信息安全保障体系建设(精选8篇)
目录
网络信息安全保障体系建设方案........................................................................1
1、建立完善安全管理体系.................................................................................1 1.1成立安全保障机构.........................................................................................1
2、可靠性保证.....................................................................................................2 2.1操作系统的安全.............................................................................................3 2.2系统架构的安全.............................................................................................3 2.3设备安全.........................................................................................................4 2.4网络安全.........................................................................................................4 2.5物理安全.........................................................................................................5 2.6网络设备安全加固.........................................................................................5 2.7网络安全边界保护.........................................................................................6 2.8拒绝服务攻击防范.........................................................................................6 2.9信源安全/组播路由安全...............................................................................7
网络信息安全保障体系建设方案
1、建立完善安全管理体系
1.1成立安全保障机构
山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。
山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。
2、可靠性保证
IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。
(1)设备级可靠性
核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。
(2)网络级可靠性
关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:
接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。
汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后通过使用快速路由协议收敛来完成链路快速切换。 核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。
组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。
2.1操作系统的安全
在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。
防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制,不同级别的业务管理人员,拥有不同级别的对象和数据访问权限。 防病毒:部署防病毒软件,及时更新系统补丁。
数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,有效地保障系统数据的安全性。
2.2系统架构的安全
IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。
存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。
支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN调度单元、网管均支持分布式处理。2.3设备安全
核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。
具备油机不间断供电系统,以保证设备运行不受市电中断的影响。服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复时间不超过30个小时。2.4网络安全
IPTV业务承载网络直接与internet等网络互联,作为IP网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。2.5物理安全
包括IPTV承载网络通信线路、物理设备的安全及机房的安全。网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。2.6网络设备安全加固
