敏感信息安全范文
时间:2023-10-10 17:42:03
导语:如何才能写好一篇敏感信息安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词 SAP安全敏感信息管理模型;机密数据;多方授权;动态口令
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)15-0054-02
随着信息化在企业中的深入发展,SAP系统作为成熟套转软件不管是业务范围、还是集成度,都在企业的业务应用和企业决策信息系统中占着主导地位。SAP系统承载着企业核心机密数据,尤其是财务、薪酬等数据,必须做好数据的安全保密工作,但现有的SAP系统数据存储体系尚不完善。如,薪酬相关的敏感数据在逻辑数据库表里以明文形式存储; SAP系统无法对数据表后台访问进行控制,系统存在敏感信息外泄的安全隐患。目前对SAP系统的敏感信息访问控制的研究还很少,如何加强对敏感信息访问控制是信息化管理发展的一项重要工作。
1 SAP安全敏感信息管理模型简介
SAP系统中的业务信息都保存在数据表中,只要拥有数据表访问的权限,就可以查看到所有数据表的信息。一些记录敏感信息的数据表有可能会被随意访问、导出,甚至被改动,这显然是很可怕的潜在安全威胁。SAP系统不具备对特定表进行访问控制的功能。本成果结合“多方授权”及“动态口令”的原理,借鉴银行金库监督管理机制,将其改造应用在SAP的敏感信息表访问控制管理上。
2 SAP安全敏感信息管理模型的设计与应用
2.1 模型设计原理
借鉴银行金库监督制约机制,设计了一种多方授权动态访问控制的管理模型。首先将敏感信息表进行注册加锁。任何账户访问这些敏感信息表时,会弹出一个解锁界面,需要三方解锁用户同时输入授权口令方可解锁访问。另外,解锁用户的授权口令是每次即时获取的。解锁用户的账号、个数、有效期等信息都可以调整,提高数据访问控制可靠性、安全性的同时又不失灵活性。
2.2 技术架构
通过客制化配置表对存有敏感信息的数据表进行注册管理并设置解锁用户信息,采用SAP增强技术NEW BADI,增强SAP标准程序对注册的数据表进行客制化权限检查,对该敏感信息表进行多方授权和动态口令的访问控制。
技术实现要点如下:
1)设计一个授权信息表,将需权限控制的SAP系统敏感信息数据表及授权用户配置其中,并为每个数据表指定多个授权用户。
2)在SAP标准表权限检查中,利用ABAP程序增强客制化权限检查程序,同时屏蔽了标准权限检查通过后直接访问表的功能。
3)开发一个“多方授权验证程序”,在“客制化权限检查程序”中调用“多方授权验证程序”,弹出多方授权验证窗口等待授权用户分别输入各自动态密码。
4)开发一个“动态密码生成程序”,各用户分别登录各自的SAP账户,执行此程序生成各自的动态密码,并将密码保存入密码库,该密码只针对当天指定的某一个数据表生效。
5)各解锁用户分别将各自生成的动态密码输入到“多方授权验证程序”中,密码全部正确后即可访问该数据表。
2.3 多方授权的管理模型
多方授权是要求多个用户对同一消息进行签名授权,实现这种多个协议方对同一消息进行签名的方式即为多方授权。目前,多方授权的签名普遍应用在电子商务应用中。本模型将多方授权技术应用在加强敏感信息安全管理。
1)授权信息初始化:本模型的授权信息表,将相关信息初始化入授权信息表中,包括所需注册管理的数据表信息以及可对该表进行访问控制的解锁用户信息。
2)授权产生:当使用SAP数据浏览命令访问SAP数据表时,本模型的SAP的客制化权限检查程序调用多方授权验证程序检查授权信息表,如该表是已注册的表,则会弹出该表对应解锁用户名及输入口令的界面。
3)授权验证过程:根据授权产生结果,该表对应的解锁用户分别将密码输入,本模型的SAP权限检查程序逐一验证,所有用户密码验证正确后,该表对象方能被解锁,授权访问成功。
2.4 动态口令的管理模型
在传统的身份认证中,常采用静态口令法,但该方法无法提供足够的访问安全性。动态口令技术针对传统的静态口令的安全弱点提出一次一变的身份认证方式。动态口令的密码是根据专门的算法产生变化的随机数字组合,具有以下特点:动态性、随机性、一次性、抗偷看窃听性。动态口令技术在各企业中得到广泛的应用,主要用来保护其VPN、服务器、网络设备等。
本模型采用动态口令技术来对敏感信息表进行访问的认证。包括:动态口令生成过程,动态口令身份认证过程。
1)动态口令生成过程。
过程如下:解锁用户通过本用户名登陆SAP系统进入动态口令获取界面;输入要访问的表名称;点击生成密码,用基于时间的口令生成算法,生成密码;点击保存,将密码、用户、表的信息存入密码库。
本模型采用口令生成算法是基于时间的一种算法,根据用户、要访问的表、当前的时间产生,产生的信息作为动态密码,利用时间进行加密后存入密码库。
2)动态口令身份认证过程。
动态口令的身份认证是,在授权解锁界面,解锁用户将刚生成的动态密码输入后,本模型的SAP权限检查程序根据当前系统时间、用户信息、表名称到密码库中搜索相关记录,根据记录中的密码信息,进行核对,完成身份认证。
3 应用效果
本技术的实施可最大限度的保护敏感信息不被随意访问和修改,即使拥有了该表的访问权限,也需要几个用户一起多方授权,与银行保险柜管理的原理一样,钥匙由多人掌管,现场同时插入钥匙共同打开保险柜.本技术采用动态口令,密码即时获取且生效周期短,比单纯的多方授权更提高一层安全性,对财务、人事、薪酬等敏感信息都有很好的保护。效果如下:
1)控制精细且方便,权限控制可以具体到特定表,在程序中注册后即被控制。
2)访问安全且灵活,对不需要访问控制的数据表可根据SAP标准权限检查控制进行访问,需要访问控制的表由多个用户同时授权访问,增大了安全性。
3)控制范围广,可以对SAP系统中任何数据表进行控制。
4)从技术上提升信息管理水平,通过技术手段强制限制访问和修改后台数据。
4 结束语
SAP安全敏感信息管理模型通过最优的技术实现与合理的管理手段相结合,起到最好的信息安全控制效果。SAP安全敏感信息管理模型能够将含有敏感信息的数据表进行注册加锁管理,针对表的特性,设置不同解锁用户,进行多方制约验证,同时针对每次验证都设置动态口令,多方验证全部通过后才能对注册的敏感信息表进行解锁。因此,SAP安全敏感信息管理模型对财务、人事、薪酬等敏感信息都有很好的保护作用,提高了SAP系统的安全性、保密性和易用性。
参考文献
[1]陈岩冰,龙策景,彭丹.SAP系统管理[M].清华大学出版社,2011.
