時(shí)間:2023-09-15 17:31:26
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全定級評估,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
持續(xù)推動的等級保護(hù)
信息化技術(shù)標(biāo)準(zhǔn)委員會副主任委員崔書昆認(rèn)為,在基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全嚴(yán)重關(guān)系到國家安全、社會穩(wěn)定以及人民群眾切身利益的今天,信息安全問題已然成為事關(guān)全局的戰(zhàn)略性問題。近年來,有關(guān)部門圍繞信息安全保障體系建設(shè),在信息安全等級保護(hù)、風(fēng)險(xiǎn)評估、標(biāo)準(zhǔn)制定、產(chǎn)品開發(fā)及打擊各種網(wǎng)絡(luò)違法犯罪活動等方面取得了積極進(jìn)展。在這種情勢下,將信息安全等級保護(hù)確定為提高國家信息安全保障能力,維護(hù)國家安全、社會穩(wěn)定和公共利益的一項(xiàng)基本制度,是非常必要的。
可以這樣理解,我國信息安全各項(xiàng)工作快速推進(jìn),信息安全風(fēng)險(xiǎn)評估工作和保障體系建設(shè)、信息安全管理工作、信息安全法制化和規(guī)范化建設(shè)、信息化基礎(chǔ)設(shè)施和體系建設(shè)取得了重要的成效。特別是從2007年7月20號開始,全國重要信息系統(tǒng)定級工作已經(jīng)開始,并在各行業(yè)、各部門、各單位的支持下,取得了豐碩的成果。
從2008年開始,公安部會同國家保密局等部門,在重要信息系統(tǒng)定級工作的基礎(chǔ)之上,部署和開展深入推進(jìn)信息安全等級保護(hù)工作,它主要分為三個(gè)方面:
第一,依據(jù)國家行業(yè)標(biāo)準(zhǔn),從管理和技術(shù)兩個(gè)方面,開展信息系統(tǒng)安全建設(shè)整改,建立并落實(shí)安全管理制度,落實(shí)安全責(zé)任制。
第二,根據(jù)等級保護(hù)標(biāo)準(zhǔn)開展風(fēng)險(xiǎn)評估、災(zāi)難備份、應(yīng)急處置、安全檢查等工作。
第三,對信息系統(tǒng)應(yīng)用的一些重要單位,開展等級保護(hù)工作檢查。
公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全處長說:“目前全國范圍內(nèi),大規(guī)模的重要系統(tǒng)定級工作已經(jīng)基本完成,相關(guān)資料目前集中到公安部進(jìn)行管理。定級工作的主要成效是了解重要信息系統(tǒng)的底數(shù),掌握國家信息安全的基本情況,為全面貫徹落實(shí)信息安全等級保護(hù)制度,推動國家信息安全保障等工作的深入發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。同時(shí),某些地方、企業(yè)或者單位沒有完成定級工作,但會納入到我們下一階段的檢查工作當(dāng)中完成。另外,有些企業(yè)會隨后逐步執(zhí)行該工作,不會影響國家等級保護(hù)制度的大規(guī)模推動。”
實(shí)施等級保護(hù),充分體現(xiàn)了“適度安全、保護(hù)重點(diǎn)”的目的,可以把國家的重要網(wǎng)絡(luò)、重要系統(tǒng)挑出來,把國家有限的精力、財(cái)力投入到信息保護(hù)當(dāng)中去,提高國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)水平,同時(shí)提高信息安全保障工作的整體水平。
奧運(yùn)留下的財(cái)富
“2008年北京奧運(yùn)會的信息網(wǎng)絡(luò)安全工作給我們留下了很多財(cái)富。”郭啟全曾經(jīng)說過,奧運(yùn)會對我們國家的信息網(wǎng)絡(luò)安全工作進(jìn)行了一次大考。它既考驗(yàn)了我們國家信息網(wǎng)絡(luò)安全的工作,同時(shí)也考驗(yàn)了等級保護(hù)主管部門、公安部和很多部委的行業(yè)主管部門的信息安全工作。在這次大考中,各部門均表現(xiàn)得很優(yōu)秀。在北京奧運(yùn)會期間,無論是核心網(wǎng)絡(luò)還是信息系統(tǒng),都遭受了大規(guī)模的攻擊和入侵,卻沒有出現(xiàn)相關(guān)安全事故,支撐北京奧運(yùn)會順利舉辦,這是我國信息網(wǎng)絡(luò)安全領(lǐng)域經(jīng)歷的考驗(yàn)。
實(shí)際上,奧運(yùn)會取得的經(jīng)驗(yàn)和公安部下一步等級保護(hù)工作之間存在密切的相關(guān)性。公安部和有關(guān)部委會借鑒奧運(yùn)會信息安全網(wǎng)絡(luò)經(jīng)驗(yàn),充分利用好奧運(yùn)留下的財(cái)富,進(jìn)一步開展今后的工作。
記者了解到,在北京奧運(yùn)會之前,成立了以公安部牽頭的包括海關(guān)、銀行、廣電等14個(gè)部委參加的信息網(wǎng)絡(luò)安全指揮部。由于有了這樣的指揮部,使得各項(xiàng)工作的落實(shí)有了一個(gè)組織保障。如果沒有這個(gè)指揮部,大家各干各的,在北京奧運(yùn)會期間便無法保證重要系統(tǒng)和網(wǎng)絡(luò)的安全。
在2008年,國家安全的核心問題便是保障奧運(yùn)的安全,奧運(yùn)安全采取的第一個(gè)措施就是等級保護(hù)。郭啟全介紹說:“公安部把奧運(yùn)核心網(wǎng)絡(luò)和涉及奧運(yùn)會的系統(tǒng)都定級、備案,針對風(fēng)險(xiǎn)和重要性搞等級測評和風(fēng)險(xiǎn)評估,反復(fù)查找問題、漏洞、脆弱性和安全風(fēng)險(xiǎn)。從歷史經(jīng)驗(yàn)來看,總會有一些黑客試圖攻擊奧運(yùn)系統(tǒng)。所以,在這些黑客攻擊之前,我們就需要開始做嚴(yán)格的攻擊性自測。找到問題后進(jìn)行系統(tǒng)加固,并且是有針對性地進(jìn)行加固。這種安全建設(shè)、整改、加固還有等級測評,提升了我們的系統(tǒng)防范能力。”
郭啟全強(qiáng)調(diào):“我們當(dāng)時(shí)還專門針對北京奧運(yùn)會提出了風(fēng)險(xiǎn)評估的指南。北京奧運(yùn)會期間最大的風(fēng)險(xiǎn)是什么?其實(shí)就是來自黑客的攻擊破壞,所以搞風(fēng)險(xiǎn)評估要針對最大的風(fēng)險(xiǎn)去做。舉個(gè)例子,我到國家體育總局去了三次,就是研究他們的網(wǎng)絡(luò)安全問題、網(wǎng)站安全問題,這就有針對性,搞等級保護(hù)、風(fēng)險(xiǎn)評估非常有針對性。這使得我們的風(fēng)險(xiǎn)找得準(zhǔn),漏洞找得準(zhǔn),問題找得準(zhǔn),因此相關(guān)措施就有針對性。”
2009年的新工作
中國工程院院士沈昌祥指出,目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力還處于發(fā)展的初級階段,有些應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國防科技大學(xué)的一項(xiàng)研究表明,我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入,其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。
由于奧運(yùn)網(wǎng)絡(luò)和信息系統(tǒng)開展了等級保護(hù)工作,并對等級保護(hù)工作的政策標(biāo)準(zhǔn)、工作環(huán)節(jié)進(jìn)行了檢驗(yàn),所以等級保護(hù)下一步的工作部署將充分借鑒北京奧運(yùn)會的經(jīng)驗(yàn),健全完善等級保護(hù)領(lǐng)導(dǎo)體制和協(xié)調(diào)配合機(jī)制,例如等級保護(hù)原來有些領(lǐng)導(dǎo)體制可能還要進(jìn)行補(bǔ)充,明確重點(diǎn)工作對象,比如說拿三級系統(tǒng)作為重點(diǎn)工作對象。
郭啟全說:“我們會嚴(yán)格落實(shí)責(zé)任制,認(rèn)真抓好三點(diǎn)工作,計(jì)劃三年內(nèi)完成安全系統(tǒng)的整改工作,總的目標(biāo)就是:能力提高,事故降低,等級保護(hù)制度得到落實(shí),國家信息網(wǎng)絡(luò)安全基本得到保障。”
開展的重點(diǎn)工作主要分為三個(gè)方面。第一個(gè)方面是全面開展等級保護(hù)安全建設(shè)整改工作,要建設(shè)安全設(shè)施,落實(shí)安全措施,建立并落實(shí)安全管理制度,落實(shí)責(zé)任制。第二個(gè)方面是各單位建立安全整改工作規(guī)劃,完成定級系統(tǒng)整改規(guī)劃和制定具體實(shí)施方案。第三個(gè)方面是以三級以上系統(tǒng)為重點(diǎn),確定安全需求,制定安全方案。“當(dāng)然,一些單位可能不太明白具體的操作辦法,屆時(shí)我們會選擇有代表性的信息系統(tǒng)進(jìn)行安全建設(shè)試點(diǎn)、示范,結(jié)合行業(yè)特點(diǎn)制定行業(yè)標(biāo)準(zhǔn)規(guī)范,按照有關(guān)工作實(shí)施的規(guī)范要求組織實(shí)施信息系統(tǒng)安全建設(shè)工程。”
國家特別重視信息系統(tǒng)安全保護(hù)工作,確立了信息安全等級保護(hù)的基本指導(dǎo)思想,明確要求“重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國際安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級保護(hù)制度,制定信息安全等級保護(hù)的管理辦法和技術(shù)指南。要重視信息安全風(fēng)險(xiǎn)評估工作。對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估。”
現(xiàn)實(shí)工作中,企業(yè)員工的違規(guī)使用行為往往會導(dǎo)致重要信息意外泄露,給企業(yè)生產(chǎn)帶來嚴(yán)重影響,造成巨大經(jīng)濟(jì)損失。特別是對于國有石油企業(yè)而言,網(wǎng)絡(luò)安全的重要性不言而喻,其業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行直接關(guān)系著社會秩序穩(wěn)定,關(guān)系到國計(jì)民生的長遠(yuǎn)發(fā)展。國有石油企業(yè)網(wǎng)絡(luò)安全建設(shè)在滿足自身業(yè)務(wù)安全需求的基礎(chǔ)上,必須遵循國家提出的等級保護(hù)等合規(guī)性工作要求。復(fù)雜的外部環(huán)境和來自于國家的合規(guī)性要求,這些使得石油企業(yè)都迫切需要提高信息安全保障能力,保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施與業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。
網(wǎng)絡(luò)安全防護(hù)技術(shù)與產(chǎn)品多種多樣,但是沒有一種獨(dú)立的解決方案能夠滿足石油企業(yè)信息安全上的需求,只有將多種安全防護(hù)技術(shù)緊密地結(jié)合在一起,才能充分發(fā)揮其各自作用。通過將各種安全防護(hù)技術(shù)統(tǒng)一、全盤考慮,能夠避免出現(xiàn)彼此之間相互抵觸,導(dǎo)致防護(hù)水平降低現(xiàn)象出現(xiàn)。實(shí)現(xiàn)1+1>2的防護(hù)效果,切實(shí)保障石油企業(yè)網(wǎng)絡(luò)信息安全。
“知己知彼,百戰(zhàn)不殆”,在石油企業(yè)網(wǎng)絡(luò)安全工作中,即要對所面臨的對手——安全威脅與挑戰(zhàn)有著深刻的理解,更要對自身業(yè)務(wù)系統(tǒng)脆弱性與安全需求有清晰的認(rèn)識。為了明確問題范圍,深入理解企業(yè)當(dāng)前面臨的安全風(fēng)險(xiǎn)與問題,明確自身安全需求,石油企業(yè)首先要對各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行安全評估。評估方面應(yīng)當(dāng)涵蓋IT基礎(chǔ)設(shè)備的各個(gè)方面,包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、終端設(shè)備、互聯(lián)網(wǎng)出口、管理制度與規(guī)范等多個(gè)方面的內(nèi)容。通過進(jìn)行安全評估與風(fēng)險(xiǎn)分析,明確安全風(fēng)險(xiǎn)的范圍、內(nèi)容與嚴(yán)重程度,確定工作目標(biāo)與工作重點(diǎn)。在開展風(fēng)險(xiǎn)評估工作的同時(shí),還應(yīng)與有關(guān)部門合作,對已經(jīng)定級應(yīng)用系統(tǒng)開展等級保護(hù)測評工作,對新上線系統(tǒng)進(jìn)行定級備案,滿足合規(guī)性要求。
網(wǎng)絡(luò)安全工作是一個(gè)系統(tǒng)工程,石油企業(yè)應(yīng)以“統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一建設(shè)、統(tǒng)一管理”作為工作指導(dǎo)思想,按照由外到內(nèi)、層層深入、分區(qū)防護(hù)、縱深防御的思路進(jìn)行網(wǎng)絡(luò)安全防護(hù)建設(shè)。
首先,應(yīng)當(dāng)明確不同工作內(nèi)容的范圍。網(wǎng)絡(luò)安全工作紛繁蕪雜,涉及到各個(gè)方面的工作內(nèi)容。對于主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)等方面的工作內(nèi)容,由各應(yīng)用系統(tǒng)建設(shè)與維護(hù)人員考慮。對于物理安全、網(wǎng)絡(luò)安全等具有一定共性安全內(nèi)容,進(jìn)行統(tǒng)一規(guī)劃,按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行防護(hù),制定標(biāo)準(zhǔn)的IT服務(wù)管理規(guī)范進(jìn)行統(tǒng)一管理。石油企業(yè)網(wǎng)絡(luò)安全工作的第一步應(yīng)當(dāng)界定內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)邊界,對進(jìn)入網(wǎng)絡(luò)內(nèi)部的途徑進(jìn)行梳理,對互聯(lián)網(wǎng)出口按照統(tǒng)一標(biāo)準(zhǔn)進(jìn)行管理,按照統(tǒng)一標(biāo)準(zhǔn)進(jìn)行安全防護(hù)。互聯(lián)網(wǎng)出口是外部用戶訪問企業(yè)信息系統(tǒng)的重要途徑,同時(shí)也是安全威脅進(jìn)入企業(yè)網(wǎng)絡(luò)的重要途徑。出口越多,入侵者進(jìn)入內(nèi)部網(wǎng)絡(luò)的途徑就越多,安全隱患也越多,在運(yùn)維過程中也難以統(tǒng)一管理。針對互聯(lián)網(wǎng)出口多、互聯(lián)網(wǎng)出口安全防護(hù)標(biāo)準(zhǔn)不一致,容易受到外部入侵等安全威脅的問題,可以采用統(tǒng)一互聯(lián)網(wǎng)出口的策略。石油企業(yè)應(yīng)根據(jù)用戶及應(yīng)用系統(tǒng)的使用需求,對互聯(lián)網(wǎng)出口進(jìn)行統(tǒng)一規(guī)劃,制定統(tǒng)一的出口防護(hù)標(biāo)準(zhǔn),并按照標(biāo)準(zhǔn)進(jìn)行統(tǒng)一安全防護(hù)。通過對互聯(lián)網(wǎng)出口統(tǒng)一規(guī)劃、統(tǒng)一防護(hù)、統(tǒng)一管理,可以減少入侵者通過網(wǎng)絡(luò)接入企業(yè)內(nèi)部網(wǎng)絡(luò)的途徑,提高企業(yè)網(wǎng)絡(luò)邊界安全防護(hù)能力。通過應(yīng)用技術(shù)隱蔽企業(yè)網(wǎng)絡(luò)信息,通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)改變IP地址內(nèi)容,降低入侵者通過互聯(lián)網(wǎng)出口直接滲透進(jìn)入內(nèi)部網(wǎng)絡(luò)的可能性。
第二,對用戶訪問權(quán)限進(jìn)行劃分。并非所有用戶都具有互聯(lián)網(wǎng)訪問權(quán)限,只有業(yè)務(wù)需求的用戶,經(jīng)過審批后才能開通互聯(lián)網(wǎng)訪問權(quán)限。同時(shí)用戶使用USBkey進(jìn)行身份認(rèn)證,以USBkey作為用戶身份的唯一標(biāo)識,實(shí)現(xiàn)用戶訪問行為實(shí)名制管理,避免用戶名口令方式存在的漏洞。傳統(tǒng)的安全違規(guī)事件定位方式是通過IP地址進(jìn)行問題定位,這種方式進(jìn)行事件處理費(fèi)時(shí)費(fèi)力,特別是在大規(guī)模復(fù)雜結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境中,基本上很難實(shí)現(xiàn)及時(shí)、準(zhǔn)確定位的目標(biāo)。為了在違規(guī)事件發(fā)生后能實(shí)現(xiàn)問題來源快速準(zhǔn)確定位,可以將用戶訪問行為信息與用戶身份標(biāo)識進(jìn)行綁定,一旦發(fā)生違規(guī)事件后,可以通過用戶信息而不是IP地址進(jìn)行迅速定位與響應(yīng)。
第三,規(guī)范用戶的互聯(lián)網(wǎng)使用行為,避免用戶訪問具有安全風(fēng)險(xiǎn)的內(nèi)容給自身和企業(yè)帶來危害。通過行為審計(jì)技術(shù)對用戶的互聯(lián)網(wǎng)訪問內(nèi)容進(jìn)行記錄與審計(jì),發(fā)生安全事件后可以根據(jù)審計(jì)記錄定位事件發(fā)生時(shí)間及來源。審計(jì)設(shè)備記錄了所有用戶訪問互聯(lián)網(wǎng)所有內(nèi)容,部分信息中還包括違規(guī)發(fā)送的信息。因此,在審計(jì)記錄訪問權(quán)限分配制過程中,要按照安全審計(jì)職責(zé)分離的要求設(shè)置不同權(quán)限的用戶,避免系統(tǒng)管理員處理過程中接觸文件導(dǎo)致的二次泄密事件。
第四,制定和實(shí)施相關(guān)管理制度與規(guī)范。信息安全“三分技術(shù)、七分管理”,石油企業(yè)安全目標(biāo)的實(shí)現(xiàn),不但要以先進(jìn)、成熟、可靠的技術(shù)作為支撐和保障,更需要制定相應(yīng)管理辦法與規(guī)范作為依托,通過建立和健全完整的安全管理制度與規(guī)范對用戶使用行為進(jìn)行管理。參照全球最佳安全管理實(shí)踐,建立標(biāo)準(zhǔn)和規(guī)范的IT服務(wù)運(yùn)維管理流程。通過標(biāo)準(zhǔn)化流程,規(guī)范系統(tǒng)運(yùn)維與管理工作。
關(guān)鍵詞:策略 系統(tǒng)工程 動態(tài)
中圖分類號:TP301 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2012)08(c)-0012-01
信息技術(shù)、通信技術(shù)、計(jì)算機(jī)技術(shù)對各個(gè)行業(yè)的影響越來越大,已成為國家和社會發(fā)展的重要戰(zhàn)略資源。各個(gè)行業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)的互動互連、信息的共享已經(jīng)成為必然趨勢,中國的軍工研究單位也不例外。3G/4G高速數(shù)據(jù)手機(jī)通信也已經(jīng)滲透到每個(gè)人的工作、生活之中,如何在現(xiàn)有形式下保護(hù)開放網(wǎng)絡(luò)環(huán)境下軍工研究單位的軍事秘密信息已經(jīng)成為當(dāng)前的重要任務(wù)。解決辦法之一是建立獨(dú)立的軍隊(duì)內(nèi)部網(wǎng),在物理上隔開與外界的互連,這樣將直接影響到軍工研究單位與非軍工研究單位的協(xié)同工作,對中國武器裝備科研發(fā)展帶來不利的影響。最好的解決方法是按照軍事級別的要求提高軍工研究單位的網(wǎng)絡(luò)安全,不僅能使用互聯(lián)網(wǎng)、通信網(wǎng)絡(luò)的優(yōu)勢,同時(shí)也能保護(hù)軍事秘密。
1 網(wǎng)絡(luò)安全體系
網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌行為的攻擊。要提高網(wǎng)絡(luò)安全性,任何單位都需要一個(gè)完整的網(wǎng)絡(luò)安全體系結(jié)構(gòu),否則該網(wǎng)絡(luò)將是個(gè)無用、甚至?xí)<皣野踩木W(wǎng)絡(luò)。無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素造成的安全脆弱性和潛在威脅。要從網(wǎng)絡(luò)安全體系的各個(gè)層面來分析網(wǎng)絡(luò)安全的實(shí)現(xiàn),研究網(wǎng)絡(luò)安全模型,來對網(wǎng)絡(luò)安全體系進(jìn)行研究與部署。一般的網(wǎng)絡(luò)系統(tǒng)都要涉及到網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用程序,僅僅從這三個(gè)方面實(shí)施網(wǎng)絡(luò)不能完全保證網(wǎng)絡(luò)的整體安全。因?yàn)樵诰W(wǎng)絡(luò)中信息是核心,如何保證數(shù)據(jù)的安全性以及使用這些信息的用戶、實(shí)體和進(jìn)程的安全性也是必須考慮,只有從這五個(gè)層次綜合考慮,才能總整體上做到安全的防護(hù)。
