引論:我們?yōu)槟砹?3篇安全保障管理策略范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
(一)預(yù)防先于補救的安全策略
相關(guān)的檔案管理工作人員要對預(yù)防工作的重要性加強重視,要在檔案信息沒有出現(xiàn)問題的情況下做好預(yù)防工作,這樣一旦檔案信息出現(xiàn)了任何問題就可以及時采取措施來進行處理和改進,做到未雨綢繆。從實際的工作上開看,主要是將先進的技術(shù)和手段應(yīng)用在檔案管理的安全保障工作中,促進檔案管理的信息化建設(shè)水平。從當(dāng)前我國檔案管理信息化建設(shè)的工作形式上可以看出,檔案的信息化系統(tǒng)可能會受到病毒的侵襲。導(dǎo)致系統(tǒng)的功能降低,系統(tǒng)嚴重受損,導(dǎo)致一些檔案信息被竊取,進而降低整個系統(tǒng)的性能。嚴重的還會造成經(jīng)濟損失,使得檔案管理系統(tǒng)處于崩潰的狀態(tài)。因此,相關(guān)的技術(shù)人員和管理人員要對這一問題加強重視,聘請技術(shù)人員對加設(shè)相應(yīng)的防火墻,或者是采用相關(guān)的殺毒軟件來對信息資料進行保護,防止病毒的入侵。
(二)防內(nèi)防外共同作用的安全策略
要努力做好檔案的安全保障工作需要從多方面來進行,不僅包括企業(yè)或者是組織的外部還要從內(nèi)部入手,保證檔案工作的安全性。在檔案工作進行的過程中,要對可能出現(xiàn)的安全問題進行探討和分析,通常情況下,檔案工作的內(nèi)部出現(xiàn)的安全問題比外部的問題要多,無論是在數(shù)量上還是在質(zhì)量上都是如此。究其原因主要是由于檔案管理工作人員的工作積極性以及責(zé)任意識不強,或者是工作能力以及專業(yè)技能沒有達到相應(yīng)的標準。所以,企業(yè)的檔案管理工作人員在工作的過程中,會出現(xiàn)檔案資料信息管理的不到位,或者是受到利益的誘惑而出現(xiàn)檔案信息泄露的問題。除此之外,對計算機操作系統(tǒng)的了解程度不夠往往會出現(xiàn)賬目或者是管理的不科學(xué)性問題。可見,企業(yè)發(fā)展的內(nèi)部所涌現(xiàn)出的問題要遠遠多于外部,因此,檔案管理部門要加強對工作人員的培訓(xùn),以提高其專業(yè)技能和綜合素質(zhì)為標準,培養(yǎng)其安全意識。
(三)持續(xù)發(fā)展戰(zhàn)略
做好檔案信息的安全保障工作并不是短暫性的工作,應(yīng)該具有一定的長期性。因此,檔案信息的安全問題要得到人們的高度重視。其中較為重要的就是科技的應(yīng)用。現(xiàn)如今,無論是產(chǎn)品還是管理理念都在進行不斷的更新?lián)Q代,檔案管理工作的各項內(nèi)容都在不斷變化,不僅存在著嚴重的漏洞,還會造成嚴重的經(jīng)濟損失和信息的泄露。為了避免檔案信息的不穩(wěn)定性持續(xù)存在,需要完善管理措施,制定相應(yīng)的制度,將安全保障工作放在首位。實現(xiàn)檔案信息安全的穩(wěn)定性以及可靠性。
二、檔案管理中安全保障工作的具體措施
(一)全網(wǎng)安全運行體系
全網(wǎng)安全就是指對網(wǎng)絡(luò)運行的各個發(fā)展階段的管理,實現(xiàn)統(tǒng)一的發(fā)展,促進網(wǎng)絡(luò)運行的高效性。這是檔案管理工作人員以及網(wǎng)絡(luò)運行技術(shù)人員重視的問題。只有認清這些問題,才能將具體的工作落到實處。
對于全網(wǎng)運行的安全性來說,其薄弱環(huán)節(jié)是產(chǎn)生嚴重影響的重要環(huán)節(jié)。可見,網(wǎng)絡(luò)運行的某個端口或者是某臺機器出現(xiàn)了故障很有可能造成整個網(wǎng)絡(luò)系統(tǒng)的癱瘓。因此,在實際的工作中,工作人員的安全意識要不斷加強,對于網(wǎng)絡(luò)系統(tǒng)的各個軟件以及硬件等都進行系統(tǒng)的維護,同時要對出現(xiàn)漏洞的環(huán)節(jié)進行修復(fù)或者是升級,提高檔案信息管理的自動化水平。另外,管理系統(tǒng)的認證服務(wù)以及加密體系等都需要和管理措施以及技術(shù)方式等向連接,提高管理的高效性和穩(wěn)定性。另外,檔案信息管理的安全性會隨著時間的變化或者是辦公地點的變化而出現(xiàn)明顯的問題,因此,相關(guān)的網(wǎng)絡(luò)管理工作人員要從全網(wǎng)的角度出發(fā),落實安全保障措施。促進檔案管理工作的高效進行。
(二)聯(lián)動安全與全網(wǎng)安全的重要
保障檔案館網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)按防護體系、安全管理標準規(guī)范(包括法律法規(guī)、技術(shù)標準、管理制度和操作規(guī)范等)等集成起來協(xié)同工作,實現(xiàn)檔案館網(wǎng)絡(luò)環(huán)境中從網(wǎng)絡(luò)及其基礎(chǔ)設(shè)施、各種軟件系統(tǒng)、硬件設(shè)備的同步管理和聯(lián)動安全服務(wù)出發(fā),建立由網(wǎng)絡(luò)、系統(tǒng)、機構(gòu)、組織和個人共同構(gòu)筑檔案館安全運行的一體化保障體系。
(三)檔案館全網(wǎng)安全運行
篇2
都說安全工作難干,但是在我看來難干的不是工作,而是協(xié)調(diào)身邊的人一同干工作,面對全廠數(shù)千個生產(chǎn)現(xiàn)場,幾千名職工的工作行為,怎樣才能確保制度落實到位,怎樣才能保證不出事故?
一、責(zé)任要落實到位,讓大家感到壓力
近一年多來,我感受到的最顯著的一個變化,就是各部門的態(tài)度有了轉(zhuǎn)變,以前,我們安全工作者最常聽的一句話是“你們安全又怎樣怎樣”,那時是我們安全部門跟在后面要求大家去檢查,而現(xiàn)在呢,各個業(yè)務(wù)部門主動組織檢查,邀請我們?nèi)f(xié)助。在這方面,還是有一點建議。安全工作是個萬金油的工作,但在某些專業(yè)知識上有所欠缺,我們最希望見到的是專業(yè)部門能夠從專業(yè)的角度找出問題、查出隱患,看看專業(yè)系統(tǒng)內(nèi)部是怎么開展日常工作,從而保障生產(chǎn)安全的,而不是單純的大家一起來查安全資料、查現(xiàn)場安全。可能這有點吹毛求疵,但是作為一個安全管理者,內(nèi)心最希望的是安全管理人員真正能成為一個監(jiān)管者,當(dāng)然,我們也知道這是一個職能、角色轉(zhuǎn)變的必經(jīng)過程,但這是一個努力的方向,也是我們工作的目標。
二、教育要警示為主,讓大家觸動內(nèi)心
以往的安全教育,包括“我要安全”的教育大都是正面的教育和引導(dǎo),但是現(xiàn)在看來僅有正面的教育和引導(dǎo)是不行的,要加大反面警示和懲處的力度,這個懲處也是一種教育,通過加大懲處的力度,真正消除干部職工的僥幸心理,切實使大家從內(nèi)心里提高安全意識,真正把自己的生命當(dāng)回事,把別人的生命當(dāng)回事。要進一步收集整理各專業(yè)事故相關(guān)資料,制作多媒體學(xué)習(xí)資料,下發(fā)各單位作為安全教育的常規(guī)教材,把事故當(dāng)成一種資源來利用好。
三、制度要一貫堅持,讓大家習(xí)成自然
以我們廠的一個事情為例,從前年起,我們維修大隊制定制度,凡進入生產(chǎn)、施工現(xiàn)場都必須帶安全帽,無論有沒有墜物風(fēng)險。剛開始,職工有抵觸情緒,覺得是矯枉過正,在一次動火監(jiān)護的時候,一名氣焊工跟我說,他去參加局里的一個技術(shù)比賽前的訓(xùn)練,當(dāng)他進入現(xiàn)場準備練習(xí)的時候,很自然的就把安全帽呆在了頭上,其他單位的職工都笑話他,啥時候也不忘帶帽子啊,他笑了笑說;“習(xí)慣了”。還是一次動火監(jiān)護,在分離器區(qū)焊接流程,由于長時間的下蹲工作,一名焊工起身時沒有站穩(wěn),一下子就載向了身側(cè)的閥門絲杠,盡管有絲杠護套和安全帽的雙重保護,安全帽還是被磕出了一個印記。這僅僅是一個例子,當(dāng)嚴格的要求大家都習(xí)以為常了,我們的管理就到位了。
四、監(jiān)管要嚴上加嚴,讓大家明白底線
有著200年歷史的杜邦企業(yè)的安全文化,共分為4個階段,自然本能反應(yīng)階段―依賴嚴格的監(jiān)督階段―獨立自主管理階段―互助團隊管理階段,以目前安全水平看我們?nèi)蕴幵诘诙A段,需要依賴嚴格的監(jiān)督。安全工作得罪人,安全監(jiān)管就更要狠下心去,不下狠心就沒有效果,不能光靠空喊,你不狠就有人對你狠,你不嚴就有人對你嚴,你不處理違章就有人處理你,等出了事故再檢討,再反思,一切都晚了。不是說出了事故怕被處理,而是出了事故以后,一些人走了就再也回不來了。所以說,我們搞監(jiān)管,自身底氣要硬,我們是為了工作,是為了事業(yè),是為了他人的生命。
五、考核要公正公開,讓大家看到差距
沒有嚴格的要求,就沒有安全的效益,趨利避害是人最原始、最基礎(chǔ)的行為準則,怎樣才能把這個“利”讓大家看得到,把這個“害”讓大家體會得到,我覺得就是要在考核上下功夫。二季度油田下發(fā)了考核公報,十幾單位因違章問題被處罰,我們廠領(lǐng)導(dǎo)看了很有感觸,不但在月度會上專門通報,還在廠內(nèi)下發(fā)讓全體科室、單位組織學(xué)習(xí)。坦率的講,從日常監(jiān)督檢查發(fā)現(xiàn)的問題推算,全采油廠每天都有著違章問題發(fā)生,怎樣杜絕違章,還是要轉(zhuǎn)到如何改變職工行為上來。
篇3
隨著交通政府機構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善,建立一套信息安全管理平臺,既滿足電子政務(wù)平臺的開放性和可訪問性,又保證電子政務(wù)平臺的安全性,也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個角度進行充分構(gòu)建:
1信息安全保障體系及其基本要求
信息安全保障體系是基于PKI體系而開發(fā)的為多個應(yīng)用系統(tǒng)提供統(tǒng)一認證、訪問控制、應(yīng)用審計和遠程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng),它可以將不同地理位置、不同基礎(chǔ)設(shè)施(主機、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進行樣式化、匯總、過濾和關(guān)聯(lián)分析,形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級的威脅與風(fēng)險管理,并依托安全知識庫和工作流程驅(qū)動,對威脅與風(fēng)險進行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個方面:
1)保密性。主要體現(xiàn)在誰能擁有信息,如何保證秘密和敏感信息僅為授權(quán)者享有。
2)完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實的信源發(fā)往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換。
3)可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。
4)可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認證和監(jiān)控管理。
5)不可否認性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任,保證信息行為人不能否認其信息行為。
總之,信息安全保障體系的基本要求主要從技術(shù)和管理兩個層面得以實現(xiàn)。技術(shù)層面在實現(xiàn)信息資源的公開性、共享性和可訪問性的同時,通過主機安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過安全管理機制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運營管理等規(guī)范化機制得以保障信息的安全性。
2交通電子政務(wù)平臺信息安全保障體系的構(gòu)建
交通電子政務(wù)平臺的信息安全保障體系,應(yīng)該由組織體系、技術(shù)體系、運營體系、策略體系和保障對象體系等共同組成。
2.1安全組織體系。政府高度重視交通運輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優(yōu)先位置,首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長主管信息安全工作,下設(shè)信息安全工作組,各管理部門負責(zé)人、業(yè)務(wù)部門負責(zé)人為成員。
2.2安全技術(shù)體系。交通電子政務(wù)平臺的安全技術(shù)體系可搭建專業(yè)的安全管理運營中心,并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個方面去搭建安全技術(shù)支撐體系。
