關于信息安全應急響應大全11篇
時間:2023-10-23 09:49:53緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇關于信息安全應急響應范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
根據《__縣人民政府辦公室關于印發__縣人民政府政府信息公開工作評議考核辦法的通知》(陸政辦發[20__]102號)、《__縣人民政府關于印發__縣政府信息公開施行辦法的通知》(陸政發[20__]57號)文件精神,我局領導高度重視,安排政府信息公開專人對20__年政府信息公開工作進行總結,現將有關情況綜合如下:
一、基本情況
__縣商務局現有__招商網、__縣商務之窗、__縣電子政務門戶網站、__縣商務局政府信息公開網站四個網站,現在正常運行的有商務部提供的__縣商務之窗和__縣商務局政府信息公開網站,自開通以來,四個網站還沒出現過重大網絡安全事件,各網站都由我局人員自行監管,定期更新,及時商務公開信息,為公眾方便快捷地了解__起到了較好的宣傳作用。
1、領導重視,機構落實
為保證我局重要網站的安全,我局嚴格按照“統一領導、歸口負責、綜合協調、各司其職”的原則、“屬地管理、分級響應、及時發現、及時報告、及時救治、及時控制”的要求,明確成立了由局長陳紅鋼任組長,黨支部書記朱學林任副組長,辦公室主任王有培、政策法規科科長陸康沖、招商引資科科長他石紅、外事科科長劉雙林、政策法規科李翠娥為成員的__縣商務局政府信息公開領導小組,負責我局4個網站的安全工作及突發互聯網網絡安全事件應急處理工作。同時,明確了由局辦公室按照“誰主管、誰負責,誰運營、誰負責”的原則,實行責任制和責任追究制,依法對互聯網網絡與信息安全突發事件進行防范、監測、預警、報告、響應、指揮和協調、控制。在出現安全事件后,對計算機系統和網絡安全事件的處理提供技術支持和指導,遵循正確的流程,采取正確快速的行動作出響應,提出事件統計分析報告。
2、專人專管,務求實效
自20__年初__縣人民政府辦公室下發《關于做好施行〈中華人民共和國政府信息公開條例〉準備工作的通知》(陸政辦發[20__]10號)以來,我局領導就安排專人對我局的政府信息公開工作進行全面準備,認真學習政府信息公開的有關文件,積極參加政府信息公開培訓,對涉及商務的有關法律法規、發展規劃及行政認可的事項進行全面梳理,編制公開目錄和公開指南,并按時上報到縣政府信息產業辦。至20__年12月10日,我局共各類信息70條,其中:機構職能信息4條,法律法規依據信息16條,行政執法信息4條,商務發展規劃4條,招商引資信息2條,四項制度信息5條,公開指南信息2條,商務動態信息29條,其它信息4條。
3、雙網并用,加強宣傳
20__年,我局充分利用政府信息公開網站和商務之窗加大對我縣商務、招商引資政策的宣傳力度,
二、存在的問題
下一步工作將圍繞__縣政府信息公開網站監測情況通報情況進行完善。
1、進一步全面規范政府信息公開目錄,做到目錄內容與站內信息的一致性,及時更新目錄內容;
2、進一步完善政府公開內容。重點做好機構職能、法律法規政策、發展規劃、行政執法及動態信息的分類,保證信息內容的完整性;
3、進一步做好政府信息公開網站建設工作。及時更新圖片,合理布局網站頁面,做到圖文并茂,保證頁面美觀。
4、全面梳理和整理商務法律法規、行政執法信息,做到每天至少有2條信息。為科學應對互聯網網絡與信息安全突發事件,建立健全互聯網網絡與信息安全應急響應機制,有效預防、及時控制和最大限度地消除互聯網網絡與信息安全各類突發事件的危害和影響,按照《__縣人民政府辦公室關于印發__縣互聯網網絡與信息安全事件應急預案的通知》要求,結合我局實際,對我局互聯網網絡與信息安全情況進行自查,現將有關情況綜合匯報如下:
一、基本情況
__縣商務局現有__招商網、__縣商務之窗、__縣電子政務門戶網站、__縣商務局政府信息公開網站四個網站,自開通以來,四個網站還沒出現過重大網絡安全事件,各網站都由我局人員自監管,定期更新,及時商務公開信息,為公眾方便快捷地了解__起到了較好的宣傳作用。
二、主要做法
(一)領導重視,責任明確
為保證我局重要網站的安全,我局嚴格按照“統一領導、歸口負責、綜合協調、各司其職”的原則、“屬地管理、分級響應、及時發現、及時報告、及時救治、及時控制”的要求,明確成立了由局長陳紅鋼任組長,黨支部書記朱學林任副組長,辦公室主任王有培、政策法規科科長陸康沖、招商引資科科長他石紅、招商局工作人員劉雙林、李翠娥為成員的__縣商務局互聯網網絡安全應急領導小組,負責我局4個網站的安全工作及突發互聯網網絡安全事件應急處理工作。同時,明確了由局辦公室按照“誰主管、誰負責,誰運營、誰負責”的原則,實行責任制和責任追究制,依法對互聯網網絡與信息安全突發事件進行防范、監測、預警、報告、響應、指揮和協調、控制。
(二)防范為主,加強監控
我局隨時宣傳普及互聯網網絡與信息安全防范知識,樹立常備不懈的觀念,經常性地做好應對互聯網網絡與信息安全突發事件的思想準備、預案準備、機制準備和工作準備,提高基礎網絡和重要信息系統的互聯網網絡與信息安全綜合保障水平。加強對互聯網網絡與信息安全隱患的日常監測,發現和防范重大互聯網網絡與信息安全突發性事件,及時采取有效的可控措施,迅速控制事件影響范圍,力爭將損失降到最低程度。
(三)責任到人,監測到位
我局明確了由計算機水平較好的他石紅、劉雙林、李翠娥對我局的四個網站及網絡安全進行管理,在出現安全事件后,向委托管理計算機系統和網絡的單位報告,由其提供技術支持和指導,遵循正確的流程,采取正確快速的行動作出響應,處理發生問題的系統,檢測入侵事件,并采取技術手段來降低損失,提出事件統計分析報告。
篇(2)
一、征文范圍
1. 新技術應用環境下信息安全等級保護技術:物聯網、云計算、大數據、工控系統、移動接入網、下一代互聯網(IPv6)等新技術、環境下的等級保護支撐技術,等級保護技術體系在新環境下的應用方法;
2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業網站、核心業務信息系統等安全威脅、隱患分析及防范措施;
3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發展對策,網絡恐怖的特點、趨勢、危害研究;
4. 信息安全預警與突發事件應急處置技術:攻擊監測技術,態勢感知預警技術,安全監測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;
5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監測與監管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;
6. 信息安全等級保護監管技術:用于支撐安全監測的數據采集、挖掘與分析技術,用于支撐安全監管的敏感數據發現與保護技術,安全態勢評估技術,安全事件關聯分析技術、安全績效評估技術,電子數據取證和鑒定技術;
7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;
8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監測預警機制。
二、投稿要求
1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;
2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;
5. 提交截止日期: 2014年5月25日。
三、聯系方式
通信地址:北京市海淀區首都體育館南路1號
郵編:100048
Email:.cn
聯系人: 范博、王晨
聯系電話:010-68773930,
篇(3)
中圖分類號:F2 文獻標識碼:A 文章編碼:1672-3791(2013)06(b)-0014-02
