時間:2023-09-14 17:43:23
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全事件預案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1引言
“隨著我國經濟的快速發展,我國網絡經濟空間發展也得到了非常明顯的發展,為促進信息技術服務做出巨大的貢獻,并且也逐漸向著更加智能以及將傳統領域方面相互融合的階段不斷發展。但是,在信息技術創新的過程當中,還存在一定的安全問題,這樣一來,就讓網絡空間的安全問題變得相對復雜,最終導致網絡安全風險逐漸增加。作為行政執法部門,近年來河北省質監局深化拓展信息化應用領域,發揮信息化特有的支撐引領作用,建設應用了覆蓋全部核心業務的信息化系統、搭建了質監數據中心,推進數據互聯互通和交換共享;核心機房接入了互聯網、省公務外網、公務內網、質監業務網、財政專網、總局數據網和視頻網等7大網絡,支撐著質監系統省市縣三級機關和直屬事業單位的監管執法工作;隨著“互聯網+”行動不斷深入推進,質監業務數據量逐年增加,預計到2020年質監數據中心理論計算存儲量為7.0T。面對安全問題越來越復雜、隱蔽的網絡空間,要求我們不但要從技術上加強安全防范措施,還要建立健全網絡安全事件應急工作機制,切實做好網絡安全事件實戰演練,提高應對網絡安全事件能力,預防和減少網絡安全事件造成的損失和危害,保障重要網絡和信息系統的安全穩定運行,保護公眾利益,維護國家安全和社會秩序。
2網絡安全事件應急機制
2.1工作原則
在網絡安全事件的應急機制當中,主要的工作原則是要服從領導指揮,對突況做出快速反映,并對其進行科學的處置,每個部門之間要充分發揮出各自的工作職能,完成好網絡安全事件的應急處置。
2.2事件分級
通常情況下,網絡安全事件應急響應主要分為四個等級,一是特別重大的網絡安全事件,二是重大網絡安全事件,三是較大網絡安全事件,四是一般網絡安全事件。
2.3領導機構與職責
在河北省質量技術監督局網絡安全以及信息化領導小組的指導過程中,省局網信領導小組辦公室積極配合并協助省局完成網絡安全事件應急工作,不斷完善網絡安全應急處置體系。如果在發生比較重大的網絡安全事件的時候,需成立省局局網絡安全事件應急指揮部,指揮部成員由網信領導小組相關成員組成,負責事件的處置、指揮和協調。
2.4監測與預警
(1)預警分級在網絡安全事件的預警過程當中,主要分為四個等級,從高到低分別由不同的顏色進行表示,比如紅色、橙色、黃色以及藍色。(2)預警研判和各處室、各直屬事業單位組織對監測信息進行研判,認為需要立即采取防范措施的,應當及時通知有關部門和單位,對可能發生重大及以上網絡安全事件的信息及時向省局網信辦報告。省局網信辦組織對上報信息進行研判,對可能發生特別重大網絡安全事件的信息及時向省委網信辦、質檢總局網信辦報告。(3)預警響應1)紅色預警響應第一,省局網信辦根據省委網信辦指示組織預警響應工作,聯系相關單位或部門和應急支援單位,組織對事態發展情況進行跟蹤研判,并共同協商制定出相應的防范措施以及多項預警相應應急工作方案,有效的組織并協調組織資源調度以及與其他部門進行合作的前期準備工作。第二,相關單位以及部門對于網絡安全事件的應急處置,要求相關機構實行24小時值班制度,并且與之相關的工作人員應該時刻保持聯絡通訊暢通。與此同時,還要不斷提高網絡安全事件監測以及事態發展信息的搜集工作,負責人員要對應急團隊進行正確指揮,其他相關單位要輔助完成工作,如果出現緊急情況一定要上報到省局網信辦。第三,網絡安全應急技術支撐隊伍、應急支援單位應時刻保持待命的狀態,并且還要根據紅色預警所提供的信息進行詳細的研究,制定出不同的應對方案,另外,還要保障應急設備、軟件工具以及車輛等使用正常。2)橙色預警響應第一,相關單位或部門網絡安全事件應急處置機構啟動相應的應急預案,根據省局網信辦指示組織開展預警響應工作,完成相關的風險評估工作,并提前做好應急準備。第二,當橙色預警相應時,有關單位以及部門應立刻把事情的具體狀況上報到省局網信辦公室。省局網信辦密切關注事態發展,有關重大事項及時通報相關單位或部門。第三,網絡安全應急技術支撐隊伍、應急支援單位保持聯絡暢通,檢查應急設備、軟件工具、車輛等,確保處于良好狀態。3)黃色、藍色預警響應事發單位或部門網絡安全事件應急處置機構啟動相應應急預案,指導組織開展預警響應。
2.5網絡安全事件的應急處置
(1)事件報告網絡安全事件的應急處置,主要在當網絡安全事件發生之后,事發單位要對網絡安全事件進行應急處置,一是要馬上對事件進行報告,先要啟動應急預案,對事件進行處置。二是事發單位的相關部門要將事態穩定住,保留證據,完成好相關的信息通報工作。(2)應急響應通常情況下,在網絡安全事件的四個等級當中,I級的網絡安全事件是屬于最高響應的級別。Ⅰ級響應:省局網信辦在接到事發單位或部門報告后組織對事件信息進行研判,屬特別重大網絡安全事件的,立即上報省委網信辦,同時向省局網信領導小組提出啟動Ⅰ級響應的建議,經網信領導小組批準后,成立專項應急響應指揮部。由專門的指揮部來實行應急處置工作的統一領導部署,并領導相關完成好協調職責。對于指揮部的成員來說,要時刻保持24小時的聯絡。其他單位以及部門要確保應急處置機構隨時保持應急狀態,然后當指揮部發出命令之后,完成相應的工作。Ⅱ級響應:省局網信辦在接到事發單位或部門報告后組織對事件信息進行研判,根據事件的性質和情況,屬重大網絡安全事件的,指示事發單位或部門啟動Ⅱ級響應。事發單位或部門的應急處置機構進入應急狀態,在省局網信辦指導下按照相關應急預案做好應急處置工作。處置中需要省局應急技術支撐隊伍和應急支援單位配合和支持的,商省局網信辦予以協調。事發單位或部門與省局應急技術支撐隊伍、應急支援單位應根據各自職責,積極配合、提供支持。Ⅲ級響應:網絡安全事件的Ⅲ級響應,由事發單位或部門根據事件的性質和情況確定。事發單位或部門跟蹤事態發展,有關事項及時通報有關部門和單位。Ⅳ級響應:事發單位或部門按相關預案進行應急響應。(3)應急結束Ⅰ級響應結束由指揮部提出建議,報省局網信領導小組批準后,及時通報相關單位。Ⅱ級響應結束由事發單位提出建議,報省局網信辦批準后,及時通報相關單位或部門。Ⅲ、Ⅳ級響應結束由事發單位或部門決定,通報有關部門和單位。
2.6調查與評估
特別重大網絡安全事件由指揮部組織相關單位或部門進行調查處理和總結評估,并按程序上報至省委網信辦、質檢總局網信辦。重大及以下網絡安全事件由事件發生單位或部門自行組織調查處理和總結評估,并將相關總結調查報告報省局網信辦。總結調查報告應對事件的起因、性質、影響、責任等進行分析評估,提出處理意見和改進措施。事件的調查處理和總結評估工作原則上在應急響應結束后30天內完成。
3網絡安全事件實戰演練
省局網信辦應協調各處室、各直屬事業單位定期組織演練,檢驗和完善預案,提高實戰能力。應急演練方案應明確演練內容和目的、準備工作、演練步驟和考核辦法。
3.1內容和目的
應急演練主要內容包括機房突發事件、設備故障、安全事件等三個方面。
3.2準備工作
明確與演練內容相關的人員、環境、設備和設施應滿足的條件、狀態。
3.3考核辦法
明確演練的考核對象、考核內容、完成時限、分值以及評分標準。一般情況下,每個演練項目考核滿分為十分,如得分少于6分,應進一步完善網絡安全事件應急預案。
【關鍵詞】無線網;高校;安全
1引言
網絡技術不斷深入發展,現代化的網絡技術不斷更新升級。無線網絡是現代網絡發展重要節點。這種無線網絡比起有限的網絡相對更加方便和快捷,只要知道相關的無線網的賬號和密碼之后,在信號覆蓋的區域之內,可以實現更好地上網需要,在高校里,教師和學生不論是筆記本還是智能手機的使用率都是普遍增加的。教師可以運用無線網進行相關教學資源的網絡查詢,學生可以將自己上課不理解的教學內容通過無線網絡與教師交流,和同學分享,無線網絡的使用打破了高校網絡使用的地域性,教師和學生在無線網覆蓋的區域內可以順利進行相關信息的查詢和網絡交流。無線網絡給我們生活學習帶來方便和快捷的同時,也存在一定的安全問題。
2高校無線網存在的安全問題分析
目前,在很多高校里,無線網的覆蓋率不斷拓展,無線網絡已經成為現代高校信息網絡建設的主要手段。然而無線網由于只有一個賬號和密碼的防御措施,在安全性上有著很多隱患。具體隱患如下:
2.1部分師生的個人信息通過無線網絡被人獲取
