時間:2023-05-30 08:37:45
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇網絡安全總體規劃范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業的信息安全規劃就更加缺乏。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統籌安排,分步實施;分級管理,責任到崗;資源優化,注重效益。
這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同、側重點可以不同,但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構,達到國際國內標準的要求;
2)打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面,是屬于一個企業信息安全規劃的上層建筑,需要用一種由上而下的方法來實現,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎人力、財力和物力的投入。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規范,一套信息安全教育培訓體系,一套信息安全風險監管機制,一套信息安全績效考核指標?!捌咛仔畔踩洿胧标P系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化健康發展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面,根據調查,建立信息安全管理規范、信息安全技術規范。其中,安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識,提高信息安全工作質量。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業人員的信息安全意識和技能,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境,為企業轉型提供契機,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境,調整和優化IT基礎設施,建立安全專網,設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業業務,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監控第一生產網的安全專網核心基礎設施,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設,主要內容是SOC 的選址、布局、布線、系統集成,實現SOC 自身的防火、防潮、防電、防塵、安全監控功能;
2)軟件基礎建設,包括SSS 系統、機房監控子系統、功能小組及中心組劃分。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深,需要部署到大量IT 產品和應用系統,為了保障安全,必須對這些IT 系統和產品做入網前安全檢查,消除安全隱患?;诖?,綜合測試環境建設的內容包括:安全測試網絡;測試系統設備;安全測試工具;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬;測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統能夠提供統計分析、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產品知識庫,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產為核心,通過安全組織實現資產保護,以安全管理來約束組織的行為,以技術手段輔助安全管理。其中,資產、組織、管理、安全措施的關系如圖3所示,核心為資產,圍繞資產是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權;信息安全防護;信息安全監控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點,充分發揮企業優勢資源,引領信息安全市場,為企業轉型創造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產品;2)推出面向大型企業的信息安全咨詢產品;3)推出面向家庭安全上網產品;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估;信息安全規劃設計;信息安全產品顧問。
2)信息安全教育培訓類產品,其服務功能主要有:提供信息安全操作環境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務;家庭上網機器安全檢查服務;家庭上網機數據備份服務。
4)企業類安全服務產品,其服務功能主要有:企業安全上網控制服務;企業安全專網服務;安全信息通告;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務;面向政府信息系統災備服務;面向企業數據災備服務;面向企業信息系統災備服務。
7 結束語
通過結合分布式企業的具體實際,按照信息安全體系結構相關標準,提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標,按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后,依據服務規劃目標,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
眾所周知,電子政務網絡作為一個多應用平臺其中納入了多個應用系通,如辦公自動化系統、人事管理系統、財務管理系統、業務系統、郵件系統等。對于網絡管理者而言必須要對此類應用的運行情況加以詳細了解。其次需要注意的是,電子政務網絡用戶較多,不可避免的會出現因用戶運行其他應用程序而影響到電子政務網絡的正常運行,從而導致網絡工作效率的下降,甚至對網絡安全構成極大的威脅。
1 網絡運行維護管理中的問題
1.1 網絡規模的影響
隨著電子政務網絡規模的日趨龐大,通訊線路也越來越長,在這一條件下網絡的安全問題及脆弱性逐漸增大。尤其是隨著網絡客戶數量的不斷提升,網絡所受的安全性威脅也越來越大,具體主要體現在以下兩個方面:
1.1.1 網絡結構難以控制
網絡規模的不斷擴張必然會導致網絡結構出現較大變化,如果網絡管理者不能及時發現和處理這一問題,很容易出現因網絡配置不當而導致網絡性能下降等問題的出現,嚴重時甚至會導致網絡安全出現重大的安全隱患,給電子政務網絡帶來較大的經濟損失,因此網絡管理這必須要將網絡規模與網絡結構的優化納入到網絡安全總體規劃及管理當中去。
1.1.2 網絡漏洞無法掌握
一般而言,絕大多數網絡攻擊都是基于系統漏洞為基礎的。電子政務網絡規模龐大、系統多樣、設備種類繁多,因此單靠網絡管理者的能力很難建立一套完善的網絡安全防護系統,加上近年來網絡黑客技術水平的不斷提升,電子政務網絡的安全問題愈演愈烈。
