網絡安全等級保護辦法范文

時間:2023-09-19 16:52:07

導語:如何才能寫好一篇網絡安全等級保護辦法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網絡安全等級保護辦法

篇1

信息安全等級保護備案實施細則最新全文第一條 為加強和指導信息安全等級保護備案工作,規(guī)范備 案受理、審核和管理等工作,根據(jù)《信息安全等級保護管理辦法》 制定本實施細則。

第二條 本細則適用于非涉及國家秘密的第二級以上信息系 統(tǒng)的備案。

第三條 地市級以上公安機關公共信息網絡安全監(jiān)察部門受 理本轄區(qū)內備案單位的備案。 隸屬于省級的備案單位, 其跨地 (市) 聯(lián)網運行的信息系統(tǒng),由省級公安機關公共信息網絡安全監(jiān)察部 門受理備案。

第四條 隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網 運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由公安部公共信息網絡 安全監(jiān)察局受理備案,其他信息系統(tǒng)由北京市公安局公共信息網 絡安全監(jiān)察部門受理備案。 隸屬于中央的非在京單位的信息系統(tǒng),由當?shù)厥〖壒矙C關 公共信息網絡安全監(jiān)察部門(或其指定的地市級公安機關公共信 息網絡安全監(jiān)察部門)受理備案。 跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系 統(tǒng)在各地運行、應用的分支系統(tǒng)(包括由上級主管部門定級,在 當?shù)赜袘玫男畔⑾到y(tǒng)) 由所在地地市級以上公安機關公共信息網絡安全監(jiān)察部門受理備案。

第五條 受理備案的公安機關公共信息網絡安全監(jiān)察部門應 該設立專門的備案窗口,配備必要的設備和警力,專門負責受理 備案工作,受理備案地點、時間、聯(lián)系人和聯(lián)系方式等應向社會 公布。

第六條 信息系統(tǒng)運營、使用單位或者其主管部門(以下簡 稱備案單位 ) 應當在信息系統(tǒng)安全保護等級確定后30日內,到公 安機關公共信息網絡安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時,應當首先到公安機關指定的網址下載并填寫備案表,準備好 備案文件,然后到指定的地點備案。

第七條 備案時應當提交《信息系統(tǒng)安全等級保護備案表》 (以下簡稱《備案表》 (一式兩份)及其電子文檔。第二級以上 信息系統(tǒng)備案時需提交《備案表》中的表一、二、三;第三級以 上信息系統(tǒng)還應當在系統(tǒng)整改、 測評完成后30日內提交 《備案表》 表四及其有關材料。

第八條 公安機關公共信息網絡安全監(jiān)察部門收到備案單位 提交的備案材料后,對屬于本級公安機關受理范圍且備案材料齊 全的,應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接 收回執(zhí)》 備案材料不齊全的, 應當當場或者在五日內一次性告知 其補正內容;對不屬于本級公安機關受理范圍的,應當書面告知 備案單位到有管轄權的公安機關辦理。

第九條 接收備案材料后,公安機關公共信息網絡安全監(jiān)察部門應當對下列內容進行審核: (一)備案材料填寫是否完整,是否符合要求,其紙質材料 和電子文檔是否一致; (二)信息系統(tǒng)所定安全保護等級是否準確。

第十條 經審核,對符合等級保護要求的,公安機關公共信 息網絡安全監(jiān)察部門應當自收到備案材料之日起的十個工作日 內,將加蓋本級公安機關印章(或等級保護專用章)的《備案表》 一份反饋備案單位,一份存檔;對不符合等級保護要求的,公安 機關公共信息網絡安全監(jiān)察部門應當在十個工作日內通知備案單 位進行整改, 并出具 《信息系統(tǒng)安全等級保護備案審核結果通知》

第十一條 《備案表》中表一、表二、表三內容經審核合格 的,公安機關公共信息網絡安全監(jiān)察部門應當出具《信息系統(tǒng)安 全等級保護備案證明》 (以下簡稱《備案證明》 《備案證明》由 公安部統(tǒng)一監(jiān)制。

第十二條 公安機關公共信息網絡安全監(jiān)察部門對定級不 準的備案單位,在通知整改的同時,應當建議備案單位組織專家 進行重新定級評審,并報上級主管部門審批。 備案單位仍然堅持原定等級的,公安機關公共信息網絡安全 監(jiān)察部門可以受理其備案,但應當書面告知其承擔由此引發(fā)的責 任和后果,經上級公安機關公共信息網絡安全監(jiān)察部門同意后, 同時通報備案單位上級主管部門。

第十三條 4 對拒不備案的,公安機關應當依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》 等其他有關法律、 法規(guī)規(guī)定, 責令限期整改。逾期仍不備案的,予以警告,并向其上級主管部 門通報。 依照前款規(guī)定向中央和國家機關通報的,應當報經公安部公 共信息網絡安全監(jiān)察局同意。

第十四條 受理備案的公安機關公共信息網絡安全監(jiān)察部 門應當及時將備案文件錄入到數(shù)據(jù)庫管理系統(tǒng),并定期逐級上傳 《備案表》中表一、表二、表三內容的電子數(shù)據(jù)。上傳時間為每 季度的第一天。 受理備案的公安機關公共信息網絡安全監(jiān)察部門應當建立管 理制度, 對備案材料按照等級進行嚴格管理, 嚴格遵守保密制度, 未經批準不得對外提供查詢。 第十五條 公安機關公共信息網絡安全監(jiān)察部門受理備案 時不得收取任何費用。

第十六條 本細則所稱以上包含本數(shù)(級)

第十七條 各省(區(qū)、市)公安機關公共信息網絡安全監(jiān)察 部門可以依據(jù)本細則制定具體的備案工作規(guī)范,并報公安部公共 信息網絡安全監(jiān)察局備案。

篇2

【關鍵詞】等級保護;虛擬專網;VPN

1.引言

隨著因特網技術應用的普及,以及政府、企業(yè)和各部門及其分支結構網絡建設和安全互聯(lián)互通需求的不斷增長,VPN技術為企業(yè)提供了一種低成本的組網方式。同時,我國現(xiàn)行的“計算機安全等級保護”也為企業(yè)在建設信息系統(tǒng)時提供了安全整體設計思路和標準。如何充分利用VPN技術和相關產品,為企業(yè)提供符合安全等級保護要求、性價比高的網絡安全總體解決方案,是當前企業(yè)信息系統(tǒng)設計中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對于信息安全管理問題,在上世紀90年代初引起世界主要發(fā)達國家的注意,并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規(guī)范》,規(guī)定信息安全管理體系與控制要求和實施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準,是一個全面信息安全管理體系評估的基礎和正式認證方案的根據(jù)。國際標準化組織(ISO)聯(lián)合國際電工委員會(IEC)分別于2000年和2005年將BS7799標準轉換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣。中國國家標準化管理委員會(SAC)于1999年了GB/T 17859《計算機信息系統(tǒng)安全保護等級劃分準則》標準,把信息安全管理劃分為五個等級,分別針對不同組織性質和對社會、國家危害程度大小進行了不同等級的劃分,并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對應的GBT 22081-2008《信息安全管理體系 實用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統(tǒng)安全的等級

為加快推進信息安全等級保護,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設,國家公安部、保密局、密碼管理局和國務院信息化工作辦公室等,于2007年聯(lián)合了《信息安全等級保護管理辦法》,就全國機構/企業(yè)的信息安全保護問題,進行了行政法規(guī)方面的規(guī)范,并組織和開展對全國重要信息系統(tǒng)安全等級保護定級工作。同時,制訂了《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準則》和《信息系統(tǒng)安全等級保護定級指南》等相應技術規(guī)范(國家標準審批稿),來指導國內機構/企業(yè)進行信息安全保護。

在《信息系統(tǒng)安全等級保護基本要求》中,要求從網絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復、系統(tǒng)運維管理、安全管理機構等幾方面,按照身份鑒別、訪問控制、介質管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復等具體要求,對信息流進行不同等級的劃分,從而達到有效保護的目的。信息系統(tǒng)的安全保護等級分為五級:第一級為自主保護級,第二級指導保護級,第三級為監(jiān)督保護級,第四級為強制保護級,第五級為??乇Wo級。

針對政府、企業(yè)常用的三級安全保護設計中,主要是以三級安全的密碼技術、系統(tǒng)安全技術及通信網絡安全技術為基礎的具有三級安全的信息安全機制和服務支持下,實現(xiàn)三級安全計算環(huán)境、三級安全通信網絡、三級安全區(qū)域邊界防護和三級安全管理中心的設計。

圖1 三級系統(tǒng)安全保護示意圖

圖2 VPN產品部署示意圖

4.VPN技術及其發(fā)展趨勢

VPN即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。通常,VPN是對企業(yè)內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。

VPN使用三個方面的技術保證了通信的安全性:隧道協(xié)議、身份驗證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術要求,目前VPN技術主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產品,由IPSec協(xié)議提供隧道安全保障,協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。通過采用加密封裝技術,對所有網絡層上的數(shù)據(jù)進行加密透明保護。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網構建。

SSL VPN是基于SSL協(xié)議的VPN產品。在企業(yè)中心部署SSL VPN設備,無需安裝客戶端軟件,授權用戶能夠從任何標準的WEB瀏覽器和互聯(lián)網安全地連接到企業(yè)網絡資源。SSL VPN產品最適合于遠程單機用戶與中心之間的虛擬網構建。

整個VPN通信過程可以簡化為以下4個步驟:

(1)客戶機向VPN服務器發(fā)出連接請求。

(2)VPN服務器響應請求并向客戶機發(fā)出身份認證的請求,客戶機與VPN服務器通過信息的交換確認對方的身份,這種身份確認是雙向的。

(3)VPN服務器與客戶機在確認身份的前提下開始協(xié)商安全隧道以及相應的安全參數(shù),形成安全隧道。

(4)最后VPN服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數(shù)據(jù)進行加密,然后通過VPN隧道技術進行封裝、加密、傳輸?shù)侥康膬炔烤W絡。

目前國外公開的相關VPN產品多數(shù)采用軟件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合國家密碼產品管理和應用的要求?!渡逃妹艽a管理條例》(中華人民共和國國務院第273號令,1999年10月7日)第四章第十四條規(guī)定:任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品,不得使用自行研制的或者境外生產的密碼產品。國家密碼管理局在2009年針對VPN產品下發(fā)了《IPSec VPN技術規(guī)范》和《SSL VPN技術規(guī)范》,明確要求了VPN產品的技術體系和算法要求。

5.VPN技術在等級保護中的應用

在三級防護四大方面的設計要求中,VPN技術可以說是在四大方面的設計要求中都有廣泛的應用:

在安全計算環(huán)境的設計要求中:首先在實現(xiàn)身份鑒別方面,在用戶訪問的中心,系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名,用戶會通過VPN的設備登錄訪問中心的應用系統(tǒng),當身份得到鑒別通過時才可訪問應用系統(tǒng);其次在數(shù)據(jù)的完整性保護和保密性保護上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

