS 建設(shè)的最終目標(biāo)是將整個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)值控制在一定范圍之內(nèi)��。
對(duì)癥下藥
經(jīng)過(guò)上階段的調(diào)研和分析�����,我們對(duì)企業(yè)面臨的安全威脅和隱患有一個(gè)全面的認(rèn)識(shí)����,本階段的ISMS建設(shè)重點(diǎn)根據(jù)需求完成“對(duì)癥下藥”的工作:
首先�����,是企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃���。
在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃��,根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS,使其能夠符合企業(yè)自身的要求���,也可以在企業(yè)本身的環(huán)境中進(jìn)行實(shí)施。管理體系的規(guī)范針對(duì)不同企業(yè)一定要具體化,要和企業(yè)自身具體工作相結(jié)合���,一旦缺乏結(jié)合性ISMS就會(huì)是孤立的,對(duì)企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)��,見(jiàn)圖1��。
圖1 信息安全管理體系
一級(jí)文件通過(guò)綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標(biāo)�、原則����、要求和主要措施等頂層設(shè)計(jì);二級(jí)文件主要涉及業(yè)務(wù)工作��、工程管理���、系統(tǒng)維護(hù)工作中具體的操作規(guī)范和流程要求���,并提供模塊化的任務(wù)細(xì)分�����,將其細(xì)化為包括“任務(wù)輸入”、“任務(wù)活動(dòng)”、“任務(wù)實(shí)施指南”和“任務(wù)輸出”等細(xì)則��,便于操作人員根據(jù)規(guī)范進(jìn)行實(shí)施和管理人員根據(jù)規(guī)范進(jìn)行工作審核��;三級(jí)文件則主要提供各項(xiàng)工作和操作所使用的表單和模板����,以便各級(jí)工作人員參考使用。
同時(shí),無(wú)論是制定新的信息管理規(guī)章制度還是進(jìn)行設(shè)備的更換,都要量力而行�,依據(jù)自己實(shí)際的情況來(lái)完成���。例如�,很多公司按照標(biāo)準(zhǔn)設(shè)立了由企業(yè)高級(jí)領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門(mén)�����、后勤安全部門(mén)和審計(jì)部門(mén)組成的信息安全辦公室�����,具體負(fù)責(zé)企業(yè)的信息安全管理工作,在各級(jí)信息化技術(shù)部門(mén)均設(shè)置系統(tǒng)管理員�、安全管理員���、安全審計(jì)員�,從管理結(jié)構(gòu)設(shè)計(jì)上保證人員權(quán)限互相監(jiān)督和制約�。但是事實(shí)上繁多的職能部門(mén)和人員不僅未能提升企業(yè)信息系統(tǒng)安全性,反而降低了整個(gè)信息系統(tǒng)的工作效率����。
其次,是企業(yè)信息安全管理體系的實(shí)施和驗(yàn)證
實(shí)施過(guò)程是最復(fù)雜的��,實(shí)施之后需要進(jìn)行驗(yàn)證�。實(shí)施是根據(jù) ISMS 的設(shè)計(jì)和體系規(guī)劃來(lái)做的,是個(gè)全面的信息系統(tǒng)的改進(jìn)工作�,不是單獨(dú)的設(shè)備更新�����,也不是單獨(dú)的管理規(guī)范的,需要企業(yè)從上至下���,全面地遵照?qǐng)?zhí)行,要和現(xiàn)有系統(tǒng)有效融合����。
這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)�,也包含了現(xiàn)有的管理體制�。畢竟ISMS是從國(guó)外傳入的思路和規(guī)范,雖然切合國(guó)人中醫(yī)理論的整體思維方式�����,但在國(guó)內(nèi)水土不服是正常的�����,主要表現(xiàn)就在于是否符合企業(yè)本身的利益��,是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來(lái)�。往往最難改變的還是企業(yè)管理者的固有思維��,要充分理解到進(jìn)行信息安全管理體系的建設(shè)是一個(gè)為企業(yè)長(zhǎng)久發(fā)展必須進(jìn)行的工程。
到目前為止�,和企業(yè)本身業(yè)務(wù)融合并沒(méi)有完美的解決方案�����,需要企業(yè)領(lǐng)導(dǎo)組織本身�����、信息系統(tǒng)技術(shù)人員�、業(yè)務(wù)人員和負(fù)責(zé) ISMS 實(shí)施的工程人員一同討論決定適合企業(yè)自身的實(shí)施方案
最后����,是企業(yè)信息安全管理體系的認(rèn)證和審核
針對(duì)我們周?chē)芏嘀卣J(rèn)證,輕實(shí)施的思想�����,這里有必要談一下這個(gè)問(wèn)題���,認(rèn)證僅代表認(rèn)證過(guò)程中的信息體系是符合 ISO27000(或者其他國(guó)家標(biāo)準(zhǔn))的規(guī)范要求,而不是說(shuō)企業(yè)通過(guò)認(rèn)證就是一個(gè)在信息安全管理體系下工作的信息系統(tǒng)了��。更重要的是貫徹實(shí)施整個(gè)體系的管理方式和管理方法�。只有安全的思想深入人心了,管理制度才能做到“不只是掛在墻上的一張紙���,放在抽屜里的一本書(shū)”。
“治病于未病”
企業(yè)信息安全管理體系需要?jiǎng)討B(tài)改進(jìn)和和優(yōu)化�����,畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的�,ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的,也需要有針對(duì)性地發(fā)展和變化���,道高一尺魔高一丈,必須通過(guò)各種方法�����,進(jìn)行不斷地改進(jìn)和完善���,才有可能保證ISMS 系統(tǒng)的持續(xù)作用���。
就像我們前面案例中提到的某公司一樣��,缺乏了持續(xù)改進(jìn)和跟蹤完善的手段,經(jīng)過(guò)測(cè)評(píng)的管理體系僅僅一年之后就失去了大部分作用。對(duì)于這些企業(yè)及未來(lái)即將建立ISMS的企業(yè),為了持續(xù)運(yùn)轉(zhuǎn)ISMS,我們認(rèn)為可以主要從以下三個(gè)方面著手:
第一���,人員。
人員對(duì)于企業(yè)來(lái)講是至關(guān)重要且必不可缺的,在ISMS建立過(guò)程中���,選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過(guò)程中,人員都應(yīng)該投入多少呢��?通常在體系建立過(guò)程中��,我們會(huì)建議所有體系管理范圍內(nèi)的部門(mén)各自給出一名信息安全代表作為安全專(zhuān)員配合體系建立實(shí)施���,且此名專(zhuān)員日后要持續(xù)保留�����,負(fù)責(zé)維護(hù)各自部門(mén)的信息資產(chǎn)、安全事件跟蹤匯報(bào)����、配合內(nèi)審與外審�����、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。
但很多事情是一種企業(yè)文化的培養(yǎng),需要更多的人員甚至全員參與,例如面向全員的定期信息安全意識(shí)培訓(xùn),面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等�,因此對(duì)于企業(yè)來(lái)講��,除了必要的體系維護(hù)人員,在ISMS持續(xù)運(yùn)轉(zhuǎn)過(guò)程中,若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)��,培養(yǎng)出“信息安全�����,人人有責(zé)”的企業(yè)氛圍,則會(huì)為企業(yè)帶大巨大的潛在收益�����。且有些企業(yè)在面向自身員工展開(kāi)信息安全各項(xiàng)活動(dòng)的同時(shí)��,還會(huì)納入客戶(hù)�、合作伙伴���、供應(yīng)商等需要外界相關(guān)人員的參與�����,對(duì)外也樹(shù)立起自身對(duì)重視信息安全的形象�,大力降低外界給企業(yè)帶來(lái)的風(fēng)險(xiǎn)����。
第二�,體系��。
ISMS自身的持續(xù)維護(hù)���,往往是企業(yè)建立后容易被忽視的內(nèi)容��,一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的,對(duì)于信息資產(chǎn)清單、風(fēng)險(xiǎn)清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評(píng)審回顧��,這項(xiàng)活動(dòng)由于也是在相關(guān)標(biāo)準(zhǔn)中明確指出的���,企業(yè)通常不會(huì)忽略�;但日常對(duì)于這些文檔記錄的更新也是必不可少的�����,尤其是重要資產(chǎn)發(fā)生重大變更���,組織業(yè)務(wù)����、部門(mén)發(fā)生重大調(diào)整時(shí)��,都最好對(duì)ISMS進(jìn)行重新的評(píng)審��,必要時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估,有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險(xiǎn)�����,并且可以將資源合理調(diào)配��,將有限的資源使用到企業(yè)信息安全的“短板”位置����。
