网络安全体系建设方案范文

时间:2024-01-02 17:49:00

导语:如何才能写好一篇网络安全体系建设方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全体系建设方案

篇1

[关键词]烟草企业;网络安全防护;体系建设

doi:10.3969/j.issn.1673 - 0194.2016.24.028

[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02

随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。

1 威胁烟草企业网络信息体系安全的因素

受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。

1.1 人为因素

人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。

1.2 软硬件因素

网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。

1.3 结构性因素

烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。

2 烟草企业网络安全防护体系建设现状

烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。

2.1 业务应用集成整合不足

不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。

2.2 信息化建设特征不够明显

网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。

2.3 安全运维保障能力不足

缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。

3 加强烟草企业网络安全防护体系建设的策略

烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。

3.1 遵循网络防护基本原则

烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。

3.2 合理确定网络安全区域

烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。

3.3 大力推行动态防护措施

根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。

3.4 构建专业防护人才队伍

人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。

3.5 提升员工安全防护意识

技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。

4 结 语

烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。

主要参考文献

[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).

篇2

关键词:安全;信息化;规划

中图分类号:TP393 文献标识码:A

1 校园网安全运行现状与需求

1.1校园网安全建设现状分析

网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。随着高校的发展,用网人数的增加,校园网用户对信息与网络安全的要求也越来越高。大部分高校以往的网络建设,重点是“建设”,强调网络的覆盖范围,出口带宽,基础应用等,而对网络安全的关注度不够,往往是“想起一个建一个,需要一个建~个”,没有形成系统、全面、高效的网络安全体系。随着高校“信息化”建设的呼声越来越高,网络安全体系的建设也在逐步受到学校各级领导的重视。

1.2校园网安全体系建设需求

网络安全建设一直是各高校网络建设的难点和薄弱环节,一方面,技术管理手段的不全面以及管理机制的不完善制约了安全防范的力度;另一方面,校园网用户甚至是系统管理员的安全意识淡漠,以及学生用户网络行为的不确定性成为各高校网络安全工作的瓶颈。因此,网络中心需要通过采取一系列的网络安全措施、制定一系列的网络安全管理制度,在提高网络管理技术手段的同时,逐步增强用户的网络安全意识,构建稳定、安全、绿色的校园网。

2 网络安全体系建设规划

随着学校网络与信息化建设的逐步深入,网络安全问题、信息数据安全问题日益突出。建立一套网络安全体系,是各高校在信息化过程中的重要任务之一。

2.1校园网安全建设规划

根据各高校网络建设规划,结合现有的网络安全技术手段,应从以下几个方面做好校园网安全建设工作。

2.1.1加强网络设施安全建设

网络设施安全主要指网络设备、服务器等硬件设备的物理安全。某高校网络中心曾经发生过同批次多块硬盘损坏,机柜门被撬开。学生恶意偷用电源。光缆被挖断等安全事件,因此。在信息化的建设中,保证设备的物理安全尤为重要。

建立机房、设备间的防火、防盗、监控和报警方案:

对一些关键设备。系统和链路,应设置冗余备份系统,避免网络设备因天灾或人为因素对网络造成的影响。

2.1.2终端安全防范措施

随着各高校网络覆盖范围的逐步增加,用网人数不断增多(如某高校校园网同时在线用户已经达到4500人),用户终端的安全问题成为校园网内网安全的主要问题之一。由于用网人员的计算机水平参差不齐,以及学生用户网络行为的不可控性,给网络安全带来了很大的隐患,因此需要从以下几个方面完善终端安全防范措施:

提供并推广可供全校师生员工使用的网络版杀毒软件,以及校内WSUS服务,逐步建立“没有杀毒软件”、“不打系统补丁”不上网的安全意识;

对校内突发的终端安全事故进行监控,及时提供必要的专杀工具、漏洞补丁:

提高技术人员的技术水平,采取相应的检测手段,利用先进的仪器设备,减少用户端安全事故的排查和定位时间。

2.1.3应用服务器安全措施

应用服务器是数字化校园的基础,是各个业务系统的载体,所以它的安全是至关重要的,因此,系统管理员的技术手段和安全意识在服务器的安全管理中起到至关重要的作用。

制定相关技术文档,规范应用服务器上线前的安全检查,督促管理员使用正版操作系统、安装杀毒软件、防火墙、自动更新等,并且定期扫描系统漏洞,更改系统密码。保证操作系统安全;

建立完善可靠的容灾恢复方案,对关键服务器采用双机热备方式,并且提供可靠的数据备份系统,如采用RAID技术以及利用磁带备份数据,确保事故发生时业务数据不丢失,系统能够快速恢复;

建立授权控制体系,对不同管理员设定不同的系统、数据库管理权限:

完善访问日志分析系统,定期对日志进行整理和分析,制定相应的安全策略。

2.1.4网络出口及边界安全

目前高校网络出口及边界设备主要分为路由器。防火墙、VPN等三类设备,网络出口及边界的安全主要包括配置合理、全面的安全策略,以及如何提高安全响应速度和快速、准确地定位攻击来源。针对这些方面,需要在出口及边界设备的管理中做到以下几点:

建立密码维护制度。定期更换设备Telnet、SSH登录密码以及SNMP共同体名;

>制定详细的ACL策略,限制登录设备的IP地址;

采取NAT机制。在保证校内用户正常上网的同时,继续优化8812路由器的安全功能;

启用防火墙的防病毒功能,在源头阻断病毒入侵;

合理规划SSL VPN的用户权限;

建立IDS+IPS的联动机制。完善网络监控与入侵防范;

建立出入双向的访问日志系统。

2.1.5应用分析控制技术的应用

在网络安全管理中,网络流量、网络应用的分析至关重要,网络管理人员需要明确地知道网络中有哪些网络应用,各种应用在网络中所占的带宽以及是否存在不良应用,如图1。

随着上网人数的增多,网络出口不可避免地出现拥堵现象,因此,需要进一步对网络应用进行分析,并制定有效的控制策略。

实时记录出口带宽使用情况,对恶意占用带宽的应用进行限制,确保基本应用的高效运行;

