信息安全及防范策略5篇

时间:2022-06-25 03:58:24

导语:信息安全及防范策略5篇一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

信息安全及防范策略5篇

第一篇

1信息安全的概念

所谓信息安全,有多种说法。按照百度百科的说法,信息安全的范围很广,大到国家的经济、国防大业,中到企业的商业机密,小到老百姓的个人隐私。信息安全有广义和狭义这分。广义的信息安全是个综合性的专业学科,是多种行业、专业的综合研究问题。狭义的信息安全是指计算机信息安全。在这里,主要讨论狭义的信息安全概念。信息安全是指计算机信息系统(其中主要包括计算机硬件、计算机软件、计算机数据、用户、物理环境及其基础设施)受到一定的保护,能够不受偶然的或者恶意的原因而遭受到破坏、变更、泄露,信息系统可以连续的、可靠的正常地运行,信息服务实现连续性。因此,信息安全的根本目的,就是使系统内部的信息不会受到系统内部、系统外部和自然界等因素的破坏威胁。为了保障信息安全,就应该要求计算机系统有信息源认证机制、访问控制机制,系统中不能有非法软件驻留,系统不能有未授权的操作等行为。

2信息安全的内容

在当前的计算机网络化、计算机数字时代,计算机、网络和信息已经融为一体。网络信息安全的主要内容包括以下五方面,即信息的保密性、真实性、完整性、可用性和信息载体的安全性。2.1信息的保密性。信息的保密性,即是指在计算机、网络和信息系统的使用过程中,信息的和使用只给有合法权限的用户至上,也就是被授权的用户,未获得授权的非法用户不能使用此信息。也可以即是信息不能泄露给未授权者。2.2信息的真实性。信息的真实性,是指信息的内容、形式要真实、可靠,信息的提供者和者要真实、准确地处理信息。也即信息的提供者要对信息的真实性负责,不得虚假、编造的信息。2.3信息的完整性。信息的完整性是指在信息的到用户信息的收取过程中要保证信息的完整,信息不能在中间环节被修改、增加、删除等加工。2.4信息的可用性。信息的可用性是指信息系统或者信息的者随时可以为授权的合法用户提供服务,在信息的使用和处理过程中不会出现信息授权者拒绝服务合法用户的情况,同时也杜绝非法用户使用信息。2.5信息载体的安全性。信息载体,就是指以信息所处的媒体、途径或信息系统,信息或流通的过程中是很容易受到不安全因素的威胁和破坏,因此,首先要保证信息流通的途径安全性。

3信息安全的防范策略

为了保障信息安全,可以依据一定的防范策略。主要分为个人计算机的信息安全策略和计算机网络安全策略。3.1个人计算机信息安全策略3.1.1安装正版软件。个人计算机应该安装正版软件,包括正版的操作系统和应用软件。在这方面,很多用户做得不是很好,考虑到经济的原因,安装的是网上下载的破解软件或盗版软件。盗版软件破坏了版权法,得不到使用保障。正版软件可以及时升级,及时打上补丁,防范不安全的因素产生,预防黑客的攻击,保障了信息不被泄露,从而保证了信息的安全。3.1.2安装个人版防火墙。如果个人计算机要用到局域网或互联网中,在个人计算机上可以选择安装个人版的防火墙。用技术去防范黑客的攻击,防范别有用心的人对信息的盗取。3.1.3安装防病毒软件或防木马程度。计算机病毒对计算机的破坏可以造成信息的泄露或其他不安全的因素。木马程序的目的就是盗取计算机的有用信息。因此,为了防止病毒程序和木马程序对计算机的破坏,个人计算机安装好操作系统和常用软件后,应该及时安装防病毒程序和防木马程序。3.1.4定期备份重要资料。现在很多用户的习惯是将所有的资料信息都保存在计算机中,一旦计算机出了故障,用户的资料等信息得不到安全保障。用户要养成定期备份重要资料的习惯,以防止因计算机的硬件或软件故障造成信息的破坏。3.1.5设置使用权限和密码。计算机有使用过程中,要给系统设置使用权限及给计算机或者重要的软件、资料设置密码,还要禁止来历不明的人使用计算机。特别如果是计算机处于网络中,用户更要做好计算机的权限设置和密码保护,以防止非法用户盗取计算机的资料信息。3.2计算机网络信息安全策略3.2.1建立和完善网络信息安全管理制度。计算机网络涉及的计算机设备较多,给安全管理带来一定的困难和压力。对于网络的信息安全管理,首先要建立或完善管理制度,以制度规范需要管理。制度是管理的先导条件和管理的保障。制定安全管理制度时要结合本单位或网络的实际情况,作出规范的管理条款。网络安全管理制度要具有可操作性。3.2.2专人负责网络管理人员。计算机网络的和管理要配备专用的管理员,专人负责网络的安全。对于网络安全管理员,一是要提高安全意识,二是要提高进行安全管理的操作技能,三是要做好网络安全管理的检查机制。3.2.3安装网络防火墙。计算机网络是很容易受到黑客攻击的对象,因此,计算机网络要安装网络防火墙。网络防火墙有硬件防火墙和软件防火墙两类。不论是何种防火墙,目的是保证网络不受非法用户或黑客的攻击。防火墙是网络中使用最广泛的安全技术之一。它的作用是在网络内部和网络外部之间构建网络通信的监控系统,监控网络的进入和流出的数据流,监控网络的访问者,以达到控制网络安全的作用。3.2.4安装防病毒软件。计算机病毒曾经给计算机网络造成相当大的破坏。所以计算机网络要安装防病毒软件,防止因为病毒的入侵造成网络的破坏,从而信息受到威胁和泄露。3.2.5做好网络数据备份。及时做好网络的数据备份,是网络信息安全的保障机制之一。网络数据备份需要有硬件的支持,及时将网络中的资料、信息备份到物理存储空间。网络数据备份还有人为因素,加强数据备份的意识,定期对网络数据进行有策略地备份,保障信息的安全。

