時間:2022-02-24 10:40:41
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全調查報告,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1 調研項目的設計與調研范圍及方法
1.1 項目設計。“十一五”期間,省人口計生委全面推進人口信息化管理,啟動建設國家中部人口信息中心和河南全員人口統籌管理信息系統(“金人”工程)。以省級集中方式實現全員戶籍人口和流動人口信息管理,個案信息納入省庫管理,人口計生信息化網絡已經覆蓋省、市、縣、鄉和30%以上的行政村。信息工作全面推開,數字檔案信息安全管理出現了許多亟待解決的問題。項目目的是為摸清數字檔案信息安全現狀,發現信息安全管理工作中存在的問題及困難,提出合理化建議,以便采取有針對性的措施。
1.2 調研范圍與方式。此次調研從2011年3月起至2013年3月30日止,在全省隨機選取4個省級計生部門(省計生科研院、省藥具管理站和省計生協會、省計生干部學院)、26個市級計生部門(包括市計生委、市藥具站、市協會、市技術指導站)、63個縣區級計生部門(包括縣計生委、縣計生指導站、縣藥具站)單位和個人,發放調查表200份,收回問卷196份,有效率98%。
主要運用問卷調查、電話采訪與實地調研相結合的方法,把影響數字檔案信息安全的管理、硬件設施和人員素質三個方面作為問卷設計和訪談內容。根據國家有關的電子文件歸檔管理文件和計生系統的實際,針對單位和個人設計了兩張問卷,單位問卷設置了21道題目,個人問卷設置了2大類題,16道小題。
2 數字檔案信息安全現狀與調查分析
2.1 數字檔案業務概況。在省級機構,2個單位有綜合檔案室,其他單位檔案按照業務劃分科室管理,都有專兼職固定的檔案員,單位檔案管理狀況較好,數字檔案占全部檔案資料的7%;受編制限制和工作業務限制,市縣區級計生檔案部門紙質檔案文件來源少,最少的內部發文只有10件,數字檔案數量更少,沒有實現集中管理;全系統的檔案管理工作大多停留在傳統的保管紙質檔案文件的工作模式上,電子文件不能有效歸檔,從而無法實現妥善保管。
2.2 管理體制情況。參與調研的單位中,數字檔案信息安全工作均實行統一領導、分級管理的模式,包括業務督導和組織培訓。省市級單位按要求全部參加全省人口計生系統網絡安全培訓班,對網絡基礎知識、交換原理、路由技術與路由器、信息安全有一定了解。對本單位檔案部門或下屬單位檔案工作主要通過組織人員參加基本業務或專題培訓班(如安裝統一的管理軟件)以及個別指導的方式進行。市縣級計生部門的數字檔案信息安全工作以接受上級監督指導為主,95%單位把數字檔案信息安全工作納入了年度工作計劃或“十二五”檔案數字加工與信息安全發展規劃;用于數字檔案信息安全工作所需經費全部來自財政撥款,投入比例信息大都不愿透露,無法了解到;參與調研單位全部配備信息員和專、兼職人員管理數字檔案信息工作。
2.3 制度建設情況。在省人口計生委突發公共事件應急處理工作領導小組領導下,出臺了《河南省人口計生委突發公共事件應急預案》,其中包含了數字檔案信息安全內容。70%以上的單位有信息安全緊急預案,但是數字檔案信息安全專項制度缺失。
2.4 硬件配備情況。安全基礎設施是數字檔案信息安全管理的保障。對安全基礎設施包括設備配置、網站建設、是否安裝防病毒設施等方面進行了調研。在被調研的單位中,98.89%市縣人口計生委單機配備數量和機關公務員編制人數(不含機房設備和筆記本計算機)持平,市縣藥具站單機配備數量達到每個業務科室至少1臺標準,95.37%以上單位計算機安裝有防火墻,但在入侵檢測、信息加密方面設施不足;大多應用office辦公軟件對檔案進行目錄級管理,數字化管理檔案水平普遍偏低;省級、市級計生部門全部建有網站和局域網,26個市級調研單位中安裝數字化檔案采集轉化系統的有6個,占23.08%;安裝在線檔案存儲管理與安全系統的有4個,占15.38%,縣區級計生部門安全設施建設在經費緊張的情況下,投入較少。
2.5 人員數字檔案信息安全素質情況。從參加調研的196名工作人員中了解到,工作上大量使用計算機,每天使用電腦工作2小時~5小時的有83人,占總數的42.34%,使用5小時~8小時的有54人,占總數的27.55%。使用電腦的主要目的,選工作的有164人,占總數的83.67%;查閱資料的有129人,占總數的65.82%。人員學歷水平,中專學歷的有31人,占總數的15.81%;大專以上學歷的有94人,占總數的47.95%;本科以上學歷的有67人,占總數的34.18%;碩士學位的有1人,占總數的0.05%。
平常工作中,使用殺毒軟件的有193人,占總數的98.47%;能夠自行處理病毒(求助他人或者找專業人士)的有161人,占總數的82.14%。在“您了解哪類信息安全技術和產品”問題的備選答案“防火墻、反病毒軟件、反垃圾郵件、動態密碼令牌”中,選擇最多的是防火墻,占總數的83.81%。認為當前數字檔案信息安全障礙主要有:選擇信息安全人才不夠的有66人,占總數的33.67%;選擇技術不過關的有60人,占總數的30.61%;選擇普遍缺乏信息安全意識的有44人,占總數的22.45%。參加了計算機安全知識培訓的有158人,占總數的80.61%,其中,參加本單位檔案信息安全培訓的有77人,占總數的39.29%,參加計生委培訓的有85人,占總數的43.37%,86.53%的人員只接受過一次培訓。
