数据安全体系建设范文
时间:2024-02-04 17:54:09
导语:如何才能写好一篇数据安全体系建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
近几年,信息泄漏事件频发,数据安全将迎来巨大的挑战,尤其是涉及师生个人隐私的数据及涉密数据应进行重点保护。数据平台是高校日常信息管理的重要阵地,为高校的正常工作提供有力的数据支撑,保障信息数据的安全,提高系统的稳定性,为学校师生提供来源可靠、准确无误的基础数据,避免或减少数据损坏、丢失是高校信息安全工作的头等大事儿。
1 利用数据平台管理信息是高校发展的必然趋势
高校数据的采集、录入、存储、提取工作较为频繁,将数据信息上传至数据平台,方便信息的整合共享、反复交叉利用,将大量结构复杂、类型各异的数据汇集在一起,为高校的数据汇总、统计分析、信息共享、发展规划提供了准确详实的数据基础,促进高校信息管理的数字化,为建设智慧校园打开方便之门。归纳分析数据平台信息管理的优势有以下几点:
1)信息数据的上传、查询、检索、管理等操作不限时间、地点。
只要能上网信息数据就可以上传收集到数据平台,支持电脑、手机、ipad等各种终端设备随时随地查询、检索数据信息,校内可以通过学校内部网络,校外可以通过VPN等方式访问获取数据。
2)为统计分析提供了数据支持
高校通过大数据的统计分析可以有针对性的调整招生计划、专业设置、就业方向,不断完善办学理念,开拓办学思路,为学校的前途发展、决策制定、人才需求分析提供了数据支持。
3)推动高校数字化的进程
高校数字化是智慧校园建设的前提,推动高校云服务、网络教学、慕课等教学形式的发展,提高学校的教学水平,为学校进一步发展网络教学提供了技术支持。高校数字化对社会发展起到引领作用,促进地方经济建设,提高地方数字化水平。
4)提升高校信息管理和服务水平
借助数据平台实现数据共享,多部门共享数据信息,提高信息管理的效率,使学校的管理和服务水平又上新台阶。由此可见,通过数据平台进行信息管理是大势所趋,而数据平台的安全保障工作成了重中之重。
2 数据平台信息的安全问题及防范措施
2.1 物理环境安全
物理环境安全主要指数据机房的温度、湿度等物理环境以及静电、磁场干扰等因素的影响,高职院校数据中心应按照相应的安全等级建设,中央机房的建设应考虑将来在发展过程中可能遇到的问题。
2.2 硬软件环境安全
硬件安全是指数据中心设备的安全,包括服务器、存储、网络设备等,中央机房的硬件维护应有专人负责,定期查看硬件运行是否稳定,是否有过热、风扇故障或其他问题出现,对硬件进行必要的维护是保证学校工作正常进行的前提。
软件安全是指服务器中各软件及组件的正常使用,利用虚拟化软件合理配置服务器资源,对存储系统、灾备系统及网络设备等进行有机整合,通过对web环境配置、服务器环境搭建、防火墙、常用组件、数据库等系统的调试运行,满足用户数据上传、存储、检索、提取、共享等各项日常工作需要。
2.3 常见的信息安全问题
2.3.1 病毒攻击、黑客入侵问题
高级可持续性威胁(APT)通过网络漏洞入侵、分布式拒绝服务(DDoS)、Phishing、Botnet、木马、恶意代码等网络攻击。一些不怀好意的黑客入侵计算机系统,窃取或是篡改用户的个人信息和重要数据,给用户带来严重危害[1]。我们应定期扫描系统安全漏洞,安装服务器补丁并定时更新防火墙病毒库,提高系统的防御能力。
2.3.2 数据信息的完整性保护
通过终端审计、身份认证、分级管理、行为追踪等措施,确保数据信息的完整性、真实性、一致性,保护数据信息的可控性及可用性。
2.3.3 数据信息泄漏
近年来,数据信息泄漏事件呈上升趋势,个人隐私泄漏、盗取敏感数据等事件频发,通过数据加密技术、信息访问权限的控制、安全审计等措施防止数据泄漏。
2.3.4 数据中心抗风险能力有待提高
数据平台的稳定性是由系统自的完备程度决定的,系统容灾、冗余备份工作不够完善,对风险的认识不够充分,出现问题的时候就会造成较大范围的损失,提高风险意识,加强系统管理,提升数据平台的抗风险能力。
3 安全管理策略
3.1 数据安全策略
数据可以通过加密来保证数据的安全性,有必要也可以采用动态加密技术。为保障数据传输安全,从外网访问高校数据平台信息,可以通过VPN、PPTP等方式访问。
3.2 日志管理策略
服务器、防火墙及网络软件在运行过程中都会产生日志,用来记录自身运行情况、相关事件的发生时间及有价值的信息,加强日志的记录管理,通过收集、存储、汇总、分析等方法及时发现操作系统及网络的异常,利用日志监控系统、审计行为、分析原因并生成调查报告。
3.3 权限设置策略
根据管理级别,设置管理权限,高级权限有?L问、下载、管理数据权限,低级权限仅可以查看及部分操作与自己工作相关的信息。对于已提交审核确认后的内容仅有访问权,没有修改权,如学生成绩管理,教师在规定时间上传完学生的期末成绩之后,就只能查看成绩而不能修改,而学生只有查看权限。
3.4 密钥管理策略
密钥可与权限同步设置,通过密钥管理一方面可以识辨人员身份,另一方面可以实行上网人员的权限控制,防止非法人员访问系统。
3.5 行为管理策略
信息管理人员的行为从认证开始,辨识身份,监控行为,发现有病毒、木马、恶意程序等或涉及信息安全行为的账号要果断采取有效措施,并追踪来源,查找原因,避免此类事件再次发生。
4 信息安全保障体系建设
4.1 病毒防治
病毒入侵会导致数据信息被?阂獯鄹摹⑺鸹怠⒍?失,病毒的扩散传播会造成系统大面积瘫痪,对软硬件环境安全构成威胁。我们不但要提高防毒意识,还要加强防控技术水平。
4.1.1 提高系统的防护能力
检测系统漏洞,及时安装漏洞补丁,扫描病毒及木马,通过入侵检测防御系统(IDS)进行主动的安全防护,加强防御与入侵检测工作,提高系统的健壮程度,增强系统稳定性。
