前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全論文主題范文,僅供參考,歡迎閱讀并收藏。
論文提要:當今世界已進入了信息化時代,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業(yè)化,以工業(yè)化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質(zhì),如何保證信息的安全性和保密性成為我國信息化建設(shè)過程中需要解決的重要問題。
一、信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經(jīng)過40多年的發(fā)展,信息化已成為各國社會發(fā)展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì),主要表現(xiàn)在知識性、中介性、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統(tǒng)的不安全性,給國家的信息化建設(shè)帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內(nèi)容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內(nèi)容;完整性,信息的內(nèi)容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內(nèi)容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問題相比,基于網(wǎng)絡(luò)的信息安全有一些新的特點:
一是由于信息基礎(chǔ)設(shè)施的固有特點導致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點,通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術(shù)弱點導致網(wǎng)絡(luò)易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大。由于因特網(wǎng)的龐大系統(tǒng),造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗,對信息的破壞、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內(nèi)部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設(shè)起步較晚,相關(guān)體系不完善,法律法規(guī)不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網(wǎng)絡(luò)安全的防護能力較弱。我國的信息化建設(shè)發(fā)展迅速,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動后,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設(shè)備,整個系統(tǒng)存在著相當大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱,在網(wǎng)絡(luò)黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制,很多單位和部門直接引進國外的信息設(shè)備,并不對其進行必要的監(jiān)測和改造,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。
3、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴重依賴國外,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外,這使我國的網(wǎng)絡(luò)安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。
4、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡(luò)進行攻擊,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡(luò)犯罪,例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號密碼等。
5、在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)。
造成以上問題的相關(guān)因素在于:首先,我國的經(jīng)濟基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數(shù)計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)。
三、相關(guān)解決措施
針對我國信息安全存在的問題,要實現(xiàn)信息安全不但要靠先進的技術(shù),還要有嚴格的法律法規(guī)和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設(shè)備,保證個人的信息安全,提高整個系統(tǒng)的安全防護能力,從而促進整個系統(tǒng)的信息安全。超級秘書網(wǎng)
2、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè),加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識,加大核心技術(shù)的研發(fā),尤其是信息安全產(chǎn)品,減小對國外產(chǎn)品的依賴程度。
3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系,制定相關(guān)的法律法規(guī),例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產(chǎn)權(quán)保護法、電子信息個人隱私法、電子信息進出境法等,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè),應(yīng)大力培養(yǎng)信息安全專業(yè)人才,建立信息安全人才培養(yǎng)體系。
5、加強國際防范,創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡(luò)與生俱有的開放性、交互性和分散性等特征,產(chǎn)生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國際法律規(guī)范,防范來自世界各地的黑客入侵,加強信息網(wǎng)絡(luò)安全。
