前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的關(guān)于信息安全應(yīng)急響應(yīng)主題范文,僅供參考,歡迎閱讀并收藏。
(一)目的
為科學(xué)應(yīng)對網(wǎng)絡(luò)與信息安全(以下簡稱信息安全)突發(fā)事件,建立健全信息安全應(yīng)急響應(yīng)機制,有效預(yù)防、及時控制和最大限度地消除信息安全各類突發(fā)事件的危害和影響,制定本應(yīng)急預(yù)案。
(二)工作原則
1.統(tǒng)一領(lǐng)導(dǎo),協(xié)同配合。全區(qū)信息安全突發(fā)事件應(yīng)急工作由區(qū)信息化工作領(lǐng)導(dǎo)組統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào),相關(guān)部門按照“統(tǒng)一領(lǐng)導(dǎo)、歸口負(fù)責(zé)、綜合協(xié)調(diào)、各司其職”的原則協(xié)同配合,具體實施。
2.明確責(zé)任,依法規(guī)范。各鎮(zhèn)人民政府、各街道辦事處、區(qū)直各部門按照“屬地管理、分級響應(yīng)、及時發(fā)現(xiàn)、及時報告、及時救治、及時控制”的要求,依法對信息安全突發(fā)事件進行防范、監(jiān)測、預(yù)警、報告、響應(yīng)、協(xié)調(diào)和控制。按照“誰主管、誰負(fù)責(zé),誰運營、誰負(fù)責(zé)”的原則,實行責(zé)任分工制和責(zé)任追究制。
3.條塊結(jié)合,整合資源。充分利用現(xiàn)有信息安全應(yīng)急支援服務(wù)設(shè)施,整合我區(qū)所屬信息安全工作力量。充分依靠省市各有關(guān)部門在地方的信息安全工作力量,進一步完善應(yīng)急響應(yīng)服務(wù)體系,形成區(qū)域信息安全保障工作合力。
4.防范為主,加強監(jiān)控。宣傳普及信息安全防范知識,牢固樹立“預(yù)防為主、常抓不懈”的意識,經(jīng)常性地做好應(yīng)對信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機制準(zhǔn)備和工作準(zhǔn)備,提高公共防范意識以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平。加強對信息安全隱患的日常監(jiān)測,發(fā)現(xiàn)和防范重大信息安全突發(fā)性事件,及時采取有效的可控措施,迅速控制事件影響范圍,力爭將損失降到最低程度。
(三)適用范圍
本預(yù)案適用III、IV級應(yīng)急處理工作和具體響應(yīng)I、II級應(yīng)急處理工作。
基礎(chǔ)通信網(wǎng)絡(luò)的應(yīng)急處理按照信息產(chǎn)業(yè)部有關(guān)規(guī)定實施,區(qū)人民政府積極支持和配合。
二、組織機構(gòu)及職責(zé)
(一)應(yīng)急指揮機構(gòu)
在區(qū)信息化工作領(lǐng)導(dǎo)組的統(tǒng)一領(lǐng)導(dǎo)下,設(shè)立區(qū)網(wǎng)絡(luò)與信息安全突發(fā)事件專項應(yīng)急委員會(以下簡稱區(qū)信息安全專項應(yīng)急委),為區(qū)人民政府處理信息安全突發(fā)事件應(yīng)急工作的綜合性議事、協(xié)調(diào)機構(gòu)。主要職責(zé)是:按照國家、省、市、區(qū)信息化工作領(lǐng)導(dǎo)機構(gòu)的要求開展處置工作;研究決定全區(qū)信息安全應(yīng)急工作的有關(guān)重大問題;決定III、IV級信息安全突發(fā)事件應(yīng)急預(yù)案的啟動,組織力量對III級和IV級突發(fā)事件進行處置;統(tǒng)一領(lǐng)導(dǎo)和組織指揮重大信息安全突發(fā)事件的應(yīng)急響應(yīng)處置工作;區(qū)信息化工作領(lǐng)導(dǎo)組交辦的事項和法律、法規(guī)、規(guī)章規(guī)定的其他職責(zé)。
區(qū)信息安全專項應(yīng)急委由分管信息化工作的副區(qū)長任主任,有關(guān)單位負(fù)責(zé)人組成。
區(qū)信息安全專項應(yīng)急委辦公室設(shè)在區(qū)計算機信息中心,其主要職責(zé)是:
1.督促落實區(qū)信息化工作領(lǐng)導(dǎo)組和區(qū)信息安全專項應(yīng)急委作出的決定和措施;
2.?dāng)M訂或者組織擬訂區(qū)人民政府應(yīng)對信息安全突發(fā)事件的工作規(guī)劃和應(yīng)急預(yù)案,報區(qū)人民政府批準(zhǔn)后組織實施;
3.督促檢查各鎮(zhèn)、各街道和區(qū)直有關(guān)部門信息安全專項應(yīng)急預(yù)案的制訂、修訂和執(zhí)行情況,并給予指導(dǎo);
4.督促檢查各鎮(zhèn)、各街道和區(qū)直有關(guān)部門的信息安全突發(fā)事件監(jiān)測、預(yù)警工作情況,并給予指導(dǎo);
5.匯總有關(guān)信息安全突發(fā)事件的各種重要信息,進行綜合分析,并提出建議;
6.監(jiān)督檢查、協(xié)調(diào)指導(dǎo)各鎮(zhèn)、各街道和區(qū)直有關(guān)部門的信息安全突發(fā)事件預(yù)防、應(yīng)急準(zhǔn)備、應(yīng)急處置、事后恢復(fù)與重建工作;
7.組織制訂信息安全常識、應(yīng)急知識的宣傳培訓(xùn)計劃和應(yīng)急救援隊伍的業(yè)務(wù)培訓(xùn)、演練計劃,報區(qū)人民政府批準(zhǔn)后督促落實;
8.區(qū)信息化工作領(lǐng)導(dǎo)組和區(qū)信息安全專項應(yīng)急委交辦的其他工作。
(二)區(qū)信息安全專項應(yīng)急委各成員單位的職責(zé)
區(qū)計算機信息中心:統(tǒng)籌規(guī)劃建設(shè)應(yīng)急處理技術(shù)平臺,會同___公安分局、國保大隊、區(qū)國家保密局等有關(guān)單位組織制定全區(qū)突發(fā)事件應(yīng)急處理政策文件及技術(shù)方案,負(fù)責(zé)安全事件處理的培訓(xùn),及時收集、上報和通報突發(fā)事件情況,負(fù)責(zé)向區(qū)人民政府報告有關(guān)工作情況。
___公安分局:嚴(yán)密監(jiān)控境內(nèi)互聯(lián)網(wǎng)有害信息傳播情況,制止互聯(lián)網(wǎng)上對社會熱點和敏感問題的惡意炒作,監(jiān)測政府網(wǎng)站、新聞網(wǎng)站、門戶網(wǎng)站和國家重大活動、會議期間重點網(wǎng)站網(wǎng)絡(luò)運行安全。對發(fā)生重大計算機病毒疫情和大規(guī)模網(wǎng)絡(luò)攻擊事件進行預(yù)防和處置。依法查處網(wǎng)上散布謠言、制造恐慌、擾亂社會秩序、惡意攻擊黨和政府的有害信息。打擊攻擊、破壞網(wǎng)絡(luò)安全運行、制造網(wǎng)上恐怖事件的違法犯罪行為。
國保大隊:收集潛在的國外敵人攻擊計劃和能力信息,依法對間諜組織以及敵對勢力、民族分裂勢力、勢力等內(nèi)外勾結(jié),利用計算機網(wǎng)絡(luò)危害國家安全的行為開展各種偵察工作;依法對涉嫌危害國家安全的犯罪進行查處;依法對在計算機網(wǎng)絡(luò)上竊取國家秘密或制作、傳播危害國家安全信息的違法犯罪活動進行查處。
區(qū)
財政局:制定經(jīng)費保障相關(guān)政策及方案;保證應(yīng)急處理體系建設(shè)和突發(fā)事件應(yīng)急處理所需經(jīng)費。區(qū)國家保密局:依法組織協(xié)調(diào)有關(guān)部門對計算機網(wǎng)絡(luò)上泄露和竊取國家秘密的行為進行查處,做好密級鑒定和采取補救措施。
(三)現(xiàn)場應(yīng)急處理工作組
發(fā)生安全事件后,區(qū)信息安全專項應(yīng)急委成立現(xiàn)場應(yīng)急處理工作組,對計算機系統(tǒng)和網(wǎng)絡(luò)安全事件的處理提供技術(shù)支持和指導(dǎo),按照正確流程,快速響應(yīng),提出事件統(tǒng)計分析報告。
現(xiàn)場應(yīng)急處理工作組由以下各方面的人員組成:
管理方面包含應(yīng)急委副主任,以及相關(guān)成員單位領(lǐng)導(dǎo)及科室負(fù)責(zé)人。主要任務(wù)是確保安全策略的制定與執(zhí)行;識別網(wǎng)絡(luò)與信息系統(tǒng)正常運行的主要威脅;在出現(xiàn)問題時決定所采取行動的先后順序;做出關(guān)鍵的決定;批準(zhǔn)例外的特殊情況等。
技術(shù)方面應(yīng)包含市有關(guān)專家、區(qū)信息安全有關(guān)技術(shù)支撐機構(gòu)技術(shù)人員。主要負(fù)責(zé)從技術(shù)方面處理發(fā)生問題的系統(tǒng);檢測入侵事件,并采取技術(shù)手段來降低損失。
三、預(yù)警和預(yù)防機制
(一)信息監(jiān)測及報告
1.公安、國保大隊、區(qū)計算機信息中心等單位要加強信息安全監(jiān)測、分析和預(yù)警工作,進一步提高信息安全監(jiān)察執(zhí)法能力,加大對計算機犯罪的打擊力度。
2.建立信息安全事故報告制度。發(fā)生信息安全突發(fā)事件的單位應(yīng)當(dāng)在事件發(fā)生后,立即對發(fā)生的事件進行調(diào)查核實、保存相關(guān)證據(jù),并在事件被發(fā)現(xiàn)或應(yīng)當(dāng)被發(fā)現(xiàn)時起5小時內(nèi)將有關(guān)材料報至區(qū)計算機信息中心。
(二)預(yù)警
區(qū)計算機信息中心接到信息安全突發(fā)事件報告后,在經(jīng)初步核實后,將有關(guān)情況及時向區(qū)信息安全專項應(yīng)急委報告。在進一步綜合情況,研究分析可能造成損害程度的基礎(chǔ)上,提出初步行動對策,視情況召集協(xié)調(diào)會,并根據(jù)應(yīng)急委的決策實施行動方案,指示和命令。
(三)預(yù)警支持系統(tǒng)
區(qū)計算機信息中心建立和逐步完善信息監(jiān)測、傳遞網(wǎng)絡(luò)和指揮決策支持系統(tǒng),要保證資源共享、運轉(zhuǎn)正常、指揮有力。
(四)預(yù)防機制
積極推行信息安全等級保護,逐步實行信息安全風(fēng)險評估。各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與災(zāi)難恢復(fù),制定完善信息安全應(yīng)急處理預(yù)案。針對基礎(chǔ)信息網(wǎng)絡(luò)的突發(fā)性、大規(guī)模安全事件,各相關(guān)部門建立制度化、程序化的處理流程。
四、應(yīng)急處理程序
(一)級別的確定
信息安全事件分級的參考要素包括信息密級、公眾影響和資產(chǎn)損失等四項。各參考要素分別說明如下:
(1)信息密級是衡量因信息失竊或泄文秘站:密所造成的信息安全事件中所涉及信息重要程度的要素;
(2)公眾影響是衡量信息安全事件所造成負(fù)面影響范圍和程度的要素;
(3)業(yè)務(wù)影響是衡量信息安全事件對事發(fā)單位正常業(yè)務(wù)開展所造成負(fù)面影響程度的要素;
(4)資產(chǎn)損失是衡量恢復(fù)系統(tǒng)正常運行和消除信息安全事件負(fù)面影響所需付出資金代價的要素。
信息安全突發(fā)事件級別分為四級:一般(IV級)、較大(III級)、重大(II級)和特別重大(I級)。
IV級:區(qū)內(nèi)較大范圍出現(xiàn)并可能造成較大損害的信息安全事件。
III級:區(qū)屬重要部門網(wǎng)絡(luò)與信息系統(tǒng)、重點網(wǎng)站或者關(guān)系到本地區(qū)社會事務(wù)或經(jīng)濟運行的其他網(wǎng)絡(luò)與信息系統(tǒng)受到大面積嚴(yán)重沖擊。
II級:區(qū)屬重要部門或局部基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、重點網(wǎng)站癱瘓,導(dǎo)致業(yè)務(wù)中斷,縱向或橫向延伸可能造成嚴(yán)重社會影響或較大經(jīng)濟損失。
I級:敵對分子利用信息網(wǎng)絡(luò)進行有組織的大規(guī)模的宣傳、煽動和滲透活動,或者區(qū)直單位多地點或多個基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、重點網(wǎng)站癱瘓,導(dǎo)致業(yè)務(wù)中斷,造成或可能造成嚴(yán)重社會影響或巨大經(jīng)濟損失的信息安全事件。
(二)預(yù)案啟動
1.發(fā)生IV級網(wǎng)絡(luò)信息安全事件后,區(qū)政府啟動相應(yīng)預(yù)案,并負(fù)責(zé)應(yīng)急處理工作;發(fā)生III級網(wǎng)絡(luò)信息安全事件后,區(qū)政府啟動相應(yīng)預(yù)案,并由區(qū)信息安全專項應(yīng)急委負(fù)責(zé)應(yīng)急處理工作;發(fā)生I、II級的信息安全突發(fā)事件后,上報市人民政府啟動相應(yīng)預(yù)案。
2.區(qū)信息安全專項應(yīng)急委辦公室接到報告后,應(yīng)當(dāng)立即上報區(qū)應(yīng)急委,并會同相關(guān)成員單位盡快組織專家組對突發(fā)事件性質(zhì)、級別及啟動預(yù)案的時機開展評估,向區(qū)應(yīng)急委提出啟動預(yù)案的建議,報區(qū)人民政府批準(zhǔn)。
3.在區(qū)人民政府做出啟動預(yù)案決定后,區(qū)信息安全專項應(yīng)急委立即啟動應(yīng)急處理工作。
(三)現(xiàn)場應(yīng)急處理
