企業(yè)信息安全保護(hù)范文

時(shí)間:2023-10-10 17:42:02

導(dǎo)語:如何才能寫好一篇企業(yè)信息安全保護(hù),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

篇1

【關(guān)鍵詞】電信企業(yè)、用戶信息、安全

【中圖分類號】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號】1672-5158(2013)01―0131―01

隨著信息爆炸時(shí)代的來臨和通信技術(shù)的快速發(fā)展,用戶的個(gè)人信息安全問題日益嚴(yán)重,信息泄露事件頻發(fā)。用戶信息一旦遭到泄露,將面臨信息曝光、垃圾短信、騷擾電話、電信欺詐甚至資金被盜等一系列風(fēng)險(xiǎn)。在此環(huán)境下,2012年“3.15”國際消費(fèi)者權(quán)益日的主題即為“消費(fèi)與安全”,新聞媒體也多次曝光了個(gè)別銀行、通信、快遞、醫(yī)院等行業(yè)不法人員泄露和出售客戶信息,給公眾造成巨大安全隱患的問題。由此可見,用戶信息安全已成為社會(huì)化和信息化快速發(fā)展進(jìn)程中的一個(gè)重要問題。

近年來國家也逐步加大了對個(gè)人信息安全的保護(hù)力度。一方面從立法上逐步加大了對個(gè)人信息安全的保障,在民事責(zé)任方面認(rèn)定用戶個(gè)人信息屬于個(gè)人隱私范疇,并在2009年通過的《侵權(quán)責(zé)任法》中明確將隱私權(quán)寫入了法律;在刑事責(zé)任方面,2009年頒布實(shí)施的《刑法修正案七》也新增了“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反國家規(guī)定,將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息,出售或者非法提供給他人,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處罰金。”“竊取或者以其他方法非法獲取上述信息,情節(jié)嚴(yán)重的,依照前款的規(guī)定處罰?!皢挝环盖皟煽钭锏?,對單位判處罰金,并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,依照各該款的規(guī)定處罰?!绷硪环矫?,公安部也在北京、河北等20個(gè)省市區(qū)開展嚴(yán)厲打擊侵害公民個(gè)人信息違法犯罪的專項(xiàng)行動(dòng),抓獲嫌疑人1000余名,挖出信息源頭44個(gè)。

電信行業(yè)一直是客戶信息安全保障的重點(diǎn)行業(yè)。作為電信運(yùn)營商,掌握著海量的用戶信息資源,尤其是2010年電話用戶實(shí)名登記工作推廣以來,運(yùn)營商掌握的用戶信息從數(shù)量和質(zhì)量上都得到了進(jìn)一步提升。一方面客戶信息真實(shí)、完善為電信企業(yè)向用戶提供個(gè)性化的服務(wù)提供了條件,也為通信安全提供了保障,但另一方面對電信運(yùn)營企業(yè)保障用戶的信息、通信安全也提出了更高的要求。筆者總結(jié)多年的電信企業(yè)客戶信息管理經(jīng)驗(yàn),借鑒先進(jìn)企業(yè)的管理方法,從明確電信用戶信鼠的范圍、電信用戶信息泄露的風(fēng)險(xiǎn)途徑、解決電信用戶信息安全的措施三個(gè)層面來探討如何保障電信用戶信息安全。

一、電信企業(yè)用戶信息包含的內(nèi)容

根據(jù)電信企業(yè)獲取客戶信息和提供通信服務(wù)的特點(diǎn),電信用戶信息應(yīng)是指個(gè)人與單位用戶的姓名或名稱、有效證件類型及證件號碼、住址(地址)、用戶號碼、聯(lián)系方式、繳費(fèi)賬戶、通話清單、終端信息以及單位用戶的組織架構(gòu)等基本信息、信息網(wǎng)絡(luò)建設(shè)等非通信的信息內(nèi)容。

二、電信企業(yè)用戶信息泄露的風(fēng)險(xiǎn)途徑

造成電信用戶信息泄露的風(fēng)險(xiǎn)主要是人員風(fēng)險(xiǎn)和系統(tǒng)風(fēng)險(xiǎn)。人員風(fēng)險(xiǎn)是指電信企業(yè)內(nèi)部和外部所有可以接觸到用戶信息的眾多人員泄露用戶信息的風(fēng)險(xiǎn)。企業(yè)內(nèi)部人員如營業(yè)人員、銷售人員、維護(hù)人員、客戶信息管理人員等;外部人員包括與電信企業(yè)合作的業(yè)務(wù)商、內(nèi)容提供商以及第三方維護(hù)人員等。

從系統(tǒng)風(fēng)險(xiǎn)上來講,由于電信企業(yè)IT系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)存在區(qū)域分散、數(shù)據(jù)分散、系統(tǒng)繁多、環(huán)境復(fù)雜等特點(diǎn),建設(shè)了包括BSS、客服、CRM等多個(gè)業(yè)務(wù)支撐系統(tǒng)和OA辦公系統(tǒng),各個(gè)系統(tǒng)上積累了大量的客戶信息和生產(chǎn)數(shù)據(jù)、運(yùn)營信息等,每個(gè)系統(tǒng)的人員根據(jù)“使用”和“維護(hù)”又分為不同的角色,這些系統(tǒng)的終端覆蓋了內(nèi)網(wǎng)和外網(wǎng)、計(jì)算機(jī)和移動(dòng)終端等多種形態(tài)的終端設(shè)備。由于這些特征的存在,電信企業(yè)客戶信息數(shù)據(jù)面臨著內(nèi)部和外部網(wǎng)絡(luò)的多重風(fēng)險(xiǎn)。

三、電信企業(yè)用戶信息安全保護(hù)的措施

保護(hù)電信客戶的信息安全,讓客戶享有安全、放心的通信服務(wù)是電信企業(yè)的責(zé)任和義務(wù)。筆者從通信行業(yè)服務(wù)角度來看,電信企業(yè)信息安全保障的關(guān)鍵需要從加強(qiáng)內(nèi)部管理、提升系統(tǒng)防范能力兩個(gè)方面得到提升。

(一)強(qiáng)化內(nèi)部管理,提升全員信息安全防范意識(shí)

首先作為電信企業(yè)要有大局意識(shí),應(yīng)自覺遵守國家的法律、法規(guī),嚴(yán)格執(zhí)行《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法(試行)》。將保障用戶信息安全納入企業(yè)的保密體系,建立完善的用戶信息安全管理制度,規(guī)范從業(yè)務(wù)受理、客戶服務(wù)、運(yùn)行維護(hù)、信息計(jì)費(fèi)、外部合作等涉及客戶信息的各個(gè)關(guān)鍵環(huán)節(jié)的業(yè)務(wù)操作流程和規(guī)章制度,構(gòu)建全面有效的用戶個(gè)人信息安全保護(hù)機(jī)制。比如要求營業(yè)和營銷人員不允許私自留存客戶信息;要求維護(hù)人員不允許私自下載和修改客戶信息;各系統(tǒng)賬號權(quán)限嚴(yán)格實(shí)施分級管理,不允許轉(zhuǎn)讓和越級使用;規(guī)范各類用戶信息的存儲(chǔ)介質(zhì)、存儲(chǔ)時(shí)限和銷毀方式,完善用戶資料銷毀管理制度和技術(shù)保障手段;針對外部商、合作單位要明確對用戶信息保密的業(yè)務(wù)和技術(shù)要求以及泄密后的相關(guān)處罰;定期開展用戶信息安全檢查,做到提前防范,最大限度保障用戶信息安全等。

另一方面企業(yè)要加強(qiáng)對企業(yè)員工的法制教育和思想政治教育,營造尊重和保護(hù)用戶信息安全的企業(yè)文化和經(jīng)營環(huán)境,提高全員的信息安全意識(shí)和法律意識(shí)。尤其是針對能夠接觸到用戶信息的員工、外包人員、商及合作單位的從業(yè)人員要與企業(yè)簽訂保密責(zé)任書,經(jīng)常性地組織開展案例教育、警示教育、相關(guān)法規(guī)和業(yè)務(wù)規(guī)范的考核等,提高從業(yè)人員的覺悟和防范意識(shí)。

(二)提高技術(shù)防控手段,提升系統(tǒng)防范能力

完善電信企業(yè)IT系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)的安全建設(shè),構(gòu)建用戶信息數(shù)據(jù)保密體系,精確定位用戶信息泄露風(fēng)險(xiǎn),從外部和內(nèi)部防范兩方面提升系統(tǒng)的防范能力。

首先是做好外部防范,由于電信企業(yè)IT系統(tǒng)業(yè)務(wù)平臺(tái)繁雜,接入終端種類多,要保證各類終端和網(wǎng)絡(luò)安全地接入到業(yè)務(wù)系統(tǒng)中,就要不斷完善信息系統(tǒng)安全設(shè)備如防火墻、入侵檢測系統(tǒng)、病毒防護(hù)系統(tǒng)、認(rèn)證系統(tǒng)等性能,對可訪問系統(tǒng)的計(jì)算機(jī)及移動(dòng)終端等必須實(shí)施安全認(rèn)證和安全策略防護(hù),實(shí)現(xiàn)對用戶信息的“區(qū)域外保護(hù)”,嚴(yán)格防范黑客和外部不法人員竊取用戶信息。其次,由于大部分用戶信息泄露案件都是內(nèi)部人員制造,加強(qiáng)內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)防范更加重要。一方面要加強(qiáng)系統(tǒng)的認(rèn)證安全能力和網(wǎng)絡(luò)賬號權(quán)限分級管控體系,加強(qiáng)對登陸人員的身份和權(quán)限核實(shí),對于無論從業(yè)務(wù)平臺(tái)或后臺(tái)數(shù)據(jù)庫查閱和下載用戶的信息情況系統(tǒng)都要有完整的日志記錄;另一方面,如果用戶信息未經(jīng)加密安全處理,一旦下載存儲(chǔ)到計(jì)算機(jī)上系統(tǒng)將失去監(jiān)控權(quán),有可能會(huì)造成信息恣意傳播而無法找到源頭,因此系統(tǒng)應(yīng)自動(dòng)實(shí)現(xiàn)數(shù)據(jù)落地加密及權(quán)限控制,同時(shí)對下載終端加強(qiáng)安全策略認(rèn)證,提高下載用戶信息的安全度。

篇2

關(guān)鍵詞: 信息系統(tǒng);等級保護(hù);安全域;桌面域

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號:1671-7597(2011)1210043-02

0 前言

隨著信息化建設(shè)不斷深入,信息技術(shù)應(yīng)用已滲透到企業(yè)的每一項(xiàng)業(yè)務(wù),業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高,其基礎(chǔ)性、全局性、全員性作用日益增強(qiáng)。信息化是一把“雙刃劍”,在為企業(yè)帶來提高工作效率和管理水平、增強(qiáng)競爭能力等益處的同時(shí),也為企業(yè)帶來了安全風(fēng)險(xiǎn),安全風(fēng)險(xiǎn)與信息化水平的提高同步增長。提升企業(yè)信息系統(tǒng)安全防護(hù)能力,保障系統(tǒng)信息安全,同時(shí)滿足國家等級保護(hù)的合規(guī)性要求,成為信息化工作的新任務(wù)。信息系統(tǒng)安全防護(hù)架構(gòu)設(shè)計(jì)思路為“分區(qū)、分層、分級、分域”的綜合防御體系。將信息管理信息網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng),根據(jù)業(yè)務(wù)重要和社會(huì)影響劃分了若干三級保護(hù)系統(tǒng)和二級保護(hù)系統(tǒng),三級系統(tǒng)獨(dú)立分域,其余二級系統(tǒng)統(tǒng)一成域,不同的安全域,從邊界安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全等方面明確了防護(hù)要求。在防護(hù)體系中,桌面終端域作為一種特殊的域?!翱傮w防護(hù)方案”對桌面終端域提出了“終端安全管理”和“網(wǎng)絡(luò)準(zhǔn)入控制”的要求,需要重點(diǎn)關(guān)注和分析。

1 獨(dú)立成域業(yè)務(wù)之間的橫向隔離

從等級保護(hù)建設(shè)的實(shí)際情況來看,三級要求的其他技術(shù)手段可以依托于設(shè)備和基礎(chǔ)方案來實(shí)現(xiàn)合規(guī)性建設(shè)。目前,棘手的問題是如何實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)端到端的安全隔離,以及桌面域用戶如何在多個(gè)業(yè)務(wù)域隔離的情況下實(shí)現(xiàn)安全有效的互訪,既要實(shí)現(xiàn)業(yè)務(wù)隔離,確保業(yè)務(wù)的端到端訪問路徑有效隔離,又要充分節(jié)省桌面域內(nèi)終端計(jì)算機(jī)的復(fù)用投資。

1.1 隔離的必要性和充分性

從業(yè)務(wù)訪問路徑上來看,主要是桌面主機(jī)通過網(wǎng)絡(luò)通道訪問應(yīng)用系統(tǒng),通過網(wǎng)絡(luò)隔離措施對不同的應(yīng)用、業(yè)務(wù)和群組用戶進(jìn)行安全隔離,提高數(shù)據(jù)傳輸?shù)谋C苄院桶踩?,為用戶業(yè)務(wù)傳輸提供端到端的安全保證。

