安全保障管理策略匯總十篇
時間:2023-08-18 17:39:10
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇安全保障管理策略范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
[關鍵詞]:信息系統安全管理
隨著信息技術以其驚人的發展速度向社會各個領域滲透,高效、便利與快捷的優勢已不言而喻,管理實現代化、網絡化、信息化已迫在眉睫,勢在必行。然而,信息技術是一把“雙刃劍”,在計算機和網絡技術為檔案管理提供便利的同時,其自身的脆弱性、技術的壟斷性以及人為破壞等因素,又威脅到信息的安全,因而在信息化管理過程中,針對信息安全存在的威脅,有著高度警惕的思想和有效防范的措施。
一、信息安全的含義
信息社會的安全問題不僅涉及到個人權益、企業生存、金融風險防范、社會穩定和國家安全,甚至關系到環境安全、生態安全和人類安全。它是物理安全、網絡安全、數據安全、信息內容安全、信息基礎設施安全與公共、國家信息安全的總和,是一個多層次、多因素、多目標的復合系統。現代信息安全主要包括兩個方面的含義,即運行系統的安全和系統信息的安全。
1、運行系統的安全
運行系統的安全,包括嚴格而科學的管理,如對信息網絡系統的組織管理、監督檢查,規章制度的建立、落實與完善,管理人員的責任心、預見性、警惕性、使命感等;法律、政策的保護,如用戶是否有合法權利,政策是否允許等;物理控制安全,如機房加鎖、線路安全、環境適宜等:硬件運行安全;操作系統安全,如數據文件是否保護等;災害、的避免和解除;防止電磁信息泄漏等。
2、系統信息的安全,包括:用戶口令鑒別;用戶存取權限控制;數據存取權限、方式控制、審計跟蹤、數據加密等。從要素來看,信息安全是過程、政策、標準、管理、指導、監控、法規、培訓和工具技術的有機總和。信息安全問題主要依靠密碼、數字簽名、身份認證、防火墻、安全審計、災難恢復、防病毒、防黑客入侵等安全機制加以解決。
二、企業管理中信息安全的需求
企業現代化的運作和管理是依賴于企業的網絡和國際互聯網。信息化給企業管理帶來的是高效的運作和對外信息的交換等的極大好處。信息系統的應用都依賴與網絡,這就會有許多安全間題需要解決,歸納起來主要有以下一些安全問題需要解決。
1、對人的安全需求
管理的對象是人,人是信息安全面臨的最大風險,人的思想和情緒是最為復雜的,員工有的可能利用公司的網絡開些小玩笑,甚至破壞。如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給企業的正常運作和管理造成極大的安全風險。
對于不滿公司的內部管理人員如果把內部網絡結構、管理員用戶名及口令以及企業信息系統的一些重要信息傳播給外人帶來信息泄漏風險,甚至是商業和法律的風險。
還有如果存在不適當的信息系統授權,會導致未經授權的人獲取不適當的信息。操作失誤或疏忽會導致信息系統的錯誤動作或產生垃圾信息;惡意篡改數據、修改系統時間、修改系統配置、惡意導入或刪除信息系統的數據,可能導致重大經濟案件的發生。有令不行、有禁不止等人為因素形成的風險,是信息化管理中最主要的安全問題。
2、對應用系統的安全需求
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的,應用的安全性也動態。這就需要我們對不同的應用,采取相應的安全措施,降低應用的安全風險。
如果在企業的管理系統中沒有考慮必要的安全模塊的設計,或安全設計存在缺陷,都會導致管理系統安全免疫能力不足。沒有完善、嚴格的安全系統管理機制,會導致機房管理、口令管理、授權管理、用戶管理、服務器管理、網絡管理、備份管理、病毒管理等方面出現問題,輕則產生垃圾信息,重則發生系統中斷、信息被非法獲取。
當前企業的管理系統己是一個龐大的網絡化系統,在網絡內存在眾多的中小型機、服務器、前置機、路由器、終端設備,也包括數據庫、操作系統、中間件、應用系統等軟件系統。網絡中的任何一個環節均可能出現故障,一旦出現故障便有可能造成系統中斷,將會影響到整個企業的管理和運作。
3、對數據的安全需求
對于企業的管理和運作,最為寶貴的財富就是數據。要保證系統穩定可靠地運行,就要保護基于計算機的信息,也就是存儲在計算機內的數據。雖然,計算機技術的發展給人們的日常生活提供了很多便利,然而,人為的操作錯誤,系統軟件或應用軟件的缺陷、硬件的損毀、電腦病毒、黑客攻擊、自然災難等等諸多因素都有可能造成計算機中數據的丟失,從而給企業造成無可估量的損失。此時,最關鍵的問題在于如何盡快恢復計算機系統,使其能正常運行。
三、制定信息安全策略
信息安全不是網絡安全,如果將注意力過多地集中在網絡層,往往會掩蓋信息安全更加本質的內涵,信息安全不只是網絡保護問題,而應該是能夠幫助企業實現業務目標的一整套技術手段和措施。信息安全是通過制定實施一整套適當的安全策略實現的。必須建立起一整套的安全策略,確保滿足企業管理的安全目標。
要制定一組最優的信息安全策略主要的要素包括如下幾個方面:
1.要保護的對象
Ø硬件和軟件
硬件和軟件是支持企業運作和管理進行的平臺,它們應該有策略保護。所以,擁有一份完整的系統軟件硬件清單是非常重要的,這當中應該包括一張網絡圖。有很多方法來生成這份清單和網絡圖,無論用什么方法,必須確定所有東西都被記錄了。
Ø非信息類資源
清單和策略一樣,不僅僅和軟硬有關。既應該有文檔來記錄程序、硬件、系統和本地管理過程,也應該有文檔描述技術業務過程的方方面面。后者可以包括公司業務如何運作等信息,也可以展示易受攻擊的區域。
同樣的,清單應該包括所有的正式打印表格,印有公司名字頁眉的信紙以及其它帶有官方名稱的材料。一個使用公司空白支票和正式信紙的人可以假冒公司的官員,進而盜用資金甚至損壞公司名譽。所以,必須把這些物品包括在清單里面,以使策略能夠保護這些資產。
Ø記錄人力資源
最重要和最昂貴的資源是人力資源,這些人操作和維護那些清單上記錄的物品。
2.判斷系統保護應該針對哪些人
定義訪問是了解每個系統和網絡組件如何被訪問的過程。明白了信息資源是如何被訪問的,就能夠確定策略應該集中在誰身上。對于數據訪問來說,有以下幾個需要考慮到的方面:
a)對信息或資源的授權和未授權訪問:
b)無意或者未授權的信息泄密;
c)執行程序概要:
d)漏洞和用戶錯誤。
3、數據安全的考慮
我們使用計算機和網絡所作的每一件事情都造成了數據的流動和使用。所有的公司、組織和政府機構,不論它們從事什么工作,都在收集和使用數據。即使是制造商的操作也離不開關鍵數據的處理,包括定價、車間自動化和存貨清單控制。由于數據的重要性,所以定義策略的時候,了解數據的使用和結構是編寫安全策略的基本要求。
4、備份、文檔存儲和數據處理
把數據備份到外部站點或者其它介質上,有關這方面的策略和在線訪問信息策略是同樣重要的。備份數據可以包括財政信息、客戶往來記錄甚至當前業務過程的拷貝。備份策略需要考慮的情況的包括:數據如何存檔,在準備丟棄數據的時候應該作些什么。
上述組成要素最基本的。隨著信息環境的變化、網絡技術的更新、組織業務的變更,我們可以增加新的要素。總之,組織制定出的信息安全策略要達到控制安全保護措施的實施的目的。
四、結語
信息的安全問題是一個動態和相對的問題,信息安全的管理必須制定適當的安全策略并嚴格實施,才能為管理工作實現信息化提供信息安全保障。
參考文獻
[1]趙戰生,信息安全保障技術發展—動態與印象,中科院信息安全國家重點實驗室會議報告,2001年
篇(2)
中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2010)20-5501-02
1 高職院校教學管理系統應用的背景和現狀分析
隨著近年來我國教育改革的深化,素質教育的全面推進,高校擴招政策的出臺,高職院校辦學規模不斷擴大,對教學管理部門而言,增加工作量的同時工作難度也增加了,管理手段的落后直接影響教學質量和辦學水平。面對挑戰,許多高職院校紛紛啟動并加快了數字化校園建設的步伐,相繼建成校園網,搭建了數字化校園的硬件平臺,運用教學管理系統,將日常教學管理事務納入信息化和網絡化管理中。
根據系統的開發時期、使用要求、技術實現方式等差異,可以將高職院校教學管理系統劃分為三個不同的發展階段:1)是單機管理系統。這種系統功能單一落后,軟件實現簡單、性能差,主要用于完成某些單方面的教學管理功能。2)是采用C/S工作模式局域網管理系統。具有強大的數據操作和事物處理能力,模型直觀簡潔,易于人們理解和接受。但隨著學校規模的日益擴大,軟件功能的不停升級,二層C/S模式的局限性逐漸彰顯:① C/S模式的開發和維護成本較高,因為對不同的客戶端要開發不同的程序,并且應用程序的安裝、修改和升級均必須在所有的客戶機上走一遍;② 隨著客戶端對數據處理功能的要求增加,客戶端的負荷越來越重,造成“胖”客戶端現象,打擊了系統的整體性能;③ 數據安全性不好,因為客戶端程序可以直接訪問數據庫服務器,因此在客戶端計算機上的其他程序也有途徑訪問數據庫服務器,從而使數據庫的安全性受到威脅。3)是以web技術為基礎基于B/S工作模式的教學管理系統。這是隨著web技術的興起,繼承發展于C/S模式的一種改進模式。該模式利用不斷成熟和普及的瀏覽器技術,將數據存放在數據庫服務器上,業務處理程序在應用服務器上存放和運行,這種結構不僅把客戶機從沉重的負擔和不斷對其提高性能的要求中解放出來,也把技術維護人員從繁重的維護升級工作中解脫出來。這種三層結構層與層之間相互獨立,任何一層的改變不影響其他層的功能,從根本上改變了二層C/S體系結構的缺陷,是應用系統體系結構中的一次深刻變革,成為當前教學管理系統的首選體系結構。
2 基于web技術基于B/S工作模式的教學管理系統
我校是一所具有50年辦學經驗的國家級重點職業學校,在冊學生維持在8000人次左右,現有6大專業體系,高職專業12個,中專專業近20個,課程共650多門,每學期平均需制定專業教學計劃25個,安排授課課時4000多節,安排任課教師300余人,日常教學管理工作量較繁重,并且我校存在分校區辦學模式,地理位置跨度較大,基于以上實際情況,經過對三代教學管理系統優缺點的分析,2005年,我校建成基于B/S工作模式的教學管理系統,依托該系統,實現了各校區教學信息的有效溝通,將教學管理者和教師們從繁重的手工傳統工作模式中解放出來,從而把工作精力投入到提高管理水平和提高教學質量的工作中。
隨著網絡信息技術的快速發展和校園信息化水平的提高,基于B/S工作模式的教學管理系統已成為學校教學管理工作必不可少的組成部分。與此同時,系統所蘊藏的風險也成為無法回避的問題。雖然,基于B/S的網絡應用是比較成熟的,特別是在JAVA這樣的跨平臺語言出現之后,B/S架構的管理系統得到相當廣泛的應用,但該結構在系統安全性上仍存在硬傷。相較C/S系統而言,B/S系統在客戶機與數據庫之間增加了一層WEB服務器,使兩者不再直接連接,客戶機無法直接對數據庫操作,可有效地隔離用戶對核心數據的危險性訪問,但由于C/S的相對專用性和封閉性,整個C/S系統相對安全,而B/S的開放性,使得這種結構的系統更容易受到來自internet 上的攻擊。
3 B/S工作模式下數據安全性策略分析
保證數據安全是教學管理系統正常運行和教學工作正常運轉的前提。基于B/S工作模式的教學管理系統采用后端數據庫的動態頁面生成技術,用戶通過internet平臺不僅可以進行靜態信息瀏覽,而且可以進行數據庫訪問和數據處理,如何保證數據的安全性,是系統亟待解決的問題。
策略①:抑制控制,強化系統安全設計,即在系統設計、編程和測試階段,通過采取有效的措施堵塞漏洞,抑制風險產生。
網絡安全層次:采用路由器的IP過濾功能、網關、防火墻、服務器等方式將校園網與internet相連時起到隔離作用;并將校園網劃分為多個子網,有效減少網絡頻帶壓力,使大部分信息在子網范圍內傳輸,減少信息外泄的機會,實現IP地址身份驗證機制,防止持有非法IP地址的人訪問本子網的資源。
服務器安全層次:
首先檢查用戶的合法性及身份驗證,采用在網絡中設一登陸驗證服務器的方法;在web服務器上設計有相應的權限限制,只有合法用戶才能通過網頁來訪問事物處理程序。
策略②:預防控制,采用基于B/S和C/S混合模式的教學管理系統,充分發揮了兩種模式各自優點,尤其在系統安全性保障方面,集成兩種模式的長處,從預防角度達到控制風險的目的。
基于B/S工作模式的教學管理系統并沒有將C/S系統擠出管理系統領域,相反,隨著PC機硬件配置的不斷提高,客戶端的“肥胖”不再影響健康,而網絡服務器的承載能力和網絡本身的安全隱患卻成了制約B/S系統結構的瓶頸,因此選擇何種工作模式的教學管理系統取決于實際應用方式,即能否適應學校辦學模式,滿足廣大師生的教學需求。我校教學管理系統分成教學計劃、課程管理、學籍管理、成績管理、選課管理、師資管理、信息、系統管理等模塊。在上述模塊中,由于學籍、成績、教學計劃、師資管理等需要較高的安全性和較強的交互性,同時需要處理大量的數據,因此這部分子系統適合采用傳統的C/S模式;而信息與學生信息查詢及選課管理則具有適用范圍廣、安全互性要求不高等特點,這部分可采用B/S模式。
策略③:恢復控制,即在系統風險導致的損害實際發生時,必須有有效的系統修復措施。
目前,幾乎所有的教學管理系統,無論基于何種工作模式,都是以數據庫系統為平臺,我校的教學管理系統也是運行于SQL Server2000服務器,管理制度不完善、系統管理人員的意外操作、破壞性病毒攻擊、自然災害等原因都可能導致數據庫遭破壞,因此從數據庫層面保證系統數據安全是保障系統數據安全性的根本途徑。在現有技術條件下,系統管理員定期做好備份是保證數據庫安全的重要措施,一旦數據庫系統出現故障,就能利用備份數據及時采取有效措施,恢復系統功能。
SQL Server2000支持四種備份類型,在實際工作中應根據具體情況進行選擇。四種備份類型的功能及其優勢如表1所示:
表1 SQL Server2000數據庫備份類型
對于這四種備份類型,可結合實際情況制定相應的備份策略。我校的處理方法是:教師提交成績單前,做一次數據庫的完全備份,成績提交期間每日進行差異備份,隨時可以恢復到故障點以前的狀態。因為在教師提交成績單期間,數據庫處于隨時更新的狀態,因此制定良好的計劃和適合需求的備份策略才能保證數據庫的安全,保障系統正常運行。同時還應選擇相應的時間間隔生成事物日志備份,可把數據恢復到意外發生時的即時點。
4 結束語
目前,B/S體系結構在管理信息系統的開發中日益顯示主導作用,但作為一名系統管理員,除了選擇適合本校辦校實際的管理系統之外,必須充分考慮基于該工作模式的系統能否在安全性能上有更好的表現,這是衡量系統性能的重要指標之一,是關系到學校教學管理工作能否正常進行的核心問題。
參考文獻:
[1] 邵莉,梁興建.數據庫備份策略及恢復措施研究[J].四川理工學院學報:自然科學版,2009(2):14.
篇(3)
當前我國交通電子政務實施過程的兩大矛盾的解決,依賴于安全、穩定、可靠的交通運輸電子政務平臺信息安全保障體系。對于電子政務平臺實施過程中所面臨的信息安全保障問題,我國早在2003年9月頒發的《關于加強信息安全保障工作的意見》中明確提出了建立等級保護制度和風險管理體系的要求。2004年11月,公安部等國家四部委聯合推出信息安全等級保護要求、測評準則和實施指南,為政務領域進一步建立政務信息系統風險管理體系提供了技術基礎和指導。交通運輸部也于2008年12月頒布的《交通運輸電子政務網絡及業務應用系統建設技術指南》中對交通電子政務平臺的安全保障體系作了詳細的技術規范。
隨著交通政府機構的信息安全基礎建設日趨完善,建立一套信息安全管理平臺,既滿足電子政務平臺的開放性和可訪問性,又保證電子政務平臺的安全性,也日益迫切。交通電子政務信息安全保障體系可從以下幾個角度進行充分構建:
1信息安全保障體系及其基本要求
信息安全保障體系是基于PKI體系而開發的為多個應用系統提供統一認證、訪問控制、應用審計和遠程接入的應用安全網關系統,它可以將不同地理位置、不同基礎設施(主機、網絡設備和安全設備等)中分散且海量的安全信息進行樣式化、匯總、過濾和關聯分析,形成基于基礎設施與域的統一等級的威脅與風險管理,并依托安全知識庫和工作流程驅動,對威脅與風險進行響應和處理。信息安全保障體系的基本要求主要體現在以下幾個方面:
1)保密性。主要體現在誰能擁有信息,如何保證秘密和敏感信息僅為授權者享有。
2)完整性。主要體現在擁有的信息是否正確以及如何保證信息從真實的信源發往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換。
3)可用性。主要體現在信息和信息系統是否能夠使用以及如何保證信息和信息系統隨時可為授權者提供服務而不被非授權者濫用。
4)可控性。主要體現在是否能夠監控管理信息和系統以及如何保證信息和信息系統的授權認證和監控管理。
5)不可否認性。主要體現在信息行為人為信息行為承擔責任,保證信息行為人不能否認其信息行為。
總之,信息安全保障體系的基本要求主要從技術和管理兩個層面得以實現。技術層面在實現信息資源的公開性、共享性和可訪問性的同時,通過主機安全、網絡安全、物理安全、數據安全和應用安全等技術要素保障信息的安全性。管理層面則可通過安全管理機制、安全管理制度、人員安全管理、系統建設管理以及系統運營管理等規范化機制得以保障信息的安全性。
2交通電子政務平臺信息安全保障體系的構建
交通電子政務平臺的信息安全保障體系,應該由組織體系、技術體系、運營體系、策略體系和保障對象體系等共同組成。
2.1安全組織體系。政府高度重視交通運輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優先位置,首先要求成立專門的信息安全領導小組。信息安全領導小組可由交通主管領導擔任領導小組組長主管信息安全工作,下設信息安全工作組,各管理部門負責人、業務部門負責人為成員。
2.2安全技術體系。交通電子政務平臺的安全技術體系可搭建專業的安全管理運營中心,并從基礎設施安全和應用安全兩個方面去搭建安全技術支撐體系。
2.3安全運營體系。交通電子政務的安全運營體系一般可由安全體系推廣與落實、項目建設的安全管理、安全風險管理與控制和日常安全運行與維護四個部分組成。安全運營體系是一個完整的過程體系,在交通電子政務平臺的整個過程中,正常的運作流程,其信息流遵循自上而下的流程,即交通上級部門根據電子政務平臺信息安全需求的目標、規劃和控制要求做計劃,下級交通部門根據計劃進行執行、檢查和改進。而若交通電子政務平臺其安全性出現威脅,影響正常的運作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據其安全事件進行分析、總結和改進。
篇(4)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 19-0000-02
1 網絡安全問題概述
1.1 網絡安全的現狀。2011年,我國境內與互聯網連接的用戶有60%以上的用戶受到境外用戶的攻擊。僅在過去的兩年我國遭到網絡安全攻擊的計算機IP地址就超過了100多萬個,被黑客攻擊的網站將近5萬個;在網絡病毒威脅方面,我國僅被一種網絡病毒感染的計算機數量就超過了1800萬臺,占全球感染主機總量的30%,位列全球第一。近些年關于漏洞多,木馬、病毒猖獗;網絡癱瘓、網站被篡改、系統被入侵;網銀轉款、網上詐騙等網絡安全問題的報道也非常多,網絡安全現狀令人堪憂。
1.2 網絡面臨的問題與挑戰。隨著計算機網絡通信技術的高速發展,人們的工作和生活越來越離不開計算機網絡信息通信系統,近些年,新涌現出來的網絡信息安全問題已成為全球廣泛關注的焦點問題,人們在在網絡信息安全方面面臨著各種各樣的問題,來自網絡安全的各種挑戰非常嚴峻。
首先,計算機網絡信息系統不斷從傳統的專有系統想當前的通用操作系統轉變,也就是說,當前的網絡信息系統越來越開放,再加上,絕大多數網絡通信系統采用的是TCP/IP網絡傳輸協議來進行網絡通信服務的,而TCP/IP網絡傳輸協議由于自身安全性不足,給網絡信息系統的安全就帶來了一定的挑戰;其次,隨著國際互聯網網絡這一大環境的不斷改變,針對網絡信息系統的安全威脅不斷表現出多樣化和多源化的特點,針對網絡系統的安全威脅的多樣化和多源化,需要構建一個縱深的、立體的、全方位的網絡安全解決方案,這就為網絡安全防御系統的復雜性和可控性問題提出了挑戰;最后,在過去的幾年中,有很多組織機構部門對自身的網絡信息系統的安全建設進行了大量的人力和資金投入,并花費了大量的資金用來進行網絡系統安全設備的采購,以采集大量的網絡通信日志及網絡安全攻擊報警信息,但問題是,所采集的這些信息并沒有被得到充分的利用,以至于許多未被明確的網絡安全風險,依然保留在網絡信息系統中,從而對網絡信息系統的安全構成威脅。
2 認識網絡安全保障體系
2.1 網絡安全保障體系的提出。隨著信息化的發展,政府或企業對信息資源的依賴程度越來越大,沒有各種信息系統的支持,很多政府或企業其核心的業務和職能幾乎無法正常運行。這無疑說明信息系統比傳統的實物資產更加脆弱,更容易受到損害,更應該加以妥善保護。而目前,隨著互聯網和網絡技術的發展,對于政府或企業的信息系統來講,更是面臨著更大的風險和挑戰。這就使得更多的用戶、廠商和標準化組織都在尋求一種完善的體系,來有效的保障信息系統的全面安全。于是,網絡安全保障體系應運而生,其主要目的是通過信息安全管理體系、信息安全技術體系以及信息安全運維體系的綜合有效的建設,讓政府或企業的網絡系統面臨的風險能夠達到一個可以控制的標準,進一步保障網絡信息系統的安全穩定運行。
網絡安全保障體系是針對傳統網絡安全管理體系的一種重大變革。它依托安全知識庫和工作流程驅動將包括主機、網絡設備和安全設備等在內的不同資產和存放在不同位置中的大量的安全信息進行范式化、匯總、過濾和關聯分析,形成基于資產/域的統一等級的威脅與風險管理,并對威脅與風險進行響應和處理,該系統可以極大地提高網絡信息安全的可控性。
2.2 網絡安全保障體系的作用。網絡安全保障體系在網絡信息安全管理中具有十分重要的作用,主要體現在如下三個方面:首先,網絡安全保障體系可以對整個網絡系統中不同的安全設備進行有效的管理,而且可以對重要的網絡通信設備資產實施完善的管理和等級保護;其次,網絡安全保障體系可以有效幫助網絡安全管理人員準確分析現有網絡信息系統所面臨的安全威脅,從而可以幫助管理人員制定合理的網絡安全應急響應流程;最后,網絡安全保障體系可以通過過對網絡風險進行量化,實現對網絡風險的有效監控和管理。
3 網絡安全保障體系的構建策略
3.1 確定網絡安全保障體系構建的具體目標。網絡安全保障體系建設是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分,通過信息安全治理來達到具體的建設目標。其中,信息安全的組織體系是指為了在某個組織內部為了完成信息安全的方針和目標而組成的特定的組織結構,主要包括決策、管理、執行和監管機構四部分組成;信息安全的策略體系是指信息安全總體方針框架、規范和信息安全管理規范、流程、制度的總和。
3.2 確定適合的網絡安全保障體系構建的方法。(1)網絡安全管理基礎理論。網絡安全保障體系的安全管理方法就是通過建立一套基于有效的應用控制機制的安全保障體系,實現網絡應用系統與安全管理系統的有效融合,確保網絡信息系統的安全可靠性。(2)建立有效的網絡安全保障體系。一是網絡信息安全組織保障體系作為網絡信息安全組織、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定,建立的網絡安全保障體系可以在完善信息安全管理與控制的流程上發揮重要作用;二是網絡信息安全技術保障體系作為網絡安全保障體系的重要支撐,有效利用訪問控制、身份鑒別、數據完整性、數據保密性等安全機制,是實現網絡安全防護的重要技術手段;三是網絡信息安全運維保障體系可以通過對網絡信息系統的安全運行管理,實現整個網絡信息系統安全監控、運行管理、事件處理的規范化,充分保障網絡信息系統的穩定可靠運行。
3.3 建立網絡安全保障體系組織架構。網絡安全組織體系是網絡信息安全管理工作的保障,以保證在實際工作中有相關的管理崗位對相應的控制點進行控制。因此,需要根據該組織的網絡信息安全總體框架結合實際情況,確定該網絡組織信息安全管理組織架構。其中,網絡安全保障體系組織架構主要包括如下內容:一是網絡信息安全組織架構。針對該組織內部負責開展信息安全決策、管理、執行和監控等工作的各部門進行結構化、系統化的結果;二是信息安全角色和職責,主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責;三是安全教育與培訓。主要包括對安全意識與認知,安全技能培訓,安全專業教育等幾個方面的要求;四是合作與溝通。與上級監管部門,同級兄弟單位,本單位內部,供應商,安全業界專家等各方的溝通與合作。
3.4 建立網絡安全保障體系管理體系。(1)網絡訪問控制。用戶訪問管理規范及對應表單、網絡訪問控制規范與對應表單、操作系統訪問控制規范及對應表單、應用及信息訪問規范及對應表單、移動計算及遠程訪問規范及對應表單。(2)網絡通信與操作管理。網絡安全管理規范與對應表單、Internet服務使用安全管理規范及對應表單、惡意代碼防范規范、存儲及移動介質安全管理規范與對應表單。(3)網絡信息系統的獲取與維護。網絡信息系統的獲取與維護即要求明確網絡信息安全項目立項管理規范及對應表單、軟件安全開發管理規范及對應表單和相關的軟件系統。
參考文獻:
篇(5)
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-098X(2016)12(b)-0100-02
電力公司的安全防護體系根據省、市、縣安全防護不同層面防護要求各有側重、相互支撐、互為補充。根據各信息系統重要程度設計安全防護體系“三橫四縱”的總體架,建立信息安全防護體系。
1 信息安全防護策略設計目標
信息安全保障體系的建設緊緊圍繞安全管理、安全技術和安全運維3個方面,在每個方面都有相應的具體目標。達到這個目標就能為綜合服務平臺構建一個多層次、多角度的立體縱深防御體系。
安全管理的建設目標:
確定安全組織和責任劃分,確定安全策略,確定信息資產分類和分級。
實現安全變更管理、安全補丁管理、安全備份管理、應急響應計劃、業務持續性計劃、安全核心流程。
安全培訓與教育、安全控制要求:
對信息資產進行風險評估,達到ISO27001管理標準。
安全技術的建設目標:
根據業務需求劃分不同的安全域,安全邊界進行防護。
實現安全系統強化功能、建立網絡和主機入侵檢測機制、實現高危數據加密傳輸、關鍵系統的日志審計、建立病毒防范體系、建立身份認證體系、訪問控制體系、遠程訪問安全機制。
建立數據安全存儲體系、時間同步機制、集中安全審計體系、安全事件管理平臺。
安全運維的建設目標:
建立定期風險評估機制。
定期對日志進行審計、定期進行滲透測試。
完善安全信息上報機制、定期對安全策略和標準進行評估和修訂。
顯示安全的運維外包。
2 電力信息安全建設體系內容
電力信息系統信息安全保障體系采用了“三橫四縱”的總體架構,即橫向上分為3個層次,分別為應用層、技術層、管理層;技術層次中縱向又分為4種主要體系,即以基礎安全服務設施、數據安全保護、網絡接入保護、平臺安全管理為支柱,信息安全基礎設施為基礎,通過信息安全管理體系為業務應用提供可靠的安全保障。
一是應用層。這是安全保障體系的主要對象。信息化建設的終極目標是提供給用戶好用、易用、夠用的應用系統,應用系統是為了滿足不同用戶的不同業務需求,安全保障體系保障的核心就是應用系統及其數據。
二是技術層。這是信息安全保障體系的主要體系。目前包括技術支撐體系、技術保障體系、網絡信任體系、安全服務體系。這4種體系已經經過多年的探索和建立,應該說已經覆蓋了技術上的所有方面。
三是管理層。包括等級保護安全策略、安全管理制度、法律法規和技術標準。通常說“三分技術、七分管理”,再好的技術也需要完善的管理才能保證技術發揮最大的效能。
3 信息安全防護設計
電力系統是一個由內網、外網兩種網絡域構成的龐大信息系統。各個網絡域執行著不同的服務內容:內網是一個完整的電力系統辦公自動化環境,外網擔負著與公眾間信息溝通的責任。
如此復雜的應用環境給系統帶來了大量潛在的安全隱患:黑客利用外網或專網攻擊內部網絡、數據在傳輸過程中的泄露、網頁遭篡改、偽造身份進入系統、操作系統漏洞、病毒等。這些安全隱患不可能依靠某種單一的安全技術就能得到解決,必須在電力信息系統整體安全需求的基礎上構筑一個完整的安全服務體系。
構建一個完整的安全防護體系有組織地實現上述安全需求,我們提出的安全保障平臺由基礎安全服務設施、數據安全保護、網絡接入保護、平臺安全管理組成。
(1)基礎安全服務設施。
基礎安全服務設施防護設計主要包括部署平臺的應用系統的身份認證與訪問控制、基礎環境安全保護(訪問控制、防火墻、入侵檢測、安全審計、VPN)。
(2)數據安全保護。
數據安全保護方案是為部署在電力信息系統提供數據傳輸、數據訪問和數據存儲備份恢復的安全保障措施,主要分為4類:應用保護、數據傳輸交換保護、數據備份與恢復設計。
(3)網絡接入保護。
統一管理集中建設互聯網接入點,實現電力各部門互聯網的安全接入和可管可控可剝離;各部門在統一的安全技術體系下,根據各自信息下發指令信息包括針對省級安全等級,建設、升級、完善安全系統;依托平臺建設省級安全接入機制,實現與接入統一監控、統一管理和統一服務。
(4)平臺安全管理。
安全管理體系是信息安全保障體系建設的一個重要環節,安全管理體系的建設內容包括:建立完善等級保護安全管理機構、安全管理制度、人員安全管理、系統建設運維管理、系統運維管理。
4 結語
該課題對電力公司信息安全防護策略和防護設計進行研究,電力信息化安全服務平臺也基于電力信息系統安全需求設計安全防護體系,面向系統管理員、安全管理員提供安全保障,為各級信息化安全管理對安全監管、信息共享和提供安全保障支撐。
參考文獻
[1] 高鵬,范杰,郭騫.電力系統信息安全技術督查策略研究[C]//電力通信管理暨智能電網通信技術論壇論文集.2012.
[2] 余勇,林為民,俞鋼.電力信息系統安全保障體系的研究[C]//2004年世界工程師大會電力和能源分會場論文集.2004.
篇(6)
校園網安全系統的建設目標是根據學校信息網絡結構和應用模式,針對可能存在的安全漏洞和安全需求,在不同層次上提出安全級別要求,并提出相應的解決方案,制訂相應的安全策略,編制安全規劃,采用合理、先進的技術實施安全工程,加強安全管理,保證系統的安全性。
對于這樣規模龐大、結構復雜、涉及人員眾多的網絡體系需要建立全網安全保障系統,針對不同的業務特征進行合理的安全保障,確保業務系統的安全運行。
我們在設計學校信息安全保障體系的過程中,借鑒IATF的信息安全保障體系模型構建學校信息安全保障體系的技術體系和管理體系,這些體系構成學校所需的安全體系。在技術體系和管理體系中的安全控制和對策的選擇和定制中,采用“最佳實施”方法,通過列舉滿足實際需求和實際應用來構造安全保障體系。
在學校安全保障體系設計過程中,整體性一直是最核心的問題,因此為了保障安全體系具有一定的完整性,避免對安全問題的遺漏,需要在方法論中引入了安全框架模型。
安全保障體系框架示意圖
上圖中,最下層是安全體系要保護的對象,根據信息資產邏輯圖,將保護對象分成計算區域、區域邊界、通信網絡和基礎設施(指PKI/PMI/KMI中心和應急響應中心)等。計算區域部分主要指提供業務的網絡服務,計算區域內部可以根據學校信息化的實際需求進一步細分為子區域,邊界和通信網絡。對不同區域、邊界和通信網絡,其安全需求是不同的。保護對象框架將學校信息系統的安全問題細分為一組結構化的安全需求。
通過將對策框架中的所有安全控制中的策略,組織,技術和運作分別提煉,組成相應的策略體系、組織體系、技術體系和運作體系。每個體系由對策框架組成,對策框架由一組安全控制組成,這些安全控制是根據保護對象中的安全需求設計和選擇出來的。每一條安全控制都包含策略,組織,技術和運作四個要素。
在校園網的信息系統安全等級保護方面,國內尚未制定相關標準,但可以參考公安部制定的《信息系統安全等級保護基本要求》進行設計。基本安全要求分為基本技術要求和基本管理要求兩大類。技術類安全要求與信息系統提供的技術安全機制有關,主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現;管理類安全要求與信息系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面做出規定來實現。
基本技術要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個層面提出;基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出,基本技術要求和基本管理要求是確保信息系統安全不可分割的兩個部分。
根據公安部《信息系統等級保護技術要求》中相應技術要求,以滿足物理安全、網絡安全、主機安全、應用安全、數據安全及存備份恢復等幾方面的基本要求為前提。
在基于人、技術及運行的信息安全縱深防御體系中,對人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架,該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標準與規范、安全政策、安全法律法規與標準、安全培訓以及安全規范。
安全管理體系框架圖
安全策略作為建立安全機制必須首要考慮的核心,它對安全措施的具體實踐提供指導和支持。制定一套系統、科學的安全策略是指導學校等級化信息安全保障體系安全建設的重要內容。
建立安全組織機構、完善安全管理制度,建立有效的工作機制,做到事有人管,職責分工明確是有效防范由于內部人員有意無意對系統造成破壞的有效保障措施。
在組織安全方針、安全策略、安全制度與管理方法、安全標準與規范的建設過程中充分體現國家安全政策、安全法律法規與標準是組織充分保障信息系統安全的基礎。國家安全政策、安全法律法規與標準從國家和行業的角度制約信息安全,組織必須遵循國家和相關主管部門關于信息系統安全方面的法律法規、政策和制度。
篇(7)
1而目前,隨著互聯網和網絡技術的發展,對于政府或企業的信息系統來講,更是面臨著更大的風險和挑戰。這就使得更多的用戶、廠商和標準化組織都在尋求一種完善的體系,來有效的保障信息系統的全面安全。于是,網絡安全保障體系應運而生,其主要目的是通過信息安全管理體系、信息安全技術體系以及信息安全運維體系的綜合有效的建設,讓政府或企業的網絡系統面臨的風險能夠達到一個可以控制的標準,進一步保障網絡信息系統的安全穩定運行。
網絡安全保障體系是針對傳統網絡安全管理體系的一種重大變革。它依托安全知識庫和工作流程驅動將包括主機、網絡設備和安全設備等在內的不同資產和存放在不同位置中的大量的安全信息進行范式化、匯總、過濾和關聯分析,形成基于資產/域的統一等級的威脅與風險管理,并對威脅與風險進行響應和處理,該系統可以極大地提高網絡信息安全的可控性。
2網絡安全保障體系的作用。網絡安全保障體系在網絡信息安全管理中具有十分重要的作用,主要體現在如下三個方面:首先,網絡安全保障體系可以對整個網絡系統中不同的安全設備進行有效的管理,而且可以對重要的網絡通信設備資產實施完善的管理和等級保護;其次,網絡安全保障體系可以有效幫助網絡安全管理人員準確分析現有網絡信息系統所面臨的安全威脅,從而可以幫助管理人員制定合理的網絡安全應急響應流程;最后,網絡安全保障體系可以通過過對網絡風險進行量化,實現對網絡風險的有效監控和管理。
網絡安全保障體系的構建策略
1確定網絡安全保障體系構建的具體目標。網絡安全保障體系建設是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分,通過信息安全治理來達到具體的建設目標。其中,信息安全的組織體系是指為了在某個組織內部為了完成信息安全的方針和目標而組成的特定的組織結構,主要包括決策、管理、執行和監管機構四部分組成;信息安全的策略體系是指信息安全總體方針框架、規范和信息安全管理規范、流程、制度的總和。
篇(8)
中圖分類號:TP393.08
隨著現代科技尤其是網絡技術和電腦科技的發展,各政府機關都已建立起計算機網絡,并通過聯網技術在工作中進行信息交流和資源共享。這對于各個行政機關加強部門管理,并實現監督所屬管轄范圍的企事業單位的要求具有相當的幫助。不可否認的是,網絡信息往往會面臨許多安全方面的問題。
行政機關的所使用的網絡信息系統通常是需要聯網使用的,通過該系統建立的平臺,為工作人員提供信息的交流、傳遞、管理以及其他業務的辦理等多種服務。同時該系統的內部數據庫還可以對網絡資源或信息進行采集、管理和,并為相關的行政部門提供服務,以有助于其開展網絡視頻會議或實現審批流程的順利進行,等等。因而成為了各部門工作開展的必備手段并有利于其工作效率的提高。
由于各行政機關的數據檔案等往往具有不對外公開的性質,因此對于計算機網絡來說,在滿足各部門的工作需求的基礎上,還應具有易操作性以及高度的保密性和安全性。而實際上網絡信息在傳遞和管理時往往會面臨許多不安全的問題如黑客和惡意軟件的攻擊等,因此應對計算機網絡信息安全予以高度保障。
1影響計算機網絡信息安全的各個要素
由于計算機網絡的結構體系比較復雜,且其各個結構存在著較大的差異,因而容易導致兼容性方面出現問題。此外,國際標準化組織根據互聯網模型的開放系統將網絡信息的傳遞和互動劃分為七層,以保證各種網絡信息都能在與其相適的結構層次上展開互動和交流。以下將根據這些層次結構的規劃,對影響計算機網絡信息安全的各個要素進行討論并提出相應的安全保障策略。
1.1系統方面的安全要素
系統方面的安全要素指的是除硬件之外的軟件系統環境。其安全性集中地體現為總部服務器及其下屬終端系統的網絡操作安全。其有效性主要在于操作系統內部所存在的缺陷及其對于安全方面所進行的配置、用戶在機制進行操作和管理時的認證或訪問身份方面的安全保障以及針對系統方面的各種攻擊所展開的防御等等。
1.2網絡方面的安全要素
網絡方面的安全要素主要是指在進行信息傳遞和互動時的安全保障措施。它主要體現為保障網絡傳輸時的信息完整和內容隱私;保證信息資源、網絡系統以及訪問者的身份認證等方面的機制控制安全;保障系統及其硬件設備對于惡意攻擊的檢測和預防等方面的安全以及域名解析系統的安全性等等。
1.3管理和應用方面的安全要素
網絡信息在管理和應用方面的安全要素是指在對網絡數據庫和信息應用軟件的安全性進行考慮的基礎上,對包括網絡設備的技術和安全管理、安全管理規范和制度、機構人員的安全組織培訓、網絡信息應用平臺、web服務器、電子郵件系統、網絡信息系統、以及來自于病毒軟件的威脅等方面展開的安全保障措施。
1.4物理方面的安全要素
物理方面的安全要素主要有網絡設備、通信線路以及相應的環境安全保障等等。其中主要是指設備的互動鏈接所遵守的物理協議標準、網絡信息的傳輸線路與通信線路的安全性、軟、硬件設備所具有的抗干擾性、設備運行時的空氣溫濕度及清潔度等方面的網絡環境條件和電源方面的安全保障和備用等要素。
2網絡安全模型及相應的安全保障策略
2.1網絡安全模型
想要更好地保障行政機關計算機網絡信息安全就應該建立起人員、技術和管理三者合一的全面的網絡安全模型,從而對行政機關計算機網絡信息安全提供全方位的保證。
其中人員是決定所建設的網絡信息安全模型是否有效的關鍵因素。這是因為工作人員既是對技術進行安全操作的主體,又是開展安全管理的主要參與者。其中,工作人員的業務水平和知識結構是安全有效性得以保障的重要影響因素。
技術則是指網絡信息互動時所使用的服務和設備方面的支持以及其他所需要的技能和工具,它是實現網絡信息安全的基本保證。而管理是指對網絡信息安全的流程進行策劃和組織等方面。工作人員對行政機關計算機網絡信息安全管理的決策判斷也是影響安全保障有效性的關鍵。
此外,由于行政機關的計算機網絡信息安全需要時常進行檢查以便及時發現問題并進行改善,因此在建構網絡安全模型時要按照“防護、檢測、發現、改善和防護”的循環策略開展相關的工作。
2.2相應的安全保障策略
(1)系統安全保障策略。通過采用性能穩定的Linux這樣的多方網絡操作系統來奠定服務器運行的環境基礎,以嚴格控制權限并驗證身份的方式來實現安全保障,同時對用戶登陸、資料審計以及文件簽名等環節進行控制以檢測并維護系統安全,并經常升級系統、補齊漏洞以保障系統安全的恢復,此外還可對用戶進行系統操作的權限進行定時更新。(2)網絡安全保障策略。通過采用服務器、防火墻、訪問控制列表、防病毒軟件和掃描器等安全措施來保障網絡安全,并利用網絡三層交換機對不同的網絡服務需求進行劃分,對所劃分的網段主機及其子網的檢測節點用入侵檢測系統進行掃描,再制定出的相應的安全策略并做出相應的分析、執行和改善,以此來提高網絡信息的安全保障。(3)管理和應用安全保障策略。通過控制訪問權限并時常更新、驗證身份并對訪問組件進行加密的方式來實現安全保障,同時經常檢測應用程序日志和散列的文件簽名并建立起相關的安全管理制度以及相關的人力資源組織規則和標準,事件發生后要及時通知使用者,并通過對數據進行備份的措施來實現數據恢復,制定出緊急響應預案并統計違規操作行為,時常更新或調整網絡安全的組織流程,并培訓工作者的相關技能。(4)物理安全保障策略。通過消防、環境隔離門禁、溫濕度控制以及設備保護等系統的采用實現物理安全保障,同時配備相應裝置進行探測和感應,通過監控中心的自動響應設備對發生的事故進行自動保護,同時相關工作人員也及時發現問題并予以正確處理,定時檢測網絡安全設備并對其軟、硬件進行修復或更換,若有必要可硬更換新設備。(5)重視各行政機關工作人員的安全作用。對于行政機關計算機網絡信息安全的維護,除了上述安全保障措施以外,還應重視各行政機關工作人員的安全作用。這是保障網絡信息安全的重要因素,因為上述各方面的要素無法排除工作人員的參與。具體說來,發揮人員方面的作用主要有以下幾點。首先有關部門的領導應對網絡信息安全予以高度重視。其次在于相關工作人員應有意識地增加信息安全知識以提高自身的網絡信息安全意識。再次是網絡技術人員要經常對設備進行巡檢并定期維護并修正相應的安全策略。最后管理人員還應對員工的安全問題進行定期檢查。
3結論
綜上所述,對行政機關的計算機網絡信息安全實施保障需要調動許多方面的安全因素,從而展開全面細致的系統維護,這就要求有關工作人員有意識地在實際操作中增加自己的知識和經驗,實現人員、技術和管理三位一體的安全系統,以更好地保障行政機關的網絡安全。
參考文獻:
[1]胡世昌.計算機網絡安全隱患分析與防范措施探討[J].信息與電腦(理論版),2010(10).
[2]王薪凱,姚衡,王亨.計算機網絡信息安全與防范[J].硅谷,2011(04).
篇(9)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:2095-1302(2016)11-0-03
0 引 言
隨著電子政務外網的發展,各省市電子政務外網平臺的建設均已成熟,多數省市電子政務外網平臺建設之初采用的是物理機傳統架構部署方式。隨著信息技術的發展,云計算技術應運而生,電子政務云平臺的建設風生水起。然而無論是傳統架構還是在云計算環境下,電子政務外網平臺面臨的風險越來越多,本文就這兩種架構下電子政務外網平臺的安全如何建設進行分析,提出相應的解決方案。
1 建設方案
電子政務外網平臺的安全建設應根據業務應用特點及平臺架構層特性,應用入侵檢測、入侵防御、防病毒網關、數據加密、身份認證、安全存儲等安全技術,構建面向應用的縱深安全防御體系。電子政務外網平臺安全建設可從分析確定定級對象及安全等級、構建安全保障體系、明確安全邊界、安全技術保障、安全運維保障、安全制度保障、云計算環境下電子政務外網平臺安全保障幾方面考慮。
1.1 分析確定定級對象及安全等級
信息系統安全等級共分為五級,根據“中華人民共和國國家質量監督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術 信息系統安全等級保護定級指南(GB/T 22240-2008)》,結合國家相關行業標準規范,分析確定定級對象及安全等級。本文以構建信息系統安全等級第三級標準安全建設進行探討。
1.2 構建安全保障體系
電子政務外網平臺安全保障可從安全技術保障、安全運維保障、安全制度保障三個方面著手考慮,根據“中華人民共和國國家質量監督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術 信息系統安全等級保護定級基本要求(GB/T 22239-2008)》進行建設。物理機傳統架構下的電子政務外網平臺安全保障體系架構如圖1所示。
1.3 明確安全邊界
1.3.1 安全邊界劃分原則
安全邊界劃分原則[1]如下所示:
(1)以保障電子政務外網平臺信息系統的業務、管理、控制數據處理活動、數據流的安全為根本出發點,保障平臺安全;
(2)每個安全域的信息資產價值相近,具有相同或相近的安全等級、安全環境、安全策略等;
(3)根據“信息安全等保”要求,網絡規劃時避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間采取可靠的技術隔離手段;
(4)根據《國家電子政務外網跨網數據安全交換技術要求與實施指南》,部署數據安全交換隔離系統,保障數據交換安全;
(5)對接入邊界進行安全防護。
1.3.2 安全邊界劃分
電子政務外網平臺可劃分為DMZ區、內部數據中心、互聯網出口區、安全及運維管理區、邊界接入區五大區域。電子政務外網安全邊界劃分圖如圖2所示。
(1)DMZ區
DMZ區部署面向互聯網的業務系統,包括門戶網站、郵件服務等,應根據實際需求部署相應的安全策略。
(2)內部數據中心
內部數據中心區部署協同辦公等內部應用系統,可根據實際需求分為多個邏輯區域,如辦公業務區、測試區等,應根據實際需求部署相應安全策略。
(3)互聯網出口區
互聯網出口區為電子政務外網平臺互聯網接入邊界,與運營商網絡直連。該區域直接面向互聯網出口區域,易被不法分子利用網絡存在的漏洞和安全缺陷對系統硬件、軟件進行攻擊,可在該區部署相應的防火墻策略,并結合入侵防御、安全審計等技術提供立體的、全面的、有效的安全防護,允許合法用戶通過互聯網訪問電子政務外網。
(4)安全及運維管理區
提供安全管理運維服務,保障電子政務外網平臺的安全。提供統一網絡管控運維服務,保障整網設備及業務系統信息正常運行。
(5)邊界接入區
根據國家相關規范,對專網、企事業接入單位或其它系統接入電子政務外網時,應在訪問邊界部署防火墻、入侵防御系統,與“政務云”實現物理邏輯隔離,進行安全防護。
1.4 安全技術保障
采用傳統架構的電子政務外網平臺技術安全保障可從物理安全、網絡安全、主機安全、應用安全、數據安全五個方面進行考慮,可通過部署相應產品或配置服務進行安全保障。
1.4.1 物理安全
物理安全主要涉及環境安全(防火、防水、防雷擊等)設備和介質的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面。該部分主要體現為機房及弱電的建設標準、規范,技術環節應符合相關等級保護要求。
1.4.2 網絡安全
網絡安全主要包括網絡結構、網絡邊界以及網絡設備自身安全等,具體包括結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護七個方面,關鍵安全技術保障措施如下所示:
(1)劃分安全域,根據各安全域安全建設需求采用相應的安全策略。
(2)通過合理部署IPS、防火墻對網絡進行邊界隔離和訪問控制,并實現對網絡攻擊的實時監測,即時中斷、調整或隔離一些不正常或具有傷害性的網絡行為。
(3)部署防DDoS攻擊設備,及時發現背景流量中各種類型的攻擊流量,針對攻擊類型迅速對攻擊流量進行攔截,保證正常流量通過。
(4)可在互聯網出口處部署鏈路負載均衡設備,加強網絡數據處理能力、提高網絡的靈活性和可用性。
(5)采用上網行為管理、流量控制等設備,對網絡流量進行實時監控管理,實現員工對終端計算機的管理和控制,規范員工上網行為,提高工作效率,實現流量控制和帶寬管理,優化網絡。
(6)對關鍵設備采用冗余設計,并在重要網段配置ACL策略以保障帶寬優先級。
(7)采用安全審計技術,按照一定的安全策略,利用記錄、系統活動和用戶活動等信息,檢查、審查和檢驗操作事件的環境及活動,從而發現系統漏洞、入侵行為或改善系統性能。
1.4.3 主機、應用安全
主機安全主要包括訪問控制、安全審計、剩余信息保護、惡意代碼防護等幾個方面。應用安全主要包括身份鑒別、訪問控制、安全審計、抗抵賴性等幾方面,關鍵安全技術保障措施如下所示:
(1)惡意代碼可直接利用操作系統或應用程序的漏洞進行傳播,可部署惡意代碼監測、病毒防護系統及漏洞掃描等系統,通過主動防御可有效阻止病毒的傳播,及時發現網絡、主機、應用及數據庫漏洞并修復,保障電子政務外網平臺安全。
(2)利用身份認證技術及訪問控制策略等技術保障主機應用安全,不允許非預期客戶訪問。
(3)運用審計技術保障主機應用安全,實時收集和監控信息系統狀態、安全事件、網絡活動,以便進行集中報警、記錄、分析、處理。
(4)采用應用負載均衡技術、操作系統用戶登錄等技術實現資源的優化控制。
(5)可部署Web應用防火墻、網頁防篡改等系統,做到事前主動防御,智能分析、屏蔽或阻斷對目錄中的網頁、電子文檔、圖片、數據庫等類型文件的非法篡改和破壞,保障系統業務的正常運營,全方位保護Web應用安全。
1.4.4 數據安全
數據安全主要包括數據的保密性、完整性及備份和恢復,關鍵安全技術保障措施如下所示:
(1)可對不同類型業務數據進行物理上或邏輯上隔離,并建設數據交換與隔離系統以保障不同安全等級的網絡間的數據交換安全。
(2)采用雙因素認證進行數據訪問控制,不允許非預期客戶訪問,對違規操作實時審計報警。
(3)采用VPN、數據加密、消息數據簽名、摘要等技術對數據傳輸進行加密,防止越權訪問機密信息或惡意篡改。
(4)采用數據庫冗余部署,防范數據丟失風險,為業務系統穩定運行提供保障,可考慮建設同城或異地容災。
(5)部署數據庫審計設備可在不影響被保護數據庫性能的情況下,對數據庫的操作實現跟蹤記錄、定位,實現數據庫的在線監控,為數據庫系統的安全運行提供了有力保障。
1.5 安全運維保障
安全運維保障可通過安全管理平臺,建立與安全工作相配套的集中管理手段,提供統一展現、統一告警、統一運維流程處理等服務,可使管理人員快速準確的掌握網絡整體運行狀況,整體反映電子政務外網平臺安全問題,體現安全投資的價值,提高安全運維管理水平。安全運維管理平臺需考慮與安全各專項系統、網管系統和運管系統之間以及上下級系統之間的接口。
1.6 安全制度保障
面對形形的安全解決方案,“三分技術、七分管理”。若僅有安全技術防護,而無嚴格的安全管理相配合,則難以保障網絡系統的運行安全。系統必須有嚴密的安全管理體制來保證系統安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮,建立完善的應急體制。
1.7 云計算環境下電子政務外網平臺的安全保障
云技術是基于云計算商業模式應用的網絡技術、信息技術、整合技術、管理平臺技術、應用技術等的總稱,可以組成資源池,按需所用,靈活便利。隨著時代的發展,云計算技術已變成信息系統主流基礎架構支撐。由于云計算平臺重要支撐技術是采用虛擬化實現資源的邏輯抽象和統一表示,因此在云計算環境下進行電子政務外網云平臺安全保障體系建設,僅僅采用傳統的安全技術是不夠的,除滿足上述物理安全、網絡安全、主機安全、應用安全、數據安全技術保障,運維安全保障,安全制度保障需求之外,還應考慮虛擬化帶來的新的安全風險。云計算環境下電子政務外網云平臺安全保障體系如圖3所示。
1.8 虛擬化安全
當前,云計算虛擬化安全技術還不成熟,對虛擬化的安全防護和保障技術測評則成為云環境等級保護的一大難題,主要涉及的安全包括虛擬機逃逸防范、虛擬機通信風險、虛擬機管理平臺安全等方面。可采取如下安全保障措施[2]:
(1)將可信計算技術與虛擬化技術相結合,構建可信的虛擬化平臺,形成完整的信任鏈;
(2)可建設分級訪問控制機制,根據分層分級原則制定訪問控制策略,實現對平臺中所有虛擬機的監控管理,為數據的安全使用和訪問建立一道屏障;
(3)可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網關等技術實現虛擬機間的安全隔離。
2 SDS安全保障技術簡介
軟件定義安全(Software Defined Security,SDS)是從軟件定義網絡(Software Defined Network,SDN)延伸而來,將安全資源進行池化,通過軟件進行統一調度,以完成相應的安全功能,實現靈活的安全防護。簡單來說,傳統的安全設備是單一防護軟件架構在一臺硬件設備之上,通常串接或旁掛于網絡中,不僅將網絡結構復雜化,對不同廠家的安全設備進行統一管理的復雜度也較高,需單獨的物理安裝空間。而SDS可以將其看作一個軟件,靈活調配安全設備資源,實現靈活的網絡安全防護框架,方便調整。
3 結 語
在大數據時代下,SDS是順應時展趨勢、簡化安全管理的訴求,但由于SDS應用尚未完全成熟,仍需經過實踐的檢驗。
篇(10)
隨著網絡技術的發展和應用需求的牽引,網絡規模和應用范圍不斷擴大,網絡安全風險變得更加嚴重和復雜。凡是涉及到保障銀行正常營業的所有問題,如信息技術設備和金融信息系統軟件的正常運行、信息系統中業務信息及商業機密的妥善保存等,都與金融信息系統的安全有關,都要采取相應的安全風險防范措施。目前,針對互聯網的應用還缺乏有效的安全措施和手段,這嚴重限制了銀行系統通過互聯網對外提供服務的范圍和種類,迫切需要構建更加科學合理的金融信息系統安全保障體系。
1金融信息系統安全保障體系總體架構
金融信息系統安全保障體系包括物理安全、系統安全、網絡安全、應用安全和安全管理,其總體架構見圖1.
2安全保障系統構成
下面從物理安全、系統安全、網絡安全、應用安全和安全管理等方面來描述金融信息系統安全保障系統的構成.
2. 1物理安全
物理安全是保障整個網絡與信息系統安全的前提。物理安全主要涉及環境安全、設備安全和介質安全。環境安全主要是指防雷、防水、防火、防電磁輻射等內容;設備安全主要包括設備的防盜、防毀、防止線路被截獲、抗電磁干擾及電源保護等;介質安全指存儲數據信息的介質安全。
2. 2系統安全
1)網絡結構安全主要指網絡拓撲結構是否合理、線路是否有冗余。
2)操作系統安全指應采用安全性較高的網絡操作系統,關閉不常用卻存在安全隱患的應用,對一些保存有用戶信息及其口令的關鍵文件的使用權限進行嚴格限制。
3)應用系統安全應用服務器盡量關閉不經常使用的協議及協議端口號,加強登錄身份認證,嚴格限制登錄者的操作權限,將其完成的操作限制在合法的范圍內。
4)系統備份與恢復機制它是保護金融信息系統崩潰后快速恢復的重要技術措施,在系統運行時,應采取必要的技術手段對網絡及主機設備配置、金融業務系統等進行備份,在故障或災難發生時,迅速恢復系統到最新狀態。
2. 3網絡安全
1)隔離與訪間控制機制該機制可根據不同用戶安全級別或不同部門的安全需求,利用3層交換機來劃分虛擬子網(vlan);在不同業務系統之間劃分mpls vpn,實現受控互訪、隔離和信息共享;在網絡中配備防火墻,實現網絡內外或網絡內部不同安全域之間的隔離與訪問控制。
2)通信保密通過采取數據鏈路層和網絡層加密等措施,實現對網絡中重要信息傳送的保護。
3)入侵檢測根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應,從而防止針對網絡的攻擊與犯罪行為。
4)網絡安全掃描系統通過對網絡中所有部件進行掃描、分析和評估,發現并報告系統存在的弱點和漏洞,評估安全風險,提出補救措施等。
2.4應用安全
1)訪問控制根據金融信息系統建設的需要,采取自主訪問控制或強制訪問控制機制,對用戶和資源分配不同的授權級,以控制用戶對資源的訪問。
2)身份識別和驗證涉及到收集驗證數據、安全傳輸數據、查證當前用戶是否仍是目前使用系統的用戶等。
3)數據備份與恢復機制該機制是保護金融系統中數據資源的重要技術措施。在業務應用系統運行時,應采取磁盤鏡像、磁盤陣列、磁帶庫等技術手段,對數據信息進行備份,并在故障或災難發生時,采取適當的恢復策略,修復系統中被破壞的或不正確的數據,使之恢復到一致性狀態。
4 ) pk/ca認證系統通過建立該系統,實現網絡訪問的身份認證和訪問控制,同時還可實現網絡文件傳輸的保密性、真實性、完整性和文件的抗抵賴性。
2. 5安全管理
金融信息系統是一個包括橫向、縱向連接的多級網絡,運行著多個業務系統。為實現對金融信息系統的安全管理,應設置安全管理中心,對安全事件、設備故障信息等進行集中分析和處置,并在此基礎士實施統一規劃、集中管理、嚴格規章、明確責任和動態監控,確保金融信息系統安全可靠運行。
3安全保障措施
3. 1設置安全保障策略
1)總體安全策略在金融信息系統安全保障體系構建中,應遵循以下總體安全策略圈:①未經允許的訪問都要嚴格禁止;②允許的訪問都要經過認證、授權才能進行;③重要信息在網上傳輸要經過加密措施。
2)網絡邊界安全策略和聯動策略在金融信息系統網絡和internet之間設置防火墻,以隱藏和保護金融信息系統網絡;在網絡核心節點與各業務系統局域網邊界之間設置防火墻,允許授權用戶訪問該局域網內的特定資源;按業務和行政歸屬,在橫向和縱向網絡上通過采用mpls vpn技術進行vpn劃分,實現有效隔離;網絡設備如防火墻、人侵檢測系統、交換機、路由器、網絡防病毒系統和訪問控制系統等,既可以單獨運行,還可以通過聯動策略,一旦發現非法人侵,人侵檢測系統會通知相應的安全產品實施聯動保護,有效地確保金融信息系統網絡的安全。
3. 2部署安全技術和安全產品
為確保金融信息系統的安全可靠運行,遵循安全保障體系總體架構和安全保障策略,應在金融信息系統中部署相應的安全技術和安全產品。
1)劃分安全域根據金融信息系統的功能及業務特征,按照等級保護思想,將其劃分為省網絡管理中心局域網、省級城域網接入單位的接人網絡等安全區域,對不同安全域實施等級保護,既方便了用戶使用,又加強了安全防護。
2)防火墻技術防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵人,通過監測、限制、更改跨越防火墻的數據流,盡可能對外部屏蔽網絡內部的信息、結構和運行狀況,以此實現網絡的安全保護。
3)mpls vpn技術由于金融信息系統承載多個相對獨立的業務系統,各業務系統為不同的職能部門開展業務提供服務。因此,應采用mplsvpn技術,按照業務系統和業務類型進行縱向vpn和橫向vpn劃分,實現不同業務系統之間的安全隔離及全網對不同業務系統的統一管理。
4)人侵檢測系統在金融信息系統中設置人侵檢測系統,對系統的網絡安全狀態進行定期的檢查,對人侵事件進行報警并記錄,并通過完整的安全策略,利用人侵檢測系統與防火墻的有效互動,對網絡系統實施全方位保護。
5)防病毒系統在網絡中對所有可能造成危害的病毒源或通道配置對應的防病毒軟件。該系統提供集中式的管理,將反病毒程序的安裝、執行、預約掃描、更新升級、病毒碼分發和共享等日常的管理維護工作化繁為簡,對病毒進行實時監控,使網絡免遭病毒的人侵和危害。
6)違規外聯監控系統通過該系統對非法連接國際互聯網行為進行監測,對網絡系統內的主機撥號、雙網卡、服務器等多種上網行為進行集中統一管理。違規外聯監控系統根據監控策略,可對非法連接進行切斷或報警,同時記錄、存儲、查詢相關信息。
7)安全評估系統該系統對工作站、服務器、交換機、數據庫應用等各種對象可能存在的安全漏洞進行逐項檢查,根據掃描結果向系統提供安全性分析報告。安全掃描技術與防火墻、人侵檢測系統互相配合與聯動,能夠提供安全性更高的網絡。