1.2 信息與資源相關的安全威脅
在信息與資源相關的安全威脅中,非授權訪問是其中的一個重要組成部分。我們所說的非授權訪問,即未獲得許可便瀏覽計算機資源或進入網絡,比如刻意避開系統訪問控制機制對網絡資源及網絡設備展開非正常使用。一般非授權訪問主要有以下幾種方式,分別為非法用戶進入網絡系統、非法操作、合法用戶越權操作、假冒身份攻擊等。此外,還包括信息泄漏或丟失。通常信息泄露、信息丟失主要是指部分系統數據在人為前提下有意或無意被泄露、丟失的問題。往往包括信息傳輸過程中泄露或丟失、搭線竊聽截獲信息、探測用戶口令、賬號等有用信息、建立隱蔽隧道竊取信息、存儲介質丟失信息等。
1.3 內、外網數據交換安全
由于外網同Internet保持連接,因此內外網在交換數據的過程中或多或少的對內網產生了一定威脅,這種威脅主要體現在以下幾點:木馬程序竊取關鍵信息數據、計算機病毒、何可攻擊、垃圾郵件等。此外,在電子政務內部網絡當中同樣也要注意內部工作人員或黑客對系統發起的攻擊行為,據相關權威部門的評測報告限制,一般對系統產生威脅的80%攻擊行為均來自于系統內部。同外部攻擊行為相區別的是,系統內部攻擊主要是因黑客或內部工作人員對系統、操作系統內容而發起的對系統本身的攻擊等。
2 網絡運行維護管理的解決對策
2.1 建立起基礎安全服務設施
要想實現網絡安全就必須要有一個良好的安全服務基礎作為保障,進而保證整個電子政務網絡的安全、高效運行?;A安全服務設施的作用主要為電子政務網絡創設出良好的網絡環境,即相互信任,進而為安全技術的應用與科學決策提供依據。但需要注意的是,基礎安全服務設施的搭建必須要有可信的身份。系統內設的安全措施通常會根據用戶身份來決定是否通過驗證與執行用戶所提出的訪問要求,因此用戶身份是否可信便成為了基礎安全策略最為核心的問題。實際上,可信的身份服務即為驗證提供正確的用戶身份信息,如果驗證無法通過,那么系統防火墻便會根據假的用戶身份來做出錯誤判斷而不予服務。
2.2 設置安全技術支撐平臺
解決了電子政務網絡中的信任問題后便能夠在可信任的環境下對現有安全產品與技術實施既定的安全策略,其中包括訪問控制、通訊加密、漏洞檢查、物理安全與黑客入侵檢測等。正式上述這些策略的執行為整個電子政務網絡建立起了一個較為真實的安全策略環境,這對于低于網絡攻擊、預防信息破壞、控制用戶權限及防止泄密有著極為重要的作用?;诎踩珝u實現網內系統,限制他人進入內部網絡系統,過濾非法使用用戶和不安全服務。特殊點的訪問嚴格把關,限制非法分子訪問特殊點。將見識網絡安全和預警提到重要主義方面,為這兩方面的實施提供方便。充分利用資源,防止資源的濫用,倡導可持續性利用。
2.3 合理運用防火墻技術
在計算機網絡安全中的應用防火墻技術是保證網絡安全的重要手段。是網絡通信時執行的一種控制訪問限度的一種手段。其主要目的是迫使所有網絡的連接都接受檢驗,控制出入的一種網絡上的限制。防止安全的網絡環節遭到外界因素的破壞和干擾。在正常的邏輯思維當中,防火墻實際上是發揮了一個分離器或者是限制器的作用,甚至起到了分析器的作用。這樣能夠充分的將內部網絡和公共網絡之間的任何活動實施監控,保證了內部網絡的安全。計算機防火墻技術,他能允許將你“同意”進來的人進入你的網絡,拒絕不同意的人?!鞍^濾”技術是防火墻技術的一種重要方式。而要實施“包過濾” 的標準就是根據安全策略制定的。訪問控制的標準就是:包的源地址和連接請求方向。硬件的包過濾技術之外還可以通過服務器軟件來實現。
3 結語
一般來說,對于電子政務網絡這一種涉及審批、執行、政策制定的應用而言,系統內文件應都具有可信度較高的時間戳,因此電子政務網絡安全的保障也要對這一方面加以重視,這對于區分政府工作間的重要工作c責任認定具有非常重要的作用。因此,為了能夠更好的提高電子政務網絡的安全性與穩定性,我們就必須要充分重視其在網絡運行維護管理中的問題,并采取有效措施來對其加以解決。
參考文獻
[1]廖堅強,李明生.電信業重組后益陽聯通運行維護管理模式研究[J].企業家天地(下旬刊),2011(11):68.
引言
所謂稅務電子政務是指稅務部門運用現代電腦和網絡技術,將其承擔的稅務管理和服務職能轉移到網絡上進行,同時實現稅務部門組織結構和工作流程的重組優化,超越時間、空間和部門分隔的制約,向社會和納稅人提供高效優質、規范透明和全方位的管理與服務。稅務電子政務的實施使得稅務部門事務變得公開、高效、透明、廉潔和信息共享,與此同時,也使得政務信息系統安全問題更加突出和嚴重,影響稅務電子政務信息系統功能的發揮,甚至對稅務部門和納稅人產生危害,嚴重的還將對國家信息安全乃至國家安全產生威脅。因此,建設稅務電子政務信息系統安全的保障體系是發展稅務電子政務的關鍵所在,具有極其重要的意義。
1稅務電子政務系統安全體系概述
稅務電子政務系統安全體系方面的研究始終是學術界研究重點和稅務部門、企業界廣泛關注的焦點之一,已經出現了較多的研究成果和實踐案例,比如將稅務電子政務安全相關標準分成信息安全總體標準、密碼算法、密碼管理標準、防信息泄漏標準、信息安全產品標準、系統與網路安全標準、信息安全評估標準、信息安全管理標準8個類別;將稅務電子政務安全體系劃分為“網絡安全政策法規、網絡安全組織管理、網絡安全標準規范、網絡安全服務產業、網絡安全技術產品和網絡安全基礎設施”六個組成部分;將稅務電子政務安全保障體系劃分為安全法規、安全管理、安全標準、安全服務、安全技術產品和安全基礎設施6大要素;部分廠商則或者從網絡、傳輸、存儲安全以及可靠性、隱秘性、易維護性等角度構建安全體系,或者從物理、網絡、主機、應用角度設計;或者從物理隔離、基礎平臺安全、應用平臺安全和安全管理四個方面進行總體考慮。
2如何構建完善的稅務電子政務系統安全體系
我們知道,稅務電子政務系統安全體系是整個稅務電子政務系統安全、有效、高效運行的重要保證,因此安全體系應切合稅務電子政務系統實際需求,在保證物理安全和網絡安全的基礎上,充分保證數據安全和應用系統安全,同時通過安全制度建設和安全教育培訓實現安全體系有效實施,以全面保證稅務電子政務應用系統中各類信息的采集、處理、管理、傳輸等安全進行,并滿足將來稅務電子政務系統安全方面的擴展需求。下面我們將在闡述稅務電子政務系統安全體系基本構建原則的基礎上,從物理安全、網絡安全、數據安全、應用系統安全、安全制度建設、安全教育和培訓等方面對完善的稅務電子政務安全體系進行說明。
(1)構建電子政務系統安全體系的基本原則
參照我國稅務電子政務建設指導意見并結合稅務電子政務安全體系方面的研究,我認為:構建稅務電子政務系統安全體系應當遵循以下原則:
Ÿ1)全面設計、整體部署
2)統一標準,加強管理
Ÿ3)需求主導,重點突出
Ÿ4)靈活配置、動態部署
5)制度建設、安全培訓
(2)電子政務系統安全體系之物理安全
物理安全是整個稅務電子政務系統安全的前提,用于保證計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞。稅務電子政務系統安全體系中的物理安全可以分為環境安全、設備安全和媒體安全,涉及到稅務電子政務系統應用范圍內的各方主體。其中,環境安全是對系統運行環境的安全保護,如區域保護和災難保護等,具體可以參照國家標準GB50173-93、GB2887-89、GB9361-88等相關要求進行設計;設備安全則主要包括存儲、傳輸或系統運行所用設備的防盜、防毀、防磁、防止線路截獲、抗電磁干擾及電源保護等;媒體安全則包括存儲媒體本身的安全以及媒體中存儲數據安全。
