信息安全等級保護辦法范文
時間:2024-03-04 18:06:35
導語:如何才能寫好一篇信息安全等級保護辦法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
一、指導思想
信息安全等級保護制度是全區信息安全保障工作的一項基本制度,實施信息安全等級保護是社會信息化進程中的一件大事,是維護國家基礎信息網絡和重要信息系統安全最直接、有效的措施。通過深化信息安全等級保護,全面推動重要信息系統安全整改和測評工作,增強信息系統安全保護的整體性、針對性和實效性,提高信息安全保障能力,維護國家安全、社會穩定和公共利益,保障和促進信息化建設。
二、組織領導
成立區信息安全等級保護工作領導小組。由區政府副區長李彥俠擔任組長,區政府電子政務辦、公安分局、區國家保密局為成員單位,領導小組下設辦公室,辦公室設在公安分局網監大隊,由網監大隊大隊長韓迎飛兼任領導小組辦公室主任,具體負責日常事務。
三、職責分工
公安分局負責信息安全等級保護工作的監督、檢查、指導。區國家保密局負責等級保護工作中有關保密工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。區政府電子政務辦負責等級保護工作部門間的協調工作。
四、工作目標
通過開展信息安全等級保護工作,使全區重要信息系統能夠全面進行準確定級和審核備案,建立健全信息安全等級保護職能部門、行業主管部門、信息系統運營使用單位渠道暢通、責任明確、運作協調、通力合作的信息系統安全等級保護工作機制。
五、定級范圍
(一)基礎信息網絡、互聯網接入服務單位、互聯網數據中心、大型互聯網信息服務單位重要信息系統。
(二)鐵路、銀行、海關、稅務、民航、電力、證劵、保險、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、衛生、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。
主要單位包括:區法院、區檢察院、公安分局、區科協、區教育局、區住建局、區農業局、區衛生局、區計生局、區商務局、區工業辦、區果業局、國土分局、國稅分局、環保分局、工商分局、區人才交流中心。
(三)黨政機關的重要網站和辦公信息系統。
(四)涉及國家秘密的信息系統。
(五)其它重要信息系統。
六、工作內容
(一)開展信息系統基本情況的摸底調查。區信息安全等級保護工作領導小組對全區各行業、各單位所屬信息系統進行摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《信息安全等級保護管理辦法》的要求,確定定級對象。
(二)召開區信息安全等級保護工作會議。召集全區信息系統運營使用單位或主管部門召開一次專門的會議,在會議上宣布信息安全等級保護工作的相關情況,并印發《信息系統安全等級保護備案表》,要求信息系統運營使用單位或主管部門在規定的時間內報送到領導小組辦公室。
(三)備案。根據《信息安全等級保護管理辦法》,信息系統運營使用單位或主管部門持《信息系統安全等級保護備案表》及相關手續到網監大隊辦理備案手續,提交有關備案材料。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,向市公安局網安支隊備案。信息系統建設使用單位依據《信息安全等級保護管理辦法》和國家保密局的有關規定,按照屬地管理原則,地方單位的信息系統向所在地的區保密局備案。
(四)備案管理。信息系統備案后,網監大隊對信息系統的備案情況進行審核,發現不符合《信息安全等級保護管理辦法》及有關標準的,應當通知備案單位予以糾正。
(五)監督檢查。區政府電子政務辦、公安分局、區國家保密局等單位將從今年起聯合對各重要信息系統行業主管部門、運營使用單位開展的等級保護工作進行監督、檢查、整改,對拒不落實安全等級保護工作的單位,將依法予以嚴肅處理。
七、工作要求
(一)加強領導,落實保障。各行業主管部門、各重要信息系統運營使用單位要落實責任部門、責任人員,并于4月20日前將《信息系統安全等級保護備案表》及相關備案資料報送領導小組辦公室備案,保障定級工作順利進行。
(二)明確責任,密切配合。定級工作由區政府牽頭,組織區政府電子政務辦、公安分局、區國家保密局、共同實施。各單位必須各司其職,加強聯系,切實做好重要信息系統的安全等級保護。
篇2
[關鍵詞]政府行業;信息系統;等級保護;誤區
doi:10.3969/j.issn.1673-0194.2013.02.040
[中圖分類號]G203[文獻標識碼]A[文章編號]1673-0194(2012)24-0085-03
1 前言
等級保護原本是軍事領域的安全保密體系,為了在計算機世界中實現這一體系,研究人員苦心奮斗多年。隨著網絡時代的到來,等級保護有了新的內涵:從保護對象上,不再局限于軍事領域的大型主機,而是所有對國計民生有重要影響的信息系統;從實施的安全策略上,不再局限于軍事安全保密規則,而是用于各種安全保護策略;從測評角度看,不再限于個別信息安全產品的靜態測評,而是考查網絡系統在實際運行中表現出的綜合保護能力,是涵蓋了架構、功能、管理和配置等各方面檢查的全面、綜合、動態的測評。一句話,等級保護逐步從一種技術思想發展為今天貫穿了信息安全保障各個工作環節的一個過程和一種制度。等級保護標準是等級保護思想進化歷史的快照。各個標準的興衰歷史表明,標準必須與時俱進,跟得上用戶的需求,才能得到有關各方(政府、用戶與廠商等等)的積極響應,而只有得到積極響應的標準才能稱得上有生命。
《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)規定,信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現。
各級各類政府部門在推行信息安全等級保護工作的過程中,由于對相關政策和要求“吃不透”,在實施過程中出現了多種誤讀。本文旨在分析政府行業信息安全等級保護中存在的政策理解誤區并提出相關建議。
2 國內信息安全等級保護實施現狀
2.1 起源
中國早在1984年就開始收集國外等級保護的相關資料。1994年的《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)被視為中國實施等級保護的法律基礎。2004年的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和2007年《信息安全等級保護管理辦法》(公通字[2007]43號)等文件明確了等級保護的定位、基本內容、流程和工作要求以及相關部門的職責任務,為開展等級保護工作提供了規范保障。簡單地說,中國實施等級保護的基本任務是:系統分等級保護、產品分等級管理、事件分等級處置。
隨著《信息系統等級保護安全設計技術要求》(GB/T25070)的和實施,中國的等級保護國家標準和行業標準已有50多個,等級保護標準體系已初步形成。
2.2 實施現狀