2.3安全運營體系。交通電子政務(wù)的安全運營體系一般可由安全體系推廣與落實、項目建設(shè)的安全管理、安全風(fēng)險管理與控制和日常安全運行與維護四個部分組成。安全運營體系是一個完整的過程體系,在交通電子政務(wù)平臺的整個過程中,正常的運作流程,其信息流遵循自上而下的流程,即交通上級部門根據(jù)電子政務(wù)平臺信息安全需求的目標、規(guī)劃和控制要求做計劃,下級交通部門根據(jù)計劃進行執(zhí)行、檢查和改進。而若交通電子政務(wù)平臺其安全性出現(xiàn)威脅,影響正常的運作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據(jù)其安全事件進行分析、總結(jié)和改進。
篇4
自2008年國際綜合性期刊《Nature》發(fā)表有關(guān)大數(shù)據(jù)(Big Data)的專刊以來,面向各應(yīng)用領(lǐng)域的大數(shù)據(jù)分析更成為各行業(yè)及信息技術(shù)方向關(guān)注的焦點。大數(shù)據(jù)的固有特征使得傳統(tǒng)安全機制和方法顯示出不足。本文系統(tǒng)分析了大數(shù)據(jù)時代背景下的企業(yè)信息系統(tǒng)存在的主要信息安全脆弱性、信息安全威脅以及信息安全風(fēng)險問題,并有針對性地提出相應(yīng)的信息安全保障策略,為大數(shù)據(jù)背景下的企業(yè)信息安全保障提供一定指導(dǎo)的作用。
1 大數(shù)據(jù)基本內(nèi)涵
大數(shù)據(jù)(Big Data),什么是大數(shù)據(jù),目前還沒有形成統(tǒng)一的共識。網(wǎng)絡(luò)企業(yè)普遍將大數(shù)據(jù)定義為數(shù)據(jù)量與數(shù)據(jù)類型復(fù)雜到在合理時間內(nèi)無法通過當(dāng)前的主流數(shù)據(jù)庫管理軟件生成、獲取、傳輸、存儲、處理,管理、分析挖掘、應(yīng)用決策以及銷毀等的大型數(shù)據(jù)集。大數(shù)據(jù)具有4V特征(Volume,Varity,Value,Velocity),即數(shù)據(jù)量大、數(shù)據(jù)類型多、數(shù)據(jù)價值密度低、數(shù)據(jù)處理速度快。
2011年麥肯錫咨詢公司了《大數(shù)據(jù):下一個創(chuàng)新、競爭和生產(chǎn)力的變革領(lǐng)域》[1]的研究報告,引起了信息產(chǎn)業(yè)界的廣泛關(guān)注。美國谷歌公司(Google)、國際商業(yè)機器公司(IBM)、美國易安信公司(EMC)、臉書(Facebook)等公司相繼開始了大數(shù)據(jù)應(yīng)用、分析、存儲、管理等相關(guān)技術(shù)的研究,并推出各自的大數(shù)據(jù)解決框架、方案以及產(chǎn)品。例如,阿帕奇軟件基金會(Apache)組織推出的Hadoop大數(shù)據(jù)分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技術(shù)框架等,這些研究成果為隨后的大數(shù)據(jù)應(yīng)用迅猛發(fā)展提供了便利的條件。2012年3月,美國奧巴馬總統(tǒng)了2億美元的“Big Data Initiative”(大數(shù)據(jù)研究和發(fā)展計劃),該計劃涉及能源、國防、醫(yī)療、基礎(chǔ)科學(xué)等領(lǐng)域的155個項目種類,該計劃極大地推動了大數(shù)據(jù)技術(shù)的創(chuàng)新與應(yīng)用,標志著奧巴馬政府將大數(shù)據(jù)戰(zhàn)略從起初的政策層提升到國家戰(zhàn)略層。
同時,我國對大數(shù)據(jù)的認識、應(yīng)用及相關(guān)技術(shù)服務(wù)等也在不斷提高,企業(yè)界一致認同大數(shù)據(jù)在降低企業(yè)經(jīng)營運營成本、提升管理層決策效率、提高企業(yè)經(jīng)濟效益等方面具有廣闊的應(yīng)用前景,相繼大數(shù)據(jù)相關(guān)戰(zhàn)略文件,同時國家組織在民生、國防等重要領(lǐng)域投入大量的人力物力進行相關(guān)技術(shù)研究與創(chuàng)新實踐。
中國移動通信公司在已有的云計算平臺基礎(chǔ)上,開展了大量大數(shù)據(jù)應(yīng)用研究,力圖將數(shù)據(jù)信息轉(zhuǎn)化為商業(yè)價值,促進業(yè)務(wù)創(chuàng)新。例如,通過挖掘用戶的移動互聯(lián)網(wǎng)行為特征,助力市場決策;利用信令數(shù)據(jù)支撐終端、網(wǎng)絡(luò)、業(yè)務(wù)平臺關(guān)聯(lián)分析,優(yōu)化網(wǎng)絡(luò)質(zhì)量。商業(yè)銀行也相繼開展了經(jīng)融大數(shù)據(jù)研究,提升銀行的競爭力。例如,通過對用戶數(shù)據(jù)分析開展信用評估,降低企業(yè)風(fēng)險;從細粒度的級別進行客戶數(shù)據(jù)分析,為不同客戶提供個性化的產(chǎn)品與服務(wù),提升銀行的服務(wù)效率。總而言之,大數(shù)據(jù)正在帶來一場顛覆性的革命,將會推動整個社會取得全面進步。
2 大數(shù)據(jù)安全研究現(xiàn)狀
在大數(shù)據(jù)計算和分析過程中,安全是不容忽視的。大數(shù)據(jù)的固有特征對現(xiàn)有的安全標準、安全體系架構(gòu)、安全機制等都提出了新的挑戰(zhàn)。目前對大數(shù)據(jù)完整性的研究主要包括兩方面,一是對數(shù)據(jù)完整性的檢測;二是對完整性被破壞的數(shù)據(jù)的恢復(fù)。在完整性檢測方面,數(shù)據(jù)量的增大使傳統(tǒng)的MD5、SHA1等效率較低的散列校驗方法不再適用,驗證者也無法將全部數(shù)據(jù)下載到本地主機后再進行驗證。
面向大數(shù)據(jù)的高效隱私保護方法方面,高效、輕量級的數(shù)據(jù)加密已有多年研究,雖然可用于大數(shù)據(jù)加密,但加密后數(shù)據(jù)不具可用性。保留數(shù)據(jù)可用性的非密碼學(xué)的隱私保護方法因而得到了廣泛的研究和應(yīng)用。這些方法包括數(shù)據(jù)隨機化、k-匿名化、差分隱私等。
這些方法在探究隱私泄漏的風(fēng)險、提高隱私保護的可信度方面還有待深入,也不能適應(yīng)大數(shù)據(jù)的海量性、異構(gòu)性和時效性。在隱私保護下大數(shù)據(jù)的安全計算方面,很多應(yīng)用領(lǐng)域中的安全多方計算問題都在半誠實模型中得到了充分的研究,采用的方法包括電路賦值(Circuit Evaluation)、遺忘傳輸(Oblivious Transfer)、同態(tài)加密等。通過構(gòu)造零知識證明,可以將半誠實模型中的解決方法轉(zhuǎn)換到惡意模型中。而在多方參與、涉及大量數(shù)據(jù)處理的計算問題,目前研究的主要缺陷是惡意模型中方法的復(fù)雜度過高,不適應(yīng)多方參與、多協(xié)議執(zhí)行的復(fù)雜網(wǎng)絡(luò)環(huán)境。
企業(yè)大數(shù)據(jù)技術(shù)是指大數(shù)據(jù)相關(guān)技術(shù)在企業(yè)的充分應(yīng)用,即對企業(yè)業(yè)務(wù)、生產(chǎn)、監(jiān)控、監(jiān)測等信息系統(tǒng)在運行過程中涉及的海量數(shù)據(jù)進行抽取、傳輸、存儲、處理,管理、分析挖掘、應(yīng)用決策以及銷毀等,實現(xiàn)大數(shù)據(jù)對企業(yè)效率的提升、效益的增值以及風(fēng)險的預(yù)測等。
企業(yè)的大數(shù)據(jù)類型通常主要包括業(yè)務(wù)經(jīng)營數(shù)據(jù)即客戶信息數(shù)據(jù)、企業(yè)的生產(chǎn)運營與管理數(shù)據(jù)以及企業(yè)的設(shè)備運行數(shù)據(jù)等,即客戶信息數(shù)據(jù)、員工信息數(shù)據(jù)、財務(wù)數(shù)據(jù)、物資數(shù)據(jù)、系統(tǒng)日志、設(shè)備監(jiān)測數(shù)據(jù)、調(diào)度數(shù)據(jù)、檢修數(shù)據(jù)、狀態(tài)數(shù)據(jù)等。企業(yè)大數(shù)據(jù)具有3V、3E特征[2],3V即數(shù)據(jù)體量大(Volume)、數(shù)據(jù)類型多(Varity)與數(shù)據(jù)速度快(Velocity),3E即數(shù)據(jù)即能量(Energy)、數(shù)據(jù)即交互(Exchange)與數(shù)據(jù)即共情(Empathy)。
3 大數(shù)據(jù)時代企業(yè)信息安全漏洞與風(fēng)險并存
大數(shù)據(jù)時代,大數(shù)據(jù)在推動企業(yè)向著更為高效、優(yōu)質(zhì)、精準的服務(wù)前行的同時,其重要性與特殊性也給企業(yè)帶來新的信息安全風(fēng)險與挑戰(zhàn)。如何針對大數(shù)據(jù)的重要性與特殊性構(gòu)建全方位多層次的信息安全保障體系,是企業(yè)發(fā)展中面臨的重要課題。大數(shù)據(jù)背景下,結(jié)合大數(shù)據(jù)時代的企業(yè)工作模式,企業(yè)可能存在的信息安全風(fēng)險主要表現(xiàn)在以下三個方面:
(1)企業(yè)業(yè)務(wù)大數(shù)據(jù)信息安全風(fēng)險:由于缺乏針對大數(shù)據(jù)相關(guān)的政策法規(guī)、標準與管理規(guī)章制度,導(dǎo)致企業(yè)對客戶信息大數(shù)據(jù)的“開放度”難以掌握,大數(shù)據(jù)開放和隱私之間難以平衡;企業(yè)缺乏清晰的數(shù)據(jù)需求導(dǎo)致數(shù)據(jù)資產(chǎn)流失的風(fēng)險;企業(yè)數(shù)據(jù)孤島,數(shù)據(jù)質(zhì)量差可用性低,導(dǎo)致數(shù)據(jù)無法充分利用以及數(shù)據(jù)價值不能充分挖掘的風(fēng)險;大數(shù)據(jù)安全能力和防范意識差,大數(shù)據(jù)人才缺乏導(dǎo)致大數(shù)據(jù)分析、處理等工作難以開展的風(fēng)險;管理技術(shù)和架構(gòu)相對滯后,導(dǎo)致數(shù)據(jù)泄露的風(fēng)險。
(2)企業(yè)基礎(chǔ)設(shè)施信息安全風(fēng)險:2010年,震網(wǎng)病毒[3]通過網(wǎng)絡(luò)與預(yù)制的系統(tǒng)漏洞對伊朗核電站發(fā)起攻擊,導(dǎo)致伊朗濃縮鈾工程的部分離心機出現(xiàn)故障,極大的延緩了伊朗核進程。從此開啟了世界各國對工業(yè)控制系統(tǒng)安全的重視與管控。對于生產(chǎn)企業(yè),工業(yè)生產(chǎn)設(shè)備是企業(yè)的命脈,其控制系統(tǒng)的安全性必須得到企業(yè)的高度重視。隨著物理設(shè)備管理控制系統(tǒng)與大數(shù)據(jù)采集系統(tǒng)在企業(yè)的不斷應(yīng)用,監(jiān)控與數(shù)據(jù)采集系統(tǒng)必將成為是物理攻擊的重點方向,越來越多的安全問題隨之出現(xiàn)。
設(shè)備“接入點”范圍的不斷擴大,傳統(tǒng)的邊界防護概念被改變; 2013年初,美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(ICS-CERT)預(yù)警,發(fā)現(xiàn)美國兩家電廠的發(fā)電控制設(shè)備在2012年10月至12月期間感染了USB設(shè)備中的惡意軟件。該軟件能夠遠程控制開關(guān)閘門、旋轉(zhuǎn)儀表表盤、大壩控制等重要操作,對電力設(shè)備及企業(yè)安全造成了極大的威脅。
(3)企業(yè)平臺信息安全風(fēng)險: 應(yīng)用層安全風(fēng)險主要是指網(wǎng)絡(luò)給用戶提供服務(wù)所采用的應(yīng)用軟件存在的漏洞所帶來的安全風(fēng)險,包括: Web服務(wù)、郵件系統(tǒng)、數(shù)據(jù)庫軟件、域名系統(tǒng)、路由與交換系統(tǒng)、防火墻及網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)等;操作系統(tǒng)層的安全風(fēng)險主要是指網(wǎng)絡(luò)運行的操作系統(tǒng)存在的漏洞帶來的安全風(fēng)險,例如Windows NT、UNIX、Linux系列以及專用操作系統(tǒng)本身安全漏洞,主要包括訪問控制、身份認證、系統(tǒng)漏洞以及操作系統(tǒng)的安全配置等;網(wǎng)絡(luò)層安全風(fēng)險主要指網(wǎng)絡(luò)層身份認證,網(wǎng)絡(luò)資源的訪問控制,數(shù)據(jù)傳輸?shù)谋C苄耘c完整性、路由系統(tǒng)的安全、遠程接入、域名系統(tǒng)、入侵檢測的手段等網(wǎng)絡(luò)信息漏洞帶來的安全性。
