互联网信息安全管理范文

时间:2023-10-18 17:38:46

导语:如何才能写好一篇互联网信息安全管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

互联网信息安全管理

篇1

1.1互联网信息安全定义

信息安全是指利用互联网管理技术,实现网络信息的完整性、保密性、真实性与信息寄生系统的安全性。利用网络管控技术,防止网络信息被人故意非授权泄露、更改或使信息被非法控制、提取。互联网信息安全是对计算机进行保护,使其在使用过程中避免硬件、软件以及各种数据信息被破坏的情况。使网络系统正常运行,确保网络服务稳定可靠。互联网信息安全是一门涉及多门类的学科。包括信息与安全技术、网络通信技术、计算机技术、密码技术与应用数学技术。从本质上来讲,互联网信息安全是指利用多学科技术实现网络信息安全,确保网络在给用户提供信息的过程中,信息的安全、稳定、可靠,从而保证网络服务的正常运行。

1.2互联网信息安全现状

随着网络使用范围的扩大,各种网络安全问题不断涌现,各种网络病毒、木马程序层出不穷,威胁着广大用户的网络安全。笔者认为互联网信息安全主要涉及两个方面,一是信息安全方面,信息安全问题出现的原因体现在人为与技术性因素两个层面。人为因素方面,比如篡改计算机程序导致文件丢失或泄露,利用木马或病毒窃取用户个人信息,当前,计算机病毒的智能化程度越来越高,破坏性不断增大,传播速度快,会直接导致计算机瘫痪。其次黑客利用将计算机漏洞,通过系统入侵、网络监听、攻击服务器等手段,窃取潜在客户与政府组织的重要信息与资料,进行非法牟利。此外,用户使用互联网的不良习惯也可能信息泄露,如打开非法链接,打开没有安全证书的网站,计算机防火墙等级低,杀毒软件与病毒库未及时更新等。技术性因素主要体现个人用户、政府组织的计算机防护水平低,技术落后,不能对用户提供有效的保护。二是物理安全方面,主要体现在温度、湿度、灰尘、设备故障等,这些不确定客观因素也影响着互联网信息安全。

2.互联网信息安全的影响因素

2.1操作系统存在安全隐患

操作系统是计算机运行的重要组成部分,它提供了一个使程序与应用系统正常使用的平台,操作系统兼具一些管理功能。系统对内存、外部设备、CPU进行管理时,通常会涉及一些模块与程序,如果这些模块内部存在缺陷,一旦与外部网络联通,整个计算机系统可能会有出现死机或崩溃的后果。同时,计算机系统支持在网络上安全程序,加载网页、传送信息。在文件传输中的可执行文件也可能带来不安全因素,由于可执行文件都是人为编码,一旦有漏洞被病毒入侵,会导致操作系统的不稳定甚至瘫痪。此外,当前各种操纵系统鱼龙混杂,各种应用更是不胜枚举,且构成极其复杂,在系统架构方面更是千差万别,各有各的管理平台。这对于网络管理人员提出了新要求,如果对操作系统不熟悉,网络安全信息防护技术不精湛,可能会导致信息泄露、木马入侵等事件的发生,进而影响信息安全。

2.2应用软件与协议因素

任何应用软件都不是完美无缺的,都或多或少的存在一些漏洞,这些漏洞是不法分子非法窃取用户信息的主要渠道。由于应用软件的设计缺陷,部分软件在链接外网后,会引发安全隐患。如缓冲区溢出攻击,缓冲区溢出是一种非常普遍且危险的漏洞,在各种操作系统以及应用软件中广泛存在。当计算机的应用程序向缓冲区内填充的数据量超过缓冲区本身容量时,多出的数据会覆盖在合法数据上。由于多数应用程序会假设数据长度与分配的存储空间匹配,不会检测数据长度,这为缓冲区溢出埋下了安全隐患。缓冲区溢出攻击会导致系统关机、程序运行失败等后果。由于用户缺乏安全措施,安装未信任软件致使网络中的恶意代码通过浏览器、即时通讯工具、邮件等方式传播,导致计算机中毒,威胁网络信息安全。当前全球被广泛使用的协议族是TCP/IP协议族,在设计之初,由于缺乏对IP地址的保护,缺乏对IP包中源IP地址真实性的认证机制与保密措施。导致TCP/IP协议存在先天安全隐患。主要表现在源地址欺骗、路由选择信息协议攻击、TCP序列号欺骗、SYN攻击、Dos(DenialofService)攻击等。

2.3数据通信与资源共享因素

数据通信造成的网络信息泄露主要体现在电子设备、物理线路、无线鼠传输等方面,这些信息载体容易被破坏与窃取,如恶意监听等。互联网数据共享、硬件共享、软件共享、服务器与终端共享等构成了计算机网络资源共享平台。这些资源给用户带来了极大便利,但也为不法分子盗窃用户信息、破坏网络资源提供了便利条件。资源共享对网络信息安全的威胁主要源于两个方面:一是非法分子通过资源共享的源链接对终端发动攻击,非法篡改、窃取用户信息。二是共享资源多采用云存储,具有存在时间长,病毒易隐藏的特点,用户在不知情的情况下,下载共享资源,很可能造成用户信息泄露。

2.4网络管理水平落后

多数互联网管理人员安全防范意识不强,设置系统口令简单,一些管理人员工作态度消极,做事马虎,对计算机信息的管理缺乏严格规范,没有必要的制度保障给黑客造成了入侵的可乘之机,威胁到网络信息的安全。

2.5病毒攻击

计算机病毒是在计算机程序中插入的影响计算机功能、破坏数据、影响计算机使用,并能自我复制的程序代码,具有可触发性、传染性、繁殖性、破坏性、隐蔽性等特点。计算机一旦受到网络病毒的攻击,会造成网络瘫痪,个人信息的严重流失。

3增强互联网信息安全的技术措施

加强互联网信息安全管理至关重要,必须采取多渠道、综合手段,切实增强互联网信息的安全性,保证广大用户的信息安全。

3.1密码与身份认证技术

密码技术是网络信息安全技术中最常见的技术之一。在网络信息的传输过程中,发送方通过链路加密、端到端的加密、节点加密等多种可选的加密方式,使用密钥将信息加密,然后发送给接收方,接收方在收到信息后,用解密密钥将信息恢复明文。即使信息泄露,如果没有相应的解密工具,窃取方也不会得到信息。身份认证技术是指在网络中确认操作者身份而产生的技术方法。在互联网中,讯息的发送方与接收方都要对对方的合法身份进行确认,才能建立起信息传输渠道。通过身份认证技术能够实现网络用户的统一授权,防止非法用户入侵并使用网络信息,身份认证技术包括静态密码、短信密码、、动态口令牌、USBKEY、数字签名、生物识别技术、Infogo身份认证。双因素身份认证等多种方式。

