時間:2022-09-08 22:39:36
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全保護,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[關鍵詞]云平臺;信息安全;策略
中圖分類號:TP309 文獻標識碼:A 文章編號:1009-914X(2016)09-0247-01
一、前言
隨著我國社會經濟和科學技術的不斷發展,云計算也有了長足的發展。在云計算發展基礎之上而形成的云平臺,也被各大中企業所應用,云平臺已成為了互聯網世界中最大的信息平臺,本文就云平臺信息安全保護策略進行探討。
二、云計算概念
云計算是將分布式處理、并行處理、虛擬化和網格計算以及互聯網相結合的一種先進的資源服務模式,它將計算工作分布在多個的服務器構成的資源池上,使用戶能夠按所需獲取計算能力、存儲空間和信息服務。一般由存儲與計算機服務器、寬帶資源等大型服務器的集群,通過專門的軟件進行自動管理,同時也可以進行自我的維護,無需人工參與。云計算中,軟件和硬件可以成為資源而提供給用戶使用,用戶可以動態申請所需資源,云計算對軟件和硬件資源可以進行很好的分配,用戶能夠更加專注自己的業務,提高工作效率和降低成本。由于云計算具備動態擴展、伸縮特性,隨著用戶的不斷增長,云計算可以根據不斷對系統進行擴展。
云計算的主要特點有:穩定性:具備良好的容錯能力,當某個節點發生故障時,云計算平臺能快速找到故障并恢復;高擴展性:云計算平臺具有高擴展性和靈活的彈性,能夠動態地滿足用戶規模的增長和需要;虛擬化:云計算通過虛擬化技術將分布式的物理和數字資源進行虛擬化,統一存放在數據中心,用戶可以在任何地方使用終端來獲取服務;通用性:云計算環境下可以構造出各種功能的應用,滿意用戶的大部分需求成本低廉:云平臺的特殊容錯機制可以采用極其廉價物理資源,資源成本低。
三、云平臺面臨的安全問題
云平臺是基于云計算的技術基礎上發展起來的,建立安全的云平臺,必須要有一個安全的運行構架來保證云平臺的安全運行。
現今云平臺間來所要面臨的問題主要有:
1、安全邊界不清晰:虛擬化技術是云計算的關鍵技術,服務器虛擬化,終端用戶數量非常龐大,實現共享的數據存放分散,無法像傳統網絡那樣清楚的定義安全邊界和保護措施。
2、數據安全隱患:根據云計算概念的理解,云計算的操作模式是將用戶數據和相應的計算任務交給全球運行的服務器網絡和數據庫系統,用戶數據的存儲、處理和保護等操作,都是在“云”中完成的,將有更多的業務數據、更詳細的個人隱私信息曝露在網絡上,也必然存在更大的泄露風險。
3、系統可靠性和穩定性的隱患:云中存儲大量數據,很容易受到來自竊取服務或數據的惡意攻擊者、濫用資源的云計算用戶攻擊,當遇到嚴重攻擊時,云系統可能面臨崩潰的危險,無法提供高可靠性、穩定的服務。
4、云平臺遭受攻擊的問題
云平臺高度集中了用戶、信息資源等一些重要信息,所以極易成為黑客攻擊的目標。近幾年來,世界各國頻頻出現黑客攻擊各大公司和政府機關的平臺,盜取信息和篡改安全信息的事件發生,例如2011年上半年,黑客就有四起“云攻擊”事件,分別是索尼PSN遭系列攻擊事件、Wordpress遭攻擊事件、新浪微博蠕蟲攻擊。由于這些網站存儲了大量用戶的資料和相關的信息,黑客攻擊這些網站,竊取用戶信息,用于不法之途,極大的損害了云平臺用戶的個人利益。
云計算迅速發展的同時,也面臨著信息安全的巨大挑戰。目前安全問題已成為困擾云計算更大發展的一個最重要因素。某種程度上,關于云計算安全問題的解決與否及如何解決,將會直接決定云計算在未來的發展走勢。目前云計算環境存在以下隱患。
四、云環境信息安全防護解決方案
1、云服務提供商
從云服務提供商角度,安全防護方案:
(一)、基礎網絡安全
基礎網絡是指地理位置不同的數據中心和用戶終端的互聯。采用可信網絡連接機制,對檢驗連接到通信網絡的設備進行可信,以防止非法接入設備。基礎網絡安全設備性能要滿足與網絡相匹配的性能的需求,可以實現隨著業務發展需要,靈活的擴減防火墻、入侵防御、流量監管、負載均衡等安全功能,實現安全和網絡設備高度融合。
(二)、虛擬化服務安全
“按需服務”是云計算平臺的終極目標,只有借助虛擬化技術,才可能根據需求,提供個性化的應用服務和合理的資源分配。在云計算數據中心內部,采用VLAN和分布式虛擬交換機等技術,通過虛擬化實例間的邏輯劃分,實現不同用戶系統、網絡和數據的安全隔離。采用虛擬防火墻和虛擬設備管理軟件為虛擬機環境部署安全防護策略,采用防惡意軟件,建立補丁管理和版本管理機制,及時防范因虛擬化帶來的潛在安全隱患。
(三)、用戶管理
實現用戶分級管理和用戶鑒權管理。每個虛擬設備都應具備獨立的管理員權限,實現用戶的分級管理,不同的級別具有不同的管理權限和訪問權限。支持用戶標識和用戶鑒別,采用受安全管理中心控制的令牌、口令及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份的鑒別,對鑒別數據進行保密性和完整性保護。
(四)、數據傳輸安全
采用在云端部署SSLVPN網關的接入方案,避免云環境下用戶的數據信息從終端到云計算環境的傳輸中,數據信息容易被截獲的隱患,以保證用戶端到云端數據的安全訪問和接入。
2、云服務終端用戶
從終端用戶角度,安全防護方案:
(一)、選擇信譽高的服務商
企業終端用戶應做風險評估,清楚數據存在云中和存儲在自己內部數據中心的潛在風險,比較各家云服務供應商,取得優選者的服務水平保證。企業終端用戶應分清哪些服務和任務由公司內部的IT人員負責、哪些服務和任務交由云服務供應商負責,避免惡意操作帶來的損失,也能保證服務的持久化。
(二)、安裝防火墻
在用戶的終端上部署安全軟件,反惡意軟件、防病毒、個人防火墻等軟件。使用自動更新功能,定期完成瀏覽器打補丁和更新及殺毒工作,保證計算環境應用的安全。
(三)、應用過濾器
目的在于監視哪些數據離開了用戶的網絡,自動阻止敏感數據外泄。通過對過濾器系統進行安全配置,防止數據在用戶不知情的狀態下被泄露,避免用戶自身數據的安全性降低。
3、云計算監管方
目前我國云計算已經發展到實質應用階段,國家有必要建立健全相關法律法規,積極研發和推廣具有自主技術的云產品,構建中國自己的云計算安全防御體系。
五、結束語
總之,網絡安全保護是一項重要、復雜的工作,目前,云安全還只是在發展階段,面對的問題較多,因此,我們應始終保持積極的態度,不斷的努力,使我國云計算服務朝著可持續的方向健康發展。
參考文獻
隨著當前科學技術的不斷進步和發展,互聯網技術的日益推廣和普及,對人們的傳統生活方式產生了極大的沖擊和影響。大數據時代的到來使得數據分析以及計算機功能都打破了傳統地域上的限制。而大數據時代下大部分用戶的機密信息大多儲存在網絡平臺上,這使得一些不法分子有了可乘之機。作者希望通過文章來探究大數據時代下如何能夠保障個人信息的安全問題。
關鍵詞:
個人數據;大數據;信息安全
隨著目前互聯網技術的不斷進步,城市的智能化水平更加完善,移動設備功能上的健全使得人們的生活水平更加便利。往往足不出戶就能夠購買到想要的東西。通過移動智能設備,人們也能夠完成基本的水電費的交付、社交等。同時通過互聯網,人們將大量的個人信息上傳到各種社交軟件上與他人進行分享,在分享信息的過程中可能就潛移默化的增加了信息被竊取的概率,一些不法分子可能乘機提取有效的信息進而獲得用戶的核心數據,最終造成用戶信息被盜取,影響到用戶的正常生活。
1對大數據的看法
大數據的特點:當前大數據時代的主要特點就是數據信息量極大,類型較多并且運算效率高,能夠產生一定的價值。就以一個最為常見的案例來說,當前大部分的移動設備,計算機設備的存儲上限都由MB發展到了GB,再從GB發展到了TB,統計數據的信息量逐年上升。其次,大數據時代下,不僅數據信息的總量不斷上升,數據的類型和樣式也變的多樣化。以前可能我們身邊接觸到的數據信息就以文字、圖片為主要形式,但是當前視頻、音頻、電子郵件等的發展大大拓寬了大數據信息的類別。同時在大數據時代下運算的效率速度也明顯上升,各種現代化的搜索引擎以及數據挖掘技術都為數據的處理奠定了堅實的基礎。
2大數據時代下人們信息安全面臨的挑戰