作为IP承载网,首先必须加强对网络设备的安全配置,即对网络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。
口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。
服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等。网络设备的交互式访问安全措施包括:加强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。2.7网络安全边界保护
网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性。
IPTV承载网络边界保护措施主要包括以下两点:
通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址,减少来自Internet或其它不可信网络的安全风险。
在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等。2.8拒绝服务攻击防范
拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。
建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实现网络的源IP地址过滤,在IPTV承载网接入路由器对其进行源IP地址的检查。关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能,如echo、chargen服务,网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。
下图给出了IPTV承载网安全建设实现方式图。
2.9信源安全/组播路由安全
尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题。
组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在RP上对组播源的合法性进行检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。
组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。为了实现对一些重要信息的保护,需要控制其扩散范围,静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散。在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授权的范围。
1. 档案信息安全思想保障。
树立和坚持全面的、科学的、发展的档案信息安全观, 是保障档案信息安全的思想基础。传统安全观、保密安全观、技术安全观、系统安全观和网络安全观等, 都是不科学的、不全面的、不完整的, 是静止的、片面的认识。科学的档案信息安全观是对档案信息安全主体、档案信息安全内容、档案信息安全方式认识的综合, 是档案信息记录内容、记录方式和记录载体三位一体的安全观。为建立现代档案信息安全体系和筹划档案信息安全战略提供了正确的理论指导和价值取向。在新时期, 档案部门应在国家信息安全总的指导方针下, 坚持“纵深防御、综合治理、等级保护、促进发展”的思想方针。信息时代的“防”已经扩展到纵深的防御;“治”是一种包括了策略、管理和技术 (包括传统技术和现代信息技术及其他相关技术) 的综合治理。突出重点, 实行档案信息等级保护, 对推动我国档案信息安全保障体系建设具有重要意义。档案部门应做好档案信息等级保护工作, 以有效保障档案信息安全, 促进档案事业健康、持续、快速发展。
2. 档案信息安全策略保障。
档案信息安全策略是档案信息安全保障体系的核心和纲要, 是档案信息安全保障的总体规划和具体措施。针对档案信息安全的新情况、新变化和新特点, 制定档案信息安全国家战略和规划;根据国家战略和规划, 研究制定本地区和本单位的档案信息安全保障规划和计划, 以增强档案信息安全保障工作的针对性和科学性。强化危机管理意识, 加强档案信息危机管理, 最大限度地减少和降低档案人员和档案信息遭受损失。完善危机管理法规制度, 建立危机管理机构网络, 制定科学、合理的档案防灾应急预案, 从档案信息资产、档案信息面临的安全威胁和安全缺陷等方面, 全面、客观地评估风险和分析威胁, 做好防灾应急演练、培训、档案异地备份等工作, 健全安全决策和危机预测与反应机制。把握好档案业务工作主要环节, 做好重要活动档案的归档和接收工作, 有计划地收集和征集散失的档案资料;实现电子文件实时归档, 档案部门与信息化部门加强沟通、协调与合作, 研究提出档案管理功能需求, 真正实现文档管理一体化。建立库房管理制度。做好档案信息的整理、编目工作。正确处理档案利用与保护的关系, 制定并完善档案信息公开与保护方面的法规制度, 有效地保护知识产权和隐私权, 做好利用中的档案实体保护工作。
3. 档案信息安全技术保障。
先进的科学技术研究和应用是保障档案信息安全的重心所在。档案信息安全技术不仅涉及到传统的“防”和“治”的技术, 而且已经扩展到涉及密码技术、访问控制技术、标识和鉴别技术、审计与监控技术、网络安全技术、系统安全技术、应用安全技术等多种现代信息技术。传统技术与现代技术相互补充、相互结合, 从不同角度、不同层次来解决档案信息安全问题, 共同构筑档案信息的安全屏障。档案信息安全技术的发展与更新, 加快档案信息安全技术成果的应用、推广和转化, 在引进、消化和吸收相关领域科学技术成果的同时, 坚持自主创新, 走国产化道路, 开发拥有独立自主知识产权的、保障档案信息安全的核心技术和关键设备。建立档案科学技术奖励基金, 开展档案信息安全技术成果奖励活动, 激发广大档案科技人员的积极性和主动性。
4. 档案信息安全人才保障。
[关键词]电子档案;信息安全;保障体系
[中图分类号]G270.7 [文献标识码]A [文章编号]1672-5158(2013)06-0437-02
1 引言
