時間:2023-09-14 17:42:14
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全管理體系,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)23-0119-02
信息化技術不斷發展,很多企業逐步認識到依靠信息技術,建立企業自身業務以及運營平臺,能夠大大的增加企業競爭力,企業在激烈的競爭環境中能夠獲得發展,企業的經營管理對計算機依賴的范圍更廣,網絡的應用也就更加廣泛。網絡產生后,網絡安全隨之出現,網絡在運行的過程中,也會出現網絡不安全的問題。企業在進行網絡管理時,必須在安全管理方面多下功夫,促進企業網絡建設的安全性。
1 對企業網絡安全造成威脅的因素
企業在網絡安全方面涉及的因素較多。現階段企業的網絡通用標準技術是WWW、電子郵件數據庫、數據庫以及TCP/IP,廣域連接應用多樣通信方式。在企業網絡運行過程中,行業的內部信息貫徹到多個環節。對信息資源進行保護、管理,確保信息的完整性以及真實性,防止出現非法獲取,是企業網絡安全管理的重要內容。對企業網絡安全造成影響的因素包括軟件、硬件因素,還包括人為因素,既包括網絡外部因素,也包括網絡內部因素,主要的因素是以下幾個方面。
1.1 由人的主觀行為造成的影響
在安全管理方面,用戶缺乏意識,企業內部在局域網的建設方面還需要進一步完善。企業內部網絡在運行的過程中,沒有做出相關的限制,在p2p下載時,破壞性信息會進入到企業內網中,影響到系統安全應用;接入的網絡未提出限制,隨意的上網,內部網絡系統遭到病毒感染的可能性比較大,信息容易丟失。企業在安全管理方面沒有進行嚴格的限制。此外,網絡用戶比較復雜,管理的難度系數比較大。黑客很容易利用網絡手段,對無線信號的傳輸進行干擾,無線信號很容易被黑客獲得。在進行網絡安全管理時,一些企業沒有制定相關的文件,進行紀律約束,很容易出現問題。
1.2 網絡中的硬件設備
在網絡結構中,應用到企業網絡安全的硬件設備主要是包括:①硬件設備;②拓補結構。當網絡中的硬件安全性出現問題時,尤其是硬件自身的性能受到影響時,就會對企業的網絡安全造成的影響。
1.3 網絡中的軟件存在缺陷
企業網絡系統中軟件的種類比較多,如應用軟件以及操作系統軟件,企業網絡系統中可能會出現軟件問題,一些黑客就會根據軟件存在的缺陷,做出謀取利益的行為,從而損害企業的正常利益。一些負責軟件開發的人員基于個人原因設置“后門”,黑客破解后,會隨意操作,對用戶的計算機進行控制,隨意的改變數據,后果較為嚴重。在網絡系統中,TCP/IP協議可供應用的范圍特別廣,但是,在應用安全性方面,沒有進行綜合考慮,保密的措施做得不到位,一些信息應用專業人員熟悉TCP/IP協議,會輕松地利用協議缺陷,對網絡進行攻擊。
1.4 網絡入侵
網絡入侵主要指的是在未得到授權的情況下,網絡攻擊者取得非法權限,借助非法權限,對用戶進行非常規的操作,獲得相應的資源,企業內部網絡受到影響,損害企業的利益。
1.5 計算機病毒和惡意程序
網絡普遍應用,病毒在網絡中傳播的范圍比較廣。在現階段,在企業內保護網絡中,病毒侵入的特點是:①入侵的范圍比較廣;②變化速度快;③病毒種類豐富;④傳播速度比較快;⑤存在很大的破壞性。
要想解決病毒的問題,比較困難,原因在于以下兩個方面:①技術方面的原因。殺毒軟件的更新總是落后于病毒出現的時間,具有滯后性以及被動性;②用戶沒有認識到病毒防范的必要性,沒有深刻的認識到病毒的危害性,在電腦上沒有安裝相應的殺毒軟件,或者是對殺毒軟件沒有進行及時的更新,造成病毒傳播。
2 企業網絡安全管理安全機制
2.1 身份標識以及鑒別機制
在網絡通信信息安全系統中進行可信操作,在執行前,用戶應當進行身份標識,并提供憑證,網絡通信系統借助一定的機制,鑒別憑證。在網絡通信系統中,進行身份鑒別技術主要有三個方面:①以秘密口令為基礎;②以令牌或者是密匙為基礎;③以生理特征為基礎。根據當前的應用情況,企業網絡系統應用較為普遍的是以口令身份為基礎的身份鑒別技術。
2.2 訪問控制機制
訪問控制主要是包括兩種:①自主訪問控制機制;②強制訪問控制機制,前者應用較為廣泛。在自主訪問控制機制中,主體擁有者主要是負責設置訪問權限。在自主訪問控制機制中,出現的問題是主體擁有較大的,主體在無意識狀態下會泄露信息,此外,對于木馬病毒攻擊不能起到防備作用。強制訪問控制機制指的是系統為主體和客體進行安全屬性分配,安全屬性不容易被修改。系統分析主體以及客體的安全屬性,然后決定主體對客體進行的相關操作。兩種訪問控制相比,強制訪問控制機制可以避免濫用防范權限,防備木馬和病毒攻擊,安全性較高。
2.3 審計機制
審計機制屬于被信任機制。系統中參考監視器主要是借助審計,記錄活動。企業網絡系統中具有多個對象和主體,審計機制主要是負責記錄主體以及對象相關事件,結合審計機制所提供的信息,網絡操作系統對主體、對象以及相應訪問請求進行精確識別。通過審計系統,能夠知道企業的網絡安全管理系統所應用的安全方式是否具有完全威脅。審計機制中入侵檢測可以做出相應的檢查,并反饋檢測結果。企業網絡安全管理者結合檢測結果,對網絡進行安全管理。
3 構建企業網絡安全管理體系
3.1 網絡安全
1)外部的連接。企業內部網絡在運行的過程中,不可避免的會和外部發生關系,外部的人員有可能會想和企業的內部網絡實現連接,但是,需要注意的是,外部的網絡連接缺乏標準性,容易出現安全問題,對此的解決方法是用戶賬戶應用硬件KEY驗證手段,對外部網絡接入進行全面控制。
2)遠程接入的控制。VPN技術發展的速度比較快,在遠程接入方面,風險性有所減小。企業可以采用特定的認證方式,如動態口令牌,增加安全性。
3)網絡進入檢測。現階段,在企業內部網絡中,可以安裝相應的入口檢測系統,主要的作用是對網絡傳輸的過程進行監控。網絡入侵檢測系統是企業網絡安全架構的必須組成部分,隨著研發的深入進行,入侵檢測系統將會更加精確。
4)無線網絡安全。在辦公區域,無線網絡得到廣泛的應用,有助于企業的運行,與此同時,無線網絡也會出現安全的問題。要想使企業在無線網絡運行方面保持安全性,需要采用新的安全性更高的協議;增加無線網絡訪問技術控制的水平。
3.2 訪問限制
1)密碼方式。如果密碼的強度較高,破解需要的時間較長,脆弱密碼破解需要的時間較短。在進行訪問時,需要增強密碼的強度。在確保企業網絡運行安全性方面,企業可以采用密碼的方式,應用新技術,實行密碼管理,增加網絡安全性。
2)管理用戶的權限。員工在進入到企業以后,要想訪問企業的內部網絡,需要具備用戶權限。企業相關的信息管理層需要給予員工一定的訪問權限,并進行權限管理,提高權限管理的效率。
3)應用公鑰系統。在進行訪問權限管理中,公鑰系統是較為關鍵的部分。在應用公鑰系統時,無線網絡給予一定的訪問權利,將文件進行加密,都可以增加系統的安全性。
3.3 防火墻技術
防火墻技術核心是在網絡環境不安全的情況下,建立比較安全的子網,現階段,在國際上比較流行,應用范圍較廣。防火墻可以控制相關的數據,計算機以及相關的數據在獲得訪問的權利后,就可以直接訪問內部網絡,如果沒有訪問的權利,就無法實行訪問。對一般人員的訪問進行限制,避免對重要的信息進行更改、拷貝和損壞。要想使企業的內部網絡具有更高的安全性,需要強化防火墻管理,進行安全過濾,對外網沒有必要的訪問進行嚴格的控制;此外,對于局域網,需要設定IP地址,防火墻可以對此進行識別。
3.4 網絡蠕蟲以及病毒防護
蠕蟲以及病毒對企業內部的網絡會產生威脅,這種問題不可避免,但是,企業應當盡可能的制定防護方案,采取防護技術,阻礙病毒傳播,縮小病毒危害的范圍。在企業內部網絡中,網絡節點存在的形式有兩種:①在局域網中出現;②和外部的網絡相聯系。一般的防護措施能夠降低的蠕蟲和病毒威脅有限,為加強網絡安全管理,需要嚴格的進行系統控制。在一般情況下,企業所安裝的殺毒軟件不能進行自動的掃描,對網絡進行相關的操作,需要啟動殺毒軟件的相關功能,保證網絡的安全性。當用戶安裝比較高級的殺毒軟件后,企業網絡安全管理人員能夠掌握整個網絡節點病毒的檢測情況。
4 結束語
企業的網絡安全不是終極目的,最終的目的是促進企業的長遠發展。企業在發展的過程中,網絡的應用程度會更廣,企業的網絡安全管理難度變大。企業需要根據網絡安全的影響因素,制定管理方案,采取防護措施,構建網絡安全管理體系,增加企業的網絡安全性。
參考文獻
[1]王松.試論企業計算機網絡安全的管理[J].科技致富向導,2013(20).
[2]曹永峰,龐菲.企業網絡安全管理問題及策略探究[J].消費電子,2013(8).
[3]胡子鳴.淺析企業網絡安全管理和防護策略[J].信息安全與技術,2013(7).
[4]雷億清.基于終端的內網企業網絡安全管理辦法[J].中國科技博覽,2013(15).
[5]楊君.面向企業網絡的網絡行為管理研究[J].科技信息,2013(15).
[6]李蘭花,孫毅.中小企業內部網絡安全管理的研究[J].海峽科技與產業,2013(6).