網(wǎng)絡(luò)安全體系的五層之間是相互依賴的,呈現(xiàn)了整體性,相互協(xié)作以立體化作業(yè)來提高整個(gè)系統(tǒng)的安全性。網(wǎng)絡(luò)安全威脅按照攻擊者的主動性可以分為主動威脅和被動威脅,在合適的網(wǎng)絡(luò)安全模型的支持下,網(wǎng)絡(luò)系統(tǒng)可以采用對應(yīng)的主動防御技術(shù)和被動防御技術(shù)來提高網(wǎng)絡(luò)系統(tǒng)的安全性。現(xiàn)在的網(wǎng)絡(luò)主動防御技術(shù)和被動防御技術(shù)有很多,把最好的、最貴的防御產(chǎn)品部署到軍工單位的網(wǎng)絡(luò)中是不能提供足夠的安全,應(yīng)該按照網(wǎng)絡(luò)安全策略指導(dǎo)網(wǎng)絡(luò)安全技術(shù)來保護(hù)好網(wǎng)絡(luò)安全,對網(wǎng)絡(luò)安全整體體系進(jìn)行保護(hù),才能即保護(hù)了數(shù)據(jù),同時(shí)也充分利用了網(wǎng)絡(luò)的便利性和快捷性。
2 網(wǎng)絡(luò)安全策略
網(wǎng)絡(luò)安全策略(Security Policy)是指在一個(gè)特定的網(wǎng)絡(luò)環(huán)境里,為保證提供一定級別的安全保護(hù)所必須遵守的一系列條例、規(guī)則。進(jìn)行數(shù)據(jù)訪問時(shí),網(wǎng)絡(luò)安全策略規(guī)定在安全范圍內(nèi)什么是允許的,什么是不允許的。網(wǎng)絡(luò)安全策略通常不作具體規(guī)定,它僅僅提出什么是最重要的,而不確切地說明如何達(dá)到所希望的安全性。網(wǎng)絡(luò)安全策略建立起安全技術(shù)規(guī)范的最高一級。安全策略具備普遍的指導(dǎo)意義,它針對網(wǎng)絡(luò)系統(tǒng)安全所面臨的各種網(wǎng)絡(luò)威脅進(jìn)行安全風(fēng)險(xiǎn)分析,提出控制策略,建立安全模型和安全等級,對網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行評估并為網(wǎng)絡(luò)系統(tǒng)的配置管理和應(yīng)用提供基本的框架。有了網(wǎng)絡(luò)安全策略系統(tǒng)才可能保證整體網(wǎng)絡(luò)系統(tǒng)能夠正常有序地運(yùn)行,也才可能更安全合理地提供網(wǎng)絡(luò)服務(wù),有了網(wǎng)絡(luò)安全策略才可能更加高效迅速地解決網(wǎng)絡(luò)安全問題,使網(wǎng)絡(luò)威脅造成的損失降為最小。
制訂軍工單位的安全策略必須以《保密法》、《中華人民共和國保守國家秘密法》、《中國人民保密條例》、《中華人民共和國計(jì)算機(jī)信息、系統(tǒng)安全保護(hù)條例》為根本依據(jù),才能制訂科學(xué)的、完善的網(wǎng)絡(luò)安全策略。安全策略是規(guī)章制度,是網(wǎng)絡(luò)安全的高級指導(dǎo),需要考慮軍工企業(yè)的各個(gè)方面,不僅僅是網(wǎng)絡(luò)安全的技術(shù),還必須包括各個(gè)級別的員工的安全教育、安全操作、危機(jī)意識的培養(yǎng)。比如現(xiàn)在手機(jī)終端功能越來越強(qiáng)大,很多人都喜歡手機(jī)終端的通信,這樣就為軍工單位的網(wǎng)絡(luò)打開一個(gè)缺口,黑客軟件可以控制手機(jī)攝像頭的打開和攝像操作,在軍工單位內(nèi)使用智能手機(jī)就有可能泄露軍事秘密。所以軍工單位的安全必須采用系統(tǒng)工程的方法進(jìn)行,作為一個(gè)復(fù)雜的系統(tǒng)來考慮,這樣才能制定一個(gè)科學(xué)的安全策略。軍工單位的網(wǎng)絡(luò)安全策略制定是屬于社會領(lǐng)域的研究,可以采用軟系統(tǒng)方法論,采用一個(gè)系統(tǒng)方法,以國家法律和法規(guī)為基礎(chǔ),在軍工單位的各個(gè)層面的人員進(jìn)行討論和辯論,使大家從各個(gè)層面考慮網(wǎng)絡(luò)安全問題,是問題得到充分的認(rèn)識和問題解決的考慮,使制定的安全策略得到全面的考慮,同樣對軍工單位的人員的一個(gè)安全教育。
安全策略出自對軍工單位的要求、網(wǎng)絡(luò)設(shè)備環(huán)境、軍事機(jī)構(gòu)規(guī)則、國家軍事秘密法律約束等方面研究,在網(wǎng)絡(luò)安全專家的協(xié)助下制定詳細(xì)的規(guī)范,但僅僅使提供安全服務(wù)的一套準(zhǔn)則,具體的實(shí)現(xiàn)需要各種網(wǎng)絡(luò)安全防御技術(shù)提供的安全服務(wù)和安全機(jī)制來保障。軍工單位的網(wǎng)絡(luò)安全策略是一個(gè)動態(tài)策略,它是要在安全策略的執(zhí)行過程中,實(shí)時(shí)進(jìn)行監(jiān)測,實(shí)時(shí)對各個(gè)層面的人員進(jìn)行安全教育,對于出現(xiàn)的問題及時(shí)對安全策略進(jìn)行修訂和補(bǔ)充。
3 結(jié)語
各個(gè)國家的軍工單位都是重點(diǎn)保護(hù)的對象,因?yàn)樗鼡碛熊娛旅孛苄畔ⅲ彩歉鞣N敵對勢力、競爭對象、商業(yè)間諜進(jìn)行網(wǎng)絡(luò)攻擊的目標(biāo),提高網(wǎng)絡(luò)安全是軍工單位網(wǎng)絡(luò)邊界的第一道防線,網(wǎng)絡(luò)安全策略就是指導(dǎo)各種網(wǎng)絡(luò)安全防御技術(shù)保障整個(gè)網(wǎng)絡(luò)體系的安全。不要認(rèn)為網(wǎng)絡(luò)全策略僅僅是一個(gè)規(guī)則和制度,僅僅采購高級網(wǎng)絡(luò)技術(shù)就可以了,軍工單位的網(wǎng)絡(luò)必須在網(wǎng)絡(luò)安全策略的宏觀指導(dǎo)下才能綜合各種網(wǎng)絡(luò)安全產(chǎn)品構(gòu)建一個(gè)動態(tài)的安全網(wǎng)絡(luò),它是各個(gè)部分工作的規(guī)范,包括人員。網(wǎng)絡(luò)安全策略是一個(gè)軍工單位的核心,只有充分認(rèn)識網(wǎng)絡(luò)安全策略的動態(tài)發(fā)展過程,才能使軍工單位充分使用網(wǎng)絡(luò)的優(yōu)點(diǎn),也能保護(hù)好單位內(nèi)部秘密。
參考文獻(xiàn)
[1] 尹開賢.軍工單位信息系統(tǒng)的安全保密形勢與對策[C].第十一屆“保密通信與信息安全現(xiàn)狀研討會”,2009(8):186-187.
2007年,原鐵道部成立了鐵路信息安全等級保護(hù)工作協(xié)調(diào)領(lǐng)導(dǎo)小組,印發(fā)了《關(guān)于開展鐵路重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》。多次組織會議研究具體工作,并每年將等級保護(hù)工作列入全國鐵路信息化工作要點(diǎn),提出明確要求,重點(diǎn)督促落實(shí)。2012年,了《關(guān)于進(jìn)一步做好鐵路信息安全等級保護(hù)工作的通知》,進(jìn)一步推進(jìn)鐵路信息安全等級保護(hù)工作。截至2012年,鐵路行業(yè)已對33個(gè)信息系統(tǒng)進(jìn)行了定級,其中二級8個(gè),三級22個(gè),四級3個(gè),結(jié)合系統(tǒng)建設(shè)、升級改造、專項(xiàng)工程等,對部分已定級的信息系統(tǒng)進(jìn)行了相應(yīng)的信息安全防護(hù)改造,起到了一定的防護(hù)作用。
2其他行業(yè)信息安全等級保護(hù)工作現(xiàn)狀
2.1電力行業(yè)
電力信息系統(tǒng)包括發(fā)電、輸電、變電、配電、用電等環(huán)節(jié)的生產(chǎn)、調(diào)度與控制系統(tǒng),還包括與生產(chǎn)、營銷等工作相關(guān)的管理系統(tǒng)。2004年10月,國家電網(wǎng)公司轉(zhuǎn)發(fā)了公安部的《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》的通知,要求下屬單位認(rèn)識信息安全保障體系。2005年,電力行業(yè)監(jiān)管部門頒發(fā)了《電力二次系統(tǒng)安全防護(hù)規(guī)定》,后陸續(xù)制定了《電力二次系統(tǒng)安全防護(hù)總體方案》、《省級及以上調(diào)度中心二次系統(tǒng)安全防護(hù)方案》、《變電站二次系統(tǒng)安全防護(hù)方案》,高度重視信息安全保護(hù)工作[2]。2007年8月,電監(jiān)會了《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作的通知》;隨后11月下發(fā)了《電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指導(dǎo)意見》,要求貫徹落實(shí)國家關(guān)于信息安全等級保護(hù)工作。2010年6月,電力行業(yè)信息安全等級保護(hù)測評中心通過國家信息安全等級保護(hù)工作協(xié)調(diào)小組評審,成為國內(nèi)首個(gè)行業(yè)信息安全等級保護(hù)測評機(jī)構(gòu),為電力行業(yè)信息安全等級保護(hù)工作開展提供測評及咨詢等服務(wù)。2011年,電力行業(yè)按照國家信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和管理規(guī)范,結(jié)合自身行業(yè)現(xiàn)狀和特點(diǎn),制定了本行業(yè)的等保標(biāo)準(zhǔn)——《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》(送審稿),指導(dǎo)行業(yè)信息安全等級保護(hù)工作。以國家電網(wǎng)公司為代表,電力行業(yè)等級保護(hù)工作有序穩(wěn)步推進(jìn),2006年開展了信息系統(tǒng)安全等級保護(hù)制度研究與試點(diǎn)工作,2007年進(jìn)行了試點(diǎn),2009年全面展開等級保護(hù)建設(shè)工作。2010年以來,電力行業(yè)形成了以網(wǎng)絡(luò)隔離、邊界防護(hù)和分層分級縱深防御為主要特點(diǎn)的立體化安全防護(hù)體系,成為全國首個(gè)率先組織開展信息安全等級保護(hù)工作并深入應(yīng)用的行業(yè)。
2.2金融行業(yè)
金融行業(yè)信息系統(tǒng)包括中國人民銀行信息系統(tǒng)和銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)兩大類。中國人民銀行除擁有政府行政管理的各類信息系統(tǒng)外,還有履行金融調(diào)控、金融服務(wù)、金融市場職能的13類信息系統(tǒng)。銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)分為兩類:各類銀行、各類金融機(jī)構(gòu)。2007年,中國人民銀行印發(fā)《中國人民銀行、中國銀行業(yè)監(jiān)督管理委員會關(guān)于印發(fā)<開展銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)安全等級保護(hù)定級工作>的通知》,開始在金融行業(yè)開展信息安全等級保護(hù)工作。2011年1月,經(jīng)中國人民銀行、公安部國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室批準(zhǔn),中國金融電子化公司測評中心成為行業(yè)指定的信息安全等級保護(hù)測評服務(wù)機(jī)構(gòu),開始了金融行業(yè)信息安全等級保護(hù)測評和風(fēng)險(xiǎn)評估工作。2012年7月,人民銀行制定出臺了《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》、《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》3項(xiàng)標(biāo)準(zhǔn),成為金融行業(yè)的等級保護(hù)標(biāo)準(zhǔn)。同年,人民銀行了《中國人民銀行關(guān)于進(jìn)一步推進(jìn)銀行業(yè)信息安全等級保護(hù)工作的通知》,將等級保護(hù)工作長效化、制度化。2013年以來,人民銀行先后了《中國人民銀行信息系統(tǒng)安全等級保護(hù)定級和備案流程實(shí)施辦法》、《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級保護(hù)定級的指導(dǎo)意見》,進(jìn)一步完善了等級保護(hù)工作流程,并組織對21家全國性銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)定級情況進(jìn)行了評審。
2.3教育行業(yè)
教育行業(yè)信息系統(tǒng)包括教育行政管理信息系統(tǒng)和學(xué)校信息系統(tǒng)兩大類,如教育部全國學(xué)前教育管理信息系統(tǒng)、全國中小學(xué)校舍信息管理系統(tǒng)、高考報(bào)名與招生相關(guān)系統(tǒng);各高校教師學(xué)生管理信息系統(tǒng)、考試與成績管理系統(tǒng)、遠(yuǎn)程教育系統(tǒng)等。2009年,教育部辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》,隨后,教育部批準(zhǔn)成立了“教育信息安全等級保護(hù)測評中心”,具體承擔(dān)相關(guān)等級保護(hù)工作。2010年~2011年,教育部辦公廳先后印發(fā)了《關(guān)于開展教育系統(tǒng)信息安全等級保護(hù)工作專項(xiàng)檢查的通知》、《關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知》,要求做好教育系統(tǒng)網(wǎng)絡(luò)信息安全保障工作,加快建立完備的教育網(wǎng)絡(luò)信息安全保障體系。2011年6月,國家信息安全等級保護(hù)工作協(xié)調(diào)小組評審并通過了教育信息安全等級保護(hù)測評中心作為國家信息安全等級保護(hù)測評機(jī)構(gòu)的資質(zhì)申請,成為繼電力、金融行業(yè)之后第三家行業(yè)信息安全等級保護(hù)測評機(jī)構(gòu)。教育部積極組織開展信息安全等級保護(hù)行業(yè)標(biāo)準(zhǔn)的制定,研究制定了《教育系統(tǒng)信息安全等級保護(hù)定級指南》、《教育系統(tǒng)信息安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),進(jìn)一步規(guī)范了教育行業(yè)等級保護(hù)工作在技術(shù)層面的落實(shí)。2012年以來,教育行業(yè)等級保護(hù)工作繼續(xù)深入開展,教育部直屬機(jī)關(guān)100多個(gè)系統(tǒng)完成定級及評審工作,國家教育管理信息系統(tǒng)安全保障體系建設(shè)完成,行業(yè)具備了獨(dú)立進(jìn)行信息安全等級測評、風(fēng)險(xiǎn)評估服務(wù)的能力。
2.4廣電行業(yè)
廣電行業(yè)信息系統(tǒng)可分為3大類:生產(chǎn)業(yè)務(wù)系統(tǒng)、外網(wǎng)系統(tǒng)、專網(wǎng)系統(tǒng)[11]。鑒于廣電系統(tǒng)的專業(yè)特色,無法照搬基于IP網(wǎng)絡(luò)的信息安全評估方法,廣電行業(yè)進(jìn)行了一系列的研究工作。2007年,廣電總局以光纜干線網(wǎng)風(fēng)險(xiǎn)評估為切入點(diǎn),開始了行業(yè)內(nèi)風(fēng)險(xiǎn)評估的探索;2008年,完成了“廣播電視光纜干線網(wǎng)信息安全風(fēng)險(xiǎn)評估方法研究”項(xiàng)目,探索出一條適用于行業(yè)信息安全評估之路;2009年,在此基礎(chǔ)之上,廣電總局完成了“廣播電視衛(wèi)星地球站信息安全風(fēng)險(xiǎn)評估方法研究”;2010年,啟動了電視中心、廣播中心、無線發(fā)射3大播出類型的專業(yè)風(fēng)險(xiǎn)評估方法研究。2007年,廣電行業(yè)下發(fā)了相應(yīng)的定級工作指導(dǎo)意見,開始了重要播出信息系統(tǒng)定級工作。2009年,廣電總局開始著手研究編制適合行業(yè)的等級保護(hù)標(biāo)準(zhǔn);2011年,廣電總局頒布出臺了《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》和《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》,作為行業(yè)內(nèi)信息安全等級保護(hù)標(biāo)準(zhǔn),為信息系統(tǒng)建設(shè)整改提供指導(dǎo)。2012年,國家廣播電影電視總局廣播電視信息安全測評中心通過國家信息安全等級保護(hù)工作領(lǐng)導(dǎo)協(xié)調(diào)小組辦公室評審,獲得廣電行業(yè)信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書,成為國內(nèi)第4家行業(yè)信息安全等級保護(hù)測評機(jī)構(gòu)。目前,按照廣電總局的統(tǒng)一部署和要求,廣電行業(yè)已完成主要信息系統(tǒng)的分類和定級,完成了相關(guān)系統(tǒng)在公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門的備案,并有計(jì)劃地開展安全建設(shè)整改工作。
3鐵路與其他行業(yè)信息安全等級保護(hù)工作對比分析
3.1對工作的認(rèn)識和推進(jìn)程度
作為關(guān)系國計(jì)民生的重要運(yùn)輸系統(tǒng),早在2007年,鐵路行業(yè)即開始了信息安全等級保護(hù)工作,與教育等行業(yè)相比,信息安全等級保護(hù)工作在鐵路行業(yè)的起步更早,等級保護(hù)工作被列作全國鐵路信息化工作的要點(diǎn),獲得了較多的關(guān)注和重視。然而,與電力等其他行業(yè)相比,鐵路信息安全等級保護(hù)工作也存在著不足:(1)行業(yè)的先行性自我研究欠缺且滯后,沒有在等級保護(hù)工作全面開展之前進(jìn)行行業(yè)信息安全工作的調(diào)研和考察,這使得本行業(yè)對信息安全等級保護(hù)工作的認(rèn)識缺乏良好的理論和實(shí)踐基礎(chǔ);(2)信息安全等級保護(hù)工作在全路的實(shí)施力度有待加強(qiáng),有些行業(yè)已將等級保護(hù)工作實(shí)現(xiàn)了例行化和常態(tài)化,而且較早時(shí)候即按照等級保護(hù)工作的要求完成了本行業(yè)信息系統(tǒng)的定級、備案等工作,而鐵路行業(yè)內(nèi)的上述工作尚處于未實(shí)現(xiàn)狀態(tài)或?qū)崿F(xiàn)較晚。
3.2行業(yè)標(biāo)準(zhǔn)的制定
信息安全等級保護(hù)工作的行業(yè)標(biāo)準(zhǔn),是本行業(yè)按照信息安全等級保護(hù)國家標(biāo)準(zhǔn)的要求、結(jié)合行業(yè)自身特點(diǎn)而制定的等級保護(hù)工作標(biāo)準(zhǔn)。行業(yè)標(biāo)準(zhǔn)是行業(yè)開展信息安全等級保護(hù)工作的依據(jù)和指導(dǎo)性文件,其集中體現(xiàn)了本行業(yè)信息安全等級保護(hù)工作的研究現(xiàn)狀和最高水平,是判斷一個(gè)行業(yè)信息安全等級保護(hù)工作水平的重要依據(jù)。當(dāng)前電力、金融、廣電等行業(yè)已按照信息安全等級保護(hù)國家標(biāo)準(zhǔn)要求、結(jié)合自身行業(yè)特點(diǎn),制定出臺了本行業(yè)的等級保護(hù)標(biāo)準(zhǔn),有的結(jié)合使用反饋情況,對已有標(biāo)準(zhǔn)進(jìn)行了重新修訂和完善,形成了第二版的標(biāo)準(zhǔn)。鐵路信息系統(tǒng)的行業(yè)特點(diǎn),決定了鐵路信息系統(tǒng)安全不能完全照搬等級保護(hù)國家標(biāo)準(zhǔn),而應(yīng)依據(jù)國家標(biāo)準(zhǔn)結(jié)合行業(yè)特點(diǎn)實(shí)施信息安全保護(hù)工作;然而,此項(xiàng)工作尚處于空白狀態(tài),鐵路行業(yè)亟待出臺行業(yè)標(biāo)準(zhǔn)以指導(dǎo)行業(yè)信息安全等級保護(hù)工作。
3.3行業(yè)評測機(jī)構(gòu)的成立