事件發(fā)生單位和現(xiàn)場應(yīng)急處理工作組盡最大可能收集事件相關(guān)信息,判別事件類別,確定事件來源,保護證據(jù),以便縮短應(yīng)急響應(yīng)時間。
檢查威脅造成的結(jié)果,評估事件帶來的影響和損害:如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性;檢查攻擊者是否侵入了系統(tǒng);以后是否能再次隨意進入;損失的程度;確定暴露出的主要危險等。
抑制事件的影響進一步擴大,限制潛在的損失與破壞??赡艿囊种撇呗砸话惆ǎ宏P(guān)閉服務(wù)或關(guān)閉所有的系統(tǒng),從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)的物理鏈接,修改防火墻和路由器的過濾規(guī)則;封鎖或刪除被攻破的登錄賬號,阻斷可疑用戶得以進入網(wǎng)絡(luò)的通路;提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別;設(shè)置陷阱;啟用緊急事件下的接管系統(tǒng);實行特殊“防衛(wèi)狀態(tài)”安全警戒;反擊攻擊者的系統(tǒng)等。
根除。在事件被抑制之后,通過對有關(guān)惡意代碼或行為的分析結(jié)果,找出事件根源,明確相應(yīng)的補救措施并徹底清除。與此同時,執(zhí)法部門和其他相關(guān)機構(gòu)對攻擊源進行準(zhǔn)確定位并采取合適的措施將其中斷。
清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)。把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到正常的任務(wù)狀態(tài)?;謴?fù)工作應(yīng)十分小心,避免出現(xiàn)操作失誤而導(dǎo)致數(shù)據(jù)丟失。另外,恢復(fù)工作中如果涉及到機密數(shù)據(jù),需要額外按照機密系統(tǒng)的恢復(fù)要求。如果攻擊者獲得了超級用戶的訪問權(quán),一次完整的恢復(fù)應(yīng)強制性地修改所有的口令。
(四)報告和總結(jié)
回顧并整理發(fā)生事件的各種相關(guān)信息,盡可能地把所有情況記錄到文檔中。發(fā)生重大信息安全事件的單位應(yīng)當(dāng)在事件處理完畢后5個工作日內(nèi)將處理結(jié)果報市信息化工作領(lǐng)導(dǎo)組備案。(《重大信息安全事件處理結(jié)果報告表》見附件三)
(五)應(yīng)急行動結(jié)束
根據(jù)信息安全事件的處置進展情況和現(xiàn)場應(yīng)急處理工作組意見,區(qū)計算機信息中心組織相關(guān)部門及專家組對信息安全事件處置情況進行綜合評估,并提出應(yīng)急行動結(jié)束建議,報區(qū)人民政府批準(zhǔn)。應(yīng)急行動是否結(jié)束,由區(qū)人民政府決定。
五、保障措施
(一)技術(shù)支撐保障
區(qū)計算機信息中心建立預(yù)警與應(yīng)急處理的技術(shù)平臺,進一步提高安全事件的發(fā)現(xiàn)和分析能力:從技術(shù)上逐步實現(xiàn)發(fā)現(xiàn)、預(yù)警、處置、通報等多個環(huán)節(jié)和不同的網(wǎng)絡(luò)、系統(tǒng)、部門之間應(yīng)急處理的聯(lián)動機制。
(二)應(yīng)急隊伍保障
加強信息安全人才培養(yǎng),強化信息安全宣傳教育,建設(shè)一支高素質(zhì)、高技術(shù)的信息安全核心人才和管理隊伍,提高全社會信息安全防御意識。大力發(fā)展信息安全服務(wù)業(yè),增強社會應(yīng)急支援能力。
(三)物資條件保障
安排區(qū)信息化建設(shè)專項資金用于預(yù)防或應(yīng)對信息安全突發(fā)事件,提供必要的經(jīng)費保障,強化信息安全應(yīng)急處理工作的物資保障條件。
(四)技術(shù)儲備保障
區(qū)計算機
信息中心組織有關(guān)專家和科研力量,開展應(yīng)急運作機制、應(yīng)急處理技術(shù)、預(yù)警和控制等研究,組織參加省、市相關(guān)培訓(xùn),推廣和普及新的應(yīng)急技術(shù)。六、宣傳、培訓(xùn)和演習(xí)
(一)公眾信息交流
區(qū)計算機信息中心在應(yīng)急預(yù)案修訂、演練的前后,應(yīng)利用各種新聞媒介開展宣傳;不定期地利用各種安全活動向社會大眾宣傳信息安全應(yīng)急法律、法規(guī)和預(yù)防、應(yīng)急的常識。
(二)人員培訓(xùn)
為確保信息安全應(yīng)急預(yù)案有效運行,區(qū)信息安全專項應(yīng)急委定期或不定期舉辦不同層次、不同類型的培訓(xùn)班或研討會,以便不同崗位的應(yīng)急人員都能全面熟悉并掌握信息安全應(yīng)急處理的知識和技能。
(三)應(yīng)急演習(xí)
為提高信息安全突發(fā)事件應(yīng)急響應(yīng)水平,區(qū)信息安全專項應(yīng)急委辦公室定期或不定期組織預(yù)案演練;檢驗應(yīng)急預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否符合快速、高效的要求。通過演習(xí),進一步明確應(yīng)急響應(yīng)各崗位責(zé)任,對預(yù)案中存在的問題和不足及時補充、完善。
七、監(jiān)督檢查與獎懲
(一)預(yù)案執(zhí)行監(jiān)督
區(qū)信息安全專項應(yīng)急委辦公室負(fù)責(zé)對預(yù)案實施的全過程進行監(jiān)督檢查,督促成員單位按本預(yù)案指定的職責(zé)采取應(yīng)急措施,確保及時、到位。
1.發(fā)生重大信息安全事件的單位應(yīng)當(dāng)按照規(guī)定,及時如實地報告事件的有關(guān)信息,不得瞞報、緩報或者授意他人瞞報、緩報。任何單位或個人發(fā)現(xiàn)有瞞報、緩報、謊報重大信息安全事件情況的,有權(quán)直接向區(qū)信息安全專項應(yīng)急委舉報。
2.應(yīng)急行動結(jié)束后,區(qū)信息安全專項應(yīng)急委辦公室對相關(guān)成員單位采取的應(yīng)急行動的及時性、有效性進行評估。
(二)獎懲與責(zé)任
1.對下列情況可以經(jīng)區(qū)信息安全專項應(yīng)急委辦公室評估審核,報區(qū)信息安全專項應(yīng)急委批準(zhǔn)后予以獎勵:在應(yīng)急行動中做出特殊貢獻的先進單位和集體;在應(yīng)急行動中提出重要建議方案,節(jié)約大量應(yīng)急資源或避免重大損失的人員;在應(yīng)急行動第一線做出重大成績的現(xiàn)場作業(yè)人員。獎勵資金由區(qū)、鎮(zhèn)財政或相關(guān)單位提供。
2.在發(fā)生重大信息安全事件后,有關(guān)責(zé)任單位、責(zé)任人有瞞報、緩報、漏報和其它失職、瀆職行為的,區(qū)信息安全專項應(yīng)急委辦公室將予以通報批評;對造成嚴(yán)重不良后果的,將視情節(jié)由有關(guān)主管部門追究責(zé)任領(lǐng)導(dǎo)和責(zé)任人的行政責(zé)任;構(gòu)成犯罪的,由有關(guān)部門依法追究其法律責(zé)任。
3.對未及時落實區(qū)信息安全專項應(yīng)急委指令,影響應(yīng)急行動效果的,按《國務(wù)院關(guān)于特大安全事故行政責(zé)任追究的規(guī)定》及有關(guān)規(guī)定追究相關(guān)人員的責(zé)任。
八、附則
本預(yù)案所稱網(wǎng)絡(luò)與信息安全重大突發(fā)事件,是指由于自然災(zāi)害、設(shè)備軟硬件故障、內(nèi)部人為失誤或破壞、黑客攻擊、無線電頻率干擾和計算機病毒破壞等原因,本區(qū)政府機關(guān)網(wǎng)絡(luò)與信息系統(tǒng)、關(guān)系到國計民生的基礎(chǔ)性網(wǎng)絡(luò)及重要信息系統(tǒng)的正常運行受到嚴(yán)重影響,出現(xiàn)業(yè)務(wù)中斷、系統(tǒng)破壞、數(shù)據(jù)破壞或信息失竊或泄密等現(xiàn)象,以及境內(nèi)外敵對勢力、敵對分子利用信息網(wǎng)絡(luò)進行有組織的大規(guī)模宣傳、煽動和滲透活動,或者對國內(nèi)通信網(wǎng)絡(luò)或信息設(shè)施、重點網(wǎng)站進行大規(guī)模的破壞活動,在國家安全、社會穩(wěn)定或公眾利益等方面造成不良影響以及造成一定程度直接或間接經(jīng)濟損失的事件。信息安全事件的主體是指信息安全事件的制造者或造成信息安全事件的最終原因。信息安全事件的客體是指受信息安全事件影響或發(fā)生信息安全事件的計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)。依據(jù)計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的特點,信息安全事件的客體可分為信息系統(tǒng)、信息內(nèi)容和網(wǎng)絡(luò)基礎(chǔ)設(shè)施三大類。
1.本預(yù)案通過演習(xí)、實踐檢驗,以及根據(jù)應(yīng)急力量變更、新技術(shù)、新資源的應(yīng)用和應(yīng)急事件發(fā)展趨勢,及時修訂和完善;
2.本預(yù)案所附的成員、通信地址等發(fā)生變化時也應(yīng)隨時修訂;
3.本預(yù)案由區(qū)計算機信息中心會同___公安分局、國保大隊、區(qū)國家保密局負(fù)責(zé)修訂,經(jīng)區(qū)人民政府常務(wù)會議審議批準(zhǔn)后實施。
4.本預(yù)案修訂采取改版或換頁的方式進行。
5.本預(yù)案由區(qū)計算機機信息中心負(fù)責(zé)解釋。
6.本預(yù)案日常工作由區(qū)計算機信息中心負(fù)責(zé)。
關(guān)鍵詞:分布式;信息安全;規(guī)劃;方案
中圖分類號:TP309.2文獻標(biāo)識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息,市場研究機構(gòu)Gartner 研究報告稱,很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主,因此他們對安全技術(shù)和服務(wù)的選擇和使用仍停留在一個相對較低的水平。尤其對于機構(gòu)構(gòu)成方式為分布式的企業(yè)而言,因為信息安全需求和部署相對更加復(fù)雜,投入更多,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。
本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。
2 總體規(guī)劃原則和目標(biāo)
2.1 總體規(guī)劃原則
對于分布式企業(yè)的信息安全規(guī)劃,要遵守如下原則:適度集中,控制風(fēng)險;突出重點,分級保護;統(tǒng)籌安排,分步實施;分級管理,責(zé)任到崗;資源優(yōu)化,注重效益。
這個原則的制定主要是根據(jù)分布式企業(yè)的實際機構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。
2.2 總體規(guī)劃目標(biāo)
信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點可以不同,但是需要圍繞組織安全、管理安全、技術(shù)安全進行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上,下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃,對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的,而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標(biāo)展開和部署。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標(biāo)
組織建設(shè)是信息安全建設(shè)的基本保證,信息安全組織的目標(biāo)是:
1)完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu),達到國際國內(nèi)標(biāo)準(zhǔn)的要求;
2)打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全,對外可以向社會提供高品質(zhì)的安全服務(wù);
3)建設(shè)一個 “信息安全運維中心(SOC)”,能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運轉(zhuǎn)的支撐系統(tǒng),能夠?qū)ν馓峁┌踩?wù)平臺。
3.2 組織規(guī)劃實施
對于組織規(guī)劃這個方面,是屬于一個企業(yè)信息安全規(guī)劃的上層建筑,需要用一種由上而下的方法來實現(xiàn),其主要是在具體人事機制、管理機制和培訓(xùn)機制上做工作。對于分布式企業(yè)而言,需要主導(dǎo)部門從上層著手,建章立制,強化安全教育,加大基礎(chǔ)人力、財力和物力的投入。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標(biāo)
信息安全管理規(guī)劃的目標(biāo)是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標(biāo),一套信息安全策略,一套信息安全制度,一套信息安全流程規(guī)范,一套信息安全教育培訓(xùn)體系,一套信息安全風(fēng)險監(jiān)管機制,一套信息安全績效考核指標(biāo)?!捌咛仔畔踩洿胧标P(guān)系如圖1所示。