2012年3月15日,上海市稅務局發生了一次信息安全事件,由于設備老化和供電異常,機房UPS設備發生嚴重故障,直接導致全市稅務大集中核心業務信息系統全面宕機。雖然相關部門立即開展了應急處置和全力搶修,當天晚上業務信息系統恢復正常運行。但是因為該事件導致全市納稅人無法正常辦理涉稅事項,且15日是3月法定納稅申報期最后一個工作日,稅務部門不得不通過網站、電視、廣播、12366稅務熱線等社會媒體公告,宣布延長當月納稅申報期至16日。
雖然這件事情已經過去一年多了,但它留給我們的卻是深刻地教訓。對于信息安全事件我們絕不能掉以輕心。隨著信息化的不斷發展推廣,現在政府機關應用信息系統來開展工作的范圍越來越廣泛,已經涉及到民生、經濟、政治、軍事各個領域。我國有這么多關鍵重要的信息系統在運行,試想如果發生信息安全事件,那么或多或少地會造成社會影響甚至政治影響。所以說,如何避免信息安全事件的產生,已經是擺在政府機關面前必須考慮的問題了。筆者作為一名長期在政府機關信息部門工作的技術人員,將在下面闡述我個人關于應對信息安全事件的一些看法。
1 信息安全事件的分類
為了分析信息安全事件,我們應當對可能發生的信息安全事件進行分類。依據事件發生的原因,我們將信息安全事件分為如下幾類。
1.1 外部環境異常引起的安全事件
第一類,是由于物理環境異常導致的安全事件。這里的物理環境主要指的是機房環境,比如承重、電源,空調,水患、鼠患等等。承重設計不達標不僅會造成信息安全事件,甚至可能造成人員傷亡;電源問題包括市電供應、UPS電源、防雷擊及靜電處理等,電源異常不僅會造成硬件設備的宕機,也可能引發火災、造成人員傷亡;空調問題會引起硬件設備的運行故障,從而影響信息系統運行;水患是指機房如果建在地勢低洼處或有不能密閉的窗戶,遇到大水或雨季,會因為雨水進入機房而導致硬件設備的運行故障;鼠患是指亂竄的老鼠會咬斷網線、引起短路、損壞硬件設施,所以滅鼠也是保障信息系統正常運行需要考慮的工作。以上這些都是信息系統穩定運行的基本要素,任何一個環節出現問題都會導致安全事件的發生。
1.2 網絡異常引起的安全事件
第二類,網絡異常導致的安全事件。現在政府機關的信息系統基本都是運行在網絡環境中的,單機運行的應用系統已經鮮有耳聞了,這個時候,網絡的重要性就顯而易見了。一旦網絡通信發生故障,即發生斷網、網絡擁塞等情況,那么信息系統也就癱瘓了。
1.3 硬件設施故障引起的安全事件
第三類、硬件設施故障引起的安全事件。比如存儲設備故障,主機服務器的故障、終端計算機的故障等。政府機關由于資金投入的限制,一方面這些硬件設施多半存在單點故障;另一方面,隱患發生時故障點常常不能被及時發現。舉個例子,某臺主機有數塊硬盤,考慮到數據安全技術人員對硬盤做了RAID5處理,以避免因硬盤損壞引起的數據丟失,但是如果硬盤損壞后未被發現不能被及時更換,那么當故障硬盤達到數量的極限時,系統還是會崩潰數據還是會丟失。在這里我必須指出,某些設備的故障將引起數據丟失或破壞,在數據的價值越來越被認可的今天,這是必須引起警惕的。
1.4 軟件異常引起的事件
第四類,軟件系統異常引起的故障。這里的軟件系統是指操作系統異常、應用軟件異常等。引起軟件系統異常的原因很多,比如:病毒感染、黑客侵入、升級異常、軟件沖突、安裝未經測試的補丁和升級包等。
1.5 人為事件
第五類,人為因素引起的安全事件。比如說,管理不善、職責不清、對重要系統設施監控不力,無視信息安全風險,不能將信息安全事件扼殺在萌芽期;誤操作,由于責任心不強或技術能力不夠,導致操作失誤;故意行為,由于人性的弱點,有的員工出于各種原因(對單位不滿或對領導同事不滿)故意造就信息安全事件以借機發泄,還有人為謀求利益竊取數據,甚或被策反加入間諜組織或與非法組織勾結,破壞國家利益。
2 信息安全事件的分級
不同類型的信息安全事件造成影響的范圍有大有小,這時我們應該對信息安全事件有一個分級,分級的原則我們可以參照國家關于信息系統等級保護政策的思路,也就是通過判斷影響對象及影響程度來分級。影響對象可以是:公民、法人和其他組織的合法權益;社會秩序、公共利益;國家安全。影響程度可以是:一般損害;嚴重損害;特別嚴重損害。(如表1)
表1只是介紹一種定級的方法,各單位可以根據自身特點定義自己的信息安全事件級別,細化定級標準。在定義了不同的事件級別之后,再設計不同的響應流程,也就是應急響應。這樣的話,在發生安全事件時,就可以按照不同級別的信息安全事件啟動應急響應流程,關于應急響應這里不作描述。
3 防患信息安全事件的建議
前面我描述了導致信息安全事件的因素及信息安全事件的分級,接下來根據政府機關的特點我將給出預防信息安全事件的幾點建議。具體如下。
3.1 明確職責
我認為在談關于信息系統的任何事之前,首先要明確職責,不僅是明確領導層的職責,也要明確執行者的職責。也就是說,職責必須細化到每個人。換個角度說的話,就是職責本身要進行細化,比如一個信息系統的建設是誰負責、后續運維是誰負責,假如硬件設施由A負責,那么A負責到什么程度呢,是不是只要硬件設施正常運行不發生故障就OK了?日常運維要管到什么程度呢?是不是要建立硬件設施的清單?這份清單是不是要更新?日常的運維操作是否要有記錄?在我看來,以上所有都應該在崗責體系中進行細化明確,只有明確了每個人的工作職責才能保證工作被落實,制度被落實。
3.2 完善制度
要想減少信息安全事件的發生,首先要有制度,國有國法家有家規,沒有規矩不成方圓,如果沒有制度,那就無章可循無法可依,發生信息安全事件之后也無法追究相關人員的責任。但是有些政府機關里的制度常常是只能掛在墻上看、放在會上念,有些單位的制度陳舊落后難操作,不能真正執行的制度是不能發揮其作用的。我認為一套好的信息安全管理制度應該分三個層次,第一層是總體性的制度策略或框架,第二層是具有操作指導意義的制度規范,第三層則是建設方案、運維手冊和使用說明等更為細化的文檔資料。有了完整的制度體系,我們還要定期對制度進行修訂,這樣才能讓制度始終符合實際狀況以便于操作落實。
3.3 在信息系統生命周期全方位考慮信息安全
因為信息系統是有生命周期的,也就是系統的需求設計、建設、更新、運維、廢棄5個階段,為此,我們應該在信息系統的全生命周期考慮信息安全問題,在每個階段我們都要考慮信息安全風險的規避問題。由于信息安全的概念是近些年才被提及和重視的,在實際工作中我們發現,政府機關的很多信息系統都是很早就開發出來在用的,隨著應用需求的不斷變化,這些老舊的信息系統不斷的在升級在更新在打補丁。由于這些信息系統開發之初還沒有信息安全的概念,所以即使發現系統存在這這樣那樣的安全風險也很難下手修補,常常因為系統性能存在瓶頸、存儲空間不夠、系統不夠穩定等原因不敢解決信息安全漏洞。所以,我們提倡在新建系統的過程中,全面考慮信息安全保障,有能力的單位應該解決在用信息系統的安全漏洞。
3.4 安全管理措施的部署
為避免信息安全風險,提高安全保障水平,我們必須采取一些安全管理措施。比如使用虛擬機技術提升主機服務器的運行性能;網絡雙線路鏈接、重要設備雙機熱備、雙路供電、管理員AB角,以避免單點故障;對系統進行安全加固,關閉不需要的服務進程及端口使服務最少化、啟用密碼策略、安裝重要補丁、開啟審計策略等等;為不同的管理員開啟不同的訪問權限,使用戶權限最小化;為不同的用戶開啟不同的網絡訪問鏈路,以進行訪問控制;在軟件系統進行運行前,對軟件系統開展源代碼審計,對準備安裝的升級包或補丁包進行測試;建立審計環節,對信息系統的建設運維開展審計;對重要的運維操作進行授權,以限制管理員權限的濫用等等。安全管理措施的全方位執行是減少信息安全事件發生的有力保障。
3.5 加強監控分析
信息安全的發生有時好像地震,地震在發生前可能有一些征兆,只是由于我們人力技術的限制無法探知。信息安全事件發生前也會有一些蛛絲馬跡,如果我們能采取某些措施進行監控,提前得知相關信息,那么我們就能更早地掌握信息安全風險,并采取措施避免事件的發生。現在信息安全領域的很多產品已經很成熟,像IDS、IPS、防火墻、防病毒、桌面安全管理、主機性能監控等等,我們應該選擇合適的產品或服務來監控我們的信息系統,同時,要注重對監控信息加以分析,以便及早發現風險并消滅隱患。
3.6 引入“等級保護”和安全評估