現(xiàn)有的網(wǎng)絡(luò)隔離措施在兩個(gè)安全區(qū)域間的有效控制互訪上面較為全面和細(xì)致,但是要完成等級保護(hù)建設(shè)的要求,必須針對訪問路徑的各個(gè)關(guān)鍵節(jié)點(diǎn),都能進(jìn)行有效的訪問控制。網(wǎng)絡(luò)發(fā)展的趨勢是資源的集中與基礎(chǔ)設(shè)施的復(fù)用,在此之上虛擬化技術(shù)以1臺(tái)物理設(shè)備對應(yīng)多個(gè)邏輯設(shè)備的優(yōu)越特點(diǎn)越來越多地被考慮到,對應(yīng)到電力等級保護(hù)的建設(shè)要求,必須針對多種不同業(yè)務(wù)實(shí)現(xiàn)虛擬化技術(shù)基礎(chǔ)上的多通道隔離,特別是針對現(xiàn)有的數(shù)據(jù)大集中以后,在數(shù)據(jù)中心層面,如何實(shí)現(xiàn)隔離,也是端到端隔離技術(shù)選擇上需要重點(diǎn)考慮的問題。

1.2 幾種隔離技術(shù)的對比

虛擬局域網(wǎng)VLAN(Virtual Local Area Net-work)是現(xiàn)有局域網(wǎng)中最常用的隔離技術(shù)。VLAN適合小型網(wǎng)絡(luò)用戶邏輯隔離,但VLAN的廣播域占用帶寬資源,鏈路利用率低;二層網(wǎng)絡(luò)不適合大規(guī)模應(yīng)用,網(wǎng)絡(luò)收斂速度慢,需要配置較多的二層特性,配置管理相對復(fù)雜。是一種最基本最常用的隔離方式,廣泛應(yīng)用于網(wǎng)絡(luò)接入層。

分布式訪問控制列表ACL(Access ControlList)是另一種常見的隔離技術(shù),適合一些規(guī)模不大的組網(wǎng)使用,需要嚴(yán)密地策略控制,配置管理復(fù)雜,無法提供端到端的隔離,業(yè)務(wù)或網(wǎng)絡(luò)調(diào)整時(shí)需要更改大量配置,并且嚴(yán)格限制可移動(dòng)性。常見的防火墻采用的就是這種方式。

多協(xié)議標(biāo)簽交換MPLS VPN(MultiprotocolLabel Switching Virtual Private Network)是一種在大型園區(qū)網(wǎng)和廣域網(wǎng)內(nèi)被普遍使用的隔離技術(shù),支持園區(qū)內(nèi)用戶群組互訪應(yīng)用,能夠提供安全的端到端業(yè)務(wù)隔離,接入方式靈活,適合大規(guī)模網(wǎng)絡(luò)應(yīng)用,可擴(kuò)展性好,具有良好的可移動(dòng)性。但其要求設(shè)備支持VRF(VPN Routing Forwarding)/MPLS VPN,實(shí)際上主要依賴于核心交換機(jī)和骨干網(wǎng)路由器實(shí)現(xiàn)。

還有一些隔離技術(shù)本次不會(huì)考慮到,比如說,采用網(wǎng)閘進(jìn)行物理隔離,采用入侵防御系統(tǒng)IPS(Intrusion Prevention System)等進(jìn)行應(yīng)用層安全隔離等。上述3種隔離技術(shù)在不同的應(yīng)用場景下,都有不可取代的作用,在選用過程中,需要綜合考慮部署位置、部署靈活性以及隔離目標(biāo)的達(dá)成性。

1.3 端到端的業(yè)務(wù)邏輯隔離方案

分析現(xiàn)有業(yè)務(wù)域劃分的特點(diǎn),可以看到,幾個(gè)三級域都有跨廣域傳輸,且在局域網(wǎng)內(nèi)使用過程中接入層角色不區(qū)分,數(shù)據(jù)中心級應(yīng)用業(yè)務(wù)角色不區(qū)分。這就意味著端到端隔離的可行方案必須是一個(gè)綜合性的隔離方案,在原有各自為政的隔離基礎(chǔ)上,要實(shí)現(xiàn)動(dòng)態(tài)配置可調(diào)整,以便適應(yīng)同一個(gè)物理通道被多個(gè)邏輯業(yè)務(wù)所使用。各個(gè)隔離技術(shù)的部署位置如圖1所示。

圖1 獨(dú)立成域的業(yè)務(wù)系統(tǒng)間隔離示意圖

接入層各主機(jī)采用VLAN方式接入,以不同的VLAN號區(qū)分不同的業(yè)務(wù),在匯聚層或核心層將VLAN與虛擬路由轉(zhuǎn)發(fā)VRF技術(shù)做一個(gè)映射,在跨廣域傳輸中以VRF來區(qū)別不同業(yè)務(wù),在數(shù)據(jù)中心前端,通過多實(shí)例用戶網(wǎng)絡(luò)邊界設(shè)備MCE(Multi-VPN-Instance Customer Edge)連接技術(shù),實(shí)現(xiàn)對不同來自VRF業(yè)務(wù)的安全策略控制,再以映射VLAN的方式訪問服務(wù)器資源。

整個(gè)過程中,廣域網(wǎng)VPN和數(shù)據(jù)中心VLAN可以一次配置后不需要調(diào)整,只需要調(diào)整映射關(guān)系即可,接入層VLAN作為選擇業(yè)務(wù)的發(fā)起者,需要實(shí)現(xiàn)對業(yè)務(wù)應(yīng)用的智能識(shí)別和控制。

2 桌面域多用戶角色處理

網(wǎng)絡(luò)縱向邏輯隔離實(shí)現(xiàn)后,桌面域主機(jī)如何有控制地分別接入的不同業(yè)務(wù)域,成為實(shí)現(xiàn)端到端業(yè)務(wù)縱向隔離的關(guān)鍵。

2.1 桌面域接入網(wǎng)絡(luò)面臨的挑戰(zhàn)

等級保護(hù)屬于強(qiáng)制業(yè)務(wù)分區(qū)方式,三級業(yè)務(wù)完全隔離雖尚未有強(qiáng)制到桌面主機(jī)多機(jī)隔離的要求,但是必須確保同一個(gè)主機(jī)在滿足三級接入要求的前提下能夠同時(shí)以多個(gè)業(yè)務(wù)域主機(jī)的角色存在,所以,業(yè)務(wù)域的標(biāo)記和識(shí)別是接入層最重要的工作。現(xiàn)有的網(wǎng)絡(luò)終端準(zhǔn)入系統(tǒng)常見的功能是用戶終端試圖接入網(wǎng)絡(luò)時(shí),首先通過安全客戶端進(jìn)行用戶身份認(rèn)證,非法用戶將被拒絕接入網(wǎng)絡(luò);合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證,由安全策略服務(wù)器驗(yàn)證補(bǔ)丁版本、病毒庫版本是否合格,不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū);進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫的升級,直到安全狀態(tài)合格,安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置,并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

分析現(xiàn)有的桌面域準(zhǔn)入控制系統(tǒng),可以發(fā)現(xiàn)用戶的接入方式802.1x、門戶單點(diǎn)、VPN、無線局域網(wǎng)等,認(rèn)證因子有用戶名+密碼、軟證書、硬證書等,認(rèn)證可動(dòng)態(tài)下發(fā)的安全策略有VLAN、ACL,其中ACL與接入層設(shè)備強(qiáng)相關(guān)。

由于業(yè)務(wù)接入的方式多種多樣,在接入方式尚不具備區(qū)分性,認(rèn)證因子上如果選擇差異化較大的用戶名及登錄屬性,則會(huì)大大增加主機(jī)側(cè)的難度,需要以一個(gè)合理的方式表示出本次登錄用戶希望使用的是某個(gè)業(yè)務(wù)。

2.2 多角色主機(jī)解決方案

綜合考慮多種實(shí)現(xiàn)方式,選擇用戶名結(jié)合域名拼接的方式進(jìn)行認(rèn)證,由認(rèn)證服務(wù)器配合進(jìn)行用戶名和域名的獨(dú)立解析,然后下發(fā)動(dòng)態(tài)的設(shè)備配置到主機(jī)所接入的交換機(jī)的對應(yīng)端口,用戶認(rèn)證通過后即實(shí)現(xiàn)了相應(yīng)業(yè)務(wù)域資源的訪問,如圖2所示。

圖2 多角色主機(jī)登錄認(rèn)證示意圖

在圖2中,用戶唯一,但通過后綴實(shí)現(xiàn)同一賬號在各個(gè)業(yè)務(wù)域內(nèi)安全接入,通過身份實(shí)現(xiàn)控制權(quán)限動(dòng)態(tài)下發(fā)ACL或VALN。

無論是ACL方式下發(fā)的,還是VLAN方式下發(fā)的,最終都可以映射到廣域網(wǎng)縱向隔離的MPLSVPN中去,所以也就完成了端到端業(yè)務(wù)發(fā)起者的業(yè)務(wù)動(dòng)態(tài)識(shí)別和標(biāo)記工作。

3 等級保護(hù)安全域隔離需考慮的其他問題

等級保護(hù)業(yè)務(wù)安全域隔離的問題在具體實(shí)施過程中應(yīng)注意以下幾個(gè)關(guān)鍵要素。

1)接入層設(shè)備與網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的配合上,必須支持ACL和VLAN的動(dòng)態(tài)下發(fā)。

2)在匯聚設(shè)備或核心設(shè)備上,支持VLAN和ACL到MPLS VPN的VRF的映射的配置,以便能夠?qū)崿F(xiàn)接入層到廣域傳輸層的對接。

3)在數(shù)據(jù)中心服務(wù)器前端,部署的安全設(shè)備必須支持MPLS VPN組網(wǎng)下的MCE功能,支持虛擬防火墻功能。

4 結(jié)束語

等級保護(hù)建設(shè)從根本意義上是合規(guī)性建設(shè),一方面要充分利用現(xiàn)有的設(shè)備和技術(shù)手段解決問題;另一方面要針對多業(yè)務(wù)安全域間條塊化隔離和多角色主機(jī)復(fù)用問題,通過原有技術(shù)手段的進(jìn)一步組合和創(chuàng)新性方案的提出,在生產(chǎn)中解決這些問題。虛擬化資源動(dòng)態(tài)分配和桌面終端的一機(jī)多域的解決方案,可充分地利用現(xiàn)有的技術(shù)隔離措施以及設(shè)備,實(shí)現(xiàn)端到端的策略對接,多角色主機(jī)接入。

參考文獻(xiàn):

[1]郭護(hù)林,企業(yè)網(wǎng)絡(luò)信息安全分析[J].計(jì)算機(jī)安全,2002.

[2]閆斌、曲俊華、齊林海,電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J].計(jì)算機(jī)安全,2003.

[3]朱貴強(qiáng),論企業(yè)網(wǎng)絡(luò)信息安全管理,2005.

篇3

隨著我國信息化應(yīng)用的深入發(fā)展,信息技術(shù)和設(shè)備在各行各業(yè)中都得到了廣泛應(yīng)用。當(dāng)前,借助信息化手段打造的智能化電網(wǎng)正在我國電力企業(yè)中發(fā)展壯大,電力企業(yè)已經(jīng)基本上實(shí)現(xiàn)了信息化和自動(dòng)化,而信息安全問題在信息化應(yīng)用過程中也日趨突出。如果電力企業(yè)核心業(yè)務(wù)系統(tǒng)發(fā)生信息安全事件,勢必會(huì)對電力系統(tǒng)的穩(wěn)定運(yùn)行造成影響,一旦電力系統(tǒng)癱瘓,就會(huì)給國家造成不可估量的經(jīng)濟(jì)損失,以及負(fù)面的社會(huì)影響。所以電力企業(yè)必須加強(qiáng)信息安全管理,國家層面及行業(yè)內(nèi)部均出臺(tái)了相關(guān)的信息安全管理要求,其目的都是確保各類重要信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

1信息安全等級保護(hù)

