网络安全等级保护重要性范文

时间:2023-11-14 17:54:15

导语:如何才能写好一篇网络安全等级保护重要性,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全等级保护重要性

篇1

信息安全等级保护备案实施细则最新全文第一条 为加强和指导信息安全等级保护备案工作,规范备 案受理、审核和管理等工作,根据《信息安全等级保护管理办法》 制定本实施细则。

第二条 本细则适用于非涉及国家秘密的第二级以上信息系 统的备案。

第三条 地市级以上公安机关公共信息网络安全监察部门受 理本辖区内备案单位的备案。 隶属于省级的备案单位, 其跨地 (市) 联网运行的信息系统,由省级公安机关公共信息网络安全监察部 门受理备案。

第四条 隶属于中央的在京单位,其跨省或者全国统一联网 运行并由主管部门统一定级的信息系统,由公安部公共信息网络 安全监察局受理备案,其他信息系统由北京市公安局公共信息网 络安全监察部门受理备案。 隶属于中央的非在京单位的信息系统,由当地省级公安机关 公共信息网络安全监察部门(或其指定的地市级公安机关公共信 息网络安全监察部门)受理备案。 跨省或者全国统一联网运行并由主管部门统一定级的信息系 统在各地运行、应用的分支系统(包括由上级主管部门定级,在 当地有应用的信息系统) 由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

第五条 受理备案的公安机关公共信息网络安全监察部门应 该设立专门的备案窗口,配备必要的设备和警力,专门负责受理 备案工作,受理备案地点、时间、联系人和联系方式等应向社会 公布。

第六条 信息系统运营、使用单位或者其主管部门(以下简 称备案单位 ) 应当在信息系统安全保护等级确定后30日内,到公 安机关公共信息网络安全监察部门办理备案手续。办理备案手续 时,应当首先到公安机关指定的网址下载并填写备案表,准备好 备案文件,然后到指定的地点备案。

第七条 备案时应当提交《信息系统安全等级保护备案表》 (以下简称《备案表》 (一式两份)及其电子文档。第二级以上 信息系统备案时需提交《备案表》中的表一、二、三;第三级以 上信息系统还应当在系统整改、 测评完成后30日内提交 《备案表》 表四及其有关材料。

第八条 公安机关公共信息网络安全监察部门收到备案单位 提交的备案材料后,对属于本级公安机关受理范围且备案材料齐 全的,应当向备案单位出具《信息系统安全等级保护备案材料接 收回执》 备案材料不齐全的, 应当当场或者在五日内一次性告知 其补正内容;对不属于本级公安机关受理范围的,应当书面告知 备案单位到有管辖权的公安机关办理。

第九条 接收备案材料后,公安机关公共信息网络安全监察部门应当对下列内容进行审核: (一)备案材料填写是否完整,是否符合要求,其纸质材料 和电子文档是否一致; (二)信息系统所定安全保护等级是否准确。

第十条 经审核,对符合等级保护要求的,公安机关公共信 息网络安全监察部门应当自收到备案材料之日起的十个工作日 内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》 一份反馈备案单位,一份存档;对不符合等级保护要求的,公安 机关公共信息网络安全监察部门应当在十个工作日内通知备案单 位进行整改, 并出具 《信息系统安全等级保护备案审核结果通知》

第十一条 《备案表》中表一、表二、表三内容经审核合格 的,公安机关公共信息网络安全监察部门应当出具《信息系统安 全等级保护备案证明》 (以下简称《备案证明》 《备案证明》由 公安部统一监制。

第十二条 公安机关公共信息网络安全监察部门对定级不 准的备案单位,在通知整改的同时,应当建议备案单位组织专家 进行重新定级评审,并报上级主管部门审批。 备案单位仍然坚持原定等级的,公安机关公共信息网络安全 监察部门可以受理其备案,但应当书面告知其承担由此引发的责 任和后果,经上级公安机关公共信息网络安全监察部门同意后, 同时通报备案单位上级主管部门。

第十三条 4 对拒不备案的,公安机关应当依据《中华人民共和国计算机信息系统安全保护条例》 等其他有关法律、 法规规定, 责令限期整改。逾期仍不备案的,予以警告,并向其上级主管部 门通报。 依照前款规定向中央和国家机关通报的,应当报经公安部公 共信息网络安全监察局同意。

第十四条 受理备案的公安机关公共信息网络安全监察部 门应当及时将备案文件录入到数据库管理系统,并定期逐级上传 《备案表》中表一、表二、表三内容的电子数据。上传时间为每 季度的第一天。 受理备案的公安机关公共信息网络安全监察部门应当建立管 理制度, 对备案材料按照等级进行严格管理, 严格遵守保密制度, 未经批准不得对外提供查询。 第十五条 公安机关公共信息网络安全监察部门受理备案 时不得收取任何费用。

第十六条 本细则所称以上包含本数(级)

第十七条 各省(区、市)公安机关公共信息网络安全监察 部门可以依据本细则制定具体的备案工作规范,并报公安部公共 信息网络安全监察局备案。

篇2

1计算机信息管理在网络安全中应用的重要性

计算机信息管理技术在社会的发展中占据着十分重要的地位,其对网络安全管理有着重要的作用。(1)计算机信息管理技术在网络安全中的应用能够满足当前社会发展的需求,对各行各业发展过程中产生的数据进行合理保护,避免信息丢失或遭到恶意破坏,为各行各业的发展保驾护航。(2)随着网络技术的发展,各种网络恶意攻击问题也随之出现,使得网络安全受到了一定的威胁。而计算机信息管理技术的应用,在很大程度上提高了网络安全的整体效率,且在将来的发展中会起到越来越显著的作用。由此可见,计算机信息管理技术在网络安全中的应用有着非常重要的现实意义。

2计算机信息管理在网络安全应用中存在的不足

网络安全是指互联网信息在传输和使用的过程中具有一定的安全性,包括硬件的安全性、系统软件的安全性、数据传输的安全性、数据存储的安全性等。计算机技术的发展面临着一定的网络安全问题,其主要表现在:2.1安全防范意识不到位在网络安全管理过程中,由于相关管理人员的安全防范意识不到位,没有对网络安全加以管理,使得网络信息处在一个存在漏洞、容易受到恶意攻击的环境下,导致网络安全问题的出现。2.2安全防护工作不到位在网络安全管理过程中,安全防护工作不到位也是现阶段网络安全问题中较为明显的不足之处。由于没有对数据进行加密处理、防火墙技术不到位、监测系统不完善等,直接导致安全防护等级较低,很容易受到病毒的入侵。