《信息安全等級保護管理辦法》(公通字[2007]43號)(以下簡稱43號文件)和《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)的出臺,標志我國信息安全等級保護工作進入實質的實施階段。自從2007年6月份以來,全國范圍內的重要系統普遍開展了信息安全等級保護工作,到目前為止,定級工作已經基本結束,將進入整改階段。回顧我國的等級保護工作,可以看到兩大成效,即定級保護的定級備案工作成效顯著;各種政策標準體系日趨完善。
目前來看,定級工作已經圓滿完成,接下來是建設和整改工作,之后進行一些等級測評工作,工作不斷地暴露出一些問題和政策理解誤區需要解決。
3 等級保護認識誤區
不少部門和單位對等級保護的認識存在一定誤區,較集中的問題是:等級保護的投資較高,對現有投資是一種浪費。用戶經常會反映一些問題,歷年來在安全建設方面已經進行了大量投資,現在建設等級保護是否要“推倒重來”。
對于是否要“推倒重來”,可以從兩方面考慮:
(1)按照國家相關規定,三級以上網絡不能采用國外產品。對于這種底線原則,應該毫不含糊地執行,而由此產生的重復投資,只能說明前期的安全建設沒有遵循統一的標準。
(2)目前信息系統中存在著大量沒有更新、升級,甚至淘汰落后的設備,通過等級保護的實施,需要對原有網絡系統進行加固,重新購買某些產品的服務,這種投資不能稱之為重復投資。
4 定級備案對象誤區
4.1 定級范圍
《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)規定了信息安全等級保護的定級范圍,包括:
(1)電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。
(2)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業,部門的生產、調度、管理、辦公等重要信息系統。
(3)市(地)級以上黨政機關的重要網站和辦公信息系統。
(4)涉及國家秘密的信息系統。
4.2 定級對象確定誤區
政府行業在實際開展信息安全等級保護定級過程中,由于沒有對相關信息系統進行深入的定級對象分析,包括信息系統管理組織機構、業務應用、物理位置和運行環境等,經常會產生以下誤區。
4.2.1 定級對象安全責任單位不明確
按照要求,作為定級對象的信息系統應能夠唯一確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等工作,則這個下級單位可作為定級對象安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應當是這些下級單位共同所屬的上級單位。
而在實際定級對象確定過程中,很多單位和部門存在著安全責任單位確定的隨意性,例如對于一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,可能隨意指定一家下屬單位作為安全責任單位等情況,而其他下屬單位認為該系統的安全責任單位并非自己,存在疏忽和大意的情況,導致在定級對象備案、測評、整改過程中產生很多低效率環節。
4.2.2 定級對象不具備信息系統的基本要素
按照要求,作為定級對象的信息系統應該是由相關的或配套的設施設備按照一定的應用目標和規則組合而成的有形實體。
而在實際定級對象確定過程中,則存在將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象的情況,這些單一的系統組件往往不具備信息系統的基本要求,因此不應作為定級對象。
4.2.3 定級對象業務應用不單一或不獨立
按照要求,定級對象應承擔單一或獨立的業務應用,該業務應用的業務流程獨立,與其他業務應用沒有數據交換且獨享所有信息處理設備。
而在實際定級對象確定過程中,有很多應用系統其實是作為其他業務應用系統的一個分支或一部分,而不屬于(公信安[2007]861號)文件規定的定級范圍。例如船舶過閘收費系統、水情信息監測系統等只是作為一套遙測或監控系統,本質上是為上層業務系統提供數據支撐或實時監控的,與其他業務應用會發生數據交換,不應單獨作為定級對象。
5 等保級別確定誤區
5.1 安全保護等級劃分原則
《信息安全等級保護管理辦法》(公通字[2007]43號)規定了信息系統的安全保護等級劃分原則,見表1。
5.2 不同級別系統基本要求項的差異
按照要求,應根據“業務信息”和“系統服務”的需求確定整個系統的安全保護等級,不同級別的系統中,信息安全等級保護的基本要求有很大差異,對技術要求和管理要求的級別也不同,見表2。
5.3 定級誤區
政府行業在實際開展等級保護定級過程中,經常會因為各種原因造成定級偏高或偏低的情況。
5.3.1 定級偏高
如果系統定級偏高,則會造成該信息系統信息安全過度保護,會增加技術安全防護費用,同時大量增加管理成本。信息系統的測評的頻率和要求也相應提高,造成資源浪費。同時由于級別越高,系統的技術和管理要求越高,致使信息系統的易用性受到影響。總的來說,系統定級偏高,會形成“好鋼沒用在刀刃上”的后果。
5.3.2 定級偏低
如果系統定級偏低,則會造成該信息系統安全保護不到位,沒有根據系統侵害客體以及侵害客體的實際情況確定系統保護等級,相應的技術防護水平和安全管理要求難以滿足安全需求,且系統安全測評的頻率和要求也隨之降低。系統一旦發生安全問題,會形成管理部門的過度責任。
6 實施和測評誤區
6.1 系統定級后就完成了等級保護
很多部門和單位認為系統完成了定級也就完成了等級保護。其實,完成等級保護定級工作并不是萬事大吉,而是剛剛開始。套用一句廣告詞:“你才剛上路呢。”由于對政策的不理解,很多用戶認為完成定級就是完成了等級保護。其實,自定級只是等級保護的入門工作。
涉及等級保護的相關文件已經明確提出系統的安全問題遵循“誰建設誰維護”的原則。安全本身是動態的,這就決定了等級保護是長期、持續性的工作。等級保護最大的推動力是每半年或一年一次的系統檢查,檢查將統一用戶對等級保護建設的認識。
6.2 將安全測評等同于等級保護
在我國,目前主管部門安全認可的依據多數是系統安全測評的結果。主管部門根據系統測評結果判斷,如果殘余風險可以接受,則允許系統投入運行或繼續運行,否則信息系統便沒有達到特定安全等級的安全要求。沒有最終的主管認可過程,等級保護無法落到實處。從這個意義上講,進行等級保護建設、實施風險管理過程后的系統安全測評及行政認可是等級保護的落腳點。而不能認為系統做了安全測評就是完成了等級保護。
7 結語
當今的信息產業已經成為國民經濟重要支柱之一,政府信息系統對于提高政府公共服務能力,建設責任政府、法制政府和服務政府提供著重要支撐和保障。同時,政府信息系統的安全性問題也越來越重要,必然成為我國開展信息系統安全等級保護的重點。在政府部門開展信息系統安全等級保護過程中,必須嚴格按照等保相關規定和文件的要求,深入剖析政策內涵,做到政策理解到位,定級范圍合理,等保級別準確,實施過程完整,測評及時有效。
主要參考文獻
[1]朱繼鋒,趙英杰,楊賀,等.等級保護思想的演化[J].信息安全與通信保密,2011(4).
[2]張戈.等級保護的三大誤區[N].電腦商報,2008-03-03.
[3]中華人民共和國國務院.中華人民共和國計算機信息系統安全保護條例[S].1994.
