公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法

第1篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)

目前,整個(gè)信息安全狀況存在日趨復(fù)雜和混亂的趨向:誤報(bào)率增大,安全投入不斷增加,維護(hù)與管理更加復(fù)雜和難以實(shí)施、信息系統(tǒng)使用效率大大降低,對(duì)新的攻擊入侵毫無(wú)防御能力,尤其是對(duì)內(nèi)部沒(méi)有重視防范。

據(jù)美國(guó)FBI統(tǒng)計(jì),83%的信息安全事故為內(nèi)部人員和內(nèi)外勾結(jié)所為,而且呈上升的趨勢(shì)。從這一數(shù)字可見(jiàn),內(nèi)網(wǎng)安全的重要性不容忽視。據(jù)公安部最新統(tǒng)計(jì),70%的泄密犯罪來(lái)自于內(nèi)部,電腦應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理系統(tǒng)、技術(shù)措施和制度。

中國(guó)科學(xué)院研究生院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室趙戰(zhàn)生教授表示,目前我國(guó)信息與網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級(jí)階段,許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國(guó)防科技大學(xué)的一項(xiàng)研究表明,我國(guó)與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過(guò)境內(nèi)外黑客的攻擊或侵入,其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。

“當(dāng)前的信息與網(wǎng)絡(luò)安全研究,處于忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段。”公安部網(wǎng)絡(luò)安全保衛(wèi)局處長(zhǎng)郭啟全認(rèn)為,“要徹底解決這些迫在眉睫的問(wèn)題,歸根結(jié)底取決于信息安全保障體系的建設(shè)。目前,我們迫切需要根據(jù)國(guó)情,從安全體系整體著手,在建立全方位的防護(hù)體系的同時(shí),完善法律體系并加強(qiáng)管理體系。只有這樣,才能保證國(guó)家信息化的健康發(fā)展,確保國(guó)家安全和社會(huì)穩(wěn)定?!?/p>

2003年,國(guó)家出臺(tái)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(簡(jiǎn)稱(chēng)“27號(hào)文件”),明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度,2007年出臺(tái)《信息安全等級(jí)保護(hù)管理辦法》(簡(jiǎn)稱(chēng)“43號(hào)文件”)。隨著兩項(xiàng)標(biāo)志性文件的下發(fā),2007年被稱(chēng)為等級(jí)保護(hù)的啟動(dòng)元年;由于要對(duì)現(xiàn)有信息安全系統(tǒng)進(jìn)行加固,大量產(chǎn)品和服務(wù)采購(gòu)即將開(kāi)始,2008年則被普遍視為等級(jí)保護(hù)采購(gòu)元年。

等級(jí)保護(hù)政策是信息安全保障的主要環(huán)節(jié)。在等級(jí)保護(hù)解決方案中,內(nèi)網(wǎng)安全產(chǎn)品主要作用是對(duì)終端進(jìn)行防護(hù)。

內(nèi)網(wǎng)是核心

“事實(shí)上,信息安全等級(jí)保護(hù)的核心思想就是根據(jù)不同的信息系統(tǒng)保護(hù)需求,構(gòu)建一個(gè)完整的信息安全保護(hù)體系。分析《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999)》可以看出,信息安全等級(jí)保護(hù)的重點(diǎn)在于內(nèi)網(wǎng)安全措施的建設(shè)和落實(shí)。建立一個(gè)完整的內(nèi)網(wǎng)安全體系,是信息系統(tǒng)在安全等級(jí)保護(hù)工作中的一個(gè)重點(diǎn)。”郭啟全說(shuō)。

內(nèi)網(wǎng)安全理論的提出主要基于兩個(gè)根本要素,一是企事業(yè)單位業(yè)務(wù)工作的高度信息化,二是內(nèi)網(wǎng)中主機(jī)數(shù)量的大量增加。由此可見(jiàn),內(nèi)網(wǎng)安全從其誕生之日起,對(duì)主機(jī)系統(tǒng)安全的關(guān)注就從來(lái)沒(méi)有忽略過(guò),采用了包括身份認(rèn)證、授權(quán)管理和系統(tǒng)保護(hù)等手段對(duì)主機(jī)進(jìn)行了多方面的防護(hù)。這與等級(jí)保護(hù)的思想也是相一致的。

鼎普科技股份有限公司總經(jīng)理于晴認(rèn)為,大多數(shù)用戶(hù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相似,用戶(hù)對(duì)網(wǎng)絡(luò)的安全管理比較一致,但由于用戶(hù)使用習(xí)慣的不同,對(duì)終端的管理則千差萬(wàn)別。

于晴認(rèn)為,內(nèi)網(wǎng)安全領(lǐng)域的關(guān)鍵技術(shù)主要有內(nèi)部網(wǎng)絡(luò)接入、桌面安全管理和內(nèi)網(wǎng)安全審計(jì)等。這些本質(zhì)上的問(wèn)題,應(yīng)該從系統(tǒng)層面來(lái)解決,以信息安全等級(jí)保護(hù)為基礎(chǔ)。內(nèi)部網(wǎng)絡(luò)接入基于等級(jí)保護(hù)技術(shù),分別從終端自身的安全性評(píng)估,到網(wǎng)絡(luò)地址的合法性,讓信息系統(tǒng)“對(duì)號(hào)入座”。桌面安全管理側(cè)重于桌面使用者的行為安全,對(duì)終端用戶(hù)的電腦行為進(jìn)行監(jiān)控、管理與控制,來(lái)保障終端的安全。內(nèi)網(wǎng)安全審計(jì)從主機(jī)和網(wǎng)絡(luò)兩個(gè)方面對(duì)網(wǎng)絡(luò)數(shù)據(jù)和系統(tǒng)操作進(jìn)行記錄和恢復(fù),強(qiáng)調(diào)出現(xiàn)問(wèn)題后的案情追溯。

第2篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

關(guān)鍵詞:等級(jí)保護(hù);測(cè)評(píng);信息安全;管理

中圖分類(lèi)號(hào):TP393

文獻(xiàn)標(biāo)志碼:C

文章編號(hào):1006-8228(2011)12-60-02

0 引言

信息安全等級(jí)保護(hù)作為國(guó)家信息安全工作的一項(xiàng)基本制度、基本國(guó)策,已經(jīng)在全國(guó)實(shí)行多年,各信息系統(tǒng)運(yùn)營(yíng)使用單位都深刻認(rèn)識(shí)到等級(jí)保護(hù)制度的重要性。在我國(guó)信息安全等級(jí)保護(hù)制度中,等級(jí)保護(hù)分五個(gè)工作環(huán)節(jié)――定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查。其中,等級(jí)測(cè)評(píng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的檢測(cè)評(píng)估活動(dòng),是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié)。

隨著等級(jí)保護(hù)工作的不斷推進(jìn),等級(jí)測(cè)評(píng)機(jī)構(gòu)的體系建設(shè)也在不斷深入,全國(guó)等級(jí)測(cè)評(píng)機(jī)構(gòu)的數(shù)量在不斷增加,測(cè)評(píng)機(jī)構(gòu)的品質(zhì)和能力、測(cè)評(píng)人員的水平和素質(zhì)、測(cè)評(píng)競(jìng)爭(zhēng)環(huán)境等諸多方面的問(wèn)題將不斷出現(xiàn)。因此,加強(qiáng)對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)的合理、有效監(jiān)管,對(duì)提升測(cè)評(píng)行業(yè)質(zhì)量,保證測(cè)評(píng)數(shù)據(jù)公正、客觀,以及保障重點(diǎn)行業(yè)的重要信息系統(tǒng)安全等至關(guān)重要。

1 國(guó)家層面對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式

測(cè)評(píng)工作作為等級(jí)保護(hù)制度中最重要工作環(huán)節(jié),具有明顯的專(zhuān)業(yè)性和技術(shù)性恃點(diǎn),其政策導(dǎo)向性強(qiáng)。因此,僅有相關(guān)測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)是不夠的,測(cè)評(píng)機(jī)構(gòu)的體系化、規(guī)范化管理也是關(guān)鍵。

2009年7月公安部開(kāi)始信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作,其目的是探索信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和管理的模式和經(jīng)驗(yàn),保證全國(guó)重要信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)工作的順利開(kāi)展。試點(diǎn)工作主要在浙江、重慶、河南、廣東等省市展開(kāi)。其主要內(nèi)容是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)完成五個(gè)方面的工作:一是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備的條件;二是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)的主要內(nèi)容;三是檢驗(yàn)并完善等級(jí)測(cè)評(píng)人員管理的主要內(nèi)容;四是檢驗(yàn)并完善等級(jí)測(cè)評(píng)工作規(guī)范性要求的主要內(nèi)容;五是檢驗(yàn)并完善測(cè)評(píng)機(jī)構(gòu)監(jiān)督管理的主要內(nèi)容等。從試點(diǎn)工作情況分析,國(guó)家對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式采用的是能力評(píng)估和政府干預(yù)相結(jié)合的模式。

從工作程序上分為四個(gè)步驟:

(1)各測(cè)評(píng)機(jī)構(gòu)向設(shè)區(qū)的市級(jí)以上所在地公安網(wǎng)安部門(mén)申請(qǐng),公安網(wǎng)安部門(mén)根據(jù)《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范(試行)》對(duì)測(cè)評(píng)機(jī)構(gòu)所提交的申請(qǐng)材料進(jìn)行審核,審核通過(guò)后,提交給上一級(jí)公安網(wǎng)安部門(mén)報(bào)批,并予以受理。

(2)公安部網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一將各地上報(bào)的測(cè)評(píng)機(jī)構(gòu)信息轉(zhuǎn)發(fā)給公安部信息安全等級(jí)保護(hù)評(píng)估中心,由評(píng)估中心按照《信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求(試行)》對(duì)各測(cè)評(píng)機(jī)構(gòu)進(jìn)行能力評(píng)估。能力評(píng)估通過(guò)后,由評(píng)估中心將能力評(píng)估材料遞交公安部網(wǎng)絡(luò)安全保衛(wèi)局審核批準(zhǔn)。

(3)各省公安網(wǎng)安部門(mén)收到公安部網(wǎng)絡(luò)安全保衛(wèi)局對(duì)測(cè)評(píng)機(jī)構(gòu)審核的意見(jiàn)及相關(guān)證書(shū),下發(fā)給各地網(wǎng)安部門(mén)。

(4)公安部信息安全等級(jí)保護(hù)評(píng)估中心在網(wǎng)站上公布測(cè)評(píng)機(jī)構(gòu)名單,接受社會(huì)監(jiān)督。

能力評(píng)估的內(nèi)容和要求上,分為組織管理能力、測(cè)評(píng)實(shí)施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、規(guī)范性保證能力、風(fēng)險(xiǎn)控制能力、可持續(xù)發(fā)展能力等七個(gè)方面和基本要求、約束性要求等兩個(gè)部分。

2 浙江省等級(jí)測(cè)評(píng)機(jī)構(gòu)現(xiàn)有監(jiān)管模式

浙江省信息等級(jí)保護(hù)工作一直處于國(guó)內(nèi)前列,2006年就頒布了《浙江省信息安全等級(jí)保護(hù)管理辦法》(省政府第223號(hào)令),并在同年開(kāi)展了全國(guó)等級(jí)保護(hù)試點(diǎn)項(xiàng)目。通過(guò)多年積累的經(jīng)驗(yàn),2007年浙江省開(kāi)始在測(cè)評(píng)機(jī)構(gòu)管理、測(cè)評(píng)工作模式等方面進(jìn)行探索,初步形成具有浙江特色的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式。

(1)以社會(huì)協(xié)會(huì)管理為主,政府監(jiān)管為輔的管理模式

浙江省結(jié)合實(shí)際,政府層面出臺(tái)了《浙江省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理規(guī)定(試行)》,明確了省內(nèi)從事等級(jí)測(cè)評(píng)工作的單位性質(zhì)、條件和義務(wù)等要素。社會(huì)協(xié)會(huì)層面出臺(tái)了《浙江省信息安全測(cè)評(píng)機(jī)構(gòu)資信等級(jí)評(píng)定管理辦法(試行)》實(shí)現(xiàn)測(cè)評(píng)機(jī)構(gòu)資信等級(jí)一、二級(jí)管理,形成測(cè)評(píng)機(jī)構(gòu)管理行業(yè)規(guī)范,變政府由市場(chǎng)參與主體向市場(chǎng)監(jiān)管主體轉(zhuǎn)變,由管理審批型向管理服務(wù)型轉(zhuǎn)變、由直接行政干預(yù)向間接宏觀調(diào)控轉(zhuǎn)變。

(2)建立以行業(yè)自律管理為主的監(jiān)管體系

嚴(yán)格測(cè)評(píng)機(jī)構(gòu)行業(yè)自律管理,測(cè)評(píng)機(jī)構(gòu)間簽署《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)行業(yè)自律公約》,強(qiáng)化機(jī)構(gòu)自律化管理,進(jìn)一步規(guī)范測(cè)評(píng)機(jī)構(gòu)行為和工作秩序。

(3)建立機(jī)構(gòu)統(tǒng)一管理標(biāo)準(zhǔn),專(zhuān)控審查機(jī)構(gòu)自身及人員能力建設(shè)

全省測(cè)評(píng)機(jī)構(gòu)必須按照“審核標(biāo)準(zhǔn)統(tǒng)一,管理規(guī)范標(biāo)準(zhǔn)統(tǒng)一、技術(shù)標(biāo)準(zhǔn)統(tǒng)一、測(cè)評(píng)工具標(biāo)準(zhǔn)統(tǒng)一、報(bào)告樣式標(biāo)準(zhǔn)統(tǒng)一”的五統(tǒng)一規(guī)范開(kāi)展測(cè)評(píng)工作,并由政府組織機(jī)構(gòu)年審,設(shè)立準(zhǔn)入準(zhǔn)出機(jī)制。測(cè)評(píng)機(jī)構(gòu)的能力審查對(duì)測(cè)評(píng)過(guò)程中技術(shù)人員行為的規(guī)范性、合理性和程序標(biāo)準(zhǔn)性,對(duì)機(jī)構(gòu)業(yè)務(wù)范圍、管理能力和技術(shù)能力要求等給予明確規(guī)定,規(guī)范申請(qǐng)、審核、查驗(yàn)和推薦流程,組建由公安、保密、密碼管理、信息辦和安全等部門(mén)專(zhuān)家組成的專(zhuān)門(mén)審查小組對(duì)機(jī)構(gòu)背景、管理水平、資格和技術(shù)能力進(jìn)行量化評(píng)價(jià),作為推薦依據(jù)。同時(shí),嚴(yán)格規(guī)范測(cè)評(píng)機(jī)構(gòu)工作程序,加強(qiáng)對(duì)機(jī)構(gòu)內(nèi)部管理規(guī)范化建設(shè)督導(dǎo),要求健全人員管理、項(xiàng)目管理、文檔管理、設(shè)備管理、保密制度等各項(xiàng)制度,要求制定《質(zhì)量手冊(cè)》、《程序文件》、《作業(yè)指導(dǎo)書(shū)》、《測(cè)評(píng)過(guò)程記錄表單》等測(cè)評(píng)實(shí)施過(guò)程文檔,完善測(cè)評(píng)實(shí)施規(guī)程。

全省機(jī)構(gòu)都已被要求必須獲得CMA中國(guó)計(jì)量認(rèn)證,并被引導(dǎo)和鼓勵(lì)去獲得CNAS實(shí)驗(yàn)室認(rèn)證、ISO27001認(rèn)證等。所有從業(yè)人員必須獲得初級(jí)以上“測(cè)評(píng)師”技術(shù)證書(shū),測(cè)評(píng)工作中持證上崗。對(duì)測(cè)評(píng)從業(yè)人員要進(jìn)行錄用考核、備案和背景審查等工作。

3 現(xiàn)有監(jiān)管模式的不足

在現(xiàn)行的測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式中,我們側(cè)重于對(duì)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備條件(包括審核是否在境內(nèi)注冊(cè)成立、注冊(cè)資本多少、法人資格、公司已有的資質(zhì)、測(cè)評(píng)人員已獲得的技術(shù)認(rèn)證等)的監(jiān)管;僅關(guān)注機(jī)構(gòu)是否已具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等制度,而對(duì)這些制度的落實(shí)情況及執(zhí)行情況缺乏有效監(jiān)督;對(duì)測(cè)評(píng)活動(dòng)實(shí)施過(guò)程中的合法性,有效性問(wèn)題缺乏必要的考量。

4 對(duì)測(cè)評(píng)機(jī)構(gòu)進(jìn)行有效性監(jiān)管方法的探討

(1)對(duì)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)大綱實(shí)行報(bào)備審核

測(cè)評(píng)大綱應(yīng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)的整體測(cè)評(píng)策略性文件,能綜合反映不同測(cè)評(píng)機(jī)構(gòu)從事等級(jí)測(cè)評(píng)活動(dòng)的經(jīng)驗(yàn)、知識(shí)、測(cè)評(píng)方法和測(cè)評(píng)程序?;趯?duì)被測(cè)評(píng)單位的利益保護(hù)以及對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管要求,測(cè)評(píng)大綱應(yīng)具有法律效力,須報(bào)公安機(jī)關(guān)審核備案后使用。測(cè)評(píng)機(jī)構(gòu)只有按照測(cè)評(píng)大綱中明確的指標(biāo)嚴(yán)格檢測(cè)、測(cè)評(píng),其測(cè)評(píng)結(jié)果才能真實(shí)地反映被測(cè)單位計(jì)算機(jī)信息

系統(tǒng)的安全狀況,為安全整改建設(shè)提供科學(xué)的依據(jù)和指南。

(2)對(duì)等級(jí)測(cè)評(píng)活動(dòng)的各周期程序?qū)嵭斜O(jiān)督指導(dǎo)

等級(jí)測(cè)評(píng)流程分為四個(gè)階段:測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)及報(bào)告編制,政府部門(mén)的督導(dǎo)工作須貫穿其中。如,在測(cè)評(píng)準(zhǔn)備階段,為了避免測(cè)評(píng)小組成員和委托人之間存在利害關(guān)系,影響測(cè)評(píng)結(jié)果的公平、客觀、真實(shí),測(cè)評(píng)機(jī)構(gòu)在確定測(cè)評(píng)小組成員名單后讓測(cè)評(píng)委托人確認(rèn)簽字,確認(rèn)書(shū)要留檔備查,未經(jīng)確認(rèn)開(kāi)展的項(xiàng)目測(cè)評(píng)報(bào)告不具有法律效力。方案編制中,必須明確測(cè)評(píng)對(duì)象、范圍、依據(jù)法律法規(guī)和標(biāo)準(zhǔn)、制定具體的測(cè)評(píng)檢查表,記錄文件要測(cè)評(píng)雙方簽字確認(rèn),方案和測(cè)評(píng)過(guò)程文檔應(yīng)留檔備查。現(xiàn)場(chǎng)測(cè)評(píng)中,測(cè)評(píng)小組必須使用可信、安全等級(jí)測(cè)評(píng)工具采集數(shù)據(jù),測(cè)評(píng)工具要向公安機(jī)關(guān)報(bào)備,現(xiàn)場(chǎng)測(cè)評(píng)要按照檢測(cè)程序全面檢測(cè)關(guān)鍵測(cè)評(píng)項(xiàng),依據(jù)測(cè)評(píng)標(biāo)準(zhǔn)客觀、公正、準(zhǔn)確評(píng)價(jià),政府主管部門(mén)應(yīng)隨機(jī)駐點(diǎn)督查現(xiàn)場(chǎng)測(cè)評(píng)過(guò)程實(shí)施情況。測(cè)評(píng)報(bào)告反映的是被測(cè)評(píng)單位信息系統(tǒng)的安全保護(hù)現(xiàn)狀,應(yīng)具有法律效力,報(bào)告要使用標(biāo)準(zhǔn)模板,起草過(guò)程中測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)遵守國(guó)家的有關(guān)法律法規(guī),保守被測(cè)評(píng)單位秘密、保障被測(cè)單位利益,政府部門(mén)有必要明確測(cè)機(jī)構(gòu)及其工作人員的法律責(zé)任來(lái)規(guī)范其職業(yè)道德。測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)結(jié)果直接對(duì)信息系統(tǒng)運(yùn)營(yíng)使用單位的建設(shè)、整改和運(yùn)營(yíng)成本,以及對(duì)監(jiān)管部門(mén)的行政監(jiān)管成本產(chǎn)生影響,也就是說(shuō),測(cè)評(píng)報(bào)告對(duì)國(guó)家和社會(huì)都會(huì)產(chǎn)生影響。因此,測(cè)評(píng)機(jī)構(gòu)要對(duì)自身的測(cè)評(píng)行為負(fù)責(zé),政府主管部門(mén)將對(duì)機(jī)構(gòu)及從業(yè)人員違反法律規(guī)定的行為予以民事、行政或刑事處罰。

(3)對(duì)測(cè)評(píng)人員實(shí)行從錄用到離職的全程監(jiān)督

等級(jí)測(cè)評(píng)涉及用戶(hù)單位的核心業(yè)務(wù)系統(tǒng),是一項(xiàng)高技術(shù)的專(zhuān)業(yè)安全服務(wù),需要具有一定政治素質(zhì)、道德素質(zhì)和專(zhuān)業(yè)素質(zhì)的測(cè)評(píng)人員來(lái)支撐。管理應(yīng)進(jìn)一步加大對(duì)測(cè)評(píng)人員的政治背景、從業(yè)背景、專(zhuān)業(yè)背景、技術(shù)素養(yǎng)的審查力度,建立完備測(cè)評(píng)人員檔案庫(kù),考量測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)人員穩(wěn)定性,重點(diǎn)加大對(duì)離職測(cè)評(píng)人員的管控,明確保密條約,關(guān)注人員離職去向。

(4)制定測(cè)評(píng)機(jī)構(gòu)優(yōu)劣考量機(jī)制,促進(jìn)誠(chéng)信服務(wù)的企業(yè)文化

等級(jí)測(cè)評(píng)的執(zhí)行主體是測(cè)評(píng)機(jī)構(gòu),測(cè)評(píng)機(jī)構(gòu)的企業(yè)文化是否具有凝聚性,企業(yè)價(jià)值觀是否誠(chéng)信,內(nèi)部管理模式是否健康,關(guān)乎其市場(chǎng)競(jìng)爭(zhēng)力,更關(guān)乎測(cè)評(píng)機(jī)構(gòu)能否為信息系統(tǒng)安全等級(jí)保護(hù)工作提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)。因此,要求測(cè)評(píng)企業(yè)必須有一定的政治覺(jué)悟,要嚴(yán)格遵守國(guó)家有關(guān)法律法規(guī),要承擔(dān)社會(huì)責(zé)任和法律責(zé)任,不能唯利是圖。政府部門(mén)要定期開(kāi)展管理評(píng)審,制定考量測(cè)評(píng)機(jī)構(gòu)優(yōu)劣評(píng)判標(biāo)準(zhǔn),完善被測(cè)評(píng)單位滿(mǎn)意度反饋機(jī)制,建立機(jī)構(gòu)誠(chéng)信狀況、信用狀況、評(píng)級(jí)結(jié)果等信息公開(kāi)機(jī)制,將政府監(jiān)管和社會(huì)監(jiān)督結(jié)合起來(lái),通過(guò)評(píng)星評(píng)級(jí)、市場(chǎng)退出和獎(jiǎng)懲機(jī)制的建立,鼓勵(lì)誠(chéng)信機(jī)構(gòu),懲戒不誠(chéng)信機(jī)構(gòu),增加機(jī)構(gòu)不規(guī)范測(cè)評(píng)行為的風(fēng)險(xiǎn)成本。

(5)規(guī)范價(jià)格體系,推動(dòng)測(cè)評(píng)機(jī)構(gòu)良性發(fā)展

等級(jí)測(cè)評(píng)是近兩年才興起的行業(yè),政府要引導(dǎo)建立良好的測(cè)評(píng)市場(chǎng)價(jià)格體系,借鑒其他行業(yè)自律的經(jīng)驗(yàn)手段,避免惡性?xún)r(jià)格競(jìng)爭(zhēng),要保障等級(jí)測(cè)評(píng)有一定的利潤(rùn)空間,以使得測(cè)評(píng)機(jī)構(gòu)能朝更專(zhuān)業(yè)、更具實(shí)力方向發(fā)展,充分調(diào)動(dòng)測(cè)評(píng)機(jī)構(gòu)提升品牌建設(shè)、服務(wù)工作效率、專(zhuān)業(yè)能力、測(cè)評(píng)人員素質(zhì)的內(nèi)在動(dòng)力。

第3篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

【關(guān)鍵詞】氣象信息;網(wǎng)絡(luò)結(jié)構(gòu);安全問(wèn)題

最近幾年以來(lái),隨著經(jīng)濟(jì)的發(fā)展和社會(huì)的進(jìn)步,我國(guó)的民航氣象事業(yè)也取得了較大的進(jìn)步,很多新的設(shè)備和系統(tǒng)都應(yīng)用在民航氣象系統(tǒng)中,在新的設(shè)備和系統(tǒng)不斷應(yīng)用和發(fā)展的情況下,需要建立安全的網(wǎng)絡(luò)環(huán)境,這對(duì)民航氣象系統(tǒng)的發(fā)展有著重要的作用。促進(jìn)網(wǎng)絡(luò)運(yùn)行的重要因素是有效的網(wǎng)絡(luò)運(yùn)行結(jié)構(gòu)和合理的管理措施。

1氣象信息網(wǎng)絡(luò)的功能

民航氣象中心能夠給外界提供多種信息,主要向空中的交通管制中心提供一些有關(guān)于氣象的信息,除此之外還提供塔臺(tái)情況;向國(guó)外氣象中心提供大韓、全日空、簽派、東北航等氣象信息。這些氣象信息主要包括幾個(gè)方面,有現(xiàn)場(chǎng)的實(shí)時(shí)播報(bào)、對(duì)實(shí)際情況播報(bào)的內(nèi)容、本場(chǎng)預(yù)報(bào)、氣象預(yù)報(bào)。衛(wèi)星云圖等信息。在播報(bào)的時(shí)候尤其要求信息的及時(shí)和準(zhǔn)確,這樣才能夠?qū)ο嚓P(guān)人員的指揮起著重要的作用。

2計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題是比較復(fù)雜的一個(gè)問(wèn)題,隨著經(jīng)濟(jì)的發(fā)展和社會(huì)的進(jìn)步,計(jì)算機(jī)網(wǎng)絡(luò)在很多領(lǐng)域都得到了廣泛的應(yīng)用,由此產(chǎn)生了網(wǎng)絡(luò)的不安全因素,計(jì)算機(jī)病毒逐漸的產(chǎn)生和傳播,計(jì)算機(jī)網(wǎng)絡(luò)很容易就被一些不法分子入侵,很多重要的資料和文件被竊取,甚至給網(wǎng)絡(luò)帶來(lái)了系統(tǒng)的崩潰和癱瘓等。從以上可以看出,計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行的必要性。其實(shí)計(jì)算機(jī)網(wǎng)絡(luò)安全的問(wèn)題主要是由內(nèi)部用戶(hù)和外部用戶(hù)共同做成的。目前很多國(guó)內(nèi)的用戶(hù)與服務(wù)器都處于一個(gè)相同的網(wǎng)絡(luò)環(huán)境中,尤其是在應(yīng)用服務(wù)器時(shí),會(huì)存在對(duì)網(wǎng)絡(luò)環(huán)境安全的威脅。

3民航氣象信息網(wǎng)絡(luò)安全的分析

3.1設(shè)計(jì)思想

根據(jù)這種情況,可以采用一些特殊的辦法,可以考慮使用安全級(jí)別,依據(jù)網(wǎng)絡(luò)終端與氣象業(yè)務(wù)相連接,這種方式目前比較常用。根據(jù)用戶(hù)的實(shí)際情況可以分為幾個(gè)等級(jí),信任最高等級(jí)、較為安全等級(jí)和一般安全等級(jí)。其中信任最高等級(jí)和較為安全等級(jí)能夠利用網(wǎng)絡(luò)終端直接與氣象業(yè)務(wù)相聯(lián)系,網(wǎng)絡(luò)在設(shè)計(jì)時(shí)需要考慮是否與區(qū)域有所沖突,考慮網(wǎng)絡(luò)流量和功能,劃分區(qū)域,減少不必要的數(shù)據(jù)進(jìn)行傳播,減少對(duì)網(wǎng)絡(luò)終端的影響。在較為安全的網(wǎng)絡(luò)終端中,為了避免英雄愛(ài)那個(gè)實(shí)際的應(yīng)用,可以分隔一些業(yè)務(wù)段,使服務(wù)網(wǎng)和業(yè)務(wù)網(wǎng)分離,或者是不再使用原有的信息提供方式,變成間接的信息提供方式,這樣會(huì)減少對(duì)網(wǎng)絡(luò)運(yùn)行安全的影響。依據(jù)以上的安全等級(jí)原則,有利于使我們?cè)诠ぷ髦杏袚?jù)可循。

3.2防火墻

防火墻也是保護(hù)網(wǎng)絡(luò)運(yùn)行安全的一個(gè)重要設(shè)置,存在于網(wǎng)絡(luò)和網(wǎng)絡(luò)之間,是為了保護(hù)網(wǎng)絡(luò)之間的安全,是一個(gè)重要的屏障。這個(gè)屏障在網(wǎng)絡(luò)環(huán)境安全運(yùn)行中的作用是防止外部網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的入侵,它成為保護(hù)本地網(wǎng)絡(luò)的一個(gè)重要的關(guān)卡。防火墻的實(shí)現(xiàn)方式分為很多種,在不同的情況起著不同的作用,在物理結(jié)構(gòu)上,防火墻是一種硬件設(shè)備,這個(gè)硬件設(shè)備是由幾個(gè)方面組成的,包括路由器和計(jì)算機(jī),或者是主機(jī)計(jì)算機(jī)與配有的網(wǎng)絡(luò)相組合。在邏輯上,防火墻相當(dāng)于一種過(guò)濾器,對(duì)外部入侵網(wǎng)絡(luò)的過(guò)濾,還是一種限制器和分析器。防火墻在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中也充當(dāng)著阻塞點(diǎn),通過(guò)這個(gè)阻塞點(diǎn)能夠通過(guò)大部分的信息,這也是唯一的信息檢查點(diǎn),通過(guò)這個(gè)信息檢查點(diǎn)能夠確保信息的安全,但是防火墻并不是能夠?qū)γ總€(gè)主機(jī)都起到很好的保護(hù)作用,由此可見(jiàn)對(duì)主機(jī)的集中管理具有明顯的優(yōu)勢(shì)。此外,防火墻可以在關(guān)鍵時(shí)刻實(shí)行強(qiáng)制的安全策略??梢愿鶕?jù)服務(wù)器的信息來(lái)判斷哪些服務(wù)器能夠通過(guò)防火墻,阻止一些服務(wù)器通過(guò)防火墻。例如在氣象中通常會(huì)使用填圖系統(tǒng),填圖系統(tǒng)的設(shè)置與其它系統(tǒng)有著很大的區(qū)別,一般是需要收集大量的資料,這些資料都是來(lái)源于氣象局網(wǎng)絡(luò)系統(tǒng),而氣象局網(wǎng)絡(luò)系統(tǒng)具有高度的保密性,對(duì)訪問(wèn)進(jìn)行了限制,通過(guò)防火墻擁有固定的MAC地址IP和地址才能夠進(jìn)行訪問(wèn),這樣的好處是能夠真正的對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用,防止一些外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)提供危險(xiǎn)的服務(wù)。防火墻還有個(gè)重要的用途就是能夠記錄網(wǎng)上的一些活動(dòng),通過(guò)這些活動(dòng)管理員可以察覺(jué)出外來(lái)的入侵者,利用防火墻還可以阻止網(wǎng)段之間的病毒傳播。

3.3安全策略

網(wǎng)絡(luò)服務(wù)訪問(wèn)策略主要是針對(duì)網(wǎng)絡(luò)服務(wù)中能夠被允許的服務(wù)或者是嚴(yán)令禁止的服務(wù),限制網(wǎng)絡(luò)使用的方法很多,所以每個(gè)途徑都是受到保護(hù)的。例如目前可以通過(guò)電話撥號(hào)的形式登陸到內(nèi)部WEB服務(wù)器上,這樣就可能會(huì)使網(wǎng)絡(luò)受到攻擊。網(wǎng)絡(luò)服務(wù)的訪問(wèn)策略對(duì)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)資料起著重要的保護(hù)作用,這種網(wǎng)絡(luò)服務(wù)的訪問(wèn)不僅只是保障站點(diǎn)的安全還有很多的用途,還可以掃描文件中的病毒,還能夠遠(yuǎn)程訪問(wèn)。由此可見(jiàn),網(wǎng)絡(luò)的內(nèi)部信息對(duì)單位來(lái)說(shuō)是十分重要的,應(yīng)該注重保護(hù)信息安全,用最有效的辦法保證信息的機(jī)密和完整,確保信息能夠真實(shí)有效;這是每個(gè)員工義不容辭的責(zé)任和義務(wù),保證信息的完整真實(shí)是工作的重中之重,每個(gè)人都應(yīng)該認(rèn)真對(duì)待,將所有信息處理的設(shè)備統(tǒng)一執(zhí)行經(jīng)過(guò)授權(quán)的任務(wù)。

參考文獻(xiàn)

[1]周建華.中國(guó)民航新一代航空氣象系統(tǒng)建設(shè)構(gòu)想[J].中國(guó)民用航空,2008(09),

第4篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

一、加強(qiáng)本單位網(wǎng)絡(luò)與信息安全工作的組織領(lǐng)導(dǎo),建立健全網(wǎng)絡(luò)與信息安全工作機(jī)構(gòu)和工作機(jī)制,保證網(wǎng)絡(luò)與信息安全工作渠道的暢通。

二、明確本單位信息安全工作責(zé)任,按照“誰(shuí)主管,誰(shuí)負(fù)責(zé);誰(shuí)運(yùn)營(yíng),誰(shuí)負(fù)責(zé)”的原則,將安全職責(zé)層層落實(shí)到具體部門(mén)、具體崗位和具體人員。

三、加強(qiáng)本單位信息系統(tǒng)安全等級(jí)保護(hù)管理工作,在公安機(jī)關(guān)的監(jiān)督、檢查、指導(dǎo)下,自覺(jué)、主動(dòng)按照等級(jí)保護(hù)管理規(guī)范的要求完成信息系統(tǒng)定級(jí)、備案,對(duì)存在的安全隱患或未達(dá)到相關(guān)技術(shù)標(biāo)準(zhǔn)的方面進(jìn)行建設(shè)整改,隨信息系統(tǒng)的實(shí)際建設(shè)、應(yīng)用情況對(duì)安全保護(hù)等級(jí)進(jìn)行動(dòng)態(tài)調(diào)整。

四、加強(qiáng)本單位各節(jié)點(diǎn)信息安全應(yīng)急工作。制定信息安全保障方案,加強(qiáng)應(yīng)急隊(duì)伍建設(shè)和人員培訓(xùn),組織開(kāi)展安全檢查、安全測(cè)試和應(yīng)急演練。重大節(jié)日及敏感節(jié)點(diǎn)期間,加強(qiáng)對(duì)重要信息系統(tǒng)的安全監(jiān)控,加強(qiáng)值班,嚴(yán)防死守,隨時(shí)應(yīng)對(duì)各類(lèi)突發(fā)事件。

五、按照《信息安全等級(jí)保護(hù)管理辦法》、《互聯(lián)網(wǎng)信息管理服務(wù)辦法》等規(guī)定,進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全的監(jiān)督管理,嚴(yán)格落實(shí)信息安全突發(fā)事件“每日零報(bào)告制度”,對(duì)本單位出現(xiàn)信息安全事件隱瞞不報(bào)、謊報(bào)或拖延不報(bào)的,要按照有關(guān)規(guī)定,給予責(zé)任人行政處理;出現(xiàn)重大信息安全事件,造成重大損失和影響的,要依法追究有關(guān)單位和人員的責(zé)任。

六、作為本單位網(wǎng)絡(luò)與信息安全工作的責(zé)任人,如出現(xiàn)重大信息安全事件,對(duì)國(guó)家安全、社會(huì)秩序、公共利益、公民法人及其他組織造成影響的,本人承擔(dān)主要領(lǐng)導(dǎo)責(zé)任。違反上述承諾,自愿承擔(dān)相應(yīng)主體責(zé)任和法律后果。

七、本人承諾不從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng):

1、未經(jīng)允許,進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源; 2、未經(jīng)允許,對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加;

3、未經(jīng)允許,對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加;

4、故意制作、傳播計(jì)算機(jī)病毒以及其它破壞性程序;

5、不盜用別人計(jì)算機(jī)的ip地址、網(wǎng)卡物理地址(mac值)和信息數(shù)據(jù); 6、不做其它危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全行為。

八、本人承諾當(dāng)計(jì)算機(jī)信息系統(tǒng)發(fā)生重大安全事故時(shí),立即采取應(yīng)急措施,保留有關(guān)原始記錄,并在24小時(shí)內(nèi)向政府監(jiān)管部門(mén)報(bào)告,以及知會(huì)公司資訊安全部門(mén),并接受公司停止網(wǎng)絡(luò)資源使用服務(wù)。

九、本人鄭重承諾遵守本承諾書(shū)的有關(guān)條款,在使用中認(rèn)真履行職責(zé),自覺(jué)接受監(jiān)督,確保網(wǎng)絡(luò)信息安全;如有違反本承諾書(shū)有關(guān)條款和國(guó)家相關(guān)法律法規(guī)的行為,本人愿意承擔(dān)由此引起的一切責(zé)任,直至民事、行政和刑事責(zé)任,并接受相應(yīng)處罰﹔對(duì)于造成財(cái)產(chǎn)損失的,由個(gè)人直接賠償。

十、本承諾書(shū)自簽署之日起生效。

第5篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

關(guān)鍵詞:證券行業(yè)信息安全網(wǎng)絡(luò)安全體系

近年來(lái),我國(guó)資本市場(chǎng)發(fā)展迅速,市場(chǎng)規(guī)模不斷擴(kuò)大,社會(huì)影響力不斷增強(qiáng).成為國(guó)民經(jīng)濟(jì)巾的重要組成部分,也成為老百姓重要的投資理財(cái)渠道。資本市場(chǎng)的穩(wěn)定健康發(fā)展,關(guān)系著億萬(wàn)投資者的切身利益,關(guān)系著社會(huì)穩(wěn)定和國(guó)家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴(lài)信息技術(shù),而信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ)。沒(méi)有信息安全就沒(méi)有資本市場(chǎng)的穩(wěn)定。

目前.國(guó)內(nèi)外網(wǎng)絡(luò)信息安全問(wèn)題日益突出。從資本市場(chǎng)看,近年來(lái),隨著市場(chǎng)快速發(fā)展,改革創(chuàng)新深入推進(jìn),市場(chǎng)交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對(duì)行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來(lái)新的挑戰(zhàn)。資本市場(chǎng)交易實(shí)時(shí)性和整體性強(qiáng),交易時(shí)問(wèn)內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護(hù)交易正常,對(duì)于資本市場(chǎng)來(lái)說(shuō)至關(guān)重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問(wèn)題

1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場(chǎng)的平穩(wěn)運(yùn)行,中國(guó)證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級(jí)保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成,推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。

雖然我國(guó)涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對(duì)新形勢(shì)下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問(wèn)題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng),部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng),無(wú)法應(yīng)對(duì)某些新型信息安全的威脅;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。

1.2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開(kāi)人員的組織和實(shí)施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運(yùn)行機(jī)制,切實(shí)提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴(lài)性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1.3IT治理方面

整個(gè)證券業(yè)處于高度信息化的背景下,IT治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性,良好的IT治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力,規(guī)避IT風(fēng)險(xiǎn)。通過(guò)建立IT治理機(jī)制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問(wèn)題。幫助管理者處理IT問(wèn)題,自我評(píng)估IT管理效果.可以加強(qiáng)對(duì)信息化項(xiàng)目的有效管理,保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績(jī)效。

2003年lT治理理念引入到我國(guó)證券行業(yè),當(dāng)前我國(guó)證券業(yè)企業(yè)的IT治理存在的問(wèn)題:一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo);是lT治理的責(zé)任與職能不清晰。

1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì),2008年我同證券網(wǎng)上交易量比重已超過(guò)總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開(kāi)放性,來(lái)自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件,都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來(lái),證券行業(yè)各機(jī)構(gòu)采取了一系列措施,建立了相對(duì)安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來(lái),我國(guó)證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問(wèn)題:一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問(wèn)控制措施有待完善;三是網(wǎng)上交易防護(hù)能力有待加強(qiáng);四是對(duì)數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進(jìn);五是技術(shù)人員的專(zhuān)業(yè)能力和信息安全意識(shí)有待提高。

1.5IT人才資源建設(shè)方面

近20年的發(fā)展歷程巾,證券行業(yè)對(duì)信息系統(tǒng)日益依賴(lài),行業(yè)IT隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì),2008年初,在整個(gè)證券行業(yè)中,103家證券公司共有IT人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達(dá)到了行業(yè)協(xié)會(huì)的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的IT隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任,IT隊(duì)伍建設(shè)是行業(yè)信息安全I(xiàn)T作的根本保障。但是,IT人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問(wèn)題,此行業(yè)的人才培養(yǎng)有待加強(qiáng)。

2采取的對(duì)策和措施

2.1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會(huì)部門(mén)規(guī)章;第二層是證監(jiān)會(huì)相關(guān)部門(mén)制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實(shí)施上.要堅(jiān)持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實(shí)。

2.2深入開(kāi)展證券行業(yè)IT治理工作

2.2.1提高IT治理意識(shí)

中國(guó)證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)IT治理理念的教育宣傳工作,特別是對(duì)會(huì)員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn),將IT治理的定義、工具、模型等理論知識(shí)納入到高管任職資格考試的內(nèi)容之中。通過(guò)舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營(yíng)機(jī)構(gòu)的IT治理意識(shí),提高他們IT治理的積極性。

2.2.2通過(guò)設(shè)立IT治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)

根據(jù)IT治理模型的不同特點(diǎn),建議證券公司在決策層使用CISR模型,通過(guò)成立lT治理委員會(huì),建立各部門(mén)之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補(bǔ)充,規(guī)范信息技術(shù)部門(mén)的各項(xiàng)控制和管理流程。同時(shí),證監(jiān)會(huì)指定一批證券公司和基金公司作為lT試點(diǎn)單位,進(jìn)行IT治理模型選擇、剪裁以及組合的實(shí)踐探索,形成一批成功實(shí)施IT治理的優(yōu)秀范例,以點(diǎn)帶面地提升全行業(yè)的治理水平。

2.3通過(guò)制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級(jí)保護(hù)

行業(yè)監(jiān)管部門(mén)在推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作中的作用非常關(guān)鍵.應(yīng)進(jìn)一步明確監(jiān)管部門(mén)推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作的任務(wù)和工作機(jī)制,統(tǒng)一部署、組織行業(yè)的等級(jí)保護(hù)丁作,為該項(xiàng)丁作的順利開(kāi)展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級(jí)保護(hù)的行業(yè)要求,對(duì)照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí),應(yīng)對(duì)各單位實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)情況進(jìn)行測(cè)評(píng),在測(cè)評(píng)環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測(cè)評(píng)單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施.且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。

2.4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平

2.4.1以等級(jí)保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃

等級(jí)保護(hù)是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性的管理制度,通過(guò)將等級(jí)化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問(wèn)題的一個(gè)非常有效的方法。

2.4.2通過(guò)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制提高網(wǎng)絡(luò)防護(hù)能力

對(duì)向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠(chéng)信加強(qiáng)管理,確保其符合國(guó)家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對(duì)不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離;對(duì)主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測(cè)試,進(jìn)行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來(lái)的安全風(fēng)險(xiǎn);在網(wǎng)上交易方面,采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式,加強(qiáng)訪問(wèn)控制;針對(duì)現(xiàn)存惡意攻擊網(wǎng)站的事件越來(lái)越多的情況,要采取措施加強(qiáng)網(wǎng)站保護(hù),提高對(duì)惡意代碼的防護(hù)能力,同時(shí)采用技術(shù)手段,提高網(wǎng)上交易客戶(hù)端軟件使朋的安全性。

2.4.3提高從業(yè)人員安全意識(shí)和專(zhuān)業(yè)水平

目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱.必要時(shí)可定期對(duì)從業(yè)人員進(jìn)行安全意識(shí)考核,從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專(zhuān)業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專(zhuān)業(yè)技術(shù)水平。

2.5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對(duì)證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對(duì)市場(chǎng)各方的損失是難以估量的。無(wú)論是美國(guó)的“9·11”事件,還是我國(guó)2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上,針對(duì)自身需要,對(duì)重要系統(tǒng)開(kāi)展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場(chǎng)核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類(lèi)相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強(qiáng)應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機(jī)結(jié)合。

2.6抓好人才隊(duì)伍建設(shè)

證券行業(yè)要采取切實(shí)可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專(zhuān)長(zhǎng)的人才到行業(yè)巾來(lái),加強(qiáng)lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機(jī)構(gòu)應(yīng)采取采取請(qǐng)進(jìn)來(lái)、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過(guò)建立規(guī)范有效的人才評(píng)價(jià)體系,對(duì)信息技術(shù)人員進(jìn)行科學(xué)有效的考評(píng),提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。

第6篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

存儲(chǔ)體系建設(shè)的原則

安全性原則。安全和保密是信息存儲(chǔ)體系建設(shè)的基本要求。電子文件是信息社會(huì)中黨務(wù)、政務(wù)運(yùn)行的一個(gè)重要手段,是信息化條件下文件和檔案的一種新型載體,是我國(guó)檔案信息資源的重要組成部分。2000年,王剛同志在全國(guó)檔案工作會(huì)議上講話指出:“要認(rèn)真研究和處理信息化帶來(lái)的電子文件歸檔和電子檔案管理等新情況,積極探索和解決信息化進(jìn)程中出現(xiàn)的信息安全等新問(wèn)題,確保電子檔案的完整與安全?!?/p>

方便性原則。存儲(chǔ)是為了利用。安全性與利用的方便性之間往往存在某些沖突。在存儲(chǔ)體系建設(shè)中既要考慮安全性,也要考慮信息在服務(wù)過(guò)程中的方便性?!半S著國(guó)家信息化建設(shè)的加快推進(jìn),電子政務(wù)已經(jīng)成為政府改善服務(wù)、強(qiáng)化管理的重要手段”,“以為領(lǐng)導(dǎo)決策服務(wù)、為各部門(mén)工作服務(wù)、為廣大人民群眾服務(wù)為目的,積極主動(dòng)地做好電子文件管理工作,將有利于檔案工作為構(gòu)建社會(huì)主義和諧社會(huì)服務(wù)的全面開(kāi)展。”

經(jīng)濟(jì)性原則。安全性和經(jīng)濟(jì)性也存在一些矛盾。信息存儲(chǔ)的安全性需要一系列軟、硬件系統(tǒng)的支持,這是一筆不菲的投入。安全設(shè)施的投入似乎永遠(yuǎn)也沒(méi)有足夠的時(shí)候。由于安全問(wèn)題的多樣性和動(dòng)態(tài)性,使我們?cè)谶M(jìn)行信息的安全保護(hù)中無(wú)法找到完美的辦法。在實(shí)際工作中我們遵循的是“適度安全準(zhǔn)則”,即根據(jù)具體情況提出適度的安全目標(biāo)并加以實(shí)現(xiàn)。

可持續(xù)發(fā)展原則。電子文件中心建設(shè)過(guò)程中應(yīng)處理好三個(gè)關(guān)系:電子文件中心建設(shè)與新的檔案館舍建設(shè)的關(guān)系;電子文件管理與檔案保護(hù)工作的關(guān)系;電子文件管理與檔案基礎(chǔ)業(yè)務(wù)建設(shè)的關(guān)系,從而促進(jìn)檔案事業(yè)整體持續(xù)健康發(fā)展。長(zhǎng)久保存和集中管理要求存儲(chǔ)體系具有分布式的特征,能夠不斷擴(kuò)展。存儲(chǔ)體系建設(shè)應(yīng)考慮到日后發(fā)展,避免“重復(fù)投資、重復(fù)建設(shè)問(wèn)題”。

存儲(chǔ)體系中安全問(wèn)題的特點(diǎn)

安全問(wèn)題是建設(shè)存儲(chǔ)體系首先和必須考慮的問(wèn)題。一般來(lái)說(shuō),信息安全存儲(chǔ)問(wèn)題具有以下特點(diǎn):

多樣性。在絕大多數(shù)信息系統(tǒng)中,安全問(wèn)題包括物理安全、邏輯安全和安全管理等三個(gè)方面。物理安全是指關(guān)鍵設(shè)備的安全和存放地點(diǎn)的安全等內(nèi)容。例如:有些計(jì)算機(jī)沒(méi)有內(nèi)外網(wǎng)物理隔離,機(jī)房也沒(méi)有基本的防雷、防塵、防靜電等措施。邏輯安全方面涉及訪問(wèn)控制和數(shù)據(jù)完整性等方面。安全管理包括人員安全管理制度等。

動(dòng)態(tài)性。由于信息技術(shù)在不斷地變化,今天的安全問(wèn)題到明天也許不再成為安全問(wèn)題,而今天無(wú)關(guān)緊要的問(wèn)題,明天可能成為嚴(yán)重的安全威脅。電子文件“本身不能被人們直接讀取,必須借助于專(zhuān)門(mén)設(shè)備,而這些設(shè)備的更新又很快,過(guò)若干年這些讀取設(shè)備可能就會(huì)從社會(huì)上消失,那時(shí),電子文件就變?yōu)闊o(wú)法讀取的死信息”。

對(duì)管理的依賴(lài)性。管理制度和管理人員是保證信息安全存儲(chǔ)的關(guān)鍵因素。安全問(wèn)題的多樣性和動(dòng)態(tài)性使僅僅采用安全產(chǎn)品來(lái)保證信息的安全存儲(chǔ)難以奏效。離開(kāi)嚴(yán)格、合理的管理制度,離開(kāi)管理人員對(duì)系統(tǒng)的正確維護(hù),再先進(jìn)的安全保護(hù)產(chǎn)品也會(huì)形同虛設(shè)。

存儲(chǔ)體系模型

面對(duì)諸多的安全問(wèn)題,必須根據(jù)電子文件的信息特點(diǎn),建立具備較高安全等級(jí)的、面向利用的、可持續(xù)發(fā)展的存儲(chǔ)體系。電子文件中心存儲(chǔ)體系應(yīng)具備多層次、多介質(zhì)、分布式等基本特征,至少應(yīng)包含管理制度層、在線存儲(chǔ)層、離線存儲(chǔ)層和異地存儲(chǔ)層四個(gè)層次。

管理制度層。安全問(wèn)題具有對(duì)管理的依賴(lài)性,嚴(yán)格的管理制度、合理的管理策略、管理人員的素質(zhì)是存儲(chǔ)體系的重要保障。一般來(lái)說(shuō)應(yīng)有如下幾個(gè)管理制度:計(jì)算機(jī)及網(wǎng)絡(luò)安全管理制度、信息安全保密規(guī)定、網(wǎng)絡(luò)安全保護(hù)技術(shù)措施規(guī)定、網(wǎng)絡(luò)安全保障應(yīng)急預(yù)案、管理員崗位職責(zé)及工作流程等。在這一層中還要明確存儲(chǔ)備份和恢復(fù)策略、網(wǎng)絡(luò)的安全等級(jí)劃分、信息的保密等級(jí)劃分、管理人員的權(quán)限劃分等。

在線存儲(chǔ)層。在線存儲(chǔ)主要目的是保證信息能在線利用。對(duì)于可以在線利用的信息,要按照有關(guān)規(guī)定,在相應(yīng)安全等級(jí)網(wǎng)絡(luò)上傳輸利用;對(duì)于不能在網(wǎng)絡(luò)上傳輸?shù)男畔⒅荒茈x線存儲(chǔ)。對(duì)于高安全等級(jí)或信息實(shí)時(shí)變化的系統(tǒng),在該層應(yīng)配備在線備份系統(tǒng)。

離線存儲(chǔ)層。離線存儲(chǔ)是對(duì)在線存儲(chǔ)層的安全備份,當(dāng)在線存儲(chǔ)出現(xiàn)問(wèn)題時(shí)能及時(shí)進(jìn)行數(shù)據(jù)恢復(fù),例如病毒、磁盤(pán)陣列硬件故障等。離線存儲(chǔ)的介質(zhì)應(yīng)脫離、遠(yuǎn)離網(wǎng)絡(luò)并按照有關(guān)要求存放在符合溫濕度、磁場(chǎng)、光照等安全要求的庫(kù)房或?qū)S迷O(shè)備中。

異地存儲(chǔ)層。異地存儲(chǔ)主要作用是對(duì)其他兩種存儲(chǔ)形式進(jìn)行安全備份,關(guān)鍵時(shí)候(例如海嘯、地震、火災(zāi)等災(zāi)難發(fā)生時(shí))用來(lái)恢復(fù)數(shù)據(jù)。異地備份介質(zhì)位置與本檔案館的距離極為重要。有文獻(xiàn)指出:若防火災(zāi),距離只需幾百米;防水災(zāi),距離應(yīng)不小于數(shù)公里以上;防地震或海嘯,則需幾百公里距離以外。

存儲(chǔ)介質(zhì)的選擇

一般來(lái)說(shuō),存儲(chǔ)介質(zhì)應(yīng)選用較耐久的材質(zhì),減少儲(chǔ)存或利用過(guò)程中的損壞可能性:應(yīng)使用技術(shù)壽命長(zhǎng)的介質(zhì),使數(shù)據(jù)能在當(dāng)前技術(shù)條件下維持更長(zhǎng)的有效讀出時(shí)間,減少數(shù)據(jù)遷移的頻率,降低數(shù)據(jù)丟失的風(fēng)險(xiǎn)。由于存儲(chǔ)體系的安全系數(shù)建立在多層次、多方式、多技術(shù)的整體之上,這就給我們?cè)谶x擇存儲(chǔ)介質(zhì)的時(shí)候提供了一定的自由度。按照三個(gè)存儲(chǔ)層次的不同特點(diǎn)和要求,我們可以選擇相應(yīng)的存儲(chǔ)介質(zhì)。

在線存儲(chǔ)層的數(shù)據(jù)是進(jìn)行信息服務(wù)的主要資源,需要經(jīng)常利用和變化,在該層選擇存儲(chǔ)設(shè)備的時(shí)候重點(diǎn)要考慮在線服務(wù)的要求,利用要方便、擴(kuò)展要自由;離線存儲(chǔ)層和異地存儲(chǔ)層中存放的數(shù)據(jù)一般是備份數(shù)據(jù),不經(jīng)常利用,對(duì)這類(lèi)數(shù)據(jù)的存儲(chǔ)介質(zhì)選擇,傳送速率、存取速度等就不是主要考慮因素,而應(yīng)更多考慮數(shù)據(jù)安全與長(zhǎng)期保存過(guò)程中的讀取問(wèn)題。此外,數(shù)據(jù)恢復(fù)的快速性、實(shí)施存儲(chǔ)的經(jīng)濟(jì)性等方面也是應(yīng)該考慮的內(nèi)容。結(jié)合工作實(shí)際,我們認(rèn)為磁盤(pán)陣列、光盤(pán)和大容量磁帶是存儲(chǔ)體系建設(shè)中比較合適的存儲(chǔ)介質(zhì)。下圖是基于以上考慮的存儲(chǔ)體系結(jié)構(gòu)圖。

備份和恢復(fù)

第7篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

一、學(xué)校網(wǎng)絡(luò)與信息安全工作情況

本次檢查內(nèi)容主要包含網(wǎng)絡(luò)與信息系統(tǒng)安全的管理機(jī)構(gòu)、規(guī)章制度、設(shè)施設(shè)備、網(wǎng)站和信息運(yùn)行情況、人技防護(hù)、隊(duì)伍建設(shè)等5個(gè)方面,同時(shí)從物理安全差距、網(wǎng)絡(luò)安全差距、主機(jī)安全差距、應(yīng)用安全差距、數(shù)據(jù)安全及恢復(fù)差距等5個(gè)方面對(duì)主機(jī)房和14個(gè)信息系統(tǒng)、1個(gè)網(wǎng)站進(jìn)行等級(jí)保護(hù)安全技術(shù)差距分析,通過(guò)差距分析,明確各層次安全域相應(yīng)等級(jí)的安全差距,為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。

從檢查情況看,我校網(wǎng)絡(luò)與信息安全總體運(yùn)維情況良好,未出現(xiàn)任何一起重大網(wǎng)絡(luò)安全與信息安全事件(事故)。近幾年,學(xué)校領(lǐng)導(dǎo)重視學(xué)校網(wǎng)絡(luò)信息安全工作,始終把網(wǎng)絡(luò)信息安全作為信息化工作的重點(diǎn)內(nèi)容;網(wǎng)絡(luò)信息安全工作機(jī)構(gòu)健全、責(zé)任明確,日常管理維護(hù)工作比較規(guī)范;管理制度較為完善,技術(shù)防護(hù)措施得當(dāng),信息安全風(fēng)險(xiǎn)得到有效降低;比較重視信息系統(tǒng)(網(wǎng)站)系統(tǒng)管理員和網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊(duì)伍有落實(shí);加強(qiáng)對(duì)學(xué)生網(wǎng)絡(luò)宣傳引導(dǎo)教育,日常重視微信、微博、QQ群的管理,提倡爭(zhēng)當(dāng)“綠色網(wǎng)民”;工作經(jīng)費(fèi)有一定保障,網(wǎng)絡(luò)安全工作經(jīng)費(fèi)納入年度預(yù)算,在最近一年學(xué)校信息化經(jīng)費(fèi)投入中,網(wǎng)絡(luò)建設(shè)與設(shè)備購(gòu)置費(fèi)用約占56、5%,數(shù)字資源與平臺(tái)開(kāi)發(fā)費(fèi)用約占40、6%,培訓(xùn)費(fèi)用約占0、6%,運(yùn)行與維護(hù)費(fèi)用約占1、04%,研究及其他費(fèi)用約占1、23%,總計(jì)投入占學(xué)校同期教育總經(jīng)費(fèi)支出的比例約1、57%,基本保證了校園網(wǎng)信息系統(tǒng)(網(wǎng)站)持續(xù)安全穩(wěn)定運(yùn)行。

1、網(wǎng)絡(luò)信息安全組織管理

20xx年學(xué)校成立網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組,校主要領(lǐng)導(dǎo)擔(dān)任組長(zhǎng),網(wǎng)絡(luò)與信息安全工作辦公室設(shè)在黨委工作部,領(lǐng)導(dǎo)小組全面負(fù)責(zé)學(xué)校網(wǎng)絡(luò)信息安全工作,教育技術(shù)與信息中心作為校園網(wǎng)運(yùn)維部門(mén)承擔(dān)信息系統(tǒng)安全技術(shù)防護(hù)與技術(shù)保障工作,對(duì)全校網(wǎng)絡(luò)信息安全工作進(jìn)行安全管理和監(jiān)督責(zé)任。各部門(mén)承擔(dān)本單位信息系統(tǒng)和網(wǎng)站信息內(nèi)容的直接安全責(zé)任。20xx年,由于人動(dòng),及時(shí)調(diào)整網(wǎng)絡(luò)安全和信息安全領(lǐng)導(dǎo)小組成員名單,依照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,明確各部門(mén)負(fù)責(zé)人為部門(mén)網(wǎng)站的具體負(fù)責(zé)人,建立學(xué)校網(wǎng)絡(luò)信息員隊(duì)伍,同時(shí),還組建網(wǎng)絡(luò)文明志愿者隊(duì)伍,對(duì)網(wǎng)絡(luò)出現(xiàn)的熱點(diǎn)問(wèn)題,及時(shí)跟蹤、跟帖、匯報(bào)。

2、信息系統(tǒng)(含網(wǎng)站)日常安全管理

學(xué)校建有“校園網(wǎng)絡(luò)系統(tǒng)安全管理(暫行)條例”、“學(xué)生上網(wǎng)管理辦法“、“校園網(wǎng)絡(luò)安全保密管理?xiàng)l例(試行)”、“校園網(wǎng)管理制度”、“網(wǎng)絡(luò)與信息安全處理預(yù)案”、“網(wǎng)上信息監(jiān)控制度”等系列規(guī)章制度。各系統(tǒng)(網(wǎng)站)使用單位基本能按要求,落實(shí)責(zé)任人,較好地履行網(wǎng)站信息上傳審簽制度、信息系統(tǒng)數(shù)據(jù)保密與防篡改制度。日常監(jiān)控對(duì)象包括主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用服務(wù)器等,其中網(wǎng)絡(luò)中的邊界防火墻、網(wǎng)絡(luò)核心交換機(jī)和路由器、學(xué)校站服務(wù)器均納入重點(diǎn)監(jiān)控。日常維護(hù)操作較規(guī)范,多數(shù)單位做到了杜絕弱口令并定期更改,嚴(yán)密防護(hù)個(gè)人電腦,定期備份數(shù)據(jù),定期查看安全日志等,隨時(shí)掌握系統(tǒng)(網(wǎng)站)狀態(tài),保證正常運(yùn)行。

3、信息系統(tǒng)(網(wǎng)站)技術(shù)防護(hù)

學(xué)校網(wǎng)絡(luò)信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強(qiáng)校園網(wǎng)絡(luò)安全管理,購(gòu)置了“網(wǎng)頁(yè)防篡改、教師行為管理、負(fù)載均衡”等相關(guān)安全設(shè)備,20xx年二月中旬完成校園信息系統(tǒng)(含網(wǎng)站)等級(jí)保護(hù)的定級(jí)和備案,并上報(bào)xxx市網(wǎng)安支隊(duì)。同時(shí),按二級(jí)等保要求,約投資110萬(wàn)元,完成“網(wǎng)絡(luò)入侵防御系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、運(yùn)維審計(jì)-堡壘機(jī)系統(tǒng)、服務(wù)及測(cè)評(píng)及機(jī)房改造(物理安全)”等網(wǎng)絡(luò)安全設(shè)備的采購(gòu)工作,目前,方案已經(jīng)通過(guò)專(zhuān)家論證。

20xx年4月-6月及20xx年3月對(duì)網(wǎng)站系統(tǒng)進(jìn)行安全測(cè)評(píng),特別對(duì)系統(tǒng)層和應(yīng)用層漏洞掃描,發(fā)現(xiàn)(教務(wù)管理系統(tǒng)、教學(xué)資源庫(kù))出現(xiàn)漏洞,及時(shí)整改,并將結(jié)果上報(bào)省教育廳、省網(wǎng)安大隊(duì)、xxx市網(wǎng)安支隊(duì)。同時(shí),對(duì)各防火墻軟件7個(gè)庫(kù)進(jìn)行升級(jí),對(duì)服務(wù)器操作系統(tǒng)存在的漏洞及時(shí)補(bǔ)丁和修復(fù),做好網(wǎng)站的備份工作等。

4、網(wǎng)絡(luò)信息安全應(yīng)急管理

20xx年學(xué)校制定了《xxx職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)與信息安全處理預(yù)案》、《xxx職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)安全和學(xué)生校內(nèi)聚集事件應(yīng)急處置預(yù)案》。教育技術(shù)與信息中心為應(yīng)急技術(shù)支持單位,在重大節(jié)日及敏感時(shí)期,采用24小時(shí)值班制度,對(duì)網(wǎng)絡(luò)安全問(wèn)題即知即改,確保網(wǎng)絡(luò)安全事件快速有效處置。

二、檢查發(fā)現(xiàn)的主要問(wèn)題

對(duì)照《通知》中的具體檢查項(xiàng)目,我校在網(wǎng)絡(luò)與信息安全技術(shù)和安全管理建設(shè)上還存在一定的問(wèn)題:

1、由于學(xué)校信息化建設(shè)尚處于起步階段,學(xué)院數(shù)據(jù)中心建設(shè)相對(duì)薄弱,未建成完善的數(shù)據(jù)中心共享體系,各應(yīng)用系統(tǒng)的數(shù)據(jù)資源安全及災(zāi)備均由相關(guān)使用部門(mén)獨(dú)自管理。同時(shí),網(wǎng)絡(luò)安全保障平臺(tái)(校園網(wǎng)絡(luò)安全及信息安全等級(jí)保護(hù))尚在建設(shè)中。

2、部分系統(tǒng)(網(wǎng)站)日常管理維護(hù)不夠規(guī)范,仍存在管理員弱口令、數(shù)據(jù)備份重視不夠、信息保密意識(shí)較差等問(wèn)題;學(xué)校子網(wǎng)頁(yè)網(wǎng)管員為兼職,投入精力難以保證,而且未取得相應(yīng)資格證書(shū);由于經(jīng)費(fèi)問(wèn)題,個(gè)別應(yīng)用系統(tǒng)未能及時(shí)升級(jí),容易發(fā)生安全事故。

3、目前尚未開(kāi)展網(wǎng)絡(luò)安全預(yù)案演練,還未真正組建一支校內(nèi)外聯(lián)合的網(wǎng)絡(luò)安全專(zhuān)家隊(duì)伍,未與社會(huì)企業(yè)簽訂應(yīng)急支持協(xié)議和完成應(yīng)急隊(duì)伍建設(shè)規(guī)劃。

三、整改措施

針對(duì)存在的問(wèn)題,學(xué)校網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組專(zhuān)門(mén)進(jìn)行了研究部署。

1、全面開(kāi)展信息系統(tǒng)等級(jí)保護(hù)工作。按照相關(guān)《通知》要求,20xx年8月底全面完成網(wǎng)絡(luò)安全保障平臺(tái)建設(shè),根據(jù)系統(tǒng)在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn),采用等級(jí)化與體系化相結(jié)合的安全體系設(shè)計(jì)方案,形成整體的等級(jí)化的安全保障體系,同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè),保障信息系統(tǒng)整體的安全。

2、完善網(wǎng)絡(luò)安全管理制度。根據(jù)等級(jí)保護(hù)要求,進(jìn)行信息安全策略總綱設(shè)計(jì)、信息安全各項(xiàng)管理制度設(shè)計(jì)、信息安全技術(shù)規(guī)范設(shè)計(jì)等,保障信息系統(tǒng)整體安全。

第8篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

本文針對(duì)新疆電力營(yíng)銷(xiāo)系統(tǒng)的現(xiàn)狀,給出了一種多層次的安全防護(hù)方案,對(duì)保障營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運(yùn)行,保護(hù)用戶(hù)信息安全,傳輸安全、存儲(chǔ)安全和有效安全管理方面給出了建設(shè)意見(jiàn)。

2新疆營(yíng)銷(xiāo)網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

新疆電力營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用經(jīng)過(guò)了多年的建設(shè),目前大部分地區(qū)在業(yè)擴(kuò)報(bào)裝、電費(fèi)計(jì)算、客戶(hù)服務(wù)等方面的營(yíng)銷(xiāo)信息化都基本達(dá)到實(shí)用化程度,在客戶(hù)服務(wù)層、業(yè)務(wù)處理層、管理監(jiān)控層三個(gè)層次上實(shí)現(xiàn)了相應(yīng)的基本功能。結(jié)合新疆電力公司的實(shí)際情況,主要分析了管理現(xiàn)狀和網(wǎng)絡(luò)現(xiàn)狀。

2.1管理現(xiàn)狀

根據(jù)公司總部提出的“集團(tuán)化運(yùn)作、集約化發(fā)展、精細(xì)化管理”的工作思路,從管理的需求上來(lái)說(shuō),數(shù)據(jù)越集中,管理的力度越細(xì),越能夠達(dá)到精細(xì)化的管理的要求。但由于目前各地市公司的管理水平現(xiàn)狀、IT現(xiàn)狀、人員現(xiàn)狀等制約因素的限制,不可能使各地市公司的管理都能夠一步到位,尤其是邊遠(yuǎn)地區(qū)。因此,營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用管理在基于現(xiàn)狀的基礎(chǔ)上逐步推進(jìn)。根據(jù)對(duì)當(dāng)前各地市公司的營(yíng)銷(xiāo)管理現(xiàn)狀和管理目標(biāo)需求的分析,管理現(xiàn)狀可分為如下三類(lèi):實(shí)時(shí)化、精細(xì)化管理;準(zhǔn)實(shí)時(shí)、可控的管理;非實(shí)時(shí)、粗放式管理。目前大部分管理集中在第二類(lèi)和第三類(lèi)。

2.2網(wǎng)絡(luò)現(xiàn)狀

網(wǎng)絡(luò)建設(shè)水平將直接影響營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用的系統(tǒng)架構(gòu)部署,目前新疆公司信息網(wǎng)已經(jīng)形成,實(shí)現(xiàn)了公司總部到網(wǎng)省公司、網(wǎng)省公司本部到下屬地市公司的信息網(wǎng)絡(luò)互連互通,但是各地市公司在地市公司到下屬基層供電單位的之間的信息網(wǎng)絡(luò)建設(shè)情況差別較大,部分地市公司已經(jīng)全部建成光纖網(wǎng)絡(luò),并且有相應(yīng)的備用通道,能夠滿(mǎn)足實(shí)時(shí)通信的要求,部分地市公司通過(guò)租用專(zhuān)線方式等實(shí)現(xiàn)連接,還有一些地市公司由于受地域條件的限制,尚存在一些信息網(wǎng)絡(luò)無(wú)法到達(dá)的地方,對(duì)大批量、實(shí)時(shí)的數(shù)據(jù)傳輸要求無(wú)法有效保證,通道的可靠性相對(duì)較差。

2.3需求分析

營(yíng)銷(xiāo)業(yè)務(wù)系統(tǒng)通常部署在國(guó)家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)的核心機(jī)房,為國(guó)家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)和國(guó)家電網(wǎng)公司外部信息網(wǎng)絡(luò)的用戶(hù)提供相關(guān)業(yè)務(wù)支持。該網(wǎng)絡(luò)涉及業(yè)務(wù)工作和業(yè)務(wù)應(yīng)用環(huán)境復(fù)雜,與外部/內(nèi)部單位之間存在大量敏感數(shù)據(jù)交換,使用人員涵蓋國(guó)家電網(wǎng)公司內(nèi)部人員,外部廠商人員,公網(wǎng)用戶(hù)等。因此,在網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)邊界防護(hù)與管理等層面上都有很高的安全需求。[2]

3關(guān)鍵技術(shù)和架構(gòu)

3.1安全防護(hù)體系架構(gòu)

營(yíng)銷(xiāo)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系的總體目標(biāo)是保障營(yíng)銷(xiāo)系統(tǒng)安全有序的運(yùn)行,規(guī)范國(guó)家電網(wǎng)公司內(nèi)部信息網(wǎng)員工和外部信息網(wǎng)用戶(hù)的行為,對(duì)違規(guī)行為進(jìn)行報(bào)警和處理。營(yíng)銷(xiāo)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系由3個(gè)系統(tǒng)(3維度)接入終端安全、數(shù)據(jù)傳輸安全和應(yīng)用系統(tǒng)安全三個(gè)方面內(nèi)容,以及其多個(gè)子系統(tǒng)組成。

3.2接入終端安全

接入營(yíng)銷(xiāo)網(wǎng)的智能終端形式多樣,包括PC終端、智能電表和移動(dòng)售電終端等。面臨協(xié)議不統(tǒng)一,更新?lián)Q代快,網(wǎng)絡(luò)攻擊日新月異,黑客利用安全漏洞的速度越來(lái)越快,形式越來(lái)越隱蔽等安全問(wèn)題。傳統(tǒng)的基于特征碼被動(dòng)防護(hù)的反病毒軟件遠(yuǎn)遠(yuǎn)不能滿(mǎn)足需求。需要加強(qiáng)終端的安全改造和監(jiān)管,建立完善的認(rèn)證、準(zhǔn)入和監(jiān)管機(jī)制,對(duì)違規(guī)行為及時(shí)報(bào)警、處理和備案,減小終端接入給系統(tǒng)帶來(lái)的安全隱患。

3.3數(shù)據(jù)傳輸安全

傳統(tǒng)的數(shù)據(jù)傳輸未采取加密和完整性校驗(yàn)等保護(hù)措施,電力營(yíng)銷(xiāo)數(shù)據(jù)涉及國(guó)家電網(wǎng)公司和用戶(hù)信息,安全等級(jí)較高,需要更有效的手段消除數(shù)據(jù)泄露、非法篡改信息等風(fēng)險(xiǎn)。市場(chǎng)上常見(jiàn)的安全網(wǎng)關(guān)、防火墻、漏洞檢測(cè)設(shè)備等,都具有數(shù)據(jù)加密傳輸?shù)墓δ埽軌蛴行ПWC數(shù)據(jù)傳輸?shù)陌踩?。但僅僅依靠安全設(shè)備來(lái)保證數(shù)據(jù)通道的安全也是不夠的。一旦設(shè)備被穿透,將可能造成營(yíng)銷(xiāo)系統(tǒng)數(shù)據(jù)和用戶(hù)信息的泄露。除此之外,還需要采用更加安全可靠的協(xié)議和通信通道保證數(shù)據(jù)通信的安全。

3.4應(yīng)用系統(tǒng)安全

目前營(yíng)銷(xiāo)系統(tǒng)已經(jīng)具有針對(duì)應(yīng)用層的基于對(duì)象權(quán)限和用戶(hù)角色概念的認(rèn)證和授權(quán)機(jī)制,但是這種機(jī)制還不能在網(wǎng)絡(luò)層及以下層對(duì)接入用戶(hù)進(jìn)行細(xì)粒度的身份認(rèn)證和訪問(wèn)控制,營(yíng)銷(xiāo)系統(tǒng)仍然面臨著安全風(fēng)險(xiǎn)。增強(qiáng)網(wǎng)絡(luò)層及以下層,比如接入層、鏈路層等的細(xì)粒度訪問(wèn)控制,從而提高應(yīng)用系統(tǒng)的安全性。

4安全建設(shè)

營(yíng)銷(xiāo)系統(tǒng)安全建設(shè)涉及安全網(wǎng)絡(luò)安全、主機(jī)操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用安全以及終端安全幾個(gè)層面的安全防護(hù)方案,用以解決營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)安全目前存在的主要問(wèn)題。

4.1終端安全加固

終端作為營(yíng)銷(xiāo)系統(tǒng)使用操作的發(fā)起設(shè)備,其安全性直接關(guān)系到數(shù)據(jù)傳輸?shù)陌踩?,乃至?nèi)網(wǎng)應(yīng)用系統(tǒng)的安全。終端不僅是創(chuàng)建和存放重要數(shù)據(jù)的源頭,而且是攻擊事件、數(shù)據(jù)泄密和病毒感染的源頭。這需要加強(qiáng)終端自身的安全防護(hù)策略的制定,定期檢測(cè)被攻擊的風(fēng)險(xiǎn),對(duì)安全漏洞甚至病毒及時(shí)處理。對(duì)終端設(shè)備進(jìn)行完善的身份認(rèn)證和權(quán)限管理,限制和阻止非授權(quán)訪問(wèn)、濫用、破壞行為。目前公司主要的接入終端有PC、PDA、無(wú)線表計(jì)、配變檢測(cè)設(shè)備、應(yīng)急指揮車(chē)等。由于不同終端采用的操作系統(tǒng)不同,安全防護(hù)要求和措施也不同,甚至需要根據(jù)不同的終端定制相應(yīng)的安全模塊和安全策略,主要包括:針對(duì)不同終端(定制)的操作系統(tǒng)底層改造加固;終端接入前下載安裝可信任插件;采用兩種以上認(rèn)證技術(shù)驗(yàn)證用戶(hù)身份;嚴(yán)格按權(quán)限限制用戶(hù)的訪問(wèn);安裝安全通信模塊,保障加密通訊及連接;安裝監(jiān)控系統(tǒng),監(jiān)控終端操作行為;安裝加密卡/認(rèn)證卡,如USBKEY/PCMCIA/TF卡等。

4.2網(wǎng)絡(luò)環(huán)境安全

網(wǎng)絡(luò)環(huán)境安全防護(hù)是針對(duì)網(wǎng)絡(luò)的軟硬件環(huán)境、網(wǎng)絡(luò)內(nèi)的信息傳輸情況以及網(wǎng)絡(luò)自身邊界的安全狀況進(jìn)行安全防護(hù)。確保軟硬件設(shè)備整體在營(yíng)銷(xiāo)網(wǎng)絡(luò)系統(tǒng)中安全有效工作。

4.2.1網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)設(shè)備安全包括國(guó)家電網(wǎng)公司信息內(nèi)、外網(wǎng)營(yíng)銷(xiāo)管理系統(tǒng)域中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)。主要防護(hù)措施包括,對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行加固,及時(shí)安裝殺毒軟件和補(bǔ)丁,定期更新弱點(diǎn)掃描系統(tǒng),并對(duì)掃描出的弱點(diǎn)及時(shí)進(jìn)行處理。采用身份認(rèn)證、IP、MAC地址控制外來(lái)設(shè)備的接入安全,采用較為安全的SSH、HTTPS等進(jìn)行遠(yuǎn)程管理。對(duì)網(wǎng)絡(luò)設(shè)備配置文件進(jìn)行備份。對(duì)網(wǎng)絡(luò)設(shè)備安全事件進(jìn)行定期或?qū)崟r(shí)審計(jì)。采用硬件雙機(jī)、冗余備份等方式保證關(guān)鍵網(wǎng)絡(luò)及設(shè)備正常安全工作,保證營(yíng)銷(xiāo)管理系統(tǒng)域中的關(guān)鍵網(wǎng)絡(luò)鏈路冗余。

4.2.2網(wǎng)絡(luò)傳輸安全

營(yíng)銷(xiāo)系統(tǒng)數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)傳輸時(shí)可能會(huì)被截獲、篡改、刪除,因此應(yīng)當(dāng)建立安全的通信傳輸網(wǎng)絡(luò)以保證網(wǎng)絡(luò)信息的安全傳輸。在非邊遠(yuǎn)地方建立專(zhuān)用的電力通信網(wǎng)絡(luò)方便營(yíng)銷(xiāo)系統(tǒng)的用戶(hù)安全使用、在邊遠(yuǎn)的沒(méi)有覆蓋電力局和供電營(yíng)業(yè)所的地方,采用建立GPRS、GSM,3G專(zhuān)線或租用運(yùn)營(yíng)商ADSL、ISDN網(wǎng)絡(luò)專(zhuān)網(wǎng)專(zhuān)用的方式,保障電力通信安全。電力營(yíng)銷(xiāo)技術(shù)系統(tǒng)與各個(gè)銀行網(wǎng)上銀行、郵政儲(chǔ)蓄網(wǎng)點(diǎn)、電費(fèi)代繳機(jī)構(gòu)進(jìn)行合作繳費(fèi),極大方便電力客戶(hù)繳費(fèi)。為了提高通道的安全性,形成了營(yíng)銷(xiāo)系統(tǒng)信息內(nèi)網(wǎng)、銀行郵政等儲(chǔ)蓄系統(tǒng)、internet公網(wǎng)、供電中心網(wǎng)絡(luò)的一個(gè)封閉環(huán)路,利用專(zhuān)網(wǎng)或VPN、加密隧道等技術(shù)提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴T跀?shù)據(jù)傳輸之前需要進(jìn)行設(shè)備間的身份認(rèn)證,在認(rèn)證過(guò)程中網(wǎng)絡(luò)傳輸?shù)目诹钚畔⒔姑魑膫魉停赏ㄟ^(guò)哈希(HASH)單向運(yùn)算、SSL加密、SecureShel(lSSH)加密、公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure簡(jiǎn)稱(chēng)PKI)等方式實(shí)現(xiàn)。此外,為保證所傳輸數(shù)據(jù)的完整性需要對(duì)傳輸數(shù)據(jù)加密處理。系統(tǒng)可采用校驗(yàn)碼等技術(shù)以檢測(cè)和管理數(shù)據(jù)、鑒別數(shù)據(jù)在傳輸過(guò)程中完整性是否受到破壞。在檢測(cè)到數(shù)據(jù)完整性被破壞時(shí),采取有效的恢復(fù)措施。

4.2.3網(wǎng)絡(luò)邊界防護(hù)

網(wǎng)絡(luò)邊界防護(hù)主要基于根據(jù)不同安全等級(jí)網(wǎng)絡(luò)的要求劃分安全區(qū)域的安全防護(hù)思想。營(yíng)銷(xiāo)系統(tǒng)安全域邊界,分為同一安全域內(nèi)部各個(gè)子系統(tǒng)之間的內(nèi)部邊界,和跨不同安全域之間的網(wǎng)絡(luò)外部邊界兩類(lèi)。依據(jù)安全防護(hù)等級(jí)、邊界防護(hù)和深度防護(hù)標(biāo)準(zhǔn),具有相同安全保護(hù)需求的網(wǎng)絡(luò)或系統(tǒng),相互信任,具有相同的訪問(wèn)和控制策略,安全等級(jí)相同,被劃分在同一安全域內(nèi)[3],采用相同的安全防護(hù)措施。加強(qiáng)外部網(wǎng)絡(luò)邊界安全,可以采用部署堡壘機(jī)、入侵檢測(cè)、審計(jì)管理系統(tǒng)等硬件加強(qiáng)邊界防護(hù),同時(shí)規(guī)范系統(tǒng)操作行為,分區(qū)域分級(jí)別加強(qiáng)系統(tǒng)保護(hù),減少系統(tǒng)漏洞,提高系統(tǒng)內(nèi)部的安全等級(jí),從根本上提高系統(tǒng)的抗攻擊性??绨踩騻鬏?shù)臄?shù)據(jù)傳輸需要進(jìn)行加密處理。實(shí)現(xiàn)數(shù)據(jù)加密,啟動(dòng)系統(tǒng)的加密功能或增加相應(yīng)模塊實(shí)現(xiàn)數(shù)據(jù)加密,也可采用第三方VPN等措施實(shí)現(xiàn)數(shù)據(jù)加密。

4.3主機(jī)安全

從增強(qiáng)主機(jī)安全的層面來(lái)增強(qiáng)營(yíng)銷(xiāo)系統(tǒng)安全,采用虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateNetwork簡(jiǎn)稱(chēng)VPN)等技術(shù),在用戶(hù)網(wǎng)頁(yè)(WEB)瀏覽器和服務(wù)器之間進(jìn)行安全數(shù)據(jù)通信,提高主機(jī)自身安全性,監(jiān)管主機(jī)行,減小用戶(hù)錯(cuò)誤操作對(duì)系統(tǒng)的影響。首先,掃描主機(jī)操作系統(tǒng)評(píng)估出配置錯(cuò)誤項(xiàng),按照系統(tǒng)廠商或安全組織提供的加固列表對(duì)操作系統(tǒng)進(jìn)行安全加固,以達(dá)到相關(guān)系統(tǒng)安全標(biāo)準(zhǔn)。安裝第三方安全組件加強(qiáng)主機(jī)系統(tǒng)安全防護(hù)。采用主機(jī)防火墻系統(tǒng)、入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)、監(jiān)控軟件等。在服務(wù)器和客戶(hù)端上部署專(zhuān)用版或網(wǎng)絡(luò)版防病毒軟件系統(tǒng)或病毒防護(hù)系統(tǒng)等。此外,還需要制定用戶(hù)安全策略,系統(tǒng)用戶(hù)管理策略,定義用戶(hù)口令管理策略[4]。根據(jù)管理用戶(hù)角色分配用戶(hù)權(quán)限,限制管理員使用權(quán)限,實(shí)現(xiàn)不同管理用戶(hù)的權(quán)限分離。對(duì)資源訪問(wèn)進(jìn)行權(quán)限控制。依據(jù)安全策略對(duì)敏感信息資源設(shè)置敏感標(biāo)記,制定訪問(wèn)控制策略嚴(yán)格管理用戶(hù)對(duì)敏感信息資源的訪問(wèn)和操作。

4.4數(shù)據(jù)庫(kù)安全

數(shù)據(jù)庫(kù)安全首要是數(shù)據(jù)存儲(chǔ)安全,包括敏感口令數(shù)據(jù)非明文存儲(chǔ),對(duì)關(guān)鍵敏感業(yè)務(wù)數(shù)據(jù)加密存儲(chǔ),本地?cái)?shù)據(jù)備份與恢復(fù),關(guān)鍵數(shù)據(jù)定期備份,備份介質(zhì)場(chǎng)外存放和異地備份。當(dāng)環(huán)境發(fā)生變更時(shí),定期進(jìn)行備份恢復(fù)測(cè)試,以保證所備份數(shù)據(jù)安全可靠。數(shù)據(jù)安全管理用于數(shù)據(jù)庫(kù)管理用戶(hù)的身份認(rèn)證,制定用戶(hù)安全策略,數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)管理策略,口令管理的相關(guān)安全策略,用戶(hù)管理策略、用戶(hù)訪問(wèn)控制策略,合理分配用戶(hù)權(quán)限。數(shù)據(jù)庫(kù)安全審計(jì)采用數(shù)據(jù)庫(kù)內(nèi)部審計(jì)機(jī)制或第三方數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行安全審計(jì),并定期對(duì)審計(jì)結(jié)果進(jìn)行分析處理。對(duì)較敏感的存儲(chǔ)過(guò)程加以管理,限制對(duì)敏感存儲(chǔ)過(guò)程的使用。及時(shí)更新數(shù)據(jù)庫(kù)程序補(bǔ)丁。經(jīng)過(guò)安全測(cè)試后加載數(shù)據(jù)庫(kù)系統(tǒng)補(bǔ)丁,提升數(shù)據(jù)庫(kù)安全。數(shù)據(jù)庫(kù)安全控制、在數(shù)據(jù)庫(kù)安裝前,必須創(chuàng)建數(shù)據(jù)庫(kù)的管理員組,服務(wù)器進(jìn)行訪問(wèn)限制,制定監(jiān)控方案的具體步驟。工具配置參數(shù),實(shí)現(xiàn)同遠(yuǎn)程數(shù)據(jù)庫(kù)之間的連接[5]。數(shù)據(jù)庫(kù)安全恢復(fù),在數(shù)據(jù)庫(kù)導(dǎo)入時(shí),和數(shù)據(jù)庫(kù)發(fā)生故障時(shí),數(shù)據(jù)庫(kù)數(shù)據(jù)冷備份恢復(fù)和數(shù)據(jù)庫(kù)熱備份恢復(fù)。

4.5應(yīng)用安全

應(yīng)用安全是用戶(hù)對(duì)營(yíng)銷(xiāo)系統(tǒng)應(yīng)用的安全問(wèn)題。包括應(yīng)用系統(tǒng)安全和系統(tǒng)的用戶(hù)接口和數(shù)據(jù)接口的安全防護(hù)。

4.5.1應(yīng)用系統(tǒng)安全防護(hù)

應(yīng)用系統(tǒng)安全防護(hù)首先要對(duì)應(yīng)用系統(tǒng)進(jìn)行安全測(cè)評(píng)、安全加固,提供系統(tǒng)資源控制功能以保證業(yè)務(wù)正常運(yùn)行。定期對(duì)應(yīng)用程序軟件進(jìn)行弱點(diǎn)掃描,掃描之前應(yīng)更新掃描器特征代碼;弱點(diǎn)掃描應(yīng)在非核心業(yè)務(wù)時(shí)段進(jìn)行,并制定回退計(jì)劃。依據(jù)掃描結(jié)果,及時(shí)修復(fù)所發(fā)現(xiàn)的漏洞,確保系統(tǒng)安全運(yùn)行。

4.5.2用戶(hù)接口安全防護(hù)

對(duì)于用戶(hù)訪問(wèn)應(yīng)用系統(tǒng)的用戶(hù)接口需采取必要的安全控制措施,包括對(duì)同一用戶(hù)采用兩種以上的鑒別技術(shù)鑒別用戶(hù)身份,如采用用戶(hù)名/口令、動(dòng)態(tài)口令、物理識(shí)別設(shè)備、生物識(shí)別技術(shù)、數(shù)字證書(shū)身份鑒別技術(shù)等的組合使用。對(duì)于用戶(hù)認(rèn)證登陸采用包括認(rèn)證錯(cuò)誤及超時(shí)鎖定、認(rèn)證時(shí)間超出強(qiáng)制退出、認(rèn)證情況記錄日志等安全控制措施。采用用戶(hù)名/口令認(rèn)證時(shí),應(yīng)當(dāng)對(duì)口令長(zhǎng)度、復(fù)雜度、生存周期進(jìn)行強(qiáng)制要求。同時(shí),為保證用戶(hù)訪問(wèn)重要業(yè)務(wù)數(shù)據(jù)過(guò)程的安全保密,用戶(hù)通過(guò)客戶(hù)端或WEB方式訪問(wèn)應(yīng)用系統(tǒng)重要數(shù)據(jù)應(yīng)當(dāng)考慮進(jìn)行加密傳輸,如網(wǎng)上營(yíng)業(yè)廳等通過(guò)Internet等外部公共網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)系統(tǒng)訪問(wèn)必須采用SSL等方式對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密傳輸。杜絕經(jīng)網(wǎng)絡(luò)傳輸?shù)挠脩?hù)名、口令等認(rèn)證信息應(yīng)當(dāng)明文傳輸和用戶(hù)口令在應(yīng)用系統(tǒng)中明文存儲(chǔ)。

4.5.3數(shù)據(jù)接口安全防護(hù)

數(shù)據(jù)接口的安全防護(hù)分為安全域內(nèi)數(shù)據(jù)接口的安全防護(hù)和安全域間數(shù)據(jù)接口的安全防護(hù)。安全域內(nèi)數(shù)據(jù)接口在同一安全域內(nèi)部不同應(yīng)用系統(tǒng)之間,需要通過(guò)網(wǎng)絡(luò)交換或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口;安全域間數(shù)據(jù)接口是跨不同安全域的不同應(yīng)用系統(tǒng)間,需要交互或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。

5安全管理

安全管理是安全建設(shè)的各項(xiàng)技術(shù)和措施得以實(shí)現(xiàn)不可缺少的保障,從制度和組織機(jī)構(gòu)到安全運(yùn)行、安全服務(wù)和應(yīng)急安全管理,是一套標(biāo)準(zhǔn)化系統(tǒng)的流程規(guī)范,主要包括以下方面。

5.1安全組織機(jī)構(gòu)

建立營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用安全防護(hù)的組織機(jī)構(gòu),并將安全防護(hù)的責(zé)任落實(shí)到人,安全防護(hù)組織機(jī)構(gòu)可以由專(zhuān)職人員負(fù)責(zé),也可由運(yùn)維人員兼職。

5.2安全規(guī)章制度

建立安全規(guī)章制度,加強(qiáng)安全防護(hù)策略管理,軟件系統(tǒng)安全生命周期的管理,系統(tǒng)安全運(yùn)維管理,安全審計(jì)與安全監(jiān)控管理,以及口令管理、權(quán)限管理等。確保安全規(guī)章制度能夠有效落實(shí)執(zhí)行。

5.3安全運(yùn)行管理

在系統(tǒng)上線運(yùn)行過(guò)程中,遵守國(guó)家電網(wǎng)公司的安全管理規(guī)定,嚴(yán)格遵守業(yè)務(wù)數(shù)據(jù)安全保密、網(wǎng)絡(luò)資源使用、辦公環(huán)境等的安全規(guī)定。首先,系統(tǒng)正式上線前應(yīng)進(jìn)行專(zhuān)門(mén)的系統(tǒng)安全防護(hù)測(cè)試,應(yīng)確認(rèn)軟件系統(tǒng)安全配置項(xiàng)目準(zhǔn)確,以使得已經(jīng)設(shè)計(jì)、開(kāi)發(fā)的安全防護(hù)功能正常工作。在上線運(yùn)行維護(hù)階段,應(yīng)定期對(duì)系統(tǒng)運(yùn)行情況進(jìn)行全面審計(jì),包括網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)、數(shù)據(jù)庫(kù)審計(jì),業(yè)務(wù)應(yīng)用審計(jì)等。每次審計(jì)應(yīng)記入審計(jì)報(bào)告,發(fā)現(xiàn)問(wèn)題應(yīng)進(jìn)入問(wèn)題處理流程。建立集中日志服務(wù)器對(duì)營(yíng)銷(xiāo)交易安全域中網(wǎng)絡(luò)及安全設(shè)備日志進(jìn)行集中收集存儲(chǔ)和管理。軟件升級(jí)改造可能會(huì)對(duì)原來(lái)的系統(tǒng)做出調(diào)整或更改,此時(shí)也應(yīng)從需求、分析、設(shè)計(jì)、實(shí)施上線等的整個(gè)生命周期對(duì)運(yùn)行執(zhí)行新的安全管理。

5.4安全服務(wù)

安全服務(wù)的目的是保障系統(tǒng)建設(shè)過(guò)程中的各個(gè)階段的有效執(zhí)行,問(wèn)題、變更和偏差有效反饋,及時(shí)解決和糾正。從項(xiàng)目層面進(jìn)行推進(jìn)和監(jiān)控系統(tǒng)建設(shè)的進(jìn)展,確保項(xiàng)目建設(shè)質(zhì)量和實(shí)現(xiàn)各項(xiàng)指標(biāo)。從項(xiàng)目立項(xiàng)、調(diào)研、開(kāi)發(fā)到實(shí)施、驗(yàn)收、運(yùn)維等各個(gè)不同階段,可以階段性開(kāi)展不同的安全服務(wù),包括安全管理、安全評(píng)審、安全運(yùn)維、安全訪談、安全培訓(xùn)、安全測(cè)試、安全認(rèn)證等安全服務(wù)。

5.5安全評(píng)估

安全評(píng)估是對(duì)營(yíng)銷(xiāo)系統(tǒng)潛在的風(fēng)險(xiǎn)進(jìn)行評(píng)估(RiskAssessment),在風(fēng)險(xiǎn)尚未發(fā)生或產(chǎn)生嚴(yán)重后果之前對(duì)其造成后果的危險(xiǎn)程度進(jìn)行分析,制定相應(yīng)的策略減少或杜絕風(fēng)險(xiǎn)的發(fā)生概率。營(yíng)銷(xiāo)系統(tǒng)的安全評(píng)估主要是針對(duì)第三方使用人員,評(píng)估內(nèi)容涵蓋,終端安全和接入網(wǎng)絡(luò)安全。根據(jù)國(guó)家電網(wǎng)公司安全等級(jí)標(biāo)準(zhǔn),對(duì)核心業(yè)務(wù)系統(tǒng)接入網(wǎng)絡(luò)安全等級(jí)進(jìn)行測(cè)評(píng),并給出測(cè)評(píng)報(bào)告和定期加固改造辦法,如安裝終端加固軟件/硬件,安裝監(jiān)控軟件、增加網(wǎng)絡(luò)安全設(shè)備、增加安全策略,包括禁止違規(guī)操作、禁止越權(quán)操作等。

5.6應(yīng)急管理

為了營(yíng)銷(xiāo)系統(tǒng)7×24小時(shí)安全運(yùn)行,必須建立健全快速保障體系,在系統(tǒng)出現(xiàn)突發(fā)事件時(shí),有效處理和解決問(wèn)題,最大限度減小不良影響和損失,制定合理可行的應(yīng)急預(yù)案,主要內(nèi)容包括:明確目標(biāo)或要求,設(shè)立具有專(zhuān)門(mén)的部門(mén)或工作小組對(duì)突發(fā)事件能夠及時(shí)反應(yīng)和處理。加強(qiáng)規(guī)范的應(yīng)急流程管理,明確應(yīng)急處理的期限和責(zé)任人。對(duì)于一定安全等級(jí)的事件,要及時(shí)或上報(bào)。

6實(shí)施部署

營(yíng)銷(xiāo)系統(tǒng)為多級(jí)部署系統(tǒng)。根據(jù)國(guó)家電網(wǎng)信息網(wǎng)絡(luò)分區(qū)域安全防護(hù)的指導(dǎo)思想原則,結(jié)合新疆多地市不同安全級(jí)別需求的實(shí)際情況,營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)整體安全部署如圖2所示。在營(yíng)銷(xiāo)系統(tǒng)部署中,對(duì)安全需求不同的地市子網(wǎng)劃分不同的安全域,網(wǎng)省管控平臺(tái)部署在網(wǎng)省信息內(nèi)網(wǎng),負(fù)責(zé)對(duì)所有安全防護(hù)措施的管控和策略的下發(fā),它是不同安全級(jí)別地市子系統(tǒng)信息的管理控制中心,也是聯(lián)接總部展示平臺(tái)的橋梁,向國(guó)網(wǎng)總公司提交營(yíng)銷(xiāo)系統(tǒng)安全運(yùn)行的數(shù)據(jù)和報(bào)表等信息。

7結(jié)束語(yǔ)

第9篇:網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法范文

1加強(qiáng)設(shè)備安全性設(shè)計(jì)

AFC系統(tǒng)具有數(shù)目眾多的站級(jí)終端設(shè)備,因此設(shè)備的安全性不容忽視,設(shè)備安全性主要表現(xiàn)在兩個(gè)方面。1)作為與乘客交互最多的設(shè)備,首先需要保障維修維護(hù)人員以及乘客的人身安全,為了達(dá)到這一點(diǎn),需要在AFC系統(tǒng)終端設(shè)備設(shè)計(jì)制造時(shí)遵循一定的原則:如所有設(shè)備應(yīng)具備相應(yīng)的安全保護(hù),設(shè)備防水性能良好,設(shè)備內(nèi)各模塊應(yīng)固定防止隨意移動(dòng),所有接頭應(yīng)具有固定措施;所有設(shè)備應(yīng)有良好的接地措施保證設(shè)備金屬外殼不帶電,所有設(shè)備及通信線路應(yīng)具備相應(yīng)的電源保護(hù)措施,所有設(shè)備都應(yīng)配有UPS電源,以防止突然斷電帶來(lái)的系統(tǒng)威脅;閘機(jī)通道具有人員通過(guò)安全保護(hù)機(jī)制,扇門(mén)需要?jiǎng)側(cè)徇m中能夠承受乘客的猛烈撞擊對(duì)設(shè)備帶來(lái)的損害,同時(shí)也能讓乘客在強(qiáng)制闖過(guò)扇門(mén)時(shí)不受到傷害。另外,設(shè)備內(nèi)部結(jié)構(gòu)設(shè)計(jì)需要合理,便于人員維修操作,不應(yīng)有尖利部位導(dǎo)致人員的劃傷。2)作為與現(xiàn)金收益有直接關(guān)系的系統(tǒng)設(shè)備應(yīng)該重視收益安全的設(shè)計(jì),錢(qián)箱和票箱都應(yīng)加鎖,且所有錢(qián)箱在設(shè)備中具有密封性,操作人員不能直接接觸到TVM內(nèi)找零用的現(xiàn)金、錢(qián)箱內(nèi)的現(xiàn)金和車(chē)票,在設(shè)備發(fā)售車(chē)票或者車(chē)票回收的過(guò)程中,即使是設(shè)備的某些部件發(fā)生故障,車(chē)票只能按設(shè)定的路徑進(jìn)入取票口或者回收箱中,不應(yīng)散落在設(shè)備的其他部位。設(shè)備中經(jīng)常需要更換的票箱與錢(qián)箱,由于經(jīng)常搬運(yùn)和卸載,因此需要有較寬的接觸面不易傾斜,西安地鐵2號(hào)線就是由于票箱立面較窄,易傾斜磕碰而造成票箱的損壞。涉及錢(qián)款的部件在拆卸和更換過(guò)程中必須經(jīng)系統(tǒng)授權(quán)和身份認(rèn)證,系統(tǒng)中錢(qián)箱的更換都應(yīng)有日志記錄,可明確顯示卸載人以及卸載時(shí)間,卸載時(shí)錢(qián)箱中錢(qián)款的情況,比如西安地鐵現(xiàn)在使用的TVM和檢票機(jī)錢(qián)箱、票箱都配置唯一的電子標(biāo)志,TVM和檢票機(jī)還配備了電子儲(chǔ)存模塊,對(duì)錢(qián)箱使用情況進(jìn)行記錄,進(jìn)入該錢(qián)箱的可累計(jì)現(xiàn)金金額、最后一次裝入設(shè)備和從設(shè)備取出的時(shí)間、最后一次取出時(shí)的該錢(qián)箱內(nèi)的現(xiàn)金金額以及最后一次取出時(shí)的操作人員號(hào)碼等內(nèi)容。

2實(shí)現(xiàn)網(wǎng)絡(luò)安全性

目前,世界上有65%以上的網(wǎng)站癱瘓是源于病毒、黑客的入侵與攻擊。防火墻和入侵檢測(cè)系統(tǒng)是防御這類(lèi)攻擊的有效辦法,西安地鐵2號(hào)線AFC系統(tǒng)處于獨(dú)立的專(zhuān)網(wǎng)中(網(wǎng)絡(luò)結(jié)構(gòu)見(jiàn)圖1),僅在小清分系統(tǒng)與西安市一卡通系統(tǒng)留有外部接口,并在此處安裝防火墻,隔離AFC網(wǎng)絡(luò)系統(tǒng)和外部網(wǎng)絡(luò),此處的防火墻配置了DOS/DDOS功能,可實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范,還配置了ARP欺騙攻擊防范,以及超大ICMP報(bào)文攻擊防范,設(shè)置了防火墻的告警策略,啟動(dòng)了防火墻日志功能。除此之外,采用基于狀態(tài)的特征檢測(cè)技術(shù),基于協(xié)議異常分析的檢測(cè)技術(shù)和基于流量異常分析的檢測(cè),對(duì)付來(lái)自外網(wǎng)和內(nèi)網(wǎng)的攻擊,縮短發(fā)現(xiàn)黑客入侵的時(shí)間。入侵檢測(cè)技術(shù)與防火墻共同協(xié)作,對(duì)AFC系統(tǒng)網(wǎng)絡(luò)入口進(jìn)行多層次安全保護(hù),形成整體縱深的安全防護(hù)體系。雖然AFC系統(tǒng)處于專(zhuān)網(wǎng)環(huán)境中,但由于系統(tǒng)升級(jí)等需求不可避免地會(huì)與外界存儲(chǔ)設(shè)備存在交互,因此對(duì)于內(nèi)網(wǎng)的管理,除了應(yīng)用網(wǎng)絡(luò)防病毒體系外,還可以采用漏洞掃描和日志告警功能,使得系統(tǒng)在遭受攻擊之前,可以了解和修復(fù)自身網(wǎng)絡(luò)安全問(wèn)題,提早發(fā)現(xiàn)漏洞,阻斷病毒傳播。另外,系統(tǒng)還應(yīng)該具備外部存儲(chǔ)設(shè)備的認(rèn)證功能,即只有被認(rèn)證過(guò)的設(shè)備才可以在系統(tǒng)中使用,防止外界存儲(chǔ)設(shè)備給系統(tǒng)感染病毒。

3關(guān)注軟件和數(shù)據(jù)安全性

在整個(gè)AFC系統(tǒng)中,乘客應(yīng)用AFC系統(tǒng)在不同層次將產(chǎn)生各種類(lèi)型的數(shù)據(jù),這些海量的數(shù)據(jù)存在丟失、損壞、被篡改的風(fēng)險(xiǎn),因此各層次下設(shè)備需要根據(jù)其自身的需求對(duì)相應(yīng)的數(shù)據(jù)進(jìn)行保護(hù),主要工作如圖2所示。對(duì)這些安全需求系統(tǒng)應(yīng)該采取以下措施:1)需要有安全產(chǎn)品的應(yīng)用,即涉及數(shù)據(jù)的設(shè)備都需要有防病毒軟件,以保護(hù)系統(tǒng)數(shù)據(jù)不被外界損壞,硬件采用專(zhuān)用的Unix操作系統(tǒng),采用Oracle數(shù)據(jù)庫(kù)產(chǎn)品系列。2)需要安全密鑰系統(tǒng)的應(yīng)用,通過(guò)ISAM和PSAM卡保證所有設(shè)備的合法性,通過(guò)TAC碼來(lái)確保終端交易數(shù)據(jù)的合法性。西安地鐵2號(hào)線采用了3DES對(duì)稱(chēng)密鑰算法,確保數(shù)據(jù)的加密與外界的隔離,有效地達(dá)到了認(rèn)證的安全性。3)為了防止數(shù)據(jù)在闡述過(guò)程中被篡改,系統(tǒng)需要應(yīng)用CRC碼進(jìn)行校驗(yàn)。4)系統(tǒng)需要提供細(xì)致的權(quán)限管理,在運(yùn)營(yíng)過(guò)程中由于維護(hù)人員眾多,角色不一,因此對(duì)系統(tǒng)的誤操作很容易破壞系統(tǒng)的數(shù)據(jù),因此,系統(tǒng)需要提供細(xì)致的權(quán)限管理功能,維護(hù)人員為不同角色的人員提供相應(yīng)權(quán)限,防止誤操作和數(shù)據(jù)的惡意破壞。5)為了保證系統(tǒng)數(shù)據(jù)的安全性,系統(tǒng)提供數(shù)據(jù)冗余功能和數(shù)據(jù)跟蹤功能。西安地鐵2號(hào)線SLE設(shè)備中的數(shù)據(jù)在打包向上層設(shè)備傳輸前,將數(shù)據(jù)保存在設(shè)備的兩個(gè)不同物理空間上,SC、CC將數(shù)據(jù)再向上層傳輸前,保存4份數(shù)據(jù),系統(tǒng)數(shù)據(jù)根據(jù)不同設(shè)備分別保存數(shù)據(jù)的期限為15天或者30天不等,并且提供專(zhuān)門(mén)的票卡跟蹤模塊。6)系統(tǒng)需要提供數(shù)據(jù)審計(jì)功能,系統(tǒng)各個(gè)層級(jí)不但要對(duì)數(shù)據(jù)的連續(xù)性進(jìn)行審計(jì)跟蹤,還要將累計(jì)數(shù)據(jù)進(jìn)行檢查,防止數(shù)據(jù)的重復(fù)或者丟失。

4完善策略安全性制度