4.2 信息安全管理設(shè)計
基于對管理目標(biāo)的分析,信息安全管理的原則以風(fēng)險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風(fēng)險、保護措施組成。
4.2.1 信息安全等級劃分指標(biāo)
信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化健康發(fā)展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護對象說明、保護必要性描述、保護責(zé)任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達到的要求,在信息安全規(guī)范方面,根據(jù)調(diào)查,建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中,安全管理規(guī)范主要針對人員、團隊、制度和資源管理提供參照性準(zhǔn)則;信息安全技術(shù)規(guī)范主要針對安全設(shè)計、施工、維護和操作提供技術(shù)性指導(dǎo)建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應(yīng)遵循的信息安全程序,其目的是減少安全隱患,降低風(fēng)險。
4.2.6 信息安全績效考核指標(biāo)
信息安全績效考核指標(biāo)是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù),其目的是增強信息安全責(zé)任意識,提高信息安全工作質(zhì)量。
4.2.7 信息安全監(jiān)管機制
信息安全監(jiān)管機制是指有關(guān)信息安全風(fēng)險的識別、分析和控制的措施總和。其主要目的加強信息安全風(fēng)險的控制,做到“安全第一,預(yù)防為主”。
4.2.8 信息安全教育培訓(xùn)體系
其主要目的加強的信息安全人才隊伍的建設(shè),提高企業(yè)人員的信息安全意識和技能,增強企業(yè)信息安全能力。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標(biāo)
信息安全技術(shù)規(guī)劃目標(biāo)簡言之是:給業(yè)務(wù)運營提供信息安全環(huán)境,為企業(yè)轉(zhuǎn)型提供契機,構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下:
1)打造信息安全基礎(chǔ)環(huán)境,調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施,建立安全專網(wǎng),設(shè)置兩個中心(信息安全運維中心、災(zāi)備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護、安全監(jiān)控、安全審計、應(yīng)急響應(yīng)、安全服務(wù)、安全測試、安全培訓(xùn)等功能,實現(xiàn)的集中安全管理控制,快速安全事件響應(yīng),高可信的安全防護,拓展企業(yè)業(yè)務(wù),開辟信息安全服務(wù)新領(lǐng)域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施,提供信息安全中心技術(shù)人員的辦公場所,提供“7×24”小時連續(xù)不斷的安全應(yīng)用服務(wù),提供實時監(jiān)控、遠程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級等業(yè)務(wù),SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外,SOC 的技術(shù)性工作還要做以下幾個方面:
1)硬件基礎(chǔ)建設(shè),主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成,實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能;
2)軟件基礎(chǔ)建設(shè),包括SSS 系統(tǒng)、機房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系
5.3 信息安全綜合測試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深,需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng),為了保障安全,必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患?;诖耍C合測試環(huán)境建設(shè)的內(nèi)容包括:安全測試網(wǎng)絡(luò);測試系統(tǒng)設(shè)備;安全測試工具;安全測試分析系統(tǒng);安全測試知識庫。
其中,安全測試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實的帶寬;測試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應(yīng)急恢復(fù)類、管理類等,并提供使用說明、漏洞掃描、應(yīng)用安全分析;安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能;安全知識庫包含以下內(nèi)容:漏洞知識庫,補丁信息庫,安全標(biāo)準(zhǔn)知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產(chǎn)品知識庫,安全概念和術(shù)語知識庫。
5.4 安全平臺建設(shè)規(guī)劃
參照國際上PDRR 模型和國家信息安全方面規(guī)范,建議信息安全總體框架設(shè)計如圖2所示。
主要目的,以資產(chǎn)為核心,通過安全組織實現(xiàn)資產(chǎn)保護,以安全管理來約束組織的行為,以技術(shù)手段輔助安全管理。其中,資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示,核心為資產(chǎn),圍繞資產(chǎn)是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認(rèn)證授權(quán);信息安全防護;信息安全監(jiān)控;信息安全測試;信息安全審核;信息安全應(yīng)急響應(yīng);信息安全教育培訓(xùn);信息安全服務(wù)。
6 信息安全服務(wù)業(yè)務(wù)規(guī)劃
6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)
信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡言之是:以信息安全服務(wù)為切入點,充分發(fā)揮企業(yè)優(yōu)勢資源,引領(lǐng)信息安全市場,為企業(yè)轉(zhuǎn)型創(chuàng)造時機。具體目標(biāo)如下:
1)推出面向客戶安全(檢查、教育、配置)產(chǎn)品;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品;4)推出面向企業(yè)安全運維產(chǎn)品;5)推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。
6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計
服務(wù)業(yè)務(wù)規(guī)劃主要針對具體業(yè)務(wù)而言,在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例:
1)信息安全咨詢類產(chǎn)品,其服務(wù)功能主要有:信息安全風(fēng)險評估;信息安全規(guī)劃設(shè)計;信息安全產(chǎn)品顧問。
2)信息安全教育培訓(xùn)類產(chǎn)品,其服務(wù)功能主要有:提供信息安全操作環(huán)境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:推出“家庭綠色上網(wǎng)”安全服務(wù);家庭上網(wǎng)防病毒服務(wù);家庭上網(wǎng)機器安全檢查服務(wù);家庭上網(wǎng)機數(shù)據(jù)備份服務(wù)。
4)企業(yè)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:企業(yè)安全上網(wǎng)控制服務(wù);企業(yè)安全專網(wǎng)服務(wù);安全信息通告;企業(yè)運維服務(wù)。
5)容災(zāi)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù);面向政府信息系統(tǒng)災(zāi)備服務(wù);面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù);面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。
7 結(jié)束語
通過結(jié)合分布式企業(yè)的具體實際,按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn),提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo),按照組織、管理和技術(shù)三個方面提出了具體的實現(xiàn)與設(shè)計規(guī)范原則。最后,依據(jù)服務(wù)規(guī)劃目標(biāo),提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計實例。
參考文獻:
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報,2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡(luò)動態(tài)安全體系模型綜述[J].計算機應(yīng)用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術(shù)安全評估的系列標(biāo)準(zhǔn)[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標(biāo)準(zhǔn)[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
一、檢查目的
針對當(dāng)前境外敵對勢力大肆利用各種手段對我各級政府信息系統(tǒng)進行網(wǎng)絡(luò)攻擊、破壞、竊密活動的嚴(yán)峻形勢,通過定期開展全面的安全檢查,進行信息系統(tǒng)安全風(fēng)險評估、安全測評等工作,及時掌握政府信息系統(tǒng)安全狀況和面臨的威脅,認(rèn)真查找隱患,堵塞安全漏洞,落實和完善安全措施,建立健全信息安全保障機制,減少安全風(fēng)險,提高應(yīng)急處置能力,確保政府信息系統(tǒng)持續(xù)安全穩(wěn)定運行。
二、檢查范圍
區(qū)委、區(qū)政府、區(qū)人大、區(qū)政協(xié)、區(qū)法院、區(qū)檢察院及其部門、各鎮(zhèn)辦自行運行和維護管理以及委托其他機構(gòu)運行和維護管理的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)。部門管理的全區(qū)性信息系統(tǒng),由主管部門(單位)按照《實施方案》統(tǒng)一組織部署安全檢查工作。
三、檢查內(nèi)容
重點檢查與網(wǎng)絡(luò)和信息系統(tǒng)相關(guān)的硬件、軟件、服務(wù)、信息和人員的基本情況,對信息系統(tǒng)存在的管理和技術(shù)薄弱環(huán)節(jié)進行查找、分析歸納;對已有安全管理體系、安全措施進行核實和評價,主要包括以下內(nèi)容:
(一)安全管理制度建立與落實。是否按照要求建立健全了信息安全責(zé)任制,做到了機構(gòu)到位、人員到位、責(zé)任到位、措施到位。運維管理、保密管理、密碼管理、等級保護、重要部門(重點、敏感崗位)人員管理制度建立和落實情況。
(二)安全防范措施。是否有明確的安全需求及解決方案,是否采取了整體的安全防護措施。重點檢查身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計、責(zé)任認(rèn)定以及防篡改、防病毒、防攻擊、防癱瘓、防泄密等技術(shù)措施的有效性。檢測信息系統(tǒng)是否存在安全漏洞,以及計算機、移動存儲設(shè)備、電子文檔的安全防護措施的落實情況。
(三)應(yīng)急響應(yīng)機制。應(yīng)急機構(gòu)是否健全,應(yīng)急責(zé)任人員及措施是否到位,是否按照要求制定了應(yīng)急預(yù)案,是否對預(yù)案進行了宣傳貫徹和培訓(xùn),是否開展了演練,是否明確了應(yīng)急技術(shù)支援隊伍。重大信息安全事故發(fā)生及處置情況,重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)采取的備份措施及備份方式情況。
(四)信息技術(shù)產(chǎn)品和服務(wù)。計算機、公文處理軟件、信息安全產(chǎn)品等使用國產(chǎn)產(chǎn)品情況,重點是信息系統(tǒng)關(guān)鍵部位的服務(wù)器、路由器、交換機等使用國產(chǎn)產(chǎn)品的情況,以及信息安全服務(wù)外包情況。對因特殊原因選用國外信息安全技術(shù)產(chǎn)品和信息安全服務(wù)是否進行了安全審查工作,以及審查的方式。