為進(jìn)一步推進(jìn)國家信息安全等級保護(hù)工作,公安部依據(jù)機(jī)構(gòu)信息安全等級保護(hù)測評能力,授權(quán)第三方機(jī)構(gòu)進(jìn)行信息安全等級保護(hù)測評。等級保護(hù)測評機(jī)構(gòu)的主要工作是根據(jù)等級保護(hù)標(biāo)準(zhǔn)規(guī)范,對各信息系統(tǒng)測評;作為等級保護(hù)測評工作的實(shí)施者,它推動著等級保護(hù)工作的前進(jìn),是信息安全等級保護(hù)工作的重要組成部分。截至目前,全國已有數(shù)十家機(jī)構(gòu)獲得信息安全等級保護(hù)測評資質(zhì),列入公安部信息安全等級保護(hù)評估中心推薦的全國等級保護(hù)測評機(jī)構(gòu)目錄。其中,已有7家機(jī)構(gòu)獲得國家級測評資質(zhì),這包括了電力、金融、教育及廣電等行業(yè)的測評機(jī)構(gòu),另外的機(jī)構(gòu)則獲得了省市級的測評資質(zhì)。當(dāng)前,鐵路行業(yè)尚無一家具有認(rèn)可測評資質(zhì)的第三方測評機(jī)構(gòu),導(dǎo)致鐵路內(nèi)信息系統(tǒng)安全等級保護(hù)工作的推進(jìn),不得不求助于鐵路外的社會評測機(jī)構(gòu),然而這些機(jī)構(gòu)并不了解鐵路行業(yè)的特點(diǎn),給鐵路等級保護(hù)工作的實(shí)施帶來了很大被動。另外,鐵路信息系統(tǒng)大多覆蓋全國,實(shí)行全國統(tǒng)一管理,省市級測評機(jī)構(gòu)已不能勝任鐵路的需求。因此,成立一家行業(yè)內(nèi)的國家級測評機(jī)構(gòu),是鐵路等級保護(hù)工作進(jìn)一步開展的必然要求。
4結(jié)束語
【關(guān)鍵詞】等級保護(hù);虛擬專網(wǎng);VPN
1.引言
隨著因特網(wǎng)技術(shù)應(yīng)用的普及,以及政府、企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長,VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí),我國現(xiàn)行的“計(jì)算機(jī)安全等級保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品,為企業(yè)提供符合安全等級保護(hù)要求、性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案,是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。
2.信息安全管理體系發(fā)展軌跡
對于信息安全管理問題,在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國家的注意,并投入大量的資金和人力進(jìn)行分析和研究。英國分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》,規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),是一個(gè)全面信息安全管理體系評估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國際標(biāo)準(zhǔn)化組織(ISO)聯(lián)合國際電工委員會(IEC)分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣。中國國家標(biāo)準(zhǔn)化管理委員會(SAC)于1999年了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》標(biāo)準(zhǔn),把信息安全管理劃分為五個(gè)等級,分別針對不同組織性質(zhì)和對社會、國家危害程度大小進(jìn)行了不同等級的劃分,并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。
3.信息系統(tǒng)安全的等級
為加快推進(jìn)信息安全等級保護(hù),規(guī)范信息安全等級保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),國家公安部、保密局、密碼管理局和國務(wù)院信息化工作辦公室等,于2007年聯(lián)合了《信息安全等級保護(hù)管理辦法》,就全國機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問題,進(jìn)行了行政法規(guī)方面的規(guī)范,并組織和開展對全國重要信息系統(tǒng)安全等級保護(hù)定級工作。同時(shí),制訂了《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》和《信息系統(tǒng)安全等級保護(hù)定級指南》等相應(yīng)技術(shù)規(guī)范(國家標(biāo)準(zhǔn)審批稿),來指導(dǎo)國內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。
在《信息系統(tǒng)安全等級保護(hù)基本要求》中,要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面,按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求,對信息流進(jìn)行不同等級的劃分,從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級分為五級:第一級為自主保護(hù)級,第二級指導(dǎo)保護(hù)級,第三級為監(jiān)督保護(hù)級,第四級為強(qiáng)制保護(hù)級,第五級為專控保護(hù)級。
針對政府、企業(yè)常用的三級安全保護(hù)設(shè)計(jì)中,主要是以三級安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級安全的信息安全機(jī)制和服務(wù)支持下,實(shí)現(xiàn)三級安全計(jì)算環(huán)境、三級安全通信網(wǎng)絡(luò)、三級安全區(qū)域邊界防護(hù)和三級安全管理中心的設(shè)計(jì)。
圖1 三級系統(tǒng)安全保護(hù)示意圖
圖2 VPN產(chǎn)品部署示意圖
4.VPN技術(shù)及其發(fā)展趨勢
VPN即虛擬專用網(wǎng),是通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
VPN使用三個(gè)方面的技術(shù)保證了通信的安全性:隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求,目前VPN技術(shù)主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。
IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品,由IPSec協(xié)議提供隧道安全保障,協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅C苄浴Mㄟ^采用加密封裝技術(shù),對所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。
SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備,無需安裝客戶端軟件,授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。
整個(gè)VPN通信過程可以簡化為以下4個(gè)步驟:
(1)客戶機(jī)向VPN服務(wù)器發(fā)出連接請求。
(2)VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份認(rèn)證的請求,客戶機(jī)與VPN服務(wù)器通過信息的交換確認(rèn)對方的身份,這種身份確認(rèn)是雙向的。
(3)VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù),形成安全隧道。
(4)最后VPN服務(wù)器將在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密,然后通過VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。
目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合國家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理?xiàng)l例》(中華人民共和國國務(wù)院第273號令,1999年10月7日)第四章第十四條規(guī)定:任何單位或者個(gè)人只能使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品,不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》,明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。
5.VPN技術(shù)在等級保護(hù)中的應(yīng)用
在三級防護(hù)四大方面的設(shè)計(jì)要求中,VPN技術(shù)可以說是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用:
在安全計(jì)算環(huán)境的設(shè)計(jì)要求中:首先在實(shí)現(xiàn)身份鑒別方面,在用戶訪問的中心,系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名,用戶會通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng),當(dāng)身份得到鑒別通過時(shí)才可訪問應(yīng)用系統(tǒng);其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。
在安全區(qū)域邊界的設(shè)計(jì)要求中:網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn),在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。
在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中:網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道,通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護(hù),為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān),通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸,實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。
在安全管理中心的設(shè)計(jì)要求中:系統(tǒng)管理中,VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù),對用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制,確保重要信息安全可控,滿足對主機(jī)的安全監(jiān)管需要。
在信息系統(tǒng)安全等級保護(hù)設(shè)計(jì)中VPN產(chǎn)品的部署示意圖如圖2所示。
【關(guān)鍵詞】網(wǎng)絡(luò)安全;威脅攻擊;防范措施
隨著網(wǎng)絡(luò)的開放、共享和互連程度的擴(kuò)大,信息技術(shù)的高速發(fā)展,連接信息能力、流通能力的提高無不給政府、企事業(yè)單位的日常工作帶來了極大的便利,但也因網(wǎng)絡(luò)的開放性、自由性和國際化給網(wǎng)絡(luò)入侵者也帶來了方便。因此,網(wǎng)絡(luò)中的安全問題也日益突出。
一、計(jì)算機(jī)網(wǎng)絡(luò)安全概述
網(wǎng)絡(luò)安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。總體來說計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面,即物理安全和邏輯安全。物理安全是指在物理媒介層次上對存儲和傳輸?shù)男畔⒓右员Wo(hù),如網(wǎng)絡(luò)設(shè)備、設(shè)施免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作錯(cuò)誤或各種計(jì)算機(jī)犯罪行為而導(dǎo)致破壞的過程。邏輯安全包括信息的安全性、保密性、完整性。
1.網(wǎng)絡(luò)系統(tǒng)安全的含義
由于網(wǎng)絡(luò)的開放性以及網(wǎng)絡(luò)體系結(jié)構(gòu)自身的一些缺陷,導(dǎo)致網(wǎng)絡(luò)系統(tǒng)中的軟、硬件資源,數(shù)據(jù)資源都無可避免地遭到各種各樣的威脅,或客觀的,或主觀的。因此說:網(wǎng)絡(luò)安全是相對的,不安全才是絕對的。
2.網(wǎng)絡(luò)系統(tǒng)安全的特性
(1)系統(tǒng)的可靠性:系統(tǒng)本身的安全是網(wǎng)絡(luò)安全的前提,是網(wǎng)絡(luò)能正常運(yùn)行的保證。(2)數(shù)據(jù)的保密性:數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中應(yīng)用相關(guān)的保密技術(shù)對數(shù)據(jù)進(jìn)行加密處理,以保證傳輸過程中不會被別人竊取而識別。(3)數(shù)據(jù)的完整性:數(shù)據(jù)在網(wǎng)絡(luò)上存儲、傳輸時(shí)不會被非法篡改。
二、網(wǎng)絡(luò)安全面臨的威脅和攻擊
安全威脅是指某個(gè)人、物、事件或概念對某一資源的機(jī)密性、完整性、可用性或合法性所造成的危害。
安全威脅可分為故意的(如黑客滲透)和偶然的(如信息被發(fā)往錯(cuò)誤的地址)兩類。故意威脅也是目前安全面臨的主要威脅,它可以分為被動和主動兩種。(1)基本威脅:網(wǎng)絡(luò)安全的基本目標(biāo)是實(shí)現(xiàn)信息的機(jī)密性、完整性、可用性和合法性。這也直接反映了4個(gè)安全目標(biāo),目前存在的威脅主要表現(xiàn)為信息泄漏或丟失、破壞數(shù)據(jù)完整性、拒絕服務(wù)、非授權(quán)訪問等。(2)滲入威脅和植入威脅:滲入威脅主要有假冒、旁路控制、授權(quán)侵犯。植入威脅主要有特洛伊木馬、陷門。(3)潛在威脅:如竊聽、通信量分析、人員疏忽、媒體清理等。(4)病毒:指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。
安全攻擊就是安全威脅的具體實(shí)現(xiàn)。如:中斷是指系統(tǒng)資源遭到破壞或變得不能使用,這是可用性的攻擊;截取是指未授權(quán)的實(shí)體得到了資源的訪問權(quán),這是對機(jī)密性的攻擊;修改是指未授權(quán)的實(shí)體不僅得到了訪問權(quán),而且還篡改了資源,這是對完整性的攻擊;捏造是指未授權(quán)的實(shí)體向系統(tǒng)中插入偽造的對象,這是對合法性的攻擊。
三、目前網(wǎng)絡(luò)安全的主要防范措施
針對網(wǎng)絡(luò)系統(tǒng)現(xiàn)實(shí)情況,處理好網(wǎng)絡(luò)的安全問題是當(dāng)務(wù)之急。為了保證網(wǎng)絡(luò)安全采用如下方法:
1.防火墻配置
防火墻實(shí)質(zhì)上是一種隔離技術(shù),將內(nèi)部網(wǎng)和Internet分開。它可通過監(jiān)測、限制及更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。利用防火墻,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客隨意訪問自己的網(wǎng)絡(luò)。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。
2.安裝防病毒軟件
病毒掃描就是對機(jī)器中的所有文件和郵件內(nèi)容以及帶有.exe的可執(zhí)行文件進(jìn)行掃描,掃描的結(jié)果包括清除病毒,刪除被感染文件,將被感染文件和病毒放在一隔離文件夾里面。要對全網(wǎng)的機(jī)器從網(wǎng)站服務(wù)器到郵件服務(wù)器到文件服務(wù)器到客戶機(jī)都要安裝殺毒軟件,并保持最新的病毒庫。因?yàn)椴《疽坏┻M(jìn)入機(jī)器就會瘋狂的自我復(fù)制,終至遍布全網(wǎng),其威脅性和破壞力將是無法估量的,有時(shí)可以使得整個(gè)系統(tǒng)崩潰,導(dǎo)致所有的重要資料丟失。所以應(yīng)定期(至少每周一次)對全網(wǎng)的電腦進(jìn)行集中殺毒,并定期的清除隔離病毒的文件夾等。
3.利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全
對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下,可以采用對各個(gè)子網(wǎng)做一有一定功能的審計(jì)文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽程序,該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。
4.應(yīng)用數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密是計(jì)算機(jī)網(wǎng)絡(luò)安全中很重要的一個(gè)部分。數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼,從而隱藏信息內(nèi)容,使非法用戶無法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段;是提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止重要數(shù)據(jù)被外部破析所采用的主要手段之一。
5.應(yīng)用認(rèn)證技術(shù)
網(wǎng)絡(luò)安全系統(tǒng)的一個(gè)重要方面是防止分析人員對系統(tǒng)進(jìn)行主動攻擊,如偽造、篡改信息等,認(rèn)證則是防止地動攻擊的重要技術(shù),它對于開放環(huán)境中的各種信息系統(tǒng)的安全有重要作用。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的聲明身份的過程,其目的主要是:一是對信源識別,以防假冒;二是對完整性驗(yàn)證,以防信息在傳輸過程中被篡改、重放或延遲等。
在大多數(shù)情況下,授權(quán)和訪問控制都是伴隨在成功的認(rèn)證之后的,目前有關(guān)認(rèn)證的使用技術(shù)主要有:消息認(rèn)證、身份認(rèn)證和數(shù)字簽名。
6.常做數(shù)據(jù)備份
由于數(shù)據(jù)備份所占有的重要地位,它已經(jīng)成為計(jì)算機(jī)領(lǐng)域里相對獨(dú)立的分支機(jī)構(gòu)。時(shí)至今日,各種操作系統(tǒng)都附帶有功能較強(qiáng)的備份程序,但同時(shí)也還存在這樣或那樣的缺陷;各類數(shù)據(jù)庫管理系統(tǒng)也都有一定的數(shù)據(jù)復(fù)制的機(jī)理和功能,但對整個(gè)系統(tǒng)的數(shù)據(jù)備份來說仍有不夠完備之處。所以,如想從根本上解決整個(gè)系統(tǒng)數(shù)據(jù)的可靠備份問題,選擇專門的備份軟、硬件,建立專用的數(shù)據(jù)備份系統(tǒng)是不可缺少的。
7.建立安全策略和安全管理機(jī)制
面對網(wǎng)絡(luò)安全的脆弱性,除了在網(wǎng)絡(luò)技術(shù)上加強(qiáng)防范外,還必須建立完善的安全策略和安全管理機(jī)制。
安全策略,是指在一個(gè)特定的環(huán)境里,為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則,包括三個(gè)組成模塊:威嚴(yán)的法律,先進(jìn)的技術(shù),嚴(yán)格的管理。
(1)威嚴(yán)的法律:安全的基石是社會法律、法規(guī)與手段,這部分用于建立一套安全管理標(biāo)準(zhǔn)與方法。即通過建立與信息安全相關(guān)的法律、法規(guī),使非法分子懾于法律而不敢輕舉妄動。(2)先進(jìn)的技術(shù):這是信息安全的根本保障,用戶對自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評估,決定其需要的安全服務(wù)種類,選擇相應(yīng)的安全機(jī)制,然后集成先進(jìn)的安全技術(shù)。(3)嚴(yán)格的管理:各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法,加強(qiáng)內(nèi)部管理,建立審計(jì)和跟蹤體系,提高整體信息安全意識。
安全管理一直是網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)之一,而用戶對網(wǎng)絡(luò)安全的要求往往又相當(dāng)高,因此安全管理就顯得非常重要。網(wǎng)絡(luò)管理者必須充分意識到潛在的安全性威脅,并采取一定的防范措施,盡可能減少這些威脅帶來的惡果,將來自企業(yè)或公司網(wǎng)絡(luò)內(nèi)部和外部對數(shù)據(jù)和設(shè)備所引起的危險(xiǎn)降到最低程度。
參考文獻(xiàn):
[1]閆書磊,李歡.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)[M].人民郵電出版社,2008,5.