对网络流量进行监控,利用相关协议分析工具对网络应用进行深层坎的分析。

2.2信息安全建设规划

信息安全指保证系统中的信息不被破坏、不被窃取、不被非法复制和使用等。

2.2.1信息安全保障措施

通过一系列的措施,保证信息在传输和存储时的安全。

建立完善的实名上网制度,并且与各系统的日志配合,建立“上网ID+上网时间+上网IP+上网入”的一一对应关系;

建立合理的文件上传、审查制度,对关键数据采取数字签名技术,做到谁上传谁负责,安全事故责任到人;

对论坛、留言板等提供用户交流的版块加强监管力度。对有害和敏感信息进行监控;

数字校园关键服务器问数据传输采取加密方式,防止网络窃听、数据泄露等安全事故的发生;

对病毒邮件、垃圾邮件以及含有敏感信息的邮件进行过滤。

2.2.2数据安全建设

随着高校信息化建设的推进,各部门工作信息化的程度也将越来越高,如何保证数据安全,提高管理信息系统(MIS)的安全性是信息化过程中必须考虑的问题。

各部门需要制定MIS的相关管理制度:

制定MIS系统数据备份、灾难恢复方案;

定期对MIS漏洞进行修补。防止数据泄露。

2.3全局安全体系建设

根据对网络体系分层的概念,针对不同的层次制定不同的网络安全措施。做到有的放矢,从技术上实现检测、上报和控制一体化。例如锐捷公司提出的全局安全网络(GSN),如图2。

整合已建立的安全措施,增加针对上网用户的准入策略。在用户连入网络之前先进行客户端病毒及漏洞扫描,保证连入网络的客户端的安全性,从而最大限度地降低网络安全风险:

建立统一的安全管理平台(SMP),通过下发警告消息,下发修复程序,下发阻断或者隔离策略等手段智能处理安全事件。

篇3

(北京中油瑞飞信息技术有限责任公司北京100007)

摘要:通过对大中型跨国企业海外信息安全体系的研究,形成了一个完整的海外信息安全体系框架,包括安全策略、安全技术体系、安全管理体系、运行保障体系和建设实施规划等。依照该框架,企业可以针对各部分进行具体实施,从而完成整个的海外信息安全建设。

关键词 :大中型企业;信息安全体系;框架;理论指导;安全模型

1海外信息安全体系建设原则

大中型企业海外信息安全体系的建设,涉及面广、工作量大,整体设计必须坚持以下的原则,以保证建设和运营的效果。

1.1统一规划管理

要对信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设遵循一致的标准、管理遵循一致的规范。

1.2分步有序实施

信息安全体系建设的内容庞杂,必须坚持分步有序的实施原则,循序渐进。

1.3技术管理并重

仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性。信息安全体系的建设,必须遵循安全技术和安全管理并重的原则,制定统一的安全建设管理规范,指导安全管理工作。

1.4突出安全保障

信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。

2海外信息安全体系建设目标

大型跨国企业海外信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高企业信息系统的整体安全等级,为企业海外业务发展提供坚实的信息安全保障。

3海外信息安全体系框架

企业进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,使信息安全体系发挥最优的保障效果。

同时还应该制定一系列的安全管理规范,指导信息安全建设和运营工作,使得信息安全建设能够依据统一的标准开展,信息安全体系的运营和维护能够遵循统一的规范进行。

3.1安全目标模型

根据大型跨国企业海外信息安全体系建设目标和总体安全策略,建立与之对应的目标模型,称为WP2DRR安全模型。该模型由预警( Warning)、策略(Policy)、保护(Protectlon)、检测(Detection)、响应(Response)、恢复(Recovery)6个要素环节构成了一个基于时间的、完整的、动态的信息安全体系。WP2DRR模型在P2DR模型的基础上新增加了预警Warnlng和恢复Recover,增强了安全保障体系的事前预防和事后恢复能力,系统一旦发生安全事故,也能恢复系统功能和数据,恢复系统的正常运行。

安全目标模型是信息安全体系框架的基础,大型跨国企业的海外信息安全体系框架应该紧密围绕安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。

3.2信息安全体系框架组成

通过对企业的网络和应用现状、安全现状、面临的安全风险的分析,根据安全保障目标模型,制定了大型跨国企业海外信息安全体系框架。制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。

该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。此框架中,以安全策略为指导,融会了安全技术、安全管理和运行保障3个层次的安全体系,以达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。大型跨国企业海外信息安全体系框架的总体结构如图1所示。

3.2.1安全策略

在这个框架中,安全策略是指导,与安全技术体系、安全组织和管理体系以及运行保障体系这3大体系相互作用。一方面,3大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标。另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评佶、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。

按照要保障的资产对象的不同,总体策略划分为物理安全、网络安全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。

随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。

3.2.2安全技术体系

安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这3个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。

安全基础设施平台是以安全策略为指导,立足于现有的成熟安全技术和安全机制,从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,建立起的一个各个部分相互协同的完整的安全技术防护体系。

应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与备类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡向安全的信息系统应用体系。

统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。

3.2.3安全管理体系

安全组织和管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。

技术和管理是相互结合的。一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。在大型跨国企业海外信息安全体系框架中,安全管理体系的设计充分参考和借鉴了国际信息安全管理标准《BS7799 (IS017799)》的建议。

大型跨国企业海外信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。

3.2.4运行保障体系

运行与保障体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行和保障体系对于企业网络和信息系统的可持续性运营提供了重要的保障手段。

3.2.5建设实施规划

建设实施规划是在安全管理体系、安全技术体系、运行保障体系设计的基础上进一步制定的建设步骤和实施方案。在建设实施规划中突出体现了分步有序实施的原则。

任何信息安全建设都需要人员负责管理和实施,因此,首先应该建立信息安全工作监管组织机构,明确各级管理机构的人员配备,职能和责任。其中信息安全管理机构负责信息安全策略的审核与颁布、统一技术标准和管理规范的制定、指导和监督信息安全建设工作、对信息安全系统进行监控与审计管理。