篇2
【关键词】智能电网;信息安全;防护技术
前言
随着信息技术发展加快,智能电网已经成为我国电网发展的主要趋势。尽管世界各国对智能电网信息安全防护体系和防护技术拥有不同定义,但各国都将“建立高速集成双向通信网络”当作基础,通过控制技术和信息技术提升智能化电网发展水平,为智能电网发展提供安全可靠、经济高效的发展环境和关键技术。
1智能电网信息安全防护体系
当今社会,电力成为人民生活和生产必不可少的基础需求,加上信息技术的快速发展和普及,网络技术和计算技术也得到了广泛应用,对电网安全稳定运行和信息防护产生了一定影响。面对信息化和智能化发展趋势越来越明显,许多不法分子通过破坏电网相关设备来窃取电网信息,导致电网的数据传输长度和速率出现问题,影响电网稳定运行。智能电网信息安全防护体系是信息化时代下相关机构对防护电网信息安全的关键手段,它以研究智能化电网互动信息数据隔离交换为基础,利用数据防漏技术和接入安全技术等信息防护关键技术实现智能电网信息安全防护。智能电网信息安全防护体系原则上不被允许改变传统电网的三道防线,而且构架的体系必须与国家电网有关信息安全防护等级要求相一致[1]。
2数据防漏技术
2.1敏感数据安全模型
数据安全分域防护理论以端口、终端、磁盘、移动储存设备、服务器这五大安全域为基础,通过建立安全模型实现智能电网敏感数据的防护。由于该模型能够对数据与进行统一控制和防护,在一定程度上保证了敏感数据传输的高效性和准确性,对构建智能电网信息数据防漏体系具有重要影响。(1)端口信息数据防漏。该方式主要是对端口信息进行控制,从而防止敏感数据泄露。(2)终端信息数据防漏。该方式将加密透明文档作为核心技术,利用分发管理、权限控制以及日志审核等功能实现对敏感数据的防护,保证用户可以对敏感数据正常操作。由于敏感数据必须要经过内核驱动和文件系统处理才能实现在磁盘加密,所以可以使用控制模块对终端敏感数据的访问权限进行管理,令用户只能访问其权限允许下的敏感数据,编辑、复制、发送等权限要根据制定对象进行开放,如此一来不仅能够从源头上保护终端信息数据安全,还有利于防止不法分子非法入侵智能电网,从而实现智能电网信息安全防护。(3)磁盘信息数据防漏。该方式主要利用全盘加密技术来实现信息安全防护,应用了磁盘加密技术的智能电网,用户只能在读写磁盘时,对磁盘扇区进行解密才能获得自己想要的信息,能够有效防止数据泄露。(4)移动储存设备信息数据防漏。该方式是通过控制移动储存设备端口和身份认证技术来实现敏感数据防护。(5)服务器信息数据防漏。该方式主要利用权限控制技术、身份认证技术对服务器的敏感数据进行信息安全防护,通过制定安全策略使得不符合策略规则的访问被隔离与服务器之外,极大程度上保护了智能电网敏感数据的安全性。
2.2智能终端感知
由于智能电网数据在进行终端采集、网络采集、存储采集以及业务应用识别等情况下会产生泄露,为了防止数据信息的泄露,相关机构可以利用智能终端感知技术构建安全感知机制,利用安全实现智能电网数据的实时防护,保证智能终端安全可以自主感知并控制数据信息。(1)利用智能终端安全能够对威胁智能电网信息安全的数据和载体进行采集,并将其与智能电网业务处理系统相关联,从而实现全方位防护智能电网信息安全的不受非法信息威胁。(2)智能终端安全能够利用感知控制技术对能够威胁智能电网信息安全的“监视对象”进行控制,利用信息获取和处理功能,对智能电网终端上的异常操作进行感知和控制,以此实现智能电网信息安全防护的目的[2]。
3安全接入技术
3.1并行加密技术
由于智能电网具有信息数据数量庞大、业务终端种类繁多的特点,所以一旦智能电网的信息安全受到威胁或侵害,就会直接影响我国电力用户的用电质量和安全。并行加密技术主要是利用多线程并行处理方式来改进电网密码调度算法,通过对智能电网的多个密码芯片进行并行处理,从而实现智能电网海量异构终端的大流量数据处理。(1)提高集成接口性能。应用了并行加密技术的数据集成接口能够实现外部连接四个或多个密码芯片,通过控制对个密码芯片来提高数据传输速度,从而增强加密数据在主机之间传输的安全性,有利于满足当前用户对高速密码卡的要求。(2)利用密码分组链接模式实现连续数据的并行加解密。传统智能电网的电子密码本模式存在一定安全缺陷,为了保护智能电网信息安全,相关机构应当选择密码分组链接模式增强高速密码卡的安全性。该模式先将连续数据分组,然后利用密码芯片分别对每个分组进行单独加密,从而实现连续数据的多个密码并行加密,对提高智能电网信息安全和数据传输速度具有积极性影响。
3.2安全可信专控技术
安全可信专控技术能够针对智能电网经常使用的移动作业终端、移动办公终端、输电线路状态监测终端进行安全防护。(1)移动作业终端。安全可信专控技术通过对安全卡密钥、证书等信息进行身份认证,实现智能电网移动作业终端信息的安全防护。应用了该技术的移动作业终端在启动之前便可以对终端硬件标识、安全卡硬件序列号等信息进行身份认证,保证终端启动的安全性;在终端运行过程中,安全可靠专控技术能够对接入信息进行实时采集和健康扫描,以此保证智能电网终端运行环境的可靠性和安全性;如果终端出现信息威胁,安全可信专控软件会即时将该信息上报至安全接入网关,通过综合身份认证实现接入移动作业终端的信息安全。(2)移动办公终端。安全可信专控技术通过对嵌入式电网业务操作系统进行控制,保证接入智能电网的信息安全可信。该技术会对移动办公终端的信息数据实行裁剪、定制,通过去除不必要的设备驱动来实现智能电网系统的安全操作。(3)输电线路状态监测终端。对于该智能电网终端具有通信方式多样化的特点,对于该终端的信息安全防护,安全可信专控技术会以通信技术为基础,设计出带有嵌入式处理器功能的安全通信模块,将其作为终端的通信中间件,能够保证智能电网在各种恶劣气候环境下进行电力输送。应用了安全可靠技术的安全通信模块能够与以太网、RS232等多种集成接口连接,有利于智能电网的监测终端对接入信息进行监控[3]。
篇3
[关键词]大数据;大数据安全;信息安全;风险
大数据已成为推动经济转型发展的新动力,提升政府管理能力的新途径。大数据技术在快速发展的同时,其面临的信息安全挑战也日益严峻。美国“棱镜门”事件可以视为大数据时代的重大信息安全事件,主要是通过收集各国的重要敏感数据进行大数据分析。2017年5月在全球爆发的大规模勒索病毒“Wannacry”感染事件再次给世人敲响了警钟,已对我国互联网络构成较为严重的安全威胁。大数据环境下的信息安全威胁已成为全社会共同面临的问题和挑战。首先分析了大数据环境下信息安全的概况,接着对大数据环境下的若干典型信息安全风险进行分析,最后提出了大数据环境下信息安全的应对策略。