4 企業(yè)大數(shù)據(jù)信息安全保障策略
針對大數(shù)據(jù)時代下企業(yè)可能存在的信息安全漏洞與風(fēng)險,本文從企業(yè)的網(wǎng)絡(luò)邊界信息安全保障、應(yīng)用終端信息安全保障、應(yīng)用平臺信息安全保障、網(wǎng)絡(luò)安全信息安全保障、數(shù)據(jù)安全信息安全保障等多方面提出如下信息安全保障策略,形成具有層次特性的企業(yè)信息安全保障體系,提升大數(shù)據(jù)時代下的企業(yè)信息安全保障能力。
4.1企業(yè)系統(tǒng)終端——信息安全保障策略
對企業(yè)計算機終端進行分類,依照國家信息安全等級保護的要求實行分級管理,根據(jù)確定的等級要求采取相應(yīng)的安全保障策略。企業(yè)擁有多種類型終端設(shè)備,對于不同終端,根據(jù)具體終端的類型、通信方式以及應(yīng)用環(huán)境等選擇適宜的保障策略。確保移動終端的接入安全,移動作業(yè)類終端嚴格執(zhí)行企業(yè)制定的辦公終端嚴禁“內(nèi)外網(wǎng)機混用”原則,移動終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入。配子站終端需配置安全模塊,對主站系統(tǒng)的參數(shù)設(shè)置指令和控制命令采取數(shù)據(jù)完整性驗證和安全鑒別措施,以防范惡意操作電氣設(shè)備,冒充主站對子站終端進行攻擊。
4.2企業(yè)網(wǎng)絡(luò)邊界——信息安全保障策略
企業(yè)網(wǎng)絡(luò)具有分區(qū)分層的特點,使邊界不受外部的攻擊,防止惡意的內(nèi)部人員跨越邊界對外實施攻擊,在不同區(qū)的網(wǎng)絡(luò)邊界加強安全防護策略,或外部人員通過開放接口、隱蔽通道進入內(nèi)部網(wǎng)絡(luò)。在管理信息內(nèi)部,審核不同業(yè)務(wù)安全等級與網(wǎng)絡(luò)密級,在網(wǎng)絡(luò)邊界進行相應(yīng)的隔離保護。按照業(yè)務(wù)網(wǎng)絡(luò)的安全等級、實時性需求以及用途等評價指標,采用防火墻隔離技術(shù)、協(xié)議隔離技術(shù)、物理隔離技術(shù)等[4]對關(guān)鍵核心業(yè)務(wù)網(wǎng)絡(luò)進行安全隔離,實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)訪問資源限制。
4.3企業(yè)網(wǎng)絡(luò)安全——信息安全保障策略
網(wǎng)絡(luò)是企業(yè)正常運轉(zhuǎn)的重要保障,是連接物理設(shè)備、應(yīng)用平臺與數(shù)據(jù)的基礎(chǔ)環(huán)境。生產(chǎn)企業(yè)主要采用公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu),專用網(wǎng)絡(luò)支撐企業(yè)的生產(chǎn)管理、設(shè)備管理、調(diào)度管理、資源管理等核心業(yè)務(wù),不同業(yè)務(wù)使用的專用網(wǎng)絡(luò)享有不同安全等級與密級,需要采取不同的保障策略。網(wǎng)絡(luò)彈性是指基礎(chǔ)網(wǎng)絡(luò)在遇到突發(fā)事件時繼續(xù)運行與快速恢復(fù)的能力。采用先進的網(wǎng)絡(luò)防護技術(shù),建立基礎(chǔ)網(wǎng)一體化感知、響應(yīng)、檢測、恢復(fù)與溯源機制,采取網(wǎng)絡(luò)虛擬化、硬件冗余、疊加等方法提高企業(yè)網(wǎng)絡(luò)彈性與安全性;對網(wǎng)絡(luò)基礎(chǔ)服務(wù)、網(wǎng)絡(luò)業(yè)務(wù)、信息流、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)網(wǎng)絡(luò)環(huán)境采用監(jiān)控審計、安全加固、訪問控制、身份鑒別、備份恢復(fù)、入侵檢測、資源控制等措施增強網(wǎng)絡(luò)環(huán)境安全防護;在企業(yè)網(wǎng)絡(luò)中,重要信息數(shù)據(jù)需要安全通信。針對信息數(shù)字資源的安全交換需求,構(gòu)建企業(yè)的業(yè)務(wù)虛擬專用網(wǎng)。在已有基礎(chǔ)網(wǎng)絡(luò)中采用訪問控制、用戶認證、信息加密等相關(guān)技術(shù),防止企業(yè)敏感數(shù)據(jù)被竊取,采取建立數(shù)據(jù)加密虛擬網(wǎng)絡(luò)隧道進行信息傳輸安全通信機制。
4.4企業(yè)應(yīng)用系統(tǒng)平臺——信息安全保障策略
應(yīng)用系統(tǒng)平臺安全直接關(guān)系到企業(yè)各業(yè)務(wù)應(yīng)用的穩(wěn)定運行,對應(yīng)用平臺進行信息安全保障,可以有效避免企業(yè)業(yè)務(wù)被阻斷、擾亂、欺騙等破壞行為,本文建議給每個應(yīng)用平臺建立相應(yīng)的日志系統(tǒng),可以對用戶的操作記錄、訪問記錄等信息進行歸檔存儲,為安全事件分析提供取證與溯源數(shù)據(jù),防范內(nèi)部人員進行異常操作。企業(yè)應(yīng)用平臺的用戶類型多樣,不同的應(yīng)用主體享有不同的功能與應(yīng)用權(quán)限,考慮到系統(tǒng)的靈活性與安全性,采用基于屬性權(quán)限訪問控制[5]、基于動態(tài)和控制中心訪問權(quán)限控制[6]、基于域訪問權(quán)限控制[7]、基于角色訪問控制等訪問控制技術(shù);確保企業(yè)應(yīng)用平臺系統(tǒng)安全可靠,在應(yīng)用平臺上線前,應(yīng)邀請第三方權(quán)威機構(gòu)對其進行信息安全測評,即對應(yīng)用平臺系統(tǒng)進行全面、系統(tǒng)的安全漏洞分析與風(fēng)險評估[8],并制定相應(yīng)的信息安全保障策略。
4.5企業(yè)大數(shù)據(jù)安全——信息保障策略
大數(shù)據(jù)時代下,大數(shù)據(jù)是企業(yè)的核心資源。企業(yè)客戶數(shù)據(jù)可能不僅包含個人的隱私信息,而且還包括個人、家庭的消費行為信息,如果針對客戶大數(shù)據(jù)不妥善處理,會對用戶造成極大的危害,進而失信于客戶。目前感知大數(shù)據(jù)(數(shù)據(jù)追蹤溯源)、應(yīng)用大數(shù)據(jù)(大數(shù)據(jù)的隱私保護[9]與開放)、管控大數(shù)據(jù)(數(shù)據(jù)訪問安全、數(shù)據(jù)存儲安全)等問題,仍然制約與困擾著大數(shù)據(jù)的發(fā)展。大數(shù)據(jù)主要采用分布式文件系統(tǒng)技術(shù)在云端存儲,在對云存儲環(huán)境進行安全防護的前提下,對關(guān)鍵核心數(shù)據(jù)進行冗余備份,強化數(shù)據(jù)存儲安全,提高企業(yè)大數(shù)據(jù)安全存儲能力。為了保護企業(yè)數(shù)據(jù)的隱私安全、提高企業(yè)大數(shù)據(jù)的安全性的同時提升企業(yè)的可信度,可采用數(shù)據(jù)分享、分析、時進行匿名保護已經(jīng)隱私數(shù)據(jù)存儲加密保護措施來加強企業(yè)數(shù)據(jù)的隱私安全,對大數(shù)據(jù)用戶進行分類與角色劃分,嚴格控制、明確各角色數(shù)據(jù)訪問權(quán)限,規(guī)范各級用戶的訪問行為,確保不同等級密級數(shù)據(jù)的讀、寫操作,有效抵制外部惡意行為,有效管理云存儲環(huán)境下的企業(yè)大數(shù)據(jù)安全。
5 結(jié)束語
篇5
一、對電子檔案信息安全保障體系概念的分析
電子檔案的信息安全保障體系,主要是借助一定的安全策略,應(yīng)用先進和科學(xué)的安全技術(shù),實現(xiàn)對電子檔案信息的有效防護和監(jiān)控,保證電子檔案信息在整個保存和處理中的安全性,提高并保證檔案信息的真實性和完整性,彰顯動態(tài)的調(diào)整功能,主要是由防護、檢測、反應(yīng)和恢復(fù)四個環(huán)節(jié),實現(xiàn)持續(xù)發(fā)展的動態(tài)過程。
二、全面介紹電子檔案信息安全保障體系的組成部分
(一)重視法制標準保障的全面建設(shè)。1.注重建立更加專業(yè)的電子檔案信息安全法律。當(dāng)前,電子檔案信息安全相關(guān)法律主要在刑法、檔案法中有所體現(xiàn),但是,缺少專業(yè)性的電子檔案信息安全法,在一定程度上使得電子檔案信息在保護和執(zhí)行方面力度不夠。因此,需要重視安全法規(guī)的建設(shè),形成具有針對性的安全保障措施,針對破壞現(xiàn)象,進行相應(yīng)的處理,同時,強化執(zhí)法強度,保障電子檔案管理能夠有法可依,強化執(zhí)法力度。2.重視完整的電子檔案信息安全立法。在檔案信息安全立法中,缺乏嚴謹?shù)慕Y(jié)構(gòu)體系,缺陷比較明顯,主要包含相關(guān)的公開制度、隱私權(quán)法律制度、網(wǎng)絡(luò)知識產(chǎn)權(quán)等。3.形成全面的檔案信息安全標準體系。對于檔案信息安全標準體系,其發(fā)展較晚,屬于初級發(fā)展時期,缺乏完整性和健全性,因此,要立足基礎(chǔ)、技術(shù)和管理標準,進行標準體系的建設(shè)。在系統(tǒng)運行中,要注重對新型系統(tǒng)的設(shè)計、驗收、運行和維護,在根本上實現(xiàn)電子檔案安全管理的有序進行。
(二)做好基礎(chǔ)設(shè)施保證建設(shè)工作。對于電子檔案信息的傳遞和運行,基礎(chǔ)設(shè)施建設(shè)必不可少,主要是立足硬件系統(tǒng)和運行技術(shù)架構(gòu),實現(xiàn)對安全信息技術(shù)環(huán)境的營造。在基礎(chǔ)安全架構(gòu)中,要立足網(wǎng)絡(luò)安全架構(gòu),結(jié)合軟硬件,實現(xiàn)安全系統(tǒng)的有效部署。在進行架構(gòu)設(shè)計的時候,需要針對功能進行分區(qū),實現(xiàn)對網(wǎng)絡(luò)功能的明確,設(shè)置保護等級,同時,進行信息訪問權(quán)限的限制。
(三)全面加強組織管理保證建設(shè)。1.將先進的管理思想滲透其中。對于電子檔案,需要重視前端和全程控制管理思想,立足文件到檔案的全周期監(jiān)控,能夠及時發(fā)現(xiàn)其中的問題,保證監(jiān)督的有效性。要重視分級管理,結(jié)合文件價值,進行安全管理,強化管理力度。要將風(fēng)險管理的思想融入其中,進行有效評估,形成對策,降低檔案安全風(fēng)險。2.重視建立權(quán)威性的信息安全管理機構(gòu)。對于檔案管理機構(gòu),只有保證其權(quán)威性,才能提高管理工作的高度。在組織上,需要重視職能的劃分,在根本上保證對信息安全管理工作的戰(zhàn)略性指導(dǎo),也能夠做好具體工作,形成詳細的應(yīng)對策略。3.重視對基礎(chǔ)設(shè)施配置的管控。在進行基礎(chǔ)設(shè)置配置的時候,需要重視對各種參數(shù)的考量,保證其根本的穩(wěn)定性與可靠性,達到安全運行的目的。同時,要重視對地址的選擇,保證各方面要求能夠達到技術(shù)要求。4.設(shè)計更具可靠的電子檔案安全管理系統(tǒng)。對于電子檔案管理而言,信息技術(shù)十分關(guān)鍵,需要保證安全性與穩(wěn)定性。為此,在設(shè)計的時候,結(jié)合控制的思想,立足檔案管理的責(zé)任,在根本上滿足檔案安全功能的需要,尤其是強化權(quán)限、監(jiān)控等功能等。
(四)加強安全技術(shù)保障工作。1.將物理安全平臺的構(gòu)件作為重要工作來抓。對于網(wǎng)絡(luò)電子信息的安全性,物理安全發(fā)揮重要的作用,主要針對環(huán)境、設(shè)備和媒體安全幾個方面,有效防護環(huán)境的安全性,保證設(shè)備穩(wěn)定性,避免干擾現(xiàn)象,保證數(shù)據(jù)的安全性。2.加強對電子檔案安全管理的網(wǎng)絡(luò)支持。主要包含傳輸和業(yè)務(wù)網(wǎng)絡(luò)兩個部分。其中,傳輸網(wǎng)絡(luò)安全能夠有效維護電子檔案傳輸?shù)姆€(wěn)定性,有效保證網(wǎng)絡(luò)服務(wù)的可靠性。而對于業(yè)務(wù)網(wǎng)絡(luò)安全,主要對病毒的防范、對防火墻的設(shè)置以及對網(wǎng)絡(luò)的監(jiān)控,實現(xiàn)對檔案信息系統(tǒng)業(yè)務(wù)資源的有效防護。
三、結(jié)語
綜上,電子檔案信息安全保障體系具有系統(tǒng)和綜合性,重視法制建設(shè)標準,立足基礎(chǔ)安全設(shè)施,重視整體安全策略和組裝,借助先進的安全防范機制,保障檔案信息資源的高安全性、高可靠性和高可用性。同時,積極促進檔案整體信息化應(yīng)用水平的全面提高,為信息化建設(shè)保駕護航。
【參考文獻】
[1]黃昌瑛.電子檔案信息安全保障策略研究[D].福建師范大學(xué),2007.
