企业信息安全保护范文

时间:2023-10-10 17:42:02

导语:如何才能写好一篇企业信息安全保护,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业信息安全保护

篇1

【关键词】电信企业、用户信息、安全

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01―0131―01

随着信息爆炸时代的来临和通信技术的快速发展,用户的个人信息安全问题日益严重,信息泄露事件频发。用户信息一旦遭到泄露,将面临信息曝光、垃圾短信、骚扰电话、电信欺诈甚至资金被盗等一系列风险。在此环境下,2012年“3.15”国际消费者权益日的主题即为“消费与安全”,新闻媒体也多次曝光了个别银行、通信、快递、医院等行业不法人员泄露和出售客户信息,给公众造成巨大安全隐患的问题。由此可见,用户信息安全已成为社会化和信息化快速发展进程中的一个重要问题。

近年来国家也逐步加大了对个人信息安全的保护力度。一方面从立法上逐步加大了对个人信息安全的保障,在民事责任方面认定用户个人信息属于个人隐私范畴,并在2009年通过的《侵权责任法》中明确将隐私权写入了法律;在刑事责任方面,2009年颁布实施的《刑法修正案七》也新增了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”另一方面,公安部也在北京、河北等20个省市区开展严厉打击侵害公民个人信息违法犯罪的专项行动,抓获嫌疑人1000余名,挖出信息源头44个。

电信行业一直是客户信息安全保障的重点行业。作为电信运营商,掌握着海量的用户信息资源,尤其是2010年电话用户实名登记工作推广以来,运营商掌握的用户信息从数量和质量上都得到了进一步提升。一方面客户信息真实、完善为电信企业向用户提供个性化的服务提供了条件,也为通信安全提供了保障,但另一方面对电信运营企业保障用户的信息、通信安全也提出了更高的要求。笔者总结多年的电信企业客户信息管理经验,借鉴先进企业的管理方法,从明确电信用户信鼠的范围、电信用户信息泄露的风险途径、解决电信用户信息安全的措施三个层面来探讨如何保障电信用户信息安全。

一、电信企业用户信息包含的内容

根据电信企业获取客户信息和提供通信服务的特点,电信用户信息应是指个人与单位用户的姓名或名称、有效证件类型及证件号码、住址(地址)、用户号码、联系方式、缴费账户、通话清单、终端信息以及单位用户的组织架构等基本信息、信息网络建设等非通信的信息内容。

二、电信企业用户信息泄露的风险途径

造成电信用户信息泄露的风险主要是人员风险和系统风险。人员风险是指电信企业内部和外部所有可以接触到用户信息的众多人员泄露用户信息的风险。企业内部人员如营业人员、销售人员、维护人员、客户信息管理人员等;外部人员包括与电信企业合作的业务商、内容提供商以及第三方维护人员等。

从系统风险上来讲,由于电信企业IT系统业务网络存在区域分散、数据分散、系统繁多、环境复杂等特点,建设了包括BSS、客服、CRM等多个业务支撑系统和OA办公系统,各个系统上积累了大量的客户信息和生产数据、运营信息等,每个系统的人员根据“使用”和“维护”又分为不同的角色,这些系统的终端覆盖了内网和外网、计算机和移动终端等多种形态的终端设备。由于这些特征的存在,电信企业客户信息数据面临着内部和外部网络的多重风险。

三、电信企业用户信息安全保护的措施

保护电信客户的信息安全,让客户享有安全、放心的通信服务是电信企业的责任和义务。笔者从通信行业服务角度来看,电信企业信息安全保障的关键需要从加强内部管理、提升系统防范能力两个方面得到提升。

(一)强化内部管理,提升全员信息安全防范意识

首先作为电信企业要有大局意识,应自觉遵守国家的法律、法规,严格执行《基础电信企业信息安全责任管理办法(试行)》。将保障用户信息安全纳入企业的保密体系,建立完善的用户信息安全管理制度,规范从业务受理、客户服务、运行维护、信息计费、外部合作等涉及客户信息的各个关键环节的业务操作流程和规章制度,构建全面有效的用户个人信息安全保护机制。比如要求营业和营销人员不允许私自留存客户信息;要求维护人员不允许私自下载和修改客户信息;各系统账号权限严格实施分级管理,不允许转让和越级使用;规范各类用户信息的存储介质、存储时限和销毁方式,完善用户资料销毁管理制度和技术保障手段;针对外部商、合作单位要明确对用户信息保密的业务和技术要求以及泄密后的相关处罚;定期开展用户信息安全检查,做到提前防范,最大限度保障用户信息安全等。

另一方面企业要加强对企业员工的法制教育和思想政治教育,营造尊重和保护用户信息安全的企业文化和经营环境,提高全员的信息安全意识和法律意识。尤其是针对能够接触到用户信息的员工、外包人员、商及合作单位的从业人员要与企业签订保密责任书,经常性地组织开展案例教育、警示教育、相关法规和业务规范的考核等,提高从业人员的觉悟和防范意识。

(二)提高技术防控手段,提升系统防范能力

完善电信企业IT系统业务网络的安全建设,构建用户信息数据保密体系,精确定位用户信息泄露风险,从外部和内部防范两方面提升系统的防范能力。

首先是做好外部防范,由于电信企业IT系统业务平台繁杂,接入终端种类多,要保证各类终端和网络安全地接入到业务系统中,就要不断完善信息系统安全设备如防火墙、入侵检测系统、病毒防护系统、认证系统等性能,对可访问系统的计算机及移动终端等必须实施安全认证和安全策略防护,实现对用户信息的“区域外保护”,严格防范黑客和外部不法人员窃取用户信息。其次,由于大部分用户信息泄露案件都是内部人员制造,加强内部网络的风险防范更加重要。一方面要加强系统的认证安全能力和网络账号权限分级管控体系,加强对登陆人员的身份和权限核实,对于无论从业务平台或后台数据库查阅和下载用户的信息情况系统都要有完整的日志记录;另一方面,如果用户信息未经加密安全处理,一旦下载存储到计算机上系统将失去监控权,有可能会造成信息恣意传播而无法找到源头,因此系统应自动实现数据落地加密及权限控制,同时对下载终端加强安全策略认证,提高下载用户信息的安全度。

篇2

关键词: 信息系统;等级保护;安全域;桌面域

中图分类号:TP393.08 文献标识码:A 文章编号:1671-7597(2011)1210043-02

0 前言

随着信息化建设不断深入,信息技术应用已渗透到企业的每一项业务,业务对信息系统的依赖程度越来越高,其基础性、全局性、全员性作用日益增强。信息化是一把“双刃剑”,在为企业带来提高工作效率和管理水平、增强竞争能力等益处的同时,也为企业带来了安全风险,安全风险与信息化水平的提高同步增长。提升企业信息系统安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,成为信息化工作的新任务。信息系统安全防护架构设计思路为“分区、分层、分级、分域”的综合防御体系。将信息管理信息网络划分为信息内网和信息外网,根据业务重要和社会影响划分了若干三级保护系统和二级保护系统,三级系统独立分域,其余二级系统统一成域,不同的安全域,从边界安全、网络安全、主机安全、应用安全等方面明确了防护要求。在防护体系中,桌面终端域作为一种特殊的域。“总体防护方案”对桌面终端域提出了“终端安全管理”和“网络准入控制”的要求,需要重点关注和分析。

1 独立成域业务之间的横向隔离

从等级保护建设的实际情况来看,三级要求的其他技术手段可以依托于设备和基础方案来实现合规性建设。目前,棘手的问题是如何实现业务系统端到端的安全隔离,以及桌面域用户如何在多个业务域隔离的情况下实现安全有效的互访,既要实现业务隔离,确保业务的端到端访问路径有效隔离,又要充分节省桌面域内终端计算机的复用投资。

1.1 隔离的必要性和充分性

从业务访问路径上来看,主要是桌面主机通过网络通道访问应用系统,通过网络隔离措施对不同的应用、业务和群组用户进行安全隔离,提高数据传输的保密性和安全性,为用户业务传输提供端到端的安全保证。