隨著醫療行業的信息化發展水平的逐步發展,信息系統的安全風險越明顯,本文就天津市醫院核心業務信息系統等級保護建設工作的管理體系建設提供一些基本的思路、方法和步驟。
關鍵詞:
醫院;安全等級;管理體系建設
一、引言
根據上級部門三級甲等要求,為了促進和規范天津市醫院信息化建設我院于2014年啟動了圍繞醫院核心業務系統:門診信息系統、住院信息系統、HIS信息系統,深入開展信息安全等級和統計管理系統,為后續各兄弟醫院等級保護建設工作提供一些基本建設和方法。
二、醫院信息化建設存在的安全現狀分析
大型綜合性醫院信息系統的安全保障體系建設是一個極為復雜的工程,醫院的信息系統應用眾多,結構復雜,覆蓋廣泛,涉及的部門和人員眾多,醫院信息系統的角色越來越重要。信息系統任何風險都有可能帶來巨大的損失。醫院信息系統故障,會造成門診大量排隊,業務科室投訴,臨床業務停頓,每次引發的問題都給醫院管理人員造成巨大壓力,社會輿論和聲音受到嚴重影響,不同程度也給醫院造成了較大經濟損失。醫院信息系統面臨極大的安全風險。具體有以下幾點:
(一)物理環境安全風險
醫院的物理安全具備環境安全、設備安全及介質安全等物理支撐環境,保護網絡設備、設施、介質和信息免受大自然,環境事故以及誤操作導致的破壞和丟失。
(二)網絡安全風險
醫院的臨床、財務系統和物流已經全部納入IT系統,業務網中各業務應用是其信息系統的核心,同時也需要與外部發生業務聯系。因此業務應用面臨的任何風險,都會產生嚴重后果。
(三)管理層安全風險
對醫院信息系統的管理尤為重要,責任不明,管理混亂,安全管理制度不健全等都有可能引起管理安全風險。
三、信息安全管理體系建立的作用
信息安全管理體系必須滿足等級保護標準,同時也要滿足政策的要求,還要貫徹執行,不斷進步。一個健全的、正常運行的醫療信息安全管理體系的主要作用體現在以下方面;(1)能夠有效增強行政和技術上的安全管理,將解決網絡設計缺陷,威脅網絡安全的問題,制定出信息系統規范和安全標準。(2)信息安全管理體系的建設,更加重視和執行對安全知識、法規、標準的宣傳和培訓,考核實現了信息安全的動態管理過程。(3)全方位的保護醫院的核心業務系統,在核心數據和信息受到襲擊時,要確保各項工作正常開展,并盡量把損失降到最低。(4)滿足醫療行業和監督機構要求,保護國家或區域醫療信息安全,維護社會醫療秩序穩定。
四、安全保管體系建設的主要思路
我院從安全管理機構、安全管理制度、系統建設管理、系統運維管理及人員安全管理等五個方面著手開展安全等級保護建設。
(一)安全管理機構的設立
組建安全管理領導團隊,由院領導和各科室骨干出任第一責任人,把具體的辦公地點設定在信息所。
(二)安全管理制度
根據《公安信息安全等級保護基本要求》,制定《網絡安全息安全管理制度》,等9個信息安全管理制度,定期進行內部檢查和管理評定,不斷優化和持續改進。我院在實施安全等管理體系建設工作中,采取分級、分類、分階段的策略,根據我院各系統的不同特點,采取不同的安全等級。
(三)系統運維管理
根據最高等級的保護要求,制定多種信息安全方法:一是機房定時巡查,二是增加視頻監控,減少視頻盲區,三是建立智能監控系統,對全院網絡運維情況監控,減低網絡故障。
(四)人員安全管理
我院堅持在風險評估的基礎上,采取適當和管用、足夠的措施來加強信息安全,大大降低系統故障。
五、安全等保的實施過程
實現等級保護,應該采取分級,分類,分階段的策略堅持分級實施保護,加強安全,突出關注重點,要害部位,根據信息化發展階段的不平衡,須根據信息資產的規模大小,依賴程度的深淺,按階段分步驟逐步實現等級保護的各項要求。(1)信息安全管理體系第一階段主要是做好建立信息安全管理系統的前期工作及安全管理人力資源配置。(2)信息安全工作團隊結合等級保護的基本要求,對HIS,LIS,RACS等核心業務信息系統進行處理,對在傳輸和存儲的過程中,信息的機密性,完整性等重要特性進行調研和評價,結合等級保護基本要求差距項匯總,分析差距項目涉及的安全事件一旦發生對醫院信息系統造成的影響。(3)制定安全管理策略、安全管理制度和信息安全管理體系等各方位保護措施,計劃和建成符合三級等保系統基本要求的信息安全管理框架。(4)落實安全管理制度,根據安全管理體系的具體要求,進行全面的信息安全牢固與整改工作,充分發揮安全體系的各項功能。(5)自查和調整。深入分析問題,找出問題根源,查出不完善的過程記錄文件并進行完善,調整不合理管理流程,進一步完善信息安全管理體系。
六、結束語
至2014年初,在我院領導的直接關心和指導下,通過各部門通力合作使信息安全通過了等級保護測評的三甲醫院,為地區三甲醫院信息安全等級保護建設工作開啟良好的開端,展現了我院信息化建設的先進成果。
作者:楊靜 單位:天津市中心婦產科醫院行政樓
參考文獻:
[1]王升寶.信息安全等級保護體系研究及應用[J].通信技術,2009
(一)管理使用的系統
ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業門戶網站等系統是石化銷售企業首要的應用系統。應用系統有以下特征:一是系統應用范圍廣,全程參與企業的經營、管理、對外服務等;二是系統用戶眾多,涵蓋企業各階層員工;三是系統對持續運轉要求高,因此對應用系統的安全運轉要求較高。對公司的經營管理而言,系統的安全穩定運行具有重大意義,系統數據是否安全、保密性和供應商、企業利益有密切關系。
(二)安全管理
隨著我國經濟水平不斷提高,石化銷售企業越來越離不開信息化管理,世界各地的公司對內部成立一個信息化團隊,根據內部的需要制定出具有整體性的管理體系,并根據相關的信息安全規定對系統內部的安全等級做好評估保護工作。各企業制定了詳細有效的“信息系統應急預案”以應付各類突發事件。近幾年,中國石化內控體系在建設過程中不斷加強、完善自身管理體系,也在IT控制方面占有一定的優勢。當前,石化銷售企業已基本形成一套完整的信息安全防御和管理體系,從而確保了網絡信息系統的安全性。
二、信息安全風險的評估
衡量安全管理體系的風險主要方法是進行信息安全風險的評估,以此保障信息資產清單和風險級別,進而確定相應的防控措施。在石化銷售企業進行信息安全風險的評估過程中,主要通過資金、威脅、安全性等識別美容對風險進行安全檢測,同時結合企業自身的實際情況,擬定風險控制相應的對策,把企業內的信息安全風險竟可能下降到最低水平。
(一)物理存在的風險
機房環境和硬件設備是主要的的物理風險。當前,部分企業存在的風險有:1)企業機房使用年限過長,如早期的配電、布線等設計標準陳舊,無法滿足現在的需求;2)機房使用的裝備年限太長、例如中央空調老化,制冷效果不佳導致溫度不達標,UPS電源續航能力下降嚴重,門禁系統損壞等,存在風險;3)機房安全防護設施不齊全,存在風險。
(二)網絡和系統安全存在的風險
石化訪問系統的使用和操作大量存在安全風險,其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統安全隱患等。即使大部分企業已安裝統一的網絡防病毒體系、硬件防火墻、按期更新網絡系統軟件、安裝上網行為監控等,但因為系統漏洞數目不斷增多網絡結構和襲擊逐漸減弱或者因為信息系統使用人員操作系統本身的安全機制不完善、也會產生安全隱患。
(三)系統安全風險
沒有經過許可進行訪問、數據泄密和被刪改等威脅著系統的安全性。提供各類應用服務是企業信息系統的首要任務,而數據正是應用信息系統的核心,因此,實際應用與系統安全風險密切聯系。當前,信息應用系統存儲了大量的客戶、交易等重要信息,一旦泄露,造成客戶對企業信任度影響的同時也會影響企業的市場競爭力。
(四)安全管理存在的風險
安全管理存在的主要指沒有同體的風險安全管理手段,管理制度不完善、管理標準沒有統一,人員安全意識薄弱等等都存在管理風險,因此,需要設立完善的信息系統安全管理體系,從嚴管理,促使信息安全系統正常運作。一方面要規范健全信息安全管理手段,有效較強內控IT管理流程控制力度,狠抓落實管理體系的力度,杜絕局部管理不足點;另一方面,由于信息安全管理主要以動態發展的形式存在,要不斷調整、完善制度,以符合信息安全的新環境需求。
三、信息安全管理體系框架的主要構思
信息安全管理體系的框架主要由監管體系、組織體系和技術體系形成,特點是系統化、程序化和文件化,而主要思想以預防控制為主,以過程和動態控制為條件。完善安全管理體系,使石化銷售企業信息系統和信息網絡能夠安全可靠的運作,從機密性、完整性、不可否認性和可用性等方面確保數據安全,提升系統的持續性,加強企業的競爭力。
(一)組織體系
企業在完善管理體系過程中應設立信息安全委員會和相關管理部門,設置相應的信息安全崗位,明確各級負責的信息安全和人員配置等內容。在全面提升企業人員對信息安全了解的過程中必須進行信息安全知識的相關培訓,使工作人員提高信息安全管理意識,實現信息安全管理工作人人有責。
(二)制度體系
操作規范、安全策略、應急預案等各項管理制度經過計劃和下發,讓信息安全管理有據可依。企業參照合理完善的各項制度進一步優化業務流程,規范操作行為,降低事故風險,提升應急能力,以此加強信息安全的管理體系。
(三)技術體系
管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網絡安全技術、主機安全技術、終端安全技術、數據安全、應用安全技術等。一旦出現信息安全事件,技術體系會在最短的時間內降低事件的不良影響,依靠相關的信息安全管理技術平臺,以實現信息安全技術的有效控制。管理體系的核心是技術手段,先進的加密算法和強化密鑰管理構成的數據加密方式全程控制數據傳輸和數據存儲,可以保證數據的安全性。采用堡壘機、防火墻等安全系統可以過濾掉不安全的服務和非法用戶,防止入侵者接近防御設備。IDS作為防火墻的重要功能之一,能夠幫助網絡系統快速檢測出攻擊的對象,加強了管理員的安全管理技術(包括審計工作、監視、進攻識別等技術),提高了信息安全體系的防范性。企業數據備份這一塊可以采用雙機熱本地集群網、異地集群網等各種形式進行網絡備份,利用體統的可用性和容災性加強安全管理能力。