本文作者:花巍工作单位:重庆三峡医药高等专科学校

第二篇

一、信息安全的概念和重要性

(1)信息安全的概念。信息安全就是关注信息本身的安全,保护信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等问题,能使人们在最大限度的利用信息的同时而不招致损失或使损失最小。信息就是数据,从这个角度来说,信息安全可以分为数据安全和系统安全。信息安全具有完整性、保密性、可用性、不可否认性、可控性。(2)信息安全的重要性。信息安全是任何国家、政府、单位、行业都必须十分重视的问题,是一个不允许忽视的国家安全战略。针对不同的单位和行业来说,他们对信息安全的要求和重点都是有区别的。对行政、事业单位来说,信息网络主要是为了更好地为人们服务,方便大众的信息查询,也方便工作人员的信息管理和及时更新,整条服务网络若收到影响或者瘫痪,会大大影响行政、事业单位人员的办公和百姓的生活;对国家机密和军事机密而言,信息是绝密文件,是关系到国家安全和发展的关卡,如果受到窃取和利用,那后果是不可估量的,信息安全不仅仅关系到个人利益,更是整个国家的利益和安全。所以说,做好信息内容安全和信息网络安全是信息化时代的重要任务。

二、我国信息安全管理的现状

(1)法律法规问题。第一、还没有形成一个完整性、适用性。现有的法律法规仅仅调整某一个方面的问题,有些法律法规之间内容有重复交叉,同一种行为有多个处罚单位,在很多实践过程中有一环节多部门管理,或者多环节多部门重复管理的状况发生,这在一定程度上造成了法律资源的浪费。第二、现执行的法律法规已跟不上信息技术发展的需要,存在一定存在滞后性。我国现行的信息安全法律结构比较单一、层次较低,很难适应信息网络技术发展的需要和不断出现的信息安全问题。随着网络应用深入的发展,原来颁布实施的一系列网络法律法规,对一些关于网络行为的认定过于原则或笼统,在涉及网络规划与建设、网络管理与经营、数据的法律保护、电子资金划转的法律认证、计算机犯罪、计算机证据的法律效力等方面的比较缺乏,对此类网络犯罪的行为打击比较被动。(2)管理问题。在一些最新的研究数据中发现,全部的计算机安全事件中,约有60%是人为因素造成的,属于管理方面的失误比重高达70%以上,在这些安全问题中95%是可以通过科学的、合理的管理方式来避免发生。所以说,管理已经成为信息安全整个过程的生命线。第一、信息安全管理现状仍旧比较混乱,没有一个国家层面上的整体策略。实际管理的力度不够,政策的执行和监管的力度不够。第二、对信息安全问题的认知,仍旧处于空白状态。除了少数大型互联网企业,大部分企事业机关单位习惯性的把信息安全问题等同于“电脑中毒”、“网络拥堵”这类在办公网络中常见的现象,一般都简单的采用安装杀毒软件的方法解决问题,从普通职员到管理层对信息资产所面临威胁的严峻度认识不够。第三、重技术,轻管理。虽然一直在强调信息安全是“三分技术、七分管理”,但是在日常的工作生活中,人们往往偏向于技术,忽视了在这些技术的运行中管理才是第一位的,如果在实际管理过程中出现管理措施不到位,系统的运行、维护和开发等岗位分配不清,职责划分不明,存在一人身兼多职的现象,再先进的技术也不可能发挥其应有的效力,一样不具备竞争力、防御力。第四、专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术比较薄弱,对引进的信息技术和设备缺乏保护信息安全不可缺少的有效管理和技术改造。第五、对信息安全管理缺乏系统管理的思想。在多数单位现有的安全管理模式仍旧采用传统的管理办法,通常是出现问题才去想补救的办法,用一种就事论事、静态的管理办法去处理动动态问题,没有采取建立在安全风险评估基础上的动态管理办法。

