時間:2023-10-10 10:42:32
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇工信部信息安全,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
四大因素驅動管理水平提升
經過十多年的建設與發展,中國移動已建成一個覆蓋范圍廣、通信質量高、業務品種豐富、服務水平一流的移動通信網絡。目前,中國移動的網絡規模和客戶規模列全球第一。但近幾年來,中國移動的信息安全管理壓力不斷加大,這是由于以下四個因素:
首先,適應信息安全形勢發展的基本需要。隨著社會環境、產業環境的變化,通信網的重要性日益凸顯,民眾對通信網的依賴程度日益提高,網絡與我們的生產、生活密不可分。與此同時,網絡安全攻擊事件日益增多,網絡攻擊技術越來越多樣化,攻擊的自動化程度也越來越高,信息安全形勢日益嚴峻。作為國有重要骨干企業,中國移動加強信息安全管理,既是實現企業發展戰略目標的需要,也是履行企業社會責任的基本需要。
其次,Y本的市場監管要求。2002年,美國安然、世通等財務欺詐事件之后,美國立法機構出臺了《薩班斯―奧克斯利法案》(以下簡稱《薩班斯法案》)。《薩班斯法案》不僅適用于美國上市公司,也適用于在美國證監會注冊的外國公司。中國移動作為在美國證券交易市場上市的海外公司,也必須遵循《薩班斯法案》相關要求。為了遵從《薩班斯法案》,中國移動制定的內部控制矩陣中,有313個項與信息安全有關。
再次,滿足國內監管部門的監管要求。隨著信息安全形勢的發展,國內監管部門對信息安全管理提出了明確要求。公安部、工業和信息化部、國家保密局和證監會等部委陸續了相關文件對企業信息安全管理提出了要求,如公安部、國家保密局、國家密碼管理局和國務院信息工作辦公室的《信息安全等級保護管理辦法》,公安部的《互聯網安全保護技術措施規定》,工業和信息化部的《通信網絡安全防護管理辦法》,財政部、 證監會、審計署、銀監會和保監會印發的《企業內部控制基本規范》等。
最后,滿足企業自身管理提升的要求。中國移動從提升自身管理的角度出發,建立了較為完整的信息安全管理體系,覆蓋系統建設和運維、業務經營、客戶信息保護等環節。
然而,由于信息安全管理涉及多個業務部門和管理部門,管理復雜度高,工作繁雜,過去難以進行體系化管理、執行難度高成為中國移動信息安全管理工作的突出問題。
五大管理措施保證信息安全
中國移動信息安全管理的總體目標是借鑒國際的先進GRC管理理念,按照PDCA(Plan―Do―Check―Action,計劃―實施―檢查―處理)模式,建立涵蓋合規要求、合規執行、合規檢查、合規評價、合規整改的閉環管理機制;采取相應的技術手段、通過有效的管理措施,保證信息資產免遭威脅,或將威脅帶來的不良后果降到最低;持續改進,實現信息安全管理水平的螺旋式提升,最終維護組織的正常運作和健康發展。具體來說,中國移動主要采取了以下五項措施保證目標的實現。
第一,建立信息安全合規閉環管理機制。中國移動在信息安全管理方面借鑒了GRC管理理念,參考了ISO27001信息安全閉環管理體系的PDCA模型,形成了特有的信息安全合規閉環管理機制。中國移動結合自身的實際情況,將信息安全合規管理工作劃分為合規要求、合規執行、合規檢查、合規評價、合規整改等五個環節。其中,合規要求對應的是計劃(Plan),合規執行對應是實施(Do),合規檢查和合規評價對應的是檢查(Check),合規整改對應的是處理(Action)。這五個環節形成了信息安全合規的閉環管理,借助流程全面貫徹。
第二,進行集中、制度化管理,全面滿足內外部監管需求。中國移動根據外部的《薩班斯法案》、ISO27011信息安全管理最佳實踐、國家信息安全等級保護、通信網安全防護等相關的合規要求,制定了多達200余個安全管理制度和標準,覆蓋系統建設與運維、業務經營、客戶信息保護等環節,涉及多個業務部門和管理部門,涵蓋了安全方針、風險管理、第三方管理、安全事件處理、安全基線等數十個領域。
值得一提的是,由于需要遵從的合規要求較多,部分“規”之間存在內容交叉和要求不一致的情況。如果缺少集中化的管理,會導致日常的制度和標準查詢、獲取和執行都比較困難。為此,中國移動對需要遵從的國際、國內、行業和企業內部的信息安全管理制度、標準進行了梳理,參照國內外標準和最佳實踐,形成了《中國移動信息安全管理制度體系框架》。通過制度體系框架,相關人員可以掌握公司整體的信息安全管理全貌,方便、快速地查找對應的要求,高效地分析出哪些領域可能存在制度缺失,為進一步完善信息安全管理體系提供有力的支持,為合規管理體系的建設提供有用的支撐。
第三,完善合規管理矩陣,將安全合規管理工作具體化。信息安全合規管理的核心是建立信息安全合規管理矩陣。該矩陣是基于對各種信息安全管理制度、規范建立的,是對各種信息安全管理要求的條目化、具體化。中國移動在梳理合規制度和建立合規控制框架的基礎上,首先建立信息安全責任制、客戶信息安全、業務安全和基礎安全等子矩陣,然后逐步豐富、完善子矩陣,最終形成全面的信息安全合規矩陣。合規矩陣包括控制矩陣、檢查矩陣、對應矩陣和資產矩陣。
第四,建立合規檢查規范,實現制度化、規范化管理。為了做好合規檢查,中國移動制定《信息安全監督檢查工作規范》,實現合規檢查制度化、規范化管理。合規檢查分為普查模式和專項檢查兩種模式。
第五,建立評價體系,實現整改工作的閉環管理。中國移動通過實施多維度的合規評價,針對不符合合規要求的檢查點和評價相對較差的環節,開展及時的問題整改工作,通過工單等工作流,以下發、整改、反饋和驗證四步閉環的管理模式,保證在問題發現后,有要求、有人改、有反饋、有驗證,有效落實整改工作。
信息化平臺是不可或缺的支撐
為了有效應對當前在信息安全合規管理方面所面臨的挑戰,中國移動在慧點科技協助下建立了全網集中的信息安全合規管理平臺。中國移動的各省公司都可以登錄該平臺開展合規管理工作。該平臺針對中國信息安全合規管理需求,固化了制度管理、控制落實、安全檢查、合規評價和整改等信息安全管理流程,為合規工作提供了流程化、平臺化的高效工具。
中國移動信息安全合規管理平臺包括制度管理、矩陣管理、執行管理、合規檢查、合規風險評價和整改管理等核心功能模塊,可以有效支撐信息安全合規的全生命周期流程管理。
通過建立以信息安全合規管理矩陣為核心的合規管理體系,全面部署信息安全合規管理平臺,中國移動實現了如下的效果:
第一,提升了信息安全業務管理的統一性、完整性;
第二,提升了集中化自主運營能力,有效提升業務連續性;
【關鍵詞】通信計算機;信息安全;解決對策
前言:
在科技時代的大背景下,通信計算機的安全使用對人們的日常生活工作具有重要意義,如何確保通信計算機的信息安全,彌補通信計算機現階段存在的不足是一個急需解決的問題。解決計算機信息安全的一大關鍵即是將理論和實踐相結合,重視對網絡技術和網絡管理的同步改進。
一、通信計算機信息安全概念
通信計算機信息安全通俗來講就是網絡信息的防竊性,通過通信計算機基本運行手段可發現,通信計算機的信息傳播是以電磁為基礎,是利用網絡系統進行交互傳播、整理及分析儲存的信息處理過程。保障通信計算機的信息安全就是要防止黑客、病毒等惡意第三方對信息的竊取和篡改,不管是對于企業還是個人,一旦計算機的信息安全受到威脅就會遭受重大且不可估量的損失。[1]不管是國內還是國外,通信計算機信息安全都是一個老生常談的話題。如何保障通信計算機的的信息安全,增強網絡安全意識是一個世界性的命題。
二、通信計算機存在的安全問題
1、計算機使用者操作存在問題
一般情況下,通信計算機的運行工作由人工主導,所以在通信計算機的運行過程中,人員操作不當是造成通信計算機出現問題一個重要原因。加上計算機需要定時的維護管理,由于人員的疏于管理也會造成通信計算機出現信息安全問題。