现有的网络隔离措施在两个安全区域间的有效控制互访上面较为全面和细致,但是要完成等级保护建设的要求,必须针对访问路径的各个关键节点,都能进行有效的访问控制。网络发展的趋势是资源的集中与基础设施的复用,在此之上虚拟化技术以1台物理设备对应多个逻辑设备的优越特点越来越多地被考虑到,对应到电力等级保护的建设要求,必须针对多种不同业务实现虚拟化技术基础上的多通道隔离,特别是针对现有的数据大集中以后,在数据中心层面,如何实现隔离,也是端到端隔离技术选择上需要重点考虑的问题。

1.2 几种隔离技术的对比

虚拟局域网VLAN(Virtual Local Area Net-work)是现有局域网中最常用的隔离技术。VLAN适合小型网络用户逻辑隔离,但VLAN的广播域占用带宽资源,链路利用率低;二层网络不适合大规模应用,网络收敛速度慢,需要配置较多的二层特性,配置管理相对复杂。是一种最基本最常用的隔离方式,广泛应用于网络接入层。

分布式访问控制列表ACL(Access ControlList)是另一种常见的隔离技术,适合一些规模不大的组网使用,需要严密地策略控制,配置管理复杂,无法提供端到端的隔离,业务或网络调整时需要更改大量配置,并且严格限制可移动性。常见的防火墙采用的就是这种方式。

多协议标签交换MPLS VPN(MultiprotocolLabel Switching Virtual Private Network)是一种在大型园区网和广域网内被普遍使用的隔离技术,支持园区内用户群组互访应用,能够提供安全的端到端业务隔离,接入方式灵活,适合大规模网络应用,可扩展性好,具有良好的可移动性。但其要求设备支持VRF(VPN Routing Forwarding)/MPLS VPN,实际上主要依赖于核心交换机和骨干网路由器实现。

还有一些隔离技术本次不会考虑到,比如说,采用网闸进行物理隔离,采用入侵防御系统IPS(Intrusion Prevention System)等进行应用层安全隔离等。上述3种隔离技术在不同的应用场景下,都有不可取代的作用,在选用过程中,需要综合考虑部署位置、部署灵活性以及隔离目标的达成性。

1.3 端到端的业务逻辑隔离方案

分析现有业务域划分的特点,可以看到,几个三级域都有跨广域传输,且在局域网内使用过程中接入层角色不区分,数据中心级应用业务角色不区分。这就意味着端到端隔离的可行方案必须是一个综合性的隔离方案,在原有各自为政的隔离基础上,要实现动态配置可调整,以便适应同一个物理通道被多个逻辑业务所使用。各个隔离技术的部署位置如图1所示。

图1 独立成域的业务系统间隔离示意图

接入层各主机采用VLAN方式接入,以不同的VLAN号区分不同的业务,在汇聚层或核心层将VLAN与虚拟路由转发VRF技术做一个映射,在跨广域传输中以VRF来区别不同业务,在数据中心前端,通过多实例用户网络边界设备MCE(Multi-VPN-Instance Customer Edge)连接技术,实现对不同来自VRF业务的安全策略控制,再以映射VLAN的方式访问服务器资源。

整个过程中,广域网VPN和数据中心VLAN可以一次配置后不需要调整,只需要调整映射关系即可,接入层VLAN作为选择业务的发起者,需要实现对业务应用的智能识别和控制。

2 桌面域多用户角色处理

网络纵向逻辑隔离实现后,桌面域主机如何有控制地分别接入的不同业务域,成为实现端到端业务纵向隔离的关键。

2.1 桌面域接入网络面临的挑战

等级保护属于强制业务分区方式,三级业务完全隔离虽尚未有强制到桌面主机多机隔离的要求,但是必须确保同一个主机在满足三级接入要求的前提下能够同时以多个业务域主机的角色存在,所以,业务域的标记和识别是接入层最重要的工作。现有的网络终端准入系统常见的功能是用户终端试图接入网络时,首先通过安全客户端进行用户身份认证,非法用户将被拒绝接入网络;合法用户将被要求进行安全状态认证,由安全策略服务器验证补丁版本、病毒库版本是否合格,不合格用户将被安全联动设备隔离到隔离区;进入隔离区的用户可以进行补丁、病毒库的升级,直到安全状态合格,安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务。

分析现有的桌面域准入控制系统,可以发现用户的接入方式802.1x、门户单点、VPN、无线局域网等,认证因子有用户名+密码、软证书、硬证书等,认证可动态下发的安全策略有VLAN、ACL,其中ACL与接入层设备强相关。

由于业务接入的方式多种多样,在接入方式尚不具备区分性,认证因子上如果选择差异化较大的用户名及登录属性,则会大大增加主机侧的难度,需要以一个合理的方式表示出本次登录用户希望使用的是某个业务。

2.2 多角色主机解决方案

综合考虑多种实现方式,选择用户名结合域名拼接的方式进行认证,由认证服务器配合进行用户名和域名的独立解析,然后下发动态的设备配置到主机所接入的交换机的对应端口,用户认证通过后即实现了相应业务域资源的访问,如图2所示。

图2 多角色主机登录认证示意图

在图2中,用户唯一,但通过后缀实现同一账号在各个业务域内安全接入,通过身份实现控制权限动态下发ACL或VALN。

无论是ACL方式下发的,还是VLAN方式下发的,最终都可以映射到广域网纵向隔离的MPLSVPN中去,所以也就完成了端到端业务发起者的业务动态识别和标记工作。

3 等级保护安全域隔离需考虑的其他问题

等级保护业务安全域隔离的问题在具体实施过程中应注意以下几个关键要素。

1)接入层设备与网络准入系统的配合上,必须支持ACL和VLAN的动态下发。

2)在汇聚设备或核心设备上,支持VLAN和ACL到MPLS VPN的VRF的映射的配置,以便能够实现接入层到广域传输层的对接。

3)在数据中心服务器前端,部署的安全设备必须支持MPLS VPN组网下的MCE功能,支持虚拟防火墙功能。

4 结束语

等级保护建设从根本意义上是合规性建设,一方面要充分利用现有的设备和技术手段解决问题;另一方面要针对多业务安全域间条块化隔离和多角色主机复用问题,通过原有技术手段的进一步组合和创新性方案的提出,在生产中解决这些问题。虚拟化资源动态分配和桌面终端的一机多域的解决方案,可充分地利用现有的技术隔离措施以及设备,实现端到端的策略对接,多角色主机接入。

参考文献:

[1]郭护林,企业网络信息安全分析[J].计算机安全,2002.

[2]闫斌、曲俊华、齐林海,电力企业网络信息安全系统建设方案的研究[J].计算机安全,2003.

[3]朱贵强,论企业网络信息安全管理,2005.