本文作者:张丹丹工作单位:酒泉职业技术学院

第三篇

一、引言

网络安全实质上是指网络系统在流量和数据保存方面确保其不被随意更改、破坏、泄露等,从而可以保证网络系统能够正常工作。广义的网络安全还包括一切涉及到网络信息的保密性和完整性的工作。网络信息安全手段的研究就是避免系统因为破坏而无法正常工作,保护系统的机密性防止其被窃听和欺诈,起到保护用户人合法权益的目的。

二、网络安全控制技术及其特征

2.1网络安全概念及其特征

网络安全就是指采用各种技术和措施使系统能够正常运行,从而保证网络数据的可用性。网络安全的具体含义是随着社会的变化而变化的,从个人和企业的角度来说用户最希望将涉及个人隐私和商业利益的信息在网络上传输时使其密性、完整性和真实性受到保护的权利。从网络运行者角度来说,网络管理者希望用户对本网络信息进行合法的访问和读写相关操作,避免出现非法存取和网络资源非法占用的威胁,管理者希望对非法的信息进行过滤和防堵,避免出现信息泄露从而带来损失。从教育者角度来说,他们不希望网络上有不健康的内容,因为这些不健康的内容会对社会的稳定和发展带来障碍,因而他们希望有关部门对网络信息进行相关控制,抑制不良信息的扩展。网络安全所具有的特征,网络安全具有以下几方面的特征:保密性,就是指用户的信息不会通过非法渠道泄露给用户没有授权的实体。完整性,就是数据在没有通过授权的情况下不会被随便改动,在传输过程中保持不被随意修改和破坏。可用性,就是指被授权使用的用户可以随便使用其授权范围的信息的特征。可控性,就是信息在传播过程中的内容和渠道具有一定的可控制性。可审查性,就是信息在传播过程中对于其出现的问题具有一定的解决手段和途径。

2.2网络安全技术的特征

网络安全的保护是需要一定的技术来支持的,网络安全技术主要包括以下几个方面:第一,生物识别技术。生物识别技术就是依靠人体的特征来对网络安全的身份进行验证的技术,人体具有不可以复制的特性,因而据此发展起来的生物识别技术的安全系数的验证机制也是不可以复制的。这里所使用的技术主要包括指纹、声音、面孔、掌纹、骨架等,其中指纹具有非常高的稳定性和不可复制性,因而在生物识别技术中应用非常广泛,除此之外近年来视网膜识别技术有专家开始研究并取得了一定的成绩。第二,防火墙技术。防火墙技术就是综合利用多种网络技术在被保护网络和外部网络之间设置一道技术屏障,从而可以使被保护网络不会被非法侵入。第三,数据加密技术。数据加密技术就是按照预先设定的密码对重要文件及数据进行密码锁定,用户在使用的过程中通过不同的钥匙可以对不同的数据进行阅读和修改,非法用户没有密码因而不可以随意使用加密信息。第四,入侵检测技术。入侵检测技术是为了保证计算机系统的安全而设置的能够发现数据报告中异常信息的技术,通过异常信息报告可以用来判断网络中是否存在非法操作的入侵行为。第五,网络安全漏洞扫描技术。这种技术主要应用于检测和安全风险评估,可以通过预测主体受到攻击的可能性从而对这些攻击有可能受到的结果进行指正,这种技术可以帮助识别系统资源,分析这种资源的可攻击指数,从而可以分析系统本身受到攻击时候的脆弱性,识别其存在的安全风险。第六,安全审计技术。安全设计技术主要使用几种安全检测工具,采用几种预先设定的漏洞检测方法,检查系统中的安全漏洞,从而可以使系统的薄弱环节得到及时的报告,采取相应措施对这些漏洞的安全隐患进行防治。

三、网络信息安全现状及策略分析

3.1物理传输对网络信息安全威胁

网络通信就是通过通信线路、调节器、网络接口、终端等的检测,从而可以保证这些地方不受非法侵害。因为以上几个部件是黑客比较倾向的攻击对象,通过对以上几个部件的攻击就可以攻击整个网络。当前黑客的攻击行为主要包括以下几个方面:第一,电磁泄漏。黑客通过破解一些常见的算法捕获无线网络的传输信号,然后再通过相应的算法制定完整的入侵方案,达到窃取用户信息的目的。第二,非法终端。非法终端就是黑客在用户的终端安装另外的终端,使用户的网络与非法窃取者的网络实现连接,然后非法用户通过对通信接口的访问和操作,使信息传输到非法授权的终端。第三,违法监测。不法分子通过自己预先设定的通信设备和监控设备对用户的通信内容进行违法捕获,这些非法分子使用的监测设备一般是不会妨碍用户的网络正常工作,因而用户很难发现违法监测设备。防范网络攻击的手段主要是通过装置交换机设备来检测系统是否异常情况发生。