篇6
對于這樣規(guī)模龐大、結(jié)構(gòu)復(fù)雜、涉及人員眾多的網(wǎng)絡(luò)體系需要建立全網(wǎng)安全保障系統(tǒng),針對不同的業(yè)務(wù)特征進行合理的安全保障,確保業(yè)務(wù)系統(tǒng)的安全運行。
我們在設(shè)計學(xué)校信息安全保障體系的過程中,借鑒IATF的信息安全保障體系模型構(gòu)建學(xué)校信息安全保障體系的技術(shù)體系和管理體系,這些體系構(gòu)成學(xué)校所需的安全體系。在技術(shù)體系和管理體系中的安全控制和對策的選擇和定制中,采用“最佳實施”方法,通過列舉滿足實際需求和實際應(yīng)用來構(gòu)造安全保障體系。
在學(xué)校安全保障體系設(shè)計過程中,整體性一直是最核心的問題,因此為了保障安全體系具有一定的完整性,避免對安全問題的遺漏,需要在方法論中引入了安全框架模型。
安全保障體系框架示意圖
上圖中,最下層是安全體系要保護的對象,根據(jù)信息資產(chǎn)邏輯圖,將保護對象分成計算區(qū)域、區(qū)域邊界、通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施(指PKI/PMI/KMI中心和應(yīng)急響應(yīng)中心)等。計算區(qū)域部分主要指提供業(yè)務(wù)的網(wǎng)絡(luò)服務(wù),計算區(qū)域內(nèi)部可以根據(jù)學(xué)校信息化的實際需求進一步細分為子區(qū)域,邊界和通信網(wǎng)絡(luò)。對不同區(qū)域、邊界和通信網(wǎng)絡(luò),其安全需求是不同的。保護對象框架將學(xué)校信息系統(tǒng)的安全問題細分為一組結(jié)構(gòu)化的安全需求。
通過將對策框架中的所有安全控制中的策略,組織,技術(shù)和運作分別提煉,組成相應(yīng)的策略體系、組織體系、技術(shù)體系和運作體系。每個體系由對策框架組成,對策框架由一組安全控制組成,這些安全控制是根據(jù)保護對象中的安全需求設(shè)計和選擇出來的。每一條安全控制都包含策略,組織,技術(shù)和運作四個要素。
在校園網(wǎng)的信息系統(tǒng)安全等級保護方面,國內(nèi)尚未制定相關(guān)標準,但可以參考公安部制定的《信息系統(tǒng)安全等級保護基本要求》進行設(shè)計。基本安全要求分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān),主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn);管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān),主要通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。
基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全幾個層面提出;基本管理要求從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾個方面提出,基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個部分。
根據(jù)公安部《信息系統(tǒng)等級保護技術(shù)要求》中相應(yīng)技術(shù)要求,以滿足物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及存?zhèn)浞莼謴?fù)等幾方面的基本要求為前提。
在基于人、技術(shù)及運行的信息安全縱深防御體系中,對人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架,該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標準與規(guī)范、安全政策、安全法律法規(guī)與標準、安全培訓(xùn)以及安全規(guī)范。
安全管理體系框架圖
安全策略作為建立安全機制必須首要考慮的核心,它對安全措施的具體實踐提供指導(dǎo)和支持。制定一套系統(tǒng)、科學(xué)的安全策略是指導(dǎo)學(xué)校等級化信息安全保障體系安全建設(shè)的重要內(nèi)容。
建立安全組織機構(gòu)、完善安全管理制度,建立有效的工作機制,做到事有人管,職責(zé)分工明確是有效防范由于內(nèi)部人員有意無意對系統(tǒng)造成破壞的有效保障措施。
在組織安全方針、安全策略、安全制度與管理方法、安全標準與規(guī)范的建設(shè)過程中充分體現(xiàn)國家安全政策、安全法律法規(guī)與標準是組織充分保障信息系統(tǒng)安全的基礎(chǔ)。國家安全政策、安全法律法規(guī)與標準從國家和行業(yè)的角度制約信息安全,組織必須遵循國家和相關(guān)主管部門關(guān)于信息系統(tǒng)安全方面的法律法規(guī)、政策和制度。
篇7
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
隨著信息技術(shù)的飛速發(fā)展,人類正以前所未有的速度進入以網(wǎng)絡(luò)為主的信息時代,網(wǎng)絡(luò)的快速發(fā)展不僅促進了人們的通信和交流,同時也帶來了商業(yè)和經(jīng)濟模式的巨大變革。
國家大劇院是國家新建的重要文化設(shè)施,也是一處別具特色的景觀勝地。作為北京市國家級標志性文化設(shè)施,國家大劇院的建設(shè)與運行體現(xiàn)了正在迅速崛起和復(fù)興的中國在精神文化領(lǐng)域的追求,因此,依托信息化手段宣傳和服務(wù)于廣大文化藝術(shù)愛好者是國家大劇院電子商務(wù)網(wǎng)站建設(shè)的宗旨,使之成為“國家表演藝術(shù)最高殿堂、藝術(shù)普及教育的引領(lǐng)者、中外藝術(shù)交流最大平臺、文化創(chuàng)意產(chǎn)業(yè)重要基地”。
國家大劇院網(wǎng)絡(luò)及信息系統(tǒng)從2007開始逐步建設(shè),建設(shè)初期主要滿足國家大劇院演出宣傳、文藝教育、演出票務(wù)、公眾服務(wù)、內(nèi)部辦公和訪問互聯(lián)網(wǎng)的需求,官方網(wǎng)站電子商務(wù)平臺承擔(dān)著對外宣傳及網(wǎng)上售票業(yè)務(wù)。隨著國家大劇院近幾年影響力和地位的不斷提升以及業(yè)務(wù)的發(fā)展壯大,對信息化建設(shè)提出了更高要求,同時對信息安全的需求也越來越迫切,結(jié)合國家等級保護制度來進行安全保障建設(shè)成為國家大劇院信息化建設(shè)的有益補充。
2 現(xiàn)狀及問題
目前國家大劇院局域網(wǎng)骨干帶寬為千兆,雙核心。已部署的安全設(shè)施,如在整個局域網(wǎng)的出口均部署了防火墻,內(nèi)網(wǎng)服務(wù)器域邊界部署了防火墻;在門戶網(wǎng)站出口部署了流量控制和入侵防御設(shè)備;內(nèi)部終端還廣泛部署了防病毒軟件,以防范計算機病毒在局域網(wǎng)內(nèi)傳播和破壞。國家大劇院正在運行的業(yè)務(wù)系統(tǒng)主要包括網(wǎng)站系統(tǒng)、票務(wù)系統(tǒng)、藝術(shù)資料管理系統(tǒng)、OA系統(tǒng)、財務(wù)系統(tǒng)及郵件系統(tǒng)等。
根據(jù)對國家大劇院信息化及信息安全現(xiàn)狀的分析,結(jié)合國內(nèi)外信息安全發(fā)展態(tài)勢,發(fā)現(xiàn)國家大劇院面臨著一些信息安全問題及風(fēng)險。
假冒網(wǎng)站、網(wǎng)站掛馬等安全風(fēng)險。據(jù)權(quán)威統(tǒng)計,2011年下半年,檢測新增掛馬網(wǎng)站獨立網(wǎng)址246萬,平均每日100萬人次訪問此類掛馬鏈接,新增釣魚盜號欺詐類網(wǎng)站獨立網(wǎng)址492萬,共攔截10億余次釣魚盜號欺詐類網(wǎng)址,平均每日600萬人次訪問此類欺詐類鏈接。假冒網(wǎng)站獨占鰲頭的是電商網(wǎng)購類,而且仿冒范圍不斷擴散,通過國家大劇院運維人員統(tǒng)計觀察,越來越多的黑客、病毒、不法機構(gòu)和人員對國家大劇院電子商務(wù)網(wǎng)站系統(tǒng)的正常運行產(chǎn)生威脅,網(wǎng)站業(yè)務(wù)系統(tǒng)隨時都可能遭受惡意攻擊。
系統(tǒng)入侵或網(wǎng)絡(luò)攻擊風(fēng)險。由于系統(tǒng)保護措施不到位,可能導(dǎo)致國家大劇院票務(wù)等對外網(wǎng)站系統(tǒng)的域名劫持、DDoS攻擊等安全風(fēng)險。同時,也可能由于軟件漏洞或者安全意識單薄等造成內(nèi)部郵件等信息泄露。
非授權(quán)訪問風(fēng)險。由于國家大劇院內(nèi)部辦公等信息系統(tǒng)邊界缺乏訪問控制設(shè)施,并且在網(wǎng)絡(luò)可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,未授權(quán)者可通過網(wǎng)絡(luò)非法訪問網(wǎng)站及系統(tǒng)服務(wù)器,并進行非法讀取、篡改和破壞數(shù)據(jù)等不良行為,構(gòu)成對內(nèi)部數(shù)據(jù)及信息系統(tǒng)的重大隱患。
數(shù)據(jù)安全風(fēng)險。媒資庫建設(shè)完成后將承載大量的媒體資料,這些有藝術(shù)價值的音像資料是國家大劇院的寶貴資產(chǎn),一旦由于自然災(zāi)害、人員非法入侵、內(nèi)部人員誤操作等造成數(shù)據(jù)丟失損壞,將對國家大劇院造成重大損失。
媒體資源庫音像資料版權(quán)風(fēng)險。目前,劇院已經(jīng)為視頻在線傳播及直播提供服務(wù)平臺,然而提供的音視頻服務(wù)面臨版權(quán)盜用、盜鏈和惡意下載等問題,容易對劇院和公眾利益帶來損害。
內(nèi)控管理風(fēng)險。據(jù)權(quán)威調(diào)查報告顯示,內(nèi)部員工的粗心大意是企業(yè)信息安全的最大威脅,由此造成的安全事故高達78%。目前,由于國家大劇院內(nèi)部員工的安全意識還相對淡薄,存在進入業(yè)務(wù)系統(tǒng)的登錄口令設(shè)置過于簡單,私自訪問不安全網(wǎng)站,私自接入不安全設(shè)備等問題,這些都給大劇院信息系統(tǒng)造成了極大的安全隱患和威脅。
3 信息安全保障體系探索
3.1 總體目標
通過對國家大劇院信息安全現(xiàn)狀、問題以及信息安全建設(shè)需求的分析,可知國家大劇院信息安全保障體系建設(shè)的總體目標是按照國家信息安全等級保護相關(guān)要求,從風(fēng)險控制、技術(shù)設(shè)施、管理體制及運維服務(wù)等方面入手,基于成熟的安全技術(shù),借鑒先進可行的管理理念,加強外御威脅防護、構(gòu)建內(nèi)控管理機制、強化數(shù)據(jù)保護措施,建立和完善信息安全管理體制,加強安全服務(wù)保障,設(shè)計適合國家大劇院信息化發(fā)展的安全保障體系,從而確保業(yè)務(wù)流程可控、業(yè)務(wù)狀態(tài)可視,保障業(yè)務(wù)整體安全。
3.2 設(shè)計思路
針對國家大劇院安全保障目標,在信息安全保障體系設(shè)計上基于幾種設(shè)計思路。
3.2.1構(gòu)建網(wǎng)站可信機制
通過第三方網(wǎng)站身份誠信認證來確保網(wǎng)站真實性,可幫助網(wǎng)民判斷網(wǎng)站的真實性。同時,基于可信證書類產(chǎn)品,確保系統(tǒng)管理用戶身份的真實性。其次,借助社會力量來實現(xiàn)假冒網(wǎng)站的定位、侵權(quán)取證等服務(wù),從而有效打擊防范欺詐類網(wǎng)站并且協(xié)助維權(quán)。
3.2.2建設(shè)安全可靠的辦公網(wǎng)絡(luò)平臺
積極推進信息安全等級保護建設(shè),通過制定安全策略、部署安全設(shè)備,完善安全保密管理制度,加強安全運維支撐建設(shè),從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、流程安全、人員安全等多方面保障系統(tǒng)的安全穩(wěn)定運行。
3.2.3建立網(wǎng)絡(luò)信任服務(wù)
通過為網(wǎng)絡(luò)管理員、網(wǎng)站維護人員頒發(fā)數(shù)字證書,部署網(wǎng)絡(luò)可信接入及遠程安全接入設(shè)施來構(gòu)建劇院內(nèi)部的網(wǎng)絡(luò)信任服務(wù)體系,保證信息系統(tǒng)及媒資庫資源的可靠訪問,確保我院信息資源安全。
3.3 體系框架
在國家大劇院信息系統(tǒng)安全保障體系設(shè)計以及實現(xiàn)中,將在國家相關(guān)的安全政策、法規(guī)、標準、要求的指導(dǎo)下,制定可具體操作的安全策略,構(gòu)建國家大劇院網(wǎng)站系統(tǒng)安全技術(shù)系統(tǒng)、安全管理體系以及安全運行體系,形成集防護、檢測、評估、響應(yīng)、恢復(fù)于一體的整體安全保障體系,從而實現(xiàn)物理安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全和應(yīng)用安全,以滿足國家大劇院網(wǎng)站系統(tǒng)全方位的安全保護需求。國家大劇院信息系統(tǒng)整體安全保障體系模型如圖1所示。
國家大劇院信息系統(tǒng)整體安全保障體系模型主要由三個方面組成。
3.3.1安全技術(shù)體系
參考國家標準《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》按照威脅分析,將信息資產(chǎn)劃分為若干保護對象,并按照“一個中心”管理下的“三重保護”的設(shè)計框架,構(gòu)建國家大劇院信息安全技術(shù)體系保障機制和策略,為國家大劇院信息系統(tǒng)的運行提供安全保護環(huán)境。該環(huán)境共包括四部分:安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心。
3.3.2安全管理體系
以國家大劇院現(xiàn)有業(yè)務(wù)系統(tǒng)所服務(wù)對象為基礎(chǔ),建立完善的安全管理體系,建立信息安全管理機構(gòu)、制定信息安全管理制度、設(shè)置信息安全管理崗位。
3.3.3安全運維服務(wù)體系
針對業(yè)務(wù)安全運行的需要,以日常巡檢、咨詢、評估等建立有效的運維服務(wù)機制,加強對資產(chǎn)管理的分析、隱患發(fā)現(xiàn)、策略審核考評等,不斷發(fā)現(xiàn)平臺在運行中的安全隱患,降低系統(tǒng)脆弱性和面臨潛在的威脅帶來的影響及損失,以及時對安全策略實現(xiàn)完善和防護措施的改進提升。
3.4 信息安全體系建設(shè)實踐
國家大劇院信息安全保障工作經(jīng)過長期的努力,已經(jīng)初見成效。在安全體系的建設(shè)實踐中,總結(jié)出幾點實踐經(jīng)驗。
3.4.1制定標準規(guī)范,奠定保障基礎(chǔ)
信息安全保障建設(shè)的一項重要工作之一是參照國家等級保護的技術(shù)要求完成相應(yīng)的合規(guī)性檢查。因此,國家大劇院應(yīng)據(jù)此建立適合國家大劇院的信息安全管理基線,堅持常態(tài)化管理和動態(tài)控制,達到并保持國家相關(guān)安全主管部門的安全審計要求。
3.4.2重視管理,制度先行
信息安全是一個動態(tài)發(fā)展的過程,每年隨著業(yè)務(wù)發(fā)展變化而變化,同時隨著信息安全技術(shù)的不斷演變,都會出現(xiàn)新的安全防護技術(shù)的使用。經(jīng)過多年實踐證明,每個系統(tǒng)或者防護設(shè)備上線前,都必須在遵守總體防護規(guī)范的前提下,編制好具有針對性的管理要求,才有有效降低安全風(fēng)險引入的可能。
3.4.3定期組織代碼審計和滲透測試等系統(tǒng)檢測
代碼安全審計是通過人工分析和工具掃描的方式檢驗應(yīng)用程序的源代碼,利用大量的代碼安全規(guī)則,來分析源代碼中的違反規(guī)則部分,進而確定可能存在的安全漏洞和隱患。應(yīng)用系統(tǒng)生命周期安全的從SDL實踐上看,安全做的越早效果越好(但開發(fā)模式改動的成本也相對比較大),代碼審計作為保證代碼安全的最低低線,其作用是不可取代的。
另外,除了從代碼開發(fā)過程中保證開發(fā)出安全的應(yīng)用系統(tǒng)以外,針對已開發(fā)的系統(tǒng),國家大劇院還組織第三方測試機構(gòu),從攻擊者視角檢測信息系統(tǒng)安全防護能力是否達到,是否存在成功攻入系統(tǒng)的途徑。
4 信息安全建設(shè)意義
通過構(gòu)建信息安全保障平臺,保障我劇院信息系統(tǒng)可安全合規(guī)運行。基于國家信息安全等級保護制度要求,建設(shè)國家大劇院信息系統(tǒng)整體安全保障體系模型信息安全保障基礎(chǔ)設(shè)施,制定安全策略,為國家大劇院系統(tǒng)提供安全可靠的運行環(huán)境。
提高國家大劇院電子票務(wù)等信息系統(tǒng)的安全運行平穩(wěn)度。通過在信息安全技術(shù)、信息安全保密管理等多維度的體系保障建設(shè),保障網(wǎng)站真實性、打擊假冒網(wǎng)站,大大提高國家大劇院信息系統(tǒng)安全穩(wěn)定運行的平穩(wěn)度。
提高用戶的安全便捷以及系統(tǒng)安全管理能力。通過構(gòu)建可信的電子票務(wù)運營環(huán)境,為用戶提供身份認證及網(wǎng)絡(luò)信任機制,加強用戶的身份、資金安全保障,并且提高系統(tǒng)安全管理能力。
提升安全隱患發(fā)現(xiàn)能力。安全隱患的發(fā)現(xiàn)能力是信息安全管理中的關(guān)鍵能力,關(guān)系到能否將風(fēng)險消除在事件發(fā)生之前。通過建立入侵監(jiān)測系統(tǒng)、防病毒系統(tǒng)以及定期的安全脆弱性檢測等,大大提升我劇院信息系統(tǒng)的安全隱患發(fā)現(xiàn)能力。
5 結(jié)束語
建設(shè)和完善信息安全保障體系是為了保證國家大劇院的業(yè)務(wù)在今后發(fā)展過程中對信息安全建設(shè)的要求。
信息安全保障體系建設(shè)涵蓋安全管理體系、安全技術(shù)體系、安全運維體系的復(fù)雜系統(tǒng)工程,是一項長期性的專業(yè)的細致的認為,需要以信息安全技術(shù)為基礎(chǔ),持續(xù)投入大量的人力和物力。為使國家大劇院建設(shè)成為國際化、現(xiàn)代化的大劇院提供有力的信息安全保障。
參考文獻
[1] 關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見(國發(fā)[2012]23號).