電子信息檔案是大數據時代的必然產物。在高校里,很多師生的手機或者筆記本里都存儲著大量的個人的電子信息,例如,很多學生習慣將自己的身份證電子照片儲存在手機之中,隨時可以查閱調用,另外學生回家買的火車票,其購票信息中就有很多個人隱私,這些都是隨著大數據時代的到來,學生教師將自己手機作為一個最終的信息存儲介質,將自己的很多信息都存儲在手機之中。當這些智能手機連接到無線網之后,由于無線網可能已經被一些別有用心的人所利用,通過無線網,將學生和教師儲存在手機等介質中信息統統獲取。
2.2無線網資源被侵占
由于無線網只需要掌握一個賬戶和一個密碼,就可以占用這一無線網的資源。這些一來,無線網的資源很容易被其他人所占用,無線網的資源是有限的,一旦被其他人所占用,學校里的學生和教師占用相關資源的比例將大大減少。對相關資源的掌握就不能更加全面。造成這一問題的主要原因就是一些人將相關的賬戶和密碼告訴了陌生人,還有就是一些網絡黑客的惡意盜用,這些方式都可能造成無線網資源被侵占。
2.3無線網遭到攻擊
無線網遭到攻擊的含義有兩個方面,一方面就是網絡黑客通過運行大量的程序,進一步占用無線網的資源,這樣一來,無線網的網速將大大降低,學生和教師在使用無線網的時候,相關的資源無法查詢。另外一個方面就是網絡黑客通過無線網攻擊同樣接入無線網的學生和教師的手機或者筆記本,對相關的手機或者筆記本進行攻擊和控制。
3無線網安全防范對策
提高無線網的安全防范意識可以進一步提高無線網使用的安全性,加強對無線網的定期管理,優化無線網安全的硬件環境。這些都是實現無線網安全防范的有效手段和措施。
3.1提高無線網安全防范的意識
進一步加強對教師和學生無線網接入時的安全防范措施的教育,不斷提高師生使用無線網絡安全性的考慮,進一步實現對相關的無線網接入過程中需要注意的問題和事項進行講解。讓師生們知道,什么內容不可以接入無線網上的,什么內容是可以接入無線網上的。同時無線網的安全密鑰不能告訴陌生人,這些都是使用無線網絡安全防范的有效意識,只有增強了這一安全防范意識,才能實現無線網安全使用。
3.2優化無線網的安全硬件環境
無線網的維護需要有相關的服務器等基礎設施,這些電子設備需要有專業人士進行定期的維護和保養,加大項目資金的投入力度,不斷更新升級無線網的安全設備和基礎元器件,這樣可以實現無線網的有效維護,更好地保證其安全硬件環境。
4處置無線網絡問題的基本步驟
根據高校數字化校園網絡建設的基本條件,學校需要設計相關的網絡運行維護的基本步驟和應急預案:
4.1突發事件響應
學校根據無線網網絡安全問題設置了相關的安全事件的響應機制,更好地完成了相關的突發事件有效應對,根據安全事件的不同等級采用不同規格的響應預案,即相關的應急小組成員的組建,同時告知相關的后臺運行公司,使其積極參取措施,進行相關問題的處理。
4.2問題的及時排除
針對不同等級安全網絡事件,選擇不同的處理方案,具有針對性地開展相關問題處理,不斷實現相關事件的及時處理。
4.3問題反思歸檔
安全事件的發生給學校敲響了警鐘,這就需要在問題處理之后,開展后期的問題反思和材料存檔工作,認真梳理出現安全問題的人為原因,根據這一安全事件發生的基本規律,實施相關的應對措施,進一步防止問題的再次發生。將相關問題建立檔案留存,為今后優化應急預案提供基礎材料。實現安全管理報表的制定。首先就一定時間段發生的網絡安全事件進行通報。按照相關的規定進行安全事件的有效梳理,進行危險等級、發生種類、次數等要素的梳理和分類,認真填寫好相關的安全事件報表。將其進行相關因素的排序。其次,流量的報表監控。對相關網絡的速度和流量進行定時的關注,將其速度和達到了流量數據進行認真記錄,這樣才能更好的實現對這一網絡流量的有效記錄,這樣可以從流量上查找出可能出現的網絡安全問題。
5結語
無線網是現代高校使用頻率最高的一種網絡接入形式。然而這種形式安全性存在的一定問題,需要從防范和處理兩個層次進行網絡的有效管理,更好地滿足無線網的安全使用。
參考文獻
[1]顧煒江,徐波,等.對校園網絡信息安全的研究[A].2012ThirdInternationalConferenceonTelecommunicationandInformation(TEIN2012),2012,04:86-87.
[2]鄧蕾蕾.基于ABC篩選法的校園網絡安全量化指標體系的建立與評價[A].2011InternationalConferenceonFutureComputerScienceandApplication(FCSA2011),2011,07:23-24.
關鍵詞:網絡安全;ARP;攻擊防護;應急演練
1引言
隨著互聯網應用的高速發展,人們的日常生活越來越離不開網絡,業務往來、網上購物都需要網絡。網絡給大家帶來了方面快捷的服務,也給商家帶來了不少的利益,因此對網絡安全需求越來越高。現在廣電網絡公司不僅以傳統的廣播電視系統為載體,而且以互聯網和專線業務為主盈利點。但由于有時故障處理得不及時,導致用戶體驗度下降,直接影響客戶離網率,造成了部分用戶的流失。因為網絡維護人員多為有線廣播電視的業務提供保障,對互聯網及專線業務難免會不熟悉,所以對網絡維護人員的培訓以及網絡安全應急演練很有必要,也是公司加強信息安全的重要組成部分。下面便以某公司遭受ARP攻擊進行應急防護為例,掌握突發事件上報處理流程,通過事件識別、安全防御、應急響應、故障排查、業務恢復、故障原理分析、預防及處理措施等多個環節,測試和提高維護人員應對網絡安全事件的處理能力,增強維護人員的網絡安全意識。
2應急演練過程
2.1事件發生
時間:14:30。接到業務單位網絡時斷時續,無法進行正常業務操作的故障申報,經排查物理鏈路狀態正常,但檢查該單位匯聚交換機有ARP攻擊告警,馬上向安全負責人匯報情況。隨即啟動網絡安全應急預案,安排安全服務人員進行分析處置,并上報公司網絡安全小組。
2.2應急響應
時間:14:40。經排查分析,業務單位鏈路狀態正常,故障現象僅在某一專線網點局域網內,疑似內網中網絡感染病毒或受到攻擊,并將判斷上報安全負責人。
2.3故障排查
時間:14:45。申請某專網及業務點位內網測試,獲得批準后接入某點位內網后進行抓包分析,在網絡正常可Ping通該專網服務器時,查詢網關設備的MAC地址信息,使用arp-a命令查詢測試機ARP表中顯示網關信息(172.16.160.2542065-8e86-6e09),在故障出現時ARP表中顯示信息(172.16.160.2540090-27e2-e0c7)。經正常業務抓包顯示該專網匯聚交換網關MAC地址為2065-8e86-6e09,因此判斷業務單位內網受到ARP欺騙攻擊,登錄業務點位交換根據偽裝網關MAC地址查詢為某臺PC。事件定位后及時上報網絡安全領導小組,并著手進行故障清除工作。
2.4業務恢復
時間:15:00。肇事電腦斷網刪除相關攻擊軟件并進行深度殺毒,針對業務單位交換機端口進行IP-MAC地址綁定,各終端電腦安裝ARP防火墻。
2.5事件總結
經調查,本次事件發生于專線用戶內網,未造成較大影響,屬于IV級網絡安全事件;14:30接報用戶側網絡故障,經初步排查確認系ARP欺騙攻擊,立刻啟動網絡安全事件應急預案,經應急工作組成員的共同配合處理下,在半個小時內清除了ARP欺騙軟件,并且對用戶側局域網內交換機進行了MAC地址綁定,用戶終端電腦進行了ARP攻擊與防護演練在局域網中的實踐王金亭朱清華趙煒斌河北廣電信息網絡集團股份有限公司邢臺分公司摘要:伴隨近些年國家信息技術與數字經濟的發展,頻發的網絡安全事件已嚴重威脅到企業的安全生產以及穩定運營,給企業造成了不同程度的損失,怎樣有效地應對網絡安全事件成為各企業亟待面對的問題。因此,主動地進行網絡安全演練,成為有效輔助企業預防網絡安全突發事件,提高應對能力,迅速進行災難恢復的必要手段。本文結合ARP攻擊事件的防護演練過程,對網絡維護人員的風險識別、應急響應、業務恢復等方面相關能力進行ARP防護軟件安裝,維護了網絡安全,公司網絡安全演練評估組將調查結果模擬報告了公司網絡安全領導小組,最后參加演練的全體人員對本次事件進行總結分析,如表1所示。
3ARP欺騙攻擊的分析
主機之間進行通信前需要了解相互的物理地址,即MAC地址,而ARP地址解析協議,就是將主機的IP地址轉換成實際物理地址的協議。但由于ARP協議本身的安全機制缺陷導致出現了ARP欺騙與ARP攻擊2種針對局域網絡的破壞手段。
3.1ARP攻擊
ARP攻擊的主要目的是對局域網絡通信的破壞,主要針對局域網內的網關或終端設備MAC地址,使正常設備將攻擊者誤認為正常網絡設備MAC地址,從而導致局域網內無法正常通信。通常情況下,肇事者主要采用以下2種方式進行攻擊。(1)肇事主機發送偽造帶有被攻擊終端MAC地址和IP地址的ARP應答報文給局域網中除被攻擊的所有主機。(2)肇事主機發送偽造的局域網內除被攻擊終端,所有設備的MAC地址和IP地址的ARP應答報文給被攻擊終端。無論肇事者采用哪種方式,目的是破壞目標主機與網絡間的正常通信聯系從而導致網絡中斷。通常采用的手段有中間人攻擊、廣播攻擊、拒絕服務攻擊以及會話劫持等。
3.2ARP欺騙
ARP欺騙的主要作用并不在于破壞正常的網絡通信,而是通過偽裝欺騙手段對網絡內數據進行轉發、竊取、控制甚至篡改,進而達到獲取重要信息或者控制數據流量的目的。由于ARP協議誕生之初是基于局域網內主機互信基礎下的,因此忽略了協議本身的安全機制,動態更新又無安全認證的ARP緩存地址表成了最大漏洞,由于局域網內的ARP請求包均是以廣播形式發送,因此攻擊主機可以根據其ARP信息偽造以它的MAC地址和被攻擊設備IP地址映射關系的ARP請求包高頻次地向被目標發送,從而更新目標主機的ARP緩存表,使目標主機的通信重新定向將通信數據發送給攻擊者。
4ARP欺騙攻擊的解決方法
局域網內一旦出現網絡經常掉線或者網頁被掛木馬等情況就很可能是被ARP欺騙攻擊了,此時可以采用IP-MAC地址綁定和ARP防火墻2種方法進行判斷和解決。
4.1IP-MAC地址綁定
一般情況下,針對局域網內ARP欺騙攻擊,最切實有效的方法就是進行IP和MAC信息綁定,通過確認局域網內網關及主機的真實MAC地址進行信息綁定,可以杜絕ARP欺騙攻擊。(1)收集網關及主機真實的IP及MAC地址信息,路由器登錄有后可查詢真實網關MAC地址,主機可在本地連接詳細信息中查看物理地址,通過arp–s命令進行綁定,如圖1所示。(2)三層交換機(以華為為例)上綁定可采用命令(arpstatic10.20.8.88d8bb-c123-4567)進行綁定,采用“undoarpstatic10.20.8.88d8bb-c123-4567”以及“displayarpstatic”命令進行綁定狀態查詢。另外,也可以使用IP地址、MAC地址及端口進行精確綁定,非綁定主機的報文會被直接丟棄。由于路由器品牌不同,管理界面也不相同,因此登錄后需查找內部或局域網設置選項,進行主機的IP地址和MAC地址的綁定操作,如圖2所示。相對于交換機命令進行靜態綁定的煩瑣復雜操作,路由器的綁定操作較為簡單,只需在路由器管理中核對用戶MAC地址是否真實即可進行相應IP地址及MAC地址綁定。但為了安全,盡量進行雙向綁定,即路由器和用戶終端電腦都進行IP-MAC地址綁定。
4.2使用防火墻軟件
使用ARP防火墻,自動抵御ARP欺騙和ARP攻擊。主機上開啟防護軟件,在此以某衛士為例,在功能大全中點擊使用流量防火墻功能,其中的局域網防護中就包含ARP主動防御功能,防火墻的主界面顯示統計數據,包括ARP攻擊攔截統計、自動綁定IP/MAC地址、網關等。此方法全視圖操作使用較為簡便。
5結語
關鍵詞:計算機 網絡安全 隱患
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2015)12-0000-00
隨著網絡技術的逐漸普及,隨之而來的網絡安全隱患也隨之不斷暴漏,頻發的網絡安全事故在造成經濟和社會危害的 同時讓人們逐漸認識到網絡安全的重要性。必須對網絡信息安全進行科學理性的分析,找到切實可行的網絡安全管理方法,從而有效的提升網絡安全性。
1 計算機網絡安全的主要隱患
凡是威脅到計算機網絡安全性的因素,都稱之為計算機網絡安全隱患計算機網絡安全隱患的存在,給計算機帶來了嚴重的威脅,如果不能采取科學的措施應對計算機網絡安全隱患,很可能導致計算機用戶資料和信急泄露、計算機被病毒感染等后果,給計算機用戶帶來信息、資料、精神和經濟的多方面損失在此,將計算機網絡安全的主要隱患總結如下:
所謂的網絡安全隱患,就是可能對計算機網絡產生威脅的因素。它的存在給計算機網絡的應用帶來了大范圍的危害,如果不及時發現并加以清除,會導致諸如用戶信息泄露、網絡終端遭受病毒攻擊、虛擬財產受到侵害等多方面的負面影響。其主要表現形式為:
1.1 網絡漏洞擴大
在計算機網絡中,計算機病毒和木馬往往是通過網絡漏洞入侵并發動攻擊的。一般來說,網絡漏洞的生成是有網絡管理者的疏于管理造成的。如果網絡漏洞不能及時封堵,不法分子往往會通過這些漏洞進行侵犯,并在網路中進行更大范圍的傳播,給同一網絡內的終端帶來極大的安全隱患。
1.2 黑客入侵
一般來說,利用計算機漏洞發動網絡攻擊的都是擁有較高計算機技術的黑客。他們通過非法手段入侵用戶計算機或者終端,通過破解網絡密碼、破壞儲存數據、植入擴散性病毒,甚至直接操縱終端的方式使用戶蒙受大量損失。
1.3 病毒入侵
如果連入網絡的計算機不能對網絡內的病毒進行有效的防御,將會遭受病毒的入侵。其后果就是導致系統變慢、卡機甚至喪失運轉能力。而網絡病毒通常通過應用程序或者文件進行偽裝。如果客戶下載了這些含有病毒的文件,就會導致計算機中毒。而計算機病毒最具威脅的地方就是,當用戶發現中毒時,計算機病毒已經竊取到了客戶的相關信息。給用戶的企業及個人信息甚至財產造成極大的隱患。而技術更加高級的病毒甚至可以讓中毒電腦變成病毒的發射站,繼續對網絡內的其他電腦造成破壞。
1.4 網絡詐騙
網絡是一種虛擬社會,人們通過各種工具建立聯系,網絡中形形的人不一而足,很多不法分子在掌握了相關技術后以此為機會開展網絡詐騙。近年來,通過虛假網站、虛假聊天等方式開展的網絡詐騙行為有增多的趨勢,如果一旦落入絡詐騙行為的陷阱中,就很容易遭受巨大損失。
2 計算機網絡安全管理措施
為了有效提升網絡安全系數、打擊網絡詐騙,有必要對網絡安全進行必要的安全管理,從用戶接入、網絡安全防護、過濾不良信息等方面進行管控,制定網絡安全突發事件下的應對措施和應急預案,最大限度的將網絡安全隱患降低到可控的范圍之內。
2.1 加強網絡防火墻的防護效果
目前廣泛運用的網絡防火墻是人們在計算機內部通過假設技術性防護屏障來對用戶的信息以及資產安全進行防護的措施。計算機防火墻一方面可以過濾由外部網絡進人內部網絡或用戶計算機的各種程序、代碼,防護來自外部網絡的不安全因素,另一方面及時預警外部網絡的黑客攻擊或者病毒入并有效防護計算機安全。基于計算機防火墻的功能,建議所有的計算機都要及時的升級計算機內部的防火墻,及時關注防火墻的安全信息,通過防火墻將可以檢測到的病毒隔離在計算機終端之外。
2.2 提升殺毒軟件的普及率
計算機殺毒軟件是用戶為了保護計算機安全而進行的主動防御措施。雖然計算機殺毒軟件與計算機病毒的產生和發展相比具有一定程度的滯后性,但是對于一般的病毒而言,計算機殺毒軟件還是具有較強的甄別和殺滅效果。用戶要主動安裝計算機殺毒軟件,及時升級,定期對計算機進行全方位的檢測,確保計算機網絡的安全。由于計算機軟件的使用門檻較低,殺毒效果較好,成為了目前較為流行的計算機網絡安全防御工具,用戶要對計算機殺毒軟件的作用引起高度的重視。
2.3 提高網絡訪問的權限
目前的計算機網絡根據功能都設定了一定的訪問權限。訪問權限的高低決定了相關用戶可以了解計算機信息的多少。所以說必須設定科學的訪問權限等級從而有效維護計算機的網絡安全。如果訪問權限設定過高,會影響到客戶的訪問效果;反之,如果計算機網絡的訪問權限較低,將提升網絡安全的隱患。所以要在兼顧網絡安全以及用戶體驗的同時,合理的設置網絡訪問的權限等級。網絡安全管理人員也要對網絡安全進行全方位的監控,在發現入侵危險的同時,要及時的進行鎖定和隔離。
2.4 制定完善的網絡安全應急預案
網絡安全事件在發生的初期一般都是可以控制的,所以說要在網絡安全事件發生之前就制定有效的應急預案,完善網絡安全管理責任制,結合以網絡的網絡安全案例,對可能發生的網絡攻擊行為進行預判,并根據不同的網絡攻擊模式制定詳細的應對措施,在實踐的過程中對于應對預算加強改進和完善,從而在最大程度上確保用戶的網絡安全。
3 結語
計算機網絡技術的發展總是和網絡安全問題的發展相輔相成的。我們要正視這個現實,從技術層面和教育層面增強用戶的網絡安全意識。不斷提升網絡安全層級,積極主動地降低網絡安全事故給社會經濟發展和人民群眾的生產生活帶來的不利影響。
參考文獻
關鍵詞:軍隊計算機網絡;安全防護
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)22-5312-02
隨著信息軍事時代的來臨,“網絡中心戰”、“網絡中心行動”成為當前軍事領域戰爭行動的基本方式。軍隊計算機網絡是實施網絡中心戰、網絡中心行動的關鍵基礎設施,是敵重點攻擊的對象,其安全防護情況直接關系其效能作用的發揮,關系到戰爭的勝負,因此必須認真研究分析其安全形勢,剖析存在問題,采取有力措施,提高安全防護能力。
1軍隊計算機網絡安全形勢分析
1.1形勢的嚴峻性
信息軍事時代,信息安全成為軍隊安全的重中之重。軍隊計算機網絡是承載信息的重要平臺,圍繞網絡展開的信息竊密與反竊密斗爭正愈演愈烈。一些國家和地區利用網絡大肆竊取我軍秘密信息,并綜合盜用黑客、木馬、病毒攻擊及竊取等多種信息作戰手段對我網絡進行破壞,嚴重威脅著國家和軍隊安全。
1.2威脅的多元性
軍隊計算機網絡雖然在物理上與其他網絡隔離,但是由于系統建設規模大、涉及領域廣、組織結構復雜、缺乏嚴密的法規標準,使得軍隊計算機網絡安全防護異常困難,從某種意義上講,計算機網絡上任何一個環節和關節點的被突破,都可能使全網和全系統癱瘓,后果不堪設想。
1.3事件的突發性
計算機網絡安全威脅往往具有潛伏性和不可預測性,對被攻擊方而言安全事件呈現出極強的突發性,被攻擊方往往會喪失寶貴的防御時間,為信息安全事件處置帶來極大的挑戰,計算機網絡安全威脅中的很多事件還沒有被察覺,就已經造成不可預料的損失。目前,計算機芯片、骨干路由器和微機主板等核心技術多數仍由國外進口,一旦敵對勢力在特定的時間激活惡意程序,就可以在我們毫無察覺的情況下瞬間發起攻擊,造成整個系統的癱瘓。
1.4處置的艱巨性
信息化條件下,信息爭奪空間巨大、流動性強,領域不斷拓展,安全隱患不斷增多。而當前部隊部分人員信息安全觀念淡薄;安全防護技術手段落后,針對性應急處置手段缺乏;法規制度不完備,組織安全防護力度差,對部分安全事件防護處置策略缺少相應的規范和力量。軍事網絡失泄密一旦發生,將導致整個網絡震蕩,失密影響范圍廣泛,泄密后果十分嚴重。
2軍隊計算絡安全存在的主要問題
計算機網絡安全保密工作十分重要,目前,我軍計算機網絡安全方面還存在以下問題:
2.1網絡安全防護意識比較淡薄
目前,部隊計算機網絡建設普遍受到高度重視,但是有些單位僅僅看到網絡建設帶來的顯著效益和便利,而對計算機網絡系統安全防護建設同步規劃、同步建設的認識較為短淺。從計算機網絡安全防護系統建設投入看,國外計算機網絡安全防護投入占整體投入的10-20%,我國僅占到2-5%,不足國外的四分之一,軍隊在此方面的投入也明顯不足。同時,受長期和平環境影響,“有密難保、無密可保”的思想意識普遍存在,對網絡安全問題關注不夠,思想意識比較淡薄,影響到計算機網絡整體安全防護建設的發展。
2.2網絡安全防護建設相對滯后
我軍圍繞作戰應用需求,重點加強了光纖傳輸鏈路建設,網絡基礎已經比較配套,但安全防護建設卻明顯滯后。部分單位未對網絡進行防火墻、保密機配套建設;相當數量的終端沒有安裝防病毒系統;入侵檢測沒有完全發揮起作用;安防系統系統建設各自為戰,無法形成整體安全防護體系等,這些都制約了計算機網絡安全防護整體水平的發展。。
2.3網絡安全防護標準尚未健全
當前,我軍陸續頒布了一系列與網絡信息安全相關的法律法規,但在安全保密等級劃分、網絡安全體系規范、網絡安全策略制定、網絡防護手段使用規范等方面仍存在不足。例如,對軍隊網絡安全體系建設標準中部分設備、系統未進行明確;安全防護等級雖已明確,但配套手段還沒有統一進行明確,無法達到最佳防護。同時,制度標準的落實情況也令人堪憂,有令不行、有禁不止的現象隨處可見,這些都對軍用計算機網絡系統帶來了巨大的安全隱患。
2.4網絡核心技術受制于人
雖然近年來我國的信息技術得以飛速發展,但仍沒有擺脫技術落后的局面,特別是計算機芯片、操作系統、路由協調等核心技術仍然沒有擺脫國外的束縛。目前,我軍大多數信息網絡采用的都是微軟的windows系列操作系統和TCP/IP、IPX/SPX等網絡協議,這些系統的共同特點是在設計之初主要考慮了易用性而忽視了系統安全性,使軍事信息網絡自身從建設之初就存在安全隱患。
3加強軍隊計算機網絡安全防護的對策措施
計算機網絡應用與安全防護問題相生相伴,是“矛”和“盾”的關系,信息安全問題將長期存在,不可能徹底避免和消除。為此,必須著眼防患于未然,積極建設計算機網絡安全防護體系,有效提升網絡安全防護能力,確保“非法用戶進不來,秘密信息取不走,網絡平臺摧不垮”。
3.1強化人員安全防護意識
強化軍隊人員的信息安全意識,一是通過大眾傳播媒介,增強信息安全意識,普及信息安全知識,依托信息服務網站開設信息網絡安全知識普及專欄,提高安全防護能力,增強部隊官兵信息安全防范意識。二是積極組織各種專題討論和培訓班,培養信息安全人才,使部隊有計算機網絡安全防護方面的“明白人”。三是要積極開展安全策略研究,明確安全責任,增強人員的責任心,全面提高部隊信息安全防護能力。
3.2建立健全安全管理機制
針對我軍軍事信息網絡安全防護現狀,制定和完善軍隊計算機網絡建設、管理與安全防護機制,確立網絡安全防護工作科學、合理的運行機制。一是配套法規標準。建立健全制度規定,明確各級責任、措施、手段;制定標準規范,明確建設技術體制;規劃安全策略,明確設備系統防護標準,以完善網絡安全法律體系,使信息安全管理走上法制化軌道,確保信息網絡安全有法可依、有章可循。二是建立協調機制。信息安全防護工作涉及多個業務職能部門,加強部門之間的相互協調、相互補充、統一規劃、統一管理,提升整體防護能力。三是組建安全隊伍。建立計算機網絡安全防護中心,明確安全防護機制,建立安全防護組織領導管理機構,明確領導及工作人員,制定管理崗位責任制及有關措施,嚴格內部安全管理機制,并對破壞網絡信息安全的事件進行調查和處理,確保網絡信息的安全。
3.3構建安全技術防護體系
重點加強四個體系建設:一是安全監察體系。建立健全網絡安全監察機制;配套建設計算機網絡入侵檢測、流量分析、行為審計等系統,增強安全事件的融合分析能力;配備安全管理系統,實現對全網安全策略的統一管理和控制;加強安全服務保障體系建設,提供病毒庫升級、補丁分發、安全預警等安全服務,通過各系統的綜合應用,提高網絡的綜合安全分析能力。二是終端防護體系。建立協調管理機制,規范和加強以身份認證、授權管理、責任認定等為主要內容的網絡信任體系建設;強化系統訪問控制,設定用戶訪問權限,防止非法用戶侵入或合法用戶不慎操作所造成的破壞;加強實體鑒別,保證用戶在獲取信息過程中不受干擾、不被假冒,確保用戶終端實體的可信;加強身份認證,為設備、用戶、應用等頒發數字證書,并提供數字簽名、身份驗證、訪問控制等服務,防止非授權接入和訪問;加強終端保護,進行終端操作系統的安全加固,防止非法登錄網絡,保證終端資源的可控;提供病毒防護功能,適時查殺病毒、檢查漏洞;提供主機入侵檢測功能,防止對終端的攻擊行為,從而全面建立終端防護體系,為終端用戶構造一個安全環境。三是安全評估體系。按照軍隊有關防護標準,綜合運用漏洞掃描、取證分析、滲透測試、入侵檢測等系統和手段對網絡進行掃描分析,客觀分析網絡與信息系統所面臨的威脅及其存在的脆弱性,對安全事件可能造成的危害程度進行科學的定性定量分析,并提出有針對性的防護對策和整改措施,全面防范、化解和減少信息安全風險。四是應急響應體系。加強信息安全應急支援隊伍建設,明確應急響應處置方法及原則;充分考慮抗毀性與災難恢復,制定和完善應急處置預案根據安全級別的要求來制定響應策略;建立容災備份設施系統,規范備份制度與流程,對域名系統、網管系統、郵件系統及重要業務系統等重要信息、數據適時進行備份,確保系統崩潰以后能夠在最短時間內快速恢復運行,提高信息網絡的安全性和抗毀性。
3.4發展自主信息安全產業
自主信息產業或信息產品國產化能夠為信息安全提供更高保證。要加強計算機網絡安全保密設備和系統的“軍產化”,“獨立化”建設。為此,應抓好以下幾個方面的工作:一是組織核心技術攻關,如研發自主操作系統、密碼專用芯片和安全處理器等,狠抓技術及系統的綜合集成,以確保軍用計算機信息系統安全。二是加強關鍵技術研究,如密碼技術、鑒別技術、病毒防御技術、入侵檢測技術等,有效提高軍用計算機網絡的安全防護能力。三是尋求監測評估手段,如網絡偵察技術、信息監測技術、風險管理技術、測試評估技術等,構建具有我軍特色、行之有效的計算機網絡安全保密平臺,實現網絡及終端的可信、可管、可控,擺脫網絡安全受制于人的被動局面。
軍隊計算機網絡安全防護涉及要素眾多,是一個系統的整體的過程。在進行防護時,要充分認清計算機網絡安全面臨的嚴峻形勢,認真查找存在的問題,系統整體的采取有針對性的防范措施,從而提高網絡安全防護能力。
參考文獻:
[1]曹旭.計算機網絡安全策略探討[J].計算機安全,2011(21).
[2]劉萍.計算機網絡安全及防范技術探討[J].科技信息,2010(15).
[3]吳世忠,江常青.信息安全保障基礎[M].北京:航空工業出版社,2010.
1.1技術水平有待提高
對于一般的用戶,數據存儲在云中有可能會因為網絡中斷而造成服務中斷,從而無法獲取和處理數據,嚴重時可能導致計算中斷或失敗。并且在技術層面上也會涉及到安全性的問題,對于些虛假的地址和標識無法有效的進行甄別。因此,云計算環境中的計算機網絡安全技術還有待提高。3.2未實現完全保密云計算在計算機網絡安全方面還沒有實現完全保密,因此導致了一些黑客攻擊云計算環境的現象出現。此外還有很多網絡病毒也會對云計算環境進行惡意的攻擊,其主要原因是用戶端設備的不安全性造成的。因此,對于云計算環境下的信息加密技術還有待提高。
1.3法律監管政策存在漏洞
目前,我國針對計算機網絡安全管理還沒有出臺明確且行之有效的法律、法規以及保護、制裁措施。這一問題也是造成當前云計算環境中網絡安全事件層出不窮的原因。因此增強網絡安全意識、完善網絡安全的法律、法規,嚴格執行侵犯網絡隱私的懲戒手段,才能從法理層面保證云計算環境的安全。
2提高云計算環境中的計算機網絡安全的保護措施
2.1提高安全防范意識
提高安全防范意識是完善云計算環境中的計算機網絡安全的基礎。云計算最終用戶的安全操作習慣可以使云計算環境的計算機網絡安全得到良好的防范。云計算最終用戶應首先從系統的身份認證開始,防范不明用戶或黑客的入侵,從而保證計算機網絡信息和數據的完整性和可用性。
2.2提高網絡安全技術
提高云計算環境中的計算機網絡安全技術上的研發和應用以及應對網絡安全威脅的重要手段。云計算環境中的計算機網絡安全技術和應對網絡安全威脅的重要手段主要包括:身份識別技術、訪問控制技術、虛擬化安全技術和安全事件處理、應急預案管理、安全審計,以及可用性要求、可移植性要求和可操作性要求等方面。只有網絡安全技術得到大幅度提升和應用,才能從根本上保證云計算環境中的計算機網絡安全,才能營造一個安全、便捷云服務環境。
2.3提高數據的安全性和保密性
提高云計算環境中的計算機網絡安全的關鍵在于提高數據的安全性和保密性。提高云計算環境中的計算機網絡安全的數據安全性和保密性。具體技術和措施可分為以下幾個方面:
(1)采用數據加密技術。提高云計算環境中的計算機網絡安全的數據安全性與保密性,其中最為基礎的有效方式就是采用加密技術。通過使用加密技術實現包括云管理服務器、云存儲服務器、云客戶端之間的數據傳輸的安全。使用RSA非對稱加密算法,對客戶端的特定密鑰在存儲服務器和客戶端之間進行非對稱加密傳輸,在數據傳輸時采用DES對稱加密算法。當用戶數據需要存儲到云計算服務器的數據庫時,采用用戶端提供的對稱密鑰進行加密,并能在虛擬環境中使用諸如多重因素身份驗證法進行身份驗證。這樣,云計算安全系統既能保證密鑰在網絡傳輸過程中的安全,又能保證敏感、重要數據在數據存儲時的安全。從而大大提高了數據的保密性。
(2)采用過濾器技術。通過諸如websense和vericept等過濾器可以很好的監控離開用戶的網絡數據。并且還可以針對敏感性數據進行攔截和阻止。從而更好的保護數據操作和使用的安全性。
(3)采用數據認證技術。在云計算環境構架中云計算服務提供商可利用可信算法建立從架構最底層到最頂層的信任關系,然后確定安全服務等級,并針對用戶層面的需求進行風險評估,根據評估結果為用戶提供相應安全等級的服務。最終建立起安全、可信的云計算環境。
3結論
隨著網絡與信息技術在我們經濟和生活各個領域的快速發展,企業也紛紛打造自身的網絡信息平臺。信息技術正逐漸影響著我們生活和工作的方式,在信息技術帶給我們巨大便利的同時,網絡與信息安全的各類問題也在不斷攀升。面對眾多網絡攻擊行為,安全風險面臨重要的挑戰。因此,探討企業網絡與信息安全風險,強化安全防護管理措施,保障企業業務安全穩定發展具有十分重要的意義。
關鍵詞
企業網絡;信息安全;防護
隨著網絡與信息技術在我們經濟和生活各個領域的快速發展,企業也紛紛打造自身的網絡信息平臺。信息技術正逐漸影響著我們生活和工作的方式,在信息技術帶給我們巨大便利的同時,網絡與信息安全的各類問題也在不斷攀升。面對眾多網絡攻擊行為,安全風險面臨重要的挑戰。因此,探討企業網絡與信息安全風險,強化安全防護管理措施,保障企業業務安全穩定發展具有十分重要的意義。
1網絡與信息安全風險分析
面對日益增加,不斷涌現的網絡攻擊行為,企業在鞏固和加強基本的網絡與信息安全的基礎上,仍不同程度上存在一定的安全風險,主要包括以下方面。
1.1物理安全風險
物理安全是網絡與信息系統安全的基礎。物理安全風險主要包括雷擊、水災、火災等環境事故導致大部分或整個系統的癱瘓;供配電系統故障導致設備斷電而造成的業務服務中斷;機房環控及報警系統缺失造成設備被盜、被損;電磁輻射可能造成重要數據的信息泄露或非法截獲;人為操作失誤或錯誤造成的系統宕機或數據庫信息丟失等。
1.2網絡安全風險
企業在網絡平臺建設的初期,安全意識不高,沒有從整體網絡與信息安全的角度出發進行統籌規劃,網絡與信息安全風險主要存在網絡結構風險、網絡邊界風險、入侵檢測風險、流量管理風險、遠程安全接入風險5個方面。網絡結構風險方面,企業網絡結構中缺少冗余設計,網絡中關鍵設備易形成單點故障,影響了整體網絡系統故障恢復的能力。網絡邊界風險方面,企業網絡系統中不同網絡區域間通信管控能力不足,數據的安全訪問不能得到有效控制,存在非法訪問的風險。入侵檢測風險方面,在企業局域網內缺少入侵檢測手段,無法對局域網內引發的網絡安全攻擊事件進行有效檢測與報警。入侵者通過滲透以獲取用戶系統控制權,并傳播木馬病毒形成僵尸網絡,甚至發起拒絕服務攻擊,使企業的業務服務面臨中斷風險。流量管理風險方面,企業用戶在網絡帶寬使用過程中,存在過度資源濫用情況,業務流量帶寬受到擠壓,帶寬使用效率大幅降低。遠程接入風險方面,企業網絡系統沒有采取可信認證與加密遠程接入的訪問機制,造成非可信身份訪問企業內部網絡,導致信息泄露風險。
1.3系統安全風險
系統安全風險一般指主機或終端自身系統防護能力不足導致容易發生病毒和惡意代碼攻擊、非法使用、數據截取等安全事件。系統安全風險主要包括身份認證風險、系統安全配置風險、系統漏洞風險、病毒和惡意代碼風險這4個方面。身份認證風險方面,企業在網絡系統中由于采用單一身份鑒別技術,導致攻擊者易假冒合法用戶獲得資源的訪問權限,對系統和數據安全造成威脅。系統漏洞與安全配置風險方面,由于系統補丁未得到及時更新,安全配置未能形成統一化、標準化安全部署,導致企業網絡與信息系統存在大量的安全盲點。病毒和惡意代碼風險方面,企業網絡中主機及終端系統中防病毒軟件升級滯后,導致防護軟件存在查殺能力不足,系統易受病毒和惡意代碼的攻擊。
1.4應用安全風險
應用安全風險涉及很多方面,并且與具體的應用有關。應用系統的安全是動態的、不斷變化的,需要我們針對不同的應用進行安全漏洞的檢測,從而采取相應的安全措施,降低應用的安全風險。應用安全風險主要包括文件及數據庫安全風險、病毒侵害風險、未經授權的訪問、數據信息篡改,破壞了數據的完整性等。
1.5管理安全風險
安全管理是網絡與信息安全得到保證的重要組成部分,從管理層面分析,管理安全風險主要包括:安全管理制度不夠健全,關鍵活動的審批流程未建立或不夠明確,導致責權不明;工作人員的操作權限缺乏合理的劃分與分配,操作混亂;網絡安全管理和技術人員缺乏必要的安全意識、安全知識和教育的培訓;安全管理體系有待健全和完善,在主動防范網絡與信息安全風險的管理手段有所不足,安全控制措施有待進一步有效發揮。從上述網絡與信息安全風險分析,由此所引發的安全事件,一般情況下將會導致網絡與信息系統在可用性、可靠性、可恢復性方面大幅下降。因此,針對安全風險制定切實可行的解決措施,提高網絡與信息安全的整體防護能力和水平,是保障企業網絡與信息系統安全穩定運行的關鍵所在。
2網絡與信息安全防護的主要措施
參照信息系統安全等級保護基本要求,根據網絡與信息安全建設存在的主要問題,切實結合企業自身實際需求,逐步建設形成多層保護、重點突出、持續運行的安全保障體系,將企業網絡與信息安全防護工作落實到建設、防護、管理等的各個環節,保障企業網絡與信息安全的整體性。因此,根據此主要思路提出保障企業網絡與信息安全的總體原則與主要措施意見。
2.1總體原則
1)統籌規劃,分步實施。建立健全完善企業網絡與信息整體安全防護體系是一項長期的系統工程,其所涉及到各層面、各系統的安全問題要在國家信息安全法律法規及標準規范框架內,根據對信息安全風險分析的綜合考慮進行統籌規劃,制定統一、完整、動態,可控的安全防護系統設計,分步驟、分階段的進行實施。
2)以用促建,合理投入。為保障企業網絡系統長期、安全、穩定運行,依據企業網絡不同時期所面臨威脅的嚴重程度,在考慮安全防護經費投入與數據及其應用系統防護價值的性價比基礎上實施安全防護體系的建設。安全設備在性能功能的選擇上,要安全適度,不盲目超前,既要滿足業務應用當前安全防護需求,又能適應未來安全防護的調整升級。
3)主動預防為主,應急恢復為輔。考慮到現代網絡安全防護的復雜性和多變性,企業網絡與信息安全防護,應以主動預防為主,盡量將安全隱患消除在安全事件發生之前。要提前制定好安全事件處理的應急預案,熟悉并掌握應對各種事件發生的安全措施及辦法,最大限度地降低安全事件的損失程度。
4)動態管理,持續改進。企業網絡與信息安全防護是一個動態的變化過程,要對安全風險實施動態管理,針對不斷出現的新的安全威脅與漏洞持續改進完善企業網絡安全措施,始終將網絡與信息安全風險控制在可接受的范圍。
2.2主要措施意見
1)合理劃分網絡安全區域。企業從整體網絡與信息安全角度出發,綜合分析網絡系統中存在的普遍問題,采取結構化網絡設計思想,結合網絡安全域劃分原則,對企業網絡系統進行合理的安全區域劃分。依據安全域劃分,建議采取相應的網絡邊界安全防護措施,實現網絡安全隔離,邊界間聯合防御,對病毒進行有效攔截及區域管控。在應對滲透攻擊方面也能積極起到縱深防御效果,完善企業網絡系統抗攻擊,抗風險的能力。
2)規范網絡資源的有效使用。規范企業網絡資源的有效使用,增強局域網終端用戶的安全審計,有效對網絡中的各種行為采取更加細粒度的安全識別和控制的措施。同時,可對網絡流量、終端上網行為進行實時分析和審計,做到有據可查。從而,有效優化網絡資源使用效率,幫助企業管理層全面了解網絡應用狀況與趨勢,增強網絡資源對企業業務服務提供強支撐能力。
3)增強終端用戶的網絡安全防護措施。增強企業網絡安全意識,提高終端用戶安全防護措施,采取網絡防病毒、終端安全核心配置等措施,通過安全策略的統一分發及部署,企業管理人員可全面直觀掌握網絡中的安全狀況,如終端漏洞、終端病毒、終端升級等情況一目了然。有助于管理人員提高企業安全風險分析的能力及快速解除安全威脅的響應能力。
4)創新開展具有自身特色的網絡運維管理服務新模式。面對信息化技術的飛速發展及網絡應用的不斷深入,在增強自身網絡安全意識的同時,應不斷學習新的防范技術,豐富防范手段;不斷借鑒成熟的技術成果,對照自身網絡特點,研究符合自身網絡安全防護技術,不斷深入實踐,總結經驗教訓,把技術理論與實踐經驗有效結合,創新開展具有自身特色的網絡運維管理服務新模式。
(湖州師范學院,浙江 湖州 313000)
摘要:大學生安全教育是高等教育的重要組成部分,隨著社會快速多元化發展、網絡尤其是無線網絡和移動終端的飛速普及以及學生層次質量等差距的進一步加大,對高校安全教育的形式、載體、內容及方法提出了更高的要求.深入研究大學生安全教育微課程資源的開發與應用,旨在提升高校安全教育工作的針對性、普及性和實效性.文章從微課程模式入手,對大學生安全教育資源的整合、平臺的建設進行了詳細分析,認為微課程資源的平臺功能應該包括核心教育服務、增值信息服務和在線互動服務等.
關鍵詞 :大學生;安全教育;微課程;應用
中圖分類號:G642文獻標識碼:A文章編號:1673-260X(2015)05-0222-02
大學生安全素養不僅是衡量學校安全教育質量的重要指標,也正成為高校文明程度的重要參考指數.大學生作為推動社會文明進步的主力軍,有必要進一步完善自身的安全知識體系和提高基本的安全防范技能.一方面,大學生在高中及以前的學習中多以文化知識為主,無更多時間更多精力深入細致地涉獵安全相關知識;另一方面,實現社會化是大學期間必須完成的任務,這一過程會面臨諸多安全隱患;另外大學生不單純是知識的學習者,而應該成為知識和技能的傳承者和傳播者,尤其是在安全教育領域,大學生應該充分發揮自身獨特的優勢.面對日趨復雜的社會環境,高校應該如何拓展安全教育領域,整合安全教育課程資源,搭建安全知識技能推廣平臺,以期進一步提高大學生安全素養,值得深入系統的研究.
1 理論綜述
作為一個新概念,微課程的定義在不斷演變和深化.微課程是以簡短、完整微型教學視頻為主要載體,針對某個學科知識點或教學環節而精心設計開發的一種以流媒體形式展示的半結構化、情景化、可動態生成與交互的課程資源.它可分為講授型、實驗型、答疑型、解題型等多種類別.微課程的核心內容是圍繞特定主題的教學視頻,同時還包含與該主題相關的學習指導單、教學設計(微教案)、素材課件(微課件)、練習測試(微測驗)、學生反饋(微反饋)、教師反思(微反思)等教學輔助資源.微課程具有主題明確、內容簡短、交互性強、模塊化、半結構化等特點.[1]金陵認為微課程這個術語并不是指為微型教學而開發的微內容,而是運用建構主義方法化成的、以在線學習或移動學習為目的的實際教學內容,是云計算、移動互聯環境下,有關單位課時教學活動的目標、任務、方法、資源、作業、互動、評價與反思等要素優化組合為一體的教學系統.[2]大學生安全教育內容廣泛、涉及面廣以及難成體系,與微課程具有形式多樣化、內容普及化、使用群體廣泛、渠道多樣、傳播效果裂變、交流互動及時等特點高度契合.最具代表性的微課程應用平臺是可汗學院(Khan Academy),該網站基于線上MOOC環境的建設,對安全教育微課程資源開發與應對具有很好的借鑒意義.
2 大學生安全教育微課程平臺的功能定位
大學生安全教育微課程平臺以其跨行業、跨地域、多學科交叉、技術密集、多方參與、系統擴展性強、開放性好的特點對大學生安全管理與教育構成了有力支持.教育部門可以利用大學生安全教育平臺豐富的資料庫以及開放性的互動平臺實現國家安全教育、治安安全教育、消防安全教育、交通安全教育、網絡安全教育、衛生安全教育、自然災害逃生教育等的信息化管理與服務.大學生安全教育平臺承擔安全管理過程中不同實體間的信息交換樞紐支持,提供多類核心信息服務及增值信息共享等功能服務,還提供在線互動交流功能等,詳見下圖:
其主要功能詮釋如下:
2.1 核心教育服務
包括國家安全教育、治安安全教育、消防安全教育、交通安全教育、網絡安全教育、衛生安全教育、自然災害逃生教育等,同時提供各類信息的實時查詢功能,實現信息共享與交互.其中國家安全教育主要包括維護國家安全、保守國家秘密、增強國防意識等;治安安全教育主要包括防盜搶、防詐騙、防滋擾、維護正常治安秩序等;消防安全教育主要包括消防基礎知識、高校典型的火災案例、如何防止火災事故發生、易燃易爆品保管和使用、火災的撲救與報警、疏散逃生技巧等;交通安全教育主要包括交通法律法規教育等;網絡安全教育主要包括網絡安全教育、網絡文明教育等;衛生安全教育主要包括衛生安全知識、身體健康知識、心理健康知識等;自然災害逃生教育主要包括地震、核輻射、雷電、洪水等.在核心教育服務模塊,平臺將采用文字、圖像、視頻等多樣的形式介紹各類安全教育知識和案例,避免安全知識與技能學習的單調性和枯燥性,增加其全面性及趣味性.
2.2 增值信息服務
包括專家在線講座、游戲模擬演練、實戰演練、工具下載、安全認證等,同時,平臺將實時提供最新的行業資訊、完善的政策法規及各類實用工具等相關信息,為教師與學生提供較為全面的安全教育增值服務,達到“一站式”服務的便捷高效.其中專家在線講座將根據實際情況定期邀請行業專家做客網站,為會員提供最新的安全教育等;游戲模擬演練將安全教育和網頁游戲相結合,堅持寓教于樂的理念,使枯燥而重要的安全教育娛樂化,讓用戶在玩中學到實用的減災防災技能,提高應對突發事故的能力等;目前大部分學生的安全意識及安全能力仍然只停留在表面,因此,平臺為一些學生提供參與安全實戰演練的機會,定期組織開展參觀各類安全主管部門,接受參加各類演練的預約,通過實戰提升學生的安全防范技能;對于網絡安全等方面,平臺將實時更新網絡安全的預防技巧及安全工具下載,確保學生掌握基本的網絡安全知識與技能等.
2.3 在線互動服務
包括智能搜索引擎服務、熱點問題深度剖析、專家在線咨詢服務及安全事件實時評論等功能,其中智能搜索引擎服務將根據用戶需求,為用戶提供最優學習套餐搭配及分級學習安全技能等服務;平臺將通過收集整理相關安全教育的信息數據,針對社會熱點問題邀請相關專家講師與學生互動交流,對其進行深度剖析,提升學生對安全問題的分析力等;專家在線咨詢服務將針對學生中出現的安全問題采取在線咨詢、排疑解難的方式幫助學生實時解答心理問題等;安全事件實時評論將針對突發的安全事件提供交流互動平臺,在分析事件本身的同時提升學生的安全意識和突發事件的應對能力.
3 大學生安全教育微課程平臺的邏輯構架——以消防安全教育為例
大學生安全教育微課程平臺提供一個統一的界面供用戶登陸,登陸之后,不同用戶進入不同的界面選擇自己需要的功能,整個網絡平臺的底層支持在于安全教育資源庫.
大學生安全教育網絡平臺中的消防子系統包括三個模塊:消防安全員模塊、會員模塊、管理員模塊.其中會員模塊除基本功能模塊外,還應包括增值信息服務模塊和在線互動模塊,以會員基本功能模塊為例,具體應包括以下四個部分:
3.1 檢查消除火災隱患的能力
第一,日常生活中的隱患檢查,如學生寢室內不能使用大功率用電器、使用臺燈要遠離易燃物、使用完電器應關閉電源、使用蚊香需擺放在開闊區域、不在宿舍內焚燒雜物等等.第二,新環境的消防檢查,如到賓館住宿首先要留意房間門后的疏散示意圖,到娛樂場所活動要檢查消防通道是否暢通,到大會堂或報告廳參加活動要確保“安全出口”指示燈正常工作且各安全出口處于開啟狀態,到大型超市等人員密集場所要留意消火栓和滅火器的位置.第三,工作中消防安全檢查,如下班后確保用電設備的電源均已關閉,工作環境內的消火栓能正常供水、水槍和水帶不缺少且能正常使用、滅火器數量和質量均能得到保證等.
3.2 組織撲救初起火災的能力
第一,認識火災,熟知火災的種類,掌握火災發展過程的時間與溫度關系圖,了解黃金的撲救時間是火災初起的七分鐘.第二,熟悉滅火器的類型和滅火器的使用方法.第三,熟知各類物質著火的應對方法,一旦出現火險知道如何應對,會使用滅火器,會報火警.
3.3 組織人員疏散逃生的能力
第一,各類滅火和應急疏散預案,如學生公寓、教室、實驗室、食堂、圖書館、大學生活動中心等地的滅火和應急疏散預案.第二,各類滅火和應急疏散預案的組織流程.第三,各類預案的模擬演練.
3.4 消防宣傳教育培訓的能力
第一,以職能部門的政策法規為主要內容,結合高校的實際情況對廣大師生進行宣傳教育.第二,以案例分析為載體,讓會員在分析案例的過程中找到應對各類消防事件的最佳途徑.第三,緊急情況下如何進行自救,如簡易防護法、結繩滑降法、休氏跳樓法、固守待援法等等.
如上所述的“四個能力”建設內容,可以通過漫畫、動畫、圖片、文字、視頻、游戲等形式,將教育內容具體化、趣味化.由于大學生安全教育平臺是一個非常復雜的學習支持與管理系統,對于在WEB環境下開展安全教育工作,尚處在探索階段,隨著教育信息化的發展,必將進一步摸索出更好的模式,網絡環境下的安全教育工作將成為高校安全教育的主流方式.
4 結束語
作為大學生安全教育的重要平臺,微課程將會發揮越來越重要的作用.隨著無線網絡和移動終端的普及以及APP技術的日臻完善,安全教育必將通過微課程模式在大學生的日常信息攝取中占到一席之地.學生可以通過這一形式的學習,為自己的大學生活及將來走向社會加上一道安全屏障.在社會向多元化高速發展的未來,安全教育微課程資源的開發與應用會變得更加重要,也會在更多人的關注和努力下日趨完善.
參考文獻:
2016年4月19日,主持召開網絡安全和信息化工作座談會并發表重要講話,對黨的十以來我國互聯網事業、網絡安全與信息化建設進行了系統闡釋、科學總結,提出了一系列凝聚中國智慧的新思想、新論斷,為我國建設網絡強國指明了方向。學習貫徹重要講話精神,我們必須堅持以人民為中心的發展思想,堅持貼近人民群眾,積極通過互聯網架起與人民群眾溝通的橋梁,更好地服務人民、造福人民。
規范網絡秩序,營造良好輿論環境
規范網絡秩序,營造良好輿論環境,是治國理政、定國安邦的大事。指出:“網絡空間是億萬民眾共同的精神家園。網絡空間天朗氣清、生態良好,符合人民利益。網絡空間烏煙瘴氣、生態惡化,不符合人民利益。”的講話,指出了當前網絡空間存在的問題和亟待改善的現象,蘊含著對廣大網民的期待。網絡不是法外之地,同樣需要建立良好的秩序。我們要一手抓正能量傳播,一手抓網絡生態治理,大力培育積極健康、向上向善的網絡空間文化,為廣大網民特別是青少年朋友營造一個風清氣正的網絡生態環境。
建設網絡城市,讓人民群眾有更多獲得感
近年來,國家對互聯網的重視程度前所未有,“互聯網+”、中國制造2025、創新創業、大數據等系列重大政策密集出臺。全面落實國家戰略,促進互聯網向更高目標、更深層次發展,是我們共同的使命和任務。我們要全面落實“寬帶中國”戰略,大力實施“提速降費”行動,創建“全光網”城市,實現全市所有區縣光纖網絡全覆蓋,不斷提升100M光纖接入能力覆蓋城市家庭比例,提升4G網絡服務能力,率先引入5G網絡部署,推進IPv6在LTE網絡中的部署應用。推動區域通信網絡資費改革,鼓勵民營企業參與寬帶建設運營,促進良性競爭,提升寬帶性價比,加強電信資費公示和監測,進一步完善流量跨月不清零、流量轉增等服務,讓用戶享受更多優惠,讓人民群眾有更多獲得感。
堅持多措并舉,強化網絡安全體系化建設
要圍繞網絡強國建設這一總目標,深入推進行業網絡與信息安全保障體系建設,不斷提升保障能力與工作水平。要堅持抓建重用,同步推進網絡與信息安全技術手段建設,進一步深化基礎電信企業安全責任考核,持續開展互聯網新技術新業務安全評估,實施打擊治理通訊信息詐騙等專項行動,提升行業信息安全保障能力。深入推進網絡基礎設施安全防護,深化網絡安全試點示范,加大對互聯網企業網絡安全監管力度,突出抓好網絡數據和用戶個人信息保護。深入開展不良網絡信息和網絡環境綜合治理,完善木馬僵尸網絡、移動互聯網惡意程序等網絡威脅專項治理,凈化網絡環境。提升突發網絡安全事件應急能力,指導企業定期組織培訓、應急預案評估、網絡安全應急演練,做好網絡安全支援保障。組織行業網絡安全知識技能培養和競賽,打造本地網絡安全人才隊伍。
z作者系市通管局副局長、市委網信辦副主任(兼){
就我國而言,在政府和行業企業的雙重推動下,信息化建設和信息通信產業發展取得了巨大的成就,信息通信網絡已經成為繼水、電、燃氣之外的關鍵國家基礎設施,而且信息和網絡在國家政治、經濟、文化、軍事等方面的戰略性地位日益突出。但與此同時,我們看到網絡空間安全威脅形態日趨復雜,相關利益主體也日趨多元,而且網絡空間安全與傳統政治、經濟、軍事安全緊密結合、相互轉化。于是我們發現,網絡安全事件頻發,網絡違法犯罪行為猖獗,新技術新業務快速發展引發的新型網絡安全問題不斷增加。
如工業和信息化部副部長尚冰所指出的,隨著網絡的IP化、寬帶化、智能化以及新技術新業務新業態的快速發展,網絡安全問題更加復雜,形勢依然嚴峻。網絡攻擊、信息竊取、病毒傳播等安全事件和違法犯罪活動多發頻發,社會各界和廣大用戶要求加強電信用戶信息保護的呼聲日益強烈,通信網絡仍然存在一些安全隱患和薄弱環節,核心技術與關鍵資源的自主可控能力不強,網絡安全方面的高精尖人才還比較缺乏,全社會網絡安全意識仍有待進一步提高。
兩大安全熱點
根據2012年中國計算機網絡安全年會所的信息,近年來,移動互聯網已經成為信息產業中發展最快、創新最活躍的領域,移動互聯網安全也已經成為當下的熱點領域之一。
寬帶無線通信技術的演進和移動智能終端的普及為移動互聯網的發展注入了強大的動力。移動支付、基于移動用戶位置信息的服務等各類創新應用不斷涌現,極大的豐富了用戶的業務體驗。移動智能終端、應用軟件和軟件商店的緊密結合,構成移動互聯網獨特的業務運營模式,深刻的影響著用戶的消費習慣和產業格局。與此同時,移動互聯網和智能終端的安全問題也備受關注。一方面互聯網上原有的惡意程序傳播、遠程控制、網絡攻擊等傳統網絡安全威脅向移動互聯網快速蔓延。另一方面移動互聯網終端與用戶利益密切相關,惡意吸費、用戶信息竊取、誘騙欺詐、網絡攻擊等惡意行為的影響和危害十分突出。
為什么移動互聯網會成為“罪魁禍首”呢?工業和信息化部通信保障局副局長熊四皓在大會上做了如下分析。最基本的一點是,作為移動通信和互聯網融合的產物,移動互聯網安全依然沒有可靠保證,其可信可管問題目前還無法從根本上解決。而且移動智能終端、操作系統和應用系統一直處于不斷地發展演進當中,自身安全和相關安全產業走向成熟還有很長的路。還有,智能終端存儲和計算能力以及與之對應的寬帶無線網絡的空中接口資源都非常有限,這使得安全防護的可擴展性大大降低。
除了移動互聯網安全,云計算的安全問題也備受關注。與移動互聯網安全不同的是,云計算面臨更多的信任性的安全問題而不是技術性問題。消費者或者企業對于云計算的擔心是“我們的數據放在第三方云服務提供商那里是否安全?獲取信息的過程是否安全?”的確,對于信息社會而言,“信息”是至關重要的。另一方面,云計算中的數據對于數據所有者以外的其他用戶云計算用戶是保密的,但是對于提供云計算的第三方服務提供商而言確實毫無秘密可言。這就像普通老百姓不能監聽別人的電話,但是在電信公司則可以隨時監聽任何電話。所有這些潛在的危險,是政府機構、商業機構乃至普通消費者在選擇云計算服務、特別是國外機構提供的云計算服務時,不得不考慮的一個現實問題。
誠信體系缺失
不管形勢如何變化,我國政府對網絡安全問題一直非常重視,也實施了一系列卓有成效的舉措。比如,工業和信息化部近幾年出臺了《通信網絡安全防護管理辦法》、《公共互聯網網絡安全應急預案》等一系列部門規章和政策性文件,制訂頒布了40多項網絡安全行業標準,基本建立了通信網絡安全管理制度框架,并建立了網絡安全分級響應機制。
同時,工業和信息化部對進一步做好網絡安全工作對信息通信行業提出五點要求:一是要進一步提高對網絡安全工作重要性、緊迫性、復雜性的認識,牢固樹立安全發展的理念,切實增強緊迫感和危機意識,落實安全責任和防范措施,加大人力物力投入,扎實有效地開展工作,為黨的“十”勝利召開提供有力保障。二是基礎運營企業、廣大互聯網企業以及網絡安全企業,要本著“積極防御、綜合防范”的原則,著眼于應對不斷升級的網絡安全威脅,大力加強網絡安全防護和應急能力建設,及時消除安全威脅和隱患,持續開展網絡安全環境治理,切實提高網絡安全防護水平。三是加強核心技術攻關和自主創新,加強網絡安全技術手段研發和建設工作,加快網絡安全管理和技術人才隊伍建設。四是全行業要在做好通信網絡安全工作的基礎上,發揮技術和業務優勢,積極為各級黨委、政府以及金融、交通、能源等重要信息系統提供網絡安全技術支撐,服務國家經濟社會發展,服務國家信息化建設。五是要深入推進網絡安全國內、國際交流與合作,樹立合作共贏意識,積極參與網絡安全技術和業務交流,借鑒有益經驗,共同應對網絡安全威脅和挑戰。
關鍵詞:證券行業信息安全網絡安全體系
近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3IT治理方面
整個證券業處于高度信息化的背景下,IT治理已直接影響到行業各公司實現戰略目標的可能性,良好的IT治理有助于增強公司靈活性和創新能力,規避IT風險。通過建立IT治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題,自我評估IT管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lT治理理念引入到我國證券行業,當前我國證券業企業的IT治理存在的問題:一是IT資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數指標;是lT治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5IT人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業IT隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有IT人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任,IT隊伍建設是行業信息安全IT作的根本保障。但是,IT人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業IT治理工作
2.2.1提高IT治理意識
中國證券業協會要進一步加強IT治理理念的教育宣傳工作,特別是對會員單位高層領導的IT治理培訓,將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識,提高他們IT治理的積極性。
2.2.2通過設立IT治理試點形成以點帶面的示范效應
根據IT治理模型的不同特點,建議證券公司在決策層使用CISR模型,通過成立lT治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以COBIT模型、ITFL模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lT試點單位,進行IT治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施IT治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
證券行業要采取切實可行的措施,建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來,加強lT人員的崗位技能培訓和業務培訓,注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念,行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系,對信息技術人員進行科學有效的考評,提升行業人才資源的優化配置和使用效率,促進技術人才結構的涮整和完善。
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管;②對信息系統中使用的信息安全產品實行按等級管理;③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據信息系統安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統一建設的應用系統進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》,加強桌面安全、網絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統的等級測評和安全建設整改工作,進一步提高信息系統的安全防御能力,提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后,聘請專業測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統持續安全穩定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網絡安全、容災等相關技術相互結合,建立統一的安全監控平臺和安全運行中心,實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍;采用集中管理、分級維護的管理模式,網絡與安全運維人員采用授權方式,持證上崗,建立網絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區公司的網絡安全風險評估工作。
(3)建立重要信息系統應急處置預案,完善災難恢復機制。2008 年,中國石油了《網絡與信息安全突發事件專項應急預案》,所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統,保障業務系統在遭遇突發事件時,能快速反應并恢復業務系統可用性。通過災難恢復項目研究,形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統災難恢復等級,完善了災難恢復機制。
(4)規劃信息安全運行中心,建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合,實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合,實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制,形成中國石油統一的應急指揮與協調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面,重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件,20余個重要行業出臺了40余份行業等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規劃;14個行業重要信息系統底數不清、安全保護狀況不明;12個行業未組織全行業信息安全專門業務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統規劃過程中,沒有認真制定安全策略和安全體系規劃,導致安全策略不得當;22%的信息系統網絡結構劃分不合理,核心業務區域部署位置不當,業務應用不合理,容易導致黑客入侵攻擊,造成網絡癱瘓,數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統安全加固和整改經費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面,有34.9%的信息系統沒有保護主機審計記錄,34.8%的信息系統沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統沒有采取監測重要服務器入侵行為的技術措施,容易使內部網絡感染病毒,對攻擊行為無法進行有效監測和處置。
(3)我國信息技術與國外存在一定差距,安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高,依賴國外產品的情況還比較普遍;國內信息安全專業化服務力量薄弱,安全服務能力不強,部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商,給重要信息系統安全留下了隱患。
為了有效提高我國企業信息安全水平,增加等級保護的可行性及執行力,建議:①各企業開展以信息安全等級保護為核心的安全防范工作,提高網絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產品化,重視產品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全,2012(1).
