前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級保護(hù)規(guī)定主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:政務(wù)外網(wǎng) 等級保護(hù) 定級 網(wǎng)絡(luò)安全
為貫徹落實(shí)公安部、國家保密局、國家密碼管理局、原國務(wù)院信息化工作辦公室于2007年7月26日聯(lián)合下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》(公信安[2007]861號),國家電子政務(wù)外網(wǎng)工程建設(shè)辦公室(以下簡稱“外網(wǎng)工程辦”)在2007年11月啟動了中央級政務(wù)外網(wǎng)定級專項(xiàng)工作,成立了等級保護(hù)定級工作組,根據(jù)政務(wù)外網(wǎng)的實(shí)際情況和特點(diǎn),經(jīng)過多輪內(nèi)部討論和征求專家意見后,基本完成了政務(wù)外網(wǎng)安全等級保護(hù)定級工作,為后續(xù)備案和全面開展、實(shí)施等級保護(hù)整改和測評工作奠定了堅(jiān)實(shí)基礎(chǔ)。
一、周密部署,精心組織
為有效貫徹落實(shí)國家信息安全等級保護(hù)制度,在總結(jié)基礎(chǔ)調(diào)查和試點(diǎn)工作的基礎(chǔ)上,根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》等相關(guān)規(guī)定,2007年11月13日,電子政務(wù)外網(wǎng)工程辦召開等級保護(hù)工作啟動會,正式啟動國家電子政務(wù)外網(wǎng)安全等級保護(hù)定級工作。
為確保信息系統(tǒng)等級保護(hù)工作順利進(jìn)行,外網(wǎng)工程辦領(lǐng)導(dǎo)高度重視,專門成立了由各主要業(yè)務(wù)部門負(fù)責(zé)人為成員的等級保護(hù)工作小組,全面負(fù)責(zé)工作的規(guī)劃、協(xié)調(diào)和指導(dǎo),確定了外網(wǎng)工程辦安全組為等級保護(hù)工作的牽頭部門,各部門分工協(xié)作。同時(shí),為確保系統(tǒng)劃分和定級工作的準(zhǔn)確性和合理性,2007年11月22日外網(wǎng)工程辦專門邀請專家,對定級工作進(jìn)行專項(xiàng)指導(dǎo)。
為統(tǒng)一思想,提高認(rèn)識,通過召開等級保護(hù)專題會議等形式,深入學(xué)習(xí)《信息安全等級保護(hù)管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》等文件精神,使相關(guān)人員充分認(rèn)識和領(lǐng)會了開展信息安全等級保護(hù)工作的重要性,進(jìn)一步認(rèn)識到實(shí)施信息安全等級保護(hù)不僅是信息安全管理規(guī)范化、標(biāo)準(zhǔn)化、科學(xué)化的需要,也是提高政務(wù)外網(wǎng)安全保障能力與服務(wù)水平的重要途徑,是追求自身發(fā)展與落實(shí)社會責(zé)任相一致的現(xiàn)實(shí)需要與客觀要求,從而增強(qiáng)了開展此項(xiàng)工作的主動性和自覺性。
二、積極做好定級各項(xiàng)工作
信息安全等級保護(hù)工作政策性強(qiáng)、技術(shù)要求高,時(shí)間又非常緊迫,為此,政務(wù)外網(wǎng)工程辦從三方面抓好定級報(bào)備前期準(zhǔn)備工作:一是積極參加公安部組織的等級保護(hù)培訓(xùn),領(lǐng)會與理解開展信息安全等級保護(hù)工作的目的、意義與技術(shù)要求,系統(tǒng)地掌握信息安全等級保護(hù)的基礎(chǔ)知識、實(shí)施過程、定級方法步驟和備案流程等。二是多次組織人員開展內(nèi)部討論和交流,使人員較全面地了解等級保護(hù)的意義、基礎(chǔ)知識和定級方法。三是開展工程辦各組的業(yè)務(wù)應(yīng)用摸底調(diào)查,摸清系統(tǒng)的系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)類型和應(yīng)用范圍,并匯總整理了政務(wù)外網(wǎng)各組成域的相關(guān)概況。
三、科學(xué)準(zhǔn)確定級
在開展政務(wù)外網(wǎng)定級工作的過程中突出重點(diǎn),全面分析政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺的特點(diǎn),力求準(zhǔn)確劃定定級范圍和定級對象。在此基礎(chǔ)上,依據(jù)《信息安全等級保護(hù)管理辦法》,確定政務(wù)外網(wǎng)各組成子系統(tǒng)(網(wǎng)絡(luò)域)的安全保護(hù)等級。
劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》,外網(wǎng)工程辦多次組織技術(shù)和業(yè)務(wù)骨干召開專題會議討論信息系統(tǒng)劃分問題,提出了較為科學(xué)合理的信息系統(tǒng)劃分方案。
初步確定了信息系統(tǒng)等級。根據(jù)系統(tǒng)劃分結(jié)果,組織各業(yè)務(wù)部門參與并初步確定了各系統(tǒng)等級,完成了自定級報(bào)告的起草。
組織專家自評把關(guān)。根據(jù)等級保護(hù)評審的標(biāo)準(zhǔn)與要求,專家們對信息系統(tǒng)劃分和定級報(bào)告進(jìn)行內(nèi)部評審,并給出了內(nèi)部評審意見。根據(jù)專家意見重新修改并整理了等級保護(hù)定級報(bào)告及其相關(guān)材料。
此外,在定級過程中,外網(wǎng)工程辦積極與公安部等級保護(hù)主管部門進(jìn)行溝通,并經(jīng)由相關(guān)專家確認(rèn)定級對象與等級保護(hù)方案后,整理好了所有定級材料,準(zhǔn)備下一步的正式評審。
四、定級對象和結(jié)果
根據(jù)政務(wù)外網(wǎng)作為基礎(chǔ)網(wǎng)絡(luò)平臺的特性,以及其接入系統(tǒng)的不同業(yè)務(wù)類型,政務(wù)外網(wǎng)按管理邊界劃分為中央政務(wù)外網(wǎng)、地方政務(wù)外網(wǎng)兩類管理域。中央政務(wù)外網(wǎng)按業(yè)務(wù)邊界劃分功能區(qū),即公用網(wǎng)絡(luò)平臺區(qū)、專用VPN網(wǎng)絡(luò)區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū),在各功能區(qū)內(nèi)又根據(jù)業(yè)務(wù)類型和系統(tǒng)服務(wù)的不同,確定了多個(gè)業(yè)務(wù)系統(tǒng),主要有安全管理系統(tǒng)、應(yīng)用平臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個(gè)系統(tǒng)作為本次等級保護(hù)定級工作的定
級對象,分別予以定級(確定等級結(jié)果如表1所示)。
作者簡介:
羅海寧,1980年生,男,漢族,工程師,在職碩士,專業(yè)方向:網(wǎng)絡(luò)與信息安全。
郭紅,1966年生,女,漢族,高級工程師,在職碩士,專業(yè)方向:網(wǎng)絡(luò)安全。
關(guān)鍵詞:堡壘主機(jī);內(nèi)控管理;運(yùn)維審計(jì);實(shí)踐案例
中圖分類號: TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2015)05(c)-0000-00
近年來,筆者所在民航系統(tǒng)內(nèi)的信息化水平正在逐步從初級應(yīng)用階段發(fā)展至高級應(yīng)用階段,而伴隨著這個(gè)過程產(chǎn)生的信息化應(yīng)用與信息安全管理的矛盾也愈發(fā)突出[1]。筆者所在單位近年來在局域網(wǎng)內(nèi)先后部署了多項(xiàng)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)分析產(chǎn)品,已經(jīng)形成了較為完善的信息安全防護(hù)體系,主要技術(shù)人員也積累了運(yùn)維經(jīng)驗(yàn)。但信息系統(tǒng)故障等網(wǎng)絡(luò)安全問題仍然時(shí)有發(fā)生。通過分析故障產(chǎn)生的原因,發(fā)現(xiàn)大部分違規(guī)行為竟然來源于一些合法用戶的例行操作。傳統(tǒng)意義的安全防護(hù)系統(tǒng)可以從技術(shù)角度解決一些潛在的安全問題,但對于內(nèi)部人員操作的管理手段不完善帶來的數(shù)據(jù)破壞和泄露可能比技術(shù)原因造成的損害更為嚴(yán)重。
國家公安部《信息系統(tǒng)安全等級保護(hù)基本要求》中明確規(guī)定了二級(含)以上的重要信息系統(tǒng)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全都需要具備安全審計(jì)功能[2],所以,根據(jù)等級保護(hù)要求以及本單位的實(shí)際情況,我們迫切需要一種有效的手段來對內(nèi)部人員的設(shè)備維護(hù)行為進(jìn)行控制和審計(jì),解決信息安全管理中遇到的難題。難題具體體現(xiàn)在:運(yùn)維權(quán)限分配復(fù)雜、系統(tǒng)密碼管理不足、操作風(fēng)險(xiǎn)難以控制、共享賬號安全隱患、系統(tǒng)資源授權(quán)不清晰、訪問控制策略不嚴(yán)格、重要操作無法有效審計(jì)等。而以上這些信息安全問題,通過引入內(nèi)控堡壘主機(jī)并結(jié)合管理措施之后基本得到了有效解決。
1 內(nèi)控堡壘主機(jī)介紹
1.1 什么是內(nèi)控堡壘主機(jī)?