信息安全体系建设,应该首先从物理环境安全建设入手,确保机房建设按照的统一标准进行建设,并且按照统一的管理规范进行管理。

在接下来的网络安全建设中,应对计算机网络的安全域进行划分,对网络结构进行调整,以确保内部网络与外部网络、业务网络与办公网络边界清晰;在各安全域的边界处部署防火墙、网络入侵检测等安全产品,形成立体的区域边界保护机制,对各安全域进行逻辑安全隔离,禁止未授权的网络访问;在内部网络中部署网络脆弱性分析工具,定期对内部网络进行检查,并采取措施及时弥补新发现的安全漏洞。

在进行网络安全建设的同时,还可以进行系统安全建设,在内部网络中全面部署网络病毒查杀系统,有效抑制计算机病毒在内部网络中传播,避免对系统和数据造成损害。另外,主机系统管理员还应该按照主机系统管理规范的要求,借助主机脆弱性分析和安全加固工具,定期对主机系统进行检查,更新安全漏洞补丁的级别,修正不当的系统和服务配置,查看和分析系统审计日志,控制和保证主机系统的良好安全状态。

应用安全建设包括建立身份认证系统、应用授权和访问控制系统、数据安全传输系统等,对专业业务应用系统和内部信息管理系统提供各种安全服务。

按照统一标准,建立安全审计与分析系统、系统和数据备份计划、安全事件应急响应计划、灾难恢复计划等安全保障机制,重在保护业务数据等信息资产,保证内外应用服务的持续可用性。

对所有员工进行基本安全教育,为信息安全系统相关技术人员提供专门的安全理论和安全技能培训,提高全员的安全意识,打造一支高素质的专业技术和管理队伍。

4结论

海外信息安全体系是一个全方位的体系,从技术到管理、从网络到设备再到人。任何一个方面都要考虑周全,只有每一个部分的安全才是整体的安全。

参考文献

篇4

关键词:公安信息化 网络安全 分析

中图分类号:D631.1 文献标识码:A 文章编号:1674-098X(2016)09(a)-0003-02

由于工业信息技术与软件的使用日益普及,公安信息化网络安全问题也日渐增多,网络安全问题不是纯粹的技术问题,是技术与管理的综合,而是一项复杂的系统工程。公安信息化是实现公安工作现代化的必由之路。公安信息网络的安全保障工作直接关系到公安工作的效率和成果。对公安信息网络实行分等级保护是保障公安信息网络安全的一个很好的方法。

全国公安信息化建设工作开展以来,各地公安信息化建设取得了一定的成果。各地的公安信息化建设成果的表现也不尽相同。2013年,秦皇岛成为全国首批“智慧城市”试点城市。秦皇岛公安信息化的建设与“智慧城市”的建设相互促进。该文运用文献查阅法、对比分析法、系y分析法等方法,对公安信息化、公安信息化建设、“智慧城市”等相关理论进行阐述。明确公安信息化概念、标志、特征以及重要意义;明确公安信息化建设的内涵、影响因素、建设内容以及评价内容;明确“智慧城市”的内涵、特征、应用以及“智慧城市”与公安信息化建设的关系。在相概观念明确的基础上,从秦皇岛市公安信息化建设的规划布局、基础网络建设情况(包括通讯网络、平安城市监控点、智能交通设施的建设)、公安应用系统建设情况(一、二、三级平台建设情况、数据研判平台、交通综合指挥平台、便民服务平台建设情况)、应急保障体系建设情况、保障体系建设情况(领导、组织、人才、资金)、服务实战及成效方面(高清视频监控系统、智能交通)进行现状分析,发现秦皇岛公安信息化建设在基础网络、应用平台体系、技术力量、体制建设等方面的问题以及复杂的挑战。

1 计算机网络安全体系结构的组成

计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等设备,用户可以搭建自己所需要的通信网络。对于小范围的无线局域网而言,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,目前广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以将驱动程序作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络持续稳定地运行,信息能够得已完整地传送,并得到很好保密。因此计算机网络安全涉及到网络硬件、通信协议、加密技术等领域。

2 信息安全管理

公安机关网络信息管理指的是公安机关工作人员通过规定的手段保证信息、数据、服务和通信的安全等。公安部门的安全管理系统是一个持续的过程,必须加以确定并不断审查。计算机网络安全系统作为公安机关的主要软件,并尽一切努力使公安机关网络信息更安全,同时提高公安系统工作人员的IT安全意识。网络安全解决方案和数据安全在公安领域也起到了至关重要的作用。加强信息的安全管理,防止各种信息的泄漏和窃取,有效打击各种形态的网络犯罪,已成为当前公安网络建设的重要课题。

3 数据安全

越来越多的设备连接到互联网,也受到常用办公操作系统的间接控制。如今网络入侵变得更有针对性,黑客只向配备关键安全功能的少数计算机发送恶意软件,通常是为了进行间谍活动。这意味着,病毒和特洛伊木马可以很长一段时间不被察觉,在被杀毒软件捕获之前已造成很大损害。因此,有效的数据保护措施必须提供全方位的深入保护。网络安全策略是网络安全计划的说明,目的是设计和构造网络的安全性,以防御来自内部和外部入侵者的行动计划及阻止网上泄密的行动计划。因此,建立网络的安全策略,应在建网定位的原则和信息安全级别选择的基础上制定。公安信息系统安全问题的解决依赖于技术和管理两方面,在采取技术措施保障网络安全的同时,还应建立健全网络信息系统安全管理体系,通过以上管理机制和技术措施的实施,提高网络安全性,降低网络安全事故的风险,保证网络长期平稳运行。

4 结语

社会信息化的发展给公共安全领域带来了机遇和挑战。敌对势力和不法分子利用信息技术的犯罪活动越来越多,公安机关在维护社会治安、打击违法犯罪活动中所涉及的业务信息量也在急剧地增加。在这种时代背景下,公安信息化建设显得十分重要。公安信息化建设非常有必要,并且具有深远意义。公安信息化是提高执法质量的必由之路,公安信息化有利于提高公安的工作水平,公安信息化有利于共享信息资源和情报,从而更好地打击犯罪。公安工作信息化的目标,就是通过大力推广应用现代电子信息技术,实现公安工作的信息共享、快速反应与高效运行。由此可见,众多的网络安全风险需要考虑,因此,公安部门必须采取统一的安全策略来保证网络的安全性。

参考文献

[1] 何姗.公安信息网络安全保障策略研究[J].信息安全与技术,2011(8):5-7.

