前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級保護(hù)測評方法主題范文,僅供參考,歡迎閱讀并收藏。
會(huì)議擬請公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學(xué)院、國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門擔(dān)任指導(dǎo)單位,同時(shí)將出版論文集,經(jīng)專家評選的部分優(yōu)秀論文,將推薦至國家核心期刊發(fā)表?,F(xiàn)就會(huì)議征文的有關(guān)情況通知如下:
一、征文范圍
1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級保護(hù)技術(shù):物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)(IPv6)等新技術(shù)、環(huán)境下的等級保護(hù)支撐技術(shù),等級保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法;
2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù):政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施;
3. 國內(nèi)外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機(jī)制特點(diǎn),信息安全管理標(biāo)準(zhǔn)發(fā)展對策,網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢、危害研究;
4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù):攻擊監(jiān)測技術(shù),態(tài)勢感知預(yù)警技術(shù),安全監(jiān)測技術(shù),安全事件響應(yīng)技術(shù),應(yīng)急處置技術(shù),災(zāi)難備份技術(shù),恢復(fù)和跟蹤技術(shù),風(fēng)險(xiǎn)評估技術(shù);
5. 信息安全等級保護(hù)建設(shè)技術(shù):密碼技術(shù),可信計(jì)算技術(shù),網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù),漏洞檢測技術(shù),網(wǎng)絡(luò)監(jiān)測與監(jiān)管技術(shù),網(wǎng)絡(luò)身份認(rèn)證技術(shù),網(wǎng)絡(luò)攻防技術(shù),軟件安全技術(shù),信任體系研究;
6. 信息安全等級保護(hù)監(jiān)管技術(shù):用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術(shù),用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù),安全態(tài)勢評估技術(shù),安全事件關(guān)聯(lián)分析技術(shù)、安全績效評估技術(shù),電子數(shù)據(jù)取證和鑒定技術(shù);
7. 信息安全等級保護(hù)測評技術(shù):標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù),安全基準(zhǔn)驗(yàn)證技術(shù),源代碼安全分析技術(shù),逆向工程剖析技術(shù),滲透測試技術(shù),測評工具和測評方法;
8. 信息安全等級保護(hù)策略與機(jī)制:網(wǎng)絡(luò)安全綜合防控體系建設(shè),重要信息系統(tǒng)的安全威脅與脆弱性分析,縱深防御策略,大數(shù)據(jù)安全保護(hù)策略,信息安全保障工作評價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測預(yù)警機(jī)制。
二、投稿要求
1. 來稿內(nèi)容應(yīng)屬于作者的科研成果,數(shù)據(jù)真實(shí)、可靠,未公開發(fā)表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內(nèi)容;
2. 會(huì)議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發(fā)送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權(quán)出版;
5. 提交截止日期: 2014年5月25日。
三、聯(lián)系方式
通信地址:北京市海淀區(qū)首都體育館南路1號
郵編:100048
Email:.cn
聯(lián)系人: 范博、王晨
聯(lián)系電話:010-68773930,
13717905088,13581879819
[關(guān)鍵詞]信息安全;等級保護(hù);云平臺
[中圖分類號]TP39[文獻(xiàn)標(biāo)志碼]A[文章編號]1009-8054(2015)12-0116-04
0引言
國家對非信息系統(tǒng)實(shí)行等級保護(hù)制度,等級保護(hù)測評的目的在于提高國家重要信息系統(tǒng)的信息安全保障能力和水平,維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè)[1]。伴隨著信息安全等級保護(hù)制度的貫徹實(shí)施,信息系統(tǒng)的安全保護(hù)能力有了普遍提升,相關(guān)人員的信息安全意識同樣有了提高。等級保護(hù)測評工作是查找信息系統(tǒng)安全問題的重要手段,國家相繼出臺了相關(guān)的標(biāo)準(zhǔn),來規(guī)范和指導(dǎo)信息安全等級保護(hù)測評,例如GB/T22239-2008、GB/T22240-2008、GB/T28449-2012等標(biāo)準(zhǔn)。筆者在對電子政務(wù)系統(tǒng)信息安全等級保護(hù)定級以及系統(tǒng)測評方面,根據(jù)在實(shí)際工作中遇到的問題,結(jié)合工程實(shí)踐,對測評中遇到的這些問題進(jìn)行分析,并給出了具體的解決方法。這些問題包括:電子政務(wù)外網(wǎng)定級與測評、測評中常見的重要問題分析,以及云平臺下開展等級保護(hù)測評工作應(yīng)關(guān)注的附加測評項(xiàng)等內(nèi)容。
1電子政務(wù)外網(wǎng)定級與測評
對于電子政務(wù)外網(wǎng)的定級,對剛剛接觸等級保護(hù)測評的機(jī)構(gòu)或測評人員來說,可能相對陌生。以往我們開展信息系統(tǒng)等級保護(hù)的定級和測評,都是以信息系統(tǒng)為測評單位,要對整個(gè)電子政務(wù)外網(wǎng)進(jìn)行定級,是否可行,定級范圍又是如何界定,下文將給出具體的分析。對一個(gè)信息化平臺是可以定級的,下面就以電子政務(wù)外網(wǎng)為例,來說明具體情況。電子政務(wù)外網(wǎng)是國家電子政務(wù)重要基礎(chǔ)設(shè)施,是承載各級政務(wù)部門用于經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會(huì)管理和公共服務(wù)等非涉及國家秘密的業(yè)務(wù)應(yīng)用系統(tǒng)的政務(wù)公用網(wǎng)絡(luò)。電子政務(wù)外網(wǎng)的定級對象為本級政務(wù)外網(wǎng)管轄范圍內(nèi)(由邊界設(shè)備確定)的所有網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)和安全防護(hù)等各類設(shè)備、各種用于網(wǎng)絡(luò)運(yùn)維管理、安全保障的應(yīng)用系統(tǒng)、各種通信線路及支持所有軟硬件正常運(yùn)行的機(jī)房等基礎(chǔ)設(shè)施環(huán)境等。門戶網(wǎng)站系統(tǒng)、跨部門的數(shù)據(jù)共享與交換系統(tǒng)、數(shù)據(jù)中心內(nèi)的各業(yè)務(wù)應(yīng)用系統(tǒng)以及各級政務(wù)部門的各類應(yīng)用系統(tǒng)不包括在政務(wù)外網(wǎng)的等級保護(hù)范圍內(nèi),這些系統(tǒng)的的定級標(biāo)準(zhǔn)依據(jù)GB/T2224-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》,測評標(biāo)準(zhǔn)依據(jù)GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。在《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》中,分別給出了等級保護(hù)二級和等級保護(hù)三級的定級范圍圖。其中,等級保護(hù)二級的定級范圍圖如圖1所示。圖中標(biāo)識為紫色的區(qū)域,就是電子政務(wù)外網(wǎng)的定級范圍。對于電子政務(wù)外網(wǎng)的測評,要依據(jù)兩個(gè)方面的標(biāo)準(zhǔn),其一是《國家電子政務(wù)外網(wǎng)安全保護(hù)等級基本要求》,在該標(biāo)準(zhǔn)中對IP承載網(wǎng)、業(yè)務(wù)區(qū)域網(wǎng)絡(luò)和管理區(qū)域網(wǎng)絡(luò)等方面提出了具體要求,包括結(jié)構(gòu)安全、訪問控制等具體要求項(xiàng);其二是GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。電子政務(wù)外網(wǎng)按照功能區(qū)域劃分可以劃分出6個(gè)安全區(qū)域,即公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)、用戶接入?yún)^(qū)、網(wǎng)絡(luò)和安全管理區(qū)、電子認(rèn)證區(qū)。在實(shí)際的測評工作工作中,要理解各個(gè)功能區(qū)域作用:互聯(lián)網(wǎng)接入?yún)^(qū):是政務(wù)部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域,滿足政務(wù)部門連接互聯(lián)網(wǎng)的需求。網(wǎng)絡(luò)管理區(qū):網(wǎng)絡(luò)管理區(qū)主要承載網(wǎng)絡(luò)管理信息系統(tǒng),通過網(wǎng)絡(luò)管理系統(tǒng)實(shí)現(xiàn)對管轄區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的狀態(tài)監(jiān)控及相關(guān)管理等功能;安全管理區(qū):安全管理區(qū)主要承載安全管理信息系統(tǒng),通過安全管理區(qū)實(shí)現(xiàn)對管轄區(qū)內(nèi)安全設(shè)備進(jìn)行日志采集、實(shí)現(xiàn)對網(wǎng)絡(luò)中的攻擊行為進(jìn)行報(bào)警等功能;公用網(wǎng)絡(luò)區(qū):采用統(tǒng)一分配的公共IP地址,實(shí)現(xiàn)各部門、各地區(qū)之間的互聯(lián)互通,為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供數(shù)據(jù)共享與交換的網(wǎng)絡(luò)平臺。
2測評中常見的問題分析