近年來各個企業的惡意軟件、攻擊行為手法變化多端很難防御,在各種壓力下,傳統的的安全防預技術受到了嚴峻的考驗,這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御,而“云安全”技術對于企業用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發展的必由之路,且今后“云安全”作為企業安全管理的核心內容為企業的數據、服務器群組以及端點提供強制的安全防御能力。”
四、信息安全管理體系相關步驟
由于管理體系具有靈活性,企業可依據自身的特點和實際情況,使用最優方案,結合石化銷售的特征,提出以下步驟:1)管理體系的重要目標;2)管理體系的主要范疇;3)管理體系現狀考察與風險估量;4)完善管理體系的制度;5)整理管理體系的文檔;6)管理體系的運行方式;7)信息安全管理體系考核。
五、結論
關鍵詞:信息化建設;網絡安全;解決方案
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9416(2017)01-0209-02
企業信息化任務的建設與集成,其首要任務為網絡構架與網絡安全設計。建立一套安全的網絡系統,不僅可以為企業的信息交流、信息與信息傳輸創造一個安全平臺,確保企業的安全生產,還可優化調度管理,為企業決策提供參考數據,避免惡意篡改與非法盜取現象的發生。因此,加強企業信息化建設集成與網絡安全的研究,確保企業生產環境安全可靠,已逐漸成為現代化企業發面所面臨的重點研究課題。
1 企業實現信息化建設集成的意義
1.1 強化企業管理
隨著企業管理模式的發展,企業業務經營逐漸多元化和區域不集中化,從而造成了管理任務的復雜與多變化。實行信息化集成管理的核心就是在企業內部,以業務整合、流程與資源配置優化的方式,建立起信息化的組織架構、管理服務和流程控制體系,而這一目標的實現則需通過信息集成化處理的手段,并將企業先進的管理理念與技術搭建在所構平臺上,以此進行運行。
1.2 時展的必然性
實踐證明,傳統的管理模式還不足以使集成化效率最大化,甚至有時候會帶來更加嚴重的風險和漏洞,如管理人員的壓縮,引發的現場安全管理、資金管理和用工管理等風險,信息技術快速發展的當下,企業只有對管理系統進行重新綜合集成,充分挖掘各方面潛能和整體效力,方可在集成化管理和市場競爭中把握先機,從而實現企業效益的最大化。
1.3 自身優勢的使然
目前,大型企業集團均通過對在生產和管理方面的信息化建設,利用互聯網技術把企業信息集成起來組成一個管理信息平臺,達到數據共享,并借助專用軟件,將企業管理向集成化、網絡化改造,既能為企業的高層決策者提供決策支持,又能減少結構冗員,提高運營效率和服務質量。
2 加強企業信息化集成網絡安全的措施
基于非法入侵、病毒傳播與數據丟失等網絡安全問題,本文針對性的從以下兩點進行防護措施的論述。
2.1 加快信息化安全標準建設
在信息化方面,目前,無論是處于單項技術、單機、單線的應用狀態,還是型號工程實現了CIMS(計算機集成制造系統)的企業,要實現數字化,構建高水平、高安全的企業信息化體系,信息安全標準及其標準化工作都是非常重要的。例如IS0/IEC JTC1/SC27正在制定的有關信息安全管理體系方面的標準:
?ISO/IEC 27001 信息安全管理體系要求(現在的標準 IS0/IEC FCD 24743)。
?ISO/IEC 27002 保留現在的標準ISO/IEC 17799 信息安全管理實用規則。
?ISO/IEC 27003 保留編號。
?ISO/IEC 27004 信息安全管理度量機制和測量措施(現在的標準IS0/IEC 24742)。
?ISO/IEC JTC1/SC27 NP 信息安全管理體系實施指南。
此類標準實施的目的在于幫助企業建立與健全信息安全管理體系,促使其管理水平與保證能力得到提高,做到日常生產安全順利運行。因此,企業要想構建高水平、高質量的信息化安保體系,必須要加強信息化集成任務的標準化實施。
2.2 利用先進的網絡安全技術
2.2.1 防火墻技術
以防護范圍與防護能力劃分,可將防火墻技術分為網絡級與應用級兩大類,其中,網絡級防火墻是以整體網絡的非法入侵為防護對象,實施全方位保護,而應用級防火墻是以具體的應用程序為防護對象,只是在程序接入時進行防護控制,功能比較單一但針對性強,因此,一套完整的防火墻技術,應是以網絡級和應用級的共同結合使用。日常生活中,我們一般所用防火墻大多擁有基于、動態防護、包過濾和屏蔽路由等技術。
2.2.2 入侵檢測技術
作為一種動態網絡檢測技術,入侵檢測技術的實施可有效識別惡意使用網絡系統,通過分析與辨別,將非法入侵行為及時發現,其檢測范圍包括內部未經授權的活動和外部用戶的非法入侵,并能夠對入侵行為作出相應的反映,該系統的組成由相應的軟件與硬件共同完成,運行后能夠做到數據分析并得到結果,大大降低了管理人員的工作量。除此之外,入侵檢測技術對于網絡攻擊也有一定的反防護能力,但效果不及防火墻技術,因此不能做到代替。
2.2.3 信息加密技術
對稱加密與非對稱加密作為信息加密技術的兩種表現形式,隨著網絡技術的快速發展,使其得到了不斷優化與發展。該技術的應用是以防止數據受到非法盜取為目的,通過數據加密技術對某些重要數據與信息采取保密處理后,以此達到確保信息安全的效果,其主要包括數據傳輸、數據存儲、數據完整性鑒別和密匙管理四種方式。
2.2.4 訪問控制技術
訪問控制技術簡稱AC,它的作用是能夠確保網絡資源不會被非法訪問和非法使用,能夠起到網絡安全防范和保護的作用。訪問控制是檢測訪問者的相關信息,限制或者禁止訪問者使用資源的控制技術。訪問控制技術能維護網絡系統安全和保護網絡資源,是確保網絡安全的主要措施。訪問控制分為高層訪問控制和低層訪問控制兩種,高層訪問控制檢測對象是用戶口令、用戶權限、資源屬性;低層訪問控制對象是通信協議中的特征信息通過分析然后做出判斷控制訪問者能否訪問信息。
3 結語
綜上所述,作為現代企業的發展方向,信息化的建設與集成在給人們帶來便利的同時又隱藏著許多網絡安全隱患,相比于傳統管理模式上的失誤,這種安全隱患具有威脅更大,速度更快等特點,動輒就是成千萬的經濟損失。因此,作為現代企業的管理者,我們只有不斷研究,不斷實踐,立足于企業信息化建設與集成任務的標準化與多元化發展方向,做到不斷的自我完善與自我修正,方能促進現代企業的健康發展。
參考文獻
前言
圖書館是高校當中必不可少的組成部分,是為學生提供閱讀學習、查閱資料、提高自身素質的基礎保障。高校圖書館網絡安全一旦出現問題,數據上遭到丟失、破壞,那么圖書館系統將全部癱瘓,而且很難得到恢復,后果非常嚴重。其主要是因為圖書館網絡當中存載在非常重要的信息,例如圖書館所有書目的數據信息、讀者借閱信息、電子版圖書數據信息以及大型數據庫等等。由此可見,必須對高校圖書館網絡安全加以重視,尋找圖書館網絡安全出現問題的原因以及相對應的解決辦法,從而使高校圖書館網絡安全得到保障。
一、威脅高校圖書館網絡安全的主要因素
威脅高校圖書館網絡安全的因素不是單一的,是多方面在造成的。其中主要有技術設備方面的問題、系統管理方面的問題以及資源本身的問題等等。具體分析如下:
(一)管理制度有缺陷
管理制度是影響高校圖書館網絡安全的最直接因素,其主要體現在其管理制度不健全,對網絡管理沒有做到足夠的重視,對網絡安全重要性認識不足,沒有建立一個行之有效的防毒制度措施。
(二)人為原因
人為原因造成的圖書館網絡安全問題有很多,例如對賬戶管理不當,密碼設置過于簡單或者將賬號隨意轉交給他人使用。再有安全配置方面,工作人員對安全配置操作處理不恰當,從而出現安全漏洞。
二、高校圖書館網絡安全辦法
(一)建立完善的圖書館網絡安全管理體系
建立一套完善的、健全的圖書館網絡安全管理體系是非常必要的,因為在高校圖書館網絡安全問題當中,有非常多安全問題都是由于人為原因造成的。所以說建立安全管理體系,對圖書館網絡工作人員進行培訓并實施責任式的制度,以確保高校圖書館網絡安全。
1.制定安全管理制度
制定圖書館網絡安全管理制度,是保障網絡安全最基本的手段。安全管理制度必須全方位的實施,在網絡系統方面、設備保養方面、故障處理方面、系統監控方面都必須建立相應的安全管理制度,缺一不可。另外,工作人員是整個網絡安全管理的主體,所以說對工作人員實施的管理制度也是至關重要,在技術操作方面、病毒防護方面以及機房出入方面等等都要制定嚴格的制度,以達到更好管理水平的實施。最后,針對讀者也要制定相應的規則制度,例如制定上機方面、網絡操作流程方面相關規則,如有發現違規現象其相關處理制度等等。在制度制定上必須全方面、全方位的考慮周到,如果建立的管理制度不夠全面,那么就會給安全問題留下隱患。
2.實施安全考核
在高校圖書館網絡安全管理中,最行之有效的辦法就是制定安全管理制度,那么如何確定安全管理制度是否正確的實施,所實施的制度是否起到了相應的效果,就要通過安全考核來進行檢測。其次,要對網絡安全策略進行定期的檢測、調整,這主要是因為網絡安全不是一成不變的,它是一個動態的過程,例如在系統配置方面,會經常性地出現變化,另外圖書館網絡安全工作人員也會有一定的變動。由此可見安全考核的重要性,它是檢測管理制度成效的手段,也是發現網絡安全出現變動的工具。
3.圖書館各個部門之間的協調
