网络安全及等级保护范文

时间:2023-09-14 17:50:43

导语:如何才能写好一篇网络安全及等级保护,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全及等级保护

篇1

1三级安全系统模型的构建

1.1安全计算环境的具体实施

安全计算环境就是对相关等级系统进行详细的管理,通过对相关信息的存储、处理以及安全策略的实施,掌握信息系统的核心情况。安全计算环境在其有效的区域边界安全防护之下,可以有针对性的避免各种外界网络攻击行为以及一些非授权的访问。对此,安全计算机环境的整体安全防范工作就是有计划有标准的提升系统整体安全性改造,避免出现系统因为自身的安全漏洞、系统缺陷等原因导致的攻击问题。同时,安全计算环境自身安全防护工作的开展,主要是实现对系统内部产生的相关攻击以及非授权访问的各种各样行为进行防范与控制,避免内部人员因自身的数据以及信息处理方式导致的各种破坏行为的产生。

1.2安全网络环境的具体实施

信息系统中的各个计算机与计算域、用户与用户域主要是通过网络进行系统的衔接,网络对不同系统之间的相关信息传输有着承载通道的主要作用。网络在应用中可以位于系统之内也可以位于系统之外,其中一些网络数据信息流,或多或少会通过或者经过一些不稳定的网络环境进行传输。对此,网络安全防护工作在实际操作过程中,首先要保障整个网络设备自身的安全性,要对设备进行定期的维护,避免其受到各种网络攻击,进而在最大程度上提升网络中信息流的整体安全健壮性,之后在此基础上逐步提升其整体通信架构的实用性,完整性以及保密性。基于网络自身的保密要求,在应用中要使用网络加密技术与应用本身进行融合,进而实现三级保护中的相关要求。网络安全域要具有自身的网络结构安全范围,同时可以对相关网络的具体访问操作进行系统的控制,进一步提升对安全审计工作的重视,保障相关边界的完整性,避免各种网络入侵以及网络攻击问题的出现,杜绝恶意代码问题的产生,进而实现整体网络设备的有效防护与相关网络信息保护功能。

1.3安全区域边界的具体实施

边界安全防护是指在相关信息安全系统的各种业务流程上对其进行区分与划分,是不同应用与数据内容的安全域的系统边界。一般状况之下,边界安全的防护边界与相关防御工作的开展就是通过依托于相关隔离设备与防护技术进行完成的,并且将其作为安全保护的切入点,边界防护主要实现网络隔离、地址绑定以及访问控制管理等相关功能。其主要目标是对相关边界内外部的各种攻击进行检测、告警与防御,可以有效的避免内部相关工作人员出现恶意或者无意的跨越边界造成攻击与泄露行为隐患。相关管理人员通过对相关日志的审核,可对一些违规事件进行详细的审计追踪。

1.4安全管理中心的具体实施

安全管理中心是整个信息系统的核心安全管理系统,对于整个系统的安全机制管理有着重要的作用,作为信息系统的核心安全管理平台,是对相关信息系统不同的安全机制进行有效高效的管理,安全管理中心将相关系统中的较为分散的安全机制进行系统化的管理后,通过集中管理模式提升其整体效能与作用。安全管理中心可以将其作为整个信息系统中与相关体系域中的整体安全计算域、相关安全用户域以及各个网络安全域等流程进行系统的进行统筹记录与分析管理,进而对其进行整体的统一调度,有效实现相关用户身份与授权、用户访问与控制、用户操作与审计的过程管理,最终达到对其存在的风险进行控制、通信架构运行情况得到实施展现于掌握,充分地凸显整体安全防护系统的内在效能与作用。

2信息安全系统的有效实现

2.1系统定级实现

系统定级在操作中主要涵盖了系统识别与相关描述,利用风险评估,基于相关标准对整个信息系统的实际等级标准进行确定,在通过相关部门批准之后形成一个定级报告,在此基础上最后完成相关信息系统的等级划分与具体的定级工作。

2.2总体的安全建设规划

总体的安全建设规划主要是基于相关信息系统,承载相关业务的状况,根据风险评估数据,明确其具体结构,综合实践中存在的安全风险,结合相关系统的具体安全要求,并制定出一个具体的安全实施计划,为今后的信息系统安全建设工程的相关内容实施提供参考依据与指导。对处于一些已经开展的信息系统,要对其具体的需求进行分析,判断其整体状况与要求,明确差距后再开展工作。

2.3安全实施

安全实施的过程就是根据信息系统的整体方案的相关要求,综合信息系统的项目建设计划与目的,分期分步的落实各项安全措施,同时将根据具体的等级需求,制定符合其对应等级的安全需求方案,对整个系统进行评估,使其满足各种不同等级的保护需求。

2.4运行与维护工作

在系统的整体运行期间,需对全网整体的安全风险进行监控,对其变化进行分析,进而对其安全运行状况进行系统化的评估。基于具体的评估结果对整个系统中存在安全隐患的架构部分进行优化设计与改造,进而制定相应的安全措施。

3结束语

信息安全系统的实施对于网络安全等级的优化有着重要的意义,对此要提升对其工作的重视度,全面践行相关等级保护与实施方案中的各项措施,提升整体的网络安全性。

参考文献

[1]陈华智,张闻,张华磊.网络安全等级保护实施方案的实施及应用实践[J].浙江电力,2011(03):54-57.

[2]张都乐,何淼,张洋,王照付.信息系统等级保护实施方案研究与分析[J].网络安全技术与应用,2012(08):5-7.

篇2

根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[200]27号)、《北京市政务与公共服务信息化工程建设管理办法》(市政府第67号令)、《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》(京办发[200]3号)以及其他有关法律、法规的规定,结合本市实际情况,现就本市党政机关开展网络与信息系统安全等级保护工作的有关要求通知如下:

一、充分认识开展安全等级保护工作的重要意义

为进一步提高信息安全保障能力和防护水平,维护国家安全、社会稳定,保障和促进信息化建设的健康发展,国务院在全面分析全国信息安全保障工作形势的基础上,针对存在问题,明确指示要抓紧建立信息安全等级保护制度,制定信息安全等级保护管理办法和技术指南,突出重点,切实保护好基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。国务院的指示对于加强信息安全保障工作十分重要,我市要认真贯彻执行。

开展安全等级保护工作就是依据网络与信息系统的重要程度和面临的安全风险等因素,综合平衡安全成本和风险,划分系统的安全等级,优化资源配置,进行建设和管理。

开展安全等级保护工作是关系到信息化建设全局的重要举措,是做好信息安全保障工作基本思路,是网络与信息系统基础设施建设的重要内容,是一个非静止、非僵化的系统工程。切实做好安全等级保护工作,建立安全等级保护制度,能够使我市的网络与信息系统防护水平从“独立运行、自主保护”的状况尽快过渡到“统一管理平台、统一安全标准”的阶段;能够有效地提高网络与信息系统安全建设的整体水平,增强使用效益;能够使信息安全与信息化建设协调发展,减少建设成本;重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;能够明确国家、法人和其他组织、公民的信息安全责任;能够有力推动信息安全产业发展,探索一套适应社会主义市场经济发展的信息安全发展模式。同时,开展安全等级保护工作也是加速首都现代化建设和成功举办2008年奥运会的迫切需要。

二、加强对安全等级保护工作的指导和管理

在北京市网络与信息安全协调小组的统一领导下,市信息办会同有关部门负责本市党政机关网络与信息系统安全等级保护的统筹规划、综合协调和监督检查,并对重要网络与信息系统的安全等级保护定期进行检查指导,并定期通报。