[2] 尹晓雷,于明,支秀玲.公安内部网络安全问题及解决方法[J].信息技术与信息化,2010(1):18-22.

[3] 王众.秦皇岛市公安信息化建设研究[D].燕山大学,2015.

篇5

关键词:档案;信息安全;管理体系;

中图分类号:G270 文献标识码:A 文章编号:1674-3520(2015)-01-00-01

档案信息化是云计算环境下档案部门加快档案管理现代化步伐,实现档案信息资源共享,提高工作效率,加快档案事业发展的重要手段和基础。顺利推进云计算环境下档案信息化建设的前提是营造一个可靠的档案信息安全管理体系,所以构筑安全的档案信息管理体系,必将成为档案部门今后很长时期安全管理中不可忽视的课题。

一、建设档案信息安全管理体系的意义

提高员工信息安全意识,提升档案信息安全管理的水平,增强档案系统抵御灾难性事件的能力,是档案信息化建设中的重要环节,可大幅提高信息管理工作的安全性和可靠性。有效提高对信息安全风险的管控能力,使得信息安全管理更加科学有效。

(一)档案信息安全管理现状

中原油田系统内联网主要以局域网联接,属于油田二级单位的档案系统的网络环境是在油田骨干信息网络系统上建设自己的子系统,各类系统间相互独立,因此,档案信息化系统面临的威胁大体可分为两种:1、对网络中信息的威胁;2、对网络中设备的威胁。

(二)影响档案信息安全体系建设的威胁主要有二个方面:

1、外部隐患:计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。信息网络化使信息公开化、信息利用自由化,其结果是信息资源的共享和互动,任何人都可以在网上信息和获取信息,这样,网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。目前档案信息的不安全因素来自病毒、黑客、木马等方面。

2、企业局域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的信息或个人隐私信息存放在共享目录下,因此造成信息泄漏,甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。因此,网络安全不仅要防范外部网,更要防范内部网。一旦低级别的数据信息出现安全问题,将直接影响核心保密信息的安全完整。

二、建设档案信息安全管理体系的措施 通过细化档案内部相应的安全管理体系,采取集中控制、分级管理的模式

建立起完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的以预防为主的安全管理模式,从而在管理上确保全方位,多层次、快速有效的档案信息安全防护。

(一)外部入侵的防范措施

1、网络加密(Ipsec)IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对上层各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全基础,是网络安全核心。IPSec为网络数据传输提供了数据机密性、数据完整性、数据来源认证、抗重播等安全服务,使得数据在通过公共网络传输时,不用担心被监视、篡改和伪造。

2、防火墙。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,主要目标是通过控制进出网络权限,在内部和外部两个网络之间建立一个安全控制点,对进出内部网络的服务和访问进行控制和审计,防止外部网络用户以非法手段通过外部网络进入内部网络,访问、干扰和破坏内部网络资源。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效监视内部网络和Internet之间的任何活动,保证内部网络的安全。

(二)身份认证是网络安全的关键

1、网络安全身份认证是指登录计算机网络时系统对用户身份的确认技术。是网络安全的第一道防线,也是最重要的一道防线。黑客攻击的目标往往就是身份认证系统,一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。

2、访问控制是保证信息安全的重要措施。访问控制决定用户可以访问的网络范围、使用的协议、端口,能访问系统何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据,根据授予权限限制其对资源的利用范围和程度。

三、建立部门信息员体系,强化事件管理与应急管理机制

档案系统应在所属各部门内部设立兼职信息员管理网络,当系统发生安全事件时,能够及时为应用业务提供保护,并严格按照相关程序,谨慎披露安全事件信息,避免不良影响。

计算机受故障影响、遭受病毒等攻击是不可能完全避免的,部门信息员能在第一时间向所属信息部门上报网络安全情况,并能够按应急方案,处理流程,采取相应的技术措施将网络安全隐患化解。

在部门设立信息员还可以定期对应急计划相关的备份与恢复流程进行可靠性测试,并可有的放矢的对三级单位网络关四、加强安全教育培训,深化档案系统内部管理

(一)定期对信息系统运行、使用和管理的管理人员和技术人员进行培训,主要内容包括安全事件和安全案例分析总结、安全价值观、国家相关法律法规、国际国内标准、种类安全战略、安全制度、网络和主机设备安全配置管理、网络攻击与防御、安全体系、防病毒技术、入侵检测技术、安全管理技术、防火墙技术、认证与加密技术等。

(二)加强人员安全管理,特别是信息管理系统用户的管理和核心运行维护人员的管理。对于关健岗位人员要进行技术类、个人技能类和安全价值观的培训。对一般计算机系统用户进行基本安全技能和安全文化教育。

篇6

【关键词】企业网;信息化;信息安全

1前言

随着计算机的网络化和全球化,信息已经成为企业竞争的重要资源之一,然而,商业黑客、病毒、恶意攻击等会对企业造成了巨大的危害和损失。面对病毒肆虐,黑客侵扰,泄密及窃密等造成的巨大损失,企业唯有持续实施信息安全整体解决方案,才能确保利用网络获取和传递信息的安全。

2信息化面临的隐患和问题

近年来不断进行信息化建设,网络覆盖范围逐年扩大,应用系统越来越多信息化所面临的隐患和问题也越来越多。

2.1弱口令现象屡禁不止

弱口令一般是指容易被别人猜测到或被破解工具破解的口令。其中包括仅包含简单数字和字母的口令,例如“123”、“abc”、本人生日、固定电话、手机号码等。因为这样的口令很容易被别人破解,形成信息泄露、远程控制等,从而使用户的计算机面临风险。

2.2普遍缺乏高危漏洞修补能力

高危漏洞是指风险等级最高的一类漏洞,极易被黑客利用,导致计算机被远程控制。

2.3私搭乱建互联网出口现象严重

企业存在内网自建互联网出口、虚拟私有网络接入(VPN)、无线网络和卫星通信系统等现象,私建出口扩大了内网在互联网上的受攻击面,提供了攻击通道,降低了企业网整体安全防护水平。