在安全區(qū)域邊界的設計要求中:網絡邊界子系統(tǒng)的邊界控制與VPN功能一體化實現(xiàn),在保證傳輸安全性的同時提高網絡數(shù)據(jù)包處理效率。

在安全通信網絡的設計要求中:網絡安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道,通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個應用系統(tǒng)中邊界或部門服務器邊界的安全防護,為內部網絡與外部網絡的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機制。在客戶端和應用服務器進出的總路由前添加網絡VPN網關,通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進出的數(shù)據(jù)提供加密傳輸,實現(xiàn)應用數(shù)據(jù)的加密通信。

在安全管理中心的設計要求中:系統(tǒng)管理中,VPN技術在主機資源和用戶管理能夠實現(xiàn)很好的保護,對用戶登錄、外設接口、網絡通信、文件操作及進程服務等方面進行監(jiān)視機制,確保重要信息安全可控,滿足對主機的安全監(jiān)管需要。

在信息系統(tǒng)安全等級保護設計中VPN產品的部署示意圖如圖2所示。

篇3

【 關鍵詞 】 中小商業(yè)銀行;等級保護;信息科技風險管理;信息安全體系框架

1 中小銀行等級保護咨詢服務的背景

隨著信息技術的不斷進步與發(fā)展,信息系統(tǒng)的安全建設顯得尤為重要。2012年6月29日人民銀行下發(fā)了“銀發(fā)【2012】163號”文件,為進一步落實《信息安全等級保護管理辦法》(公通字〔2007〕 43號文印發(fā)),加強對銀行業(yè)信息安全等級保護工作的指導,結合近年來銀行業(yè)信息安全等級保護工作開展情況,人民銀行給出了銀行業(yè)金融機構信息系統(tǒng)安全等級保護定級的指導意見,至此,正式的拉開了中小商業(yè)銀行等級保護建設和整改工作的序幕。

2 等級保護咨詢服務的項目目標

國內中小銀行在信息安全的發(fā)展程度,大部分處于自我認知的階段,一邊忙于業(yè)務發(fā)展的保障需要,一邊又要應對上級監(jiān)管部門的監(jiān)督檢查,對于安全建設來說,大部分沒有納入到戰(zhàn)略的層面來考慮。因此,借助于等級保護咨詢服務來建立的這樣一套信息安全體系,必須同時滿足公安部等級保護基本要求、人民銀行等級保護的測評要求和銀監(jiān)會關于IT風險管理的要求。這些目標相輔相承,互為補充。只有將通用的要求、標準、規(guī)范落實到自己IT風險管理體系的各方面,建立適合自己業(yè)務特點與發(fā)展需求的信息安全體系,才能達到有效管理風險、進行IT治理的目的,并最終通過等級測評。

3 等級保護咨詢服務的總體思路

中小銀行在咨詢服務項目需要主動地全面的考量自身情況,綜合分析人民銀行、銀監(jiān)會和等級保護的要求,在現(xiàn)有的安全工作基礎之上,建立統(tǒng)一的信息安全體系,同時滿足這些主要的監(jiān)管要求。這樣面臨檢查時,只要客觀反映出當前狀態(tài)就可以,有效降低臨時的材料組織工作。

同時滿足三方面監(jiān)管要求的信息安全體系,這個信息安全體系將以公安部的等級保護《基本要求》、人民銀行的《等保測評指南》和銀監(jiān)會《管理指引》為主要依據(jù)來搭建起框架,以各專項監(jiān)管指引為各個領域的具體工作指導,以ISO27000為代表的國內外信息安全標準為補充。

4 等級保護咨詢服務的內容

等級保護的咨詢服務具體實施過程可參考公安部下發(fā)的《信息系統(tǒng)安全等級保護實施指南》,“指南”中將等級保護工作分為了定級備案、規(guī)劃設計、建設整改和等級測評四大過程。

4.1 系統(tǒng)定級

系統(tǒng)定級階段需要完成的工作。

1) 等級保護的導入培訓:在進行咨詢服務之前,需要對銀行相關科室信息人員進行等級保護的內容培訓。只要講清楚等保是什么,需要各級人員配合的工作點是什么就可以了。

2) 系統(tǒng)業(yè)務安全域劃分:這個階段需要進行信息搜集和資產調研。明確業(yè)務系統(tǒng)的范圍、邊界、功能、以及重要性等。

3) 編寫系統(tǒng)定級報告和備案表:定級報告和備案表都是按照公安部等保辦公室的通用模版來編寫的,內容包含了系統(tǒng)功能描述、網絡拓撲、定級的理由和依據(jù)等。

4) 召開專家評審會、獲得備案證明:召開專家評審會并獲得備案證明可視為一個里程碑式的階段性成果,因為定級和備案是等級保護工作開展的前提,如果級別定錯了,或者專家有不同的評審意見,則后續(xù)的設計方案、整改方案均無法執(zhí)行。同時,對于銀行信息科技部門的領導而言,服務工作做的怎么樣無法量化,但是備案證書是看的見,摸的著的,如果能在評審會現(xiàn)場當場頒發(fā),則意義更加重大。

4.2 規(guī)劃與設計

規(guī)劃與設計階段的主要工作就是進行等級差距分析和風險評估。

1) 技術層面可直接參考人民銀行關于金融行業(yè)的“測評指南”來完成,可操作性較強??煞治锢怼⒕W絡、主機、應用、數(shù)據(jù)五個層面進行差距評估,同時對網絡流量和網絡協(xié)議進行簡單的分析,通過漏洞掃描設備、配置核查設備、滲透工具等進行風險分析,輸出風險評估報告和技術層面的差距評估報告。

2) 管理層面上,等保的管理要求相對薄弱,集中體現(xiàn)在運維管理等方面,如果要達到人民銀行和銀監(jiān)會的標準,還有很多需要加強和補充的地方,可以對現(xiàn)有的制度文檔進行一個簡單的梳理,用最短的時間完成等保的管理制度調研。

4.3 實施與整改

實施與整改階段需要按照規(guī)劃階段的設計方案進行實施,以滿足等級保護安全體系的建設要求。

1) 組織體系整改:安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式??蓞⒖家殉闪⒌摹兜缺nI導小組》設立模式,但應具體到管理員崗位。

2) 管理體系整改:按照等級保護的要求補充或重新制定管理制度,根據(jù)咨詢方提供的制度模版,銀行可根據(jù)自身的實際業(yè)務需求進行修改,并經內部討論修訂后,下文試運行。

3) 技術體系整改:技術體系整改應從三個層面進行考慮。

制定技術規(guī)范:包括windows、AIX、Informix、tuxedo、cisco等主流設備的安全配置規(guī)范;可考慮聘請專業(yè)安全公司進行咨詢服務,制定適合銀行長期發(fā)展的安全策略和技術安全規(guī)范。

安全配置加固:根據(jù)已制定的技術規(guī)范進行主機、服務器、網絡設備、安全設備的全面的安全加固。

安全設備采購:在安全技術體系的具體實現(xiàn)過程中,需要落實安全技術詳細設計方案中的具體技術要求,將先進的信息安全技術落實到具體安全產品中,形成合理、有效、可靠的安全防護體系。

4.4 等級測評

根據(jù)人民銀行的《金融行業(yè)信息安全等級保護測評服務安全指引》選擇具有資質的第三方測評機構進行等級測評,一般當?shù)毓矙C關會指定2-3家評估中心進行等級測評,如果銀行自行聯(lián)系省外的測評機構,可能需要事先跟當?shù)厥」矎d取得聯(lián)系,確保該測評機構的測評報告在本省是受到認可的。

實際上做了咨詢服務之后,等級測評的工作就變的非常簡單,因為咨詢方會在規(guī)劃與設計階段就會與測評中心取得聯(lián)系,確保其設計方案和整改實施方案得到專家和測評中心的認可,保障其順利實施。所以在等級測評的時候,測評師從進場到出具評測報告大概只需一周左右的時間。

5 結束語

關于金融業(yè)等級保護的建設工作,是今后兩年的一個重點工作,尤其是中小銀行可借助合規(guī)要求,由信息科技部門立項,向行內申請更多的資源來完善自身的安全體系建設工作。

參考文獻

[1] 武冬立.銀行業(yè)安全防范建設指南.長安出版社,2008-11-1.

[2]李宗怡. 中國銀行安全網構建基礎研究.經濟管理出版社,2006-6-1.

[3] 劉志友.商業(yè)銀行安全問題研究.中國金融出版社, 2010-3-1.

[4] 曹子建,趙宇峰,容曉峰.網絡入侵檢測與防火墻聯(lián)動平臺設計[J].信息網絡安全,2012,(09):12-14.

[5] 傅慧.動態(tài)包過濾防火墻規(guī)則優(yōu)化研究[J].信息網絡安全,2012,(12):12-14.

篇4

關鍵詞:云安全模型;信息系統(tǒng);安全等級;檢測保護

中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2016)19-0052-02

云計算作為一種易擴展而又具有動態(tài)性,且選用高速互聯(lián)網處理數(shù)據(jù)信息的過程。伴隨當前云計算技術水平的日益提升,與之結伴的云計算安全問題日漸凸顯,已然成為各相關部門及廠商所關注的重點內容。在云計算框架內,虛擬化乃是網絡環(huán)境主要的出現(xiàn)形式,以往開展測評工作所需要運用的網絡設備或物理服務器,在當前云計算環(huán)境下,存在諸多差異。當將云安全技術退出之后,設別及查殺病毒,已經并不僅僅依靠本地的病毒庫,而是利用更為廣泛的網絡服務體系,分析并處理所出現(xiàn)的各種病毒隱患。

1 云計算信息系統(tǒng)安全特性概述

與計算信息系統(tǒng)相比于傳統(tǒng)形式的互聯(lián)網信息系統(tǒng),其利用服務端處理所有數(shù)據(jù),并將其儲存起來,而對于終端用戶而言,則利用網絡對所需要的而各種信息和服務及時獲取,無需基于本地配置下,便可對數(shù)據(jù)實施儲存及處理工作。依據(jù)為網絡為基礎所設置的對應網絡安全防護設施,在系統(tǒng)服務端,可將安全審計系統(tǒng)和身份兼?zhèn)溥M行統(tǒng)一設置,從而保證諸多系統(tǒng)所可能發(fā)生的安全問題,均可及時且有效的解決,但由于不斷更新的服務模式,又會帶來諸多新的安全問題,比如數(shù)據(jù)泄露、不安全的服務接口及濫用云計算等。

2 構建管理中心及云安全服務模型

構建云安全服務模型:對于現(xiàn)實當中已經出現(xiàn)的各種云產品而言,在諸如服務模型、資源位置及部署模型等各方面而言,其所展現(xiàn)的模式及形態(tài)各不相同,所形成的安全控制范圍存在差異,安全風險特征也各不相同。因此,需基于安全控制方面,對云計算模型完成創(chuàng)建,然后描述各屬性組合所具有的云服務架構,進行為云服務架至安全架構合理映射給予保證,進而為設備的風險識別及安全控制提供科學依據(jù)。