各区县信息化主管部门会同有关部门负责本区县党政机关网络与信息系统安全等级保护的统筹规划、综合协调和监督检查。

本市各级党政机关负责本单位网络与信息系统安全等级保护的组织实施。

涉及到国家秘密的网络与信息系统按照国家和本市有关保密规定执行。

北京市信息安全测评中心负责本市各级党政机关重要网络与信息系统实行安全等级保护过程中的检查评估和验收的安全测评。

各单位在自定级过程中,可以委托专业信息安全服务机构协助完成,市信息办将定期公布通过信息安全服务能力评估的机构目录。

三、开展安全等级保护工作的实施计划

本市各级党政机关网络与信息系统均要开展安全等级保护工作。新建和已建成但未正式运行的网络与信息系统要按照安全等级保护制度的有关要求进行建设;已经正式运行的网络与信息系统要按计划逐步纳入安全等级保护制度;网络与信息系统结构和功能等要素发生变化,要及时重新进行风险评估、安全定级和检测评估。各单位均应根据所核定的安全等级进行使用和管理。主要职责是:落实相应的管理制度和技术保护要求,组织管理人员和技术人员进行安全教育培训;适时进行安全应急预案的演练;定期组织自评估,保持系统良好的安全状态;认真履行信息安全等级管理职责,协助主管部门做好网络与信息系统的安全等级保护检查工作。

安全等级保护是一项基础性、长期性的工作,各单位均要将其作为一项重要内容纳入整个信息化建设过程的始终,切实抓好落实工作。在全市党政机关建立网络与信息系统的安全等级保护制度,计划用三年时间,分为四个步骤。

准备阶段:200年6月底完成。主要做好以下工作:明确主管部门、专业技术支撑单位和使用单位的职责、权利和义务,理顺关系,建立协调配合和管理的运行机制;依照国家有关法规,制定、完善安全等级保护工作的相关的配套文件;广泛开展宣传教育工作,组织培训,特别是对监管队伍和专业技术支撑单位人员的培训,在思想认识、政策理论、管理和技术等方面作好充足准备。

试行阶段:200年底前完成。在前期准备的基础上,全面展开建立安全等级保护制度的工作。工作内容包括:自定级、备案、建设整改、检查评估。其中,200年9月底前,各单位要完成自身网络与信息系统的自定级工作;200年10月底前,各单位要完成3级以上的网络与信息系统向市信息办备案工作;200年6月底前,各单位要完成对正在运行的3级以上的网络与信息系统的整改工作;200年12月底前,完成对本市部分重要网络与信息系统的检查评估工作。

完善阶段:200年12月底前完成。其中,200年6月底前完成本市党政机关开展安全等级保护的总结工作、相关配套文件的修订工作和信息安全测评基础设施能力建设工作;200年12月底前,完成本市重要网络与信息系统的检查评估工作。

正常阶段:200年开始,全市各级党政机关全面推行网络与信息系统安全等级保护制度,转入经常性工作。各单位每年应对其自身的网络与信息系统进行一次自评估;市信息办每两年对本市各级党政机关重要网络与信息系统进行一次检查评估。

各单位要认真执行安全等级保护的有关规定,认真落实安全等级保护制度,自觉接受主管部门的检查指导,切实做好信息安全保障工作。

四、坚决落实安全等级保护工作的各项措施

各单位要认真贯彻执行国家和本市关于信息化建设和信息安全保障工作的一系列指示、要求和规定,切实保证信息安全等级保护工作的顺利开展。

(一)各单位在立项前对其网络与信息系统进行风险评估,依据《北京市党政机关网络与信息系统安全定级指南》(见附件)自行确定安全等级。3级以上网络与信息系统应填写《北京市党政机关网络与信息信息安全定级备案(审查)表》,报市信息化主管部门审查。未经审查的,依据北京市人民政府第67号令《北京市政务与公共服务信息化工程建设管理办法》第八条规定,主管部门不予批准立项,财政部门不予拨款。

(二)在信息化项目预算时,各单位要按照等级保护的要求将安全等级保护的各项费用(风险评估、方案设计、工程实施、测评验收、工程监理等)列入项目预算;在网络与信息系统运行后,也要按照安全等级保护的要求将相关费用列入系统运行维护费。

(三)各单位的重要网络与信息系统在正式投入运行前应依据北京市人民政府第67号令《北京市政务与公共服务信息化工程建设管理办法》第十三条规定,经过安全测评认证,未经测评认证的,不得投入运行。

(四)北京信息安全测评中心在测评过程中必须坚持客观公正、实事求是的原则,出具真实的测评报告,市信息办对安全等级保护测评活动进行监督管理,对违反上述原则,出具虚假报告等行为的将追究有关领导和责任人的责任;情节严重构成犯罪的,由有关部门追究其法律责任。

(五)专业信息安全服务机构为本市各级党政机关提供信息安全服务应符合国家和本市的有关规定,北京信息安全测评中心应定期了解为本市各级党政机关提供信息安全服务机构的有关情况、征求用户意见,对有问题的单位提出建议和警告,问题严重的应取消其信息安全服务能力等级证书并予以公布。

(六)市信息办加强对安全等级保护工作的指导和监督检查。对违反有关规定的,要及时进行纠正;情节严重并造成重大损失的,由其上级主管部门依照有关规定追究单位负责人和有关人员的行政责任。构成犯罪的,由有关部门追究其法律责任。

五、切实加强对安全等级保护工作的组织领导

篇3

根据州综合行政执法局《关于开展网络安全自查自检工作的通知》的要求,积极安排部署,结合检查内容及相关要求,成立专门的领导小组,由局长任组长、下设办公室,做到分工明确,责任到人,对局所有的计算机及网络安全情况进行自查,确保网络安全自查工作顺利实施。

二、网络安全等级保护工作开展情况

按照县级网络安全主管部门的工作要求将网络安全保护工作纳入日常工作中,要求网络安全负责人员以高度的责任感负责日常网络安全检查工作,任何个人不得在办公电脑上使用违反网络安全的软件,一旦发现将交由相关部门处理。但是暂未将网络安全等级保护纳入年度考核,行业网络安全工作经费未纳入年度预算。

三、关键信息基础设施安全保护工作开展情况

因单位新成立,目前正建立健全单位的基本规章制度,关于行业信息基础设施安全保护工作方面的行业标准规范、基础设施认定规则、保障机制将会纳入下一步的工作计划当中,尽快建立健全基础设施保护机制。

四、网络与信息安全信息通报工作开展情况

网络安全作为当前比较具有危险性的工作,加强网络安全检测是一项非常重要的工作,局长作为第一责任将会定期检查单位日常网络使用情况,以有则改之,无则加勉的态度要求网络使用者提高网络使用的警惕性,局办公室将会根据网络安全使用的情况进行通报批评,个人根据自己的出现的问题进行检讨,不断提高网络使用者的网络安全意识。

五、网络安全防护类平台建设工作开展情况

由于单位的能力和水平还未建设网络安全防护类平台建设。

六、当前网络安全方面存在的突出问题

(一)网络安全基础设施保护不规范。经自查发现:未制定出台关键信息基础设施保护行业规范,未建立关键信息基础设施安全保障机制,对本单位信息基础设施安全保护工作自查意识不强。

(二)网络安全制度不健全。自查发现:未制定网络安全考评、本行业网络安全与信息安全通报、未出台网络安全保护政策、管理办法、管理规定等规范性文件。

篇4

关键词:边界防护;安全域划分;入侵检测;等级保护

中图分类号: TM247 文献标识码: A 文章编号:

0 引言

随着电网公司SG186工程的实施和信息化建设的逐步推进,重要应用系统已集中部署到省公司,市级电力企业将主要负责数据采集和网络实时传输工作,信息网络的安全稳定性将直接影响信息系统的安全、可靠。电力企业通过网络分区分域、边界防护、规范安全配置及部署网络监测防护等手段,建立信息网络安全防护体系,提高了信息安全运行水平。

1 企业信息网分区分域

1.1 信息网络分区

电力企业信息网络分为信息外网区和信息内网区。结合资金、通道资源等因素考虑,省、地、县信息广域骨干网将做内外网逻辑隔离,全部骨干网节点上投运具备MPLS-VPN功能的高端路由器设备,信息外网以信息内网为承载网,开通MPLS-VPN通道到各地、县本地网接入点,地、县本地局域网以物理隔离方式分别组建信息内网和信息外网实现内外网隔离。

1.2 安全域建设

网络安全的基本策略是进行安全区域划分,根据信息业务安全等级差异可划分不同安全等级的区域,实现对安全风险的有效隔离。市级电力企业主要的营销管理系统、生产管理系统、协同办公系统等已全部集中部署在省公司,因此在市公司中,系统均为二级系统。根据网络安全域与网络功能区相匹配的原则,信息内网安全域可划分为系统服务器域和内网终端域两个,并通过防火墙实现安全风险隔离。信息外网因没有对外业务应用系统,全部为外网终端,因此外网只有外网终端域。信息内网网络示意图如图1所示:

图1 信息内网网络示意图

2 网络边界防护

边界防护是指网络区域间和区域内所有网络流量必须在明确的策略允许下进行传输,数据流进行严格的控制,包括数据流的源和目的地址,控制精度达到端口级,默认拒绝所有不确定的数据流。边界的隔离防护功能可以从物理上实现,也可在网络层和系统层实现。市级电力企业信息内外网实现物理隔离方式,信息内网不存在第三方边界,信息内网的网络边界根据区域网络数据流向划分为纵向边界、横向边界和终端接入边界。划分示意图如图2所示。

图2 边界划分示意图

2.1 纵向边界防护

市级信息网络纵向边界分为上联省公司边界和下联县级公司边界两部分,边界划分和隔离方式基本相同,采用BGP协议划分不同的自治系统域网络边界,以口字形方式双机冗余连接,部署防火墙做网络边界隔离,通过防火墙的访问控制策略实现数据流的纵向访问控制防护。

2.2 横向边界防护

市级信息网络横向边界分为安全域间边界防护和网段间防护。安全域边界防护采用防火墙作边界安全策略配置,实现服务器域和内网终端域间的安全访问控制;网段间防护包括服务器网段VLAN划分和内网终端域网段VLAN划分,通过在网络设备层上配置详细的VLAN访问控制策略实现网段间的边界防护。

2.3 终端接入边界防护

终端接入边界防护主要是计算机终端和接入层交换机的安全接入控制,包括设备接入许可控制和外联阻断。设备接入控制采用网络层的IP-MAC地址绑定功能做接入许可控制,并在网络设备端作端口访问控制策略;外联阻断控制是部署终端管理系统实时对设备外联进行检测,如有连接外网可主动发起阻断操作并告警,通过应用系统层做边界接入防护。

3 规范网络安全配置

网络安全威胁是实际存在的,网络本身的安全性配置是网络系统的安全基础,可最大程度地降低网络层的攻击威胁。如何正确有效地启用各类网络安全配置是网络日常维护深入的重点。网络设备安全配置总体包括网络服务、网络协议和网络访问控制三方面。以cisco网络设备为例,列举以下安全配置:

4 网络安全监测防护

4.1 网络管理系统

网管系统可对网络设备进行远程管理和状态监控,实现对网络内所有网络设备的告警监测和故障定位,使用运行管理功能能提供网络故障预警、故障定位。同时能确定网络设备CPU、内存的负荷、站点的可到达性、网络链路流量、传输速率、带宽利用率、时延、丢包等。并发现系统的物理连接和系统配置的问题,进而优化网络性能、提高网络运行效益。是网络管理员管理网络的重要手段。

4.2 入侵检测系统

人侵检测系统能提供安全审计、监视、攻击识别和防攻击等多项功能;具有事前警告、事中防护和事后取证等特点;可以监视用户和系统的运行状态,查找非法用户和合法用户的越权操作;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞。通过入侵检测系统,管理员能实时检测到用户网络受攻击行为,并即时采取应急措施。

4.3 漏洞扫描系统

漏洞扫描系统将网络、主机和桌面终端的系统配置信息进行漏洞规则匹配分析,能即时检测到网络上各设备的系统漏洞,发现系统隐患及脆弱点,能通过补丁更新系统更新。

4.4 日志审计系统

日志审计系统能将网络设备、防火墙设备、入侵检测及主机系统的日志数据进行采集、分析和识别,对各类事件归类汇总分析,实时定位网络安全事件的准确性,并进行报警响应。

4.5 防病毒系统

计算机病毒是造成网络大规模瘫痪的重要原因,通过防病毒系统对病毒感染传播的遏制,是网络安全的重要防护手段。终端防病毒软件安装率是电力企业信息安全考核的重要指标。

篇5

关键词:公共卫生行业;计算机网络安全管理;安全技术防范;信息技术;信息安全等级 文献标识码:A

中图分类号:TP393 文章编号:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.

1 概述

公共卫生行业承担的职责主要包括重大传染病防控、慢性非传染病防控、卫生监督、职业病防制、精神卫生管理、健康危险因素评价、突发公共卫生事件处置和儿童免疫接种管理等,在管理过程中要涉及到大量的重要信息数据,包括疾病监测数据、健康危险因素监测数据和免疫规划管理数据等,这就对公共卫生行业在信息数据管理的方面提出了很高的要求,务必要将计算机网络安全管理防范问题放在重要位置,从网络防范技术和监督管理等方面建立健全计算机信息安全保障体系,确保各类信息数据安全有效。

2 目前公共卫生行业计算机网络安全存在的问题

2.1 数据信息安全威胁

信息数据面临的安全威胁来自于多个方面,有通过病毒、非授权窃取来破坏数据保密性的安全威胁,有因为操作系统故障、应用系统故障等导致的破坏数据完整性的安全威胁,有因为硬盘故障、误操作等导致的破坏数据可用性的安全威胁,还有因为病毒威胁、非授权篡改导致的破坏数据真实性的安全威胁,这些潜在的安全威胁将会导致信息数据被删除、破坏、篡改甚至被窃取,给公共卫生行业带来无法弥补的损失。

2.2 安全管理缺失

公共卫生行业在信息化建设工作中,如果存在重应用、轻安全的现象,在IT系统建设过程中没有充分考虑信息安全的科学规划,将导致后期信息安全建设和管理工作比较被动,业务的发展及信息系统的建设与信息安全管理建设不对称;或由于重视信息安全技术,轻视安全管理,虽然采用了比较先进的信息安全技术,但相应的管理措施不到位,如病毒库不及时升级、变更管理松懈、岗位职责不清、忽视数据备份等现象普遍存在,很有可能会导致本不应该发生的信息安全事件发生。

3 分析问题产生的主要原因

3.1 经费投入不足导致的安全防范技术薄弱

许多公共卫生机构的信息化基础设施和软硬件设备,都是在2003年SARS疫情爆发以后国家投入建设的,运行至今,很多省级以下的公共卫生单位由于领导认识不足或经费所限,只重视疾病防控能力和实验室检验检测能力的建设,而忽视了对公共卫生信息化的投入,很少将经费用于信息化建设和信息安全投入,信息化基础设施陈旧、软硬件设备老化,信息安全防范技术比较薄弱,因网络设备损坏、服务器宕机等故障或无入侵检测、核心防火墙等安全防护设备,导致信息数据丢失、窃取的现象时有发生,严重影响了重要信息数据的保密性、完整性和安全性,一旦发生信息安全事件后果将不堪设想。

3.2 专业技术人才缺乏

建设信息化、发展信息化最大的动力资源是掌握信息化的专业技术人才,人才的培养是行业信息化高速发展的基础,然而,公共卫生行业的人才梯队主要以疾病控制、医学检验专业为主,信息化、信息安全专业技术人才缺乏,队伍力量薄弱,不能很好地利用现有的计算机软硬件设备,也很难对本单位现有的信息化、信息安全现状进行有效的评估,缺乏制定本行业长期、可持续信息化建设发展规划的能力,这也是制约公共卫生行业信息化发展的重要因数。

3.3 信息安全培训不足,职工安全保密意识不强

信息安全是一项全员参与的工作,它不仅是信息化管理部门的本职工作,更是整个公共卫生行业的重要工作职责,很多单位没有将信息安全培训放在重要位置,没有定期开展信息安全意识教育培训,许多职工对网络安全不够重视,缺乏网络安全意识,随意接收、下载、拷贝未知文件,没有查杀病毒、木马的习惯,经常有意无意的传播病毒,使得单位网络系统经常遭受ARP、宏病毒等病毒木马的攻击,严重影响了单位网络的安全稳定运行;同时,许多职工对于单位的移动介质缺乏规范化管理意识,随意将拷贝有信息的移动硬盘、优盘等介质带出单位,在其他联网的计算机上使用,信息容易失窃,存在非常严重的信息安全隐患。

4 如何促进公共卫生行业计算机网络安全性提升

4.1 强化管理,建立行业计算机网络安全管理制度

为了确保整个计算机网络的安全有效运行,建立出一套既符合本行业工作实际的,又满足网络实际安全需要的、切实可行的安全管理制度势在必行。主要包括以下三方面的内容:

4.1.1 成立信息安全管理机构,引进信息安全专业技术人才,结合单位开展的工作特点,从管理、安全等级保护、安全防范、人员管理等方面制定统管全局的网络安全管理规定。

4.1.2 制定信息安全知识培训制度,定期开展全员信息安全知识培训,让全体员工及时了解计算机网络安全知识最新动态,结合信息安全事件案列,进一步强化职工对信息安全保密重要性的认识。同时,对信息技术人员进行专业知识和操作技能的培训,培养一支具有安全管理意识的队伍,提高应对各种网络安全攻击破坏的能力。

4.1.3 建立信息安全监督检查机制,开展定期或不定期内部信息安全监督检查,同时将信息安全检查纳入单位季度、年度综合目标责任制考核体系,检查结果直接与科室和个人的奖励绩效工资、评先评优挂钩,落实奖惩机制,惩防并举,确保信息安全落实无死角。

4.2 开展信息安全等级保护建设

开展信息安全等级保护建设,通过对公共卫生行业处理、存储重要信息数据的信息系统实行分等级安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,建立健全信息安全应急机制,定期对信息系统安全等保建设情况进行测评,存在问题及时整改,从制度落实、安全技术防护、应急处置管理等各个方面,进一步提高公共卫生行业信息安全的防护能力、应急处置能力和安全隐患发现能力。

4.3 加强网络安全技术防范

随着信息技术的高速发展,信息网络安全需要依托防火墙、入侵检测、VPN等安全防护设施,充分运用各个软硬件网络安全技术特点,建立安全策略层、用户层、网络与信息资源层和安全服务层4个层次的网络安全防护体系,全面增强网络系统的安全性和可靠性。

4.3.1 防火墙技术。防火墙技术在公共卫生行业网络安全建设体系中发挥着重要的作用,按照结构和功能通常划分为滤防火墙、应用防火墙和状态检测防火墙三种类型,一般部署在核心网络的边缘,将内部网络与Internet之间或者与其他外部网络互相隔离,有效地记录Internet上的活动,将网络中不安全的服务进行有效的过滤,并严格限制网络之间的互相访问,从而提高网络的防毒能力和抗攻击能力,确保内部网络安全稳定运行。

4.3.2 入侵检测。入侵检测是防火墙的合理补充,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,检测方法包括基于专家系统入侵检测方法和基于神经网络的入侵检测方法两种,利用入侵检测系统,能够迅速及时地发现并报告系统中未授权或异常现象,帮助系统对付内部攻击和外部网络攻击,在网络系统受到危害之前拦截和响应入侵,在安全审计、监视、进攻识别等方面进一步扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。

4.3.3 虚拟专用网络(VPN)技术。VPN技术因为低成本、高度灵活的特点,在很多行业信息化建设中被广泛应用,公共卫生行业也有很多信息系统都是基于VPN进行数据传输的,如中国疾病预防控制信息系统等,通过在公用网络上建立VPN,利用VPN网关将数据包进行加密和目标地址转换,以实现远程访问。VPN技术实现方式目前运用的主要有MPLS、IPSEC和SSL三种类型,中国疾病预防控制信息系统VPN链路网络采用的就是IPSECVPN模式,利用VPN链路隧道,实现国家到省、市、县四级的互联互通和数据传输共享。VPN通过使用点到点协议用户级身份验证的方法进行验证,将高度敏感的数据地址进行物理分隔,只有授权用户才能与VPN服务器建立连接,进行远程访问,避免非授权用户接触或窃取重要数据,为用户信息提供了很高的安全性保护。

5 结语

在信息化高速发展的今天,计算机网络安全已经成为影响公共卫生行业健康稳定发展的重要因数,只有通过不断完善网络安全制度,加大网络安全软硬件投入、强化安全防范技术、开展信息安全等级保护建设、加快信息安全人才培养和网络安全知识培训等,才能保障公共卫生行业在良好的环境中有序、顺利的开展工作。

参考文献

[1] 庞德明.办公自动化网络的安全问题研究[J].电脑知识与技术,2009,(6).

[2] 陈棠晖.浅析疾控系统的网络安全[J].网络安全技术与应用,2011,(4).

篇6

第二条本省行政区域内计算机信息系统的安全保护,适用本细则。

军队的计算机信息系统安全保护工作,按照军队的有关法规执行。

第三条县级以上人民政府公安机关公共信息网络安全监察部门负责主管本行政区域内的计算机信息系统安全保护工作。

第二章安全监督

第四条公安机关公共信息网络安全监察部门对计算机信息系统安全保护工作行使下列职责:

(一)监督、检查、指导计算机信息系统安全保护工作;

(二)组织实施计算机信息系统安全评估、审验;

(三)查处计算机违法犯罪案件;

(四)组织处置重大计算机信息系统安全事故和事件;

(五)负责计算机病毒和其他有害数据防治管理工作;

(六)对计算机信息系统安全服务和安全专用产品实施管理;

(七)负责计算机信息系统安全培训管理工作;

(八)法律、法规和规章规定的其他职责。

第五条公安机关公共信息网络安全监察部门对重点安全保护单位计算机信息系统的安全检查,每年不应少于一次。

第六条公安机关公共信息网络安全监察部门采取24小时内暂时停机、暂停联网、备份数据等紧急措施须经县级以上公安机关批准。

第七条公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统使用单位应当建立联防机制,依法及时查处通过计算机信息系统进行的违法犯罪行为,组织处置重大突发事件。

第三章安全保护责任

第八条单位和个人应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任。

提供接入服务和信息服务以及主机托管、虚拟主机、网站和网页信息维护等其他服务的单位应当和用户在合同中明确双方的计算机信息系统安全保护责任。提供服务的单位应当承担与其提供服务直接相关的安全保护义务。

第九条网吧、社区、学校、图书馆、宾馆等提供上网服务的场所和互联网运营单位应当落实相应的安全措施,安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。

第十条计算机信息系统使用单位和个人为了保护计算机信息系统的安全,可以与安全服务机构明确服务项目和要求,建立相对稳定的服务关系。

第四章安全专用产品

第十一条计算机信息系统安全专用产品生产单位在其产品进入本省市场销售前,应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并报省公安厅公共信息网络安全监察部门备案。

第十二条本省安全专用产品生产单位应当在领取营业执照后30日内持下列资料到省公安厅公共信息网络安全监察部门备案。

(一)单位简况;

(二)营业执照复印件;

(三)安全专用产品类型、功能等情况;

(四)主要技术人员资格证书复印件。

第十三条销售信息网络安全检测产品的单位应当在领取营业执照后30日内向地级以上市公安机关公共信息网络安全监察部门申请备案,填写《广东省信息网络安全检测产品销售备案表》,并提交如下资料:

(一)单位简况;

(二)营业执照复印件;

(三)信息网络安全检测产品销售和售后服务管理制度;

(四)主要技术人员资格证书和销售人员有效证件复印件。

第十四条信息网络安全检测产品只限于单位购买使用。购买信息网络安全检测产品的单位应当指定专人管理和使用,不得出租、出借、转让、赠送,不得擅自用于检测他人计算机信息系统。

用户购买信息网络安全检测产品,应当持单位的证明文件到所在地地级以上市公安机关公共信息网络安全监察部门办理备案手续,公安机关应当在15日内予以办理,发给《信息网络安全检测产品购买备案表》;不予办理的,应当书面说明理由。

用户应当凭《信息网络安全检测产品购买备案表》购买信息网络安全检测产品。投入使用后,应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共信息网络安全监察部门备案。

第十五条信息网络安全检测产品销售单位应当查验用户的《购买信息网络安全检测产品备案表》后方可销售。

销售信息网络安全检测产品的单位,应当负责产品的使用授权和维护、更新。

第五章安全服务机构

第十六条安全服务资质实行等级管理,分一、二、三、四级。各等级所对应的承担工程的资格如下:

(一)一级:可承担所有计算机信息系统安全设计、建设、检测;

(二)二级:可独立承担第一级、第二级、第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测,合作承担第五级安全保护等级或安全投资总额为300万元以上的计算机信息系统安全设计、建设、检测;

