前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全應急處理預案主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:云計算;信息安全;應急系統(tǒng)
1云應急服務
1.1云計算技術分析
云計算應用環(huán)境中,云端大型的服務器可以被人們高效利用,充分發(fā)揮數(shù)據(jù)資源優(yōu)勢,保證資源能夠得到可靠、準確的計算、儲存以及整合,結合實際需要,由云端服務商合理劃分硬件資源,保證運用在使用云端服務器以及相關程序時不會花費過多的成本,實現(xiàn)統(tǒng)一、標準化的信息資源。通過云安全應急服務平臺避免出現(xiàn)安全問題,如木馬、僵尸網(wǎng)、SQL注入以及漏洞攻擊等[1],發(fā)揮頁面優(yōu)化、緩存以及智能化調度運營商的技術,減少問題出現(xiàn)的幾率,提高訪問的速度以及效率,保證用戶的信息安全不受影響,優(yōu)化服務質量。
1.2云安全應急服務
信息應急安全管理中,云應急服務平臺發(fā)揮著不可忽視的作用,將信息安全應急的實際情況在線傳輸給用戶,云端承受用戶的應急壓力。云應急服務平臺能夠對應急資源進行科學的劃分、配置,使應急響應更加及時,受到的各種攻擊能夠被直接有效解決,將流量通過智能化的方法進行劃分,使其達到安全服務節(jié)點中,避免安全管理不足的出現(xiàn),在云計算的影響下,云應急服務的功能也十分強大。云安全應急服務是在云平臺中對用戶域名進行解析,實現(xiàn)智能化效果,使用戶流量能夠被最近距離的云端節(jié)點接收,承載用戶提出的需要,同時對流量進行過濾,能夠做好監(jiān)控預警的工作。云安全應急服務平臺的基礎云架構是分布式的計算,實現(xiàn)多線的智能化解析調度,將單點的萬維網(wǎng)通過動態(tài)化的方法負載到云端的節(jié)點中[2],用戶請求被承載,保證用戶流量得到有效分析管理。架構云安全應急平臺時分為中心與邊緣兩個部分,中心位置的是應急響應系統(tǒng)以及域名系統(tǒng),應急處理信息安全問題。邊緣則是在不同節(jié)點上,能夠對信息內容進行分發(fā),做好監(jiān)督預警工作,使用戶應用正常推進。
2云應急系統(tǒng)架構
云應急系統(tǒng)能夠將服務很好地通過提供給用戶,發(fā)揮云平臺的優(yōu)勢,使用戶的監(jiān)測預警工作順利推進,利用應急響應明確判斷發(fā)生的事件,保證事件能夠得到有效的控制,盡快恢復到初始狀態(tài)。遇到各種危險以及安全威脅時,關鍵的信息服務還是能夠繼續(xù)保持正常運行。云應急服務平臺主要包括三層架構,具體如圖1。
2.1信息采集安全層
這一層主要是基礎性的設施,如網(wǎng)絡設施、硬件以及軟件平臺等,能夠為系統(tǒng)的運行提供支持。硬件主要是各種服務器、儲存設備、入侵檢測以及防火墻等,基礎性的軟件主要是數(shù)據(jù)庫平臺、操作系統(tǒng)等系統(tǒng)平臺。
2.2信息傳輸安全層
這是以基礎軟件和數(shù)據(jù)作為基礎的,有良好的支撐環(huán)境為應用系統(tǒng)提供支持,使其功能發(fā)揮更加充分,其中主要包括對數(shù)據(jù)的備份、對日志進行管理、通訊服務等內容[3]。數(shù)據(jù)資源是對平臺中的資源進行儲存以及管理,其中裝有應急管理的相關人員、數(shù)據(jù)以及物資等,能夠實現(xiàn)有效的調度以及檢索,有效整合應急業(yè)務信息,能夠明確數(shù)據(jù)庫中各種信息數(shù)據(jù)的儲存方式、機制,了解數(shù)據(jù)的管理方法以及入庫更新情況。
2.3信息處理
安全層應急平臺功能模塊中主要分為三個部分,即監(jiān)測預警、安全管理以及應急響應,這三個方面對于業(yè)務應用的順利實現(xiàn)起到保障作用。監(jiān)測預警可以有效監(jiān)測云端用戶被入侵等問題。日常安全管理就是做好應急值守工作,處理好應急的資源,科學對風險進行評估等。應急響應就是對事件進行處理、統(tǒng)計,信息等。
3云應急系統(tǒng)的功能
3.1監(jiān)控預警
監(jiān)控預警就是對于云端接入的網(wǎng)站、信息系統(tǒng)等進行安全評估,及時分析其中潛在的風險,并作為預警。云應急服務平臺能夠科學的評估監(jiān)控對象的安全性,滲透測試就是對黑客攻擊的手段進行模擬,從而對計算機的安全進行評價,在此過程中需要科學分析系統(tǒng)以及應用漏洞,技術上的不足以及配置上的優(yōu)化,從黑客的角度全面的攻擊被測試的對象,實時監(jiān)控預警事件。依據(jù)資產(chǎn)的價值以及威脅性對不同資產(chǎn)的風險值進行評估。做好漏洞的掃描關注,在文件上傳網(wǎng)站時也需要進行及時的檢測,分析網(wǎng)絡流量,實現(xiàn)整體性的安全評價。
3.2資源的應急管理
資源應急管理中主要涉及以下內容,分別是機房、設備、工具軟件、網(wǎng)絡、應急設備、救援的專家小組、法律法規(guī)等。優(yōu)化應急資源數(shù)據(jù)庫,其中主要包括應急管理數(shù)據(jù)庫、安全事件信息庫、應急預案庫、政策法規(guī)數(shù)據(jù)庫等,應急管理人員要登錄到管理門戶中,借助于應急資源的作用,對信息安全以及風險等進行全面細致的闡述,有效預警可能存在的安全問題。安全知識庫通常包括病毒庫、補丁庫以及漏洞庫等,此外還有安全案例庫,其中包含很多安全知識的文章內容等。
3.3應急值守
利用監(jiān)控預警機制,通過對日志、流量等信息的采集,有效的掃描漏洞,準確獲得安全信息,能夠實時監(jiān)控網(wǎng)絡情況,在智能分析、專家判斷等基礎上對信息系統(tǒng)的安全事件以及風險進行研究,由專門的值班工作人員上報、處理、管理安全事件。要處理安全事件時需要明確事件的具體情況,比如風險高低、歷史情況等,依據(jù)安全信息的不同來源進行種類劃分,對實時事件進行查看,做好過濾工作,對于滿足過濾條件的事件進行顯示,可以自己定義過濾的條件,依據(jù)設計的審計情況科學的審計分析安全事件。
3.4預案管理
對信息安全事件要建立應急預案,并努力實現(xiàn)數(shù)字化的應急預案,出現(xiàn)信息安全事件時,需要對自動關聯(lián)應急預案,結合預案情況對信息安全問題進行處理,應急預案中要有方案、清單、規(guī)劃報告以及記錄等。實現(xiàn)數(shù)字化的預案其實就是利用結構化的方法將文本轉化為對應急指揮有利的方案,在數(shù)字化管理過程中,要明確其適用范圍、進行種類以及級別的劃分、明確職責分工、做好應急資源處理,保證應急流程信息實現(xiàn)數(shù)字化。
3.5風險管理
信息安全的風險管理的關鍵就是資產(chǎn)管理,依據(jù)相關等級標準分析資產(chǎn)存管理存在的風險以及風險出現(xiàn)的變化等,明確減少資產(chǎn)風險的方法以及策略。風險分析主要是依據(jù)國際上的安全標準方法進行,了解信息資產(chǎn)的價值、出現(xiàn)的幾率,脆弱性被威脅利用的幾率,量化風險。
3.6應急響應
應急響應是對各種威脅信息安全的、預警事件進行科學的處理,及時監(jiān)測事件,對各種技術資源進行科學協(xié)調劃分,幫助用戶、相關單位等對安全事件進行處理。信息安全的應急響應就是與輔助決策系統(tǒng)一起,將應急預案提高到重要位置上,科學的跟蹤、處理以及評估信息安全事件。輔助決策功能就是在用戶處理安全事件時充分發(fā)揮數(shù)字化預案的優(yōu)勢,結合相關信息,自動找到合適的預案,由用戶自己決策是否要對安全事件處理,采取何種方式進行處理,進而確定應急處理方案,全面、動態(tài)化的調整安全措施,保證網(wǎng)絡安全有序運行。
4結束語
云計算的數(shù)據(jù)處理能力是比較強大的,能夠實現(xiàn)資源的優(yōu)化配置,減少資金消耗,優(yōu)化資源配置與利用。信息安全應急在云計算環(huán)境中占有十分重要的地位,必須要完善應急系統(tǒng)建設,采用科學、規(guī)范的模式進行管理,統(tǒng)一認識數(shù)據(jù)信息的來源、儲存以及共享等,保證云計算環(huán)境下的信息安全。
參考文獻:
[1]湯祥州,鄭綿彬,俞維露.云計算下的信息安全應急系統(tǒng)研究[J].網(wǎng)絡空間安全,2016,06:50-52+55.
[2]呂雪,凌捷.基于J2EE架構的信息安全應急預案管理系統(tǒng)研究與實現(xiàn)[J].計算機工程與設計,2013,04:1197-1201+1237.