[2] 信息安全管理實用規(guī)則(GB/T 22081-2008).
[3] 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求(GBT25070-2010).
[4] 信息系統(tǒng)安全等級保護體系框架(GA/T 708-2007).
[5] 國家大劇院電子商務(wù)網(wǎng)站系統(tǒng)安全保障方案.內(nèi)部資料,2010.
篇8
從概念上來說,電子政務(wù)是政府在其進行社會管理和社會服務(wù)過程中使用計算機信息技術(shù),超越政府各部門之間的職能和時空的界限和制約,目的是能夠達到促使政府政務(wù)的公平公正、高效廉潔、為民眾提供更加優(yōu)質(zhì)的服務(wù)。我國電子政務(wù)系統(tǒng)的雛形始于1993年,是伴隨著計算機信息技術(shù)的發(fā)展而出現(xiàn)的。隨著計算機技術(shù)的迅速發(fā)展,政府門戶網(wǎng)站、政府信息服務(wù)平臺等新興的電子政務(wù)形式也逐漸得到了應(yīng)用。目前,基于計算機信息技術(shù)的電子政務(wù)系統(tǒng)的完善和創(chuàng)新是政府改革過程中的重要內(nèi)容。但在電子政務(wù)實施與發(fā)展過程中還存在著許多問題,如政府部門對電子政務(wù)系統(tǒng)建設(shè)的重視程度不高、專職工作人員自身素質(zhì)不高、電子政務(wù)系統(tǒng)的制度化管理不完善等,以及電子政務(wù)系統(tǒng)的安全保護技術(shù)不到位等。(1)安全保障制度不健全。政府部門在對電子政務(wù)系統(tǒng)安全保障管理制度不健全、管理不到位,在電子政務(wù)系統(tǒng)建設(shè)維護時缺乏制度化的管理措施。而且,基于計算機信息技術(shù)電子政務(wù)的信息安全保障工作缺乏信息安全認證機制,非工作人員隨意進入網(wǎng)站機房或者利用用戶口令進入到網(wǎng)站系統(tǒng)當(dāng)中。這些制度上的缺失導(dǎo)致信息技術(shù)的安全保障工作難度增大,難以應(yīng)對緊急突發(fā)事件,無法保障系統(tǒng)的信息安全。(2)內(nèi)部管理松懈。電子政務(wù)系統(tǒng)安全保障近年來問題屢屢發(fā)生,如政府門戶網(wǎng)站受到攻擊、主頁受到篡改、信息泄露事件等。分析原因,主要是從事電子政務(wù)系統(tǒng)安全保障管理工作的人員的安全意識、保密意識及工作責(zé)任心不強。甚至網(wǎng)站信息安全保障工作人員泄露內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)、用戶口令,或者是內(nèi)部工作人員惡意編寫破壞程序等,讓門戶網(wǎng)站信息的安全系數(shù)下降。可見,政府門戶網(wǎng)站信息泄露、網(wǎng)頁篡改的原因,許多時候并非安全保障技術(shù)水平不高所導(dǎo)致,更重要的嚴格內(nèi)部保障工作的管理。
2重視安全保障技術(shù)體系建設(shè)
加強電子政務(wù)系統(tǒng)安全保障體系的建設(shè),就必須要提高信息安全保障技術(shù)水平,建設(shè)完善的政府安全信息技術(shù)監(jiān)控體系。政府主管門戶系統(tǒng)安全保障工作的部門,要高度重視電子政務(wù)系統(tǒng)的安全技術(shù)保障措施的完善,從硬件、軟件兩個方面加強建設(shè)。其一,要構(gòu)建起完善的互聯(lián)網(wǎng)病毒防御體系,安裝防病毒軟件并且及時進行更新,對軟件進行升級和維護,切實做到有效抵御互聯(lián)網(wǎng)上的惡意攻擊。其二,在信息安全保障系統(tǒng)中加入入侵檢測系統(tǒng),把入侵檢測軟件和硬件設(shè)備相結(jié)合,作為防御病毒體系的補充,入侵檢測系統(tǒng)主動尋找、分析系統(tǒng)系統(tǒng)內(nèi)部的運行情況,將違反安全規(guī)則的對象和被攻擊的部分檢測出來,主動保護系統(tǒng)信息的安全。其三,要在硬件設(shè)備上及時更新升級,淘汰落后的硬件設(shè)備。防止由于設(shè)備使用時間長,導(dǎo)致安全保障能力下降。
3強化安全保障的制度建設(shè)
政府的電子政務(wù)系統(tǒng),要嚴格按照國家對信息安全法律法規(guī)的標準建立起完善的信息安全管理制度。一要對計算機實施安全保密措施,定期更換計算機密碼,并且對網(wǎng)絡(luò)的訪問權(quán)限進行制度化管理,涉及重要內(nèi)容的信息必須要有專業(yè)的工作人員在專門的計算機上進行處理。二要對機房進行有效管理,完善機房的管理制度,對進入機房的設(shè)定進行權(quán)限規(guī)定。禁止攜帶對設(shè)備運行產(chǎn)生威脅的易燃易爆物品,設(shè)備的更換、更新進行登記,不定期檢查設(shè)備的運行狀態(tài)和機房的安全狀況。三要健全巡視上報制度,工作人員要定期對系統(tǒng)的論壇、留言板、門戶網(wǎng)站等進行檢查巡視,完善信息前關(guān)鍵詞和敏感字自動過濾的功能,密切關(guān)注社會發(fā)展的動態(tài),更新敏感詞和關(guān)鍵詞,建立起垃圾郵件自動清理功能。如果在巡視過程中發(fā)現(xiàn)有違反法律法規(guī)的行為,及時向公安網(wǎng)絡(luò)部門報告。四要與公安部門建立起完善的聯(lián)系制度,打擊網(wǎng)絡(luò)信息犯罪的行為。通過完善政府電子政務(wù)系統(tǒng)安全保障制度,建立起長效的安全保障機制,減少因管理失當(dāng)而產(chǎn)生的系統(tǒng)信息泄露、黑客入侵等行為的發(fā)生。
作者:李強 單位:長春信息技術(shù)職業(yè)學(xué)院
參考文獻
[1]張震,劉芬.行政環(huán)境與我國電子政務(wù)發(fā)展的策略研究[J].中國公共安全(學(xué)術(shù)版),2007,(4).