(三)三级:可独立承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设、检测,合作承担第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测;

(四)四级:可独立承担第一级、第二级安全保护等级且安全投资总额为50万元以下的计算机信息系统安全设计、建设,合作承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设。

第十七条各安全服务资质等级条件如下:

一级资质:

(一)具有相应经营范围的营业执照;

(二)注册资本1200万元以上,近3年的财务状况良好;

(三)近3年完成计算机信息系统安全服务项目总值3000万元以上,并承担过至少1项450万元以上或至少4项150万元以上的项目;所完成的安全服务项目中应具有自主开发的安全产品;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于900万元);工程按合同要求质量合格,已通过验收并投入实际应用;

(四)具有计算机安全或相关专业资格证书的专业技术人员不少于50人,其中大学本科以上学历的人员不少于40人;

(五)安全服务工作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于5年;

(六)具有较强的综合实力,有先进、完整的软件及系统开发环境和设备,具有较强的技术开发能力;

(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理和量化控制,并能不断改进;

(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施。

(九)竣工项目均通过验收;

(十)无触犯计算机信息系统安全保护等有关法律法规的行为。

二级资质:

(一)具有相应经营范围的营业执照;

(二)注册资本500万元以上,近3年的财务状况良好;

(三)近3年完成计算机信息系统安全服务项目总值1500万元以上,并承担过至少1项225万元以上或至少3项120万元以上的项目;所完成的安全服务项目中应具有自主开发的安全产品;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于450万元);工程按合同要求质量合格,已通过验收并投入实际应用;

(四)具有计算机安全或相关专业资格证书的专业技术人员不少于40人,其中大学本科以上学历的人员不少于30人;

(五)安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于4年;

(六)具有先进、完整的软件及系统开发环境和设备,有较强的技术开发能力;

(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理和量化控制;

(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;

(九)竣工项目均通过验收;

(十)无触犯计算机信息系统安全保护等有关法律法规的行为。

三级资质:

(一)具有相应经营范围的营业执照;

(二)注册资本100万元以上,近3年的财务状况良好;

(三)近3年完成计算机信息系统安全服务项目总值600万元以上;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于180万元);工程按合同要求质量合格,已通过验收并投入实际应用;

(四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人;

(五)安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于3年;

(六)具有与所承担项目相适应的软件及系统开发环境和设备,具有一定的技术开发能力;

(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理;

(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;

(九)竣工项目均通过验收;

(十)无触犯计算机信息系统安全保护等有关法律法规的行为。

四级资质:

(一)具有相应经营范围的营业执照;

(二)注册资本30万元以上,近3年的财务状况良好;

(三)具有计算机安全或相关专业资格证书的专业技术人员不少于15人;

(四)安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于2年;

(五)具有与所承担项目相适应的软件及系统开发环境和设备,具有一定的技术开发能力;

(六)具有较为完善的组织管理制度、质量保证体系和客户服务体系;

(七)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;

(八)竣工项目均通过验收;

(九)无触犯计算机信息系统安全保护等有关法律法规的行为。

第十八条申请安全服务资质,应当持下列资料向地级以上市公安机关公共信息网络安全监察部门提出申请:

(一)申请书;

(二)营业执照复印件;

(三)管理人员和专业技术人员的身份证明、学历证明和计算机安全培训合格证书;

(四)技术装备情况及组织管理制度报告。

地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门核准;初审不合格的,退回申请并说明理由。

省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查,符合条件的,核发资质证书。不符合条件的,作出不予核准的决定并说明理由。

持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出核准意见。

第十九条从事计算机信息系统安全检测的安全服务机构应当具有三级以上安全服务资质。

承担重点安全保护单位计算机信息系统和计算机机房使用前安全检测的安全服务机构由地级以上市公安机关公共信息网络安全监察部门实行总量控制,择优授权,应具备下列条件:

(一)具有三级以上安全服务资质;

(二)中国公民或者组织持有的股权或者股份不少于51%;

(三)具有提供长期服务的能力和良好信誉;

(四)具有自主开发的信息网络安全检测产品。

辖区内无符合条件的安全服务机构的,由地级以上市公安机关公共信息网络安全监察部门委托省内符合条件的安全服务机构承担。

第二十条资质证书分为正本和副本,正本和副本具有同等法律效力。

第二十一条资质证书实行年审制度。年审时间为每年2月至3月,新领(换)资质证书未满半年的不需年审。

第二十二条安全服务机构在年审前应当对本单位上一年度的下列情况进行自查,并形成自查书面材料:

(一)遵守国家有关法律法规和本省有关规定的情况;

(二)安全服务业绩;

(三)用户投诉及处理情况;

(四)参加国内和国际标准认证的情况;

(五)符合资质证书颁发条件的有关情况。

第二十三条安全服务机构参加年审,应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请:

(一)《计算机信息系统安全服务资质年审申请书》;

(二)资质证书副本;

(三)自查书面材料;

(四)其他材料。

第二十四条地级以上市公安机关公共信息网络安全监察部门自接到申请材料之日起15日内进行初审,材料齐全,情况属实的,报送省公安厅公共信息网络安全监察部门审查。初审不合格的,退回申请并说明理由。

省公安厅公共信息网络安全监察部门应当自接到初审材料之日起10日内作出年审结论。

持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在20日内作出年审结论。

年审结论分为合格、降级、取消3种。

具备下列情形的,年审结论为合格:

(一)遵守国家有关法律法规和本省有关规定;

(二)上年度安全服务项目总值不低于本级资质条件规定的年均安全服务项目总值的四分之三(四级资质不低于50万元);

(三)用户投诉基本能合理解决;

(四)符合原等级资质证书颁发条件。

有下列情形之一的,年审结论为降级:

(一)违反国家有关法律法规和本省有关规定,情节轻微;

(二)上年度安全服务项目总值低于本级资质条件规定的年均安全服务项目总值的四分之三;

(三)10%以上的安全服务项目有用户投诉且未能合理解决;

(四)不符合原等级资质证书颁发条件。

有下列情形之一的,年审结论为取消:

(一)违反国家有关法律法规和本省有关规定,情节严重;

(二)年度安全服务项目总值低于50万元;

(三)20%以上的安全服务项目有用户投诉且未能合理解决;

(四)情况发生变更,达不到资质证书颁发条件。

年审合格的,在资质证书副本和《计算机信息系统安全服务资质年审申请书》上注明,加盖省公安厅公共信息网络安全监察专用章。

年审结论为降级的,原资质证书作废,换发资质证书。

年审结论为取消的,资质证书作废,安全服务机构应当自接到年审结论之日起10日内交回资质证书。

未按时参加年审的,年审结论视为取消。

年审结论为取消的,两年内不得申请安全服务资质。

因特殊原因未年审的,应当书面说明理由,经批准,方可补办相关手续。

第二十五条资质证书有效期为4年,安全服务机构应当在期满前60日内提交换证申请材料。换证程序与资质证书申请程序相同。期满不换证的,资质证书作废。

因特殊原因未按时换证的,应当书面说明理由,经批准,方可补办相关手续。

第二十六条资质证书登记事项发生变更的,应在30日内到地级以上市公安机关办理变更手续。

第二十七条安全服务机构在取得资质证书一年后,达到较高一级资质条件的,可申请晋升等级,办理程序与初次申请相同。

第二十八条安全服务机构情况发生变更,不符合原资质等级条件的,应当予以降级。

第六章安全审验

第二十九条计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准,同步落实安全保护制度和措施。

第三十条重点安全保护单位计算机信息系统和计算机机房安全设计方案应当报单位所在地地级以上市公安机关公共信息网络安全监察部门备案。

重点安全保护单位计算机信息系统和计算机机房建成后,应当由具有相应资格的安全服务机构进行安全检测。检测合格,方可投入使用。

安全检测应当接受公安机关公共信息网络安全监察部门的监督。

第三十一条计算机信息系统安全设计方案备案,应当填写《广东省计算机信息系统安全设计方案备案表》,并提交下列材料:

(一)计算机信息系统安全设计方案;

(二)计算机信息系统的总体需求说明;

(三)计算机信息系统的安全保护等级。

第三十二条计算机机房安全设计方案备案,应当填写《广东省计算机机房安全设计方案备案表》,并提交下列材料:

(一)承建单位营业执照和资质证书复印件;

(二)计算机机房的用途和安全要求;

(三)计算机机房的施工方案和设计图纸;

(四)其他应当提交的资料。

第三十三条安全服务机构对重点安全保护单位计算机信息系统和计算机机房进行使用前安全检测,应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全检测结论由重点安全保护单位报地级以上市公安机关公共信息网络安全监察部门。

第三十四条计算机信息系统和计算机机房存在下列情形之一的,应当进行安全检测:

(一)变更关键部件;

(二)安全检测时间满一年;

(三)发生案件或安全事故;

(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全检测;

(五)其他应当进行安全检测的情形。

第三十五条安全服务机构应当履行下列职责:

(一)如实出具检测报告;

(二)接受公安机关公共信息网络安全监察部门对检测过程的监督检查;

(三)保守用户秘密,不得保留安全检测相关资料,不得擅自向第三方泄露用户信息。

第七章安全培训

第三十六条省公安厅、人事厅联合成立的省计算机安全培训领导小组,负责全省计算机安全培训考试工作的组织和领导。下设省计算机安全培训考试办公室,具体负责计算机安全培训的日常管理工作。

第三十七条下列人员应当参加计算机安全培训,取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书,持证上岗:

(一)计算机信息系统使用单位安全管理责任人、信息审查员;

(二)重点安全保护单位计算机信息系统维护和管理人员;

(三)安全专用产品生产单位专业技术人员;

(四)安全服务机构专业技术人员、安全服务管理人员;

(五)其他从事计算机信息系统安全保护工作的人员。

第三十八条计算机安全培训和考试由省计算机安全培训考试办公室授权的安全培训考试点负责组织。安全培训考试点实行统筹规划,总量控制。

第三十九条计算机安全培训和考试按照有关规定进行,实行学大纲,材,统一考试,统一发证。

考试合格的,由省计算机安全培训考试办公室在20日内发给计算机安全培训合格证书。

计算机安全培训合格证书有效期4年,期满前60日内应重新参加培训。

篇7

在“十一五”863计划中,包含有很多应用,比如通信技术和信息安全。《国家中长期科技发展规划纲要》(简称《纲要》)对信息产业及现代服务业提出了四点发展思路,其中第四点是以发展高可信网络为重点,开发网络信息安全技术及相关产品,建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力。

另一个纲领性文件是《2006―2020国家信息化发展战略》(简称《战略》),《战略》提出了九项战略重点。其中,第八项是建设国家信息安全保障体系,围绕网络安全涉及的内容,全面加强国家信息安全保障体系建设,建立和完善信息安全登记保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。同时,还将加强信息安全风险评估工作,建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。这些是我们在安排863计划的核心指导方针,是指导性的文件。

在经典的网络模型中,有六个重要要素:分析、安全策略、保护、检测、响应、恢复。围绕着经典的网络安全模型,围绕着《纲要》和《战略》可以看出,863重点安排在八项技术上:第一是安全测评评估技术;第二是安全存储系统技术;第三是主动实时防护模型与技术;第四是网络安全事件监控技术;第五是恶意代码防范与应急响应技术;第六是数据备份与可再生技术;第七是可信计算平台项目;第八是UTM与网络安全管理。

安全测评评估技术

风险分析的重点将放在安全测评评估技术上。它的战略目标是掌握网络、信息系统安全测试及风险评估技术,建立完整的、面向等级保护的测评流程及风险评估体系。这一点和过去不一样,过去做测评是没有强调等级保护的。

国家中长期发展战略已经明确提出,要按照等级保护的原则来做,所以测评也是要服务于这一点。其主要创新点和切入点在于:首先提出适应等级保护和分级测评机制的通用信息系统与信息技术产品测评模型;适应不同的级别要有不同的测评方法,这个分级要符合登记保护体制;重点放在通用产品,要建成一个标准的方法;要建立统一的测评信息库和知识库,测评要有统一的背景,制定相关的国家技术标准;要提出面向大规模网络与复杂信息系统安全风险分析的模型与方法,尤其安全风险分析,重点面向大规模复杂网络,因为复杂网络要分析的要素很多,态势也很强,这是我们追求的创新点;要建立基于管理和技术的风险评估流程,测试风险评估面临的威胁和不安全因素。此外,因为保证信息安全不只是技术,管理不到位也会带来风险,所以风险评估应该把技术和管理都包括在内,要制定定性和定量的测度指标体系。

安全存储系统技术

安全策略的重点应放在安全存储技术上。安全存储系统产品很多,从安全角度来看,它的战略目标有两点:一个是机密性的安全,要掌握海量数据的加密存储和检索技术,保障存储数据的机密性和安全访问能力;另一个是安全自身要可靠,要掌握高可靠海量存储技术,保障海量存储系统中数据的可靠性。创新点在于,应提出海量分布式数据存储设备的高性能加密与存储访问方法,提出数据自毁机理。

加密是容易的,要对海量信息加密,影响当然是有的,但是应该不是很明显,这就对我们算法的效率提出了很高的要求。一旦数据出现被非授权访问,应该产生数据自毁,或者被别人破解时有自我保护能力。我们提出海量存储器的高性能密文数据检索手段,检索就要有规律,但加密的基本思路就是要把它无规则化,让它根本看不到规则,所以我们应找到一个折中的方法:什么样的加密可以支持检索,又具备一定的安全强度。

为此,我们提出了基于冗余的高可靠存储系统的故障监测、透明切换与处理、数据一致性保护方面的新模型预实现手段。双备份是比较简单的,问题在于实时切换,我们现在是整体的切换,如果切换非常频繁,就会出现一些误报警的情况。尤其当数据多备份的时候,就会有数据一致性的问题,为此我们提出信息安全的数据组织方法,提出基于主动防御的存储安全技术。如果不能完全自动备份,可以有两种选择:一种是局部冗余,哪些是重要信息,它在整个系统中不会出现太大的问题;另外一个是数据在相对分散的情况下,怎么能尽可能弱相关。检索要更加智能,要能判断访问是不是非授权访问,这里面要有一定的能力,而不是简单的存储。

主动实时防护模型与技术

防护强调的是主动实时防护模型与技术。它的战略目标是通过掌握态势感知、风险评估、安全检测等手段来对当前安全态势进行判断,并依据判断结果实施网络主动防御的主动安全防护体系的实现方法与技术。当通过态势判断出某个地方出现网络安全事件,别的地方就要跟着调整。特别是随着风险评估,某地方出现威胁,我们要提高风险防护,这被称为主动防护战略。创新点提出主动防护的新模型、新技术、新方法,现在这方面并不是很成熟,还要提出基于态势感知模型、风险模型,做主动实时协同防护机制和方法。

第二个是要提出网络与信息系统的安全运行特征和恶意行为特征的自动分析与提取方法。根据分析才能监控特征,判断现在是不是处于安全状态,不同的系统可能有不同的需求,应该具有提取能力,然后监控,通过监控来判断现在出现的情况。要有提出可组合与可变安全等级的安全防护技术,可能在某种状态下,需要做级别的变化,我们采取一系列各种各样的安全手段,如果某种风险不存在,可以把安全手段降低,就可以提高运行效率,这方面应该提供相应的技术。

网络安全事件监控技术

监测的重点是网络安全事件监控技术。战略目标重点放在国家层面考虑,要掌握保障基础信息网络与重要信息系统安全运行的能力,支持多网融合下的大规模安全事件的监控与分析技术,提高网络安全危机处理的能力。三网融合也是势在必行,不同网的状态融合起来就对监测提出了要求。主要创新点在于,要提出网络数据获取接口标准,并且提出网络流量海量性与分析系统计算能力不匹配的应对方法。

一般而言,网络带宽增长每六个月翻一番,我们国家是每七八个月翻一番。计算机运行速度按照摩尔定律每18个月翻一番,这导致计算机处理能力越来越快。我们提出多通道综合检测和协同分析模型与技术,要建立大规模恶意代码传播演变的可视化展示手段。一旦恶意代码传播演变了,要有一个跟踪的态势,能在地图上不断发现蠕虫、病毒。提出蜜罐的攻击诱惑与自身隐蔽方法,现在的研究比较成熟,人类在防范,攻击者也寻找新的攻击诱惑。提出网络安全态势分析指标体系,建立基于复杂网络行为建模与模拟的网络安全态势的分析与预测体系。