3计算机信息管理在网络安全中的应用

面对上述网络安全问题,在计算机信息管理技术的帮助下,应当要从多个方面来提高网络安全等级,保证信息传输和存储的安全性。笔者提出以下几点建议:

3.1加强安全风险控制

在实际情况中,应当要利用计算机信息管理技术来加强网络安全风险的控制。3.1.1网络结构安全。切了确保网络结构的安全,需要做好安全监测工作,将监测系统配置在网络中,对异常数据进行诊断和处理。与此同时,要在安全保密规定的基础上,对网络的使用情况进行管理,以便提高其安全性。3.1.2操作系统安全。加强操作系统的安全可以通过身份认证、应用加密等方式来进行用户认证,并利用适当的软件来进行病毒监测和防护,保证网络系统的安全。3.1.3建立预警机制。在网络中建立适当的预警机制,加装预警监测系统及软件,保证能够第一时间发现不安全因素,并对其进行自动化处理,如:态势感知、APT攻击监控、溯源追踪等。通过上述几点内容来加强安全风险的控制,发挥计算机信息管理技术的优势,保证网络的安全。

3.2建立完善的网络安全体系

利用计算机信息管理技术来建立完善的网络安全体系,对提高网络安全等级有着重要的促进作用。3.2.1数据加密技术的应用。在网络系统及软件的应用过程中,需要通过数据加密技术来对网络系统、数据、软件等进行全面保护,确保信息的完整性,以及保证信息传输和存储过程中不会被他人恶意攻击或窃取。可以说,使用数据加密技术,是当前保证网络安全最为有效的手段之一。3.2.2入侵检测系统的应用。入侵检测系统是一种主动保护网络安全的技术,通过自动检测并阻止入侵者试图恶意入侵的行为,以此来简化网络管理员的工作量,在最大程度上保护网络安全。3.2.3防火墙技术的应用。防火墙技术是指建立在内外网络之间的过滤封锁技术。该技术能够有效防止未经授权的信息进入到网络内部,通过边界控制手段来强化内部网络的安全。3.2.4采用适当的计算机管理技术。在网络使用的过程中,可以根据实际情况来选择合适的网络管理技术,提高网络的安全等级。比如:目前,很多大型企业的网络建设过程中都会使用VPN技术来提高网络的安全性,利用VPN设备来加强企业内部与外部网络的连接,并对用户进行权限设定,避免非法入侵,保证企业网络的使用安全。

3.3提高网络安全意识

为了加强网络的安全管理,需要提高相关管理人员的安全意识,使其能够自觉使用计算机信息管理技术来对网络进行管理。可以通过多样化的方式来提高管理人员的安全管理意识,促使其能够主动发现网络安全问题,采取合适的措施予以处理。比如:3.3.1适当的培训。加强安全管理培训力度,通过不断的实践和交流来提高管理人员的安全管理意识,提高其管理能力,接触到更多先进的计算机信息安全管理技术和手段,为网络信息的安全奠定良好的人力基础。3.3.2加强安全宣传教育。对网络的安全管理,不仅仅是管理人员的责任,同时也是每个用户的责任。因此,需要加强安全宣传教育,传播安全使用观念,避免登录非法网站、引入病毒等情况而引起的网络安全问题出现。总之,在计算机引领各行各业发展的基础上,网络安全也应当受到应有的重视。各行各业应当要在认识到计算机信息管理技术对网络安全重要性的基础上,对当前的网络安全问题进行归纳和总结,并通过加强安全风险控制、建立完善的网络安全管理体系以及提高网络安全意识等手段,促进计算机信息管理技术与网络安全的有效结合,进而提高网络的安全等级。

参考文献

[1]靳海.信息管理技术在网络安全中的应用研究[J].信息与电脑(理论版),2018(05):192-193+196.

[2]黄静,郗振.计算机信息管理在网络安全中的应用[J].中国新通信,2018,20(05):135-136.

篇3

[关键词]等级保护;等级备案;等级测评

doi:10.3969/j.issn.1673 - 0194.2017.04.115

[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194(2017)02-0-02

0 引 言

随着全球信息技术的快速发展,我国国民经济的繁荣和社会信息化水平的日益提升,信息安全已上升为国家层面的重要内容。为进一步提高信息安全保障工作的能力和水平,2016年国家网络安全宣传周首次在全国范围内统一举办,并首次在地方城市举行开幕式等重要活动。由此信息安全等级保护制度也越来越成为信息社会必不可少的一项制度,等级测评工作也将随之逐步成为一项常规化工作,对保障国家网络安全具有重要意义。下文对信息安全等级保护的概念及发展状况进行梳理。

1 信息安全等级保护的概念

信息安全等级保护是对信息及信息载体按照重要性等级分别进行保护的一种工作,是国际上很多国家都实施的一项信息安全工作。在中国,信息安全等级保护广义上是为涉及信息安全工作的标准、产品、系统、信息等依据等级保护思想确立的安全工作;狭义上一般指信息系统安全等级保护。

2 信息安全等级保护的发展历程

全球化网络快速发展的同时其脆弱性和安全性也日益彰显,西方发达国家制定了一系列强化网络信息安全建设的政策和标准,其核心就是将不同重要程度的信息系统划分为不同的安全等级,以便于对不同领域的信息安全工作进行指导。鉴于此,我国相关部门和专家结合我国信息领域的实际情况经过多年的研究,于1994年由国务院下发了《中华人民共和国计算机信息系统安全保护条例》,首次提出了信息安全等级保护的概念,用于解决我国信息安全问题。之后经过了十几年的摸索和探究出台了一系列从中央到地方的政策法规,并实施工程。从计算机系统的定级到等级保护测评,信息安全工作逐步完善。详情见表1。

随着国家对信息安全工作的重视以及各类等级保护规范标准的出台,各行业及监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。目前,国家已出台70多个国标、行标及报批标准,展开了对所属安全系统进行先定级后测评的工作。

3 信息安全等级保护具体实施过程

信息安全等级保护具体的实施过程,如图1所示。

3.1 定级

2007年开始在全国范围内进行信息系统等级保护的定级工作。四级以上的定级要求请国家信息安全保护等级专家评审委员会评审定级。此项工作历时一年基本完成。

定级标准为公安部66号文件。主要依据是《信息系统安全保护等级定级指南》(国家)或行业制定的定级指南。对于等级的划分,见表2。

定级注意事项

第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统:适用于县级一些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如:不涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等。

第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业及控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等,例如,网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。

第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如:电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等。

第五级信息系统:适用于国家特殊领域的极其重要系统。

3.2 等级备案

已运行的系统在安全保护等级定级后30日内,由运营、使用单位到所在地区的市级以上公安机关办理备案手续。新建的系统,在通过立项申请后30日内办理。将定级情况报各地公安部门备案。