篇3
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管;②對信息系統中使用的信息安全產品實行按等級管理;③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據信息系統安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統一建設的應用系統進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》,加強桌面安全、網絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統的等級測評和安全建設整改工作,進一步提高信息系統的安全防御能力,提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后,聘請專業測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統持續安全穩定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網絡安全、容災等相關技術相互結合,建立統一的安全監控平臺和安全運行中心,實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍;采用集中管理、分級維護的管理模式,網絡與安全運維人員采用授權方式,持證上崗,建立網絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區公司的網絡安全風險評估工作。
(3)建立重要信息系統應急處置預案,完善災難恢復機制。2008 年,中國石油了《網絡與信息安全突發事件專項應急預案》,所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統,保障業務系統在遭遇突發事件時,能快速反應并恢復業務系統可用性。通過災難恢復項目研究,形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統災難恢復等級,完善了災難恢復機制。
(4)規劃信息安全運行中心,建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合,實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合,實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制,形成中國石油統一的應急指揮與協調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面,重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件,20余個重要行業出臺了40余份行業等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規劃;14個行業重要信息系統底數不清、安全保護狀況不明;12個行業未組織全行業信息安全專門業務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統規劃過程中,沒有認真制定安全策略和安全體系規劃,導致安全策略不得當;22%的信息系統網絡結構劃分不合理,核心業務區域部署位置不當,業務應用不合理,容易導致黑客入侵攻擊,造成網絡癱瘓,數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統安全加固和整改經費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面,有34.9%的信息系統沒有保護主機審計記錄,34.8%的信息系統沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統沒有采取監測重要服務器入侵行為的技術措施,容易使內部網絡感染病毒,對攻擊行為無法進行有效監測和處置。
(3)我國信息技術與國外存在一定差距,安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高,依賴國外產品的情況還比較普遍;國內信息安全專業化服務力量薄弱,安全服務能力不強,部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商,給重要信息系統安全留下了隱患。
為了有效提高我國企業信息安全水平,增加等級保護的可行性及執行力,建議:①各企業開展以信息安全等級保護為核心的安全防范工作,提高網絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產品化,重視產品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全,2012(1).
篇4
等級測評工作其實是信息系統安全建設或整改工作結束后對信息系統安全狀況進行檢驗和發現問題,以促進信息系統安全狀況達到等級保護的要求。本刊記者就等級測評工作的相關內容采訪了公安部信息安全等級保護評估中心系統測評部副主任、高級測評師陳雪秀。
|醫療衛生機構完成安全建設或整改工作之后就進入到等級測評工作階段,請您介紹一下等級測評工作的內容及流程。
陳雪秀:首先應該明確,等級測評工作是檢測評估信息系統安全等級保護狀況是否達到相應等級能力要求的過程,是落實信息安全等級保護制度的必要環節。
等級測評工作的主要內容包括:在確定的測評指標范圍內,進行現場測評(包括單元測評和系統整體測評),單項測評結果判定,綜合分析和風險評價,并給出等級測評結論、編制等級測評報告等一系列內容。
在GB/T 28449-2012《信息系統安全等級保護測評過程指南》中規范了等級測評的活動流程,分為四個基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。通過這四個基本測評活動過程可以發現系統中存在的安全問題和隱患,并給出這些問題或隱患給系統帶來的安全風險或影響,為信息系統安全保護能力和安全管理水平的提升奠定技術基礎。
需要強調的是,測評雙方之間的溝通與洽談應貫穿整個等級測評過程。
|作為高級測評師,您在測評工作中已經積累了很多測評經驗,請您介紹一下測評師是如何對信息系統進行測評的。
陳雪秀:等級測評工作是一項對實踐經驗要求很強的工作,需要測評機構和人員在實踐過程中不斷積累和完善各類測評方法,規范測評活動。測評機構的權威性、公正性和質量保證,是維持測評機構生存的基礎,也是保證測評數據、測評結論客觀、準確的基礎。
現場測評活動是開展等級測評工作的核心活動。活動的主要任務是按照測評方案的總體要求,嚴格執行測評指導書,分步實施所有測評項目,包括單元測評和整體測評兩個方面,以了解系統的真實保護情況,獲取足夠證據,發現系統存在的安全問題。
現場測評必須由具有測評師資質的人員(即測評師,一般分為高級測評師、中級測評師和初級測評師,初級測評師又分為管理測評師和技術測評師)采用一定的測評方法在委托方人員的配合下進行現場測評取證。測評方法一般包括人員訪談、文檔檢查、上機核查、工具測試、實地察看等。人員訪談一般是針對安全管理方面和技術方面的全局問題;文檔檢查主要是針對安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理五大管理方面;上機查核主要針對網絡、主機和應用方面;實地察看主要針對物理安全方面,工具測試一般針對技術方面開展,包括漏洞掃描、源代碼審查、滲透測試等。
|我們都知道根據信息安全等級保護工作的要求,定為第三級的系統每年都要測評一次,請您談談每一年的測評工作內容有什么不同?