3 關于我省計生系統數字檔案安全的建議
通過定量和定性的分析,得出當前計生系統的數字檔案信息安全存在以下問題:檔案的數字化水平偏低,多數人員對數字檔案信息安全管理的重要性、緊迫性認識不足,認為保障信息安全就是保障數字檔案信息安全;對數字檔案信息安全知識了解甚少,認為保障數字檔案信息安全就是安裝殺毒軟件、設置防火墻;接受檔案業務培訓和數字檔案信息安全教育頻次偏低;行業性的數字檔案信息安全制度缺失;缺乏專業數字檔案安全管理人才和硬件設備等問題,與當前數字檔案信息安全工作發展有相當大差距,與大量應用計算機工作實際情況極不協調。針對以上問題,提出如下建議:
一是加強數字檔案信息安全意識教育和宣傳。建議在已有的人口數據信息平臺的基礎上,利用全員、流動人口、利導、人事、財務等人口信息系統服務基層,同時宣傳檔案和數字檔案信息安全知識,以期達到良好效果。在實際工作中,加強宣傳和管理力度,將數字檔案信息安全工作實行工作考核制,納入年度考核和目標考評。
二是培養復合型人才。專業信息安全管理人才是保障信息安全的最有效措施。對計生部門全體人員根據對象的業務需求分層級、有重點、有周期地組織數字檔案信息安全知識培訓,提高數字檔案安全意識水平,并保證各層級檔案人員接受培訓的頻次。如通過上級對下級的業務監督指導或參加相關的數字檔案信息安全培訓、組建QQ業務群、制作數字檔案整理流程教學光盤、電子版制度匯編及業務手冊等手段,實行多渠道、多層次、多類型的方法培養人才,提高隊伍的整體數字檔案信息安全業務素質。
三是建立健全數字檔案信息安全規章制度。針對調研中發現的缺乏人口計生數字檔案信息安全標準規范體系問題,今后,應著重建立管理制度:首先是實行數字檔案信息安全管理崗位責任制,做到分工明確、層層負責,確保網絡、系統和數據的安全,讓參與數字檔案信息安全保障的所有人員都能夠按照確定的要求去行動。其次是建立符合實際的數字檔案信息安全管理制度。根據數字檔案業務實際,對數字檔案信息化管理的軟件、操作系統、數據的維護、防災和恢復建立相關制度,制定應急處置預案。定期開展應急演練,提高整體數字檔案信息安全防范水平。最后是業務工作制度化,對新發現的問題,如人口科技檔案、免費計生項目電子檔案的歸檔范圍及整理方式等制定相應的管理規范,及時統一歸檔,為科技業務工作提供高質量的數據支持。
四是項目帶動,加快數字檔案信息硬件設施的建設。數字檔案信息安全工作包括人財物投入、軟硬件的集成,需要資金、技術、政策等各方面的支持,通過計劃生育科技服務項目帶動數字檔案信息安全工作是很好的一個途徑,爭取把數字檔案信息安全建設納入信息化建設總體規劃中,從項目獲取數字檔案信息安全建設的專項資金支持。例如,我院的孕前優生項目數據庫的建設,不僅為項目提供了所需的軟硬件設施,也推動了單位的數字檔案信息安全網絡建設。
計劃生育系統形成的檔案,含有大量民生信息,與改善民生、維護廣大人民群眾的合法權益息息相關,數字檔案信息安全顯得尤為重要。由于此次調研樣本量有限,難免使所得結論存在一定的局限性。期望此次調研對計生系統不同層級的部門數字檔案信息安全工作所作的客觀描述,能為推進和改善計生數字檔案安全工作提供參考。
(一)加快完善信息安全法律法規的建設
針對網絡營銷中存在的一些問題,不僅要從技術手段上進行防止,更要從法律上面進行建設。市場的健康有序的發展和運行需要一個良好的法制環境。我國目前在網絡營銷和交易上的立法還較薄弱,法律的不完善是制約我國網絡營銷的一大瓶頸。因此應盡快完善立法,建立有序的網絡市場。
加強信息安全的立法,制定相應的法律、法規打擊利用網絡技術手段收集、竊取企業和個人信息,并利用這些信息進行非法牟利的行為。完善經濟合同法,保護企業和消費者的交易行為,避免消費欺詐的發生。加強知識產權保護的立法,保護個人和企業的信息權益和無形的資產,規范網絡信息收集、加工、行為,以消除網絡營銷中虛假、泛濫、冗余的信息。
(二)建立信息可靠性級別
針對網絡營銷中存在大量虛假和失效信息的現象,可以通過建立信息可靠性級別的認定和審查的制度。規范企業和個人信息的行為,用以增強消費者對網絡信息的信心。對能夠真實、有效信息的企業和個人進行肯定,以提高企業信息和維護的質量。組織行業協會,定期網上商家信息的可靠程度情況,就好像酒店的星級評比,有一個統一的標準,這樣就在很大程度上,減少了消費者對不可靠信息的擔憂。
同時建立虛假信息的舉報和監督機制,依靠廣大網民的力量建立網絡信息秩序。在從事網絡銷售的網站上通常商品評論,商品評論給了消費者充分的話語權,加強了消費者與企業之間的互動,有助于用戶選擇商品。CNNIC的調查表明目前超過一半的網購用戶表示買每種商品前都會看相關商品評論,已有近8成的網購網民買大多數商品前都會看看商品評論。購物網站的商品評論管理良好與否會成為影響網民購物的重要因素。目前已有部分購物網站非常重視商品評論,采取了各種措施鼓勵網民發表商品評論。可見采取群眾監督的方式能夠有效規范企業的信息行為,提高信息的可靠性。
(三)提高產品和服務的信息化程度