2、黑客惡意攻擊
網絡黑客一直是威脅計算機信息安全的重要因素,很多不法企業為了達到個人目而雇傭黑客大肆對其他企業進行攻擊,這樣的事件屢見不鮮。一般黑客攻擊電腦是通過對計算機或網絡的程序攻擊,毀壞電腦的主要程序,直接使計算機處于癱瘓狀態。或者黑客利用網絡,將監視軟件移植到他人計算機當中,能夠通過移植程序達到竊取信息的目的,會造成用戶的信息泄露,危害了網絡信息安全。[2]
3、電腦病毒傳播
計算機病毒在計算機普及之時就已經為大眾熟知,計算機病毒是一種病毒程序,是根據計算機系統的存在的缺陷進行的針對性設計的。計算機病毒通常不容易被發現,具有一定的隱蔽性。且計算機病毒形式多種多樣,計算機病毒一般能夠破壞計算機的內部文件,使計算機重要的文件受損,而且當計算機病毒移植到計算機內部時,會使計算機的數據出現錯誤,進而破壞計算機的內部數據庫,計算機病毒不僅能使計算機的信息安全受到威脅,還能夠使計算機的系統崩潰,破壞計算機的正常運行。嚴重威脅了通信計算機的信息安全和正常使用。
三、如何有效解決計算機信息安全問題
3.1更新操作系統,修補系統漏洞
計算機系統是維持計算機運行的主要平臺,將系統完善更新,能夠有效預防外在威脅的惡意攻擊,當前計算機的操作系統處在不斷更新中,但不代表更新后操作系統就是刀槍不入的,任何操作系統都存在一定的缺陷,需要計算機開發者不斷修補系統漏洞,以此應對新的威脅。
3.2重要文件域的保密措施
通信計算機隨著網絡的發展邁入“云”時代,計算機的信息數據庫的加密形式不能夠按照傳統標準進行加密,相關通信密碼、服務器密碼、訪問權限都應該有更加嚴格的保密措施。在保護信息安全時可采用保密性較高的專業編碼將重要信息進行保護,一般專業編碼不容易被破解,具有高度的保密性。
3.3更新網絡防火墻設置
殺毒軟件和網絡防火墻是保障計算機信息安全的重要手段,常見的有金山毒霸、360木馬查殺等等,網絡防火墻的設置能夠有效減少黑客的威脅。防火墻有識別功能,只有內部工作人員通過身份驗證才可以使用相關功能,能夠有效降低信息安全風險。一些木馬查殺軟件也能夠及時隔離并清除電腦病毒,能夠減少電腦病毒對計算機的影響。不過由于電腦病毒的形式是多樣的,且處于不斷更新換代中,因此,網絡病毒殺毒數據庫也應該實時更新數據,提前做好準備,查缺補漏,及時應對新形式的電腦病毒威脅。
3.4加強對計算機操作人員的培訓
人為操作也決定著計算機使用的安全性,如果操作人員網絡安全意識不足,會造成操作失誤,使計算機的信息安全受到威脅的幾率增大。因此計算機管理人員應該加強計算機知識培訓,加強通信計算機的信息安全意識,相關企業也要加強對通信計算機信息安全的重視程度。
結論:
總之,計算機是人們生活工作中的常伴物品,計算機信息安全對于企業和個人來說都是至關重要的,保障通信計算機的信息安全主要還是在于對計算機技術的提高和創新計算機管理手段,重視對計算機信息安全的保護,保障網絡環境的純凈,能夠有效提高計算機使用的安全性。
參考文獻
[1]閆豐,王梅.通信計算機信息安全問題及解決對策[J].信息通信,2014,(12):203.
2008年,信安標委成立五年多了。五年來,我國信息安全標準化工作取得了長足進展和可喜的成績:委員會已建立起了良好的工作機制,各項工作順利開展;財政部的“信息安全標準制定工作專項”經費的實施,為信息安全標準化工作的順利開展提供了經費保障;研究編制了《國家信息安全標準化“十一五”規劃》及其“實施意見”,增強了信安標委工作的主動性、自覺性和預見性;完成了國家標準59項,還有56項國家標準在研制中,這批標準的研究制定,緩解了我國信息安全標準嚴重不足的矛盾,為全國信息系統安全等級保護分級、信息安全產品認證、信息安全風險評估、重要信息系統應急與災難恢復及《電子簽名法》的順利實施等國家信息安全重點工作提供了有力的標準支撐。
五年發展的經驗積累
回顧這五年所走過的歷程,我們在維護國家信息安全,加強信息安全標準化工作方面積累了十分寶貴的經驗。
1.必須站在維護國家信息安全的高度認識信息安全標準化工作
信息安全標準在信息安全保障體系建設中發揮著基礎性、規范性作用,是確保信息安全產品和系統在設計、研發、生產、建設、使用、測評中保證其一致性、可靠性、可控性的技術規范、技術依據。沒有信息安全標準,信息化建設的安全可靠就無法保證。信息安全標準化是支撐國家信息安全保障體系建設,關系國家信息安全的大事,也可說是網絡時代保證網絡安全的交通規則!因此我們必須站在維護國家信息安全的高度來認識和開展標準化工作。
2.必須高度重視頂層設計和體系的統籌規劃
信息安全關系到國家安全和社會穩定,關系到國家信息化的健康發展。多個部門齊抓共管是我國信息安全管理工作的特色,在信息安全標準化方面,各有關部門、行業都積累了很多經驗,也都有自己的工作特點。而信息化建設中,基礎信息網絡和重要信息系統互聯互通、信息交換共享又是必需的,所以互聯共享的安全保障往往是跨部門、跨行業的。這一特點決定了信息安全標準化工作必須在國家主導下,各有關部門分工協作,依托有實力的企業、科研機構的合作。因此,信息安全標準化的頂層設計和整體統籌規劃尤其重要。這幾年我們研究提出了《國家信息安全標準體系》、《國家信息安全“十一五”規劃》等指導性文件,都是從頂層對信息安全標準化進行了設計和總體規劃,對統籌協調今后的信息安全標準化工作具有重要意義。
3.必須緊緊依靠部門和社會各方面的力量推進信息安全標準化工作
根據我國的實際和信息化發展的需求,各部門大力支持和協同是信息安全標準工作成功的關鍵;科研機構和相關企業是標準制定和創新的主體;專家是保證標準科學性和先進性的中堅力量。五年多來,正是由于國信辦、公安部、國家安全部、財政部、信息產業部、國家保密局、國家密碼管理局、認監委等部門都從國家利益出發,團結協作,群策群力,共同支持信息安全標準化工作,才有今天的成績和良好局面!同時這也是全國100多家科研院所和相關企業幾年來共同努力的結果,是他們作為主體承擔了這些標準的研究制定任務。
4.必須緊緊圍繞國家信息安全保障體系和重大信息化工程建設開展信息安全標準化工作
信息安全保障體系和重大信息化工程建設既是信息安全標準的需求者,也是信息安全標準應用的推動力,信息安全標準化工作只有服務于信息安全保障體系和重大信息化工程建設才能發揮作用。幾年來,我們圍繞國家信息安全保障體系和重大信息化工程建設重點工作,積極研究制定的系列信息安全技術和管理標準,在支撐我國信息安全等級保護、網絡信任體系建設、產品認證認可和《電子簽名法》實施等信息安全保障體系建設重點工作,及電子政務、電子商務等信息化重大工程建設方面,保障國家信息安全發揮了重要作用,這是我們成功的一個寶貴經驗。
5.必須正確處理自主制標與采用國際標準的關系
與發達國家相比,我國在信息安全標準制定方面,差距還是比較大的。我們在信息安全標準化工作中,要充分吸收借鑒國際信息安全標準化的成功經驗和好的做法,在積極采用國際先進標準的基礎上,要始終結合自己的國情,加強創新;對涉及國家信息安全、屬于世貿組織《技術性貿易壁壘協定》(TBT)合法目標的標準,都應該堅持自主制定。同時要積極尋求參與國際合作與交流,實質性地參與國際標準化工作,不斷提高我們的水平和能力,積極把具有我國自主知識產權的信息安全技術提升為國際標準。這樣不僅能提高我國在國際標準化領域的影響力,而且對推動具有我國自主知識產權的信息安全技術應用,促進信息安全產業的發展具有重要意義。
體系建設的努力方向
2008年是中國奧運年,也是信息安全保障體系建設全面深入年,信安標委要更加努力工作,爭取多出好標準、系統性大標準及全局急需的標準,為奧運做貢獻!
