網(wǎng)絡(luò)安全定級評估范文

時間:2023-09-15 17:31:30

導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)安全定級評估,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)安全定級評估

篇1

1三級安全系統(tǒng)模型的構(gòu)建

1.1安全計(jì)算環(huán)境的具體實(shí)施

安全計(jì)算環(huán)境就是對相關(guān)等級系統(tǒng)進(jìn)行詳細(xì)的管理,通過對相關(guān)信息的存儲、處理以及安全策略的實(shí)施,掌握信息系統(tǒng)的核心情況。安全計(jì)算環(huán)境在其有效的區(qū)域邊界安全防護(hù)之下,可以有針對性的避免各種外界網(wǎng)絡(luò)攻擊行為以及一些非授權(quán)的訪問。對此,安全計(jì)算機(jī)環(huán)境的整體安全防范工作就是有計(jì)劃有標(biāo)準(zhǔn)的提升系統(tǒng)整體安全性改造,避免出現(xiàn)系統(tǒng)因?yàn)樽陨淼陌踩┒础⑾到y(tǒng)缺陷等原因?qū)е碌墓魡栴}。同時,安全計(jì)算環(huán)境自身安全防護(hù)工作的開展,主要是實(shí)現(xiàn)對系統(tǒng)內(nèi)部產(chǎn)生的相關(guān)攻擊以及非授權(quán)訪問的各種各樣行為進(jìn)行防范與控制,避免內(nèi)部人員因自身的數(shù)據(jù)以及信息處理方式導(dǎo)致的各種破壞行為的產(chǎn)生。

1.2安全網(wǎng)絡(luò)環(huán)境的具體實(shí)施

信息系統(tǒng)中的各個計(jì)算機(jī)與計(jì)算域、用戶與用戶域主要是通過網(wǎng)絡(luò)進(jìn)行系統(tǒng)的銜接,網(wǎng)絡(luò)對不同系統(tǒng)之間的相關(guān)信息傳輸有著承載通道的主要作用。網(wǎng)絡(luò)在應(yīng)用中可以位于系統(tǒng)之內(nèi)也可以位于系統(tǒng)之外,其中一些網(wǎng)絡(luò)數(shù)據(jù)信息流,或多或少會通過或者經(jīng)過一些不穩(wěn)定的網(wǎng)絡(luò)環(huán)境進(jìn)行傳輸。對此,網(wǎng)絡(luò)安全防護(hù)工作在實(shí)際操作過程中,首先要保障整個網(wǎng)絡(luò)設(shè)備自身的安全性,要對設(shè)備進(jìn)行定期的維護(hù),避免其受到各種網(wǎng)絡(luò)攻擊,進(jìn)而在最大程度上提升網(wǎng)絡(luò)中信息流的整體安全健壯性,之后在此基礎(chǔ)上逐步提升其整體通信架構(gòu)的實(shí)用性,完整性以及保密性。基于網(wǎng)絡(luò)自身的保密要求,在應(yīng)用中要使用網(wǎng)絡(luò)加密技術(shù)與應(yīng)用本身進(jìn)行融合,進(jìn)而實(shí)現(xiàn)三級保護(hù)中的相關(guān)要求。網(wǎng)絡(luò)安全域要具有自身的網(wǎng)絡(luò)結(jié)構(gòu)安全范圍,同時可以對相關(guān)網(wǎng)絡(luò)的具體訪問操作進(jìn)行系統(tǒng)的控制,進(jìn)一步提升對安全審計(jì)工作的重視,保障相關(guān)邊界的完整性,避免各種網(wǎng)絡(luò)入侵以及網(wǎng)絡(luò)攻擊問題的出現(xiàn),杜絕惡意代碼問題的產(chǎn)生,進(jìn)而實(shí)現(xiàn)整體網(wǎng)絡(luò)設(shè)備的有效防護(hù)與相關(guān)網(wǎng)絡(luò)信息保護(hù)功能。

1.3安全區(qū)域邊界的具體實(shí)施

邊界安全防護(hù)是指在相關(guān)信息安全系統(tǒng)的各種業(yè)務(wù)流程上對其進(jìn)行區(qū)分與劃分,是不同應(yīng)用與數(shù)據(jù)內(nèi)容的安全域的系統(tǒng)邊界。一般狀況之下,邊界安全的防護(hù)邊界與相關(guān)防御工作的開展就是通過依托于相關(guān)隔離設(shè)備與防護(hù)技術(shù)進(jìn)行完成的,并且將其作為安全保護(hù)的切入點(diǎn),邊界防護(hù)主要實(shí)現(xiàn)網(wǎng)絡(luò)隔離、地址綁定以及訪問控制管理等相關(guān)功能。其主要目標(biāo)是對相關(guān)邊界內(nèi)外部的各種攻擊進(jìn)行檢測、告警與防御,可以有效的避免內(nèi)部相關(guān)工作人員出現(xiàn)惡意或者無意的跨越邊界造成攻擊與泄露行為隱患。相關(guān)管理人員通過對相關(guān)日志的審核,可對一些違規(guī)事件進(jìn)行詳細(xì)的審計(jì)追蹤。

1.4安全管理中心的具體實(shí)施

安全管理中心是整個信息系統(tǒng)的核心安全管理系統(tǒng),對于整個系統(tǒng)的安全機(jī)制管理有著重要的作用,作為信息系統(tǒng)的核心安全管理平臺,是對相關(guān)信息系統(tǒng)不同的安全機(jī)制進(jìn)行有效高效的管理,安全管理中心將相關(guān)系統(tǒng)中的較為分散的安全機(jī)制進(jìn)行系統(tǒng)化的管理后,通過集中管理模式提升其整體效能與作用。安全管理中心可以將其作為整個信息系統(tǒng)中與相關(guān)體系域中的整體安全計(jì)算域、相關(guān)安全用戶域以及各個網(wǎng)絡(luò)安全域等流程進(jìn)行系統(tǒng)的進(jìn)行統(tǒng)籌記錄與分析管理,進(jìn)而對其進(jìn)行整體的統(tǒng)一調(diào)度,有效實(shí)現(xiàn)相關(guān)用戶身份與授權(quán)、用戶訪問與控制、用戶操作與審計(jì)的過程管理,最終達(dá)到對其存在的風(fēng)險進(jìn)行控制、通信架構(gòu)運(yùn)行情況得到實(shí)施展現(xiàn)于掌握,充分地凸顯整體安全防護(hù)系統(tǒng)的內(nèi)在效能與作用。

2信息安全系統(tǒng)的有效實(shí)現(xiàn)

2.1系統(tǒng)定級實(shí)現(xiàn)

系統(tǒng)定級在操作中主要涵蓋了系統(tǒng)識別與相關(guān)描述,利用風(fēng)險評估,基于相關(guān)標(biāo)準(zhǔn)對整個信息系統(tǒng)的實(shí)際等級標(biāo)準(zhǔn)進(jìn)行確定,在通過相關(guān)部門批準(zhǔn)之后形成一個定級報告,在此基礎(chǔ)上最后完成相關(guān)信息系統(tǒng)的等級劃分與具體的定級工作。

2.2總體的安全建設(shè)規(guī)劃

總體的安全建設(shè)規(guī)劃主要是基于相關(guān)信息系統(tǒng),承載相關(guān)業(yè)務(wù)的狀況,根據(jù)風(fēng)險評估數(shù)據(jù),明確其具體結(jié)構(gòu),綜合實(shí)踐中存在的安全風(fēng)險,結(jié)合相關(guān)系統(tǒng)的具體安全要求,并制定出一個具體的安全實(shí)施計(jì)劃,為今后的信息系統(tǒng)安全建設(shè)工程的相關(guān)內(nèi)容實(shí)施提供參考依據(jù)與指導(dǎo)。對處于一些已經(jīng)開展的信息系統(tǒng),要對其具體的需求進(jìn)行分析,判斷其整體狀況與要求,明確差距后再開展工作。

2.3安全實(shí)施

安全實(shí)施的過程就是根據(jù)信息系統(tǒng)的整體方案的相關(guān)要求,綜合信息系統(tǒng)的項(xiàng)目建設(shè)計(jì)劃與目的,分期分步的落實(shí)各項(xiàng)安全措施,同時將根據(jù)具體的等級需求,制定符合其對應(yīng)等級的安全需求方案,對整個系統(tǒng)進(jìn)行評估,使其滿足各種不同等級的保護(hù)需求。

2.4運(yùn)行與維護(hù)工作

在系統(tǒng)的整體運(yùn)行期間,需對全網(wǎng)整體的安全風(fēng)險進(jìn)行監(jiān)控,對其變化進(jìn)行分析,進(jìn)而對其安全運(yùn)行狀況進(jìn)行系統(tǒng)化的評估。基于具體的評估結(jié)果對整個系統(tǒng)中存在安全隱患的架構(gòu)部分進(jìn)行優(yōu)化設(shè)計(jì)與改造,進(jìn)而制定相應(yīng)的安全措施。

3結(jié)束語

信息安全系統(tǒng)的實(shí)施對于網(wǎng)絡(luò)安全等級的優(yōu)化有著重要的意義,對此要提升對其工作的重視度,全面踐行相關(guān)等級保護(hù)與實(shí)施方案中的各項(xiàng)措施,提升整體的網(wǎng)絡(luò)安全性。

參考文獻(xiàn)

[1]陳華智,張聞,張華磊.網(wǎng)絡(luò)安全等級保護(hù)實(shí)施方案的實(shí)施及應(yīng)用實(shí)踐[J].浙江電力,2011(03):54-57.

[2]張都樂,何淼,張洋,王照付.信息系統(tǒng)等級保護(hù)實(shí)施方案研究與分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2012(08):5-7.

篇2

隨著全球信息化程度的加深,CDN已經(jīng)成為互聯(lián)網(wǎng)上向用戶提供服務(wù)的重要系統(tǒng)之一,一方面由于CDN位于內(nèi)容源站和終端用戶之間的特殊物理位置,能夠抵御一部分對源站的安全攻擊,從而提高源站的安全性;另外一方面,隨著CDN越來越多地服務(wù)于重要國家部門、金融機(jī)構(gòu)、網(wǎng)絡(luò)媒體、商業(yè)大型網(wǎng)站,并經(jīng)常承擔(dān)奧運(yùn)會、國慶等重大活動,保障CDN自身的安全性、確保源站信息內(nèi)容安全準(zhǔn)確地分發(fā)給用戶也非常重要。一旦CDN出現(xiàn)業(yè)務(wù)中斷、數(shù)據(jù)被篡改等安全問題,可能對用戶使用互聯(lián)網(wǎng)服務(wù)造成大范圍嚴(yán)重影響,甚至可能影響社會穩(wěn)定。

標(biāo)準(zhǔn)工作開展背景

一直以來,國際國內(nèi)缺乏專門的標(biāo)準(zhǔn)明確CDN應(yīng)滿足的安全要求,今年《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》在中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA:ChinaCommunications StandardsAssociation)立項(xiàng),“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”討論了征求意見稿,相信CDN安全的標(biāo)準(zhǔn)化工作,能對促進(jìn)CDN服務(wù)商規(guī)范安全地提供服務(wù),從整體上提高CDN行業(yè)的安全防護(hù)水平提供指導(dǎo)。

美英等國家從20世紀(jì)70年代就開始研究等級保護(hù)、風(fēng)險評估的相關(guān)內(nèi)容,制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標(biāo)準(zhǔn)。隨著通信網(wǎng)絡(luò)在國家政治、經(jīng)濟(jì)和社會發(fā)展過程中的基礎(chǔ)性和全局性作用與日俱增,這些發(fā)達(dá)國家越來越重視通信網(wǎng)絡(luò)安全,并上升到國家安全高度。我國也越來越重視網(wǎng)絡(luò)與信息安全保障,相繼了中辦【2003】27號《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中辦發(fā)【2006】11號《2006―2020年國家信息化發(fā)展戰(zhàn)略》等文件指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保障體系建設(shè)。

近五年通信網(wǎng)絡(luò)安全防護(hù)工作取得很大成效,指導(dǎo)通信網(wǎng)絡(luò)從業(yè)務(wù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、設(shè)備安全、物理環(huán)境安全、管理安全等各方面加固,提高了通信網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性、基礎(chǔ)電信運(yùn)營企業(yè)安全管理的規(guī)范性,也促進(jìn)了通信行業(yè)安全服務(wù)產(chǎn)業(yè)的快速發(fā)展。

隨著通信網(wǎng)絡(luò)安全防護(hù)工作逐步深入規(guī)范開展,2011年工業(yè)和信息化部組織開展了增值運(yùn)營企業(yè)的安全防護(hù)試點(diǎn),率先對新浪、騰訊、百度、阿里巴巴、萬網(wǎng)、空中信使運(yùn)營管理的網(wǎng)絡(luò)單元進(jìn)行定級備案、安全符合性評測和風(fēng)險評估。

2011年,“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”組織研究起草《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》等8項(xiàng)安全防護(hù)標(biāo)準(zhǔn),工業(yè)和信息化部電信研究院、藍(lán)汛、網(wǎng)宿、清華大學(xué)、中國移動、中國電信、華為、中國互聯(lián)網(wǎng)協(xié)會等單位研究人員參與了標(biāo)準(zhǔn)的起草,目前這兩項(xiàng)標(biāo)準(zhǔn)的征求意見稿已經(jīng)在CCSA討論通過。

根據(jù)《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》,按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全、經(jīng)濟(jì)運(yùn)行、社會秩序、公眾利益的危害程度,由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》明確了一級至五級CDN系統(tǒng)應(yīng)該滿足的安全等級保護(hù)要求,級別越高,CDN需滿足的安全要求越多或越嚴(yán)格。《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》明確了對CDN進(jìn)行安全符合性評測的方法、內(nèi)容、評價原則等,有助于深入檢查企業(yè)是否落實(shí)了安全防護(hù)要求。

CDN安全防護(hù)內(nèi)容

CDN位于內(nèi)容源站與終端用戶之間,主要通過內(nèi)容的分布式存儲和就近服務(wù)提高內(nèi)容分發(fā)的效率,改善互聯(lián)網(wǎng)絡(luò)的擁塞狀況,進(jìn)而提升服務(wù)質(zhì)量。通常CDN內(nèi)部由請求路由系統(tǒng)、邊緣服務(wù)器、運(yùn)營管理系統(tǒng)、監(jiān)控系統(tǒng)組成,CDN外部與內(nèi)容源站以及終端用戶相連。CDN是基于開放互聯(lián)網(wǎng)的重疊網(wǎng),與承載網(wǎng)松耦合。

CDN主要是為互聯(lián)網(wǎng)上的各種業(yè)務(wù)應(yīng)用提供內(nèi)容分發(fā)服務(wù),以顯著提高互聯(lián)網(wǎng)用戶的訪問速度,所以保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全和CDN業(yè)務(wù)系統(tǒng)安全至關(guān)重要,保障CDN的基礎(chǔ)設(shè)施安全、管理安全,有效實(shí)施災(zāi)難備份及恢復(fù)等也是CDN安全防護(hù)應(yīng)該考慮的重要內(nèi)容。因此CDN的安全防護(hù)可從數(shù)據(jù)內(nèi)容安全、業(yè)務(wù)系統(tǒng)安全、基礎(chǔ)設(shè)施安全、管理安全、災(zāi)難備份及恢復(fù)幾方面考慮。

(1)CDN數(shù)據(jù)內(nèi)容安全

為保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全,需要確保CDN與源站數(shù)據(jù)內(nèi)容一致,并進(jìn)行版權(quán)保護(hù),記錄管理員的操作維護(hù)并定期審計(jì),一旦發(fā)現(xiàn)不良信息能夠及時清除,同時提供防御來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊并對源站進(jìn)行保護(hù)的能力。

數(shù)據(jù)一致性:CDN企業(yè)提供對內(nèi)容污染的防御能力,識別和丟棄污染的內(nèi)容,保障重要數(shù)據(jù)內(nèi)容的一致性和完整性;保證CDN平臺內(nèi)部傳輸數(shù)據(jù)的一致性;防止分發(fā)的內(nèi)容被非法引用(即防盜鏈)。

版權(quán)保護(hù):按照源站要求提供內(nèi)容鑒權(quán)、用戶鑒權(quán)、IP地址鑒權(quán)、終端鑒別以及組合鑒權(quán)等方式對源站內(nèi)容進(jìn)行版權(quán)保護(hù)。

安全審計(jì):記錄管理員(含源站管理員和CDN系統(tǒng)內(nèi)部管理員)對CDN系統(tǒng)的管理操作,留存日志記錄并定期審計(jì)。

不良信息清除:一旦發(fā)現(xiàn)CDN系統(tǒng)內(nèi)部含不良信息,應(yīng)在內(nèi)容源站或主管部門要求時間內(nèi),完成全網(wǎng)服務(wù)器屏蔽或清除不良信息。

防攻擊和源站保護(hù):引入CDN后不應(yīng)降低內(nèi)容源站的安全水平,同時CDN在一定程度上提供對內(nèi)容源站的抗攻擊保護(hù)。

(2)CDN業(yè)務(wù)系統(tǒng)安全

為保障CDN的業(yè)務(wù)系統(tǒng)安全,需要從結(jié)構(gòu)安全、訪問控制、入侵防范等方面進(jìn)行安全保護(hù),另外鑒于請求路由系統(tǒng)(即DNS系統(tǒng))在CDN系統(tǒng)中的重要性以及目前DNS系統(tǒng)存在脆弱性,需要保障請求路由系統(tǒng)的安全。

結(jié)構(gòu)安全:CDN企業(yè)在節(jié)點(diǎn)部署時應(yīng)考慮防范安全攻擊,如為服務(wù)器單節(jié)點(diǎn)服務(wù)能力留出足夠的冗余度、配置實(shí)時備份節(jié)點(diǎn)等。

訪問控制:對管理員操作維護(hù)進(jìn)行身份認(rèn)證并進(jìn)行最小權(quán)限分配,從IP地址等方面限制訪問。

入侵防范:關(guān)閉不必要的端口和服務(wù),CDN能夠抵御一定的安全攻擊并快速恢復(fù)。

請求路由系統(tǒng)安全:部署多個內(nèi)部DNS節(jié)點(diǎn)進(jìn)行冗余備份,并對DNS進(jìn)行安全配置。

(3)CDN基礎(chǔ)設(shè)施安全

保障CDN的基礎(chǔ)設(shè)施安全,可從主機(jī)安全、物理環(huán)境安全、網(wǎng)絡(luò)及安全設(shè)備防護(hù)等方面進(jìn)行保護(hù)。

主機(jī)安全:企業(yè)對CDN的操作系統(tǒng)和數(shù)據(jù)庫的訪問進(jìn)行訪問控制,記錄操作并定期進(jìn)行安全審計(jì);操作系統(tǒng)遵循最小授權(quán)原則,及時更新補(bǔ)丁,防止入侵;對服務(wù)器的CPU、硬盤、內(nèi)存等使用情況進(jìn)行監(jiān)控,及時處置告警信息。

物理環(huán)境安全:機(jī)房應(yīng)選擇合適的地理位置,對機(jī)房訪問應(yīng)進(jìn)行控制,防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護(hù)等方面均應(yīng)采取一定的防護(hù)措施,并確保電力持續(xù)供應(yīng)。

網(wǎng)絡(luò)及安全設(shè)備防護(hù):IP承載網(wǎng)需要從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)保護(hù)與恢復(fù)、網(wǎng)絡(luò)攻擊防范等方面進(jìn)行保護(hù)。

(4)CDN管理安全

規(guī)范有效的管理對于保障信息系統(tǒng)的安全具有重要作用,可從機(jī)構(gòu)、人員、制度等方面進(jìn)行保障,同時應(yīng)將安全管理措施貫穿系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維全過程。

機(jī)構(gòu):通過加強(qiáng)崗位設(shè)置、人員配備、授權(quán)審批、溝通合作等形成強(qiáng)有力的安全管理機(jī)構(gòu)。

人員:在人員錄用、離崗、考核、安全意識教育和培訓(xùn)、外部人員訪問等環(huán)節(jié)加強(qiáng)對人員的管理。

制度:對重要的安全工作制訂管理制度,確保制度貫徹執(zhí)行,根據(jù)安全形勢的變化和管理需要及時修訂完善安全制度。

安全建設(shè):在系統(tǒng)定級備案、方案設(shè)計(jì)、產(chǎn)品采購、系統(tǒng)研發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、選擇安全服務(wù)商等環(huán)節(jié)進(jìn)行安全管理,分析安全需求、落實(shí)安全措施。CDN企業(yè)在新建、改建、擴(kuò)建CDN時,應(yīng)當(dāng)同步建設(shè)安全保障設(shè)施,并與主體工程同時驗(yàn)收和投入運(yùn)行。安全保障設(shè)施的新建、改建、擴(kuò)建費(fèi)用,需納入建設(shè)項(xiàng)目概算。

安全運(yùn)維:在系統(tǒng)運(yùn)行維護(hù)過程中對物理環(huán)境、介質(zhì)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、安全監(jiān)測、密碼、備份與恢復(fù)等加強(qiáng)安全管理,提高對惡意代碼防范、安全事件處置、應(yīng)急預(yù)案制訂與演練的管理。

(5)災(zāi)難備份及恢復(fù)

可通過配置足夠的冗余系統(tǒng)、設(shè)備及鏈路,備份數(shù)據(jù),提高人員和技術(shù)支持能力、運(yùn)行維護(hù)管理能力,制訂完善的災(zāi)難恢復(fù)預(yù)案,提高CDN企業(yè)的抗災(zāi)難和有效恢復(fù)CDN的能力。

冗余系統(tǒng)、設(shè)備及鏈路:運(yùn)營管理系統(tǒng)、請求路由系統(tǒng)等核心系統(tǒng)應(yīng)具備冗余能力,在多個省份備份,發(fā)生故障后能及時切換;CDN設(shè)備的處理能力應(yīng)有足夠的冗余度;核心系統(tǒng)間的鏈路應(yīng)有冗余備份。

備份數(shù)據(jù):系統(tǒng)配置數(shù)據(jù)、源站托管數(shù)據(jù)等關(guān)鍵數(shù)據(jù)應(yīng)定期同步備份。

人員和技術(shù)支持能力:應(yīng)為用戶提供7×24小時技術(shù)支持,員工應(yīng)經(jīng)過培訓(xùn)并通過考核才能上崗。

運(yùn)行維護(hù)管理能力:運(yùn)維人員應(yīng)能及時發(fā)現(xiàn)系統(tǒng)異常事件,在規(guī)定事件內(nèi)上報企業(yè)管理人員、客服人員,做好對客戶的解釋工作。

災(zāi)難恢復(fù)預(yù)案:應(yīng)根據(jù)可能發(fā)生的系統(tǒng)故障情況制訂詳細(xì)的災(zāi)難恢復(fù)預(yù)案,組織對預(yù)案的教育、培訓(xùn)和演練。

CDN標(biāo)準(zhǔn)展望

2011年制訂的CDN標(biāo)準(zhǔn)還只是一個嘗試,目前《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》僅對作為第三方對外提供互聯(lián)網(wǎng)內(nèi)容分發(fā)服務(wù)的CDN提出安全防護(hù)要求和檢測要求,隨著后續(xù)CDN安全防護(hù)工作的深入開展、CDN面臨的安全風(fēng)險不斷變化,CDN安全防護(hù)標(biāo)準(zhǔn)還會不斷修訂完善。

篇3

隨著電子政務(wù)應(yīng)用的不斷深入,信息安全問題日益凸顯,為了高效安全的進(jìn)行電子政務(wù),迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全,因此應(yīng)充分保證以下幾點(diǎn):

1.1基礎(chǔ)設(shè)施的可用性:運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2數(shù)據(jù)機(jī)密性:對于內(nèi)部網(wǎng)絡(luò),保密數(shù)據(jù)的泄密將直接帶來政府機(jī)構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲與傳輸時的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下,只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò),并且能明確地限定其訪問范圍,這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計(jì)

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講,必須建立在一個強(qiáng)大的技術(shù)支撐平臺之上,同時具有完備的安全管理機(jī)制,并針對物理安全,數(shù)據(jù)存儲安全,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面,核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結(jié)合起來進(jìn)行安全性設(shè)計(jì),然而由于一個終端用戶可以有許多權(quán)限,許多用戶也可能有相同的權(quán)限集,這些權(quán)限都必須寫入屬性證書的屬性中,這樣就增加了屬性證書的復(fù)雜性和存儲空間,從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個問題,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實(shí)體組成,在該模型中:

2.1終端用戶:向驗(yàn)證服務(wù)器發(fā)送請求和證書,并與服務(wù)器雙向驗(yàn)證。

2.2驗(yàn)證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問控制,是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器:與資源數(shù)據(jù)庫連接,根據(jù)驗(yàn)證通過的用戶請求,對資源數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行處理,并把處理結(jié)果通過驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4LDAP目錄服務(wù)器:該模型中采用兩個LDAP目錄服務(wù)器,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實(shí)際上是管理,安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí);安全技術(shù)管理的內(nèi)容包括對硬件實(shí)體和軟件系統(tǒng)、密鑰的管理。

轉(zhuǎn)貼于中國論文下載中心www

3電子政務(wù)信息安全管理體系中的風(fēng)險評估

電子政務(wù)信息安全等級保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定和保護(hù)公共利益等方面的重要程度。等級保護(hù)工作的要點(diǎn)是對電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險分析,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險因素集。

3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級、專控保護(hù)級五個安全等級。對電子政務(wù)的五個安全等級定義,結(jié)合系統(tǒng)面臨的風(fēng)險、系統(tǒng)特定安全保護(hù)要求和成本開銷等因素,采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風(fēng)險評估辦法風(fēng)險評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險評估方法的例子,其他文獻(xiàn),例如NISTSP800-30、AS/NZS4360等也介紹了風(fēng)險評估的步驟及方法,另外,一些組織還提出了自己的風(fēng)險評估工具,例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風(fēng)險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險評估指南》等標(biāo)準(zhǔn)和指南,從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風(fēng)險評估模型。其中,資產(chǎn)的評估主要是對資產(chǎn)進(jìn)行相對估價,其估價準(zhǔn)則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進(jìn)行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估,主要從威脅的能力和動機(jī)兩個方面進(jìn)行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評估是對保障措施的有效性進(jìn)行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息,最終生成風(fēng)險信息。

在確定風(fēng)險評估方法后,還應(yīng)確定接受風(fēng)險的準(zhǔn)則,識別可接受的風(fēng)險級別。

4結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別,包括:辦公手段不同,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同,實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同,直接與公眾溝通是實(shí)施電子政務(wù)的目的之一,也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中,要抓住其特點(diǎn),從技術(shù)、管理、策略角度設(shè)計(jì)完整的信息安全模型并通過科學(xué)量化的風(fēng)險評估方法識別風(fēng)險和制定風(fēng)險應(yīng)急預(yù)案,這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。

參考文獻(xiàn):

[1]范紅,馮國登,吳亞非.信息安全風(fēng)險評估方法與應(yīng)用.清華大學(xué)出版社.2006.

[2]李波杰,張緒國,張世永.一種多層取證的電子商務(wù)安全審計(jì)系統(tǒng)微型電腦應(yīng)用.2007年05期.

篇4

1 廈門港集裝箱智慧物流平臺概述

廈門港集裝箱智慧物流平臺是廈門港務(wù)控股集團(tuán)有限公司為適應(yīng)港口物流業(yè)轉(zhuǎn)型升級的需要,利用移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術(shù),以打造港口物流數(shù)字化、智能化生態(tài)系統(tǒng),實(shí)現(xiàn)物流信息的高效、便捷共享為目的所建立的集裝箱物流信息服務(wù)平臺。該平臺以一次錄入、全流程共享為特色,集合全港集裝箱進(jìn)出口流程,涵蓋貨代、船代、堆場、集卡、碼頭以及“一關(guān)三檢”等各節(jié)點(diǎn)的有效數(shù)據(jù),實(shí)現(xiàn)集裝箱設(shè)備交接的電子化、智能化,并支持集卡運(yùn)輸企業(yè)對集卡的指揮、調(diào)度功能。

廈門港集裝箱智慧物流平臺的主要功能如下:(1)報文平臺功能,連接船代、車隊(duì)、堆場、碼頭各方,實(shí)現(xiàn)集裝箱設(shè)備交接單數(shù)據(jù)的實(shí)時共享;(2)接口平臺功能,向堆場、車隊(duì)、碼頭提供統(tǒng)一的數(shù)據(jù)接口,對接信息化管理下的堆場、車隊(duì)和碼頭,實(shí)現(xiàn)各環(huán)節(jié)物流信息的實(shí)時更新;(3)互聯(lián)網(wǎng)平臺功能,實(shí)現(xiàn)車隊(duì)、集卡、司機(jī)信息備案管理,為車隊(duì)提供調(diào)度派單功能,為堆場提供數(shù)據(jù)更新功能,為碼頭提供數(shù)據(jù)查詢、統(tǒng)計(jì)分析等功能;(4)移動應(yīng)用平臺功能,開發(fā)支持Android和iOS系統(tǒng)的手機(jī)應(yīng)用程序,為車隊(duì)提供手機(jī)派單、查詢追蹤等功能,為司機(jī)提供手機(jī)接單、預(yù)約等功能,為堆場提供拍照驗(yàn)箱功能,并為用戶提供數(shù)據(jù)查詢服務(wù)。

2 廈門港集裝箱智慧物流平臺安全策略

規(guī)劃

(1)管理安全 管理安全是安全策略中十分重要的環(huán)節(jié)。管理安全策略涉及安全組織機(jī)構(gòu)、安全管理制度、安全培訓(xùn)、安全意識教育等,以實(shí)現(xiàn)對維護(hù)人員、技術(shù)支持人員、管理人員、開發(fā)人員的權(quán)限控制、口令保密、審計(jì)跟蹤等安全管控為目標(biāo)。

(2)物理安全 物理安全涉及基礎(chǔ)設(shè)施、環(huán)境、設(shè)備、電磁屏蔽等方面的安全控制,為平臺部署提供防災(zāi)、防震、防干擾、防輻射等物理安全保障以及雙機(jī)熱備、鏈路冗余等安全策略規(guī)劃。

(3)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全包括內(nèi)外網(wǎng)區(qū)域隔離、不同網(wǎng)段應(yīng)用訪問控制或隔離、虛擬專用網(wǎng)絡(luò)登錄、鏈路均衡負(fù)載、防火墻、防篡改等網(wǎng)絡(luò)安全策略。

(4)系統(tǒng)安全 保障操作系統(tǒng)和數(shù)據(jù)庫安全,定期掃描發(fā)現(xiàn)并修復(fù)漏洞和隱患,關(guān)閉不必要的服務(wù)、端口、協(xié)議等。

(5)應(yīng)用安全 確保集裝箱智慧物流平臺的各項(xiàng)應(yīng)用功能連續(xù)、可靠運(yùn)行,支持功能模塊擴(kuò)展、用戶擴(kuò)容需要,使平臺升級更新不影響正常業(yè)務(wù)運(yùn)行。

(6)運(yùn)營安全 對集裝箱智慧物流平臺實(shí)施動態(tài)保護(hù),并在系統(tǒng)運(yùn)行中實(shí)現(xiàn)信息和數(shù)據(jù)的恢復(fù);采用上網(wǎng)行為控制、網(wǎng)絡(luò)管理、防病毒、入侵防護(hù)、抗拒絕服務(wù)等手段監(jiān)控網(wǎng)絡(luò)運(yùn)行及流量;制訂應(yīng)急計(jì)劃和策略,實(shí)現(xiàn)突發(fā)事件的異地備份和恢復(fù)。

(7)密鑰安全 密鑰管理處理密鑰自產(chǎn)生到最終銷毀整個過程中的所有問題,包括系統(tǒng)初始化以及密鑰的產(chǎn)生、存儲、備份(或裝入)、分配、保護(hù)、更新、控制、丟失、吊銷和銷毀等。通過制定密鑰管理制度,對密鑰實(shí)施完整而周密的管理。

(8)數(shù)據(jù)和信息安全 通過數(shù)據(jù)庫審計(jì)等手段對數(shù)據(jù)的訪問活動進(jìn)行跟蹤記錄,確保數(shù)據(jù)的完整性、保密性、可用性和不可否認(rèn)性,涉及數(shù)據(jù)加密、完整性校驗(yàn)、數(shù)據(jù)備份、數(shù)字簽名等。

3 廈門港集裝箱智慧物流平臺安全策略的

實(shí)施情況

3.1 建設(shè)互為災(zāi)備的高可靠性綠色節(jié)能雙機(jī)房

在廈門島內(nèi)和島外分別選址建設(shè)B類標(biāo)準(zhǔn)整體機(jī)房(見圖1),實(shí)現(xiàn)區(qū)域中心機(jī)房的互為災(zāi)備和恢復(fù)。主機(jī)房采用先進(jìn)、節(jié)能、高效、集約的密封冷通道模塊化架構(gòu)設(shè)計(jì),部署安防監(jiān)控、泄露檢測、消防報警、自動滅火和場地監(jiān)控等系統(tǒng),保證機(jī)房的溫度、濕度、潔凈度、照度、防靜電、防干擾、防震動、防雷電、實(shí)時監(jiān)控等,以確保計(jì)算機(jī)設(shè)備安全、可靠運(yùn)行,延長計(jì)算機(jī)系統(tǒng)使用壽命。

3.2 部署安全防護(hù)體系

如圖2所示:分別接入電信、聯(lián)通、移動等運(yùn)營商寬帶,通過負(fù)載均衡設(shè)備實(shí)現(xiàn)鏈路冗余;部署防篡改、抗拒絕服務(wù)、防病毒、防火墻、入侵防護(hù)等安全防護(hù)系統(tǒng);通過上網(wǎng)行為控制設(shè)備規(guī)范上網(wǎng)行為,由網(wǎng)絡(luò)管理軟件監(jiān)控設(shè)備運(yùn)行狀況,由堡壘機(jī)監(jiān)控技術(shù)人員操作行為,由數(shù)據(jù)庫審計(jì)保障數(shù)據(jù)安全,形成強(qiáng)大的安全防護(hù)堡壘。

3.3 制定安全管理制度

安全管理制度涉及中心機(jī)房管理制度、網(wǎng)絡(luò)管理制度、信息系統(tǒng)建設(shè)管理辦法、信息系統(tǒng)運(yùn)維管理辦法、信息安全處理預(yù)案等。在制定安全管理制度的基礎(chǔ)上,嚴(yán)格按照制度定期檢查、落整改和定期演練,并及時跟蹤機(jī)房運(yùn)行狀況,每月編制運(yùn)行報告。

3.4 開展信息安全等級保護(hù)工作

信息安全等級保護(hù)工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查等內(nèi)容。一般情況下,委托有資質(zhì)的第三方機(jī)構(gòu)確定信息安全保護(hù)等級。根據(jù)平臺的業(yè)務(wù)信息和系統(tǒng)服務(wù)描述、系統(tǒng)服務(wù)受到破壞時所侵害客體以及系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度,按照GB 17859D1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》和GB/T 22240D2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》等,確定廈門港集裝箱智慧物流平臺的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級均為第二級,最終確定其安全保護(hù)等級為第二級。確定保護(hù)等級后,按照規(guī)定,向公安機(jī)關(guān)備案。在等級測評過程中,對測評發(fā)現(xiàn)的問題及時加以整改,確保信息平臺安全防護(hù)滿足要求。

4 結(jié)束語

篇5

此次重慶試點(diǎn)的最大特點(diǎn)就是建立了數(shù)據(jù)大集中模式下的安全保障體系。正是因?yàn)槠鋽?shù)據(jù)大集中的特點(diǎn),確立了體系的思想是以安全管理為龍頭、以技術(shù)保障為支撐、以運(yùn)維服務(wù)為基礎(chǔ),其主要組成部分是“面向業(yè)務(wù)拓展的安全管理體系”、“面向數(shù)據(jù)安全的技術(shù)保障體系”和“面向服務(wù)連續(xù)性的安全運(yùn)維體系”。

作為試點(diǎn)之一的重慶市工商管理局的規(guī)模大概有1萬多工作人員、44個區(qū)縣分局、400多個工商所,擁有5000多臺計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備,而數(shù)據(jù)庫是大集中、大聯(lián)網(wǎng)的。正是由于這種數(shù)據(jù)大集中所帶來的業(yè)務(wù)大輻射、大交叉,使得安全管理也呈現(xiàn)出更加復(fù)雜的結(jié)構(gòu)。

所以首先就是要搞清數(shù)據(jù)資源的需求,明確各自的實(shí)施范圍。重慶市工商局在解決業(yè)務(wù)開展中遇到的問題的過程中形成了“以信息安全主管職能部門為主導(dǎo)、數(shù)據(jù)大集中部門為主體、專業(yè)技術(shù)機(jī)構(gòu)為支撐”的安全管理模式。

其次,將數(shù)據(jù)安全保障的重點(diǎn)進(jìn)行排序,將“數(shù)據(jù)完整性”和“數(shù)據(jù)/系統(tǒng)可用性”放在了首要的位置,然后是與試點(diǎn)單位“業(yè)務(wù)敏感性”相關(guān)的“數(shù)據(jù)機(jī)密性”。將這三個保障目標(biāo)分別映射到“數(shù)據(jù)安全”、“應(yīng)用安全”、“主機(jī)/平臺安全”、“網(wǎng)絡(luò)安全”和“物理安全”五個技術(shù)領(lǐng)域。

最后,就是要保障數(shù)據(jù)大集中信息系統(tǒng)提供的各項(xiàng)服務(wù)具有連續(xù)性。數(shù)據(jù)大集中帶來的是數(shù)據(jù)越集中,電子政務(wù)工作對信息系統(tǒng)的依賴性越強(qiáng),連續(xù)工作的要求就越高,所以一定要保證它的連續(xù)性。

另外,重慶在試點(diǎn)中總結(jié)了一套系統(tǒng)工程實(shí)施的方法。其中“三分析一篩選”方法是為了區(qū)分同屬數(shù)據(jù)大集中模式,但處于不同發(fā)展階段的電子政務(wù)系統(tǒng),主要方法是“依次分析數(shù)據(jù)特征、業(yè)務(wù)特征和應(yīng)用需求,然后篩選安全保障措施”。

而風(fēng)險評估是等級保護(hù)的起點(diǎn)和依據(jù),風(fēng)險評估與等級保護(hù)之間的內(nèi)在聯(lián)系是重慶市試點(diǎn)的重要任務(wù)之一。在試點(diǎn)工作中將信息安全風(fēng)險評估的三個流程“資產(chǎn)識別”、“安全威脅分析”和“系統(tǒng)脆弱性評估”與電子政務(wù)信息安全等級保護(hù)的三個階段“進(jìn)行定級”、“規(guī)劃與設(shè)計(jì)”和“實(shí)施、驗(yàn)證與運(yùn)維”進(jìn)行嫁接,摸索出了一條“123Y立方”工程化實(shí)施的方法。

實(shí)施效果

1.重慶工商模式

實(shí)現(xiàn)了在全市工商系統(tǒng)從市局到44個區(qū)縣分局、400多個工商所的三級聯(lián)網(wǎng)和區(qū)縣分局兩級數(shù)據(jù)庫,建成了包括辦公OA系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、電子檔案查詢系統(tǒng)、12315綜合指揮調(diào)度中心、財務(wù)綜合管理系統(tǒng)和重慶工商紅盾網(wǎng)、重慶企業(yè)信用網(wǎng)兩個網(wǎng)站在內(nèi)的六大網(wǎng)絡(luò)應(yīng)用平臺。

篇6

關(guān)鍵詞:漏洞;檢測;計(jì)算機(jī)信息系統(tǒng)安全

中圖分類號:G203

基于全面的掃描檢測,計(jì)算機(jī)信息安全管理工作者可以直觀的了解系統(tǒng)內(nèi)的安全配置和運(yùn)行的應(yīng)用服務(wù),及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)站風(fēng)險等級。此外,由于計(jì)算機(jī)信息安全系統(tǒng)問題是綜合性、多元化的問題,包括系統(tǒng)安全、數(shù)據(jù)安全等。全方位解決網(wǎng)站漏洞問題,需要完善的管理機(jī)制與技術(shù)保障。

1 信息系統(tǒng)安全等級保護(hù)概述

信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作,在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。信息系統(tǒng)安全漏洞指計(jì)算機(jī)系統(tǒng)存在可以利用的一個缺陷或者一個弱點(diǎn),它能破壞計(jì)算機(jī)信息安全系統(tǒng),威脅系統(tǒng)正常運(yùn)營。據(jù)統(tǒng)計(jì),有超過80%的計(jì)算機(jī)信息安全系統(tǒng)存在網(wǎng)站安全漏洞,嚴(yán)重威脅計(jì)算機(jī)信息系統(tǒng)內(nèi)部重要信息的保密。信息系統(tǒng)安全檢測是一項(xiàng)為了防止計(jì)算機(jī)信息安全系統(tǒng)被非法入侵,對Web網(wǎng)站進(jìn)行的授權(quán)漏洞檢測和安全防御工作。通過對系統(tǒng)內(nèi)部的各種漏洞進(jìn)行有效檢測,將很大程度上確保網(wǎng)站的安全運(yùn)行。

2 計(jì)算機(jī)信息系統(tǒng)安全工作重要性

信息安全等級保護(hù)工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段,作為公安部授權(quán)的第三方測評機(jī)構(gòu),為企事業(yè)單位提供免費(fèi)專業(yè)的信息安全等級測評咨詢服務(wù)。信息系統(tǒng)安全等級測評是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級的評估過程。信息安全等級保護(hù)要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力,一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實(shí)現(xiàn);另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制,通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系,共同作用于信息系統(tǒng)的安全功能,使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此,信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上,還要包括系統(tǒng)整體測評。

計(jì)算機(jī)在日趨進(jìn)步的現(xiàn)代化生活中,愈來愈占據(jù)著日常生活和工作中不可或缺的地位。計(jì)算機(jī)系統(tǒng)內(nèi)部的數(shù)據(jù)也顯得尤為重要。加強(qiáng)信息系統(tǒng)安全工作這一內(nèi)容不可忽視。除了外部網(wǎng)絡(luò)環(huán)境中各類病毒、黑客等不安全因素可以對計(jì)算機(jī)系統(tǒng)內(nèi)部做出干擾和破壞,內(nèi)部維護(hù)和使用人員在工作中的操作不當(dāng)和不規(guī)范使用,同樣可以導(dǎo)致計(jì)算機(jī)系統(tǒng)內(nèi)部數(shù)據(jù)的混亂和丟失。諸如這類或那樣的問題,計(jì)算機(jī)系統(tǒng)不能正常運(yùn)行會嚴(yán)重影響人們的生活和工作,為人們帶來不便。反之,加強(qiáng)對計(jì)算機(jī)信息系統(tǒng)安全的保護(hù)工作可以更好的方便人們的工作和生活,將人們生活和工作質(zhì)量提上更高的一層。

3 計(jì)算機(jī)信息系統(tǒng)防護(hù)策略

(1)強(qiáng)化信息系統(tǒng)管理,明確安全管理范圍和任務(wù),確保信息持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性;

(2)全面落實(shí)上級公司下發(fā)的各項(xiàng)方案要求,實(shí)行信息內(nèi)外網(wǎng)完全隔離,杜絕一機(jī)兩用,確保內(nèi)外網(wǎng)出口安全;

(3)建立信息安全管理職責(zé)和管理措施,加強(qiáng)信息系統(tǒng)運(yùn)行全過程管理,提高全員信息系統(tǒng)安全意識;

(4)設(shè)置防止非法進(jìn)入及越權(quán)訪問的安全機(jī)制,防止網(wǎng)絡(luò)黑客利用網(wǎng)絡(luò)設(shè)備和協(xié)議的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取;

(5)對公司內(nèi)部重要和敏感信息實(shí)行加密傳輸和存儲,對門戶網(wǎng)站頁面建立防護(hù)機(jī)制和措施,確保信息系統(tǒng)安全管理;

(6)進(jìn)一步統(tǒng)一思想、提高認(rèn)識、狠抓落實(shí),全面推進(jìn)現(xiàn)場標(biāo)準(zhǔn)化作業(yè),夯實(shí)安全生產(chǎn)管理基礎(chǔ);

(7)是認(rèn)真開展定期和不定期網(wǎng)絡(luò)安全檢查工作,加強(qiáng)安全生產(chǎn)管理,做到責(zé)任落實(shí)、措施有力、監(jiān)督到位;

(8)加強(qiáng)電網(wǎng)運(yùn)行監(jiān)控,對重載、重要設(shè)備和老舊設(shè)備設(shè)施、重點(diǎn)部位進(jìn)行紅外線測溫工作,及時消除隱患缺陷,確保電網(wǎng)安全穩(wěn)定運(yùn)行;

(9)建立安全管理制度體系。制定《網(wǎng)絡(luò)管理制度》、《網(wǎng)絡(luò)與信息安全管理制度》、《計(jì)算機(jī)內(nèi)外網(wǎng)管理規(guī)定》等一整套計(jì)算機(jī)管理制度和規(guī)定,工作中嚴(yán)格執(zhí)行,形成了計(jì)算機(jī)網(wǎng)絡(luò)安全的制度保障;

(10)抽調(diào)公司業(yè)務(wù)骨干,組建網(wǎng)絡(luò)與安全工作小組,負(fù)責(zé)公司所有計(jì)算機(jī)的管理,明確各部門負(fù)責(zé)人是網(wǎng)絡(luò)安全管理第一責(zé)任人,并對重要的或的崗位簽定《保密工作責(zé)任書》;

(11)對公司每臺計(jì)算機(jī)都安裝了包括防火墻、入侵檢測、漏洞掃描、殺毒軟件等防病毒系統(tǒng),軟件及時升級,要求公司干部增強(qiáng)病毒防范意識,定期檢測和殺毒;

(12)對能上外網(wǎng)的部室上互聯(lián)網(wǎng)的計(jì)算機(jī)只設(shè)一個獨(dú)立IP,與內(nèi)網(wǎng)進(jìn)行絕對物理隔離;

(13)實(shí)行數(shù)據(jù)本地備份機(jī)制和異地容災(zāi)備份,確保各類數(shù)據(jù)安全。

4 計(jì)算器信息系統(tǒng)安全工作其他建議

4.1 強(qiáng)化計(jì)算機(jī)信息系統(tǒng)安全意識:由專業(yè)技術(shù)人員進(jìn)行安全維護(hù)

由于部分計(jì)算機(jī)系統(tǒng)是交予外包開發(fā),而計(jì)算機(jī)系統(tǒng)程序的開發(fā)人員不具備豐富的安全編程經(jīng)驗(yàn),極易造成漏洞產(chǎn)生。

4.2 定期進(jìn)行計(jì)算機(jī)信息系統(tǒng)安全檢測

通過國內(nèi)最全的計(jì)算機(jī)系統(tǒng)漏洞檢測庫,強(qiáng)大的蜜罐集群檢測系統(tǒng),第一時間為高危漏洞提供修復(fù)建議以及完整的解決方案。

4.3 實(shí)時監(jiān)控計(jì)算機(jī)信息系統(tǒng)安全狀況

目前越來越多的黑客利用計(jì)算機(jī)系統(tǒng)自身存在的安全漏洞進(jìn)入站點(diǎn)進(jìn)行掛碼等操作,甚至破壞、篡改、刪除站內(nèi)文件。對計(jì)算機(jī)系統(tǒng),特別是盈利企業(yè)的正常運(yùn)營帶來了極大的影響。在此推薦運(yùn)用計(jì)算機(jī)信息系統(tǒng)安全漏洞檢測工具,利用它們,我們可以提前發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)存在的安全漏洞,并進(jìn)行針對性操作以避免由此帶來的計(jì)算機(jī)信息系統(tǒng)安全隱患。對于進(jìn)行過計(jì)算機(jī)系統(tǒng)優(yōu)化操作的站點(diǎn)來講,計(jì)算機(jī)系統(tǒng)掛馬有可能影響計(jì)算機(jī)系統(tǒng)打開速度、內(nèi)容以及功能結(jié)構(gòu)。這些都是影響計(jì)算機(jī)系統(tǒng)排名的重要因素,計(jì)算機(jī)系統(tǒng)因此被K也不無可能。

5 結(jié)束語

計(jì)算機(jī)安全系統(tǒng)一旦被掛馬,將會在各種搜索引擎的結(jié)果中被攔截,客戶桌面客戶端的殺毒軟件會阻斷用戶訪問并報警,將會導(dǎo)致網(wǎng)站訪問量急劇下滑及用戶數(shù)據(jù)被竊取的后果。網(wǎng)站設(shè)計(jì)者在設(shè)計(jì)網(wǎng)站時,一般將大多數(shù)精力都花在考慮滿足用戶應(yīng)用,如何實(shí)現(xiàn)業(yè)務(wù)等方面,而很少考慮網(wǎng)站開發(fā)過程中所存在的安全漏洞,這些漏洞在不關(guān)注信息系統(tǒng)安全的用戶眼里幾乎不可見,在正常的網(wǎng)站訪問過程中,這些漏洞也不會被察覺。但對于別有用心的攻擊者而言,這些漏洞很可能會對計(jì)算機(jī)系統(tǒng)帶來致使的傷害。

新興技術(shù)應(yīng)用范圍日益拓展,網(wǎng)絡(luò)犯罪技術(shù)方式不斷革新,網(wǎng)絡(luò)安全損失日趨嚴(yán)重,計(jì)算機(jī)信息系統(tǒng)安全威脅將持續(xù)加大。因此,在未來勢必要完善信息安全策略,加強(qiáng)對網(wǎng)絡(luò)安全技術(shù)研發(fā)和人員培養(yǎng)來確保系統(tǒng)安全。

參考文獻(xiàn):

[1]龔奕.計(jì)算機(jī)網(wǎng)絡(luò)安全問題和對策研究[J].軟件導(dǎo)刊,2009(02).

[2]劉陽.淺談計(jì)算機(jī)網(wǎng)絡(luò)安全問題[J].科教文匯(下旬刊),2009(02).

[3]周.計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略分析[J].電腦知識與技術(shù),2009(05).

[4]盧鵬.計(jì)算機(jī)網(wǎng)絡(luò)安全及其防護(hù)策略探析[J].硅谷,2009(12).

篇7

[關(guān)鍵詞] 信息安全保障體系; 中國石油; 企業(yè)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

[中圖分類號] TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194(2012)09- 0089- 02

1 信息安全保障體系概述

信息安全保障(Information Assurance,IA)來源于1996年美國國防部DoD指令5-3600.1(DoDD5-3600.1)。其發(fā)展經(jīng)歷了通信安全、計(jì)算機(jī)安全、信息安全直至現(xiàn)在的信息安全保障。內(nèi)容包括保護(hù)(Protection)、檢測(Detection)、響應(yīng)(Response)、恢復(fù)(Recovery) 4個環(huán)節(jié),即PDRR模型。

信息安全保障體系分為人員體系、技術(shù)體系和管理體系3個層面,人員體系包括安全人員的崗位與職責(zé)、全體工作人員的安全管理兩部分。技術(shù)體系由本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及支撐性基礎(chǔ)設(shè)施組成。管理體系包括建立完善的信息安全管理體系、構(gòu)建自上而下的各級信息安全管理組織架構(gòu)、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護(hù),多處設(shè)置保護(hù)機(jī)制,抵御通過內(nèi)部或外部從多點(diǎn)向信息系統(tǒng)發(fā)起的攻擊,將信息系統(tǒng)的安全風(fēng)險降低到可以接受的程度。

2 國外信息安全保障體系建設(shè)

美國的信息化程度全球最高,在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)上的話語權(quán)等方面占據(jù)先天優(yōu)勢,他們在信息安全保障體系建設(shè)以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰(zhàn)略報告,將信息安全由“政策”、“計(jì)劃”上升到“國家戰(zhàn)略”及“國際戰(zhàn)略”的高度。美國國土安全局是美國信息安全管理的最高權(quán)力機(jī)構(gòu),其他負(fù)責(zé)信息安全管理和執(zhí)行的機(jī)構(gòu)有國家安全局、聯(lián)邦調(diào)查局、國防部、商務(wù)部等,主要根據(jù)相應(yīng)的方針和政策結(jié)合自己部門的情況實(shí)施信息安全保障工作。

其他國家也都非常重視信息安全保障工作。構(gòu)建可信的網(wǎng)絡(luò),建設(shè)有效的信息安全保障體系,實(shí)施切實(shí)可行的信息安全保障措施已經(jīng)成為世界各國信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達(dá)國家,如俄、德、日等國家都已經(jīng)或正在制定自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計(jì)劃,確保信息安全沿著正確的方向發(fā)展,在信息安全領(lǐng)域不斷進(jìn)行著積極有益的探索。

3 國內(nèi)信息安全保障體系建設(shè)

我國信息化安全保障體系建設(shè)相對于發(fā)達(dá)國家起步較晚,2003年9月,中央提出要在5年內(nèi)建設(shè)中國信息安全保障體系。2006年9月,“十一五”發(fā)展綱要提出科技“支撐發(fā)展”的重要思想,提出要提高我國信息產(chǎn)業(yè)核心技術(shù)自主開發(fā)能力和整體水平,初步建立有中國特色的信息安全保障體系。2007年7月20日,“全國重要信息系統(tǒng)安全等級保護(hù)定級工作電視電話會議”召開,標(biāo)志著信息安全等級保護(hù)工作在全國范圍內(nèi)的開展與實(shí)施。2011年3月《我國國民經(jīng)濟(jì)和社會發(fā)展十二五規(guī)劃綱要》明確提出加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作。通過一系列的文件要求,不斷完善與提升我國的信息安全體系,強(qiáng)調(diào)信息安全的重要性。

我國信息安全保障體系建設(shè)主要包括:① 加快信息安全立法、建立信息安全法制體系,做到有法可依,有法必依。② 建立國家信息安全組織管理體系,加強(qiáng)國家職能,建立職能高效、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系,建立信息安全標(biāo)準(zhǔn)和評價體系。③ 建立國家信息安全技術(shù)保障體系,使用科學(xué)技術(shù),實(shí)施安全的防護(hù)保障。④ 在技術(shù)保障體系下,建設(shè)國家信息安全保障基礎(chǔ)設(shè)施。⑤ 建立國家信息安全經(jīng)費(fèi)保障體系,加大信息安全投入。⑥ 高度重視人才培養(yǎng),建立信息安全人才培養(yǎng)機(jī)制。

我國通過近幾年的努力,信息安體保障體系取得了長足發(fā)展,2002年成立了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會,不斷完善信息安全標(biāo)準(zhǔn)。同時在互聯(lián)網(wǎng)管理、信息安全測評認(rèn)證、信息安全等級保護(hù)工作等方面取得了實(shí)質(zhì)性進(jìn)展,但CPU芯片、操作系統(tǒng)與數(shù)據(jù)庫、網(wǎng)關(guān)軟件仍大多依賴進(jìn)口,受制于人。

4 企業(yè)信息安全保障體系建設(shè)

中國石油集團(tuán)公司信息化建設(shè)在我國大型企業(yè)中處于領(lǐng)先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,公司將企業(yè)信息安全保障體系建設(shè)納入信息化整體規(guī)劃中,并逐步實(shí)施。其中涉及管理類項(xiàng)目3個,控制類項(xiàng)目3個,技術(shù)類項(xiàng)目5個。

管理類項(xiàng)目包括信息安全組織完善、信息安全運(yùn)行能力建設(shè)、風(fēng)險評估能力建設(shè)3個項(xiàng)目。信息安全組織完善是指完善信息安全的決策、管理與技術(shù)服務(wù)組織,合理配置崗位并明確職責(zé),建立完備的管理流程,為信息安全建設(shè)與運(yùn)行提供組織保障。信息安全運(yùn)行能力建設(shè)內(nèi)容包括建立統(tǒng)一、完備的信息安全運(yùn)行維護(hù)流程及組織IT運(yùn)行維護(hù)人員信息安全技能培訓(xùn),較快形成基本的信息安全運(yùn)行能力。風(fēng)險評估能力建設(shè)是指通過建立風(fēng)險評估規(guī)范及實(shí)施團(tuán)隊(duì),提高信息安全風(fēng)險自評估能力和風(fēng)險管理能力,強(qiáng)化保障體系的有效性。

信息安全控制類項(xiàng)目涉及信息安全制度與標(biāo)準(zhǔn)完善、基礎(chǔ)設(shè)施安全配置規(guī)范開發(fā)、應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施3個項(xiàng)目。信息安全制度與標(biāo)準(zhǔn)完善包括:① 初步構(gòu)建了制度和標(biāo)準(zhǔn)體系,了《信息系統(tǒng)安全管理辦法》及系統(tǒng)定級實(shí)施辦法。② 建立和完善了信息系統(tǒng)安全管理員制度,開展了信息安全培訓(xùn)。③ 跟蹤國家信息安全等級保護(hù)政策,開展信息系統(tǒng)安全測評方法研究等,規(guī)范了信息系統(tǒng)安全管理流程,提升安全運(yùn)行能力。基礎(chǔ)設(shè)施安全配置規(guī)范開發(fā)目標(biāo)是制定滿足安全域和等級保護(hù)要求的信息技術(shù)基礎(chǔ)設(shè)施安全配置規(guī)范,提高信息技術(shù)基礎(chǔ)設(shè)施的安全防護(hù)能力。應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施是提供專業(yè)的信息安全指導(dǎo)與服務(wù),支持國家等級保護(hù)、中國石油內(nèi)部控制等制度的實(shí)施,使信息化建設(shè)與應(yīng)用滿足合規(guī)性要求。

信息安全技術(shù)類項(xiàng)目由身份管理與認(rèn)證、網(wǎng)絡(luò)安全域?qū)嵤⒆烂姘踩芾怼⑾到y(tǒng)災(zāi)難恢復(fù)、信息安全運(yùn)行中心5個項(xiàng)目組成。身份管理與認(rèn)證是指建成集中身份管理與統(tǒng)一認(rèn)證平臺,實(shí)現(xiàn)關(guān)鍵和重要系統(tǒng)的用戶身份認(rèn)證,提高用戶身份管理效率,保證系統(tǒng)訪問的安全性。網(wǎng)絡(luò)安全域包括廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3項(xiàng)內(nèi)容。廣域網(wǎng)邊界防護(hù)是指將全國各地的中國石油單位的互聯(lián)網(wǎng)集中統(tǒng)一到16個區(qū)域網(wǎng)絡(luò)中心,員工受控訪問互聯(lián)網(wǎng)資源,并最終實(shí)現(xiàn)實(shí)名制上網(wǎng)。廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)項(xiàng)目指建立。區(qū)域間訪問與防護(hù)標(biāo)準(zhǔn)、數(shù)據(jù)中心防護(hù)標(biāo)準(zhǔn)。廣域網(wǎng)域內(nèi)防護(hù)將分離其他網(wǎng)絡(luò)并制定訪問策略,完善域內(nèi)安全監(jiān)控手段和技術(shù),規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)。桌面安全管理項(xiàng)目包括防病毒、補(bǔ)丁分發(fā)、端點(diǎn)準(zhǔn)入、后臺管理、電子文檔保護(hù)和信息安全等級保護(hù)綜合管理6個子系統(tǒng)。系統(tǒng)災(zāi)難恢復(fù)包括:① 對數(shù)據(jù)中心機(jī)房進(jìn)行了風(fēng)險評估,提出了風(fēng)險防范和改進(jìn)措施。② 對已上線的18個信息系統(tǒng)進(jìn)行業(yè)務(wù)影響分析,確定了災(zāi)難恢復(fù)關(guān)鍵指標(biāo)。③ 制定整體的災(zāi)備策略和災(zāi)難恢復(fù)系統(tǒng)方案。信息安全運(yùn)行中心旨在形成安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心,提高對信息安全事件的預(yù)警和響應(yīng)能力。

5 存在問題及建議

中國石油作為國資委超大型企業(yè)和能源工業(yè)龍頭企業(yè),集團(tuán)領(lǐng)導(dǎo)和各級領(lǐng)導(dǎo),一貫重視信息安全工作,在落實(shí)等級保護(hù)制度,加強(qiáng)信息安全基礎(chǔ)設(shè)施建設(shè),深入開展信息安全戰(zhàn)略、策略研究等方面,都取得的豐碩成果,值得其他企業(yè)借鑒。公司在信息安全保障體系建設(shè)中還存在以下問題:

(1) 信息安全組織體系不夠健全,不能較好地落實(shí)安全管理責(zé)任制。目前,部分二級單位沒有獨(dú)立的信息部門,更沒有負(fù)責(zé)安全體系建設(shè)、運(yùn)行和管理的專職機(jī)構(gòu),安全的組織保障職能分散在各個部門,兼職安全管理員有責(zé)無權(quán)的現(xiàn)象普遍存在,制約了中國石油信息安全保障體系建設(shè)的發(fā)展。需強(qiáng)制建立從上至下完善的管理體系,明確直屬二級單位的信息部門建設(shè),崗位設(shè)定、人員配備滿足對信息系統(tǒng)管理的需求。

篇8

關(guān)鍵詞:主動防御:信息科技;防御體系;管理體系

中圖分類號:F832.2 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-4392(2013)03-0075-03

一、引言

隨著信息科技的迅速發(fā)展,金融創(chuàng)新和經(jīng)濟(jì)發(fā)展越來越依賴于信息科技的支持,現(xiàn)階段各大商業(yè)銀行陸續(xù)開始啟動新一輪的核心系統(tǒng)建設(shè)、產(chǎn)品創(chuàng)新整合、流程銀行再造、現(xiàn)代化網(wǎng)點(diǎn)轉(zhuǎn)型、全面風(fēng)險管理等措施,彰顯出銀行業(yè)由業(yè)務(wù)與技術(shù)“互為促進(jìn)”轉(zhuǎn)為“相互融合”新的發(fā)展趨勢,如中國銀行按照“以客戶為中心”的設(shè)計(jì)理念順利投產(chǎn)“中國銀行核心銀行系統(tǒng)”,涵蓋客戶信息、賬戶管理、存貸匯產(chǎn)品等基礎(chǔ)功能模塊,與配套的幾十個系統(tǒng)構(gòu)建成一個全方位的銀行業(yè)務(wù)解決方案:中國工商銀行投產(chǎn)“中國工商銀行業(yè)務(wù)運(yùn)營風(fēng)險管理系統(tǒng)”,實(shí)現(xiàn)個人金融、銀行卡、會計(jì)等業(yè)務(wù)運(yùn)營事件風(fēng)險的識別、評估與管理功能;中國農(nóng)業(yè)銀行為促進(jìn)全行精細(xì)化管理水平的提升,推廣了新核算與報告系統(tǒng)、財務(wù)管理信息系統(tǒng)、固定資產(chǎn)管理系統(tǒng)等一系列財會支持系統(tǒng)。

為了提升服務(wù)質(zhì)量,提高工作效率與管理能效,各大商業(yè)銀行投產(chǎn)集中性強(qiáng),功能性廣的應(yīng)用系統(tǒng),確實(shí)實(shí)現(xiàn)了功能集中,實(shí)體集中,管理集中,卻忽略了如此龐大系統(tǒng)的維護(hù)難度,導(dǎo)致科技風(fēng)險的識別、計(jì)量、監(jiān)測和控制等方面出現(xiàn)不足,進(jìn)而影響了商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行。如何建立主動防御型信息科技安全體系,有效防御異常的發(fā)生,及時響應(yīng)并處理異常事件是各大商業(yè)銀行亟待解決的難題。

二、商業(yè)銀行信息科技安全體系存在的風(fēng)險

商業(yè)銀行信息科技安全體系主要由基礎(chǔ)設(shè)施、網(wǎng)絡(luò)系統(tǒng)、軟件系統(tǒng)、各類終端等組成,相應(yīng)的信息科技風(fēng)險可發(fā)生在每一環(huán)節(jié),信息科技風(fēng)險的諸多特點(diǎn)也增加了安全防御的難度。

(一)信息科技安全風(fēng)險特點(diǎn)

1 設(shè)備繁多,難以管理。各大商業(yè)銀行為了提高工作效率,提升綜合競爭力,不斷加大信息科技投入,從大型服務(wù)器、交換機(jī)到前臺業(yè)務(wù)終端,種類多數(shù)量廣,且重建設(shè)、輕管理的現(xiàn)象越來越重。各基層支行的設(shè)備安置不合理,網(wǎng)絡(luò)布線無條理,前端設(shè)備無序號等為風(fēng)險事件的發(fā)生埋下了隱患。近幾年,伴隨藍(lán)圖銀行核心系統(tǒng)的上線,業(yè)務(wù)飛速增長,離行柜員機(jī)、業(yè)務(wù)終端和辦公終端數(shù)量直線上升。柜員機(jī)的離行性和各類終端的特殊性決定了該類設(shè)備風(fēng)險高發(fā)特點(diǎn),出現(xiàn)了該類設(shè)備數(shù)量多。管理難的不利局面。

2 影響范圍廣,破壞性強(qiáng)。在當(dāng)前銀行數(shù)據(jù)大集中的背景下,一旦核心系統(tǒng)和主干網(wǎng)絡(luò)出現(xiàn)故障或受到攻擊,會立刻傳導(dǎo)到各分支結(jié)構(gòu)進(jìn)而引發(fā)連鎖反應(yīng),造成全行性的業(yè)務(wù)停頓及客戶流失的災(zāi)難性后果,同時也將波及與銀行業(yè)務(wù)有關(guān)的經(jīng)濟(jì)活動參與者,對銀行形象造成負(fù)面影響。

3 事件隱秘,難以發(fā)覺。目前,銀行主要業(yè)務(wù)流程均已實(shí)現(xiàn)信息化,業(yè)務(wù)的開展主要依托信息平臺。但是,系統(tǒng)自身的缺陷往往存在于系統(tǒng)底層,通過日常管理和維護(hù)難以發(fā)覺,只有經(jīng)過長期大規(guī)模應(yīng)用后才能逐漸被發(fā)覺,體現(xiàn)出較強(qiáng)的隱蔽性。此外,很多信息科技風(fēng)險外表相似性很強(qiáng),也為事件的排查、辨別增加了難度。

4 突發(fā)性強(qiáng),應(yīng)急響應(yīng)不及時。從科技風(fēng)險發(fā)生的過程來看,引發(fā)風(fēng)險事件的原因,如自然災(zāi)害、電子元器件故障、電力中斷和網(wǎng)絡(luò)癱瘓等因素具有不可預(yù)測性,一旦發(fā)生,將立即對銀行整體信息科技系統(tǒng)產(chǎn)生巨大的影響。短時間內(nèi)排查風(fēng)險、做出分析并解決問題,對基層銀行科技人員提出了更高的挑戰(zhàn)。

5 專業(yè)性強(qiáng),處理難度大。信息科技是金融業(yè)務(wù)與信息技術(shù)相結(jié)合的產(chǎn)物,兼具兩者的專業(yè)性特點(diǎn)。但隨著新興技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊,木馬釣魚,黑客病毒的技術(shù)水平越來越高,銀行的處理難度也越來越大,信息科技工作人員需要不斷地提升自身的技術(shù)水平和防范能力,才能有效的防范風(fēng)險、處理事件。

(二)信息科技安全風(fēng)險分析

1 基礎(chǔ)設(shè)施建設(shè)薄弱,資源管理不到位。在當(dāng)前核心業(yè)務(wù)發(fā)展和數(shù)據(jù)大集中的大背景下,商業(yè)銀行為了提高工作效率,在各類設(shè)備上肯下功夫,花大錢,致使設(shè)備出現(xiàn)消極的擴(kuò)散。首先,中心機(jī)房和設(shè)備間沒有合理的規(guī)劃,出現(xiàn)設(shè)備管理無條理,供電系統(tǒng)不完善,無熱備切換;其次,機(jī)房內(nèi)相應(yīng)的防火、防水、防鼠、防盜、防靜電、防雷擊(六防)設(shè)施安裝不到位,且沒有定期檢修;存儲介質(zhì)、電子設(shè)備等自身的老化和損壞也是常見風(fēng)險點(diǎn)。分行級的中心機(jī)房和支行級的設(shè)備間是銀行業(yè)務(wù)開展的基礎(chǔ)。基礎(chǔ)設(shè)施出現(xiàn)問題將會傳導(dǎo)到各分支結(jié)構(gòu)引發(fā)連鎖反應(yīng)。進(jìn)而造成全行性的業(yè)務(wù)停頓。

2 網(wǎng)絡(luò)安全系統(tǒng)復(fù)雜,病毒攻擊、網(wǎng)絡(luò)漏洞導(dǎo)致異常不斷發(fā)生。隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步和應(yīng)用需求的發(fā)展,網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍不斷擴(kuò)大,網(wǎng)絡(luò)風(fēng)險日趨復(fù)雜,網(wǎng)上銀行、手機(jī)銀行、電子支付等銀行新型業(yè)務(wù)和金融產(chǎn)品的出現(xiàn),使得計(jì)算機(jī)病毒、黑客入侵、內(nèi)部人員作案等犯罪活動不斷增多。網(wǎng)絡(luò)安全風(fēng)險變得更加嚴(yán)重和復(fù)雜。

3 系統(tǒng)軟件日趨龐大,系統(tǒng)的便捷性與運(yùn)行的可靠性失衡。核心業(yè)務(wù)的快速發(fā)展使得金融業(yè)務(wù)交易渠道不斷增加,系統(tǒng)與數(shù)據(jù)的大集中使得業(yè)務(wù)操作的便捷性得到很大提高,相應(yīng)的風(fēng)險也隨之加大。數(shù)據(jù)大集中雖統(tǒng)一了管理,減少了重復(fù)建設(shè),但會使業(yè)務(wù)數(shù)據(jù)經(jīng)過的網(wǎng)絡(luò)環(huán)節(jié)增加,致使系統(tǒng)運(yùn)行的可靠性逐步下滑,對相應(yīng)的系統(tǒng)管理模式和管理技術(shù)也提出了更高要求。

4 應(yīng)急預(yù)案不健全,未結(jié)合實(shí)際加強(qiáng)演練,導(dǎo)致出現(xiàn)問題不知從何人手。從目前情況看,各金融機(jī)構(gòu)一般都有自己的安全突發(fā)事件處理機(jī)制,但往往止于書面,且脫離本單位的實(shí)際情況,忽視平時的應(yīng)急演練。突發(fā)事件發(fā)生時不能嚴(yán)格按流程執(zhí)行,致使“機(jī)制”流于形式。長期的信息科技發(fā)展戰(zhàn)略和風(fēng)險防范策略也是各銀行的軟肋。

三、商業(yè)銀行主動防御型信息科技安全體系構(gòu)建

信息科技安全防御體系是一個全面防御風(fēng)險的完整體系,通過對上文商業(yè)銀行信息科技安全體系構(gòu)成存在的風(fēng)險分析。本文提出一種以主動防御為主的信息科技安全體系(Active Defense Information Scienceand Technology Safe System)。商業(yè)銀行信息科技防御體系應(yīng)從其基本構(gòu)成人手。根據(jù)目前信息科技安全管理中面臨的主要風(fēng)險,本著“實(shí)體可信,資源可管,事件可查,行為可控,運(yùn)行可靠”的總體安全策略進(jìn)行規(guī)劃。

(一)加強(qiáng)信息科技基礎(chǔ)設(shè)施建設(shè)。做到實(shí)體可信

實(shí)體可信,主要是通過對信息科技基礎(chǔ)設(shè)施,如供電設(shè)備、網(wǎng)絡(luò)基礎(chǔ)設(shè)備、系統(tǒng)服務(wù)器等加強(qiáng)建設(shè),達(dá)到標(biāo)準(zhǔn),為業(yè)務(wù)的開展提供有力保障。目前,各大商業(yè)銀行為了適應(yīng)業(yè)務(wù)快速發(fā)展和連續(xù)性運(yùn)行的要求。根據(jù)《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》和《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》,紛紛制定了業(yè)務(wù)連續(xù)性管理體系建設(shè)規(guī)劃。

針對分行級中心機(jī)房。應(yīng)將分布式防護(hù)變?yōu)榧惺椒雷o(hù)。將各部門的重要數(shù)據(jù)庫和信息系統(tǒng)服務(wù)器集中放置在中心機(jī)房,并在機(jī)房安裝大型UPS設(shè)備、機(jī)房專用空調(diào),部署機(jī)房環(huán)境監(jiān)控系統(tǒng),對電源、溫度和濕度等時刻進(jìn)行監(jiān)視。同時,機(jī)房應(yīng)具有良好的接地和防雷措施,增加防電磁輻射以及電源濾波設(shè)備,保證設(shè)備的電磁輻射安全。中心機(jī)房的基礎(chǔ)設(shè)備、物理環(huán)境是各大核心系統(tǒng)安全運(yùn)轉(zhuǎn)的有力保障。

針對支行級設(shè)備間,要重視設(shè)備間的重要性,設(shè)備間是銀行前端業(yè)務(wù)安全運(yùn)轉(zhuǎn)的核心支撐,其內(nèi)的網(wǎng)絡(luò)設(shè)備直接影響整個營業(yè)網(wǎng)點(diǎn)的正常營業(yè),要加大設(shè)備間的電力系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)的安全性,以中國銀行為例,在設(shè)備間建設(shè)過程中充分考慮各級要素的現(xiàn)實(shí)弱點(diǎn)、面臨的威脅并據(jù)此在風(fēng)險發(fā)生的可能性、影響范圍和程度方面做出綜合的風(fēng)險評估,通過對營業(yè)網(wǎng)點(diǎn)的設(shè)備間標(biāo)準(zhǔn)化改造,以定級評星的方式加強(qiáng)設(shè)備間的管理,很大地提高了基層營業(yè)網(wǎng)點(diǎn)的正常運(yùn)行能力和防災(zāi)抗險的性能。

(二)加強(qiáng)信息科技相關(guān)資源的責(zé)任制管理。做到資源可管

資源可管,主要是通過對信息科技相關(guān)的核心設(shè)備及軟件系統(tǒng),如網(wǎng)絡(luò)系統(tǒng)、終端系統(tǒng)進(jìn)行實(shí)名制登記,當(dāng)系統(tǒng)出現(xiàn)問題,可在第一時間聯(lián)系到使用者,有效了解問題的原因,以達(dá)到正確分析,及時處理的目的。為加強(qiáng)信息科技相關(guān)資源的管理,對路由器、交換機(jī)、服務(wù)器、數(shù)據(jù)庫、安全設(shè)備、IP地址、用戶賬號、服務(wù)端口等網(wǎng)絡(luò)資源進(jìn)行有效管理。尤其是支行、營業(yè)網(wǎng)點(diǎn)的離行柜員機(jī)、前端設(shè)備是異常事件的多發(fā)區(qū),離行柜員機(jī)的無人時時監(jiān)管,前端電腦位置的挪動,IP地址的修改,網(wǎng)絡(luò)布線的改動,外來設(shè)備的介入等均可能引起異常的發(fā)生,也為異常事件的查詢制造了障礙,分行相關(guān)部門應(yīng)對各類電子設(shè)備加強(qiáng)管理,登記造冊,責(zé)任到人。結(jié)合定期檢查與不定期抽查的方式對各類設(shè)備進(jìn)行有效管理,以實(shí)現(xiàn)資源可管。

(三)完善網(wǎng)絡(luò)系統(tǒng)安全建設(shè),做到行為可控

首先,統(tǒng)一規(guī)劃,分級保護(hù)。銀行應(yīng)根據(jù)集約化經(jīng)營管理需要,統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計(jì)、統(tǒng)一實(shí)施、統(tǒng)一管理,采用防火墻、VLAN、訪問控制等技術(shù)對各種不同安全等級的業(yè)務(wù)進(jìn)行安全隔離。其次,做好病毒防護(hù)。應(yīng)部署集中控管的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng),在服務(wù)器上統(tǒng)一設(shè)置病毒查殺策略,通過服務(wù)器對各個客戶端進(jìn)行自動定期更新病毒防護(hù)程序和系統(tǒng)補(bǔ)丁。再次,在應(yīng)用終端建立桌面管理系統(tǒng)和計(jì)算機(jī)病毒防治系統(tǒng),采用安全域管理等技術(shù)實(shí)現(xiàn)桌面終端的集中管理,支持辦公軟件、防病毒軟件等應(yīng)用軟件的統(tǒng)一部署和升級。

(四)強(qiáng)化網(wǎng)絡(luò)系統(tǒng)監(jiān)測,做到事件可查

事件可查,是指對網(wǎng)絡(luò)上的各類違規(guī)事件進(jìn)行監(jiān)控記錄,確保日志記錄的完整性,為安全事件稽查、取證提供依據(jù)。通過科技手段對全行網(wǎng)絡(luò)進(jìn)行監(jiān)控,如配置網(wǎng)絡(luò)入侵檢測系統(tǒng)和網(wǎng)絡(luò)安全檢測預(yù)警系統(tǒng),增加入侵檢測、漏洞掃描、非法外聯(lián)、補(bǔ)丁分發(fā)等安全管理工具,進(jìn)行定時監(jiān)控、事件管理和鑒定分析,以提高自身的動態(tài)防御能力。針對以上的種種措施,要及時做好日志保存,在出現(xiàn)異常時能夠及時查詢,有效處理。終端防護(hù)是防御系統(tǒng)的邊界地帶,也是薄弱環(huán)節(jié),涉及到業(yè)務(wù)的辦理,文件的交互,要通過身份認(rèn)證機(jī)制控制使用,實(shí)施“誰使用,誰負(fù)責(zé)”的管理制度,做到出現(xiàn)問題隨時可查、及時處理。

篇9

2013年,寧夏黃河農(nóng)村商業(yè)銀行(以下簡稱黃河農(nóng)商行)圍繞“以客戶為中心、風(fēng)險控管、量化考核、科學(xué)決策”的主線,加快信息化建設(shè)步伐,在確保信息系統(tǒng)總體平穩(wěn)運(yùn)行的同時,從客戶、產(chǎn)品、渠道三個維度延伸,從業(yè)務(wù)、流程、技術(shù)三個層面逐步展開,構(gòu)建安全高效的信息科技系統(tǒng),建立豐富的電子化服務(wù)渠道,鋪開了自身金融電子化的“九宮格”。

第一格:應(yīng)用新技術(shù),提升客戶服務(wù)水平。2013年,黃河農(nóng)商行率先在寧夏地區(qū)使用智能叫號預(yù)填單系統(tǒng),項(xiàng)目二期大堂助手及后臺管理系統(tǒng)也于2014年開發(fā)完成后上線。同時,該行通過優(yōu)化前臺圖形界面系統(tǒng),大大提高了系統(tǒng)的性能及穩(wěn)定性,增加柜面交易聯(lián)動聯(lián)網(wǎng)核查功能,積極推動基于圖形界面的遠(yuǎn)程集中授權(quán)系統(tǒng)在全行范圍的應(yīng)用。目前,黃河農(nóng)商行圖形界面使用率達(dá)到98%。另外,該行還借力移動互聯(lián)網(wǎng)技術(shù)發(fā)展,完成了微信銀行、移動營銷系統(tǒng)建設(shè)。

第二格:加快應(yīng)用系統(tǒng)建設(shè),提升產(chǎn)品創(chuàng)新能力。2013年5月,黃河農(nóng)商行首張借記IC卡正式發(fā)行,標(biāo)志著黃河農(nóng)商行卡正式邁向“芯時代”。而后,黃河貸記卡、黃河富民卡等特色產(chǎn)品,在經(jīng)過充分的調(diào)研與測試后也相繼發(fā)放。該行還建立了全行級客戶關(guān)系管理系統(tǒng),統(tǒng)一客戶視圖,實(shí)現(xiàn)了基本客戶信息數(shù)據(jù)統(tǒng)一管理、信息共享。該行二代農(nóng)信銀系統(tǒng)、二代支付系統(tǒng)已于2014年正式上線。

第三格:加強(qiáng)與第三方互聯(lián)互通,推動外聯(lián)渠道服務(wù)。金融便民服務(wù)自助終端平臺、二期交易平成了開發(fā)測試工作后上線。黃河農(nóng)商行第一臺“萬村千鄉(xiāng)”終端正式開通,實(shí)現(xiàn)了刷卡消費(fèi)、轉(zhuǎn)賬匯款、小額取現(xiàn)、支付繳費(fèi)等金融服務(wù)。通過“數(shù)字社區(qū)”與“萬村千鄉(xiāng)”工程的開展,架起了現(xiàn)代金融服務(wù)群眾的“直通車”,縮短了客戶與金融機(jī)構(gòu)間的距離。該行加強(qiáng)與人社廳業(yè)務(wù)合作,積極推進(jìn)社保一卡通平臺建設(shè),完成了與醫(yī)療和養(yǎng)老系統(tǒng)、醫(yī)院、藥店前端結(jié)算系統(tǒng)聯(lián)調(diào)測試并上線。

第四格:積極推進(jìn)管理系統(tǒng)建設(shè),提升內(nèi)部管理水平。2013年啟動了審計(jì)管理系統(tǒng)項(xiàng)目建設(shè),經(jīng)過需求討論、開發(fā)建設(shè)、測試運(yùn)行、優(yōu)化調(diào)整、培訓(xùn)推廣等多個環(huán)節(jié),系統(tǒng)于2014年正式上線運(yùn)行。評級授信系統(tǒng)建設(shè)項(xiàng)目于2014年1月正式上線,結(jié)束了黃河農(nóng)商行系統(tǒng)長期以來利用手工進(jìn)行貸款評級、額度測算及統(tǒng)計(jì)的階段,實(shí)現(xiàn)了對單一客戶、集團(tuán)客戶進(jìn)行統(tǒng)一授信和限額管理。

第五格:推進(jìn)基礎(chǔ)平臺建設(shè),規(guī)范數(shù)據(jù)標(biāo)準(zhǔn),加強(qiáng)項(xiàng)目管控。一是建立了新資本監(jiān)管統(tǒng)一數(shù)據(jù)報送平臺,以實(shí)現(xiàn)信息交互、數(shù)據(jù)共享和統(tǒng)一風(fēng)險管理;二是構(gòu)建了全行統(tǒng)一的業(yè)務(wù)數(shù)據(jù)管理平臺――ODS數(shù)據(jù)平臺,實(shí)現(xiàn)信息和產(chǎn)品的整合,提供靈活的數(shù)據(jù)及報表訪問機(jī)制;三是建設(shè)統(tǒng)一項(xiàng)目管理平臺,規(guī)范項(xiàng)目從需求受理到投產(chǎn)上線的整個工作機(jī)制,保證項(xiàng)目管理規(guī)范化、執(zhí)行透明化、監(jiān)控精細(xì)化。

第六格:加強(qiáng)新技術(shù)的應(yīng)用,提升基礎(chǔ)設(shè)施服務(wù)保障能力。通過引入運(yùn)維堡壘機(jī)項(xiàng)目,進(jìn)一步規(guī)范運(yùn)維用戶管理、操作審核、實(shí)施監(jiān)督、留檔備審等多方面的管理需求;通過對刀片服務(wù)器、VMWARE虛擬化、卡業(yè)務(wù)小型機(jī)等基礎(chǔ)設(shè)施進(jìn)行改造升級,采用高可用或虛擬化等技術(shù)手段保障系統(tǒng)設(shè)備運(yùn)行的安全性和可靠性,在提升硬件性能,滿足后續(xù)業(yè)務(wù)擴(kuò)展對硬件設(shè)備的需求的前提下,進(jìn)一步增強(qiáng)了系統(tǒng)安全性能。

第七格:推進(jìn)災(zāi)備中心、二路市電項(xiàng)目建設(shè),保障業(yè)務(wù)持續(xù)發(fā)展。為進(jìn)一步滿足監(jiān)管要求,提升業(yè)務(wù)連續(xù)性管理水平,2013年,該行啟動了同城災(zāi)備、二路市電項(xiàng)目建設(shè)工作,重點(diǎn)加強(qiáng)電力、通信和消防等基礎(chǔ)保障性工作,通過建立對供電、通訊與主要設(shè)備的冗余備份機(jī)制,不斷加強(qiáng)容災(zāi)能力,更好地保障了數(shù)據(jù)安全及系統(tǒng)穩(wěn)定運(yùn)行。

第八格:加強(qiáng)運(yùn)維安全管理,全面提升基礎(chǔ)設(shè)施安全水平。一是實(shí)施了互聯(lián)網(wǎng)絡(luò)安全加固。2013年,黃河農(nóng)商行部署了負(fù)載均衡設(shè)備、網(wǎng)頁防篡改、NTP服務(wù)器等設(shè)備,分離互聯(lián)網(wǎng)出口通道,將生產(chǎn)網(wǎng)絡(luò)與辦公互聯(lián)網(wǎng)絡(luò)進(jìn)行了嚴(yán)格的隔離,既滿足了監(jiān)管標(biāo)準(zhǔn)的要求,又提升了黃河農(nóng)商行網(wǎng)絡(luò)安全運(yùn)行能力。二是梳理基礎(chǔ)硬件設(shè)施風(fēng)險點(diǎn)。通過對主機(jī)、網(wǎng)絡(luò)、機(jī)房設(shè)備等基礎(chǔ)設(shè)施進(jìn)行深層次“體檢”,積極進(jìn)行整改加固,在一定程度上降低了系統(tǒng)運(yùn)行風(fēng)險。

篇10

關(guān)鍵詞:DDN網(wǎng)絡(luò)系統(tǒng) 風(fēng)險評估 控制對策

0 引言

DDN(DIGITAL DATA NETWORK)數(shù)字?jǐn)?shù)據(jù)網(wǎng)主要由數(shù)字傳輸電路和相對應(yīng)的數(shù)字交叉復(fù)用設(shè)備構(gòu)成,采用光纜、數(shù)字微波和衛(wèi)星信道等數(shù)字信道提供永久性或半永久性的連接電路,為用戶提供專門的傳輸數(shù)據(jù)信號的通信網(wǎng)絡(luò)。采用DDN專線接入具有延時較短,便于開通、調(diào)配信道的優(yōu)點(diǎn),使用戶可以開通各種信息業(yè)務(wù),傳輸任何合適的信息。空管分局DDN網(wǎng)絡(luò)系統(tǒng)是民航地區(qū)空管局信息網(wǎng)絡(luò)的一部分,它充分利用DDN的技術(shù)特性,開通雷達(dá)、自動轉(zhuǎn)報、甚高頻遙控、航空氣象、語音數(shù)據(jù)等業(yè)務(wù),成為空管分局的綜合業(yè)務(wù)傳輸平臺,作為空管系統(tǒng)的通信基礎(chǔ)設(shè)施之一,其正常運(yùn)行關(guān)系到多種空管通信、導(dǎo)航和監(jiān)視設(shè)備的運(yùn)行正常,對飛行安全工作的保障具有重要意義。

各空管分局的DDN網(wǎng)絡(luò)系統(tǒng)作為空管系統(tǒng)的通信基礎(chǔ)設(shè)施,確保其安全穩(wěn)定運(yùn)行的必要性毋庸置疑。為確保其持續(xù)安全,必須對其開展定期的運(yùn)行風(fēng)險評估,或在運(yùn)行環(huán)境發(fā)生重大變化時開展特定條件下的運(yùn)行風(fēng)險評估,通過深入分析尋求有針對性的風(fēng)險控制對策,從而降低系統(tǒng)運(yùn)行風(fēng)險,進(jìn)一步提高該系統(tǒng)的防范風(fēng)險和應(yīng)對突發(fā)事件的保障能力。從而促進(jìn)整個空管信息網(wǎng)絡(luò)的安全運(yùn)行。下面,筆者結(jié)合自己從事空管分局DDN網(wǎng)絡(luò)日常維護(hù)工作的多年實(shí)踐,對空管分局的DDN網(wǎng)絡(luò)系統(tǒng)的風(fēng)險評估方法及相應(yīng)的控制對策制定的基本思路做一個簡單的闡述。

1 DDN網(wǎng)絡(luò)系統(tǒng)的組成及風(fēng)險評估范圍

空管分局DDN網(wǎng)絡(luò)系統(tǒng)是民航地區(qū)空管局信息網(wǎng)絡(luò)的一部分,它充分利用DDN的技術(shù)特性,開通雷達(dá)、自動轉(zhuǎn)報、甚高頻遙控、航空氣象、語音數(shù)據(jù)等業(yè)務(wù),成為空管分局的綜合業(yè)務(wù)傳輸平臺。該系統(tǒng)主要由核心路由器以及與之相連的各業(yè)務(wù)接入端口,以及為這些業(yè)務(wù)接入所配套的接入或復(fù)用設(shè)備組成。

分局站DDN網(wǎng)絡(luò)系統(tǒng)的風(fēng)險評估,將評估邊界確定為核心路由器以及與之相連的各業(yè)務(wù)接入端口,以及為這些業(yè)務(wù)接入所配套的接入或復(fù)用設(shè)備。評估工作的依據(jù)即規(guī)范性文件為《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和《信息安全技術(shù)-信息安全風(fēng)險評估規(guī)范》(GB/T 20984-2007)。根據(jù)評估結(jié)果,一般將系統(tǒng)風(fēng)險等級設(shè)為高、中、低三個等級。

2 威脅分析

2.1 威脅來源的分析和認(rèn)定 通過對分局DDN網(wǎng)絡(luò)系統(tǒng)管理、維護(hù)和日常運(yùn)行等各具體業(yè)務(wù)開展情況的綜合分析,我們不難確定該系統(tǒng)的威脅來源,通常為非故意人為因素,環(huán)境因素及故障兩個方面。具體而言,非故意人為因素通常來源于操作失誤,機(jī)房環(huán)境(室溫、濕度、靜電干擾)不符要求和設(shè)備硬件故障則成為環(huán)境因素和故障威脅來源。

2.2 威脅分析的具體操作方法

2.2.1 維護(hù)操作失誤 影響維護(hù)操作失誤的主要因素有:一是設(shè)備維護(hù)人員在專業(yè)技術(shù)水平;二是設(shè)備維護(hù)人員在開展日常的維護(hù)操作工作過程中,對于已有的設(shè)備維護(hù)規(guī)章制度、維修維護(hù)操作實(shí)施細(xì)則是否能規(guī)范執(zhí)行?三是維護(hù)人員的管理者執(zhí)行監(jiān)控運(yùn)行規(guī)章制度的能力大小。我們通過對以上列舉的三方面因素造成的威脅能力、威脅意圖的具體深入分析,不難確定維護(hù)操作失誤相應(yīng)于DDN網(wǎng)絡(luò)系統(tǒng)的威脅等級。

2.2.2 機(jī)房環(huán)境條件 機(jī)房環(huán)境條件最主要的是溫度、濕度和靜電三項(xiàng)因素,同時還包括機(jī)房環(huán)境配套的監(jiān)測裝置和技術(shù)手段。由于上述裝置和手段對于機(jī)房環(huán)境影響很大,因此機(jī)房的溫濕度環(huán)境是否在設(shè)備技術(shù)說明書要求的范圍內(nèi)?機(jī)務(wù)維護(hù)人員在日常的設(shè)備維護(hù)操作中是否能采取專門的防靜電措施(如佩戴防靜電護(hù)腕拔插電路板)?這些因素造成的威脅意圖和威脅能力需要我們重點(diǎn)分析,最終為機(jī)房環(huán)境對于DDN網(wǎng)絡(luò)系統(tǒng)的威脅明確定級。

2.2.3 設(shè)備硬件故障 空管分局DDN網(wǎng)絡(luò)系統(tǒng)由核心路由器以及與之相連的雷達(dá)、自動轉(zhuǎn)報、甚高頻遙控、航空氣象、語音數(shù)據(jù)等業(yè)務(wù)接入端口,以及為這些業(yè)務(wù)接入所配套的多種接入或復(fù)用設(shè)備構(gòu)成。上述設(shè)備的主用、備用系統(tǒng)配置情況及故障時的切換方式,關(guān)鍵設(shè)備板件、接頭的儲備情況,是設(shè)備保障的關(guān)鍵點(diǎn),也是分析威脅意圖和威脅能力的關(guān)鍵所在,由此我們可判斷硬件故障對于分局DDN網(wǎng)絡(luò)系統(tǒng)的威脅等級處于哪級?

通過對上述三方面的綜合考量,不難判定系統(tǒng)威脅等級所處的級別。

3 脆弱性分析

通常從管理、技術(shù)兩大角度開展脆弱性識別。

3.1 技術(shù)脆弱性分析 影響技術(shù)脆弱性的主要因素有:一是設(shè)備的硬件及配套軟件是否獲得民航行業(yè)主管部門的入網(wǎng)許可證?二是生產(chǎn)廠家售后服務(wù)如何,包括配套的系統(tǒng)軟件升級服務(wù)和響應(yīng)時間?三是軟件系統(tǒng)登錄是否采用嚴(yán)格的用戶分級管理和復(fù)雜的密令策略?四是是否由專業(yè)技術(shù)人員從事日常運(yùn)行維護(hù)工作?五是DDN網(wǎng)絡(luò)系統(tǒng)與其它網(wǎng)絡(luò)的物理隔離性如何(一般不能與其他網(wǎng)絡(luò)互聯(lián))?

3.2 管理脆弱性 影響管理脆弱性的主要因素包括:一是設(shè)備維護(hù)制度、維修規(guī)程和應(yīng)急處置預(yù)案的完備性;二是系統(tǒng)安全運(yùn)行的組織管理水平,即由機(jī)房現(xiàn)場管理、人員管理水平?jīng)Q定的環(huán)境安全性;三是系統(tǒng)安全運(yùn)行的技術(shù)管理水平,即設(shè)備定期維護(hù)制度的執(zhí)行情況、業(yè)務(wù)培訓(xùn)組織和應(yīng)急演練實(shí)效性。

4 現(xiàn)有控制措施有效性分析

空管分局DDN網(wǎng)絡(luò)系統(tǒng)通常采用以下風(fēng)險控制措施:一是要求維護(hù)人員嚴(yán)格執(zhí)行設(shè)備定期維護(hù)巡檢制度,即維護(hù)周期為周、月、季、年的定期維護(hù)(實(shí)施內(nèi)容由簡到繁)和每日分時的巡檢制度;二是及時開展有針對性的維護(hù)人員設(shè)備專業(yè)培訓(xùn)(根據(jù)設(shè)備軟硬件更新變動情況);三是詳細(xì)可行的應(yīng)急處置預(yù)案,并定期組織演練,實(shí)時調(diào)整優(yōu)化。

評估上述控制措施的有效性要把握點(diǎn)、線、面相結(jié)合的原則,既有就事論事的具體分析,也有統(tǒng)籌兼顧的綜合分析。一是對比控制措施實(shí)施前后的系統(tǒng)運(yùn)行狀況,二是深入分析影響信息網(wǎng)絡(luò)安全運(yùn)行的事件(如存在),三是分析具體的維護(hù)記錄。為確保分析的準(zhǔn)確性,選取的案例要有針對性,具體真實(shí)、分析客觀。通過分析最終確定控制措施有效性所處于的等級。

5 風(fēng)險分析

經(jīng)過上述過程,我們可以得到最終的風(fēng)險分析結(jié)果。

首先是根據(jù)威脅等級和脆弱性等級分析結(jié)果確定風(fēng)險概率分析過程中間結(jié)果。

從威脅等級、脆弱性等級分析結(jié)果均為“低”,可以確定風(fēng)險概率分析過程中間結(jié)果也為“低”。

然后根據(jù)風(fēng)險概率矩陣表,得出風(fēng)險概率最終結(jié)果。

6 風(fēng)險控制對策

根據(jù)上述對分局DDN網(wǎng)絡(luò)系統(tǒng)運(yùn)行情況風(fēng)險分析的結(jié)果,可以最終確定該系統(tǒng)的風(fēng)險處于什么級別。

處于風(fēng)險高級別的DDN網(wǎng)絡(luò)系統(tǒng),要反復(fù)審視其風(fēng)險分析過程,特別是要考量僅僅在現(xiàn)有的系統(tǒng)架構(gòu)上針對具體的威脅來源進(jìn)行改進(jìn),對于降低該系統(tǒng)風(fēng)險是否有決定性作用,特別重視從脆弱性角度評估系統(tǒng)正常運(yùn)行的可持續(xù)性,打破原有思維定式進(jìn)行改進(jìn)。在多次改進(jìn)仍無法將風(fēng)險降至低等級的,要對現(xiàn)有DDN網(wǎng)絡(luò)系統(tǒng)進(jìn)行升級改造或重建。

對于風(fēng)險處于中級別的DDN網(wǎng)絡(luò)系統(tǒng),主要采用對癥下藥的改進(jìn)方法,依據(jù)風(fēng)險分析過程,逐一有針對性的改進(jìn)具體的威脅來源,從脆弱性角度進(jìn)行技術(shù)和管理分析,逐一驗(yàn)證每一項(xiàng)控制措施的有效性,改進(jìn)完成后,重新組織評估工作,直到確定該系統(tǒng)風(fēng)險處于低級別。

通過評估判斷為風(fēng)險低級別的DDN網(wǎng)絡(luò)系統(tǒng),說明其現(xiàn)有的控制措施有效性,必須繼續(xù)嚴(yán)格執(zhí)行現(xiàn)行的有效控制措施,從業(yè)務(wù)培訓(xùn)、專業(yè)維護(hù)、運(yùn)行管理等方面加強(qiáng)對DDN網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)檢查,提高設(shè)備運(yùn)行可靠性,以重點(diǎn)系統(tǒng)設(shè)備(如核心路由器、接入復(fù)用設(shè)備等)、重點(diǎn)系統(tǒng)用戶/服務(wù)對象(如上/下級個節(jié)點(diǎn)系統(tǒng)、管制部門、雷達(dá)飛行數(shù)據(jù)處理系統(tǒng)、應(yīng)急自動化系統(tǒng)等)的實(shí)時監(jiān)控為工作重點(diǎn),加強(qiáng)監(jiān)控系統(tǒng)及重點(diǎn)用戶的使用狀況,及時排除問題,重視應(yīng)急處置訓(xùn)練,提高專業(yè)技術(shù)人員的應(yīng)急處置能力。