唯一不變的就是變化��,企業(yè)每天所面臨的風(fēng)險(xiǎn)同樣也不是一成不變的���,在更新維護(hù)信息資產(chǎn)清單的同時(shí)�,對(duì)風(fēng)險(xiǎn)清單的回顧也是不可疏忽的���,而這點(diǎn)往往是很多信息安全專(zhuān)員容易忽視的內(nèi)容���。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn)���,有效控制企業(yè)所面臨的各種風(fēng)險(xiǎn)���。
第三�����,工具。
工具往往是企業(yè)在建立ISMS過(guò)程中投入大量資金的方面��,工具其實(shí)是很大的一個(gè)泛指����,例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備����、防病毒軟件����、正版軟件���、監(jiān)控審計(jì)等各類(lèi)工具���,即使沒(méi)有實(shí)施ISMS,企業(yè)在工具方面的投入也是必不可少的���,但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合,經(jīng)常會(huì)出現(xiàn)如何將幾種類(lèi)似工具充分利用�,如何在各工具間建立接口�,使數(shù)據(jù)流通共用�,哪些工具應(yīng)該替換更新,數(shù)據(jù)如何遷移����,甚至出現(xiàn)新購(gòu)買(mǎi)的工具無(wú)人使用或無(wú)法滿(mǎn)足業(yè)務(wù)需求等問(wèn)題,導(dǎo)致資金資源的浪費(fèi),因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過(guò)程中��,根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告�����,及信息安全專(zhuān)員反映的各部門(mén)業(yè)務(wù)需求各種信息數(shù)據(jù)的收集����,應(yīng)對(duì)工具進(jìn)行統(tǒng)一規(guī)劃�����,盡量減少資源的浪費(fèi)����。
第9篇
【關(guān)鍵字】遠(yuǎn)程教學(xué)網(wǎng)絡(luò)��;安全策略����;預(yù)防����;保護(hù);恢復(fù)
【中圖分類(lèi)號(hào)】G40-057 【文獻(xiàn)標(biāo)識(shí)碼】A 【論文編號(hào)】1009―8097(2008)13―0109―03
一 引言
自Internet在全球廣泛應(yīng)用以來(lái),基于Internet的計(jì)算機(jī)遠(yuǎn)程教學(xué)(又稱(chēng)在線(xiàn)教育)在世界范圍內(nèi)得到了迅速的發(fā)展?����;诰W(wǎng)絡(luò)的遠(yuǎn)程教學(xué)正是這種新教學(xué)模式的表現(xiàn)形式之一��,也是當(dāng)前快速發(fā)展的前沿研究領(lǐng)域之一。Internet的早期設(shè)計(jì)并未考慮到網(wǎng)絡(luò)的安全性問(wèn)題,它靈活���、松散的體系結(jié)構(gòu),使其很難抵御惡意和有害的攻擊。隨著Internet應(yīng)用的發(fā)展���,Internet的安全問(wèn)題變得日益重要,因此基于網(wǎng)絡(luò)的遠(yuǎn)程教學(xué)系統(tǒng)信息安全問(wèn)題也是一個(gè)不容忽視的問(wèn)題。
二 遠(yuǎn)程教學(xué)網(wǎng)絡(luò)安全現(xiàn)狀分析
網(wǎng)絡(luò)遠(yuǎn)程教學(xué)實(shí)際上包含兩方面的含義:一是指學(xué)校在網(wǎng)上提供全方位的教學(xué)服務(wù),支持學(xué)生的遠(yuǎn)程學(xué)習(xí)�;二是學(xué)校把信息放上網(wǎng)�,讓社會(huì)共享自己的教學(xué)資源����。系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)的支持下實(shí)現(xiàn)學(xué)生與教師分離的、開(kāi)放的模擬教學(xué)��。采用的技術(shù)有:WWW�,E-mail,F(xiàn)TP���,BBS,VOD���,數(shù)據(jù)庫(kù)等,“實(shí)現(xiàn)在時(shí)間�����、地點(diǎn)上的完全獨(dú)立的教學(xué)模式��?��!盵1]
概括起來(lái)�����,現(xiàn)代遠(yuǎn)程教學(xué)系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅主要有計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊�����、設(shè)備失效等問(wèn)題�。
第一、計(jì)算機(jī)病毒�����。計(jì)算機(jī)病毒是目前威脅網(wǎng)絡(luò)安全的重大禍?zhǔn)?����。?jì)算機(jī)病毒的侵入在嚴(yán)重的情況下會(huì)使網(wǎng)絡(luò)系 統(tǒng)癱瘓����,重要數(shù)據(jù)無(wú)法訪問(wèn)甚至丟失�。當(dāng)前Internet已成為計(jì)算機(jī)病毒傳播的重要途徑,而為了豐富教學(xué)系統(tǒng)的資源從網(wǎng)上下載一些軟件又在所難免��,因此身處Internet的遠(yuǎn)程教學(xué)系統(tǒng)應(yīng)建立多層次的“病毒”防范體 系�,“采取及時(shí)升級(jí)殺毒軟件,定時(shí)運(yùn)行殺毒軟件查找“病毒”��,重點(diǎn)防范要害部分����,對(duì)重要 信息進(jìn)行備份等措施?����!盵2]
第二��、網(wǎng)絡(luò)攻擊�����。網(wǎng)絡(luò)攻擊可以分為兩種:一種是主動(dòng)攻擊��,它以各種方式有選擇地破壞信息的有效性和完整性����。他們以發(fā)現(xiàn)和攻擊網(wǎng)絡(luò)操作系統(tǒng)的漏洞和缺陷作為樂(lè)趣�����,利 用網(wǎng)絡(luò)的脆弱性進(jìn)行非法活動(dòng)��,如修改網(wǎng)頁(yè),非法進(jìn)入主機(jī)破壞程序�����,竊取網(wǎng)上信息對(duì)電子 郵件進(jìn)行騷擾��,阻塞網(wǎng)絡(luò)和竊取網(wǎng)絡(luò)用戶(hù)口令等��。目前,在Internet環(huán)境中進(jìn)行的遠(yuǎn)程教學(xué)常常通過(guò)E-mail、BBS、聊天室等工具實(shí)現(xiàn)師生間 的信息交流。因此���,在系統(tǒng)建設(shè)中應(yīng)對(duì)來(lái)自信息交互過(guò)程的非安全因素有所防范。另一類(lèi)是被動(dòng)攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲���、竊取、破譯以獲得重要機(jī)密信息。隨著網(wǎng)絡(luò)技術(shù)在遠(yuǎn)程教育領(lǐng)域中應(yīng)用的進(jìn)一步深入���,基于Internet遠(yuǎn)程教學(xué)系統(tǒng)與外界交互的信息種類(lèi)不斷增多,其中“有些保密性要求較高的信息�����。這些信息一旦被截取�����、盜用或刪除 就會(huì)嚴(yán)重影響遠(yuǎn)程教學(xué)系統(tǒng)的運(yùn)作���,甚至?xí)<斑h(yuǎn)程教學(xué)系統(tǒng)的安全�,如管理帳號(hào)和密碼 、考試信息等等?��!?[3]
第三��、設(shè)備失效���。由于計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備���、存儲(chǔ)設(shè)備的故障���,或用戶(hù)的誤操作導(dǎo)致系統(tǒng)數(shù)據(jù)完整性受到破壞,從而使服務(wù)無(wú)法正常提供�。
三 設(shè)計(jì)信息安全策略��,保障遠(yuǎn)程教學(xué)網(wǎng)絡(luò)的信息安全
遠(yuǎn)程教學(xué)網(wǎng)絡(luò)的信息安全系統(tǒng)實(shí)際是一種網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控和恢復(fù)被破壞信息的系統(tǒng)。其信息安全策略務(wù)必體現(xiàn)出網(wǎng)絡(luò)保護(hù)中的三個(gè)層次:事前預(yù)防網(wǎng)絡(luò)信息安全隱患���,事中監(jiān)測(cè)與防護(hù)網(wǎng)絡(luò)病毒攻擊��,事后恢復(fù)數(shù)據(jù)�����。最后堵上安全漏洞���,對(duì)網(wǎng)絡(luò)信息安全系統(tǒng)予以動(dòng)態(tài)更新�����。事前以預(yù)防為核心設(shè)計(jì)相關(guān)策略�����,依靠訪問(wèn)控制與密鑰等技術(shù)實(shí)現(xiàn)�����;事中以保護(hù)通信暢通和防止網(wǎng)絡(luò)攻擊為核心設(shè)計(jì)相關(guān)策略,通過(guò)入侵檢測(cè)���、防火墻等技術(shù)配合實(shí)現(xiàn)��;事后災(zāi)難恢復(fù)則以最大限度恢復(fù)原有信息為核心設(shè)計(jì)相關(guān)策略,通過(guò)數(shù)據(jù)備份等有關(guān)技術(shù)實(shí)現(xiàn)���。針對(duì)以上信息安全策略設(shè)計(jì)原則����,遠(yuǎn)程教學(xué)系統(tǒng)應(yīng)該在安全訪問(wèn),入侵檢測(cè)�����,系統(tǒng)恢復(fù)以及病毒防護(hù)等方面建立一套從“預(yù)防――保護(hù)――恢復(fù)”全面的安全防護(hù)體系。其體系如圖1所示:
1 預(yù)防策略
(1) 嚴(yán)格執(zhí)行訪問(wèn)控制��?�;贗nternet的遠(yuǎn)程教育系統(tǒng)的用戶(hù)大致可分為三類(lèi):教師用戶(hù)、學(xué)習(xí)者用戶(hù)以及管理 員��。不同用戶(hù)所能見(jiàn)到的內(nèi)容��、所擁有的權(quán)限是有所不同的。也就是說(shuō)���,教學(xué)系統(tǒng)中的信息是分級(jí)保密的���?����;贗nternet的遠(yuǎn)程教學(xué)系統(tǒng)應(yīng)妥善管理用戶(hù)的帳號(hào)及密碼�,特別 是權(quán)限較高用戶(hù)的信息��,對(duì)密碼的長(zhǎng)度����、復(fù)雜度、更改頻度作出要求���。而且“在傳輸重要信息 時(shí)應(yīng)使用加密技術(shù)��?��!盵4]與此同時(shí)�,對(duì)系統(tǒng)中的資源也應(yīng)進(jìn)行分類(lèi)�,實(shí)行多級(jí)管理���。
(2) 加強(qiáng)密鑰和證書(shū)管理���。PKI(Public-Key Infrastructure,公共密鑰基礎(chǔ)設(shè)施)是在公開(kāi)密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來(lái)的一種綜合安全平臺(tái),能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書(shū)管理,從而達(dá)到保證網(wǎng)上傳遞信息的安全�����、真實(shí)���、完整和不可抵賴(lài)的目的�。利用PKI可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)教學(xué)環(huán)境,從而使得人們?cè)谶@個(gè)無(wú)法直接相互面對(duì)的環(huán)境里��,能夠確認(rèn)彼此的身份和所交換的信息���,能夠安全地從事教學(xué)活動(dòng)��。
在PKI體系中���,CA(Certificate Authority��,認(rèn)證中心)和數(shù)字證書(shū)是密不可分的兩個(gè)部分。認(rèn)證中心通常采用多層次的分級(jí)結(jié)構(gòu)��,上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書(shū)�����,最下一級(jí)的認(rèn)證中心直接面向最終用戶(hù)����。是由認(rèn)證中心發(fā)放并經(jīng)認(rèn)證中心數(shù)字簽名��,包含公開(kāi)密鑰擁有者以及公開(kāi)密鑰相關(guān)信息的一種電子文件����,可以用來(lái)證明數(shù)字證書(shū)持有者的真實(shí)身份��。為了保障信息不被越權(quán)訪問(wèn)應(yīng)加強(qiáng)訪問(wèn)控制工作��,按用戶(hù)類(lèi)別進(jìn)行注冊(cè),記錄用戶(hù)相關(guān)信息,必要時(shí)可以啟用數(shù)字簽名技術(shù)。
2 保護(hù)策略
(1) 入侵檢測(cè)系統(tǒng)(IDS)的設(shè)計(jì)
入侵檢測(cè)系統(tǒng)(Intrusion Detection System簡(jiǎn)稱(chēng)IDS)通過(guò)“收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息”[5],檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象���。
IDS通過(guò)檢測(cè)和記錄遠(yuǎn)程教學(xué)網(wǎng)絡(luò)中的安全違規(guī)行為,防止干擾教學(xué)的網(wǎng)絡(luò)入侵事件的發(fā)生���;檢測(cè)其他安全措施未能阻止的攻擊或安全違規(guī)行為;檢測(cè)黑客在攻擊前的探測(cè)行為���,預(yù)先給管理員發(fā)出警報(bào);報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅;提供有關(guān)攻擊的信息�,幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)�����,利于其進(jìn)行修補(bǔ)。
IDS把大部分的系統(tǒng)資源用于對(duì)采集報(bào)文的分析,通過(guò)獨(dú)特的數(shù)據(jù)收集功能��,將網(wǎng)段上的流量全部(或有選擇的)收集上來(lái)���,然后在此基礎(chǔ)上進(jìn)行內(nèi)容分析等基本操作�����。通過(guò)這些操作,IDS可以輕易做到很多有益的工作�,如入侵活動(dòng)報(bào)警�、不同業(yè)務(wù)類(lèi)別的網(wǎng)絡(luò)流量統(tǒng)計(jì)�、實(shí)時(shí)監(jiān)控等。IDS高智能的數(shù)據(jù)分析技術(shù)���、“詳盡的入侵知識(shí)描述庫(kù)可以提供比防火墻更準(zhǔn)確、更嚴(yán)格�、更全面的訪問(wèn)行為審查功能��。”[6]
(2) 防火墻設(shè)計(jì)�。
防火墻技術(shù)是為了保證網(wǎng)絡(luò)路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層�。所有的內(nèi)外連接都強(qiáng)制性地經(jīng)過(guò)這一保護(hù)層接受檢查過(guò)濾���,只有被授權(quán)的通信才允許通過(guò)�。防火墻的安全意義是雙向的,一方面可以限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問(wèn)���,另一方面也可以限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)中不健康或敏感信息的訪問(wèn)。同時(shí)�,防火墻還可以對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì)���,對(duì)可疑動(dòng)作告警��,以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細(xì)信息。防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)一般分為兩種���,一種是分組過(guò)濾技術(shù),一種是服務(wù)技術(shù)���。分組過(guò)濾基于路由器技術(shù),其機(jī)理是“由分組過(guò)濾路由器對(duì)IP分組進(jìn)行選擇�����,根據(jù)特定組織機(jī)構(gòu)的網(wǎng)絡(luò)安全準(zhǔn)則過(guò)濾掉某些IP地址分組����,從而保護(hù)內(nèi)部網(wǎng)絡(luò)����?����!盵7]服務(wù)技術(shù)是由一個(gè)高層應(yīng)用網(wǎng)關(guān)作為服務(wù)器,對(duì)于任何外部網(wǎng)的應(yīng)用連接請(qǐng)求首先進(jìn)行安全檢查�����,然后再與被保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)器連接�����。服務(wù)技術(shù)可使內(nèi)��、外網(wǎng)絡(luò)信息流動(dòng)受到雙向監(jiān)控。
(3) 病毒防護(hù)系統(tǒng)設(shè)計(jì)�����。
身處Internet的遠(yuǎn)程教學(xué)系統(tǒng)應(yīng)建立多層次的“病毒”防范體系�,采取及時(shí)升級(jí)殺毒軟件,定時(shí)運(yùn)行殺毒軟件查找“病毒”��,重點(diǎn)防范要害部分����,對(duì)重要 信息進(jìn)行備份等措施����。一個(gè)需要作好防毒措施的網(wǎng)絡(luò)架構(gòu)可以分成以下三個(gè)不同的階層:
第一層―――網(wǎng)關(guān)(Internet Gateways)防毒機(jī)制
如果一個(gè)網(wǎng)絡(luò)設(shè)置了第一層的病毒防護(hù),那么只要在一兩個(gè)網(wǎng)關(guān)上替整個(gè)網(wǎng)絡(luò)捕捉和攔截病毒就可以了。一旦病毒通過(guò)了網(wǎng)關(guān),就必須依靠服務(wù)器程序(Server Agents)對(duì)眾多的服務(wù)器進(jìn)行掃描和修復(fù)�,而不再只是處理一個(gè)網(wǎng)關(guān)�����。倘若由于某種原因病毒穿透了服務(wù)器層,那就必須依靠客戶(hù)端這一層的防毒軟件,這可能會(huì)影響到成百上千的節(jié)點(diǎn)。所以�����,在第一層阻止病毒是最有效的解決方法���。
第二層―――服務(wù)器防毒機(jī)制
在遠(yuǎn)程教學(xué)系統(tǒng)之中���,不同的服務(wù)器提供著不同的服務(wù)��,其中最容易遭受病毒的攻擊的服務(wù)器�,首推文件服務(wù)器����,因?yàn)椤拔募?wù)器有著文件集中的特性,提供教育體制中文件儲(chǔ)存及交換的便利性”[8],正是這種特性�����,更容易讓病毒有機(jī)可乘�����,更容易散播開(kāi)來(lái)��。因此我們更應(yīng)該針對(duì)所有可能的通道加以防護(hù)��,這就是架構(gòu)中的第二層防護(hù):需要在每臺(tái)存放文件和E-mail的服務(wù)器上作好病毒的防護(hù)工作��,在這些服務(wù)器上,防毒軟件都必須設(shè)置成提供實(shí)時(shí)防護(hù)和定期的防毒掃描(Scheduled Scanning)�。