3.2病毒防范技术

病毒防范技术能够辨别计算机中隐藏的恶意程序并通过隔离或者删除的方式消除其不良影响。通常人们将病毒防范技术分为病毒预防、检测、清除三种技术。病毒预防技术主要遵循分类处理病毒的规则,在系统运行过程中,只要出现类似规则,计算机就会自动认定为病毒加以删除。这一技术包括系统监控技术、磁盘保护、加密程序等。病毒检测技术主要是根据杀毒软件提供的病毒特征、恶意程序代码,文件长度变化等,扫描整个系统,删除发现的病毒。病毒清理技术是在计算机感染病毒后,对病毒进行清理从而降低系统的损害程度,当前计算机的病毒清理技术具有一定的滞后性,对不断变化的病毒显得无能为力。加强病毒清理技术研究对保证计算机网络信息安全具有重要意义。

3.3防火墙技术

防火墙技术是当今互联网信息安全技术中最基础的技术之一,是在内外网、公共网络与专用网络之间架构的保护屏障。计算机内外信息的交换均要通过防火墙进行,以实现管理与控制信息流通的目的。防火墙具有网络安全管理、网络监视、逻辑分析三重作用。防火墙广泛应用了网络拓扑、加密、访问控制、路由、安全审计等技术措施,能够管理内外网的访问行为,禁止某些访问,过滤不良信息。防火墙可以对网络攻击行为进行监测与报警,并具有转换网络地址、扫毒、双重DNS,VPN等功能。从技术层面进行计算机网络信息保护是远远不够的,我们要不断加强从业人员的网络信息管理水平,从而有效提高互联网信息安全。一是要增强网络安全意识教育,向从业者强调网络安全的重要性,增强责任意识。二是要加强网络安全知识教育,要掌握新型的网络安全防范技术。

4总结

篇2

移动互联网主要是指在互联网的基础上逐渐发展起来的新型技术。它主要包括了两个层面:一方面包含了互联网不受传统现实社会约束限制的个性,强调自由、平等的特性;另一方面在隐私性、攻击性等方面相比传统互联网具有更大的威胁。移动互联网的优势显著:其一,移动互联网的接入成本低,它可以凭借手机随时随地进行接入;其二,移动互联网对接入地点没有特殊要求,只要是有移动网络信号,就可以接入。移动互联网信息主要是指利用移动互联网,可以存取、访问的涉及到公共利益的信息。移动互联网公共信息安全具有几个特点:其一,保密性,主要是指信息不被未授权解析与使用的特性;其二,完整性,主要是指信息传播过程中,不会遭到任何篡改;其三,可用性,主要是指不论处于何种情况下,信息与信息系统都能在满足基本需求的基础上被使用;其四,真实性,主要是指信息系统在交互运行的过程中,信息的来源与信息的者是真实可靠的。

2制约移动互联网公共信息安全的因素

2.1移动互联网运行的全民性

移动互联网是在互联网的基础上产生的,而互联网自产生起就带有公开性、全民共享性。目前,这一趋势随着移动互联网的普及更加显著,但是随着全民广泛参与到移动互联网的应用中,这就导致移动互联网的控制权被分散。由于移动互联网使用者的利益、目标以及价值等方面都不尽相同,因此,对移动互联网资源的保护与管理也就容易产生分歧,促使移动互联网公共信息安全的问题变得更加广泛、复杂。

2.2移动互联网监管不严

我们对移动互联网公共信息安全管理的过程中,往往存在着界定不明晰、管理观念落后等问题。比如对移动互联网上频繁出现的不良信息的划分不明确,这就导致相关管理部门进行监管时,没有可以依据的规则,进而导致监管过度或不力。

2.3缺乏核心的移动互联网技术

我国的移动互联网处于起步阶段,缺乏自主性的网络和软件核心技术,这就导致我们在移动互联网运行过程中不得不接受发达国家制定的一系列管理规则与标准。此外,由于我们的移动互联网核心技术主要是源自他国,这就导致我国的移动互联网常常会处于被窃听、干扰以及欺诈等信息威胁的状态之下,造成我国的移动互联网公共信息安全管理系统极为脆弱。

2.4缺乏制度化的移动互联网保障机制

我国对移动互联网公共信息安全的管理并没有建立相应的安全管理保障制度,同时也没有建立有效地安全检查制度与安全保护制度。此外,我国现有的政策法规很难适应当今移动互联网公共信息发展的需要,移动互联网公共信息安全保护还存在着大量的立法空白。

3建立移动互联网公共信息安全保障机制的措施

3.1政府应充分发挥其职能

政府在移动互联网公共信息安全管理中,应占据主导地位,引导整个移动互联网公共信息安全向着健康方向发展。首先,政府应发挥应急事件指挥者的角色。政府对控制一般网络公共信息安全事件演变为危机事件肩负巨大责任,需要通过自身的能力使社会秩序尽快恢复正常。其次,政府应对移动互联网公共信息安全相关法律进行监管。政府应依据相关法律对移动互联网信息是否安全运行进行有效监管,同时应不断完善移动互联网公共信息安全中薄弱环节的法律法规制度。

3.2加强移动互联网公共信息安全法律建设

建立手机实名制法律。手机实名制对预防手机犯罪、净化手机信息具有至关重要的作用,实施手机实名制能够保障消费者的合法权益。在我国制定的《通信短信息服务管理办法》中对手机实名制就进行了明确规定,与此同时,若想让手机实名制充分发挥其作用,就必须加强公民隐私权益方面的建设。完善公共信息安全法律法规。首先,应重点建立信息安全的基本法,保障信息安全的各项问题有法可依;其次,可以在专门信息安全基本法出台之前,建立必要的、急需的单行法;最后,在建立信息安全法的时候,应尽量避免采用制定地方性法规和部门规章的方法代替制定全国性法律法规。

3.3组建统一的管理机构

建立统一的移动互联网管制机构时,应遵循三个原则。首先,管制机构建立的独立性原则。建立的管制机构不仅要独立于电信运营企业,同时还应该独立于任何行政部门,这样才能够保障管制机构办事的公正性。其次,管制机构建立的依法设立原则。在建立互联网公共信息安全管制机构时,应以《电信法》或专门管制机构法对所建立的管制机构的职责进行明确划分。最后,管制机构建立的融合性原则。管制机构应是一个综合性的管制机构,它所监管的范围应该包括整个信息通信领域。