[2]銳捷網(wǎng)絡(luò).網(wǎng)絡(luò)互聯(lián)與實(shí)現(xiàn)[M].北京希望電子出版社,2007,3.
【關(guān)鍵詞】安全監(jiān)控;病毒程序;操作系統(tǒng)
【中圖分類號】U223【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158(2013)07-0434-02
0 前言
按照ISO17799信息安全標(biāo)準(zhǔn)、國家計(jì)算機(jī)網(wǎng)絡(luò)安全規(guī)定及南網(wǎng)公司相關(guān)規(guī)定,信息安全體系的建設(shè)應(yīng)包括2方面的內(nèi)容:安全技術(shù)防護(hù)體系、安全管理體系。技術(shù)防護(hù)體系包括網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全防護(hù)基礎(chǔ)設(shè)施和相關(guān)的監(jiān)視、檢測手段;安全管理體系主要包括組織、評估、改進(jìn)等管理手段。信息安全體系建設(shè)的思路是:在全面的安全風(fēng)險(xiǎn)評估的基礎(chǔ)上,對信息資產(chǎn)進(jìn)行安全分類定級,針對信息系統(tǒng)存在的安全隱患和威脅,提出信息系統(tǒng)安全整體規(guī)劃,分步實(shí)施,循環(huán)改進(jìn)。
1 信息安全總體思路
當(dāng)前我國已把信息安全上升到國家戰(zhàn)略決策的高度。國家信息化領(lǐng)導(dǎo)小組第三次會議確定我國信息安全的指導(dǎo)思想:“堅(jiān)持積極防御、綜合防范的方針,在全面提高信息安全防護(hù)能力的同時(shí),重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系,建立信息安全的有效機(jī)制和應(yīng)急處理機(jī)制。”這就引出等級保護(hù)的概念,必須區(qū)分重要程度不同的應(yīng)用系統(tǒng),并據(jù)此將保護(hù)措施分成不同的等級,而從國家層面,必須將那些關(guān)系到國民經(jīng)濟(jì)發(fā)展命脈的基礎(chǔ)網(wǎng)絡(luò)圈定出來,加以重點(diǎn)保護(hù),這就是“重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全”思路。
所謂信息安全,可以理解為對信息4方面屬性的保障,一是保密性,就是能夠?qū)箤κ值墓簦WC信息不泄露給未經(jīng)授權(quán)的人;二是完整性,就是能夠?qū)箤κ值闹鲃庸簦乐剐畔⒈晃唇?jīng)授權(quán)的篡改;三是可用性,就是保證信息及信息系統(tǒng)確定為授權(quán)使用者所用;四是可控性,就是對信息及信息系統(tǒng)實(shí)施安全監(jiān)控。(見圖 1)
2 計(jì)算機(jī)網(wǎng)絡(luò)病毒的定義與特征
2.1 計(jì)算機(jī)網(wǎng)絡(luò)病毒的定義
計(jì)算機(jī)網(wǎng)絡(luò)病毒直觀來講是以一種程序、一段可自動運(yùn)行的執(zhí)行編碼的方式來存在的,它們存在的目的就是為了對計(jì)算機(jī)進(jìn)行破壞,導(dǎo)致計(jì)算機(jī)不能正常運(yùn)作,不能正常使用操作系統(tǒng),甚至損壞硬盤。它與生物病毒有一定的類似,計(jì)算機(jī)網(wǎng)絡(luò)病毒也具有相當(dāng)強(qiáng)的復(fù)制能力與傳播能力,可以在很短的時(shí)間內(nèi)實(shí)施蔓延,因此,徹底消除病毒是比較困難的。計(jì)算機(jī)網(wǎng)絡(luò)病毒能將自身“寄托”在各種類型文件之上。只要文件被復(fù)制或者傳送出去以后,它們就有了蔓延的機(jī)會,并且肆無忌憚。病毒程序也不是個(gè)體單獨(dú)存在的,它需要隱蔽在相關(guān)可執(zhí)行的文件與程序之中,不僅會隱藏,也會破壞與傳播。通常出現(xiàn)的普通情況會是讓電子計(jì)算機(jī)運(yùn)行速度降低,嚴(yán)重者會導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)直接癱瘓,這樣無論是普通用戶還是企業(yè)都會帶來不能估計(jì)的損失。
2.2 計(jì)算機(jī)網(wǎng)絡(luò)病毒的特征
每一件事物的存在自然都會有它的特征,網(wǎng)絡(luò)病毒也不例外,抓住特征,分析原因,才能做好防御,計(jì)算機(jī)網(wǎng)絡(luò)病毒通常有這幾個(gè)特征:
一是隱藏性高,善于在無形之中存在、傳播以及對重要數(shù)據(jù)進(jìn)行破壞,而由于太過隱藏,通常不會輕易被計(jì)算機(jī)工作人員察覺;二是寄生性高,計(jì)算機(jī)網(wǎng)絡(luò)病毒通常會依附在一個(gè)文件或者一個(gè)可執(zhí)行程序之上,用這樣的方式來生存的;三是傳播性高,只要具備了一定的條件,計(jì)算機(jī)網(wǎng)絡(luò)病毒可以實(shí)現(xiàn)自我復(fù)制的,能對相關(guān)的文件與系統(tǒng)進(jìn)行惡意的自行操作,而逐步形成一個(gè)的新的傳染源。四是觸發(fā)性高,只要滿足了病毒的觸發(fā)條件,例如:某些程序、時(shí)間、日期或者軟件運(yùn)行次數(shù)等等,這些都可以成為病毒的激發(fā)條件;五是破壞性高,當(dāng)病毒觸發(fā)條件滿足時(shí),病毒的破壞性就體現(xiàn)出來了,對系統(tǒng)、文件、資源等運(yùn)行進(jìn)行破壞與篡改;六是不可預(yù)見性,病毒防御軟件永遠(yuǎn)都是計(jì)算機(jī)病毒出現(xiàn)之后才實(shí)施防御的,因此,沒有什么殺毒軟件可以百分百將網(wǎng)絡(luò)病毒清除。
2.3 計(jì)算機(jī)病毒的類型
基于傳播方式可以分為:一是系統(tǒng)操作型病毒,此類病毒將其程序融入操作系統(tǒng)過程中或者取代某些操作系統(tǒng)來進(jìn)行工作,具有較強(qiáng)的破壞力,甚至導(dǎo)致整個(gè)系統(tǒng)癱瘓;二是原碼病毒,病毒在程序編譯之前已經(jīng)被融入到源程序里面了,通常比較多的是在語言處理程序之中或者連接程序之中;三是外殼病毒,通常在主程序的頭部與尾部隱藏,而這類病毒是平常見得最多的;四是入侵病毒,此類病毒利用自身來替代正常程序的一些主要功能模塊,而這類病毒需要對特定的程序進(jìn)行編制的。
3 供電企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范方案
計(jì)算機(jī)病毒防范不能直觀的認(rèn)為是一種產(chǎn)品、一種軟件、一種制度或者說一種策略,網(wǎng)絡(luò)病毒的防范是需要將軟件、硬件、網(wǎng)絡(luò)、人為因素以及相互之間的關(guān)系等等綜合考慮進(jìn)去的系統(tǒng)。網(wǎng)絡(luò)病毒防范體系的構(gòu)建是一個(gè)社會性的工作,需要所有人積極參與進(jìn)來,充分利用現(xiàn)有的資源,逐步形成一套有效的企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)病毒防范體系。
3.1 供電企業(yè)終端的病毒防范
任何一種病毒必然會對供電企業(yè)網(wǎng)絡(luò)系統(tǒng)資源造成不可估量的損失,會嚴(yán)重影響到供電企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,甚至還會影響到社會的發(fā)展。因此,對網(wǎng)絡(luò)病毒的防范是刻不容緩的問題。目前,計(jì)算機(jī)病毒除了在網(wǎng)絡(luò)上進(jìn)行傳播,還會從另一個(gè)途徑進(jìn)行傳播,例如移動存儲設(shè)備,因此,在使用移動儲存設(shè)備之前一定要堅(jiān)持進(jìn)行掃描,降低病毒的出現(xiàn)幾率,從而將病毒拒之門外。
計(jì)算機(jī)系統(tǒng)默認(rèn)U 盤插入以后是自動啟動的,所以,U 盤里若是存在病毒必然也會自動運(yùn)行。那么要先將U 盤的自動播放功能去除:在“開始- 運(yùn)行”中輸入命令“gpedit.msc”,按確定后會出現(xiàn)一個(gè)“組策略”的窗口,再依次來選擇“計(jì)算機(jī)配置、管理模塊、系統(tǒng)”,雙擊“關(guān)閉自動播放”,在“設(shè)置”選項(xiàng)項(xiàng)目中選取“已啟用”這個(gè)選項(xiàng),然后在“關(guān)閉自動播放”框中選擇“所有驅(qū)動器”。
根據(jù)相關(guān)案例來分析,將自動播放關(guān)掉其實(shí)并不徹底,在雙擊或者右擊打開的過程中,病毒也會利用這個(gè)漏洞進(jìn)行傳播的。目前的網(wǎng)絡(luò)病毒在激活形式方面通常是不會再涉及到DOS 環(huán)境的,因此可以通過系統(tǒng)自帶的命令提示符來將U 盤打開:在“開始-運(yùn)行”中輸入“Cmd”,進(jìn)入DOS 命令模式,然后依次輸入以下命令(這里舉例g是U盤的盤符),通過這樣的方式將U 盤打開,
g:
attrib g:\autorun.inf -a -h -s
del g:\autorun.inf
start g:
exit
也可用批處理方式進(jìn)行打開,將以上命令保存為文本文檔,然后改成BAT 文件就可以直接使用了。雖然這些方式看似繁瑣,但是從細(xì)節(jié)上來防范病毒才是最佳途徑,不會為病毒提供任何傳播的機(jī)會,不然釀成的后果是無法估計(jì)的,因此,通過這樣來將U 盤打開時(shí),需要將autorun.inf 這類文件進(jìn)行刪除后再打開,這樣才能最大限度的保障病毒不會運(yùn)行。最后,U 盤打開后要進(jìn)行掃描,看是否存在病毒,在檢查之前需要進(jìn)行設(shè)置,在“工具”—“文件夾選項(xiàng)”中“查看”這一項(xiàng)找到“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”,將勾去掉,然后找到“顯示所有文件與文件夾”選項(xiàng)并進(jìn)行選擇,最后找到“隱藏已知文件類型的擴(kuò)展名”,并將勾去掉,這樣再來看U 盤中到底哪些是不明應(yīng)用程序,特別 是AutoRun.inf 這類文件是必須要及時(shí)清除的。發(fā)現(xiàn)病毒時(shí)要及時(shí)清除,才能最大限度的控制病毒傳染,防止不必要的損失。
3.2 系統(tǒng)層的防范
3.2.1 電子計(jì)算機(jī)操作系統(tǒng)本身安全防范
系統(tǒng)方面服務(wù)器所采用的是:Windows Server 2003Enterprise Edition,終端所采用的是正版操作系統(tǒng)Windows XP Professional。
目前,Windows 操作系統(tǒng)依然是大家的首選,因此,此系統(tǒng)的安全問題越來越受到大家的重視,微軟會定期相關(guān)的補(bǔ)丁來對漏洞進(jìn)行修補(bǔ),在供電企業(yè)的網(wǎng)絡(luò)中用 (Microsoft Windows Server Update Services) 來架設(shè)微軟提供的軟件服務(wù)器,充分發(fā)揮定期自動執(zhí)行的作用,促進(jìn)操作升級。隨著時(shí)代的不斷進(jìn)步,科學(xué)技術(shù)的迅猛發(fā)展,各種病毒、黑客、木馬等工具接二連三,密碼已經(jīng)不再保密。充分發(fā)揮Windows 中的域管理與域策略的作用,制定域用戶方面的智能登錄卡,可以有效地解決這個(gè)問題。供電企業(yè)可以廣泛采用CA 認(rèn)證系統(tǒng)與Windows 系統(tǒng)的完美鏈接,將CA 系統(tǒng)中的硬件密匙充分利用起來,就會徹底解決這類問題。
3.2.2 病毒隱患存在于操作系統(tǒng)中的安全配置
首先,基于版本方面選擇進(jìn)行分析。Windows XP 中具有各式各樣的語言版本,可以自由選擇簡體中文本或者英文版等等,如果語言方面沒有阻礙,建議采用英文版本。再次,基于組件定制方面來分析,Win2000 有一個(gè)特點(diǎn)是默認(rèn)情況下會對一些常用組件實(shí)施自動安裝,由于這個(gè)默認(rèn)功能給病毒傳播提供了更多的機(jī)會,因此是非常危險(xiǎn)的。要明確需要哪些方面的服務(wù),而且必須是安裝過程中需要的服務(wù),嚴(yán)格依照安全原則,最大限度的控制權(quán)限,最大限度的降低服務(wù),這樣才能得到最大的安全。最后,基于端口配置來分析,端口是外部網(wǎng)絡(luò)與計(jì)算機(jī)鏈接的主要邏輯接口,這也是屬于計(jì)算機(jī)的第一道關(guān)口,對于端口的配置正確與否,將會直接影響到計(jì)算機(jī)的安全。
3.3 加強(qiáng)防火墻技術(shù)
防火墻是設(shè)置于局域網(wǎng)和互聯(lián)網(wǎng)之間的一組可以確保網(wǎng)絡(luò)安全的組件,具體作用是監(jiān)管和控制網(wǎng)絡(luò)之間的信息交流以確保信息系統(tǒng)的安全,與此同時(shí)記錄與之有關(guān)聯(lián)的數(shù)據(jù)來源、服務(wù)器通信量以及任何試圖入侵的企圖。
軟件防火墻。通常來說軟件防火墻是需要像其他一般的軟件產(chǎn)品一樣要預(yù)先在計(jì)算機(jī)安裝好以后才能夠使用,并且要得到計(jì)算機(jī)操系統(tǒng)的支持。總體來說它就相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)卡,也就是我們所說的“個(gè)人防火墻”。
硬件防火墻。目前市面上大多數(shù)的硬件防火墻都是基于專用的硬件平臺,用易懂的詞匯來講就是它們都是基于PC 架構(gòu),且和我們所使用的普通的PC 機(jī)沒有太多區(qū)別。但是,值得我們注意的是,雖然在這些PC 架構(gòu)計(jì)算機(jī)上運(yùn)行的是經(jīng)過裁剪和簡化的操作系統(tǒng),但是仍然使用的是一些常用的舊版本系統(tǒng),其中包括Linux Unix 和 FreeBSD 系統(tǒng),且一直采用的是其他內(nèi)核,所以還是會受到來自操作系統(tǒng)本身的安全性影響。
芯片級防火墻。芯片級防火墻是沒有操作系統(tǒng)并具有專門的ASIC 芯片,它可以讓防火墻的速度、處理能力和性能都得到一定程度的提高,且芯片防火墻本身的漏洞也較少。
[關(guān)鍵詞]公共圖書館安全管理安全危機(jī)新策略
1公共圖書館安全管理的現(xiàn)狀
為貫徹落實(shí)新時(shí)代文化建設(shè)的戰(zhàn)略部署,我國頒布實(shí)施了《中華人民共和國公共文化服務(wù)保障法》《中華人民共和國公共圖書館法》《“十三五”時(shí)期全國公共圖書館事業(yè)發(fā)展規(guī)劃》等一系列的政策法規(guī)條例,為公共圖書館事業(yè)發(fā)展提供了堅(jiān)實(shí)的法律政策保障,助推公共圖書館事業(yè)駛?cè)肴姘l(fā)展的快車道。根據(jù)《中華人民共和國文化和旅游部2018年文化和旅游發(fā)展統(tǒng)計(jì)公報(bào)》的數(shù)據(jù)顯示:至2018年末,我國公共圖書館共有3176個(gè),比上年末增加10個(gè);圖書總藏量10.37億冊,增長7.0%;全年全國公共圖書館流通總?cè)舜?.20億,增長10.2%;全年共為讀者舉辦各種活動179043次,增長15.1%;參加人次10648萬,增長20.2%[3]。隨著大數(shù)據(jù)時(shí)代的到來,以及“互聯(lián)網(wǎng)+”的普及,公共圖書館全面進(jìn)入數(shù)字化、網(wǎng)絡(luò)化、信息化時(shí)代,相對傳統(tǒng)的圖書館而言,新時(shí)代公共圖書館正處在安全危機(jī)復(fù)雜多變的環(huán)境中,安全管理工作面臨著新的挑戰(zhàn)。2015年1月俄羅斯社會信息研究所圖書館發(fā)生火災(zāi),約有200萬冊文獻(xiàn)資料遭到損毀;2017年8月美國新墨西哥州圖書館發(fā)生槍擊案件,造成兩人死亡,4人受傷;2018年1月,河南新鄉(xiāng)市封丘縣圖書館網(wǎng)站遭到黑客攻擊,網(wǎng)頁被篡改。公共圖書館安全形勢日益嚴(yán)峻,迫切需要我們通過相應(yīng)的策略加以制約和引導(dǎo)。
2影響公共圖書館安全的因素
結(jié)合當(dāng)前公共圖書館安全工作實(shí)際,筆者將影響公共圖書館安全的事件概括為自然災(zāi)害、網(wǎng)絡(luò)安全、消防安全、衛(wèi)生安全和治安事件五大類。
2.1自然災(zāi)害
公共圖書館所面臨的自然災(zāi)害主要包括地震、火山爆發(fā)、泥石流、海嘯、臺風(fēng)、洪水等突發(fā)性災(zāi)害,如何防范和減少因自然災(zāi)害給圖書館造成的損失和影響,是當(dāng)前公共圖書館安全危機(jī)管理中的基礎(chǔ)性研究[4]。自然災(zāi)害是造成公共圖書館安全危機(jī)的一個(gè)重要因素,因?yàn)樽匀粸?zāi)害是不可控的。諸如,九八洪水、汶川地震、山竹臺風(fēng)等對沿地震帶、沿江、沿海城市的公共圖書館造成了不可估量的影響。自然災(zāi)害造成的危害和損失,可以通過運(yùn)用事前監(jiān)測與預(yù)警、事中處置與救護(hù)、事后恢復(fù)與重建等危機(jī)管理手段來應(yīng)對,但因管理者重視程度不夠或管理不當(dāng)就會導(dǎo)致影響擴(kuò)大,從而造成更大的損失。換言之,自然災(zāi)害對公共圖書館安全造成的影響除了自身施加的因素外,也有人為管理不當(dāng)?shù)囊蛩亍?/p>
2.2網(wǎng)絡(luò)安全