篇9
0 引 言
隨著電子政務(wù)外網(wǎng)的發(fā)展,各省市電子政務(wù)外網(wǎng)平臺的建設(shè)均已成熟,多數(shù)省市電子政務(wù)外網(wǎng)平臺建設(shè)之初采用的是物理機傳統(tǒng)架構(gòu)部署方式。隨著信息技術(shù)的發(fā)展,云計算技術(shù)應(yīng)運而生,電子政務(wù)云平臺的建設(shè)風(fēng)生水起。然而無論是傳統(tǒng)架構(gòu)還是在云計算環(huán)境下,電子政務(wù)外網(wǎng)平臺面臨的風(fēng)險越來越多,本文就這兩種架構(gòu)下電子政務(wù)外網(wǎng)平臺的安全如何建設(shè)進行分析,提出相應(yīng)的解決方案。
1 建設(shè)方案
電子政務(wù)外網(wǎng)平臺的安全建設(shè)應(yīng)根據(jù)業(yè)務(wù)應(yīng)用特點及平臺架構(gòu)層特性,應(yīng)用入侵檢測、入侵防御、防病毒網(wǎng)關(guān)、數(shù)據(jù)加密、身份認證、安全存儲等安全技術(shù),構(gòu)建面向應(yīng)用的縱深安全防御體系。電子政務(wù)外網(wǎng)平臺安全建設(shè)可從分析確定定級對象及安全等級、構(gòu)建安全保障體系、明確安全邊界、安全技術(shù)保障、安全運維保障、安全制度保障、云計算環(huán)境下電子政務(wù)外網(wǎng)平臺安全保障幾方面考慮。
1.1 分析確定定級對象及安全等級
信息系統(tǒng)安全等級共分為五級,根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南(GB/T 22240-2008)》,結(jié)合國家相關(guān)行業(yè)標準規(guī)范,分析確定定級對象及安全等級。本文以構(gòu)建信息系統(tǒng)安全等級第三級標準安全建設(shè)進行探討。
1.2 構(gòu)建安全保障體系
電子政務(wù)外網(wǎng)平臺安全保障可從安全技術(shù)保障、安全運維保障、安全制度保障三個方面著手考慮,根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級基本要求(GB/T 22239-2008)》進行建設(shè)。物理機傳統(tǒng)架構(gòu)下的電子政務(wù)外網(wǎng)平臺安全保障體系架構(gòu)如圖1所示。
1.3 明確安全邊界
1.3.1 安全邊界劃分原則
安全邊界劃分原則[1]如下所示:
(1)以保障電子政務(wù)外網(wǎng)平臺信息系統(tǒng)的業(yè)務(wù)、管理、控制數(shù)據(jù)處理活動、數(shù)據(jù)流的安全為根本出發(fā)點,保障平臺安全;
(2)每個安全域的信息資產(chǎn)價值相近,具有相同或相近的安全等級、安全環(huán)境、安全策略等;
(3)根據(jù)“信息安全等保”要求,網(wǎng)絡(luò)規(guī)劃時避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;
(4)根據(jù)《國家電子政務(wù)外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求與實施指南》,部署數(shù)據(jù)安全交換隔離系統(tǒng),保障數(shù)據(jù)交換安全;
(5)對接入邊界進行安全防護。
1.3.2 安全邊界劃分
電子政務(wù)外網(wǎng)平臺可劃分為DMZ區(qū)、內(nèi)部數(shù)據(jù)中心、互聯(lián)網(wǎng)出口區(qū)、安全及運維管理區(qū)、邊界接入?yún)^(qū)五大區(qū)域。電子政務(wù)外網(wǎng)安全邊界劃分圖如圖2所示。
(1)DMZ區(qū)
DMZ區(qū)部署面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng),包括門戶網(wǎng)站、郵件服務(wù)等,應(yīng)根據(jù)實際需求部署相應(yīng)的安全策略。
(2)內(nèi)部數(shù)據(jù)中心
內(nèi)部數(shù)據(jù)中心區(qū)部署協(xié)同辦公等內(nèi)部應(yīng)用系統(tǒng),可根據(jù)實際需求分為多個邏輯區(qū)域,如辦公業(yè)務(wù)區(qū)、測試區(qū)等,應(yīng)根據(jù)實際需求部署相應(yīng)安全策略。
(3)互聯(lián)網(wǎng)出口區(qū)
互聯(lián)網(wǎng)出口區(qū)為電子政務(wù)外網(wǎng)平臺互聯(lián)網(wǎng)接入邊界,與運營商網(wǎng)絡(luò)直連。該區(qū)域直接面向互聯(lián)網(wǎng)出口區(qū)域,易被不法分子利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)硬件、軟件進行攻擊,可在該區(qū)部署相應(yīng)的防火墻策略,并結(jié)合入侵防御、安全審計等技術(shù)提供立體的、全面的、有效的安全防護,允許合法用戶通過互聯(lián)網(wǎng)訪問電子政務(wù)外網(wǎng)。
(4)安全及運維管理區(qū)
提供安全管理運維服務(wù),保障電子政務(wù)外網(wǎng)平臺的安全。提供統(tǒng)一網(wǎng)絡(luò)管控運維服務(wù),保障整網(wǎng)設(shè)備及業(yè)務(wù)系統(tǒng)信息正常運行。
(5)邊界接入?yún)^(qū)
根據(jù)國家相關(guān)規(guī)范,對專網(wǎng)、企事業(yè)接入單位或其它系統(tǒng)接入電子政務(wù)外網(wǎng)時,應(yīng)在訪問邊界部署防火墻、入侵防御系統(tǒng),與“政務(wù)云”實現(xiàn)物理邏輯隔離,進行安全防護。
1.4 安全技術(shù)保障
采用傳統(tǒng)架構(gòu)的電子政務(wù)外網(wǎng)平臺技術(shù)安全保障可從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全五個方面進行考慮,可通過部署相應(yīng)產(chǎn)品或配置服務(wù)進行安全保障。
1.4.1 物理安全
物理安全主要涉及環(huán)境安全(防火、防水、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護等方面。該部分主要體現(xiàn)為機房及弱電的建設(shè)標準、規(guī)范,技術(shù)環(huán)節(jié)應(yīng)符合相關(guān)等級保護要求。
1.4.2 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等,具體包括結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護七個方面,關(guān)鍵安全技術(shù)保障措施如下所示:
(1)劃分安全域,根據(jù)各安全域安全建設(shè)需求采用相應(yīng)的安全策略。
(2)通過合理部署IPS、防火墻對網(wǎng)絡(luò)進行邊界隔離和訪問控制,并實現(xiàn)對網(wǎng)絡(luò)攻擊的實時監(jiān)測,即時中斷、調(diào)整或隔離一些不正常或具有傷害性的網(wǎng)絡(luò)行為。
(3)部署防DDoS攻擊設(shè)備,及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量,針對攻擊類型迅速對攻擊流量進行攔截,保證正常流量通過。
(4)可在互聯(lián)網(wǎng)出口處部署鏈路負載均衡設(shè)備,加強網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。
(5)采用上網(wǎng)行為管理、流量控制等設(shè)備,對網(wǎng)絡(luò)流量進行實時監(jiān)控管理,實現(xiàn)員工對終端計算機的管理和控制,規(guī)范員工上網(wǎng)行為,提高工作效率,實現(xiàn)流量控制和帶寬管理,優(yōu)化網(wǎng)絡(luò)。
(6)對關(guān)鍵設(shè)備采用冗余設(shè)計,并在重要網(wǎng)段配置ACL策略以保障帶寬優(yōu)先級。
(7)采用安全審計技術(shù),按照一定的安全策略,利用記錄、系統(tǒng)活動和用戶活動等信息,檢查、審查和檢驗操作事件的環(huán)境及活動,從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。
1.4.3 主機、應(yīng)用安全
主機安全主要包括訪問控制、安全審計、剩余信息保護、惡意代碼防護等幾個方面。應(yīng)用安全主要包括身份鑒別、訪問控制、安全審計、抗抵賴性等幾方面,關(guān)鍵安全技術(shù)保障措施如下所示:
(1)惡意代碼可直接利用操作系統(tǒng)或應(yīng)用程序的漏洞進行傳播,可部署惡意代碼監(jiān)測、病毒防護系統(tǒng)及漏洞掃描等系統(tǒng),通過主動防御可有效阻止病毒的傳播,及時發(fā)現(xiàn)網(wǎng)絡(luò)、主機、應(yīng)用及數(shù)據(jù)庫漏洞并修復(fù),保障電子政務(wù)外網(wǎng)平臺安全。
(2)利用身份認證技術(shù)及訪問控制策略等技術(shù)保障主機應(yīng)用安全,不允許非預(yù)期客戶訪問。
(3)運用審計技術(shù)保障主機應(yīng)用安全,實時收集和監(jiān)控信息系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動,以便進行集中報警、記錄、分析、處理。
(4)采用應(yīng)用負載均衡技術(shù)、操作系統(tǒng)用戶登錄等技術(shù)實現(xiàn)資源的優(yōu)化控制。
(5)可部署Web應(yīng)用防火墻、網(wǎng)頁防篡改等系統(tǒng),做到事前主動防御,智能分析、屏蔽或阻斷對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等類型文件的非法篡改和破壞,保障系統(tǒng)業(yè)務(wù)的正常運營,全方位保護Web應(yīng)用安全。
1.4.4 數(shù)據(jù)安全
數(shù)據(jù)安全主要包括數(shù)據(jù)的保密性、完整性及備份和恢復(fù),關(guān)鍵安全技術(shù)保障措施如下所示:
(1)可對不同類型業(yè)務(wù)數(shù)據(jù)進行物理上或邏輯上隔離,并建設(shè)數(shù)據(jù)交換與隔離系統(tǒng)以保障不同安全等級的網(wǎng)絡(luò)間的數(shù)據(jù)交換安全。
(2)采用雙因素認證進行數(shù)據(jù)訪問控制,不允許非預(yù)期客戶訪問,對違規(guī)操作實時審計報警。
(3)采用VPN、數(shù)據(jù)加密、消息數(shù)據(jù)簽名、摘要等技術(shù)對數(shù)據(jù)傳輸進行加密,防止越權(quán)訪問機密信息或惡意篡改。
(4)采用數(shù)據(jù)庫冗余部署,防范數(shù)據(jù)丟失風(fēng)險,為業(yè)務(wù)系統(tǒng)穩(wěn)定運行提供保障,可考慮建設(shè)同城或異地容災(zāi)。
(5)部署數(shù)據(jù)庫審計設(shè)備可在不影響被保護數(shù)據(jù)庫性能的情況下,對數(shù)據(jù)庫的操作實現(xiàn)跟蹤記錄、定位,實現(xiàn)數(shù)據(jù)庫的在線監(jiān)控,為數(shù)據(jù)庫系統(tǒng)的安全運行提供了有力保障。
1.5 安全運維保障
安全運維保障可通過安全管理平臺,建立與安全工作相配套的集中管理手段,提供統(tǒng)一展現(xiàn)、統(tǒng)一告警、統(tǒng)一運維流程處理等服務(wù),可使管理人員快速準確的掌握網(wǎng)絡(luò)整體運行狀況,整體反映電子政務(wù)外網(wǎng)平臺安全問題,體現(xiàn)安全投資的價值,提高安全運維管理水平。安全運維管理平臺需考慮與安全各專項系統(tǒng)、網(wǎng)管系統(tǒng)和運管系統(tǒng)之間以及上下級系統(tǒng)之間的接口。
1.6 安全制度保障
面對形形的安全解決方案,“三分技術(shù)、七分管理”。若僅有安全技術(shù)防護,而無嚴格的安全管理相配合,則難以保障網(wǎng)絡(luò)系統(tǒng)的運行安全。系統(tǒng)必須有嚴密的安全管理體制來保證系統(tǒng)安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮,建立完善的應(yīng)急體制。
1.7 云計算環(huán)境下電子政務(wù)外網(wǎng)平臺的安全保障
云技術(shù)是基于云計算商業(yè)模式應(yīng)用的網(wǎng)絡(luò)技術(shù)、信息技術(shù)、整合技術(shù)、管理平臺技術(shù)、應(yīng)用技術(shù)等的總稱,可以組成資源池,按需所用,靈活便利。隨著時代的發(fā)展,云計算技術(shù)已變成信息系統(tǒng)主流基礎(chǔ)架構(gòu)支撐。由于云計算平臺重要支撐技術(shù)是采用虛擬化實現(xiàn)資源的邏輯抽象和統(tǒng)一表示,因此在云計算環(huán)境下進行電子政務(wù)外網(wǎng)云平臺安全保障體系建設(shè),僅僅采用傳統(tǒng)的安全技術(shù)是不夠的,除滿足上述物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全技術(shù)保障,運維安全保障,安全制度保障需求之外,還應(yīng)考慮虛擬化帶來的新的安全風(fēng)險。云計算環(huán)境下電子政務(wù)外網(wǎng)云平臺安全保障體系如圖3所示。
1.8 虛擬化安全
當(dāng)前,云計算虛擬化安全技術(shù)還不成熟,對虛擬化的安全防護和保障技術(shù)測評則成為云環(huán)境等級保護的一大難題,主要涉及的安全包括虛擬機逃逸防范、虛擬機通信風(fēng)險、虛擬機管理平臺安全等方面。可采取如下安全保障措施[2]:
(1)將可信計算技術(shù)與虛擬化技術(shù)相結(jié)合,構(gòu)建可信的虛擬化平臺,形成完整的信任鏈;
(2)可建設(shè)分級訪問控制機制,根據(jù)分層分級原則制定訪問控制策略,實現(xiàn)對平臺中所有虛擬機的監(jiān)控管理,為數(shù)據(jù)的安全使用和訪問建立一道屏障;
(3)可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網(wǎng)關(guān)等技術(shù)實現(xiàn)虛擬機間的安全隔離。
2 SDS安全保障技術(shù)簡介
軟件定義安全(Software Defined Security,SDS)是從軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)延伸而來,將安全資源進行池化,通過軟件進行統(tǒng)一調(diào)度,以完成相應(yīng)的安全功能,實現(xiàn)靈活的安全防護。簡單來說,傳統(tǒng)的安全設(shè)備是單一防護軟件架構(gòu)在一臺硬件設(shè)備之上,通常串接或旁掛于網(wǎng)絡(luò)中,不僅將網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化,對不同廠家的安全設(shè)備進行統(tǒng)一管理的復(fù)雜度也較高,需單獨的物理安裝空間。而SDS可以將其看作一個軟件,靈活調(diào)配安全設(shè)備資源,實現(xiàn)靈活的網(wǎng)絡(luò)安全防護框架,方便調(diào)整。
3 結(jié) 語
在大數(shù)據(jù)時代下,SDS是順應(yīng)時展趨勢、簡化安全管理的訴求,但由于SDS應(yīng)用尚未完全成熟,仍需經(jīng)過實踐的檢驗。
篇10
參照 ISO/IEC 27001:2005中提出的證券期貨業(yè)信息安全保障管理模型(簡稱模型),采用立方體架構(gòu)。頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu),側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式(組織、管理及技術(shù)體系)。
本管理體系框架遵循如下基本原則:責(zé)任制原則,依據(jù)“誰主管,誰負責(zé)”、“誰運營,誰負責(zé)”的基本原則,明確行業(yè)內(nèi)各主體單位信息安全保障的管理責(zé)任;系統(tǒng)性原則,以動態(tài)保障的安全觀為指導(dǎo),體現(xiàn)安全與發(fā)展并進、管理與技術(shù)并重、長效機制與應(yīng)急防御相結(jié)合的綜合保障體系;適用性原則,在保障安全的前提下,兼顧不同主體單位的差別,強制滿足最低標準,充分保留發(fā)展空間。
信息安全目標
證券期貨業(yè)信息安全保障管理體系的目標是保障網(wǎng)絡(luò)與信息系統(tǒng)的機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性。機密性是數(shù)據(jù)所具有的特性,即表示數(shù)據(jù)所達到的未提供或未泄露給未授權(quán)的個人、過程或其他實體的程度。完整性是保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性,包括數(shù)據(jù)完整性和系統(tǒng)完整性。可用性是數(shù)據(jù)或資源的特性,被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。真實性即信息接收者能夠通過有效的手段來識別信息是否是聲稱者所發(fā)送。可審計性即每個經(jīng)授權(quán)用戶的活動都是唯一標識和監(jiān)控的,以便對其所做的操作內(nèi)容進行審計和跟蹤。抗抵賴性即保證發(fā)送信息的行為人不能否認自己的行為,使發(fā)送行為具有可信度。可靠性即保證合法用戶對信息能夠進行讀取和修改,防止非法用戶對信息進行惡意篡改和破壞。
行業(yè)組織結(jié)構(gòu)
證券期貨業(yè)安全保障管理組織結(jié)構(gòu)采用 “統(tǒng)一組織、分層管理、交叉協(xié)調(diào)”的管理結(jié)構(gòu),劃分為三層:決策層、管理層、執(zhí)行層。
決策層
