前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的關于信息安全應急響應主題范文,僅供參考,歡迎閱讀并收藏。
(一)目的
為科學應對網絡與信息安全(以下簡稱信息安全)突發事件,建立健全信息安全應急響應機制,有效預防、及時控制和最大限度地消除信息安全各類突發事件的危害和影響,制定本應急預案。
(二)工作原則
1.統一領導,協同配合。全區信息安全突發事件應急工作由區信息化工作領導組統一領導和協調,相關部門按照“統一領導、歸口負責、綜合協調、各司其職”的原則協同配合,具體實施。
2.明確責任,依法規范。各鎮人民政府、各街道辦事處、區直各部門按照“屬地管理、分級響應、及時發現、及時報告、及時救治、及時控制”的要求,依法對信息安全突發事件進行防范、監測、預警、報告、響應、協調和控制。按照“誰主管、誰負責,誰運營、誰負責”的原則,實行責任分工制和責任追究制。
3.條塊結合,整合資源。充分利用現有信息安全應急支援服務設施,整合我區所屬信息安全工作力量。充分依靠省市各有關部門在地方的信息安全工作力量,進一步完善應急響應服務體系,形成區域信息安全保障工作合力。
4.防范為主,加強監控。宣傳普及信息安全防范知識,牢固樹立“預防為主、常抓不懈”的意識,經常性地做好應對信息安全突發事件的思想準備、預案準備、機制準備和工作準備,提高公共防范意識以及基礎網絡和重要信息系統的信息安全綜合保障水平。加強對信息安全隱患的日常監測,發現和防范重大信息安全突發性事件,及時采取有效的可控措施,迅速控制事件影響范圍,力爭將損失降到最低程度。
(三)適用范圍
本預案適用III、IV級應急處理工作和具體響應I、II級應急處理工作。
基礎通信網絡的應急處理按照信息產業部有關規定實施,區人民政府積極支持和配合。
二、組織機構及職責
(一)應急指揮機構
在區信息化工作領導組的統一領導下,設立區網絡與信息安全突發事件專項應急委員會(以下簡稱區信息安全專項應急委),為區人民政府處理信息安全突發事件應急工作的綜合性議事、協調機構。主要職責是:按照國家、省、市、區信息化工作領導機構的要求開展處置工作;研究決定全區信息安全應急工作的有關重大問題;決定III、IV級信息安全突發事件應急預案的啟動,組織力量對III級和IV級突發事件進行處置;統一領導和組織指揮重大信息安全突發事件的應急響應處置工作;區信息化工作領導組交辦的事項和法律、法規、規章規定的其他職責。
區信息安全專項應急委由分管信息化工作的副區長任主任,有關單位負責人組成。
區信息安全專項應急委辦公室設在區計算機信息中心,其主要職責是:
1.督促落實區信息化工作領導組和區信息安全專項應急委作出的決定和措施;
2.擬訂或者組織擬訂區人民政府應對信息安全突發事件的工作規劃和應急預案,報區人民政府批準后組織實施;
3.督促檢查各鎮、各街道和區直有關部門信息安全專項應急預案的制訂、修訂和執行情況,并給予指導;
4.督促檢查各鎮、各街道和區直有關部門的信息安全突發事件監測、預警工作情況,并給予指導;
5.匯總有關信息安全突發事件的各種重要信息,進行綜合分析,并提出建議;
6.監督檢查、協調指導各鎮、各街道和區直有關部門的信息安全突發事件預防、應急準備、應急處置、事后恢復與重建工作;
7.組織制訂信息安全常識、應急知識的宣傳培訓計劃和應急救援隊伍的業務培訓、演練計劃,報區人民政府批準后督促落實;
8.區信息化工作領導組和區信息安全專項應急委交辦的其他工作。
(二)區信息安全專項應急委各成員單位的職責
區計算機信息中心:統籌規劃建設應急處理技術平臺,會同___公安分局、國保大隊、區國家保密局等有關單位組織制定全區突發事件應急處理政策文件及技術方案,負責安全事件處理的培訓,及時收集、上報和通報突發事件情況,負責向區人民政府報告有關工作情況。
___公安分局:嚴密監控境內互聯網有害信息傳播情況,制止互聯網上對社會熱點和敏感問題的惡意炒作,監測政府網站、新聞網站、門戶網站和國家重大活動、會議期間重點網站網絡運行安全。對發生重大計算機病毒疫情和大規模網絡攻擊事件進行預防和處置。依法查處網上散布謠言、制造恐慌、擾亂社會秩序、惡意攻擊黨和政府的有害信息。打擊攻擊、破壞網絡安全運行、制造網上恐怖事件的違法犯罪行為。
國保大隊:收集潛在的國外敵人攻擊計劃和能力信息,依法對間諜組織以及敵對勢力、民族分裂勢力、勢力等內外勾結,利用計算機網絡危害國家安全的行為開展各種偵察工作;依法對涉嫌危害國家安全的犯罪進行查處;依法對在計算機網絡上竊取國家秘密或制作、傳播危害國家安全信息的違法犯罪活動進行查處。
區
財政局:制定經費保障相關政策及方案;保證應急處理體系建設和突發事件應急處理所需經費。區國家保密局:依法組織協調有關部門對計算機網絡上泄露和竊取國家秘密的行為進行查處,做好密級鑒定和采取補救措施。
(三)現場應急處理工作組
發生安全事件后,區信息安全專項應急委成立現場應急處理工作組,對計算機系統和網絡安全事件的處理提供技術支持和指導,按照正確流程,快速響應,提出事件統計分析報告。
現場應急處理工作組由以下各方面的人員組成:
管理方面包含應急委副主任,以及相關成員單位領導及科室負責人。主要任務是確保安全策略的制定與執行;識別網絡與信息系統正常運行的主要威脅;在出現問題時決定所采取行動的先后順序;做出關鍵的決定;批準例外的特殊情況等。
技術方面應包含市有關專家、區信息安全有關技術支撐機構技術人員。主要負責從技術方面處理發生問題的系統;檢測入侵事件,并采取技術手段來降低損失。
三、預警和預防機制
(一)信息監測及報告
1.公安、國保大隊、區計算機信息中心等單位要加強信息安全監測、分析和預警工作,進一步提高信息安全監察執法能力,加大對計算機犯罪的打擊力度。
2.建立信息安全事故報告制度。發生信息安全突發事件的單位應當在事件發生后,立即對發生的事件進行調查核實、保存相關證據,并在事件被發現或應當被發現時起5小時內將有關材料報至區計算機信息中心。
(二)預警
區計算機信息中心接到信息安全突發事件報告后,在經初步核實后,將有關情況及時向區信息安全專項應急委報告。在進一步綜合情況,研究分析可能造成損害程度的基礎上,提出初步行動對策,視情況召集協調會,并根據應急委的決策實施行動方案,指示和命令。
(三)預警支持系統
區計算機信息中心建立和逐步完善信息監測、傳遞網絡和指揮決策支持系統,要保證資源共享、運轉正常、指揮有力。
(四)預防機制
積極推行信息安全等級保護,逐步實行信息安全風險評估。各基礎信息網絡和重要信息系統建設要充分考慮抗毀性與災難恢復,制定完善信息安全應急處理預案。針對基礎信息網絡的突發性、大規模安全事件,各相關部門建立制度化、程序化的處理流程。
四、應急處理程序
(一)級別的確定
信息安全事件分級的參考要素包括信息密級、公眾影響和資產損失等四項。各參考要素分別說明如下:
(1)信息密級是衡量因信息失竊或泄文秘站:密所造成的信息安全事件中所涉及信息重要程度的要素;
(2)公眾影響是衡量信息安全事件所造成負面影響范圍和程度的要素;
(3)業務影響是衡量信息安全事件對事發單位正常業務開展所造成負面影響程度的要素;
(4)資產損失是衡量恢復系統正常運行和消除信息安全事件負面影響所需付出資金代價的要素。
信息安全突發事件級別分為四級:一般(IV級)、較大(III級)、重大(II級)和特別重大(I級)。
IV級:區內較大范圍出現并可能造成較大損害的信息安全事件。
III級:區屬重要部門網絡與信息系統、重點網站或者關系到本地區社會事務或經濟運行的其他網絡與信息系統受到大面積嚴重沖擊。
II級:區屬重要部門或局部基礎網絡、重要信息系統、重點網站癱瘓,導致業務中斷,縱向或橫向延伸可能造成嚴重社會影響或較大經濟損失。
I級:敵對分子利用信息網絡進行有組織的大規模的宣傳、煽動和滲透活動,或者區直單位多地點或多個基礎網絡、重要信息系統、重點網站癱瘓,導致業務中斷,造成或可能造成嚴重社會影響或巨大經濟損失的信息安全事件。
(二)預案啟動
1.發生IV級網絡信息安全事件后,區政府啟動相應預案,并負責應急處理工作;發生III級網絡信息安全事件后,區政府啟動相應預案,并由區信息安全專項應急委負責應急處理工作;發生I、II級的信息安全突發事件后,上報市人民政府啟動相應預案。
2.區信息安全專項應急委辦公室接到報告后,應當立即上報區應急委,并會同相關成員單位盡快組織專家組對突發事件性質、級別及啟動預案的時機開展評估,向區應急委提出啟動預案的建議,報區人民政府批準。
3.在區人民政府做出啟動預案決定后,區信息安全專項應急委立即啟動應急處理工作。
(三)現場應急處理
事件發生單位和現場應急處理工作組盡最大可能收集事件相關信息,判別事件類別,確定事件來源,保護證據,以便縮短應急響應時間。
檢查威脅造成的結果,評估事件帶來的影響和損害:如檢查系統、服務、數據的完整性、保密性或可用性;檢查攻擊者是否侵入了系統;以后是否能再次隨意進入;損失的程度;確定暴露出的主要危險等。
抑制事件的影響進一步擴大,限制潛在的損失與破壞。可能的抑制策略一般包括:關閉服務或關閉所有的系統,從網絡上斷開相關系統的物理鏈接,修改防火墻和路由器的過濾規則;封鎖或刪除被攻破的登錄賬號,阻斷可疑用戶得以進入網絡的通路;提高系統或網絡行為的監控級別;設置陷阱;啟用緊急事件下的接管系統;實行特殊“防衛狀態”安全警戒;反擊攻擊者的系統等。
根除。在事件被抑制之后,通過對有關惡意代碼或行為的分析結果,找出事件根源,明確相應的補救措施并徹底清除。與此同時,執法部門和其他相關機構對攻擊源進行準確定位并采取合適的措施將其中斷。
清理系統、恢復數據、程序、服務。把所有被攻破的系統和網絡設備徹底還原到正常的任務狀態。恢復工作應十分小心,避免出現操作失誤而導致數據丟失。另外,恢復工作中如果涉及到機密數據,需要額外按照機密系統的恢復要求。如果攻擊者獲得了超級用戶的訪問權,一次完整的恢復應強制性地修改所有的口令。
(四)報告和總結
回顧并整理發生事件的各種相關信息,盡可能地把所有情況記錄到文檔中。發生重大信息安全事件的單位應當在事件處理完畢后5個工作日內將處理結果報市信息化工作領導組備案。(《重大信息安全事件處理結果報告表》見附件三)
(五)應急行動結束
根據信息安全事件的處置進展情況和現場應急處理工作組意見,區計算機信息中心組織相關部門及專家組對信息安全事件處置情況進行綜合評估,并提出應急行動結束建議,報區人民政府批準。應急行動是否結束,由區人民政府決定。
五、保障措施
(一)技術支撐保障
區計算機信息中心建立預警與應急處理的技術平臺,進一步提高安全事件的發現和分析能力:從技術上逐步實現發現、預警、處置、通報等多個環節和不同的網絡、系統、部門之間應急處理的聯動機制。
(二)應急隊伍保障
加強信息安全人才培養,強化信息安全宣傳教育,建設一支高素質、高技術的信息安全核心人才和管理隊伍,提高全社會信息安全防御意識。大力發展信息安全服務業,增強社會應急支援能力。
(三)物資條件保障
安排區信息化建設專項資金用于預防或應對信息安全突發事件,提供必要的經費保障,強化信息安全應急處理工作的物資保障條件。
(四)技術儲備保障
區計算機
信息中心組織有關專家和科研力量,開展應急運作機制、應急處理技術、預警和控制等研究,組織參加省、市相關培訓,推廣和普及新的應急技術。六、宣傳、培訓和演習
(一)公眾信息交流
區計算機信息中心在應急預案修訂、演練的前后,應利用各種新聞媒介開展宣傳;不定期地利用各種安全活動向社會大眾宣傳信息安全應急法律、法規和預防、應急的常識。
(二)人員培訓
為確保信息安全應急預案有效運行,區信息安全專項應急委定期或不定期舉辦不同層次、不同類型的培訓班或研討會,以便不同崗位的應急人員都能全面熟悉并掌握信息安全應急處理的知識和技能。
(三)應急演習
為提高信息安全突發事件應急響應水平,區信息安全專項應急委辦公室定期或不定期組織預案演練;檢驗應急預案各環節之間的通信、協調、指揮等是否符合快速、高效的要求。通過演習,進一步明確應急響應各崗位責任,對預案中存在的問題和不足及時補充、完善。
七、監督檢查與獎懲
(一)預案執行監督
區信息安全專項應急委辦公室負責對預案實施的全過程進行監督檢查,督促成員單位按本預案指定的職責采取應急措施,確保及時、到位。
1.發生重大信息安全事件的單位應當按照規定,及時如實地報告事件的有關信息,不得瞞報、緩報或者授意他人瞞報、緩報。任何單位或個人發現有瞞報、緩報、謊報重大信息安全事件情況的,有權直接向區信息安全專項應急委舉報。
2.應急行動結束后,區信息安全專項應急委辦公室對相關成員單位采取的應急行動的及時性、有效性進行評估。
(二)獎懲與責任
1.對下列情況可以經區信息安全專項應急委辦公室評估審核,報區信息安全專項應急委批準后予以獎勵:在應急行動中做出特殊貢獻的先進單位和集體;在應急行動中提出重要建議方案,節約大量應急資源或避免重大損失的人員;在應急行動第一線做出重大成績的現場作業人員。獎勵資金由區、鎮財政或相關單位提供。
2.在發生重大信息安全事件后,有關責任單位、責任人有瞞報、緩報、漏報和其它失職、瀆職行為的,區信息安全專項應急委辦公室將予以通報批評;對造成嚴重不良后果的,將視情節由有關主管部門追究責任領導和責任人的行政責任;構成犯罪的,由有關部門依法追究其法律責任。
3.對未及時落實區信息安全專項應急委指令,影響應急行動效果的,按《國務院關于特大安全事故行政責任追究的規定》及有關規定追究相關人員的責任。
八、附則
本預案所稱網絡與信息安全重大突發事件,是指由于自然災害、設備軟硬件故障、內部人為失誤或破壞、黑客攻擊、無線電頻率干擾和計算機病毒破壞等原因,本區政府機關網絡與信息系統、關系到國計民生的基礎性網絡及重要信息系統的正常運行受到嚴重影響,出現業務中斷、系統破壞、數據破壞或信息失竊或泄密等現象,以及境內外敵對勢力、敵對分子利用信息網絡進行有組織的大規模宣傳、煽動和滲透活動,或者對國內通信網絡或信息設施、重點網站進行大規模的破壞活動,在國家安全、社會穩定或公眾利益等方面造成不良影響以及造成一定程度直接或間接經濟損失的事件。信息安全事件的主體是指信息安全事件的制造者或造成信息安全事件的最終原因。信息安全事件的客體是指受信息安全事件影響或發生信息安全事件的計算機系統或網絡系統。依據計算機系統和網絡系統的特點,信息安全事件的客體可分為信息系統、信息內容和網絡基礎設施三大類。
1.本預案通過演習、實踐檢驗,以及根據應急力量變更、新技術、新資源的應用和應急事件發展趨勢,及時修訂和完善;
2.本預案所附的成員、通信地址等發生變化時也應隨時修訂;
3.本預案由區計算機信息中心會同___公安分局、國保大隊、區國家保密局負責修訂,經區人民政府常務會議審議批準后實施。
4.本預案修訂采取改版或換頁的方式進行。
5.本預案由區計算機機信息中心負責解釋。
6.本預案日常工作由區計算機信息中心負責。
關鍵詞:分布式;信息安全;規劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業的信息安全規劃就更加缺乏。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統籌安排,分步實施;分級管理,責任到崗;資源優化,注重效益。
這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同、側重點可以不同,但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構,達到國際國內標準的要求;
2)打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面,是屬于一個企業信息安全規劃的上層建筑,需要用一種由上而下的方法來實現,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎人力、財力和物力的投入。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規范,一套信息安全教育培訓體系,一套信息安全風險監管機制,一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化健康發展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面,根據調查,建立信息安全管理規范、信息安全技術規范。其中,安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識,提高信息安全工作質量。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業人員的信息安全意識和技能,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境,為企業轉型提供契機,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境,調整和優化IT基礎設施,建立安全專網,設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業業務,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監控第一生產網的安全專網核心基礎設施,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設,主要內容是SOC 的選址、布局、布線、系統集成,實現SOC 自身的防火、防潮、防電、防塵、安全監控功能;
2)軟件基礎建設,包括SSS 系統、機房監控子系統、功能小組及中心組劃分。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深,需要部署到大量IT 產品和應用系統,為了保障安全,必須對這些IT 系統和產品做入網前安全檢查,消除安全隱患。基于此,綜合測試環境建設的內容包括:安全測試網絡;測試系統設備;安全測試工具;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬;測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統能夠提供統計分析、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產品知識庫,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產為核心,通過安全組織實現資產保護,以安全管理來約束組織的行為,以技術手段輔助安全管理。其中,資產、組織、管理、安全措施的關系如圖3所示,核心為資產,圍繞資產是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權;信息安全防護;信息安全監控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點,充分發揮企業優勢資源,引領信息安全市場,為企業轉型創造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產品;2)推出面向大型企業的信息安全咨詢產品;3)推出面向家庭安全上網產品;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估;信息安全規劃設計;信息安全產品顧問。
2)信息安全教育培訓類產品,其服務功能主要有:提供信息安全操作環境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務;家庭上網機器安全檢查服務;家庭上網機數據備份服務。
4)企業類安全服務產品,其服務功能主要有:企業安全上網控制服務;企業安全專網服務;安全信息通告;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務;面向政府信息系統災備服務;面向企業數據災備服務;面向企業信息系統災備服務。
7 結束語
通過結合分布式企業的具體實際,按照信息安全體系結構相關標準,提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標,按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后,依據服務規劃目標,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
一、檢查目的
針對當前境外敵對勢力大肆利用各種手段對我各級政府信息系統進行網絡攻擊、破壞、竊密活動的嚴峻形勢,通過定期開展全面的安全檢查,進行信息系統安全風險評估、安全測評等工作,及時掌握政府信息系統安全狀況和面臨的威脅,認真查找隱患,堵塞安全漏洞,落實和完善安全措施,建立健全信息安全保障機制,減少安全風險,提高應急處置能力,確保政府信息系統持續安全穩定運行。
二、檢查范圍
區委、區政府、區人大、區政協、區法院、區檢察院及其部門、各鎮辦自行運行和維護管理以及委托其他機構運行和維護管理的辦公系統、重要業務系統、網站系統。部門管理的全區性信息系統,由主管部門(單位)按照《實施方案》統一組織部署安全檢查工作。
三、檢查內容
重點檢查與網絡和信息系統相關的硬件、軟件、服務、信息和人員的基本情況,對信息系統存在的管理和技術薄弱環節進行查找、分析歸納;對已有安全管理體系、安全措施進行核實和評價,主要包括以下內容:
(一)安全管理制度建立與落實。是否按照要求建立健全了信息安全責任制,做到了機構到位、人員到位、責任到位、措施到位。運維管理、保密管理、密碼管理、等級保護、重要部門(重點、敏感崗位)人員管理制度建立和落實情況。
(二)安全防范措施。是否有明確的安全需求及解決方案,是否采取了整體的安全防護措施。重點檢查身份認證、訪問控制、數據加密、安全審計、責任認定以及防篡改、防病毒、防攻擊、防癱瘓、防泄密等技術措施的有效性。檢測信息系統是否存在安全漏洞,以及計算機、移動存儲設備、電子文檔的安全防護措施的落實情況。
(三)應急響應機制。應急機構是否健全,應急責任人員及措施是否到位,是否按照要求制定了應急預案,是否對預案進行了宣傳貫徹和培訓,是否開展了演練,是否明確了應急技術支援隊伍。重大信息安全事故發生及處置情況,重要數據和業務系統采取的備份措施及備份方式情況。
(四)信息技術產品和服務。計算機、公文處理軟件、信息安全產品等使用國產產品情況,重點是信息系統關鍵部位的服務器、路由器、交換機等使用國產產品的情況,以及信息安全服務外包情況。對因特殊原因選用國外信息安全技術產品和信息安全服務是否進行了安全審查工作,以及審查的方式。
(五)安全教育培訓情況。是否對工作人員進行了安全和保密意識教育、安全技能培訓,以及對信息安全常識和技能掌握情況進行考核。重點、敏感崗位人員是否制定了針對外包服務人員等外來人員的安全管理規定。
(六)責任追究情況。重點檢查對違反信息安全規定行為和造成泄密事故、信息安全事故的查處情況,對責任人和有關負責人追究以及懲處措施的落實情況。
(七)運維管理。是否根據制度維護信息系統,是否存在詳細設備、系統運維記錄和安全日志分析報告,系統性能的監控措施及運行狀況。
(八)開展風險評估、安全測評情況。是否對信息系統進行了風險評估和安全評測,開展方式是自行開展還是委托開展,委托開展是否簽訂了安全保密協議。
(九)信息安全經費保障情況。信息安全經費數額、信息安全經費在信息化建設經費中所占比重及信息安全經費是否按預算計劃執行。
(十)物理環境。物理環境的建設是否符合國家的相關標準和規范,是否按照國家的相關規定建立機房安全管理制度,機房安全管控措施、防災措施、供電和通信系統的保障措施是否有效。
(十一)安全隱患排查及整改情況。對以往開展的信息安全檢查、風險評估和安全測評,發現安全隱患和問題的整改情況。
四、檢查步驟及時間安排
(一)時間安排。原則上每年3月至5月各單位進行自查。抽查時間原則安排在7月至9月進行。年的自查時間為6月28日至7月5日,8月份進行抽查。
(二)檢查準備及自查。各單位成立安全檢查領導小組,明確檢查責任人,組織制訂檢查工作計劃和檢查方案,對檢查工作進行安排部署并開始自查。同時,按照要求認真填寫《基本信息調查表》和《安全狀況調查表》,經主管領導簽字并加蓋單位公章后一式兩份和電子檔于7月15日前交區信息化工作辦公室。
(三)分析總結。根據自查情況,各單位系統分析信息系統的安全狀況和安全隱患,查找問題產生的原因,7月底前上報自查報告。
(四)問題整改。對檢查過程中發現的安全問題,短時間內能完成的要及時整改,不能在短時間內整改的要制訂相應整改計劃,在一個月內完成整改,并提交整改報告。
(五)檢查實施。由區信息化工作辦公室牽頭對各單位信息安全檢查整改工作進行檢查。重點參照《實施方案》檢查安全檢查領導機構是否完善,責任落實是否到位,《基本信息調查表》和《安全狀況調查表》是否如實填寫等。
五、具體要求
(一)各鎮辦、各部門和各單位要把政府信息安全檢查工作列入重要議事日程,加強組織領導,明確責任,落實人員和經費,保證檢查工作順利進行。
(一)網絡本身弱點
信息網絡具有開放性的顯著特點,既為網絡用戶提供了便捷高速的服務方式,也成為網絡信息需要面臨的一項安全威脅。同時,運用于信息網絡的相關通信協議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數據截取等安全問題。
(二)人為惡意攻擊
人為惡意攻擊是網絡信息中,用戶所面臨的最大安全威脅。人為惡意攻擊具有較強的針對性,是有目的地進行網絡信息數據完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對網路信息數據的竊取、破譯、篡改等,主要威脅到用戶的經濟利益。
(三)計算機病毒
計算機病毒存在隱蔽性、傳染性、破壞性等特點,往往隱藏或偽裝為正常程序,隨著計算機程序的啟動而被運行。計算機病毒通過破壞、竊聽等方式,實現對網絡信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統的運行效率,重則破壞用戶的整體系統數據,且難以被恢復,形成不可挽回的損失。
二、網絡信息技術安全現狀分析
目前,國內絕大部分企業、單位都已建立了相關的信息系統,實現了對各類豐富信息資源的充分利用。但隨著各行各業信息網絡系統的逐步成型,網絡信息所面臨的黑客、惡意軟件與其他攻擊等安全問題越來越多,雖已研發、改進了許多信息安全技術,用于網絡信息安全防護,但仍舊存在許多問題,究其原因,主要表現在以下三方面:
第一,未建立健全的安全技術保障體系。當前大部分企業、單位,在信息安全設備上投入較多資金,以確保網絡信息系統的安全可靠。但是,沒有建立健全相應的技術保障體系,預期目標難以被實現。
第二,缺乏制度化與常規化的應急反應體系。現階段,許多行業領域內,在網絡信息技術安全方面,還未建立健全相應的應急反應系統,而對已有應急反應系統,沒有進行制度化、常規化改進。
第三,企業、單位的信息安全標準與制度滯后。在網絡信息安全的標準與制度建設方面,企業與單位都為進行及時的調整與改進。同時,用戶缺乏信息安全意識,網絡信息安全管理員為經歷科學、系統的安全技術培訓,安全管理水平不高。而用于信息安全的經費投入較少,難以達到信息安全標準與要求。
三、現行主要信息安全技術及應用分析
(一)通信協議安全
作為下一代互聯網通信協議,IPv6安全性較高,強制實施Internet安全協議IPSec,由認證協議、封裝安全載荷、Internet密鑰交換協議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務得到有效實現。
(二)密碼技術
確保網絡信息安全的核心與關鍵為信息安全技術中的密碼技術,其密碼體質包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對稱密碼;雙鑰為不對稱密碼;混亂密碼為單雙鑰的混合實現。在網絡系統中,采用加密技術能避免使用特殊網絡拓撲結構,便于數據傳輸的同時,確保網絡路徑的安全可靠,為網絡通信過程提供真正的保障。現階段,在網絡信息中,所采用的密碼技術主要為雙鑰與混合密碼。
1、公鑰密碼
為了加強公鑰密碼的安全性能,公鑰的長度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運算模式,通過乘法與模減運算的同時進行,大程度提升了運算速度,被廣泛使用。同時,部分廠商已成功研制出與IEEEPl363標準相符合的橢圓曲線公鑰密碼,并成功運用于電子政務中,具備較強的保密性與較高的運行速度。
2、Hash函數
關于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計算量,在很大程度上影響了Hash函數安全現狀的評估及其今后設計。同時,由于MD5和SHA-1的破解,讓數字簽名的現有理論根基遭到質疑,給正在使用中的數字簽名方法帶來巨大威脅。
3、量子密碼
量子加密技術采用量子力學定律,讓用戶雙方產生私有隨機數字字符串,以代表數字字符串的單個量子序列傳遞信息,并通過比特值進行信息接收,確保通信不被竊聽。一旦竊聽現象發生,通信就會結束,并生成新的密鑰。
(三)防火墻技術
防護墻技術是一組軟硬件的有機組合,為控制內部與外部網絡訪問的有效手段,能確保內部網安全穩定運行。防火墻技術為用戶提供存取控制與信息保密服務,具有操作簡單、透明度高的優點,在保持原有網絡應用系統功能的基礎上,最大限度滿足用戶的網絡信息安全要求,受到用戶的廣泛推崇。防火墻技術的應用,讓外部與內部網絡必須通過防火墻實現相互通信。企業、單位在關于防火墻技術的應用上,需制定合理、科學的安全策略,在此基礎上設置防火墻,隔絕其它類型信息。目前,防火墻技術主要分為以下三類:
第一,包過濾技術(Packet filtering)。其技術主要作用于網絡層,結合不同數據包源IP地址、目的IP地址、TCP/UDP源端口號與目的端口號等進行區分、判斷,分析數據包是否符合安全策略,予以通行,其設計為過濾算法。
第二,(Proxy)服務技術。其技術主要作用于應用層,通過轉接外部網絡對內部網絡的申請服務,有效控制應用層服務。內部網絡無法接受外部網絡其它節點申請的直接請求,其接受的服務請求只能為模式。應用網關即為服務運行的主機,具備較強的數據流監控、過濾、記錄等相關功能。
關鍵詞:檔案安全;保障體系;研究綜述
2010年5月12日,國家檔案局楊冬權局長在全國檔案安全系統建設工作會議上提出“建立確保檔案安全保密的檔案安全體系,全面提升檔案部門的安全保障能力”的號召,把檔案安全的重要性提升到一個新高度。[1]近年來,檔案安全保障體系研究已引起學界的關注,成為較熱的一個研究課題。我們課題組也在做檔案安全保障體系的研究,筆者期望對學者以往的研究做以歸納提煉,以資研究探索。
筆者于2011年12月22日,在萬方數據庫中,以“檔案安全保障體系”為檢索詞,起始年“2000”,結束年“2011”檢索到論文84篇。在維普中文科技期刊數據庫搜索到與“檔案安全保障體系”相關內容論文20篇,筆者對其中相關度較高的文章進行了分析研究,綜述如下:
1 檔案安全保障體系的內涵
檔案安全保障體系的建設具有持續性、多樣化、可完善性等特點,是一項復雜的系統工程。構建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應用的關系。
張美芳、王良城認為,目前,國內外關于檔案安全保障體系的理解大致有三層含義:其一,控制環境,降低風險。這里的“環境”,是指檔案保管環境、物理環境、社會環境、信息存儲環境等,降低環境因素對檔案安全的影響,最大可能降低風險。其二,建立安全保障平臺,采取安全防護措施,使檔案盡可能保持穩定狀態。其三,對已經處于不安全環境中的檔案,采取各種措施使其達到新的穩定狀態,保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中社會因素、管理體制、組織體系、策略、政策法規、安全保障技術或安全保護效果的評價等較為宏觀的要素。[2]
2 檔案安全保障體系的構建目標和指導思想
2.1 構建目標。彭遠明認為,檔案安全保障體系建設的總體目標是:針對檔案的安全需求、管理現狀和存在問題進行安全風險分析,提出解決方案和預期目標,制定安全保護策略,形成集預測、保管、利用、搶救一體化的保障體系。[3]楊安蓮認為,檔案安全保障體系的構建目標應該是:采取全面、科學、系統的安全保障策略,保證檔案信息的安全性、完整性和可用性,杜絕敏感信息、秘密信息和重要數據的泄密隱患,確保檔案信息的全面安全。[4]
2.2 指導思想。彭遠明認為,構建檔案安全保障體系的指導思想是:在體系內合理進行安全區域劃分,以應用和實效為主導,管理與技術為支撐,結合法規、制度、體制、組織管理,明確等級保護實施辦法,確保檔案的安全。[5]張美芳、王良城認為,檔案安全保障體系建設的指導思想應是:堅持嚴格保護、有效管理、分類指導、合理利用,以健全法律法規、提高人員素質、加強規劃管理、完善基礎條件、強化監管手段為重點,立足當前,著眼長遠,加快體制機制創新,加強統籌協調,全面增強檔案資源保護力度,推動我國檔案事業持續健康發展。[6]
3 檔案安全保障體系的建設原則
檔案安全保障體系的構建應該根據檔案安全現狀及其面臨的威脅與隱患,從檔案安全保障工作的整體和全局的視角進行規范,在構建過程中應該遵循一定的原則。彭遠明、張艷欣、楊安蓮、黃昌瑛、張勇等都提出了檔案安全保障體系的建設原則,筆者采用統計歸納的方法,從中提煉出以下共性原則:
3.1 標準規范原則。檔案安全保障體系的建構和策略的選擇必須符合我國現行法律、法規的規定要求,必須遵循國際、國家的相關標準,嚴格遵照相關規章制度。[7][8]
3.2 科學實用原則。檔案安全保障體系應在充分調查研究的基礎上,以檔案安全風險分析結果為依據,探尋有針對性的特色理論,制定出科學的防范措施與方法,這些理論、措施與方法應當在實踐層面上具有可操作性。[9][10][11]
3.3 全面監控原則。檔案安全保障工作是一個系統工程,需要對各個環節進行統一的綜合考慮、規劃和構架,任何環節的安全缺陷都會造成對檔案安全的威脅。[12]
3.4 適度經濟原則。根據檔案的等級決定建立什么水平的防范體系,根據風險評估和各單位的財力、物力決定資金投入的多少及如何分配使用資金,將資金用在最迫切的地方。既要考慮到系統的可操作性,又要保證安全保密機制的規模與性能滿足需要,實現安全保護效率與經濟效益兼顧。[13][14][15]
3.5 動態發展原則。檔案安全保障體系的建設是一個長期的不斷完善的過程,所以,該體系要能夠隨著安全技術的發展、外部環境的變化、安全目標的調整,不斷調整安全策略,改進和完善檔案安全的方法與手段,應對不斷變化的檔案安全環境。[16][17][18][19]
3.6 自主創新原則。加強檔案安全保障方面的關鍵技術的研發,密切跟蹤國際先進技術的發展,提高自主創新能力,努力做到揚長避短,為我所用。[20][21]
4 構建檔案安全保障體系的方案設計分析
許多學者對檔案安全保障體系的建設方案提出了自己的設想,他們從不同的角度切入問題,得出不同的結論,筆者根據學者的研究成果,總結出一套較為完善的檔案安全保障體系方案。
4.1 安全管理理論。理論從實踐中取得并能指導實踐,為實踐指明前進的方向。在先進理論的指導下,實踐往往能取得較好的成果,理論水平的高低因此也往往預示著現實中該領域的水平高低。
4.1.1 前端控制。前端控制思想具體到安全保障活動中是:檔案安全保障的標準化的建設與應用;為開展安全保障活動而制定的計劃方案、普查活動;人員配置合理和技術力量的前期儲備、設備的選擇和環境的控制、整個預防性安全保障活動的監督、檢查和評估;為妥善保管檔案而選擇的裝具、包裝等;事先制訂的應急預案、搶救預案,等等。[22]
4.1.2 全程管理。全程管理是伴隨著檔案的生命周期而開展的一切安全保障管理活動。[23]包括日常維護、災難備份、利用與服務、恢復與搶救、質量檢查與評估、風險預測,等等。[24]
4.1.3 后期監督。后期監督包括安全保障活動的評估、人員技術水平的評估、財政結算、開展安全保障活動后的總結報告、制度、規范或標準的完善、提供參考性的開展安全保障活動的經驗、方法或模式。[25]
4.1.4 風險管理。構建檔案安全的風險管理機制,依次進行安全風險計劃制訂、風險評估、風險控制、風險報告以及風險反饋。通過評估風險,識別判定風險大小,判定每種風險相對的檔案安全保護對策,并通過一定的方式方法進行風險控制,規避、轉移或降低風險對檔案造成的損害。[26][27]
4.1.5 人才教育培養。樹立科學的人才培養觀,建立科學合理的檔案安全人才培養體系,建立系統的人才資源培訓和貯備機制,加大人才培養的力度。[28]做到“有計劃、有重點、分層次、分類型、多形式、多途徑”地開展檔案安全人才的教育和培養。[29]
4.2 安全基礎設施
4.2.1 實體安全基礎設施。檔案實體安全基礎設施是指維護檔案安全、實施檔案正常管理、保障檔案開發利用,提供為全社會方便服務等工作而進行的基礎建設,包括檔案保管環境、檔案存儲設施、檔案利用設備、檔案維護監控設備、檔案搶救與恢復設施等。[30]
4.2.2 信息安全基礎設施。檔案信息安全基礎設施是為信息安全服務的公共設施,為檔案部門的安全保障體系建設提供支撐和服務,主要包括:檔案信息系統PKI(網絡信任體系)、檔案信息災備中心、檔案信息系統應急響應支援中心、檔案信息安全測評認證中心、檔案信息安全服務中心(外包服務)、檔案信息安全執法中心等。[31]
4.3 安全策略
4.3.1 實體安全策略。實體安全必須具備環境安全、設備安全和介質安全等物理支撐環境,注重環境防范、設備監控、介質管理、技術維護等安全措施的完善,消除安全隱患,確保檔案安全。[32]
4.3.2 管理安全策略。針對檔案安全的管理需求,在完善人員管理、資源管理、利用服務、重點部位維護、災害防范、突發事件應急處置、專業人才教育培訓的基礎上,建立健全安全管理機制和制度,并結合管理技術,形成一套比較完備的檔案安全管理保障體系。[33][34]
4.3.3 網絡系統安全策略。強化操作系統、數據庫服務系統的漏洞修補和安全加固,對關鍵業務的服務器建立嚴格的審核機制;合理劃分安全域及邊界,建立有效的訪問控制制度;通過實施數據源隱藏,結構化和縱深化區域防御消防黑客入侵、非法訪問、系統缺陷、病毒等安全隱患,保證檔案系統的持續、穩定、可靠運行。[35][36][37]
4.4 安全技術。技術是影響檔案安全的關鍵因素,檔案安全技術是多方面、多層次的,包含預防、保護、修復和維護等技術,可以有效保證檔案安全。
4.4.1 基于實體的保護技術。主要有:①各類檔案載體的管理與保護技術;②檔案損壞的測試與評估技術;③受損檔案的修復技術。[38]
4.4.2 基于環境的防護技術。主要有:①庫房建筑標準與圍護結構功能的設計、施工和實施;②檔案保管的設備設施和有效裝具;③檔案庫房和利用環境的監測技術;④溫濕度調節與控制技術;⑤有害因素的控制和防護技術。[39]
4.4.3 基于信息的安全技術。主要有:①系統安全技術:操作系統安全和安全審計技術等;②數據安全技術:數據加密技術、應急響應技術、數據備份與容災技術、基于內容的信息安全技術和數據庫安全技術等;③網絡安全技術:防火墻技術、防病毒技術、漏洞掃描技術、入侵檢測技術、物理隔離技術、服務技術、網絡監控技術和虛擬網技術等;④用戶安全技術:身份認證技術、數字簽名技術和訪問控制技術等。[40]
4.4.4 基于災害的保護技術。主要有:①災害的預警與防范技術;②檔案災害的應急處置技術;③檔案次生危害的防范技術;④災后受損檔案的搶救與恢復技術。[41]
4.5 安全法規制度。完善的檔案安全法律法規和制度是保障檔案安全的基石,只有不斷制定和完善檔案安全法規制度,才能做到有法可依、違法必究,才能更好地維護檔案的安全。[42]
4.5.1 制定并遵循法規標準。各地方應根據國家標準,結合本地區、本系統、本單位的具體情況,制定相應的規范和標準,以使檔案安全管理規范化和標準化。[43]
4.5.2 建立健全檔案安全管理制度。包括:檔案歸檔安全制度、檔案整理安全制度、檔案查閱利用安全制度、檔案日常管理維護制度、檔案保密制度、檔案信息安全管理制度、檔案鑒定和銷毀制度、檔案資料出入庫管理制度以及重要檔案異地、異質備份制度;[44]受損檔案搶救制度、電子檔案信息安全制度以及檔案安全行政責任制等。
4.5.3 建立完善檔案安全管理機制。包括:信息交換機制、法律保障機制、日常防范機制、災害預警機制、應急處置機制、[45]組織建設機制、制度建設機制、風險管理機制、人員管理機制等。
4.6 安全保護效果評價。對檔案安全保障體系評價的目的,是對檔案安全保障體系的有效性進行評估。[46]首先,確定待評價系統的范圍,選擇適當的評價方法,確定適當的評價指標。然后,收集有關數據進行統計分析,得出評價結果,再進行持續改進,以不斷提高檔案安全保障體系及其具體過程中的有效性和效率。[47]
4.6.1 評價方法。根據被評價對象本身的特性,在遵循客觀性、可操作性和有效性原則的基礎上選擇合適的評價方法。目前,存在的綜合評價方法有:屬性融為一體評價方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法。[48]
4.6.2 評價指標。根據國內外的檔案安全評估標準,國家對檔案安全的基本要求,綜合考慮影響檔案安全的各種因素,建立檔案安全評價指標體系。包括:①物理安全評價指標:環境安全評價、設備安全評價、載體安全評價;[49]②管理安全評價指標:規章制度評價、工作流程評價、管理措施評價、業務技術評價;③技術安全評價指標:保護技術評價、網絡技術評價。[50]
5 結語
縱觀學者對檔案安全保障體系的研究,研究角度和切入點各有不同,觀點紛呈,但還是缺乏深入、系統的研究,有待于我們進一步思考、探討。
注:本文是河南省檔案局科技項目《檔案安全保障體系現狀調查》(項目編號:2011-B-51)階段性成果之一。
參考文獻:
[1]張照余.對建設檔案安全保障體系的幾點認識[J]. 浙江檔案,2011(1):36~39.
[2][6][24]張美芳,王良城.檔案安全保障體系建設研究[J].檔案學研究,2010(1):62~65.
[3][5][7][33][41]彭遠明.檔案安全保障體系構建及其實現策略研究[J].上海檔案,2011(4):14~17.
[4][12][15]楊安蓮.論電子文件信息安全保障體系的構建[J].檔案學研究,2010(10):75~78.
[8] [13] [17]張艷欣.檔案安全保障管理機構的構建[J].檔案管理,2010(5):7~9.
[9][14][16][29]王茹熠.數字檔案信息安全防護對策分析[D].哈爾濱:黑龍江大學,2009.
[10 ][18][19]黃昌瑛.電子檔案信息安全保障策略研究[D]. 福州:福建師范大學,2007.
[11][20][21]張勇.數字檔案信息安全保障體系研究[D].蘇州:蘇州大學,2007.
[22][23][25]張美芳,董麗華,金彤.檔案安全保障體系的構建[J].中國檔案,2010(4):20~21.
[26]陳國云.從風險管理的視角探討電子文件安全管理問題[J].北京檔案,2008(6):16~18.
[27]張迎春.檔案安全保障體系研究[D].安徽大學,2011
[28]方國慶.數字檔案信息安全保障體系建設中的問題與策略[J].機電兵船檔案,2010(5):59~61.
[30]王良城.檔案安全保障體系建設基本任務探析[J].中國檔案,2010(4):18~19.
[31] [40]項文新.檔案信息安全保障體系框架研究[J].檔案學研究,2010(2):68~73.
[32][38]許桂清,李映天.檔案信息安全保障體系的建設與思考[J].檔案學研究,2010(3):54~58.
[34]冉君宜.抓好“五個必須”構建檔案安全保障體系[J].辦公室業務,2010(9):55~56.
[35]陳慰湧,金更達.數字檔案館系統安全策略研究[J].浙江檔案,2008(7):21~24.
[36]王凡,朱良兵.檔案安全保障體系建設實踐[J].貴州水力發電,2010(12):76~78.
[37]周向陽.電子檔案信息安全保障體系建設的研究[J].機電兵船檔案,2010(5):64~66.
[39]金玉蘭.關于加強檔案安全保障體系建設的思想[J].北京檔案.2010(8):22~23.
[42]曹書芝.網絡背景下檔案信息的安全保障[J].蘭臺世界,2006(5):2~3.
[43]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究,2005(1):38~42.
[44]楊冬權.以豐富館藏、提高安全保障能力和公共服務能力為重點,實現檔案館事業跨越——在全國檔案館工作會議上講話[J].檔案學研究,2009(6):23~29.
[45]卞咸杰.論檔案信息安全保障機制的建立與完善[J].2007(6):18~20.
[46][50]方婷,吳雁平.檔案安全保障指標體系建設研究[J].檔案管理,2011(6):12~15.
[47]田淑華.電子檔案信息安全管理研究[D].太原:中北大學,2009.
【關鍵詞】云計算 電力企業 信息安全 風險評估
為提升電力企業的信息化建設和管理水平,引入云計算技術是大勢所趨。云計算以其在虛擬化、負載均衡、并行計算等方面的獨特優勢,自2006年提出伊始便廣受關注。但基于云計算的信息安全事件屢有發生。因此必須對云計算環境下的電力企業信息安全作準確評估并提出針解決措施。
1 云計算概述
云計算就是基于Internet的計算方式,其核心思想是依托互聯網將大量計算機組成可控資源池,然后用該資源池響應任何計算任務。其框架見圖1所示。
顯然,云計算具有可擴展性強、服務能力彈性大等優勢,但也存在基于互聯網的信息安全風險,主要包括虛擬化環境安全風險、數據訪問權限風險、數據存儲與傳輸安全風險等方面。
就電力企業來說,云計算需完成的任務包括電力營銷、用戶個人信息管理、電力數據仿真、用戶信息及智能儀表數據處理等層面,涵蓋IaaS、PaaS和SaaS三個云服務層次。
2 電力云使用中的信息安全風險表現
根據云計算服務性質的差異,可以將云計算分為公有云、私有云和混合云。當前電力企業的云計算既涉及公有云、又包含私有云,但主要是私有云。電力私有云指電力企業為提升系統內整個IT架構而單獨構建的云計算。與公有云相比,服務質量與安全性得到明顯改善,但仍存在以下安全風險:
2.1 訪問權限風險
即由于所有的業務系統都部署在“云”中,若無合理的身份認證方式,任何人都能接觸重要數據,可能帶來泄密風險。
2.2 邊界風險
由于云計算基于虛擬化架構,安全邊界比較模糊,傳統的安全域劃分機制難以保障云計算安全需求。
2.3 數據恢復風險
在系統范圍內,所有數據和程序都部署在云計算中心,必須要有應對災難的數據恢復措施。
2.4 資源共享風險
在電力云計算各種資源與服務被眾多用戶和終端安全共享的過程中,涉及數據和應用的隔離考慮等。
3 云計算環境下的電力信息安全評估方法
3.1 信息安全風險評估理論
信息安全風險評估是指根據有關安全標準對信息系統運作各過程中信息的機密性、完整性和可用性等安全屬性進行評價。其目的是達成風險可控。信息安全風險評估的4個階段:
(1)評估準備階段。包括明確目標、確定范圍、初步調研等;
(2)要素識別階段。即對資產的威脅和脆弱性進行辨識;
(3)風險分析階段。主要確定風險等級;
(4)匯報驗收階段。
3.2 基于云計算環境的電力企業信息安全評估
根據以上關于信息安全評估理論,結合電力云計算的互聯網特性,勾畫出如圖2所示的云計算環境下電力信息安全評估流程。
(1)若被評估對象沒有使用云計算服務,那么其評估方法沿襲傳統的信息安全風險評估方法,詳見文獻。
(2)若被評估對象采用了云計算,則應依據Gartner提出的云計算安全風險分析方法,從四個角度進行測評。
① 資產識別。包括資產分類和資產賦值。資產分類是對所有納入云計算的資產進行列表;資產賦值是分別對資產的機密性、完整性和可用性3個安全屬性進行打分,分值可取5/4/3/2/1(分值越高表示越重要),然后取3個屬性中最高值作為該資產賦值,記作Asi。
② 威脅識別。包括威脅分類和威脅賦值。對于威脅i,用ProbT{i}表示其“爆發”可能性。
③ 脆弱性識別。首先根據云計算平臺的可審查性、數據位置、數據隔離措施、數據恢復措施及長期生存性等特性識別可能引發安全事件的脆弱性;其次對特定脆弱性,用0-1變量表示存在與否,記為PV{i}。
④ 風險評估與分析。即通過對威脅和脆弱性之間關聯性的解析,得到安全問題發生可能性L(ProbT,PV),并計算損失量(因損失與資產價值和安全事件可能性正相關,因此可用函數F(As,L(ProbT,PV表示),最后估測風險值R(L,F)。:
4 應對措施
在完成對電力企業信息安全評估后,就應制定針對性措施。一般來說,有以下幾項可供參考:
(1)建立私有云“4A”統一安全管理平臺,強化身份管理、安全認證、訪問權限控制及審計機制,達成訪問可溯源。
(2)建立安全事件應急響應機制及處理流程,完善安全審計機制。
(3)采用全同態數據加密技術,保障數據的傳輸安全。
5 結束語
通過介紹云計算架構、電力云組建方式,明確云計算環境下電力企業信息安全所面臨的新挑戰。以信息安全風險評估的相關理論為鋪墊,結合電力企業信息管理的實際,提出了基于云計算的電力信息安全評估方法。該方法具有一定前瞻性。
參考文獻
[1]張偉.電力企業云計算信息安全風險評估探討[J].廣東科技,2013,133(20):48-50.
[2]魏亮.云計算安全風險及對策研究[J].郵電設計技術,2011,18(01):26-28.
[3]佟得天,劉旭東.云計算信息安全與實踐[J].電信科學,2013,19(02):136-139.
作者簡介
湯杰(1985-),男,湖南省常寧市人。畢業于中國石油大學(華東)計算機科學與技術專業,獲得大學本科學歷。現為神華國華九江發電有限責任公司助理工程師,主要從事公司網絡及信息化建設、運維工作。
關鍵詞:煤炭企業;網絡信息安全;問題;對策
引言:當前煤炭企業對網絡安全威脅很難開展有效的監測,無法實現主動防御,只能處于一種被動防護狀態,這無疑將會給煤炭企業引入極大的網絡安全風險。煤炭企業上到領導下到普通職員,均對網絡信息安全問題抱有僥幸的心理,覺得一般不會出大的問題,從而缺少積極的防范措施,使得煤炭企業當前在應對實際的網絡安全威脅時不能有效的進行監測和防護。
一、關于煤炭企業當前面臨的網絡信息安全問題的分析
(1)煤炭企業員工的網絡信息安全意識比較淡薄
當前很多煤炭企業對自身所處的網絡信息安全現狀依然缺少正確、完整的認識,他們企業管理者覺得煤炭企業信息化的水平不高,接入互聯網的終端和用戶比較少,因此企業的網絡信息安全問題并不會給煤炭企業造成一定的威脅。另外,煤炭企業的管理層缺少對企業網絡信息安全的有效支持,使得實際投入到企業網絡和信息安全建設中的資金遠遠達不到應有的要求。
(2)煤炭企業內部網絡信息系統的防護能力比較薄弱
從目前看來,依然存在一些煤炭企業缺少復雜的網絡信息系統部署結構,已有的設備性能和配置也比較落后。在實際的網絡系統部署中缺少有效的安全防護技術和手段,不能有效監測到網絡安全的威脅,只能一直處于被動防護的狀態。由于煤炭企業內部大多使用的還是比較老舊的操作系統,這些舊的終端設備本身就存在著大量的系統漏洞,很容易遭到黑客的攻擊。當各個系統或軟件廠商在網上修補漏洞的補丁時,很多煤炭企業員工和用戶由于對這些網絡安全問題缺少正確的認識,無法意識到這些系統和軟件漏洞會給煤炭企業本身帶來的安全威脅,使得企業內部網絡終端設備很難全部完成漏洞的修補。
(3)煤炭企業缺乏有效的網絡安全防范體系
調查發現,當前很多煤炭企業的網絡信息安全管理較為混亂,沒有形成一套科學完整的網絡安全防范體系和機制。煤炭企業雖然制定了一些有關于網絡信息安全的管理制度和工作方法,但是依然缺乏有效的網絡安全威脅監測和應對方法,對于已有的網絡安全管理辦法也很難嚴格的去執行,不能達到預期的網絡安全防護效果。另外,對于煤炭企業員工本身缺少有效的約束管理辦法,大多數時候只能依靠員工本身的自律能力,沒能從企業網絡安全管理制度和辦法上建立起一種行之有效的防范措施。
二、煤炭企業防范網絡信息安全的對策
(1)加強企業內部網絡信息安全管理
煤炭企業要想提高企業本身的網絡安全防護能力,首先必須改變企業當前固有的網絡安全管理方法,各個部門都需要制定出適合自己部門業務系統的網絡安全防護管理機制和體系。煤炭企業必須加強企業內部自身的管理,為企業制定一套完整的網絡安全審計體系,能夠及時的發現潛在的安全威脅,并有效的追蹤到問題責任人。煤炭企業的網絡安全防護能力的強弱還需要根據企業員工網絡安全意識的強弱來判斷,因此在煤炭企業實際的運營當中,必須加大對企業網絡安全技術培訓和教育的投入。在煤炭企業中,網絡信息安全相關知識的培訓、教育以及宣傳非常重要,尤其要加強企業員工對網絡安全意識的培養,認識到網絡安全對企業發展的重要性。要想讓煤炭企業能夠具備足夠的網絡安全知識和應急響應能力,就必須對企業員工開展定期的網絡安全知識培訓,從而不斷維持煤炭企業較高的網絡信息安全水平。
(2)引入先進的安全防護技術
除了剛剛提到的煤炭企業要加強企業內部網絡信息安全管理之外,最為重要的就是煤炭企業必須要引入先進的網絡安全防護技術。如果企業沒有這些先進的安全防護技術,那么煤炭企業的網絡信息安全管理做的再好也沒有用,因為攻擊者將能夠直接不費吹之力拿下企業的整個網絡系統,令企業面臨巨大的經濟或聲譽損失。當前隨著攻擊者的攻擊手段不斷提高,網絡安全防護技術也在不斷地取得發展,因此煤炭企業必須要選擇先進的安全防護技術來保護企業系統免受侵害。
首先,煤炭企業必須要給企業內部所有的辦公終端安裝網絡版的防病毒軟件,如此一來煤炭企業便可以實現對企業辦公終端的集中式管理,使得企業的系統管理員能夠及時的了解到當前網絡環境中每個節點的網絡安全狀態,從而可以實現對企業辦公終端的有效監管。此外,煤炭企業必須要在系統網絡之間部署防火墻,避免攻擊者通過非法的技術手段訪問企業內部網絡,從而有效保護企業內部網絡的安全。防火墻技術能夠實現煤炭企業內部網絡和外部網絡的有效隔離,所有來自煤炭企業外部網絡的訪問都需要經過防火墻的檢查,從而提高企業內部網絡的安全性。除此之外,煤炭企業還必須引入數據加密技術,來有效提高企業內部系統和數據的保密性,避免企業內部的機密數據被攻擊者竊取或遭內部員工的泄露。機密數據在發送之前會被發送者使用密鑰進行加密處理得到密文,然后密文會通過傳輸介質傳送給接收者,接收者在拿到密文之后,需要利用密鑰對密文進行解密處理得到原始的機密數據。這樣一來便保證了數據信息的機密性,從而避免機密數據被黑客竊取給煤炭企業帶來經濟損失。
(一)操作人員缺乏基礎安全意識
我們在日常的生活中經常使用網絡的目的主要集中在工作、娛樂或學習方面,不會更深入的學習與關注計算機網絡信息安全,缺乏對網絡信息安全的常識,也不注意保護與防護,或者一些基礎的保護力度很小,無法應對復雜情況下的網絡事件與不安全因素。除此之外,我們時常使用的一些網絡軟件的提供者或網絡運營商只關注網絡營銷的效應,不關注網絡安全的配套與管理,此時的安全措施形同虛設,很難在實際環境中滿足用戶的安全需求,容易埋下安全隱患。
(二)缺乏制度化的防范體制
我國防范體制構建與培養中存在的不足,與國家現行的部分法律法規很難適應于現代網絡技術的飛速發展,這方面體現在我國大部分企業都沒有網絡信息的安全防范意識,缺乏信息安全體制,沒有任何制度與方法來配套網絡信息安全的管理。這種情況非常容易成為犯罪分子的目標,讓他們有機可乘,結果會對企業造成不可彌補的損失。基于這一點,企業應該反思在網絡信息安全中的體制問題,健全與完善這一弱點,防患于未燃,徹底規避網絡安全中的不穩定因素。
(三)評估體系有待補充
計算機信息網絡安全,一般來看,應該制定基礎的黑客防范體系作為安全評估的有效方法,用這種方法評估現有安全系數,或是幫助企業對已有的平臺進行完善,用一套科學詳細的分析與說明,維護網絡信息安全,如果加強評估體系的建設,開發出更好的技術,就能夠在經濟與技術上雙方面受益。
二、計算機安全管理制度的配套
(一)接收電子郵件
電郵會為企業帶來很多安全漏洞,收到未知郵件應直接刪除或進行殺毒處理。除此之外,企業也要將更新病毒庫發給員工,作為強制政策,要求員工更期升級以保證未來計算機安全。
(二)安全漏洞防范
要懂得防范各種各樣的安全漏洞。如通過社交手段套取,也能使得企業放松,容易受到惡性攻擊。這其中沒有受到正規培訓或對工作不滿的員工,更有可能會把企業的獨家信息或敏感材料泄露給競爭對手,所以對資料有人要嚴格把關。
(三)密碼設置
密碼是通常是絕大部份企業的重要弱點,人們為了節省時間,一般會共享或選擇簡單的密碼。密碼也不夠復雜,非常容易被別人猜測并且用來獲得重要資料。其實,網絡安全的弱點就還在于不是只有使用者有密碼,如果態度不夠謹慎,只要稍微加以詢便可讓他們無意中泄露出來,如通過電話或電子郵件包裝一下,輕易就能把員工的密碼拿到手。
(三)網絡的維護
在網絡使用中,應建立網絡使用規范,員工要了解公司關于網絡中通信安全的規定。同時還要提高IT人員設定與監視網絡安全方案的效率。
(四)安全防護機制
企業要決定由誰負責政策的制定與執行,人事部也應給新員工培訓,以書面形式告知公司政策,員工同意后,要簽名確認自己了解并愿意遵守公司相關規定。另外,網絡管理人員應建構通信安全防護機制,成立緊急救援小組應對可能發生的安全漏洞,并與人事部門緊密合作,將可疑的情況上報。
三、計算機安全管理在通信中的應用
(一)加強攻擊和入侵應急處理流程和災難恢復方法
主要方法是配備必要的安全產品,例如網絡掃描器、防火墻、入侵檢測系統,進行實時網絡監控和分析,及時找到攻擊對象采取響應的措施,并利用備份系統和應急預案以備緊急情況下恢復系統。
(二)加強開放的網絡服務方法
Internet安全策略是既利用廣泛、快捷的網絡信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術,利用防火墻來構建堅固的大門,同時對Web服務和FTP服務采取積極審查的態度,更要強化內部網絡用戶的責任感和守約,必要時還要增加一些審計的手段。
(三)網絡反病毒技術能力要加強
要想實現實時過濾的功能,就要安裝病毒防火墻功能。把網絡服務器中的一些文件進行不斷監測與頻繁掃描,甚至在工作站上加裝防病毒卡,必要時設置網絡目與文件的訪問權控制權限。同時,也可以限制一些由服務器才能有權限執行的文件。
(四)傳播途徑的切斷
一定要注意查殺硬盤或U盤的程序與病毒,不要接受網絡推送的不明網頁,對已經感染的硬盤與U盤要實時格式化或殺毒,切斷一切不安全的傳播途徑。
(五)網絡訪問控制權授予
要想加強防范與保護網絡安全,控制其訪問權也是重要的方法與策略。這種方法可以讓網絡資源得到凈化,不給非法資源可乘之機,是保證網絡安全的重要核心策略之一。這種控制權的授予方式涉及技術廣泛,通常包括了入網控制權限、目錄控制權及網絡控制權等各種權限。
(六)密碼技術的應用
密碼技術是網絡信息安全的核心技術競爭力,這種技術手段為網絡信息安全給予了重要保證。目前密碼技術集中在單鑰密碼體制、數字簽名方法、密鑰管理方法、古典密碼方法等,這些方法中,身份認證與數字簽名方法是目前保證信息完整性的最主要方法。
(七)安全管理制度的必要性
要想保障網絡信息安全,首先應該提高用戶與管理人員的道德修養與職業素質,對重要信息嚴格保密,做好數據的備份與檢查。
四、結束語
[關鍵詞] 電子商務 網絡/信息安全 信息安全技術 數字認證 安全協議 信息安全對策
隨著網絡的發展,電子商務的迅速崛起,使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加,一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。
1.防火墻技術。防火墻(Firewall)主要是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。
2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。
3.數字簽名技術。數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。
4.數字時間戳技術。時間戳(Time-Stamp)是一個經加密后形成的憑證文檔,包括需加時間戳的文件的摘要(Digest)、DTS收到文件的日期與時間和DIS數字簽名,用戶首先將需要加時間的文件用HASH編碼加密形成摘要,然后將該摘要發送到DTS,DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數字簽名),然后送回用戶。
二、數字認證及數字認證授權機構
1.數字證書。它含有證書持有者的有關信息,以標識他的身份。數字證書克服了密碼在安全性和方便性方面的局限性,可以控制哪些數據庫能夠被查看,因此提高了總體的保密性。
2.電子商務數字認證授權機構。電子商務交易需要電子商務證書,而電子商務認證中心(CA)就承擔著網上安全電子交易認證服務、簽發數字證書并確認用戶身份的功能。
三、電子商務信息安全協議
1.安全套接層協議。用于提高應用程序之間的數據的安全系數。SSL協議的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議,該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。
2.安全電子交易公告。安全電子交易公告(SET:Secure Electronic Transactions)是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網絡的工業標準。
3.安全超文本傳輸協議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術的。
4.安全交易技術協議(STT)。STT將認證與解密在瀏覽器中分離開,以提高安全控制能力。
5.UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。
6.《電子交換貿易數據統一行為守則》(UNCID)。UNCID由國際商會制定,該守則第六條、第七條、第九條分別就數據的保密性、完整性及貿易雙方簽訂協議等問題做了規定。
三、電子商務中的信息安全對策
1.提高對網絡信息安全重要性的認識。我們在思想上要把信息資源共享與信息安全防護有機統一起來,以有效方式、途徑在全社會普及網絡安全知識,學會維護網絡安全的基本技能。
2.加強網絡安全管理。我國網絡安全管理除現有的部門分工外,要建立一個具有高度權威的信息安全領導機構,有效統一、協調各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。
3.加快網絡安全專業人才的培養。要注重加強與國外的經驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。
4. 抓緊網絡安全基礎設施建設。一個網絡信息系統,只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的,就沒有安全可言。為此,需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
5.把好網絡建設立項關。在對網絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時,在立項時更應注重對網絡的可靠性、安全性評估,力爭將安全隱患杜絕于立項、決策階段。
6.建立網絡風險防范機制。為網絡安全而產生的防止方法有多種,但總的來講不外乎危險產生前的預防、發生中的抑制和發生后的補救。有學者建議,網絡經營者可以在保險標的范圍內允許標保的財產進行標保,并在出險后進行理賠。
7.強化網絡技術創新。如果在基礎硬件、芯片方面不能自主,將嚴重影響我們對信息安全的監控。為了建立起我國自主的信息安全技術體系,需要以我為主,統一組織進行信息安全關鍵技術攻關,以創新的思想,構筑具有中國特色的信息安全體系。
8.注重網絡建設的規范化。目前,國際上出現許多關于網絡安全的技術規范、技術標準,目的就是要在統一的網絡環境中保證信息的絕對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應國際潮流的技術規范。
9.建設網絡安全研究基地。應該把我國現有的從事信息安全研究、應用的人才很好地組織起來,為他們創造更優良的工作學習環境,調動他們在信息安全創新中的積極性。
10.促進網絡安全產業的發展。扶持具有中國特色的信息安全產業的發展是振興民族信息產業的一個切入點,也是維護網絡安全的必要對策。為了加速發展我國的信息安全產業,需要盡快解決資金投入、對外合作、產品開發、安全評測、銷售管理、采購政策、利益分配等方面存在的問題。
參考文獻:
[1]屈云波:電子商務[M].北京:企業管理出版社,1999
[2]趙戰生:我國信息安全及其技術研究[J].中國信息導報,1999,(8):5~7