時(shí)間:2023-02-23 13:21:49
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全服務(wù),希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
“十二五”期間,軟件技術(shù)和產(chǎn)業(yè)格局孕育著新一輪重大調(diào)整,軟件產(chǎn)業(yè)面臨網(wǎng)絡(luò)化、服務(wù)化、智能化、平臺(tái)化、融合化五大發(fā)展趨勢(shì)。國(guó)發(fā)[2011]4號(hào)文增強(qiáng)了對(duì)軟件產(chǎn)業(yè)的扶持力度,這必將催生軟件和信息服務(wù)新星的出現(xiàn)。
無論是基礎(chǔ)設(shè)施、資金、人才還是政策扶持,甚至是項(xiàng)目推介和品牌宣傳,軟件園區(qū)這片沃土都給軟件企業(yè)帶來豐富養(yǎng)分。《中國(guó)計(jì)算機(jī)報(bào)》“軟件園區(qū)”專欄,記錄軟件企業(yè)崛起,見證軟件產(chǎn)業(yè)發(fā)展!
如今,電子取證和計(jì)算機(jī)法證業(yè)務(wù)在歐美發(fā)達(dá)國(guó)家和我國(guó)香港地區(qū)已經(jīng)相當(dāng)成熟,除了主要應(yīng)用于金融行業(yè)外,在政府和企業(yè)中也有了相當(dāng)多的應(yīng)用。IDC 統(tǒng)計(jì)顯示,2011年全球電子數(shù)據(jù)取證市場(chǎng)的規(guī)模達(dá)到18 億美元,預(yù)計(jì)2015年中國(guó)電子數(shù)據(jù)取證將達(dá)到近10億元人民幣的市場(chǎng)規(guī)模。
電子取證:安全不可缺的一環(huán)
2012年3月,中國(guó)內(nèi)地和香港地區(qū)最高級(jí)別的計(jì)算機(jī)法證技術(shù)協(xié)會(huì)——中國(guó)計(jì)算機(jī)法證技術(shù)研究會(huì)(CCFC)、香港信息安全與法證公會(huì)(香港ISFS)正式授權(quán)上海浦東軟件園信息技術(shù)股份有限公司(以下簡(jiǎn)稱浦軟信息)為其華東代表處,這標(biāo)志浦軟信息擁有了國(guó)內(nèi)領(lǐng)先的電子取證平臺(tái)。
2012年7月,首次移師上海的第八屆CCFC計(jì)算機(jī)法證技術(shù)峰會(huì)在上海浦東軟件園舉行。會(huì)議期間,由浦軟信息投巨資新建并已投入運(yùn)行的高水準(zhǔn)電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)室(以下簡(jiǎn)稱取證實(shí)驗(yàn)室)及配套設(shè)施受到了海內(nèi)外參會(huì)者的關(guān)注和期待。取證實(shí)驗(yàn)室包含了計(jì)算機(jī)鑒定人員從事涉及計(jì)算機(jī)犯罪案件受理、電子數(shù)據(jù)勘查、調(diào)查取證、數(shù)據(jù)恢復(fù)、密碼破解、鑒定分析、證據(jù)存儲(chǔ)等13個(gè)專門區(qū)域,并已經(jīng)與CCFC和香港ISFS做了業(yè)務(wù)上的對(duì)接。
據(jù)上海浦東軟件園信息技術(shù)股份有限公司總經(jīng)理葉慧介紹,浦軟信息將集全公司之力把取證試驗(yàn)室建設(shè)成為國(guó)內(nèi)在技術(shù)與硬件條件上最卓越的實(shí)驗(yàn)平臺(tái)。浦軟信息的取證業(yè)務(wù)將由單一的取證產(chǎn)品向多樣化、個(gè)性化服務(wù)轉(zhuǎn)變,最終形成以自主取證產(chǎn)品銷售、司法鑒定服務(wù)和專業(yè)取證培訓(xùn)為核心的三位一體的業(yè)務(wù)模式以及“事前預(yù)防、事中響應(yīng)、事后取證”的整體信息安全解決方案。
公司成立了專業(yè)的市場(chǎng)銷售團(tuán)隊(duì),通過整體的設(shè)計(jì)與市場(chǎng)策劃來推廣取證業(yè)務(wù)。
如今,浦軟信息更希望將已經(jīng)擁有的平臺(tái)資源和取證業(yè)務(wù)推廣到信息安全市場(chǎng)較成熟的地區(qū),與更多的業(yè)界同行一起培育電子取證市場(chǎng)。葉慧強(qiáng)調(diào),浦軟信息作為計(jì)算機(jī)安全防護(hù)領(lǐng)域整體解決方案的提供商,有義務(wù)和責(zé)任通過自身的努力為社會(huì)帶來更多的價(jià)值,并以此作為自己的使命和社會(huì)責(zé)任。
取證培訓(xùn):旨在完善認(rèn)證體系
工欲善其事,必先利其器。專業(yè)取證培訓(xùn)是浦軟信息取證業(yè)務(wù)中很重要的一環(huán)。取證實(shí)驗(yàn)室研發(fā)出許多基于高端技術(shù)的取證產(chǎn)品,其精心設(shè)計(jì)的培訓(xùn)教室擁有各類多媒體設(shè)備,能夠滿足取證技術(shù)領(lǐng)域內(nèi)的各種培訓(xùn)要求,并已經(jīng)舉辦過多次各類層次的取證培訓(xùn)。
第八屆CCFC計(jì)算機(jī)法證技術(shù)峰會(huì)引入了海外專業(yè)培訓(xùn)方式,在由香港ISFS開辦的研習(xí)會(huì)上,結(jié)合實(shí)際案例,對(duì)計(jì)算機(jī)法證技術(shù)應(yīng)用及信息安全防護(hù)進(jìn)行專業(yè)指導(dǎo)。
浦軟信息之所以花大力氣開展取證培訓(xùn)業(yè)務(wù),就是預(yù)見到取證市場(chǎng)的前景將無限廣闊,需要一個(gè)成熟的資質(zhì)認(rèn)證體系,構(gòu)筑一個(gè)中國(guó)取證行業(yè)專業(yè)、統(tǒng)一的標(biāo)準(zhǔn)。因此,浦軟信息規(guī)劃了取證資質(zhì)認(rèn)證培訓(xùn)的發(fā)展方向,那就是明確自身的市場(chǎng)地位,完善取證實(shí)驗(yàn)室的培訓(xùn)體系和業(yè)務(wù),今后將與海內(nèi)外專業(yè)機(jī)構(gòu)合作,繼續(xù)拓展培訓(xùn)業(yè)務(wù),最終得到政府部門和業(yè)內(nèi)對(duì)浦軟信息取證培訓(xùn)資質(zhì)認(rèn)證的認(rèn)可。
制度創(chuàng)新:確保信息業(yè)務(wù)拓展
今年2月15日,上海股權(quán)托管交易中心正式開張,浦軟信息成為首批掛牌OTC(場(chǎng)外交易市場(chǎng))成員。這對(duì)浦軟信息來說無疑是一個(gè)重要的轉(zhuǎn)折點(diǎn)——浦軟信息已經(jīng)從一家中小型的以產(chǎn)品銷售為導(dǎo)向的IT公司轉(zhuǎn)變?yōu)橐患乙訧T服務(wù)為核心的非上市公眾公司。
浦軟信息希望通過OTC掛牌交易,在為股東和其他投資者提供更多選擇的同時(shí),通過股權(quán)的發(fā)行和交易使得公司的法人治理結(jié)構(gòu)更加規(guī)范和嚴(yán)謹(jǐn),這對(duì)浦軟信息未來發(fā)展是至關(guān)重要的,也是最大的挑戰(zhàn)。另外,作為公眾公司,浦軟信息必須考慮到諸多方面的影響,決策上必須更加謹(jǐn)慎,對(duì)內(nèi)部資源的安排也要考慮得更細(xì)致,要有平衡企業(yè)資源的能力,包括客戶和市場(chǎng)資源,要投入更多的資源來支持和規(guī)劃新的公司制度和運(yùn)轉(zhuǎn)。對(duì)此,葉慧信心滿滿。
優(yōu)秀基因:可持續(xù)發(fā)展的動(dòng)力
作為一家還處于成長(zhǎng)期的中小型IT企業(yè),浦軟信息還有相當(dāng)大的提升空間,但公司管理層始終保持著危機(jī)感,對(duì)市場(chǎng)保持高度的敏感,業(yè)務(wù)上真正做到以客戶為導(dǎo)向,技術(shù)上不遺余力地投入人力物力。追求“優(yōu)秀”是浦軟信息始終堅(jiān)持的目標(biāo)。
何謂“優(yōu)秀”,葉慧對(duì)此做了進(jìn)一步詮釋。
“優(yōu)秀”體現(xiàn)在專業(yè)上,就是要有專攻方向。在信息安全領(lǐng)域浦軟信息已經(jīng)有十幾年的經(jīng)驗(yàn),這既是公司的優(yōu)勢(shì)也是公司的品牌。同時(shí),這種專業(yè)還要體現(xiàn)在技術(shù)研發(fā)的能力上,使之成為浦軟信息的核心競(jìng)爭(zhēng)力。作為一家IT公司,技術(shù)是最重要的生產(chǎn)力。
“優(yōu)秀”體現(xiàn)在人才上,就是把員工視作企業(yè)發(fā)展中最重要的資產(chǎn),將管理團(tuán)隊(duì)與技術(shù)團(tuán)隊(duì)作為企業(yè)的核心。浦軟信息的股權(quán)結(jié)構(gòu)中也有員工持股,這體現(xiàn)了公司創(chuàng)始人開放的胸襟。
“優(yōu)秀”同時(shí)也體現(xiàn)在健康上,浦軟信息未來的目標(biāo)是上市。作為公眾公司,需要給股東和員工持續(xù)的回報(bào),這是相當(dāng)重要的。作為一家肩負(fù)著社會(huì)責(zé)任的公眾企業(yè),體制一定要健康,不能一味盲目地追求增長(zhǎng)速度,企業(yè)發(fā)展方式和公司結(jié)構(gòu)至關(guān)重要,這也是企業(yè)可持續(xù)發(fā)展的前提。
IT行業(yè)內(nèi)真正能夠屹立不倒的百年老店一定具備“優(yōu)秀”的基因,而不是純粹靠包裝和粉飾;同樣,有了這些“優(yōu)秀”的基因,一個(gè)升級(jí)版的浦軟信息將從企業(yè)級(jí)信息安全服務(wù)行業(yè)中脫穎而出,也就有了底氣。
記者手記
人生就是一場(chǎng)修煉
從上海市經(jīng)濟(jì)和信息化委員會(huì)到上海浦東軟件園總部再到浦軟信息,葉慧的角色在不斷轉(zhuǎn)變,雖然都涉及IT和通信行業(yè),但視角卻大不相同。尤其是調(diào)任浦軟信息后,葉慧從原先站在宏觀角度轉(zhuǎn)變?yōu)橐云髽I(yè)職業(yè)經(jīng)理人的微觀角度來審視IT和通信行業(yè),同時(shí)還要承受著國(guó)有企業(yè)職業(yè)經(jīng)理人特有的壓力。
是什么信念使得葉慧能夠在應(yīng)對(duì)不斷出現(xiàn)新的挑戰(zhàn)和壓力時(shí)如此談定和柔韌?答案就是被葉慧視為勵(lì)志誓言的《孟子·告子下》中的名句:“天將降大任于斯人也,必先苦其心志,勞其筋骨,餓其體膚,空乏其身,行拂亂其所為也,所以動(dòng)心忍性,增益其所不能。”葉慧認(rèn)為,一個(gè)職業(yè)經(jīng)理人即使在處于坎坷時(shí),也要保持良好的心態(tài),不逃避不回避各種困難,積極面對(duì)挑戰(zhàn)并擁有破解難題、果斷決策的信心。
商業(yè)銀行一直是信息化浪潮中的先行者。我國(guó)銀行信息化進(jìn)程最早可以追溯至20世紀(jì)80年代,以單機(jī)應(yīng)用為起點(diǎn),先后走過了縣域微機(jī)聯(lián)網(wǎng)、城市集中、省域集中、全國(guó)數(shù)據(jù)集中的發(fā)展歷程。時(shí)至今日,我國(guó)商業(yè)銀行已基本實(shí)現(xiàn)信息化,建設(shè)成了能夠提供7×24小時(shí)不間斷服務(wù)并覆蓋城鄉(xiāng)的龐大信息系統(tǒng)。20世紀(jì)90年代,網(wǎng)上銀行的出現(xiàn)標(biāo)志著我國(guó)銀行業(yè)服務(wù)從“線下”走向“線上”,并由此開啟了銀行渠道轉(zhuǎn)型之路,以網(wǎng)上銀行為主的電子銀行業(yè)務(wù)得到了迅速發(fā)展,交易替代率成為這一時(shí)期銀行衡量信息化水平的重要指標(biāo)。據(jù)統(tǒng)計(jì),2009年到2014年,我國(guó)商業(yè)銀行的電子銀行交易替代率從49%上升至80%(見圖1),但自2014年開始其增速明顯放緩,且預(yù)計(jì)在未來幾年將維持較低增速。交易替代率增速的放緩表明,以渠道轉(zhuǎn)型和規(guī)模擴(kuò)張為主要特征的銀行信息化階段正在接近尾聲。而隨著經(jīng)營(yíng)環(huán)境變化,信息技術(shù)進(jìn)步以及公眾金融意識(shí)的覺醒,從“銀行信息化”到“信息化銀行”的時(shí)代正在到來。信息化銀行是更高級(jí)的銀行信息化過程,它通過對(duì)信息的集中、整合、共享、挖掘,使銀行的客戶服務(wù)、經(jīng)營(yíng)決策、戰(zhàn)略制定發(fā)生質(zhì)的變化[1]。各大商業(yè)銀行已普遍將信息化銀行建設(shè)提升至戰(zhàn)略高度,并提出新的經(jīng)營(yíng)理念[1-2]。理論界也緊跟信息化銀行變革趨勢(shì),開展了廣泛研究。謝平較早提出互聯(lián)網(wǎng)金融模式,指出現(xiàn)代信息科技將對(duì)傳統(tǒng)商業(yè)銀行融資模式產(chǎn)生顛覆性影響,網(wǎng)絡(luò)信貸模式將為優(yōu)化資源配置做出貢獻(xiàn)[3]。宮曉林指出第三方支付平臺(tái)已對(duì)傳統(tǒng)銀行業(yè)務(wù)形成替代,使銀行退居支付清算的后臺(tái)[4]。王召認(rèn)為銀行不能僅靠發(fā)展金融互聯(lián)網(wǎng)來消極抵御互聯(lián)網(wǎng)金融的威脅,而要將爭(zhēng)奪信用數(shù)據(jù)制高點(diǎn)做為重中之重[5]。樊志剛分析認(rèn)為目前商業(yè)銀行已在互聯(lián)網(wǎng)金融的競(jìng)爭(zhēng)中處于被動(dòng),必須主動(dòng)采取大風(fēng)控、大數(shù)據(jù)、大平臺(tái)等競(jìng)合戰(zhàn)略[6]。王碩對(duì)互聯(lián)網(wǎng)金融下客戶行為變化進(jìn)行分析,從客戶、網(wǎng)點(diǎn)、渠道、產(chǎn)品等角度開展銀行轉(zhuǎn)型研究[7]。馮娟娟認(rèn)為互聯(lián)網(wǎng)金融背景下的商業(yè)銀行在資產(chǎn)實(shí)力、客戶資源、風(fēng)控體系等方面仍具有絕對(duì)優(yōu)勢(shì)[8]。趙立志認(rèn)為互聯(lián)網(wǎng)金融的“野蠻”生長(zhǎng)帶來了極大的信息安全隱患,包括商業(yè)銀行在內(nèi)的互聯(lián)網(wǎng)金融企業(yè)在業(yè)務(wù)發(fā)展中必須重視信息安全保障[9]。現(xiàn)有研究主要是在信息化銀行變革大背景下集中于探討互聯(lián)網(wǎng)金融對(duì)商業(yè)銀行的業(yè)務(wù)影響以及商業(yè)銀行如何應(yīng)對(duì)互聯(lián)網(wǎng)金融環(huán)境,但尚未揭示出信息化銀行較為明晰的發(fā)展脈絡(luò),也未明確指出引領(lǐng)信息化銀行革新的核心驅(qū)動(dòng)力。本文將在深入分析目前經(jīng)營(yíng)環(huán)境最顯著變化的基礎(chǔ)上,明確提出發(fā)展信息化銀行的三元驅(qū)動(dòng)模型,并對(duì)信息化銀行建設(shè)實(shí)踐提出對(duì)策建議。
二、信息化銀行經(jīng)營(yíng)環(huán)境變化趨勢(shì)分析
信息技術(shù)在迅速提升商業(yè)銀行金融服務(wù)能力的同時(shí),也本質(zhì)性的改變了商業(yè)銀行內(nèi)外部經(jīng)營(yíng)環(huán)境,商業(yè)銀行在新一輪的信息化浪潮中正面臨著新的挑戰(zhàn)和機(jī)遇。
(一)從外部競(jìng)爭(zhēng)看,互聯(lián)網(wǎng)金融的蓬勃發(fā)展,擠壓了商業(yè)銀行的盈利空間