第三層―――工作站防毒機(jī)制
教學(xué)工作站病毒防護(hù)策略�,除了考慮環(huán)境及病毒人侵的防護(hù)外��,還必須考慮到人為因素及管理因素����,在如此復(fù)雜的環(huán)境中���,可先從病毒可能進(jìn)行感染的通道防堵�。
首先針對(duì)一般感染路徑�����,文件的存取及網(wǎng)絡(luò)的存取,已經(jīng)是一種基本應(yīng)有的功能,必須在幕后隨時(shí)監(jiān)視及掃描你所存取的所有文件,包含壓縮檔及較不為一般人所注意的Office宏文件,以防止一般性的病毒威脅���。在電子郵件的傳染途徑中,除了針對(duì)SMTP的通訊協(xié)議作保護(hù)外,還必須考慮到一些使用者由外部的郵件服務(wù)器收取郵件,或者是下載互聯(lián)網(wǎng)上的文件,因此在下載文件的部分以及POP3��、MAPI等通訊協(xié)議上必須加強(qiáng)防護(hù)���。同樣的來(lái)自于瀏覽網(wǎng)站或者是利用FTP上傳或下載文件也是必須防護(hù)的重點(diǎn)��,如此構(gòu)成了嚴(yán)密的三層病毒防護(hù)系統(tǒng)���。[9]
3 恢復(fù)策略
恢復(fù)的基礎(chǔ)是及時(shí)地進(jìn)行備分��。如果沒(méi)有進(jìn)行備分,計(jì)算機(jī)將無(wú)法進(jìn)行恢復(fù)。但需要注意的是如果備份的內(nèi)容是很久以前的東西的話(huà),可能也無(wú)法通過(guò)恢復(fù)來(lái)重新得到想要的資料�����。
通常在重要的數(shù)據(jù)服務(wù)器里采用容錯(cuò)磁盤(pán)技術(shù)來(lái)保證數(shù)據(jù)安全��。常用的有鏡像卷(Mirro Volume)是指“在兩個(gè)物理磁盤(pán)上復(fù)制數(shù)據(jù)的容錯(cuò)卷。通過(guò)使用兩個(gè)相同的卷(被稱(chēng)為鏡像)��,鏡像卷提供了數(shù)據(jù)冗余以復(fù)制卷上包含的信息���?���!盵10]鏡像總是位于另一個(gè)磁盤(pán)上。如果其中一個(gè)磁盤(pán)出現(xiàn)故障�,則該故障磁盤(pán)上的數(shù)據(jù)將不可用���,但是系統(tǒng)可以在位于其他磁盤(pán)上的鏡像中繼續(xù)進(jìn)行操作��。RAID-5卷RAID是(Redudant Array of Inexpensive Disks)的縮寫(xiě),簡(jiǎn)稱(chēng)磁盤(pán)陣列�����。后來(lái)演變成了“獨(dú)立冗余磁盤(pán)陣列” (Redudant Array of Independent Disks)�����?���!癛AID的實(shí)現(xiàn)方式有兩種:軟件方式和硬件方式���。硬件方式是使用專(zhuān)門(mén)的硬件設(shè)備��,如RAID卡�����,SCSI硬盤(pán)等���。這種方式由于部分處理工作由RAID卡處理���,所以性能�,速度都有明顯的優(yōu)勢(shì),專(zhuān)用的服務(wù)器都采用這種方式���。”[11]軟件方式是通過(guò)操作系統(tǒng)或其他軟件實(shí)現(xiàn)的���,從Windows NT開(kāi)始就已經(jīng)支持RAID功能了。 RAID-5需要至少三塊硬盤(pán)才能建立�����,每塊硬盤(pán)必須提供相同的磁盤(pán)空間����。使用RAID-5卷時(shí)��,數(shù)據(jù)除了會(huì)分散寫(xiě)入各硬盤(pán)中外,也會(huì)同時(shí)建立一份奇偶校驗(yàn)數(shù)據(jù)信息�,保存在不同的硬盤(pán)上����。例如若以三塊硬盤(pán)建立RAID-5卷時(shí)�����,第1組數(shù)據(jù)可能分散存于第1���,2塊硬盤(pán)中,而校驗(yàn)信息則寫(xiě)到第3塊硬盤(pán)上��,但下一組數(shù)據(jù)則可能存于第2���,3塊硬盤(pán)���,校驗(yàn)則存于第1塊硬盤(pán)上�,若有一塊硬盤(pán)發(fā)生故障時(shí),則可由剩余的磁盤(pán)數(shù)據(jù)結(jié)合校驗(yàn)信息計(jì)算出該硬盤(pán)上原有的數(shù)據(jù)。而且與鏡像卷相比����,RAID-5卷有較高的磁盤(pán)利用率��。
4 設(shè)計(jì)安全評(píng)估系統(tǒng),隨時(shí)堵住安全漏洞,完善信息安全策略。
在進(jìn)行網(wǎng)絡(luò)安全評(píng)估時(shí)�����,應(yīng)涉及到網(wǎng)絡(luò)安全體系的各個(gè)方面�����,包括主機(jī)��、網(wǎng)絡(luò)通信設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)類(lèi)型、數(shù)據(jù)庫(kù)�、信息傳送等����。通過(guò)全面檢測(cè)整個(gè)網(wǎng)絡(luò)系統(tǒng)存在的安全隱患�,“準(zhǔn)確發(fā)現(xiàn)易于遭受攻擊的薄弱環(huán)節(jié),及時(shí)采取補(bǔ)救及防范措施�����,以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的����?����!盵12]
(1) 體系結(jié)構(gòu)
系統(tǒng)分為三層����,第一層為界面層���,為用戶(hù)提供系統(tǒng)的使用界面��,便于用戶(hù)使用操作�����;第二層為檢測(cè)分析層,這一層為系統(tǒng)的核心�����,用于對(duì)整個(gè)系統(tǒng)的主機(jī)��、網(wǎng)絡(luò)設(shè)備等進(jìn)行檢測(cè)�����,自動(dòng)生成檢測(cè)報(bào)告�����。通過(guò)檢測(cè)結(jié)果進(jìn)行分析�����,評(píng)估整個(gè)網(wǎng)絡(luò)的安全狀況并提出改進(jìn)策略���;第三層為系統(tǒng)支撐層����,“該層中的漏洞庫(kù)存放已發(fā)現(xiàn)的安全漏洞�,以便安全檢測(cè)組件在檢測(cè)時(shí)進(jìn)行搜索?��!盵13]分析結(jié)果庫(kù)中存放檢測(cè)分析結(jié)果。系統(tǒng)如圖2所示:
(2) 系統(tǒng)功能
①總控模塊:為系統(tǒng)的主程序�,提供用戶(hù)界面�����,用于控制整個(gè)系統(tǒng)中各個(gè)模塊之間的調(diào)用。
②漏洞庫(kù)更新組件:動(dòng)態(tài)更新漏洞庫(kù)��。
③客戶(hù)機(jī)信息檢測(cè)組件:通過(guò)讀取系統(tǒng)配置信息文件等�,搜索漏洞庫(kù),查找漏洞����,并把檢測(cè)結(jié)果寫(xiě)入結(jié)果分析庫(kù)��。
④網(wǎng)絡(luò)信息檢測(cè)組件:通過(guò)獲取網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)類(lèi)型、版本信息及開(kāi)放的服務(wù)端口等信息�����,“搜索漏洞庫(kù)�,獲取安全漏洞信息”[14],并將結(jié)果寫(xiě)入分析結(jié)果庫(kù)�����。
⑤口令檢測(cè)組件:對(duì)工作站用戶(hù)口令和服務(wù)器口令進(jìn)行口令破解檢測(cè)��,并把檢測(cè)結(jié)果寫(xiě)入結(jié)果分析庫(kù)。
⑥模擬攻擊組件:從結(jié)果分析庫(kù)中調(diào)出相關(guān)檢測(cè)記錄,根據(jù)檢測(cè)出來(lái)的安全漏洞,對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行遠(yuǎn)程模擬攻擊,并將攻擊結(jié)果寫(xiě)入結(jié)果分析庫(kù)����。
⑦評(píng)估分析模塊:調(diào)用各檢測(cè)組件的檢測(cè)結(jié)果�����,根據(jù)系統(tǒng)設(shè)置的評(píng)估模型參數(shù),自動(dòng)進(jìn)行評(píng)估分析,生成網(wǎng)絡(luò)安全評(píng)估報(bào)告��,并提出改進(jìn)措施及策略���。
四 結(jié)束語(yǔ)
本文在利用遠(yuǎn)程教學(xué)網(wǎng)絡(luò)安全現(xiàn)有設(shè)備和策略的基礎(chǔ)上����,對(duì)遠(yuǎn)程教學(xué)網(wǎng)絡(luò)的信息安全策略進(jìn)行了初步研究,根據(jù)實(shí)際狀況建立一個(gè)以預(yù)防―――防護(hù)―――恢復(fù)基本策略為基礎(chǔ)的信息安全防護(hù)體系�����,保證整個(gè)網(wǎng)絡(luò)信息安全的最根本需要�。對(duì)教學(xué)網(wǎng)絡(luò)實(shí)行多重保護(hù),各層保護(hù)相互補(bǔ)充��,當(dāng)一層保護(hù)被攻破時(shí)�����,其它層保護(hù)仍可保護(hù)信息的安全�,以構(gòu)建安全可靠的遠(yuǎn)程教學(xué)網(wǎng)絡(luò)環(huán)境,使得遠(yuǎn)程教學(xué)的應(yīng)用和發(fā)展更加廣泛和深入�����。
參考文獻(xiàn)
[1] 紀(jì)潤(rùn)博.我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀與對(duì)策[J].網(wǎng)絡(luò)與電子商務(wù), 2005,(4):28-30.
