前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的常見的信息安全事件主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:建筑施工;現(xiàn)場(chǎng)安全管理;信息系統(tǒng);
中圖分類號(hào):TU7文獻(xiàn)標(biāo)識(shí)碼: A
前言:經(jīng)過多年的探索與實(shí)踐, 我國(guó)的建筑施工安全管理模式已經(jīng)得到了一定的完善, 但目前依然面臨著需要解決的難題,比如,在建設(shè)規(guī)模不斷擴(kuò)大的背景下, 建筑從業(yè)人員中農(nóng)民工所占的比例也在不斷上升, 目前已達(dá)到80%以上, 由于部分農(nóng)民工缺乏安全防護(hù)技能, 再加上現(xiàn)場(chǎng)防護(hù)設(shè)施不完善, 這就給安全管理帶來了困難; 建筑施工工作具有較強(qiáng)的動(dòng)態(tài)變化性, 如施工平臺(tái) 施工材料及施工工序等均會(huì)發(fā)生變化,在進(jìn)行安全管理時(shí), 需要控制多種因素, 如設(shè)備及人員等, 難以面面俱到 因此, 在動(dòng)態(tài)變化性較強(qiáng)的施工工作中存在較多的安全隱患;建筑工程結(jié)構(gòu)的多樣化也加大了安全管理工作的難度 如建筑結(jié)構(gòu)不同, 其施工工藝 防護(hù)用品及地質(zhì)勘查等的安全管理要求也存在一定的差異, 在實(shí)際的管理工作中必須對(duì)安全措施進(jìn)行調(diào)整, 才能夠滿足安全生產(chǎn)要求。
建筑施工現(xiàn)場(chǎng)安全管理信息系統(tǒng)的需求
項(xiàng)目的建設(shè)經(jīng)過了大量的調(diào)研,調(diào)研的對(duì)象包括企業(yè)人力資源部、財(cái)務(wù)部、項(xiàng)
目管理,要包括項(xiàng)目施工管理人員、施工現(xiàn)場(chǎng)工人,調(diào)研的內(nèi)容包括了項(xiàng)目功能
需求、項(xiàng)目的工作內(nèi)容和項(xiàng)目的數(shù)據(jù)規(guī)格,分析的資料包括了各類管理文件和管
理中產(chǎn)生的各類單據(jù),通過調(diào)研對(duì)需求的描述如下:
1.1、用工的信息管理
(1)工人的信息內(nèi)容包括:姓名、身份證號(hào)、年齡、技能等級(jí)、工種、家庭住
址、主要聯(lián)系方式、所在項(xiàng)目信息、工長(zhǎng)信息、合同編號(hào)、合同日期;
(2)工人信息的管理包括信息的添加、編輯、統(tǒng)計(jì);
(3)信息的添加由人力資源負(fù)責(zé),信息的查詢權(quán)限授予人力資源部、項(xiàng)目管理
部、施工管理部、安全管理部門。
1.2施工日志管理
(1)施工日志管理需要記錄的內(nèi)容包括:職工號(hào)、施工日期、起止時(shí)間、工作
崗位、場(chǎng)地編號(hào);
(2)施工日的天氣情況,包括氣溫、風(fēng)力、是否霧霾、雨雪情況;
(3)職工號(hào)、施工日期、起止時(shí)間、場(chǎng)地編號(hào)由讀卡采集設(shè)備生成,天氣情況、
工作崗位由系統(tǒng)管理員錄入。
1.3合同管理
合同管理的主要目的是實(shí)現(xiàn)合同管理的數(shù)字化、方便合同信息的查閱,合同管
理記錄工人姓名、身份證號(hào)、合同簽訂日期、有效期、合同內(nèi)容、工資標(biāo)準(zhǔn)、崗位。
1.4系統(tǒng)管理
系統(tǒng)管理的內(nèi)容包括:工人信息的錄入或?qū)?、?xiàng)目信息的錄入、出勤統(tǒng)計(jì)管
理、短信的統(tǒng)計(jì)管理、系統(tǒng)的用戶的角色分配與授權(quán),系統(tǒng)數(shù)據(jù)的備份與還原。
數(shù)據(jù)的操作根據(jù)用戶的權(quán)限分配授予相關(guān)部門。
2.系統(tǒng)的性能分析
施工現(xiàn)場(chǎng)信息的采集與發(fā)放依靠無線網(wǎng)絡(luò)和移動(dòng)通信網(wǎng)絡(luò)完成,部分?jǐn)?shù)據(jù)需要離線采集定期更新。因此在出勤數(shù)據(jù)進(jìn)行定期更新,即每天更新1次,位置數(shù)據(jù)由無線網(wǎng)絡(luò)實(shí)時(shí)完成。工資和出勤查詢采用短信完成,其中工資數(shù)據(jù)發(fā)送延遲不大于2小時(shí),短信查詢可以滿足300人同時(shí)查詢,系統(tǒng)響應(yīng)時(shí)間不大于10秒,短信息發(fā)送時(shí)間根據(jù)當(dāng)?shù)赝ㄐ盘峁┥叹W(wǎng)絡(luò)情況而定;網(wǎng)站查詢?cè)?56K網(wǎng)絡(luò)情況下,100人同時(shí)訪問,頁面應(yīng)該在8秒內(nèi)打開。
系統(tǒng)設(shè)計(jì)
3.1建筑施工單位是系統(tǒng)的主要用戶之一,需要完成的活動(dòng)包括:考勤查看,實(shí)時(shí)了解出工情況;施工日志的記錄工作;發(fā)送施工安排相關(guān)通知;查看工人的基本信息;查看工人的實(shí)時(shí)位置信息。
3.2系統(tǒng)的軟件架構(gòu)
系統(tǒng)采用了 B/S架構(gòu)與C/S架構(gòu)混合的架構(gòu),如項(xiàng)目部與人力資源部相關(guān)的業(yè)務(wù),由于工作地點(diǎn)網(wǎng)絡(luò)情況較好,因此采用了基于Web的管理方式;面向工人的考勤管理,位置管理等采用了終端設(shè)備與服務(wù)端相連的C/S架構(gòu);而工資查詢和出勤查詢則提供短信和Web查詢兩種方式,即滿足了工人在互聯(lián)網(wǎng)沒有覆蓋,而有手機(jī)通信網(wǎng)絡(luò)的條件下通過手機(jī)查詢,也滿足了工人利用智能手機(jī)上網(wǎng)查詢的需要。
3.3系統(tǒng)的類設(shè)計(jì)
1).施工單位項(xiàng)目類
施工項(xiàng)目類的特殊包括項(xiàng)目的編號(hào)、項(xiàng)目名稱、項(xiàng)目地址等關(guān)鍵信息,施工項(xiàng)目的對(duì)象可以進(jìn)行的操作包括對(duì)施工單位的管理,如添加勞務(wù)單位、修改勞務(wù)單位、項(xiàng)目成立等.
2)勞務(wù)單位類
勞務(wù)單位類的主要特性包括編號(hào)、類型、負(fù)責(zé)人等信息,能夠完成的操作包括成
立隊(duì)伍、解散隊(duì)伍、更換負(fù)責(zé)人等操作.
3)工人類
工人類的特性包括工人的自然屬性,如職工號(hào)、姓名、出生日期,工作屬性包
括工種、合同類型等;職工類可以完成的操作主要為各類信息的查詢,包括出勤
信息、工資信息、個(gè)人信息等.
3.4關(guān)于建筑管理信息系統(tǒng)的其他幾點(diǎn)建議
建筑工程作為一種野外分布的線性工程,施工面狹長(zhǎng),流動(dòng)性大,臨時(shí)工程多,容易受外界因素的干擾;特別是目前建筑的建設(shè)中,高等級(jí)建筑占有的比例越來越大,而高等級(jí)建筑建設(shè)本身還具有工程規(guī)模大、涉及面廣、質(zhì)量標(biāo)準(zhǔn)和技術(shù)要求高、施工單位和協(xié)作配合環(huán)節(jié)多等特點(diǎn)。
建筑施工管理中應(yīng)用管理信息系統(tǒng),要始終以安全管理體系為系統(tǒng)主線,保證建筑施工所實(shí)施的安全管理體系,突出了施工企業(yè)安全第一的思想,全面執(zhí)行安全管理的可追溯性的原則,劃分了管理要素,體現(xiàn)出全員參與、責(zé)任到人的管理思路,把生產(chǎn)管理信息作為主體,輔以服務(wù)信息的回饋,來加強(qiáng)企業(yè)全面管理的領(lǐng)導(dǎo)、決策和控制職能。因此,信息管理應(yīng)當(dāng)依照確定的安全體系中的組織機(jī)構(gòu)和管理程序的劃分來建立網(wǎng)絡(luò),設(shè)立相應(yīng)的管理程序和制度。
施工管理人員必須收集、歸納整理、分析研究、掌握涉及本項(xiàng)目的建筑安全管理方面的各種法律法規(guī)和規(guī)章制度、建筑安全技術(shù)標(biāo)準(zhǔn)、規(guī)范、公司對(duì)于安全管理的制度和要求、以及施工項(xiàng)目的有關(guān)技術(shù)文件和資料。制定項(xiàng)目各個(gè)崗位,各類人員的管理責(zé)任制度,施工管理制度和施工技術(shù)措施方案,總結(jié)施工管理經(jīng)驗(yàn),將資料整理歸檔,優(yōu)秀的文本可以保存為范本,這些經(jīng)驗(yàn)應(yīng)該不斷積累起來,成為以后項(xiàng)目的參考。
對(duì)建筑工程企業(yè)來講,人員的工作方式從傳統(tǒng)的面對(duì)面的交流,轉(zhuǎn)向大多基于網(wǎng)絡(luò)的交流,是一個(gè)較大的變革,如何適應(yīng)這個(gè)變化對(duì)每個(gè)人都至關(guān)重要,另外,隨著信息系統(tǒng)應(yīng)用的深入,安全問題也更加突出。系統(tǒng)的安全包括網(wǎng)絡(luò)平臺(tái)本身的安全和數(shù)據(jù)的安全,這一方面要加強(qiáng)人員的安全意識(shí)教育,建立嚴(yán)格的保密管理制度,防范竊密和泄密,保護(hù)知識(shí)產(chǎn)權(quán)不受侵犯,此外還要在軟、硬件系統(tǒng)的建設(shè)上進(jìn)一步加強(qiáng)安全機(jī)制。
注意加強(qiáng)對(duì)信息管理系統(tǒng)使用情況的監(jiān)督檢查,把該系統(tǒng)的使用情況作為日?,F(xiàn)場(chǎng)檢查時(shí)的重點(diǎn)內(nèi)容之一,對(duì)信息記錄不準(zhǔn)確或未按規(guī)定時(shí)間上報(bào)數(shù)據(jù)等問題,及時(shí)督促施工現(xiàn)場(chǎng)予以糾正,確保建筑施工現(xiàn)場(chǎng)信息管理系統(tǒng)的正常運(yùn)行。并及時(shí)通過信息管理系統(tǒng)了解現(xiàn)場(chǎng)的基本情況,開展有針對(duì)性地監(jiān)督檢查。
4.建筑施工現(xiàn)場(chǎng)安全管理信息系統(tǒng)的總體結(jié)構(gòu)框架
建筑施工現(xiàn)場(chǎng)影響安全的主要因素分為人的因素和物的因素,人的不安全因素和物的不安全狀態(tài) ,是導(dǎo)致安全事故發(fā)生的直接原因, 我們可以通過加強(qiáng)對(duì)人員的管理及教育培訓(xùn)來減少人的不安全行為, 可以通過對(duì)建筑施工現(xiàn)場(chǎng)所用設(shè)備的安全管理來降低物的不安全狀態(tài) 。安全第一, 預(yù)防為主 ,查找 、分析和預(yù)測(cè)工程 、系統(tǒng)中存在的危險(xiǎn)有害因素及可能導(dǎo)致的事故的嚴(yán)重程度 ,提出合理可行的安全對(duì)策措施是建筑施工現(xiàn)場(chǎng)安全管理的重要任務(wù) 。通過相關(guān)規(guī)范的要求 ,系統(tǒng)設(shè)計(jì)了系統(tǒng)管理 ,基本信息管理模塊 ,安全生產(chǎn)管理模塊 ,機(jī)械設(shè)備管理模塊 ,安全教育與培訓(xùn)模塊 ,安全生產(chǎn)環(huán)保勞動(dòng)保護(hù)法規(guī)與標(biāo)準(zhǔn)模塊, 安全技術(shù)交底模塊七個(gè)模塊 。
4.1系統(tǒng)管理 ,主要包括用戶及權(quán)限管理、 數(shù)據(jù)庫(kù)設(shè)置 、數(shù)據(jù)備份 、數(shù)據(jù)還原 、退出等內(nèi)容 ,管理信息系統(tǒng)基本都包含本模塊, 所以本文對(duì)此并不會(huì)做過多的介紹。
4.2基本信息管理 ,存儲(chǔ)施工現(xiàn)場(chǎng)的基本信息,主要包括 工程信息、 單位信息 、員工信息等 ,這些信息可以基本描述施工現(xiàn)場(chǎng)的基本情況, 同時(shí)為其他模塊提供相應(yīng)的數(shù)據(jù)
4.3安全生產(chǎn)管理, 記錄每天施工現(xiàn)場(chǎng)的重要信息, 通過安全評(píng)價(jià)發(fā)現(xiàn)施工現(xiàn)場(chǎng)的事故隱患和危險(xiǎn)源 ,并作出預(yù)防措施 ,記錄已發(fā)生事故的詳細(xì)信息 ,吸取失敗的教訓(xùn)。
4.4機(jī)械設(shè)備管理。 用于管理施工現(xiàn)場(chǎng)的機(jī)械設(shè)備安全教育與培訓(xùn) ,主要包括學(xué)習(xí) ,安全資料管理 ,培訓(xùn)信息管理, 數(shù)據(jù)庫(kù)擴(kuò)充等功能安全生產(chǎn)環(huán)保勞動(dòng)保護(hù)法規(guī)與標(biāo)準(zhǔn) ,儲(chǔ)存著有關(guān)建筑工程安全生產(chǎn) ,環(huán)境保護(hù), 職業(yè)健康安
全的重要法律法規(guī)與標(biāo)準(zhǔn)規(guī)范, 具有強(qiáng)大的查詢功能和擴(kuò)充功能。
4.5安全技術(shù)交底
儲(chǔ)存建筑施工現(xiàn)場(chǎng)所用的大部分安全交底表格。
結(jié)束語:建筑類企業(yè)存在施工項(xiàng)目多、項(xiàng)目地點(diǎn)變化頻繁,各個(gè)項(xiàng)目用工種類多,工人流動(dòng)性大、工人總數(shù)較多。為加強(qiáng)企業(yè)對(duì)用工的實(shí)時(shí)監(jiān)控并規(guī)范各個(gè)項(xiàng)目的人員,統(tǒng)一管理規(guī)范,企業(yè)需要開發(fā)管理信息系統(tǒng)對(duì)各個(gè)項(xiàng)目的用工情況進(jìn)行統(tǒng)一管理。系統(tǒng)的應(yīng)用明顯規(guī)范了公司各個(gè)項(xiàng)目的用工情況;做到了實(shí)時(shí)了解企業(yè)的用工總數(shù)、用工的項(xiàng)目分布情況;對(duì)項(xiàng)目用工有了明確的施工日志記錄,做到了工作情況可核查;實(shí)現(xiàn)了工人工資的網(wǎng)絡(luò)化管理,實(shí)現(xiàn)了網(wǎng)絡(luò)與查詢,提高了管理的透明度。以上功能的實(shí)現(xiàn)極大的提高了用工管理的效率、增加了企業(yè)對(duì)用工狀況的整體把握,提高了工作人員的滿意度,統(tǒng)計(jì)功能為領(lǐng)導(dǎo)決策提供了有效的依據(jù)。文章對(duì)建筑施工現(xiàn)場(chǎng)安全管理信息系統(tǒng)的需求與設(shè)計(jì)進(jìn)行了闡述。
參考文獻(xiàn):
[1]孫凱,曹朝妮. 建筑施工企業(yè)安全管理信息系統(tǒng)的研究與開發(fā)[J]. 建筑安全,2013,02:59-62.
[2]詹宏昌,陳國(guó)華. 安全管理信息系統(tǒng)發(fā)展探討[J]. 工業(yè)安全與環(huán)保,2003,03:38-41.
[3]丁傳波,華燕,王際芝. 建筑企業(yè)安全管理信息系統(tǒng)的研究與開發(fā)[J]. 建筑科學(xué),2004,01:72-78.