關鍵詞:金融風險;防范;管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)10-2201-02
隨著我國金融業(yè)的蓬勃發(fā)展,各金融機構不斷加大金融電子化建設投入,擴大其網(wǎng)絡規(guī)模和應用范圍。但是,應該看到,金融電子化在給我們提供便利的同時,也帶來了新的安全問題,并且,這個問題現(xiàn)在顯得越來越緊迫。
1金融網(wǎng)絡現(xiàn)狀與面臨的主要風險
金融活動越來越多地在計算機網(wǎng)絡上建立,網(wǎng)上證券交易、資金轉賬、清算支付、信用卡交易、信用查詢、電信銀行業(yè)務等基于網(wǎng)絡的金融產(chǎn)品不斷被開發(fā)出來,各種不同規(guī)模的金融系統(tǒng)也在迅速的發(fā)展壯大,金融業(yè)務的網(wǎng)絡化趨勢,已經(jīng)成為不可避免的發(fā)展方向。
在網(wǎng)絡為我們提供巨大便利的同時,來自外部與內部的威脅與風險也在不斷加大。絕大多數(shù)銀行、金融機構都會通過各種方式進行互聯(lián)互通,并與國際互聯(lián)網(wǎng)直接或間接相連,如何有效防范來自外部的攻擊、竊聽、木馬、病毒的多重入侵是金融網(wǎng)絡組建與運行中必須首要考慮的問題。同時,機構內部的員工、終端、服務器、網(wǎng)絡設備、軟件等的管理也是不可忽視的,由于外部出口是一個點,而內部體系是一個面,所以來自內部的威脅往往要遠遠大于外部,必須加以足夠的重視。
2金融網(wǎng)絡的風險評估與防范
最有效的金融網(wǎng)絡風險防范措施就是對網(wǎng)絡系統(tǒng)進行等級保護,按照重要程度進行級別劃分,對不同等級的網(wǎng)絡系統(tǒng)通過物理隔離或邏輯隔離劃定邊界,并針對不同等級的網(wǎng)絡系統(tǒng),特別是核心業(yè)務網(wǎng)絡定期進行風險評估,系統(tǒng)地分析所面臨的威脅及其存在的脆弱性,查找薄弱環(huán)節(jié)和安全隱患,有針對性的提出防范和化解風險的整改措施,并及時進行整改。
風險評估根據(jù)網(wǎng)絡系統(tǒng)等級劃分后的的重要程度和機構自身的條件選擇自評估或聘請第三方專業(yè)機構進行。評估過程大致可以分為現(xiàn)場檢查、風險分析及策略選擇3個步驟進行。
首先,現(xiàn)場檢查階段應明確目前網(wǎng)絡資產(chǎn)情況、網(wǎng)絡系統(tǒng)的安全需求、當前的安全控制措施情況、業(yè)務對網(wǎng)絡系統(tǒng)的依賴性,明確網(wǎng)絡系統(tǒng)的技術脆弱性,主要包括:設計弱點、實現(xiàn)弱點、配置弱點等等?,F(xiàn)場檢查切勿走形式,務必提前制定詳細的檢查方案與實施細則,并嚴格按照檢查計劃進行。只有現(xiàn)場檢查階段得到了全面、真實的業(yè)務數(shù)據(jù),才能為后面的綜合分析提供必要的基礎支持。
風險分析階段是整個風險評估的核心部分,需要利用現(xiàn)場檢查階段得到的各類數(shù)據(jù),綜合分析金融網(wǎng)絡系統(tǒng)所存在的各類風險。具體實施則應包括關鍵資產(chǎn)安全需求(機密性、完整性和可用性)確定、關鍵資產(chǎn)威脅分析、脆弱性分析、綜合風險計算及風險分析總結等幾個方面。
安全需求分析包括應選擇關鍵資產(chǎn)、并對關鍵資產(chǎn)進行安全需求分析與賦值。威脅分析針對環(huán)境因素和人為因素分析威脅來源、對威脅進行分類、研究威脅發(fā)生的可能性、分析威脅的嚴重程度。脆弱性分析包括以下幾點:網(wǎng)絡安全策略及管理規(guī)章制度是否健全;安全組織體系是否健全,管理職責是否明確,安全管理機構崗位設置、人員配備是否合理;網(wǎng)絡系統(tǒng)的體系結構、各類安全保障措施的組合是否合理;網(wǎng)絡安全域劃分、邊界防護、內部網(wǎng)絡防護、外部設備接入控制、內外網(wǎng)隔離等是否到位;網(wǎng)絡設備、安全設備、主機和終端設備的安全性是否可靠,操作系統(tǒng)的安全配置、病毒防護、惡意代碼防范等是否有效。此外,還應檢查設備、系統(tǒng)的操作和維護記錄,變更管理,安全事件分析和報告;運行環(huán)境與開發(fā)環(huán)境的分離情況;安全審計、補丁升級管理、安全漏洞檢測、網(wǎng)管、權限管理及密碼管理情況;機房安全管控措施、防災措施、供電和通信系統(tǒng)的保障措施等;關鍵資產(chǎn)采購時是否進行了安全性測試,對外部服務機構和人員的保密約束情況,在服務提供過程中是否采取了管控措施;應急響應體系(應急組織、應急預案、應急物資)建設情況,應急演練情況等。
綜合風險分析主要是綜合分析網(wǎng)絡與信息系統(tǒng)的整體安全現(xiàn)狀,對資產(chǎn)、威脅、薄弱環(huán)節(jié)、已有安全措施進行綜合分析,分析安全事件發(fā)生的可能性;分析安全事件發(fā)生后可能造成的后果和影響;分析網(wǎng)絡和信息系統(tǒng)的整體風險狀況,最后根據(jù)風險的程度逐 條列出風險列表,通常可將風險劃分為3個等級,即一般風險、中級風險和高級風險。
策略選擇階段根據(jù)前一階段得到的風險列表,結合安全需求和業(yè)務目標,開展相應的整改工作,開發(fā)和選擇符合成本效益的信息安全保護策略,包括安全管理策略和安全運行策略,并制定合適的風險緩解計劃。特別是針對高級風險應立即采取相應措施進行化解,對于短時間內受各種客觀條件限制而不能及時處理的高級風險,應制定專項風險防范方案,并提出后期整改計劃。
經(jīng)過較為全面的風險評估與相應的整改,可以極大的降低金融網(wǎng)絡安全事件的發(fā)生概率。需要注意的是,風險評估保證必須定期組織進行,并將責任落實到人,確保整改到位。
3金融網(wǎng)絡的應急體系
做好風險評估與防范,千萬不能忽視應急體系的建立與管理,即使金融網(wǎng)絡各方面風險已得到控制,仍避免不了各類突發(fā)事件的發(fā)生,如何在緊急情況下以最快的速度恢復系統(tǒng)運行或使用替代方式繼續(xù)進行業(yè)務處理,是衡量一個網(wǎng)絡體系是否健全完善的重要指標。
金融網(wǎng)絡比起其他普通網(wǎng)絡系統(tǒng),有著更加重要的地位,一個社區(qū)的網(wǎng)絡或是一所學校的網(wǎng)絡系統(tǒng)出現(xiàn)故障所產(chǎn)生的社會不良影響遠不及一家銀行資金業(yè)務或支付清算系統(tǒng)網(wǎng)絡所出現(xiàn)的事故。金融網(wǎng)絡的應急處理必須得到高度的重視。
金融網(wǎng)絡應急體系建立的首要環(huán)節(jié)就是要建立一套全方位的應急組織協(xié)調機制,應涉及應急處理的各個部門、單位及相關政府職能部門,能在突發(fā)事件發(fā)生后的第一時間進行組織協(xié)調,確定應急方案,調動各方力量,實現(xiàn)應急聯(lián)動。
其次,金融機構應結合自身的實際情況,制定和不斷完善IT層面的應急預案,完善網(wǎng)絡、機房環(huán)境等應急操作手冊,提高金融網(wǎng)絡系統(tǒng)應對突發(fā)事件的能力,有效、快速、合理地應對突發(fā)事件,最大程度地減少金融網(wǎng)絡信息安全事件造成損失和影響,保障金融業(yè)務的連續(xù)運行。
應急預案的有效性取決于預案所涉及的人員對預案的理解。因此必須定期組織要對預案的宣傳、培訓和實戰(zhàn)演練,確保參與應急處理的每個人均能充分理解應急預案的中心思路、應急處理的原則、應急處理的具體執(zhí)行流程,以便在實際應急處理過程中迅速進入狀態(tài),確保應急處理的效果。
實戰(zhàn)演練是為檢驗應急設施的有效性、鍛煉應急隊伍、改進應急預案等,針對真實運行的系統(tǒng)主動進行的演練,實戰(zhàn)演練前應檢查預防性措施的就緒情況,以防止可能發(fā)生的演練風險。演練必須注重真實性,不能走過場,要模擬出真實事件發(fā)生的效果,最好由第三方組織在不通知預案執(zhí)行者的前提下進行,以達到更真實的現(xiàn)場效果。
4結束語
金融網(wǎng)絡必須有足夠強的安全防衛(wèi)措施,否則將會影響到金融業(yè)的可持續(xù)發(fā)展。網(wǎng)絡安全保障是一個綜合集成的系統(tǒng),它的規(guī)劃、管理要求國家有關部門、金融機構及IT技術公司通力合作,進行科學的、強有力的干預、導向和防護。隨著金融信息化的迅猛發(fā)展,金融網(wǎng)絡不再局限于專網(wǎng),而必須使用如互聯(lián)網(wǎng)那樣的公網(wǎng)。通過風險評估機制來建立完善的安全管理制度和智能、深度的安全防御技術手段,構建一個管理手段與技術手段相結合的全方位、多層次、可動態(tài)發(fā)展的縱深安全防范體系,為金融業(yè)務的發(fā)展提供一個堅實的信息系統(tǒng)基礎保障。
參考文獻:
僅供參考
為保證有效平穩(wěn)處置互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件中,實現(xiàn)統(tǒng)一指揮、協(xié)調配合,及時發(fā)現(xiàn)、快速反應,嚴密防范、妥善處置,保障互聯(lián)網(wǎng)網(wǎng)絡安全,維護社會穩(wěn)定,制定本預案。
一、總則
(一)編制目的
為提處置網(wǎng)絡與信息安全突發(fā)事件的能力,形成科學、有效、反應迅速的應急工作機制,確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全,最大程度地預防和減少網(wǎng)絡與信息安全突發(fā)事件及其造成的損害,保障信息資產(chǎn)安全,特制定本預案。
(二)編制依據(jù)
根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、公安部《計算機病毒防治管理辦法》,制定本預案。
(三)分類分級
本預案所稱網(wǎng)絡與信息安全突發(fā)事件,是指本系統(tǒng)信息系統(tǒng)突然遭受不可預知外力的破壞、毀損、故障,發(fā)生對國家、社會、公眾造成或者可能造成重大危害,危及公共安全的緊急事件。
1、事件分類
根據(jù)網(wǎng)絡與信息安全突發(fā)事件的性質、機理和發(fā)生過程,網(wǎng)絡與信息安全突發(fā)事件主要分為以下三類:
(1)自然災害。指地震、臺風、雷電、火災、洪水等引起的網(wǎng)絡與信息系統(tǒng)的損壞。
(2)事故災難。指電力中斷、網(wǎng)絡損壞或是軟件、硬件設備故障等引起的網(wǎng)絡與信息系統(tǒng)的損壞。
(3)人為破壞。指人為破壞網(wǎng)絡線路、通信設施,黑客攻擊、病毒攻擊、恐怖襲擊等引起的網(wǎng)絡與信息系統(tǒng)的損壞。
2、事件分級
根據(jù)網(wǎng)絡與信息安全突發(fā)事件的可控性、嚴重程度和影響范圍,縣上分類情況。
(1)i級、ⅱ級。重要網(wǎng)絡與信息系統(tǒng)發(fā)生全局大規(guī)模癱瘓,事態(tài)發(fā)展超出控制能力,需要縣級各部門協(xié)調解決,對國家安全、社會秩序、經(jīng)濟建設和公共利益造成特別嚴重損害的信息安全突發(fā)事件。
(2)ⅲ級。某一部分的重要網(wǎng)絡與信息系統(tǒng)癱瘓,對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害,屬縣內控制之內的信息安全突發(fā)事件。