3 基于云安全模型的信息安全等級測評方法

基于云安全信息安全有關保護測評的方法,就是依據(jù)云安全中心模型以及云安全服務模型,結合用戶在云安全方面所存在的各種需求,首先,促使安全模型始終處于整個安全等級保護體系作用下的各個位置上。對于安全模型而言,其一段與等級保護技術相連接,而另一端則與則與等級保護相應管理要求相連接。

依據(jù)云安全信息中心相應建模狀況,全面分析云安全模型框架下的支撐安全及核心技術,最終取得企業(yè)在云安全領域范圍內的信息安全等級測評模型,以模型為參照,開展后續(xù)的檢測工作。

3.1 基于等級測評云安全模型下控制項

經過上述分析可知,在云安全等級保護模式框架內嵌套云安全模型,進而開展與云安全存在相關性的信息安全等級評價,另外,分析基于安全模型下相關控制項。然后查看授權狀況及云認證,并測評是否存在有諸如敏感文件授權、程序授權及登陸認證等狀況。最后依據(jù)訪問控制模型的差異,對訪問控制的目標進行選擇,即依據(jù)實際情況選擇為角色型訪問、自主性訪問或強制性訪問,然后運用切合實際的應對方法。為了對網絡訪問資源提供保障,可對開展分配及控制操作,需建立更為可靠的解決策略及執(zhí)行辦法。當所運用的方式可靠而又統(tǒng)一,才能為安全策略的自動執(zhí)行提供保障。針對網絡數(shù)據(jù)的加密狀況進行測量時,需以靜態(tài)或動態(tài)的方式,保護標準的服務類型及加密功能。針對數(shù)據(jù)的恢復及備份情況進行探測時,需檢查是否是安全的云備份,另外還需查看密碼鑰匙的管理狀況,磁帶有無加密以及數(shù)據(jù)實際銷毀狀況,而在所開展的各項檢查中,重點為供應商所提供的數(shù)據(jù)備份。還需對是否可控制管理用戶的身份進行查看,能否對用戶角色具體的訪問內容進行管理。另外,對用戶的審計日志及安全服務進行查看,即告警管理與維護、主機的維護以及網絡設備的監(jiān)控管理等。控制項分析范圍:(1)云認證和授權。云認證與授權重點乃是查看是否有敏感文件授權、程序運行授權、服務認證及登錄認證等,(2)云訪問控制。依據(jù)所建立的相應訪問控制模型,以此來對其是否為角色型訪問控制、自主訪問控制策略及強制訪問控制策略予以確定,然后家用對應方法進行分析。(3)云安全邊界與隔離。知曉系統(tǒng)實施安全隔離的具體機制,安全區(qū)域的劃分方法以及硬件安全的相關技術支持等。(4)云安全存儲??蓪⑺袛?shù)據(jù)儲存成加密格式,而對于用戶而言,需分離出數(shù)據(jù)。(5)惡意代碼防范。首先需了解惡意代碼是否存在,并采取與之對應的防范舉措。(6)云安全管理。需對全面軟件資產、網絡及物理/虛擬硬件進行管理,管理當中相應測評要求需一致于等級保護管理要求。(7)網絡安全傳輸。需對網絡安全傳輸選用加密方式與否予以了解。(8)網絡配置及安全策略。如若想要獲取更為有效的訪問控制及資源,需對安全策略采取一種更為可靠且統(tǒng)一的方式執(zhí)行。解決及定義。利用此種方式促進安全策略自動執(zhí)行的實現(xiàn)。

3.2 等級測評云安全模型風險性分析

按照有關等級保護的具體要求,采用風險分析的相關方法,在分析信息系統(tǒng)過程中,需對如下內容給予重視。(1)訪問控制、授權及云身份認證。對于云安全而言,其不僅對于訪問控制及授權具有十分重要的作用,對于用戶身份的認證同樣重要,但其實際效果的發(fā)揮,需將現(xiàn)實實施狀況作為依據(jù)。(2)設置云安全邊界。針對基于云安全內部的具體的網絡設備而言,其需要利用諸如防火墻的措施,實施更為有效的安全防護舉措,但對于外部的云用戶而言,其則需采用虛擬技術,此技術自身便存在有安全風險,因此,必須對其實施有效而全面的安全隔離舉措。(3)數(shù)據(jù)信息備份及云安全儲存。通常情況下,云供應商所運用的數(shù)據(jù)備份方式,乃是最為有效且更具安全性的保護模式,盡管供應商在實施數(shù)據(jù)備份方面已經十分安全,但通常情況下依然會發(fā)生相關數(shù)據(jù)的丟失,因此,在條件允許的情況下,公司需選用云技術,對全部數(shù)據(jù)予以共享,并對其進行備份,或在還會發(fā)生數(shù)據(jù)徹底丟失的情況下,啟動訴訟程序,進而從中獲取有效的賠償。在云計算過程中,通常發(fā)生由于數(shù)據(jù)的交互放大,而造成數(shù)據(jù)出現(xiàn)泄漏或丟失狀況,如若出現(xiàn)安全時間,且用戶數(shù)據(jù)出現(xiàn)丟失狀況,此時,系統(tǒng)需將安全時間及時、快速的上報于用戶,避免更大范圍的數(shù)據(jù)丟失(4)賬戶與服務劫持。攻擊者從云服務用戶中獲取賬號,造成云服務客戶端產生相應安全風險。(5)不安全的API及接口。第三方插件存在安全風險,或較差的接口質量。(6)安全事件通報。如若發(fā)生安全事件,導致用戶數(shù)據(jù)出現(xiàn)安全風險,整個系統(tǒng)就會將數(shù)學信息及時上報,防止出現(xiàn)較大程度的損失。

4 結語

伴隨當今云計算技術的日益發(fā)展和完善,云計算信息系統(tǒng)今后必然成為整個信息化建設的重要構成。本文基于云安全等級保護檢測,對云計算信息系統(tǒng)所具有的安全特性進行簡要分析,并探討了云安全服務模型及構建管理中心,以此為依據(jù)提出切合實際需要的云安全模型的信息安全等級檢測方法。

參考文獻:

[1] 成瑾, 劉佳, 方祿忠. 面向電信運營商云計算平臺的安全檢測評估服務體系研究[J]. Computer Science\s&\sapplication, 2015, 05(4):83-91.

篇5

【關鍵詞】大數(shù)據(jù) 企業(yè)網絡 信息安全

1 大數(shù)據(jù)下的網絡安全現(xiàn)狀

網絡企業(yè)普遍將大數(shù)據(jù)定義為數(shù)據(jù)量與數(shù)據(jù)類型復雜到在合理時間內無法通過當前的主流數(shù)據(jù)庫管理軟件生成、獲取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等的大型數(shù)據(jù)集。大數(shù)據(jù)具有4V特征,即數(shù)據(jù)量大、數(shù)據(jù)類型多、數(shù)據(jù)價值密度低、數(shù)據(jù)處理速度快。在大數(shù)據(jù)計算和分析過程中,安全是不容忽視的。大數(shù)據(jù)的固有特征對現(xiàn)有的安全標準、安全體系架構、安全機制等都提出了新的挑戰(zhàn)。面向大數(shù)據(jù)的高效隱私保護方法方面,高效、輕量級的數(shù)據(jù)加密已有多年研究,雖然可用于大數(shù)據(jù)加密,但加密后數(shù)據(jù)不具可用性。保留數(shù)據(jù)可用性的非密碼學的隱私保護方法因而得到了廣泛的研究和應用。這些方法包括數(shù)據(jù)隨機化、k-匿名化、差分隱私等。這些方法在探究隱私泄漏的風險、提高隱私保護的可信度方面還有待深入,也不能適應大數(shù)據(jù)的海量性、異構性和時效性。

2 企業(yè)網絡信息安全的主要問題

在開放的互聯(lián)網環(huán)境中,企業(yè)網絡信息安全問題日益突顯,成為影響互聯(lián)網快速發(fā)展的重要因子。從實際來看,造成企業(yè)網絡信息安全問題的因素多元化,計算機系統(tǒng)漏洞、病毒入侵、黑客進攻是造成目前網絡信息安全主要原因。特別是病毒入侵、黑客進攻的頻繁,對整個互聯(lián)網的發(fā)展形成了較大影響。

2.1 計算機系統(tǒng)漏洞

計算機系統(tǒng)漏洞的存在,是造成計算機網絡信息安全的重要原因。在日常的系統(tǒng)運行中,360等安全工具都會對系統(tǒng)進行不定期的漏洞修復,以確保系統(tǒng)運行的安全穩(wěn)定。因此,計算機系統(tǒng)漏洞的存在,一方面造成了計算機運行中的不穩(wěn)定性,易于受到外界的惡意攻擊,進而造成網絡終端用戶的信息安全;另一方面,系統(tǒng)漏洞的存在,為黑客等的攻擊,提供了更多的途徑和選擇,特別是系統(tǒng)和軟件編寫中存在的漏洞,給不法分子的惡意攻擊提供了可能,進而造成計算機系統(tǒng)信息數(shù)據(jù)被盜,給計算機用戶的信息安全帶來極大的安全隱患。

2.2 計算機病毒攻擊

計算機病毒是當前計算機安全問題的“始作俑者”,對計算機網絡信息安全帶來極大的破壞性。計算機病毒具有隱蔽性強、可擴散等特點,決定了其在計算機安全中的巨大破壞性。首先,計算機病毒入侵的過程中,會造成計算機出現(xiàn)運行不穩(wěn)定、系統(tǒng)異常等情況,數(shù)據(jù)丟失、硬盤內存不足等問題的出現(xiàn),都會影響計算機的安全運行;其次,病毒一旦入侵計算機,其自動傳播、自動復制的特性,如木馬、蠕蟲等計算機病毒,可以讓其在計算機系統(tǒng)中形成大規(guī)模的自動傳播,進而對計算機系統(tǒng)內的數(shù)據(jù)信息進行破壞及竊取。

2.3 黑客攻擊頻繁

在開放的互聯(lián)網平臺,日益活躍的黑客成為企業(yè)網絡信息安全的重要影響因子。黑客通過入侵計算機系統(tǒng),進而對計算機網絡的正常運行形成破壞,甚至將整個計算機網絡癱瘓,造成巨大的安全影響。近年來,隨著互聯(lián)網技術的不斷發(fā)展,黑客攻擊日益頻繁,且攻擊手段多樣化,這給計算機網絡安全帶來較大威脅。一方面,網絡安全監(jiān)管存在漏洞,良好的網絡環(huán)境有待進一步凈化;另一方面,安全工具在技術升級等方面,存在一定的滯后性,在應對黑客進攻的過程中,表現(xiàn)出較大的被動性,以至于計算機網絡運行故障問題的頻發(fā)。