前面我們對當前大數據時代的基本特征簡單的分析和探究,大數據時代下人們的信息數據共享化,很容易在網絡上泄露一些機密信息,從而影響到個人的生活。個人隱私的泄露:首先在跟前大數據時代下出現個人隱私的泄露現象是比較常見的,用戶在進行一些軟件的使用過程中一般都會與自己的手機號或者電子郵件綁定,一方面通過綁定電子郵件與手機能夠非常便捷的進行相關操作,另一方面有的人認為綁定手機或電子郵件能夠降低賬號被盜的概率。其實不然,一旦黑客通過非法途徑入侵到用戶的計算機內部,將用戶的信息數據盜取,很容易連帶效應將用戶的大量數據信息泄露。比如說,常常有人在瀏覽網頁的時候進入一些不安全網頁,網頁中存在木馬,而這些木馬會入侵到計算機內部潛伏一段時間,一旦木馬爆發,在短時間內計算機不會出現故障,但是用戶的個人數據信息會黑客盜取,這種現象對用戶來說會產生極大的損失。因此,目前來看,在大數據環境之下保護個人信息安全是非常重要而必要的。
3大數據環境下個人信息安全保護的途徑
目前隨著大數據時代的到來,人們對于個人信息的保護和控制程度遠遠不如過去,很多時候個人隱私在不知不覺中就會被暴露在網絡上,這些數據對于一般人來說可能沒有什么作用,但是有的人可能從其中找到一些非法的牟利手段,間接的影響到用戶的財產安全。因此我希望能夠提出一些有效的個人信息安全保護對策來提高用戶對信息的重視思想。
3.1匿名保護
首先,目前大數據匿名技術應當得到更新和改善,在我看來,傳統匿名技術根本無法有效的對用戶的信息數據進行保護,用戶在匿名發送相關信息數據的過程中依然會被黑客竊取。換句話說傳統匿名技術往往無法有效的保護用戶的信息來源,黑客能夠通過發送的信息數據直接搜索到用戶機上,再通過移植病毒和木馬的方式對用戶機進行入侵。因此,首要的保護個人信息安全的措施就是相關部門能夠加強匿名保護裝置的建立,使得匿名保護設施能夠直接將用戶發送數據的來源進行修改,使得黑客無法通過非法手段獲取到用戶機的具體IP地址,從而實現對用戶的個人信息數據保護。
3.2個人提升一定的安全防護意識
第二點,現在很多人認為隨著科學技術的不斷進步,互聯網技術的完善和發展,互聯網安全已經逐漸完善了,但是實際上其中的暗流涌動現象還是非常普遍,很多潛在的危險無法辨別就容易使個人信息遭到竊取。因此對于用戶個人來說,我們首先應當從自我做起,提升對互聯網的警惕心理,提高個人安全防護意識,在建立相關賬號的過程中能夠仔細辨認出網站的安全性,同時不瀏覽具有安全隱患的網絡。計算機定期的進行木馬、病毒的查殺工作,安裝殺毒軟件,保證計算機的安全,從而實現對個人信息的安全防護。
3.3政府部門加強監管
第三,政府內部專門的網絡監控部門應當實施對網絡的有序監管,隨著大數據時代的到來,數據信息的容量以及內容逐漸增加,政府部門實施有效的網絡監控措施能夠對個人信息安全保護起到積極的作用。政府部門可以通過政府專用網絡實現對大部分公網、子網的監控和審核,對于存在安全隱患的網址予以嚴肅的處理,如果存在嚴重影響到社會安定,人們的財產安全的則應當追究一定的刑事責任,最大化的保證大數據時代下網絡系統的安全,保證個人信息安全。
3.4國家構建全面的法律法規
第四,國家也應當逐漸重視大數據時代下的網絡信息安全問題,通過構建有效的法律法規體系來避免黑客鉆法律的空子。很多情況下黑客之所以敢去竊取用戶的信息一方面認為警察無法追捕到自己,所產生的影響不至于受到刑事責任,另一方面非法分子認為即使被抓到,也只是簡單的懲罰一些金錢,而不是負刑事責任。因此國家應當嚴肅處理網絡非法事件,對于非法入侵他人用戶機的黑客予以嚴肅處理,不僅應當懲罰金錢,還應當追究刑事責任。
4結束語
總而言之,目前在大數據環境下個人信息安全防護是非常重要的問題,黑客技術的不斷上升以及互聯網的不斷推廣和普及都影響到了人們的信息安全。個人應當逐漸提高對網絡使用的警惕心理;政府有關部門則應當重視網絡的監管,降低黑客入侵現象的發生;最后國家有關部門構建全面系統的法律法規體系,使得黑客不敢如此猖獗。從這三面來提高個人信息安全保護的效果,保證人們能夠在一個穩定健康的網絡環境中發展。
作者:任凱 單位:萊蕪市萊城區鳳城高級中學
參考文獻
[1]雷善雨.淺析大數據環境下的個人信息安全保護[J].科技創新導報,2015,32:20-21+23.
[2]張宸.大數據環境下個人信息保護研究[D].黑龍江大學,2015.
關鍵詞:社交網絡;隱私保護;個人信息安全;信息安全舉措
社交網絡平臺是互聯網應用中非常重要的組成部分,隨著當前科技的發展,移動互聯終端迅速普及,智能手機、移動電腦等設備充實人們的生活。社交平臺為社會上的個人創建了一個平臺,在這個平臺上,用戶可以逐漸發展自己的人脈關系,擴充自己的人脈網絡,尋找曾經的朋友;用戶還可以通過這個平臺分享自己的照片等;還有就是近兩年逐漸流行的朋友圈之間互發紅包等等,通過該平臺逐漸拉近了朋友間的友誼。但是,分享的同時,個人信息也被上傳到網絡平臺,成為一些不法分子注意的對象,近年來,網絡犯罪的比例日益變大,社交網絡中個人信息安全的保護迫在眉睫。
一、社交網絡安全性分析
社交網絡是一種基于因特網的網絡使用方式,它為用戶提供了一個擴充人脈的平臺,在這個平臺上,用戶相當于整個社交網絡中的節點,用戶之間通過交流與溝通,將節點與節點之間的連線越來越復雜,互聯溝通面得到不斷擴展,社交網絡普及面越來越廣闊。當前,Android系統和IOS系統中的聊天通訊應用更新頻率不斷加快,應用軟件層出不窮,因此,為社交網絡的進一步發展和普及提供了良好的條件基礎。因此,未來社交網絡的覆蓋面將會更加廣泛,用戶活躍度將會更加高昂。但是,正是由于社交網絡的開放性,使得網絡上的虛擬人物良莠不齊,相關用戶很難從表面上去進行辨偽,很容易上當受騙;此外,當前許多通訊聊天應用為了實現更加精準化的交友條件選擇,對用戶的個人信息完全透明化,雖然在一定程度上使得用戶能夠更加輕松的找到自己需要找的人,但是也為網絡犯罪創造了絕佳的搜索平臺;還有,當前許多人過分依賴網絡,為了讓別人相信自己的真實存在,對自己的信息毫無忌憚地展現在社交網絡上,希望通過這種方法來提高自己的空間瀏覽量和關注度,用戶在進行分享的同時,用戶個人的信息有可能會被不法分子所關注,進而進行違法犯罪行為。據調查,2014年我國因網絡犯罪造成的經濟損失將近萬億元人民幣,高達90%的互聯網用戶都受到過網絡犯罪的攻擊。因此,增強社交網絡中用戶個人信息安全保護勢在必行。
二、隱私保護控制方法
為了在社交網絡中保護用戶個人信息安全,許多專家學者提出了許多理論研究,常見的有以下幾種技術:①Sweeney專家提出的K-匿名技術,該技術將用戶信息數據庫的部分信息數據進行泛化處理,使得其中包含個人敏感信息的K個位置的信息數據形成匿名集,進而實現對用戶隱私的保護;②Chen等人提出的生成虛假信息的隱私保護方法,在用戶位置信息的服務器中形成多種不同位置信息,進而使得攻擊者難以正確識別用戶信息;③MatsuuraK和HuangL提出的基于區域劃分的軌跡隱私保護理論,將用戶的軌跡進行分析分類,對用戶經過的敏感區域進行用戶個人信息的保護,防止用戶個人信息的泄漏;④Gabrial提出基于分布式協議的prive方法等等。
三、用戶個人信息安全保護措施
3.1建立健全相關法律條文
在當前法制社會里,通過建立健全對用戶個人信息保護的法律條文非常必要,通過法律保護社交網絡中用戶個人信息安全不受侵犯,是立法機構當前非常緊要的事務。對于當前有些不法分子通過非法手段搜集個人信息,然后通過各種渠道用于違法犯罪的行為,相關法律應該給予嚴懲,對于一些通過設計開發包含有非法搜集個人信息漏洞的應用軟件,然后用于從事非法商業活動的商家個人,相關法律條文也應該嚴厲懲罰。
3.2社交網絡企業加強用戶信息保護管理
社交網絡企業應用實名制注冊,在一定程度上能夠減少不法分子通過注冊一些非法賬號用于網絡詐騙,防止個人信息的泄漏,但是,這種情況下,注冊的用戶需要填寫的信息更為透明化,如果賬號被盜泄漏的信息將會更嚴重。在這種矛盾下,這就需要社交網絡企業加強對用戶信息的保護和管理。通過不斷優化相關軟件應用,對其中的漏洞進行不斷修復升級,提升系統穩定性,運用先進手段對網絡攻擊者進行攔截。
3.3提高社交網絡用戶安全意識
除了需要國家和相關企業提高對用戶個人信息的保護以外,用戶個人也需要了解一些保護個人信息的方法。雖然社交網絡是一個開放性的社交平臺,但相關用戶也不能過于放開自己,將自己的全部信息全盤透露給好友,將自己的一舉一動都分享給好友,這樣就會存在許多安全隱患。所以,作為社交網絡用戶,需要時刻提防社交網絡的局限性,及時對自己的軟件進行升級,完善系統漏洞,對自己的一些敏感性信息有防范保護意識,對自己的信息安全負責。
四、結論
社交網絡有利有弊,它在拉近朋友間距離的同時,也拉近了用戶與網絡犯罪的距離,為了保護社交網絡中用戶個人信息安全,立法機構、相關網絡管理企業、用戶本人都應該具備時刻保護用戶個人信息安全的意識,通過相應的措施不斷完善社交網絡,使得社交網絡平臺更加安全、便捷、實用。
作者:劉偉彥 單位:武漢市第六中學
參考文獻:
[1]郭祥.基于移動社交網絡的隱私保護關鍵技術研究與應用[D].電子科技大學碩士學位論文,2015.6.