3.4加强终端安全保障技术研发

(1)重视病毒防御。

当前的移动互联网终端基本上都是职能设备,采用的都是专门的移动操作系统,这些操作系统必须具备对常见的病毒、木马等的防范功能,同时也应不断降低应用软件系统可能出现的安全漏洞。

(2)实施软件签名。

软件签名的实现能够保障软件的完整性,从而避免用户的信息被篡改。此外,当应用程序发现信息被篡改后,能够及时向用户发出报警信息。

(3)采用软件防火墙。

在终端设备上应用软件防火墙,用户可以通过设置白名单与黑名单对设备上传入与传出的信息进行有效地控制,保障信息安全。

(4)采用加密存储。

用户对设备上的重要信息应在加密之后再将其存储到终端设备中,这样能够有效避免非法窃取现象的产生。与此同时,用户在加密与解密的时候,一定要快速的完成,以防信息被窃取。

(5)统一管理。

对安全设备应该进行统一管理,即在一个统一的界面中能够对全部的安全设备都进行相应的管理,并对网络中的实时信息进行及时反映,然后可以对得到的各种数据进行汇总、筛选、分析以及处理,从而提升终端对安全风险的反应能力,降低设备受到攻击的机率。

4结束语

篇3

关键词:网络信息;安全管理;管理制度

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 11-0000-01

The Study of Computer Network Information Security Management

Yang Liu

(Dazhou Institute of Technology,Dazhou635000,China)

Abstract:The Information technology and network gradually penetrate into the socio-economic sectors and number of key areas,and play an increasingly important role.Therefore,the establishment of the network security system and ensure the safety of users is currently the main content of network information management,has important social significance and economic significance.

Keywords:Network information;Security management;Management system

随着信息技术的发展,信息网络正在越来越多地融入到社会经济的各个方面。在经济方面,以互联网技术和电子商务为代表的网络经济日益发展,已成为人们生活不可缺少的部分。但是,由于互联网是一个开放的平台,用户越来越多样化,导致出于各种不同目的的网络入侵和攻击越来越频繁。本文从计算机网络信息管理出发,探讨了网络环境下的信息安全管理途径,为提高网络信息安全提供一点参考。

一、影响网络信息安全的主要因素

信息的安全性一直是网络的薄弱环节之一,如果网络信息的安全问题得不到解决,对上网企业和用户造成巨大的经济损失和经营风险。但归结起来,主要的影响因素主要有几下几个方面:

(一)网络信息的保护意识缺失。网络信息的安全需要所有人的共同维护,只有大家的安全意识都得到全面提高,网络信息安全问题才能得到根本的解决。由于缺乏安全意识,有些用户的无意行为,如授权管理人员的安全设置不正确导致不应进入网络的用户接触到信息,导致信息的泄露等,都会对网络系统造成极大的影响和破坏。

(二)信息安全保护手段有待提高。计算机病毒一直是网络信息安全最直接和影响最广泛的威胁因素。互联网的高速发展也为病毒的迅速传播提供了途径和平台,使得一些高危和破坏性的病毒很容易通过各种网络服务器以邮件接收、软件下载、网页木马等形式进入用户电脑,窃取用户重要信息,给互联网的发展造成了巨大影响

(三)互联网系统完整性需要加强。现阶段,来自网络外部的攻击,如修改网络数据、窃取和破译机密信息等危害信息安全的行为时有发生,这主要是因为现在的信息系统常常会出现各种漏洞。虽然操作系统的设计者及各种网络软件不可能完全克服各种安全漏洞,但是由于安全漏洞极容易受到病毒和木马的攻击,常常给用户造成巨大的损失。因此,系统是设计者应该格外重视系统完整性的构建,尽可能的修复系统可能存在的各种安全漏洞,预防信息受到外界因素的影响。

(四)重要信息的网络传输和存储方式有待创新。对机密资料而言,企业通常将其存储在网络系统内,往往具有较高的安全风险。当信息系统受到外界攻击时,很容易导致安全保护手段实效造成信息的泄露。与此同时,在信息的传递构成中,往往出现信息丢失或被窃取的情况,给用户造成非常巨大的损失。作为第三次产业革命的代表,互联网技术为经济发展提供了强劲的经济增长点。要维持信息经济的稳定和健康发展,必须积极加强网络信息安全管理。

二、加强计算机网络信息安全管理的途径

随着信息技术的发展,信息技术的创新已经成为利用先进技术手段改变和提升企业效率的一个重要方面。如何保证企业在享受信息化带来效率和竞争力的同时,认清信息系统存在的潜在威胁,并适时采取强有力的安全保证策略,成为摆在面前的重要任务。笔者关于加强网络信息安全管理的建议,主要包括以下几点:

(一)建立完善的安全管理制度。如何保证网络信息持续稳定和安全,最基本的工作就是要网络的安全制度管理的建立,这是一切安全管理的基础。信息安全的管理制度在保证用户信息安全性和完整性方面具有非常重要的作用,一方面有助于规范网络环境下信息的运行机制;另一方面有效的信息安全控制程序在一定程度上可以弥补产品在安全性方面的不足。信息安全管理制度的建立需要企业根据自身的情况对业务流程和日常业务操作进行深入的研究和分析,发现控制薄弱点,制定完善有效的安全保密管理制度和管理策略。

(二)企业应设立专门的信息安全管理机构。信息安全管理工作离不开利息管理部门的监督和管理。信息安全管理机构可以遵照垂直管理原则,并按照国家信息系统安全的有关法律和法规,指导日常信息安全保障工作。

(三)积极创新保护技术,实施多重技术保护。随着互联网技术的飞速发展,影响网络安全的因素也越来越多。信息安全保护技术要适时根据系统安全性的要求,进行不断创新和发展,保护网络信息的安全。通常而言,保护网络信息安全的主要技术有防火墙技术、安全评估技术、入侵检测技术、加密技术、防病毒技术、身份认证技术等。对于授权管理而言,作为安全保密的重要部分,一方面要不断完善已有的安全保密技术措施,同时还要定期对现行的安全授权设置予以监督和检查,避免出现影响信息安全的隐患。

(四)加强员工培训管理,提升员工安全管理意识。由于网络工作人员既是网络的具体使用者,也是网络信息安全的需求者,因此,加强员工的信息安全意识培训具有重要的作用和意义。信息安全管理人员的工作内容包括有系统的安全分析、办公自动化的操作、系统安全的管理、安全设备的操作以及软硬件维修等。网络安全管理人员应积极通过各种机会,不断提升自己的安全意识和风险管理能力,提升企业信息的安全保障能力。