港口信息安全保障應(yīng)貫穿在港口信息系統(tǒng)的整個生命周期中。港口信息安全保障的工作者應(yīng)針對港口信息系統(tǒng)的發(fā)展特點,通過對港口信息系統(tǒng)的風險分析,制定并執(zhí)行相應(yīng)的安全保障策略,從多角度、多層面提出港口信息安全保障要求,確保港口信息系統(tǒng)的保密性、完整性和可用性,將安全風險降至最低或可接受的程度。港口信息化發(fā)展重點主要在于對外的數(shù)據(jù)交換和服務(wù)。港口信息安全風險主要來自于港口信息系統(tǒng)自身存在的漏洞和系統(tǒng)外部的威脅。為最大化控制該風險,港口信息系統(tǒng)安全保障工作者應(yīng)在信息安全保障策略體系的指導下,設(shè)計并實現(xiàn)港口信息安全評價體系架構(gòu)或模型,港口信息安全評價體系的制定應(yīng)反映港口企業(yè)對信息系統(tǒng)安全保障及其目標的理解,其制定和貫徹執(zhí)行對信息系統(tǒng)安全保障起著綱領(lǐng)性指導作用。港口信息安全評價體系應(yīng)選用一種折中的機制,在有限資源前提下實現(xiàn)最優(yōu)選擇。防范不足會造成直接的損失,防范過多又會造成間接的損失,在解決或預防安全問題時,要從經(jīng)濟、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍。從現(xiàn)代港口企業(yè)信息安全保障工作者的視角出發(fā),其工作層面無外乎對港口信息安全保障的戰(zhàn)略管理、常態(tài)監(jiān)管和應(yīng)急響應(yīng)。戰(zhàn)略管理體現(xiàn)其信息安全戰(zhàn)略的先進性,表現(xiàn)在港口企業(yè)對信息安全戰(zhàn)略規(guī)劃的制定情況、港口信息安全管理部門的戰(zhàn)略地位和港口企業(yè)對信息安全工作的資金保障力度等。這些評價能反映港口企業(yè)對信息安全的重視程度,預見港口企業(yè)信息安全工作未來的發(fā)展前景。常態(tài)監(jiān)管主要指港口信息安全戰(zhàn)略的具體執(zhí)行情況,包括基于對港口業(yè)務(wù)風險的認識,建立、實施、操作、監(jiān)視、復查、維護和改進信息安全等一系列管理活動,具體表現(xiàn)為計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。應(yīng)急響應(yīng)主要包括在一些緊急、無預測的危機下,快速應(yīng)對、解決問題的能力,度過危機以減少損失或者把損失降低到最低程度。
2現(xiàn)代港口信息安全評價指標體系框架
為了讓指標體系更加科學、全面、綜合,力爭每個門類的指標定量、定性相結(jié)合,筆者選用了工作層面、保障要素、指標類型作為現(xiàn)代港口企業(yè)信息安全保障指標體系框架的3個維度。
3評價指標
按照評價指標體系框架,采用第一維度、第二維度、第三維度逐個相交的方式,對各評價點進行分解,可以設(shè)計出適應(yīng)現(xiàn)代港口企業(yè)信息安全保障工作的評價指標體系。為了讓指標體系更加科學、可操作,筆者在對上海港、黃驊港等大中型港口調(diào)研的基礎(chǔ)上,梳理分析,設(shè)計出一套普適性較強的評價指標體系。該體系能夠較客觀、準確、全面地反映港口信息安全工作水平,供港口企業(yè)信息安全保障工作者參考。
4結(jié)語
1)信息安全評價體系對于現(xiàn)代港口評價信息安全保障工作的完備性,最大化降低、控制信息安全風險,減少技術(shù)故障、網(wǎng)絡(luò)攻擊等安全問題對業(yè)務(wù)帶來的影響具有十分重要的作用。
2)以現(xiàn)代港口企業(yè)信息安全保障工作為研究對象,遵循科學全面、簡單可操作、向?qū)栽瓌t,從工作層面、保障要素、指標類型出發(fā),設(shè)計了一套三維評價指標體系框架,并結(jié)合國家對港口企業(yè)信息安全的相關(guān)要求,分析出56個具體指標,提出了評價指標的量化方法和計算方法,可為港口企業(yè)信息安全自評價提供參考。
隨著全員信息安全意識的提高,外匯分局信息安全工作正日益完善,但與中央網(wǎng)信辦和外匯局的要求還有一定差距,存在一些薄弱環(huán)節(jié),主要表現(xiàn)在以下幾方面。一是缺乏完整、成體系的信息安全制度。外匯分局已有的制度里沒有完全涵蓋從機構(gòu)建設(shè)、人員管理到數(shù)據(jù)管理、運維管理、應(yīng)急管理以及教育培訓等一系列規(guī)范的信息安全內(nèi)容。二是人員管理方面。人員離崗離職后沒有及時收回或變更其在相關(guān)應(yīng)用系統(tǒng)里的權(quán)限。三是網(wǎng)絡(luò)安全防護上方面。外匯分局網(wǎng)絡(luò)各區(qū)域間邊界不清晰,缺乏必要的安全防護設(shè)備。另外,對內(nèi)部網(wǎng)絡(luò)的用戶管理較松,容易發(fā)生對系統(tǒng)的非授權(quán)訪問或者冒充合法用戶訪問等問題。四是終端計算機安全防護方面。外匯分局終端都由人民銀行科技部門統(tǒng)一管理,統(tǒng)一下發(fā)補丁軟件,但是存在業(yè)務(wù)人員在終端機上安裝與工作無關(guān)軟件的情況,導致植入病毒的幾率大大增加,為系統(tǒng)安全埋下隱患。五是安全教育培訓及安全檢查方面。外匯分局對于全員安全意識教訓及專業(yè)技能培訓比較欠缺,特別是對所轄中心支局業(yè)務(wù)人員的安全教育培訓不足,安全檢查的廣度和深度也不夠。
二、結(jié)合實際,提升信息安全保障措施
外匯分局在查找出信息安全風險隱患后,應(yīng)結(jié)合自身實際,從管理和技術(shù)兩方面采取相應(yīng)的防護措施。
(一)加大信息安全管理制度的體系建設(shè)
一是建立系統(tǒng)的信息安全管理制度。外匯分局應(yīng)遵循“誰主管誰負責、誰運行誰負責”的原則,按照相關(guān)要求明確信息安全管理機構(gòu)及責任人,制度應(yīng)涵蓋人員管理、資產(chǎn)管理、數(shù)據(jù)管理、網(wǎng)絡(luò)管理、運維管理、應(yīng)急管理、教育培訓等內(nèi)容。二是加強信息安全應(yīng)急管理。外匯分局應(yīng)制定應(yīng)急預案,保障應(yīng)急資源,并定期或不定期地進行應(yīng)急演練。
(二)加強信息安全技術(shù)防護措施
一是建立良好的網(wǎng)絡(luò)安全防護措施。針對近期的網(wǎng)絡(luò)改造工程,外匯分局應(yīng)明確各區(qū)域的網(wǎng)絡(luò)邊界,做好邊界防護措施,并制定制度進一步規(guī)范網(wǎng)絡(luò)用戶的操作,完善網(wǎng)絡(luò)設(shè)備的安全配置及審計措施。二是做好應(yīng)用系統(tǒng)的安全訪問控制。外匯分局對所有的應(yīng)用系統(tǒng),包括電子郵箱、門戶網(wǎng)等,都應(yīng)做好用戶權(quán)限管理和劃分。三是規(guī)范終端計算機的安全操作行為。主要是建立相應(yīng)制度規(guī)范業(yè)務(wù)人員操作,并在終端上設(shè)置賬戶密碼保障安全。針對WindowsXP停止安全服務(wù)的情況,外匯分局應(yīng)卸載與工作無關(guān)的應(yīng)用程序、關(guān)閉不必要的服務(wù)和端口等,不斷加強對使用WindowsXP系統(tǒng)終端計算機的管理。