3.2软件对网络信息安全的威胁

随着计算机技术和网络技术的不断发展,现代通信系统种类繁多,例如:ATM、IMS、POS终端等,这些系统的运用都是一些软件在支持其通信技术,因此非法用户很容易通过对这些软件进行攻击从而可以对用户的信息进行攻击。通过软件对信息进行攻击主要有以下几种方法:第一,利用网络软件的漏洞和缺陷进行攻击。网络软件的漏洞主要分为蓄意制造和无意制造两种。蓄意制造主要是设计者为了日后可以对用户的信息进行攻击而故意设计的漏洞;无意制造是系统设计者由于疏忽或技术障碍而造成的漏洞。第二,软件病毒入侵后打开后门,可以肆意繁殖。一些病毒通过细小的入侵后就可以在用户的系统内进行无限的繁殖,最后发展到可以破坏用户的计算机系统,严重的时候甚至可以是用户的系统瘫痪。第三,通信系统或软件端口被入侵。一些用户的软件端口未能进行安全限制,非常容易被黑客攻击,黑客攻击系统后使用多种方式对用户信息的有效性和完整性进行破坏,有些黑客通过一定的程序可以使用户的网络运转的情况下,获取自己所想要的各种信息。

3.3网络安全策略分析

鉴于以上网络安全存在的风险,用户必须采用一些技术手段,防止其信息被非法攻击和盗取,从而带来不必要的损失。首先,物理信息安全传输的安全性分析。第一,降低电磁辐射,将传输线路的保护措施打开或埋在地下,而且将其远离各种辐射,辐射可以使系统受到电磁干扰,因此无线传输应该装置在远离辐射的区域内并将其隐藏起来进行连接,防止非法用户的攻击。第二,使用数据加密技术。数据的打开和使用都必须采用一定的加密算法,从而可以使用户在一定的加密环境中对数据和信息进行修改,防止非法用户窃取到原始数据。第三,使用可信度高的路由器。私人网络系统要使用必要的隐藏技术,将通信系统中的传输路径隐藏在不容易被人发现的地方,避免不必要的人员接触,从而可以达到拒绝一定的攻击对象的目的。其次,信息安全软件。为了快速安全地对网络病毒进行定位,用户应该在系统中安装必要的软件,从而系统中一旦发现有危害安全的行动,系统就会做出一定的反应从而用户可以采取一定的措施来防止危害事件的发生。第一,安装软件补丁。用户要在网络系统中安装操作补丁,使通信系统软件得到及时的升级,当系统的漏洞被攻击时候,操作补丁可以避免非法用户的攻击。第二,使用防火墙技术。使用防火墙技术可以实现对网络安全信息访问权的控制,根据安全侧罗可以使信息流得到允许或被拒绝,这样系统就具有一定的抗攻击能力。这个系统可以为用户提供一定的信息安全服务,使用户免受黑客的攻击。第三,使用杀毒软件。杀毒软件的病毒库升级,用户在使用杀毒软件的过程中同时要谨慎使用移动存储设备,存储设备在使用前务必先进性扫描和杀毒,确保其没有安全威胁的时候可以放心使用。第四,使用入侵检测系统。入侵检测系统主要包括基于网络和基于主机的检测方法。基于网络的入侵检测方法检测的主要部分主要是模块,它通过提前受保护系统的运行数据进行分析,从而实现对网络进行保护的目的。基于主机的入侵检测方法主要是实施实时监控,系统通过检测其设置的不公平系统来检测系统是否受到攻击,基于主机的入侵检测系统具有检测效率高、成本低和速度快的特点,因而目前被广泛使用。再次,加强工作人员信息安全保障。加强局域网安全控制策略的使用,局域网中的用户要根据其权限对数据进行使用和修改。局域网安全控制策略主要包括以下几个方面:第一,可以防止用户对已经编制信息目录和文件进行删除和修改,限制用户对信息的拷贝、共享等。第二,控制用户的对系统的操作时间和地点。系统内的用户都被赋予一定的操作权限和限制,特定的用户可以对数据和信息进行操作,离开某种环境用户的权限就会受到一定的限制,因而用户必须在系统设定的环境中进行操作,这样通过最小化原则对系统的用户权限进行分配。最后,利用桌面管理系统来控制操作。用户可以利用桌面系统配置一定的装置从而可以对软件的合法性、病毒库的及时性、防火墙技术等进行及时的控制。如果用户发现使用的终端和系统没有按照系统要求的方式来运行,此时用户的网络管理员应该及时对网络系统进行检测,查看其系统中有无非法用户,阻止不安全因素的扩张。

四、加密技术的应用分析

4.1在电子商务领域的应用

在电子商务环境中用户最担心的就是其信用卡密码被盗,因而加密技术在电子商务环境中主要是提供一种安全套接协议来对非法用户进行限制,客户和电子商务服务器的系统中会生成一个会话密钥,客户运用对称和非对称的方法通过对这个程序进行加密并且把这个加密过程传输到服务器经过服务器认可后就可以传输数据,然后双方可以在这个加密的环境中实现商业洽谈和成交。

4.2加密技术的应用

当数据从发送者的局域网中通过路由器到达用户手中,数据首先经过的是一个用户端和路由硬件,这个硬件必须进行加加密,然后在传送的过程中经过路由时候路由继续对数据加密,最后到达用户手中的是一个未经破坏的信息。五、结语网络信息安全关系到社会的方方面面,不仅涉及到国家安全而且涉及到社会安全,当前世界各国都已经认识到了网络安全的重要性,因而不断对网络安全技术进行探索。当前的网络安全技术发展速度是非常快的,但是不可忽视的是其仍然存在一定问题,因而网络用户应该根据其存在的问题,采取必要的措施使信息安全技术更加健全。