圖書館網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其數(shù)據(jù)受偶然因素或惡意原因破壞、更改、泄密所引發(fā)的風(fēng)險(xiǎn),主要包括讀者信息、系統(tǒng)數(shù)據(jù)、數(shù)字資源、特色館藏?cái)?shù)據(jù)庫等方面的安全[5]。結(jié)合工作實(shí)際,筆者認(rèn)為公共圖書館網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可概括為系統(tǒng)環(huán)境(基礎(chǔ)層)風(fēng)險(xiǎn)、非法侵入(應(yīng)用層)風(fēng)險(xiǎn)和管理(管理層)風(fēng)險(xiǎn)。系統(tǒng)環(huán)境風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行中硬件系統(tǒng)(服務(wù)器、存儲設(shè)備、交換機(jī)、路由器等),以及軟件系統(tǒng)(系統(tǒng)軟件、支撐軟件、應(yīng)用軟件)的故障率,這類故障發(fā)生必然會影響信息系統(tǒng)的正常運(yùn)行。非法侵入風(fēng)險(xiǎn)是指非法人員有意對應(yīng)用層系統(tǒng)各組件(外部終端:身份認(rèn)證系統(tǒng)、微信端平臺、讀者自助服務(wù)設(shè)備、移動終端、讀者上網(wǎng)設(shè)備等)、系統(tǒng)信息(內(nèi)部終端:網(wǎng)站CMS、身份認(rèn)證、數(shù)據(jù)分析、業(yè)務(wù)管理、服務(wù)管理、信息安全等)等進(jìn)行更改、移動、銷毀等,直接危害系統(tǒng)的完整性、可用性和可控性,而圖書館軟件系統(tǒng)一般是基于Windows、Unix、Linux等操作系統(tǒng)平臺構(gòu)建的,非法人員可以利用系統(tǒng)漏洞侵入操作系統(tǒng)進(jìn)行篡改網(wǎng)頁、盜取用戶數(shù)據(jù)、竊取各類信息。管理風(fēng)險(xiǎn)是指監(jiān)管、管理、運(yùn)維人員操作不當(dāng)或管理不善,造成口令、密鑰的丟失或泄露而造成的風(fēng)險(xiǎn)。3個(gè)風(fēng)險(xiǎn)層面是影響公共圖書館網(wǎng)絡(luò)安全的基本組成因素,也是破解網(wǎng)絡(luò)安全危機(jī)的著力點(diǎn)和側(cè)重點(diǎn)。
2.3消防安全
圖書館的安全保衛(wèi)體系中,防火工作是重中之重,是一項(xiàng)需要常抓不懈的日常工作內(nèi)容[6]。因此,深入分析公共圖書館可能導(dǎo)致火災(zāi)發(fā)生的因素,從源頭上消除火災(zāi)隱患,是對公共圖書館安全危機(jī)管理策略的肯定與支持。結(jié)合公共圖書館的自身特點(diǎn),筆者將日常管理中最常見的影響消防安全的危機(jī)因素劃分為直接因素和間接因素。直接因素:隨意亂拉亂接電線、使用不合格的電氣設(shè)備、工程操作不規(guī)范、線路老化或故障造成線路短路、小動物啃食或爬行造成的線路短路、電氣設(shè)備安裝不合理導(dǎo)致的電器超負(fù)荷工作、隨意丟棄可燃或易燃(煙頭、白磷等)物品等可以直接導(dǎo)致火災(zāi)的發(fā)生;間接因素:消防設(shè)施(警鈴、應(yīng)急照明燈、消火栓、滅火器等)故障、防火間距不夠、逃生通道堵塞、消防意識淡薄、日常管理疏忽、消防責(zé)任未落實(shí)等可以間接導(dǎo)致火災(zāi)損失的加大。
2.4衛(wèi)生安全
近幾年,隨著國家對文化事業(yè)的重視,越來越多的新圖書館落成開放,這也給圖書館的衛(wèi)生安全管理帶來了一定影響。新圖書館的開放,甲醛危害就是第一道制約圖書館衛(wèi)生安全的坎。致病細(xì)菌是危害圖書館公共衛(wèi)生安全的主要因素之一。楊波曾對圖書館的環(huán)境衛(wèi)生情況做過調(diào)查研究,研究發(fā)現(xiàn)書刊衛(wèi)生合格率僅為65%,其中26.67%的書刊存在致病細(xì)菌;公用品表面的合格率僅為60%,其中15.83%存在致病細(xì)菌,而鍵盤、鼠標(biāo)的致病細(xì)菌高達(dá)36.37%[7]。而滋生細(xì)菌的原因主要有不良的閱讀習(xí)慣(讀者習(xí)慣把食物帶到圖書館邊看書邊吃喝、隨地吐痰等)、不達(dá)標(biāo)的衛(wèi)生環(huán)境、密閉的館舍環(huán)境、流通或長期存放的書刊等。此外,影響圖書館公共衛(wèi)生安全的因素還有大型傳染病、電子設(shè)施設(shè)備的污染、空氣污染等。
2.5治安問題
圖書館治安問題,指的是發(fā)生在館內(nèi)的盜竊、詐騙、斗毆、損毀公共財(cái)物等違反《中華人民共和國治安管理處罰法》的違法行為[8]。公共圖書館常見的治安問題主要有讀者之間、讀者與工作人員之間發(fā)生的言語和肢體沖突;讀者財(cái)務(wù)遺失、被盜、被騙;館藏資源(書刊資料、音像制品、電子數(shù)據(jù)等)、設(shè)施(桌椅、沙發(fā)、充電口等)、設(shè)備(電腦、借還書機(jī)、消毒機(jī)等)損毀或被盜等。治安問題的出現(xiàn)與當(dāng)?shù)氐闹伟箔h(huán)境和圖書館的安保工作息息相關(guān)。就圖書館而言,治安問題多數(shù)是由于讀者之間缺乏諒解、對財(cái)務(wù)的疏忽大意、工作人員處置不當(dāng)、安全宣傳不到位、監(jiān)控錄像存在死角、缺乏與當(dāng)?shù)毓膊块T聯(lián)動等原因造成的。
3公共圖書館安全管理的策略
公共圖書館安全危機(jī)往往是伴隨著幾種不同類型的危機(jī)同時(shí)出現(xiàn),例如洪水對公共圖書館的影響,不僅會直接或間接(引發(fā)火災(zāi))造成圖書館人員傷亡、財(cái)產(chǎn)損失,以及環(huán)境污染等。管理者不能片面孤立地去看待圖書館的安全危機(jī)問題,更應(yīng)該從全面發(fā)展的角度去思考,這也是公共圖書館安全危機(jī)管理的目的所在。因此,危機(jī)管理新策略既要在人防、技防、物防等“硬件”上下功夫,也要在完善制度、加強(qiáng)管理、人員培訓(xùn)等“軟件”上謀出路。
3.1完善管理制度,健全管理體系
(1)建立安全責(zé)任制度。建立“一崗雙責(zé)”責(zé)任制度,“誰主管、誰負(fù)責(zé)”,把安全工作落實(shí)到個(gè)人。從單位到部門、從部門到樓層、從樓層到個(gè)人,均應(yīng)承擔(dān)一定的安全管理責(zé)任,層層簽訂安全責(zé)任書,確保責(zé)任落實(shí)到人,制度覆蓋到人。(2)建立健全突發(fā)事件應(yīng)急處置機(jī)制。建立重大事項(xiàng)(決策)社會穩(wěn)定風(fēng)險(xiǎn)評估機(jī)制、不穩(wěn)定因素滾動排查機(jī)制,健全涉及網(wǎng)絡(luò)安全、消防安全、衛(wèi)生安全、治安事件的突發(fā)事件應(yīng)急處置機(jī)制。成立突發(fā)事件應(yīng)急處置領(lǐng)導(dǎo)小組,加強(qiáng)對特殊敏感期、法定節(jié)假日、閉館時(shí)期的綜合治理、維穩(wěn)、安保、防火、生產(chǎn)等工作領(lǐng)導(dǎo)。(3)完善安全管理制度。完善公共圖書館設(shè)備設(shè)施定期檢查與維護(hù)保養(yǎng)制度,如消防設(shè)施維護(hù)保養(yǎng)制度、視頻監(jiān)控維護(hù)保養(yǎng)制度、計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)保養(yǎng)制度、自助借還書機(jī)維護(hù)保養(yǎng)制度等;完善值班巡檢制度,如公共圖書館重點(diǎn)部位日常巡檢制度、消防控制室24小時(shí)值班制度、監(jiān)控室24小時(shí)值班制度,以及日常巡檢臺賬制度;完善圖書館內(nèi)部閱覽區(qū)、電梯、書架等重點(diǎn)部位,以及借還書機(jī)、讀報(bào)機(jī)、檢索機(jī)等讀者常用設(shè)備的衛(wèi)生清潔和消毒制度。通過建立和完善圖書館的管理制度,全方位提高公共圖書館安全管理水平。
3.2落實(shí)責(zé)任分工,消除安全隱患
制度的考驗(yàn)在于管理,管理的成效在于實(shí)踐,只有認(rèn)真落實(shí)公共圖書館安全檢查工作,從源頭上消除安全隱患,才能真正防患于未然。一要落實(shí)責(zé)任分工。按照“誰主管誰負(fù)責(zé)”“管生產(chǎn)必須管安全”和“屬地監(jiān)管”原則,明確公共圖書館主要領(lǐng)導(dǎo)為安全生產(chǎn)隱患排查治理第一責(zé)任人,分管領(lǐng)導(dǎo)為安全生產(chǎn)隱患排查治理直接責(zé)任人。二要突出檢點(diǎn)。加強(qiáng)對圖書館閱覽區(qū)、館藏區(qū)、辦公區(qū)等重點(diǎn)場所,機(jī)房、供電房、空調(diào)房等突出部位,以及消防器材、逃生通道、救援設(shè)施等特殊設(shè)施的安全檢查,切實(shí)做到不走過場、嚴(yán)密排查、全面覆蓋、不留死角。三要制作安全臺賬。日常的安全檢查中必須要制作好檢查臺賬,以備查閱。例如“防火巡查記錄本”“監(jiān)控室巡檢記錄本”“機(jī)房巡檢登記表”“網(wǎng)絡(luò)系統(tǒng)巡檢登記表”“公共衛(wèi)生巡檢登記表”等臺賬記錄。四要落實(shí)整改措施。對檢查發(fā)現(xiàn)的安全隱患,要一項(xiàng)一項(xiàng)落實(shí)整改。五要保證經(jīng)費(fèi)投入。安全經(jīng)費(fèi)的穩(wěn)定投入,直接影響圖書館安全設(shè)施、設(shè)備的更新升級,為提升公共圖書館安全管理水平夯實(shí)根基。
3.3搭建三防屏障,筑牢安全基礎(chǔ)
從傳統(tǒng)的以“人防”為主,到以“人防”為基礎(chǔ)、“技防”為手段、“物防”為輔助的現(xiàn)代化科學(xué)管理模式,為公共圖書館安全環(huán)境奠定了堅(jiān)實(shí)基礎(chǔ)。首先,以“人防”為基礎(chǔ),按要求建立治安聯(lián)防隊(duì)、志愿消防隊(duì)和突發(fā)事件應(yīng)急處置小組,協(xié)同處置治安、暴恐、消防等突發(fā)事件,共同維護(hù)館舍、館藏資源、設(shè)備設(shè)施等財(cái)產(chǎn)安全,以及維護(hù)館員和讀者人身財(cái)產(chǎn)安全。其次,以“技防”為手段,網(wǎng)絡(luò)安全建設(shè)上要根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240-2008)[9]相關(guān)標(biāo)準(zhǔn),完善公共圖書館信息系統(tǒng)安全等級保護(hù)定級,加強(qiáng)對網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)備、讀者自助設(shè)備,及服務(wù)器、存儲器、桌面應(yīng)用軟件和認(rèn)證系統(tǒng)、業(yè)務(wù)系統(tǒng)、安全系統(tǒng)等設(shè)施設(shè)備和軟件系統(tǒng)的的維護(hù)保養(yǎng),并加強(qiáng)對防火墻技術(shù)、入侵檢測技術(shù)、殺毒軟件防護(hù)技術(shù)的更新升級,全方位確保公共圖書館信息和數(shù)據(jù)的安全;消防安全上要強(qiáng)化自動報(bào)警、自動滅火等系統(tǒng)建設(shè);治安防衛(wèi)上要加強(qiáng)電子報(bào)警技術(shù)和視頻監(jiān)控技術(shù),為共同維護(hù)公共圖書館安全危機(jī)管理提供技術(shù)支持和管理延伸。以“物防”為輔助,完善出入圖書館安全檢測機(jī)、監(jiān)控?cái)z像、防爆器材等設(shè)備配置,完善防火卷簾門、常閉防火門、自動噴淋裝置等設(shè)施建設(shè),完善消火栓、滅火器、應(yīng)急照明燈等消防器材配置,為公共圖書館消除安全隱患和處置突發(fā)事件提供物質(zhì)保障。通過“三防”手段,從源頭上消除各類安全隱患,共同營造公共圖書館和諧安定的閱覽環(huán)境。
3.4加強(qiáng)安全教育,提升應(yīng)急能力
安全知識的普及是災(zāi)害事件發(fā)生時(shí)人員進(jìn)行自救和互救的基礎(chǔ),強(qiáng)化公共圖書館安全工作的宣傳、教育和培訓(xùn)對營造安全環(huán)境具有重要意義。公共圖書館可以通過官方網(wǎng)站、官方微博、微信公眾號等平臺推送“入館安全小常識”,在館內(nèi)播放宣傳教育片、發(fā)放安全知識與應(yīng)急手冊、懸掛警示橫幅或海報(bào)等宣傳安全知識;通過每月的讀者圖書推薦活動,向讀者推薦相關(guān)書籍,并在館內(nèi)電視屏上滾動播出;還可以邀請當(dāng)?shù)叵啦块T、公安部門、計(jì)算機(jī)專家等對圖書館員工進(jìn)行安全生產(chǎn)教育和培訓(xùn),定期組織工作人員進(jìn)行應(yīng)對消防、爆恐事件、自然災(zāi)害等突發(fā)事件的演練。有條件的單位還可以不定期邀請有經(jīng)驗(yàn)的老師到館為館員和讀者講解突發(fā)事件應(yīng)急和急救知識,全面提高公共圖書館工作人員的安全生產(chǎn)及防災(zāi)減災(zāi)能力。
關(guān)鍵詞:網(wǎng)絡(luò)會計(jì) 風(fēng)險(xiǎn) 安全 措施
近些年來,隨著經(jīng)濟(jì)全球化的發(fā)展和網(wǎng)絡(luò)的普及,越來越多的傳統(tǒng)方式被電子化取代,人們習(xí)慣于電子訂單電子支付等方式,即使會計(jì)電算化也存在著不足,會計(jì)在網(wǎng)絡(luò)環(huán)境下發(fā)生了變化,網(wǎng)絡(luò)會計(jì)有效的彌補(bǔ)了這些不足。由于網(wǎng)絡(luò)會計(jì)的研究尚處于初探階段,對“網(wǎng)絡(luò)財(cái)務(wù)”、“網(wǎng)絡(luò)會計(jì)”并無十分明確的定義。
一、網(wǎng)絡(luò)會計(jì)
最初是由用友公司提出,廣義來看,網(wǎng)絡(luò)會計(jì)要以會計(jì)信息使用者為導(dǎo)向,以信息技術(shù)為基礎(chǔ),對會計(jì)信息處理流程進(jìn)行根本性的再思考,并以集成化的方式,面向?qū)ο蟛⑿械剡M(jìn)行重新設(shè)計(jì),使其能為會計(jì)信息使用者提供準(zhǔn)確、完整、可靠、合理的會計(jì)信息,以使會計(jì)能較好地滿足信息使用者的需要。
二、網(wǎng)絡(luò)會計(jì)的安全風(fēng)險(xiǎn)
新的方式,存在著新的風(fēng)險(xiǎn),即使是國家安全級別的,最近也被斯諾登爆出來美國多年來有超過六萬一千項(xiàng)入侵全球各地電腦的行動。其中,包括香港和中國大陸的電腦系統(tǒng)。這些,都是大都通過網(wǎng)絡(luò),因此網(wǎng)絡(luò)安全刻不容緩。
(一)病毒風(fēng)險(xiǎn)
在電腦使用過程中,病毒是個(gè)不能忽視的問題,有時(shí)候小的操作可能造成嚴(yán)重的后果,輕微的只會影響個(gè)別用戶的計(jì)算機(jī)無法正常使用,但嚴(yán)重的會影響服務(wù)器的正常運(yùn)行,甚至導(dǎo)致會計(jì)信息系統(tǒng)崩潰和整個(gè)局域網(wǎng)的癱瘓,其危害后果的嚴(yán)重性不容忽視。從計(jì)算機(jī)病毒的傳播方式分析,大致可以分為互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播和移動存儲介質(zhì)比如移動硬盤傳播等三種。
(二)黑客惡意攻擊風(fēng)險(xiǎn)
現(xiàn)在這種案例越來越多,作為企業(yè),會計(jì)信息很多是最核心的財(cái)務(wù)數(shù)據(jù),不管是最為競爭者還是被競爭者,為了立于不敗之地,一定不能隨意讓人“參觀”我們的信息,毫無秘密可言。
(三)硬件風(fēng)險(xiǎn)
作為機(jī)器,就存在失靈的風(fēng)險(xiǎn),經(jīng)常使用電腦的我們,有時(shí)候也有可能會碰上數(shù)據(jù)丟失這樣的事件,即使可修復(fù),損失必定不小。一旦服務(wù)器宕機(jī)或出現(xiàn)其他故障,編制憑證、出具報(bào)表等工作都無法進(jìn)行,嚴(yán)重影響到財(cái)務(wù)部門的工作,甚至可能因此影響企業(yè)正常的收支業(yè)務(wù),直接帶來經(jīng)濟(jì)上的損失。
(四)電腦業(yè)務(wù)操作的風(fēng)險(xiǎn)
電腦操作時(shí)對會計(jì)人員新的要求,因?yàn)閼?yīng)用越廣泛,也是越來越高的要求。數(shù)據(jù)錄入主要還是由會計(jì)人員手工操作,故存在著篡改輸入的風(fēng)險(xiǎn)。甚至有些人不注意密碼的安全,一旦被別有用心的人發(fā)現(xiàn),就會為他人惡意篡改數(shù)據(jù)提供了可能,可謂方便了別人,難過了自己。
三、網(wǎng)絡(luò)會計(jì)信息系統(tǒng)風(fēng)險(xiǎn)防治的措施
(一)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的控制
