公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)與信息安全保障方案范文

網(wǎng)絡(luò)與信息安全保障方案精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)與信息安全保障方案主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)與信息安全保障方案

第1篇:網(wǎng)絡(luò)與信息安全保障方案范文

不久前,農(nóng)業(yè)部信息中心金農(nóng)工程一期信息系統(tǒng)安全等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估公示,對(duì)金農(nóng)工程的信息安全保障工作給予了肯定。金農(nóng)工程是國(guó)家電子政務(wù)“十二金”工程之一,其一期工程對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全性提出了很高的要求。對(duì)于這樣一個(gè)大型的系統(tǒng)工程來說,信息安全不但要有技術(shù)、設(shè)備方面的保障,更要有過硬的理論指引。

等級(jí)保護(hù)指導(dǎo)

金農(nóng)安全

“金農(nóng)”工程是1994年12月在國(guó)家經(jīng)濟(jì)信息化聯(lián)席會(huì)議第三次會(huì)議上提出的,目的是加速和推進(jìn)農(nóng)業(yè)和農(nóng)村信息化。該工程被稱為國(guó)家電子政務(wù)“十二金”工程之一。據(jù)農(nóng)業(yè)部相關(guān)人士介紹,金農(nóng)工程主要有以下四點(diǎn)任務(wù):一是網(wǎng)絡(luò)的控制管理和信息交換服務(wù),包括與其他涉農(nóng)系統(tǒng)的信息交換與共享;二是建立和維護(hù)國(guó)家級(jí)農(nóng)業(yè)數(shù)據(jù)庫(kù)群及其應(yīng)用系統(tǒng);三是協(xié)調(diào)制定統(tǒng)一的信息采集、的標(biāo)準(zhǔn)規(guī)范,對(duì)區(qū)域中心、行業(yè)中心實(shí)施技術(shù)指導(dǎo)和管理;四是組織農(nóng)業(yè)現(xiàn)代化信息服務(wù)及促進(jìn)各類計(jì)算機(jī)應(yīng)用系統(tǒng),如專家系統(tǒng)、地理信息系統(tǒng)、衛(wèi)星遙感信息系統(tǒng)的開發(fā)和應(yīng)用。

據(jù)介紹,金農(nóng)工程一期的建設(shè)目標(biāo)是通過兩年時(shí)間,初步形成農(nóng)業(yè)電子政務(wù)體系框架??蚣苤行铇?gòu)建農(nóng)業(yè)監(jiān)測(cè)預(yù)警系統(tǒng)、農(nóng)產(chǎn)品和農(nóng)業(yè)生產(chǎn)資料市場(chǎng)監(jiān)管信息系統(tǒng)、農(nóng)村市場(chǎng)與科技信息服務(wù)系統(tǒng),迅速增強(qiáng)農(nóng)業(yè)部門的經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管和公共服務(wù)能力;開發(fā)國(guó)內(nèi)、國(guó)際兩類信息資源,建立農(nóng)業(yè)數(shù)據(jù)中心和糧食流通數(shù)據(jù)中心,健全采集渠道,增加信息總量,加強(qiáng)統(tǒng)籌規(guī)劃,改善內(nèi)容結(jié)構(gòu),加大整合力度,統(tǒng)一標(biāo)準(zhǔn)規(guī)范,建立協(xié)作機(jī)制,提高共享程度;應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)裝備縣鄉(xiāng)農(nóng)業(yè)信息服務(wù)機(jī)構(gòu),培訓(xùn)信息服務(wù)隊(duì)伍,初步形成延伸到基層的農(nóng)村信息服務(wù)網(wǎng)絡(luò),迅速擴(kuò)大信息服務(wù)的覆蓋面。

雖然時(shí)間緊、任務(wù)急,信息系統(tǒng)及安全保障體系的建設(shè)卻容不得一點(diǎn)馬虎?!靶畔⒕W(wǎng)絡(luò)安全是一項(xiàng)政策指導(dǎo)性較強(qiáng)的工作,項(xiàng)目的關(guān)鍵在于如何在‘金’字工程中落實(shí)國(guó)家等級(jí)保護(hù)政策要求?!苯疝r(nóng)工程項(xiàng)目負(fù)責(zé)人解釋說,該工程系統(tǒng)結(jié)構(gòu)的核心是金農(nóng)工程的國(guó)家中心,而其基礎(chǔ)是國(guó)家重點(diǎn)農(nóng)業(yè)縣、大中型農(nóng)產(chǎn)品市場(chǎng)、主要的農(nóng)業(yè)科研教育單位和各農(nóng)業(yè)專業(yè)學(xué)會(huì)、協(xié)會(huì)等,因此金農(nóng)工程一期建設(shè)的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)需要考慮如何與國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)相結(jié)合。而等級(jí)保護(hù)制度所要求的信息系統(tǒng)定級(jí)、備案、建設(shè)整改、測(cè)評(píng)和監(jiān)督檢查等環(huán)節(jié)如何落實(shí)在項(xiàng)目整體中,起初并沒有相關(guān)經(jīng)驗(yàn)的積累,需要深入分析和研究。具體來說,項(xiàng)目實(shí)施一方面要深刻理解國(guó)家等級(jí)保護(hù)的政策要求,另一方面要深入分析金農(nóng)工程的重要意義和主要內(nèi)容,以及各個(gè)系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)。只有兩方面結(jié)合起來考慮,才能保證工程建設(shè)的正確無誤。

同時(shí),據(jù)透露,有關(guān)部門還要求本期項(xiàng)目要進(jìn)一步深入落實(shí)我國(guó)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中的各項(xiàng)工作,夯實(shí)農(nóng)業(yè)行業(yè)關(guān)于信息安全保障的體系化建設(shè)基礎(chǔ),在風(fēng)險(xiǎn)評(píng)估、監(jiān)控體系、信任體系、標(biāo)準(zhǔn)化建設(shè)和人才隊(duì)伍積累等方面都做出深入積累。尤其是對(duì)在建設(shè)期間如何落實(shí)風(fēng)險(xiǎn)評(píng)估工作加大了實(shí)踐力度,在信息系統(tǒng)需求總結(jié)、設(shè)計(jì)和上線等過程中充分融合風(fēng)險(xiǎn)評(píng)估工作,為后期的安全運(yùn)維奠定基礎(chǔ)。

有了相關(guān)文件、條例做指引,金農(nóng)工程的規(guī)劃建設(shè)也就有了理論依據(jù)。但由于該項(xiàng)目是國(guó)家”金”字頭重點(diǎn)工程,不可避免地涉及多家承建商,需要在完成初步設(shè)計(jì)要求的同時(shí)全面統(tǒng)一地落實(shí)國(guó)家等級(jí)保護(hù)政策要求,所以具有復(fù)雜度大、技術(shù)難度大、管理難度大等特點(diǎn),對(duì)信息安全服務(wù)企業(yè)的實(shí)施能力、技術(shù)水平和服務(wù)保障能力都提出很大的挑戰(zhàn)。

完善方案

保駕金農(nóng)工程

“網(wǎng)御神州根據(jù)多年積累的對(duì)農(nóng)業(yè)行業(yè)整體需求的理解,針對(duì)本項(xiàng)目制定了完善的技術(shù)及支持方案,在業(yè)內(nèi)幾乎所有安全廠商都參與的激烈競(jìng)爭(zhēng)中脫穎而出,力拔頭籌?!睋?jù)金農(nóng)工程項(xiàng)目負(fù)責(zé)人介紹,網(wǎng)御神州之所以能中標(biāo)安全服務(wù)和安全集成包,就是憑借其完善的技術(shù)支持服務(wù)能力及對(duì)國(guó)家等級(jí)保護(hù)政策和農(nóng)業(yè)行業(yè)的深刻理解。

據(jù)了解,金農(nóng)一期項(xiàng)目的安全建設(shè)目標(biāo)是:在國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)的指導(dǎo)下,結(jié)合金農(nóng)工程一期網(wǎng)絡(luò)信息系統(tǒng)的安全需求分析,通過信息安全保障總體規(guī)劃、信息安全管理體系建設(shè)、信息安全技術(shù)策略設(shè)計(jì)以及信息安全產(chǎn)品集成實(shí)施等,全面提升金農(nóng)工程一期網(wǎng)絡(luò)信息系統(tǒng)的安全性,能面對(duì)目前和未來一段時(shí)期內(nèi)的安全威脅,實(shí)現(xiàn)對(duì)全網(wǎng)安全狀況的統(tǒng)一管理,更好地保障金農(nóng)工程各系統(tǒng)的正常運(yùn)行,全面提升金農(nóng)工程一期信息系統(tǒng)的安全防護(hù)水平,達(dá)到國(guó)家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的要求。

第2篇:網(wǎng)絡(luò)與信息安全保障方案范文

摘要:近些年來,我國(guó)電力建設(shè)速度明顯加快,在加大對(duì)電力基礎(chǔ)設(shè)施投入的同時(shí),我國(guó)也在電力信息化方面加大了投入,現(xiàn)今我國(guó)在電力信息化方面應(yīng)經(jīng)初具規(guī)模,在電力生產(chǎn)、電力銷售、管理等方面都得到了應(yīng)用,在享受電力信息化帶來的便利的同時(shí),怎樣做好在信息化方面的保障工作,使其能夠建立合理的電力信息化的安全保障體系是一項(xiàng)繁重的任務(wù)。本文將就電力信息化的現(xiàn)狀以及如何建立合理的安全保障體系進(jìn)行闡述。

關(guān)鍵詞:電力信息化;安全保障體系

中圖分類號(hào):TM76 文獻(xiàn)標(biāo)識(shí)碼:A

近些年來,我國(guó)在加強(qiáng)對(duì)電力系統(tǒng)的建設(shè)投入的基礎(chǔ)上開展了電力系統(tǒng)的電力體制改革,隨著這項(xiàng)改革的深入,企業(yè)對(duì)電力信息化的需求越來越強(qiáng)烈。下文將就電力信息化的現(xiàn)狀以及如何建立合理的安全保障體系進(jìn)行闡述。

1 電力信息化安全體系簡(jiǎn)介

1.1電力信息化簡(jiǎn)介。電力工業(yè)生產(chǎn)過程包括電力工業(yè)規(guī)劃、設(shè)計(jì)、施工、生產(chǎn)發(fā)電、輸電、變電、配電、電網(wǎng)調(diào)度、供電營(yíng)銷、物資及管理等環(huán)節(jié)。電力信息化是指電子、計(jì)算機(jī)、網(wǎng)絡(luò)等信息技術(shù)在電力工業(yè)規(guī)劃、設(shè)計(jì)、施工、生產(chǎn)發(fā)電、輸電、變電、配電、電網(wǎng)調(diào)度、供電營(yíng)銷、物資及管理等環(huán)節(jié)應(yīng)用全過程的統(tǒng)稱,是電力工業(yè)在電子信息技術(shù)的驅(qū)動(dòng)下由傳統(tǒng)工業(yè)向高度集約化、高度知識(shí)化、高度技術(shù)化工業(yè)轉(zhuǎn)變的過程。計(jì)算機(jī)信息通信網(wǎng)絡(luò)是電力信息化的技術(shù),各類電力資源的開發(fā)和利用是電力信息化的核心,提高電力企業(yè)的經(jīng)營(yíng)決策水平和經(jīng)濟(jì)效益是電力信心化的核心,提高電力企業(yè)的經(jīng)營(yíng)決策水平和經(jīng)濟(jì)效益是電力信息化的宗旨,其本質(zhì)是加強(qiáng)電力企業(yè)的“核心競(jìng)爭(zhēng)力”。電力企業(yè)信息化包括生產(chǎn)過程自動(dòng)哈和管理信息化兩個(gè)方面。

1.2我國(guó)電力信息化發(fā)展現(xiàn)狀。我國(guó)自上世紀(jì)60年代開始在發(fā)電廠和變電站自動(dòng)監(jiān)測(cè)、控制等方面應(yīng)用電力信息化,進(jìn)入90年代后信息技術(shù)應(yīng)用進(jìn)一步發(fā)展到綜合應(yīng)用,由操作層面向管理層面延伸,實(shí)現(xiàn)管理信息化,建立各級(jí)企業(yè)的管理信息化。我國(guó)的電力信息化發(fā)展從原來的單機(jī)、單項(xiàng)目向網(wǎng)絡(luò)化、整體性、綜合性應(yīng)用發(fā)展,從局部應(yīng)用發(fā)展到全局應(yīng)用,從單機(jī)運(yùn)行發(fā)展到網(wǎng)絡(luò)化運(yùn)行,同時(shí)其它專項(xiàng)應(yīng)用系統(tǒng)也進(jìn)一步發(fā)展到更高的水平,現(xiàn)今,我國(guó)的電力信息化建設(shè)已納入企業(yè)總體發(fā)展戰(zhàn)略,信息化進(jìn)一步與電力企業(yè)的生產(chǎn)、管理與經(jīng)營(yíng)融合。

1.3電力信息化的安全保障體系。電力信息化安全保障體系建立的目的是為了建立在網(wǎng)絡(luò)上的電力系統(tǒng)的信息的安全,保障這些信息不會(huì)被非法用戶登陸、查看甚至是修改,因?yàn)橐坏┮陨线@些現(xiàn)象發(fā)生將會(huì)造成巨大的損失。同時(shí)需要對(duì)合法用戶提供安全、可信的信息服務(wù)。

2 電力信息化的安全保障體系的簡(jiǎn)介

2.1電力信息化安全保障的意義。進(jìn)入新時(shí)代,網(wǎng)絡(luò)信息安全問題得到了廣泛的重視,像前段時(shí)間美國(guó)的“棱鏡門”事件,更是加劇了民眾對(duì)于信息安全的擔(dān)憂,我國(guó)現(xiàn)今已經(jīng)建成了廣發(fā)的網(wǎng)絡(luò)的應(yīng)用,我國(guó)是信息化應(yīng)用方面的大國(guó),而非強(qiáng)國(guó),來自于網(wǎng)絡(luò)上的攻擊威脅著我國(guó)金融、電信、電力等行業(yè)的安全,而電力行業(yè)是一個(gè)國(guó)家基礎(chǔ)行業(yè),更應(yīng)加強(qiáng)信息安全方面的投入,建立起相應(yīng)的信息化的安全保障體系,抵御來自于網(wǎng)絡(luò)方面攻擊,提高電力信息化方面抗風(fēng)險(xiǎn)能力。