4.1.2 防止网络攻击及黑客入侵
通过防火墙阻断外部病毒的入侵,防火墙可根据实际需要采取不同技术,如过滤型防火墙、型防火墙,同时提高校园内网使用者的安全意识,防范来自内部的攻击,避免病毒通过内网上传平台。
网络安全不仅需要技术上的进步,同时需要通过规范制度、人员培训、责任落实等手段齐抓共管。
4.2 规章制度建设
建立健全完善的数据机房管理制度,责任落实到人头,定期对系统进行漏洞查找,安装系统补丁、更新病毒库。为避免人为因素的影响,对工作人员进行定期培训及安全教育,对上网人员进行实名身份认证管理,并进行行为跟踪。建立上网账号数据库,禁止非法访问,保证数据信息的安全。
4.3 安全管理体系建设
相关管理部门制定安全策略和管理制度,认真做好安全管理组织工作,加强工作人员的安全管理,提高信息管理人员的安全责任意识,经常进行信息安全管理的业务培训,提高安全管理的执行能力。
4.4 安全技术体系建设
通过识别用户身份、访问权限、行为控制等策略营造安全的平台信息环境,过滤网络信息,打造安全的区域边界。为防止网络入侵、非法访问、恶意代码攻击等行为,采取漏洞扫描、安全检测、物理隔离、升级防火墙等技术,支持系统安全测评、风险测评体系,防范信息篡改、假冒等事件发生。
4.5 数据安全体系建设
在保证供电的基础上,高校数据中心可采用一用二备或三备的配置,并对重要数据定期备份。在容灾备份技术的选择上可以根据实际采用双归属技术或IuFlex技术,如1+1主备或互备,有条件的也可以采用N+1主备或互备。一旦出现问题,数据备份可以减少处理问题的时间,及时解决问题并降损。
4.6 运行维护体系建设
信息的安全维护体系建设是系统安全稳定运行的有力保障,控制访问、鉴别认证、监控数据、安全管理、系统配置等大量工作提前做好,才能使信息资源规避风险,减少损失,定期安装补丁,检查接口安全,利用数据加密技术应对黑客窃取数据或各种攻击性行为。
4.7 应急处理方案
准备切实可行的应急处理预案,确保出现问题时第一时间做出反应,减少损失,尽快处理出现的问题。备服的安全管理也应同步进行,数据热备份,做好应急预案,防止出现问题时忙中出错。
篇2
关键词:智能电网 信息安全 防护体系 可信平台
中图分类号:F49 文献标识码:A 文章编号:1007-3973(2013)012-212-02
1 引言
随着智能电网建设步伐的推进,更多的设备和用户接入电力系统,例如,智能电表、分布式电源、数字化保护装置、先进网络等,这些设备的应用使电网的信息化、自动化、互动化程度比传统电网大大提高,它们在提升电网监测与管理方面发挥了重要作用,但同时也给数据与信息的安全带来了隐患。比如黑客通过窃取技术访问电网公司数据中心的服务器,有可能造成客户信息泄露或数据安全问题,严重时有可能造成国家的重大损失。因此,如何使众多的用户能在一个安全的环境下使用电网的服务,成了当前电网信息安全建设的重要内容之一。
2 电力企业信息安全建设的关键问题
云计算技术在电力企业的业务管理中已经逐步得到应用,另外,随着技术的成熟和商业成本的降低,基于可信计算平台的网络应用获得了迅猛发展。如果在电网业务管理体系中将可信计算与云计算结合起来,将会使电网的管理水平如虎添翼。图1为构建可信平台模块间的安全通道示意图。
在可信计算环境下,每台主机嵌入一个可信平台模块。由于可信平台模块内置密钥,在模块间能够构成一个天然的安全通信信道。因此,可以将广播的内容放在可信平台模块中,通过安全通信信道来进行广播,这样可以极大地节约通信开销。
智能电网的体系架构从设备功能上可以分为基础硬件层、感知测量层、信息通信层和调度运维层四个层次。那么,智能电网的信息安全就必须包括物理安全、网络安全、数据安全及备份恢复等方面。因此,其涉及到的关键问题可从CA体系建设、桌面安全部署、等级防护方案等方面入手。
3 智能电网信息防护体系框架
3.1 数字证书体系
数字证书体系CA是建设一套符合国家政策要求的电子认证系统,并作为电力企业信息化建设的重要基础设施,实现各实体身份在网络上的真实映射,满足各应用系统中关于身份认证、信息保密性、完整性和抗抵赖性等安全性要求。该系统主要包括根CA系统、CA签发系统、RA注册管理系统、KM系统、证书状态查询系统和LDAP目录服务系统,总体结构如图2所示。
3.2 桌面安全管理体系
该体系可为电力企业提供集中的终端(桌面)综合安全管理的桌面管理产品,打造一个安全、可信、规范、健康的内网环境,如图3所示。
该体系能满足用户:确保入网终端符合要求;全面监测终端健康状况;保证终端信息安全可控;动态监测内网安全态势;快速定位解决终端故障;规范员工网络行为;统一内网用户身份管理等。
3.3 等级防护体系
此外,在设计信息安全体系时,还需要针对电力企业的业务应用系统,按照不同的安全保护等级,设计信息系统安全等级保护方案,如图4所示。
根据国家关于《信息系统等级保护基本要求》中关于信息安全管理的规定,该体系应该包括物理安全、网络安全、主机安全、应用安全、数据安全等方面。
4 结论与展望
本文将电力云技术与可信计算结合起来,设计了面向智能电网的信息安全防护体系框架,从CA体系建设、桌面安全部署、等级防护方案等方面阐述了该框架的内涵。但信息安全是一个没有尽头的工作,需要及时与最新的方法相结合,不断完善信息安全方案,使电网做到真正的智能、坚强。
(基金项目:中央高校基本科研业务费专项资金项目(11MG50);河北省高等学校科学研究项目(Z2013007))
参考文献:
[1] 陈树勇,宋书芳,李兰欣,等.智能电网技术综述[J].电网技术,2009,33(8):1-7.
[2] 国家电网.关于加快推进坚强智能电网建设的意见[N].国家电网报,2010-01-12(2).