網(wǎng)絡(luò)運(yùn)行的可靠性和保密性構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的基本研究內(nèi)容。網(wǎng)絡(luò)會計(jì)作為一個(gè)會計(jì)信息系統(tǒng),必須具有一個(gè)安全、可靠的網(wǎng)絡(luò)。做好預(yù)防病毒的安全措施,堅(jiān)持使用正版的軟件;不要使用來歷不明的軟件;定時(shí)備份磁盤的數(shù)據(jù)和軟件,做好數(shù)據(jù)保護(hù)和加密;不要打開和閱讀來歷不明的電子郵件;經(jīng)常對電腦硬盤進(jìn)行病毒檢測;做好對黑客的防護(hù)措施,設(shè)置防火墻;加強(qiáng)對重要資料的保密;加強(qiáng)對重要網(wǎng)絡(luò)設(shè)備的管理。把計(jì)算機(jī)用戶對信息的讀寫或修改控制在一定級別范圍之內(nèi),其基本途徑是身份認(rèn)證、權(quán)限和記錄日志。在網(wǎng)絡(luò)中通常設(shè)置三級權(quán)限,其他用戶的權(quán)限由系統(tǒng)管理員授予。
(二)硬件和軟件風(fēng)險(xiǎn)的控制
首先,電腦網(wǎng)絡(luò)系統(tǒng)硬件選配應(yīng)合適,防止網(wǎng)絡(luò)功能發(fā)揮受阻,提高網(wǎng)絡(luò)工作環(huán)境、電源等質(zhì)量可以提高網(wǎng)絡(luò)的可靠性;其次還要加強(qiáng)網(wǎng)絡(luò)操作系統(tǒng)和會計(jì)軟件的安裝、維護(hù)完善質(zhì)量;為了提高系統(tǒng)數(shù)據(jù)的安全性和在意外情況下的“自救能力”,應(yīng)建立雙備份,備份后的兩份數(shù)據(jù)應(yīng)有不同的人員持有,另一份是非加密的,有具體操作人員使用。對一些重要的數(shù)據(jù),可采用分布存儲。最后要健全網(wǎng)絡(luò)管理制度,建立嚴(yán)格的數(shù)據(jù)存儲措施。在應(yīng)用平臺開發(fā)的技術(shù)選擇上也要考慮數(shù)據(jù)安全性問題, 可在獨(dú)立核算的數(shù)據(jù)采集部門應(yīng)用界面靈活、功能強(qiáng)大、適合大量單據(jù)錄入處理的結(jié)構(gòu)。另外需要定時(shí)進(jìn)行硬件和軟件的測試。
(三)內(nèi)部控制風(fēng)險(xiǎn)的控制
內(nèi)部控制制度主要包括組織控制制度,主要是通過內(nèi)部分工,實(shí)現(xiàn)互相牽制:(1)提高會計(jì)人員的計(jì)算機(jī)應(yīng)用水平和職業(yè)道德修養(yǎng)。(2)數(shù)據(jù)訪問權(quán)限控制和重要數(shù)據(jù)備份制度。 (3)加強(qiáng)計(jì)算機(jī)輸入輸出控制計(jì)算機(jī)環(huán)境下的會計(jì)工作(4) 設(shè)立一種相互稽核、相互監(jiān)督和相互制約的機(jī)制,健全管理制度,嚴(yán)格執(zhí)行檔案保管制度,責(zé)任到人。(5)加強(qiáng)內(nèi)部的安全審計(jì)。通過安全測試可以全面評估網(wǎng)絡(luò)會計(jì)系統(tǒng)的安全狀況,預(yù)測會計(jì)信息失真的風(fēng)險(xiǎn),并有針對性地指導(dǎo)企業(yè)完善相應(yīng)的安全措施,建立應(yīng)急處理機(jī)制。
總之,隨著信息高速公路的建成,網(wǎng)絡(luò)會計(jì)將會得到更廣泛的重視和應(yīng)用,網(wǎng)絡(luò)會計(jì)是會計(jì)學(xué)中的最具潛力的新方向,我們必須在管理和控制等多個(gè)方面與層次上,制定和實(shí)施相應(yīng)的配合與協(xié)調(diào)機(jī)制,為網(wǎng)絡(luò)會計(jì)建立一個(gè)安全穩(wěn)定的運(yùn)行環(huán)境,使網(wǎng)絡(luò)會計(jì)風(fēng)險(xiǎn)減小到最低,從而最大限度的發(fā)揮它的優(yōu)勢。
參考文獻(xiàn):
[1] 肖海. 淺析網(wǎng)絡(luò)會計(jì)存在的問題與對策.對外經(jīng)貿(mào), 2010.(04)
[2] 陳明坤.試論網(wǎng)絡(luò)會計(jì)[J].福建行政學(xué)院福建經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào), 2003( 02) .
【 關(guān)鍵詞 】 信息安全;等級保護(hù);風(fēng)險(xiǎn)評估;層次分析法
Level Protection Risk Assessment Model for Research
Zhao Yun
(The Third Research Institute of Ministry of Public Security Shanghai 200031)
【 Abstract 】 This article in view of the information system risk assessment are susceptible to the influence of subjective factors, some problems such as vagueness and uncertainty, a new risk assessment model is put forward. By establishing hierarchical evaluation system based on the level of protection, and using the evaluation method based on analytic hierarchy process (AHP) that exist in the process evaluation fuzzy value, finally quantitative evaluation results. The empirical results show that the model can reduce the fuzziness and uncertainty in risk assessment can better solve practical difficulties and problems of information system risk assessment .
【 Keywords 】 information security;grade protection;risk evaluation;analytic hierarchy process
1 引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)中承載的信息量的加速增長,系統(tǒng)安全重要性正在世界范圍內(nèi)不斷地?cái)U(kuò)大。近些年來,我國改革開放和信息化建設(shè)步伐不斷加快,各行業(yè)都建立了自己的信息系統(tǒng)以支持相關(guān)業(yè)務(wù)的開展,這些系統(tǒng)的運(yùn)行狀況在各個(gè)層面不同程度地影響著企業(yè)或行業(yè)乃至整個(gè)社會的發(fā)展。因此,對于信息系統(tǒng)的等級保護(hù)工作也變得越發(fā)重要。信息安全等級保護(hù)是指對國家安全、法人和其它組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù),對信息系統(tǒng)中使用信息安全產(chǎn)品實(shí)行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置等,在系統(tǒng)的建設(shè)過程中,我們總是關(guān)心系統(tǒng)所面臨的安全風(fēng)險(xiǎn),基于上述原因,如何評價(jià)一個(gè)信息系統(tǒng)項(xiàng)目就成了非常重要的課題。目前的評價(jià)方法,國內(nèi)不是很成熟。本文通過對信息系統(tǒng)評估方法的理論研究,對已有的評價(jià)方法進(jìn)行了改進(jìn),最終得到一個(gè)優(yōu)化的指標(biāo)體系。
2 發(fā)展歷程
由于計(jì)算機(jī)信息網(wǎng)絡(luò)安全的脆弱性和現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境的復(fù)雜性,時(shí)刻給信息系統(tǒng)的正常運(yùn)行帶來威脅,為此國家公安部、保密局、國家密碼管理局、國務(wù)院信息化領(lǐng)導(dǎo)小組于2007年聯(lián)合頒布了861號文件《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》和《信息安全等級保護(hù)管理辦法》。根據(jù)文件精神和等級劃分的原則,重要信息系統(tǒng)構(gòu)筑需要達(dá)到三級或以上防護(hù)要求,以等級保護(hù)三級系統(tǒng)為例,其防護(hù)要求分類如圖1所示。
從圖1可以看出,目前等級保護(hù)風(fēng)險(xiǎn)評估主要分為技術(shù)要求和管理要求兩大部分,技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)方面來評價(jià);管理要求從安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)角度進(jìn)行分析。通過對目前多個(gè)測評機(jī)構(gòu)測評方法的分析研究,發(fā)現(xiàn)傳統(tǒng)的風(fēng)險(xiǎn)評估方法比較簡單,各項(xiàng)指標(biāo)和分項(xiàng)指標(biāo)的實(shí)際情況僅由符合、部分符合和不符合三種評價(jià)結(jié)果構(gòu)成。這種評價(jià)方法無法區(qū)分各個(gè)測評項(xiàng)對整個(gè)信息系統(tǒng)影響的重要程度,另外,對整個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)評估也僅僅由簡單的統(tǒng)計(jì)不符合率來體現(xiàn),無法客觀有效地反應(yīng)系統(tǒng)的真實(shí)情況。
3 信息系統(tǒng)風(fēng)險(xiǎn)評估
信息安全風(fēng)險(xiǎn)評估規(guī)范中明確了信息系統(tǒng)風(fēng)險(xiǎn)評估的基本工作形式是自評估與檢查評估。信息系統(tǒng)風(fēng)險(xiǎn)評估是信息系統(tǒng)安全工程的重要組成部分,是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。根據(jù)國家有關(guān)管理規(guī)定,基礎(chǔ)性、重要的信息系統(tǒng)采用等級保護(hù)標(biāo)準(zhǔn)進(jìn)行建設(shè)和測評。信息系統(tǒng)使用單位應(yīng)該結(jié)合自身單位信息系統(tǒng)的具體情況,依照國家標(biāo)準(zhǔn),開展風(fēng)險(xiǎn)評估工作。目前,信息系統(tǒng)的復(fù)雜性和多樣性給風(fēng)險(xiǎn)評估帶來了很大困難,評估工作多是由測評單位的測評人員根據(jù)定性的評價(jià)指標(biāo)進(jìn)行評估,在結(jié)果的判定上很難量化。因此,最終的評估結(jié)果易受主觀因素的影響,每個(gè)人對結(jié)果的評價(jià)可能不完全一樣;具有模糊性和不確定性。
信息系統(tǒng)風(fēng)險(xiǎn)評估以信息系統(tǒng)的各個(gè)方面為對象,建立在對信息系統(tǒng)進(jìn)行評價(jià)的基礎(chǔ)上,目前國內(nèi)外在風(fēng)險(xiǎn)分析領(lǐng)域常用的三種方法:參數(shù)統(tǒng)計(jì)方法、非參數(shù)統(tǒng)計(jì)方法和神經(jīng)網(wǎng)絡(luò)方法。應(yīng)用于信息系統(tǒng)風(fēng)險(xiǎn)評估模型中的常用統(tǒng)計(jì)模型包括基于判別分析的信用評價(jià)模型、Bayes風(fēng)險(xiǎn)分析的信用評價(jià)模型、Logistic回歸模型的信用評價(jià)模型、模糊聚類方法的信用評價(jià)模型和神經(jīng)網(wǎng)絡(luò)(如徑向基函數(shù)網(wǎng)絡(luò)、概率神經(jīng)網(wǎng)絡(luò)、自組織神經(jīng)網(wǎng)絡(luò)等)的信用評價(jià)模型[2],F(xiàn)u等運(yùn)用層次分析法(AHP)和模糊綜合評價(jià)法(FCE),建立風(fēng)險(xiǎn)評估的量化模式[3];Huang等以灰色評估模型為基礎(chǔ),在權(quán)重的選擇過程中引入模糊層次分析法,弱化了評價(jià)的主觀性[4];Gao等人應(yīng)用灰色關(guān)聯(lián)決策算法,給出了評估值缺失的先驗(yàn)估計(jì),能夠有效地處理參數(shù)評估值的不確定性問題[5]。
信息系統(tǒng)評價(jià)指標(biāo)體系的構(gòu)建對信息系統(tǒng)安全指數(shù)進(jìn)行客觀合理的測度,其基礎(chǔ)是建立一個(gè)客觀科學(xué)的指標(biāo)體系。本文通過對信息系統(tǒng)等級保護(hù)測評過程客觀科學(xué)的分析以及查閱文獻(xiàn),構(gòu)建出信息系統(tǒng)安全指數(shù)體系,如表1所示。
等級保護(hù)風(fēng)險(xiǎn)評估模型建立在等級保護(hù)體系的基礎(chǔ)上,運(yùn)用綜合評價(jià)法,建立評價(jià)模型,建立如下的評價(jià)參數(shù):
假設(shè)風(fēng)險(xiǎn)評估目標(biāo)指數(shù)為U,U的取值和U1技術(shù)要求和U2管理要求相關(guān):
U={U1 ,U2}={技術(shù)要求,管理要求}
進(jìn)一步分析后,得到以下關(guān)系:
U1={U11,U12,U13,U14,U15}={物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全}
U2={U21,U22,U23,U24,U25}={安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理}
將U11至U22進(jìn)一步拆解后,得到以下關(guān)系:
U11={U111,U112,U113,U114,U115,U116,U117,U118,U119,U1110}={物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)}
U12={U121,U122,U123,U124,U125,U126,U127}={結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)}
U13={ U131,U132,U133,U134,U135,U136 }={身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制}
……
由于三級指標(biāo)的數(shù)目過多,在本文中就不一一列舉了,可以參照相關(guān)材料完成上述關(guān)系式。
4 等級保護(hù)風(fēng)險(xiǎn)評估模型
層次分析法(The Analytic Hierarchy Process)簡稱AHP,20世紀(jì)70年代中期由美國運(yùn)籌學(xué)家托馬斯·塞蒂(T.L.Saaty)正式提出。它是一種定性和定量相結(jié)合的、系統(tǒng)化、層次化的分析方法。層次分析法將決策問題按總目標(biāo)、各層子目標(biāo)、評價(jià)準(zhǔn)則直至具體的備選方案的順序分解為不同的層次結(jié)構(gòu),然后用求解判斷矩陣特征向量的辦法,求得每一層次的各元素對上一層次某元素的優(yōu)先權(quán)重,最后再用加權(quán)和的方法遞階歸并各備選方案對總目標(biāo)的最終權(quán)重,此最終權(quán)重最大者即為最優(yōu)方案。層次分析法比較適合于具有分層交錯(cuò)評價(jià)指標(biāo)的目標(biāo)系統(tǒng)且目標(biāo)值又難于定量描述的決策問題。其用法是構(gòu)造判斷矩陣,求出最大特征值及其所對應(yīng)的特征向量w,歸一化后,即為某一層次指標(biāo)對于上一層次相關(guān)指標(biāo)的相對重要性權(quán)值。
運(yùn)用層次分析法建模,按四個(gè)步驟進(jìn)行。
1)建立遞階層次結(jié)構(gòu)模型。應(yīng)用AHP分析決策問題時(shí),首先要把問題條理化、層次化,構(gòu)造出一個(gè)有層次的結(jié)構(gòu)模型。在這個(gè)模型下,復(fù)雜問題被分解為元素的組成部分。這些元素又按其屬性及關(guān)系形成若干層次。上一層次的元素作為準(zhǔn)則對下一層次有關(guān)元素起支配作用。
2)構(gòu)造出各層次中的所有判斷矩陣。層次結(jié)構(gòu)反映了因素之間的關(guān)系,但準(zhǔn)則層中的各準(zhǔn)則在目標(biāo)衡量中所占的比重并不一定相同,在決策者的心目中,它們各占有一定的比例。在確定影響某些因素的諸因子在該因素中所占的比重時(shí),遇到的主要困難是這些比重常常不易定量化。此外,當(dāng)影響某些因素的因子較多時(shí),直接考慮各因子對該因素有多大程度的影響時(shí),常常會因考慮不周全、顧此失彼而使決策者提出與其實(shí)際重要性程度不相一致的數(shù)據(jù),甚至有可能提出一組隱含矛盾的數(shù)據(jù)。層次分析法通過各指標(biāo)相對于上級指標(biāo)重要性的兩兩比較,構(gòu)造判斷矩陣,可以有效避免上述問題。
3)指標(biāo)體系建立及權(quán)重計(jì)算
在對信息系統(tǒng)建設(shè)及使用效果進(jìn)行評估時(shí),底層相對于上一層指標(biāo)可能有很多個(gè)。此時(shí)運(yùn)用層次分析法對底層指標(biāo)構(gòu)建的判斷矩陣會比較復(fù)雜,很難滿足一致性。所以,本文對一般的信息系統(tǒng)構(gòu)建了一個(gè)三層的指標(biāo)體系。其中一級指標(biāo)2個(gè),二級指標(biāo)10個(gè),三級指標(biāo)74個(gè)。在進(jìn)行權(quán)重計(jì)算時(shí),考慮到三級指標(biāo)數(shù)量過多,如果逐一的討論其權(quán)重指標(biāo)會顯得比較繁瑣,并且其相互之間重要關(guān)系不易比較,故只計(jì)算一、二級指標(biāo)在整個(gè)指標(biāo)體系中的權(quán)重,三級指標(biāo)權(quán)重取他們對二級指標(biāo)的平均值。也正是因?yàn)槿壷笜?biāo)數(shù)量繁多,并且其重要性可通過二級指標(biāo)的權(quán)重所體現(xiàn),所以并不會對評估結(jié)果有較大的影響。
對信息系統(tǒng)權(quán)重評分,主要通過三類人員評分,包括信息系統(tǒng)使用人員、測評人員及專家,接下來分析權(quán)重確定方法及過程,本文采用發(fā)放調(diào)查表的方式,通過三種人員對信息系統(tǒng)的指標(biāo)權(quán)重進(jìn)行分項(xiàng)打分,然后進(jìn)行分類匯總計(jì)算權(quán)重,具體的辦法如下:
信息系統(tǒng)使用人員評分步驟如下:首先制作調(diào)查表。信息系統(tǒng)使用人員評分主要通過發(fā)放調(diào)查表的方式。調(diào)查表的內(nèi)容應(yīng)該包括指標(biāo)體系中所有的三級指標(biāo)。接下來填報(bào)調(diào)查表。為了保證信息收集的全面客觀性,應(yīng)由系統(tǒng)的多類用戶填寫,例如業(yè)務(wù)人員、系統(tǒng)管理人員、部門領(lǐng)導(dǎo)等。并且每一類人員也應(yīng)當(dāng)由多人填寫多份,這樣才可保證搜集的信息全面而真實(shí)。然后確定三級指標(biāo)權(quán)重得分。通過調(diào)查表的填寫及調(diào)查表中每個(gè)選項(xiàng)對應(yīng)的分值,可以得到信息系統(tǒng)使用人員、測評人員及專家對信息系統(tǒng)每個(gè)三級指標(biāo)的權(quán)重得分。最后計(jì)算二級指標(biāo)得分。對每個(gè)二級指標(biāo)下的三級指標(biāo)得分求平均分,即得到日常使用人員對信息系統(tǒng)每個(gè)二級指標(biāo)的得分。
信息系統(tǒng)測評人員打分方式:測評人員可以從許多技術(shù)角度考慮整個(gè)信息系統(tǒng)建設(shè)及使用效果。測評人員雖然并不一定能很熟練地操作整個(gè)信息系統(tǒng),并且對業(yè)務(wù)工作也不一定完全了解,但其可以從許多技術(shù)角度考慮整個(gè)信息系統(tǒng)建設(shè)及使用效果。所以測評人員只需對信息系統(tǒng)的三級指標(biāo)進(jìn)行直接評分。測評人員主要通過查閱原始文檔、座談、實(shí)地調(diào)研并結(jié)合自身的操作使用,對信息系統(tǒng)的三級指標(biāo)直接打分。為了使評估結(jié)果更具有代表性,本文建議由多名測評人員參與評分,最后取多名測評人員的平均分為各三級指標(biāo)的最終得分。
專家評分方式:專家往往不會過多地考慮信息系統(tǒng)具體的細(xì)節(jié)問題,而能夠宏觀考慮整個(gè)信息系統(tǒng)的建設(shè)及使用情況。所以專家只需對信息系統(tǒng)的二級指標(biāo)進(jìn)行直接評分,一方面避免了其對許多細(xì)節(jié)問題的填報(bào)困難,另一方面也可以包含指標(biāo)體系中無法體現(xiàn)的主觀因素對信息系統(tǒng)的影響。專家主要通過查閱原始文檔、座談,并結(jié)合自身的使用情況,對信息系統(tǒng)的二級指標(biāo)直接打分。為了使評估結(jié)果更具有代表性,本文建議由多名專家參與評分,最后取多名專家的平均分為各二級指標(biāo)的得分。
在得到信息系統(tǒng)使用人員、測評人員及專家對信息系統(tǒng)各指標(biāo)的權(quán)重打分之后,需要對該三類人員的評分結(jié)果進(jìn)行匯總。
首先,計(jì)算最終的三級指標(biāo)得分。由于不同的信息系統(tǒng),系統(tǒng)使用人員、測評人員及專家三類評分人員的評分結(jié)果重要性不同,所以需要對其賦予一定權(quán)重。由于系統(tǒng)使用人員是系統(tǒng)的真實(shí)使用者,具有最直接、最真實(shí)的使用體驗(yàn),其評價(jià)結(jié)果也最為可靠,因此,本文推薦系統(tǒng)使用人員評分權(quán)重為0.5;測評人員對系統(tǒng)的使用頻率一般沒有用戶的使用頻率高,且只關(guān)心部分功能,但由于測評人員更具有全局觀,往往能得到比較廣泛的、多方面的該系統(tǒng)的建設(shè)效果的信息,因此,本文推薦測評人員評分權(quán)重為0.15;專家是信息技術(shù)領(lǐng)域的專業(yè)人員,一般為外請,雖然不是直接使用者,但具有豐富的專業(yè)知識,因此,本文推薦專家評分權(quán)重為0.15。
接下來,計(jì)算各指標(biāo)最終權(quán)重得分=該系統(tǒng)使用人員評分×0.5+測評人員評分×0.35+專家評分×0.15。
然后,計(jì)算權(quán)重得分:該級指標(biāo)下各下一級指標(biāo)得分相加求和,再對結(jié)果進(jìn)行歸一化。
最后,計(jì)算系統(tǒng)的風(fēng)險(xiǎn)評估得分:該系統(tǒng)各級指標(biāo)得分分別與該指標(biāo)的權(quán)重相乘,再將結(jié)果相加,即得到該系統(tǒng)的風(fēng)險(xiǎn)評估得分。
為了簡化評分結(jié)果,將三級權(quán)重的評價(jià)結(jié)果值省略,僅列出一、二級權(quán)重的得分結(jié)果如表2所示。
4)權(quán)重調(diào)整
建立了風(fēng)險(xiǎn)指標(biāo)權(quán)重表后,我們通過實(shí)際的系統(tǒng)為例,驗(yàn)證以上權(quán)重的準(zhǔn)確性。我們選取8個(gè)系統(tǒng)的風(fēng)險(xiǎn)等級測評結(jié)果,使用上述的指標(biāo)權(quán)重對風(fēng)險(xiǎn)評估結(jié)果進(jìn)行驗(yàn)證,將8個(gè)系統(tǒng)按照上述測評方法分項(xiàng)計(jì)算其得分,得到8個(gè)系統(tǒng)的風(fēng)險(xiǎn)評估得分,如表3所示。
我們將以上結(jié)果與我們使用傳統(tǒng)方法對系統(tǒng)的測評結(jié)果做出比照,發(fā)現(xiàn)其中序號8系統(tǒng)的風(fēng)險(xiǎn)評估得分比實(shí)際情況有偏差,由此分析原因。對以上的權(quán)重分配進(jìn)行調(diào)整,調(diào)整后的結(jié)果如表4所示。
按照調(diào)整后的權(quán)重結(jié)果從新計(jì)算序號8系統(tǒng)的風(fēng)險(xiǎn)評估得分,發(fā)現(xiàn)與實(shí)際情況較為吻合,因此確定該指標(biāo)權(quán)重分配結(jié)果較之前的結(jié)果更加準(zhǔn)確。在具體的測評過程中,需要根據(jù)系統(tǒng)的具體情況調(diào)整以上的權(quán)重,根據(jù)具體的業(yè)務(wù)需要,對上述權(quán)重進(jìn)行多輪的討論研究,最終確定各權(quán)重取值。系統(tǒng)的測評結(jié)果會更加客觀,更能真實(shí)的反應(yīng)出系統(tǒng)的實(shí)際情況。
5)評估過程
按照以上的方法,我們總結(jié)等級保護(hù)系統(tǒng)評估過程如圖2所示。
5 結(jié)束語
本文主要提供了一套完整的信息系統(tǒng)建設(shè)及使用效果評估方法。通過運(yùn)用層次分析法構(gòu)建指標(biāo)體系及計(jì)算權(quán)重,結(jié)合日常使用人員、領(lǐng)導(dǎo)及專家三類人員評分,可以很好地對單個(gè)或者多個(gè)信息系統(tǒng)的建設(shè)及使用效果進(jìn)行評分。目前通過對3家企業(yè)的信息系統(tǒng)評估,證明采用該指標(biāo)體系和評分辦法,收到了良好的效果。不僅如此,本指標(biāo)體系和評估方法也為今后信息系統(tǒng)評估類軟件的開發(fā)提供了良好的理論基礎(chǔ)。
參考文獻(xiàn)
[1] 公安部.信息安全等級保護(hù)管理辦法(試行).2006.
[2] 龐素琳.信用評價(jià)與股市預(yù)測模型研究及應(yīng)用:統(tǒng)計(jì)學(xué)、神經(jīng)網(wǎng)絡(luò)與支持向量機(jī)方法[M].北京:科學(xué)出版社,2O05.
[3] FU S,ZHOU H J.The information security risk assessment based on AHP and fuzzy comprehensive evaluation [c]//International Conference On Risk Management& Engineering Management.Beijing.IEEE,2008:404—409.
[4] 黃劍雄,丁建立.基于模糊分析的信息系統(tǒng)風(fēng)險(xiǎn)灰色評估模型[J].計(jì)算機(jī)工程與設(shè)計(jì),2012,33(4):1285—1289.
[5] 高陽,羅軍舟.基于灰色關(guān)聯(lián)決策算法的信息安全風(fēng)險(xiǎn)評估方法[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版),2009,39(2):225—229.
[6] 劉向升,王剛.信息系統(tǒng)的風(fēng)險(xiǎn)評估方法研究[J].網(wǎng)絡(luò)安全與技術(shù),2006(11).
[7] KANG Hai—gui,ZHAI Geng-jun,LIU Xiang-bin.Structure fuzzy optimum design of offshore jacket platforms[C]//ISPOE一2001.Stavaiger,Nonway:[s.n.].2001:114—118.
[8] 朱繼鋒,趙英杰,楊賀,張升波.等級保護(hù)思想的演化[J].學(xué)術(shù)研究,2O11,7O-73.
基金項(xiàng)目:
由適用于重要信息系統(tǒng)的產(chǎn)品安全性檢驗(yàn)平臺項(xiàng)目(編號:C13383)支持。
作者簡介;
1計(jì)算機(jī)信息安全管理理論
1.1計(jì)算機(jī)信息
信息是關(guān)于客觀事實(shí)的可通訊的知識,信息是客觀世界各種事物表征的反映。“信息”又被稱為消息、資訊,通常以文字或聲音、圖像的形式來表現(xiàn),是數(shù)據(jù)按有意義的關(guān)聯(lián)排列的結(jié)果。目前,根據(jù)對信息的研究成果,我們可以將信息的概念科學(xué)的概括如下:信息是對客觀世界中各種事物的運(yùn)動狀態(tài)和變化的反映,是客觀事物之間相互關(guān)聯(lián)和相互作用的表征,表現(xiàn)的是客觀事物運(yùn)動狀態(tài)和變化的實(shí)質(zhì)內(nèi)容。
1.2計(jì)算機(jī)信息安全
信息安全是指信息系統(tǒng)(包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境極其基礎(chǔ)設(shè)施)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常的運(yùn)行,信息服務(wù)不中斷,最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。主要包括信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞,確保信息的完整性、可用性、保密性和可靠性,即確保信息的安全性。
2高校計(jì)算機(jī)信息安全管理理論
2.1計(jì)算機(jī)信息安全管理體系不健全
從目前高校的安全管理模式可以看出,仍在沿用傳統(tǒng)的“以經(jīng)驗(yàn)管理為主,以科學(xué)管理為輔”的較固定的管理模式。完全依靠開會強(qiáng)調(diào)安全管理的重要性,靠文件學(xué)習(xí)風(fēng)險(xiǎn)防范方法,靠人員的巡視檢查來督促各部門的對信息的安全防范。這樣簡單的、被動的、機(jī)械的管理模式,不能夠適應(yīng)現(xiàn)在這個(gè)多變的社會環(huán)境。沒有一個(gè)全員的安全緊迫性、全方位的安全管理程序,不主動查缺補(bǔ)漏,輕視安全隱患,往往會鑄就大的安全管理問題。
2.2計(jì)算機(jī)信息安全管理手段較單一
高校往往重視教學(xué)和科研業(yè)務(wù)上的績效考核、獎勵激勵,而忽略了在信息安全管理方面表現(xiàn)卓越的激勵、保障制度。有關(guān)信息安全管理的規(guī)章制度也不成為專門的考核標(biāo)準(zhǔn),一些信息安全管理方面的資金投入也較科研開發(fā)、教學(xué)業(yè)務(wù)拓展等較少。只是在出了事故后層層問責(zé),而懈怠了平時(shí)的敦促、提醒、培訓(xùn)。沒能根據(jù)實(shí)際工作環(huán)境和社會變化趨勢來應(yīng)對信息安全問題,管理手段和方法單一落后。
2.3計(jì)算機(jī)信息安全監(jiān)督機(jī)制不完善
監(jiān)管部門的安全監(jiān)督責(zé)任有待調(diào)整和規(guī)范。高校尚未出臺可資借鑒的安全監(jiān)督執(zhí)行力度標(biāo)準(zhǔn),這樣,就會影響組織機(jī)構(gòu)在進(jìn)行監(jiān)督信息安全管理時(shí)的執(zhí)行力度。有法可依、執(zhí)法必嚴(yán)應(yīng)是相關(guān)部門應(yīng)該秉承的監(jiān)督圭臬,可是現(xiàn)實(shí)情況是制度缺失、人浮于事,監(jiān)督機(jī)構(gòu)設(shè)置如同虛設(shè)。
2.4計(jì)算機(jī)信息安全人才缺乏
高校現(xiàn)階段的信息安全人員多為其他崗位的兼職人員,而且非信息安全專業(yè)人才,通常是進(jìn)入崗位后,根據(jù)職能需要,逐步學(xué)習(xí),經(jīng)過培訓(xùn)而掌握了信息安全技術(shù)知識的人員。
3完善高校計(jì)算機(jī)信息安全管理的對此
3.1建立信息安全預(yù)防體系
改進(jìn)高校的信息安全管理體系需要從全局出發(fā),從基礎(chǔ)做起,然后逐步完善。要有條理、有策略、有方法,不能冒進(jìn),也不能半途而廢。因此,要建立長效的信息安全預(yù)防體系,必須出臺切實(shí)可行的運(yùn)行機(jī)制和控制手段,逐一落實(shí),使企業(yè)的安全信息管理體系形成良性、螺旋上升的改進(jìn)形式。
3.2建立信息安全預(yù)防管理控制手段
(1)注重管理策略和規(guī)程;(2)加強(qiáng)技術(shù)控制。
3.3建立信息安全預(yù)防管理運(yùn)行機(jī)制
3.3.1組建相關(guān)的組織機(jī)構(gòu)
建立其專門的安全監(jiān)管部,負(fù)責(zé)為高校的網(wǎng)絡(luò)與信息安全突發(fā)事件的監(jiān)測、預(yù)警和應(yīng)急處理工作提供技術(shù)支持,并參與重要的判研、事件調(diào)查和總結(jié)評估。
3.3.2建立應(yīng)急響應(yīng)機(jī)制
即當(dāng)安全監(jiān)管部門發(fā)現(xiàn)安全問題,及時(shí)向相關(guān)部門通報(bào)提請注意,然后將安全問題定級,提出預(yù)警等級建議,向有關(guān)領(lǐng)導(dǎo)報(bào)審。接到上級領(lǐng)導(dǎo)反饋后技術(shù)部門采取有效措施啟動應(yīng)急預(yù)案。當(dāng)預(yù)警問題解決后,向上級請示,解除預(yù)警。事后形成事件調(diào)查和風(fēng)險(xiǎn)評估總結(jié),呈報(bào)領(lǐng)導(dǎo)。
3.4提高信息監(jiān)管人員的素質(zhì)
首先物色合適的人選,根據(jù)崗位工作性質(zhì),經(jīng)過嚴(yán)格的考察和科學(xué)的論證,找出或培訓(xùn)所需的人員。選聘過程嚴(yán)格可控,然后把具備不同素質(zhì)、能力和特長的人分別安排人員配備齊整。培訓(xùn)之后上崗,從而使個(gè)崗位上的人充分履行自己的職責(zé),最終促進(jìn)組織結(jié)構(gòu)功能的有效發(fā)揮。在人員到崗后,也要經(jīng)常抽查崗位員工的工作技能和態(tài)度,測試和培訓(xùn)崗位需求,經(jīng)常組織人員學(xué)習(xí)先進(jìn)的信息技術(shù)和前沿項(xiàng)目。
4結(jié)論
信息安全管理時(shí)一個(gè)動態(tài)發(fā)展的過程,信息技術(shù)日新月異,信息安全管理策略就要隨之動態(tài)調(diào)整。信息安全管理體系的規(guī)劃、設(shè)計(jì)和實(shí)施流程也要根據(jù)實(shí)際運(yùn)作的情況不斷調(diào)整和該井。完備的計(jì)算機(jī)信息安全管理體系可以使高校信息資產(chǎn)安全得到有效的保障,將高校信息安全風(fēng)險(xiǎn)控制到最低。
作者:張超 單位:遼寧經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院
參考文獻(xiàn):
[1]張文雷.談高校信息技術(shù)的網(wǎng)絡(luò)安全[J].信息與電腦(理論版),2014(06).
[2]湯贊.淺談我國網(wǎng)絡(luò)安全對高校信息技術(shù)的影響[J].科技與創(chuàng)新,2016(02).
[3]黃瑞.高校信息化建設(shè)進(jìn)程中信息安全問題成因及對策探析[J].現(xiàn)代教育技術(shù),2014(03).
主要內(nèi)容
對銀行和信用卡支付卡授權(quán)商的系統(tǒng)風(fēng)險(xiǎn)管理。新加坡金管局在2013年6月21日了644號和644A號通知,并于2014年7月1日起開始執(zhí)行。兩個(gè)通知分別對在新加坡的銀行和信用卡或支付卡授權(quán)商的系統(tǒng)風(fēng)險(xiǎn)管理做了安排。644A號文規(guī)定信用卡或支付卡授權(quán)商是被授權(quán)依法進(jìn)行在新加坡開立信用卡或支付卡業(yè)務(wù)的個(gè)人。通知規(guī)定,銀行和信用卡或支付卡授權(quán)商應(yīng)該落實(shí)一個(gè)框架,處理識別核心系統(tǒng),盡最大努力維持核心系統(tǒng)的高可靠性,確保每一個(gè)影響和授權(quán)商操作和對客戶服務(wù)的核心系統(tǒng)的最大意外停機(jī)每12個(gè)月不超過4小時(shí)。并且銀行和授權(quán)商應(yīng)該建立一個(gè)修復(fù)時(shí)間目標(biāo)(RTO,指從故障發(fā)生到系統(tǒng)修復(fù)的持續(xù)時(shí)間),對于每一個(gè)核心系統(tǒng)不超過4個(gè)小時(shí)。每12個(gè)月須至少驗(yàn)證并且記錄一次核心系統(tǒng)在系統(tǒng)修復(fù)測試中的表現(xiàn)以及測試時(shí)間。一旦核心系統(tǒng)發(fā)生故障或事故,銀行和授權(quán)商應(yīng)在1小時(shí)以內(nèi)通知新加坡金管局。在重大事件發(fā)生的14天以內(nèi),或者經(jīng)當(dāng)局許可的更長一段時(shí)間內(nèi),銀行和授權(quán)商應(yīng)向新加坡金管局提交一份根本原因和沖擊分析報(bào)告。報(bào)告應(yīng)該包括:重大事件的綜合摘要、觸發(fā)重大事件的根本原因分析、描述重大事件對銀行的沖擊、描述已采取的補(bǔ)救措施以解決根本原因和重大事件的結(jié)果。最后,銀行和授權(quán)商應(yīng)實(shí)施IT控制以保護(hù)客戶信息免遭非法入侵和曝光。
有關(guān)IT外包的監(jiān)管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對外包商的監(jiān)管作了明確規(guī)定。文件中指出,外包是指位于新加坡國內(nèi)外的一個(gè)或多個(gè)提供第三方IT技術(shù)和設(shè)備的供應(yīng)商,包括從系統(tǒng)開發(fā)、維護(hù)和支持到數(shù)據(jù)中心操作、網(wǎng)絡(luò)管理、故障修復(fù)服務(wù)、應(yīng)用托管和云計(jì)算。金融機(jī)構(gòu)要落實(shí)正確的框架、政策和流程去評估、審批、復(fù)審、控制和監(jiān)控所有外包活動的風(fēng)險(xiǎn)和實(shí)質(zhì)。在與外包商簽訂合同之前,金融機(jī)構(gòu)應(yīng)該就所有的外包建議做一個(gè)徹底的風(fēng)險(xiǎn)評估,可以參考基于移動終端的信息化應(yīng)用服務(wù)(MAS)的外包技術(shù)調(diào)查問卷作為進(jìn)一步指導(dǎo),金融機(jī)構(gòu)在簽訂任何外包委托之前向服務(wù)商提交完成后的問卷。新加坡金管局沒有直接涵蓋對銀行技術(shù)外包服務(wù)商(TSP-Technology Service Providers)的具體要求,而是要求金融機(jī)構(gòu)確保外包商采用高標(biāo)準(zhǔn)的政策和流程以確保敏感信息的機(jī)密性和安全性,敏感信息例如客戶資料、計(jì)算機(jī)文件、檔案、目標(biāo)程序和源代碼。在與外包商的合同終止時(shí),金融機(jī)構(gòu)應(yīng)該在有合同的保證下,可以快速移除或銷毀所有的IT信息和資產(chǎn)。
對個(gè)人移動設(shè)備的監(jiān)管。2014年9月26日,新加坡金管局了《Circular SRD TR02 2014》,對金融機(jī)構(gòu)中“自帶設(shè)備”所帶來的風(fēng)險(xiǎn)進(jìn)行了規(guī)定。文件中指出“自帶你的移動設(shè)備”(BYOD)是越來越多的金融機(jī)構(gòu)采用的一種相對較新的實(shí)踐,讓員工從他們的個(gè)人移動設(shè)備訪問公司電子郵件、日歷、應(yīng)用程序和數(shù)據(jù)。但是“自帶設(shè)備”相應(yīng)地會增加金融風(fēng)險(xiǎn),金融機(jī)構(gòu)應(yīng)該發(fā)展出一套綜合的防止資料損失的策略,去保護(hù)敏感或機(jī)密的用戶信息。一些不利于策略有效應(yīng)用的因素包括幾個(gè)方面,第一,隱私和個(gè)人使用的沖擊。在“自帶設(shè)備”環(huán)境中,雇員可以根據(jù)他們的選擇自由在他們的移動設(shè)備上安裝應(yīng)用,并且拒絕安裝特定的安全軟件;第二,不同的設(shè)備組合。實(shí)施“自帶設(shè)備”的金融機(jī)構(gòu)將不得不支持大范圍的設(shè)備,操作系統(tǒng)和應(yīng)用組合。這將造成一個(gè)一致而有效的方式難以被應(yīng)用于不同平臺的混合環(huán)境;第三,缺乏對于設(shè)備升級的控制。在自帶設(shè)備的環(huán)境中,雇員們可以隨意在他們的個(gè)人設(shè)備上安裝應(yīng)用和運(yùn)行軟件升級,這可能給他們的設(shè)備帶來安全漏洞和惡意軟件。這將危及可由這些設(shè)備進(jìn)入的金融機(jī)構(gòu)的資料和公司系統(tǒng),第四,移動安全方法的成熟性。移動的安全方法仍然普遍處于起始階段。 兩個(gè)常見的解決“自帶設(shè)備”安全隱患的方法是使用移動設(shè)備管理和虛擬化。移動設(shè)備管理方面,在移動設(shè)備被許可進(jìn)入公司網(wǎng)絡(luò)之前,設(shè)備要被驗(yàn)證以確保沒有被越獄或被嵌入的風(fēng)險(xiǎn)。移動設(shè)備管理方法也可以在一個(gè)沙盒環(huán)境(指在一個(gè)受限制的操作系統(tǒng)環(huán)境中執(zhí)行一個(gè)應(yīng)用去保護(hù)公司應(yīng)用可能使用的資源)中管理公司應(yīng)用、資料、政策和設(shè)置。這樣做目的是允許雇員們自由地使用設(shè)備,同時(shí)使企業(yè)得以保護(hù)其工作環(huán)境。一個(gè)健全的移動設(shè)備管理方法應(yīng)該被應(yīng)用于所有的“自帶設(shè)備”安排中。在虛擬化方面,允許雇員們通過一個(gè)請求式的入口從他們的移動設(shè)備進(jìn)入公司的資源和資料,使用強(qiáng)力認(rèn)證和網(wǎng)絡(luò)加密。由于公司的資料在公司數(shù)據(jù)中心內(nèi)部處理而不能被下載進(jìn)入移動設(shè)備。在虛擬環(huán)境中嚴(yán)格的安全政策限制設(shè)備的復(fù)制和使用,例如打印機(jī),可移動存儲設(shè)備等,以幫助防止數(shù)據(jù)進(jìn)一步的數(shù)據(jù)泄露。
新加坡金管局要求,如果金融機(jī)構(gòu)不能夠恰當(dāng)?shù)毓芾硐嚓P(guān)的安全風(fēng)險(xiǎn),則不應(yīng)該實(shí)施自帶設(shè)備。金融機(jī)構(gòu)要牢記保持警戒并且緊跟移動領(lǐng)域的技術(shù)進(jìn)步和關(guān)注緊急威脅。定期在自帶設(shè)備基礎(chǔ)設(shè)施上實(shí)施漏洞評估和滲透測試以確保任何安全漏洞被識別并盡快做出調(diào)整。
對我國的啟示
2006年銀監(jiān)會《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》(以下簡稱《指引》),填補(bǔ)了我國銀行業(yè)信息系統(tǒng)監(jiān)管領(lǐng)域的空白,為推動國內(nèi)銀行業(yè)信息科技風(fēng)險(xiǎn)管理奠定了基礎(chǔ)。2009年3月,銀監(jiān)會對原《指引》進(jìn)行修訂,并重新定名為《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》。新《指引》貫徹了“管法人、管風(fēng)險(xiǎn)、管內(nèi)控、提高透明度”的銀行監(jiān)管理念。新《指引》規(guī)定,“商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人”。要求商業(yè)銀行建立有效的機(jī)制,實(shí)現(xiàn)對信息科技風(fēng)險(xiǎn)的識別、計(jì)量、監(jiān)測和控制,促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行,推動業(yè)務(wù)創(chuàng)新,提高信息技術(shù)使用水平。要求商業(yè)銀行在信息系統(tǒng)開發(fā)、測試和維護(hù)以及服務(wù)外包過程中加強(qiáng)對客戶信息的保護(hù),防止敏感信息泄露,對業(yè)務(wù)連續(xù)性管理也加以規(guī)范,保障客戶數(shù)據(jù)安全和服務(wù)連續(xù)。在新《指引》中,提出要構(gòu)建信息科技風(fēng)險(xiǎn)管理的三大防線,即信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技風(fēng)險(xiǎn)審計(jì)。
從銀監(jiān)會對商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)管理的現(xiàn)場檢查實(shí)踐來看,主要有如下幾個(gè)問題:高層的知曉度和參與度較低,存在重建設(shè)、輕管理的現(xiàn)象;信息科技風(fēng)險(xiǎn)管理三道防線的設(shè)置存在缺失、重合和分工不清晰的問題;信息系統(tǒng)開發(fā)風(fēng)險(xiǎn)須引起全行更多關(guān)注;銀行業(yè)金融機(jī)構(gòu)對災(zāi)難性、突發(fā)性事件的應(yīng)對能力有待提升。
新加坡金管局從2001年開始開展信息科技風(fēng)險(xiǎn)監(jiān)管工作,經(jīng)過不斷實(shí)踐、探索,摸索出一套較為先進(jìn)的監(jiān)管做法。新加坡金管局的信息科技風(fēng)險(xiǎn)監(jiān)管由現(xiàn)場檢查和非現(xiàn)場監(jiān)管構(gòu)成。現(xiàn)場檢查的工作方式有訪談、調(diào)閱資料、現(xiàn)場取證等,檢查結(jié)束后金管局給金融機(jī)構(gòu)檢查意見書,金融機(jī)構(gòu)要在三個(gè)星期內(nèi)向金管局提交整改報(bào)告(已整改的問題、未整改問題的整改計(jì)劃),金管局會在下次現(xiàn)場檢查時(shí)核查整改情況。金融機(jī)構(gòu)按照新加坡金管局的要求填報(bào)調(diào)查問卷作為非現(xiàn)場監(jiān)管的資料。在處罰方面,罰款是處罰的一種方式,另一種處罰方式是提高存款準(zhǔn)備金率。另外,新加坡金管局定期召集商業(yè)銀行高管人員會議傳達(dá)科技監(jiān)管信息。金管局利用此種形式,向被監(jiān)管機(jī)構(gòu)定期講解信息科技風(fēng)險(xiǎn)發(fā)展的最新形勢,對金融機(jī)構(gòu)進(jìn)行技術(shù)輔導(dǎo),警示風(fēng)險(xiǎn),并介紹有關(guān)風(fēng)險(xiǎn)領(lǐng)域的解決方案。
結(jié)合新加坡的監(jiān)管安排及我國銀行及監(jiān)管的實(shí)踐,新加坡的監(jiān)管經(jīng)驗(yàn)對我國有一定的啟發(fā)。
加強(qiáng)我國信息科技風(fēng)險(xiǎn)管理部門建設(shè)。大力度培養(yǎng)復(fù)合型信息科技風(fēng)險(xiǎn)監(jiān)管人員,提高科技人員的業(yè)務(wù)監(jiān)督能力,推動業(yè)務(wù)監(jiān)管人員掌握信息科技監(jiān)督知識。
進(jìn)一步完善我國銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管的有關(guān)規(guī)章制度。有必要完善信息科技風(fēng)險(xiǎn)評估體系,系統(tǒng)分析銀行業(yè)機(jī)構(gòu)采取的風(fēng)險(xiǎn)防控措施的有效性,客觀評價(jià)銀行業(yè)機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理水平;建立健全I(xiàn)T外包監(jiān)管體系,建立IT外包監(jiān)督流程,要求商業(yè)銀行健全外包商的風(fēng)險(xiǎn)評估機(jī)制,加強(qiáng)對外包風(fēng)險(xiǎn)的識別和監(jiān)控;進(jìn)一步出臺有關(guān)銀行數(shù)據(jù)保護(hù)規(guī)范或政策,要求商業(yè)銀行對數(shù)據(jù)進(jìn)行分類、定級,確定不同的保護(hù)措施和方法。
向銀行業(yè)及時(shí)提示信息科技風(fēng)險(xiǎn)信息。各級銀行監(jiān)管機(jī)構(gòu)應(yīng)定期召集轄內(nèi)商業(yè)銀行信息科技工作高級管理人員舉辦情況通報(bào)會議,每次會議選定重點(diǎn)關(guān)注的信息科技風(fēng)險(xiǎn)點(diǎn),及時(shí)傳達(dá)監(jiān)管部門的工作意圖,使商業(yè)銀行能夠及時(shí)獲取風(fēng)險(xiǎn)控制手段和工作技巧。
因此,對于我國銀行機(jī)構(gòu)防控信息系統(tǒng)風(fēng)險(xiǎn)來說,有如下幾點(diǎn)應(yīng)予以重視。
加強(qiáng)對電子支付欺詐案件的防范。首先,網(wǎng)上支付安全最重要的基礎(chǔ)是客戶端的安全。MAS認(rèn)為客戶端安全的責(zé)任在銀行而非客戶本身,銀行有義務(wù)對客戶進(jìn)行安全教育,并提供更安全和便捷的技術(shù)工具去增強(qiáng)客戶端的安全性。其次,加快推廣銀行卡的EMV(芯片卡)和動態(tài)認(rèn)證的實(shí)施進(jìn)程。相對于磁條卡,EMV有安全性高和不易偽造的特點(diǎn)。在芯片卡的認(rèn)證方式上,MAS要求銀行發(fā)放動態(tài)和混合數(shù)據(jù)認(rèn)證的芯片卡并逐步替代已有的靜態(tài)數(shù)據(jù)認(rèn)證芯片卡,以解決靜態(tài)卡中可能存在的仿冒風(fēng)險(xiǎn),以強(qiáng)化電子支付的安全性。
強(qiáng)化銀行數(shù)據(jù)安全問題的關(guān)注。近年來國際上發(fā)生的一系列數(shù)據(jù)丟失并導(dǎo)致了客戶資金被盜等惡性案件。如2009年8月德國某銀行由于數(shù)據(jù)泄漏而導(dǎo)致了30萬歐元的經(jīng)濟(jì)損失,2010年3月匯豐瑞士私人銀行的一個(gè)IT員工竊取了該行24000個(gè)賬戶信息。新加坡金管局在其許多監(jiān)管文件中都反復(fù)提到了數(shù)據(jù)泄露保護(hù)(DLP-Data Loss Prevention)。在IT外包,核心系統(tǒng)可靠性和個(gè)人移動設(shè)備管理上下大力氣保護(hù)敏感信息的機(jī)密性和安全性。借鑒國際銀行業(yè)數(shù)據(jù)中心先進(jìn)經(jīng)驗(yàn),加強(qiáng)對銀行數(shù)據(jù)中心、災(zāi)難恢復(fù)能力的建設(shè)。深入研究和解決目前在災(zāi)難備份系統(tǒng)建設(shè)方面存在的突出問題和技術(shù)難點(diǎn)。
