公務員期刊網(wǎng) 精選范文 網(wǎng)絡安全等級劃分范文

網(wǎng)絡安全等級劃分精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全等級劃分主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡安全等級劃分

第1篇:網(wǎng)絡安全等級劃分范文

【關(guān)鍵詞】安全等級;四級;TDCS;接入安全

1 TDCS與《信息安全等級保護管理辦法》中四級基本要求的差距

1.1 四級基本要求介紹

《信息安全等級保護管理辦法》中四級的基本要求有2大方面即管理要求與技術(shù)要求。

1.1.1 管理要求

該部分分為5個方面:安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。

1.1.2 技術(shù)要求

要求分為5個方面:物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復。下面就這5個方面進行簡單介紹。

1)物理安全

規(guī)定了系統(tǒng)設備的物理環(huán)境,避免常見自然或人為災害的影響。

2)網(wǎng)絡安全

結(jié)構(gòu)安全:規(guī)定了結(jié)構(gòu)上要保證冗余并根據(jù)職能和重要性進行網(wǎng)段劃分,通道上要保證訪問路徑的安全和帶寬,邊界上保證與其它網(wǎng)絡的可靠隔離。

訪問控制:邊界上要部署訪問流量的控制設備,進行訪問控制;內(nèi)部嚴禁開通遠程撥號功能。

安全審計:集中審計運行情況、流量、用戶行為,便于分析問題以及數(shù)據(jù)恢復。

入侵防范:監(jiān)測網(wǎng)絡邊界的攻擊行為,并定位記錄和即時報警。

惡意代碼防范:在內(nèi)部及時更新防范的代碼庫,在邊界要做到檢測和清除惡意代碼。

3)主機安全

規(guī)定了身份鑒別、安全標記、訪問控制、可信路徑、安全審計、信息保護、入侵防范、惡意代碼防范及資源控制。

4)應用安全

規(guī)定了身份鑒別、安全標記、訪問控制、可信路徑、安全審計、信息保護、通信的完整性和保密性、軟件容錯、資源控制、抗抵賴。

5)數(shù)據(jù)安全及備份恢復

規(guī)定了數(shù)據(jù)的完整性和保密性,以及備份數(shù)據(jù)的恢復。

1.2 TDCS現(xiàn)狀與四級差距

目前TDCS網(wǎng)絡安全建設相對于《國家信息安全等級保護管理辦法》中4 級《信息系統(tǒng)安全等級保護基本要求》還存在著巨大的差距,其中如接入安全控制系統(tǒng)、指紋認證系統(tǒng)、網(wǎng)絡安全審計和IT資源集中安全管理等重要網(wǎng)絡安全子系統(tǒng)目前仍是空白,具體防護差距請見表1。

2 幾種網(wǎng)絡安全技術(shù)介紹

2.1 接入安全控制系統(tǒng)

接入安全控制系統(tǒng)是內(nèi)網(wǎng)安全管理的重要組成部分,部署在企業(yè)的內(nèi)部網(wǎng)絡中,可以保護內(nèi)部計算機免受外來終端的危害,可禁止重要信息通過外設和USB 等端口泄漏,防范非法設備接入內(nèi)網(wǎng)等。

2.1.1 外設與接口管理

外設與接口管理主要對內(nèi)網(wǎng)終端計算機上的各種外設和接口進行管理??梢詫?nèi)網(wǎng)終端計算機上的各種外設和接口設置禁用,防止用戶非法使用。

2)本表嚴格依據(jù)國家《信息安全等級保護管理辦法》中4 級《信息系統(tǒng)安全等級保護基本要求》起草,表中8.x.x.x 編號為《基本要求》文件中實際編號.

1)存儲設備禁用

除了網(wǎng)絡外,另一個最可能帶來病毒入侵的方式就是存儲設備了。內(nèi)網(wǎng)安全控制系統(tǒng)可以禁止如下存儲設備的使用:軟驅(qū)、光驅(qū)、存儲設備、移動硬盤等。

2)設置移動存儲設備只讀

內(nèi)網(wǎng)安全控制系統(tǒng)可以設置將移動存儲設備置于只讀狀態(tài),不允許用戶修改或者寫入。

2.1.2 安全接入管理

1)在線主機監(jiān)測可以通過監(jiān)聽和主動探測等方式檢測網(wǎng)絡中所有在線的主機,并判別在線主機是否是經(jīng)過內(nèi)網(wǎng)安全控制系統(tǒng)授權(quán)認證的信任主機。

2)主機授權(quán)認證

很多的計算機被病毒入侵,主要原因是自身的健壯性與否造成的。根據(jù)這種情況,內(nèi)網(wǎng)安全控制系統(tǒng)提供了網(wǎng)絡授權(quán)認證功能。內(nèi)網(wǎng)安全控制系統(tǒng)可以通過識別在線主機是否安裝客戶端程序,并結(jié)合客戶端報告的主機補丁安裝情況,反病毒程序安裝和工作情況等信息,進行網(wǎng)絡的授權(quán)認證,只允許通過授權(quán)認證的主機使用網(wǎng)絡資源。

3)非法主機網(wǎng)絡阻斷

對于探測到的非法主機,內(nèi)網(wǎng)安全控制系統(tǒng)可以主動阻止其訪問任何網(wǎng)絡資源,從而保證非法主機不對網(wǎng)絡產(chǎn)生影響。

3 結(jié)束語

可以想像,未來的TDCS系統(tǒng),應該具備這樣幾個特點:第一,網(wǎng)絡是安全的,體現(xiàn)在網(wǎng)絡應該具有精確識別人員身份,可以阻止內(nèi)部和外部攻擊,可以阻止各種內(nèi)網(wǎng)安全控制系統(tǒng)未授權(quán)的非法主機接入和訪問。第二,網(wǎng)絡是穩(wěn)定的,體現(xiàn)在網(wǎng)絡應該具有冗余性和自愈性及良好的通道。第三,網(wǎng)絡管理是高效地,體現(xiàn)在將有統(tǒng)一的管理設備可以將網(wǎng)絡管理功能覆蓋。

【參考文獻】

第2篇:網(wǎng)絡安全等級劃分范文

本文重點在結(jié)合信息安全等級的要求與IDS本身結(jié)構(gòu)的優(yōu)缺點,對信息安全策略進行分析,構(gòu)建滿足五級信息安全保護能力的入侵檢測系統(tǒng)。

關(guān)鍵詞:入侵檢測,信息安全

1.信息安全等級

信息安全等級保護是我國信息安全保障工作的綱領性文件(《國家信息化領導小組關(guān)于加強信息安全保障工作的意見》)(中辦發(fā)[2003]27號)提出的重要工作任務[1],其基本原理是,不同的信息系統(tǒng)有不同的重要性,在決定信息安全保護措施時,必須綜合平衡安全成本和風險。

2007年6月,公安部的《信息安全等級保護管理辦法》規(guī)定,根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等,其安全等級由低到高劃分為五級,其等級劃分原則如表1.1所示:

表1.1 安全等級劃分原則

不同安全等級的信息系統(tǒng)應該具備相應的基本安全保護能力,其中第四級安全保護能力是應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊,嚴重的自然災害,以及其他相當維護程度的威脅所造成的資源損害,能夠發(fā)現(xiàn)安全漏洞和安全相關(guān)事件,在系統(tǒng)遭到損害后,能夠迅速恢復所有功能;第五級安全保護能力是在第四級安全的安全保護能力的基礎上,由訪問控制監(jiān)視器實行訪問驗證,采用形式化技術(shù)驗證相應的安全保護能力確實得到實現(xiàn)。

2.IDS主要功能

入侵檢測:通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。(國標GB/T 18336)

入侵檢測系統(tǒng)的主要功能:

檢測并分析用戶和系統(tǒng)的活動,查找非法用戶和合法用戶的越權(quán)操作;檢查系統(tǒng)配置和漏洞,并提示管理員修補漏洞。(由安全掃描系統(tǒng)完成)、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;識別已知的攻擊行為;統(tǒng)計分析異常行為;操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動等;

成功的入侵檢測系統(tǒng),應該達到的效果:可以使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)(軟件和硬件)的任何變更,能給網(wǎng)絡安全策略的制定提供依據(jù);管理配置簡單,使非專業(yè)人員非常容易地獲得網(wǎng)絡安全。入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,能及時作出響應,包括切斷網(wǎng)絡連接、記錄事件和報警等。

圖2.1入侵檢測系統(tǒng)結(jié)構(gòu)圖

3.IDS類別

由于IDS的模型多樣化,IDS的類別也表現(xiàn)出較為復雜的情況,但是當前通常將入侵檢測按照分析方法和數(shù)據(jù)來源來進行分類[3]。

3.1按照分析方法(檢測方法)

異常檢測模型(Anomaly Detection):首先總結(jié)正常操作應該具有的特征(用戶輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。

誤用檢測模型(MisuseDetection):收集非正常操作的行為特征,建立相關(guān)的特征庫,當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認為這種行為是入侵。

3.2按照數(shù)據(jù)來源

基于主機的IDS:系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機,保護的目標也是系統(tǒng)運行所在的主機;檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件,檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上。

圖3.1基于主機的IDS結(jié)構(gòu)圖

基于網(wǎng)絡的IDS:系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包,保護的是網(wǎng)絡的運行;根據(jù)網(wǎng)絡流量、協(xié)議分析、單臺或多臺主機的審計數(shù)據(jù)檢測入侵。

圖3.2 基于網(wǎng)絡的IDS結(jié)構(gòu)圖

探測器由過濾器、網(wǎng)絡接口引擎器以及過濾規(guī)則決策器構(gòu)成,探測器的功能是按一定的規(guī)則從網(wǎng)絡上獲取與安全事件相關(guān)的數(shù)據(jù)包,傳遞給分析引擎器進行安全分析判斷[4]。

分析引擎器將從探測器上接收到的包并結(jié)合網(wǎng)絡安全數(shù)據(jù)庫進行分析,把分析的結(jié)果傳遞給配置構(gòu)造器。

配置構(gòu)造器按分析引擎器的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。

分布式IDS:

傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡的不同網(wǎng)段放置多個探測器收集當前網(wǎng)絡狀態(tài)的信息,然后將這些信息傳送到中央控制臺進行處理分析。

分布式結(jié)構(gòu)采用了本地主體處理本地事件,中央主體負責整體分析的模式。

3.3 IDS的局限性

對于大規(guī)模的分布式攻擊,中央控制臺的負荷將會超過其處理極限,這種情況會造成大量信息處理的遺漏,導致漏警率的增高[5]。

多個探測器收集到的數(shù)據(jù)在網(wǎng)絡上的傳輸會在一定程度上增加網(wǎng)絡負擔,導致網(wǎng)絡系統(tǒng)性能的降低[6]。

由于網(wǎng)絡傳輸?shù)臅r延問題,中央控制臺處理的網(wǎng)絡數(shù)據(jù)包中所包含的信息只反映了探測器接收到它時網(wǎng)絡的狀態(tài),不能實時反映當前網(wǎng)絡狀態(tài)[7]。

4.五級安全防護能力IDS構(gòu)建

根據(jù)公安部《信息安全等級保護管理辦法》,五級安全防護能力需要具備四級安全防護的漏洞發(fā)現(xiàn)和入侵檢測能力,同時需要由訪問控制監(jiān)視器實現(xiàn)對訪問的及時驗證,保證杜絕未授權(quán)用戶的非法訪問。

與此同時,如何解決因為網(wǎng)絡時延而導致的數(shù)據(jù)分析的延后,以及解決探測器在網(wǎng)絡傳輸中造成的網(wǎng)絡負擔,提高網(wǎng)絡系統(tǒng)性能的同時保證中央控制臺的高效運轉(zhuǎn),是當前IDS需要重點研究的問題。

當前IDS的結(jié)構(gòu)中入侵檢測和數(shù)據(jù)安全審計是兩個不同的模塊,入侵檢測系統(tǒng)將檢測數(shù)據(jù)提交給安全審計模塊,對入侵行為的確認是由安全審計模塊進行的[8]。因此在成本可接受的范圍內(nèi),如果將審計模塊和檢測模塊結(jié)合,并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測,只將較為復雜的數(shù)據(jù)提交給中央控制臺,這樣即減輕了網(wǎng)絡傳輸?shù)膲毫?,也有利于中央控制臺更加高效運轉(zhuǎn)。將每一個獨立處理單元命名為一個agent,每個agent的結(jié)構(gòu)如下圖所示:

5.結(jié)束語

本文介紹了信息安全等級的分類依據(jù),在對IDS系統(tǒng)的類別和局限性進行分析的基礎上,對滿足五級信息安全防護能力的入侵檢測系統(tǒng)進行了基本構(gòu)建,探討通過對分布式IDS終端處理單元的結(jié)構(gòu)和防范策略進行調(diào)整,研究對IDS存在主要問題的處理策略。

參考文獻

[1] 高永強,羅世澤.網(wǎng)絡安全技術(shù)與應用大典[M].北京:人民郵電出版社,2003:15-16.

[2] 盛思源,戰(zhàn)守義,石耀斌.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)[J].計算機工程,2003,28(3).

[3] 胡振昌.網(wǎng)絡入侵檢測原理與技術(shù)[M].北京:北京理工大學出版社,2006

[4] 唐正軍,李建華.入侵檢測技術(shù)[M].北京:清華大學出版,2004.

[5] 程伯良,周洪波,鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機工程與設計.2007,28(14)

[6] 胥小波,蔣琴琴.基于混沌粒子群的IDS告警聚類算法[J].通信學報.2013,34(3)

第3篇:網(wǎng)絡安全等級劃分范文

關(guān)鍵詞:安全;電子政務外網(wǎng)平臺;電子政務外網(wǎng)云平臺;保障體系;傳統(tǒng)架構(gòu);云計算

中圖分類號:TP393.08 文獻標識碼:A 文章編號:2095-1302(2016)11-0-03

0 引 言

隨著電子政務外網(wǎng)的發(fā)展,各省市電子政務外網(wǎng)平臺的建設均已成熟,多數(shù)省市電子政務外網(wǎng)平臺建設之初采用的是物理機傳統(tǒng)架構(gòu)部署方式。隨著信息技術(shù)的發(fā)展,云計算技術(shù)應運而生,電子政務云平臺的建設風生水起。然而無論是傳統(tǒng)架構(gòu)還是在云計算環(huán)境下,電子政務外網(wǎng)平臺面臨的風險越來越多,本文就這兩種架構(gòu)下電子政務外網(wǎng)平臺的安全如何建設進行分析,提出相應的解決方案。

1 建設方案

電子政務外網(wǎng)平臺的安全建設應根據(jù)業(yè)務應用特點及平臺架構(gòu)層特性,應用入侵檢測、入侵防御、防病毒網(wǎng)關(guān)、數(shù)據(jù)加密、身份認證、安全存儲等安全技術(shù),構(gòu)建面向應用的縱深安全防御體系。電子政務外網(wǎng)平臺安全建設可從分析確定定級對象及安全等級、構(gòu)建安全保障體系、明確安全邊界、安全技術(shù)保障、安全運維保障、安全制度保障、云計算環(huán)境下電子政務外網(wǎng)平臺安全保障幾方面考慮。

1.1 分析確定定級對象及安全等級

信息系統(tǒng)安全等級共分為五級,根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南(GB/T 22240-2008)》,結(jié)合國家相關(guān)行業(yè)標準規(guī)范,分析確定定級對象及安全等級。本文以構(gòu)建信息系統(tǒng)安全等級第三級標準安全建設進行探討。

1.2 構(gòu)建安全保障體系

電子政務外網(wǎng)平臺安全保障可從安全技術(shù)保障、安全運維保障、安全制度保障三個方面著手考慮,根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級基本要求(GB/T 22239-2008)》進行建設。物理機傳統(tǒng)架構(gòu)下的電子政務外網(wǎng)平臺安全保障體系架構(gòu)如圖1所示。

1.3 明確安全邊界

1.3.1 安全邊界劃分原則

安全邊界劃分原則[1]如下所示:

(1)以保障電子政務外網(wǎng)平臺信息系統(tǒng)的業(yè)務、管理、控制數(shù)據(jù)處理活動、數(shù)據(jù)流的安全為根本出發(fā)點,保障平臺安全;

(2)每個安全域的信息資產(chǎn)價值相近,具有相同或相近的安全等級、安全環(huán)境、安全策略等;

(3)根據(jù)“信息安全等?!币?,網(wǎng)絡規(guī)劃時避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;

(4)根據(jù)《國家電子政務外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求與實施指南》,部署數(shù)據(jù)安全交換隔離系統(tǒng),保障數(shù)據(jù)交換安全;

(5)對接入邊界進行安全防護。

1.3.2 安全邊界劃分

電子政務外網(wǎng)平臺可劃分為DMZ區(qū)、內(nèi)部數(shù)據(jù)中心、互聯(lián)網(wǎng)出口區(qū)、安全及運維管理區(qū)、邊界接入?yún)^(qū)五大區(qū)域。電子政務外網(wǎng)安全邊界劃分圖如圖2所示。

(1)DMZ區(qū)

DMZ區(qū)部署面向互聯(lián)網(wǎng)的業(yè)務系統(tǒng),包括門戶網(wǎng)站、郵件服務等,應根據(jù)實際需求部署相應的安全策略。

(2)內(nèi)部數(shù)據(jù)中心

內(nèi)部數(shù)據(jù)中心區(qū)部署協(xié)同辦公等內(nèi)部應用系統(tǒng),可根據(jù)實際需求分為多個邏輯區(qū)域,如辦公業(yè)務區(qū)、測試區(qū)等,應根據(jù)實際需求部署相應安全策略。

(3)互聯(lián)網(wǎng)出口區(qū)

互聯(lián)網(wǎng)出口區(qū)為電子政務外網(wǎng)平臺互聯(lián)網(wǎng)接入邊界,與運營商網(wǎng)絡直連。該區(qū)域直接面向互聯(lián)網(wǎng)出口區(qū)域,易被不法分子利用網(wǎng)絡存在的漏洞和安全缺陷對系統(tǒng)硬件、軟件進行攻擊,可在該區(qū)部署相應的防火墻策略,并結(jié)合入侵防御、安全審計等技術(shù)提供立體的、全面的、有效的安全防護,允許合法用戶通過互聯(lián)網(wǎng)訪問電子政務外網(wǎng)。

(4)安全及運維管理區(qū)

提供安全管理運維服務,保障電子政務外網(wǎng)平臺的安全。提供統(tǒng)一網(wǎng)絡管控運維服務,保障整網(wǎng)設備及業(yè)務系統(tǒng)信息正常運行。

(5)邊界接入?yún)^(qū)

根據(jù)國家相關(guān)規(guī)范,對專網(wǎng)、企事業(yè)接入單位或其它系統(tǒng)接入電子政務外網(wǎng)時,應在訪問邊界部署防火墻、入侵防御系統(tǒng),與“政務云”實現(xiàn)物理邏輯隔離,進行安全防護。

1.4 安全技術(shù)保障

采用傳統(tǒng)架構(gòu)的電子政務外網(wǎng)平臺技術(shù)安全保障可從物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面進行考慮,可通過部署相應產(chǎn)品或配置服務進行安全保障。

1.4.1 物理安全

物理安全主要涉及環(huán)境安全(防火、防水、防雷擊等)設備和介質(zhì)的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面。該部分主要體現(xiàn)為機房及弱電的建設標準、規(guī)范,技術(shù)環(huán)節(jié)應符合相關(guān)等級保護要求。

1.4.2 網(wǎng)絡安全

網(wǎng)絡安全主要包括網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡邊界以及網(wǎng)絡設備自身安全等,具體包括結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡設備防護七個方面,關(guān)鍵安全技術(shù)保障措施如下所示:

(1)劃分安全域,根據(jù)各安全域安全建設需求采用相應的安全策略。

(2)通過合理部署IPS、防火墻對網(wǎng)絡進行邊界隔離和訪問控制,并實現(xiàn)對網(wǎng)絡攻擊的實時監(jiān)測,即時中斷、調(diào)整或隔離一些不正?;蚓哂袀π缘木W(wǎng)絡行為。

(3)部署防DDoS攻擊設備,及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量,針對攻擊類型迅速對攻擊流量進行攔截,保證正常流量通過。

(4)可在互聯(lián)網(wǎng)出口處部署鏈路負載均衡設備,加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性。

(5)采用上網(wǎng)行為管理、流量控制等設備,對網(wǎng)絡流量進行實時監(jiān)控管理,實現(xiàn)員工對終端計算機的管理和控制,規(guī)范員工上網(wǎng)行為,提高工作效率,實現(xiàn)流量控制和帶寬管理,優(yōu)化網(wǎng)絡。

(6)對關(guān)鍵設備采用冗余設計,并在重要網(wǎng)段配置ACL策略以保障帶寬優(yōu)先級。

(7)采用安全審計技術(shù),按照一定的安全策略,利用記錄、系統(tǒng)活動和用戶活動等信息,檢查、審查和檢驗操作事件的環(huán)境及活動,從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。

1.4.3 主機、應用安全

主機安全主要包括訪問控制、安全審計、剩余信息保護、惡意代碼防護等幾個方面。應用安全主要包括身份鑒別、訪問控制、安全審計、抗抵賴性等幾方面,關(guān)鍵安全技術(shù)保障措施如下所示:

(1)惡意代碼可直接利用操作系統(tǒng)或應用程序的漏洞進行傳播,可部署惡意代碼監(jiān)測、病毒防護系統(tǒng)及漏洞掃描等系統(tǒng),通過主動防御可有效阻止病毒的傳播,及時發(fā)現(xiàn)網(wǎng)絡、主機、應用及數(shù)據(jù)庫漏洞并修復,保障電子政務外網(wǎng)平臺安全。

(2)利用身份認證技術(shù)及訪問控制策略等技術(shù)保障主機應用安全,不允許非預期客戶訪問。

(3)運用審計技術(shù)保障主機應用安全,實時收集和監(jiān)控信息系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡活動,以便進行集中報警、記錄、分析、處理。

(4)采用應用負載均衡技術(shù)、操作系統(tǒng)用戶登錄等技術(shù)實現(xiàn)資源的優(yōu)化控制。

(5)可部署Web應用防火墻、網(wǎng)頁防篡改等系統(tǒng),做到事前主動防御,智能分析、屏蔽或阻斷對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等類型文件的非法篡改和破壞,保障系統(tǒng)業(yè)務的正常運營,全方位保護Web應用安全。

1.4.4 數(shù)據(jù)安全

數(shù)據(jù)安全主要包括數(shù)據(jù)的保密性、完整性及備份和恢復,關(guān)鍵安全技術(shù)保障措施如下所示:

(1)可對不同類型業(yè)務數(shù)據(jù)進行物理上或邏輯上隔離,并建設數(shù)據(jù)交換與隔離系統(tǒng)以保障不同安全等級的網(wǎng)絡間的數(shù)據(jù)交換安全。

(2)采用雙因素認證進行數(shù)據(jù)訪問控制,不允許非預期客戶訪問,對違規(guī)操作實時審計報警。

(3)采用VPN、數(shù)據(jù)加密、消息數(shù)據(jù)簽名、摘要等技術(shù)對數(shù)據(jù)傳輸進行加密,防止越權(quán)訪問機密信息或惡意篡改。

(4)采用數(shù)據(jù)庫冗余部署,防范數(shù)據(jù)丟失風險,為業(yè)務系統(tǒng)穩(wěn)定運行提供保障,可考慮建設同城或異地容災。

(5)部署數(shù)據(jù)庫審計設備可在不影響被保護數(shù)據(jù)庫性能的情況下,對數(shù)據(jù)庫的操作實現(xiàn)跟蹤記錄、定位,實現(xiàn)數(shù)據(jù)庫的在線監(jiān)控,為數(shù)據(jù)庫系統(tǒng)的安全運行提供了有力保障。

1.5 安全運維保障

安全運維保障可通過安全管理平臺,建立與安全工作相配套的集中管理手段,提供統(tǒng)一展現(xiàn)、統(tǒng)一告警、統(tǒng)一運維流程處理等服務,可使管理人員快速準確的掌握網(wǎng)絡整體運行狀況,整體反映電子政務外網(wǎng)平臺安全問題,體現(xiàn)安全投資的價值,提高安全運維管理水平。安全運維管理平臺需考慮與安全各專項系統(tǒng)、網(wǎng)管系統(tǒng)和運管系統(tǒng)之間以及上下級系統(tǒng)之間的接口。

1.6 安全制度保障

面對形形的安全解決方案,“三分技術(shù)、七分管理”。若僅有安全技術(shù)防護,而無嚴格的安全管理相配合,則難以保障網(wǎng)絡系統(tǒng)的運行安全。系統(tǒng)必須有嚴密的安全管理體制來保證系統(tǒng)安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮,建立完善的應急體制。

1.7 云計算環(huán)境下電子政務外網(wǎng)平臺的安全保障

云技術(shù)是基于云計算商業(yè)模式應用的網(wǎng)絡技術(shù)、信息技術(shù)、整合技術(shù)、管理平臺技術(shù)、應用技術(shù)等的總稱,可以組成資源池,按需所用,靈活便利。隨著時代的發(fā)展,云計算技術(shù)已變成信息系統(tǒng)主流基礎架構(gòu)支撐。由于云計算平臺重要支撐技術(shù)是采用虛擬化實現(xiàn)資源的邏輯抽象和統(tǒng)一表示,因此在云計算環(huán)境下進行電子政務外網(wǎng)云平臺安全保障體系建設,僅僅采用傳統(tǒng)的安全技術(shù)是不夠的,除滿足上述物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全技術(shù)保障,運維安全保障,安全制度保障需求之外,還應考慮虛擬化帶來的新的安全風險。云計算環(huán)境下電子政務外網(wǎng)云平臺安全保障體系如圖3所示。

1.8 虛擬化安全

當前,云計算虛擬化安全技術(shù)還不成熟,對虛擬化的安全防護和保障技術(shù)測評則成為云環(huán)境等級保護的一大難題,主要涉及的安全包括虛擬機逃逸防范、虛擬機通信風險、虛擬機管理平臺安全等方面。可采取如下安全保障措施[2]:

(1)將可信計算技術(shù)與虛擬化技術(shù)相結(jié)合,構(gòu)建可信的虛擬化平臺,形成完整的信任鏈;

(2)可建設分級訪問控制機制,根據(jù)分層分級原則制定訪問控制策略,實現(xiàn)對平臺中所有虛擬機的監(jiān)控管理,為數(shù)據(jù)的安全使用和訪問建立一道屏障;

(3)可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網(wǎng)關(guān)等技術(shù)實現(xiàn)虛擬機間的安全隔離。

2 SDS安全保障技術(shù)簡介

軟件定義安全(Software Defined Security,SDS)是從軟件定義網(wǎng)絡(Software Defined Network,SDN)延伸而來,將安全資源進行池化,通過軟件進行統(tǒng)一調(diào)度,以完成相應的安全功能,實現(xiàn)靈活的安全防護。簡單來說,傳統(tǒng)的安全設備是單一防護軟件架構(gòu)在一臺硬件設備之上,通常串接或旁掛于網(wǎng)絡中,不僅將網(wǎng)絡結(jié)構(gòu)復雜化,對不同廠家的安全設備進行統(tǒng)一管理的復雜度也較高,需單獨的物理安裝空間。而SDS可以將其看作一個軟件,靈活調(diào)配安全設備資源,實現(xiàn)靈活的網(wǎng)絡安全防護框架,方便調(diào)整。

3 結(jié) 語

在大數(shù)據(jù)時代下,SDS是順應時展趨勢、簡化安全管理的訴求,但由于SDS應用尚未完全成熟,仍需經(jīng)過實踐的檢驗。

參考文獻

第4篇:網(wǎng)絡安全等級劃分范文

信息安全是當前的一個熱門話題。究其原因,其一是人們意識的提高,開始關(guān)心自己的和客戶的信息安全了,其二就是當前普遍存在的問題是信息不安全。

數(shù)據(jù)顯示,全球每年由于安全事件的損失高達數(shù)百億美元,而這些安全事件中,由于管理缺乏所致的比例高達70%。

目前,保障信息安全有三個支柱,一個是技術(shù)、一個是管理、一個是法律法規(guī)。而我們?nèi)粘L峒靶畔踩珪r,多是在技術(shù)相關(guān)的領域,例如IDS技術(shù)、Firewall技術(shù)、Anti-Virus技術(shù)、加密技術(shù)、CA認證技術(shù)等等。

其實,在安全領域,技術(shù)提供商在培育市場,同時國家的法律法規(guī)、有專門的部門在研究和制定推廣相關(guān)政策和標準的同時,必須劃分一個可以分級管理的區(qū)域,以實現(xiàn)信息安全認證和管理的需要。

分級而治

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

當前,我國計算機信息系統(tǒng)的建設和使用正向互聯(lián)互通、信息共享的方向發(fā)展,特別是電子政務的快速發(fā)展,對信息系統(tǒng)的安全保護工作提出了前所未有的強烈需求。重要信息系統(tǒng)使用單位可根據(jù)其信息化建設工作的重要程度和自身安全需求,確定安全等級,選擇符合該級別要求的安全產(chǎn)品,并按照相關(guān)建設和管理的標準規(guī)范進行安全建設和安全管理。實行信息安全產(chǎn)品分級認證,有利于建立長效機制,保證信息安全工作穩(wěn)固、持久地進行;也有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協(xié)調(diào)。

實行信息安全產(chǎn)品分級認證是推行等級保護的關(guān)鍵問題,對信息系統(tǒng)的安全建設起著至關(guān)重要的作用,關(guān)系到我國的基礎信息網(wǎng)絡和重要信息系統(tǒng)是否足以應對相應級別的安全隱患。等級保護體系建立后,既要“一手要抓發(fā)展”,又要“一手要抓安全”,必須具備有效的、持續(xù)性的驗證方法,確保信息系統(tǒng)在不斷發(fā)展的同時保證符合安全等級要求,因此,開展分級認證是實行等級保護的一項重要具體措施。

策略為先

根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達到的基本的安全保護水平等因素,信息和信息系統(tǒng)的安全保護等級共分五級:

第一級為自主保護級,適用于一般的信息和信息系統(tǒng),其受到破壞后,會對公民、法人和其他組織的權(quán)益有一定影響,但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益。

第二級為指導保護級,適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害。

第三級為監(jiān)督保護級,適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成較大損害。

第四級為強制保護級,適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成嚴重損害。

第五級為??乇Wo級,適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成特別嚴重損害。

在2006年3月頒布的規(guī)則(試行)中,國家通過制定統(tǒng)一的管理規(guī)范和技術(shù)標準,組織行政機關(guān)、公民、法人和其他組織根據(jù)信息和信息系統(tǒng)的不同重要程度開展有針對性的保護工作。國家對不同安全保護級別的信息和信息系統(tǒng)實行不同強度的監(jiān)管政策。第一級依照國家管理規(guī)范和技術(shù)標準進行自主保護;第二級在信息安全監(jiān)管職能部門指導下依照國家管理規(guī)范和技術(shù)標準進行自主保護;第三級依照國家管理規(guī)范和技術(shù)標準進行自主保護,信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查;第四級依照國家管理規(guī)范和技術(shù)標準進行自主保護,信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查;第五級依照國家管理規(guī)范和技術(shù)標準進行自主保護,國家指定專門部門、專門機構(gòu)進行專門監(jiān)督。

同時,對于信息安全事件,也將實行分等級響應、處置的制度。依據(jù)信息安全事件對信息和信息系統(tǒng)的破壞程度、所造成的社會影響以及涉及的范圍,確定事件等級。根據(jù)不同安全保護等級的信息系統(tǒng)中發(fā)生的不同等級事件制定相應的預案,確定事件響應和處置的范圍、程度以及適用的管理制度等。信息安全事件發(fā)生后,分等級按照預案響應和處置。

網(wǎng)絡安全分級是重點

目前,相對于單一安全產(chǎn)品而言,網(wǎng)絡安全的控制認證更具備管理的挑戰(zhàn)性。目前,在網(wǎng)絡技術(shù)的不斷發(fā)展中,NGN已經(jīng)成為電信網(wǎng)絡和互聯(lián)網(wǎng)共同演進的方向,但同時也不可避免地成為網(wǎng)絡安全問題的主角。NGN內(nèi)容涵蓋廣泛,除了廣義的多業(yè)務運營外,多種接入技術(shù)、復雜的智能終端,以及IP承載網(wǎng)的缺陷和運營商不斷變化的組織結(jié)構(gòu)都給網(wǎng)絡安全帶來了更大的威脅。雖然NGN在世界范圍內(nèi)仍沒有大范圍商用的案例,但是作為通信業(yè)的新亮點,從現(xiàn)在開始設計完善的安全分級防護體系,防患于未然是完全必要的。

目前,在NGN網(wǎng)絡中,運營商必須保證提供的各種業(yè)務的安全,可以把NGN系統(tǒng)設備,各種業(yè)務服務器歸屬于不同的安全域,不同的安全域?qū)獮椴煌陌踩燃墸踩燃壍膭澐直WC了高級別安全域的系統(tǒng)設備與低等級系統(tǒng)的安全隔離。等級高的安全域可以訪問低等級的安全域,低等級的安全域不能直接訪問高等級的安全域,如果要訪問,必須經(jīng)過嚴格的狀態(tài)檢測。 通常有如下兩種手段。

MPLSVPN保證核心網(wǎng)安全

通過采用MPLSVPN技術(shù)可以讓開放的IP網(wǎng)絡具有類似TDM的安全性。采用該技術(shù)構(gòu)建相對獨立的VPN網(wǎng)絡。這種方法可以在NGN的核心網(wǎng)絡使用,將整個IP網(wǎng)絡分成幾個不同的隔離空間:公共網(wǎng)絡、ISP、ASP、用戶網(wǎng)絡、業(yè)務子網(wǎng)等,使得非MPLSVPN內(nèi)的用戶無法訪問到NGN網(wǎng)絡中的設備,從而保證NGN網(wǎng)絡的安全。

IPSec保證接入安全

NGN網(wǎng)絡和用戶終端的信息包括控制信息和媒體信息??刂菩畔⑸婕暗膮f(xié)議有H.248、MGCP、SIP和H.323。為了防止未授權(quán)的實體利用這些協(xié)議建立非法呼叫或干涉合法呼叫,需要對這些協(xié)議的傳輸建立安全機制。目前在IP網(wǎng)絡中廣泛推薦的是IPSec,用它對協(xié)議的傳輸提供安全保護。

第5篇:網(wǎng)絡安全等級劃分范文

關(guān)鍵字:二次防護、SIS、MIS、DCS、邊界隔離、第一平面、第二平面。

中圖分類號:TM621文獻標識碼: A 文章編號:

0 引言

隨著計算機系統(tǒng)的迅猛發(fā)展,在電廠形成了一個復雜的計算機網(wǎng)絡:控制網(wǎng)絡、SIS網(wǎng)絡、MIS網(wǎng)絡,調(diào)度網(wǎng)絡等等。眾多的系統(tǒng)互連,內(nèi)部網(wǎng)絡開放,外部網(wǎng)絡接入,從而產(chǎn)生了信息系統(tǒng)網(wǎng)絡安全問題。如果網(wǎng)絡和數(shù)據(jù)的安全沒有保障,企業(yè)的重要信息就存在泄漏、被更改的危險。因此國家對電力數(shù)據(jù)網(wǎng)建設提出一系列規(guī)范與標準,形成一套非常嚴密、可靠的防御體系。本文在電力二次防護要求基礎上,對火電廠信息系統(tǒng)中可能存在的漏洞進行分析,并提出相關(guān)安全加固措施,降低安全風險,全面提高網(wǎng)絡的可靠性和對業(yè)務的保障能力。

1 SIS系統(tǒng)的二次防護總體要求

國家經(jīng)貿(mào)委在2002年6月8日頒布的《電網(wǎng)與電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》第30號令別提出電力系統(tǒng)安全防護的基本原則:電力系統(tǒng)中,安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響;電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng),各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護設施,不得與安全等級低的系統(tǒng)直接相連;電力監(jiān)控系統(tǒng)必須實現(xiàn)物理層面上與公用信息網(wǎng)絡的安全隔離。

根據(jù)《電力二次系統(tǒng)安全防護規(guī)定》的要求,及各相關(guān)業(yè)務系統(tǒng)的重要程度、數(shù)據(jù)流程和安全要求,將典型電廠二次系統(tǒng)分為兩個大區(qū):生產(chǎn)控制大區(qū)和管理信息大區(qū)。還部署了調(diào)度第一、第二平面接入網(wǎng)絡作為生產(chǎn)大區(qū)與省調(diào)度中心的連接專網(wǎng)。

1.1 生產(chǎn)控制大區(qū)

安全Ⅰ區(qū):既實時生產(chǎn)過程控制區(qū),用于監(jiān)控機組的安全生產(chǎn)運行,執(zhí)行生產(chǎn)過程中各類設備的數(shù)據(jù)采集和直接控制。典型的控制系統(tǒng)有:DCS、TDM、煙氣脫硫、NCS、輔助控制等。其主要使用者為調(diào)度員和運行操作人員。安全Ⅰ區(qū)是安全防護的重點與核心,安全等級極高。

安全Ⅱ區(qū):既非實時控制生產(chǎn)區(qū),用于監(jiān)視和采集實時數(shù)據(jù),為控制決策和結(jié)算交易等提供依據(jù),常見的Ⅱ區(qū)系統(tǒng)有SIS、ERTU、電力市場等。該區(qū)域安全等級低于Ⅰ區(qū)。

1.2 管理信息大區(qū)

該安全區(qū)Ⅳ中的業(yè)務系統(tǒng)或功能模塊的典型特征為:實現(xiàn)電力生產(chǎn)的管理功能,但不具備控制功能,不在線運行,該區(qū)包括管理信息系統(tǒng)(MIS)、辦公自動化系統(tǒng)(OA)等,該區(qū)的外部通訊邊界為發(fā)電企業(yè)的廣域網(wǎng)路及internet。SIS鏡像服務器、WEB服務器也位于該區(qū)域,用于Ⅱ區(qū)的實時數(shù)據(jù)庫同步。

1.3 調(diào)度第一、第二平面接入網(wǎng)絡

國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)第二平面由2級自治域組成,由國調(diào)、網(wǎng)調(diào)、省調(diào)、地調(diào)節(jié)點組成骨干自治域(骨干網(wǎng)),由各級調(diào)度直調(diào)廠站組成相應接入自治域(接入網(wǎng))。骨干網(wǎng)第一、第二平面在網(wǎng)絡層面上相對獨立,各接入網(wǎng)應通過2點分別接入骨干網(wǎng)雙平面,形成獨立雙網(wǎng)、雙歸接入的網(wǎng)絡模式。各電廠通過兩套接入網(wǎng)絡分別接入第一、第二平面。

2 SIS系統(tǒng)安全防護

SIS系統(tǒng)通過橫向安全隔離裝置向位于Ⅳ區(qū)的廠級管理信息系統(tǒng)傳送數(shù)據(jù),數(shù)據(jù)只能由Ⅰ區(qū)傳送至Ⅳ區(qū)。Ⅱ區(qū)需部署防病毒服務器和補丁升級服務器作為安全控制大區(qū)的殺毒介質(zhì)。因該系統(tǒng)嚴格與外網(wǎng)隔離,故Ⅰ區(qū)設備還須經(jīng)由Ⅰ區(qū)和Ⅱ區(qū)之間的隔離防火墻連接Ⅱ區(qū)安全服務器升級病毒庫和下載補丁,Ⅱ區(qū)的設備直接訪問安全服務器升級病毒庫和下載補丁。而安全服務器需通過調(diào)度網(wǎng)絡連接省調(diào)的服務器完成病毒庫升級和系統(tǒng)補丁升級。

由于SIS網(wǎng)絡可以完全隔絕來自外部系統(tǒng)的攻擊,因此系統(tǒng)安全方面的隱患主要來自系統(tǒng)本身的故障和輸入介質(zhì)(DVD光驅(qū),軟盤)本身攜帶的病毒軟件,針對以上兩種安全隱患,設計了系統(tǒng)備份方案。根據(jù)二次防護的要求,在接口機與SIS實時/歷史數(shù)據(jù)庫之間設置了防火墻,從而保證了SIS應用與接口機之間的安全。此外,采用訪問控制、身份認證、入侵檢測等手段作為網(wǎng)絡安全的基本措施,防止各類計算機病毒的侵害、人為的破壞和SIS實時信息數(shù)據(jù)庫的數(shù)據(jù)丟失。

3 網(wǎng)絡安全防護

3.1 和控制網(wǎng)之間的安全防護

由于SIS網(wǎng)絡在物理上和控制網(wǎng)絡直接相連,因此必須設計完善的安全方案保證控制網(wǎng)絡的運行不受SIS系統(tǒng)的影響。為此,我公司以下措施保證控制網(wǎng)絡的安全:

SIS系統(tǒng)只從控制系統(tǒng)讀取實時信息,不對控制系統(tǒng)進行任何寫入的操作。

SIS系統(tǒng)只通過接口機和控制系統(tǒng)連接。接口機負責從控制系統(tǒng)中讀取數(shù)據(jù)并發(fā)送到全廠實時/歷史數(shù)據(jù)庫。SIS系統(tǒng)的其他部分(客戶端,服務器等)無法直接對控制系統(tǒng)進行操作。

在接口機上安裝殺毒軟件,及時升級安全補丁,嚴格限制U盤的使用。

3.2 和調(diào)度網(wǎng)之間的安全防護

Ⅰ區(qū)與調(diào)度端有數(shù)據(jù)接口的二次系統(tǒng)包括:數(shù)據(jù)采集通信單元、功角測量裝置。他們通過雙鏈路連接到Ⅰ區(qū)的兩臺實時交換機上(一、二平面),交換機再連接各平面的縱向加密裝置,分別通過兩個數(shù)據(jù)網(wǎng)的接入路由器分別連接省調(diào)接入網(wǎng)和地調(diào)(網(wǎng)調(diào))接入網(wǎng)的實時VPN子網(wǎng)。

Ⅱ區(qū)與調(diào)度端有數(shù)據(jù)接口的二次系統(tǒng)包括電能量計量系統(tǒng)、保護信息管理子站和指令下發(fā)系統(tǒng)等,他們通過雙鏈路連接到Ⅱ區(qū)的兩臺非實時交換機上(一、二平面),非實時交換機再連接各平面的防火墻,分別通過兩個數(shù)據(jù)網(wǎng)的接入路由器分別連接省調(diào)接入網(wǎng)和地調(diào)(網(wǎng)調(diào))接入網(wǎng)的非實時VPN子網(wǎng)。

Ⅲ區(qū)主要運行電廠與電力調(diào)度通信中心之間的運行調(diào)度管理系統(tǒng)。只是通過路由器、防火墻、交換機與省調(diào)Ⅲ區(qū)連接,與其它區(qū)域之間無交互信息,用以實現(xiàn)管理信息區(qū)的相關(guān)業(yè)務與省調(diào)之間的互通。進行安全隔離時可采用通用的隔離設備(如硬件防火墻等)。

3.3 和MIS網(wǎng)之間的安全防護

由于MIS系統(tǒng)和外部Internet網(wǎng)直接相聯(lián),因此MIS網(wǎng)的受外界攻擊的概率較大,而SIS系統(tǒng)作為和生產(chǎn)控制系統(tǒng)直接相聯(lián)的生產(chǎn)管理系統(tǒng),安全防護等級要高于MIS系統(tǒng),為了保證SIS網(wǎng)的實時/歷史數(shù)據(jù)庫中的信息向上傳遞到MIS側(cè),需要在MIS網(wǎng)和SIS網(wǎng)進行數(shù)據(jù)交互的接口間設立數(shù)據(jù)單向傳遞的安全隔離裝置,采用南瑞公司生產(chǎn)的物理隔離器。SIS系統(tǒng)只從控制系統(tǒng)讀取實時信息,不對控制系統(tǒng)進行任何寫入的操作。SIS系統(tǒng)只通過接口機和控制系統(tǒng)連接。接口機負責從控制系統(tǒng)中讀取數(shù)據(jù)并發(fā)送到全廠實時/歷史數(shù)據(jù)庫。SIS系統(tǒng)的其他部分(客戶端,服務器等)無法直接對控制系統(tǒng)進行操作。根據(jù)二次防護的要求,在接口機與SIS實時/歷史數(shù)據(jù)庫之間設置了防火墻,從而保證了SIS應用與接口機之間的安全。

4 其他安全加固措施

SIS系統(tǒng)只從控制系統(tǒng)讀取實時信息,不對控制系統(tǒng)進行任何寫入的操作。

Ⅰ區(qū)網(wǎng)絡與Ⅱ區(qū)網(wǎng)絡地址分配不同網(wǎng)段,在防火墻做嚴格訪問控制策略。

在Ⅰ區(qū)的采集交換機上對各接口機劃分VLAN,將接口機地址分別設為不同網(wǎng)段,并做訪問控制,使各接口機間不能相互訪問。

在生產(chǎn)控制大區(qū)核心交換機上做地址綁定,限制其他設備接入網(wǎng)絡運行。

關(guān)閉接口機與服務器系統(tǒng)中的不必要的服務和端口。

5 結(jié)語

通過以上對SIS系統(tǒng)安全防護的加固措施,使得SIS系統(tǒng)有了較為可靠的安全保證。

參考文獻:

[1]陳瑞華;馬蓮臺電廠SIS安全防護設計及實現(xiàn)[J];寧夏電力 2011年05期

第6篇:網(wǎng)絡安全等級劃分范文

1.1信息安全保護等級的劃分

此級別功能最全,除具備上述所有級別功能外,對系統(tǒng)加設了訪問驗證保護,以此不但記錄訪問者對系統(tǒng)的訪問歷史,還對訪問者的訪問權(quán)限進行設置,確保信息被安全使用,保障信息不外泄。

1.2信息安全等級的劃分

對于一些需要特殊保護和隔離的信息系統(tǒng),如我國的國防部、國家機關(guān)以及重點科研機構(gòu)等特殊機構(gòu)的信息系統(tǒng),在進行信息安全保護時,要嚴格按照國家頒布的關(guān)于信息安全等級保護的相關(guān)政策制度以及法律法規(guī)的規(guī)定要求對信息系統(tǒng)進行等級保護。根據(jù)需被保護的信息的類別和價值的不同,通常其受到保護的安全等級也不同。此舉目的為在保護信息安全的同時降低運作成本。

2信息安全等級保護的基本要求

信息安全等級保護的基本要求分為技術(shù)和管理兩大類。技術(shù)部分是要求在信息安全保護過程中采取安全技術(shù)措施,使系統(tǒng)具備對抗外來威脅和受到破壞后自我修復的能力,主要涉及到物理、網(wǎng)絡、主機、應用安全和數(shù)據(jù)恢復功能等技術(shù)的應用。管理部分是要求在信息系統(tǒng)的全部運行環(huán)節(jié)中對各運行環(huán)節(jié)采取控制措施。管理過程要求對制度、政策、人員和機構(gòu)都提出要求,涉及到安全保護等級管理、工程建設管理、系統(tǒng)的運行與維護管理以及應急預案管理等管理環(huán)節(jié)。

3信息安全等級保護的方法

3.1信息安全等級保護流程

信息安全等級保護涉及到多個環(huán)節(jié),需要各相關(guān)部門共同參與,合力完成。安全等級保護的環(huán)節(jié)大體上分為以下九步:(1)確定系統(tǒng)等級作為實現(xiàn)信息等級保護的前提,確定信息系統(tǒng)的安全保護等級是必不可缺的步驟。用戶要嚴格按照國家規(guī)范標準給所使用的信息系統(tǒng)科學確定等級。(2)等級審批信息系統(tǒng)主管部門對信息系統(tǒng)的安全等級進行審批調(diào)整,但調(diào)整時要按照規(guī)定,只能將等級調(diào)高。(3)確定安全需求信息系統(tǒng)的安全需求可反映出該等級的信息系統(tǒng)普遍存在的安全需求。信息系統(tǒng)在確定安全需求時要依賴該系統(tǒng)的安全等級,但因為信息系統(tǒng)普遍存在可變性,因此用戶在確定安全需求時還要根據(jù)自身實際情況確定自己系統(tǒng)的安全需求。(4)制定安保方案當信息系統(tǒng)的等級和安全需求確定后,針對已掌握情況制定出包括技術(shù)安全和管理安全在內(nèi)的最佳安全保護方案。(5)安全產(chǎn)品選型安全產(chǎn)品的選擇直接決定了安全保護工作是否能夠成功實現(xiàn)。因此在安全產(chǎn)品的選擇過程中,不僅要對產(chǎn)品的可信度和功能進行認真審查,還要求國家相關(guān)部門監(jiān)管產(chǎn)品的使用情況。(6)安全測評測評的目的在于確定系統(tǒng)安全保護的實現(xiàn),以保證信息安全。若測評不能達到預期目標,要及時進行重新調(diào)整。(7)等級備案安全保護等級在三級以上的信息系統(tǒng),其用戶和運營商需要向地市級以上公安機關(guān)備案。跨地域的信息系統(tǒng)的備案由其主管部門在當?shù)赝壒矙C關(guān)完成,分系統(tǒng)的備案由其用戶和運營商完成。(8)監(jiān)督管理信息系統(tǒng)的監(jiān)管工作主要是監(jiān)督安全產(chǎn)品的使用情況,并對測評機構(gòu)和信息系統(tǒng)的登記備案進行監(jiān)管。(9)運行維護該環(huán)節(jié)主要目的在于通過運行確定系統(tǒng)的信息安全,還可以重新確定對產(chǎn)生變化的信息系統(tǒng)的安全保護等級。以上環(huán)節(jié)在實現(xiàn)信息系統(tǒng)的安全等級保護過程中極其重要,不可跨環(huán)節(jié)、漏環(huán)節(jié)操作。

3.2信息安全等級保護的方法

信息安全等級保護分為物理安全保護和網(wǎng)絡系統(tǒng)安全保護兩類。對于物理安全保護,又分為必要考慮和需要考慮兩個安全層面。對于必要考慮的物理安全方面:對于主機房等場所設施來說,要做好安全防范工作。采用先進的技術(shù)設備做到室內(nèi)監(jiān)控、使用用戶信息登記、以及自動報警系統(tǒng)等。記錄用戶及其訪問情況,方便隨時查看。對于需要考慮的物理安全方面:對于主機房以及重要信息存儲設備來說,要通過采用多路電源同時接入的方式保障電源的可持續(xù)供給,謹防因斷電給入侵者制造入侵的機會。根據(jù)安全保護對象的不同,有不同的保護方法。具體方法如下:(1)已確定安全等級系統(tǒng)的安全保護對于全系統(tǒng)中同一安全等級的信息系統(tǒng),對于任何部分、任何信息都要按照國家標準采取統(tǒng)一安全保護方法給其設計完整的安全機制。對于不同安全等級的分系統(tǒng),對其上不同的部分及信息按照不同的安全要求設計安全保護。(2)網(wǎng)絡病毒的防范方法計算機病毒嚴重威脅到計算機網(wǎng)絡安全,所以防范病毒的入侵在信息系統(tǒng)安全保護過程中是非常重要的步驟。運用防火墻機制阻擋病毒入侵,或者給程序加密、監(jiān)控系統(tǒng)運行情況、設置訪問權(quán)限,判斷是否存在病毒入侵,及時發(fā)現(xiàn)入侵的病毒并予以清除,保障計算機信息系統(tǒng)的安全。(3)漏洞掃描與修復方法系統(tǒng)存在漏洞是系統(tǒng)的安全隱患,不法分子常會利用系統(tǒng)中的漏洞對系統(tǒng)進行攻擊破壞。因此要經(jīng)常對計算機進行全面的漏洞掃描,找出系統(tǒng)中存在的漏洞并及時修復漏洞,避免給不法分子留下入侵機會。漏洞的修復分為系統(tǒng)自動修復和人工手動修復兩種,由于多種原因,絕對完善的系統(tǒng)幾乎不存在,因此要定期對系統(tǒng)進行漏洞掃描修復,確保系統(tǒng)的安全。

4結(jié)束語

第7篇:網(wǎng)絡安全等級劃分范文

鐵路投產(chǎn)運行的信息系統(tǒng)很多,有的系統(tǒng)按照等級保護要求確定了安全等級并建立了安全系統(tǒng);有的系統(tǒng)在設計中考慮了安全等級,但在建設過程中并未按設計要求實施安全方案;還有的系統(tǒng)沒有考慮安全措施。針對鐵路信息系統(tǒng)投產(chǎn)運行后的實際情況,鐵路總公司有必要組織內(nèi)外部測評隊伍,根據(jù)國家和總公司對信息安全的建設要求,對信息系統(tǒng)開展技術(shù)和管理兩方面的現(xiàn)狀評估,檢查信息系統(tǒng)在物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全以及安全管理上與相應安全等級標準的差距,進行差距分析,提出建設整改意見。

2安全等級測評

在信息系統(tǒng)等級保護安全建設完成和投產(chǎn)之前,首先組織內(nèi)部測評隊伍對安全建設情況進行效果測評,發(fā)現(xiàn)不符合性提出整改建議。內(nèi)部測評結(jié)束及整改驗收后,再聘請有第三方測評資質(zhì)的測評機構(gòu)進行等級測評,驗證與國家及行業(yè)等級保護標準的符合性。通過總公司內(nèi)部和專業(yè)測評機構(gòu)的兩級測評,可有效地推進國家及行業(yè)信息安全標準在全路的落實完善。按照GB/T22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級保護基本要求》中的等級測評要求,信息系統(tǒng)在運行過程中,等級保護測評工作要定期開展,其中三級系統(tǒng)每年要測評一次,四級系統(tǒng)每半年要測評一次。根據(jù)該要求,結(jié)合每年鐵路安全大檢查工作的需要,制定每年的安全大檢查計劃,組織內(nèi)外部專業(yè)測評隊伍,對三級及以上的信息系統(tǒng)開展安全等級測評工作。

3安全建設整改

3.1機房物理環(huán)境整改

按照《鐵路行業(yè)信息機房設計及建設規(guī)范》、《鐵路行業(yè)信息機房管理規(guī)范》的要求,完善機房環(huán)境、設備管理、電源管理、安全管理和資料管理,并從防雷、防火、防水、防靜電、防盜竊、防破壞、電力供應、機房電源及環(huán)境監(jiān)控等方面對機房環(huán)境進行改造。

3.2安全域劃分

按照《鐵路行業(yè)信息系統(tǒng)安全體系總體設計方案》,根據(jù)信息系統(tǒng)的安全等級,采用交換機劃分VLAN、設置訪問控制策略、部署防火墻等技術(shù)措施對信息系統(tǒng)進行安全域劃分。

3.3邊界網(wǎng)絡防護

明確總公司信息網(wǎng)絡、業(yè)務專網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡邊界,對網(wǎng)絡邊界部署內(nèi)、外部網(wǎng)絡訪問控制策略、入侵檢測等多項防護措施,并加強網(wǎng)絡邊界的監(jiān)測。

3.4主機安全加固

遵照《鐵路行業(yè)信息系統(tǒng)安全加固實施指南》,通過配置安全策略、安裝安全補丁、修補系統(tǒng)漏洞、強化身份鑒別等方法對各類主機設備的操作系統(tǒng)、數(shù)據(jù)庫、中間件等及時進行策略配置和加固。

3.5應用及數(shù)據(jù)安全防護

依照國家和行業(yè)標準,從用戶身份認證、訪問控制、數(shù)據(jù)加密、容錯能力、日志審計等方面進行應用系統(tǒng)安全改造和建設。在數(shù)據(jù)安全防護方面,采用有效的數(shù)據(jù)備份策略對重要數(shù)據(jù)進行定期和增量備份,采用安全移動存儲介質(zhì)進行必要的數(shù)據(jù)交換。

3.6強化信息安全隊伍建設

從安全管理、運行、監(jiān)督、技術(shù)支持等方面加強行業(yè)內(nèi)信息安全隊伍建設,確保安全責任落實。做好總公司、鐵路局兩級和一線服務、二線運維、三線技術(shù)支持安全運維服務隊伍,負責各系統(tǒng)日常安全運行維護工作。