圖書館各個部門之間的協調是保障網絡安全的基礎條件,如果圖書館內部各個部門之間不協調,那么無論何種管理制度都不會產生效果。在網絡安全問題上,并不是技術部門獨自努力就可以解決的,即使技術部門能力非常強,但得不到其他部門的配合,也一樣起不到效果。例如,在圖書館內部工作當中,一些工作人員不配合技術部門的工作,不按規定的制度操作機器,下載圖書館之外的軟件、使用圖書館之外的硬盤等等,這很有可能帶來病毒,給圖書館網絡安全留下隱患。
(二)系統管理人員的安全操作
要想避免圖書館網絡安全出現問題,操作出現問題,系統管理人員的操作至關重要,這主要是因為系統管理人員在圖書館當中的權限是非常高的,一旦系統管理員發生操作錯誤,那么系統將全部將全部癱瘓,甚至無法挽救。由此可見系統管理人員的安全操作是保障圖書館網絡安全非常重要的方面。最后,操作流程。如果操作流程不正確或者不謹慎很有可能造成操作的錯誤,因此系統工作人員在進行操作時一定要明確自己的操作范圍、權限,如果發現不在自己的操作范圍內就應該及時地報告領導。完成工作后要及時地推出網絡系統,避免他人用自己的賬號登錄而造成的威脅。一定要對系統操作人員進行相關培訓,提高其工作水平。
(三)完善圖書館網絡安全技術
1.完善防火墻
防火墻是保障圖書館網絡安全非常重要的技術,因為防火墻是網絡安全監控系統,如果圖書館以外的網絡進入到圖書館內部網,防火墻對此將加以監控,防治不安全因素的進入。目前高校圖書館網絡系統對于防火墻的使用還不是很完善,因此,必須要對此加以重視。當前防火墻的主要類型有防火墻、過濾防火墻等等,防火墻的使用更廣。
2.數據加密
通過數據加密可以使圖書館網絡系統數據庫不會被輕易地竊取、查看。數據加密是通過繁瑣的加密算法來實現的。比較常用的數據加密技術主要有對稱密鑰加密以及公用密鑰加密等等。
計算機網絡技術在現代生活中無孔不入,在各個層面都發揮著不同的作用,大幅度的改變了人們的生活、生產和學習方式。比如,電子商務的興起,讓網上購物得到了人們廣泛的認可;在線教育為更多人的提供學習機會,實現了教育資源的均等化;遠程醫療為生命開通了一條綠色通道,視頻會議、政府官方微博為政治提供了更多的實施途徑等,這些足以表明網絡的重要性,也從另一個層面說明了提高網絡安全系數,可以保障人們的財產安全、維護他們應該享受的教育、醫療權利。同樣的,隨著網絡在我國各級各類學校中的普及和應用,學校的管理和教學都在上了一個層次。在學校的網絡運用中,更多的針對學生而構建的,包括學生個人學籍信息的存儲和管理,以及各種教學資源和教學平臺的使用。從校園網的使用對象來說,各學校建設的校園網的主要點擊大部分的來自學生,而在學校中的學生在處于人生觀、世界觀的塑造期,面對形形的信息缺乏成熟的處理方式,對各類新鮮的事物充滿了好奇卻沒有較好的自制能力。因此,學生在使用校園網時,常常被選作黑客入侵的切入點,這為學校的網絡安全管理增加了難度。除此以外,學校搭建的網絡往往具有使用面積大,連接速度快,點擊群體固定等特點,與政治、經濟掛鉤的網站相比,網絡安全建設力度較小,這也為校園網的安全留下了隱患。比如,有部分的學校對網絡的安全管理毫不設防,為黑客的入侵敞開了大門。從校園網被侵入的危害來看,一旦黑客入侵成功,所造成的損壞是不可估量的,小的只是對網頁進行修改、宣傳不良信息,大的則盜取學籍信息、考試信息以及一些重要的文件,讓學校的網絡不能正常的運轉,進而影響學校的管理和教師的教學。當下,我國學校的網絡安全管理較為薄弱,校方對其的重視度不夠,對黑客入侵的防范措施還不到位,有待進一步的改善和加強。
二、黑客入侵校園網的切入點
黑客入侵校園網往往是選擇網站管理比較薄弱的環節,具體可以有以下幾種侵入方式:
2.1硬件部分的切入
黑客入侵指的是一些擁有較高的計算機技術員,通過非法的方法和途徑入侵他人的網站,修改或盜取信息。獲取計算機信息的一個途徑可以通過電腦硬件來實現,例如,以計算機的傳輸線路以及端口等信息的傳輸設備為切入點,以電磁屏蔽為切入點,以電話線為切入點。黑客利用這些突破點配合通信技術,對信息進行非法的竊取、上傳非法信息以及清空網盤的數據,還會通過端口來置入病毒,利用U盤的插口來實現入侵,對計算機系統進行攻擊,以達到破壞網絡正常運轉的目的。
2.2軟件部分的切入
對網絡系統而言,由于其本身就具有脆弱的可靠性和監控性,在其認證時的缺陷以及局域網與的不可控性,造成了網絡安全的薄弱性。由于部分軟件開發商只顧追求自身利益而缺乏對軟件安全性的構建,大部分的軟件都存在著不同程度的漏洞,在進行路由選擇時發生錯誤,不同的使用者進行通信時路徑被阻斷或更換。有的黑客則利用木馬等病毒人為的破壞學校網絡系統,通過對信息傳遞時的內存將沒有防范的信息傳遞到其他的終端上面。另一方面,由于網絡鏈接的廣泛性,致使在點擊學校網絡的同時與外界網絡連接時,就非常容易成為黑客的切入點。由于在網絡上面我們就可以下載一些盜取信息的工具,在一定程度上增加了黑客的數量,而學校的網絡建設中缺乏安全防范措施的建立,在學校網絡中多為一些應用軟件的設置,這也就使得學校的網絡系統容易被侵入,對學校網絡產生破壞。
2.3管理人員的切入
在學校的網絡安全管理中,由于管理人員素質差異,被黑客選作了一個切入點。大部分學校的網絡安全管理人員往往因學校的不重視而只是隨便的選擇一個懂點計算機的人就算完成,而這部分人因為缺乏專業的學習和培訓,致使其在工作中沒有保密的意識,對打印等設備也沒有進行嚴格的限制性使用。有的管理員,則由于其對計算機技術掌握程度不高,在某一操作中出現錯誤,從而造成了信息的丟失或是泄露。還有部分管理員則為一己私利主動進行信息的泄露,對網絡系統造成了破壞,如四六級英語考試的題目泄露事件等。
三、黑客入侵的防范措施
3.1構建優良的學校網絡系統
在我們進行學習網絡建設時,要注重網絡安全性的建設。在系統設計構建時,要確保網絡系統的完整性,建設兩級以上網絡結構。在學校的網絡系統中,設置一個主網絡中心,構建安全有效的認證環節,保證學校網絡信息流通都要進行認證通道才能通過。在這部分的建設中,可以用光纖將網絡中心的信息傳遞到教室或辦公室中,然后再設置一個分節點,通過交換機將大樓的每一個用戶連接起來。在主機的電源設置中,要建設備用電源,在停電時確保主機的正常運轉。在完成整個網絡系統的構建之后,要對計算機硬件進行安全性的驗證,對連接線的短路等問題進行排除,確保各個物理硬件是安全有效的。
3.2完善網絡安全管理體系
首先,要加強對網絡安全管理作用的宣傳,讓每一個使用者都認識到網絡安全管理的重要性。可以通過講座培訓或者計算機課程講解一些簡單的網絡安全防范措施,動員每一個人都參與到學校的網絡安全管理中。引導學生自動的屏蔽一些不良網站信息,鼓勵學生發現一些軟件的漏洞,如在使用某軟件就出現了賬號被盜等情況。其次,要加強網絡中心的管理。對于網絡中心的管理,要積極建設防范系統,加強防火墻的穩定性,要選擇專業人員,確保制度的落地。對網絡中心要做到禁止任何無關人員的進入,不能隨意的關閉和啟動不斷電系統,保證交換機不被任何人碰觸。管理人員還要定期的對網絡中心進行清潔,保證機房的干燥和清潔。作為管理人員還需要時刻保證計算機技術的學習,能夠及時處理出現的網絡安全問題。
四、結束語
一.一 選題理由以及意義
跟著社會的發展與技術的進步,信息化、網絡化已經成為現今時期的首要特征,信息網絡逐漸擴大到咱們糊口的各個領域,咱們都在享受著信息時期帶來的信息獲取以及交換溝通的便利,并且愈來愈依賴于信息網絡。信息網絡的快速發展也在加快政府改革的步伐、推進電子政務的發展,電子政務的普及利用,使黨政機關的辦公效力大大提高,同時也為各國的經濟以及社會發展提供了有力的聲援。因而,包含發展中國家在內的絕大多數國家都致力于電子政務的鉆研以及發展,踴躍發展本國的電子政務建設,而且電子政務發展的進程其實也是對于原本的政府模式進行改造的進程。在全世界信息化的違景下,信息安全作為非傳統安全因素,瓜葛著咱們國家的安全、民族的興衰以及戰爭的勝負,影響著咱們的工作以及糊口。咱們在享受著信息化帶給咱們的科技發展成果和其他便利的同時,也遭到了1系列信息安全問題的困擾,比如秘密信息泄露、非法信息傳布以網絡經濟犯法的增添等。因而,在全世界信息網絡化、網絡社會化的違景下,和網絡自身缺少束縛性的事實情況下,電子政務的信息安全管理問題也是政府施行電子政務進程中要面對于的重點、難點問題。目前,政府作為保護國家信息安全的最大責任人,成為網絡襲擊的主要目標以及最大受害者,良多信息安全問題的矛頭都直接指向政府,當前各國政府工作的1個首要任務就是,怎樣保護政府信息安全。目前,我國尚無1個完全的電子政務信息安全管理體系,缺少1個國家層面上的總體策略。有些規定只強調部門的本身束縛,電子政務的實際管理能力、監督能力以及相應政策的執行能力有待加強,約束了有關部門在整個政務組織中的主觀能動性。因而,通過技術與管理的對照以及國內外電子政務現狀對照,對于做好信息安全保密管理工作的首要性有1個更明確的認識,發現我國電子政務信息安全管理體系存在的不足,結合國內外先進經驗,提出對于構架有中國特點電子政務信息安全保密管理保障體系有利的對于策建議,以促使我國的電子政務建設健康延續發展。
…………
一.二 國內外鉆研現狀
因為信息技術的高速發展以及迅速普及,為適應信息化時期的請求,政府管理體制、運行方式等方面都亟需進行改革。為了規范信息安全管理工作,目前各國政府都在進行電子政務信息安全管理保障體系的鉆研,使患上網絡節制、避免黑客襲擊、信息節制、泄密防范和信息資源管理等既有法律根據,又有技術支持。對于于電子政務信息安全的鉆研,國外發達國家不管是技術方面仍是管理方面,都處于世界領先地位。國外學術界關注的重點已經是立體的電子政務安全保障體系,鉆研更多的關注到了現實中而非僅僅存在于理論層面或者1些單純的安全技術方面的問題。在產生1些較大的社會事件,比如美國 九⑴一 事件、“維基揭秘”以及“棱鏡”事件產生后,國外就有良多文章討論在新的要挾下電子政務所面臨的危機,并提出解決危機的對于應辦法。國外在電子政務信息安全管理領域的鉆研,主要體現在構建總體性的框架、法律以及政策保障等。歐盟是較早的制訂了信息安全發展戰略的,并且跟著計算機網絡技術的不斷發展以及在實踐中的利用,歐盟逐漸調劑以及不斷完美其制訂的信息安全發展戰略,施展了其在信息安全領域的指點作用。在歐盟各國廣泛普及的“把發展信息技術晉升到國家戰略的高度”的口號,就是歐盟在 二0 世紀 九0 年代的《德洛爾白皮書》以及《本杰曼講演》中提出來的。為了提高歐盟國家信息安全的級別,培育信息安全文化,增強政府在信息安全管理問題上的防范、處理以及響應能力,歐盟于 二00四 年 三 月成立了歐洲信息安全局。為了更好地應答網絡的襲擊以及黑客入侵,歐盟委員會又于 二00九 年 三 月 三0 日了新的重大信息基礎設施維護戰略。