[3] 曹军威,万宇鑫,涂国煜,等.智能电网信息系统体系结构研究[J].计算机学报,2013,36(1):143-167.
[4] 陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009(5):1337-1348.
篇3
【关键词】网络信息化管理;企业;应用
【中图分类号】F270.7【文献标识码】A【文章编号】1006-4222(2015)23-0302-02
前言
信息时代的发展促进了很多科技产业的飞跃发展,同时也给很多行业带来了便利。信息技术是一切网络信息的物质基础,可以超乎想象地完成信息处理工作,而企业管理工作也搭上网络信息化管理的快车,给很多繁杂的管理流程提出了解决方案。网络信息化管理已经大大降低了企业管理成本,并逐渐向个性化的管理服务拓新,贯穿到了企业管理的方方面面。可以说现代企业管理已经离不开网络信息化,而对网络信息化管理的研究和应用也正是新时代的需求。
1网络信息化管理对企业管理的意义
网络信息化管理的作用就是将传统的管理流程利用信息化技术代替,并发挥信息化的优越性,达到更好的管理效果。企业利用网络信息化管理主要从信息的传递与存储和信息分析方面提高工作效率,实现管理的快捷高效目的,对企业管理有重要意义:
(1)减轻管理人员的工作量。网络信息化管理的本质是对数据信息的高效处理能力,所以,对于企业管理人员的日常信息数据处理来说是非常简单的事,可以快速完成数据处理、分析并存储,真正起到便捷快速的效果;
(2)简化管理步骤,提高运作效率。企业网络信息化管理系统的建立可以实现信息的快速处理和传输,必然提高工作效率。而且系统上的流程设置可以把线下工作流程搬到线上来操作,极大地简化流转成本;
(3)促进企业管理规范化进程。网络信息化管理系统的建立是基于很多管理理论和流程基础的,保证了系统规范性,企业在利用系统进行管理应用的时候也必然要按照系统的流程走,对促进企业管理规范化有很大的帮助,而且很大程度减少了人员操作失误导致管理问题的情况发生。
2网络信息化管理在企业中的应用现状
我国网络信息化建设起步较国外晚一些,其在企业中的应用水平也处于起步阶段。但是,从近几年的发展现状来看,信息化建设程度已经有了很大的突破,并逐渐发挥着对企业管理的积极作用。相对于国外企业网络信息化管理的应用,我国的应用现状不容乐观,还有很大的发展空间。①对企业信息化管理的认知方面,企业有很大的提升,只是在改革实践方面需要一定的时间去接受;②企业信息化管理体系的应用需求不断提高,企业的发展速度对应的信息化水平要求不同,在需求提高的同时出现了一定的不协调现象;③技术层次不统一,企业信息化管理系统的建立出现滞后与混乱,不同技术提供商之间存在不和谐的竞争关系;④企业对企业信息管理体系的投资不够,且投资方向存在缺陷,受传统企业管理和建设思想的影响,很多企业在网络信息化建设的投资上偏向于硬件,而导致软硬件投资失衡。
3网络信息化管理在企业应用中存在的问题
3.1企业人员认识有误
对于一些刚接触网络信息化管理体系的企业来说,很可能存在对其理解有误区。可能会盲目的认为管理系统的强大功能,可以减轻一切管理问题,亦可能会认为并不能改善什么效果,总之这些认知都是正常的。主要是我国传统企业管理人员对系统的认识误区会影响企业网络信息化管理应用进程,然后在真正应用中出现不适用、不会用等问题,导致企业网络信息化管理建设失败。
3.2企业与管理系统融合不当
对于很多企业来说,了解到企业网络信息化管理的便利性之后,想要自己也能快速进入信息化管理的发展快车中,就会出现盲目采购管理软件的现象,况且目前的企业网络信息化管理软件市场又相对混乱,导致采购的软件并不能真正达到企业管理的需求。其实,针对一些正规的软件系统提供商来说,在进行软件设计的时候就应该跟企业进行需求分析,并提供个性化的软件系统,这样可以极大的解决沟通成本,也促进企业和购买的管理系统融合。
3.3网络信息化管理系统的数据安全隐患
在现代开放的网络环境中,数据安全成为所有信息产品考虑的重中之重。如果企业网络信息化管理系统的数据安全隐患没法得到排除,那对企业管理信息化进程的推进有很大的阻碍作用。如果企业在使用网络信息化管理软件过程中出现数据丢失或被窃取等安全问题,会严重影响企业的发展。总之,在我国乃至全世界,网络数据安全体系的建立和完善还需一定的时日,但目前仍然存留一定的安全隐患。
4网络信息化管理在企业应用中的对策建议
从前文对企业网络信息化管理体系的现状和应用问题研究,结合目前的信息技术水平和市场环境,提出了相应的对策和建议,希望在推进网络信息化管理在企业应用的进程,早日实现全部管理信息化。
4.1加强企业内部对网络信息化的认识培养
企业网络信息化管理的应用并不是说完全摆脱传统的管理体系和流程,一定要在企业日常培训中注意正确的认识思想灌输。网络信息化管理体系的作用只是帮助企业在管理过程中改进工作流程,提高信息处理速度,规范管理章程而已。企业的管理人员要起带头作用,积极学习网络信息化管理的知识,并给自己的员工树立正确的认知思想。消除全利好的思想,要鼓励企业员工对信息化管理知识的学习与使用,全员参与,每个部门都落实到位,尊重每一项流程的设置,并尽快适应信息化管理系统,做到标准、规范化使用网络信息化管理系统,使之为企业工作服务,提高效率和效益。
4.2规范软件市场,加强供采沟通
虽然网络信息化管理体系对企业管理工作有很大的促进作用,但就目前的软件市场情况来看,还处于一个变动调整时期,由于没有一个规范的运作模式,往往造成供采两方需求与服务不对等的状况。软件市场的混乱也不是一时存在的,经过了几十年的发展历史,虽然有所改善,但问题依然存在,至今规范化的管理制度没能真正起到制约作用,只能说价钱监督和规范执行力,使市场变得更好。其次就是企业在进行软件采购时,需要提供给软件提供商具体的需求文档,之间加强沟通,以促进软件和企业使用的真正融合,帮助企业管理网络信息化。
4.3加强网络信息化管理数据安全体系建设
数据安全问题是全世界网络体系面临的难题,在网络信息化管理企业应用中,数据安全又是关键,所以改善这一难题成为目前推进网络信息化管理应用的主要任务。由于网络信息化管理数据的安全隐患不能完全得到排除,所以目前只能通过加强数据安全体系建设的方法来防范。通常采用的数据安全防范措施有加密处理手段、自建服务器、局域网络加密等,企业在这方面应该投入更多的资金成本用于硬件设施的建设,同时培养网络技术人才,确保突发事件时进行紧急应对来尽可能的将风险降低到最小。
5结语
网络信息化管理的研究成为现代企业管理的重要课题,在企业进行应用的时候仍然存在很多问题,但是整体发展趋势良好。本文拟从网络信息化管理在企业中应用时企业人员认知错误、企业对信息化管理软件的应用融合问题和数据安全问题出发,分析了相应的解决措施,提出了网络信息化管理在企业应用中的建议,以促进我国信息化管理的普及和发展。
参考文献
[1]顾玲.当前我国企业管理信息化问题研究顾玲[J].现代营销(学苑版),2014(10).