1.1信息安全保護(hù)等級劃分

依據(jù)國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008),電力行業(yè)內(nèi)部出臺(tái)了《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》(電監(jiān)信息〔2012〕62號)。從相關(guān)標(biāo)準(zhǔn)中可知信息系統(tǒng)的安全保護(hù)等級主要有2個(gè)要素決定:一是系統(tǒng)受到破壞后所侵害到的客體范圍,這里的客體主要包括公民、法人和其他組織的合法權(quán)益;社會(huì)秩序、公共利益;國家安全等。侵害客體范圍越大,級別越高其保護(hù)等級也越高。二是系統(tǒng)受到破壞后對客體造成的損害程度,主要有三種認(rèn)定,即一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害。程度越深保護(hù)等級越高。根據(jù)定級要求,安全保護(hù)等級被分為以下5個(gè)等級。第一級:用戶自主保護(hù)級的信息系統(tǒng)受到破壞,這可能會(huì)在一定程度上造成當(dāng)事人和其所在的組織的利益受損,但是對于國家的安全、集體的利益以及社會(huì)穩(wěn)定的發(fā)展并未造成較大的損傷。第二級:系統(tǒng)審計(jì)保護(hù)級的信息系統(tǒng)受到破壞,該情況可能會(huì)對當(dāng)事人所在的組織與人民群眾的切身利益受到較大程度的損失,同時(shí)也影響了集體的利益與社會(huì)的安定團(tuán)結(jié),但是并未對國家安全產(chǎn)生影響。第三級:安全標(biāo)記保護(hù)級的信息系統(tǒng)受到破壞,在這種情況下集體利益和整個(gè)社會(huì)的安全穩(wěn)定遭受到了重大程度上的損傷,此外該等級有著與系統(tǒng)審計(jì)保護(hù)級相類似的全部信息的保護(hù)功能,它在此基礎(chǔ)上會(huì)強(qiáng)制對于系統(tǒng)檢查并記錄相關(guān)內(nèi)容,主要監(jiān)控和檢查的是訪問者與被訪問的對象。第四級:結(jié)構(gòu)化保護(hù)級的信息系統(tǒng)受到破壞,該情況可能會(huì)對人民群眾的切身利益以及一些機(jī)構(gòu)組織帶來不利的影響,此外還對國家的安全、集體的利益以及整個(gè)社會(huì)的安定團(tuán)結(jié)帶來重大的損失。第五級:訪問驗(yàn)證保護(hù)級的信息系統(tǒng)受到破壞,在這種情況下的國家安全將會(huì)受到極其惡劣和嚴(yán)重的影響。

1.2信息安全等級定級

(1)安全保護(hù)等級依據(jù)相應(yīng)的政策與規(guī)定進(jìn)行定級相應(yīng)的政策與規(guī)定指的是《信息系統(tǒng)安全等級保護(hù)基本要求》的國家標(biāo)準(zhǔn)和《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》的行業(yè)標(biāo)準(zhǔn),在安全防護(hù)信息的過程中,諸如一些國家機(jī)關(guān)、重點(diǎn)的科研單位以及國防部等特殊機(jī)構(gòu)的信息系統(tǒng)應(yīng)當(dāng)進(jìn)行特殊的保護(hù)與相應(yīng)的隔離。這些系統(tǒng)應(yīng)該進(jìn)行特別嚴(yán)格的對待,需要依據(jù)防護(hù)信息安全等級中的相應(yīng)法律法規(guī)與政策的規(guī)定,從而對于系統(tǒng)進(jìn)行監(jiān)控和防護(hù)。

(2)安全保護(hù)等級依據(jù)需要保護(hù)的數(shù)據(jù)的價(jià)值進(jìn)行定級依據(jù)需要被保護(hù)的信息類別與所存在價(jià)值的不同,進(jìn)而設(shè)置出不同的防護(hù)安全等級。這樣可以在保護(hù)信息安全的同時(shí)還能夠最大程度降低所投入的運(yùn)作。從信息安全保護(hù)等級的劃分情況及電力企業(yè)的屬地等級及重要程度來看,電力企業(yè)中各類業(yè)務(wù)信息系統(tǒng)的保護(hù)定級一般會(huì)在第二級到第四級之間。電力信息系統(tǒng)的安全等級防護(hù)及其要求的重點(diǎn)對象是防護(hù)信息系統(tǒng)等級在三級和三級以上的系統(tǒng),其實(shí)質(zhì)主要是監(jiān)督檢查級與強(qiáng)制監(jiān)督檢查級。

2電力信息系統(tǒng)的安全等級防護(hù)及其要求

安全等級防護(hù)主要具備以下幾個(gè)作用:一是幫助企業(yè)有效地防止外部勢力和企業(yè)內(nèi)部人員對系統(tǒng)造成破壞;二是針對安全事件進(jìn)行性質(zhì)審查和等級確認(rèn);三是幫助企業(yè)抵制所面對的可能會(huì)破壞系統(tǒng)的行為;四是對于違法違規(guī)的行為能夠進(jìn)行審核和追查。電力信息系統(tǒng)安全等級防護(hù)及其要求涉及了電力生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng),但重點(diǎn)則是以電力生產(chǎn)控制系統(tǒng)的安全防護(hù)為主,如若電力生產(chǎn)控制系統(tǒng)遭受攻擊,將引發(fā)電網(wǎng)事故。所以電力企業(yè)在電力生產(chǎn)控制系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)階段就要加強(qiáng)安全防護(hù)審核,新建或改造系統(tǒng)投運(yùn)前需通過安全等保測評。系統(tǒng)投運(yùn)后需將安全防護(hù)納入日常運(yùn)行監(jiān)視和管理范圍,建立專項(xiàng)應(yīng)急機(jī)制和預(yù)案,當(dāng)發(fā)生信息安全事件時(shí),采取應(yīng)急防護(hù)措施,防止事態(tài)擴(kuò)大。

3信息安全等級保護(hù)的方式

信息安全等級保護(hù)的方式主要有以下三方面:

3.1物理安全保護(hù)方面

物理安全保護(hù)主要從系統(tǒng)運(yùn)行環(huán)境進(jìn)行安全管理控制:對主機(jī)房等設(shè)備運(yùn)行環(huán)境進(jìn)行安全防范管理。利用較為先進(jìn)的技術(shù)和設(shè)備實(shí)現(xiàn)對重要信息設(shè)備進(jìn)行不間斷電源、防塵、防震、防火、防盜、防雷、防靜電、溫濕度控制、電磁屏蔽防護(hù)、數(shù)據(jù)備份及防泄露等方面的防護(hù),確保各類信息設(shè)備的安全穩(wěn)定運(yùn)行。由此可看出,物理安全保護(hù)的目標(biāo)就是為信息系統(tǒng)設(shè)備提供安全穩(wěn)定的運(yùn)行環(huán)境。

3.2主機(jī)安全保護(hù)方面

主機(jī)安全保護(hù)主要從主機(jī)安全運(yùn)行進(jìn)行安全管理配置:主要對主機(jī)中運(yùn)行的操作系統(tǒng)、數(shù)據(jù)庫、中間件及其它應(yīng)用系統(tǒng)的安全運(yùn)行進(jìn)行配置管理。具體要求主要有身份鑒別、訪問控制、安全審計(jì)、安全標(biāo)記、剩余信息保護(hù)、入侵防范、惡意代碼防范、可信路徑、資源控制等安全配置要求。主機(jī)作為承載信息系統(tǒng)的主體,也是信息系統(tǒng)安全保護(hù)的主體。

3.3網(wǎng)絡(luò)安全保護(hù)方面

網(wǎng)絡(luò)安全保護(hù)主要對網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)通信(訪問)進(jìn)行安全管理:主要通過對網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、安全審計(jì)、邊界安全管理、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備安全配置等安全管理審查項(xiàng)進(jìn)行全面審查,從而確保信息網(wǎng)絡(luò)的安全可靠運(yùn)行。

4電力信息系統(tǒng)等級保護(hù)策略

電力企業(yè)信息系統(tǒng)安全等級保護(hù)工作關(guān)系著電力系統(tǒng)的安全穩(wěn)定運(yùn)行,加強(qiáng)信息系統(tǒng)安全等級保護(hù)是電力企業(yè)信息管理工作的工作重點(diǎn),主要有以下幾項(xiàng)關(guān)鍵點(diǎn),通過相關(guān)保護(hù)措施、策略加強(qiáng)信息安全等級保護(hù)工作:

4.1信息系統(tǒng)分級統(tǒng)一保護(hù)措施

電力企業(yè)擁有各種不同業(yè)務(wù)功能的業(yè)務(wù)系統(tǒng),這此信息系統(tǒng)大多分屬于第二級到第四級的安全級別,不同的安全級別其安全要求和保護(hù)強(qiáng)度都不相同,這就要求電力企業(yè)在每個(gè)信息系統(tǒng)新建時(shí)便根據(jù)信息系統(tǒng)分級劃分標(biāo)準(zhǔn)進(jìn)行等級保護(hù)定級。根據(jù)各個(gè)信息系統(tǒng)的定級情況,將同等級信息系統(tǒng)納入相同的安全管理區(qū)域進(jìn)行統(tǒng)一管理,確保各個(gè)信息系統(tǒng)都能全面按照相應(yīng)等級保護(hù)要求進(jìn)行安全管控,從而有效提升各信息系統(tǒng)的安全管理水平。

4.2信息安全定期檢查及應(yīng)急演練

這里的檢查不僅指上級單位的安全檢查,還包括信息系統(tǒng)運(yùn)營單位的安全自查。對于不同安全等級保護(hù)措施的信息系統(tǒng),需要根據(jù)等級保護(hù)的管理規(guī)范進(jìn)行檢查評估,一旦發(fā)現(xiàn)問題立馬進(jìn)行整改,從本質(zhì)上加固信息系統(tǒng)安全配置,提升信息系統(tǒng)安全防護(hù)水平。對于不同等級的信息系統(tǒng),應(yīng)制定不同時(shí)間段的定期檢查計(jì)劃及應(yīng)急演練計(jì)劃,通過應(yīng)急演練模擬突發(fā)安全事件時(shí)信息系統(tǒng)可能發(fā)生的各類安全問題,信息系統(tǒng)管理人員按照應(yīng)急預(yù)案開展應(yīng)急處置,以此驗(yàn)證應(yīng)急預(yù)案的正確性,并提升信息系統(tǒng)管理人員的應(yīng)急處置能力,進(jìn)而確保信息系統(tǒng)在發(fā)生安全事件時(shí),能夠在最短時(shí)間內(nèi)將事件影響降低到盡可能小的范圍內(nèi)。

4.3信息安全保障體系的建立與落實(shí)

通過信息安全保障體系的建設(shè)可以用來提高源于人、管理以及技術(shù)三方面所形成的預(yù)防能力、防護(hù)能力等各類提升系統(tǒng)安全的能力,可以使信息系統(tǒng)安全管控作業(yè)實(shí)現(xiàn)規(guī)范化、標(biāo)準(zhǔn)化和常態(tài)化的管理,實(shí)現(xiàn)對信息系統(tǒng)的安全屬性、功能應(yīng)用以及服務(wù)效率上開展動(dòng)態(tài)保護(hù),所謂安全屬性指的是信息系統(tǒng)和它的基礎(chǔ)網(wǎng)絡(luò)的真實(shí)可用性、完整保密性等安全屬性。通過信息安全保障體系的落實(shí),使信息系統(tǒng)安全管理工作以更加具體的作業(yè)操作方式呈現(xiàn),從而使信息安全管理工作更加具體化,在確保信息系統(tǒng)安全穩(wěn)定運(yùn)行的同時(shí)促進(jìn)了電力企業(yè)對信息安全作業(yè)的管控。

參考文獻(xiàn)

[1]朱世順.電力生產(chǎn)控制系統(tǒng)信息安全等級保護(hù)研究[J].電力信息化,2012.

篇4

    范的遵循、通過一些技術(shù)手段能夠給予解決。

    其次是規(guī)范,目前國家對于不同的行業(yè)有分級保護(hù)、等級保護(hù)制度,明確了對系統(tǒng)及管理的安全保護(hù)要求。企業(yè)也有一些合規(guī)性法案要求、在進(jìn)行系統(tǒng)規(guī)劃和建設(shè)的同時(shí),應(yīng)將信息安全的保護(hù)措施作為必要的內(nèi)容進(jìn)行考慮。

    最后是技術(shù),當(dāng)前針對數(shù)據(jù)加密和文檔防泄密保護(hù)、行為審計(jì)等安全問題都有一些成熟可用的解決方案,無論是政府部門還是企業(yè)都可以采用一些技術(shù)手段來和管理需求結(jié)合,降低信息安全引發(fā)的風(fēng)險(xiǎn)。

    文檔泄密的主要途徑

    據(jù)了解,大量文檔信息泄密事件的出現(xiàn)主要有兩方面的原因:首先是大量的信息安全事件,呈現(xiàn)出商業(yè)利益驅(qū)動(dòng)的現(xiàn)象。不論是木馬病毒的黑色產(chǎn)業(yè)鏈,還是銀行系統(tǒng)內(nèi)部人員的儲(chǔ)戶信息主動(dòng)泄密,都有后面的商業(yè)利益驅(qū)動(dòng)。而且隨著商業(yè)環(huán)境競爭的日益激烈,這種信息安全的威脅還會(huì)持續(xù)和加劇。

    其次,信息泄密在向更加專業(yè)化犯罪的趨勢發(fā)展。從木馬病毒、釣魚網(wǎng)站的不斷出現(xiàn),再到運(yùn)營商后臺(tái)密碼被攻破,這些灰色事件的背后,都有專業(yè)的人員和組織。這給信息安全防范帶來更高的要求。

    據(jù)時(shí)代億信技術(shù)總監(jiān)李兆豐介紹,信息安全威脅不僅成為困擾個(gè)人隱私保護(hù)和企業(yè)發(fā)展的問題,也成為阻礙我國電子商務(wù)產(chǎn)業(yè)繁榮、云計(jì)算推廣、移動(dòng)互聯(lián)網(wǎng)應(yīng)用的一個(gè)關(guān)鍵問題。

    根據(jù)時(shí)代億信近年來的研究結(jié)果顯示,目前文檔泄密的主要途徑有4種:計(jì)算機(jī)上木馬、病毒的惡意竊取;員工對于網(wǎng)絡(luò)、存儲(chǔ)介質(zhì)的違規(guī)使用;內(nèi)部員工、管理員的主動(dòng)泄密;筆記本電腦、移動(dòng)硬盤維修、丟失過程中導(dǎo)致的泄密。

    針對這些泄密的途徑,時(shí)代億信文件盾系列產(chǎn)品采用如下技術(shù)有針對性地進(jìn)行了解決:通過對文檔加密,防止傳輸、存儲(chǔ)過程中的泄密;在計(jì)算機(jī)上進(jìn)行可信進(jìn)程控制,防止木馬、病毒等的惡意竊取;建立安全的身份識(shí)別機(jī)制,確認(rèn)對文檔當(dāng)前操作者的身份;對文檔實(shí)現(xiàn)細(xì)粒度權(quán)限控制,防止內(nèi)部員工的被動(dòng)、主動(dòng)泄密;靈活的離線控制策略,實(shí)現(xiàn)對文檔脫離網(wǎng)絡(luò)后的控制。

    從目前國內(nèi)文檔安全產(chǎn)品的競爭格局來看,主要有如下三類:第一類是國外技術(shù)產(chǎn)品,比較典型的是微軟的RMS文檔權(quán)限管理系統(tǒng)以及EMC的Documentum IRM;第二類是國內(nèi)企業(yè)的DRM文檔安全管理系統(tǒng)產(chǎn)品,這里既有進(jìn)入較早的前沿科技、億賽通等專業(yè)廠商產(chǎn)品,也有老牌信息安全廠商像天融信、啟明星辰、中軟、時(shí)代億信等OEM或自主研發(fā)的文檔安全產(chǎn)品;第三類是針對CAD、PDM等設(shè)計(jì)類應(yīng)用的專用加密產(chǎn)品。這些大都是專注于CAD應(yīng)用的傳統(tǒng)廠商開發(fā)的針對設(shè)計(jì)軟件的加密產(chǎn)品。

    而從目前我國文檔安全市場的發(fā)展來看,國外的產(chǎn)品由于理念、文化的差異,在國內(nèi)市場的推廣和實(shí)際應(yīng)用效果并不理想。而國內(nèi)產(chǎn)品更注重國內(nèi)企業(yè)的企業(yè)文化,更加貼近國內(nèi)企業(yè)的需求,由國內(nèi)廠商提出的基于文件透明過濾驅(qū)動(dòng)實(shí)現(xiàn)的自動(dòng)加解密技術(shù)成為目前市場的主流產(chǎn)品。隨著一些傳統(tǒng)安全廠商進(jìn)入這個(gè)領(lǐng)域后,能夠結(jié)合其在傳統(tǒng)4A安全領(lǐng)域的優(yōu)勢技術(shù),形成一整套從外到內(nèi)的信息安全整體解決方案,進(jìn)一步推動(dòng)了文檔安全市場的成熟和發(fā)展。

    文檔加密技術(shù)的優(yōu)勢與挑戰(zhàn)

    據(jù)李兆豐介紹,目前對于一般企業(yè)文檔安全的建設(shè),應(yīng)該不單單只是上了一套產(chǎn)品,而是需要建立企業(yè)文檔安全管理的規(guī)范,并且這個(gè)規(guī)范能夠隨著企業(yè)安全需求的變化而變化。評價(jià)文檔安全建設(shè)是否成功的一個(gè)方面就是所建立的文檔安全管理規(guī)范是否適合企業(yè)。

    他說,企業(yè)安裝使用文件盾產(chǎn)品的主要優(yōu)勢在于:既可以根據(jù)用戶需求,提供個(gè)性化、模塊化的產(chǎn)品功能,還創(chuàng)新性的實(shí)現(xiàn)了一些主流第三方應(yīng)用的成功集成,幫助企業(yè)建立整體的文檔安全服務(wù)體系。文件盾按照用戶的需求,劃分為自動(dòng)加密(A)、權(quán)限管理(R)、應(yīng)用集成(M)、加密網(wǎng)關(guān)(G)、外發(fā)控制(S)、文件保險(xiǎn)箱(T)等6個(gè)產(chǎn)品型號,既可以獨(dú)立又能結(jié)合使用。特別是在應(yīng)用集成方便,根據(jù)用戶的實(shí)際需求,能夠和主流的門戶、OA、KM等產(chǎn)品進(jìn)行融合。還創(chuàng)新性的實(shí)現(xiàn)了SVN、虛擬桌面環(huán)境、移動(dòng)終端下的文檔安全保護(hù)。

    2011年民生銀行總行成功實(shí)施了文檔安全管理系統(tǒng)。全行裝機(jī)量10萬多客戶終端,其門戶、OA、知識(shí)庫系統(tǒng)全面和文檔安全進(jìn)行了整合,在一年的時(shí)間里共有加密的文檔300萬條,有力的支撐了用戶的信息安全保護(hù)需求。民生銀行最大的特點(diǎn)是把文檔安全系統(tǒng)建設(shè)成為企業(yè)內(nèi)部的文檔安全服務(wù)體系。在后期的建設(shè)過程中,逐步把SVN服務(wù)器、Citrix虛擬桌面應(yīng)用等一系列應(yīng)用納入文檔安全保護(hù)體系中,實(shí)現(xiàn)了企業(yè)信息安全保護(hù)的可持續(xù)發(fā)展。

篇5

肖波認(rèn)為,當(dāng)前我國企業(yè)級信息安全領(lǐng)域尚比較薄弱,管理軟件和信息安全分屬不同領(lǐng)域,兩者平行運(yùn)營而無交集,以太信御在此一背景下,選擇定位于企業(yè)級信息安全領(lǐng)域,向行業(yè)領(lǐng)軍企業(yè)、平臺(tái)級公司進(jìn)軍。

肖波對此雄心勃勃。他強(qiáng)調(diào),過去10年全球信息安全產(chǎn)業(yè)的每個(gè)細(xì)分領(lǐng)域都產(chǎn)生了一個(gè)世界級巨頭,他相信中國信息安全也會(huì)誕生世界級巨頭,并帶動(dòng)本土信息安全產(chǎn)業(yè)的發(fā)展。“如今在消費(fèi)級市場已經(jīng)有了巨頭,企業(yè)級市場還沒有?!毙げㄕf,“我就不能想一想嗎?”

據(jù)悉,以太信御推出的SecurityLink系列解決方案將為企業(yè)級信息安全保駕護(hù)航。以太信御副總經(jīng)理林森介紹,SecurityLink包含基礎(chǔ)架構(gòu)安全A、業(yè)務(wù)應(yīng)用安全X、業(yè)務(wù)數(shù)據(jù)安全D和運(yùn)維安全M這四個(gè)系列產(chǎn)品,在技術(shù)架構(gòu)、業(yè)務(wù)應(yīng)用、業(yè)務(wù)數(shù)據(jù)、運(yùn)維安全四個(gè)領(lǐng)域整合出50個(gè)安全組件,并根據(jù)企業(yè)信息化安全各種需求,將不同的安全組件進(jìn)行組合,為企業(yè)信息安全提供全方位立體化防御。

其中,基礎(chǔ)架構(gòu)安全A系列包含以太信御統(tǒng)一威脅管理(A-USM)、以太信御Web應(yīng)用安全網(wǎng)關(guān)(A-WAG)、以太信御安全虛擬專線系統(tǒng)(A-VPN),、以太信御應(yīng)用交付系統(tǒng)(A-ADC)和以太信御主機(jī)安全衛(wèi)士(A-HSG)五款產(chǎn)品。

業(yè)務(wù)應(yīng)用安全X系列是SecurityLink系列解決方案的核心,以BowlineBox硬件盒子的方式整合了業(yè)務(wù)系統(tǒng)保護(hù)、ERP安全保護(hù)等安全組件,旨在解決用戶核心的業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全。BowlineBox安全盒子針對應(yīng)用規(guī)模分別推出X1、X3、X5、X6、X9不同系列產(chǎn)品。BowlineBox安全盒子可以為企業(yè)提供全生命周期的業(yè)務(wù)安全保障體系:通過訪問準(zhǔn)入、安全準(zhǔn)入、系統(tǒng)可用性保障、企業(yè)敏感信息防泄漏實(shí)現(xiàn)事前防范,通過實(shí)時(shí)、全面的監(jiān)控體系和高校、快捷的報(bào)警機(jī)制進(jìn)行事中監(jiān)測,通過多樣化分析體系、面向企業(yè)的個(gè)性化安全報(bào)告進(jìn)行事后分析。

業(yè)務(wù)數(shù)據(jù)安全D系列由以太信御敏感信息防泄密系統(tǒng)(D-DLP)進(jìn)行防護(hù),包含敏感信息泄漏阻斷、敏感信息泄露監(jiān)測、敏感信息加密、數(shù)據(jù)備份/異地災(zāi)備等防護(hù)措施,保障企業(yè)業(yè)務(wù)數(shù)據(jù)的安全問題。

篇6

關(guān)鍵詞:網(wǎng)絡(luò)環(huán)境;企業(yè)信息;安全管理

隨著網(wǎng)絡(luò)的普及和廣泛應(yīng)用,人類生活辦公都越來越離不開網(wǎng)絡(luò),在信息全球化的影響下,網(wǎng)絡(luò)已經(jīng)對人們的生活產(chǎn)生出了極為深刻的影響。因此,人們對網(wǎng)絡(luò)環(huán)境下的信息安全問題也開始更加關(guān)注。在企業(yè)中運(yùn)用網(wǎng)絡(luò),在促進(jìn)企業(yè)發(fā)展的同時(shí),也很容易造成企業(yè)中的信息出現(xiàn)泄漏的現(xiàn)象,且一旦信息泄漏,就會(huì)造成嚴(yán)重的影響。企業(yè)內(nèi)部也是這樣,與此同時(shí)網(wǎng)絡(luò)安全問題卻逐漸浮出水面,嚴(yán)重威脅到了網(wǎng)絡(luò)健康和正常運(yùn)行。所以采取相關(guān)安全管理與防范措施很有必要。網(wǎng)絡(luò)化的社會(huì)可以讓天下事盡收眼底,極其方便快捷。企業(yè)內(nèi)部利用網(wǎng)絡(luò)這一優(yōu)勢將其應(yīng)用到實(shí)處,讓網(wǎng)絡(luò)在企業(yè)運(yùn)營中發(fā)揮著重要作用。而有好處的同時(shí)往往也會(huì)存在著壞處這一對立面,安全隱患就是很棘手的一個(gè)問題。文章就是基于此來分析出切實(shí)可行的安全管理與防范對策,從而能夠解決這一問題。

1信息安全與信息安全管理

(1)信息安全的根本目的是保障企業(yè)內(nèi)部信息不受任何因素的威脅,確保系統(tǒng)能夠連續(xù)可靠正常地運(yùn)行,現(xiàn)代企業(yè)的信息安全是指企業(yè)為確保信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性不因偶然或惡意原因遭受破壞、更改和泄露而在計(jì)算機(jī)管理和技術(shù)上對數(shù)據(jù)處理系統(tǒng)進(jìn)行的安全保護(hù),保護(hù)企業(yè)的生產(chǎn)運(yùn)營安全。(2)一般來說,存儲(chǔ)設(shè)備配置和信息安全管理中的漏洞、網(wǎng)絡(luò)環(huán)境和企業(yè)內(nèi)部局域網(wǎng)潛在的危險(xiǎn)是企業(yè)信息安全的主要隱患。結(jié)合企業(yè)實(shí)際特點(diǎn)和需要,構(gòu)建企業(yè)信息安全管理體系,避免企業(yè)機(jī)密資料外泄,保護(hù)企業(yè)的生產(chǎn)運(yùn)營安全是企業(yè)信息安全管理研究的重要課題。企業(yè)信息安全管理是企業(yè)為實(shí)現(xiàn)安全目標(biāo)進(jìn)行的信息安全風(fēng)險(xiǎn)相互協(xié)調(diào)活動(dòng),其目的在于通過制定信息安全政策、風(fēng)險(xiǎn)評估等系列工作盡量做到在有限的成本下保證資產(chǎn)的安全,維護(hù)信息的機(jī)密性、完整性和可用性。(3)隨著科學(xué)技術(shù)的不斷發(fā)展,云計(jì)算、大數(shù)據(jù)以及互聯(lián)網(wǎng)等將引領(lǐng)著未來IT的發(fā)展。企業(yè)想要實(shí)現(xiàn)發(fā)展,就要做好基礎(chǔ)性的工作,完善基礎(chǔ)設(shè)施建設(shè),建立出完善的信息安全保障系統(tǒng),在健康的網(wǎng)絡(luò)環(huán)境下來實(shí)現(xiàn)長遠(yuǎn)的發(fā)展。企業(yè)想要實(shí)現(xiàn)長遠(yuǎn)的發(fā)展,就要保證自身信息上的安全,同時(shí)還要認(rèn)識(shí)到信息安全的重要性,從長遠(yuǎn)的角度上出發(fā)來保護(hù)好信息。

2網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理存在的問題

2.1計(jì)算機(jī)自身的不確定性

網(wǎng)絡(luò)時(shí)代,人人都可以成為信息的制造者、傳播者和接受者,但由于網(wǎng)絡(luò)的開放性、匿名性以及網(wǎng)民素質(zhì)的良莠不齊,不僅導(dǎo)致網(wǎng)絡(luò)產(chǎn)生許多虛假信息、表述不明確信息,來混淆視聽。甚至誤導(dǎo)網(wǎng)民,引發(fā),而且還為不法分子盜取企業(yè)信息提供了便利條件。加之,網(wǎng)絡(luò)資源的共享性為網(wǎng)絡(luò)系統(tǒng)安全的攻擊者提供了破壞企業(yè)信息安全的機(jī)會(huì),給企業(yè)信息資源帶來大量的安全漏洞,給企業(yè)發(fā)展帶來不利的影響。

2.2安全軟件設(shè)計(jì)滯后

進(jìn)入信息化時(shí)代,計(jì)算機(jī)在企業(yè)發(fā)展過程中扮演著極為重要的角色,而隨著計(jì)算機(jī)與互聯(lián)網(wǎng)技術(shù)的融合,網(wǎng)絡(luò)不僅為企業(yè)提供了極為豐富的信息資源,拓寬了企業(yè)獲取信息的渠道,而且還極大地提高了工作效率,提升了企業(yè)經(jīng)濟(jì)效益和社會(huì)效益。但拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇容易感染病毒或被黑客侵略的問題,給企業(yè)信息安全帶來直接的安全隱患。而相關(guān)病毒查殺軟件都是為應(yīng)對問題而設(shè)計(jì)的,也就是說,病毒查殺軟件是針對病毒研發(fā)的一種“見招拆招”的軟件,具有嚴(yán)重的滯后性。合理的安全軟件設(shè)計(jì)能夠?yàn)槠髽I(yè)信息安全提供較好的保護(hù),不合理的安全軟件設(shè)計(jì)則會(huì)成為企業(yè)信息安全的隱患。此外,由于安全軟件設(shè)計(jì)不合理或維護(hù)工作不完備,也極易造成病毒入侵、系統(tǒng)癱瘓等狀況,影響企業(yè)正常運(yùn)轉(zhuǎn)。

2.3網(wǎng)絡(luò)操作系統(tǒng)的漏洞

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,作為網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的載體,網(wǎng)絡(luò)操作系統(tǒng)不可避免地會(huì)存在一些漏洞,這些漏洞作為一種伴生性漏洞不僅一直存在,而且還為病毒的滋生和入侵提供了機(jī)會(huì)。不斷更新?lián)Q代的網(wǎng)絡(luò)軟件在設(shè)計(jì)時(shí)考慮到便于軟件的擴(kuò)展和維護(hù),常會(huì)為編程人員設(shè)置后門,但網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性使得操作系統(tǒng)的缺陷和漏洞成為網(wǎng)絡(luò)安全的硬傷,這些后門一旦被不法分子發(fā)現(xiàn),會(huì)對企業(yè)信息安全造成很大的威脅。如黑客攻擊就是基于網(wǎng)絡(luò)操作系統(tǒng)漏洞而產(chǎn)生的一種難以防范的、人為惡意攻擊,對企業(yè)造成無法彌補(bǔ)的損失。

2.4人為因素造成的安全問題

隨著市場經(jīng)濟(jì)體制的不斷完善,企業(yè)之間的競爭日趨激烈,很多企業(yè)只重視利益的發(fā)展,將全部精力集中于企業(yè)生產(chǎn)經(jīng)營,并沒有認(rèn)識(shí)到企業(yè)信息保護(hù)的重要性,造成企業(yè)信息在存儲(chǔ)過程中沒有適當(dāng)?shù)闹萍s機(jī)制,造成企業(yè)信息安全保障系統(tǒng)存在漏洞和隱患。加之網(wǎng)絡(luò)作為一種新生事物,企業(yè)對信息安全管理投入不足,員工普遍安全意識(shí)缺乏,信息安全管理規(guī)章制度不完善,這不僅浪費(fèi)了企業(yè)的網(wǎng)絡(luò)資源,而且還極易出現(xiàn)安全隱患和漏洞。

3網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理建設(shè)的措施

3.1通過對目前的應(yīng)用系統(tǒng)進(jìn)行分析與評估等工作是實(shí)際

可行的辦法安全風(fēng)險(xiǎn)評估。因此,在實(shí)際中企業(yè)中的信息系統(tǒng)根據(jù)風(fēng)險(xiǎn)管理的方法來對可能存在的風(fēng)險(xiǎn)以及需要進(jìn)行保護(hù)的信息進(jìn)行分析,以風(fēng)險(xiǎn)評估為最終結(jié)果來選擇出適當(dāng)?shù)拇胧?應(yīng)對好可能出現(xiàn)的風(fēng)險(xiǎn)。企業(yè)只有對安全風(fēng)險(xiǎn)進(jìn)行有效的評估,才能夠結(jié)合實(shí)際問題進(jìn)行科學(xué)合理的分析,采取有效的措施避免風(fēng)險(xiǎn)出現(xiàn)。

3.2要做好技術(shù)上的創(chuàng)新。對于網(wǎng)絡(luò)的正常運(yùn)行來說,安全是最基礎(chǔ)的,想要保證網(wǎng)絡(luò)的安全,就要從多個(gè)層面上出發(fā)來進(jìn)行立體保護(hù)。將監(jiān)督檢查機(jī)制落實(shí)到實(shí)際中去。時(shí)代的發(fā)展是建立在創(chuàng)新基礎(chǔ)之上的,只有實(shí)現(xiàn)不斷的創(chuàng)新,才能實(shí)現(xiàn)更好的發(fā)展。因此,在技術(shù)不斷創(chuàng)新的影響下,就要提高其質(zhì)量,保證效益,建立出以市場發(fā)展為基礎(chǔ)的創(chuàng)新機(jī)制。同時(shí)還要保證財(cái)力上的支持,實(shí)現(xiàn)技術(shù)的改進(jìn)與創(chuàng)新。通過對各項(xiàng)制度的實(shí)際情況進(jìn)行檢查,可以保證企業(yè)中信息的安全。想要保證信息的安全,就要制定出信息的搶救措施,如進(jìn)行數(shù)據(jù)恢復(fù)、備份以及銷毀等安全預(yù)防措施。

3.3充分運(yùn)用防火墻技術(shù)

在網(wǎng)絡(luò)信息安全的管理中,防火墻技術(shù)屬于一項(xiàng)較為有效的安全技術(shù),能夠按照特定的規(guī)則,從而來允許以及限制數(shù)據(jù)的通過。防火墻能夠有效防止黑客訪問用戶的及其,以此來組織黑客拷貝篡改用戶的信息,以此來保證信息的安全?,F(xiàn)今很多企業(yè)都廣泛應(yīng)用防火墻技術(shù),以此來保證自身企業(yè)的信息安全。并且防火墻自身具有很強(qiáng)的抗攻擊性,不會(huì)被病毒所控制。同時(shí)防火墻技術(shù)能夠?qū)?nèi)部的網(wǎng)絡(luò)進(jìn)行劃分,從而來將重點(diǎn)的網(wǎng)段進(jìn)行隔離,以此來對其進(jìn)行保護(hù)。

4結(jié)語

總之,想要保證企業(yè)中的信息安全,就要堅(jiān)持從信息安全技術(shù)與做好內(nèi)部管理工作上出發(fā),企業(yè)網(wǎng)絡(luò)辦公不僅可以將各個(gè)部門緊密聯(lián)系在一起,工作溝通起來還可以更方便,極大地提高了工作效率,創(chuàng)造了更多的經(jīng)濟(jì)效益。這是新時(shí)代、網(wǎng)絡(luò)時(shí)期給企業(yè)帶來的難得一遇的機(jī)會(huì)和福音。通過安全技術(shù)的支撐來提高內(nèi)部管理工作的效果,同時(shí)還要落實(shí)管理與監(jiān)控工作,加強(qiáng)信息安全教育,建立出完善的管理制度,提高安全管理的水平。還竭盡全力做好企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理和防范對策,兩者結(jié)合、相輔相成,這樣一來企業(yè)的發(fā)展會(huì)更美好,更有希望。

作者:于倩 單位:淄博信息工程學(xué)校 淄博建筑工程學(xué)校

參考文獻(xiàn):

篇7

對于知識(shí)型企業(yè)來說,人才是最大的財(cái)富,智力成果是他們的競爭優(yōu)勢,而知識(shí)產(chǎn)權(quán)和信息安全保護(hù)就是它們的生命。如果是只有三五個(gè)人的小公司,老板一個(gè)人把所有資料放在自己的電腦里,所有的商業(yè)機(jī)密和設(shè)計(jì)成果就保護(hù)住了??蓪τ谝粋€(gè)上千人的大公司來說,保護(hù)好公司的知識(shí)產(chǎn)權(quán)就會(huì)面臨巨大的挑戰(zhàn)。這樣的挑戰(zhàn),是懸在每個(gè)知識(shí)型企業(yè)CIO甚至CEO頭上的一把利劍。

有沒有辦法來免除這樣的煩惱呢?

中冶南方工程技術(shù)有陽公司(以下簡稱中冶南方)找到了解決這一問題的途徑。據(jù)了解,中冶南方的前身為冶金工業(yè)部武漢鋼鐵設(shè)計(jì)研究總院,是由中國冶金科工集團(tuán)公司、武漢鋼鐵(集團(tuán))公司、鞍鋼股份有限公司等共同出資組建的高新企業(yè),注冊資本20000萬元,擁有3000人規(guī)模的大型知識(shí)型企業(yè),業(yè)務(wù)范圍廣泛,是華中地區(qū)的龍頭企業(yè)。

在尋找如何防止商業(yè)機(jī)密泄露的過程中,公司通過實(shí)施文印管理服務(wù)MPS系統(tǒng),從硬件到電子化文件,再到紙質(zhì)文件……有效地確保了公司商業(yè)機(jī)密不被泄漏,也給國內(nèi)企業(yè)的知識(shí)產(chǎn)權(quán)保護(hù)提供了一個(gè)新的思路。

10%的疏漏

“行百里者,半九十?!边@句古諺充分說明了一個(gè)道理,一件事做到90%,實(shí)際上成效只能算達(dá)到一半。因?yàn)槭O碌哪?0%會(huì)成為一個(gè)巨大的漏洞,影響整件事的進(jìn)程和最終結(jié)果。

如何解決好紙質(zhì)文件的安全管理,同時(shí)又提高員工的工作效率成為信息中心亟待解決的課題。

2007年的9月,中冶南方信息中心主任黃湘武就站在這個(gè)“九十里”處徘徊。對于中冶南方來說,知識(shí)產(chǎn)權(quán)的重要性顯而易見。像中冶南方這樣的智力輸出型企業(yè),設(shè)計(jì)圖紙信息是公司最重要的智力資源,要保證這些資料不被輕易地帶出公司,電子文件和紙質(zhì)文件的管理和安全保護(hù)至關(guān)重要。

據(jù)了解,中冶南方為防止商業(yè)泄密,早就建立了一套基于數(shù)字化加解密技術(shù)的信息安全體系,可以對現(xiàn)有的電子文檔實(shí)現(xiàn)全面的保護(hù),對企業(yè)信息達(dá)到90%的保護(hù)度。這些措施雖然很好地保護(hù)了電子文件的外泄,可是紙質(zhì)文件的信息安全保護(hù)一直做得不理想,讓整體信息安全工作的效果大打折扣。

當(dāng)時(shí),為了保證紙質(zhì)文件安全,公司里所有的文件復(fù)印必須到領(lǐng)導(dǎo)辦公室去,所有的掃描要到文印中心經(jīng)過登記才可以掃描,圖紙的復(fù)印掃描則由專人負(fù)責(zé)。這樣繁瑣的流程,浪費(fèi)了員工許多工作時(shí)間。

身份識(shí)別立功

如何既解決好紙質(zhì)文件的安全管理,同時(shí)提高員工的工作效率和滿意度成為中冶南方信息中心亟待解決的課題。中冶南方和惠普IPG合作,進(jìn)行了文印系統(tǒng)的全面規(guī)劃。

公司給每個(gè)部門標(biāo)配的設(shè)備上都可以實(shí)現(xiàn)員工身份識(shí)別。一期項(xiàng)目中,這種身份識(shí)別是通過輸入用戶名和密碼來實(shí)現(xiàn);二期項(xiàng)目則給員工帶來更多便利,直接刷員工門禁卡就能完成打印。

這種方式對于員工的好處是,日常的文印作業(yè),員工可以在部門內(nèi)就近完成打印、復(fù)印、掃描等文印操作,再也不用那么麻煩地去領(lǐng)導(dǎo)辦公室復(fù)印,去文印中心登記了,省去了幾棟樓之間的奔波,大家在自己的辦公室里可以完成工作。

據(jù)公司內(nèi)部的一項(xiàng)員工調(diào)查顯示,大家對信息中心工作的滿意度,由原來的90%左右提高到99%以上。同時(shí),由于所有的文印操作均記錄在審計(jì)數(shù)據(jù)庫中,公司可以對每個(gè)環(huán)節(jié)的文印行為進(jìn)行事后審計(jì),從而使得公司的電子文件和紙質(zhì)文件都處于中冶南方全信息體系中,高效、安全地保護(hù)了公司的知識(shí)產(chǎn)權(quán)。

篇8

關(guān)鍵詞:智能電網(wǎng) 信息安全 防護(hù)體系 可信平臺(tái)

中圖分類號:F49 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號:1007-3973(2013)012-212-02

1 引言

隨著智能電網(wǎng)建設(shè)步伐的推進(jìn),更多的設(shè)備和用戶接入電力系統(tǒng),例如,智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等,這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動(dòng)化、互動(dòng)化程度比傳統(tǒng)電網(wǎng)大大提高,它們在提升電網(wǎng)監(jiān)測與管理方面發(fā)揮了重要作用,但同時(shí)也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術(shù)訪問電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器,有可能造成客戶信息泄露或數(shù)據(jù)安全問題,嚴(yán)重時(shí)有可能造成國家的重大損失。因此,如何使眾多的用戶能在一個(gè)安全的環(huán)境下使用電網(wǎng)的服務(wù),成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問題

云計(jì)算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用,另外,隨著技術(shù)的成熟和商業(yè)成本的降低,基于可信計(jì)算平臺(tái)的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計(jì)算與云計(jì)算結(jié)合起來,將會(huì)使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺(tái)模塊間的安全通道示意圖。

在可信計(jì)算環(huán)境下,每臺(tái)主機(jī)嵌入一個(gè)可信平臺(tái)模塊。由于可信平臺(tái)模塊內(nèi)置密鑰,在模塊間能夠構(gòu)成一個(gè)天然的安全通信信道。因此,可以將廣播的內(nèi)容放在可信平臺(tái)模塊中,通過安全通信信道來進(jìn)行廣播,這樣可以極大地節(jié)約通信開銷。

智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測量層、信息通信層和調(diào)度運(yùn)維層四個(gè)層次。那么,智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此,其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面入手。

3 智能電網(wǎng)信息防護(hù)體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設(shè)一套符合國家政策要求的電子認(rèn)證系統(tǒng),并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施,實(shí)現(xiàn)各實(shí)體身份在網(wǎng)絡(luò)上的真實(shí)映射,滿足各應(yīng)用系統(tǒng)中關(guān)于身份認(rèn)證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng),總體結(jié)構(gòu)如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端(桌面)綜合安全管理的桌面管理產(chǎn)品,打造一個(gè)安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境,如圖3所示。

該體系能滿足用戶:確保入網(wǎng)終端符合要求;全面監(jiān)測終端健康狀況;保證終端信息安全可控;動(dòng)態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢;快速定位解決終端故障;規(guī)范員工網(wǎng)絡(luò)行為;統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級防護(hù)體系

此外,在設(shè)計(jì)信息安全體系時(shí),還需要針對電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng),按照不同的安全保護(hù)等級,設(shè)計(jì)信息系統(tǒng)安全等級保護(hù)方案,如圖4所示。

根據(jù)國家關(guān)于《信息系統(tǒng)等級保護(hù)基本要求》中關(guān)于信息安全管理的規(guī)定,該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面。

4 結(jié)論與展望

本文將電力云技術(shù)與可信計(jì)算結(jié)合起來,設(shè)計(jì)了面向智能電網(wǎng)的信息安全防護(hù)體系框架,從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個(gè)沒有盡頭的工作,需要及時(shí)與最新的方法相結(jié)合,不斷完善信息安全方案,使電網(wǎng)做到真正的智能、堅(jiān)強(qiáng)。

(基金項(xiàng)目:中央高?;究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目(11MG50);河北省高等學(xué)??茖W(xué)研究項(xiàng)目(Z2013007))

參考文獻(xiàn):

[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù),2009,33(8):1-7.

[2] 國家電網(wǎng).關(guān)于加快推進(jìn)堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)的意見[N].國家電網(wǎng)報(bào),2010-01-12(2).

[3] 曹軍威,萬宇鑫,涂國煜,等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計(jì)算機(jī)學(xué)報(bào),2013,36(1):143-167.

[4] 陳康,鄭緯民.云計(jì)算:系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào),2009(5):1337-1348.

篇9

飛速發(fā)展的社會(huì)經(jīng)濟(jì)將企業(yè)管理投入到信息技術(shù)的海洋之中,大中型企業(yè)管理的自動(dòng)化水平正在不斷提高。現(xiàn)代企業(yè)的核心管理手段是將計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用于業(yè)務(wù)管理系統(tǒng),實(shí)現(xiàn)企業(yè)管理理念的宏觀化、管理手段的智能化、管理方式的網(wǎng)絡(luò)化,從而帶來的是管理效率的高速化。具體的管理系統(tǒng)包括外門戶網(wǎng)站系統(tǒng)、內(nèi)部門戶網(wǎng)站系統(tǒng)、辦公自動(dòng)化系統(tǒng)、營銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等[ 1 ]。

1 企業(yè)網(wǎng)絡(luò)信息安全概述

1.1 網(wǎng)絡(luò)信息安全面臨的威脅

網(wǎng)絡(luò)信息的安全主要是系統(tǒng)漏洞帶來的病毒和黑客侵襲。漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)[ 2 ]。系統(tǒng)漏洞是危害網(wǎng)絡(luò)安全的最主要因素,特別是軟件系統(tǒng)的各種漏洞。黑客的攻擊行為都是利用系統(tǒng)的安全漏洞來進(jìn)行的。許多系統(tǒng)都有這樣那樣的安全漏洞(Bugs),其中有些是操作系統(tǒng)或應(yīng)用軟件由于設(shè)計(jì)缺陷本身所具有的,這些漏洞在補(bǔ)丁未被開發(fā)出來之前一般很難防御黑客的破壞,除非你不接入網(wǎng)絡(luò)。還有就是程序員在設(shè)計(jì)一些功能復(fù)雜的程序時(shí),預(yù)留的用于測試和維護(hù)的程序入口,由于疏忽或者其他原因(如將它留在程序中,便于日后訪問、測試或維護(hù))沒有去掉,這就可能被一些黑客發(fā)現(xiàn)并利用作為后門。到目前為止,還沒有出現(xiàn)真正安全無漏洞的產(chǎn)品,這也是當(dāng)前黑客肆虐的主要原因[ 3 ]。

1.2 造成企業(yè)網(wǎng)絡(luò)信息安全威脅的原因

1.2.1 計(jì)算機(jī)系統(tǒng)原生漏洞

目前計(jì)算機(jī)所依賴的依然是普遍通用的微軟Windows系統(tǒng)。為了適應(yīng)用戶的需求,這一系統(tǒng)的研發(fā)進(jìn)展不斷進(jìn)步,系統(tǒng)升級較為頻繁,每兩年左右便會(huì)有新系統(tǒng)推出面世。許多計(jì)算機(jī)用戶,特別是企業(yè)用戶,如果對新系統(tǒng)沒有全面、專業(yè)、深入的了解而盲目進(jìn)行了系統(tǒng)更新,有可能造成安裝設(shè)置過程中缺陷導(dǎo)致的新系統(tǒng)帶來的弊端,從而埋下漏洞隱患,給信息安全造成威脅。

1.2.2 計(jì)算機(jī)軟件應(yīng)用不當(dāng)遭遇惡意軟件

在企業(yè)管理計(jì)算機(jī)軟件應(yīng)用過程中,如果沒有專業(yè)的識(shí)別和下載安裝經(jīng)驗(yàn),極有可能遇到惡意軟件。惡意軟件常常故意不對用戶做明確提示(如選項(xiàng)提示、退出安裝提示等)或者在未經(jīng)用戶許可的情況下,在用戶的計(jì)算機(jī)上強(qiáng)行安裝;有的軟件難以卸載(設(shè)置卸載障礙);還有的軟件通過瀏覽器劫持行為,肆意:指未經(jīng)用戶許可,修改用戶瀏覽器或設(shè)置,迫使用戶訪問特定網(wǎng)站或?qū)е掠脩魺o法正常上網(wǎng)等。惡意軟件造成的計(jì)算機(jī)病毒感染,黑客的乘虛而入將嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)信息安全,甚至導(dǎo)致系統(tǒng)崩潰,數(shù)據(jù)丟失。有的惡意軟件甚至自帶網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行監(jiān)視裝置,被惡意使用后可以直接用于竊取商業(yè)數(shù)據(jù)和信息,給企業(yè)造成巨大損失。

1.2.3 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)維護(hù)規(guī)范欠缺

企業(yè)網(wǎng)絡(luò)信息系統(tǒng)在運(yùn)行過程中無論何種原因都難以避免可能產(chǎn)生的漏洞,而對信息系統(tǒng)的規(guī)范維護(hù)是信息安全保護(hù)的重要手段。但部分企業(yè)沒有對系統(tǒng)維護(hù)規(guī)范作出規(guī)定,如系統(tǒng)維護(hù)工程師、助理工程師的職責(zé)與權(quán)限并不明確,生產(chǎn)或銷售應(yīng)用系統(tǒng)的監(jiān)控記錄不能定期建檔,生產(chǎn)或辦公系統(tǒng)主機(jī)的日常故障處理不做登記,應(yīng)用系統(tǒng)的數(shù)據(jù)庫啟動(dòng)情況和數(shù)據(jù)庫設(shè)置得不到及時(shí)觀察,重要數(shù)據(jù)庫的變更操作,定期清理過期備份不能正常進(jìn)行,應(yīng)用數(shù)據(jù)庫癱瘓后的異地備份恢復(fù)記錄不完整等,都有可能造成企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全隱患。

2 企業(yè)信息系統(tǒng)安全管理存在的問題

2.1 企業(yè)對信息系統(tǒng)管理重視不足

許多企業(yè)頂層決策缺乏長久觀念,比較重視信息網(wǎng)絡(luò)的建設(shè)而較易忽視信息網(wǎng)絡(luò)和系統(tǒng)的管理。在企業(yè)網(wǎng)絡(luò)建設(shè)初期往往偏重于硬件設(shè)施的投資和技術(shù)成本的投入,盲目追求管理系統(tǒng)的高性能、高配置,忽略了硬件設(shè)施與實(shí)際應(yīng)用的差距,認(rèn)為高層次的網(wǎng)絡(luò)系統(tǒng)一旦建成便萬事大吉。這種認(rèn)識(shí)不但造成了不必要的資金浪費(fèi),更容易形成輕視系統(tǒng)維護(hù)管理工作的狀況。由于缺乏管理意識(shí),許多企業(yè)在規(guī)章制度、人事安排、專業(yè)培訓(xùn)、技術(shù)隊(duì)伍等幾方面沒有形成企業(yè)信息系統(tǒng)的專業(yè)團(tuán)隊(duì),更沒有針對系統(tǒng)癱瘓、數(shù)據(jù)丟失等突發(fā)事件的應(yīng)急預(yù)案,往往是問題發(fā)生后臨時(shí)應(yīng)急解決,“頭痛治頭足痛治足”,致使現(xiàn)代化信息系統(tǒng)不能充分發(fā)揮在企業(yè)運(yùn)行管理中應(yīng)有的作用。

2.2 企業(yè)網(wǎng)絡(luò)信息安全性難以保障

由于信息安全管理意識(shí)淡薄,部分企業(yè)沒有專業(yè)的網(wǎng)絡(luò)管理團(tuán)隊(duì)?,F(xiàn)有網(wǎng)管人員維護(hù)、管理網(wǎng)聯(lián)絡(luò)信息技術(shù)沒有保障,或者責(zé)任心不強(qiáng)。例如,民營生產(chǎn)銷售企業(yè)由于操作不規(guī)范銷售報(bào)表和潛在客戶資料數(shù)據(jù)丟失現(xiàn)象時(shí)有發(fā)生;部分縣級以上醫(yī)院分科或多或少都存在體統(tǒng)停滯現(xiàn)象;中小型企業(yè)中財(cái)務(wù)資料的誤刪時(shí)有發(fā)生。雖然這些單位有的也具備系統(tǒng)維護(hù)應(yīng)急預(yù)案,部分?jǐn)?shù)據(jù)得到恢復(fù),但依然給企業(yè)造成一定損失。

3 企業(yè)網(wǎng)絡(luò)信息安全防范措施

3.1 建立系統(tǒng)安全檢查制度

企業(yè)的規(guī)章制度要重視系統(tǒng)安全的保護(hù),對重要信息系統(tǒng)的安全檢查要建章立制,不能松懈。首先要對系統(tǒng)安全負(fù)責(zé)的團(tuán)隊(duì)人員構(gòu)成和崗位職責(zé)進(jìn)行明文規(guī)定。其次要確定具體的安全檢查目標(biāo),如企業(yè)的基礎(chǔ)網(wǎng)絡(luò)是否完善、主服務(wù)器配置是否異常,對外門戶網(wǎng)站防火墻是否堅(jiān)固,數(shù)據(jù)中心的設(shè)置是否可靠,內(nèi)部辦公系統(tǒng)(包括財(cái)務(wù)、銷售、服務(wù)等)更新是否正常等等。第三,信息安全檢查規(guī)章制度中要具化檢點(diǎn)內(nèi)容,如安全管理保障系統(tǒng)方面,對崗位制度是否建全,人員負(fù)責(zé)是否落實(shí),信息數(shù)據(jù)是否安全,應(yīng)急響應(yīng)是否穩(wěn)妥等項(xiàng)目要做出詳細(xì)檢查記錄。技術(shù)保障方面:服務(wù)器(包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng))的各項(xiàng)指標(biāo),網(wǎng)絡(luò)設(shè)備和安全設(shè)備的各種配置,網(wǎng)站建設(shè)和終端等組織策略和運(yùn)行維護(hù)等內(nèi)容都要落實(shí)到檢查實(shí)處。

3.2 加大企業(yè)網(wǎng)絡(luò)信息安全的管理力度

第一,要增強(qiáng)網(wǎng)絡(luò)信息管理人員的技術(shù)培訓(xùn),使企業(yè)信息系統(tǒng)得到可靠的技術(shù)維護(hù)和管理,組件一只責(zé)任心強(qiáng)、分工明確、技術(shù)精湛的網(wǎng)管團(tuán)隊(duì),以保障企業(yè)網(wǎng)絡(luò)信息系統(tǒng)正常運(yùn)轉(zhuǎn)不出紕漏。

第二,提高企業(yè)核心機(jī)密資料的加密層次,在這方面要投入資金購買保密程度較有保障的計(jì)算機(jī)軟件裝備,防止黑客攻擊和病毒感染。

第三,對企業(yè)信息管理和維護(hù)工作進(jìn)行定期記錄、責(zé)任到人,記錄保護(hù)存檔以備可查。

第四,要建立安全可靠的計(jì)算機(jī)數(shù)據(jù)異地備案和應(yīng)急預(yù)案機(jī)制,有專門制定人員負(fù)責(zé),定期檢測數(shù)據(jù),嚴(yán)格管理制度,以確保企業(yè)網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)異常時(shí)得到有效維護(hù)和修復(fù)。

篇10

【 關(guān)鍵詞 】 信息安全;等級保護(hù);現(xiàn)狀及問題;建議

【 中圖分類號 】 TP393.08 【 文獻(xiàn)標(biāo)識(shí)碼 】 A

Discussion the Status of Information Security base on Graded Protection

Zhang Wei-li

(CCID Think tank, China Center of Information Industry Development Beijing100048)

【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country, and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ,development both at home and abroad were introduced in this paper, as well as the status quo of Graded Protection in China. On this basis, the paper analyzes the problems existing in the Graded Protection in China, and put forward some Suggestions for bettering Graded Protection work.

【 Keywords 】 information security; graded protection; status and problems; suggestion

1 引言

目前對信息及信息系統(tǒng)實(shí)行分等級保護(hù)是各國保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的通行做法。在我國信息安全等級保護(hù)是保障國家信息安全的一項(xiàng)基本制度。通過信息安全等級保護(hù)工作,實(shí)現(xiàn)信息安全資源的優(yōu)化配置,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全,有效提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平。

1.1 信息安全等級保護(hù)的概念及等級劃分

信息系統(tǒng)安全等級保護(hù)是指對信息以及信息系統(tǒng)分等級進(jìn)行安全保護(hù)和監(jiān)管;對信息安全產(chǎn)品的使用進(jìn)行分等級管理;對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置的綜合性工作制度。

根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,以及信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益,以及公民、法人和其他組織的合法權(quán)益的危害程度等因素,將信息系統(tǒng)安全等級由低到高分為五個(gè)等級:第一級,自主保護(hù)級;第二級,指導(dǎo)保護(hù)級;第三級,監(jiān)督保護(hù)級;第四級,強(qiáng)制保護(hù)級;第五級,??乇Wo(hù)級。依據(jù)安全保護(hù)能力也劃分為五個(gè)等級:第一級,用戶自主保護(hù)級;第二級,系統(tǒng)審計(jì)保護(hù)級;第三級,安全標(biāo)記保護(hù)級;第四級結(jié)構(gòu)化保護(hù)級;第五級訪問驗(yàn)證保護(hù)級。

1.2 國外信息安全等級保護(hù)的發(fā)展歷程

等級保護(hù)思想最早源于20世紀(jì)60年代的美軍文件保密制度,其中第一個(gè)比較成熟并且具有重大影響的是1985年的《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》(TCSEC),該準(zhǔn)則是當(dāng)時(shí)美國國防部為適應(yīng)軍事計(jì)算機(jī)的保密需要提出的,主要是針對沒有外部連接的多用戶系統(tǒng)提出。

受美國等級保護(hù)思想的影響,歐盟和加拿大也分別制定自己的等級保護(hù)評估準(zhǔn)則。英、法、德、荷等四國于1991年提出了包含保密性、完整性、可用性等概念的歐共體的《信息技術(shù)安全評估準(zhǔn)則》(ITSEC)。ITSEC 作為多國安全評估標(biāo)準(zhǔn)的綜合產(chǎn)物,適用于軍隊(duì)、政府和商業(yè)部門。1993年加拿大公布《可信計(jì)算機(jī)產(chǎn)品評估準(zhǔn)則》(CTCPEC)3.0版本。CTCPEC作為TCSEC和ITSEC的結(jié)合,將安全分為功能性要求和保證性要求兩部分。功能性要求分為機(jī)密性、完整性、可用性、可控性等四個(gè)大類。

為解決原各自標(biāo)準(zhǔn)中出現(xiàn)的概念和技術(shù)上的差異,1996年美國、歐盟、加拿大聯(lián)合起來將各自評估準(zhǔn)則合為一體,形成通用評估準(zhǔn)則(Common Criteria)。1999年出臺(tái)的CC2.1版本被ISO采納,作為ISO15408。在CC中定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需要的基礎(chǔ)準(zhǔn)則,是度量信息技術(shù)安全性的基準(zhǔn)。

1.3 我國信息安全等級保護(hù)的發(fā)展歷程

在國際信息安全等級保護(hù)發(fā)展的同時(shí),隨著信息化建設(shè)的發(fā)展,我國的等級保護(hù)工作也被提上日程。其發(fā)展主要經(jīng)歷了四個(gè)階段。

1994-2003年是政策環(huán)境營造階段。國務(wù)院于1994年頒布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。2003年,中央辦公廳、國務(wù)院辦公廳頒發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確指出“實(shí)行信息安全等級保護(hù)”。此文件的出臺(tái)標(biāo)志著等級保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國家信息安全保障一項(xiàng)基本制度。

2004-2006年是等保工作開展準(zhǔn)備階段。2004年至2006年期間,公安部聯(lián)合四部委開展了涉及65117家單位,共115319個(gè)信息系統(tǒng)的等級保護(hù)基礎(chǔ)調(diào)查和等級保護(hù)試點(diǎn)工作。通過摸底調(diào)查和試點(diǎn),探索了開展等級保護(hù)工作領(lǐng)導(dǎo)、組織、協(xié)調(diào)的模式和辦法,為全面開展等級保護(hù)工作奠定了堅(jiān)實(shí)的基礎(chǔ)。

2007-2010年是等保工作正式啟動(dòng)階段。2007年6月,四部門聯(lián)合出臺(tái)了《信息安全等級保護(hù)管理辦法》。7月四部門聯(lián)合頒布了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》,并于7月20日召開了全國重要信息系統(tǒng)安全等級保護(hù)定級工作部署專題電視電話會(huì)議,標(biāo)志著我國信息安全等級保護(hù)制度歷經(jīng)十多年的探索正式開始實(shí)施。

2010年至今是等保工作規(guī)模推進(jìn)階段。2010年4月,公安部出臺(tái)了《關(guān)于推動(dòng)信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》,提出等級保護(hù)工作的階段性目標(biāo)。2010年12月,公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)聯(lián)合出臺(tái)了《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知》,要求中央企業(yè)貫徹執(zhí)行等級保護(hù)工作。至此我國信息安全等級保護(hù)工作全面展開,等保工作進(jìn)入規(guī)?;七M(jìn)階段。

2 我國信息安全等級保護(hù)的現(xiàn)狀

2.1 等級保護(hù)的組織架構(gòu)初步形成

截止目前,除了國家信息安全等級保護(hù)協(xié)調(diào)小組辦公室外,在大陸31個(gè)省、自治區(qū)、直轄市當(dāng)中除天津、黑龍江、河南、重慶、陜西外,有26個(gè)行政區(qū)成立了省級的信息安全等級保護(hù)協(xié)調(diào)小組辦公室。22個(gè)省、自治區(qū)、直轄市建立了信息安全等級保護(hù)聯(lián)絡(luò)員制度,共確定1598名聯(lián)絡(luò)員。獲得信息安全等級保護(hù)測評機(jī)構(gòu)推薦資質(zhì)的測評機(jī)構(gòu)共121家,除新疆外各省均有獲得資質(zhì)的等級保護(hù)測評機(jī)構(gòu),其中國家的測評機(jī)構(gòu)有7家,北京市有10家,江蘇省有14家,浙江省、山東省各有7家,廣東省有6家,其他省、自治區(qū)、直轄市有1-5家不等。25個(gè)行政區(qū)建立了等級保護(hù)專家組,共確定441名專家。

2.2 信息安全等級保護(hù)的政策體系初步形成

為組織開展信息安全等級保護(hù)工作,國家相關(guān)部委(主要是公安部牽頭組織,會(huì)同國家保密局、國家密碼管理局、原國務(wù)院信息辦和發(fā)改委等部門)相繼出臺(tái)了一系列文件,對具體工作提供了指導(dǎo)意見和規(guī)范,這些文件初步構(gòu)成了信息安全等級保護(hù)政策體系。具體關(guān)系如圖1。

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》分別是開展信息安全等級保護(hù)工作的法律依據(jù)和政策依據(jù)?!蛾P(guān)于信息安全等級保護(hù)工作的實(shí)施意見》和《信息安全等級保護(hù)管理辦法》是在法律依據(jù)和政策依據(jù)的基礎(chǔ)上制定的政策文件,其為等級保護(hù)工作的開展提供宏觀指導(dǎo)。在上述基礎(chǔ)上,針對信息安全等級保護(hù)工作的定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查的各工作環(huán)節(jié)制定具有操作性的指導(dǎo)文件。政策體系的形成,為組織開展等級保護(hù)工作、建設(shè)整改工作和等級測評工作提供了指導(dǎo),明確了各環(huán)節(jié)的工作目標(biāo)、工作要求和工作流程。

2.3 信息安全等級保護(hù)的標(biāo)準(zhǔn)體系基本完善

為推動(dòng)信息安全等級保護(hù)工作,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等級保護(hù)工作需要的一系列標(biāo)準(zhǔn),匯集成《信息安全等級保護(hù)標(biāo)準(zhǔn)匯編》,為開展等級保護(hù)工作提供了標(biāo)準(zhǔn)指導(dǎo)。這些標(biāo)準(zhǔn)與等保各環(huán)節(jié)的工作關(guān)系如圖2所示。

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》及配套標(biāo)準(zhǔn)是《信息系統(tǒng)安全等級保護(hù)基本要求》的基礎(chǔ)。《信息系統(tǒng)安全等級保護(hù)基本要求》是信息系統(tǒng)安全建設(shè)整改的依據(jù),信息系統(tǒng)安全建設(shè)整改應(yīng)以落實(shí)《基本要求》為主要目標(biāo)?!缎畔⑾到y(tǒng)安全等級保護(hù)定級指南》是定級工作的指導(dǎo)性文件,為信息系統(tǒng)定級工作提供了技術(shù)支持。《信息系統(tǒng)安全等級保護(hù)測評要求》等標(biāo)準(zhǔn)規(guī)范了等級測評活動(dòng),為等級測評機(jī)構(gòu)開展等級測評活動(dòng)提供了測評方法和綜合評價(jià)方法?!缎畔⑾到y(tǒng)安全等級保護(hù)實(shí)施指南》是信息系統(tǒng)安全等級保護(hù)建設(shè)實(shí)施的過程控制標(biāo)準(zhǔn),用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位了解和掌握信息安全等級保護(hù)工作的方法、主要工作內(nèi)容以及不同的角色在不同階段的作用。

2.4 信息安全等級保護(hù)的工作取得一定進(jìn)展

各重點(diǎn)行業(yè)根據(jù)等級保護(hù)的政策要求開展了本系統(tǒng)內(nèi)的等級保護(hù)工作。為落實(shí)相關(guān)等級保護(hù)政策有關(guān)行業(yè)制定了自己的行業(yè)標(biāo)準(zhǔn),例如《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)等級指南》、《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》等。金融領(lǐng)域,人民銀行出臺(tái)了《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級保護(hù)等級的指導(dǎo)意見》,并于2012年了金融行業(yè)的《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》、《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》等三項(xiàng)行業(yè)標(biāo)準(zhǔn),在采用《信息系統(tǒng)信息安全等級保護(hù)基本要求》的590項(xiàng)基本要求的基礎(chǔ)上,補(bǔ)充細(xì)化基本要求項(xiàng)193項(xiàng),新增行業(yè)特色要求項(xiàng)269項(xiàng),為金融行業(yè)開展關(guān)鍵信息系統(tǒng)信息安全等級保護(hù)實(shí)施工作具奠定了堅(jiān)實(shí)基礎(chǔ)。

測評和安全建設(shè)工作有序開展。截止到2012年底,全國已經(jīng)開展了5萬多個(gè)第二級信息系統(tǒng)和4萬多個(gè)三級系統(tǒng)的等級測評,并完成了相應(yīng)的信息系統(tǒng)的等級保護(hù)安全建設(shè)整改。2012年底,全國性銀行業(yè)金融機(jī)構(gòu)完成了880個(gè)二級以上信息系統(tǒng)的定級評審。2012年對反洗錢中心、征信中心、清算中心和金融中心的48個(gè)重要信息系統(tǒng)進(jìn)行了測評,共發(fā)現(xiàn)4284項(xiàng)安全問題,整改完整3451向,通過整改后其信息系統(tǒng)的整改測評率達(dá)到了90%以上。

3 我國信息安全等級保護(hù)存在的問題

3.1 信息系統(tǒng)運(yùn)營使用單位對等級保護(hù)工作的重視程度還不夠

近年來信息安全等級保護(hù)主管部門高度重視等級保護(hù)工作,制定相關(guān)政策和標(biāo)準(zhǔn),舉辦等級測評師培訓(xùn)等,但信息系統(tǒng)主管部門以及全社會(huì)對信息安全等級保護(hù)在信息安全保障體系中的基礎(chǔ)性地位認(rèn)識(shí)還不到位,難以將等級保護(hù)制度和已有信息安全防護(hù)體系相銜接,工作方式簡單,手段缺乏,甚至出現(xiàn)以其他工作代替信息安全等級保護(hù)工作的消極傾向。同時(shí),在工作中,一些企業(yè)還存在不愿投資,不愿受監(jiān)管的思想,為節(jié)省人力、物力、財(cái)力將本該定為三級的重要信息系統(tǒng)定位二級,這些都影響信息安全等級保護(hù)制度的全面落實(shí)。

3.2 等級保護(hù)屬于合規(guī)性被動(dòng)防護(hù)與目前信息安全主動(dòng)防御需求還有差距

信息安全等級保護(hù)屬于政策性驅(qū)動(dòng)的合規(guī)性保護(hù),這種合規(guī)性保護(hù)只關(guān)注通用信息安全需求,并且屬于被動(dòng)保護(hù),對于當(dāng)前信息安全保護(hù)中的主動(dòng)防御要求還有差距。例如,中國鐵路客戶服務(wù)中心12306網(wǎng)站定義為等級保護(hù)四級,2012年,曾暴露出被黑客拖庫,以及因機(jī)房空調(diào)問題停止服務(wù)等問題,而這兩項(xiàng)內(nèi)容都在等級保護(hù)規(guī)范中有明確的要求。所以,認(rèn)為通過等級保護(hù)的評測就不會(huì)出問題顯然是一種誤區(qū)。

另外,2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施,表明網(wǎng)絡(luò)攻擊由傳統(tǒng)“軟攻擊”上升為直接攻擊要害系統(tǒng)的“硬摧毀”。2013年曝出的棱鏡門事件,2014年曝出的美國國安局入侵華為服務(wù)器等,這些事件表明當(dāng)今信息安全的主要特征是要建立主動(dòng)防御體系,例如建立授權(quán)管理機(jī)制、行為控制機(jī)制以及信息的加密存儲(chǔ)機(jī)制,即使信息得到泄露也不會(huì)被黑客輕易獲得。而等級保護(hù)是一種被動(dòng)的、前置的保護(hù)手段,與當(dāng)前信息安全保護(hù)所要求的實(shí)時(shí)的、主動(dòng)防御還有一定的差距。

3.3 現(xiàn)有防護(hù)手段難以滿足新技術(shù)發(fā)展應(yīng)用中的信息安全需求

信息安全等級保護(hù)政策標(biāo)準(zhǔn)的滯后,難以滿足新技術(shù)應(yīng)用的信息安全需求。例如,當(dāng)前的物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)的應(yīng)用呈現(xiàn)出新特點(diǎn),提出了新的安全需求,在網(wǎng)絡(luò)層面原本相對比較封閉的政府、金融、能源、制造系統(tǒng)開始越來越多的與互聯(lián)網(wǎng)相連接;計(jì)算資源層面,云計(jì)算的應(yīng)用,呈現(xiàn)出邊界的消失、服務(wù)的分散、數(shù)據(jù)的遷移等特點(diǎn),使得業(yè)務(wù)應(yīng)用和信息數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)愈發(fā)復(fù)雜化。用戶終端層面,移動(dòng)互聯(lián)、智能終端大行其道,BYOD的應(yīng)用等,都為企業(yè)信息安全管理提出新挑戰(zhàn)。

大數(shù)據(jù)的應(yīng)用,很可能會(huì)出現(xiàn)將某些敏感業(yè)務(wù)數(shù)據(jù)放在相對開放的數(shù)據(jù)存儲(chǔ)位置的情況。針對這些邊界逐漸消失,服務(wù)較為分散,應(yīng)用呈現(xiàn)虛擬化,敏感業(yè)務(wù)數(shù)據(jù)放在相對開放的數(shù)據(jù)存儲(chǔ)位置,等級保護(hù)的“分區(qū)、分級、分域”保護(hù)的原則已無法有效應(yīng)用。如何有效滿足新技術(shù)應(yīng)用下的信息安全需求,也是等級保護(hù)下一步需要考慮的內(nèi)容。

4 進(jìn)一步做好信息安全等級保護(hù)的相關(guān)建議

4.1 擴(kuò)大宣傳力度,提高全社會(huì)對等保的重視程度

等級保護(hù)是我國信息安全建設(shè)的基本制度,需提高全社會(huì)對等級保護(hù)的重視程度,尤其是要提高信息系統(tǒng)主管部門對信息安全等級保護(hù)工作重要性的認(rèn)識(shí)。在工作中,可以通過重要信息系統(tǒng)之間的項(xiàng)目依賴性分析,關(guān)鍵部門影響性分析等方法,來增強(qiáng)信息系統(tǒng)主管部門以及全社對信息系統(tǒng)信息安全重要性的認(rèn)識(shí)。在各行業(yè)、企業(yè)內(nèi)部,應(yīng)當(dāng)通過加強(qiáng)宣傳教育培訓(xùn),提高信息系統(tǒng)使用和運(yùn)維人員的對信息安全等級保護(hù)的重視程度。在等級保護(hù)工作推進(jìn)工作中,對故意將信息系統(tǒng)安全級別定低現(xiàn)象進(jìn)行嚴(yán)查。

4.2 引入可信計(jì)算等主動(dòng)防御理念,充分發(fā)揮等保在信息安全建設(shè)中的作用

要充分發(fā)揮等保在國家信息安全建設(shè)中的作用,需要從技術(shù)和管理兩個(gè)方面進(jìn)行安全建設(shè),做到可信、可控、可管;并且應(yīng)當(dāng)具有抵御來自敵對組織高強(qiáng)度連續(xù)攻擊(APT)的能力,以滿足當(dāng)前信息安全形勢的需求。而可信計(jì)算技術(shù)可以實(shí)現(xiàn)計(jì)算處理結(jié)果與預(yù)期的相一致,中間過程可控制管理、可度量驗(yàn)證。因此,可在信息安全等級保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)中引入可信計(jì)算的理念,將傳統(tǒng)的三重防護(hù)上升為可信計(jì)算環(huán)境、可信邊界、可信通信網(wǎng)絡(luò)組成的可信環(huán)境下的三重防護(hù),從而實(shí)現(xiàn)主體的可信計(jì)算安全,進(jìn)一步實(shí)現(xiàn)等級保護(hù)主動(dòng)防御功能,充分發(fā)揮等級保護(hù)在信息安全建設(shè)中的作用。

4.3 完善等保技術(shù)標(biāo)準(zhǔn)體系,推進(jìn)等級保護(hù)在云計(jì)算中的應(yīng)用

針對當(dāng)前的物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)網(wǎng),云計(jì)算應(yīng)用中帶來的數(shù)據(jù)高度集中、高虛擬化等的特點(diǎn),信息安全等級保護(hù)應(yīng)當(dāng)在等級保護(hù)建設(shè)時(shí)必須加入對終端安全更高的基本需求。例如,在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑;通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄等。同時(shí)在虛擬環(huán)境下,要求安全設(shè)備能識(shí)別網(wǎng)絡(luò)虛擬標(biāo)簽,區(qū)分每臺(tái)虛擬機(jī)主機(jī)。針對云計(jì)算中邊界模糊化的特點(diǎn),可以通過軟件安全實(shí)現(xiàn)對動(dòng)態(tài)邊界的監(jiān)測,保證其安全。具體推進(jìn)中,可以通過完善等級保護(hù)相關(guān)整改建設(shè)指南,等級測評工作指南以及相關(guān)技術(shù)標(biāo)準(zhǔn)等,以指導(dǎo)具體工作的開展,從而以推進(jìn)等級保護(hù)在云計(jì)算、物聯(lián)網(wǎng)、工控領(lǐng)域的等中的應(yīng)用。

4.4 借鑒經(jīng)驗(yàn),完善等級保護(hù)制度設(shè)計(jì)和體系建設(shè)

目前《信息安全等級保護(hù)定級指南》確定的對象是信息系統(tǒng),《信息安全等級保護(hù)基本要求》也是針對自身具備運(yùn)行的物理環(huán)境、網(wǎng)絡(luò)環(huán)境、系統(tǒng)環(huán)境和應(yīng)用以及相關(guān)人員和管理體系等完整、標(biāo)準(zhǔn)的意義上的信息系統(tǒng)而提出的,而對于重要信息系統(tǒng)運(yùn)行所依賴的網(wǎng)絡(luò)系統(tǒng)、IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)、災(zāi)備中心等這樣的對象,無論是定級方法、保護(hù)要求還是測評結(jié)果判定方面等都還存在不合適的地方。

對此可以在定級過程中,參考美國經(jīng)驗(yàn),引入系統(tǒng)法(特別是相互依賴性分析)和象征法,加深對定級對象的認(rèn)識(shí),通過仿真建模等分析技術(shù)進(jìn)行定級合理性的驗(yàn)證。在等級測評過程可以引入風(fēng)險(xiǎn)分析、威脅評價(jià)、系統(tǒng)分析等過程加強(qiáng)測評結(jié)果的可量化性。同時(shí)研究國外相關(guān)信息安全建設(shè)中的法律體系、標(biāo)準(zhǔn)體系、組織保障體系等,并在此基礎(chǔ)上進(jìn)行自主創(chuàng)新,以改進(jìn)我們等級保護(hù)實(shí)踐中發(fā)展的制度設(shè)計(jì)問題,提高政策、理論和技術(shù)水平。

5 結(jié)束語

當(dāng)前信息技術(shù)發(fā)展迅速,信息安全面臨的國際形勢日益嚴(yán)峻,信息安全等級保護(hù)作為貫穿信息系統(tǒng)整個(gè)生命周期的信息安全保障措施,應(yīng)當(dāng)不斷完善其法律體系、技術(shù)標(biāo)準(zhǔn)體系以及實(shí)施保障機(jī)制等,以適應(yīng)滿足新形勢下的信息安全需求。

參考文獻(xiàn)

[1] 《信息安全等級保護(hù)管理辦法》(公通字[2007] 43 號).公安部,2007.

[2] 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859).

[3] DoD ,Trusted Computer System Evaluation Criteria(Orange Book), 26 December 1985.

[4] Information Technology Security Evaluation Criteria;1994.

[5] The Canadian Trusted Computer Product Evaluation Criteria;Version 3 ;1993.

[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3, Version2.1. Augest 1999.

[7] ISO/IEC 15408-1:2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.

[8] 國務(wù)院.《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》. 1994.

[9] 公安部、國家保密局、國家密碼管理委員會(huì)和國家信息辦.《信息安全等級保護(hù)的實(shí)施意見》(公信安[2007] 861 號). 2007.

[10] 宋言偉,馬欽德,張健.信息安全等級保護(hù)政策和標(biāo)準(zhǔn)體系綜述.信息通信技術(shù),2010(6):59-61.