信息时代把“电子档案”这一新生事物推至我们面前。基于不同的认识背景和知识结构,人们对它的理解和认识有所差别。“电子档案”从社会意义上可以归纳为是将传统的以纸张、录音带、录像带为存储介质的各种原始档案资料,通过扫描、压缩、转化等手段转换成图片文件、声音文件和录像文件,对图片文件可以通过文字识别等技术手段,再运用分级存储管理技术将图片和索引字段存储于光盘库等各种大容量的存储介质上,并可通过各种方便的查询手段迅速地检索出所需要的档案资料,发布到局域网、广域网、企业内部网、国际互联网,最终实现“电子档案”。档案的安全保管和有效利用,是档案工作最基本的两项任务。
2 影响电子档案信息安全的因素
在电子档案的归档、管理和服务利用等过程中,影响电子档案安全的因素主要来自四个层面:
2.1 网络软件因素
网络因素主要指系统外部非法用户和不安全数据包侵犯窃取秘密与篡改破坏档案信息。这是计算机网络所面临的最大威胁,也称黑客行为。它们又可以分为以下两种:一种是主动攻击,即以各种方式有选择地破坏数据的原始性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、删除、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致信息的机密数据的泄漏。
2.2 硬件数据因素
硬件因素主要指网络运行系统的物理设备问题,如:主机硬件系统本身的安全漏洞,路由交换设备的不稳定,或硬件设备的意外损坏造成的系统瘫痪等;
数据因素主要指设计系统存储档案的数据安全问题,如数据版本与格式转换,存储介质的老化失效,自然灾害造成的数据丢失和损坏等。
2.3 应用管理因素
主要指档案管理信息系统在实际应用操作过程中存在的安全问题。管理是保护电子档案信息安全的主要手段,而责任不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。据调查,在已有的网络安全攻击事件中,约70%是来自内部网络的侵犯。如:档案管理信息系统的用户管理层次的不规范性;操作人员安全配置不当,用户安全意识不强,口令选择不慎,用户将自己的帐号随意转借他人或与别人共享造成档案信息泄密、原始信息被篡改等。这些都是因为管理不善而造成电子档案信息不安全的因素。
2.4 突发性因素
非人为因素是指不是由于人的直接行为引起的电子档案信息真实与完整的损失、档案信息的破坏,如设备故障和失效、自然社会灾害和意外灾祸等,也叫突发性灾害,主要指不可抗拒的自然灾害,如:雷击、火灾、地震、水灾、飓风以及其他不可预测的突发事件等。针对影响电子档案信息网络安全的种种危险因素,在电子档案信息资源的系统安全管理中采取相应的预防措施即安全技术防护至为重要。
3 电子档案信息安全保障体系的建设
电子档案信息的安全包括网络、系统安全;信息安全;物理安全等方面,要有可靠的技术措施和完善的管理制度来保证各方面的安全。因此,安全管理机制建设创新要有实招:
3.1 组建信息安全管理机构
机构级可以在本单位现有的顶层如信息安全与保密委员会下设电子档案工作小组,在建立了机构时必须同时制定职责、运作机制等相关制度,使保密机构真正起到决策、监督作用。
3.2 电子档案信息安全体系建设
电子档案的安全与保密除通过软硬件保障外,制度的保障更加重要,因此必须制定相关的规章制度,主要有以下几项:
3.2.1 建立安全管理制度
管理制度是保证电子信息安全的重要措施。维护电子信息的安全除了技术手段外,更重要的是要加强对信息的管理,制定合理而严密的管理措施和规范,才能真正保护电子信息的真实、可靠和完整。因此,为保证电子档案信息的安全,必须制定以下各项规章制度:文档管理制、人员安全管理制度、应用系统运营安全管理制度、系统运行环境制度。
3.2.2 建立网络管理制度
计算机网络系统的安全系数会随着时间的推移而降低。原因很多,主要有设备老化,安全技术方法逐渐泄露,管理日渐松懈,攻击者经验的积累等。与此相反,电子文件和电子档案的价值却随着时间积累而增加,对系统安全的要求越来越高。因此,为长时间保证安全,必须结合本单位的实际,建立配套的、切实可行的网络管理制度。
3.2.3 建立全过程的电子文件管理制度
电子文件从形成到电子档案的开发利用,中间要经过很多环节,哪一个环节出了问题都会影响电子文件的真实可靠性。因此建立全过程的管理制度,明确各环节的职责要求,就显得非常重要。如电子文件形成之后,要及时收集积累,以防分散状态下发生信息丢失;电子文件归档时,要严格检查相关文件是否收集齐全,负责就会给将来利用带来困难和麻烦;迁移时,要认真检查是否发生信息丢失。任何环节的疏忽,都对电子信息的真实性与可靠性造成危害。
3.2.4 建立电子文件管理记录系统
为加强对电子文件的管理,保证电子文件的法律证据性而建立。记录系统内容:
(1)对于收集积累阶段在网络系统上传输的电子文件,可通过网络系统自动记录有关信息;
(2)文件在现行期的重要处理环节,如文件的创立、登记、修改、审核、签署、分发;
(3)文件在半现行期和非现行期的管理、利用等;
(4)对于按存储载体方式进行收集、积累的电子文件,还要辅以必要的人工记录。
(5)文件存储位置的改变、数据转换的记录;
3.3 电子档案信息安全与保密日常监督与检查
电子档案的安全与保密还必须通过日常的监督与检查来得到保证,设备的日常维护,制度的贯彻与落实等等都必须落实到日常的工作中,一是检查人员的安全防护意识;二是检查各项规章制度的执行情况;三是检查机器设备和网络运行情况;四是检查网上数据的流动情况。因此电子档案必须制定安全与保密制度,明确检查周期、检查项目与检查方法,对出现问题要有归零跟踪,对违反纪律的员工有惩罚。
3.4 加强网络安全管理的人文策略
加强对电子文件制作和管理人员的业务学习和技术培训。在电子文件的安全管理过程中,仅靠制度是不够的,一方面必须加强组织对涉及电子文件人员的业务学习和技术培训。通过组织业务学习和技术培训等途径,尽快使他们掌握信息管理自动化的知识和技能,担负起电子文件归档工作的重任。另一方面要加强人才队伍的建设。人才队伍的建设贯彻以管理型人才为基础,以复合型人才为重点的指导思想。根据电子档案业务工作的划分,所需人才的类型有:档案采集、处理与数据加工人才;信息技术及计算机系统和网络设计与开发人才;档案信息分析、研究与咨询人才;电子档案理论与方法研究人才;电子档案系统运营与服务的管理人才。对人才队伍业务素质的要求是具有较全面的知识结构以及敏锐的信息意识、良好的信息道德、较强的信息能力,以适应电子档案的建设和正常运行的需要。