(3)ⅳ級。重要網(wǎng)絡與信息系統(tǒng)使用效率上受到一定程度的損壞,對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益的信息安全突發(fā)事件。
(四)適用范圍
適用于本系統(tǒng)發(fā)生或可能導致發(fā)生網(wǎng)絡與信息安全突發(fā)事件的應急處置工作。
(五)工作原則
1、居安思危,預防為主。立足安全防護,加強預警,重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng),從預防、監(jiān)控、應急處理、應急保障和打擊犯罪等環(huán)節(jié),在法律、管理、技術、人才等方面,采取多種措施,充分發(fā)揮各方面的作用,共同構筑網(wǎng)絡與信息安全保障體系。
2、提高素質,快速反應。加強網(wǎng)絡與信息安全科學研究和技術開發(fā),采用先進的監(jiān)測、預測、預警、預防和應急處置技術及設施,充分發(fā)揮專業(yè)人員的作用,在網(wǎng)絡與信息安全突發(fā)事件發(fā)生時,按照快速反應機制,及時獲取充分而準確的信息,跟蹤研判,果斷決策,迅速處置,最大程度地減少危害和影響。
3、以人為本,減少損害。把保障公共利益以及公民、法人和其他組織的合法權益的安全作為首要任務,及時采取措施,最大限度地避免公共財產(chǎn)、信息資產(chǎn)遭受損失。
4、加強管理,分級負責。按照“條塊結合,以條為主”的原則,建立和完善安全責任制及聯(lián)動工作機制。根據(jù)部門職能,各司其職,加強部門間協(xié)調與配合,形成合力,共同履行應急處置工作的管理職責。
5、定期演練,常備不懈。積極參與縣上組織的演練,規(guī)范應急處置措施與操作流程,確保應急預案切實有效,實現(xiàn)網(wǎng)絡與信息安全突發(fā)事件應急處置的科學化、程序化與規(guī)范化。
二、組織指揮機構與職責
(一)組織體系
成立網(wǎng)絡安全工作領導小組,組長局黨委書記、局長擔任,副組長由局分管領導,成員包括:信息全體人員、各通信公司相關負責人。
(二)工作職責
1、研究制訂我中心網(wǎng)絡與信息安全應急處置工作的規(guī)劃、計劃和政策,協(xié)調推進我中心網(wǎng)絡與信息安全應急機制和工作體系建設。
2、發(fā)生i級、ⅱ級、ⅲ級網(wǎng)絡與信息安全突發(fā)事件后,決定啟動本預案,組織應急處置工作。如網(wǎng)絡與信息安全突發(fā)事件屬于i級、ⅱ級的,向縣有關部門通報并協(xié)調縣有關部門配合處理。
3、研究提出網(wǎng)絡與信息安全應急機制建設規(guī)劃,檢查、指導和督促網(wǎng)絡與信息安全應急機制建設。指導督促重要信息系統(tǒng)應急預案的修訂和完善,檢查落實預案執(zhí)行情況。
4、指導應對網(wǎng)絡與信息安全突發(fā)事件的科學研究、預案演習、宣傳培訓,督促應急保障體系建設。
5、及時收集網(wǎng)絡與信息安全突發(fā)事件相關信息,分析重要信息并提出處置建議。對可能演變?yōu)閕級、ⅱ級、ⅲ級的網(wǎng)絡與信息安全突發(fā)事件,應及時向相關領導提出啟動本預案的建議。
6、負責提供技術咨詢、技術支持,參與重要信息的研判、網(wǎng)絡與信息安全突發(fā)事件的調查和總結評估工作,進行應急處置工作。
三、監(jiān)測、預警和先期處置
(一)信息監(jiān)測與報告
1、要進一步完善各重要信息系統(tǒng)網(wǎng)絡與信息安全突發(fā)事件監(jiān)測、預測、預警制度。按照“早發(fā)現(xiàn)、早報告、早處置”的原則,加強對各類網(wǎng)絡與信息安全突發(fā)事件和可能引發(fā)網(wǎng)絡與信息安全突發(fā)事件的有關信息的收集、分析判斷和持續(xù)監(jiān)測。當發(fā)生網(wǎng)絡與信息安全突發(fā)事件時,在按規(guī)定向有關部門報告的同時,按緊急信息報送的規(guī)定及時向領導匯報。初次報告最遲不得超過4小時,較大、重大和特別重大的網(wǎng)絡與信息安全突發(fā)事件實行態(tài)勢進程報告和日報告制度。報告內容主要包括信息來源、影響范圍、事件性質、事件發(fā)展趨勢和采取的措施等。
2、重要信息系統(tǒng)管理人員應確立2個以上的即時聯(lián)系方式,避免因信息網(wǎng)絡突發(fā)事件發(fā)生后,必要的信息通報與指揮協(xié)調通信渠道中斷。
3、及時上報相關網(wǎng)絡不安全行為:
(1)惡意人士利用本系統(tǒng)網(wǎng)絡從事違法犯罪活動的情況。
(2)網(wǎng)絡或信息系統(tǒng)通信和資源使用異常,網(wǎng)絡和信息系統(tǒng)癱瘓、應用服務中斷或數(shù)據(jù)篡改、丟失等情況。
(3)網(wǎng)絡恐怖活動的嫌疑情況和預警信息。
(4)網(wǎng)絡安全狀況、安全形勢分析預測等信息。
(5)其他影響網(wǎng)絡與信息安全的信息。
(二)預警處理與預警
1、對于可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡與信息安全突發(fā)事件,系統(tǒng)管理員應立即采取措施控制事態(tài),請求相關職能部門,協(xié)作開展風險評估工作,并在2小時內進行風險評估,判定事件等級并預警。必要時應啟動相應的預案,同時向信息安全領導小組匯報。
2、領導小組接到匯報后應立即組織現(xiàn)場救援,查明事件狀態(tài)及原因,技術人員應及時對信息進行技術分析、研判,根據(jù)問題的性質、危害程度,提出安全警報級別。
(三)先期處置
1、當發(fā)生網(wǎng)絡與信息安全突發(fā)事件時,及時請技術人員做好先期應急處置工作并立即采取措施控制事態(tài),必要時采用斷網(wǎng)、關閉服務器等方式防止事態(tài)進一步擴大,同時向上級信息安全領導小組通報。
2、信息安全領導小組在接到網(wǎng)絡與信息安全突發(fā)事件發(fā)生或可能發(fā)生的信息后,應加強與有關方面的聯(lián)系,掌握最新發(fā)展態(tài)勢。對有可能演變?yōu)棰<壘W(wǎng)絡與信息安全突發(fā)事件,技術人員處置工作提出建議方案,并作好啟動本預案的各項準備工作。信息安全領導小組根據(jù)網(wǎng)絡與信息安全突發(fā)事件發(fā)展態(tài)勢,視情況決定現(xiàn)場指導、組織設備廠商或者系統(tǒng)開發(fā)商應急支援力量,做好應急處置工作。對有可能演變?yōu)棰⒓壔騣級的網(wǎng)絡與信息安全突發(fā)事件,要根據(jù)縣有關部門的要求,上報縣政府有關部門,趕赴現(xiàn)場指揮、組織應急支援力量,積極做好應急處置工作。
四、應急處置
(一)應急指揮
1、本預案啟動后,領導小組要迅速建立與現(xiàn)場通訊聯(lián)系。抓緊收集相關信息,掌握現(xiàn)場處置工作狀態(tài),分析事件發(fā)展趨勢,研究提出處置方案,調集和配置應急處置所需要的人、財、物等資源,統(tǒng)一指揮網(wǎng)絡與信息安全應急處置工作。
2、需要成立現(xiàn)場指揮部的,立即在現(xiàn)場開設指揮部,并提供現(xiàn)場指揮運作的相關保障?,F(xiàn)場指揮部要根據(jù)事件性質迅速組建各類應急工作組,開展應急處置工作。
(二)應急支援
本預案啟動后,領導小組可根據(jù)事態(tài)的發(fā)展和處置工作需要,及時申請增派專家小組和應急支援單位,調動必需的物資、設備,支援應急工作。參加現(xiàn)場處置工作的有關人員要在現(xiàn)場指揮部統(tǒng)一指揮下,協(xié)助開展處置行動。
(三)信息處理
現(xiàn)場信息收集、分析和上報。技術人員應對事件進行動態(tài)監(jiān)測、評估,及時將事件的性質、危害程度和損失情況及處置工作等情況及時報領導小組,不得隱瞞、緩報、謊報。符合緊急信息報送規(guī)定的,屬于i級、ⅱ級信息安全事件的,同時報縣委、縣政府相關網(wǎng)絡與信息安全部門。
(四)擴大應急
經(jīng)應急處置后,事態(tài)難以控制或有擴大發(fā)展趨勢時,應實施擴大應急行動。要迅速召開信息安全工作領導小組會議,根據(jù)事態(tài)情況,研究采取有利于控制事態(tài)的非常措施,并向縣政府有關部門請求支援。
(五)應急結束
網(wǎng)絡與信息安全突發(fā)事件經(jīng)應急處置后,得到有效控制,將各監(jiān)測統(tǒng)計數(shù)據(jù)報信息安全工作領導小組,提出應急結束的建議,經(jīng)領導批準后實施。
五、相關網(wǎng)絡安全處置流程
(一)攻擊、篡改類故障
指網(wǎng)站系統(tǒng)遭到網(wǎng)絡攻擊不能正常運作,或出現(xiàn)非法信息、頁面被篡改?,F(xiàn)網(wǎng)站出現(xiàn)非法信息或頁面被篡改,要第一時間請求相關職能部門取證并對其進行刪除,恢復相關信息及頁面,同時報告領導,必要時可請求對網(wǎng)站服務器進行關閉,待檢測無故障后再開啟服務。
(二)病毒木馬類故障
指網(wǎng)站服務器感染病毒木馬,存在安全隱患。
1)對服務器殺毒安全軟件進行系統(tǒng)升級,并進行病毒木馬掃描,封堵系統(tǒng)漏洞。
2)發(fā)現(xiàn)服務器感染病毒木馬,要立即對其進行查殺,報告領導,根據(jù)具體情況,酌情上報。
3)由于病毒木馬入侵服務器造成系統(tǒng)崩潰的,要第一時間報告領導,并聯(lián)系相關單位進行數(shù)據(jù)恢復。
(三)突發(fā)性斷網(wǎng)
指突然性的內部網(wǎng)絡中某個網(wǎng)絡段、節(jié)點或是整個網(wǎng)絡業(yè)務中斷。
1)查看網(wǎng)絡中斷現(xiàn)象,判定中斷原因。若不能及時恢復,應當開通備用設備和線路。
2)若是設備物理故障,聯(lián)系相關廠商進行處理。
(四)數(shù)據(jù)安全與恢復
1.發(fā)生業(yè)務數(shù)據(jù)損壞時,運維人員應及時報告領導,檢查、備份系統(tǒng)當前數(shù)據(jù)。
2.強化數(shù)據(jù)備份,若備份數(shù)據(jù)損壞,則調用異地光盤備份數(shù)據(jù)。
3.數(shù)據(jù)損壞事件較嚴重無法保證正常工作的,經(jīng)部門領導同意,及時通知各部門以手工方式開展工作。
4.中心應待數(shù)據(jù)系統(tǒng)恢復后,檢查基礎數(shù)據(jù)的完整性;重新備份數(shù)據(jù),并寫出故障分析報告。
(五)有害信息大范圍傳播
系統(tǒng)內發(fā)生對互聯(lián)網(wǎng)電子公告服務、電子郵件、短信息等網(wǎng)上服務中大量出現(xiàn)危害國家安全、影響社會穩(wěn)定的有害、敏感信息等情況進行分析研判,報經(jīng)縣委、縣政府分管領導批準后啟動預案;或根據(jù)上進部門要求對網(wǎng)上特定有害、敏感信息及時上報,由上級職能部門采取封堵控制措施,按照市上職能部門要求統(tǒng)一部署啟動預案。
(六)惡意炒作社會熱點、敏感問題
本系統(tǒng)互聯(lián)網(wǎng)網(wǎng)站、電子公告服務中出現(xiàn)利用社會熱點、敏感問題集中、連續(xù)、反復消息,制造輿論焦點,夸大、捏造、歪曲事實,煽動網(wǎng)民與政府對立、對黨對社會主義制度不滿情緒,形成網(wǎng)上熱點問題惡意炒作事件時,啟動預案。