陳雪秀:《信息安全等級保護管理辦法》(公通字〔2007〕43號)中規定三級系統每年測評一次,四級系統每半年測評一次是非常有必要的。眾所周知,安全是一個動態的過程。隨著時間的推移和外部環境的變化,信息系統面臨的外部威脅和自身的安全現狀、安全需求均會發生較大的變化,變化的部分即是測評的重點。
因此,每年測評主要關注以下方面:(1)上一年度測評發現的安全問題。(2)系統的變更情況。系統由于網絡結構調整、業務規模變化可能導致測評范圍發生變化,如果系統級別變更會導致測評指標發生變化,新系統采用了虛擬化、大數據、移動互聯等新技術、新應用引發新的安全需求而帶來測評指標的變化。(3)外部環境的變化。一方面關注目前國際、國內安全形勢的新動向新變化,目前產品的自主、可控是安全關注的重點,對抗有組織的外部攻擊的能力和應急響應能力也是本年度測評關注的重點。另一方面,關注新的安全威脅或漏洞隱患情況,如心臟滴血(Open ssl heart bleeding)漏洞、struts2遠程執行漏洞、BadUSB的安全漏洞等。(4)系統日常運行帶來新的安全隱患。在信息系統日常運行維護過程安全管理執行落實情況、安全策略配置的有效性等,需要在每年測評時重點關注。
篇5
關鍵詞:信息安全;醫院信息系統;安全措施
隨著信息與網絡技術的不斷發展,我們進入了一個信息爆炸的時代,人們可以輕松便捷的通過網絡技術來進行各種活動。伴隨而來的信息安全問題也越發嚴重,也受到越來越多行業的關注,在網絡技術發展普及的同時,信息技術業在醫學領域得到廣泛的應用,同右攪蘋構信息系統的信息安全性在當今也同樣得到極大的重視。
1 信息系統安全管理的原則
信息系統安全的核心目標是為關鍵資產提供可用性、完整性和機密性[1],所有安全控制、機制和防護措施的實現都是為了提供這些原則中的一個或多個。基于安全需求原則,醫療機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統等級保護要求確定相應的信息系統安全保護等級,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果,做到技術和管理并重。
2 國內醫療信息安全體系
在醫療活動中,醫療機構為了診斷及科研等其他需要,經常使用醫療信息系統采集、大量的醫療相關數據,其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來越多醫療機構普遍遇到的問題。與此同時,衛生行政主管部門認識到了醫療機構信息系統安全的重要性,也逐年醫療信息保障管理辦法。2004年9月的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)進一步強調了開展信息安全等級保護工作的重要意義,規定了實施信息安全等級保護制度的原則、內容、職責分工、基本要求和實施計劃,部署了實施信息安全等級保護工作的操作辦法。2011年,信息安全等級保護已列入《三級綜合醫院評審標準》中信息化規范建設的重要考核依據與指標。2011年衛生部《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》,要求衛生行業“全面開展信息安全等級保護工作”。
3 醫院信息安全治理與風險管理
醫院系統信息安全風險管理的傳統措施是以邊界、安全域為主的思路和模式,采用被動的、防御型的技術手段,屬于應對型的安全建設模式[2]。近些年來,隨著安全技術的快速發展,醫院信息安全規劃與建設思路也在發生轉變,其防護重點逐漸轉向醫院信息系統數據內容、應用、用戶身份和行為等全方位的安全防護;安全治理觀念也逐漸轉變為主動防御的合規管理工作,同時加強醫院信息安全監控綜合分析。通過信息系統安全指標作為衡量依據,衡量安全建設績效推進醫院信息系統安全治理,從而以工具化、自動化的安全手段,應對不斷擴張的IT資產管理,有效落實安全管理要求。
醫院信息安全責任部門正確運用控制措施能降低醫院信息系統安全面臨的風險,控制主要分為三種類型:管理控制、技術控制和物理控制[3]。管理控制因為通常是面向管理的,所以經常被稱為“軟控制”,如安全文檔、風險管理、人員安全和培訓都屬于管理控制;技術控制也稱為邏輯控制由軟件或硬件組成,如防火墻、入侵檢測系統、加密、身份識別和認證機制;物理控制用來保護設備、人員和資源,保安、鎖、圍墻等都屬于物理控制。在實際建設和規劃中,醫院信息安全責任部門應正確以分層的方法綜合使用多個安全控制類型,為醫院信息平臺提供安全深度防御。由于入侵者在獲得訪問關鍵資產前將不得不穿越多個不同的保護機制,因此多層防御能夠將滲透成功率和威脅降低到最小,從而保障醫療機構信息系統安全。
4 醫院系統的安全風險分析及對策
4.1訪問控制安全 安全的根本所在是通過控制如何訪問信息資源來防范資源泄露或未經授權的修改。訪問控制是一種安全手段,控制用戶和系統如何與其他系統和資源進行通信和交互。訪問控制能夠保護系統和資源免受未經授權的訪問,并且在身份驗證過程成功結束之后確定授權訪問的等級。信息訪問控制的實現手段在本質上都處于技術性、物理性或行政管理性層面。同時需要注意,任何接口處是最應該實施安全控制的一個地方,需要層層縱深防御來實施訪問控制。訪問控制是防范醫療機構信息系統和資源被未授權訪問的第一道防線,系統使用用戶的訪問權限主要基于其身份、許可等級和/或組成員資格。訪問控制給予組織機構控制、限制、監控以及保護資源可用性、完整性和機密性的能力[4]。
4.2計算機及操作系統安全 計算機是系統內提供某類安全并實施系統安全策略的所有硬件、軟件和固件的組合,然而其并不僅限于操作系統,操作系統的主要風險包括系統漏洞和文件病毒等。醫療機構的信息安全責任部門需對帳戶、訪問、用戶權限等進行管理與控制,做好定期監視、審計和時間日志記錄和分析。可以采用通過修改注冊表,屏蔽客戶端操作系統無關的內容,限制訪問相關資源;還應及時下載系統補丁,盡可能關閉不需要的端口,以彌補系統漏洞而給醫院信息系統安全性帶來的各類隱患。醫療機構辦公計算機中的很多安全管理軟件會產生安全日志,應由信息安全主管部門對這些安全日志進行管理分析以不斷強化整體安全解決方案,例如針對于醫院可能發生的“統方”時間以及其他對醫院影響較大的安全事件,醫療機構主管部門應能夠及時發現、定位、報警以及事后審計。
篇6
【 關鍵詞 】 云計算;云安全;CSA信息安全等級保護
1 云安全現狀分析
1.1 全球企業和消費者對云計算安全的關注
云計算是一種新興的商業計算模型,它利用高速互聯網的傳輸能力,將數據的處理過程從個人計算機或服務器轉移到一個大型的計算中心,并將計算能力、存儲能力當作服務來提供。云計算模式已得到業界普遍認同,成為信息技術領域新的發展方向。但是隨著云計算的大量應用,云環境的安全問題也日益突出。在擁抱云計算的同時云計算面對的風險也是不容忽視,如果不能很好的解決相關的安全管理問題,云計算就會成為過眼“浮云”。 在眾多對云計算的討論中,SafeNet的調查非常具有代表性。
“對于云計算面臨的安全問題, 88.5%的企業對云計算安全擔憂,占首位。一方面,安全保護被視為云計算廣泛使用的絆腳石;另一方面,它也可以成為云計算的推動力量。在“云”模式下,通過找到一個有效的保護數據的方法,企業則可以將“云”模式所帶來的商業潛力最大化,從而在行業中保持持續創新和增長。” 從調查和社會反饋來看,如何保證云環境的安全成為企業和消費者最為關注的問題,如何做好企業和消費者所關注的云計算的安全和管理問題也成為發展云計算產業急需解決的關鍵問題。