……………
第 二 章 電子政務信息安全保密管理概述
二.一 電子政務
電子政務是社會不斷發展、網絡逐漸普及的直接需求,信息技術以及互聯網的高速發展是其發生的基礎,知識以及信息是其發展的癥結性資源,不斷深化的全世界化以及國際競爭是其外部的推進力。目前,電子政務1般指政府機構為優化工作流程以及重組政府組織結構,運用計算機網絡以及通訊等現代信息技術,建成的精簡高效、廉正公平的政府運作模式。簡單來講,電子政務模型可概括為兩種類型,1種是政府部門內部應用先進的網絡信息技術,實現信息化管理、自動化辦公、科學化決策;1種是政府部門與社會各界應用網絡信息平臺進行信息同享,加強大眾監督,提高辦事效力,增強服務職能及增進政務公然等。電子政務跟著政府改革的逐漸深化、新的技術架構的不斷產生,也在不斷地發展與進步,經由幾個發展階段后,會到達比較完美的境地。我國的電子政務目前尚處于較低級的階段,但咱們癥結在于掌控“如何將電子為政務所用”,將電子政務以及當前政府機構改革聯絡起來,改善公共服務,提高政府公共服務的質量以及效力,加強政務公然,提高公民的政治介入性。
……………
二.二 我國電子政務網絡體系結構
二0 世紀 八0 年代早期,國家鼎力推進電子信息技術的利用,由此拉開了我國信息化建設的序幕。我國的信息化建設大致閱歷了辦公自動化階段、“金字工程”施行階段、政府上網階段和電子政務實質性利用4個階段,而電子政務的體系結構也從原來的“3網1庫”漸漸變為了內外網的結構。五具體來講,副省級下列城市的電子政務體系結構目前主要是“3網1庫”,無非在逐漸從“3網1庫”向內外網結構轉變,由于在現實利用中發現,外網與專網履行物理隔離,影響數據信息的實時快速交流,由此也就降低了處所政府特別是基層政府對于大眾服務需求的反映速度;副省級以上則主要是內外網結構。政務內網主要指副省級以上政務部門的辦公網上,在內網上傳輸的是觸及國家秘密的相干信息以及辦公業務,即凡是觸及國家秘密的事項以及密與非密不宜區別的敏感信息都請求在政務內網上處理。政務“內網”的建設要堅持最小化的原則,規模要適度,要有實用價值,施展作用,保障安全,依照網絡請求管理。
…………
第 三 章 我國電子政務信息安全保密管理現狀.......九
三.一 我國電子政務信息安全保密管理的現狀分析 ......九
三.二 我國電子政務信息安全保密管理存在的問題 .....一0
第 四 章 典型案例分析.....一三
第 五 章 晉升我國電子政務信息安全保密管理的對于策.........一七
五.一 優化完美電子政務信息安全管理體系 .....一七
五.一.一 建設有效的信息安全管理機構........一七
五.一.二 統1計劃、同步建設信息安全系統....一七
五.一.三 制訂切實可行的規章軌制......一九
五.一.四 強化人員安全保深情識........二0
五.一.五 樹立信息安全事件應急響應預案......二0 五.二 加強電子政務信息安全法
規體系建設 .....二一 五、三 做好電子政務信息系統的信息......二二
五.四 加強電子政務信息系統核心技術研發.......二二
第 五 章 晉升我國電子政務信息安全保密管理的對于策
五.一 優化完美電子政務信息安全管理體系
信息安全管理體系是信息安全保障的首要支持環境,因為信息管理觸及到人事、組織機構、法律法規以及技術標準等各方面,所以要采取系統管理的思想進行構建。做好信息安全工作既需要好的組織體系,也需要好的管理模式,二者缺1不可。樹立信息安全管理體系要從相符法律法規、組織利益的角度,重視總體性原則,觸及電子政務體系的各個層面,樹立電子政務信息安全保密管理的總體框架。依據現有電子政務的實際情況,為提高信息安全保深情識、強化信息安全管理,要制訂統1、可行的管理軌制并在整個網絡系統中貫徹實施。具體來講,可從下列幾個方面進行:信息安全管理觸及方面多、規模廣,需要政府各部門各單/!/位與社會各單位各階層之間加強溝通合作,需要有統1的領導管理機構,以保證異樣情況下能迅速反映并制訂防范措施。我國已經經樹立了中央網絡安全以及信息化領導小組,負責兼顧調和觸及經濟、政治、文化、社會及軍事等各個領域的網絡安全以及信息,但還未有具體文件談及如何加強完美互聯網的管理體制,這方面還有待具體措施的落實。可通過樹立分工、責任更加明確的主協部門,以加強各單位之間的溝通與合作,現實情況下可采用以國家安全機關或者公安機關為中心,其他部門相互協作的方式,進行聯合管理。
…………
【關鍵詞】電力企業;信息網絡;安全體系
【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158(2013)07-0498-02
引言
隨著電力企業不斷發展,信息化已廣泛應用于生產運營管理過程中的各個環節,信息化在為企業帶來高效率的同時,也為企業帶來了安全風險。一方面企業對信息化依賴性越來越強,尤其是生產監控信息系統及電力二次系統直接關系到電力安全生產;另一方面黑客技術發展迅速,今天行之有效的防火墻或隔離裝置也許明天就可能出現漏洞。因此,建設信息安全防護體系建設工作是刻不容緩的。
1 信息安全防護體系的核心思想
電力企業信息安全防護體系的核心思想是“分級、分區、分域”(如圖1所示)。分級是將各系統分別確定安全保護級別實現等級化防護;分區是將信息系統劃分為生產控制大區和管理信息大區兩個相對獨立區進行安全防護;分域是依據系統級別及業務系統類型劃分不同的安全域,實現不同安全域的獨立化、差異化防護。
2 信息安全防護系統建設方針
2.1整體規劃:在全面調研的基礎上,分析信息安全的風險和差距,制訂安全目標、安全策略,形成安全整體架構。
2.2分步實施:制定信息安全防護系統建設計劃,分階段組織項目實施。
2.3分級分區分域:根據信息系統的重要程度,確定該系統的安全等級,省級公司的信息系統分為二級和三級系統;根據生產控制大區和管理信息大區,劃分為控制區(安全I區)、非控制區(安全II區)、管理信息大區(III區);依據業務系統類型進行安全域劃分,二級系統統一成域,三級系統獨立成域。
2.4等級防護:按照國家和電力行業等級保護基本要求,進行安全防護措施設計,合理分配資源,做好重點保護和適度保護。
2.5多層防御:在分域防護的基礎上,將各安全域的信息系統劃分為邊界、網絡、主機、應用、數據層面進行安全防護設計,以實現縱深防御。
2.6持續改進:定期對信息系統進行安全檢測,發現潛在的問題和系統可能的脆弱性并進行修正;檢查防護系統的運行及安全審計日志,通過策略調整及時防患于未然;定期對信息系統進行安全風險評估,修補安全漏洞、改進安全防護體系。
3 信息安全防護體系建設探索
一個有效的信息安全體系是在信息安全管理、信息安全技術、信息安全運行的整體保障下,構建起來并發揮作用的。
3.1 建立信息安全管理體系
安全管理體系是整個信息安全防護體系的基石,它包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理五個方面,信息安全組織機構的建立尤為重要。
3.1.1建立信息安全管理小組
建立具有管理權的信息安全小組,負責整體信息安全管理工作,審批信息安全方針,分配安全管理職責,支持和推動組織內部信息安全工作的實施,對信息安全重大事項進行決策。處置信息安全事件,對安全管理體系進行評審。
3.1.2分配管理者權限
按照管理者的責、權、利一致的原則,對信息管理人員作級別上的限制;根據管理者的角色分配權限,實現特權用戶的權限分離。對工作調動和離職人員及時調整授權,根據管理職責確定使用對象,明確某一設備配置、使用、授權信息的劃分,制訂相應管理制度。
3.1.3職責明確,層層把關
制訂操作規程要根據職責分離和多人負責的原則各負其責,不能超越自己的管轄范圍。系統維護時要經信息管理部門審批,有信息安全管理員在場,對故障原因、維護內容和維護前后情況做詳細記錄。
(1)多人負責制度 每一項與安全有關的活動必須有2人以上在場,簽署工作情況記錄,以證明安全工作已得到保障。
(2)重要崗位定期輪換制度 應建立重要崗位應定期輪換制度,在工作交接期間必須更換口令,重要技術文件或數據必須移交清楚,明確泄密責任。
(3)在信息管理中實行問責制,各信息系統專人專管。
3.1.5系統應急處理
制定信息安全應急響應管理辦法,按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級,采取措施,防止破壞的蔓延與擴展,使危害降到最低,通過對事件或行為的分析結果,查找事件根源,徹底消除安全隱患。
3.2 建立信息安全技術策略
3.2.1物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;確保計算機系統有一個良好的工作環境;防止非法進入機房和各種偷竊、破壞活動的發生,抑制和防止電磁泄露等采取的安全措施。
3.2.2 網絡安全策略
網絡安全防護措施主要包括以下幾種類型:
(1)防火墻技術。通過防火墻配置,控制內部和外部網絡的訪問策略,結合上網行為管理,監控網絡流量分配,對于重要數據實行加密傳輸或加密處理,使只有擁有密鑰的授權人才能解密獲取信息,保證信息在傳輸過程中的安全。