[4]王晶禹,張景林,郭艷麗. 一種現(xiàn)代化的安全管理方法──安全管理信息系統(tǒng)[J]. 中國(guó)安全科學(xué)學(xué)報(bào),1999,05:25-29.
關(guān)鍵詞:網(wǎng)絡(luò)信息安全現(xiàn)狀防護(hù)
21世紀(jì)是互聯(lián)網(wǎng)信息高速發(fā)展的時(shí)代,隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,信息網(wǎng)絡(luò)化與全球化成為了世界潮流。計(jì)算機(jī)的廣泛應(yīng)用把人類帶入了一個(gè)全新的時(shí)代,特別是計(jì)算機(jī)網(wǎng)絡(luò)的社會(huì)化已成為信息時(shí)代的主要推動(dòng)力。網(wǎng)絡(luò)信息的安全問題日益突出,解決網(wǎng)絡(luò)信息安全問題是值得我們深思的重要課題。
一、網(wǎng)絡(luò)信息安全之現(xiàn)狀
1、病毒的危害
計(jì)算機(jī)病毒是專門用來破壞計(jì)算機(jī)正常工作,具有高級(jí)技巧的程序。它并不獨(dú)立存在,而是寄生在其他程序之中,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。常見的計(jì)算機(jī)病毒有:
1.1系統(tǒng)病毒:系統(tǒng)病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件,并通過這些文件進(jìn)行傳播。如CIH病毒。
1.2木馬病毒、黑客病毒:木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏,然后向外界泄露用戶的信息,而黑客病毒則有一個(gè)可視的界面,能對(duì)用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的,即木馬病毒負(fù)責(zé)侵入用戶的電腦,而黑客病毒則會(huì)通過該木馬病毒來進(jìn)行控制。
1.3蠕蟲病毒:蠕蟲病毒的前綴是:Worm。這種病毒的共有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播,很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件,阻塞網(wǎng)絡(luò)的特性。比如沖擊波(阻塞網(wǎng)絡(luò)),小郵差(發(fā)帶毒郵件)等。
2、信息安全管理制度不完善
在有關(guān)機(jī)構(gòu)進(jìn)行的信息安全調(diào)查中,2003年5月至2004年5月,在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡(luò)安全事件,占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明,造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實(shí)和安全防范意識(shí)薄弱。其中,由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的46%,登錄密碼過于簡(jiǎn)單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。信息安全管理制度的重要性并不低于信息技術(shù)本身,而是能在很大程度上能夠彌補(bǔ)技術(shù)缺陷本身所帶來的安全隱患。
3、黑客的威脅和攻擊
計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈,已經(jīng)成為具有一定經(jīng)濟(jì)條件和技術(shù)專長(zhǎng)的形形攻擊者活動(dòng)的舞臺(tái)。他們具有計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識(shí),能使用各種計(jì)算機(jī)工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重,他們通常采用非法侵入重要信息系統(tǒng),竊聽、獲取、攻擊侵入網(wǎng)的有關(guān)敏感性重要信息,修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài),造成數(shù)據(jù)丟失或系統(tǒng)癱瘓,給國(guó)家造成重大政治影響和經(jīng)濟(jì)損失。黑客問題的出現(xiàn)并非黑客能夠制造入侵的機(jī)會(huì),從沒有路的地方走出一條路,只是他們善于發(fā)現(xiàn)漏洞。
二、網(wǎng)絡(luò)信息安全之防護(hù)技術(shù)
1、防火墻技術(shù)
1.1是網(wǎng)絡(luò)安全的屏障
一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。
1.2防止內(nèi)部信息的外泄
通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。除了安全作用,有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。
1.3可強(qiáng)化網(wǎng)絡(luò)安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。
2、身份認(rèn)證技術(shù)
身份認(rèn)證(Authentication)是系統(tǒng)核查用戶身份證明的過程,其實(shí)質(zhì)是查明用戶是否具有它所請(qǐng)求資源的存儲(chǔ)使用權(quán)。身份識(shí)別(Adentification)是指用戶向系統(tǒng)出示自己的身份證明的過程.這兩項(xiàng)工作通常被稱為身份認(rèn)證。
身份認(rèn)證至少應(yīng)包括驗(yàn)證協(xié)議和授權(quán)協(xié)議。網(wǎng)絡(luò)中的各種應(yīng)用和計(jì)算機(jī)系統(tǒng)都需要通過身份認(rèn)證來確認(rèn)合法性,然后確定它的個(gè)人數(shù)據(jù)和特定權(quán)限。對(duì)于身份認(rèn)證系統(tǒng)來說,最重要的技術(shù)指標(biāo)是合法用戶的身份是否易于被別人冒充.用戶身份被冒充不僅可能損害用戶自身的利益,也可能損害其他用戶的利益或整個(gè)系統(tǒng)。因此,身份認(rèn)證是授權(quán)控制的基礎(chǔ)。只有有效的身份認(rèn)證,才能保證訪問控制、安全審計(jì)、入侵防范等安全機(jī)制的有效實(shí)施。身份認(rèn)證技術(shù)有以下幾種:基于口令的認(rèn)證技術(shù)、給予密鑰的認(rèn)證鑒別技術(shù)、基于智能卡和智能密碼鑰匙(USB KEY)的認(rèn)證技術(shù)、基于生物特征識(shí)別的認(rèn)證技術(shù)。
3、信息加密技術(shù)
加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段。信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密,兩種方法各有所長(zhǎng),可以結(jié)合使用,互補(bǔ)長(zhǎng)短。對(duì)稱密鑰加密,加密解密速度快、算法易實(shí)現(xiàn)、安全性好,缺點(diǎn)是密鑰長(zhǎng)度短、密碼空間小、“窮舉”方式進(jìn)攻的代價(jià)小。非對(duì)稱密鑰加密,容易實(shí)現(xiàn)密鑰管理,便于數(shù)字簽名,缺點(diǎn)是算法較復(fù)雜,加密解密花費(fèi)時(shí)間長(zhǎng)。加密技術(shù)中的另一重要的問題是密鑰管理,主要考慮密鑰設(shè)置協(xié)議、密鑰分配、密鑰保護(hù)、密鑰產(chǎn)生及進(jìn)入等方面的問題。
總而言之,在當(dāng)前網(wǎng)絡(luò)時(shí)代,保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全是非常有必要的。除了上述幾點(diǎn),我們還應(yīng)加快網(wǎng)絡(luò)信息安全技術(shù)手段的研究和創(chuàng)新,從而使網(wǎng)絡(luò)的信息能安全可靠地為廣大用戶服務(wù)。
參考文獻(xiàn):
關(guān)鍵詞:網(wǎng)絡(luò)審計(jì) 歷史財(cái)務(wù)報(bào)表審計(jì) 信息安全管理 風(fēng)險(xiǎn)評(píng)估
一、引言
從審計(jì)的角度,風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中,現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心,通過對(duì)被審計(jì)單位及其環(huán)境的了解,評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域,從而確定審計(jì)的范圍和重點(diǎn),進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度,企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范,要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來控制風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)為企業(yè)帶來損失的概率或縮小損失程度來達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同,本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上,從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開,將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析,以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。
二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較
(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的第47號(hào)審計(jì)標(biāo)準(zhǔn)說明中的審計(jì)風(fēng)險(xiǎn)模型,審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中,固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性;控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性;檢查風(fēng)險(xiǎn)是審計(jì)人員通過預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中,審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素,但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率,為企業(yè)的經(jīng)營(yíng)管理帶來很大的優(yōu)越性,但同時(shí)也為企業(yè)帶來了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過程中去了,這些集中的數(shù)據(jù)庫(kù)技術(shù)無疑會(huì)增加數(shù)據(jù)縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求,非專業(yè)人員難以察覺計(jì)算機(jī)舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn),例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口,使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn),如計(jì)算機(jī)信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來影響等。相對(duì)應(yīng)地,網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn),即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn),它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)??刂骑L(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn),其中,系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn),財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn),審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn),人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。
(二)風(fēng)險(xiǎn)評(píng)估目的無論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中,風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序,貫穿于審計(jì)的整個(gè)過程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此,兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)――財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類,因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過程中與該兩類審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng),無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同,企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同,因此,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面:物理層,即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性,它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn),主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過程中,審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然,這兩類風(fēng)險(xiǎn)并非完全分離的,評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來考慮。