2013年以來,以互聯(lián)網(wǎng)理財(cái)、P2P網(wǎng)貸為代表的互聯(lián)網(wǎng)金融獲得爆發(fā)式增長(zhǎng)。以余額寶為例,其規(guī)模已超過7000億元,相當(dāng)于國(guó)內(nèi)一家中型銀行的總資產(chǎn)規(guī)模。互聯(lián)網(wǎng)金融對(duì)商業(yè)銀行最直接的沖擊主要體現(xiàn)在三方面:一是負(fù)債端。四大行2014年報(bào)顯示,作為銀行最優(yōu)質(zhì)資金來源的個(gè)人存款,增速正在大幅下降,尤其是個(gè)人活期存款增速由2013年的13.3%迅速跌落至3.8%,導(dǎo)致銀行資金使用成本上升。二是資產(chǎn)端。我國(guó)靠大規(guī)模投資拉動(dòng)經(jīng)濟(jì)增長(zhǎng)的模式已告一段落,進(jìn)入了“大眾創(chuàng)業(yè)、萬眾創(chuàng)新”的新時(shí)期。據(jù)調(diào)查,融資需求在50萬以下的企業(yè)約占55.3%,87.3%的企業(yè)融資需求在200萬以下[10]。目前商業(yè)銀行的信貸業(yè)務(wù)模式遠(yuǎn)不能滿足這類小微企業(yè)的融資需求,也不能適應(yīng)經(jīng)濟(jì)結(jié)構(gòu)轉(zhuǎn)型的新常態(tài),而網(wǎng)貸平臺(tái)則在突破傳統(tǒng)信貸模式和服務(wù)實(shí)體經(jīng)濟(jì)上活力突顯,率先占領(lǐng)了逐漸繁榮的長(zhǎng)尾市場(chǎng)。三是中間業(yè)務(wù)環(huán)節(jié)。據(jù)統(tǒng)計(jì),第三方支付和移動(dòng)支付已經(jīng)超越了商業(yè)銀行提供的網(wǎng)上銀行、POS機(jī)等支付渠道,搶占了支付市場(chǎng)前兩名位置(見圖2)。這不僅蠶食了商業(yè)銀行的利潤(rùn)來源,還使商業(yè)銀行的支付業(yè)務(wù)逐漸遠(yuǎn)離交易環(huán)境,無法獲取個(gè)人用戶的消費(fèi)行為和企業(yè)用戶的供應(yīng)鏈條中的寶貴數(shù)據(jù)。互聯(lián)網(wǎng)金融之所以取得成功,根本在于其立足于普惠金融,為用戶提供了門檻低、場(chǎng)景化、使用便捷的數(shù)字服務(wù),顛覆了商業(yè)銀行重資產(chǎn)規(guī)模、輕客戶服務(wù)的傳統(tǒng)經(jīng)營(yíng)模式。
(二)從內(nèi)生需求看,海量數(shù)據(jù)不斷積累,潛在價(jià)值有待挖掘
邁爾•舍恩伯格在《大數(shù)據(jù)時(shí)代》中寫到:“凡是過去,皆為序曲”[11],在“互聯(lián)網(wǎng)+”時(shí)代,大數(shù)據(jù)的積累和應(yīng)用帶來了商業(yè)思維和商業(yè)模式的升級(jí)變革。商業(yè)銀行依托信息系統(tǒng)大規(guī)模應(yīng)用部署和運(yùn)行,已經(jīng)聚集了海量數(shù)據(jù)。以資產(chǎn)規(guī)模最大的工商銀行為例[2],其信息系統(tǒng)中存儲(chǔ)的各類數(shù)據(jù)總量已達(dá)700萬GB,其中用于挖掘分析的數(shù)據(jù)在近7年增長(zhǎng)了30倍,此外語音、圖片等非結(jié)構(gòu)化數(shù)據(jù)以每年50%的速度增長(zhǎng),總量已達(dá)820萬GB。可見商業(yè)銀行已坐擁巨大的數(shù)據(jù)資源寶藏,但大多數(shù)數(shù)據(jù)仍處于“沉睡”或“孤島”狀態(tài),未能在實(shí)際業(yè)務(wù)服務(wù)中實(shí)現(xiàn)增值。因此,對(duì)于商業(yè)銀行而言,已具備了大數(shù)據(jù)應(yīng)用的條件和優(yōu)勢(shì),但缺乏相應(yīng)的思維和機(jī)制。在信息化銀行時(shí)代,充分利用大數(shù)據(jù)提升商業(yè)決策和服務(wù)效能,將是未來商業(yè)銀行完成轉(zhuǎn)型、爭(zhēng)奪市場(chǎng)的關(guān)鍵。
(三)從風(fēng)險(xiǎn)環(huán)境看,信息安全形勢(shì)愈發(fā)嚴(yán)峻,“互聯(lián)網(wǎng)+”轉(zhuǎn)型面臨考驗(yàn)
近年來,商業(yè)銀行信息安全事件頻發(fā),輕則發(fā)生客戶信息大量泄露,重則導(dǎo)致銀行信息系統(tǒng)全面癱瘓數(shù)日,這是信息化銀行將要長(zhǎng)期面臨的重要隱患。信息安全事件多發(fā)的主要原因可歸結(jié)為以下因素:一是針對(duì)銀行信息系統(tǒng)的攻擊愈演愈烈。銀行信息系統(tǒng)關(guān)乎國(guó)家安全、社會(huì)穩(wěn)定和公民資金財(cái)產(chǎn)安全,加之其線上平臺(tái)不斷開放,容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。二是新型攻擊威脅巨大。當(dāng)前黑客組織呈現(xiàn)出集團(tuán)化、規(guī)模化、高水平化趨勢(shì),攻擊行為潛伏期長(zhǎng)、特征弱,善于利用未知漏洞形成突破,再逐層滲透,給現(xiàn)有防御體系帶來巨大威脅。三是新興線上業(yè)務(wù)增長(zhǎng)帶來安全隱患。為了快速滿足不斷增長(zhǎng)的線上業(yè)務(wù)需求,系統(tǒng)研發(fā)周期不斷縮短,導(dǎo)致系統(tǒng)漏洞增多。2014年,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心向包括銀行在內(nèi)的重要信息系統(tǒng)部門通報(bào)漏洞事件9069起,較2013年增長(zhǎng)3倍③。四是信息系統(tǒng)架構(gòu)日趨復(fù)雜,考驗(yàn)安全可控能力。系統(tǒng)規(guī)模的不斷擴(kuò)大使得信息安全技術(shù)架構(gòu)日趨復(fù)雜,安全加固點(diǎn)增多,系統(tǒng)產(chǎn)生海量信息難以被及時(shí)處理。目前銀行缺乏有效的關(guān)聯(lián)分析手段,難以實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和聯(lián)動(dòng)防御。
三、信息化銀行的“三駕馬車”及三元驅(qū)動(dòng)模型
從上述分析看,商業(yè)銀行迫切需要推動(dòng)信息化銀行建設(shè),積極應(yīng)對(duì)內(nèi)外部經(jīng)營(yíng)環(huán)境變化,打造全新的核心競(jìng)爭(zhēng)力。本文認(rèn)為,數(shù)字服務(wù)、大數(shù)據(jù)和信息安全將成為驅(qū)動(dòng)信息化銀行發(fā)展的“三駕馬車”,引領(lǐng)商業(yè)銀行走上下一個(gè)高速發(fā)展的軌道。
(一)數(shù)字服務(wù)驅(qū)動(dòng)信息化銀行的BaaS轉(zhuǎn)型
BrettKing在《Bank3.0》中提出BaaS(Bank鄄ing-as-a-Service,銀行即服務(wù))模式[12],即未來銀行將不再是一個(gè)地點(diǎn),而是一種行為,一種無處不在的服務(wù)。未來金融服務(wù)將是一場(chǎng)為客戶提供優(yōu)質(zhì)服務(wù)的數(shù)字戰(zhàn)役,線下網(wǎng)點(diǎn)的規(guī)模化擴(kuò)張以及線上數(shù)字渠道的粗放式拓展將不再是主流。在BaaS模式下,信息化銀行數(shù)字服務(wù)的本質(zhì)是在充分建立規(guī)模優(yōu)勢(shì)和渠道優(yōu)勢(shì)的基礎(chǔ)上,為客戶提供智能便捷、注重體驗(yàn)的數(shù)字服務(wù),它包括以下幾個(gè)方面:一是數(shù)字服務(wù)的智能化。智能化要求快速定位客戶需求,簡(jiǎn)化操作流程,實(shí)現(xiàn)高效的客戶交互。例如,銀行已開始嘗試使用VTM(虛擬柜員機(jī))設(shè)備來提供遠(yuǎn)程銀行服務(wù),實(shí)現(xiàn)對(duì)公零售業(yè)務(wù)的自主辦理,使用戶擺脫“取號(hào)+柜臺(tái)+紙質(zhì)材料”的低效人工服務(wù)模式,充分享受智能化的數(shù)字服務(wù)。二是數(shù)字服務(wù)的移動(dòng)化。金融服務(wù)的移動(dòng)化是實(shí)現(xiàn)BaaS模式的關(guān)鍵,商業(yè)銀行已普遍搭建手機(jī)App移動(dòng)平臺(tái),并以此為網(wǎng)絡(luò)入口努力開展與移動(dòng)產(chǎn)業(yè)生態(tài)的深度融合,尤其是在移動(dòng)互聯(lián)網(wǎng)深度改變客戶行為模式的背景下,提升操作性、互動(dòng)性、安全性以及解決客戶痛點(diǎn)將成為移動(dòng)銀行革新的突破口。三是數(shù)字服務(wù)的場(chǎng)景化。數(shù)字服務(wù)的場(chǎng)景化將成為信息化銀行爭(zhēng)奪客戶流量的新特性,這要求銀行將金融服務(wù)與非金融服務(wù)嫁接,嵌入到日常生產(chǎn)生活場(chǎng)景中,并與整個(gè)互聯(lián)網(wǎng)生態(tài)體系進(jìn)行深度融合,以獲得長(zhǎng)期的用戶粘性和持續(xù)的商業(yè)變現(xiàn)。目前,場(chǎng)景化應(yīng)用趨勢(shì)已初現(xiàn)端倪,如“網(wǎng)購+理財(cái)”(余額寶)、“網(wǎng)購+貸款”(網(wǎng)絡(luò)消費(fèi)金融)、“線上+線下”(移動(dòng)支付)、“數(shù)據(jù)+授信”(數(shù)據(jù)網(wǎng)貸)等。四是數(shù)字服務(wù)的協(xié)同化。協(xié)同化要求銀行整合既有的數(shù)字金融服務(wù),打通業(yè)務(wù)間的邏輯連接,并與整個(gè)互聯(lián)網(wǎng)生態(tài)圈開展外部協(xié)作,實(shí)現(xiàn)業(yè)務(wù)流程再造和數(shù)字服務(wù)能力提升。無論是傳統(tǒng)大型銀行還是新興民營(yíng)銀行都在開展這樣頗具革新性的實(shí)踐。例如,工商銀行的E-ICBC戰(zhàn)略整合了電商、通訊、直銷三大平臺(tái),為客戶提供大一統(tǒng)的綜合金融服務(wù)。阿里系的網(wǎng)商銀行擬整合支付寶支付功能、余額寶融資功能、招財(cái)寶理財(cái)功能、螞蟻微貸貸款功能、芝麻信用授信功能等,建立信息化銀行數(shù)字服務(wù)的協(xié)同生態(tài)體系。
(二)大數(shù)據(jù)驅(qū)動(dòng)信息化銀行的商業(yè)智能轉(zhuǎn)型
事實(shí)上,海量信息處理對(duì)于商業(yè)銀行并不是一個(gè)新的課題。在信息化進(jìn)程中,銀行始終強(qiáng)調(diào)高速、穩(wěn)定、精確的數(shù)據(jù)處理能力,長(zhǎng)期以來,嚴(yán)謹(jǐn)、機(jī)械和弱相關(guān)是銀行數(shù)據(jù)的特點(diǎn)。而進(jìn)入信息化銀行階段,數(shù)據(jù)變得開放、動(dòng)態(tài)、高附加值,將逐漸實(shí)現(xiàn)由資源性向應(yīng)用性的跨越,銀行更加關(guān)注數(shù)據(jù)的建模、分析、挖掘及使用,大數(shù)據(jù)的應(yīng)用成為新的課題。鑒于數(shù)字服務(wù)已向經(jīng)濟(jì)社會(huì)各微觀領(lǐng)域滲透,利用大數(shù)據(jù)提高商業(yè)智能既是商業(yè)銀行的迫切需求也是先天優(yōu)勢(shì)。銀行可以通過各類服務(wù)渠道獲取海量數(shù)據(jù),再通過對(duì)這些數(shù)據(jù)進(jìn)行加工、整合、分析,實(shí)現(xiàn)數(shù)據(jù)增值,提升各個(gè)經(jīng)營(yíng)領(lǐng)域服務(wù)效能。例如,在零售業(yè)務(wù)領(lǐng)域,銀行可以通過歷史交易數(shù)據(jù)、資金結(jié)構(gòu)數(shù)據(jù)對(duì)客戶進(jìn)行分層管理,并通過對(duì)客戶消費(fèi)行為變化、資金變化數(shù)據(jù)以及外部非結(jié)構(gòu)化數(shù)據(jù)(如社交網(wǎng)絡(luò)數(shù)據(jù))的分析,實(shí)現(xiàn)金融產(chǎn)品的精準(zhǔn)營(yíng)銷,并提供非金融增值服務(wù),從而在產(chǎn)品差異小、可替代性強(qiáng)的零售業(yè)務(wù)領(lǐng)域脫穎而出。在對(duì)公業(yè)務(wù)領(lǐng)域,銀行可以通過在線供應(yīng)鏈金融平臺(tái)實(shí)時(shí)客觀的掌握核心企業(yè)及上下游企業(yè)的信息流、物流、資金流數(shù)據(jù),經(jīng)大數(shù)據(jù)關(guān)聯(lián)分析后,既可以掌握某一個(gè)企業(yè)的整體經(jīng)營(yíng)狀況,并以數(shù)據(jù)分析結(jié)果為依據(jù)進(jìn)行授信和放貸,又可以從宏觀視角分析行業(yè)發(fā)展趨勢(shì),指導(dǎo)對(duì)公領(lǐng)域的戰(zhàn)略調(diào)整。在風(fēng)險(xiǎn)管理領(lǐng)域,可根據(jù)交易數(shù)據(jù)、社交數(shù)據(jù)、工商數(shù)據(jù)等內(nèi)外部數(shù)據(jù),完善小微企業(yè)或個(gè)人信用模型,使銀行更好的開展高風(fēng)險(xiǎn)的小貸業(yè)務(wù);還可以基于電子渠道的海量數(shù)據(jù)完成電子賬號(hào)正常行為基線建模,再通過聚類分析以及實(shí)時(shí)流數(shù)據(jù)挖掘等方法進(jìn)行異常事件檢測(cè),從中識(shí)別網(wǎng)絡(luò)欺詐、賬戶盜用等行為,提高線上交易的安全性與便利性。如上所述,大數(shù)據(jù)將成為信息化銀行的大腦,調(diào)動(dòng)各個(gè)業(yè)務(wù)領(lǐng)域的商業(yè)智能轉(zhuǎn)型。數(shù)據(jù)的處理和分析也將不再局限于銀行科技部門,而是將滲透于銀行的整體戰(zhàn)略發(fā)展中。
(三)信息安全將驅(qū)動(dòng)信息化銀行的安全可控轉(zhuǎn)型
商業(yè)銀行是國(guó)民經(jīng)濟(jì)命脈的重要環(huán)節(jié),安全性是其穩(wěn)健經(jīng)營(yíng)和持續(xù)發(fā)展的基礎(chǔ)。隨著業(yè)務(wù)和技術(shù)的深度融合,信息安全已成為信息化銀行轉(zhuǎn)型創(chuàng)新與健康發(fā)展的基本前提和重要驅(qū)動(dòng),實(shí)現(xiàn)安全可控亦是信息化銀行的重要目標(biāo)之一。信息化銀行下的信息安全范疇,主要包括安全和可控兩個(gè)方面。一是安全。隨著業(yè)務(wù)模式逐步開放,信息化銀行的安全性將與整個(gè)互聯(lián)網(wǎng)日趨復(fù)雜的信息安全生態(tài)緊密相連,這對(duì)銀行的信息安全能力提出了極高的要求。首先是敏銳的安全感知能力。信息化銀行互聯(lián)互通,形成“木桶效應(yīng)”,銀行系統(tǒng)任何與外界相連的風(fēng)險(xiǎn)點(diǎn)都有可能成為整個(gè)系統(tǒng)被入侵的突破口,因此信息化銀行要實(shí)現(xiàn)業(yè)務(wù)拓展必須強(qiáng)化風(fēng)險(xiǎn)監(jiān)測(cè)和安全態(tài)勢(shì)感知能力。然后是堅(jiān)固的安全防御能力。傳統(tǒng)的關(guān)注單點(diǎn)防御和階段性防御的孤立安全思維已不能有效應(yīng)對(duì)新型安全威脅,需要構(gòu)建系統(tǒng)間聯(lián)動(dòng)、內(nèi)外網(wǎng)聯(lián)動(dòng)、前后動(dòng)的立體化智能防御體系。最后是合理的安全規(guī)劃能力。在信息化銀行時(shí)代,用戶對(duì)金融服務(wù)的便利性和安全性都要求極高,要處理好這對(duì)天然矛盾,就需要將安全納入到業(yè)務(wù)創(chuàng)新的整體規(guī)劃中,針對(duì)業(yè)務(wù)場(chǎng)景實(shí)施有效的關(guān)聯(lián)梳理分析。二是可控。隨著互聯(lián)網(wǎng)金融服務(wù)的不斷創(chuàng)新,商業(yè)銀行將不斷面對(duì)類似于“雙11”、“搶紅包”等新型業(yè)務(wù)場(chǎng)景,經(jīng)驗(yàn)表明,當(dāng)前銀行信息系統(tǒng)架構(gòu)在應(yīng)對(duì)業(yè)務(wù)的多樣性和多變性上已顯現(xiàn)不足,這制約了銀行業(yè)務(wù)創(chuàng)新轉(zhuǎn)型進(jìn)程。因此,銀行應(yīng)改變目前關(guān)鍵IT基礎(chǔ)架構(gòu)和核心業(yè)務(wù)系統(tǒng)過度倚賴第三方廠商的現(xiàn)狀,加強(qiáng)頂層設(shè)計(jì),推進(jìn)深度自主研發(fā),進(jìn)一步增強(qiáng)核心系統(tǒng)架構(gòu)的靈活性和安全性,提升對(duì)關(guān)鍵技術(shù)的掌控力,主要思路包括:一要以業(yè)務(wù)為導(dǎo)向,逐步向云計(jì)算服務(wù)模式遷移;二要從“IOE”向x86架構(gòu)轉(zhuǎn)型,降低成本的同時(shí),規(guī)避技術(shù)依賴風(fēng)險(xiǎn);三要堅(jiān)持開源軟件與自主研發(fā)相結(jié)合的技術(shù)發(fā)展路線;四要通過業(yè)務(wù)創(chuàng)新推動(dòng)技術(shù)創(chuàng)新,實(shí)現(xiàn)基礎(chǔ)架構(gòu)的高可用。未來信息化銀行將承載十分復(fù)雜的互聯(lián)網(wǎng)金融生態(tài),信息安全將從銀行科技層面升級(jí)到戰(zhàn)略層面,并被納入整體能力建設(shè)和發(fā)展規(guī)劃中,成為高速發(fā)展中控制穩(wěn)定性的重要驅(qū)動(dòng)。