2.2電力信息化安全保障方面存在的問題。近些年來,我國(guó)雖然加大了對(duì)于電力信息化安全保障方面的投入,但是在電力信心化安全保障方面還是存在著一些問題:(1)信息安全意識(shí)薄弱。由于信息安全是存在著看不見摸不著且無法定義的弊端,造成企業(yè)單位及個(gè)人對(duì)于信息安全方面的意識(shí)不足,同時(shí)由于對(duì)于信息安全形式認(rèn)識(shí)方面的不足造成很對(duì)的人對(duì)于信息安全方面的忽視。(2)沒有常態(tài)化的信息安全保障工作,在信息安全方面各個(gè)單位及個(gè)人沒有在日常工作中落實(shí)到實(shí)處,僅僅在上級(jí)領(lǐng)導(dǎo)及上級(jí)單位檢查時(shí)應(yīng)付為主。(3)對(duì)于電力信息化的安全保障工作在信息安全運(yùn)作機(jī)制不完善。(4)各地對(duì)于信息保障工作的完成度不同,由于電力企業(yè)的辦公地理位置分散,因此在信息化安全保障體系的建設(shè)方面需要投入的人力巨大,而且由于各地對(duì)于信息化的運(yùn)行維護(hù)、保障體系管理缺乏一定的經(jīng)驗(yàn)以及相應(yīng)的規(guī)范,因此,在信息化建假設(shè)維護(hù)方面各地進(jìn)度不一,落后的地方的信息化安全方面的建設(shè)將會(huì)成為整體建設(shè)方面的短板。(5)由于在電力信息化安全方面的經(jīng)驗(yàn)不足,造成在設(shè)計(jì)相關(guān)的系統(tǒng)安全方面時(shí)經(jīng)驗(yàn)不足,設(shè)計(jì)方案漏洞較多。

2.3電力信息化建設(shè)面臨威脅?,F(xiàn)今網(wǎng)絡(luò)中面臨多方面威脅,而電力企業(yè)信息安全面臨的風(fēng)險(xiǎn)有病毒木馬、非法篡改信息、信息泄露、服務(wù)癱瘓等方面威脅。

3 電力信息化安全保障體系的建立

3.1加緊制定相應(yīng)的信息安全策略。信息安全策略是電力系統(tǒng)解決信息安全問題最重要的步驟,也是電力系統(tǒng)整個(gè)信息安全體系的基礎(chǔ)。電力系統(tǒng)最主要的管理文件就是信息安全策略,信息安全策略明確規(guī)定需要保護(hù)什么,為什么需要保護(hù)和由誰(shuí)進(jìn)行保護(hù);沒有合理信息安全策略,再好的信息安全專家和安全工具也沒有價(jià)值。電力系統(tǒng)的信息安全策略可以反映出電力系統(tǒng)對(duì)現(xiàn)實(shí)安全威脅和未來安全風(fēng)險(xiǎn)的預(yù)期,也可反映出組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員對(duì)安全風(fēng)險(xiǎn)認(rèn)識(shí)與應(yīng)對(duì)。

3.2加強(qiáng)對(duì)于電力信息化的信息安全管理。電力系統(tǒng)的信息安全管理中存在著諸多問題,例如:(1)信息安全管理部門的不作為,雖然相關(guān)的機(jī)構(gòu)建立起來了但是并未發(fā)揮相應(yīng)的作用。(2)員工對(duì)于信息安全的認(rèn)知不夠,并未樹立起全員信息安全意識(shí),(3)相應(yīng)的安全管理職責(zé)劃分不明,沒有建立起風(fēng)險(xiǎn)管理控制機(jī)制等。

應(yīng)當(dāng)建立起定期的巡檢制度,每個(gè)月進(jìn)行排查,提交月報(bào),同時(shí)需要對(duì)員工加強(qiáng)關(guān)于電力信息化安全方面的講座,將電力信息化安全缺失造成的危害對(duì)員工進(jìn)行詳細(xì)的接收,提高員工對(duì)于電力信息化安全的認(rèn)識(shí),做好相關(guān)的安全工作。

3.3保證電力信息安全的技術(shù)措施

通過建立統(tǒng)一IDE身份認(rèn)證和訪問控制方式來對(duì)登陸用戶進(jìn)行身份認(rèn)證,同時(shí)需要對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行加密措施,應(yīng)使用加解密、數(shù)字簽名、消息認(rèn)證碼等手段進(jìn)行保護(hù)。但現(xiàn)今電力企業(yè)中的通信過程都未采取加密、數(shù)字簽名等安全措施。同時(shí)需要建立起對(duì)于病毒、攻擊等的防范措施。加強(qiáng)對(duì)于信息化安全的保障。

結(jié)語(yǔ)

電力是一個(gè)國(guó)家的基礎(chǔ),因此我們需要加強(qiáng)對(duì)于電力信息化的安全保障體系的建設(shè),確保電力信息系統(tǒng)安全、可靠、穩(wěn)定、高效地運(yùn)行。

第3篇:網(wǎng)絡(luò)與信息安全保障方案范文

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進(jìn),我校信息化建設(shè)初具規(guī)模,軟硬件設(shè)備配備完成,運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚,承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達(dá)20余人;針對(duì)重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段,保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行,具備了基本的安全防護(hù)能力|6];日常運(yùn)行管理規(guī)范,按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對(duì)象的不同,確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位,初步建立了問題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng),即網(wǎng)絡(luò)通信平臺(tái)、認(rèn)證計(jì)費(fèi)系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺(tái)是大學(xué)各大業(yè)務(wù)平臺(tái)的基礎(chǔ)核心,是整個(gè)校園網(wǎng)的基礎(chǔ),其他應(yīng)用系統(tǒng)都運(yùn)行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計(jì)費(fèi)系統(tǒng)是針對(duì)用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上,主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理,校園卡與大學(xué)網(wǎng)絡(luò)有3個(gè)物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng),系統(tǒng)中存儲(chǔ)著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁(yè)網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對(duì)外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù),目前郵件系統(tǒng)注冊(cè)用1.2面臨的主要問題

 

通過等級(jí)保護(hù)差距分析和風(fēng)險(xiǎn)評(píng)估,目前大學(xué)所面臨的信息安全風(fēng)險(xiǎn)和主要問題如下:

 

(1)高校領(lǐng)域沒有總體安全標(biāo)準(zhǔn)指引,方向不明確,缺少主線。

 

(2)對(duì)國(guó)際國(guó)內(nèi)信息安全法律法規(guī)缺乏深刻意識(shí)和認(rèn)識(shí)。

 

(3)信息安全機(jī)構(gòu)不完善,缺乏總體安全方針與策略,職責(zé)不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大,管理復(fù)雜,人員安全意識(shí)相對(duì)薄弱,日常安全問題多。

 

()建設(shè)投資和投入有限,運(yùn)維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對(duì)松散,缺乏安全監(jiān)管及檢查機(jī)制,無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃,難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運(yùn)行管理手段,無法提高安全運(yùn)維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù),分級(jí)分域、強(qiáng)化控制,保障核心、提升管理,支撐應(yīng)用、規(guī)范運(yùn)維。

 

依據(jù)這一總體原則,我們的信息安全體系建設(shè)工作以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),以安全體系為核心,通過對(duì)安全工作生命周期的理解從風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃著手,并以解決方案和策略設(shè)計(jì)落實(shí)安全體系的各個(gè)環(huán)節(jié),在建設(shè)過程中逐步完善安全體系,以安全體系運(yùn)行維護(hù)和管理的過程等全面滿足安全工作各個(gè)層面的安全需求,最終達(dá)到全面、持續(xù)、突出重點(diǎn)的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見稿),并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略,,理論,強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個(gè)核心原則,重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù),構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系,并通過安全運(yùn)維服務(wù)和itsm[8]集中運(yùn)維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐),形成了集風(fēng)險(xiǎn)評(píng)估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)(見圖2),從而實(shí)現(xiàn)并覆蓋了等級(jí)保護(hù)基本要求中對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求,以滿足信息系統(tǒng)全方位的安全保護(hù)需求。

 

(1)安全策略:明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等,是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織:是信息安全體系框架中最重要的

 

各級(jí)組織間的工作職責(zé),覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個(gè)部分。

 

(3)安全運(yùn)行:是信息安全體系框架中最重要的安全管理策略之一,是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行,該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù),覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理2個(gè)部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā),落實(shí)學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實(shí)現(xiàn),是對(duì)各個(gè)防護(hù)對(duì)象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制,針對(duì)未授權(quán)的訪問或誤用提供自動(dòng)保護(hù),發(fā)現(xiàn)違背安全策略的行為,并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺(tái)。該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù),覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個(gè)部分。

 

()安全運(yùn)維:安全運(yùn)維服務(wù)體系架構(gòu)共分兩層,實(shí)現(xiàn)人員、技術(shù)、流程三者的完美整合,通過基于ITIL[9]的運(yùn)維管理方法,保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運(yùn)轉(zhuǎn),提升業(yè)務(wù)的可持續(xù)性,從而也體現(xiàn)了安全運(yùn)3重點(diǎn)建設(shè)工作

 

3.1安全滲透測(cè)試

 

2009年4月,學(xué)校對(duì)38個(gè)網(wǎng)站、2個(gè)關(guān)鍵系統(tǒng)和6臺(tái)主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測(cè)評(píng)。通過測(cè)評(píng),全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況,發(fā)現(xiàn)了20個(gè)高危漏洞,并針對(duì)高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險(xiǎn),根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)被測(cè)系統(tǒng)存在的安全隱患。滲透測(cè)試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測(cè)評(píng)、提升權(quán)限測(cè)評(píng)、獲取代碼、滲透測(cè)評(píng)報(bào)告。

 

3.2風(fēng)險(xiǎn)評(píng)估和安全加固

 

2009年5月,依據(jù)安全滲透測(cè)試結(jié)果,對(duì)大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測(cè)評(píng)。根據(jù)評(píng)估結(jié)果得出系統(tǒng)存在的安全問題,并對(duì)嚴(yán)重的問題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場(chǎng)檢測(cè)、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。通過風(fēng)險(xiǎn)評(píng)估最終得出了威脅的數(shù)量和等級(jí),表1、表2為威脅的數(shù)量和等級(jí)統(tǒng)計(jì)。2009年6月和9月,基于風(fēng)險(xiǎn)評(píng)估結(jié)果,對(duì)涉及到的網(wǎng)絡(luò)設(shè)備(4臺(tái))和主機(jī)設(shè)備(14臺(tái))進(jìn)行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對(duì)全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評(píng)估和了解整理出符合大學(xué)實(shí)際的安全需求,并結(jié)合實(shí)際業(yè)務(wù)要求,對(duì)學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計(jì),并通過未來3年的逐步安全建設(shè),滿足學(xué)校的信息安全目標(biāo)及國(guó)家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國(guó)際國(guó)內(nèi)規(guī)范及標(biāo)準(zhǔn),參考業(yè)界的最佳實(shí)踐ISMS[10](信息安全管理體系),結(jié)合我校目前的實(shí)際情況,制定了一套完整、科學(xué)、實(shí)際的信息安全管理體系,制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立,使學(xué)校的組織結(jié)構(gòu)布局更加合理,人員安全意識(shí)也明顯提高,從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運(yùn)行,提高了IT服務(wù)質(zhì)量。通過制度、流程、標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)了日常安全工作執(zhí)行能力,提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護(hù)體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求,可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個(gè)層次的安全域:第一層次安全域包括整個(gè)學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括:CA安全區(qū):主要承載CAServer、主從LDAP、數(shù)據(jù)庫(kù)、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊(cè)區(qū):主要承載各院所的RA注冊(cè)服務(wù)器,為各院所的師生管理提供數(shù)字證書注冊(cè)服務(wù)。

 

應(yīng)用安全支撐平臺(tái)為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略,使得信息系統(tǒng)建立在一個(gè)穩(wěn)定和高效的應(yīng)用框架上,封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù),并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計(jì)管理、數(shù)據(jù)安全引擎、單點(diǎn)登錄等功能。

 

4.2安全運(yùn)維體系

 

ITSM集中運(yùn)維管理解決方案面對(duì)學(xué)校日益復(fù)雜的IT環(huán)境,整合以往對(duì)各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理,實(shí)現(xiàn)了對(duì)IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運(yùn)維管理理念,達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合,實(shí)現(xiàn)了IT服務(wù)支持過程的標(biāo)準(zhǔn)化、流程化、規(guī)范化,極大地提高了故障應(yīng)急處理能力,提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求,系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺(tái),以實(shí)現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略,對(duì)網(wǎng)內(nèi)所有終端計(jì)算機(jī)上的軟硬件資源、以及計(jì)算機(jī)上的操作行為進(jìn)行有效管理。實(shí)現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對(duì)終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強(qiáng)制實(shí)施、終端用戶安全狀態(tài)的集中審計(jì);對(duì)用戶事前身份和安全級(jí)別的認(rèn)證、事中安全狀態(tài)定期安全檢測(cè),內(nèi)容包括定期的安全風(fēng)險(xiǎn)評(píng)估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計(jì)體系

第4篇:網(wǎng)絡(luò)與信息安全保障方案范文

關(guān)鍵詞:網(wǎng)絡(luò) 信息安全 保障體系 策略

一、引言

信息化是當(dāng)今世界發(fā)展的大趨勢(shì),也是我國(guó)面臨的重大發(fā)展機(jī)遇。大力推進(jìn)信息化,以信息化帶動(dòng)工業(yè)化,以工業(yè)化促進(jìn)信息化,走新型工業(yè)化道路,是全面建設(shè)海峽西岸經(jīng)濟(jì)區(qū)、構(gòu)建和諧社會(huì)的必然選擇。