近幾年來,我國對信息安全的關注度越來越高,相關的管理部門也紛紛出臺了關于加強信息安全的文件要求,其中,等級保護制度是較為重要的政策。信息安全等級保護就是對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護。等級保護政策的出臺對于政府機關的信息安全工作有很強的指導意義,我們把信息系統按重要程度的不同進行劃分,把有限的財力和人力集中到重要信息系統的保障中。另外,安全評估工作是了解政府機關信息系統安全程度的重要途徑,只有明白自身的風險點并進行安全整改才能不斷鞏固信息系統的安全,以避免信息安全事件的發生。
3.7 應急演練
要想提高信息安全事件的應對能力,我們不得不提到應急演練的重要性。應急演練就是模擬事件的發生,演練事件發生后的補救措施。所以做好應急演練是極其必要的。不管做不做應急演練,應急方案是必須要有的,我認為應急方案也應該有幾個層次,首先要有一個總體方案,接著應該是對總體方案細化建立子方案,也就是不同類型的信息安全事件要有各自的應急方案。比如:機房環境應急方案、網絡應急方案、應用系統應急方案等。其中,不同的應用系統應該有不同的應急方案。有了應急方案之后,我們應該定期進行演練,以便熟悉應急操作程序,將信息安全事件產生的影響盡力減少。
3.8 備份重要數據及系統
為了避免信息安全事件帶來的影響,有條件的政府機關可以建立自己的容災備份系統,對重要信息系統建立雙套系統,建立熱備份或冷備份,如果有可能的話物理地址可以選取異地,以避免單點故障,提高自己應對風險的能力。如果財力有限,我們可以采用定期手工備份重要數據及系統的方法,并做好備份介質的管理工作。
3.9 加強人員管控
談到信息安全,有時候我們會忽略最重要的一個環節,就是人員的管控。大家知道,所有的信息系統都是人開發出發的,要提升信息安全能力,就應該增強人力資源,現在政府機關面臨的問題很多都是人手緊張,人員素質不高之類的問題,由于政府機關的人員工資都是由國家規定的,不能享受像外企或民企甚或國企那樣的高薪酬,很多高水平的技術人才都不愿意留在政府機關。很多技術骨干在遇到升職加薪的瓶頸后選擇離職跳槽,使人才流失情況也很嚴重。那么如何來盤活機關內部的計算機人才就是人事部門的一道難題了。很多時候,好不容易招聘過來的計算機人才,都被搶到業務部門做一線工作去了。因為現在的業務部門全是通過信息系統來操作工作的,有些上了年紀的員工對信息系統不熟練,導致很多業務部門都喜歡要懂計算機技術的人才。我認為考慮到現在信息化技術的使用程度和依賴程度,適當提高信息技術人員的福利待遇并保證信息部門的人才供給是應當被考慮的。另外,適當增加一些工會活動或團體活動,增加單位凝聚力,也能讓信息技術人員更熱愛自己的單位和崗位,愿意盡全力付出努力,以保證技術人員管理信息系統的穩定和安全。
4 結語
篇(4)
一、綜合電子政務平臺概述
電子政務是指政府機構應用信息技術提高政府事務處理的信息流效率,對政府機構和職能進行優化,改善政府組織和公共管理能力。通常由核心網絡、接人網絡及訪問網絡三部分組成。建設內容一般包括:電子政務網絡平臺、政府門戶網站、電子政務主站點、“一站式”行政審批系統、視頻會議系統、公文交換和信息報送系統、電子郵件系統、辦公自動化系統等。
電子政務網絡平臺網絡結構中,核心網絡擁有重要的信息資源,并處理政府部門間的核心業務。政府部門間的數據交換流程是閉環的,即任何一個節點既是用戶又是數據源。因此,核心網絡節點之間的業務流程應該是高速、嚴密、安全的,并且有嚴格的審核機制。核心網絡與接人網絡形成上下級關系的協同工作平臺,進行信息、數據的交換。它們之間的信息往來必須具備信任安全體系。政府核心網絡面向社會公眾提供信息服務,對外宣傳政府信息,與訪問網絡建立連接。
二、綜合電子政務平臺的安全風險
2.1網絡安全域的劃分和控制問題
電子政務中的信息涉及國家秘密、國家安全,因此它需要絕對的安全。但是同時電子政務現在很重要的發展方向是要為社會提供行政監管的渠道,為社會提供公共服務,如社保醫保、大量的公眾咨詢、投訴等等,它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。
2.2內部監控、審核問題
目前絕大部分單位都沒有系統可以實時地對內部人員除個人隱私以外的各項具體操作進行監控和記錄,更不用談對一些非法操作進行屏蔽和阻斷了。
2.3電子政務的信任體系問題
電子政務要做到比較完善的安全保障體系,第三方認證是必不可少的。只有通過一定級別的第三方認證,才能說建立了一套完善的信任體系。
2.4數字簽名(簽發)問題
在電子政務中,要真正實行無紙化辦公,很重要的一點是實現電子公文的流轉,而在這之中,數字簽名(簽發)問題又是重中之重。
2.5電子政務的災難響應和應急處理問題
很多單位在進行網絡規劃的時候,沒有考慮到作為系統核心部分一一數據庫本身的安全問題,完全依賴干整個網絡的防護能力,一旦網絡的安全體系被穿破或者直接由內部人員利用內網用戶的優勢進行破壞,“數據”可以說無任何招架之力。
三、綜合電子政務平臺安全體系建設方案
3.1技術保障體系
技術保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題,一是信息安全的核心技術和基本理論的研究與開發,二是信息安全產品和系統構建綜合防護系統。
信息安全技術。信息安全的核心技術主要包括數據加密技術、信息隱藏技術和信息認證技術。數據加密是把有意義的信息編碼為偽隨機性的亂碼,以實現信息保護的目的。數字簽名是指只有發送者才能產生的別人無法偽造的一段數字串,這段數字串同時也是對發送者信息真實性的證明。
信息安全防護體系。目前,主要的信息安全的產品和系統包括防病毒軟件、防火墻、入侵檢測系統、漏洞掃描、安全審計系統、物理隔離系統等。我們可采用屏蔽子網體系結構保證核心網絡的安全。屏蔽子網體系結構通過添加額外的安全層到被屏蔽主機體系結構,即通過添加周邊網絡更進一步地把內部網絡與Internet隔離開。在這種結構下,即使攻破了堡壘主機,也不能直接侵人內部網絡,它將仍然必須通過內部路由器。
3.2運行管理體系
安全行政管理。電子政務的安全行政管理應包括建立安全組織機構、安全人事管理、制定和落實安全制度。
安全技術管理。電子政務的安全技術管理可以從三個方面著手:硬件實體、軟件系統、密鑰。
風險管理。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。
3.3社會服務體系
安全管理服務。目前,一些信息安全管理服務提供商(ManagedSecurityServiceProviders,MSSP)正在逐步形成,它們有的是專門從事安全管理服務達到增值目的的,有的是一些軟件廠商為彌補其軟件系統的不足而附加一些服務的,有的是一些從IT集成或咨詢商發展而來提供信息安全咨詢的。
安全測評服務。測評認證的實質是由一個中立的權威機構,通過科學、規范、公正的測試和評估向消費者、購買者即需方,證實生產者或供方所提供的產品和服務,符合公開、客觀和先進的標準。
應急響應服務。應急響應是計算機或網絡系統遇到安全事件如黑客人侵、網絡惡意攻擊、病毒感染和破壞等時,所能夠提供的緊急的響應和快速的救援與恢復服務。:
3.4基礎設施平臺
篇(5)
[中圖分類號]G2 [文獻標識碼]A [文章編號]1671-5918(2015)17-0073-02
一、計算機網絡信息所面臨的安全威脅分析
(一)網絡本身弱點
信息網絡具有開放性的顯著特點,既為網絡用戶提供了便捷高速的服務方式,也成為網絡信息需要面臨的一項安全威脅。同時,運用于信息網絡的相關通信協議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數據截取等安全問題。
(二)人為惡意攻擊
人為惡意攻擊是網絡信息中,用戶所面臨的最大安全威脅。人為惡意攻擊具有較強的針對性,是有目的地進行網絡信息數據完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對網路信息數據的竊取、破譯、篡改等,主要威脅到用戶的經濟利益。