1大数据的特征和用途
通常情况下,大数据是指规模庞大,无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。大数据具有体量巨大、类型繁多、价值密度低、处理速度快等特点[1]。大数据的战略价值不在于庞大的数据量本身,而在于对海量数据进行专业化分析挖掘,从而使发现事物规律[2],预测未来成为可能,通过广泛应用于科学、教育、商业、医疗等各领域,为经济社会快速发展带来强大的驱动力。
2大数据环境下的信息安全风险分析
大数据在带来巨大价值的同时,也引发了一系列安全问题。大数据环境下信息安全面临着以下风险:加剧了隐私泄露风险、基础设施面临严峻安全威胁[3]、大数据成为网络攻击的重要目标和大数据技术成为网络攻击的手段。2.1大数据加剧了隐私泄露风险。个人隐私信息主要包括个人身份信息、财产信息、位置信息、社交信息、健康信息等。大数据环境下,如果隐私信息未被妥善地处理,很可能会对用户的个人隐私造成极大的侵害。大数据环境下,个人隐私泄露一方面涉及个人隐私信息自身的泄露[4-5],另一方面,也是更大的风险,就是根据对用户的以往大数据分析,从而对用户的行为和状态进行推断、预测,对用户隐私产生极大的威胁,甚至被用于实施精准营销甚至网络诈骗等,对人们的正常生活造成了严重干扰[6],甚至会威胁社会生活的正常秩序。2.2大数据基础设施面临严峻安全威胁。大数据基础设施是大数据安全运行的主要载体和重要基础,具有分布式、虚拟化等特点。作为大数据的支撑平台—云计算安全面临着严峻的安全威胁,随着云计算的发展,数据在采集、传输、存储、处理、共享、使用、销毁等环节上进一步集中,大数据在云端的集中存储必然会导致数据安全的风险加剧[7],大数据基础设施遭受网络攻击的机会增多,从而影响大数据基础设施的正常运行。2.3大数据成为网络攻击的重要目标。随着云计算的发展,传统的网络安全边界已经消失,APT、DDoS、零日漏洞网络攻击等安全风险加剧,传统的网络安全防御方法已经无法适应新形势下的网络安全防护需求。同时由于大数据包含了大量有价值的信息,已成为网络攻击的重要目标[8],面临着数据篡改、数据窃取等安全风险。2.4大数据技术成为网络攻击的手段。由于大数据包含了丰富全面的信息,黑客通过收集海量的用户隐私信息,运用大数据技术对特定目标发起精准攻击成为可能。数据挖掘和分析等大数据技术被用于网络攻击手段可发起高级可持续威胁(APT)攻击,通过将APT网络攻击代码隐藏嵌入在大数据中,进而利用大数据技术发起僵尸网络攻击,能够控制海量傀儡机进而发起更大规模的网络攻击,严重威胁网络信息安全。
3大数据环境下信息安全的应对策略
根据对大数据环境下的信息安全风险分析,下面分别从四个方面设计大数据环境下信息安全的应对策略。3.1建立大数据信息安全战略保障体系。大数据信息安全需要从战略层面加强顶层规划和整体设计,着重从法律法规、组织规划、大数据监管、安全策略、标准规范、人才支撑等方面进行宏观设计,健全大数据信息安全相关法律法规,完善大数据信息安全管理机构,强化大数据的统一监管,推动大数据信息安全的标准制定工作,构建大数据信息安全人才支撑体系[9-10],具体如图1所示。3.2构建大数据全生命周期运行保障体系。加强对数据采集、传输、存储、处理、使用、销毁等生命周期全过程的安全防护,构建大数据全生命周期运行保障体系,如图2所示。在数据采集阶段运用数据加密、数据融合等技术提高其安全性。在数据传输阶段采取VPN(虚拟专用网)技术建立数据安全传输的通道。在数据存储阶段运用分布式云存储技术、数据脱敏、同态加密、数据灾备等技术提高其存储安全性。在数据处理阶段,要在做好隐私保护的基础上进行大数据挖掘,确保大数据的安全。在数据的使用阶段,主要使用身份认证、访问控制、数据溯源等技术,确保数据访问可管可控、可溯源追踪。3.3构建重要敏感数据的分级管控体系。根据大数据的重要性和敏感性,建立分级管控机制,实施差异化管理。在政府层面,要加大对重点行业领域、敏感数据的监管,实施信息安全等级保护,制定和完善对重要数据库的管理制度。在企业层面,要加强内部重要敏感数据的监管,明确相关操作方法和操作流程,强化对人员、设备、数据的管理,降低数据泄密风险。3.4加强大数据安全的监测预警及应急响应能力建设。建立大数据的动态安全监测预警机制,实时监测大数据的运行状况,对异常状况及时响应预警。构建大数据安全应急响应体系,建立响应的组织机构,制定应急处理的流程,一旦发生重大的安全事件,立即启动应急预案,对大数据安全事件按照既定的流程快速处置,事后对处置效果进行评估分析,根据评估结果进一步完善相关防护措施,提高大数据安全的综合防护能力。
4结语
篇4
近年来,许多企业内网数据信息泄露事件频繁出现,这预示企业内容数据信息泄露防御工作存在严重的缺陷。并且随着各种新型技术、热门应用的应用,增加了对企业内网的攻击频率和针对性,造成大量的数据信息泄露,这对于企业的健康、稳定以及长足发展是非常不利的。十之后,信息安全作为重大战略,上升到国家高度,加强并构筑企业信息防御能力显得更为重要和迫切。因此,文章针对信息泄露防御模型在企业内网安全中应用的研究具有一定的现实意义。
2企业内网安全现状分析
目前,黑客间谍、木马等在不停的给企业内网制造安全麻烦,并且利用各种新型技术、热门应用等,增加了对企业内网的攻击频率,并且攻击目标越来越具有针对性,盗取了企业内网中的众多重要数据信息,给企业内网安全埋下严重的隐患。同时,对企业内网数据信息泄露事件进行分析,影响企业内网信息安全的因素,不仅仅是黑客间谍、木马的攻击,还有一部分是由于企业并没有创建科学、有效的信息防御模型,再加上企业内网安全维护人员自身疏忽、操作不当或者其他原因可能引发内网数据信息的泄露。正是由于上述众多原因,并且企业在运行的过程中的业务流程以及数据信息量的不断的增多,加上泄露防御系统、员工失误等导致的信息泄露事件逐渐的增多,因此亟待采取有效的措施进行安全控制和处理。目前,企业针对内网信息泄露的防御措施包括以下几个方面:禁止使用打印机、光驱、软驱等;禁止使用可移动储存器;禁止使用网络连接等,上述“人治”的方式虽然组织了敏感信息进入到企业内网,但是却降低了系统的可用性,实用性不强。
3信息泄露防御模型在企业内网安全中的应用分析
3.1信息泄漏防御模型原理
本文提出了基于密码隔离的信息泄露防御模型,利用密码以及访问控制的方式,在企业内网中创建一个虚拟网,以此解决企业内网敏感信息泄露的问题。文章给出一个科学的秘钥管理协议,结合对称加密算法,赋予了该信息泄露防御模型一人加密指定多人解密的功能,即企业中的任何用户对敏感信息进行加密后,能够指定一个或者多个解密者,以此控制敏感信息的传播途径与范围。该信息泄露防御模型在企业内网安全中应用的最大特点在于拥有者与使用者不分离,例如,企业内部人员在不改变终端的前提下,同时不影响其任何权限,具有访问终端上的所有客体的权限,这样很容易导致企业内网的敏感信息外泄,但是这样必须控制用户的行为,因此,文章提出的基于密码隔离的信息泄露防御模型,将系统的主体、客体进行分级,即低安全级与高安全级,其中高安全级储存以及传递的信息需要受到保护,不能泄露到企业外部。因此,该模型的核心思想表现为:当模型判断信息为敏感信息时,将信息的安全等级提升为高安全级,如果高安全级的信息被传递至外部网络或者设备时,会对信息进行加密,然后将敏感信息相对应的数据文件标记成高安全级,在应用环境中形成一个密码隔离的虚拟网络,在该虚拟网络中敏感信息以密文的形式存在,即使黑客或者恶意用户将信息通过移动储存器、网络等传递到企业外部,但是得不到相应的解密密钥,也不会导致企业信息被泄露。
3.2CIBSM模型的应用
近年来,企业内网信息系统规模不断的扩大,覆盖范围越来越广,因此信息系统的组成也逐渐的向复杂化方向发展,威胁信息系统安全的因素不断的增多,如果仅仅提出保证企业内网信息安全的理论,并不能够保证企业内网信息安全,还需要给出科学、合理、可行的实施方法,基于此创建了OM/AM框架,即O-objective(目标)、M-model(模型)、A-architecture(架构)、M-mechanism(机制),该架构实现了“做什么”到“怎样做”的转变,即将CIBSM模型从理论到实践,从工程上给出可行的实施方法,有效的解决了企业内网信息外泄的隐患。CIBSM模型的工程实现采用安全内核方式,通过控制文件读写以及进程的方式防止信息泄露,在实际应用的过程中应该注意以下两个方面:3.2.1密钥管理协议方面密钥管理机制在一定程度上决定了CIBSM模型的实用性以及安全性,因此密钥管理机制应该保证企业内网的所有合法终端都能够对敏感信息进行加密,并且在企业的应用环境中对加密的敏感信息进行解密,并且保证非法终端部能够解密加密的敏感信息。同时,还应该保证解密秘钥的透明性,防止用户将密钥带到企业外部环境。基于此,CIBSM模型采用基于身份的密钥管理机制,便于实现企业内网信息的安全传递与储存。3.2.2可信终端引入方面通过引入可信终端,能够实现对敏感信息的降级处理,实现对企业内部敏感信息的正确管理,并且所有的敏感信息都需要经过可信终端的降级处理,即用户需要将敏感信息通过外部储存装置或者打印带至企业应用环境以外时,可信终端会对所有的敏感信息进行降级处理,以此保证企业内网敏感信息的安全性。可信终端的引入,在不降低系统可用性的基础上,提高了企业内网敏感信息的安全性。
4结束语
篇5
军工企业与“互联网+”概念相结合是社会发展的潮流,也是企业发展的必然趋势,而此过程中的信息安全风险控制显得尤为重要。通过分析军工企业在互联网商业活动中的行为,能够判断部分信息风险点,针对风险点能够分析得出控制信息风险的方法:包括使用可信商业平台、匿名方式敏感信息、限制商业平台搜索等方式,通过这些方式能够一定程度上控制军工企业在互联网商业活动中信息安全的风险,保障军工企业的商业信息安全。
关键词:
互联网;息安全;业活动
军工行业要谋求自身发展,不被市场所淘汰,一定会与互联网结合,这本是大势所趋,但军工企业在“互联网+”的浪潮中因其行业特殊性不得不面对比一般企业更大的信息安全风险,如何控制风险、保障信息安全成为一个新的课题。
1理想的“互联网+”商业模式
军工企业因其行业特性与其他行业相比受到更多国家政策的倾斜,具备有许多高精尖设备和相关技术人员,由于生产任务的批次间隔、任务量不足等原因,很多时候,这些设备和人员并没有实现全饱和工作状态,这无形中降低了设备和人员的价值,造成了生产力的浪费。同时,每个行业都不是孤立的,军工企业需要依赖于从不同行业中获得相关的产品或服务。传统方式中,业务人员掌握的信息相对固定,采购渠道比较单一,难以谈判出更优惠的价格以降低成本,也难以通过对比的方式获得更优的产品以提升效率,这种方式不利于军工企业的降本增效工作开展。如果将军工企业与其他企业通过互联网平台紧密连接起来:一方面,军工企业的优势资源展示于互联网平台上,为众多需求企业提供了更多的选择,同时将军工企业置于竞争激烈的互联网市场中,有利于企业发现自身不足、培养和提升企业竞争力;另一方面,军工企业透过互联网能够开拓眼界,获取更多优质资源,接触更多优秀企业,以更低的价格解决问题、获得更高品质的产品,甚至能够促进配套行业的快速发展。“互联网+军工”能够解决目前军工行业中存在的一些痼疾,帮助处于“工业2.0(电气化)”、“工业3.0(信息化)”的企业逐步走向“工业4.0”,使企业受益于发展迅猛的互联网科技。
2“互联网+军工”可能面临的信息安全风险
每一次革新都带有其两面性,互联网在为我们带来众多好处的同时也必然地带来了一些烦恼,“棱镜”事件发生后,大家突然意识到自己在互联网上的一举一动不那么安全,基于用户的日常行为,不但可以窃取用户隐私信息,还能够预测用户行为。对军工企业来说,信息泄露的后果要严重得多,原本信息是以相对封闭的方式集中于企业内部,商业信息上线后,尽管每个独立信息可能不涉及企业的核心,但是当信息汇集起来时,情况将完全不同,军工企业将面临来自至少以下两个方面的信息安全风险。
2.1过度外协带来的信息安全风险
随着技术的发展,产品的加工工艺也在不断革新,由于自身工艺欠缺、设备故障或设备过于陈旧、生产进度无法满足等等因素可能导致企业选择外协厂家生产加工部分构件。为了提升生产效率,采用这种方式无可厚非,但随之而来的信息安全风险不可忽视。外协通用零部件相对而言面临的风险较小,通用零部件的用途广泛,外界很难通过猜测得出其具体用途。专用零部件由于其特殊性,外协时可能使知悉者通过分析而得出其原理或用途,进而造成产品关键信息的泄露。鉴于互联网的开放性,当专用零部件信息上线后,除正常外协厂家外,不能避免其他人员对信息的获取,难以保障相关产品信息的安全。
2.2大数据分析处理带来的信息安全风险
传统商业活动中,企业的采购行为或协外行为一般通过电话、传真、会面等方式实现,商业信息分散于各个相关业务人员手中,每个人能获知的信息甚少,能与他人交换的信息也有限,当军工企业的商业活动逐渐走上互联网时,原本离散的商业信息将随之集中起来,量变引发质变,原本并不敏感的商业信息也变得敏感起来。数据分析与数据挖掘技术的不断发展使得从海量信息中获取可用信息成为可能。商业信息的集中无形中为不法分子提供了更便捷的渠道,从军工企业大量的商业信息中获取到相关的产品信息或产品参数,将对军工企业的信息安全产生极大的威胁。
3军工企业互联网商业活动中信息安全风险控制措施探究
互联网商业活动由于其涉及的范围广,很难控制信息的边际,在不影响商业活动的前提下,控制信息安全风险只能从其他方面入手。
3.1采用可信的平台
经过近几年媒体的曝光后,大众已逐渐意识到:泄露自己信息的不是别人,正是自己经常打交道的互联网商家或互联网工具。这些互联网企业表面上为用户提供了周全的隐私协议,实际上不乏利用用户信息牟取利益的情况。军工企业为了避免信息安全风险,首先要选用可信的平台。对于互联网来说,绝对安全是难以达到的,选用可信的平台能够帮助企业避免因为平台运营者因为自身的利益考虑而被牺牲的风险。互联网平台既是一种渠道,也是企业的合作伙伴,选择可信的合作伙伴,能够帮助企业从很大程度上避免信息被主动泄露的风险。
3.2采用匿名的方式
匿名在网络中是一种很好的保障个人用户隐私的方法,这种方法企业用户同样可借鉴使用。为了加强宣传,互联网上的企业行为通常不会采用匿名方式,军工企业在加强影响力的同时不能忽视信息的安全性,在恰当的时候匿名能够降低信息安全风险。针对敏感任务和大批量任务由互联网平台提供匿名的方式,军工企业可以在任务之初选择匿名方式,合作企业仅能看到任务信息,不能看到任务的企业信息,达成合作意向后,合作双方方能获取对方的具体信息,这样一方面能够利用互联网的优势,另一方面能够避免因为无关人员浏览过多信息而造成的风险。
3.3限制平台搜索功能
篇6
关键词:网络环境 企业信息 安全管理
引言
随着社会的发展,企业对信息资源的依赖程度来越大,由此带来的信息安全问题也日益突出。生产中的业务数据、管理中的重要信息,如果企业自身的信息安全管理有重大疏漏,也无法保证数据的安全可靠。当前,企业在黑客病毒日益猖撅的网络环境下不仅要保护自身信息的安全,还要保护业务数据的信息安全,因此有必要从体系管理的高度构建企业信息安全。
一、企业信息安全的二维性
当前,企业信息安全已涉及到与信息相关的各方面。企业信息安全不仅要考虑信息本身,还需要考虑信息依附的信息载体(包括物理平台、系统平台、通信平台、网络平台和应用平台,例如PC机、服务器等)的安全以及信息运转所处环境(包括硬环境和软环境,例如员工素质、室内温度等)的安全。资产如果不对影响信息安全的各个角度进行全面的综合分析,则难以实现企业信息安全。因此,需要从企业信息安全的总体大局出发,树立企业信息安全的多维性,综合考虑企业信息安全的各个环节,扬长避短,采取多种措施共同维护企业信息安全。
1、技术维:技术发展是推动信息社会化的主要动力,企业通常需要借助于一项或多项技术才能充分利用信息,使信息收益最大化。然而,信息技术的使用具有双面性,人们既可以利用技术手段如电子邮件等迅速把信息发送出去,恶意者也可由此截获信息内容。为确保企业信息安全,必须合理的使用信息技术,因此,技术安全是实现企业信息安全的核心。
1)恶意代码和未授权移动代码的防范和检测。网络世界上存在着成千上万的恶意代码(如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等)和未授权的移动代码(如Javaseript脚本、Java小程序等)。这些代码会给计算机等信息基础设施及信息本身造成损害,需要加以防范和检测。
2)信息备份。内在的软硬件产品目前还不能确保完全可靠,还存在着各种各样的问题。外在的恶意代码和未授权移动代码的攻击,也会造成应用信息系统的瘫痪。为确保信息的不丢失,有必要采取技术备份手段,定期备份。
3)访问权限。不同的信息及其应用信息系统应有不同的访问权限,低级别角色不应能访问高级别的信息及应用信息系统。为此,可通过技术手段设定信息的访问权限,限制用户的访问范围。
4)网络访问。当今,一个离开网络的企业难以成功运转,员工通常需要从网络中获取各种信息。然而,网络的畅通也给恶意者提供了访问企业内部信息的渠道。为此,有必要采用网络防火墙技术,控制内部和外部网络的访问。
2、管理维:企业信息安全不但需要依靠技术安全,而且与管理安全也息息相关。没有管理安全,技术安全是难以在企业中真正贯彻落实的。管理安全在企业中的实施是企业信息得以安全的关键。企业应建立健全相应的信息安全管理办法,加强内部和外部的安全管理、安全审计和信息跟踪体系,提高整体信息安全意识,把管理安全落到实处。
l)信息安全方针和信息安全政策的制定。信息安全方针和信息安全政策体现了管理者的信息安全意图,管理者应适时对信息安全方针评审,以确保信息安全方针政策的适宜性、充分性和有效性。
2)构建信息安全组织架构。为在企业内贯彻既定的信息安全方针和政策,确保整个企业信息安全控制措施的实施和协调,以及外部人员访问企业信息和信息处理设施的安全,需要构建有效的信息安全组织架构。
二、企业信息安全构建原则
企业信息安全构建原则为确保企业信息的可用性、完整性和机密性,企业在日常运作时须遵守以下原则。
l)权限最小化。受保护的企业信息只能在限定范围内共享。员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。对企业敏感信息的获知人员应加以限制,仅对有工作需要的人员采取限制性开放。最小化原则又可细分为知所必须和用所必须的原则,即给予员工的读权限只限于员工为顺利完成工作必须获的信息内容,给予员工的写权限只限于员工所能够表述的内容。
2)分权制衡。对涉及到企业信息安全各维度的使用权限适当地划分,使每个授权主体只能拥有其中的部分权限,共同保证信息系统的安全。如果授权主体分配的权限过大,则难以对其进行监督和制约,会存在较大的信息安全风险。因此,在授权时要采取三权分立的原则,使各授权主体间相互制约、相互监督,通过分权制衡确保企业信息安全。例如网络管理员、系统管理员和日志审核员就不应被授予同一员工。
三、企业信息安全管理体系的构建
信息安全管理体系模型企业信息安全管理体系的构建要统筹考虑多方面因素,勿留短板。安全技术是构建信息安全的基础,员工的安全意识和企业资源的充分提供是有效保证安全体系正常运作的关键,安全管理则是安全技术和安全意识恒久长效的保障,三者缺一不可。因此,在构建企业信息安全管理体系时,要全面考虑各个维度的安全,做好各方面的平衡,各部门互相配合,共同打造企业信息安全管理平台。科学的安全管理体系应该包括以下主要环节:制定反映企业特色的安全方针、构建强健有力的信息安全组织机构、依法行事、选择稳定可靠的安全技术和安全产品、设计完善的安全评估标准、树立.员工的安全意识和营造良好的信息安全文化氛围等。因此,为了使企业构建的信息安全管理体系能适应不断变化的风险,必须要以构建、执行、评估、改进、再构建的方式持续地进行,构成一个P(计划)、D(执行)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。
四、结论
信息安全管理体系的构建对企业高效运行具有重要意义。只有全面分析影响企业信息安全的各种来源后才能构建良好的企业信息安全管理体系。从大量的企业案例来看,技术、管理和资源是影响企业信息安全的3个角度。为此,应从技术、管理和资源出发考虑信息安全管理体系的构建原则和企业信息安全管理体系应满足的基本要求。同时,也应注意到,信息安全管理体系的构建不是一劳永逸而是不断改进的,企业的信息安全管理体系应遵从PDCA的过程方法论持续改进,才能确保企业信息的安全长效。
参考文献:
篇7
ZigBee技术在WSN(无线传感器网络)和物联网应用的提出已经有很多年了,并且ZigBee在智能化信息管理、电子收费系统、自动化控制监测和军用智能无人机器方面有广阔的市场前景。
WSN网络和物联网通信技术的不成熟、软硬件标准的不统一,信息安全方面特别是信息安全技术的敏感性和各个研发单位的安全技术保密的不成熟,而ZigBee网具有很强的安全、稳定性能,可以有效的解决这一难题。
由于ZigBee无线网应用极其广泛,选取POS收费系统应用作为具体研究对象,而且将ZigBee技术应用在POS收费系统上本身也是个研究前沿。所以,对确立在STM32单片机基础上,基于ZigBee无线网络的POS机信息安全问题进行整体的初步探讨,以期起到抛砖引玉的作用。
1 基于ZigBee无线网的POS系统信息安全环境
1.1 ZigBee网POS系统环境配置
具有安全特性的高性能、低功耗、自组网的ZigBee组网是当今WSN和物联网RFID技术组合的主流高新技术之一,相比蓝牙、Wi-Fi和GPRS,ZigBee组网更具有特别的安全性;而STM32单片机高效能、高可靠、低成本和技术成熟,还可以实现51单片机不能完成的复杂功能用途,是很有发展前途的一款单片机。
因此,STM32单片机是安全、稳定的ZigBee组网节点的恰当选择。μC/OSⅡ操作系统具有执行效率高、空间占用小、多任务、可扩展能力强和稳定可靠的特点,符合WSN的信息安全稳定工作要求。
建立在STM32单片机、ZigBee组网和μC/OSⅡ操作系统基础上的软硬件系统是建立低成本、高可靠、高安全的无线网的必要条件。将无线网络信息安全建立在使用STM32单片机、基于ZigBee组网和μC/OSⅡ等实时操作系统上的POS系统环境,相比建立在基于51单片机裸机上的ZigBee组网的POS系统环境,安全度更高更可靠。
1.2 ZigBee无线网的安全特性
ZigBee无线网是一种短距离、低功耗、自组网和高安全性的高新无线通信网络,由一个高性能的FFD(全功能节点)和多个的RFD(精简功能节点)组成PAN(私人用局域网)。只能有FFD建立PAN网,由多个PAN网建立整个ZigBee组网。
万一有FFD被击毁,可以由临近有效范围的FFD自动重新组网;当孤立的RFD不在FFD范围内,可以通过其他附近的FFD加入PAN网,灵活性和稳定性很高。由于ZigBee无线网的有群集性多跳性,定位节点位置是技术难题,就需要再组合GPS应用模块进行补充,
1.3 ZigBee无线网安全的关键技术
ZigBee的无线通信安全的关键是通信协议,ZigBee协议规范提供了信任中心、网络层安全和APS层安全,不提供链路层安全。ZigBee遵守IEEE802.15.4协议,并可以在简单的IEEE802.15.4协议基础上开发简单的WSN应用协议,用于建立小规模简易局域网如星型网。
甚至在此基础上自行开发大规模复杂的协议栈,比如用于智能家居自动监控系统的Mesh网。还可以创新多种功能的应用程序和系统软件。我们甚至可以把开发出来的有安全保护的协议栈固化到芯片中去,使用AES协处理器实现信息的硬件加密加速的功能,而我们的软件只需要设计一个自己的API接口就行。
1.4 ZigBee无线网的POS系统信息安全架构
针对ZigBee组网的POS系统信息安全问题,从上层到底层可分为:操作安全、网络安全、软件算法安全、底层硬件安全。操作安全要求有一套严格的操作规章制度,禁止未授权人非法使用、越权使用。网络安全要求网路的安全,包括接入点安全和网络协议族安全。软件算法安全最重要也很复杂,包括各种加解密算法安全、电子签名和身份认证。底层硬件安全包括、POS机安全和意外安全。
2 基于ZigBee无线网的POS系统软件算法安全及算法比较
身份认证可以使用不对称加密算法和对称加密算法,一般应使用不对称加密的RAS算法。使用预定好的密钥进行身份认证,身份认证成功后,对存储器的任何操作都是加密的。身份认证共有三轮,如图,流程为: 第一轮:a) 读写器指定要访问的存储区,并选择预定密钥A 或B。b) 射频卡从位块读取密钥和访问条件。然后,射频卡向读写器发送随机数。
第二轮:c) 读写器利用密钥和随机数计算回应值。回应值连同读写器的随机数,发送给射频卡。d) 射频卡通过与自己的随机数比较,验证读写器的回应值,再计算回应值并发送。
第三轮:读写器通过比较,验证射频卡的回应值,正确后才能对卡进行读写操作。这样认证加密后,就有效的保护了个人隐私。身份认证成功后,读写器/芯片指定后续读取的存储器位置,数据加密采用TEA、DES、AES等。为保证终端设备的安全,必须一卡一码,并且每次只能对一张卡操作。认证完成后才能进行卡的读写操作,每次只能有一张卡选中,获得认证后进行读写操作,其他的卡则进入休眠态,以保证不会出现由串卡现象引起的误操作。射频卡读写器的安全软件由生产商配备,并且通常要固化到硬件。
RSA算法的难度在于如何产生密钥对,RSA生成公钥的方法:任意选两个大素数M、N,选择一个加密密钥E,使E不是(M-1)和(N-1)的因子;
生成私钥D的公式:(D*E)MOD(P-1)*(Q-1)=1;
用公钥E加密公式:CT=PTEMOD(M*N);
用私钥D解密公式:PT=CTDMOD(M*N)。
在ZigBee网中,对于敏感性信息的安全保护没有太高要求的应用领域,在32位CPU或MPU处理器主频80Mhz情况下,使用对称加密方法的DES,加解密的速度为26.75Mbyte/s, 加解密的速度水平较高。如强化安全性能可以升级为更先进对称加密方法的AES,如使用AES加解密,加解密的速度11.69Mbyte/s, 加解密的速度水平中等,比前者慢。
在ZigBee网中,对于敏感性信息的安全保护有很高要求的领域,特别是在财务、金融和军用领域,必须要保证身份认证和数据信息的绝对安全。所以,算法必须使用复杂加密方法RSA,并配合数字签名。在32位CPU或MPU处理器主频80MHz情况下,1M的 RSA 签名次数 32 次/秒,认证次数 32 次/秒,正所谓慢工出细活。
RSA使用公钥密钥对机制,再配合数字认证可避免中间人攻击,这对于开放性更强的无线网络尤为重要。如果采用对称密钥算法,密钥容易被入侵者截获,对收发双方进行欺骗并非法获利。并且RSA伸缩性更好,所需密钥数与消息交换参与者个数相等。
而对称加密算法容易受到中间人攻击,密码会被盗用;并且一旦网络规模加大,密钥对的数目的需求成指数级别增长,是消息交换参与者个数的平方,在密钥发放过程中很容易泄密。因此,身份认证应采用安全度更高但速度慢的RSA;经常大量的数据包加密采用速度快的DES或AES,并可用ZigBee节点自带的AES协处理器进行硬件加速。若要进一步加速数据包加解密速度,可以将主节点与上位机的串行数据接口改为高速的USB接口,就可加快加解密速度。以下简述AES的应用程序设计。
3 POS系统的ZigBee网络安全
在TCP/IP各层数据安全中,ZigBee的网络数据信息安全的数据安全主要特点有:非法网络节点的过滤和无线网信息加密,可有效避免网络的非法入侵。通过IEEE802.15.4协议栈的应用库,例如如在基于MAC协议栈的MAC库API上,通过建立PAN网,每个PAN都有独有的PAN地址ID,这样就可通过PAN网ID和节点ID过滤来区分ZigBee网节点的合法性。在发送和接收数据包过程中,通过AES算法来加密来实现数据的信息安全。
据最新报道,AES加密算法已被国外顶尖专家破解,但是也不必惊慌,对于绝大多数情况下,附加其他综合安全措施,它目前还是很安全。AES高级加密标准(Rijndael算法)明文分块和密钥为可变长,加密的轮数为可变次,每一轮4步:第一步:使用S盒技术进行字节替换。
第二步移行,第一行不变,其他的行移动可变次数。第三步混合列。第四步,轮密钥加法,将密钥与输入的字符进行字节异或操作。其中的可变部分由用户自行确定后,生成的密文更难破译。
此外,网络接入点的防火墙也很重要,防火墙保护可信任内部网络免受不可信网络的入侵威胁,能极大地提高政府部门、企业内部网络的信息安全,同时允许信任的双方通信,并通过过滤不安全的网络服务而降低风险。
ZigBee无线网的接入点也必须要有完备的防火墙设置,采用路由器相互认证、地址翻译等方法,方可有效防止假冒的路由器接入内网和非法截取私有敏感数据,以确保无线网的信息安全。
在以STM32单片机为节点的ZigBee无线网,可加载GPS卫星定位模块,将关键的可读写的FFD节点中嵌入GPS模块并且全部定好位,并将地址上传到主控机节点,而执行多跳的RFD节点不加载GPS模块,以减少信息安全成本。这样,凡是不在正确的GPS位置的非法入侵FFD节点一律无法加入ZigBee网并且会导致启动入侵报警程序。
4 POS系统硬件安全
由于是无线网,ZigBee网的安装和POS机入网离网非常方便,易于随身携带,比固定POS机好保管、防盗。在POS机内置高容量缓存,可暂时保存网络通信延迟信息。内置后备供电池,防止突发停电。配置后备存储器,暂时断网后可脱机保存消费信息。
5 结束语
基于ZigBee无线网的POS系统信息安全不仅要有严密的安全算法,健全的软、硬件和网络安全环境也起了不可替代的作用。此外,无线网信息安全应当考虑到加解密算法的安全性能、成本和时间的平衡点,寻求安全、低价和快速的实施方案。有有效的方法就是:首先,身份认证采用安全度更高但速度慢的RSA算法,极度敏感数据采用加载GPS模块的STM32单片机来定位入侵;
其次,经常大量的数据包加密采用安全度较低但速度快的AES算法,并采用低价、高效和低功耗的STM32单片机为节点的ZigBee无线网,使用AES协处理器加速加解密处理;
第三,ZigBee无线网组网的FFD节点加载GPS定位模块,并登记GPS地址到主控机,解决ZigBee节点的准确定位问题,防止非法节点冒名顶替和准确定位入侵者。 最后,ZigBee无线网的接入点必须采用防火墙。只有软硬件互相配合和严格的安全管理,才能保证基于ZigBee无线网的POS系统信息安全万无一失。
篇8
《孙子兵法》讲:“知己知彼,百战不殆”,这句话充分说明了信息的重要性。对企业来说信息是企业经营活动的基础,是把握营销机会的关键,企业对市场和客户信息的了解越深入,越能在营销活动中赢得先机,那么作为移动客服我们要了解客户的什么信息呢?具体来说,我们要掌握的信息包括客户身份、喜好、需求、联系方式等基本资料,也就是在客户开通手机业务的时候登记的客户个人信息,包括姓名、性别、出生年月、身份证以及电话、地址等基本信息,有时候也包括家庭,学历,工作、收入等等。
由于我国没有专门的法律保护个人信息安全,公众和社会也普遍缺乏个人信息保护的意识,我们对客户的信息进行登记时客户并不会有异议,甚至认为这是理所当然,而且他们也不会想到自己的个人信息存在被窃取和利用的风险。
2012年,央视315晚会曝光了罗维邓白氏公司出售用户信息,该公司可向客户提供多达1.5亿的个人详尽信息数据,按地域、时间、身份、资产情况等各方面进行精准筛选。有人奇怪,为什么孕妇刚生完孩子,推销奶粉的电话就打来了;病人检查完身体,检查单还没看明白,相应的医药公司就打电话卖药来了。
中国软件测评中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里,很容易被黑客破解。”可是我们能不注册天涯、淘宝,却不能不办理手机业务,更不能不买房买车!
大量事实证明,随着个人信息窃取技术和手段越来越高级,当前没有哪个行业不存在信息泄露,电信行业也是。虽然各企业也采取了一系列保护个人信息的措施,但真正做好客户信息的保护对我们来说仍然任重道远。我觉得保护个人信息安全首先要靠国家法律法规,严厉制裁非法窃取和利用个人信息的行为;其次我们企业也要采取措施,设立各种行为规范,并对危害客户信息安全的行为实施法律制裁,而且还要从技术手段上提供针对性的支撑和限制,采取合理的综合管控手段,配合切实有效的管理;最后,要提升工作人员的信息安全意识,养成良好的信息安全行为习惯。
为保护个人信息安全,近年来广州移动客服中心也从管理、技术等方面采取了许多措施,比如采取“金库模式”,该模式的核心就是对涉及用户敏感信息的关键操作要参考银行“关键操作、多人完成、分权制衡”的原则,实现操作与授权分离,确保所有敏感操作都有严格的控制;并且与涉及用户敏感信息的员工签订保密协议;在全公司定期组织开展客户信息安全管理学习活动,切实提高全员客户信息安全保护意识。除此之外,公司还制定了“五条禁令”,对泄露或交易客户信息提出了严厉的管理要求,并通过实施《中国移动客户信息安全保护管理规定》等系列制度来建立客户信息常态化保护体系。
上文我们提到保护客户私有信息不被泄露,并没有说客户私有信息不能利用,尤其对于我们来说,怎样在合理并且合法的情况下将我们手中掌握的大量信息转化成更加优质的品牌和服务,是我们移动人应该思考的问题。
篇9
会议拟请公安、工业和信息化、国家保密、国家密码管理主管部门、中国科学院、国家网络与信息安全信息通报中心等部门担任指导单位,同时将出版论文集,经专家评选的部分优秀论文,将推荐至国家核心期刊发表。现就会议征文的有关情况通知如下:
一、征文范围
1. 新技术应用环境下信息安全等级保护技术:物联网、云计算、大数据、工控系统、移动接入网、下一代互联网(IPv6)等新技术、环境下的等级保护支撑技术,等级保护技术体系在新环境下的应用方法;
2. 关键基础设施信息安全保护技术:政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施;
3. 国内外信息安全管理政策与策略:信息安全管理政策和策略研究,信息安全管理体制和机制特点,信息安全管理标准发展对策,网络恐怖的特点、趋势、危害研究;
4. 信息安全预警与突发事件应急处置技术:攻击监测技术,态势感知预警技术,安全监测技术,安全事件响应技术,应急处置技术,灾难备份技术,恢复和跟踪技术,风险评估技术;
5. 信息安全等级保护建设技术:密码技术,可信计算技术,网络实名制等体系模型与构建技术,漏洞检测技术,网络监测与监管技术,网络身份认证技术,网络攻防技术,软件安全技术,信任体系研究;
6. 信息安全等级保护监管技术:用于支撑安全监测的数据采集、挖掘与分析技术,用于支撑安全监管的敏感数据发现与保护技术,安全态势评估技术,安全事件关联分析技术、安全绩效评估技术,电子数据取证和鉴定技术;
7. 信息安全等级保护测评技术:标准符合性检验技术,安全基准验证技术,源代码安全分析技术,逆向工程剖析技术,渗透测试技术,测评工具和测评方法;
8. 信息安全等级保护策略与机制:网络安全综合防控体系建设,重要信息系统的安全威胁与脆弱性分析,纵深防御策略,大数据安全保护策略,信息安全保障工作评价机制、应急响应机制、安全监测预警机制。
二、投稿要求
1. 来稿内容应属于作者的科研成果,数据真实、可靠,未公开发表过,引用他人成果已注明出处,署名无争议,论文摘要及全文不涉及保密内容;
2. 会议只接受以Word排版的电子稿件,稿件一般不超过5000字;
3. 稿件以Email方式发送到征稿邮箱;
4. 凡投稿文章被录用且未作特殊声明者,视为已同意授权出版;
5. 提交截止日期: 2014年5月25日。
三、联系方式
通信地址:北京市海淀区首都体育馆南路1号
邮编:100048
Email:.cn
联系人: 范博、王晨
联系电话:010-68773930,
13717905088,13581879819
篇10
【关键词】财政;信息化;保密
信息时代的发展,计算机、互联网对日常工作、生活产生便利的同时,也带来了很多安全隐患。与此同时,国家秘密载体呈现多元化、网络化、数字化趋势,泄密渠道增多,窃密手段更加隐蔽,保密任务更加繁重,难度进一步加大。财政工作要筑牢保密安全防线,确保党和国家的秘密安全。财政安全管理体系、重要信息系统、关键信息基础设施、网络安全管理基本情况,细致排查财政系统信息网络安全风险,严格落实财政部门网络安全管理责任,进一步提高网络安全意识和网络安全整体防护水平,防止重大网络安全事故发生的重要手段。
财政信息数据利用难以管控,传利的数据处理方式,各个系统是相互独立的,系统之间没有数据共享,数据从基础统计部门向最终使用者需要经过手机、存储、使用、转移、删除等环节。数据的共享和利用很难实现全方位的管控。财政保密数据和大数据开放共享出的要求存在着天然矛盾,如果一味想着开放共享财政数据,会导致信息过度、财政信息滥用等现象变得越来越普遍。目前,多数财政部门存在资金、技术和人力方面隐私保护投入不足的问题。财政数据多采用分布式存储和处理方式,底层技术复杂,安全边界模糊,传统的基于边界防御的安全技术已不再适用。随着财政信息数据的广泛应用,出现了针对大数据的新型网络攻击手段,如大规模分布式拒绝服务(DDos)攻击和高级持续性威胁(APT)攻击等。当前财政信息网络安全工作存在的主要问题:
1、保密规定落实不到位。近期随着涉密管理的加强,财政部门相继出台了一些财政信息化安全保密工作制度条例等。仍然有科室和人员心存侥幸心理,在规定执行上出现部署多、执行少,要求严、落实松的现象,存在很大的安全隐患。
2、涉密载体存在管理漏洞。个别科室对电子涉密载体的管理使用缺少必要的防范措施,在携带、使用过程中操作不规范,容易导致涉密信息泄露或被窃取。
3、数字证书管理不规范。目前,财政系统内网的部分数据查询与录入工作中,只有很少一部分需要借助数字证书完成。部分工作人员的数字证书保管不严密,密码设置过于随意,大大降低了数字证书作为秘钥的防护性能。
4、网络管理能力待提高。近年来,部分单位片面强调新闻宣传工作,对上网内容的审批制度落实不到位,对于涉密或者敏感信息甄别不严谨,有时将一些敏感信息或内部资料在网络上,给工作带来了很大的网络信息安全隐患。为严格落实保密制度,县区财政局结合自身职能和工作实际多措并举做好财政信息保密工作。大数据时代,隐私保护固然重要,但过度保护也不利于释放大数据的应用价值。为避免因“一刀切”而导致的保护和应用失衡,实行分类分级保护显然是最佳选择。数据脱敏(DataMasking),能对某些敏感信息通过脱敏规则进行数据变形,对敏感保密数据数据的可靠保护。实现保护敏感信息的同时,对数据非敏感部分的正常使用。
一是建立健全信息安全管理规章制度,规范信息保密工作管理。进一步完善了财政信息设备和信息系统安全管理制度,对计算机信息安全、网络管理、涉密数据保管等管理制度进行了明确,切实保证各项财政信息保密措施的落实到位。