[2]蔡永鸿,刘莹.基于大数据的电商企业管理模式研究[J].中国商贸,2014(31).
篇4
【 关键词 】 等级保护;烟草企业;信息安全体系
1 等级保护思想
等级保护思想自20世纪80年代在美国产生以来,对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台,被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确规定计算机信息系统实行安全等级保护。至此,等级保护思想开始在我国逐渐盛行。
我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导,分阶段实施建设、管理和监督,以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级,通过分级分类,以相应的技术和管理为支撑,实现不同等级的信息安全防护。
2 烟草行业引入等级保护思想的意义
烟草行业高度重视等级保护工作,实施信息安全等级保护,能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。
2.1 开展安全等级结构化安全设计
安全等级保护在注重分级的同时,也强调分类、分区域防护。烟草行业虽强调分类、分区域,但存在一定局域性。同时,由于缺少分级准则,差异化保护尚未深化。引入等级保护思想,有助于深化结构化安全设计理念,通过细分类型、划分区域,全面梳理安全风险,明晰防护重点,构建统一的安全体系架构。
2.2 注重全生命周期安全管理
等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则,其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深,未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想,明确新建系统安全保护要求,提升安全管理效率。
3 等级保护在烟草行业的实施路径
信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作,其实施路径主要有几条。
3.1 信息系统安全定级
主要包括信息系统识别、信息系统划分、安全等级确定。其中,原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定,合理定级。
3.2 等级保护安全测评
在等级保护环境下对信息系统重要资产进行风险评估,通过等保测评,发现与等级保护技术、管理要求的不符合项。
3.3 制订等级保护实施方案
依据安全建设总体方案、等级保护不符合项,全面梳理存在问题,分类形成各层级问题清单;并合理评估安全建设整改的难易度,全面有效制订等级保护方案,明确安全整改目标。
3.4 开展安全整改与评估
根据等级保护实施方案开展建设,具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估,不断巩固信息安全与信息系统安全。
4 基于等级保护的烟草企业信息安全体系建设
根据等级保护工作的实施路径分析得出,等级保护与信息安全体系存在许多共性,有较好的融合度。因此,探索基于等级保护的行业信息安全体系具有深刻意义。
信息安全体系的核心是策略,由管理、技术、运维三部分组成。在等级保护思想的融合下,信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想,烟草行业信息安全体系概述有几点。
4.1 分级保护
烟草行业的信息安全体系以信息系统等级为落脚点,实行系统关联分级,具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级,即人员、可信人员、不可信人员等;其次,根据人员分级,划分操作权限,即高权限、特殊权限、中权限、低权限等;最后根据业务信息安全等级和应用服务等级,明确应用系统等级,即一至五级安全等级。通过“人员—操作—应用”的关联链,制订分级准则,从而达到分级保护的目的。
4.2 分类设计
信息安全体系分类设计,主要涉及不同类型、不同区域、不同边界三方面的结构化设计。
4.2.1 类型设计
根据安全等级保护要求以及安全体系特点,分为技术、管理和运维三大类型,并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。
(1)技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理,其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现;而不同的策略同样也要根据两大层面按需设计。
(2)管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成,岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。
(3)运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标,诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。
4.2.2 区域设计
区域设计主要指安全域。安全域从不同角度可以进行划分,主要分为横向划分和纵向划分,横向划分按照业务分类将系统划分为各个不同的安全域,如硬件系统部分、软件系统部分等;纵向在各业务系统安全域内部,综合考虑其所处位置或连接以及面临威胁,将它们划分为计算域、用户域和网络域。
烟草行业根据体系建设需要,将采用多种安全域划分方法相结合的方式进行区域划分。
(1)以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施,防止重要信息系统数据被其它业务系统频繁访问。
(2)以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区,DMZ区的安全级别要低于其它所有安全域。
4.2.3 边界设计
要清晰系统、网络、应用等边界,通过区域之间划分,明晰边界安全防护措施。边界设计的理念基于区域设计,在区域划分成不同单元的基础上,实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。
4.3 分阶段实施
烟草信息安全体系建设要充分体现全生命周期管理思想,从应用系统需求开始,分阶段推进体系建设。
4.3.1 明确安全需求
为保证信息安全体系建设能顺利开展,行业新建系统必须在规划和设计阶段,确定系统安全等级,明确安全需求,并将应用系统的安全需求纳入到项目规划、设计、实施和验证,以避免信息系统后期反复的整改。
4.3.2 加强安全建设
要在系统建设过程中,根据安全等级保护要求,以类型、区域和边界的设计为着力点,全面加强安全环节的监督,及时跟踪安全功能的“盲点”,使在系统建设中充分体现安全总体设计的要求,稳步推进安全体系稳步开展。
4.3.3 健全安全运维机制
自系统进入运维期后,要建立健全安全运维机制。梳理运维工作事项,理顺运维业务流程,并通过制订运维规范、运维质量评价标准、运维考核标准等,规范安全运维管理,提高安全运维执行力,以确保系统符合安全等级要求。
4.3.4 开展全面安全测评
在安全建设阶段,对行业现状要全面诊断评估,尤其是对已定级的信息系统,加强安全测评,形成安全整改方案,并结合安全体系设计框架,按阶段、分步骤落实,注重整改质量与效率,降低安全风险。
4.3.5 落实检查与评估
检查评估必须以安全等保要求为检查内容,充分借助第三方力量,准确评估行业安全管理水平,并及时调整安全保护等级,不断促进行业信息安全工作上台阶。
5 结束语
信息安全体系建设作为一项长期的系统工程,等级保护思想的引入,以其保护理念的先进性和实施路径的可行性,为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全,保障行业系统的安全、稳定、优质运行,更好地服务国家和社会。
参考文献
[1] 公安部等.信息安全等级保护管理办法[Z]. 2007-06-22.