[2] 陸楠.現(xiàn)代網(wǎng)絡(luò)技術(shù)[M].西安:西安電子科技大學(xué)出版社, 2003:45-46.
[3] 蔡鳳娟.信息網(wǎng)絡(luò)安全管理[J].信息化建設(shè),2004,(5):45-47,
[4] 逢玉臺(tái).網(wǎng)絡(luò)信息安全綜述[J].現(xiàn)代通信,2003,(10):17-18,
[5] 彭海英.網(wǎng)絡(luò)信息安全技術(shù)概述[J].現(xiàn)代計(jì)算機(jī), 2003,(4):55-56.
[6] 石美紅.計(jì)算機(jī)網(wǎng)絡(luò)工程[M].西安:西安電子科技大學(xué)出版社,2005:109-112.
[7] 孫延蘅.網(wǎng)絡(luò)信息安全隱患及其防御[J].情報(bào)雜志, 2002,(7):58-59.
[8] 崔波.電子商務(wù)網(wǎng)絡(luò)信息安全問(wèn)題[J].圖書(shū)館理論也實(shí)踐, 2003,(2):55-56.
[9] 羅莉.網(wǎng)絡(luò)信息安全技術(shù)[J].太原科技,2000,(3):22-23.
[10] 劉學(xué)軍,王永君,車(chē)偉濤等.三角剖分中拓?fù)潢P(guān)系的動(dòng)態(tài)創(chuàng)建與維護(hù)[J].湖南科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2008,(2):80-81.省略.“Effective Feedback” [EB/OL].
[12] 謝宜辰.論當(dāng)前我國(guó)高等教育價(jià)值取向問(wèn)題[J].湖南科技大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2008,(1):121-122.
第10篇
關(guān)鍵詞 內(nèi)部網(wǎng)絡(luò)�;安全防范��;企業(yè)
中圖分類(lèi)號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2013)83-0207-02
1 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀
傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全防范主要都是對(duì)網(wǎng)絡(luò)病毒���、系統(tǒng)漏洞����、入侵檢測(cè)等方面加以設(shè)置�����,安全措施和相關(guān)配置通常都在網(wǎng)絡(luò)與外部進(jìn)行連接的端口處加以實(shí)施�����,采取這樣的網(wǎng)絡(luò)安全防范雖然能夠降低外部網(wǎng)絡(luò)帶來(lái)的安全威脅,但卻忽視了企業(yè)內(nèi)部網(wǎng)絡(luò)潛在的安全問(wèn)題。
目前��,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題的嚴(yán)重程度已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了外部網(wǎng)絡(luò)帶來(lái)的安全威脅�����,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅成為了企業(yè)信息安全面臨的重大難題�。但是�����,由于企業(yè)管理人員的網(wǎng)絡(luò)安全防范意識(shí)不強(qiáng)��,對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題不夠重視�,甚至沒(méi)有對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)采取任何安全防范措施,因此導(dǎo)致了企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故不斷增加���,給企業(yè)帶來(lái)了重大經(jīng)濟(jì)損失和社會(huì)負(fù)面影響,怎樣能夠保證企業(yè)內(nèi)部網(wǎng)絡(luò)不受到任何威脅和侵害���,已經(jīng)成為了企業(yè)在信息化發(fā)展建設(shè)過(guò)程中亟待解決的問(wèn)題。
2 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展���,企業(yè)內(nèi)部網(wǎng)絡(luò)是其信息化建設(shè)過(guò)程中必不可少的一部分。而且���,網(wǎng)絡(luò)應(yīng)用程序的不斷增多也使得企業(yè)網(wǎng)絡(luò)正在面臨著各種各樣的安全威脅。
2.1內(nèi)部網(wǎng)絡(luò)脆弱
企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊通常是利用企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的漏洞實(shí)現(xiàn)的��,而且����,由于部分網(wǎng)絡(luò)管理人員對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范不夠重視,使得大部分的計(jì)算機(jī)終端都面臨著嚴(yán)重的系統(tǒng)漏洞問(wèn)題���,隨著內(nèi)部網(wǎng)絡(luò)中應(yīng)用程序數(shù)量的日益增加,也給計(jì)算機(jī)終端帶來(lái)了更多的系統(tǒng)漏洞問(wèn)題�����。
2.2用戶(hù)權(quán)限不同
企業(yè)內(nèi)部網(wǎng)絡(luò)的每個(gè)用戶(hù)都擁有不同的使用權(quán)限���,因此���,對(duì)用戶(hù)權(quán)限的統(tǒng)一控制和管理非常難以實(shí)現(xiàn)���,不同的應(yīng)用程序都會(huì)遭到用戶(hù)密碼的破譯和非法越權(quán)操作���。部分企業(yè)的信息安全部門(mén)對(duì)于內(nèi)部網(wǎng)絡(luò)的服務(wù)器管理不到位���,更容易給網(wǎng)絡(luò)黑客留下可乘之機(jī)�����。
2.3信息分散
由于部分企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)存儲(chǔ)分布在不同的計(jì)算機(jī)終端中���,沒(méi)有將這些信息統(tǒng)一存儲(chǔ)到服務(wù)器中��,又缺乏嚴(yán)格有效的監(jiān)督控制管理辦法。甚至為了方便日常辦公��,對(duì)于數(shù)據(jù)往往不加密就在內(nèi)部網(wǎng)絡(luò)中隨意傳輸����,這就給竊取信息的人員制造了大量的攻擊機(jī)會(huì)。
3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案
3.1網(wǎng)絡(luò)安全防范總體設(shè)計(jì)
即使企業(yè)內(nèi)部網(wǎng)絡(luò)綜合使用了入侵檢測(cè)系統(tǒng)��、漏洞掃描系統(tǒng)等防護(hù)手段���,也很難保證企業(yè)內(nèi)部網(wǎng)絡(luò)之間數(shù)據(jù)通信的絕對(duì)安全��。因此��,在本文設(shè)計(jì)的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范方案中,部署了硬件加密機(jī)的應(yīng)用��,能夠保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)通信進(jìn)行加密處理��,從而加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)��。
3.2網(wǎng)絡(luò)安全體系模型構(gòu)建
企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系屬于水平與垂直分層實(shí)現(xiàn)的,水平層面上包括了安全管理�����、安全技術(shù)�����、安全策略和安全產(chǎn)品,它們之間是通過(guò)支配和被支配的模式實(shí)現(xiàn)使用的;垂直層面上的安全制度是負(fù)責(zé)對(duì)水平層面上的行為進(jìn)行安全規(guī)范。一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系如果想保持一致性����,必須包括用戶(hù)授權(quán)管理���、用戶(hù)身份認(rèn)證��、數(shù)據(jù)信息保密和實(shí)時(shí)監(jiān)控審計(jì)這四個(gè)方面。這四個(gè)方面的管理功能是共同作用于同一個(gè)平臺(tái)之上的�����,從而構(gòu)建成一個(gè)安全可靠�、實(shí)時(shí)可控的企業(yè)內(nèi)部網(wǎng)絡(luò)。
1)用戶(hù)身份認(rèn)證
用戶(hù)身份認(rèn)證是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的基礎(chǔ)�,企業(yè)內(nèi)部網(wǎng)絡(luò)中的用戶(hù)身份認(rèn)證包括了服務(wù)器用戶(hù)����、網(wǎng)絡(luò)設(shè)備用戶(hù)���、網(wǎng)絡(luò)資源用戶(hù)����、客戶(hù)端用戶(hù)等等,而且,由于網(wǎng)絡(luò)客戶(hù)端用戶(hù)數(shù)量龐大,存在著更多的不安全��、不確定性�,因此,對(duì)于網(wǎng)絡(luò)客戶(hù)端用戶(hù)的身份認(rèn)證至關(guān)重要。
2)用戶(hù)授權(quán)管理
用戶(hù)授權(quán)管理是以用戶(hù)身份認(rèn)證作為基礎(chǔ)的�,主要是對(duì)用戶(hù)使用企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)資源時(shí)進(jìn)行授權(quán)�����,每個(gè)用戶(hù)都對(duì)應(yīng)著不用的權(quán)限��,權(quán)限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源進(jìn)行訪問(wèn)和使用���,包括服務(wù)器數(shù)據(jù)資源的使用權(quán)限�、網(wǎng)絡(luò)數(shù)據(jù)資源使用權(quán)限和網(wǎng)絡(luò)存儲(chǔ)設(shè)備資源使用權(quán)限等等�。
3)數(shù)據(jù)信息保密