本文作者:赵刚工作单位:太原大学

第四篇

一、对信息安全特别是物理域上信息安全的挑战

信息安全涉及到信息的三个域,即物理域、信息域和认知域。信息域的安全就是我们通常所说的信息安全,其定义是:保护和防止信息和信息系统在存贮、处理或发送信息中不被非授权访问或修改,不对授权用户发生拒绝服务。信息安全还包括为检测、记载和对付这类威胁所必需的措施。这都是涉及信息域的安全问题。而认知域与我们通常所说的舆论战和心理战相关。美军对认知管理(perceptionmanagement)有明确的定义:有选择地向外国民众和官方散布和/或否认一些信息和迹象的行动,以影响他们的情绪、动机、客观推理和判断。显然,认知域的安全通常涉及到的是宣传、思想和政治领域的斗争。目前我国学术界对信息域和认知域的研究较多,对其重要性认识比较全面,本文不再详述,而把重点放在探讨大数据对我们密切相关的物理域信息安全的威胁和挑战上。先从前苏联远东输气管道大爆炸、伊朗核电站事故、美加大停电等几个重大国际安全事件谈起。这是典型的由信息安全问题引起的物理世界安全事件。1.美苏争霸时期的前苏联2004年3月,美国前空军部长托马斯•里德(ThomasReed)回忆录《身在地狱:一个内幕人士撰写的冷战史》出版,书中披露:1982年6月,一个美国早期预报卫星探测到了在西伯利亚苏联输气管道的一次大爆炸,原因是苏联从一家加拿大公司盗窃来的控制系统中的故障,苏联不知道某大天然气厂控制系统软件被中央情报局秘密植入恶意破坏程序,在逐渐获得信任后开始改变泵速和筏门设定,使输气管内压力升高到远超过管线接合处所能承受的程度,结果造成输气管道大爆炸。爆炸规模之大,使得美国卫星拍到地球上最壮观的非核爆炸引起的大火。2.与互联网隔离的伊朗核电站2010年6月,“震网(Stuxnet)病毒”对西门子公司系统SIMATICWinCC系统攻击事件造成伊朗核电站核反应堆离心机遭到严重破坏,核计划被迫拖后至少两年。西门子公司工业控制系统是目前世界上使用量最大的高可靠性工业控制系统之一,并且与互联网物理隔离。但面对有组织的网络攻击,它还是不堪一击。Stuxnet病毒利用了5个Windows系统漏洞及2个西门子公司SIMATICWinCC软件的漏洞。这显然是一次有组织的网络攻击行动。3.北美地区大停电2003年8月14日,北美发生持续4天大停电,影响美加地区5000万人生活,造成100~140亿美元损失。起因于“电力线路状态评估系统”软件故障,接着发生Ohio电厂高压电线触及路旁树枝而造成局部跳电,由于“能源管理系统”软件设计错误,关键时刻警报功能丧失,致使操作员未能立即发现及处理刚发生的跳电。在未被隔离情况下,负载失衡效应扩散波及造成邻近电厂跳电,一路牵连导致北美空前大停电。此事件引起美国重视,调查认为该事件显示,恐怖分子经由攻击各电力公司的SCADA系统而瘫痪美国电力网是可能而且可行的。美国能源部国家实验室举行的多次针对电网SCADA系统的演习,多次成功地控制了地区电力公司。4.美军的能力、目的、作战条令从前空军部长托马斯•里德回忆录可以看出美国强大的信息战能力,显然,美国至少三十多年前就掌握了利用软件程序破坏敌国关键基础设施的能力。其目的是向世界公开声明其能力,对敌国或潜在敌国进行战略威慑。其进行战略沟通和威慑的意味更浓。其实,早在1998年的美军《联合信息作战条令》,就已把敌国关键基础设施作为美军信息作战的攻击目标。工业控制网也已经被列为美国信息战的主要对象。