[2] 国家烟草专卖局.烟草行业信息安全保障体系建设指南[Z].2008-04-25.
篇5
【关键词】电子政务 信息安全 体系建设
当前我国交通电子政务实施过程的两大矛盾的解决,依赖于安全、稳定、可靠的交通运输电子政务平台信息安全保障体系。对于电子政务平台实施过程中所面临的信息安全保障问题,我国早在2003年9月颁发的《关于加强信息安全保障工作的意见》中明确提出了建立等级保护制度和风险管理体系的要求。2004年11月,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。交通运输部也于2008年12月颁布的《交通运输电子政务网络及业务应用系统建设技术指南》中对交通电子政务平台的安全保障体系作了详细的技术规范。
随着交通政府机构的信息安全基础建设日趋完善,建立一套信息安全管理平台,既满足电子政务平台的开放性和可访问性,又保证电子政务平台的安全性,也日益迫切。交通电子政务信息安全保障体系可从以下几个角度进行充分构建:
1信息安全保障体系及其基本要求
信息安全保障体系是基于PKI体系而开发的为多个应用系统提供统一认证、访问控制、应用审计和远程接入的应用安全网关系统,它可以将不同地理位置、不同基础设施(主机、网络设备和安全设备等)中分散且海量的安全信息进行样式化、汇总、过滤和关联分析,形成基于基础设施与域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动,对威胁与风险进行响应和处理。信息安全保障体系的基本要求主要体现在以下几个方面:
1)保密性。主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。
2)完整性。主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。
3)可用性。主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
4)可控性。主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。
5)不可否认性。主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。
总之,信息安全保障体系的基本要求主要从技术和管理两个层面得以实现。技术层面在实现信息资源的公开性、共享性和可访问性的同时,通过主机安全、网络安全、物理安全、数据安全和应用安全等技术要素保障信息的安全性。管理层面则可通过安全管理机制、安全管理制度、人员安全管理、系统建设管理以及系统运营管理等规范化机制得以保障信息的安全性。
2交通电子政务平台信息安全保障体系的构建
交通电子政务平台的信息安全保障体系,应该由组织体系、技术体系、运营体系、策略体系和保障对象体系等共同组成。
2.1安全组织体系。政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。
2.2安全技术体系。交通电子政务平台的安全技术体系可搭建专业的安全管理运营中心,并从基础设施安全和应用安全两个方面去搭建安全技术支撑体系。
2.3安全运营体系。交通电子政务的安全运营体系一般可由安全体系推广与落实、项目建设的安全管理、安全风险管理与控制和日常安全运行与维护四个部分组成。安全运营体系是一个完整的过程体系,在交通电子政务平台的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若交通电子政务平台其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。
2.4安全策略体系。网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,全面科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。
篇6
0 引言
随着我国经济的快速发展,信息系统也跟随进入到了快速发展时期。网络信息系统在国家安全、经济建设以及高新科学技术都发挥着重要作用。由于信息系统的快速发展,应用领域逐渐的进行变化,从传统的小型业务系统逐渐向大型的关键业务系统扩展,应用层次不断的进行深入,网络的信息安全日益成为影响整个信息系统的重要问题。由于目前的网络系统基于TCP/IP协议,具有充分的开放性与自由性,为广大用户提供了很广阔的使用领域,但同时也给网络安全带来到了极大的安全隐患。网络的信息安全体系的建设成为了一个急需解决的问题。作为我国国家安全重要的组成部分公安机关,其网络系统的安全体系建设是首先要考虑的问题。本文分析了公安网络的信息安全当前面临的问题以及安全需求,给出了公安网络的信息安全体系设计中,通信平台、网络平台、应用平台以及安全管理平台的问题分析。
1 公安网络面临的安全问题分析
公安网络的信息安全一般来说是指公安网络系统要保障信息不受破坏、保护数据安全、保护服务安全以及保护通信安全等多个方面。尽管公安网络与公共网络进行隔离,但是公安网络所覆盖的范围非常广,使用公安网络的公安干警、司法部门的人员众多。不仅如此公安网络还连接着全国公安一级网络。使用人员的误操作或者非法操作都有可能导致信息的泄露与破坏。因此,目前我国的公安网络的信息安全面临着许多的安全问题。
1.1 网络构成庞大,访问控制不严
由于目前的公安网络拓扑结构庞大,对伪装IP的判断以及网络用塞现象严重。另外,目前用户的登录方式的安全级别尚未做到将本文真实的身份信息与登录口令做到单一映射。甚至有些地方的公安网络中,仍然使用同一的用户名+口令的模式,这些无疑会对公安网络的信息安全造成巨大的安全隐患,造成非法入侵者对数据的破坏、盗取以及泄露安全机密。
1.2 公安网络系统中软件设计问题
由于公安网络系统的安全防护软件的开发周期与早期的系统分析不适合当前安全防护形势的原因。其公安网络操作系统与应用软件中存在很多的安全楼同,这些漏洞的存在将对网络的正常运行构成很大的隐患。
1.3 病毒的防护漏洞