(七)敏感時期和重要活動、會議期間本地互聯(lián)網(wǎng)遭到網(wǎng)絡攻擊
敏感時期和重要活動、會議期間,本系統(tǒng)互聯(lián)網(wǎng)遭受網(wǎng)絡攻擊時,啟動預案。要加強值班備勤,提高警惕,密切注意本系統(tǒng)網(wǎng)上動態(tài)。收到信息后,及時報警,要迅速趕赴案(事)發(fā)網(wǎng)站,指導案(事)件單位采取應急處置措施,同時收集、固定網(wǎng)絡攻擊線索,請求縣上技術力量,分析研判,提出技術解決方案,做好現(xiàn)場調查和處置工作記錄,協(xié)助網(wǎng)站恢復正常運行并做好防范工作。
六、后期處置
(一)善后處置
在應急處置工作結束后,要迅速采取措施,抓緊組織搶修受損的基礎設施,減少損失,盡快恢復正常工作,統(tǒng)計各種數(shù)據(jù),查明原因,對事件造成的損失和影響以及恢復重建能力進行分析評估,認真制定恢復重建計劃,迅速組織實施。
(二)調查和評估
在應急處置工作結束后,信息安全工作領導小組應立即組織有關人員和專家組成事件調查組,對事件發(fā)生及其處置過程進行全面的調查,查清事件發(fā)生的原因及財產(chǎn)損失狀況和總結經(jīng)驗教訓,寫出調查評估報告。
七、應急保障
(一)通信與信息保障
領導小組各成員應保證電話24小時開機,以確保發(fā)生信息安全事故時能及時聯(lián)系到位。
(二)應急裝備保障
各重要信息系統(tǒng)在建設系統(tǒng)時應事先預留出一定的應急設備,做好信息網(wǎng)絡硬件、軟件、應急救援設備等應急物資儲備工作。在網(wǎng)絡與信息安全突發(fā)事件發(fā)生時,由領導小組負責統(tǒng)一調用。
(三)應急隊伍保障
按照一專多能的要求建立網(wǎng)絡與信息安全應急保障隊伍。選擇若干經(jīng)國家有關部門資質認可的,具有管理規(guī)范、服務能力較強的企業(yè)作為我縣網(wǎng)絡與信息安全的社會應急支援單位,提供技術支持與服務;必要時能夠有效調動機關團體、企事業(yè)單位等的保障力量,進行技術支援。
(四)交通運輸保障
應確定網(wǎng)絡與信息安全突發(fā)事件應急交通工具,確保應急期間人員、物資、信息傳遞的需要,并根據(jù)應急處置工作需要,由領導小組統(tǒng)一調配。
(五)經(jīng)費保障
網(wǎng)絡與信息系統(tǒng)突發(fā)公共事件應急處置資金,應列入年度工作經(jīng)費預算,切實予以保障。
八、工作要求
(一)高度重視。
互聯(lián)網(wǎng)信息安全突發(fā)事件應急處置工作事關國家安全、社會政治穩(wěn)定和經(jīng)濟發(fā)展,要切實增強政治責任感和敏感性,建立應急處置的快速反應機制。
(二)妥善處置。
正確區(qū)分和處理網(wǎng)上不同性質的矛盾,運用多種手段,依法開展工作,嚴厲打擊各類涉網(wǎng)違法犯罪活動,嚴守工作秘密,嚴禁暴露相關專用技術偵查手段。
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發(fā)展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統(tǒng)實行分等級安全保護、分等級監(jiān)管;②對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理;③對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據(jù)信息系統(tǒng)安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監(jiān)督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業(yè)領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業(yè)務發(fā)展和總體戰(zhàn)略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業(yè)務系統(tǒng)并定級備案。中國石油根據(jù)國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統(tǒng)一建設的應用系統(tǒng)進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統(tǒng)安全等級保護定級實施暫行意見》,加強桌面安全、網(wǎng)絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統(tǒng)的等級測評和安全建設整改工作,進一步提高信息系統(tǒng)的安全防御能力,提高系統(tǒng)的可用性和安全性。在全面組織開展信息系統(tǒng)等級保護定級備案工作之后,聘請專業(yè)測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統(tǒng)的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統(tǒng)持續(xù)安全穩(wěn)定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網(wǎng)絡安全、容災等相關技術相互結合,建立統(tǒng)一的安全監(jiān)控平臺和安全運行中心,實現(xiàn)對應用系統(tǒng)的授權訪問、桌面計算機的安全控制、網(wǎng)絡流量的異常監(jiān)控、惡意軟件與攻擊行為的及時發(fā)現(xiàn)與防御、業(yè)務與數(shù)據(jù)安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區(qū)域網(wǎng)絡中心、企事業(yè)單位三級信息系統(tǒng)安全運維隊伍;采用集中管理、分級維護的管理模式,網(wǎng)絡與安全運維人員采用授權方式,持證上崗,建立網(wǎng)絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區(qū)公司的網(wǎng)絡安全風險評估工作。
(3)建立重要信息系統(tǒng)應急處置預案,完善災難恢復機制。2008 年,中國石油了《網(wǎng)絡與信息安全突發(fā)事件專項應急預案》,所有業(yè)務系統(tǒng)、網(wǎng)絡管理、安全管理等都建立了應急響應處置預案和災備系統(tǒng),保障業(yè)務系統(tǒng)在遭遇突發(fā)事件時,能快速反應并恢復業(yè)務系統(tǒng)可用性。通過災難恢復項目研究,形成了現(xiàn)狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統(tǒng)災難恢復等級,完善了災難恢復機制。
(4)規(guī)劃信息安全運行中心,建立重要信息系統(tǒng)安全監(jiān)控機制。中國石油規(guī)劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網(wǎng)絡運行狀態(tài)、安全信息數(shù)據(jù)匯集、安全監(jiān)測分析功能和安全管理流程的有機整合,實現(xiàn)中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監(jiān)測預警系統(tǒng)三方面有機結合,實現(xiàn)事前預警防范、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運行機制,形成中國石油統(tǒng)一的應急指揮與協(xié)調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產(chǎn)業(yè)發(fā)展、網(wǎng)絡信任體系和標準化建設等工作快速發(fā)展的良好局面,重要行業(yè)部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業(yè)出臺了100余份行業(yè)等級保護政策文件,20余個重要行業(yè)出臺了40余份行業(yè)等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統(tǒng)安全保護缺乏應有的重視。依據(jù)公安部相關資料統(tǒng)計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規(guī)劃;14個行業(yè)重要信息系統(tǒng)底數(shù)不清、安全保護狀況不明;12個行業(yè)未組織全行業(yè)信息安全專門業(yè)務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統(tǒng)規(guī)劃過程中,沒有認真制定安全策略和安全體系規(guī)劃,導致安全策略不得當;22%的信息系統(tǒng)網(wǎng)絡結構劃分不合理,核心業(yè)務區(qū)域部署位置不當,業(yè)務應用不合理,容易導致黑客入侵攻擊,造成網(wǎng)絡癱瘓,數(shù)據(jù)被竊取和破壞。34.6%的重要信息系統(tǒng)未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統(tǒng)安全加固和整改經(jīng)費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統(tǒng)未落實關鍵安全保護技術措施。重要信息系統(tǒng)未落實安全審計措施。在主機層面,有34.9%的信息系統(tǒng)沒有保護主機審計記錄,34.8%的信息系統(tǒng)沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統(tǒng)沒有落實對重要系統(tǒng)程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統(tǒng)沒有采取監(jiān)測重要服務器入侵行為的技術措施,容易使內部網(wǎng)絡感染病毒,對攻擊行為無法進行有效監(jiān)測和處置。
(3)我國信息技術與國外存在一定差距,安全專業(yè)化服務力量薄弱。具有我國自主知識產(chǎn)權的重要信息技術產(chǎn)品和核心技術水平還有待提高,依賴國外產(chǎn)品的情況還比較普遍;國內信息安全專業(yè)化服務力量薄弱,安全服務能力不強,部分重要信息系統(tǒng)的關鍵產(chǎn)品維護和系統(tǒng)運維依賴國外廠商,給重要信息系統(tǒng)安全留下了隱患。
為了有效提高我國企業(yè)信息安全水平,增加等級保護的可行性及執(zhí)行力,建議:①各企業(yè)開展以信息安全等級保護為核心的安全防范工作,提高網(wǎng)絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網(wǎng)絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產(chǎn)品化,重視產(chǎn)品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網(wǎng)絡安全,2012(1).
