信息安全的论文(共8篇)
一、网络安全保障措施
为了全面确保本公司网络安全,在本公司网络平台解决方案设 计中,主要将基于以下设计原则: a安全性
在本方案的设计中,我们将从网络、系统、应用、运行管理、系统冗余等角度综合分析,采用先进的安全技术,如防火墙、加密技术,为热点网站提供系统、完整的安全体系。确保系统安全运行。b高性能
考虑本公司网络平台未来业务量的增长,在本方案的设计中,我们将从网络、服务器、软件、应用等角度综合分析,合理设计结构与配置,以确保大量用户并发访问峰值时段,系统仍然具有足够的处理能力,保障服务质量。c可靠性
本公司网络平台作为企业门户平台,设计中将在尽可能减少投资的情况下,从系统结构、网络结构、技术措施、设施选型等方面综合考虑,以尽量减少系统中的单故障节点,实现7×24小时的不间断服务 d可扩展性
优良的体系结构(包括硬件、软件体系结构)设计对于系统是否能够适应未来业务的发展至关重要。在本系统的设计中,硬件系统(如服务器、存贮设计等)将遵循可扩充的原则,以确保系统随着业务量的不断增长,在不停止服务的前提下无缝平滑扩展;同时软件体系结构的设计也将遵循可扩充的原则,适应新业务增长的需要。e开放性
考虑到本系统中将涉及不同厂商的设备技术,以及不断扩展的系统需求,在本项目的产品技术选型中,全部采用国际标准/工业标准,使本系统具有良好的开放性。f先进性
本系统中的软硬件平台建设、应用系统的设计开发以及系统的维护管理所采用的产品技术均综合考虑当今互联网发展趋势,采用相对先进同时市场相对成熟的产品技术,以满足未来热点网站的发展需求。g系统集成性
在本方案中的软硬件系统包括时力科技以及第三方厂商的优秀产品。我们将为满拉网站提供完整的应用集成服务,使满拉网站将更多的资源集中在业务的开拓与运营中,而不是具体的集成工作中。
1、硬件设施保障措施:
郑州世纪创联电子科技开发有限公司的信息服务器设备符合邮电公用通信网络的各项技术接口指标和终端通信的技术标准、电气特性和通信方式等,不会影响公网的安全。本公司的服务器托管于郑州中原路IDC机房放置信息服务器的标准机房环境,包括:空调、照明、湿度、不间断电源、防静电地板等。郑州中原路IDC机房本公司服务器提供一条高速数据端口用以接入CHINANET网络。系统主机系统的应用模式决定了系统将面向大量的用户和面对大量的并发访问,系统要求是高可靠性的关键性应用系统,要求系统避免任何可能的停机和数据的破坏与丢失。系统要求采用最新的应用服务器技术实现负载均衡和避免单点故障。
系统主机硬件技术
CPU:32位长以上CPU,支持多CPU结构,并支持平滑升级。服务器具有高可靠性,具有长时间工作能力,系统整机平均无故障时间(MTBF)不低于100000小时,系统提供强大的诊断软件,对系统进行诊断服务器具有镜象容错功能,采用双盘容错,双机容错。主机系统具有强大的总线带宽和I/O吞吐能力,并具有灵活强大的可扩充能力 配置原则
(1)处理器的负荷峰值为75%;
(2)处理器、内存和磁盘需要配置平衡以提供好效果;(3)磁盘(以镜像为佳)应有30-40%冗余量应付高峰。(4)内存配置应配合数据库指标。(5)I/O与处理器同样重要。系统主机软件技术:
服务器平台的系统软件符合开放系统互连标准和协议。
操作系统选用通用的多用户、多任务winduws 2003或者Linux操作系统,系统应具有高度可靠性、开放性,支持对称多重处理(SMP)功能,支持包括TCP/IP在内的多种网络协议。符合C2级安全标准:提供完善的操作系统监控、报警和故障处理。应支持当前流行的数据库系统和开发工具。系统主机的存储设备 系统的存储设备的技术
RAID0+1或者RAID5的磁盘阵列等措施保证系统的安全和可靠。I/O能力可达6M/s。提供足够的扩充槽位。系统的存储能力设计
系统的存储能力主要考虑用户等数据的存储空间、文件系统、备份空间、测试系统空间、数据库管理空间和系统的扩展空间。服务器系统的扩容能力
系统主机的扩容能力主要包括三个方面: 性能、处理能力的扩充-包括CPU及内存的扩充 存储容量的扩充-磁盘存储空间的扩展
I/O能力的扩充,包括网络适配器的扩充(如FDDI卡和ATM卡)及外部设备的扩充(如外接磁带库、光盘机等)
2、软件系统保证措施:
操作系统:Windows 2003 SERVER操作系统 防火墙:金盾防火墙1000M硬件防火墙
Windows 2003 SERVER 操作系统和美国微软公司的windowsupdate站点升级站点保持数据联系,确保操作系统修补现已知的漏洞。
利用NTFS分区技术严格控制用户对服务器数据访问权限。
操作系统上建立了严格的安全策略和日志访问记录.保障了用户安全、密码安全、以及网络对系统的访问控制安全、并且记录了网络对系统的一切访问以及动作。系统实现上采用标准的基于WEB中间件技术的三层体系结构,即:所有基于WEB的应用都采用WEB应用服务器技术来实现。
中间件平台的性能设计:
可伸缩性:允许用户开发系统和应用程序,以简单的方式满足不断增长的业务需求。安全性:利用各种加密技术,身份和授权控制及会话安全技术,以及Web安全性技术,避免用户信息免受非法入侵的损害。
完整性:通过中间件实现可靠、高性能的分布式交易功能,确保准确的数据更新。可维护性:能方便地利用新技术升级现有应用程序,满足不断增长的企业发展需要。互操作性和开放性:中间件技术应基于开放标准的体系,提供开发分布交易应用程序功能,可跨异构环境实现现有系统的互操作性。能支持多种硬件和操作系统平台环境。
网络安全方面:
多层防火墙:根据用户的不同需求,采用多层高性能的硬件防火墙对客户托管的主机进行全面的保护。
异构防火墙:同时采用业界最先进成熟的金盾防火墙硬件防火墙进行保护,不同厂家不同结构的防火墙更进一步保障了用户网络和主机的安全。
防病毒扫描:专业的防病毒扫描软件,杜绝病毒对客户主机的感染。
入侵检测:专业的安全软件,提供基于网络、主机、数据库、应用程序的入侵检测服务,在防火墙的基础上又增加了几道安全措施,确保用户系统的高度安全。
漏洞扫描:定期对用户主机及应用系统进行安全漏洞扫描和分析,排除安全隐患,做到安全防患于未然。
金盾防火墙硬件防火墙运行在CISCO交换机上层提供了专门的主机上监视所有网络上流过的数据包,发现能够正确识别攻击在进行的攻击特征。
攻击的识别是实时的,用户可定义报警和一旦攻击被检测到的响应。此处,我们有如下保护措施:
全部事件监控策略 此项策略用于测试目的,监视报告所有安全事件。在现实环境下面,此项策略将严重影响检测服务器的性能。
攻击检测策略 此策略重点防范来自网络上的恶意攻击,适合管理员了解网络上的重要的网络事件。
协议分析 此策略与攻击检测策略不同,将会对网络的会话进行协议分析,适合安全管理员了解网络的使用情况。
网站保护 此策略用于监视网络上对HTTP流量的监视,而且只对HTTP攻击敏感。适合安全管理员了解和监视网络上的网站访问情况。
Windows网络保护 此策略重点防护Windows网络环境。
会话复制 此项策略提供了复制Telnet, FTP, SMTP会话的功能。此功能用于安全策略的定制。
DMZ监控此项策略重点保护在防火墙外的DMZ区域的网络活动。这个策略监视网络攻击和典型的互联网协议弱点攻击,例如(HTTP,FTP,SMTP,POP和DNS),适合安全管理员监视企业防火墙以外的网络事件。
防火墙内监控 此项策略重点针对穿越防火墙的网络应用的攻击和协议弱点利用,适合防火墙内部安全事件的监视。
数据库服务器平台
数据库平台是应用系统的基础,直接关系到整个应用系统的性能表现及数据的准确性和安全可靠性以及数据的处理效率等多个方面。本系统对数据库平台的设计包括: 数据库系统应具有高度的可靠性,支持分布式数据处理; 支持包括TCP/IP协议及IPX/SPX协议在内的多种网络协议;
支持UNIX和MS NT等多种操作系统,支持客户机/服务器体系结构,具备开放式的客户编程接口,支持汉字操作;
具有支持并行操作所需的技术(如:多服务器协同技术和事务处理的完整性控制技术等); 支持联机分析处理(OLAP)和联机事务处理(OLTP),支持数据仓库的建立;
要求能够实现数据的快速装载,以及高效的并发处理和交互式查询;支持C2级安全标准和多级安全控制,提供WEB服务接口模块,对客户端输出协议支持HTTP2.0、SSL3.0等;支持联机备份,具有自动备份和日志管理功能。
二、信息安全保密管理制度
1、信息监控制度:
(1)、网站信息必须在网页上标明来源;(即有关转载信息都必须标明转载的地址)(2)、相关责任人定期或不定期检查网站信息内容,实施有效监控,做好安全监督工作;(3)、不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理; A、反对宪法所确定的基本原则的;
B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; C、损害国家荣誉和利益的;
D、煽动民族仇恨、民族歧视、破坏民族团结的; E、破坏国家宗教政策,宣扬邪教和封建迷信的; F、散布谣言,扰乱社会秩序,破坏社会稳定的;
G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; H、侮辱或者诽谤他人,侵害他人合法权益的; 含有法律、行政法规禁止的其他内容的。
2、组织结构:
设置专门的网络管理员,并由其上级进行监督、凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,有关单位应当根据国家保密法规,审核批准后发布、坚持做到来源不名的不发、为经过上级部门批准的不发、内容有问题的不发、三不发制度。
对网站管理实行责任制
对网站的管理人员,以及领导明确各级人员的责任,管理网站的正常运行,严格抓管理工作,实行谁管理谁负责。
三、用户信息安全管理制度
一、信息安全内部人员保密管理制度:
1、相关内部人员不得对外泄露需要保密的信息;
2、内部人员不得发布、传播国家法律禁止的内容;
3、信息发布之前应该经过相关人员审核;
4、对相关管理人员设定网站管理权限,不得越权管理网站信息;
5、一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理;
6、对有毒有害的信息进行过滤、用户信息进行保密。
二、登陆用户信息安全管理制度:
1、对登陆用户信息阅读与发布按需要设置权限;
2、对会员进行会员专区形式的信息管理;
3、对用户在网站上的行为进行有效监控,保证内部信息安全;
1.1电力系统信息网络基本构架由于电力企业生产的特殊性, 电力通信的建设是伴随着电力企业建设同步进行的。由于现代大电网运行管理的信息交换量越来越大, 各种应用和服务对信息质量提出了越来越高的要求, 其中包括实时性、可靠性、安全性、数据完整性、通信容量和标准化等方面。为了解决这些问题, 国电公司又建立了信息网络, 作为电力系统的专用广域网。国家电力信息网 (SPI net) 即中国电力系统数据网络 (CED net) 采用分组交换技术和数字网络复接技术, 形成了独立的数据通信网络, 实现了电网调度自动化系统全国联网。它可以分为4级结构:国电公司到各区电力公司 (西北、华北、华东、华中) 是一级网络, 从大区电力公司到省电力公司是二级网络, 省电力公司到地区供电局是三级网络, 地区供电局以下就属于四级网络。
1.2省网级电力信息网络省网级电力信息网络处于我国国家电力信息网 (SPI net) 的第二和第三级, 起着承上启下的作用。它既要完成区域电网和国家电网之间的信息沟通, 同时也要承担区域电网内部之间各种生产信息和管理信息的管理和传输, 保障电网的安全有效的运行。目前通道采用微波和光纤混合使用, 速率从64Kbps到2M bps, 有的省份则达到155M bps高速传输。未来将大力发展光纤通信, 从微波为主逐步过渡到以光纤为主, 建成全国电力通信光纤传输一级网络:80%的网公司建成电力通信光纤传输二级网络, 50%的省公司建成电力通信光纤传输三级网络。区域电力信息网络基本框架如图1所示。
IP网络的传输方案在实际应用中采用IP over SDH, IP over SDH将IP网技术介入到SDH传送平台川, 可以与各种不同的技术标准相兼容, 实现网络互联及多媒体业务互通, 具有较高的传输效率, 相对便宜的价格。IP over SDH是城市与城市, 干线数据传输中最有效的技术。
1.3地市级电力信息网络地市级电力信息网是指包括县、区在内的所有供电单位的计算机局域网及连接这些局域网的计算机广域网。地市级网络逻辑图如图2所示。
建设地市级电力信息网, 可以有效的提高电力企业效率, 实现办公自动化、决策智能化, 在保障地方安全可靠供电的同时为省电网公司、国家电网公司提供可靠的基础信息, 保障整个电网快速、健康、稳定的发展。中国电力信息网作为电力行业内的Intranet, 其广域网体系结构主要采用TPC/IP, 为了与中国电力信息网顺利连接, 同时为了将来与Internet, 地市级电力信息网须将TPC/IP作为主要协议体系。根据地市电力企业网络建设的具体情况, 应采用主干网和局域子网两个层次, 地调和地市电力企业机关直接接人主干网中, 而下属分支单位和县级电力企业可自组局域网并作为局域子网接人到主干网中。
2 电力系统信息安全关键技术的分析
电力信息安全是电网安全运行和可靠供电的保障, 但是现实是电力系统信息没有建立安全体系, 有的只是购买了防病毒软件和防火墙。网络中有许多的安全隐患。
2.1现状及局限性 (1) 缺乏统一的信息安全管理规范:电力系统急需一套统一、完善的能够用于指导整个电力系统信息网络系统安全运行的管理规范; (2) 电力职工的网络安全意识有待提高:随着信息技术高速发展, 信息安全策略和技术取得了非常大的进步, 但是我们目前的认识与实际差距较大, 对新出现的信息安全问题认识不足; (3) 需要建立一套适合电力企业其自身特点的信息安全体系:电力信息网络应用可分为4类:管理信息类、生产控制类、话音视频类、经营类。生产控制类应用与其他应用的物理隔离, 以确保实时的生产控制类应用的安全。同时外网与内网间也应该物理隔离。
2.2密码保护措施当网络交易的动作开始后, 接下来要担心的就是如何防止网络交易的资料被篡改、窃取、迟滞、冒名传送、否认己传送或是非法侵人等威胁, 所以网际网络上的信息安全是非常重要的。在金融界、企业界大家在信息安全技术内广泛运用了DES以及RSA等加密技术作为信息安全的保障。
2.3电力系统信息安全关键技术的分析电力信息安全是电网安全运行和可靠供电的保障, 是一项涉及电网调度自动化、厂站自动化、配电网自动化、电力负荷控制、继电保护及安全装置、电力营销、电力市场等有关生产、经营和管理方面的多领域、复杂的大型系统工程, 但是现实是电力系统信息没有建立安全体系, 有的只是购买了防病毒软件和防火墙。有的网络连防火墙也没有, 没有对网络安全做统一长远的规划。
3 电力系统信息安全关键技术的应用展望
对电力企业信息网络这样一个年轻的又特殊的网络来说, 在网络安全问题上有其特殊性, 同时它所面临的安全威胁是比较严重的。我们可以采取有效的应对手段, 包括先进的企业版防火墙、先进的密码编码方式和算法等都可以有效防御, 只要应对得当, 足以有效保护电力系统信息网络安全, 保障电力生产经营活动的安全。未来将采用更加先进的网络安全体系架构、密码算法、防火墙、IDS和病毒防治软件等来保卫电力系统的信息安全, 但是堡垒往往是从内部攻破的。因此需要一套良好的安全制度和安全思想, 才是确保系统安全的根本。
3.1改进网络安全技术 (1) 科学安全的设置和保管密码。密码安全可以说是网络安全中最为重要的。一旦密码被泄漏, 非法用户可以很轻易的进人你的系统。由于穷举软件的流行, Root的密码要求最少要10位, 一般用户的密码要求最少要8位, 并且应该有英文字母大小写以及数字和其他符号进行不规则的设置。同时不要选取如生日、名字等熟悉的信息作为密码; (2) 加强人员的安全意识和管理。思想意识松懈造成的系统隐患要远大于系统自身的漏洞。将不知是否有病毒的软盘随意的插人计算机中、不当的设置密码、将密码写下来或存人计算机的文件中、长期不改密码、随意的从网上下载不明文件或内部合法用户本身的非法活动等都给企业信息网络带来最大的威胁; (3) 实时的监控网络端口和节点的信息流向, 定期对企业信息网络进行安全检查、日志审计和病毒扫描, 对相关重要数据进行备份以及在全网络范围内建立一套科学的安全管理体系同样对企业信息网络的安全运行有着很重要的意义。
3.2完善电力系统建设 (1) 电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联, 或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时, 必须采用经国家有关部门认证的专用、可靠的安全隔离设施; (2) 建立和完善电力调度数据网络, 应在专用通道上利用专用网络设备组网, 采用专线、同步数字序列、准同步数字序列等方式, 实现物理层面上与公用信息网络的安全隔离。电力调度数据网络只允许传输与电力调度生产直接相关的数据业务。 (3) 电力监控系统和电力调度数据网络均不得和互联网相连, 并严格限制电子邮件的使用。
参考文献
[1]殷小贡, 刘涤尘.电力系统通信工程[M].武汉:武汉大学出版社, 2004.
[2]杨明.密码编码学与网络安全[M].北京:电子工业出版社, 2002.
2003年9月,中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文件),提出要在5年内建设中国信息安全保障体系。2007年,是这一目标实现的倒数第二个年份。在国务院信息化办公室的大力推进下,27号文件提出的十项基本任务目前已经正在或基本落实。由于信息安全是这样一个复杂和关系重大的领域,国家采取了谨慎前行的方式,2006年之前,各种政策制度均处于试点阶段,2007年,将进入普及推广阶段。
信息安全的等级保护制度是国家大力倡导的信息安全基本政策。经过两年多的探索,2005年,公安部出台了等级保护规范, 2006年对等级保护制度进行了重点试点,并总结出了很好的经验和汲取的教训。2007年,毫无疑问,等级保护工作将在中国的各个重要的基础行业广泛推广。
灾难备份标准已经在2005年出台,2006年在中国的基础性行业,比如金融、电信、民航等,积极探索灾备和业务连续性模式已经有了明确的结果,2007年有望在更广泛的领域推广。
2006年,信息安全风险评估工作在试点的过程中,也取得了良好的成绩,有望在2007年全面展开。这不仅为用户带来了高等级的安全保护,也为产业带来了新的商业机会。
2006年,信息安全管理规范的试点工作也基本完成。从结果来看,基本取得了预期的效果,2007年,这一成果同样将在更广泛的领域采用。
经过多年的筹备,2006年6月,中国信息安全认证中心获中编办正式批准。至此,我国信息安全认证认可体系的建设构架基本形成,工作机制基本确定,对信息安全产品实施统一认证的条件基本准备就绪,标志着我国信息安全认证认可体系建设迈出了重要步伐。
毫无疑问,在2007年,一方面一些重要的政策、标准还将继续采用试点的方式摸索成功的方法,并不断进行经验总结;另一方面,一些证明成功的经验将在更加广泛的领域推广,中国的信息安全政策将全面进入落地时期。
用户进入投入期
经过3年来国家对重点行业的重要用户进行信息安全理论和实际运营经验的培训和教育,目前,中国IT系统用户的信息安全意识已经普遍得到提高,尤其是金融、电信、民航、电力、制造业等信息化程度高的重点行业,已经开始广泛部署各种信息安全技术和产品,并按照国家的号召,在等级保护、风险评估、灾难备份和业务连续性等领域,逐步掌握科学规范的方法。2007年,这些重点行业将进入全面的投入期。
以金融业为例,过去人们一直认为金融行业对信息安全的建设非常重视,但实际上,金融业并不如想像的那样安全,一般的银行只部署了简单的信息安全技术和产品,并没有从体系上解决信息安全问题。但自2006年以来,金融业普遍开始进行认识上的转型,尤其是外资银行在国内业务的扩张,国内银行竞争压力加大,再加上网上银行业务模式比重的加大,势必使得金融信息安全建设在2007年将备受关注。
此外,用户从实践中已经认识到,信息安全的“系统”建设比单独购买信息安全产品更重要,只有整体IT系统的安全才能构成真正意义上的安全。因此,从系统角度考虑安全建设将成为主流理念。
在这种情况下,用户安全建设四层结构渐已成型。一是安全规划,确定系统的安全框架与建设步骤,包括为系统定级等;二是进行重点资源的保护以及安全产品购买;三是安全管理平台的建设,以便及时把握系统的安全状况;第四是日常运营管理,以保障安全体系正常发挥作用。
与往年一样,2007年全球的安全形势依然不容乐观,病毒、木马、钓鱼攻击、垃圾邮件、僵尸网络、间谍软件、流氓软件、针对漏洞的攻击等依然会以各种不同的面貌出现,也不排除会出现新的攻击形式。用户不得不保持高度的警惕,并在信息安全领域持续进行重大的投入,以保护自己的数字资产。
产业进入转型期
专家预测,2007年信息安全产业将进入一个全面的转型期。从全球看,2006年信息安全领域几个大手笔的收购事件,已经为2007的信息安全产业转型埋下了伏笔。
EMC公司以21亿美元收购著名的身份认证公司RSA公司,IBM以13亿美元收购著名的入侵检测与防御公司ISS公司,微软同样以巨资收购Web应用防火墙专业厂商Whale等,这意味着全球IT大公司开始全面关注信息安全技术和产品,并开始将这些信息安全技术应用在基础IT产品技术中,以便为用户提供更基础的信息安全服务。信息安全也许不再以一个单独的产业形式存在,但它已经融入到全球信息化的整体浪潮中,成为信息化不可分割的部分。
从中国来看,专业的信息安全公司也开始进行调整,以适应政策和用户需求的变化。在目前中国资本市场及政策并不完善的情况下,中国的企业还不能通过资本市场的收购来扩大信息安全技术产品线,但一些企业已经开始了国际化之路,比如天融信公司通过国际化的资本运作和引进职业经理人,已经开始了国际化的尝试。
从信息安全产品来看,网域神州预测, 2007年同样将进行重大的创新和变革。2007年流行的信息安全技术将分成3类:第一类是被广泛接受、广泛运用的产品,比如老三样的防火墙、反病毒和入侵检测;第二类是已经热了两年,开始在局部运用的产品,比如UTM、入侵防御等;第三类是开始被关注、并将成为前沿热点的产品,比如IPv6下的信息安全技术和产品。
为了响应国家对信息安全“自主可控”的目标,信息安全专家沈昌祥院士多年来一直倡导可信计算技术和产品的开发。他预测2007年,中国有望通过加强可信计算研究,打破信息安全领域被国外企业占据主导地位的局面。
大力发展我国可信计算技术及产业
中国工程院院士 沈昌祥
从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全(安全操作系统、安全数据库等)、网络安全等方面的研究工作。先后完成了重大科研项目二十多项,取得了一系列重要成果。
发展可信计算是国家安全的需要。国家“十一五”有关规划和863计划已将“可信安全计算平台研究”列入重点支持方向,并有较大规模的投入与扶植。具体来说,可信计算的发展重点将集中在以下几个方面。
第一,基于可信计算技术的可信终端是发展产业的基础。可信终端手机以及其他移动智能终端等)是以可信平台模块(TPM)为核心,它并不仅仅是一块芯片和一台机器,而是把CPU、操作系统、应用可信软件以及网络设备融为一体的基础设备,是构成可信体系的装备平台,应加大力度研制开发。
第二,高性能可信计算芯片是提高竞争能力的核心。可信计算核心是TPM芯片,TPM的性能决定了可信平台的性能。不仅要设计特殊的CPU和安全保护电路,而且还要内嵌高性能的加密算法、数字签名,散列函数、随机发生器等。
第三,可信计算理论和体系结构是持续发展的源泉。可信计算概念来自于工程技术发展,到目前为止还未有一个统一的科学严谨的定义,基础理论模型还未建立。因此现有的体系结构还是从工程实施上来构建,缺乏科学严密性。必须加强可信计算理论和体系结构研究,对安全协议的形式化描述和证明,逐步建立可信计算学科体系。
第四,可信计算应用关键技术是产业化的突破口。可信计算平台的主要技术手段是使用密码技术进行身份认证,实施保密存储和完整性度量,因此在TPM的基础上,如何开发可信软件栈(TSS)是提高应用安全保障的关键。
第五,可信计算相关标准规范是自主创新的保护神。我国可信计算平台研究起步不晚,技术上也有一定优势,但至今还没有相应的标准规范,处于盲目的跟踪和效仿TCG的建议。我国应加大力度制定相关标准规范,强制执行。
目前我国信息安全建设正处在一个关键时期,发展可信计算是具有战略意义的事情,我们必须把握住正确的研究方向,制定相应的发展战略,自主创新。
核心观点
目前我国信息安全建设正处在一个关键时期,发展可信计算是具有战略意义的事情,我们必须把握住正确的研究方向,制定相应的发展战略,自主创新。
信息安全认证成当务之急
博士、研究员 陈晓桦
现任《全国信息安全标准化技术委员会》委员兼副秘书长、国家电子政务标准化总体组成员、中国实验室国家认可委员会(CNAL)评定委员会委员等。曾任“十五”863计划第二届信息技术领域信息安全技术主题专家组副组长。
随着信息化的推进,信息与网络系统的基础性、全局性作用越来越强,信息安全产品、服务以及信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。通过颁布法令与标准,在信息安全领域实施认证认可制度,已经成为当今经济全球化和信息化趋势下各国政府维护国家主权的重要手段。信息安全认证认可体系是建设国家信息安全保障体系的重要组成部分,加快我国信息安全认证认可制度的实施是当务之急。
近几年来,围绕对信息安全产品的测评认证,公安部、国家保密局、国家密码管理局、信息产业部和一些地方政府分别在各自的职能范围内,对一些信息安全产品实施了相关的检测、评估和许可等制度。
2006年年6月,中国信息安全认证中心获中编办正式批准。至此,我国信息安全认证认可体系的建设构架基本形成,工作机制基本确定,对信息安全产品实施统一认证的条件基本准备就绪。中国信息安全认证中心正式成立,标志着我国信息安全认证认可体系建设迈出了重要步伐。
当前和今后一段时间,新成立的中国信息安全认证中心将着重开展以下五方面的工作: 一是进一步做好组建工作。尽快做到人员到位、制度到位和职能到位; 二是加强协调与沟通,营造良好的外部工作环境; 三是认真履行职责,确保认证质量; 四是加强认证技术的研发,提高认证检测水平,确保中心的认证技术能力满足业务发展的需要; 五是推进国际合作与交流。
信息安全产品测评认证是信息安全保障的基础性工作。特别是在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。通过认证的手段,有利于改革政府管理方式和手段,创建公平竞争的环境,有效地保护和促进我国信息安全技术与产业的发展。
核心观点
在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。
从灾备迈向业务连续性管理
GDS万国数据服务有限公司副总裁 汪琪
GDS万国数据服务有限公司首席灾备专家,深圳市科技专家委员会委员。中国大陆第一位获得DRI International “CBCP”认证的业务连续运作专家。
灾难恢复与业务连续管理经过多年的建设已开始初具规模,银行、证券、保险、航空、税务、海关、电力、铁道等国家重要信息系统部门都开始规划或已经投入信息系统的灾难恢复建设。
银行业作为中国灾难恢复和业务连续管理建设的领头行业,早在20世纪90年代末即开始规划和实施数据大集中和灾难备份,至今大部分国家政策性银行、国有大型商业银行及全国性股份制银行已形成了一定的灾难备份和恢复能力。2006年,整个银行业对灾难恢复与业务连续体系的认识正在快速提高。可以肯定的是,银行业的灾难备份和业务连续管理在2007年将有望得到快速发展。
2006年11月9日,中国银监会召开信息科技风险管理与评价审计工作(电视电话)会议。银监会党委书记、主席刘明康指出,当前我国银行业信息科技风险管理要着重关注和做好信息科技建设与业务发展的协调、信息安全的内部控制体系、信息科技体系变动和发展的管理、信息系统运行和操作管理以及业务持续性规划的研究和制定等五方面工作。根据刘明康主席的讲话,相信在2007年,银行将开始从对信息系统的灾难备份逐步向业务连续性规划和体系的建设完善过渡,以符合银监会审计的要求。
证券业、保险业中的大型公司在最近几年都在关注和研究灾难备份中心的建设,其建设的时间表一般都与其大集中的步伐相关,部分先行者已形成了一定的备份能力。证监会、保监会也陆续出台了关于备份和安全的部分管理办法,更加详细的管理规范也将在2007年出台。
另外,2007年,也是航空、税务、海关、电力等部门对灾难备份建设进行规划、设计和基础性平台性建设的关键阶段。
核心观点
灾难恢复与业务连续管理经过多年的建设已开始初具规模,银行、证券、保险、航空、税务、海关、电力、铁道等国家重要信息系统部门都开始规划或已经投入。
内部安全成当务之急
中国化工信息中心副主任 李中
现任中国化工信息中心副主任,曾主持并参与了中国化工综合信息服务系统、中国化工信息网、中国万维化工城网站的建设工作。
一直以来,化工企业对于信息安全的重视都有普遍的共识。包括石化、石油在内的众多化工企业都属于流程制造企业,具有产品多、数量大的行业特性,且要求化工设备绝对不能停。这也导致化工企业对信息安全的依赖程度很高,一旦发生网络系统中断、服务器宕机、数据丢失、上下游关系不连通,甚至仅仅是停电,带来的也将是难以承受的后果。
从目前的发展来看,化工企业的信息化发展已经从初级起步阶段进入了拓展阶段。各化工大中型企业均在ERP、OA、MIS、电子商务等诸多领域开展了建设,甚至已有超过70%的企业在建或已完成生产制造信息化系统的建设。
对于流程制造业来说,一旦信息化进入了生产制造环节,安全可靠就会被视为第一位。为了确保信息系统的安全,不少化工企业已经对系统平台的安全性做了大量的工作,一些防病毒、防攻击设备已经被许多企业所采用,一些大的集团公司甚至已开始考虑建设集中的机房,或是考虑容灾备份、VPN等。
总结2006年的发展现状和趋势,企业在2007年的信息安全建设将进一步深入:内部安全建设成为当务之急,应急救援机制也需要尽快建立。
首先,大部分用户已经意识到内部安全的严重性,将进一步加强管理和采用安全技术来确保内网安全。目前,厂商和企业的主要关注点还集中在外网威胁方面,而对内网安全管理环节的重视相对较弱,一旦内网出现问题,后果将不堪设想。再者,内网直接关系到公司运作,内网资料是企业的核心,内网出现问题容易导致整个系统瘫痪,加上目前企业的内部使用人员的安全意识还不够,比较容易出现问题。
其次,化工企业将着力建立应急救援机制。在信息安全方面,虽然企业采取了一系列安全措施,但绝对的安全是没有的,必须依靠相应的机制来解决问题。
从2007年的这两方面重点来说,技术仅仅是信息安全的一部分,随着应用的深入和信息安全系统的逐步建立,加强管理的重要性已经开始凸显。
安全加速转型
网御神州(北京)有限公司总裁 任增强
曾先后任联想集团华北区总经理、联想集团大客户部总经理、联想集团信息安全事业部总经理、联想网御科技有限公司总裁。
信息安全产业,有型突破无型,一种新的布局正在形成。走过数年的探索期,从2006年开始步入了高速发展的转型期,经历其后三年的调整成型后,必将达到产业的稳定期。
眼下的2007年,既是产业发展的中间期,又是转型期的中心段,这一年必将是备受关注的一年,这一年也必将会有许多的告别过去和许多的开创未来。
第一,银行、证券成为安全建设的新亮点。面对外资银行业务扩张,国内银行的竞争压力加大,会加大网上银行及理财业务的比重,以更方便、快捷、高效的客户服务,新网上业务模式比重的加大,势必使得安全建设在这一年备受关注。
第二,安全建设开始出现理念上的转型。一方面,在国信办“等级保护”安全理念推动下,越来越多的客户认同并接受了“系统”建设的观点; 另一方面,一些客户经过多年的安全产品购买和基础建设后,从实践总结中认识到只有整体IT系统的安全才能构成真正意义上的安全。因此,从系统角度考虑安全建设将成为主流理念。
第三,安全产品将分为三大类,市场表现特质鲜明。2007年的安全产品将清楚地分为三大类; 第一类是被广泛接受、广泛运用的产品;第二类是已经热了两年,开始在局部运用的产品; 第三类是开始被关注、成为前沿热点的产品,以IPv6下的安全产品为代表。
第四,安全竞争格局显现雏形。未来的安全竞争格局会有两大显著特征:一是出现2~3家的第一阵营;二是专业性趋势,专业、专注、战略探索中的安全企业将成为信息安全建设的主力军。2007年,原来处于第一阵营的队伍面临分化,其中一部分将继续高速、健康发展,另一部分则会因为其内部制约或调整不及时而被淘汰或整合。
应对安全转型,才能成就产业明天。见证了2006年前的蓄势待发,经历了2006年的动力储备,在2007年静谧的安全蓝海中,有业界人士的共同努力和投入,相信安全产业定会快速成型——客户会更加成熟,技术会更加成熟,企业也会更加成熟。
核心观点
安全产业正在快速成型,客户会更加成熟,技术会更加成熟,企业也会更加成熟。
恶意软件威胁上升
McAfee Avert 实验室和产品研发高级副总裁 Jeff Green
主要负责管理McAfee全球的研究机构,拥有十年的安全软件从业经验,曾经在McAfee研发部担任了七年高级副总裁。
当我们看到尖端技术不断发展的时候,普通用户发现或避免恶意软件感染变得更加困难。
根据目前的趋势,迈克菲预计在2007年年底,将会发现第30万个威胁。在2007年,这些威胁主要集中在以下几个方面。
密码盗取站点不断上升。更多攻击试图通过仿冒的登录页面捕捉用户的ID和密码,以及针对在线服务站点(eBay)攻击不断上升,将在2007年更加明显。
图像垃圾邮件将会不断上升。图像垃圾邮件在过去的几个月里,增长迅速,而且这种趋势短期内不会改变。
网络站点的视频流行使之成为黑客的目标。在MySpace、YouTube和VideoCodeZone 上使用视频的形式不断增长,将吸引恶意软件编写者寻找渗透更多网络的机会。
更多移动攻击。随着利用蓝牙、短消息服务、即时消息、电子邮件、Wi-Fi、USB、音频、视频和Web进行连接,交叉设备污染的可能性大大增加。
广告软件将走向主流。在2006年,McAfee Avert实验室发现商业性PUP不断增长,而且相关类型的恶意木马,特别是键盘记录程序、密码盗取者、僵尸网络以及后门程序表现出更大增长。
身份盗取和数据损失将继续成为公众问题。公司泄漏丢失或数据被盗,不断增长的网络犯罪以及零售商、处理器和ATM系统被黑以及包含有机密数据的笔记本电脑被盗,将继续成为公众担忧的话题。
僵尸网络将继续增长。僵尸网络、执行自动化任务的计算机程序在不断上升,但将从低级的通信机制Internet Relay Chat (IRC)转向更少强迫式的方式。
寄生恶意软件正在回头。虽然寄生类恶意软件在所有恶意软件只占有不到10%的份额,但它看起来好像有回头的迹象。
核心观点
查评估指南》编制说明
一、工作简况 1.1 任务来源
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信息安全标准化技术委员会于2016年立项《信息安全技术 关键信息基础设施安全检查评估指南》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术 关键信息基础设施安全检查评估指南>国家标准制定》委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为WG7 组重点标准。
《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。1.2 主要工作过程
2017年1月至3月,《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。
2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论。2017年4月,本标准获得由全国信息安全标准化技术委员会立项。2017年4月,向中央网信办领导汇报标准进展工作,拟作为中央网信办布置关键信息基础设施安全检查工作的参考标准。
2016年5月,正式成立标准编制组,标准编制组由五家主要参与单位共同组成,集中讨论集中办公,讨论标准的框架、方法论、具体的内容等。
2016年5月25日,召开第一次专家会,地点在中央网信办,由项目组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及WG7专家进行了汇报,5位WG7专家对标准提出了修改意见。
2016年6-7月,标准编制组继续集中办公,集中讨论,并根据第一次专家会意见逐一进行修订,此外与其他安全厂商、科研单位进行交流,就本标准指标方法听取意见,并最终形成标准第二稿。
2016年7月18日,召开第二次WG7专家会,由项目组向专家汇报了标准项目进展,以及根据第一次专家会议的专家意见修订情况,5位WG7专家对标准提出了更进一步的修改意见,随后项目组召开标准讨论封闭会议,根据此次专家会意见对草案作了进一步修订,形成了第三稿。
2017年7月21日,参加WG7组会议,汇报了项目进展和标准修订情况,会议决议最终该标准可以进入征求意见阶段,并根据标准周答辩专家意见对标准草案进行部分修订,完善草案内容。
二、编制原则和主要内容 2.1 编制原则
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
关键信息基础设施安全检查评估指南是落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,定义了检测评估的主要内容,从而提升关 键信息基础设施的网络安全防护能力。
本标准提供了关键信息基础设施检查评估工作的方法、流程和内容,定义了关键信息基础设施检查评估所采用的方法,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及在检查评估具体要求和内容。
本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。
本标准可用于:
1)关键信息基础设施运营单位自行开展安全检测评估工作参考。2)网络安全服务机构对关键信息基础设施实施检测评估工作参考。3)网络安全检测产品研发机构研发检查工具,创新安全应用参考。本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。
2.2 主要内容
关键信息基础设施检查评估工作是依据国家有关法律与法规要求,参考国家和行业安全标准,针对关键信息基础设施安全要求,通过一定的方法和流程,对信息系统安全状况进行评估,最后给出检查评估对象的整体安全状况的报告。
检查评估工作由合规检查、技术检测和分析评估三个主要方法组成,每个方法包含若干内容和项目。
合规检查
合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、人员访谈、配置核查等形式。
技术检测
技术检测分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现场检测相结合的方式,发现其安全 性和可能存在的风险隐患,也可参考其他安全检测资料和报告,对技术检测结果进行验证。
被动方式是辅助监测分析手段,通过选取合适的监测接入点,部署相应的监测工具,实时监测并分析检查评估对象的安全状况,发现其存在的安全漏洞、安全隐患。
两种技术检测方式最终输出技术检测结果。分析评估
分析评估是围绕关键信息基础设施承载业务特点,对关键信息基础设施的关键属性进行识别和分析,依据技术检测发现的安全隐患和问题,参考风险评估方法,对关键属性面临的风险进行风险分析,进而对关键信息基础设施的整体安全状况的评估。
标准充分考虑了当前已有的等级保护相关标准、风险评估标准、及其他行业安全标准,与正在制定的其他WG7系列标准一起,共同形成了支撑关键信息基础设施安全保障的标准体系。本标准与其他国内标准的关联性分析:
GB/T 22081-2016《信息安全技术信息系统等级保护基本要求》 是本标准引用的标准之一,本标准在编制之初就深刻理解网络安全法中“关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,”的要求,在合规检查的内容中重点强调了对等级保护制度落实情况的检查。
GB/T 20984-2007 信息安全技术 信息安全风险评估规范也是本标准引用的标准之一,本标准在第9节引入了风险评估的方法论,通过对关键信息基础设施的关键性分析,并根据合规检查和技术检测发现的问题进一步进行风险分析,最后根据风险分析的结果定性分析出整体安全状况的评价。
此外,正在制订的标准草案《信息安全技术关键信息基础设施网络安全保护要求》定义了关键信息基础设施,并对关键信息基础设施保护提出了具体的要求,而本标准中有专门的项是对改要求的验证,强调的是评估流程的标准化、评估内容标准化,以及评估结果的标准化。
此外,正在制定的标准草案《信息安全技术关键信息基础设施安全保障指 标体系》与该标准关联,该标准的输出评估结果可以用于标准的量化计算。
三、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况
编制组在标准编制过程中,专门分析了美国NIST的安全评估方法,参考我国已有相关信息安全标准,综合考虑制定了本标准。
四、重大分歧意见的处理经过和依据
本标准编制过程中未出现重大分歧。其他详见意见汇总处理表。
五、国家标准作为强制性国家标准或推荐性国家标准的建议
建议作为推荐性国家标准发布实施。
六、其他事项说明
本标准不涉及专利。
解读高素质的信息安全人才培养-信息安全人才面面观之人才培养篇
21世纪什么最贵,无需回答,自然是人才,又是什么左右IT发展的趋势和方向?也无需赘述,自然还是人才.比尔・盖茨、谷歌创始人谢尔盖・布林……树立在IT发展丰碑上的一个又一个显赫的名字正是历史发展的标杆,他们丈量着IT发展的广度,书写着一个又一个奇迹的发生.近年来,随着IT快速发展,信息安全的发展也蒸蒸日上,我们关注信息安全在行业中的需求大幅提升,我们着眼于最前沿的信息安全技术进步,我们采访信息安全界的.众多领袖人物期望能看到更远的未来,然而,我们更深知推动着不断进步的重要力量是来自于这个领域不断辈出的人才.
作 者:白洁 BAI Jie 作者单位:刊 名:信息安全与通信保密英文刊名:INFORMATION SECURITY AND COMMUNICATIONS PRIVACY年,卷(期):“”(12)分类号:关键词:
随着电脑科技的飞速发展,网络信息安全已经成为我们这个时代的重大问题,人们称它为信息高速公路。网络是计算机技术和通信技术的产物,网络安全主要是确保其它人不能读取,是应社会对这个时代的信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。当今在我国的信息时代,计算机网络发展的速度也很快,已经成为现代化建设的必要信息来源。而面对信息侵袭的种种威胁,我们不得不考虑网络信息安全这个非常重要的问题。
随着科学技术的进步,出现了各种问题,如同其他技术的发展一样,计算机技术也是一柄双刃剑,一方面极大促进了社会生产力的发展;但是同时,各种五花八门的计算机犯罪行为也随之浮出,如同hacker入侵、计算机病毒的擅自制造及传播、国家机密泄露等等网络信息安全问题。网络信息安全的根本目的就是防止通过计算机网络传输的信息被非法使用。如果国家信息网络上的数据遭到窃取、更改过着破坏,那么他必定关系国家的主权和声誉、社会稳定与繁荣。网络信息安全不利直接影响我们个人的权益,对此我们要加强绝对的重视。
关键词:信息系统,信息安全,关键技术,管控
一、信息系统信息安全关键技术相关分析
(一) 现状和存在的问题。
(1) 信息系统没有建立完善的信息安全管理规范。对于信息系统的安全运行来说, 建立一个完善的管理规范是非常必要的, 它可以指导整个信息系统正确运作, 保证其安全性。 (2) 企业的网络安全意识不到位, 需要进一步提高。信息技术发展速度是非常快速的, 在技术与安全策略方面已经取得了很大的进展, 但是, 很多员工对于网络技术各方面的认识还不够, 尤其是对很多新的信息安全认识不到位。 (3) 需要建立一个与信息系统相匹配的信息安全体系。信息系统的类别是比较多的, 只有与不同的类别特点相适应的安全管理体系才能发挥出最大的作用。另外, 在企业的内网与外网之间建立一定的隔离也是非常有必要的。
(二) 密码保护措施。
当开始进行网络交易的时候, 我们最应该担心的就是怎样才能使交易更加安全, 数据信息不会受到侵袭、篡改以及切取等。因此, 我们应该重视网络信息安全的管理。 (1) DES快速加密。在数据的加密和解密方面, DES资料加密的速度是非常快速的, 我们从AES候选算法的测试结果可知, 软件加密的速度可以达到每秒十兆或十兆以上。由于该算法是公开的, 因此, 制造商可以降低很多成本就能实现加密, 因此, 这种芯片被大量生产和运用在信息系统中。 (2) RSA数字签名。DES加密的一个最大缺点就是密匙分发与管理通常比较困难, 价格也比较高。而RSA加密系统的特点就是加密的钥匙与解码是不一样的。在密匙的分发与管理上尤其简单, 可以实现数字签名, 从而使信息数据可以更加完整, 因此, 这一加密系统在电子商务领域得到广泛使用。
(三) 安全防范措施。
(1) 防火墙。防火墙是一种处于内网与外网之间的系统, 主要目的是保证内网可以安全有效地运行。防火墙可以提供可以进行控制的网络通信, 一般只会允许得到授权的通讯进入。通常, 防火墙主要包括滤油器、网关等等。 (2) 身份认证。身份认证技术主要是针对主机和终端用户的一种技术。为了确保网络安全, 网络资源一定要得到授权以后才能使用, 另外, 如果没有得到授权则是没有办法进入网络的, 也没有办法使用相关的网络资源。在认证过程中主要采用口令、密匙等方法确认身份。
二、信息系统信息安全关键技术的管控措施
(一) 加强技术手段的防控措施。
(1) 设置安全的密码保护。在网络安全中, 密码的安全显得尤为重要。如果密码不小心被泄漏, 网络系统很有可能遭到入侵。因为穷举软件的广泛使用, Root的密码要求相当高, 最少的密码设置也要十位数, 而一般的用户密码设置也至少是八位数, 另外还要求具有英文字母、数字、符号等加入其中。另一方面, 要求用户不能将自己的姓名、生日等简单的信息作为密码。 (2) 提高职员的网络安全意识。由于思想上面放松警惕, 很有可能给网络安全带来重大隐患。另外, 设置一些不恰当的密码、把密码写下来、将密码存在电脑中、长时间不换密码等都是错误的行为, 很可能让一些非法用户进入到企业的信息系统中。 (3) 对于网络的端口和节点进行实时监控, 严密检测信息的流向。同时, 要定期、不定期地检查信息网络、对日志进行审计, 进行病毒扫描、重要数据备份等都是非常重要的。因此, 对于企业的信息网络安全来讲, 建立完善的安全管理系统是具有重要作用的。
(二) 加强管理手段的管控措施。
(1) 信息系统主要可以通过内部的局域网和其他的监控系统联系在一起。通过信息数据的调度可以实现不同级别、不同地区的信息数据互联。信息监控系统与其他的一些系统通过网络连接在一起的时候, 一定要根据相关部门的认证进行, 并采取一定的隔离措施。 (2) 建立比较完善的信息调度数据网络, 可以在专用的内部网络上建立组网, 使用专线、准同步数字序列以及同步数字序列等等方式使内部网络与公用信息网络建立起物理隔离。 (3) 信息监控系统以及信息调度数据网络不能接入网络, 此外, 不能使用电子邮件。
信息系统是一个比较重要的网络系统, 它的网络安全性也比较重要。其中的关键技术运用对于安全保障是一个重要措施。因此, 我们可以通过采用不同的手段来确保信息系统的安全、可靠、完整, 例如防火墙、密码设置等等, 这些方法只要使用恰当便可以有效保障信息系统的网络安全。
参考文献
[1]殷小贡, 刘涤尘.电力系统通信工程[M].武汉:武汉大学出版社, 2004.
的信息安全意识猛然击醒。信息安全最显著的特点是“出现的问题越大,受重视程度越高”,最显著的成效是“受重视程度越高,出问题的概率越小”。显然,在当今信息技术广泛应用,网络影响力日益增强的时代,信息安全的风险因受到各类威胁而不断增长。随着新技术、新应用越来越多,新风险、新问题也将越来越多。2013年,我国信息安全产品的规模已较2012年度增长了21.68%,而未来两年该规模总量还将出现翻番。作为保障信息安全重要手段之一的检测与评估工作,必然显得越来越重要。
专业检测是信息安全可靠性认定的“首选措施”
信息安全测试与评估(简称:信息安全测评)是对信息安全模块、产品和信息系统的安全性等进行测试、验证、评价和定级,以明确其安全特性。一般而言,信息安全测评的重点是安全产品的专项性能和信息系统的安全状态。在实际测评过程中,通常从技术与管理两个方面进行,同时对内部风险和外部风险进行确认和衡量,有针对性地提出抵御威胁的安全防护对策和整改措施,从而最大限度地确保不出现安全问题或少出现安全问题,努力减少因安全问题而造成的经济损失和负面影响。早在20世纪80年代,美、英、德、法等西方国家纷纷制定了本国的信息安全评测认证制度,并积极开展测评认证标准领域的合作。经过近20年的努力,终于在1999年形成了既考虑共同的技术基础,又兼顾各国信息安全主权的国际化标准,即信息技术安全性评估准则(Common Criteria,简称CC),CC中的安全要求分为安全功能和安全保证两大类。1997年,我国开始组织有关单位跟踪CC发展,并着手制定对应的国家标准,2001年开始正式实施我国的信息安全标准GB/T18336,此后不断丰富和完善相关标准规范。
当前,社会各界对网络安全、系统安全、信息安全的依赖性越来越大,对信息安全测评工作的要求越来越高。整体形势呈现三个特点:一是信息安全的影响力日渐增强。2012年我国IT消费达到1.8万亿,云计算、物联网、移动互联网、IPV6、智能终端等网络新技术应用范围和服务内容不断丰富扩大,信息安全成为重点关注内容;二是网络技术军事化应用倾向明显。计算机病毒、高能电磁脉冲、网络嗅控和攻击、内网无线注入、微波炸弹等技术成为未来网络作战武器,各国网络备战步步升级,也成为国际合作与斗争的重要内容;三是黑客攻击窃密风险长期存在。我国电脑病毒的感染率高达67%以上,监测发现木马控制端IP中有49.8%位于境外,美国称85.7%以上的联网工业设备存在软硬件漏洞,出现在政府、军工、金融等重要信息基础设施和关键信息系统的恶性攻击和信息窃取事件层出不穷。无疑,组织信息安全测评是确保信息系统建设与应用安全的首选措施。
当前信息安全测评的“主要压力”和“实施难点”
信息安全所面临的巨大压力已传递到安全测评领域
据国家互联网应急中心(CNCERT)统计:北京、广东、上海等互联网发达地区受黑客攻击的窃密数量排名靠前。据中研普华研究表明,与全球信息安全市场相比,我国信息安全行业正处于快速成长期。2006年至2010年,年均复合增长率为18.62%。
信息安全保障服务面临着三大压力:一是技术和服务能力压力。因新技术和新应用发展极其迅速,技术隐患和管理漏洞并存现象较普遍,仅2012年发现技术漏洞总数达6万个,年度上升达11%以上;新增病毒样本6.9亿个,挂马页面92万个,钓鱼网站12.4万个;安全产品除传统的防火墙、IDS/IPS、防病毒等产品外,UTM、WEB安全、安全审计、信息加密、身份认证等需求日益增大,NGFW(下一代防火墙)、云计算、移动终端等安全产品相继涌现,对测评的技术手段和适用性要求越来越高。二是人才和执业资质压力。信息安全市场高速增长,近三年我国信息安全专业技术人员数量增长40%,信息安全企业资产总额增长36.2%,信息安全服务业务合同值增长255%;信息安全人才十分紧缺,薪酬指数远领先于其它传统行业。对测评机构和测评人员而言,必须拥有多项授权资质,有时一项工程必须同时满足多个管理部门的要求和规定;对从业人员的学习能力要求很高,经常培训、经常考证成为必然,具有“经验积累型”加“学习提升型”的职业特点。三是发展模式和能力提升压力。当前,我国信息安全测评机构总体上有三种编制、五种类型,由于信息安全测评需要的是“学习提升型”+“经验积累型”人才,需要一种“技术发展不钝化,人员稳定不僵化”的生态环境,上述各种编制和类型各有特色和千秋,实现融合发展、创新发展是当务之急,即在稳定的前提下确保较强的活力显得尤为重要!
当前信息安全服务保障的难点持续涌现
国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。信息安全领域面临的挑战主要来自于两个方面:一方面是电子信息产业的创新发展带来应用技术的不断推陈出新;另一方面是应用模式不断创新发展,热点转换频率快,出现应接不暇、不断淘汰的格局。
信息安全的难点问题主要有四大类:一是对信息泄漏、信息污染等问题的控制和防范,对未经授权信息流出、信息泄漏增添侵权风险,信息污染积累潜在危害等,需要及时发现和堵漏处置;二是对某些组织、某些人出于特殊目的,利用网络进行信息渗透和攻击等恶意破坏行为的防范和反击;三是随着社会高度信息化,重要信息基础设施、核心控制系统等安全边界复杂,尤其是虚拟化应用增多,在恶意行为屡禁不止的情况下,国家利益、社会公共利益、各类主体合法权益面临更大风险和威胁;四是随着网络泛在化、跨界应用普遍化,随之带来控制权分散等管理问题,在信息资源管理体系上出现了较多脱节和真空地带,从而使信息安全问题变得更加广泛而复杂。因此,信息安全保障能力与信息化应用创新同步发展极为重要,绝不可顾此失彼。
测评领域已成为信息安全“矛”与“盾”的竞技场
据中研普华称,中国(大陆及台湾)是被全球威胁相关流量攻击最甚的国家。信息安全测评需求与信息系统应用中的安全需求是正向对应关系,必然上演“矛”与“盾”绞杀战。目前主要有:一是检测移动设备的安全隐患。移动通信已成为办公、商务、社交的有效手段和热门途径,且种类繁多而操作系统多样,据Check Point调研,68%用户认为安全事故增加与移动通信发展趋势有关,这已成为防范黑客盗取信息及敏感数据的重要领域。二是检测QR码被恶意利用的漏洞。许多零售商和广告商将使用QR作为时髦的推广手段,尤其是使用手机扫描二维条形码,黑客们可借机将用户转到一个恶意链接、文件或程序上。三是检测Botnets(僵尸网络)“绑架”计算机威胁。通过一种或多种传播手段,用 bot程序(僵尸程序)病毒感染和控制大量主机,实施非法访问、盗窃数据、启动拒绝服务(Dos)攻击或散布垃圾邮件的侵权行为,必须通过测评发现风险、填补漏洞、进行有效防范。四是识别无线路由器组网漏洞。去年,有多款无线路由器被曝存在重大安全漏洞,因无线路由器组网非常隐性,一旦被黑客攻入不易被发现,需增强相关技术检测手段和被侵入的识别监控能力。五是识别虚拟化、云应用、BYOD隐患。此类应用故障较难判断、检测维护复杂,比如,云应用集中了大量数据信息,一旦云服务器遭到入侵或损坏,危害极其严重,各终端只能“叫天天不应”了;BYOD(携带自己设备办公)让人在机场、酒店、咖啡厅等非办公室地点,通过WLAN也能登录公司邮箱和业务系统,实现在线办公,当然外来人员借此潜入网络的可能性也增大了,非常考验识别和防范应用漏洞与风险的能力。六是监测重要系统应用中出现的漏洞。系统应用时的负载场景、执行效率、资源占用和兼容性、安全性等状态处于变化当中,需要对重要系统的应用过程进行必要的监测,及时发现安全漏洞和隐患,把安全事故消灭在萌芽当中。
我国信息安全测评需要进一步规范和强化
多国信息安全测评认证体系(ICCC)表明,规范管理是迅速发展的重要基础。纵观美国、英国、德国、法国、芬兰、瑞典、西班牙和日本、韩国等国家,非常重视建设信息安全测评认证体系,测评工作得到有力推进。其体系建设的共同特点是:有一个测评认证管理协调组织;有一个测评认证实体;有多个技术检测机构。而且,各国政府为适应信息化时代国际竞争的新形势,有条件的进行互认也是各国参与国际化和维护自主权的务实选择。在我国,近年来新增了众多从事信息安全测评的机构和单位,尤其是执行信息安全等级保护、分级保护以来,信息系统使用单位普遍由专业机构依据管理规范和技术标准实施信息安全测评。
下一步,为适应信息安全测评业务的迅速发展,有必要在三个方面进一步规范和强化:一是规范和强化测评机构与人员管理。避免追求数量而忽视质量,要扎实推进测评机构职业道德、业务素养和服务能力的全面建设,规范实施人员的各类测评活动,确保公正、公平、权威的测评结果;二是规范和强化测评能力建设。打破测评机构因编制和类型差异造成的局限和隔阂,着眼于国家安全大局,配合组织技术培训和业务交流,力争显著提升测评机构、人员的技术能力和业务水平,以适应当今信息安全形势发展;三是规范和强化新的信息安全测评观——四个统一。系统应用与安全保障存在着有效性和性价比的问题,既要兼顾信息系统的适用性,也要强调安全测评的合规性,笔者认为应使两者有机统一,需要树立新的信息安全测评观,即综合考虑测评对象的应用模式、技术架构、安全措施、制度建设四个方面的优化及有机统一,要破除只盯技术和管理两个部分的片面导向,推动建设“业务应用便捷简化、安全测评严谨细化、风险评估持续深化、制度建设不断强化”多角度覆盖的新型信息安全测评保障格局。
【信息安全的论文】推荐阅读:
医院信息安全与系统监控研究论文09-11
信息化建设中信息安全的定位和构筑策略11-08
电子商务的信息安全教学案例10-11
电力信息化与信息安全06-08
关于加强食品安全信息报送工作的通知11-05
信息安全团队06-05
信息安全试题06-27
0836信息安全07-24
信息安全技术09-27
浅析高校校园网信息安全的现状与防范06-01