公安网络目前对网络病毒的防护手段十分有限,没有建立专用的计算及病毒防护中心、监控中心,这同样对公安网络的安全造成巨大隐患,“尼姆达”与“2003 蠕虫王”等网络病毒曾对公安网络造成想打的危害,造成网络拥堵、降低性能,严重扰乱了公安系统的正常工作秩序。
1.4 信息安全的管理体制不完善
公安网络系统是与公共网络物理隔离的系统,但是还未在整体上建立完善的安全结构体系,在管理上缺乏安全标准以及使用条例,甚至有些地方公安网络中的计算机出现公安网络与公共网络同时使用的现象,这都对公安网络的信息安全带来不可忽视的安全威胁,使非法入侵者有着可乘之机。
2 公安网络的信息安全体系结构设计
公安网络的信息安全体系结构设计,是一项非常复杂的系统工程,该体系对安全的需求是多层次,多方面的。因此本文设计了比较完整的安全体系结构模型,以保障整个系统的完备性以及安全性,为公安网络的信息安全提供切实有效的安全服务保障。本文在借鉴了多种成熟的信息网络安全体系结构,并且根据国家公安部提出的具体保障体系的指导思想,设计了适应我国公安网络的信息安全体系。该体系从安全服务、协议层次以及系统单元三个维度,综合立体的对公安信息网络的安全体系进行了设计。这个三个层次均包含了安全管理模块。
2.1 协议层次维度
本文从网络的七层协议模型来设计公安网络的安全体系结构中的协议层次。每一个协议层次都有专属的安全机制。对于某一项安全服务,安全实现机制随着协议层次的不同而不同。例如,审计跟踪的安全服务项目在网络层,主要对审计记录与登录主机之间的流量进行分析,对非法入侵进行实时监测。病毒防护层一般在应用层实现,一般用来对访问事件进行监控,监控内容为用户身份,访问IP,访问的应用等等进行日志统计。
2.2 安全服务维度
公安网络的信息安全体系中包括的安全服务有,身份识别认证、访问控制权限、数据完整性和保密性以及抗抵赖组成了安全服务模型。在安全服务模型中,每一个安全服务对应着不同类别的应用。这几种安全服务模型不是独立的是互相联系着的。进入公安网络安全体系的主体登录系统时,要进行身份识别认证,并且查找授权数据库,以获得主体访问的权限,如果通过验证与授权,则对访问信息进行加密返回至主体,主体通过解析进行信息获取。并且,主体访问的过程被审计跟踪监测模块记录,生成访问日志,以便日后进行查验。
2.3 系统单元维度
公安网络的信息安全体系的实施阶段,上述安全服务与协议等要集成在物理单元上,从系统单元的维度看,可分为以下几个层次。首先,物理环境安全,该层次保护计算机信息系统的基本设施安全,能够有能力应对自然灾害以及人为物理误操作对安全体系的基础设施的干扰以及破坏。其次,网络平台的安全,主要保证网络的安全可靠运行,保障通过交换机等网络设备的信息的安全。最后是应用系统的安全,该层次提供了访问用户的身份认证、数据的保密性以及完整性,权限访问等。
3 总结
本文分析了公安网络的信息安全当前面临的问题以及安全需求,对公安网络的信息安全体系设计中,协议层次、安全服务以及系统单元三个维度的结构设计问题进行了深入的分析。
作者:李元鹏 来源:科技视界 2015年1期
篇7
对系统自我定级
长城资产管理公司是国有独资的金融企业,在业务高速发展的同时,一直非常重视信息安全体系的建设,早期已经部署了 “老三样”信息安全产品,即网络防病毒、防火墙和网络入侵检测产品,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。
根据《信息系统安全等级保护定级指南》中对信息系统的要求,长城资产管理公司考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,公司确定首要的工作是设定系统的保护级别。经过综合审核,最终将系统保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。
对定级进行测评
系统定级之后,公司做了备案,同时申请等级保护的主管单位进行现场测评。北京等级保护办公室作为这次测评的主管和实施单位,根据等级保护3级基本要求对综合经营管理系统进行测评。现场测评工作主要包括跟综合经营管理系统相关的各个层面,在网络层面进行网络设备安全配置检查和安全系统部署;在主机层面进行主机系统的安全配置检查和数据库系统安全检查;在数据安全方面进行了数据完整性、机密性和可用性的检查;在管理方面进行安全策略、安全组织以及人员的检查,同时对信息部门领导和相关人员以及公司的人力资源部门相关人员做了详细的访谈。涉及方面之广,检查粒度之细都是其他专门的安全项目所无法比拟的,对公司整个信息安全建设指明了方向,细化了要求,加强了安全体系建设,提升了人员的信息安全意识,规范了信息安全工作流程。
但是,在现场的测评工作当中也出现了一些问题,主要来自两方面:一是发现了公司在信息安全建设中的“短板”,明确了工作重点和方向;二是发现基本要求中的个别条款的要求过于“苛刻”――单纯从技术上来看是可行的,但是如果结合公司的业务,就不是特别合理,因为需要对现有运行的业务进行很大的改造,甚至涉及到对底层操作系统的改造。
最后,在北京等级保护办公室的监督、指导下,公司加强了安全管理,调整个别不符合项目,最终通过了等级保护3级测评。
建设等级保护平台
篇8
如何建立一套针对企业自身特点的信息系统安全体系,最大程度地保证其正常运营,这不是一个单纯的技术问题,而是一个把管理、安全技术、审计等多种因素集成于于一体的系统工程。因此,企业管理层需要在企业发展策略中,高度重视信息安全技术、信息安全管理和审计工作,不仅要在信息系统的软硬件上下功夫,而且不能忽略相关审计工作,加强风险排查,这样才能对企业的业务发展做到同步支持。
1.信息系统安全技术
信息系统安全技术作为信息系统安全体系的基础,在其中起到支撑的作用。在实际工作中,针对企业各自特点制定相关策略。当前企业信息系统安全的现状和面临的主要问题如下:
1.1硬件运维
硬件设备的运维和管理是企业信息系统安全体系的基础保障,但是管理人员容易忽视这一环节。企业信息系统往往会因为硬件设备故障、断电或网络问题造成信息丢失或服务中断。如果针对硬件设备的运维和管理没有相关保障机制,一次发生意外,就会给企业造成不可估量的损失。