(3)稅務電子政務系統安全體系之網絡安全
稅務電子政務系統安全體系之網絡安全主要分為傳輸網絡安全和業務網絡安全兩類。對于稅務電子政務系統相關的傳輸網絡,網絡安全主要是保證參與稅務電子政務系統各方主體之間的數據傳輸網絡以及公共網絡服務的安全可靠運行,從目前稅務電子政務建設情況來看,傳輸網絡安全目前需要由網絡基礎設施提供商或服務商為其安全性提供充分保證。對于稅務電子政務系統相關的業務網絡,網絡安全主要包括控制撥號用戶接入、設置防火墻、防范病毒、控制與公網互連、防范黑客入侵以及就網絡安全進行嚴格監控和規范管理等以保護業務網絡資源和電子政務應用服務。
1)撥號用戶接入問題:
目前,我國稅務電子政務系統網絡建設并不完善,還存在部分網絡環境較差的單位,在使用稅務電子政務系統的時候需要通過撥號方式利用公用電話交換網在網絡上傳輸數據。以該種方式傳輸的數據可能在傳輸過程中被竊聽、被篡改,因此針對由于使用撥號方式傳輸數據所產生的安全隱患,需要采用撥號用戶身份認證等加強對撥號用戶的安全驗證,對撥號用戶實現統一管理,采用加密手段對關鍵數據加密后進行傳輸,防止數據泄漏和被非法竊??;嚴格限制撥號上網用戶能訪問的系統信息和系統資源,防止非法用戶撥號進入電子政務系統所在網絡。
2)防火墻設置問題:
在稅務電子政務系統運行所在專網和外網之間、不同安全域之間需要根據需要設置防火墻,依據安全政策對出入網絡的信息流進行控制,有條件地允許、拒絕、檢測或過濾。防火墻設置需要綜合考慮電子政務系統所要求的速度、性能、管理、便易性和性價比等各個方面,進行周密設計和總體規劃;另外應注意加強安全管理,采取一些必要的措施保證較高的安全性,比如防火墻要安裝在不同的介質上,盡量使用不同的服務器提供不同性質的服務,對于重要系統的出口應重點配置防火墻,在實際配置和實施時應該關閉不需要的服務,要經常檢查防火墻的日志,發現異常應該及時處理,采取多層防御、冗余防御等多種方法和措施。
3)關于防病毒問題:
在稅務電子政務系統中,需要基于業務需求建立多層次病毒防衛體系。無論是B/S還是C/S結構,均需要在稅務電子政務系統每一個安裝或運行點強調安裝反病毒軟件,在稅務電子政務系統中的業務處理終端和服務器端應同時提供對應的防病毒保護措施。防病毒工作是一個長期的工作,應及時進行防病毒軟件或系統的升級、換代工作。另外除了采用各種防病毒產品以外,還應建立和實施完善的綜合安全性操作程序,該操作程序應包括各種安全措施,如定期數據備份、關鍵信息加密保護等。
4)控制與公網互連的問題:
在稅務電子政務系統中,數據傳輸的方式一般包括紙質傳輸、介質傳輸和網絡傳輸,因此對于公網傳輸的情況應加強安全方面的管理和控制。稅務電子政務系統要求內外網物理隔離,一般可以采用雙穴主機及類似措施,在嚴格控制與公網互連的前提下,妥善解決公網與專網之間的數據傳輸問題。
5)關于防止黑客問題:
隨著網絡規模的擴張和信息技術的飛速發展,黑客技術也不斷發展,其攻擊的范圍和層次也不斷擴張。稅務電子政務系統作為我國政府信息化的重要項目(比如金稅工程、秦稅工程等)也有可能成為某些惡意黑客的攻擊對象。因此在設計和實施稅務電子政務系統安全體系時,應加強采用入侵檢測技術防范黑客入侵和侵襲,并在必要的時候采取證據記錄、跟蹤恢復、強制斷開等措施保證業務網絡的安全。
6)網絡安全管理和監測:
網絡安全管理和監測是稅務電子政務系統安全設施和安全機制有效發揮作用的重要保證,主要包括安全規范的制定和實施、各類操作用戶的安全管理、安全體系的運營監控、應急處理和安全控制等。
(4)稅務電子政務系統安全體系之數據安全
稅務電子政務系統一般將需要采集、整理、處理、傳輸、統計、分析等所對應的數據進行安全分級,比如有些系統將數據分為一般數據、重要數據和關鍵數據三級,有些系統將數據分為自主保護、審計保護、標記保護、結構化保護和驗證保護五級等,然后對于不同級別的數據采用不同的安全措施。
根據數據的處理形式不同,安全體系之數據安全可以分為數據傳輸安全、數據存儲安全、數據庫安全三個方面。
(5)稅務電子政務系統安全體系之應用系統安全
稅務電子政務系統安全體系之應用系統安全主要包括用戶身份認證、訪問控制、安全審計及日志、安全技術及應用四個部分。
1)用戶身份認證
這里的用戶是一個比較寬泛的概念,不僅包括使用稅務電子政務系統的政務工作者(人),還包括訪問或者使用稅務電子政務系統的其他系統或者主機、服務器等(系統、計算機)。
用戶身份認證根據稅務電子政務系統是否部署認證中心CA可以劃分為如下兩種情形:當稅務電子政務系統中沒有部署認證中心CA時,一般采用用戶名稱、密碼、附加驗證碼的形式進行用戶身份認證。只有稅務電子政務系統的數據庫中保存了該用戶的記錄,并且該用戶具有合法訪問當前稅務電子政務系統的權限,用戶才能夠登錄當前稅務電子政務系統。如果稅務電子政務系統部署了認證中心CA,那么一般CA是在全系統部署并發揮作用的,每個稅務電子政務系統用戶首先向CA申請數字證書并以此作為用戶參與稅務電子政務系統的合法身份。超級秘書網
用戶身份認證一般發生于用戶登錄稅務電子政務系統時或者不同稅務電子政務系統之間傳遞數據時的情況。在用戶登錄稅務電子政務系統時,需要對登錄用戶持有的數字證書進行認證,以保證只有合法持有有效數字證書的用戶才能夠登錄稅務電子政務系統,同時還需要進行安全審計和記錄系統安全日志。
2)訪問控制
在稅務電子政務系統中,需要指定各個應用層次中的每一個用戶所能夠訪問的業務資源和系統資源,也即訪問控制和權限分配策略。
這里的權限不但包括用戶能否訪問的業務范圍、業務數據、數據的訪問方式、操作類型等,還包括稅務電子政務系統相關的系統資源,包括打印、郵件等。
3)安全技術及應用
根據安全級別的劃分,可以采用包括數據加密與解密、數據摘要及驗證、數字簽名及驗證、時間戳加蓋及驗證等在內的安全技術保證系統的安全性、完整性和不可否認性。
(6)稅務電子政務系統安全體系之安全制度建設
稅務電子政務系統安全體系要真正發揮作用,還需要制定安全制度并嚴格實施。一般的,安全制度包括人員安全管理、系統文檔管理、環境安全管理、設備購置使用、系統開發管理、運營安全管理、應急情況處理等內容。
(7)稅務電子政務系統安全體系之安全教育和培訓
稅務電子政務系統中,用戶安全意識及其掌握的安全知識是整個安全體系高效、有效運行和正常維護的重要因素之一,因此在電子政務系統的設計、研發、實施、運維、服務的過程中,應建立完善的安全教育和培訓體系,以定期或不定期對電子政務系統涉及的各類用戶進行安全相關的教育和培訓。
綜上所述,建立全方位、多層次的、完善的稅務電子政務系統安全體系,應從物理安全、網絡安全、數據安全、應用系統安全、安全制度建設、安全教育培訓六個方面進行全面、細致規劃和周密、整體部署。另外,在構建稅務電子政務系統安全體系的同時,還需要注意切合稅務電子政務系統實際進行設計,安全思路清晰、安全體系全面、安全重點突出等相關問題。
參考文獻:
在通信領域,信息安全尤為重要,它是通信安全的重要環節。在通信組織運作時,信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面,小到人與人之間聯系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網絡被毀、指揮系統癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰爭勝利的重要保障,而且將作為交戰雙方信息攻防的重要手段,貫穿戰爭的全過程。一旦信息安全出現問題,可能導致整個國家的經濟癱瘓,戰爭和軍事領域是這樣,政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協會的曾經發出一份報告,稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經濟,5天就能波及全美經濟,7天會使全世界經濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰備報告》里就強調:執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現在軍事信息安全上,同時也涉及到政治、經濟、文化等各方面。當今社會,由于國家活動對信息和信息網絡的依賴性越來越大,所以一旦信息系統遭到破壞,就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統大多數還處在“不設防’,的狀態下,國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發信息系統過程中對信息安全問題不夠重視,許多應用系統處在不設防狀態,具有極大的風險性和危險性。其次,我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統的國產率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網絡泄密的事故屢有發生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協調不夠,對信息系統的監督管理還不夠有力。各信息系統條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規劃,妨礙了信息安全管理的方針、原則和國家有關法規的貫徹執行。
二、通信中存在的信息安全問題
2.1信息網絡安全意識有待加強
我國的信息在傳輸的過程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。
2.2信息網絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網絡安全關鍵技術的研發,避免出現信息泄露的“后門”。
2.3信息網絡安全防護體系不完善
防護體系是系統頂層設計的一個重要組成部分,是保證各系統之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防,技術單一?,F代化的信息網絡安全防護體系已經成為一個規模龐大、技術復雜、獨具特色的重要信息子系統,并擔負著網絡攻防對抗的重任。因此,現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。
2.4信息網絡安全管理人才缺乏
高級系統管理人才缺乏,已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術,還要熟悉安全技術。既要具有豐富的網絡工程建設經驗,又要具備管理知識。顯然,加大信息安全人才的培養任重而道遠。
三、通信組織運用中的網絡安全防護
網絡安全是通信系統安全的重要環節。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發生的概率,進而降低通信組織中信息安全事故發生的概率。
3.1數據備份
對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統中有兩個系統進行同樣的工作,當其中一個系統故障時,另一個系統仍然能正常工作。加密對網絡通信加密,以防止網絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發現正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網絡和信息系統安全的基本保障,機房的安全尤為重要,要嚴格監管機房人員的出入,堅決執行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統的安全運行,可以及時關注一些大公司的網站上的系統安全漏洞說明,根據其附有的解決方法,及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。
3.5構筑防火墻
構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的,能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰,我們有必要從以下幾個方面著手,加強國防信息安全建設。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環節,采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規
信息安全需要建立完備的法律法規保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規,但從整體上看,我國信息安全法規建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規的研究,及早建立我國信息安全法律法規體系。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區和部門內的信息安全實行統一管理。
4.4要加強信息安全技術開發,提高信息安全防護技術水平
沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發和運用。大力發展防火墻技術,開發出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發展計算機網絡病毒防治技術,加強計算機網絡安全管理,為保護國家信息安全打卜一個良好的基礎。
4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節
首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網絡安全教育的投入。其次,重要數據和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六,嚴格執行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執行。
但是,在世界范圍內,黑客活動越來越猖狂,黑客攻擊者無孔不入,對信息系統的安全造成了很大的威脅,對社會造成了嚴重的危害。除此之外,互聯網上黑客網站還在不斷增加,這就給黑客更多的學習攻擊的信息,在黑客網站上,學習黑客技術、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯網的威脅。如何才能保障信息系統的信息安全,怎樣才能確保網絡信息的安全性,尤其是網絡上重要的數據的安全性。