办理备案手续时备案单位需向公安机关网监部门提交以下备案材料。①《信息系统安全等级保护备案表》纸质材料一式两份。该表由“等级保护备案端软件”生成,操作时请详细阅读软件使用说明书。第二级以上信息系统备案时需提交表中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交表四及其有关材料。②《信息系统安全等级保护定级报告》纸质材料一式两份。每个备案的信息系统均需提供对应的《信息系统安全等级保护定级报告》。

③备案电子数据。每个备案的信息系统,均需通过“等级保护备案端软件”填写信息,以压缩文件(RAR格式)方式保存。

3.3 对照等级标准和要求进行安全建设分析整改

备案工作完成后,需要对照所定的级别对信息系统进行安全建设整改。从满足政策、满足标准和满足用户需求入手,有条件的单位可以请专业机构帮助给出整改意见,在技术和管理两个方面进行整体规划和设计。在设计过程中要考虑近期和远期规划,从而给出总体和详细的方案,特别要把技术体系、物理安全、管理安全、应急与灾备全面进行细分,细分为不同的子项,分项完善。之后就可以进入具体实施操作阶段。

3.4 等级测评

信息系统完成建O整改实施操作之后就可以进行等级保护的测评。等级保护测评工作需要由有“DJCP”(公安部信息安全等级保护测评)认证的测评机构来完成。有“DJCP”资质的机构在“中国信息安全等级保护网”可以查询到。测评时间一般为一个月。测评过程如下。

(1)测评准备阶段:召开项目启动会布置测评需要准备的材料(系统拓扑图、规章制度、设备参数等),测评机构根据提供的材料准备下一步的测评工具和表单。

(2)测评方案编制阶段:测评机构针对测评对象制定测评指标,填写测评内容,并编制测评方案书。双方进一步沟通测评时间及测评场地的测评内容和测评流程。

(3)现场测评阶段:测评机构按照测评方案的测评内容对项目中的管理和技术测评项进行逐一的测评,记录测评相关数据。需要注意的是在现场测评过程中尽量不要影响被测系统的正常运行。可以选择错开业务高峰期或下班后的时间。为了保证被测系统不受影响,系统维护人员应在现场进行配合。

(4)报告编制阶段:测评机构根据测评内容和数据进行整理,给出测评报告,告知风险点和测评发现的问题。

测评结果有三种:不符合,即未通过测评;部分符合和全部符合,后两种为通过测评。

在等级保护测评方面,按照要求,三级的信息系统应当每年至少进行一次安全自查和安全测评;四级的信息系统应当每半年至少进行一次安全自查和安全测评;五级的应当依据特殊安全要求进行安全自查和安全测评。

4 信息安全等级保护的发展现状

随着信息技术的不断发展,云计算、移动互联、物联网、工业控制、大数据等概念的出现对信息系统等级保护提出了新的要求。在新技术应用背景下,等级保护的标准和规范也将随之不断调整,信息系统和测评机构都需要不断提高自身的技术能力以适应新技术发展的需求。保证信息系统的循序建设和长期稳定的运行,是等级保护建设的重要意义。

主要参考文献

篇4

一、引言

随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字【2007】43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发【2011】85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。

从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应。

    二、医院信息安全等级保护工作实施步骤

2.1定级与备案。根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。表1是根据定级要素制订的信息系统等级保护级别。

    对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。

在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。

2.2安全建设与整改。在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。

2.2.1等保差距分析与风险评估。了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求。

技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,A类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3A3控制项共计136条.医院可以结合自身建设情况,选择其中一个标准进行差距分析。

管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。

对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。

经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络人侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。

2.2.2建设整改方案。根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。

整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区 域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。

整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。

我院整改方案是先由医院内部自查,再邀请等级测评#司进行预测评,结合医院实际最终形成的方案。网络技术义员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。

2.3开展等级保护测评。下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DICP”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站(网站地址:djbh.net)进行核实。测评周期一般为1至2月,其测评流程如下。

2.3.1测评准备阶段。医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。

在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调査工作。

2.3.2测评方案编制阶段。测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。

2.3.3现场测评阶段。在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接人前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案、在对209条控制项进行测评后应进行结果确认,并将资料归还医院。

该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。

2.3.4报告编制阶段。通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。

2.4安全运维。我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照PDCA的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行。―     

    三、结语

篇5

【关键词】计算机网络问题;对策

随着计算机技术的迅速发展,在计算机上完成的工作已由基于单机的文件处理、自动化办公,发展到今天的企业内部网、企业外部网和国际互联网的世界范围内的信息共享和业务处理,也就是我们常说的局域网、城域网和广域网。计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。

1.计算机网络安全

计算机网络安全就是通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数掘的可用性、完整性和保密性。显而易见,网络安全与其所保护的信息对象有关,它的本质是在信息的安全期内保证其在网络上流动时或者静态存放时不被非授权用户非法访问,但授权用户可以访问。鉴于网络安全的重要性,为了增强用户的安全意识,了解和掌握必要的网络安全和防护技术已成为当务之急。

2.计算机通信网络威胁

计算机通信网络的安全涉及到多种学科,包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种,这些技术各司其职,保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露,保证系统连续可靠正常运行。

2.1 网络资源的共享性。计算机网络最主要的一个功能就是“资源共享”。无论你是在天涯海角,还是远在天边,只要有网络,就能找到你所需要的信息。所以,资源共享的确为我们提供了很大的便利,但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。

2.2 网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。

2.3 欺骗技术攻击。通过欺骗路由条目、IP地址、DNS解析地址,使服务器无法正常响应这些请求或无法辨别这些请求来攻击服务器,从而造成缓冲区资源阻塞或死机;或者通过将局域网中的某台计算机设置为网关IP地址,导致网络中数据包转发异常而使某一网段无法访问。例如局域网中ARP攻击包问题。

2.4 病毒的攻击。网络的高速发展也给病毒的传播和发展创造了条件,病毒在网络上肆意、快速的传播,给广大计算机用户带来了潜在的威胁,给系统安全带来了隐患。

2.5 “黑客”的侵犯。网络黑客是指非法入侵者,它是互联网飞速发展的产物,是一个已经成为被人们普遍关注的特殊群体,网络黑客造成的危害在当今信息社会已经发展成为一个不容忽视的现象。黑客无孔不入的入侵手段,有意或无意的对社会造成了不同程度的伤害。黑客攻击网络的方法主要有:IP地址欺骗、发送邮件攻击、网络文件系统攻击、网络信息服务攻击、扫描器攻击、口令攻击、嗅探攻击、病毒和破坏性攻击等。黑客通过寻找并利用网络系统的脆弱性和软件的漏洞,刺探窃取计算机口令、身份标识码或绕过计算机安全控件机制,非法进入计算机网络或数据库系统,窃取信息。对用户主机安全构成严重威胁。因此,从某种意义上讲,黑客对网络安全的危害甚至超过网络病毒攻击。