[2]孟曉明.賀敏偉.社交網絡大數據商業化開發利用中的個人隱私保護[J].圖書館論壇,2015(6).
大數據在本質上是一種電子數據,它具有自身獨特的特性。首先,數據處理規模大。現今社會,全球每天產生的數據就已經達到4. 5EB,這個數字仍然以驚人的速度高速增長。其次,數據信息快速化。信息產生的速度常常比數量更加重要,通過手機定位數據可以計算出一個商場當天的客流量,從而推斷出該商家的當天營業額。最后,數據信息具有多樣性。大數據的形態多樣,包括了結構化、半結構化和非結構化數據。此外,現代互聯網應用呈現出非結構化數據大幅增長的特點,來源形式多種多樣,包括各種信息、應用更新、社交網絡的圖片、傳感器讀取的信息、手機的定位等,而且不少信息來源的重要方式都是新近才出現的。
一、個人信息安全面臨的挑戰
1.個人隱私安全風險增大。網絡的浩瀚性意味著數據來源更加寬泛和多元,監控攝像頭、交互平臺、移動電話、電子檔案、數據庫等,大量的信息堆積,必然給個人的信息安全帶來影響和破壞,增大了個人信息被泄露的可能。
2.大數據成為了網絡攻擊的主要目標。在互聯網時代,大數據能夠反饋出更多、更有價值的信息,信息的含金量不斷提升,帶來的豐厚利潤不言而喻,因此遭到攻擊和盜取的概率也就越大。同時,大數據的竊取能夠是不法分子獲得大量相關信息,一次獲取,多重效益,必然讓黑客垂涎欲滴。
3.不法分子利用大數據精確攻擊。大數據對于企業來說是財富是影響,對于不法分子來說同樣是金錢是價值。不法分子在獲取大數據的同時,也會反其道而行之,利用大數據來檢索、定位,為新一輪的攻擊盜取提供更加快捷的技術手段和方式。為了提升攻擊的效率和質量,黑客往往會盡最大可能的收集包括社交平臺、微博微信、通話記錄、電子郵件、消費記錄等信息,并加以歸檔整理,方便下次調用,提高攻擊的精確性和時效性。
二、個人信息安全保護的措施
1.加強輿論宣傳,提高保護意識。國家網絡相關部門要通過各種輿論宣傳工具,對網絡用戶進行個人信息保護知識的宣傳,提高公民對個人信息安全的認識和重視,樹立公民保護個人信息、尊重他人個人信息的理念。個人在信息保護上是第一責任人,負有維護個人信息安全的當然義務。個人在進行網絡行為時,盡量避免個人信息的泄露。同時,加強對個人電腦的安全防護,安裝并及時升級殺毒軟件與防火墻,提高個人上網設備的安全性能。
2.建立個人信息安全保護的法律法規。我國目前現有的法律法規對個人信息的保護雖然有所涉及,但這些規定都還只是零散地分布在各個法律之中,并未形成一個完整的個人信息安全保護的法律體系,而且沒有一部明確保護個人信息的專門法律。立法保護個人信息,不僅突出了公民的信息自由權,彰顯出以人為本的理念,回應了和諧社會權利有序化的訴求。同時還可保護網上消費者的個人信息安全,促使網絡運營有序化,推動全國電子商務和電子政務的健康發展。
3.完善個人信息安全保護的技術措施。在互聯網環境下,個人信息的泄露主要是由黑客等機構外部人員獲取和網絡傳輸過程中的問題造成的,因此要加強軟硬件的技術保障,從而保護用戶個人信息安全。在硬件方面主要通過安裝防病毒硬盤等硬件設施進行保護。在軟件方面主要通過個人隱私安全平臺、加密軟件、數據備份軟件、自動刪除個人資料軟件等保護措施。針對網絡上的個人信息易泄露的問題,網絡營運商除了應向用戶提供提示信息,還應該使用各種安全技術來保護網絡用戶的個人信息不被不法分子侵害。
4.建立健全個人信息安全保護與防范機制。個人信息安全的保護不僅要依靠法律,更需要網絡主體從業人員的道德意識以及自律意識。加強網絡道德建設,用道德標準約束人們在網絡上的行為,要讓網絡道德成為人們在網絡中實施行為時的一個標準。對網絡運營商而言,除了要對網絡從業人員進行道德教育并提高行業自律意識外。
許多網絡運營企業掌握著客戶大量的個人信息,如果沒有很好的防范機制就很容易造成信息的丟失。無論是電信運營商、電子商務企業,還是信息安全企業都需要對外來的技術攻擊加以防范。因此,企業必須加強自我約束力,提高保護客戶信息的意識,同時提高技術手段,完善相關信息管理系統,并對用戶個人信息安全管理制度和流程進行梳理和完善,建立健全侵犯用戶個人信息的各項管理制度與規范,用戶個人信息安全管理和保護機制、問題處理機制、監督機制和獎懲機制等。對侵犯用戶個人信息的情況,要做到迅速和準確處理。
結束語
大數據時代的到來極大地促進整個社會的發展。大數據在各行各業中的運用,使我們精確地了解到過去通過抽樣調查很難了解的許多東西,讓我們更深刻地認識了這個社會,從而更進一步改善這個社會。我們不應該否認大數據帶來的益處,同樣我們應該使這種益處最大化。但大數據帶來的對個人信息安全的威脅我們也應該有著充分的認識。保護個人信息不僅是對社會每個成員的保護,更是對國家安全以及社會長期持續健康發展的保護。
關鍵詞:信息系統安全 等級保護 福建
一、引言
信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。我國實施的信息系統安全等級保護制度,根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素,將信息系統的安全保護等級劃分為5個級別,從第一級到第五級逐級增高,對不同安全級別的信息系統實施不同的安全管理。
二、我國信息系統安全等級保護思想的形成
1994年,《中華人民共和國計算機信息系統安全保護條例 》(國務院147號令)規定,“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。
20世紀80年代初,美國國防部制定了“國家計算機安全標準”等系列標準,包括《可信計算機系統評估準則》(TCSEC,即俗稱的“桔皮書”)及其他近40個相關標準,合稱“彩虹系列”。 TCSEC標準是國際上計算機系統安全評估的第一套大規模系統標準,具有劃時代的意義。TCSEC將安全產品的安全功能和可信度綜合在一起,設立了4類7級。
1999年,我國公安部組織制定了強制性國家標準――《計算機信息系統安全保護等級劃分準則》。
2000年11月10日,國家計委批準公安部開展“計算機信息系統安全保護等級評估體系及互聯網絡電子身份管理與安全保護平臺項目”建設。
2003年,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出“實行信息安全等級保護”,“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。這標志著等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領導地位,以及“誰主管誰負責,誰運營誰負責”的信息安全保障責任制。
2004年9月,公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合出臺了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號),明確了信息安全等級保護制度的原則和基本內容,以及信息安全等級保護工作的職責分工、工作實施的要求等。
2006年1月,公安部、國家保密局、國家密碼管理局、國信辦聯合制定了《信息安全等級保護管理辦法(試行)》,并于2007年6月修訂。
2007年6月,公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合頒布《信息安全等級保護管理辦法》(公通字[2007]43號,以下簡稱《管理辦法》),明確了信息安全等級保護制度的基本內容、流程及工作要求,進一步明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務,為開展信息安全等級保護工作提供了規范保障。
三、開展信息系統安全等級保護工作的必要性和重要性
⒈開展信息系統安全等級保護工作的必要性
隨著網絡新技術的飛速發展和各類信息系統的廣泛應用,網絡與信息安全也相應出現了許多新情況、新問題,福建省網絡與信息安全防護工作面臨的形勢十分嚴峻。這就使得開展信息系統安全等級保護工作成為必然。
一是網上斗爭日趨復雜,不確定性增強。由于在互聯網上傳播信息具備快速便捷、低成本、無國界、易消除痕跡、技術變化快等特點,使互聯網成為境內外敵對勢力、敵對分子從事各種破壞活動的重要工具。我國將長期面臨敵對勢力的信息優勢、技術優勢所帶來的信息安全威脅。
二是網絡違法犯罪活動迅速增多,造成的后果越來越嚴重。隨著新技術、新應用的發展,暴露出來的網絡與信息安全問題也日益增多。
三是漏洞數量居高不下,利用漏洞發起攻擊仍是互聯網最大的安全隱患。安全漏洞是指在網絡系統中硬件、軟件、協議和系統安全策略等存在的缺陷和錯誤,攻擊者利用這些缺陷和錯誤可以對網絡系統進行非授權的訪問或破壞。
四是計算機病毒傳播和對網絡非法入侵十分嚴重。據公安機關調查,2007年1-6月,我國平均每月截獲計算機病毒6.6萬個,累計感染計算機達1.18億臺次。2007年初在我國發生的“熊貓燒香”病毒案,短時間內就出現病毒變種700余個,感染了445萬臺計算機,大批網民的網上帳號、口令被竊取。
⒉開展信息系統安全等級保護工作的重要性
開展信息安全等級保護工作,就是要解決我國信息安全面臨的威脅和存在的主要問題,按標準建設安全保護措施,建立安全保護制度,落實安全責任,加強監督檢查,有效保護重要信息系統安全,有效提高我國信息和信息系統安全建設的整體水平。