1.2 云計算安全理論研究及規范、標準現狀分析
云計算作為全新的Web服務模式,其本質是計算與存儲能力從桌面端到網絡端(云端)遷移、以及網絡資源的動態伸縮,包括軟件即服務(SaaS)、平臺即服務(PaaS)和基礎設施即服務(IaaS)等內容,以實現縮減IT成本、提高企業業務運營效率等目的。可預見的是,云計算將在互聯網、電信、IT、金融及政府企事業單位等領域的信息化建設中扮演重要角色,為現有工作方式以及商業應用帶來根本性變化。
云計算應用安全研究目前還處于起步階段,業界尚未形成統一標準,目前主要的研究組織主要包括CSA(Cloud Security Alliance,云安全聯盟)、CAM(common assurance metric beyond the cloud通用保障測量體系)等相關論壇。 為了推動云計算應用安全的研究交流與協作發展,業界多家公司在2008年12月聯合成立了CSA,該組織是一個非贏利組織,旨在推廣云計算應用安全的最佳實踐,并為用戶提供云計算方面的安全指引。CSA在2009年12月17日的新版的《云計算安全指南》(V2.1),著重總結了云計算的技術架構模型、安全控制模型以及相關合規模型之間的映射關系,從云計算用戶角度闡述了可能存在的商業隱患、安全威脅以及推薦采取的安全措施。另外,歐洲網絡信息安全局(ENISA)和CSA聯合發起了CAM項目。CAM項目的研發目標是開發一個客觀、可量化的測量標準,供客戶評估和比較云計算服務提供商安全運行的水平。 此外,2011年1月美國國家標準委員會推出了SP800-144標準草案,針對公有云計算的安全與隱私保護提出了指導性意見。
目前,國內專門針對云計算提出的安全管理標準和規范尚屬空白,尚無云安全的相關法律法規政策出臺。2007年,國家公安部、保密局、國家密碼管理局、國務院信息化領導小組辦公室聯合頒布了861號文件《關于開展全國重要信息系統安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》,要求涉及國計民生的信息系統應達到一定的安全等級。現在相關部門正在針對云計算平臺與傳統信息系統的技術及管理方面的差別進行深入研究。未來將可能在此基礎上對信息安全等級保護管理辦法進行針對性的升級,作為國內云計算平臺的安全管理標準及規范。
1.3 云安全的兩種研究方向
當前,由于云計算方興未艾,許多云服務提供商也紛紛出臺了自己的云安全解決方案。目前云安全基本上有兩種研究方向:云計算平臺的安全和安全云。
安全云:是研究如何以云計算的模式提供安全服務,目前的服務比較單一,已防病毒為主,主要來源于傳統的殺毒廠商,如瑞星、PANDA、McAfee等。
云計算安全:則是研究如何保護云計算平臺本身的安全性,是目前很多云服務提供商和云安全研究機構研究的主體。
2 云安全需求分析
2.1 CSA云計算關鍵領域安全指南V2.1
CSA云計算關鍵領域安全指南V2.1中為云安全構建了技術及管理框架(如下圖),其中包含了3個層面,13個關注點。
CSA安全指南v2.1在技術上面明確闡述了法律、電子證據發現(D3)以及虛擬化(D13)方面的安全關注建議,另外對于數據的可移植性和互操作性(D6)也是新版CSA安全指南的獨特之處。這些內容在ISO27001或者PCI-DSS中或者沒有要求,或者很少闡述。
D3和D6都是法律層面的關注點;而D13虛擬化則是安全技術關注點,這也是云計算中心相對于傳統信息中心在技術方面最大的區別之一。
2.2 傳統信息系統的基本安全需求
《信息安全等級保護管理辦法》中對信息系統的安全需求的深入研究,對傳統信息系統的安全做出了很全面的規定,主要包含兩個層面的要求:技術層面和管理層面。
應用系統應根據《計算機信息系統安全保護等級劃分準則》確定自身的等保級別,并根據《信息系統安全等級保護基本要求》的具體要求進行安全系統與制度建設。不同級別間的大項要求相同,細項不同。下圖對不同級別系統控制項的差異進行了匯總。
篇7
【關鍵詞】信息系統 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數據泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領導的重視和社會關注。為提高網絡安全和互聯網治理,2014年,我國成立了以主席為最高領導的信息安全管理機構-中央網信辦;2016年11月,在中國烏鎮舉行了《第三屆世界互聯網大會》。通過一系列的行為,為求現有的網絡系統能夠提高安全能力,為廣大社會群眾提供服務的同時,能夠保證人民的利益。
信息系統是由硬件、軟件、信息、規章制度等組成,主要以處理信息流為主,信息系統的網絡安全備受關注。企業在應對外部攻擊,安全風險的同時,當務之急是建立一套完整的信息安全管理體系。在統一的體系管控下,分布實施,開展各項安全工作。
目前,大多數企業的信息安全工作比較單一,主要是部署安全防護設備,進行簡單的配置。信息安全工作不全面,安全管理相對薄弱,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴格
考慮到方便記憶和頻繁的登錄操作,企業普遍存在管理員賬號簡單或者直接采用系統的默認賬號現象,并且基本不設定管理員的權限,默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號,攻擊者如入無人之境,可以任意妄為。最終可造成數據泄露,系統癱瘓等不可估量的嚴重后果。注重信息安全的企業會修改默認管理員賬號,設定較為復雜的口令,并定期進行口令更換。但是也僅僅使用一種身份鑒別技術,不足以抵抗外部攻擊。
1.2 外部攻擊,層出不窮
隨著計算機技術的發展,信息系統的外部攻簦層出不窮。攻擊者利用網絡系統的漏洞和缺陷,攻擊系統軟件、硬件和數據,進行非法操作,造成系統癱瘓或者數據丟失。 目前主要存在的攻擊手段包括掃描技術、郵件
攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統的一定權限、提升為系統最高權限、安裝系統后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據系統特性和網絡結構采取不同的手段對網絡進行攻擊,如果不采取相應的防御手段,很容易被黑客攻擊,造成損失。
1.3 員工安全意識薄弱
很多互聯網企業的員工缺乏信息安全意識,存在離開辦公電腦時不鎖屏現象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料;優盤未經殺毒直接連接公司電腦;隨意點擊不明郵件的鏈接;更有員工將系統賬號、密碼粘貼在辦公桌上;在系統建設階段,大到管理者,小到開發人員、測試人員,均注重技術實現和業務要求,而忽略了系統的安全和管理。由于員工的信息安全意識較為薄弱,很容易造成公司信息泄露,進而導致公司的損失。
1.4 內部管理制度不完善
俗話說,“不以規矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規程,可能導致信息安全管理制度體系存在疏漏,部分管理內容無法有效實施。使相關工作過程缺乏規范依據和質量保障,進而影響到信息系統的安全建設和安全運維。比如在軟件開發過程中,開發人員會因為各種原因而忽略安全開發(存在開發人員沒有意識到代碼安全開發的問題;有些開發人員不愿意使用邊界檢查,怕影響系統的效率和性能;當然也存在許多遺留代碼存在問題的現象,從而導致二次開發同樣產生問題),可能導致系統存在后門,被黑客攻擊。