2.1網(wǎng)絡(luò)結(jié)構(gòu)方面根據(jù)調(diào)研,筆者發(fā)現(xiàn)目前一些單位的二級系統(tǒng)由于應(yīng)用架構(gòu)簡單,面對互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器被部署在一個(gè)網(wǎng)段,而且部署在內(nèi)網(wǎng)區(qū)域。很顯然,該種拓?fù)浣Y(jié)構(gòu)存在的問題主要體現(xiàn)在:1)應(yīng)用服務(wù)器和數(shù)據(jù)庫部署在一個(gè)網(wǎng)段,存在安全隱患,一旦面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器被惡意入侵,同網(wǎng)段的數(shù)據(jù)庫服務(wù)器將面臨很大的安全風(fēng)險(xiǎn)。2)面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器部署在內(nèi)網(wǎng)區(qū)域,一旦該服務(wù)器被惡意入侵,將給內(nèi)網(wǎng)安全帶來安全風(fēng)險(xiǎn)。對于該類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),應(yīng)將應(yīng)用服務(wù)器設(shè)置在互聯(lián)網(wǎng)邊界防火墻的DMZ區(qū)域。在實(shí)際的測評工作中,我們也發(fā)現(xiàn)了個(gè)別單位擬對電子政務(wù)外網(wǎng)平臺進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的改造,但往往又不清楚如何下手。據(jù)調(diào)研,現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D互聯(lián)網(wǎng)出口過多,安全域劃分不合理,網(wǎng)絡(luò)區(qū)域的劃分非常分散,都是當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)方面面臨的問題。筆者建議這些單位負(fù)責(zé)網(wǎng)絡(luò)平臺運(yùn)維的相關(guān)人員要仔細(xì)閱讀《國家電子政務(wù)外網(wǎng)安全等級保護(hù)等級基本要求》和《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》這兩個(gè)標(biāo)準(zhǔn),這個(gè)標(biāo)準(zhǔn)對電子政務(wù)外網(wǎng)功能區(qū)域的劃分,已經(jīng)給出了明確的說明。在不了解上述標(biāo)準(zhǔn)的前提下,對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行盲目的調(diào)整,調(diào)整的結(jié)果仍然是網(wǎng)絡(luò)區(qū)域分散,互聯(lián)網(wǎng)出口過多、系統(tǒng)化不強(qiáng)?!秶译娮诱?wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》中給出的網(wǎng)絡(luò)功能區(qū)域的劃分圖如圖2所示。2.2重要網(wǎng)段防止地址欺騙為了做好重要網(wǎng)段防止地址欺騙工作??梢詮碾p向IP/MAC綁定入手。例如:重要的管理終端與該管理終端的接入網(wǎng)關(guān)之間,要實(shí)現(xiàn)雙向綁定。在管理終端上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息,在網(wǎng)關(guān)上將管理終端的IP-MAC輸入到靜態(tài)表中。在實(shí)際的測評中發(fā)現(xiàn),重要網(wǎng)段防止地址欺騙在網(wǎng)絡(luò)設(shè)置中做的不多。2.3訪問控制信息安全等級保護(hù)的兩個(gè)目的,其一是保護(hù)信息系統(tǒng)數(shù)據(jù)的安全性,其二是保證信息系統(tǒng)的業(yè)務(wù)連續(xù)性。顯然,對服務(wù)器的保護(hù)顯得重之又重。在具體的測評中,我們發(fā)現(xiàn),在服務(wù)器區(qū)域邊界防火墻的訪問控制策略中,源地址范圍過大是常見的一類問題,而且該策略中,對應(yīng)的端口限制粒度也往往過大。2.4單點(diǎn)故障問題在測評中時(shí)常發(fā)現(xiàn),一些三級系統(tǒng)未采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋱D,因而造成關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障。避免單點(diǎn)故障就是為了保障系統(tǒng)的高可用性。2.5非法外聯(lián)的問題在等保測評的技術(shù)要求中,要求采用技術(shù)手段限制非法外聯(lián)行為。一些剛剛邁進(jìn)等級保護(hù)測評大門的相關(guān)人員可能會(huì)有如下錯(cuò)誤的認(rèn)識:“待評測的信息系統(tǒng)面向互聯(lián)網(wǎng)提供服務(wù),而且被測評單位的所有計(jì)算機(jī)終端設(shè)備均允許連接互聯(lián)網(wǎng),該測評項(xiàng)因此可以判定為不適用”。實(shí)際上,上面的理解是不正確的,盡管該單位所有的終端都可以連接互聯(lián)網(wǎng),但是這些終端都是通過該單位統(tǒng)一的互聯(lián)網(wǎng)出口出去的,而且在互聯(lián)網(wǎng)邊界必定部署了相關(guān)安全設(shè)備,如放火墻、入侵防御設(shè)備等等。如果該單位某個(gè)終端用戶采用一個(gè)3G上網(wǎng)卡連接了互聯(lián)網(wǎng),這等于就打開了一個(gè)新的通路,而且這條通路上沒有任何的安全防護(hù)設(shè)備,這就破壞了網(wǎng)絡(luò)的邊界完整性,給內(nèi)網(wǎng)安全帶來了隱患。因此,限制終端用戶的非法外聯(lián)行為是十分必要的。2.6密碼加密的問題在測評中發(fā)現(xiàn),一些數(shù)據(jù)庫的用戶表中,密碼字段仍然是明文存儲(chǔ),顯然這是非常不安全的,建議對密碼字段進(jìn)行加密,加密可采用md5(用戶名+密碼+隨機(jī)字符串)加密方式。2.7驗(yàn)證碼繞過的問題在應(yīng)用安全測評中,我們發(fā)現(xiàn)一些應(yīng)用系統(tǒng)仍然存在admin這樣的管理員用戶,這就給密碼猜測提供了可能,建議重命名ad-min或administrator,此外,為了避免驗(yàn)證碼繞過的問題,應(yīng)及時(shí)更新驗(yàn)證碼(在登錄失敗時(shí)也要更新驗(yàn)證碼),防止出現(xiàn)驗(yàn)證碼被繞過問題的發(fā)生。2.8信息系統(tǒng)精確定級在進(jìn)行信息系統(tǒng)等級保護(hù)定級時(shí),信息系統(tǒng)的使用單位一般都做到了信息系統(tǒng)定級,但是沒有做到準(zhǔn)確定級,也就是說沒有根據(jù)數(shù)據(jù)的安全性等級和業(yè)務(wù)連續(xù)性的安全等級來最終定位系統(tǒng)的安全保護(hù)等級。在一個(gè)三級系統(tǒng)的等級保護(hù)測評咨詢項(xiàng)目中,用戶將信息系統(tǒng)定為三級(S3G3A3),根據(jù)我們實(shí)際的調(diào)研發(fā)現(xiàn),該系統(tǒng)僅僅是一個(gè)數(shù)據(jù)備份系統(tǒng),對數(shù)據(jù)安全性要求可以達(dá)到三級要求,但對于業(yè)務(wù)連續(xù)性的要求是不需要定為三級的,因此就建議用戶對信息系統(tǒng)定級為三級(S3G3A2),這樣一來,既保證了信息系統(tǒng)安全性,也為使用單位設(shè)計(jì)、改造該系統(tǒng)的信息安全保護(hù)能力提供了準(zhǔn)確的指導(dǎo)建議。
3云平臺環(huán)境下的信息系統(tǒng)信息安全測評
隨著云平臺的發(fā)展,一些單位將應(yīng)用部署在云服務(wù)器上,當(dāng)前云應(yīng)用存在四個(gè)方面的安全風(fēng)險(xiǎn),一是共享技術(shù)漏洞引入的虛擬化安全風(fēng)險(xiǎn);二是云服務(wù)不可信帶來的信息安全風(fēng)險(xiǎn);三是多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn);四是云平臺惡意使用帶來的運(yùn)營安全風(fēng)險(xiǎn)?!疤摂M化”和“分散處理”是云平臺下兩項(xiàng)關(guān)鍵技術(shù),而云平臺是以虛擬機(jī)系統(tǒng)作為底層架構(gòu),因此虛擬機(jī)系統(tǒng)的安全是云安全的核心。這就給開展等級保護(hù)測評工作引入了新的要求。圖3給出了虛擬化環(huán)境層次分析模型[2]。圖中所示的Hypervisor為管理控制程序,負(fù)責(zé)對硬件資源的調(diào)度、管理VM(虛擬機(jī))、響應(yīng)VM。在該模型中,信息系統(tǒng)采用虛擬化技術(shù),用戶使用的服務(wù)器資源、網(wǎng)絡(luò)設(shè)備資源、安全設(shè)備資源等資源,均被放置在云端。用戶通過客戶端的瀏覽器頁面訪問信息系統(tǒng)的WEB頁面,由云端的虛擬化管理層對用戶進(jìn)行身份驗(yàn)證,并分配相應(yīng)的資源。結(jié)合圖3所示,在進(jìn)行信息安全等級保護(hù)測評時(shí),應(yīng)充分考慮三個(gè)層次存在的安全風(fēng)險(xiǎn)[2]:對于用戶接入層:要關(guān)注終端安全、身份認(rèn)證、通信加密、連接安全等安全風(fēng)險(xiǎn)點(diǎn);虛擬化管理層:要關(guān)注Hypervisor自身的安全性、Hypervisor特權(quán)威脅、計(jì)算資源虛擬化等安全威脅;VM層:要關(guān)注數(shù)據(jù)集中風(fēng)險(xiǎn)、逃逸威脅、VM鏡像的安全性、殘余信息保護(hù)等。針對云平臺下的信息系統(tǒng)信息安全測評,筆者認(rèn)為除了要依據(jù)GB/T22239-2008標(biāo)準(zhǔn)的基本要求對信息系統(tǒng)進(jìn)行測評外,還應(yīng)增加相應(yīng)的附加要求。這些附加要求包括:3.1網(wǎng)絡(luò)安全(1)結(jié)構(gòu)安全云服務(wù)提供商應(yīng)能提供完整的虛擬網(wǎng)絡(luò)環(huán)境說明,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的部署情況及作用說明,并提供給云平臺用戶備案;云服務(wù)提供商應(yīng)能對虛擬網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控。(2)訪問控制應(yīng)在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,并啟用訪問控制功能;應(yīng)在客戶端到虛擬機(jī)之間部署訪問控制設(shè)備,并啟用訪問控制功能。3.2主機(jī)安全(1)身份鑒別對虛擬服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止用戶鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽。(2)訪問控制應(yīng)采用技術(shù)手段控制虛擬機(jī)與物理主機(jī)之間、虛擬機(jī)之間的互訪。(3)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時(shí),對數(shù)據(jù)進(jìn)行清除。(4)入侵防范物理主機(jī)中應(yīng)采用監(jiān)測技術(shù),對同一物理主機(jī)上各虛擬主機(jī)之間的通信進(jìn)行監(jiān)測。(5)資源控制應(yīng)限制每臺虛擬機(jī)資源使用的上限。(6)惡意代碼防范應(yīng)采用技術(shù)手段對虛擬機(jī)鏡像文件進(jìn)行保護(hù);在物理機(jī)和虛擬機(jī)中均應(yīng)安裝惡意代碼防范軟件,并及時(shí)更新惡意代碼軟件版本和惡意代碼庫。(7)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時(shí),對數(shù)據(jù)進(jìn)行清除。3.3數(shù)據(jù)安全(1)數(shù)據(jù)完整性應(yīng)采用技術(shù)手段對虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)。(2)數(shù)據(jù)保密性應(yīng)采用加密或者其他保護(hù)措施實(shí)現(xiàn)虛擬鏡像文件的保密性。(3)備份和恢復(fù)對VMM(即Hypervisor)的安全配置、訪問控制策略進(jìn)行備份。
4結(jié)語
信息系統(tǒng)的等級保護(hù)測評工作是實(shí)踐性非常強(qiáng)的一項(xiàng)工作,由于新技術(shù)、新產(chǎn)品的應(yīng)用都將給測評工作帶來新的挑戰(zhàn)。本文結(jié)合具體的工程實(shí)踐,對電子政務(wù)外網(wǎng)的定級進(jìn)行了闡述,對測評中發(fā)現(xiàn)的一些重要問題進(jìn)行了分析,并結(jié)合當(dāng)前云應(yīng)用的情況,對信息安全等級保護(hù)測評的基本要求進(jìn)行補(bǔ)充。筆者也將在今后的文章中,對信息安全等級測評標(biāo)準(zhǔn)的理解與實(shí)踐,做更加詳細(xì)地陳述。
參考文獻(xiàn):
[1]孫鐵.云環(huán)境下開展等級保護(hù)工作的思考[J].信息網(wǎng)絡(luò)安全,2011(6):11-13.
