網絡安全保障應急預案范文
時間:2023-12-14 17:43:41
導語:如何才能寫好一篇網絡安全保障應急預案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
關鍵詞:網絡安全;人力資源;維護;管理;社會保障;應用
隨著計算機信息化的迅猛發展,我國人力資源和社會保障網絡系統已經實現了全覆蓋,范圍非常廣,而且涉及的人數非常多,關系到每一位參保人的切身利益,因此,如果該信息系統遭到網絡黑客的攻擊,一定會造成非常嚴重的后果,所以,健全網絡系統安全至關重要。網絡安全隱患大多集中在操作系統以及數據庫等方面,人力資源與社會保障信息系統最關鍵的就是信息的安全,容易遭到他們惡意的竊取、篡改和破壞。故而,要從多各方面加強對該系統的網絡安全的技術、維護和管理。
1網絡安全相關的技術綜述
1.1防火墻技術
防火墻技術是GilShwed發明并引至互連網當中的,它是在內網與外網中間的一個安全系統。防火墻根據內網用戶的規則允許或是限制網絡數據的傳輸。這一技術從發明至今已經歷4個階段,從開始依靠路由器的防火墻發展到如今有安全操作系統的防火墻。它使得內外網絡的信息溝通都要通過防火墻,且符合一定規則的數據方可通過,而且它本身具備很強的攻擊免疫力,故而這一技術可有效避免黑客的攻擊,確保網絡的安全。
1.2網關檢測技術
防火墻的發明有效阻止了大多數的網絡攻擊,然而伴隨網絡技術的快速發展,新攻擊手段層出不窮,僅靠防火墻已不能很全面的確保網絡的安全。現在有不少攻擊,會把數據偽裝為合法數據流從而越過防火墻,這種情況下網關檢測技術被發明出來。這一技術借助分析輸入及輸出數據去識別異常的數據并實施隔離、刪除等措施。
1.3VPN技術
所謂VPN又可叫做虛擬專用網絡,它可以在公用的網絡上面建立屬于自己的網絡,大多借助密碼技術的網絡設備,這些是虛擬網絡所專用的設備,這項VPN技術能夠為各個用戶建立虛擬的安全網絡通道,使得攻擊者無法竊取到公共傳輸信息,保障在網絡傳輸中數據的安全。
1.4加密和認證技術
前述提到的防火墻、網關檢測和VPN均是被動型的網絡安全技術,而加密和認證技術是通過密碼技術對網絡安全實施的主動型安全措施,包含有數據保密與身份認證等方面的技術。如今伴隨網絡技術的進步,同時考慮人力資源和社會保障信息的特殊性,人員信息一定要確定為個人的身份證方可通過審核,在社會保障卡使用的時候還一定要簽名,部分地區還運用數字簽名技術以確保相關信息的安全。
1.5訪問控制技術
這一控制主要通過人力資源和社會保障數據中心的防火墻去設定,還采用有加密及認證的技術。其將外網內的訪問組全部認定成訪問者,且僅允許有限的訪問社保信息里的SSN區,這主要是對社保信息的查詢,同時拒絕其余所有外來的訪問。而對內網用戶常常設置成user,按照不同的權限等級去訪問與之對應的SSN區,并設定僅administer能夠對數據的訪問不限制。
2人力資源與社會保障系統網絡安全的有效措施
2.1對系統訪問進行有效控制
在網絡接入方面,人力資源與社會保障系統只能在同一部的終端設備上才能將其接入,并要求必須具有一定的訪問權限。同時,對于這些終端必須進行查證和安全檢查,尤其對于不合格的終端要進行及時的修復和升級處理,在認證合格后才能將其接入網絡。另外,對于操作終端的人員要進行身份的驗證和限制其訪問,要想進行訪問,必須具有訪問許可,才能進行訪問。支持賬號、MAC和第三方認證,對訪問終端進行嚴格控制后,有效的保證了訪問的安全性。
2.2對用戶行為進行有效管理
對數據的行為進行有效管理,能夠保證數據的安全。尤其是對于基層接入較為分散的終端來說,更需要采用一些較為有效的安全措施,才能有效防止用戶的非法操作。針對終端分散的特點,采用支持遠程的管理功能,管理員具有遠程控制和監控的權限,為運營管理提供方便。對一些文件類型進行有效操作,將日志進行上傳,以保證數據安全,不被篡改。另外,管理人員要具有統一軟件的能力,靈活處置終端軟件,及時對現有軟件進行升級管理。同時,管理人員能夠將終端文件進行遠程備份,尤其是對核心機密文件能夠進行有效備份,以防止意外損壞的發生。
2.3終端的安全檢查措施
因為基層的終端設備常常遭受病毒、黑客和木馬等的侵犯,安全形勢非常嚴峻,故而就要嚴格對接入終端予以安全檢查,必須檢查合格以后的終端方能夠接進系統。在檢查的時候,重點檢查終端設備中的病毒軟件安裝和更新等有關情況,以防控病毒對基層終端造成的威脅;檢查終端互聯網內的操作系統、瀏覽器和辦公軟件等,以保證其可以及時更新并安裝漏洞補丁,對系統和應用程序可能遭到的木馬與病毒攻擊予以防范,借助補丁的更新有效消除系統的安全隱患;檢查終端的密碼以及賬號,對有保護的終端,應對其屏保的啟動時間予以重點檢查,且對指定范圍里尚未登記的賬戶予以確認,以給閑置賬戶管理提供明顯的便利;檢查終端軟件的信息,目的是有效防范風險,終端一經安裝違規的軟件,就會立刻限制其接進網絡。通過終端安檢,能夠及時排查終端存在的安全隱患,并將其及時消除,以保證基層終端的安全性。
2.4對遠程進行集中管理
基層終端部署相對分散,工作人員在日常處理的時候較為困難,所以,需要對終端管理要加強其安全管控的能力。所以,對于終端管理軟件來說,需要具備防御卸載,能夠強制升級,能夠對所有的終端設備進行安全策略下的下發和調整的功能,為了防止被惡意的破解和攔截,終端設備和服務器端的通信和管理界面的訪問需要支持數據的加密傳輸功能,這樣才能有效避免惡意的攔截和破解。
3有效維護和管理人力資源與社會保障系統
3.1完善系統運行環境,能夠對軟件系統及時進行更新
做好硬件設備設施的運營維護工作,發現故障隱患,能夠及時整改,保證設備的正常運行。另外,對于計算機操作人員來說,要完善上崗培訓以及崗中培訓工作,能夠第一時間處理計算機運行過程中所出現的異常情況。能夠做好軟件維護以及相關備份工作。同時,在設備具體的工作過程中,要建立工作日記制度,能夠對設備所出現的故障和維護情況進行詳細的登記、備案,對機房和操作臺進行有效檢查,保證機器的正常運行,確保人力資源和設備保障系統在系統配置、技術參數以及管理維護、數據庫性能等方面都能夠達到最優狀態。
3.2完善數據庫管理
掌握好ORACLE數據庫的相關結構,安裝數據庫管理系統并及時予以升級,根據要求對數據庫予以啟動、關閉,努力完善管理及對數據庫用戶的監控措施,科學的管理數據庫的特權以及存儲空間,依據有關要求建立、備份及恢復數據庫。
3.3完善網絡管理
不斷強化對網絡的安全管理,完善、健全安全管理的制度,應嚴格遵循安全制度進行有關操作。內部網絡僅能用來處理和工作相關的事宜,嚴禁進行和工作無關的事。為有效保障網絡的安全運行,要強化日常的維護,定期對軟硬件予以檢測、升級及維護,及時對系統予以更新。對特殊機械的運用要有完整記錄,以最大程度保障網絡安全。
4結語
綜上,人力資源和社會保障信息網絡系統作為為公眾提供服務的平臺,更要關注系統的安全管理工作,所以,要做好該系統的安全維護工作,才能夠保障為公眾提供高效、準確、及時、優質的服務。
作者:郭凱 單位:遼寧省錦州市人力資源和社會保障信息中心
參考文獻:
[1]胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.
[2]葉代亮.內網的安全管理[J].計算機安全,2005.
[3]許蘭川.構建辦公信息網絡安全防護體系[J].網絡安全技術與應用,2005.
[4]周銀珍,魯耀斌.區域人力資源管理的系統研究理念[J].經濟地理,2008.
篇2
按照文件要求,市委網信辦對照工作職責,認真排查梳理了我市網絡安全風險點,逐項建立完善工作機制,現匯報如下:
1.網絡安全風險研判工作:制定了《網絡安全事件應急預案》,明確了由于人為原因、軟硬件缺陷或故障、自然災害等對網絡和信息系統或其數據造成危害引發負面影響的事件的分析和處理。
2.網絡安全風險決策評估機制:成立了網絡安全和信息化領導小組,對全市網絡安全工作統籌指揮。制定了《網絡安全和信息化委員會工作規則》,明確網絡安全工作職責和工作制度。
3.網絡安全風險防控協同機制:組建了網絡安全專家小組,努力應對新形勢下網絡安全錯綜復雜的局面,提高網絡安全保障水平。實施網絡安全事件應急處置聯席會制度,對全市網絡安全事件的進行預防和應急處理。
4. 網絡安全風險防控責任機制:下發了《貫徹落實<黨委(黨組)網絡安全工作責任制實施辦法>責任分工方案》,明確責任主體和責任分工,提高網絡風險防范防控意識和能力。
篇3
規范網絡秩序,營造良好輿論環境
規范網絡秩序,營造良好輿論環境,是治國理政、定國安邦的大事。指出:“網絡空間是億萬民眾共同的精神家園。網絡空間天朗氣清、生態良好,符合人民利益。網絡空間烏煙瘴氣、生態惡化,不符合人民利益。”的講話,指出了當前網絡空間存在的問題和亟待改善的現象,蘊含著對廣大網民的期待。網絡不是法外之地,同樣需要建立良好的秩序。我們要一手抓正能量傳播,一手抓網絡生態治理,大力培育積極健康、向上向善的網絡空間文化,為廣大網民特別是青少年朋友營造一個風清氣正的網絡生態環境。
建設網絡城市,讓人民群眾有更多獲得感
近年來,國家對互聯網的重視程度前所未有,“互聯網+”、中國制造2025、創新創業、大數據等系列重大政策密集出臺。全面落實國家戰略,促進互聯網向更高目標、更深層次發展,是我們共同的使命和任務。我們要全面落實“寬帶中國”戰略,大力實施“提速降費”行動,創建“全光網”城市,實現全市所有區縣光纖網絡全覆蓋,不斷提升100M光纖接入能力覆蓋城市家庭比例,提升4G網絡服務能力,率先引入5G網絡部署,推進IPv6在LTE網絡中的部署應用。推動區域通信網絡資費改革,鼓勵民營企業參與寬帶建設運營,促進良性競爭,提升寬帶性價比,加強電信資費公示和監測,進一步完善流量跨月不清零、流量轉增等服務,讓用戶享受更多優惠,讓人民群眾有更多獲得感。
堅持多措并舉,強化網絡安全體系化建設
篇4
本報訊 7月4日,2013年中國計算機網絡安全年會在內蒙古呼和浩特市召開,工業和信息化部總工程師張峰出席會議并致辭。
張峰指出,我國互聯網持續快速發展,融入到經濟社會的方方面面,成為推動國民經濟和社會發展、改變人民群眾生活方式的關鍵行業和重要領域,同時我國網絡安全的現狀不容樂觀。一是在公共互聯網環境方面,黑客攻擊的趨利性特征日益明顯,不法分子以通信網絡、信息系統以及用戶信息和財產為目標,利用黑客技術發起網絡攻擊牟取非法利益,逐步形成組織嚴密、分工明確的互聯網地下產業。二是移動互聯網、物聯網、云計算、微博客等新技術新業務不斷涌現,在帶來新的經濟增長點的同時,也帶來更加復雜的網絡安全問題。三是隨著信息技術在鐵路、銀行、電力等重要行業的廣泛應用,以及核設施、航空航天、先進制造等重要領域工業化與信息化深度融合,這些行業或領域的系統數據和運行安全也面臨著嚴重威脅。
張峰簡要回顧了近年來工業和信息化部在維護網絡安全方面開展的工作,并對信息通信行業進一步做好網絡安全工作提出五點要求。一是加強網絡安全工作聯動,深化跨部門跨行業協調配合,完善部門之間、政企之間的聯動機制,真正建立起運轉靈活、反應迅速的工作機制和流程。二是要求基礎電信企業和廣大互聯網企業認真開展安全評測和風險評估,不斷完善網絡安全應急預案,加強應急演練,加強對移動互聯網應用商店、增值電信業務經營者的網絡安全管理,繼續開展針對各類安全威脅的清理和處置,凈化公共互聯網網絡環境。三是加大科研投入,提高應對網絡安全新風險的能力,加大對網絡安全防御體系的研究,形成網絡空間威脅監測、全局感知、預警防護、應急處置、協同聯動等核心能力,提升國家網絡空間安全保障的技術能力。四是加強網絡安全國際交流與合作,增進與其他國家間維護網絡安全的戰略互信,擴大網絡安全領域的互利合作,拓展互聯網治理的交流協作機制,建立政府、研究機構、行業組織以及企業之間多層次、多渠道的交流機制,共同維護全球網絡空間安全。五是希望相關企業、安全廠商和社會組織等共同努力,加強網絡安全宣傳教育,促進全社會網絡安全防范意識與知識水平提高。(周壽英)
篇5
關鍵詞:證券行業信息安全網絡安全體系
近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3IT治理方面
整個證券業處于高度信息化的背景下,IT治理已直接影響到行業各公司實現戰略目標的可能性,良好的IT治理有助于增強公司靈活性和創新能力,規避IT風險。通過建立IT治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題,自我評估IT管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lT治理理念引入到我國證券行業,當前我國證券業企業的IT治理存在的問題:一是IT資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數指標;是lT治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5IT人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業IT隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有IT人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任,IT隊伍建設是行業信息安全IT作的根本保障。但是,IT人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業IT治理工作
2.2.1提高IT治理意識
中國證券業協會要進一步加強IT治理理念的教育宣傳工作,特別是對會員單位高層領導的IT治理培訓,將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識,提高他們IT治理的積極性。
2.2.2通過設立IT治理試點形成以點帶面的示范效應
根據IT治理模型的不同特點,建議證券公司在決策層使用CISR模型,通過成立lT治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以COBIT模型、ITFL模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lT試點單位,進行IT治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施IT治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
證券行業要采取切實可行的措施,建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來,加強lT人員的崗位技能培訓和業務培訓,注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念,行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系,對信息技術人員進行科學有效的考評,提升行業人才資源的優化配置和使用效率,促進技術人才結構的涮整和完善。
篇6
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管;②對信息系統中使用的信息安全產品實行按等級管理;③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據信息系統安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統一建設的應用系統進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》,加強桌面安全、網絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統的等級測評和安全建設整改工作,進一步提高信息系統的安全防御能力,提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后,聘請專業測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統持續安全穩定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網絡安全、容災等相關技術相互結合,建立統一的安全監控平臺和安全運行中心,實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍;采用集中管理、分級維護的管理模式,網絡與安全運維人員采用授權方式,持證上崗,建立網絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區公司的網絡安全風險評估工作。
(3)建立重要信息系統應急處置預案,完善災難恢復機制。2008 年,中國石油了《網絡與信息安全突發事件專項應急預案》,所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統,保障業務系統在遭遇突發事件時,能快速反應并恢復業務系統可用性。通過災難恢復項目研究,形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統災難恢復等級,完善了災難恢復機制。
(4)規劃信息安全運行中心,建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合,實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合,實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制,形成中國石油統一的應急指揮與協調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面,重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件,20余個重要行業出臺了40余份行業等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規劃;14個行業重要信息系統底數不清、安全保護狀況不明;12個行業未組織全行業信息安全專門業務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統規劃過程中,沒有認真制定安全策略和安全體系規劃,導致安全策略不得當;22%的信息系統網絡結構劃分不合理,核心業務區域部署位置不當,業務應用不合理,容易導致黑客入侵攻擊,造成網絡癱瘓,數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統安全加固和整改經費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面,有34.9%的信息系統沒有保護主機審計記錄,34.8%的信息系統沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統沒有采取監測重要服務器入侵行為的技術措施,容易使內部網絡感染病毒,對攻擊行為無法進行有效監測和處置。
(3)我國信息技術與國外存在一定差距,安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高,依賴國外產品的情況還比較普遍;國內信息安全專業化服務力量薄弱,安全服務能力不強,部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商,給重要信息系統安全留下了隱患。
為了有效提高我國企業信息安全水平,增加等級保護的可行性及執行力,建議:①各企業開展以信息安全等級保護為核心的安全防范工作,提高網絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產品化,重視產品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全,2012(1).
篇7
【關鍵詞】CA證書認證 體系設計 非功能性技術設計 內外網統一安全接入――P2P VSN虛擬安全域 社會工程學入侵
目前大部分市區級政務信息網絡主要著承載政務辦公數據流系統、對公眾提供業務辦理等系統以及基本的互聯網訪問權限。隨著政務信息業務系統業務邏輯日趨復雜,體量日益龐大,在政務信息系統的風險控制,安全運維成本,科學管理,方面將迎來一個全新的戰場。
當前政務信息系統有或部分有以下問題:
區縣的相關管理、運維人員能力匱乏,網絡安全知識相對較落后,對全局政務網的硬件服務器、存儲、數據庫軟件、應用服務器中間件、相關政務信息業務系統并沒有做到了如指掌不能完全駕馭全局運維與安全保障。在出現故障時無法從業務角度快度鎖定故障起源點,無法對故障進行深度解析并提供完整解決方案并實施。
區縣政務信息系統是沒有統一的認證授權并各自為政,無法做到訪問控制,沒有USB-KEY,CA證書認證等技術融入,病毒非常容相互間在各個系統中傳遞感染,重要數據岌岌可危;區縣政務網基本沒有全網的日志審計和客戶機上網行為管理的,各種繁雜的應用安全系統設備產生的安全事件以及網絡安全行為監控各自獨立,冗余度過高,沒有科學的審計,有效的整合,出現問題業務系統管理員根本無法防御爆炸式連鎖攻擊,安全風險系數極高。外網辦公接入設備直接接入業務網,沒有對過程數據流進行監察審計,業務數據在網絡中的傳輸缺乏近乎透明傳遞,安全隱患非常嚴重。
政務信息網絡發生故障或者爆發大規模病毒攻擊時,無法精準鎖定攻擊源頭,從根源控制攻擊,整個處理過程也缺少科學的提高故障解決手段,缺少應急預案,缺少專家應急小組。
這些問題必須且毋庸置疑的解決和改善,應采用以下技術和策略:CA證書認證體系設計,非功能性技術設計,內外網統一安全接入――P2P VSN虛擬安全域,USB-KEY,動態短信密碼,一次性口令等方式,堵著社會工程學入侵缺口。
1 政務信息系統及網絡安全運維的實踐
實現終端內外網統一接入:整合梳理辦公內網和Internet網絡的用戶認證、訪問授權、資源權限等問題,徹底不留隱患的有效的解決辦公內網的安全接入和Internet網絡安全接入,徹底清除未授權終端非法用戶對政務信息系統的存在威脅,確保了政務業務系統的數據在政務網絡中安全數據流傳輸的可靠性。
完整的用戶行為和關鍵政務信息系統數據流日志審計,記錄并保留一個月以上的用戶上網行為是非常有必要的,在龐大的用戶痕跡日志信息中進行初步數據挖掘,能發現潛在的安全隱患,防患于未然,將安全隱患控制牢牢控制,并扼殺。若已發生安全事故,可迅速定位事故爆發點,妥善快速解決問題,如事故造成嚴重的財產損失,可提交公安機關進行取證。
定期由專業安全運維第三方服務公司提供專家級業務報告,為下一步網絡優化提供建議,保障網絡持續、健康發展、安全:對整個被監控網絡能夠提供全面安全健康狀態檢測報告。報告內容包含客戶機非安全訪問記錄、并發數異常記錄、帶寬控制效果、攻擊發生統計等等。
2 政務信息系統及網絡安全運維建設
2.1 政務信息系統建設內容應涵蓋以下方面
建立覆蓋區縣政務信息系統所涉及的硬件服務器設備、存儲設備、核心網絡鏈路拓撲、政務業務系統結構、數據庫并發數據鏈路流和中間件異常并況的綜合管理安全運維平臺,包括集中授權管理中心、面向業務的精確帶寬流量控制系統和業務服務中心,系統應具備完整業務功能和良好伸縮性。
實現集中授權管理中心,建立集中安全管控平臺:構建全網集中的用戶賬號管理、認證管理、授權管理、日志審計,為內外網用戶提供統一的接入服務,加強內控管理,并且為精確帶寬流量控制系統和業務服務管理中心提供管理控制依據。
面向業務的帶寬流量控制系統:構建業務網絡分析、凈化、控制系統,進行全面的流量監視、凈化和控制,有效提高鏈路的帶寬利用率,保障重點業務的網絡質量。
2.2 CA證書認證體系設計
為切實做好政務信息系統安全認證工作,提高各個區縣網絡安全保障水平和對應用系統的防護能力,建立CA證書認證體系。
遵循“建設政務信息系統統一的身份認證體系,為構建政務網絡信任體系奠定基礎,提高應用系統安全保障和防護能力”的目標,保證數據的完整性和保密性,確保用戶來源和行為的真實性和不可否認性。
2.3 內外網統一安全接入――P2P VSN虛擬安全工作域
建立P2P構成的虛擬安全域,確保政務信息業務應用環境的安全性。
通過集中安全管控平臺,用戶終端無論在企業網內或是在互聯網中,只需要能夠在網絡層與安全網關之間可達、通過身份認證后即可建立P2P VSN虛擬安全工作域,借由端到端的加密隧道與授權業務系統進行通信。
2.4 防止社會工程學入侵滲透
在以上的技術應用可以阻止90%以上的黑客攻擊,但是有關信息系統及其網絡安全的問題是矛與盾永無休止的話題,事實上,沒有任何技術能防范社會工程學攻擊。這就是安全方面做薄弱的環節:人!
政務信息所有工作人員都應該進行定期前言安全知識培訓。
政務信息系統所有業務干系人都應懂得基本的安全策略,策略是指導業務人員行為保護政務信息系統與敏感信息所必須的規則。
參考文獻
[1]張麗麗.新常態下推進“互聯網+政務服務”建設研究――以浙江省政務服務網為例[J].浙江學刊,2016(05).
[2]馮巧玲.IPS在電子政務系統中的部署與實現[J].西安文理學院學報(自然科學版), 2015(02).
[3]劉邦凡,關夢穎.電子政務的信息安全立法[J].電子商務,2014(01).
篇8
關鍵詞:軟交換;網絡安全;安全區
中圖分類號:F626.3 文獻標識碼:A
軟交換網絡一個很大的優勢就是具有開放性的平臺和接口,這樣可以方便的進行業務擴展,這樣各種第三方的業務以及網絡都可以方便的和電信網絡實現無縫連接。這就導致電信網絡的規模以及業務類型十分的反正,傳統互聯網所面臨的病毒、黑客等危險也隨之蔓延到電信網絡上,從而給運營商的服務造成巨大的威脅。因此,對于軟交換來說,能否做好安全保障工作是一個非常重要的環節。隨著軟交換技術的使用以及推廣,這就導致軟交換面臨著傳統的網絡安全問題。同時,軟交換網絡和傳統網絡相比還有自身的一些特點,因此其安全問題也具有自身的一些特點。在進行軟交換安全防護的過程當中一般都是從軟交換設備本身以及網絡這兩個大的方面為切入點來進行的。首先應該確保軟交換的相關設備自身在設置上的安全,并且做好相應的硬件和軟件防護工作,從而使軟交換設備自身具有一定的安全防護能力。而對于網絡的安全,則是對于軟交換的承載網絡安全采取相應的措施,建立健全完善的保護機制,防止通過網絡對軟交換設備造成的攻擊。
在軟交換網絡建設過程當中一定要同時抓好軟交換設備安全以及網絡安全,兩者相輔相成,缺一不可。運營商首先要在思想上引起足夠的重視,做好相應的軟交換安全保障工作。
1軟交換面臨的主要安全隱患
軟交換所面臨的安全問題十分多樣,種類層出不窮,但是大體可以分為以下幾個方面:第一,網絡安全,主要是軟交換網絡自身的安全;第二,終端安全,終端主要是指用戶側的終端設備。當前對于用戶終端的病毒以及攻擊十分常見,由于軟交換網絡無法對其進行有效的防范,因此往往利用終端對網絡發起攻擊,進而對軟交換的設備產生影響;第三,設備安全,主要是指各種軟交換的承載設備自身的安全,這種安全隱患大多都是由于設備運行不規范或者是外部對其進行攻擊。
2軟交換安全服務措施
由于軟交換所面臨的安全隱患十分繁多,因此必須做好相應的防范工作,為用戶提供安全的服務,可以通過以下幾個方面的措施來實現。
2.1保密性。應該采取相應的手段對軟交換網絡中傳遞的數據進行相應的加密,從而防止沒有經過授權的用戶非法截留數據。這樣講數據以加密的形式傳遞,即使數據被截留,那么也沒法進行解讀。除此之外,應該做好相應的數據傳輸端口的防護工作,防止非法對相應的端口進行監聽,保護數據的安全性。
2.2認證。建立嚴密的身份認證程序,防止用戶合法身份被盜用,而對資源進行竊取。對于數據傳輸之前雙方的身份以及數據來源進行認證,從而保證通信雙方都具有相應的合法身份和對應的權限。將業務和實體身份進行捆綁,防止身份被盜用或者是偽裝欺騙。
2.3完整性。為了防止未經授權的用戶對數據繼續非法修改,可以利用VPN技術進行通信。為了防止數據受到損壞,可以積極采用數字簽名以及其它的完整性檢測技術地數據完整性進行檢測。
2.4 訪問控制。通過完善的授權機制對于網絡中的關鍵部分提供保護,對于相應的訪問者進行等級劃分,具備相應的等級才能夠訪問相應的資源,防止對于沒有權限的資源進行使用。建立完善的數據庫,用于存儲安全認證信息,用戶進行認證時需要將信息進行嚴格的比對。對于認證信息數據庫也應該設立較高的等級,防止數據庫被非法篡改。
2.5安全協議。目前應用較多的是IPSEC,SSL/TLS。至于MPLS, 嚴格地說它并不是一種安全協議, 其主要用途是兼容和并存目前各種IP路由和ATM交換技術, 提供一種更加具有彈性和擴充性的、效率更高的交換路由技術, 它對網絡安全貢獻應主要在于流量方面。
3軟交換安全方案
軟交換網絡安全的實現, 有多種方案可供選擇,下面介紹的IPSEC(ESP遂道模式)+SSL/TLS+認證服務器/策略服務器+FW/NAT是一種可運營解決方案。IPSec 體系提供標準的、安全的、普遍的機制。可以保護主機之間、網關之間和主機與網關之間的數據包安全。由于涉及的算法為標準算法,可以保證互通性,并且可以提供嵌套安全服務。另外對IPV6 而言它是一個強制標準,是今后發展的一個趨勢。
IPSec協議主要由AH (認證頭)協議, ESP(封裝安全載荷)協議和負責密鑰管理的IKE(因特網密鑰交換) 協議三個協議組成。認證頭(AH)協議對在媒體網關/終端設備和軟交換設備之間傳送的消息提供數據源認證,無連接完整性保護和防重放攻擊保護。ESP協議除了提供數據完整性校驗、身份認證和防重放保護外, 同時提供加密。ESP 的加密和認證是可選的, 要求支持這兩種算法中的至少一種算法, 但不能同時置為空。根據要求, ESP 協議必須支持下列算法: 第一,使用CBC 模式的DES算法。第二,使用MD5的HMAC算法。第三,使用SHA-1的HMAC算法。第四,空認證算法。第五,空加密算法。數據完整性可以通過校驗碼(MD5) 來保證;數據身份認證通過在待認證數據中加入一個共享密鑰來實現;報頭中的序列號可以防止重放攻擊。IKE協議主要在通信雙方建立連接時規定使用的IPSec協議類型、加密算法、加密和認證密鑰等屬性,并負責維護。IKE采用自動模式進行管理, IKE的實現可支持協商虛擬專業網(VPN),也可從用于在事先并不知道的遠程訪問接入方式。
認證系統和策略系統對商用軟交換系統而言是必不可少的。它們在管理層面上實施訪問控制、信息驗證、信息保密性等措施,可以為網絡提供安全保證。同時, 認證服務可以提計費的準確性,保證網絡的商業運營。
防火墻/NAT 是保證網絡安全必不可少的一部分。防火墻種類繁多,它在較交換中的竅越問題可以通過兩種方法實現:一是使用TCP;二是用短于關閉墻口時長為周期,不斷發送消息,維持端口開啟
4結束語
基于軟交換的NGN 網絡所存在的安全問題一直以來受到大家的關注。而作為數據網絡上的一種新興的應用,以IP作為承載媒體的軟交換所面臨的一些安全隱患, 實際是目前IP 網絡上存在的若干問題的延續。只有很好地解決了網絡的安全問題,同時配合產品本身的一些安全認證機制,軟交換才能夠在新的電信網中持久穩定的發揮作用,并成為解決話音、數據、視頻多媒體通信需求的有效解決方法, 并最終完成“三網合一”。
網絡安全工作是一個以管理為主的系統工程, 靠的是“三分技術,七分管理”, 因此必須制定一系列的安全管理制度、安全評估和風險處置手段、應急預案等, 這些措施應覆蓋網絡安全的各個方面,達到能夠解決的安全問題及時解決,可以減輕的安全問題進行加固,不能解決的問題編制應急預案減少安全威脅。與此同時,需要強有力的管理來保障這些制度和手段落到實處。
參考文獻:
[1] 徐鵬,廖建新,吳乃星,馬旭濤.基于軟交換的集群媒體服務器的安全問題及其解決方案[J].計算機應用研究,2006(6).
篇9
關鍵詞:信息科技;風險;防范與控制
中圖分類號:F832.35
信息科技在農村金融機構中發揮的作用也越來越大,各項業務對科技支撐的依賴程度越來越高,信息科技逐漸成為農村金融機構穩健運營和發展的支柱。但也應該看到,隨著對信息科技投入的不斷增加,信息系統規模的不斷擴大,信息科技風險的難測性和隱蔽性帶來的風險也越來越突出,信息科技風險潛存的威脅越來越嚴重。目前,農村金融機構信息科技風險管理水平仍處于初級階段,如何有效管理信息化過程中產生的信息科技風險,使現代化的信息科技更好地服務于業務發展,已經成為農村金融機構必須面對的挑戰。
1 農村金融機構信息科技所面臨的風險
農村金融機構信息科技風險是指,信息科技在被農村金融機構運用過程中,由于技術漏洞、管理缺陷、人為因素、自然因素等原因而造成的問題或危機。我國農村金融機構信息科技管理手段相對落后,管理機構對信息科技的風險認識不足,對科技風險管理工作不夠重視,信息管理水平較低,發生風險事故的概率高,且一旦發生危機,難以拿出強有力的應急處置措施。具體來說,在以下幾方面體現尤其明顯:
1.1 對信息科技管理認識不足
目前我國農村金融機構管理層普遍對信息科技風險認識不足,主要體現在兩方面。一是存在如下普遍問題:重信息科技建設,輕信息科技管理;重提升信息科技建設的檔次,輕信息科技風險的防范;重銀行業務的發展,輕風險管理和長期規劃。這與他們對信息科技管理知識的缺乏有關。二是從業人員方面。信息科技管理需要農村金融機構內所有人員的參與,上至領導層,下至普通員工,乃至一線操作人員,目前都沒有形成人人有責的風險防范意識,對信息安全的重要性認識不足。
1.2 缺乏必要的應急機制保障
盡管農村金融機構都會制定系統應急預案,但往往忽略配套的應急培訓,缺乏有效的應急演練和壓力測試,一旦緊急事故發生,對問題的及時完滿處理就得不到保障。有些農村金融機構制定的系統應急預案存在著涵蓋面過于籠統,在針對性和可操縱性方面存在著不足,這又直接關系著問題的處理效果。更多的農村金融機構在業務連續性方面缺乏有效的技術支持,只局限在網絡及數據的備份層次,沒有災備,再者管理組織不夠完善,一旦發生重大風險,就難以完成應急的有效性。這些情況都嚴重影響著應急執行效果,對風險的有效排除和危機的處理難以保障。
1.3 缺乏健全的組織機構及崗位設置
我國農村金融機構對科技部門重視不足,普遍存在科技部門人員配備不足的現象。一個科技人員往往身兼數職,在重要崗位經常發生AB崗位制度難以落實的情況。雖然有風險管理部門的設置,但該部門一般只發揮管控資產、負債類業務風險的作用,不涉及信息科技風險職能。農村金融機構應該高度重視科技風險管理工作,設置更健全的組織機構和崗位,不能讓科技部門既是信息系統的建設者和維護者,又是信息科技風險的管理者,因為這樣會在形成有效的制衡機制、有效識別并量化可能存在的信息科技風險方面存在著不足。
1.4 科技從業人員素質相對偏低
目前我國農村金融機構科技部門普遍存在著從業人員專業素質偏低的現象。現有的從業人員工作重點主要體現在日常基礎性設備和網絡工作的維護,更多掌握的是系統設備維護、機房管理等常規性工作,忽視了專業化的信息科技風險培訓,因而對信息科技風險管理知識和相關專業知識相對缺乏,對信息科技管理、規避科技風險等管理性工作涉及較少,很難有效及時認識到各項系統存在的漏洞,更別提全面隱患的排查和消除。
1.5 基礎設施安全建設存在隱患
基礎設施安全的隱患主要體現在兩方面:一是機房管理不善;二是網絡運行安全性不高。我國農村金融機構的機房普遍存在著防火、防水、供電等不達標的現象,沒有設置相應的防雷系統,門禁系統缺失、監控盲區的存在等等,這都是機房管理安全急需解決的問題。在網絡運行方面,由于數據的大集中,對農村基層網絡的穩定性和通暢性都提出了更高要求。現實情況是,農村金融機構存在未按監管要求配置主備通訊線路現象,這樣導致基層網點出現不能正常辦理業務的可能性增大,造成不良的影響。
1.6 電子銀行風險管理不到位
信息科技的出現為農村金融機構各項業務的豐富和高效提供了方便,促進了我國農村金融機構信息科技建設的飛速發展。隨著信息科技在各個業務領域的不斷深入,農村金融機構的業務呈現飛速增長趨勢,尤其是信息科技的優勢體現――電子銀行的應用。在這樣的環境下,多數農村金融機構的管理重心都放在了傳統業務發展方面,疏于電子銀行風險的管理。雖然制定了電子銀行相關的各項管理制度,但在具體的執行上,仍然存在著嚴重的不到位情況,加上人員配置的不夠,最終直接導致電子銀行風險管理缺失。因此,目前我國農村金融機構中的電子銀行風險處于多發、高發期。
2 農村金融機構信息科技風險防控策略
2.1 增強風險防范意識,加大風險管理投入
信息科技工作對農村金融機構經營起著重要基礎和保障作用,必須充分認識信息科技風險防范在金融機構監管中的重要性。農村金融機構高層管理者必須提高信息科技風險防范的思想認識,對信息科技風險的管理加深了解,加強信息科技風險監管工作的管理工作,最終將信息科技風險管理工作納入日常經營中去。同時,要加強信息科技安全建設方面的投入,及時消除信息科技系統所面臨的各種風險和隱患,保障農村金融機構的穩步和連續性運行。
2.2 完善應急預案,加強應急演練
農村金融機構要細化危機場景,完善應急預案,定期對信息科技人員開展應急管理培訓,根據自身實際情況不斷完善應急預案的內容,做到“責任明確、流程明確、預案明確、報告明確、聯絡明確”,并確保預案的具體性和可操作性,從業人員在不斷進行應急預案演練的過程中,不斷提高自身的應急能力、抗風險的能力和處理突發事件的能力。另外,為了確保信息系統業務的連續性,農村金融機構還要加強業務連續性管理,根據自身真實狀況加強業務連續性體系建設,制定切實可行的業務連續性計劃,并定期不定期開展業務連續性應急演練。
2.3 增強從業人員專業素質,加強崗位管理
針對高素質專業從業人員不足和崗位配置不足的問題,一是加大農村金融機構的人員投入,引入高素質的信息科技人員,同時加大從業人員的培訓力度,培養一批專門從事信息科技風險管理工作的專業人才。其次是增加管理、運行、維護等崗位人員的配置,關鍵崗位設置有效的AB崗位,滿足崗位需求。最后,根據《商業銀行信息科技風險管理指引》要求,完善相關信息科技風險管理管理制度,加強信息科技風險審計,最終形成人員控制、制度保障、審計監督三位一體的信息科技風險管理模式。
2.4 加強基礎設施建設,提升基礎設施安全水平
重點加強機房電力、UPS、消防系統等關鍵機房環境設備安全的保障,針對基礎設施不完善的情況,農村金融機構要采取有效措施改善,保障業務系統工作的連續性。同時完善機房管理制度,實時監控各種設備的運行狀況,做到對設備故障的有效預測和報警。還要組織專業人員定期對基礎設施進行風險排查,檢驗基礎設施相關的安全、流程和管理措施漏洞,確保基礎設施安全管理有效性
2.5 加強電子銀行風險防范
農村金融機構要采取必要手段防范犯罪分子利用銀行卡、網上銀行、ATM、POS等金融機具實施的不法活動。一方面,可通過提高網絡安全、網上銀行身份認證等級、合理制定POS、ATM和網上銀行的交易限額等技術手段加強防范,另一方面可借助通過公眾金融服務教育和柜面宣傳增強風險防范合力,加強審查力度,強化電子銀行業務風險防范。
2.6 加強風險管理文化建設,提高員工風險意識
風險管理文化是風險管理體系的靈魂,要樹立信息科技風險管理文化意識,大力塑造與培育濃厚的信息科技風險管理文化,同時將信息科技風險管理文化建設很好地融入到企業文化建設中,并將信息科技風險管理文化轉化為廣大員工自覺的行動與共同的認知。加強員工信息安全教育及法律素質教育,增強法律觀念和信息科技風險防范意識,人人正確樹立信息科技風險意識,人人提高信息科技風險知識水平。
參考文獻:
[1]中國銀行業監督管理委員會.農村中小金融機構風險管理機制建設指引,2009-12-1.
[2]中國銀行業監督管理委員會.商業銀行信息科技風險管理指引,2009-3-3.
篇10
關鍵詞 電子政務 信息安全體系 安全支撐體系
中圖分類號:TP393 文獻標識碼:A
新時期的經濟、文化、生態文明建設等都離不開電子政務的支撐。在對電子政務系統進行建設中,由于其自身發展的不完善,以及各種有意無意的電子政務違法犯罪行為,利益集團在電子政務上的利益博弈,進而使得電子政務安全問題頻頻發生。
1電子政務系統安全介紹
1.1電子政務系統的信息安全及其重要性
由于電子政務系統建立在互聯網基礎平臺上,包含政務外網、內網和門戶網。而互聯網是有很多缺陷的全球網絡,自身的安全風險隱患很多,使在互聯網上開展的電子政務應用面臨著嚴峻的挑戰。
電子政務系統的信息安全是指一個國家的政府信息資源不受外來的侵害與威脅,信息資源不被故意的或偶然的非法授權泄漏、更改,防止信息被非法入侵者辨識、竊取、控制、利用等。信息安全成為如今政府信息化中的關鍵問題。安全問題是電子政務建設中的重中之重。信息安全包括:存儲傳輸、系統風險管理、審計跟蹤、備份與恢復、應急響應等方面的安全內容。
電子政務直接涉及到各級政府的重要核心政務,必須要求電子政務實施的過程具有極高的可靠性和安全性。電子政務系統中的信息安全還涉及到了公眾權益、個人信息保密,甚至國家利益、社會穩定和國家安全等重要的問題。
1.2電子政務系統的信息安全意義
信息安全主要是采取各種措施,保證信息的機密性、完整性、一致性和不可否認性等。信息安全技術廣泛應用于電子政務,規范了政務處理的流程,加快了信息流動,提高了政務處理效率,給政務工作方式帶來了全新的變化。
當今,我國電子政務中信息安全技術主要有:數據加密技術、認證技術與數字簽名、信息安全分級等級保護方法、入侵檢測安全技術、政務系統安全域劃分技術、虛擬專網技術、防火墻技術。
2電子政務系統結構模型及其系統安全體系的分析
2.1電子政務系統結構模型
我國電子政務系統結構從“三網一庫”到政務內外網結構,使得數據信息能夠實時快速的進行交換處理,地方政府尤其是基層政府對群眾的服務需求的反應更加迅速。內外網結構模型,如圖1所示。
2.2電子政務系統安全體系的分析設計
保障電子政務系統安全各組成部分構成電子政務系統安全體系。它包括電子政務安全支撐部分與電子政務安全法律法規部分,而電子政務安全支撐部分又由安全基礎設備與設施、信息安全技術、安全管理、安全應急響應系統組成。
要建立全方位、多層次的、完善的電子政務系統安全體系,需要從這電子政務安全支撐部分的四個部分與電子政務安全法律法規部分這些方面來設計構造電子政務系統安全體系的框架模型。
3電子政務安全支撐結構構建
3.1電子政務系統安全的隱患介紹
電子政務系統安全性被破壞,造成機密的信息暴露或丟失,或網絡被攻擊導致系統功能毀壞等安全事件,帶來的后果必然極為嚴重,不堪設想,電子政務信息系統也必然成為信息間諜、黑客等各類違法犯罪分子攻擊的目標。電子政務系統安全主要包括以下方面的隱患:物理安全、系統安全、網絡安全、應用安全及管理安全。
3.2電子政務安全支撐構建分析
根據電子政務系統安全隱患,電子政務安全支撐部分主要由以下部分組成:安全基礎設備與設施;信息安全技術;安全管理;安全應急響應系統。
(1)電子政務建設的安全基礎設備與設施
電子政務系統安全基礎設備與設施是指能夠為電子政務系統提供安全保障的物理硬件環境、設施設備和軟件環境。它的具體內容主要包括以下方面:
①保護電子政務物理硬件設備、設施以及其它硬件媒體免遭水災、地震、火災等環境事故,人為操作的失誤或錯誤,及各種計算機犯罪行為導致的破壞物理硬件環境、設施設備。
②能夠為電子政務系統中的通信、交易各方提供共同信任的權限授予、握手協議、秘鑰的分發和身份認證的公共第三方安全基礎設施,它包括基于PKI技術的CA認證中心、可信的時間戳服務中心、密碼秘鑰管理中心、基于PMI的授權管理設施、信任策略庫等安全基礎設施。
(2)信息安全技術
電子政務安全技術是指保護電子政務系統正常安全工作的安全方法、原則、規則等。安全技術是由保障電子政務系統安全工作的技術組成的總和,電子政務安全技術主要由信息安全技術構成。信息安全技術廣泛的應用在對電子政務系統起安全防護作用及起基礎安全支撐作用等其他輔助作用的系統中,它負責電子政務系統的網絡安全、局部計算的環境安全、區域邊界安全等方面的保護以及能夠為電子政務系統中的通信、交易各方提供共同信任的權限授予、握手協議、秘鑰的分發和身份認證的基礎安全支撐,它包括應用在防火墻系統、漏洞掃描系統、入侵監測系統、路由器、Web防篡改系統、DNS服務器安全系統、網絡防病毒系統、基于PKI技術的CA認證中心、密碼秘鑰管理中心、基于PMI的授權管理設施等設施或系統中的信息安全技術。
(3)安全管理
保障電子政務系統安全的一個重要核心是安全管理,安全管理是確保安全技術得以有效實施的重要保障。依據電子政務系統的安全需求及系統所出現的問題,安全管理部分應該包括以下內容:安全管理的組織機構的設立、安全管理的規章制度的制定、對安全技術的管理、對系統工作人員的管理與培訓、安全管理技術體系、對安全基礎設備設施的管理、安全策略的制定與管理、對系統安全問題的管理、對從事電子政務系統安全工作的單位與個人的資質證書的認證等、對系統安全性能風險的評估與安全資產價值的評估、對安全管理的組織及其管理工作人員的工作職責的監督審查等。
(4)安全應急響應系統
安全應急預案又稱為安全事件預警與應急響應方案,它是建立起應對安全突發事件的綜合系統,電子政務安全應急響應系統是指通過整體部署入侵檢測、安全性能風險評估、預警與響應等的應用,作為有效的技術支撐手段,建立起以安全工作人員隊伍為基礎、技術服務隊伍為后備,構建組織管理,制定制度規范標準、預案流程等綜合措施,以便盡早分析、發現和確認將要發生或己發生的有嚴重危害的網絡安全和計算機突發事件,并對其進行應急響應,采取有效應對措施,以盡可能降低將要造成的危害和損失的綜合安全系統。
安全應急響應服務指當安全事件發生后,安全運維服務團隊根據安全突發事件及預案快速應急響應。應急響應預案應按照準備、檢測、抑制、根除、恢復、跟蹤等一系列標準措施制定,保證網絡安全無憂,預防危險發生。應急處理和災難恢復。這是電子政務建設近期迫切需要的。
(5)電子政務安全法律法規
國家相關部門最新數據顯示,中國遭受境外網絡攻擊的情況日趨嚴重,僅今年前兩個月,就有境外5324臺主機通過植入后門對中國境內11421個網站實施遠程控制,此外,針對中國網上銀行、支付平臺、網上商城等的釣魚網站有96%位于境外,中國境內遭受網絡攻擊的情況十分嚴重。因此面對如此嚴峻形勢,需要國家相關部門盡快出臺國家信息安全戰略,確保網絡空間有法可依,并加大網絡違法犯罪打擊力度,整合部門、企業、社會組織等構建國家網絡安全綜合防御體系,切實維護網絡安全,尤其是保障電子政務網絡的安全。
4總結
如何保障電子政務安全,做好電子政務安全建設,成為各國政府亟待解決的問題。作為一個龐大的系統工程,電子政務系統安全體系的建設是其中的一個極為重要的復雜的系統工程,信息安全支撐部分是電子政務系統安全體系中的重要組成部分,也是保障電子政務系統安全的極為重要的手段。通過對電子政務系統信息安全支撐系統進行介紹,進而為構建安全電子政務系統提供一定借鑒意義。
參考文獻
[1] 張劍鋒.電子政務安全體系研究[J].數字技術與應用,2013(11).