網(wǎng)絡(luò)與信息安全工作是數(shù)字福建建設(shè)的重要組成部分。加快建設(shè)與數(shù)字福建發(fā)展水平相適應(yīng)的福建省網(wǎng)絡(luò)與信息安全保障體系,對(duì)維護(hù)國(guó)家安全和社會(huì)穩(wěn)定,保障公民合法權(quán)益,促進(jìn)數(shù)字福建健康、有序發(fā)展具有重要意義。

二、福建省網(wǎng)絡(luò)與信息安全的現(xiàn)狀與挑戰(zhàn)

“十五”期間,福建省信息安全保障整體布局已初步形成,信息安全基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得了顯著成績(jī),信息安全產(chǎn)業(yè)初具規(guī)模。目前,福建省已建成了福建省電子商務(wù)認(rèn)證中心、省政務(wù)數(shù)字認(rèn)證中心和密鑰管理中心,發(fā)放了13萬(wàn)張企業(yè)數(shù)字證書和4400多張電子政務(wù)數(shù)字證書;建成了省政務(wù)信息網(wǎng)和國(guó)際互聯(lián)網(wǎng)安全監(jiān)控中心,實(shí)現(xiàn)對(duì)政務(wù)網(wǎng)和互聯(lián)網(wǎng)的安全監(jiān)控;利用密碼技術(shù)在省政務(wù)信息網(wǎng)上建成覆蓋全部省直單位的省政務(wù)網(wǎng)子網(wǎng),確保聯(lián)網(wǎng)單位之間秘密信息的安全通信;建成全省保密系統(tǒng)的信息網(wǎng)絡(luò)及其網(wǎng)絡(luò)安全防范體系,防止國(guó)家秘密信息的泄漏;建成了數(shù)字福建數(shù)據(jù)災(zāi)難備份中心。

信息安全管理體制和工作機(jī)制逐步建立,信息安全責(zé)任制基本落實(shí);信息安全等級(jí)保護(hù)、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全產(chǎn)品認(rèn)證認(rèn)可、信息安全應(yīng)急協(xié)調(diào)機(jī)制建設(shè)、網(wǎng)絡(luò)信任體系建設(shè)、信息安全標(biāo)準(zhǔn)化制定等基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得較大進(jìn)展;信息安全問題受到了福建全省人民的普遍關(guān)注,民眾對(duì)信息安全的理解和認(rèn)識(shí)更加深入全面??偟膩砜?,通過全社會(huì)的共同努力,一種齊抓共管、協(xié)調(diào)配合的有效機(jī)制基本形成,信息安全保障工作的局面已經(jīng)打開。

但從總體上看,福建省的信息安全防護(hù)水平還不高,與國(guó)際水平和先進(jìn)省份相比還有一定的差距,網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平依然有限,應(yīng)急處理能力還不強(qiáng);信息安全管理和技術(shù)人才還比較缺乏,信息安全法律法規(guī)還不夠完善;信息安全管理還比較薄弱,面臨的風(fēng)險(xiǎn)和威脅仍然比較突出。隨著數(shù)字福建的進(jìn)一步推進(jìn),海峽西岸經(jīng)濟(jì)區(qū)建設(shè)對(duì)信息化的依賴程度將進(jìn)一步提高,網(wǎng)絡(luò)與信息安全的問題將擺上更重要的議事日程。福建省將充分利用已有的信息安全保障資源,按照中央提出的“確保國(guó)家經(jīng)濟(jì)安全、政治安全、文化安全和信息安全”的要求,加快建設(shè)數(shù)字福建網(wǎng)絡(luò)與信息安全保障體系,以保障和促進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)信息化的持續(xù)快速健康發(fā)展。

三、網(wǎng)絡(luò)與信息安全保障體系總體框架

網(wǎng)絡(luò)與信息安全保障體系主要包含組織管理、技術(shù)保障、基礎(chǔ)設(shè)施、產(chǎn)業(yè)支撐、人才培養(yǎng)、法規(guī)標(biāo)準(zhǔn)六個(gè)部分,如圖1所示。

圖1 網(wǎng)絡(luò)與信息安全保障體系

四、關(guān)于網(wǎng)絡(luò)與信息安全策略的建議

⒈構(gòu)建電子政務(wù)信息安全技術(shù)保障體系

技術(shù)保障體系是電子政務(wù)安全保障體系的重要組成部分,它涉及3個(gè)層面的內(nèi)容:一是信息安全的核心技術(shù)和基本理論的研究與開發(fā),包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)以及安全認(rèn)證技術(shù);二是基于信息安全技術(shù)的信息安全產(chǎn)品或系統(tǒng),如反病毒系統(tǒng)、防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)和物理隔離系統(tǒng)等;三是運(yùn)用信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng),主要做法是采用各安全廠商提供的綜合安全解決方案。

信息安全保障工作,一方面,要加強(qiáng)核心技術(shù)的研發(fā)。我國(guó)網(wǎng)絡(luò)與安全保障關(guān)鍵是要有自主的知識(shí)產(chǎn)權(quán)和關(guān)鍵技術(shù),從根本上擺脫對(duì)外國(guó)技術(shù)的依賴,積極加大科技投入,盡快形成有自主產(chǎn)權(quán)的信息安全產(chǎn)業(yè),加強(qiáng)安全技術(shù)的研究與開發(fā),推進(jìn)信息安全技術(shù)創(chuàng)新,增強(qiáng)網(wǎng)絡(luò)與信息安全保障的能力。另一方面,構(gòu)建一整套符合實(shí)際需求的安全體系。包括各種具體的安全系統(tǒng)、安全操作系統(tǒng)及相關(guān)的安全軟件和技術(shù)、各種系統(tǒng)間的綜合集成和有關(guān)的服務(wù)等,構(gòu)筑堅(jiān)實(shí)的網(wǎng)絡(luò)與信息安全屏障。

⒉強(qiáng)化網(wǎng)絡(luò)與信息安全管理

安全管理是實(shí)現(xiàn)信息安全的落實(shí)手段,而建立有效的安全管理機(jī)構(gòu)是保障信息安全的組織保證。通過建立統(tǒng)一的、立體的、多維的信息安全管理體系。安全管理機(jī)構(gòu)需要制定一系列嚴(yán)格的管理制度和建立電子政務(wù)信息安全機(jī)制來保障共建共享的信息安全。管理制度包括系統(tǒng)運(yùn)行維護(hù)管理制度、文檔資料管理制度、機(jī)房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、安全等級(jí)保護(hù)制度等。電子政務(wù)的信息安全機(jī)制是指實(shí)現(xiàn)信息安全目標(biāo)的支持元素,它主要包括以下3方面的內(nèi)容:

一是支撐機(jī)制。作為大多數(shù)信息安全能力的共同基礎(chǔ),支撐機(jī)制是最常用的安全機(jī)制。支撐機(jī)制包括標(biāo)識(shí)和命名、密鑰管理、安全管理、系統(tǒng)保護(hù)。

二是防護(hù)機(jī)制。主要用于防止安全事故的發(fā)生,受保護(hù)的通訊、身份鑒別、授權(quán)、訪問控制、拒絕否認(rèn)、事務(wù)隱私。

三是檢測(cè)和恢復(fù)機(jī)制。主要用于檢測(cè)共享系統(tǒng)中安全事故的發(fā)生并采取措施減少安全事故的負(fù)面影響。包括審計(jì)、入侵檢測(cè)和容忍、完整性驗(yàn)證、安全狀態(tài)重置。

⒊加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè)

建立健全信息安全法律體系和標(biāo)準(zhǔn)化體系,并且將標(biāo)準(zhǔn)化體系納入法律體系和法制范疇,使其具有強(qiáng)制實(shí)施的法律效力。這是促進(jìn)信息化建設(shè)健康發(fā)展、構(gòu)建信息安全保障新體系的內(nèi)在要求和主要內(nèi)容。通過學(xué)習(xí)和借鑒國(guó)外先進(jìn)經(jīng)驗(yàn),認(rèn)真總結(jié)自身經(jīng)驗(yàn),積極探索加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)的新思路。這方面的重點(diǎn)是綜合考慮信息網(wǎng)絡(luò)系統(tǒng)安全立法的整體結(jié)構(gòu),盡快建成門類齊全、結(jié)構(gòu)嚴(yán)謹(jǐn)、層次分明、內(nèi)在和諧、功能合理、統(tǒng)一規(guī)范的信息安全法律法規(guī)體系,用來調(diào)節(jié)信息安全領(lǐng)域的各種法律關(guān)系。加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè),根據(jù)信息安全評(píng)估的國(guó)際通行準(zhǔn)則,參照國(guó)際標(biāo)準(zhǔn),學(xué)習(xí)借鑒先進(jìn)國(guó)家的成功經(jīng)驗(yàn),從實(shí)際出發(fā),抓緊制定急需的信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)、系統(tǒng)評(píng)估標(biāo)準(zhǔn)、產(chǎn)品檢測(cè)標(biāo)準(zhǔn)、公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)、電子身份認(rèn)證標(biāo)準(zhǔn)、防火墻技術(shù)標(biāo)準(zhǔn)以及關(guān)鍵技術(shù)、產(chǎn)品、系統(tǒng)、服務(wù)商資質(zhì)、專業(yè)技術(shù)人員資質(zhì)、各類管理過程與測(cè)評(píng)的標(biāo)準(zhǔn)等。建立健全信息安全標(biāo)準(zhǔn)化體系,重視現(xiàn)有的信息安全標(biāo)準(zhǔn)的貫徹實(shí)施,充分發(fā)揮其基礎(chǔ)性、規(guī)范性的作用。

⒋大力培養(yǎng)信息安全專業(yè)人才

信息安全的保障離不開專業(yè)的技術(shù)人員,信息安全管理的核心要素是高素質(zhì)的人和技術(shù)隊(duì)伍。人是保證信息安全的最重要的因素,因?yàn)榉?、管理、技術(shù)都要人去掌握。信息安全管理人員的安全意識(shí)、素質(zhì)水平、創(chuàng)新能力直接影響到信息的安全。必須重視和加強(qiáng)對(duì)信息安全專業(yè)人才的培養(yǎng),全面提高人員的道德品質(zhì)和技術(shù)水平,這是保障信息安全的關(guān)鍵所在。通過大眾傳播媒介、遠(yuǎn)程教育、組織各種專題講座和培訓(xùn)班等方式,培養(yǎng)各種層次和類型的信息安全專業(yè)人才。此外,還要不斷加強(qiáng)對(duì)廣大公務(wù)員的教育、培養(yǎng)和管理,增強(qiáng)廣大公務(wù)員的信息安全意識(shí)、遵紀(jì)守法意識(shí),提高其技術(shù)和業(yè)務(wù)水平,從而增強(qiáng)其保障信息安全的能力。

作者簡(jiǎn)介:

第5篇:網(wǎng)絡(luò)與信息安全保障方案范文

關(guān)鍵詞: 企業(yè)信息系統(tǒng);信息安全;安全策略

中圖分類號(hào):F270.7 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2012)0220165-01

隨著市場(chǎng)經(jīng)濟(jì)的不斷發(fā)展,企業(yè)競(jìng)爭(zhēng)越來越激烈,國(guó)際化合作不斷增多,隨之而來的企業(yè)信息安全是目前我國(guó)企業(yè)普遍存在的問題。對(duì)企業(yè)來說,信息安全是一項(xiàng)艱巨的工作,關(guān)系到企業(yè)的發(fā)展。近年來,圍繞企業(yè)信息安全問題的話題不斷,企業(yè)信息安全事件也頻頻發(fā)生,如何保證企業(yè)信息的安全,保證信息系統(tǒng)的正常運(yùn)轉(zhuǎn),已經(jīng)成為信息安全領(lǐng)域研究的新熱點(diǎn)。

1 企業(yè)信息安全的意義

信息安全是一個(gè)含義廣泛的名詞,是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞,或防止信息被非法辨識(shí)、控制,即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運(yùn)轉(zhuǎn),離不開信息資源的支撐。企業(yè)信息安全建設(shè)對(duì)企業(yè)的發(fā)展意義重大。

首先,信息安全是時(shí)展的需要。計(jì)算機(jī)網(wǎng)絡(luò)時(shí)代的發(fā)展,改變了傳統(tǒng)的商務(wù)運(yùn)作模式,改變了企業(yè)的生產(chǎn)方式和思想觀念,極大推動(dòng)了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設(shè)將使得企業(yè)的管理水平與國(guó)際先進(jìn)水平接軌,從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。

其次,信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設(shè)帶來了生產(chǎn)效率提高、成本降低、業(yè)務(wù)拓展等諸多好處。當(dāng)前越來越多的企業(yè)信息和數(shù)據(jù),都是以電子文檔的形式存在,對(duì)企業(yè)來說,信息安全是使企業(yè)信息不受威脅和侵害的保證,是企業(yè)發(fā)展的基本保障,所以,在積極防御,綜合防范的方針指導(dǎo)下,有效地防范和規(guī)避風(fēng)險(xiǎn),建立起一套切實(shí)可行的長(zhǎng)效防范機(jī)制,逐步建立起信息安全保障體系,有利于企業(yè)的發(fā)展。

最后,信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進(jìn)企業(yè)穩(wěn)定和信息化發(fā)展的重點(diǎn),要充分認(rèn)識(shí)信息安全工作的緊迫感和長(zhǎng)期性,從企業(yè)的安全、經(jīng)濟(jì)發(fā)展、企業(yè)穩(wěn)定和保護(hù)企業(yè)利益的角度來思考問題,扎扎實(shí)實(shí)地做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè),在建立信息安全保障體系的過程中,必須搞好鏈接信息安全保障體系建設(shè)安全、建設(shè)健康的網(wǎng)絡(luò)環(huán)境,關(guān)注信息戰(zhàn)略,保障和促進(jìn)信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國(guó)企業(yè)信息安全包括計(jì)算機(jī)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統(tǒng)連續(xù)、可靠、正常的運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性,使得企業(yè)信息安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。就目前來看,主要存在以下三個(gè)方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個(gè)比較新的領(lǐng)域,目前還缺少比較完善的法規(guī),現(xiàn)有的法規(guī),由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化,法規(guī)也不能很好地被執(zhí)行,安全標(biāo)準(zhǔn)和規(guī)范的缺少,導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個(gè)系統(tǒng)工程,涉及到計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面,同時(shí),隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級(jí)換代,它又是一個(gè)不斷發(fā)展的動(dòng)態(tài)過程。因此對(duì)企業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和安全需求應(yīng)進(jìn)行同期化的管理,不斷制定和調(diào)整安全策略,只有這樣,才能在享受企業(yè)信息系統(tǒng)便利高效的同時(shí),把握住信息系統(tǒng)安全的大門。