3.7完善信息安全管理工作

為切實做好信息安全管理工作,總公司需要結(jié)合信息安全管理體系建設項目,以等級保護為抓手,將等級保護與信息安全日常管理緊密結(jié)合,將信息安全管理全面納入鐵路運輸安全生產(chǎn)管理體系,按照“誰主管誰負責、誰運行誰負責”和屬地化管理原則,逐級落實信息安全責任,建立與總公司信息化發(fā)展相適應的信息安全監(jiān)督機制、應急機制、故障通報與處理機制、事件責任追究機制和風險管理機制??偣驹诩訌娦畔⑾到y(tǒng)建設管理方面,需制定一系列的規(guī)章制度,包括《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》和《鐵路行業(yè)計算機應用軟件通用安全要求》等,明確系統(tǒng)定級備案、方案設計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、驗收交付、等級測評、安全服務等管理內(nèi)容。

4安全措施落實

4.1建立鐵路信息系統(tǒng)安全技術(shù)體系

研究建立“一個中心(安全管理中心),三重防護(計算環(huán)境、區(qū)域邊界、信息網(wǎng)絡)”的鐵路信息系統(tǒng)安全縱深防護和主動防御的技術(shù)體系,按總公司、鐵路局、站段三級管理模式和信息系統(tǒng)運輸生產(chǎn)專網(wǎng)、內(nèi)部服務網(wǎng)、外部服務網(wǎng)三網(wǎng)的特點,實現(xiàn)運輸組織及客貨營銷類信息系統(tǒng)“分級分區(qū)、專網(wǎng)專用、橫向隔離、縱向認證”的安全策略,經(jīng)營管理類信息系統(tǒng)“三級獨立成域、主動防御、內(nèi)外兼防”的安全策略。

4.2建設鐵路信息安全綜合管理平臺

鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關(guān)工作的綜合工作平臺,功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內(nèi)容,并支持公安部等級保護管理工作。平臺主要提供以下3類功能:

(1)以信息系統(tǒng)定級、備案、整改、測評和檢查等規(guī)定步驟為主線,實現(xiàn)等級保護工作任務的下發(fā)、執(zhí)行、進度監(jiān)控和督辦;

(2)風險管理、應急管理、安全檢查和事故通報等專項管理功能;

(3)日常辦公的綜合管理、培訓教育、標準管理等。

4.3建設鐵路信息安全一體化運行監(jiān)控平臺

鐵路信息安全一體化運行監(jiān)控平臺是集綜合網(wǎng)管、應用防護、IT運維、機房監(jiān)控為一體的信息系統(tǒng)安全運行監(jiān)控管理平臺,實現(xiàn)網(wǎng)絡監(jiān)控、主機監(jiān)控、機房監(jiān)控、邊界防御、桌面終端安全的全方位監(jiān)控功能。

4.4開展國產(chǎn)化和自主可控技術(shù)研究

在信息安全越來越重視國產(chǎn)化的大技術(shù)背景下,開展鐵路行業(yè)的信息安全國產(chǎn)化和自主可控技術(shù)的研究尤為重要。在國產(chǎn)化方面,緊緊圍繞鐵路網(wǎng)絡安全自主可控戰(zhàn)略目標,根據(jù)國產(chǎn)產(chǎn)品成熟情況,結(jié)合鐵路業(yè)務發(fā)展、業(yè)務需求,按照“統(tǒng)籌規(guī)劃、分步實施,應用牽引、平臺重構(gòu),項目推動、政策保障”的工作思路,采取“直接采用、對等替換、平臺替換”技術(shù)策略,進行信息系統(tǒng)國產(chǎn)化改造和構(gòu)建鐵路信息安全等級保護技術(shù)體系的積極探索。在自主可控方面,通過統(tǒng)一標準、自主研發(fā)、自主實施、產(chǎn)權(quán)管理、風險評估、安全測評、安全管控、安全巡檢等手段實現(xiàn)信息系統(tǒng)全生命周期各階段的安全可控。

4.5開展基于云計算的安全技術(shù)探索

云計算已成為信息技術(shù)的重要發(fā)展方向,建立鐵路云應用平臺將對鐵路信息化應用技術(shù)產(chǎn)生深遠影響。云計算環(huán)境下的信息安全問題是信息安全技術(shù)領域面臨的一個新課題,在開展鐵路云應用平臺研究的同時,同步開展云安全應用技術(shù)的研究和探索,使基于云計算的鐵路應用平臺在設計、建設、投產(chǎn)3個環(huán)節(jié)將信息安全同步納入。

4.6建立鐵路信息安全評測體系與技術(shù)督查體系

采用安全檢查、風險評估、內(nèi)外評測、安全運維等管理和技術(shù)手段,建立有效的安全測評與技術(shù)督查體系。通過在重要時間節(jié)點(如春運、暑運等)開展安全檢查和自查工作,使路局、站段管理人員保持安全意識;按照等級保護標準要求定期開展風險評估、等級評測等工作,確保等級保護安全手段能貫穿重要信息系統(tǒng)的始終;通過完善鐵路兩級三線安全運維服務體系,建立總公司、鐵路局兩級信息安全技術(shù)督查工作機制,將信息安全技術(shù)和管理有機結(jié)合起來,實現(xiàn)安全管理、運維、督辦相輔相成、相互監(jiān)督的局面。

4.7等級保護示范工程仿真實驗環(huán)境及試點工程建設

第8篇:網(wǎng)絡安全等級劃分范文

1數(shù)據(jù)信息安全威脅信息數(shù)據(jù)

面臨的安全威脅來自于多個方面,有通過病毒、非授權(quán)竊取來破壞數(shù)據(jù)保密性的安全威脅,有因為操作系統(tǒng)故障、應用系統(tǒng)故障等導致的破壞數(shù)據(jù)完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數(shù)據(jù)可用性的安全威脅,還有因為病毒威脅、非授權(quán)篡改導致的破壞數(shù)據(jù)真實性的安全威脅,這些潛在的安全威脅將會導致信息數(shù)據(jù)被刪除、破壞、篡改甚至被竊取,給公共衛(wèi)生行業(yè)帶來無法彌補的損失。

2安全管理缺失公共衛(wèi)生行業(yè)

在信息化建設工作中,如果存在重應用、輕安全的現(xiàn)象,在IT系統(tǒng)建設過程中沒有充分考慮信息安全的科學規(guī)劃,將導致后期信息安全建設和管理工作比較被動,業(yè)務的發(fā)展及信息系統(tǒng)的建設與信息安全管理建設不對稱;或由于重視信息安全技術(shù),輕視安全管理,雖然采用了比較先進的信息安全技術(shù),但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數(shù)據(jù)備份等現(xiàn)象普遍存在,很有可能會導致本不應該發(fā)生的信息安全事件發(fā)生。

二分析問題產(chǎn)生的主要原因

1經(jīng)費投入不足導致的安全防范技術(shù)

薄弱許多公共衛(wèi)生機構(gòu)的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發(fā)以后國家投入建設的,運行至今,很多省級以下的公共衛(wèi)生單位由于領導認識不足或經(jīng)費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛(wèi)生信息化的投入,很少將經(jīng)費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術(shù)比較薄弱,因網(wǎng)絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數(shù)據(jù)丟失、竊取的現(xiàn)象時有發(fā)生,嚴重影響了重要信息數(shù)據(jù)的保密性、完整性和安全性,一旦發(fā)生信息安全事件后果將不堪設想。

2專業(yè)技術(shù)人才缺乏

建設信息化、發(fā)展信息化最大的動力資源是掌握信息化的專業(yè)技術(shù)人才,人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎,然而,公共衛(wèi)生行業(yè)的人才梯隊主要以疾病控制、醫(yī)學檢驗專業(yè)為主,信息化、信息安全專業(yè)技術(shù)人才缺乏,隊伍力量薄弱,不能很好地利用現(xiàn)有的計算機軟硬件設備,也很難對本單位現(xiàn)有的信息化、信息安全現(xiàn)狀進行有效的評估,缺乏制定本行業(yè)長期、可持續(xù)信息化建設發(fā)展規(guī)劃的能力,這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因素。

3信息安全培訓不足

職工安全保密意識不強信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛(wèi)生行業(yè)的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網(wǎng)絡安全不夠重視,缺乏網(wǎng)絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經(jīng)常有意無意的傳播病毒,使得單位網(wǎng)絡系統(tǒng)經(jīng)常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網(wǎng)絡的安全穩(wěn)定運行;同時,許多職工對于單位的移動介質(zhì)缺乏規(guī)范化管理意識,隨意將拷貝有信息的移動硬盤、優(yōu)盤等介質(zhì)帶出單位,在其他聯(lián)網(wǎng)的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。

三如何促進公共衛(wèi)生行業(yè)計算機網(wǎng)絡安全性提升

1強化管理

建立行業(yè)計算機網(wǎng)絡安全管理制度為了確保整個計算機網(wǎng)絡的安全有效運行,建立出一套既符合本行業(yè)工作實際的,又滿足網(wǎng)絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內(nèi)容:

1.1成立信息安全管理機構(gòu)

引進信息安全專業(yè)技術(shù)人才,結(jié)合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統(tǒng)管全局的網(wǎng)絡安全管理規(guī)定。

1.2制定信息安全知識培訓制度

定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網(wǎng)絡安全知識最新動態(tài),結(jié)合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術(shù)人員進行專業(yè)知識和操作技能的培訓,培養(yǎng)一支具有安全管理意識的隊伍,提高應對各種網(wǎng)絡安全攻擊破壞的能力。

1.3建立信息安全監(jiān)督檢查機制

開展定期或不定期內(nèi)部信息安全監(jiān)督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結(jié)果直接與科室和個人的獎勵績效工資、評先評優(yōu)掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。

2開展信息安全等級保護

建設開展信息安全等級保護建設,通過對公共衛(wèi)生行業(yè)處理、存儲重要信息數(shù)據(jù)的信息系統(tǒng)實行分等級安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統(tǒng)安全等級保護建設情況進行測評,存在問題及時整改,從制度落實、安全技術(shù)防護、應急處置管理等各個方面,進一步提高公共衛(wèi)生行業(yè)信息安全的防護能力、應急處置能力和安全隱患發(fā)現(xiàn)能力。

3加強網(wǎng)絡安全技術(shù)防范

隨著信息技術(shù)的高速發(fā)展,信息網(wǎng)絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網(wǎng)絡安全技術(shù)特點,建立安全策略層、用戶層、網(wǎng)絡與信息資源層和安全服務層4個層次的網(wǎng)絡安全防護體系,全面增強網(wǎng)絡系統(tǒng)的安全性和可靠性。

3.1防火墻技術(shù)

防火墻技術(shù)在公共衛(wèi)生行業(yè)網(wǎng)絡安全建設體系中發(fā)揮著重要的作用,按照結(jié)構(gòu)和功能通常劃分為濾防火墻、應用防火墻和狀態(tài)檢測防火墻三種類型,一般部署在核心網(wǎng)絡的邊緣,將內(nèi)部網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離,有效地記錄Internet上的活動,將網(wǎng)絡中不安全的服務進行有效的過濾,并嚴格限制網(wǎng)絡之間的互相訪問,從而提高網(wǎng)絡的防毒能力和抗攻擊能力,確保內(nèi)部網(wǎng)絡安全穩(wěn)定運行。

3.2入侵檢測

入侵檢測是防火墻的合理補充,是一種對網(wǎng)絡傳輸進行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備,檢測方法包括基于專家系統(tǒng)入侵檢測方法和基于神經(jīng)網(wǎng)絡的入侵檢測方法兩種,利用入侵檢測系統(tǒng),能夠迅速及時地發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象,幫助系統(tǒng)對付內(nèi)部攻擊和外部網(wǎng)絡攻擊,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵,在安全審計、監(jiān)視、進攻識別等方面進一步擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎結(jié)構(gòu)的完整性。

3.3虛擬專用網(wǎng)絡(VPN)技術(shù)

VPN技術(shù)因為低成本、高度靈活的特點,在很多行業(yè)信息化建設中被廣泛應用,公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進行數(shù)據(jù)傳輸?shù)模缰袊膊☆A防控制信息系統(tǒng)等,通過在公用網(wǎng)絡上建立VPN,利用VPN網(wǎng)關(guān)將數(shù)據(jù)包進行加密和目標地址轉(zhuǎn)換,以實現(xiàn)遠程訪問。VPN技術(shù)實現(xiàn)方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統(tǒng)VPN鏈路網(wǎng)絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現(xiàn)國家到省、市、縣四級的互聯(lián)互通和數(shù)據(jù)傳輸共享。VPN通過使用點到點協(xié)議用戶級身份驗證的方法進行驗證,將高度敏感的數(shù)據(jù)地址進行物理分隔,只有授權(quán)用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權(quán)用戶接觸或竊取重要數(shù)據(jù),為用戶信息提供了很高的安全性保護。

四結(jié)語

第9篇:網(wǎng)絡安全等級劃分范文

關(guān)鍵詞 信息系統(tǒng);安全;保障體系;技術(shù);信息技術(shù)基礎設施

中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)14-0137-02

油服信息技術(shù)應用與集中程度的不斷深入提高,信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業(yè)務復雜多樣等特點,在信息安全形勢多變的情況下,獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障,將給公司的業(yè)務正常運作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此,需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實際情況的信息安全保障體系,采用先進的安全管理過程模式,完善信息安全管理制度與規(guī)范,提高員工的信息安全意識,提升風險控制及保障水平,以支撐油服核心業(yè)務的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設需求

油服在信息安全方面已部署了部分信息安全防護措施,如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時,每年都開展信息系統(tǒng)安全測評工作,對公司的信息系統(tǒng)進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等,從而能夠較為全面的掌握當前各信息系統(tǒng)和信息安全管理制度的建設、運維和使用情況,以提高信息系統(tǒng)的安全防護能力。但從總體來看,仍缺乏信息安全保障體系框架,總體安全方針和策略不夠明確,安全區(qū)域劃分不夠細致,網(wǎng)絡設備和重要服務器的安全策略缺乏統(tǒng)一標準,未部署安全運維管理中心,無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設要結(jié)合油服的信息安全需求、網(wǎng)絡應用現(xiàn)狀及未來發(fā)展趨勢,在風險評估的基礎上,明確與等級保護相適應的安全策略及具體的實施辦法。對全網(wǎng)進行合理的安全域劃分,技術(shù)與管理并重的同時,以應用與實效為主導,從網(wǎng)絡、應用系統(tǒng)、組織管理等方面,保障油服信息安全,形成集檢測、響應、恢復、防護為一體的安全保障體系。

2 油服信息安全保障體系架構(gòu)模型

油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法,縱向把保護對象分成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡;橫向把控制體系分成安全管理、安全技術(shù)和安全運行的控制體系,同時通過“一個安全管理中心”的安全管理概念和模式,形成一個依托于安全保護對象為基礎,橫向建立安全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容,信息安全管理體系重點落實安全管理制度、安全管理機構(gòu)和人員安全管理的相關(guān)控制要求。

2.2 安全技術(shù)體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容,通過安全技術(shù)在物理、網(wǎng)絡、主機、應用和數(shù)據(jù)各個層面的實施,建立與實際情況相結(jié)合的安全技術(shù)體系。

2.3 安全運行體系

根據(jù)等級保護基本要求的相關(guān)內(nèi)容,信息安全運行體系重點落實系統(tǒng)建設管理和系統(tǒng)運維管理的相關(guān)控制要求,并與實際情況相結(jié)合,形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據(jù)等級保護基本要求和安全設計技術(shù)要求的相關(guān)內(nèi)容,通過“自動、平臺化”的方式,對信息安全管理、技術(shù)、運行三個體系的相關(guān)控制內(nèi)容,結(jié)合實際情況加以落實。

3 油服信息安全保障體系架構(gòu)設計

3.1 安全管理體系架構(gòu)設計

信息安全管理體系架構(gòu)的設計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會,各業(yè)務部門為信息安全小組,部門經(jīng)理為本小組的第一安全責任人。同時,定義了組織中各職能角色的職責,以此指導信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態(tài),便于靈活地修訂與更新;另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的,哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面,可以通過對人員錄用、調(diào)用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。

3.2 安全技術(shù)體系架構(gòu)設計

信息安全技術(shù)體系架構(gòu)設計可從以下3個方面開展。

3.2.1 信息安全服務架構(gòu)

信息安全服務架構(gòu)設計分為保護、檢測、響應與恢復四個環(huán)節(jié),實現(xiàn)對信息可用性、完整性和機密性的保護,監(jiān)測檢查系統(tǒng)存在的安全漏洞,對危害系統(tǒng)安全的事件行為做出響應

處理。

3.2.2 信息技術(shù)基礎設施安全架構(gòu)

信息技術(shù)基礎設施安全架構(gòu)以網(wǎng)絡安全架構(gòu)為主體,結(jié)合系統(tǒng)軟硬件進行安全配置和部署。網(wǎng)絡安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡所承載的應用系統(tǒng)特性和所面臨的風險劃分不同的網(wǎng)絡安全域,并實施安全防護措施。

3.2.3 應用安全架構(gòu)

應用系統(tǒng)的信息安全保障是在信息技術(shù)基礎設施安全架構(gòu)上,更多地關(guān)注已有的信息安全服務是否被充分利用。為滿足業(yè)務系統(tǒng)對信息安全的需求,通過在業(yè)務系統(tǒng)中實現(xiàn)集成保障信息安全的機制,從而達到信息安全技術(shù)控制要求。

3.3 安全運行體系架構(gòu)設計

油服信息安全運行體系架構(gòu)設計主要從以下3個方面開展。

3.3.1 信息系統(tǒng)安全等級劃分

油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡系統(tǒng)等級和應用系統(tǒng)等級三個方面進行定義。

3.3.2 信息安全技術(shù)控制

信息安全技術(shù)控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡層、系統(tǒng)層和應用層,包含身份鑒別、訪問控制、安全審計等五大類通用技術(shù)。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業(yè)務運作和信息技術(shù)運作過程中進行實施的運作類安全控制,包括控制針對的主要風險點及具體分類。

4 結(jié)束語

在油服業(yè)務不斷拓展,國際化步伐不斷深入的過程中,信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長,信息安全也愈發(fā)重要。健全油服信息安全保障體系,為實現(xiàn)“制度標準化、工作制度化”的管理常態(tài)奠定了堅實的基礎。油服信息安全保障體系不僅從物理網(wǎng)絡安全、系統(tǒng)應用安全、數(shù)據(jù)和用戶安全等方面入手,還從安全域劃分、安全邊界防護、主動監(jiān)控、訪問控制和應急響應等方面綜合考慮,進一步加強落實信息安全等級保護的基本要求,初步實現(xiàn)對網(wǎng)絡與應用系統(tǒng)細粒度、全方位的安全管控,從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業(yè)信息安全保障體系建設[J].計算機安全,2007(7):72-75.

[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報(自然科學版),2004(2):58-62.

[3]黃海鷹.信息安全保障體系建設研究[J].數(shù)字圖書館論壇,2009(9):13-15.