建立信息安全等級保護制度,開展信息安全等級保護工作,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式。
四、加快推進福建省重要信息系統安全等級保護工作
2007年7月20日,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室在北京聯合召開“全國重要信息系統安全等級保護定級工作電視電話會議”,部署在全國范圍內開展重要信息系統安全等級保護定級工作。8月13日,福建省公安廳、省保密局、省委機要局、數字福建建設領導小組辦公室等四家單位也聯合召開“福建省重要信息系統安全等級保護定級工作電視電話會議”。這標志著福建省重要信息系統安全等級保護工作正式啟動。
信息系統安全保護工作的首要環節是定級,定級工作是開展信息系統建設、整改、測評、備案、監督檢查等后續工作的重要基礎。信息系統安全級別定不準,系統建設、整改、備案、等級測評等后續工作都將失去針對性。此次福建省重要信息系統安全等級保護工作將分四個階段進行。
1.突出重點,全面準確劃定定級范圍和定級對象
此次重要信息系統定級的范圍是國家基礎信息網絡和重要信息系統,這些網絡和系統廣泛分布在各級黨政機關和電信、廣電、鐵路、銀行、民航、海關、稅務、電力、證券、保險等數十個行業。將這些基礎信息網絡和重要信息系統納入此次定級的重點范圍,體現了統籌規劃、突出重點、重點保障基礎信息網絡和重要信息系統安全的總體要求和原則。
2.依據《管理辦法》,準確確定信息系統安全保護等級
福建省各運營使用單位和主管部門在全面分析各自信息網絡和信息系統在國家安全、社會秩序、公共利益等方面的作用和影響的基礎上,根據信息網絡和信息系統被攻擊破壞后對國家安全、社會秩序和公共利益等方面可能造成的危害程度等因素,依據《管理辦法》,參照《定級指南》所提供的定級方法,綜合確定信息系統的安全保護等級。在確定等級的過程中,要最大限度地避免定級的盲目性、隨意性,力爭做到定級準確、科學、合理。
3.及時備案,加強對定級工作的監督、檢查和指導
為全面掌握基礎信息網絡和重要信息系統的單位和系統的基本情況,保護重點領域的重要信息網絡和信息系統,凡是安全保護等級為第二級以上的信息系統運營使用單位或主管部門要按照《管理辦法》的要求,到公安機關進行備案。公安機關受理備案后要對備案材料進行審核,加強對重要信息系統安全等級保護定級工作的監督、檢查和指導;對定級不準的,要及時通知備案單位重新定級。
4.依據《管理辦法》和技術標準,開展整改、測評等工作
信息系統的安全保護等級確定后,運營使用單位要按照信息安全等級保護管理規范和技術標準,使用符合國家有關規定、滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作,建設符合等級要求的信息安全設施;參照信息安全等級保護管理規范,制定并落實安全管理制度;選擇符合《管理辦法》規定條件的測評機構,依據技術標準對信息系統安全等級狀況開展等級測評,使其盡快達到等級要求的安全保護能力和水平。
五、加大力度,確保福省重要信息系統安全等級保護工作任務落到實處
隨著北京奧運會的日益臨近,特別是“科技奧運”和“數字奧運”是2008年北京奧運會的一大亮點,信息安全等級保護的工作任務艱巨,責任重大。福建省公安、保密、密碼工作和信息化等部門要密切配合,及時開展監督、檢查,嚴格審查信息系統所定級別,積極開展備案、整改、測評等工作。同時,充分利用廣播電視、報刊雜志、互聯網等媒體,加大對國家信息安全等級保護制度的宣傳力度,積極開展面向不同層次、不同對象的宣傳、培訓,以確保福建省重要信息系統安全等級保護工作落到實處。
1.明確職責,落實責任
各級公安機關要積極向當地黨委、政府專門匯報,主動爭取黨委、政府對信息安全等級保護工作的重視和支持;或者成立專門的等級保護工作直轄市領導小組,加強對定級工作的領導,研究制定定級工作實施方案。各運營使用單位及其主管部門要按照“誰主管誰負責、誰運營誰負責”的要求,明確主管領導和責任部門。各信息系統主管部門要切實加強對定級工作的組織、領導,落實等級保護各項責任,督促、指導本行業、本系統開展定級、備案、建設整改等工作。
2.密切配合,通力協作
各級公安機關作為開展等級保護工作的牽頭部門,要加強同保密、密碼工作、信息辦等其他信息安全職能部門的協調、配合,盡快建立健全信息安全等級保護監管工作的協調配合機制;要主動與信息系統主管部門交流溝通,督促配合其組織下屬信息系統運營、使用單位建立信息安全責任制,建立并落實等級保護制度,從而確保等級保護工作的順利、有效實施。
3.加強宣傳,強化培訓
一、工作目標
通過深入開展此次專項活動,確保全市重要信息系統能夠全面進行準確定級和審核備案;全面組織等級測評和風險評估;全面開展監督檢查和建設整改;全面落實管理制度和安全責任,努力實現我市信息安全等級保護工作規范化、制度化、常態化的管理目標,不斷提高重要信息系統安全防范能力和應急處置能力,為建國周年慶典活動創造一個良好的網絡環境。
二、工作任務
(一)全面進行準確定級和審核備案。各部門、各單位要參照國家機關、中央企事業單位及省直機關、省屬企事業單位已審核的信息系統安全保護等級,對本單位信息系統全面進行定級和審核備案。對于已經定級、備案的系統,凡符合上級國家機關、企事業單位安全保護等級的,可不再重新定級和審核備案,否則均要重新定級和審核備案;對于尚未定級和審核備案的系統,都要比照上級部門信息系統安全保護等級逐一進行定級備案。其中,安全保護等級確定為一級的信息系統,公安機關應做好登記工作。安全保護等級確定為二級以上的信息系統,各信息系統運營使用單位要在公安機關辦理審核備案手續,填寫《信息安全等級保護備案表》,實行審核備案管理。全市重要信息系統定級和審核備案率要達到100%。
(二)全面組織等級測評和風險評估。關系到我市國計民生或影響面較大的二級信息系統和三級以上(含三級)的重要信息系統都要按照《信息安全等級保護管理辦法》及省發改委、省公安廳、省國家保密局《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》要求,全面開展等級測評及風險評估工作。其初次測評及風險評估率應達到61%以上(其他尚未開展初次測評的系統應于年上半年完成)。
(三)全面開展監督檢查和建設整改。關系到我市國計民生或影響面較大的二級信息系統和三級以上(含三級)的重要信息系統都要按照《公安機關信息安全等級保護檢查工作規范》規定的檢查內容、檢查項目、檢查要求等,全面組織開展安全等級保護監督檢查和限期整改工作,其監督檢查率應達到100%,限期整改率應達到80%以上。其他被定為二級(含二級)以下的信息系統,可由信息系統運營使用單位進行自查和整改。
三、工作步驟
(一)定級與備案階段(8月18日至9月15日)。市專項活動領導小組在8月31日前進行組織動員和工作部署,開展信息系統普查,全面摸清底數,掌握基本情況,確定定級對象。9月15日前,各重要信息系統運營使用單位要對照上級國家機關、企事業單位已審核備案的信息系統安全保護等級,對應確定本單位信息系統安全保護等級,并做好申報備案。對審核符合安全保護等級要求的,由市專項活動領導小組頒發信息安全等級保護備案證明。凡審核定級不準的,應重新評審確定,為等級測評和檢查整改奠定基礎。
(二)測評與檢查階段(9月15日至11月30日)。市專項活動領導小組將對關系我市國計民生的二級信息系統及三級以上(含三級)信息系統開展安全等級測評和風險評估。市專項活動領導小組督促、指導各單位積極做好信息安全等級保護和監督檢查工作。各重要信息系統運營使用單位要按照國家《信息安全等級保護管理辦法》和省發改委、省公安廳、省國家保密局《轉發國家有關部門關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》精神,提前做好人員、技術、經費等各項準備工作,按時完成信息系統等級測評和風險評估。
(三)總結與整改階段(12月1日至12月31日)。市專項活動領導小組根據信息系統安全等級測評和風險評估中發現的安全隱患和問題,向運營使用單位下發《整改通知書》,要求該單位限期對安全設施、技術措施、管理制度、安全產品、管理人員等方面存在的問題進行全面整改。各單位要制定相應的建設整改方案,認真搞好安全隱患的整改工作。
四、工作要求
(一)統一思想認識,切實加強領導。各地各有關部門要充分認識當前重要信息系統安全面臨的嚴峻形勢,進一步增強做好信息安全等級保護工作的責任感和緊迫感,務必把此項工作作為事關國家安全和社會穩定,特別是國慶61周年安全保衛的一項重要政治任務,納入議事日程,擺在應有位置。為切實加強領導,成立荊州市深入開展全市重要信息系統安全等級保護管理專項活動領導小組(名單附后),領導小組在本次專項活動完成后,繼續擔負我市重要信息等級保護工作的組織領導職責。要建立健全信息安全等級保護協調領導體制和工作機制,精心組織實施信息安全等級保護管理工作。各地各有關部門分管領導要親自掛帥指揮,按照“誰主管,誰負責,誰使用,誰負責”的原則,成立領導小組,建立工作專班,確立聯絡人員,迅速行動、全力以赴,大張旗鼓地組織開展等級保護工作。
(二)深入動員部署,精心組織實施。各重要信息系統運營使用單位要制定好本單位信息系統安全等級保護工作實施方案,準確定級,并將相關資料上報市專項活動領導小組辦公室。在定級完成后,要積極做好測評準備工作,在人力、財力上給予充分保障。對檢測出來的問題要及時向主管領導和上級部門報告,立即整改,把專項活動的各項要求落到實處。
《中國標準導報雜志》2015年第四期
1信息系統安全等級保護測評依據的標準
GB/T28449—2012《信息安全技術信息系統安全等級保護測評過程指南》規定了信息系統安全等級保護測評工作的測評過程,既適用于測評機構、信息系統的主管部門及運營使用單位對信息系統安全等級保護狀況進行的安全測試評價,也適用于信息系統的運營使用單位在信息系統定級工作完成之后,對信息系統的安全保護現狀進行的測試評價,獲取信息系統的全面保護需求。GB/T28448—2012《信息安全技術信息系統安全等級保護測評要求》針對信息系統中的單項安全措施和多個安全措施的綜合防范,對應地提出單元測評和整體測評的技術要求,用以指導測評人員從信息安全等級保護的角度對信息系統進行測試評估。GB/T22239—2008《信息安全技術信息系統安全等級保護基本要求》根據現有技術的發展水平,提出和規定了不同安全保護等級信息系統的最低保護要求,即基本安全要求,包括基本技術要求和基本管理要求,該標準適用于指導不同安全保護等級信息系統的安全建設和監督管理。
2整合實施的思路
2.1審核與測評的過程整合整合是為了在組織內部建立一套信息安全管理體系及制度,而且該制度既符合信息安全管理體系又符合信息系統安全等級保護的管理要求,并給組織帶來收益,避免不必要的沖突和資源浪費。根據對審核和測評的過程分析得知審核從表面上執行了測評的管理內容,但從整個審核和測評活動可得出,兩者的活動內容和組織方式非常相似,因此具備很強的整合條件,兩者的具體活動如表1所示。
2.2審核與測評的控制措施整合整合GB/T22239—2008中的控制措施部分與GB/T22080—2008的附錄A完全可行,且整合后可避免多余、重復的管理資源。如GB/T22239—2008三級信息系統對資產管理的要求和GB/T22080—2008中的“A.7資產管理”基本保持了一致,具體標準條款映射如表2所示。若組織內存在等級保護三級或三級以上的信息系統,則該組織應建立信息安全管理制度體系,這與組織單獨建立ISMS所達到的目標基本一樣,從整合的角度來看,通過實施整合,可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。
3結語
信息系統安全等級保護測評和信息安全管理體系審核,都是為實現和強化信息安全管理,做到分清責任機構,確認安全制度,預防和應對可能發生或者已經發生的信息系統管理問題。因此隨著信息化工作的不斷發展,信息安全管理體系審核和信息系統安全等級保護測評必將走上一條能夠融合的道路。
作者:胡娟 謝宗曉 單位:公安部第三研究所 南開大學商學院
【關鍵詞】電力;信息系統;信息安全;等級保護
隨著科學技術的快速提高,我國的信息化發展迅速,信息化在各行各業都得到廣泛應用。城市電網是經濟社會發展的重要基礎設施,是能源產業鏈的重要環節。隨著信息、通信技術的廣泛應用,智能化已成為世界電網發展的新趨勢。電力企業網絡建立信息安全等級保護制度旨在為國家信息安全保護工作建立起一個長久有效的安全機制,保障信息化建設的健康發展。然而目前我國電網的信息安全等級保護政策的實施處于初步進行階段,還有很多工作需要完成。這需要業內外人士的共同參與,為保障信息安全盡最大的努力。同時伴隨著計算機技術的發展,信息安全等級保護技術和水平也要不斷優化升級,確保能夠及時解決安全保護中遇到的問題,讓信息安全等級保護政策的實施暢行無阻。
1 電力信息安全等級保護
信息系統等級保護制度是我國信息安全領域一項重要政策,信息系統安全等級保護是指對信息安全實行等級化保護和等級化管理。根據信息系統實用業務重要程度及其安全實際需求,實行分級、分類、分階段實施保護,保障信息安全和系統安全穩定運行,維護國家利益、公共利益和社會穩定,等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度,保障重要信息資源和重要信息系統的安全。
1.1 等級保護定級
信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度,其中等級保護對象受到破壞時所侵害的客體包括三方面:公民、法人和其他組織的合法權益,社會秩序、公民利益,國家安全。等級保護對象受到破壞后對客體造成侵害的程度分為三種:一般損害,嚴重損害,特別嚴重損害。定級要素與信息系統定級的關系見下表所示。
1.2 基本要求與主要流程
等級保護的基本要求是:各基礎信息網絡和重要信息系統,按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成等級保護的定級、備案、整改、測評等工作。公安機關和保密、密碼工作部門要及時開展監督檢查,嚴格審查信息系統所定級別,嚴格檢查信息系統開展備案、整改、測評等工作。等級保護的主要流程包括6項內容。
(1)自主定級與審批:信息系統運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統的安全保護等級。有上級主管部門的,應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。
(2)評審:在信息系統確定安全保護等級過程中,可以組織專家進行評審。對擬確定為第4級以上信息系統的,運營使用單位或主管部門應當邀請國家信息安全等級專家評審委員會評審。
(3)備案:第2級以上信息系統定級單位到所在地的市級以上公安機關辦理備案手續。
(4)系統安全建設:信息系統安全保護等級確定后,運營使用單位按照慣例規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實信息安全管理制度。
(5)等級測評:信息系統建設完成后,運營使用單位選擇符合管理辦法要求的檢測機構,對信息系統安全等級狀況開展等級測評。
(6)監督檢查:公安機關依據信息安全等級保護管理規范,監督檢查運營使用單位開展等級保護工作,定期對第3級以上的信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
2 電力信息系統等級保護工作開展
2.1 信息系統定級及審批
2007年7月,公安部、國家保密局、國家密碼管理局、國務院信息辦聯合下發《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號),按照有關工作要求,國家電力監管委員會開展了電力行業等級保護定級工作,并印發《關于開展電力行業信息系統安全等級保護定級工作的通知》(電監信息[2007]34號),電力公司按照《國家電網公司信息系統安全保護等級定級指南(試行)》(信息技術[2007]60號)對公司信息系統進行定級,按照要求填寫定級報告和備案表,并報送國家電力監管委員會組織評審和審批。主要涉及4個3級系統、11個二級系統,具體見表2。
2.2 信息系統等級保護備案
公司完成信息系統的定級工作后,開始對信息系統進行等級保護備案,認真填寫《信息系統安全等級保護備案表》,梳理完成所有資料準備后,于2011年向省公安廳提交了等級保護備案材料,最終公司15個管理信息系統完成了等級保護備案工作。
2.3 等級保護測評及整改工作
2011-2012年,按照國家電力監管委員會要求,北京華電卓識信息安全測評技術中心相繼完成對公司電力市場交易系統、ERP系統、財務管理系統、營銷管理等15個系統的等級保護測評工作。
公司積極組織、協調、配合測評隊伍,遵循“流程規范、方法科學、結論公正”的原則,按照國家等級保護測評工作的有關標準、規范的要求,根據《電力行業信息系統安全等級保護要求(試行)》開展測評工作,公司信息系統等級保護測評符合率達到95%以上,順利通過了等級保護測評,但是測評中還是發現了部分問題,主要包括:
(1)網絡設備不具備雙因子驗證
根據國家《信息系統安全等級保護基本要求》規定,第2級以上(不含)信息系統網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別,按照此項基本要求,限于硬件條件,公司三級信息系統尚達不到安全防護要求。
(2)數據庫審計功能未開啟
根據國家《信息系統安全等級保護基本要求》規定,第2級及以上信息系統審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶;系統不支持該要求的,應以系統運行安全和效率為前提。按照此項工作要求,公司部分系統未開啟數據庫審計功能,亦未部署第三方審計產品。
測評工作結束后測評人員對測評過程結果及以上問題進行了反饋,公司根據測評中發現的各類問題做好問題整改工作,確保公司信息系統安全穩定運行。整改工作如下:
1)網絡設備未設置雙因子認證。對于不具備雙因子驗證條件的問題,公司正在加快建設統一數字認證系統,系統上線后可實現雙因子驗證。
2)數據庫審計功能未開啟。因開啟數據庫審計功能會對系統性能產生較大影響,公司近期計劃購置部署第三方審計產品。
3 結束語
電力公司近年來高度重視信息安全工作,信息安全等級保護工作卓有成效,通過落實信息安全等級保護制度,開展管理制度建設、技術措施建設、落實等級保護各項工作要求,使信息系統安全管理水平明顯提高,安全防護能力顯著增強,安全隱患和安全事故明顯減少,有效保障公司信息化工作健康發展,公司下一步工作重點應著手對等級保護測評發現的各項問題進行整改,保障公司網絡及信息系統安全穩定運行。
參考文獻:
[1]王雪莉.淺談信息安全等級保護問題[J].數字技術與應用,2012.