2.4网络安全运维能力较弱各

单位普遍缺乏网络安全专职人员,设备运维人员网络安全能力不足、对资产掌握不全面不清晰,缺少基本的网络安全检查工具。一些单位甚至存在僵尸服务器,长时间无人使用无人维护,形成重大安全隐患。

3企业网信息安全解决方案

针对以上隐患和问题,通过三部分建立相对比较安全的企业网信息安全网络,即网络防火墙、核心交换机、客户终端。

3.1部署网络防火墙

使用硬件防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。硬件防火墙还可以提供多种网络管理监控的方法,协助网络管理员完成网络的安全管理。硬件防火墙的主要安全功能如下:(1)ASPF(ApplicationSpecificPacketFilter)是针对应用层的包过滤,即基于状态的报文过滤。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。(2)防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。(3)防火墙通过多种方式来保护内部网络的地址安全性,防范发自内部网络的攻击,保护的内部网络安全。包括MAC和IP地址绑定、ARP欺骗检查、ARP反向查询。(4)防火墙提供针对应用协议的访问控制能力,对应用层协议进行分析,通过防火墙提供的HTTP协议过滤提供对HTTP网址过滤和网页内容过滤,可以有效的管理员工上网的行为,提高工作的效率,节约出口带宽,保障正常的数据流量,屏蔽各种“垃圾”信息,从而保证内部网络的“绿色环境”。

3.2核心交换机

核心交换机支持许多路由协议,其主要功能是进行数据交换和路由,同样,一些交换机也支持像ACL(访问控制列表)这样的防火墙功能。针对企业网中出现的网络IP地址盗用问题,在核心交换机上对受保护计算机的IP和MAC进行绑定,使盗用IP的用户无法访问企业网;添加部分服务器、工控机、计算机等设备到ACL(访问控制列表),只允许指定的网段进行访问,实现部分访问控制功能。ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。

3.3加强终端设备信息安全

对于服务器、计算机、工控机等终端设备,采用以下安全措施:(1)修补高危漏洞。使用计算机或服务器搭建系统漏洞扫描和修复软件,为企业网内的客户端计算机下载和修复系统漏洞,如360安全卫士企业版。(2)设置强口令。每一台终端设备的开机密码和各种应用系统都需要设定12位以上强口令密码,包含数字、字母、符号等。(3)身份管理与统一认证系统。部署实施身份管理与统一认证系统,该系统利用US-BKEY和PIN码双重认证方式,实现重要应用系统的用户身份统一安全认证,保证系统访问的安全性。

4结论

随着数字化、办公网络进程的不断推进,信息安全体系建设的重要性将更加突出。伴随着信息安全技术的不断发展,信息安全体系建设也将是一个不断完善的过程。本文通过分析我厂信息化面临的隐患和问题,针对性的提出解决策略,构建相对比较安全的企业网信息安全体系,促进企业信息化的发展。

参考文献

[1]成凯.透视虚拟化技术[J].软件世界,2007(11).

篇7

【 关键词 】 信息安全;规划;规范;完善;信息系统

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

(Information Security Department of the Patent Office Beijing 100088)

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis, for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect, standardization of information security system provides some reference opinions.

【 Keywords 】 information security; planning; specification; perfect; information system

1 引言

在当今全球一体化的环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形势,世界各国高度重视信息安全保障。2015年已然过半,在安全行业,不同规模的攻击者,无论是技术还是组织都在快速提升。相比之下美国信息安全保障体系建设比较完善,信息保障已成为美军组织实施信息化作战的指导思想。

国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有几个:ISO(国际标准化组织)、IEC(国际电工委员会)、ITU(国际电信联盟)、IETF(Internet工程任务组)等。除了上述标准组织,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。

2 国外IT新技术信息安全

随着全球信息化浪潮的不断推进,信息技术正在经历一场新的革命,使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现,对信息安全提出了新的要求,拓展了信息安全产业的发展空间。同时,新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全技术创新速度,催生云安全等新的信息安全应用领域,为国外企业与国际同步发展提供了契机。

2.1 云计算

“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用,已经在反病毒软件中取得了广泛的应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全联盟CSA是在2009年的RSA大会上宣布成立的,云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。同时云安全联盟列出了云计算的七大安全风险:(1)数据丢失/泄漏;(2)共享技术漏洞;(3)内部控制;(4)账户、服务和通信劫持;(5)不安全的应用程序接口;(6)没有正确运用云计算;(7)透明度问题。

2.2 虚拟化

咨询公司Gartner将虚拟化技术列为2013年十大战略技术第一位,而在2014年初预测中,更是大胆断言到2015年20%的企业将不再拥有IT资产,因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产,这些趋势主要是虚拟化、云计算服务等。而虚拟化技术,作为云计算的一个支撑技术,必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少,但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类:逃逸威胁、流量分析与隐蔽信道以及Host OS与Guest OS之间的共享问题。

2.3 物联网

物联网和互联网一样,都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统,其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的,这些特殊的安全问题主要有几个方面:(l)物联网机器/感知节点的本地安全问题;(2)感知网络的传输与信息安全问题;(3)核心网络的传输与信息安全问题;(4)物联网应用的安全问题。

2.4 IPv6

为适应Intemet的迅速发展及对网络安全性的需要,由IETF(The Internet Engineer Task Force)建议制定的下一代网际协议(IPNextGeneration Protocol,IPng),又被称为IP版本6(1Pv6),除了扩展到128位地址来解决地址匮乏外,在网络安全上也做了多项改进,可以有效地提高网络的安全性。

由于IPv6与IPv4网络将会,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞,例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。

3 国外信息安全发展趋势

据Gartner分析,当前国际大型企业在信息安全领域主要有几个发展趋势:(1) 信息安全投资从基础架构向应用系统转移;(2)信息安全的重心从技术向管理转移;(3)信息安全管理与企业风险管理、内控体系建设的结合日益紧密;(4)信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势,国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型,着力建立全面的企业信息安全体系架构,使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。

4 国外信息安全总结

信息安全在国外已经上升到了国家战略层次,国外的信息安全总体发展领先于国内,特别是欧美,研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多,都有其适用范围和缺点,并不完全符合我国现状,可选取框架的先进理念和组成部分为我国所用,如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。