(三)強化信息安全教育培訓
外匯分局應(yīng)采取各種方法做好信息安全教育培訓。除開展提高安全意識的培訓外,還需要加強信息安全知識及安全防護技能的培訓。
(四)深入開展信息安全檢查工作
1.銷售系統(tǒng)設(shè)施建設(shè)。
硬件方面,各石油銷售企業(yè)都具有設(shè)施完善的中心計算機系統(tǒng),供電采用UPS方式,采用“雙機熱備”的核心服務(wù)器工作模式,以確保整個硬件的可靠性和安全性;網(wǎng)絡(luò)方面,采用SDH光纖接入廣域網(wǎng),包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式,設(shè)備之間,層層之間以光纖方式連接,以均衡網(wǎng)絡(luò)負載。除了安裝必備的防火墻,部分企業(yè)為進一步提高安全防范能力還安裝了外網(wǎng)入侵檢測系統(tǒng);大多數(shù)加油站采用SSLVPN方式訪問企業(yè)內(nèi)部網(wǎng),以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面,大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng),實現(xiàn)PC機的MAC地址綁定。
2.銷售系統(tǒng)信息化建設(shè)。
目前,企業(yè)的銷售信息系統(tǒng)主要包括:加油卡系統(tǒng)、辦公自動化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點:一是用戶眾多,幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶;二是應(yīng)用領(lǐng)域廣,涉及企業(yè)經(jīng)營、管理、對外服務(wù)諸多方面;三是要求連續(xù)運轉(zhuǎn),如ERP系統(tǒng)必須滿足7×24小時運轉(zhuǎn)。由于信息系統(tǒng)的安全運轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營管理的可持續(xù)性,其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以,基于上述的原因,企業(yè)對銷售信息系統(tǒng)的安全運轉(zhuǎn)提出了更高的要求。
3.銷售系統(tǒng)的信息安全現(xiàn)狀。
石油銷售管理系統(tǒng)是關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng),國家對其信息安全高度重視,并在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中強調(diào),我國要全面加強國家信息安全保障體系的建設(shè),大力增強國家信息安全保障能力,實現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時,國內(nèi)石油銷售企業(yè)也長期重視信息安全工作,逐步建立了相應(yīng)的保障體系和規(guī)章制度,但還存在以下問題:
(1)范圍涉及廣泛。
石油銷售企業(yè)分支機構(gòu)多,終端運營組織龐大且分散,以中石油集團為例,其截至2013年分布在全國的加油站已超過30000座。在如此龐大的銷售系統(tǒng)中,信息網(wǎng)絡(luò)承載著指導業(yè)務(wù)運行的重要功能。大量、分散部署的加油終端,必然會造成聯(lián)網(wǎng)方式的多樣化、網(wǎng)絡(luò)環(huán)境的復雜化。
(2)設(shè)備系統(tǒng)眾多。
石油銷售企業(yè)信息化管理系統(tǒng)中所涉及的設(shè)備精度髙、技術(shù)要求深,并且范圍廣泛,包括加油站、油庫等大量的自動化控制系統(tǒng)。因此,業(yè)務(wù)管理流程復雜,安全風險增大。
(3)人員素質(zhì)不齊。
由于石油銷售屬于傳統(tǒng)行業(yè),因此企業(yè)人員年齡跨度較大,對信息安全管理的職業(yè)組織參差不齊;甚至對于企業(yè)管理人員,對于信息安全的認識也多停留在紙上談兵;基層人員眾多,且直接面對客戶,流動性大,信息泄露風險極高。而且新生代的企業(yè)員工對計算機和網(wǎng)絡(luò)接觸早,應(yīng)用水平高,日常使用頻繁,在缺乏網(wǎng)絡(luò)安全防護意識的情況下更易導致信息泄漏,甚至在好奇心理的鼓動下主動發(fā)起網(wǎng)絡(luò)攻擊行為,所以企業(yè)內(nèi)網(wǎng)安全也成為一個突出的問題。
(4)資金投入有限。
國外企業(yè)在信息安全方面的資金投入達到了企業(yè)整體基建的5%-20%,而我國企業(yè)基本都在2%以下。全世界每年因信息安全方面的漏洞導致的經(jīng)濟損失達數(shù)萬億美元,中國的損失也達到了一百億美元以上,但是中國企業(yè)在這方面的投資只有幾十億美元。因此,我國企業(yè)整體信息化安全建設(shè)預算不足。石油企業(yè)信息化工程是一項繁重的任務(wù),需要在信息安全方面有更大的投入。大型油企需要建立復雜龐大的數(shù)據(jù)庫備份體系,建立并維護高效的網(wǎng)絡(luò)殺毒系統(tǒng)、企業(yè)級防火墻、IDS、IPS系統(tǒng)和完善的補丁更新及發(fā)放機制,以保證企業(yè)各方面的數(shù)據(jù)安全。建立這一復雜的系統(tǒng)需要大量的資金投入,而且其投入回報慢,因此石油企業(yè)普遍輕視這方面的投入和維護,信息安全建設(shè)相對于企業(yè)的發(fā)展整體滯后。
二、石油銷售系統(tǒng)的信息安全管理系統(tǒng)設(shè)計
石油銷售系統(tǒng)的信息安全管理系統(tǒng)是一個程序化、系統(tǒng)化、文件化的管理體系,以預防控制為主,強調(diào)動態(tài)全過程控制。建立相應(yīng)的信息安全管理系統(tǒng),需要從物理、信息、網(wǎng)絡(luò)、系統(tǒng)、管理等多方面保證整體安全;建立綜合防范機制,確保銷售信息安全以及加油卡、EPR等電子銷售系統(tǒng)的可靠運行,保障整體信息網(wǎng)絡(luò)的安全、高效、可靠運轉(zhuǎn),規(guī)避潛在風險,供系統(tǒng)的可靠性和安全性。因此,石油銷售系統(tǒng)的信息安全管理系統(tǒng)構(gòu)架分為以下組成:
(1)組織層面。
石油銷售部門應(yīng)建立責任明確的各級信息安全管理組織,包括信息安全委員會、信息安全管理部門,并通過設(shè)立信息安全員,指定專人專項負責。通過這些部門和負責人開展信息安全認知宣傳和培訓,提高企業(yè)員工對信息安全重要性的認識。
(2)制度層面。
制定安全方針、安全管理制度、安全操作規(guī)程和突發(fā)事件應(yīng)急預案等一系列章程,經(jīng)科學性審核和測試后下發(fā)各級部門,提升企業(yè)的信息安全管理的效能,減少事故發(fā)生風險,提高應(yīng)急響應(yīng)能力。