在通信領域,信息安全尤為重要,它是通信安全的重要環節。在通信組織運作時,信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面,小到人與人之間聯系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網絡被毀、指揮系統癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰爭勝利的重要保障,而且將作為交戰雙方信息攻防的重要手段,貫穿戰爭的全過程。一旦信息安全出現問題,可能導致整個國家的經濟癱瘓,戰爭和軍事領域是這樣,政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協會的曾經發出一份報告,稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經濟,5天就能波及全美經濟,7天會使全世界經濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰備報告》里就強調:執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現在軍事信息安全上,同時也涉及到政治、經濟、文化等各方面。當今社會,由于國家活動對信息和信息網絡的依賴性越來越大,所以一旦信息系統遭到破壞,就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統大多數還處在“不設防’,的狀態下,國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發信息系統過程中對信息安全問題不夠重視,許多應用系統處在不設防狀態,具有極大的風險性和危險性。其次,我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統的國產率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網絡泄密的事故屢有發生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協調不夠,對信息系統的監督管理還不夠有力。各信息系統條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規劃,妨礙了信息安全管理的方針、原則和國家有關法規的貫徹執行。
二、通信中存在的信息安全問題
2.1信息網絡安全意識有待加強
我國的信息在傳輸的過程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。
2.2信息網絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網絡安全關鍵技術的研發,避免出現信息泄露的“后門”。
2.3信息網絡安全防護體系不完善
防護體系是系統頂層設計的一個重要組成部分,是保證各系統之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防,技術單一?,F代化的信息網絡安全防護體系已經成為一個規模龐大、技術復雜、獨具特色的重要信息子系統,并擔負著網絡攻防對抗的重任。因此,現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。
2.4信息網絡安全管理人才缺乏
高級系統管理人才缺乏,已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術,還要熟悉安全技術。既要具有豐富的網絡工程建設經驗,又要具備管理知識。顯然,加大信息安全人才的培養任重而道遠。
三、通信組織運用中的網絡安全防護
網絡安全是通信系統安全的重要環節。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發生的概率,進而降低通信組織中信息安全事故發生的概率。
3.1數據備份
對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統中有兩個系統進行同樣的工作,當其中一個系統故障時,另一個系統仍然能正常工作。加密對網絡通信加密,以防止網絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發現正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網絡和信息系統安全的基本保障,機房的安全尤為重要,要嚴格監管機房人員的出入,堅決執行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統的安全運行,可以及時關注一些大公司的網站上的系統安全漏洞說明,根據其附有的解決方法,及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。
3.5構筑防火墻
構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的,能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰,我們有必要從以下幾個方面著手,加強國防信息安全建設。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環節,采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規
信息安全需要建立完備的法律法規保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規,但從整體上看,我國信息安全法規建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規的研究,及早建立我國信息安全法律法規體系。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區和部門內的信息安全實行統一管理。
4.4要加強信息安全技術開發,提高信息安全防護技術水平
沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發和運用。大力發展防火墻技術,開發出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發展計算機網絡病毒防治技術,加強計算機網絡安全管理,為保護國家信息安全打卜一個良好的基礎。
4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節
首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網絡安全教育的投入。其次,重要數據和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六,嚴格執行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執行。
楊浦區早在1996年就成立了區教育信息中心,并將其建成了連接各校園網的門戶站點,校際共享的教育教學的資料庫,教育行政部門管理的網絡中心。