5 国内信息安全综述

目前,国家开始高度重视信息安全问题,以等级保护和分级保护工作为主要手段,加强我国企事业单位的信息安全保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态,信息与网络安全,目前处于忙于封堵现有信息系统的安全漏洞,要解决这 些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。

6 国内信息安全标准

国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)、中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。

在信息安全标准方面,我国已了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安全技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准,初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。

7 国内IT新技术信息安全

7.1 云计算

目前我国的云计算应用还处于初始阶段,关注的重点是数据中心建设、虚拟化技术方面,因此,我国的云安全技术多数集中在虚拟化安全方面,对于云应用的安全技术所涉及的还不多。虽然当前众多厂商提出了各种云安全解决方案,但云安全仍处于起步阶段,除了可能发生的大规模计算资源的系统故障外,云计算安全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据、迁移、传输安全、灾备等问题。

7.2 虚拟化

由于虚拟化技术能够通过服务器整合而显著降低投资成本,并通过构建内部云和外部云节省大量的运营成本,因此加速了虚拟化在全球范围的普及与应用。目前许多预测已经成为现实:存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云计算的方向大步迈进、管理工具比以往更加关注虚拟数据中心。在虚拟化技术应用方面,企业桌面虚拟化、手机虚拟化、面向虚拟化的安全解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步,发展势头比之前预想的还要迅猛。

7.3 IPv6

我国IPv6标准整体上仍处于跟随国际标准的地位,IPv6标准进展与国际标准基本一致,在过渡类标准方面有所创新(如软线技术标准和 IVI技术标准等),已进入国际标准。中国运营企业在IPv6网络的发展,奠定了中国在世界范围内IPv6领域的地位,积累了一定的运营经验。但总体来看,我国IPv6运营业发展缓慢,主要体现在IPv6网络集中在骨干网层面,向边缘网络延伸不足,难以为IPv6特色业务的开发和规模商用提供有效平台。此外,由于运营企业积极申请IPv4地址,或采用私有地址,对于发展IPv6用户并不积极,直接影响了其他产业环节的IPv6投入力度。

8 国内信息安全发展趋势

随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增,应用安全日益受到关注,主动防御技术成为信息安全技术发展的重点。

第一,向系统化、主动防御方向发展。信息安全保障逐步由传统的被动防护转向"监测-响应式"的主动防御,产品功能集成化、系统化趋势明显,功能越来越丰富,性能不断提高;产品问自适应联动防护、综合防御水平不断提高。

第二,向网络化、智能化方向发展。计算技术的重心从计算机转向互联网,互联网正在逐步成为软件开发、部署、运行和服务的平台,对高效防范和综合治理的要求日益提高,信息安全产品向网络化、智能化方向发展。网络身份认证、安全智能技术、新型密码算法等信息安全技术日益受到重视。

第三,向服务化方向发展。信息安全内容正从技术、产品主导向技术、产品、服务并重调整,安全服务逐步成为发展重点。

9 国内信息安全总结

国内的信息安全较国外有一定距离,不过也正在快速赶上,国内现在以等级保护体系和分级保护体系为主要手段,以保护重点为特点,强制实施以提高对重点系统和设施的信息安全保障水平,国内的信息安全标准通过引进和消化也已经初步成了体系,我国在规划时,需考虑合规因素,如等级保护和分级保护。国内的信息安全体系框架较少,主要是等级保护和分级保护,也有国内专家个人推崇的框架,总体来讲,以合规为主要目的。

参考资料

[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.

[2] 公安部,国家保密局,国家密码管理局,国务院信息化工作办公室.信息安全等级保护管理办法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report,2012.

[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April, 2006.

篇8

关键词:交通运输;安全保障;解决方案

引言

电子政务信息安全问题 电子政务是一个基于现代信息技术的综合性政务信息系统,涉及政府机关、各团体、企业和社会公众,其基本框架一般来说主要包括政府办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库四个部分,即“三网一库”。我国早在2002年7月《关于我国电子政务建设指导意见》中,明确“把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化”,2006年进一步在《2006-2020年国家信息化发展战略》中明确“电子政务”作为我国信息化发展的重点战略,实现政府“改善公共服务,加强社会管理,强化综合监管和完善宏观调控”。

1.我国交通运输电子政务平台发展现

2004年2月,交通部在其制定的《中国交通电子政务建设总体方案》中,提出了“交通政务内网、交通政务外网和电子信息资源库”的交通电子政务建设总体架构,同年12月又出台了《交通运输电子政务网络及业务应用系统建设技术指南(试行)》。在政策的指导下,我国交通电子政务平台的发展速度加快,交通电子政务平台的基础架构已经凸显规模,部(交通运输部)省(各省道路运输管理部门)道路运输管理信息系统建设,已实现了20多个省(区、市)运政系统与部联网,纵向业务系统互联互通、资源共享、整合利用的模式已初步建立。与此同时,交通电子政务平台的信息化标准规范体系也得到进一步完善。目前,网络“开放性”与政务“安全性”、网络“可访问性”与政务“稳定性”是我国交通电子政务实施过程的两大矛盾。

1.1安全性与开放性的矛盾

即电子政务的安全要求与电子政务平台的开放性要求成为交通电子政务实施过程中最难以平衡的一对矛盾。如何把握政务“安全”与网络“开放”的平衡,一方面要把握住哪些信息是交通政府部门的机密,哪些是开放;另一方面,在电子政务平台的建设过程中如何摆脱“安全绝对化”倾向,否则电子政务服务的公众性就会失去落脚点,以政务信息化带动社会信息化、企业信息化的战略意图也将难以实现。

1.2安全性与可访问性的矛盾

电子政务的安全性要求与电子政务平台的可访问性要求成为交通电子政务实施过程中另一对矛盾。电子政务平台应重视其信息安全问题,其另一层含义还应注意保持网络安全性与可访问性之间的平衡。交通电子政务平台必须易于访问,这样才能激励公众去使用它。而在提供了更好的可访问性的同时,也将交通运输的数据暴露在不断增长的病毒及未授权访问的威胁之下,导致政务平台的不安全性。