2.2 員工缺少安全管理的責(zé)任心

一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關(guān)鍵的因素――人,因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者,他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中,發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部,而不是來自企業(yè)外部的黑客等攻擊者,安全事件造成最大的經(jīng)濟(jì)損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對(duì)內(nèi)部員工的泄密行為,目前還沒有成熟的、全面的解決,對(duì)于來自企業(yè)信息內(nèi)部信息泄密的安全問題,一直是整個(gè)信息安全保障體系的難點(diǎn)和弱點(diǎn)所在。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計(jì)算機(jī)信息安全技術(shù)是一門由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、局域網(wǎng)組網(wǎng)與維護(hù)技術(shù)、數(shù)據(jù)庫(kù)應(yīng)用技術(shù)等組成的計(jì)算機(jī)綜合應(yīng)用學(xué)科。由于認(rèn)識(shí)能力和技術(shù)發(fā)展的局限性,在硬件和軟件設(shè)計(jì)過程中,難免留下技術(shù)缺陷,網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進(jìn)口,由此可造成企業(yè)信息安全的隱患,現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng),而是為了入侵應(yīng)用,竊取數(shù)據(jù),帶有明顯的商業(yè)目的,許多黑客就是通過計(jì)算機(jī)操作系統(tǒng)的漏洞和后門程序進(jìn)入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來越多,針對(duì)應(yīng)用的攻擊也越來越多,除了在管理制度上確保信息安全外,還要在技術(shù)上確保信息安全。

3 企業(yè)信息安全中存在的問題

信息時(shí)代的到來,從根本上改變了企業(yè)經(jīng)營(yíng)形式,企業(yè)實(shí)施信息化為其帶來便利的同時(shí)也產(chǎn)生了巨大的信息安全風(fēng)險(xiǎn)。由于我國(guó)企業(yè)信息安全工作還處于起步階段,基礎(chǔ)薄弱,導(dǎo)致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等,這些問題給企業(yè)造成直接的經(jīng)濟(jì)損失,成為企業(yè)信息安全的最大威脅,使企業(yè)信息安全存在著風(fēng)險(xiǎn)因素。

3.1 病毒危害

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼,它是具有破壞作用的程序或指令集合。計(jì)算機(jī)病毒已經(jīng)泛濫成災(zāi),幾乎無孔不入,據(jù)統(tǒng)計(jì),計(jì)算機(jī)病毒的種類已經(jīng)超過4萬(wàn)多種,而且還在以每年40%的速度在遞增,隨著Internet技術(shù)的發(fā)展,病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快,其破壞性也越來越來越強(qiáng)。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音,黑客是利用技術(shù)手段進(jìn)入其權(quán)限以外的計(jì)算機(jī)系統(tǒng)的人。黑客破解或破壞某個(gè)程序、系統(tǒng)及網(wǎng)絡(luò)安全,或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計(jì)算機(jī)系統(tǒng),盜竊系統(tǒng)保密信息,進(jìn)行信息破壞或占用系統(tǒng)資源,黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

3.3 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊就是對(duì)網(wǎng)絡(luò)安全威脅的具體表現(xiàn),利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行的攻擊。尤其是在最近幾年里,網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢(shì),使借助Internet運(yùn)行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險(xiǎn)。由此可知,企業(yè)的信息安全問題、以及對(duì)信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全,就必須找出存在信息安全問題的根源,并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全,要堅(jiān)持積極防御,綜合防范的方針,全面提高信息安全防護(hù)能力。因此,面對(duì)企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問題,必須實(shí)施對(duì)企業(yè)的信息安全管理,建設(shè)信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實(shí)于信息管理系統(tǒng)的方方面面,企業(yè)信息安全才能得以實(shí)現(xiàn)。企業(yè)信息安全的解決方案,具體表現(xiàn)在以下三個(gè)方面:

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系,完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作,保障信息安全措施的落實(shí)以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范,詳細(xì)說明各種信息安全策略。一個(gè)詳細(xì)的信息安全規(guī)劃可以減輕對(duì)于人的因素帶來的信息安全問題。最基本的企業(yè)安全管理過程包括:采用科學(xué)的企業(yè)信息資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析模型法、設(shè)計(jì)完備的信息系統(tǒng)動(dòng)態(tài)安全模型、建立科學(xué)的可實(shí)施的安全策略,采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的,企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)暴露出的一些問題,進(jìn)行更新,保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,

4.2 提高企業(yè)員工的安全意識(shí)

科技以人為本,在信息安全方面也是靠人來維護(hù)企業(yè)的利益,我們?cè)谄髽I(yè)信息網(wǎng)絡(luò)鞏固正面防護(hù)的時(shí)候不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。企業(yè)員工信息安全意識(shí)的高低是一個(gè)企業(yè)信息安全體系是否能夠最終成功實(shí)施的決定性因素。企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范,必須有專門管理人才,才能有效地實(shí)現(xiàn)企業(yè)安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段,企業(yè)可以對(duì)所有相關(guān)人員進(jìn)行經(jīng)常性的安全培訓(xùn),強(qiáng)化技術(shù)人員對(duì)信息安全的重視,提升使用人員的安全觀念,有針對(duì)性的開展安全意識(shí)宣傳教育,逐步提高員工的安全意識(shí),強(qiáng)調(diào)人的作用,使他們明確企業(yè)各級(jí)組織和人員的安全權(quán)限和責(zé)任,使他們的行為符合整個(gè)安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術(shù)

企業(yè)一旦制定了一套詳細(xì)的安全規(guī)劃來武裝自己,保護(hù)其智力資產(chǎn),它就開始投入到選擇采用正確信息安全技術(shù)上??晒┢髽I(yè)選擇的防止信息安全漏洞的安全技術(shù)有很多。當(dāng)企業(yè)選擇采用何種技術(shù)時(shí),首先了解信息安全的三個(gè)領(lǐng)域是十分有幫助的,這三個(gè)領(lǐng)域變得:驗(yàn)證與授權(quán)、預(yù)防和抵制、檢測(cè)和響應(yīng)。其中,用戶驗(yàn)證是確認(rèn)用戶身份的一種方法,一旦系統(tǒng)確認(rèn)了用戶身份,那么它就可以決定該用戶的訪問權(quán)限,比如使用用戶名和密碼。預(yù)防和抵抗技術(shù)是指企業(yè)阻止入侵者訪問。對(duì)于任何企業(yè),必須對(duì)那些故障做好準(zhǔn)備和預(yù)測(cè),目前可以幫助預(yù)防和建設(shè)抵抗攻擊的技術(shù)主要有內(nèi)容過濾、加密和防火墻,在選用防火墻的時(shí)候,需要對(duì)所安裝的防火墻做一些攻擊測(cè)試。此外,企業(yè)信息安全的最后一道屏障是探測(cè)和反應(yīng)技術(shù),最常見的探測(cè)和反應(yīng)技術(shù)是殺毒軟件。

5 結(jié)語(yǔ)

總之,企業(yè)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,企業(yè)要適應(yīng)現(xiàn)代化發(fā)展的需要,要提高自身信息安全意識(shí),加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)防范意識(shí)的認(rèn)識(shí),重視安全策略的施行及安全教育,必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強(qiáng)信息安全立法和執(zhí)法的力度,建立備份和恢復(fù)機(jī)制, 為企業(yè)設(shè)計(jì)適合實(shí)際情況的安全解決方案,制定正確和采取適當(dāng)?shù)陌踩呗院桶踩珯C(jī)制,保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

參考文獻(xiàn):

[1]張帆,企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(5).

[2]諶曉歡,企業(yè)信息安全問題及解決方案[J].企業(yè)技術(shù)開發(fā),2008(8).

[3]付沙,企業(yè)信息安全策略的研究與探討[J].商場(chǎng)現(xiàn)代化,2007(26).

[4]姜樺、郭永利,企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào),2009(1).

第6篇:網(wǎng)絡(luò)與信息安全保障方案范文

1網(wǎng)絡(luò)工程專業(yè)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障能力培養(yǎng)的現(xiàn)狀分析

網(wǎng)絡(luò)工程專業(yè)是依托于計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)發(fā)展起來的。網(wǎng)絡(luò)工程專業(yè)的人才應(yīng)該具備計(jì)算機(jī)類專業(yè)人才的四大基本能力:計(jì)算思維、算法設(shè)計(jì)與分析、程序設(shè)計(jì)與實(shí)現(xiàn)和系統(tǒng)能力。網(wǎng)絡(luò)工程專業(yè)人才的專業(yè)能力可以進(jìn)一步細(xì)化為:網(wǎng)絡(luò)協(xié)議分析設(shè)計(jì)與實(shí)現(xiàn)、網(wǎng)絡(luò)設(shè)備研發(fā)能力、網(wǎng)絡(luò)應(yīng)用系統(tǒng)設(shè)計(jì)與開發(fā)能力、網(wǎng)絡(luò)工程設(shè)計(jì)與實(shí)施能力、網(wǎng)絡(luò)系統(tǒng)管理與維護(hù)能力、網(wǎng)絡(luò)系統(tǒng)安全保障能力等。因此,網(wǎng)絡(luò)系統(tǒng)安全保障能力是網(wǎng)絡(luò)工程專業(yè)有別于其他計(jì)算機(jī)類專業(yè)的一個(gè)重要能力。但在目前的現(xiàn)實(shí)情況下,大家對(duì)網(wǎng)絡(luò)工程專業(yè)和其他相關(guān)專業(yè)在專業(yè)能力構(gòu)成上的差異認(rèn)識(shí)不夠,很多學(xué)校不同專業(yè)在網(wǎng)絡(luò)系統(tǒng)安全保障能力培養(yǎng)方面存在同質(zhì)化現(xiàn)象。

在專業(yè)知識(shí)體系上,網(wǎng)絡(luò)系統(tǒng)安全保障知識(shí)領(lǐng)域的核心知識(shí)單元應(yīng)有:信息安全基礎(chǔ)、安全模型、加密、認(rèn)證、數(shù)字簽名、安全協(xié)議、防火墻、入侵檢測(cè)系統(tǒng)、漏洞檢測(cè)與防護(hù)、安全評(píng)估與審計(jì)等。從知識(shí)體系上來看,網(wǎng)絡(luò)工程專業(yè)中的網(wǎng)絡(luò)系統(tǒng)安全保障知識(shí)基本上是信息安全專業(yè)中密碼學(xué)、網(wǎng)絡(luò)攻防技術(shù)及信息系統(tǒng)安全領(lǐng)域基礎(chǔ)知識(shí)的綜合,具有內(nèi)容多、涉及面廣的特點(diǎn)。另外,目前的知識(shí)體系主要從防御角度出發(fā),攻擊和滲透的知識(shí)還很欠缺。如何在確保知識(shí)體系覆蓋完整的條件下,突出網(wǎng)絡(luò)工程專業(yè)的特色,是一個(gè)尚待深入研究的課題。在課程體系結(jié)構(gòu)上,網(wǎng)絡(luò)系統(tǒng)安全保障能力對(duì)應(yīng)的網(wǎng)絡(luò)安全課程,對(duì)網(wǎng)絡(luò)工程、信息安全和信息對(duì)抗專業(yè)來說是主干課程,而對(duì)計(jì)算機(jī)類其他專業(yè)來說,往往是擴(kuò)展課程;信息安全專業(yè)和信息對(duì)抗專業(yè)一般將其細(xì)化為至少4門主干課程,如密碼學(xué)、網(wǎng)絡(luò)安全、信息系統(tǒng)安全和信息內(nèi)容安全。網(wǎng)絡(luò)工程專業(yè)需要強(qiáng)化網(wǎng)絡(luò)安全課程,并開設(shè)相應(yīng)的擴(kuò)展課程,以完善網(wǎng)絡(luò)系統(tǒng)安全保障課程體系的完整性。

教學(xué)條件上,在網(wǎng)絡(luò)與信息安全方面比較突出的國(guó)內(nèi)高校主要以密碼學(xué)領(lǐng)域的科學(xué)研究與人才培養(yǎng)見長(zhǎng),缺少網(wǎng)絡(luò)系統(tǒng)安全保障的師資,特別是缺少既有工程背景和網(wǎng)絡(luò)攻防實(shí)戰(zhàn)經(jīng)驗(yàn)又有高學(xué)術(shù)水平的師資,導(dǎo)致一些高校網(wǎng)絡(luò)安全課程的教學(xué)質(zhì)量不高,甚至無法開設(shè),影響了網(wǎng)絡(luò)系統(tǒng)安全保障能力的培養(yǎng)。網(wǎng)絡(luò)系統(tǒng)安全保障不僅有理論性,也具有實(shí)踐性,許多方法和手段需要在實(shí)踐過程中認(rèn)識(shí)和領(lǐng)會(huì)。一些高校的網(wǎng)絡(luò)工程專業(yè)缺少必要的實(shí)驗(yàn)條件,有些僅僅進(jìn)行加密與解密、VPN、入侵檢測(cè)或防火墻等方面的簡(jiǎn)單配置性實(shí)驗(yàn),缺少網(wǎng)絡(luò)對(duì)抗等復(fù)雜的綜合性實(shí)驗(yàn),致使網(wǎng)絡(luò)系統(tǒng)安全保障實(shí)踐環(huán)節(jié)質(zhì)量不高,影響學(xué)生動(dòng)手能力的培養(yǎng)。

2網(wǎng)絡(luò)工程專業(yè)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障能力構(gòu)成