(3)執(zhí)行層面。
信息安全管理部門應(yīng)當定期檢查和隨機抽查相結(jié)合,監(jiān)督安全制度在各級部門的執(zhí)行情況,評估安全風險,負責PDCA的循環(huán)控制。
(4)技術(shù)層面。
信息安全管理部門要提供安全管理、防護、控制所需的技術(shù)支持,全面保障企業(yè)整體信息安全管理系統(tǒng)建設(shè)。通常信息安全技術(shù)分為物理安全、網(wǎng)絡(luò)安全、主機安全、終端安全、數(shù)據(jù)安全以及應(yīng)用安全等六個方面,主要包括監(jiān)控與審核跟蹤,數(shù)據(jù)備份與恢復,訪問管理與身份認證,信息加密與加固等具體技術(shù)措施。通過有效的信息安全管理平臺和運作平臺,在最短時間內(nèi)對信息安全事件進行響應(yīng)處理,保障信息安全管控措施的落實,實現(xiàn)信息安全管理的目標。
三、結(jié)語
[論文摘要]通過對電力系統(tǒng)計算機網(wǎng)絡(luò)存在的網(wǎng)絡(luò)安全問題的分析,提出相應(yīng)的安全對策,并介紹應(yīng)用于電力系統(tǒng)計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)。
在全球信息化的推動下,計算機信息網(wǎng)絡(luò)作用不斷擴大的同時,信息網(wǎng)絡(luò)的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障,是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠站自動化、配電網(wǎng)自動化、電力負荷控制、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復雜的大型系統(tǒng)工程。應(yīng)結(jié)合電力工業(yè)特點,深入分析電力系統(tǒng)信息安全存在的問題,探討建立電力系統(tǒng)信息安全體系,保證電網(wǎng)安全穩(wěn)定運行,提高電力企業(yè)社會效益和經(jīng)濟效益,更好地為國民經(jīng)濟高速發(fā)展和滿足人民生活需要服務(wù)。
研究電力系統(tǒng)信息安全問題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時的防范與系統(tǒng)恢復措施等信息安全戰(zhàn)略是當前信息化工作的重要內(nèi)容。
一、電力系統(tǒng)的信息安全體系
信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。
信息安全涉及的因素有,物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。
信息安全應(yīng)該實行分層保護措施,有以下五個方面,
①物理層面安全,環(huán)境安全、設(shè)備安全、介質(zhì)安全,②網(wǎng)絡(luò)層面安全,網(wǎng)絡(luò)運行安全,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全,③系統(tǒng)層面安全,操作系統(tǒng)安全,數(shù)據(jù)庫管理系統(tǒng)安全,④應(yīng)用層面安全,辦公系統(tǒng)安全,業(yè)務(wù)系統(tǒng)安全,服務(wù)系統(tǒng)安全,⑤管理層面安全,安全管理制度,部門與人員的組織規(guī)則。
二、電力系統(tǒng)的信息安全策略
電力系統(tǒng)的信息安全具有訪問方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點。信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細考慮,并在實際運行中嚴格管理。為了保障信息安全,采取的策略如下:
(一)設(shè)備安全策略
這是在企業(yè)網(wǎng)規(guī)劃設(shè)計階段就應(yīng)充分考慮安全問題。將一些重要的設(shè)備,如各種服務(wù)器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止意外損壞。對于終端設(shè)備,如工作站、小型交挾機、集線器和其它轉(zhuǎn)接設(shè)備要落實到人,進行嚴格管理。
(一)安全技術(shù)策略
為了達到保障信息安全的目的,要采取各種安全技術(shù),其不可缺少的技術(shù)層措施如下:
1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù),它通過單一集中的安全檢查點,強制實糟相應(yīng)的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。
2.病毒防護技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端,在服務(wù)器上安裝基于服務(wù)器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個LAN內(nèi)的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
4.數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫必須定期進行備份,按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進災難恢復技術(shù),對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復預案,并進行定期預演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。
5.安全審計技術(shù)。隨著系統(tǒng)規(guī)模的擴展與安全設(shè)施的完善,應(yīng)該引入集中智能的安全審計系統(tǒng),通過技術(shù)手段,實現(xiàn)自動對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、安全設(shè)施運行日志等進行統(tǒng)一安全審計,及時自動分析系統(tǒng)安全事件,實現(xiàn)系統(tǒng)安全運行管理。