(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容 廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同,因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的??偟膩碚f,網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)
險(xiǎn)》,在歷史財(cái)務(wù)報(bào)表審計(jì)中,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn),審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類風(fēng)險(xiǎn),審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中,威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來說,脆弱點(diǎn)本身不會(huì)帶來損失或信息錯(cuò)報(bào),威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來成功地引起破壞。因此,我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面:(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn),并分析脆弱點(diǎn)的嚴(yán)重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度,判斷風(fēng)險(xiǎn)發(fā)生的可能性;(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性,評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來的影響;(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施,審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。
(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求,審計(jì)人員應(yīng)當(dāng)實(shí)施詢問、分析程序、觀察和檢查等程序,以獲取被審計(jì)單位的信息,進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢問程序時(shí),審計(jì)人員的詢問對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí),除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外,審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí),除執(zhí)行常規(guī)程序外,審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估,審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等;管理方面如風(fēng)險(xiǎn)問卷調(diào)查、風(fēng)險(xiǎn)顧問訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為,并對(duì)通信流量進(jìn)行分析;滲透測(cè)試是指在獲取用戶授權(quán)后,通過真實(shí)模擬黑客使用的工具、方法來進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法;工具掃描是指通過評(píng)估工具軟件或?qū)S冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息,包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險(xiǎn)問卷調(diào)查與風(fēng)險(xiǎn)顧問訪談要求審計(jì)人員分別采用問卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況,使用時(shí)關(guān)鍵是要明確問卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析,進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評(píng)價(jià)方法,屬于前置軟件測(cè)試的一部分,主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià),審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。
三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較
(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程。作為信息安全保障體系建立過程中的重要的評(píng)價(jià)方法和決策機(jī)制,信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度,在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來的損失的基礎(chǔ)上,提出有針對(duì)性的防護(hù)和整改措施,將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù),其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進(jìn)一步審計(jì)程序。因此,兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響,它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn),包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中,審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見,因此,風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同,信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng);他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言,受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢類,即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開來。
(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見稿)國(guó)家標(biāo)準(zhǔn)中,它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開,并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過程是:(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)賦值;(2)對(duì)威脅進(jìn)行分析,并對(duì)威
脅發(fā)生的可能性賦值;(3)識(shí)別信息資產(chǎn)的脆弱性,并對(duì)弱點(diǎn)的嚴(yán)重程度賦值;(4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對(duì)組織的影響,即風(fēng)險(xiǎn)值。結(jié)合上文網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估五個(gè)方面的內(nèi)容可以看出,網(wǎng)絡(luò)審計(jì)和信息安全風(fēng)險(xiǎn)評(píng)估在內(nèi)容上有相近之處,即都需要針對(duì)信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點(diǎn)進(jìn)行識(shí)別。但是,信息安全管理作為企業(yè)的一項(xiàng)內(nèi)部管理,其風(fēng)險(xiǎn)評(píng)估工作需要從兩個(gè)層次展開:一是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其影響;二是提出防護(hù)或整改措施以控制風(fēng)險(xiǎn)。第一個(gè)層次的工作實(shí)質(zhì)上是為第二層次工作服務(wù)的,其重點(diǎn)在第二層次?!缎畔踩L(fēng)險(xiǎn)評(píng)估指南》(征求意見稿)提出,企業(yè)在確定出風(fēng)險(xiǎn)水平后,應(yīng)對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧⑿纬娠L(fēng)險(xiǎn)處理計(jì)劃。其中,風(fēng)險(xiǎn)處理的方式包括回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn),而控制措施的選擇應(yīng)兼顧管理和技術(shù),考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估工作主要集中在第一個(gè)層次,即審計(jì)人員通過風(fēng)險(xiǎn)評(píng)估,為進(jìn)一步審計(jì)中做出合理的職業(yè)判斷、有效地實(shí)施網(wǎng)絡(luò)審計(jì)程序和實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)目標(biāo)提供重要基礎(chǔ)。因此,兩者的評(píng)估內(nèi)容是存在區(qū)別的。
關(guān)鍵詞關(guān)鍵詞:工業(yè)控制系統(tǒng);行為審計(jì);智能分析;信息安全
DOIDOI:10.11907/rjdk.162241
中圖分類號(hào):TP319文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào)文章編號(hào):16727800(2017)001012004
引言
伴隨著工業(yè)化和信息化融合發(fā)展,大量IT技術(shù)被引入現(xiàn)代工業(yè)控制系統(tǒng)。網(wǎng)絡(luò)設(shè)備、計(jì)算設(shè)備、操作系y、嵌入式平臺(tái)等多種IT技術(shù)在工控系統(tǒng)中的遷移應(yīng)用已經(jīng)司空見慣。然而,工控系統(tǒng)與IT系統(tǒng)存在本質(zhì)差異,差異特質(zhì)決定了工控系統(tǒng)安全與IT系統(tǒng)安全不同。
(1)工控系統(tǒng)的設(shè)計(jì)目標(biāo)是監(jiān)視和控制工業(yè)過程,主要是和物理世界互動(dòng),而IT系統(tǒng)主要用于與人的交互和信息管理。電力配網(wǎng)終端可以控制區(qū)域電力開關(guān),類似這類控制能力決定了安全防護(hù)的效果。
(2)常規(guī)IT系統(tǒng)生命周期往往在5年左右,因此系統(tǒng)的遺留問題一般都較小。而工控系統(tǒng)的生命周期通常有8~15年,甚至更久,遠(yuǎn)大于常規(guī)IT系統(tǒng),對(duì)其遺留的系統(tǒng)安全問題必須重視。相關(guān)的安全加固投入涉及到工業(yè)領(lǐng)域商業(yè)模式的深層次問題(如固定資產(chǎn)投資與折舊)。
(3)工控系統(tǒng)安全遵循SRA(Safety、Reliability和Availability)模型,與IT系統(tǒng)的安全模型CIA(Confidentiality、Integrity和Availability)迥異。IT安全的防護(hù)機(jī)制需要高度的侵入性,對(duì)系統(tǒng)可靠性、可用性都有潛在的重要影響。因此,現(xiàn)有的安全解決方案很難直接用于工控系統(tǒng),需要深度設(shè)計(jì)相關(guān)解決方案,以匹配工控系統(tǒng)安全環(huán)境需求[12]。
1工控系統(tǒng)安全威脅及成因
工業(yè)控制系統(tǒng)安全威脅主要有以下幾個(gè)方面[35]:
(1)工業(yè)控制專用協(xié)議安全威脅。工業(yè)控制系統(tǒng)采用了大量的專用封閉工控行業(yè)通信協(xié)議,一直被誤認(rèn)為是安全的。這些協(xié)議以保障高可用性和業(yè)務(wù)連續(xù)性為首要目的,缺乏安全性考慮,一旦被攻擊者關(guān)注,極易造成重大安全事件。
(2)網(wǎng)絡(luò)安全威脅。TCP/IP 協(xié)議等通用協(xié)議與開發(fā)標(biāo)準(zhǔn)引入工控系統(tǒng),使得開放的工業(yè)控制系統(tǒng)面臨各種各樣的網(wǎng)絡(luò)安全威脅[67]。
早期工業(yè)控制系統(tǒng)為保證操作安全,往往和企業(yè)管理系統(tǒng)相隔離。近年來,為了實(shí)時(shí)采集數(shù)據(jù),滿足管理需求,工業(yè)控制系統(tǒng)通過邏輯隔離方式與企業(yè)管理系統(tǒng)直接通信,而企業(yè)管理系統(tǒng)一般連接Internet,這種情況下,工業(yè)控制系統(tǒng)接入的范圍不僅擴(kuò)展到了企業(yè)網(wǎng),而且面臨來自Internet的威脅。在公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)混合的情況下,工業(yè)控制系統(tǒng)安全狀態(tài)更加復(fù)雜。
(3)安全規(guī)程風(fēng)險(xiǎn)。為了優(yōu)先保證系統(tǒng)高可用性而把安全規(guī)程放在次要位置,甚至犧牲安全來實(shí)現(xiàn)系統(tǒng)效率,造成了工業(yè)控制系統(tǒng)常見的安全隱患。以介質(zhì)訪問控制策略為代表的多種隱患時(shí)刻威脅著工控系統(tǒng)安全。為實(shí)現(xiàn)安全管理制定符合需求的安全策略,并依據(jù)策略制定管理流程,是確保ICS 系統(tǒng)安全性和穩(wěn)定性的重要保障。
(4)操作系統(tǒng)安全威脅。工業(yè)控制系統(tǒng)有各種不同的通用操作系統(tǒng)(Window、Linux)以及嵌入式OS,大量操作系統(tǒng)版本陳舊(Win95、Win me、Win2K等)。鑒于工控軟件與操作系統(tǒng)補(bǔ)丁存在兼容性問題,系統(tǒng)上線和運(yùn)行后一般不會(huì)對(duì)平臺(tái)打補(bǔ)丁,導(dǎo)致應(yīng)用系統(tǒng)存在很大的安全風(fēng)險(xiǎn)。