網(wǎng)絡(luò)系統(tǒng)安全保障能力的教育需要以網(wǎng)絡(luò)系統(tǒng)安全保障知識(shí)為載體,通過探討知識(shí)發(fā)現(xiàn)問題求解過程,培養(yǎng)學(xué)生靈活運(yùn)用所學(xué)知識(shí)有效地解決網(wǎng)絡(luò)系統(tǒng)安全防御、檢測(cè)、評(píng)估、響應(yīng)等實(shí)際問題的能力。計(jì)算機(jī)類專業(yè)培養(yǎng)學(xué)生的計(jì)算思維、算法思維、程序思維、系統(tǒng)思維、過程思維、數(shù)據(jù)思維、人機(jī)系統(tǒng)思維等思維能力,而網(wǎng)絡(luò)工程專業(yè)還要培養(yǎng)學(xué)生的對(duì)抗思維、逆向思維、拆解思維、全局思維等網(wǎng)絡(luò)系統(tǒng)安全保障所特有的思維能力。網(wǎng)絡(luò)系統(tǒng)安全保障體系是一個(gè)復(fù)雜系統(tǒng),必須從復(fù)雜系統(tǒng)的觀點(diǎn),采用從定性到定量的綜合集成的思想方法,追求整體效能。從系統(tǒng)工程方法論的觀點(diǎn)出發(fā),網(wǎng)絡(luò)系統(tǒng)安全保障不能簡(jiǎn)單地采用還原論的觀點(diǎn)處理,必須遵循“木桶原理”的整體思維,注重整體安全。網(wǎng)絡(luò)系統(tǒng)安全保障的方法論與數(shù)學(xué)或計(jì)算機(jī)科學(xué)等學(xué)科相比,既有聯(lián)系又有區(qū)別,包括觀察、實(shí)驗(yàn)、猜想、歸納、類比和演繹推理以及理論分析、設(shè)計(jì)實(shí)現(xiàn)、測(cè)試分析等,綜合形成了逆向驗(yàn)證的獨(dú)特方法論。

從不同的角度看網(wǎng)絡(luò)系統(tǒng)安全保障可以得到不同的內(nèi)涵和外延。從物理域看,是指網(wǎng)絡(luò)空間的硬件設(shè)施設(shè)備安全,要求確保硬件設(shè)施設(shè)備不擾、破壞和摧毀;從信息域看,重點(diǎn)是確保信息的可用性、機(jī)密性、完整性和真實(shí)性;從認(rèn)知域看,主要是關(guān)于網(wǎng)絡(luò)傳播的信息內(nèi)容對(duì)國(guó)家政治及民眾思想、道德、心理等方面的影響;從社會(huì)域看,要確保不因網(wǎng)絡(luò)信息傳播導(dǎo)致現(xiàn)實(shí)社會(huì)出現(xiàn)經(jīng)濟(jì)安全事件、民族宗教事件、暴力恐怖事件以及群體性聚集事件等。網(wǎng)絡(luò)系統(tǒng)安全保障涉及網(wǎng)絡(luò)協(xié)議安全及相關(guān)技術(shù)研究、網(wǎng)絡(luò)安全需求分析、方案設(shè)計(jì)與系統(tǒng)部署、網(wǎng)絡(luò)安全測(cè)試、評(píng)估與優(yōu)化、網(wǎng)絡(luò)安全策略制訂與實(shí)施等內(nèi)容。培養(yǎng)網(wǎng)絡(luò)系統(tǒng)安全保障能力就是培養(yǎng)學(xué)生熟悉信息安全基本理論和常見的網(wǎng)絡(luò)安全產(chǎn)品的工作原理,掌握主流網(wǎng)絡(luò)安全產(chǎn)品如防火墻、入侵檢測(cè)、漏洞掃描、病毒防殺、VPN、蜜罐等工具的安裝配置和使用,能夠制定網(wǎng)絡(luò)系統(tǒng)安全策略與措施,部署安全系統(tǒng),同時(shí)具有安全事故預(yù)防、監(jiān)測(cè)、跟蹤、管理、恢復(fù)等方面的能力以及網(wǎng)絡(luò)安全系統(tǒng)的初步設(shè)計(jì)與開發(fā)能力,以滿足企事業(yè)單位網(wǎng)絡(luò)安全方面的實(shí)際工作需求。

3網(wǎng)絡(luò)工程專業(yè)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障能力課程設(shè)置

網(wǎng)絡(luò)工程專業(yè)涉及計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)、規(guī)劃、組網(wǎng)、維護(hù)、管理、安全、應(yīng)用等方面的工程科學(xué)和實(shí)踐問題,其網(wǎng)絡(luò)安全課程使學(xué)生了解網(wǎng)絡(luò)系統(tǒng)中各種潛在的安全威脅與攻擊手段以及針對(duì)這些威脅可采用的安全機(jī)制與技術(shù)。掌握常見的網(wǎng)絡(luò)安全工具和設(shè)備,如防火墻、入侵檢測(cè)、漏洞掃描等工具的工作原理,學(xué)生可以了解網(wǎng)絡(luò)安全的相關(guān)政策法規(guī),并具有網(wǎng)絡(luò)安全策略與措施制定、安全事故監(jiān)測(cè)等能力。為了保質(zhì)保量地完成網(wǎng)絡(luò)工程專業(yè)學(xué)生的網(wǎng)絡(luò)系統(tǒng)安全保障能力的培養(yǎng),可設(shè)置相應(yīng)的主干課程:網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全技術(shù)實(shí)踐及擴(kuò)展課程安全測(cè)試與評(píng)估技術(shù)。課程涉及的核心知識(shí)點(diǎn)如表1所示。通過開設(shè)安全測(cè)試與評(píng)估技術(shù),教師引導(dǎo)和培養(yǎng)學(xué)生用逆向、對(duì)抗和整體思維來學(xué)習(xí)并思考網(wǎng)絡(luò)系統(tǒng)安全保障問題。

4培養(yǎng)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障的實(shí)踐和創(chuàng)新能力

實(shí)踐動(dòng)手能力是網(wǎng)絡(luò)系統(tǒng)安全保障能力培養(yǎng)中的重要一環(huán)。許多網(wǎng)絡(luò)信息系統(tǒng)安全保障能力知識(shí)點(diǎn)比較難掌握,必須通過實(shí)踐環(huán)節(jié)來消化、吸收、鞏固和升華,才成為學(xué)生自己的技能。為此,我們一方面努力爭(zhēng)取解決實(shí)驗(yàn)條件,與企業(yè)聯(lián)合共建網(wǎng)絡(luò)安全教學(xué)實(shí)驗(yàn)室;另一方面,自主開發(fā)實(shí)現(xiàn)了一系列的教學(xué)演示和實(shí)踐工具,彌補(bǔ)部分環(huán)節(jié)難以讓學(xué)生動(dòng)手實(shí)踐的不足。通過完善的實(shí)踐體系(包括課內(nèi)實(shí)驗(yàn)、綜合實(shí)驗(yàn)、創(chuàng)新實(shí)踐、實(shí)習(xí)及學(xué)科競(jìng)賽等),培養(yǎng)學(xué)生網(wǎng)絡(luò)系統(tǒng)安全保障的實(shí)踐和創(chuàng)新能力。課內(nèi)實(shí)驗(yàn)包括安全測(cè)試與評(píng)估技術(shù)課程的信息收集、內(nèi)部攻擊、KaliLinux的安裝與使用、Metasploit、緩沖溢出攻擊、Shellcode、Web攻擊、數(shù)據(jù)庫(kù)安全、逆向分析等實(shí)驗(yàn)。網(wǎng)絡(luò)安全技術(shù)課程對(duì)應(yīng)的實(shí)踐課程網(wǎng)絡(luò)安全技術(shù)實(shí)踐設(shè)置了加解密編程、PGP、PKI、VPN服務(wù)器和客戶端、病毒與惡意代碼行為分析、Iptables防火墻、Snort入侵檢測(cè)、以太網(wǎng)網(wǎng)絡(luò)監(jiān)聽與反監(jiān)聽、端口掃描、WinPcap編程、Windows和Linux安全配置等實(shí)驗(yàn);另外還設(shè)置了兩個(gè)綜合實(shí)驗(yàn)——綜合防御實(shí)驗(yàn)(安全配置、防火墻、入侵檢測(cè)、事件響應(yīng))和綜合滲透測(cè)試實(shí)驗(yàn)(信息收集、緩沖溢出滲透、權(quán)限提升、后門安裝、日志清除)。在課內(nèi)實(shí)驗(yàn)和綜合實(shí)驗(yàn)環(huán)節(jié)采用分工合作、以強(qiáng)帶弱、小組整體與個(gè)人測(cè)試評(píng)分相結(jié)合等措施,確保讓每個(gè)學(xué)生掌握相應(yīng)的網(wǎng)絡(luò)系統(tǒng)安全保障實(shí)踐能力。目前,我們正積極與網(wǎng)絡(luò)安全相關(guān)企業(yè)建設(shè)實(shí)習(xí)和實(shí)訓(xùn)基地,開展社會(huì)實(shí)習(xí)和實(shí)踐,探索利用社會(huì)力量培養(yǎng)實(shí)踐能力的模式。專業(yè)實(shí)踐是一門2學(xué)分的創(chuàng)新實(shí)踐和實(shí)習(xí)課程。通過專業(yè)實(shí)踐和畢業(yè)設(shè)計(jì),學(xué)生可以根據(jù)自己的興趣選擇網(wǎng)絡(luò)系統(tǒng)安全保障方面的創(chuàng)新實(shí)踐拓展和深化。一方面,積極鼓勵(lì)并組織優(yōu)秀學(xué)生參加全國(guó)性和地方性的網(wǎng)絡(luò)安全技能競(jìng)賽;另一方面,讓高年級(jí)的同學(xué)參與教師的網(wǎng)絡(luò)系統(tǒng)安全保障科研項(xiàng)目中來,讓學(xué)生在競(jìng)爭(zhēng)與對(duì)抗中和解決實(shí)際問題過程中增強(qiáng)自己的動(dòng)手能力和創(chuàng)新能力,培養(yǎng)學(xué)生的自主學(xué)習(xí)能力和研究能力,激發(fā)他們的網(wǎng)絡(luò)系統(tǒng)安全保障創(chuàng)新思維。

5結(jié)語(yǔ)

第7篇:網(wǎng)絡(luò)與信息安全保障方案范文

近日,記者獲悉,中國(guó)航信為提高信息化管理水平、加強(qiáng)安全監(jiān)管措施,分階段進(jìn)行了安全管理平臺(tái)的建設(shè)工作。在深入理解用戶業(yè)務(wù)、準(zhǔn)確定位用戶需求的基礎(chǔ)上,網(wǎng)御神州科技(北京)有限公司(以下簡(jiǎn)稱“網(wǎng)御神州”)為中國(guó)航信制定了一整套完善的安全管理解決方案,通過擴(kuò)展與優(yōu)化的手段提升了業(yè)務(wù)網(wǎng)絡(luò)的主動(dòng)防御及持續(xù)服務(wù)的能力。這一項(xiàng)目的實(shí)施,有效地緩解了運(yùn)營(yíng)維護(hù)人員的工作壓力,也從根本上提升了中國(guó)航信信息系統(tǒng)的安全管理水平。

安全管理不可缺位

中國(guó)航信為中國(guó)民航信息集團(tuán)旗下的重點(diǎn)企業(yè),是中國(guó)航空旅游業(yè)信息科技解決方案的主導(dǎo)供應(yīng)商。該公司擔(dān)負(fù)著為國(guó)內(nèi)除春秋航空之外的全部航空公司和300余家外國(guó)及地區(qū)航空公司提供電子旅游分銷(ETD)的任務(wù),具體包括航班控制系統(tǒng)服務(wù)(ICS)、計(jì)算機(jī)分銷系統(tǒng)服務(wù)(CRS)和機(jī)場(chǎng)旅客處理(APP)等。

可以說,由中國(guó)航信負(fù)責(zé)的這些大型關(guān)鍵系統(tǒng)均極為復(fù)雜,且有著極高的安全要求。其中,中國(guó)航信負(fù)責(zé)管理的轄下民航出票與旅客離港信息系統(tǒng),更是網(wǎng)絡(luò)環(huán)境復(fù)雜、設(shè)備眾多??傮w來說,該系統(tǒng)按業(yè)務(wù)劃分為三大網(wǎng)絡(luò),各網(wǎng)絡(luò)間采取了較嚴(yán)格的隔離措施。與之對(duì)應(yīng)的,因復(fù)雜部署帶來的管理難題,也令中國(guó)航信的管理人員感到頭疼不已。

“中國(guó)航信的出票與旅客離港信息系統(tǒng)已有較完善的NOC系統(tǒng),防火墻、VPN、IDS、病毒防護(hù)、脆弱性掃描等安全設(shè)備均已部署,但我們最初缺乏對(duì)這些安全設(shè)備所產(chǎn)生事件的綜合分析管理手段?!?中國(guó)航信信息安全項(xiàng)目相關(guān)負(fù)責(zé)人介紹說,這些設(shè)備每天產(chǎn)生的大量事件使管理員應(yīng)接不暇。發(fā)生較大安全事件后,也缺乏有效的審計(jì)手段,不能滿足公司對(duì)企業(yè)信息安全整體控管的要求。在這種情況下,中國(guó)航信急需一套信息安全管理方案和配套的管理軟件,對(duì)所有安全事件進(jìn)行整體分析。

“中國(guó)航信的信息安全管理平臺(tái)一期建設(shè)就是網(wǎng)御神州做的?;趯?duì)網(wǎng)御神州良好服務(wù)品質(zhì)的認(rèn)知,我們選擇網(wǎng)御神州在一期平臺(tái)的基礎(chǔ)上,繼續(xù)進(jìn)行安全管理二期系統(tǒng)的建設(shè),以保障中國(guó)航信業(yè)務(wù)系統(tǒng)高效、穩(wěn)定、安全地運(yùn)行,從而全面提升信息安全保障等級(jí)?!?中國(guó)航信相關(guān)負(fù)責(zé)人表示。