數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡(luò)中信息安全的核心部分,需要對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)通信的所有數(shù)據(jù)進(jìn)行安全管理,保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡(luò)中處于一個(gè)安全環(huán)境下進(jìn)行�����,從而保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)信息和知識(shí)產(chǎn)權(quán)信息的有效保護(hù)。
4)實(shí)時(shí)監(jiān)控審計(jì)
實(shí)時(shí)監(jiān)控審計(jì)作為企業(yè)內(nèi)部網(wǎng)絡(luò)中必不可少的部分,主要實(shí)現(xiàn)的是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全的實(shí)時(shí)監(jiān)控�����,定期生成企業(yè)內(nèi)部網(wǎng)絡(luò)安全評(píng)估報(bào)告�����,一旦企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題時(shí)���,能夠及時(shí)匯總數(shù)據(jù)���,為安全事故的分析判斷提供有效依據(jù)���。
4結(jié)論
目前�����,關(guān)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范問(wèn)題一直是網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點(diǎn)問(wèn)題,越來(lái)越多的企業(yè)將辦公系統(tǒng)應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)中,但是由于企業(yè)工作人員的安全防范意識(shí)不強(qiáng),或者網(wǎng)絡(luò)操作不規(guī)范,都給企業(yè)內(nèi)部網(wǎng)絡(luò)帶來(lái)了更多的安全威脅����。本文提出的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案,能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題���,具有一定的實(shí)踐應(yīng)用價(jià)值。
參考文獻(xiàn)
第11篇
論文摘要:分析了電力系統(tǒng)信息安全的應(yīng)用與發(fā)展存在的安全風(fēng)險(xiǎn)�����,安全防護(hù)方案����、安全肪護(hù)技術(shù)手段及在網(wǎng)絡(luò)安全工作中應(yīng)該注意的問(wèn)題,并對(duì)信息安全的解決方繁從技術(shù)和管理2個(gè)方面進(jìn)行了研究�����,探討了保證電力實(shí)時(shí)運(yùn)行控制系統(tǒng)和管理信息網(wǎng)絡(luò)系統(tǒng)信息安全的有關(guān)措施���,同時(shí)以朝陽(yáng)供電公司為例����,進(jìn)一步進(jìn)行有針對(duì)性的剖析。
論文關(guān)鍵詞:電力���;信息安全;解決方案��;技術(shù)手段
1電力信息化應(yīng)用和發(fā)展
目前�,電力企業(yè)信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成,硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好�����,無(wú)論是在生產(chǎn)�����、調(diào)度還是營(yíng)業(yè)等部門(mén)都已實(shí)現(xiàn)了信息化,企業(yè)信息化已經(jīng)成為新世紀(jì)開(kāi)局階段的潮流����。在網(wǎng)絡(luò)硬件方面�,基本上已經(jīng)實(shí)現(xiàn)千兆骨干網(wǎng)��;百兆到桌面����,三層交換���;VLAN��,MPLS等技術(shù)也普及使用���。在軟件方面���,各應(yīng)用十要包括調(diào)度自動(dòng)化系統(tǒng)�����、生產(chǎn)管理信息系統(tǒng)�����、營(yíng)銷(xiāo)信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)及各專(zhuān)業(yè)相關(guān)的應(yīng)用子系統(tǒng)等�。計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)�、建設(shè)�����、經(jīng)營(yíng)、管理����、科研����、設(shè)計(jì)等各個(gè)領(lǐng)域有著十分廣泛的應(yīng)用��,安全生產(chǎn)����、節(jié)能消耗�、降低成本、縮短工期、提高勞動(dòng)生產(chǎn)率等方面取得了明顯的社會(huì)效益和經(jīng)濟(jì)效益�,同時(shí)也逐步健全和完善了信息化管理機(jī)制���,培養(yǎng)和建立了一支強(qiáng)有力的技術(shù)隊(duì)伍�����,有利促進(jìn)了電力工業(yè)的發(fā)展。
2電力信息網(wǎng)安全現(xiàn)狀分析
結(jié)合電力生產(chǎn)特點(diǎn),從電力信息系統(tǒng)和電力運(yùn)行實(shí)時(shí)控制系統(tǒng)2個(gè)方面��,分析電力系統(tǒng)信息安全存在的問(wèn)題�。電力信息系統(tǒng)已經(jīng)初步建立其安全體系,將電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)進(jìn)行隔離��,網(wǎng)絡(luò)間設(shè)置了防火墻�����,購(gòu)買(mǎi)了網(wǎng)絡(luò)防病毒軟件���,有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的���,很多單位沒(méi)有網(wǎng)絡(luò)防火墻,沒(méi)有數(shù)據(jù)備份的概念���,更沒(méi)有對(duì)網(wǎng)絡(luò)安全做統(tǒng)一,長(zhǎng)遠(yuǎn)的規(guī)劃���,網(wǎng)絡(luò)中有許多的安全隱患。朝陽(yáng)供電公司嚴(yán)格按照省公司的要求��,對(duì)網(wǎng)絡(luò)安全進(jìn)行了全方位的保護(hù)�����,防火墻���、防病毒�、入侵檢測(cè)���、網(wǎng)管軟件的安裝�、VerJtas備份系統(tǒng)的使用,確保了信息的安全��,為生產(chǎn)、營(yíng)業(yè)提供了有效的技術(shù)支持。但有些方面還不是很完善���,管理起來(lái)還是很吃力,給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問(wèn)題�����。
3電力信息網(wǎng)安全風(fēng)險(xiǎn)分析
計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)亟待提高��。電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大����,對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足���。
缺乏統(tǒng)一的信息安全管理規(guī)范��。電力系統(tǒng)雖然對(duì)計(jì)算機(jī)安全一+直非常重視,但由于各種原因�����,目前還沒(méi)有一套統(tǒng)一��、完善的能夠指導(dǎo)整個(gè)電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范���。
急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系�����。相對(duì)來(lái)說(shuō),在計(jì)算機(jī)安全策略��、安全技術(shù)和安全措施投入較少�。為保證電力系統(tǒng)安全、穩(wěn)定���、高效運(yùn)行,應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系�����。
計(jì)算機(jī)網(wǎng)絡(luò)化使過(guò)去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后���,面臨巨大的外部安全攻擊��。電力系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng)��,并沒(méi)有同外界連接���。所以���,早期的計(jì)算機(jī)安全只是防止外部破壞或者對(duì)內(nèi)部人員的安全控制就可以了�,但現(xiàn)在就必須要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒、木馬和電腦黑客等。
數(shù)據(jù)庫(kù)數(shù)據(jù)和文件的明文存儲(chǔ)�����。電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲(chǔ)在由數(shù)據(jù)庫(kù)管理系統(tǒng)維護(hù)的數(shù)據(jù)庫(kù)中或操作系統(tǒng)文件中���。以明文形式存儲(chǔ)的信息存在泄漏的可能���,拿到存儲(chǔ)介質(zhì)的人可以讀出這些信息�;黑客可以饒過(guò)操作系統(tǒng),數(shù)據(jù)庫(kù)管理系統(tǒng)的控制獲取這些信息��;系統(tǒng)后門(mén)使軟硬件系統(tǒng)制造商很容易得到這些信息�����。弱身份認(rèn)證���。電力行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)����,用戶(hù)身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破�����。有的應(yīng)用系統(tǒng)還使用白己的用戶(hù)鑒別方法�,將用戶(hù)名�����、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫(kù)或文件中��,這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高、信息敏感性不斷增強(qiáng)的今天不能再使用了。沒(méi)有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺(tái)工作站備份一下數(shù)據(jù)就了事��,沒(méi)有完善的數(shù)據(jù)備份設(shè)備���、沒(méi)有數(shù)據(jù)備份策略����、沒(méi)有備份的管理制度,沒(méi)有對(duì)數(shù)據(jù)備份的介質(zhì)進(jìn)行妥善保管����。
4電力信息網(wǎng)安全防護(hù)方案
4.1加強(qiáng)電力信息網(wǎng)安全教育