決策層由證券期貨業(yè)網(wǎng)絡(luò)與信息安全保障協(xié)調(diào)小組(以下簡稱協(xié)調(diào)小組)構(gòu)成,協(xié)調(diào)小組由中國證券監(jiān)督管理委員會及“5(交易所)+1(登記結(jié)算公司)+2(行業(yè)協(xié)會)”組成,是證券期貨行業(yè)信息安全的最高決策機構(gòu),以建立安全的信息系統(tǒng)、保障投資者利益為目標,制定框架性的信息系統(tǒng)安全指導(dǎo)方針,明確信息安全保障工作的基本方向和主要內(nèi)容,頒布信息安全保障工作的行業(yè)條例與規(guī)定。
協(xié)調(diào)小組還將根據(jù)證券期貨行業(yè)信息系統(tǒng)發(fā)展趨勢和信息安全發(fā)展趨勢,定期對指導(dǎo)方針做出調(diào)整,研究和分析信息安全建設(shè)對證券期貨行業(yè)發(fā)展的價值和影響,確定信息安全保障工作的發(fā)展方向和基本工作節(jié)奏。審定并頒布行業(yè)信息安全保障工作的規(guī)定和制度,協(xié)調(diào)行業(yè)內(nèi)部及外部資源,具體包括,信息安全保障工作指導(dǎo)方針、信息安全保障工作管理體系、信息安全保障工作管理流程、信息安全保障工作監(jiān)督規(guī)定。審定并頒布信息安全保障工作的監(jiān)督機制,并頒布相關(guān)監(jiān)督制度和管理流程。
管理層
管理層由行業(yè)主管職能部門、行業(yè)自律組織和行業(yè)相關(guān)的管理與促進機構(gòu)構(gòu)成。行業(yè)主管職能部門包括中國證監(jiān)會信息安全管理職能部門及其派出機構(gòu)(各地的證監(jiān)局、證管辦),行業(yè)自律組織包括中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會、技術(shù)標準委員會,相關(guān)的管理與促進機構(gòu)成員包括證券交易所(上海證券交易所、深圳證券交易所)、期貨交易所(上海期貨交易所、鄭州商品交易所、大連商品交易所)、登記結(jié)算公司。
行業(yè)主管職能部門負責(zé)起草并報批行業(yè)信息安全保障工作的規(guī)章和制度,協(xié)調(diào)專家顧問、行業(yè)成員等各方面的資源,對協(xié)調(diào)小組頒發(fā)的信息安全指導(dǎo)方針做技術(shù)與標準的支持,為其他成員執(zhí)行指導(dǎo)性方針提供支持,并及時了解業(yè)務(wù)發(fā)展對信息安全的新需求,反映給協(xié)調(diào)小組,并根據(jù)證監(jiān)會的信息安全保障工作相關(guān)規(guī)定,提出技術(shù)標準與實施細則。協(xié)調(diào)專家、顧問和行業(yè)標桿企業(yè)為各個安全主體進行信息安全保障工作的咨詢。
行業(yè)自律組織針對行業(yè)特性制訂信息安全保障相關(guān)自律性公約、標準、規(guī)范與指引等,并要求其會員單位嚴格遵守自律公約,并對違反公約的行為進行處理。相關(guān)的管理與促進機構(gòu)作為市場網(wǎng)絡(luò)與信息系統(tǒng)的核心,其信息系統(tǒng)運行狀態(tài)很大程度上依賴于會員單位的信息安全級別,應(yīng)對其會員單位進行嚴格要求,依據(jù)行業(yè)信息安全保障管理相關(guān)管理規(guī)范,制定相應(yīng)的管理細則和技術(shù)標準,督促其會員單位落實,并對安全邊界進行嚴格管理。
執(zhí)行層
執(zhí)行層指市場各個參與主體,包括交易所、登記結(jié)算公司、通信公司、證券公司、期貨公司、基金管理公司、投資咨詢機構(gòu)等。
安全保障領(lǐng)導(dǎo)小組是各主體單位信息安全最高領(lǐng)導(dǎo)機構(gòu),對協(xié)調(diào)小組關(guān)于信息安全建設(shè)的指導(dǎo)方針進行目標分解,結(jié)合本單位業(yè)務(wù)發(fā)展需求及信息系統(tǒng)現(xiàn)狀制定具體的信息安全建設(shè)策略、計劃、流程,并授權(quán)執(zhí)行機構(gòu)進行信息系統(tǒng)安全建設(shè)與運維。主要工作內(nèi)容包括制定符合監(jiān)管機構(gòu)規(guī)定的信息安全保障方針政策,根據(jù)企業(yè)自身信息安全保障工作的方針政策建立信息安全保障工作的策略體系,監(jiān)督并指導(dǎo)企業(yè)自身的信息安全組織、管理、技術(shù)體系建設(shè)。
安全保障工作小組是各主體單位執(zhí)行信息安全保障的具體機構(gòu),根據(jù)安全保障領(lǐng)導(dǎo)小組制定的信息安全建設(shè)策略、計劃、流程執(zhí)行信息安全保障工作。主體單位對自身信息安全現(xiàn)狀的評估,建設(shè)信息安全組織、管理、技術(shù)體系,完善信息安全組織、管理、技術(shù)體系,對出現(xiàn)的安全事件進行處理。
在組織體系上,決策層進行法規(guī)頒布,對管理層和執(zhí)行層進行工作指導(dǎo),管理層對決策層制定的相關(guān)法規(guī)進行細化,執(zhí)行層根據(jù)行業(yè)規(guī)則進行信息安全保障體系建設(shè),并將組織信息上報管理層和決策層。在管理體系上,決策層對管理層進行監(jiān)督管理,管理層對執(zhí)行層進行評估檢查,執(zhí)行層將信息進行上報給決策層和管理層。在技術(shù)體系上,由執(zhí)行層將技術(shù)實現(xiàn)方案和實施結(jié)果上報給管理層,管理層對成功經(jīng)驗在執(zhí)行層進行推廣。
篇11
電子政務(wù)信息安全問題 電子政務(wù)是一個基于現(xiàn)代信息技術(shù)的綜合性政務(wù)信息系統(tǒng),涉及政府機關(guān)、各團體、企業(yè)和社會公眾,其基本框架一般來說主要包括政府辦公政務(wù)網(wǎng)、辦公政務(wù)資源網(wǎng)、公眾信息網(wǎng)和辦公政務(wù)信息資源數(shù)據(jù)庫四個部分,即“三網(wǎng)一庫”。我國早在2002年7月《關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》中,明確“把電子政務(wù)建設(shè)作為今后一個時期我國信息化工作的重點,政府先行,帶動國民經(jīng)濟和社會發(fā)展信息化”,2006年進一步在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中明確“電子政務(wù)”作為我國信息化發(fā)展的重點戰(zhàn)略,實現(xiàn)政府“改善公共服務(wù),加強社會管理,強化綜合監(jiān)管和完善宏觀調(diào)控”。
1.我國交通運輸電子政務(wù)平臺發(fā)展現(xiàn)
2004年2月,交通部在其制定的《中國交通電子政務(wù)建設(shè)總體方案》中,提出了“交通政務(wù)內(nèi)網(wǎng)、交通政務(wù)外網(wǎng)和電子信息資源庫”的交通電子政務(wù)建設(shè)總體架構(gòu),同年12月又出臺了《交通運輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南(試行)》。在政策的指導(dǎo)下,我國交通電子政務(wù)平臺的發(fā)展速度加快,交通電子政務(wù)平臺的基礎(chǔ)架構(gòu)已經(jīng)凸顯規(guī)模,部(交通運輸部)省(各省道路運輸管理部門)道路運輸管理信息系統(tǒng)建設(shè),已實現(xiàn)了20多個省(區(qū)、市)運政系統(tǒng)與部聯(lián)網(wǎng),縱向業(yè)務(wù)系統(tǒng)互聯(lián)互通、資源共享、整合利用的模式已初步建立。與此同時,交通電子政務(wù)平臺的信息化標準規(guī)范體系也得到進一步完善。目前,網(wǎng)絡(luò)“開放性”與政務(wù)“安全性”、網(wǎng)絡(luò)“可訪問性”與政務(wù)“穩(wěn)定性”是我國交通電子政務(wù)實施過程的兩大矛盾。
1.1安全性與開放性的矛盾
即電子政務(wù)的安全要求與電子政務(wù)平臺的開放性要求成為交通電子政務(wù)實施過程中最難以平衡的一對矛盾。如何把握政務(wù)“安全”與網(wǎng)絡(luò)“開放”的平衡,一方面要把握住哪些信息是交通政府部門的機密,哪些是開放;另一方面,在電子政務(wù)平臺的建設(shè)過程中如何擺脫“安全絕對化”傾向,否則電子政務(wù)服務(wù)的公眾性就會失去落腳點,以政務(wù)信息化帶動社會信息化、企業(yè)信息化的戰(zhàn)略意圖也將難以實現(xiàn)。
1.2安全性與可訪問性的矛盾
電子政務(wù)的安全性要求與電子政務(wù)平臺的可訪問性要求成為交通電子政務(wù)實施過程中另一對矛盾。電子政務(wù)平臺應(yīng)重視其信息安全問題,其另一層含義還應(yīng)注意保持網(wǎng)絡(luò)安全性與可訪問性之間的平衡。交通電子政務(wù)平臺必須易于訪問,這樣才能激勵公眾去使用它。而在提供了更好的可訪問性的同時,也將交通運輸?shù)臄?shù)據(jù)暴露在不斷增長的病毒及未授權(quán)訪問的威脅之下,導(dǎo)致政務(wù)平臺的不安全性。
2.我國交通運輸電子信息安全保障體系的構(gòu)建
當(dāng)前我國交通電子政務(wù)實施過程的兩大矛盾的解決,依賴于安全、穩(wěn)定、可靠的交通運輸電子政務(wù)平臺信息安全保障體系。對于電子政務(wù)平臺實施過程中所面臨的信息安全保障問題,我國早在2003年9月頒發(fā)的《關(guān)于加強信息安全保障工作的意見》中明確提出了建立等級保護制度和風(fēng)險管理體系的要求。2004年11月,公安部等國家四部委聯(lián)合推出信息安全等級保護要求、測評準則和實施指南,為政務(wù)領(lǐng)域進一步建立政務(wù)信息系統(tǒng)風(fēng)險管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運輸部也于2008年12月頒布的《交通運輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對交通電子政務(wù)平臺的安全保障體系作了詳細的技術(shù)規(guī)范。
2.1信息安全保障體系及其基本要求。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個方面:
保密性。主要體現(xiàn)在誰能擁有信息,如何保證秘密和敏感信息僅為授權(quán)者享有。
完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實的信源發(fā)往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換。
可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。
可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認證和監(jiān)控管理。
不可否認性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任,保證信息行為人不能否認其信息行為。
2.2安全組織體系。政府高度重視交通運輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優(yōu)先位置,首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長主管信息安全工作,下設(shè)信息安全工作組,各管理部門負責(zé)人、業(yè)務(wù)部門負責(zé)人為成員。
2.3 安全技術(shù)體系。交通電子政務(wù)平臺的安全技術(shù)體系可搭建專業(yè)的安全管理運營中心,并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個方面去搭建安全技術(shù)支撐體系。
2.4安全運營體系。安全運營體系是一個完整的過程體系,在交通電子政務(wù)平臺的整個過程中,正常的運作流程,其信息流遵循自上而下的流程,即交通上級部門根據(jù)電子政務(wù)平臺信息安全需求的目標、規(guī)劃和控制要求做計劃,下級交通部門根據(jù)計劃進行執(zhí)行、檢查和改進。而若交通電子政務(wù)平臺其安全性出現(xiàn)威脅,影響正常的運作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據(jù)其安全事件進行分析、總結(jié)和改進。
2.5 安全策略體系。網(wǎng)絡(luò)安全策略是為了保護網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和,因此信息安全策略是信息安全保障體系建設(shè)和實施的指導(dǎo)和依據(jù),全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終。安全策略體系,主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運行體系四個方面的要素,在采用各種安全技術(shù)控制措施的同時,必須制訂層次化的安全策略,完善安全管理組織機構(gòu)和人員配備,提高安全管理人員的安全意識和技術(shù)水平,完善各種安全策略和安全機制,利用多種安全技術(shù)實施和網(wǎng)絡(luò)安全管理實現(xiàn)對網(wǎng)絡(luò)的多層保護。
篇12
關(guān)鍵詞 :大中型企業(yè);信息安全體系;框架;理論指導(dǎo);安全模型
1海外信息安全體系建設(shè)原則
大中型企業(yè)海外信息安全體系的建設(shè),涉及面廣、工作量大,整體設(shè)計必須堅持以下的原則,以保證建設(shè)和運營的效果。
1.1統(tǒng)一規(guī)劃管理
要對信息安全體系建設(shè)進行統(tǒng)一的規(guī)劃,制定信息安全體系框架,明確保障體系中所包含的內(nèi)容。同時,還要制定統(tǒng)一的信息安全建設(shè)標準和管理規(guī)范,使得信息安全體系建設(shè)遵循一致的標準、管理遵循一致的規(guī)范。
1.2分步有序?qū)嵤?/p>
信息安全體系建設(shè)的內(nèi)容龐雜,必須堅持分步有序的實施原則,循序漸進。
1.3技術(shù)管理并重
僅有全面的安全技術(shù)和機制是遠遠不夠的,安全管理也具有同樣的重要性。信息安全體系的建設(shè),必須遵循安全技術(shù)和安全管理并重的原則,制定統(tǒng)一的安全建設(shè)管理規(guī)范,指導(dǎo)安全管理工作。
1.4突出安全保障
信息安全體系建設(shè)要突出安全保障的重要性,通過數(shù)據(jù)備份、冗余設(shè)計、應(yīng)急響應(yīng)、安全審計、災(zāi)難恢復(fù)等安全保障機制,保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。
2海外信息安全體系建設(shè)目標
大型跨國企業(yè)海外信息安全的建設(shè)目標是:基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo),提供全面的安全服務(wù)內(nèi)容,覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)直至數(shù)據(jù)和應(yīng)用平臺各個層面,以及保護、檢測、響應(yīng)、恢復(fù)等各個環(huán)節(jié),構(gòu)建全面、完整、高效的信息安全體系,從而提高企業(yè)信息系統(tǒng)的整體安全等級,為企業(yè)海外業(yè)務(wù)發(fā)展提供堅實的信息安全保障。
3海外信息安全體系框架
企業(yè)進行信息安全建設(shè)的目標是建立起一個全面、有效的信息安全體系,包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素,信息安全建設(shè)的內(nèi)容多,規(guī)模大,必須進行全面的統(tǒng)籌規(guī)劃,明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標準、組織機構(gòu)、管理規(guī)范、人員崗位配備、實施步驟、資金投入,才能夠保證信息安全建設(shè)有序可控地進行,使信息安全體系發(fā)揮最優(yōu)的保障效果。
同時還應(yīng)該制定一系列的安全管理規(guī)范,指導(dǎo)信息安全建設(shè)和運營工作,使得信息安全建設(shè)能夠依據(jù)統(tǒng)一的標準開展,信息安全體系的運營和維護能夠遵循統(tǒng)一的規(guī)范進行。
3.1安全目標模型
根據(jù)大型跨國企業(yè)海外信息安全體系建設(shè)目標和總體安全策略,建立與之對應(yīng)的目標模型,稱為WP2DRR安全模型。該模型由預(yù)警( Warning)、策略(Policy)、保護(Protectlon)、檢測(Detection)、響應(yīng)(Response)、恢復(fù)(Recovery)6個要素環(huán)節(jié)構(gòu)成了一個基于時間的、完整的、動態(tài)的信息安全體系。WP2DRR模型在P2DR模型的基礎(chǔ)上新增加了預(yù)警Warnlng和恢復(fù)Recover,增強了安全保障體系的事前預(yù)防和事后恢復(fù)能力,系統(tǒng)一旦發(fā)生安全事故,也能恢復(fù)系統(tǒng)功能和數(shù)據(jù),恢復(fù)系統(tǒng)的正常運行。
安全目標模型是信息安全體系框架的基礎(chǔ),大型跨國企業(yè)的海外信息安全體系框架應(yīng)該緊密圍繞安全模型的6個要素環(huán)節(jié)進行設(shè)計,每個要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運行保障體系中體現(xiàn)出來。
3.2信息安全體系框架組成
通過對企業(yè)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險的分析,根據(jù)安全保障目標模型,制定了大型跨國企業(yè)海外信息安全體系框架。制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運營。
該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中,以安全策略為指導(dǎo),融會了安全技術(shù)、安全管理和運行保障3個層次的安全體系,以達到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標。大型跨國企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示。
3.2.1安全策略