關(guān)鍵詞:政務(wù)外網(wǎng) 等級保護(hù) 定級 網(wǎng)絡(luò)安全
為貫徹落實(shí)公安部、國家保密局、國家密碼管理局、原國務(wù)院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》(公信安[2007]861號),國家電子政務(wù)外網(wǎng)工程建設(shè)辦公室(以下簡稱“外網(wǎng)工程辦”)在2007年11月啟動(dòng)了中央級政務(wù)外網(wǎng)定級專項(xiàng)工作,成立了等級保護(hù)定級工作組,根據(jù)政務(wù)外網(wǎng)的實(shí)際情況和特點(diǎn),經(jīng)過多輪內(nèi)部討論和征求專家意見后,基本完成了政務(wù)外網(wǎng)安全等級保護(hù)定級工作,為后續(xù)備案和全面開展、實(shí)施等級保護(hù)整改和測評工作奠定了堅(jiān)實(shí)基礎(chǔ)。
一、周密部署,精心組織
為有效貫徹落實(shí)國家信息安全等級保護(hù)制度,在總結(jié)基礎(chǔ)調(diào)查和試點(diǎn)工作的基礎(chǔ)上,根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》等相關(guān)規(guī)定,2007年11月13日,電子政務(wù)外網(wǎng)工程辦召開等級保護(hù)工作啟動(dòng)會(huì),正式啟動(dòng)國家電子政務(wù)外網(wǎng)安全等級保護(hù)定級工作。
為確保信息系統(tǒng)等級保護(hù)工作順利進(jìn)行,外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視,專門成立了由各主要業(yè)務(wù)部門負(fù)責(zé)人為成員的等級保護(hù)工作小組,全面負(fù)責(zé)工作的規(guī)劃、協(xié)調(diào)和指導(dǎo),確定了外網(wǎng)工程辦安全組為等級保護(hù)工作的牽頭部門,各部門分工協(xié)作。同時(shí),為確保系統(tǒng)劃分和定級工作的準(zhǔn)確性和合理性,2007年11月22日外網(wǎng)工程辦專門邀請專家,對定級工作進(jìn)行專項(xiàng)指導(dǎo)。
為統(tǒng)一思想,提高認(rèn)識,通過召開等級保護(hù)專題會(huì)議等形式,深入學(xué)習(xí)《信息安全等級保護(hù)管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》等文件精神,使相關(guān)人員充分認(rèn)識和領(lǐng)會(huì)了開展信息安全等級保護(hù)工作的重要性,進(jìn)一步認(rèn)識到實(shí)施信息安全等級保護(hù)不僅是信息安全管理規(guī)范化、標(biāo)準(zhǔn)化、科學(xué)化的需要,也是提高政務(wù)外網(wǎng)安全保障能力與服務(wù)水平的重要途徑,是追求自身發(fā)展與落實(shí)社會(huì)責(zé)任相一致的現(xiàn)實(shí)需要與客觀要求,從而增強(qiáng)了開展此項(xiàng)工作的主動(dòng)性和自覺性。
二、積極做好定級各項(xiàng)工作
信息安全等級保護(hù)工作政策性強(qiáng)、技術(shù)要求高,時(shí)間又非常緊迫,為此,政務(wù)外網(wǎng)工程辦從三方面抓好定級報(bào)備前期準(zhǔn)備工作:一是積極參加公安部組織的等級保護(hù)培訓(xùn),領(lǐng)會(huì)與理解開展信息安全等級保護(hù)工作的目的、意義與技術(shù)要求,系統(tǒng)地掌握信息安全等級保護(hù)的基礎(chǔ)知識、實(shí)施過程、定級方法步驟和備案流程等。二是多次組織人員開展內(nèi)部討論和交流,使人員較全面地了解等級保護(hù)的意義、基礎(chǔ)知識和定級方法。三是開展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查,摸清系統(tǒng)的系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)類型和應(yīng)用范圍,并匯總整理了政務(wù)外網(wǎng)各組成域的相關(guān)概況。
三、科學(xué)準(zhǔn)確定級
在開展政務(wù)外網(wǎng)定級工作的過程中突出重點(diǎn),全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺的特點(diǎn),力求準(zhǔn)確劃定定級范圍和定級對象。在此基礎(chǔ)上,依據(jù)《信息安全等級保護(hù)管理辦法》,確定政務(wù)外網(wǎng)各組成子系統(tǒng)(網(wǎng)絡(luò)域)的安全保護(hù)等級。
劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》,外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開專題會(huì)議討論信息系統(tǒng)劃分問題,提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。
初步確定了信息系統(tǒng)等級。根據(jù)系統(tǒng)劃分結(jié)果,組織各業(yè)務(wù)部門參與并初步確定了各系統(tǒng)等級,完成了自定級報(bào)告的起草。
組織專家自評把關(guān)。根據(jù)等級保護(hù)評審的標(biāo)準(zhǔn)與要求,專家們對信息系統(tǒng)劃分和定級報(bào)告進(jìn)行內(nèi)部評審,并給出了內(nèi)部評審意見。根據(jù)專家意見重新修改并整理了等級保護(hù)定級報(bào)告及其相關(guān)材料。
此外,在定級過程中,外網(wǎng)工程辦積極與公安部等級保護(hù)主管部門進(jìn)行溝通,并經(jīng)由相關(guān)專家確認(rèn)定級對象與等級保護(hù)方案后,整理好了所有定級材料,準(zhǔn)備下一步的正式評審。
四、定級對象和結(jié)果
根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺的特性,以及其接入系統(tǒng)的不同業(yè)務(wù)類型,政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū),即公用網(wǎng)絡(luò)平臺區(qū)、專用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū),在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類型和系統(tǒng)服務(wù)的不同,確定了多個(gè)業(yè)務(wù)系統(tǒng),主要有安全管理系統(tǒng)、應(yīng)用平臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個(gè)系統(tǒng)作為本次等級保護(hù)定級工作的定
級對象,分別予以定級(確定等級結(jié)果如表1所示)。
作者簡介:
羅海寧,1980年生,男,漢族,工程師,在職碩士,專業(yè)方向:網(wǎng)絡(luò)與信息安全。
郭紅,1966年生,女,漢族,高級工程師,在職碩士,專業(yè)方向:網(wǎng)絡(luò)安全。
[關(guān)鍵詞] 電子政務(wù) 信息安全 等級保護(hù) 風(fēng)險(xiǎn)評估
1 概述
電子政務(wù)是政府管理方式的革命,它是運(yùn)用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限,構(gòu)建一個(gè)電子化的虛擬機(jī)關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時(shí)間及地點(diǎn)等,高效快捷地向人們提供各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會(huì)各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通。
電子政務(wù)的建立將使政府社會(huì)服務(wù)職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。由于電子政務(wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國家的利益,有的甚至涉及國家安全。因此,電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題,是電子政務(wù)的職能與優(yōu)勢得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障,不僅電子政務(wù)的便利與效率無從保證,更會(huì)給國家利益帶來嚴(yán)重威脅。
2 電子政務(wù)信息系統(tǒng)面臨的威脅
電子政務(wù)涉及對政府機(jī)密信息和敏感政務(wù)的保護(hù)、維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施以及為保障社會(huì)提供公共服務(wù)的質(zhì)量。電子政務(wù)作為政府有效決策、管理、服務(wù)的重要手段,必然會(huì)遇到各種敵對勢力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其是,電子政務(wù)在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺上,他包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個(gè)無行政主管的全球網(wǎng)絡(luò),自身缺少設(shè)防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進(jìn)行犯罪有機(jī)可乘,這就使得基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。
對電子政務(wù)的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞,內(nèi)部人員的違規(guī)和違法操作,網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控等,對于這些威脅,電子政務(wù)的建設(shè)和應(yīng)用應(yīng)引起足夠警惕,采取果斷的安全措施,應(yīng)對這種挑戰(zhàn)。
3 電子政務(wù)信息安全管理體系的構(gòu)建
要有效維護(hù)電子政務(wù)信息系統(tǒng)的安全,就需要構(gòu)建電子政務(wù)安全管理體系,從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實(shí)性和可用性。電子政務(wù)安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務(wù)體系,涉及從管理到組織,從網(wǎng)絡(luò)到數(shù)據(jù),從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個(gè)方面。
3.1 加強(qiáng)安全技術(shù)力量是實(shí)現(xiàn)電子政務(wù)安全的基本方法
安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)技術(shù)層面的安全保護(hù),是對電子政務(wù)安全防護(hù)體系的完善,包括網(wǎng)絡(luò)安全體系、數(shù)據(jù)安全傳輸與存儲(chǔ)體系,功能主要是通過各種技術(shù)手段實(shí)現(xiàn)技術(shù)層次的安全保護(hù)。
網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補(bǔ)丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計(jì)等;數(shù)據(jù)安全與傳輸與存儲(chǔ)體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個(gè)電子政務(wù)的安全,涉及信息安全產(chǎn)品的全局配套和科學(xué)布置,產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營管理、生產(chǎn)規(guī)模、服務(wù)觀念等方面,要集中人力、物力,制訂相關(guān)政策,大力發(fā)展自主知識產(chǎn)權(quán)的計(jì)算機(jī)芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品,以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。加強(qiáng)核心技術(shù)的自主研發(fā),并盡快使之產(chǎn)品化和產(chǎn)業(yè)化,尤其是操作系統(tǒng)技術(shù)和計(jì)算機(jī)芯片技術(shù)?,F(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產(chǎn)品,這也對政務(wù)安全帶來了許多隱患。因此,在構(gòu)建電子政務(wù)系統(tǒng)的時(shí)候,在可能的情況下,我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。
3.2 構(gòu)建安全管理體系是電子政務(wù)安全實(shí)施的重要基礎(chǔ)
安全管理是解決電子政務(wù)的安全問題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢均力敵”、“相互促進(jìn)”的。作為防范者就更應(yīng)該在安全防范的管理上下更大的工夫。安全管理主要涉及三個(gè)方面:法律法規(guī)、安全防護(hù)體系以及等級保護(hù)政策。
3.2.1法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范