(四)信息化銀行三元驅(qū)動(dòng)模型
經(jīng)過對(duì)“三駕馬車”的分析和論述,可以發(fā)現(xiàn)信息化銀行將形成以“三駕馬車”為核心驅(qū)動(dòng)的戰(zhàn)略發(fā)展模式,在此總結(jié)為一種三元驅(qū)動(dòng)模型(見圖3)。數(shù)字服務(wù)、大數(shù)據(jù)和信息安全分別解決信息化銀行經(jīng)營(yíng)中所面臨的主要問題,并引領(lǐng)其在BaaS、商業(yè)智能和安全可控三個(gè)方向上開展轉(zhuǎn)型。三者分工明確、缺一不可,同時(shí)又互為促進(jìn)、相輔相成。一是數(shù)字服務(wù)使客戶更好的感知銀行,并在服務(wù)體驗(yàn)中產(chǎn)生大量有價(jià)值的數(shù)據(jù),大數(shù)據(jù)使銀行更好的認(rèn)知客戶,從而有針對(duì)性的提升數(shù)字服務(wù)能力。二是數(shù)字服務(wù)的發(fā)展依附于信息安全服務(wù)水平的不斷提升,信息安全能力的不斷完善將保障數(shù)字服務(wù)更加大膽的開展金融服務(wù)創(chuàng)新。三是銀行大數(shù)據(jù)的存儲(chǔ)和使用本身會(huì)帶來數(shù)據(jù)安全和隱私保護(hù)問題,需要安全技術(shù)和安全管理的雙重保護(hù),而大數(shù)據(jù)技術(shù)同時(shí)又能夠幫助銀行在金融信息安全感知防御能力上取得突破。
四、“三駕馬車”視角下商業(yè)銀行實(shí)踐信息化銀行的策略
根據(jù)前文的分析闡述可見,信息化銀行趨勢(shì)已成,以“三駕馬車”模式為抓手開展經(jīng)營(yíng)發(fā)展模式轉(zhuǎn)型,將使商業(yè)銀行在“互聯(lián)網(wǎng)+”時(shí)代占據(jù)戰(zhàn)略主動(dòng)。本文以信息化銀行“三駕馬車”的觀點(diǎn)為視角,結(jié)合我國(guó)商業(yè)銀行實(shí)際情況,從縱橫兩個(gè)維度對(duì)商業(yè)銀行實(shí)踐信息化銀行提出相關(guān)對(duì)策建議。
(一)縱向上持續(xù)發(fā)揮“三駕馬車”的驅(qū)動(dòng)優(yōu)勢(shì)
一是以互聯(lián)網(wǎng)金融為導(dǎo)向,加快完善金融數(shù)字服務(wù)。商業(yè)銀行應(yīng)在網(wǎng)上銀行、手機(jī)銀行良好的發(fā)展勢(shì)頭以及網(wǎng)點(diǎn)轉(zhuǎn)型有序進(jìn)行的基礎(chǔ)上,根據(jù)各自情況,不斷開發(fā)和完善自有電商平臺(tái)、資產(chǎn)管理平臺(tái)、網(wǎng)絡(luò)信貸平臺(tái)、移動(dòng)金融平臺(tái)等新興業(yè)務(wù)平臺(tái),積極探索特點(diǎn)鮮明的互聯(lián)網(wǎng)金融服務(wù)品牌化路線,建立綜合化數(shù)字金融服務(wù)生態(tài)圈。鑒于商業(yè)銀行普遍欠缺互聯(lián)網(wǎng)基因,且互聯(lián)網(wǎng)金融業(yè)務(wù)開展較晚,還可選擇曲線發(fā)展路線以提升數(shù)字服務(wù)能力。一種是外部合作模式,可通過收購具有潛力和規(guī)模的電商或投融資平臺(tái),也可聯(lián)手大型互聯(lián)網(wǎng)企業(yè)開展線上金融服務(wù)創(chuàng)新,彌補(bǔ)自身業(yè)務(wù)體系不足;一種是差異化競(jìng)爭(zhēng)模式,盯緊藍(lán)海,快速切入,例如在農(nóng)村市場(chǎng),可以充分利用銀行網(wǎng)點(diǎn)和聲譽(yù)優(yōu)勢(shì)率先發(fā)展農(nóng)村電商平臺(tái),還可以研究將支付理財(cái)通過移動(dòng)金融等服務(wù)手段嵌入到田間地頭,滿足農(nóng)民農(nóng)戶的理財(cái)需求。二是堅(jiān)持“數(shù)據(jù)治行”的現(xiàn)代經(jīng)營(yíng)理念,充分挖掘大數(shù)據(jù)價(jià)值。要積極開展內(nèi)部商業(yè)數(shù)據(jù)的搜集整合,并通過爬蟲等技術(shù)主動(dòng)式的定向獲取有價(jià)值的網(wǎng)絡(luò)數(shù)據(jù),以及廣泛與互聯(lián)網(wǎng)企業(yè)、工商、稅務(wù)等開展外部數(shù)據(jù)合作,解決商業(yè)銀行數(shù)據(jù)“難搜集”問題;大力推進(jìn)數(shù)據(jù)治理,明確數(shù)據(jù)標(biāo)準(zhǔn),明晰管理流程,嚴(yán)控?cái)?shù)據(jù)質(zhì)量,并以業(yè)務(wù)數(shù)據(jù)、技術(shù)數(shù)據(jù)、管理數(shù)據(jù)等為分類建立企業(yè)數(shù)據(jù)模型作為各項(xiàng)目的參考數(shù)據(jù)模型,解決數(shù)據(jù)“不可用”問題;努力提升數(shù)據(jù)使用能力,開展數(shù)據(jù)分析技能培訓(xùn),以各業(yè)務(wù)條線為主導(dǎo)進(jìn)行大數(shù)據(jù)應(yīng)用立項(xiàng),建立業(yè)務(wù)部門、數(shù)據(jù)管理部門及科技部門的協(xié)作溝通機(jī)制,引入試錯(cuò)和反饋機(jī)制,深度挖掘數(shù)據(jù)潛能,解決數(shù)據(jù)“不會(huì)用”問題。三是將信息安全納入企業(yè)戰(zhàn)略規(guī)劃體系,切實(shí)提升安全可控能力。要提高對(duì)信息安全的認(rèn)識(shí)程度,將安全可控視為信息化銀行建設(shè)中的“馬拉松”,化被動(dòng)安全為主動(dòng)安全,推動(dòng)信息安全規(guī)劃向上層遷移。建立從企業(yè)戰(zhàn)略和業(yè)務(wù)需求角度出發(fā),到系統(tǒng)架構(gòu)、到技術(shù)架構(gòu)、到實(shí)施管理、再到新業(yè)務(wù)架構(gòu)變更的全生命周期安全規(guī)劃框架,確保安全規(guī)劃的持續(xù)性、可操作性以及實(shí)施彈性,使信息安全能夠全面融入到開發(fā)測(cè)試、生產(chǎn)運(yùn)維、業(yè)務(wù)運(yùn)營(yíng)等各個(gè)環(huán)節(jié)。在提升安全規(guī)劃層次基礎(chǔ)上,還要持續(xù)加強(qiáng)安全技術(shù)研究,落實(shí)安全管理規(guī)范,提升安全檢查評(píng)估,將銀行信息化階段的有效安全措施進(jìn)行轉(zhuǎn)型升級(jí),切實(shí)提高信息化銀行的安全治理能力。
(二)橫向上積極發(fā)揮“三駕馬車”的協(xié)作優(yōu)勢(shì)
關(guān)鍵詞:SOA 信息安全 企業(yè)服務(wù)總線
中圖分類號(hào):TP2 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2013)01(c)-0022-02
隨著信息技術(shù)的不斷普遍,信息安全體系結(jié)構(gòu)在當(dāng)前的企業(yè)信息技術(shù)中扮演著越來越重要的角色。我們嘗試將信息安全和風(fēng)險(xiǎn)控制活動(dòng)定義到安全服務(wù)里,設(shè)計(jì)面向服務(wù)的企業(yè)信息安全體系結(jié)構(gòu)。
SOA是工業(yè)界的一個(gè)熱點(diǎn)主題。它是一個(gè)策略、實(shí)踐和框架的集合,能夠?yàn)樘峁┛缬蜃?cè)、動(dòng)態(tài)發(fā)現(xiàn)和自動(dòng)機(jī)制提供內(nèi)建的基礎(chǔ)設(shè)施。并且提供的服務(wù)封裝,通過消息協(xié)議提供可由雙方共同操作的服務(wù)。SOA也為服務(wù)質(zhì)量控制和資源管理及其它的監(jiān)控服務(wù)和異常處理機(jī)制準(zhǔn)備了基礎(chǔ)設(shè)施。作為一個(gè)agility-pursued體系結(jié)構(gòu),SOA將企業(yè)邏輯從技術(shù)實(shí)現(xiàn)分離,從而使圍繞SOA體系結(jié)構(gòu)建立的應(yīng)用能夠滿足企業(yè)和技術(shù)領(lǐng)域持續(xù)變化的需求。它也將有益于可復(fù)用性和系統(tǒng)集成,以及可擴(kuò)展性、分布性和跨域注冊(cè)。
1 問題發(fā)現(xiàn)
我們?cè)赟OA安全體系結(jié)構(gòu)上的研究發(fā)現(xiàn)了以下幾個(gè)問題。
(1)缺少企業(yè)信息安全集成體系結(jié)構(gòu),引入了不同的、相互獨(dú)立的信息安全系統(tǒng)和解決方案,這會(huì)導(dǎo)致整個(gè)系統(tǒng)的不兼容性,導(dǎo)致無法達(dá)到期望的風(fēng)險(xiǎn)管理控制。
(2)由于在信息風(fēng)險(xiǎn)管理系統(tǒng)的信息采集還處于半自動(dòng)化階段,人工的信息采集過程會(huì)導(dǎo)致人為造成的錯(cuò)誤。
(3)ISO/IEC 27002系統(tǒng)為企業(yè)信息安全管理提供非常好的方法和指南,但由于缺乏合適的工具進(jìn)行管理,無法很好解決企業(yè)信息安全。
(4)我們需要注意SOA自身的可靠性和安全性問題。
2 信息安全體系結(jié)構(gòu)的設(shè)計(jì)
根據(jù)上述問題,提出本文的基于SOA的信息安全體系的設(shè)計(jì)。
通過研究,我們提出了一個(gè)面向服務(wù)架構(gòu)的企業(yè)信息安全體系結(jié)構(gòu),它是底層基于數(shù)據(jù)倉庫/數(shù)據(jù)集市技術(shù),并以安全服務(wù)總線作為hub,為企業(yè)信息安全活動(dòng)提供集成信息安全的管理和有效的控制,使用BPM(企業(yè)過程管理)、規(guī)則引擎(Rule Engine,RE)和,企業(yè)智能(Business Intelligence,BI)技術(shù)。它有益于企業(yè)公司達(dá)到需要的信息安全管理級(jí)別。并且建立一個(gè)PDCA(Plan-Do-Check-Act)適配器,以確保信息安全管理和風(fēng)險(xiǎn)控制活動(dòng),能夠進(jìn)行自我優(yōu)化。
2.1 體系結(jié)構(gòu)的結(jié)構(gòu)
參考七層OSI設(shè)計(jì),我們?cè)O(shè)計(jì)了五層的智能企業(yè)信息安全體系結(jié)構(gòu)。自下向上為安全數(shù)據(jù)庫層、安全應(yīng)用層、安全服務(wù)總線、集成和智能層、信息安全框架。
(圖1)說明了智能企業(yè)信息安全體系結(jié)構(gòu)的結(jié)構(gòu)。
(1)安全數(shù)據(jù)層。體系結(jié)構(gòu)的底層是整個(gè)體系結(jié)構(gòu)的基礎(chǔ)層。這是因?yàn)榘踩珨?shù)據(jù)易于被其它應(yīng)用和服務(wù)使用。這一層的數(shù)據(jù)被分為兩個(gè)部分:操作數(shù)據(jù)和分析數(shù)據(jù)。
(2)安全應(yīng)用層。應(yīng)用層包括所有的信息安全系統(tǒng),如防火墻、入侵防御系統(tǒng)、反病毒系統(tǒng),以及被防護(hù)的設(shè)備,如網(wǎng)絡(luò)設(shè)備、服務(wù)器和桌面環(huán)境等。它也包括這些系統(tǒng)上的各種各樣的操作系統(tǒng)。
(3)安全服務(wù)總線。是基于SOA的信息安全體系結(jié)構(gòu)的中樞。我們?cè)谶@一層定義SOA服務(wù)總線的結(jié)構(gòu)和需要的各種各樣的信息安全服務(wù)。在面向服務(wù)的信息安全體系結(jié)構(gòu)中,我們能夠?qū)?dāng)前和未來的安全需求定義為安全服務(wù),但這些服務(wù)的實(shí)現(xiàn)是隱藏的。
(4)集成&智能層。體系結(jié)構(gòu)中數(shù)據(jù)、過程和應(yīng)用都是在這一層進(jìn)行處理實(shí)現(xiàn)的,解決一個(gè)企業(yè)各種業(yè)務(wù)問題,滿足快速變化的環(huán)境。集成層具有“應(yīng)用之間”和“過程之間”進(jìn)行通信的能力,通過適配器,它還能夠與其他企業(yè)過程、服務(wù)提供者或數(shù)據(jù)提供者通信。
(5)信息安全輔助設(shè)計(jì)。這是信息安全對(duì)外的接口,主要是由勻衡器、關(guān)鍵風(fēng)險(xiǎn)指示儀以及監(jiān)控接口。
企業(yè)智能模型提供各種各樣的服務(wù),例如報(bào)告、查詢、OLAP、數(shù)據(jù)挖掘和多維分析。規(guī)則引擎,作為工作流的一部分,可以結(jié)合到BPM模型。因?yàn)橛辛艘?guī)則引擎,我們能夠更加有效地執(zhí)行信息安全管理和風(fēng)險(xiǎn)控制。PDCA適配器是一個(gè)特殊的工具,它利用人工智能能夠幫助公司達(dá)到信息安全管理中持續(xù)提高和自我優(yōu)化的目標(biāo)。
2.2 特點(diǎn)和優(yōu)勢(shì)
本文提出的企業(yè)信息安全體系結(jié)構(gòu)具有以下特點(diǎn)。
(1)集成。它也能夠?qū)⑿畔踩芾砗惋L(fēng)險(xiǎn)控制聯(lián)合起來作為一個(gè)集成的框架。
(2)可復(fù)用。體系結(jié)構(gòu)是比較獨(dú)立的,適合于企業(yè)和小型組織。服務(wù)的封裝使得可復(fù)用,與其他服務(wù)聯(lián)合使用。
(3)面向服務(wù)的體系結(jié)構(gòu)。SOA體系機(jī)構(gòu)的采用提供了服務(wù)的獨(dú)立性、自我管理和自我彈性。
(4)集成的數(shù)據(jù)環(huán)境。集成的數(shù)據(jù)結(jié)構(gòu)使之適合于各種數(shù)據(jù)庫進(jìn)行對(duì)接。
(5)企業(yè)智能。這個(gè)體系結(jié)構(gòu)將企業(yè)智能應(yīng)用到信息安全管理,信息安全管理主要使用了數(shù)據(jù)挖掘和模式識(shí)別技術(shù)。這可以大大減少由于人工誤操作引起的損失,增強(qiáng)信息安全管理和風(fēng)險(xiǎn)控制操作。
(6)開放的體系結(jié)構(gòu)。體系結(jié)構(gòu)開放設(shè)計(jì),以滿足整個(gè)企業(yè)的安全需求;面向服務(wù)的特征使得體系結(jié)構(gòu)式開放的,允許多個(gè)接口與外部應(yīng)用通信。
3 結(jié)論
與傳統(tǒng)的信息安全體系結(jié)構(gòu)設(shè)計(jì)相比,本文提出的體系結(jié)構(gòu)設(shè)計(jì)具有幾個(gè)優(yōu)勢(shì),包括開放、集成、可復(fù)用、面向服務(wù)、集成數(shù)據(jù)平臺(tái)和商業(yè)智能。信息安全管理人員可以自由地執(zhí)行重要的任務(wù),如風(fēng)險(xiǎn)分析等。最后,這個(gè)體系結(jié)構(gòu)式我們建立集成和智能企業(yè)信息安全體系結(jié)構(gòu)的開端,以后會(huì)有更多的、更好的產(chǎn)品出現(xiàn)。
參考文獻(xiàn)
[1] 魏東,陳曉江,房鼎益,等.基于SOA體系結(jié)構(gòu)的軟件開發(fā)方法研究[J].微電子學(xué)與計(jì)算機(jī),2005,22(6):73-76.