全區中小學信息中心網絡實現24小時開通,建立了全區中小學電子郵件系統,通知、提示、文件全部網上運行,加快了信息的傳遞速度,提高了工作效率。分批推進校園網建設,實施“校校通”工程,做到“線路通、資源通、應用通”。
但是,數字化技術的大量應用,也使惡意和非惡意性的侵害和攻擊行為發生的可能性大大提高,如何保障信息系統安全、優良的運行,實行高效、及時的管理?同時維護也成為重點考慮的問題。
楊浦區教育信息系統是教育行業內發展快、基礎架構完善的網絡,承載著整個區的網絡教育以及教職員的研究項目的任務。由于網絡系統比較出名,容易招致黑客的惡意攻擊。
每當攻擊導致網絡出現故障時,學生將無法完成自己的課堂作業,教職人員無法進行自己的研究項目,行政管理人員則無法完成日常的管理任務。攻擊也會給網絡小組造成極大的麻煩,此外,學校還必須投入數十萬元的資金用于恢復網絡。
如何尋求新的解決方案給網絡安全再上一道門。那么,什么樣的門才能實現這個功能呢?防火墻的目標是用于網絡訪問控制,對于黑客使用緩沖區溢出等應用或攻擊OS弱點無能為力。
另外,對于通過郵件傳播的蠕蟲病毒,防火墻也無法阻擋。而且,黑客的攻擊都是利用防火墻允許通過的協議發起的針對主機漏洞的攻擊。IDS只能是被動的報警,有時候還有相當大的漏報和誤報現象發生。
最終,IPS(入侵防護系統)吸引了信息中心同事們的注意。他們發現,IPS不僅具有IDS的預警功能,而且,還可以在報警的同時,截獲惡意的數據包,實現主動防御。
通過對防火墻、IDS以及IPS等安全工具的優劣勢進行比較分析,楊浦區教育信息中心的技術人員都覺得IPS是最佳的選擇,于是,他們決定引進IPS系統。
通過多家公司的產品測試,最后決定購買McAfee的設備。McAfee具有全面的安全產品,如防病毒、病毒網關、入侵防護以及安全風險管理。目前主要是解決網絡安全事情,特別是蠕蟲和非法攻擊。經過嚴格的測試和對比,最后決定選擇McAfee Intrushield 2600。
McAfee Intmshield 2600可同時以In-Line的方式防護四條鏈路,做到對網絡入侵攻擊的實時阻斷。提供一對千兆端口和三對百兆快速以太網端口,吞吐量高達600Mb/s,不僅滿足了楊浦區教育信息中心的現有網絡需求,并且為信息中心網絡今后的擴展提供了很大空間。
同時,可以根據楊浦區教育城局域的需求,在McAfee Intrushield2600上針對VLAN和CIDR設定虛擬IPS,以做到更進一步的細致防護,確保整個楊浦區教育城域網網絡的安全。
在安全系統中,將McAfee Intrushield 2600的一對檢測防護端口以In-Line的方式串接在核心交換機和鏈路負載均衡設備Radware LinkProof之間,以做到實時的阻斷整個楊浦區教育城域網內網對外網及外網對內網的入侵攻擊。
一對檢測防護端口同樣以In-Line的方式串接在核心交換機和電信MPLSVPN接入之間,以做到實時的阻斷內部網絡中各學校對信息中心應用服務器群的入侵攻擊,有效的保護信息中心的安全。
MsAfee IntruShield能夠通過先進的簽名檢測、異常檢測以及DoS攻擊檢測來預防各種各樣的攻擊,其先進的功能也使楊浦區教育信息中心的工作人員受益匪淺。自從部署了McAfee IntruShield以后,楊浦區教育城域網被攻擊的次數顯著降低了。
加油IC卡:防毒也“加油”
文 斌
如今80%的病毒通過電子郵件進行傳播,那么加油IC卡系統是如何對整個防病毒系統進行集中管理,如何在網關處就將帶病毒的電子郵件掃除門外?
中國石化加油IC卡系統是中國石化集團公司與銀行合作開展的跨系統、跨地區的特大型IC卡應用項目。
IC卡系統通過以現代支付工具IC卡取代傳統的現金、油票等結算,實現加油款的電子支付和交易數據的自動采集,在各級石油公司和加油站建設零售業務管理信息系統,以高科技的經營管理和服務提高工作效率、降低經營成本,使企業在市場競爭中處于有利的地位。
項目的建設不僅為開展油品電子商務業務奠定基礎,也有利于逐步以加油卡這一現代金融工具替代傳統的現金、油票結算,同時采用銀企合作方式建設通用加油卡系統,也為國有商業銀行開辟了新的業務領域和新的服務市場。由于中國石化加油IC卡系統需要完成各種交易信息的傳送和處理,因此,確保系統的安全可靠至關重要。
全方位保護系統
為了全面實現“中國石化加油Ic卡防病毒管理系統”的目標,最大限度地防范病毒危害,在建立“中國石化加油IC卡防病毒管理系統”時,針對網絡構造和應用環境的實際情況,采用McAfee Active Virus Defense(AVD)和McAfee安全網關解決方案。
建立全方位的、統一完整的加油IC卡防病毒系統,從桌面客戶端、服務器、群件以及網關上進行全方位、多層次的整體防護,并通過McAfee AVD的核心產品ePolicy Orchestrator(ePO)對整個防病毒系統進行集中管理,分級控制,確保保護整個企業網絡遠離各種病毒攻擊。
針對桌面客戶端的防病毒產品VirusScan,VirusScan支持多種操作系統,從而能夠對最廣大的用戶群提供支持,同時集成了一些功能強大的輔助技術,可以自動地保護系統免于崩潰和數據的意外丟失。
針對服務器的防病毒產品NetShield,NetShield支持Novell、Win NT、Win2000S和NetApp等多種操作系統,能夠從一個直觀的控制臺保護整個企業的文件、應用程序和群件服務器,方便地從本地服務器或工作站監測、配置和執行遠程服務。
分別專門針對Lotus Domino和Microsoft Exchange群件環境的防病毒產品GroupShield for Domino和GroupShield for Exchange。
傳統的反病毒產品并不能對專有數據庫內部以及群件環境中使用的通信進行掃 描,但群件服務器級的病毒防護功能對于企業防止病毒的擴散是十分重要的。應用了McAfee高級掃描技術的GroupShield能夠有效防止病毒在信息傳遞過程中發作,在病毒擴散到網絡其他部分時有效地將其查殺。
VirusScan防范多威脅
VirusScan Enterprise 8.Oi使得用戶和管理員能夠從容應對最常見的潛在惡意軟件程序,包括蠕蟲、間諜軟件以及廣告軟件。
VirusScan Enterprise 8.Oi擴展了對新類型惡意代碼的檢測功能,這就意味著它能夠為企業的敏感信息和資產提供更有效、更強大的保護。該產品在初始配置情況下能夠預防約200多種最具危險性的潛在惡意程序,用戶還可以按照計劃在潛在惡意程序安全列表中添加新發現的惡意程序。
網關攔截病毒
電子郵件已經成為計算機病毒傳播的主要媒介,據統計,80%的病毒通過電子郵件進行傳播。
如果能夠在網關處就開始對電子郵件進行掃描,在病毒進入網絡之前就將其截住,從而將對關鍵業務系統可能造成的危害減到最低。
McAfee安全網關全面集成了軟硬件技術的防病毒硬件設備。利用McAfee安全網關,企業用戶能夠對出入網絡的電子郵件、HTTP數據與FTP數據進行掃描以搜尋病毒信號。一旦偵探到病毒信號,能夠將其清除、阻止或隔離該信息或數據。
中國石化加油IC卡系統是中國石化集團公司的重要系統,整個系統的穩定性直接影響著業務的發展。自從利用McAfee構建起全面防病毒系統后,整個系統運行穩定,實現了全方位的病毒防護,確保了整個系統免遭病毒的攻擊和危害,保障了業務的順利發展。
SOC建設劍指金融安全
劉 巖
安全管理已經被業界所認可,那么如何將這些管理上的制度和規范落實,將這些安全管理目標真正用技術手段加以控制?