2.6 通信系统和通信协议的弱点。网络系统的通信线路面对各种威胁显得非常脆弱,非法用户可对线路进行物理破坏、搭线窃听、通过未保护的外部线路访问系统内部信息等。通信协议TCP/IP及FTP、E-mail、NFS、WWW等应用协议都存在安全漏洞,如FTP的匿名服务浪费系统资源;E-mail中潜伏着电子炸弹、病毒等威胁互联网安全;WWW中使用的通用网关接口(CGI)程序、Java Applet程序和SSI等都可能成为黑客的工具;黑客可采用Sock、TCP预测或远程访问直接扫描等攻击防火墙。

2.7 数据库系统的脆弱性。由于数据集库管理系统对数据库的管理是建立在分级管理的概念上,因此,DBMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处。黑客通过探访工具可强行登录或越权使用数据库数据,可能会带来巨大损失;数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。由于服务器/浏览器(B/S)结构中的应用程序直接对数据库进行操作,所以,使用B/S结构的网络应用程序的某些缺陷可能威胁数据库的安全。

3.计算机网络的安全措施

3.1 使用防病毒软件。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。

篇6

关键词:基层银行;信息系统安全;规划设计;实施

中图分类号:TP311.52

1 基层银行的信息系统遇到的主要安全威胁

由于银行的信息系统建设一直在不断地向纵深处发展,银行已经全面地进入了其业务的系统整合与数据集中的全新发展阶段。这种集约化经营数据不断集中的趋势,从一方面来讲是适应银行业务不断发展的要求,但是从另一方面来讲,却使银行信息系统的安全风险也集中起来,增加了安全的隐患。具体来讲基层银行信息系统的安全隐患主要包括互联网风险和外部机构风险以及不信任网络风险和结构内部风险,同时还包括灾难性的风险等五种安全隐患。

2 基层银行的信息系统安全规划设计与实施的主要原则和等级划分

2.1 基层银行的信息系统安全规划设计与实施的主要原则

银行的信息系统安全是一个涉及到规划与管理以及技术等很多因素的具有系统性的工程,其属于一种不断持续发展和动态发展的进程。对于基层银行的信息系统安全规划设计与实施来说。技术是实现安全保障的主体性因素,而管理是具备安全保障的灵魂性因素。在安全规划与设计中,只有把具有科学性与合理性的管理贯彻落实在信息安全的维护之中,才能够实现网络安全在稳定性与长期性方面的保证。而银行信息系统安全的具体原则主要包括了明确责任与安全保护并举,依照标准和自行保护同时进行,同步建设与动态调整相互促进,指导监督和重点保护齐头并进四条原则。

2.2 关于基层银行的信息系统安全等级的介绍

银行信息系统的安全等级具体指的是对于国家级别的秘密信息和法人以及替他组织和公民专有的信息与公开的信息,同时还包括存储和传输以及处理此类信息涉及到的信息系统的等级,对这些等级实施安全保护,对信息系统里面使用到的信息安全类产品进行一定安全等级的管理,对于信息系统里面出现的信息安全类事件需要分等级地进行回应和处置。依据信息系统和信息对于国家的安全和经济建设以及社会生活所起作用的重要性,在其遭到破坏以后就国家安全和社会秩序以及公共利益和公民,还包括法人以及其他各种组织在合法权益方面的危害性来讲,针对相关信息保密程度和完整程度以及实用性要求和信息系统所要达到的基本性安全保护的水准等因素,笔者总结出信息系统安全保护的五个等级:第一个等级是自主保护,第二个等级是指导保护,第三个等级是监督保护,第四个等级是强制保护,第五个等级是专控保护。

2.3 银行信息系统安全等级的评估

在对银行信息系统安全等级考量需要考虑到以下几个因素:第一个因素是安全系统的类型,也就是信息系统安全利益的主体。第二个因素是信息系统所要处理业务信息的类别。第三个因素是信息系统服务的范围,主要包括了其服务的对象与服务网络所涉及到的范围。第四个因素是信息系统业务依赖的程度,也就是手工作业可以替代信息系统进行业务处理的程度。

3 基层银行的信息系统安全设计规划和实施的主要内容

3.1 基层银行信息系统的安全体系和特点

基层银行信息的安全体系主要包含安全管理的体系与安全技术的体系,这两者对于银行信息系统安全维护来说,是两个不能分割的部分,通常情况下的技术与管理需要相互之间提供一定的支撑,以此来确保两种功能的有效实现。对安全管理的体系进行构建,其主要是出于信息系统里面各种角色的管理。以一种管理体系文档化的形式,监督和控制各种角色的种种活动,主要是在系统通常运行的维护工作过程中,主要涉及到各种政策和制度以及规范和流程,同时还包括日志方面的监督与控制。这种安全管理体系的组成部分通常分为五个部分,主要是安全管理的组织与人员的安全管理,系统建设的安全管理,系统运维的安全管理以及安全审计的管理。就安全技术的体系来讲,其主要功能是对信息系统提供技术安全类的机制设施,其实现形式是信息系统里面部署相应的软件与硬件,同时对其以正确的形式配置系统的安全功能,以此来实现。安全技术的体系组成部分也是五个部分,主要包括基础设施的安全和网络安全以及主机安全和应用安全,同时还有数据的安全。

3.2 基层银行的信息系统安全建设的方法论

依据国家标准的ISO17799/ISO27001中的信息安全维护的管理标准建立起信息安全的管理体系,其具体内容主要包括以下几个方面:

(1)计划,也就是建立ISMS,对于ISMS的相关政策和控制的措施以及过程与流程实施和操作等。

(2)执行,其主要是指实施和执行ISMS,对ISMS政策与控制措施以及过程和流程的实施和操作等。

(3)查核,其主要是指监督和审查ISMS,依照ISMS政策和目标及其实际的经验,用来评鉴和测量其过程的绩效,同时把评鉴与测量的结果回馈给相应的管理层,让其审查。

(4)行动,其主要指的是维持和改进ISMS,依照内部的ISMS稽核和管理层的审查以及其他相应信息的结果采取对应的校正和预防性措施,以便实现信息安全的管理系统的持续性改进。

3.3 基层银行的信息系统安全规划实施的主要内容

基层银行的信息系统安全规划实施的主要内容包括以下几个方面:

(1)信息安全的组织建设。其主要是指在组织的内部建立起跨部门式信息安全的协调与沟通的机制,为的是实现组织内的信息安全管理,同时能够识别和外部组织有关连的一类风险,对信息安全的职责进行定义与分配,对于信息安全的工作进行定期评审。另外需要建立起专门负责信息安全的管理委员会,不断地推动信息安全的规划与实施,主要出发点是组织架构层面,此机构主要负责以下事项:对信息系统的安全保障的体系建设进行有力推动;周期性地评估与识别信息系统的安全保障体系;对商业秘密与技术秘密进行保护,对企业的利益进行维护;制定出合适的信息系统安全性发展策略,以此来提高银行抵御风险的能力。

(2)对于从业人员的安全管理。其主要是指对全体员工要加强安全防范的意识培养,加强与信息安全相关的管理知识的宣传与普及,对各项安全管理的制度要积极地落实,集合全体员工的力量促进银行信息的安全保障。人员的安全管理实现形式主要是教育和培训,期培训的方式主要分为三种,其一是涉及到管理层的安全意识的教育,此举主要是针对管理层安全意识的教育和培训,帮助其了解国家信息安全的政策,同时提高其认识,进而能够指导好安全建设的工作。其二是技术人员的安全技能类培训,此举主要是让其学习更多的安全管理的理论性与技术性知识,以便其可以有效地掌握相关安全管理的理念,掌握好安全产品的操作与维护以及对于安全事件的处理能力,对信息系统安全进行较好的维护。其三是普通员工安全意识的培养,此举针对的是广大的信息系统的用户,对其进行安全培训,以此来增强其安全防范的意识,发挥集体的力量来维护系统安全。

(3)对于系统建设的管理,其主要是指信息安全要针对信息系统的集成项目和软件开发的项目,对这些项目进行相应的安全需求的分析与规划,对于系统的开发需要对输入的数据验证和处理过程信息的完整性以及输出数据进行确认,此举是为了预防应用系统的信息丢失和错误以及未授权信息的修改与误用。其主要的保护手段是加密。

(4)对于系统运维的管理,其主要是指对信息系统日常操作与维护的管理要加强。逐步地建立与完善相关文档化操作的流程和相应规范变更的管理流程。同时实行职责分离和分离开发以及测试和生产环境,对于第三方的服务交付需要提出相应的要求,以便确保其所提供服务符合相关协议要求。在系统的规划方面,需要对未来容量与性能要求进行考虑,同时还要对相关项目建设进行验收,验收时要依照具体标准。对于数据备份的策略制定方面,需要确保相关信息的实用性与完整性。此外还包括对于移动介质使用和处置方式的控制与管理。在与外部的组织进行信息交换时要确保其安全性能。此外还包括对于系统运行的监控与管理系统的日志记录工作和审核工作等。

(5)对于安全审计的管理,其主要的措施是建立起相关信息安全事故的报告流程和确保运用有效和持久的手段进行安全事故的管理。为了对信息系统符合相关法律规定进行确定,需要定期地进行相关信息安全的检查工作和及时地发现安全隐患,同时要坚持改进。

(6)有关基础设施的安全,其主要指的是机房环境与设备实体安全的保护,以防基础设施出现非法使用和物理性破坏以及被偷盗的情况发生,并且要保障这些设备正常运行时需要的电源和温度以及湿度和防水,同时还包括防尘等。技术设施的安全规划主要包括以下内容:中心机房与及其基础的设施的环境建设需要做好,具有防雷电的完整设施,同时还包括防电磁干扰的设施完备。主机房的电源需要设置双回路的备份机制等。

(7)对于信息系统中涉及到的网络安全问题。网络安全主要是以硬件和软件等形式实现数据和语音以及图像和传真网络传输时的安全保障,对安全域与安全区间的网络通讯私密性与完整性以及可靠性要进行提高。网络安全规划的主要内容包括:建立与完善网络防火墙的安全体系建设,对安全区域实行隔离,对网络安全的策略进行强化,监控和审计网络的访问,以防内部信息出现外泄情形。其具体措施包括以下几个方面:其一是对IIPS入侵的检测系统进行建立和完善,以特定检测技术来识别各种恶意攻击行为,同时及时的对其攻击行为进行阻断,以确保网络的安全;其二是运用VLAN对网络进行划分,对于不同的网络安全区域进行隔离;其三是以物理级和网络级以及系统级等认证手段对网络用户的访问权限实时控制,以便确认出使用者权限及其身份。其四是对于网络日志进行管理的记录,以此来保证网络安全具有审计性。其五是以SSL的安全联结机制来保证外部WEB的链接安全,比如说网上银行等。

(8)基层银行安全信息系统规划中涉及到主机的安全,主机系统安全的目标是对主机平台的系统优质高效的运行进行保障,以防主机系统会遭受到外部与内部破坏或者滥用,同时避免与降低因为主机系统问题而造成的影响,主要针对的是业务系统,另外还需要对访问的控制与安全审计进行协助应用。其主要规划内容包括对主机系统的安全管理进行完善,对账户系统的管理要严格化,对系统服务要实现有效控制,对系统安全配置进行优化。

4 结束语

通过上述分析,我们可以看到现带信息技术给人们生活带便利的同时,也给基层银行信息系统的安全设计规划和实施带来了挑战,本文提出了一些相应的举措,但是还远远不够,还需要在安全实践中不断摸索,不断改进,不断适应新的银行信息风险,保障银行信息系统的安全运行。

参考文献:

[1]邱安生.商业银行信息系统安全保障体系的设计和实现[D].电子科技大学,2011.

[2]傅志勇.国家开发银行企业银行信息系统安全解决方案设计与实现[D].山东大学,2008.

[3]赵立洋.商业银行信息系统安全审计问题研究[D].天津财经大学,2009.

[4]龙延军.国家开发银行信息系统安全总体方案设计[D].四川大学,2004.

[5]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京工业大学,2012.

[6]刘嘉.基于综合判定分析的信息系统安全检验技术研究[D].北京邮电大学,2011.

[7]杨峰.商业银行IT风险识别与评估研究[D].电子科技大学,2012.

篇7

关键词:等级保护;方案;设计

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01

Several Issues of the Level Protection Design

Qian Weixing

(People's Bank of China Branch in Suzhou City,Suzhou215011,China)

Abstract:The idea of understanding and other insurance,through insurance and other basic requirements of the specific content analysis,and other security technologies from the core,the terminal protection and security arrangements and other aspects were discussed,and the formation of a building security program design ideas,steps and areas of concern.

