网络信息安全建设(精选8篇)
目录
网络信息安全保障体系建设方案........................................................................1
1、建立完善安全管理体系.................................................................................1 1.1成立安全保障机构.........................................................................................1
2、可靠性保证.....................................................................................................2 2.1操作系统的安全.............................................................................................3 2.2系统架构的安全.............................................................................................3 2.3设备安全.........................................................................................................4 2.4网络安全.........................................................................................................4 2.5物理安全.........................................................................................................5 2.6网络设备安全加固.........................................................................................5 2.7网络安全边界保护.........................................................................................6 2.8拒绝服务攻击防范.........................................................................................6 2.9信源安全/组播路由安全...............................................................................7
网络信息安全保障体系建设方案
1、建立完善安全管理体系
1.1成立安全保障机构
山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。
山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。
2、可靠性保证
IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。
(1)设备级可靠性
核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。
(2)网络级可靠性
关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:
接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。
汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后通过使用快速路由协议收敛来完成链路快速切换。 核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。
组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。
2.1操作系统的安全
在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。
防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制,不同级别的业务管理人员,拥有不同级别的对象和数据访问权限。 防病毒:部署防病毒软件,及时更新系统补丁。
数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,有效地保障系统数据的安全性。
2.2系统架构的安全
IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。
存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。
支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN调度单元、网管均支持分布式处理。2.3设备安全
核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。
具备油机不间断供电系统,以保证设备运行不受市电中断的影响。服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复时间不超过30个小时。2.4网络安全
IPTV业务承载网络直接与internet等网络互联,作为IP网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。2.5物理安全
包括IPTV承载网络通信线路、物理设备的安全及机房的安全。网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。2.6网络设备安全加固
作为IP承载网,首先必须加强对网络设备的安全配置,即对网络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。
口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。
服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等。网络设备的交互式访问安全措施包括:加强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。2.7网络安全边界保护
网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性。
IPTV承载网络边界保护措施主要包括以下两点:
通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址,减少来自Internet或其它不可信网络的安全风险。
在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等。2.8拒绝服务攻击防范
拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。
建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实现网络的源IP地址过滤,在IPTV承载网接入路由器对其进行源IP地址的检查。关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能,如echo、chargen服务,网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。
下图给出了IPTV承载网安全建设实现方式图。
2.9信源安全/组播路由安全
尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题。
组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在RP上对组播源的合法性进行检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。
组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。为了实现对一些重要信息的保护,需要控制其扩散范围,静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散。在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授权的范围。
当前世界各国高度重视信息安全建设,纷纷建立能够有效化解信息化带来的风险的信息安全战略,并围绕创建网络安全、打击网络犯罪、保护数据和资源等课题展开探索。同时,面对日益严峻的信息安全形势,美国、俄罗斯、英国、法国、日本、韩国等国围绕如何应对“网络恐怖袭击”,如何减少本国信息基础设施的脆弱性,着手建立和完善自己的信息安全体制,健全信息安全法制,加强本国信息基础设置的安全保障工作。
2 网络信息安全战略
2.1 美国“网络空间安全国家战略”
2003年2月“网络空间安全国家战略”正式通过成为美国国家信息安全战略。该战略对美国网络空间面临的威胁和脆弱性进行了分析,明确地指出了制定和实施网络空间安全保护计划的指导方针,提出了五大优先发展方面和47项行动建议,并规定了联邦政府有关部门在网络安全保护中的基本职责,也为州和地方政府、私人企业和机构以及普通公民指明了在改善网络安全方面的行动方向。
网络空间安全国家战略针对的目标是未知的网络攻击威胁,强调预防和降低危害,致力于建立多层次、大纵深的防御体系。该战略把美国网络空间安全划分为五个层面:家庭和小型商业用户、大型企业、关键部门和基础设施、国家安全和脆弱性、全球性问题。针对五个层面的不同特点,制定了以预防攻击、消减自身脆弱性和降低攻击危害为主要的战略实施计划。
2.2 俄罗斯“国家信息安全学说”
2000年6月俄罗斯讨论并通过了“国家信息安全学说”。该文件的通过标志着俄罗斯信息安全战略的诞生,为俄罗斯进一步制定未来的信息政策奠定了基础。它明确了信息安全建设的目的、任务、原则和主要内容。对国家信息安全政策与措施进行了系统的规定,将信息安全划分为:经济领域、内政领域、外交政策领域、科学技术领域、精神生活领域、国防领域、司法领域等,并对每一领域的信息安全都作了具体的规定。同时,提出了俄罗斯联邦信息安全保障体系的框架,要求“从立法上分清联邦国家权力机关与联邦主体国家机关对保障俄联邦信息安全所有的职权范围,明确社会团体、组织和公民在这方面的目的、任务和参与机制。”
2.3 日本“e-Janan”战略
2000年9月,日本国会报告正式提出e-Janan战略。该战略包括构建超高速网络基础结构、制定竞争政策、建立电子交易新环境、实现电子政务等。同时强调“信息安全保障是日本综合安全保障体系的核心”,制定《信息通信网络安全可靠性标准》、《确保电子政务实施过程中的信息安全行动方案》、《信息安全标准》、《21实际信息通信构想》、《信息通信产业技术战略》等。2003年以美国《网络空间安全国家战略》为蓝本,发布了《日本计算机安全战略》,以应对网络恐怖袭击引起的信息通信中断等不测事件,保护重要设施的网络攻击威胁。
3 网络信息安全管理体制
3.1 美国整合资源综合管理
美军通过调整军队编制,加强信息安全监管机构和预防力量的建设,2002年就建立了由原航天司令部和策略司令部合并而成的新的策略司令部,主要负责计算机网络对抗、C4ISR保密系统管理、导弹防御和全球作战计划。
美海军成立了“空间和信息站指挥与控制局”和“网络站司令部”,加强对海军网络系统的规范、监视和控制,统一协调情报技术、情报处理、空间需要和信息安全问题。2009年6月成立网络空间司令部,整合统一管理美国三军的网络空间防御资源,加速改进保密信息的互通能力、共享能力和对网络空间攻击的快速反应能力。
3.2 英国设立网络安全运营中心
2009年6月,英国宣布成立网络空间安全办公室和网络安全运营中心。主要负责协调政府各部门的网络空间安全计划,保护英国信息基础设施的安全,监测网络空间的安全状况,发布安全风险预报,评估网络和用户遭受攻击的程度,协调对网络空间攻击事件的行动。
3.3 法国成立网络与信息安全局
2009年7月,法国成立网络与信息安全局。负责对政府敏感网络进行全天候监视,为政府和网络运营商提供对信息安全威胁的建议,帮助政府开发可信IT产品和服务。
3.4 韩国建立网络防护应急反应机制
韩国军方建立以参谋本部为中心,以国防情报本部、指挥通信司令部以及各军种玩过管理部门为主干,横联国家信息保护中心,纵联全军各级部队的信息战预警体系。为防范玩过恐怖袭击和网络间谍入侵,韩国2010年1月成立网络空间司令部,不仅承担网络空间安全与防御任务,还具备网络空间攻击能力,必要时将干扰他国重要部门的网络运行。
4 网络信息安全法制
美国是计算机网络发展最快、应用最普及的国家,同时也是计算机网络犯罪发生最早、数量最多的国家,这就决定了美国同样是信息安全相关政策法规最健全的国家。目前,美国已确立的有关信息安全的法律可以说无所不含。旨在加强信息网络基础设施保护、打击网络犯罪的相关法律有《国家信息基础设施保护法》、《公共网络安全法》、《计算机安全法》、《加强计算机安全法》、《加强网络安全法》等;旨在规范信息收集、利用、发布和隐私权保护的相关法律有《信息自由法》、《隐私权法》、《电子通信隐私法》、《通信净化法》、《数据保密法》、《网络安全信息法》等;旨在确认电子签名及认证的相关法律有:《电子签名法》等。另外,还健全了《国土安全法》等设计其他领域的安全法规。
英国和美国在信息建设方面基本同步,目前大部分政府服务都可以通过互联网提供,其信息公开法律制度相对完善。2000年11月通过的“信息公开法”主要包括信息公开的范围、信息公开的例外、信息公开的方式、信息公开的救济等内容。该法律的制定调动了社会参与的积极性,加强了对信息公开的管理,配套和细化可操作规则。
日本在1999年促进信息通信社会总部(SPIS)所属私人信息保护研究委员会明确表示,要通过立法建立政府和公众保护私人信息的基本规则。2000年2月,日本颁布《防止非法接入法》,建立了防止和刑事处罚非法接入或属于这种行为的活动的规章。此外,日本法务局根据发行有关商业等级信息电子证书的需要,对商业等级法做了部分修订。
2000年5月,日本国会通过“关于电子签名及鉴别业务的法案”,制定了日本第一部电子商务相关法律《电子签名鉴别法》,同年12月,日本发布《IT安全政策指南》。
5 结束语
网络信息技术高速发展的今天,网络信息安全已然成为世界各国一个普遍的、共同的问题,我们在享受信息技术带来的巨大收益的同时,也面临着保障国家信息安全的重大挑战,因此我们有必要关注美国等世界网络信息发达国家的信息安全建设,了解其主要战略、机制、法律手段等,以期对我国信息安全发展有所借鉴与帮助。
摘要:计算机与互联网的迅猛发展,在给国家带来利益的同时,也对依赖其进行的国家关键信息系统和网络基础设施带来了巨大的威胁,使得信息安全成为世界各国高度关注的问题。本文从信息安全战略、信息安全管理体制、信息安全法规三个方面,对美国、俄罗斯、英国、法国、日本、韩国等世界网络信息技术发达国家的网络信息安全建设情况进行介绍。
关键词:网络信息安全,国外,概述
参考文献
[1]晓宗.信息安全与信息战[M].北京:清华大学出版社,2003.12.
[2]周保太.世界各国信息安全建设[J].国防,2010(3):61-64.
[3]刘一.美国国家信息安全战略解析[J].信息安全与技术.2013(1):3-4.
[4]魏为民,袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全,2012,(12):53-56.
【关键词】计算机网络;信息安全;防护策略
在信息时代里,网络化信息系统已经成为国家经济建设和国防力量的重要标志和支柱,国家和军队的大部分信息活动都是在网络中进行的,通过互联网和局域网来处理各项业务,脱离网络的电脑单机几乎已经不复存在。
一、网络信息安全的内容和目标
网络信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
(一)网络信息安全的内容
(1)硬件安全。即网络硬件和存储媒体的安全。
(2)软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
(3)运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。
(4)数据安全。即网络中存储及流通数据的安全。
(二)网络信息安全的目标
(1)保密性。保密性是指信息不泄露给非授权人,或供其使用的特性。
(2)完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插入、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
(3)可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。
(4)可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
(5)可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
二、现阶段网络信息安全出现的问题
(一)技术问题
(1)主要软、硬件依赖进口 ,安全受制于人。
(2)安全保密技术落后,防护能力低下。
(二)管理问题
(1)重建设、轻管理,重使用、轻安全。
(2)网络使用人员素质不高,安全意识淡薄。
三、军队网络信息安全的防护策略
解决军事计算机网络中的安全问题,关键在于建完善的安全管理体系。总体防护策略应以技术为核心、以管理为根本、以服务为保障。
(一)技术上的策略
网络安全科技含量高、技术难度大,离开了技术支撑,安全就没有保障。军事计算机网络,要根据有信息安全技术标准,采用信息加密、身份认证、访问控制、病毒扫描、入侵检测、防火墙和内外网络物理隔离等一系列产品和工具,构建军事计算机网络安全保密的立体化、全方位、大纵身的技术防护体系,并对网络安全状态进行动态监控,发现安全漏洞及时堵塞和修复,发现黑客攻击和病毒侵袭事件及时应急处理和系统修复。
(二)管理上的策略
强化思想教育,加强制度落实。人是网络安全保密工作的主体。搞好网络安全保密工作,首要的是做好人的工作。就是要制定严格的信息安全管理制度。
(1)内部安全管理原则。网络系统的安全管理主要基于三个原则。①多人负责原则:每一项与安全有关的活动都必须有两人或多人在场。②任期有限原则:任何人最好不要长期担任与安全有关的职务,管理人员应该不定期地循环任职。③职责分离原则:负责信息处理工作的人员不要打听、了解或参与职责以外的任何与系统安全有关的事情。
(2)制订相应的管理制度或采用相应的规范
①制订相应的网络中心出入管理制度:对进入网络中心人员要严格执行登记等制度。②制订严格的操作规程:操作规程要根据职责分离和多人负责的原则,各尽其责,不能超越自己的管辖范围。③制订完备的系统维护制度:对系统维护时,应采取数据保护措施,对故障原因、维护内容和维护前后的情况要详细记录。
(3)严格控制信息资源的管理和使用。 ①存放业务数据或程序的磁盘、磁带或光盘,管理必须落实到人,并分类建立相应的登记簿,记录编号、名称、用途、规格、制作日期、有效期、使用者、批准者等。②凡不能正常记录数据的盘带、光盘,须经测试确认后由专人进行销毁,并做好登记工作。③程序和数据必须严格保密,未经上级部门同意,一律不对外提供任何数据和程序。④程序和数据除按规定进行拷贝以外,任何人不得以任何借口和形式进行拷贝。
在信息作战条件下,信息安全是军队战斗力的“利剑”,但是不能确保计算机网络的信息安全,那它就成了“软肋”。我们在技术和管理上采取高效严密的策略的同时,还要大力加强官兵的信息安全意识,培养网络安全专业人员,只有拥有一支训练有素的“网军”,才能保证军队在未来的信息战中占据主动权。
参考文献:
[1]李大成,张京,龚茗茗. 计算机信息安全[M].北京:人民邮电出版社
[2]安庆军等.信息战与信息安全策略[M].金城出版社
1法律制度对网络安全技术、产品创新的激励
不管是人类的生产活动、文化教育以及社会管理等方面都受到现代化信息技术的极大影响。就目前我国的现状来看,计算机操作系统安全及芯片安全技术成熟度问题,信息安全技术后门或缩微无限发射装置问题等等方面的存在,使得我国没有计算机信息系统安全的所有权。因此,我国需要对技术上的安全防范能力进行进一步的加强,这也是目前必须要解决的问题。信息技术在不断的进步和发展,信息安全问题也尤其突出,并且问题越来越多样化,对于用户来讲,需要处理的信息安全问题也在逐渐的增加,对于存在的问题进行有效的处理,信息安全手段也在进一步的提升。信息化技术水平较为发达的国家来讲,他们在信息安全领域方面有着很大的优势。就拿技术而言,在高速网络的状态下,怎么对网络数据实现网络监控,是目前网络安全技术必须要处理的一个问题,美国硅谷的一家公司进行了新技术的研发,其核心就是高性能专用集成电路核心,能够对数据进行分析控制以及安全方面的管理,在芯片当中纳入防火墙,通过DPI技术,能够对用户的网络进行整体的优化,使得网络的有效性及安全可控性得到进一步的提升。我国一些医院等部门对这种技术进行了运用,不仅可以对用户的流量进行控制,更保障了网络信息的安全性,针对这样的产品,我国相关的技术人员可以通过知识产权制度,对该技术进行推广和升级。当然了,技术方面的保护,并不能说明是法律意义上的保护,然而,技术过于落后可以使用法律的`鼓励措施,让技术得到进一步的发展。针对法律或者是政策,给予企业、人才等方面的大力支持。
2对网络信息系统实施定期信息安全风险评估制度的完善
经常能够在央视新闻节目中看到一些信息科技网络盗窃个人信息的事件,其中有不同地区车主的信息、银行的用户数据、股民的信息等等,这是让人非常担心的,更是震惊的。可以说,信息安全事件在我们的生活当中尤其常见,这也是目前社会信息化发展过程中不能避免的重大问题。由于网络个人信息被非法的窃取,或者是丢失,使得人们更多的会关注网络隐私权。其实这也是一个人的信息安全问题。然而,网络信息安全方面不仅仅是个人的权益,更涉及到企业、社会的稳定和安全方面。更与法律建设有着密切的联系。信息安全问题对国家安全和经济方面的利益有着直接的影响,所以,国家针对该问题进行了颁布标准以及实行认证制度等方面是进行了处理,严格、有效的管理信息安全产品和技术。依据相关问题对信息安全措施进行了建立,从而使得网络信息安全风险评估制度更加的完善。我国针对网络安全方面进行了相关制度的颁布,如《治安管理处罚法》、《刑法》等,违法入侵国家事务、切断科学技术领域的计算机信息系统,随机的篡改计算机信息系统功能,给其带来干扰性,导致计算机信息系统无法正常运行等相关行为在其中进行了相关处罚的规定。其中对信息安全测评及法规进行了明确,这一系列标准的颁布,很大程度的为信息安全产品的测评工作提供了参考依据。当然了,希望通过完善网络信息安全测评制度,以及强化法律的形式。将其不仅运用于基础网络、重点单位,更要在其他的网络中也要进行渗入,可以根据相关程序进行执行。尤其是从法律的视角,对网络信息安全测评制度进行深入的研究,从而使得相关法律法规越来越完善化,更让网络安全方面形成一个完整的体系。
3有针对性的开展全民普法与专门人才培养
通常来讲,信息安全方面涉及的内容比较多,所以,应该对全民的信息安全意识进行进一步的提升,才能让国家信息安全得到合理的保护,因此,应该有针对性的开展信息安全教育。
3.1普法性的宣传、教育
为了提高人们的网络信息安全意识,应该在我国义务教育阶段,就应该开展信息安全普法教育;到了高等教育阶段,应该设立相关的课程内容。在教育过程中,应该对信息收集、管理、使用规范的相关内容进行明确,从而保证网络信息的安全性。
3.2专门人才培养
从法律的角度来讲,需要对人才培养机制进行相应的建立。计算机信息系统当中所涉及的内容比较多,如硬件、网络技术以及软件技术。在高等教育当中有相关的专业设置,目的就是为了给国家培养计算机信息安全技术人才。对于该方面人才的培养,不仅仅是网络管理人才,或者是计算机人才,应该是一个对网络信息安全具有宏观视野的高级人才,这样我国网络信息安全方面才能得到有效的保障。
4结束语
上述的内容让我们对网络安全方面有了一个深刻的认识。可以说,在城市建设当中,计算机信息系统有着十分重要的作用,而信息安全问题是我国必须重视的一面,国家应该将信息安全技术、管理系统等方面的水平进行进一步的提高,从而保障我国社会信息化状态下,网络信息的安全性不被外来因素所威胁,有效促进我国网络信息技术的进一步发展,这有着十分重要的意义。
参考文献
[1]董献勇,王丽.网络和信息安全建设综述[J].中国信息安全,(03):3-289.
[2]汪鸿兴.信息安全战略设计及其启示[J].保密工作,(04):12-90.
[3]金江军.智慧城市:网络信息安全的新阶段[J].信息化建设,2016(11):137-180.
[4]张永民.“智慧城市”建筑中网络信息安全法律保障探究[J].中国信息界,2017(10):203-248.
1.根据《联合国电子政务调查报告2016》,中国电子政务发展指数名列全球第几位?(B)A.82
B.63
C.60
D.70 2.《国务院办公厅关于促进电子政务协调发展的指导意见》是哪一年出台的文件?(B)A.2013年
B.2014年
C.2015年
D.2016年
3.根据世界经济论坛发布的《全球信息技术报告》,2015年,在143个国家和地区中,我国网络准备度名列第几位?(B)A.60
B.62
C.51
D.57 4.在全国率先把支部建在网上的是哪个县?(B)A.浙江省逡昌县
B.山东省临朐县 c.陕西省武功县
D.山西省长治县 5.以下哪种情况属于电子政务?(C)A.农业信息化
B.工业信息化 C.国家部委信息化建设
D.教育信息化 6.哪个国家率先发布了公共服务大数据战略?(D)A.美国
B.英国
C.德国
D.澳大利亚 7.德国政府哪一年正式提出了“工业4.0”战略?(C)A.2010年
B.2012年
C.2013年
D.2014年 8.在英国,电子政务由哪个政府部门负责?(A)A.内阁办公室
B.内政部 C.商业,创新和技能部
D.首相府
9.中国第一家在美国纳斯达克上市的互联网企业是哪个?(B)A.瀛海威
B.中华网
C.新浪
D.搜狐 10.以下哪个不属于信息基础设施?(B)A.无线网络
B.应用软件
C.服务器
D.存储设备
11.日本总务省ICT基本战略委员会在哪一年发布了《面向2020年的ICT综合战略》?(B)A.2010年
B.2012年
C.2013年
D.2014年
12.2016年,全球电子政务发展指数排名第一的是哪个国家?(B)A.美国
B.英国
C.澳大利亚
D.韩国 13.“数字地球”这一概念是由谁提出来的?(B)A.克林顿
B.戈尔
C.小布什
D.奥巴马
14.“没有信息化就没有现代化” 是总书记在哪次会议上说的话?(B)A.2013年全国宣传思想工作会议
B.中央网络安全和信息化领导小组第一次会议 C.十八届三中全会
D.2016年网络安全和信息化工作座谈会
15.2015年我国网络零售交易额达到多少万亿元?(A)A.3.88
B.3.78
C.4.15
D.5.38 16.“智慧地球”这个概念是由哪个公司首先提出来的?(C)A.谷歌
B.通用电气
C.IBM
D.微软 17.3G牌照发放是哪一年发放的?(D)A.2006年
B.2007年
C.2008年
D.2009年 18.中国下一代互联网示苑工程是在哪一年启动的?(A)A.2003年
B.2004年
C.2005年
D.2006年
19.“工业互联网”这个概念是由哪个公司首先提出来的?(B)A.谷散
B.通用电气
C.西门子
D.微软 20.哪种互联网金融出现问题最多?(B)A.第三方支付
B.P2P网贷
C.直销银行
D.众筹
二、多选题(每题2分,共20分)
21.世发展中国家开通了政府数据网站?(ABCD)A.秘鲁
B.乌拉圭
C.智利
D.肯尼亚
22.《中共中央关于全面深化改革若干重大问题的决定》提出了哪四种社会治理方式?(ABCDE)A.系统治理
B.依法治理
C.协同治理
D.源头治理
E.综合治理 23.智慧政府包括哪些方面?(ABCD)A.智慧办公
B.智慧监管
C.智慧服务
D.智慧决策 24.常用的电子政务规划编制方法有哪些?(ABC)A.SWOT分析法
B.利益相关者分析法
C.标杆分析法 25.RFID标签具有以下哪些特点?(ABCD)A.体积小
B.寿命长
C.容量大
D.可重复使用 26.集团管控包括哪些模式?(ABC)A.操作型管控
B.战略型管控
C.财务型管控
D.风险型管控 27.云计算具有如下哪些特点?(ABCD)A.快速弹性
B.测量服务
C.按需自助服务
D.无处不在的网各接入 28.新空留鞋城市的“新塑”主要体现在如下明些方面?(ABD)A.理念新
B.技术新
C.管理新
D.模式新 29.互联网时代公共服务有嘲监渠道?(ABCD)A.微博
B.微信
C.App
D.政府网站 30.信息化的体系框架包括哪些方面?(ABC)A.信息基础设旋
B.信息通信技术应用
C.信息化发展环境
三、判断题(每题2分,共40分)
31.信息化发展水平与信息产业发达程度存在一定正相关性.(A)A.对
B.错
32.对总投资在5000万元以下及特殊情况的国家电子政务工程建设项目,可省略项目建议(B)A.对
B.错
33.物联网产业不属于战略性新兴产业.(B)A.对
B.错
34.1994年4月20日,中国接入国际互联网,成力国际互联网大家庭中的第70个成员。(B)A.对
B.错
35.智慧城市建设要完全由政府主导(B)A.对
B.错
36.ERP和MRS的有效整合是企业实现”产销一体化”和管控一体化”的关键因素。(A)A.对
B.错
37.2002年底,中国十大骨干互联网盗署互联互通协议,中国网民可以便捷地跨地区访问互联网.(B)A.对
B.错
38.谷歌公司的 App Engine是典型的Saas.(B)A.对
B.错
39.工业物联网不要求网中海个设备或产品都有一个IP地址.(B)A.对
B.错
40.Hadoop由美国甲骨文公司研发.(B)A.对
B.错
41.工业机器人是面向工业领域的多关节机械手或多自由度的自动装置.(A)A.对
B.错
42.项目验收包括初步验收和竣工验收两个阶段(A)A.对
B.错
43.新加坡“iN2015”战略的核心理念可以用“3C”(Connect,Collect,Comprehend)来概括.(B)A.对
B.错
44.党的十八届三中全会提出实施“互联网+”行动计划。(B)A.对
B.错
45.MES能通过信息传递对从订单下达到产品完成的整个生产过程进行优化管理。(A)A.对
B.错
46.2013年,中央网络安全和信息化领导小组及其办公室成立.(B)A.对
B.错
47.在出入境管理方面,公安部推出了“电子护照”。(A)A.对
B.错
48.党的十八届四中全会提出“发展分享经济”.(B)A.对
B.错
49.信息系统工程监理单位资质认证和监理工程师资格认定没有取消。(B)A.对
B.错
50.2013年4月,犯罪数据分析和趋势预测系统在北京市公安局海淀分局正式上线运行。(B)A.对
网络安全在网络银行应用
[摘 要] 网络银行作为网络经济在金融领域应用与延伸的产物,网络安全问题对网络银行的 发展提出了严峻挑战。信息安全是金融消费者最关心的,也是网络银行发展中最为敏感的问题。VPN这一虚拟的专用网络技术是理想的银行电子网络远程访问解决方案。其关键技术有隧道协议技术、加密技术、认证技术、存取控制等,并可以多种方式实现私有隧道通信。
[关键词] 网络银行;网络安全;VPN技术
[Abstract ]Internet banking in the financial field as a network of economic applications and extension of the product, network security issues on the development of Internet banking presents a challenge to information security。 financial consumers are most concerned about the development of Internet Banking is the most sensitive issue in this。 VPN Virtual Private Network technology is ideal for electronic banking network remote access solution for its key technologies。 Tunneling Protocol technology, encryption technology, authentication, access control, etc., and can be a variety of ways to achieve the private tunnel communication。
[Keywords ] Internet banking;network security;VPN Technology
1.网络银行及现状分析
1.1网络银行的概念。
网络银行是指银行利用因特网技术,通过因特网向客户提供各种金融服务的银行,是
利用计算机、网络、银行的三合一,通过网络上的虚拟银行柜台向客户提供全天候的网络金融服务,又称网上银行。网络银行的运行环境与传统环境不同,网络银行生存在虚拟的网络世界中,突破传统银行经营所受到的时间与空间的限制,按照开放的原则为客户提供数字化和高附加值的不间断服务。
1.2网络银行的发展阶段。
网络银行的发展可以划分为3个阶段:
第一阶段是计算机辅助银行管理阶段,这个阶段始于20世纪50年代,直到80年代中后期。早期的金融电子化基础技术是简单的脱机处理,只是用于分支机构及各营业网点的记账和结算。到了20世纪60年代,金融电子化开始从脱机处理发展为联机处理系统,以满足银行之间的汇兑业务发展的需要。20世纪60年代末兴起的电子资金转账技术及网络,为网络银行发展奠定了技术基础。
第二阶段是银行电子化或金融信息化阶段,这个阶段是从20世纪80年代后期至90
年代中期。随着计算机普及率的提高,商业银行逐渐将发展重点调整为PC机银行,即个人电脑为基础的电子银行业务。20世纪80年代中后期,在我国国内不同银行之间的网络化金融服务系统基础上,又形成了在不同国家之间、不同银行之间的电子信息网络,进而促进了全球金融通讯网络的产生,在此基础上,出现了各种新型的电子网络服务,如自助方式为主的在线银行服务(网上银行)、自助柜员机系统(ATM)、销售终端系统(POS)等。
第三阶段是网络银行阶段,时间是从20世纪90年代中期至今。20世纪90年代中期以来,网络银行或因特网银行出现,使银行服务完成了从传统银行到现代银行的一次变革。
1.3我国网上银行业务发展的特点
1.31网上银行业务持续增长。
有关报告表明:在2007年调查的我国10个经济发达的城市中,有37.8%的个人正在使用网上银行服务,较2006年增加了4.2个百分点;有31.7%的企业正在使用网上银行服务,较2006年增加了1.7个百分点。2007年,各收入人群的网上银行成长指数均上涨。其中,月收入500元以下和2000-2999元的人群增长幅度最多,分别为14.45%和10.36%。个人收入在7000-9999元/月的群体网上银行成长指数最高,为68.91;个人收入在500-999元/月的群体成长指数最低,为54.96。除安全指数外,其余一级指标基本呈现出收入越高、指数越高的趋势。可以看出,个人网上银行成长指数随着收入增加而上升。
1.32外资银行开始进入网上银行领域。
目前,获准在中国内地开办网上银行业务的外资银行包括汇丰银行、东亚银行、渣打银行、恒生银行、花旗银行等。另外,还有几家外资银行的申请正在审核之中。
1.33网上银行发展空间广阔。
有关报告表明:2007年中国个人网上银行成长指数为62.07,比2006年增长6.4%。企业网上银行成长指数为58.84,比2006年增长0.2%。目前,不论是企业还是个人,需求指数在所有指数中都是发展最好的,而通过个人与企业指数比较,个人网银的认知指数得分排名第一,企业网银的需求指数得分排名第一,说明在现阶段的环境下,企业比个人更加需要网上银行。
1.34网上银行业务种类、服务品种迅速增多。2000年以前,我国银行网上服务单一,一些银行仅提供信息类服务。但目前各大银行的网上银行业务覆盖面进一步扩大,交易类业务已经成为网上银行服务的主要内容,除了覆盖传统银行柜面业务外,还包括除现金业务外的全部对私业务和对公业务,其中包括存贷款利率查询、外汇牌价查询、投资理财咨询、账户查询、账户资料更新、挂失、转账、汇款、银证转账、网上支付(B2B、B2C)、代客外汇买卖等,部分银行还开办网上小额质押贷款、住房按揭贷款等授信业务。同时,银行日益重视网上银行业务经营中的品牌战略,出现了一些名牌网站和名牌产品。但目前我国尚未出现完全依赖或主要依赖信息网络开展业务的纯虚拟银行。
1.4对我国网上银行发展状况的分析
1.41我国网上银行发展的竞争优势。网上银行同样要基于成熟的商业模式和对市场的深刻理解,代表网上银行的“鼠标”必须加上代表传统柜台业务的“水泥”才有可能发挥更大的效力。因此,我国银行传统业务积累的丰富客户资源,将为网上银行初期发展提供源源不断的“氧气”。
1.42我国网上银行发展面临的问题。目前,大多数商业银行发展网上银行的主要动力在很大程度上是为了争取传统客户,而将网上银行作为一种宣传工具和稳定客户的手段。网上银行的发展缺乏科学的规划,投入高,效益差,管理水平有待提高。对于国外银行所重视的对网上银行风险检测、安全控制等技术提出专利申请,我国银行没有引起重视。
1.43我国网上银行发展所面临的机会。从1998年中国第一笔网上支付在中国银行成交,网上银行在我国涨势迅猛。随着银行业务的全面开放,网上银行快速发展的各项条件日趋成熟。目前,中资银行和外资银行共处同一个竞争平台,我国网上银行的发展将直接受到外资网上银行的影响,必须学会如何在竞争中学习其先进的管理模式与方法。
1.44我国网上银行发展的外部潜在障碍。在我国,网上银行发展的外部动力不足,体现在老百姓对网上银行的接受是被动的,交易量、交易额和传统柜面相比所占份额很小。网上银行业务更多的是复制传统柜面业务,缺乏根据互联网特点的新的金融创新,对客户的吸引力较弱。客户对网上业务接受比较被动,这和西方发达国家的情况形成鲜明对比。西方发达国家的整个社会信息化程度比较高,金融信息化的速度和社会信息化的速度相适应。而在我国,金融企业信息化程度领先于社会平均水平,很大程度上,客户从心理和认知上都不接受网上银行。接
受程度低,使用度也就相应降低,网上银行的规模效应无法体现。同时,我国金融产品尤其是理财型的产品相对较少,很多银行将网上银行作为低值业务的分流渠道,因此查询、转账、代缴费大行其道,成为各网上银行的主流业务,所不同的是形式上的包装,就产品来讲更缺乏对客户的吸引力。
2.网络安全对网络银行应用的必要性
资金在网上汇划,安全性是最大问题。发展网上银行业务,大量经济信息在网上传递,而计算机及计算机网络系统极易遭受黑客和病毒的袭击,技术和操作方面的故障都难以避免。在网络环境下,银行业一些传统业务的风险将被放大,使银行面临的风险更大。
消费者对网络银行服务的态度如何呢?有关调查显示:消费者更愿意接受在线的金融服务,前提就是希望在一个网址上就能够得到各种各样的金融服务而且交易一定要保密。现有个人用户选择网银的因素2007年与2006年最大的变化是:“网络银行的安全性能”超过了“选择网银主要根据原来的开户行而定”上升到了第一位。与2006年对比,2007年企业选择网上银行的因素中,公司因原有银行账户的原因仍然排名第一,其比例仍然在50%以上,2007年排名第二、第三、第四名的分别为网银的安全性能、银行的知名度、网银的服务水平和态度。而无论个人和企业,非现有用户选择网银时看重的因素没有显著变化,最重视的依然是网银的安全性能。由此看出,消费者不但需要一体化的服务,而且网上交易的安全至关重要,消费者表示交易时隐私权被侵犯比在网上被欺诈钱财更令人担心。信息安全是消费者最关心的,也是网络银行发展中最为敏感和头疼的问题。要想让网络银行被消费者接受,首先得解决安全问题。安全性作为网络银行赖以生存和得以发展的核心和基础,从一开始就备受关注,各家银行都积极采取有效的技术和业务手段来确保网络银行的安全。
3.VPN技术
3.1VPN的关键技术
3.11隧道协议技术。隧道协议技术将原始报文在A地进行封装,到达B地后去掉封装,还原成原始报文,形成一条由A到B的专用通信隧道。该技术分为:①端对端隧道技术。从用户的PC延伸到用户所连接的服务器,每个端点的VPN设备都必须负责隧道的建立及端点之间资料的加密和解密等工作。②点对点隧道技术。主要是连接不同地区的局域 网络 。在局域网络内部传送的资料并不需做任何改动。一旦资料必须经由网络外围的设备传送到不同的局域网络时,这些数据才会被加密且经由隧道传送给下一个节点的对应设备。当节点收到资料后,VPN设备将这些资料解密,还原成原来的格式,再传送到内部局域网络。利用软件隧道覆盖在一个实体网络之上,构成虚拟特性,让其上任何一个连接看起来像是线路上唯一的 交通 。隧道也将使内部网络的安全性和优先性得以维持,提供交通控制能力。
3.12加密技术。VPN支持目前市场上主要的几种加密技术,如Rivest Cipher技术、DES及Triple-DES(三重DES)等。密钥长度的选择主要取决于资料机密的重要程度以及资料所流经的网络安全性等。一旦VPN采用加密技术后,系统必须为用户提供一套取得密钥的方法。最常见的密钥管理技术为点对点协议(PPP)中的加密控制协议(ECP)、具备密钥管理功能的点对点加密技术(MPPE)等。对于特别敏感的业务信息通信,通过加装硬件加密模块予以解决。
3.13认证技术。VPN采用了许多现有的用户认证技术,如密码认证协议(PAP)、挑战性握手验证协议(CHAP)以及Mi-crosoft CHAP的支持能力。连接中一般都包括两种形式的认证:
(1)用户身份认证。在VPN连接建立之前,VPN服务器对请求建立连接的VPN客户机进
行身份验证,核查其是否为合法的授权用户。如果使用双向验证,还需进行VPN客户机对VPN服务器的身份验证,以防伪装的非法服务器提供错误信息。
(2)数据完整性和合法性认证。检查链路上传输的数据是否出自源端,在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查,密钥只由发送者和接收者双方共享。
3.14存取控制。在确认用户身份后,就要给不同用户授予不同的存取权限。用户必须接受身份认证(Authentication)和授权程序验证(Authorization),让网络知道是谁发出的业务请求,让用户知道他们可以进行哪些操作。一个完善的系统同时还能执行账户稽核(Accounting),以追踪支出源。
3.2实现私有隧道通信的方法
3.21通过封装通用路由实现。采用通用路由封装(GRE)技术,为IP数据包加上一个IP头,将私有数据进行包装后,传送到其他地方。因为银行私有网络的地址通常是自己规划的,因此无法与外部互联网建立正确的路由。但在银行网络的出口,至少会有一个合法的地址,它在互联网中是唯一的。GRE就是将内部的目的IP地址和源地址的数据报文进行封装,加上一个远端机构互联网出口的IP地址(目的地址)和本地互联网出口的IP地址(源地址),即加上IP头。通过互联网IP帧结构如图所示。
3.22通过点对点隧道协议实现。采用点对点隧道协议(PPTP),将控制包与数据包分开。控制包采用TCP控制,用于严格的状态查询和信令信息。数据包先封装在PPP协议中,然后封装到GRE协议中。
3.33通过第二层隧道传输协议实现。采用第二层隧道传输协议(L2TP),将二层协议PPP的报文封装在报文中进行传输。用户可以通过拨号网络直接访问银行内部网络,在特定链路层实现VPN技术。
3.34通过网络协议安全实现。采用网络协议安全(IPSec)协议,运用互联网的验证、加密等功能,实现数据的安全传输。同时,还可采用该协议构建VPN网络。其原理也是对IP包进行封装(可提供多种方式)并进行加密,然后在互联网中进行传输。与前面方法相比,这种技术提供了更好的安全性。但是,协议的复杂性导致了处理IPSec的网络设备(如路由器)需要占用大量的资源,效率较低。如果使用专门的加密硬件,又会增加成本。
3.35通过多协议标记交换实现。采用多协议标记交换(MPLS),VPN实现底层标签自动分配,即为每个VPN分配一个独有的标识符,称为路由区分符(RD),在网络中的每个In-tranet或Extranet的区分符都不同。转发表包含独有的地址,称为VPN_IP地址,由RD 和用户的IP地址构成。VPN_IP地址是网络中每个端点独有的,条目存储在VPN中每个节点的转发表中。边界网关协议(BGP)是一个路由选择分配协议,它定义谁可以与使用多协议分支和群体属性的人对话。在MPLS的VPN中,BGP只向同一个VPN中的成员发布有关VPN的信息,通过业务分离来提供本机安全性。这种基于标记的模式保证了帧中继和ATM连接中的私密性,也更容易实现跨运营网点骨干网服务质量的保证。
4.结束语
网络银行作为金融服务信息化最集中、最突出的表现形式,代表着银行业发展的未来,是大势之所趋。无论国际还是国内,网络银行都面临着不少亟待解决的问题。网络银行发展的关键就在于如何打破安全这个最大的瓶颈,在这个方面,显然还有很多工作要做。
参考 文献 :
1 系统背景
公安边防部队是公安部直接领导下的一支公安现役部队,是我国部署在沿边沿海地区、出入境口岸和领海的一支重要武装执法力量。公安边防工作涉及沿边沿海地区的治安、涉外、巡逻、出入境、缉私、缉毒、反偷渡等任务,具有政策性强、技术难度大等特点。目前,公安边防部队依托金盾工程逐步组建了各级局域网,支队级以上机关大都部署了防病毒、防火墙和入侵监测系统,初步实现了资源的有效共享和快捷的信息传递。以边检站为例,目前装备有各种业务口的应用系统,将来还要部署更多的系统。系统中每台主机上存储的信息其性质都不完全相同,虽不涉及密级,但应属于内部信息,从管理上说应该严格禁止计算机间随意的、未授权的相互访问和数据共享。虽然从管人的角度,部队上下分别制定了一系列网络和信息安全管理制度,但由于目前情况下连接局域网的计算机在物理上属于一个大的网络,分布在各台主机中的重要信息资源仍然处于一种高风险的状态,因此很容易造成计算机相互之间的随意访问,包括数据的相互拷贝和共享。为了进一步构建和完善等级保护安全体系,保证单位内部重要数据的使用安全,现提出构建网络信息安全系统计划。
2 系统建设目标
网络信息安全系统建设的最终目标包括:基于国家等级保护和分级管理相关法律法规,对单位内部的信息系统进行详细的安全风险分析;根据单位内部信息系统的安全现状,依照国家等级保护法规和有关技术标准,对单位内部的信息系统进行安全保护;对单位核心信息系统中的数据进行安全加密保护,在不改造、不影响应用系统运行的前提下,增强单位内部的信息系统实施安全,做到对应用系统所处理的透明加密安全保护,达到数据安全等级保护要求,提升单位信息安全水平,保障业务安全高效运行。
3 系统设计
单位内部业务系统所处理的信息主要是内部信息,因此,安全保护措施重点应兼顾业务系统的可用性和业务系统的信息整合,应该透明地增强业务系统的安全性;同时,安全保护措施应该做到既能防范外部攻击造成的泄密,又能防范内部人员造成的信息泄露,满足简单易用和安全可控的原则。
网络信息安全系统通过在操作系统内核态加固和改造位于可安装文件系统(IFS)管理器与存储设备驱动程序之间的文件系统驱动程序,对数据信息的存储交换通道进行严格的保护,同时基于进程捕捉与控制技术实现了上层用户态办公应用程序通过文件系统加固驱动程序对底层文件的透明访问和信息系统中数据的透明加解密,如图1所示。
网络信息安全系统的设计满足业务信息安全类设计要求,保护了数据在存储、传输、处理过程中的安全性、可靠性和真实性,确保数据不被泄露、破坏和免受未授权的修改;最终实现在不改造、不影响应用系统运行的前提下,对单位内部的信息系统实施安全保护,做到对信息系统所处理数据的透明安全保护。
4 系统实现
4.1 系统的组成
网络信息安全系统主要有3部分组成。
客户端:对应用系统产生的电子文件进行透明加解密;对用户的文档操作行为进行记录,并将日志上报到统一的日志服务器上。
服务器(密钥与授权管理中心):密钥与授权管理中心实现对用户公私钥对、文档会话密钥等的管理。同时,密钥与授权管理中心还统一存储电子文档的各种权限信息,为文档的权限管理提供技术支持,为应用系统的主机提供信息的保密、防抵赖、完整性、认证等服务。
审计日志服务器:审计日志服务器的主要功能是集中存储用户的文档操作日志,并对系统审计员开放操作界面,由系统审计员对用户文档操作日志进行统一审计和管理。
4.2 系统的工作流程
用户通过客户端软件加密文件,把文件密钥、用户权限信息上传给密钥与授权管理中心;密钥与授权管理中心验证用户操作并存储密钥与权限信息;用户将加密信息发布给其他用户;其他用户可以在通过密钥与授权管理中心身份认证后,获取相关的文档操作权限,并根据作者或文档管理员所设定的权限对文件进行自动透明解密等操作。
4.3 系统功能
网络信息安全系统通过综合使用密码技术、数字签名技术和数字信封技术、操作系统内核技术、访问控制技术,保证数据的真实性、完整性、可靠性;完成电子文档的自动加密存储、自动加密传输、安全交换和使用日志审计等功能;实现应用系统内部电子文档数据的安全存储保密、安全内外传出和安全管理等级,达到国家等级保护的要求。
4.3.1 文档加密存储和传输
等级保护第3级为安全标记保护级,明确要求对秘密数据进行安全保护并提供保护状态与保护等级。电子文档自动加密系统给予用户自身的公私钥对,实现了文件的安全交换功能,以确保文件在传输过程中的安全性,防止文件在传输过程中被非法窃听、截获或者篡改,满足数据安全等级保护要求。
数据在服务器数据库中加密存储,仅服务器和具有阅读该加密公文权限的客户端能解密。安装有密码设备的客户端若没有阅读加密文档的权限,即使它突破应用系统和数据库的安全防线,非法下载了该加密文档也无法正确解密。
电子文档在客户端与服务器之间应是密文传输,网络中的非授权客户端即使窃听到数据也无法解密。电子文档上传,仅服务器能对其解密,电子文档下传,仅目标客户端能对其解密。
4.3.2 文档数据动态加解密
文档数据动态加解密通过硬件加解密设备实现电子文档和数据读写硬盘时自动进行相应解密加密动作,使电子文档自动以密文保存,以明文读出,保证了文件作者在制作文档过程中的安全性,解决了文档加解密与应用系统无缝结合的问题,无需应用系统干预和处理。文档数据动态加解密既保证了单位重要数据的安全,又确保了业务的高效运行。
4.3.3 实时权限管理和控制
实时权限管理和控制可以实时对应用系统中的用户进行集中管理和控制,以个人和组为单位进行授权,给予不同等级用户相应等级的权限,对文档的使用分别授权。未授权的用户,无法打开加密文件。
采用基于角色的访问控制,不同角色的用户组拥有不同的权限。根据文档管理的需要,用户可以灵活定义文档权限分类,所有权限都可以实时灵活更改,包括实时设置、更改、回收相应用户或组的授权,系统可自动获取每个动作记录。克服了传统电子文档一旦发出去就不可能收回或更改权限的缺点,保证了单位不同等级电子文档数据的实时传播可控。
4.3.4 文档使用记录审核
文档使用记录审核通过改造操作系统内核中的存储子系统和文件子系统,实现对文件操作的行为记录和审计,由单位的数据中心事件日志采集引擎进行收集和处理,完善了信息安全事件管理。
系统对内部公文文档和用户文档的使用和操作行为进行详细记录和审计,管理员可以查询所有用户和计算机的文件操作记录。当发生安全事件时可以进行责任追究,防止对内部公文文档进行非法操作,达到国家等级保护相关级别中系统审计保护对日志审计的要求。
5 结论
网络信息安全系统建设完成后,将实现信息系统等级保护中有关数据安全保护的基本要求和目标,尤其是应用密码技术和手段对信息系统内部的数据进行透明加密保护。网络信息安全系统还为单位内部机密电子文档的管理提供了一套有效的管理办法,为电子文档的泄密提供了追查依据,解决了信息系统使用方便性和安全共享可控制的难点,为部队深化信息化建设提供技术保障。
网络信息安全系统能够有效提高单位的数据安全保护等级,与其他信息系统模块协调工作,实现了资源的整合和系统的融合,形成一个更加安全、高效、可控、完善的信息系统风险监控与等级保护平台,提高了部队内部核心数据,特别是对内部敏感电子文档的安全管理,随着系统的不断完善和扩大,将对部队内部网络和信息系统的安全保护发挥更大作用。
参考文献
[1]公安部.信息安全等级保护培训教材[M].2版,2007.
[2]吴功宜.计算机网络[M].2版.北京:清华大学出版社,2007.
[3]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2007.
[4]沈昌祥.等级保护整改的技术路线[J].信息网络安全,2008(11).
[5]王玲.网络信息安全的数据加密技术[J].信息安全与通信保密,2007(4).
关键词:信息化建设 信息安全 对策
DOI:10.3969/j.issn.1672-8289.2010.10.036
近年来,随着我国信息技术实力的增强,信息化技术作为高新技术的代表迅速崛起,社会生活步入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。电子政务、电子商务、军事信息技术及以物联网为代表的新一代互联网技术蓬勃发展,为我国信息技术的发展注入了强大动力和活力。根据中国互联网络信息中心(CNNIC)发布的数据,我国(不含香港、澳门和台湾地区)的网民数量、规模、宽带网民规模和国家域名数均跃居世界第一位。如何加强信息安全是摆在我们面前的一个重要课题。
一、当前网络信息化建设中存在的安全问题
由于我国的信息化建设起步较晚,技术力量相对薄弱,相关信息监管体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。据公安部统计,我国今年查处针对计算机信息系统实施的违法犯罪案件呈上升趋势,因此如何保证信息的安全性成为我国信息化建设过程中需要长期关注并致力解决的重要问题,具体表现在:
1、信息与网络安全的防护能力较弱。各行业信息化建设发展迅速,各行业纷纷设立自己的网站,3G等新技术的应用进一步促进了网络信息的普及应用。BBS、博客、微博等新的信息存在和传播形式迅速渗入社会生活。特别是“政府上网工程”的全面启动和进一步深化,信息已成为人们工作、生活、娱乐等必不可少的重要手段。但是由于许多信息节点没有防火墙设备、安全审计系统、入侵监测系统等防护设备,导致整个信息系统存在着相当大的信息安全隐患。
2、对新的信息技术和手段管理滞后。由于我国信息技术起步晚,许多信息设备采用国外核心技术,很多引进的信息设备,缺乏必要的监测和改造,从而给他人入侵系统或监听信息留下隐患。特别是随着3G时代的到来,犯罪嫌疑人采取无线上网技术将更加方便快捷,对其侦破定位的难度进一步加大。
3、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞,通过木马盗用等手段进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。犯罪分子往往采用一些网络反侦查措施给调查取证工作设置重重障碍。有的网络信息犯罪活动十分隐蔽,实行注册会员制,外人很难介入,采取限制域名和IP地址的办法,只允许特定范围的用户访问,这些技术手段增加了信息犯罪办案难度。更有甚者通过更换主机、跳转域名甚至租用境外服务器空间存储数据来实施信息犯罪,通过使用电子邮件和即时通信软件防范调查。
二、信息化及信息的安全问题的原因
由于我国的经济基础薄弱,在信息化建设上的投入不足,尤其是在核心和关键技术及安全产品的开发生产上与国际先进水平还存在较大差距。除此之外,我国目前信息技术领域的不安全局面,也与信息监管制度法律建设滞后和信息化迅速发展的形势极不适应有关。由于网络运营商、服务提供商和网站信息经营者之间具有一定的利益共生关系,他们往往消极配合甚至不予配合,影响信息安全工作的监管。例如随着电子商务的日益普及,一批具有“信用担保”功能的第三方网上支付平台应运而生。据统计,除阿里巴巴的“支付宝”和eBay的“贝宝”外,目前中国市场上有50余家中小规模的第三方支付公司。作为新生事物,第三方支付平台缺乏专门的法律法规进行规范,有的游走于政策的边缘来获取某种机会收益,有时成为洗钱、信用卡套钱、网络赌博等活动的工具。部分网络运营商不配合。有的通信运营商未严格实行实名注册登记制度,对手机代收费的审查不到位,有的还为淫秽色情网站经营者提供“捆绑”收费便利。电子证据认定难。网络犯罪的证据主要是电子证据,这些证据多存在于电磁介质如程序、数据等无形的信息中,很容易被更改和删除,这就给网络犯罪分子留下了可乘之机。由于网络信息犯罪的超时空性,它的行为和结果地往往分离,电子证据的固定也有相当的难度。对电子证据的认定也存在同样的问题,计算机通常是只认口令不认人,一些黑客盗用他人的密码实施犯罪,在法律上确定谁是真正的犯罪嫌疑人非常困难,有时即使查到IP地址也很难证明是其本人实施的,证据不具有唯一性或排他性,难以定案。
三、解决网络信息安全难题的对策浅探
1、完善立法,创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,尽早制订符合中国实际的《网络安全法》。完善信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处,扩充信息犯罪主体,完善非法侵入计算机信息系统罪,将金融、证券、医疗、能源、交通等关系国计民生的领域纳入保护范围;完善破坏计算机信息系统罪,增加破坏硬件系统的有关规定,对计算机病毒和计算机破坏性程序分别做出详细、明确、具体的规定。
2、加强全民信息安全教育和技术监管,堵塞犯罪漏洞。加强信息安全教育要从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。 一是健全完善网络实名机制。在保护个人隐私的同时,逐步推进实名管理。二是完善上网日志留存制度。三是对网上有害信息及时删堵。尤其是百度、谷歌等搜索引擎要对留存信息严格审查,并加强与监管机关的协作配合。四是加强无线上网的接入管理工作。
3、加强网络安全技术更新步伐,重视信息安全基础研究。
由于网络与生俱有的开放性、交互性和分散性等特征,信息战的攻与防、矛与盾之间的关系将长期存在。要保证网络信息的长治久安,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的技术和法律规范,防范各类恶意入侵,加强信息网络安全。要不断更新技术,研制新型产品,堵塞安全漏洞和提供安全的通信服务。加强关键保密技术,如加密路由器技术、安全内核技术、数据加密技术、 身份证认证技术、防火墙、网络反病毒技术等重点项目的研制和改进,营造一个安全有序、高效的信息平台。加大对ICP、ISP运营商的管理,全面落实备案制度,尽快建成各地的IP基础数据库,实施公共信息网络和国际互联网的安全防护体系。构建以政府为主体,公安、文化、信息产业、新闻宣传、通信管理、教育、工商等职能部门共同参与的综合管理体制,明确职责分工,加强协作配合,多层次、全方位地共同治理信息犯罪问题。要建立社会联动的网络预警机制,普及网络安全知识和有关法律知识教育,既增强广大网民自觉守法的意识,又增强他们的自我保护意识,提高网上自我防范能力。
四、结束语
【网络信息安全建设】推荐阅读:
网络信息安全问题就是12-03
信息网络安全分析01-18
网络信息安全小论文02-20
网络信息安全培训材料03-08
我国网络信息安全法律03-29
网络与信息安全技术小结06-06
网吧网络与信息安全制度09-14
网络信息安全培训计划09-28
《网络信息安全》期末复习总结01-11
电子商务网络信息安全01-20