篇3

随着我国信息化应用的深入发展,信息技术和设备在各行各业中都得到了广泛应用。当前,借助信息化手段打造的智能化电网正在我国电力企业中发展壮大,电力企业已经基本上实现了信息化和自动化,而信息安全问题在信息化应用过程中也日趋突出。如果电力企业核心业务系统发生信息安全事件,势必会对电力系统的稳定运行造成影响,一旦电力系统瘫痪,就会给国家造成不可估量的经济损失,以及负面的社会影响。所以电力企业必须加强信息安全管理,国家层面及行业内部均出台了相关的信息安全管理要求,其目的都是确保各类重要信息系统的安全稳定运行。

1信息安全等级保护

1.1信息安全保护等级划分

依据国家标准《信息系统安全等级保护基本要求》(GB/T22239-2008),电力行业内部出台了《电力行业信息系统安全等级保护基本要求》(电监信息〔2012〕62号)。从相关标准中可知信息系统的安全保护等级主要有2个要素决定:一是系统受到破坏后所侵害到的客体范围,这里的客体主要包括公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全等。侵害客体范围越大,级别越高其保护等级也越高。二是系统受到破坏后对客体造成的损害程度,主要有三种认定,即一般损害、严重损害、特别严重损害。程度越深保护等级越高。根据定级要求,安全保护等级被分为以下5个等级。第一级:用户自主保护级的信息系统受到破坏,这可能会在一定程度上造成当事人和其所在的组织的利益受损,但是对于国家的安全、集体的利益以及社会稳定的发展并未造成较大的损伤。第二级:系统审计保护级的信息系统受到破坏,该情况可能会对当事人所在的组织与人民群众的切身利益受到较大程度的损失,同时也影响了集体的利益与社会的安定团结,但是并未对国家安全产生影响。第三级:安全标记保护级的信息系统受到破坏,在这种情况下集体利益和整个社会的安全稳定遭受到了重大程度上的损伤,此外该等级有着与系统审计保护级相类似的全部信息的保护功能,它在此基础上会强制对于系统检查并记录相关内容,主要监控和检查的是访问者与被访问的对象。第四级:结构化保护级的信息系统受到破坏,该情况可能会对人民群众的切身利益以及一些机构组织带来不利的影响,此外还对国家的安全、集体的利益以及整个社会的安定团结带来重大的损失。第五级:访问验证保护级的信息系统受到破坏,在这种情况下的国家安全将会受到极其恶劣和严重的影响。

1.2信息安全等级定级

(1)安全保护等级依据相应的政策与规定进行定级相应的政策与规定指的是《信息系统安全等级保护基本要求》的国家标准和《电力行业信息系统安全等级保护基本要求》的行业标准,在安全防护信息的过程中,诸如一些国家机关、重点的科研单位以及国防部等特殊机构的信息系统应当进行特殊的保护与相应的隔离。这些系统应该进行特别严格的对待,需要依据防护信息安全等级中的相应法律法规与政策的规定,从而对于系统进行监控和防护。

(2)安全保护等级依据需要保护的数据的价值进行定级依据需要被保护的信息类别与所存在价值的不同,进而设置出不同的防护安全等级。这样可以在保护信息安全的同时还能够最大程度降低所投入的运作。从信息安全保护等级的划分情况及电力企业的属地等级及重要程度来看,电力企业中各类业务信息系统的保护定级一般会在第二级到第四级之间。电力信息系统的安全等级防护及其要求的重点对象是防护信息系统等级在三级和三级以上的系统,其实质主要是监督检查级与强制监督检查级。

2电力信息系统的安全等级防护及其要求

安全等级防护主要具备以下几个作用:一是帮助企业有效地防止外部势力和企业内部人员对系统造成破坏;二是针对安全事件进行性质审查和等级确认;三是帮助企业抵制所面对的可能会破坏系统的行为;四是对于违法违规的行为能够进行审核和追查。电力信息系统安全等级防护及其要求涉及了电力生产控制系统和管理信息系统,但重点则是以电力生产控制系统的安全防护为主,如若电力生产控制系统遭受攻击,将引发电网事故。所以电力企业在电力生产控制系统的规划、设计、建设阶段就要加强安全防护审核,新建或改造系统投运前需通过安全等保测评。系统投运后需将安全防护纳入日常运行监视和管理范围,建立专项应急机制和预案,当发生信息安全事件时,采取应急防护措施,防止事态扩大。

3信息安全等级保护的方式

信息安全等级保护的方式主要有以下三方面:

3.1物理安全保护方面

物理安全保护主要从系统运行环境进行安全管理控制:对主机房等设备运行环境进行安全防范管理。利用较为先进的技术和设备实现对重要信息设备进行不间断电源、防尘、防震、防火、防盗、防雷、防静电、温湿度控制、电磁屏蔽防护、数据备份及防泄露等方面的防护,确保各类信息设备的安全稳定运行。由此可看出,物理安全保护的目标就是为信息系统设备提供安全稳定的运行环境。

3.2主机安全保护方面

主机安全保护主要从主机安全运行进行安全管理配置:主要对主机中运行的操作系统、数据库、中间件及其它应用系统的安全运行进行配置管理。具体要求主要有身份鉴别、访问控制、安全审计、安全标记、剩余信息保护、入侵防范、恶意代码防范、可信路径、资源控制等安全配置要求。主机作为承载信息系统的主体,也是信息系统安全保护的主体。

3.3网络安全保护方面

网络安全保护主要对网络设备及网络通信(访问)进行安全管理:主要通过对网络结构、访问控制、安全审计、边界安全管理、入侵防范、恶意代码防范、网络设备安全配置等安全管理审查项进行全面审查,从而确保信息网络的安全可靠运行。

4电力信息系统等级保护策略

电力企业信息系统安全等级保护工作关系着电力系统的安全稳定运行,加强信息系统安全等级保护是电力企业信息管理工作的工作重点,主要有以下几项关键点,通过相关保护措施、策略加强信息安全等级保护工作:

4.1信息系统分级统一保护措施

电力企业拥有各种不同业务功能的业务系统,这此信息系统大多分属于第二级到第四级的安全级别,不同的安全级别其安全要求和保护强度都不相同,这就要求电力企业在每个信息系统新建时便根据信息系统分级划分标准进行等级保护定级。根据各个信息系统的定级情况,将同等级信息系统纳入相同的安全管理区域进行统一管理,确保各个信息系统都能全面按照相应等级保护要求进行安全管控,从而有效提升各信息系统的安全管理水平。

4.2信息安全定期检查及应急演练

这里的检查不仅指上级单位的安全检查,还包括信息系统运营单位的安全自查。对于不同安全等级保护措施的信息系统,需要根据等级保护的管理规范进行检查评估,一旦发现问题立马进行整改,从本质上加固信息系统安全配置,提升信息系统安全防护水平。对于不同等级的信息系统,应制定不同时间段的定期检查计划及应急演练计划,通过应急演练模拟突发安全事件时信息系统可能发生的各类安全问题,信息系统管理人员按照应急预案开展应急处置,以此验证应急预案的正确性,并提升信息系统管理人员的应急处置能力,进而确保信息系统在发生安全事件时,能够在最短时间内将事件影响降低到尽可能小的范围内。

4.3信息安全保障体系的建立与落实

通过信息安全保障体系的建设可以用来提高源于人、管理以及技术三方面所形成的预防能力、防护能力等各类提升系统安全的能力,可以使信息系统安全管控作业实现规范化、标准化和常态化的管理,实现对信息系统的安全属性、功能应用以及服务效率上开展动态保护,所谓安全属性指的是信息系统和它的基础网络的真实可用性、完整保密性等安全属性。通过信息安全保障体系的落实,使信息系统安全管理工作以更加具体的作业操作方式呈现,从而使信息安全管理工作更加具体化,在确保信息系统安全稳定运行的同时促进了电力企业对信息安全作业的管控。

参考文献

[1]朱世顺.电力生产控制系统信息安全等级保护研究[J].电力信息化,2012.