網絡營銷的優勢歸根到底是信息傳遞、處理上的優勢。互聯網的虛擬性使得消費者在購買行為發生前無法像傳統的交易行為那樣對產品和服務以及提品和服務的企業和個人有一個完整的認識。因此企業在網絡營銷中應盡可能運用各種技術手段增加產品和服務的信息量,從而增加消費者對產品及服務的認識,提高消費者對產品和服務的認同度,減少消費者對產品和服務的歧義,進而提高消費者的滿意度。
(四)加強企業品牌建設
品牌知名度和美譽度是企業產品質量、服務質量和信用的綜合體現。在虛擬的環境下進行交易行為,雙方的相互信任是交易成功的基礎。企業通過樹立品牌的方式是獲得消費者的信任的重要途徑。CNNIC的調查報告顯示:網絡購物用戶的忠誠度相對較高。有60%的用戶只在一個網站上買東西,另有33%的用戶只在兩個網絡購物網站上買過東西。如此高的品牌忠誠度足以說明品牌建設的重要性。
在“信息爆炸”的互聯網世界里傳統的廣告宣傳方式已經很難起到傳統營銷中的效果。“口口相傳”是網絡營銷中企業建立品牌的重要途徑。互聯網的信息擴散速度遠遠超過傳統的媒介途徑。CNNIC的調查報告顯示:互聯網是網民獲知購物網站的第一渠道,70.5%的購物網民視互聯網為認知渠道。其次是親朋好友的口口相傳,52.6%的網民從其他人口中聽說過某個購物網站。
來自機制上的防范,比技術上的加密更為可靠――這原本是市場宣傳語,卻也道出了信息安全的部分本質。
最近一項旨在調查評估SMB市場 的《2008年中國企業信息安全現狀調查報告》指出,如何確保Windows平臺安全和最大限度地降低IT風險已經成為企業必須真接面對的問題。但是更多有關中小企業信息安全的白皮書卻指出,防范機制往往比加密技術本身更重要,常用來佐證的觀點包括“企業信息安全隱患的重心由防范外網攻擊轉向防范內部泄密”,以及“以大量資金購置防火墻、防病毒等安全產品只是在企業信息化初期給予安全一定保障。”
一種比較激進的觀點認為,內網安全已經成為信息安全的主要威脅,“現有的IT技術難以控制員工在操作權限內對電子文檔的修改”以及“拷貝和打印不留痕跡”都成為泄密的主要通道。最著名的一個例子來自摩根斯坦利亞太區前任首席經濟學家謝國忠的離職事件,評價新加坡腐敗的郵件沒有通過電子渠道向外傳送,而是采取了打印后帶出公司散布的做法,最終導致了對摩根公司聲譽的國際影響以及謝本人的黯然離職。
在軍事情報部門,很多國家采用這樣的做法:在所有的復印機上加密。加密后的復印機有各自的編號,影印出來的文件上會出現該部門名稱及復印機編號,一旦文件外泄,憑借這些編號就可以很容易地查出外泄密件的出處。
這種衍生于電子政務、從復印和打印出口進行安全控制,已經成為被重視的一種信息安全手段。就職于日立(.cn)與北京工業大學()合資公司的一位工程師表示,這也是其研發團隊正在致力于推出的新產品:“針對打印文件的各種威脅實現切實的安全對策,比如在拷貝檢測的同時,可以得知文件在打印輸出時嵌入的信息以及打印出的文件在被不正當改寫或添加時也能被檢測出。”粗略看上去,名為“證書衛士”的這款安全產品并沒有太過出奇之處,不過“安全的要點是實用”,日立北工大信息系統的總經理郭慶栓則表示,“類似的產品在日本早有應用,這是日立公共系統的打印安全軟件進行本土化開發后的中文軟件。”
這種思路值得品味:它的出發點便是假設泄密通道會采用物理的方式而非電子手段。事實上在絕大多數企業里,重系統監管而輕實際監測的現象處處皆是,即使是那些著名的軟件廠商也不例外―最近發生在上海SAP(.cn)研發團隊的一個事例,即是內部員工將公司內部資料大量打印出售以牟利―而按照通常的內部網絡流量監管,如果一次性大量下載或者是網絡外傳,很容易查出最初的肇事者,但物理的隱形手段顯然更加難以管理。
這意味著另一種商機,或者說信息安全的回歸正好契合了近年來安全廠商的輿論導向。瑞星(.cn)、金山(.cn)等幾家著名的本土殺毒軟件廠商從前些年的殺毒軟件產品提供商轉而宣傳自己是“網絡安全整體解決方案提供商”,其意也正在于此,在企業級網絡產品市場,但凡涉及安全領域,過去劃分明確的監控、存儲、安全幾條產品線,如今也常常被整合進整體方案打包出售,比如賽門鐵克、Avaya(.cn)、H3C(.cn)等等。有意無意地,廠商們希望造成這樣一種印象:機制的安全比單純的加密技術更能賦予企業完美的防范功能,而這樣的安全需要專業的技能和完整的解決方案,當然更重要的,還是乘機把自己對于安全的理念一同販賣,占據長期的市場。
關鍵詞:云;云計算;云安全
中圖分類號:TP393.01
自2006年谷歌公司提出云、云計算概念、理論及推出的“云計劃”,世界上各大IT公司陸續推出自己的“云計劃”。由于云計算,以其低成本 、高度自動化、無限存儲擴展性、高度靈活性、無需基建投資等等的巨大優勢,迅速成為IT行業發展的方向,并成為各國最優先發展的技術之一。隨著云計算技術的發展,各種云計算應用,諸如:云辦公、云安全、云存儲、云打印、云通訊等等相繼推出。特別是在大眾消費電子、信息技術產品上諸如:“云手機”、“云電視”、“云殺毒”、“云游戲”……各種“云概念”產品和服務急劇增加,似乎世界一下進入到“云計算時代”。
然而,在人們享用云計算的好處的同時,云的安全和風險日益成為阻礙云計算發展的現實問題。也就是說,云安全日益成為阻礙云計算產業發展的瓶頸。進而影響到整個信息產業的發展。
1 在我們探討云安全之前,我們先來了解下,什么是云?什么是云計算?