2 防范措施
企業需依據《信息安全等級保護管理辦法(公通字[2007]43號)》、《中華人民共和國網絡安全法》》、《ISO/IEC 27001》等標準和法律法規進行信息系統安全建設工作。測評機構在網安的要求下,對企業信息系統的安全進行測評,并出具相應測評結果。根據測評結果和整改建議,采用相應的技術手段(安全認證、入侵檢測、漏洞掃描、監控管理、數據備份與加密等)和管理措施(安全團隊、教育與培訓、管理體系等)對信息系統進行整改。如圖1所示。
2.1 技術手段
2.1.1 安全認證
身份鑒別是指在計算機系統中確認執行者身份的過程,以確定該用戶是否具有訪問某種資源的權限,防止非法用戶訪問系統資源,保障合法用戶訪問授權的信息系統。凡登錄系統的用戶,均需進行身份鑒別和標識,且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制,常用的鑒別技術(認證技術)如表1所示。
不同的認證技術,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高,但會遇到各種問題,導致便捷性較差(比如存在軟硬件適配性問題,移動終端無USB口等)。一般認為在相同的便捷性前提下,選擇安全等級較高的認證技術。針對重要系統應采用雙因子認證技術。
2.1.2 入侵檢測
入侵檢測能夠依據安全策略,對網絡和系統進行監視,發現各種攻擊行為,能夠實時保護內部攻擊、外部攻擊和誤操作的情況,保證信息系統網絡資源的安全。入侵檢測系統(IDS)是一個旁路監聽設備,需要部署在網絡內部。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,從而掌控整個信息系統安全狀況。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數據庫,通過掃描等手段對目標系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統安全隱患掃描、應用安全隱患掃描、數據庫安全配置隱患掃描等。系統安全隱患掃描根據掃描方式的不同,分為基于網絡的和基于主機的系統安全掃描,可以發現系統存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數據庫安全配置隱患掃描可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。
漏洞掃描主要用于評估主機操作系統、網絡和安全設備操作系統、數據庫以及應用平臺軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。
2.1.4 監控管理
網絡監控主要包括上網監控和內網監控兩部分。目前市場上已做的完整監控軟件已包含上述功能。網絡監控需結合網絡拓撲,在網絡關鍵點接入監控工具監測當前網絡數據流量,分析可疑信息流,通過截包解碼分析的方式驗證系統數據傳輸的安全。例如Solarwinds網絡監控平臺,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執行全面的帶寬性能監控和故障管理;可以分析網絡流量;可以對服務器上運行的服務和進程進行自動監控,并在故障發生時及時告警;可對VOIP的相關參數進行監控;可以通過直觀的網絡控制臺管理整個IP架構;可快速檢測、診斷及解決虛擬化環境的網絡性能;強大的應用程序監視、告警、報告功能等。
2.1.5 數據備份與加密
企業高度重視業務信息、系統數據和軟件系統。數據在存儲時應加密存儲,防止黑客攻擊系統,輕易獲得敏感數據,造成公司的重大經濟損失。常用的加密算法包括對稱加密(DES、AES)和不對稱加密算法(RSA)。密碼技術不僅可以防止信息泄露,同時可以保證信息的完整性和不可抵賴性。例如現在比較成熟的哈希算法、數字簽名、數字證書等。
除了對數據進行加密存儲外,由于存在數據丟失、系統斷電、機房著火等意外,需對系統數據進行備份。按照備份環境,備份分為本地備份和異地備份;按照備份數據量的多少,備份分為全備、增備、差分備份和按需備份。各企業需根據自己的業務要求和實際情況,選取合適的備份方式進行備份。理想的備份是綜合了軟件數據備份和硬件冗余設計。
2.2 管理措施
2.2.1 安全團隊
企業應設立能夠統一指揮、協調有序、組織有力的專業的安全管理團隊負責信息安全工作,該團隊包括信息安全委員會,信息安全部門及其成員。安全部門負責人除了具備極強的業務處理能力,還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業人員數量在逐漸增加,話語權在增多,肩上的擔子也越來越大。安全團隊需要定好自己的位,多檢查少運維,多幫企業解決問題。即安全團隊修路,各部門在上面跑自己的需求。
2.2.2 教育c培訓
保護企業信息安全,未雨綢繆比亡羊補牢要強。培養企業信息安全意識文化,樹立員工信息安全責任心,是解決企業信息安全的關鍵手段之一。企業的競爭實際上是人才的競爭,除了定期進行技能培訓外,還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃,包括但不限于在線、郵件、海報(標語)、視頻、專場、外培等形式。通過對員工的安全意識教育,能從內部預防企業安全事件的發生,提高企業的安全保障能力。
2.2.3 管理體系
隨著計算機攻擊技術的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統的安全。因此,企業需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達到分工明確,職責清晰,安全開發,可靠運維。安全管理制度作為安全管理體系的綱領性文件,在信息系統的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時,可根據自身情況,采取不同的方法,一般經過PDCA四個基本階段(Plan:策劃與準備;Do文件的編制;Check運行;Action審核、評審和持續改進)。可依據ISO27000,信息安全等級保護等,從制度、安全機構、人員、系統建設和系統運維5個方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規程和記錄文檔組成,如圖2所示。
3 結語
國家不斷加強對各個互聯網企業、金融、銀行等的信息安全工作監督,通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯網網站專項安全測評等方式,規范企業的信息安全建設工作。同樣,信息安全工作長期面臨挑戰,不能一蹴而就,需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。
參考文獻
[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學雜志社,2007(37):129-150.
[2]李嘉,蔡立志,張春柳等.信息系統安全等級保護測評實踐[M].哈爾濱工程大學出版社,2016(01).
[3]蔣欣.計算機網絡戰防御技術分析[J].指揮控制與仿真,2006(08),28-4.