[2]易振宇.電力信息系統等級保護實施淺談[J].信息安全與通信保密,2011.
一、指導思想
信息安全等級保護制度是全區信息安全保障工作的一項基本制度,實施信息安全等級保護是社會信息化進程中的一件大事,是維護國家基礎信息網絡和重要信息系統安全最直接、有效的措施。通過深化信息安全等級保護,全面推動重要信息系統安全整改和測評工作,增強信息系統安全保護的整體性、針對性和實效性,提高信息安全保障能力,維護國家安全、社會穩定和公共利益,保障和促進信息化建設。
二、組織領導
成立區信息安全等級保護工作領導小組。由區政府副區長李彥俠擔任組長,區政府電子政務辦、公安分局、區國家保密局為成員單位,領導小組下設辦公室,辦公室設在公安分局網監大隊,由網監大隊大隊長韓迎飛兼任領導小組辦公室主任,具體負責日常事務。
三、職責分工
公安分局負責信息安全等級保護工作的監督、檢查、指導。區國家保密局負責等級保護工作中有關保密工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。區政府電子政務辦負責等級保護工作部門間的協調工作。
四、工作目標
通過開展信息安全等級保護工作,使全區重要信息系統能夠全面進行準確定級和審核備案,建立健全信息安全等級保護職能部門、行業主管部門、信息系統運營使用單位渠道暢通、責任明確、運作協調、通力合作的信息系統安全等級保護工作機制。
五、定級范圍
(一)基礎信息網絡、互聯網接入服務單位、互聯網數據中心、大型互聯網信息服務單位重要信息系統。
(二)鐵路、銀行、海關、稅務、民航、電力、證劵、保險、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、衛生、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。
主要單位包括:區法院、區檢察院、公安分局、區科協、區教育局、區住建局、區農業局、區衛生局、區計生局、區商務局、區工業辦、區果業局、國土分局、國稅分局、環保分局、工商分局、區人才交流中心。
(三)黨政機關的重要網站和辦公信息系統。
(四)涉及國家秘密的信息系統。
(五)其它重要信息系統。
六、工作內容
(一)開展信息系統基本情況的摸底調查。區信息安全等級保護工作領導小組對全區各行業、各單位所屬信息系統進行摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《信息安全等級保護管理辦法》的要求,確定定級對象。
(二)召開區信息安全等級保護工作會議。召集全區信息系統運營使用單位或主管部門召開一次專門的會議,在會議上宣布信息安全等級保護工作的相關情況,并印發《信息系統安全等級保護備案表》,要求信息系統運營使用單位或主管部門在規定的時間內報送到領導小組辦公室。
(三)備案。根據《信息安全等級保護管理辦法》,信息系統運營使用單位或主管部門持《信息系統安全等級保護備案表》及相關手續到網監大隊辦理備案手續,提交有關備案材料。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,向市公安局網安支隊備案。信息系統建設使用單位依據《信息安全等級保護管理辦法》和國家保密局的有關規定,按照屬地管理原則,地方單位的信息系統向所在地的區保密局備案。
(四)備案管理。信息系統備案后,網監大隊對信息系統的備案情況進行審核,發現不符合《信息安全等級保護管理辦法》及有關標準的,應當通知備案單位予以糾正。
(五)監督檢查。區政府電子政務辦、公安分局、區國家保密局等單位將從今年起聯合對各重要信息系統行業主管部門、運營使用單位開展的等級保護工作進行監督、檢查、整改,對拒不落實安全等級保護工作的單位,將依法予以嚴肅處理。
七、工作要求
(一)加強領導,落實保障。各行業主管部門、各重要信息系統運營使用單位要落實責任部門、責任人員,并于4月20日前將《信息系統安全等級保護備案表》及相關備案資料報送領導小組辦公室備案,保障定級工作順利進行。
(二)明確責任,密切配合。定級工作由區政府牽頭,組織區政府電子政務辦、公安分局、區國家保密局、共同實施。各單位必須各司其職,加強聯系,切實做好重要信息系統的安全等級保護。
[關鍵詞]企業發展 信息化發展 網絡安全 策略
中圖分類號:TU758.7 文獻標識碼:A 文章編號:1009-914X(2016)04-0071-01
引言
現代信息技術的發展和應用,促進了我國社會的快速發展,現代信息技術的應用領域在不斷擴大,在人們的工作、生活、學習等過程中都有所應用,尤其是在企業信息化過程中,扮演的角色越來越重要。信息技術的應用給我們的生活帶來了很大的變化,在企業的發展過程中,也積極加強了對信息系統的應用。隨著計算機信息技術為越來越多的人所接受,各種信息的泄露、不良信息的傳播成為人們使用網絡時的安全憂患。尤其是各種信息的泄露,導致當前很多人的生活受到影響,企業管理過程中應該要加強對安全隱患的防范,可以使得企業的管理水平得到提升。
一、企業信息化過程中的安全隱患
在新的時代背景下,企業管理過程中加強對信息化的應用,可以使得企業的各項資料、信息管理更加井然有序,并且可以提高信息資料傳遞的速率,使得企業的管理效率不斷提升。但是由于信息系統本身就面臨一些威脅,所以企業網絡信息安全在進行傳遞、存儲以及使用的過程中,都面臨著較大的危害。一些企業網絡信息安全系統存在軟件和硬件的漏洞,比如一個惡意的數據包就有可能導致各種設備出現癱瘓,最終使得各種信息出現泄漏。這些危害很有可能導致企業網絡信息的安全受到威脅,嚴重時還有可能導致整個信息系統出現癱瘓。比如一些企業中存儲有關于國家歷史的文件資料,一旦出現了信息安全危害,嚴重時還會對整個國家造成影響。在企業的發展和管理過程中加強對信息系統的應用,常常出現的一個嚴重的問題就是信息泄露。信息泄露主要有幾個方面,第一,失密、泄密。失密、泄密指的是非法的用戶在使用過程中采用各種違法的手段獲取企業的信息從而導致信息出現泄漏的現象。企業網絡信息的失密和泄密的途徑主要有幾種,即磁泄漏、傳輸泄漏、偵收破譯泄密、存儲不利泄露等。這種泄密方式具有不可見性和不易察覺性,危害比較嚴重、持續時間也比較長。這種對于企業以及各種機構組織產生的影響比較大,很有可能會導致一些機密信息的出現。第二,數據遭受破壞。企業在日常管理過程中往往會利用計算機技術、互聯網等對各種信息進行傳遞,在這個過程中也會對信息進行相應的處理,比如企業的工作人員在利用網絡上傳或者下載信息的時候,有些資源會被壓縮,在信息處理過程中最容易出現數據破壞的現象,這種信息的破壞往往是不可逆轉的,也就是修改之后的數據恢復起來難度比較大。第三,網絡入侵威脅。由于當前的時代是信息網絡時代,企業網絡系統的基礎是互聯網,沒有網絡,企業的網絡系統不能正常工作。但是企業網絡系統應用的過程中,往往會存在很多惡意的侵犯,最終使得信息受損。
二、 企業網絡信息安全隱患的防護
在新形勢下,企業的信息化發展是一個必然的趨勢,在這個過程中,必須要加強對網絡信息安全的保護,加強對計算機系統的安全保護,從而使得企業發展過程中能夠對各種信息進行加密處理,確保企業的健康發展。
(一)加強工作人員對信息安全工作的重視
在企業的發展過程中,工作人員對信息安全工作的重視程度如何,將會對企業的發展帶來十分重要的影響,只有不斷提高工作人員的信息安全意識,才能從根本上杜絕一些危害的出現。比如引導企業的工作人員形成安全意識,使得他們在使用計算機以及網絡的時候可以注意不要去點一些不安全的網站,不會下載一些非法的東西,從而確保企業的信息系統的運營環境的安全性,確保企業的各種信息數據可以得到有效的保護。
(二)采用技術手段對各種安全隱患進行控制
在企業的發展過程中,為了對各種信息進行安全保護,則必須要從技術手段加強安全保護,比如對于企業的電腦,要安裝防病毒系統,購買一些正版的殺毒軟件,安裝防火墻等,使得企業的信息系統可以得到有效的保護,加強對病毒的預防,從而不斷提高企業的信息安全水平。其次,對于企業發展過程中的各種重要的信息要進行加密處理,尤其是在各種商業信息,是企業發展過程中的重要內容,為了防止信息被黑客竊取,則可以使用相應的數據加密技術,使得密碼破譯的難度增大,從而對一些違法的入侵行為進行規避,這種方法可以規避數據破壞、竊聽等惡意行為。另外,在企業內部應該要建立一個相對獨立的網絡,從而可以對企業發展過程中的各種信息進行有效的傳遞,使得信息傳遞的網絡環境是健康的,相關的技術人員應該要定期對該網絡進行檢查,確定內部網絡的健康性。
(三)加強企業網絡信息安全管理體制的建立
在企業網絡信息安全防護過程中,應該要對管理制度進行完善,首先要定期修改管理制度,加強對技術人員安全的培訓,以更好地適應現代化信息社會。其次,要開發計算機信息與網絡安全的監督管理系統,并且對安全監管系統的管理責任進行細分,落實到具體的責任人身上,一旦出現網絡信息安全時要及時找到相應的責任人,對網絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,實現安全保護責任制,逐漸實現企業網絡信息完全管理的科學化和規范化發展。第三,在管理的過程中,要對企業的安全技術管理人員的責任進行確定,一旦企業的信息系統出現了安全問題,則應該要按照相應的責任關系找到責任人,對具體的責任進行承擔,從而使得企業的信息安全系統管理更加科學。
結語
綜上所述,在信息技術時代,信息網絡系統在企業管理過程中的應用越來越多,同時也產生了較大的信息安全隱患。對此要積極加強信息安全工作,從人員安全意識的提升以及應用安全防護技術手段角度著手,對企業的信息安全保護工作進行加強,并且建立相應的嚴密的管理制度,從而使得企業的網絡信息安全管理工作水平可以得到有效的提升,促進企業在信息化過程中的健康發展。
參考文獻
[1] 余人杰.淺談網絡設備的安全隱患及其防范措施[J].計算機光盤軟件與應用,2014(12).