【 關鍵詞 】 金融機構;信息科技;風險管理
1 引言
隨著信息科技水平的不斷提高,信息科技在給小微金融機構中帶來作用的同時也不斷增加了信息科技風險,給小微金融機構的經(jīng)營發(fā)展帶來了挑戰(zhàn)。當前,小微金融機構對信息科技風險管理的水平還比較低,如何有效控制與管理信息科技風險,是當前小微金融機構在信息化建設過程中必須面對的重要課題。
2 小微金融機構信息科技所面臨的風險
小微金融機構信息科技風險指的小微金融機構在運用信息科技的過程中,因技術漏洞、管理缺陷等人為的或自然的原因而造成的問題或危機。在當前信息技術與銀行業(yè)務深度融合的情況下,信息科技風險事件涉及的范圍廣、程度深,給銀行等其他金融機構帶來較大的經(jīng)濟損失,尤其在小微金融機構中,信息科技風險帶來的損失更為嚴重。
3 小微金融機構信息科技風險管理中存在的問題
3.1 信息科技風險管理的技術水平較低
從現(xiàn)狀來看,我國小微金融機構信息科技風險管理的技術水平較低主要體現(xiàn)在如下方面,首先,以銀行為代表的大部分小微金融機構缺乏專業(yè)化的信息資產(chǎn)風險管理機構,缺乏系統(tǒng)的信息系統(tǒng)管理政策、技術標準及監(jiān)督、績效評估工作,領導者與風險管理部門無法實現(xiàn)對風險管理的有效監(jiān)督。另一方面,小微金融機構對信息科技安風險管理的工作仍停留在定性的層面,缺乏對信息技術風險管理專業(yè)的定量分析。與此同時,金融機構信息科技風險管理的IT風險管理手段僅停留在制度檢查層面,缺乏技術支持,對風險管理的預防措施有限,對風險管理的技術控制難度大,其信息系統(tǒng)的自我控制的能力較差。
3.2 基礎設施安全建設存在隱患
從我國小微金融機構基礎設施安全建設情況來看,存在較大的隱患。
一方面,機房管理滯后,在我國小微金融機構的機房中,存在著防水火及供電不達標的問題,且缺乏相應的防雷系統(tǒng)、門禁系統(tǒng)等,機房安全管理嚴重滯后;另一方面,網(wǎng)絡運行安全性不高,由于金融機構的分支機構及營業(yè)網(wǎng)點及業(yè)務都處于數(shù)據(jù)集中的狀態(tài)中,這樣就給金融機構網(wǎng)絡的穩(wěn)定性及通暢性提出了更高要求,而在小微金融機構中,存在未按監(jiān)管要求配置主備通訊線路的現(xiàn)象,容易導致營業(yè)網(wǎng)點出現(xiàn)業(yè)務辦理受阻的現(xiàn)象,致使信息科技風險隱患增加。
4 應急處置能力低
信息系統(tǒng)的集中及數(shù)據(jù)爆炸式的增長使金融機構的應急處置面臨巨大的挑戰(zhàn),尤其對于小微金融機構來說,其應急保障機制更為落后。在我國小微金融機構中,一般都設有信息系統(tǒng)的應急預案,但對于預案卻缺乏相應的應急演練,在系統(tǒng)發(fā)生緊急事故時,無法對問題實施預案應急措施。其次,部分小微金融機構的系統(tǒng)應急預案覆蓋面籠統(tǒng),缺乏針對性和操作性,缺乏有效的技術支持。另外,風險管理的人員的應急處理能力較低,對重大信息科技風險的應急執(zhí)行缺乏有效性,導致風險損失增加。
5 加強小微金融機構信息科技風險管理對策
5.1 提升信息科技風險管控能力
小微金融機構要提高信息科技風險管理的水平,首先應該提高其信息科技風險管控的能力,因此,小微金融機構有必要建立三個機制。
第一,信息科技風險管理保障機制。金融機構領導者應該提高風險管理意識,將信息科技風險管理工作納入議事日程,并建立健全的信息科技風險管理機構的和崗位責任制度,充分發(fā)揮出安全檢查、風險監(jiān)控、審計監(jiān)督的作用;加強對信息科技風險管控人員的培訓與管理,并加大違規(guī)行為的處罰力度,提高其風險管理的能力。
第二,信息科技風險評估和預警機制。小微金融機構應該在充分分析信息科技風險對金融機構影響的基礎上,有針對性的落實風險評估制度和建立信息科技風險監(jiān)測制度,將風險分類并制定相應的風險報告機制,使信息科技部門與業(yè)務部門緊密聯(lián)合起來,加強溝通協(xié)調,提高對信息科技風險的評估與預防能力。
第三、信息科技風險應急處理機制。小微金融機構要加強對信息備份、災難恢復及業(yè)務連續(xù)的管理,對應急預案要加以培訓和演練,將應急和災備工作從技術管理層面提升到全行工作層面,以提高應對信息系統(tǒng)安全事件的團隊應急能力。
5.2 加強基礎設施安全建設
加強金融機構基礎設施安全建設,有利于提高基礎設施安全水平,進而有利于降低信息科技風險。小微金融機構應加強基礎設施安全建設投入,重點加強機房消防系統(tǒng)、防雷系統(tǒng)、UPS等的技術投入,完善機房基礎設施并完善機房管理制度,保證系統(tǒng)設備的正常運行,加強對系統(tǒng)設備故障的預測與報警。并設立專門的技術設施檢查維修小組,負責基礎設施的安全維護工作,確?;A設施安全管理的有效性。
5.3 強化金融交易監(jiān)管
隨著金融環(huán)境與金融交易方式的變化,信息化的金融交易也帶來了一定的信息科技風險,小微金融機構應該采取措施強化金融交易監(jiān)管。
一方面,要加快網(wǎng)絡金融安全立法進程,制定金融安全政策和標準,成立對應的網(wǎng)絡金融安全管理部門,指導網(wǎng)絡金融的發(fā)展,并嚴厲打擊網(wǎng)絡金融犯罪;另一方面,要建立跨部門的現(xiàn)代化信息安全管理網(wǎng)絡,實現(xiàn)對金融機構業(yè)務信息安全風險的及時、動態(tài)、全面、連續(xù)的監(jiān)管。還應該借鑒國外的網(wǎng)絡安全管理模式,建立適合于我國小微金融機構信息化建設的網(wǎng)絡框架,以實時的監(jiān)管小微金融機構業(yè)務,保證交易的安全性。
5.4 加強對從業(yè)人員的素質建設和崗位管理
相對于大型及核心金融機構,小微金融機構從業(yè)人員的專業(yè)素質及崗位配置明顯落后,小微金融機構應該加大對農(nóng)村金融機構人員的投入,積極引進高素質的信息科技人員,并對原有的從業(yè)人員進行定期的培訓工作,提高其信息科技風險防范意識與風險管理能力。同時,金融機構還應增加對信息系統(tǒng)管理、運行、維護等崗位人員的配置,以完善職責分配,落實崗位制衡。最后,完善相應的信息科技風險管理制度,加強信息科技風險審計,完善激勵約束機制,激發(fā)從業(yè)人員的主觀能動性,從整體上提升小微金融機構信息科技風險管理的水平。
6 結束語
在信息科技風險管理的工作中,小微金融機構要從安全制度建設及技術手段上加強對風險的防范與管理,在全面、可行的安全防護措施中,將信息科技風險降低到最低的程度,進而才能保證小微金融機構得到穩(wěn)定的發(fā)展。
參考文獻
[1] 陳文雄.發(fā)展銀行業(yè)信息科技 風險管理意識須先行[J].中國金融,2009(07).
[2] 唐磊.商業(yè)銀行信息科技風險現(xiàn)狀與管理策略分析[J].中國金融電腦,2009(02).
