時間:2023-06-18 10:46:38
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全審計培訓,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:山區道路;安全審計;內容;步驟
道路安全審計(RoadSafelyAudits,簡稱RSA)是從預防交通事故、降低事故產生的可能性和嚴重性人手,對道路項目建設的全過程,即規劃、設計、施工和服務期進行全方位的安全審核,從而揭示道路發生事故的潛在危險因素及安全性能,是國際上近期興起的以預防交通事故和提高道路交通安全為目的的一項新技術手段。其目標是:確定項目潛在的安全隱患;確保考慮了合適的安全對策;使安全隱患得以消除或以較低的代價降低其負面影響,避免道路成為事故多發路段;保障道路項目在規劃、設計、施工和運營各階段都考慮了使用者的安全需求,從而保證現已運營或將建設的道路項目能為使用者提供最高實用標準的交通安全服務。
一、道路安全審計的起源與發展
1991年,英國版的《公路安全審計指南》問世,這標志著安全審計有了系統的體系。從1991年4月起,安全審計成為英國全境主干道、高速公路建設與養護工程項目必須進行的程序,使英國成為安全審計的重要發起與發展國。而我國則是在20世紀90年代中期開始發展安全審計,主要有兩個渠道:①以高等院校為主的學者通過國際學術交流與檢索國外文獻,從理論體系的角度引入道路安全審計的理論;②通過世界銀行貸款項目的配套科研課題。在工程領域開展道路安全審計的實踐。
目前,在澳大利亞、丹麥、英國、冰島、新西蘭和挪威等國已定期地執行道路安全審計,德國、芬蘭、法國、意大利、加拿大、荷蘭、葡萄牙、泰國以及美國正處于實驗或試行階段,其他許多國家也在就道路安全審計的引入進行檢驗,比如希臘等國家。國外研究表明,道路安全審計可有效地預防交通事故,降低交通事故數量及其嚴重度,減少道路開通后改建完善和運營管理費用,提升交通安全文化,其投資回報是15~40倍。
道路安全審計在我們道路建設中的重要性,不僅僅是在提高安全性方面,對經濟性也有幫助。而山區道路的安全比起一般道路來講,就更應該引起我們的注意,畢竟山區道路的崎嶇以及地勢的高低相對與一般道路對駕駛者來說是一個很大的挑戰,而且其發生事故的死亡率也比其他道路高很多,因此,審計對于山區道路來說是至關重要的。
二、山區道路安全審計內容
加拿大等國家認為,在項目建設的初步設計階段進行道路安全審計最重要、最有效,因而早期的道路安全審計主要重點是在項目建設的初步設計階段。現世界各國都普遍認為可在已運營的道路和擬建道路項目建設期的全過程實行安全審計,即在規劃或可行性研究、初步設計、施工圖設計、道路通車前期(預開通)和開通服務期(后評估階段)都有所側重地實行審計。山區道路安全審計同樣與其他道路的安全審計工作內容一樣。
三、審計要素
典型的道路安全審計過程為:組建審計組+設計隊介紹項目情況及提供資料+項目實施考察-安全性分析研究-編寫安全審計報告+審計組介紹項目審計結果+設計隊研究、編寫響應報告-審計報告及響應報告共同構成項目安全文件。
整個安全審計的時間一般為兩周左右。為保證安全審計的質量,審計組人員的構成至關重要。審計組的人數依項目的規模大小一般由26人組成,審計組應由不同背景、不同經歷、受過培訓、經驗豐富、獨立的人員(與設計隊無直接關聯)組成。審計人員一般應具備交通安全、交通工程、交通運行分析、交通心理、道路設計、道路維護、交通運營及管理、交通法律法規等方面的知識,應保證審計組人員相互間能平等、自由地交流、討論和商議安全問題。審計人員應本著對社會(用戶)負責的態度、安全第一的觀點,依據道路標準規范,對項目各種設計參數、弱勢用戶、氣候環境等的綜合組合,展開道路安全審計。道路安全審計人員(審計組)與設計人員(設計隊)的區別在于:設計人員需要綜合考慮項目投資、土地、政治、地理、地形、環境、交通、安全等方方面面的因數,限于經驗、時間的約束,對安全問題難免有所偏頗。而安全審計人員不考慮項目投資、建設背景等因數,僅僅考慮安全問題,只提安全建議,最后由設計人員決定:采納、改進或不采納。因而可以說道路安全審計的關鍵點為:它是一個正式的、獨立進行的審計過程,須由有經驗的、有資格的人員從事這一工作,要考慮到道路的各種用戶,最重要的一點是只考慮安全問題。
安全審計報告一般應包括:設計人及審計組簡述、審計過程及日期、項目背景及簡況、圖紙等,對確認的每一個潛在危險因素都應闡述其地點、詳細特征、可能引發的事故(類型)、事故的頻率及嚴重度評估、改進建議及該建議的可操作性(實用性)等。審計報告應易于被設計人員接受并實施。響應報告應由項目設計人員編寫,其內容—般應包括:對審計報告指出的安全缺陷是否接受,如不接受應闡述理由,對每一改進建議應一一響應,采納、部分采納或不采納,并闡明原因。
四、現有山區道路的安全審計
對現狀山區道路進行安全審計,主要評估現狀道路潛在事故危險性,同時提出改進措施以降低未來發生事故的可能性。現狀道路的安全審計與新建道路相類似,也需進行上面所提到的工作,但現場調查以及評估資料及文件這兩步與新建道路有所不同。此時事故資料被作為欲審計資料的重要組成部分,同時該資料也包括可能導致事故發生潛在性的一些不利因素的詳細資料。
理想的關于現狀道路網的安全審計應該建立在有規律的基礎之上。它可以以連續幾年審計的結果為基礎,采用滾動式的審計方式對路網中的每條道路都進行評估。對于里程較長的道路(一般>100km),其安全審計工作可按兩階段進行,即初步審計階段和詳細審計階段。前者主要對道路總體上進行粗略審計,給出存在的主要問題及所處位置,后者則對找到的問題進行進一步的詳細分析并提出相應的改進建議。對里程較短的道路(<30km)可直接進行第二階段的工作。而對里程在30km~100km的道路,兩階段審計工作可根據具體情況靈活進行。
由于欲審計道路已修建完成并已經運營,此時現場調查就顯得非常重要。不管是擬建道路或已建道路、線內工程還是線外工程,安全審計工作必須全方位細致地進行。要考慮不同道路使用者對道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得駕駛員的心理產生恐懼;②半徑太小可能使得駕駛員無法在規定視距范圍內看到對方;③山體的穩定性也可能會影響到駕駛員。
另外,現狀山區道路的安全審計工作還要調查不同的道路類型,例如白天、黑夜、干燥、潮濕等情況對道路的影響。此外,對現有道路網絡的安全審計可結合養護工作同時進行,這樣可減少相應的成本費用。
五、我國山區道路的審計現狀及問題和解決方法
5.1審計現狀及問題
由于目前審計這個名詞在國內還算比較新鮮,國外從起步發展到現在也不過十來年的時間,各方面都只是處于實驗或者是試行階段,并沒有固定的一套理論依據。而我國相對外國來說又是落后了好幾年,因此我國現在總體的審計現狀也就處于探索階段,各個方面也是處于起步階段,不可能對各個方面的審計工作做到非常的完善。而道路的審計不過是眾多審計工作中的一小部分,由于其本身的“新鮮性”,又對審計人員的要求較高,西部一些貧困地區教育跟不上,審計的人才缺乏也不是沒有可能,設備等亦未全部到位。山區道路安全審計工作的開展較一般道路可能要更加的困難,因為山區道路多是停山臨崖,彎道又多,坡度又大等各方面因素是其工作的開展要難與一般道路;更有甚者像那些偏僻地區的山區道路,可能路面的質量都無法保證,更不要提進行什么安全審計。:
5.2解決方法
要改善我國目前的這種安全審計情況,需要全國各個方面的努力與配合,不過政府要有所規定,我們民間也要有這方面的意識。筆者簡單列出幾項:①國家應該頒布相關的法律制度,嚴格要求進行安全審計;②地方政府部門要加強管理;③加強對審計人員的培訓;④提高我國的教育水平和人們的交通安全意識;⑤交通安全部門要深入到偏僻的山區;⑥提高我國的經濟實力。
六、結束語
山區道路的安全審計工作與其他道路的安全審計總體上應該說差不多,當然山區的那種獨特的環境使得審計工作的重點可能不僅僅局限與一般的道路,不要認為山區道路的流量沒有城市道路那么多而忽視它,我國是個多山的國家,山區道路對于我國各個地區的經濟往來的作用不言而譽。通過安全審計,加強了全國各地交流。對于我國的經濟發展有百利而無一害。國內山區道路建設的實際情況對道路安全審計進行了較為系統的分析研究并得出以下結論:
(1)道路安全審計獨立于設計和標準。是以安全為核心的審計,其對象為一切與交通安全相關的工程和設施,它可分階段、按步驟的實施,審計的結果為安全審計報告。
近年來,我市各縣市區、各部門在加強政府信息系統安全和保密管理方面做了大量工作,取得了明顯成效。但也要看到,當前境內外敵對勢力大肆利用各種手段對我各級行政機關進行網絡攻擊和竊密活動的事實,加之,政府信息系統安全和保密管理工作中還存在不少薄弱環節,一些單位和人員信息安全和保密意識淡薄,管理機制不健全,制度不落實,技術防護措施不完善,安全隱患比較嚴重,信息安全形勢十分嚴峻。
根據省人民政府辦公廳轉發國務院辦公廳關于加強政府信息系統安全和保密管理工作的通知(陜政辦發〔〕79號)精神,為認真貫徹落實中、省通知精神,切實提高我市政府信息系統安全保障能力,現就進一步加強政信息系統安全和保密管理工作通知如下:
一、加強組織領導,健全信息安全責任制
各縣市區政府、各部門要把信息安全和保密工作列入重要議事日程,加強領導,落實責任,完善措施,切實抓緊抓好。要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,健全信息安全和保密責任制,把責任落實到具體部門、具體崗位和個人。要明確一名主管領導,負責本單位信息系統安全和保密管理工作,根據國家法律法規和有關要求,結合實際組織制訂信息安全保密管理制度和防護措施,開展信息安全、保密教育和監督檢查。要指定一名安全觀念強、富有責任心、懂防護技術的工作人員任信息系統安全員,負責日常督促、檢查和指導工作。要建立健全崗位信息安全和保密責任制度,明確信息安全和保密責任。
二、強化教育培訓,提高安全意識和防護技能
各縣市區、各部門要認真組織信息安全和保密基本技能培訓,開展信息安全和保密形勢分析、典型案例分析和警示教育,并做到經常化、制度化。要把信息安全和保密教育作為工作人員上崗、干部培訓、業務學習的重要內容,提高安全和保密意識,使主動做好信息安全和保密工作成為每個工作人員的自覺行動。加快研究建立行政機關工作人員信息安全技能考試制度,逐步做到工作人員持證上崗。當前,要針對存在的突出問題,深入學習宣傳信息安全“五禁止”規定:一是禁止將信息系統接入國際互聯網及其他公共信息網絡;二是禁止在計算機與非計算機之間交叉使用U盤等移動存儲設備;三是禁止在沒有防護措施的情況下將國際互聯網公共信息網絡上的數據拷貝到信息系統;四是禁止計算機、移動存儲設備與非計算機、非移動存儲設備混用;五是禁止使用具有無線互聯功能的設備處理信息。行政機關及其工作人員要切實遵守信息安全和保密管理各項規定,做到令行禁止,杜絕安全隱患。
三、完善安全措施和手段,夯實安全工作基礎
一是加強對信息、人員、場所和設備的管理。嚴格執行保密要害部門、要害部位管理制度;嚴格執行人員管理和資格審查制度;嚴格執行計算機、設備登記管理和定期檢查制度;嚴格執行計算機、信息系統軟件和維護服務提供者資質審查及監管制度。
二是實行計算機配置管理和安全審計。加快對辦公用計算機和移動存儲設備實行配置管理,統一編號、統一標志、統一登記;對辦公用計算機逐步加裝安全審計工具,定期進行安全審計。市信息辦要會同有關部門和單位抓緊制訂行政機關辦公用計算機配置指南、安全使用規范和安全審計辦法。
三是規范電子文檔的管理。統一電子文檔命名規則,根據文件內容在文件名中標明密級、類別,便于識別和管理。建立并保留電子文檔的創建、復制、刪除等相關記錄,為安全審計提供依據。規范電子文檔的復制、傳遞,電子文檔要嚴格按照同等密級紙質文件的有關規定進行。逐步采用加密等技術手段對電子文檔的存儲和傳輸進行保護。
四是加快信息安全防護設施建設。行政機關在規劃建設政府信息系統時,要嚴格遵循同步規劃、同步建設、同步運行的原則,按照國家有關法律法規和標準同步規劃、設計、建設、運行、管理信息安全防護設施。要將信息安全防護設施建設、運行、維護、檢查和管理費用納入預算,保證資金落實。項目審批部門要將擬建政府信息系統是否具備信息安全防護設施作為重要審核內容。政府信息系統建成后,必須經保密工作部門審批后方可投入使用。
五是切實增強政府業務網絡安全保障能力。政府業務網絡是政府信息系統的重要組成部分,是推行電子政務的重要基礎,必須采取切實有效的安全措施。要加快建立健全以身份認證、訪問控制、安全審計、責任認定、病毒防護等為主要內容的網絡安全體系,完善網絡安全技術防護手段。抓緊制訂網絡對接、信息交換、安全技術及運行管理標準規范,實行嚴格的網絡接入審批制度。行政機關要督促、指導業務網絡管理單位完善相應的辦法,保證網絡安全運行。
六是嚴格信息技術產品的采購管理。按照政府采購法有關政策要求,行政機關要帶頭使用國產信息技術產品和服務,確保信息系統安全可控。其中,辦公用計算機、公文處理軟件、信息安全產品等應使用國產產品,信息安全服務應選擇有相應資質的國內廠商,因特殊原因必須選用國外信息技術產品和信息安全服務的,應進行安全審查,并報本單位主管信息安全的領導同志批準。政府信息系統、保密要害部門和部位使用信息技術產品及服務,必須嚴格執行國家有關保密規定和標準。政府信息系統以及關系國家安全的重要信息系統的數據中心、災難備份中心不得設立在境外,原則上不得接受在線遠程服務。
四、做好信息安全檢查工作,依法追究責任
各縣市區、各部門每半年要對政府信息系統進行一次全面的安全檢查,認真查找隱患,及時掌握信息安全狀況和面臨的威脅,及時采取應對措施,堵塞安全漏洞,減少安全風險。要提高應急處置能力,及時發現網絡泄密隱患,迅速處置網絡泄密事件。市信息辦負責制定信息安全檢查辦法,各部門要定期向其報告檢查落實情況。各縣市區還要結合實際制訂具體的信息安全檢查和實施辦法。
加大信息安全和保密執法工作力度。對違反信息安全和保密管理規定的,要給予嚴肅處理,對造成泄密事件和信息安全事故的,要依法追究當事人和有關負責人的責任,并以適當方式予以通報,以儆效尤。要建立網絡泄密舉報制度和獎懲制度。明確舉報方式、受理機構和獎懲力度,充分發揮廣大行政機關工作人員的監督作用。
一、信息化對內部控制影響分析
(一)信息化對組織內部控制環境的影響。計算機應用所帶來的信息革命從許多方面改變了人們的思維、生活方式。組織的管理層和其他成員對計算機的認識程度決定了計算機在經營管理中的應用方式和程度。例如,僅僅把計算機作為一個復雜的機械化處理工具,還是能夠認識到計算機作為管理工具的巨大潛在價值,所帶來的結果將完全不同。這對組織控制環境將產生很大的影響。
(二)信息化對內部控制的信息與溝通產生影響。信息技術在信息處理能力、速度和準確性方面的優勢,影響了內部控制的信息與溝通。在信息化環境下,會計業務集中化處理,依據會計程序制定計算機內部控制措施,如憑證借貸平衡校驗,余額發生額平衡檢查等。隨著互聯網環境的形成,會計業務處理范圍變大使實時處理成為可能,原來應由幾個部門按預定步驟完成的業務事項可集中在一個部門甚至由一個人完成。
(三)信息化對內部控制的風險管理產生影響。計算機技術在軟、硬件方面的技術特點使組織面臨新的風險,如計算機病毒、計算機技術被侵入等,這就要求組織在風險管理、控制活動和監督等方面做出相應的應對措施,確保在享受信息化帶來的好處的同時,能夠最大限度地消除由于信息技術的廣泛使用帶來的不利因素。
(四)信息化對審計方法和工作環境產生影響。成熟的計算機軟、硬件技術,使得內部審計人員對文檔、資料的處理更為快捷、方便,同時資料的儲存也更為方便,因此計算機成為審計人員的得力助手。審計人員如果不熟悉電算化會計軟件的特點和風險,就不能識別和審查其內部控制;如果不懂得利用計算機審計技術和方法進行審計,就必然會帶來審計風險。
二、信息化下內部審計對策
(一)完善信息化環境下內部審計標準與準則。原有的標準和準則有的已經不適用于信息化下的信息系統審計,這給信息系統審計帶來了一定的風險,有關部門應采取必要措施,大力加強對計算機審計的研究,盡快制定出適用于信息系統審計的標準和準則,來降低計算機審計風險。必須改變原手工會計系統中的審計標準、準則中不適合信息化審計要求的部分內容。同時,在制定具體準則時要側重對信息化系統內部控制的評價、信息化審計人員應具備的資格、操作規程和相關的審計技術等方面做出規范。
(二)健全內部控制制度。健全的內部控制制度可以有效維護資產的安全,在會計電算化方式下,主要通過建立會計電算化軟硬件管理制度、會計電算化崗位責任制度、上機操作管理制度以及會計檔案管理制度等保證會計信息的真實性與正確性。在企業具體的審計實務中,可以充分利用已建立的會計電算化相關制度進行企業職能分離控制,對不相容職務加以分設,根據職責分明、互相制約原則建立相應職責分工,也可通過制定一套嚴謹的會計數據處理標準規程來控制數據流程。
(三)建立內部安全審計制度。為提高會計信息處理的準確性、真實性和合法性,強化企業的內部控制制度的落實,防止會計信息系統出現各種安全隱患,應建立起計算機網絡環境下對會計信息系統實施監督的內部審計制度。網絡系統內部安全審計是一種實時發現漏洞的機制,安全審計人員的日常審計工作將為會計信息系統的安全提供有效的保障。對于內部審計而言,在對計算機信息系統進行審計時,應當評估計算機對內部控制各個要素的影響,重點關注計算機系統所產生數據的可靠性、完整性和系統的安全性。內部審計應該對計算機信息系統的內部控制進行審查、評價。
關鍵詞:安全;防范
中圖分類號:TP391文獻標識碼:A文章編號:1009-3044(2011)23-5590-02
數據庫是計算機重要的一個應用領域,隨著計算機技術的飛速發展,數據庫已廣泛地深入到了各個領域,數據庫技術在生產、生活、工作、學習等方面給人們帶來了巨大的便利,但隨之而來的數據安全問題也越來越凸顯出來。數據庫由于其儲存大量重要的信息而成為某些人攻擊的重點,數據庫數據的丟失以及數據庫被非法用戶的侵入使得數據庫安全性越來越重要,對計算機數據庫安全技術進行探討有助于我們加深對相關數據庫知識的了解[1],如何保障數據的私有性或保密性和安全性是一個十分重要的課題,有助于提高數據庫安全防范意識,從而有助于實現數據庫本身的安全。
1 數據庫及其安全
數據庫是當前計算機存儲和操作數據的通常形式,也是目前數據存儲和操作的最高形式,計算機數據庫安全技術是伴隨著計算機安全技術與數據庫技術的發展而不斷發展和提升的。數據庫的安全就是保證數據庫信息的保密性、完整性、一致性和可用性,數據庫的安全是數據庫系統的生命,當前,數據庫系統經歷了網狀數據模型、層次數據模型和關系模型三個發展階段,無論在哪個發展階段,數據庫的安全始終是我們所關注的重點。尤其是資源共享的今天,各種應用系統的數據庫中大量數據的安全問題及敏感數據的防竊取和防篡改問題,越來越引起人們的高度重視[2]。
另外在互聯網飛速發展的今天,數據庫系統作為數據信息的存儲,在網絡服務中發揮巨大作用,同時我們還要注重數據庫系統的網絡安全性。主要指數據庫系統自身安全性以及數據庫所處的網絡環境面臨的安全風險。如病毒入侵和黑客攻擊、網絡操作系統、應用系統的安全,表現在開發商的后門以及系統本身的漏洞上。
2 計算機數據庫安全技術
伴隨著數據庫的安全問題,數據庫安全技術也隨之發展起來,在數據庫開放的環境下,數據的讀取、共享暴露在外,通常我們采取訪問控制和存取管理技術、安全審計、數據庫加密等技術來解決這些問題,再者,數據庫系統的應用也加強了數據庫的安全,數據庫系統作為信息的聚集體,是計算機信息系統的核心部件,其安全性至關重要。
2.1 訪問控制和存取管理技術
計算機系統的活動主要是在主體進程、用戶和客體資源、數據之間進行的。計算機安全的核心問題是保證主體對客體訪問的合法性,即通過對數據、程序讀出、寫入、修改、刪除和執行等的管理,確保主體對客體的訪問是授權的,并拒絕非授權的訪問,以保證信息的機密性、完整性和可用性。
系統通過比較客體和主體的安全屬性來決定主體是否可以訪問客體。存取管理技術是一套防止未授權用戶使用和訪問數據庫的方法、機制和過程,通過正在運行的程序來控制數據的存取和防止非授權用戶對共享數據庫的訪問。包括用戶認證技術和存取控制技術。
2.2 安全審計
安全審計即是對安全方案中的功能提供持續的評估。安全審計應為審計管理員提供一組可進行分析的管理數據,以發現在何處發生了違反安全方案的事件。審計功能在系統運行時,自動將數據庫的所有操作記錄在審計日志中,攻擊檢測系統則是根據審計數據分析檢測內部和外部攻擊者的攻擊企圖,再現導致系統現狀的事件,分析發現系統安全弱點,追查相關責任者利用安全審計結果,可調整安全政策,堵住出現的漏洞,為此,安全審計應具備記錄關鍵事件、提供可集中處理審計日志的數據形式、提供易于使用的軟件工具、實時安全報警等功能。
2.3 數據庫加密
數據庫加密是防止數據庫中數據泄露的有效手段,通過加密,可以保證用戶信息的安全,減少因備份介質失竊或丟失而造成的損失。數據加密就是把數據信息即明文轉換為不可辨識的形式即密文的過程,目的是使不應了解該數據信息的人不能夠知道和識別。將密文轉變為明文的過程就是解密。加密和解密過程形成加密系統。明文與密文統稱為報文。任何加密系統通常都包括如下幾個部分:
1) 需要加密的報文,也稱為明文P。
2) 加密以后形成的報文,也稱為密文Y。
3) 加密(解密)算法E(D)。
4) 用于加密和解密的鑰匙,稱為密鑰K。
使用數據庫安全保密中間件對數據庫進行加密是最簡便直接的方法。主要是通過系統中加密、DBMS內核層(服務器端)加密和DBMS外層(客戶端)加密。
2.4 數據安全傳輸常用協議
在對數據庫中儲存的數據進行安全保護外,在數據的傳輸中我們也要確保數據的完整性與安全性,所以就有了以下這兒種安全傳輸協議。
SSL協議:SSL協議(Secure socket layer)現已成為網絡用來鑒別網站和網頁瀏覽者身份,以及在瀏覽器使用者及網頁服務器之間進行加密通訊的全球化標準,SSL技術已建立到所有主要的瀏覽器和Web服務器程序中,因此儀需安裝數字證書或服務器證書就可以激活服務器功能。
IPSec協議:IPSec(Internet Protocol Security)是由IETF定義的安全標準框架,用以提供公用和專用網絡的端對端加密和驗證服務。它指定了各種可選網絡安全服務,而各組織可以根據自己的安全策略綜合和匹配這些服務,可以在IPSec框架之上構建安全性解決方法,用以提高發送數據的機密性、完整性和可靠性。
HTTPS協議:HTTPS(Secure Hypertext Transfer Protoc01)安全超文本傳輸協議,它是由Netscape開發并內置于其瀏覽器中,用于對數據進行壓縮和解壓操作,并返回網絡下傳送網的結果。
另外,安全管理技術、信息流控制、推理控制、數據備份與恢復等技術都是數據庫安全常用技術,它們也確實解決了不少數據庫安全的問題。無論數據庫應用哪種安全技術,多多少少都會有些漏洞,數據庫系統的應用可加強數據庫的安全,數據庫系統作為信息的聚集體,其安全性毋庸置疑,所以數據庫系統的安全防范便顯得尤為重要。
3 數據庫系統安全防范策略
3.1 物理安全防護策略
物理安全保證重要數據免受破壞或受到災難性破壞時及時得到恢復,防止系統信息在空間的擴散。在物理安全方面應主要采取如F措施網絡安全設計方案符合有關網絡安全方面的規定。安全設計應根據不同網絡、系統和信息要求分別采用不同的安全防護措施。建立良好的電磁兼容環境,安裝防電磁輻射產品,對重要設備和系統設置備份系統數據庫系統運行的服務器、網絡設備、安全設備的安全防范,主要包括防水、防火、防靜電等。
3.2 網絡安全防護策略
總的來講,數據庫的安全首先依賴于網絡系統。可以說網絡系統是數據庫應用的外部環境和基礎,數據庫系統要發揮其強大作用離不開網絡系統的支持,數據庫系統的用戶如異地用戶、分布式用戶也要通過網絡才能訪問數據庫的數據。網絡系統的安全是數據庫安全的第一道屏障,入侵首先就是從入侵網絡系統開始的,所以此時數據庫系統的安全防范變成了網絡系統的安全防范。我們就從網絡系統的安全防范說起。
1)防火墻技術
防火墻是應用最廣的一種防范技術,作為數據庫系統的第一道防線,其主要作用是監控可信任網絡和不可信任網絡之間的訪問通道,可在內部與外部網絡之間形成一道防護屏障,攔截來自外部的非法訪問并阻止內部信息的外泄,但它無法阻攔來自網絡內部的非法操作。它根據事先設定的規則來確定是否攔截信息流的進出,但無法動態識別或自適應地調整規則,因而其智能化程度很有限。
防火墻技術主要有三種數據包過濾器、和狀態分析。現代防火墻產品通常混合使用這幾種技術。事實上,在線的網站中,超過三分之一的網站都是由某種形式的防火墻加以保護,這是對黑客防范最嚴,安全性較強的一種方式,任何關鍵性的服務器,都建議放在防火墻之后。防火墻同時也是目前用得最廣泛的一種安全技術。
2)網絡防病毒技術
對于復雜的系統,其錯誤和漏洞是難以避免的,病毒就是利用系統中的漏洞,進行網絡攻擊或信息竊取,構成對網絡安全的巨大威脅。因此,我們必須嚴防計算機病毒對網絡的侵襲。管理上加強對工作站和服務器操作的要求,防止病毒從工作站侵人技術上可以采取無盤T作站、帶防病毒芯片的網卡、網絡防病毒軟件,設立網絡防毒系統和配備專用病毒免疫程序來進行預防。采用多重技術互為補充。
3)入侵檢測
入侵檢測(IDS)作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統是近年發展起來的一種防范技術,綜合采用了統計技術、規則方法、網絡通信技術、人工智能、密碼學、推理等技術和方法,其作用是監控網絡和計算機系統是否出現被入侵或濫用。1987年Derothy Denning首次提出了入侵檢測的思想,經過不斷發展和完善,作為監控和識別攻擊的標準解決方案,IDS系統已經成為安全防御系統的重要組成部分。IDS包括基于網絡和基于主機的入侵監測系統、基于特征的和基于非正常的入侵監測系統、實時和非實時的入侵監測系統等。在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
3.3 管理安全防護策略
網絡的使用與維護,數據庫系統的安全運行,歸根結底都離不開人,所以要時刻加強對操作人員的管理與培訓。
4 結束語
隨著數據庫系統的發展,對數據庫系統的攻擊方式也在不斷改變,數據庫系統的安全和維護工作,也應該根據自身需求,跟隨技術和管理的發展而合理升級、更新。計算機數據庫安全是當前數據庫技術研究的重點,加強數據庫安全相關技術研究有助于保障計算機數據庫的安全性,有助于保證數據庫系統中信息的有效性。因此,針對數據庫系統運行中不安全因素,應該時刻關注安全技術的發展,對安全防范系統進行必要升級,保障數據庫系統運行安全。
參考文獻:
一、信息系統審計簡介
“審計”一詞起源于財務審計,人們比較熟悉的審計是對財務報表或會計賬冊的監督,好像和信息系統沒有必然聯系。但隨著經濟管理和科學技術的不斷結合以及日益滲透,現代審計已經遠遠超出了僅對財務會計進行審查的狹窄范圍,不斷向管理領域和技術領域滲透。
信息技術的廣泛應用使信息系統實際上已經成為企業及社會的中樞,在一定程度上左右著企業的命運。美國、日本等發達國家在信息化過程中率先意識到信息系統審計的必要性并對此進行了研究,目前已得到普及。在我國,雖然也早就提出了“計算機審計”的概念,但這種審計更多的是偏向于“利用計算機進行審計”。實際上我國的信息系統審計工作還處在摸索階段。
信息系統審計是技術審計的一個典型,它實質上是對計算機軟件、硬件及整個信息系統的審計,是指遵照普遍接受的信息系統審計標準和指南對信息系統及其應用的安全性、穩定性和有效性進行監測、評估和控制的過程,以確保預定的業務目標得以實現。
按國際上通行的規范,信息系統審計主要有6個方面的內容:評估信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務;評估技術基礎設施的管理和運行實踐方面的有效性及效率,以確保其充分支持組織的業務目標;評估信息資源在邏輯訪問、運行環境與信息技術基礎設施的安全性,以確保其滿足組織的業務需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失;評估系統災難恢復與保證業務連續性的能力,以確保組織能持續進行業務營運;評估應用系統開發、實施與維護的方式、方法及過程,以確保其滿足組織的業務需求;評估業務處理流程的風險管理水平,確保根據組織的業務目標對相應風險實施管理。
二、國稅信息系統面臨的風險
國稅部門作為行政執法部門,信息系統的安全與否直接關系到為納稅人提供服務的質量和效率,社會的和諧與穩定,因此國稅信息系統的安全保護顯得越來越重要。近年來,以數據省級集中為標志的新一輪國稅信息化建設已成效凸顯,為國稅系統優化納稅服務,加強科學管理提供了廣闊的技術平臺,直接帶來了稅收理念的更新,征管機制的創新、管理手段的提高,但在數據由分散到集中的同時,原來分散的風險也隨之集中。在這種模式下,雖然安全性事故、災難的發生頻率可能大大降低,但其潛在的風險不容忽視。
1、運行環境方面的風險。數據集中后,通過采用更高端的設備、技術等措施提高了系統的安全系數,故障概率大大低于分散式數據管理模式。但是應清醒地認識到數據集中后,其安全影響的范圍也呈幾何級數增長,一旦發生故障,可能影響全局。因此,必須建設、保障一流的運行環境,不僅要考慮供電、溫濕度、潔凈度、抗電磁干擾、火災等常規因素,還要考慮到地震、洪水等自然災害的影響。
2、數據備份中心及應急恢復機制方面的風險。電子化程度越高的行業,其對數據完整性和可用性的要求也越高。據美國的有關調查顯示,如果公司在災難過后兩個星期內無法完全恢復信息系統的使用,75%的公司業務將會完全停頓,43%的公司將再也無法開業。對于依賴信息系統進行日常運作的國稅部門而言,納稅人對于系統停機的可忍受時間甚至不能超過1天,而稅收數據的丟失和破壞可能會導致稅收秩序的混亂,影響社會的穩定與和諧。
3、軟件開發及應用方面的風險。由于我國稅收政策變動比較頻繁,加之軟件開發者水平參差不齊,軟件開發的時間較緊,一些稅收征管系統往往沒有進行縝密的測試,因此有可能存在一定的缺陷和漏洞,讓不法之徒有機可乘。
4、網絡安全方面的風險。internet的迅猛發展為電子商務、電子政務提供了運作平臺,但也帶來了許多不安全隱患。各種跡象表明,網上申報、手機申報等信息系統已成為日益猖獗的網絡攻擊和計算機犯罪活動的主要目標。
三、國稅信息系統審計的重點
國稅信息化經過多年的建設,已初具規模,各種系統十分復雜、龐大,如對全部信息系統進行審計的話,工作量巨大,且目前信息系統審計的人員缺乏,因此,應先從部分重點系統、重要環節著手進行審計,審計的重點應該考慮以下內容:
(一)運行管理審計
作為一種人機交互系統,信息系統的服務質量和安全是建立在“三分技術,七分管理”的基礎之上的,系統運行中的操作管理是否科學、規范直接影響到信息系統的服務質量和安全性。運行管理審計的重點包括:
1、機房管理審計。包括機房、設備間等重要運行環境選址、布局是否合理;是否設置了門禁、監控、氣體滅火、防水、防雷、報警等安全設施;機房內部的溫度、濕度、潔凈度、電磁干擾等技術指標是否合格;機房的進出是否有切實有效的管理制度、是否有防止非正常行為的對策等。
2、操作管理審計。包括是否有詳盡的操作規范;是否對系統操作人員進行上崗前培訓;操作人員是否嚴格按規范進行操作;系統的登錄代碼及密碼是否具備一定的安全防護對策、是否按規定更新;是否記錄操作日志并保存一定期限;操作人員的交接是否按規定進行;是否及時發現、記錄、報告事故及故障;是否及時采取措施排除故障,防止再次發生等。
3、硬件管理審計。包括是否制定并遵守硬件管理規范;硬件的運行環境是否達到相應的技術要求;是否定期對硬件進行檢修、維護;對硬件故障的維修對策是否合理;是否有硬件維護日志;檢查業務設備送出修理時是否對設備所存業務數據進行刪除。
4、軟件管理審計。包括是否制定并遵守軟件管理規范;軟件的拷貝是否有嚴格的控制措施和技術防范對策;軟件的保管和廢止是否按機密資料予以保護;是否有完善的軟件版本管理規范;對軟件源程序的控制是否嚴格,生產環境與測試環境是否嚴格分開。
(二)系統開發審計
信息系統的開發審計通常應該包括系統規劃審計、系統分析審計、系統設計審計、系統編碼審計、系統測試審計和系統試運行審計等部分。當前國稅信息系統開發審計的重點包括:
1、預期效益審計。主要包括是否提供了新的服務;是否實現了新的功能;是否提高了納稅服務的質量;是否提高了本單位的工作效率等社會效益方面的評估;是否通過流程整合減少了人員、降低了稅收成本。
2、編碼及文檔管理審計。編碼審計主要包括編程語言、編程工具的選擇是否合理;是否制定了統一的編程規則;是否對數據的類型、結構、長度作統一的說明;程序邏輯是否清晰、易懂;是否按照結構化的方法進行編程等。文檔管理審計主要包括是否制定、遵守文檔管理規范并按規范編制文檔;文檔的數量是否齊全;文檔的編制內容是否完整、齊全;文檔的質量是否符合要求;文檔的版本管理是否嚴格;是否有文檔的保密管理對策等。
3、控制措施審計。包括將業務流程進行整合后,新系統是否重新設置了與之相適應的內部控制措施;是否遵循“職責分離”的原則,對人員的職責權限和變動進行合理的控制;信息系統是否具備一定的識別和防御攻擊的能力(如登錄控制、加密、拒絕訪問等手段);是否具備一定的自適應能力(如根據攻擊方的意圖調整控制措施,隔離破壞范圍的能力)和恢復能力;是否專門設計了系統審計功能或預留了系統審計接口等。
4、系統測試審計。包括有無完整的系統測試計劃;測試案例的編寫是否合理、全面;參與測試人員的選擇是否符合公正、客觀的要求;測試方法是否合理;測試結果是否得到參與人員的認可;測試文檔是否齊備等。
5、試運行審計。包括有無切實可行的試運行方案;針對新系統的人員培訓是否落實;新系統的運行環境(包括軟件、硬件、網絡等)是否符合實際運行要求;新系統的實際運行效率、功能是否達到預期設想等。
(三)網絡安全審計
網絡安全審計的根本目的就是防止通過計算機網絡傳輸的信息被非法占用。網絡安全審計應重點針對網絡安全管理、網絡安全技術、網絡安全策略等內容。
1、網絡安全管理審計。包括是否建立有效的網絡安全防御體系;安全及密碼產品是否具有合法性、是否經過國家有關管理部門的認可或認證;是否建立了有關網絡安全的規章制度、在實際工作中是否嚴格執行;是否進行了網絡安全教育、安全培訓;對網絡安全工作是否進行動態管理等。
2、網絡安全技術審計。包括是否使用了嚴格的身份驗證技術控制系統用戶;是否使用了訪問控制技術并配置訪問控制策略;是否利用密碼技術對數據進行安全加密;與外部單位連接時是否安裝了防火墻進行有效隔離以確保安全;是否使用了系統漏洞掃描技術來檢測系統的脆弱性;是否使用入侵檢測技術對網絡系統進行實時監測;是否制定了有效的防病毒策略,如不使用不明來歷的軟盤、光盤;是否安裝了有效的防、殺病毒軟件;是否及時更新最新的病毒碼以保證防病毒軟件的有效性;是否采用網絡安全審計措施等。
(四)災難對策審計
為保證信息系統的正常運行,開發人員在系統設計上已經采取了各種措施來防止信息系統被破壞,但這并不能完全杜絕系統的各種故障和一些不可抗力的災難,而災難一旦發生,往往導致信息系統完全癱瘓,造成巨大損失。所以,必須對信息系統的災難對策進行審計。國稅信息系統的災難對策審計應抓住以下重點:
1、災難應急對策審計。包括是否事先制定了災難應急對策;災難應急對策是否切實可行;災難應急對策是否定期進行演練;災難應急對策是否根據實際情況及時調整。
2、數據備份審計。包括是否制定信息系統及數據的備份策略;數據備份策略是否切實可行;數據備份的強度是否足夠;數據備份的范圍是否全面;數據備份的恢復方法及恢復效果是否經過驗證;使用備份數據進行恢復的時間是否可以控制在可以忍受的范圍之內;數據備份的存儲介質管理是否按要求執行等。
3、設備冗余審計。包括是否為信息系統提供冗余運行環境(災難備份中心,包括電力、通訊線路等設施);是否為信息系統的核心設備(生產機)提供冗余設備(備機);生產機和備機上的信息系統和數據是否同步;生產機和備機之間的切換方案是否可靠并經過驗證等。
四、開展信息系統審計需要解決的幾個問題
(一)組織問題
雖然,目前部分國內企業已經意識到利用信息系統審計可以有效地管理信息及與信息相關的技術,保障企業信息系統可靠運行,并開始關注信息系統審計,但整個社會對信息系統審計的認識還不夠,信息系統審計遠未達到普及的程度。國內還沒有專門的信息系統(技術)審計機構,在各單位內部目前也沒有設置相關的信息系統(技術)審計部門。國稅系統目前主要采取各級信息中心進行自查、互查的方式來解決信息系統的安全性問題,往往是就某一專項內容進行檢查,帶有一定的局限性,且一般情況下檢查的深度不夠,因此迫切需要具有專門知識和技術的、與系統沒有直接關系的信息系統審計專業機構和專職人員介入。
(二)標準化問題
目前,國內開展信息系統審計主要是參考信息系統審計與控制協會isaca(information system audit and control association)這個國際上唯一的信息系統審計師專業組織制定和頒布的信息系統審計標準。該標準是一套以管理為核心、以法律法規為保障、以技術為支撐的框架體系,為實施信息系統審計提供了一套執業規范和操作指南。但由于國內系統集成業發展的不成熟以及客觀應用環境的差異、法律法規上不完善等原因,處在起步階段的國內信息系統審計工作不能完全照搬此標準,必須盡快形成適合國稅系統的信息系統審計標準體系。
關鍵詞:信息系統開發;安全策略;網絡技術
中圖分類號:TP399文獻標識碼:A文章編號:1007-9599 (2012) 02-0000-02
Analysis of Security Policy of Information Systems Development
Ling Bin1,Wang Donghong1,Chi Yan2
(1.Northeast Forestry University,Harbin150040,China;2. Heilongjiang University of Chinese Medicine,Harbin150040,China)
Abstract:Along with our country to the application of computer network technology and the deepening of information system.has gradually become the planning construction and management process is the most important one of systems.And the system to have strict security requirements. security goal is very clear.Based on the information system to conduct a comprehensive safety management and construction safety plan.can satisfy the management and technology of double security needs.Therefore.how the information system development process of application security strategy.in order to improve the information system for the overall safety performance also gradually become information system developers and builders focus.In this paper,the information system development process of the safety planning and building construction safety management are analyzed.Presents practical information system security strategy.
Keywords:Information system development;Security strategy;Network technology
現階段,計算機網絡技術已經在設計、科研、生產和辦公能方面得到了較為廣泛的應用,且發揮出了越來越重要的作用。計算機網絡技術中,信息系統的廣泛應用給人們的工作和生活帶來了極大的便利,但與此同時,也對其保密性和安全性提出了較大的挑戰,如何提高信息系統的安全性也成為了信息系統開發者工作的重點。在信息系統的規劃建設過程中,建設前的安全規劃與實施后持續、完善的安全管理都是提高信息系統安全性較為有效的措施。
一、信息系統的建設安全規劃
信息系統中的建設安全規劃應主要體現在數據安全、運行安全、系統安全和物理安全這四個方面。
第一,數據安全,即在信息系統使用過程中,尤其是傳輸數據時,要通過適當的密碼措施來對數據的安全性進行保護,防止數據泄露問題發生。在數據加密后,即使數據在傳輸過程中被截獲或是入侵,由于截獲的是密文,所獲信息也是無效的。
第二,運行安全。要恰當處理信息系統應用所面對的安全問題,在系統開發時應采取病毒防護、身份鑒別、安全審計、漏洞掃描、入侵檢測、防火墻等保護措施。防火墻能夠在網絡的出口部位對網絡通訊的安全性進行檢查,按照安全規則的要求,信息系統不僅要確保內部的安全性,還要保證系統外部的安全性,將網絡的外部與內部相隔離,從而提高整個系統的安全性。通過設置與防火墻相關聯的病毒入侵檢測系統,能夠對信息數據進行實時保護,對進出系統的數據都要進行實時分析,及時發現并阻斷外界的攻擊,從而降低網絡隱患。漏洞掃描系統能夠對口令/賬號、服務器主機、網絡系統等存在的威脅、漏洞和安全隱患進行掃描和報告,并及時地采取主動的安全措施和補救行動,從而提高系統安全性。安全審計系統能夠對使用信息系統的所有用戶的活動進行監控和數據收集,供系統管理者審查用,從而提高系統的管理效率。身份鑒別系統是安全系統的關鍵部分,能夠對用戶是否合法進行主動的判斷,且口令與智能卡相結合的鑒別方法能夠大大提高系統安全性,也便于應用。為應對計算機病毒問題,信息系統還應設計病毒防護措施,實時監控病毒的攻擊和入侵情況,對整個系統進行全面的監控,但要注意在使用時要及時更新病毒信息,定時對計算機運行環境進行檢測。
第三,系統安全,主要包括應用系統與操作系統的安全性。在選擇應用系統時,要對定制軟件和通用軟件都進行風險檢測,及時發現和處理系統中存在的問題和安全隱患。而對于操作系統,則要選用具有較高安全性的系統,同時進行必要的安全設置。
第四,物理安全,這一部分是保證整個系統安全性的基礎,因而要符合國家的相關規定。首先該系統要滿足防靜電、防雷、溫濕度、配電、布線、電力、防震、防水、防火、場地等的要求。其次,要保證整個系統能夠安全使用,且符合國家相關標準。最后,還要保證該系統所使用的安全設施,必須是符合國家標準的設備,并具有國家保密部門的審批合格證明。
二、系統的安全管理
安全的系統管理能夠為信息系統的安全有效運行提供保障,也是系統安全運行的基礎,要提高信息系統的安全性,保障其順利穩健的運行,在管理和設計方面應做到以下幾點:
(一)人員管理
人員管理主要涉及外部人員的管理和內部人員的管理兩個部分,系統內部的操作使用者和管理者是造成信息系統安全隱患的關鍵因素,因此,在選擇內部管理人員時,必須要對其職業道德、政治思想狀況、社會關系、個人經歷等進行核查,保證系統人員的可靠性和安全性。同時,還要使其明確工作職責,在進行系統操作時按照職責要求進行。除此之外,還要對系統操作者和使用者的安全知識和安全意識進行培訓,如退出和登錄等基本操作的規范化和保密意識的培養等。對于系統管理者來說,其所掌握的安全知識和相應的安全管理水平要更加完善,包括對于違法入侵的防范和鑒別能力、系統的管理和維護能力等。外部人員指能夠進入該系統進行服務和維修的人員,對于這部分人員的管理包括旁站陪同控制、攜帶物品限制、安全控制區域隔離、保密要求知會等幾方面。
(二)安全管理制度的制定
系統安全策略和安全管理制度的制定能夠提高系統運行的可靠性和安全性。安全管理制度主要包括:人員安全管理、應急響應措施、安全審計管理、開發與運行管理、恢復與備份管理、惡意代碼防護措施、病毒防護措施、移動設備管理措施和運行環境管理措施等。系統安全策略主要包括:應急響應策略、保護信息完整性策略、系統安全管理策略、系統安全檢測策略、運行管理策略、身份鑒別策略、惡意代碼防護策略、病毒防護策略、恢復與備份策略和安全審計策略等。
(三)設置安全管理機構
安全管理機構的設置目的主要在于:第一,對信息系統的保密性和安全性進行定期的檢測和提升。第二,安全保密措施的制定和實施管理。第三,制定和實施信息系統的安全策略和保密管理制度,主要包括管理策略和技術策略兩部分。
三、總結
綜上所述,信息系統通常主要由網絡通信、共享服務和應用操作三個基本部分組成,全過程的網絡通信保護系統、資源共享的邊界保護和可靠的操作應用平臺,三方面共同組成了具有固定工作和使用流程的生產和信息管理系統,能為信息的安全性提供充分的保障。在今后的信息系統開發中,還可在檢測引擎中適當加入檢測隱通道,從而避免信息生產系統存在隱蔽通道的問題,這也是今后信息系統開發工作的重點內容。
參考文獻:
[1]閆樹.信息系統的安全策略及若干技術研究[D].武漢理工大學碩士學位論文,2009
[2]薛麗.綜合信息管理系統中的安全策略及其應用研究[D].大連理工大學碩士學位論文,2008
從安全技術架構來說,網站群的安全問題主要在于網絡層、操作系統、數據庫的安全。高職院校一般都具備獨立的數據中心。以浙江醫藥高等專科學校為例,目前已建有MIS+S(基本信息安全保障)系統架構,隨著硬件驅動已轉變為應用驅動,網絡信息基礎設施和服務都有了大幅度的提升,能夠從物理安全、網絡安全、系統安全、應用安全四個環節,打造網站群安全防范技術體系,實現動態防御、主機安全、備份和恢復、安全審計、安全測試配置、安全監控,應用分析等目標。
1.1動態防御
網站群安全防范技術體系以往,我們通常利用防火墻、雙核心網絡設備以及DMZ區來實現應用防護,防范惡意攻擊和病毒入侵的能力有限。在網絡安全問題日趨嚴重和復雜的情況下,需要加固原有的網絡拓撲結構,增加應用防護系統、統一防惡意代碼軟件、網絡管理系統,與防火墻一起建立動態防御體系。只有為網站群和服務建立訪問控制體系,才能將絕大多數攻擊阻止在到達攻擊目標之前,或攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標,最終提升網站群系統的物理安全、網絡安全和應用安全。我們將網站群系統所在區域從原DMZ區劃分出來,與其他Web應用一起規劃為安全級別較高的WebServer服務區域。同時,在該區域部署統一惡意代碼防范管理系統,建立安全的病毒防護措施。在核心交換和WebServer服務區域間,通過串聯部署方式,增加一臺WAF(應用防護系統),起到防護Web應用、漏洞檢測作用,確保網站群在內的Web應用完整性。同時,開啟硬件防火墻上的網站防篡改、IPS功能、日志功能,建立攻擊監控體系,實時檢測出絕大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源,等)。網站群系統管理員在統一惡意代碼防范管理平臺上,對網站群主機進行遠程控制。包括:遠程啟動或停止實時監控、手動掃描、實時更新、功能組件配置、設定分組任務或策略,等,以有效阻隔外來病毒入侵及內部病毒清除,有效保障系統安全。眾所周知,網絡攻擊也可以來自于局域網內部,如內網DoS攻擊、ARP等病毒攻擊。對于內網攻擊的防范,通常采取的應對方法有:為內網終端安裝病毒防護軟件、加強用戶病毒查殺意識,在網絡設備上劃分VLAN進行邏輯隔離、設置ACL訪問控制。現階段,我們還啟用硬件防火墻上的IPS、DDoS/DoS內網防護、病毒防御策略等功能來加強防范。同時,利用上網行為管理設備,對內網終端實施安全檢查、網絡準入控制、行為審計、危險流量封堵、木馬病毒查殺等安全防護措施,針對內網攻擊事件查看分析用戶行為記錄并定位,并且依據學校相關規章制度進行處置處理(如《校園網用戶守則》、《校園網聯網安全保護管理辦法》、《校園網系統安全管理制度》,等),提高局域網內部的綜合防范能力,減少內網攻擊事件的發生。
1.2主機安全
主機安全是網站群系統安全的保障。可以采用雙機熱備的方式來解決主機冗余問題。但是,由于網站群系統應用的重要性和網絡安全的復雜性,為提高主機安全能力,還需要構建主機集群環境,以保障網站群系統的持續運行。目前,高職院校為提高數據中心的利用率和采購運行成本,通常會采用服務器虛擬化軟件規劃虛擬數據中心。在該環境中,統一存儲設備部署在后端,為物理服務器(虛擬主機)提供空間資源,并為前端虛擬機提供數據存儲資源;數臺高性能服務器作為虛擬主機,隨時劃分前端虛擬機,并提供虛擬機所需的CPU、內存資源、存儲器訪問權和網絡連接能力,滿足各項應用的服務器需求。采用虛擬機(VM)部署網站群雙機熱備,在降低采購成本的同時,提高了網站群主機的靈活性、冗余保障和容災遷移能力,保障網站群主機操作系統的安全需求。為了減少網站群所在虛擬主機(物理服務器)的單點故障,實現網站群系統的不間斷運行,我們利用vSphere集群功能,在虛擬數據中心內,配置HA(highavailability)高可用集群(如圖4所示)。HA允許一個集群中在資源許可的情況下,將一臺出現故障的虛擬主機上面的網站群虛擬機切換到集群中另一臺虛擬主機上運行(如192.168.0.116和192.168.0.118)。應用業務時間間斷由VM系統啟動時間、應用啟動時間、心跳檢測時間構成。
1.3備份和恢復
數據資料是整個網站群系統運作的核心,建立良好的備份和恢復機制,可以在應用系統遭受攻擊時,盡快地恢復數據和系統服務。以往,為降低備份容災成本,會采用純軟件模式,通過編輯腳本文件,連接兩臺熱備服務器,將數據實時復制到另一臺服務器上,如果一臺服務器出現故障,可以及時切換到另一臺服務器,避免了磁盤陣列的單點故障。在網絡安全的新形勢下,為實現應用數據及業務存儲系統的完整性和可靠性,我們在網絡拓樸的DMZ區域,接入存儲備份一體機(浙江醫藥高等專科學校采用SymantecBE3600),構建高可用性的存儲備份環境。利用其存儲空間及備份管理系統,實現有效的異地備份,為網站群的容災備份提供了進一步的安全保障。通過制定備份策略,選擇合適的備份頻率,采用完全備份、增量備份、差分備份或按需備份的組合方式,確保及時恢復失敗的網站群虛擬機,快速恢復丟失的應用程序服務,全面提升網站群的數據安全及備份恢復能力,避免在各種極端情況下造成的重大損失和惡劣影響。
1.4安全審計
網站群要達到可控性與可審查性,就必須對站點的訪問活動進行多層次的記錄。安全審計是網站群主機安全和應用安全中的重要環節,審計范圍要覆蓋到主機上的每個操作系統用戶和數據庫用戶,審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等安全相關事件,及時發現非法入侵行為。以旁路方式部署了一臺審計設備,并接入核心交換。審計設備通過對交換機的鏡像口進行旁路監聽。網站群系統管理員可通過B/S方式使用日志管理綜合審計系統,從網絡運行維護、數據庫安全及系統安全審計等方面,采集所有網站群的數據庫訪問行為記錄,收集客觀、實時的分析數據。一旦發生網站群網絡信息安全事件,系統管理員可根據網站群用戶對數據庫系統的所有操作信息,進行準確快速定位,并排除安全隱患。此外,為確保安全審計,還應要求網站群開發人員去除或隱藏程序中的刪除日志功能。
1.5安全測試與配置
由于網絡安全不是絕對的,因此,在建立技術防范體系后,我們按照《信息安全技術信息系統安全等級保護基本要求》中的第二級基本要求,對網站群的操作系統、數據庫和應用系統進行集成測試和配置。主要包括身份鑒別、訪問控制、入侵防范、資源控制、數據完整性和保密性,從而確保信息和管理安全。我們采用Centos和Oracle來構建網站群的操作系統和數據庫環境,相關配置如下:
1.5.1身份鑒別良好的身份認證體系可防止攻擊者假冒合法用戶。為此,須對登錄操作系統、數據庫系統、網站群的用戶進行身份標識和鑒別,操作系統和數據庫系統管理用戶身份標識應具有不易冒用的特點,并確保用戶名具有惟一性。因此,我們做了相關配置:編輯操作系統文件etc/login.defs文件,應達到密碼定期更換要求。如:PASS_MAX_DAYS90#新建用戶的密碼最長使用天數PASS_MIN_DAYS0#新建用戶的密碼最短使用天數PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數PASS_MIN_LEN6#最小密碼長度6編輯操作系統文件/etc/pam.d/system-auth文件,應達到密碼復雜度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密碼最小長度6位和至少包含2數字、至少包含2個特殊字符數編輯操作系統文件etc/pam.d/system-auth文件,采取結束會話、限制非法登錄次數和自動退出等措施,實現登錄失敗處理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#設置密碼連續錯誤6次鎖定,鎖定時間300s。對于數據庫的身份鑒別,我們通過配置Oracle公司提供的驗證密碼復雜度的函數來實現。對于網站群系統,后臺管理用戶密碼復雜度設置高級別,對密碼的長度、大小寫、特殊字符都方面都要做要求,同時設置口令有效期。
1.5.2訪問控制訪問控制更側重于管理層面,要求操作系統和數據庫管理帳號和實際操作都必須為不同人員。我們制定相關崗位職責文件,實現權限分離,責任分離。如:依據安全策略控制用戶對資源的訪問;實現操作系統和數據庫系統用戶權限期的分離;限制默認帳戶的訪問權限,重命名系統默認帳戶,修改帳戶的默認口令;應及時刪除多余的、過期的帳戶,避免共享帳戶的存在。此外,我們對網站群的角色權限進行細分,做到權限相互制約。如超級管理員具有所有功能的操作權限,二級網站管理員只能具有自己站點的操作權限,審計員只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系統方面,我們遵循最小安裝的原則,僅安裝需要的組件和應用程序,使得端口和服務實現最小化;通過對安全漏洞的周期檢查,設置升級服務器等方式保持系統補丁及時得到更新,從而使絕大多數攻擊無效。
1.5.4資源控制系統資源控制主要指終端接入的方式、IP地址范圍及登錄次數限制。我們做了相關配置。
2網站群安全防范措施
單純期望某一個安全技術或體系架構就能夠全面消除或解決網絡安全威脅和風險的想法是不現實的。高職院校網站安全問題突出,還歸結于學校對網站安全不重視,網站信息保護意識差,網站日常維護缺失,等。我們只能通過大量實踐,在網絡安全實戰對抗中不斷完善,明確責任和義務,建立管理制度和安全制度。管理是網絡安全的重要部分,在對網站群部署進行有效的安全風險(安全威脅)識別和評估后,我們還圍繞技術層面、組織層面、管理層面、服務層面,完善網站群安全防范措施。建立學校、部門兩級運行維護的組織體系,按集中建站、分級管理、制度約束、服務保障的原則,通過統一策劃、統一標準、統一資源、統一平臺來實現集中建站。按照國家有關規章制度和安全辦法(策略),形成制度約束機制,確保網站群在高效、安全、有序的體系下運作。理順管理體制與職責,構建主站和子站間的垂直管理體系,制定網站群管理辦法、建立網站群管理和信息員制度、制定安全規范及操作手冊、建立內容管理與審核制度、明確各網站內容管理與運行管理崗位職責、規范工作流程、完善信息等環節,全面做好網站群安全管理工作。通過提升服務管理水平,構建健全的網站群服務體系。我們參考ISO/IEC20000-1采用的PDCA方法論,從規劃(P)、實施(D)、檢查(C)、改進(A)四個方面著手,根據學校技術、政策和資源等實際環境,加強安全服務管理,確保網站群服務水平。并參考信息安全服務體系,從安全評估服務、安全修復服務、安全保障服務、安全信息服務、安全培訓服務、數據恢復服務、產品集成服務八個方面,加強安全服務。
3網站群保障體系構建效果
因為經濟的飛速發展,電力事業發展水平也隨之穩步提升。其中電力的變電運行對整個電力系統的運行有著至關重要的作用,在實際運行中,為了確保運行的效率和安全性,需要對信息管理技術方面加以重視,以促進電力系統發展。本文對其在電力變電運行中的應用進行了簡要的分析。
關鍵字:
信息管理技術;變電運行;應用
0引言
安全性對于變電運行來說是非常重要的。目前電力系統的安全管理已由物理方面轉向網絡方面,目的就是防止互聯網所帶來的一些侵害,消除網絡因素所造成的安全隱患。信息管理技術是在計算機技術的基礎上發展而來的一種管理方式,應用范圍頗廣,為了保證變電系統的更好運行,就要有效地利用信息管理技術。
1信息管理技術與電力信息化簡述
隨著科學技術的不斷進步和企業管理者經驗的積累,電力企業開發了多種關于電壓管理及有效運行的相關系統,促使生產管理效率的提升,并確保變電運行的安全性,信息管理技術已在變電運行中得到了廣泛應用。通過信息管理技術,能解決組織環境問題,提高信息利用率,以實現信息價值最大化,而這一技術的主要目標就是使信息價值實現最大化。現代的電力企業需要建設具有科學性的電力系統,因而需要建立信息化系統來達到這一目標。電力信息化的建設目標是不但使電力系統科學性更強,而且實用性、安全性也因此增加。不管是在電能的生產還是傳輸,這一過程的完成都是瞬間的,由于電能的連續性特點,若在其中的任何一個環節出現終端現象,都會影響整個供電系統。為保證電力系統的正常運行,需要相關的指令來調動各環節在瞬間作出反應,并對相關環節進行掌控,保證數據信息能夠及時得到處理,為實現電力信息化這一過程,需要應用信息管理技術。
2信息管理技術存在優勢
2.1實用性較強
對于在變電運行中出現的一些問題,能夠解決二次部分相關數據源的使用和共享,對于變電技術人員而言,意義重大,可以有效地利用數據進行統計分析工作,使電力系統更好地運行。
2.2可靠性較高
升級維護工作簡單易行,因為采用的是數據庫及方法庫來進行信息管理,整個運行系統的可靠性不是分別在各級用戶中,而是相對集中在網絡中心的數據庫和規則庫,如果實際工作中出現意外情況,也不會對整個電力系統的運行帶來嚴重的影響,而且能夠輕易恢復。那么軟件開發人員的工作就是對方法庫進行更新換代,而且方便快捷。
2.3具有開放性和先進性
先進的數據倉庫技術使得數據有極其廣泛的來源,使用起來相對便捷,利于與MIS系統的接口,并且結合了互聯網模式,應用前景非常廣闊。
3變電運行中采用的安全策略
3.1設備安全策略
設備的安全對于信息網絡的安全至關重要,攻擊者主要通過控制網絡相關設備對系統進行攻擊破壞,只有保證所以環節都安全,才能保證整個系統的安全。可以把某些相對重要的設備,比如主機及路由器等盡可能做到集中管理,一些相關的通信線路盡可能將其深埋、架空或穿線,并作上明顯的標記,以防意外損壞。對于一些終端設備(小型交換機、工作站或其他轉換設備等)要由相關人員進行嚴格管理。
3.2安全技術策略
(1)防火墻技術。在信息系統安全性方面,防火墻一直處于第一位。防火墻技術相當于一個屏障,將非信任網絡與信任網絡進行隔離,適當隔離嫩能夠減小系統被破壞攻擊的風險,可以很好地保護系統,入侵者要穿過防火墻這道安全防線,才可攻擊目標計算機。電力企業可對防火墻設置相應的保護級別,級別高的保護有可能禁止視頻流等服務,可以根據企業自身需要而設置。防火墻技術是信息管理技術的一個方案,將公共數據及相關服務隔離在外,限制了對內部數據資源的訪問,保證變電運行安全[1]。(2)病毒防護技術。為了避免系統遭到計算機病毒的破壞和傳染,需要在各個環節采取相應的技術手段來預防,是通過對病毒規則作分類處理,在以后程序運作過程中,若是出現類似規則即可視為病毒。在計算機病毒的預防和檢測等方面統一管理,并不斷進行病毒庫的更新升級,以更準確識別病毒文件并及時清除,從而保障系統的安全。(3)數據與系統備份技術。電力相關企業的數據庫要進行定期備份,依據重要程度的不同,確定數據的備份等級及備份策略,建立專門的備份中心,應用先進的數據恢復技術,對一些關鍵業務的數據及系統實行備份,并制定相應的應用數據備份及故障時數據庫恢復方案,且要定期預演,以保證在意外發生時能快速恢復系統及數據,保證系統的可靠性和實用性[2]。(4)安全審計技術。安全審計技術可以自動評估用戶的合法性,對于一些非法訪問或者攻擊能夠做到及時發現并處理,中止其操作。大部分多用戶操作系統或一些正規軟件都具有日志功能,可以用來檢查用戶登錄、統計流量、調試軟件等。通過集中智能的安全審計系統,能自動對多種日志進行集中審計,查找錯誤發生的原因,及時彌補性能上的不足并加以強化和改進。
3.3組織管理策略
(1)安全意識與技能。通過培訓相關的安全知識,能夠強化企業員工的安全意識,使其具備基本的安全防范意識及處理一些常見的安全問題的技能,再充分利用其他安全技術或產品,將其有效結合,促使信息安全防護工作效率得到提升。(2)安全制度及策略。電力企業可以根據自身發展需要制定系列政策方針,且要具有統一性和指導性,以指導企業的信息管理工作。信息的安全需要一個合理的衡量標準,才利于形成一套安全防護體系。(3)安全組織與崗位。以確保企業信息的安全為根本目的,應設立相關安全部門對企業信息進行管理和維護。安全崗位是負責安全事宜的職位,由信息系統的安全管理部門根據需要而設定,因此在企業內部就可以形成良好的信息安全管理的專項工作,促進其他技術部門的配合,使各崗位工作高效有序地進行[3]。
4總結
在變電運行中合理運用信息管理技術,可以保障電力系統的可靠性,并提高運行效率及穩定性,對于變電運行有重要的輔助作用,還應對可能出現的不足加以完善和研究,為變電運行的發展奠定基礎。
參考文獻:
[1]范慧青,魏艷玲.試論電力工程變電運行的安全技術及管理[J].中國新技術新產品,2015(01):185.
[2]陳娟.電力系統變電運行中的信息管理技術分析[J].數字技術與應用,2015(08):198.
1 引言
新時期,結合信息安全技能培訓現狀,構建完善的教學體系,明確技能培訓目標,完善教學管理體制,改進人才考核方式,加強質量保障建設,有利于提高信息安全人才培養的規范化、科學化和標準化,提高信息安全人才隊伍整體質量和水平,對保障國家信息安全都有著非常重要的現實意義。
2 信息安全技能培訓的現狀分析
信息安全人才培養對社會發展意義重大,它不僅是企業正常運營與發展的根本前提,而且是國家信息安全保障體系構建的先決條件。但就現狀來講,我國信息安全人才技能培訓還存在著認識度不高和人才短缺的問題,嚴重制約了我國信息安全的現代化建設步伐。
信息化時代。企業的業務和管理已經離不開互聯網,這也決定了信息安全對企業生存與發展的重要性。據調查,有九成以上的企業完全或高度以來互聯網開展業務,企業安全問題十分常見,大到企業商業機密,小到個人隱私信息。但即便如此,大部分企業決策者依然沒有充分意識到信息安全保障的重要性,錯誤地認為一個殺毒軟件、一道防火墻、一個IT部門,就可以完全解除這種風險存在。可以說,信息化時代企業的“生產”安全指標通常是個未知數。
此外,信息安全人才短缺是當前普遍存在的一個問題。當企業逐步意識到信息安全保障重要性,并開始著手進行體系構建的時候。卻“意外”地發現信息安全人才是異常短缺。保障信息系統的安全,人才始終是根本,信息安全人才培養是為適應信息化時展的現實要求,是一種時代催生的全新職業導向。當前,全球各國都急需業務能力過硬、綜合素養較高的信息安全人才。拿美國來講,信息安全人才供需比為1:4,而我國在這方面的人才缺口更是驚人。據最新的權威數據調查顯示,2015年我國網絡安全人才缺口高達上百萬。截止2014年,我國高校設有信息安全專業的才僅僅103所,而碩士點和博士點更是少得可憐,總人數不到50個,而每年我國信息安全專業畢業的人才數量不足1萬人。由此可見,人才供需存在著嚴重失衡。
但是,人才需求與人才數量是不能劃等號的,信息安全教育因其專業獨特性,企業在信息安全人才的引進方面也存在許多問題:信息安全人才技能培訓體系不健全,人才引進機制不合理,高校教育重理論輕實踐,安全人員大部分都是“紙上談兵”等。可以說,面對社會認識度不足和信息安全人才短缺等問題,信息安全人才培訓體系的構建已迫在眉睫。
3 信息安全技能培訓的體系構建
3.1 教學內容體系構建
信息安全培訓教學體系的構建,主要包括基本概念、操作系統安全、防火墻技術、應用密碼技術、入侵檢測技術、網絡服務安全技能、病毒分析與防御和安全審計等方面,這是結合信息安全專業特征,在充分教學目標的基礎上所確定的內容,具有非常強的適用性。
首先,合理選擇培訓教學內容。通過對信息安全職業的全面分析,并基于信息安全的職業導向,明確各個工作環節的任務。然后針對具體任務確定相應的教學內容,包括病毒特點與機制、安全數據庫設計、掃描軟件的使用、安全審計的基本概念、Web應用服務等。
其次。合理安排培訓教學內容。結合不同行業對安全信息保障的不同要求,構建靈活、開放、多元的教學模塊,并將其分為前導性模塊和獨立性教學模塊,前者主要是信息安全的基本概念和法律法規,后者則主要上述所講的不同工作環節所涉及的教學點。這些教學點的課時與順序是由教師自行安排的,以更為全面的滿足不同行業領域的個性需求。
3.2 教學管理體系構建
信息安全技能培訓的管理體系,主要包括組織結構的管理和檔案信息的管理。一方面,信息安全人才技能培訓組織要在統一規劃、分級實施的原則指導下,按照國家相關部門的部署和計劃有步驟地開展相關培訓工作。此外,要成立培訓工作指導委員會,對安全信息人才技能培訓進行質量管理,以確保其高效、規范、合理地開展。各級信息安全人才技能培訓機構要負責組織和知道相關工作的開展;行業主管部門則負責制定培訓標準、發展計劃,指導運營使用單位相關工作的順利開展,以確保上級政策的全面貫徹與執行;而信息系統運營使用單位則負責具體的培訓工作,確保信息安全人才按計劃參加具體培訓活動,同時保證經費投入。
另一方面,要構建完善的培訓檔案管理機制。做好信息安全技能培訓的檔案管理,不僅是技能培訓規范化開展的有力保障,而且是對培訓教育重視程度的具體體現,也是后續教學經驗總結和管理策略調整的重要依據。具體地說,檔案管理主要包括培訓規章制度資料管理、培訓理論教材管理、培訓教學計劃管理、培訓考核管理、培訓輔助資料管理等。在培訓檔案管理過程中,要注重對相關檔案的搜集、整理、保存,并成立專門的資料庫,以便后續的開發與利用。
3.3 教學評價體系構建
信息安全培訓既要強調理論教學,又要做好實訓教學,所以其評價方式也分為兩部分,即理論知識考核和實踐操作考核,兩者所占比應為4:6。理論知識考核主要是基本知識點掌握程度的考核,并結合重難點進行考核權重的合理分配,如操作系統安全和網絡應用技術都是需要熟練掌握的內容,因此其考核權重各占6%,數據庫安全、入侵檢測技術和安全審計技術是需要掌握的內容,其考核權重可設為5%,信息安全的基本概念、基本法規和密碼技術是需要理解的內容,其考核權重可設為2%,而剩下知識點則可酌情分配。這樣一來,就構建了層次分明、靈活性強的評價體系,有利于幫助信息安全人員理解信息安全的內涵,提高培訓教學的針對性和實效性。
3.4 教學保障體系構建
信息安全技能培訓教學的保障體系構建,主要是指培訓的質量監督和評估體系構建。培訓的質量監督主要包括,對各類人員培訓考核情況的監督、對計劃實施情況的監督、對檔案管理情況的監督、對技能培訓機構的監督、對技能培訓制度制定和落實的監督等。而培訓的質量評估。就是在公正公平的原則指導下,結合相關制度標準和發了法規,合理制定質量評估標準。信息安全技能培訓教學的質量評估,是一種對培訓效果的綜合性評估,可通過直接評估、間接評估和現場評估等形式,對參訓人員的行為態度、學習效果、實際改進等方面展開動態評估。可以說,完善的教學保障體系很大程度上決定著信息安全技能培訓能否達到預期效果。
4 結束語
為推進國家信息安全保障建設的深入開展,也為提高信息安全從業人員的整體水平,以及降低信息安全事件的發生率。
本文初步構建了信息安全技能培訓的教學體系,希望能夠為信息安全保障建設提供實際幫助。信息安全技能培訓是一項復雜的工程,還有很長的一段路要走,我們必須加強創新,不斷探索,以促進信息安全教育的可持續發展。
信息化不僅促進當今世界的發展,也推動著經濟社會各領域的變革。大力推進信息化,是覆蓋我國現代化建設全局的戰略舉措,是貫徹落實科學發展觀、全面建設小康社會、構建社會主義和諧社會和建設創新型國家的迫切需要和必然選擇。科研信息化(e-Science)的概念首先由英國提出,是要對普遍意義上的科研工作進行信息化提高,其研發和應用涉及到所有學科的各個領域。發達國家經過長期發展基本完成了科研信息化的基礎設施建設,如美國的cyber-infrastructure以及歐盟的e-infrastructure。由此可見,科研信息化是我國在信息化時代背景下進行科研活動的必然方向。我國科研信息化雖然起步較晚,水平較低,但是發展迅速。科研信息化高速發展的過程中,信息安全問題也日益突出。由于信息技術是科研信息化的基礎,隨著二者的聯系愈發緊密,對信息與網絡技術的安全要求也越來越高。
二、信息安全“信息安全”概念的出現與發展經歷了漫長的過程
雖然世界各國早已開始實踐信息安全的相關活動,然而一直到上世紀四十年代學術界才開始出現“通信保密”的概念。上世紀五十年代,“信息安全”等用詞才開始進入相關的科技文獻。國際信息系統安全認證組織(InternationalInformationSystemsSecurityConsor-tium)將信息安全劃分為十大領域,包括物理安全、商務連續和災害重建計劃、安全結構和模式、應用和系統開發、通信和網絡安全、訪問控制領域、密碼學領域、安全管理實踐、操作安全、法律偵察和道德規劃。由此可知,信息安全所包含的領域十分廣泛。“通信與網絡安全”的內容開始逐漸與各類物理安全的內容一樣得到同等重視。21世紀以來,“信息安全”出現的頻率不斷增加,使用的范圍和領域也不斷擴大,并且進入了各個國家、地區的各類組織機構的政策法規之中,受到人們越來越多的關注與重視。本文中所涉及的信息安全主要限制于高校科研項目管理過程中的“信息空間、信息載體和信息資源不受來自內外各種形式的危險、威脅、侵害和誤導。”高校科研管理系統包括其硬件、軟件、數據。保障高校科研信息安全就是保障其軟硬件不受非法侵害、破壞,其數據不受非法更改、泄露,系統及其服務維持正常運行不中斷。
三、高校科研項目管理的信息安全需求
高校科研項目管理信息安全問題較為突出。首先,這是由高校科研活動自身特點所決定的。高校作為我國科研力量最為集中的單位,同時也是集科研、教學為一體的單位,其公開性與保密性并存。第一,辦學的公開性導致人員的流動性,交流與引進人才的同時也造成信息的流動;此外,學生也具有較大的流動性,包括學生參與不同教師的科研項目,出國交流學習、畢業、就業等,增加保密信息泄露的風險。第二,科研項目本身具有公開性,科研項目產生成果時需要進行及時的應用和轉化。由此可知,科研項目從產生到應用的過程就是一個信息傳遞、交流與共享的過程。其次,從高校科研項目管理過程角度出發,主要分為科研項目立項管理、項目實施管理、項目驗收管理三個階段。其中科研項目立項管理又包括項目建議書、項目可行性論證、簽訂項目合同等內容;項目實施管理包括科研項目計劃、項目跟蹤管理、項目中期評估等;項目驗收管理包括合同考核指標、項目組織與管理、項目績效管理等。科研項目管理的這些環節在高校中大部分已實現系統化、信息化、網絡化管理。由此可知,高校的科研管理部門在進行科研項目管理的過程中有以下三個方面的安全需求。
第一,科研項目保密性的安全需求。
由于高校人員的流動性、頻繁的交流活動以及科研活動本身具有一定的公開性,對項目的保密工作提出了更高的要求。一是出于對涉及國家安全與經濟安全的科研項目的保護;二是出于對知識產權的保護,因此如何加強項目保密性與保密范圍的管理至關重要。
第二,管理人員的信息安全需求。
據統計,在所有計算機安全事件中,人為因素造成的約占52%,而組織內部人員作案占10%,由外部不法人員的攻擊造成的安全事件僅有3%左右。可見,項目管理人員自身的安全意識淡薄,安全素質較低,有可能導致科研項目管理過程出現安全事故,例如保密信息外泄,訪問不受控制,系統崩潰后無法修復,甚至導致科研活動停滯。
第三,新技術的發展對信息安全提出了更高要求。
目前信息技術發展突飛猛進,已進入云計算、大數據、移動互聯等廣泛應用的新階段。滯后的信息技術,脆弱的信息網絡注定無法在利用信息技術破壞基礎網絡,攻擊網絡節點等不法行為日益猖獗的今天得以生存。然而,在及時應用如超級計算機及其網格技術、云服務等新技術的同時,科研項目管理同樣會面臨一系列新的問題,例如使用第三方云服務商所提供的產品,進行海量數據獲取、分析、處理的過程中所存在的安全隱患等。
四、高校科研項目管理信息安全實施策略
通過分析高校科研項目管理的特點及其對信息安全方面的需求可知,高校科研項目信息安全管理是一項復雜的系統工程。本文從管理、人員、技術、審計四個角度為保障高校科研項目管理的信息安全提供策略。
1.管理。
基于信息安全的科研項目管理工作,也是高校信息化建設的一部分。為打破“信息孤島”的局面,應將科研項目信息安全管理納入到高校信息化的整體規劃中去。從體制機制的角度出發,應重點關注信息安全管理制度的建立和健全以及信息安全管理組織或人員的設立。高校科研項目的信息安全管理制度應通過相應規章制度的制定,實現項目過程管理、人員管理、組織管理、風險管理等。同時,高校科研管理部門還應設立專門的信息安全管理組織或人員,負責對信息進行及時、全面、準確的甄別、篩選、收集、掌握、保管、分析、運用。
2.人員。
科研項目信心安全管理活動中存在著一般行政管理人員以及專業信息技術人員。提升這兩類人員的信息安全素養的方式方法既有相同點,也有不同點。相同點在于都需要對其進行充分的信息安全知識教育與培訓,可采用多種形式的輿論宣傳,崗前培訓與在職培訓、商業培訓與公益培訓相結合的方式。同時,可將員工的信息安全教育培訓納入到個人績效考核體系中去。不同點在于對一般行政管理人員應加強其信息技術基本知識、實踐技能方面的教育與培訓,對專業信息技術人員應加強法律法規,規章制度方面的知識普及。
3.技術。
如何掌握和運用較為先進和成熟的計算機信息技術,是保障科研項目管理過程中信息安全的重要支撐和基礎保障條件。目前在較為廣泛使用的項目管理信息技術包括科研管理系統(MIS)、決策支持系統(DSS)、辦公自動化(OAS/OA);信息安全管理技術包括防火墻技術、VPN技術、入侵檢測系統(IDS)、入侵防御系統(IPS)、安全服務器等。選擇適合于高校科研管理部門的信息安全技術,需要綜合評估成本與安全風險,同時需要保證優先和重點,優化信息安全資源配置。此外,還應對已有的信息安全軟、硬件不斷進行優化、升級,引進和應用國際先進技術,擁有和掌握自己的核心技術。
4.審計。
信息安全審計是對高校科研項目管理過程中的風險進行評估以及提出應對措施的系統過程。在選擇了合適的信息安全技術,建立了信息安全保障體系之后,這并不意味著信息安全管理工作已經結束。它是一個需要不斷完善的長期過程。信息安全審計包括對人員身份與訪問審計、網絡訪問控制審計、入侵防御審計、漏洞管理審計。首先,應對訪問信息系統的人員身份進行核準,并依據信息保密層級對準入人員進行分級;其次,應使用可以對訪問者以及系統安全性進行檢查的網絡訪問控制審計;最后,應對網絡入侵及系統防御情況進行審計監控,以便于發現系統、管理的漏洞,并對風險進行分析和處理。
五、結語
摘 要 企業信息化程度發展到一定水平,從防火墻、入侵檢測等安全硬件到文檔防泄密、行為管理等安全軟件,技術上都比較成熟且大部分企業都已實施部分安全項目。但實施安全項目之后并不是高枕無憂,管理是否到位及企業員工安全意識成為企業信息安全的短板,如何從管理角度提高企業的信息安全水平,已成為一個重要的課題。
關鍵詞 信息安全;管理;意識
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)70-0171-02
從安全軟硬件出發,大多安全實施廠家已有較成熟的方案,一旦項目實施完成后,企業往往容易忽略人員意識、IT審計、后續管理等因素對信息安全的影響。本文就如何解決企業信息安全短板,從管理角度進行探討。
1 管理安全的含義和IT審計的特點
從大的方面來說,信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。直接反映到企業來說,就是要通過實施一整套適當的控制措施實現企業各業務系統正常運行,確保安全目標的實現。本文從管理角度探討企業的信息安全,可以簡稱為管理安全,它是指建立并有效落實企業規章制度、安全管理規定等,來保證系統安全生存與運行。
企業安全管理的規章制度是否運行有效直接關系到企業安全目標能否保障,在此管理過程中需要引入IT審計。IT審計重點內容之一就是發現信息系統的潛在風險,可以說企業信息中心對潛在的IT風險是比較重視的。IT審計相對技術而言,更多側重于管理,比如在安全策略方面更側重于訪問授權的控制,以及定期核查是否按相關信息化制度辦事,還有就是有無進行過適當的滲透去檢驗系統的可靠性等。實施IT審計能夠提高企業信息系統的安全性,能夠客觀評價信息系統安全現狀。
2 從管理角度看企業中存在的主要信息安全威脅
1)企業日常信息化管理中,會碰到以下一些現象,如:明知計算機病毒無孔不入,卻不安裝殺毒軟件;個人認證的物品(如員工門禁卡)隨意借用他人;進入門禁系統之后,對他人尾隨不理不問;移動存儲介質外借他人,卻不知可能造成感染病毒或泄密;打印服務器、掃描服務器等公用電腦臨時存放許多信息卻不刪除。
從上述現象中可以得知,企業員工信息安全意識淡薄會產生較多安全漏洞。據《2011年度中國企業員工信息安全意識調查報告》顯示,30%的受訪者從來沒有接受過信息安全培訓,只有30%的企業會進行定期的信息安全培訓[1];
2)企業信息安全項目做的深度是與企業信息化發展水平相關的,一般企業會根據本身的信息化水平發展程度分步驟進行。企業初始階段會通過封USB端口,不配置光驅等形式防止電子文檔傳播至外界。現階段已有部分企業關注電子文檔防泄密的軟件,同時配以相應的制度,從一定程度上能達到預期的效果。項目實施后往往會發現效果難以保持,因為企業缺少相關的信息安全審計人員,在審計工作不到位的情況下,安全軟件的審計功能無法體現其價值;
3)企業通過安全軟件對電子文檔進行管理,在實物管理方面缺乏措施。辦公室文印區域是企業信息泄密的源頭之一,外單位人員進入企業進行交流時,通常會經過辦公室文印區域,員工打印文件后如不及時拿取,容易將技術資料留在在打印機上,給有心之人獲取,容易造成泄密。計算機、筆記本等辦公設備故障外移送修,送修前未經過審核批準,不對硬盤做處理,上述這些日常辦公現象存在著信息安全漏洞[2]。
3 信息安全短板的對策措施——強管理
盡管企業防火墻、防毒墻等安全硬件設施或安全軟件都較齊全,但是采取恰當的管理措施也能有效的提高信息安全水平,最終有效地保護企業信息資產。本文總結了以下幾種管理方法并加以說明。
1)提高員工安全意識,關鍵是做好培訓。一方面企業信息中心要組織好講師及培訓素材。培訓素材可結合生活中的信息安全案例或者通過動畫情景介紹等較生動的方式,寓教于樂,讓每個企業員工明白數據等無形資產的重要性,理解數據信息安全是企業的生存發展壯大的法寶。在培訓方式上,可采用循序漸進的培訓方式,不急于求全,可從最基本的啟用標準的計算機密碼(如大小寫字母+數字)、離開座位時使用屏保等開始培養。后續可陸續完善公司規章制度,同時認真落實,要讓員工真正懂得防止泄密的辦法;
2)通過IT審計嚴把信息安全管理關。企業做好IT審計,從以下幾方面入手:一方面是人才培養,企業審計部門需要引入類似IT審計師的角色,盡管現階段大部分中小企業未能做到這一點,但可參照國際上通用的認證培訓——國際信息系統審計師,把企業信息管理人員送出外培,提高兼職型IT審計人員的技術水平及能力;另一方面是IT審計人員職責要明確,從實踐上看,IT審計人員工作內容包括查看企業人員是否按照已有的規章制度進行審批手續、定期將審計報表反饋給高層,監督整改落實的情況及效果驗證,使企業自上而下重視信息安全管理;
3)讓安全軟件的審計功能發揮作用。市場上的電子文檔防泄密系統提供日志審計功能。日志系統主要用來跟蹤和記錄用戶對受控文件的操作、記錄管理員設定的策略和操作。企業系統管理員要對文件日志、部門日志、計算機日志、申請審批日志等進行定期檢查,同時發揮IT審計人員的監督作用,才可讓安全軟件的審計記錄發揮作用;
4)利用刷卡認證方式管理文檔輸出。辦公類信息安全管理方面,涉及到各類業務系統的賬戶管理、文檔輸出管理、存儲設備管理等。現有企業一般是通過制度約束,但效果不明顯,這里結合新的管理方式對文檔輸出管理進行說明。一般我們不會一直等在打印機旁,沒有把打印好的資料及時拿走。而所打印的資料大多是技術圖紙、商務合同、計劃等資料,讓人不經意地看到相關內容及敏感信息。要減少因遺忘而將已輸出的文檔滯留在文印設備上,可結合IC刷卡認證的方式,企業通過為文印設備配備一些讀卡器,只有當刷員工卡時,文檔才從文印設備輸出,員工可即刻拿走。
總之,企業信息安全是一個多點因素的難題,涉及技術、管理、應用等方面,隨著企業信息化的發展,各類信息系統及軟件資產不斷增多,從管理角度保障信息安全,增強企業員工安全意識,成為企業成長的重中之重。
參考文獻
目前政府行業、企業集團網絡所面臨的安全威脅在日益擴大,其中包括各種垃圾郵件、網絡病毒的肆意破壞,黑客攻擊造成的信息丟失,非授權訪問所造成的資源濫用和信息泄密,內部員工未經允許外聯撥號造成的信息被竊、木馬程序入侵以及事后不可審查和追蹤等各種問題。
面對這樣嚴峻的安全形式,為了構建一個完善的安全防御體系,必須在網絡中應用各種安全技術和相關的安全產品。建立起層層防護,讓外部各類攻擊的影響降低到最低限度。
1. 防火墻系統的作用
防火墻系統通常部署在內、外兩個網絡或者兩個網絡安全域的邊界處,對經過防火墻系統的數據進行檢測,判斷是否符合制定的通信策略,從而決定是否進行數據轉發,這樣有效地對內、外網絡實施隔離,能嚴格保護內部網絡不受非授權信息的入侵和訪問。
2. 網絡入侵檢測系統的作用
網絡入侵檢測系統(Intrusion Detection System)是從計算機網絡中的關鍵點(數據交換設備)收集信息,并分析這些數據,查看網絡中是否存在違反安全策略的行為。網絡入侵檢測系統通常部署在內部的數據交換設備上,如核心交換機或者集線器等。
3. 漏洞掃描系統的作用
網絡漏洞掃描評估系統用于分析網絡上的設備安全性,它可以檢查路由器、Web服務器、Unix服務器、Windows 服務器、桌面系統等弱點,從而識別能被入侵者用來非法進入網絡的漏洞,并及時生成綜合性的評估報告,提交檢測到的漏洞信息、詳細描述和建議的改進方法。
4. 網絡防病毒系統的作用
目前,網絡病毒的增長遵循“莫爾定律”,網絡病毒的數量每18個月也會翻一番。因此,建立完善的防病毒體系同樣是當務之急。首先,必須在網絡內部配備網絡版的防病毒軟件系統進行文件病毒的防護; 其次,對于網絡病毒來說(特別是電子郵件病毒、蠕蟲病毒),如果能夠做到在網絡出口處就將其封殺、截留的話,不僅能夠降低病毒進入網絡內部所造成的安全損失風險,更重要的是防止了病毒進入內部所帶來的帶寬阻塞或損耗,有效地保護了網絡帶寬的利用率。
5. 防垃圾郵件系統的作用
對于政府行業、企業集團的用戶而言,垃圾郵件不但降低了工作效率,嚴重的還有可能出現泄密事件,甚至導致法律糾紛。因此,阻止垃圾郵件攻擊的最直接、最有效的方式就是建立主動防御的反垃圾郵件機制――部署防垃圾郵件系統。
6. 信息審計系統的作用
信息審計系統是一個安全的防御體系必須具備的功能特性。信息審計是記錄用戶使用計算機網絡系統所訪問的所有資源和訪問的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能夠成功地還原系統的相關協議,同時對于發現是否有網絡攻擊的情況,直至確定問題和攻擊源也十分重要。
7. 內網安全管理系統的作用
如今,很多企業集團90%的數據信息是以電子文檔的形式存放在內部網絡中。而大部分企業集團的內部網絡常常存在種種隱患,使企業面臨機密信息被泄露的危險。如員工有意無意地泄密、跳槽時帶走機密資料等種種泄密途徑,考驗著企業內網的每一根神經,稍有不慎,公司就有可能一夜之間處在商業危機的邊緣。為此,內網安全成為一個被熱門討論的問題,也成為了在信息社會推動企業發展的前沿動力。
另外,很多外界力量還在為這股動力起到助推作用。美國已經頒布并實施了著名的SOX(薩班斯-奧克斯利)法案,該法案第404條明確強調企業的信息技術策略和系統中的內部控制,以及對審計過程存檔的要求,即企業的內控活動(不論是人還是機器)的操作流程都必須明白地定義并保存相關記錄,然后才能實施。同時,企業集團的CEO必須將財務信息保存8年以上,供隨時審計,其中過程、由網絡產生的數據都作為審計對象,并對企業財務數據的真實性負責,否則要承擔最多被監禁25年的刑事責任。
而內網安全管理系統則可以將內網安全管理、內網安全審計與內網安全監控有機地結合在一起,運用多種技術手段, 全面保護網絡、系統、應用和數據,并從源頭上阻止了敏感信息泄漏事件的發生。