云,這個概念由谷歌公司提出。因其無邊的擴展性而形象的取名。實際上,云指的是一些可以自我維護和管理的虛擬計算資源,通常為一些大型服務器集群,包括計算服務器、存儲服務器、寬帶資源等等。
云計算,也由谷歌公司提出。是將所有的計算資源(云)集中起來,并由軟件實現自動管理。是一種基于互聯網的計算方式,通過這種方式,共享的軟硬件資源和信息可以按需提供給計算機和其他設備。具體說,是指建立功能強大的數據中心,用戶最大程度簡化個人客戶端,接入數據中心進行存儲和運算。就像過去打井取水,現在則從自來水公司購買水喝。簡單說,云計算,就是非本地計算。
對于用戶而言,云安全問題的解決是關系到云服務能否得到認可的關鍵因素。對于云計算的應用而言,云安全也是云計算應用的主要障礙之一。比如:計算資源的系統發生故障,缺乏統一的安全標準、安全法規,以及隱私保護、數據屬權、遷移、傳輸、安全、災備等問題如何有效的解決。
2 目前,云安全主要體現在用戶數據的隱私保護和傳統互聯網、硬件設備的安全這兩方面
(1)用戶數據的隱私保護。在云計算出來之前,用戶信息存儲于自己的電腦中,是受法律保護的,任何人不經許可是不能查看、使用這些信息的。
但是當用戶信息成為云計算的資源儲存在云上時,任何人使用這些信息,導致隱私泄漏,尚沒有法律依據如何進行處罰。
另外云服務提供商對登記注冊管理不嚴格,也極有可能造成不良分子注冊成功并對云服務進行攻擊,造成云的濫用、惡用以及對云服務的破壞。
(2)互聯網、硬件設備的安全。云中可能存在不安全的接口和API,且用戶數據集中在此,更容易受到黑客攻擊和病毒感染。當遇到重大事故時,云系統將可能面臨崩潰的危險。
2.1 那么如何才能實現云安全?
必須解決以下幾個問題:首先,健全法律法規,保障云計算用戶象相信銀行一樣,相信云服務提供商,樹立云服務提供商的公信力,使用戶象在銀行存錢一樣,把數據存在云服務提供商那里。其次,保障不同用戶之間相互隔離,互不影響,防治用戶“串門”。第三,租用第三方的云平臺,必須考慮解決云服務提供商管理人員權限的問題。第四,傳統互聯網服務為避免單點故障,使用了雙機備份:主服務器停止服務,備用服務器隨即啟動提供服務。但是在云環境下,一旦云服務提供商的服務停止了,將會影響到一大片用戶,其損失很可能是巨大的。因此必須解決云服務突然終止所帶來的風險問題。
2.2 那么如何實施應用具體的云安全技術解決云安全問題?
云中數據安全:目前,云中數據安全防護技術主要有:增強加密技術、密鑰管理、數據隔離、數據殘留等,用這些技術來解決用戶數據在云端計算、存儲及數據的歸屬權、管理權相分離,帶來的數據安全問題。
云計算的虛擬化安全:云計算的特征之一是虛擬化。虛擬化的安全直接關系到云計算的安全。虛擬化技術雖然加強了基礎設施、軟件平臺、業務系統的擴展能力,但卻使傳統物理安全邊界逐漸缺失,使基于以往的安全域/安全邊界的防護機制不能滿足虛擬化環境下的多租戶應用模式。
云環境中存在著虛擬化軟件安全和虛擬服務器安全兩方面問題。虛擬環境中的安全機制與傳統物理環境中的安全措施相比,仍有差距。因此,在云計算環境下,用戶需要了解用戶及云服務提供商雙方所要承擔的安全責任,只有用戶與云服務提供商共同承擔安全責任,才能保證云計算環境的安全。
云終端的安全:目前可以從云終端的基礎設施、硬件芯片可信技術、操作系統安全機制、應用安全更新機制等四個方面進行云終端安全防護。
云計算的應用安全:由于云環境的靈活性、開放性以及公眾可用性等特性,給應用安全帶來很大挑戰。云服務提供商在部署應用程序時應當充分考慮可能引發的安全風險。對于使用云服務的用戶而言,應提高安全意識,采取必要措施,保證云終端的安全。如用戶在處理敏感數據的應用程序與服務器之間通信時采用加密技術。用戶應建立定期更新機制,及時為使用云服務的應用打補丁或更新版本。
云計算產業發展的核心是服務,因此,為保證云計算服務的可靠性、易用性、可操作性、安全性和穩定性,必須在數據遷移、備份、加密以及位置控制方面深入探索、研究。同時,要不斷完善云計算相關的法律法規,讓用戶象在銀行存錢那樣對使用云計算有信心。但無可否認,除了不斷探索、研究、推廣成熟的云計算安全技術之外,用戶的自我防護意識也需要加強。
當然,在相關云計算技術和標準尚未成熟的今天。若想解決云計算的安全問題,需要政府大力支持和業界的廣泛聯合,組成一個完整的生態系統,共同實現云計算的安全。
附錄一:《2010中國云計算調查報告》關于云安全在中國應用狀況調查的主要結論:
(1)針對云安全的三種說法,都有相當的用戶認可(三種提法:1、云安全是利用云計算技術提升信息安全;2、云安全是安全即服務;3、云安全是解決云計算技術本身安全的問題)。
(2)在安全即服務廠商認知度調查中,奇虎360、瑞星、卡巴斯基等廠商表現較突出。
(3)企業用戶對數據安全與隱私關注度最高。
(4)不同規模企業對于云殺毒的價值訂可度存在差異。
(5)用戶對云安全的發展趨勢持樂觀態度。
附錄二:《2012年中國云計算安全調查報告》調查結果:
(1)在云計算部署模型中,企業認為私有云是最安全的,其次為基礎設施即服務(IaaS),平臺即服務(PaaS)位居第三。
(2)在云計算部署模型中,企業認為軟件即服務(SaaS)是最不安全的,其次為混合式(有的是內部管理資源,有的是來自于IaaS/PaaS/SaaS廠商)。
(3)企業表示永遠不會遷移到云端的特殊類型數據依次為信用卡數據、商業或者合作伙伴的財務數據和客戶身份信息。
(4)對于云計算/云服務,企業最關心的三個主要的安全問題是賬戶劫持、云數據訪問以及特定云攻擊/威脅(非目標性的)。
參考文獻:
[1]薄明霞.淺談云計算的安全隱患及防護策略[J].信息安全與技術,2011,9.
[2]TechTarget中國.2012年中國云計算安全調查報告.