Keywords:Level protection;Program;Design

引言:人民银行作为央行,负责协调和指导金融业信息安全,正在开展有关符合金融业的等保标准的制订及自身等保的设计和实施,并且在信息安全的指导和监管过程中引用等报作为相关依据已经势在必行。因此,作为基层央行的科技部门,在实际工作中,如何编写一个适合本单位实际情况又符合等保要求的解决方案,我觉得应该特别关注以下几点。

一、等保的核心思想是不同业务系统分等级进行保护

它根据信息系统的重要性和受破坏后的危害性,将信息系统划分成不同的等级,不同等级有着不同的保护要求。系统越重要,受破坏后危害越大,则系统的安全等级就越高,保护的要求也就越高。等保不是“二级系统要有防火墙,三级系统要有IPS,四级系统要加密。”

等保涵盖了信息安全的方方面面,希望通过一次性安全建设就可以实现等保合规是不现实的。一次性的安全建设只能为等保合规提供基本的条件,彻底的等保合规需要在系统日常运维等方面做大量认真细致的工作。因此,笔者觉得应该从等保的思想来源和基本要求入手,结合行业特点深入分析以后,找到等保建设的要点,以等保建设要点为基础,形成全局视角,然后在全局视角下形成方案框架,并最终形成建设方案。

二、等保内容可以分为管理要求和技术要求

在等保基本要求中,网络安全、主机安全和应用安全等部分都提出了类似的安全要求(如访问控制)。但是,对不同层次的类似要求是分别实现,还是在一个安全设备上统一实现,又或者结合安全设备和服务器以及应用系统的策略配置来综合实现,并没有做具体的规定。这需要结合实际,具体分析而定。

因此,笔者以为,除了物理安全是个相对独立的部分,可以单独设计外,应着眼实现等保合规的统一安全技术框架,在此框架之上,通过各种安全策略配置或者其它安全管理手段实现各种安全目标,核心就是将安全策略与设备部署分开,一个设备可能需要实现很多种不同目的的安全策略,而一个具体的安全策略也可能会在不同的设备上实现。

三、等保的核心思想是不同业务系统分等级保护

其基本要求的内容是对某一个具体的业务系统的安全要求,而实际网络中不可能只有一个业务系统,对于多个业务系统,会有不同的安全级别,完全的独立保护是不现实的。一方面,业务系统之间必然存在数据共享和交互,否则就是一个一个的信息孤岛,与信息化建设的基本目标背道而驰。另一方面,各自独立保护所需要付出的代价也是巨大的,远远超出了实际承受能力。

解决这一矛盾的手段是分域保护,除安全级别特别高的业务系统需要与其他系统进行物理隔离,单独保护之外,可以将其它不同的业务系统划分在不同的安全域中分别保护。安全域应采用纵向结构,应包含某一业务所需要的终端、网路、服务器、存储等全部内容。不同的安全域之间进行逻辑上的隔离,分别予以保护。同时,各个安全域共享统一的基础网络架构,以实现互联互通并降低整体投资。

每个逻辑网络都应该具有独立的资源、网络带宽与QoS保证等。同时,需要设计共享MPLS VPN等手段,以保证业务系统之间的互联互通。

根据终端需要同时处理多业务的特性,最佳的处理方式应该为动态授权与保护,即根据其当前所处理的业务的安全等级来动态的确定安全保护强度。可采用部署准入控制(802.1x或Portal)作为具体实现,在终端接入时实现对终端的认证和安全检查,并根据认证和检查的结果将终端动态划分到某一安全域中。

四、通过上述设计以后,我们可以得到一个技术框架,并形成了基础的网络承载,它可以满足等保最基本的出发点――不同业务系统分等级保护

而在等保建设中具体应用的安全保护手段,与一般性的安全建设不会有本质的区别。如通过防火墙进行访问控制;通过IPS对L4到L7层威胁进行全面的深度防御;通过VPN/加密机实现加密访问;通过CA系统实现认证与授权等等,依然是等保建设中需要采用的具体技术手段。我们只需要将自身现状与等保规范进行对比,找到薄弱环节后提炼出技术需求,再根据技术需求汇总出产品部署需求即可。

篇8

信息安全的总需求是边界安全、网络安全、主机安全、终端安全、应用安全和数据安全的最终目标,是确保信息机密性、完整性、可用性、可控性和抗抵赖性,以及企业对信息资源的控制[1]。2009年福建公司开展了等级保护工作,结合今年福建公司安全防护体系建设和等保测评成果,证明信息安全防护重点在于管理。现代企业管理实践也证明,任何工作均是3分技术,7分管理。电网企业信息安全工作也不例外,技术只是最基本的手段,规范、科学的管理才是发展根本的保障[2]。

2信息安全防护体系设计

2.1信息安全防护体系总体框架

在对多种信息安全防护体系进行研究分析后,参照ISO/27001信息安全管理标准,根据国家电网公司电网信息安全等级保护“双网双机、分区分域、等级防护、多层防御”原则,提出电网企业的信息安全防护体系框架。电网企业信息安全防护体系建设可从管理和技术层面进行[3]。该体系框架根据规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节的信息系统生命周期特征制定全过程安全管理;从物理、边界、网络、主机、终端、应用、数据7个方面制定全方位的技术防护措施。

2.2信息安全防护管理体系设计

电网企业信息安全在信息系统建设、运行、维护、管理的全过程中,任何一个环节的疏漏均有可能给信息系统带来危害。根据信息系统全生命周期,从规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节,设计覆盖信息安全管理、运行、监督、使用职责的安全管控流程[3-4]。

2.2.1网络与信息系统安全管理

网络与信息系统是企业现代化管理的重点。由于网络与信息系统的动态性、复杂性和脆弱性,建立健全的信息安全管理体系已成为了保障网络与信息系统安全的重要手段。网络与信息系统的安全管理依照国家电网公司制定的《国家电网公司信息网络运行管理规程(试行)》,遵循信息安全等级保护“双网双机、分区分域、等级防护、多层防御”的原则。

2.2.2人员安全管理与岗位职责管理

安全问题的特点为“3分技术、7分管理”,而管理的核心是人,对于人员安全管理与岗位职责管理其主要包含如下管理内容:(1)岗位职责。制定岗位责任书,明确各岗位信息安全责任。(2)持证上岗。安全工作人员持证上岗。(3)保密管理。与员工签订保密协议,并定期进行检查与考核。(4)安全培训。对员工进行定期安全培训。(5)离职管理。对离岗离职人员账号、权限及信息资产进行清理和移交。