二、对我国物理域信息安全的现实威胁与挑战

以上情况,引起对与我们的日常生活紧密相连的实体网络安全问题的关注。其实,物理世界安全由来已久,并不是新问题,比如停电、油气爆炸、化工原料泄漏等。为什么现在高度强调呢?因为物理世界所有这一切,都通过物联网连接起来,并高度自动化。物联网、云计算和移动互联网形成的大数据时代,使传统安全问题,由于大数据造成安全问题的规模、程度和破坏性呈非线性急剧放大。以工业控制网中最常见的数据采集与监控(SCADA)系统为例,SCADA系统是以计算机为基础的生产过程控制与调度自动化系统,它对现场的运行设备进行监视和控制,以实现数据采集、设备控制、管理、测量、参数调节以及各类信号报警等各项功能。SCADA系统由监控中心、若干个分散的远程测控终端RTU和通信介质三部分组成。SCADA系统采用分散式测控、集中式管理的方式,需要执行远程数据采集、设备控制和运行管理等功能。必须要采用某种通信媒介进行数据的远程通信,这是工业领域自动化发展到一定阶段的必然结果。同时,工业高度自动化也就为有实力执行信息战的敌对力量介入工业控制网中的通信过程并实施破坏留下了隐患。SCADA系统在我国电力、石油天然气、水利、铁路、市政系统等领域得到广泛应用。西气东输管道工程,管道全长4000公里,设计年输气量120亿立方米,起点塔里木,经新疆、江苏等9省市,终点为上海。调度控制中心在上海,后备控制中心在北京,卫星通信是西气东输管道主用通信方式。陕京天然气输送管线,西起陕西靖边,线路总长为918km,全线实现卫星通信、管道SCADA系统集中控制。SCADA在我国电力系统中的应用最广泛。它作为能量管理系统一个最主要子系统,已成为我国电力调度不可缺少的工具。SCADA深入到从发电、调度、变电、配电、用电的各个环节,构成了电力系统的神经中枢,正是因为采用了SCADA系统,我国的电力调动自动化水平达到国际先进水平。我国工业控制网的发展规模已可与因特网匹敌,并且应用领域仍在急剧扩展,特别是物联网的推出和普及,将使我们的物理世界与虚拟世界融为一体。从作用上看,其在我国物理基础设施中的核心作用大于因特网,从国家层面上看安全性日益突显。同时,整个社会对其依赖也越来越大。工业控制网络与公共计算机网络在结构上截然不同。对两种网络的防护的主要差别有:一是重点保护对象不同,前者重点是实体对象,后者是逻辑对象;二是对防护反应速度要求不同,前者的损坏是实时的,后者的损坏是延时的;三是防护的侧重点不同,前者重视攻击的事后灾难链,后者重视攻击的预防;四是攻击的侧重点不同,前者是完整性,后者是保密性和可用性。显然,以实体传感器和控制器连接而形成的工业控制网中,每时每刻都在产生着海量数据,这些数据在实体正常运行时显得多而无用,但在系统初期出现异常时,这些数据会及时地反映出来,而一旦没有发现这些异常,事态的发展就会造成严重后果,处理不好还会造成更大的灾难链。因此,我们在物理域上的信息安全面临的首要问题就是如何应用大数据挖掘技术在来自物理世界的海量数据中挖掘出有用的信息。这个挑战是我们必须要勇敢面对的,并且要尽快找到有效的技术手段和解决方案。

三、大数据对我国信息安全产业的影响

大数据时代对信息安全产业的技术体系和关键技术的挑战巨大,并且需要信息安全产业界尽快赶上新时代的要求。仅海量、异构、跨域、移动、动态、分布式、不同维度、多安全域等不同信息特征,局域网、互联网、移动网和物联网等不同网络特征,光缆、卫星、微波、无线和有线等不同接入特征,给信息安全产业界带来了新的挑战。信息安全界从未像现在这样同时面临着如此之多的环境挑战、理论挑战、技术挑战和应用挑战,新理论、新方法和新技术都需要有新的突破。因此信息安全界必须既要统筹考虑物理域、信息域和认知域方面的整体信息安全需求,又要根据各系统或网络特点重点保护其中一项或多项信息资产,比如对工业控制网的安全就要重点考虑保护其完整性和可用性,以及发生事故的快速发现能力和快速隔离能力,从而使事故不会引发大规模的灾难链。对核心机要信息和隐私信息则要重点确保其保密性,而对提供公众服务的系统和网络则要重点保护其可用性。现有的网络渗透测试手段和安全防护策略都需要根据大数据时代的特征进行相关的理论创新、技术创新和技术改进。并且信息安全界要大大扩展保护对象,需要保护的对象至少应包括如下广义内容的系统和网络:计算机网络,通信网络,工业控制网及SCADA系统,无线移动网络,传感器网络,以及卫星导航系统等。

四、需要凝练和解决的大数据科学问题

根据国内在大数据安全方面的一些研究进展,本文初步考虑,目前至少应当研究和解决如下一些科学和技术问题。1.工业控制网大数据实时的完整性和可用性保护方法和机制;2.大数据中关键资产突发安全事故的快速发现和隔离机制和方法;3.大数据中针对关键资产的可疑行为关联分析方法和实现机理,云计算;4.大数据中重点行为数据,包括已知或未知事件发生的用户、时间、地点、起因、经过和结果等数据的审计、提取和保护方法;5.大数据行为表征与建模、行为上下文感知与推理、行为特征挖掘、行为情感分析与推理、行为关联分析与演变分析方法等;6.大数据中面向多源、多维度、多属性、海量的行为数据的大数据挖掘、模式识别等智能处理方法;7.适用于大数据的技术,包括大规模并行处理(MPP)数据库,智能数据挖掘专用网,分布式文件系统,分布式数据库,云计算平台,互联网和可扩展的存储系统;8.针对多源、多维、多种、多属性的大数据,重点开发大数据处理专用算法,以及可大规模应用的专用大数据处理芯片;9.大数据复杂性、不确定性特征描述的刻画方法及大数据的系统建模。