為了提高中國(guó)航信業(yè)務(wù)系統(tǒng)對(duì)安全事件的預(yù)警能力和安全管理水平,網(wǎng)御神州在深入理解用戶業(yè)務(wù)、準(zhǔn)確定位用戶需求的基礎(chǔ)上,為中國(guó)航信量身制定了一整套完善的產(chǎn)品解決方案。據(jù)了解,該系統(tǒng)投入使用后,已成功發(fā)現(xiàn)多起網(wǎng)絡(luò)蠕蟲、內(nèi)部用戶違規(guī)操作、外部用戶竊取機(jī)密數(shù)據(jù)及疑似DDoS攻擊等具有不同安全威脅的事件,并及時(shí)發(fā)出告警,協(xié)助安全管理人員定位、解決了問題。此外,該系統(tǒng)還根據(jù)中國(guó)航信的需要,定期生成各類安全統(tǒng)計(jì)報(bào)告,供相關(guān)人員進(jìn)行分析。

專業(yè)服務(wù)

提升安管水平

據(jù)介紹,網(wǎng)御神州在中國(guó)航信安全管理二期建設(shè)工作中的主要任務(wù),是在一期系統(tǒng)的基礎(chǔ)上,更新硬件平臺(tái),增加收集的事件源,加入對(duì)業(yè)務(wù)系統(tǒng)的安全監(jiān)控,增強(qiáng)事件的分析和報(bào)表統(tǒng)計(jì)功能,加速事件的處理流程和運(yùn)維建設(shè)。這些改進(jìn)使得SOC系統(tǒng)可以實(shí)現(xiàn)對(duì)業(yè)務(wù)鏈的信息安全整體監(jiān)控,切實(shí)擔(dān)負(fù)起綜合安全運(yùn)維管理的功能,提高整網(wǎng)的安全防護(hù)和安全響應(yīng)能力。

此外,網(wǎng)御神州還在項(xiàng)目二期建設(shè)工作中為中國(guó)航信提供了安全管理和技術(shù)咨詢服務(wù)。根據(jù)中國(guó)航信信息安全的發(fā)展方向和信息安全的保障需求,二期信息安全服務(wù)的主要目標(biāo)是通過提供科學(xué)和長(zhǎng)期的正向安全運(yùn)營(yíng)技術(shù)保障,降低異常問題的出現(xiàn)概率;同時(shí)針對(duì)異常問題的出現(xiàn)給予及時(shí)地保障,把中國(guó)航信信息安全風(fēng)險(xiǎn)和SOC安全運(yùn)維平臺(tái)緊密結(jié)合起來。

“二期項(xiàng)目在安全事件覆蓋和分析方面較一期有了更廣、更深層次的突破,已經(jīng)基本上保證了中國(guó)航信所有安全設(shè)備的事件集中收集與分析。對(duì)于資產(chǎn)、弱點(diǎn)、入侵檢測(cè)事件、防火墻事件、服務(wù)器事件、防病毒事件、主機(jī)事件、網(wǎng)絡(luò)設(shè)備事件等元素,可以做到多者間的關(guān)聯(lián)分析和基于風(fēng)險(xiǎn)模式的分析。這其中提供給用戶的既有實(shí)時(shí)監(jiān)控信息,也有事后的統(tǒng)計(jì)分析?!本W(wǎng)御神州相關(guān)項(xiàng)目負(fù)責(zé)人介紹說。

同時(shí),這位負(fù)責(zé)人還向記者介紹,中國(guó)航信安全管理二期建設(shè)項(xiàng)目將運(yùn)維工作的重點(diǎn)放在事件響應(yīng)處理的流程和解決方法上?;诰W(wǎng)御神州和中國(guó)航信在SOC系統(tǒng)上長(zhǎng)時(shí)間的合作和SOC運(yùn)維的更高要求,通過制定突發(fā)事件和常見事件處理的一些規(guī)范流程和方法,更及時(shí)有效地處理各類安全事件。有了規(guī)范的流程和完備的安全防護(hù)措施,就可以防微杜漸,將一些安全問題消滅在萌芽當(dāng)中。

第8篇:網(wǎng)絡(luò)與信息安全保障方案范文

理解CISP知識(shí)體系

CISP的核心在于將保障貫穿于整個(gè)知識(shí)體系。保障應(yīng)覆蓋整個(gè)信息系統(tǒng)生命周期,通過技術(shù)、管理、工程過程和人員,確保每個(gè)階段的安全屬性(保密性、完整性和可用性)得到有效控制,使組織業(yè)務(wù)持續(xù)運(yùn)行。IT作為保障業(yè)務(wù)的重要手段和工具成為傳統(tǒng)保障目的的核心。由于風(fēng)險(xiǎn)會(huì)影響業(yè)務(wù)的正常運(yùn)行,因此,降低風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響是保障的主要目標(biāo)(如圖)。在建立保障論據(jù)的過程中,首先應(yīng)該考慮的是組織業(yè)務(wù)對(duì)IT的依賴程度;其次要考慮風(fēng)險(xiǎn)的客觀性;第三要考慮風(fēng)險(xiǎn)消減手段的可執(zhí)行度。CISP從體系結(jié)構(gòu)上提供了信息安全規(guī)劃設(shè)計(jì)的良好思路和方法論,在整個(gè)課程體系中涵蓋了從政策(戰(zhàn)略層)到模型、標(biāo)準(zhǔn)、基線(戰(zhàn)術(shù)層)的縱向線條,同時(shí)在兼顧中國(guó)國(guó)情的情況下,系統(tǒng)介紹國(guó)際常用評(píng)估標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和國(guó)家相關(guān)信息安全標(biāo)準(zhǔn)與政策。

根據(jù)CISP知識(shí)體系建立安全規(guī)劃設(shè)計(jì)

安全規(guī)劃是信息安全生命周期管理的起點(diǎn)和基礎(chǔ),良好的規(guī)劃設(shè)計(jì)可以為組織帶來正確的指導(dǎo)和方向。根據(jù)國(guó)家《網(wǎng)絡(luò)安全法》“第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?!?/p>

1.通過保障的思想建立安全規(guī)劃背景

信息安全規(guī)劃設(shè)計(jì)可以根據(jù)美國(guó)信息保障技術(shù)框架(IATF)ISSE過程建立需求,本階段可對(duì)應(yīng)ISSE中發(fā)掘信息保護(hù)需求階段。根據(jù)“信息安全保障基本內(nèi)容”確定安全需求,安全需求源于業(yè)務(wù)需求,通過風(fēng)險(xiǎn)評(píng)估,在符合現(xiàn)有政策法規(guī)的情況下,建立基于風(fēng)險(xiǎn)與策略的基本方針。因此,安全規(guī)劃首先要熟悉并了解組織的業(yè)務(wù)特性,在信息安全規(guī)劃背景設(shè)計(jì)中,應(yīng)描述規(guī)劃對(duì)象的業(yè)務(wù)特性、業(yè)務(wù)類型、業(yè)務(wù)范圍以及業(yè)務(wù)狀態(tài)等相關(guān)信息,并根據(jù)組織結(jié)構(gòu)選擇適用的安全標(biāo)準(zhǔn),例如國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的信息安全需要建立在信息安全等級(jí)保護(hù)基礎(chǔ)之上、第三方支付機(jī)構(gòu)可選CISP知識(shí)域簡(jiǎn)圖擇PCI-DSS作為可依據(jù)的準(zhǔn)則等。信息系統(tǒng)保護(hù)輪廓(ISPP)是根據(jù)組織機(jī)構(gòu)使命和所處的運(yùn)行環(huán)境,從組織機(jī)構(gòu)的策略和風(fēng)險(xiǎn)的實(shí)際情況出發(fā),對(duì)具體信息系統(tǒng)安全保障需求和能力進(jìn)行具體描述。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估可以基于GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》執(zhí)行具體的評(píng)估,評(píng)估分為技術(shù)評(píng)估與管理評(píng)估兩部分。從可遵循的標(biāo)準(zhǔn)來看,技術(shù)評(píng)估通過GB/T22240—2008《信息安全等級(jí)保護(hù)技術(shù)要求》中物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及數(shù)據(jù)安全五個(gè)層面進(jìn)行評(píng)估;管理安全可以選擇ISO/IEC27001:2013《信息技術(shù)信息安全管理體系要求》進(jìn)行,該標(biāo)準(zhǔn)所包含的14個(gè)控制類113個(gè)控制點(diǎn)充分體現(xiàn)組織所涉及的管理風(fēng)險(xiǎn)。在工作中,可以根據(jù)信息系統(tǒng)安全目標(biāo)來規(guī)范制定安全方案。信息系統(tǒng)安全目標(biāo)是根據(jù)信息系統(tǒng)保護(hù)輪廓編制、從信息系統(tǒng)安全保障的建設(shè)方(廠商)角度制定的信息系統(tǒng)安全保障方案。根據(jù)組織的安全目標(biāo)設(shè)計(jì)建設(shè)目標(biāo),由于信息技術(shù)的飛速發(fā)展以及組織業(yè)務(wù)的高速變化,一般建議建設(shè)目標(biāo)以1-3年為宜,充分體現(xiàn)信息安全規(guī)劃設(shè)計(jì)的可實(shí)施性,包括可接受的成本、合理的進(jìn)度、技術(shù)可實(shí)現(xiàn)性,以及組織管理和文化的可接受性等因素。

2.信息系統(tǒng)安全保障評(píng)估框架下的概要設(shè)計(jì)

概要設(shè)計(jì)的主要任務(wù)是把背景建立階段中所獲得的需求通過頂層設(shè)計(jì)進(jìn)行描述。本階段可對(duì)應(yīng)ISSE中定義信息保護(hù)系統(tǒng),通過概要設(shè)計(jì)將安全規(guī)劃設(shè)計(jì)基于GB/T20274-1:2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》進(jìn)行模塊化劃分,并且描述安全規(guī)劃設(shè)計(jì)的組織高層愿景與設(shè)計(jì)內(nèi)涵;在概要設(shè)計(jì)中,還應(yīng)該描述每個(gè)模塊的概要描述與設(shè)計(jì)原則。設(shè)計(jì)思路是從宏觀上描述信息安全規(guī)劃設(shè)計(jì)的目的、意義以及最終目標(biāo)并選擇適用的模型建立設(shè)計(jì)原則。本部分主要體現(xiàn)信息安全保障中信息系統(tǒng)安全概念和關(guān)系。根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,頂層設(shè)計(jì)可以建立在信息安全等級(jí)保護(hù)的基礎(chǔ)上,綜合考慮諸如建立安全管理組織、完善預(yù)警與應(yīng)急響應(yīng)機(jī)制、確保業(yè)務(wù)連續(xù)性計(jì)劃等方面GB/T20274-1:2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》提供了一個(gè)優(yōu)秀的保障體系框架。該標(biāo)準(zhǔn)給出了信息系統(tǒng)安全保障的基本概念和模型,并建立了信息系統(tǒng)安全保障框架。該標(biāo)準(zhǔn)詳細(xì)給出了信息系統(tǒng)安全保障的一般模型,包括安全保障上下文、信息系統(tǒng)安全保障評(píng)估、信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的生成、信息系統(tǒng)安全保障描述材料;信息系統(tǒng)安全保障評(píng)估和評(píng)估結(jié)果,包括信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的要求、評(píng)估對(duì)象的要求、評(píng)估結(jié)果的聲明等。信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中,通過對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析,制定并執(zhí)行相應(yīng)的安全保障策略,從技術(shù)、管理、工程和人員等方面提出安全保障要求,確保信息系統(tǒng)的保密性、完整性和可用性,降低安全風(fēng)險(xiǎn)到可接受的程度,從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。策略體現(xiàn)的是組織的高層意旨,模型與措施作為戰(zhàn)術(shù)指標(biāo)分別為中層和執(zhí)行層提供具體的工作思路和方法,以完成設(shè)計(jì)的具體實(shí)現(xiàn)。當(dāng)信息安全滿足所定義的基本要素后,為每個(gè)層面的設(shè)計(jì)提出概要目標(biāo),并在具體的設(shè)計(jì)中將其覆蓋整個(gè)安全規(guī)劃中。

3.實(shí)現(xiàn)建立在宏觀角度的合規(guī)性通用設(shè)計(jì)