[2] 葉宇風(fēng).基于SOA的企業(yè)應(yīng)用集成研究[J].微電子學(xué)與計(jì)算機(jī),2006,23(5):211-213.
[3] 雷冬艷.SOA環(huán)境下的數(shù)字圖書館信息安全研究[J].科教文匯,2010(33):189-190.
[4] 李益文.基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)探討[J].電腦編程技巧與維護(hù),2010(20):114-115,154.
關(guān)鍵詞:分布式;信息安全;規(guī)劃;方案
中圖分類號(hào):TP309.2文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息,市場(chǎng)研究機(jī)構(gòu)Gartner 研究報(bào)告稱,很對(duì)企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長(zhǎng),但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主,因此他們對(duì)安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對(duì)較低的水平。尤其對(duì)于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言,因?yàn)樾畔踩枨蠛筒渴鹣鄬?duì)更加復(fù)雜,投入更多,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。
本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。
2 總體規(guī)劃原則和目標(biāo)
2.1 總體規(guī)劃原則
對(duì)于分布式企業(yè)的信息安全規(guī)劃,要遵守如下原則:適度集中,控制風(fēng)險(xiǎn);突出重點(diǎn),分級(jí)保護(hù);統(tǒng)籌安排,分步實(shí)施;分級(jí)管理,責(zé)任到崗;資源優(yōu)化,注重效益。
這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。
2.2 總體規(guī)劃目標(biāo)
信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同,但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上,下面將分別對(duì)組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃,對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的,而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標(biāo)
組織建設(shè)是信息安全建設(shè)的基本保證,信息安全組織的目標(biāo)是:
1)完善和形成一個(gè)獨(dú)立的、完整的、動(dòng)態(tài)的、開放的信息安全組織架構(gòu),達(dá)到國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求;
2)打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊(duì)伍。對(duì)內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全,對(duì)外可以向社會(huì)提供高品質(zhì)的安全服務(wù);
3)建設(shè)一個(gè) “信息安全運(yùn)維中心(SOC)”,能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng),能夠?qū)ν馓峁┌踩?wù)平臺(tái)。
3.2 組織規(guī)劃實(shí)施
對(duì)于組織規(guī)劃這個(gè)方面,是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑,需要用一種由上而下的方法來實(shí)現(xiàn),其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對(duì)于分布式企業(yè)而言,需要主導(dǎo)部門從上層著手,建章立制,強(qiáng)化安全教育,加大基礎(chǔ)人力、財(cái)力和物力的投入。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標(biāo)
信息安全管理規(guī)劃的目標(biāo)是,完善和形成“七套信息安全軟措施”,具體包括:一套等級(jí)劃分指標(biāo),一套信息安全策略,一套信息安全制度,一套信息安全流程規(guī)范,一套信息安全教育培訓(xùn)體系,一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制,一套信息安全績(jī)效考核指標(biāo)。“七套信息安全軟措施”關(guān)系如圖1所示。
4.2 信息安全管理設(shè)計(jì)
基于對(duì)管理目標(biāo)的分析,信息安全管理的原則以風(fēng)險(xiǎn)管理為主,集中安全控制。管理要素由管理對(duì)象、安全威脅、脆弱性、風(fēng)險(xiǎn)、保護(hù)措施組成。
4.2.1 信息安全等級(jí)劃分指標(biāo)
信息安全等級(jí)保護(hù)是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化健康發(fā)展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護(hù)對(duì)象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對(duì)策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求,在信息安全規(guī)范方面,根據(jù)調(diào)查,建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中,安全管理規(guī)范主要針對(duì)人員、團(tuán)隊(duì)、制度和資源管理提供參照性準(zhǔn)則;信息安全技術(shù)規(guī)范主要針對(duì)安全設(shè)計(jì)、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應(yīng)遵循的信息安全程序,其目的是減少安全隱患,降低風(fēng)險(xiǎn)。
4.2.6 信息安全績(jī)效考核指標(biāo)
信息安全績(jī)效考核指標(biāo)是指針對(duì)信息安全工作的質(zhì)量和態(tài)度而給出的評(píng)價(jià)依據(jù),其目的是增強(qiáng)信息安全責(zé)任意識(shí),提高信息安全工作質(zhì)量。
4.2.7 信息安全監(jiān)管機(jī)制
信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識(shí)別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制,做到“安全第一,預(yù)防為主”。
4.2.8 信息安全教育培訓(xùn)體系
其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè),提高企業(yè)人員的信息安全意識(shí)和技能,增強(qiáng)企業(yè)信息安全能力。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標(biāo)
信息安全技術(shù)規(guī)劃目標(biāo)簡(jiǎn)言之是:給業(yè)務(wù)運(yùn)營(yíng)提供信息安全環(huán)境,為企業(yè)轉(zhuǎn)型提供契機(jī),構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下:
1)打造信息安全基礎(chǔ)環(huán)境,調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施,建立安全專網(wǎng),設(shè)置兩個(gè)中心(信息安全運(yùn)維中心、災(zāi)備中心);
2)建立一體化信息安全平臺(tái),綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)、安全服務(wù)、安全測(cè)試、安全培訓(xùn)等功能,實(shí)現(xiàn)的集中安全管理控制,快速安全事件響應(yīng),高可信的安全防護(hù),拓展企業(yè)業(yè)務(wù),開辟信息安全服務(wù)新領(lǐng)域。
5.2 信息安全運(yùn)維中心(SOC)
SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施,提供信息安全中心技術(shù)人員的辦公場(chǎng)所,提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級(jí)等業(yè)務(wù),SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外,SOC 的技術(shù)性工作還要做以下幾個(gè)方面:
1)硬件基礎(chǔ)建設(shè),主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成,實(shí)現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能;
2)軟件基礎(chǔ)建設(shè),包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系
5.3 信息安全綜合測(cè)試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深,需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng),為了保障安全,必須對(duì)這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患。基于此,綜合測(cè)試環(huán)境建設(shè)的內(nèi)容包括:安全測(cè)試網(wǎng)絡(luò);測(cè)試系統(tǒng)設(shè)備;安全測(cè)試工具;安全測(cè)試分析系統(tǒng);安全測(cè)試知識(shí)庫。
其中,安全測(cè)試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬;測(cè)試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬;安全測(cè)試工具覆蓋防范類、檢測(cè)類、評(píng)估類、應(yīng)急恢復(fù)類、管理類等,并提供使用說明、漏洞掃描、應(yīng)用安全分析;安全測(cè)試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能;安全知識(shí)庫包含以下內(nèi)容:漏洞知識(shí)庫,補(bǔ)丁信息庫,安全標(biāo)準(zhǔn)知識(shí)庫,威脅場(chǎng)景視頻庫,攻擊特征知識(shí)庫,信息安全解決案例庫,安全產(chǎn)品知識(shí)庫,安全概念和術(shù)語知識(shí)庫。
5.4 安全平臺(tái)建設(shè)規(guī)劃
參照國(guó)際上PDRR 模型和國(guó)家信息安全方面規(guī)范,建議信息安全總體框架設(shè)計(jì)如圖2所示。
主要目的,以資產(chǎn)為核心,通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù),以安全管理來約束組織的行為,以技術(shù)手段輔助安全管理。其中,資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示,核心為資產(chǎn),圍繞資產(chǎn)是組織,組織是管理,最外層是安全措施。
在平臺(tái)中集成十個(gè)安全機(jī)制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認(rèn)證授權(quán);信息安全防護(hù);信息安全監(jiān)控;信息安全測(cè)試;信息安全審核;信息安全應(yīng)急響應(yīng);信息安全教育培訓(xùn);信息安全服務(wù)。
6 信息安全服務(wù)業(yè)務(wù)規(guī)劃
6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)
信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡(jiǎn)言之是:以信息安全服務(wù)為切入點(diǎn),充分發(fā)揮企業(yè)優(yōu)勢(shì)資源,引領(lǐng)信息安全市場(chǎng),為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)。具體目標(biāo)如下:
1)推出面向客戶安全(檢查、教育、配置)產(chǎn)品;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品;4)推出面向企業(yè)安全運(yùn)維產(chǎn)品;5)推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。
6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)
服務(wù)業(yè)務(wù)規(guī)劃主要針對(duì)具體業(yè)務(wù)而言,在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例:
1)信息安全咨詢類產(chǎn)品,其服務(wù)功能主要有:信息安全風(fēng)險(xiǎn)評(píng)估;信息安全規(guī)劃設(shè)計(jì);信息安全產(chǎn)品顧問。
2)信息安全教育培訓(xùn)類產(chǎn)品,其服務(wù)功能主要有:提供信息安全操作環(huán)境;提供信息安全知識(shí)教育;提供信息安全運(yùn)維教育。
3)家庭類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:推出“家庭綠色上網(wǎng)”安全服務(wù);家庭上網(wǎng)防病毒服務(wù);家庭上網(wǎng)機(jī)器安全檢查服務(wù);家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。
4)企業(yè)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:企業(yè)安全上網(wǎng)控制服務(wù);企業(yè)安全專網(wǎng)服務(wù);安全信息通告;企業(yè)運(yùn)維服務(wù)。
5)容災(zāi)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù);面向政府信息系統(tǒng)災(zāi)備服務(wù);面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù);面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。
7 結(jié)束語
通過結(jié)合分布式企業(yè)的具體實(shí)際,按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn),提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo),按照組織、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后,依據(jù)服務(wù)規(guī)劃目標(biāo),提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。
參考文獻(xiàn):
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào),2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術(shù)安全評(píng)估的系列標(biāo)準(zhǔn)[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標(biāo)準(zhǔn)[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運(yùn)營(yíng)商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
鄧高峰:國(guó)內(nèi)信息安全產(chǎn)業(yè)經(jīng)歷了十多年的發(fā)展積累了一批中堅(jiān)力量,大多分布在信息安全產(chǎn)品提供商和服務(wù)提供商以及第三方機(jī)構(gòu),但從信息安全責(zé)任單位以及為其提供各類信息技術(shù)服務(wù)外包的更廣泛的IT行業(yè)來看,大部分行業(yè)和組織還沒有專門的信息安全崗位設(shè)置和專業(yè)的信息安全人才配置,據(jù)權(quán)威機(jī)構(gòu)估算,我國(guó)信息安全人才的需要量在50多萬。目前,信息安全專業(yè)在國(guó)內(nèi)仍是高等教育的二級(jí)學(xué)科,全國(guó)有將近80家高校設(shè)置了信息安全類本科專業(yè),通過高校培養(yǎng)的信息安全人才不到4萬人,這些青年軍無論在整體數(shù)量還是在實(shí)踐實(shí)戰(zhàn)上,距離國(guó)家健全信息安全保障體系、上海市智慧城市所要求的信息安全總體可控,還有很大缺口,亟需通過專業(yè)的職業(yè)培訓(xùn)來補(bǔ)充和提升。
我理解的信息安全是暫時(shí)的,不安全是永恒的;信息安全的系統(tǒng)建設(shè)是一個(gè)持續(xù)進(jìn)行的過程,其實(shí)就是指信息安全的“新四化”。以上海這樣信息化程度很高的城市為例,無論是政府還是企業(yè),一方面其業(yè)務(wù)對(duì)信息技術(shù)的依賴程度很大,另一方面這些改革開放的前沿也是各方關(guān)注的焦點(diǎn),信息安全和業(yè)務(wù)連續(xù)的保障需求自然就十分迫切,信息安全不應(yīng)成為信息化發(fā)展瓶頸,而應(yīng)成為趨利避害的重要手段。全面提高各單位各企業(yè)的信息安全意識(shí),有效提升信息安全專業(yè)技能水平,包括重點(diǎn)培育信息安全專業(yè)服務(wù)機(jī)構(gòu),這些工作都離不開信息安全人才培養(yǎng)和集聚,因此在各行業(yè)大力開展CISP等相關(guān)培訓(xùn)將為建設(shè)上海信息安全人才高地打下堅(jiān)實(shí)的基礎(chǔ)。
《上海信息化》:三零衛(wèi)士在CISP培訓(xùn)體系建設(shè)上,又有哪些新的創(chuàng)新與思考?
鄧高峰:CISP培訓(xùn)一直致力于培養(yǎng)信息安全的組織者、推動(dòng)者和管理者。信息安全體系建設(shè),不只是用信息安全產(chǎn)品搭建一個(gè)堡壘,更重要的是組織自身需建立一套完善的信息安全制度,只有硬件(技術(shù))和軟件(人才)相互結(jié)合,才能保障信息的機(jī)密性、完整性和可用性。對(duì)于公司的培訓(xùn)來說,則是將安全知識(shí)體系和實(shí)際工作中的應(yīng)用一起納入了信息安全體系建設(shè)。組織面臨的安全問題多種多樣,除了常見的系統(tǒng)漏洞、黑客入侵、掛馬和釣魚網(wǎng)站、木馬下載器等一些技術(shù)性威脅外,一些安全意識(shí)薄弱同樣也會(huì)產(chǎn)生安全問題,比如:沒有專業(yè)的安全培訓(xùn)嚴(yán)重缺乏安全意識(shí);不知道組織存在哪些安全隱患;出現(xiàn)突發(fā)安全事故無法第一時(shí)間了解等等。對(duì)于那些沒有經(jīng)過專門的安全培訓(xùn)、沒有配備專業(yè)的技術(shù)人才、沒有設(shè)定合理安全流程的企業(yè)來講,只靠采購安裝軟、硬件安全產(chǎn)品來避免威脅或在遇到威脅時(shí)應(yīng)急處理,是非常不現(xiàn)實(shí)的。
對(duì)此,CISP全面覆蓋全球信息安全知識(shí),充分貼合中國(guó)信息安全國(guó)情,具有非常系統(tǒng)化的知識(shí)體系,使用組件模塊化的結(jié)構(gòu),包括知識(shí)類、知識(shí)體、知識(shí)域和知識(shí)子域四個(gè)層次,更注重全面性、前沿性和實(shí)用性。
《上海信息化》:國(guó)際上也有CISSP等信息安全培訓(xùn),與之相比CISP有什么優(yōu)勢(shì)或特點(diǎn)?
鄧高峰:國(guó)際上除了(ISC)2的CISSP(信息系統(tǒng)安全專家)培訓(xùn)之外,還有ISACA的CISA(注冊(cè)信息安全審計(jì)師)、ISO27001的主任審核員等與信息安全相關(guān)的人員培訓(xùn),但分別側(cè)重技術(shù)、審計(jì)和管理體系,參與培訓(xùn)的人員也未必是信息安全從業(yè)人員。國(guó)內(nèi)有公安部的信息安全師、工信部網(wǎng)絡(luò)信息安全師、國(guó)家信息安全認(rèn)證中心的CISAW(信息安全保障從業(yè)人員)等培訓(xùn),還有不少社會(huì)化IT培訓(xùn)中也有所謂的信息安全模塊,但是無論從專業(yè)人員定位、培訓(xùn)體系構(gòu)成還是從與國(guó)家信息安全保障工作的關(guān)聯(lián)度來看,均遜色于CISP。
CISP最初是瞄準(zhǔn)CISSP所設(shè)計(jì)的高端專業(yè)培訓(xùn),十年來結(jié)合國(guó)家信息安全保障的需求,不斷得到更新和充實(shí),現(xiàn)在已形成由CISM(注冊(cè)信息安全人員)、CISO(注冊(cè)信息安全管理人員)、CISE(注冊(cè)信息安全工程師)、CISP-AUDIT(注冊(cè)信息安全審計(jì)師)、CISP-DRP(注冊(cè)信息安全災(zāi)難恢復(fù)工程師)、CISD(注冊(cè)信息安全專業(yè)開發(fā)人員)所構(gòu)成的系列培訓(xùn)和人員認(rèn)證。所以說,如果希望在信息安全行業(yè)長(zhǎng)期發(fā)展,就目前而言,CISP專業(yè)培訓(xùn)具有不可替代性。
《上海信息化》:今年上海針對(duì)信息安全教育培訓(xùn)有什么具體的政策和要求?