[3]盛拓-SEQUEL[J].云計算在中國的應用,2010-9.
2013年中國網民遇到的各種安全問題的整體發生率如圖1所示。與2012年相比,2013年個人信息泄漏的比例有大幅的上升。從上圖也可看出,雖然個人信息泄漏被作為一個單獨項進行統計,但排在前三位的安全事件也是由個人信息的泄漏造成的。所以,綜合來看,個人的信息泄漏事件不容小覷。在這些事件的背后我們看到的是人員信息安全意識的缺失,企業信息安全管理的不足。為了幫助企業和個人提高信息安全意識水平,2012年底某IT企業了《2012年度中國企業員工信息安全意識調查報告》,經過對被調查企業的管理層人員及普通員工的大量數據分析和統計,參與本次接受調查訪問者的信息安全意識評價平均得分為77.48分。其中,受訪者在移動存儲介質安全方面的得分最高,為96.1分;在社會工程學信息安全方面的得分最低,為49.6分。因此,中國企業的信息安全意識依然有較大的提升空間。很多企業為保障企業數據信息安全,不惜花巨資投資購進防火墻、入侵檢測、防病毒等網絡安全產品。然而,企業內的安全事件遠比管理者的預想更為復雜、更為寬泛,人員的誤操作或無作為也會使這些工具失去其應有的作用。只有提高人員的安全意識和技能,才能真正使企業的信息安全設備發揮應有的作用。
2目前企業人員的信息安全管理主要存在的問題
(1)全體工作人員的信息安全意識不高;
(2)信息安全專業人員數量較少,工作流程不清晰;
(3)信息安全崗位職責劃分模糊;
(4)管理層不重視;
(5)信息安全管理工作缺乏有效的考核和監管機制。上述幾個問題看似不會影響正常的企業運作,但長期持續則會給企業的信息安全帶來巨大的隱患,存在較高的風險。有調查顯示,企業的信息泄漏事件70%-80%都由內部人員造成。對于一些關系國計民生的企業,如電力、通信等,企業的信息一旦泄漏,將會產生巨大的社會影響,同時也會給企業造成巨大的損失。但是我們仍然可以通過對知悉或掌握企業核心資產和數據的人員加強信息安全管理與監督,來提高信息安全整體水平。
3加強人員信息安全管理的具體措施
對于企業人員的安全管理措施有很多,國內外的相關標準中都有相應的描述,如《薩班斯法案》《信息安全技術信息系統安全管理要求》ISO27000系列等,不同的標準要求亦有不同,但總體來說不外乎以下幾點。
(1)加強人員的信息安全保密意識與責任。任何企業的信息安全與保密都離不開人,信息安全每個步驟的操作與執行都是由人來完成與實現的。如果企業內相關人員的信息安全與保密意識薄弱,不小心造成某些敏感信息泄露,則比其他安全不足問題導致的損失更大。因此必須要不斷對相關崗位人員的信息安全意識、責任和職業道德進行培訓、指導與監督。
(2)管理層重視。企業人員的信息安全管理是管理層的職責,所有的措施和方法都需要得到管理層的支持才能實施,否則再完美的方法也是毫無意義的。隨著各類信息安全事件的曝光,信息泄漏事件的頻發,特別是國家推行信息系統的等級保護政策以后,越來越多的管理層開始重視信息安全問題。
(3)明確本單位的核心信息安全資產。我們要對企業的核心信息安全資產加強保護,即主要是對企業內部最核心的信息資產進行有效的保護,這對企業的信息安全尤為重要且非常有效。任何一個企業的資源都有限,信息安全工作相對于業務工作的投入來說一定較小一些,因此對核心的信息資產保護才是企業真正關心的內容和工作。核心信息資產主要指價值比較高,一旦泄露可能會對企業造成比較大損失的資產,如企業的重要或敏感數據、存有重要敏感數據的紙質和電子類的載體等企業的核心資產。明確核心資產信息安全也是對人員進行職責劃分的基礎。
(4)清楚劃分人員職責,嚴格進行權限分離。人員職責和權限對應組織的信息資產,一定程度上也決定了該人員在組織中的安全地位,職責不明確往往導致人員的無作為或誤操作,很多的信息安全隱患無法消除。如果明確了單位的核心資產,而人員的職責劃分不清晰,那也等于是無用功。很多單位由于信息安全人員數量有限,存在一人多崗的情況,很多核心的敏感的信息或功能掌握在一個人的手中,這就使得某個人或某幾個人的權限過大,導致內部舞弊的風險增加。因此,首先要明確本單位需要設置的信息技術類崗位,并設置相應的人員,確保人員的配備遵循三權分離的原則,敏感的功能或較高的權限不能放在一個人手上,關鍵性的操作甚至需要多人同時在場,只有這樣才能最大限度地避免人員的內部舞弊。
(5)嚴格選拔新進人員,考核在崗人員,審查離崗人員。選拔人員是人員信息安全管理的第一步,對人員進行嚴格的背景審查和技能考核是保障企業信息安全人員執業技能和職業道德的重要措施。重要敏感崗位的人員應盡量從內部進行選拔,避免直接任用外聘的人員;對于在崗的信息安全人員應定期進行考核和檢查,保證所有的工作都按正常的操作規程執行,避免簡化流程的事情發生;對于離崗的人員應與之簽訂相關的協議說明,并立即更換其所掌握的關鍵認證信息,避免由于人員的流失導致信息的泄漏。
(6)建立信息安全管理工作的日常監管和考核機制。信息安全管理執行的主體是人,人的操作難免會有失誤或不當的地方,這些都是信息安全的風險隱患。所以應對人員的日常工作需建立考核和監管機制,對人員的日常安全管理工作進行監督并提前發現潛在風險,及時消除隱患,降低由于人員操作不當或惡意操作帶來的信息安全風險。
4結語
該文對供水企業信息集成系統安全進行分析,并探討了可以針對性改進的安全防護措施。首先對當前供水信息系統安全現狀做具體分析,然后研究了在“自主定級,自主保護”的原則下改進和提高供水企業集成信息系統安全具體的執行方案,最終實現供水企業信息集成系統的信息安全防護。