電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù),它的安全關(guān)系到國家的、國家的安全和公眾利益,所以電子政務(wù)的安全實(shí)施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),如英國的《官方信息保護(hù)法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外,在完善法律法規(guī)的同時(shí),還應(yīng)該加大執(zhí)法力度,嚴(yán)格執(zhí)法,這一目標(biāo)的實(shí)現(xiàn)不僅需要政府組織的努力,更要國家立法機(jī)構(gòu)的參與和支持。
3.2.2電子政務(wù)防護(hù)體系
貫穿整個(gè)電子政務(wù)的安全防護(hù)體系,對電子政務(wù)安全實(shí)施起全面的指導(dǎo)作用,具體包括三個(gè)方面的內(nèi)容:安全組織機(jī)構(gòu)、安全人事管理、以及安全責(zé)任制度。建立安全組織機(jī)構(gòu),其目的是統(tǒng)一規(guī)劃各級網(wǎng)絡(luò)系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜,主要職責(zé)包括制定整體安全策略、明確規(guī)章制度、落實(shí)各項(xiàng)安全措施實(shí)施,以及制訂安全應(yīng)急方案和保密信息的安全策略;安全人事管理,其主要內(nèi)容包括:人事審查與錄用、崗位與責(zé)任范圍的確定、工作評價(jià)、人事檔案管理、提升、調(diào)動(dòng)與免職、基礎(chǔ)培訓(xùn)等;制定和落實(shí)安全責(zé)任制度,包括系統(tǒng)運(yùn)行維護(hù)管理制度、計(jì)算機(jī)處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機(jī)房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級保護(hù)制度、對外交流安全維護(hù)制度,以及對外合作制度等。
3.2.3等級保護(hù)制度
通過全面推行信息安全等級保護(hù)制度,逐步將信息安全等級保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié),使信息安全保障狀況得到基本改善。通過加強(qiáng)和規(guī)范信息安全等級保護(hù)管理,不斷提高信息安全保障能力,為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定,促進(jìn)信息化發(fā)展服務(wù)。
4 完善安全服務(wù)是維護(hù)電子政務(wù)安全實(shí)施的有力保障
4.1 安全等級測評和風(fēng)險(xiǎn)評估管理
電子政務(wù)信息系統(tǒng)安全測評服務(wù),其實(shí)質(zhì)是通過科學(xué)、規(guī)范、公正的測試和評估向被測評單位證實(shí)其信息系統(tǒng)的安全性能符合等級保護(hù)的要求。
由于信息安全直接涉及國家利益、安全和,政府對信息產(chǎn)品、信息系統(tǒng)安全性的測評認(rèn)證要更為嚴(yán)格。對信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù),由政府直接控制,在信息安全各主管部門的支持和指導(dǎo)下,依托專業(yè)的職能機(jī)構(gòu)提供技術(shù)支持,形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。 風(fēng)險(xiǎn)管理是對項(xiàng)目風(fēng)險(xiǎn)的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負(fù)面事件影響的最小化。電子政務(wù)安全風(fēng)險(xiǎn)管理的主要任務(wù)是電子政務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)評估并提出風(fēng)險(xiǎn)緩解措施,前者是識別并分析系統(tǒng)中的風(fēng)險(xiǎn)因素,估計(jì)可能造成的損失,后者是選擇和實(shí)施安全控制,將風(fēng)險(xiǎn)降低到一個(gè)可接受的水平。
4.2 安全培訓(xùn)服務(wù)
根據(jù)不同層次的人才需求,社會(huì)化的信息安全人才培養(yǎng)體系應(yīng)分為專業(yè)型教育、應(yīng)用型教育和安全素養(yǎng)教育三個(gè)層次。專業(yè)型教育主要是培養(yǎng)信息安全領(lǐng)域的專業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應(yīng)用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對象,培養(yǎng)目標(biāo)是要求學(xué)生具備信息安全的基本知識、網(wǎng)絡(luò)和信息系統(tǒng)安全防范技能、組織機(jī)構(gòu)或系統(tǒng)安全管理的能力等。這種應(yīng)用型的信息安全教育要求受教育對象數(shù)量要多,覆蓋面要廣,基本信息技能要強(qiáng)。通過課程、講座、宣傳等多種形式,達(dá)到讓每一個(gè)人都具備必要的安全意識和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領(lǐng)導(dǎo)應(yīng)具備必要信息安全意識和安全知識;信息管理人員應(yīng)具備一定的信息安全知識和基本技能;從事信息服務(wù)或信息安全服務(wù)的有關(guān)人員應(yīng)具備必要的信息安全知識和技術(shù)基礎(chǔ)等。
構(gòu)建安全穩(wěn)定的政務(wù)信息系統(tǒng),技術(shù)、管理、服務(wù)作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實(shí)現(xiàn)海西政務(wù)信息管理體系的全面提升。
參考文獻(xiàn):
[1] 何玲,電子政務(wù)環(huán)境下政府電子文件管理新探索[D].成都:四川大學(xué)碩士學(xué)位論文,2008.
關(guān)鍵詞:證券行業(yè)信息安全網(wǎng)絡(luò)安全體系
近年來,我國資本市場發(fā)展迅速,市場規(guī)模不斷擴(kuò)大,社會(huì)影響力不斷增強(qiáng).成為國民經(jīng)濟(jì)巾的重要組成部分,也成為老百姓重要的投資理財(cái)渠道。資本市場的穩(wěn)定健康發(fā)展,關(guān)系著億萬投資者的切身利益,關(guān)系著社會(huì)穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù),而信息安全是維護(hù)資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發(fā)展,改革創(chuàng)新深入推進(jìn),市場交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來新的挑戰(zhàn)。資本市場交易實(shí)時(shí)性和整體性強(qiáng),交易時(shí)問內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護(hù)交易正常,對于資本市場來說至關(guān)重要。
1證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面
健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場的平穩(wěn)運(yùn)行,中國證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成,推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。
雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng),部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng),無法應(yīng)對某些新型信息安全的威脅;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實(shí)施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。
為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運(yùn)行機(jī)制,切實(shí)提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。
1.3IT治理方面
整個(gè)證券業(yè)處于高度信息化的背景下,IT治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性,良好的IT治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力,規(guī)避IT風(fēng)險(xiǎn)。通過建立IT治理機(jī)制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理IT問題,自我評估IT管理效果.可以加強(qiáng)對信息化項(xiàng)目的有效管理,保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績效。
2003年lT治理理念引入到我國證券行業(yè),當(dāng)前我國證券業(yè)企業(yè)的IT治理存在的問題:一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo);是lT治理的責(zé)任與職能不清晰。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì),2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件,都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來,證券行業(yè)各機(jī)構(gòu)采取了一系列措施,建立了相對安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來,我國證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問控制措施有待完善;三是網(wǎng)上交易防護(hù)能力有待加強(qiáng);四是對數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進(jìn);五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。
1.5IT人才資源建設(shè)方面
近20年的發(fā)展歷程巾,證券行業(yè)對信息系統(tǒng)日益依賴,行業(yè)IT隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì),2008年初,在整個(gè)證券行業(yè)中,103家證券公司共有IT人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達(dá)到了行業(yè)協(xié)會(huì)的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的IT隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任,IT隊(duì)伍建設(shè)是行業(yè)信息安全I(xiàn)T作的根本保障。但是,IT人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強(qiáng)。
2采取的對策和措施
2.1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系
首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會(huì)部門規(guī)章;第二層是證監(jiān)會(huì)相關(guān)部門制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實(shí)施上.要堅(jiān)持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實(shí)。
2.2深入開展證券行業(yè)IT治理工作
2.2.1提高IT治理意識
中國證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)IT治理理念的教育宣傳工作,特別是對會(huì)員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn),將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營機(jī)構(gòu)的IT治理意識,提高他們IT治理的積極性。
2.2.2通過設(shè)立IT治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)
根據(jù)IT治理模型的不同特點(diǎn),建議證券公司在決策層使用CISR模型,通過成立lT治理委員會(huì),建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補(bǔ)充,規(guī)范信息技術(shù)部門的各項(xiàng)控制和管理流程。同時(shí),證監(jiān)會(huì)指定一批證券公司和基金公司作為lT試點(diǎn)單位,進(jìn)行IT治理模型選擇、剪裁以及組合的實(shí)踐探索,形成一批成功實(shí)施IT治理的優(yōu)秀范例,以點(diǎn)帶面地提升全行業(yè)的治理水平。
2.3通過制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級保護(hù)
行業(yè)監(jiān)管部門在推動(dòng)行業(yè)信息安全等級保護(hù)工作中的作用非常關(guān)鍵.應(yīng)進(jìn)一步明確監(jiān)管部門推動(dòng)行業(yè)信息安全等級保護(hù)工作的任務(wù)和工作機(jī)制,統(tǒng)一部署、組織行業(yè)的等級保護(hù)丁作,為該項(xiàng)丁作的順利開展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護(hù)的行業(yè)要求,對照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí),應(yīng)對各單位實(shí)施信息系統(tǒng)安全等級保護(hù)情況進(jìn)行測評,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施.且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。