鄧高峰:“發(fā)展以安全為重,安全以人才為本”是CISP培訓(xùn)的宗旨,信息化的成效很大程度上取決于信息安全保障水平,而信息安全保障的關(guān)鍵在于人,CISP培訓(xùn)的初衷就是在最大范圍建立大家的信息安全意識(shí),并針對(duì)信息安全相關(guān)人員普及信息安全知識(shí),掌握必要的信息安全技能。就目前來看,CISP不僅是申請(qǐng)信息安全服務(wù)資質(zhì)的必備條件,并在越來越多的行業(yè)成為信息安全崗位的“上崗證”,上海市也開始要求IT服務(wù)外包企業(yè)將信息安全專業(yè)人員納入技術(shù)團(tuán)隊(duì)標(biāo)準(zhǔn)配置。
火花1 : 安全產(chǎn)品走向融合
在網(wǎng)絡(luò)通信界的巨頭們熱烈討論網(wǎng)絡(luò)融合美妙前景的同時(shí),網(wǎng)絡(luò)安全界已經(jīng)用行動(dòng)去品嘗各種安全技術(shù)融合的滋味。但如果我們比較一下兩種融合趨勢(shì)就會(huì)發(fā)現(xiàn)他們之間有很大差異。
網(wǎng)絡(luò)通信的融合的源動(dòng)力來自新技術(shù)的創(chuàng)新,而這種融合的方向是多種業(yè)務(wù)在一個(gè)平臺(tái)上的承載。而信息安全界的融合源動(dòng)力來自網(wǎng)絡(luò)攻擊手段的融合。而融合的方向是以安全技術(shù)的融合對(duì)抗攻擊手段的融合。可以說信息安全界的融合是讓愈演愈烈的網(wǎng)絡(luò)攻擊逼出來的雖然這聽起來有點(diǎn)以彼之道還彼之身的味道,但事實(shí)確實(shí)如此。以網(wǎng)絡(luò)病毒為例從去年的尼姆達(dá)到今年的振蕩波,沖擊波,還有最近的QQ尾巴,我們可以看出在現(xiàn)在的網(wǎng)絡(luò)攻擊手段中,既包括病毒攻擊,也包括隱通道、拒絕服務(wù)攻擊,還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊模式。雙拳難敵四手,眾多攻擊手段讓傳統(tǒng)上各自為戰(zhàn)的安全產(chǎn)品破綻百出。
IDS不是用來對(duì)付網(wǎng)絡(luò)蠕蟲的,防病毒軟件不會(huì)理睬網(wǎng)絡(luò)上拒絕服務(wù)攻擊,防火墻對(duì)病毒攻擊和隱藏在合法服務(wù)下木馬后門鞭長(zhǎng)莫及。用戶不是技術(shù)專家,當(dāng)安全問題出現(xiàn)時(shí),他們不會(huì)追究到底是擺在這邊的防火墻還是放在那邊的IDS誰失職,他們會(huì)責(zé)問安全提供商:我掏了一大堆錢,為什么我的網(wǎng)絡(luò)老出問題,你們安全產(chǎn)品到底靈不靈?
入侵檢測(cè)技術(shù)側(cè)重監(jiān)測(cè)、監(jiān)控和預(yù)警領(lǐng)域,而防火墻和IPS能在訪問控制領(lǐng)域發(fā)揮長(zhǎng)處,防病毒軟件,安全認(rèn)證分屬于不同的安全領(lǐng)域的安全產(chǎn)品,可惜用戶并不是討論某一種安全技術(shù)乃至某一個(gè)安全產(chǎn)品與其他技術(shù)和產(chǎn)品哪個(gè)更安全,其實(shí)不如探討如何將各種安全產(chǎn)品整合成一個(gè)安全體系讓這些安全產(chǎn)品有效地協(xié)同工作更為務(wù)實(shí)。
我們可以看到現(xiàn)在各大安全產(chǎn)品制造商的產(chǎn)品線已經(jīng)在嘗試將不同的技術(shù)融合在一起:以側(cè)重于檢測(cè)的入侵檢測(cè)技術(shù)和側(cè)重于訪問控制的防火墻技術(shù)兩種技術(shù)協(xié)同和融合起來一直是信息安全研究的前沿課題。而防火墻和防病毒的融合已經(jīng)在防毒墻這一產(chǎn)品中得到體現(xiàn)。所以只有將不同安全側(cè)重點(diǎn)的安全技術(shù)有效的融合起來,安全產(chǎn)品的性價(jià)比才能更高,才能在日益激烈的信息安全市場(chǎng)上有優(yōu)異的表現(xiàn)。
一個(gè)木桶能裝多少水不但要看木桶最短的那塊模板的長(zhǎng)度,也要看木板之間的緊密程度。這個(gè)模型應(yīng)用在信息安全領(lǐng)域就是:一個(gè)企業(yè)網(wǎng)絡(luò)的信息安全不但依賴單個(gè)安全產(chǎn)品自身的性能也依賴于各個(gè)安全產(chǎn)品之間的協(xié)作。眾多安全產(chǎn)品之間的關(guān)系不是簡(jiǎn)單堆砌,而是相互協(xié)作,將不同安全防范領(lǐng)域的安全產(chǎn)品融合成一個(gè)無縫的安全體系。
來自天融信的余海波介紹說:這種融合趨勢(shì)不僅僅是安全技術(shù),也席卷了安全體系和架構(gòu)。網(wǎng)絡(luò)安全產(chǎn)品已不能再僅僅是個(gè)安全設(shè)備,還必須是個(gè)高性能的網(wǎng)絡(luò)設(shè)備。
思科自防御網(wǎng)絡(luò)的體系框架把安全的基因融合到路由器、交換機(jī)、終端、防火墻+VPN+IDS產(chǎn)品中,并采用了集成化管理軟件。從終端方面的網(wǎng)絡(luò)準(zhǔn)備控制(NAC),到交換機(jī)上的防火墻、入侵檢測(cè)、流量分析與監(jiān)控、內(nèi)容過濾形成全面的網(wǎng)絡(luò)安全防御體系。這個(gè)安全防御體系代表了安全和網(wǎng)絡(luò)融合成一體的整體安全解決方案也成為網(wǎng)絡(luò)安全領(lǐng)域的共識(shí)和發(fā)展方向。
火花2: 安全廠商之間不僅僅是競(jìng)爭(zhēng)關(guān)系
說到競(jìng)爭(zhēng),在信息安全市場(chǎng)上,安全廠商們之間不僅僅是激烈的競(jìng)爭(zhēng),他們還有合作。合作不僅僅是不同領(lǐng)域的安全產(chǎn)品之間的必須有良好的兼容性,這個(gè)技術(shù)問題對(duì)于前來座談的廠商不是什么大問題,真正的問題來自于廠商之間在市場(chǎng)競(jìng)爭(zhēng)中的合作。來自瑞星公司的市場(chǎng)部副總經(jīng)理馬剛談到了價(jià)格競(jìng)爭(zhēng),講了一個(gè)真實(shí)案例,在一次采購招標(biāo)中,一家小的安全產(chǎn)品服務(wù)商為了能拿到一個(gè)單子,用低于盜版的價(jià)格硬是將瑞星還有另外兩家國(guó)內(nèi)知名安全廠商擠出局,馬剛說:“當(dāng)我聽到他的報(bào)價(jià),一個(gè)單機(jī)版5元!那就沒什么可說的了。5元一個(gè)軟件,別說是軟件開發(fā)成本,服務(wù)提供成本,就是我的服務(wù)人員來你這里提供及時(shí)的上門服務(wù)的車票錢都不夠!”
這種嚴(yán)重的惡意壓低產(chǎn)品價(jià)格只能是阻礙,而不是促進(jìn)信息安全業(yè)的健康發(fā)展。非理智的低價(jià)競(jìng)爭(zhēng)恐怕受損失不僅是廠商自己,用戶最終也會(huì)為這個(gè)非理智低價(jià)承擔(dān)相應(yīng)的損失。而剛才那個(gè)案例的用戶就是折騰了兩個(gè)星期后又把上面3家安全產(chǎn)品提供商請(qǐng)回來重新競(jìng)標(biāo),原因當(dāng)然也勿須多說,從這個(gè)案例我們可以看出信息安全這個(gè)產(chǎn)業(yè)需要每一個(gè)參與游戲者都自覺遵守一定的游戲規(guī)則,而其中一條重要的規(guī)則就是不參與低價(jià)競(jìng)爭(zhēng)。需要指出的是現(xiàn)階段的信息安全產(chǎn)業(yè)環(huán)境和網(wǎng)絡(luò)通信界的產(chǎn)業(yè)環(huán)境有一個(gè)重要的不同:那就是競(jìng)爭(zhēng)過度。網(wǎng)絡(luò)通信界天天有人喊打破壟斷,鼓勵(lì)競(jìng)爭(zhēng),只有競(jìng)爭(zhēng)可以讓壟斷者出讓一部分剩余讓消費(fèi)者享受,可是在信息安全產(chǎn)業(yè)內(nèi)是恰恰相反,競(jìng)爭(zhēng)的不止是有點(diǎn)過頭,而是千軍萬馬過獨(dú)木橋,十幾家廠商為一個(gè)單子互開低價(jià),而且是一邊罵別人瞎搞拆臺(tái),一邊給用戶開出0折扣的支票,讓客戶自己去填價(jià)格!這種惡性競(jìng)爭(zhēng)不但影響安全制造商,安全服務(wù)提供商自己的健康成長(zhǎng),而且超低價(jià)產(chǎn)品和超廉價(jià)服務(wù)只是一個(gè)短期行為,長(zhǎng)期下去會(huì)滋生劣質(zhì)產(chǎn)品、劣質(zhì)服務(wù),這反而不利于信息安全市場(chǎng)的成長(zhǎng)。
所以安全廠商之間不僅僅是刺刀見紅的競(jìng)爭(zhēng)關(guān)系,而且每一個(gè)想在信息安全產(chǎn)業(yè)做久做大的企業(yè)都必須建立一種戰(zhàn)略合作,通過這種合作去建立一種行業(yè)秩序,這種行業(yè)秩序同國(guó)家的宏觀產(chǎn)業(yè)政策互相呼應(yīng)才能營(yíng)造出一種良好的市場(chǎng)環(huán)境,促進(jìn)信息安全市場(chǎng)健康發(fā)展。顯然信息安全市場(chǎng)的健康發(fā)展的受益者是信息安全市場(chǎng)的每一個(gè)參與者,不僅是產(chǎn)品和服務(wù)的提供者,還有產(chǎn)品和服務(wù)的接受者。我想信息安全界自律公約的出臺(tái)就說明這種合作的必要性已經(jīng)被各大信息安全相關(guān)廠商意識(shí)到了。
火花3 :信息安全服務(wù)-產(chǎn)業(yè)的盲點(diǎn)
啟明星辰的楊繼生分析當(dāng)前信息安全服務(wù)市場(chǎng)時(shí)說道:現(xiàn)在的信息安全服務(wù)基本上分為安全評(píng)估服務(wù),安全培訓(xùn),安全外包、安全集成、和應(yīng)急相應(yīng)。現(xiàn)在能看到利潤(rùn)的主要是安全評(píng)估和安全集成。而安全培訓(xùn)和應(yīng)急相應(yīng)多是對(duì)用戶的售后服務(wù),而在國(guó)外開始流行的安全外包服務(wù)在國(guó)內(nèi)尚沒有成氣候。信息安全服務(wù)對(duì)安全設(shè)備提供商意味著什么?冠群金辰的黃遜認(rèn)為服務(wù)就是贏得客戶對(duì)產(chǎn)品以及產(chǎn)品背后的廠商信賴和認(rèn)可的重要手段,良好的服務(wù)積累起來的口碑是冠群金辰取得用戶信任的干將莫邪(注:冠群金辰曾以七種上古神兵做為自己七款產(chǎn)品的代言人)!而東軟市場(chǎng)的路娜則講述了東軟在完成了一次及時(shí)高效應(yīng)急服務(wù)后,贏得大客戶的信任,得到一筆不菲訂單的成功案例。也許是受限于座談會(huì)的時(shí)間短暫,關(guān)于信息安全服務(wù)的話題沒有深入的進(jìn)行下去。
還有什么沒有談到的嗎?
在我看來,良好的服務(wù)給安全產(chǎn)品提供商帶來不僅僅是口碑、商機(jī)。信息安全服務(wù)對(duì)于信息安全提供商還有兩個(gè)戰(zhàn)略意義。
1 信息安全市場(chǎng)的入場(chǎng)劵
讓我們先從兩個(gè)統(tǒng)計(jì)數(shù)據(jù)來感受熱鬧的信息安全市場(chǎng):
數(shù)據(jù)1:2007年全球安全市場(chǎng)的總額將從2002年的639億美元增長(zhǎng)為1,188億美元,其中硬件、軟件和服務(wù)的市場(chǎng)占有率將分別為32.4%、34%和33.6%,其市場(chǎng)規(guī)模平均增長(zhǎng)率分別是11.8%、12.2%和15.8%。按照IDC對(duì)安全的新定義,安全領(lǐng)域可細(xì)分為物理安全、信息安全和業(yè)務(wù)連續(xù)性安全,信息安全是安全市場(chǎng)增長(zhǎng)最多的領(lǐng)域。IDC預(yù)測(cè),亞太區(qū)信息安全的市場(chǎng)規(guī)模將從將從2003年的37億美元增長(zhǎng)為2007年的83.4億美元,而中國(guó)信息安全市場(chǎng)則從2億美元增長(zhǎng)為6.7億美元,年均增長(zhǎng)率為34%,遠(yuǎn)遠(yuǎn)超過整個(gè)亞太市場(chǎng)22.9%的年均增長(zhǎng)率。 (數(shù)據(jù)來源:IDC(國(guó)際數(shù)據(jù)公司)2004年亞太安全論壇)
數(shù)據(jù)2:2002年底,我國(guó)國(guó)內(nèi)與信息安全相關(guān)的注冊(cè)公司已達(dá)1300多家,其中具有技術(shù)研發(fā)能力的350多家,有自主產(chǎn)品的190家,具有成熟產(chǎn)品的80家;已領(lǐng)取了安全產(chǎn)品銷售許可證的產(chǎn)品有近500種,通過信息安全測(cè)評(píng)認(rèn)證的產(chǎn)品有140多個(gè)。 (數(shù)據(jù)來源:中國(guó)信息產(chǎn)業(yè)商會(huì)信息安全產(chǎn)業(yè)分會(huì))
兩個(gè)統(tǒng)計(jì)數(shù)據(jù)給我們這樣一個(gè)問題:信息安全市場(chǎng)容的下1300家企業(yè)嗎?
答案是:過去容不下,將來更容不下。信息安全市場(chǎng)的高速發(fā)展的另一面就是高淘汰率。顯而易見,信息安全市場(chǎng)越成熟,市場(chǎng)的資源配置會(huì)就越來越集中到更少而不是更多的公司手中,這是資本的規(guī)律。問題的關(guān)鍵是會(huì)淘汰什么樣的企業(yè)?第一感覺告訴我們是技術(shù),只有擁有核心技術(shù)的信息安全公司才會(huì)在激烈的市場(chǎng)競(jìng)爭(zhēng)中幸存,但是如果你站在用戶的角度上就會(huì)發(fā)現(xiàn)并不完全是這樣。用戶真正關(guān)心的不是你賣給他的硬件設(shè)備是基于NP還是ASIC的硬件平臺(tái),是千兆設(shè)備還是百兆設(shè)備,他關(guān)心的是你的設(shè)備能否既能保證他內(nèi)部網(wǎng)絡(luò)的安全的同時(shí),又能兼顧正常的網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能。他們最終關(guān)心不是你的防火墻是采用狀態(tài)檢測(cè)機(jī)制還是深度檢測(cè)機(jī)制,你的IDS是基于主機(jī)的還是基于網(wǎng)絡(luò)的,而是用了你的設(shè)備后,他的機(jī)密信息是否真正安全了,他們的內(nèi)網(wǎng)安全在你的設(shè)備和你的安全方案下得到了真正的安全。簡(jiǎn)而言之,核心技術(shù)對(duì)用戶應(yīng)該是透明的,用戶看的到的是廠家的服務(wù)。廠家所能提供服務(wù)水平是這個(gè)廠家的技術(shù)實(shí)力、資本實(shí)力、管理實(shí)力、市場(chǎng)運(yùn)作實(shí)力的綜合體現(xiàn)。限于條件,筆者只能在這里提出一個(gè)假設(shè):如果能將這四種實(shí)力進(jìn)行計(jì)量形成一個(gè)加權(quán)綜合服務(wù)指數(shù),那么這個(gè)綜合服務(wù)指數(shù)的排名和廠商在市場(chǎng)的份額應(yīng)該是直接對(duì)應(yīng)的。
這種信息安全廠商的服務(wù)隨著信息安全市場(chǎng)的發(fā)展將積累成一種資格,而這種資格一面淘汰那些不能提供長(zhǎng)期優(yōu)質(zhì)服務(wù)的信息安全廠商,一面也逐漸成為信息安全產(chǎn)業(yè)后來者的入場(chǎng)劵。現(xiàn)在的信息安全廠商要想利用先發(fā)優(yōu)勢(shì)享用更多的信息安全市場(chǎng)高速發(fā)展帶來的豐厚利潤(rùn),就必須做好他們的服務(wù),他們的服務(wù)越好,后來者就越不容易進(jìn)入這個(gè)產(chǎn)業(yè)。
2 未來安全產(chǎn)品制造商的避風(fēng)港
常言道:居安思危。現(xiàn)在信息安全產(chǎn)品提供商現(xiàn)在注意到的是不規(guī)范的市場(chǎng)秩序和高速發(fā)展的市場(chǎng),不知他們考慮過螳螂捕蟬,黃雀在后。或許在他們相互為爭(zhēng)奪客戶拼個(gè)你死我活時(shí),像CISCO這樣的網(wǎng)絡(luò)設(shè)備提供商和微軟這樣的軟件商正在暗自打算如何搶走他們的奶酪,他們苦心經(jīng)營(yíng)的技術(shù)優(yōu)勢(shì)恐怕對(duì)于這些巨頭來說只是薄薄的一層窗紗。顯而易見CICSO和華為這樣的網(wǎng)絡(luò)設(shè)備提供商進(jìn)入防火墻、IDS的市場(chǎng)難度,遠(yuǎn)小于防火墻制造商進(jìn)入交換路由市場(chǎng)的難度,微軟做防毒軟件更是有得天獨(dú)到的優(yōu)勢(shì)。
如果換一個(gè)角度看CISCO的自防御體系和華為的“i3安全”,就會(huì)發(fā)現(xiàn)CICSO和華為這樣的網(wǎng)絡(luò)設(shè)備提供商,正在考慮利用其完善的網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)品線,把相關(guān)的安全產(chǎn)品融合到網(wǎng)絡(luò)構(gòu)架中。對(duì)用戶來說絕對(duì)是一個(gè)好事,因?yàn)樗麄儼鸭夹g(shù)層次上的信息安全做的可謂滴水不漏。可是對(duì)于現(xiàn)在得信息安全廠商來說可是一個(gè)嚴(yán)峻得考驗(yàn)。當(dāng)網(wǎng)絡(luò)設(shè)備提供商用自己全面的生產(chǎn)線為用戶建立起完善的安全體系的時(shí)候,真不知道,防火墻也好,IDS也罷,他們能賣出多少。我是在危言聳聽嗎?但愿是。
至于微軟捆綁銷售防毒軟件我不想多說,免的給他造勢(shì),反正我知道網(wǎng)景當(dāng)年可是高速成長(zhǎng)的明星公司......