清晰明了等級保護制度
畢馬寧認為要開展信息安全等級保護工作,首先應該弄明白什么是等級保護,“等級保護是我們國家以法律形式固定下來的一個關于國家信息安全保障體系建設和保護關鍵基礎設施的基本國家制度”,而信息安全等級保護制度的法律依據則是1994年國務院的《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)。
其次,還應該明白信息安全等級保護的等級概念。“等級保護簡單地說,等級是手段,目的是保護”,而等級的劃分是根據信息系統在國家安全、經濟建設、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,將信息系統劃分為不同的安全保護等級并對其實施不同的保護和監管。畢馬寧強調:“信息系統的重要程度不是由系統的技術性所決定,而是由這個系統的社會屬性所決定的。”比如,同樣是財務系統,銀行的財務系統與某小型企事業單位的財務系統所承載的應用對社會秩序、國家安全的影響是不一樣的,一旦遭到破壞,銀行財務系統對社會秩序和國家安全的負面影響更重大。“所以,原衛生部才會要求全國的三級甲等醫院的核心系統通過第三級測評。”他說。
一體之兩翼
其實信息安全等級保護并非我國獨創,而是借鑒國際已有的信息安全風險管理理論和方法,并結合我國信息安全管理的特色,制定的具有中國特色的信息安全等級保護制度。現階段整個人民生活、社會運行,包括政府的運行,都跟信息化密不可分。信息化已經從原來的輔助作用變成支撐作用,成為機構、企業發展,獲得價值或者改善自身生存,為社會做貢獻的一個利器、一個支撐平臺。“正如所說的,一個國家的發展,一個民族的發展,需要‘一體兩翼’,‘一體’是發展;‘兩翼’,則是信息化和信息安全保障。想要發展就缺一不可。”畢馬寧說,“等級保護制度是對信息系統做風險控制,是一種國家風險管理行為。可以說等級保護制度就是國家風險管控手段。它雖然不能完全保證信息系統不出事,但起碼能夠保證信息系統少出事,或者是風險可控的,而且一旦出了事我們知道如何去應對。”
等級測評工作的目的和意義
等級保護是要通過定級、備案、建設整改來提升信息系統安全防護能力,安全建設整改工作完成后,如何檢驗效果?這就是等級測評工作的目的和意義。等級測評是檢測評估信息系統安全保護狀況是否達到相應等級能力要求的過程,是落實信息安全等級保護制度的重要環節。
畢馬寧認為,“等級測評是等級保護工作推進過程中的一項能力技術判斷活動,它是一個必備的環節。”他還建議:“不要把等級測評工作當作是考試,應該是把等級保護工作重點放在準確定級、建設整改上,逐步提升信息系統的安全防護能力,通過等級測評來發現自己的問題,再明確下一步的方向,這是最關鍵的。”
等級測評工作也可以在定級備案之后,安全建設或整改之前開展,因為“公安機關賦予了等級測評機構提供咨詢的權利和義務,可以站在用戶的角度幫他們做咨詢服務”,畢馬寧解釋:“作為評估中心,我們不僅要發現問題,還要跟用戶共同商量解決問題,這也是服務型政府的一個特點。”
對醫療衛生行業信息安全等級保護工作的建議
關鍵詞:項目預算監控;中醫藥;信息安全
DOI:10.3969/j.issn.1005-5304.2016.11.002
中圖分類號:R2-05 文獻標識碼:A 文章編號:1005-5304(2016)11-0004-04
Abstract: With constant development and application of new generation information technology such as big data, cloud computing and Internet of Things, traditional management style and thought patterns of TCM are being changed. It is particularly important to introduce information security into budget management of TCM projects. This article discussed security factors in TCM budget monitoring platform, organized key contents of information security construction, built information security model for monitoring platform, and analyzed security strategies for the construction of TCM budget monitoring platform, with a purpose to guarantee effective implementation of budget information management measures of TCM projects.
Key words: project budget monitor; traditional Chinese medicine; information security
信息化是經濟與社會發展的創新驅動力。大數據、云計算、物聯網等新一代信息技術的不斷發展和應用,加快了我國中醫藥信息化建設的步伐,改變著傳統中醫藥管理方式和思維模式。隨著信息技術在中醫藥行業各業務的深入應用,信息加密、病毒防護、身份鑒別、訪問控制、入侵防范、數據保護等安全問題越來越突出。中醫藥項目預算監控平臺(以下簡稱“監控平臺”)作為中醫藥重點信息化工程,構建了國家、省級、基層單位三級信息網絡平臺,覆蓋全國31個省、3000余家基層單位,對信息安全工作提出了更高的要求。為此,筆者以監控平臺安全建設為基礎,深入分析影響監控平臺的安全因素,從安全保護等級確定、信息安全模型構建、物理環境和網絡體系創建、自身安全策略制定、數據傳輸通道建立、安全管理制度、人員培養等方面探討信息安全的應用。
1 中醫藥項目預算監控平臺安全隱患分析
1.1 項目預算信息
中醫藥項目預算是反映中醫藥事業發展政策的具體措施,主要涉及項目經費分配、預算執行、組織實施、項目績效等信息,若預算經費信息被篡改,將影響中醫藥行政部門的權威性和可信度,易造成基層單位項目經費下達與執行數據不符[1]。預算執行是反映項目建設單位經費使用和任務完成的具體體現,若執行數據被篡改,將影響預算執行過程監管的精準性,造成對項目建設單位執行能力和效率的決策失準。
1.2 監控平臺
監控平臺的數據中心承載著中醫藥項目預算監控數據的計算、信息資源管理與服務等主要功能,支持數據安全存儲,提供持續可靠的信息服務,其安全對信息服務和運行能力提升至關重要。
1.2.1 物理因素 監控平臺所應用的服務器、交換機和路由器等網絡設備,以及防火墻、入侵檢測、漏洞掃描等安全設備都運行在數據中心,保證這些設備的安全是監控平臺穩定運行的前提。若遇盜竊、突然斷電等,監控平臺將無法運行。
1.2.2 網絡體系 監控平臺網絡體系設計不規范、不能滿足業務發展需求,交換機、路由器等網絡設施和防火墻、網絡審計、行為管理等安全設備的選型、部署、使用、管理與中醫藥項目管理業務處理能力和安全需求不協調,安全策略規則不符合中醫藥項目預算管理流程,安全設備不能有效監測和防御,易出現中醫藥項目經費監控數據不準確、監控手段不靈敏、監控時效性不強,使中醫藥管理部門科學決策受影響。
1.2.3 系統服務器 監控平臺服務器運行著數據庫、系統軟件及電子簽章等,存儲了所有中醫藥項目預算實時監控數據,是監控平臺運行的關鍵設備。其操作系統和數據庫易存在默認的、多余的、長期不使用的、共享的賬戶,用戶口令長度和復雜度不符合等級保護要求,各類補丁未能及時更新,這些均容易給網絡黑客破壞監控平臺服務器創造條件,導致監控數據丟失、數據庫信息被篡改等。
1.2.4 信息系統 監控平臺除依賴于網絡安全、操作系統、數據庫等安全措施外,其自身也需部署相應安全策略,如用戶身份識別、口令長度和復雜度控制、用戶訪問權限和粒度設置、用戶登錄與操作痕跡的不可否認性、最大并發會話連接數等,這些因素均是監控平臺信息系統在開發設計階段需要考慮的。
1.3 監控信息傳輸
監控平臺在互聯網和局域網中同時應用,互聯網傳輸易遭受黑客和惡意軟件攻擊,存在諸多人為因素破壞的潛在威脅。監控平臺在國家層面、省級、基層單位之間的數據傳輸依托互聯網,如何保證數據的完整性、抗否認性、準確性,需要重點考慮,如采用加密、訪問控制、安全認證等措施;國家級平臺和省級平臺內部使用的安全性取決于單位內部網絡體系安全建設[2]。