一、電子政務安全業(yè)務發(fā)展面臨的問題
一方面,由于信息安全技術是從信息技術不斷發(fā)展中衍生出來的一門學科或技術,自身的發(fā)展有一定的滯后性,受到社會廣泛關注需要時間積累。國內雖已有一批專門從事信息安全基礎研究、技術開發(fā)與技術服務工作的研究機構與高科技企業(yè),但至今還沒有象網(wǎng)絡通信行業(yè)那樣出現(xiàn)華為、華三等這樣知名并在國際上有影響力的企業(yè),以支撐我省電子政務安全保障業(yè)務的發(fā)展。另一方面,由于信息安全技術專業(yè)性太強,所需知識面非常廣,技術門檻高,導致我國專門從事信息安全工作技術人員嚴重短缺。安全產(chǎn)品的作用基本上是堵防已有的安全威脅而不能預防未知危險,部署安全產(chǎn)品帶來的成效得不到明顯的體現(xiàn),甚至短時間內無法顯現(xiàn)價值,導致廠商、用戶不愿意對信息安全過多投入,更多的是扛扛紅旗、講講理念、喊喊口號,點到為止。這兩方面原因是客觀的,短時間內無法改變的。電子政務發(fā)展要在網(wǎng)絡與信息安全方面取得一定成效,需要在多方面開展工作,特別是在軟硬件整體部署及專業(yè)人才吸納方面多投入。
二、全面強化電子政務安全發(fā)展
人才上,要積極引進安全專業(yè)人才。國內目前這方面的人才比較難求,可用一定的待遇引進人才,并可嘗試與國內知名安全實驗室或廠商合作共建,開展安全產(chǎn)品的研發(fā)應用和安全人才的培養(yǎng)等,為安全發(fā)展儲備能量。思想上,加強網(wǎng)絡與信息安全重要性的學習,努力提高全省信息系統(tǒng)的安全意識,并切實落實到行動上,養(yǎng)成安全使用辦公電腦的習慣。PC機上,要加強個人辦公電腦的安全軟件安裝配置,統(tǒng)一單位個人辦公電腦的安全軟件配置。安全部門要反復試驗,推薦出一套或兩套性能完善的安全套餐模板,并提供上門服務幫助,加固個人辦公電腦的安全。軟硬件上,加強安全產(chǎn)品的整體和系統(tǒng)部署,完善網(wǎng)絡與應用的分級分域保護。與國內知名安全廠商建立緊密的聯(lián)系、開展深入細致的交流,要系統(tǒng)深入的發(fā)掘實際網(wǎng)絡、應用及系統(tǒng)安全上的軟硬件需求,避免安全產(chǎn)品盲目堆砌。部署互聯(lián)網(wǎng)出口流量控制及數(shù)據(jù)包監(jiān)控分析設備,普及政府部門使用身份認證系統(tǒng),完善安全基礎設施建設。整體構建省域電子政務的網(wǎng)絡和信息安全屏障。機制上,要建立健全網(wǎng)絡和信息安全規(guī)章制度,建立網(wǎng)絡與信息安全應急處理機制、制訂全省電子政務網(wǎng)絡與信息安全事件應急處置預案,加強與政府安全及保密部門的聯(lián)系,如有可能與之建立會商制度,建立全省電子政務安全監(jiān)督檢查制度,對全省信息系統(tǒng)的安全工作進行定期檢查、指導、培訓,與國內知名安全廠商建立廣泛的聯(lián)系、開展深入細致的交流、尋求技術上的支持和幫助。管理上,要規(guī)范網(wǎng)絡與信息安全的管理,落實每個崗位的具體安全維護管理權限和職責,合理劃分網(wǎng)絡安全域、嚴防網(wǎng)絡和移動介質泄密,對數(shù)據(jù)和信息按性質劃分安全等級、并實行等級保護,做到“信息不上網(wǎng),上網(wǎng)信息不”,嚴格執(zhí)行國家的安全規(guī)定,加強網(wǎng)絡與信息安全建設的規(guī)范管理,新建的信息化項目務必要考慮網(wǎng)絡與信息安全防護措施??傊踩繎c網(wǎng)絡部和應用部加強溝通、互相信任,網(wǎng)絡離不開安全、安全離不開網(wǎng)絡,應用需要安全、安全需要應用。安全部、網(wǎng)絡部、應用部相輔相成,共同打造高效、安全、穩(wěn)定的電子政務。
作者:何曉輝李春麗單位:江西省信息中心
關鍵詞:政府門戶網(wǎng)站 信息安全 對策研究 福建省
一、引言
《2006-2020年國家信息化發(fā)展戰(zhàn)略》提出,“到2020年我國信息安全的長效機制基本形成,國家信息安全保障體系較為完善,信息安全保障能力顯著增強”。政府門戶網(wǎng)站是政府部門在國際互聯(lián)網(wǎng)上建立的信息、辦公互動、數(shù)據(jù)交換的窗口,是政務公開的載體和舞臺,也是政府與社會、企業(yè)、民眾溝通的橋梁。通過政府門戶網(wǎng)站,公眾可以便捷地獲取政府信息和服務,使得公眾與政府關系簡單化。由于互聯(lián)網(wǎng)是個開放的網(wǎng)絡,政府網(wǎng)站的信息一天24小時都在被查詢、閱讀、下載或轉載。如果沒有可靠的信息安全體系和有效的事件響應能力,那么一旦網(wǎng)頁被篡改或網(wǎng)站被中斷,將直接干擾、破壞政府履職,損害政府的形象,敗壞公眾對政府的信任,后果不堪設想。根據(jù)有關資料顯示,2005年,我國90%以上的政府網(wǎng)站存在安全漏洞,很多網(wǎng)站都曾受到過不同程度的黑客攻擊和計算機病毒的侵害,給國家造成了較大的損失。因此,信息安全問題是政府門戶網(wǎng)站建設的一項重要內容,必須綜合運用多種策略和手段建設政府門戶網(wǎng)站安全保障體系。
二、政府門戶網(wǎng)站信息安全存在的主要問題
安全管理認識存在偏差以及缺乏有效組織規(guī)劃培訓和相應法律制度支持,是當前福建省各級政府門戶網(wǎng)站信息安全建設中存在的最主要問題,主要表現(xiàn)有以下幾個方面:
一是重系統(tǒng)建設輕安全管理。由于受到傳統(tǒng)的政府績效評價和考核體制的影響,各級政府信息主管部門往往認為“安全”只是保障“業(yè)務應用”的一種手段,只重視網(wǎng)站信息系統(tǒng)的建設,輕視相應的信息系統(tǒng)安全建設和管理。
二是重消極應對輕主動預案。在政府門戶網(wǎng)站安全管理中,很多情況是等出了問題,才匆忙借助經(jīng)驗和應變能力去處理突發(fā)安全事件,缺乏應急預案的制定和按照應急預案進行處理的觀念。
三是缺乏整體安全意識。談及信息安全,很多管理者認為安全就是防火墻、入侵檢測、身份認證等技術措施,沒有真正意識到安全是一個包括理念、技術、制度、人才等各方面缺一不可的整體。
四是缺乏及時有效培訓。信息化安全技術日新月異,網(wǎng)絡攻擊手段也日趨多樣化,各級網(wǎng)站主管部門對安全管理人員缺乏及時有效培訓,無法保證網(wǎng)站信息安全。
五是缺乏統(tǒng)一信息安全技術標準與規(guī)范。不同層次、不同部門的網(wǎng)站信息安全建設各自為政,沒有進行有效的組織和規(guī)劃,使用的安全技術五花八門。這樣不僅造成了資源的嚴重浪費和低效率,也給網(wǎng)站信息安全帶來各種各樣的隱患。
六是缺乏相應的法律和制度的支持。政府作為信息的所有者,其權利范圍和內容較為模糊,相關網(wǎng)站信息安全的法律和制度較為薄弱,法律上缺乏相應的保護。
三、政府門戶網(wǎng)站信息安全存在問題的原因分析
1.管理體制未理順
政府系統(tǒng)缺乏專門的電子政務信息安全的領導體制、研究機構和相應政策措施的落實機制,盡管在中央一級設有領導小組以及專家咨詢委員會,但在地方由于“條塊”職責不清、管理多頭的實際狀況,直接影響對電子政務安全的重視程度和貫徹落實相應信息安全政策措施的力度。
2.運行機制未健全
信息安全保障的運行機制不健全表現(xiàn)在電子政務信息安全的地位與其重要程度不相稱,電子政務信息安全在政府發(fā)展任務的地位上,遠不及經(jīng)濟、社會、文化等其他方面;在資金、人力等方面的投入得不到更好的保障;與信息安全相關的政策法規(guī)、技術標準與規(guī)范的制定落后于實際發(fā)展的需要。
3.技術與實際安全需求存在差距
技術是確保信息安全的重要因素,由于技術本身的局限性和推廣應用程度不夠,使技術與實際安全需求存在差距。技術不能完全保證安全,安全更不可能完全依賴技術。我國目前的電子政務安全保障技術本身并不發(fā)達,福建省在電子政務安全技術、產(chǎn)品推廣應用方面的重視程度不高、力度不強。
4.過分強調安全技術的重要性
認為信息安全是技術問題,依靠相應的技術就能防范。實際上國內外許多信息安全事故都是人為造成的,三分靠技術,七分靠管理,要防止此類事故的發(fā)生,必須從建立和完善信息安全管理體系入手。
四、加強政府門戶網(wǎng)站信息安全的對策建議
網(wǎng)絡安全不僅是一個技術問題,要從法規(guī)、管理和技術三方面來統(tǒng)籌保障政府門戶網(wǎng)站信息安全。在法制上,加強網(wǎng)絡和信息安全管理等方面的立法工作,為政府門戶網(wǎng)站的建設、運行、維護和管理提供法律保障,構筑促進國家信息化發(fā)展的社會環(huán)境;在管理上,從健全規(guī)范網(wǎng)絡安全管理機構、培養(yǎng)網(wǎng)絡安全管理人員和制定網(wǎng)絡安全管理制度等方面保障政府門戶網(wǎng)站正常安全運行;在技術上,采用多種防范、監(jiān)控等先進的技術手段,制定各種應急措施,保證政府門戶網(wǎng)站安全可靠地運行。
⒈加強政府門戶網(wǎng)站信息安全法規(guī)與制度建設
一是加強信息安全管理等方面的立法工作。國家及省都有加強網(wǎng)站建設方面的相關政策,但還沒從立法的角度予以確認和強化,應從“電子政府”建設的高度,制定相應的法規(guī),為包括政府門戶網(wǎng)站在內的電子政務網(wǎng)絡與系統(tǒng)的建設、運行、維護和管理提供法律保障。
二是加強網(wǎng)絡和信息安全管理等方面的制度建設。用管理手段來彌補技術落后問題,本著“堵漏、補缺、管用”的原則,采用整體思路,加強管理,切實從機關內部堵塞漏洞,在若干不夠安全的技術環(huán)節(jié)的基礎上,形成一個相對安全的整體。在加強信息安全防護能力的同時,重視隱患發(fā)現(xiàn)、網(wǎng)絡應急反應、信息對抗等管理能力的提高。