2.4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平
2.4.1以等級保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃
等級保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個(gè)非常有效的方法。
2.4.2通過加強(qiáng)網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護(hù)能力
對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強(qiáng)管理,確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離;對主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測試,進(jìn)行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險(xiǎn);在網(wǎng)上交易方面,采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式,加強(qiáng)訪問控制;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強(qiáng)網(wǎng)站保護(hù),提高對惡意代碼的防護(hù)能力,同時(shí)采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性。
2.4.3提高從業(yè)人員安全意識和專業(yè)水平
目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱.必要時(shí)可定期對從業(yè)人員進(jìn)行安全意識考核,從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。
2.5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗(yàn)的基礎(chǔ)上,針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強(qiáng)應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機(jī)結(jié)合。
2.6抓好人才隊(duì)伍建設(shè)
證券行業(yè)要采取切實(shí)可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專長的人才到行業(yè)巾來,加強(qiáng)lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機(jī)構(gòu)應(yīng)采取采取請進(jìn)來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價(jià)體系,對信息技術(shù)人員進(jìn)行科學(xué)有效的考評,提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。
關(guān)鍵詞 信息系統(tǒng);安全;保障體系;技術(shù);信息技術(shù)基礎(chǔ)設(shè)施
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2013)14-0137-02
油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高,信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點(diǎn),在信息安全形勢多變的情況下,獨(dú)立分散的安全措施已無法更好地滿足安全防護(hù)需求。信息安全若不能得到很好的保障,將給公司的業(yè)務(wù)正常運(yùn)作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此,需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實(shí)際情況的信息安全保障體系,采用先進(jìn)的安全管理過程模式,完善信息安全管理制度與規(guī)范,提高員工的信息安全意識,提升風(fēng)險(xiǎn)控制及保障水平,以支撐油服核心業(yè)務(wù)的健康發(fā)展。
1 信息安全保障體系
1.1 信息安全保障體系建設(shè)需求
油服在信息安全方面已部署了部分信息安全防護(hù)措施,如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時(shí),每年都開展信息系統(tǒng)安全測評工作,對公司的信息系統(tǒng)進(jìn)行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等,從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運(yùn)維和使用情況,以提高信息系統(tǒng)的安全防護(hù)能力。但從總體來看,仍缺乏信息安全保障體系框架,總體安全方針和策略不夠明確,安全區(qū)域劃分不夠細(xì)致,網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標(biāo)準(zhǔn),未部署安全運(yùn)維管理中心,無法真正起到縱深安全防御的效用。
1.2 信息安全保障體系目標(biāo)與定位
信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢,在風(fēng)險(xiǎn)評估的基礎(chǔ)上,明確與等級保護(hù)相適應(yīng)的安全策略及具體的實(shí)施辦法。對全網(wǎng)進(jìn)行合理的安全域劃分,技術(shù)與管理并重的同時(shí),以應(yīng)用與實(shí)效為主導(dǎo),從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面,保障油服信息安全,形成集檢測、響應(yīng)、恢復(fù)、防護(hù)為一體的安全保障體系。
2 油服信息安全保障體系架構(gòu)模型
油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法,縱向把保護(hù)對象分成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò);橫向把控制體系分成安全管理、安全技術(shù)和安全運(yùn)行的控制體系,同時(shí)通過“一個(gè)安全管理中心”的安全管理概念和模式,形成一個(gè)依托于安全保護(hù)對象為基礎(chǔ),橫向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心“三個(gè)體系、一個(gè)中心、三重防護(hù)”的信息安全保障體系
框架。
2.1 安全管理體系
根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容,信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求。
2.2 安全技術(shù)體系
根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容,通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個(gè)層面的實(shí)施,建立與實(shí)際情況相結(jié)合的安全技術(shù)體系。
2.3 安全運(yùn)行體系
根據(jù)等級保護(hù)基本要求的相關(guān)內(nèi)容,信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求,并與實(shí)際情況相結(jié)合,形成符合等級保護(hù)要求的信息安全運(yùn)行體系
框架。
2.4 安全管理中心
根據(jù)等級保護(hù)基本要求和安全設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容,通過“自動(dòng)、平臺化”的方式,對信息安全管理、技術(shù)、運(yùn)行三個(gè)體系的相關(guān)控制內(nèi)容,結(jié)合實(shí)際情況加以落實(shí)。
3 油服信息安全保障體系架構(gòu)設(shè)計(jì)
3.1 安全管理體系架構(gòu)設(shè)計(jì)
信息安全管理體系架構(gòu)的設(shè)計(jì)可從以下3方面開展。
3.1.1 信息安全組織
油服信息安全組織為信息安全管理委員會(huì),各業(yè)務(wù)部門為信息安全小組,部門經(jīng)理為本小組的第一安全責(zé)任人。同時(shí),定義了組織中各職能角色的職責(zé),以此指導(dǎo)信息安全工作開展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及時(shí)反映公司的信息安全風(fēng)險(xiǎn)動(dòng)態(tài),便于靈活地修訂與更新;另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的,哪些是必須做的。
3.1.3 人員安全管理
在人員安全管理方面,可以通過對人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個(gè)方面進(jìn)行設(shè)計(jì)。
3.2 安全技術(shù)體系架構(gòu)設(shè)計(jì)
信息安全技術(shù)體系架構(gòu)設(shè)計(jì)可從以下3個(gè)方面開展。
3.2.1 信息安全服務(wù)架構(gòu)
信息安全服務(wù)架構(gòu)設(shè)計(jì)分為保護(hù)、檢測、響應(yīng)與恢復(fù)四個(gè)環(huán)節(jié),實(shí)現(xiàn)對信息可用性、完整性和機(jī)密性的保護(hù),監(jiān)測檢查系統(tǒng)存在的安全漏洞,對危害系統(tǒng)安全的事件行為做出響應(yīng)
處理。
3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)
信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體,結(jié)合系統(tǒng)軟硬件進(jìn)行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險(xiǎn)劃分不同的網(wǎng)絡(luò)安全域,并實(shí)施安全防護(hù)措施。
3.2.3 應(yīng)用安全架構(gòu)
應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上,更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對信息安全的需求,通過在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)集成保障信息安全的機(jī)制,從而達(dá)到信息安全技術(shù)控制要求。
3.3 安全運(yùn)行體系架構(gòu)設(shè)計(jì)
油服信息安全運(yùn)行體系架構(gòu)設(shè)計(jì)主要從以下3個(gè)方面開展。
3.3.1 信息系統(tǒng)安全等級劃分
油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡(luò)系統(tǒng)等級和應(yīng)用系統(tǒng)等級三個(gè)方面進(jìn)行定義。
3.3.2 信息安全技術(shù)控制
信息安全技術(shù)控制是由系統(tǒng)自身自動(dòng)完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,包含身份鑒別、訪問控制、安全審計(jì)等五大類通用技術(shù)。
3.3.3 信息安全運(yùn)作控制
信息安全運(yùn)作控制是在油服業(yè)務(wù)運(yùn)作和信息技術(shù)運(yùn)作過程中進(jìn)行實(shí)施的運(yùn)作類安全控制,包括控制針對的主要風(fēng)險(xiǎn)點(diǎn)及具體分類。
4 結(jié)束語
在油服業(yè)務(wù)不斷拓展,國際化步伐不斷深入的過程中,信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長,信息安全也愈發(fā)重要。健全油服信息安全保障體系,為實(shí)現(xiàn)“制度標(biāo)準(zhǔn)化、工作制度化”的管理常態(tài)奠定了堅(jiān)實(shí)的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手,還從安全域劃分、安全邊界防護(hù)、主動(dòng)監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮,進(jìn)一步加強(qiáng)落實(shí)信息安全等級保護(hù)的基本要求,初步實(shí)現(xiàn)對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細(xì)粒度、全方位的安全管控,從而更為有效地提升了油服在信息安全方面的管理水平。
參考文獻(xiàn)
[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計(jì)算機(jī)安全,2007(7):72-75.
[2]王朗.一個(gè)信息安全保障體系模型的研究和設(shè)計(jì)[J].北京師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2004(2):58-62.
[3]黃海鷹.信息安全保障體系建設(shè)研究[J].數(shù)字圖書館論壇,2009(9):13-15.