2.我国交通运输电子信息安全保障体系的构建

当前我国交通电子政务实施过程的两大矛盾的解决,依赖于安全、稳定、可靠的交通运输电子政务平台信息安全保障体系。对于电子政务平台实施过程中所面临的信息安全保障问题,我国早在2003年9月颁发的《关于加强信息安全保障工作的意见》中明确提出了建立等级保护制度和风险管理体系的要求。2004年11月,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。交通运输部也于2008年12月颁布的《交通运输电子政务网络及业务应用系统建设技术指南》中对交通电子政务平台的安全保障体系作了详细的技术规范。

2.1信息安全保障体系及其基本要求。信息安全保障体系的基本要求主要体现在以下几个方面:

保密性。主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。

完整性。主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。

可用性。主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。

可控性。主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。

不可否认性。主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。

2.2安全组织体系。政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。

2.3 安全技术体系。交通电子政务平台的安全技术体系可搭建专业的安全管理运营中心,并从基础设施安全和应用安全两个方面去搭建安全技术支撑体系。

2.4安全运营体系。安全运营体系是一个完整的过程体系,在交通电子政务平台的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若交通电子政务平台其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。

2.5 安全策略体系。网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,全面科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护。

2.6安全保障对象。交通电子政务平台,其保障对象应该以由交通运输政务内网所承担着的政务信息传输作为其重中之重,包括交通运输系统内部日常办公业务和公文流转系统、政务信息报送系统、部长办公系统、内部数据共享平台,与全国政府系统业务网络连接等。

篇9

一、加强档案安全保障体系建设的重要性

(一)档案安全保护被赋予了新的内涵,可读性(有效性)成为继真实性、完整性、保密性之后数字档案保护的应有之义。不能为人直接识读的数字档案具有对其生存环境的依赖性,如何确保不同生成环境下档案信息的可读、可用,尤其是在不同技术平台上生成的数字档案的“透明”共享,是当下档案保护的一大难题;同时,技术的推陈出新,计算机软硬件环境的频繁升级,意味着数字档案在其漫长的生命历程中必须不断迁移其技术环境,由此带来了迁移过程的安全性以及迁移后数字档案的有效性问题。

(二)数字档案保护遭遇了前所未有的挑战。一方面,如何维护数字档案的真实、完整,实现数字档案的长久保管成为一个世界性难题。InterPARES项目、美国的ERA10多年致力于这一领域的研究,但至今仍未获得理想的结果。另一方面,数字网络环境下,档案信息置身于一个充满更多威胁、更大风险的利用空间,黑客攻击、网络窃听、程序漏洞、病毒危害、操作失误等均可能造成档案的失密、篡改和非法利用,因而必须采取更为严密、可靠的安全保护措施。

(三)近年来频发的自然与人为灾害,提升了社会的档案灾备意识。档案作为社会活动的记忆和人类知识的储备,在实体资源遭受毁坏时,可以帮助人们及时复原再造,恢复生产,但若档案自身遭受严重损毁,则造成的损失将是毁灭性的。汶川、玉树地震、舟曲泥石流、南方洪涝灾害等给档案界敲响了防灾容灾的警钟,风险评估、应急灾备已成为抵御灾害侵袭,保障档案安全的必要对策。

(四)国内信息安全的严峻局势,对档案信息及其管理系统的安全构成很大威胁。在信息化发展过程中,由于核心技术仍受制于西方,我国的信息安全形势十分严峻,曾有官方报告指出,国内90%的信息设施存在安全隐患。档案信息因其特殊价值而有可能成为国内外敌对势力窃取的目标,国际舞台上不断上演的间谍门事件提醒我们,必须重视档案信息及其管理系统的安全性。

二、档案安全保障体系建设的现状

(一)档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。

(二)档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。从事黑客的人或组织可能会不断地寻找档案网络系统上的的漏洞,以潜入档案信息系统。一旦网络被人攻破,机密的数据、资料可能会被盗取,网络可能会被损坏,给我们的工作带来难以预测的损失。另外,世界上每天都有新的计算机病毒产生,同样会威胁档案网络的安全。

(三)各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。

三、完善档案安全保障体系的得力措施

(一)抓好宣传,增强意识。要建立完善档案安全体系建设,必须切实加强档案安全的宣传教育,增强全社会的档案意识,将档案保护意识融入档案的价值论中,提高全社会的档案保护意识,营造科学发展的档案安全保护环境;要依托档案业务活动和围绕重大安全事件、热点问题策划宣传活动,不断丰富档案宣传的内涵;要改变档案安全宣传只在档案行业内部宣传的现状,重视对外宣传工作,增强全社会对档案安全的重视和支持;要不断拓展档案宣传的范围与形式,通过多种途径档案安全信息,举办纪念座谈会,邀请领导撰写文章或发表电视电话讲话,制作广播电视专题节目等多种形式,针对不同层面的人群进行宣传,有效地扩大宣传的受众面,不断扩大档案宣传的影响与实效。

(二)领导重视,完善制度。档案安全是档案工作的重中之重,必须积极争取领导的高度重视与支持,始终把档案安全工作作为大事、要事来抓,牢固树立“责任重于泰山,防范高于一切”的工作理念;要落实好档案安全领导负责制,落实好档案管理安全责任制,坚持领导查库制度,将档案安全工作落到实处,要把节假日值班保卫制度落实到人,认真巡查做好记录,并对案卷的数量、质量、霉变情况进行检查;要保证档案管理工作所需人力、物力、财力,配备德才兼备的档案人员,不断改善档案保管条件和环境,添置档案管理必需的设施设备,对已配备设施设备,如档案柜、防盗门窗、电源电线等经常进行完好率检查,并安排专人落实、做好档案库房的“八防”和电子、纸质等各种档案的保密工作,切实保障档案安全工作的顺利开展。

篇10

关键词:网络信息安全;等级保护

中图分类号:TP311 文献标识码:A文章编号:1007-9599 (2011) 14-0000-02

The Public Security Frontier Forces Information Security Construction Discussion

Jiang Haijun

(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)

Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.