(五)安全教育培訓(xùn)情況。是否對工作人員進行了安全和保密意識教育、安全技能培訓(xùn),以及對信息安全常識和技能掌握情況進行考核。重點、敏感崗位人員是否制定了針對外包服務(wù)人員等外來人員的安全管理規(guī)定。
(六)責(zé)任追究情況。重點檢查對違反信息安全規(guī)定行為和造成泄密事故、信息安全事故的查處情況,對責(zé)任人和有關(guān)負(fù)責(zé)人追究以及懲處措施的落實情況。
(七)運維管理。是否根據(jù)制度維護信息系統(tǒng),是否存在詳細(xì)設(shè)備、系統(tǒng)運維記錄和安全日志分析報告,系統(tǒng)性能的監(jiān)控措施及運行狀況。
(八)開展風(fēng)險評估、安全測評情況。是否對信息系統(tǒng)進行了風(fēng)險評估和安全評測,開展方式是自行開展還是委托開展,委托開展是否簽訂了安全保密協(xié)議。
(九)信息安全經(jīng)費保障情況。信息安全經(jīng)費數(shù)額、信息安全經(jīng)費在信息化建設(shè)經(jīng)費中所占比重及信息安全經(jīng)費是否按預(yù)算計劃執(zhí)行。
(十)物理環(huán)境。物理環(huán)境的建設(shè)是否符合國家的相關(guān)標(biāo)準(zhǔn)和規(guī)范,是否按照國家的相關(guān)規(guī)定建立機房安全管理制度,機房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施是否有效。
(十一)安全隱患排查及整改情況。對以往開展的信息安全檢查、風(fēng)險評估和安全測評,發(fā)現(xiàn)安全隱患和問題的整改情況。
四、檢查步驟及時間安排
(一)時間安排。原則上每年3月至5月各單位進行自查。抽查時間原則安排在7月至9月進行。年的自查時間為6月28日至7月5日,8月份進行抽查。
(二)檢查準(zhǔn)備及自查。各單位成立安全檢查領(lǐng)導(dǎo)小組,明確檢查責(zé)任人,組織制訂檢查工作計劃和檢查方案,對檢查工作進行安排部署并開始自查。同時,按照要求認(rèn)真填寫《基本信息調(diào)查表》和《安全狀況調(diào)查表》,經(jīng)主管領(lǐng)導(dǎo)簽字并加蓋單位公章后一式兩份和電子檔于7月15日前交區(qū)信息化工作辦公室。
(三)分析總結(jié)。根據(jù)自查情況,各單位系統(tǒng)分析信息系統(tǒng)的安全狀況和安全隱患,查找問題產(chǎn)生的原因,7月底前上報自查報告。
(四)問題整改。對檢查過程中發(fā)現(xiàn)的安全問題,短時間內(nèi)能完成的要及時整改,不能在短時間內(nèi)整改的要制訂相應(yīng)整改計劃,在一個月內(nèi)完成整改,并提交整改報告。
(五)檢查實施。由區(qū)信息化工作辦公室牽頭對各單位信息安全檢查整改工作進行檢查。重點參照《實施方案》檢查安全檢查領(lǐng)導(dǎo)機構(gòu)是否完善,責(zé)任落實是否到位,《基本信息調(diào)查表》和《安全狀況調(diào)查表》是否如實填寫等。
五、具體要求
(一)各鎮(zhèn)辦、各部門和各單位要把政府信息安全檢查工作列入重要議事日程,加強組織領(lǐng)導(dǎo),明確責(zé)任,落實人員和經(jīng)費,保證檢查工作順利進行。
(一)網(wǎng)絡(luò)本身弱點
信息網(wǎng)絡(luò)具有開放性的顯著特點,既為網(wǎng)絡(luò)用戶提供了便捷高速的服務(wù)方式,也成為網(wǎng)絡(luò)信息需要面臨的一項安全威脅。同時,運用于信息網(wǎng)絡(luò)的相關(guān)通信協(xié)議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數(shù)據(jù)截取等安全問題。
(二)人為惡意攻擊
人為惡意攻擊是網(wǎng)絡(luò)信息中,用戶所面臨的最大安全威脅。人為惡意攻擊具有較強的針對性,是有目的地進行網(wǎng)絡(luò)信息數(shù)據(jù)完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對網(wǎng)路信息數(shù)據(jù)的竊取、破譯、篡改等,主要威脅到用戶的經(jīng)濟利益。
(三)計算機病毒
計算機病毒存在隱蔽性、傳染性、破壞性等特點,往往隱藏或偽裝為正常程序,隨著計算機程序的啟動而被運行。計算機病毒通過破壞、竊聽等方式,實現(xiàn)對網(wǎng)絡(luò)信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統(tǒng)的運行效率,重則破壞用戶的整體系統(tǒng)數(shù)據(jù),且難以被恢復(fù),形成不可挽回的損失。
二、網(wǎng)絡(luò)信息技術(shù)安全現(xiàn)狀分析
目前,國內(nèi)絕大部分企業(yè)、單位都已建立了相關(guān)的信息系統(tǒng),實現(xiàn)了對各類豐富信息資源的充分利用。但隨著各行各業(yè)信息網(wǎng)絡(luò)系統(tǒng)的逐步成型,網(wǎng)絡(luò)信息所面臨的黑客、惡意軟件與其他攻擊等安全問題越來越多,雖已研發(fā)、改進了許多信息安全技術(shù),用于網(wǎng)絡(luò)信息安全防護,但仍舊存在許多問題,究其原因,主要表現(xiàn)在以下三方面:
第一,未建立健全的安全技術(shù)保障體系。當(dāng)前大部分企業(yè)、單位,在信息安全設(shè)備上投入較多資金,以確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠。但是,沒有建立健全相應(yīng)的技術(shù)保障體系,預(yù)期目標(biāo)難以被實現(xiàn)。
第二,缺乏制度化與常規(guī)化的應(yīng)急反應(yīng)體系?,F(xiàn)階段,許多行業(yè)領(lǐng)域內(nèi),在網(wǎng)絡(luò)信息技術(shù)安全方面,還未建立健全相應(yīng)的應(yīng)急反應(yīng)系統(tǒng),而對已有應(yīng)急反應(yīng)系統(tǒng),沒有進行制度化、常規(guī)化改進。
第三,企業(yè)、單位的信息安全標(biāo)準(zhǔn)與制度滯后。在網(wǎng)絡(luò)信息安全的標(biāo)準(zhǔn)與制度建設(shè)方面,企業(yè)與單位都為進行及時的調(diào)整與改進。同時,用戶缺乏信息安全意識,網(wǎng)絡(luò)信息安全管理員為經(jīng)歷科學(xué)、系統(tǒng)的安全技術(shù)培訓(xùn),安全管理水平不高。而用于信息安全的經(jīng)費投入較少,難以達到信息安全標(biāo)準(zhǔn)與要求。
三、現(xiàn)行主要信息安全技術(shù)及應(yīng)用分析
(一)通信協(xié)議安全
作為下一代互聯(lián)網(wǎng)通信協(xié)議,IPv6安全性較高,強制實施Internet安全協(xié)議IPSec,由認(rèn)證協(xié)議、封裝安全載荷、Internet密鑰交換協(xié)議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務(wù)得到有效實現(xiàn)。
(二)密碼技術(shù)
確保網(wǎng)絡(luò)信息安全的核心與關(guān)鍵為信息安全技術(shù)中的密碼技術(shù),其密碼體質(zhì)包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對稱密碼;雙鑰為不對稱密碼;混亂密碼為單雙鑰的混合實現(xiàn)。在網(wǎng)絡(luò)系統(tǒng)中,采用加密技術(shù)能避免使用特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),便于數(shù)據(jù)傳輸?shù)耐瑫r,確保網(wǎng)絡(luò)路徑的安全可靠,為網(wǎng)絡(luò)通信過程提供真正的保障?,F(xiàn)階段,在網(wǎng)絡(luò)信息中,所采用的密碼技術(shù)主要為雙鑰與混合密碼。
1、公鑰密碼
為了加強公鑰密碼的安全性能,公鑰的長度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運算模式,通過乘法與模減運算的同時進行,大程度提升了運算速度,被廣泛使用。同時,部分廠商已成功研制出與IEEEPl363標(biāo)準(zhǔn)相符合的橢圓曲線公鑰密碼,并成功運用于電子政務(wù)中,具備較強的保密性與較高的運行速度。
2、Hash函數(shù)
關(guān)于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計算量,在很大程度上影響了Hash函數(shù)安全現(xiàn)狀的評估及其今后設(shè)計。同時,由于MD5和SHA-1的破解,讓數(shù)字簽名的現(xiàn)有理論根基遭到質(zhì)疑,給正在使用中的數(shù)字簽名方法帶來巨大威脅。
3、量子密碼
量子加密技術(shù)采用量子力學(xué)定律,讓用戶雙方產(chǎn)生私有隨機數(shù)字字符串,以代表數(shù)字字符串的單個量子序列傳遞信息,并通過比特值進行信息接收,確保通信不被竊聽。一旦竊聽現(xiàn)象發(fā)生,通信就會結(jié)束,并生成新的密鑰。
(三)防火墻技術(shù)
防護墻技術(shù)是一組軟硬件的有機組合,為控制內(nèi)部與外部網(wǎng)絡(luò)訪問的有效手段,能確保內(nèi)部網(wǎng)安全穩(wěn)定運行。防火墻技術(shù)為用戶提供存取控制與信息保密服務(wù),具有操作簡單、透明度高的優(yōu)點,在保持原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能的基礎(chǔ)上,最大限度滿足用戶的網(wǎng)絡(luò)信息安全要求,受到用戶的廣泛推崇。防火墻技術(shù)的應(yīng)用,讓外部與內(nèi)部網(wǎng)絡(luò)必須通過防火墻實現(xiàn)相互通信。企業(yè)、單位在關(guān)于防火墻技術(shù)的應(yīng)用上,需制定合理、科學(xué)的安全策略,在此基礎(chǔ)上設(shè)置防火墻,隔絕其它類型信息。目前,防火墻技術(shù)主要分為以下三類:
第一,包過濾技術(shù)(Packet filtering)。其技術(shù)主要作用于網(wǎng)絡(luò)層,結(jié)合不同數(shù)據(jù)包源IP地址、目的IP地址、TCP/UDP源端口號與目的端口號等進行區(qū)分、判斷,分析數(shù)據(jù)包是否符合安全策略,予以通行,其設(shè)計為過濾算法。
第二,(Proxy)服務(wù)技術(shù)。其技術(shù)主要作用于應(yīng)用層,通過轉(zhuǎn)接外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的申請服務(wù),有效控制應(yīng)用層服務(wù)。內(nèi)部網(wǎng)絡(luò)無法接受外部網(wǎng)絡(luò)其它節(jié)點申請的直接請求,其接受的服務(wù)請求只能為模式。應(yīng)用網(wǎng)關(guān)即為服務(wù)運行的主機,具備較強的數(shù)據(jù)流監(jiān)控、過濾、記錄等相關(guān)功能。
關(guān)鍵詞:檔案安全;保障體系;研究綜述
2010年5月12日,國家檔案局楊冬權(quán)局長在全國檔案安全系統(tǒng)建設(shè)工作會議上提出“建立確保檔案安全保密的檔案安全體系,全面提升檔案部門的安全保障能力”的號召,把檔案安全的重要性提升到一個新高度。[1]近年來,檔案安全保障體系研究已引起學(xué)界的關(guān)注,成為較熱的一個研究課題。我們課題組也在做檔案安全保障體系的研究,筆者期望對學(xué)者以往的研究做以歸納提煉,以資研究探索。
筆者于2011年12月22日,在萬方數(shù)據(jù)庫中,以“檔案安全保障體系”為檢索詞,起始年“2000”,結(jié)束年“2011”檢索到論文84篇。在維普中文科技期刊數(shù)據(jù)庫搜索到與“檔案安全保障體系”相關(guān)內(nèi)容論文20篇,筆者對其中相關(guān)度較高的文章進行了分析研究,綜述如下:
1 檔案安全保障體系的內(nèi)涵
檔案安全保障體系的建設(shè)具有持續(xù)性、多樣化、可完善性等特點,是一項復(fù)雜的系統(tǒng)工程。構(gòu)建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應(yīng)用的關(guān)系。
張美芳、王良城認(rèn)為,目前,國內(nèi)外關(guān)于檔案安全保障體系的理解大致有三層含義:其一,控制環(huán)境,降低風(fēng)險。這里的“環(huán)境”,是指檔案保管環(huán)境、物理環(huán)境、社會環(huán)境、信息存儲環(huán)境等,降低環(huán)境因素對檔案安全的影響,最大可能降低風(fēng)險。其二,建立安全保障平臺,采取安全防護措施,使檔案盡可能保持穩(wěn)定狀態(tài)。其三,對已經(jīng)處于不安全環(huán)境中的檔案,采取各種措施使其達到新的穩(wěn)定狀態(tài),保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中社會因素、管理體制、組織體系、策略、政策法規(guī)、安全保障技術(shù)或安全保護效果的評價等較為宏觀的要素。[2]
2 檔案安全保障體系的構(gòu)建目標(biāo)和指導(dǎo)思想
2.1 構(gòu)建目標(biāo)。彭遠明認(rèn)為,檔案安全保障體系建設(shè)的總體目標(biāo)是:針對檔案的安全需求、管理現(xiàn)狀和存在問題進行安全風(fēng)險分析,提出解決方案和預(yù)期目標(biāo),制定安全保護策略,形成集預(yù)測、保管、利用、搶救一體化的保障體系。[3]楊安蓮認(rèn)為,檔案安全保障體系的構(gòu)建目標(biāo)應(yīng)該是:采取全面、科學(xué)、系統(tǒng)的安全保障策略,保證檔案信息的安全性、完整性和可用性,杜絕敏感信息、秘密信息和重要數(shù)據(jù)的泄密隱患,確保檔案信息的全面安全。[4]