(三)計算機病毒
計算機病毒存在隱蔽性、傳染性、破壞性等特點,往往隱藏或偽裝為正常程序,隨著計算機程序的啟動而被運行。計算機病毒通過破壞、竊聽等方式,實現對網絡信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統的運行效率,重則破壞用戶的整體系統數據,且難以被恢復,形成不可挽回的損失。
二、網絡信息技術安全現狀分析
目前,國內絕大部分企業、單位都已建立了相關的信息系統,實現了對各類豐富信息資源的充分利用。但隨著各行各業信息網絡系統的逐步成型,網絡信息所面臨的黑客、惡意軟件與其他攻擊等安全問題越來越多,雖已研發、改進了許多信息安全技術,用于網絡信息安全防護,但仍舊存在許多問題,究其原因,主要表現在以下三方面:
第一,未建立健全的安全技術保障體系。當前大部分企業、單位,在信息安全設備上投入較多資金,以確保網絡信息系統的安全可靠。但是,沒有建立健全相應的技術保障體系,預期目標難以被實現。
第二,缺乏制度化與常規化的應急反應體系。現階段,許多行業領域內,在網絡信息技術安全方面,還未建立健全相應的應急反應系統,而對已有應急反應系統,沒有進行制度化、常規化改進。
第三,企業、單位的信息安全標準與制度滯后。在網絡信息安全的標準與制度建設方面,企業與單位都為進行及時的調整與改進。同時,用戶缺乏信息安全意識,網絡信息安全管理員為經歷科學、系統的安全技術培訓,安全管理水平不高。而用于信息安全的經費投入較少,難以達到信息安全標準與要求。
三、現行主要信息安全技術及應用分析
(一)通信協議安全
作為下一代互聯網通信協議,IPv6安全性較高,強制實施Internet安全協議IPSec,由認證協議、封裝安全載荷、Internet密鑰交換協議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務得到有效實現。
(二)密碼技術
確保網絡信息安全的核心與關鍵為信息安全技術中的密碼技術,其密碼體質包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對稱密碼;雙鑰為不對稱密碼;混亂密碼為單雙鑰的混合實現。在網絡系統中,采用加密技術能避免使用特殊網絡拓撲結構,便于數據傳輸的同時,確保網絡路徑的安全可靠,為網絡通信過程提供真正的保障。現階段,在網絡信息中,所采用的密碼技術主要為雙鑰與混合密碼。
1.公鑰密碼
為了加強公鑰密碼的安全性能,公鑰的長度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運算模式,通過乘法與模減運算的同時進行,大程度提升了運算速度,被廣泛使用。同時,部分廠商已成功研制出與IEEEPl363標準相符合的橢圓曲線公鑰密碼,并成功運用于電子政務中,具備較強的保密性與較高的運行速度。
2.Hash函數
關于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計算量,在很大程度上影響了Hash函數安全現狀的評估及其今后設計。同時,由于MD5和SHA-1的破解,讓數字簽名的現有理論根基遭到質疑,給正在使用中的數字簽名方法帶來巨大威脅。
3.量子密碼
量子加密技術采用量子力學定律,讓用戶雙方產生私有隨機數字字符串,以代表數字字符串的單個量子序列傳遞信息,并通過比特值進行信息接收,確保通信不被竊聽。一旦竊聽現象發生,通信就會結束,并生成新的密鑰。
(三)防火墻技術
防護墻技術是一組軟硬件的有機組合,為控制內部與外部網絡訪問的有效手段,能確保內部網安全穩定運行。防火墻技術為用戶提供存取控制與信息保密服務,具有操作簡單、透明度高的優點,在保持原有網絡應用系統功能的基礎上,最大限度滿足用戶的網絡信息安全要求,受到用戶的廣泛推崇。防火墻技術的應用,讓外部與內部網絡必須通過防火墻實現相互通信。企業、單位在關于防火墻技術的應用上,需制定合理、科學的安全策略,在此基礎上設置防火墻,隔絕其它類型信息。目前,防火墻技術主要分為以下三類:
第一,包過濾技術(Packet filtering)。其技術主要作用于網絡層,結合不同數據包源IP地址、目的IP地址、TCP/UDP源端口號與目的端口號等進行區分、判斷,分析數據包是否符合安全策略,予以通行,其設計為過濾算法。
第二,(Proxy)服務技術。其技術主要作用于應用層,通過轉接外部網絡對內部網絡的申請服務,有效控制應用層服務。內部網絡無法接受外部網絡其它節點申請的直接請求,其接受的服務請求只能為模式。應用網關即為服務運行的主機,具備較強的數據流監控、過濾、記錄等相關功能。
第三,狀態監控(State Inspection)技術。其技術主要作用于網絡層,通過網絡層實現包過濾與網絡服務。現階段,較為可行的為虛擬機方式(即:Inspect Virtual Machine)。
防護墻技術作為網絡信息安全技術之一,操作簡單且實用性較強,被廣泛應用。但受其特點限制,缺乏對動態化與復雜化攻擊手段的主動響應,只能進行靜態安全防御,無法保障對所有外部攻擊都能進行有效阻擋。一些計算機水平較高的黑客便能翻過防火墻,達到攻擊目的。同時,防火墻無法阻擋內部攻擊。因此,為實現網絡安全,需進行數據的加密處理,加強內部網絡控制與管理。
(四)入侵檢測技術
入侵檢測技術主要作用于計算機與網絡資源中,對其存在的不軌行為進行識別、響應、處理的過程。入侵檢測系統,在對外部入侵行為進行檢測的同時,也對未授權的內部用戶行為作出檢測,并及時給出響應,為網絡動態安全的核心技術。入侵檢測技術分為誤用檢測與異常檢測兩種類型。其中,誤用檢測是指在入侵跡象分析中,結合已知攻擊方法,進行是否構成人侵行為的判定。對其跡象分析,既有利于防范已發生的入侵行為,也有利于預防潛在的入侵行為。異常檢測是指在入侵行為分析中,結合用戶行為與資源使用狀況的異常度,所進行的判定。
目前,大部分網絡入侵檢測系統仍為實驗室環境下的原型系統,漏報與誤報所占比重較大,無法充分滿足當前大范圍內的網絡入侵檢測要求與病毒預防反擊要求。在此情況下,“蜜罐(Honey)”技術受到了廣泛關注。“蜜罐”為網絡誘騙系統,以提供真實或模擬的網絡與服務為途徑,將不軌攻擊吸引過來,并通過嚴密的監控,將黑客的攻擊行為與攻擊方式、攻擊方法詳細記錄下來,整理形成數據,并發出預警。在這個過程中,“蜜罐”能有效轉移目標與延緩攻擊,與以往被動防護入侵檢測技術相比,安全防范性能更高。
四、網絡信息安全技術的綜合應用
通過對現行主要網絡信息安全技術及其應用的具體分析,可構建一個全方位的網絡信息安全防護體系,實現對各類具有不同功能的網絡信息安全技術的綜合應用。在該系統中,將具有不同針對性的網絡信息安全技術,應用于不同層面的不同網絡信息安全需求中,進行多層面、大范圍內的安全防護,實現網絡系統的整體通信安全。由網絡安全評估體系、安全防護體系、網絡安全服務體系三部分組成了整體的網絡安全防護體系。其中,網絡安全評估體系包含對系統漏洞管理、通信方式評估等;安全防護體系包含病毒防護、網絡訪問控制、網絡監控、數據加密等多種技術;網絡安全服務體系包含數據恢復、應急服務等。對具備不同功能的網絡信息安全技術的綜合應用,能構建出全方位的安全防護體系,實現對網絡通信群全過程的安全防護,有效增強網絡信息的可靠性與安全性。
結語
隨著計算機通信技術的不斷進步,信息系統已逐漸轉變為企業、單位實現信息交換的重要途徑。掌握信息系統中存在的不足與安全威脅,能幫助用戶制定具有較高可行性的安全策略,以真正提升信息系統的安全性能。同時,網絡信息安全系統不僅僅是指僅作用于某一方面的單一安全技術,而是指作用于不同方面的多種安全技術,是一項構成較復雜的系統。在這項系統中,既包含人的成分,也包含技術成分,并不是簡單的防病毒、防火墻、加密、入侵檢測等安全技術的堆積,而是從系統到應用方面的整體升級與優化處理。目前,關于網絡信息安全技術,正處于更新換代階段,新技術不斷被研發。但受各方面因素的影響,新技術中也不可避免一些漏洞的存在,還需進行及時更新與完善。
參考文獻:
[1]白蘭.基于網絡信息安全技術管理的計算機應用[J].信息系統工程,2012(3).
篇(6)
當前,軍隊物資采購系統根據總后關于信息化建設的精神,建立了依托干軍隊內部的指揮自動化網、軍隊綜合信息網等內部指揮控制網絡、辦公網絡、業務管理網絡等信息服務和指揮網絡,為軍隊采購管理單位、采購業務單位、科研和教學單位、軍內終端客戶提供廣泛的信息服務。
實施信息安全管理,不僅能夠有效地提高信息系統的安全性、完整性、可用性以及對相關應急采購任務的快速反應能力,同時也是保障軍隊物資采購系統科學發展,為軍隊提供最優保障力的重要手段。
一、軍隊物資采購信息安全風險
在軍隊物資采購活動中,存在各種各樣的風險,都對采辦的結果產生不同程度的影響。根據風險產生對象的不同,將風險分為人為風險、系統風險、數據風險等三個方面。
(一)人為風險。
人是信息安全最主要的風險因素,不適當的信息系統授權,會導致未經授權的人獲取不適當的信息。采購人員的操作失誤或疏忽會導致信息系統的錯誤動作或產生垃圾信息;違規篡改數據、修改系統時間、修改系統配置、違規導入或刪除信息系統的數據,可能導致各種重大采購事故的發生。有令不行、有禁不止等人為因素形成的風險,是軍隊物資采購信息安全的最大風險。
(二)系統風險。
系統風險包括系統開發風險和系統運行風險。在采購項目開發過程中沒有考慮到必要的信息系統安全設計,或安全設計存在缺陷,都會導致采辦信息系統安全免疫能力不足。沒有完善、嚴格的生產系統運行管理體制,會導致機房管理、口令管理、授權管理、用戶管理、服務器管理、網絡管理、備份管理、病毒管理等方面出現問題,輕則產生垃圾信息,重則發生系統中斷、信息被非法獲取。
當前的采購信息系統已是一個龐大的網絡化系統,在網絡內存在眾多的中小型機、服務器、前置機、路由器、終端設備,也包括數據庫、操作系統、中間件、應用系統等軟件系統。網絡系統中的任何一個環節都有可能出現故障,一旦出現故障便有可能造成系統中斷,影響業務正常運作。同時,由于自然災害、戰爭等突發事件造成的系統崩潰、數據載體不可修復性損失等等,都能夠給采購信息系統帶來很大的影響。
(三)數據風險。
數據是信息的載體,也是軍隊物資采購系統最重要的資產。對數據的存儲、處理、獲取、和共享均需要有一套完整的流程和審批制度,沒有健全的數據管理制度,便存在導致數據信息泄露的風險。
二、軍隊物資采購信息安全的內容
通過對信息安全定義的查詢,可以看到其是根據不同的環境情況各自不同的。在相對受到專業影響較小的國際標準ISOl7799信息安全標準中,信息安全是指:使信息避免一系列威脅,保障商務的連續性,盡量減少業務損失,從而最大限度地獲取投資和商務的回報。
對于軍隊物資采購系統,信息安全管理則應該堅持系統和全局的觀念,基于平戰結合、立足應急保障的思想,指導組織建立安全管理體系。通過系統、全面、科學的安全風險評估,體現“積極預防、綜合防范”的方針,強調遵守國家有關信息安全的法律法規及其他合同方要求,透過全過程和動態控制,本著控制費用與風險平衡的原則,合理選擇安全控制方式,保護組織所擁有的關鍵信息資產,使信息風險的發生概率降低到可接受的水平,確保信息的保密性、完整性和可用性,保持組織業務運作的持續性。
(一)保密性。
信息安全的保密性,在確保遵守軍隊保密守則規定的前提下,確保信息僅可讓授權獲取的相關人員訪問。結合當前的狀況,軍隊物資采購系統的信息安全保密應當做熟嚴格分崗授權制衡機制,杜絕不相容崗位兼崗現象;嚴格用戶管理和授權管理,防止非法用戶,用戶冗余和用戶授權不當;加強密碼管理,防止不設口令或者口令過于簡熟加強病毒防范管理,防范病毒損氰控制訪問信息,組織非法訪問信息系統確保對外網絡服務得到保護,陰止非法訪問網絡;檢測非法行為,防范道德風險;保證在使用移動電腦和遠程網絡設備時的信息安全,防止非法攻擊。
(二)完備性。
信息安全的完備性,是指信息準確和具備完善的處理方法。具體要求是:嚴格采購業務流程管理,確保采購業務流程與采購信息系統操作流程完備一熟嚴格控制生產系統數據修改,防止數據丟失。防止不正確修改,減少誤操作;嚴格數據管理,確保數據得到完整積累與保全,使系統數據能夠真實、完整地反映采購業務信息;嚴格按照軍隊關于物資采購規定和要求操作,減少或杜絕非標業務。避免任何違反法令、法規、合同約定及易導致業務信息與數據信息不一致、不完整的行為。
(三)可用性。
信息安全的可用性,要求確保被授權人可以獲取所需信息。具體要求是:加強生產系統運行管理,確保生產系統安全、穩定、可靠運行;加強生產機房建設與管理,保障機房工作環境所必需的濕度、溫度、電源、防火、防水、防靜電、防雷、限制進人等要求,減少安全隱患;加強生產系統日常檢查管理,及早發現故障苗頭;加強系統備份,防止數據損失;嚴格生產系統時間管理,禁止隨意修改生產系統時間;保障系統持續運標實施災難備份,防止關鍵業務處理在災難發生時受到影響。
三、軍隊物資采購信息安全管理
(一)信息安全機構。
軍隊物資采購系統應分出專人專職來負責信息安全管理工作,并協同上級業務管理單位制定信息安全管理制度和工作程序,設定安全等級,評估安全風險程度,落實防范措施方案,提出內控體系整改方案與措施,監督和評估信息安全管理成效。在與上級總部和軍區、軍兵種物油部管理機構之間還要有一個快速響應的信息安全事故收集、匯總、處理及反饋體系。
(二)信息安全管理制度與策略。
信息安全管理制度應針對軍隊物資采購系統現狀與發展方向來制定,要充分考慮可操作性。現階段可根據“積極防御、綜合防范”的方針,制定內部網、OA網、外部網的管理辦法,明確用戶的訪問權限。制定生產系統運行管理辦法。嚴格實行分崗制衡、分級授權,嚴格執行生產系統時間管理、備份管理、數據管理和口令管理。
(三)信息安全分級管理。
信息安全分級管理,是將信息資源根據重要性進行分級,對不同級別的信息資產采用不同級別信息安全保護措施,國家已將信息安全等級保護監督劃分為五個級別,分別為自主性保護、指導性保護、專控性保護。
軍隊物資采購系統可以結合實際情況,將信息資產分為“三級”或“五級”保護,目的在于突出重點,抓住關鍵,兼顧一般,合理保護。分級管理的方法是分析危險源或危險點,評估其重要性,再分設等級,從而采取不同的保護措施。比如,對于采購機構業務機房,可采取門禁與限制進入等方式進行保護;針對采購中相關數據的提供,可設計一定的審判流程,根據數據的重要程度,分為公開信息、優先共享信息、內部一般信息、內部控制信息、內部關鍵信息和內部核心信息,實施嚴格的授權控制;對于信息安全事故,可分為重大事故、一般事故、輕微事故等,采取不同的處置方案。
(四)信息安全集中監控與處置。
設立集中運行的信息安全監控處置中心,及時監控、發現安全事故,做到響應快速、處置果斷,并實施應急恢復。結合軍隊物資采購系統當前實際情況,可對網絡、服務器等運行設備進行集中監控,開展服務器容量管理、網絡流量監控;對應用系統采取防范與監控相結合的方式,對信息系統的數據設置校驗碼,防止非法修改;在開發應用系統的同時,還應開發相應的審計檢查監控程序,由各單位分別運行和維護,由上級采購管理機構定期查驗和監督,及時發現數據信息存在的風險。
四、信息安全管理系統
實現信息安全管理的集中運行,需借助信息安全管理系統。各軍隊采購機構和部門可以按照上級下達的統一標準,構建基于同一操作平臺的信息安全管理系統,幫助安全管理中心實現系統的監控、分析、預警等功能,實現信息安全事故處理的收集、存儲、分析等功能,及時對信息風險作出反饋。
(一)監控功能。
為采辦機構和部門的相關信息處理和傳輸設備配置專人管理,并設置機房日志管理、服務器性能日志管理、服務器容量日志管理、數據修改日志管理、流量監控日志等功能,酌情設置數據檢測結果日志管理功能。通過對存儲、傳輸和刪改的操作進行管理,達到監督控制的目的。
(二)處理功能.
根據采辦單位所在環境和情況,自主設置安全事故報告、響應、處置等采辦信息管理功能,對于高級別信息,也可以采用每天零報告措施。通過信息處理的簡化、優化和快速反應,提高信息安全保障能力,從而保證軍隊采購的正常進行。
(三)安全等級管理功能。
篇(7)
(一)安全制度落實情況
1、成立了安全小組。明確了信息安全的主管領導和具體負責管護人員,安全小組為管理機構。
2、建立了信息安全責任制。按責任規定:保密小組對信息安全負首責,主管領導負總責,具體管理人負主責。
3、制定了計算機及網絡的保密管理制度。鎮網站的信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權,計算機的用戶名和開機密碼為其專有,且規定嚴禁外泄。
(二)安全防范措施落實情況
1、涉密計算機經過了保密技術檢查,并安裝了防火墻。同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、涉密計算機都設有開機密碼,由專人保管負責。同時,涉密計算機相互共享之間沒有嚴格的身份認證和訪問控制。
3、網絡終端沒有違規上國際互聯網及其他的信息網的現象,沒有安裝無線網絡等。
4、安裝了針對移動存儲設備的專業殺毒軟件。
(三)應急響應機制建設情況
1、制定了初步應急預案,并隨著信息化程度的深入,結合我鎮實際,處于不斷完善階段。
2、堅持和涉密計算機系統定點維修單位聯系機關計算機維修事宜,并商定其給予鎮應急技術以最大程度的支持。
3、嚴格文件的收發,完善了清點、修理、編號、簽收制度,并要求信息管理員每天下班前進行系統備份。
(四)信息技術產品和服務國產化情況
1、終端計算機的保密系統和防火墻、殺毒軟件等,皆為國產產品。
2、公文處理軟件具體使用金山軟件的wps系統。
3、工資系統、年報系統等皆為市政府、市委統一指定產品系統。
(五)安全教育培訓情況
1、派專人參加了市政府組織的網絡系統安全知識培訓,并專門負責我鎮的網絡安全管理和信息安全工作。
2、安全小組組織了一次對基本的信息安全常識的學習活動。
二、自查中發現的不足和整改意見
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合我鎮實際,今后要在以下幾個方面進行整改。
1、安全意識不夠。要繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
篇(8)
第二條電子政務信息安全工作應遵循注重實效、促進發展、強化管理和積極防范的原則。
第三條省信息化工作領導小組辦公室根據省信息化工作領導小組關于電子政務信息安全工作的決策,負責組織協調全省電子政務信息安全工作,并對執行情況進行檢查監督。省直各有關部門根據各自職能分工負責電子政務信息安全的具體工作。各市電子政務主管部門負責本市電子政務信息安全工作。
第四條由省信息化工作領導小組辦公室牽頭,會同省信息產業廳、保密局、公安廳、科技廳組成省電子政務信息安全工作小組,負責制定全省電子政務信息安全策略和工作規范,建立全省電子政務信息安全風險評估體系。各單位要制定本單位電子政務信息安全措施,定期進行安全風險評估,落實信息安全工作責任制,建立健全信息安全工作規章制度,并于每年6月份書面報本級電子政務主管部門備案。
第五條電子政務網絡由政務內網和政務外網構成,兩網之間物理隔離。電子政務內網是政務部門的辦公專網,連接包括省四套班子和省直各部門。電子政務內網信息安全管理要嚴格執行國家有關規定。
第六條電子政務外網是政府的業務專網。全省建設一個統一的電子政務外網,凡是不涉及國家秘密的、面向社會的專業業務系統和不需在內網上運行的業務系統必須接入或建在電子政務外網上,并采用電子政務外網上所要求的信息安全措施。
第七條電子政務外網必須與國際互聯網和其他公共信息網絡實行邏輯隔離。全省統一管理電子政務外網的國際互聯網出口。凡接入電子政務外網的電子政務應用系統,不得擅自連接到國際互聯網。在國際互聯網上運行的政府網站,要采取必要的信息安全措施方可接入電子政務外網。
第八條在電子政務外網上建立統一的數字證書認證體系,建立電子政務安全信任機制和授權管理機制。凡接入電子政務外網的應用系統必須采用省電子政務認證中心發放的數字證書。各市可直接采用省電子政務認證中心提供的數字證書注冊服務,也可根據實際應用情況建立本市數字證書注冊服務中心,負責本市范圍內數字證書的登記注冊。
第九條各級電子政務外網網絡管理單位負責本級電子政務外網的公共安全工作,建立信息網絡安全責任制。要對所管理的本級外網網絡進行實時監控,定期進行安全性能檢測,定期向主管部門通報網絡安全狀況信息,并向其網絡用戶單位提供安全預警服務。
第十條電子政務外網要建立應急處理和災難恢復機制。應急支援中心和數據災難備份中心要制定數據備份制度,制定事故應急響應和支援處理措施,制定數據災難恢復策略和災難恢復預案,并報本級電子政務信息安全主管部門備案。全省性電子政務應用系統的主要數據庫和重要的基礎性數據庫,必須在應急支援中心和數據災難備份中心實現異地備份。
第十一條各單位要根據國家有關信息安全保護等級的保護規范,明確本單位電子政務應用系統的安全等級,并按照保護規范進行安全建設、安全管理和邊界保護。各單位負責其應用系統接入電子政務外網之前的所有安全工作,并配合網絡管理單位進行網絡安全管理和檢查工作。
第十二條各單位要明確信息采集、、維護的規范程序,確保其電子政務應用系統運行的數據信息真實準確、安全可靠。各單位要按照“誰上網誰負責”的原則,保證其在電子政務外網上運行的數據信息真實可靠,且不得涉及國家秘密。
第十三條各單位的電子政務應用系統要建立數據信息的存取訪問控制機制,按數據信息的重要程度進行分類,劃分訪問和存儲等級,設立訪問和存儲權限,防止越權存取數據信息。
第十四條各單位的電子政務應用系統要建立信息審計跟蹤機制,對用戶每次訪問系統的情況以及系統出錯和配置修改等信息均應有詳細記錄。
篇(9)
中國和亞太地區是伊頓在全球范圍內具有戰略意義的市場。羅世光相信,中國數據中心市場的快速增長將給伊頓的電能質量業務帶來更大的增長機會。因此,在2014年,伊頓將加強與商的合作,拓展分銷渠道,進一步推進與本土市場的全面融合,同時加大對本土產品研發和檢測的能力,提供更多符合中國客戶需求的高效節能的電能質量解決方案。
深圳是伊頓面向全球的研發和生產基地。三家位于深圳的工廠擁有5000多名員工、29條先進的自動化生產線,年產UPS達到800萬臺。伊頓在深圳設立的研發中心也是其全球三大電氣研發基地之一,產品研發和測試工程師超過1000人。
剛啟用的伊頓在深圳的亞太區電能質量產品和系統檢測中心,是除美國、芬蘭之外,伊頓在全球擁有的第三個產品和系統檢測中心。“該檢測中心同時也是客戶體驗中心,配備了全球領先的檢測設備和技術,不僅能夠檢測單體設備,還能對包括UPS、電源分配單元(PDU)、AMS監測系統和第三方設備的整個電能系統解決方案進行測試,其最大測試能力是可對兩臺并聯的1100kW的UPS進行測試。”羅世光介紹說,“客戶在選擇一款定制的電能解決方案后,即可在檢測中心看到其運行的全過程,通過親身體驗增進對產品的了解和信心。”
“過去3~4年中,我們在中國市場的總投入已經超過1200萬美元。我們仍在持續加強中國本地化,并從去年底開始進一步提升了針對中國用戶的售前和售后服務能力。”羅世光告訴記者,“目前,我們90%的UPS都在深圳研發和生產。最近,深圳研發中心剛剛研制出一款新的UPS產品。與許多跨國企業采取的遠程遙控式的本地研發策略相比,我們是實實在在地將研發部門落戶在深圳,為亞太和中國市場提供本地化服務的同時也面向全球客戶。”
云計算與大數據的發展推動了大型數據中心的快速發展,用戶對數據中心整體解決方案和定制化解決方案的需求也與日俱增。“從2010年開始,伊頓增加了為中國客戶定制數據中心解決方案的服務。在今年的商大會上,我看到了商和用戶的積極反饋。”羅世光表示。
針對小型數據中心,伊頓可以提供模塊化、標準化的解決方案;針對中型數據中心,伊頓可以針對不同行業客戶的需求,提供有差異化的解決方案;針對大型數據中心,伊頓可以提供按需擴展的高能效、低整體擁有成本的解決方案。從產品到系統再到整體解決方案,這不僅對伊頓是一個新的挑戰,對其商來說也要經歷一個大的轉變。
為了迅速提升商銷售解決方案的能力,伊頓一方面不斷更新其數據中心整體解決方案,另一方面加強對商的銷售培訓,實現信息共享。羅世光表示:“我們提供的定制化解決方案一方面要滿足用戶的個性化需求,另一方面還要保持開放性。我們將為用戶提供解決方案與服務打包的一體化解決方案。”
第三屆全國等級保護技術大會征文通知
為深入貫徹落實國家關于大力推進信息化發展和切實保障信息安全的文件精神,進一步推進信息安全等級保護技術交流,經公安主管部門同意,公安部第一研究所擬于2014年7月舉辦第三屆全國信息安全等級保護技術大會(ICSP’2014)。
會議擬請公安、工業和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網絡與信息安全信息通報中心等部門擔任指導單位,同時將出版論文集,經專家評選的部分優秀論文,將推薦至國家核心期刊發表。現就會議征文的有關情況通知如下:
一、征文范圍
1. 新技術應用環境下信息安全等級保護技術:物聯網、云計算、大數據、工控系統、移動接入網、下一代互聯網(IPv6)等新技術、環境下的等級保護支撐技術,等級保護技術體系在新環境下的應用方法;
2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業網站、核心業務信息系統等安全威脅、隱患分析及防范措施;
3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發展對策,網絡恐怖的特點、趨勢、危害研究;
4. 信息安全預警與突發事件應急處置技術:攻擊監測技術,態勢感知預警技術,安全監測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;
5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監測與監管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;
6. 信息安全等級保護監管技術:用于支撐安全監測的數據采集、挖掘與分析技術,用于支撐安全監管的敏感數據發現與保護技術,安全態勢評估技術,安全事件關聯分析技術、安全績效評估技術,電子數據取證和鑒定技術;
7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;
8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監測預警機制。
二、投稿要求
1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;
2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;
5. 提交截止日期: 2014年5月25日。
三、聯系方式
通信地址:北京市海淀區首都體育館南路1號
郵編:100048
Email:.cn
聯系人: 范博、王晨
聯系電話:010-68773930,
篇(10)
中圖分類號:TU984 文獻標識碼:A 文章編號:
當前,國家數字化城市建設正在深入展開,作為城市數字化重要做成部分的電子政務建設也在進一步完善。城市數字化的發展離不開城市電子政務平臺的建設,而城市電子政務平臺的建設離不開快速安全的網絡存儲以及數據倉庫技術。電子政務平臺上有相當多的政府公文在流轉,其中不乏重要情報,關系到國家安全和社會穩定。因此,如何保證這種基于網絡的,符合internet技術保準的、面向政府機關內部和其他政府機構、企業以及社會公眾提供信息服務和信息處理的系統安全就顯得十分重要,本文就目前電子政務的安全問題做簡要的分析。
城市電子政務的安全現狀
城市電子政務系統提供科學決策、監管控制、大眾服務等功能,信息安全是其成功實現功能的保障。解決好信息共享和保密性的關系、開放性和保護隱私的關系、互聯性和局部隔離的關系,是實現安全城市電子政務的前提。
城市電子政務潛在的安全威脅正在逐漸轉化成現實。根據美國的一項調查,美國每年因為網絡安全問題造成的經濟損失就高達170億美元。如果沒有有效的安全的措施,城市電子政務的權威性會遭到質疑,政府辦公就不能真正實現電子化,走到網絡上來。
城市電子政務安全面臨的主要問題
安全管理的標準問題
安全管理的標準建設是非常重要的一項安全問題。目前,國際上尚沒有可供參考的標準的安全管理的標準,各個地區根據自己的實際情況制定的安全管理標準參差不齊,出入差別很大,而恰恰是在這方面是安全問題最薄弱的環節。追究其關鍵是由于法律意識和管理意識不強,管理缺乏經驗和依據,即便是建立了相應的制度也是考慮的不夠全面,甚至許多建立了制度的單位也由于組織的不完善而不能得到真正的貫徹執行。
2、信息安全保障體系問題
信息安全保障體系是基于PKI體系而開發的為多個應用系統提供統一認證、訪問控制、應用審計和遠程接入的應用安全網關系統,它可以將不同地理位置、不同基礎設施(主機、網絡設備和安全設備等)中分散且海量的安全信息進行樣式化、匯總、過濾和關聯分析,形成基于基礎設施與域的統一等級的威脅與風險管理,并依托安全知識庫和工作流程驅動,對威脅與風險進行響應和處理。信息安全保障體系問題主要有: 保密性即主要體現在誰能擁有信息,如何保證秘密和敏感信息僅為授權者享有; 完整性即主要體現在擁有的信息是否正確以及如何保證信息從真實的信源發往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換;可用性即主要體現在信息和信息系統是否能夠使用以及如何保證信息和信息系統隨時可為授權者提供服務而不被非授權者濫用;可控性即主要體現在是否能夠監控管理信息和系統以及如何保證信息和信息系統的授權認證和監控管理;不可否認性即主要體現在信息行為人為信息行為承擔責任,保證信息行為人不能否認其信息行為。
響應恢復的及時性問題
城市電子政務是政府的對外服務窗口,它在很大程度上代表了政府的形像,其對災難恢復和響應的真實性、可靠性、及時性、方便性都是十分關鍵的。同時要特別關注信息被篡改、虛假信息被、系統平臺被攻擊、系統服務被阻塞等安全隱患問題。
信息數據的安全性問題
信息數據安全是基礎性工作,數據作為系統的最終元素,是系統安全保障的根本,對于電子政務而言尤為重要,而數據安全隱患主要有竊取、篡改、假冒、詆毀等。
網絡工作的協調性
政務工作網絡化本身與網絡安全是一對實際存在的矛盾。網絡化要求通暢交流,安全要求控制交流,這里除了處理網絡技術本身存在的隱患外,主要是政府網絡要求物理隔離,而各種交流可能直接引起網絡的聯通,由于聯通而引起外部攻擊的風險就會大大提高。同時,由于大部分工作是在內部網絡進行的,內部人員通過內部網絡安全防護不嚴的漏洞和弱點直接攻擊系統、應用系統漏洞來竊取重要信息。其中,假冒身份登錄等也是網絡工作中的重要安全問題。
系統交流的嚴密性
城市政府電子政務系統可能與電子商務系統、企業辦公系統、internet網站互相交流,實際的安全控制就會隨之增加。由于涉及的范圍太廣,實際上安全問題可能會漏洞百出,可能各個方面的交流通道都會成為外部攻擊的主要途徑,并使城市政府電子政務系統其他方面的隱患防范效果大大降低。
解決對策和建議
1、建立相應的法規體系
在法律上逐漸建立起相應的法律體系和對城市電子政務系統的安全有保障的法規。眾所周知,美國已經有關于網上管理的立法三千多條。所以,當前建立起標準的相應的法律法規就顯得十分重要,如,我國2008年公布的《中華人民共和國政府信息公開條例》就為各個地區電子政務的發展提供了有力的保障。另外,還需要制定相應的行業網絡法規,進一步完善現有法規,根據實際實施情況作出相應調整,使其更加適應互聯網絡的發展。
2、建立安全管理的體系
通常情況下,信息網絡系統的安全必須健全相應的管理措、管理機構、管理依據、管理制度和管理流程。對日常操作、審查監督、流程管理進行統一的管理。由于網絡漏洞的不斷出現與新的威脅的增加,必須通過網絡安全管理實現系統審計,以對信息進行綜合分析,不斷在運行中調整安全策略,完善安全設計,使安全策略更符合實際、安全設計更趨于合理化。
3、建立完善的技術體系
就城市電子政務的安全技術而言,所包括的內容是十分豐富的,它可以從多個角度去考慮問題,目前在技術體系上包括:具有良好保障的防火墻、防病毒技術、入侵檢測與漏洞掃描技術、認證與加密技術等。針對電子政務的安全問題,可采取下列安全防患措施:
訪問控制。通過對特定網段、服務建立的訪問控制體系,將絕大多數的攻擊阻止在達到攻擊的目的之前。
漏洞安全檢查。通過對安全漏洞的周期性檢查,即使攻擊可達到攻擊目標,也可以使絕大多數攻擊無效。
攻擊監控。通過對特定網段、服務建立的攻擊監控體系,可以實時監測出絕大多數攻擊,并及時采取相應的措施。
加密通訊。主動的加密通訊,可以使攻擊者不能了解、修改敏感信息。
認證。良好的認證體系可以防止攻擊者假冒合法用戶登陸。
備份和恢復。良好的備份和系統恢復機制,可以在遭到惡意攻擊后減少損失,盡快的恢復數據和系統服務。
多層防御。攻擊者在突破第一道防線后,延緩或阻斷其達到攻擊目標的目的。
隱藏內部信息。可以是攻擊者不清楚系統內信息的真實情況,找不到要找的目標。
設立安全監控中心。可以為信息系統提供安全體系管理、監控、維護以及緊急情況的服務。
針對以上安全策略的各個方面都應該有更加詳細的解決方案,所有解決方案都是從城市電子政務的安全的角度去考慮的,而不應該是單一的方面。
4、建立響應與恢復體系
電子政務系統中保存著大量的信息,必須建立一套完善的響應和恢復體系,確保出現自然災害、系統崩潰、網絡攻擊后硬件故障等時能夠及時恢復系統。安全技術本身是一個不斷發展的課題,安全廠商和黑客之間在彼此“交鋒”的工程中此消彼長,需要不斷地跟蹤最新的安全技術以及黑客攻防技術動向。操作系統、應用系統的安全漏洞應該不斷地被及時發現,需要及時給系統漏洞“打補丁”;安全產品在安裝配置的時候滿足了當時環境的安全需要,但是隨著新的安全問題的出現,需要對原有的安全參數進行重新配置,安全系統也要做相應的升級、更新換代;黑客或者其他基于政治目的的攻擊行為需要具有安全管理經驗的專業技術人員作出及時快速的應急相應服務;由于計算機病毒或者人為誤操作或者黑客破壞行為而造成的硬盤數據、網絡數據的丟失和破壞,需要對系統進行安全、快速的修復等。
響應和恢復體系應該具備以下條件
支持大容量存儲
支持異地備份和恢復
跨平臺的備份能力
支持多種存儲介質和備份模式
支持自動恢復機制
響應和恢復的具體措施
日常維護:包括網絡安全日志、網絡日常監控、網絡安全設備的管理和配置、反病毒軟件、病毒代碼庫的定期升級以及安全技術管理人員的定期技術培訓等。
應急響應:主要包括安全事件的應急響應與計算機病毒事件的應急響應。
篇(11)
1.1計算機信息
信息是關于客觀事實的可通訊的知識,信息是客觀世界各種事物表征的反映。“信息”又被稱為消息、資訊,通常以文字或聲音、圖像的形式來表現,是數據按有意義的關聯排列的結果。目前,根據對信息的研究成果,我們可以將信息的概念科學的概括如下:信息是對客觀世界中各種事物的運動狀態和變化的反映,是客觀事物之間相互關聯和相互作用的表征,表現的是客觀事物運動狀態和變化的實質內容。
1.2計算機信息安全
信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境極其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常的運行,信息服務不中斷,最終實現業務連續性。主要包括信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,確保信息的完整性、可用性、保密性和可靠性,即確保信息的安全性。
2高校計算機信息安全管理理論
2.1計算機信息安全管理體系不健全
從目前高校的安全管理模式可以看出,仍在沿用傳統的“以經驗管理為主,以科學管理為輔”的較固定的管理模式。完全依靠開會強調安全管理的重要性,靠文件學習風險防范方法,靠人員的巡視檢查來督促各部門的對信息的安全防范。這樣簡單的、被動的、機械的管理模式,不能夠適應現在這個多變的社會環境。沒有一個全員的安全緊迫性、全方位的安全管理程序,不主動查缺補漏,輕視安全隱患,往往會鑄就大的安全管理問題。
2.2計算機信息安全管理手段較單一
高校往往重視教學和科研業務上的績效考核、獎勵激勵,而忽略了在信息安全管理方面表現卓越的激勵、保障制度。有關信息安全管理的規章制度也不成為專門的考核標準,一些信息安全管理方面的資金投入也較科研開發、教學業務拓展等較少。只是在出了事故后層層問責,而懈怠了平時的敦促、提醒、培訓。沒能根據實際工作環境和社會變化趨勢來應對信息安全問題,管理手段和方法單一落后。
2.3計算機信息安全監督機制不完善
監管部門的安全監督責任有待調整和規范。高校尚未出臺可資借鑒的安全監督執行力度標準,這樣,就會影響組織機構在進行監督信息安全管理時的執行力度。有法可依、執法必嚴應是相關部門應該秉承的監督圭臬,可是現實情況是制度缺失、人浮于事,監督機構設置如同虛設。
2.4計算機信息安全人才缺乏
高校現階段的信息安全人員多為其他崗位的兼職人員,而且非信息安全專業人才,通常是進入崗位后,根據職能需要,逐步學習,經過培訓而掌握了信息安全技術知識的人員。
3完善高校計算機信息安全管理的對此
3.1建立信息安全預防體系
改進高校的信息安全管理體系需要從全局出發,從基礎做起,然后逐步完善。要有條理、有策略、有方法,不能冒進,也不能半途而廢。因此,要建立長效的信息安全預防體系,必須出臺切實可行的運行機制和控制手段,逐一落實,使企業的安全信息管理體系形成良性、螺旋上升的改進形式。
3.2建立信息安全預防管理控制手段
(1)注重管理策略和規程;(2)加強技術控制。
3.3建立信息安全預防管理運行機制
3.3.1組建相關的組織機構
建立其專門的安全監管部,負責為高校的網絡與信息安全突發事件的監測、預警和應急處理工作提供技術支持,并參與重要的判研、事件調查和總結評估。
3.3.2建立應急響應機制
即當安全監管部門發現安全問題,及時向相關部門通報提請注意,然后將安全問題定級,提出預警等級建議,向有關領導報審。接到上級領導反饋后技術部門采取有效措施啟動應急預案。當預警問題解決后,向上級請示,解除預警。事后形成事件調查和風險評估總結,呈報領導。
3.4提高信息監管人員的素質
首先物色合適的人選,根據崗位工作性質,經過嚴格的考察和科學的論證,找出或培訓所需的人員。選聘過程嚴格可控,然后把具備不同素質、能力和特長的人分別安排人員配備齊整。培訓之后上崗,從而使個崗位上的人充分履行自己的職責,最終促進組織結構功能的有效發揮。在人員到崗后,也要經常抽查崗位員工的工作技能和態度,測試和培訓崗位需求,經常組織人員學習先進的信息技術和前沿項目。
4結論
信息安全管理時一個動態發展的過程,信息技術日新月異,信息安全管理策略就要隨之動態調整。信息安全管理體系的規劃、設計和實施流程也要根據實際運作的情況不斷調整和該井。完備的計算機信息安全管理體系可以使高校信息資產安全得到有效的保障,將高校信息安全風險控制到最低。
作者:張超 單位:遼寧經濟職業技術學院
參考文獻:
[1]張文雷.談高校信息技術的網絡安全[J].信息與電腦(理論版),2014(06).
[2]湯贊.淺談我國網絡安全對高校信息技術的影響[J].科技與創新,2016(02).