⒉建立健全政府門戶網(wǎng)站信息安全管理體系
一是明確技術管理規(guī)范。面對網(wǎng)絡安全的脆弱性,除在網(wǎng)絡設計上增加安全服務功能,完善系統(tǒng)的安全保密措施外,還必須花大力氣加強網(wǎng)絡的安全管理。具體包括:非、網(wǎng)機器不允許混用;非網(wǎng)機器不允許運行信息,網(wǎng)機器不允許上非網(wǎng);嚴格按照安全等級、安全域劃分,制定相應的安全保密制度;不同安全域、安全等級之間的信息必須通過安全交換系統(tǒng)方可交流。只有所有接入網(wǎng)絡的設備都安全,整個網(wǎng)絡的安全才能得到保證。
二是明確相關人員的職責。強調以人為本,把網(wǎng)站安全納入一個人人有責、層層負責、由第一責任人負總責的安全管理體制之中。主管領導負責安全體系的建設實施,在安全實施過程中取得相關部門的配合,領導整個部門不斷提高系統(tǒng)的安全等級;網(wǎng)絡管理員應具有豐富的網(wǎng)絡知識和實際經(jīng)驗,熟悉本地網(wǎng)絡結構,能夠制定技術實施策略;安全操作員負責安全系統(tǒng)的具體實施;信息編輯人員負責信息采集、編輯和審核工作,確保所信息的完整性、一致性、權威性和準確性。另外,還應建立安全專家小組,負責安全問題的重大決策。
三是建立應急響應機制。從健全規(guī)范網(wǎng)絡安全管理機構、培養(yǎng)網(wǎng)絡安全管理人員和制定網(wǎng)絡安全管理制度等方面建立應急響應機制,以保障政府門戶網(wǎng)站正常安全運行。
四是建立信息安全檢查監(jiān)督和激勵機制。依據(jù)已確立的技術法規(guī)、標準與制度,定期開展信息安全檢查工作,確保信息安全保障工作落到實處;建立責任通報制度,對檢查中發(fā)現(xiàn)的違規(guī)行為,按規(guī)定處罰相關責任人,對檢查中發(fā)現(xiàn)的安全問題和隱患,明確責任部門和責任人,限期整改;建立良好的激勵機制,從人才引進、培養(yǎng)的漸進性和連續(xù)性上優(yōu)化人員結構,形成梯隊,重點加強系統(tǒng)運行人員技能的培養(yǎng)力度,不斷增強自我運行操作能力與應急能力。
五是做好政府門戶網(wǎng)站信息安全培訓工作。政府門戶網(wǎng)站的運行維護,需要一支具有較高的政治素質和職業(yè)道德水準,既懂業(yè)務又懂技術的隊伍。建立完善技術培訓體系,使之更貼近實際業(yè)務、貼近技術前沿,提高各類人員的安全理論實踐水平和安全意識。只有讓每一位員工都成為安全衛(wèi)士,才能實現(xiàn)真正意義上的全方位的安全防范。
六是合理安排信息安全建設資金。在電子政務信息項目建設上,要在項目建設前期就安排相應比例的資金用于信息安全的建設;切實落實國家信息安全建設的有關規(guī)定,保證信息安全建設資金足額到位。
七是加強信息安全設施建設。聯(lián)合公安等部門,加強網(wǎng)絡監(jiān)管中心、測評認證中心、應急處理中心、病毒防治中心、數(shù)字證書認證中心等信息安全基礎設施建設。
⒊積極完善政府門戶網(wǎng)站信息安全技術防范手段
2007年9月,福建省為加強政府類互聯(lián)網(wǎng)站的安全管理,確保網(wǎng)站健康有序發(fā)展,下發(fā)了《福建省人民政府辦公廳關于加強我省政府類互聯(lián)網(wǎng)站安全管理的通知》(閩政辦〔2007〕182號),要求各級各單位建立健全網(wǎng)站安全管理制度,并貫徹落實網(wǎng)站安全技術措施。筆者根據(jù)實踐提出以下建議:
一是加強電子政務網(wǎng)絡的總體規(guī)劃和統(tǒng)一建設,避免多頭建設和重復建設,保證網(wǎng)絡整體性,避免網(wǎng)絡架構缺陷引起的安全問題。
二是統(tǒng)一信息安全技術標準與規(guī)范,各級政府門戶網(wǎng)站信息安全建設都應按照這個標準和規(guī)范進行實施,以確保信息整體安全。
三是加強信息資源安全等級標準的規(guī)劃和建設,明確不同信息的服務對象和公開范圍。既要避免出現(xiàn)保密過度,限制政務信息化應用的推廣和發(fā)展的情況,又要避免保密不夠,造成電子政務信息泄密情況的發(fā)生。在確保信息安全的基礎上,最大限度地保證信息共享。
四是在信息安全方面,既要考慮省、市級政府的信息服務對象著重于政府部門和相關的領導等的特點,又要考慮到縣、區(qū)級政府及相關部門的信息服務對象著重于群眾或居民的特點。
五是在技術手段上,要統(tǒng)籌好網(wǎng)絡被動防御和網(wǎng)絡主動防御的關系,確保信息的安全。網(wǎng)絡被動防御方面可以采取防火墻、入侵檢測、防病毒等技術;網(wǎng)絡主動防御方面可以采取漏洞掃描、補丁升級和自動分發(fā)、網(wǎng)頁防篡改、容災備份等技術。
五、結束語
綜上所述,加強政府門戶網(wǎng)站的信息安全,必須做好信息安全的法規(guī)制度建設、建立健全安全管理體系、積極完善安全技術防范手段等三方面的工作。同時,還要處理好信息安全與網(wǎng)站發(fā)展辯證統(tǒng)一的關系:安全是前提保證,發(fā)展是最終目的,要在發(fā)展過程中確保安全,在確保安全的條件下加快發(fā)展,使政府門戶網(wǎng)站充滿生機與活力,并充分發(fā)揮其應有的社會效益,為海峽西岸經(jīng)濟區(qū)建設做出積極的貢獻。
作者簡介:
隨著我國通信業(yè)和信息化的發(fā)展,通信網(wǎng)絡作為傳遞信息的一種重要載體為大家所熟知。在全球信息化進程中,通信網(wǎng)絡的普及和演進也潛移默化地改變著企業(yè)的信息溝通方式。因此,通信網(wǎng)絡在企業(yè)發(fā)展中起到至關重要的作用,而電力企業(yè)作為我國經(jīng)濟發(fā)展的領跑者,通信網(wǎng)絡技術的發(fā)展也勢在必行。但是,電力企業(yè)在發(fā)展的過程中也面臨著巨大的潛在危險—企業(yè)信息安全問題。通信網(wǎng)絡安全是指最大限度地減少數(shù)據(jù)和資源被攻擊的可能性。對于電力企業(yè)來說,這些數(shù)據(jù)和資源是企業(yè)的命脈,通信網(wǎng)絡一旦發(fā)生中斷、癱瘓或擁塞,或者數(shù)據(jù)信息丟失、泄露或被非法篡改,將對企業(yè)和社會的經(jīng)濟生活造成嚴重影響。因此,通信網(wǎng)絡的信息安全是電力企業(yè)發(fā)展的重中之重,如何做到通信網(wǎng)絡與信息安全有效的結合、共同發(fā)展是我們需要考慮的問題。
二、通信網(wǎng)絡與信息安全息息相關
電力企業(yè)信息安全與通信網(wǎng)路的安全息息相關,也是國家信息安全的重要組成部分。在電力工業(yè)信息化進程中,通信網(wǎng)絡承擔著三種角色:
1.信息通信網(wǎng)絡公共平臺提供者,對不同性質的計算機應用系統(tǒng)可以提供不同的網(wǎng)絡服務質量和優(yōu)先等級。
2.與業(yè)務管理有關的計算機應用系統(tǒng)的建設、管理和使用者,其中的計算機應用系統(tǒng)包括通信監(jiān)控與網(wǎng)管系統(tǒng)、網(wǎng)絡規(guī)劃與企業(yè)管理系統(tǒng)和客戶服務系統(tǒng)等。
3.與通信技術相關的信息資源的開發(fā)、維護和使用者。因此,通信網(wǎng)絡承載著電力企業(yè)生產(chǎn)、運行、管理、經(jīng)營業(yè)務系統(tǒng),內聯(lián)著電力調度數(shù)據(jù)網(wǎng)絡,對外與Internet連接,它的安全是電力企業(yè)信息安全的第一道技術防線,電力企業(yè)信息安全直接關系著電力企業(yè)的運行與管理,也直接或間接地影響著電力生產(chǎn)控制系統(tǒng)的安全。電網(wǎng)企業(yè)應全面開展綠色通信網(wǎng)絡安全防護體系建設,統(tǒng)籌部署等級保護、風險評估和災難備份工作;著力提升通信網(wǎng)絡安全保障水平和應對突發(fā)事件的能力;要通過通信網(wǎng)絡與信息安全管理能力的增強,更好地為電網(wǎng)企業(yè)的發(fā)展提供有力的技術支撐,為促進社會和諧與穩(wěn)定做出積極的貢獻。
三、新形勢下的綠色電力通信網(wǎng)絡
目前,大部分企業(yè)部門間依靠普通的網(wǎng)絡來完成信息傳輸,雖然也具有一定的防護措施和技術,但還是容易被竊取信息。這是由以下三個方面原因共同決定的:
1.計算機系統(tǒng)及網(wǎng)絡固有的開放性、共享性等特點;
2.通信系統(tǒng)大量使用商用軟件,其源代碼、源程序完全或部分公開化,使企業(yè)存在安全問題;