通用設(shè)計(jì)可對(duì)應(yīng)ISSE中設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu),本階段是整個(gè)安全規(guī)劃設(shè)計(jì)的核心部分,本階段必須全面覆蓋背景建立階段所獲得的安全需求,滿足概要設(shè)計(jì)階段所選擇的模型與方法論,全面、系統(tǒng)的描述安全目標(biāo)的具體實(shí)現(xiàn)。通用安全設(shè)計(jì)是建立在宏觀角度上的綜合性設(shè)計(jì),設(shè)計(jì)首先將各個(gè)系統(tǒng)所產(chǎn)生的共同問題及宏觀問題統(tǒng)一解決,有效降低在安全建設(shè)中的重復(fù)建設(shè)和管理真空問題。在通用設(shè)計(jì)中,重點(diǎn)針對(duì)組織信息安全管理體系和風(fēng)險(xiǎn)管理過程的控制元素,從系統(tǒng)生命周期考慮信息安全問題。(1)管理設(shè)計(jì)在信息安全管理體系ISMS過程方法論中,可遵循的過程方法是PDCA四個(gè)階段:首先,需要在P階段解決信息系統(tǒng)安全的目標(biāo)、范圍的確認(rèn),并且獲得高層的支持與承諾。安全管理的實(shí)質(zhì)就是風(fēng)險(xiǎn)管理,管理設(shè)計(jì)應(yīng)緊緊圍繞風(fēng)險(xiǎn)建立,所以,本階段首要的任務(wù)是為組織建立適用的風(fēng)險(xiǎn)評(píng)估方法論。其次,管理評(píng)估中所識(shí)別的不可接受風(fēng)險(xiǎn)是本階段主要設(shè)計(jì)依據(jù)。通過D環(huán)節(jié),需要解決風(fēng)險(xiǎn)評(píng)估的具體實(shí)施以及風(fēng)險(xiǎn)控制措施落實(shí),風(fēng)險(xiǎn)評(píng)估僅能解決當(dāng)前狀態(tài)下的安全風(fēng)險(xiǎn)問題,因此,必須建立風(fēng)險(xiǎn)管理實(shí)施規(guī)范,當(dāng)組織在一定周期(例如1年)或者組織發(fā)生重大變更時(shí)重新執(zhí)行風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估可以是自評(píng)估,也可以委托第三方進(jìn)行。本環(huán)節(jié)的設(shè)計(jì)必須涵蓋管理風(fēng)險(xiǎn)中所有不可接受風(fēng)險(xiǎn)的具體處置,從實(shí)現(xiàn)而言,重點(diǎn)關(guān)注管理機(jī)構(gòu)的設(shè)置與體系文件的建立和落實(shí)。第三個(gè)環(huán)節(jié)是建立有效的內(nèi)審機(jī)制和監(jiān)測(cè)機(jī)制,沒有檢測(cè)就沒有改進(jìn),通過設(shè)計(jì)審計(jì)體系完成對(duì)信息安全管理體系的動(dòng)態(tài)運(yùn)行。第四個(gè)環(huán)節(jié),即A環(huán)節(jié),是在完成審計(jì)之后針對(duì)組織是否有效執(zhí)行糾正措施的落實(shí)設(shè)計(jì)審計(jì)跟蹤和風(fēng)險(xiǎn)再評(píng)估過程。A環(huán)節(jié)既是信息安全管理體系的最后一個(gè)環(huán)節(jié),也是新的PDCA過程的推動(dòng)力。(2)技術(shù)設(shè)計(jì)技術(shù)設(shè)計(jì)主要是建立在組織平均安全水平基礎(chǔ)上,應(yīng)可適用于組織所有的系統(tǒng)和通用的技術(shù)風(fēng)險(xiǎn)。設(shè)計(jì)可遵循多種技術(shù)標(biāo)準(zhǔn)體系,首先建立基于信息安全等級(jí)保護(hù)的五個(gè)層面技術(shù)設(shè)計(jì)要求。通過美國(guó)信息保障技術(shù)框架建立“縱深防御”原則,其具體涉及在訪問控制技術(shù)和密碼學(xué)技術(shù)支撐下的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全。技術(shù)設(shè)計(jì)可在原有的技術(shù)框架下建立云安全、大數(shù)據(jù)安全等專項(xiàng)技術(shù)安全設(shè)計(jì),也可在網(wǎng)絡(luò)安全中增加虛擬網(wǎng)絡(luò)安全設(shè)計(jì)等方式,應(yīng)對(duì)新技術(shù)領(lǐng)域的安全設(shè)計(jì)。技術(shù)設(shè)計(jì)可以包括兩個(gè)主要手段:第一,技術(shù)配置。技術(shù)配置是在現(xiàn)有的技術(shù)能力下通過基于業(yè)務(wù)的安全策略和合規(guī)性基線進(jìn)行安全配置。常見的手段包括補(bǔ)丁的修訂、安全域的劃分與ACL的設(shè)計(jì)、基于基線的系統(tǒng)配置等手段;第二,技術(shù)產(chǎn)品。技術(shù)產(chǎn)品是在現(xiàn)有產(chǎn)品不能滿足控制能力時(shí)通過添加新的安全產(chǎn)品結(jié)合原有的控制措施和產(chǎn)品統(tǒng)一部署、統(tǒng)一管理。在技術(shù)設(shè)計(jì)中,必須明確的原則是產(chǎn)品不是安全的唯一,產(chǎn)品也不是解決安全問題的靈丹妙藥,有效的安全控制是通過對(duì)產(chǎn)品的綜合使用和與管理、流程、人員能力相互結(jié)合,最終形成最佳的使用效果。(3)工程過程設(shè)計(jì)工程過程設(shè)計(jì)重點(diǎn)考慮基于生命周期每個(gè)階段的基于安全工程考慮的流程問題,在信息系統(tǒng)生命周期的五個(gè)層面。信息安全問題應(yīng)該從計(jì)劃組織階段開始重視,在信息系統(tǒng)生命周期每個(gè)階段建立有效的安全控制和管理。工程過程包括計(jì)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段,本階段的設(shè)計(jì)主要通過在每個(gè)階段建立相應(yīng)的流程,通過流程設(shè)計(jì)控制生命周期各個(gè)階段的安全風(fēng)險(xiǎn)。在計(jì)劃組織(需求分析)階段,體現(xiàn)信息安全工程中明確指出的系統(tǒng)建設(shè)與安全建設(shè)應(yīng)“同步規(guī)劃、同步實(shí)施”,體現(xiàn)《網(wǎng)絡(luò)安全法》中“三同步”的要求。在開發(fā)采購(gòu)階段,通過流程設(shè)計(jì)實(shí)現(xiàn)軟件安全開發(fā)的實(shí)現(xiàn)和實(shí)現(xiàn)供應(yīng)鏈管理。實(shí)施交付階段,關(guān)注安全交付問題,應(yīng)設(shè)計(jì)安全交付流程和安全驗(yàn)收流程。運(yùn)行維護(hù)階段要體現(xiàn)安全運(yùn)維與傳統(tǒng)運(yùn)維差異化,安全運(yùn)維起于風(fēng)險(xiǎn)評(píng)估,應(yīng)更多關(guān)注預(yù)防事件的發(fā)生,事前安全檢查的基線設(shè)計(jì)、檢查手段及工具的選擇和使用根據(jù)設(shè)備的不同重要程度建立不同的檢查周期;當(dāng)系統(tǒng)產(chǎn)生缺陷或者漏洞時(shí),設(shè)計(jì)合理的配置管理、變更管理及補(bǔ)丁管理等流程解決事中問題;當(dāng)事件已經(jīng)產(chǎn)生影響時(shí),可以通過預(yù)定義的應(yīng)急響應(yīng)機(jī)制抑制事件并處置事件;當(dāng)事件造成系統(tǒng)中斷、數(shù)據(jù)丟失以及其他影響業(yè)務(wù)連續(xù)性后果時(shí),能夠通過規(guī)劃中的災(zāi)難恢復(fù)及時(shí)恢復(fù)業(yè)務(wù)。廢棄階段通過流程控制用戶系統(tǒng)在下線、遷移、更新過程中對(duì)包含有組織敏感信息的存儲(chǔ)介質(zhì)建立保護(hù)流程和方法,明確廢棄過程中形成的信息保護(hù)責(zé)任制,并根據(jù)不同的敏感采取不同的管理手段和技術(shù)手段對(duì)剩余信息進(jìn)行有效處置。(4)人員設(shè)計(jì)人員安全是信息安全領(lǐng)域不可或缺的層面,長(zhǎng)期以來,過于關(guān)注IT技術(shù)的規(guī)劃設(shè)計(jì)而忽略了人的安全問題,內(nèi)部人員安全問題構(gòu)成了組織安全的重要隱患,人為的無意失誤造成的損害往往遠(yuǎn)大于人為的惡意行為。人員設(shè)計(jì)重點(diǎn)關(guān)注人員崗位、技術(shù)要求、背景以及培訓(xùn)與教育,充分體現(xiàn)最小特權(quán)、職責(zé)分離及問責(zé)制等原則。根據(jù)《網(wǎng)絡(luò)安全法》第四章要求,關(guān)鍵基礎(chǔ)設(shè)施應(yīng)建立信息安全管理機(jī)構(gòu),并設(shè)置信息安全專職人員。在人員設(shè)計(jì)中還應(yīng)充分考慮到第三方代維人員的管理及供應(yīng)商管理等新問題的產(chǎn)生。

4.構(gòu)建等級(jí)化保護(hù)的層面間設(shè)計(jì)

第9篇:網(wǎng)絡(luò)與信息安全保障方案范文

關(guān)鍵詞:電子政務(wù)外網(wǎng) 安全保障體系 計(jì)算區(qū)域 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 計(jì)算區(qū)域邊界 安全域 等級(jí)保護(hù) 風(fēng)險(xiǎn)評(píng)估

一、前言

國(guó)家電子政務(wù)外網(wǎng)(以下簡(jiǎn)稱政務(wù)外網(wǎng))是中辦發(fā)[2002]17號(hào)文件明確規(guī)定要建設(shè)的政務(wù)網(wǎng)絡(luò)平臺(tái)。政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng),主要為黨委、人大、政府、政協(xié)、法院和檢察院各級(jí)政務(wù)部門服務(wù),運(yùn)行各級(jí)政務(wù)部門面向社會(huì)的專業(yè)業(yè)務(wù)和不需要在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)。

為保證電子政務(wù)外網(wǎng)的安全運(yùn)行,中辦發(fā)[2003]27號(hào)文和[2006]18號(hào)文明確提出,電子政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)之間采用物理隔離,政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間采用邏輯隔離。政務(wù)外網(wǎng)的建設(shè)要按照信息安全等級(jí)保護(hù)的有關(guān)要求,分別采用相應(yīng)的保護(hù)措施,通過建立統(tǒng)一的密碼和密鑰管理體系、網(wǎng)絡(luò)信任體系和安全管理體系,分級(jí)、分層、分域保障信息安全。

二、政務(wù)外網(wǎng)(一期工程)安全需求

⒈政務(wù)外網(wǎng)安全防護(hù)對(duì)象

政務(wù)外網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境如圖1所示。

依據(jù)政務(wù)外網(wǎng)的網(wǎng)絡(luò)環(huán)境,政務(wù)外網(wǎng)的安全防護(hù)對(duì)象分為如下三類:計(jì)算區(qū)域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和計(jì)算區(qū)域邊界。

⑴計(jì)算區(qū)域

政務(wù)外網(wǎng)所涉及的計(jì)算環(huán)境有:中央網(wǎng)絡(luò)管理中心計(jì)算區(qū)域、各省市節(jié)點(diǎn)的二級(jí)網(wǎng)絡(luò)管理中心計(jì)算區(qū)域、中央城域網(wǎng)接入單位計(jì)算區(qū)域以及外網(wǎng)骨干網(wǎng)接入的各省市節(jié)點(diǎn)的計(jì)算區(qū)域。

在各計(jì)算區(qū)域內(nèi)主要防護(hù)如下對(duì)象:

①數(shù)據(jù)資源,主要包括各應(yīng)用系統(tǒng)管理的數(shù)據(jù)資源;

②軟件資源,包括系統(tǒng)軟件、網(wǎng)絡(luò)軟件、支撐軟件和應(yīng)用系統(tǒng)等;

③中心計(jì)算機(jī);

④存儲(chǔ)介質(zhì),包括數(shù)據(jù)備份磁帶、軟盤、可讀寫光盤等;

⑤用戶,包括普通操作員、業(yè)務(wù)管理員、高級(jí)業(yè)務(wù)管理員以及系統(tǒng)(數(shù)據(jù)庫(kù))管理員和網(wǎng)絡(luò)管理員等。

⑵網(wǎng)絡(luò)基礎(chǔ)設(shè)施

政務(wù)外網(wǎng)所要防護(hù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要有:各計(jì)算區(qū)域的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以及實(shí)現(xiàn)各計(jì)算區(qū)域相聯(lián)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

⑶計(jì)算區(qū)域邊界

由于計(jì)算區(qū)域與其他外部實(shí)體相聯(lián)而產(chǎn)生區(qū)域邊界,區(qū)域邊界與計(jì)算區(qū)域直接相關(guān),與計(jì)算區(qū)域相聯(lián)的外部實(shí)體的性質(zhì)直接決定區(qū)域邊界的保護(hù)的策略。

政務(wù)外網(wǎng)中的計(jì)算區(qū)域邊界主要有:與中央城域網(wǎng)相聯(lián)的各計(jì)算區(qū)域因與中央城域網(wǎng)相聯(lián)而產(chǎn)生的區(qū)域邊界以及這些區(qū)域與互聯(lián)網(wǎng)等外部實(shí)體相聯(lián)而產(chǎn)生的區(qū)域邊界、各省市節(jié)點(diǎn)計(jì)算區(qū)域因與政務(wù)外網(wǎng)骨干網(wǎng)相聯(lián)而產(chǎn)生的區(qū)域邊界以及這些區(qū)域與互聯(lián)網(wǎng)等外部實(shí)體相聯(lián)而產(chǎn)生的區(qū)域邊界。

⒉安全需求

根據(jù)政務(wù)外網(wǎng)的特點(diǎn),政務(wù)外網(wǎng)的安全需求體現(xiàn)在如下幾方面:

①建設(shè)政務(wù)外網(wǎng)安全信任體系,確保政務(wù)外網(wǎng)資源不能被非法用戶訪問;

②建設(shè)政務(wù)外網(wǎng)數(shù)據(jù)交換中心,確保不同安全域之間的安全數(shù)據(jù)交換;

③確保政務(wù)外網(wǎng)的安全保障體系具有高可靠性,并具有可審計(jì)、可監(jiān)控性;

④實(shí)現(xiàn)政務(wù)外網(wǎng)統(tǒng)一的安全管理體系;

⑤確保政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的安全互連。

三、政務(wù)外網(wǎng)安全保障體系框架

政務(wù)外網(wǎng)要為政務(wù)部門的業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)、信息、安全等支撐服務(wù),為社會(huì)公眾提供政務(wù)信息服務(wù)。從政務(wù)外網(wǎng)的實(shí)際出發(fā),政務(wù)外網(wǎng)的安全保障體系設(shè)計(jì)應(yīng)重點(diǎn)針對(duì)政務(wù)外網(wǎng)的如下特點(diǎn):

①政務(wù)外網(wǎng)必須與互聯(lián)網(wǎng)邏輯隔離;

②政務(wù)外網(wǎng)主要運(yùn)行面向社會(huì)的專業(yè)業(yè)務(wù),這些業(yè)務(wù)所涉及的業(yè)務(wù)信息具有面向公眾的特性,所以保護(hù)業(yè)務(wù)信息的完整性、可鑒別性以及抗抵賴性十分重要;

③政務(wù)外網(wǎng)是國(guó)家電子政務(wù)的基礎(chǔ)性網(wǎng)絡(luò)環(huán)境,支持電子政務(wù)系統(tǒng)互聯(lián)互通、數(shù)據(jù)交換、信息共享、業(yè)務(wù)互動(dòng)、便民服務(wù)的需求,所以政務(wù)外網(wǎng)要滿足公用網(wǎng)絡(luò)安全可信的需求;

根據(jù)以上分析,政務(wù)外網(wǎng)(一期工程)安全保障體系由網(wǎng)絡(luò)防護(hù)體系、網(wǎng)絡(luò)信任體系、安全管理體系、安全服務(wù)體系等構(gòu)成,邏輯模型如圖2所示。

⒈網(wǎng)絡(luò)安全防護(hù)體系

網(wǎng)絡(luò)安全防護(hù)系統(tǒng)是政務(wù)外網(wǎng)安全保障體系中最重要的安全設(shè)施,主要保護(hù)電子政務(wù)外網(wǎng)的各子網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)及整個(gè)電子政務(wù)外網(wǎng),保證整個(gè)政務(wù)外網(wǎng)及相關(guān)業(yè)務(wù)系統(tǒng)的可用性、完整性、可控性等。網(wǎng)絡(luò)安全防護(hù)系統(tǒng)重點(diǎn)要考慮防火墻系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、遠(yuǎn)程安全接入系統(tǒng)、流量監(jiān)測(cè)系統(tǒng)等的配置和建設(shè)。

政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全防護(hù)體系將涵蓋以下幾個(gè)方面:

⑴物理安全

保證政務(wù)外網(wǎng)中各種骨干設(shè)備的物理安全是整個(gè)政務(wù)外網(wǎng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。

⑵網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要考慮VPN、防火墻、入侵檢測(cè)系統(tǒng)、非法外聯(lián)監(jiān)控系統(tǒng)、PKI接入認(rèn)證網(wǎng)關(guān)等安全設(shè)備在政務(wù)外網(wǎng)中的配置與部署。

⑶系統(tǒng)層安全

系統(tǒng)層安全主要包括漏洞掃描、操作系統(tǒng)安全加固、數(shù)據(jù)庫(kù)安全加固。

⑷應(yīng)用層安全

應(yīng)用層安全主要考慮應(yīng)用系統(tǒng)的鑒別、授權(quán)和訪問控制等安全機(jī)制。

⒉網(wǎng)絡(luò)信任體系

網(wǎng)絡(luò)信任體系是為網(wǎng)絡(luò)用戶、設(shè)備提供信息安全服務(wù)的具有普適性的信息安全基礎(chǔ)設(shè)施。該體系在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供在線身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定。其核心是要解決信息網(wǎng)絡(luò)空間中的信任問題,確定信息網(wǎng)絡(luò)空間中各種經(jīng)濟(jì)和管理行為主體(包括組織和個(gè)人)身份的唯一性、真實(shí)性和合法性,保護(hù)信息網(wǎng)絡(luò)空間中各種主體的安全利益。政務(wù)外網(wǎng)網(wǎng)絡(luò)信任體系的建設(shè)與政務(wù)外網(wǎng)的安全運(yùn)營(yíng)息息相關(guān),是電子政務(wù)安全運(yùn)行的支撐基礎(chǔ)設(shè)施。

政務(wù)外網(wǎng)(一期工程)的網(wǎng)絡(luò)信任體系,主要是在國(guó)家主管部門的指導(dǎo)下,建設(shè)政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng),組建政務(wù)外網(wǎng)身份認(rèn)證管理協(xié)調(diào)機(jī)構(gòu)和技術(shù)保障隊(duì)伍,制定有關(guān)政務(wù)外網(wǎng)身份認(rèn)證的相關(guān)標(biāo)準(zhǔn)體系、管理運(yùn)行規(guī)章制度和規(guī)范,逐步形成統(tǒng)一的政務(wù)外網(wǎng)網(wǎng)絡(luò)信任體系。

⒊安全服務(wù)體系

政務(wù)外網(wǎng)安全服務(wù)體系主要由安全評(píng)估和安全培訓(xùn)組成。安全評(píng)估主要是對(duì)政務(wù)外網(wǎng)及其處理的傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)識(shí)別和掃描評(píng)估的過程。安全評(píng)估的主要目的是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)發(fā)現(xiàn)并修正動(dòng)態(tài)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中存在的弱點(diǎn)和漏洞,認(rèn)清信息安全環(huán)境、信息安全狀況,明確責(zé)任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續(xù)性。

⒋安全管理體系

安全并非只是一個(gè)技術(shù)問題,它也是一個(gè)關(guān)于人和管理的問題。安全不是個(gè)產(chǎn)品,它是一個(gè)完整的過程。作為一個(gè)過程,它有人、技術(shù)、流程這3個(gè)組成部分,這些組成部分匹配得越好,過程進(jìn)展得就越順利。

安全管理在政務(wù)外網(wǎng)的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術(shù)措施,如果管理的力度不夠,將會(huì)造成很大的安全隱患。因此,必須加強(qiáng)安全保密管理,設(shè)置安全保密管理機(jī)構(gòu),制定嚴(yán)格的安全保密管理制度,采用適當(dāng)?shù)陌踩C芄芾砑夹g(shù)將政務(wù)外網(wǎng)中各種安全保密產(chǎn)品進(jìn)行集成,并加強(qiáng)對(duì)人員的管理。

安全管理體系的建設(shè)包括安全保密管理機(jī)構(gòu)的建立、安全保密制度的制定、安全保密管理技術(shù)的使用以及人員的管理等幾方面內(nèi)容,這里不再予以贅述。只有通過建立科學(xué)、嚴(yán)密的安全管理體系,不斷完善管理行為,形成一個(gè)動(dòng)態(tài)的安全過程,才能為政務(wù)外網(wǎng)提供制度上的保證。

四、幾個(gè)重要問題

在整個(gè)政務(wù)外網(wǎng)(一期工程)安全保障體系的規(guī)劃和建設(shè)當(dāng)中,有幾個(gè)重要問題需要特別說明。

⒈安全域劃分

政務(wù)外網(wǎng)要為政務(wù)部門的業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)、信息、安全等支撐服務(wù),為社會(huì)公眾提供政務(wù)信息服務(wù),要滿足政府公用網(wǎng)絡(luò)安全可信的需求。所以,在政務(wù)外網(wǎng)內(nèi)有必要?jiǎng)澐植煌陌踩?,定義每個(gè)安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權(quán)威定義和執(zhí)行的公共安全策略的安全要素的集合,有利于每個(gè)安全域共享相似的安全策略。

政務(wù)外網(wǎng)具有數(shù)據(jù)量龐大、業(yè)務(wù)復(fù)雜多樣、安全等級(jí)各異的特點(diǎn),因此安全域的劃分遵循以下原則:

①根據(jù)信任等級(jí)劃分安全域。在政務(wù)外網(wǎng)中,要為政務(wù)信息資源和國(guó)家基礎(chǔ)信息資源的登記、備案、、交換和共享提供服務(wù),同時(shí)相關(guān)的業(yè)務(wù)系統(tǒng)也要有連接到互聯(lián)網(wǎng)和有需求的其它單位,不同的系統(tǒng)由于處理的數(shù)據(jù)和交互的實(shí)體不同,需要在不同的位置或業(yè)務(wù)流程中,劃分不同的安全域。

②根據(jù)業(yè)務(wù)節(jié)點(diǎn)類型,對(duì)不同的節(jié)點(diǎn)劃分相應(yīng)的安全域,并配置和節(jié)點(diǎn)業(yè)務(wù)量相匹配的安全措施和安全設(shè)備。在政務(wù)外網(wǎng)中,政務(wù)外網(wǎng)要連接不同類型的網(wǎng)絡(luò)節(jié)點(diǎn),網(wǎng)絡(luò)節(jié)點(diǎn)的安全等級(jí)決定了安全域的劃分和安全設(shè)施的投資建設(shè)規(guī)模。

③依據(jù)數(shù)據(jù)的安全等級(jí),在存儲(chǔ)和傳輸?shù)牟煌瑓^(qū)域,劃分安全域,并采用不同的安全策略,體現(xiàn)數(shù)據(jù)的分等級(jí)保護(hù)。

根據(jù)以上原則,在政務(wù)外網(wǎng)中,網(wǎng)絡(luò)各節(jié)點(diǎn)的局域網(wǎng)構(gòu)成相對(duì)獨(dú)立的安全域,并在各節(jié)點(diǎn)內(nèi)部進(jìn)行安全域細(xì)化。政務(wù)外網(wǎng)中,按節(jié)點(diǎn)所劃分的安全域有中央網(wǎng)絡(luò)管理中心局域網(wǎng)、中央城域網(wǎng)接入節(jié)點(diǎn)單位、各省市節(jié)點(diǎn)的二級(jí)網(wǎng)絡(luò)管理中心局域網(wǎng)和各省市節(jié)點(diǎn)的各自的接入網(wǎng)絡(luò)。

⒉等級(jí)保護(hù)

根據(jù)公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室2007年聯(lián)合頒布的43號(hào)文件《信息安全等級(jí)保護(hù)管理辦法》的相關(guān)規(guī)定,為保障電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全,對(duì)電子政務(wù)外網(wǎng)需采用等級(jí)保護(hù)機(jī)制。等級(jí)保護(hù)以網(wǎng)絡(luò)安全域劃分為基礎(chǔ),電子政務(wù)外網(wǎng)包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施,包括眾多接入網(wǎng)絡(luò),各個(gè)子網(wǎng)絡(luò)又包括不同的應(yīng)用系統(tǒng)。只有根據(jù)這些資產(chǎn)的重要性以及它們面臨的安全威脅的不同,結(jié)構(gòu)化地劃分為安全域,才能有效地進(jìn)行安全保護(hù)。

根據(jù)政務(wù)外網(wǎng)的邏輯結(jié)構(gòu)、安全域劃分情況、面向?qū)ο蠹皯?yīng)用模式,中央網(wǎng)絡(luò)管理中心局域網(wǎng)、中央城域網(wǎng)接入節(jié)點(diǎn)單位二級(jí)網(wǎng)絡(luò)管理中心局域網(wǎng)和各省區(qū)市接入節(jié)點(diǎn)二級(jí)網(wǎng)絡(luò)管理中心局域網(wǎng),至少要達(dá)到第三級(jí)(監(jiān)督保護(hù)級(jí))的要求。對(duì)于這類的安全域,將依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),并接受信息安全監(jiān)管職能部門的監(jiān)督、檢查。

中央城域網(wǎng)接入節(jié)點(diǎn)單位接入網(wǎng)絡(luò)和各省區(qū)市接入節(jié)點(diǎn)單位接入網(wǎng)絡(luò)至少要達(dá)到第二級(jí)(指導(dǎo)保護(hù)級(jí))的要求。對(duì)于這類安全域,將在信息安全監(jiān)管職能部門的指導(dǎo)下,依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。

⒊風(fēng)險(xiǎn)評(píng)估

在政務(wù)外網(wǎng)(一期工程)安全保障體系規(guī)劃和設(shè)計(jì)時(shí),國(guó)家信息中心網(wǎng)絡(luò)安全部將風(fēng)險(xiǎn)管理的思想引入到政務(wù)外網(wǎng)的建設(shè)中,獲取規(guī)劃和設(shè)計(jì)階段的政務(wù)外網(wǎng)的安全風(fēng)險(xiǎn),提出并確定外網(wǎng)安全建設(shè)的要求,改進(jìn)規(guī)劃中的不合理因素,為后續(xù)的網(wǎng)絡(luò)建設(shè)的實(shí)施提供安全建設(shè)依據(jù)。此次事前評(píng)估范圍主要是政務(wù)外網(wǎng)一期工程第一階段工程初步設(shè)計(jì)規(guī)劃方案,評(píng)估著重考慮外網(wǎng)規(guī)劃中系統(tǒng)平臺(tái)的安全性。為支持整個(gè)風(fēng)險(xiǎn)評(píng)估過程的推進(jìn),國(guó)家信息中心網(wǎng)絡(luò)安全部成立了由領(lǐng)導(dǎo)層、相關(guān)業(yè)務(wù)骨干、外網(wǎng)相關(guān)人員等組成的風(fēng)險(xiǎn)評(píng)估小組。評(píng)估結(jié)束后,針對(duì)不可接受的風(fēng)險(xiǎn),風(fēng)險(xiǎn)評(píng)估小組對(duì)規(guī)劃和設(shè)計(jì)做了相應(yīng)的修改,很好地兼顧了風(fēng)險(xiǎn)與成本的平衡。

五、結(jié)語(yǔ)

根據(jù)政務(wù)外網(wǎng)(一期工程)安全保障體系整體規(guī)劃和一期工程建設(shè)進(jìn)度安排,政務(wù)外網(wǎng)中央節(jié)點(diǎn)安全保障體系已初步建成。通過幾個(gè)月的試運(yùn)行,整個(gè)政務(wù)外網(wǎng)安全保障體系運(yùn)轉(zhuǎn)良好,初步達(dá)到了預(yù)期的設(shè)計(jì)目標(biāo)。下一步的工作重點(diǎn)將是:進(jìn)一步完善政務(wù)外網(wǎng)安全保障體系,建立健全政務(wù)外網(wǎng)安全管理機(jī)制,明確各級(jí)網(wǎng)管部門安全管理責(zé)任;開展信息安全風(fēng)險(xiǎn)評(píng)估工作,按照信息安全等級(jí)保護(hù)的要求,對(duì)全網(wǎng)分級(jí)、分層、分域確定信息安全等級(jí);從技術(shù)和管理兩方面入手,不斷完善信息安全保障體系,初步建成統(tǒng)一的政務(wù)外網(wǎng)信任體系,形成面向外網(wǎng)用戶的服務(wù)能力。

作者簡(jiǎn)介:

王勇,男,漢族,1977年生,山東鄄城人,國(guó)家信息中心網(wǎng)絡(luò)安全部工程師;研究方向:網(wǎng)絡(luò)安全。