(5)終端及應(yīng)用安全風(fēng)險(xiǎn)。工業(yè)控制系統(tǒng)終端應(yīng)用大多固定不變,系統(tǒng)在防范一些傳統(tǒng)的惡意軟件時(shí),主要在應(yīng)用加載前檢測(cè)其完整性和安全性,對(duì)于層出不窮的新型攻擊方式和不斷改進(jìn)的傳統(tǒng)攻擊方式,采取這種安全措施遠(yuǎn)遠(yuǎn)不能為終端提供安全保障。因此,對(duì)靜態(tài)和動(dòng)態(tài)內(nèi)容必須進(jìn)行安全完整性認(rèn)證檢查。
2審計(jì)方案設(shè)計(jì)及關(guān)鍵技術(shù)
2.1系統(tǒng)總體架構(gòu)
本方案針對(duì)工控系統(tǒng)面臨的五大安全威脅,建立了基于專用協(xié)議識(shí)別和異常分析技術(shù)的安全審計(jì)方案,采用基于Fuzzing的漏洞挖掘技術(shù),利用海量數(shù)據(jù)分析,實(shí)現(xiàn)工控系統(tǒng)的異常行為監(jiān)測(cè)和安全事件智能分析,實(shí)現(xiàn)安全可視化,系統(tǒng)框架如圖1所示。
電力、石化行業(yè)工業(yè)控制系統(tǒng)行為審計(jì),主要對(duì)工業(yè)控制系統(tǒng)的各種安全事件信息進(jìn)行采集、智能關(guān)聯(lián)分析和軟硬件漏洞挖掘,實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全評(píng)估及安全事件準(zhǔn)確定位的目的[89]。
審計(jì)系統(tǒng)采用四層架構(gòu)設(shè)計(jì),分別是數(shù)據(jù)采集層、信息數(shù)據(jù)管理層、安全事件智能分析層和安全可視化展示層。其中數(shù)據(jù)采集層通過安全、鏡像流量、抓取探測(cè)等方式,監(jiān)測(cè)工控網(wǎng)絡(luò)系統(tǒng)中的服務(wù)日志、通信會(huì)話和安全事件。多層部署采用中繼隔離方式單向上報(bào)采集信息,以適應(yīng)各種網(wǎng)絡(luò)環(huán)境。信息數(shù)據(jù)管理層解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各種專用協(xié)議,對(duì)海量數(shù)據(jù)進(jìn)行分布式存儲(chǔ),優(yōu)化存儲(chǔ)結(jié)構(gòu)和查詢效率,實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)層可伸縮性和可擴(kuò)展性。智能分析層通過對(duì)異構(gòu)數(shù)據(jù)的分析結(jié)果進(jìn)行預(yù)處理,采用安全事件關(guān)聯(lián)分析和安全數(shù)據(jù)挖掘技術(shù),審計(jì)工控系統(tǒng)應(yīng)用過程中的協(xié)議異常和行為異常。安全綜合展示層,對(duì)安全審計(jì)結(jié)果可視化,呈現(xiàn)工業(yè)控制系統(tǒng)安全事件,標(biāo)識(shí)安全威脅,并對(duì)工業(yè)控制系統(tǒng)安全趨勢(shì)作出預(yù)判。
2.2審計(jì)系統(tǒng)關(guān)鍵技術(shù)及實(shí)現(xiàn)
2.2.1專用協(xié)議識(shí)別和異常分析技術(shù)
關(guān)鍵詞:自主研學(xué);第三方支付;客戶端安全;瀏覽器劫持
我國(guó)的高等院校信息安全專業(yè)本科的建立和發(fā)展至今尚不足8年。這些年來,有關(guān)專業(yè)人士就如何發(fā)展和完善信息安全專業(yè)建設(shè)進(jìn)行了廣泛的研究和探討,比如,如何結(jié)合學(xué)校特色加強(qiáng)信息安全專業(yè)的建設(shè)、信息安全專業(yè)人才培養(yǎng)存在的若干問題、信息安全專業(yè)人才培養(yǎng)模式的探討、信息安全課程體系和實(shí)驗(yàn)體系的建設(shè)、信息安全專業(yè)應(yīng)用型人才的培養(yǎng),等等[1-2]。國(guó)外大學(xué)關(guān)于信息安全專業(yè)教育方面的研究也不少,特別在信息安全實(shí)驗(yàn)教學(xué)方面有許多很具體的研究和探索[3-4]。北京信息科技大學(xué)信息安全專業(yè)成立于2004年,近些年來,本專業(yè)特別注重結(jié)合學(xué)校具體情況,為培養(yǎng)信息安全應(yīng)用型人才進(jìn)行積極的探索,無論在專業(yè)建設(shè)和學(xué)科建設(shè)方面都取得了一定成效。筆者在“入侵檢測(cè)技術(shù)”這門課程的實(shí)驗(yàn)教學(xué)方面進(jìn)行過積極探索[5],采用課內(nèi)實(shí)驗(yàn)與課外實(shí)驗(yàn)相結(jié)合的方式增加學(xué)生動(dòng)手的機(jī)會(huì),使學(xué)生在實(shí)踐中學(xué)習(xí),在實(shí)踐中增強(qiáng)各種能力。但是無論從學(xué)校方面,還是從教師方面做再多的努力,都難以回避一個(gè)不爭(zhēng)的事實(shí):大多數(shù)學(xué)生玩游戲上癮,自主研學(xué)的習(xí)慣和精神嚴(yán)重缺乏。因此,無論進(jìn)行什么樣的教學(xué)模式創(chuàng)新與改革,無論提供什么樣的教學(xué)和實(shí)驗(yàn)環(huán)境,其效果都會(huì)大打折扣。這是我們必須要面對(duì),同時(shí)也要盡快解決的現(xiàn)實(shí)問題。筆者從事多年的信息安全專業(yè)的教學(xué),同時(shí)又長(zhǎng)期兼任信息安全專業(yè)班級(jí)的班主任,即站在專業(yè)教學(xué)的第一線,也站在學(xué)生管理的第一線,有更多的時(shí)間和機(jī)會(huì)在如何引導(dǎo)學(xué)生自主研學(xué)方面進(jìn)行廣泛和深入的探索。
1發(fā)現(xiàn)和提出問題
隨著互聯(lián)網(wǎng)上各種應(yīng)用和服務(wù)不斷增多,信息安全問題越來越受到人們的關(guān)注。目前,網(wǎng)絡(luò)銀行和第三方支付系統(tǒng)在各種網(wǎng)上應(yīng)用和服務(wù)中扮演極其重要的角色,而它的安全問題一直受到有關(guān)各方的重視,但沒有得到根本上的解決,這將嚴(yán)重影響未來網(wǎng)上服務(wù)和應(yīng)用的進(jìn)一步發(fā)展。筆者通過一個(gè)真實(shí)的案例,吸引學(xué)生的興趣,引導(dǎo)他們結(jié)合所學(xué)的知識(shí)去分析問題和解決問題。案例的具體內(nèi)容涉及一個(gè)用戶利用第三方支付系統(tǒng)還房貸而遭受較大的資金損失。筆者在這個(gè)事件發(fā)生后,親歷了此案例的調(diào)查,事件發(fā)生的過程如下:一個(gè)用戶看到某第三方支付商提供的廣告后,進(jìn)行了信用卡還款操作。圖1是用戶在操作時(shí)輸入的重要信息。
左窗口是要求用戶輸入接收方的信用卡卡號(hào)、用戶名及還款金額;右窗口是付款方的借記卡所屬銀行、個(gè)人電子郵件和手機(jī)號(hào)碼。完成各項(xiàng)填寫后,按確認(rèn)鍵,進(jìn)入所選銀行的付款頁面,該頁面顯示商城名稱、訂單號(hào)、訂單金額、商品名稱等提示信息,并要求輸入支付卡的卡號(hào)和口令,接下來用戶只要插上自己的有效的安全U盾,輸入正確的PIN碼后就可以完成付款。本案例中的用戶共進(jìn)行了二次支付,共計(jì)支付了8萬多元錢。過了幾天,所支付的錢依然沒有到達(dá)接收卡賬戶上。用戶查詢后發(fā)現(xiàn),這二筆錢通過另一家支付系統(tǒng)分別轉(zhuǎn)入了某地二個(gè)不同的賬戶,而他所選用的第三方支付商根本沒有接受這二筆交易。
筆者將上述真實(shí)的案例告訴學(xué)生,首先是讓他們了解該安全事件的具體表現(xiàn)。接下來給學(xué)生提出更多的問題,比如:通過第三方的支付過程涉及哪些主體?這些主體各自應(yīng)該承擔(dān)的安全責(zé)任和應(yīng)當(dāng)采取的安全機(jī)制是什么?上述案例中存在的安全漏洞到底在哪?這樣的安全漏洞能夠解決嗎?采用什么安全機(jī)制能防范或制止這種安全漏洞?為了讓學(xué)生更快地進(jìn)入角色,筆者給他們提出一些建議:
1) 通過第三方支付系統(tǒng)完成一次網(wǎng)上的實(shí)際轉(zhuǎn)賬過程;
2) 上中國(guó)金融認(rèn)證中心網(wǎng)站,了解網(wǎng)上支付過程及相關(guān)安全知識(shí);
3) 了解客戶端及IE瀏覽器存在的安全漏洞。
2描述和理解問題
學(xué)生們帶著對(duì)上述案例的興趣及若干問題去查找相關(guān)資料,經(jīng)過一段時(shí)間的學(xué)習(xí)和討論以后,他們能夠與老師討論這個(gè)案例,并能完成對(duì)相關(guān)問題的描述和理解。
首先,了解到第三方支付系統(tǒng)的支付過程,涉及支付用戶、收款用戶、第三方支付系統(tǒng)、網(wǎng)上銀行、認(rèn)證中心(CA),以及網(wǎng)上通信。若存在購(gòu)物交易,還應(yīng)包括商家。本案例中用戶的在線支付,不是為了完成購(gòu)物而是為了還款,實(shí)質(zhì)上就是利用第三方支付系統(tǒng)進(jìn)行轉(zhuǎn)賬。這種轉(zhuǎn)賬方式,是在網(wǎng)上銀行與用戶方之間增加了第三方支付商,增加了這樣一個(gè)支付環(huán)節(jié),很有可能會(huì)給用戶帶來了額外的風(fēng)險(xiǎn)。若從技術(shù)層面上來考慮,這種支付過程,涉及到客戶端、第三方支付系統(tǒng)的服務(wù)器端、網(wǎng)銀系統(tǒng)的服務(wù)器端、認(rèn)證系統(tǒng)服務(wù)器、互聯(lián)網(wǎng)通信等多個(gè)方面。一旦出現(xiàn)安全事件,每一個(gè)相關(guān)方面都有可能成為安全事件起因。當(dāng)然,事件的確切原因需要具體問題具體分析。
第二,所涉及到的各方都會(huì)采用相應(yīng)安全機(jī)制來保證系統(tǒng)的安全,其中認(rèn)證中心、銀行采用的安全機(jī)制最強(qiáng)、在安全方面投入也更高;第三方支付系統(tǒng)相對(duì)弱一些;用戶端存在的安全隱患相對(duì)更多一些。目前,國(guó)內(nèi)銀行的認(rèn)證還是由各銀行自行完成,以后這方面的工作應(yīng)該由中國(guó)金融認(rèn)證中心來完成。到目前為止有關(guān)網(wǎng)銀安全事件的發(fā)生原因,都與網(wǎng)銀的服務(wù)器端沒有直接原因,主要由于客戶端存在病毒、或用戶操作不當(dāng)造成的。相比較而言,第三方支付系統(tǒng)存在的安全隱患更大,其中包括監(jiān)管和技術(shù)二方面的原因。但是就目前所發(fā)生的有關(guān)安全事件來看,第三方支付系統(tǒng)的服務(wù)器端出現(xiàn)技術(shù)或人為安全問題的可能性不大,因?yàn)槿羰欠?wù)器端出現(xiàn)問題,其造成資金的損失,一定會(huì)是以億計(jì),而且會(huì)涉及大量的用戶。與其他主體相比,客戶端存在的安全問題相對(duì)比較多,比如,操作系統(tǒng)和IE沒有及時(shí)升級(jí)、沒有安裝殺毒軟件或沒有對(duì)殺毒軟件的病毒庫(kù)及時(shí)更新,等等。本案例中用戶所用的Window系統(tǒng)版本較早且未及時(shí)打補(bǔ)丁,所用IE版本較低。筆者用諾頓殺毒軟件對(duì)案中用戶所用U盤進(jìn)行過檢測(cè),出現(xiàn)了Spyware.Keylogger報(bào)警。經(jīng)查詢,這是一個(gè)間諜軟件,在2007年2月升級(jí),可以截屏,可以記錄擊鍵信息。該軟件可能來自網(wǎng)站、電子郵件、即時(shí)消息及直接文件共享連接,此外用戶在接受某個(gè)軟件程序的最終用戶許可協(xié)議時(shí),可能會(huì)在毫無察覺的情況下收到該間諜軟件。
第三,在網(wǎng)絡(luò)通信方面,目前網(wǎng)上交易大都采用SSL、SET等安全協(xié)議,所用安全協(xié)議的安全功能包括身份認(rèn)證服務(wù)、機(jī)密性保護(hù)服務(wù)、數(shù)據(jù)完整、不可否認(rèn)等,從這些年的實(shí)踐上來看,SSL和SET二個(gè)安全協(xié)議尚未有明顯易攻擊的安全漏洞 [6]。
最終,通過認(rèn)真分析交易環(huán)節(jié)、上網(wǎng)查詢相似案例的報(bào)道、以及檢查用戶交易所用的筆計(jì)本電腦,確認(rèn)這是一起典型的發(fā)生在客戶端的中間人攻擊事件,利用了客戶端與第三方交易系統(tǒng)存在的漏洞。這里所說的第三方交易系統(tǒng)存在安全漏洞,主要是指三方面的內(nèi)容,其一,如圖1所示,當(dāng)用戶在左窗口中輸入賬戶信息時(shí),所輸數(shù)據(jù)極易被鍵盤截獲木馬所截獲;其二,沒有采用適當(dāng)?shù)陌踩丶婪兑恍┏R姽?;其三,第三方支付系統(tǒng)存在更易被利用的弱點(diǎn)。下面重點(diǎn)分析本案例中的客戶端的安全問題,這是目前最常見的,也是難于解決的問題。
圖2是客戶端的涉及IE瀏覽器、鍵盤和安全U盾三個(gè)實(shí)體的數(shù)據(jù)流圖。
就本文所提案例而言,用戶進(jìn)入第三方支付系統(tǒng)A網(wǎng)站后,首先在圖1左端窗口輸入接收卡信息,在右端窗口選擇支付銀行及個(gè)人Email和手機(jī)信息,正常情況下,這些信息通過IE內(nèi)置SSL模塊,建立SSL連接,將信息安全傳送至第三方支付系統(tǒng)A服務(wù)器端;然后再依據(jù)用戶所選擇的支付銀行,鏈接銀行支付頁面進(jìn)行支付,支付時(shí)要求輸入用戶銀行卡號(hào)、用戶銀行卡密碼及付款金額,提示用戶插入安全U盾,輸入PIN碼。該過程用戶所輸入的信息通過IE傳遞給安全U盾,進(jìn)行簽名和加密運(yùn)算以后,再返回IE傳送至網(wǎng)銀支付網(wǎng)關(guān),網(wǎng)銀系統(tǒng)的服務(wù)器端對(duì)數(shù)據(jù)進(jìn)行認(rèn)證和解密后,將資金從用戶支付卡上轉(zhuǎn)至第三方支付系統(tǒng)。延遲一段時(shí)間后,資金才由第三方支付系統(tǒng)轉(zhuǎn)入用戶所輸入的接收卡中。
在本文的案例中,用戶的資金通過另一個(gè)第三支付系統(tǒng)B轉(zhuǎn)入非用戶指定的接收卡賬戶。這顯然是一種瀏覽器劫持行為,此行為發(fā)生在調(diào)用網(wǎng)銀支付頁面以前,它更改了接收卡信息,同時(shí)由另一第三方支付系統(tǒng)B,代替了用戶所選擇的第三方支付系統(tǒng)A,因此網(wǎng)銀支付頁面是由第三方支付系統(tǒng)B提供的鏈接。在接下來的支付過程中,無論是用戶方、第三方支付系統(tǒng)A、第三方支付系統(tǒng)B,還是銀行方均不會(huì)發(fā)現(xiàn)任何異常情況。
分析了整個(gè)入侵過程以后,教師自然引入以下幾個(gè)問題:
1) 非法者為何要選擇在此操作環(huán)節(jié)進(jìn)行IE劫持?這種IE劫持是如何實(shí)現(xiàn)的?