3 企業(yè)網絡信息安全防護辦法

完整的企業(yè)網絡信息安全防護體系應包括以下幾方面,如圖1所示。

3.1 企業(yè)系統(tǒng)終端安全防護

對企業(yè)計算機終端進行分類,依照國家信息安全等級保護的要求實行分等級管理,根據(jù)確定的等級要求采取相應的安全防護。企業(yè)擁有多種類型終端設備,對于不同終端,根據(jù)具體終端的類型、通信方式以及應用環(huán)境等選擇適宜的保障策略。確保移動終端的接入安全,移動作業(yè)類終端嚴格執(zhí)行企業(yè)制定的辦公終端嚴禁“內外網機混用”原則,移動終端接入內網需采用軟硬件相結合的加密方式接入。

3.2 企業(yè)網絡邊界安全防護

企業(yè)網絡具有分區(qū)分層的特點,通過邊界防護確保信息資產不受外部的攻擊,防止惡意的內部人員跨越邊界對外實施攻擊或對內進行超越權限的訪問和攻擊,在不同區(qū)的網絡邊界加強安全防護策略,或外部人員通過開放接口、隱蔽通道進入內部網絡。在管理信息內部,審核不同業(yè)務安全等級與網絡密級,在網絡邊界進行相應的隔離保護。按照業(yè)務網絡的安全等級、業(yè)務連續(xù)性需求以及用途等評價指標,采用防火墻隔離技術、協(xié)議隔離技術、物理隔離技術等對關鍵核心業(yè)務網絡進行安全隔離,實現(xiàn)內部網與外部網訪問資源的有效控制。

篇6

【關鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)

近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領導的重視和社會關注。為提高網絡安全和互聯(lián)網治理,2014年,我國成立了以主席為最高領導的信息安全管理機構-中央網信辦;2016年11月,在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網大會》。通過一系列的行為,為求現(xiàn)有的網絡系統(tǒng)能夠提高安全能力,為廣大社會群眾提供服務的同時,能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成,主要以處理信息流為主,信息系統(tǒng)的網絡安全備受關注。企業(yè)在應對外部攻擊,安全風險的同時,當務之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下,分布實施,開展各項安全工作。

目前,大多數(shù)企業(yè)的信息安全工作比較單一,主要是部署安全防護設備,進行簡單的配置。信息安全工作不全面,安全管理相對薄弱,不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴格

考慮到方便記憶和頻繁的登錄操作,企業(yè)普遍存在管理員賬號簡單或者直接采用系統(tǒng)的默認賬號現(xiàn)象,并且基本不設定管理員的權限,默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號,攻擊者如入無人之境,可以任意妄為。最終可造成數(shù)據(jù)泄露,系統(tǒng)癱瘓等不可估量的嚴重后果。注重信息安全的企業(yè)會修改默認管理員賬號,設定較為復雜的口令,并定期進行口令更換。但是也僅僅使用一種身份鑒別技術,不足以抵抗外部攻擊。

1.2 外部攻擊,層出不窮

隨著計算機技術的發(fā)展,信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網絡系統(tǒng)的漏洞和缺陷,攻擊系統(tǒng)軟件、硬件和數(shù)據(jù),進行非法操作,造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術、郵件

攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權限、提升為系統(tǒng)最高權限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據(jù)系統(tǒng)特性和網絡結構采取不同的手段對網絡進行攻擊,如果不采取相應的防御手段,很容易被黑客攻擊,造成損失。

1.3 員工安全意識薄弱

很多互聯(lián)網企業(yè)的員工缺乏信息安全意識,存在離開辦公電腦時不鎖屏現(xiàn)象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料;優(yōu)盤未經殺毒直接連接公司電腦;隨意點擊不明郵件的鏈接;更有員工將系統(tǒng)賬號、密碼粘貼在辦公桌上;在系統(tǒng)建設階段,大到管理者,小到開發(fā)人員、測試人員,均注重技術實現(xiàn)和業(yè)務要求,而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識較為薄弱,很容易造成公司信息泄露,進而導致公司的損失。

1.4 內部管理制度不完善

俗話說,“不以規(guī)矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規(guī)程,可能導致信息安全管理制度體系存在疏漏,部分管理內容無法有效實施。使相關工作過程缺乏規(guī)范依據(jù)和質量保障,進而影響到信息系統(tǒng)的安全建設和安全運維。比如在軟件開發(fā)過程中,開發(fā)人員會因為各種原因而忽略安全開發(fā)(存在開發(fā)人員沒有意識到代碼安全開發(fā)的問題;有些開發(fā)人員不愿意使用邊界檢查,怕影響系統(tǒng)的效率和性能;當然也存在許多遺留代碼存在問題的現(xiàn)象,從而導致二次開發(fā)同樣產生問題),可能導致系統(tǒng)存在后門,被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級保護管理辦法(公通字[2007]43號)》、《中華人民共和國網絡安全法》》、《ISO/IEC 27001》等標準和法律法規(guī)進行信息系統(tǒng)安全建設工作。測評機構在網安的要求下,對企業(yè)信息系統(tǒng)的安全進行測評,并出具相應測評結果。根據(jù)測評結果和整改建議,采用相應的技術手段(安全認證、入侵檢測、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等)和管理措施(安全團隊、教育與培訓、管理體系等)對信息系統(tǒng)進行整改。如圖1所示。

2.1 技術手段

2.1.1 安全認證

身份鑒別是指在計算機系統(tǒng)中確認執(zhí)行者身份的過程,以確定該用戶是否具有訪問某種資源的權限,防止非法用戶訪問系統(tǒng)資源,保障合法用戶訪問授權的信息系統(tǒng)。凡登錄系統(tǒng)的用戶,均需進行身份鑒別和標識,且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制,常用的鑒別技術(認證技術)如表1所示。

不同的認證技術,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高,但會遇到各種問題,導致便捷性較差(比如存在軟硬件適配性問題,移動終端無USB口等)。一般認為在相同的便捷性前提下,選擇安全等級較高的認證技術。針對重要系統(tǒng)應采用雙因子認證技術。

2.1.2 入侵檢測

入侵檢測能夠依據(jù)安全策略,對網絡和系統(tǒng)進行監(jiān)視,發(fā)現(xiàn)各種攻擊行為,能夠實時保護內部攻擊、外部攻擊和誤操作的情況,保證信息系統(tǒng)網絡資源的安全。入侵檢測系統(tǒng)(IDS)是一個旁路監(jiān)聽設備,需要部署在網絡內部。如果信息系統(tǒng)中包含了多個邏輯隔離的子網,則需要在整個信息系統(tǒng)中實施分布部署,從而掌控整個信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對目標系統(tǒng)的安全脆弱性進行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同,分為基于網絡的和基于主機的系統(tǒng)安全掃描,可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區(qū)溢出、補丁未升級等自身漏洞。

漏洞掃描主要用于評估主機操作系統(tǒng)、網絡和安全設備操作系統(tǒng)、數(shù)據(jù)庫以及應用平臺軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。

2.1.4 監(jiān)控管理

網絡監(jiān)控主要包括上網監(jiān)控和內網監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網絡監(jiān)控需結合網絡拓撲,在網絡關鍵點接入監(jiān)控工具監(jiān)測當前網絡數(shù)據(jù)流量,分析可疑信息流,通過截包解碼分析的方式驗證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網絡監(jiān)控平臺,它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等??梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理;可以分析網絡流量;可以對服務器上運行的服務和進程進行自動監(jiān)控,并在故障發(fā)生時及時告警;可對VOIP的相關參數(shù)進行監(jiān)控;可以通過直觀的網絡控制臺管理整個IP架構;可快速檢測、診斷及解決虛擬化環(huán)境的網絡性能;強大的應用程序監(jiān)視、告警、報告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲時應加密存儲,防止黑客攻擊系統(tǒng),輕易獲得敏感數(shù)據(jù),造成公司的重大經濟損失。常用的加密算法包括對稱加密(DES、AES)和不對稱加密算法(RSA)。密碼技術不僅可以防止信息泄露,同時可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對數(shù)據(jù)進行加密存儲外,由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機房著火等意外,需對系統(tǒng)數(shù)據(jù)進行備份。按照備份環(huán)境,備份分為本地備份和異地備份;按照備份數(shù)據(jù)量的多少,備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務要求和實際情況,選取合適的備份方式進行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設計。

2.2 管理措施

2.2.1 安全團隊

企業(yè)應設立能夠統(tǒng)一指揮、協(xié)調有序、組織有力的專業(yè)的安全管理團隊負責信息安全工作,該團隊包括信息安全委員會,信息安全部門及其成員。安全部門負責人除了具備極強的業(yè)務處理能力,還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業(yè)人員數(shù)量在逐漸增加,話語權在增多,肩上的擔子也越來越大。安全團隊需要定好自己的位,多檢查少運維,多幫企業(yè)解決問題。即安全團隊修路,各部門在上面跑自己的需求。

2.2.2 教育c培訓

保護企業(yè)信息安全,未雨綢繆比亡羊補牢要強。培養(yǎng)企業(yè)信息安全意識文化,樹立員工信息安全責任心,是解決企業(yè)信息安全的關鍵手段之一。企業(yè)的競爭實際上是人才的競爭,除了定期進行技能培訓外,還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃,包括但不限于在線、郵件、海報(標語)、視頻、專場、外培等形式。通過對員工的安全意識教育,能從內部預防企業(yè)安全事件的發(fā)生,提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計算機攻擊技術的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統(tǒng)的安全。因此,企業(yè)需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達到分工明確,職責清晰,安全開發(fā),可靠運維。安全管理制度作為安全管理體系的綱領性文件,在信息系統(tǒng)的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時,可根據(jù)自身情況,采取不同的方法,一般經過PDCA四個基本階段(Plan:策劃與準備;Do文件的編制;Check運行;Action審核、評審和持續(xù)改進)??梢罁?jù)ISO27000,信息安全等級保護等,從制度、安全機構、人員、系統(tǒng)建設和系統(tǒng)運維5個方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成,如圖2所示。

3 結語

國家不斷加強對各個互聯(lián)網企業(yè)、金融、銀行等的信息安全工作監(jiān)督,通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯(lián)網網站專項安全測評等方式,規(guī)范企業(yè)的信息安全建設工作。同樣,信息安全工作長期面臨挑戰(zhàn),不能一蹴而就,需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。

參考文獻

[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學雜志社,2007(37):129-150.

[2]李嘉,蔡立志,張春柳等.信息系統(tǒng)安全等級保護測評實踐[M].哈爾濱工程大學出版社,2016(01).

[3]蔣欣.計算機網絡戰(zhàn)防御技術分析[J].指揮控制與仿真,2006(08),28-4.