2.2.3全过程安全管理

(1)系统规划设计安全管理的主要内容包括:1)分析和确认系统安全需求。2)确定系统安全保护等级并备案。3)制定安全防护方案并进行评审。(2)系统研发安全管理的主要内容包括:1)制订研发安全管理机制,确保开发全过程信息安全。2)加强开发环境安全管理,与实际运行环境及办公环境安全隔离。3)严格按照安全防护方案进行安全功能开发并定期进行审查。4)定期对研发单位环境和研发管理流程进行安全督查。(3)系统实施与上线安全管理的主要内容包括:1)严格按照设计方案对网络、主机、数据库、应用系统等进行安全配置。2)严格遵循各项操作规程,避免误操作。3)组织安全测评机构进行上线环境安全测评。4)及时对系统试运行期间发现的安全隐患进行整改。(4)系统运行维护安全管理的主要内容包括:1)遵循运维安全规程,执行各项运维操作。2)对系统安全运行状况进行实时监控,及时采取预警和应急处置措施。3)定期进行安全风险评估、等级保护测评与整改。4)建立系统漏洞补丁的安全测试、分发和安装管理机制。5)根据数据重要性进行数据备份,并定期进行恢复测试。(5)系统使用安全管理的主要内容包括:1)终端准入控制,对各种移动作业、采集、专控等终端进行安全测评。2)终端外联控制,禁止终端跨网络接入。3)系统账号和权限管理,对系统使用人员及其权限进行严格管理。4)终端使用管理,防止终端交叉使用、用户越权访问等。5)终端数据存储、处理时的安全保护。6)对移动存储介质的安全管理。7)终端维修管理,由运维机构统一处理。8)终端下线、报废时的安全管理,对终端数据进行安全处理。(6)系统废弃下线安全管理的主要内容包括:1)评估系统下线对其它系统的安全性影响,制定下线方案并进行评审。2)系统下线前对重要数据进行备份和迁移。3)系统下线后对不再使用的数据与存储介质进行销毁或安全处理。4)系统下线后及时进行备案。

2.2.4系统测试评估安全机制与评价考核

信息系统建成后必须经过试运行并对系统的安全性、可靠性和应急措施进行全面测试,测试和试运行通过后方可投入正式运行,信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。安全管理机制的主要内容包括:事件管理、安全督查、等保管理、备案管理,应急管理等。

3信息安全防护体系

电网企业信息安全防护体系的设计[5],主要从物理、边界、网络、主机、终端、应用、数据7个方面进行,遵循环境分离、安全分域、网络隔离、终端准入、补丁加固、数据分级、安全接入、基线配置、应用审计、密钥应用等技术原则,辅以相应的技术措施实现全面的安全防护[6]。

3.1物理安全

物理环境分为室内物理环境和室外物理环境,根据设备部署安装位置的不同,选择相应的防护措施。室内机房物理环境安全需满足对应信息系统安全等级的等级保护物理安全要求,室外设备物理安全需满足国家要求。具体安全措施如下:(1)机房分区、门禁等准入控制。(2)设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。(3)机柜/机箱应避免可能造成的人身安全隐患,符合安装设备的技术需求。(4)机柜/机箱外应设有警告标记,并能进行实时监控,在遭受破坏时能及时通知监控中心。(5)研发场所分离并采取准入控制

3.2边界安全

边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐蔽通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。

3.3网络安全

网络环境安全防护的目标是防范恶意人员通过网络对网络设备和业务系统进行攻击和信息窃取,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段,以及对信息内外网网络、终端以及防护设备等安全状态的感知和监测,实现安全事件的提前预警;在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件追踪、事件源定位,及时制定相应的安全策略防止事件再次发生;并能实现事后审计,对恶意行为和操作的追查稽核、探测入侵、重建事件和系统条件,生成问题报告。

3.4主机安全

主机系统安全的目标是采用信息保障技术确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的损害程度以进行后续处理。

3.5终端安全

终端安全防护目标是确保智能电网业务系统终端、信息内外网办公计算机终端以及接入信息内、外网的各种业务终端的安全。目前重点终端类型包括:(1)配电网子站终端。(2)信息内、外网办公计算机终端。(3)移动作业终端。(4)信息采集类终端。对于各种终端,需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施。

3.6应用安全

按照国家信息安全等级保护的要求,根据确定的等级,部署身份鉴别及访问控制、数据加密、应用安全加固、应用安全审计、剩余信息保护、抗抵赖、资源控制、等应用层安全防护措施。

3.7数据安全

对数据的安全防护分为数据的灾难恢复、域内数据接口安全防护和域间数据接口安全防护。域内数据接口是指数据交换发生在同一个安全域的内部,由于同一个安全域的不同应用系统之间需要通过网络共享数据,而设置的数据接口;域间数据接口是指发生在不同的安全域间,由于跨安全域的不同应用系统间需要交换数据而设置的数据接口。

4结束语

篇9

建立健全广电网络安全防御体系

1广电网络特征

(1)我国广电网络发展正处于数字电视及模拟电视转型阶段,且广电网络正处于转型期,除此以外,我国网络安全投资经费远远不能够满足实际需要;(2)我国网络管理机制不健全、管理人员专业技能及综合素养普遍不高,且我国网络管理手段大多为管理性能不高的局部管理软件或网络设备厂家免费赠送的网络管理软件;(3)我国网络安全与系统建设不成熟,尚处于发展的低级阶段,且安全集中式管理模式基本缺失,这对于我国广电网络安全均造成了不少的安全隐患。

2立体网络安全防御体系结构层次

随着技术的发展及广电网络安全意识的提高,立体安全防御体系建立被得到深入发展,这为提高广电网络安全防御性能发挥着巨大的作用。立体安全防御体系主要分为安全管理系统、安全防护系统及安全监理系统等三大部分。在整个网络安全体系中,安全监控系统扮演着中枢系统的角色。安全监控系统重点功能模块包括安全策略管理模块、安全知识库及报表模块、用户权限管理模块、安全预警管理、安全事件流程管理模块、风险评估模块、安全区域管理模块、安全资产管理模块、安全信息监控管理模块、安全事件智能关联及分析模块、安全事件采集模块、安全知识学习平台模块。就防护级别而言,安全防护系统涉及的模块包括:(1)专控保护区域:多路供配电系统、攻击防护模块、空气调节及通风控制、数据访问控制、防火及火警探测、系统访问控制、水患及水浸控制、系统日志控制、物理出入控制、密码管理控制、定期卫生及清洁控制、认证及识别系统、设数据访问控制、备及介质控制;(2)强制保护区域:不间断供电系统、攻击防护模块、多路供配电系统、漏洞管理和修补、空气调节及通风控制、激活业务控制、防火及火警探测、程序开发控制、水患及水浸控制、系统更改控制、物理出入控制、病毒防护模块、数据访问控制、定期卫生及清洁控制、系统访问控制、系统日志控制、设备及介质控制;(3)监督保护区域:多路供配电系统、密钥管理模块、空气调节及通风控制、攻击防护模块、防火及火警探测、漏洞管理和修补、水患及水浸控制、激活业务控制、物理出入控制、系统更改控制、定期卫生及清洁控制、病毒防护模块、设备及介质控制、数据访问控制、系统访问控制、系统日志控制;(4)指导保护区:物理出入控制、密码管理控制、定期卫生及清洁控制、漏洞管理和修补、设备及介质控制、激活业务控制、系统访问控制、系统更改控制、病毒防护模块、数据访问控制;(5)一般保护区:系统访问控制、用户行为管理模块、数据访问控制、漏洞管理和修补、病毒防护模块;(6)安全管理系统:安全技术及设备管理、部门与人员组织规则、安全管理制度等。

工程实例

南京广电网络属于复杂网络结合体,其涵盖了三个物理结构,即MSTP传输网、IP传输网、HFC网,且该网络系统包含的系统及部门众多。

1安全监控系统

南京广电公司坚持“分级监控体系”原则,即公司层面设安全监控中心,各部门设子系统监控分中心。网络监控系统对网络系统内各主要链路状态及主要节点设备进行实时监控,且构建了紧急事件相应流程及自动报警机制,并对管理漏洞、网络配置及未授权行为进行严格检测,此外,如实保存并审计相关安全事件及异常事件日志(见下图)。

2安全防护体系

南京广电公司于安全防护体系之上始终坚持“分级防护“原则。基于信息资产及业务系统重要性的不同,安全防护体系被划分为五大保护等级。信息安全等级保护工作应坚持“分类指导、分级负责、分步实施、突出重点”原则;遵循“谁运营-谁负责、谁主管-谁负责”要求。防护体系架构:安全防护体系层次模型被划分为纵向及横向两个层面相结合安全防护体系,该安全防护系统有助于对广电网络各系统及系统各层次进行安全全面而系统地把握。就横向管理体系(见下图一)而言,考虑的核心在于对安全数据进行集中式监控及处理,并以等级保护相关规范为根据,对各系统不同等级安全保护域加以确定;就纵向管理体系(见图二)而言,考虑的核心在于以系统ISO七层体系模型为参考依据,监控并管理各系统各层次。

安全防护体系层次划分标准:横向层次标准:划分横向层次安全域应该以国家系统等级保护标准格式为依据,并基于企业系统程度,将广电网络定义为五大保护等级,且以保护等级为依据将网络体系划分为安全域;纵向层次标准:纵向层次划分标准应以ISO七层网络模型为参考依据,具体划分标准包括物理层安全防护(环境安全、设备安全、介质安全)、系统层安全防护、网络层安全防护、安全管理(安全技术及设备管理、部门及人员组织规则、安全管理制度)。

篇10

动联作为中央国家机关政府集中采购入围企业,同时也是上海市高新技术企业、软件企业、商用密码产品生产定点单位和销售单位、ISO9001国际质量体系和ISO27001信息安全管理体系认证企业,产品拥有“计算机信息系统安全专用产品销售许可证”、“商用密码产品型号证书”、“信息系统安全产品认证”、“军用信息安全产品认证证书”、“产品信息安全认证证书”等完善的资质,并获得数十项发明专利和实用新型专利。产品主要应用领域有:为企业、政府、金融、电信、教育、公共的IT信息系统如计算机主机、网络设备、操作系统、中间件、数据库、OA、ERP、SCM、CRM等应用软件提供登录保护,满足国家《信息安全等级保护条例》等政策性要求,为客户提供安全又方便的动态密码身份安全保护服务。目前动联的客户已经覆盖了中国主要的银行、证券、政府、电信、公共事业部门和电力、汽车、零售、设备制造、软件的著名品牌。

动联身份认证产品

动联动态密码身份认证软件是由动联自主研发的一种安全可靠、简单易用的身份认证软件。该软件基于动态密码技术,采用双因素认证机制,可以为网络设备登录(如IT设备的账号)、操作系统登录(如Windows、Linux、Unix等)、各种信息系统应用软件登录(如OA 、ERP、CRM、SCM等)以及各类Web应用账号登录提供高强度的身份认证保护,保障信息系统和业务系统的安全。

动联动态密码身份认证软件支持多种动态密码认证技术形式,为用户的账号提供全面的保护。通过动态密码保护账号,可以有效防止盗号木马攻击;通过主机认证,可以有效防止网络钓鱼;通过签名动态密码,可以有效保护用户交易的真实性和安全性,防止中间人攻击。动联身份认证软件支持多种的动态密码认证终端,并支持多种终端混合使用。支持的终端形式包括多种品牌的多个型号的硬件动码令、软件动码令、手机动码令、SIM动码令和短信动码令等。客户可以根据自己的实际需求和预算选择适合自己的认证终端。

动联身份认证软件具备极高的性能,只需采用一套动联身份认证软件就可以为企业主要信息资产提供全面的动态密码保护,保护的范围包括多个应用系统、VPN访问、大型数据库、网络设备、服务器和计算机终端。

动联提供全面的接口调用,包括Socket方式(可提供Jar包、动态链接库或Socket编程方式)、支持WebServices,支持Radius协议。与应用系统的集成开发极为方便,在实际的应用案例中,往往1~3天内即可完成。

动码令用户终端

动联电子政务身份认证解决方案是动联结合电子政务的实际需求,采用动态密码认证机制来鉴别用户的身份合法性。只允许提供了动态密码的用户接入系统,最大程度地保证登录用户确实为授权的个体,大大降低了攻击和非法访问的风险。

完全兼容现有电子政务系统的基础认证体系,包括公务员内部办公认证、外部公众身份认证等。在认证过程中,不影响电子政务系统的原业务逻辑,与电子政务系统应用服务器之间的通信过程中采取双向身份认证的机制,能够保证整个认证过程不被绕过。

动联电子政务解决方案符合国家“信息安全等级保护条例”等政策性要求,从物理安全、网络安全、主机系统安全、应用安全等各方面提供了身份鉴别保护,帮助政府提高政务工作的效率,提升电子政务系统的安全等级。

网上银行解决方案

随着我国银行业及网络技术的发展,各大银行分别推出不同的网银业务,网上银行已经越来越普遍地出现在我们的生活之中。网上银行的安全随着业务普及,逐渐就成为人们关注的焦点,随之而来的安全需求被银行提上议程。

某银行网上银行面临的风险来自如下方面:假银行网站欺诈,骗取用户账号及密码信息;通过种植木马等程序进行密码窃取。为保障网银用户的安全,该行采用了数字证书作为保障用户登录安全的主要手段。但是由于使用数字证书需要签约,下载证书,安装驱动程序,有问题更换麻烦且需要额外开支,银行面临需要提供一种使用户感觉安全又方便使用的解决办法。