2) 非法者為何要選擇第三方支付系統(tǒng)B作為他們的支付平臺(tái)?該平臺(tái)是否有漏洞更容易被利用?
3) 若該用戶直接進(jìn)入網(wǎng)銀界面進(jìn)行類似的轉(zhuǎn)賬操作會(huì)有資金會(huì)發(fā)生資金損失嗎?
4) 能否防范此類IE劫持行為?如何防范?
3分析和實(shí)踐
前面描述了如何引導(dǎo)學(xué)生去發(fā)現(xiàn)和理解問題。接下來是組織學(xué)生進(jìn)一步分析問題,并著手尋找解決問題的方法和途徑。筆者通過與學(xué)生們討論,將接下來所要進(jìn)行的工作分成四大部分。第一、明確和掌握文中所提案例的攻擊原理;第二、通過分析和模擬攻擊行為,進(jìn)一步理解和掌握相關(guān)攻擊原理和實(shí)現(xiàn)方法;第三、設(shè)計(jì)并實(shí)現(xiàn)新的安全機(jī)制,防范相關(guān)攻擊;第四、驗(yàn)證新的安全防范機(jī)制的有效性。
3.1瀏覽器劫持技術(shù)的原理
從目前的資料來看,“瀏覽器劫持”攻擊的滲透途徑有很多,其中最常見的方式有通過BHO DLL插件、Hook技術(shù)達(dá)到對(duì)用戶的瀏覽器進(jìn)行篡改的目的。這些載體可以直接寄生于瀏覽器的模塊里,成為瀏覽器的一部分,進(jìn)而直接操縱瀏覽器的行為。
什么是BHO DLL插件、Hook技術(shù)?它們的作用是什么?它們是如何被合法和不法利用的?“瀏覽器劫持”攻擊是如何利用這些技術(shù)從事了非法或非授權(quán)行為的?
首先了解BHO技術(shù)[7]。BHO是微軟早在1999年推出的作為瀏覽器對(duì)第三方程序員開放交互接口的業(yè)界標(biāo)準(zhǔn)。BHO可以獲知和實(shí)現(xiàn)瀏覽器的大部分事件和功能,也就是說,它可以利用少量的代碼控制瀏覽器行為。程序員可以設(shè)計(jì)出一個(gè)BHO控制瀏覽器跳轉(zhuǎn)到他想讓用戶去的頁面,這就所謂的“瀏覽器劫持”――BHO劫持。
其次,引入Hook(鉤子)技術(shù)。Hook[8]是Windows消息處理機(jī)制的一個(gè)平臺(tái),應(yīng)用程序可以在上面設(shè)置子程序以監(jiān)視指定窗口的某種消息,并且當(dāng)消息到達(dá)后,在目標(biāo)窗口處理函數(shù)之前處理它。Hook機(jī)制允許應(yīng)用程序截獲處理Window消息或特定事件。把Hook技術(shù)應(yīng)用到瀏覽器上面,就成了另一種控制瀏覽器行為的方法,稱為IE鉤子。IE鉤子程序載入進(jìn)程后便能獲知所有的消息類型、API和內(nèi)容,一旦發(fā)現(xiàn)某個(gè)符合要求的消息,如IE執(zhí)行了某個(gè)事件,或者用戶輸入了特定內(nèi)容,鉤子的處理代碼就開始工作了,它先攔截系統(tǒng)發(fā)送給IE的消息,然后分析消息內(nèi)容,根據(jù)不同消息內(nèi)容作出修改后再發(fā)給IE,就完成了一次Hook篡改過程。
接下來的問題就是:案例中的攻擊者是如何使攻擊得逞的呢?攻擊者能夠得逞需要具備哪些條件?
3.2第三方支付系統(tǒng)的弱點(diǎn)
本案例有一個(gè)值得關(guān)注的地方,就是詐騙者利用了另一家B支付系統(tǒng)將客戶資金進(jìn)行了非法轉(zhuǎn)移。這個(gè)B支付系統(tǒng)有什么更易被利用的弱點(diǎn)嗎?筆者對(duì)B支付系統(tǒng)進(jìn)行考察后發(fā)現(xiàn),該支付系統(tǒng)給商家提供了信用支付功能,通過該功能,商家可以通過一個(gè)鏈接讓買家通過網(wǎng)銀進(jìn)行支付。該支付系統(tǒng)為注冊(cè)商家和非注冊(cè)商家都提供了一個(gè)這樣的功能,也就是說任意一個(gè)人,都可以不經(jīng)任何審查過程,實(shí)現(xiàn)這樣一個(gè)功能。
如圖3所示,要完成信用支付,任何一個(gè)注冊(cè)或非注冊(cè)用戶第一步要做的是輸入工行的信用卡號(hào)及其它相關(guān)信息。輸入完成后,再進(jìn)行確認(rèn)。最后生成一個(gè)支付鏈接。
如圖4所示。所生成的支付鏈接中的最后二項(xiàng),一個(gè)是“money=xxxxx”,另一個(gè)是“payUrl=xxxx”等號(hào)后面的內(nèi)容。前者是支付金額,后者是商品鏈接。等號(hào)后面的內(nèi)容允許商戶根據(jù)需要進(jìn)行修改。正是這個(gè)鏈接為網(wǎng)上開店的商戶完成商品的支付功能,提供了很大方便,但同時(shí),也為攻擊者進(jìn)行網(wǎng)上詐騙大開方便之門。
3.3模擬運(yùn)行環(huán)境及攻擊行為
通過對(duì)攻擊行為的模擬,可以使學(xué)生更好地理解攻擊行為的原理、作用及局限,同時(shí)也能夠大大增強(qiáng)學(xué)生的編程能力。
第一,利用鉤子技術(shù)實(shí)現(xiàn)對(duì)鍵盤的記錄[9]。由于鍵盤記錄器需要監(jiān)控鍵盤的所有輸入,因此必須安裝為全局的鉤子,該鉤子函數(shù)應(yīng)當(dāng)寫入一個(gè)DLL文件內(nèi)。該DLL由VC編寫,相應(yīng)參考資料很多。
第二,利用BHO技術(shù)實(shí)現(xiàn)URL的攔截[10]。該BHO插件在VC6.0下開發(fā)。基本實(shí)現(xiàn)過程:①ATL Object到該項(xiàng)目中。②實(shí)現(xiàn)IObjectWithSite的接口方法。③實(shí)現(xiàn)IDispatch接口方法。④修改注冊(cè)表文件,追加BHO的注冊(cè)信息。
第三,網(wǎng)上支付系統(tǒng)[11]保證客戶端資金安全的最核心的機(jī)制是采用安全U盾。為了使學(xué)生充分掌握和了解安全U盾的應(yīng)用,給學(xué)生提供了堅(jiān)石誠(chéng)信科技公司的安全U盾產(chǎn)品ET199,能夠使用MS CryptoAPI接口開發(fā)ET199的應(yīng)用。
3.4建立新的安全防范機(jī)制
分析和模擬的目的是為了能夠有更好的思路和手段來實(shí)現(xiàn)新的安全防范機(jī)制,避免類似的攻擊案例的發(fā)生。
從對(duì)文中案例的分析情況來看,第三方支付系統(tǒng)顯然存在弱點(diǎn),需要企業(yè)本身和相關(guān)監(jiān)管部門進(jìn)一步完善業(yè)務(wù)流程和監(jiān)管手段。作為用戶一方,如何保證客戶端不被非法程序所侵害,也應(yīng)引起足夠的重視。目前,所能采取的技術(shù)手段是利用系統(tǒng)監(jiān)控技術(shù),監(jiān)控文件目錄的變動(dòng)、注冊(cè)表的修改、進(jìn)程的創(chuàng)建等[9]。
1) 文件監(jiān)控技術(shù)。Windows SDK提供了兩種API進(jìn)行文件監(jiān)控。FindChange- Notification系列函數(shù)和ReadDirectory- ChangesW()函數(shù)。
2) 注冊(cè)表監(jiān)控技術(shù)。Windows SDK提供了一個(gè)函數(shù):RegNotifyChangeKeyValue(),可以完成對(duì)指定注冊(cè)表路徑項(xiàng)的監(jiān)視。
3) 進(jìn)程監(jiān)控技術(shù)。進(jìn)程監(jiān)控的有多種方法。最好的方法是采用API Hook。API Hook的主要思路是攔截基于操作系統(tǒng)提供的API函數(shù),使其在執(zhí)行這些函數(shù)前首先運(yùn)行自己的代碼,可以使用這種方法來記錄系統(tǒng)中的一些關(guān)鍵操作。
4結(jié)語
當(dāng)前,學(xué)生自主研學(xué)能力的缺乏具有一定的普遍
性,特別是在與我校同檔次的高校中,情況更為普遍。因此,無論從學(xué)校層面還是從專業(yè)教學(xué)層面上都在積極采取辦法提高學(xué)生自主研學(xué)能力,如鼓勵(lì)成立學(xué)生社團(tuán)、舉辦課外專業(yè)競(jìng)賽、提供學(xué)校學(xué)生基金項(xiàng)目、創(chuàng)新理論教學(xué)和實(shí)驗(yàn)教學(xué),等等。本文探討了一種新的方法和途徑:以學(xué)生感興趣的應(yīng)用型項(xiàng)目為依托,積極引導(dǎo)學(xué)生自主研學(xué)。只有當(dāng)學(xué)生提高了自主研學(xué)的能力和興趣以后,他們才能夠在大學(xué)所提供的各種教育活動(dòng)中,更有效地提高自身的實(shí)踐能力、溝通能力、團(tuán)隊(duì)合作能力和知識(shí)應(yīng)用能力。
參考文獻(xiàn):
[1] 李暉,馬建峰. 結(jié)合學(xué)校特色加強(qiáng)信息安全專業(yè)建設(shè)的幾點(diǎn)體會(huì)[J]. 北京電子科技學(xué)院學(xué)報(bào),2006(3):3-4.
[2] 譚云松,王海暉,伍慶華,等. 信息安全專業(yè)實(shí)踐教學(xué)體系研究[J]. 高教論壇,2006(5):82-84.