(2)防病毒技術。根據有關資料統計,對電力信息網絡和二次系統的威脅除了黑客以外,很大程度上是計算機病毒造成的。當今計算機病毒技術發展迅速,對計算機網絡和信息系統造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件,保障升級和更新的時效性,是行之有效的措施。
(3)安全檢測系統。通過專用工具,定期查找各種漏洞,監控網絡的運行狀況。在電力二次系統之間安裝IDS入侵檢測軟件等,確保對網絡非法訪問、入侵行為做到及時報警,防止非法入侵。
3.2.3安全策略管理
對建的電力二次系統必須在建設過程中進行安全風險評估,并根據評估結果制定安全策略;對已投運且已建立安全體系的系統定期進行漏洞掃描,以便及時發現系統的安全漏洞;定期分析本系統的安全風險,分析當前黑客非法入侵的特點,及時調整安全策略。
3.2.4 數據庫的安全策略
數據庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數據庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言,它可以分為以下幾種策略。
(1) 最小特權策略: 是讓用戶可以合法的存取或修改數據庫的前提下,分配最小的特權,使得這些權限恰好可以讓用戶完成自己的工作,其余的權利一律不給。
(2) 數據庫加密策略: 數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。
(3)數據庫備份策略:就是保證在數據庫系統出故障時,能夠將數據庫系統還原到正常狀態。
(4)審計追蹤策略:是指系統設置相應的日志記錄,特別是對數據更新、刪除、修改的記錄,以便日后查證。
關鍵詞:互聯網;計算機;信息安全;網絡加密;黑客技術;加密措施
0引言
隨著信息化的發展,很多信息都通過網絡技術傳輸到互聯網中,黑客利用計算機網絡,對計算機中的信息數據進行篡改和盜取,導致信息安全事件。影響信息安全的因素不但有黑客,而且還有很多的網絡因素,種種因素使得計算機的信息數據安全受到威脅。若不進行有效的處理,會影響到用戶對計算機信息的保存使用。信息加密技術是一項預防性和控制性的保密技術[1],能夠最大程度地保證計算機信息的安全,使得計算機的信息數據更具有保密性和完整性。
1計算機網絡信息安全及加密技術的概念
1.1網絡信息安全
計算機網絡信息安全通常定義為:以任何形式保護計算機網絡中的信息不受到破壞和盜取,使得其能夠安全有效地進行正常的運行[2]。其涉及的范圍比較廣,包含了計算機網絡范圍內的所有內容,組網和管理以及控制網絡的軟件都在其中,因此確保其信息安全十分關鍵。計算機網絡信息安全的特點主要表現在以下幾個方面。①機密性:在未經本機用戶授權的情況下,不允許任何人對計算機網絡信息進行查看和使用,也不能給其他用戶盜取其信息的機會。②可控性:能夠對計算機網絡中的信息內容進行一定的控制,使其健康、安全地在網絡進行傳播。③完整性:在計算機信息傳輸或保存的過程中不能對其進行改變和破壞,必須保證其信息的完整性。④可用性:無論用戶以何種形式將信息保存在計算機中,都需確保在用戶需要時能供其使用。⑤可審查性:當用戶信息出現安全問題時,計算機可提供其查詢的依據和證明。
1.2信息加密技術
隨著計算機技術的不斷發展和普及,很多用戶為了能夠隨時使用信息數據,大多會將其保存到計算機。不法分子盜取計算機信息的現象不斷發生,使得很多用戶越發關注計算機信息安全。信息加密技術可以在一定程度上保護計算機的網絡安全,其核心技術在于對信息進行保護,從而降低信息被盜的風險。信息加密技術的原理主要是通過加密算法中明文和暗文的相互轉換,對盜取用戶信息的黑客進行阻斷,使其不能對用戶信息進行復制和查看,從而在很大程度上保護了計算機的保密性和安全性。加密技術是現在使用較為廣泛的一項計算機安全技術,其通過一種加密密鑰對信息進行加密,在其他用戶進行盜取密碼時,其沒有加密秘鑰來進行解密,是盜取不到計算機中的信息數據的。
2加密技術在網絡安全管理中的應用
2.1存儲加密技術
計算機用戶在對信息進行存儲時,很容易使信息數據泄漏。經過相關研究后,出現了一種可以在存儲時對信息進行加密的技術。存儲加密技術有兩種控制信息加密的技術,一種是密文存儲加密,另一種是存取控制加密。無論哪種加密技術,都能有效保護計算機的信息安全。密文存儲采用的方法也較多,有加密模塊和加密算法轉換以及附加密碼等。存儲控制則是通過對象來對用戶的權限進行加密控制。在對用戶進行權限控制時,需要保證用戶的真實性和合法性。管理辦法主要有控制用戶權限、預防用戶跨權限查看信息和不法用戶存取信息等。使用存儲加密技術的目的在于保證存儲的圖片不被盜取和使用。
2.2網絡信息確認加密技術
計算機網絡中有些信息是有一定的共享性的,能夠供其他用戶查看,很多不法分子通過此渠道來對共享的信息進行改變和偽造,使得用戶共享的信息被破壞,降低其安全性。網絡信息確認加密技術主要是在一個共享的范圍內,對其進行一定的控制,防范對共享信息的盜取和破壞[3],使符合規定的接收者能夠確定其收到的信息是否是真實安全的,而其他用戶是不能通過信息的共享性來對其進行盜取的。在計算機網絡中的信息出現判定事件時,第三方是可以對其兩方進行仲裁管理的。在這種情況下,真實的接收信息者可以通過加密密文來對信息進行解密,而不法分子則因無法解密而很容易被查出。
2.3網絡傳輸加密技術
網絡傳輸加密技術能夠在信息的數據傳輸過程中對其進行加密性的保護[4]。目前我國采用的傳輸加密技術主要有兩種,一種是線路加密,另一種是端加密。線路加密主要是忽視信源和信宿,對不一樣的加密秘鑰進行線路的加密。端加密主要是指在信息發送源頭,由信息的發送者對其采取加密措施,使得信息在網絡傳輸過程中能自動進入TCP的數據包。在這種情況下,其他的用戶是不能對其進行查看和篡改的。信息在經過傳輸到達指定用戶端后,由用戶端的客戶對其進行解密,并查看其中的信息數據。很多黑客利用網絡傳輸中的一些特性,對計算機信息進行篡改和盜取,而網絡傳輸加密技術在很大程度下,避免了這些問題的發生。
2.4網絡密鑰管理加密技術
網絡密鑰管理加密技術是目前使用較為廣泛的加密技術,在保護信息上有很大的優勢。其優勢在于使用信息數據時比較便捷有效,且在保護信息安全[5]上也非常的可靠。網絡加密技術主要是通過產生、分配、保存和銷毀這幾個環節進行加密,這些環節是在用戶允許的情況下進行操作的。加密技術中的密鑰有很多形式,基本上為磁卡、磁盤和半導體形式的存儲器,密鑰能在產生、分配等環境上對其進行相關的保密措施,從而使用戶的信息不被修改和使用[1]。
3計算機網絡安全的影響因素
3.1計算機病毒
計算機病毒對計算機信息的安全影響較大,其能夠在用戶無準備的情況下對計算機進行攻擊,使得計算機中的信息被隨意篡改和盜取,導致計算機用戶的信息安全遭到破壞。很多的計算機病毒都具有一定的復制性,即能夠自動地對計算機執行自我復制指令,這不但使得用戶信息受到了危脅,其計算機的功能也會被破壞損亂[1]。
3.2操作系統存在漏洞
無論哪種品牌的計算機,其在操作系統中都存在一些無法避免的漏洞。即使對其進行處理升級,也還會有新的漏洞出現,因此計算機的信息安全令人擔憂。甚至計算機的操作系統在未經使用的情況下也是存在漏洞的,且隨著用戶的不斷使用漏洞會愈來愈多,即便用戶使用補丁程序對其進行修補,也還是避免不了這種漏洞現象的發生。其原因在于:漏洞在進行升級修補時,也會生成新的系統漏洞,因此計算機的操作系統漏洞對信息的安全也是有一定的影響的。計算機的操作漏洞一旦被黑客利用[2],對計算機中的信息都是一個很大的威脅,甚至會造成計算機網絡系統的癱瘓。
4計算機信息安全加密的有效措施
4.1加強信息安全管理體系
為了提高計算機信息安全,相關管理人員可以通過建設計算機信息安全管理體系,控制網絡中的不法分子盜取信息的情況的發生,使得計算機的信息安全能夠得到一定的保障[3]。建設計算機信息安全管理體系能夠在對信息進行加密的情況下,再對其添加一重網絡的保護,使得信息能夠不被輕易地盜取,且同時也能對盜取信息的用戶進行監管[6]。計算機信息管理體系需要有明確的預估風險體制和安全管理技術的平臺,其目的在于降低計算機信息的危險性。
4.2對計算機病毒加強防范
即使計算機信息有加密技術進行保護,但遇到計算機病毒,加密技術也難以對其進行治理控制。因此,為了保障計算機信息的安全,必須要對計算機病毒進行管理和預防[7]。對此,計算機用戶除了要安裝殺毒軟件進行定時檢查外,也需要注意瀏覽網絡信息時的安全,對非法的計算機網絡信息不隨意查看,避免病毒在此過程中入侵計算機。若想最大化地提高計算機的信息安全,計算機用戶可以通過網絡層來對計算機進行監控,以保障計算機中的信息數據安全。通過加強對計算機的病毒防范,能使計算機中的信息不被篡改,并進行一定的加密技術處理,確保信息能夠更完整地保存在計算機上。
4.3對訪問權限控制
用戶在對計算機信息進行加密技術處理后,若在訪問權限上管理不嚴,還是會被黑客高手盜取計算機信息數據。系統可以對用戶信息權限[8]進行一定的限制,使得黑客即使擁有加密技術密鑰,也不能隨意地進入計算機查看信息。對訪問權限進行控制的目的是為了避免一些黑客查詢加密技術秘鑰的情況下[9],對計算機中的信息進行盜取和復制,從而保證計算機信息的安全。
5結束語
綜上所述,科技的發達使得盜取信息的手段越來越高,為了提高計算機信息中的安全,必須預防性地對計算機進行加密技術處理,以在遇到不法分子盜取時,能夠防止其盜取行為。對計算機信息進行加密處理,不但有利于計算機信息的安全,也有利于提高網絡信息中的安全性,因此需要利用加密技術來保障個人計算機的信息安全。
參考文獻:
[1]陸莉芳.信息加密技術在計算機網絡安全中的應用探討[J].電子測試,2013(10):22-28.