最早的堡壘主機(jī)主要定位于防御外部進(jìn)攻[3]。通過將其部署在防火墻或路由器之外,可以使那些需要面向外部的服務(wù)集中于堡壘主機(jī)上進(jìn)行集中保護(hù),以此來換取內(nèi)部網(wǎng)絡(luò)的安全。
而隨著信息化應(yīng)用的日趨復(fù)雜,由被動防御型的堡壘主機(jī)發(fā)展出來了更加偏重于對內(nèi)部網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)進(jìn)行綜合安全保護(hù)的管理控制平臺,也就是我們所說的內(nèi)控堡壘主機(jī)。它從網(wǎng)絡(luò)內(nèi)部出發(fā),通過多種信息安全技術(shù)(訪問控制、身份認(rèn)證、虛擬化、協(xié)議、操作審計(jì)等)實(shí)現(xiàn)用戶對內(nèi)部網(wǎng)絡(luò)資源的安全訪問,同時(shí)對用戶的操作過程形成完整的審計(jì)記錄。這樣的內(nèi)控平臺正可以有效地解決我們在日常運(yùn)維和內(nèi)控管理中遇到的難題。
1.2 功能特點(diǎn)
1.2.1 設(shè)備的集中管控
內(nèi)控堡壘主機(jī)可以將服務(wù)器和網(wǎng)絡(luò)設(shè)備的信息,以及用戶信息和訪問權(quán)限提前配置在堡壘主機(jī)中,這樣便從傳統(tǒng)的分布式管理模式轉(zhuǎn)變成可控的集中式管理模式,以此為基礎(chǔ)帶來了設(shè)備管理效率和安全穩(wěn)定性的提升。
1.2.2 操作的集中審計(jì)
內(nèi)控堡壘主機(jī)通過協(xié)議的方式,將原來從某臺內(nèi)網(wǎng)終端直接通過遠(yuǎn)程連接對網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行操作的不可控的分散管理方式,轉(zhuǎn)變成為了用戶必須集中至堡壘主機(jī)的統(tǒng)一入口再對有授權(quán)的設(shè)備進(jìn)行操作。而全部操作都通過協(xié)議錄制得到記錄,實(shí)現(xiàn)了精細(xì)化的集中操作審計(jì)。
總之,內(nèi)控堡壘主機(jī)結(jié)合了傳統(tǒng)的4A 理念,即賬號管理、認(rèn)證管理、授權(quán)管理、安全審計(jì),與應(yīng)用技術(shù),形成了一個(gè)完善且可控的遠(yuǎn)程接入解決方案。一方面,統(tǒng)一身份認(rèn)證和統(tǒng)一訪問授權(quán)使得遠(yuǎn)程接入用戶需要通過多種身份認(rèn)證手段以及基于角色的授權(quán)管理才可以接入設(shè)備,滿足了信息安全等級保護(hù)的要求;另一方面,全面的審計(jì)功能讓管理員不但可以完整錄制會話過程,還可以實(shí)時(shí)監(jiān)視遠(yuǎn)程訪問會話并及時(shí)終止非法操作。
2 制定解決方案
2.1 信息安全等級保護(hù)要求
根據(jù)信息安全等級保護(hù)第三級[4]的相關(guān)要求制定內(nèi)控堡壘主機(jī)的解決方案,可以滿足在要求中涉及到的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)五項(xiàng)技術(shù)方面的要求,以及安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)運(yùn)維管理三項(xiàng)管理方面的要求。根據(jù)要求中的內(nèi)容以及內(nèi)控堡壘主機(jī)針對每一項(xiàng)提供的解決方案,整理如下表1。
2.2 設(shè)計(jì)原則
2.2.1 整體安全和全網(wǎng)統(tǒng)一的原則
資源訪問的安全設(shè)計(jì)需要綜合考慮信息網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)和全部實(shí)體,然后在不同層次上綜合使用多種安全手段,為內(nèi)部信息網(wǎng)絡(luò)和安全業(yè)務(wù)提供管理和服務(wù)。
2.2.2 標(biāo)準(zhǔn)化原則
項(xiàng)目的安全體系設(shè)計(jì)嚴(yán)格遵循了國家標(biāo)準(zhǔn),如《信息系統(tǒng)安全等級保護(hù)基本要求》。在達(dá)到標(biāo)準(zhǔn)要求的同時(shí)能夠使企業(yè)內(nèi)部的信息系統(tǒng)在可控范圍內(nèi)實(shí)現(xiàn)安全的互聯(lián)互通。
2.2.3 需求、風(fēng)險(xiǎn)、成本平衡原則
任何信息系統(tǒng)都無法做到絕對安全,所以設(shè)計(jì)時(shí)就需要明確性能要求以及側(cè)重點(diǎn),然后從需求出發(fā),在功能、風(fēng)險(xiǎn)和成本之間進(jìn)行平衡和折中[5]。
2.2.4 實(shí)用、高效、可擴(kuò)展原則
無論現(xiàn)狀如何,隨著技術(shù)發(fā)展信息系統(tǒng)仍將不斷變化,哪怕在系統(tǒng)實(shí)施過程中,系統(tǒng)的結(jié)構(gòu)、配置也會發(fā)生變化。所以系統(tǒng)需要有一定的靈活性來適應(yīng)這些變化,使其符合“有層次、成體系”的標(biāo)準(zhǔn),既有利于系統(tǒng)安全,又有利于擴(kuò)展。
2.2.5 技術(shù)、管理相結(jié)合原則
為了使內(nèi)控堡壘主機(jī)可以發(fā)揮其應(yīng)有的效果,管理者必須首先根據(jù)系統(tǒng)的功能特點(diǎn)來重新梳理和完善現(xiàn)有的運(yùn)行管理機(jī)制和安全規(guī)章制度,同時(shí)對技術(shù)人員進(jìn)行思想教育和技術(shù)培訓(xùn)。通過合理的規(guī)定和具體培訓(xùn),才能完成系統(tǒng)的應(yīng)用。
2.3 設(shè)計(jì)思路
2.3.1 集中管理模式
管理模式?jīng)Q定了管理的高度,所以明確管理模式應(yīng)當(dāng)是我們要確定首要因素。根據(jù)多年的運(yùn)維實(shí)踐發(fā)現(xiàn),我們對維護(hù)人員及其操作的管理手段并未伴隨著信息化進(jìn)程的推進(jìn)而得到加強(qiáng),這樣導(dǎo)致了人為因素造成的運(yùn)行故障比例居高不下,缺少有效的審計(jì)手段。因此迫使我們必須由分散的管理模式轉(zhuǎn)變?yōu)榧械墓芾砟J?。集中管理是運(yùn)維管理思想的必然發(fā)展趨勢和唯一選擇[6]。通常,集中管理包括:集中的資源訪問入口、集中的賬號管理、集中的授權(quán)管理、集中的認(rèn)證管理、集中的審計(jì)管理等等。
2.3.2 訪問協(xié)議
內(nèi)控堡壘主機(jī)通過對各平臺所使用的協(xié)議進(jìn)行來實(shí)現(xiàn)對操作行為的審計(jì)和監(jiān)控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平臺上的訪問協(xié)議。
2.3.3 身份授權(quán)分離
為避免傳統(tǒng)方式的共享賬號、弱口令賬號等問題導(dǎo)致的安全漏洞,我們的解決思路是將身份和授權(quán)分離。首先建立用于身份認(rèn)證的獨(dú)立賬號體系,然后保留各系統(tǒng)賬號但使其由堡壘主機(jī)接管并定期更新密碼,使得被管理設(shè)備本身的系統(tǒng)賬號僅用于系統(tǒng)授權(quán)而剝離其身份認(rèn)證功能,有效增強(qiáng)了身份認(rèn)證和系統(tǒng)授權(quán)的可靠性。
2.4 系統(tǒng)構(gòu)架
我們部署的內(nèi)控堡壘主機(jī)由展現(xiàn)層、核心服務(wù)層、接口管理層三層結(jié)構(gòu)組成。
展現(xiàn)層面向用戶,集成了多種包括匙扣令牌在內(nèi)的強(qiáng)身份認(rèn)證方式,分別對系統(tǒng)管理員和運(yùn)維用戶提供不同的訪問操作頁面。
核心服務(wù)層面向授權(quán)和協(xié)議,部署在服務(wù)器上。在核心服務(wù)層上完成賬號管理、授權(quán)管理及策略設(shè)置等操作。其中的協(xié)議包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務(wù),所以具備對用戶行為進(jìn)行監(jiān)視、控制和記錄的功能。
接口管理層面向個(gè)信息系統(tǒng),用于實(shí)現(xiàn)審計(jì)結(jié)合、賬號同步、認(rèn)證結(jié)合等方面的數(shù)據(jù)接口工作。另外它還包含應(yīng)用服務(wù),以此來實(shí)現(xiàn)對B/S、C/S、半B/S半C/S系統(tǒng)的單點(diǎn)登錄及審計(jì)工作。
3 內(nèi)控堡壘主機(jī)的實(shí)施
系統(tǒng)的實(shí)施過程中,我們將堡壘主機(jī)及其應(yīng)用服務(wù)器的部署位置單獨(dú)剝離開劃分為管理區(qū),把內(nèi)部網(wǎng)絡(luò)的其他設(shè)備如服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等等劃分為業(yè)務(wù)區(qū)。在內(nèi)控堡壘主機(jī)部署上架后,運(yùn)維人員將集中通過內(nèi)控堡壘主機(jī)對業(yè)務(wù)區(qū)的目標(biāo)設(shè)備進(jìn)行日常運(yùn)維操作。
設(shè)備上架后,我們需要通過防火墻策略配置解除客戶端到堡壘主機(jī)及堡壘主機(jī)到目標(biāo)服務(wù)器的端口限制。這樣當(dāng)用戶訪問設(shè)備時(shí),堡壘主機(jī)才可以完成對TELNET(端口23)、SSH(端口22)、RDP(端口3389)等協(xié)議的訪問具體設(shè)備,并在堡壘主機(jī)上完成對設(shè)備的單點(diǎn)登錄及會話的完整審計(jì)。
4 結(jié)語
在信息化水平快速發(fā)展的今天,技術(shù)發(fā)展與管理模式相輔相成。信息安全不僅需要先進(jìn)的設(shè)備和嫻熟的技術(shù),更需要完善的制度和審計(jì)手段。內(nèi)控堡壘主機(jī)的實(shí)施切實(shí)有效地規(guī)范了內(nèi)外部維護(hù)人員對IT基礎(chǔ)設(shè)施的維護(hù)行為,彌補(bǔ)了操作審計(jì)空白。它通過集中管理的模式,借助于協(xié)議、身份授權(quán)分離等技術(shù),極大地減少了維護(hù)人員誤操作或惡意操作的概率,縮短了故障定位時(shí)間。這次內(nèi)控堡壘主機(jī)的實(shí)施完善了筆者所在單位的信息安全保護(hù)體系,將有助于提高信息系統(tǒng)運(yùn)行的安全性和穩(wěn)定性。
參考文獻(xiàn):
[1]潘玉. 新一代堡壘主機(jī)[J]. 信息安全與通信保密,2011,05:45.
[2]韓榮杰,于曉誼. 基于堡壘主機(jī)概念的運(yùn)維審計(jì)系統(tǒng)[J]. 信息化建設(shè),2012,01:56-59.
[3]趙瑞霞,王會平. 構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010,08:26-27.
[4] 公安部信息安全等級保護(hù)評估中心. GB/T 22239-2008, 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[S]. 北京:中國標(biāo)準(zhǔn)出版社,2008.
[5]韓海航,王久輝. 大型交通網(wǎng)絡(luò)系統(tǒng)安全保障體系研究[J]. 計(jì)算機(jī)安全,2007,10:77-80.
[6]吳國良. 面向NGB的網(wǎng)絡(luò)與信息管控建設(shè)[J]. 廣播與電視技術(shù),2013,10:28+30-33.
[7]陳旭. IT運(yùn)維操作管理有效降低企業(yè)風(fēng)險(xiǎn)[J]. 高科技與產(chǎn)業(yè)化,2010,05:116-119.
1、硬件故障
在企業(yè)的信息化系統(tǒng)中,計(jì)算機(jī)作為一種系統(tǒng)的輔助工具,其由很多部件組成,這些部件之間,分工協(xié)作,緊密相連,構(gòu)成了整個(gè)信息化系統(tǒng)。因此,如果計(jì)算機(jī)出現(xiàn)故障,進(jìn)而可能導(dǎo)致整個(gè)系統(tǒng)無法正常工作。計(jì)算機(jī)中部件的損壞,大多數(shù)都是網(wǎng)絡(luò)連接不當(dāng)和線路的物理損壞引起的,這些問題都具有不可預(yù)知性。計(jì)算機(jī)的硬件問題,還包括企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的各個(gè)終端的機(jī)房的問題。機(jī)房作為企業(yè)的信息化系統(tǒng)的重要組成部分,掌握著企業(yè)的信息流動和信息的安全,如果機(jī)房中計(jì)算機(jī)出現(xiàn)了故障和損傷,就會導(dǎo)致企業(yè)信息化系統(tǒng)的安全受到巨大威脅,甚至?xí)?dǎo)致信息化系統(tǒng)的崩潰。因此,機(jī)房的安全管理和維護(hù),是計(jì)算機(jī)硬件方面一個(gè)重要的問題。
2、外部威脅
所謂的外部威脅,是指來自外部的惡意入侵和攻擊。最為常見的外部威脅是黑客的入侵和計(jì)算機(jī)病毒。在企業(yè)的信息化系統(tǒng)中,各個(gè)信息單元都是相互信任的,系統(tǒng)的防御能力較為薄弱,一旦有黑客入侵或者感染計(jì)算機(jī)病毒,就可能導(dǎo)致整個(gè)系統(tǒng)的故障。這是由于防御意識的薄弱和防御能力低下所造成的風(fēng)險(xiǎn)。此外,由于系統(tǒng)設(shè)計(jì)本身有可能存在很多的漏洞,其中的應(yīng)用程序也會有很多的漏洞。此外,當(dāng)今黑客攻擊的方式和方法已經(jīng)越來越先進(jìn),也呈現(xiàn)出多樣化的形式,越來越強(qiáng)大的黑客攻擊技術(shù)讓計(jì)算機(jī)防御變得更加艱難。這些來自外部的威脅是影響計(jì)算機(jī)網(wǎng)絡(luò)安全的最為重大的因素。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全的應(yīng)對措施
要應(yīng)對計(jì)算機(jī)網(wǎng)絡(luò)安全方面的威脅,可以從兩個(gè)方面來采取措施:技術(shù)方面和管理方面。從技術(shù)方面去應(yīng)對計(jì)算機(jī)網(wǎng)絡(luò)安全威脅,可以細(xì)分為幾個(gè)方向:一個(gè)是設(shè)置防火墻;另一個(gè)是設(shè)置相關(guān)的檢測手段;第三個(gè)可以從物理隔離方面阻斷病毒的傳播。設(shè)置防火墻,是企業(yè)信息化系統(tǒng)中防御外來威脅最為常用的手段,防火墻可以對外部訪問的尺度進(jìn)行控制,對那些不在規(guī)定范圍或者異常的訪問者進(jìn)行阻擋,只允許在規(guī)定范圍之內(nèi)的或者正常的訪問者對相關(guān)數(shù)據(jù)進(jìn)行訪問。這樣可以讓那些惡意訪問者被阻擋在系統(tǒng)之外。另外,在企業(yè)的信息化系統(tǒng)中一些重要部位設(shè)置一些檢測工具,也可以有效抵御外部威脅。一旦這些檢測工具發(fā)現(xiàn)有異常行為,它們就會發(fā)出警報(bào),這種檢測工具不但能夠防御外部的威脅,對于來自系統(tǒng)內(nèi)部的攻擊也能夠進(jìn)行檢測和防御,彌補(bǔ)了防火墻功能上的不足,提升了企業(yè)信息化系統(tǒng)的防御能力。另外,使用物理隔離手段也能夠阻斷黑客攻擊和病毒入侵。物理隔離手段,是將企業(yè)內(nèi)網(wǎng)和進(jìn)行隔離,這種手段能夠完全阻斷內(nèi)網(wǎng)和外網(wǎng)之間的信息傳遞,其防御能力比防火墻和檢查工具要強(qiáng),當(dāng)然它的弱點(diǎn)也非常明顯,就是在阻斷黑客攻擊和病毒傳播的同時(shí),也讓內(nèi)網(wǎng)無法與外網(wǎng)進(jìn)行有效地信息傳遞。物理隔離方法要將系統(tǒng)中不需要使用的端口進(jìn)行關(guān)閉,同時(shí),使用系統(tǒng)殺毒軟件對系統(tǒng)進(jìn)行掃描,對病毒進(jìn)行查殺,對于系統(tǒng)中存在的漏洞進(jìn)行修補(bǔ),實(shí)時(shí)保護(hù)系統(tǒng)的安全,保證系統(tǒng)能夠正常運(yùn)行。對于接入系統(tǒng)的移動設(shè)備,如果這些移動設(shè)備沒有通過安全認(rèn)證,將會對這些設(shè)備進(jìn)行嚴(yán)密監(jiān)控,一旦設(shè)備中的某些應(yīng)用程序行為異常,就會對這些設(shè)備進(jìn)行隔離,從而從外到內(nèi)全面保護(hù)系統(tǒng)的安全。除以上提到的一些技術(shù)方面的防御手段之外,還可以研發(fā)安全級別更高的信息化系統(tǒng)。要在人機(jī)交互界面更加友好、操作更加人性化和安全性能更高等方面下功夫,做到信息化系統(tǒng)的硬件和軟件的完美結(jié)合。要有效抵御計(jì)算機(jī)網(wǎng)絡(luò)安全威脅,僅從技術(shù)方面著手是不夠的,還需要在管理方面做文章。要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的管理,一方面要完善相關(guān)的法律法規(guī);另一方面也要規(guī)范各種操作,加強(qiáng)人員操作技能的培訓(xùn)。要建立一個(gè)安全管理的機(jī)構(gòu),建立健全各項(xiàng)法律法規(guī),同時(shí)加強(qiáng)執(zhí)法,對計(jì)算機(jī)用戶進(jìn)行安全方面的培訓(xùn)和教育,普及與計(jì)算機(jī)相關(guān)的法律知識,讓計(jì)算機(jī)用戶接受計(jì)算機(jī)安全法、犯罪法的教育,提高他們的安全意識和道德意識,防止計(jì)算機(jī)犯罪行為的發(fā)生。此外,還應(yīng)該對企業(yè)信息化系統(tǒng)涉及的相關(guān)機(jī)房、設(shè)備進(jìn)行有效管理。不但要加強(qiáng)管理人員和操作人員專業(yè)技能的培訓(xùn),還需要建立一套行之有效的管理手段,對機(jī)房、設(shè)備進(jìn)行嚴(yán)格管理,保證機(jī)房、設(shè)備和數(shù)據(jù)的安全,從而保證整個(gè)系統(tǒng)不受損害。
三、計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系的建立
要從根本上解決企業(yè)信息化系統(tǒng)所面臨的網(wǎng)絡(luò)安全問題,就必須建立一套良好的計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系,這個(gè)防御體系不能片面強(qiáng)調(diào)某一個(gè)方面,而是應(yīng)該站在全局的角度,全面的看待問題,對整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控,保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。自從全球進(jìn)入信息化時(shí)代以來,企業(yè)的信息化也在不斷的變革和發(fā)展,從企業(yè)信息化發(fā)展的大趨勢來看,建立一套行之有效的計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系是必不可少的。企業(yè)要實(shí)現(xiàn)現(xiàn)代化管理,就必須采用信息化管理系統(tǒng),因此,必須建立完善的安全防御體系,全面監(jiān)控整個(gè)信息化系統(tǒng)的運(yùn)作,避免安全隱患的產(chǎn)生。要建立一套切實(shí)可行的計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系,必須結(jié)合企業(yè)的實(shí)際情況。第一,企業(yè)信息化系統(tǒng)中的各個(gè)網(wǎng)絡(luò)單元要做到相互隔離,只有這樣,才不會出現(xiàn)一個(gè)網(wǎng)絡(luò)單元感染病毒或者遭受黑客攻擊而影響其他網(wǎng)絡(luò)單元,將安全威脅降到了最低。第二,在建立網(wǎng)絡(luò)安全防御系統(tǒng)時(shí),要對企業(yè)的相關(guān)信息設(shè)置一個(gè)安全等級,對于不同的信息要設(shè)置不同的安全等級,機(jī)密信息要設(shè)置為最高等級,重要信息可以設(shè)置為第二高的等級,目的是為了讓不同的信息存在不同的使用權(quán)限,有效防止信息的泄露。第三,在建立網(wǎng)絡(luò)安全防御系統(tǒng)時(shí),要將防火墻、檢測工具和物理隔離結(jié)合使用,全方位的保護(hù)系統(tǒng)免受侵害。第四,對于企業(yè)內(nèi)部進(jìn)行的信息溝通和交流,要建立相關(guān)規(guī)章制度,不但要對信息流量進(jìn)行控制,還要對信息傳遞內(nèi)容進(jìn)行監(jiān)控,保證信息溝通的順暢和安全。第五,在企業(yè)信息化系統(tǒng)中,只有經(jīng)過授權(quán)和認(rèn)證的訪問者和信息,才能在系統(tǒng)中正常的訪問和運(yùn)行??傊⒁惶装踩煽康钠髽I(yè)信息化管理系統(tǒng)來幫助企業(yè)進(jìn)行信息化管理,不但要在軟件和硬件方面加強(qiáng)管理,還需建立相關(guān)網(wǎng)絡(luò)安全防御體系,操作方法也應(yīng)嚴(yán)格按照要求來進(jìn)行,將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行有效隔離,設(shè)置相關(guān)的權(quán)限和安全等級,將先進(jìn)的網(wǎng)絡(luò)防御技術(shù)引入到體系中來,從而全面提升企業(yè)信息化系統(tǒng)的安全等級。
四、結(jié)語
隨著媒體融合的發(fā)展,新媒體和傳統(tǒng)媒體在經(jīng)營渠道和內(nèi)容管理方面已經(jīng)進(jìn)一步深入融合起來,在傳播模式方面,向多終端、交互式的傳播方式轉(zhuǎn)變,在運(yùn)營模式方面,跨媒體、跨區(qū)域、跨行業(yè)的合作運(yùn)營成為趨勢。如此多的融合發(fā)展導(dǎo)致了傳統(tǒng)廣電行業(yè)也面臨了信息安全問題。因此,對我們來說,網(wǎng)絡(luò)安全的研究和網(wǎng)絡(luò)安全技術(shù)的應(yīng)用,是必須加以重視和認(rèn)真貫徹執(zhí)行的。廣電網(wǎng)絡(luò)安全中最核心的莫過于安全播出。在有線電視網(wǎng)或者互聯(lián)網(wǎng)中向觀眾播出內(nèi)容健康、導(dǎo)向正確的節(jié)目,并且保證信號不中斷,內(nèi)容不被篡改,節(jié)目質(zhì)量良好,保證所有的用戶都能觀看正常的電視節(jié)目,是安全播出的重要條件。由于廣電的政治屬性,所以廣電的播出安全不僅是廣電的問題,還涉及到社會公共安全問題。
2關(guān)于廣播電視播控系統(tǒng)網(wǎng)絡(luò)安全方面的法律法規(guī)和行業(yè)等保規(guī)范
廣播電視播控系統(tǒng)是廣播電視信息系統(tǒng)中最核心的部分,因?yàn)樗休d了安全播出大部分的工作。根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》中的要求,我臺廣播電視播控系統(tǒng)的安全保護(hù)等級是三級。在《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》(簡稱《基本要求》)中,明確規(guī)定了安全保護(hù)等級三級的廣電播控系統(tǒng)的網(wǎng)絡(luò)安全工作要求。《基本要求》中指出,各播出單位要建立縱深防御體系,采取互補(bǔ)的防御措施,進(jìn)行集中的安全管理。安全保護(hù)等級三級及以上的信息安全系統(tǒng)要求建立有統(tǒng)一的安全策略、統(tǒng)一的安全管理制度下的安全管理中心,它負(fù)責(zé)管理信息系統(tǒng)中的各個(gè)安全控制組件(即基本防護(hù)要求)的連接、交互、協(xié)調(diào)、協(xié)同工作,使之提高整體的網(wǎng)絡(luò)安全防護(hù)水平。播控系統(tǒng)位于縱深防御體系的最內(nèi)層,電視播控系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)文/馬文麗本文通過對我臺電視播控系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀的分析,結(jié)合廣播電視信息安全等級保護(hù)工作的要求,提出使用入防火墻、入侵檢測、審計(jì)服務(wù)器等技術(shù)措施,登錄訪問控制、數(shù)據(jù)安全管理等管理措施,更好的保證廣播電視網(wǎng)絡(luò)安全。摘要網(wǎng)絡(luò)防御措施級別要求相對較高,安全管理中心應(yīng)將與播控有聯(lián)系的各個(gè)部門網(wǎng)絡(luò)邊界的安全策略,提升到播控系統(tǒng)的安全等級。以保證播控系統(tǒng)的網(wǎng)絡(luò)安全?!痘疽蟆分刑岢隽藦奈锢砩?、技術(shù)上、管理上,三個(gè)方面出發(fā)采取由點(diǎn)到面的各種安全措施,其中包括結(jié)構(gòu)安全、邊界安全、終端系統(tǒng)安全、服務(wù)器端系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)備份與恢復(fù)六個(gè)具體方面,保證信息系統(tǒng)的整體安全防護(hù)能力。
3技術(shù)措施
基于《基本要求》提出的具體安全防御措施,結(jié)合我臺播控系統(tǒng)的網(wǎng)絡(luò)現(xiàn)狀,本文以山西衛(wèi)視高清頻道網(wǎng)絡(luò)為例(網(wǎng)絡(luò)拓?fù)鋱D見圖1),提出使用防火墻、入侵檢測和審計(jì)服務(wù)器相結(jié)合的技術(shù)措施,能有效的防范來自于廣電傳輸網(wǎng)OTN中的威脅源所帶來的損害,進(jìn)而能保證播控系統(tǒng)的邊界安全,與外網(wǎng)的數(shù)據(jù)交換安全。
3.1防火墻
防火墻是設(shè)置在被保護(hù)內(nèi)網(wǎng)和外網(wǎng)之間的一道屏障,它可以控制被保護(hù)網(wǎng)絡(luò)的非法訪問,檢查網(wǎng)絡(luò)入口點(diǎn)信息交換,根據(jù)設(shè)定的安全規(guī)則,對通過防火墻的數(shù)據(jù)進(jìn)行監(jiān)測、限制和修改,過濾掉特定網(wǎng)絡(luò)攻擊和不明站點(diǎn)的訪問。防火墻可以提供對系統(tǒng)的訪問控制,僅允許外網(wǎng)訪問某些內(nèi)網(wǎng)主機(jī)和某些端口及服務(wù);它可以過濾不安全的服務(wù),僅允許HTTP、FTP、TELNET、SSH等信息系統(tǒng)使用的協(xié)議通過;它可以設(shè)置IP與MAC地址綁定策略,綁定后只有特定地址的網(wǎng)絡(luò)主機(jī)才能訪問防火墻,有效防止網(wǎng)絡(luò)地址欺騙;它可以使用有效的數(shù)字證書來區(qū)分網(wǎng)絡(luò)用戶,并可以給予不同級別用戶不同的訪問權(quán)限;它可以提供對流量的識別和控制功能,限制網(wǎng)絡(luò)連接的數(shù)量以保證重要業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。
3.2入侵檢測
入侵檢測通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測可以監(jiān)視、分析網(wǎng)絡(luò)及用戶的活動,審計(jì)用戶和網(wǎng)絡(luò)中的異常模式進(jìn)行統(tǒng)計(jì)分析,識別已知的網(wǎng)絡(luò)攻擊活動模式并向用戶報(bào)警;當(dāng)一個(gè)入侵正在發(fā)生或試圖發(fā)生時(shí),入侵檢測系統(tǒng)會立即記錄并向用戶發(fā)動預(yù)警,而且它還能自動抵御這些攻擊,如切斷網(wǎng)絡(luò)連接或者配置防火墻使之能拒絕這些地址的連接;它可以對重要程序進(jìn)行完整性分析,一旦這個(gè)程序被攻擊,立即從備份文件中提取相應(yīng)的原始文件,恢復(fù)重要程序中被攻擊的部分,恢復(fù)程序原有功能。
3.3安全審計(jì)服務(wù)器
安全審計(jì)是指按照一定的安全策略,利用記錄、系統(tǒng)活動和用戶活動等信息,檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動,從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。在此基礎(chǔ)上使用審計(jì)服務(wù)器能實(shí)現(xiàn)日志的集中管理,各設(shè)備、服務(wù)器內(nèi)的安全事件收集,建立應(yīng)急預(yù)警體系。審計(jì)服務(wù)器可以收集和記錄各個(gè)系統(tǒng)、應(yīng)用和網(wǎng)絡(luò)活動的日志,完成事件的格式化和標(biāo)準(zhǔn)化工作;它可以集中長期存儲收集的日志,以及所有的管理配置信息,保證記錄的可靠性、安全性、完整性,同時(shí)還提供快速檢索和統(tǒng)計(jì)報(bào)表;它對收集的風(fēng)險(xiǎn)信息進(jìn)行定期分析和監(jiān)控,并提供資產(chǎn)分析、風(fēng)險(xiǎn)展示、事故響應(yīng)等功能;它提供C/S管理方式,安全管理中心可以實(shí)時(shí)監(jiān)控?cái)?shù)據(jù),并實(shí)施安全策略調(diào)整方案。審計(jì)服務(wù)器監(jiān)聽口不配置IP地址,使原有的網(wǎng)絡(luò)不發(fā)生改變,使部署變得更加靈活。綜上所述,使用防火墻、入侵檢測和審計(jì)服務(wù)器相結(jié)合的技術(shù)措施,能按照《基本要求》提出的安全策略進(jìn)行部署,滿足播控網(wǎng)絡(luò)的安全防護(hù)功能。
4管理措施
廣播電視播控網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程,不能單靠某些技術(shù)措施,還需要依靠全面的管理措施才能穩(wěn)固的提高播控網(wǎng)絡(luò)的安全?!痘疽蟆分羞€對網(wǎng)絡(luò)安全管理提出了更為全面的建議和要求。結(jié)合我臺網(wǎng)絡(luò)管理的現(xiàn)狀,本文提出了要加強(qiáng)登錄訪問控制和數(shù)據(jù)安全管理兩個(gè)方面的管理措施。
4.1登錄訪問控制
登錄訪問控制是指對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別。本文建議應(yīng)對播控系統(tǒng)的所有用戶(包括上載編單和系統(tǒng)管理員)都要實(shí)施單人單密碼制度,對所有登錄訪問的用戶名和密碼都要制定復(fù)雜度及定期更換制度;對關(guān)鍵設(shè)備的登錄操作要有兩人及以上系統(tǒng)管理員在場,并聯(lián)合操作;啟用系統(tǒng)或應(yīng)用中的登錄超時(shí)和登錄失敗功能,失敗后要求更高權(quán)限的系統(tǒng)管理員才能恢復(fù)登錄;實(shí)行業(yè)務(wù)和系統(tǒng)管理分散授權(quán)的制度,分離網(wǎng)絡(luò)安全風(fēng)險(xiǎn);制定統(tǒng)一的上載介質(zhì)制度,禁止使用U盤,關(guān)閉不必要的服務(wù)和端口,制定定期系統(tǒng)升級和病毒庫升級方案,系統(tǒng)漏洞補(bǔ)丁定期維護(hù)方案等,保證播控系統(tǒng)的網(wǎng)絡(luò)安全。
4.2數(shù)據(jù)安全管理
數(shù)據(jù)安全管理是指可以檢測數(shù)據(jù)的完整性,并及時(shí)進(jìn)行數(shù)據(jù)備份,在數(shù)據(jù)完整性遭到破壞時(shí)的數(shù)據(jù)恢復(fù)方案。本文建議使用備用機(jī)房對重要節(jié)目和業(yè)務(wù)信息進(jìn)行異地備份,并通過網(wǎng)絡(luò)實(shí)時(shí)傳輸,如果本地業(yè)務(wù)遭到攻擊或發(fā)生火災(zāi)等重大自然災(zāi)害,可以啟用備用機(jī)房應(yīng)急播出,保證播出安全。
5總結(jié)
廣播電視播控系統(tǒng)的網(wǎng)絡(luò)安全是廣播電視信息系統(tǒng)網(wǎng)絡(luò)安全的最重要一環(huán),我們要切實(shí)做好這方面的工作。通過技術(shù)和管理各項(xiàng)舉措,建立和完善播控系統(tǒng)的網(wǎng)絡(luò)安全規(guī)范。在網(wǎng)絡(luò)攻擊日新月異的現(xiàn)在,網(wǎng)絡(luò)安全防護(hù)體系不是一成不變的,網(wǎng)絡(luò)安全規(guī)范建立了也不是永恒不變的,是需要持續(xù)改進(jìn)的。這些技術(shù)和管理措施在運(yùn)行過程中需要定期進(jìn)行網(wǎng)絡(luò)安全評估,遇到不符合安全等級標(biāo)準(zhǔn)要求的就要立即整改。只要我們的網(wǎng)絡(luò)安全意識加強(qiáng)了,操作網(wǎng)絡(luò)設(shè)備時(shí)使用安全行為,把安全責(zé)任落實(shí)到位,與就能有效的保證網(wǎng)絡(luò)安全。
參考文獻(xiàn)
[1]張瑞芝.智能廣電大潮中信息安全工作的思考[J].廣播與電視技術(shù),2015.
[2]孫明美.防火墻技術(shù)研究[J].軟件,2013,34(7):119-120.
該文對供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析,并探討了可以針對性改進(jìn)的安全防護(hù)措施。首先對當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析,然后研究了在“自主定級,自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案,最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。
關(guān)鍵詞:
供水企業(yè)信息集成系統(tǒng);等級保護(hù);信息安全
供水行業(yè)對國計(jì)民生很重要的一個(gè)行業(yè),供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn),集中管理所有涉及運(yùn)營的相關(guān)數(shù)據(jù),針對供水企業(yè)運(yùn)行的特殊要求,進(jìn)行集中的規(guī)劃和架構(gòu),將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合,最終形成完整的供水企業(yè)綜合信息平臺。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。
隨著大數(shù)據(jù)時(shí)代的到來,網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出,對供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展,應(yīng)用中存在著大量的安全隱患,網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國Radicati公司于2015年3月的調(diào)查報(bào)告,截至2014年12月,網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升,計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級數(shù)增長。根據(jù)2015年的中國網(wǎng)絡(luò)安全分析報(bào)告,2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年,搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國各地都出現(xiàn)了長達(dá)25分鐘無法使用。2014年7月,某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊,造成在其公司注冊的13%的網(wǎng)站無法訪問,時(shí)間長達(dá)17個(gè)小時(shí),經(jīng)濟(jì)損失不可估量。因此,從信息安全的角度,要對供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù),降低信息安全事故的發(fā)生的概率,降低其危害,是本文需要研究的內(nèi)容。
1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問題
伴隨著科技的不斷發(fā)展,供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展,主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問,存在大量的安全隱患。目前,威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類:1)人為原因,如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級錯誤等。2)數(shù)據(jù)存儲位置位置的風(fēng)險(xiǎn)。可能由自然災(zāi)害引發(fā)的問題,缺乏數(shù)據(jù)備份和恢復(fù)能力。3)不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。
2有關(guān)分級防護(hù)的要求
尤其是供水企業(yè)信息集成系統(tǒng)中,存在大量涉及公民個(gè)人隱私的信息,也存在像生產(chǎn)調(diào)度這樣涉及國計(jì)民生的信息。因此,需要按照國家有關(guān)信息安全的法律法規(guī),明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)第十四條,信息系統(tǒng)建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。定級標(biāo)準(zhǔn)按照國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240—2008)實(shí)施,根據(jù)等級保護(hù)相關(guān)管理文件,信息系統(tǒng)的安全保護(hù)等級分為以下五級:第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種:1)造成一般損害;2)造成嚴(yán)重?fù)p害;3)造成特別嚴(yán)重?fù)p害。
3分別防護(hù)實(shí)施步驟
根據(jù)有關(guān)法律法規(guī),建設(shè)完成并投入使用的信息系統(tǒng),其有關(guān)使用此系統(tǒng)的單位需要對其系統(tǒng)的等級狀況做定期的測評。供水企業(yè)要遵照要求選擇具有資質(zhì)的測評機(jī)構(gòu)來對管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級保護(hù)的測評工作。其所得到的結(jié)果如下表1所示:通常情況下,供水企業(yè)信息系統(tǒng)中不會出現(xiàn)第四級和第五級的系統(tǒng)。根據(jù)測評結(jié)果,有必要對供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容:細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置;按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際,主要有等級包括三個(gè)業(yè)務(wù)區(qū)域,以及一個(gè)公共業(yè)務(wù)區(qū)和測評業(yè)務(wù)區(qū)。按照上述原則對供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級的系統(tǒng)服務(wù)器針對不同級別的信息安全區(qū)進(jìn)行設(shè)置。等級為一、二、三的業(yè)務(wù)區(qū)分別安裝著對應(yīng)的服務(wù)器,而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù),不需要進(jìn)行保護(hù)分級。測評業(yè)務(wù)區(qū)提供是投入正式使用前的測試服務(wù)器。
依據(jù)表1的測評結(jié)果,將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū),其主要業(yè)務(wù)系統(tǒng)對安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果,可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi),以此達(dá)到服務(wù)器分級防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界,也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對于不同區(qū)域邊界的信息安全的部署建議,供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi),如此可以初步實(shí)現(xiàn)對供水企業(yè)管理信息區(qū)的信息安全防護(hù)。
4結(jié)束語
隨著大數(shù)據(jù)的發(fā)展,對供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會提出更高的要求,也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下,還需要加強(qiáng)信息審計(jì),及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷,加強(qiáng)數(shù)據(jù)庫安全防護(hù),維護(hù)管理系統(tǒng)的隱患。
參考文獻(xiàn):
[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).
關(guān)鍵詞:等級保護(hù) 信息安全 安全管理
中圖分類號:TN915 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2014)04(c)-0035-02
21世紀(jì)是信息的時(shí)代,一方面,信息科學(xué)和技術(shù)正處于空前繁榮的階段,信息產(chǎn)業(yè)成為世界第一大產(chǎn)業(yè),另一方面,危害信息安全的事件不斷發(fā)生,信息安全的形勢是嚴(yán)峻的。因此在信息社會中,只有厘清信息系統(tǒng)的安全需求,才能確切地把握各類信息系統(tǒng)及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)等所面臨的風(fēng)險(xiǎn),并使信息安全風(fēng)險(xiǎn)處于可控范圍之內(nèi)。該文的研究旨在從信息系統(tǒng)安全等級保護(hù)的角度,系統(tǒng)地分析信息系統(tǒng)的安全需求,從而為切實(shí)保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施與業(yè)務(wù)系統(tǒng)安全、可靠運(yùn)行提供理論依據(jù)。
1 信息系統(tǒng)安全威脅
要保證信息系統(tǒng)的安全可靠,必須全面了解信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險(xiǎn)。威脅是指可能對信息系統(tǒng)資產(chǎn)或所在組織造成損害事故的潛在原因;威脅雖然有各種各樣的存在形式,但其結(jié)果是一致的,都將導(dǎo)致對信息或資源的破壞,影響信息系統(tǒng)的正常運(yùn)行,破壞提供服務(wù)的有效性、可靠性和權(quán)威性。
任何可能對信息系統(tǒng)造成危害的因素,都是對系統(tǒng)的安全威脅。威脅不僅來來自人為的破壞,也來自自然環(huán)境,包括各種人員、機(jī)構(gòu)出于各自目的的攻擊行為,系統(tǒng)自身的安全缺陷以及自然災(zāi)難等。信息系統(tǒng)可能面臨的威脅見圖1。
2 信息系統(tǒng)安全需求分析
信息系統(tǒng)等級保護(hù)的安全需求基本分為技術(shù)需求和管理需求兩大類。
技術(shù)類安全需求通常與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān),主要是通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)現(xiàn);管理類安全需求通常與信息系統(tǒng)中各種角色參與的活動有關(guān),主要是通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。
2.1 信息系統(tǒng)安全技術(shù)需求
2.1.1 物理需求
(1)當(dāng)面臨雷擊、地震、臺風(fēng)、高溫等自然災(zāi)難,需要通過對物理位置的選擇、溫濕度的控制,以及采取防雷擊措施等來解決問題;
(2)供電系統(tǒng)故障,需要合理設(shè)計(jì)電力供應(yīng)系統(tǒng),如:購買UPS系統(tǒng)或者建立發(fā)電機(jī)機(jī)房來保障電力的供應(yīng);
(3)網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時(shí)間過長等原因?qū)е掠布收?,需要通過對產(chǎn)品采購、自行軟件開發(fā)、外包軟件和測試驗(yàn)收進(jìn)行管理,對存儲介質(zhì)進(jìn)行管理,建立一套監(jiān)控管理體系;
(4)攻擊者利用非法手段進(jìn)入機(jī)房內(nèi)部盜竊、破壞等,需要進(jìn)行環(huán)境管理、采取物理訪問控制策略、實(shí)施防盜竊和防破壞等控制措施。
2.1.2 網(wǎng)絡(luò)需求
(1)內(nèi)部人員未授權(quán)接入外部網(wǎng)絡(luò),需要通過邊界的完整性檢查、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)、應(yīng)用審計(jì)等手段解決。
(2)設(shè)施、通信線路、設(shè)備或存儲介質(zhì)因使用、維護(hù)或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收?,需要通過線路狀態(tài)檢測、線路冗余、數(shù)據(jù)備份與恢復(fù)等技術(shù)手段解決。
(3)攻擊者惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源,導(dǎo)致拒絕服務(wù),需要通過主機(jī)資源優(yōu)化、網(wǎng)絡(luò)入侵檢測與防范、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與優(yōu)化等技術(shù)手段解決。
(4)攻擊者盜用授權(quán)用戶的會話連接,需通過身份鑒別、訪問控制、通信加密等技術(shù)手段解決。
2.1.3 系統(tǒng)需求
(1)攻擊者在軟硬件分發(fā)環(huán)節(jié)(生產(chǎn)、運(yùn)輸?shù)龋┲袗阂飧能浻布柰ㄟ^惡意代碼方法、控制臺審計(jì)等技術(shù)手段解決。
(2)攻擊者利用網(wǎng)絡(luò)擴(kuò)散病毒,需通過惡意代碼方法、控制臺審計(jì)等技術(shù)手段解決。
(3)內(nèi)部人員下載、拷貝軟件或文件,打開可疑郵件時(shí)引入病毒。需通過惡意代碼防范技術(shù)手段解決。
(4)授權(quán)用戶對系統(tǒng)錯誤配置或更改。需通過安全審計(jì)、數(shù)據(jù)備份和恢復(fù)等技術(shù)手段解決。
2.1.4 應(yīng)用安全需求
(1)系統(tǒng)軟件、應(yīng)用軟件運(yùn)行故障,需要通過對產(chǎn)品采購、自行軟件開發(fā)、外包軟件和測試驗(yàn)收進(jìn)行管理,對入侵系統(tǒng)和軟件的行為進(jìn)行監(jiān)測和報(bào)警;
(2)系統(tǒng)軟件、應(yīng)用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源,需要對系統(tǒng)軟件和應(yīng)用軟件進(jìn)行入侵行為的防范,并進(jìn)行實(shí)時(shí)的監(jiān)控管理;
(3)攻擊者進(jìn)行非法訪問,需要對網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對訪問網(wǎng)絡(luò)的用戶進(jìn)行訪問控制、對訪問網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別來加強(qiáng)訪問控制措施;
(4)攻擊者提供偽造的應(yīng)用系統(tǒng)服務(wù)進(jìn)行信息的竊取,需要加強(qiáng)網(wǎng)絡(luò)邊界完整性檢查,加強(qiáng)對網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對訪問網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別。
2.1.5 數(shù)據(jù)安全需求
(1)內(nèi)部人員利用技術(shù)或管理漏洞,未授權(quán)修改重要系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序,需要通過網(wǎng)絡(luò)安全審計(jì)、惡意代碼防范、網(wǎng)絡(luò)訪問控制、身份鑒別、通信完整性、入侵防范等技術(shù)手段解決;
(2)攻擊者截獲數(shù)據(jù),進(jìn)行篡改、插入,并重發(fā),造成數(shù)據(jù)的完整性、真實(shí)性喪失,需要通過通信完整性、數(shù)據(jù)完整性、通信保密性、數(shù)據(jù)保密性、密碼管理等技術(shù)手段解決;
(3)通信過程中受到干擾等原因發(fā)生數(shù)據(jù)傳輸錯誤,需要通過通信完整性、數(shù)據(jù)完整性等技術(shù)手段解決;
(4)攻擊者利用通信干擾工具,故意導(dǎo)致通信數(shù)據(jù)錯誤,需要通過結(jié)構(gòu)安全和網(wǎng)段劃分、通信完整性、數(shù)據(jù)完整性等技術(shù)手段解決。
2.2 信息系統(tǒng)安全管理需求
2.2.1 管理機(jī)構(gòu)
(1)需要建立安全職能部門,設(shè)置安全管理崗位,配備必要的安全管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員;
(2)需要配備相應(yīng)的安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員;
(3)需要建立定期和不定期的協(xié)調(diào)會,就信息安全相關(guān)的業(yè)務(wù)進(jìn)行協(xié)調(diào)處理;
(4)需要建立相應(yīng)的審核和檢查部門,安全人員定期的進(jìn)行全面的安全檢查。
2.2.2 管理制度
(1)需要制定信息安全工作的總體方針、政策性文件和安全策略等,說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等;
(2)需要建立安全管理制度,對管理活動進(jìn)行制度化管理,制定相應(yīng)的制定和制度;
(3)需要各功能部門協(xié)調(diào)機(jī)制,進(jìn)行必要的溝通和合作;
(4)需要建立恰當(dāng)?shù)穆?lián)絡(luò)渠道,進(jìn)行必要的溝通和合作,在必要的時(shí)候,進(jìn)行事件的有效處理;
(5)需要建立備案管理制度,對系統(tǒng)的定級進(jìn)行備案。
2.2.3 人員安全
(1)需要對人員的錄用進(jìn)行必要的管理,確保人員錄用的安全;
(2)需要對人員的考核進(jìn)行嚴(yán)格的管理,提高人員的安全技能和安全意識;
(3)需要對人員進(jìn)行安全意識的教育和培訓(xùn),提高人員的安全意識;
(4)需要對第三方人員訪問進(jìn)行嚴(yán)格的控制,確保第三方人員訪問的安全。
2.2.4 系統(tǒng)建設(shè)
(1)需要具有設(shè)計(jì)合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力;
(2)需要密碼算法和密鑰的使用符合國家有關(guān)法律、法規(guī)的規(guī)定;
(3)需要任何變更控制和設(shè)備重用要申報(bào)和審批,并對其實(shí)行制度化的管理;
(4)需要對信息系統(tǒng)進(jìn)行合理定級,并進(jìn)行備案管理;
(5)需要自行開發(fā)過程和工程實(shí)施過程中的安全;
(6)需要對軟硬件的分發(fā)過程進(jìn)行控制;
(7)需要信息安全事件實(shí)行分等級響應(yīng)、處置。
2.2.5 系統(tǒng)運(yùn)維
(1)需要各種網(wǎng)絡(luò)設(shè)備、服務(wù)器正確使用和維護(hù);
(2)需要用戶具有鑒別信息使用的安全意識;
(3)需要硬件設(shè)備、存儲介質(zhì)存放環(huán)境安全,并對其的使用進(jìn)行控制和保護(hù);
(4)需要提供足夠的使用手冊、維護(hù)指南等資料;
(5)需要在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施。
3 結(jié)論與建議
3.1 以信息系統(tǒng)安全需求促進(jìn)系統(tǒng)安全等級保護(hù),建立信息安全管理的長效機(jī)制
信息安全等級保護(hù)是國家信息安全保障工作的基礎(chǔ)制度,信息安全需求的研究是從系統(tǒng)風(fēng)險(xiǎn)管理角度最大限度地為保障信息安全提供科學(xué)依據(jù),作為信息系統(tǒng)使用機(jī)構(gòu),開展信息安全等級保護(hù)定級和信息安全需求研究工作,其最終目標(biāo)就是建立“量身定做”的信息安全管理體系。按照“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)”和“適度安全、保護(hù)重點(diǎn)”的原則,準(zhǔn)確進(jìn)行安全等級定級,并在信息化建設(shè)整個(gè)生命周期中構(gòu)建好信息安全管理體系,并緊緊圍繞“信息系統(tǒng)安全需求”這個(gè)等級保護(hù)主要抓手,結(jié)合國家規(guī)范、行業(yè)規(guī)范和系統(tǒng)工作實(shí)際,認(rèn)真探索、大膽創(chuàng)新。
3.2 信息系統(tǒng)安全需求分析是信息安全管理的重要環(huán)節(jié)
信息系統(tǒng)安全需求的研究是信息安全管理的一個(gè)階段,是信息安全風(fēng)險(xiǎn)管理的重要環(huán)節(jié),是信息安全保障體系建立過程中的重要決策機(jī)制。信息安全管理要依靠是否滿足系統(tǒng)安全的需求來確定隨后的風(fēng)險(xiǎn)控制和審核批準(zhǔn)活動。信息系統(tǒng)安全需求的提出使得機(jī)構(gòu)能夠準(zhǔn)確“定位”安全管理的策略、實(shí)踐和工具,能夠?qū)踩顒拥闹攸c(diǎn)放在重要的問題上,能夠選擇成本效益合理的和適用的安全對策。因此,系統(tǒng)安全需求是信息安全管理體系和信息管理管理的基礎(chǔ),是對現(xiàn)有網(wǎng)絡(luò)的安全性進(jìn)行分析的第一手資料,也是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最重要的內(nèi)容之一,它為實(shí)施風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制提供了直接依據(jù)。
參考文獻(xiàn)
[1] 信息產(chǎn)業(yè)部電子教育中心.信息安全管理指南[M].重慶大學(xué)出版社,2008.
關(guān)鍵詞:電力二次自動化系統(tǒng);安全防護(hù)
一、電力二次自動化系統(tǒng)的現(xiàn)狀
電力二次系統(tǒng)包括電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)網(wǎng)絡(luò)三方面。電力監(jiān)控系統(tǒng),是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運(yùn)行過程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備,包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計(jì)算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機(jī)繼電保護(hù)和安全自動裝置、廣域相量測量系統(tǒng)、負(fù)荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、實(shí)時(shí)電力市場的輔助控制系統(tǒng)等。電力通信是指為了保證電力系統(tǒng)的安全穩(wěn)定運(yùn)行而應(yīng)運(yùn)而生的、基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)智能設(shè)備。數(shù)據(jù)網(wǎng)絡(luò),是指各級電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、電力生產(chǎn)專用撥號網(wǎng)絡(luò)等。
電力二次系統(tǒng)中主要存在以下幾方面的安全問題:①管理區(qū)和生產(chǎn)區(qū)存在雙向的數(shù)據(jù)交互;②缺乏加密、認(rèn)證機(jī)制,沒有入侵檢測等預(yù)警機(jī)制;③沒有漏洞掃描和審計(jì)手段,接人存在安全隱患;④病毒代碼手動更新難以及時(shí),廠站端各種站、工控機(jī)防病毒管理困難;⑤地、縣調(diào)系統(tǒng)結(jié)構(gòu)復(fù)雜,數(shù)據(jù)交換缺乏規(guī)則。
二、電力二次自動化系統(tǒng)的安全防護(hù)
1. 明確電力二次自動化系統(tǒng)安全防護(hù)的基本目標(biāo)。
建立電力二次系統(tǒng)安全防護(hù)體系,保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行,同時(shí)抵御黑客、病毒、惡意代碼等通過各種形式對電力二次自動化系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團(tuán)式攻擊,以防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。
2. 制定電力二次自動化系統(tǒng)安全防護(hù)的基本原則。
根據(jù)《電網(wǎng)與電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》,電力二次自動化系統(tǒng)的安全防護(hù)應(yīng)具有以下原則:在電力二次自動化系統(tǒng)中,安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng),各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護(hù)設(shè)施,不得與安全等級低的系統(tǒng)直接相聯(lián)。
3.擬定電力二次自動化系統(tǒng)安全防護(hù)的安全分區(qū)。
發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),原則上可劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)Ⅱ);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下,可以根據(jù)各企業(yè)不同安全要求劃分生產(chǎn)管理區(qū)(安全區(qū)III)和管理信息區(qū)(安全區(qū)IV)。不同的安全區(qū)確定不同的安全防護(hù)要求,從而決定不同的安全等級和防護(hù)水平,阻斷非法訪問、操作和病毒侵害。
安全區(qū)I,即實(shí)時(shí)控制區(qū),主要由配電自動化系統(tǒng)、變電站自動化系統(tǒng)、調(diào)度員中心EMS系統(tǒng)和廣域相量測量系統(tǒng)等系統(tǒng)構(gòu)成,是安全保護(hù)的重點(diǎn)與核心,凡是實(shí)時(shí)監(jiān)控系統(tǒng)或具有實(shí)時(shí)監(jiān)控功能的系統(tǒng)其監(jiān)控功能部分均應(yīng)屬于安全I(xiàn)區(qū)。其為電力生產(chǎn)的重要環(huán)節(jié)、安全防護(hù)的重點(diǎn)與核心,能夠直接實(shí)現(xiàn)對二次系統(tǒng)運(yùn)行的實(shí)時(shí)監(jiān)控,具有縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)S猛ǖ赖牡湫吞卣鳌?/p>
安全區(qū)II,即非實(shí)時(shí)控制區(qū),主要由負(fù)荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)、電能量計(jì)量系統(tǒng)等部分組成,不具備控制功能的生產(chǎn)業(yè)務(wù)系統(tǒng),或者系統(tǒng)中不進(jìn)行控制的部分均屬于安全Ⅱ區(qū)。其所實(shí)現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié),可在線運(yùn)行,但不具備控制功能。
安全區(qū)III,即生產(chǎn)管理區(qū),主要由EMS資料平臺、氣象信息接入、生產(chǎn)管理系統(tǒng)、報(bào)表系統(tǒng)(日報(bào)、旬報(bào)、月報(bào)、年報(bào))和信息翻覽WEB服務(wù)器等部分組成。本安全區(qū)內(nèi)的生產(chǎn)系統(tǒng)采取安全防護(hù)措施后可以提供WEB服務(wù)。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng)(SPTnet)。
安全區(qū)IV,即管理信息區(qū),主要由管理信息系統(tǒng)、辦公管理信息系統(tǒng)和客戶服務(wù)系統(tǒng)組成,該區(qū)的外部通信邊界為SPTnet及INTERNER,所有辦公PC應(yīng)部署正版軟件和網(wǎng)絡(luò)防病毒措施,及時(shí)進(jìn)行更新。
4.二次系統(tǒng)安全防護(hù)的策略
要根據(jù)管理信息大區(qū)安全要求,在管理信息大區(qū)應(yīng)當(dāng)統(tǒng)一部署防火墻、IDS入侵檢測系統(tǒng)和惡意代碼防護(hù)系統(tǒng)等通用安全防護(hù)設(shè)施。要按照生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的安全要求,在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置,同時(shí)隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。要根據(jù)生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的安全防護(hù)要求,在控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火墻,具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯隔離,以禁止安全風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)服務(wù)穿越該邊界。要依照在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處安全防護(hù)要求,在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施,實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。
要根據(jù)處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)安全防護(hù)要求,對處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān),應(yīng)進(jìn)行操作系統(tǒng)的安全加固,并根據(jù)具體業(yè)務(wù)的重要程度及信息的敏感程度,對生產(chǎn)控制大區(qū)的外部通信網(wǎng)關(guān)應(yīng)具備加密、認(rèn)證和過濾的功能。還應(yīng)依照對電力監(jiān)控系統(tǒng)的備份及恢復(fù)的安全防護(hù)要求,定期對電力監(jiān)控系統(tǒng)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與系統(tǒng)進(jìn)行備份,建立歷史歸檔數(shù)據(jù)的異地存放制度,確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng),保證系統(tǒng)的可用性。并對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件進(jìn)行相應(yīng)的冗余配置,安全I(xiàn)區(qū)的業(yè)務(wù)應(yīng)采用熱備份方式,其它安全區(qū)的業(yè)系統(tǒng)可根據(jù)需要選用熱備份、溫備份、冷備份等備份方式,以避免單點(diǎn)故障影響系統(tǒng)的可靠性。
結(jié)語:
計(jì)算機(jī)網(wǎng)絡(luò)安全是電力生產(chǎn)安全密不可分的一部分。除了依據(jù)國家規(guī)定建立可靠的網(wǎng)絡(luò)安全技術(shù)構(gòu)成的安全防護(hù)體系外,還必須建立健全完善的網(wǎng)絡(luò)安全管理制度,形成技術(shù)和管理雙管齊下,才能真正達(dá)到保證網(wǎng)絡(luò)安全的目的。電力二次防護(hù)系統(tǒng)是自動化系統(tǒng)的支撐平臺,二次防護(hù)安全是電力系統(tǒng)安全的保障。同時(shí),電力自動化系統(tǒng)的安全防護(hù)是一個(gè)動態(tài)的工作過程,而不是一種狀態(tài)或者目標(biāo)。隨著風(fēng)險(xiǎn)、人員,技術(shù)不斷地變化發(fā)展,以及應(yīng)用環(huán)境的發(fā)展,安全目標(biāo)與策略也發(fā)生著變化,電力二次系統(tǒng)的安全管理需要不斷跟蹤并應(yīng)用新技術(shù),定期進(jìn)行風(fēng)險(xiǎn)評估、加強(qiáng)管理,才能保障電力行業(yè)安全穩(wěn)定、高效可靠地運(yùn)行。
參考文獻(xiàn):
[1]李勁.論述廣西電力二次系統(tǒng)安全防護(hù)技術(shù)研究[J].廣西電力,2005(4)
[2]李志杰,牛玉臣,閻明波.調(diào)度自動化二次系統(tǒng)安全防護(hù)體系[J].電工技術(shù),2006(12)
[3]張曉陽.電力行業(yè)二次安全防護(hù)解決方案[J].信息安全與通信保密,2008(8)
關(guān)鍵詞:政府門戶網(wǎng)站 信息安全 對策研究 福建省
一、引言
《2006-2020年國家信息化發(fā)展戰(zhàn)略》提出,“到2020年我國信息安全的長效機(jī)制基本形成,國家信息安全保障體系較為完善,信息安全保障能力顯著增強(qiáng)”。政府門戶網(wǎng)站是政府部門在國際互聯(lián)網(wǎng)上建立的信息、辦公互動、數(shù)據(jù)交換的窗口,是政務(wù)公開的載體和舞臺,也是政府與社會、企業(yè)、民眾溝通的橋梁。通過政府門戶網(wǎng)站,公眾可以便捷地獲取政府信息和服務(wù),使得公眾與政府關(guān)系簡單化。由于互聯(lián)網(wǎng)是個(gè)開放的網(wǎng)絡(luò),政府網(wǎng)站的信息一天24小時(shí)都在被查詢、閱讀、下載或轉(zhuǎn)載。如果沒有可靠的信息安全體系和有效的事件響應(yīng)能力,那么一旦網(wǎng)頁被篡改或網(wǎng)站被中斷,將直接干擾、破壞政府履職,損害政府的形象,敗壞公眾對政府的信任,后果不堪設(shè)想。根據(jù)有關(guān)資料顯示,2005年,我國90%以上的政府網(wǎng)站存在安全漏洞,很多網(wǎng)站都曾受到過不同程度的黑客攻擊和計(jì)算機(jī)病毒的侵害,給國家造成了較大的損失。因此,信息安全問題是政府門戶網(wǎng)站建設(shè)的一項(xiàng)重要內(nèi)容,必須綜合運(yùn)用多種策略和手段建設(shè)政府門戶網(wǎng)站安全保障體系。
二、政府門戶網(wǎng)站信息安全存在的主要問題
安全管理認(rèn)識存在偏差以及缺乏有效組織規(guī)劃培訓(xùn)和相應(yīng)法律制度支持,是當(dāng)前福建省各級政府門戶網(wǎng)站信息安全建設(shè)中存在的最主要問題,主要表現(xiàn)有以下幾個(gè)方面:
一是重系統(tǒng)建設(shè)輕安全管理。由于受到傳統(tǒng)的政府績效評價(jià)和考核體制的影響,各級政府信息主管部門往往認(rèn)為“安全”只是保障“業(yè)務(wù)應(yīng)用”的一種手段,只重視網(wǎng)站信息系統(tǒng)的建設(shè),輕視相應(yīng)的信息系統(tǒng)安全建設(shè)和管理。
二是重消極應(yīng)對輕主動預(yù)案。在政府門戶網(wǎng)站安全管理中,很多情況是等出了問題,才匆忙借助經(jīng)驗(yàn)和應(yīng)變能力去處理突發(fā)安全事件,缺乏應(yīng)急預(yù)案的制定和按照應(yīng)急預(yù)案進(jìn)行處理的觀念。
三是缺乏整體安全意識。談及信息安全,很多管理者認(rèn)為安全就是防火墻、入侵檢測、身份認(rèn)證等技術(shù)措施,沒有真正意識到安全是一個(gè)包括理念、技術(shù)、制度、人才等各方面缺一不可的整體。
四是缺乏及時(shí)有效培訓(xùn)。信息化安全技術(shù)日新月異,網(wǎng)絡(luò)攻擊手段也日趨多樣化,各級網(wǎng)站主管部門對安全管理人員缺乏及時(shí)有效培訓(xùn),無法保證網(wǎng)站信息安全。
五是缺乏統(tǒng)一信息安全技術(shù)標(biāo)準(zhǔn)與規(guī)范。不同層次、不同部門的網(wǎng)站信息安全建設(shè)各自為政,沒有進(jìn)行有效的組織和規(guī)劃,使用的安全技術(shù)五花八門。這樣不僅造成了資源的嚴(yán)重浪費(fèi)和低效率,也給網(wǎng)站信息安全帶來各種各樣的隱患。
六是缺乏相應(yīng)的法律和制度的支持。政府作為信息的所有者,其權(quán)利范圍和內(nèi)容較為模糊,相關(guān)網(wǎng)站信息安全的法律和制度較為薄弱,法律上缺乏相應(yīng)的保護(hù)。
三、政府門戶網(wǎng)站信息安全存在問題的原因分析
1.管理體制未理順
政府系統(tǒng)缺乏專門的電子政務(wù)信息安全的領(lǐng)導(dǎo)體制、研究機(jī)構(gòu)和相應(yīng)政策措施的落實(shí)機(jī)制,盡管在中央一級設(shè)有領(lǐng)導(dǎo)小組以及專家咨詢委員會,但在地方由于“條塊”職責(zé)不清、管理多頭的實(shí)際狀況,直接影響對電子政務(wù)安全的重視程度和貫徹落實(shí)相應(yīng)信息安全政策措施的力度。
2.運(yùn)行機(jī)制未健全
信息安全保障的運(yùn)行機(jī)制不健全表現(xiàn)在電子政務(wù)信息安全的地位與其重要程度不相稱,電子政務(wù)信息安全在政府發(fā)展任務(wù)的地位上,遠(yuǎn)不及經(jīng)濟(jì)、社會、文化等其他方面;在資金、人力等方面的投入得不到更好的保障;與信息安全相關(guān)的政策法規(guī)、技術(shù)標(biāo)準(zhǔn)與規(guī)范的制定落后于實(shí)際發(fā)展的需要。
3.技術(shù)與實(shí)際安全需求存在差距
技術(shù)是確保信息安全的重要因素,由于技術(shù)本身的局限性和推廣應(yīng)用程度不夠,使技術(shù)與實(shí)際安全需求存在差距。技術(shù)不能完全保證安全,安全更不可能完全依賴技術(shù)。我國目前的電子政務(wù)安全保障技術(shù)本身并不發(fā)達(dá),福建省在電子政務(wù)安全技術(shù)、產(chǎn)品推廣應(yīng)用方面的重視程度不高、力度不強(qiáng)。
4.過分強(qiáng)調(diào)安全技術(shù)的重要性
認(rèn)為信息安全是技術(shù)問題,依靠相應(yīng)的技術(shù)就能防范。實(shí)際上國內(nèi)外許多信息安全事故都是人為造成的,三分靠技術(shù),七分靠管理,要防止此類事故的發(fā)生,必須從建立和完善信息安全管理體系入手。
四、加強(qiáng)政府門戶網(wǎng)站信息安全的對策建議
網(wǎng)絡(luò)安全不僅是一個(gè)技術(shù)問題,要從法規(guī)、管理和技術(shù)三方面來統(tǒng)籌保障政府門戶網(wǎng)站信息安全。在法制上,加強(qiáng)網(wǎng)絡(luò)和信息安全管理等方面的立法工作,為政府門戶網(wǎng)站的建設(shè)、運(yùn)行、維護(hù)和管理提供法律保障,構(gòu)筑促進(jìn)國家信息化發(fā)展的社會環(huán)境;在管理上,從健全規(guī)范網(wǎng)絡(luò)安全管理機(jī)構(gòu)、培養(yǎng)網(wǎng)絡(luò)安全管理人員和制定網(wǎng)絡(luò)安全管理制度等方面保障政府門戶網(wǎng)站正常安全運(yùn)行;在技術(shù)上,采用多種防范、監(jiān)控等先進(jìn)的技術(shù)手段,制定各種應(yīng)急措施,保證政府門戶網(wǎng)站安全可靠地運(yùn)行。
⒈加強(qiáng)政府門戶網(wǎng)站信息安全法規(guī)與制度建設(shè)
一是加強(qiáng)信息安全管理等方面的立法工作。國家及省都有加強(qiáng)網(wǎng)站建設(shè)方面的相關(guān)政策,但還沒從立法的角度予以確認(rèn)和強(qiáng)化,應(yīng)從“電子政府”建設(shè)的高度,制定相應(yīng)的法規(guī),為包括政府門戶網(wǎng)站在內(nèi)的電子政務(wù)網(wǎng)絡(luò)與系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)和管理提供法律保障。
二是加強(qiáng)網(wǎng)絡(luò)和信息安全管理等方面的制度建設(shè)。用管理手段來彌補(bǔ)技術(shù)落后問題,本著“堵漏、補(bǔ)缺、管用”的原則,采用整體思路,加強(qiáng)管理,切實(shí)從機(jī)關(guān)內(nèi)部堵塞漏洞,在若干不夠安全的技術(shù)環(huán)節(jié)的基礎(chǔ)上,形成一個(gè)相對安全的整體。在加強(qiáng)信息安全防護(hù)能力的同時(shí),重視隱患發(fā)現(xiàn)、網(wǎng)絡(luò)應(yīng)急反應(yīng)、信息對抗等管理能力的提高。
⒉建立健全政府門戶網(wǎng)站信息安全管理體系
一是明確技術(shù)管理規(guī)范。面對網(wǎng)絡(luò)安全的脆弱性,除在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能,完善系統(tǒng)的安全保密措施外,還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理。具體包括:非、網(wǎng)機(jī)器不允許混用;非網(wǎng)機(jī)器不允許運(yùn)行信息,網(wǎng)機(jī)器不允許上非網(wǎng);嚴(yán)格按照安全等級、安全域劃分,制定相應(yīng)的安全保密制度;不同安全域、安全等級之間的信息必須通過安全交換系統(tǒng)方可交流。只有所有接入網(wǎng)絡(luò)的設(shè)備都安全,整個(gè)網(wǎng)絡(luò)的安全才能得到保證。
二是明確相關(guān)人員的職責(zé)。強(qiáng)調(diào)以人為本,把網(wǎng)站安全納入一個(gè)人人有責(zé)、層層負(fù)責(zé)、由第一責(zé)任人負(fù)總責(zé)的安全管理體制之中。主管領(lǐng)導(dǎo)負(fù)責(zé)安全體系的建設(shè)實(shí)施,在安全實(shí)施過程中取得相關(guān)部門的配合,領(lǐng)導(dǎo)整個(gè)部門不斷提高系統(tǒng)的安全等級;網(wǎng)絡(luò)管理員應(yīng)具有豐富的網(wǎng)絡(luò)知識和實(shí)際經(jīng)驗(yàn),熟悉本地網(wǎng)絡(luò)結(jié)構(gòu),能夠制定技術(shù)實(shí)施策略;安全操作員負(fù)責(zé)安全系統(tǒng)的具體實(shí)施;信息編輯人員負(fù)責(zé)信息采集、編輯和審核工作,確保所信息的完整性、一致性、權(quán)威性和準(zhǔn)確性。另外,還應(yīng)建立安全專家小組,負(fù)責(zé)安全問題的重大決策。
三是建立應(yīng)急響應(yīng)機(jī)制。從健全規(guī)范網(wǎng)絡(luò)安全管理機(jī)構(gòu)、培養(yǎng)網(wǎng)絡(luò)安全管理人員和制定網(wǎng)絡(luò)安全管理制度等方面建立應(yīng)急響應(yīng)機(jī)制,以保障政府門戶網(wǎng)站正常安全運(yùn)行。
四是建立信息安全檢查監(jiān)督和激勵機(jī)制。依據(jù)已確立的技術(shù)法規(guī)、標(biāo)準(zhǔn)與制度,定期開展信息安全檢查工作,確保信息安全保障工作落到實(shí)處;建立責(zé)任通報(bào)制度,對檢查中發(fā)現(xiàn)的違規(guī)行為,按規(guī)定處罰相關(guān)責(zé)任人,對檢查中發(fā)現(xiàn)的安全問題和隱患,明確責(zé)任部門和責(zé)任人,限期整改;建立良好的激勵機(jī)制,從人才引進(jìn)、培養(yǎng)的漸進(jìn)性和連續(xù)性上優(yōu)化人員結(jié)構(gòu),形成梯隊(duì),重點(diǎn)加強(qiáng)系統(tǒng)運(yùn)行人員技能的培養(yǎng)力度,不斷增強(qiáng)自我運(yùn)行操作能力與應(yīng)急能力。
五是做好政府門戶網(wǎng)站信息安全培訓(xùn)工作。政府門戶網(wǎng)站的運(yùn)行維護(hù),需要一支具有較高的政治素質(zhì)和職業(yè)道德水準(zhǔn),既懂業(yè)務(wù)又懂技術(shù)的隊(duì)伍。建立完善技術(shù)培訓(xùn)體系,使之更貼近實(shí)際業(yè)務(wù)、貼近技術(shù)前沿,提高各類人員的安全理論實(shí)踐水平和安全意識。只有讓每一位員工都成為安全衛(wèi)士,才能實(shí)現(xiàn)真正意義上的全方位的安全防范。
六是合理安排信息安全建設(shè)資金。在電子政務(wù)信息項(xiàng)目建設(shè)上,要在項(xiàng)目建設(shè)前期就安排相應(yīng)比例的資金用于信息安全的建設(shè);切實(shí)落實(shí)國家信息安全建設(shè)的有關(guān)規(guī)定,保證信息安全建設(shè)資金足額到位。
七是加強(qiáng)信息安全設(shè)施建設(shè)。聯(lián)合公安等部門,加強(qiáng)網(wǎng)絡(luò)監(jiān)管中心、測評認(rèn)證中心、應(yīng)急處理中心、病毒防治中心、數(shù)字證書認(rèn)證中心等信息安全基礎(chǔ)設(shè)施建設(shè)。
⒊積極完善政府門戶網(wǎng)站信息安全技術(shù)防范手段
2007年9月,福建省為加強(qiáng)政府類互聯(lián)網(wǎng)站的安全管理,確保網(wǎng)站健康有序發(fā)展,下發(fā)了《福建省人民政府辦公廳關(guān)于加強(qiáng)我省政府類互聯(lián)網(wǎng)站安全管理的通知》(閩政辦〔2007〕182號),要求各級各單位建立健全網(wǎng)站安全管理制度,并貫徹落實(shí)網(wǎng)站安全技術(shù)措施。筆者根據(jù)實(shí)踐提出以下建議:
一是加強(qiáng)電子政務(wù)網(wǎng)絡(luò)的總體規(guī)劃和統(tǒng)一建設(shè),避免多頭建設(shè)和重復(fù)建設(shè),保證網(wǎng)絡(luò)整體性,避免網(wǎng)絡(luò)架構(gòu)缺陷引起的安全問題。
二是統(tǒng)一信息安全技術(shù)標(biāo)準(zhǔn)與規(guī)范,各級政府門戶網(wǎng)站信息安全建設(shè)都應(yīng)按照這個(gè)標(biāo)準(zhǔn)和規(guī)范進(jìn)行實(shí)施,以確保信息整體安全。
三是加強(qiáng)信息資源安全等級標(biāo)準(zhǔn)的規(guī)劃和建設(shè),明確不同信息的服務(wù)對象和公開范圍。既要避免出現(xiàn)保密過度,限制政務(wù)信息化應(yīng)用的推廣和發(fā)展的情況,又要避免保密不夠,造成電子政務(wù)信息泄密情況的發(fā)生。在確保信息安全的基礎(chǔ)上,最大限度地保證信息共享。
四是在信息安全方面,既要考慮省、市級政府的信息服務(wù)對象著重于政府部門和相關(guān)的領(lǐng)導(dǎo)等的特點(diǎn),又要考慮到縣、區(qū)級政府及相關(guān)部門的信息服務(wù)對象著重于群眾或居民的特點(diǎn)。
五是在技術(shù)手段上,要統(tǒng)籌好網(wǎng)絡(luò)被動防御和網(wǎng)絡(luò)主動防御的關(guān)系,確保信息的安全。網(wǎng)絡(luò)被動防御方面可以采取防火墻、入侵檢測、防病毒等技術(shù);網(wǎng)絡(luò)主動防御方面可以采取漏洞掃描、補(bǔ)丁升級和自動分發(fā)、網(wǎng)頁防篡改、容災(zāi)備份等技術(shù)。
五、結(jié)束語
綜上所述,加強(qiáng)政府門戶網(wǎng)站的信息安全,必須做好信息安全的法規(guī)制度建設(shè)、建立健全安全管理體系、積極完善安全技術(shù)防范手段等三方面的工作。同時(shí),還要處理好信息安全與網(wǎng)站發(fā)展辯證統(tǒng)一的關(guān)系:安全是前提保證,發(fā)展是最終目的,要在發(fā)展過程中確保安全,在確保安全的條件下加快發(fā)展,使政府門戶網(wǎng)站充滿生機(jī)與活力,并充分發(fā)揮其應(yīng)有的社會效益,為海峽西岸經(jīng)濟(jì)區(qū)建設(shè)做出積極的貢獻(xiàn)。
作者簡介:
1.1網(wǎng)絡(luò)升級改造引入安全新威脅
隨著電信網(wǎng)絡(luò)的全面IP化,原來互聯(lián)網(wǎng)中才會存在的安全威脅被引入到電信網(wǎng)絡(luò)中,如木馬程序、僵尸程序、拒絕服務(wù)攻擊等。在IP技術(shù)和傳統(tǒng)電信網(wǎng)相融合的過程中,又出現(xiàn)了具有電信網(wǎng)特點(diǎn)的新安全威脅,例如利用IP技術(shù)針對電信網(wǎng)業(yè)務(wù)層面的攻擊。
1.2移動終端的智能化存安全隱患
智能終端的接入方式多種多樣、接入速度越來越寬帶化,使得智能終端與通信網(wǎng)絡(luò)的聯(lián)系更加緊密。智能終端的安全性已嚴(yán)重威脅著電信網(wǎng)絡(luò)和業(yè)務(wù)的安全,隨著運(yùn)營商全業(yè)務(wù)運(yùn)營的不斷深入,以前分散的業(yè)務(wù)支撐系統(tǒng)逐步融合集成,但核心網(wǎng)和業(yè)務(wù)網(wǎng)之間的連接通常采用直連的方式,安全防護(hù)措施相對薄弱。在智能終端處理能力不斷提升的今天,如果終端經(jīng)由核心網(wǎng)發(fā)起針對業(yè)務(wù)系統(tǒng)的攻擊,將會帶來巨大的安全威脅。另一方面,智能終端平臺自身也面臨著嚴(yán)峻的安全考驗(yàn),其硬件架構(gòu)缺乏完整性驗(yàn)證機(jī)制,導(dǎo)致模塊容易被攻擊篡改,并且模塊之間的接口缺乏對機(jī)密性、完整性的保護(hù),在此之上傳遞的信息容易被篡改和竊聽。憑借智能終端高效的計(jì)算能力和不斷擴(kuò)展的網(wǎng)絡(luò)帶寬,終端本身的安全漏洞很可能轉(zhuǎn)化為對運(yùn)營商網(wǎng)絡(luò)的安全威脅。
1.3安全防護(hù)體系建設(shè)相對滯后
隨著云計(jì)算云服務(wù)、移動支付的引入和發(fā)展,給運(yùn)營商現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)及其安全帶來了不可預(yù)知的風(fēng)險(xiǎn)。新興的電信增值業(yè)務(wù)規(guī)模不斷擴(kuò)大,用戶數(shù)量不斷增加,因此更易受到網(wǎng)絡(luò)的攻擊、黑客的入侵。新技術(shù)新業(yè)務(wù)在帶來營收增長的同時(shí),也帶來了越來越多的安全威脅因素和越來越復(fù)雜的網(wǎng)絡(luò)安全問題,使得運(yùn)營商對新業(yè)務(wù)安全管控的難度越來越大。面對新技術(shù)新業(yè)務(wù)帶來的風(fēng)險(xiǎn),行業(yè)安全標(biāo)準(zhǔn)的制定相對滯后,現(xiàn)階還不能夠?qū)ν{安全的因素做出一個(gè)全面客觀的評估,因此也就談不上制定相應(yīng)的風(fēng)險(xiǎn)防范應(yīng)對措施,并且業(yè)界對新領(lǐng)域的安全防護(hù)經(jīng)驗(yàn)不夠豐富,當(dāng)出現(xiàn)重大威脅網(wǎng)絡(luò)安全事件的時(shí)候,對故障的響應(yīng)處理能力還有待商榷。
2電信運(yùn)營商網(wǎng)絡(luò)安全防護(hù)措施
2.1加強(qiáng)網(wǎng)絡(luò)安全的維護(hù)工作
面對網(wǎng)絡(luò)信息安全存在的挑戰(zhàn),基礎(chǔ)安全維護(hù)工作是根本,運(yùn)營商需要做好安全保障和防護(hù)工作,并在實(shí)踐中不斷加強(qiáng)和完善。對網(wǎng)絡(luò)中各類系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行加固,定期開展安全防護(hù)檢查,實(shí)現(xiàn)現(xiàn)有網(wǎng)絡(luò)安全等級的提升。安全維護(hù)人員在日常工作中也必須按照規(guī)定嚴(yán)格控制網(wǎng)絡(luò)維護(hù)設(shè)備的訪問控制權(quán)限,加強(qiáng)網(wǎng)絡(luò)設(shè)備賬號口令及密碼的管理,提高網(wǎng)絡(luò)安全防護(hù)能力。
2.2加強(qiáng)新興領(lǐng)域的安全建設(shè)
云計(jì)算、移動互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)的發(fā)展,帶來了復(fù)雜的網(wǎng)絡(luò)信息安全問題,為了加強(qiáng)對新興領(lǐng)域的安全管理,運(yùn)營商需要從新領(lǐng)域安全策略的制定和安全手段的創(chuàng)新兩方面著手。
2.2.1加強(qiáng)安全策略的制定
應(yīng)對新技術(shù)新業(yè)務(wù)的挑戰(zhàn),對全網(wǎng)安全需要重新規(guī)劃和管理,建立與之匹配的安全標(biāo)準(zhǔn)、安全策略作為行動指導(dǎo),并形成對服務(wù)提供商的監(jiān)控監(jiān)管。在新業(yè)務(wù)規(guī)劃時(shí),安全規(guī)劃要保持同步,從業(yè)務(wù)設(shè)計(jì)開始就應(yīng)將安全因素植入,盡量早發(fā)現(xiàn)漏洞、彌補(bǔ)漏洞。
2.2.2加強(qiáng)安全手段的創(chuàng)新
新技術(shù)的發(fā)展讓傳統(tǒng)網(wǎng)絡(luò)的安全系統(tǒng)和防御機(jī)制難以滿足日益復(fù)雜的安全防護(hù)需求,需要有新的安全防御手段與之抗衡。因此集監(jiān)控分析、快速處置為一體的云安全等新的技術(shù)手段就值得我們?nèi)ゲ粩嘌芯?,并進(jìn)行商用部署。
2.3加強(qiáng)安全防護(hù)管理體系的建設(shè)
做好管理體系的建設(shè),首先需要制定配套的規(guī)章制度。網(wǎng)絡(luò)信息的安全,必須以行之有效的安全規(guī)章制度作保證。需明確安全管理的范圍,確定安全管理的等級,把各項(xiàng)安全維護(hù)工作流程化、標(biāo)準(zhǔn)化,讓安全管理人員和安全維護(hù)人員明確自身的職責(zé),從而有效地實(shí)施安全防護(hù)措施和網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案,提高運(yùn)營商整體的安全防護(hù)能力。其次需要建立縱向上貫穿全國的安全支撐體系。隨著網(wǎng)絡(luò)的聚合程度越來越高,省份之間的耦合程度越來越密,全國就是一張密不可分的網(wǎng)。因此需建立全國一體化的、統(tǒng)一調(diào)度管理的安全管理支撐體系。當(dāng)出現(xiàn)攻擊時(shí)集團(tuán)、省、市三級安全支撐隊(duì)伍能聯(lián)動起來,做到應(yīng)對及時(shí)有效。
3結(jié)束語