作者簡介

康玉婷(1988-),女,上海市人。碩士學位?,F(xiàn)為信息安全等級測評師、初級工程師。主要研究方向為信息安全。

作者單位

篇7

關鍵詞:信息安全;信息安全管理

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)15-3491-03

計算機、網絡已經逐漸成為我們工作生活中必不可少的一部分了,企業(yè)辦公自動化已經成為普遍現(xiàn)象。但是我們在享受信息化帶來諸多便利的同時,也要看到信息化給企業(yè)帶來的諸多不便。2011年上半年,花期銀行由于遭受黑客攻擊,二十多萬客戶資料信息外泄,為銀行和客戶帶來巨大的損失,同期國際著名的安全解決方案提供商RSA遭受黑客的惡意攻擊,對其超過五百家客戶造成潛在風險,給該企業(yè)帶來高達數(shù)百萬的損失。信息安全是企業(yè)整體安全的重要方面,一旦企業(yè)重要的信息外泄,會給企業(yè)帶來巨大的風險,甚至有可能將企業(yè)帶入破產的境地。

1企業(yè)信息系統(tǒng)安全的發(fā)展

隨著信息技術的產生,信息系統(tǒng)安全的保護也隨之而來,并且隨著信息技術的不斷更新?lián)Q代,信息系統(tǒng)安全保護的戰(zhàn)略也不斷發(fā)展,接下來我們可以簡要地分析一下信息安全系統(tǒng)的發(fā)展歷程。

信息系統(tǒng)安全的第一步是保障信息的安全,當時各個電子業(yè)務系統(tǒng)較為獨立,互聯(lián)網還不太流行,這時主要技術是對信息進行加密,普遍運用風險分析法來對系統(tǒng)可能出現(xiàn)的漏洞進行分析,合理地填補漏洞,消除威脅,這是一種基于傳統(tǒng)安全理念指導下的系統(tǒng)安全保護。

隨著互聯(lián)網技術的深入,信息系統(tǒng)安全開始逐步向業(yè)務安全轉化,開始從信息產業(yè)的角度出發(fā)來考慮安全狀況,此時的互聯(lián)網已經成為工作生活的一個組成部分。這時候我們需要保護的不再僅僅是相關信息了,我們需要對整個業(yè)務流程進行保護,分析其可能出現(xiàn)的問題。本階段的安全防護理念關注整個業(yè)務流程的周期,對流程的每一個節(jié)點進行綜合考慮。信息保護在此時只是整個系統(tǒng)安全的一部分,是作為最為基礎的防護技術,除此之外,還強調對整個流程的監(jiān)控,防止某個節(jié)點可能出現(xiàn)的不安全因素,一旦出現(xiàn)任何風吹草動的現(xiàn)象我們可以立即予以控制。此外,審計技術在這個時候也被引入,通過對技術操作的跟蹤,可以對攻擊發(fā)起者進行責任追究,對攻擊者起到一種震懾的效果。

到目前為止,業(yè)務系統(tǒng)的獨立性和邊界已經逐步弱化,系統(tǒng)間的融合更為常見。以礦業(yè)企業(yè)為例,在大型集團中,往往存在財務系統(tǒng)、生產系統(tǒng)、銷售系統(tǒng)、統(tǒng)計分析系統(tǒng)等,這些系統(tǒng)之間需要相互勾稽,系統(tǒng)與系統(tǒng)之間需要互相取數(shù),因此大量的系統(tǒng)集中到了一個業(yè)務平臺中,由該平臺來提供整體服務。這樣的話,我們對于信息系統(tǒng)安全的需求也從單系統(tǒng)向多系統(tǒng)轉換,我們在關心單個系統(tǒng)安全的同時,還要對其系統(tǒng)平臺服務給予更多的關注。這樣的話,企業(yè)信息安全也開始由業(yè)務流程向服務轉換。

2企業(yè)信息安全存在的問題分析

信息安全問題我們可以將其進行進一步細分為物理、技術以及人為等三類因素。

首先來看物理方面,物理安全主要指的是機器設備以及網絡線路出現(xiàn)的問題。一般企業(yè)在進行信息設備設置時最先考慮的因素是人員安全,即在保證信息設備不會對企業(yè)員工人身安全造成威脅的前提下再進行設備本身考慮。信息設備一般屬于電氣設備,容易受到打雷、水電等災害的影響。如果服務器主機受到嚴重破壞,有可能導致企業(yè)整個信息系統(tǒng)崩潰。相對于其他電氣設備而言,信息設備耐壓數(shù)值比較小,企業(yè)需要其持續(xù)不斷地運行,并且磁場的干擾對網絡影響比較明顯,這些都對信息設備的物理安全提出了要求,需要防止可能出現(xiàn)的問題。

其次是技術方面,對于大量企業(yè)而言,可以分為內部網絡和外部網絡,內部網絡相對安全性較高。對于絕大多數(shù)企業(yè)而言,局域網都會通過一定途徑與外部網相連接。這樣內部網路安全性就受到內部網絡設備與外部網絡進行的溝通的威脅。同時,操作系統(tǒng)的安全以及應用程序的安全都是技術上所面臨的困擾。

在操作系統(tǒng)方面,我們的選擇比較狹窄,大多數(shù)企業(yè)只能選擇微軟操作系統(tǒng),每個系統(tǒng)都存在一定的漏洞,都會造成信息的外泄。其實操作系統(tǒng)同樣是軟件,微軟為系統(tǒng)安全會不定期推出安全更新與漏洞補丁,雖然我們可以通過系統(tǒng)的Windows Update或其他輔助軟件來給系統(tǒng)修修補補,但這還不是100%的安全保證。隨著微軟在安全技術上的逐漸改進,系統(tǒng)漏洞出現(xiàn)的次數(shù)越來越少,現(xiàn)在很多黑客開始把注意力轉移到常用的第三方軟件上來,也就是要利用這些軟件的漏洞來進行攻擊。相對于操作系統(tǒng)而言,應用軟件方面我們選擇性比較大,但目前流行的各種病毒、木馬都會給我們企業(yè)的信息安全帶來極大的影響。

尤其是現(xiàn)在大部分企業(yè)都建立有自己的官方網站,保存著企業(yè)的重要數(shù)據(jù)和客戶資料等,而如果網站存在一個通用漏洞,就會被惡意的黑客攻擊,甚至黑客還會進行木馬的上傳來得到WebShell,添加隱藏超級賬號,使用遠程桌面連接等操作,從而導致網絡淪落為黑客手中的“肉雞”。因此,如果使用網站模板代碼,必須要時刻關注該網站模板是否有最新的漏洞被曝光,及時到官網上下載并打上相關的漏洞補丁程序。另外,網管務必要有經常查看網站登錄日志的習慣,檢查后臺登錄的IP是否有異地的可疑信息,或者是否被添加了異常的管理賬號等等,永遠繃緊安全這根弦。

對局域網進行妥善管理,讓網絡運行始終安全、穩(wěn)定,一直是所有網絡管理員的主要職責。為了保證局域網的安全性,不少網絡管理員開動腦筋,并且不惜花費重金,“請”來了各式各樣的專業(yè)安全工具,來為局域網進行保駕護航。然而在實際工作過程中,如果沒有現(xiàn)成的專業(yè)安全防范工具,也可以利用客戶端系統(tǒng)自帶的安全功能,保護自己的上網安全。

最后是人員方面,人員是企業(yè)信息外泄的重要途徑,其中我們可以將其分為兩大類,一類是內部人員的泄密。這往往體現(xiàn)在員工將企業(yè)核心機密通過硬盤等設備將其帶出公司信息設備,并且造成遺失等現(xiàn)象,最終導致公司機密為外界所獲取,信息安全受到嚴重威脅。另一部分是黑客攻擊,這類攻擊對公司造成的損失非常大。該行為的目標就是獲取相應的信息。隨著黑客技術的發(fā)展,傳統(tǒng)的防火墻甚至物理網閘斷開都難以完全避免黑客的攻擊。目前企業(yè)繁多的保護程序對黑客的防護效果不佳,反倒給用戶帶來了諸多不便。

3企業(yè)信息安全改進建議

3.1物理安全防護

網絡結構設計直接影響到企業(yè)的信息安全,局域網的網絡拓撲設計也成了信息防護的關鍵所在,一般情況下,企業(yè)的網絡拓撲結構圖如下:

圖1內部網拓撲結構圖

在整個流程中,核心交換機是關鍵,首先它必須滿足國家相關的規(guī)定標準,可以承載相應的功能。機房設計要考慮到防盜、防火等,必須實行24小時監(jiān)控。硬件防火墻是我們進行信息保護的一個重要措施,性能比軟件防火墻更為強大,這也決定了硬件防火墻的價格相對而言更為昂貴。硬件加密卡也是我們目前使用范圍比較廣泛的一個技術措施,它獨立于計算機系統(tǒng),一般難以通過常用的軟件模擬方式來對其進行攻擊,因此獨立性能更高。通過合理配置計算機硬件保護器,我們可以將信息保護的基礎工作做得更加有效,能夠為控制技術風險和人為風險提供良好的基礎。

3.2技術安全

相對而言,技術安全是比較難以處理的,信息技術的發(fā)展非常迅速,我們難以面對層出不窮的網絡技術攻擊做出完全有效的防御,需要及時改變技術防御措施。

3.2.1數(shù)字簽名和加密技術

在網絡中,我們可以不斷發(fā)展傳統(tǒng)的數(shù)字簽名和加密技術,防止黑客的多種入侵。

我們可以以數(shù)字簽名為例,通過設定數(shù)字簽名,用戶在進行各種操作時會打上自身的印記,可以防止除授權者以外的修改,能夠極大地提高整體的安全系數(shù),抵御黑客的攻擊。在這個程序中,我們需要予以關注的是數(shù)字證書的獲取,一般有以下三個途徑:a使用相關軟件創(chuàng)建自身的數(shù)字證書;b從商業(yè)認證授權機構獲?。籧從內部專門負責認證安全管理機構獲取。

3.2.2入侵防護系統(tǒng)(IPS)

傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網絡流量,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數(shù)IDS系統(tǒng)都是被動的,而入侵防護系統(tǒng)(IPS)則傾向于提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接嵌入到網絡流量中實現(xiàn)這一功能的,即通過一個網絡端口接收來自外部系統(tǒng)的流量,經過檢查確認其中不包含異?;顒踊蚩梢蓛热莺螅偻ㄟ^另外一個端口將它傳送到內部系統(tǒng)中。這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能在IPS設備中被清除掉。

3.2.3統(tǒng)一威脅管理(UTM)

美國著名的IDC對統(tǒng)一威脅管理(UTM)安全設備的定義的是由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能。它將多種安全特性集成于一個硬設備里,構成一個標準的統(tǒng)一管理平臺。UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。這幾項功能并不一定要同時都得到使用,不過它們應該是UTM設備自身固有的功能。

UTM安全設備也可能包括其它特性,例如安全管理、日志、策略管理、服務質量(QoS)、負載均衡、高可用性(HA)和報告帶寬管理等。不過,其它特性通常都是為主要的安全功能服務的。

3信息安全管理

這主要是針對人員管理而設定的,是企業(yè)內部管理流程的一個重要方面,這是企業(yè)內部管控制度的一個重要組成方面。

每個企業(yè)都要有明確的硬件設備管理制度,專人負責保管,監(jiān)督審查,確保硬件使用的合理和安全性。其次要對操作人員進行足夠的培訓,要求每一個使用人員都了解應當進行的合理操作,明白可能存在的網絡安全隱患。第三要對數(shù)據(jù)保管有明確的責任和制度,防止大量數(shù)據(jù)的丟失,導致公司整體系統(tǒng)癱瘓。

為了進一步加強和規(guī)范計算機信息系統(tǒng)安全,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室于2007年6月和7月聯(lián)合頒布了《信息安全等級保護管理辦法》和《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》,并召開了全國重要信息系統(tǒng)安全等級保護定級工作部署專題電視電話會議,標志著我國信息安全等級保護制度歷經十多年的探索正式開始實施。

建立計算機信息系統(tǒng)安全等級保護制度,是我國計算機信息系統(tǒng)安全保護工作中的一件大事,它直接關系到各行各業(yè)的計算機信息系統(tǒng)建設和管理,是一項復雜的社會化的系統(tǒng)工程,需要社會各界的共同參與。大中型企業(yè)應該認真學習《信息安全等級保護管理辦法》及相關技術標準規(guī)范,大力開展培訓工作,落實好信息網絡安全管理、安全技術、信息安全等崗位人員的繼續(xù)教育培訓,不斷提高信息安全等級保護的能力與水平。

4結束語

在我們進行企業(yè)信息安全管理過程中,企業(yè)及企業(yè)員工是否對信息安全工作有足夠的認識十分重要,企業(yè)領導和上層應該對企業(yè)信息安全工作給予必要的關注,企業(yè)信息安全不能僅僅依靠專業(yè)的IT技術人員,它需要我們全體企業(yè)員工的共同努力。

參考文獻:

[1]孫博.企業(yè)信息安全及相關技術概述[J].科技創(chuàng)新導報,2009(04).