關(guān)鍵詞:等級保護(hù);惡意代碼防范
根據(jù)惡意代碼的功能,可分為病毒、蠕蟲、木馬、惡意腳本、惡意插件等類別。惡意代碼能夠破壞信息系統(tǒng)的穩(wěn)定性、可用性、數(shù)據(jù)的保密性和完整性等,因此等級保護(hù)標(biāo)準(zhǔn)把惡意代碼防范作為一個(gè)重要部分闡述。惡意代碼防范工作主要包括惡意代碼檢測、惡意代碼清除、惡意代碼庫的更新、惡意代碼檢測產(chǎn)品的升級、惡意代碼檢測產(chǎn)品差異性保持等。
1、等級保護(hù)中惡意代碼防范的基本要求
惡意代碼防范主要涉及信息系統(tǒng)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用三個(gè)層面。
1.1 網(wǎng)絡(luò)惡意代碼防范
絕大多數(shù)的惡意代碼是從網(wǎng)絡(luò)上感染本地主機(jī)的,因此,網(wǎng)絡(luò)邊界防范是整個(gè)防范工作的重點(diǎn),是整個(gè)防范工作的“第一道門檻”。如果惡意代碼進(jìn)入內(nèi)網(wǎng),將直接威脅內(nèi)網(wǎng)主機(jī)及應(yīng)用程序的安全。防范控制點(diǎn)設(shè)在網(wǎng)絡(luò)邊界處。防范需對所有的數(shù)據(jù)包進(jìn)行拆包檢查,這樣會(huì)影響網(wǎng)絡(luò)數(shù)據(jù)傳輸效率,故其要求的實(shí)施條件比較高。在不同等級信息系統(tǒng)中的要求也不同,如表1所示。
1.2 主機(jī)惡意代碼防范
主機(jī)惡意代碼防范在防范要求中占據(jù)著基礎(chǔ)地位?!矫媸且?yàn)榫W(wǎng)防范的實(shí)施條件要求較高;另—方面因網(wǎng)絡(luò)邊界防護(hù)并不是萬能的,它無法檢測所有的惡意代碼。因各等級信息系統(tǒng)都必需在本地主機(jī)進(jìn)行惡意代碼防范,
主機(jī)惡意代碼防范有以下三條要求:(1)應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫;(2)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫;(3)應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。
不同等級信息系統(tǒng)的惡意代碼防范要求如表2所示。
1.3 應(yīng)用程序的惡意代碼防范
在等級保護(hù)基本要求中,對應(yīng)用程序的惡意代碼防范沒有提出具體的要求。結(jié)合日常使用應(yīng)用程序時(shí)在安全方面出現(xiàn)的問題,應(yīng)用程序的惡意代碼防范應(yīng)要求在應(yīng)用程序使用前應(yīng)先對應(yīng)用程序進(jìn)行漏洞檢測、黑白盒測試等,確保應(yīng)用程序中不存在可被惡意代碼利用的漏洞、不存在編程人員插入的惡意代碼或留下的后門。
2、惡意代碼防范的工作要點(diǎn)
在等級保護(hù)安全測評工作中,具體的測評項(xiàng)和測評方法在測評標(biāo)準(zhǔn)中已經(jīng)有較詳細(xì)的規(guī)定。根據(jù)實(shí)際工作經(jīng)驗(yàn),我們提出防范惡意代碼要取得顯著成效,應(yīng)注意的工作要點(diǎn)。
2.1 風(fēng)險(xiǎn)評估應(yīng)全面考慮系統(tǒng)的脆弱性和風(fēng)險(xiǎn)性
風(fēng)險(xiǎn)評估應(yīng)全面衡量信息系統(tǒng)在應(yīng)用和數(shù)據(jù)方面的脆弱性,預(yù)估這些脆弱性衍生出安全風(fēng)險(xiǎn)的概率;然后結(jié)合系統(tǒng)已部署的安全措施對風(fēng)險(xiǎn)的影響進(jìn)行全面分析
2.2 注重全網(wǎng)防護(hù),防止安全短板
對系統(tǒng)的惡意代碼防護(hù)部署要做到多層次、多角度,確保在所有惡意代碼入口對惡意代碼進(jìn)行檢測、阻止、清除。因此,在部署惡意代碼防范系統(tǒng)時(shí)要做到覆蓋全部終端和網(wǎng)絡(luò)邊界,防止由于ARP或沖擊波這樣的惡意代碼感染系統(tǒng)內(nèi)部分主機(jī)而導(dǎo)致整個(gè)網(wǎng)絡(luò)不可用。
2.3 在全網(wǎng)范圍內(nèi)部署統(tǒng)一的安全管理策略
在等保中,低級別安全域的威脅可能會(huì)影響到高級別安全域。為避免出現(xiàn)這種風(fēng)險(xiǎn),可以在邏輯隔離區(qū)邊界配置訪問控制策略,限制通過網(wǎng)絡(luò)對高級別安全域的訪問;還可以將網(wǎng)內(nèi)不同級別安全域的配置統(tǒng)一為最高級別安全域的惡意代碼防范要求,防止低級別安全域中因防范策略過低感染惡意代碼后對基礎(chǔ)架構(gòu)造成威脅。
2.4 應(yīng)注重對網(wǎng)絡(luò)安全狀況的監(jiān)控和多種保護(hù)能力的協(xié)作
這主要是從管理和運(yùn)維的角度對等保提出的要求。要求人員能隨時(shí)監(jiān)控系統(tǒng)安全狀況,了解本網(wǎng)內(nèi)信息系統(tǒng)發(fā)惡意代碼入侵事件,做到風(fēng)險(xiǎn)可視、行為可控;要求系統(tǒng)安全隱患進(jìn)行預(yù)警、排除,對緊急情況進(jìn)行應(yīng)急處理。
論文摘要:互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便,同時(shí)也帶來了許多的網(wǎng)絡(luò)安全隱患,諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下,確保其安全運(yùn)行,完善安全防護(hù)策略,已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。該文首先分析了計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問題,其次,從多個(gè)方面就如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)進(jìn)行了深入的探討,具有一定的參考價(jià)值。
1概述
互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便,同時(shí)也帶來了許多的網(wǎng)絡(luò)安全隱患,諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。為了確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全,特別是計(jì)算機(jī)數(shù)據(jù)安全,目前已經(jīng)采用了諸如服務(wù)器、通道控制機(jī)制、防火墻技術(shù)、入侵檢測之類的技術(shù)來防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理,即便如此,仍然存在著很多的問題,嚴(yán)重危害了社會(huì)安全。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下,確保其安全運(yùn)行,完善安全防護(hù)策略,已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。
2計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問題分析
計(jì)算機(jī)網(wǎng)絡(luò)的共享性、開放性的特性給互聯(lián)網(wǎng)用戶帶來了較為便捷的信息服務(wù),但是也使得計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)了一些安全問題。在開展計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作時(shí),應(yīng)該將管理工作的重點(diǎn)放在網(wǎng)絡(luò)信息的和訪問方面,確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)免受干擾和非法攻擊。
2.1安全指標(biāo)分析
(1)保密性
通過加密技術(shù),能夠使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自動(dòng)篩選掉那些沒有經(jīng)過授權(quán)的終端操作用戶的訪問請求,只能夠允許那些已經(jīng)授權(quán)的用戶來利用和訪問計(jì)算機(jī)網(wǎng)絡(luò)信息數(shù)據(jù)。
(2)授權(quán)性
用戶授權(quán)的大小與其能夠在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中能夠利用和訪問的范圍息息相關(guān),我們一般都是采取策略標(biāo)簽或者控制列表的形式來進(jìn)行訪問,這樣做的目的就在于能夠有效確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)授權(quán)的正確性和合理性。
(3)完整性
可以通過散列函數(shù)或者加密的方法來防治非法信息進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng),以此來確保所儲(chǔ)存數(shù)據(jù)的完整性。
(4)可用性
在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計(jì)環(huán)節(jié),應(yīng)該要確保信息資源具有可用性,在突然遇到攻擊的時(shí)候,能夠及時(shí)使得各類信息資源恢復(fù)到正常運(yùn)行的狀態(tài)。
(5)認(rèn)證性
為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶,目前應(yīng)用較為廣泛的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式一般有兩種,分別是數(shù)據(jù)源認(rèn)證和實(shí)體性認(rèn)證兩種,這兩種方式都能夠得到在當(dāng)前技術(shù)條件支持。
2.2計(jì)算機(jī)網(wǎng)絡(luò)信息管理中的安全性問題
大量的實(shí)踐證明,計(jì)算機(jī)網(wǎng)絡(luò)信息管理中存在的安全性問題主要有兩種類型,第一種主要針對計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的可用性和完整性,屬于信息安全監(jiān)測問題;第二種主要針對計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的抗抵賴性、認(rèn)證性、授權(quán)性、保密性,屬于信息訪問控制問題。
(1)信息安全監(jiān)測
有效地實(shí)施信息安全監(jiān)測工作,可以在最大程度上有效消除網(wǎng)絡(luò)系統(tǒng)脆弱性與網(wǎng)絡(luò)信息資源開放性二者之間的矛盾,能夠使得網(wǎng)絡(luò)信息安全的管理人員及時(shí)發(fā)現(xiàn)安全隱患源,及時(shí)預(yù)警處理遭受攻擊的對象,然后再確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復(fù)。
(2)信息訪問控制問題
整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理的核心和基礎(chǔ)就是信息訪問控制問題。信息資源使用方和擁有方在網(wǎng)絡(luò)信息通信的過程都應(yīng)該有一定的訪問控制要求。換而言之,整個(gè)網(wǎng)絡(luò)信息安全防護(hù)的對象應(yīng)該放在資源信息的和個(gè)人信息的儲(chǔ)存。