作者簡介
康玉婷(1988-),女,上海市人。碩士學位。現為信息安全等級測評師、初級工程師。主要研究方向為信息安全。
作者單位
篇8
【關鍵詞】大數據 企業網絡 信息安全
1 大數據下的網絡安全現狀
網絡企業普遍將大數據定義為數據量與數據類型復雜到在合理時間內無法通過當前的主流數據庫管理軟件生成、獲取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等的大型數據集。大數據具有4V特征,即數據量大、數據類型多、數據價值密度低、數據處理速度快。在大數據計算和分析過程中,安全是不容忽視的。大數據的固有特征對現有的安全標準、安全體系架構、安全機制等都提出了新的挑戰。面向大數據的高效隱私保護方法方面,高效、輕量級的數據加密已有多年研究,雖然可用于大數據加密,但加密后數據不具可用性。保留數據可用性的非密碼學的隱私保護方法因而得到了廣泛的研究和應用。這些方法包括數據隨機化、k-匿名化、差分隱私等。這些方法在探究隱私泄漏的風險、提高隱私保護的可信度方面還有待深入,也不能適應大數據的海量性、異構性和時效性。
2 企業網絡信息安全的主要問題
在開放的互聯網環境中,企業網絡信息安全問題日益突顯,成為影響互聯網快速發展的重要因子。從實際來看,造成企業網絡信息安全問題的因素多元化,計算機系統漏洞、病毒入侵、黑客進攻是造成目前網絡信息安全主要原因。特別是病毒入侵、黑客進攻的頻繁,對整個互聯網的發展形成了較大影響。
2.1 計算機系統漏洞
計算機系統漏洞的存在,是造成計算機網絡信息安全的重要原因。在日常的系統運行中,360等安全工具都會對系統進行不定期的漏洞修復,以確保系統運行的安全穩定。因此,計算機系統漏洞的存在,一方面造成了計算機運行中的不穩定性,易于受到外界的惡意攻擊,進而造成網絡終端用戶的信息安全;另一方面,系統漏洞的存在,為黑客等的攻擊,提供了更多的途徑和選擇,特別是系統和軟件編寫中存在的漏洞,給不法分子的惡意攻擊提供了可能,進而造成計算機系統信息數據被盜,給計算機用戶的信息安全帶來極大的安全隱患。
2.2 計算機病毒攻擊
計算機病毒是當前計算機安全問題的“始作俑者”,對計算機網絡信息安全帶來極大的破壞性。計算機病毒具有隱蔽性強、可擴散等特點,決定了其在計算機安全中的巨大破壞性。首先,計算機病毒入侵的過程中,會造成計算機出現運行不穩定、系統異常等情況,數據丟失、硬盤內存不足等問題的出現,都會影響計算機的安全運行;其次,病毒一旦入侵計算機,其自動傳播、自動復制的特性,如木馬、蠕蟲等計算機病毒,可以讓其在計算機系統中形成大規模的自動傳播,進而對計算機系統內的數據信息進行破壞及竊取。
2.3 黑客攻擊頻繁
在開放的互聯網平臺,日益活躍的黑客成為企業網絡信息安全的重要影響因子。黑客通過入侵計算機系統,進而對計算機網絡的正常運行形成破壞,甚至將整個計算機網絡癱瘓,造成巨大的安全影響。近年來,隨著互聯網技術的不斷發展,黑客攻擊日益頻繁,且攻擊手段多樣化,這給計算機網絡安全帶來較大威脅。一方面,網絡安全監管存在漏洞,良好的網絡環境有待進一步凈化;另一方面,安全工具在技術升級等方面,存在一定的滯后性,在應對黑客進攻的過程中,表現出較大的被動性,以至于計算機網絡運行故障問題的頻發。
3 企業網絡信息安全防護辦法
完整的企業網絡信息安全防護體系應包括以下幾方面,如圖1所示。
3.1 企業系統終端安全防護
對企業計算機終端進行分類,依照國家信息安全等級保護的要求實行分等級管理,根據確定的等級要求采取相應的安全防護。企業擁有多種類型終端設備,對于不同終端,根據具體終端的類型、通信方式以及應用環境等選擇適宜的保障策略。確保移動終端的接入安全,移動作業類終端嚴格執行企業制定的辦公終端嚴禁“內外網機混用”原則,移動終端接入內網需采用軟硬件相結合的加密方式接入。
3.2 企業網絡邊界安全防護
企業網絡具有分區分層的特點,通過邊界防護確保信息資產不受外部的攻擊,防止惡意的內部人員跨越邊界對外實施攻擊或對內進行超越權限的訪問和攻擊,在不同區的網絡邊界加強安全防護策略,或外部人員通過開放接口、隱蔽通道進入內部網絡。在管理信息內部,審核不同業務安全等級與網絡密級,在網絡邊界進行相應的隔離保護。按照業務網絡的安全等級、業務連續性需求以及用途等評價指標,采用防火墻隔離技術、協議隔離技術、物理隔離技術等對關鍵核心業務網絡進行安全隔離,實現內部網與外部網訪問資源的有效控制。
篇9
持續推動的等級保護
信息化技術標準委員會副主任委員崔書昆認為,在基礎信息網絡和重要信息系統的安全嚴重關系到國家安全、社會穩定以及人民群眾切身利益的今天,信息安全問題已然成為事關全局的戰略性問題。近年來,有關部門圍繞信息安全保障體系建設,在信息安全等級保護、風險評估、標準制定、產品開發及打擊各種網絡違法犯罪活動等方面取得了積極進展。在這種情勢下,將信息安全等級保護確定為提高國家信息安全保障能力,維護國家安全、社會穩定和公共利益的一項基本制度,是非常必要的。
可以這樣理解,我國信息安全各項工作快速推進,信息安全風險評估工作和保障體系建設、信息安全管理工作、信息安全法制化和規范化建設、信息化基礎設施和體系建設取得了重要的成效。特別是從2007年7月20號開始,全國重要信息系統定級工作已經開始,并在各行業、各部門、各單位的支持下,取得了豐碩的成果。
從2008年開始,公安部會同國家保密局等部門,在重要信息系統定級工作的基礎之上,部署和開展深入推進信息安全等級保護工作,它主要分為三個方面:
第一,依據國家行業標準,從管理和技術兩個方面,開展信息系統安全建設整改,建立并落實安全管理制度,落實安全責任制。
第二,根據等級保護標準開展風險評估、災難備份、應急處置、安全檢查等工作。
第三,對信息系統應用的一些重要單位,開展等級保護工作檢查。
公安部網絡安全保衛局郭啟全處長說:“目前全國范圍內,大規模的重要系統定級工作已經基本完成,相關資料目前集中到公安部進行管理。定級工作的主要成效是了解重要信息系統的底數,掌握國家信息安全的基本情況,為全面貫徹落實信息安全等級保護制度,推動國家信息安全保障等工作的深入發展奠定堅實的基礎。同時,某些地方、企業或者單位沒有完成定級工作,但會納入到我們下一階段的檢查工作當中完成。另外,有些企業會隨后逐步執行該工作,不會影響國家等級保護制度的大規模推動。”
實施等級保護,充分體現了“適度安全、保護重點”的目的,可以把國家的重要網絡、重要系統挑出來,把國家有限的精力、財力投入到信息保護當中去,提高國家基礎網絡和重要信息系統的安全保護水平,同時提高信息安全保障工作的整體水平。