Keywords:Network information security;Level protection

随着科学技术和边防部队勤务工作的深入发展,信息化建设已成为提高边防执法水平的有力途径,全国边防部队近年来已基本实现信息资源网络化。但是,紧随信息化发展而来的网络安全问题日渐凸出,给边防部队管理工作带来了新的挑战,笔者结合边防部队当前网络安全工作实际,就如何构建全方位的网络安全管理体系略陈管见。

一、影响边防部队信息网络安全的主要因素分析

(一)物理层的安全问题。构成网络的一些计算机设备主要包括各种服务器、计算机、路由器、交换机、集线器等硬件实体和通信链路,这些设备分向在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起网络的瘫痪。物理安全是制定区域网安全解决方案时首先应考虑的问题。

(二)计算机病毒或木马的危害。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响网络安全的丰要因素。新型的木马和病毒的界限越来越模糊,木马往往借助病毒强大的繁殖功能使其传播更加广泛。

(三)黑客的威胁和攻击。现在各类打着安全培训旗号的黑客网站不胜枚举,大量的由浅到深的视频教程,丰富的黑客软件使得攻击变得越来越容易,攻击者的年龄也呈现低龄化,攻击越演越烈。黑客入侵的常用手法有:系统溢出、端口监听、端口扫描、密码破解、脚本渗透等。

二、边防部队信息网络安全的特征分析

(一)网络安全管理范围不断扩大。从工作点来看,网络覆盖范围已从机关直接深入到基层一线,从机关办公大楼到沿边沿海的边检站、派出所。凡是有网络接入点的地方,无论是物理线路还是无线上网点都必须进行网络安全管理,点多线长,情况复杂;从工作环节来看,从设备的选购、网络的组建、专线的租用到日常网络应用,从设备维护保养、设备出入库到送修和报废,无一不涉及到网络信息安全,网络安全已渗透到工作的每一个环节。如:某单位被通报发现违规事件,经调查,结果是有人将手机接上公安网计算机充电,而该手机正在无线上网。

(二)安全管理对象类型复杂多样。目前,公安信息网、互联网、业务专网、机要专网在日常工作中频繁使用,成为管理的难点。同时,公安网上各类使用中的网络安全管理软件系统应用有待深化,一些网络管理软件使用功能仅停留在表层,未能成为得力工具。

(三)网络安全问题不断翻新。目前互联网、公安网、业务网、网四种网络必须物理隔离,禁止交叉使用移动存储介质,但四种网络的信息资源在一定范围内却必须共享交流。曾经出现过这种情况,某单位人员在互联网上建立论坛,发表不健康言论,触犯边防部队管理条例。究其原因,是因为我们的网络安全工作一直以来是局限在公安网内部,尚未随着网络应用发展趋势扩展到互联网的管理上。

三、边防部队信息网络安全的技术分析

网络安全产品的自身安全的防护技术网络安全设备安全防护的关键,一个自身不安全的设备不仅不能保护被保护的网络而且一旦被入侵,反而会变为入侵者进一步入侵的平台。

(一)虚拟网技术。虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

(二)防火墙技术。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

(三)病毒防护技术。病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。在防火墙、服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

(四)入侵检测技术。利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够。需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案;在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。

四、边防部队信息网络安全管理体系的对策

网络安全是一个范围相对较大的概念,根据具体的实际情况组成不同安全管控层次或等级的网络系统,既是网络实际发展应用的趋势,更是网络现实应用的一种必然。

(一)提高多层次的技术防范措施。按照网络实际应用中出现故障的原因和现象,参考网络的结构层次,我们可以把网络安全工作的对象分为物理层安全、系统层安全、网络层安全和应用层安全,不同层次反映不同的安全问题,采取不同的防范重点:一是确保物理环境的安全性。包括通信线路的安全、物理设备的安全、机房的安全等。在内网、外网共存的环境中,可以使用不同颜色的网线、网口标记、网口吊牌来标记区分不同的网络,如灰色的公安网专用,红色的互联网专用,黄色的网专用。二是确保软硬件设备安全性。必须预备一定的备用设备,并定期备份重要网络设备设置。对待报废的各类存储类配件,一定要进行消磁处理,确保信息安全。三是提供良好的设备运行环境机房要有严格的防盗、防火、防潮、防静电、防尘、防高温、防泄密等措施,并且有单独的电源供电系统;安装有计算机的办公室要有防尘、防火、防潮、防泄密等措施,电源要符合计算机工作要求。四是完善操作系统的安全性必须设置系统自动升级系统补丁。五是加强密码的管理。存取网络上的任何数据皆须通过密码登录。同时设制复杂的计算机开机密码、系统密码和屏保密码。

(二)建立严格的网络安全管理制度。严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低安全漏洞。我们应通过制度规范协调网络安全的组织、制度建设、安全规划、应急计划,筑起网络安全的第一道防线。

(三)合理开放其它类型的网络应用。目前,很多单位都建立了警营网吧,给官兵提供良好的学习娱乐平台,这种情况下就必须把互联网的网络安全工作纳入安全工作范围,采取多种方法,规范和引导官兵进行互联网的应用,合理开放所需的应用功能,有效控制不合理的功能应用。目前,边防部队的信息网络安全技术的研究仍处于起步阶段,有大量的工作需要我们去探索和开发。公安部已在全国范围内大力推进信息网络安全工作,相信在大家的共同努力下,边防部队将建立起一套完整的网络安全体系,确保信息网络的安全,推动边防部队信息化高度发展。

五、结论

网络信息安全系统建设完成后,将实现信息系统等级保护中有关数据安全保护的基本要求和目标,尤其是应用密码技术和手段对信息系统内部的数据进行透明加密保护。网络信息安全系统还为单位内部机密电子文档的管理提供了一套有效的管理办法,为电子文档的泄密提供了追查依据,解决了信息系统使用方便性和安全共享可控制的难点,为部队深化信息化建设提供技术保障。网络信息安全系统能够有效提高单位的数据安全保护等级,与其他信息系统模块协调工作,实现了资源的整合和系统的融合,形成一个更加安全、高效、可控、完善的信息系统风险监控与等级保护平台,提高了部队内部核心数据,特别是对内部敏感电子文档的安全管理,随着系统的不断完善和扩大,将对部队内部网络和信息系统的安全保护发挥更大作用。

参考文献: