網絡安全管理體系建設范文
時間:2023-12-19 18:04:00
導語:如何才能寫好一篇網絡安全管理體系建設,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
關鍵詞:信息安全安全屬性安全建設
我國信息化安全建設任務非常艱巨,主要包括各種業務的社會公網、行業專網、互聯網等信息基礎設施運營、管理和服務的安全自主保障、安全監管、安全應急和打擊信息犯罪為核心的威懾體系的建設,其內容包括網絡系統安全建設、領域和企業的業務信息化安全建設、網絡內容與行為的安全建設和用戶關注的網絡安全建設等方面。這些安全建設對于不同的領域和領導層面關注的內容、對象和程度各不相同。網絡信息安全是一個完整的、系統的概念。它既是一個理論問題,同時又是一個工程實踐問題。由于互聯網的開發性、復雜性和多樣性,使得網絡安全系統需要有一個完整的、嚴謹的體系結構來保證網絡中信息的安全。
1 信息安全的定義及目標
信息的定義,從廣義上講,信息是任何一個事物的運動狀態以及運動狀態形式的變化,它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術安全管理指南》定義:信息是通過在數據上施加某此約定而賦予這此數據的特殊含義。信息是無形的,借助于信息媒體以多種形式存在和傳播,同時。信息也是一種重要資產,具有價值,需要保護。信息安全的目標是信息資產被泄露意味著保密性受到影響,被更改意味著完整性受到影響,被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數據。就本質而言,信息安全所針對的均是“信息”這種資源的“安全”,對信息安全的理解應從信息化背景出發,最終落實在信息的安全屬性上。
2 構建網絡信息化安全的意義
能否有效地保護信息資源,保護信息化進程健康、有序、可持續發展,直接關乎國家安危,關乎民族興亡,是國家、民族的頭等大事。沒有信息安全,就沒有真正意義上的政治安全,就沒有穩固的經濟安全和軍事安全,更沒有完整意義上的國家安全。信息安全是信息技術發展過程之中提出的課題,在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的,它只是服務于信息化的一種手段,其針對的是信息化這種戰略資源的安全,其主旨在于為信息化保駕護航。
3 網絡信息化的安全屬性
信息安全的概念與信息的本質屬性有著必然的聯系,它是信息的本質屬性所體現的安全意義。說安全屬性研究首先要從安全定義講起,安全定義分很多的層次,為什么分層次,我們隨著它的演變來看的,信息安全最初目標,叫數據安全,它關心的是數據自身,所以是一個狹義的數據安全,是保護信息自身的安全。
3.1 保密性(Confidentiality)
在傳統信息環境中,普通人通過郵政系統發信件時,為了個人隱私要裝上信封。可是到了信息化時代,信息在網上傳播時,如果沒有這個“信封”,那么所有的信息都是“明信片”,不再有秘密可言,這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權的用戶、實體或進程,或被其利用的特性。保密性不但包括信息內容的保密,還包括信息狀態的保密。
3.2 完整性(Integrality)
完整性是指信息未經授權不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同,機密性要求信息不被泄露給未授權的人,而完整性則要求信息不致受到各種原因的破壞。
3.3 易用性(Availability)
易用性是信息可被授權實體訪問并按需求使用的特性。在授權用戶或實體需要信息服務時,信息服務應該可以使用,或者是信息系統部分受損或需要降級使用時,仍能為授權用戶提供有效服務。易用性一般用系統正常使用時間和整個工作時間之比來度量。
4 構建網絡信息化安全管理體系
在面向網絡信息的安全系統中,安全管理是應得到高度重視的。這是因為,據相關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%是由火災、水災等自然災害引起的,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員攻擊造成的。簡單歸類,屬于管理方面的原因比重高達70%以上,這正應了人們常說的“三分技術,七分管理”的箋言。因此,解決網絡與信息安全問題,不僅應從技術方面著手,更應加強網絡住所的管理工作。
好的網絡信息化安全管理體現在以下幾個方面:在組織內部建立全面的信息安全管理體系,強調信息安全是一個管理過程,而非技術過程;強調信息保密性、完整性、易用性三者在關鍵流程中運用的平衡;把信息提高到組織資產的高度,強調對組織信息資產進行價值及影響評估,對信息資產的脆弱性及其面臨的威脅進行分析,運用風險評估、風險管理手段管理信息安全,使組織風險降低到可接受的水平;從法律和最好的實踐經驗角度,實施全面的控制措施,使組織信息安全威脅的方方面面置于嚴密控制之下;強調領導在信息安全管理中的作用;強調信息安全方針在管理體系中的作用;強調對信息技術及工具的實時和有效管理;強調組織運作的連續性及業務連續性的管理;強調信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程;信息安全應該是一個以“價值”為基礎的過程,即信息安全管理應是一個有附加價值,并講究投入產出比的過程。
5 關注信息化安全服務的綜合性、高技術性和對策性特點
信息安全產業有其鮮明的特點,雖然產生于信息化和信息系統,依然與通常的IT服務有許多區別。信息化安全的基本特征是服務性的。這種服務性與一般軟件的服務性是不同的。一般應用系統或產品的服務主要是維護和培訓,通常服務是非對策性的、非動態的和比較固定的。信息化安全服務是對策性的、動態性的、不斷產生新內容的和似乎永遠不能成熟等特性。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產品和系統,其服務的綜合性和復雜性是顯而易見的。信息化安全服務是最高技術的服務,無論從設計角度和使用的角度都要求深入、熟練和非常專業。我們可以驕傲地說,信息化安全服務是世界上最偉大的服務業,也是最困難的服務業。信息化安全服務的復雜性、高成本特性要求信息化安全企業必須在安全服務的遠程化和化的推進方面做出不懈努力,不斷降低服務成本。
6 結語
網絡信息安全不僅僅是一個純技術層面的問題,單靠技術因素不足以保證網絡中信息的安全。網絡信息安全還涉及到法律、管理、標準等多方面的問題。因此,信息安全是一個相當復雜的問題,只有協調好這些體系之間的關系,才能有效保證系統的安全。
參考文獻
篇2
(北京中油瑞飛信息技術有限責任公司北京100007)
摘要:通過對大中型跨國企業海外信息安全體系的研究,形成了一個完整的海外信息安全體系框架,包括安全策略、安全技術體系、安全管理體系、運行保障體系和建設實施規劃等。依照該框架,企業可以針對各部分進行具體實施,從而完成整個的海外信息安全建設。
關鍵詞 :大中型企業;信息安全體系;框架;理論指導;安全模型
1海外信息安全體系建設原則
大中型企業海外信息安全體系的建設,涉及面廣、工作量大,整體設計必須堅持以下的原則,以保證建設和運營的效果。
1.1統一規劃管理
要對信息安全體系建設進行統一的規劃,制定信息安全體系框架,明確保障體系中所包含的內容。同時,還要制定統一的信息安全建設標準和管理規范,使得信息安全體系建設遵循一致的標準、管理遵循一致的規范。
1.2分步有序實施
信息安全體系建設的內容龐雜,必須堅持分步有序的實施原則,循序漸進。
1.3技術管理并重
僅有全面的安全技術和機制是遠遠不夠的,安全管理也具有同樣的重要性。信息安全體系的建設,必須遵循安全技術和安全管理并重的原則,制定統一的安全建設管理規范,指導安全管理工作。
1.4突出安全保障
信息安全體系建設要突出安全保障的重要性,通過數據備份、冗余設計、應急響應、安全審計、災難恢復等安全保障機制,保障業務的持續性和數據的安全性。
2海外信息安全體系建設目標
大型跨國企業海外信息安全的建設目標是:基于安全基礎設施、以安全策略為指導,提供全面的安全服務內容,覆蓋從物理、網絡、系統直至數據和應用平臺各個層面,以及保護、檢測、響應、恢復等各個環節,構建全面、完整、高效的信息安全體系,從而提高企業信息系統的整體安全等級,為企業海外業務發展提供堅實的信息安全保障。
3海外信息安全體系框架
企業進行信息安全建設的目標是建立起一個全面、有效的信息安全體系,包括了安全技術、安全管理、人員組織、教育培訓、資金投入等關鍵因素,信息安全建設的內容多,規模大,必須進行全面的統籌規劃,明確信息安全建設的工作內容、技術標準、組織機構、管理規范、人員崗位配備、實施步驟、資金投入,才能夠保證信息安全建設有序可控地進行,使信息安全體系發揮最優的保障效果。
同時還應該制定一系列的安全管理規范,指導信息安全建設和運營工作,使得信息安全建設能夠依據統一的標準開展,信息安全體系的運營和維護能夠遵循統一的規范進行。
3.1安全目標模型
根據大型跨國企業海外信息安全體系建設目標和總體安全策略,建立與之對應的目標模型,稱為WP2DRR安全模型。該模型由預警( Warning)、策略(Policy)、保護(Protectlon)、檢測(Detection)、響應(Response)、恢復(Recovery)6個要素環節構成了一個基于時間的、完整的、動態的信息安全體系。WP2DRR模型在P2DR模型的基礎上新增加了預警Warnlng和恢復Recover,增強了安全保障體系的事前預防和事后恢復能力,系統一旦發生安全事故,也能恢復系統功能和數據,恢復系統的正常運行。
安全目標模型是信息安全體系框架的基礎,大型跨國企業的海外信息安全體系框架應該緊密圍繞安全模型的6個要素環節進行設計,每個要素環節的功能都在安全技術體系、安全組織和管理體系以及運行保障體系中體現出來。
3.2信息安全體系框架組成
通過對企業的網絡和應用現狀、安全現狀、面臨的安全風險的分析,根據安全保障目標模型,制定了大型跨國企業海外信息安全體系框架。制定該框架的目的在于從宏觀上指導和管理信息安全體系的建設和運營。
該框架由一組相互關聯、相互作用、相互彌補、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中,以安全策略為指導,融會了安全技術、安全管理和運行保障3個層次的安全體系,以達到系統可用性、可控性、抗攻擊性、完整性、保密性的安全目標。大型跨國企業海外信息安全體系框架的總體結構如圖1所示。
3.2.1安全策略
在這個框架中,安全策略是指導,與安全技術體系、安全組織和管理體系以及運行保障體系這3大體系相互作用。一方面,3大體系是在安全策略的指導下構建的,主要是要將安全策略中制定的各個要素轉化成為可行的技術實現方法和管理、運行保障手段,全面實現安全策略中所制定的目標。另一方面,安全策略本身也有包括草案設計、評審、實施、培訓、部署、監控、強化、重新評佶、修訂等步驟在內的生命周期,需要采用一些技術方法和管理手段進行管理,保證安全策略的及時性和有效性。
按照要保障的資產對象的不同,總體策略劃分為物理安全、網絡安全、系統安全、病毒防治、身份認證、應用授權和訪問控制、數據加密、數據備份和災難恢復、應急響應、教育培訓等若干方面進行闡述。
隨著技術的發展以及系統的升級、調整,安全策略也應該進行重新評估和制定,隨時保持策略與安全目標的一致性。
3.2.2安全技術體系
安全技術體系是整個信息安全體系框架的基礎,包括了安全基礎設施平臺、安全應用系統平臺和安全綜合管理平臺這3個部分,以統一的信息安全基礎設施平臺為支撐,以統一的安全系統應用平臺為輔助,在統一的綜合安全管理平臺管理下的技術保障體系框架。
安全基礎設施平臺是以安全策略為指導,立足于現有的成熟安全技術和安全機制,從物理和通信安全防護、網絡安全防護、主機系統安全防護、應用安全防護等多個層次出發,建立起的一個各個部分相互協同的完整的安全技術防護體系。
應用信息系統通過使用安全基礎設施平臺所提供的各類安全服務,提升自身的安全等級,以更加安全的方式,提供業務服務和內部信息管理服務。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備,對這些安全機制和安全設備進行統一的管理和控制,負責管理和維護安全策略,配置管理相應的安全機制,確保這些安全技術與設施能夠按照設計的要求協同運作,可靠運行。它在傳統的信息系統應用體系與備類安全技術、安全產品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現有的信息系統應用體系緊密的結合實現無縫連接,促成信息系統安全與信息系統應用的真正的一體化,使得傳統的信息系統應用體系逐步過渡向安全的信息系統應用體系。
統一的安全管理平臺有助于各種安全管理技術手段的相互補充和有效發揮,也便于從系統整體的角度來進行安全的監控和管理,從而提高安全管理工作的效率,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術體系真正有效發揮保護作用的重要保障,安全管理體系的設計立足于總體安全策略,并與安全技術體系相互配合,增強技術防護體系的效率和效果,同時也彌補當前技術無法完全解決的安全缺陷。
技術和管理是相互結合的。一方面,安全防護技術措施需要安全管理措施來加強,另一方面技術也是對管理措施貫徹執行的監督手段。在大型跨國企業海外信息安全體系框架中,安全管理體系的設計充分參考和借鑒了國際信息安全管理標準《BS7799 (IS017799)》的建議。
大型跨國企業海外信息安全管理體系由若干信息安全管理類組成,每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應,這些安全控制是為了達成相應安全目標的管理工作和要求。
3.2.4運行保障體系
運行與保障體系由安全技術和安全管理緊密結合的內容所組成,包括了系統可靠性設計、系統數據的備份計劃、安全事件的應急響應計劃、安全審計、災難恢復計劃等,運行和保障體系對于企業網絡和信息系統的可持續性運營提供了重要的保障手段。
3.2.5建設實施規劃
建設實施規劃是在安全管理體系、安全技術體系、運行保障體系設計的基礎上進一步制定的建設步驟和實施方案。在建設實施規劃中突出體現了分步有序實施的原則。
任何信息安全建設都需要人員負責管理和實施,因此,首先應該建立信息安全工作監管組織機構,明確各級管理機構的人員配備,職能和責任。其中信息安全管理機構負責信息安全策略的審核與頒布、統一技術標準和管理規范的制定、指導和監督信息安全建設工作、對信息安全系統進行監控與審計管理。
信息安全體系建設,應該首先從物理環境安全建設入手,確保機房建設按照的統一標準進行建設,并且按照統一的管理規范進行管理。
在接下來的網絡安全建設中,應對計算機網絡的安全域進行劃分,對網絡結構進行調整,以確保內部網絡與外部網絡、業務網絡與辦公網絡邊界清晰;在各安全域的邊界處部署防火墻、網絡入侵檢測等安全產品,形成立體的區域邊界保護機制,對各安全域進行邏輯安全隔離,禁止未授權的網絡訪問;在內部網絡中部署網絡脆弱性分析工具,定期對內部網絡進行檢查,并采取措施及時彌補新發現的安全漏洞。
在進行網絡安全建設的同時,還可以進行系統安全建設,在內部網絡中全面部署網絡病毒查殺系統,有效抑制計算機病毒在內部網絡中傳播,避免對系統和數據造成損害。另外,主機系統管理員還應該按照主機系統管理規范的要求,借助主機脆弱性分析和安全加固工具,定期對主機系統進行檢查,更新安全漏洞補丁的級別,修正不當的系統和服務配置,查看和分析系統審計日志,控制和保證主機系統的良好安全狀態。
應用安全建設包括建立身份認證系統、應用授權和訪問控制系統、數據安全傳輸系統等,對專業業務應用系統和內部信息管理系統提供各種安全服務。
按照統一標準,建立安全審計與分析系統、系統和數據備份計劃、安全事件應急響應計劃、災難恢復計劃等安全保障機制,重在保護業務數據等信息資產,保證內外應用服務的持續可用性。
對所有員工進行基本安全教育,為信息安全系統相關技術人員提供專門的安全理論和安全技能培訓,提高全員的安全意識,打造一支高素質的專業技術和管理隊伍。
4結論
海外信息安全體系是一個全方位的體系,從技術到管理、從網絡到設備再到人。任何一個方面都要考慮周全,只有每一個部分的安全才是整體的安全。
參考文獻
篇3
(一)管理使用的系統
ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業門戶網站等系統是石化銷售企業首要的應用系統。應用系統有以下特征:一是系統應用范圍廣,全程參與企業的經營、管理、對外服務等;二是系統用戶眾多,涵蓋企業各階層員工;三是系統對持續運轉要求高,因此對應用系統的安全運轉要求較高。對公司的經營管理而言,系統的安全穩定運行具有重大意義,系統數據是否安全、保密性和供應商、企業利益有密切關系。
(二)安全管理
隨著我國經濟水平不斷提高,石化銷售企業越來越離不開信息化管理,世界各地的公司對內部成立一個信息化團隊,根據內部的需要制定出具有整體性的管理體系,并根據相關的信息安全規定對系統內部的安全等級做好評估保護工作。各企業制定了詳細有效的“信息系統應急預案”以應付各類突發事件。近幾年,中國石化內控體系在建設過程中不斷加強、完善自身管理體系,也在IT控制方面占有一定的優勢。當前,石化銷售企業已基本形成一套完整的信息安全防御和管理體系,從而確保了網絡信息系統的安全性。
二、信息安全風險的評估
衡量安全管理體系的風險主要方法是進行信息安全風險的評估,以此保障信息資產清單和風險級別,進而確定相應的防控措施。在石化銷售企業進行信息安全風險的評估過程中,主要通過資金、威脅、安全性等識別美容對風險進行安全檢測,同時結合企業自身的實際情況,擬定風險控制相應的對策,把企業內的信息安全風險竟可能下降到最低水平。
(一)物理存在的風險
機房環境和硬件設備是主要的的物理風險。當前,部分企業存在的風險有:1)企業機房使用年限過長,如早期的配電、布線等設計標準陳舊,無法滿足現在的需求;2)機房使用的裝備年限太長、例如中央空調老化,制冷效果不佳導致溫度不達標,UPS電源續航能力下降嚴重,門禁系統損壞等,存在風險;3)機房安全防護設施不齊全,存在風險。
(二)網絡和系統安全存在的風險
石化訪問系統的使用和操作大量存在安全風險,其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統安全隱患等。即使大部分企業已安裝統一的網絡防病毒體系、硬件防火墻、按期更新網絡系統軟件、安裝上網行為監控等,但因為系統漏洞數目不斷增多網絡結構和襲擊逐漸減弱或者因為信息系統使用人員操作系統本身的安全機制不完善、也會產生安全隱患。
(三)系統安全風險
沒有經過許可進行訪問、數據泄密和被刪改等威脅著系統的安全性。提供各類應用服務是企業信息系統的首要任務,而數據正是應用信息系統的核心,因此,實際應用與系統安全風險密切聯系。當前,信息應用系統存儲了大量的客戶、交易等重要信息,一旦泄露,造成客戶對企業信任度影響的同時也會影響企業的市場競爭力。
(四)安全管理存在的風險
安全管理存在的主要指沒有同體的風險安全管理手段,管理制度不完善、管理標準沒有統一,人員安全意識薄弱等等都存在管理風險,因此,需要設立完善的信息系統安全管理體系,從嚴管理,促使信息安全系統正常運作。一方面要規范健全信息安全管理手段,有效較強內控IT管理流程控制力度,狠抓落實管理體系的力度,杜絕局部管理不足點;另一方面,由于信息安全管理主要以動態發展的形式存在,要不斷調整、完善制度,以符合信息安全的新環境需求。
三、信息安全管理體系框架的主要構思
信息安全管理體系的框架主要由監管體系、組織體系和技術體系形成,特點是系統化、程序化和文件化,而主要思想以預防控制為主,以過程和動態控制為條件。完善安全管理體系,使石化銷售企業信息系統和信息網絡能夠安全可靠的運作,從機密性、完整性、不可否認性和可用性等方面確保數據安全,提升系統的持續性,加強企業的競爭力。
(一)組織體系
企業在完善管理體系過程中應設立信息安全委員會和相關管理部門,設置相應的信息安全崗位,明確各級負責的信息安全和人員配置等內容。在全面提升企業人員對信息安全了解的過程中必須進行信息安全知識的相關培訓,使工作人員提高信息安全管理意識,實現信息安全管理工作人人有責。
(二)制度體系
操作規范、安全策略、應急預案等各項管理制度經過計劃和下發,讓信息安全管理有據可依。企業參照合理完善的各項制度進一步優化業務流程,規范操作行為,降低事故風險,提升應急能力,以此加強信息安全的管理體系。
(三)技術體系
管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網絡安全技術、主機安全技術、終端安全技術、數據安全、應用安全技術等。一旦出現信息安全事件,技術體系會在最短的時間內降低事件的不良影響,依靠相關的信息安全管理技術平臺,以實現信息安全技術的有效控制。管理體系的核心是技術手段,先進的加密算法和強化密鑰管理構成的數據加密方式全程控制數據傳輸和數據存儲,可以保證數據的安全性。采用堡壘機、防火墻等安全系統可以過濾掉不安全的服務和非法用戶,防止入侵者接近防御設備。IDS作為防火墻的重要功能之一,能夠幫助網絡系統快速檢測出攻擊的對象,加強了管理員的安全管理技術(包括審計工作、監視、進攻識別等技術),提高了信息安全體系的防范性。企業數據備份這一塊可以采用雙機熱本地集群網、異地集群網等各種形式進行網絡備份,利用體統的可用性和容災性加強安全管理能力。
近年來各個企業的惡意軟件、攻擊行為手法變化多端很難防御,在各種壓力下,傳統的的安全防預技術受到了嚴峻的考驗,這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御,而“云安全”技術對于企業用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發展的必由之路,且今后“云安全”作為企業安全管理的核心內容為企業的數據、服務器群組以及端點提供強制的安全防御能力。”
四、信息安全管理體系相關步驟
由于管理體系具有靈活性,企業可依據自身的特點和實際情況,使用最優方案,結合石化銷售的特征,提出以下步驟:1)管理體系的重要目標;2)管理體系的主要范疇;3)管理體系現狀考察與風險估量;4)完善管理體系的制度;5)整理管理體系的文檔;6)管理體系的運行方式;7)信息安全管理體系考核。
五、結論
篇4
關鍵詞:企業;信息網絡;安全體系;安全技術
大中型企業作為我國國民經濟的骨干企業,在國家經濟發揮舉足輕重的作用,現代經濟活動離不開信息和網絡,大中型企業對網絡和信息技術的依賴性很強,企業員工多、信息化互聯設備多、種類多樣,企業的關鍵業務大多架構在IT系統之上,網絡環境的穩定性、安全性、高效性直接影響公司信息化應用。目前,許多大中型企業提出了建立“數字化企業”的目標,在企業信息化建設中,信息安全問題是必須要首先考慮的問題,可見,建立企業信息安全體系勢在必行。
1 企業信息網絡安全威脅及風險
近年來,許多大中型企業十分重視信息網絡建設的應用和開發,但是對于信息網絡安全的防護并沒有得到足夠重視。根據調研機構的調查報告顯示,國內企業中63%經常遭受病毒或蠕蟲攻擊,而41%的企業受到惡意間諜軟件或惡意軟件的威脅。主要體現在:病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網絡資源濫用、員工信息安全意識淡薄等。
目前企業面臨著網絡攻擊的“外部威脅”及內部人員信息泄露的“內部威脅”的雙重考驗,垃圾郵件、企業機密泄露、網絡資源濫用、病毒泛濫以及網絡攻擊等問題成為企業最為頭疼的網絡安全問題,企業網絡環境日趨嚴峻。
2 企業網絡安全體系
大中型企業網絡面臨嚴峻的安全形勢,迫使各企業意識到構建完備安全體系的重要性,隨著網絡攻擊的多樣化,只針對網絡層以下的安全解決方案已經不足以應付各種各樣的攻擊,同時還要隨時注重操作系統、數據庫、軟硬件設備的安全性;企業安全體系建設不僅要有效抵御外網攻擊,而且要能防范可能來自內部的安全泄密等威脅。企業必須采用多層次的安全系統架構才能保障企業網絡安全,最終建立一套以內外兼防為特征的企業安全保障體系。
企業信息網絡安全體系由物理安全、鏈路安全、網絡安全、系統安全、信息安全五部分構成。
物理安全:物理安全主要是保護企業數據庫服務器、應用服務器、網絡設備、數據介質及其他物理實體設備的安全,提供一個安全可靠的物理運行環境。
鏈路安全:數據鏈路層(第二協議層)的通信連接就安全而言,是較為薄弱的環節。目的是保證網絡鏈路傳送的數據不被竊聽和篡改。
網絡安全:網絡安全主要包括:通過防火墻隔離內外網絡,不同區域的訪問控制,部署基于網絡的身份認證及入侵檢測系統、VPN、網絡集中防病毒等手段實現網絡設備自身的安全可靠。
系統安全:系統安全主要指數據庫、操作系統的安全保護。保證應用系統的可靠性、完整性和高效性。
信息安全:主要通過數據加密、CA認證、授權等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。
典型企業信息網絡安全管理體系拓撲結構如圖一所示:
3 信息安全體系設計原則
企業安全設計應遵循如下原則:
3.1保密性:信息不能夠泄露給非授權用戶、實體或過程,或供其利用的特性。
3.2完整性:信息完整性是指信息在輸入和傳輸的過程中,不被非法授權修改和破壞,保證數據的一致性。
3. 3可用性:保障授權用戶在需要時可以獲取信息并按要求使用的特性。
3.4可控性:對信息的處理、傳遞、存儲等具有控制能力。
信息安全就是要保障維護信息的機密性、完整性、可用性以及保障維護信息的真實性、可問責性、不可抵賴性、可靠性、守法性。
4 企業網絡安全防范技術手段
目前企業信息網絡布署的安全技術手段主要方式有:
4.1防火墻系統
防火墻系統作為企業網絡安全系統必不可少的組成部分,用于防范來自外部interne非法用戶對企業內部網絡的主動威脅。防火墻系統搭建在內部網絡與外部公共Internet網絡之間,通過合理配置訪問控制策略,管理Internet和內部網絡之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監控、阻斷非法數據傳輸等。企業在外部攻擊的頻度和攻擊流量非常嚴重的情況下,建議配置專用的DDOS防火墻。
4.2入侵檢測系統
入侵檢測系統(簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。IDS是一種積極主動的安全防護技術,可以彌補防火墻相對靜態防御的不足,通過對來自外部網和內部的各種行為進行實時檢測,及時發現未授權或異常現象以及各種可能的攻擊企圖,記錄有關事件,以便網管員及時采取防范措施,為事后分析提供依據的依據。
4.3漏洞掃描系統
企業內部部署漏洞掃描系統,不間斷地對企業工作站、服務器、防火墻、交換機等進行安全檢查,提供記錄有關漏洞的詳細信息和最佳解決對策,協助網管員及時發現和堵絕漏洞、降低風險,防患于未然。
4.4網頁防篡改系統
網頁防篡改系統主要是防止企業對外Web遭受黑客的篡改,保證企業外部網站的正常運行。防篡改系統利用先進的Web服務器核心內嵌技術,將篡改檢測模塊(數字水印技術)和應用防護模塊(防注入攻擊)內嵌于Web服務器內部,并輔助以增強型事件觸發檢測技術,不僅實現了對靜態網頁和腳本的實時檢測和恢復,更可以保護數據庫中的動態內容免受來自于Web的攻擊和篡改,徹底解決網頁防篡改問題。
4.5上網行為管理系統
上網行為管理系統主要部署在企業外部防火墻和內部核心交換機之間,針對企業內部員工訪問Internet行為進行集中管理與控制。其主要功能有:網頁過濾、應用控制(IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發帖等)、帶寬管理、內容審計(郵件收發、論壇發帖、FTP、HTTP文件傳輸等)、用戶管理、日志管理等功能。
4.6內網安全管理平臺
據FBI/CSI中國CNISTEC調查報告:來自企業外部威脅占20%,內部威脅高達80%。針對大型企業日益復雜的內部網絡環境以及基于企業保密管理的需求,必須構造一套內網安全管理平臺,規范和管理內部網絡環境,提高內部網絡資源的可控性。其功能應包括:用戶認證與授權、IP與MAC綁定、網絡監控、桌面監控、安全域管理、 存儲介質管理、補丁分發、文檔安全管理、資產管理、日志報表管理等。
4.7企業集中防病毒系統
在病毒肆虐的時代,反病毒已經成為企業信息安全非常重要的一環,企業網絡情況比較復雜,由于員工計算機水平大多不高,構造一套完整的企業集中防病毒網絡系統平臺,可以強化病毒防護系統的應用策略和統一管理策略,并且使企業員工電腦的病毒庫及時得到更新,增強病毒防護有效性,降低病毒對安全帶來的威脅。
集中防病毒系統應具有:集中管控、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。
4.8建立健全企業安全管理組織體系及制度,加強企業信息安全意識
企業在建設信息網絡安全建設技術手段的同時,更需要考慮管理的安全性,不斷完善企業信息安全制度。通過培訓,增強每個員工的安全意識,為大中型企業信息安全管理奠定基礎。
隨著信息技術的發展,企業無線接入、電子商務交易、數字簽名、數字證書等安全管理也應逐步納入企業信息安全體系范疇。
五、 結束語
目前,大中型企業信息進程的深入和互聯網的快速發展,網絡化已經成為企業信息化的發展大趨勢,針對各種網絡應用的攻擊和破壞方式也變得異常頻繁,信息化發展而來的網絡安全問題日漸突出,網絡安全問題已成為信息時代人類共同面臨的挑戰,同時,網絡信息安全是一個系統工程,涉及人員、硬軟件設備、資金、制度等因素,沒有絕對可靠的安全技術,科學有效的管理可以彌補技術安全漏洞的缺陷。
參考文獻:
[1]向宏,傅鸝,詹榜華 著 信息安全測評與風險評估 電子工業出版社 2009-01
[2]謝宗曉,郭立生 著 信息安全管理體系應用手冊中國標準出版社 2008-10
篇5
關鍵詞: 校園網;網絡規劃
中圖分類號:TP393文獻標識碼:A文章編號:1006-4311(2012)07-0122-02
0引言
隨著互聯網的蓬勃發展,網絡技術也以驚人的速度不斷更新。為了適應國家信息基礎設施建設的需要,提高教學質量、辦公效率,解決青海大學當前信息化工作遇到的突出問題,在原有校園網的基礎上,建設高性能、可靠安全、擴展能力強的新型校園信息化網絡系統,建設和支持一批先進的教學、科研、管理和校園文化信息系統,在信息化領域率先取得突破和飛躍,達到國內先進水平,全面支撐未來五年學校各項建設和發展工作。
1校園網和信息化的現狀分析
校園網和信息化建設的一般規律和發展周期是建設、應用、產生新的需求、再建設、再應用。青海大學目前處在應用階段。經過幾年的建設,校園網內部的網絡傳輸和訪問已經具備了相當的能力和條件,已經開通了一批有需求和應用前景的系統。目前的主要問題是已經投入使用的系統沒有被有效地運用起來,關鍵環節是充分發揮已有系統的效益。主要存在以下幾個方面的問題。
1.1 網絡設備陳舊現有網絡設備只具備很小的性能提升空間,同時對新型網絡協議組的支持不足,網絡通信的服務質量較低,導致網絡性能不穩定。
1.2 管理體系亟待完善隨著入網用戶的增加,網絡設備的維護和網絡用戶的管理難度越來越大。網絡管理過度強調專業背景的傾向,使實際信息化工作中技術含量有余而管理含量不足。
1.3 網絡安全體系差由于校園網規模大、應用種類多,用戶活躍、流動性、群體的可控性差,所以,校園網的安全問題不僅來自于外網,更多的和更嚴重的是來自于內網。
1.4 校園網主干帶寬不足無法滿足目前教學和研究應用的需求,同時也無法滿足新型帶寬服務的需求。
2校園升級改造的設計方案
青海大學下一代校園網和信息系統的主要建設內容覆蓋基礎設施建設、管理體系建設、應用系統建設等各個方面,概述如下:
2.1 體系結構設計青海大學信息化服務基礎設施如圖1所示,按照4橫3縱的架構進行規劃。其中縱向上,左邊安全管理體系和右邊運行服務體系構成整個信息化基礎設施的基礎保障。橫向上,通信基礎設施、節點機房設施、計算機網絡和信息系統向上遞進支撐。
2.2 管理協調機構和機制設計大學校園信息化建設與實施是一項涉及面廣、技術性強、投資巨大的系統工程,需要有一個良好的保障機制,以便統一規劃、指揮和協調。進一步建立健全信息化建設的領導體系,加強組織建設力量,加強和落實基礎設施和信息系統的運行維護隊伍與運行機制。為信息化建設的正常進行創造基本條件。具體組織機構如圖2所示。校園網和信息系統的建設和運行維護的順利實施是一個管理與技術相結合的問題,特別強調管理部門和技術部門的配合、強調最終用戶必須真正參與其中。
2.3 運行和服務體系用戶服務、應用管理、基礎保障環境管理構成了運維服務的主體,三塊內容通過有效、合理的運維流程有機結合起來,形成了一個整體。管理制度與工作規范作為每塊工作的依據和要求,保證運維服務工作能夠有序進行。青海大學的運行服務機構包括以下3個業務部門。運行部:負責系統的日常運行值班與檢測。系統部:保障應用系統穩定、高效地運行。網絡部:保障網絡系統、光纜等傳輸系統、防火墻等安全系統的正常運行。
2.4 校園網的升級改造設計
2.4.1 網絡基礎設施建設包括,通訊網絡建設、計算機網絡建設、節點建設和數據中心建設。分期建成先進的、穩定可靠的多核心萬兆雙棧主干網,以局域網有線接入為主體、無線接入為補充,提供充足的校園網用戶接入能力,具有充足的校內網絡傳輸帶寬和校外互訪帶寬。建設集中的存儲系統,將主要的存儲功能從服務器中分離,形成獨立的服務,使存儲空間利用率有效提高,管理策略更加靈活,擴展容易,并大大增強系統的可用性。同時,基于集中的存儲系統建立數據備份機制、保障數據安全。除了對數據進行備份以外,應用系統的保護和快速恢復也是重點,需要建設系統備份和快速恢復機制。具體網絡拓撲如圖3所示,青海大學下一代校園網主干采用一級扁平化拓撲結構,適當分散布設核心節點,由高檔核心設備直接完成用戶局域網接入,從而充分發揮高端設備的性能優勢,提高網絡的傳輸性能、穩定性和可管理性。
2.4.2 信息系統建設全面實施學校辦公和管理工作的電子化、網絡化和自動化,發展網絡教學,大力加強電子圖書館建設。實施工作在學校決策層的統一指揮和協調下進行。根據學校的管理現狀從易到難,分系統,分階段,按計劃地穩步實施推進。在實施中要特別強調各部門的合作,同步調整業務流程。特別強調用戶了對系統的實際運用,避免重硬件基礎設施建設輕應用系統建設,避免重系統建設輕系統的實際運用。
2.5 網絡和安全管理體系建設校園網的安全問題不僅來自于外網,更多、更嚴重的是來自于內網。因此在網絡和系統的安全模型上,只有數據中心、管理控制嚴密的重要子網才屬于傳統意義上的內網,是需要對外設防和保護的對象。而其他用戶都是防范的對象。青海大學校園網在安全管理方面做了如下系統的建設工作,基于統一身份認證和授權系統的準入、準出控制及用戶計費和用戶管理審計系統、網絡與服務管理系統、系統備份與故障恢復系統等:并在校機關、財務處和圖書館等少數關鍵或要害部門進行布設防火墻等安全產品。并建立健全了各類保障與應急響應的組織機構和工作規范以及規章制度。
3結束語
校園網信息化建設涉及學校各個方面龐大而復雜的系統,因此統一而正確的規劃是整個系統能夠成功實施和順利發展的基本保證。本文從以一般高校實際情況出發,對校園網建設的體系結構設計、管理協調機構和機制設計、安全及管理等方面作了一些構想,希望能對高校校園網絡的建設是有所裨益。
參考文獻:
[1]MichaeI Palmer.局域網與廣域網的設計與實現[M].北京:機械工業出版社,2000.