当前常见的硬件设备运维保障管理机制有以下几个环节:一是通过设置UPS不间断电源保障系统硬件的持续性运行;二是要对企业信息系统中的网络设备进行定期巡检,在前期的网络环境部署过程中首先考虑网络的连接稳定性;最后是加强信息系统安全管理,严防企业信息丢失和窃取,可以通过对数据信息存储服务器设置物理锁的方式避免非法操作。为了保证系统服务器的安全,管理人员可以采用远程登录的方式访问系统。
1.2入侵防御
病毒入侵一般都拥有固定代码,而入侵威胁是由非法人员需要得知信息系统的漏洞,从而进行人为操纵的信息窃取或系统攻击。特定的防范方法包括:严格制定防火墙访问控制策略,阻止外界对内部资源的非法访问;关闭系统硬件不用的端口;定期对系统进行漏洞扫描和补丁包更新;在信息系统中部署入侵检测系统(IDS)和入侵防御系统(IPS),从而抵御非法入侵。
1.3病毒防范
信息系统的安全配置和管理人员的正规操作对于信息系统病毒的防范非常重要。操作系统是企业信息平台安全的基础,错误的安装配置会使病毒渗入到信息系统当中。针对信息系统安装杀毒软件并进行定期更新是病毒防范的基本措施,这样可以保证系统基本的安全性与稳定性。企业还需要定期对系统进行数据备份。
1.4数据加密
在公共网络进行数据传输的过程中,利用虚拟专用网(VPN)技术设置访问控制策略,实现两个或多个可信网络之间的数据加密与传输。搭建VPN通常使用加密防火墙和路由器,保证数据安全传输[1]。
在企业的局域网中针对内部信息存储、传输的安全问题,可以通过部署安全服务器来实现包括对局域网内资源的管理控制、用户的管理和所有安全相关事件的跟踪和审计。
2.信息系统安全管理
企业信息系统安全体系的建设三分靠技术,七分靠管理。因此,建立和完善管理制度是保障企业信息系统安全的关键和重点。
2.1制定企业信息系统安全管理制度
企业信息系统安全体系的建立和实施对其正常运营非常重要,所有一切的信息系统安全工作都要以公司制定的企业信息系统安全管理制度为基准。
2.2提高企业员工信息系统安全意识
现实中企业管理者的关注焦点大多是生产上的安全,信息安全没有得到足够的重视。实际上,企业员工信息安全意识的高低,在企业的信息系统安全体系建设中起很大作用,企业能够加强员工的信息安全意识,将很大地提高信息系统安全体系实施的成效。
2.3严格执行标准,强化制度落实
在企业信息系统安全体系的建设过程中,必须严格按照信息系统安全操作规程和管理措施执行,最大程度消除信息系统安全隐患。若发现信息系统安全隐患,及时按照相关操作规程处置[2]。
2.4积极学习和应对各种信息系统安全事件
信息技术不断发展,保障信息系统安全的难度也在与日俱增。因此,信息系统安全管理必须要求企业管理人员不断学习,不仅要制定一套完整严密的信息系统安全管理方案,还要有步骤清晰、操作性强的应急预案,这样才能增强信息系统安全管理的危机抵御能力和处理能力。
2.5构建信息系统安全环境平台
面对日渐严峻的信息安全形势,在加强企业信息系统基础安全设施建设的同时,要有机结合员工信息安全意识、技术能力、企业运维管理三者,建立一套综合性强的信息系统安全保障体系,在所有的业务系统中贯彻执行当前的安全管理思路,通过可量化的技术手段,达到信息系统安全管理的最终目的。
3.信息系统安全审计
企业信息系统安全体系的建设是一个长期的、需要不断持续更新、完善的系统工程,通过对信息系统的安全审计,及时发现和解决企业信息系统安全体系的漏洞,才能不断提高企业安全水平和质量。如何建立和执行企业信息系统安全审计,有效加强企业内部的信息系统安全管理和风险控制,满足相关政策法规,成为各行业面临的普遍问题[3]。
信息系统安全审计是指一群拥有相关信息安全专业技能和商业知识的审计人员对企业安全风险以及如何应对风险措施进行评估的一个过程。信息系统安全审计人员通过收集、分析、评估信息系统安全信息,掌握其安全状态,制定安全策略,将系统调整到“最安全”和“最小风险”的状态,确保信息系统安全体系完整、合理、适用[4]。
由于目前信息系统应用已经涉及到企业的各个业务和办公领域,对于信息系统带来的安全管理已经是企业运营不可切割的一部分。所以,企业的信息系统安全审计应该是一个从业务部门到技术部门都必须参与控制的过程。
从信息系统本身来说,安全审计的要点主要是以下两个方面:
3.1数据及数据传输审计
数据是信息系统的重要资产,保护数据的安全、完整,避免其被恶意破坏、盗窃。对用户身份进行控制,避免非授权访问数据,是数据访问环节的安全控制措施。除此之外,对数据的操作和保存也是数据安全控制的重要环节。首先,应雇佣具备任职资格或经过适当培训的人员,避免误操作;其次,所有操作都应该经过授权且有记录,数据文件被正确保存且经过充分备份,以备正确的恢复。
在信息系统中,有些数据需要在两个子系统或多个子系统中相互传输,在这个过程中很可能会出现问题,尤其是在需要手工录入或同步传输的情况,因此在进行信息系统安全审计的过程中要重点关注以下方面:数据在传输的过程中可能会发生变化,如何进行校验;核心数据库可能会被物理分散的服务器取代;当一个信息系统取代原有的信息系统时,会进行数据的传输。要保证传输的数据是完整、可靠并且经过批准的,数据的全部传输过程要准确,并且在约定时间内完成。
3.2内部控制审计
内部控制审计是企业为实现管理目标而形成的自律系统。在审计过程中要对审计对象的系统环境是否符合要求、规程制度是否完善、执行情况是否到位进行审查。在信息系统中,可以通过检查以下几个方面来验证企业内控制度和执行的效果:(1)控制信息系统的资源存储,包括物理存储资源存储(终端、连接盒、服务器、相关文档等)和逻辑资源存储(软件、系统文件、表和数据等)。(2)把控信息系统资源的使用。用户的新增、变化、删除必须经过授权,用户只能对其授权范围内的资源进行操作。(3)按一定标准划分信息系统资源。可以系统资源的滥用、数据的非法修改以及减少人为误操作。(4)身份和访问控制审计。按照时间顺序建立一个档案簿,包含信息的创建、修改和删除的详细过程及其操作人员。它采用的是授权证明,控制什么人什么时候访问了什么数据。(5)确认处理过程的准确性。(6)管理人员对信息系统的所有修改都应该保证是经过授权、评估和审核,并且有记录文档,保证风险最低且有效控制。(7)入侵防御审计。入侵防御涵盖的范围远广于传统的入侵检测。入侵防御策略的合理设置会把风险缩小到最小范围。(8)漏洞和病毒管理审计。定期检查系统漏洞和防病毒措施,根据具体问题原因进行分析处置,及时采取相关措施。