3如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)
(1)高度重視,完善制度
根據(jù)單位環(huán)境與特點(diǎn)制定、完善相關(guān)管理制度。如計(jì)算機(jī)應(yīng)用管理規(guī)范、保密信息管理規(guī)定、定期安全檢查與上報(bào)等制度。成立領(lǐng)導(dǎo)小組和工作專班,完善《計(jì)算機(jī)安全管理制度》、《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《計(jì)算機(jī)安全保密管理規(guī)定》等制度,為規(guī)范管理夯實(shí)了基礎(chǔ)。同時(shí),明確責(zé)任,強(qiáng)化監(jiān)督。嚴(yán)格按照保密規(guī)定,明確涉密信息錄入及流程,定期進(jìn)行安全保密檢查,及時(shí)消除保密隱患,對檢查中發(fā)現(xiàn)的問題,提出整改時(shí)限和具體要求,確保工作不出差錯(cuò)。此外,加強(qiáng)培訓(xùn),廣泛宣傳。有針對性組織開展計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件、網(wǎng)絡(luò)知識、數(shù)據(jù)傳輸安全和病毒防護(hù)等基本技能培訓(xùn),利用每周學(xué)習(xí)日集中收看網(wǎng)絡(luò)信息安全知識講座,使信息安全意識深入人心。 ?。?)合理配置,注重防范
第一,加強(qiáng)病毒防護(hù)。單位中心機(jī)房服務(wù)器和各基層單位工作端均部署防毒、殺毒軟件,并及時(shí)在線升級。嚴(yán)格區(qū)分訪問內(nèi)、外網(wǎng)客戶端,對機(jī)房設(shè)備實(shí)行雙人雙查,定期做好網(wǎng)絡(luò)維護(hù)及各項(xiàng)數(shù)據(jù)備份工作,對重要數(shù)據(jù)實(shí)時(shí)備份,異地儲(chǔ)存。同時(shí),嚴(yán)格病毒掃描。針對網(wǎng)絡(luò)傳輸、郵件附件或移動(dòng)介質(zhì)的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進(jìn)行病毒掃描。第二,加強(qiáng)強(qiáng)弱電保護(hù)。在所有服務(wù)器和網(wǎng)絡(luò)設(shè)備接入端安裝弱電防雷設(shè)備,在所有弱電機(jī)房安裝強(qiáng)電防雷保護(hù)器,保障雷雨季節(jié)主要設(shè)備的安全運(yùn)行。第三,加強(qiáng)應(yīng)急管理。建立應(yīng)急管理機(jī)制,完善應(yīng)急事件出現(xiàn)時(shí)的事件上報(bào)、初步處理、查實(shí)處理、責(zé)任追究等措施,并定期開展進(jìn)行預(yù)演,確保事件發(fā)生時(shí)能夠從容應(yīng)對。第四,加強(qiáng)“兩個(gè)隔離”管理。即內(nèi)、外網(wǎng)物理徹底隔離和通過防火墻進(jìn)行“邊界隔離”,通過隔離實(shí)現(xiàn)有效防護(hù)外來攻擊,防止內(nèi)、外網(wǎng)串聯(lián)。第五,嚴(yán)格移動(dòng)存儲(chǔ)介質(zhì)應(yīng)用管理。對單位所有的移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行登記,要求使用人員嚴(yán)格執(zhí)行《移動(dòng)存儲(chǔ)介質(zhì)管理制度》,杜絕外來病毒的入侵和泄密事件的發(fā)生。同時(shí),嚴(yán)格安全密碼管理。所有工作用機(jī)設(shè)置開機(jī)密碼,且密碼長度不得少于8位,定期更換密碼。第六,嚴(yán)格使用桌面安全防護(hù)系統(tǒng)。每臺內(nèi)網(wǎng)計(jì)算機(jī)都安裝了桌面安全防護(hù)系統(tǒng),實(shí)現(xiàn)了對計(jì)算機(jī)設(shè)備軟、硬件變動(dòng)情況的適時(shí)監(jiān)控。第七,嚴(yán)格數(shù)據(jù)備份管理。除了信息中心對全局?jǐn)?shù)據(jù)定期備份外,要求個(gè)人對重要數(shù)據(jù)也定期備份,把備份數(shù)據(jù)保存在安全介質(zhì)上。
(3)堅(jiān)持以信息安全等級保護(hù)工作為核心
把等級保護(hù)的相關(guān)政策和技術(shù)標(biāo)準(zhǔn)與自身的安全需求深度融合,采取一系列有效措施,使等級保護(hù)制度在全局得到有效落實(shí),有效的保障業(yè)務(wù)信息系統(tǒng)安全。
第一,領(lǐng)導(dǎo)高度重視,組織保障有力。單位領(lǐng)導(dǎo)應(yīng)該高度重視信息化和信息安全工作,成立專門的信息中心,具體負(fù)責(zé)等級保護(hù)相關(guān)工作,統(tǒng)籌全局的信息安全工作。建立可靠的信息安全基礎(chǔ)設(shè)施,重點(diǎn)強(qiáng)化第二級信息系統(tǒng)的合規(guī)建設(shè),加強(qiáng)了信息系統(tǒng)的運(yùn)維管理,對重要信息系統(tǒng)建立了災(zāi)難備份及應(yīng)急預(yù)案,有效提高了系統(tǒng)的安全防護(hù)水平。
第二,完善措施,保障經(jīng)費(fèi)。一是認(rèn)真組織開展信息系統(tǒng)定級備案工作。二是組織開展信息系統(tǒng)等級測評和安全建設(shè)整改。三是開展了信息安全檢查活動(dòng)。對信息安全、等級保護(hù)落實(shí)情況進(jìn)行了檢查。
第三,建立完善各項(xiàng)安全保護(hù)技術(shù)措施和管理制度,有效保障重要信息系統(tǒng)安全。一是對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級保護(hù)基本要求》,提出了“縱向分層、水平分區(qū)、區(qū)內(nèi)細(xì)分”的網(wǎng)絡(luò)安全區(qū)域劃分原則,對網(wǎng)絡(luò)進(jìn)行了認(rèn)真梳理、合理規(guī)劃、有效調(diào)整。二是持續(xù)推進(jìn)病毒治理和桌面安全管理。三是加強(qiáng)制度建設(shè)和信息安全管理。本著“預(yù)防為主,建章立制,加強(qiáng)管理,重在治本”的原則,堅(jiān)持管理與技術(shù)并重的原則,對信息安全工作的有效開展起到了很好的指導(dǎo)和規(guī)范作用。
(4)采用專業(yè)性解決方案保護(hù)網(wǎng)絡(luò)信息安全
大型的單位,如政府、高校、大型企業(yè)由于網(wǎng)絡(luò)信息資源龐大,可以采用專業(yè)性解決方案來保護(hù)網(wǎng)絡(luò)信息安全,諸如銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案。銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案能提供從網(wǎng)絡(luò)層、應(yīng)用層到web層的全面防護(hù);其中防火墻、ids分別提供網(wǎng)絡(luò)層和應(yīng)用層防護(hù),ace對web服務(wù)提供帶寬保障;而方案的主體產(chǎn)品銳捷webguard(wg)進(jìn)行web攻擊防御,方案能給客戶帶來的價(jià)值:
防網(wǎng)頁篡改、掛馬
許多大型的單位作為公共信息提供者,網(wǎng)頁被篡改、掛馬將造成不良社會(huì)影響,降低單位聲譽(yù)。目前客戶常用的防火墻、ids/ ips、網(wǎng)頁防篡改,無法解決通過80端口、無特征庫、針對動(dòng)態(tài)頁面的web攻擊。webguard ddse深度解碼檢測引擎有效防御sql注入、跨站腳本等。
高性能,一站式保護(hù)各院系網(wǎng)站
對于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理。各部門網(wǎng)站技術(shù)運(yùn)維能力相對較弱,經(jīng)常成為攻擊重點(diǎn)。webguard利用高性能多核架構(gòu),提供并行處理。支持在網(wǎng)絡(luò)出口部署,一站式保護(hù)各部門網(wǎng)站。
“零配置”運(yùn)行,簡化部署
webguard針對用戶,集成默認(rèn)配置模板,支持“零配置”運(yùn)行。一旦上線,即可防護(hù)絕大多數(shù)攻擊。后續(xù)用戶可以根據(jù)網(wǎng)絡(luò)情況,進(jìn)行優(yōu)化策略。避免同類產(chǎn)品常見繁瑣配置,毋須客戶具備專業(yè)的安全技能,即可擁有良好的體驗(yàn)。
滿足合規(guī)性檢查要求
繼08年北京奧運(yùn)、09年國慶60周年后,10年上海世博會(huì)、廣州亞運(yùn)會(huì)先后舉行。在重大活動(dòng)前后,各級主管單位和公安部門,紛紛發(fā)文,要求針對網(wǎng)站安全采取措施。webguard恰好能很好的滿足合規(guī)性檢查的需求,幫助用戶順利通過檢查。
4結(jié)束語
新時(shí)期的計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作正向著系統(tǒng)化、集成化、多元化的方向發(fā)展,但是網(wǎng)絡(luò)信息安全問題日益突出,值得我們大力關(guān)注,有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)是極為重要的,具有較大的經(jīng)濟(jì)價(jià)值和社會(huì)效益。
參考文獻(xiàn):
[1]段盛.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[j].湖南農(nóng)業(yè)大學(xué)學(xué)報(bào):自然科學(xué)版,2000(26):134-136.
[2]李曉琴.張卓容.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息管理的設(shè)計(jì)與應(yīng)用[j].醫(yī)療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的建立與應(yīng)用[j].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)在公路建設(shè)項(xiàng)目管理中的應(yīng)用[j].交通科技,2009.(1):120-125.
[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.
【 關(guān)鍵詞 】 信息安全;等級保護(hù);定性分析;定量分析
【 Abstract 】 Classified protection of information system has been a strong way to protect the important IT system. The current determination of level exist some flaws, such as lack of feasible method to judge the level and quantity analysis. This paper proposes a scheme which composed of both qualitative and quantitative analysis. By taking this scheme, the accuracy of classified protection of information system could be promoted.
【 Keywords 】 information security; classified protection; qualitative analysis; quantitative analysis
1 引言
按照國家相關(guān)法律和國家標(biāo)準(zhǔn),一些重要行業(yè)、重要單位需要根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民法人和其他組織的合法權(quán)益的危害程度等因素,對重要的信息系統(tǒng)確定其應(yīng)該達(dá)到的安全保護(hù)等級(分為五個(gè)級別),信息系統(tǒng)安全保護(hù)能力隨著其被確定的安全保護(hù)等級的增高,逐漸增強(qiáng)。在對信息系統(tǒng)進(jìn)行定級、采取安全防衛(wèi)措施后,還需要確認(rèn)該系統(tǒng)是否已經(jīng)達(dá)到相應(yīng)的保護(hù)等級及在未達(dá)到的情況下給出整改方案。
按照《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》等法規(guī)和標(biāo)準(zhǔn),信息系統(tǒng)的安全等級保護(hù)流程分為:確定等級、安全建設(shè)、等級測評、安全整改、安全檢查等五個(gè)步驟。
2 定級流程
現(xiàn)有方法在定級流程的第二和第三步,即評定定級對象的業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級時(shí),國家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級定級指南》中建議各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn),制定客體被侵害程度的綜合評定方法。但現(xiàn)實(shí)中缺乏一套通用的準(zhǔn)則和方法,因此在評價(jià)客體被侵害程度時(shí)受到人為因素的影響程度較大,定級過程中人員的主觀性強(qiáng),對定級結(jié)果產(chǎn)生不利影響,如果定級不夠準(zhǔn)確,則將影響該信息系統(tǒng)的后續(xù)防護(hù)工作,即不能實(shí)施與國家標(biāo)準(zhǔn)中匹配的防護(hù)強(qiáng)度,給防護(hù)帶來較大的安全隱患。
本文主要針對現(xiàn)有定級工作定級缺乏可行的準(zhǔn)則,定級結(jié)果主觀成分大,定量不足的缺點(diǎn),提出一種定性與定量結(jié)合的定級方法,提高信息系統(tǒng)的安全保護(hù)等級的定級準(zhǔn)確性,從而安全建設(shè)環(huán)節(jié)根據(jù)定級結(jié)果做好重要信息系統(tǒng)的安全防護(hù)。
2.1 確定定級對象和受侵害的客體
為了體現(xiàn)重要部分重點(diǎn)保護(hù),有效控制信息安全建設(shè)成本,優(yōu)化信息安全資源配置的等級保護(hù)原則,將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級的定級對象。定級對象受到破壞時(shí)所侵害的客體包括國家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。
2.3 確定對客體的侵害程度
(1)侵害的客觀方面。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會(huì)有所不同,在定級過程中,需要分別處理這兩種危害方式。(2)綜合判定侵害程度。國家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級定級指南》種,將不同危害后果的三種危害程度描述:一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害。
2.4 確定定級對象的安全保護(hù)等級
根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對相應(yīng)客體的侵害程度,依據(jù)業(yè)務(wù)信息安全保護(hù)等級矩陣表,即可得到業(yè)務(wù)信息安全保護(hù)等級。根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對相應(yīng)客體的侵害程度,依據(jù)系統(tǒng)服務(wù)安全保護(hù)等級矩陣表,即可得到系統(tǒng)服務(wù)安全保護(hù)等級。作為定級對象的信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者決定。
3 基于層次分析法的定級
本文采用層次分析法來進(jìn)客體被侵害程度的定量確定。
3.1 建立層次分析模型
建立層次分析模型的過程:首先建立最高層(解決問題的目的);中間層(實(shí)現(xiàn)總目標(biāo)而采取的各種措施、必須考慮的準(zhǔn)則等,也可稱策略層、約束層、準(zhǔn)則層等);以電信業(yè)務(wù)這一客體被侵害時(shí)受到影響必須考慮的因素為例,通常需要考察電信業(yè)務(wù)的覆蓋區(qū)域(面積)、該電信業(yè)務(wù)覆蓋范圍內(nèi)的用戶人數(shù)、區(qū)域內(nèi)業(yè)務(wù)量(一定時(shí)間周期內(nèi)的用戶撥打和接聽電話的時(shí)間長度)三個(gè)指標(biāo),需要說明的是,電信業(yè)務(wù)客體受到侵害需要考慮的不止以上提到的三個(gè)因素,在實(shí)踐中,還可以考慮其他因素。
最低層(用于解決問題的各種措施、方案等,也稱為方案層)。備選的方案為國家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級定級指南》中確定的五個(gè)等級,分別是第一級、第二級、第三級、第四級和第五級。
針對確定客體被侵害程度問題建立的層次分析模型如圖1所示。
3.2 構(gòu)造成對比較矩陣
從層次分析模型的第二層開始,對于從屬于(或影響)上一層每個(gè)因素的同一層諸因素,用成對比較法和1-9比較尺度構(gòu)建成對比較矩陣,直到最下層。下面結(jié)合實(shí)例,構(gòu)造成對比較矩陣。以某地電信部門的電信系統(tǒng)的業(yè)務(wù)客體被侵害為例,得到三個(gè)指標(biāo)的重要性依次為:區(qū)域內(nèi)業(yè)務(wù)量>該電信業(yè)務(wù)區(qū)域的用戶人數(shù)>電信業(yè)務(wù)區(qū)域覆蓋范圍。在矩陣中令區(qū)域業(yè)務(wù)量為m11,當(dāng)前可用上傳帶寬為m22,電信業(yè)務(wù)區(qū)域覆蓋范圍為m33。
構(gòu)造一個(gè)三階矩陣Mij(3*3),根據(jù)長期積累的經(jīng)驗(yàn),其中m12=3,表示區(qū)域內(nèi)業(yè)務(wù)量相比該電信業(yè)務(wù)區(qū)域的用戶人數(shù)略重要,m13=5,表示區(qū)域內(nèi)業(yè)務(wù)量相比電信業(yè)務(wù)區(qū)域覆蓋范圍重要,m23=3,表示該電信業(yè)務(wù)區(qū)域的用戶人數(shù)比電信業(yè)務(wù)區(qū)域覆蓋范圍略重要,從而得到三階矩陣。
3.3 計(jì)算權(quán)向量并做一致性檢驗(yàn)
要求成對比較矩陣具備一定的一致性即可。由分析可知,對完全一致的成對比較矩陣,其絕對值最大的特征值等于該矩陣的維數(shù)。
檢驗(yàn)成對比較矩陣M一致性的步驟如下:計(jì)算衡量一個(gè)成對比矩陣M(n>1階方陣)不一致程度的指標(biāo)CI為:
CI=
其中max(M)是矩陣M 的最大特征值,n為矩陣的階數(shù)。
通過計(jì)算,λmax為3.0385,特征向量為(0.6370, 0.2583,0.1047),即權(quán)重分別為0.637, 0.258和0.104
CI==0.01925
CI=0,有完全的一致性。CI接近于0,有滿意的一致性,反之CI越大,不一致越嚴(yán)重
按公式計(jì)算成對比較矩陣M 的隨機(jī)一致性比率CR:
CR=
RI稱為平均隨機(jī)一致性指標(biāo),它只與矩陣的階數(shù)有關(guān),可從有關(guān)資料查出檢驗(yàn)成對比較矩陣M一致性的標(biāo)準(zhǔn)RI。查表得出三階矩陣對應(yīng)的RI為0.58,故有:
CR==0.033
判斷方法:(1) 當(dāng)CR
3.4 計(jì)算客體被侵害的程度
在計(jì)算出每個(gè)評價(jià)因素的權(quán)重后,由于每個(gè)評價(jià)因素的數(shù)值隸屬于不同體系,因此要在同一標(biāo)準(zhǔn)體系下進(jìn)行評價(jià),在本例中,區(qū)域是以平方公里為單位,業(yè)務(wù)受到影響的用戶數(shù)量以萬人為單位,業(yè)務(wù)量是以萬小時(shí)/天為單位,在實(shí)踐中將每個(gè)評價(jià)因素的實(shí)際數(shù)值采用Decimal scaling小數(shù)定標(biāo)標(biāo)準(zhǔn)化方法進(jìn)行歸一化,通過歸一化因子,將每個(gè)評價(jià)因素的取值范圍限定于[0,1]。
國家標(biāo)準(zhǔn)GB 17859-1999《信息系統(tǒng)安全保護(hù)等級定級指南》中將等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為三種:a.造成一般損害;b.造成嚴(yán)重?fù)p害;c.造成特別嚴(yán)重?fù)p害。
定義:損害值D(Oi)為客體Oi被侵害的分值。
:D(Oi)∈(0,0.3],則定義該客體受到的損害為一般損害
∈(0.3,0.8],則定義該客體受到的損害為嚴(yán)重?fù)p害
∈(0.8,1],則該客體受到的損害為特別嚴(yán)重?fù)p害
實(shí)踐中,可根據(jù)需要調(diào)整區(qū)間大小。
舉例來說,某市某區(qū)常住人口為60萬,電信業(yè)務(wù)量為平均80萬小時(shí)/每天,該區(qū)面積為250平方公里,通過歸一化公式X'=,其中,j是使得X'落入[0,1]的最小整數(shù)。
可計(jì)算出:
人口Pg=0.6,電信業(yè)務(wù)量Tg=0.8,業(yè)務(wù)覆蓋面積Sg=0.25 α=0.6370,β =0.2583 γ=0.1047,將歸一化后的三個(gè)評價(jià)因素,代入公式D(Oi)= αPg+βTg+γSg,求得D(Oi)=0.61。
從定義可以看出,客體受到“嚴(yán)重?fù)p害”,該客體屬于社會(huì)秩序和公眾利益范疇,根據(jù)業(yè)務(wù)信息安全保護(hù)等級矩陣表,侵害程度為第三級,故該信息系統(tǒng)的業(yè)務(wù)信息安全等級被定為“三級” 。對該信息系統(tǒng)的系統(tǒng)服務(wù)安全等級,可遵循同樣的方式計(jì)算得到,最后比較兩個(gè)等級,取最高等級作為最終該信息系統(tǒng)的安全保護(hù)等級。
4 結(jié)束語
本文針對現(xiàn)有信息系統(tǒng)的安全保護(hù)定級工作缺乏可行的定級準(zhǔn)則,定級結(jié)果較大程度上取決于人的主觀感受、定性成分大和定量分析不足的缺點(diǎn),提出一種定性與定量結(jié)合的定級方法,提高信息系統(tǒng)的安全保護(hù)等級的定級準(zhǔn)確性,從而根據(jù)定級結(jié)果做好重要信息系統(tǒng)的安全防護(hù)。
參考文獻(xiàn)
[1] 姜政偉,趙文瑞,劉宇,劉寶旭.基于等級保護(hù)的云計(jì)算安全評估模型[J]. 計(jì)算機(jī)科學(xué), 2013(08).
[2] 陳志賓.基于等級保護(hù)思想的信息平臺安全研究與實(shí)現(xiàn)[D].河北工業(yè)大學(xué),2012.
[3] 曾穎.醫(yī)院信息系統(tǒng)等級保護(hù)安全體系設(shè)計(jì)[J].微型電腦應(yīng)用,2014(03).
[4] 肖國煜.信息系統(tǒng)等級保護(hù)測評實(shí)踐[J].信息網(wǎng)絡(luò)安全, 2011(07).
[5] 韓岳.高安全等級網(wǎng)站系統(tǒng)服務(wù)器安全研究[D].中國人民信息工程大學(xué),2011.
基金項(xiàng)目:
廣東省戰(zhàn)略性新型產(chǎn)業(yè)發(fā)展專項(xiàng)資金(高端新型電子信息產(chǎn)業(yè))項(xiàng)目資助(項(xiàng)目編號:2012556028)。
作者簡介:
王偉(1983-),男,重慶人,博士;主要研究方向與關(guān)注領(lǐng)域:信息安全、云計(jì)算。