篇4

    范的遵循、通过一些技术手段能够给予解决。

    其次是规范,目前国家对于不同的行业有分级保护、等级保护制度,明确了对系统及管理的安全保护要求。企业也有一些合规性法案要求、在进行系统规划和建设的同时,应将信息安全的保护措施作为必要的内容进行考虑。

    最后是技术,当前针对数据加密和文档防泄密保护、行为审计等安全问题都有一些成熟可用的解决方案,无论是政府部门还是企业都可以采用一些技术手段来和管理需求结合,降低信息安全引发的风险。

    文档泄密的主要途径

    据了解,大量文档信息泄密事件的出现主要有两方面的原因:首先是大量的信息安全事件,呈现出商业利益驱动的现象。不论是木马病毒的黑色产业链,还是银行系统内部人员的储户信息主动泄密,都有后面的商业利益驱动。而且随着商业环境竞争的日益激烈,这种信息安全的威胁还会持续和加剧。

    其次,信息泄密在向更加专业化犯罪的趋势发展。从木马病毒、钓鱼网站的不断出现,再到运营商后台密码被攻破,这些灰色事件的背后,都有专业的人员和组织。这给信息安全防范带来更高的要求。

    据时代亿信技术总监李兆丰介绍,信息安全威胁不仅成为困扰个人隐私保护和企业发展的问题,也成为阻碍我国电子商务产业繁荣、云计算推广、移动互联网应用的一个关键问题。

    根据时代亿信近年来的研究结果显示,目前文档泄密的主要途径有4种:计算机上木马、病毒的恶意窃取;员工对于网络、存储介质的违规使用;内部员工、管理员的主动泄密;笔记本电脑、移动硬盘维修、丢失过程中导致的泄密。

    针对这些泄密的途径,时代亿信文件盾系列产品采用如下技术有针对性地进行了解决:通过对文档加密,防止传输、存储过程中的泄密;在计算机上进行可信进程控制,防止木马、病毒等的恶意窃取;建立安全的身份识别机制,确认对文档当前操作者的身份;对文档实现细粒度权限控制,防止内部员工的被动、主动泄密;灵活的离线控制策略,实现对文档脱离网络后的控制。

    从目前国内文档安全产品的竞争格局来看,主要有如下三类:第一类是国外技术产品,比较典型的是微软的RMS文档权限管理系统以及EMC的Documentum IRM;第二类是国内企业的DRM文档安全管理系统产品,这里既有进入较早的前沿科技、亿赛通等专业厂商产品,也有老牌信息安全厂商像天融信、启明星辰、中软、时代亿信等OEM或自主研发的文档安全产品;第三类是针对CAD、PDM等设计类应用的专用加密产品。这些大都是专注于CAD应用的传统厂商开发的针对设计软件的加密产品。

    而从目前我国文档安全市场的发展来看,国外的产品由于理念、文化的差异,在国内市场的推广和实际应用效果并不理想。而国内产品更注重国内企业的企业文化,更加贴近国内企业的需求,由国内厂商提出的基于文件透明过滤驱动实现的自动加解密技术成为目前市场的主流产品。随着一些传统安全厂商进入这个领域后,能够结合其在传统4A安全领域的优势技术,形成一整套从外到内的信息安全整体解决方案,进一步推动了文档安全市场的成熟和发展。

    文档加密技术的优势与挑战

    据李兆丰介绍,目前对于一般企业文档安全的建设,应该不单单只是上了一套产品,而是需要建立企业文档安全管理的规范,并且这个规范能够随着企业安全需求的变化而变化。评价文档安全建设是否成功的一个方面就是所建立的文档安全管理规范是否适合企业。

    他说,企业安装使用文件盾产品的主要优势在于:既可以根据用户需求,提供个性化、模块化的产品功能,还创新性的实现了一些主流第三方应用的成功集成,帮助企业建立整体的文档安全服务体系。文件盾按照用户的需求,划分为自动加密(A)、权限管理(R)、应用集成(M)、加密网关(G)、外发控制(S)、文件保险箱(T)等6个产品型号,既可以独立又能结合使用。特别是在应用集成方便,根据用户的实际需求,能够和主流的门户、OA、KM等产品进行融合。还创新性的实现了SVN、虚拟桌面环境、移动终端下的文档安全保护。

    2011年民生银行总行成功实施了文档安全管理系统。全行装机量10万多客户终端,其门户、OA、知识库系统全面和文档安全进行了整合,在一年的时间里共有加密的文档300万条,有力的支撑了用户的信息安全保护需求。民生银行最大的特点是把文档安全系统建设成为企业内部的文档安全服务体系。在后期的建设过程中,逐步把SVN服务器、Citrix虚拟桌面应用等一系列应用纳入文档安全保护体系中,实现了企业信息安全保护的可持续发展。

篇5

肖波认为,当前我国企业级信息安全领域尚比较薄弱,管理软件和信息安全分属不同领域,两者平行运营而无交集,以太信御在此一背景下,选择定位于企业级信息安全领域,向行业领军企业、平台级公司进军。

肖波对此雄心勃勃。他强调,过去10年全球信息安全产业的每个细分领域都产生了一个世界级巨头,他相信中国信息安全也会诞生世界级巨头,并带动本土信息安全产业的发展。“如今在消费级市场已经有了巨头,企业级市场还没有。”肖波说,“我就不能想一想吗?”

据悉,以太信御推出的SecurityLink系列解决方案将为企业级信息安全保驾护航。以太信御副总经理林森介绍,SecurityLink包含基础架构安全A、业务应用安全X、业务数据安全D和运维安全M这四个系列产品,在技术架构、业务应用、业务数据、运维安全四个领域整合出50个安全组件,并根据企业信息化安全各种需求,将不同的安全组件进行组合,为企业信息安全提供全方位立体化防御。

其中,基础架构安全A系列包含以太信御统一威胁管理(A-USM)、以太信御Web应用安全网关(A-WAG)、以太信御安全虚拟专线系统(A-VPN),、以太信御应用交付系统(A-ADC)和以太信御主机安全卫士(A-HSG)五款产品。

业务应用安全X系列是SecurityLink系列解决方案的核心,以BowlineBox硬件盒子的方式整合了业务系统保护、ERP安全保护等安全组件,旨在解决用户核心的业务系统数据安全。BowlineBox安全盒子针对应用规模分别推出X1、X3、X5、X6、X9不同系列产品。BowlineBox安全盒子可以为企业提供全生命周期的业务安全保障体系:通过访问准入、安全准入、系统可用性保障、企业敏感信息防泄漏实现事前防范,通过实时、全面的监控体系和高校、快捷的报警机制进行事中监测,通过多样化分析体系、面向企业的个性化安全报告进行事后分析。

业务数据安全D系列由以太信御敏感信息防泄密系统(D-DLP)进行防护,包含敏感信息泄漏阻断、敏感信息泄露监测、敏感信息加密、数据备份/异地灾备等防护措施,保障企业业务数据的安全问题。

篇6

关键词:网络环境;企业信息;安全管理

随着网络的普及和广泛应用,人类生活办公都越来越离不开网络,在信息全球化的影响下,网络已经对人们的生活产生出了极为深刻的影响。因此,人们对网络环境下的信息安全问题也开始更加关注。在企业中运用网络,在促进企业发展的同时,也很容易造成企业中的信息出现泄漏的现象,且一旦信息泄漏,就会造成严重的影响。企业内部也是这样,与此同时网络安全问题却逐渐浮出水面,严重威胁到了网络健康和正常运行。所以采取相关安全管理与防范措施很有必要。网络化的社会可以让天下事尽收眼底,极其方便快捷。企业内部利用网络这一优势将其应用到实处,让网络在企业运营中发挥着重要作用。而有好处的同时往往也会存在着坏处这一对立面,安全隐患就是很棘手的一个问题。文章就是基于此来分析出切实可行的安全管理与防范对策,从而能够解决这一问题。

1信息安全与信息安全管理

(1)信息安全的根本目的是保障企业内部信息不受任何因素的威胁,确保系统能够连续可靠正常地运行,现代企业的信息安全是指企业为确保信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性不因偶然或恶意原因遭受破坏、更改和泄露而在计算机管理和技术上对数据处理系统进行的安全保护,保护企业的生产运营安全。(2)一般来说,存储设备配置和信息安全管理中的漏洞、网络环境和企业内部局域网潜在的危险是企业信息安全的主要隐患。结合企业实际特点和需要,构建企业信息安全管理体系,避免企业机密资料外泄,保护企业的生产运营安全是企业信息安全管理研究的重要课题。企业信息安全管理是企业为实现安全目标进行的信息安全风险相互协调活动,其目的在于通过制定信息安全政策、风险评估等系列工作尽量做到在有限的成本下保证资产的安全,维护信息的机密性、完整性和可用性。(3)随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。

2网络环境下企业信息安全管理存在的问题

2.1计算机自身的不确定性

网络时代,人人都可以成为信息的制造者、传播者和接受者,但由于网络的开放性、匿名性以及网民素质的良莠不齐,不仅导致网络产生许多虚假信息、表述不明确信息,来混淆视听。甚至误导网民,引发,而且还为不法分子盗取企业信息提供了便利条件。加之,网络资源的共享性为网络系统安全的攻击者提供了破坏企业信息安全的机会,给企业信息资源带来大量的安全漏洞,给企业发展带来不利的影响。

2.2安全软件设计滞后

进入信息化时代,计算机在企业发展过程中扮演着极为重要的角色,而随着计算机与互联网技术的融合,网络不仅为企业提供了极为丰富的信息资源,拓宽了企业获取信息的渠道,而且还极大地提高了工作效率,提升了企业经济效益和社会效益。但拓扑结构的设计和各种网络设备的选择容易感染病毒或被黑客侵略的问题,给企业信息安全带来直接的安全隐患。而相关病毒查杀软件都是为应对问题而设计的,也就是说,病毒查杀软件是针对病毒研发的一种“见招拆招”的软件,具有严重的滞后性。合理的安全软件设计能够为企业信息安全提供较好的保护,不合理的安全软件设计则会成为企业信息安全的隐患。此外,由于安全软件设计不合理或维护工作不完备,也极易造成病毒入侵、系统瘫痪等状况,影响企业正常运转。

2.3网络操作系统的漏洞

随着网络技术的发展,作为网络服务得以实现的载体,网络操作系统不可避免地会存在一些漏洞,这些漏洞作为一种伴生性漏洞不仅一直存在,而且还为病毒的滋生和入侵提供了机会。不断更新换代的网络软件在设计时考虑到便于软件的扩展和维护,常会为编程人员设置后门,但网络协议实现的复杂性使得操作系统的缺陷和漏洞成为网络安全的硬伤,这些后门一旦被不法分子发现,会对企业信息安全造成很大的威胁。如黑客攻击就是基于网络操作系统漏洞而产生的一种难以防范的、人为恶意攻击,对企业造成无法弥补的损失。

2.4人为因素造成的安全问题

随着市场经济体制的不断完善,企业之间的竞争日趋激烈,很多企业只重视利益的发展,将全部精力集中于企业生产经营,并没有认识到企业信息保护的重要性,造成企业信息在存储过程中没有适当的制约机制,造成企业信息安全保障系统存在漏洞和隐患。加之网络作为一种新生事物,企业对信息安全管理投入不足,员工普遍安全意识缺乏,信息安全管理规章制度不完善,这不仅浪费了企业的网络资源,而且还极易出现安全隐患和漏洞。

3网络环境下企业信息安全管理建设的措施

3.1通过对目前的应用系统进行分析与评估等工作是实际

可行的办法安全风险评估。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。

3.2要做好技术上的创新。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。将监督检查机制落实到实际中去。时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。同时还要保证财力上的支持,实现技术的改进与创新。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。

3.3充分运用防火墙技术

在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。防火墙能够有效防止黑客访问用户的及其,以此来组织黑客拷贝篡改用户的信息,以此来保证信息的安全。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。

4结语

总之,想要保证企业中的信息安全,就要坚持从信息安全技术与做好内部管理工作上出发,企业网络办公不仅可以将各个部门紧密联系在一起,工作沟通起来还可以更方便,极大地提高了工作效率,创造了更多的经济效益。这是新时代、网络时期给企业带来的难得一遇的机会和福音。通过安全技术的支撑来提高内部管理工作的效果,同时还要落实管理与监控工作,加强信息安全教育,建立出完善的管理制度,提高安全管理的水平。还竭尽全力做好企业内部网络的安全管理和防范对策,两者结合、相辅相成,这样一来企业的发展会更美好,更有希望。

作者:于倩 单位:淄博信息工程学校 淄博建筑工程学校

参考文献:

篇7

对于知识型企业来说,人才是最大的财富,智力成果是他们的竞争优势,而知识产权和信息安全保护就是它们的生命。如果是只有三五个人的小公司,老板一个人把所有资料放在自己的电脑里,所有的商业机密和设计成果就保护住了。可对于一个上千人的大公司来说,保护好公司的知识产权就会面临巨大的挑战。这样的挑战,是悬在每个知识型企业CIO甚至CEO头上的一把利剑。

有没有办法来免除这样的烦恼呢?

中冶南方工程技术有阳公司(以下简称中冶南方)找到了解决这一问题的途径。据了解,中冶南方的前身为冶金工业部武汉钢铁设计研究总院,是由中国冶金科工集团公司、武汉钢铁(集团)公司、鞍钢股份有限公司等共同出资组建的高新企业,注册资本20000万元,拥有3000人规模的大型知识型企业,业务范围广泛,是华中地区的龙头企业。

在寻找如何防止商业机密泄露的过程中,公司通过实施文印管理服务MPS系统,从硬件到电子化文件,再到纸质文件……有效地确保了公司商业机密不被泄漏,也给国内企业的知识产权保护提供了一个新的思路。

10%的疏漏

“行百里者,半九十。”这句古谚充分说明了一个道理,一件事做到90%,实际上成效只能算达到一半。因为剩下的那10%会成为一个巨大的漏洞,影响整件事的进程和最终结果。

如何解决好纸质文件的安全管理,同时又提高员工的工作效率成为信息中心亟待解决的课题。

2007年的9月,中冶南方信息中心主任黄湘武就站在这个“九十里”处徘徊。对于中冶南方来说,知识产权的重要性显而易见。像中冶南方这样的智力输出型企业,设计图纸信息是公司最重要的智力资源,要保证这些资料不被轻易地带出公司,电子文件和纸质文件的管理和安全保护至关重要。

据了解,中冶南方为防止商业泄密,早就建立了一套基于数字化加解密技术的信息安全体系,可以对现有的电子文档实现全面的保护,对企业信息达到90%的保护度。这些措施虽然很好地保护了电子文件的外泄,可是纸质文件的信息安全保护一直做得不理想,让整体信息安全工作的效果大打折扣。

当时,为了保证纸质文件安全,公司里所有的文件复印必须到领导办公室去,所有的扫描要到文印中心经过登记才可以扫描,图纸的复印扫描则由专人负责。这样繁琐的流程,浪费了员工许多工作时间。

身份识别立功

如何既解决好纸质文件的安全管理,同时提高员工的工作效率和满意度成为中冶南方信息中心亟待解决的课题。中冶南方和惠普IPG合作,进行了文印系统的全面规划。

公司给每个部门标配的设备上都可以实现员工身份识别。一期项目中,这种身份识别是通过输入用户名和密码来实现;二期项目则给员工带来更多便利,直接刷员工门禁卡就能完成打印。

这种方式对于员工的好处是,日常的文印作业,员工可以在部门内就近完成打印、复印、扫描等文印操作,再也不用那么麻烦地去领导办公室复印,去文印中心登记了,省去了几栋楼之间的奔波,大家在自己的办公室里可以完成工作。

据公司内部的一项员工调查显示,大家对信息中心工作的满意度,由原来的90%左右提高到99%以上。同时,由于所有的文印操作均记录在审计数据库中,公司可以对每个环节的文印行为进行事后审计,从而使得公司的电子文件和纸质文件都处于中冶南方全信息体系中,高效、安全地保护了公司的知识产权。

篇8

关键词:智能电网 信息安全 防护体系 可信平台

中图分类号:F49 文献标识码:A 文章编号:1007-3973(2013)012-212-02

1 引言

随着智能电网建设步伐的推进,更多的设备和用户接入电力系统,例如,智能电表、分布式电源、数字化保护装置、先进网络等,这些设备的应用使电网的信息化、自动化、互动化程度比传统电网大大提高,它们在提升电网监测与管理方面发挥了重要作用,但同时也给数据与信息的安全带来了隐患。比如黑客通过窃取技术访问电网公司数据中心的服务器,有可能造成客户信息泄露或数据安全问题,严重时有可能造成国家的重大损失。因此,如何使众多的用户能在一个安全的环境下使用电网的服务,成了当前电网信息安全建设的重要内容之一。

2 电力企业信息安全建设的关键问题

云计算技术在电力企业的业务管理中已经逐步得到应用,另外,随着技术的成熟和商业成本的降低,基于可信计算平台的网络应用获得了迅猛发展。如果在电网业务管理体系中将可信计算与云计算结合起来,将会使电网的管理水平如虎添翼。图1为构建可信平台模块间的安全通道示意图。

在可信计算环境下,每台主机嵌入一个可信平台模块。由于可信平台模块内置密钥,在模块间能够构成一个天然的安全通信信道。因此,可以将广播的内容放在可信平台模块中,通过安全通信信道来进行广播,这样可以极大地节约通信开销。

智能电网的体系架构从设备功能上可以分为基础硬件层、感知测量层、信息通信层和调度运维层四个层次。那么,智能电网的信息安全就必须包括物理安全、网络安全、数据安全及备份恢复等方面。因此,其涉及到的关键问题可从CA体系建设、桌面安全部署、等级防护方案等方面入手。

3 智能电网信息防护体系框架

3.1 数字证书体系

数字证书体系CA是建设一套符合国家政策要求的电子认证系统,并作为电力企业信息化建设的重要基础设施,实现各实体身份在网络上的真实映射,满足各应用系统中关于身份认证、信息保密性、完整性和抗抵赖性等安全性要求。该系统主要包括根CA系统、CA签发系统、RA注册管理系统、KM系统、证书状态查询系统和LDAP目录服务系统,总体结构如图2所示。

3.2 桌面安全管理体系

该体系可为电力企业提供集中的终端(桌面)综合安全管理的桌面管理产品,打造一个安全、可信、规范、健康的内网环境,如图3所示。

该体系能满足用户:确保入网终端符合要求;全面监测终端健康状况;保证终端信息安全可控;动态监测内网安全态势;快速定位解决终端故障;规范员工网络行为;统一内网用户身份管理等。

3.3 等级防护体系

此外,在设计信息安全体系时,还需要针对电力企业的业务应用系统,按照不同的安全保护等级,设计信息系统安全等级保护方案,如图4所示。

根据国家关于《信息系统等级保护基本要求》中关于信息安全管理的规定,该体系应该包括物理安全、网络安全、主机安全、应用安全、数据安全等方面。

4 结论与展望

本文将电力云技术与可信计算结合起来,设计了面向智能电网的信息安全防护体系框架,从CA体系建设、桌面安全部署、等级防护方案等方面阐述了该框架的内涵。但信息安全是一个没有尽头的工作,需要及时与最新的方法相结合,不断完善信息安全方案,使电网做到真正的智能、坚强。

(基金项目:中央高校基本科研业务费专项资金项目(11MG50);河北省高等学校科学研究项目(Z2013007))

参考文献:

[1] 陈树勇,宋书芳,李兰欣,等.智能电网技术综述[J].电网技术,2009,33(8):1-7.

[2] 国家电网.关于加快推进坚强智能电网建设的意见[N].国家电网报,2010-01-12(2).

[3] 曹军威,万宇鑫,涂国煜,等.智能电网信息系统体系结构研究[J].计算机学报,2013,36(1):143-167.

[4] 陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009(5):1337-1348.

篇9

飞速发展的社会经济将企业管理投入到信息技术的海洋之中,大中型企业管理的自动化水平正在不断提高。现代企业的核心管理手段是将计算机网络技术应用于业务管理系统,实现企业管理理念的宏观化、管理手段的智能化、管理方式的网络化,从而带来的是管理效率的高速化。具体的管理系统包括外门户网站系统、内部门户网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等[ 1 ]。

1 企业网络信息安全概述

1.1 网络信息安全面临的威胁

网络信息的安全主要是系统漏洞带来的病毒和黑客侵袭。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统[ 2 ]。系统漏洞是危害网络安全的最主要因素,特别是软件系统的各种漏洞。黑客的攻击行为都是利用系统的安全漏洞来进行的。许多系统都有这样那样的安全漏洞(Bugs),其中有些是操作系统或应用软件由于设计缺陷本身所具有的,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你不接入网络。还有就是程序员在设计一些功能复杂的程序时,预留的用于测试和维护的程序入口,由于疏忽或者其他原因(如将它留在程序中,便于日后访问、测试或维护)没有去掉,这就可能被一些黑客发现并利用作为后门。到目前为止,还没有出现真正安全无漏洞的产品,这也是当前黑客肆虐的主要原因[ 3 ]。

1.2 造成企业网络信息安全威胁的原因

1.2.1 计算机系统原生漏洞

目前计算机所依赖的依然是普遍通用的微软Windows系统。为了适应用户的需求,这一系统的研发进展不断进步,系统升级较为频繁,每两年左右便会有新系统推出面世。许多计算机用户,特别是企业用户,如果对新系统没有全面、专业、深入的了解而盲目进行了系统更新,有可能造成安装设置过程中缺陷导致的新系统带来的弊端,从而埋下漏洞隐患,给信息安全造成威胁。

1.2.2 计算机软件应用不当遭遇恶意软件

在企业管理计算机软件应用过程中,如果没有专业的识别和下载安装经验,极有可能遇到恶意软件。恶意软件常常故意不对用户做明确提示(如选项提示、退出安装提示等)或者在未经用户许可的情况下,在用户的计算机上强行安装;有的软件难以卸载(设置卸载障碍);还有的软件通过浏览器劫持行为,肆意:指未经用户许可,修改用户浏览器或设置,迫使用户访问特定网站或导致用户无法正常上网等。恶意软件造成的计算机病毒感染,黑客的乘虚而入将严重威胁企业网络信息安全,甚至导致系统崩溃,数据丢失。有的恶意软件甚至自带网络数据运行监视装置,被恶意使用后可以直接用于窃取商业数据和信息,给企业造成巨大损失。

1.2.3 企业网络信息系统维护规范欠缺

企业网络信息系统在运行过程中无论何种原因都难以避免可能产生的漏洞,而对信息系统的规范维护是信息安全保护的重要手段。但部分企业没有对系统维护规范作出规定,如系统维护工程师、助理工程师的职责与权限并不明确,生产或销售应用系统的监控记录不能定期建档,生产或办公系统主机的日常故障处理不做登记,应用系统的数据库启动情况和数据库设置得不到及时观察,重要数据库的变更操作,定期清理过期备份不能正常进行,应用数据库瘫痪后的异地备份恢复记录不完整等,都有可能造成企业网络信息系统的安全隐患。

2 企业信息系统安全管理存在的问题

2.1 企业对信息系统管理重视不足

许多企业顶层决策缺乏长久观念,比较重视信息网络的建设而较易忽视信息网络和系统的管理。在企业网络建设初期往往偏重于硬件设施的投资和技术成本的投入,盲目追求管理系统的高性能、高配置,忽略了硬件设施与实际应用的差距,认为高层次的网络系统一旦建成便万事大吉。这种认识不但造成了不必要的资金浪费,更容易形成轻视系统维护管理工作的状况。由于缺乏管理意识,许多企业在规章制度、人事安排、专业培训、技术队伍等几方面没有形成企业信息系统的专业团队,更没有针对系统瘫痪、数据丢失等突发事件的应急预案,往往是问题发生后临时应急解决,“头痛治头足痛治足”,致使现代化信息系统不能充分发挥在企业运行管理中应有的作用。

2.2 企业网络信息安全性难以保障

由于信息安全管理意识淡薄,部分企业没有专业的网络管理团队。现有网管人员维护、管理网联络信息技术没有保障,或者责任心不强。例如,民营生产销售企业由于操作不规范销售报表和潜在客户资料数据丢失现象时有发生;部分县级以上医院分科或多或少都存在体统停滞现象;中小型企业中财务资料的误删时有发生。虽然这些单位有的也具备系统维护应急预案,部分数据得到恢复,但依然给企业造成一定损失。

3 企业网络信息安全防范措施

3.1 建立系统安全检查制度

企业的规章制度要重视系统安全的保护,对重要信息系统的安全检查要建章立制,不能松懈。首先要对系统安全负责的团队人员构成和岗位职责进行明文规定。其次要确定具体的安全检查目标,如企业的基础网络是否完善、主服务器配置是否异常,对外门户网站防火墙是否坚固,数据中心的设置是否可靠,内部办公系统(包括财务、销售、服务等)更新是否正常等等。第三,信息安全检查规章制度中要具化检点内容,如安全管理保障系统方面,对岗位制度是否建全,人员负责是否落实,信息数据是否安全,应急响应是否稳妥等项目要做出详细检查记录。技术保障方面:服务器(包括操作系统、数据库、应用系统)的各项指标,网络设备和安全设备的各种配置,网站建设和终端等组织策略和运行维护等内容都要落实到检查实处。

3.2 加大企业网络信息安全的管理力度

第一,要增强网络信息管理人员的技术培训,使企业信息系统得到可靠的技术维护和管理,组件一只责任心强、分工明确、技术精湛的网管团队,以保障企业网络信息系统正常运转不出纰漏。

第二,提高企业核心机密资料的加密层次,在这方面要投入资金购买保密程度较有保障的计算机软件装备,防止黑客攻击和病毒感染。

第三,对企业信息管理和维护工作进行定期记录、责任到人,记录保护存档以备可查。

第四,要建立安全可靠的计算机数据异地备案和应急预案机制,有专门制定人员负责,定期检测数据,严格管理制度,以确保企业网络信息系统出现异常时得到有效维护和修复。

篇10

【 关键词 】 信息安全;等级保护;现状及问题;建议

【 中图分类号 】 TP393.08 【 文献标识码 】 A

Discussion the Status of Information Security base on Graded Protection

Zhang Wei-li

(CCID Think tank, China Center of Information Industry Development Beijing100048)

【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country, and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ,development both at home and abroad were introduced in this paper, as well as the status quo of Graded Protection in China. On this basis, the paper analyzes the problems existing in the Graded Protection in China, and put forward some Suggestions for bettering Graded Protection work.

【 Keywords 】 information security; graded protection; status and problems; suggestion

1 引言

目前对信息及信息系统实行分等级保护是各国保护关键基础设施的通行做法。在我国信息安全等级保护是保障国家信息安全的一项基本制度。通过信息安全等级保护工作,实现信息安全资源的优化配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全,有效提高我国信息和信息系统安全建设的整体水平。

1.1 信息安全等级保护的概念及等级划分

信息系统安全等级保护是指对信息以及信息系统分等级进行安全保护和监管;对信息安全产品的使用进行分等级管理;对信息系统中发生的信息安全事件分等级响应、处置的综合性工作制度。

根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级:第一级,自主保护级;第二级,指导保护级;第三级,监督保护级;第四级,强制保护级;第五级,专控保护级。依据安全保护能力也划分为五个等级:第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级结构化保护级;第五级访问验证保护级。

1.2 国外信息安全等级保护的发展历程

等级保护思想最早源于20世纪60年代的美军文件保密制度,其中第一个比较成熟并且具有重大影响的是1985年的《可信计算机系统评估准则》(TCSEC),该准则是当时美国国防部为适应军事计算机的保密需要提出的,主要是针对没有外部连接的多用户系统提出。

受美国等级保护思想的影响,欧盟和加拿大也分别制定自己的等级保护评估准则。英、法、德、荷等四国于1991年提出了包含保密性、完整性、可用性等概念的欧共体的《信息技术安全评估准则》(ITSEC)。ITSEC 作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。1993年加拿大公布《可信计算机产品评估准则》(CTCPEC)3.0版本。CTCPEC作为TCSEC和ITSEC的结合,将安全分为功能性要求和保证性要求两部分。功能性要求分为机密性、完整性、可用性、可控性等四个大类。

为解决原各自标准中出现的概念和技术上的差异,1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体,形成通用评估准则(Common Criteria)。1999年出台的CC2.1版本被ISO采纳,作为ISO15408。在CC中定义了评估信息技术产品和系统安全性所需要的基础准则,是度量信息技术安全性的基准。

1.3 我国信息安全等级保护的发展历程

在国际信息安全等级保护发展的同时,随着信息化建设的发展,我国的等级保护工作也被提上日程。其发展主要经历了四个阶段。

1994-2003年是政策环境营造阶段。国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。此文件的出台标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。

2004-2006年是等保工作开展准备阶段。2004年至2006年期间,公安部联合四部委开展了涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。

2007-2010年是等保工作正式启动阶段。2007年6月,四部门联合出台了《信息安全等级保护管理办法》。7月四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》,并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。

2010年至今是等保工作规模推进阶段。2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。至此我国信息安全等级保护工作全面展开,等保工作进入规模化推进阶段。

2 我国信息安全等级保护的现状

2.1 等级保护的组织架构初步形成

截止目前,除了国家信息安全等级保护协调小组办公室外,在大陆31个省、自治区、直辖市当中除天津、黑龙江、河南、重庆、陕西外,有26个行政区成立了省级的信息安全等级保护协调小组办公室。22个省、自治区、直辖市建立了信息安全等级保护联络员制度,共确定1598名联络员。获得信息安全等级保护测评机构推荐资质的测评机构共121家,除新疆外各省均有获得资质的等级保护测评机构,其中国家的测评机构有7家,北京市有10家,江苏省有14家,浙江省、山东省各有7家,广东省有6家,其他省、自治区、直辖市有1-5家不等。25个行政区建立了等级保护专家组,共确定441名专家。

2.2 信息安全等级保护的政策体系初步形成

为组织开展信息安全等级保护工作,国家相关部委(主要是公安部牵头组织,会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门)相继出台了一系列文件,对具体工作提供了指导意见和规范,这些文件初步构成了信息安全等级保护政策体系。具体关系如图1。

《中华人民共和国计算机信息系统安全保护条例》和《国家信息化领导小组关于加强信息安全保障工作的意见》分别是开展信息安全等级保护工作的法律依据和政策依据。《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》是在法律依据和政策依据的基础上制定的政策文件,其为等级保护工作的开展提供宏观指导。在上述基础上,针对信息安全等级保护工作的定级、备案、安全建设整改、等级测评、监督检查的各工作环节制定具有操作性的指导文件。政策体系的形成,为组织开展等级保护工作、建设整改工作和等级测评工作提供了指导,明确了各环节的工作目标、工作要求和工作流程。

2.3 信息安全等级保护的标准体系基本完善

为推动信息安全等级保护工作,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,汇集成《信息安全等级保护标准汇编》,为开展等级保护工作提供了标准指导。这些标准与等保各环节的工作关系如图2所示。

《计算机信息系统安全保护等级划分准则》及配套标准是《信息系统安全等级保护基本要求》的基础。《信息系统安全等级保护基本要求》是信息系统安全建设整改的依据,信息系统安全建设整改应以落实《基本要求》为主要目标。《信息系统安全等级保护定级指南》是定级工作的指导性文件,为信息系统定级工作提供了技术支持。《信息系统安全等级保护测评要求》等标准规范了等级测评活动,为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。

2.4 信息安全等级保护的工作取得一定进展

各重点行业根据等级保护的政策要求开展了本系统内的等级保护工作。为落实相关等级保护政策有关行业制定了自己的行业标准,例如《广播电视相关信息系统安全等级保护等级指南》、《水利网络与信息安全体系建设基本技术要求》等。金融领域,人民银行出台了《中国人民银行关于银行业金融机构信息系统安全等级保护等级的指导意见》,并于2012年了金融行业的《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息系统信息安全等级保护测评指南》等三项行业标准,在采用《信息系统信息安全等级保护基本要求》的590项基本要求的基础上,补充细化基本要求项193项,新增行业特色要求项269项,为金融行业开展关键信息系统信息安全等级保护实施工作具奠定了坚实基础。

测评和安全建设工作有序开展。截止到2012年底,全国已经开展了5万多个第二级信息系统和4万多个三级系统的等级测评,并完成了相应的信息系统的等级保护安全建设整改。2012年底,全国性银行业金融机构完成了880个二级以上信息系统的定级评审。2012年对反洗钱中心、征信中心、清算中心和金融中心的48个重要信息系统进行了测评,共发现4284项安全问题,整改完整3451向,通过整改后其信息系统的整改测评率达到了90%以上。

3 我国信息安全等级保护存在的问题

3.1 信息系统运营使用单位对等级保护工作的重视程度还不够

近年来信息安全等级保护主管部门高度重视等级保护工作,制定相关政策和标准,举办等级测评师培训等,但信息系统主管部门以及全社会对信息安全等级保护在信息安全保障体系中的基础性地位认识还不到位,难以将等级保护制度和已有信息安全防护体系相衔接,工作方式简单,手段缺乏,甚至出现以其他工作代替信息安全等级保护工作的消极倾向。同时,在工作中,一些企业还存在不愿投资,不愿受监管的思想,为节省人力、物力、财力将本该定为三级的重要信息系统定位二级,这些都影响信息安全等级保护制度的全面落实。

3.2 等级保护属于合规性被动防护与目前信息安全主动防御需求还有差距

信息安全等级保护属于政策性驱动的合规性保护,这种合规性保护只关注通用信息安全需求,并且属于被动保护,对于当前信息安全保护中的主动防御要求还有差距。例如,中国铁路客户服务中心12306网站定义为等级保护四级,2012年,曾暴露出被黑客拖库,以及因机房空调问题停止服务等问题,而这两项内容都在等级保护规范中有明确的要求。所以,认为通过等级保护的评测就不会出问题显然是一种误区。

另外,2010年“震网”病毒事件破坏了伊朗核设施,表明网络攻击由传统“软攻击”上升为直接攻击要害系统的“硬摧毁”。2013年曝出的棱镜门事件,2014年曝出的美国国安局入侵华为服务器等,这些事件表明当今信息安全的主要特征是要建立主动防御体系,例如建立授权管理机制、行为控制机制以及信息的加密存储机制,即使信息得到泄露也不会被黑客轻易获得。而等级保护是一种被动的、前置的保护手段,与当前信息安全保护所要求的实时的、主动防御还有一定的差距。

3.3 现有防护手段难以满足新技术发展应用中的信息安全需求

信息安全等级保护政策标准的滞后,难以满足新技术应用的信息安全需求。例如,当前的物联网、云计算、移动互联网的应用呈现出新特点,提出了新的安全需求,在网络层面原本相对比较封闭的政府、金融、能源、制造系统开始越来越多的与互联网相连接;计算资源层面,云计算的应用,呈现出边界的消失、服务的分散、数据的迁移等特点,使得业务应用和信息数据面临的安全风险愈发复杂化。用户终端层面,移动互联、智能终端大行其道,BYOD的应用等,都为企业信息安全管理提出新挑战。

大数据的应用,很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况。针对这些边界逐渐消失,服务较为分散,应用呈现虚拟化,敏感业务数据放在相对开放的数据存储位置,等级保护的“分区、分级、分域”保护的原则已无法有效应用。如何有效满足新技术应用下的信息安全需求,也是等级保护下一步需要考虑的内容。

4 进一步做好信息安全等级保护的相关建议

4.1 扩大宣传力度,提高全社会对等保的重视程度

等级保护是我国信息安全建设的基本制度,需提高全社会对等级保护的重视程度,尤其是要提高信息系统主管部门对信息安全等级保护工作重要性的认识。在工作中,可以通过重要信息系统之间的项目依赖性分析,关键部门影响性分析等方法,来增强信息系统主管部门以及全社对信息系统信息安全重要性的认识。在各行业、企业内部,应当通过加强宣传教育培训,提高信息系统使用和运维人员的对信息安全等级保护的重视程度。在等级保护工作推进工作中,对故意将信息系统安全级别定低现象进行严查。

4.2 引入可信计算等主动防御理念,充分发挥等保在信息安全建设中的作用

要充分发挥等保在国家信息安全建设中的作用,需要从技术和管理两个方面进行安全建设,做到可信、可控、可管;并且应当具有抵御来自敌对组织高强度连续攻击(APT)的能力,以满足当前信息安全形势的需求。而可信计算技术可以实现计算处理结果与预期的相一致,中间过程可控制管理、可度量验证。因此,可在信息安全等级保护基本要求等技术标准中引入可信计算的理念,将传统的三重防护上升为可信计算环境、可信边界、可信通信网络组成的可信环境下的三重防护,从而实现主体的可信计算安全,进一步实现等级保护主动防御功能,充分发挥等级保护在信息安全建设中的作用。

4.3 完善等保技术标准体系,推进等级保护在云计算中的应用

针对当前的物联网、工业控制系统、移动互联网,云计算应用中带来的数据高度集中、高虚拟化等的特点,信息安全等级保护应当在等级保护建设时必须加入对终端安全更高的基本需求。例如,在业务终端与业务服务器之间进行路由控制建立安全的访问路径;通过设定终端接入方式、网络地址范围等条件限制终端登录等。同时在虚拟环境下,要求安全设备能识别网络虚拟标签,区分每台虚拟机主机。针对云计算中边界模糊化的特点,可以通过软件安全实现对动态边界的监测,保证其安全。具体推进中,可以通过完善等级保护相关整改建设指南,等级测评工作指南以及相关技术标准等,以指导具体工作的开展,从而以推进等级保护在云计算、物联网、工控领域的等中的应用。

4.4 借鉴经验,完善等级保护制度设计和体系建设

目前《信息安全等级保护定级指南》确定的对象是信息系统,《信息安全等级保护基本要求》也是针对自身具备运行的物理环境、网络环境、系统环境和应用以及相关人员和管理体系等完整、标准的意义上的信息系统而提出的,而对于重要信息系统运行所依赖的网络系统、IDC(互联网数据中心)、灾备中心等这样的对象,无论是定级方法、保护要求还是测评结果判定方面等都还存在不合适的地方。

对此可以在定级过程中,参考美国经验,引入系统法(特别是相互依赖性分析)和象征法,加深对定级对象的认识,通过仿真建模等分析技术进行定级合理性的验证。在等级测评过程可以引入风险分析、威胁评价、系统分析等过程加强测评结果的可量化性。同时研究国外相关信息安全建设中的法律体系、标准体系、组织保障体系等,并在此基础上进行自主创新,以改进我们等级保护实践中发展的制度设计问题,提高政策、理论和技术水平。

5 结束语

当前信息技术发展迅速,信息安全面临的国际形势日益严峻,信息安全等级保护作为贯穿信息系统整个生命周期的信息安全保障措施,应当不断完善其法律体系、技术标准体系以及实施保障机制等,以适应满足新形势下的信息安全需求。

参考文献

[1] 《信息安全等级保护管理办法》(公通字[2007] 43 号).公安部,2007.

[2] 《计算机信息系统安全保护等级划分准则》(GB17859).

[3] DoD ,Trusted Computer System Evaluation Criteria(Orange Book), 26 December 1985.

[4] Information Technology Security Evaluation Criteria;1994.

[5] The Canadian Trusted Computer Product Evaluation Criteria;Version 3 ;1993.

[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3, Version2.1. Augest 1999.

[7] ISO/IEC 15408-1:2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.

[8] 国务院.《中华人民共和国计算机信息系统安全保护条例》. 1994.

[9] 公安部、国家保密局、国家密码管理委员会和国家信息办.《信息安全等级保护的实施意见》(公信安[2007] 861 号). 2007.

[10] 宋言伟,马钦德,张健.信息安全等级保护政策和标准体系综述.信息通信技术,2010(6):59-61.