本文作者:张友春工作单位:解放军信息工程大学

第五篇

1全台网信息安全保障体系模型分析

在全台网信息安全体系建设中,必须从系统级层面构建高安全、高可用的安全防护系统,这一体系不是一个简单、孤立的系统,它是由各个层次软硬件及管理规范组成的联动防范体系。为简化网络结构复杂度,方便问题的分析,需要建立清晰的网络安全模型描述。通过对已有的成熟安全模型的研究,是构成科学的信息安全保障体系的前提之一,本节主要分析两个参照模型一APPDRR动态安全模型和STMME台内网安全保障体系模型。LlAPPDRR动态安全模型[1]网络安全具有动态性的特点,网络安全的防范应该根据风险评估结果的变化而调整。APPDRR动态安全模型是从整体性和动态性角度考虑系统的网络安全建设,它可由下面的公式概括(如图1):网络安全(S)=风险分析(A卜安全策略(P)+防御系统(P)+实时检测(D)+实时响应(R)+灾难恢复(R)图1APPD】U灭动态安全模型该模型中的六个环节代表了安全事件的生命周期的各个功能阶段,之间存在着一定的衔接关系,各个环节相互补充,建立了一个多重的防护体系。其中的风险分析和安全策略是属于事前的防护管理,而防御系统、实时监测、实时响应和灾难恢复则是属于事中的具体安全措施实施,这四个环节为信息安全的防护铸造起四道防线,当其中一个环节被攻破时,其它环节仍可以保护网络的安全,四者共同作用能最大限度地降低信息安全事件带来的损害。APPDRR模型鲜明地表现了信息安全的动态性和信息安全事件是一个螺旋上升的过程的特点,信息安全建设是一个不断改进和积累的过程,在这一过程中通过上述六环节的循环流动,相互作用,信息安全逐渐地得以完善和优化,从而实现信息安全保护网络资产的目标。APPDRR模型是针对所有的信息安全系统建立的,偏重于理论研究的描述且普适性比较强,而广电行业又有很多自身的特点,在实际工程实施的安全模型中应该将动态安全模型和台内网的信息安全规划有效地结合起来,形成偏重于工程实施的实用的安全模型,从而能够给予信息安全建设实践以直接指导。1.2STMME台内网安全保障体系模型[2]广电总局科技司的《电视台数字化网络化建设白皮书2007》中提出了“STMME安全保障体系模型”(如图2),将安全保障体系分为三个重要的层次:指导策略、构成要素、动态实现过程,包括安全策略、安全技术、安全管理、安全运维[2]、安全评估共五个部分,其中每一部分都具有详细的分析和对策,形成了比较系统的安全保障体系,但没有将信息安全等级保护有效的与台内网的信息安全建设结合起来。图2STMME台内网安全保障体系模型经过以上对全台网信息安全模型的分析,下节将参照STMME安全保障体系模型,结合APPDRR模型和等级保护基本要求,定义出一个较为适合我台信息安全建设的信息安全保障体系模型,并对其每一部分的构成进行阐述。

2全台网信息安全保障体系模型设计

参照STMME安全保障体系模型、APPDRR动态安全模型及其他相关的国际国内信息安全保障体系的基本模型,以及广电总局播出相关信息系统等级保护定级指南和基本要求,结合目前主流的广播电视全台网的业务系统的构成,及多家电视台信息安全项目的最佳实践,在此提出全台网信息安全保障体系模型(如图3)。该模型从信息安全规范体系、信息安全评估体系、信息安全管理体系、信息安全技术体系和信息安全运行体系五个方面进行定义,每一部分都具有详细的分析和对策。

2.1信息安全规范体系

信息安全的工作是一个自上而下的工作,它不仅仅是一个源自底层的技术驱动自下而上的以业务为目标的工作,更是自上而下的以政策为驱动的管理过程,这一过程中最重要的就是国家相关的标准和行业的制定。各级电视台作为这一标准和行业制定的对象,首要任务是在其台内网各信息系统的建设中遵循国家政策法律及行业规范。

2.2信息安全评估体系

信息安全评估体系对应APPDRR模型中的风险分析(A),是指以台内网安全标准及规范为依据,运用定性、定量的科学方法和手段,系统地分析系统的性能指标以及面临的安全威胁,从而有针对性地提出防护对策和整改措施,最大限度地保证系统安全[z]o由于各板块功能定位和网络结构各不相同,安全评估内容有较大不同。台内网安全风险评估内容主要包括管理、技术、运维三个方面。在评估过程完成后应该进行相关的评估分析,就系统或设备评估数据进行安全风险的影响和可能性分析,并就各类分析可能形成的影响,创建评判标准,对各个业务板块可能发生的安全风险进行等级划分,最终形成对风险评估活动结果进行评审并提出相应安全措施建议的评估报告。在此需要强调的是,正如APPDRR动态模型中所描述的网络安全动态特点,安全评估也应该是个动态跟踪的过程,系统生命周期包括规划、设计、实施、运行维护和废弃等五个阶段,安全评估应贯穿于全台网建设的各阶段,每个阶段安全评估的具体实施,应根据该阶段实施的内容、对象和安全需求的不同有所侧重[s]o

2.3信息安全管理体系

7414网络通讯及安全信息安全管理体系主要包含管理制度的建设和信息安全组织策略体系的设计两大部分,管理制度为信息安全工作的部署展开提供重要依据和保障,具有强制性;信息安全组织策略体系对应于APPDRR中的安全策略(P),是实现台内网信息安全建设的指导性方针,具有原则性。信息安全组织策略体系的设计要从全局出发,基于风险评估的结果进行决策。各台应依据相关的国内外标准和行业规范,结合自身情况,设计出一套适合于自身的信息安全策略体系,从宏观策略到微观操作流程、手册全面落实信息安全管理体系[3]:a)总体策略,即结合国家相关的标准和行业的定制从最上层的企业发展战略层面来实现信息安全策略总纲,是安全保障体系建设的全局性指导方针,阐述了全台网各个板块信息安全建设的基本解决思路;b)技术与管理策略,在上层的信息安全策略总纲的指导下,规范安全管理。从实际出发,各台应按各业务系统板块的功能特点及管理规范成立严格的安全管理制度,制订出准确和详实的文档描述,并且需要及时随着业务情况的变化而不断地加以更新和修订;c)运维策略,按照各具体系统制汀并执行严格的操作手册、流程细则,特别是对于重要技术环节,要形成发生应急状况或事故的应急措施,且应该遵循简单、易操作和切实可行的原则,每隔一定时间要开展应急知识培训和应急演练,提高工作人员应急能力。

2.4信息安全技术体系

信息安全技术体系主要是从业务系统的层面来进行分析和划分,结合等级保护基本要求阱,的整体信息安全要求,可以从以下两方面构建安全纵深防御体系,保证信息系统整体的安全防护能力:一方面按照台内网各业务板块的特点和重要程度来决定安全保护的级别将全台网安全域整体规划为生产综合系统、制作系统、主干平台、新闻制播、播出系统等多个安全子域,构建从外到内的业务安全纵深;同时各个业务板块可分别从基础网络安全、边界安全、计算机环境安全、安全管理等多个层次落实等保中的各项安全措施,形成纵深防御体系。信息安全等保中基本要求可从可从物理、网络、应用、系统和数据五个层面来落实。在最终的技术实现手段里主要有终端、服务器、应用、网络和物理五个层面,相应的技术手段包括身份认证、访问控制、内容安全、监控审计、备份恢复、恶意代码防范、数据安全七个纵向层面。

2.5信息安全运行体系

安全运行是全台网建成后保障系统持续、可靠运转的重要工作,信息安全运行体系包括运行管理和维护保障两部分[2]:a)安全运行管理平台的建设主要是指对各个生产业务系统进行的日常运行管理,包括系统日常巡检、权限管理、资源控制、安全策略制定等。b)安全维护保障平台的建设主要指为了保障业务系统的正常生产运行,而采取的各项安全措施,是保持全台网的持续运行和电视台发展的重要保证。运行管理部分建设主要通过建立统一安全管理中心来实现,在等级保护基本要求中,明确要求三级以上系统需设置独立的安全管理中心,实现对审计信息的集中存储、关联分析预警,最终满足实现“可追溯性”、“抗抵赖性”方面的相关要求。统一安全管理中心可从功能上可细分为统一的安全管理平台、统一的安全监控平台和统一的审计平台[0]o统一的安全管理平台:汇总所有安全信息,进行集中管理和分析,使得安全工作流程化、制度化。统一的安全监控平台:监控全台网中的各种安全事件和信息,特别是对于重要设备要重点监控,对预警设备设置合理的预警阀值,及时发现安全问题,进行风险预警和处理,提供安全风险管理与控制能力。统一的安全审计平台:收集播出系统中网络设备、安全设备、终端、应用和数据库服务器等的安全审计日志,进行集中的审计管理和报表分析。系统维护保障部分则可参照APPDRR模型中的保护、检测、响应、恢复四个方面(PDRR)来建设,从系统维护、监测、变更、应急、培训五个方面来展开设计,具体的技术手段包括:安全漏洞扫描、渗透压力测试、安全检查、系统安全加固、日志审计、应急处理响应、安全事件通告、安全产品和技术的培训等方面。

3结束语

本文结合多个信息安全模型,参照当今国际国内信息安全建设的最佳实践,结合广电行业规范和行业特点,提出了多层次、多方位、立体化全台网信息安全保障体系,从信息安全规范体系、信息安全评估体系、信息安全管理体系、信息安全技术体系和信息安全运行体系五个方面来落实全台网信息安全整体解决方案,从而为我台即将开展的全台网信息安全建设提供了借鉴和参考。

本文作者:李光辉李仁工作单位:江西广播电视台播出部