企業信息安全保護范文
時間:2023-10-10 17:42:02
導語:如何才能寫好一篇企業信息安全保護,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
【關鍵詞】電信企業、用戶信息、安全
【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158(2013)01―0131―01
隨著信息爆炸時代的來臨和通信技術的快速發展,用戶的個人信息安全問題日益嚴重,信息泄露事件頻發。用戶信息一旦遭到泄露,將面臨信息曝光、垃圾短信、騷擾電話、電信欺詐甚至資金被盜等一系列風險。在此環境下,2012年“3.15”國際消費者權益日的主題即為“消費與安全”,新聞媒體也多次曝光了個別銀行、通信、快遞、醫院等行業不法人員泄露和出售客戶信息,給公眾造成巨大安全隱患的問題。由此可見,用戶信息安全已成為社會化和信息化快速發展進程中的一個重要問題。
近年來國家也逐步加大了對個人信息安全的保護力度。一方面從立法上逐步加大了對個人信息安全的保障,在民事責任方面認定用戶個人信息屬于個人隱私范疇,并在2009年通過的《侵權責任法》中明確將隱私權寫入了法律;在刑事責任方面,2009年頒布實施的《刑法修正案七》也新增了“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,并處罰金。”“竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。“單位犯前兩款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。”另一方面,公安部也在北京、河北等20個省市區開展嚴厲打擊侵害公民個人信息違法犯罪的專項行動,抓獲嫌疑人1000余名,挖出信息源頭44個。
電信行業一直是客戶信息安全保障的重點行業。作為電信運營商,掌握著海量的用戶信息資源,尤其是2010年電話用戶實名登記工作推廣以來,運營商掌握的用戶信息從數量和質量上都得到了進一步提升。一方面客戶信息真實、完善為電信企業向用戶提供個性化的服務提供了條件,也為通信安全提供了保障,但另一方面對電信運營企業保障用戶的信息、通信安全也提出了更高的要求。筆者總結多年的電信企業客戶信息管理經驗,借鑒先進企業的管理方法,從明確電信用戶信鼠的范圍、電信用戶信息泄露的風險途徑、解決電信用戶信息安全的措施三個層面來探討如何保障電信用戶信息安全。
一、電信企業用戶信息包含的內容
根據電信企業獲取客戶信息和提供通信服務的特點,電信用戶信息應是指個人與單位用戶的姓名或名稱、有效證件類型及證件號碼、住址(地址)、用戶號碼、聯系方式、繳費賬戶、通話清單、終端信息以及單位用戶的組織架構等基本信息、信息網絡建設等非通信的信息內容。
二、電信企業用戶信息泄露的風險途徑
造成電信用戶信息泄露的風險主要是人員風險和系統風險。人員風險是指電信企業內部和外部所有可以接觸到用戶信息的眾多人員泄露用戶信息的風險。企業內部人員如營業人員、銷售人員、維護人員、客戶信息管理人員等;外部人員包括與電信企業合作的業務商、內容提供商以及第三方維護人員等。
從系統風險上來講,由于電信企業IT系統業務網絡存在區域分散、數據分散、系統繁多、環境復雜等特點,建設了包括BSS、客服、CRM等多個業務支撐系統和OA辦公系統,各個系統上積累了大量的客戶信息和生產數據、運營信息等,每個系統的人員根據“使用”和“維護”又分為不同的角色,這些系統的終端覆蓋了內網和外網、計算機和移動終端等多種形態的終端設備。由于這些特征的存在,電信企業客戶信息數據面臨著內部和外部網絡的多重風險。
三、電信企業用戶信息安全保護的措施
保護電信客戶的信息安全,讓客戶享有安全、放心的通信服務是電信企業的責任和義務。筆者從通信行業服務角度來看,電信企業信息安全保障的關鍵需要從加強內部管理、提升系統防范能力兩個方面得到提升。
(一)強化內部管理,提升全員信息安全防范意識
首先作為電信企業要有大局意識,應自覺遵守國家的法律、法規,嚴格執行《基礎電信企業信息安全責任管理辦法(試行)》。將保障用戶信息安全納入企業的保密體系,建立完善的用戶信息安全管理制度,規范從業務受理、客戶服務、運行維護、信息計費、外部合作等涉及客戶信息的各個關鍵環節的業務操作流程和規章制度,構建全面有效的用戶個人信息安全保護機制。比如要求營業和營銷人員不允許私自留存客戶信息;要求維護人員不允許私自下載和修改客戶信息;各系統賬號權限嚴格實施分級管理,不允許轉讓和越級使用;規范各類用戶信息的存儲介質、存儲時限和銷毀方式,完善用戶資料銷毀管理制度和技術保障手段;針對外部商、合作單位要明確對用戶信息保密的業務和技術要求以及泄密后的相關處罰;定期開展用戶信息安全檢查,做到提前防范,最大限度保障用戶信息安全等。
另一方面企業要加強對企業員工的法制教育和思想政治教育,營造尊重和保護用戶信息安全的企業文化和經營環境,提高全員的信息安全意識和法律意識。尤其是針對能夠接觸到用戶信息的員工、外包人員、商及合作單位的從業人員要與企業簽訂保密責任書,經常性地組織開展案例教育、警示教育、相關法規和業務規范的考核等,提高從業人員的覺悟和防范意識。
(二)提高技術防控手段,提升系統防范能力
完善電信企業IT系統業務網絡的安全建設,構建用戶信息數據保密體系,精確定位用戶信息泄露風險,從外部和內部防范兩方面提升系統的防范能力。
首先是做好外部防范,由于電信企業IT系統業務平臺繁雜,接入終端種類多,要保證各類終端和網絡安全地接入到業務系統中,就要不斷完善信息系統安全設備如防火墻、入侵檢測系統、病毒防護系統、認證系統等性能,對可訪問系統的計算機及移動終端等必須實施安全認證和安全策略防護,實現對用戶信息的“區域外保護”,嚴格防范黑客和外部不法人員竊取用戶信息。其次,由于大部分用戶信息泄露案件都是內部人員制造,加強內部網絡的風險防范更加重要。一方面要加強系統的認證安全能力和網絡賬號權限分級管控體系,加強對登陸人員的身份和權限核實,對于無論從業務平臺或后臺數據庫查閱和下載用戶的信息情況系統都要有完整的日志記錄;另一方面,如果用戶信息未經加密安全處理,一旦下載存儲到計算機上系統將失去監控權,有可能會造成信息恣意傳播而無法找到源頭,因此系統應自動實現數據落地加密及權限控制,同時對下載終端加強安全策略認證,提高下載用戶信息的安全度。
篇2
關鍵詞: 信息系統;等級保護;安全域;桌面域
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1671-7597(2011)1210043-02
0 前言
隨著信息化建設不斷深入,信息技術應用已滲透到企業的每一項業務,業務對信息系統的依賴程度越來越高,其基礎性、全局性、全員性作用日益增強。信息化是一把“雙刃劍”,在為企業帶來提高工作效率和管理水平、增強競爭能力等益處的同時,也為企業帶來了安全風險,安全風險與信息化水平的提高同步增長。提升企業信息系統安全防護能力,保障系統信息安全,同時滿足國家等級保護的合規性要求,成為信息化工作的新任務。信息系統安全防護架構設計思路為“分區、分層、分級、分域”的綜合防御體系。將信息管理信息網絡劃分為信息內網和信息外網,根據業務重要和社會影響劃分了若干三級保護系統和二級保護系統,三級系統獨立分域,其余二級系統統一成域,不同的安全域,從邊界安全、網絡安全、主機安全、應用安全等方面明確了防護要求。在防護體系中,桌面終端域作為一種特殊的域。“總體防護方案”對桌面終端域提出了“終端安全管理”和“網絡準入控制”的要求,需要重點關注和分析。
1 獨立成域業務之間的橫向隔離
從等級保護建設的實際情況來看,三級要求的其他技術手段可以依托于設備和基礎方案來實現合規性建設。目前,棘手的問題是如何實現業務系統端到端的安全隔離,以及桌面域用戶如何在多個業務域隔離的情況下實現安全有效的互訪,既要實現業務隔離,確保業務的端到端訪問路徑有效隔離,又要充分節省桌面域內終端計算機的復用投資。
1.1 隔離的必要性和充分性
從業務訪問路徑上來看,主要是桌面主機通過網絡通道訪問應用系統,通過網絡隔離措施對不同的應用、業務和群組用戶進行安全隔離,提高數據傳輸的保密性和安全性,為用戶業務傳輸提供端到端的安全保證。
現有的網絡隔離措施在兩個安全區域間的有效控制互訪上面較為全面和細致,但是要完成等級保護建設的要求,必須針對訪問路徑的各個關鍵節點,都能進行有效的訪問控制。網絡發展的趨勢是資源的集中與基礎設施的復用,在此之上虛擬化技術以1臺物理設備對應多個邏輯設備的優越特點越來越多地被考慮到,對應到電力等級保護的建設要求,必須針對多種不同業務實現虛擬化技術基礎上的多通道隔離,特別是針對現有的數據大集中以后,在數據中心層面,如何實現隔離,也是端到端隔離技術選擇上需要重點考慮的問題。
1.2 幾種隔離技術的對比
虛擬局域網VLAN(Virtual Local Area Net-work)是現有局域網中最常用的隔離技術。VLAN適合小型網絡用戶邏輯隔離,但VLAN的廣播域占用帶寬資源,鏈路利用率低;二層網絡不適合大規模應用,網絡收斂速度慢,需要配置較多的二層特性,配置管理相對復雜。是一種最基本最常用的隔離方式,廣泛應用于網絡接入層。
分布式訪問控制列表ACL(Access ControlList)是另一種常見的隔離技術,適合一些規模不大的組網使用,需要嚴密地策略控制,配置管理復雜,無法提供端到端的隔離,業務或網絡調整時需要更改大量配置,并且嚴格限制可移動性。常見的防火墻采用的就是這種方式。
多協議標簽交換MPLS VPN(MultiprotocolLabel Switching Virtual Private Network)是一種在大型園區網和廣域網內被普遍使用的隔離技術,支持園區內用戶群組互訪應用,能夠提供安全的端到端業務隔離,接入方式靈活,適合大規模網絡應用,可擴展性好,具有良好的可移動性。但其要求設備支持VRF(VPN Routing Forwarding)/MPLS VPN,實際上主要依賴于核心交換機和骨干網路由器實現。
還有一些隔離技術本次不會考慮到,比如說,采用網閘進行物理隔離,采用入侵防御系統IPS(Intrusion Prevention System)等進行應用層安全隔離等。上述3種隔離技術在不同的應用場景下,都有不可取代的作用,在選用過程中,需要綜合考慮部署位置、部署靈活性以及隔離目標的達成性。
1.3 端到端的業務邏輯隔離方案
分析現有業務域劃分的特點,可以看到,幾個三級域都有跨廣域傳輸,且在局域網內使用過程中接入層角色不區分,數據中心級應用業務角色不區分。這就意味著端到端隔離的可行方案必須是一個綜合性的隔離方案,在原有各自為政的隔離基礎上,要實現動態配置可調整,以便適應同一個物理通道被多個邏輯業務所使用。各個隔離技術的部署位置如圖1所示。
圖1 獨立成域的業務系統間隔離示意圖
接入層各主機采用VLAN方式接入,以不同的VLAN號區分不同的業務,在匯聚層或核心層將VLAN與虛擬路由轉發VRF技術做一個映射,在跨廣域傳輸中以VRF來區別不同業務,在數據中心前端,通過多實例用戶網絡邊界設備MCE(Multi-VPN-Instance Customer Edge)連接技術,實現對不同來自VRF業務的安全策略控制,再以映射VLAN的方式訪問服務器資源。
整個過程中,廣域網VPN和數據中心VLAN可以一次配置后不需要調整,只需要調整映射關系即可,接入層VLAN作為選擇業務的發起者,需要實現對業務應用的智能識別和控制。
2 桌面域多用戶角色處理
網絡縱向邏輯隔離實現后,桌面域主機如何有控制地分別接入的不同業務域,成為實現端到端業務縱向隔離的關鍵。
2.1 桌面域接入網絡面臨的挑戰
等級保護屬于強制業務分區方式,三級業務完全隔離雖尚未有強制到桌面主機多機隔離的要求,但是必須確保同一個主機在滿足三級接入要求的前提下能夠同時以多個業務域主機的角色存在,所以,業務域的標記和識別是接入層最重要的工作。現有的網絡終端準入系統常見的功能是用戶終端試圖接入網絡時,首先通過安全客戶端進行用戶身份認證,非法用戶將被拒絕接入網絡;合法用戶將被要求進行安全狀態認證,由安全策略服務器驗證補丁版本、病毒庫版本是否合格,不合格用戶將被安全聯動設備隔離到隔離區;進入隔離區的用戶可以進行補丁、病毒庫的升級,直到安全狀態合格,安全狀態合格的用戶將實施由安全策略服務器下發的安全設置,并由安全聯動設備提供基于身份的網絡服務。
分析現有的桌面域準入控制系統,可以發現用戶的接入方式802.1x、門戶單點、VPN、無線局域網等,認證因子有用戶名+密碼、軟證書、硬證書等,認證可動態下發的安全策略有VLAN、ACL,其中ACL與接入層設備強相關。
由于業務接入的方式多種多樣,在接入方式尚不具備區分性,認證因子上如果選擇差異化較大的用戶名及登錄屬性,則會大大增加主機側的難度,需要以一個合理的方式表示出本次登錄用戶希望使用的是某個業務。
2.2 多角色主機解決方案
綜合考慮多種實現方式,選擇用戶名結合域名拼接的方式進行認證,由認證服務器配合進行用戶名和域名的獨立解析,然后下發動態的設備配置到主機所接入的交換機的對應端口,用戶認證通過后即實現了相應業務域資源的訪問,如圖2所示。
圖2 多角色主機登錄認證示意圖
在圖2中,用戶唯一,但通過后綴實現同一賬號在各個業務域內安全接入,通過身份實現控制權限動態下發ACL或VALN。
無論是ACL方式下發的,還是VLAN方式下發的,最終都可以映射到廣域網縱向隔離的MPLSVPN中去,所以也就完成了端到端業務發起者的業務動態識別和標記工作。
3 等級保護安全域隔離需考慮的其他問題
等級保護業務安全域隔離的問題在具體實施過程中應注意以下幾個關鍵要素。
1)接入層設備與網絡準入系統的配合上,必須支持ACL和VLAN的動態下發。
2)在匯聚設備或核心設備上,支持VLAN和ACL到MPLS VPN的VRF的映射的配置,以便能夠實現接入層到廣域傳輸層的對接。
3)在數據中心服務器前端,部署的安全設備必須支持MPLS VPN組網下的MCE功能,支持虛擬防火墻功能。
4 結束語
等級保護建設從根本意義上是合規性建設,一方面要充分利用現有的設備和技術手段解決問題;另一方面要針對多業務安全域間條塊化隔離和多角色主機復用問題,通過原有技術手段的進一步組合和創新性方案的提出,在生產中解決這些問題。虛擬化資源動態分配和桌面終端的一機多域的解決方案,可充分地利用現有的技術隔離措施以及設備,實現端到端的策略對接,多角色主機接入。
參考文獻:
[1]郭護林,企業網絡信息安全分析[J].計算機安全,2002.
[2]閆斌、曲俊華、齊林海,電力企業網絡信息安全系統建設方案的研究[J].計算機安全,2003.
[3]朱貴強,論企業網絡信息安全管理,2005.
篇3
隨著我國信息化應用的深入發展,信息技術和設備在各行各業中都得到了廣泛應用。當前,借助信息化手段打造的智能化電網正在我國電力企業中發展壯大,電力企業已經基本上實現了信息化和自動化,而信息安全問題在信息化應用過程中也日趨突出。如果電力企業核心業務系統發生信息安全事件,勢必會對電力系統的穩定運行造成影響,一旦電力系統癱瘓,就會給國家造成不可估量的經濟損失,以及負面的社會影響。所以電力企業必須加強信息安全管理,國家層面及行業內部均出臺了相關的信息安全管理要求,其目的都是確保各類重要信息系統的安全穩定運行。
1信息安全等級保護
1.1信息安全保護等級劃分
依據國家標準《信息系統安全等級保護基本要求》(GB/T22239-2008),電力行業內部出臺了《電力行業信息系統安全等級保護基本要求》(電監信息〔2012〕62號)。從相關標準中可知信息系統的安全保護等級主要有2個要素決定:一是系統受到破壞后所侵害到的客體范圍,這里的客體主要包括公民、法人和其他組織的合法權益;社會秩序、公共利益;國家安全等。侵害客體范圍越大,級別越高其保護等級也越高。二是系統受到破壞后對客體造成的損害程度,主要有三種認定,即一般損害、嚴重損害、特別嚴重損害。程度越深保護等級越高。根據定級要求,安全保護等級被分為以下5個等級。第一級:用戶自主保護級的信息系統受到破壞,這可能會在一定程度上造成當事人和其所在的組織的利益受損,但是對于國家的安全、集體的利益以及社會穩定的發展并未造成較大的損傷。第二級:系統審計保護級的信息系統受到破壞,該情況可能會對當事人所在的組織與人民群眾的切身利益受到較大程度的損失,同時也影響了集體的利益與社會的安定團結,但是并未對國家安全產生影響。第三級:安全標記保護級的信息系統受到破壞,在這種情況下集體利益和整個社會的安全穩定遭受到了重大程度上的損傷,此外該等級有著與系統審計保護級相類似的全部信息的保護功能,它在此基礎上會強制對于系統檢查并記錄相關內容,主要監控和檢查的是訪問者與被訪問的對象。第四級:結構化保護級的信息系統受到破壞,該情況可能會對人民群眾的切身利益以及一些機構組織帶來不利的影響,此外還對國家的安全、集體的利益以及整個社會的安定團結帶來重大的損失。第五級:訪問驗證保護級的信息系統受到破壞,在這種情況下的國家安全將會受到極其惡劣和嚴重的影響。
1.2信息安全等級定級
(1)安全保護等級依據相應的政策與規定進行定級相應的政策與規定指的是《信息系統安全等級保護基本要求》的國家標準和《電力行業信息系統安全等級保護基本要求》的行業標準,在安全防護信息的過程中,諸如一些國家機關、重點的科研單位以及國防部等特殊機構的信息系統應當進行特殊的保護與相應的隔離。這些系統應該進行特別嚴格的對待,需要依據防護信息安全等級中的相應法律法規與政策的規定,從而對于系統進行監控和防護。
(2)安全保護等級依據需要保護的數據的價值進行定級依據需要被保護的信息類別與所存在價值的不同,進而設置出不同的防護安全等級。這樣可以在保護信息安全的同時還能夠最大程度降低所投入的運作。從信息安全保護等級的劃分情況及電力企業的屬地等級及重要程度來看,電力企業中各類業務信息系統的保護定級一般會在第二級到第四級之間。電力信息系統的安全等級防護及其要求的重點對象是防護信息系統等級在三級和三級以上的系統,其實質主要是監督檢查級與強制監督檢查級。
2電力信息系統的安全等級防護及其要求
安全等級防護主要具備以下幾個作用:一是幫助企業有效地防止外部勢力和企業內部人員對系統造成破壞;二是針對安全事件進行性質審查和等級確認;三是幫助企業抵制所面對的可能會破壞系統的行為;四是對于違法違規的行為能夠進行審核和追查。電力信息系統安全等級防護及其要求涉及了電力生產控制系統和管理信息系統,但重點則是以電力生產控制系統的安全防護為主,如若電力生產控制系統遭受攻擊,將引發電網事故。所以電力企業在電力生產控制系統的規劃、設計、建設階段就要加強安全防護審核,新建或改造系統投運前需通過安全等保測評。系統投運后需將安全防護納入日常運行監視和管理范圍,建立專項應急機制和預案,當發生信息安全事件時,采取應急防護措施,防止事態擴大。
3信息安全等級保護的方式
信息安全等級保護的方式主要有以下三方面:
3.1物理安全保護方面
物理安全保護主要從系統運行環境進行安全管理控制:對主機房等設備運行環境進行安全防范管理。利用較為先進的技術和設備實現對重要信息設備進行不間斷電源、防塵、防震、防火、防盜、防雷、防靜電、溫濕度控制、電磁屏蔽防護、數據備份及防泄露等方面的防護,確保各類信息設備的安全穩定運行。由此可看出,物理安全保護的目標就是為信息系統設備提供安全穩定的運行環境。
3.2主機安全保護方面
主機安全保護主要從主機安全運行進行安全管理配置:主要對主機中運行的操作系統、數據庫、中間件及其它應用系統的安全運行進行配置管理。具體要求主要有身份鑒別、訪問控制、安全審計、安全標記、剩余信息保護、入侵防范、惡意代碼防范、可信路徑、資源控制等安全配置要求。主機作為承載信息系統的主體,也是信息系統安全保護的主體。
3.3網絡安全保護方面
網絡安全保護主要對網絡設備及網絡通信(訪問)進行安全管理:主要通過對網絡結構、訪問控制、安全審計、邊界安全管理、入侵防范、惡意代碼防范、網絡設備安全配置等安全管理審查項進行全面審查,從而確保信息網絡的安全可靠運行。
4電力信息系統等級保護策略
電力企業信息系統安全等級保護工作關系著電力系統的安全穩定運行,加強信息系統安全等級保護是電力企業信息管理工作的工作重點,主要有以下幾項關鍵點,通過相關保護措施、策略加強信息安全等級保護工作:
4.1信息系統分級統一保護措施
電力企業擁有各種不同業務功能的業務系統,這此信息系統大多分屬于第二級到第四級的安全級別,不同的安全級別其安全要求和保護強度都不相同,這就要求電力企業在每個信息系統新建時便根據信息系統分級劃分標準進行等級保護定級。根據各個信息系統的定級情況,將同等級信息系統納入相同的安全管理區域進行統一管理,確保各個信息系統都能全面按照相應等級保護要求進行安全管控,從而有效提升各信息系統的安全管理水平。
4.2信息安全定期檢查及應急演練
這里的檢查不僅指上級單位的安全檢查,還包括信息系統運營單位的安全自查。對于不同安全等級保護措施的信息系統,需要根據等級保護的管理規范進行檢查評估,一旦發現問題立馬進行整改,從本質上加固信息系統安全配置,提升信息系統安全防護水平。對于不同等級的信息系統,應制定不同時間段的定期檢查計劃及應急演練計劃,通過應急演練模擬突發安全事件時信息系統可能發生的各類安全問題,信息系統管理人員按照應急預案開展應急處置,以此驗證應急預案的正確性,并提升信息系統管理人員的應急處置能力,進而確保信息系統在發生安全事件時,能夠在最短時間內將事件影響降低到盡可能小的范圍內。
4.3信息安全保障體系的建立與落實
通過信息安全保障體系的建設可以用來提高源于人、管理以及技術三方面所形成的預防能力、防護能力等各類提升系統安全的能力,可以使信息系統安全管控作業實現規范化、標準化和常態化的管理,實現對信息系統的安全屬性、功能應用以及服務效率上開展動態保護,所謂安全屬性指的是信息系統和它的基礎網絡的真實可用性、完整保密性等安全屬性。通過信息安全保障體系的落實,使信息系統安全管理工作以更加具體的作業操作方式呈現,從而使信息安全管理工作更加具體化,在確保信息系統安全穩定運行的同時促進了電力企業對信息安全作業的管控。
參考文獻
[1]朱世順.電力生產控制系統信息安全等級保護研究[J].電力信息化,2012.
篇4
范的遵循、通過一些技術手段能夠給予解決。
其次是規范,目前國家對于不同的行業有分級保護、等級保護制度,明確了對系統及管理的安全保護要求。企業也有一些合規性法案要求、在進行系統規劃和建設的同時,應將信息安全的保護措施作為必要的內容進行考慮。
最后是技術,當前針對數據加密和文檔防泄密保護、行為審計等安全問題都有一些成熟可用的解決方案,無論是政府部門還是企業都可以采用一些技術手段來和管理需求結合,降低信息安全引發的風險。
文檔泄密的主要途徑
據了解,大量文檔信息泄密事件的出現主要有兩方面的原因:首先是大量的信息安全事件,呈現出商業利益驅動的現象。不論是木馬病毒的黑色產業鏈,還是銀行系統內部人員的儲戶信息主動泄密,都有后面的商業利益驅動。而且隨著商業環境競爭的日益激烈,這種信息安全的威脅還會持續和加劇。
其次,信息泄密在向更加專業化犯罪的趨勢發展。從木馬病毒、釣魚網站的不斷出現,再到運營商后臺密碼被攻破,這些灰色事件的背后,都有專業的人員和組織。這給信息安全防范帶來更高的要求。
據時代億信技術總監李兆豐介紹,信息安全威脅不僅成為困擾個人隱私保護和企業發展的問題,也成為阻礙我國電子商務產業繁榮、云計算推廣、移動互聯網應用的一個關鍵問題。
根據時代億信近年來的研究結果顯示,目前文檔泄密的主要途徑有4種:計算機上木馬、病毒的惡意竊取;員工對于網絡、存儲介質的違規使用;內部員工、管理員的主動泄密;筆記本電腦、移動硬盤維修、丟失過程中導致的泄密。
針對這些泄密的途徑,時代億信文件盾系列產品采用如下技術有針對性地進行了解決:通過對文檔加密,防止傳輸、存儲過程中的泄密;在計算機上進行可信進程控制,防止木馬、病毒等的惡意竊取;建立安全的身份識別機制,確認對文檔當前操作者的身份;對文檔實現細粒度權限控制,防止內部員工的被動、主動泄密;靈活的離線控制策略,實現對文檔脫離網絡后的控制。
從目前國內文檔安全產品的競爭格局來看,主要有如下三類:第一類是國外技術產品,比較典型的是微軟的RMS文檔權限管理系統以及EMC的Documentum IRM;第二類是國內企業的DRM文檔安全管理系統產品,這里既有進入較早的前沿科技、億賽通等專業廠商產品,也有老牌信息安全廠商像天融信、啟明星辰、中軟、時代億信等OEM或自主研發的文檔安全產品;第三類是針對CAD、PDM等設計類應用的專用加密產品。這些大都是專注于CAD應用的傳統廠商開發的針對設計軟件的加密產品。
而從目前我國文檔安全市場的發展來看,國外的產品由于理念、文化的差異,在國內市場的推廣和實際應用效果并不理想。而國內產品更注重國內企業的企業文化,更加貼近國內企業的需求,由國內廠商提出的基于文件透明過濾驅動實現的自動加解密技術成為目前市場的主流產品。隨著一些傳統安全廠商進入這個領域后,能夠結合其在傳統4A安全領域的優勢技術,形成一整套從外到內的信息安全整體解決方案,進一步推動了文檔安全市場的成熟和發展。
文檔加密技術的優勢與挑戰
據李兆豐介紹,目前對于一般企業文檔安全的建設,應該不單單只是上了一套產品,而是需要建立企業文檔安全管理的規范,并且這個規范能夠隨著企業安全需求的變化而變化。評價文檔安全建設是否成功的一個方面就是所建立的文檔安全管理規范是否適合企業。
他說,企業安裝使用文件盾產品的主要優勢在于:既可以根據用戶需求,提供個性化、模塊化的產品功能,還創新性的實現了一些主流第三方應用的成功集成,幫助企業建立整體的文檔安全服務體系。文件盾按照用戶的需求,劃分為自動加密(A)、權限管理(R)、應用集成(M)、加密網關(G)、外發控制(S)、文件保險箱(T)等6個產品型號,既可以獨立又能結合使用。特別是在應用集成方便,根據用戶的實際需求,能夠和主流的門戶、OA、KM等產品進行融合。還創新性的實現了SVN、虛擬桌面環境、移動終端下的文檔安全保護。
2011年民生銀行總行成功實施了文檔安全管理系統。全行裝機量10萬多客戶終端,其門戶、OA、知識庫系統全面和文檔安全進行了整合,在一年的時間里共有加密的文檔300萬條,有力的支撐了用戶的信息安全保護需求。民生銀行最大的特點是把文檔安全系統建設成為企業內部的文檔安全服務體系。在后期的建設過程中,逐步把SVN服務器、Citrix虛擬桌面應用等一系列應用納入文檔安全保護體系中,實現了企業信息安全保護的可持續發展。
篇5
肖波認為,當前我國企業級信息安全領域尚比較薄弱,管理軟件和信息安全分屬不同領域,兩者平行運營而無交集,以太信御在此一背景下,選擇定位于企業級信息安全領域,向行業領軍企業、平臺級公司進軍。
肖波對此雄心勃勃。他強調,過去10年全球信息安全產業的每個細分領域都產生了一個世界級巨頭,他相信中國信息安全也會誕生世界級巨頭,并帶動本土信息安全產業的發展。“如今在消費級市場已經有了巨頭,企業級市場還沒有。”肖波說,“我就不能想一想嗎?”
據悉,以太信御推出的SecurityLink系列解決方案將為企業級信息安全保駕護航。以太信御副總經理林森介紹,SecurityLink包含基礎架構安全A、業務應用安全X、業務數據安全D和運維安全M這四個系列產品,在技術架構、業務應用、業務數據、運維安全四個領域整合出50個安全組件,并根據企業信息化安全各種需求,將不同的安全組件進行組合,為企業信息安全提供全方位立體化防御。
其中,基礎架構安全A系列包含以太信御統一威脅管理(A-USM)、以太信御Web應用安全網關(A-WAG)、以太信御安全虛擬專線系統(A-VPN),、以太信御應用交付系統(A-ADC)和以太信御主機安全衛士(A-HSG)五款產品。
業務應用安全X系列是SecurityLink系列解決方案的核心,以BowlineBox硬件盒子的方式整合了業務系統保護、ERP安全保護等安全組件,旨在解決用戶核心的業務系統數據安全。BowlineBox安全盒子針對應用規模分別推出X1、X3、X5、X6、X9不同系列產品。BowlineBox安全盒子可以為企業提供全生命周期的業務安全保障體系:通過訪問準入、安全準入、系統可用性保障、企業敏感信息防泄漏實現事前防范,通過實時、全面的監控體系和高校、快捷的報警機制進行事中監測,通過多樣化分析體系、面向企業的個性化安全報告進行事后分析。
業務數據安全D系列由以太信御敏感信息防泄密系統(D-DLP)進行防護,包含敏感信息泄漏阻斷、敏感信息泄露監測、敏感信息加密、數據備份/異地災備等防護措施,保障企業業務數據的安全問題。
篇6
關鍵詞:網絡環境;企業信息;安全管理
隨著網絡的普及和廣泛應用,人類生活辦公都越來越離不開網絡,在信息全球化的影響下,網絡已經對人們的生活產生出了極為深刻的影響。因此,人們對網絡環境下的信息安全問題也開始更加關注。在企業中運用網絡,在促進企業發展的同時,也很容易造成企業中的信息出現泄漏的現象,且一旦信息泄漏,就會造成嚴重的影響。企業內部也是這樣,與此同時網絡安全問題卻逐漸浮出水面,嚴重威脅到了網絡健康和正常運行。所以采取相關安全管理與防范措施很有必要。網絡化的社會可以讓天下事盡收眼底,極其方便快捷。企業內部利用網絡這一優勢將其應用到實處,讓網絡在企業運營中發揮著重要作用。而有好處的同時往往也會存在著壞處這一對立面,安全隱患就是很棘手的一個問題。文章就是基于此來分析出切實可行的安全管理與防范對策,從而能夠解決這一問題。
1信息安全與信息安全管理
(1)信息安全的根本目的是保障企業內部信息不受任何因素的威脅,確保系統能夠連續可靠正常地運行,現代企業的信息安全是指企業為確保信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性不因偶然或惡意原因遭受破壞、更改和泄露而在計算機管理和技術上對數據處理系統進行的安全保護,保護企業的生產運營安全。(2)一般來說,存儲設備配置和信息安全管理中的漏洞、網絡環境和企業內部局域網潛在的危險是企業信息安全的主要隱患。結合企業實際特點和需要,構建企業信息安全管理體系,避免企業機密資料外泄,保護企業的生產運營安全是企業信息安全管理研究的重要課題。企業信息安全管理是企業為實現安全目標進行的信息安全風險相互協調活動,其目的在于通過制定信息安全政策、風險評估等系列工作盡量做到在有限的成本下保證資產的安全,維護信息的機密性、完整性和可用性。(3)隨著科學技術的不斷發展,云計算、大數據以及互聯網等將引領著未來IT的發展。企業想要實現發展,就要做好基礎性的工作,完善基礎設施建設,建立出完善的信息安全保障系統,在健康的網絡環境下來實現長遠的發展。企業想要實現長遠的發展,就要保證自身信息上的安全,同時還要認識到信息安全的重要性,從長遠的角度上出發來保護好信息。
2網絡環境下企業信息安全管理存在的問題
2.1計算機自身的不確定性
網絡時代,人人都可以成為信息的制造者、傳播者和接受者,但由于網絡的開放性、匿名性以及網民素質的良莠不齊,不僅導致網絡產生許多虛假信息、表述不明確信息,來混淆視聽。甚至誤導網民,引發,而且還為不法分子盜取企業信息提供了便利條件。加之,網絡資源的共享性為網絡系統安全的攻擊者提供了破壞企業信息安全的機會,給企業信息資源帶來大量的安全漏洞,給企業發展帶來不利的影響。
2.2安全軟件設計滯后
進入信息化時代,計算機在企業發展過程中扮演著極為重要的角色,而隨著計算機與互聯網技術的融合,網絡不僅為企業提供了極為豐富的信息資源,拓寬了企業獲取信息的渠道,而且還極大地提高了工作效率,提升了企業經濟效益和社會效益。但拓撲結構的設計和各種網絡設備的選擇容易感染病毒或被黑客侵略的問題,給企業信息安全帶來直接的安全隱患。而相關病毒查殺軟件都是為應對問題而設計的,也就是說,病毒查殺軟件是針對病毒研發的一種“見招拆招”的軟件,具有嚴重的滯后性。合理的安全軟件設計能夠為企業信息安全提供較好的保護,不合理的安全軟件設計則會成為企業信息安全的隱患。此外,由于安全軟件設計不合理或維護工作不完備,也極易造成病毒入侵、系統癱瘓等狀況,影響企業正常運轉。
2.3網絡操作系統的漏洞
隨著網絡技術的發展,作為網絡服務得以實現的載體,網絡操作系統不可避免地會存在一些漏洞,這些漏洞作為一種伴生性漏洞不僅一直存在,而且還為病毒的滋生和入侵提供了機會。不斷更新換代的網絡軟件在設計時考慮到便于軟件的擴展和維護,常會為編程人員設置后門,但網絡協議實現的復雜性使得操作系統的缺陷和漏洞成為網絡安全的硬傷,這些后門一旦被不法分子發現,會對企業信息安全造成很大的威脅。如黑客攻擊就是基于網絡操作系統漏洞而產生的一種難以防范的、人為惡意攻擊,對企業造成無法彌補的損失。
2.4人為因素造成的安全問題
隨著市場經濟體制的不斷完善,企業之間的競爭日趨激烈,很多企業只重視利益的發展,將全部精力集中于企業生產經營,并沒有認識到企業信息保護的重要性,造成企業信息在存儲過程中沒有適當的制約機制,造成企業信息安全保障系統存在漏洞和隱患。加之網絡作為一種新生事物,企業對信息安全管理投入不足,員工普遍安全意識缺乏,信息安全管理規章制度不完善,這不僅浪費了企業的網絡資源,而且還極易出現安全隱患和漏洞。
3網絡環境下企業信息安全管理建設的措施
3.1通過對目前的應用系統進行分析與評估等工作是實際
可行的辦法安全風險評估。因此,在實際中企業中的信息系統根據風險管理的方法來對可能存在的風險以及需要進行保護的信息進行分析,以風險評估為最終結果來選擇出適當的措施,應對好可能出現的風險。企業只有對安全風險進行有效的評估,才能夠結合實際問題進行科學合理的分析,采取有效的措施避免風險出現。
3.2要做好技術上的創新。對于網絡的正常運行來說,安全是最基礎的,想要保證網絡的安全,就要從多個層面上出發來進行立體保護。將監督檢查機制落實到實際中去。時代的發展是建立在創新基礎之上的,只有實現不斷的創新,才能實現更好的發展。因此,在技術不斷創新的影響下,就要提高其質量,保證效益,建立出以市場發展為基礎的創新機制。同時還要保證財力上的支持,實現技術的改進與創新。通過對各項制度的實際情況進行檢查,可以保證企業中信息的安全。想要保證信息的安全,就要制定出信息的搶救措施,如進行數據恢復、備份以及銷毀等安全預防措施。
3.3充分運用防火墻技術
在網絡信息安全的管理中,防火墻技術屬于一項較為有效的安全技術,能夠按照特定的規則,從而來允許以及限制數據的通過。防火墻能夠有效防止黑客訪問用戶的及其,以此來組織黑客拷貝篡改用戶的信息,以此來保證信息的安全。現今很多企業都廣泛應用防火墻技術,以此來保證自身企業的信息安全。并且防火墻自身具有很強的抗攻擊性,不會被病毒所控制。同時防火墻技術能夠將內部的網絡進行劃分,從而來將重點的網段進行隔離,以此來對其進行保護。
4結語
總之,想要保證企業中的信息安全,就要堅持從信息安全技術與做好內部管理工作上出發,企業網絡辦公不僅可以將各個部門緊密聯系在一起,工作溝通起來還可以更方便,極大地提高了工作效率,創造了更多的經濟效益。這是新時代、網絡時期給企業帶來的難得一遇的機會和福音。通過安全技術的支撐來提高內部管理工作的效果,同時還要落實管理與監控工作,加強信息安全教育,建立出完善的管理制度,提高安全管理的水平。還竭盡全力做好企業內部網絡的安全管理和防范對策,兩者結合、相輔相成,這樣一來企業的發展會更美好,更有希望。
作者:于倩 單位:淄博信息工程學校 淄博建筑工程學校
參考文獻:
篇7
對于知識型企業來說,人才是最大的財富,智力成果是他們的競爭優勢,而知識產權和信息安全保護就是它們的生命。如果是只有三五個人的小公司,老板一個人把所有資料放在自己的電腦里,所有的商業機密和設計成果就保護住了。可對于一個上千人的大公司來說,保護好公司的知識產權就會面臨巨大的挑戰。這樣的挑戰,是懸在每個知識型企業CIO甚至CEO頭上的一把利劍。
有沒有辦法來免除這樣的煩惱呢?
中冶南方工程技術有陽公司(以下簡稱中冶南方)找到了解決這一問題的途徑。據了解,中冶南方的前身為冶金工業部武漢鋼鐵設計研究總院,是由中國冶金科工集團公司、武漢鋼鐵(集團)公司、鞍鋼股份有限公司等共同出資組建的高新企業,注冊資本20000萬元,擁有3000人規模的大型知識型企業,業務范圍廣泛,是華中地區的龍頭企業。
在尋找如何防止商業機密泄露的過程中,公司通過實施文印管理服務MPS系統,從硬件到電子化文件,再到紙質文件……有效地確保了公司商業機密不被泄漏,也給國內企業的知識產權保護提供了一個新的思路。
10%的疏漏
“行百里者,半九十。”這句古諺充分說明了一個道理,一件事做到90%,實際上成效只能算達到一半。因為剩下的那10%會成為一個巨大的漏洞,影響整件事的進程和最終結果。
如何解決好紙質文件的安全管理,同時又提高員工的工作效率成為信息中心亟待解決的課題。
2007年的9月,中冶南方信息中心主任黃湘武就站在這個“九十里”處徘徊。對于中冶南方來說,知識產權的重要性顯而易見。像中冶南方這樣的智力輸出型企業,設計圖紙信息是公司最重要的智力資源,要保證這些資料不被輕易地帶出公司,電子文件和紙質文件的管理和安全保護至關重要。
據了解,中冶南方為防止商業泄密,早就建立了一套基于數字化加解密技術的信息安全體系,可以對現有的電子文檔實現全面的保護,對企業信息達到90%的保護度。這些措施雖然很好地保護了電子文件的外泄,可是紙質文件的信息安全保護一直做得不理想,讓整體信息安全工作的效果大打折扣。
當時,為了保證紙質文件安全,公司里所有的文件復印必須到領導辦公室去,所有的掃描要到文印中心經過登記才可以掃描,圖紙的復印掃描則由專人負責。這樣繁瑣的流程,浪費了員工許多工作時間。
身份識別立功
如何既解決好紙質文件的安全管理,同時提高員工的工作效率和滿意度成為中冶南方信息中心亟待解決的課題。中冶南方和惠普IPG合作,進行了文印系統的全面規劃。
公司給每個部門標配的設備上都可以實現員工身份識別。一期項目中,這種身份識別是通過輸入用戶名和密碼來實現;二期項目則給員工帶來更多便利,直接刷員工門禁卡就能完成打印。
這種方式對于員工的好處是,日常的文印作業,員工可以在部門內就近完成打印、復印、掃描等文印操作,再也不用那么麻煩地去領導辦公室復印,去文印中心登記了,省去了幾棟樓之間的奔波,大家在自己的辦公室里可以完成工作。
據公司內部的一項員工調查顯示,大家對信息中心工作的滿意度,由原來的90%左右提高到99%以上。同時,由于所有的文印操作均記錄在審計數據庫中,公司可以對每個環節的文印行為進行事后審計,從而使得公司的電子文件和紙質文件都處于中冶南方全信息體系中,高效、安全地保護了公司的知識產權。
篇8
關鍵詞:智能電網 信息安全 防護體系 可信平臺
中圖分類號:F49 文獻標識碼:A 文章編號:1007-3973(2013)012-212-02
1 引言
隨著智能電網建設步伐的推進,更多的設備和用戶接入電力系統,例如,智能電表、分布式電源、數字化保護裝置、先進網絡等,這些設備的應用使電網的信息化、自動化、互動化程度比傳統電網大大提高,它們在提升電網監測與管理方面發揮了重要作用,但同時也給數據與信息的安全帶來了隱患。比如黑客通過竊取技術訪問電網公司數據中心的服務器,有可能造成客戶信息泄露或數據安全問題,嚴重時有可能造成國家的重大損失。因此,如何使眾多的用戶能在一個安全的環境下使用電網的服務,成了當前電網信息安全建設的重要內容之一。
2 電力企業信息安全建設的關鍵問題
云計算技術在電力企業的業務管理中已經逐步得到應用,另外,隨著技術的成熟和商業成本的降低,基于可信計算平臺的網絡應用獲得了迅猛發展。如果在電網業務管理體系中將可信計算與云計算結合起來,將會使電網的管理水平如虎添翼。圖1為構建可信平臺模塊間的安全通道示意圖。
在可信計算環境下,每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內置密鑰,在模塊間能夠構成一個天然的安全通信信道。因此,可以將廣播的內容放在可信平臺模塊中,通過安全通信信道來進行廣播,這樣可以極大地節約通信開銷。
智能電網的體系架構從設備功能上可以分為基礎硬件層、感知測量層、信息通信層和調度運維層四個層次。那么,智能電網的信息安全就必須包括物理安全、網絡安全、數據安全及備份恢復等方面。因此,其涉及到的關鍵問題可從CA體系建設、桌面安全部署、等級防護方案等方面入手。
3 智能電網信息防護體系框架
3.1 數字證書體系
數字證書體系CA是建設一套符合國家政策要求的電子認證系統,并作為電力企業信息化建設的重要基礎設施,實現各實體身份在網絡上的真實映射,滿足各應用系統中關于身份認證、信息保密性、完整性和抗抵賴性等安全性要求。該系統主要包括根CA系統、CA簽發系統、RA注冊管理系統、KM系統、證書狀態查詢系統和LDAP目錄服務系統,總體結構如圖2所示。
3.2 桌面安全管理體系
該體系可為電力企業提供集中的終端(桌面)綜合安全管理的桌面管理產品,打造一個安全、可信、規范、健康的內網環境,如圖3所示。
該體系能滿足用戶:確保入網終端符合要求;全面監測終端健康狀況;保證終端信息安全可控;動態監測內網安全態勢;快速定位解決終端故障;規范員工網絡行為;統一內網用戶身份管理等。
3.3 等級防護體系
此外,在設計信息安全體系時,還需要針對電力企業的業務應用系統,按照不同的安全保護等級,設計信息系統安全等級保護方案,如圖4所示。
根據國家關于《信息系統等級保護基本要求》中關于信息安全管理的規定,該體系應該包括物理安全、網絡安全、主機安全、應用安全、數據安全等方面。
4 結論與展望
本文將電力云技術與可信計算結合起來,設計了面向智能電網的信息安全防護體系框架,從CA體系建設、桌面安全部署、等級防護方案等方面闡述了該框架的內涵。但信息安全是一個沒有盡頭的工作,需要及時與最新的方法相結合,不斷完善信息安全方案,使電網做到真正的智能、堅強。
(基金項目:中央高校基本科研業務費專項資金項目(11MG50);河北省高等學校科學研究項目(Z2013007))
參考文獻:
[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網技術綜述[J].電網技術,2009,33(8):1-7.
[2] 國家電網.關于加快推進堅強智能電網建設的意見[N].國家電網報,2010-01-12(2).
[3] 曹軍威,萬宇鑫,涂國煜,等.智能電網信息系統體系結構研究[J].計算機學報,2013,36(1):143-167.
[4] 陳康,鄭緯民.云計算:系統實例與研究現狀[J].軟件學報,2009(5):1337-1348.
篇9
飛速發展的社會經濟將企業管理投入到信息技術的海洋之中,大中型企業管理的自動化水平正在不斷提高。現代企業的核心管理手段是將計算機網絡技術應用于業務管理系統,實現企業管理理念的宏觀化、管理手段的智能化、管理方式的網絡化,從而帶來的是管理效率的高速化。具體的管理系統包括外門戶網站系統、內部門戶網站系統、辦公自動化系統、營銷管理系統、配網管理系統、財務管理系統、生產管理系統等[ 1 ]。
1 企業網絡信息安全概述
1.1 網絡信息安全面臨的威脅
網絡信息的安全主要是系統漏洞帶來的病毒和黑客侵襲。漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統[ 2 ]。系統漏洞是危害網絡安全的最主要因素,特別是軟件系統的各種漏洞。黑客的攻擊行為都是利用系統的安全漏洞來進行的。許多系統都有這樣那樣的安全漏洞(Bugs),其中有些是操作系統或應用軟件由于設計缺陷本身所具有的,這些漏洞在補丁未被開發出來之前一般很難防御黑客的破壞,除非你不接入網絡。還有就是程序員在設計一些功能復雜的程序時,預留的用于測試和維護的程序入口,由于疏忽或者其他原因(如將它留在程序中,便于日后訪問、測試或維護)沒有去掉,這就可能被一些黑客發現并利用作為后門。到目前為止,還沒有出現真正安全無漏洞的產品,這也是當前黑客肆虐的主要原因[ 3 ]。
1.2 造成企業網絡信息安全威脅的原因
1.2.1 計算機系統原生漏洞
目前計算機所依賴的依然是普遍通用的微軟Windows系統。為了適應用戶的需求,這一系統的研發進展不斷進步,系統升級較為頻繁,每兩年左右便會有新系統推出面世。許多計算機用戶,特別是企業用戶,如果對新系統沒有全面、專業、深入的了解而盲目進行了系統更新,有可能造成安裝設置過程中缺陷導致的新系統帶來的弊端,從而埋下漏洞隱患,給信息安全造成威脅。
1.2.2 計算機軟件應用不當遭遇惡意軟件
在企業管理計算機軟件應用過程中,如果沒有專業的識別和下載安裝經驗,極有可能遇到惡意軟件。惡意軟件常常故意不對用戶做明確提示(如選項提示、退出安裝提示等)或者在未經用戶許可的情況下,在用戶的計算機上強行安裝;有的軟件難以卸載(設置卸載障礙);還有的軟件通過瀏覽器劫持行為,肆意:指未經用戶許可,修改用戶瀏覽器或設置,迫使用戶訪問特定網站或導致用戶無法正常上網等。惡意軟件造成的計算機病毒感染,黑客的乘虛而入將嚴重威脅企業網絡信息安全,甚至導致系統崩潰,數據丟失。有的惡意軟件甚至自帶網絡數據運行監視裝置,被惡意使用后可以直接用于竊取商業數據和信息,給企業造成巨大損失。
1.2.3 企業網絡信息系統維護規范欠缺
企業網絡信息系統在運行過程中無論何種原因都難以避免可能產生的漏洞,而對信息系統的規范維護是信息安全保護的重要手段。但部分企業沒有對系統維護規范作出規定,如系統維護工程師、助理工程師的職責與權限并不明確,生產或銷售應用系統的監控記錄不能定期建檔,生產或辦公系統主機的日常故障處理不做登記,應用系統的數據庫啟動情況和數據庫設置得不到及時觀察,重要數據庫的變更操作,定期清理過期備份不能正常進行,應用數據庫癱瘓后的異地備份恢復記錄不完整等,都有可能造成企業網絡信息系統的安全隱患。
2 企業信息系統安全管理存在的問題
2.1 企業對信息系統管理重視不足
許多企業頂層決策缺乏長久觀念,比較重視信息網絡的建設而較易忽視信息網絡和系統的管理。在企業網絡建設初期往往偏重于硬件設施的投資和技術成本的投入,盲目追求管理系統的高性能、高配置,忽略了硬件設施與實際應用的差距,認為高層次的網絡系統一旦建成便萬事大吉。這種認識不但造成了不必要的資金浪費,更容易形成輕視系統維護管理工作的狀況。由于缺乏管理意識,許多企業在規章制度、人事安排、專業培訓、技術隊伍等幾方面沒有形成企業信息系統的專業團隊,更沒有針對系統癱瘓、數據丟失等突發事件的應急預案,往往是問題發生后臨時應急解決,“頭痛治頭足痛治足”,致使現代化信息系統不能充分發揮在企業運行管理中應有的作用。
2.2 企業網絡信息安全性難以保障
由于信息安全管理意識淡薄,部分企業沒有專業的網絡管理團隊。現有網管人員維護、管理網聯絡信息技術沒有保障,或者責任心不強。例如,民營生產銷售企業由于操作不規范銷售報表和潛在客戶資料數據丟失現象時有發生;部分縣級以上醫院分科或多或少都存在體統停滯現象;中小型企業中財務資料的誤刪時有發生。雖然這些單位有的也具備系統維護應急預案,部分數據得到恢復,但依然給企業造成一定損失。
3 企業網絡信息安全防范措施
3.1 建立系統安全檢查制度
企業的規章制度要重視系統安全的保護,對重要信息系統的安全檢查要建章立制,不能松懈。首先要對系統安全負責的團隊人員構成和崗位職責進行明文規定。其次要確定具體的安全檢查目標,如企業的基礎網絡是否完善、主服務器配置是否異常,對外門戶網站防火墻是否堅固,數據中心的設置是否可靠,內部辦公系統(包括財務、銷售、服務等)更新是否正常等等。第三,信息安全檢查規章制度中要具化檢點內容,如安全管理保障系統方面,對崗位制度是否建全,人員負責是否落實,信息數據是否安全,應急響應是否穩妥等項目要做出詳細檢查記錄。技術保障方面:服務器(包括操作系統、數據庫、應用系統)的各項指標,網絡設備和安全設備的各種配置,網站建設和終端等組織策略和運行維護等內容都要落實到檢查實處。
3.2 加大企業網絡信息安全的管理力度
第一,要增強網絡信息管理人員的技術培訓,使企業信息系統得到可靠的技術維護和管理,組件一只責任心強、分工明確、技術精湛的網管團隊,以保障企業網絡信息系統正常運轉不出紕漏。
第二,提高企業核心機密資料的加密層次,在這方面要投入資金購買保密程度較有保障的計算機軟件裝備,防止黑客攻擊和病毒感染。
第三,對企業信息管理和維護工作進行定期記錄、責任到人,記錄保護存檔以備可查。
第四,要建立安全可靠的計算機數據異地備案和應急預案機制,有專門制定人員負責,定期檢測數據,嚴格管理制度,以確保企業網絡信息系統出現異常時得到有效維護和修復。
篇10
【 關鍵詞 】 信息安全;等級保護;現狀及問題;建議
【 中圖分類號 】 TP393.08 【 文獻標識碼 】 A
Discussion the Status of Information Security base on Graded Protection
Zhang Wei-li
(CCID Think tank, China Center of Information Industry Development Beijing100048)
【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country, and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ,development both at home and abroad were introduced in this paper, as well as the status quo of Graded Protection in China. On this basis, the paper analyzes the problems existing in the Graded Protection in China, and put forward some Suggestions for bettering Graded Protection work.
【 Keywords 】 information security; graded protection; status and problems; suggestion
1 引言
目前對信息及信息系統實行分等級保護是各國保護關鍵基礎設施的通行做法。在我國信息安全等級保護是保障國家信息安全的一項基本制度。通過信息安全等級保護工作,實現信息安全資源的優化配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全,有效提高我國信息和信息系統安全建設的整體水平。
1.1 信息安全等級保護的概念及等級劃分
信息系統安全等級保護是指對信息以及信息系統分等級進行安全保護和監管;對信息安全產品的使用進行分等級管理;對信息系統中發生的信息安全事件分等級響應、處置的綜合性工作制度。
根據信息系統在國家安全、經濟建設、社會生活中的重要程度,以及信息系統遭到破壞后對國家安全、社會秩序、公共利益,以及公民、法人和其他組織的合法權益的危害程度等因素,將信息系統安全等級由低到高分為五個等級:第一級,自主保護級;第二級,指導保護級;第三級,監督保護級;第四級,強制保護級;第五級,專控保護級。依據安全保護能力也劃分為五個等級:第一級,用戶自主保護級;第二級,系統審計保護級;第三級,安全標記保護級;第四級結構化保護級;第五級訪問驗證保護級。
1.2 國外信息安全等級保護的發展歷程
等級保護思想最早源于20世紀60年代的美軍文件保密制度,其中第一個比較成熟并且具有重大影響的是1985年的《可信計算機系統評估準則》(TCSEC),該準則是當時美國國防部為適應軍事計算機的保密需要提出的,主要是針對沒有外部連接的多用戶系統提出。
受美國等級保護思想的影響,歐盟和加拿大也分別制定自己的等級保護評估準則。英、法、德、荷等四國于1991年提出了包含保密性、完整性、可用性等概念的歐共體的《信息技術安全評估準則》(ITSEC)。ITSEC 作為多國安全評估標準的綜合產物,適用于軍隊、政府和商業部門。1993年加拿大公布《可信計算機產品評估準則》(CTCPEC)3.0版本。CTCPEC作為TCSEC和ITSEC的結合,將安全分為功能性要求和保證性要求兩部分。功能性要求分為機密性、完整性、可用性、可控性等四個大類。
為解決原各自標準中出現的概念和技術上的差異,1996年美國、歐盟、加拿大聯合起來將各自評估準則合為一體,形成通用評估準則(Common Criteria)。1999年出臺的CC2.1版本被ISO采納,作為ISO15408。在CC中定義了評估信息技術產品和系統安全性所需要的基礎準則,是度量信息技術安全性的基準。
1.3 我國信息安全等級保護的發展歷程
在國際信息安全等級保護發展的同時,隨著信息化建設的發展,我國的等級保護工作也被提上日程。其發展主要經歷了四個階段。
1994-2003年是政策環境營造階段。國務院于1994年頒布《中華人民共和國計算機信息系統安全保護條例》,規定計算機信息系統實行安全等級保護。2003年,中央辦公廳、國務院辦公廳頒發《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出“實行信息安全等級保護”。此文件的出臺標志著等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障一項基本制度。
2004-2006年是等保工作開展準備階段。2004年至2006年期間,公安部聯合四部委開展了涉及65117家單位,共115319個信息系統的等級保護基礎調查和等級保護試點工作。通過摸底調查和試點,探索了開展等級保護工作領導、組織、協調的模式和辦法,為全面開展等級保護工作奠定了堅實的基礎。
2007-2010年是等保工作正式啟動階段。2007年6月,四部門聯合出臺了《信息安全等級保護管理辦法》。7月四部門聯合頒布了《關于開展全國重要信息系統安全等級保護定級工作的通知》,并于7月20日召開了全國重要信息系統安全等級保護定級工作部署專題電視電話會議,標志著我國信息安全等級保護制度歷經十多年的探索正式開始實施。
2010年至今是等保工作規模推進階段。2010年4月,公安部出臺了《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》,提出等級保護工作的階段性目標。2010年12月,公安部和國務院國有資產監督管理委員會聯合出臺了《關于進一步推進中央企業信息安全等級保護工作的通知》,要求中央企業貫徹執行等級保護工作。至此我國信息安全等級保護工作全面展開,等保工作進入規模化推進階段。
2 我國信息安全等級保護的現狀
2.1 等級保護的組織架構初步形成
截止目前,除了國家信息安全等級保護協調小組辦公室外,在大陸31個省、自治區、直轄市當中除天津、黑龍江、河南、重慶、陜西外,有26個行政區成立了省級的信息安全等級保護協調小組辦公室。22個省、自治區、直轄市建立了信息安全等級保護聯絡員制度,共確定1598名聯絡員。獲得信息安全等級保護測評機構推薦資質的測評機構共121家,除新疆外各省均有獲得資質的等級保護測評機構,其中國家的測評機構有7家,北京市有10家,江蘇省有14家,浙江省、山東省各有7家,廣東省有6家,其他省、自治區、直轄市有1-5家不等。25個行政區建立了等級保護專家組,共確定441名專家。
2.2 信息安全等級保護的政策體系初步形成
為組織開展信息安全等級保護工作,國家相關部委(主要是公安部牽頭組織,會同國家保密局、國家密碼管理局、原國務院信息辦和發改委等部門)相繼出臺了一系列文件,對具體工作提供了指導意見和規范,這些文件初步構成了信息安全等級保護政策體系。具體關系如圖1。
《中華人民共和國計算機信息系統安全保護條例》和《國家信息化領導小組關于加強信息安全保障工作的意見》分別是開展信息安全等級保護工作的法律依據和政策依據。《關于信息安全等級保護工作的實施意見》和《信息安全等級保護管理辦法》是在法律依據和政策依據的基礎上制定的政策文件,其為等級保護工作的開展提供宏觀指導。在上述基礎上,針對信息安全等級保護工作的定級、備案、安全建設整改、等級測評、監督檢查的各工作環節制定具有操作性的指導文件。政策體系的形成,為組織開展等級保護工作、建設整改工作和等級測評工作提供了指導,明確了各環節的工作目標、工作要求和工作流程。
2.3 信息安全等級保護的標準體系基本完善
為推動信息安全等級保護工作,全國信息安全標準化技術委員會和公安部信息系統安全標準化技術委員會組織制訂了信息安全等級保護工作需要的一系列標準,匯集成《信息安全等級保護標準匯編》,為開展等級保護工作提供了標準指導。這些標準與等保各環節的工作關系如圖2所示。
《計算機信息系統安全保護等級劃分準則》及配套標準是《信息系統安全等級保護基本要求》的基礎。《信息系統安全等級保護基本要求》是信息系統安全建設整改的依據,信息系統安全建設整改應以落實《基本要求》為主要目標。《信息系統安全等級保護定級指南》是定級工作的指導性文件,為信息系統定級工作提供了技術支持。《信息系統安全等級保護測評要求》等標準規范了等級測評活動,為等級測評機構開展等級測評活動提供了測評方法和綜合評價方法。《信息系統安全等級保護實施指南》是信息系統安全等級保護建設實施的過程控制標準,用于指導信息系統運營使用單位了解和掌握信息安全等級保護工作的方法、主要工作內容以及不同的角色在不同階段的作用。
2.4 信息安全等級保護的工作取得一定進展
各重點行業根據等級保護的政策要求開展了本系統內的等級保護工作。為落實相關等級保護政策有關行業制定了自己的行業標準,例如《廣播電視相關信息系統安全等級保護等級指南》、《水利網絡與信息安全體系建設基本技術要求》等。金融領域,人民銀行出臺了《中國人民銀行關于銀行業金融機構信息系統安全等級保護等級的指導意見》,并于2012年了金融行業的《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息安全等級保護測評服務安全指引》、《金融行業信息系統信息安全等級保護測評指南》等三項行業標準,在采用《信息系統信息安全等級保護基本要求》的590項基本要求的基礎上,補充細化基本要求項193項,新增行業特色要求項269項,為金融行業開展關鍵信息系統信息安全等級保護實施工作具奠定了堅實基礎。
測評和安全建設工作有序開展。截止到2012年底,全國已經開展了5萬多個第二級信息系統和4萬多個三級系統的等級測評,并完成了相應的信息系統的等級保護安全建設整改。2012年底,全國性銀行業金融機構完成了880個二級以上信息系統的定級評審。2012年對反洗錢中心、征信中心、清算中心和金融中心的48個重要信息系統進行了測評,共發現4284項安全問題,整改完整3451向,通過整改后其信息系統的整改測評率達到了90%以上。
3 我國信息安全等級保護存在的問題
3.1 信息系統運營使用單位對等級保護工作的重視程度還不夠
近年來信息安全等級保護主管部門高度重視等級保護工作,制定相關政策和標準,舉辦等級測評師培訓等,但信息系統主管部門以及全社會對信息安全等級保護在信息安全保障體系中的基礎性地位認識還不到位,難以將等級保護制度和已有信息安全防護體系相銜接,工作方式簡單,手段缺乏,甚至出現以其他工作代替信息安全等級保護工作的消極傾向。同時,在工作中,一些企業還存在不愿投資,不愿受監管的思想,為節省人力、物力、財力將本該定為三級的重要信息系統定位二級,這些都影響信息安全等級保護制度的全面落實。
3.2 等級保護屬于合規性被動防護與目前信息安全主動防御需求還有差距
信息安全等級保護屬于政策性驅動的合規性保護,這種合規性保護只關注通用信息安全需求,并且屬于被動保護,對于當前信息安全保護中的主動防御要求還有差距。例如,中國鐵路客戶服務中心12306網站定義為等級保護四級,2012年,曾暴露出被黑客拖庫,以及因機房空調問題停止服務等問題,而這兩項內容都在等級保護規范中有明確的要求。所以,認為通過等級保護的評測就不會出問題顯然是一種誤區。
另外,2010年“震網”病毒事件破壞了伊朗核設施,表明網絡攻擊由傳統“軟攻擊”上升為直接攻擊要害系統的“硬摧毀”。2013年曝出的棱鏡門事件,2014年曝出的美國國安局入侵華為服務器等,這些事件表明當今信息安全的主要特征是要建立主動防御體系,例如建立授權管理機制、行為控制機制以及信息的加密存儲機制,即使信息得到泄露也不會被黑客輕易獲得。而等級保護是一種被動的、前置的保護手段,與當前信息安全保護所要求的實時的、主動防御還有一定的差距。
3.3 現有防護手段難以滿足新技術發展應用中的信息安全需求
信息安全等級保護政策標準的滯后,難以滿足新技術應用的信息安全需求。例如,當前的物聯網、云計算、移動互聯網的應用呈現出新特點,提出了新的安全需求,在網絡層面原本相對比較封閉的政府、金融、能源、制造系統開始越來越多的與互聯網相連接;計算資源層面,云計算的應用,呈現出邊界的消失、服務的分散、數據的遷移等特點,使得業務應用和信息數據面臨的安全風險愈發復雜化。用戶終端層面,移動互聯、智能終端大行其道,BYOD的應用等,都為企業信息安全管理提出新挑戰。
大數據的應用,很可能會出現將某些敏感業務數據放在相對開放的數據存儲位置的情況。針對這些邊界逐漸消失,服務較為分散,應用呈現虛擬化,敏感業務數據放在相對開放的數據存儲位置,等級保護的“分區、分級、分域”保護的原則已無法有效應用。如何有效滿足新技術應用下的信息安全需求,也是等級保護下一步需要考慮的內容。
4 進一步做好信息安全等級保護的相關建議
4.1 擴大宣傳力度,提高全社會對等保的重視程度
等級保護是我國信息安全建設的基本制度,需提高全社會對等級保護的重視程度,尤其是要提高信息系統主管部門對信息安全等級保護工作重要性的認識。在工作中,可以通過重要信息系統之間的項目依賴性分析,關鍵部門影響性分析等方法,來增強信息系統主管部門以及全社對信息系統信息安全重要性的認識。在各行業、企業內部,應當通過加強宣傳教育培訓,提高信息系統使用和運維人員的對信息安全等級保護的重視程度。在等級保護工作推進工作中,對故意將信息系統安全級別定低現象進行嚴查。
4.2 引入可信計算等主動防御理念,充分發揮等保在信息安全建設中的作用
要充分發揮等保在國家信息安全建設中的作用,需要從技術和管理兩個方面進行安全建設,做到可信、可控、可管;并且應當具有抵御來自敵對組織高強度連續攻擊(APT)的能力,以滿足當前信息安全形勢的需求。而可信計算技術可以實現計算處理結果與預期的相一致,中間過程可控制管理、可度量驗證。因此,可在信息安全等級保護基本要求等技術標準中引入可信計算的理念,將傳統的三重防護上升為可信計算環境、可信邊界、可信通信網絡組成的可信環境下的三重防護,從而實現主體的可信計算安全,進一步實現等級保護主動防御功能,充分發揮等級保護在信息安全建設中的作用。
4.3 完善等保技術標準體系,推進等級保護在云計算中的應用
針對當前的物聯網、工業控制系統、移動互聯網,云計算應用中帶來的數據高度集中、高虛擬化等的特點,信息安全等級保護應當在等級保護建設時必須加入對終端安全更高的基本需求。例如,在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑;通過設定終端接入方式、網絡地址范圍等條件限制終端登錄等。同時在虛擬環境下,要求安全設備能識別網絡虛擬標簽,區分每臺虛擬機主機。針對云計算中邊界模糊化的特點,可以通過軟件安全實現對動態邊界的監測,保證其安全。具體推進中,可以通過完善等級保護相關整改建設指南,等級測評工作指南以及相關技術標準等,以指導具體工作的開展,從而以推進等級保護在云計算、物聯網、工控領域的等中的應用。
4.4 借鑒經驗,完善等級保護制度設計和體系建設
目前《信息安全等級保護定級指南》確定的對象是信息系統,《信息安全等級保護基本要求》也是針對自身具備運行的物理環境、網絡環境、系統環境和應用以及相關人員和管理體系等完整、標準的意義上的信息系統而提出的,而對于重要信息系統運行所依賴的網絡系統、IDC(互聯網數據中心)、災備中心等這樣的對象,無論是定級方法、保護要求還是測評結果判定方面等都還存在不合適的地方。
對此可以在定級過程中,參考美國經驗,引入系統法(特別是相互依賴性分析)和象征法,加深對定級對象的認識,通過仿真建模等分析技術進行定級合理性的驗證。在等級測評過程可以引入風險分析、威脅評價、系統分析等過程加強測評結果的可量化性。同時研究國外相關信息安全建設中的法律體系、標準體系、組織保障體系等,并在此基礎上進行自主創新,以改進我們等級保護實踐中發展的制度設計問題,提高政策、理論和技術水平。
5 結束語
當前信息技術發展迅速,信息安全面臨的國際形勢日益嚴峻,信息安全等級保護作為貫穿信息系統整個生命周期的信息安全保障措施,應當不斷完善其法律體系、技術標準體系以及實施保障機制等,以適應滿足新形勢下的信息安全需求。
參考文獻
[1] 《信息安全等級保護管理辦法》(公通字[2007] 43 號).公安部,2007.
[2] 《計算機信息系統安全保護等級劃分準則》(GB17859).
[3] DoD ,Trusted Computer System Evaluation Criteria(Orange Book), 26 December 1985.
[4] Information Technology Security Evaluation Criteria;1994.
[5] The Canadian Trusted Computer Product Evaluation Criteria;Version 3 ;1993.
[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3, Version2.1. Augest 1999.
[7] ISO/IEC 15408-1:2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.
[8] 國務院.《中華人民共和國計算機信息系統安全保護條例》. 1994.
[9] 公安部、國家保密局、國家密碼管理委員會和國家信息辦.《信息安全等級保護的實施意見》(公信安[2007] 861 號). 2007.
[10] 宋言偉,馬欽德,張健.信息安全等級保護政策和標準體系綜述.信息通信技術,2010(6):59-61.