3.計算機病毒的層出不窮及其大范圍的惡意傳播。這三方面原因都對當今企業(yè)和社會網(wǎng)絡通信安全產(chǎn)生不可估量的威脅。由于當今通信網(wǎng)絡功能越來越強大,我們采取何種有效措施,最大限度地化解這種潛在危險,把網(wǎng)絡風險降到最低限度是電力企業(yè)需要面對的重大問題。在電力企業(yè)發(fā)展的新形勢下,構建綠色通信網(wǎng)絡成為解決電力企業(yè)信息安全的重要手段。綠色通信網(wǎng)絡構建主要包括,一方面要建立健全企業(yè)的安全機制,強化安全管理;另一方面,技術創(chuàng)新也是當務之急。在技術層方面,首先是建立一個層次化的安全管控體系。為了從技術上提高通信網(wǎng)絡的安全性,電力企業(yè)應整合現(xiàn)有資源,提高企業(yè)通信網(wǎng)絡的預防水平、網(wǎng)絡的修復能力和備份能力。具體內容包括:網(wǎng)絡安全漏洞的自動發(fā)現(xiàn)與治愈、全網(wǎng)聯(lián)動的事件監(jiān)控和分析、網(wǎng)絡安全配置的集中化和管控、安全態(tài)勢的綜合分析以及高效運作網(wǎng)絡安全管理等方面。這是一個涉及體系架構設計、資源配置和局部解決方案在內的系統(tǒng)解決方案,需要建立相應的安全技術體系;其次是對電力企業(yè)的IP承載網(wǎng)進行安全的設計和優(yōu)化,然后通過安全管理中心的建設來完善綠色通信網(wǎng)絡的安全能力。在管理層方面,針對計算機系統(tǒng)及網(wǎng)絡固有的開放性、易損性等特點,我們應加強網(wǎng)絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低。在通信網(wǎng)絡管理和使用中,要大力加強管理人員的安全保密意識。在管理層面上主要包括安全組織的建設和人員的保障,各種安全策略制度和流程的配套建設,以及完善安全評估、應急響應等安全保障機制。其中在應急響應方面,需要建立健全信息安全應急處理的協(xié)調機制,進一步完善各類突發(fā)事件的應急預案,健全應急指揮體系,落實應急隊伍和保障條件。尤其是高度重視基礎信息網(wǎng)絡,包括電信網(wǎng)絡和重要信息系統(tǒng)的應急處理工作和備份建設,充分做到了事件有預案、處置有流程、應急有措施,最大限度地化解信息安全風險。
四、綠色通信網(wǎng)絡規(guī)劃助力電力企業(yè)信息化安全
規(guī)劃綠色通信網(wǎng)絡是電力企業(yè)通信建設的基礎和安全保障,具有十分重要的作用。綠色電力通信網(wǎng)絡的規(guī)劃除了要遵從電力系統(tǒng)的有關規(guī)定之外,還必須遵循通信專業(yè)規(guī)劃的技術方法。因此,綠色通信網(wǎng)絡應該包括傳送網(wǎng)絡層和業(yè)務網(wǎng)絡層等,而電力企業(yè)中綠色通信網(wǎng)絡的規(guī)劃和構建大致包括以下三個步驟:第一步:業(yè)務網(wǎng)絡規(guī)劃。業(yè)務網(wǎng)絡規(guī)劃主要是對提供不同信息服務的,包括數(shù)據(jù)網(wǎng)、計算機網(wǎng)和移動通信網(wǎng)等類型豐富的網(wǎng)絡進行規(guī)劃,它與具體的業(yè)務有關。在電力企業(yè)中,業(yè)務網(wǎng)絡規(guī)劃尤為重要,而如何構建綠色移動通信網(wǎng)絡也是企業(yè)發(fā)展的重中之重。電力企業(yè)在原有業(yè)務系統(tǒng)的基礎上,構建網(wǎng)絡安全體系,通過宣傳和培訓等手段,對網(wǎng)絡管理人員進行安全操作和管理知識的培訓,提高各業(yè)務系統(tǒng)的安全意識,使各業(yè)務系統(tǒng)能夠正常穩(wěn)定的運行。第二步:傳送網(wǎng)絡規(guī)劃。傳送網(wǎng)絡規(guī)劃是為業(yè)務網(wǎng)絡提供支撐的涵蓋交換機、服務器、數(shù)據(jù)傳輸?shù)臒o線和移動網(wǎng)絡等進行規(guī)劃。在“十二五”規(guī)劃中強調了電力企業(yè)信息系統(tǒng)的安全管理和網(wǎng)絡安全傳輸問題,其中電力企業(yè)信息系統(tǒng)的網(wǎng)絡安全更是被提上日程,如何更好的規(guī)范和規(guī)劃傳輸網(wǎng)絡層是我們研究的重點問題之一。按照信息系統(tǒng)網(wǎng)絡數(shù)據(jù)傳輸過程中安全性和保密性的要求,完善監(jiān)控設施做到實時監(jiān)控,并確保管理人員不將保密文件傳到外網(wǎng),不能利用內網(wǎng)機器上外網(wǎng)進行查資料等操作,確保信息系統(tǒng)在數(shù)據(jù)傳輸過程中的安全性。第三步:基礎設施規(guī)劃。基礎設施規(guī)劃主要是對信息系統(tǒng)中計算機、服務器等硬件基礎設施進行規(guī)劃管理,而這部分是保障信息系統(tǒng)正常運行的基礎。在電力企業(yè)中,服務器的承載量是相當大的,在信息傳輸?shù)倪^程中數(shù)據(jù)的提取和錄入也是呈倍增長的,只有實時監(jiān)控路由器的異常情況,定期更新路由器設備,完善基礎設施,才能保證整個系統(tǒng)和網(wǎng)絡的穩(wěn)定性。綠色通信網(wǎng)絡規(guī)劃中還需要考慮網(wǎng)絡綜合化與安全防護、災難預防等問題,在滿足通信網(wǎng)絡規(guī)劃中多需求的前提下,采取災難預防措施,做好企業(yè)信息安全防護,保障電力企業(yè)綠色通信網(wǎng)絡的順利構建,實現(xiàn)綠色電網(wǎng)企業(yè)的發(fā)展要求。
一、信息安全監(jiān)管中存在的問題
(一)行業(yè)法規(guī)標準模糊,操作難度大美國、日本和印度早在1995年就出臺國家信息安全法,通過出臺基本法對計算機的硬件與軟件、網(wǎng)上信息、用戶數(shù)據(jù)進行保護、對利用網(wǎng)絡傳播有害信息的處罰作出相應規(guī)定,規(guī)范人們的網(wǎng)絡行為,保證信息網(wǎng)絡的安全運行和網(wǎng)絡信息的合理利用。目前,銀行業(yè)信息安全管理法規(guī)主要有國務院《國家信息化領導小組關于加強信息安全保障工作的意見》、中國人民銀行和中國銀監(jiān)會下發(fā)的《關于進一步加強銀行業(yè)金融機構信息安全保障工作的指導意見》和《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》,但這些法規(guī)制度中對信息安全的邊界界定不明確,行業(yè)標準不清晰,不具有實際的可操作性,給銀行信息安全管理帶來一定的風險隱患。
(二)管理者更注重信息系統(tǒng)建設維護,輕視信息安全管理一是對信息安全重視程度不夠,部分銀行業(yè)機構僅忙于系統(tǒng)建設與日常維護,對信息安全管理無暇顧及。二是管理制度落實不到位,難以對計算機安全的實施進行全面管理。部分機構信息安全部門對信息安全制度落實不到位,只有在遇到總行的信息安全檢查時,才會對網(wǎng)絡冗余線的有效性進行檢驗,對交換機、路由器中的ACL策略進行完善,對信息系統(tǒng)中的審計日志進行檢查,并沒有形成信息安全管理長效機制。業(yè)務部門在信息安全方面有章不循,造成計算機的漏洞事件發(fā)生。據(jù)統(tǒng)計,大約63.1%安全事件是源于沒有嚴格執(zhí)行規(guī)章制度,規(guī)章制度不落實、檢查監(jiān)督不嚴格造成的系統(tǒng)漏洞。三是信息管理疏忽,從已發(fā)生的計算機違規(guī)事例來看,主要問題是疏于檢查、放松管理。具體表現(xiàn)在,有不少人員在未經(jīng)系統(tǒng)管理員許可情況下擅自使用盜版軟件,導致計算機感染病毒,重要數(shù)據(jù)丟失,嚴重者造成業(yè)務系統(tǒng)癱瘓,影響日常工作的順利進行。計算機操作口令、密鑰、機密數(shù)據(jù)資料沒有按保密規(guī)定存放,大量的違章操作、越權濫用沒有進行嚴格處罰,計算機設備的保管使用無專人負責,應用系統(tǒng)的操作未有交接的系統(tǒng)日志,系統(tǒng)的維護不能詳實的記錄。雖然有制度明確規(guī)定操作規(guī)程,但執(zhí)行不嚴格使本來可以避免的問題頻頻發(fā)生。
(三)管理手段落后,影響管理效能銀行業(yè)的各項業(yè)務與系統(tǒng)管理越來越依賴網(wǎng)絡和計算機應用軟件,因此對網(wǎng)絡安全、系統(tǒng)安全和數(shù)據(jù)安全監(jiān)管至關重要。目前,管理單位仍然通過現(xiàn)場檢查、聽取匯報、材料上報等方式來獲取銀行的相關情況,缺乏直接、有效的管理手段,管理方式效率低,無法快速、真實反應銀行業(yè)的信息安全狀況,導致銀行業(yè)務自身存在的信息安全問題不能被及時發(fā)現(xiàn),易造成銀行業(yè)信息安全事件的發(fā)生。
二、問題解決的建議
(一)完善制度標準,做到有法可依規(guī)范信息安全管理,首先要完善信息安全的制度建設。一是加快行業(yè)信息安全標準統(tǒng)一的進程。管理部門應制定符合當?shù)匦畔踩珮藴?,組織建立銀行業(yè)信息技術發(fā)展規(guī)劃,保證銀行業(yè)信息安全工作的健康發(fā)展。部分地區(qū)便曾出臺信息安全法規(guī),例如《北京市信息化促進條例》、《遼寧省計算機信息系統(tǒng)安全管理條例》、《北京市公共服務網(wǎng)絡與信息系統(tǒng)安全管理規(guī)定》、《上海市公共信息系統(tǒng)安全測評管理辦法》,這種做法值得借鑒。二是設立硬件設備的準入標準。將銀行業(yè)信息安全問題作為新硬件產(chǎn)品銷售及市場準入的重要參考,對進入銀行的PC臺式機、網(wǎng)絡設備、系統(tǒng)服務器都必須經(jīng)過國家保密部門的安全檢查,只有經(jīng)過篩選的特定型號的引硬件設備才能進入銀行系統(tǒng)和網(wǎng)絡,從根源上杜絕信息安全漏洞設備的進入。
(二)明確責任制,加大信息安全管理力度一是健全信息安全檢查機制。定期對銀行業(yè)開展信息安全檢查工作,對基本的安全設備的防護形成統(tǒng)一模板下發(fā)給銀行,例如關閉不必要的服務端口號、核心服務器建立堡壘主機、核心網(wǎng)絡地址必須配置一對一的雙向映射等。二是依據(jù)現(xiàn)有法規(guī)、技術標準,開展信息安全檢查,確保安全檢查深度與廣度。在開展檢查的同時,可讓有資質的第三方安全評測公司,對整體信息系統(tǒng)進行全面的攻防測試,對測試結果出具權威的報告,明確安全問題,針對性地進行弱點的加強,保證信息安全工作的實用性和可靠性。三是建立責任通報制度。對檢查中發(fā)現(xiàn)的違規(guī)事件,按規(guī)定處罰相關責任人,對檢查中發(fā)現(xiàn)的安全問題和風險隱患,明確責任部門和責任人并限期糾改,對檢查中發(fā)現(xiàn)的問題可進行問題歸納梳理匯編成冊,下發(fā)給銀行提供參考。