2.2 指導(dǎo)思想。彭遠明認(rèn)為,構(gòu)建檔案安全保障體系的指導(dǎo)思想是:在體系內(nèi)合理進行安全區(qū)域劃分,以應(yīng)用和實效為主導(dǎo),管理與技術(shù)為支撐,結(jié)合法規(guī)、制度、體制、組織管理,明確等級保護實施辦法,確保檔案的安全。[5]張美芳、王良城認(rèn)為,檔案安全保障體系建設(shè)的指導(dǎo)思想應(yīng)是:堅持嚴(yán)格保護、有效管理、分類指導(dǎo)、合理利用,以健全法律法規(guī)、提高人員素質(zhì)、加強規(guī)劃管理、完善基礎(chǔ)條件、強化監(jiān)管手段為重點,立足當(dāng)前,著眼長遠,加快體制機制創(chuàng)新,加強統(tǒng)籌協(xié)調(diào),全面增強檔案資源保護力度,推動我國檔案事業(yè)持續(xù)健康發(fā)展。[6]
3 檔案安全保障體系的建設(shè)原則
檔案安全保障體系的構(gòu)建應(yīng)該根據(jù)檔案安全現(xiàn)狀及其面臨的威脅與隱患,從檔案安全保障工作的整體和全局的視角進行規(guī)范,在構(gòu)建過程中應(yīng)該遵循一定的原則。彭遠明、張艷欣、楊安蓮、黃昌瑛、張勇等都提出了檔案安全保障體系的建設(shè)原則,筆者采用統(tǒng)計歸納的方法,從中提煉出以下共性原則:
3.1 標(biāo)準(zhǔn)規(guī)范原則。檔案安全保障體系的建構(gòu)和策略的選擇必須符合我國現(xiàn)行法律、法規(guī)的規(guī)定要求,必須遵循國際、國家的相關(guān)標(biāo)準(zhǔn),嚴(yán)格遵照相關(guān)規(guī)章制度。[7][8]
3.2 科學(xué)實用原則。檔案安全保障體系應(yīng)在充分調(diào)查研究的基礎(chǔ)上,以檔案安全風(fēng)險分析結(jié)果為依據(jù),探尋有針對性的特色理論,制定出科學(xué)的防范措施與方法,這些理論、措施與方法應(yīng)當(dāng)在實踐層面上具有可操作性。[9][10][11]
3.3 全面監(jiān)控原則。檔案安全保障工作是一個系統(tǒng)工程,需要對各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架,任何環(huán)節(jié)的安全缺陷都會造成對檔案安全的威脅。[12]
3.4 適度經(jīng)濟原則。根據(jù)檔案的等級決定建立什么水平的防范體系,根據(jù)風(fēng)險評估和各單位的財力、物力決定資金投入的多少及如何分配使用資金,將資金用在最迫切的地方。既要考慮到系統(tǒng)的可操作性,又要保證安全保密機制的規(guī)模與性能滿足需要,實現(xiàn)安全保護效率與經(jīng)濟效益兼顧。[13][14][15]
3.5 動態(tài)發(fā)展原則。檔案安全保障體系的建設(shè)是一個長期的不斷完善的過程,所以,該體系要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整,不斷調(diào)整安全策略,改進和完善檔案安全的方法與手段,應(yīng)對不斷變化的檔案安全環(huán)境。[16][17][18][19]
3.6 自主創(chuàng)新原則。加強檔案安全保障方面的關(guān)鍵技術(shù)的研發(fā),密切跟蹤國際先進技術(shù)的發(fā)展,提高自主創(chuàng)新能力,努力做到揚長避短,為我所用。[20][21]
4 構(gòu)建檔案安全保障體系的方案設(shè)計分析
許多學(xué)者對檔案安全保障體系的建設(shè)方案提出了自己的設(shè)想,他們從不同的角度切入問題,得出不同的結(jié)論,筆者根據(jù)學(xué)者的研究成果,總結(jié)出一套較為完善的檔案安全保障體系方案。
4.1 安全管理理論。理論從實踐中取得并能指導(dǎo)實踐,為實踐指明前進的方向。在先進理論的指導(dǎo)下,實踐往往能取得較好的成果,理論水平的高低因此也往往預(yù)示著現(xiàn)實中該領(lǐng)域的水平高低。
4.1.1 前端控制。前端控制思想具體到安全保障活動中是:檔案安全保障的標(biāo)準(zhǔn)化的建設(shè)與應(yīng)用;為開展安全保障活動而制定的計劃方案、普查活動;人員配置合理和技術(shù)力量的前期儲備、設(shè)備的選擇和環(huán)境的控制、整個預(yù)防性安全保障活動的監(jiān)督、檢查和評估;為妥善保管檔案而選擇的裝具、包裝等;事先制訂的應(yīng)急預(yù)案、搶救預(yù)案,等等。[22]
4.1.2 全程管理。全程管理是伴隨著檔案的生命周期而開展的一切安全保障管理活動。[23]包括日常維護、災(zāi)難備份、利用與服務(wù)、恢復(fù)與搶救、質(zhì)量檢查與評估、風(fēng)險預(yù)測,等等。[24]
4.1.3 后期監(jiān)督。后期監(jiān)督包括安全保障活動的評估、人員技術(shù)水平的評估、財政結(jié)算、開展安全保障活動后的總結(jié)報告、制度、規(guī)范或標(biāo)準(zhǔn)的完善、提供參考性的開展安全保障活動的經(jīng)驗、方法或模式。[25]
4.1.4 風(fēng)險管理。構(gòu)建檔案安全的風(fēng)險管理機制,依次進行安全風(fēng)險計劃制訂、風(fēng)險評估、風(fēng)險控制、風(fēng)險報告以及風(fēng)險反饋。通過評估風(fēng)險,識別判定風(fēng)險大小,判定每種風(fēng)險相對的檔案安全保護對策,并通過一定的方式方法進行風(fēng)險控制,規(guī)避、轉(zhuǎn)移或降低風(fēng)險對檔案造成的損害。[26][27]
4.1.5 人才教育培養(yǎng)。樹立科學(xué)的人才培養(yǎng)觀,建立科學(xué)合理的檔案安全人才培養(yǎng)體系,建立系統(tǒng)的人才資源培訓(xùn)和貯備機制,加大人才培養(yǎng)的力度。[28]做到“有計劃、有重點、分層次、分類型、多形式、多途徑”地開展檔案安全人才的教育和培養(yǎng)。[29]
4.2 安全基礎(chǔ)設(shè)施
4.2.1 實體安全基礎(chǔ)設(shè)施。檔案實體安全基礎(chǔ)設(shè)施是指維護檔案安全、實施檔案正常管理、保障檔案開發(fā)利用,提供為全社會方便服務(wù)等工作而進行的基礎(chǔ)建設(shè),包括檔案保管環(huán)境、檔案存儲設(shè)施、檔案利用設(shè)備、檔案維護監(jiān)控設(shè)備、檔案搶救與恢復(fù)設(shè)施等。[30]
4.2.2 信息安全基礎(chǔ)設(shè)施。檔案信息安全基礎(chǔ)設(shè)施是為信息安全服務(wù)的公共設(shè)施,為檔案部門的安全保障體系建設(shè)提供支撐和服務(wù),主要包括:檔案信息系統(tǒng)PKI(網(wǎng)絡(luò)信任體系)、檔案信息災(zāi)備中心、檔案信息系統(tǒng)應(yīng)急響應(yīng)支援中心、檔案信息安全測評認(rèn)證中心、檔案信息安全服務(wù)中心(外包服務(wù))、檔案信息安全執(zhí)法中心等。[31]
4.3 安全策略
4.3.1 實體安全策略。實體安全必須具備環(huán)境安全、設(shè)備安全和介質(zhì)安全等物理支撐環(huán)境,注重環(huán)境防范、設(shè)備監(jiān)控、介質(zhì)管理、技術(shù)維護等安全措施的完善,消除安全隱患,確保檔案安全。[32]
4.3.2 管理安全策略。針對檔案安全的管理需求,在完善人員管理、資源管理、利用服務(wù)、重點部位維護、災(zāi)害防范、突發(fā)事件應(yīng)急處置、專業(yè)人才教育培訓(xùn)的基礎(chǔ)上,建立健全安全管理機制和制度,并結(jié)合管理技術(shù),形成一套比較完備的檔案安全管理保障體系。[33][34]
4.3.3 網(wǎng)絡(luò)系統(tǒng)安全策略。強化操作系統(tǒng)、數(shù)據(jù)庫服務(wù)系統(tǒng)的漏洞修補和安全加固,對關(guān)鍵業(yè)務(wù)的服務(wù)器建立嚴(yán)格的審核機制;合理劃分安全域及邊界,建立有效的訪問控制制度;通過實施數(shù)據(jù)源隱藏,結(jié)構(gòu)化和縱深化區(qū)域防御消防黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患,保證檔案系統(tǒng)的持續(xù)、穩(wěn)定、可靠運行。[35][36][37]
4.4 安全技術(shù)。技術(shù)是影響檔案安全的關(guān)鍵因素,檔案安全技術(shù)是多方面、多層次的,包含預(yù)防、保護、修復(fù)和維護等技術(shù),可以有效保證檔案安全。
4.4.1 基于實體的保護技術(shù)。主要有:①各類檔案載體的管理與保護技術(shù);②檔案損壞的測試與評估技術(shù);③受損檔案的修復(fù)技術(shù)。[38]
4.4.2 基于環(huán)境的防護技術(shù)。主要有:①庫房建筑標(biāo)準(zhǔn)與圍護結(jié)構(gòu)功能的設(shè)計、施工和實施;②檔案保管的設(shè)備設(shè)施和有效裝具;③檔案庫房和利用環(huán)境的監(jiān)測技術(shù);④溫濕度調(diào)節(jié)與控制技術(shù);⑤有害因素的控制和防護技術(shù)。[39]
4.4.3 基于信息的安全技術(shù)。主要有:①系統(tǒng)安全技術(shù):操作系統(tǒng)安全和安全審計技術(shù)等;②數(shù)據(jù)安全技術(shù):數(shù)據(jù)加密技術(shù)、應(yīng)急響應(yīng)技術(shù)、數(shù)據(jù)備份與容災(zāi)技術(shù)、基于內(nèi)容的信息安全技術(shù)和數(shù)據(jù)庫安全技術(shù)等;③網(wǎng)絡(luò)安全技術(shù):防火墻技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)、物理隔離技術(shù)、服務(wù)技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)和虛擬網(wǎng)技術(shù)等;④用戶安全技術(shù):身份認(rèn)證技術(shù)、數(shù)字簽名技術(shù)和訪問控制技術(shù)等。[40]
4.4.4 基于災(zāi)害的保護技術(shù)。主要有:①災(zāi)害的預(yù)警與防范技術(shù);②檔案災(zāi)害的應(yīng)急處置技術(shù);③檔案次生危害的防范技術(shù);④災(zāi)后受損檔案的搶救與恢復(fù)技術(shù)。[41]
4.5 安全法規(guī)制度。完善的檔案安全法律法規(guī)和制度是保障檔案安全的基石,只有不斷制定和完善檔案安全法規(guī)制度,才能做到有法可依、違法必究,才能更好地維護檔案的安全。[42]
4.5.1 制定并遵循法規(guī)標(biāo)準(zhǔn)。各地方應(yīng)根據(jù)國家標(biāo)準(zhǔn),結(jié)合本地區(qū)、本系統(tǒng)、本單位的具體情況,制定相應(yīng)的規(guī)范和標(biāo)準(zhǔn),以使檔案安全管理規(guī)范化和標(biāo)準(zhǔn)化。[43]
4.5.2 建立健全檔案安全管理制度。包括:檔案歸檔安全制度、檔案整理安全制度、檔案查閱利用安全制度、檔案日常管理維護制度、檔案保密制度、檔案信息安全管理制度、檔案鑒定和銷毀制度、檔案資料出入庫管理制度以及重要檔案異地、異質(zhì)備份制度;[44]受損檔案搶救制度、電子檔案信息安全制度以及檔案安全行政責(zé)任制等。
4.5.3 建立完善檔案安全管理機制。包括:信息交換機制、法律保障機制、日常防范機制、災(zāi)害預(yù)警機制、應(yīng)急處置機制、[45]組織建設(shè)機制、制度建設(shè)機制、風(fēng)險管理機制、人員管理機制等。
4.6 安全保護效果評價。對檔案安全保障體系評價的目的,是對檔案安全保障體系的有效性進行評估。[46]首先,確定待評價系統(tǒng)的范圍,選擇適當(dāng)?shù)脑u價方法,確定適當(dāng)?shù)脑u價指標(biāo)。然后,收集有關(guān)數(shù)據(jù)進行統(tǒng)計分析,得出評價結(jié)果,再進行持續(xù)改進,以不斷提高檔案安全保障體系及其具體過程中的有效性和效率。[47]
4.6.1 評價方法。根據(jù)被評價對象本身的特性,在遵循客觀性、可操作性和有效性原則的基礎(chǔ)上選擇合適的評價方法。目前,存在的綜合評價方法有:屬性融為一體評價方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法。[48]
4.6.2 評價指標(biāo)。根據(jù)國內(nèi)外的檔案安全評估標(biāo)準(zhǔn),國家對檔案安全的基本要求,綜合考慮影響檔案安全的各種因素,建立檔案安全評價指標(biāo)體系。包括:①物理安全評價指標(biāo):環(huán)境安全評價、設(shè)備安全評價、載體安全評價;[49]②管理安全評價指標(biāo):規(guī)章制度評價、工作流程評價、管理措施評價、業(yè)務(wù)技術(shù)評價;③技術(shù)安全評價指標(biāo):保護技術(shù)評價、網(wǎng)絡(luò)技術(shù)評價。[50]
5 結(jié)語
縱觀學(xué)者對檔案安全保障體系的研究,研究角度和切入點各有不同,觀點紛呈,但還是缺乏深入、系統(tǒng)的研究,有待于我們進一步思考、探討。
注:本文是河南省檔案局科技項目《檔案安全保障體系現(xiàn)狀調(diào)查》(項目編號:2011-B-51)階段性成果之一。
參考文獻:
[1]張照余.對建設(shè)檔案安全保障體系的幾點認(rèn)識[J]. 浙江檔案,2011(1):36~39.
[2][6][24]張美芳,王良城.檔案安全保障體系建設(shè)研究[J].檔案學(xué)研究,2010(1):62~65.
[3][5][7][33][41]彭遠明.檔案安全保障體系構(gòu)建及其實現(xiàn)策略研究[J].上海檔案,2011(4):14~17.
[4][12][15]楊安蓮.論電子文件信息安全保障體系的構(gòu)建[J].檔案學(xué)研究,2010(10):75~78.
[8] [13] [17]張艷欣.檔案安全保障管理機構(gòu)的構(gòu)建[J].檔案管理,2010(5):7~9.
[9][14][16][29]王茹熠.數(shù)字檔案信息安全防護對策分析[D].哈爾濱:黑龍江大學(xué),2009.
[10 ][18][19]黃昌瑛.電子檔案信息安全保障策略研究[D]. 福州:福建師范大學(xué),2007.
[11][20][21]張勇.數(shù)字檔案信息安全保障體系研究[D].蘇州:蘇州大學(xué),2007.
[22][23][25]張美芳,董麗華,金彤.檔案安全保障體系的構(gòu)建[J].中國檔案,2010(4):20~21.
[26]陳國云.從風(fēng)險管理的視角探討電子文件安全管理問題[J].北京檔案,2008(6):16~18.
[27]張迎春.檔案安全保障體系研究[D].安徽大學(xué),2011
[28]方國慶.數(shù)字檔案信息安全保障體系建設(shè)中的問題與策略[J].機電兵船檔案,2010(5):59~61.
[30]王良城.檔案安全保障體系建設(shè)基本任務(wù)探析[J].中國檔案,2010(4):18~19.
[31] [40]項文新.檔案信息安全保障體系框架研究[J].檔案學(xué)研究,2010(2):68~73.
[32][38]許桂清,李映天.檔案信息安全保障體系的建設(shè)與思考[J].檔案學(xué)研究,2010(3):54~58.
[34]冉君宜.抓好“五個必須”構(gòu)建檔案安全保障體系[J].辦公室業(yè)務(wù),2010(9):55~56.
[35]陳慰湧,金更達.數(shù)字檔案館系統(tǒng)安全策略研究[J].浙江檔案,2008(7):21~24.
[36]王凡,朱良兵.檔案安全保障體系建設(shè)實踐[J].貴州水力發(fā)電,2010(12):76~78.
[37]周向陽.電子檔案信息安全保障體系建設(shè)的研究[J].機電兵船檔案,2010(5):64~66.
[39]金玉蘭.關(guān)于加強檔案安全保障體系建設(shè)的思想[J].北京檔案.2010(8):22~23.
[42]曹書芝.網(wǎng)絡(luò)背景下檔案信息的安全保障[J].蘭臺世界,2006(5):2~3.
[43]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學(xué)研究,2005(1):38~42.
[44]楊冬權(quán).以豐富館藏、提高安全保障能力和公共服務(wù)能力為重點,實現(xiàn)檔案館事業(yè)跨越——在全國檔案館工作會議上講話[J].檔案學(xué)研究,2009(6):23~29.
[45]卞咸杰.論檔案信息安全保障機制的建立與完善[J].2007(6):18~20.
[46][50]方婷,吳雁平.檔案安全保障指標(biāo)體系建設(shè)研究[J].檔案管理,2011(6):12~15.
[47]田淑華.電子檔案信息安全管理研究[D].太原:中北大學(xué),2009.
【關(guān)鍵詞】云計算 電力企業(yè) 信息安全 風(fēng)險評估
為提升電力企業(yè)的信息化建設(shè)和管理水平,引入云計算技術(shù)是大勢所趨。云計算以其在虛擬化、負(fù)載均衡、并行計算等方面的獨特優(yōu)勢,自2006年提出伊始便廣受關(guān)注。但基于云計算的信息安全事件屢有發(fā)生。因此必須對云計算環(huán)境下的電力企業(yè)信息安全作準(zhǔn)確評估并提出針解決措施。
1 云計算概述
云計算就是基于Internet的計算方式,其核心思想是依托互聯(lián)網(wǎng)將大量計算機組成可控資源池,然后用該資源池響應(yīng)任何計算任務(wù)。其框架見圖1所示。
顯然,云計算具有可擴展性強、服務(wù)能力彈性大等優(yōu)勢,但也存在基于互聯(lián)網(wǎng)的信息安全風(fēng)險,主要包括虛擬化環(huán)境安全風(fēng)險、數(shù)據(jù)訪問權(quán)限風(fēng)險、數(shù)據(jù)存儲與傳輸安全風(fēng)險等方面。
就電力企業(yè)來說,云計算需完成的任務(wù)包括電力營銷、用戶個人信息管理、電力數(shù)據(jù)仿真、用戶信息及智能儀表數(shù)據(jù)處理等層面,涵蓋IaaS、PaaS和SaaS三個云服務(wù)層次。
2 電力云使用中的信息安全風(fēng)險表現(xiàn)
根據(jù)云計算服務(wù)性質(zhì)的差異,可以將云計算分為公有云、私有云和混合云。當(dāng)前電力企業(yè)的云計算既涉及公有云、又包含私有云,但主要是私有云。電力私有云指電力企業(yè)為提升系統(tǒng)內(nèi)整個IT架構(gòu)而單獨構(gòu)建的云計算。與公有云相比,服務(wù)質(zhì)量與安全性得到明顯改善,但仍存在以下安全風(fēng)險:
2.1 訪問權(quán)限風(fēng)險
即由于所有的業(yè)務(wù)系統(tǒng)都部署在“云”中,若無合理的身份認(rèn)證方式,任何人都能接觸重要數(shù)據(jù),可能帶來泄密風(fēng)險。
2.2 邊界風(fēng)險
由于云計算基于虛擬化架構(gòu),安全邊界比較模糊,傳統(tǒng)的安全域劃分機制難以保障云計算安全需求。
2.3 數(shù)據(jù)恢復(fù)風(fēng)險
在系統(tǒng)范圍內(nèi),所有數(shù)據(jù)和程序都部署在云計算中心,必須要有應(yīng)對災(zāi)難的數(shù)據(jù)恢復(fù)措施。
2.4 資源共享風(fēng)險
在電力云計算各種資源與服務(wù)被眾多用戶和終端安全共享的過程中,涉及數(shù)據(jù)和應(yīng)用的隔離考慮等。
3 云計算環(huán)境下的電力信息安全評估方法
3.1 信息安全風(fēng)險評估理論
信息安全風(fēng)險評估是指根據(jù)有關(guān)安全標(biāo)準(zhǔn)對信息系統(tǒng)運作各過程中信息的機密性、完整性和可用性等安全屬性進行評價。其目的是達成風(fēng)險可控。信息安全風(fēng)險評估的4個階段:
(1)評估準(zhǔn)備階段。包括明確目標(biāo)、確定范圍、初步調(diào)研等;
(2)要素識別階段。即對資產(chǎn)的威脅和脆弱性進行辨識;
(3)風(fēng)險分析階段。主要確定風(fēng)險等級;
(4)匯報驗收階段。
3.2 基于云計算環(huán)境的電力企業(yè)信息安全評估
根據(jù)以上關(guān)于信息安全評估理論,結(jié)合電力云計算的互聯(lián)網(wǎng)特性,勾畫出如圖2所示的云計算環(huán)境下電力信息安全評估流程。
(1)若被評估對象沒有使用云計算服務(wù),那么其評估方法沿襲傳統(tǒng)的信息安全風(fēng)險評估方法,詳見文獻。
(2)若被評估對象采用了云計算,則應(yīng)依據(jù)Gartner提出的云計算安全風(fēng)險分析方法,從四個角度進行測評。
① 資產(chǎn)識別。包括資產(chǎn)分類和資產(chǎn)賦值。資產(chǎn)分類是對所有納入云計算的資產(chǎn)進行列表;資產(chǎn)賦值是分別對資產(chǎn)的機密性、完整性和可用性3個安全屬性進行打分,分值可取5/4/3/2/1(分值越高表示越重要),然后取3個屬性中最高值作為該資產(chǎn)賦值,記作Asi。
② 威脅識別。包括威脅分類和威脅賦值。對于威脅i,用ProbT{i}表示其“爆發(fā)”可能性。
③ 脆弱性識別。首先根據(jù)云計算平臺的可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離措施、數(shù)據(jù)恢復(fù)措施及長期生存性等特性識別可能引發(fā)安全事件的脆弱性;其次對特定脆弱性,用0-1變量表示存在與否,記為PV{i}。
④ 風(fēng)險評估與分析。即通過對威脅和脆弱性之間關(guān)聯(lián)性的解析,得到安全問題發(fā)生可能性L(ProbT,PV),并計算損失量(因損失與資產(chǎn)價值和安全事件可能性正相關(guān),因此可用函數(shù)F(As,L(ProbT,PV表示),最后估測風(fēng)險值R(L,F(xiàn))。:
4 應(yīng)對措施
在完成對電力企業(yè)信息安全評估后,就應(yīng)制定針對性措施。一般來說,有以下幾項可供參考:
(1)建立私有云“4A”統(tǒng)一安全管理平臺,強化身份管理、安全認(rèn)證、訪問權(quán)限控制及審計機制,達成訪問可溯源。
(2)建立安全事件應(yīng)急響應(yīng)機制及處理流程,完善安全審計機制。
(3)采用全同態(tài)數(shù)據(jù)加密技術(shù),保障數(shù)據(jù)的傳輸安全。
5 結(jié)束語
通過介紹云計算架構(gòu)、電力云組建方式,明確云計算環(huán)境下電力企業(yè)信息安全所面臨的新挑戰(zhàn)。以信息安全風(fēng)險評估的相關(guān)理論為鋪墊,結(jié)合電力企業(yè)信息管理的實際,提出了基于云計算的電力信息安全評估方法。該方法具有一定前瞻性。
參考文獻
[1]張偉.電力企業(yè)云計算信息安全風(fēng)險評估探討[J].廣東科技,2013,133(20):48-50.
[2]魏亮.云計算安全風(fēng)險及對策研究[J].郵電設(shè)計技術(shù),2011,18(01):26-28.
[3]佟得天,劉旭東.云計算信息安全與實踐[J].電信科學(xué),2013,19(02):136-139.
作者簡介
湯杰(1985-),男,湖南省常寧市人。畢業(yè)于中國石油大學(xué)(華東)計算機科學(xué)與技術(shù)專業(yè),獲得大學(xué)本科學(xué)歷?,F(xiàn)為神華國華九江發(fā)電有限責(zé)任公司助理工程師,主要從事公司網(wǎng)絡(luò)及信息化建設(shè)、運維工作。
關(guān)鍵詞:煤炭企業(yè);網(wǎng)絡(luò)信息安全;問題;對策
引言:當(dāng)前煤炭企業(yè)對網(wǎng)絡(luò)安全威脅很難開展有效的監(jiān)測,無法實現(xiàn)主動防御,只能處于一種被動防護狀態(tài),這無疑將會給煤炭企業(yè)引入極大的網(wǎng)絡(luò)安全風(fēng)險。煤炭企業(yè)上到領(lǐng)導(dǎo)下到普通職員,均對網(wǎng)絡(luò)信息安全問題抱有僥幸的心理,覺得一般不會出大的問題,從而缺少積極的防范措施,使得煤炭企業(yè)當(dāng)前在應(yīng)對實際的網(wǎng)絡(luò)安全威脅時不能有效的進行監(jiān)測和防護。
一、關(guān)于煤炭企業(yè)當(dāng)前面臨的網(wǎng)絡(luò)信息安全問題的分析
(1)煤炭企業(yè)員工的網(wǎng)絡(luò)信息安全意識比較淡薄
當(dāng)前很多煤炭企業(yè)對自身所處的網(wǎng)絡(luò)信息安全現(xiàn)狀依然缺少正確、完整的認(rèn)識,他們企業(yè)管理者覺得煤炭企業(yè)信息化的水平不高,接入互聯(lián)網(wǎng)的終端和用戶比較少,因此企業(yè)的網(wǎng)絡(luò)信息安全問題并不會給煤炭企業(yè)造成一定的威脅。另外,煤炭企業(yè)的管理層缺少對企業(yè)網(wǎng)絡(luò)信息安全的有效支持,使得實際投入到企業(yè)網(wǎng)絡(luò)和信息安全建設(shè)中的資金遠遠達不到應(yīng)有的要求。
(2)煤炭企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的防護能力比較薄弱
從目前看來,依然存在一些煤炭企業(yè)缺少復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)部署結(jié)構(gòu),已有的設(shè)備性能和配置也比較落后。在實際的網(wǎng)絡(luò)系統(tǒng)部署中缺少有效的安全防護技術(shù)和手段,不能有效監(jiān)測到網(wǎng)絡(luò)安全的威脅,只能一直處于被動防護的狀態(tài)。由于煤炭企業(yè)內(nèi)部大多使用的還是比較老舊的操作系統(tǒng),這些舊的終端設(shè)備本身就存在著大量的系統(tǒng)漏洞,很容易遭到黑客的攻擊。當(dāng)各個系統(tǒng)或軟件廠商在網(wǎng)上修補漏洞的補丁時,很多煤炭企業(yè)員工和用戶由于對這些網(wǎng)絡(luò)安全問題缺少正確的認(rèn)識,無法意識到這些系統(tǒng)和軟件漏洞會給煤炭企業(yè)本身帶來的安全威脅,使得企業(yè)內(nèi)部網(wǎng)絡(luò)終端設(shè)備很難全部完成漏洞的修補。
(3)煤炭企業(yè)缺乏有效的網(wǎng)絡(luò)安全防范體系
調(diào)查發(fā)現(xiàn),當(dāng)前很多煤炭企業(yè)的網(wǎng)絡(luò)信息安全管理較為混亂,沒有形成一套科學(xué)完整的網(wǎng)絡(luò)安全防范體系和機制。煤炭企業(yè)雖然制定了一些有關(guān)于網(wǎng)絡(luò)信息安全的管理制度和工作方法,但是依然缺乏有效的網(wǎng)絡(luò)安全威脅監(jiān)測和應(yīng)對方法,對于已有的網(wǎng)絡(luò)安全管理辦法也很難嚴(yán)格的去執(zhí)行,不能達到預(yù)期的網(wǎng)絡(luò)安全防護效果。另外,對于煤炭企業(yè)員工本身缺少有效的約束管理辦法,大多數(shù)時候只能依靠員工本身的自律能力,沒能從企業(yè)網(wǎng)絡(luò)安全管理制度和辦法上建立起一種行之有效的防范措施。
二、煤炭企業(yè)防范網(wǎng)絡(luò)信息安全的對策
(1)加強企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全管理
煤炭企業(yè)要想提高企業(yè)本身的網(wǎng)絡(luò)安全防護能力,首先必須改變企業(yè)當(dāng)前固有的網(wǎng)絡(luò)安全管理方法,各個部門都需要制定出適合自己部門業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全防護管理機制和體系。煤炭企業(yè)必須加強企業(yè)內(nèi)部自身的管理,為企業(yè)制定一套完整的網(wǎng)絡(luò)安全審計體系,能夠及時的發(fā)現(xiàn)潛在的安全威脅,并有效的追蹤到問題責(zé)任人。煤炭企業(yè)的網(wǎng)絡(luò)安全防護能力的強弱還需要根據(jù)企業(yè)員工網(wǎng)絡(luò)安全意識的強弱來判斷,因此在煤炭企業(yè)實際的運營當(dāng)中,必須加大對企業(yè)網(wǎng)絡(luò)安全技術(shù)培訓(xùn)和教育的投入。在煤炭企業(yè)中,網(wǎng)絡(luò)信息安全相關(guān)知識的培訓(xùn)、教育以及宣傳非常重要,尤其要加強企業(yè)員工對網(wǎng)絡(luò)安全意識的培養(yǎng),認(rèn)識到網(wǎng)絡(luò)安全對企業(yè)發(fā)展的重要性。要想讓煤炭企業(yè)能夠具備足夠的網(wǎng)絡(luò)安全知識和應(yīng)急響應(yīng)能力,就必須對企業(yè)員工開展定期的網(wǎng)絡(luò)安全知識培訓(xùn),從而不斷維持煤炭企業(yè)較高的網(wǎng)絡(luò)信息安全水平。
(2)引入先進的安全防護技術(shù)
除了剛剛提到的煤炭企業(yè)要加強企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全管理之外,最為重要的就是煤炭企業(yè)必須要引入先進的網(wǎng)絡(luò)安全防護技術(shù)。如果企業(yè)沒有這些先進的安全防護技術(shù),那么煤炭企業(yè)的網(wǎng)絡(luò)信息安全管理做的再好也沒有用,因為攻擊者將能夠直接不費吹之力拿下企業(yè)的整個網(wǎng)絡(luò)系統(tǒng),令企業(yè)面臨巨大的經(jīng)濟或聲譽損失。當(dāng)前隨著攻擊者的攻擊手段不斷提高,網(wǎng)絡(luò)安全防護技術(shù)也在不斷地取得發(fā)展,因此煤炭企業(yè)必須要選擇先進的安全防護技術(shù)來保護企業(yè)系統(tǒng)免受侵害。
首先,煤炭企業(yè)必須要給企業(yè)內(nèi)部所有的辦公終端安裝網(wǎng)絡(luò)版的防病毒軟件,如此一來煤炭企業(yè)便可以實現(xiàn)對企業(yè)辦公終端的集中式管理,使得企業(yè)的系統(tǒng)管理員能夠及時的了解到當(dāng)前網(wǎng)絡(luò)環(huán)境中每個節(jié)點的網(wǎng)絡(luò)安全狀態(tài),從而可以實現(xiàn)對企業(yè)辦公終端的有效監(jiān)管。此外,煤炭企業(yè)必須要在系統(tǒng)網(wǎng)絡(luò)之間部署防火墻,避免攻擊者通過非法的技術(shù)手段訪問企業(yè)內(nèi)部網(wǎng)絡(luò),從而有效保護企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)能夠?qū)崿F(xiàn)煤炭企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的有效隔離,所有來自煤炭企業(yè)外部網(wǎng)絡(luò)的訪問都需要經(jīng)過防火墻的檢查,從而提高企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。除此之外,煤炭企業(yè)還必須引入數(shù)據(jù)加密技術(shù),來有效提高企業(yè)內(nèi)部系統(tǒng)和數(shù)據(jù)的保密性,避免企業(yè)內(nèi)部的機密數(shù)據(jù)被攻擊者竊取或遭內(nèi)部員工的泄露。機密數(shù)據(jù)在發(fā)送之前會被發(fā)送者使用密鑰進行加密處理得到密文,然后密文會通過傳輸介質(zhì)傳送給接收者,接收者在拿到密文之后,需要利用密鑰對密文進行解密處理得到原始的機密數(shù)據(jù)。這樣一來便保證了數(shù)據(jù)信息的機密性,從而避免機密數(shù)據(jù)被黑客竊取給煤炭企業(yè)帶來經(jīng)濟損失。
(一)操作人員缺乏基礎(chǔ)安全意識
我們在日常的生活中經(jīng)常使用網(wǎng)絡(luò)的目的主要集中在工作、娛樂或?qū)W習(xí)方面,不會更深入的學(xué)習(xí)與關(guān)注計算機網(wǎng)絡(luò)信息安全,缺乏對網(wǎng)絡(luò)信息安全的常識,也不注意保護與防護,或者一些基礎(chǔ)的保護力度很小,無法應(yīng)對復(fù)雜情況下的網(wǎng)絡(luò)事件與不安全因素。除此之外,我們時常使用的一些網(wǎng)絡(luò)軟件的提供者或網(wǎng)絡(luò)運營商只關(guān)注網(wǎng)絡(luò)營銷的效應(yīng),不關(guān)注網(wǎng)絡(luò)安全的配套與管理,此時的安全措施形同虛設(shè),很難在實際環(huán)境中滿足用戶的安全需求,容易埋下安全隱患。
(二)缺乏制度化的防范體制
我國防范體制構(gòu)建與培養(yǎng)中存在的不足,與國家現(xiàn)行的部分法律法規(guī)很難適應(yīng)于現(xiàn)代網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,這方面體現(xiàn)在我國大部分企業(yè)都沒有網(wǎng)絡(luò)信息的安全防范意識,缺乏信息安全體制,沒有任何制度與方法來配套網(wǎng)絡(luò)信息安全的管理。這種情況非常容易成為犯罪分子的目標(biāo),讓他們有機可乘,結(jié)果會對企業(yè)造成不可彌補的損失。基于這一點,企業(yè)應(yīng)該反思在網(wǎng)絡(luò)信息安全中的體制問題,健全與完善這一弱點,防患于未燃,徹底規(guī)避網(wǎng)絡(luò)安全中的不穩(wěn)定因素。
(三)評估體系有待補充
計算機信息網(wǎng)絡(luò)安全,一般來看,應(yīng)該制定基礎(chǔ)的黑客防范體系作為安全評估的有效方法,用這種方法評估現(xiàn)有安全系數(shù),或是幫助企業(yè)對已有的平臺進行完善,用一套科學(xué)詳細(xì)的分析與說明,維護網(wǎng)絡(luò)信息安全,如果加強評估體系的建設(shè),開發(fā)出更好的技術(shù),就能夠在經(jīng)濟與技術(shù)上雙方面受益。
二、計算機安全管理制度的配套
(一)接收電子郵件
電郵會為企業(yè)帶來很多安全漏洞,收到未知郵件應(yīng)直接刪除或進行殺毒處理。除此之外,企業(yè)也要將更新病毒庫發(fā)給員工,作為強制政策,要求員工更期升級以保證未來計算機安全。
(二)安全漏洞防范
要懂得防范各種各樣的安全漏洞。如通過社交手段套取,也能使得企業(yè)放松,容易受到惡性攻擊。這其中沒有受到正規(guī)培訓(xùn)或?qū)ぷ鞑粷M的員工,更有可能會把企業(yè)的獨家信息或敏感材料泄露給競爭對手,所以對資料有人要嚴(yán)格把關(guān)。
(三)密碼設(shè)置
密碼是通常是絕大部份企業(yè)的重要弱點,人們?yōu)榱斯?jié)省時間,一般會共享或選擇簡單的密碼。密碼也不夠復(fù)雜,非常容易被別人猜測并且用來獲得重要資料。其實,網(wǎng)絡(luò)安全的弱點就還在于不是只有使用者有密碼,如果態(tài)度不夠謹(jǐn)慎,只要稍微加以詢便可讓他們無意中泄露出來,如通過電話或電子郵件包裝一下,輕易就能把員工的密碼拿到手。
(三)網(wǎng)絡(luò)的維護
在網(wǎng)絡(luò)使用中,應(yīng)建立網(wǎng)絡(luò)使用規(guī)范,員工要了解公司關(guān)于網(wǎng)絡(luò)中通信安全的規(guī)定。同時還要提高IT人員設(shè)定與監(jiān)視網(wǎng)絡(luò)安全方案的效率。
(四)安全防護機制
企業(yè)要決定由誰負(fù)責(zé)政策的制定與執(zhí)行,人事部也應(yīng)給新員工培訓(xùn),以書面形式告知公司政策,員工同意后,要簽名確認(rèn)自己了解并愿意遵守公司相關(guān)規(guī)定。另外,網(wǎng)絡(luò)管理人員應(yīng)建構(gòu)通信安全防護機制,成立緊急救援小組應(yīng)對可能發(fā)生的安全漏洞,并與人事部門緊密合作,將可疑的情況上報。
三、計算機安全管理在通信中的應(yīng)用
(一)加強攻擊和入侵應(yīng)急處理流程和災(zāi)難恢復(fù)方法
主要方法是配備必要的安全產(chǎn)品,例如網(wǎng)絡(luò)掃描器、防火墻、入侵檢測系統(tǒng),進行實時網(wǎng)絡(luò)監(jiān)控和分析,及時找到攻擊對象采取響應(yīng)的措施,并利用備份系統(tǒng)和應(yīng)急預(yù)案以備緊急情況下恢復(fù)系統(tǒng)。
(二)加強開放的網(wǎng)絡(luò)服務(wù)方法
Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來構(gòu)建堅固的大門,同時對Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強化內(nèi)部網(wǎng)絡(luò)用戶的責(zé)任感和守約,必要時還要增加一些審計的手段。
(三)網(wǎng)絡(luò)反病毒技術(shù)能力要加強
要想實現(xiàn)實時過濾的功能,就要安裝病毒防火墻功能。把網(wǎng)絡(luò)服務(wù)器中的一些文件進行不斷監(jiān)測與頻繁掃描,甚至在工作站上加裝防病毒卡,必要時設(shè)置網(wǎng)絡(luò)目與文件的訪問權(quán)控制權(quán)限。同時,也可以限制一些由服務(wù)器才能有權(quán)限執(zhí)行的文件。
(四)傳播途徑的切斷
一定要注意查殺硬盤或U盤的程序與病毒,不要接受網(wǎng)絡(luò)推送的不明網(wǎng)頁,對已經(jīng)感染的硬盤與U盤要實時格式化或殺毒,切斷一切不安全的傳播途徑。
(五)網(wǎng)絡(luò)訪問控制權(quán)授予
要想加強防范與保護網(wǎng)絡(luò)安全,控制其訪問權(quán)也是重要的方法與策略。這種方法可以讓網(wǎng)絡(luò)資源得到凈化,不給非法資源可乘之機,是保證網(wǎng)絡(luò)安全的重要核心策略之一。這種控制權(quán)的授予方式涉及技術(shù)廣泛,通常包括了入網(wǎng)控制權(quán)限、目錄控制權(quán)及網(wǎng)絡(luò)控制權(quán)等各種權(quán)限。
(六)密碼技術(shù)的應(yīng)用
密碼技術(shù)是網(wǎng)絡(luò)信息安全的核心技術(shù)競爭力,這種技術(shù)手段為網(wǎng)絡(luò)信息安全給予了重要保證。目前密碼技術(shù)集中在單鑰密碼體制、數(shù)字簽名方法、密鑰管理方法、古典密碼方法等,這些方法中,身份認(rèn)證與數(shù)字簽名方法是目前保證信息完整性的最主要方法。
(七)安全管理制度的必要性
要想保障網(wǎng)絡(luò)信息安全,首先應(yīng)該提高用戶與管理人員的道德修養(yǎng)與職業(yè)素質(zhì),對重要信息嚴(yán)格保密,做好數(shù)據(jù)的備份與檢查。
四、結(jié)束語
[關(guān)鍵詞] 電子商務(wù) 網(wǎng)絡(luò)/信息安全 信息安全技術(shù) 數(shù)字認(rèn)證 安全協(xié)議 信息安全對策
隨著網(wǎng)絡(luò)的發(fā)展,電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會的脆性大大增加,一旦計算機網(wǎng)絡(luò)受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來愈受到國際社會的高度關(guān)注。
一、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別、訪問控制、信息流控制、數(shù)據(jù)保護、軟件保護、病毒檢測及清除、內(nèi)容分類識別和過濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測報警與審計等技術(shù)。
1.防火墻技術(shù)。防火墻(Firewall)主要是加強網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)。
2.加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù),當(dāng)需要時可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。
3.數(shù)字簽名技術(shù)。數(shù)字簽名(Digital Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。
4.數(shù)字時間戳技術(shù)。時間戳(Time-Stamp)是一個經(jīng)加密后形成的憑證文檔,包括需加時間戳的文件的摘要(Digest)、DTS收到文件的日期與時間和DIS數(shù)字簽名,用戶首先將需要加時間的文件用HASH編碼加密形成摘要,然后將該摘要發(fā)送到DTS,DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數(shù)字簽名),然后送回用戶。
二、數(shù)字認(rèn)證及數(shù)字認(rèn)證授權(quán)機構(gòu)
1.數(shù)字證書。它含有證書持有者的有關(guān)信息,以標(biāo)識他的身份。數(shù)字證書克服了密碼在安全性和方便性方面的局限性,可以控制哪些數(shù)據(jù)庫能夠被查看,因此提高了總體的保密性。
2.電子商務(wù)數(shù)字認(rèn)證授權(quán)機構(gòu)。電子商務(wù)交易需要電子商務(wù)證書,而電子商務(wù)認(rèn)證中心(CA)就承擔(dān)著網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的功能。
三、電子商務(wù)信息安全協(xié)議
1.安全套接層協(xié)議。用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個概念可以被總結(jié)為:一個保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。
2.安全電子交易公告。安全電子交易公告(SET:Secure Electronic Transactions)是為在線交易設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認(rèn)證的前提下,又增加了對商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。
3.安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸?shù)陌踩浴HTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術(shù)的。
4.安全交易技術(shù)協(xié)議(STT)。STT將認(rèn)證與解密在瀏覽器中分離開,以提高安全控制能力。
5.UN/EDIFACT標(biāo)準(zhǔn)。UN/EDIFACT報文是唯一的國際通用的電子商務(wù)標(biāo)準(zhǔn)。
6.《電子交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守則》(UNCID)。UNCID由國際商會制定,該守則第六條、第七條、第九條分別就數(shù)據(jù)的保密性、完整性及貿(mào)易雙方簽訂協(xié)議等問題做了規(guī)定。
三、電子商務(wù)中的信息安全對策
1.提高對網(wǎng)絡(luò)信息安全重要性的認(rèn)識。我們在思想上要把信息資源共享與信息安全防護有機統(tǒng)一起來,以有效方式、途徑在全社會普及網(wǎng)絡(luò)安全知識,學(xué)會維護網(wǎng)絡(luò)安全的基本技能。
2.加強網(wǎng)絡(luò)安全管理。我國網(wǎng)絡(luò)安全管理除現(xiàn)有的部門分工外,要建立一個具有高度權(quán)威的信息安全領(lǐng)導(dǎo)機構(gòu),有效統(tǒng)一、協(xié)調(diào)各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。
3.加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。要注重加強與國外的經(jīng)驗技術(shù)交流,及時掌握國際上最先進的安全防范手段和技術(shù)措施,確保在較高層次上處于主動。
4. 抓緊網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)。一個網(wǎng)絡(luò)信息系統(tǒng),只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設(shè)計生產(chǎn)的,就沒有安全可言。為此,需要建立中國的公開密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測評估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。
5.把好網(wǎng)絡(luò)建設(shè)立項關(guān)。在對網(wǎng)絡(luò)的開放性、適應(yīng)性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關(guān)的同時,在立項時更應(yīng)注重對網(wǎng)絡(luò)的可靠性、安全性評估,力爭將安全隱患杜絕于立項、決策階段。
6.建立網(wǎng)絡(luò)風(fēng)險防范機制。為網(wǎng)絡(luò)安全而產(chǎn)生的防止方法有多種,但總的來講不外乎危險產(chǎn)生前的預(yù)防、發(fā)生中的抑制和發(fā)生后的補救。有學(xué)者建議,網(wǎng)絡(luò)經(jīng)營者可以在保險標(biāo)的范圍內(nèi)允許標(biāo)保的財產(chǎn)進行標(biāo)保,并在出險后進行理賠。
7.強化網(wǎng)絡(luò)技術(shù)創(chuàng)新。如果在基礎(chǔ)硬件、芯片方面不能自主,將嚴(yán)重影響我們對信息安全的監(jiān)控。為了建立起我國自主的信息安全技術(shù)體系,需要以我為主,統(tǒng)一組織進行信息安全關(guān)鍵技術(shù)攻關(guān),以創(chuàng)新的思想,構(gòu)筑具有中國特色的信息安全體系。
8.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化。目前,國際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)安全的技術(shù)規(guī)范、技術(shù)標(biāo)準(zhǔn),目的就是要在統(tǒng)一的網(wǎng)絡(luò)環(huán)境中保證信息的絕對安全。我們應(yīng)從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應(yīng)國際潮流的技術(shù)規(guī)范。
9.建設(shè)網(wǎng)絡(luò)安全研究基地。應(yīng)該把我國現(xiàn)有的從事信息安全研究、應(yīng)用的人才很好地組織起來,為他們創(chuàng)造更優(yōu)良的工作學(xué)習(xí)環(huán)境,調(diào)動他們在信息安全創(chuàng)新中的積極性。
10.促進網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展。扶持具有中國特色的信息安全產(chǎn)業(yè)的發(fā)展是振興民族信息產(chǎn)業(yè)的一個切入點,也是維護網(wǎng)絡(luò)安全的必要對策。為了加速發(fā)展我國的信息安全產(chǎn)業(yè),需要盡快解決資金投入、對外合作、產(chǎn)品開發(fā)、安全評測、銷售管理、采購政策、利益分配等方面存在的問題。
參考文獻:
[1]屈云波:電子商務(wù)[M].北京:企業(yè)管理出版社,1999
[2]趙戰(zhàn)生:我國信息安全及其技術(shù)研究[J].中國信息導(dǎo)報,1999,(8):5~7