[2]徐國芹.淺議如何建立企業(yè)信息安全體系架構[J].中國高新技術企業(yè),2009(5).

[3]王東.“北京移動案”暴露信息安全管理軟肋[J].中國新通信,2006(6).

[4]吳輝.淺談企業(yè)信息安全管理方案[J].科技情報開發(fā)與經濟,2010(25).

[5]徐新件,朱健華.關于企業(yè)網絡信息安全管理問題研究[J].供電企業(yè)管理,2008(2).

[6]汪紅梅.我國信息安全保障體系存在的問題及對策芻議[J].信息網絡安全,2008(2).

[7]盛玉.檔案信息安全與安全保障體系內容的關系分析[J].網絡財富,2009(12).

篇8

關鍵詞:稅務系統(tǒng);信息安全;安全策略

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10406-02

On the Information Security Policy and Management of Tax Information Management System

HUANG Jian-qun

(Xi'an Shiyou University, Xi'an 710065, China)

Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.

Key words: tax systems; information security; security policy

稅收是國家財政收入的重要途徑,相關的稅務系業(yè)務要求其具有準確性、公證性和完整性的特點,因此保證稅務信息系統(tǒng)的安全性意義重大。稅務系統(tǒng)作為電子政務系統(tǒng)的一部分,屬國家基礎信息建設,其基本特點是:網絡地域廣、信息系統(tǒng)服務對象復雜;稅務信息具有數(shù)據(jù)集中、安全性要求高;應用系統(tǒng)的種類較多,網絡系統(tǒng)安全設備數(shù)量大,種類多,管理難度大。

稅務系統(tǒng)是一個及其龐大復雜的系統(tǒng),從業(yè)務上有國稅、地稅之分,從地域來說又有國家級、省級、地市級、區(qū)縣四級。網絡結點眾多、網絡設備和網絡出口不計其數(shù)、操作系統(tǒng)種類繁多、應用系統(tǒng)五花八門、網絡機構極其復雜。面對如此復雜的系統(tǒng),其內部安全隱患隨處可見,經過不斷的研究和探索,目前已經積累了大量解決稅務系統(tǒng)信息基礎設施安全的方法和經驗,形成一整套稅務系統(tǒng)的安全保障方法,相關安全保障的體系也在不斷完善和發(fā)展中。

1 網絡信息安全在稅務系統(tǒng)中的重要性

計算機軟硬件技術的發(fā)展和互聯(lián)網技術的普及,為電子稅務的發(fā)展奠定了基礎。尤其是國家金稅工程的建設和應用,使稅務部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務可以最大限度地確保國家的稅收收入,但卻面臨著系統(tǒng)安全性的難題。

雖然我國稅務信息化建設自開始金稅工程以來,取得了長足進步,極大提高了稅務工作效率和質量。但稅務系統(tǒng)本身也暴露出了一系列要改進的問題,各種應用軟件自成體系、重復開發(fā)、信息集中程度低。隨著信息化水平的不斷提高,基于信息網絡及計算機的犯罪事件也日益增加。稅務系統(tǒng)所面臨的信息網絡安全威脅不容忽視。建立稅務管理信息化網絡安全體系,要求人們必須提高對網絡安全重要性的認識,增強防范意識,加強網絡安全管理,采取先進有效的技術防范措施。

2 稅務系統(tǒng)安全建設

如何保證信息在傳遞過程中的安全性對稅務系統(tǒng)來說至關重要,任何網絡設備或者解決方案的漏洞都會對稅務系統(tǒng)造成很大影響。如何成功處理信息安全問題,使國家稅務系統(tǒng)在充分利用信息技術的同時,保障系統(tǒng)的安全,對稅務系統(tǒng)建設具有極大意義。信息安全的建設涉及到信息賴以存在和傳遞的一切設施和環(huán)境。構筑這個體系的目的是保證信息的安全,不僅需要信息技術的努力與突破,還需要相關政策、法律、管理等方面提供的有力保障,同時也需要提高操作信息系統(tǒng)的工作人員的安全意識。

2.1 稅務系統(tǒng)安全防護體系

稅務系統(tǒng)安全防護體系保證了系統(tǒng)在生命期內處于動態(tài)的安全狀態(tài),確保系統(tǒng)功能正確,不受系統(tǒng)規(guī)模變化的影響,性能滿意,具有良好的互操作性和強有力的生存能力等。

稅務信息系統(tǒng)安全模型提供了必要的安全服務和措施,增加了動態(tài)特性,強調了各因素之間關系的重要性。該模型是一種實時的、動態(tài)的安全理論模型,是實施信息安全保障的基礎。在模型基礎上建立安全體系架構隨著環(huán)境和時間改變,框架和技術將會主動實時動態(tài)的調整,從而確保稅務系統(tǒng)的信息安全。

2.2 稅務系統(tǒng)風險評估

稅務系統(tǒng)信息安全保障的目的是確保系統(tǒng)的信息免受威脅,但絕對的安全并不可能實現(xiàn),只能通過一定的控制措施將系統(tǒng)受到威脅的可能性降到一個可接受的范圍內。風險評估是對信息及信息處理設施的威脅、影響、脆弱性及三者發(fā)生的可能性的評估。風險評估用來確認稅務系統(tǒng)的安全風險及大小,即利用適當?shù)娘L險評估技術,確定稅務系統(tǒng)資產的風險等級和優(yōu)先風險控制順序。

風險評估是信息安全管理體系的基礎,為降低網絡的風險、實施風險管理及風險控制提供了直接依據(jù)。系統(tǒng)風險評估貫穿于系統(tǒng)整個生命期的始終,是系統(tǒng)安全保障討論最為重要的一個環(huán)節(jié)。

3 稅務信息系統(tǒng)整體安全構架

一般稅務信息系統(tǒng)所采用的安全架構模型如圖1所示。

從安全結構模型可以看出,該安全架構主要分為三部分:網絡系統(tǒng)基礎防御體系、應用安全體系和安全管理體系。網絡系統(tǒng)基礎防御體系是一個最基本的安全體系,主要從物理級、網絡級、系統(tǒng)級幾個層次采取一系列統(tǒng)一的安全措施,為信息系統(tǒng)的所有應用提供一個基礎的、安全的網絡系統(tǒng)運行環(huán)境。

該體系的主要安全建設范圍如下:

1) 物理級安全:主要提供對系統(tǒng)內部關鍵設備、線路、存儲介質的物理運行環(huán)境安全,確保系統(tǒng)能正常工作。

2) 網絡級安全:在網絡層上,提供對系統(tǒng)內部網絡系統(tǒng)、廣域網連接和遠程訪問網絡的運行安全保障,確保各類應用系統(tǒng)能在統(tǒng)一的網絡安全平臺上可靠地運作。

3) 系統(tǒng)級安全:主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施,防止不法分子利用操作系統(tǒng)的一些BUG、后門取得對系統(tǒng)的非法操作權限。

4 信息安全管理策略

4.1 安全管理平臺

信息安全管理的總體原則是“沒有明確表述為允許的都被認為是被禁止的”。信息安全管理實行安全等級保護制度,制定安全等級劃分標準和安全等級的保護辦法。從管理的角度,將系統(tǒng)中的各類安全管理工具統(tǒng)一到一個平臺,并對各種安全事件、報警、監(jiān)控做統(tǒng)一處理,發(fā)現(xiàn)各類安全問題的相關性,按照預定義的安全策略,進行自動的流程化處理,從而大為縮短發(fā)現(xiàn)問題、解決問題的時間,減少了人工操作的工作量,提高安全管理工作的效率。

通過技術手段,構建一個專門的安全管理平臺,將各類安全管理工具集成在這個統(tǒng)一的平臺上,對信息系統(tǒng)整體安全架構的實施進行實時監(jiān)視并對發(fā)現(xiàn)的問題或安全漏洞從技術角度進行分析,為安全管理策略的調整提供建議和反饋信息。統(tǒng)一的安全管理平臺將有助于各種安全管理技術手段的相互補充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進行安全的監(jiān)視和管理,從而提高安全管理工作的效率。

4.2 物理安全策略

物理安全是對計算機網絡系統(tǒng)中的設備、設施及相關的數(shù)據(jù)存儲介質提供的安全保護,使其免受各類自然災害及人為導致的破壞。物理安全防范是系統(tǒng)安全架構的基礎,對系統(tǒng)的正常運行具有重要的作用。

當然,信息系統(tǒng)安全不是一成不變的,它是一個動態(tài)的過程。隨著安全攻擊和防范技術的發(fā)展,安全策略也必須分階段進行調整。日常的安全工作要靠合理的制度和對制度的遵守來實現(xiàn)。只有建立良好的信息安全管理機制,做到技術與管理良好配合,才能長期、有效地防范信息系統(tǒng)的風險。

5 網絡信息安全所采取的主要措施

目前網絡信息安全所采取的主要措施是使用一系列的安全技術來防止對信息系統(tǒng)的非授權使用。討論稅務系統(tǒng)安全策略問題時,相關人員往往傾向于防火墻、入侵檢測系統(tǒng)等實際的安全設備。其實,造成系統(tǒng)安全問題的本質是稅務信息系統(tǒng)本身存在脆弱性。任何信息系統(tǒng)都不可避免的存在或多或少的脆弱性,而且這些脆弱性都是潛在的,無法預知。系統(tǒng)出現(xiàn)脆弱性的根本原因是由于系統(tǒng)的復雜性使得系統(tǒng)存在脆弱性的風險成正比,系統(tǒng)越復雜,系統(tǒng)存在的脆弱性的風險就越大,反之亦然。

安全防御的總策略為:1)建立網絡邊界和安全域防護系統(tǒng),防止來自系統(tǒng)外部的攻擊和對內部安全訪問域進行控制;2)建立基于整個網絡和全部應用的安全基礎設施,實現(xiàn)系統(tǒng)的內部的身份認證、權限劃分、訪問控制和安全審計;3)建立全系統(tǒng)網絡范圍內的安全管理與響應中心,強化網絡可管理、安全可維護、事件可響應;4)進行分級縱深安全保護,構成系統(tǒng)網絡統(tǒng)一的防范與保護、監(jiān)控與檢查、響應與處置機制。

6 結束語

解決信息系統(tǒng)的安全不是一個獨立的項目問題,安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術標準、管理規(guī)范等,是整個信息系統(tǒng)安全建設的依據(jù)?,F(xiàn)有的安全保障體系一般基于深度防御技術框架,若能進一步利用現(xiàn)代信息處理技術中的人工智能技術、嵌入式技術、主動技術、實時技術等,將形成更加完善的信息安全管理體系。

稅務信息安全直接關系到稅收信息化建設的成敗,必須引起稅務機關和每一位稅務人的重視。科學技術的發(fā)展不一定能對任何事物的本質和現(xiàn)象都產生影響,技術只有與先進的管理思想、管理體制相結合,才能產生巨大的效益。

參考文獻:

[1] 蔡皖東.信息安全工程與管理[M].西安:西安電子科技大學出版社,2004.