在這個框架中,安全策略是指導(dǎo),與安全技術(shù)體系、安全組織和管理體系以及運行保障體系這3大體系相互作用。一方面,3大體系是在安全策略的指導(dǎo)下構(gòu)建的,主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術(shù)實現(xiàn)方法和管理、運行保障手段,全面實現(xiàn)安全策略中所制定的目標。另一方面,安全策略本身也有包括草案設(shè)計、評審、實施、培訓(xùn)、部署、監(jiān)控、強化、重新評佶、修訂等步驟在內(nèi)的生命周期,需要采用一些技術(shù)方法和管理手段進行管理,保證安全策略的及時性和有效性。
按照要保障的資產(chǎn)對象的不同,總體策略劃分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、病毒防治、身份認證、應(yīng)用授權(quán)和訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份和災(zāi)難恢復(fù)、應(yīng)急響應(yīng)、教育培訓(xùn)等若干方面進行闡述。
隨著技術(shù)的發(fā)展以及系統(tǒng)的升級、調(diào)整,安全策略也應(yīng)該進行重新評估和制定,隨時保持策略與安全目標的一致性。
3.2.2安全技術(shù)體系
安全技術(shù)體系是整個信息安全體系框架的基礎(chǔ),包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這3個部分,以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐,以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助,在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架。
安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo),立足于現(xiàn)有的成熟安全技術(shù)和安全機制,從物理和通信安全防護、網(wǎng)絡(luò)安全防護、主機系統(tǒng)安全防護、應(yīng)用安全防護等多個層次出發(fā),建立起的一個各個部分相互協(xié)同的完整的安全技術(shù)防護體系。
應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù),提升自身的安全等級,以更加安全的方式,提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機制與安全設(shè)備,對這些安全機制和安全設(shè)備進行統(tǒng)一的管理和控制,負責(zé)管理和維護安全策略,配置管理相應(yīng)的安全機制,確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計的要求協(xié)同運作,可靠運行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與備類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實現(xiàn)無縫連接,促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化,使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。
統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進行安全的監(jiān)控和管理,從而提高安全管理工作的效率,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護作用的重要保障,安全管理體系的設(shè)計立足于總體安全策略,并與安全技術(shù)體系相互配合,增強技術(shù)防護體系的效率和效果,同時也彌補當(dāng)前技術(shù)無法完全解決的安全缺陷。
技術(shù)和管理是相互結(jié)合的。一方面,安全防護技術(shù)措施需要安全管理措施來加強,另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。在大型跨國企業(yè)海外信息安全體系框架中,安全管理體系的設(shè)計充分參考和借鑒了國際信息安全管理標準《BS7799 (IS017799)》的建議。
大型跨國企業(yè)海外信息安全管理體系由若干信息安全管理類組成,每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應(yīng),這些安全控制是為了達成相應(yīng)安全目標的管理工作和要求。
3.2.4運行保障體系
運行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成,包括了系統(tǒng)可靠性設(shè)計、系統(tǒng)數(shù)據(jù)的備份計劃、安全事件的應(yīng)急響應(yīng)計劃、安全審計、災(zāi)難恢復(fù)計劃等,運行和保障體系對于企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運營提供了重要的保障手段。
3.2.5建設(shè)實施規(guī)劃
建設(shè)實施規(guī)劃是在安全管理體系、安全技術(shù)體系、運行保障體系設(shè)計的基礎(chǔ)上進一步制定的建設(shè)步驟和實施方案。在建設(shè)實施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。
任何信息安全建設(shè)都需要人員負責(zé)管理和實施,因此,首先應(yīng)該建立信息安全工作監(jiān)管組織機構(gòu),明確各級管理機構(gòu)的人員配備,職能和責(zé)任。其中信息安全管理機構(gòu)負責(zé)信息安全策略的審核與頒布、統(tǒng)一技術(shù)標準和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作、對信息安全系統(tǒng)進行監(jiān)控與審計管理。
信息安全體系建設(shè),應(yīng)該首先從物理環(huán)境安全建設(shè)入手,確保機房建設(shè)按照的統(tǒng)一標準進行建設(shè),并且按照統(tǒng)一的管理規(guī)范進行管理。
在接下來的網(wǎng)絡(luò)安全建設(shè)中,應(yīng)對計算機網(wǎng)絡(luò)的安全域進行劃分,對網(wǎng)絡(luò)結(jié)構(gòu)進行調(diào)整,以確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰;在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測等安全產(chǎn)品,形成立體的區(qū)域邊界保護機制,對各安全域進行邏輯安全隔離,禁止未授權(quán)的網(wǎng)絡(luò)訪問;在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具,定期對內(nèi)部網(wǎng)絡(luò)進行檢查,并采取措施及時彌補新發(fā)現(xiàn)的安全漏洞。
在進行網(wǎng)絡(luò)安全建設(shè)的同時,還可以進行系統(tǒng)安全建設(shè),在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng),有效抑制計算機病毒在內(nèi)部網(wǎng)絡(luò)中傳播,避免對系統(tǒng)和數(shù)據(jù)造成損害。另外,主機系統(tǒng)管理員還應(yīng)該按照主機系統(tǒng)管理規(guī)范的要求,借助主機脆弱性分析和安全加固工具,定期對主機系統(tǒng)進行檢查,更新安全漏洞補丁的級別,修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置,查看和分析系統(tǒng)審計日志,控制和保證主機系統(tǒng)的良好安全狀態(tài)。
應(yīng)用安全建設(shè)包括建立身份認證系統(tǒng)、應(yīng)用授權(quán)和訪問控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等,對專業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)。
按照統(tǒng)一標準,建立安全審計與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計劃、安全事件應(yīng)急響應(yīng)計劃、災(zāi)難恢復(fù)計劃等安全保障機制,重在保護業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn),保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性。
對所有員工進行基本安全教育,為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn),提高全員的安全意識,打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊伍。
4結(jié)論
海外信息安全體系是一個全方位的體系,從技術(shù)到管理、從網(wǎng)絡(luò)到設(shè)備再到人。任何一個方面都要考慮周全,只有每一個部分的安全才是整體的安全。
篇13
油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高,信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點,在信息安全形勢多變的情況下,獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障,將給公司的業(yè)務(wù)正常運作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此,需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實際情況的信息安全保障體系,采用先進的安全管理過程模式,完善信息安全管理制度與規(guī)范,提高員工的信息安全意識,提升風(fēng)險控制及保障水平,以支撐油服核心業(yè)務(wù)的健康發(fā)展。
1 信息安全保障體系
1.1 信息安全保障體系建設(shè)需求
油服在信息安全方面已部署了部分信息安全防護措施,如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時,每年都開展信息系統(tǒng)安全測評工作,對公司的信息系統(tǒng)進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等,從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運維和使用情況,以提高信息系統(tǒng)的安全防護能力。但從總體來看,仍缺乏信息安全保障體系框架,總體安全方針和策略不夠明確,安全區(qū)域劃分不夠細致,網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標準,未部署安全運維管理中心,無法真正起到縱深安全防御的效用。
1.2 信息安全保障體系目標與定位
信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢,在風(fēng)險評估的基礎(chǔ)上,明確與等級保護相適應(yīng)的安全策略及具體的實施辦法。對全網(wǎng)進行合理的安全域劃分,技術(shù)與管理并重的同時,以應(yīng)用與實效為主導(dǎo),從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面,保障油服信息安全,形成集檢測、響應(yīng)、恢復(fù)、防護為一體的安全保障體系。
2 油服信息安全保障體系架構(gòu)模型
油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法,縱向把保護對象分成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò);橫向把控制體系分成安全管理、安全技術(shù)和安全運行的控制體系,同時通過“一個安全管理中心”的安全管理概念和模式,形成一個依托于安全保護對象為基礎(chǔ),橫向建立安全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系
框架。
2.1 安全管理體系
根據(jù)等級保護基本要求的相關(guān)內(nèi)容,信息安全管理體系重點落實安全管理制度、安全管理機構(gòu)和人員安全管理的相關(guān)控制要求。
2.2 安全技術(shù)體系
根據(jù)等級保護基本要求的相關(guān)內(nèi)容,通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)各個層面的實施,建立與實際情況相結(jié)合的安全技術(shù)體系。
2.3 安全運行體系
根據(jù)等級保護基本要求的相關(guān)內(nèi)容,信息安全運行體系重點落實系統(tǒng)建設(shè)管理和系統(tǒng)運維管理的相關(guān)控制要求,并與實際情況相結(jié)合,形成符合等級保護要求的信息安全運行體系
框架。
2.4 安全管理中心
根據(jù)等級保護基本要求和安全設(shè)計技術(shù)要求的相關(guān)內(nèi)容,通過“自動、平臺化”的方式,對信息安全管理、技術(shù)、運行三個體系的相關(guān)控制內(nèi)容,結(jié)合實際情況加以落實。
3 油服信息安全保障體系架構(gòu)設(shè)計
3.1 安全管理體系架構(gòu)設(shè)計
信息安全管理體系架構(gòu)的設(shè)計可從以下3方面開展。
3.1.1 信息安全組織
油服信息安全組織為信息安全管理委員會,各業(yè)務(wù)部門為信息安全小組,部門經(jīng)理為本小組的第一安全責(zé)任人。同時,定義了組織中各職能角色的職責(zé),以此指導(dǎo)信息安全工作開展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及時反映公司的信息安全風(fēng)險動態(tài),便于靈活地修訂與更新;另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的,哪些是必須做的。
3.1.3 人員安全管理
在人員安全管理方面,可以通過對人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個方面進行設(shè)計。
3.2 安全技術(shù)體系架構(gòu)設(shè)計
信息安全技術(shù)體系架構(gòu)設(shè)計可從以下3個方面開展。
3.2.1 信息安全服務(wù)架構(gòu)
信息安全服務(wù)架構(gòu)設(shè)計分為保護、檢測、響應(yīng)與恢復(fù)四個環(huán)節(jié),實現(xiàn)對信息可用性、完整性和機密性的保護,監(jiān)測檢查系統(tǒng)存在的安全漏洞,對危害系統(tǒng)安全的事件行為做出響應(yīng)
處理。
3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)
信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體,結(jié)合系統(tǒng)軟硬件進行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險劃分不同的網(wǎng)絡(luò)安全域,并實施安全防護措施。
3.2.3 應(yīng)用安全架構(gòu)
應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上,更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對信息安全的需求,通過在業(yè)務(wù)系統(tǒng)中實現(xiàn)集成保障信息安全的機制,從而達到信息安全技術(shù)控制要求。
3.3 安全運行體系架構(gòu)設(shè)計
油服信息安全運行體系架構(gòu)設(shè)計主要從以下3個方面開展。
3.3.1 信息系統(tǒng)安全等級劃分
油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡(luò)系統(tǒng)等級和應(yīng)用系統(tǒng)等級三個方面進行定義。
3.3.2 信息安全技術(shù)控制
信息安全技術(shù)控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,包含身份鑒別、訪問控制、安全審計等五大類通用技術(shù)。
3.3.3 信息安全運作控制
信息安全運作控制是在油服業(yè)務(wù)運作和信息技術(shù)運作過程中進行實施的運作類安全控制,包括控制針對的主要風(fēng)險點及具體分類。
4 結(jié)束語
在油服業(yè)務(wù)不斷拓展,國際化步伐不斷深入的過程中,信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長,信息安全也愈發(fā)重要。健全油服信息安全保障體系,為實現(xiàn)“制度標準化、工作制度化”的管理常態(tài)奠定了堅實的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手,還從安全域劃分、安全邊界防護、主動監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮,進一步加強落實信息安全等級保護的基本要求,初步實現(xiàn)對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細粒度、全方位的安全管控,從而更為有效地提升了油服在信息安全方面的管理水平。
參考文獻
[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計算機安全,2007(7):72-75.
[2]王朗.一個信息安全保障體系模型的研究和設(shè)計[J].北京師范大學(xué)學(xué)報(自然科學(xué)版),2004(2):58-62.