安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容���,其實(shí)施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果���。為了保證安全的成功和有效���,高級(jí)管理部門(mén)應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員�、用戶(hù)����、技術(shù)人員進(jìn)行安全培訓(xùn)。所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。在安全教育具體實(shí)施過(guò)程中應(yīng)該有一定的層次性和普遍性。
主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員�,重點(diǎn)是了解�、掌握企業(yè)信息安全的整體策略及目標(biāo)����、信息安全體系的構(gòu)成���、安全管理部¨的建立和管理制度的制定等�����。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員����,重點(diǎn)是充分理解信息安全管理策略�����,掌握安全評(píng)估的基本方法�����,對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。
信息用戶(hù)�,重點(diǎn)是學(xué)習(xí)各種安全操作流程�����,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等����。當(dāng)然���,對(duì)于特定的人員要進(jìn)行特定的安全培訓(xùn)��。安全教育應(yīng)當(dāng)定期的、持續(xù)的進(jìn)行��。在企業(yè)中建立安全文化并納入整個(gè)企業(yè)文化體系中才是最根本的解決辦法���。
4.2電力信息髓安全防護(hù)技術(shù)措旌
(1)網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口���,所有的訪問(wèn)都將通過(guò)防火墻進(jìn)行��,不允許任何饒過(guò)防火墻的連接����。DMZ區(qū)放置了企業(yè)對(duì)外提供各項(xiàng)服務(wù)的服務(wù)器��,既能夠保證提供正常的服務(wù)���,又能夠有效地保護(hù)服務(wù)器不受攻擊�。設(shè)置防火墻的訪問(wèn)策略�����,遵循“缺省全部關(guān)閉�,按需求開(kāi)通的原則”����,拒絕除明確許可證外的任何服務(wù)。
(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離�����,物理隔離裝置實(shí)際上是專(zhuān)用的防火墻����,由于其不公開(kāi)性,使得更難被黑客攻擊����。
(3)入侵檢測(cè)系統(tǒng):部署先進(jìn)的分布式入侵檢測(cè)構(gòu)架,最大限度地、全天候地實(shí)施監(jiān)控�����,提供企業(yè)級(jí)的安全檢測(cè)手段��。在事后分析的時(shí)候��,可以清楚地界定責(zé)任人和責(zé)任時(shí)間,為網(wǎng)絡(luò)管理人員提供強(qiáng)有力的保障��。入侵檢測(cè)系統(tǒng)采用攻擊防衛(wèi)技術(shù)���,具有高可靠性�����、高識(shí)別率����、規(guī)則更新迅速等特點(diǎn)�。
(4)網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備,掃描的對(duì)象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器、工作站�、防火墻�����、路由器、路由交換機(jī)等。在進(jìn)行掃描時(shí)�����,可以從網(wǎng)絡(luò)中不同的位置對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描�����。
掃描結(jié)束后生成詳細(xì)的安全評(píng)估報(bào)告,采用報(bào)表和圖形的形式對(duì)掃描結(jié)果進(jìn)行分析,可以方便直觀地對(duì)用戶(hù)進(jìn)行安全性能評(píng)估和檢查���。
(5)網(wǎng)絡(luò)防病毒:為保護(hù)電力信息網(wǎng)絡(luò)受病毒侵害,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性�,應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系�����。以服務(wù)器作為網(wǎng)絡(luò)的核心�,對(duì)整個(gè)網(wǎng)絡(luò)部署查��、殺毒�����,服務(wù)器通過(guò)Internet從免疫中心實(shí)時(shí)獲取最新的病毒碼信息,及時(shí)更新病毒代碼庫(kù)。同時(shí)���,選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺(tái)、各種數(shù)據(jù)庫(kù)平臺(tái)、各種應(yīng)用軟件�����。
(6)數(shù)據(jù)加密及傳輸安全:通過(guò)文件加密��、信息摘要和訪問(wèn)控制等安全措施���,來(lái)實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋C芎屯暾砸?���,?shí)現(xiàn)對(duì)文件訪問(wèn)的控制���。對(duì)通信安全����,采用數(shù)據(jù)加密��,信息摘要和數(shù)字簽名等安全措施對(duì)通信過(guò)程中的信息進(jìn)行保護(hù)��,實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴(lài)性安全要求�����。對(duì)遠(yuǎn)程接入安全���,通過(guò)VPN技術(shù)�����,提高實(shí)時(shí)的信息傳播中的保密性和安全性����。
(7)數(shù)據(jù)備份:對(duì)于企業(yè)來(lái)說(shuō)����,最珍貴的是存儲(chǔ)在存儲(chǔ)介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯(cuò)方案是必不可少的���,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實(shí)際的數(shù)據(jù)備份策略。
(8)數(shù)據(jù)庫(kù)安全:通過(guò)數(shù)據(jù)存儲(chǔ)加密����、完整性檢驗(yàn)和訪問(wèn)控制來(lái)保證數(shù)據(jù)庫(kù)數(shù)據(jù)的機(jī)密和完整性����,并實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問(wèn)安全�。
4.3電力信息網(wǎng)安全防護(hù)管理措施
技術(shù)是安全的主體����,管理是安全的靈魂。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當(dāng)中��,網(wǎng)絡(luò)安全的長(zhǎng)期性和穩(wěn)定性才能有所保證���。
(1)要加強(qiáng)信息人員的安全教育����,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對(duì)穩(wěn)定��,防止網(wǎng)路機(jī)密泄露,特別是注意人員調(diào)離時(shí)的網(wǎng)絡(luò)機(jī)密的泄露�。
(2)對(duì)各類(lèi)密碼要妥善管理��,杜絕默認(rèn)密碼,出廠密碼���,無(wú)密碼,不要使用容易猜測(cè)的密碼�����。密碼要及時(shí)更新�����,特別是有人員調(diào)離時(shí)密碼一定要更新��。
(3)技術(shù)管理,主要是指各種網(wǎng)絡(luò)設(shè)備����,網(wǎng)絡(luò)安全設(shè)備的安全策略,如防火墻�����、物理隔離設(shè)備��、入侵檢測(cè)設(shè)備�、路由器的安全策略要切合實(shí)際��。
(4)數(shù)據(jù)的備份策略要合理����,備份要及時(shí)���,備份介質(zhì)保管要安全���,要注意備份介質(zhì)的異地保存���。
(5)加強(qiáng)信息設(shè)備的物理安全����,注意服務(wù)器、計(jì)算機(jī)�����、交換機(jī)��、路由器����、存儲(chǔ)介質(zhì)等設(shè)備的防火����、防盜���、防水�����、防潮��、防塵、防靜電等����。
(6)注意信息介質(zhì)的安全管理�����,備份的介質(zhì)要防止丟失和被盜�����。報(bào)廢的介質(zhì)要及時(shí)清除和銷(xiāo)毀,特別要注意送出修理的設(shè)備上存儲(chǔ)的信息的安全。
5電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問(wèn)題
(1)理順技術(shù)與管理的關(guān)系��。
解決信息安全問(wèn)題不能僅僅只從技術(shù)上考慮����,要防止重技術(shù)輕管理的傾向,加強(qiáng)對(duì)人員的管理和培訓(xùn)。
(2)解決安全和經(jīng)濟(jì)合理的關(guān)系����。安全方案要能適應(yīng)長(zhǎng)遠(yuǎn)的發(fā)展和今后的局部調(diào)整��,防止不斷改造�����,不斷投入�����。
(3)要進(jìn)行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系���,可以參照國(guó)際上通行的一些標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)。
(4)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的�����、全局的管理問(wèn)題����,網(wǎng)絡(luò)上的任何一個(gè)漏洞,都會(huì)導(dǎo)致全網(wǎng)的安全問(wèn)題�����,應(yīng)該用系統(tǒng)工程的觀點(diǎn)����、方法,分析網(wǎng)絡(luò)的安全及具體措施�����。
第12篇
“目前運(yùn)營(yíng)商的DCN網(wǎng)絡(luò)雖然經(jīng)過(guò)了多期的建設(shè)與擴(kuò)容��,但大多集中在網(wǎng)絡(luò)結(jié)構(gòu)的改造����、鏈路的擴(kuò)充��、設(shè)備的升級(jí)上,在安全建設(shè)方面還有待加強(qiáng)?�!?/p>
《通信產(chǎn)業(yè)報(bào)》:NGN的演進(jìn)與移動(dòng)核心網(wǎng)的IP化為電信運(yùn)營(yíng)商的網(wǎng)絡(luò)安全帶來(lái)了哪些挑戰(zhàn)�?