關鍵詞:
供水企業信息集成系統;等級保護;信息安全
供水行業對國計民生很重要的一個行業,供水企業的業務性質要求以信息的整體化為基本立足點,集中管理所有涉及運營的相關數據,針對供水企業運行的特殊要求,進行集中的規劃和架構,將不同專業的應用系統進行整合,最終形成完整的供水企業綜合信息平臺。[1]而集成系統中最重要的一個要求就是信息安全。
隨著大數據時代的到來,網格、分布式計算、云計算、物聯網等新技術相繼推出,對供水企業信息集成與應用也提出了更高的要求。而隨著應用的擴展,應用中存在著大量的安全隱患,網絡黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統。根據美國Radicati公司于2015年3月的調查報告,截至2014年12月,網絡攻擊已經為全球計算機網絡安全造成高達上萬億美元的損失。而且隨著網絡應用的規模進一步上升,計算機網絡信息安全威脅造成的損失正在呈幾何級數增長。根據2015年的中國網絡安全分析報告,2014年報告的網絡安全攻擊事件比2013年增加了100多倍。2014年,搜狗由于網絡黑客攻擊導致搜索服務在全國各地都出現了長達25分鐘無法使用。2014年7月,某域名服務商的域名解析服務器發生了網絡黑客的集中式攻擊,造成在其公司注冊的13%的網站無法訪問,時間長達17個小時,經濟損失不可估量。因此,從信息安全的角度,要對供水企業信息集成系統進行防護,降低信息安全事故的發生的概率,降低其危害,是本文需要研究的內容。
1當前供水企業信息集成系統安全防護的現狀和存在的問題
伴隨著科技的不斷發展,供水企業的信息化建設也得到了很大的發展,主要是從深度和廣度兩個層面做進一步拓展。典型的供水企業信息集成系統涵蓋了生產調度系統、銷售系統、管網信息系統、財務管理系統、人事管理系統、辦公自動化系統等子系統。其中多個系統數據需要接受外部訪問,存在大量的安全隱患。目前,威脅到供水企業信息安全的風險因素主要分為三個大類:1)人為原因,如惡意的黑客攻擊、不懷好意的內部人員造成的信息外泄、操作中出現低級錯誤等。2)數據存儲位置位置的風險。可能由自然災害引發的問題,缺乏數據備份和恢復能力。3)不斷增長的數據交互放大了數據丟失或泄漏的風險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。
2有關分級防護的要求
尤其是供水企業信息集成系統中,存在大量涉及公民個人隱私的信息,也存在像生產調度這樣涉及國計民生的信息。因此,需要按照國家有關信息安全的法律法規,明確企業的信息安全責任。提升供水企業信息管理區內的業務系統信息安全防護。依據《信息安全等級保護管理辦法》(公通字[2007]43號)第十四條,信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。定級標準按照國家標準《信息系統安全等級保護定級指南》(GB/T22240—2008)實施,根據等級保護相關管理文件,信息系統的安全保護等級分為以下五級:第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:1)造成一般損害;2)造成嚴重損害;3)造成特別嚴重損害。
3分別防護實施步驟
根據有關法律法規,建設完成并投入使用的信息系統,其有關使用此系統的單位需要對其系統的等級狀況做定期的測評。供水企業要遵照要求選擇具有資質的測評機構來對管理信息區的業務系統做等級保護的測評工作。其所得到的結果如下表1所示:通常情況下,供水企業信息系統中不會出現第四級和第五級的系統。根據測評結果,有必要對供水企業內部的局域網進行系統化整改。具體的整改內容包括兩項主要內容:細化各業務系統服務器的物理位置;按照需求設置信息安全區域。根據供水企業信息集成系統的具體實際,主要有等級包括三個業務區域,以及一個公共業務區和測評業務區。按照上述原則對供水企業信息集成系統服務器做物理劃分如圖1所示。不同等級的系統服務器針對不同級別的信息安全區進行設置。等級為一、二、三的業務區分別安裝著對應的服務器,而公共業務區域的服務器主要是DNS服務器或者是域服務器。公共業務區服務器主要為基礎服務提供非業務系統服務,不需要進行保護分級。測評業務區提供是投入正式使用前的測試服務器。
依據表1的測評結果,將安全區域進行細化表2所示的就是企業管理信息區,其主要業務系統對安全區域存放問題的展示。根據表2得到的結果,可以將信息安全設備存放在不同信息區域邊界內,以此達到服務器分級防護目的。信息安全設備設置在信息安全區域邊界,也就是局域網與信息安全區域之間的連接部。信息安全設備主要是防火墻、查殺病毒、攻擊防護、服務防護禁止、授權等。對于不同區域邊界的信息安全的部署建議,供水企業要遵照各自的實際情況做周密的設置。供水企業管理信息安全區域邊界防護表見表3。將信息安全防護設備部署在所在的區域邊界內,如此可以初步實現對供水企業管理信息區的信息安全防護。
4結束語
隨著大數據的發展,對供水企業信息集成系統在數據的交互和應用方面會提出更高的要求,也大大加強了安全防護措施的重要性和迫切性。在安全防護措施基本到位的前提下,還需要加強信息審計,及時發現和補救系統缺陷,加強數據庫安全防護,維護管理系統的隱患。
參考文獻:
[1]孫鋒.基于多agent技術的供水企業信息集成系統研究[J].供水技術,2015(10).