1.4 用戶終端
監控平臺采用B/S模式,用戶終端涉及全國中醫藥項目建設單位,且無需運行任何程序,但終端的安全短板效應依然會影響監控平臺整體安全防護能力,如操作系統漏洞、防病毒軟件缺失、USB Key丟失、帳號/密碼泄露等,易給攻擊者假冒合法用戶進行某些破壞動作留下可乘之機。
1.5 系統管理維護
監控平臺覆蓋范圍廣,用戶復雜、水平參差不齊,若無健全的安全管理制度,特別是安全管理或使用人員操作手冊缺失,易產生人為的誤操作等;系統管理員、安全保密管理員、安全審計員的職責不清、人員不明,安全策略管理手段缺乏,易造成監控平臺運行維護的混亂;數據備份與恢復管理缺乏,易引起備份數據的不可恢復、監控數據的永久丟失;系統應急預案和演練缺乏,一個很小系統安全問題可能出現監控平臺長時間癱瘓、數據丟失等。
2 中醫藥項目預算監控平臺的安全措施
2.1 確定監控平臺安全保護等級
監控平臺建設初期,我們分析中醫藥項目預算管理的信息化和安全防護需求,邀請中醫藥財務、信息安全、信息技術等領域專家規劃和設計網絡拓撲結構和體系框架,確定監控平臺的應用覆蓋面、預算管理業務依賴性、系統數據敏感度、平臺服務范圍等。監控平臺業務信息和系統服務受到破壞時,所侵害客體是國家和各級中醫藥管理部門、中醫藥項目建設單位,中醫藥項目預算管理和執行信息篡改、不準確,將會嚴重影響國家和各級中醫藥管理部門的公信力和權威性,業務信息破壞達到嚴重損害程度,所以,業務信息安全保護等級確定為第三級。監控平臺主要為國家和各級中醫藥管理部門、中醫藥項目建設單位提供系統服務,當其遭到破壞時對使用人員損害程度比較有限,所以,系統服務安全保護等級確定為第二級。根據信息系統安全保護等級由業務和系統服務安全保護等級較高者決定的原則,最終確定監控平臺安全保護等級為第三級[3]。
2.2 構建監控平整安全防線
2.2.1 監控平臺信息安全 模型在監控平臺信息安全等級第三級的基礎上,我們結合開放式系統互聯(OSI)安全體系結構、分布式動態主動模型PPDR(策略、保護、檢測、響應)等信息安全模型結構,從中醫藥項目預算管理業務的需求出發,保障預算管理與執行信息的安全可靠,建立了一套較為完善的中醫藥項目預算監控平臺信息安全模型。在系統部署層面,采用B/S/S服務器級連接模式,通過WEB服務器將外部終端與數據服務器隔離,防止非法入侵者通過系統漏洞直接獲取預算數據。在數據傳輸層面,在平臺服務器端與客戶端之間部署防火墻和基于SSL協議的VPN通道,引用電子簽章、數字認證等數據加密手段。在數據存儲層面,采用安全性較為完善的SQL Server數據庫系統,所有預算相關數據存儲均進行加密,采用磁帶機等進行數據的自動備份,防止數據庫服務器遭受意外攻擊或損壞后可能產生的安全隱患。在表示應用層面,運用S-HTTP協議分離CA認證與應用界面,嚴格區分前后臺系統,應用層數據須經加密認證后再由傳輸層傳輸。在平臺內部網絡層面,配備安全管理平臺,采用防火墻、入侵檢測、漏洞掃描、網絡審計、防病毒等安全技術,實現實時全方位監控[4]。詳見圖1。
2.2.2 創造安全的物理環境和網絡體系 國家級、省級監控平臺分別部署在國家中醫藥管理局和各省中醫藥管理部門機房,均具備一定的安全物理環境,按照三級等級保護要求完善安全措施,如為國家級監控平臺數據專門配備氣體滅火器,增裝機房專用空調,國家級和省級監控平臺使用的所有服務器、安全設備等粘貼統一的監控平臺專用標識。
針對中醫藥項目預算管理需求,基于互聯網建立國家、省、項目建設單位3級信息網絡架構,劃分國家級、省級等不同安全域,統一制定安全管理策略。在國家級監控數據中心部署防火墻、入侵檢測、漏洞掃描、主機監控與審計、網絡安全審計等;在省級監控數據中心部署防火墻、網絡安全審計、防病毒系統等,共同監測、抵御和防范病毒木馬和黑客等各種攻擊、入侵行為及非法訪問和操作等,做到非監控平臺使用人員進不來、看不到、看不懂。在服務器和數據庫安全防護方面,及時更新操作系統和數據庫的補丁、漏洞,刪除或停用默認、多余和共享的賬戶,特別是測試階段所使用的賬戶和已經撤銷的機構賬戶,只開放監控系統用到的服務器端口,數據庫帳號由監控平臺數據庫管理員負責。在數據保護方面,國家級平臺采取磁帶庫和服務器備份雙備份方式,省級平臺采取服務器備份方式。
2.2.3 實施監控平臺自身安全策略 監控平臺采用基于角色的訪問控制(RBAC)安全模型,做到信息操作軌跡可追溯。用戶管理員將監控平臺用戶分別授予國家級用戶、省級用戶、基層單位用戶、系統管理員、安全保密管理員、安全審計員等角色組,各角色組和角色之間具有角色互斥關系;角色管理員針對不同角色分配給監控平臺數據的查詢、增加、修改、刪除、退回等操作權限。如國家中醫藥管理局人員被授予國家級用戶角色,只能操作國家級平臺,授予查詢和退回各省報送數據,不能修改和增加省級、項目建設單位報送的數據。針對監控平臺財務數據的高保密性,用戶身份驗證采用基于數字證書的雙向認證并結合靜態口令認證的USB Key,口令要求字母、數字、符號兩者以上組成的8位以上長度。嚴格監控平臺賬戶訪問和操作規則,口令輸入錯誤超過5次立即鎖定,30 min后方可再次登錄,30 min無操作監控平臺的賬戶自動退出,避免無關人員攻擊或操作監控平臺。
2.2.4 建立安全可信的數據傳輸通道 監控平臺是基于互聯網進行數據傳輸和通信,如何確保預算數據下達、預算執行數據上報、預警信息通報等過程中信息不被泄露或篡改,監控平臺通過部署SSL VPN設備和PKI系統,利用SSL安全套接層協議對監控平臺預算信息進行加密,在服務器端和客戶端建立虛擬專用網絡,應用數字證書和私鑰進行用戶數字認證和身份確認,從而保護在互聯網上預算數據傳輸的安全性、完整性、機密性。同時,搭建基于CA認證的統一身份管理平臺,在PKI系統的基礎上,將電子簽章、電子簽名技術與CA數字認證技術相結合,統一將用戶信息存儲在身份認證服務器,實現各級各類用戶身份的統一強鑒別認證和訪問控制,保證監控平臺數據的真實性和使用人員的不可否認性[5]。
2.3 建立監控平臺安全管理制度
信息安全“三分技術、七分管理”。在監控平臺建設過程中,成立監控平臺信息安全管理領導小組,統籌規劃監控平臺的信息安全,設立信息安全工作小組,全面負責監控平臺信息安全措施的執行和監督,要求省級監控平臺由專人負責信息安全維護。制定監控平臺操作手冊、安全設備管理、賬戶與密碼管理、用戶訪問控制、監控數據存儲管理、監控數據分析與利用規范、運行維護手冊、數據備份與恢復方案、應急預案、風險評估等一系列25個安全管理制度,編制防火墻、入侵檢測、漏洞掃描、VPN設備等安全策略,做到監控平臺的每個環節、每個操作都有據可依、有章可循,最大限度地降低安全風險。設立監控平臺系統管理員、安全保密管理員、安全審計員,定期開展國家級和省級監控平臺信息安全事件應急預案演練,創造信息安全應急技術支撐隊伍和保障條件。
2.4 加強信息安全管理技術人員培養
高素質的信息安全技術隊伍是信息安全保障體系的智力支撐。開展監控平臺管理和使用人員的操作培訓,將監控平臺信息安全建設和后期運行維護納入監控平臺管理與技術人員培訓主要內容,建立多層次、多形式、多途徑、重實效的信息安全人才培養機制,培養監控平臺管理和使用人員安全意識、職業道德和責任心,規范用戶合法合規操作。委托監控平臺開發單位和信息安全專業機構定期舉辦培訓班,開展系統安全使用、電子簽章、CA認證等專業技術培訓。
3 結語
中醫藥項目預算監控平臺是“中醫藥信息化建設‘十二五’規劃”的重要任務之一,其信息安全保護不容忽視,信息安全管理與技術體系建設已成為不可或缺的重要組成部分。作為管理者和使用者,應充分認識信息安全的重要性,在設計、開發、建設、運維的各個階段,強化信息安全技術和管理措施的落實,建立完善的信息安全策略和管理制度,做到事前預防、事中監控、事后應急,保障監控平臺的安全穩定運行,有效提高中醫藥項目經費預算管理的科學性,為中醫藥行業其他應用系統信息安全建設提供借鑒和參考。
參考文獻:
[1] 田雙桂,沈紹武.中醫藥項目預算管理信息化需求探討[J].中醫藥管理雜志,2013,21(8):802-803.
[2] 李繼珍.重視中醫藥發展時期信息安全問題的探討[J].中醫藥管理雜志,2012,20(4):391-392.
[3] 肖勇,沈紹武,田雙桂,等.中醫藥項目預算監控平臺信息安全等級保護實踐[J].醫學信息學雜志,2014,35(9):7-11.