结束语
总之,电子档案信息安全保障体系应是一个包含法制标准、基础设施、组织管理、安全技术、灾难恢复机制的多层次、全方位的系统,该系统以法制标准为重要手段,以安全基础设施为基础,在整体安全策略和安全组织管理之下,采用国内外先进成熟的安全技术,制订统一的备份恢复策略,建立完备的综合防范机制,以保障电子档案信息安全、可靠、有序、高效地运行,确保电子档案信息资源的高安全性、高可靠性和高可用性。同时,积极促进档案整体信息化应用水平的全面提高,为信息化建设保驾护航。
参考文献
[1]赵晖:电子档案信息安全管理面临的问题和挑战,《城建档案》2013(1)
[2]王玉杰;苏卫东:档案信息化与档案信息安全保障体系建设,《机电兵船档案》2012(8)
编制说明
1.工作简况 1.1.任务来源
根据国家标准化管理委员会2017年下达的国家标准制修订计划,国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。
关键信息基础设正常运转,关系国家安全、经济发展、社会稳定,随着关键信息基础设施逐渐向网络化、泛在化、智能化发展,网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及实施方案等,加大对关键信息基础设施的保护力度。近年来,随着我国网络强国战略的深化和实施,国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出,构建国家关键信息基础设施安全保障体系已迫在眉睫,是当前一项全局性、战略性任务。
2016年4月19日,总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。” 2016年8月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号),要求“按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。2016年12月15日,国务院印发《“十三五”国家信息化规划》(国发〔2016〕73号),明确提出要构建关键信息基础设施安全保障体系。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,要求“建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。
目前国外主要国家对关键信息基础设施的保护起步较早,已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息基础设施安全建设,不断提升网络安全保障能力。对于我国而言,一方面,我国在引进外国先进技术、加快产业更新换代的同时,部分关键核心技术和设备受制于他国,存在系统受控、信息泄露发 1
现滞后等隐患,也给关键信息基础设施各领域带来许多安全隐患问题。另一方面,我国关键信息基础设施保护工作起步较晚、发展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的
本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年,项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究:研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料,总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络安全保障工作面临的挑战,分析我国网络安全保障工作的新需求,对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;在理论研究和实践调研的基础上,研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月,项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。3、2015年1月-2015年7月,项目组根据项目要求开展了研讨会,针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月,项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月,项目组进行了广泛研讨,并咨询了专家意见:2015年1月,对研究提出的网络安全保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;2015年6月,召开专家会,听取了中国电信基于大数据的网络安全态势评价工作的介绍;2015年7月,召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状,与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月,与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月,与网络安全检查工作进行对接,采用指标体系对相关检查结果进行了统计测算,并撰写评价报告。8、2016年4月-2016年8月,针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结,进一步更新了指标体系。9、2016年9月-2017年2月,与关键信息设施检查办进行对接,对指标体系的实际应
用进行了深入讨论。10、2017年3月,项目组在草案初稿的基础上,召开行业专家会,形成草案修正稿。11、2017年4月,在全国信息安全标准化技术委员会2017年第一次工作组会议周上,项目组申请国家标准制定项目立项。12、2017年6月,“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月,项目组召开专家咨询会,听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月,在全国信息安全标准化技术委员会WG7第二次全体会议上,项目组广泛听取专家意见,形成征求意见稿。1.4.承担单位
起草单位:大唐电信科技产业集团(电信科学技术研究院)
协作单位:国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。
本部分主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则
为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,主要遵循以下原则:
1、综合性原则
关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此,标准设计的首要原则是综合性。
2、科学适用性原则
关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则,把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。
适用性原则,就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于,最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。
3、导向性原则
评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确 的方向和目标发展,要引导我国关键信息基础设施安全的健康发展。
4、可操作性强原则
可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。
5、定性定量结合原则
在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。
6、可比性原则
可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准,是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容
本标准概述了本标准各部分通用的基础性概念,给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下:
前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义
附录A(规范性附录)指标测量过程 参考文献
本标准主要贡献如下:
1、明确了标准的目标读者及其可能感兴趣的内容
指出标准主要由三个相互关联的部分组成:第1部分包括1-3节,描述了本标准的范围和所使用的术语与定义,对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释;第2部分为第4节,详细描述了关键信息基础设施安全保障指标体系的体系框架和指标;第3部分包括第5节和附录A,给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法,为体系的可操作性提供了保证。
2、给出了关键信息基础设施的概念
关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。
《中华人民共和国网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
《国家网络空间安全战略》规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。
3、指出关键信息基础设施安全保障评价围绕三个维度进行
关键信息基础设施安全保障评价围绕三个维度进行,即建设情况、运行能力和安全态势,并依据关键信息基础设施安全保障对象和内容进行分析和分解,一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。
4、给出了指标测量的一般过程
关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度,应用相应的测量方法得出测量值,并通过分析模型将测量值折算成指标值,最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明
a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面,试图使所提出的指标体系与测量过程具有一定的通用性,以便于指标体系的推广和扩展;
b.考虑到指标设计方面应用的可扩展性,在体系建设和测量过程之中,指标体系可以根据实际评价对象的特性做出相应的指标调整,以完善指标体系并得出合理公正的评价。
《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组
摘 要:近年来我国档案事业取得了较快的发展,特别是当前档案信息化建设进程不断加快,这也对档案信息的安全提出了更高的要求。由于各种因素的影响,当前档案信息安全问题十分突出,困此需要构建档案信息安全保障体系,以此来保证档案信息的安全。文中从档案信息安全保障体系概述入手,分析了影响档案安全的因素,并进一步对构建档案信息安全保障体系的具体策略进行了阐述。
关键词:档案信息安全保障体系;法律法规;技术保障体系;管理保障体系
档案信息资源作为社会资源的重要组成部分,在当前网络环境下,档案信息安全受到较大的威胁,为了确保档案信息的安全,需要加快构建档案信息安全保障体系,以此来实现对档案信息资源的有效保护,更好的发挥出档案信息的重要价值,使档案工作能够更好的服务于社会和经济的发展建设。
为保障有机蔬菜和“两菜一粮”产业健康持续发展,肥城市农业局锐意进取,大胆创新,狠抓农产品质量安全监管、执法、监测体系建设和标准化生产基地建设,农产品质量安全水平进一步提升。
一、整合农业执法监管体系。一是设立了农产品质量安全区域化监督管理办公室;二是出台了《肥城市种植业基地管理意见》等一系列政策性文件,有效地推动了农产品质量安全工作的经常化、规范化;三是市委、市政府将农产品质量安全工作列入镇街科学发展综合考核内容。对因农产品质量安全问题发生食物中毒事件的或发生农产品质量安全事件、处置不当在社会上造成恶劣影响的,实行一票否决,并追究相关责任人的责任。各村实行村委负责制,每个村委成员都是农产品质量安全监管员,形成了一级抓一级、层层抓落实的责任监管体系,为确保农产品质量安全提供了坚强的组织保障。
二、健全完善蔬菜标准化生产体系。编制了《农产品标准化生产和操作规程》等一系列生产技术规程。将农业生产全部纳入标准化体系,彻底解决了无标生产、无标流通、无标销售的问题。
三、健全蔬菜质量监测体系。全市15个镇街都设立了农
产品质量安全监督管理办公室,有12个镇街建立了蔬菜质量检测室。市农业局建立了农产品质量安全信息管理平台,把全市镇街5 个重点蔬菜生产加工企业、1 个蔬菜批发市场的纳入信息管理平台管理,对蔬菜质量进行实时监控、统计、分析、预警与智能化管理。
一、数字档案馆信息安全体系建设是高校档案工作的重要使命
高校数字档案馆的实质是指存储和利用档案信息资源的信息空间,由众多档案资源库群、档案信息资源处理中心、档案用户群等构成,主要涉及档案信息的采集、整理、存储、检索、传递、保管、保护、利用、鉴定和统计等过程;其信息特点是以数字符号形式出现的可管理和利用的档案信息,既可以是馆藏的纸质档案经过数字化加工后形成的音频、视频、图像等数字信息,也可以是数字形式如电子文件、CAD工程图纸、集文字声音图像等一体的档案信息,或在档案工作中形成的方便检索和查询、方便统计与利用的档案目录信息;它建设目标是以数字化技术进行存贮,以网络化技术进行信息传递和管理,以超文本技术进行信息查询和利用,以档案馆为主要信息源和节点,连接校内各机构,沟通国内外教育网,既是快捷提供利用的“数字库”,也是远程接收与采集信息资源的“集散地”,但它的信息安全问题是高校档案工作不容忽视的话题。
在数字档案馆信息安全建设中,无论是经过数字处理的档案信息,还是原生态的数字档案信息,其载体形式主要是磁盘、光盘、磁带等,它们对读取设备有绝对的依赖性,对保存环境的要求也很高,存储格式也具复杂多样性,如纸质和照片档案主要承载文字和图形信息;构成的形态则是多变的,如图像、音频、视频等形态的图象信息,它们可以单独或结合构成数字信息内容;其次它对计算机设备的依赖性,如从传输、存储到显示都是通过计算机实现,离开了它的软硬件条件是不可能识别和存储数字信息;它还有不安全特性,如网络安全的薄弱性,导致经常会出现某些隐患,计算机病毒的威胁、黑客攻击、错误操作、信息失真等因素,都会造成数字信息丢失或毁灭;同时,它对标准的依赖性,在它的形成过程中,若按照统一标准进行管理,有助于减少数据格式变换和数据迁移的频率,有利数字信息在存取与保存时的完整性等,反之亦然,因此,探讨高校数字档案馆信息安全保障体系建设问题显得十分迫切,也是时代赋予高校档案工作的重要使命。
二、高校数字档案馆信息安全保障体系建设的主要内涵
数字档案馆狭义的是指其中的个体档案馆,它代表的是一种信息环境和基础设施的构建,因此,它的信息安全问题需要从基础设施建设、制度管理、网络安全、系统安全等层面来考虑安全保障建设问题。
1、基础设施建设
根据数字档案馆安全建设功能需要,应及时加强基础硬件的配置和建设,它是保证数字档案馆安全运行的前提条件,主要包括如计算机网络设备、系统管理软件、应用程序、服务器、档案加丁设备、存储设备、数字化设备、摄像机、扫捕仪、光盘记录设备等;并且要建立一个满足档案信息化功能需求的综合管理系统平台和网络构架。同时,先进的库房环境系统建设,如实体档案存储密集架、温湿度自动控制系统、消防系统和安全系统,设置自动喷淋、烟雾探头、以及门控系统、监控报警系统等,以防自然灾害和人为破坏等,以及建立有效的数字档案馆信息安全防护体系。
2、体制保障建设
在数字档案馆信息安全建设中,管理保障是核心,首先要建立相应的安全管理机构,制定和完善相关制度,如尽快制定网络安全法、文档一体化管理、电子文件归档、数据库维护和备份等制度;其次法制保障是宏观管理的重要手段,如构建有关信息安全的保障体系,严格执法的保障环境,保证数字信息从产生到移交、整理、存储、检索、传递、保管、保护、迁移和利用等安全管理;三是标准保障是它的基础,如国家已经颁布的许多国家标准和行业标准,高校在数字档案信息安全建设必须遵循的同时,还应有计划地组织力量开展标准制订工作;四是技术保障就是它的支撑:如拷贝、迁移、数据加密、反病毒以及自动控制等技术措施,可为计算机、网络、存储设备、系统服务、应用程序等软硬件系统建立防护体系;五是人才保障是智力支持:随着高新技术的介入,档案需要有管理与服务、系统开发与维护、数据库加工与分析等方面人才,培养和引进专业人才也是当务之急,以保证数字档案馆信息安全建设正常运行。
3、网络安全管理
数字档案的产生、移交、归档、管理和利用都是基于互联网、专用网和局域网环境下进行的,或网络是传递数字化档案信息的基础,远程登录使数字档案利用不受地域限制,但在运行中数据的安全问题表现在多个层面,如数据级安全又涉及到系统存贮的档案数据的安全问题,包括数据库管理系统、档案数据存贮、数据备份、数据格式的转换以及各类电子文件的保管等都非常重要,需要建立一定的制度来约束,它是档案应用系统能够安全运行的根本保障;在网络级安全方面,涉及网络基础建设如网络布线、网络联接、局域网和广域网环境的构建、设备的选型及其各环节安全策略的考虑,选用可靠的硬件安全设备是保证系统稳定运行的关键;在应用级安全方面,一般系统常常按功能权限划分为系统管理、数据操作和数据浏览等用户,每类用户角色的定义可以按各业务职能需求,对其操作权限和操作功能进行定义,包括如对系统中各功能模块操作权限,以及对系统数据分层管理和操作权限的定义等,以保证其安全运行。
4、系统安全管理
根据数字档案馆构成特点,做好系统开发、数据库加工与分析的基础上,需要重视和加强系统的安全管理和维护,如对于档案信息管理系统来说,必须确保系统的访问用户身份是真实可靠的,而对于授权用户来说,必须保证他所访问的档案系统就是他想要访问的系统;访问控制措施是系统管理等安全防范和保护的主要策略,是以防非法用户的入侵和合法用户使用非权限内资源,主要包括网络的访问、主机的访问、微型机的访问和文件的访问等控制技术,它包含入网访问、网络的权限、目录级安全、属性安全、网络服务器安全、网络端口和结点的安全等控制,以保证数字档案不被非法使用、不被非法破坏、敏感数字档案不被窃取;同时,在系统访问中尽可能使用普通用户的身份进行操作,减少超级用户口令泄密的危险性;定期更新口令,缩短口令使用的周期,定期更新防病毒和防木马软件等;以防数字的丢失,病毒的泛滥,信息的泄露等不安全因素出现。
三、高校数字档案馆信息安全保障体系建设的研究对策
数字档案馆安信息全体系建设主要涉及包括数字档案的形成、处理、传输、积累、整理、组织、归档、保管存储、提供利用等过程,其任何环节疏于管理,都会导致数字的丢失或失真,为保证每个环节的安全,开展数字档案馆信息安全保障体系建设是高校档案工作当前和未来的重要使命。
1、构建数字档案馆信息安全集成体系
在数字档案馆建设中,从资源建设到提供利用,任何环节疏于管理,都会给数字信息带来丢失的风险,为保证每个环节的安全,需要构建一个从“档案资源采集系统→档案资源管理系统→档案资源利用系统→档案信息发布系统”等安全集成体系;如一是档案资源采集系统建设:对不同来源的数字档案资源进行安全采集与整合,根据有关规则进行著入与标引、数据挂接、安全的转化至可存储的磁盘与光盘,以便统一管理和利用;二是档案资源管理系统建设:对各类复杂、格式多样的数字档案信息资源、文档资料进行统一集中式的数据库化管理,实现档案的规范化、科学化和自动化的安全管理;三是档案资源利用系统建设:提供安全可靠的在线利用平台,在设置的权限内,实现安全访问数字档案馆内的目录数据和档案全文;四是档案网站发布系统建设:安全发布可公开的现行文件或最新校务动态、档案业务宣传、馆藏资源展示等,实现数字档案信息远程的安全收集、整理、移交,以及在线的查询与利用。
2、建设数字档案馆信息安全服务中心
“服务与利用为本、安全与效率第一”是档案工作的永恒主题,因此,需要构建“馆藏档案目录中心→现行文件中心→电子文件中心→特色档案中心”的安全体系服务中心,如一是建立馆藏档案目录安全中心;除了馆藏档案全部安全进行目录信息化之外,还需及时将一定范围的档案机读目录高度整合,实现档案目录信息化的安全管理;二是建立现行文件安全中心:安全提供网上现行文件和校务信息资源的实时收集、管理、发布、利用等,实现全校信息的安全交流,并与相关门户网站进行无缝集成,为师生提供开放现行文件的查询利用;三是建立电子文件安全中心:对电子文件应采用文档一体化管理,旨在安全采集应归档的电子文件及其元数字,一般应在完成逻辑归档(即电子文件的原存储位置不变)后,把需要归档的电子文件集中下载至可脱机存储的介质上,完成物理归档;以保证电子文件的内容(含文本、图形、影像、声音等)、背景(含文件产生原因,形成过程、各阶段的责任者等)、元数据(含文件数据字典、逻辑结构、系统环境、软件平台、应用程序等)等信息的完整;以提供快捷的目录查询与在线服务。
3、建立数据异质异地备份管理中心
为确保数字档案信息的绝对安全,需要构建《档案数据异质异地备份管理中心》,它主要由“光盘管理系统”、“数字磁带管理系统”和“缩微胶片管理系统”等构成,是以“档案数据备份管理软件”为平台,实现对光盘、数字磁带、缩微胶片多介质的统一管理,以光盘存贮库、数字磁带存贮库、缩微胶片存贮库存为硬件设备,为各种多介质提供长期规范的存储环境,是以长期保存为宗旨,以安全备份为目标,以离线管理为手段,以软硬件结合为方法,为档案数据异质异地备份提供安全保存和管理的平台,为确保电子文件信息安全提供有效方法和保障措施,为抵御各种突发事件,建设完善档案信息安全保障体系提供强有力的技术支持;如其中的“光盘管理系统”是以电子文件、档案数据光盘长期安全保存为目标,以光盘管理软件为系统平台,以光盘存贮为保存手段,实现对备份光盘的离线管理和安全保存,为电子文件和档案数据光盘安全备份提供有效手段,实现集约化控制和专业化管理。
4、完善数字档案馆信息安全的运行机制
技术是安全的主体,管理是安全的灵魂。在高校数字档案馆建设中,若管理混乱、职责不明、制度不全等都会引起数字信息的安全问题,因此,需要建立和完善“安全和标准管理—系统运营安全管理———系统运行环境安全管理———库房安全系统管理———本地安全管理———管理人员问责制”等运行机制;首先建立完备的安全与标准管理制度,如统一的管理软件和运行平台、存储格式、网络传输、访问协议等安全制度;其次建立应用系统运营安全管理机制:规范操作安全管理、操作权限、操作规范、操作责任、操作监督、操作恢复、应用系统备份、应用软件维护等安全管理机制,从技术上防止数字档案信息被人为地修改,增强数字档案信息的可靠性;三是系统运行环境安全管理机制:加强服务器和工作站安全、机房出入控制、防护设施等管理,保证应急措施的落实;四是本地安全管理机制,对存储的数字档案信息密级分类(绝密、机密、秘密与非保密)管理,对敏感信息与机密信息应加密并脱机存储,防止信息被窃听、变更与毁坏;禁止使用可移动介质,严禁非法拷贝敏感数据,在系统备份中,严格规范操作规程;五是建立管理人员问责制,如岗位安全考核、安全培训、科学归档、保管存储、提供利用、数据库维护、数据备份、网络安全等问责制等,确保数字档案信息的真实与可靠,保障库房和档案实体的安全与完整。
高校数字档案馆信息安全体系建设是高校档案工作的新课题,它涉及高校管理的各个环节,包括法律、标准、技术、管理、人才等,是一项复杂而庞大的系统工程,高校档案部门应坚持不辱使命、创新管理,以全面推动数字档案馆信息安全保障体系的建设进程。
参考文献
[1]王健关于档案数字化模式的探讨[J].档案学通讯,2007(1).
[2]杨冬权.在全国档案安全体系建设工作会议上的讲话[J].档案学研究,2010(3).
关键词:网络安全 信息 企业 安全保障
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2011)03(c)-0242-01
随着计算机网络技术的发展,企业越来越多地使用计算机系统处理日常业务,以满足不断发展的业务需求,但企业的网络系统结构日益复杂,不断出现的安全隐患在很大程度上制约着企业业务的发展。应用信息安全技术,通过采取相应的措施在一定程度上降低安全风险,从而建立一个相对安全和可靠的网络系统,能够有效地保护信息资源免受威胁。本文将阐述企业在内外部网络环境下如何来构建一个强有力的安全保障体系。
1企业信息网络目前存在的主要问题隐患
1.1 路由器及交换机等设备的安全隐患
路由器是企业网络的核心部件,企业信息网络与外界的数据交换都必须经过路由器,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令,一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员部可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备的目的。一旦控制了企业网络的“咽喉”——路由器,那么整个企业的各种敏感信息随即也会完全暴露出来!
1.2 网络病毒和恶意代码的袭击
与前几年病毒和恶意代码传播情况相比,如今的病毒和恶意代码的传播能力与感染能力得到了极大提升,其破坏能力也在快速增强,所造成的损失也在以几何极数上升。当年的“熊猫烧香”病毒就使很多企业闻风丧胆。在日常办公和处理业务中,E-mail、Web、压缩文件、上传下载信息等已经成为人们获取信息的主要途径,这些途径也正是各种病毒的最好载体,使得它们的寄宿和传播变得更加容易。目前,全世界发现的病毒已经远远超过数十万种,这些病毒会对重要的主机或服务器进行攻击,诸于类似的SYN FLOOD攻击,或放置逻辑炸弹,有着不可估量的破坏力,造成企业网络无法正常运行,降低员工工作效率,影响企业盈利能力。如何防范各种类型的病毒和恶意程序,是任何一个企业不得不面对的一个挑战。
2企业信息化网络安全保障的体系
网络安全保障为网络安全提供管理指导和支持,具体地说,建立企业网络安全综合解决方案主要作用有以下几点。
2.1 利用先进网络安全技术
2.1.1 防火墙技术
防火墙技术一般分为两类:网络级防火墙和应用级防火墙。网络级防火墙防止整个网络出现外来非法入侵;应用级防火墙是从应用程序来进行接人控制,通常使用应用网关或代理服务器来区分各种应用。目前防火墙所采用的技术主要有:屏蔽路由技术、基于代理技术、包过滤技术、动态防火墙技术、DMZ模型。
2.1.2 虚拟专用网
虚拟专用网(Virtual Private Network.VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个私有的连接。因此,从本质上说VPN是一个虚拟通道,它可用来连接两个专用网。通过可靠的加密技术方法保证其他安全性。并且是作为一个公共网络的一部分存在的。
2.1.3 加密技术
加密技术分为对称加密和非对称加密两类。对称加密技术有DES、3DES、IDEA.对称加密技术是指加密系统的加密密钥和解密密钥相同。也就是说一把钥匙开一把锁。非对称密钥技术主要有RSA。非对称密钥技术也称为公钥算法,是指加密系统的加密密钥和解密密钥完全不同,这种加密方式广泛应用于身份验证、数字签名、数据传输。
2.2 采用严格访问控制措施
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问,使非权限的网络访问受到限制,只允许有访问权限的用户获得网络资源。首先是要进行身份验证。身份识别是用户向系统出示自己身份证明的过程,身份认证是系统查核用户身份证明的过程。这两项工作统称为身份验证,这是判明和确认通信双方真实身份的两个重要环节,用户名和口令的识别与验证是常用的方法之一。此外还有数字证书、动态口令、智能卡、生物识别等多种认证方式。确保企业信息资源的访问得到正式的授权,验证资源访问者的合法身份,将风险进一步细化,尽可能地减轻风险可能造成的损失。其次是有限授权。对网络的权限控制能有效地防止用户对网络的非法操作,企业可以根据用户所属部门和工作性质为其制定相应的权限,用户只能在自己的权限范围内对文件、目录、网络设备等进行操作。
2.3 部署漏洞扫描技术和入侵检测系统
漏洞扫描是对中小型企业的网络进行全方位的扫描,检查网络系统是否有漏洞,如果有漏洞,则需要马上进行修复,否则系统很容易受到伤害甚至被黑客借助漏洞进行远程控制,后果将不堪设想,所以漏洞扫描对于保护中小型企业网络安全是必不可少的。面对网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞,评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞,消除安全隐患。
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,入侵检测技术是一种积极主动的安全防护技术,是一种用于检测计算机网络中违反安全策略行为的技术,是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。在中小型企业网络的入侵检测系统中记录相关记录,入侵检测系统能够检测并且按照规则识别出任何不符合规则的活动,能够限制这些活动,保护网絡系统的安全。
总之,中小型企业的网络安全保障体系构建是一个系统的工程,需要综合多个方面的因素和利用防火墙技术、网络加密技术、身份认证技术、防病毒技术、入侵检测技术等网络安全技术,而且需要仔细考虑中小型企业自身的安全需求,认真部署和严格管理,才能建立中小型企业网络安全的防御系统。
参考文献
[1]郭启全.网络信息安全学科建设与发展[J].中国人民公安大学学报,2003(3).
[2]闫宏生.计算机网络安全与防护[M].北京:电子工业出版社,2007.
[3]王静燕,高伟.企业网络安全系统的设计[J].科技信息,2009,17.
【信息安全保障体系建设】推荐阅读:
信息化安全保障体系09-26
信息安全服务保障措施09-14
客户信息安全保障措施12-26
构建企业信息安全体系06-13
信息安全技能培训体系论文03-28
信息安全管理体系审核员 真题01-08
发电厂信息安全体系构建的论文04-30
网络信息安全建设03-25
信息安全网站建设方案12-31
医院信息系统建设保障措施07-05