篇9
关键词:有线数字电视;信息;安全
随着数字电视系统的不断进步与发展,领域中的运营团队开始将视线转向了增值业务服务的实现上。增值服务越来越成为公认的数字电视深入实现经济价值的核心所在,随之产生的双向信息传输网络以及对应的安全问题,就成为数字电视服务平台中的重点。
1有线数字电视信息安全问题分析
2011年,国家广电总局颁布了《广播电视相关信息系统安全等级保护定级指南》和《广电视相关信息系统安全等级保护基本要求》;并且进一步于2012年颁布了《广播电视相关信息系统安全等级保护测评要求》,一系列关于信息安全的规范和文件,都强调了广电领域信息安全的重要性,同时也为该领域内安全系统的建设和评测等相关工作提供了基本的方向和指导。从安全角度看,有线电视数字网络环境下同样出现了新的特征。对于传统的单向网络环境而言,口令攻击、报文攻击以及面向系统漏洞的攻击是主要存在的安全威胁形式。具体而言,口令攻击能够实现对于数字电视信号的冒用和盗用,也能够因此使得该信息环境保持开放状态,而加入其它非法信息。而报文劫持供给则是面向信息传输过程展开数据的截获,从而实现对于信息的篡改。系统漏洞供给则主要是考虑到系统本身存在一些程序层面的不足,而为恶意攻击造成可趁之机。但是随着有线数字电视体系自身的发展深入,双向网络环境开始出现,曾经单向由运营商朝向用户发送数字信号的工作环境中,目前增加了一条上传信息的通路,增强了双向交互功能,也在安全方面表现出更为复杂的特征。这种信息的双向流动,让有线数字电视体系朝向互联网的方向发展融合,而更多的增值项目让黑客有了更多的利润空间,也因此进一步从客观上要求更为完善的安全体系得到落实。
2数字电视网络下的信息安全体系建设
在发展的新形势之下,数字电视网络环境下的安全体系建设,也必然呈现出新的特征。传统环境下主要依据访问控制、防火墙以及加密几个手段来实现的安全机制,虽然仍然在发挥着不容忽视的作用,但是就目前而言仍然有所不足。访问控制的主要价值在于实现对于用户身份的校验,从而保证合法用户能够得到不低于某质量水平的服务,同时杜绝非法用户获取到对应的数字电视信号以及相关服务。而防火墙,主要用于确保网络环境安全和稳定工作的展开,其存在主要是用于避免黑客对有线电视体系信号发送端展开攻击,导致其无法正常发送信号或者发送错误信号,降低信号质量等。通常通过包过滤的工作方式对攻击进行识别和拦截,是防火墙的主要工作方式。最后,加密是传统有线数字电视环境中最为常见的安全手段,通过对传输的数据流进行加密,来实现对于非法用户数据截获的拒绝,以及合法用户服务的保障,同时也是提升传输过程中数据安全水平的有力武器。然后在双向网络环境中,想要切实构建起完整的安全体系,还需要从其他方面着眼和加强。首先,应当考虑建立起标准化的开放性认证体系结构。对于这一方面的工作,公约基础设施(PublicKeyInfrastructure,PKI)以及安全套接层技术(SeeureSocketLayer,SSL)是应当重点给予考虑的方面。对于前者而言,其主要是利用公钥技术来实现电商安全的综合性体系,作为基础性设施,它的存在能够为公钥加密和数字签名提供统一的平台并且实现综合管理。而后者作为在TCP/IP协议之上实现的安全协议,相对而言有着广泛的应用。具体而言,其利用TCP协议中可靠的端对端安全展开工作,并且进一步构建了一个分层体系,其底层记录层用于实现对于上层协议的封装,上层握手环境用于在服务器和客户机之间传送数据之前协商加密算法和加密密钥。其次,基于内容实现的网络安全同样是当前有线数字电视体系需要关注的重点。当前社会环境中信息的价值已经日益凸显,同时对应的防范对象也不仅仅是以往的病毒,还包括有其他恶意信息。对于这一方面任务,可以考虑采用消息鉴别码(MessageAuthenticationCode,MAC)来展开工作,用于实现对于信息来源以及信息完整性等方面特征的识别和过滤。消息鉴别码利用公开函数和密钥来生成一个长度确定的值,并且利用该值来对信息的完整性进行标记,此种手段能够实现对于信息完整性和可靠性的甄别,但是本身并不能确定其是否实现了安全传输,即无法识别该数据是否已经被窃取。此种方式主要用于某些不需要保密的信息传输环境,或者类似于有线数字电视这样的长时间传输大量信息的环境。最后,当前在有点数字电视的双向网络环境中,还特别应当注意核对用户身份的合法性,并且针对用户发回的对应控制请求进行保护和认证。这不仅仅是为了保证有线数字电视的信号发送体系正常展开,还是确保信息消费以及发送双向纠纷避免的有力武器和必要措施。
3结论
有线数字电视的信息安全,直接关系到运营商以及信息消费端用户的切身利益,必须给予重视。同时在当前信息时代之下,该体系的技术和应用也在随之发展,各种新的特征出现在数字电视工作环境中。因此唯有正视这些新的特征,有的放矢地展开分析,才能发现亟待提升的安全问题,也才能切实推动其不断发展。
作者:张勇 单位:河北省广播电视技术中心
参考文献
[1]朱凯彬.浅谈数字电视双向网络安全[J].黑龙江科技信息,2011,(13).
[2]张瑞芝.广播电视业务信息系统信息安全等级保护工作的实施[J].广播电视技术,2014(6)
[3]李伟东.数字电视安全播出的急迫性[J].中广互联,2014(4)
篇10
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求[2]。
二、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制[3]。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
三、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
四、结论