我猜想現(xiàn)在這些巨頭們光動(dòng)口,不動(dòng)手的根本原因是現(xiàn)在的信息安全市場(chǎng)還不夠肥,他們進(jìn)入的時(shí)機(jī)還沒有成熟,他們一面在炒概念,一面在不遠(yuǎn)處的地方觀望著,對(duì)他們來說這是收益和成本的權(quán)衡,一旦他們信息安全市場(chǎng)規(guī)模發(fā)展到他們的收益超過他們的成本,他們可以在很短的時(shí)間內(nèi)殺入這個(gè)狹窄的市場(chǎng)。
信息系統(tǒng)安全體系的研制和建設(shè)是一個(gè)非常復(fù)雜的過程,如果沒有與之相配套的安全標(biāo)準(zhǔn)做支撐,就不能實(shí)現(xiàn)系統(tǒng)的安全可信,只有從系統(tǒng)的視角全面考慮信息系統(tǒng)的安全性,構(gòu)建起合理的信息安全標(biāo)準(zhǔn)體系,才能保證各信息系統(tǒng)和平臺(tái)的安全可控和高效運(yùn)行,也只有建立起涵蓋系統(tǒng)安全結(jié)構(gòu)的完整的技術(shù)標(biāo)準(zhǔn)體系,才能促進(jìn)安全組件之間的相互協(xié)作和關(guān)聯(lián)操作,實(shí)現(xiàn)系統(tǒng)安全性的最大化。
1信息安全標(biāo)準(zhǔn)體系分類現(xiàn)狀
1.1信息安全國(guó)際標(biāo)準(zhǔn)現(xiàn)狀及分類體系
1.1.1美國(guó)國(guó)防部信息安全標(biāo)準(zhǔn)體系
美國(guó)國(guó)防部(DoD)將美軍信息安全標(biāo)準(zhǔn)按安全部件與安全功能相結(jié)合的方法進(jìn)行分類,其標(biāo)準(zhǔn)體系見圖1,其中安全部件以信息流為主線貫穿始終,分為信息處理安全標(biāo)準(zhǔn)、信息傳輸安全標(biāo)準(zhǔn)、信息理解表示安全標(biāo)準(zhǔn)、安全管理標(biāo)準(zhǔn)和安全環(huán)境標(biāo)準(zhǔn)五類。安全功能從信息安全的基本要素(機(jī)密性、完整性、可用性、可控性、抗抵賴性)來進(jìn)行劃分,分為鑒別安全服務(wù)標(biāo)準(zhǔn)、訪問控制安全服務(wù)標(biāo)準(zhǔn)、保密性安全服務(wù)標(biāo)準(zhǔn)、完整性安全服務(wù)標(biāo)準(zhǔn)、抗抵賴性安全服務(wù)標(biāo)準(zhǔn)和可用性安全服務(wù)標(biāo)準(zhǔn)六類。DoD的信息安全標(biāo)準(zhǔn)體系,雖然覆蓋全面,但安全部件和安全功能之間的標(biāo)準(zhǔn)交叉重復(fù)比較多,層次不夠清晰。
1.1.2聯(lián)合技術(shù)參考模型(JTA 6.0)
JTA 6.0中的信息安全標(biāo)準(zhǔn)體系為實(shí)現(xiàn)對(duì)國(guó)防部信息系統(tǒng)的安全防護(hù)提供了支撐,包括(本地)計(jì)算環(huán)境、飛地邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施和安全評(píng)估五類標(biāo)準(zhǔn)。這種分類比較合理,但分類下面對(duì)應(yīng)的標(biāo)準(zhǔn)大部分是國(guó)際標(biāo)準(zhǔn)和美國(guó)國(guó)家標(biāo)準(zhǔn),因此,應(yīng)在借鑒該分類的基礎(chǔ)上,針對(duì)目前我國(guó)已有的國(guó)家標(biāo)準(zhǔn),建立起合理的標(biāo)準(zhǔn)體系。
ISO信息安全工作組分類如圖3所示。目前,ISO制定的信息安全標(biāo)準(zhǔn)按照工作組的分類分為信息安全管理體系(ISMS)標(biāo)準(zhǔn)、密碼和安全機(jī)制、安全評(píng)價(jià)準(zhǔn)則、安全控制與服務(wù)和身份管理與隱私技術(shù)五類。該分類方法比較粗糙,對(duì)于建立安全運(yùn)行的信息系統(tǒng),針對(duì)性不太強(qiáng)。
1.1.4國(guó)際電信聯(lián)盟(ITU-T)標(biāo)準(zhǔn)
ITU-T SG17組負(fù)責(zé)研究網(wǎng)絡(luò)安全標(biāo)準(zhǔn),包括通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測(cè)定、安全通信服務(wù),如圖4所示該分類方法對(duì)信息安全技術(shù)分類比較粗糙,信息安全技術(shù)也只側(cè)重于通信安全。
ITU-T頒布的比較有影響力的安全標(biāo)準(zhǔn)主要有:消息處理系統(tǒng)(X.400系列)、目錄系統(tǒng)(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509標(biāo)準(zhǔn)是PKI的重要基礎(chǔ)標(biāo)準(zhǔn),X.805是端到端通信安全的重要標(biāo)準(zhǔn)。
目前,ITU-T在安全標(biāo)準(zhǔn)化方面主要關(guān)注NGN安全、IPTV安全、身份管理(IDM)、數(shù)字版權(quán)管理(DRM)、生物認(rèn)證、反垃圾信息等熱點(diǎn)問題。
1.2國(guó)家信息安全標(biāo)準(zhǔn)體系
我國(guó)國(guó)家信息安全標(biāo)準(zhǔn)自1995年開始制定,至2002年共制定標(biāo)準(zhǔn)19項(xiàng),全部由國(guó)際標(biāo)準(zhǔn)直接轉(zhuǎn)化而來,主要是有關(guān)密碼和評(píng)估的標(biāo)準(zhǔn)。在這19項(xiàng)中,2004年后已有12項(xiàng)進(jìn)行了修訂。自全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2004年成立以來至目前我國(guó)實(shí)際現(xiàn)存正式信息安全標(biāo)準(zhǔn)87項(xiàng),這些標(biāo)準(zhǔn)中,既包括技術(shù)標(biāo)準(zhǔn),如產(chǎn)品和系統(tǒng)(網(wǎng)絡(luò))標(biāo)準(zhǔn),亦包括管理標(biāo)準(zhǔn),如風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)等,覆蓋了當(dāng)前信息安全主要需求領(lǐng)域。
由此可見,目前我國(guó)信息安全標(biāo)準(zhǔn)的制定工作已經(jīng)取得了長(zhǎng)足的進(jìn)展,標(biāo)準(zhǔn)的數(shù)量和質(zhì)量都有了很大的提升,本著“科學(xué)、合理、系統(tǒng)、適用”的原則,在充分借鑒和吸收國(guó)際先進(jìn)信息安全技術(shù)標(biāo)準(zhǔn)化成果和認(rèn)真梳理我國(guó)信息安全標(biāo)準(zhǔn)的基礎(chǔ)上,經(jīng)過全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)各工作組的認(rèn)真研究,初步形成了我國(guó)信息安全標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)體系分類相對(duì)合理、全面,涵蓋了體系結(jié)構(gòu)、安全保密技術(shù)、安全管理和安全測(cè)評(píng)等方面的標(biāo)準(zhǔn),但龐大繁雜的標(biāo)準(zhǔn)體系常常讓開發(fā)人員無所適從,無法選取需要遵循的標(biāo)準(zhǔn)。因此,針對(duì)信息安全系統(tǒng)的開發(fā)工作要進(jìn)一步精簡(jiǎn)標(biāo)準(zhǔn)體系,突出重點(diǎn),尤其是影響系統(tǒng)集成方面的安全接口標(biāo)準(zhǔn),進(jìn)而增強(qiáng)各個(gè)安全組件之間的互操作和安全技術(shù)間的協(xié)作,提升整個(gè)信息系統(tǒng)的安全防護(hù)能力。
支撐性基礎(chǔ)設(shè)施主要涉及到實(shí)現(xiàn)通信與網(wǎng)絡(luò)、應(yīng)用環(huán)境和數(shù)據(jù)安全所應(yīng)用的支撐性技術(shù),包括認(rèn)證、授權(quán)、訪問控制、公鑰基礎(chǔ)設(shè)施(PKI)和密碼管理基礎(chǔ)設(shè)施(KMI)。
通信與網(wǎng)絡(luò)安全主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋C芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測(cè)的手段、網(wǎng)絡(luò)設(shè)施防病毒等。
應(yīng)用環(huán)境安全主要包括終端安全和應(yīng)用系統(tǒng)安全。其中:
終端安全主要包括計(jì)算機(jī)和服務(wù)器的安全。其中服務(wù)器可以歸結(jié)為廣義上的終端,防火墻、IDS、服務(wù)器存儲(chǔ)備份等技術(shù)可以為服務(wù)器提供安全服務(wù)。
應(yīng)用系統(tǒng)的安全問題主要來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)和數(shù)據(jù)庫的安全,操作系統(tǒng)安全主要表現(xiàn)在三個(gè)方面:(1)操作系統(tǒng)本身的缺陷帶來的不安全因素,主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等;(2)對(duì)操作系統(tǒng)的安全配置問題;(3)病毒對(duì)操作系統(tǒng)形成的威脅。數(shù)據(jù)庫系統(tǒng)的威脅主要來自:非法訪問數(shù)據(jù)庫信息;惡意破壞數(shù)據(jù)庫或未經(jīng)授權(quán)非法修改數(shù)據(jù)庫數(shù)據(jù);用戶通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)庫訪問時(shí)受到各種攻擊,如搭線竊聽等。
系統(tǒng)中的數(shù)據(jù)是系統(tǒng)運(yùn)行的核心,數(shù)據(jù)的安全性保障關(guān)系到整個(gè)系統(tǒng)能否正常運(yùn)行和服務(wù)。數(shù)據(jù)安全通過數(shù)據(jù)容災(zāi)備份技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和加密技術(shù)保障數(shù)據(jù)的完整性、不受損壞、不被竊取。數(shù)據(jù)容災(zāi)備份主要通過對(duì)系統(tǒng)、數(shù)據(jù)、文件等進(jìn)行快速、完整備份,保證數(shù)據(jù)的安全性,并支持快速恢復(fù)的機(jī)制。網(wǎng)絡(luò)隔離技術(shù)主要通過隔離網(wǎng)絡(luò)攻擊來確保網(wǎng)間數(shù)據(jù)的安全交換。數(shù)據(jù)加密主要通過鏈路加密和節(jié)點(diǎn)加密來確保數(shù)據(jù)不被截獲。
安全運(yùn)維管理是在企業(yè)進(jìn)行了一定的安全系統(tǒng)建設(shè)之后的工作,其目的是保證所應(yīng)有的安全產(chǎn)品和技術(shù)能夠真正、充分發(fā)揮其預(yù)期應(yīng)有的效果和效率。安全運(yùn)維管理包括安全設(shè)備的策略配置、安全測(cè)評(píng)、安全監(jiān)控和審計(jì)、安全應(yīng)急響應(yīng)等方面的技術(shù),主要完成安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控和安全問題的處理等系統(tǒng)安全保障工作。
3信息安全標(biāo)準(zhǔn)分類體系
信息安全技術(shù)參考模型是建立信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)和前提,只有在信息安全技術(shù)發(fā)展趨勢(shì)的基礎(chǔ)上建立起覆蓋全面,分類合理的標(biāo)準(zhǔn)體系,才能科學(xué)地預(yù)見需要制/修訂的標(biāo)準(zhǔn),進(jìn)一步明確信息安全標(biāo)準(zhǔn)化的研究方向,更好地支撐信息安全系統(tǒng)的開發(fā)和集成,確
保系統(tǒng)內(nèi)部和系統(tǒng)之間形成安全可信的互連互通互操作。在前面提出的技術(shù)參考模型的基礎(chǔ)上,進(jìn)一步對(duì)信息安全標(biāo)準(zhǔn)體系進(jìn)行了劃分。 應(yīng)用環(huán)境安全主要包括終端安全和應(yīng)用系統(tǒng)安全。其中:
終端安全主要包括計(jì)算機(jī)和服務(wù)器的安全。其中服務(wù)器可以歸結(jié)為廣義上的終端,防火墻、IDS、服務(wù)器存儲(chǔ)備份等技術(shù)可以為服務(wù)器提供安全服務(wù)。
應(yīng)用系統(tǒng)的安全問題主要來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)和數(shù)據(jù)庫的安全,操作系統(tǒng)安全主要表現(xiàn)在三個(gè)方面:(1)操作系統(tǒng)本身的缺陷帶來的不安全因素,主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等;(2)對(duì)操作系統(tǒng)的安全配置問題;(3)病毒對(duì)操作系統(tǒng)形成的威脅。數(shù)據(jù)庫系統(tǒng)的威脅主要來自:非法訪問數(shù)據(jù)庫信息;惡意破壞數(shù)據(jù)庫或未經(jīng)授權(quán)非法修改數(shù)據(jù)庫數(shù)據(jù);用戶通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)庫訪問時(shí)受到各種攻擊,如搭線竊聽等。
系統(tǒng)中的數(shù)據(jù)是系統(tǒng)運(yùn)行的核心,數(shù)據(jù)的安全性保障關(guān)系到整個(gè)系統(tǒng)能否正常運(yùn)行和服務(wù)。數(shù)據(jù)安全通過數(shù)據(jù)容災(zāi)備份技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和加密技術(shù)保障數(shù)據(jù)的完整性、不受損壞、不被竊取。數(shù)據(jù)容災(zāi)備份主要通過對(duì)系統(tǒng)、數(shù)據(jù)、文件等進(jìn)行快速、完整備份,保證數(shù)據(jù)的安全性,并支持快速恢復(fù)的機(jī)制。網(wǎng)絡(luò)隔離技術(shù)主要通過隔離網(wǎng)絡(luò)攻擊來確保網(wǎng)間數(shù)據(jù)的安全交換。數(shù)據(jù)加密主要通過鏈路加密和節(jié)點(diǎn)加密來確保數(shù)據(jù)不被截獲。
安全運(yùn)維管理是在企業(yè)進(jìn)行了一定的安全系統(tǒng)建設(shè)之后的工作,其目的是保證所應(yīng)有的安全產(chǎn)品和技術(shù)能夠真正、充分發(fā)揮其預(yù)期應(yīng)有的效果和效率。安全運(yùn)維管理包括安全設(shè)備的策略配置、安全測(cè)評(píng)、安全監(jiān)控和審計(jì)、安全應(yīng)急響應(yīng)等方面的技術(shù),主要完成安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控和安全問題的處理等系統(tǒng)安全保障工作。
當(dāng)前,我國(guó)信息消費(fèi)保持高速發(fā)展態(tài)勢(shì),今年前五個(gè)月全國(guó)信息消費(fèi)規(guī)模達(dá)到1.38萬億元,同比增長(zhǎng)19.8%。總體看來,全國(guó)網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施進(jìn)一步完善,信息服務(wù)和應(yīng)用創(chuàng)新活力不斷,居民消費(fèi)潛力空間不斷釋放,電子商務(wù)增勢(shì)繼續(xù)高歌猛進(jìn),終端產(chǎn)品的智能化應(yīng)用不斷拓展,以家庭寬帶接入、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)購物、微媒體、手機(jī)支付、手機(jī)視頻為依托的新興消費(fèi)對(duì)經(jīng)濟(jì)增長(zhǎng)的拉動(dòng)作用持續(xù)增強(qiáng)。
然而,伴隨著信息消費(fèi)的快速發(fā)展,安全問題也逐步凸顯,如植入木馬病毒、發(fā)送垃圾信息、散布有害信息、實(shí)施網(wǎng)絡(luò)詐騙、設(shè)置釣魚陷阱等違法犯罪現(xiàn)象頻頻出現(xiàn),這些現(xiàn)象在侵犯公民合法權(quán)益的同時(shí),更對(duì)信息消費(fèi)環(huán)境安全構(gòu)成了嚴(yán)重威脅。