[3] Du Wenliang,Teng Zhouxuan,Wang Ronghua. SEED:a suite of instructional laboratories for computer security education[C]. SIGCSE’07 Proceedings of the 38th SIGCSE technical symposium on computer science education, March,2007:486-490.
[4] Hu J,Meinel C,Schmitt M.Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education[C]. SIGCSE’04 Proceedings of the 35th SIGCSE technical symposium on computer science education,March,2004:412-416.
[5] 劉凱. 入侵檢測(cè)技術(shù)實(shí)驗(yàn)教學(xué)的設(shè)計(jì)與研究[J]. 計(jì)算機(jī)教育,2009(4):139-142.
[6] Rolf Oppliger,Ruedi Rytz,Thomas Holderegger. Internet Banking: Client-Side Attacks and Protection Mechanisms [J]. IEEE Computer,2009,42(6):27-33.
[7] Microsoft Corporation. IObjectWithSite Interface [EB/OL]. [2010-11-16]. /en-us/
library/Aa768220.aspx.
[8] Microsoft Corporation. Hooks [EB/OL]. [2010-11-16]. /en-us/library/ms632589(VS.85).
aspx.
[9] 裴要強(qiáng),孟波. Windows 黑客技術(shù)揭密與攻防1:C語言篇[M]. 北京:中國(guó)鐵道出版社,2010:243-252.
[10] Scott Pobert. Intertnet Explore 5程序設(shè)計(jì)[M]. 北京博彥科技發(fā)展有限責(zé)任公司,譯. 北京:清華大學(xué)出版社,2001:429-440.
[11] 堅(jiān)實(shí)誠(chéng)信科技有限公司. ET199超級(jí)多功能鎖資料下載[EB/OL]. [2010-11-16]. .cn/et199/download_
authentication.php.
Effective Case of Guiding Undergraduate on Information Security Speciality in Independent Study
LIU Kai, CHEN Xin
(Department of Information Security, Beijing Information Sci. &Tech Univ., Beijing 100101,China)
【關(guān)鍵詞】銀行;信息安全;管理體系
從上世紀(jì)八十年代至今,信息技術(shù)因其獨(dú)特的優(yōu)勢(shì)在銀行業(yè)的地位發(fā)生了巨大的變化。在銀行業(yè)應(yīng)用信息技術(shù)之初,只是被作為提高銀行工作效率的手段,隨著信息技術(shù)的不斷發(fā)展與進(jìn)步,當(dāng)前其已經(jīng)成為銀行系統(tǒng)中不可或缺的工具??梢哉f信息技術(shù)的發(fā)展促進(jìn)了銀行管理模式的變化,并且直接影響到銀行的業(yè)務(wù)流程[1]。由于銀行對(duì)信息技術(shù)的依賴程度越來越高,銀行信息系統(tǒng)的運(yùn)行安全與銀行業(yè)的安全以及國(guó)家金融穩(wěn)定密切相關(guān),因此做好銀行信息安全管理是保障國(guó)家金融穩(wěn)定運(yùn)行的重要措施。目前我國(guó)銀行的信息技術(shù)水平與規(guī)模得到了不斷提高,但在信息安全管理方面存在一些不足,這就需要構(gòu)建銀行信息安全管理體系,對(duì)銀行的各項(xiàng)信息進(jìn)行全面的管理,有效避免風(fēng)險(xiǎn)的發(fā)生。
1.銀行信息安全管理中出現(xiàn)的問題
各種信息技術(shù)設(shè)備在銀行業(yè)的廣泛應(yīng)用,雖然有效提升了銀行的工作效率與服務(wù)質(zhì)量,但是也逐漸暴露出各種信息安全管理問題,主要表現(xiàn)在以下幾個(gè)方面。
1.1 信息安全管理體系不健全
我國(guó)很多銀行在安全管理方面存在各種問題,其中最為普遍的就是信息安全管理體系不健全。這些銀行的起步較晚,信息技術(shù)的應(yīng)用范圍相對(duì)狹窄,在風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)等方面有待完善,并且信息安全的實(shí)施策略、標(biāo)準(zhǔn)以及質(zhì)量控制等還沒有達(dá)到國(guó)際標(biāo)準(zhǔn)。同時(shí)部分銀行制定的信息安全策略不夠完善,尤其表現(xiàn)在信息資產(chǎn)的管理以及業(yè)務(wù)管理等方面,極大增加了信息系統(tǒng)的安全隱患,而一些銀行的信息安全管理工作流于形式,根本沒有建立全面而長(zhǎng)效的信息安全管理機(jī)制。
1.2 運(yùn)維監(jiān)控與預(yù)警系統(tǒng)存在問題
我國(guó)的一些銀行還沒有建立有效的運(yùn)維監(jiān)控與預(yù)警系統(tǒng),或者在銀行的硬件設(shè)施與業(yè)務(wù)系統(tǒng)方面存在一些缺陷,無法對(duì)銀行的重要設(shè)備以及周圍的環(huán)境進(jìn)行實(shí)時(shí)監(jiān)測(cè)。部分銀行在風(fēng)險(xiǎn)預(yù)警監(jiān)控方面的自動(dòng)化程度有待提高,而在對(duì)突發(fā)事件、意外事件等進(jìn)行預(yù)警與監(jiān)測(cè)時(shí)人工檢測(cè)占據(jù)了大部分比例,這樣就很難保障銀行風(fēng)險(xiǎn)預(yù)警監(jiān)控的可靠性與及時(shí)性。
1.3 銀行工作人員導(dǎo)致的風(fēng)險(xiǎn)
當(dāng)前很多銀行的管理人員并沒有加強(qiáng)對(duì)員工安全意識(shí)的定期強(qiáng)制性培訓(xùn),員工普遍缺乏安全意識(shí),在工作過程中不能很好地保障銀行的信息安全,在出現(xiàn)問題后也無法及時(shí)發(fā)現(xiàn),這就導(dǎo)致銀行潛在的風(fēng)險(xiǎn)增加。一些銀行員工由于缺乏安全意識(shí),可能會(huì)將私人的優(yōu)盤等設(shè)備接入銀行的信息系統(tǒng)中,導(dǎo)致病毒入侵,直接威脅到銀行的信息安全。同時(shí)目前銀行還普遍缺乏風(fēng)險(xiǎn)管理專業(yè)人才,無法做到對(duì)風(fēng)險(xiǎn)的專業(yè)化管理[2]。
1.4 信息技術(shù)的監(jiān)控與審計(jì)不完善
當(dāng)前部分銀行在信息技術(shù)的監(jiān)控與設(shè)計(jì)方面有待加強(qiáng)。首先審計(jì)問題的整改落實(shí)不到位,銀行在通過審計(jì)發(fā)現(xiàn)問題后沒有及時(shí)查處,或者查處的力度不夠,缺乏長(zhǎng)效的監(jiān)督;大多采用經(jīng)濟(jì)處罰,遇到侵犯領(lǐng)導(dǎo)利益的事件就大事化了或隱瞞事實(shí)。其次,銀行審計(jì)的廣度、深度還不夠,并且審核的周期與間隔較長(zhǎng),部分基層銀行甚至完全不開展信息技術(shù)審計(jì)工作。一些銀行雖然開展了審計(jì)工作,但審計(jì)缺乏深度,很難識(shí)別深層次的安全隱患[3]。
2.加強(qiáng)銀行信息安全管理的重要性
銀行加強(qiáng)信息安全的主要目的就是為了保障信息化的持續(xù)穩(wěn)定發(fā)展,信息安全不僅屬于技術(shù)問題,也屬于管理問題。從信息技術(shù)層面來看,當(dāng)前我們使用的很多操作系統(tǒng)存在一定的安全漏洞,開發(fā)商會(huì)針對(duì)發(fā)現(xiàn)的漏洞設(shè)計(jì)相應(yīng)的補(bǔ)丁程序,這就需要定期更新系統(tǒng)。例如,運(yùn)用主機(jī)熱備份以及災(zāi)難備份的方式,可以有效保障信息的安全運(yùn)行。同時(shí)一些軟件開放人員在編程設(shè)計(jì)過程中留有“后門”,如果這些“后門”被不法分子知道,就會(huì)將該部分作為攻擊目標(biāo),進(jìn)而影響到信息系統(tǒng)的安全。當(dāng)前大部分的黑客攻擊等都是由于系統(tǒng)“漏洞”引起的,因此銀行在應(yīng)用軟件過程中應(yīng)該盡量避免留有“漏洞”。
此外,隨著我國(guó)信息化技術(shù)的不斷發(fā)展,信息系統(tǒng)的安全管理也被納入國(guó)家的重點(diǎn)項(xiàng)目中。與世界上的部分發(fā)達(dá)國(guó)家相比,我國(guó)的信息安全管理工作起步較晚,但是發(fā)展較快,并且對(duì)系統(tǒng)風(fēng)險(xiǎn)認(rèn)識(shí)的不斷深化促進(jìn)了信息安全管理的發(fā)展。對(duì)于銀行而言,信息安全是至關(guān)重要的問題,這是因?yàn)槿魏我粋€(gè)環(huán)節(jié)出現(xiàn)問題,都會(huì)對(duì)整個(gè)系統(tǒng)的發(fā)展帶來影響,甚至導(dǎo)致全局性的失誤。例如,銀行傳統(tǒng)的信貸、柜臺(tái)等業(yè)務(wù)已經(jīng)有多年的信息安全管理經(jīng)驗(yàn),而信用卡作為一種新型的業(yè)務(wù),它連接了多個(gè)方面的利益關(guān)系,其中涉及到發(fā)卡行、特約商戶以及持卡人之間的關(guān)系,因此信息安全就成為重中之重。在銀行開展各項(xiàng)業(yè)務(wù)過程中,信息和數(shù)據(jù)是基礎(chǔ)[4]。此外,從客戶的角度來看,銀行在給客戶提供服務(wù)時(shí),必須保障提供信息的準(zhǔn)確性、可靠性與安全性。由此可見,銀行加強(qiáng)信息安全管理是十分必要的。
3.構(gòu)建銀行信息安全管理體系的思考
二十一世紀(jì)屬于信息網(wǎng)絡(luò)時(shí)代,我們生活中的大部分工作與事物都會(huì)用到信息技術(shù),而在應(yīng)用信息技術(shù)過程中也伴隨著一些信息安全問題。根據(jù)銀行安全管理中出現(xiàn)的問題,并結(jié)合銀行業(yè)的未來發(fā)展規(guī)劃,我們應(yīng)該構(gòu)建一個(gè)健全、高效的銀行信息安全管理體系。
3.1 建設(shè)信息安全管理技術(shù)體系
在整個(gè)銀行信息安全管理體系建設(shè)中,先進(jìn)的技術(shù)是其中最為重要的部分,運(yùn)用先進(jìn)的信息技術(shù)能夠有效避免出現(xiàn)安全事件。我們使用較多的信息技術(shù)有身份識(shí)別、系統(tǒng)防火墻、防病毒技術(shù)等,同時(shí)也可以使用漏洞掃描、邊界防護(hù)等技術(shù),通過多種安全防護(hù)技術(shù)來加強(qiáng)信息安全管理。
在使用防火墻技術(shù)時(shí)通常是將其設(shè)置在網(wǎng)絡(luò)的邊界上,以此對(duì)外界進(jìn)行隔離,對(duì)信息安全管理系統(tǒng)進(jìn)行安全強(qiáng)化[5]。病毒是信息網(wǎng)絡(luò)中最為常見的安全問題,如果出現(xiàn)網(wǎng)絡(luò)病毒將給銀行帶來巨大的經(jīng)濟(jì)損失,這個(gè)時(shí)候我們就需要對(duì)重要文件進(jìn)行實(shí)時(shí)備份,并且及時(shí)更新病毒數(shù)據(jù)庫(kù)。此外,在信息安全管理系統(tǒng)中充分應(yīng)用身份識(shí)別技術(shù),即用戶在登陸系統(tǒng)提交信息后,系統(tǒng)將嚴(yán)格識(shí)別操作者的身份,必要時(shí)會(huì)控制操作者的操作活動(dòng)。
3.2 建設(shè)信息安全管理體系
所謂“三分技術(shù)七分管理”,銀行信息安全管理體系中的管理體系起到控制各種活動(dòng)的作用。首先設(shè)置文檔化的管理體系,它包括制度建設(shè)與人員管理兩個(gè)部分。從銀行的制度、政策、操作流程等多個(gè)方面進(jìn)行監(jiān)督,對(duì)各個(gè)角色在信息系統(tǒng)中的活動(dòng)進(jìn)行監(jiān)控。在信息安全管理系統(tǒng)中制定科學(xué)完備的管理制度,可以為信息安全提供基本保障,各大銀行都應(yīng)該積極制定并完善自身的信息安全管理制度,如制定并按時(shí)更新《信息安全管理辦法》等,切實(shí)保障信息系統(tǒng)的安全運(yùn)行。
信息安全管理系統(tǒng)的重要職責(zé)就是對(duì)操作人員進(jìn)行管理,在人才選拔過程中應(yīng)該嚴(yán)格按照銀行的聘用制度操作,不能單靠關(guān)系。在用人方面應(yīng)該對(duì)員工的行為進(jìn)行嚴(yán)格監(jiān)督,加強(qiáng)員工的安全意識(shí)培訓(xùn),避免由于員工的疏忽、私欲等導(dǎo)致銀行信息系統(tǒng)被破壞。同時(shí)建立科學(xué)合理的銀行人事任用制度,保證內(nèi)部員工能夠按照相關(guān)規(guī)范完成信息系統(tǒng)的管理工作,并及時(shí)讓技術(shù)人員掌握最新的技術(shù)。通過建設(shè)信息安全管理體系,讓銀行運(yùn)行過程中的各項(xiàng)程序、日常維護(hù)、監(jiān)控等操作符合規(guī)范,以此保障信息系統(tǒng)的穩(wěn)定可靠運(yùn)行。
為了提高銀行信息系統(tǒng)的安全性,管理人員也需要對(duì)已經(jīng)識(shí)別的安全信息進(jìn)行正確應(yīng)用,定期檢測(cè)系統(tǒng)中的安全事件并及時(shí)解決,實(shí)時(shí)監(jiān)視信息安全管理系統(tǒng)的運(yùn)行情況,查看技術(shù)以及管理方面的控制措施是否合理。對(duì)信息系統(tǒng)的監(jiān)控是一個(gè)長(zhǎng)期的過程,監(jiān)控的過程應(yīng)該密切聯(lián)系信息系統(tǒng)的周期,監(jiān)控程序應(yīng)該能夠?qū)εc安全相關(guān)的結(jié)果進(jìn)行改進(jìn),以提高信息系統(tǒng)的安全性。通過信息安全管理系統(tǒng)的構(gòu)建,讓銀行業(yè)務(wù)數(shù)據(jù)的完整性、準(zhǔn)確性與真實(shí)性得以保障;讓信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及其它應(yīng)用系統(tǒng)的安全性得以保障;讓與信息系統(tǒng)相關(guān)的設(shè)備、環(huán)境與存儲(chǔ)介質(zhì)的安全性得以保障。
4.結(jié)語
銀行在應(yīng)用先進(jìn)信息技術(shù)提高銀行工作效率并方便大眾的同時(shí),也應(yīng)該加強(qiáng)對(duì)信息安全的管理,從技術(shù)和管理層面構(gòu)建完善、高效的信息安全管理體系,避免重要信息的泄露,以此有效降低安全事故的發(fā)生率,營(yíng)造良好安全的銀行服務(wù)環(huán)境。
參考文獻(xiàn)
[1]趙小東.數(shù)據(jù)集中模式下銀行業(yè)信息系統(tǒng)災(zāi)備體系的研究與應(yīng)用[D].山西財(cái)經(jīng)大學(xué),2011.