[2] 譚思亮.網絡與信息安全[M].北京:人民郵電出版社,2002.

[3] 譚榮華.稅務信息化簡明教程[M].北京:中國人民大學出版社,2001.

[4] 李濤.網絡安全概論[M].北京:電子工業(yè)出版社,2004.

[5] 朱建軍,熊兵.網絡安全防范手冊[M].北京:人民郵電出版社,2007.

[6] 戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].北京:清華大學出版社,2002.

篇9

根據(jù)《基本要求》的規(guī)定,二級要求的系統(tǒng)防護能力為:信息系統(tǒng)具有抵御一般攻擊的能力,能防范常見計算機病毒和惡意代碼危害的能力,系統(tǒng)遭受破壞后,具有恢復系統(tǒng)主要功能的能力。數(shù)據(jù)恢復的能力要求為:系統(tǒng)具有一定的數(shù)據(jù)備份功能和設備冗余,在遭受破壞后能夠在有限的時間內恢復部分功能。按照二級的要求,一般情況下分為技術層面和管理層面的兩個層面對信息系統(tǒng)安全進行全面衡量,技術層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應用資源控制、應用安全審計、通信完整性和數(shù)據(jù)保密性等多個控制點進行測評,而管理層面主要針對管理制度評審修訂、安全管理機構的審核和檢查、人員安全管理、系統(tǒng)運維管理、應急預案等方面進行綜合評測。其中技術類安全要求按照其保護的側重點不同分為業(yè)務信息安全類(S類)、系統(tǒng)服務安全類(A類)、通用安全防護類(G類)三類。水利信息系統(tǒng)通常以S和G類防護為主,既關注保護業(yè)務信息的安全性,又關注保護系統(tǒng)的連續(xù)可用性。

2水利科研院所信息安全現(xiàn)狀分析

水利科研院所信息系統(tǒng)結構相對簡單,在管理制度上基本建立了機房管控制度、人員安全管理制度等,技術上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下),且不臨街。機房大門為門禁電磁防盜門,機房內安裝多部監(jiān)控探頭。機房內部劃分為多個獨立功能區(qū),每個功能區(qū)均安裝門禁隔離。機房鋪設防靜電地板,且已與大樓防雷接地連接。機房內按照面積匹配自動氣體消防,能夠對火災發(fā)生進行自動報警,人工干預滅火。機房內已安裝溫度濕度監(jiān)控探頭,對機房內溫濕度自動監(jiān)控并具有報警功能,機房配備較大功率UPS電源,能夠保障關鍵業(yè)務系統(tǒng)在斷電后2小時正常工作。機房采用通信線路上走線,動力電路下走線方式。以上物理條件均滿足二級要求。網絡拓撲結構分為外聯(lián)區(qū)、對外服務區(qū)、業(yè)務處理區(qū)和接入區(qū)4大板塊,對外服務區(qū)部署有VPN網關,外部人員可通過VPN網關進入加密SSL通道訪問業(yè)務處理區(qū),接入區(qū)用戶通過認證網關訪問互聯(lián)網。整個網絡系統(tǒng)未部署入侵檢測(IDS)系統(tǒng)、非法外聯(lián)檢測系統(tǒng)、網絡安全審計系統(tǒng)以及流量控制系統(tǒng)。由上述拓撲結構可以看出,現(xiàn)有的安全防護手段可基本保障信息網絡系統(tǒng)的安全,但按照二級要求,系統(tǒng)內缺少IDS系統(tǒng)、網絡安全審計系統(tǒng)和非法外聯(lián)檢測系統(tǒng),且沒有獨立的數(shù)據(jù)備份區(qū)域,給整個信息網安全帶來一定的隱患。新的網絡系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測系統(tǒng)(IDS),新規(guī)劃了獨立的數(shù)據(jù)備份區(qū)域,在核心交換機上部署了網絡審計系統(tǒng),并在接入區(qū)安裝了非法外聯(lián)檢測系統(tǒng)。形成了較為完整的信息網絡安全防護體系。

3信息系統(tǒng)安全等級測評的內容

3.1信息系統(tǒng)等級保護的總體規(guī)劃

信息系統(tǒng)從規(guī)劃到建立是一個復雜漫長的過程,需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計算機系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設計。相應的技術測評工作也主要圍繞這3個模塊展開。

3.2測評的要素

信息系統(tǒng)是個復雜工程,設備的簡單堆疊并不能有效保障系統(tǒng)的絕對安全,新建系統(tǒng)應嚴格按照等保規(guī)劃設計,已建系統(tǒng)要對信息系統(tǒng)進行安全測試,對于測評不合格項對照整改。信息系統(tǒng)安全測試范圍很廣,主要在網絡安全、主機安全、應用安全、數(shù)據(jù)安全、物理安全、管理安全六大方面展開測評。本文僅對測評內容要素進行描述,對具體測試方法及工具不作描述。

3.2.1網絡安全的測評

水利科研院所網絡安全的測評主要參照公安部編制《信息安全等級測評》條件對網絡全局、路由和交換設備、防火墻、入侵檢測系統(tǒng)展開測評。但應結合科研院所實際有所側重。水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大,網絡帶寬占用比例相對較高,因此,在網絡全局中主要測試網絡設備是否具備足夠的數(shù)據(jù)處理能力,網絡設備資源占用情況,確保網絡設備的業(yè)務處理能力冗余性??蒲性核乩砦恢孟鄬Ψ稚?,因此,需要合理的VLAN劃分,確保局部網絡攻擊不會引發(fā)全局癱瘓??蒲性核鶕碛写罅康难芯可?,這類人群對于制度的約束相對較差,網絡應用多伴有P2P應用,對出口帶寬影響極大,因此除了用經濟杠桿的手段外,在技術上要求防火墻配置帶寬控制策略。同時對“非法接入和外聯(lián)”行為進行檢查。網絡中應配置IDS對端口掃描,對木馬、后門攻擊、網絡蠕蟲等常見攻擊行為監(jiān)視等等。

3.2.2主機安全測評

主機安全的測評主要對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)展開測評。通常水利科研院所服務器種類繁多,從最多見的機架式服務器到曙光一類的大型并行服務器均有部署,同時操作系統(tǒng)有window系列、Linux、Unix、Solaris等多種操作系統(tǒng),數(shù)據(jù)庫以主流SQLSERVER、ORACLE為主,早期開發(fā)的系統(tǒng)還有Sybase,DB2等數(shù)據(jù)庫。對于window操作系統(tǒng)是容易被攻擊的重點,因為二級等保為審計級保護所以重點在于身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼4個方面進行測評,主要審計重要用戶行為、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內重要的安全相關事件。對于LINUX等其他系統(tǒng)和數(shù)據(jù)庫,主要審計操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的身份標識唯一性,口令應復雜程度以及限制條件等。

3.2.3應用安全測評

水利科研院所內部業(yè)務種類繁多,如OA系統(tǒng),科研管理系統(tǒng),內部財務系統(tǒng)、網站服務器群,郵件服務器等,測評的重點主要是對這些業(yè)務系統(tǒng)逐個測評身份驗證,日志記錄,訪問控制、安全審計等功能。

3.2.4數(shù)據(jù)安全的測評

數(shù)據(jù)安全的測評主要就數(shù)據(jù)的完整性、保密性已及備份和恢復可靠性、時效性展開測評。水利科研院所數(shù)據(jù)量十分龐大,一般達到上百TB級數(shù)據(jù)量,一旦遭受攻擊,恢復任務十分艱巨,因此備份區(qū)和應用區(qū)應該選用光纖直連的方式,避免電纜數(shù)據(jù)傳輸效率的瓶頸。日常情況下應做好備份計劃,采用增量備份的方式實時對數(shù)據(jù)備份。

3.2.5物理安全測評

機房的物理安全測評主要是選址是否合理,機房大門防火防盜性能,機房的防雷擊、防火、防水防潮防靜電設施是否完好達標,溫濕度控制、電力供應以及電磁防護是否符合規(guī)定等物理條件。

3.2.6安全管理測評

安全管理主要就制定的制度文檔和記錄文檔展開評測。制度文檔主要分為3類,流程管理,人員管理和設備管理。記錄文檔主要為制度文檔的具體實施形式。在滿足二級的條件下,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責管理規(guī)定》、《安全審核與檢查管理制度》、《授權和審批管理規(guī)定》、《信息安全制度管理規(guī)范》、《內部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》、《系統(tǒng)設計和采購安全管理規(guī)定》、《系統(tǒng)實施安全管理規(guī)定》、《系統(tǒng)測試驗收和交付安全管理規(guī)定》、《軟件開發(fā)安全管理規(guī)定》、《系統(tǒng)運維和監(jiān)控安全管理規(guī)定》、《網絡安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》、《賬號密碼管理規(guī)定》等基本規(guī)章制度。同時對管理制度本身進行也要規(guī)范管理,如版本控制,評審修訂流程等。需要制定的記錄文檔有《機房出入登記記錄》、《機房基礎設施維護記錄》、《各類評審和修訂記錄》、《人員考核、審查、培訓記錄》、《各項審批和批準執(zhí)行記錄》、《產品的測試選型測試結果記錄》、《系統(tǒng)驗收測試記錄報告》、《介質歸檔查詢等的等級記錄》、《主機系統(tǒng),網絡,安全設備等的操作日志和維護記錄》、《機房日常巡檢記錄》、《安全時間處理過程記錄》、《應急預案培訓,演練,審查記錄》等。