1.看清信息安全趨勢,提高對標準化認識
隨著信息化建設的不斷推進,特別是國民經濟越來越依賴重要信息系統,國家管理也越來越依托網絡系統,信息安全會越來越重要,保障信息安全的任務會越來越繁重!一方面信息安全事件發生的頻率有可能大大增加,另一方面信息安全事件造成的損失和影響會越來越大;公共信息安全會成為國際上越來越關注的問題,成為各國面臨的共同挑戰。我們應在這方面早作對策研究,積極參加國際信息安全秩序的制定。目前,依據有關技術和管理標準對信息安全產品和信息系統實行管理,已成為全球化和信息化趨勢下維護國家信息安全的重要手段。黨的十七大報告中提到:要求我們樹立世界眼光,加強戰略思維,把握發展機遇,應對風險挑戰。這對我們搞好信息安全工作具有非常重要的指導意義。信息化是世界發展的大趨勢,一手抓發展,一手抓安全的原則,我們時刻不能懈怠。
信息安全標準化是信息安全保障體系建設的基礎技術和管理支撐,是保障國家信息安全保障體系建設的大事。我們要認清形勢,增加責任感、使命感,按照國家關于加強信息安全標準化工作,抓緊制定急需的信息安全管理和技術標準,形成與國際標準相銜接的中國特色的信息安全標準體系的要求,加倍努力,為國家信息安全標準化工作作出更大貢獻。
2.要認真落實“規劃”,抓好重點工作
“十一五”期間,國家財政將根據工作開展需要,繼續重點支持國家信息安全戰略研究、標準預編制、標準基礎研究、重點標準試點、國際標準化跟蹤和專項研究等工作。我們要圍繞27號文件提出的各項任務,按照《國家信息安全標準化“十一五”規劃》的要求,重點抓好基礎類、管理類和系統類等急需標準的制修訂工作,認真開展標準基礎理論和跨系統安全的研究,大力加強標準宣貫與服務,推進標準實施,提高應用效果,最大限度地發揮標準的基礎性和規范性作用,加強信息安全標準的自主創新,積極推進信息安全國際標準化工作。
3.加強標準宣貫與服務
標準只有通過應用才能發揮作用。委員會成立以來已經完成了近60項標準制定,取得了很好的成績,但用得怎么樣?要做些科學評估。要加強標準的培訓和宣傳,配合相關部門開展的信息安全重點工作和標準實踐,做好標準服務支撐,促進標準在我國信息安全保障體系建設中的應用是目前我們的一項重要任務。要充分利用委員會網站、召開標準新聞會、召開標準宣貫會議、舉辦標準培訓班和結合國家重點工程建設舉辦標準研討會等多種方式,加強信息安全標準的培訓和宣傳工作,推動標準應用。
4.認真籌辦國際會議,推進國際標準化工作
國際標準不僅代表一個國家自主創新標準水平,也表明一個國家的技術和管理水平,同時還代表一個國家對世界的貢獻和在世界上的地位。我們要積極參加信息安全國際標準化活動和對外交流與合作,主動參與信息安全國際標準的制定,積極推動我國自主創新標準成為國際標準。要認真籌備好2009年的SC27工作組會議和全體成員會,保證會議的圓滿召開。
此次多芬諾榮獲最佳技術創新獎和優秀解決方案獎,代表多芬諾在工業控制系統信息安全領域取得的成績和大家的認可,同時也激勵著多芬諾在今后的發展道路上繼續努力,不斷創新,進一步提高顧客滿意度,更加品牌化。
――獲獎感言
隨著我國工業化和信息化的深度融合以及物聯網的快速發展,工控系統開放的同時,也減弱了控制系統與外界的隔離,企業在享受網絡互連帶來的種種好處的同時也面臨著各種來源的信息安全威脅,包括病毒、木馬向控制網的擴散等。工控系統的安全隱患問題日益嚴峻。為保證能源和基礎設施行業控制系統的安全穩定運行,需要建立有針對性的安全防護體系,創建“本質安全”的工業控制網。
青島多芬諾信息安全技術有限公司是加拿大Byres Security Inc中國區合作伙伴。公司的核心產品多芬諾工業防火墻旨在全方位地保障工業控制系統信息安全。產品通過了FM、EX、CE、MUSIC和中國公安部認證等工業安全標準。它在國內外均有許多成功案例,用戶包括中石化齊魯石化分公司、中石化上海石化分公司、中石油大慶石化分公司、波音公司Boeing、科斯特全球Cristal Global等。
ANSI/ISA-99標準是目前在工廠信息安全防護上專家和業內人士普遍認可的一個實施標準。多芬諾工業控制系統信息安全解決方案參照國際行業標準ANSI/ISA-99對工業網絡安全防護提出的要求,對工業網絡安全實施“縱深防御”策略,即將具有相同功能和安全要求的控制設備劃分到同一區域,區域之間執行管道通信,通過控制區域間管道中的通信內容來防御各種內部威脅和外部網絡攻擊,實現了工業控制系統信息安全防護的兩個目標:一是即使網絡中某一點發生安全事故,也能保證工廠的正常安全穩定運行;二是工廠操作人員能及時準確地確認故障點,并排除問題。
另外由于IT環境和工控環境之間存在著一些關鍵不同,例如,控制系統通常7×24全天候運行。因此企業在沒有全面考慮工控環境特殊性的情況下,簡單地將IT安全技術配置到工控系統中并不是高效可行的解決方案,同時也在另一層面增加了企業工業網絡信息安全隱患。多芬諾更適于工業控制系統信息安全的防護,主要表現在:
它內置50多種常見工業通信協議,基于應用層的數據包深度檢測,為工業通信提供全方位的安全保障;組態簡便,無需停車,支持在線組態;多芬諾工業防火墻自身基于非IP的獨有專利安全連接技術,同時能隱藏后端所有設備的IP地址,讓入侵者無法發現目標,更無從談起發動任何攻擊;集防火墻與虛擬路由與一身,能夠像網絡警察一樣管控網絡數據通信,同時具有實時網絡通信透視鏡功能,能實現對非法通信的實時報警、來源確認和歷史記錄,保證對控制網絡通信的實時診斷;特有的“測試”模式允許用戶在真實工控環境中對防火墻組態規則進行測試,在全方位保障工業網絡安全的同時也保證了工控需求的完整性;采用深度數據包檢測DPI技術。
深度數據包檢測DPI技術能深入檢查通過防火墻的每個數據包及其應用負荷,從而有效地識別檢測出隱藏在正常協議內部的惡意通信和病毒攻擊,像緩沖區溢出攻擊、拒絕服務攻擊、各種欺騙性技術以及Stuxnet這樣的病毒。
多芬諾工業控制系統信息安全解決方案采用“縱深防御”策略、深度數據包檢測和百名單技術,實現保證工廠控制網絡安全穩定運行的三個目標:通信可控、區域隔離和報警追蹤,進而全方位地保障工業控制系統信息安全。
關鍵詞:計算機網絡; 信息安全; 保障策略; 防火墻; 預防措施
1網絡信息安全定義及研究意義
1.1網絡信息安全定義
網絡安全從本質上來講就是指網絡系統中流動和保存的數據,不受到偶然的或者惡意的破壞、泄露、更改,系統能連續正常工作,網絡服務不中斷。而從廣義上來說,凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網絡安全所要研究的領域。
1.2網絡信息安全研究意義
網絡信息安全保障手段的研究和應用,對于保證信息處理和傳輸系統的安全,避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的信息造成破壞和損失;保護信息的保密性、真實性和完整性,避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為;保護國家的安全、利益和發展,避免非法、有害的信息傳播所造成的后果,能進行防止和控制,避免公用網絡上大量自由傳輸的信息失控等方面都有非常重大的意義。
2網絡信息安全現狀
2.1物理傳輸對網絡信息安全的威脅
網絡通信都要通過通信線路、調制解調器、網絡接口、終端、轉換器和處理機等物理部件,這些往往都是黑客、攻擊者的切入對象。主要有以下幾方面的入侵行為:
(1) 電磁泄露:無線網絡傳輸信號被捕獲,對于一些通用的加密算法,黑客和攻擊者已有一整套完備的破解方案,能夠較輕易地獲取傳輸內容。
(2) 非法終端:在現有終端上并接一個終端,或合法用戶從網上斷開時,非法用戶乘機接入并操縱該計算機通信接口,或由于某種原因使信息傳到非法終端。
(3) 非法監聽:不法分子通過通信設備的監聽功能對傳輸內容進行非法監聽或捕獲,由于是基于通信設備提供的正常功能,一般使用者很難察覺。
(4) 網絡攻擊:如ARP風暴等小包攻擊交換機等通信設備,引起網絡擁塞或導致通信主機無法處理超量的請求,輕則網絡服務不可用,重則整個系統死機癱瘓。
2.2軟件對網絡信息安全的威脅
現代通信系統如ATM、軟交換、IMS、EPON、POS終端、手機等都使用大量的軟件進行通信控制,因此軟件方面的入侵也相當普遍。
(1) 網絡軟件的漏洞或缺陷被利用。軟件漏洞分為兩種:一種是蓄意制造的漏洞,是系統設計者為日后控制系統或竊取信息而故意設計的漏洞;另一種是無意制造的漏洞,是系統設計者由于疏忽或其他技術原因而留下的漏洞。
(2) 軟件病毒入侵后打開后門,并不斷繁殖,然后擴散到網上的計算機來破壞系統。輕者使系統出錯,重者可使整個系統癱瘓或崩潰。
(3) 通信系統或軟件端口被暴露或未進行安全限制,導致黑客入侵,進而可以使用各種方式有選擇地破壞對方信息的有效性和完整性,或者在不影響網絡正常工作的情況下,進行截獲、竊取、破譯,以獲得對方重要的機密信息。
2.3工作人員的不安全因素
內部工作人員有意或無意的操作或多或少存在信息安全隱患。
(1) 保密觀念不強,關鍵信息或資產未設立密碼保護或密碼保護強度低;文檔的共享沒有經過必要的權限控制。
(2) 業務不熟練或缺少責任心,有意或無意中破壞網絡系統和設備的保密措施。
(3) 熟悉系統的工作人員故意改動軟件,或用非法手段訪問系統,或通過竊取他人的口令字和用戶標識碼來非法獲取信息。
(4) 利用系統的端口或傳輸介質竊取保密信息。
3網絡信息安全保障策略
針對以上信息安全隱患,可以采用一些技術手段,對攻擊者或不法分子的竊密、破壞行為進行被動或主動防御,避免不必要的損失。
3.1物理傳輸信息安全保障
(1) 減少電磁輻射。傳輸線路應有露天保護措施或埋于地下,并要求遠離各種輻射源,以減少由于電磁干擾引起的數據錯誤。對無線傳輸設備應使用高可靠性的加密手段,并隱藏鏈接名。
江蘇省根據工信部的相關文件精神,按照江蘇經信委領導的有關要求,結合工作實際,就加強工業控制系統信息安全管理問題談點看法。
(一)1、情況不明。絕大部分省市從事信息安全工作的管理人員,目前既不知道本地區工業控制系統的數量,也不清楚工業控制系統的類型,更不了解重要工業控制系統的運營單位和設備、組網情況以及重要程度。
2、 聯系不緊。工業控制系統涉及各行各業,建設規模大小不一、技術水平參差不齊、經濟效益差別不小,建設單位既有政府組成部門或國務院國有資產監督管理委員會等專設直屬機構,又有企事業單位。投資主體不但有中國大陸的,又有外資及港澳臺投資企業。以上建設單位或投資主體各自為政,與信息安全主管部門目前在工業控制系統規劃、建設、運營等工作方面基本上沒有什么聯系。
3、 管理不順。各級網絡與信息安全協調小組是轄區內信息安全工作的主要協調機構,其具體辦事的辦公室設在當地經信部門。由于各級經信部門成立時間不長,工作頭緒多、壓力大,加上各地、各部門和各單位在工業控制系統建設上的經費投入、建設運維等方面的自主性,減弱了信息安全主管部門目前對工業控制系統信息安全管理的力度。
(二)1、開展調查。一是思想認識不到位,重視不夠,存在該報的不報;二是工業控制系統應列為重要工業控制系統;三是具體辦事人員對數據采集與監控系統、分布式控制系統和可編程控制器等工業控制系統的類型了解不多,理解不透,也較難于正常填寫上報。
加強對重要工業控制系統運營單位和設備、組網情況以及事故可能導致后果等調查內容的整理匯總,統計出產品的品牌、系統國產化率等綜合數據,并建立江蘇重要工業控制系統數據庫。
2、 管理試點。在對重要工業控制系統基本情況調查分析的基礎上,開展信息安全管理試點工作,摸索行之有效的管理辦法。
3、 安全檢查。建立工業控制系統信息安全檢查制度,定期開展信息安全檢查活動。檢查內容以工信部提出的連接、組網、配置、設備選擇與升級、數據和應急六個管理項為準。
(三)1、制定審查規范,明確安全控制。應采用基于漏洞庫的匹配技術、插件技術等進行漏洞掃描,開展信息安全風險評估,并采取縱深防御的安全策略。在此基礎上,結合日常管理的內容、方法、程序等,制定工業控制系統信息安全管理審查規范,明確管理、技術和運行控制的目標。
2、 出臺管理辦法,實行備案制度。隨著計算機和網絡技術的快速發展,特別是近年來兩化融合的深化和物聯網的推進,工業控制系統的產品越來越多地采用通用協議、通用硬件和通用軟件,并以各種方式與互聯網等惡意代碼威脅著工業控制系統。
隨著移動互聯網應用的快速發展和移動智能終端的日益普及,信息安全行業正煥發著全新的、奪目的光彩,但同時也面臨前所未有的來自信息安全方面的威脅和諸多問題。如何面對這些挑戰,真正迎來移動互聯的美好時代?
如何保護通信網絡
作為國家基礎行業,通信行業具有網絡規模龐大、網絡結構復雜、覆蓋范圍大等行業特點。如何在固定通信網、移動通信網、互聯網、骨干傳輸網等網絡中有效地開展等級保護、風險評估、災難備份和恢復的工作是當下重要的研究課題。目前,通信行業骨干網絡均實行了通信的IP化。隨著下一代IMS網絡的建設,通信網絡全程全網IP化勢在必行,語音、數據、視頻融合通信成為下一代通信行業網絡的主要特點。ICP、IDC、SP等電信增值業務提供商如雨后春筍般發展,這都為通信行業有效地開展等級保護、風險評估、災難備份和恢復、安全監督帶來了新的挑戰。另外,手機終端安全、IPv6安全、云計算安全、三網融合安全也是通信行業安全防護的重點。總之,通信行業承擔著其他行業網絡互聯互通的重大職責和任務,它的信息安全問題牽一發而動全身。
工業和信息化部關于安全防護制定了相關的管理辦法,同時電信運營商也積極制定了相關規范,但不可否認的事實是,運營商的網絡確實復雜,不同的網絡和設備由不同部門分管,同時還有很多其他的專業網絡同運營商網絡互聯互通,網絡邊界不夠清晰,接入點過多……這些都為運營商網絡的信息安全防護帶來了很多困難和一系列的高難度挑戰。尤其值得一提的是,隨著IMS多媒體和統一通信網絡建設的不斷升級和發展,運營商不僅僅需要完善的信息安全防護設備,更重要的是建立一支信息安全服務隊伍,或者將信息安全防護工作交給有正規資質和豐富經驗的專業信息安全服務團隊來做。
在談到通信行業用戶在做信息安全規劃和建設的過程中應特別注意的問題時,東軟集團股份有限公司網絡安全產品營銷中心副總經理巴連標表示:“我個人認為,運營商在做信息安全建設和防護的過程中需要關注的點有很多,但建議需特別注意以下四個方面的問題:第一,信息安全規劃首先需要做好人員的組織管理,實現責任到人;第二,依托電信基礎網絡建立全局防護體系方案,實現全局防護,責任到基層;第三,原有的安全防護更關注于網絡安全、數據安全,隨著新業務的不斷涌現和政策法規的要求,如今的安全規劃更應考慮基于增值業務的內容安全防護;第四,規劃應關注終端安全防護。”
東軟針對于電信行業特點,研發推出了萬兆防火墻系列、流量監控、安全身份認證、上網行為分析、云安全、基于短消息內容和基于應用的防火墻等相關產品。目前,東軟正著力于基于云技術的后續信息安全產品研發工作。
移動安全帶來新挑戰
移動產品對應傳統的IT產品來說存在以下幾個特點:易丟失,計算能力有限,電池續航能力弱,通信環境復雜且易于監聽,終端計算環境種類繁多,顯示尺寸也千差萬別,移動產品的使用者的能力也參差不齊。從以上移動產品本身固有的特點上看,移動終端的安全防護更應該注意數據的安全防護和數據傳輸的安全防護,并且要求相關的安全產品易于使用并盡量降低對移動終端資源的占用,同時也應考慮產品研發的通用性。
智能手機和平板電腦的處理能力越來越強。在智能終端上的應用基本分為兩方對立陣營:一方面是以云計算為依托,強調瘦客戶端;另外一方面更希望在移動客戶端上實現大部分業務,就是所謂的胖客戶端。前者希望通過應用的計算能力集中化來降低運營成本,符合環保理念;后者則更強調產品的客戶體驗。比如蘋果的移動終端產品,運營商同用戶易于接受的終端產品進行捆綁銷售確實能給企業帶來新的利潤增長點,但往往這些智能終端產品功能過于強大,在一定條件下可以擺脫運營商實現用戶之間的聯系溝通,比如Skype、Gizmo、Google Voice、Imessage等這些基于SIP協議的產品也為運營商帶來巨大的挑戰。
多年來東軟一直從事嵌入式產品的應用開發,在移動安全產品的研發上有自己的優勢。東軟相關部門目前正在積極開展移動終端安全產品的研發。我們的產品主要面向行業用戶和集團用戶,預計今年會有相關產品面世。
關鍵詞:電力建設;電力自動化;通信技術;信息安全
引言
電力產業是我國國民經濟中的重要組成部分,對我國社會經濟發展起到至關重要的作用。因此,確保電力產業系統運行的安全性是非常重要的。電力系統的安全運行,對社會經濟的發展和穩定產生巨大的影響。我國電力自動化通信技術的發展和自動化通信水平的不斷提高,要求電力企業必須采取一定措施,嚴格加強防護電力自動化通信的安全運行,確保電力系統能夠正常運行[1]-[3]。
1 電力自動化通信技術中信息安全的概述
1.1 電力通信安全的防護體系
電網安全的防護工程是一項系統工程,即是將合理的工程實施過程、管理技術及目前能夠得到最好的防護技術手段相結合的過程。在理論上,電網的安全防護工程可套用電力信息安全的工程學模型方法,信息技術的安全工程能力的成熟度模型,即是SSE-CMM(如圖1所示)能夠指導電網安全工程項目的實施過程,可以從單一安全設備的設置轉向系統地考慮安全工程的管理、設計、組織、實施及驗證等解決措施。將上述信息的安全模型所涉及到各方面因素總結、歸納起來,其主要因素有:策略、技術及管理,這三個因素構成了一種較簡單信息技術的安全模型。
從工程實施角度看,信息安全工程是一種無限循環的動態過程,它的設計思想主要是將安全信息管理視為一個動態過程,安全措施要求適應通信網絡的動態性。安全模型的動態適應性是由下列流程不斷循環組成的:安全的需求分析、監測的實時性、報警響應、信息技術措施及審計評估。
1.2 電力通信數據對安全系統的需求
電力通信數據對安全系統的需求主要有兩個方面:一是實時數據,在通信網絡傳輸實時數據時,對通信時間有著嚴格要求,要求數據傳輸的時效性和穩定性,避免出現較大的傳輸延遲。電力自動化系統中實時數據的內容主要是遙測、遙控、遙信、遙調、事件記錄、停電和負荷管理等數據,要求這些數據具有較高的實時性、保密性、完整性,因此對電力系統實時數據加密要求必須保持謹慎。二是非實時數據,此數據傳輸量較大,對實時性要求不高,但是嚴格要求傳輸數據的保密性及完整性,并且在一定情況下是允許出現傳輸延遲,非實時數據主要是有電力用戶記錄信息和電力系統的設備維護日志等。
2 電力自動化通信技術中信息安全存在的問題
電力自動化通信技術在電力行業中已被廣泛的推廣應用,而電力自動化通信信息安全是保證電力系統能夠安全運行和社會的安全供電,涉及到信息網絡系統、配電網自動化及電網調度自動化等相關領域復雜的一項系統工程。許多電力生產的重要環節是依靠電力信息網建設能否正常運行,像電網調度自動化系統是影響無人值班的變電所運行,而用電營銷信息系統是可影響電費回收情況等。雖然國內電力自動化通信系統技術有了很大的進展,但是現階段的電力自動化通信技術在通信信息安全分析(如表1)方面仍存在一些急需解決的問題。
2.1 網絡信息的安全問題
隨著英特網快速發展,網絡病毒傳播現象也愈來愈嚴重,因此給電力企業的信息網安全造成了嚴重威脅,其電力通訊信息的安全風險主要有:網絡入侵者傳播代病毒控制命令,導致電力系統出現事故;利用授權的身份進行非授權修改控制的系統配置、指令及程序等操作;非法對網絡傳輸中相關參數、交易報價等進行攔截、篡改,這樣造成了一定程度上網絡、監控系統癱瘓。
2.2 電力系統的信息安全問題
電力系統信息安全會影響到整個局域網中網絡操作系統及網絡硬件平臺能否可靠運行。任何一種操作系統,都有其特性的Back-Door,但缺乏比較安全的操作系統,像很多蠕蟲病毒(振動波、沖擊波等)均是借助于一些操作系統的安全漏洞來進行傳播。
2.3 應用信息的安全問題
隨著計算機、信息技術不斷發展,電力行業傳遞信息內容也愈來愈豐富,又由于控制系統多采用網絡技術或計算機接入,所以控制網絡系統也越來越多。通信信息在應用時,其安全問題涉及到數據和信息安全性、損壞信息的完整性、泄露機密信息孔破壞系統可用性等。電力企業由于局域網的跨度受限,多數重要信息均在內部進行傳遞,因此,信息的完整性和機密性是可保證的,但一些重要信息在進行內部傳遞時所設的加密措施是不完善的,給信息傳遞帶來潛在危害。
2.4 管理信息的安全問題
管理是信息安全中很重要的組成部分,若是沒有完善的通訊信息安全管理制度,可能會給員工泄露一些他們所了解的數據信息,或是給一些外來員工隨意進入機房重地,從而造成信息的不安全性。更嚴重的是在網絡攻擊行為、網絡受到一些安全威脅時,信息管理人員也許無法對其進行實時檢測、監控、報告及預警等必要措施。所以電力企業必須要求建立完善的網絡安全系統。
3 電力自動化通信技術中保護信息安全常用方法
(1)數據加密標準算法,簡稱DES算法,此算法的明文分組長為64bit,密匙長為56bit,此加密方法對明文處理需要一個初始置換IP。再利用IP將64bit的數據進行重新分組,將其相同功能數據再進行16輪轉換,每輪在代換或置換中需進行精確計算,在16輪轉換后把輸出數據再進行左右分隔,同時交換次序。通信系統中數據在調換順序后利用一個逆初始置換IP-1,即得到64bit密文,則對電力系統中通信信息可進行加密操作。
(2)公開密匙算法,是一種非對稱性密匙算法,包括兩種密匙,分別是公共密匙和專用密匙,兩者間有著密不可分關系,其是相互配合方可確保電力系統通信信息安全性。電力信息用戶若保證信息、專用密匙安全,就要公共密匙,并將公共密匙只用專用密匙進行解密,具有唯一性。公開密匙算法、數據加密標準算法最大區別是公開密匙算法不需連接密匙服務器,其操作較簡單,也簡化密匙管理。
4 加強電力自動化通信技術中信息安全的對策
(1)采用縣級防火墻技術。此技術主要是中心站存在安全隱患所設立的,其可以作為不同網絡與網絡安全域間信息的出入口,可以全面控制安全信息的流入、輸出,其自身具有抗攻擊性和較強功能性,主要是為電力系統中信息提供安全保障。防火墻一般有限制器、分析器及分離器暗中設備,防火墻應用在電力系統中能夠有效地監控其整體運行的狀況,可以保證電力系統的安全運行。在通信系統中設防火墻,其目的有四個,一是自動阻止非法用戶,并剔除運行的不安全服務;二是防御入侵者對通信系統的侵犯,具有一定防御功能;三是對一些特殊站點,能自動化限定通信用戶訪問,預防非法入侵現象;四是具有一定監控功能。
(2)多層次加密在無線通信終端。通信系統網絡加密有端端加密、鏈路加密、混合加密三種,端端加密是經通信用戶雙方認可后的數據加密,鏈路加密是經對網絡中相鄰兩點間數據加密,而混合加密是結合上兩種加密方式,實現多層次加密,可以加大保護電力系統通信信息的安全性。
5 結語
電力自動化通信技術在國內不同領域起到重要作用,在實際應用中,也會受到一些因素影響,給信息安全帶來一定的威脅。針對這些問題,采取有效措施,對電力自動化實行安全防護,確保信息技術安全,才能更好促進電力自動化的發展。
參考文獻
[1] 李文洋.電力自動化通信安全防護的強化措施[J].經營與管理,2014,21(04):206.
1 引言
隨著工業時代的落幕,信息時代的降臨,傳統的工業借助信息化的紅利也在發生著改變。新的信息技術不斷應用于傳統工業當中,例如航天航空、自動控制、自動化行業、電力行業等等。
而在這些行業中,部分行業屬于國家的基礎設施,例如電力和航空等行業。這些行業的穩定和網絡安全則顯得尤為重要,若此類行業出現信息安全問題,以電力行業為例,輕則造成商業機密的泄露,影響居民的日常生活和工業用戶的正常生產等,重則導致國家安全隱患。因此在信息化高度發達的當今,如何在深入信息化應用的同時,保障電網等基礎設施行業的網絡安全則顯得尤為重要。
鑒于此,本文針對電網終端設備的信息安全進行研究,分析電網終端設備在信息安全方面的現狀和不足之處,并提出相關的建議。
2 電網設備信息安全的發展歷程
現代意義的信息安全,即與電腦網絡相關的自動控制最早是在上個世紀的30年代由英國開發和應用在電力行業中的,其目的是用于控制用電負荷的時間。隨后經歷了多個階段的發展,分別是20世紀的70年,電網設備開始在自動化設備應用的基礎上加入了對應的監視裝置,用于保障電網設備的正常運行,和監視其異常運行狀態。隨后隨著自動化和監視的發展,相關的研究學者提出了綜合自動化的概念,因此電網企業對于變電站也開始了綜合自動化改造,即變電站的綜自改造。隨即開始越來越多的人開始注意到電網設備的信息安全,這方面的研究也是從西方國家開始的,并且也推出了相關的標準和管理制度,北美電力可靠性委員會即NERC早在上實際90年代初即出臺了相關的參考標準即網絡安全標準即FCIP標準,其中規定了電網設備的安全邊界,信息安全,還包括相應的緊急恢復方案,還包括針對自動化和通信設備的日常檢修和定期巡檢等等。
3 我國電網信息安全發展現狀
隨著我國經濟的高速發展,電網的規模迅速擴大,對電網設備的信息安全提出了更高的要求,特別是負荷提升超過了電網的發展速度。因此如何依靠先進的信息技術提升電網的安全水平,輔助提高電網的安全穩定運行則顯得尤為重要。
我國的電網信息安全技術從上個世紀90年代開始,其代表性的系統則是在國外的基礎上自主研發的SCADA系統,即電網監控系統。除此之外我國在主站建設上主要采用了IEC60870-5-101、IEC60870-5-104規約來實現電力一次設備運行數據的采集和遙控指令的下發。采用這兩種規約的原因在于IEC60870-5-104規約可以提供更高的信息吞吐量,在信息傳輸上具有更好的優勢,但是其缺點也較為明顯,即傳遞信息的完整性不能得到有效保障,并且由于大范圍的采用其加密性也不佳,在上世紀90年代到21實際的10年代以前電網的信息安全并沒有受到足夠的重視。只到發生了著名的二灘電廠停機事件。這些類似的事件發生才逐漸引起我國電力行業的重視。就目前情況而言,我國電力行業在信息安全方面存在以下幾個方面的不足:
(1)在通信協議方面。通信協議的設計存在安全患。目前我國的電網發展仍然屬于一種粗狂式的發展模式,因此在通信協議的設計上主要考慮的問題仍然是通信協議可以承載的信息傳輸量,而在信息的安全方面缺乏設計方面的缺陷。因此,由于底層設計存在缺陷,導致其容易被攻擊。
(2)其次則是終端設備的漏洞,由于大量智能化設備的應用,其通信顯得尤為重要,而智能化設備在于系統對接時的協議問題會造成系統的安全問題。
(3)目前電網設備的信息訪問雖然已經制定了相應的權限,但是仍然存在權限劃分不夠細致,以及相應的權限審計流程。具體執行操作和信息管理的人員缺少權限方面信息的審核。使得整個網絡存在較大的風險,和安全隱患。
4 加強電網終端設備信息安全的建議
為提高電網設備和電網的信息安全,從以上的分析結果來看首先需要注意的是底層建設,即信息通信協議的改進:
(1)對于電網中的終端設備嵌入對應的安全芯片,加入相關的密碼服務。根據具體的終端設備實際運行要求加入芯片和密碼服務,為上層應用提供對應的底層服務基礎。
(2)基于對應的實施操作系統實現安全套接層的安全接入。目前我國電網企業主要采用嵌入式的實時操作系統。這種實時操作系統基本難以負荷安全套接層的安全接入。因此在現有的實時操作系統的基礎上如何利用有限資源開發對應可以承載安全套接層的安全接入的實時操作系統,為安全套接層的安全接入提供系統支持。與之對應對安全套接層的安全接入進行改造,減輕實時操作系統的負擔也是便于安全套接層的安全接入的另一個改進方向。
(3)實現終端設備的整體提升,包括系統的安全環境和設備的個體安全環境等。進行信息安全的相關工作是一個全方位的工程,除了技術方面的工作以外,還包括管理上的提升。并且管理上的問題并不亞于技術的提升,由于電網的終端設備眾多并且分布廣泛,單靠技術上的設計和提升是遠遠不夠的。特別是我國現在大部分變電站采用了無人值守的模式,在該種運維模式下,管理顯得尤為重要。應當制定對應的運行規程以及快速恢復響應機制,防止安全事故的發生以及在安全事故發生后如何快速恢復和響應。
5 小結
本文以電網終端設備信息安全為研究對象,從信息安全的發展歷程為切入點,論述了我國電網終端設備信息安全的發展和現狀,并根據分析結果提出了對應的信息安全建設建議。
會議擬請公安、工業和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網絡與信息安全信息通報中心等部門擔任指導單位,同時將出版論文集,經專家評選的部分優秀論文,將推薦至國家核心期刊發表。現就會議征文的有關情況通知如下:
一、征文范圍
1. 新技術應用環境下信息安全等級保護技術:物聯網、云計算、大數據、工控系統、移動接入網、下一代互聯網(IPv6)等新技術、環境下的等級保護支撐技術,等級保護技術體系在新環境下的應用方法;
2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業網站、核心業務信息系統等安全威脅、隱患分析及防范措施;
3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發展對策,網絡恐怖的特點、趨勢、危害研究;
4. 信息安全預警與突發事件應急處置技術:攻擊監測技術,態勢感知預警技術,安全監測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;
5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監測與監管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;
6. 信息安全等級保護監管技術:用于支撐安全監測的數據采集、挖掘與分析技術,用于支撐安全監管的敏感數據發現與保護技術,安全態勢評估技術,安全事件關聯分析技術、安全績效評估技術,電子數據取證和鑒定技術;
7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;
8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監測預警機制。
二、投稿要求
1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;
2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;
5. 提交截止日期: 2014年5月25日。
三、聯系方式
通信地址:北京市海淀區首都體育館南路1號
郵編:100048
Email:.cn
聯系人: 范博、王晨
聯系電話:010-68773930,
13717905088,13581879819
關鍵詞 計算機;信息;安全;因素;對策
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2014)10-0143-01
科學技術的產生與實際廣泛運用總是在矛盾中發展,計算機網絡通信技術也不例外。21世紀是計算機技術蓬勃發展的時代,人們的日常生活極大程度的依賴其技術的發展與完善。然后,伴隨著計算機科學技術的不斷發展,我們也看到網絡信息技術的各種漏洞對人們個人信息和財產安全帶來的實際威脅。同時,我國的政治、經濟、國防等部分的正常運作也依賴于計算機科學技術,若出現安全漏洞對國家財產和公民安全所造成的危害是不可估量的。所以,無論是國家部門、企事業單位、集體組織以及個體都需高度重視計算機信息安全管理問題。
1 計算機信息安全的相關概念
計算機信息安全是指現代計算機網絡通信所需要的內部和外部環境,主要的保護對象為計算機信息通信系統中硬件及軟件等數據信息,在運行過程中使其免受木馬、盜號、惡意篡改信息等黑客行為,從而保障計算機網絡服務的安全、穩定運行。因此,計算機信息安全指的是保障信息在網絡傳輸是能抵御各種攻擊,并對系統產生的各種安全漏洞進行自我修復或發出預警指示提醒信息管理人員及時采取相應措施。計算機信息安全所涉及的系統信息數據極為龐大,主要包括計算機ID信息、硬件資源、網絡服務器地址、服務器管理員密碼、文件夾密碼以及計算機系統不斷變換與更新的各類登錄用戶名和密碼信息等內容。從整體來來歸類,可以將計算機信息安全劃分為信息的存儲安全和傳輸安全兩大類。
2 計算機信息安全技術防護的內容
計算機信息安全防護技術所包含的內容較為繁雜,從現階段安全技術應用的實際情況來看,強化計算機安全防護技術可以從安全技術管理入手。安全管理包含的主要內容為:對計算機系統進行安全檢測和漏洞修補、分析系統數據、安裝系統防火墻、設置管理員密碼、安裝正版殺毒軟件、對系統進行定期不定期的入侵檢測掃描等。同時,計算機安全防護管理人員應積極的研究并完善信息安全管理制度,嚴格根據管理條列規范安全防護行為,加強對管理人員的安全知識培訓,提高其安全防護意識。
3 提高計算機信息安全的策略
為了提高計算機信息安全防護水平,保護國家和個人的信息與財產安全,以充分發揮計算機科學技術的社會和經濟效益,我們應從以下幾個方面來加強計算機信息安全防護工作。
3.1 提高計算機信息安全防護意識,加強法律立法
隨著計算機網絡技術的高速發展以及個人PC機、移動終端的大眾化使用,隨之而來的信息安全威脅與日俱爭,一方面是由于計算機操作使用者的技術門檻要求過低;另一方面是計算機安全防護技術與黑客技術的發展所呈現出的矛盾性。無論是國家部門還是企事業組織對職工的安全防護知識力度的不足,更導致計算機安全事故頻發。因此,要提高計算機信息安全防護技術水平,首要加強法律立法,對各種黑客入侵和人為惡意破壞行為進行法律上的制裁;同時,國家應出臺并完善計算機安全防護管理條例,使計算機信息安全防護工作有法可依,有法可循。針對認為操作失誤而導致的計算機安全事故,應做好對相關人員的安全防護知識教育工作,提高其安全防護意識,從思想上認知到計算機安全防護知識對維護個人和集體財產安全的重要性。企事業單位應將掌握一定的計算機安全防護知識作為職工聘任標準之一,并將這一標準加入到職工考核之中,在各類組織結構內容構建計算機信息安全管理條例,以規范人們的日常行為。
3.2 計算機信息安全防護的具體技術
1)設立身份驗證機制。身份驗證機制即是確認訪問計算機信息系統的具體個人是否為系統所允許,最主要的目的是防止其他個人的惡意欺詐和假冒攻擊行為。對身份驗證通常有三種方法:①設立管理員登陸密碼和私有密鑰等;②通過特殊的媒介進行身份驗證,如網銀登陸所需要的U盾,管理員配置的IC卡和護照等;③通過驗證用戶的生物體征來達到密碼保護的功能,如IPHONE的HOME鍵指紋識別功能,或者其他的視網膜識別和筆跡識別等。
2)設定用戶操作權限。結合計算機信息數據的具體應用,設置不同的個體訪問、修改、保存、復制和共享權限,以防止用戶的越權行為對信息安全系統所帶來的潛在威脅。如設置計算機PC端的管理員和訪客密碼,文件的可修改、可復制權限等。
3)加密計算機信息數據。信息數據的加密即是通過美國改變信息符號的排列足組合方式或設置對象之間的身份識別機制,以實現只有合法用戶才能獲取信息的目的。計算機信息加密方法一般分為:信息表加密、信息記錄加密以及信息字段加密等。其中計算機信息記錄的加密處理方式因其操作方式便利、靈活性高、選擇性多而受到較為廣泛的應用。如網絡聊天工具的異地登錄聊天信息查詢的密碼登錄功能。
3.3 網絡安全監測
對計算機網絡傳輸帶寬進行合理分配,并預留相應的空間,以滿足網絡使用高峰期的資源需求,并控制網絡IP訪問,設置IP過濾和黑名單功能,關閉系統的遠程控制與撥號功能。局域網內設置用戶訪問、復制、修改與共享權限,有WIFI的局域網設置相應的密鑰。同時,要監測端口掃描、木馬攻擊、服務攻擊、IP碎片攻擊、惡意插件下載與安裝等潛在的信息安全威脅。對操作終端安裝殺毒軟件,定期的進行全盤掃描和殺毒,以及時的檢測系統是否存在惡意攻擊代碼,系統不能刪除的文件要進行手動清除。
4 結束語
隨著計算機信息網絡技術的不斷發展,對計算機信息安全防護工作也提出了更多的挑戰,我國的計算機信息安全防護技術已然取得了一定的成績,但仍存在著諸多的不足,這就需要科研人員不斷吸收更多先進的技術并積極的進行自主研發,在實踐工作中不斷的提高與完善計算機信息安全防護機制,使計算信息網絡技術更好的服務于人們的日常工作與生活。
參考文獻
[1]周智佑.談談信息安全問題[J].術語標準化與信息技術,2008(03).
1.1電力系統計算機網絡設備不統
一在計算機技術應用中,電力系統自動化是其重要的領域之一。但在電力系統自動化過程中存在功能、系統結構、通信協議等缺乏統一的工業標準,表現為不同廠家的設備標準存在差異,不能互連。計算機和各設備之間的通信一般采取星形點對點的連接方式,并使用串或并行口的通信形式,其速率低下,設備配置靈活性也較差,系統實時性較弱。
1.2計算機操作系統存在漏洞
計算機操作系統存在大量已知和未知的漏洞,給不法入侵者可趁之機,獲得系統管理員權限,以獲取或篡改相關信息,并攻擊整個系統的網絡信息系統。另外,計算機信息安全體系尚未健全,缺乏完善的數據備份系統,系統身份認證存在漏洞,防護能力相對較弱等。
1.3電力行業缺乏統一的安全體系和監管力度不夠
電力部門雖然對電力系統信息安全有所重視,但目前為止,電力行業還未建立一套統一的行業安全體系。一旦出現信息安全問題,難以快速有效地解決問題。另外,電力部門缺乏有力的監管措施,以致不能及時解決用戶信息泄露的問題。
2電力系統中信息安全的防護措施
2.1加大組織管理策略
據統計,在出現的計算機安全事件中,由于管理因素導致的占七成以上,可見,需加強計算機信息安全的管理力度。可做好以下三方面工作:
⑴提升安全管理意識和管理技能:可通過安全知識、安全技能培訓,提升工作人員的安全意識和安全防護相關技能,尤其是進行專業的安全操作技能培訓,使信息安全保障工作得以提升。
⑵建立統一的信息安全部門:電力企業應建立一個獨立的信息安全部門全面負責管理企業的信息安全維護和管理工作。可設定一個安全崗位負責信息系統某一個或幾個安全事務,崗位可以采取具有垂直領導關系的序列形式,以使各級信息技術部門更好地的推進信息安全工作。
⑶制定統一的安全制度和策略:電力企業應制定統一的安全制度和策略,是法律管理的具體化表現。
2.2對計算機設備的安全管理策略
對計算機設備進行安全管理,是企業網開始規劃設計時就該有的意識。主要對一些重要的設備,例如服務器、路由器、主干交換機等實施集中管理。對于通信線路,為防止損壞,應盡量架空、穿線或深埋,并做好明顯的標記工作。另外,對于一些終端設備,例如集線器、小型交換機等,管理應落實到位,并嚴格執行責任制。
2.3提升安全技術策略
從技術層面上可達到保障信息安全的目的,可從以下幾點做起:
⑴加強計算機防火墻設置,通過單一集中的安全檢查點,防止重要信息資源遭到非法訪問。在電力系統中,信息的共享、調用、整合等在不同網段間都必須進行控制和過濾,以阻斷非法攻擊和破壞的行為。
⑵加強病毒防護技術:采取多層防護病毒的體系,可在計算機上安裝防病毒軟件客戶端,并在網關、服務器上設置基于相應的網關、服務器的防病毒軟件,有效預防病毒侵襲。
⑶建立信息安全身份有效認證體系:建立一個完整的、合理的證書授權體系。對企業員工上網用戶的身份及數字簽名進行安全認證,并對關鍵業務進行安全審計。
⑷建議電力企業定期進行數據庫備份,并按重要等級確定備份等級。建立企業數據備份中心,引進先進的災難恢復技術,以對關鍵業務的應用系統和數據進行有效備份,保證系統崩潰或數據損壞的情況下依然能夠恢復。
3小結