信息消費(fèi)擴(kuò)容離不開網(wǎng)絡(luò)信息安全,更需加強(qiáng)隱私保護(hù),加強(qiáng)信息安全立法保障。在8月初國(guó)務(wù)院下發(fā)的《國(guó)務(wù)院關(guān)于促進(jìn)信息消費(fèi)擴(kuò)大內(nèi)需的若干意見》中就明確指出,要“提高信息網(wǎng)絡(luò)安全保障能力”、“加強(qiáng)信息安全關(guān)鍵軟件的開發(fā)應(yīng)用,加快安全可信關(guān)鍵應(yīng)用系統(tǒng)推廣”、“加強(qiáng)工業(yè)控制系統(tǒng)軟件開發(fā)和安全應(yīng)用”、“構(gòu)建安全可信的信息消費(fèi)環(huán)境基礎(chǔ),大力推進(jìn)身份認(rèn)證、網(wǎng)站認(rèn)證和電子簽名等網(wǎng)絡(luò)信任服務(wù),推行電子營(yíng)業(yè)執(zhí)照”、“提升信息安全保障能力,提升網(wǎng)絡(luò)與信息安全監(jiān)管能力和系統(tǒng)安全防護(hù)水平”、“加強(qiáng)個(gè)人信息保護(hù),積極推動(dòng)出臺(tái)網(wǎng)絡(luò)信息安全、個(gè)人信息保護(hù)等方面的法律制度”等一系列與信息安全緊密相關(guān)的內(nèi)容,這充分說明了信息消費(fèi)必須要在安全可靠的環(huán)境中保持可持續(xù)健康發(fā)展,也進(jìn)一步突出了從信息安全視角來保障信息消費(fèi)發(fā)展的緊迫性和必要性。
信息安全與信息消費(fèi)的發(fā)展是相互促進(jìn)和共同發(fā)展的。一方面,信息安全防護(hù)能力的增強(qiáng)會(huì)提升消費(fèi)者信息消費(fèi)的信心,進(jìn)一步刺激和釋放信息消費(fèi)的需求,一定程度上促進(jìn)了信息消費(fèi)規(guī)模化發(fā)展。另一方面,信息消費(fèi)的快速發(fā)展也對(duì)信息安全提出了更高的要求和挑戰(zhàn),亟需加強(qiáng)信息安全關(guān)鍵軟硬件核心技術(shù)和產(chǎn)品突破,完善信息安全服務(wù)體系,建立健全信息安全相關(guān)法律法規(guī)和制度,構(gòu)建安全可靠的信息消費(fèi)環(huán)境。
保障信息消費(fèi)安全發(fā)展得到了政府部門的高度重視。在8月底國(guó)家發(fā)展改革委下發(fā)了《關(guān)于組織實(shí)施2013年國(guó)家信息安全專項(xiàng)有關(guān)事項(xiàng)的通知》中,就重點(diǎn)支持與信息消費(fèi)息息相關(guān)的金融信息安全、云計(jì)算與大數(shù)據(jù)信息安全、信息安全分級(jí)保護(hù)、工業(yè)控制信息安全四大領(lǐng)域,并針對(duì)四大領(lǐng)域的重要信息系統(tǒng)進(jìn)行安全可控試點(diǎn)示范,一定程度上為信息消費(fèi)安全可控發(fā)展保駕護(hù)航。
總體而言,從信息安全層面來考慮信息消費(fèi)發(fā)展需注重以下幾個(gè)方面:一是提升全民信息安全防護(hù)意識(shí),營(yíng)造良好的社會(huì)安全環(huán)境,尤其是信息消費(fèi)相關(guān)職能部門、信息消費(fèi)市場(chǎng)相關(guān)企業(yè)以及參與信息消費(fèi)的公民個(gè)人需要從思想上高度重視,將信息安全問題上升到國(guó)家安全的高度來認(rèn)識(shí),為信息消費(fèi)積極營(yíng)造良好的社會(huì)環(huán)境和輿論環(huán)境。二是加強(qiáng)和完善信息安全法規(guī)建設(shè),加強(qiáng)對(duì)信息消費(fèi)有關(guān)安全法規(guī)的研究,加強(qiáng)制度建設(shè)的探索,從維護(hù)信息資源合理使用,維護(hù)信息正常流通,維護(hù)用戶正當(dāng)權(quán)益出發(fā),及早制定出可操作性強(qiáng)、科學(xué)配套的信息消費(fèi)安全法規(guī)體系。三是加強(qiáng)信息安全技術(shù)、產(chǎn)品和服務(wù)模式創(chuàng)新,提升信息消費(fèi)安全保障能力。如建立全國(guó)統(tǒng)一的信息數(shù)據(jù)庫,加強(qiáng)網(wǎng)絡(luò)安全技術(shù)平臺(tái)的建設(shè),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全運(yùn)行情況的全方位監(jiān)控,提高信息消費(fèi)過程中安全事件的異常發(fā)現(xiàn)、分析和處置能力。四是高度重視引進(jìn)和培養(yǎng)信息安全專業(yè)人才,積極支持信息安全專業(yè)學(xué)科設(shè)置和培訓(xùn)機(jī)構(gòu)建設(shè),積極引進(jìn)和培養(yǎng)一批政治素質(zhì)高、并具有信息安全技術(shù)法律知識(shí)和管理能力的復(fù)合型人才和專業(yè)技術(shù)型人才。
隨著信息化的高速發(fā)展,為企業(yè)及社會(huì)帶來了顯而易見的效益:提高的工作效率、減少的紙張浪費(fèi)、快捷方便的通訊等等。但信息化也是一柄"雙刃劍",尤其是在企業(yè)管理、商業(yè)保密等工作中,還存在著令人堪憂的隱患:
一是物理安全風(fēng)險(xiǎn)。物理安全風(fēng)險(xiǎn)包括計(jì)算機(jī)系統(tǒng)的設(shè)備、設(shè)施和信息面臨因自然災(zāi)害、環(huán)境事故(如斷電)、人為物理操作失誤以及不法分子進(jìn)行違法犯罪等風(fēng)險(xiǎn)。
二是數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)包括競(jìng)爭(zhēng)性業(yè)務(wù)的經(jīng)營(yíng)和管理數(shù)據(jù)泄漏,數(shù)據(jù)被人為惡意篡改或破壞等。
三是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括病毒造成網(wǎng)絡(luò)癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡(luò)設(shè)備癱瘓、來自互聯(lián)網(wǎng)黑客的入侵威脅等。
二、保證企業(yè)信息安全的基本對(duì)策
2.1正確認(rèn)識(shí)企業(yè)信息安全問題。
企業(yè)的信息安全問題,絕不僅僅是一個(gè)僅靠防火墻、密碼等等技術(shù)就能解決的問題,它還與人們的職業(yè)道德、社會(huì)道德以及企業(yè)管理等問題密切相關(guān)。因此,在維護(hù)企業(yè)信息安全時(shí),我們必須站在宏觀的角度對(duì)問題進(jìn)行考慮。在過去看來,一個(gè)企業(yè)信息的安全問題,是領(lǐng)導(dǎo)層或者IT單個(gè)部門的事情,但是憑少數(shù)人或部門的工作,對(duì)于保障公司的信息不被泄漏,防護(hù)信息存儲(chǔ)不被破壞、攻擊和偷盜是很難的事。筆者認(rèn)為,意識(shí)指導(dǎo)行動(dòng),信息安全問題首先要解決的是員工的思想認(rèn)識(shí)問題,只有企業(yè)的每一個(gè)人都認(rèn)識(shí)到信息安全的重要性,才能在工作中自覺地維護(hù)信息安全。因?yàn)樵谌魏我粋€(gè)體系中,人都是最活躍、最具有影響力和決定意義的因素,因此對(duì)于企業(yè)的信息安全問題而言,企業(yè)內(nèi)部員工才是保護(hù)信息安全的最可靠、最有效的重大保障。此外,還可以加強(qiáng)引進(jìn)信息安全技術(shù)人才以及信息安全管理人才,并在日常工作中,加強(qiáng)對(duì)隊(duì)伍專業(yè)知識(shí)以及工作技能的培訓(xùn),從而為企業(yè)建設(shè)一支強(qiáng)有力的信息安全保衛(wèi)隊(duì)伍。其次信息管理部門要全面作好專業(yè)技術(shù)支持與防范工作,根據(jù)業(yè)務(wù)的需求采取適當(dāng)?shù)谋Wo(hù)措施,實(shí)施專業(yè)應(yīng)用系統(tǒng)。例如,保護(hù)企業(yè)信息安全的技術(shù)可以采用主動(dòng)反擊、網(wǎng)絡(luò)入侵陷阱、密碼、取證、防火墻、安全服務(wù)、防病毒、可信服務(wù)、PKI服務(wù)、身份識(shí)別、備份恢復(fù)、網(wǎng)絡(luò)隔離等等保護(hù)產(chǎn)品以及保護(hù)技術(shù),通過確保信息安全的最大化,來實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營(yíng)持續(xù)發(fā)展以及經(jīng)濟(jì)效益的最大化。此外,還可以在工作的過程中,進(jìn)一步優(yōu)化企業(yè)信息安全管理,并進(jìn)行管理監(jiān)控以及安全風(fēng)險(xiǎn)評(píng)估,分析入侵防范、服務(wù)器架構(gòu)等等關(guān)鍵問題,以全面性、多角度的掌控,確保企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性,因?yàn)樾畔踩珕栴}不具有靜態(tài)性,信息管理始終處在一個(gè)不停變動(dòng)的動(dòng)態(tài)性過程,因此即使我們不可能確保信息的絕對(duì)安全,也必須做到相對(duì)安全,從而最大限度的降低企業(yè)風(fēng)險(xiǎn)。
2.2建立健全信息安全管理制度。
信息安全不僅是技術(shù)問題,更主要是管理問題。任何技術(shù)措施只能起到增強(qiáng)信息安全防范能力的作用,俗話說“三分技術(shù),七分管理”,只有良好的管理工作才能使保障技術(shù)措施得到充分發(fā)揮,是能否對(duì)信息網(wǎng)絡(luò)實(shí)施有效信息安全保障的關(guān)鍵。現(xiàn)在中國(guó)石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》(以下簡(jiǎn)稱“GCC”)就很好的涵蓋了信息安全的各個(gè)方面,包括了機(jī)房管理、服務(wù)器管理、網(wǎng)絡(luò)管理和系統(tǒng)管理等。因此在實(shí)際的工作中,我們可以通過“三步驟”來實(shí)現(xiàn)企業(yè)信息的安全管理制度的健全化、完善化。第一,結(jié)合企業(yè)自身的實(shí)際,分析企業(yè)存在的問題以及預(yù)期的目標(biāo),制定具有科學(xué)性、合理性、實(shí)效性、可行性的信息安全管理制度,使保護(hù)信息安全工作做到有法可依,有章可循。第二,建立信息安全管理機(jī)構(gòu),明晰信息安全管理負(fù)責(zé)人的職務(wù)和責(zé)任,并建立相應(yīng)的考核機(jī)制和激勵(lì)機(jī)制,以督促、鼓勵(lì)相關(guān)負(fù)責(zé)人的工作,提高信息管理工作質(zhì)量。第三,真正貫徹管理措施,加強(qiáng)制度的執(zhí)行力度,只有這樣,才能從根本上實(shí)現(xiàn)管理工作以及工作目標(biāo),最終提高企業(yè)的信息安全管理水平。
三、加強(qiáng)企業(yè)信息安全保障的幾點(diǎn)措施
如何有效地解決企業(yè)信息安全的專業(yè)性管理與技術(shù)性防范,筆者認(rèn)為可從以下幾個(gè)方面著手。
3.1實(shí)行嚴(yán)格的網(wǎng)絡(luò)管理。企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設(shè)置以及端口限制,與互聯(lián)網(wǎng)相比安全性較高,但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)使用網(wǎng)絡(luò)事件等問題,具體而言:一是在IP資源管理方面,采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口。這樣,就不會(huì)出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況;二是在網(wǎng)絡(luò)流量監(jiān)測(cè)方面,使用網(wǎng)絡(luò)監(jiān)測(cè)軟件查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬,防止頻繁進(jìn)行大文件的傳輸,甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。三是加強(qiáng)服務(wù)器管理。常見應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為WindowsServer,可利用其自帶的安全管理功能進(jìn)行設(shè)置,包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略以及系統(tǒng)補(bǔ)丁更新等。
3.2加強(qiáng)客戶端監(jiān)管。對(duì)大多數(shù)單位的網(wǎng)管來說,客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個(gè)問題,這里推薦以下方法:
(1)將客戶端都加入到域中,使客戶端強(qiáng)制性納入管理員集中管理的范圍。
(2)只給用戶以普通域用戶的身份登錄到域,這樣就可以限制他們?cè)诒镜赜?jì)算機(jī)上安裝有安全隱患軟件的權(quán)利。
(3)實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。
(4)利用企業(yè)IT部門的工作職能,設(shè)置熱線幫助和技術(shù)支持人員,統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問題。
3.3堅(jiān)持進(jìn)行數(shù)據(jù)備份。由于應(yīng)用系統(tǒng)的加入,各種數(shù)據(jù)庫日趨增長(zhǎng),如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失,是當(dāng)前面臨的一個(gè)難題。從成本及易操作性考慮,這里推薦以下兩種數(shù)據(jù)備份方法:一種是用硬盤進(jìn)行數(shù)據(jù)備份;另一種是采用本地磁盤陣列來分別實(shí)現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余。
C=CBNweekly
K=郭尊華(Bernard kwok)
C: 您怎么看這幾年信息安全行業(yè)的變化?
K: 我想主要體現(xiàn)在四個(gè)方面:首先是信息安全攻擊越來越有針對(duì)性,我們發(fā)現(xiàn)有57%的攻擊是針對(duì)一臺(tái)電腦。不像以前一個(gè)病毒恨不得在全世界范圍內(nèi)傳播;其次是攻擊的目的一直在改變。從一開始是想把你的網(wǎng)站同步,到把顯示屏變得不能用,再到竊取公司的關(guān)鍵信息,比如客戶信息和財(cái)務(wù)報(bào)表,現(xiàn)在是控制和影響整個(gè)基礎(chǔ)架構(gòu);再次是信息安全所帶來的影響越來越大,無論是從錢的角度,還是公司受到信息安全威脅時(shí)不僅會(huì)影響到業(yè)績(jī)、商譽(yù),政府也可能會(huì)有處罰;最后,各個(gè)政府對(duì)信息安全的要求和規(guī)格都越來越高,這有兩個(gè)目標(biāo),一是怎么保證公民利益,二是怎么營(yíng)造環(huán)境讓企業(yè)符合信息安全水平從而提高整體的競(jìng)爭(zhēng)力。
C: 對(duì)云計(jì)算要求改變處理信息的IT方式,您怎么看?
K: 簡(jiǎn)單來說,以前企業(yè)的IT部門可能更側(cè)重技術(shù),在云計(jì)算之后可能會(huì)更多地考慮安全服務(wù)和公司業(yè)務(wù)的結(jié)合。大家都知道企業(yè)可以選擇自己的IT去做信息安全管理,也可以外包給別人來做。以前的說法是IT部門是成本中心,現(xiàn)在管理層的另一個(gè)選擇是讓提供商來提供服務(wù),從技術(shù)的考慮變成了成本和服務(wù)的考慮,IT部門就成了提供云解決方案的一個(gè)因素。
第二,雖然外包服務(wù)商會(huì)保障服務(wù)水平,但我認(rèn)為,一個(gè)企業(yè)可以外包一部分工作給別人做,但是責(zé)任是不可能外包的,所以IT部門的工作性質(zhì)可能改變了,但是角色還是很重要,他們要保障提供商的服務(wù)是合適的。
C: 個(gè)人要保護(hù)自己的隱私,但I(xiàn)T部門又要控制公司的全部信息,應(yīng)該怎么平衡?
K: 如果你丟了一部手機(jī),你寧愿手機(jī)丟了,也不要丟了里面的信息。但并不是所有信息都有同等價(jià)值。一個(gè)公司要保證信息安全,必須要把信息分類,有哪些是公司的機(jī)密,比如信用卡資料,客戶資料。信息要根據(jù)價(jià)值來分級(jí),比如可以分為絕密、可以共享的、屬于員工的。分級(jí)之后有授權(quán),也就是讓大家都清楚哪些資料是受到保護(hù)的,以及誰有權(quán)力去讀和寫,最后要明確這些信息的存儲(chǔ)位置和管理策略。
C: 您對(duì)今后信息安全行業(yè)的發(fā)展趨勢(shì)有什么判斷?
K: 第一,云計(jì)算會(huì)帶來機(jī)會(huì)和挑戰(zhàn),信息安全仍然是關(guān)鍵的考慮因素,怎么鞏固用戶在云計(jì)算環(huán)境的信息安全經(jīng)驗(yàn)很重要。第二,虛擬化會(huì)被極大地推動(dòng)。第三,無論是在互聯(lián)網(wǎng)還是在移動(dòng)互聯(lián)網(wǎng),最關(guān)鍵的是保護(hù)用戶信息和用戶的身份。現(xiàn)在操作平臺(tái)越來越多,應(yīng)用也層出不窮,但信息安全的重點(diǎn)不在應(yīng)用,也不是操作系統(tǒng),而是用戶的信息。硬件所搭載的平臺(tái)可能會(huì)變,但是信息的重要是從來不變的。第四是信息仍然爆炸性增長(zhǎng),對(duì)企業(yè)來說,怎么用更少的資源應(yīng)付更多的問題和存儲(chǔ)量是一直要面對(duì)的問題。從2009年到2020年,信息量會(huì)增長(zhǎng)44倍,如果一個(gè)企業(yè)繼續(xù)購買和管理更多存儲(chǔ),成本會(huì)非常高。第五是信息安全的威脅層出不窮。服務(wù)商怎么保證客戶的信息安全仍然是個(gè)問題。
摘要:本文根據(jù)高校的具體情況,對(duì)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)教學(xué)體系的相關(guān)問題進(jìn)行探討,提出了一個(gè)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)教學(xué)體系的參考方案。
關(guān)鍵詞:網(wǎng)絡(luò)與信息安全;實(shí)驗(yàn)教學(xué)體系;信息安全人才培養(yǎng)
中圖分類號(hào):G642
文獻(xiàn)標(biāo)識(shí)碼:B
1引言
網(wǎng)絡(luò)與信息安全是一門實(shí)踐性很強(qiáng)的學(xué)科,目前大多數(shù)高校的網(wǎng)絡(luò)與信息安全課程偏重于理論教學(xué),相應(yīng)的實(shí)驗(yàn)教學(xué)環(huán)節(jié)滯后。建設(shè)一個(gè)滿足網(wǎng)絡(luò)與信息安全專業(yè)教學(xué)要求的實(shí)驗(yàn)教學(xué)體系,對(duì)信息安全專業(yè)的建設(shè)和培養(yǎng)合格的網(wǎng)絡(luò)與信息安全人才具有重要的意義。
2我國(guó)網(wǎng)絡(luò)與信息安全人才培養(yǎng)的模式分析
我國(guó)現(xiàn)有的網(wǎng)絡(luò)與信息安全人才培養(yǎng)的教學(xué)模式還主要是以授課為主,或者利用一些簡(jiǎn)單工具進(jìn)行演示。這樣的教學(xué)模式存在以下問題:
(1) 偏重理論知識(shí)的傳授,不太強(qiáng)調(diào)實(shí)踐能力的培養(yǎng)。
(2) 實(shí)驗(yàn)內(nèi)容單一而且彼此相對(duì)獨(dú)立。網(wǎng)絡(luò)與信息安全是一個(gè)整體概念,必須培養(yǎng)專業(yè)技術(shù)人員的整體安全意識(shí),專業(yè)技術(shù)人員必須具有綜合的安全技能。
(3) 不強(qiáng)調(diào)實(shí)驗(yàn)環(huán)境的真實(shí)性。現(xiàn)實(shí)的信息系統(tǒng)環(huán)境不允許專業(yè)技術(shù)人員出現(xiàn)失誤,真實(shí)的實(shí)驗(yàn)環(huán)境將有助于培養(yǎng)學(xué)生的安全意識(shí)。
3建立符合創(chuàng)新性人才培養(yǎng)的網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)教學(xué)新體系
新的形勢(shì)要求我們對(duì)實(shí)驗(yàn)教學(xué)進(jìn)行改革,設(shè)計(jì)出一批更適合學(xué)生教學(xué)要求的、不同層次的實(shí)驗(yàn)項(xiàng)目。整個(gè)實(shí)驗(yàn)教學(xué)體系以提高實(shí)踐能力、增強(qiáng)綜合應(yīng)用知識(shí)、解決具體問題的能力為目標(biāo),以加深基礎(chǔ)知識(shí)、增強(qiáng)綜合應(yīng)用知識(shí)能力、提高創(chuàng)新研究能力為主線進(jìn)行構(gòu)建。實(shí)驗(yàn)內(nèi)容從基礎(chǔ)驗(yàn)證實(shí)驗(yàn)、綜合設(shè)計(jì)實(shí)驗(yàn)和研究創(chuàng)新實(shí)驗(yàn)三個(gè)層次進(jìn)行設(shè)計(jì)。
3.1信息安全實(shí)驗(yàn)
通過信息安全系列實(shí)驗(yàn),使學(xué)生深入理解信息安全的概念,增強(qiáng)計(jì)算機(jī)系統(tǒng)安全意識(shí),掌握保障網(wǎng)絡(luò)信息安全的一些基本技術(shù)的使用方法,其中最主要的是防火墻數(shù)據(jù)包過濾功能和NAT功能的配置。
(1) MD5算法實(shí)現(xiàn)與應(yīng)用。
(2) 數(shù)字證書發(fā)放。通過服務(wù)器網(wǎng)絡(luò)中的CA證書服務(wù)器,為各個(gè)實(shí)驗(yàn)小組中的成員在線或離線發(fā)放數(shù)字證書。讓學(xué)生掌握公鑰密碼體制中公鑰和私鑰生成、公鑰的安全傳送、私鑰的存放、數(shù)字證書的申請(qǐng)和存放等技術(shù),加深對(duì)基于PKI的數(shù)字證書技術(shù)整體框架的理解。
(3) 基于數(shù)字證書的身份認(rèn)證。各小組的成員以發(fā)放的數(shù)字證書為憑證,訪問服務(wù)器網(wǎng)絡(luò)中的網(wǎng)絡(luò)服務(wù)。服務(wù)器在提供網(wǎng)絡(luò)服務(wù)之前,要先通過小組成員的數(shù)字證書進(jìn)行身份認(rèn)證,只有合法的用戶才能獲得相關(guān)的服務(wù)。
(4) 防火墻的設(shè)置與測(cè)試。設(shè)置防火墻,熟悉防火墻的功能。通過配置自己網(wǎng)絡(luò)中安裝的“清網(wǎng)”防火墻和Linux防火墻來訪問、攻擊服務(wù)器網(wǎng)絡(luò)中的網(wǎng)絡(luò)應(yīng)用服務(wù)器。通過配置防火墻過濾規(guī)則和攻擊用PC機(jī)上的各種攻擊工具,理解防火墻在網(wǎng)絡(luò)中的地位、作用和工作機(jī)理、熟悉防火墻的各種配置手段。
3.2網(wǎng)絡(luò)安全實(shí)驗(yàn)
通過網(wǎng)絡(luò)安全系列實(shí)驗(yàn),使學(xué)生深化理解計(jì)算機(jī)網(wǎng)絡(luò)安全的概念,及網(wǎng)絡(luò)安全協(xié)議的標(biāo)準(zhǔn)與技術(shù)。增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí),掌握網(wǎng)絡(luò)安全協(xié)議的內(nèi)容與理論,具備一定網(wǎng)絡(luò)安全保護(hù)能力。
(1) PGP實(shí)現(xiàn)電子郵件安全。PGP可保證郵件的機(jī)密性、完整性以及不可抵賴性等。通過實(shí)驗(yàn),使學(xué)生掌握用PGP進(jìn)行加密和數(shù)字簽名的方法。
(2) 用SSL安全協(xié)議實(shí)現(xiàn)WEB服務(wù)器的安全性。掌握如何用SSL安全協(xié)議在Internet與Intranet服務(wù)器和客戶端間進(jìn)行安全傳送數(shù)據(jù),通過WEB服務(wù)器和瀏覽器來保證用戶與WEB站點(diǎn)安全交流。
(3) 虛擬專網(wǎng)(VPN)實(shí)驗(yàn)。通過組建VPN以掌握相關(guān)協(xié)議的具體應(yīng)用。這些技術(shù)包括VPN 技術(shù)及其配置、數(shù)字證書發(fā)放的實(shí)驗(yàn)、通過數(shù)字證書進(jìn)行身份認(rèn)證的實(shí)驗(yàn)、入侵檢測(cè)實(shí)驗(yàn)、病毒防治實(shí)驗(yàn)、網(wǎng)絡(luò)掃描實(shí)驗(yàn)等。
(4) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)。通過網(wǎng)絡(luò)攻防實(shí)驗(yàn),使學(xué)生掌握木馬攻擊與防范、DOS攻擊與防范、漏洞掃描、明文嗅探、網(wǎng)頁木馬、洪泛攻擊、文件型病毒攻擊與防范的方法。
3.3網(wǎng)絡(luò)與信息安全創(chuàng)新實(shí)驗(yàn)
創(chuàng)新提高型實(shí)驗(yàn)要求學(xué)生綜合應(yīng)用多門課程的知識(shí),針對(duì)某個(gè)有創(chuàng)意的想法,在教師指導(dǎo)下完成設(shè)計(jì)和實(shí)現(xiàn)工作,幫助學(xué)生提高創(chuàng)新意識(shí)和創(chuàng)造能力。創(chuàng)新提高型實(shí)驗(yàn)內(nèi)容來源于教師的科研項(xiàng)目、學(xué)生的自主科研選題、社會(huì)實(shí)踐活動(dòng)和企事業(yè)應(yīng)用需求,實(shí)驗(yàn)內(nèi)容是不斷變化的。例如反彈式木馬的設(shè)計(jì)與實(shí)現(xiàn)、數(shù)字水印技術(shù)的研究與應(yīng)用、敏感信息過濾系統(tǒng)設(shè)計(jì)、病毒掃描引擎設(shè)計(jì)與實(shí)現(xiàn)、IPv6環(huán)境下的網(wǎng)絡(luò)信息安全問題的研究等。實(shí)驗(yàn)室給高年級(jí)學(xué)生及研究生進(jìn)行網(wǎng)絡(luò)信息安全方面的創(chuàng)新實(shí)驗(yàn)提供相應(yīng)的環(huán)境。
4結(jié)束語
網(wǎng)絡(luò)與信息安全是一門實(shí)踐性很強(qiáng)的學(xué)科,建設(shè)一個(gè)滿足信息安全專業(yè)教學(xué)要求的實(shí)驗(yàn)教學(xué)體系是培養(yǎng)合格的信息安全人才的關(guān)鍵之一。本文探討了網(wǎng)絡(luò)與信息安全人才的培養(yǎng)模式,給出了一個(gè)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)教學(xué)體系的參考方案,對(duì)高校網(wǎng)絡(luò)與信息安全人才培養(yǎng)具有一定的參考價(jià)值。
參考文獻(xiàn)
[1] 龔方紅,湯正華,蔣必彪. 試論工程教育中的本科實(shí)驗(yàn)教學(xué)改革[J]. 中國(guó)高教研究,2006,(4):86-87.
[2] 錢素平. 構(gòu)建實(shí)驗(yàn)教學(xué)體系是提高人才培養(yǎng)質(zhì)量的關(guān)鍵[J]. 常熟理工學(xué)院學(xué)報(bào),2005,19(4):121-124.
深入了解用戶需求
據(jù)了解,水利部很早就確立了“以水利信息化帶動(dòng)水利現(xiàn)代化”的發(fā)展思路,提出"水利信息化是水利現(xiàn)代化的基礎(chǔ)和重要標(biāo)志",并將水利信息化列入2010年水利工作發(fā)展的十大主要目標(biāo)之一。而水利部機(jī)關(guān)政務(wù)外網(wǎng)信息安全體系及流域機(jī)構(gòu)數(shù)字證書身份認(rèn)證系統(tǒng)建設(shè),亦是水利信息化重點(diǎn)工程――水利信息網(wǎng)絡(luò)與安全保障系統(tǒng)建設(shè)的重要組成部分。對(duì)這一工程,水利部有關(guān)領(lǐng)導(dǎo)給予了高度重視。
水利部部長(zhǎng)陳雷指出,推行電子政務(wù),對(duì)提高防汛抗旱保障能力、水資源的調(diào)控配置能力、水利工程的自動(dòng)化水平和水管理的信息化水平;對(duì)踐行可持續(xù)發(fā)展治水思路,加快水利的信息化,實(shí)現(xiàn)水利的現(xiàn)代化,具有重要的支撐和促進(jìn)作用。而信息安全對(duì)電子政務(wù)的順利實(shí)施起到重要作用。他認(rèn)為,要切實(shí)加強(qiáng)水利信息安全與保障體系建設(shè)。要堅(jiān)持積極防御、綜合防范、軟硬結(jié)合、科學(xué)管理的原則,進(jìn)一步完善網(wǎng)絡(luò)安全系統(tǒng)和病毒防護(hù)系統(tǒng),增強(qiáng)信息安全的防護(hù)能力。要認(rèn)真落實(shí)信息安全等級(jí)保護(hù)制度,重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息網(wǎng)絡(luò)。要健全和完善信息安全監(jiān)控體系,周密制定各種應(yīng)急預(yù)案,提高對(duì)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)對(duì)和防范的能力。
據(jù)介紹,水利部機(jī)關(guān)政務(wù)網(wǎng)覆蓋了機(jī)關(guān)大院內(nèi)各司局單位,并延伸到各在京直屬單位,實(shí)現(xiàn)了機(jī)關(guān)和七個(gè)流域、31個(gè)省級(jí)水行政主管部門、新疆兵團(tuán)水利局及其他一些部委共43家單位的互聯(lián)互通,承載了多個(gè)關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)。
由于項(xiàng)目涉及單位范圍廣、涉及系統(tǒng)關(guān)鍵,所以水利部對(duì)于安全服務(wù)與集成商也就提出了很高的要求。首先,要求服務(wù)商必須具備豐富的安全服務(wù)與集成經(jīng)驗(yàn),深刻理解國(guó)家相關(guān)安全政策法規(guī)、政策及安全標(biāo)準(zhǔn),熟悉政府的信息安全目標(biāo);其次,安全服務(wù)與集成廠商需要對(duì)自身有高度負(fù)責(zé)的責(zé)任要求、良好的工作態(tài)度,擁有專業(yè)健全的安全工作規(guī)范和流程,以滿足項(xiàng)目服務(wù)與集成的總體目標(biāo)實(shí)現(xiàn)。
綜合能力經(jīng)得起考驗(yàn)
“能夠拿下了水利部機(jī)關(guān)政務(wù)外網(wǎng)信息安全體系及流域機(jī)構(gòu)數(shù)字證書身份認(rèn)證系統(tǒng)建設(shè)的安全服務(wù)與集成總包,是因?yàn)榫W(wǎng)御神州有著過硬的綜合服務(wù)能力。”項(xiàng)目負(fù)責(zé)人表示。
事實(shí)上,在近幾年的安全服務(wù)實(shí)踐中,網(wǎng)御神州積累了大量的安全經(jīng)驗(yàn),領(lǐng)會(huì)政府信息安全工作的重點(diǎn)及目標(biāo)要求。作為本土信息安全的中堅(jiān)力量,網(wǎng)御神州擁有信息安全軟件和硬件的技術(shù)研發(fā)、生產(chǎn)制造,以及服務(wù)的綜合能力,是集網(wǎng)絡(luò)與信息安全方案、產(chǎn)品及服務(wù)于一體的信息安全綜合服務(wù)專家,其產(chǎn)品和綜合服務(wù)能力經(jīng)歷了2008年北京奧運(yùn)和2010年上海世博會(huì)等重大項(xiàng)目的考驗(yàn),其防火墻產(chǎn)品連續(xù)3年獲得國(guó)內(nèi)市場(chǎng)第二、安全管理市場(chǎng)第一的地位。而因過硬的技術(shù),網(wǎng)御神州還成為了國(guó)家軍用隔離產(chǎn)品標(biāo)準(zhǔn)編制成員。
網(wǎng)御神州安全服務(wù)經(jīng)過長(zhǎng)期的積累,總結(jié)并建立了一套安全服務(wù)方法和實(shí)踐經(jīng)驗(yàn)。“持續(xù)”服務(wù)是圍繞著客戶網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)、運(yùn)行的整個(gè)生命周期提供長(zhǎng)期顧問咨詢,以及定期的風(fēng)險(xiǎn)評(píng)估和安全加固,使客戶內(nèi)部的網(wǎng)絡(luò)和信息系統(tǒng)的安全防護(hù)和保障能夠適應(yīng)動(dòng)態(tài)風(fēng)險(xiǎn)的發(fā)生,為客戶建立基于風(fēng)險(xiǎn)管理模式的網(wǎng)絡(luò)與信息安全體系提供支撐;“專業(yè)”服務(wù)體現(xiàn)在網(wǎng)御神州的安全服務(wù)流程和梯隊(duì)式顧問服務(wù)方式上,網(wǎng)御神州安全服務(wù)顧問團(tuán)隊(duì)通過不同的專業(yè)序列、標(biāo)準(zhǔn)化的服務(wù)流程,完成對(duì)客戶需求的及時(shí)反饋,并把服務(wù)內(nèi)容和客戶的業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行整合,實(shí)現(xiàn)客戶需求和購買服務(wù)的無縫對(duì)接;“有效”服務(wù)效果表明安全服務(wù)的最終成果是能夠針對(duì)客戶問題提供切實(shí)的解決措施,滿足客戶的合規(guī)性要求,滿足客戶的安全水平提升需求。同時(shí),網(wǎng)御神州還建立了擁有CISSP、CISP、PMP、CCIE、CISA、ISO27001LA、COBIT、ITIL等多項(xiàng)認(rèn)證、由行業(yè)專家、學(xué)者、博士、碩士組成的梯隊(duì)式的顧問團(tuán)隊(duì)。