6.建立信息安全身份認證體系。CA是CertificateAuthority的縮寫,即證書授權(quán)。在電子商務(wù)系統(tǒng)中,所有實體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的。一個完整、安全的電子商務(wù)系統(tǒng)必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統(tǒng)就其實質(zhì)來說,是一個典型的電子商務(wù)系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場技術(shù)支持系統(tǒng)中,作為市場成員交易各方的身份確認、物流控制、財務(wù)結(jié)算、實時數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認證系統(tǒng)。在電力系統(tǒng)中,電子商務(wù)逐步擴展到電力營銷系統(tǒng)、電力物質(zhì)采購系統(tǒng)、電力燃料供應(yīng)系統(tǒng)等許多方面。因此,建立全國和網(wǎng)、省公司的cA機構(gòu),對企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認證和數(shù)字簽名等安全認證,對系統(tǒng)中關(guān)鍵業(yè)務(wù)進行安全審計,并開展與銀行之間、上下級CA機構(gòu)之間、其他需要CA機構(gòu)之間的交叉認證的技術(shù)研究及試點工作。
(三)組織管理策略
信息安全是技術(shù)措施和組織管理措施的統(tǒng)一,“三分技術(shù)、七分管理”。據(jù)統(tǒng)計,在所有的計算機安全事件中,屬于管理方面的原因比重高達70%以上。沒有管理,就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品,如果沒有科學的組織管理配合,都會形同虛設(shè)。
1.安全意識與安全技能。通過普及安全知識的培訓,可以提高電力企業(yè)職員安全知識和安全意識,使他們具備一些基本的安全防護意識和發(fā)現(xiàn)解決某些常見安全問題的能力。通過專業(yè)安全培訓提高操作維護者的安全操作技能,然后再配合第三方安全技術(shù)和產(chǎn)品,將使信息安全保障工作得到提升。
2.安全策略與制度。電力企業(yè)應(yīng)該從企業(yè)發(fā)展角度對整體的信息安全工作提供方針性指導,制定一套指導性的、統(tǒng)一的安全策略和制度。沒有標準,無法衡量信息的安全,沒有法規(guī),無從遵循信息安全的制度,沒有策略,無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化,是法規(guī)與管理的接口和信息安全得以實現(xiàn)的重要保證。
3.安全組織與崗位。電力企業(yè)的組織體系應(yīng)實行“統(tǒng)一組織、分散管理”的方式,建立一個有效、獨立的信息安全部門作為企業(yè)的信息安全管理機構(gòu),全面負責企業(yè)范圍內(nèi)的信息安全管理和維護工作。安全崗位是信息系統(tǒng)安全管理機構(gòu),根據(jù)系統(tǒng)安全需要設(shè)定的負責某一個或某幾個安全事務(wù)的職位,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導關(guān)系的若干層次的一個序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作,使各級信息技術(shù)部門也因此會很好配合信息安全推行工作。
基于PKI/CA技術(shù)的跨行業(yè)集成框架按照分層的思想進行設(shè)計,利用了PKI/CA技術(shù)作為數(shù)據(jù)傳輸?shù)陌踩U?,利用消息中間件作為數(shù)據(jù)傳輸?shù)耐ǖ?,屏蔽各方系統(tǒng)的異構(gòu)性,從而將跨部門、跨行業(yè)的信息系統(tǒng)進行集成。從技術(shù)上看,系統(tǒng)集成后,各方系統(tǒng)將是對等部署結(jié)構(gòu)。從單方來看,該框架結(jié)構(gòu)可分為與內(nèi)部系統(tǒng)接口、電子憑證庫系統(tǒng)、電子印章系統(tǒng)、時間戳系統(tǒng)、PKI/CA基礎(chǔ)設(shè)施、直達通道、收發(fā)系統(tǒng)7個部分。
1.1PKI/CA基礎(chǔ)設(shè)施
以數(shù)字證書為核心的PKI/CA技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證,從而保證:信息除發(fā)送方和接收方外不被其他人竊??;信息在傳輸過程中不被篡改;接收方能夠通過數(shù)字證書來確認發(fā)送方的身份;發(fā)送方對于自己的信息不能抵賴。
1.2與內(nèi)部系統(tǒng)接口
一方面主要負責將業(yè)務(wù)系統(tǒng)中存儲的業(yè)務(wù)數(shù)據(jù)、電子印章等按照預先確定的規(guī)范組成相應(yīng)的xml電子報文,再傳入電子憑證庫系統(tǒng);另一方面,從電子憑證庫系統(tǒng)中接收對方傳入的xml格式報文,解密后傳入內(nèi)部系統(tǒng)。此外,還可實現(xiàn)直接與收發(fā)系統(tǒng)連接,實現(xiàn)不需要安全保障機制的普通查詢等業(yè)務(wù),以提高數(shù)據(jù)交換效率。
1.3電子憑證庫系統(tǒng)
電子憑證庫系統(tǒng)可形象描述為現(xiàn)實中存放文件的“鐵皮柜”,是整個集成框架的核心部分。包括電子憑證模板管理、傳輸隊列路由管理、安全管理、憑證管理等4大功能。憑證模板管理模塊按照雙方的約定,設(shè)計傳輸憑證的樣式以及具體的簽章個數(shù)及位置;傳輸隊列路由管理模塊用來記錄憑證傳出的去向和接收的來源;安全管理模塊用來控制使用電子憑證庫系統(tǒng)的范圍,避免未經(jīng)允許的用戶使用電子憑證庫,此外還包括預留印鑒的校對、詳細記錄各種日志信息,實現(xiàn)對憑證操作的可追溯等功能;憑證管理模塊用來實現(xiàn)電子憑證收發(fā)、作廢、恢復、查詢、打印、狀態(tài)監(jiān)控、歸檔等功能。
1.4電子印章系統(tǒng)
電子印章系統(tǒng)可形象描述為現(xiàn)實中存放大紅印章的保險柜。其功能包括公章管理、私章管理及印章備案管理。在實現(xiàn)上,將CA證書與電子印章圖片進行綁定,從而保證某個印章圖片與具體的CA證書有關(guān)。
1.5時間戳系統(tǒng)
時間戳系統(tǒng)基于PKI技術(shù),對外提供精確可信的時間戳服務(wù)。它采用精確的時間源、高強度高標準的安全機制,以確認系統(tǒng)處理數(shù)據(jù)在某一時間的存在性和相關(guān)操作的相對時間順序,為信息系統(tǒng)中的時間防抵賴提供基礎(chǔ)服務(wù)。
1.6直達通道用于實時性強的數(shù)據(jù)傳輸處理。例如某些查詢服務(wù),可通過明文進行系統(tǒng)間數(shù)據(jù)傳輸。
1.7基于消息中間件的收發(fā)系統(tǒng)
充分利用消息中間件高效可靠的消息傳遞機制進行平臺無關(guān)的數(shù)據(jù)交流,并基于數(shù)據(jù)通信來進行分布式系統(tǒng)的集成。通過提供消息傳遞和消息排隊模型,實現(xiàn)跨行業(yè)系統(tǒng)間電子憑證信息的發(fā)送和接收,發(fā)送者將消息發(fā)送給消息服務(wù)器,消息服務(wù)器將消息存放在若干隊列中,在合適的時候再將消息轉(zhuǎn)發(fā)給接收者。消息中間件能在不同平臺之間通信,它常被用來屏蔽掉各種平臺及協(xié)議之間的特性,實現(xiàn)應(yīng)用程序之間的協(xié)同操作。