當網絡無處不在的時候,安全問題也就無處不在了。
隨著網絡的發展,越來越多的企業把信息放在網絡上以提高工作效率,這也使他們時刻面臨信息泄露、數據損毀的威脅。
于是,安全廠商如雨后春筍般涌現出來。如此之快的增長速度,對于安全市場的健康發展并非是一件好事。當技術指標混亂、缺乏嚴格的衡量標準等問題逐漸暴露出來時,那些蜂涌而至的廠商勢必要面臨這些挑戰,甚至要面對安全領域廠商的一次洗牌。如何及時調整自己的市場策略,在這前景一片大好的市場中占據一席之地,已經成為眾多安全廠商急需思考的問題。
從芯片研發成功轉戰安全市場的凹凸科技(O2Micro)全球執行副總裁Max Huang認為:“最大限度地發揮自身的優勢,及時掌握市場的需求變化,務實地研發自己的產品,是凹凸科技在安全領域從零開始,漸漸獲得市場信任的三個原因。這也是凹凸科技扎根未來安全市場的關鍵。”
用技術突破安全市場
凹凸科技成立于12年前,總部設于美國硅谷,現在已經成為一家具有芯片研發能力的集成電路供應商,累計獲得了280多項技術專利。其設計研發中心和商務營銷部門分布在美洲、歐洲、亞洲的14個國家和地區,并在國內的北京、上海、武漢、成都、深圳5個城市相繼建立了研發、銷售以及服務網絡。
凹凸科技從2002年開始涉足安全領域,5年來已經推出了多款安全產品,其SSL VPN產品Succendo更是獲得了業內的好評,并在相關市場中占得不錯的市場份額。相對于傳統的安全廠商,5年時間能取得這樣的成績,多少有點出乎人們的意料。
Max Huang談到這5年的研發路程時表示:“投入一個自己完全不熟悉的市場,雖然非常冒險,但是我們能看到安全是未來的市場發展重點,因此挑戰雖然大但機遇也非常大。”芯片研發是凹凸科技的傳統強項,這也讓其在進行安全產品研發時受益不少,不僅有效降低了研發以及生產成本,同時也找到了自己的特點。
“比如,我們基于自主技術ASIC芯片的防火墻或VPN產品擁有非常高的性價比和市場競爭力。而正是本著務實的研發態度,我們從零開始慢慢進入到安全領域的競爭行列。目前我們已經有好幾款產品在相關市場份額競爭中名列前茅,而未來我們肯定會走得更遠。”Max Huang這樣強調。
與渠道共挖市場需求
國家發改委中小企業司的《2006年中國中小企業信息化調查報告》中顯示,眾多被訪企業已經把信息安全列為信息化建設的重點。但事實是,一方面近八成的被訪中小企業只有5名以下的IT技術人員,另一方面信息安全方案的實施需要非常專業的人才。這種需求與現實的差距讓企業在架構安全方案時捉襟見肘。而對于產品和解決方案提供商來說,產品的銷售和實施主要依賴于各地渠道商。因此,渠道的建設以及相關人員技術水平直接關系到該安全產品是否真正能為中小企業所接受。
向主動防御轉變
在云計算的背景下,企業網絡結構發生了邊界模糊、中心離散、分層減少等重大變化,導致原本奏效的安全防護理念,出現了設備位置不確定、檢測目標不明確、防護重點不突出、阻斷策略不匹配等問題,防護效能嚴重降低。所以要將被動防御變為主動防御、積極防御,從而讓用戶以更低的成本享受到更高質量的安全服務。
什么是主動防御?如何做到主動防御,遠離安全漏洞和數據泄密? 在接受記者采訪時,安永華北區信息安全服務合伙人李睿表示,主動防御不同于傳統的被動防守,今天網絡安全漏洞的防不勝防,企業應該利用新技術主動找到可能存在的風險,并進一步提供防范措施。“主動防御不會代替傳統安全運營,而是對其加以組織和鞏固。網絡安全不止是一個技術性問題,也不僅僅局限在IT領域。它既是每一位企業董事會成員應該承擔的職責,還以各種方式,通常是隱秘、不易識別的方式影響著企業的各個層面以及最高管理層的每一位成員。”李睿說。
《安永第十八屆全球信息安全調查報告》特別指出,企業應繼續以超前防范網絡攻擊者為目標,建立更為先進的安全管理平臺,并使用網絡威脅智能感知系統以有效地保持運營的一致性,幫助開展主動防御,尋找潛在攻擊者、分析和評估威脅,并在威脅破壞企業的關鍵資產之前將其解除。
安永表示可以為企業提供包括企業各個部門之間應如何協作和分享經驗、共同收集證據識別出攻擊者已經入侵的區域等服務,甚至是為企業提供攻擊者正在收集信息的領域,為主動防御提供支持。
安全技術服務化
“網絡就是連接一切。”隨著越來越多的企業把業務和互聯網對接,原有的防護系統很難保障企業業務和相關財產安全。針對這一需求變化,安全企業必須擺脫原有的產品和許可證的商業模式,將技術服務化,以便為企業提供更多個性化的服務。
不同于安永這樣的咨詢服務機構和傳統的安全企業,梆梆安全是一家新生代安全公司,它為客戶提供最受歡迎的業務是把安全技術服務化。梆梆安全創始人闞志剛博士認為,“第一代安全公司是賣設備、賣防火墻;第二代安全公司是賣許可證的;第三代安全公司必須是賣服務的,因為服務是集約化服務,成本最低。”
“大智移云尤其是對傳統安全企業的沖擊比較大,例如賣盒子和設備的公司,大數據時代IT資源集約化之后,原來每個小企業都會買安全設備,但是集約到云之后,作為云公司如果為100家企業服務,那他們買一套安全設備就可以了。”梆梆安全不是唯一的例子,大數據對于新型安全企業而言意味著機遇,現在涌現出大量以大數據和云為研究對象的新型安全公司,這些公司建立云之后,可以為成百上千家客戶進行服務。
下一步:智能化平臺