[2]孫建龍.計算機信息數據的安全與加密技術研究[J].電子技術與軟件工程,2015(11):32-36.
[3]李書香.計算機網絡安全中信息加密技術的應用研究[J].網絡安全技術與應用,2014(3):36-39.
[4]錢臨紅,羅勇.關于計算機信息數據的安全與加密技術的討論[J].科技創新與應用,2013(17):46-47.
[5]崔鈺.關于計算機網絡安全中的應用信息加密技術[J].山西電子技術,2012(5):62-68.
[6]李宗育,王勁松,宋慶軍.基于WSE的SOAP消息部分信息加密機制[J].計算機工程與設計,2016(1):55-59.
[7]徐政五,龔耀寰.信息戰中的信息加密技術[J].電子科技大學學報,2000(6):469-474.
[8]李書香.計算機網絡安全中信息加密技術的應用研究[J].網絡安全技術與應用,2014(3):38-40.
關鍵詞:電子商務;計算機網絡安全;優化措施
隨著我國科學技術的發展,電子商務行業領域的日益繁榮昌盛,計算機網絡作為電子商務的基礎技術支持也逐漸受到人們的關注,它在便捷了人們生產、交易的同時其中所存在的安全問題也不容忽視,現階段,針對有關電子商務網絡漏洞的詐騙頻發,這對我國當前的電子商務人員經濟、財產等造成了十分嚴重的損失。如何在確保電子商務網絡正常運作的情況下,通過維護、重視電子商務所使用網絡的安全來保障資金支付使用、財產信息的安全逐漸成為了管理者們的關注重點。
一、電子商務領域中計算機網絡存在的問題
(一)管理重視程度不夠,技術防范不充分
首先,對于電子商務這種依托于計算機技術而衍生的商務經營模式,其中最為重要的安全維護措施便是針對于企業所使用的網絡信息技術以及相應的硬件設輔助設施進行及時的優化和升級,但是在現實工作中,很多電子商務企業的領導層往往重視程度不夠,認為企業日常工作中所使用的的電腦、安全管理軟件等設施只要能用就可以,根本不在意針對硬件設施的后續維護、保養等工作,這就導致了原始軟件、設施本身就存在很大漏洞,在面對新型問題的情況下無法使用,甚至形同虛設。同時,很多電子商務企業沒有專業的技術防范部門,這就導致了在計算機網絡安全問題發生的時候只能依靠一些很不專業的人員去進行相應的維修,者很大程度上限制了工作人員的維護效率,同時也無法對其維護效果作出保證。
(二)沒有較為健全的安全管理體制
現階段,我國電子商務行業仍舊處在初期發展階段,很多電子商務企業剛剛起步,以至于其在企業管理體系中沒有較為健全、整合的安全管理體系,設立健全的網絡信息安全管理體系是保障電子商務能夠在一個較科學、完善的管理環境下獲得最好的成長空間,從而進一步的促進電子商務的蓬勃發展。
(三)安全衍生品監管混亂
由于電子商務在我國發展尚處于初始階段,發展時間較短,因此對于監管網絡安全的衍生品缺乏標準一致的監管、督查規定,這使得對于計算機網絡安全監管的衍生品(例如安全軟件等)不夠完善,其中產品很大程度上模仿了國外原有的產品,很多情況下并不符合我國國情、適合我國的經濟環境,并且沒有專注其衍生品研究的技術人員,導致了我國現階段計算機網絡安全衍生品市場混亂,產品質量層次不齊的同時遠遠落后于其他國家。
(四)技術等級、研發程度不夠
隨著電子商務工作領域發展進程的不斷深入,商業網絡化的模式成為了社會發展的必然趨勢,但是就目前來說,我國針對其計算機網絡安全技術的研究、研發程度仍較弱,產品很大程度上依賴于模仿市場原有的技術、產品,自主研發、創新的能力不足,相關產業仍舊沒有受到政府等相關監管部門的重視,現有產品普遍存在技術含量不高、效果不好等問題。
二、電子商務領域計算機網絡安全優化措施
(一)建立健全的網絡安全信息管理制度
在實際的電子商務工作中,往往存在安全隱患較多的環節是在信息傳遞的過程中,例如電子商務人員在進行郵件、壓縮文檔等數據傳輸過程中,可能會隨著數據一同傳送計算機病毒、木馬軟件等危害計算機信息安全的因素。這些類型都是可以通過健全的網絡安全管理制度進行明顯的改善的,工作人員可以在實際工作中,通過對需要傳遞的信息、口令、密碼等進行加密、規范化的保密傳遞措施,從而保障信息等資源在其傳遞過程中,不會受到別有用心人員的刻意篡改、毀壞。
(二)建立專業的網絡安全維護制度
在需要進行計算機網絡安全保護措施的電子商務企業可以設立網絡技術專管人員,定期的針對企業使用軟件、系統等安全衍生用品加以適當的維護、升級,確保在面對計算機網絡安全威脅的時候,企業的安全系統可以充分的發揮其作用。與此同時,可以安排專業技術人員對企業的計算機安全專管人員定期進行技術的相關培訓,并由9莧嗽苯技術人員傳遞的最新安全知識傳達給普通的工作人員,爭取做到“企業上下共同參與,共創和諧、安全的計算機網絡安全環境”。
(三)做好相關數據備份,加強日常管理
在實際電子商務工作中,做好相關數據的備份工作是電子商務工作人員的工作必修課,這種方式在計算機網絡安全受到威脅時可以最大限度的將其傷害損失降到最小。首先,在電子商務操作系統平臺內操作使用時,通過對操作界面的快照等方式對操作結果進行記錄備案。其次,在平臺客戶端上定期對實際使用數據庫進行備份、存檔以備不時之需。最后,在計算機網絡信息溝通中對專用的用戶名以及口令設定專用的網絡傳送加密渠道,通過對源頭信息的加密控制進而最大限度的減少計算機網絡安全事故的發生。
關鍵詞:電子政務;信息安全;保障體系
說起電子政務,大家也許首先想到的就是各級政府門戶網站,認為電子政務就是通過政府門戶網站提供的便民公共查詢窗口查詢信息或是通過網上辦事通道辦理申請或審批業務。這是狹隘的理解,門戶網站只是電子政務的一部分,并不是電子政務的全部。電子政務是“運用計算機、網絡和通信等現代信息技術手段,實現政務組織結構和工作流程的優化重組,超越時間、空間和部門分隔的限制,簡稱一個精簡、高效、廉潔、公平的政府運作模式,以便全方位地向社會提供優質、規范、透明、符合國際水準的管理與服務。”
簡單講,電子政務就是政府通過現代通信技術手段組建一個優于傳統模式的政府運作模式,并向社會提供管理與服務。其實,電子政務離我們并不遙遠,它已經深入到了我們的日常生活中。舉個例子,我國于1993年開始啟動“金卡工程”,它以計算機、通信等現代科技為基礎,以銀行卡等為介質,通過計算機網絡系統,以電子信息轉帳形式實現貨幣流通。如今,我們使用帶有銀聯標志的金融卡可以在任意標有銀聯標志的商戶進行消費,我們可以通過銀行ATM機辦理同城或異地,同行或跨行轉賬匯款等業務,使用銀行卡進行消費、轉帳、結算正逐漸成為一種時尚,“金卡工程”實現了“一卡在手、走遍神州”,為企業和個人提供了方便、快捷、安全的支付和消費手段,與此同時,它使企業和個人的交易、轉帳、消費和稅收納入國家統計體系之內,加強了國家的監管。又如我國于2001年開始啟動的“金關工程”,它在實現海關內部作業流電子化的同時,利用現代信息技術,依托國家電信公網,將進出口業務信息流、資金流、貨物流信息集中存放在一個公共數據中心,監管部門可以進行跨部門、跨行業的聯網數據核查,企業可以上網辦理出口退稅、報關申報、轉關申報等多種進出口手續。
1 電子政務系統安全保障的重要性
電子政務已覆蓋到我國金融、進出口貿易、社會保障、稅務、公安、財政審計等多個領域,電子政務系統的穩定和數據安全關系重大,我國對電子政務的信息安全工作非常重視,中央辦公廳于2003年下發了《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)、公安部于2004年9月了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、國信辦于2005年9月了《電子政務信息安全等級保護實施指南(試行)》(國信辦[2005]25號),供各級黨政機關在新建電子政務系統和已建電子政務系統中開展信息安全等級保護工作參考。保證電子政務系統實現其功能和保證電子政務系統的數據安全是電子政務系統安全保障的兩項基本任務。
2 信息安全管理體系建設
電子政務的安全保障是依托對電子政務信息系統的安全保障實現的,信息安全管理應該建立在一套完備的安全管理體系基礎之上的,由電子政務信息系統的建設維護單位自上而下的開展。
2.1 信息安全管理體系建設的內容
安全管理體系應該包括安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理和符合性等內容。具體要求參見我國2008年的《信息技術 安全技術 信息安全管理體系 要求》(GB/T 22080-2008)。
2.2 信息安全管理體系建設的意義
建立完善的信息安全管理體系,使得電子政務信息系統能夠有專門的組織或機構負責其安全管理,有了明確的職責劃分和責任認定,有助于順利開展組織的信息安全管理工作。在信息系統全生命周期內對構成信息系統的各要素的安全管理進行規范化管理,形成制度體系,以便其落地實施,會使電子政務信息系統的安全管理更加科學化、規范化和標準化。
3 安全基礎設施建設
電子政務信息系統的建設和運行需要基礎設施的支撐,電子政務面向社會公眾或特定人群提供服務,首先要搭建與互聯網對接的網絡系統,再解決互聯網絡上的用戶身份鑒別問題,此外還要根據國家信息安全等級保護的有關要求,結合電子政務所在的行業以及提供服務的性質,考慮系統和數據的容災備份。
3.1 網絡建設與安全域劃分