这个态势怎么来的,要有一个指标体系,我们通过对指标体系的分析,通过重要的端口,或者某种协议的监测,把这些指数综合起来,计算当前态势。当每个事件出现,如果不采取措施,将来会变成什么样?这需要有复杂网络的模拟网络,模拟网络对复杂行为建模提出要求,模拟节点不是几万、几十万,至少几百万量级才能做出判断,这样才能真正做到预测。现在做到的只是预警,一个事态出现到形成规模不到10分钟,如果仅仅是预警,根本来不及采取措施。

恶意代码防范与应急响应技术

响应的相应重点应该放在恶意代码防范与应急响应技术上,其战略目标是掌握有效的恶意代码防范与反击策略。一旦发现恶意代码之后,要迅速提出针对这个恶意代码的遏制手段,要提供国家层面的网络安全事件应急响应支撑技术。其主要创新点在于,提出对蠕虫、病毒、木马、僵尸网络、垃圾邮件等恶意代码的控制机理。

比如,面对冲击波时,用户只有靠打补丁,如果用户没有打补丁,病毒就会通过网络不断传播,这时我们就要把这个端口封锁住。我们要研究每个问题,而且要建立恶意代码攻击的追踪、取证及遏制机制,提出支持遏制手段的恶意代码可控性的特征分析及提取技术。我们不是对恶意代码的判断特征识取,我们需要找出恶意代码特征,判断恶意代码是否存在,还要找出对于什么样的特征可以利用哪些手段去遏制它。

数据备份与可再生技术

数据备份与可生存性技术是围绕灾难恢复来做的。这主要是提供用于第三方实施数据灾难备份的模型与方法,为建设通用灾难备份中心提供理论依据与技术手段,建立网络与信息系统生存性和抗毁性,提高网络与信息系统的可靠性。比如我建立一套系统,如果系统重要,就建立一个应急系统做备份。但是这不适合第三方,现在有一些第三方是服务队伍,需要熟悉原来系统什么样,按照原来系统来做。

怎么能够做第三方呢?这里面创新点是提出源数据存储结构无关的数据远程备份及快速恢复模型、机制、方法与技术。现在,一个系统建完后,你必须掌握系统结构,为你的数据库系统再建一个数据库系统,这样你的数据才能保存起来。但是出现增量怎么办?是不是因为增加一个记录而全部备份呢?答案是否定的,因为大系统从头到尾备份需要3天。如果说传增量,那边没有一模一样的系统也无法把增量去。因此能不能做到结构无关?我们提出基于关键服务的网络与信息系统容错、容侵和容灾模型。如果我的系统资源足够多,入侵者通过连接攻击我的线程空间,但是我线程空间足够大。如果系统彻底垮了,我就换一个系统。而且我们还要提出网络与信息系统自适应生存机理与可恢复模型,提出故障感知模型与异常检测方法,围绕这一点要建立可生存性及抗毁性分析仿真和评测方法。

可信计算平台项目

网络如果采用可信的方法,比如硬件有改动,通过信息来验证,整个系统是可靠、不会被攻击的,这样应用系统都不会被病毒侵入。Vista对这一点是一个重大的推动。对网络安全模型提出一个技术性模型,应该要有一个可信计算平台做整体的支撑。战略目标是掌握基于自主专利与标准的可信平台模块、硬件、软件支撑、应用安全软件、测评等一批核心技术,主导我国可信计算平台的跨越发展。

我国在可信计算方面介入特别早,但现在没有形成一个特别好的体系,只有尽早地提出一个标准体系,我国的产业才能冲上来。其主要创新点在于提出可信计算平台信任链建立和扩展方式,包括可信引导、可信度量、可信网络连接、远程平台证明等。从互操作和安全评估两个角度出发,建立可信计算标准体系。

UTM与网络安全管理

篇8

1.1网络安全

网络安全主要通过硬件防火墙及防病毒系统来实现。硬件防火墙可以将整个网络有效分隔为内部网络、外部网络以及中立区,通过对每个区域配置不同的安全级别,可以保证核心业务系统的安全。防病毒系统用于保护整个网络避免受到病毒的入侵。

1.2数据安全

数据安全包括数据备份恢复、数据库安全管理、访问控制以及系统数据加密。数据存储以及关键应用服务器均按照硬件冗余和数据备份方式配置。数据库系统通过数据库权限控制、身份认证、审计以及检查数据完整性和一致性加以保护。访问控制通过划分不同的VLAN以及设置访问控制列表,对主机之间的访问进行控制。系统数据加密考虑备份数据及传输数据进行加密,保证系统专有信息的安全及保护。

2系统现状

2.1现有系统构成

目前,路政分局路网管理系统划分为六大区域,即办公网区域、远程接入设备区域、视频会议终端区域、控制室接入区域、服务器区域以及核心网络设备区域,如图1所示。

2.2安全防护现状

在机房及监控室设置了防静电地板、温湿度表、门禁系统、不间断电源系统等,从物理上保护信息安全。在政务外网出口处部署了防火墙系统,实现办公终端区域、路网管理业务区及市政务外网3个区域之间的逻辑隔离,防止非授权人员的分发访问,保证业务系统的正常运行。在广域网(如中国联通IP专网、中国电信CD-MA)与路政分局内部局域网之间部署了防火墙系统,实现分局内部局域网与广域网之间的逻辑隔离,防止来自外部人员的非法探测与攻击,保证内网安全。在内网中部署网络版防病毒系统、网页防篡改系统、入侵检测设备以及漏洞扫描系统,用于防御病毒、木马等恶意代码的传播,保障重要WEB服务器数据的完整性和可靠性,及时发现内网中的安全隐患,有效地防止内部人员的故意犯罪。建立全网统一身份认证及授权系统,确保用户身份的安全性和可靠性,并在此基础上实现了全面灵活的用户授权管理。

2.3存在风险

(1)内部终端主机未设置监控与审计,将出现非法外联等非授权访问控制事件。(2)内网未部署安全审计系统,无法控制用户上网行为、重要业务系统及重要数据库系统。(3)内网出口处未部署应用层攻击检测与阻断设备,应用层不可避免会受到各种攻击。

3信息安全加固方案

3.1信息安全要求

路政分局路网管理系统必须按照国标《信息安全技术信息系统安全等级保护基本要求》(GB/T22239)中二级安全等级防护要求。第二级安全保护能力要求:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。

3.2实施方案

根据路政分局的实际安全需求,参照等级保护的相关要求,通过采用安全审计技术、内网管理技术以及入侵保护技术,加固现有网络安全,以保障路政分局业务的持续正常运行,如图2路所示。(1)安全审计系统安全审计系统对系统运维信息、上网行为、数据图2路政分局路网管理系统构成图(加固)库操作行为、网络流量进行审计,并实现日志的统一保存。(2)内网安全管理系统内网安全管理系统在产品安装部署前保证所有终端与策略管理中心通过TCP/IP协议可以互联互通。策略管理中心部署在路政分局路网管理系统和OA系统业务系统的安全管理区域。安全部署在内部网络所有终端设备以及移动设备上。内网安全管理系统不仅能对内网终端进行身份认证和安全检查,防止内网终端非法外联行为,还能实现对内部终端用户行为进行审计。(3)入侵保护系统入侵保护系统部署在电子政务外网出口防火墙、远程接入防火墙与路网管理系统核心交换机与之间,防御来自政务外网、中国联通IP网、中国电信CD-MA网络的基于应用层的各种攻击。入侵保护系统高度融合高性能、高安全性、高可靠性和易操作性等特性,具备深度入侵防御、精细流量控制,以及全面用户上网行为监管等3大功能。

4结语

篇9

法规驱动安全产业变局

技术并非核心竞争力

没有哪项安全技术可以和其他的IT技术截然分开; 网络安全因传统的网络设备供应商与安全企业携手,而变得更加完备; 对于网络安全企业而言,技术并非核心竞争力。

孙定: 最近几年,全球信息安全产业出现一些变化: 一方面是安全形势尤为严峻; 另一方面,是网络巨头都高举安全大旗进入网络安全领域,譬如思科、华为、HP网络,你怎么判断这些变化对产业带来的影响和变化?