正如ISO 17799國際標準所強調的,“信息安全是管理的過程,而不能僅僅考慮技術因素?!彪S著信息技術的發展,金融領域的科技工作重點已經由網絡建設、數據大集中、安全基礎設施建設,發展到安全管理的階段。
那么如何才能更加體系化、流程化、平臺化的進行信息安全管理系統的建設呢?
從BS7799談起
由英國標準協會(BSI)在1999年首次提出的BS7799安全管理標準,2000年正式成為ISO/IEC 17799,并于2005年發展為最新版本ISO/IEC 27001。
該標準通過11個大類的安全目標和安全控制,構建了信息安全管理系統的框架,為各機構進行信息安全管理工作提供基礎的依據。
七分管理,三分技術,管理和技術在金融領域的安全工作中是密不可分的,管理需要以強大的技術手段作為依托,技術的實施需要以管理目標作為依據。
近年來,國內的各大銀行均在加強安全策略和規范的建設,如人民銀行早在2003年牽頭編制了《銀行和相關金融服務信息安全管理規范》,而交通銀行也正在制定信息安全總體規劃,并制定相應的規范。
國外的同行業機構已經將7799的認證工作確實的落實到具體的安全技術體系之上,例如英國的SmileBank,其網上銀行最早獲得了英國BSI的7799 ISMS認證,并以此認證工作為契機為網銀的客戶提供強有力的安全保障。
如何將安全管理上的目標真正用技術手段做到控制呢?SOC(Seevturity Op-eration Center)就是在這樣的大環境之下順理成章出現并不斷發展,它是從單一的技術手段向管理過渡的重要里程碑。
四個中心,五個模塊
啟明星辰提出的SOC解決方案,其體系架構如圖1所示,由“四個中心、五個功能模塊”組成:
“四個中心”是漏洞評估中心、事件流量監控中心、綜合分析決策支持與預警中心和響應管理中心;
“五個功能模塊”是策略管理、資產管理、用戶管理、安全知識管理和自身系統維護管理。常用的關鍵系統功能:
脆弱性管理
通過脆弱性管理可以掌握全網各個系統中存在的安全漏洞情況,結合當前安全的安全動態和預警信息,有助于各級安全管理機構及時調整安全策略,開展有針對性的安全工作,并且可以借助弱點評估中心的技術手段和安全考核機制可以有效督促各級安全管理機構將安全工作落實。
綜合分析與預警
綜合分析與預警是安全運營中心的核心模塊,依據資產管理和脆弱性管理中心進行綜合的事件協同關聯分析,并基于資產(CIA屬性+價值)進行風險評估分析,按照風險優先級針對各個業務區域和具體事件產生預警,參照網絡安全運行知識管理平臺的信息,并依據安全策略管理平臺的策略驅動響應管理中心進行響應處理。
響應管理
響應管理是根據當前的網絡安全狀態,及時調動有關資源做出響應,降低風險對網絡的負面影響。
網絡安全響應模塊負責根據預定義好的安全策略規則,及時工作指令,調動有關資源做出響應。實現人機接口,通過人工派單方式發送到相應的工單處理部門。工單的通知方式包括圖形顯示、SNMP Trap、郵件和短信。
安全策略管理
網絡安全的整體性要求需要有統一安全策略和基于工作流程的管理。通過為全網安全管理人員提供統一的安全策略,指導各級安全管理機構因地制宜的做好安全策略的部署工作,有利于在全網形成安全防范的合力,提高全網的整體安全防御能力。
同時通過策略和配置管理平臺的建設可以進一步完善整個IP網絡的安全策略體系建設,為指導各項安全工作的開展提供行動指南,有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。
安全知識管理
安全信息管理是安全信息的WEB系統,不僅可以充分共享各種安全信息資源,而且也會成為各級網絡安全運行管理機構和技術人員之間進行安全知識和經驗交流的平臺,有助于提高人員的安全技術水平和能力。
實現在安全管理中心WEB門戶提供統一界面以安全WEB的形式最新的安全信息,并將處理的安全事件方法和方案收集起來,形成一個安全共享知識庫,該信息庫的數據以數據庫的形式存儲及管理,為培養高素質的網絡技術人員提供培訓資源。
SOC架起安全橋梁
SOC是安全管理工作的重要工具之一。機構資產的梳理、防火墻的配置、入侵檢測系統的事件分析、甚至整個信息系統的脆弱性和威脅分析,這些都不能做到整體的安全管理。因為管理者不可能過多的關注某些細節,安全管理需要對整體的安全現狀和態勢進行宏觀地把握,并果斷 有效的傳達旨意,采取措施。所以SOC的首要價值是通過技術的實現手段加強對安全管理的關注。應該關注的問題有:
銜接宏觀與微觀
金融機構的安全建設提出了更多管理層面的問題,需要對多種資源的整合管理更加重視。目前企業的安全運行管理普遍現象是,不同類安全產品分別有其自身的管理控制臺,網絡與主機設備由網管系統管理。特別對于金融行業而言,需要有效地整合各系統,對事件的數據格式、分級進行標準化,從全局上對整個網絡安全事件進行分析。
解決人員依賴性
企業需要解決人力嚴重不足的問題,降低對人員技術水平、經驗以及責任心的依賴,把人員所造成的安全風險降到最低??紤]到事件優先級判斷與參與人員的技術水平和經驗相關,很難有客觀的分析和判斷,需要建立一套完整的事件采集、統計、判斷和處理機制。
關注業務風險
對于技術型的人員來說,往往采用技術型語言來描述問題。這種情況下,容易與領導和非技術部門人員產生溝通和交流的問題。因此需要將技術型問題上升到管理型的問題,風險數字化,損失數據化。
合規性
BS 7799作為系統的安全管理標準,在國際金融界廣為使用。所謂7分管理、3分技術。管理和技術一直很難整合起來,管理不僅是制度,還需要有一種系統來實現管理的目的。SOC將安全管理需求與安全技術解決方案的整合,將管理和日常技術工作融合在一起。
有效顯示
第一時間發現病毒或者入侵事件源頭和發展趨勢,通過圖形化顯示,直觀了解全網的情況。
SOC能夠把問題顯示出來,能夠量化。每天發現了多少次,解決了多少次,從而了解到網絡安全的真實現狀。
通過監控大屏幕的顯示可以將整個網絡管理的現狀和態勢展示出來,機構領導者可以直觀的在監控中心了解宏觀安全,并指揮各地的安全工作的落實。
例如,交通管理指揮中心人員不需要親自前往各個擁堵的路段,他們只需要通過各種手段采集交通信息作匯總和,統一的指揮調度。安全管理工作也同樣需要這樣的機制進行全局的管控。
有效提煉,實施預警
SOC系統可以從海量的安全事件報警中得出有價值的信息,及時采取報警措施。
有效投資
安全風險是無限的,而安全投資是有限的。應該利用有限的安全投資解決無限的安全風險(安全投資ROI=減少的安全損失/安全投入)。
與安全域劃分相結合
安全域的劃分和賦值是金融行業網絡安全建設的重要環節。啟明星辰的泰合SOC解決方案的另一大特點,也是安全建設非常有價值的功能之一,是可以部署基于安全域的SOC平臺,從而實現多層次可定制的安全域管理,基于域的細粒度風險計算和監控能力,并且以安全域的思想進行風險管理。
安全域作為安全建設的核心,需要長期的管理,SOC是安全域管理監控的有效工具。使用資源管理中的安全域管理的核心功能,可以使安全建設從單純的信息安全工作向業務保障轉換,同時將宏觀的信息安全建設向下落實。
中國的信息安全起步和發展都處于世界前列,特別是在金融領域,2000年以來信息安全的技術和管理層面都已經作了大量的工作。但是行業科技人員和管理者還需要繼續腳踏實地的落實信息安全管理工作,從而切實地為我們的金融客戶提供高可靠、高質量的服務,使金融機構穩步健康地發展。
雙認證護航遠程安全
滿 欣
由于RSA SecurlD認證器上每隔60秒轉換一次6位數的無窮盡無重復口令多么高明的黑客都無法在如此短的時間內猜測出如此復雜的口令。
中國大地財產保險股份有限公司(簡稱大地財險)由包括中國再保險(集團)公司在內的10家境內外投資人共同發起設立,總部設在上海,目前全國有15家分公司。
為了建設一個高起點和高標準的信息化系統,大地財險與IBM公司合作,引進國際先進的保險理念和信息技術,初步建立起公司的信息技術基礎平臺。
基于VPN的種種優勢以及最大化保險人的工作效率,大地財險的許多業務資源訪問已經開始通過VPN實現,具備合法身份的工作人員可以利用VPN訪問公司的核心資源。
VPN是把雙刃劍?
大地財險的運營越來越依賴企業的核心力系統和數據,在通過VPN提高工作效率的同時,也看到了潛在的安全風險。
畢竟,VPN所應用的通信隧道,需要通過公共網絡并且必須向各種各樣的用戶打開自己的“網絡之門”。如果是正確的人存取了正確的信息,就等于你找到了一種功能無與倫比的商務工具。但是,當VPN的遠程存取權落入錯誤的掌握之下時,就無疑是一場大災難。
如何為企業的VPN訪問建立一個更加安全的環境,成為大地財險完善VPN服務的一個關鍵因素。
VPN網絡安全認證主要有以下幾種形式:密碼屬于一種最弱的安全形式,密碼公認的優點在于易于部署應用并且費用非常低廉。但是,密碼非常容易被猜中、被竊取或者受到其他的破壞。
雙因素認證必須提供兩種形式的認證內容。這就象是一部銀行的自動取款機(ATM),用戶既需要知道身份(卡)號碼,還需要擁有認證設備(令牌或者智能卡)。
隨著互聯網交易數量的增長,將數字證書作為一種認證形式變得更加廣泛。數字證書可以幫助識別用戶,因為它要求使用具有唯一性的數字信用證明。
使用智能卡的安全等級最強。這不僅在于使用智能卡得到了雙因素認證保護,而且還因為雙密鑰可以在智能卡上生成并儲存。
生物認證利用的是某個用戶所擁有的唯一生物特征。利用這種技術需要掌握某些生物數據,例如:指紋、視網膜掃描以及聲波紋等等。
最終,大地財險決定采用雙因素認證來保障其VPN網絡的安全登錄。
虛擬專用網絡(VPN)正迅速成為遠程存取應用中最普及的一種方法。通過建立在復雜交織的公共網絡中的一個專用通信隧道,VPN可以使用戶充分利用互聯網的強大功能,不僅大大節省了用戶遠程存取應用的費用,而且還進一步提高了工作效率。
但是,作為個人專用并不一定意味著一個虛擬的個人網絡具備應有的安全性,這是由于VPN經常采用的保護手段僅限于一種門檻偏低的密碼屏障。
大地財險通過對業界知名安全廠商所提供解決方案的對比,最終采用了RSA SecurID和Web Express認證解決方案。
同步令牌雙認證
目前,大地財險僅僅為其符合資格的保險人配備了RSA SecurID令牌。RSA SecurID時間同步令牌提供功能強大的雙因素認證,這種技術要求用戶提供他們知道的口令和他們擁有的硬件令牌。
這些令牌被設計成一種易于操作使用并且便于攜帶的小件產品,用來替代口令這種可以被輕松猜中或破解的安全性能偏弱的認證形式。
雙因素用戶認證系統能夠代替基本的密碼安全機制,有效抵御非法入侵,使寶貴的網絡資源獲得完善的保護,免受意外造成的破壞及惡意入侵。