奧運留下的財富
“2008年北京奧運會的信息網絡安全工作給我們留下了很多財富。”郭啟全曾經說過,奧運會對我們國家的信息網絡安全工作進行了一次大考。它既考驗了我們國家信息網絡安全的工作,同時也考驗了等級保護主管部門、公安部和很多部委的行業主管部門的信息安全工作。在這次大考中,各部門均表現得很優秀。在北京奧運會期間,無論是核心網絡還是信息系統,都遭受了大規模的攻擊和入侵,卻沒有出現相關安全事故,支撐北京奧運會順利舉辦,這是我國信息網絡安全領域經歷的考驗。
實際上,奧運會取得的經驗和公安部下一步等級保護工作之間存在密切的相關性。公安部和有關部委會借鑒奧運會信息安全網絡經驗,充分利用好奧運留下的財富,進一步開展今后的工作。
記者了解到,在北京奧運會之前,成立了以公安部牽頭的包括海關、銀行、廣電等14個部委參加的信息網絡安全指揮部。由于有了這樣的指揮部,使得各項工作的落實有了一個組織保障。如果沒有這個指揮部,大家各干各的,在北京奧運會期間便無法保證重要系統和網絡的安全。
在2008年,國家安全的核心問題便是保障奧運的安全,奧運安全采取的第一個措施就是等級保護。郭啟全介紹說:“公安部把奧運核心網絡和涉及奧運會的系統都定級、備案,針對風險和重要性搞等級測評和風險評估,反復查找問題、漏洞、脆弱性和安全風險。從歷史經驗來看,總會有一些黑客試圖攻擊奧運系統。所以,在這些黑客攻擊之前,我們就需要開始做嚴格的攻擊性自測。找到問題后進行系統加固,并且是有針對性地進行加固。這種安全建設、整改、加固還有等級測評,提升了我們的系統防范能力。”
郭啟全強調:“我們當時還專門針對北京奧運會提出了風險評估的指南。北京奧運會期間最大的風險是什么?其實就是來自黑客的攻擊破壞,所以搞風險評估要針對最大的風險去做。舉個例子,我到國家體育總局去了三次,就是研究他們的網絡安全問題、網站安全問題,這就有針對性,搞等級保護、風險評估非常有針對性。這使得我們的風險找得準,漏洞找得準,問題找得準,因此相關措施就有針對性。”
2009年的新工作
中國工程院院士沈昌祥指出,目前我國信息與網絡安全的防護能力還處于發展的初級階段,有些應用系統處于不設防狀態。國防科技大學的一項研究表明,我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入,其中銀行、金融和證券機構是攻擊重點。
由于奧運網絡和信息系統開展了等級保護工作,并對等級保護工作的政策標準、工作環節進行了檢驗,所以等級保護下一步的工作部署將充分借鑒北京奧運會的經驗,健全完善等級保護領導體制和協調配合機制,例如等級保護原來有些領導體制可能還要進行補充,明確重點工作對象,比如說拿三級系統作為重點工作對象。
郭啟全說:“我們會嚴格落實責任制,認真抓好三點工作,計劃三年內完成安全系統的整改工作,總的目標就是:能力提高,事故降低,等級保護制度得到落實,國家信息網絡安全基本得到保障。”
開展的重點工作主要分為三個方面。第一個方面是全面開展等級保護安全建設整改工作,要建設安全設施,落實安全措施,建立并落實安全管理制度,落實責任制。第二個方面是各單位建立安全整改工作規劃,完成定級系統整改規劃和制定具體實施方案。第三個方面是以三級以上系統為重點,確定安全需求,制定安全方案。“當然,一些單位可能不太明白具體的操作辦法,屆時我們會選擇有代表性的信息系統進行安全建設試點、示范,結合行業特點制定行業標準規范,按照有關工作實施的規范要求組織實施信息系統安全建設工程。”
篇10
在成功舉辦前六屆中國國際計算機信息系統安全展覽會的基礎上,今年為配合新頒布的《國家信息安全等級保護管理辦法(試行)》的實施,第七屆中國國際計算機網絡和信息安全展覽會全面深入把握當前信息及網絡安全發展動態,廣泛展示最具代表性的信息及網絡安全產品及技術,為展商和觀眾提供全面信息安全咨詢及解決方案等最新資訊。此次展會展品涉及互聯網安全、電子政務安全、虛擬專用網、公共密鑰基礎設施、證書中心、入侵監測系統、網絡安全與管理、計算機安全、計算機取證、通訊安全、數據儲存/備份、防火強/計算機病毒防護、災難恢復、安全審核、無線安全、掌上電腦安全等。截至目前參展廠商有:天融信、安氏、聯想網御、冠群金辰、啟明星辰、索利通、金山、東軟、微軟、億陽信通、方正、網康、O2、Broadweb、美亞、安浪、飛塔、中軟等近六十家。眾多廠商將在展會上展示最安全、有效,具有自身優越性的安全產品及解決方案,為信息安全以及網絡安全的市場完善有序而不斷開拓創新。
一、 眾多領先安全產品齊聚展會
天融信:依托最佳安全服務資質以及最佳安全服務團隊,為用戶提供各級別的安全管理平臺產品。
安氏:面對新的安全形勢,用戶及廠商都在不斷探索和尋覓一個貼近用戶實際需求、具有先進的體系架構及擴展性的解決方案。在這種情況下,UTM(Unified Threat Management ,一體化威脅管理)產品應運而生,形成“終端統一威脅管理”。
索利通:索利通網絡系統(上海)有限公司作為一家致力于信息技術研究和提供的跨國公司在1998年成立之初即意識到相關安全技術研究的匱乏和其在信息化時代中舉足輕重的核心作用,在海內外開展了以加強用戶認證,監督系統應用為代表的研究和開發,并在以后的數年里完成和完善了SmartOn,InfoTrace,e-Care,Net'Attest等一系列軟硬件安全產品。
冠群金辰:冠群金辰KSG產品家族中有兩名重要成員:KILL過濾網關(KSG)、KILL郵件安全網關(KSG-M)。KSG重點過濾網絡病毒、阻斷蠕蟲攻擊、防御非法網絡流量。KSG-M專門過濾非法郵件,重點過濾郵件病毒、垃圾郵件等。
金山:金山公司此次參展的產品除了原有的金山毒霸系列產品之外,還包括三大系列新品:金山防火墻、金山防毒墻和金山防水墻。
二、 安全廠商理性分析行業現狀
索利通:安全和便利是伴隨信息化發展的一對矛盾體。針對不同的需求,準確地把握這一對矛盾體的平衡點,給出最佳的解決方案是信息安全產業的一個長期的課題和目標。安全的信息系統的最基本的指標是在提高系統使用的便利性的同時,杜絕一切來自于外部和內部的攻擊。
冠群金辰:
1.應用規模近兩年有明顯擴大
2.網關產品多元化發展
3.技術各有千秋,但逐步趨同
4.國內與國外產品一時難分高下
三、 安全產品發展前景值得期待
冠群金辰:
1.需求將繼續快速增長
2.以內容為主的網關技術將繼續發展
3.“積極防御,綜合防范”繼續發揮指導作用
4.技術、制度、管理并重
5.自主核心技術將成為產品長久發展的重要因素