4測評的方式方法

按照《基本要求》在等級測評中,對二級及二級以上的信息系統(tǒng)應進行工具測試。

4.1測試目的工具測試

是利用各種測試工具,通過對目標系統(tǒng)的掃描、探測等操作,使其產生特定的響應等活動,查看分析響應結果,獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否得以有效實施的一種方法。工具測試種類繁多,這里特指適用于等保測評過程中的工具測試。利用工具測試不僅可以直接獲得系統(tǒng)本身存在的漏洞,同時也可以通過不同的區(qū)域接入測試工具所得到的測試結果判斷出不同區(qū)域之間的訪問控制情況。利用工具測試并結合其他的核查手段能為測試結果提供客觀準確的保障。

4.2測試流程

收集信息→規(guī)劃接入點→編制《工具測試作業(yè)指導書》→現(xiàn)場測試→結果整理。收集信息主要是對網絡設備、安全設備、主機設備型號、IP地址、操作系統(tǒng)以及網絡拓撲結構等信息進行收集。規(guī)劃接入點是保證不影響整個信息系統(tǒng)網絡正常運行的前提下嚴格按照方案選定范圍進行測試。接入點的規(guī)劃隨著網絡結構,訪問控制,主機位置等情況的不同而不同,但應該遵循以下規(guī)則。(1)由低級別系統(tǒng)向高級別系統(tǒng)探測。(2)同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測。(3)由外聯(lián)接口向系統(tǒng)內部探測。(4)跨網絡隔離設備(包括網絡設備和安全設備)要分段探測。

4.3測試手段

利用漏洞掃描器、滲透測試工具集、協(xié)議分析儀、網絡拓撲結構生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié),為整改方案的編制提供依據(jù)。

5云計算與等級保護

近年來,隨著水利科研院各自的云計算中心相繼建立,云計算與以往的計算模式安全風險差異很大,面臨的風險也更大,因為以往的系統(tǒng)多數(shù)為集中式管理范圍較小,安全管理和設備資源是可控的,而云計算是分布式管理,是一個動態(tài)變化的計算環(huán)境,這種環(huán)境在某種意義上是無序的,這種虛擬動態(tài)的運行環(huán)境更不可控,傳統(tǒng)的安全邊界消失。同時,云計算在認證、授權、訪問控制和數(shù)據(jù)保密這些方面這對于信息網絡安全也提出了更高的要求。由云安全聯(lián)盟和惠普公司列出了云計算面臨的7宗罪(風險),說明云安全的狀況變化非??欤F(xiàn)有的技術和管理體系并不完全適應于云計算的模式,如何結合自身特點制定出適合云計算的等級保護體系架構是今后研究的方向。

6結語

篇10

關鍵詞:網絡信息安全;等級保護

中圖分類號:TP311 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-02

The Public Security Frontier Forces Information Security Construction Discussion

Jiang Haijun

(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)

Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.

Keywords:Network information security;Level protection

隨著科學技術和邊防部隊勤務工作的深入發(fā)展,信息化建設已成為提高邊防執(zhí)法水平的有力途徑,全國邊防部隊近年來已基本實現(xiàn)信息資源網絡化。但是,緊隨信息化發(fā)展而來的網絡安全問題日漸凸出,給邊防部隊管理工作帶來了新的挑戰(zhàn),筆者結合邊防部隊當前網絡安全工作實際,就如何構建全方位的網絡安全管理體系略陳管見。

一、影響邊防部隊信息網絡安全的主要因素分析

(一)物理層的安全問題。構成網絡的一些計算機設備主要包括各種服務器、計算機、路由器、交換機、集線器等硬件實體和通信鏈路,這些設備分向在各種不同的地方,管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起網絡的癱瘓。物理安全是制定區(qū)域網安全解決方案時首先應考慮的問題。

(二)計算機病毒或木馬的危害。計算機病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統(tǒng)的癱瘓,是影響網絡安全的豐要因素。新型的木馬和病毒的界限越來越模糊,木馬往往借助病毒強大的繁殖功能使其傳播更加廣泛。

(三)黑客的威脅和攻擊?,F(xiàn)在各類打著安全培訓旗號的黑客網站不勝枚舉,大量的由淺到深的視頻教程,豐富的黑客軟件使得攻擊變得越來越容易,攻擊者的年齡也呈現(xiàn)低齡化,攻擊越演越烈。黑客入侵的常用手法有:系統(tǒng)溢出、端口監(jiān)聽、端口掃描、密碼破解、腳本滲透等。

二、邊防部隊信息網絡安全的特征分析

(一)網絡安全管理范圍不斷擴大。從工作點來看,網絡覆蓋范圍已從機關直接深入到基層一線,從機關辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網絡接入點的地方,無論是物理線路還是無線上網點都必須進行網絡安全管理,點多線長,情況復雜;從工作環(huán)節(jié)來看,從設備的選購、網絡的組建、專線的租用到日常網絡應用,從設備維護保養(yǎng)、設備出入庫到送修和報廢,無一不涉及到網絡信息安全,網絡安全已滲透到工作的每一個環(huán)節(jié)。如:某單位被通報發(fā)現(xiàn)違規(guī)事件,經調查,結果是有人將手機接上公安網計算機充電,而該手機正在無線上網。

(二)安全管理對象類型復雜多樣。目前,公安信息網、互聯(lián)網、業(yè)務專網、機要專網在日常工作中頻繁使用,成為管理的難點。同時,公安網上各類使用中的網絡安全管理軟件系統(tǒng)應用有待深化,一些網絡管理軟件使用功能僅停留在表層,未能成為得力工具。

(三)網絡安全問題不斷翻新。目前互聯(lián)網、公安網、業(yè)務網、網四種網絡必須物理隔離,禁止交叉使用移動存儲介質,但四種網絡的信息資源在一定范圍內卻必須共享交流。曾經出現(xiàn)過這種情況,某單位人員在互聯(lián)網上建立論壇,發(fā)表不健康言論,觸犯邊防部隊管理條例。究其原因,是因為我們的網絡安全工作一直以來是局限在公安網內部,尚未隨著網絡應用發(fā)展趨勢擴展到互聯(lián)網的管理上。

三、邊防部隊信息網絡安全的技術分析

網絡安全產品的自身安全的防護技術網絡安全設備安全防護的關鍵,一個自身不安全的設備不僅不能保護被保護的網絡而且一旦被入侵,反而會變?yōu)槿肭终哌M一步入侵的平臺。

(一)虛擬網技術。虛擬網技術主要基于近年發(fā)展的局域網交換技術(ATM和以太網交換)。交換技術將傳統(tǒng)的基于廣播的局域網技術發(fā)展為面向連接的技術。因此,網管系統(tǒng)有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。

(二)防火墻技術。網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環(huán)境的特殊網絡互聯(lián)設備。它對兩個或多個網絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監(jiān)視網絡運行狀態(tài)。雖然防火墻是保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅動型的攻擊。

(三)病毒防護技術。病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網絡的廣泛互聯(lián),病毒的傳播途徑和速度大大加快。在防火墻、服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。

(四)入侵檢測技術。利用防火墻技術,經過仔細的配置,通常能夠在內外網之間提供安全的網絡保護,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠。需要監(jiān)視的服務器上安裝監(jiān)視模塊(agent),分別向管理服務器報告及上傳證據(jù),提供跨平臺的入侵監(jiān)視解決方案;在需要監(jiān)視的網絡路徑上,放置監(jiān)視模塊(sensor),分別向管理服務器報告及上傳證據(jù),提供跨網絡的入侵監(jiān)視解決方案。

四、邊防部隊信息網絡安全管理體系的對策

網絡安全是一個范圍相對較大的概念,根據(jù)具體的實際情況組成不同安全管控層次或等級的網絡系統(tǒng),既是網絡實際發(fā)展應用的趨勢,更是網絡現(xiàn)實應用的一種必然。

(一)提高多層次的技術防范措施。按照網絡實際應用中出現(xiàn)故障的原因和現(xiàn)象,參考網絡的結構層次,我們可以把網絡安全工作的對象分為物理層安全、系統(tǒng)層安全、網絡層安全和應用層安全,不同層次反映不同的安全問題,采取不同的防范重點:一是確保物理環(huán)境的安全性。包括通信線路的安全、物理設備的安全、機房的安全等。在內網、外網共存的環(huán)境中,可以使用不同顏色的網線、網口標記、網口吊牌來標記區(qū)分不同的網絡,如灰色的公安網專用,紅色的互聯(lián)網專用,黃色的網專用。二是確保軟硬件設備安全性。必須預備一定的備用設備,并定期備份重要網絡設備設置。對待報廢的各類存儲類配件,一定要進行消磁處理,確保信息安全。三是提供良好的設備運行環(huán)境機房要有嚴格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施,并且有單獨的電源供電系統(tǒng);安裝有計算機的辦公室要有防塵、防火、防潮、防泄密等措施,電源要符合計算機工作要求。四是完善操作系統(tǒng)的安全性必須設置系統(tǒng)自動升級系統(tǒng)補丁。五是加強密碼的管理。存取網絡上的任何數(shù)據(jù)皆須通過密碼登錄。同時設制復雜的計算機開機密碼、系統(tǒng)密碼和屏保密碼。

(二)建立嚴格的網絡安全管理制度。嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應通過制度規(guī)范協(xié)調網絡安全的組織、制度建設、安全規(guī)劃、應急計劃,筑起網絡安全的第一道防線。

(三)合理開放其它類型的網絡應用。目前,很多單位都建立了警營網吧,給官兵提供良好的學習娛樂平臺,這種情況下就必須把互聯(lián)網的網絡安全工作納入安全工作范圍,采取多種方法,規(guī)范和引導官兵進行互聯(lián)網的應用,合理開放所需的應用功能,有效控制不合理的功能應用。目前,邊防部隊的信息網絡安全技術的研究仍處于起步階段,有大量的工作需要我們去探索和開發(fā)。公安部已在全國范圍內大力推進信息網絡安全工作,相信在大家的共同努力下,邊防部隊將建立起一套完整的網絡安全體系,確保信息網絡的安全,推動邊防部隊信息化高度發(fā)展。

五、結論

網絡信息安全系統(tǒng)建設完成后,將實現(xiàn)信息系統(tǒng)等級保護中有關數(shù)據(jù)安全保護的基本要求和目標,尤其是應用密碼技術和手段對信息系統(tǒng)內部的數(shù)據(jù)進行透明加密保護。網絡信息安全系統(tǒng)還為單位內部機密電子文檔的管理提供了一套有效的管理辦法,為電子文檔的泄密提供了追查依據(jù),解決了信息系統(tǒng)使用方便性和安全共享可控制的難點,為部隊深化信息化建設提供技術保障。網絡信息安全系統(tǒng)能夠有效提高單位的數(shù)據(jù)安全保護等級,與其他信息系統(tǒng)模塊協(xié)調工作,實現(xiàn)了資源的整合和系統(tǒng)的融合,形成一個更加安全、高效、可控、完善的信息系統(tǒng)風險監(jiān)控與等級保護平臺,提高了部隊內部核心數(shù)據(jù),特別是對內部敏感電子文檔的安全管理,隨著系統(tǒng)的不斷完善和擴大,將對部隊內部網絡和信息系統(tǒng)的安全保護發(fā)揮更大作用。

參考文獻: