信息化建设中信息安全的定位和构筑策略(共4篇)
摘要:信息安全事件的不断增多使得在信息化建设中信息安全受到越来越多的重视。如何在信息化建设中更好的规划和应用信息安全,确保信息化建设的成功是本文关注的重点。本文从技术和管理两个方面对信息安全涉及到的内容进行了阐述,并结合信息系统等级保护,探讨了在信息化建设中如何从宏观和微观两个角度进行信息安全建设。
关键词:信息化建设;信息安全;信息系统等级保护
中图分类号:P23
文献标识码:A
文章编号:1674-3695-(2009)05-19-05
1引言
随着信息化建设的不断深人,信息安全问题日益突显。目前,世界各国都将信息安全、网络安全作为事关国家安全的大事来抓。2009年5月29日,美国总统奥巴马公布了一份由安全部门官员完成的网络安全评估报告,表示来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一,宣布在白宫成立网络安全办公室。在中共十六届四中全会上,中央将信息安全与政治安全、经济安全、文化安全并列为四大“国家安全”,明确提出了完善信息安全的战略目标。由此可见,信息安全对保障一个国家的政治、经济、军事安全发挥着越来越重要的作用。因此,信息化建设中信息安全问题的深入探讨很有意义。
2信息安全的定位
我国的信息化建设始于20世纪80年代,最初的建设主要集中于纸质信息的数字化以及单机应用系统的开发。随着网络技术的不断发展,应用系统的开发也逐渐转向以网络为依托,实现电子政务、电子商务、网上办公等。不仅节约了资源,提高了办事效率,而且扩大了资源共享范围。
由于在微型计算机发展之初,对安全的考虑不够,导致微型计算机软、硬件设计上的简化,致使信息资源及其依托的软硬件极易遭到破坏,产生了安全隐患。计算机网络的主要目标是实现资源共享,因此在设计之初也未过多考虑安全问题,从而造成网络协议的安全缺陷。而且随着应用软件功能的不断完善,代码量越来越大,存在的软件漏洞也越来越多。正是由于这些原因,导致计算机病毒、木马、后门泛滥,严重威胁信息的安全。
随着信息化建设的不断推进,信息化建设的重点由只关注应用系统开发,逐渐转变为系统开发与信息安全建设并重,信息安全被提高到了一个前所未有的高度。按照目前的观念,信息化建设涉及的内容可划分为三个方面:网络基础设施建设、应用系统开发和信息安全保障,这些称为信息化建设的“三大支柱”,缺一不可。如果把网络基础设施比喻成高速公路,把应用系统看作是高速公路上行驶的车辆,那么信息安全就是保障道路和车辆安全所必须遵循的交通法规。我们都知道在没有交通法规的高速公路上行驶车辆会造成什么样的后果,因而我们不难想象,在没有信息安全保障的网络基础设施上运行应用系统将会造成什么样的后果!信息安全是网络基础设施和应用系统的安全保障,其重要性将随着信息化建设的不断推进而更加凸显。3信息安全的范围
信息安全的主要目标是实现机密性、完整性和可用性。信息技术安全评估准则(ISO/IEC 15408)将信息安全定义为:被评估的信息系统或产品的安全策略、安全功能、安全管理、安全开发、安全维护、安全检测、安全恢复和安全评测等概念的总称。
信息系统安全保障评估框架(GB/T 20274)中将信息系统安全保障定义为:在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现机构组织的使命。综合已有的标准和实际工作,我们认为信息安全涉及到整个信息化建设的方方面面,必须融入到信息化建设的全过程。只有在整个信息化建设过程中,通过技术和管理两个方面的考虑,把信息安全作为信息化建设的一个重要目标,才能保障信息化建设的成功。
只重视技术不重视管理,信息安全是无本之木;只注重管理不注重技术,信息安全是“空口政治”;只有技术和管理并重,才能最大程度的提供安全保障。以系统口令为例,口令安全策略要求口令需要定期修改。如果只是把其作为一项安全策略让各部门员工熟知,而不从技术上进行控制,则很难达到效果。因为无论口令改与不改,我们都无从知晓,而且对于大多数人来说,一般观念都是怎么方便怎么来,这样,这项安全策略根本无法贯彻。如果我们通过技术手段,确保若不定期更改密码则无法登陆系统,用户只能定期更改密码。只注重技术不注重管理同样很难保证安全。依然以系统口令为例,如果我们只是通过技术手段要求员工必须按照要求定期修改口令,而不从管理上进行要求,则很多员工会为了方便,将复杂的口令写下来,贴在电脑旁或记在本子上,这同样不安全。权威机构统计表明:在所有的信息安全事故中,70%以上的信息安全问题是由于内部员工的疏忽或有意泄密这些管理方面的原因造成的,而这些安全问题中的绝大多数是可以通过科学的信息安全管理能够避免或解决。只有员工都树立安全意识,按照优化的技术流程办事,发挥技术和管理的双重作用,信息安全事故才能杜绝。下面,我们就详细探讨一下信息安全所涉及到的这两方面。3.1技术
在技术上,信息安全主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现,我们称其为“安全技术手段”。目前常用的安全技术手段有以下几种:
1)身份鉴别:用于对用户的身份进行确认。常采用的身份鉴别方式有口令、指纹、证书等。其中使用最为广泛的为口令,随着对信息安全的要求不断提高,指纹识别、虹膜识别等一系列生物认证方式得到大范围应用。使用 USBKEY来存储用户数字证书来达到身份识别的方式也在许多企事业单位得到广泛应用。2)访问控制:通过限制只有授权用户才可以访问指定资源,防止非授权的访问和授权人员的违规访问。包括自主访问控制和强制访问控制。自主访问控制可以由用户制定安全策略。强制访问控制由系统管理员指定安全策略,用户本身无权更改自身的安全属性。3)标记:对计算机系统资源(如用户,进程,文件,设备)进行标记,通过标记来实现对系统资源的访问控制。标记是实施强制访问控制的基础。
4)可信路径:提供系统和用户之间的可信通信路径。目前,Windows为部分应用提供可信路径,比如口令的输人。
5)安全审计:对受保护客体的访问进行审计,阻止非授权用户对审计记录的访问和破坏。安全审计作为信息安全的一种事后补救或追踪手段,对发现和追踪违规操作非常重要。
6)剩余信息保护:在客体重新被分配给一个主体前,对客体所含内容进行彻底清除,防止新主体获得原主体活动的任何信息。尤其是对于一些曾经存储过涉密信息的介质,在使用前必须采取一定措施,确保不会造成涉密信息泄露。
7)数据机密性保护:防止敏感信息泄露给非授权用户。通常采用加密技术来确保信息的机密性。
8)数据完整性保护:防止非授权用户对信息进行修改或破坏。随着计算机技术的不断发展,完整性被破坏所造成的危害已远大于机密性所造成的危害。目前常用的完整性保护是通过对被保护信息计算哈希值,通过将被保护信息的哈希值和预先存储的哈希值进行比较来确定信息是否被篡改。
上述技术手段主要通过一些安全产品来实现。常用的安全产品有:VPN设备,安全路由器,安全防火墙,入侵检测系统,入侵防御系统,CA系统,防病毒网关,漏洞扫描系统,抗拒绝服务系统,流量控制系统等。只有按照制定的安全策略,正确的配置安全产品,才能最大程度提供信息安全保障。3.2管理
在管理上,与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。一个完善的信息安全管理体系,主要涉及以下几方面的内容:
1)策略和制度
安全策略是对允许做什么,禁止做什么的规定。安全策略可以定义成一种文档,用于陈述如何保护有形和无形的信息资产。建立信息安全管理体系既要制定说明信息系统安全的总体目标、范围和安全框架的总体安全策略,也要制定包含风险管理策略、业务连续性策略、安全培训与教育策略、审计策略、规划策略、机构策略、人员策略等具体的安全策略。
安全策略属于安全战略范畴,它不需指定所使用的技术。因此,还需要在安全策略指导下,根据机构的总体安全策略和业务应用需求,制定信息系统安全管理的规程和制度。如网络安全管理规定,系统安全管理规定,数据安全管理规定等。2)机构和人员
建立信息安全管理体系,需要建全安全管理机构,配置不同层次和类型的安全管理人员,明确各层各类安全管理机构和人员的职责与分工,建立人员录用、离岗、考核和审查制度,定期对信息系统相关工作人员进行教育和培训,制定第三方人员管理要求。3)风险管理
信息安全的实质是通过对信息系统分析,了解所存在的安全风险,通过相应的安全技术和措施,将安全风险降低到可接受的程度。风险管理包括威胁管理和脆弱性管理。进行风险评估,分析资产价值/重要性,分析信息系统面临的威胁及信息系统的脆弱性,进而了解系统存在的风险,采取相应的安全措施避免风险的发生。要定期进行风险评估,并确定安全对策。4)环境和资源管理
需要对机房、办公环境、资产、介质和设备进行管理,保障其安全可靠、稳定运行。如机房要防水、防火、防潮、防静电、防雷击、防磁等;设备、介质、资产要防盗、防毁,确保其安全可用。对资产的增加、减少和转移要进行记录。5)运行和维护管理
运行和维护涉及的内容较多,包括系统用户管理,终端系统、服务器、设备管理,运行状况监控,软硬件维护,外包服务管理等。还包括对采用的各种技术手段进行管理,对安全机制和安全信息进行集中管理和整合。6)业务连续性管理
对数据备份的内容和周期进行管理,对介质、系统和设备进行冗余备份,制定应急响应机制和预案,在灾难发生时能够进行应急处理和灾难恢复,保障业务的连续性。7)监督和检查管理
对系统进行审计、监管、检查。对建立的规章制度,定期进行监督和检查,确保制度落到实处。同时,需要结合审计,对安全事件进行记录,对违规操作进行报告,按照审计结果进行责任认定,并据此对机构和员工进行奖惩。8)生命周期管理 建立信息系统安全管理体系,还要对应用系统的整个生命周期进行全过程管理。确保开发的应用系统符合安全要求。应用系统的生命周期可以划分为规划组织阶段、开发采购阶段、实施交付阶段、运行维护阶段、变更和反馈阶段和废弃阶段。在每一个阶段中,信息安全管理贯穿始终。我们认为,如果能够在每个阶段进行类似于等级保护制度的备案,可以为系统的成功开发提供一定的监督和指导作用。
在规划组织阶段,需要在应用系统建设和使用的决策中考虑应用系统的风险及策略;在开发采购阶段,需要基于系统需求和风险、策略将信息安全作为一个整体进行系统体系的设计和建设,并对建设的系统进行评估,以确保符合国家相关要求,如等级保护的要求;在实施交付阶段,需要对承建方进行安全服务资格要求和信息安全专业人员资格要求,以确保施工组织的服务能力,确保交付系统的安全性;在运行维护阶段,需要对信息系统的管理、运行维护、使用人员等进行管理,保障系统安全正常运行;在变更和反馈阶段需要对外界提出的新的安全需求进行反馈,变更要求或增强原有的要求,重新进入信息系统的规划阶段;若信息系统无法满足已有的业务需求或安全需求,系统进人废弃阶段。
4信息安全的建设过程
信息安全建设可以从宏观和微观两方面来考虑。如图1:
从宏观上,包括风险评估与等级保护、灾难备份和应急响应机制的建设。我国著名信息安全专家方滨兴院士指出“风险评估和等级保护,两者相辅相成,需要一体化考虑。因为风险评估是出发点,等级划分是判断点,安全控制是落脚点,所以风险评估和等级保护这两件事儿是相辅相成的,只有知道了系统的脆弱性有多大,等级保护才能跟上去”。灾难备份是指利用技术、管理手段以及相关资源,确保已有的关键数据和关键业务在灾难发生后在确定的时间内可以恢复和继续运营的过程。应急响应机制用于确保在紧急事件发生时,能够尽快响应,将系统损失降低到最小。在平时,还需要进行安全演练或演习,模拟可能发生的安全事故,开展应急响应。
从微观上,进行信息安全建设主要包括以下几个步骤:
(1)制定安全策略。根据单位具体情况,依据风险评估的结果和等级保护要求,确定具体安全需求,制定安全策略。如:环境安全策略、数据访问控制安全策略、数据加密与数据备份策略、身份认证及授权策略、灾难恢复及事故处理策略、紧急响应策略、安全教育策略、审计策略等。安全策略对于整个系统安全方面的设计,安全制度的制定,安全相关功能的开发等都有着重要的指导意义。
(2)根据安全策略,确定安全机制。安全策略通过安全机制来保障和实施。安全机制是实施安全策略的技术、制度和标准。比如,我们制定了一项安全策略:“所有的通讯都必须经过加密”。为了保障这个策略的实施,我们需要确定采取何种技术来实现,比如我们可以依据此条策略确定所需要使用的技术:“所有的通讯都必须采用3DES(一种加密方案)进行加密”。
(3)制定业务流程。在安全机制的实施过程中,具体操作必须按照规定的流程进行才能够确保不发生违反安全策略的事件。制定业务流程可以使操作过程更加清晰。
(4)设计表单。将所有的操作细节落实到表单上,对操作的结果进行记录。
下面以机房巡检为例,对信息安全建设过程进行说明。
在机房管理方面,首先根据单位具体要求,确定必须定期进行安全巡检(安全策略);然后需要制定安全巡检规则、巡检内容等(安全机制);接着确定巡检步骤,巡检具体内容(业务流程);最后确定每次巡检时需要记录的巡检结果(表单)。如图2所示。
5结束语
信息安全是信息化建设中的重要一环,对于保证信息化建设的成功起着非常重要的作用。本文结合笔者的实际工作经验,对信息安全在信息化建设中的地位,信息安全所涉及到的范围以及信息安全的建设过程进行了阐述,希望可以为信息化建设过程中信息安全工作提供一定的指导。
(作者: 安迎建 范艳芳 谢俊奇)参考文献:
1 信息安全的定位
我国的信息化建设已经有多年的发展历史, 在最初的信息化建设中, 其目标只局限于纸质信息的数字化转化和单机程序的开发与应用。但随着信息技术建设的不断深入, 其建设的目标也发生了本质性的变化。信息化建设逐渐演化成依靠网络资源实现电子商务运作、完成网络交流等。这种建设形式在一定程度上提高了办公的效率、实现了信息的共享。
微型计算机的出现代表着信息技术进入了一个崭新的时代, 但与此同时也带来了巨大的安全隐患, 由于微型计算机的内置元件较为简化, 在操作的过程中极易遭到破坏, 从而产生了安全上的隐患。且微型计算机在设计上更多的是考虑其系统功能和信息的传播速度, 对信息安全的考虑不够深入, 这也使得计算机本身存在着安全缺陷。在信息飞速发展的今天, 代码的数量每天都在增加, 这也使得软件中的漏洞不断的暴露出来, 各种病毒、木马防不胜防, 对信息技术的安全建设造成了巨大的影响。
随着信息技术的不断发展, 其建设的重点逐渐开始偏向于系统开发, 同时信息工作者对信息安全也有了新的认识。在现阶段的工作中, 信息化建设的内容可以分为三个部分。一是完成网络的基础建设, 不断开发辅助性软件。二是完成对应用系统的开发, 提高系统的应用价值。三是完成安全建设, 为信息系统提供安全性保障。由此可见, 信息安全与信息化建设有着密切的关系, 在完善各项网络功能的同时还要加强安全建设, 提高信息系统的安全性。
2 信息安全的范围
信息安全的范围很广, 在管理中也涉及多项内容。但从整体角度来分析, 无非是技术与管理两大方面。
2.1 信息管理
信息体系的构建需要多个部门的共同参与, 管理工作也涉及多项内容。人员管理是管理工作中的重要内容, 任何工作都涉及到人员的参与, 加强对人员的管理不仅能够提升工作的效率, 对经济的建设也有着积极的影响。在对人员的管理中, 要明确各个岗位的工作内容, 对工作人员进行合理的分配, 建立完善的考核制度, 最大限度的发挥人力资源的力量。制度管理也是管理工作中较为重要的一项, 制度的管理包括制定安全目标、完善安全策略等内容, 完善的制度管理能够使信息工作更加规范化。此外, 风险管理也包含在管理工作的主要内容之中, 风险管理的内容包括了解风险的构成, 制定安全措施等。
2.2 信息技术
信息技术对信息的安全有着很大的影响, 随着信息技术的不断发展, 新的安全问题层出不穷。对于不同的安全问题, 可以采用不同的安全技术手段进行治理。一是对用户进行身份识别, 通过指纹、口令等方式来完成对人员的识别。二是访问控制, 通过设定访问权限对用户进行管理。三是标记作业, 对计算机中的系统资源进行标记, 并通过这种方式达到管理的目的。四是安插可信路径, 建立一种可信任的通信路径, 用户可以通过该路径进入到信息系统中。五是进行安全审计, 对违反操作规范的用户进行审计, 完成事后补救。现阶段信息工作者已经具备了一定的安全意识, 新的防范措施也不断的被提出, 为信息系统的安全提供了更大的保障。
3 信息安全的构筑策略
3.1 信息安全的宏观构建策略
从宏观的层面上来看, 安全工作可以分为三个部分, 即进行风险评估、完成灾难备份和建立应急机制。风险评估是指对信息系统中可能存在的风险进行科学的评估, 在该项工作中, 首先要明确风险的等级, 其次要对系统进行全面的检查, 确定其表面风险及隐藏风险, 将这些风险按照风险等级进行合理的划分, 以便于对风险进行有效防范。在进行灾难备份时, 要对以往的数据进行整理和分析, 确定风险发生的规律和解决办法, 将这些数据进行备份。在应急机制的建立中, 要根据备份的资料制定出相应的应急预案, 并对预案进行测评, 提高预案的可利用率。同时对可能出现的安全事故进行分析, 建立应急机制。在日常工作中加入安全演习的内容, 以确保在安全事故发生是能够在第一时间解决问题。
3.2 信息安全的微观构建策略
3.2.1 提高安全意识
目前, 信息技术已经在人们的生活中占据了重要的位置, 很多工作都离不开信息技术的参与。但大多数人只注重信息技术的学习, 对信息安全没有足够的认识。在以往的信息安全事故中, 有很大一部分都是因为信息工作者的安全意识不强所造成的。因此在学习信息技术的同时, 也要加强对信息安全的了解, 树立安全意识, 提高处理安全事故的能力。信息工作者在进行信息处理时, 必须规范自身的行为, 避免人为因素对信息安全造成影响。加强对安全知识的学习, 降低安全事故的发生概率。
3.2.2 制定安全策略
构建信息安全系统的首要任务是制定出安全策略。安全策略的制定要根据风险评估的结果来完成, 使策略能够满足信息安全的需求。由于信息安全会受到多种因素的共同影响, 因此在策略的的制定上也要对这些影响因素进行综合的分析, 建立起环境安全、身份认证、系统备份、事故处理等多重策略, 保证信息系统正常运行。
3.2.3 确定安全机制
安全机制的建立是为了使安全策略能够更好的发挥作用。机制要根据安全策略的内容来制定, 为安全策略提供参照标准。例如为了保证安全策略中的加密策略能够更好的发挥作用, 可以制定“所有设备必须进行3DES加密”一机制。工作人员在工作中必须严格按照安全机制的要求进行操作, 使系统得到安全防护。
3.2.4 完善业务流程
为了使安全操作更加规范化, 需要制定出相应的业务流程。在业务流程的制定上, 首先要明确操作的步骤, 制定出操作流程表。其次要完成对流程表的审核, 保证操作流程满足系统的需要。最后要将流程标准以书面的形式展现出来, 使工作人员能够按照操作流程完成工作, 提高工作的效率。
4 结语
随着信息技术的不断发展, 其中的安全问题也不断的暴露出来, 为我国的信息化建设带来了诸多阻碍。明确信息化建设中信息安全的定位和构筑策略能够使信息技术获得更好的发展, 扩大信息技术的应用范围。信息化建设包含网络基础建设、开发应用系统、完成安全建设等内容, 为了保证信息化建设的力度, 加强安全管理, 必须制定出相应的安全机制与安全策略, 同时完善业务流程, 使安全工作更好的服务于信息化建设。
参考文献
[1]安迎建, 范艳芳, 谢俊奇.信息化建设中信息安全的定位和构筑策略[J].国土资源信息化, 2009 (05) .
[2]黄瑞, 邹霞, 黄艳.高校信息化建设进程中信息安全问题成因及对策探析[J].现代教育技术, 2014 (03) .
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报, 2014 (06) .
[4]杨宝.企业信息化建设中的信息安全问题[J].河南科技, 2013 (23) .
【摘要】随着武器装备行业信息化应用水平的发展,网络信息安全建设普遍引起企业高度重视,如何构建安全、快速的信息系统应用平台已成为关注焦点。本文由目前国内行业信息安全建设形势引发思考,从物理安全、运行安全、信息安全保密角度介绍了如何加强信息系统安全建设,结合不同类型安全产品介绍如何部署及应用网络安全产品,最大程度做到信息系统可管、可用、可控的高层次管理。
【关键词】信息系统;安全;建设
【中图分类号】P208 【文献标识码】A 【文章编号】1672-5158(2013)01—0080-01
一、国内武器装备行业信息安全建设形势
近年武器装备行业越来越多的单位组建了局域网或广域网,营造快速、高效的工作氛围,各类业务管理系统得到较高水平应用,但信息化快速发展的脚步已成为一把双刃剑,信息安全的外忧内患(内外部安全)已引起高度重视。武器装备行业作为特殊行业,不容有半点涉密信息泄露。但是我们也遗憾的看到,随着信息技术的发展,行业内部失、泄密事件时有发生,最常采用的途径恰恰是通过网络盗取、传输国家涉密信息,给国家的政治、经济都带来了无法弥补的损失。信息安全问题亦引起国家相关部门高度重视,近年不断出台各类管理制度、管理规范,总体规划指导网络安全建设,使信息网络安全建设逐渐走向成熟。
二、信息安全建设角度
信息系统安全建设主要从物理安全、运行安全、信息安全保密三方面入手。
物理安全。作为信息化建设核心部位的中心机房、信息存储关键部位的选址应符合标准,机房建设应在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等方面达到国家相关建设要求,为设备运行提供良好环境。采用有效的电子门控措施,实现关键部位的安全控制。加强输出设备安全控制,防止打印输出结果被非授权查看和获取。
运行安全。对关键业务数据定期备份,除本机备份外充分考虑物理环境威胁,防止异常事故发生时被同时破坏。信息系统中关键设备也应备份,可能的话重要服务器应进行热备份,实现服务器异常时的平滑切换,不影响终端业务正常运行。建立完善的系绕恢复预案,对预案进行完整测试和演练,充分考虑各种可能,将系统基本功能恢复时间或重建能力控制在有效时间内。提高各环节反应能力及速度,定期对预案进行演练,根据演练结果进行修订,保证预案的可实施性。
信息安全保密管理。对系统内部本地登录和远程登录进行身份鉴别,对信息系统中重要信息的访问应采取强制访问控制策略,按照主体类别、客体类别进行访问控制设置。
三、安全产品部署及应用
防火墙:网络安全建设初期,综合考虑各部分访问控制情况,至少规划三个安全域,应用服务器域、安全管理服务器域、终端应用域,三个安全域接人防火墙不同接口,通过设置访问控制策略限制各域访问端口,实现第一层网络级访问控制,企业还可根据需要增加其他安全域满足其他访问控制需求,提高访问控制强度。访问控制列表最后应增加一条any到any的禁止策略,封锁一切不必要的端口。
CA认证系统:CA认证系统包含证书密钥管理系统、身份认证介质、安全代理网关和系统控制中心。证书密钥管理系统部署在信息系统安全管理组,身份认证介质配发给终端用户,证书密钥管理系统为身份认证介质分发数字证书,证书代表介质持有人用户身份;安全代理网关部署在防火墙与应用服务器组间,所有应用系统被代理网关隔离在受信网段内,安全代理网关代理应用服务器的服务端口,用户需要访问代理网关后面的应用服务器时,首先需通过身份认证系统认证,认证通过后,身份认证系统自动建立用户身份传递给应用系统。根据终端用户不同职能赋予每个人不同的角色,按照角色分配可以访问对应服务器端口。
漏洞扫描:漏洞扫描系统一般可分为独立式部署和分布式部署。对于规模较大的武器装备企业,一般都是组织结构复杂、分布点多、数据相对分散,因此多采用树形拓扑或者混合型拓扑。企业可根据自身的情况设置一台或多台漏洞扫描分析机,若拓扑结构简单,建议设置一台分析机,部署在核心交换设备上,漏洞扫描分析机通过核心交换设备扫描网络内部所有计算机,若拓扑结构复杂,建议使用分布式系统部署。
入侵检测:入侵检测部署方式较为单一,一般旁挂在核心交换机上。交换机开启镜像端口,将其他干线接口或普通接口镜像到镜像口,然后与入侵检测业务口相连接即可。同时为了对网络中的攻击达到较好的防御效果,一般采取入侵检测和防火期联动。即在入侵检测设备检测网络攻击行为时,及时和防火墙通信,由防火墙阻断非正常流量。
四、控制关键点:三分技术,七分管理
在信息安全领域“三分技术,七分管理”已成为不争的事实。任何高水平的技术措施或多或少掺杂人为因素,因此必须辅以严谨的管理措施才能达到最佳的应用效果。武器装备企业涉密信息的外泄已成为管理重点,必须严防死守信息的输入输出控制。系统内信息的输入输出有多种途径,包括承载电子格式数据的光盘、软盘、U盘、硬盘等,输入输出纸介质的扫描仪、打印机等。
介质安全:近年网络上流行摆渡病毒,以隐藏文件的形式存留在移动存储介质中达到窃取信息的目的。由于此病毒较为隐蔽不易被人发现,操作不当很容易将系统内部信息带出内部网络。针对这种可在介质中回写的病毒,开发商已研制出集单项导入、专用移动存储介质和违规外联相结合的三合一产品。单项导入设备,即普通U口移动存储介质可以直接插在该设备上,设备内部采用光纤传输,在物理条件上杜绝信息回写的可能。专用移动存储介质,与普通移动存储介质接口不同,须插入专用设备后接入受控计算机,方可实现读写功能,对于其他未授权计算机无法使用。管理上,封闭信鼠系统内部所有光驱、软驱、USB移动存储设备接口,信鼠输出工作归口到不连接任何网络的单机计算机。
打印安全:集中控制,设立独立打印间,保证输出介质可控,严格履行打印审批手续,打印管理员依据审批单发放打印文件。不具备集中打印条件的企业应限制打印输出点数量,为防止打印信息被非授权查看,禁止网络共享打印功能,只授权打印管理员打印权限,履行打印审批手续后由打印负责人打印相关内容,并及时交予申请人。
训心得
2013年7月18日至2013年7月20日,我参加了2013年陆河县专业技术人员公需科目培训。我通过网络视频倾听了两个主题的讲座,在看了«新时期广东生态文明建设»后,给我最大的感触就是,要给自然留下更多修复空间,给农业留下更多良田,给子孙后代留下天蓝、地绿、水净的美好家园。我们想要与自然和谐相处,我们就必须要爱护自然,保护自然,尊重自然。必须树立尊重自然、顺应自然、保护自然的生态文明理念,而且要坚持节约优先、保护优先、自然恢复为主的方针。而所谓自然恢复为主,就是强调要求我们尊重自然界的规律,不要再发展的同时忘了自然界的规律,必须顺其自然,尽可能恢复原有生态的面貌与功能。
【信息化建设中信息安全的定位和构筑策略】推荐阅读:
学校信息化建设中存在的问题07-02
医院信息化建设中存在的问题07-05
信息安全策略集06-08
信息系统安全策略10-15
税务系统信息安全策略07-02
建设项目环评中的信息公开07-23
文秘-试论信息在政务工作中的地位和作用10-30
教育信息化进程中教师信息素养的提升09-17
信息安全技术标准试题和答案07-24