2基于PKI/CA技術(shù)的集成框架實現(xiàn)
在集成多個異構(gòu)系統(tǒng)時,首先需要各方商定交換憑證的格式,即交換報文規(guī)范。其次,要規(guī)范電子憑證格式、電子印章格式,可以互聯(lián)互通。第三,要規(guī)范電子憑證庫系統(tǒng)、電子印章系統(tǒng)等軟件服務(wù)系統(tǒng)的服務(wù)接口,為各方異構(gòu)系統(tǒng)提供交換服務(wù)。第四,各方要改造已有系統(tǒng),使其與集成框架進行對接。下面就最重要的報文規(guī)范和各方系統(tǒng)改造方案進行說明。
2.1規(guī)范交換報文
雙方之間數(shù)據(jù)交換標準需要進行嚴格的約定,需要制定標準報文規(guī)范以實現(xiàn)雙方或多方系統(tǒng)互聯(lián)互通。報文分報文頭和報文體兩部分:報文頭是交換各方進行數(shù)據(jù)交換的相關(guān)信息,主要是為電子憑證在消息中間件上按照消息傳輸時增加的頭信息;報文體包括電子憑證數(shù)量和電子憑證信息兩個部分。電子憑證數(shù)量用于描述報文中所包含的電子憑證的筆數(shù),電子憑證信息可包括一筆或多筆電子憑證,每筆憑證由憑證狀態(tài)、附加信息、業(yè)務(wù)憑證原文、簽名信息以及簽章信息5個部分組成。
2.2實現(xiàn)步驟
業(yè)務(wù)系統(tǒng)產(chǎn)生憑證,加蓋印章之后,需要存放入憑證庫,并通過收發(fā)通道發(fā)送給接收方,具體實現(xiàn)步驟如下:
(1)甲方業(yè)務(wù)系統(tǒng)調(diào)用內(nèi)部系統(tǒng)服務(wù)接口生成憑證原文,憑證格式參照2.1小節(jié)。
(2)甲方業(yè)務(wù)系統(tǒng)通過內(nèi)部服務(wù)接口調(diào)用電子憑證服務(wù)系統(tǒng)接口對憑證進行簽章。
(3)甲方電子憑證庫系統(tǒng)調(diào)用電子印章系統(tǒng)接口加蓋電子印章。首先對憑證已經(jīng)存在的簽章進行校驗,如果存在原文纂改,則直接返回錯誤;校驗通過后,再對憑證進行簽章。其原理本地取出已燒入UsbKey的印章圖片的Hash摘要送入電子印章系統(tǒng)驗章,驗章通過后調(diào)用時間戳服務(wù)系統(tǒng)接口加蓋時間戳,然后將憑證原文的Hash摘要和帶時間戳的電子印章Hash摘要送入UsbKey中進行私鑰簽名。
(4)甲方內(nèi)部服務(wù)接口通過電子憑證庫系統(tǒng)調(diào)用收發(fā)通道的發(fā)送接口,利用數(shù)字信封技術(shù)發(fā)送到接收方(乙方)。
(5)乙方系統(tǒng)進行接收、解開數(shù)字信封、驗章、校驗業(yè)務(wù)數(shù)據(jù)一系列操作后將憑證回單,回單時也要進行電子簽章等一系列操作。
(6)甲方電子憑證庫系統(tǒng)定時從收發(fā)通道中讀取數(shù)據(jù),并進行打開數(shù)字信封、解密、驗章等操作,通過驗證之后,放入甲方的電子憑證庫中。
(7)甲方業(yè)務(wù)系統(tǒng)接口定期從憑證庫中查詢憑證回單,通過一些業(yè)務(wù)邏輯驗證之后,存放入甲方業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫中。
(8)甲方業(yè)務(wù)系統(tǒng)客戶端調(diào)用刷新界面來查看已回單的業(yè)務(wù)數(shù)據(jù),并調(diào)用電子憑證系統(tǒng)接口打印電子憑證。
3實例和應(yīng)用效果
本研究成果已應(yīng)用于河北省預算單位、財政廳、河北省內(nèi)絕大多數(shù)商業(yè)銀行和中國人民銀行石家莊中心支行系統(tǒng)間的銜接,實現(xiàn)預算審批、資金申請、電子支付、清算等事項。財政廳使用的政府財政管理信息系統(tǒng)主要用于預算填制、審批。人行使用的Tips系統(tǒng)主要用于資金清算。商業(yè)銀行系統(tǒng)主要用于資金的支付。由于所屬不同的責任主體,各方系統(tǒng)不可能重新開發(fā)為一套業(yè)務(wù)系統(tǒng),原來采用信息流輔助業(yè)務(wù)控制的辦法進行信息系統(tǒng)整合,即信息可通過一定辦法進行交換,業(yè)務(wù)上通過紙質(zhì)憑證加蓋公章,再由人工傳遞到相關(guān)單位進行紙質(zhì)憑證核對。通過引入基于PKI基礎(chǔ)設(shè)施的系統(tǒng)集成模型,將三方系統(tǒng)從預算審批到資金支付,再到資金清算的全鏈條貫通,完全實現(xiàn)了信息流、業(yè)務(wù)流的自動化運轉(zhuǎn),大大提高了業(yè)務(wù)辦公安全性、資金支付效率,壓縮了行政辦公成本。僅省本級財政部門本身就可節(jié)約紙張100萬張/年,并減少了公車傳遞紙質(zhì)憑證、人工蓋章、驗章所需時間,更重要的是由于引入了電子簽名技術(shù),杜絕了“蘿卜章”,資金支付的安全性得到了有效保障。
4結(jié)語
1.1網(wǎng)絡(luò)升級改造引入安全新威脅
隨著電信網(wǎng)絡(luò)的全面IP化,原來互聯(lián)網(wǎng)中才會存在的安全威脅被引入到電信網(wǎng)絡(luò)中,如木馬程序、僵尸程序、拒絕服務(wù)攻擊等。在IP技術(shù)和傳統(tǒng)電信網(wǎng)相融合的過程中,又出現(xiàn)了具有電信網(wǎng)特點的新安全威脅,例如利用IP技術(shù)針對電信網(wǎng)業(yè)務(wù)層面的攻擊。
1.2移動終端的智能化存安全隱患
智能終端的接入方式多種多樣、接入速度越來越寬帶化,使得智能終端與通信網(wǎng)絡(luò)的聯(lián)系更加緊密。智能終端的安全性已嚴重威脅著電信網(wǎng)絡(luò)和業(yè)務(wù)的安全,隨著運營商全業(yè)務(wù)運營的不斷深入,以前分散的業(yè)務(wù)支撐系統(tǒng)逐步融合集成,但核心網(wǎng)和業(yè)務(wù)網(wǎng)之間的連接通常采用直連的方式,安全防護措施相對薄弱。在智能終端處理能力不斷提升的今天,如果終端經(jīng)由核心網(wǎng)發(fā)起針對業(yè)務(wù)系統(tǒng)的攻擊,將會帶來巨大的安全威脅。另一方面,智能終端平臺自身也面臨著嚴峻的安全考驗,其硬件架構(gòu)缺乏完整性驗證機制,導致模塊容易被攻擊篡改,并且模塊之間的接口缺乏對機密性、完整性的保護,在此之上傳遞的信息容易被篡改和竊聽。憑借智能終端高效的計算能力和不斷擴展的網(wǎng)絡(luò)帶寬,終端本身的安全漏洞很可能轉(zhuǎn)化為對運營商網(wǎng)絡(luò)的安全威脅。
1.3安全防護體系建設(shè)相對滯后
隨著云計算云服務(wù)、移動支付的引入和發(fā)展,給運營商現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)及其安全帶來了不可預知的風險。新興的電信增值業(yè)務(wù)規(guī)模不斷擴大,用戶數(shù)量不斷增加,因此更易受到網(wǎng)絡(luò)的攻擊、黑客的入侵。新技術(shù)新業(yè)務(wù)在帶來營收增長的同時,也帶來了越來越多的安全威脅因素和越來越復雜的網(wǎng)絡(luò)安全問題,使得運營商對新業(yè)務(wù)安全管控的難度越來越大。面對新技術(shù)新業(yè)務(wù)帶來的風險,行業(yè)安全標準的制定相對滯后,現(xiàn)階還不能夠?qū)ν{安全的因素做出一個全面客觀的評估,因此也就談不上制定相應(yīng)的風險防范應(yīng)對措施,并且業(yè)界對新領(lǐng)域的安全防護經(jīng)驗不夠豐富,當出現(xiàn)重大威脅網(wǎng)絡(luò)安全事件的時候,對故障的響應(yīng)處理能力還有待商榷。
2電信運營商網(wǎng)絡(luò)安全防護措施
2.1加強網(wǎng)絡(luò)安全的維護工作
面對網(wǎng)絡(luò)信息安全存在的挑戰(zhàn),基礎(chǔ)安全維護工作是根本,運營商需要做好安全保障和防護工作,并在實踐中不斷加強和完善。對網(wǎng)絡(luò)中各類系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備進行加固,定期開展安全防護檢查,實現(xiàn)現(xiàn)有網(wǎng)絡(luò)安全等級的提升。安全維護人員在日常工作中也必須按照規(guī)定嚴格控制網(wǎng)絡(luò)維護設(shè)備的訪問控制權(quán)限,加強網(wǎng)絡(luò)設(shè)備賬號口令及密碼的管理,提高網(wǎng)絡(luò)安全防護能力。
2.2加強新興領(lǐng)域的安全建設(shè)
云計算、移動互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)的發(fā)展,帶來了復雜的網(wǎng)絡(luò)信息安全問題,為了加強對新興領(lǐng)域的安全管理,運營商需要從新領(lǐng)域安全策略的制定和安全手段的創(chuàng)新兩方面著手。
2.2.1加強安全策略的制定
應(yīng)對新技術(shù)新業(yè)務(wù)的挑戰(zhàn),對全網(wǎng)安全需要重新規(guī)劃和管理,建立與之匹配的安全標準、安全策略作為行動指導,并形成對服務(wù)提供商的監(jiān)控監(jiān)管。在新業(yè)務(wù)規(guī)劃時,安全規(guī)劃要保持同步,從業(yè)務(wù)設(shè)計開始就應(yīng)將安全因素植入,盡量早發(fā)現(xiàn)漏洞、彌補漏洞。
2.2.2加強安全手段的創(chuàng)新
新技術(shù)的發(fā)展讓傳統(tǒng)網(wǎng)絡(luò)的安全系統(tǒng)和防御機制難以滿足日益復雜的安全防護需求,需要有新的安全防御手段與之抗衡。因此集監(jiān)控分析、快速處置為一體的云安全等新的技術(shù)手段就值得我們?nèi)ゲ粩嘌芯?,并進行商用部署。
2.3加強安全防護管理體系的建設(shè)
做好管理體系的建設(shè),首先需要制定配套的規(guī)章制度。網(wǎng)絡(luò)信息的安全,必須以行之有效的安全規(guī)章制度作保證。需明確安全管理的范圍,確定安全管理的等級,把各項安全維護工作流程化、標準化,讓安全管理人員和安全維護人員明確自身的職責,從而有效地實施安全防護措施和網(wǎng)絡(luò)應(yīng)急響應(yīng)預案,提高運營商整體的安全防護能力。其次需要建立縱向上貫穿全國的安全支撐體系。隨著網(wǎng)絡(luò)的聚合程度越來越高,省份之間的耦合程度越來越密,全國就是一張密不可分的網(wǎng)。因此需建立全國一體化的、統(tǒng)一調(diào)度管理的安全管理支撐體系。當出現(xiàn)攻擊時集團、省、市三級安全支撐隊伍能聯(lián)動起來,做到應(yīng)對及時有效。
3結(jié)束語
最近幾年,水利部門根據(jù)水利工作的實際狀況,在對治水經(jīng)驗和實際操作進行總結(jié)的過程中,提出要轉(zhuǎn)變過去的水利發(fā)展道路,堅持走可持續(xù)發(fā)展水利道路,建立水利現(xiàn)代化的發(fā)展道路。隨著水利事業(yè)的不斷發(fā)展和變革,水利信息化構(gòu)建也取得了一定的成績,逐漸轉(zhuǎn)變成為水利現(xiàn)代化的主要力量。根據(jù)國家防汛抗旱指揮系統(tǒng)中的一期工程城市水資源的監(jiān)控管理,水利電子政務(wù)的相關(guān)項目和大型灌區(qū)信息化試點等重要工程的順利完成,水利信息化基礎(chǔ)設(shè)備也在不斷的健全,對業(yè)務(wù)的使用能力也在逐漸加強。防汛抗旱,城市水資源的監(jiān)控管理,水利電子政務(wù)和全國水土保持監(jiān)管信息體系等業(yè)務(wù)也開始應(yīng)用到實際生活中。在水利信息化基礎(chǔ)構(gòu)建和業(yè)務(wù)不斷拓展的過程中,相關(guān)的保證水利信息化安全的體系也逐漸形成。
2強化水利網(wǎng)絡(luò)信息安全的解決措施
網(wǎng)絡(luò)和信息的安全隱患問題,使得水利信息化的發(fā)展受到阻礙,所以要及時的進行預防,綜合治理和科學管理,逐漸增加信息的安全性,加強其中的保護能力,保證水利信息化的持續(xù)運行。
2.1加強信息安全管理
信息安全規(guī)劃包含了技術(shù)、管理和相關(guān)法律等多個層面的問題,是穩(wěn)定網(wǎng)絡(luò)安全、物理安全、資料安全和使用安全的關(guān)鍵因素。信息安全規(guī)劃不但依賴于信息化的管理,還是信息化形成的重要力量。在信息安全管理的過程中,信息系統(tǒng)安全構(gòu)建和管理要更加具有系統(tǒng)性、整體性和目標性。
2.1.1以信息化規(guī)劃為基礎(chǔ),構(gòu)建信息化建設(shè)
信息安全是在信息化規(guī)劃的基礎(chǔ)上,對信息安全進行系統(tǒng)的整理,是信息化發(fā)展的主要力量。信息安全規(guī)劃不但要對信息化發(fā)展的實際情況進行深入的分析和研究,更好的發(fā)現(xiàn)信息化中存在的安全隱患,還要根據(jù)信息化規(guī)劃以及信息化發(fā)展的主要戰(zhàn)略和思路,有效的處理信息安全的問題。
2.1.2構(gòu)建信息安全系統(tǒng)
信息安全規(guī)劃需要從技術(shù)安全、組織安全、戰(zhàn)略安全等方面入手,構(gòu)建相關(guān)的信息安全系統(tǒng),從而更好的保證信息化的安全。
2.2日常的運維管理
2.2.1注重網(wǎng)絡(luò)的安全監(jiān)控
網(wǎng)絡(luò)的飛速發(fā)展使得水利網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)安全關(guān)系更加緊密。所以,注重互聯(lián)網(wǎng)安全監(jiān)控,從而及時的采取相關(guān)的安全防護措施,是現(xiàn)在日常安全管理工作中的主要內(nèi)容。
2.2.2安全狀態(tài)研究
網(wǎng)絡(luò)信息安全是處于不斷變化的過程中,需要定時對網(wǎng)絡(luò)安全環(huán)境進行整體的分析,這樣不但可以發(fā)現(xiàn)其中的問題,還可以及時的采取相關(guān)的措施進行改正。安全態(tài)勢主要是利用網(wǎng)絡(luò)設(shè)備、主機設(shè)備、安全設(shè)備和安全管理工具等策略來進行信息的處理,通過統(tǒng)計和分析,綜合評價網(wǎng)絡(luò)系統(tǒng)的安全性,并且對發(fā)展的狀態(tài)進行判斷。
2.2.3信息安全風險評估
風險評估是信息安全管理工作中的重要部分。通過進行風險評估,可以及時的發(fā)現(xiàn)信息安全中的問題,并且找到積極有效的解決措施。安全風險評估的主要方法是:(1)對被評估的主要信息進行確定;(2)通過本地審計、人員走訪、現(xiàn)場觀看、文檔審閱、脆弱性掃描等方法,對評估范圍中的網(wǎng)絡(luò)、使用和主機等方面的安全技術(shù)和信息進行管理;(3)對取得的信息資料進行綜合的分析,判別被評估信息資產(chǎn)中存在的主要問題和風險;(4)從管理體制、管理措施、系統(tǒng)脆弱性判別、威脅研究、漏洞和現(xiàn)有技術(shù)等方面,根據(jù)風險程度的不同,分析和管理相關(guān)的安全問題;(5)根據(jù)上面的分析結(jié)果,建立相關(guān)的信息安全風險評估報告。
2.2.4應(yīng)急響應(yīng)
所謂的應(yīng)急響應(yīng)就是信息安全保護的最后一道屏障,主要是為了盡量的減少和控制信息安全所造成的嚴重影響,進行及時的響應(yīng)和修復。應(yīng)急響應(yīng)包含了前期應(yīng)急準備和后期應(yīng)急響應(yīng)兩個部分。前期應(yīng)急準備主要有預警預防制度、組織指導系統(tǒng)、應(yīng)急響應(yīng)過程、應(yīng)急團隊、應(yīng)急器械、技術(shù)支持、費用支持等應(yīng)急措施,并且定時進行應(yīng)急演練等。后期應(yīng)急措施主要有檢查病毒、系統(tǒng)防護、阻斷后門等問題,對網(wǎng)絡(luò)服務(wù)進行限制或關(guān)閉以及事后的恢復系統(tǒng)等工作。通過兩個部分的不斷配合,才能更好的發(fā)揮應(yīng)急響應(yīng)的重要作用。
2.3教育培養(yǎng)
人是信息安全的主要力量,其中的知識構(gòu)造和使用能力對信息安全工作有著重要的影響。強化信息安全管理人員的專業(yè)素養(yǎng),及時的進行信息安全教育,提升人們的信息安全意識,從而有效的減少信息安全問題的出現(xiàn)。
3總結(jié)
1.1實現(xiàn)物理隔離的安全性
在智能電網(wǎng)的諸多安全方面中,物理安全非常重要,其內(nèi)涵意義是指運營智能電網(wǎng)的系統(tǒng)過程中所必備的各類硬件設(shè)施的安全性。其中最主要的有對硬件設(shè)備方面被物理非法性的入侵的防范、對無授權(quán)物理的訪問的防止以及嚴格按照國家的標準構(gòu)建機房等。其中,主要的硬件設(shè)施有,流量的智能統(tǒng)計器、各類測量的儀器以及各種類型的傳感設(shè)施,在通信體系中各類網(wǎng)絡(luò)應(yīng)用設(shè)施、主機和數(shù)據(jù)存儲的空間。
1.2網(wǎng)絡(luò)的安全
網(wǎng)絡(luò)安全需要智能電網(wǎng)應(yīng)該具備高可靠性。當前智能網(wǎng)絡(luò)的發(fā)展規(guī)模急劇膨脹,互聯(lián)網(wǎng)電網(wǎng)體系逐步形成,復雜的電力系統(tǒng)的結(jié)構(gòu)對電網(wǎng)的安全性和穩(wěn)定性進行了加強,但其脆弱的防線也成為重大的問題。尤其當前網(wǎng)絡(luò)的環(huán)境復雜性增強,智能化的攻擊手段防不勝防。個人用戶的網(wǎng)絡(luò)信息也不斷受到威脅。智能的終端始終存在漏洞。
1.3數(shù)據(jù)的安全保障弱、備份能力低
當前盡管對數(shù)據(jù)的保護以及數(shù)據(jù)自身安全性的軟件很多,但網(wǎng)絡(luò)的復雜化使得風險市場存在。數(shù)據(jù)被破壞、被盜取,數(shù)據(jù)庫被侵犯的現(xiàn)狀依然存在。智能電網(wǎng)的數(shù)據(jù)對于整個國家電力系統(tǒng)的運行都是至關(guān)重要的,因而必須制度化的、規(guī)范化的進行數(shù)據(jù)的安全措施,以改善當前的狀況。
2解決智能電網(wǎng)安全的方案
2.1邊界的安全防護
邊界的安全防護著力于有效的的控制與監(jiān)測該邊界中進出的數(shù)據(jù)流。檢測的有效機制是以網(wǎng)絡(luò)入侵的檢測為基礎(chǔ),在網(wǎng)絡(luò)的邊界進行檢測與清除惡意的代碼,并對網(wǎng)絡(luò)進出的信息內(nèi)容加以濾化。以此來真正實現(xiàn)過濾諸多協(xié)議的命令并進行有效的控制,同時對網(wǎng)絡(luò)的最大流量以及網(wǎng)絡(luò)的連接數(shù)進行限制,提升智能電網(wǎng)的安全性和節(jié)約性。以會話的狀態(tài)和信息為基礎(chǔ)進行安全性分析,提升對不良信息的拒絕能力,以單位對允許或者拒絕信息對網(wǎng)內(nèi)資源的訪問進行決策。其中,實現(xiàn)這一功能最有效的軟件即建設(shè)邊界的防火墻。因而,必須明確的找出網(wǎng)絡(luò)區(qū)域的安全邊界,以此來在各個點設(shè)置防火墻。
2.2網(wǎng)絡(luò)環(huán)境的安全保護
對于我國的電網(wǎng)公司而言,其網(wǎng)絡(luò)點安全問題產(chǎn)生于各個單位的網(wǎng)點。這樣網(wǎng)絡(luò)的大環(huán)境下,必須進行安全的防護以保證智能電網(wǎng)的安全性和不斷的發(fā)展。
2.2.1從結(jié)構(gòu)上提高各網(wǎng)絡(luò)設(shè)備的性能,提升其對電網(wǎng)業(yè)務(wù)的處理力度并始終存有大量的空間。這樣,在智能電網(wǎng)面臨高峰期的業(yè)務(wù)階段時,線路和設(shè)備的設(shè)置能夠滿足其繁雜而大量的業(yè)務(wù)需求。
2.2.2安全的接入方面必須有效的控制安全的接入控制,運用當前最主要的協(xié)議類型,實現(xiàn)全網(wǎng)絡(luò)的控制。對非注冊的主機進行控制,使其無法對網(wǎng)絡(luò)進行使用,有效的保護主機。實現(xiàn)資源的安全存儲,避免外來信息的非法訪問。
2.2.3安全的管理設(shè)備在網(wǎng)絡(luò)的設(shè)備登錄中,必須設(shè)置身份的驗證,限制管理員的網(wǎng)絡(luò)設(shè)備登陸地址。設(shè)置的口令必須要更強、更長、更復雜,同時定時進行變更。對同一用戶進行連續(xù)登錄實行失敗次數(shù)記錄,超過一定次數(shù)變進行鎖定。
2.2.4對安全弱點進行掃描在智能電網(wǎng)內(nèi)部網(wǎng)絡(luò)中,進行漏洞的掃描系統(tǒng)設(shè)定,對網(wǎng)絡(luò)系統(tǒng)、相關(guān)的設(shè)備以及數(shù)據(jù)資料庫定期掃描,及時發(fā)現(xiàn)錢富裕系統(tǒng)中的漏洞,防范攻擊。
3結(jié)束語