徐曉陽(yáng):電信運(yùn)營(yíng)商網(wǎng)絡(luò)IP化是電信網(wǎng)絡(luò)的發(fā)展趨勢(shì)。IP網(wǎng)絡(luò)是基于統(tǒng)計(jì)復(fù)用技術(shù)的共享網(wǎng)絡(luò),IP技術(shù)的優(yōu)勢(shì)在于簡(jiǎn)單高效,但由于IP技術(shù)設(shè)計(jì)當(dāng)初沒(méi)有考慮安全問(wèn)題��,基于IP技術(shù)的運(yùn)營(yíng)商網(wǎng)絡(luò)面臨多種安全挑戰(zhàn)����,可以歸結(jié)為保密性、完整性、可用性三大類(lèi)安全風(fēng)險(xiǎn),保密性方面主要是共享網(wǎng)絡(luò)存在信息泄漏的風(fēng)險(xiǎn)。完整性方面主要是信息被竄改的風(fēng)險(xiǎn);可用性是電信運(yùn)營(yíng)商最為關(guān)注的安全問(wèn)題��,電信網(wǎng)絡(luò)作為一個(gè)基礎(chǔ)網(wǎng)絡(luò)���,是承載用戶(hù)業(yè)務(wù)的基礎(chǔ)���,一旦網(wǎng)絡(luò)的可用性無(wú)法保證���,則直接導(dǎo)致運(yùn)營(yíng)商經(jīng)濟(jì)收益和信譽(yù)的損失���。
《通信產(chǎn)業(yè)報(bào)》:如何探測(cè)電信網(wǎng)絡(luò)中的安全隱患���?
徐曉陽(yáng):與軟件系統(tǒng)的白盒測(cè)試和黑盒測(cè)試類(lèi)似,對(duì)電信網(wǎng)絡(luò)的安全隱患探測(cè)也可分為白盒探測(cè)和黑盒探測(cè)兩種方式��。白盒探測(cè)主要是網(wǎng)絡(luò)安全工程師對(duì)電信網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)����、路由交換設(shè)備協(xié)議功能的設(shè)計(jì)、業(yè)務(wù)主機(jī)的系統(tǒng)配置���、業(yè)務(wù)系統(tǒng)的程序編碼等多方面進(jìn)行分析評(píng)估和安全審核����,發(fā)現(xiàn)安全隱患,最終形成安全評(píng)估報(bào)告。黑盒探測(cè)通過(guò)模擬黑客行為對(duì)電信網(wǎng)絡(luò)進(jìn)行滲透測(cè)試����,發(fā)現(xiàn)網(wǎng)絡(luò)的安全漏洞�����,形成系統(tǒng)安全修復(fù)建議報(bào)告。
《通信產(chǎn)業(yè)報(bào)》:如何通過(guò)建立多級(jí)安全機(jī)制����,從整體上提升電信運(yùn)營(yíng)商網(wǎng)絡(luò)安全水平����?
徐曉陽(yáng):信息安全的目標(biāo)就是保護(hù)有可能被侵犯或破壞的機(jī)密信息不被外界非法操作者控制��,要求達(dá)到:保密性��、完整性、可用性、可控性等目標(biāo)�����。電信運(yùn)營(yíng)商網(wǎng)絡(luò)可分為生產(chǎn)網(wǎng)和支撐網(wǎng)兩大類(lèi)�����,不同類(lèi)型的網(wǎng)絡(luò)����,其安全需求側(cè)重點(diǎn)有所不同����,對(duì)于生產(chǎn)網(wǎng)����,如公眾互聯(lián)網(wǎng),可用性和可控性為首要安全目標(biāo)�,而機(jī)密性完整性則處于次要位置�,運(yùn)營(yíng)商首要任務(wù)是保證網(wǎng)絡(luò)的可用性�����,而機(jī)密性和完整性則由客戶(hù)利用加密傳輸�����、CA安全論證等應(yīng)用層安全技術(shù)來(lái)保障,要達(dá)到網(wǎng)絡(luò)的可用性則首要條件是網(wǎng)絡(luò)的流量是可知可控的�,采用訪問(wèn)控制機(jī)制(防火墻)�����、深度包檢測(cè)(DPI)技術(shù)來(lái)實(shí)現(xiàn);對(duì)于支撐網(wǎng)�����,如DCN網(wǎng)���,保密性和完整性為首要安全目標(biāo)���,主要采用VPN技術(shù)、安全域劃分�����、終端安全防護(hù)等安全機(jī)制來(lái)解決��。
《通信產(chǎn)業(yè)報(bào)》:如何維護(hù)DCN網(wǎng)絡(luò)安全?
徐曉陽(yáng):目前運(yùn)營(yíng)商的DCN網(wǎng)絡(luò)主要的定位是為其自身的多種業(yè)務(wù)系統(tǒng)提供一個(gè)公用的數(shù)據(jù)傳輸平臺(tái)��,雖然經(jīng)過(guò)了多期的建設(shè)與擴(kuò)容��,但大多集中在網(wǎng)絡(luò)結(jié)構(gòu)的改造�����、鏈路的擴(kuò)充、設(shè)備的升級(jí)上��,在安全建設(shè)方面還有待加強(qiáng)����。從安全廠商的角度來(lái)看,我們認(rèn)為DCN網(wǎng)普遍存在如下問(wèn)題:一是整網(wǎng)的網(wǎng)絡(luò)安全缺乏統(tǒng)一的規(guī)劃��;二是業(yè)務(wù)系統(tǒng)之間的邊界不清���;三是與互聯(lián)網(wǎng)存在多個(gè)出口��,安全防護(hù)存在投資大�、漏洞多����、安全策略不統(tǒng)一等問(wèn)題;四是缺乏有效的異常流量檢測(cè)和分析�,服務(wù)質(zhì)量無(wú)法保證����;五是終端安全帶來(lái)大量的安全隱患��;六是遠(yuǎn)程維護(hù)存在嚴(yán)重的安全風(fēng)險(xiǎn)。根據(jù)運(yùn)營(yíng)商DCN網(wǎng)絡(luò)的實(shí)際情況��,在安全體系建設(shè)過(guò)程中建議采取“全方位規(guī)劃����、重點(diǎn)保護(hù)重點(diǎn)實(shí)施,逐步完善”的策略來(lái)進(jìn)行���。
《通信產(chǎn)業(yè)報(bào)》:如何保障業(yè)務(wù)支撐系統(tǒng)安全?
徐曉陽(yáng):業(yè)務(wù)支撐系統(tǒng)是電信運(yùn)營(yíng)商業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ)���,可以利用VPN技術(shù)、安全域劃分、終端安全防護(hù)等多種安全機(jī)制為其提供安全保障。利用VPN技術(shù)將不同的業(yè)務(wù)系統(tǒng)進(jìn)行隔離����,避免業(yè)務(wù)系統(tǒng)之間的耦合干擾��。業(yè)務(wù)系統(tǒng)內(nèi)部根據(jù)安全性等級(jí)不同,可以對(duì)業(yè)務(wù)主機(jī)、訪問(wèn)接口機(jī)、管理終端�、外部接口機(jī)實(shí)施安全域劃分��,不同安全域之間的訪問(wèn)利用防火墻、IPS等訪問(wèn)控制設(shè)備阻止非法訪問(wèn)。業(yè)務(wù)支持系統(tǒng)有大量的業(yè)務(wù)操作終端�����,如果終端遭受病毒感染���、木馬植入��,則會(huì)產(chǎn)生和大量傳播非法和垃圾信息��,一方面大量的垃圾信息浪費(fèi)了寶貴的網(wǎng)絡(luò)資源,另外木馬存在被黑客利用的威脅。