篇6
[關鍵詞] 信息安全保障體系; 中國石油; 企業
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障體系概述
信息安全保障(Information Assurance,IA)來源于1996年美國國防部DoD指令5-3600.1(DoDD5-3600.1)。其發展經歷了通信安全、計算機安全、信息安全直至現在的信息安全保障。內容包括保護(Protection)、檢測(Detection)、響應(Response)、恢復(Recovery) 4個環節,即PDRR模型。
信息安全保障體系分為人員體系、技術體系和管理體系3個層面,人員體系包括安全人員的崗位與職責、全體工作人員的安全管理兩部分。技術體系由本地計算環境、區域邊界、網絡基礎設施及支撐性基礎設施組成。管理體系包括建立完善的信息安全管理體系、構建自上而下的各級信息安全管理組織架構、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護,多處設置保護機制,抵御通過內部或外部從多點向信息系統發起的攻擊,將信息系統的安全風險降低到可以接受的程度。
2 國外信息安全保障體系建設
美國的信息化程度全球最高,在信息技術的主導權和網絡上的話語權等方面占據先天優勢,他們在信息安全保障體系建設以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰略報告,將信息安全由“政策”、“計劃”上升到“國家戰略”及“國際戰略”的高度。美國國土安全局是美國信息安全管理的最高權力機構,其他負責信息安全管理和執行的機構有國家安全局、聯邦調查局、國防部、商務部等,主要根據相應的方針和政策結合自己部門的情況實施信息安全保障工作。
其他國家也都非常重視信息安全保障工作。構建可信的網絡,建設有效的信息安全保障體系,實施切實可行的信息安全保障措施已經成為世界各國信息化發展的主要需求。信息化發展比較好的發達國家,如俄、德、日等國家都已經或正在制定自己的信息安全發展戰略和發展計劃,確保信息安全沿著正確的方向發展,在信息安全領域不斷進行著積極有益的探索。
3 國內信息安全保障體系建設
我國信息化安全保障體系建設相對于發達國家起步較晚,2003年9月,中央提出要在5年內建設中國信息安全保障體系。2006年9月,“十一五”發展綱要提出科技“支撐發展”的重要思想,提出要提高我國信息產業核心技術自主開發能力和整體水平,初步建立有中國特色的信息安全保障體系。2007年7月20日,“全國重要信息系統安全等級保護定級工作電視電話會議”召開,標志著信息安全等級保護工作在全國范圍內的開展與實施。2011年3月《我國國民經濟和社會發展十二五規劃綱要》明確提出加強網絡與信息安全保障工作。通過一系列的文件要求,不斷完善與提升我國的信息安全體系,強調信息安全的重要性。
我國信息安全保障體系建設主要包括:① 加快信息安全立法、建立信息安全法制體系,做到有法可依,有法必依。② 建立國家信息安全組織管理體系,加強國家職能,建立職能高效、職責分工明確的行政管理和業務組織體系,建立信息安全標準和評價體系。③ 建立國家信息安全技術保障體系,使用科學技術,實施安全的防護保障。④ 在技術保障體系下,建設國家信息安全保障基礎設施。⑤ 建立國家信息安全經費保障體系,加大信息安全投入。⑥ 高度重視人才培養,建立信息安全人才培養機制。
我國通過近幾年的努力,信息安體保障體系取得了長足發展,2002年成立了全國信息安全標準化技術委員會,不斷完善信息安全標準。同時在互聯網管理、信息安全測評認證、信息安全等級保護工作等方面取得了實質性進展,但CPU芯片、操作系統與數據庫、網關軟件仍大多依賴進口,受制于人。
4 企業信息安全保障體系建設
中國石油集團公司信息化建設在我國大型企業中處于領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,公司將企業信息安全保障體系建設納入信息化整體規劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。
管理類項目包括信息安全組織完善、信息安全運行能力建設、風險評估能力建設3個項目。信息安全組織完善是指完善信息安全的決策、管理與技術服務組織,合理配置崗位并明確職責,建立完備的管理流程,為信息安全建設與運行提供組織保障。信息安全運行能力建設內容包括建立統一、完備的信息安全運行維護流程及組織IT運行維護人員信息安全技能培訓,較快形成基本的信息安全運行能力。風險評估能力建設是指通過建立風險評估規范及實施團隊,提高信息安全風險自評估能力和風險管理能力,強化保障體系的有效性。
信息安全控制類項目涉及信息安全制度與標準完善、基礎設施安全配置規范開發、應用系統安全合規性實施3個項目。信息安全制度與標準完善包括:① 初步構建了制度和標準體系,了《信息系統安全管理辦法》及系統定級實施辦法。② 建立和完善了信息系統安全管理員制度,開展了信息安全培訓。③ 跟蹤國家信息安全等級保護政策,開展信息系統安全測評方法研究等,規范了信息系統安全管理流程,提升安全運行能力。基礎設施安全配置規范開發目標是制定滿足安全域和等級保護要求的信息技術基礎設施安全配置規范,提高信息技術基礎設施的安全防護能力。應用系統安全合規性實施是提供專業的信息安全指導與服務,支持國家等級保護、中國石油內部控制等制度的實施,使信息化建設與應用滿足合規性要求。
信息安全技術類項目由身份管理與認證、網絡安全域實施、桌面安全管理、系統災難恢復、信息安全運行中心5個項目組成。身份管理與認證是指建成集中身份管理與統一認證平臺,實現關鍵和重要系統的用戶身份認證,提高用戶身份管理效率,保證系統訪問的安全性。網絡安全域包括廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3項內容。廣域網邊界防護是指將全國各地的中國石油單位的互聯網集中統一到16個區域網絡中心,員工受控訪問互聯網資源,并最終實現實名制上網。廣域網域間與數據中心防護項目指建立。區域間訪問與防護標準、數據中心防護標準。廣域網域內防護將分離其他網絡并制定訪問策略,完善域內安全監控手段和技術,規范域內防護標準。桌面安全管理項目包括防病毒、補丁分發、端點準入、后臺管理、電子文檔保護和信息安全等級保護綜合管理6個子系統。系統災難恢復包括:① 對數據中心機房進行了風險評估,提出了風險防范和改進措施。② 對已上線的18個信息系統進行業務影響分析,確定了災難恢復關鍵指標。③ 制定整體的災備策略和災難恢復系統方案。信息安全運行中心旨在形成安全監控信息匯總樞紐和信息安全事件協調處理中心,提高對信息安全事件的預警和響應能力。
5 存在問題及建議
中國石油作為國資委超大型企業和能源工業龍頭企業,集團領導和各級領導,一貫重視信息安全工作,在落實等級保護制度,加強信息安全基礎設施建設,深入開展信息安全戰略、策略研究等方面,都取得的豐碩成果,值得其他企業借鑒。公司在信息安全保障體系建設中還存在以下問題:
(1) 信息安全組織體系不夠健全,不能較好地落實安全管理責任制。目前,部分二級單位沒有獨立的信息部門,更沒有負責安全體系建設、運行和管理的專職機構,安全的組織保障職能分散在各個部門,兼職安全管理員有責無權的現象普遍存在,制約了中國石油信息安全保障體系建設的發展。需強制建立從上至下完善的管理體系,明確直屬二級單位的信息部門建設,崗位設定、人員配備滿足對信息系統管理的需求。
篇7
論文摘要:特色是普通高等院校辦學水平的標志,也是學校辦學優勢的具體體現。為了進一步鞏固發展信息管理與信息系統專業,優化該專業的結構,提升該專業建設的整體水平,滿足企業對信息化人才的需求,文章從信息管理與信息系統專業背景分析入手,對中國計量學院信息管理與信息系統專業的特色定位和教學體系改革提出若干思考。
一、引言
教育部1998年頒布的專業目錄中,將信管專業的培養目標確定為:“培養具備現代管理學理論基礎、計算機科學技術知識及應用能力,掌握系統思想和信息系統分析與設計方法以及信息管理等方面的知識與能力,能在國家各級管理部門、工商企業、金融機構、科研單位等部門從事信息管理以及信息系統分析、設計、實施管理和評價等方面的高級專門人才。”從培養目標中不難看出一方面教育部進行專業整合的初衷是為了摒棄以前專業劃得過細的做法,把目標轉向培養既懂經濟管理知識,又懂信息技術的高層次、跨學科的復合型人才上來。它不同于計算機科學與技術專業,也有別于工商管理專業。但另一方面,又由于新專業是由五個專業歸并而成的,目錄中確定的培養目標只能是具有寬泛性和普適性要求的基本目標,給各個高校的具體操作留下了很大的空間。
由于側重點不同,信管專業課程體系設置在國內高校中出現了多種方案。2005年以前有主干學科結構、知識模塊結構、功能模塊結構等七種方案。2005年以后仍然是百家爭鳴、百花齊放。對于專業方向,有三、四、兩個之劃分;對于能力組成,有五項、三項之劃分;對于核心課程設置,有十一門、八門、十門之劃分。有的認為應以“信息系統的開發與管理”為核心,有的則認為應圍繞ERP企業資源計劃課程。對于知識體系,有五模塊、三模塊之劃分。總之,目前我國信管專業的課程體系多是一種多學科課程的拼盤式組合,沒有形成專業自身的專業基礎理論體系。
中國計量學院在“十二五規劃”中明確指出“要堅持走特色化辦學、差異化競爭之路,把特色辦學理念貫穿于創建特色鮮明、國內知名的教學研究型大學實踐中”。為了進一步鞏固發展我校信息管理與信息系統專業,優化該專業的結構,突出該專業建設的特色,需要從信息管理與信息系統專業背景分析入手,結合計量學院的辦學特色,對信息管理與信息系統專業特色重新進行定位。
二、專業特色定位
中國計量學院經濟與管理學院信管專業是2000年設置的,10多年來專業在學校和分院的指導下取得了一些成就和發展:國家自然科學基金兩項、浙江省精品課程一門、浙江省重點教材兩部;在學生實踐教學中連續兩年獲得全國電子商務大賽一等獎。但是隨著社會和學校的進一步發展,專業的發展面臨著許多困難和問題:一是專業定位不明確,特色不明顯;二是課程體系設置不合理,課程體系的設置主要是采用“拿來主義”;只注重單科課程設置,忽視課程之間的整合,不少課程內容嚴重重復,浪費教學時間和教學資源;三是實踐環節薄弱,純理論的課程占的比重過大,實踐課程占的比重太小,實踐教學明顯不足,學生動手能力不強,分析問題和解決問題的能力差;四是專業定位與教學體系之間的吻合度難以考評。
專業建設是普通高等院校主要教學基本建設項目之一,處于教學建設的龍頭地位。特色是普通高等院校辦學水平的標志,也是學校辦學優勢的具體體現。辦學特色,是一所學校或專業在長期辦學過程中積淀形成的,反映在人才培養方面的獨特個性和明顯優勢。它具體體現在學校或專業的辦學定位、培養模式、課程體系、教學方法和實踐環節等諸多方面,它是學校或專業辦學水平和競爭能力的綜合反映。
目前國內信管專業的人才培養模式主要有三種:一是以清華大學、同濟大學為代表的經濟管理模式(即M模式);二是以武漢大學、北京大學為代表的綜合性大學的信息資源管理模式(即I模式);三是以中國人民大學和中山大學為代表的側重于計算機系統導向模式(即S模式)。經過前期多次學科討論,參照國內外著名高校的經驗,我們擬將“信息管理”作為學科定位,以“信息安全管理”作為專業特色定位。這樣的專業定位是依靠學校優勢學科,以社會需求和學生能力為導向,借鑒國內外辦學經驗,發揮自身優勢,辦出特色與水平。中國計量學院是我國質量監督檢驗檢疫行業唯一的本科院校,是一所具有鮮明的計量標準質量檢驗檢疫特色的浙江省重點建設大學。學校堅持“立足浙江,面向全國,依托行業,服務地方”,積極開展科學研究。中國計量學院經濟管理學院是中國唯一獲得全球首屆“ISO標準化高等教育獎”的學院,是通過GBT/19001-2000idtISO9000:2000質量管理體系認證的學院。學院緊緊圍繞學校建設國內知名的教學研究型大學的奮斗目標,深入實施“先進的標準,精密的計量,卓越的質量”教學管理方針,堅持以貢獻求支持,以特色爭優勢,以創新謀發展,立足浙江,面向全國,走向世界,使學院成為我國培養質量管理高層次專門人才的搖籃。
三、專業教學體系
培養目標的實現是靠課程體系的整合和設計來支撐的,課程體系直接反映了人才培養的方向,體現知識、能力、素質、市場(就業)和特色五個方面的導向作用。課程是教學之根本,其主要任務在于結合社會對人才的實際需求,依據專業培養的總體目標來設計一套最優的課程體系。信管專業也是一門應用性非常強的專業,其培養目標是應用型、高級的信管人才。純理論課教學是解決不了動手能力問題的,也無法培養出應用型、高級的信管人才,必須加強實踐教學。通過社會實踐、認識實習、專業實習、課程設計、畢業設計等一系列環節來鍛煉學生的動手能力。信管專業本著專業定位、特色定位從知識、能力、素質、市場(就業)和特色五個方面來設計專業的教學體系。
(一)信息管理
畢業生應具備以下幾方面的知識和能力:一是掌握經濟學、管理學、計算機和信息管理的基本理論和基本知識;二是具有信息獲取、組織、分析、研究、傳播與開發利用的基本能力;三是掌握運用現代化技術手段進行文獻信息檢索、資料查詢收集的基本方法和能力,能利用計算機網絡采集和信息,具有一定的科研和實際工作能力;四是具備文檔管理的能力,包括文檔、數據、信息分類管理等;五是具有運用現代的管理方法和手段對與企業或組織相關的信息資源和信息活動進行組織、規劃、協調和控制,以實現對企業或組織信息資源的合理開發和有效利用的能力。
畢業生應具備以下幾方面的素質:一是勝任力——學習能力和讀寫能力。不斷地、有計劃、有組織地學習,不斷地追隨管理專業的新發展,能用最少的時間,花最小的精力,獲得最大量的新知識,并不斷地優化自己的知識結構。追蹤科技與社會發展的前沿,不斷地更新和擴展自己的知識信息,以適應未來社會日新月異的發展變化。具備讀寫能力,信息管理人員才能實現對信息的收集、存儲和傳遞。二是敏銳感知外部世界的能力——信息獲取能力。三是熟練操縱因特網的能力。熟練掌握網絡技術,把已獲取的新信息通過一定的綜合分析、計算、試驗操作,最終找出問題,設計解決方案,得出科學結論。四是良好的溝通能力和團隊合作精神。五是創新能力。
開設的主要課程:專業主要課程:信息資源管理學、信息存儲與檢索,信息分析與預測,信息組織學,信息計量學,專業實踐課程:統計軟件實習,管理軟件實習。 就業方向:可以在政府部門或企事業單位的信息管理機構,從事文獻和文檔管理、信息收集、分析、處理、咨詢服務和管理工作等。畢業生經過考試可以成為信息處理技術員、國家信息分析師。
(二)信息安全管理
信息安全管理在當前是全球的熱門話題,而建立一個符合國際標準的體系,是大家普遍關注的焦點。建立健全信息安全管理體系(ISO27001認證)對企業的安全管理工作和企業的發展意義重大。首先,此體系的建立將提高員工信息安全意識,提升企業信息安全管理的水平,增強組織抵御災難性事件的能力,是企業信息化建設中的重要環節,必將大大提高信息管理工作的安全性和可靠性,使其更好地服務于企業的業務發展。其次,通過信息安全管理體系的建設,可有效提高對信息安全風險的管控能力,通過與等級保護、風險評估等工作接續起來,使得信息安全管理更加科學有效。最后,信息安全管理體系的建立將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
BS7799標準是全球第一份關于信息安全管理體系的標準,BS7799-1現在已經被采納為ISO/IEC27002:2005;BS7799-2也于2005年被采納為ISO27001:2005。該標準當前已被諸多國家采納為國家標準。截至2007年9月已經有超過4000家組織通過了ISO27001:2005的審核,獲得了信息安全管理體系認證的證書。
畢業生應具備以下幾方面的知識和能力:一是信息安全管理技術能力;二是信息安全管理能力。此主要目的是要求學生了解信息安全及其重要性,認識什么是信息安全管理體系,建立一套信息安全管理體系為何需要ISO27001,學會如何建立一套符合企業(組織)需要的信息安全管理制度。
開設的主要課程:計算機安全與技術、網絡安全、信息安全管理體系、信息安全風險評估與管理、信息安全管理體系ISO27001建立與實施。
就業方向:畢業的學生經過考試獲得信息安全管理體系認證證書,可以從事企事業單位信息安全管理。
四、結論
信管專業的特色培育和課程體系建設并非一蹴而就、一勞永逸的工作。為此,我們將建立一套完整的教學質量管理體系,囊括管理機構和人員、管理的規章制度、管理手段和評價指標體系等,其作用是對整個體系中進行信息反饋和控制,評價專業定位、特色定位與教學體系之間的吻合程度。
參考文獻
1、陶雷,莫贊,張立厚.應用型本科“信管”專業課程體系探究及建構實踐[J].情報雜志,2010(2).
2、何永剛,黃麗華.信息管理與信息系統專業課程體系研究綜述[J].情報雜志,2007(8).
3、CISC2005課題組.中國高等院校信息系統學科課程體系2005[M].清華大學出版社,2005.
4、鄧曉紅.基于職業能力分析的信息管理與信息系統專業核心課程體系研究[J].中國管理信息化,2009(6).
5、張勁松.信息管理與信息系統專業課程體系創新研究[J].情報雜志,2008(11).
6、張慶華,譚旭紅.基于集成化模式開展信息管理與信息系統專業建設[J].中國管理信息化,2009(3).
篇8
檔案是當今社會信息的主要來源,也是其社會信息價值的最終體現。當今電子檔案在檔案事業的發展中占據著十分重要的位置。本文簡要介紹了檔案的開放與應用現狀,分析了信息安全的重要意義,指出了當前檔案開放和信息安全存在的相關問題,并提出了相應的解決方案。
關鍵詞:
檔案開放;信息安全;保障體系
人類文明發展有文字之后,檔案便開始了漫長的保存與利用過程。檔案的開放和安全保障是信息保存和開展相關工作的重要保障。目前,檔案的開放和信息的保護遭到多方面的干擾,電子檔案的興起更對信息安全提出了更高的要求。因此,加強檔案安全利用是檔案部門需要重點研究和建設的項目。
一、檔案開放與信息安全的必要性
檔案開放是順應市場經濟發展的必然,是政府實施“信息公開”制度和“政務上網工程”的要求。檔案開放能夠推動民主政治的實現,并能推動其發展。檔案信息必須附著于不同的載體上,在保存過程中遇到破壞在所難免,而因此造成的信息的丟失對社會的影響非常大。另外,隨著信息時代的發展,檔案管理電子化,即電子檔案的普遍應用,網絡開放性更是威脅著檔案信息的安全使用。無論是從自然環境還是社會人文環境來看,加強檔案信息安全的研究和保護都刻不容緩。
二、檔案開放利用的現狀
目前,我國檔案信息資源的開放程度仍然較低,開放的檔案僅占國家檔案保存總量的28%。首先,外部環境的巨大變動嚴重威脅保存檔案的硬件設備。其次,網絡安全直接影響著電子檔案的安全。在虛擬的網絡環境里,黑客、病毒等的惡意篡改和攻擊嚴重毀壞了檔案的完整性和準確性。網絡一旦癱瘓,所有的信息可能會消失殆盡。另外,信息安全的相關法規存在漏洞、執行能力差,安全管理上工作細致性不足,風險評估體系和水平不足。
三、檔案開放與信息安全的辯證關系
作為檔案工作的核心和最終目的,檔案開放必須有嚴格的工作標準和規定。檔案工作者利用多種渠道獲得相關信息,進行統一的加工整理形成檔案,交給檔案使用人員同時加以保存。非保密檔案可以依法向社會和人民大眾公開,提供給民眾參與社會化服務與政策的機會,保障知情權的行使。檔案的開放極大地促進了信息的共享和資源的高效利用,能有效地促進相關工作的順利進行。在檔案的開放過程中,信息的安全保護相當關鍵。檔案的開放極大地促進了信息的共享和資源的高效利用,但在檔案的開放過程中,信息安全保障是現階段高校檔案不容忽視的一項工作。檔案具有歷史性、真實性和唯一性,一旦損毀,勢必給社會造成難以挽回的重大損失,影響檔案工作的發展。因此,如何健康安全地開放檔案是檔案工作的關鍵。
四、檔案安全保障措施及防范體系
(一)建立完善的法律法規
當前,我國涉及檔案安全的法規主要是信息安全和保密管理。它可以幫助檔案開放工作健康、科學地發展。但針對信息安全重點建設的等級保護、風險評估、應急響應等內容在法規里仍是空白,這阻礙著檔案信息安全系統的完善和對信息的保護。因此,必須建設完整的法律法規體系,加強檔案部門工作人員的法律意識和責任感,保障法規的執行力度。同時,針對電子檔案的法規也需建設和完善起來,以指導和規范電子檔案的安全使用。
(二)加強檔案基礎環境建設
對于實體檔案,如紙質、膠片、磁帶檔案要嚴格控制材料的選擇,并根據不同的環境需求分開保存,分別配備相應的庫房設備。電子檔案的保存硬件設備即服務器、終端、存儲設備和網絡設備。這需要保證設備的物理條件,相關單位需定期檢修保障設備的正常運行。電子檔案安全更重要的環節是網絡的安全保障,網絡的安全管理、漏洞檢測和病毒查殺都需要網絡安全技術的保障。
(三)加強安全技術能力建設
1.實體檔案信息安全保障技術。主要有保存技術和修復技術。保存技術重點對庫房的環境建設和裝幀技術展開。修復技術用于解決在檔案的保存、利用過程中受不可抗外力作用,如紙張老化、膠片斷折、光盤磨損等。加固技術、去酸去污技術,修裱技術都是常用的修復技術。電子檔案安全保障技術就是從系統安全,數據安全,網絡安全,用戶安全等角度進行安全保護。2.檔案信息安全保障手段。通過安全審計保障系統安全;利用數據加密技術、備份技術、應急響應技術保障數據安全;利用防病毒技術、防火墻技術、漏洞掃描技術保障網絡安全;利用身份認證、權限控制技術保障用戶安全。3.檔案信息安全保障措施。對檔案管理人員進行安全教育是保障信息安全的重要措施。首先,應該大力推廣信息安全觀。將個人電腦設定防毒措施,加強資料備份觀念。防止在檔案信息公開的過程中無意帶入電腦病毒。檔案部門需要在檔案服務器上安裝殺毒工具,建立起基本的防毒安全環境。在工作過程中,養成重要資料備份的習慣,將檔案信息備份到服務器中,并備份到光盤或磁盤中。另外,制定文件信息安全防護和應急計劃,定期進行修訂。
(四)完善檔案安全管理體系建設
檔案的管理工作是真正實現檔案安全的重要部分。好的管理思想和制度,負責的管理人員和到位的工作程序是保障檔案信息安全的靈魂。建立起檔案信息安全組織體系,設立信息安全管理部門,規劃組織,明確職責。制定檔案信息安全保障工作的整體規劃確立明確的目標,擬定長期規劃。同時加強管理制度的執行力度,成立安全工作領導小組,定期對檔案信息進行檢查。
(五)大力推廣應用電子檔案
從安全角度來看,電子檔案較傳統紙質檔案有較大的安全性。首先,電子文件對環境條件、氣候條件耐受性較高,不易被破壞,因此較安全。第二,在文件保管使用的整個環節都可以憑借高科技手段加以安全保護。第三,影響電子文件信息安全所需智力、技術、設備、環境等條件較高。第四,我們一直在不懈努力大幅度提高電子文件的安全技術研發功效,努力杜絕文件信息泄露的可能性。檔案開發利用與信息安全保障本身存在很大矛盾。公布檔案信息不可避免面臨很多未知因素,本身對于檔案安全就是一種挑戰。要達到雙贏的效果,就必須從軟硬件環境、法律法規、安全技術、管理體系、行業標準、人才培養等方面進行研究。檔案信息安全保障工作是檔案工作的保障,也是檔案應用工作的生命線。當今社會,傳統檔案與電子檔案并存,必須在完善傳統檔案安全保障理論的基礎上研究電子檔案。建立完善的安全保障體系必須從保存環境、法律法規、管理體系等方面著手研究。
參考文獻:
[1]尹振芳.淺析檔案開放利用的安全保障[J].網友世界,2013(7):18-19.
[2]吳新麗.論電子檔案開放利用中信息安全保障存在的問題與對策[J].青年與社會,2014(2):150.
[3]陳振.檔案開放利用與信息安全保障研究[C].山東大學,2009.
[4]曲照言.論電子檔案開放利用中信息安全保障存在的問題與對策[J].數字化用戶,2014(10):105.
[5]肖寒.企業電子檔案開放與信息安全措施[J].環球市場信息導報,2013(12):65.
篇9
作為黑龍江的代表乳品企業,飛鶴乳業利用信息化為傳統乳品產業插上雙翼,將整個全產業鏈的運作置于信息化管理下,保障了飛鶴乳業的高效順暢運轉。隨著企業的快速發展,企業不僅帶動了當地縣域經濟的繁榮,飛鶴乳業的產業鏈模式更帶動了黑龍江省一百多萬畝耕地增值,拉動了全省十五萬農民增收致富,創造了十五萬個就業崗位,近3年累計兌現奶資近30億元、上繳各級財政稅收10億元,牧業成為農民穩定增收的重要保障。
建設信息化牧場
大規模的養殖對牧場運營流程提出了嚴峻的考核要求。為了保障奶牛量產和原奶品質,飛鶴乳業引進“電子身份識別系統”不僅有助于牧場工作人員全方位地監控管理各牧場牛群狀況,更使各牧場的生產運作變得安全有序。
自啟動黑龍江飛鶴原生態牧業股份有限公司以來,在飛鶴克東歐美牧場、飛鶴原生態牧場和飛鶴甘南歐美四個萬頭牧場陸續開始使用“奶業之星”計算機化管理系統和“電子身份識別系統”。牧場奶牛佩戴RFID電子耳標,并對其的喂養信息、飼料信息、治療信息、防疫信息、消毒信息、產地信息、無害化信息等自動寫入到牧場單獨的自動化管理系統“奶業之星”, 整個牧業公司各牧場所有生產數據采集、整理、分析、預警報告得到系統化管理。
通過“奶業之星”,牧場各生產部門人員每天只需短短幾分鐘就可以將本部門各類生產信息及時錄入,系統會自動按照繁殖、育種、泌乳、疾病、防疫、飼養等事件進行分類。生產人員也可依據初配、返情復配、產后配種等任務派單的提示,認真觀察、適時配種,在提高期受胎率的同時,節約了凍精成本。最重要的是,“奶業之星”可幫助牧場生產人員依據個體奶牛的整體生產性能準確判斷出是否需要淘汰某些奶牛不進行配種繁育,這大大地優化了飛鶴牧場奶牛的基因。
飛鶴乳業構造了一個支持牧業集團化管理和異地化信息管理系統的信息化管理平臺,并在此平臺上建立中心數據庫和一套全面的生產管理體系,全面監控公司各牧場生產狀況及牛奶品質,確保飛鶴乳業原料奶的安全性。管理者也可以全方位、多角度、科學、高效地管理牧場,了解牧場的整體運作機制。通過對牧場的全方位現場實時監控,及IT系統對各環節的管理與控制,對奶源實施全面化精細管理,從源頭確保產品質量與食品安全。
乳業產品全產業鏈可追溯平臺
企業決策并督導了產品可追溯系統立項、實施及上線,實現了公司所有嬰幼兒配方乳粉進行單品追蹤與管理,并通過網絡平臺開放給普通消費者進行查詢和全產業鏈在線體驗。這是國內第一個為用戶提供在線查詢嬰幼兒配方乳粉產品的奶源地、生產、質檢等關鍵環節信息的追溯平臺,飛鶴也成為首家為用戶提供追溯服務的乳品企業。
僅2011年到2012年,集團陸續已完成投資近千萬元建設全產業鏈產品追溯系統。其中數字化、自動化、全程化的食品安全在線追溯與監控體系一期工程即產品可追溯體系已上線,已實現生產廠、生產時間,檢驗地點、檢驗時間,奶源地、追溯碼等的追溯,并提供給所有消費者,可在線查詢。企業級數據倉庫與決策平臺建設也正在積極推進。
飛鶴全產業鏈可追溯系統的上線將成為乳制品行業中對產品質量進行管控和為用戶提供追溯服務的一種嶄新模式探索,是乳制品行業的首個可自動化、可查詢、可交互的全產業鏈食品安全管理體系建設的嘗試。通過可追溯系統的運行,在確保乳制品質量安全的同時,將真正做到讓消費者參與監督,購買放心奶粉,保持產品生產經營過程中的透明度。能夠追溯的關鍵環節包括:產品追溯碼、產品名稱、生產廠、生產時間、檢驗地、檢驗時間、產品批號、奶源地等信息。立足食品安全,建設全面可追溯與生產安全監控系統,實現全產業鏈食品安全管理體系。
全產業鏈業態整合
飛鶴乳業信息化建設已經基本上完成了第一階段,即信息化平臺建設與應用階段。正在進入數據中心建設與數據治理階段,即主要工作圍繞企業全產業鏈業態進行整合,建設企業數據倉庫與智能決策體系,實施ITSM與數據治理。進而向IT建設的最高境界,打造企業核心競爭力邁進。
近期,飛鶴乳業將繼續完善建設數字化、自動化、全程化的食品安全在線追溯與監控體系;建立企業集中統一的數據資產管理體系,實現數據存儲、智能分析、決策支持及災備平臺;在現有ERP基礎上進行主數據管理與企業服務總線搭建,實現企業應用與服務整合與集成;搭建集團化遠程指揮、異地調度、實時監控的管理平臺,同時對集團化網絡平臺進行升級與安全管理,實現集團統一網絡出口、集中管控及網絡安全管理。
篇10
事件發生以來,業界反應極為迅速,一批網絡安全企業和科研單位通過官方網站和社交媒體等多種渠道,不斷更新威脅動態,共享技術情報,及時技術保護措施和應對方案;政府部門和專業機構也及時公告和處置指南,增進了社會公眾的關注度,加強了對基本防護信息的認知,降低了本次事件的影響程度。由于各方應對及時,“永恒之藍”勒索蠕蟲爆發在5月13日達到高峰后,感染率快速下降,周一上班并未出現更大規模的爆發,總體傳播感染趨勢得到快速控制。事件過后,對網絡安全行業敲響了警鐘,也有必要對這次事件進行經驗總結,現將對勒索蠕蟲病毒事件的一些思考分享出來。
“永恒之藍”事件回溯
2017年4月期間,微軟以及國內的主要安全公司都已經提示客戶升級微軟的相關補丁修復“永恒之藍”漏洞,部分IPS技術提供廠商也提供了IPS規則阻止利用“永恒之藍“的網絡行為;(預警提示)
2017年5月12日下午,病毒爆發;(開始)
2017年5月12日爆發后幾個小時,大部分網絡安全廠商包括360企業安全、安天、亞信安全、深信服等均發出防護通告,提醒用戶關閉445等敏感端口;(圍堵)
2017年5月13日,微軟總部決定公開已停服的XP特別安全補丁;國內瑞星、360企業安全、騰訊、深信服、藍盾等均推出病毒免疫工具,用于防御永恒之藍病毒;(補漏)
2017年5月13日晚,來自英國的網絡安全工程師分析了其行為,注冊了MalwareTech域名,使勒索蠕蟲攻擊暫緩了攻擊的腳步;(分析)
2017年5月15日,廠商陸續“文件恢復”工具,工作機制本質上是采用“刪除文件”恢復原理/機制,即恢復“非粉碎性刪除文件”;(刪除文件恢復)
2017年5月20日,阿里云安全團隊推出“從內存中提取私鑰”的方法,試圖解密加密文件;生效的前提是中毒后電腦沒重啟、中毒后運行時間不能過長(否則會造成粉碎性文件刪除);(僥幸解密恢復)
2017年5月20日之后,亞信安全等網絡安全公司推出基于該病毒行為分析的病毒防護工具,用于預防該病毒變種入侵;(未知變種預防)
2017年6月2日,國內網絡安全企業找到了簡單靈活的、可以解決類似網絡攻擊(勒索病毒)方法的防護方案,需要進一步軟件開發。
事件處理顯示我國網絡安全能力提升
(一)網絡安全產業有能力應對這次“永恒之藍”勒索蠕蟲事件
早在4月15日,NSA泄漏“永恒之藍”利用工具,國內不少主力網絡安全企業就針對勒索軟件等新安全威脅進行了技術和產品的準備,例如深信服等部分企業就提取了“永恒之藍”的防護規則,并部分升級產品,還有部分企業識別并提前向客戶和社會了預警信息,例如,在這次事件爆發時,亞信安全等網絡安全企業保證了客戶的“零損失”。
事件發生后,國內網絡安全企業積極行動,各主要網絡安全企業都進行了緊急動員,全力應對WannaCry/Wcry等勒索病毒及其種的入侵,幫助受到侵害的客戶盡快恢復數據和業務,盡量減少損失。同時,也積極更新未受到侵害客戶的系統和安全策略,提高其防護能力。360企業安全集團、安天等公司及時病毒防范信息,并持續更新補丁工具。此次“永恒之藍” 勒索蠕蟲被迅速遏制,我國網絡安全企業發揮了重要作用,幫助客戶避免被病毒侵害而遭受損失,幫助受到感染的客戶最大限度地減少損失。
(二)網絡安全防護組織架構體系科學、組織協調得力
隨著《中國人民共和國網絡安全法》的頒布實施,我國已經初步建立了一個以網信部門負責統籌協調和監督管理,以工信、公安、保密等其他相關部門依法在各自職責范圍內負責網絡安全保護和監督管理工作的管理體系。既統籌協調、又各自分工,我國的網絡安全管理體系在應對此次事件中發揮了重要作用。
依照相關法律規范,在有關部門指導下,眾多網信企業與國家網絡安全應急響應機構積極協同,快速開展威脅情報、技術方案、通道、宣傳資源、客戶服務等方面的協作,有效地遏制住了事態發展、減少了損失。
安全事件暴露出的問題
(一)網絡安全意識不強,對安全威脅(漏洞)重視不夠
4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。
針對此次泄露的漏洞,微軟提前了安全公告 MS17-010,修復了泄露的多個 SMB 遠程命令執行漏洞。國內網絡安全廠商也提前了針對此次漏洞的安全公告和安全預警。但是國內大部分行業及企事業單位并沒有給予足夠的重視,沒有及時對系統打補丁,導致“永恒之藍”大范圍爆發后,遭受到“永恒之藍”及其變種勒索軟件的攻擊,數據被挾持勒索,業務被中斷。
在服務過程中發現,大量用戶沒有“數據備份”的習慣,這些用戶遭受“永恒之藍”攻擊侵入后,損失很大。
(二)安全技術有待提高(安全攻防工具)
繼2016年8月份黑客組織 Shadow Brokers 放出第一批 NSA“方程式小組”內部黑客工具后,2017年4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。
目前,我國在網絡安全攻防工具方面的研發與歐美國家相比還存在較大差距,我國在網絡安全漏洞分析、安全防護能力上需進一步加強。勒索蠕蟲入侵一些行業和單位表明不少單位的安全運維水平較低。
實際上,防御這次勒索蠕蟲攻擊并不需要特別的網絡安全新技術,各單位只需要踏踏實實地做好網絡安全運維工作就可以基本避免受到侵害。具體而言,各單位切實落實好安全管理的基礎性工作――漏洞閉環管理和防火墻或網絡核心交換設備策略最小化就可以基本防御此次安全事件。
在漏洞管理中運用系統論的觀點和方法,按照時間和工作順序,通過引入過程反饋機制,實現整個管理鏈條的閉環銜接。也就是運用PDCA的管理模式,實現漏洞管理中,計劃、實施、檢查、改進各工作環節的銜接、疊加和演進。要盡力避免重發現、輕修復的情況出現。及時總結問題處置經驗,進行能力和經驗積累,不斷優化安全管理制度體系,落實嚴格、明確的責任制度。需要從脆弱性管理的高度,對系統和軟件補丁、配置缺陷、應用系統問題、業務邏輯缺陷等問題進行集中管理。通過這些規范、扎實的工作,切實地提升安全運維能力。
基礎工作做到位,防護能力確保了,可以有效避免大量網絡安全事件。
對提升網絡安全防護能力的建議
(一)完善隔離網的縱深防御,內網沒有免死金牌!
這次事件的爆發也反映出不少行業和單位的網絡安全管理意識陳舊落后。部分決策者和運維管理人員盲目地認為網絡隔離是解決安全問題最有效的方式,簡單地認為只要采取了隔離方案就可以高枕無憂。一些單位在內網中沒有設置有效的網絡安全防護手段,一旦被入侵,內網可謂千瘡百孔、一瀉千里。部分單位的內網甚至還缺乏有效的集中化管理手段和工具,對于網絡設備、網絡拓撲、數據資產等不能夠實現有效的統一管理,這給系統排查、業務恢復、應急響應都帶來了很大的困難,也大幅度地增加了響應時間和響應成本。這次事件中一些使用網絡隔離手段的行業損失慘重,這種情況需要高度警醒。
在4?19重要講話中專門指出:“‘物理隔離’防線可被跨網入侵,電力調配指令可被惡意篡改,金融交易信息可被竊取,這些都是重大風險隱患。”
一定要破除“物理隔離就安全”的迷信。隨著IT新技術的不斷涌現和信息化的深入發展,現實中的網絡邊界越來越模糊,業務應用場景越來越復雜,IT 系統越來越龐大,管理疏忽、技術漏洞、人為失誤等都可能被利用,有多種途徑和方法突破隔離網的邊界阻隔。網絡隔離不是萬能的,不能一隔了之,隔離網依然需要完善其縱深防御體系。
在網絡安全建設和運營中,一定要堅持實事求是的科學精神。在全社會,特別是在政府、重點行業的企事業單位各級領導應樹立正確的網絡安全觀仍是當今重要的緊迫工作。
(二)強化協同協作,進一步發揮國家隊的作用
面對日益復雜的網絡空間安全威脅,需要建立體系化的主動防御能力,既有全網安全態勢感知和分析能力,又有縱深的響應和對抗能力。動態防御、整體防御才能有效地應對未知的安全威脅。體系化能力建設的關鍵在于協同和協作,協同協作不僅僅是在網絡安全廠商之間、網信企業之間、網絡安全廠商與客戶之間、網信企業與專業機構之間,國家的相關部門也要參與其中。國家的相關專業機構,如國家互聯網應急中心(CNCERT)等應在其中承擔重要角色。
在安全事件初期,各種信息比較繁雜,并可能存在不準確的信息。建議國家信息安全應急響應機構作為國家隊的代表,在出現重大安全事件時,積極參與并給出一個更獨立、權威的解決方案,必要時可以購買經過驗證的第三方可靠解決方案,通過多種公眾信息平臺,免費提供給社會,以快速高效地應對大規模的網絡攻擊事件。
(三)進一步加強網絡安全意識建設和管理體系建設
三分技術、七分管理、十二分落實。安全意識和責任制度是落的基本保障。
加強網絡安全檢查機制。加強對國家關鍵基礎設施的安全檢查,特別是可能導致大規模安全事件的高危安全漏洞的檢查。定期開展網絡安全巡檢,把網絡安全工作常態化。把安全保障工作的重心放在事前,強化網絡安全運營的理念和作業體系,把網絡安全保障融入到日常工作和管理之中。
采用科學的網絡安全建設模型和工具,做好頂層設計,推進體系化和全生命周期的網絡安全建設與運營。盡力避免事后打補丁式的網絡安全建設模式,把動態發展、整體的網絡安全觀念落實到信息化規劃、建設和運營之中。
安全建設不要僅考慮產品,同時要重視制度、流程和規范的建設,并要加強人的管理和培訓。
加強網絡安全意識教育宣傳。通過互聯網、微信、海報、報刊等各種形式的宣傳,加強全民網絡安全意識教育的普及與重視。在中小學普及網絡安全基礎知識和意識教育。借助“國家網絡安全宣傳周”等重大活動,發動社會資源進行全民宣傳教育,讓“網絡安全為人民、網絡安全靠人民”的思想深入人心。
(四)進一步加強整體能力建設
切實落實“4?19講話”精神,加快構建關鍵信息基礎設施安全保障體系,建立全天候全方位感知網絡安全態勢的國家能力與產業能力,增強網絡安全防御能力和威懾能力。不僅要建立政府和企業網絡安全信息共享機制,同時要積極推進企業之間的網絡安全信息共享,探索產業組織在其中能夠發揮的積極作用。
加強網絡安全核心技術攻關。針對大型網絡安全攻擊,開發具有普適性的核心網絡安全關鍵技術,例如可以有效防御各類數據破壞攻擊(數據刪除、數據加密、數據修改)的安全技術。
完善國家網絡安全產業結構。按照國家網絡安全戰略方針、戰略目標,加強網絡某些安全產品(安全檢測、數據防護等)的研發。
加強網絡安全高端人才培養。加強網絡安全高端人才培養,特別是網絡安全管理、技術專家培養,尤其是網絡安全事件分析、網絡安全應急與防護,密碼學等高級人才的培養。
加強網絡安全攻防演練。演練優化安全協調機制,提高安全技能和安全應急響應效率。
(五)加強對網絡安全犯罪行為的懲罰