严望佳: 网络安全是一个既独立又不独立的行业,网络的安全性譬如说操作系统安全、网络设施安全、终端安全和应用系统安全等都是建立在网络结构里面各个元素的安全基础之上的,没有哪一项专门的安全技术可以和其他的IT技术截然分开。

思科、华为介入网络安全已有很长的历史,只不过当时没有足够大的市场来支撑网络安全独立地成为一个产业。思科在提供网络设备、进行网络研究时就将安全考虑进去。作为一家硅谷公司,思科习惯以并购形式获得好的团队和技术积累。

这几年来,随着政府、民众和企业用户对网络安全的重视,思科、华为加大了在网络安全领域的投入。但是,和以前相比,并未出现质的飞跃――迄今为止,没有谁能够提出较为彻底地解决网络安全的技术架构。

华为、思科不可能完全替代专业性的网络安全企业。相反地,网络安全因思科和华为这些传统的网络设备供应商与安全企业携手,而变得更加完备。

孙定: 我很赞同你的看法,网络设备商与安全企业的合作会让用户受益。那么,作为中国网络安全行业的领头企业和产业的见证者,你认为中国网络安全的技术水平到底处在一个什么样的程度?你认为我们的挑战和机会是什么?

严望佳: 我相信包括启明星辰在内的几家中国安全企业的技术积累已经达到了国际主流水平。

去年,启明星辰中了北京奥运会所有独立的安保标,其中,奥组委管理网专项安全保障项目、奥组委官方网站、奥帆委信息安全服务项目等均是独家中标。与此同时,启明星辰还同时参加了国家计算机网络应急技术处理协调中心、第29届奥运会安保小组、北京市公安局等多个国家级奥运应急保障工作; 承担了政府、金融、电信、电力、燃气、民航、海关等50多个客户在奥运期间的信息安全保障和现场值守工作。最终,我们圆满地完成了安保任务。

要知道,互联网是没有国界的,我们所面临的是世界级的黑客和顶级的网络威胁,如果我们的技术没有达到国际主流水平的话,是不可能在网络安全领域有所作为的。

但是,我不愿意过多渲染这种技术能力。一个原因是目前网络安全变得比较敏感; 第二个原因是安全技术本身并不能成为企业的核心竞争力。技术必须和客户的需求相结合才能产生价值。所以,我们要沉下心来研究客户的业务,研究他们的业务特点、所面临的风险、所遇到的问题; 第三个原因是我们要关注国家的政策层面,譬如说等级保护,我们应该怎样更好地为政策落地做好技术支撑。

依法设防是方向

依法设防很有必要,但对用户而言,并非遵从了法律就万事大吉了; 很难给产品贴上安全等级的标签,因为同样的产品,放在不同的环境中,安全性有所不同。

孙定: 你刚才谈到我们要关注国家的政策层面。随着近几年一些与安全相关的法规相继推出,有一种看法认为,依法设防将是产业发展的一个大方向。你是否也这样认为?

严望佳: 依法设防很有必要。对于国家主管部门来讲,从事网络安全工作,肯定要有一些管理的抓手,有了法律、法规以后,这个工作比较容易做好; 对于用户而言,在建设安全系统时,不仅有一个纲要和指南可以去依托,还可以加强大家的网络安全意识。

对于用户而言,并非遵从了法律就万事大吉了。譬如,启明星辰做了国家的软件认证、ISO认证等很多方面的认证,但并非为了做认证而认证,并不是说我们表面上贴一张纸,拿一个证书挂在墙壁上好看,而是要达到我们做认证的目标。在落实国家法律方面也是如此,要吃透本质,加强安全能力,否则也就是一张纸。

孙定: 既然依法设防很有必要,那我们启明星辰给用户提品、服务和解决方案时,会不会给它们贴上这样的标签――我们符合企业内控标准、我们符合等级保护第几级防御规范?

严望佳: 我们还没有贴出这样的产品标签。业界有企业这样做,我不敢评判其对错。

启明星辰现在提供一些协助企业遵从法规的服务,这些服务主要是帮助用户归避风险、定位风险、分析怎样将风险定值,然后帮助用户制作符合等级保护的安全建设的方案。最后,由客户自己定级,由国家主管部门来完成评级。

我们为何不将产品贴上等级的标签呢?因为产品到达了某个级别的意思是,提供某种功能产品是否放在合适的网络环境中,有没有起到专门的作用。举一个例子,譬如我们把一栋大楼做得像城堡一样坚固,采购了世界上最坚固的门。你可以说,这样就安全了吗?其实不然。

同样的产品,放在不同的环境中,安全性有所不同。因此,很难给产品贴标签。

孙定: 有人认为,如果往依法设防这条路上发展的话,整个安全产业生态就会重组。第一层是咨询业,按照法律、法规的要求来帮你诊断,你应该怎样调整、设防才合规; 第二部分是解决方案供应商、产品供应商; 第三部分是检验机构,譬如说等级保护三级以上每年检一次。你是否也这样认为?

严望佳:这是很正常的。一些大客户像中石油、中石化等实施IT时,先是请咨询公司针对IT建设,做一个特别详细的规划; 然后由产品供应商提品、系统集成商提供集成方案; 最后由监理机构做监理。将IT行业的一个结构应用到安全领域,同样也成立。

但是,这样并不能保证网络的绝对安全,网络安全的问题是动态平衡的状态,是风险可控的状态。就像我们人,不可能生活在一个绝对纯净的世界里一样,要想所有的网络里面都没有一点病毒、没有一个恶意代码,完全去消除网络犯罪,那是不可能的。

安全之门可把控

有组织犯罪的确存在,而且还很强大。但目前还处在一个可控的状态下,没有影响到日常生活。

孙定: 长久以来,用户和安全厂商一直在前线和黑客及各种各样的威胁做斗争。在依法设防后,对CIO而言,是不是只要按照法律、法规的要求执行网络信息安全,并且通过了国家的审计,就算尽到责任了?

严望佳: 你这样认为有点过激了。从理论上讲,你的逻辑没有问题,但现实生活中,符合法规、法律是一个最根本的东西,在法律下面,还有道德底线。

依法设防成为一条法律,肯定有主管部门对网络安全方面的思考和想法,其目的是提高国家网络安全的保护能力。对用户而言,他投资做网络安全系统建设,需要投资回报,需要了解除了要符合国家安全法律、法规的要求外,其信息安全到底处在一个怎样的状态,风险如何控制。

篇10

一、通信网络安全分析

针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强、操作技术不熟练、违反安全保密规定和操作规程;明密不清,密件明发;长期重复使用一种密钥将导致密码被破译,下发口令和密码到期后仍能通过其进入网络系统等问题,将造成系统管理的混乱和漏洞。

(一)软硬件设施存在安全隐患

为了方便管理,部分软件在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在许多不完善或是未发现的漏洞,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软件的漏洞直接侵入网络系统,破坏或窃取通信信息。

(二)传输信道上的安全隐患

如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。

在通信网建设和管理上目前还普遍存在建设质量低、维护管理差、网络效率不高、人为因素干扰等问题。

二、通信网络安全维护措施及技术

为了防止以上情况发生,在网络的管理和使用中,要大力加强管理人员的安全保密意识。

(一)为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输,我们可以运用到以下防卫措施:

“身份鉴别”:可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果。

“网络授权”:通过向终端发放许可证书防止非授权访问网络和网络资源。

“数据保护”:利用数据加密后的数据包发送与访问的指向性,即便被截获也不会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解。

“收发确认”:用发送确认信息的方式表示对发送数据和收方数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执。

“保证数据的完整性”:一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查;一种是接收完后进行核对检查。

“业务流分析保护”:阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。

(二)采用的多种安全技术

1.防火墙技术

防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素――防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。

2.入侵检测技术

入侵检测,顾名思义,就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

3.网络加密技术

“加密”是一种限制对网络上传输数据的访问权的技术。原始数据被加密设备和密钥加密而产生的经过编码的数据称为密文。将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥对密文进行解密。

4.身份认证技术

身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。

5.漏洞扫描技术

漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。

6.访问控制技术