[2]王陽.基于IS027001的風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].大連理工大學(xué),2010.
[3]王令朝.創(chuàng)建鐵路信息安全管理及其標(biāo)準(zhǔn)體系的探討[J].鐵道技術(shù)監(jiān)督,2010,38(07).
[4]石磊.金融業(yè)信息安全風(fēng)險(xiǎn)評(píng)估存在的問題及對(duì)策[J].中國(guó)金融電腦,2011,10(02).
【關(guān)鍵詞】信息管理;電力變電;安全性
一、信息管理與電力信息化概述
1.信息管理概念
信息管理是實(shí)現(xiàn)組織目標(biāo)、滿足組織要求、解決組織環(huán)境問題而開發(fā)、規(guī)劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價(jià)值最大化的一種實(shí)現(xiàn)的一種戰(zhàn)略管理。
2.電力信息化
電力企業(yè)信息化建設(shè)更趨向于科學(xué)性、實(shí)用性、安全性以及效益性,電力企業(yè)開發(fā)了一系列企業(yè)管理和經(jīng)濟(jì)運(yùn)行有關(guān)的應(yīng)用系統(tǒng),目的在于提高生產(chǎn)和管理效益以及信息系統(tǒng)的實(shí)際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電,電力的生產(chǎn)和使用具有連續(xù)性、等量以及同時(shí)的特點(diǎn),要想確保電力的安全生產(chǎn)以及資源的合理配置生產(chǎn),必須要根據(jù)調(diào)度指令對(duì)電力系統(tǒng)的所有環(huán)節(jié)瞬時(shí)作出反應(yīng),電力系統(tǒng)的控制中心、調(diào)度中心要同時(shí)對(duì)發(fā)電、配電、輸電以及用電的各種數(shù)據(jù)進(jìn)行全面掌握,并及時(shí)地分析、調(diào)度和處理,對(duì)生產(chǎn)運(yùn)行進(jìn)行科學(xué)的安排,要及時(shí)的處理大而廣、紛繁復(fù)雜的信息量,這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術(shù)的出現(xiàn)正好為信息的處理帶來了極大的便利,它結(jié)合了GIS技術(shù),能實(shí)現(xiàn)多源數(shù)據(jù)的迅速整合,便于電力系統(tǒng)的信息化管理,可以綜合管理大量的屬性數(shù)據(jù)和地理信息數(shù)據(jù),可以為經(jīng)營(yíng)管理提供科學(xué)的決策支持以及現(xiàn)代化的管理手段,結(jié)合了網(wǎng)絡(luò)技術(shù),更有利于提高信息的共享程度,促進(jìn)信息管理系統(tǒng)實(shí)現(xiàn)電力信息的共享,有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域,需要多個(gè)部門對(duì)同一圖層進(jìn)行編輯,傳統(tǒng)的GIS圖層數(shù)據(jù)不支持多用并發(fā)操作,只適合單用戶使用,它采用的是文件格式,采用文件服務(wù)器的方式來共享圖層,若不進(jìn)行特殊處理,多用戶同時(shí)更新同一圖層文件時(shí)就會(huì)發(fā)生沖突。而新型的ORDBMS技術(shù)可以彌補(bǔ)這一缺陷,不會(huì)發(fā)生共享沖突,它采用的是面向?qū)ο蟮臄?shù)據(jù)庫(kù)技術(shù),可以集中式管理地理屬性數(shù)據(jù)和信息空間數(shù)據(jù),支持版本管理以及并發(fā)操作,還支持完全數(shù)據(jù)庫(kù)存儲(chǔ)模式,能夠解決數(shù)據(jù)安全機(jī)制、存儲(chǔ)管理大量的數(shù)據(jù)、數(shù)據(jù)完整性以及多用戶編輯等方面的問題。
二、電力變電運(yùn)行中運(yùn)用信息管理的優(yōu)勢(shì)
1.先進(jìn)性和開放性
數(shù)據(jù)倉(cāng)庫(kù)技術(shù)使數(shù)據(jù)有了更加廣泛的來源,便于使用,方便與MIS等系統(tǒng)接口,系統(tǒng)的構(gòu)造和Internet模式進(jìn)行了結(jié)合,應(yīng)有前景良好。
2.實(shí)用性強(qiáng)
信息管理技術(shù)有利于變電運(yùn)行中二次部分各類數(shù)據(jù)源的共享和使用,尤其是對(duì)于變電保護(hù)技術(shù)工作人員來說,有利于提高系統(tǒng)分析和數(shù)據(jù)統(tǒng)計(jì)的工作效率,有利于提高保護(hù)運(yùn)行水平。
3.可靠性高,易于維護(hù)和升級(jí)
方法庫(kù)和數(shù)據(jù)倉(cāng)庫(kù)的采用使得整個(gè)信息管理系統(tǒng)運(yùn)行集中于網(wǎng)絡(luò)中心規(guī)則庫(kù)和數(shù)據(jù)庫(kù),不再在各級(jí)用戶之間分散可靠性,即使其中一個(gè)客戶的工作站突然損壞了,也不會(huì)對(duì)系統(tǒng)其他部分的性能造成影響,并且很容易恢復(fù),軟件開發(fā)人員只需改變方法庫(kù)就可以進(jìn)行升級(jí)換代,既方便又快捷。
三、電力變電運(yùn)行中采用的安全策略
1.安全技術(shù)策略
為了確保信息的安全,采取的必不可少的安全技術(shù)措施有:1)病毒防護(hù)技術(shù)。應(yīng)該建立健全管理制度,統(tǒng)一管理計(jì)算機(jī)病毒庫(kù)的升級(jí)分發(fā)以及病毒的預(yù)防、檢測(cè)等環(huán)節(jié),應(yīng)該采取全面的防病毒策略應(yīng)用于信息系統(tǒng)的各個(gè)環(huán)節(jié),有效的防治和避免受到病毒的侵害;2)防火墻技術(shù)。防火墻技術(shù)主要用于隔離信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò),它的檢查方式是通過單一集中的安全檢查點(diǎn),強(qiáng)制實(shí)施安全策略來實(shí)現(xiàn),避免非法存取和訪問重要的信息資源;3)數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)必須制定數(shù)據(jù)備份策略,定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份,按照重要程度劃分?jǐn)?shù)據(jù)備份等級(jí),建立企業(yè)數(shù)據(jù)備份中心,采用災(zāi)難恢復(fù)技術(shù)來備份應(yīng)用系統(tǒng)以及關(guān)鍵業(yè)務(wù)的數(shù)據(jù),并制定詳細(xì)的數(shù)據(jù)庫(kù)故障恢復(fù)預(yù)案以及應(yīng)用數(shù)據(jù)庫(kù)備份,并定期的進(jìn)行預(yù)演,以防止在數(shù)據(jù)遭到破壞或是系統(tǒng)崩潰時(shí)能夠及時(shí)的修復(fù),從而使信息系統(tǒng)具有更好的可靠性和可用性;4)安全審計(jì)技術(shù)。在系統(tǒng)規(guī)模的不斷擴(kuò)大以及安全設(shè)施不斷完善的背景下,電氣企業(yè)應(yīng)該引進(jìn)集中智能的安全審計(jì)系統(tǒng),采取行之有效的技術(shù)手段來自動(dòng)統(tǒng)一審計(jì)網(wǎng)絡(luò)設(shè)備日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志以及安全設(shè)施運(yùn)行日志等,迅速自動(dòng)的對(duì)系統(tǒng)安全事件進(jìn)行分析,安全管理系統(tǒng)的運(yùn)行。另外建立信息安全身份認(rèn)證體系以及虛擬局域網(wǎng)技術(shù)也十分重要。
2.組織管理策略
組織管理措施以及技術(shù)措施統(tǒng)一在信息安全的范疇之內(nèi),由于管理方面的原因?yàn)樵斐傻挠?jì)算機(jī)安全事件的比重達(dá)到了70%以上,所以應(yīng)采取必要的組織管理策略:1)安全策略和制度。電氣企業(yè)應(yīng)該制定相關(guān)的政策方針來指導(dǎo)企業(yè)整體的信息安全工作,只有制定統(tǒng)一的、具有指導(dǎo)性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護(hù)體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實(shí)現(xiàn)具體化、形式化的法律管理,才能將法規(guī)與管理聯(lián)系在一起,確保信息的安全。2)安全意識(shí)和安全技能。電氣企業(yè)應(yīng)該組織員工進(jìn)行培訓(xùn),普及他們的安全知識(shí),強(qiáng)化職工的安全意識(shí),使他們具備安全防范意識(shí)并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓(xùn)來提高職工的安全操作技能,再結(jié)合第三方安全技術(shù)和產(chǎn)品來提升信息安全保障;3)安全組織和崗位。本著保障企業(yè)信息安全的目的,電氣企業(yè)應(yīng)該設(shè)立獨(dú)立的信息安全部門來管理企業(yè)信息的安全,實(shí)行“統(tǒng)一組織、分散管理”的方式來使信息安全部門全面負(fù)責(zé)企業(yè)的信息安全管理和維護(hù)。安全崗位是是根據(jù)系統(tǒng)安全需要設(shè)立的信息系統(tǒng)安全管理機(jī)構(gòu),這個(gè)職位主要負(fù)責(zé)某一個(gè)或是幾個(gè)安全事務(wù),在全企業(yè)形成專門的信息安全管理工作,使各個(gè)信息技術(shù)部門也能配合和推行信息安全工作。
參考文獻(xiàn)
[1]覃郁培.信息管理技術(shù)在電力變電運(yùn)行中的應(yīng)用[J].民營(yíng)科技,2010,(8)
“互聯(lián)網(wǎng)+”對(duì)農(nóng)業(yè)的重構(gòu)就是通過信息流打通物質(zhì)、資金、技術(shù)、物流等各個(gè)環(huán)節(jié),使之形成一個(gè)完善的農(nóng)業(yè)互聯(lián)網(wǎng)生態(tài)圈。這一生態(tài)圈中的每一個(gè)環(huán)節(jié)都建立在信息化基礎(chǔ)上,每一步都面臨著信息化安全的挑戰(zhàn)。
數(shù)字證書比較常見。我們登錄網(wǎng)銀的方式就是通過USBKey中的數(shù)字證書驗(yàn)證身份信息。此外,還有很多金融機(jī)構(gòu)通過電子簽名、指紋、聲音、影像等方式進(jìn)行身份驗(yàn)證。數(shù)字證書在確保安全的同時(shí),也為無紙化辦公做出了部分貢獻(xiàn)。
現(xiàn)代物流通常都是電子記錄,這就對(duì)信息安全提出了巨大的挑戰(zhàn)。很多不法之徒可以入侵系統(tǒng),隨意篡改貨物信息,使貨主或者運(yùn)輸公司蒙受損失。為了確保貨物運(yùn)輸過程中的安全,貨運(yùn)和物流公司等企業(yè)要提高信息安全意識(shí)。
O2O教育生態(tài)圈已經(jīng)悄然形成,我們可以從網(wǎng)絡(luò)上獲得更多的教育資源,但教育資源的安全問題也隨之浮現(xiàn)出來。有些付費(fèi)教育資源可能被盜或者被植入惡意軟件,這對(duì)投資人和用戶來說都是非常頭疼的問題。
傳統(tǒng)工業(yè)生產(chǎn)中,工業(yè)機(jī)器人僅僅是按照既有程序執(zhí)行生產(chǎn)任務(wù),發(fā)生事故的概率非常小。但是隨著互聯(lián)網(wǎng)的介入,工業(yè)機(jī)器人有可能會(huì)受到更多來自于外界的干擾。
隨著云計(jì)算、大數(shù)據(jù)等先進(jìn)信息技術(shù)的廣泛應(yīng)用,醫(yī)療技術(shù)和患者就診信息等這些資料很有可能被不懷好意的人竊取利用。同時(shí),醫(yī)療隱私問題很有可能成為醫(yī)患之間新的矛盾激發(fā)點(diǎn)。
設(shè)計(jì)師們的精心設(shè)計(jì)可能隨時(shí)被一些人盜取或者篡改。輕則毀了設(shè)計(jì)稿,重則造成危險(xiǎn)事故。給這些設(shè)計(jì)加把“鎖”,讓設(shè)計(jì)師們可以在設(shè)計(jì)完成之后安心入睡。
很多設(shè)備都能幫助我們管理自己的健康,但是可能多數(shù)人并沒有去想這些檢測(cè)數(shù)據(jù)存放在哪里。在哪里?沒錯(cuò),又是云端。我的個(gè)人隱私數(shù)據(jù)呀,為什么都在云端。誰為它們的安全埋單?
在體驗(yàn)互聯(lián)網(wǎng)購(gòu)物便利性的同時(shí),誰能確??蛻舻挠唵尾槐浑S意刪除和篡改呢?這不僅關(guān)乎電商的信譽(yù),也會(huì)為電商和客戶帶來經(jīng)濟(jì)損失。還是為信譽(yù)和財(cái)務(wù)安全買份保險(xiǎn)吧。
互聯(lián)網(wǎng)旅游是個(gè)很敏感的話題,大家應(yīng)該都還記得某些知名旅游網(wǎng)站信息泄露事件吧。這個(gè)雖然和某些“查開房”軟件有所不同,但個(gè)人信息泄露造成的影響也確實(shí)產(chǎn)生了一定的轟動(dòng)效應(yīng)。不論是網(wǎng)站被惡意攻擊,還是技術(shù)故障,請(qǐng)為用戶多負(fù)責(zé)一些。
通信技術(shù)的飛速發(fā)展造就了物聯(lián)網(wǎng),家電、家居廠商也借著這股東風(fēng)躋身于智能家居這個(gè)市場(chǎng)。當(dāng)某一條惡意程序通過互聯(lián)網(wǎng)輸送給一些智能家具時(shí),惡作劇或者惡性事件也可能就會(huì)發(fā)生。該怎么辦?安全接入解決方案正是預(yù)防此類事件的好幫手。
民以食為天,我們暫且以餐飲業(yè)為例。電子菜單、電子賬單,以及全程電子化的配送流程,這些新技術(shù)和溝通手段極大地方便了用戶和服務(wù)人員。如果,其中一個(gè)環(huán)節(jié)出現(xiàn)信息安全紕漏,最為直接的問題就是肚子餓了,菜還沒到。
12月28日,筆者耗費(fèi)了3個(gè)小時(shí)在回家的路上?;蛟S是車輛多的緣故,但如果交通管理能夠起到作用,結(jié)果大概就不一樣了吧。智能化的交通管理取決于很多因素,但其中一定要盡量保證不被人隨意入侵和篡改。造成惡通事故的某些橋段希望只是出現(xiàn)在電影中。
能源是一種資源,中國(guó)人均資源占有率很低,因此我們需要積極開發(fā)和利用新能源。不過,當(dāng)想象這些新能源的控制設(shè)備與互聯(lián)網(wǎng)連接在一起時(shí),我突然想到了“震網(wǎng)”事件。它沒有引發(fā)人員和環(huán)境災(zāi)害已經(jīng)實(shí)屬難得。斷絕網(wǎng)絡(luò)連接就能做到萬無一失嗎?
虛假新聞、虛假信息,媒體要做的就是辟謠,去偽存真。但是隨著互聯(lián)網(wǎng)等新媒體的發(fā)展,信息來源的真?zhèn)闻卸ㄒ呀?jīng)成為令人頭痛的問題,更別說新聞信息被篡改。媒體人實(shí)在是沒有過多的精力去預(yù)防那些放置于云端的新聞資料被篡改。來為我們媒體人減負(fù)吧。
關(guān)鍵詞:電力制造企業(yè);計(jì)算機(jī)網(wǎng)絡(luò);安全
一、安全風(fēng)險(xiǎn)分析
電力制造企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)一般都會(huì)將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對(duì)分隔開來,以避免外來因素對(duì)生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見的風(fēng)險(xiǎn)一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見的風(fēng)險(xiǎn)種類比較多,通??梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風(fēng)險(xiǎn)有操作系統(tǒng)和數(shù)據(jù)庫(kù)存在漏洞、合法用戶的操作錯(cuò)誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計(jì)算機(jī)病毒(惡意代碼)等,上述風(fēng)險(xiǎn)所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯(cuò)誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言論等風(fēng)險(xiǎn),會(huì)使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風(fēng)險(xiǎn)的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。當(dāng)需要數(shù)據(jù)傳輸時(shí)必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置。
二、安全需求分析
一般電力制造企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人三方面著手,其中安全策略足安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓(xùn)和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計(jì)算機(jī)病毒(包括惡意代碼)通過各種形式對(duì)網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團(tuán)式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性的基本保障,需要兼顧成本和實(shí)效。安全的人員是企業(yè)經(jīng)營(yíng)鏈中的細(xì)胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強(qiáng)教育和制度約束。
三、安全思想和原則
電力制造企業(yè)信息安全的主要目標(biāo)一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營(yíng)服務(wù);服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團(tuán)平臺(tái)理念;保證“信息化長(zhǎng)效機(jī)制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾。保證系統(tǒng)安全事件(計(jì)算機(jī)病毒、篡改網(wǎng)頁、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時(shí)響應(yīng)與及時(shí)恢復(fù),數(shù)據(jù)不丟失。(1)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認(rèn)證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測(cè)和最小化原則等多種因素,它們是設(shè)計(jì)信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實(shí)現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機(jī)制,集成先進(jìn)的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴(yán)格的安全管理是確保安全策略落實(shí)的基礎(chǔ)。計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強(qiáng)內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強(qiáng)培訓(xùn)和用戶管理,加強(qiáng)安全審計(jì)和跟蹤體系,提高人員對(duì)整體網(wǎng)絡(luò)安全意識(shí)。(3)嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅(jiān)強(qiáng)的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強(qiáng)安全教育和宣傳,嚴(yán)肅網(wǎng)絡(luò)規(guī)章制度和紀(jì)律。對(duì)網(wǎng)絡(luò)犯罪嚴(yán)懲不貸。
四、安全策略與方法
1、物理安全策略和方法。
物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路的設(shè)計(jì),包括建設(shè)符合標(biāo)準(zhǔn)的中心機(jī)房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機(jī)房安全管理制度,防止非法人員進(jìn)入機(jī)房進(jìn)行偷竊和破壞活動(dòng)等,并妥善保管備份磁帶和文檔資料:要建立設(shè)備訪問控制,其作用是通過維護(hù)訪問到表以及可審查性,驗(yàn)證用戶的身份和權(quán)限,防止和控制越權(quán)操作。
2、訪問控制策略和方法。
網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級(jí)進(jìn)行保護(hù),主要是根據(jù)業(yè)務(wù)功能、信息保密級(jí)別、安全等級(jí)等要求的差異將網(wǎng)絡(luò)進(jìn)行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VL心、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段的主要手段。而訪問管理控制是限制系統(tǒng)內(nèi)資源的分等級(jí)和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認(rèn)證,以用戶名和密碼的驗(yàn)證為主,必要時(shí)可將密碼技術(shù)和安全管理中心結(jié)合起來,實(shí)現(xiàn)多重防護(hù)體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。
3、開放的網(wǎng)絡(luò)服務(wù)策略和方法。
Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護(hù)自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來構(gòu)建堅(jiān)固的大門,同時(shí)對(duì)Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強(qiáng)化內(nèi)部網(wǎng)絡(luò)用戶的責(zé)任感和守約,必要時(shí)增加審計(jì)手段。
4、電子郵件安全策略和方法。
電子郵件策略主要是針對(duì)郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對(duì)目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術(shù)快速發(fā)展,電力制造企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進(jìn)行。
5、網(wǎng)絡(luò)反病毒策略和方法。
每個(gè)電力制造企業(yè)為了處理計(jì)算機(jī)病毒感染事件,都要消耗大量的時(shí)間和精力,而且還會(huì)造成一些無法挽回的損失,必須制定反計(jì)算機(jī)病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實(shí)時(shí)監(jiān)控,并且針對(duì)特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。
目前,計(jì)算機(jī)網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力制造企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰主管、誰負(fù)責(zé)、聯(lián)合保護(hù)、協(xié)調(diào)處置”的原則,實(shí)行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全電力制造企業(yè)內(nèi)部信息安全組織體系的同時(shí),制定完善的信息安全管理措施,建立從上而下的信息安全培訓(xùn)體系,根據(jù)科學(xué)的網(wǎng)絡(luò)安全策略,采用適合的安全產(chǎn)品,確保各項(xiàng)電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運(yùn)行,為電力制造企業(yè)創(chuàng)造新業(yè)績(jī)鋪路架橋。
參考文獻(xiàn)
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)