四、结束语

由于网络技术应用的逐步深入,网络安全管理工作越来越关键,因此完善的计算机网络安全管理显得十分重要。在分析影响企业网络系统安全体系的时候,应结合企业的具体情况,从制度出发,建立完善的风险管理程序,才能实现真正意义上的网络系统安全,把网络安全风险降低到最低程度。

篇4

【关键词】电子政务 信息公开 信息安全

电子政务是现代政府管理观念和信息技术相融合的产物,面对全球范围内的国际竞争和知识经济的挑战,许多国家政府都把电子政务作为优先发展战略。随着电子信息技术的不断发展,特别是国际互联网的普及应用,电子政务以其特有的方便、快捷、高效等诸多优点,掀起了一场前所未有的政务革命。它的出现改变了传统的运作模式,在互联网上实现政府组织结构和工作流程的优化重组,向社会提供优质和全方位的、规范而透明的、符合国际标准的管理和服务。近年来,电子政务发展十分迅速。目前互联网已成为重要的信息基础设施,积极利用互联网进行电子政务建设,既能提高效率、扩大服务的覆盖面,又能节约资源、降低成本。但是另一方面,利用开放的互联网开展电子政务建设,面临着计算机病毒、网络攻击、信息泄漏、身份假冒等安全威胁和风险,应该高度重视信息安全。本文从电子政务建设中存在的问题出发,分析了问题所在,并提出相关预防策略。

1 电子政务建设中存在的问题

(1)部分领导干部对加快电子政务建设的重要性认识不到位,弱化了对此项工作的领导,一定程度上影响了电子政务建设的发展步伐。

(2)低水平重复建设现象普遍存在,投入不足与资源整合矛盾十分突出,严重制约了电子政务建设的质量和水平。部分基层的经办人员业务不熟习,操作不规范,使用中问题较多。

(3)信息化专业人才严重缺乏,技术相对落后,制约了电子政务建设。大多数单位没有专业技术人员,建设规范的网络和日常维护技术问题的处理是靠机关内部对电脑知识相对丰富的人员兼任,很难满足电子政务发展的需要。

(4)政府信息公开工作的运行机制尚不完善,加之政府信息公开的工作量大,多数部门存在信息搜集整理不全的现象。

(5)电子政务信息安全体系建设有待进一步加强。构建电子政务信息安全体系信息安全是电子政务工程中不可缺少的重要组成部分。要认真贯彻落实国家保密要求、安全规定和工程实施规范,做到信息安全建设与网络应用系统建设同步规划、同步建设、同步验收。要加大信息安全的投入力度,切实保证信息安全设施的运行维护。

基于互联网电子政务系统的政务应用主要分为政务办公、公共服务等。政务办公的内容主要包括:政府部门内部的业务处理,如政府部门间的公文流转、公文交换、公文处理、办公管理和数据共享等。安全防护的重点主要包括对的身份认证、政务资源的授权访问和数据传输保护等方面。公共服务的内容主要包括:面向社会公众提供信息公开、在线办事、互动交流等服务,安全防护的重点应放在系统和信息的完整性和可用性方面,特别要防范对数据的非法修改。

2 基于互联网电子政务安全需求与实施原则

基于互联网电子政务网络相对于电子政务专网模式风险更大,这些风险主要来自于身份假冒、信息窃取、内容篡改、病毒侵袭等造成的破坏。基于互联网的电子政务面临的信息安全威胁主要有以下几个方面。

2.1 身份假冒、口令窃取威胁

身份鉴别是网络安全的基本要求,互联网拥有大量用户,系统很难分辨哪些是合法用户,哪些是非法用户,存在身份假冒等威胁。一旦政务办公人员的身份被假冒,将影响到政府的办公系统,一旦政务网站信息员或专家的身份被别有用心者假冒,将无法保证信息的真实可信。

2.2 信息窃取或篡改威胁

基于互联网电子政务系统存在大量不宜公开的内部信息,如政务办公系统的待办公文等,互联网作为高度开放的网络,内部数据在传输过程中极易被窃取和监听,内部数据要面对高水平黑客和别有用心者,信息泄漏的威胁更大。

2.3 系统面临恶意攻击的威胁

基于互联网建设电子政务系统,遭到恶意攻击的风险更大,特别是为企业和百姓服务的系统,允许从互联网上直接访问,虽然提高了服务范围,方便了大众,但是相对局域网而言,也面临着更多来自互联网的威胁。若不能保持服务窗口的良好稳定运行,势必对系统的可用性造成威胁,影响政府形象。

2.4 病毒传播和扩散威胁

互联网上存在大量的资源和服务,人们在获取资源和享受服务的同时,也极易将病毒带回来。如今,病毒种类多、更新速度快,常常呈指数级的速度扩散,这将影响依托互联网建设的政务网络服务器的正常运行。

在基于互联网电子政务系统建设过程中,除需要考虑内部安全以外,还要应对来自互联网攻击的防范,其安全需求主要包括:

(1)需要实现安全接入与安全互联,在互联网上构建安全的电子政务网络;

(2)需要实现强的安全认证、授权管理与访问控制机制,确保电子政务系统的安全访问;

(3)需要采取分类分域防护措施,加强综合防范和安全管理,进行不同类别信息和系统的有效保护。

基于互联网电子政务信息安全风险应对的基本原则包括:

(1)信息不上网。基于互联网电子政务系统不得传输、处理、存储涉及国家秘密的信息。有关安全保密问题要严格遵循国家保密有关规定。

(2)适度安全、综合防范。基于互联网的电子政务建设应当根据应用系统的安全需求,合理配置信息安全资源,采取适当的安全措施,进行有效的安全管理,从管理、技术等各个方面进行综合防范。

(3)分域控制、分类防护。实施分域边界防护和域间访问控制,保证信息的安全隔离和安全交换;针对不同类别的信息采用不同的安全防护措施。

综上所述,政府网站区别于普通网站的最大特点在于其公布政府信息的准确性、全面性、及时性与权威性。通过政府网站,民众应该能够最有效地获得政府信息。因此,应该充分利用因特网公布政府信息。在目前阶段,可以考虑设定一定的标准,对政府网站的公开性进行社会评价,以促进政府上网工程向纵深发展。从长远考虑,应该深入研究因特网给政府信息公开所带来的新问题,包括技术的快速更新对信息保存方式的挑战,信息的分类与定义,信息的公开与信息安全,信息来源多元化问题等等。只有对这些问题进行深入的研究,才可以趋利避害,充分发挥因特网公开政府信息的作用。

参考文献

[1]GB/T 19715.信息技术第2部分:管理和规划信息技术安全,信息技术安全管理指南,2005.

[2]GB/T 20270.信息安全技术.网络基础安全技术要求,2006.

[3]GB/T 20274.信息安全技术.信息系统安全保障评估框架,2006.

篇5

一、总体要求

以建设幸福为出发点,加强网络安全监管工作,坚持积极防御、综合防范的方针,全面提高信息安全防护能力。重点保障基础信息网络和重要信息系统安全,创建安全的网络环境,保障信息化健康发展,维护公众利益,促进社会和谐稳定。

二、工作目标

通过开展网络安全监管专项行动,进一步提高基础信息网络和重要信息系统安全防护水平,深入推进信息安全保障体系建设,健全统筹协调、分工合作的管理体制,强化信息安全监测、预警与应急处置能力,深化各类政务及公共服务重要信息系统的信息安全风险评估与等级保护工作,打造可信、可控、可用的信息安全防护基础设施和网络行为文明、信息系统安全的互联网应用环境。

三、组织领导

成立我局网络安全监管专项整治工作领导小组,由办公室、执法大队、市场管理科、广电科等组成。

四、工作职责

负责全县互联网文化活动的日常管理工作,对从事互联网文化活动的单位进行初审或备案,对互联网文化活动违反国家有关法规的行为实施处罚;依法负责对互联网上网服务营业场所的审核及管理;督促县广电总台做好互联网等信息网络传输视听节目(包括影视类音像制品)的管理。

五、整治任务

按照国家和省、市、县要求,认真做好重要时期信息安全保障工作。确保基础信息网络传输安全,保障重要信息系统安全、平稳运行,强化对互联网及通信网络信息安全内容的监管,严格防范非法有害信息在网络空间的散播。

六、总体安排

第一阶段:调查摸底,健全机制阶段(5月)。

第二阶段:评估自评估、自测评,综合整治阶段(6月至9月)

第三阶段:检查验收,巩固提高阶段(10月)。

七、工作要求

1、提高认识,加强领导。要充分认识信息安全保障工作的重要性和紧迫性,落实部门责任,各司其职,常抓不懈。做好本系统、本行业内各类信息网络和重要信息系统的安全管理工作。

2、明确职责,加强配合。要在整治工作领导小组统一领导协调下,各司其职,分头齐进,相互配合,迅速开展整治工作。同时,定期召开会议,通报情况,研究问题,部署任务,协调行动,确保整治工作有序开展。

篇6

【关键词】计算机;网络信息;安全管理;管理策略

引言

自21世纪以来,互联网的普及与应用,使现实世界中的信息资源实现了数据化转变,这也使人们在日常生产生活中能够通过互联网来随时随地地获取这些信息资源,从而极大程度地提高了社会生产效率,信息化社会也由此来临。在互联网中包含着海量的数据信息,而这些数据信息在经济、社会等方面有着巨大的价值,但因互联网具有开放性特点,这也使这些极具价值的数据信息极易发生泄漏,其安全性正面临着极大威胁。现实社会中频繁出现的网络信息泄漏问题,正不断提醒着人们需要采取相应的措施来防范网络信息安全问题,为此,探讨和分析计算机网络信息安全管理的相关策略。

1对计算机网络信息安全技术予以高度重视和积极运用

在信息化时代下,我国对计算机网络信息安全技术开展了大量的研究,并涌现出了许多行之有效的技术手段,从而为我国计算机的网络信息安全管理打下了坚实的基础。用户在进行计算机网络信息安全管理过程中,必须要对与网络信息安全相关的一系列技术手段进行全面掌握,使这些技术手段能够在管理工作中得到有效的运用。通常来说,在现有的网络信息安全管理中,比较富有成效的措施及方法主要有以下几种。第1种是身份认证及鉴别技术,通过这种技术手段,能够对管理主体在进行系统操作时的身份信息以及是否具备操作权限来进行辨别和验证。第2种是密文技术,即数据加密技术,该技术需要具有合法使用权的主体,采用一系列的加密措施来打乱数据结构,使其成为外人无法看懂的密文,从而确保数据安全。现阶段,数据加密技术主要有两种经常被使用,分别是对称加密技术和非对称加密技术。第3种是防火墙技术,将该技术应用到互联网平台之中,能够实现内外部网络的有效隔离,从而屏蔽存在风险的网络地址,其通过分析和过滤的方式来验证流出IP包的风险性,以使内网安全得到可靠保护。第4种是虚拟专用网络技术,该技术又被称之为VPN技术,通过该技术的应用,能够使用户在公共网络中组建对应的局域网络,该技术以路由过滤技术和隧道技术作为其两大主流机制。在计算机网络信息保护中,该技术的应用不需花费较高的成本,而且组网效率较高。第5种是安全隔离技术。近年来,互联网在使用过程中所面临的攻击手段正变得越来越多样化,为了有效应对这些层出不穷的攻击手段,就需要通过安全隔离技术来进行风险隔离,通过信任列表来添加安全的应用程序,以此防止风险程序给计算机中的数据安全造成威胁。现阶段,安全隔离技术主要由双网隔离与安全隔离网闸所组成。第6种是入侵检测技术。在用户系统遭到网络攻击时,入侵检测技术能够自动对用户的计算机及其网络内部进行检测,当其发现网络攻击存在时,会提前发出预警,并采取相应的措施来对即将到来的网络攻击进行有效应对,以此消除网络攻击威胁。该技术相比于其他技术来说,具有主动性特征。现阶段,随着入侵检测技术的发展,这种技术已经逐渐从智能化检测发展为全面化的安全防御方案,这也是该技术的未来发展趋势所在。上面所阐述的技术,只是现有计算机网络信息安全技术中的几种,在互联网高速发展的新时代下,将有更多的信息安全技术得以涌现出来,而这也使其必将更加有效地应对信息安全威胁。用户在进行计算机网络信息管理时,必须要对这些技术有所了解和掌握,并在实际管理中积极地运用这些技术,这样才能使计算机网络信息的安全管理工作得以高效进行,从而全面提高网络信息管理水平。

2对信息安全管理体系进行不断完善

在计算机网络信息管理中,科学技术的发展,使各种信息安全技术为管理工作的高效性提供了可靠保障,不过仅仅依赖于信息安全技术的应用,势必无法满足用户对网络信息管理的工作要求。在对各种信息安全技术进行运用的同时,用户更应从以下方面来不断完善信息安全管理体系,这样才能真正提高计算机的信息安全管理水平。

2.1法律法规的可靠支持

计算机网络信息安全的管理需要具有相应的法律法规来予以可靠支撑,只有在法律法规的支持下,才能更好地维护计算机的网络环境安全,保障信息不会发生泄漏。而这对计算机用户而言是至关重要的,因此,通过法制保障,能够使社会各类群体乃至每个个体都能对法律法规进行严格的遵守,这样可使计算机网络的使用变得更加规范、安全、合理。对于计算机网络信息管理而言,其在开展过程中需要将法律法规作为依据,我国自出台《中华人民共和国网络安全法》以来,使法律在计算机网络信息安全管理中发挥着重要的引导和规范作用,同时,该部法律的出台还能有效威慑不法分子的网络违法行为,进而保障计算机网络中的信息安全。因此,计算机用户在进行网络信息管理时,也要根据法律法规中的相关规定,并结合自身实际情况及需求,在信息安全管理中对具有可行性的规章制度及管理办法进行制定,以便于保障信息安全的规范化管理。

2.2组织保障

在信息安全管理工作中,组织保障也是必不可少的,而这就需要管理主体来提供组织保障,在此过程中,需要成立专门的部门来对组织保障中的架构进行制定与完善,同时明确内部责任,以此全面提高计算机网络的信息安全管理成效。在信息管理中,信息安全管理部门需要制定相应的管理战略及措施,以确保该部门能够在信息安全管理工作中发挥出应有的统筹指导作用。除此之外,该部门还要下设信息安全技术中心、网络信息安全研究办公室等下属机构,以便于更好地开展信息安全管理任务,提高其工作有效性。

2.3专业团队

对于计算机用户而言,网络信息安全管理需要具备强大的团队来进行支撑,因此需要组建一支高素质、高能力的专业化管理团队,通过该团队来保障计算机网络信息安全管理的顺利开展。所以,信息安全管理部门应在组建专业化团队过程中,明确人才引进方式,并制定科学的人才培养方案,使专业化团队中的成员具备出色的信息安全管理能力,同时,还要对团队人员的法制观念进行重点培养,确保专业化团队在进行计算机网络信息安全管理时能够全方位地提高其整体质量。

2.4安全教育

安全教育工作也至关重要,只有做好安全教育工作,才能增强计算机用户的网络信息安全防范意识,提高其安全管理能力,这也是提高计算机信息安全管理水平的必由之路。因此,对于信息安全管理部门而言,需要积极宣传法律法规,同时大力推广信息安全管理技术,对工作人员的计算机使用行为进行严格规范,以此全面提高计算机系统对网络攻击的抵御能力。

篇7

中国期刊投稿热线,欢迎投稿,投稿信箱1630158@163.com 所有投稿论文我们会在2个工作日之内给予办理审稿,并通过电子信箱通知您具体的论文审稿及发表情况,来信咨询者当天回信,敬请查收。本站提供专业的服务和论文写作服务,省级、国家级、核心期刊快速发表。

【摘要】高度重视信息安全保障体系建设。要不断加强互联网安全和信息内容安全管理, 推进重点新闻网站建设, 构筑网上正面舆论宣传强势。

【关键词】高度重视信息安全保障体系建设 要不断加强互联网安全和信息内容安全管理

【本页关键词】欢迎论文投稿 省级期刊征稿 国家级期刊征稿

【正文】

通过用户对互联网最反感的方面及用户对互联网的信任程度的数据分析可以看出: 用户对互联网络上的病毒、弹出式窗口、网络入侵、垃圾邮件和虚假信息比较反感, 这些特征与全国所有的上网用户对互联网的反感方面相同。吉林省上网用户对互联网表示比较信任比例的最高, 所占比例为53. 5%, 还有34. 5%的用户对互联网表示将信将疑。这一点说明, 在吉林省开展电子商务还是有一定的观念基础的。同时我们也要看出了吉林省在信息化发展方面的不足, 加快吉林省互联网络发展和提升信息化水平的对策如下:( 1) 加强Internet 建设统筹规划和管理。政府有关部门在这方面要充分发挥作用, 从宏观上对吉林省互联网络普及与发展进行合理的规划, 最大限度的提高和加快互联网络的应用而相对节约发展成本。( 2) 推进电子政务的深入应用。目前吉林省各级政府部门上网的普及程度还不够, 而且电子政务的应用层次较浅, 亟需向更深层次的应用迈进。( 3) 加快实施企业信息化建设工程。企业是信息化和电子商务的真正主体。吉林省的上网企业与全部企业的比例在全国范围内是较低的, 企业上网的数量不多, 企业信息化水平有待进一步提升。( 4) 积极推进农村信息化建设。农业人口的文化水平和对信息技术的掌握程度都远低于城市人口。一个国家和地区的信息化水平要有大幅度的提升, 必然要将重点放在如何提高家村地区的信息化水平方面。吉林省的总人口中有55% 是农村人口, 这个比例将大大影响吉林省的信息化发展水平。( 5) 加快推进社会公共领域信息化建设。政府应利用现代化信息技术, 计算机网络, 集触摸技术、信息查询技术、自动服务技术、多媒体技术于一体的自助服务终端。整合政府、企业、商务、贸易的信息资源, 使政府、企业、市民互连、互通、互动, 实现信息资源共享, 建设一个以“公众”为中心, 可以实现“ 信息流、资金流、物流”三流合一的综合公共便民服务平台。( 6) 充分发挥信息产业对信息化的支持作用。努力推进信息产业的持续快速增长, 支撑和保障信息化推进。加大信息产业结构调整力度, 加快产品结构优化升级步伐。以电子信息产业的基地和园区为载体, 实施项目带动战略, 加速发展我省有优势的电子信息产品制造业和软件业。( 7) 高度重视信息安全保障体系建设。要不断加强互联网安全和信息内容安全管理, 推进重点新闻网站建设, 构筑网上正面舆论宣传强势。认真贯彻落实《电子签名法》, 加快全省密钥管理中心建设, 加强电子认证服务管理, 加快网络信任体系建设, 推进吉林CA 证书发放和应用, 引导鼓励行业部门和企业广泛应用数字认证。加强无线电频率台站的规范化管理和监督, 保障无线电通信安全。( 8) 加快本省互联网络发展的政策法规建设。解决当前信息化建设管理无法可依、建设单位无章可循问题, 规范信息化建设行为。做好《吉林省信息化条例》、《吉林省信息安全管理办法》等信息化法规的立法调研工作。充分发挥省信息产业发展基金对信息化建设重点领域、重点项目的引导扶持作用

【文章来源】/article/87/5846.Html

【本站说明】中国期刊投稿热线:专业致力于期刊论文写作和发表服务。提供毕业论文、学术论文的写作发表服务;省级、国家级、核心期刊以及写作辅导。 “以信誉求生存 以效率求发展”。愿本站真诚、快捷、优质的服务,为您的学习、工作提供便利条件!自05年建立以来已经为上千客户提供了、论文写作方面的服务,同时建立了自己的网络信誉体系,我们将会继续把信誉、效率、发展放在首位,为您提供更完善的服务。

联系电话: 13081601539

客服编辑QQ:860280178

论文投稿电子邮件: 1630158@163.com

投稿邮件标题格式:投稿刊物名 论文题目

如:《现代商业》 论我国金融改革及其未来发展

声明:

本站期刊绝对正规合法

并带双刊号(CN,ISSN),保证让您轻松晋升

篇8

一、互联网安全是电子商务发展的重要威胁

电子商务,一个新兴时代的代名词。2013年11月11日24时,阿里巴巴总部数据中心正式宣布2013年的“双十一”活动,天猫最终以350亿交易额收官,相比于去年的191亿,增长了足有82.3%。不知从什么时候,当我们提起“双十一”之后的第一反应变成了网上购物活动而不再是所谓的“光棍节”时,我们突然发现,原来电子商务不知不觉已经占据了我们生活的各个部分。据可靠数据显示,截止到2013年底,中国电子商务市场交易规模达10.2万亿,同比增长了29.9%,其中B2B电子市场交易额达到8.2万亿,同比增长31.2%,网络零售市场交易规模达18409亿元,同比增长42.8%。随着天猫、淘宝、京东以及苏宁易购的迅速崛起,网络零售取代传统的销售方式已经成为了未来不可阻挡的趋势,网络零售市场也将在我们的生活中扮演着越来越重要的角色。

而近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。

在这样的大的电商时代潮流中,毫无疑问,网络安全成为了电子商务发展过程中的一个主要威胁!

二、中国互联网安全现状及原因分析

1.中国互联网安全现状

随着互联网技术的不断发展进步,互联网开始逐渐深入到人类生活的各个领域,如购物、交流、学习等活动,但是在人们轻松享受互联网所带来的便利的同时,也承受着来自互联网的安全的威胁造成不可预期的损失。其中,对电子商务发展的影响尤其严重。在此,我们盘点一下2014年新近发生的有关电子商务的互联网安全事件。

2014年3月22日,漏洞报告平台乌云网在其官网了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户银行卡支付信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。

2014年4月9日,OpenSSL一个名为“Heartbleed”的漏洞曝光。利用这一漏洞,攻击者可以获取用户的密码,或欺骗用户访问钓鱼网站。

2014年5月13日,有微博爆料称,小米公司论坛用户数据库泄露,设计800万小米用户,次日,小米公司确认时间并向用户致歉。

2.对于互联网安全事件频发的原因分析

(1)企业对安全问题的轻视

虽然大多数企业都具备一定的安全防范措施,但是在实际执行中却言行不一。把安全规章当做摆设,没有给安全问题以足够的重视,没有形成规范的企业安全制度。例如在上例中提到的携程信用卡泄露事件则完全是因为操作人员的疏忽所引起的泄露事件。在如今互联网已经深入到人类生活的方方面面的时代,互联网上的信息成爆炸趋势增长,这些信息对黑客而言是巨大的诱惑,一旦信息泄露将会给用户带来不可预期的麻烦或者损失。企业应当对信息安全问题予以足够的重视,在企业中形成严格规范的安全管理制度,并切实予以执行,保障用户的信息安全。

(2)互联网企业数量众多,良莠不齐

随着互联网经济的快速发展,各种类型的互联网企业如雨后春笋般出现。然而,其中有大多数企业是由几人到几十人的小型互联网企业,这些小企业致力于快速吸引用户获取利润,根本无心或无力对用户的信息安全提供足够的保证,这给用户的信息安全造成了巨大的隐患。应该针对互联网行业的特殊形式,制定严格的互联网企业安全标准,这样才能保证互联网行业的健康发展。

(3)用户安全意识淡薄

随着电子商务,SNS的快速发展,中国的网民数量剧增。虽然互联网安全时间频发,但是互联网用户大多对此漠不关心,事不关己高高挂起。在不同的电子商务网站或SNS平台使用相同的账户名和密码设置,在网络上随意泄露自己的个人信息,让不法分子有机可乘,待到遭受损失的时候却为时已晚。用户自身应该提高自身的安全意识提高警惕。科学管理自己的互联网信息,不随意向他人泄露自己的个人信息。

(4)法律规章不完善

虽然互联网上的安全时间频频发生,但是由于互联网的特殊环境造成取证困难,所以很多的用户在遭受损失之后只能认倒霉。其次,互联网在中国发展了仅仅数十年,虽然政府在不断努力完善互联网的法律制度,但是现阶段互联网的相关法律法规仍然不够完善,这使得互联网犯罪行为发生后,没有合适的使用法律,使得许多犯罪分子逍遥法外。应该加快完善互联网相关法律法规的步伐,整治互联网的不良风气。

三、电子商务企业应对策略

面对来自互联网的安全威胁,应该如何做才能保证电子商务行业的健康发展,才能保障用户的信息安全。我认为对于电子商务的互联网安全问题主要涉及电子商务企业、用户、黑客、安全员这四个主体,应对策略应该从这四个方面入手。

1.电子商务企业

电子商务企业作为大量用户信息的持有者,对用户信息的保护应该是义不容辞的。首先,应该对信息安全问题给予足够的重视与投入,现在的电子商务企业大多没有专门的安全部门,用户信息的保证则主要依靠工作人员的“兼职”。在这样不规范的安全制度下,用户信息的泄露已经成为了一种“必然”。电子商务企业应当加大对用户安全的投入,成立专门的信息安全部门,使安全管理走上正轨。其次,应当加强与如乌云网等安全公司的合作,与安全公司的合作可以及时地得到企业最新的安全信息,在发生安全事故后可以及时地进行补救措施。诸多发生在电子商务行业的安全事件表明,企业安全管理的漏洞和对信息安全的轻视才是造成重大安全事故的主要原因,电子商务应当主动承担起保障用户信息安全的重担,而不是一味地推卸责任,只有这样才能建立起完善的信息安全管理体制。

2.用户

对于用户信息的实际拥有者,对个人信息的保护是理所当然的,一旦个人信息发生泄漏,将造成不可挽回的损失。首先,加强个人账户的安全等级,对于在电子商务网站的账户和密码,不应该使用极其简单的弱口令如出生日期或手机号码等信息。其次,对于不同电子商务网站应该使用不同的账户和密码,不应只使用一种组合。最后,不要使用或传播来源不明的软件或者服务。大多数人的心理的危险之处在于,由于没有受到伤害就对信息安全漠不关心或者认为自己的信息是安全的。一位从事安全技术的工作者坦言,你之所以没有受到黑客的攻击不是因为你的信息有多么的安全,只是因为你还没有被黑的价值。抱着这种心理畅游在网络中,个人信息的泄露或许只是时间长短的问题了。

3.对于黑客

对于从事窃取或买卖用户信息的黑客,应当完善对于互联网安全事件的法律法规,这样可以做到对互联网犯罪有法可依。提高对互联网信息窃取的取证技术,及时将从事不法活动的犯罪分子绳之于法。加强对黑色产业链的侦破力度,切断黑客的生存维系,从根本上接触黑客对于用户信息的威胁。

篇9

本文列举了企业敏感信息泄密的渠道、防护措施、管理要素,系统地阐述企业内网信息防泄密的方法。敏感信息的泄密防护是一个复杂的工程,无法采用单一的技术或管理规范来实现,在信息安全管理中只有建立一个人员、技术、管理相和谐的体系,才能有效保护企业的敏感信息数据。

一、信息泄密的途径

1、互联网。

互联网高速发展的今天,企业很难和互联网隔绝,互联网泄密是信息泄密的主要渠道,常见的如下:

即时通讯软件如QQ、MSN等。主要表现在利用即时消息软件文件传输功能、QQ空间,这些软件的不当使用会传播木马,好奇和无知有助于木马的传播,当然这些软件也给主动泄密者提供了很大的方便。

文件共享与传输软件。BT、迅雷等P2P传输软件,FTP文件传输,邮件,互联网“云”资源,如网盘、云盘的不当使用。

BBS、论坛、微博。

木马控制内部机器后,将窃取的信息从内部由互联网传出。

互联网对外服务(如网站或论坛),其系统或应用漏洞被暴露或被黑客攻破。

2、电脑外设接口。

电脑外设接口是文件传输的物理渠道,常见的主要有USB、蓝牙、无线网卡、串口、SD卡、红外接口、1394口、MMC卡。

3、移动存储。

U盘、移动硬盘、各类flash、数码相机、mp3/4等,值得一提的是手机及智能移动设备,也是需要重点关注的存储介质。

4、移动终端。

企业使用的笔记本电脑,由于其移动性应是企业泄密防控的重点管理对象。

这些电脑染毒、木马或者设备本身丢失和被盗会导致员工存在本地存档的电子邮件和文件或将永久丢失,由于员工可能在本地保存重要或敏感数据,对企业也带来非常大的风险。

此外,自带设备办公(BYOD)被越来越多企业关注,一些企业已经开始BYOD应用,这种环境下企业信息流入个人设备也是一个泄密途径。

5、非法外联。

一些企业对内部网和外部网进行了物理或逻辑隔离,统一互联网出口的管控策略,但是内部机器利用拨号、、WI-FI无线路由非法连接,同时使用内外网。

6、非法接入。

不合规的终端和无权用户的非法访问网络资源,通过植入木马或人为故意窃取企业内部信息。

7、维修或报废的电脑或硬盘。

残留数据造成泄密。

8、人。

数据的产生、存储、传递、使用、销毁,数据生命周期管理中,人是最重要的参与者和数据的使用者,人员的信息安全意识差,安全策略的执行力就很低。因此,人员管理是信息泄密管理的难点。

二、信息泄密的类型

信息的泄密可分为被动泄密和主动泄密。被动泄密是指信息资产拥有者或使用人非主观意愿下泄密的风险,包括计算机硬件(笔记本电脑、硬盘、移动存储)的遗失或被窃风险;计算机感染病毒或木马导致的文件被外泄风险,或无意识的信息泄密,而主动泄密指主观故意泄露或窃取信息,具赛迪网统计80%的泄密为主动泄密,主动泄密是信息防护的主要目标。

三、信息泄密的防护

1、信息泄密的防护策略。安全分级,适度保护的策略。

信息安全的目标是保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害。信息资产安全管理的重点是信息资产的安全分级和基于分级的安全保护,企业必须明确定义出敏感信息全生命周期的保护策略,并使相关人员知悉。制定安全策略,并使企业人员知悉是企业信息安全一切工作的基石。

对不同安全级别的信息资产施以相应程度的保护手段是实现“适度保护”的思路之一,“适度保护”并非中庸之道,而是指建立与企业信息安全要求相适应的安全防控体系,具体到信息资产保护策略是指要和企业信息资产的安全分级相适应的安全防护策略,矫枉过正,防护过度,给员工日常办公带来极大不便。

需要说明的是,安全分级比较复杂,根据不同的管理需要分类方法也比较多,常见的有基于系统的分级、基于信息或数据的分级、基于信息风险的分级等。目前大多数企业使用较多的分级是基于系统的等保分级,但采用单一的维度进行安全分级仍然难以提供有针对性的保护,对于信息的泄密防护,针对数据安全分级将使管理目标更为明确和直接,但较难实施,建议关注受保护数据的生命周期管理,包括数据产生、数据传输使用、数据变更、数据存储、数据处置或销毁。

2、信息泄密防护技术

企业内部的防泄密管理手段从根本上可以归结成四类:泄密渠道及边界管控,数据隔离,数据加密,审计(含身份管理)。审计可以说是“跨界”手段,通过审计可找到泄密事件的线索和证据,从而震慑恶意泄密者,而身份管理是将信息打上身份标记,确定归属,是审计的基础。

企业网边界的管控

企业网络边界管控分为外网(互联网、企业间网络)的管控,和内网接入的管控。

篇10

关键词:等级保护;网络安全;信息安全;安全防范

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03

随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。

1 网络信息安全等级保护

信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。

图1 等级保护基本安全要求

1) 物理安全

物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。

2) 主机安全

主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。

3) 网络安全

网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。

4) 应用安全

应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。

5) 数据安全

数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。

2 应用实例

近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。

医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。

图 2 医院网络信息系统安全区域划分图

2.1外网网络安全要求

系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。

2.2网络安全策略

根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略

1) 网络拓扑结构策略

要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

2) 访问控制策略

访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

3) 网络入侵检测策略

系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。

4) 网络安全审计策略

系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。

5) 运行安全策略

运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。

2.3网络安全设计

根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。

1) 网络访问控制

实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。

①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。

②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。

③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。

2) 网络入侵防护

外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。

①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。

②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。

3) 网络安全审计

信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。

由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。

①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;

②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;

③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;

④开启各区域服务器系统、网络设备和安全设备的日志审计功能。

4) 其他网络安全设计

其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。

①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;

②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。

③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。

3 结束语

信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。

参考文献:

[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).

[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术,2013(33).