電子政務往往需要建設專有網絡系統,以便將業務覆蓋到本行業的下一級乃至更下一級的業務部門,如“金保工程”將建立三級網絡納為其建設內容,即搭建中央、省、市三級安全高效的網絡系統;“金關工程”中也包含主干網建設內容。電子政務信息系統建設單位可以根據電子政務所處行業、服務和管理內容等,制定網絡建設規劃,并根據電子政務信息系統的安全保護級別相對應的要求劃分網絡安全域。
3.2 公鑰基礎設施(PKI)
公鑰基礎設施PKI利用數字證書標識密鑰持有人的身份,通過對密鑰的規范化管理,構建和維護一個可信賴的系統環境,為應用系統提供身份認證、數據保密性和完整性、抗抵賴等各種必要的安全保障。電子政務需要面向社會群眾或特定群體通過網絡提供服務,就需要解決網絡環境下的身份鑒別與抗抵賴性問題,即解決如何驗證用戶為合法用戶,以及如何防止用戶否認其行為的問題。公鑰基礎設施(PKI)就能夠很好的解決上述問題。稅務系統和電子口岸就采用了PKI技術,在電子政務信息系統中應用PKI,在保證電子政務系統安全的前提下,解決了電子政務系統中的抗抵賴性問題。
3.3 系統與數據容災備份
電子政務信息系統應根據其信息安全保護等級和業務連續性要求選擇是否建設災備系統,以防止因系統終止提供服務而對用戶的正常生產生活產生影響,甚至造成社會影響;電子政務信息系統應根據其數據的重要程度制定數據備份策略,以防止因數據丟失而造成損失。
4 信息安全防護體系建設
電子政務信息系統依托現代技術建設,其安全防護體系應圍繞著它的基礎設施、硬件設備(主機、存儲、網絡設備、安全設備等)和人(建設人員、維護人員、使用人員等)構建。
4.1 個體安全防護
硬件設備是構成電子政務信息系統的最小單元,針對硬件本身進行的安全防護可看做是個體安全防護。個體安全防護的目標是提升個體的安全防護能力。針對不同類型的硬件設備,有不同的安全防護手段或技術。例如:應針對不同操作系統和版本的主機設置安全加固配置基線,統一管理主機安全配置;部署Windows操作系統的服務器需要安裝防病毒軟件;及時更新系統補丁;加強個體的賬號管理和訪問控制;部署第三方加固軟件等。
4.2 區域安全防護
電子政務信息系統的網絡依據其功能和互聯需求劃分為不同的安全區域,安全域是指同一環境內有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網絡或系統。例如:有與互聯網聯通需求的網絡需要劃分專門區域用于接入互聯網。
區域安全防護包括邊界安全防護和區域安全管理兩部分。不同安全域之間以及內部網與外部網之間形成的界限稱為邊界,邊界安全防護的目標是阻止未被允許的訪問,具體可通過防火墻、交換機、入侵防御、防病毒網關等實現;區域安全管理的目標是掌握區域內的安全狀態,及時處置區域內產生的安全事件,具體可通過漏洞掃描、安管中心、安全審計等實現。
4.3 基礎設施安全防護
電子政務信息系統最為關鍵的基礎設施是運行機房,機房內運行著所有的硬件資產和軟件資產,其安全防護工作包括機房電磁屏蔽、消防、電氣、空調、防盜等等。
4.4 信息安全審計
將信息安全審計作為單獨一條是用來強調它的重要性,電子政務信息系統的建設和運維都離不開人,對人員的安全管理是保障安全方針策略得到有效執行的關鍵。“堡壘最容易從內部攻破”,再安全的外部防御也無法抵擋由內而外的攻擊。電子政務系統往往會因其特殊的應用而產生許多敏感數據,這些數據大多涉及個人及企業團體的基本信息數據及其生產數據等,部分還會涉及商業秘密,一旦發生人為的泄密、數據盜取、后門等安全事件,其后果將不堪設想。因此需要電子政務信息系統建設維護單位建立完善的信息安全審計體系,對系統建設和維護的關鍵環節實施信息安全審計,通過制度宣貫和技術手段起到威懾的作用,讓人員有“伸手必備捉”的危機感。
5 明確第三方服務保障
電子政務信息系統的建設離不開第三方的支持,網絡線路需要向運營商申請并由其保障線路通信質量,軟硬件設備需要向供應商采購并由其提供維保服務和技術支持,部分單位的電子政務信息系統是委托第三方開發建設的或有委托第三方進行運行維護的,等等。第三方的服務保障質量、對已掌握的資源是否嚴格管理等問題關系到電子政務信息系統的安全,因此有必要與第三方簽訂明確的服務保障合同,確定第三方的責任和義務、提出第三方的保障要求并簽訂相應的保密協議。
6 結語
我國電子政務的建設還將不斷持續下去,已建的或正在籌建的電子政務都應重視電子政務的信息安全保障問題,認真思考建立適合的信息安全防護體系,為電子政務提供安全可靠的支撐平臺。
參考文獻
[1] 侯衛真 《電子政務的建設與發展》[M] 中國人民大學出版社 2006.3
信息安全準則是風險評估和制定最優解決方案的關鍵,優秀的信息安全準則包括:根據企業業務目標執行風險管理;有組織的確定員工角色和責任;對用戶和數據實行最小化權限管理;在應用和系統的計劃和開發過程中就考慮安全防護的問題;在應用中實施逐層防護;建立高度集成的安全防護框架;將監控、審計和快速反應結合為一體。良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念,從而讓企業信息管理部門更好地對風險進行管控。
2企業信息安全管理的主要手段
2.1網絡安全
(1)保證安全的外部人員連接。在日常工作中,外部合作伙伴經常會提出聯入企業內網的需求,由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準,因此存在信息安全隱患。控制此類風險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網絡接入等。
(2)遠程接入控制。隨著VPN技術的不斷發展,遠程接入的風險已降低到企業的可控范圍,而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USBKEY,動態口令牌等硬件認證方式的遠程接入要更加的安全。
(3)網絡劃分。在過去,企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟,非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec技術有效提高企業網絡安全,實現對位于公司防火墻內部終端的完全管控。
(4)網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充,主要用于監控網絡傳輸,在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備,入侵檢測系統能有效防控企業外部的惡意攻擊行為,隨著信息技術的發展,各大安全廠商如賽門鐵克,思科等均研發出來成熟的入侵檢測系統產品。
(5)無線網絡安全。無線網絡現在已遍布企業的辦公區域,給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全,信息管理部門需要使用更新更安全的協議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網絡;利用802.1x和EAP技術加強對無線網絡的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解,而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害,企業必須制定密碼策略并利用技術手段保證執行。
(2)用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權限進行管理,需要企業具有完善的身份管理平臺,從而實現授權流程的自動化,并實現企業內應用的單點登陸。
(3)公鑰系統。公鑰系統是訪問控制乃至信息安全架構的核心模塊,無線網絡訪問授權,VPN接入,文件加密系統等均可以通過公鑰系統提升安全水平,因此企業應當部署PKI/CA系統。
2.3監控與審計
(1)病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統,在終端定期更新病毒定義,進行病毒自掃描,自動更新操作系統補丁,以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端,或對終端進行定制,在終端接入企業內網時,終端管理系統會在隔離區域對該終端進行綜合評估打分,通過評估后方能接入內網。才能保證系統的安全策略被有效執行。
(2)惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成:防病毒系統;內容過濾網關;郵件過濾網關;惡意網頁過濾網關和入侵檢測軟件。
(3)安全事件記錄和審計。企業應當配置日志審計系統,收集信息安全事件,產生審計記錄,根據記錄進行安全事件分析,并采取相應的處理措施。
2.4培訓與宣傳提高企業管理層和員工的信息安全意識,是信息安全管理工作的基礎。了解信息安全的必要性,管理層才會支持信息安全管理建設,用戶才會配合信息管理部門工作。利用定期培訓,宣傳海報,郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳,能有效提高企業信息安全管理水平。
3總結