和專業的安全公司相比,BAT等互聯網企業也在補齊自己的短板。在近日舉辦的首都網絡安全日活動中,百度向外界展示的“百度昊天鏡威脅情報平臺”,打通了移動、云、PC的完整生態安全數據,構建了全面的互聯網安全事件地貌及知識圖譜,充分發揮百度在大數據和人工智能領域多年積累的優勢,構建了面向安全決策的復合機器學習引擎。可以實現識別潛在互聯網威脅,告別被動防御局面,有效提升互聯網業務應對黑產困擾和入侵攻擊的對抗能力。
人行:
根據《河南省取消企業銀行賬戶許可工作實施方案》的要求,我行在人行湯陰支行的統籌規劃、統一部署下,提高認識,統一思想,積極行動,逐項認真落實各項工作要求。我行現將具體的工作情況匯報如下:
一、系統操作方面
我行在人行指定的時間內逐項完成了人行下發的操作任務,包括系統的壓力測試階段和系統上線后快速的完成了操作員的創立和操作員的密碼修改等工作。
二、業務處理方面
根據人行的業務指令,我行在第一時間順利完成了基本戶和臨時戶的虛擬開戶許可證編號的領取工作。由于試點工作啟動以來還未有企業來我行辦理基本戶的開立業務,我行還未就企業開立、變更等業務進行處理。但是,我行并未放松對業務處理操作的學習。我行前臺員工認真學習《賬戶管理系統取消企業銀行賬戶許可業務操作講解》、《河南省人民幣銀行結算賬戶監管輔助系統商業銀行用戶操作手冊》等學習資料,確保能夠正確、快速的為客戶辦理相關業務。
三、賬戶監管方面
為了能夠全面、獨立承擔企業銀行賬戶合法合規主體責任并堅決貫徹落實人行“兩個不減,兩個加強”的賬戶監管總要求,我行在賬戶監管方面做出了相應的優化工作。1、我行繼續依托我行的反洗錢系統加強對企業銀行賬戶行為監測和賬戶交易監測;2、建立企業銀行賬戶核對機制,每月一次重點對賬,每半年一次全面對賬,總體對賬頻率不低于每季度一次;3、對于企業賬戶存在異常情形的,有權采取適當控制賬戶交易措施;4、對企業開戶資格和實名制符合性進行動態復核;5、我支行上級行平均每月對我支行開展一次監督檢查工作。6、我行還設有預警系統,加大對我行企業賬戶的事后核查工作強度。
四、信息安全方面
為確保企業數據信息的安全,我行在現有措施的基礎上進行了相應的提升,發揮電子科技防范數據信息風險作用。
五、輿情管理方面
在一個擁有近6億網民、3億微博用戶的網絡大國,中央或地方政府任何一個針對互聯網的管理政策均會引起不同震級的輿論反應。微博實名制傳聞多時,如今,懸念終于揭開,此前那些復雜的聯想立馬就云開霧散。事實其實很簡單:去年12月16日,北京市出臺《北京市微博客發展管理若干規定》,規定任何組織或者個人注冊微博客賬號要用真實身份信息(后臺信息而非前臺公開),否則只能瀏覽不能發言。緊接著,廣州、深圳、上海也開始實施微博實名認證制。北上廣等一線城市一個個攻克下來了,其他城市更不在話下。生活永遠比戲劇精彩。沒想到,2011年的壓軸戲竟是微博實名制!
互聯網技術具有先天的“躲貓貓”功能,它可以讓真人穿上隱身衣,戴上面具,消隱于網絡江湖。沒有真實身份的負擔,惡作劇的成本會大大降低,因而容易縱容人性惡的膨脹。誰敢保證數千萬計的網民游蕩在網絡江湖,個個都能守住正人君子的真身?只要網絡行為的籬笆尚未扎緊,即會有人乘虛而入,成為“麻煩”制造者。對于中國這樣的網絡大國,網民的網絡行為若沒有“紅綠燈”和“斑馬線”,就會滋生麻煩。此前,中國的網絡管理者曾多次努力,想在法規及倫理上扎緊籬笆。但互聯網的技術防不勝防,它會不斷撕開新的口子,引發新的信息決口和表達失控。結果我們看到:信息管理者忙于“補漏”、“打補丁”,四處救火。這種被動式管理方式,其效果有限不說,也會招致合法性的嚴重流失。
近兩年,遍地開花的微博產生的鯰魚效應,攪動了中國整個輿論場。微信息,大循環,最后釋放出排山倒海的力量。特別是在關鍵信息缺席之時,微博就會走到傳播第一線,填補信息真空,充當社會輿論的“連通器”與“鼓風機”。在佛山小悅悅事件、7?23動車事故中,微博都扮演了積極的社會行動者角色。這次,北京、廣州等地方政府從微博實名制下手,將網絡“隱身衣”換裝成“比基尼”,意在繃緊微博用戶的誠信神經。
用實名制的方式規范網民信息誠信,不能說沒道理。數以萬計的網民聚集在一個輿論場中,不實信息乃至謠言可能成為害群之馬,引致社會輿論的偏航。問題是,這種規約不應是單向的,而應是雙向的。政府要求微博用戶“透底”,政府就應該為微博用戶“托底”,權利與義務應該是對等的。既然微博用戶的信息公開邁出了一大步,政府的表現更要上臺階。政府該以誠信、公開的姿態,有更佳的信息作為,讓網民切身感到:他們的付出是值得的。基于此,公眾對政府有三點期待:
其一,深入推動政府的信息公開。政府掌握著大量公共信息,除卻涉及國家安全的信息,有很多信息還攬在政府的手里,公眾欲知,但可望而不可即。“三公”消費的公開費了九牛二虎之力,至今還走在半路上。在一些突發事件中,不實信息之所以四處傳播,甚至謠言四起,一個重要原因就是真實信息的缺席。近期披露的7?23動車事故調查報告中,就指出“信息不及時,對社會關切回應不準確”等問題。微博在7?23動車事件別活躍,很大程度上是由核心信息缺席引致的。在我看來,只有政府的信息公開有實質性的推進,才能解決公共事件中虛假信息的失控問題。近期,政務微博出現井噴式的繁榮,意在推動信息公開,促進政治溝通,思路和成效是值得肯定的。
其二,確保用戶的信息安全。微博用戶把自己真實的身份信息交出去,是存在信息安全顧慮的。雖說這些信息不是直接交給政府,是交給網站,但政府有責任通過制度建設,規范網站的信息管理,確保用戶的信息安全。
其三,要切實保障公民的知情權、表達權、參與權、監督權。交往理性的生成是政治成熟的必要條件。應以實行微博實名制為契機,把政府與公眾之間的交往理性提升到更高的層次。凈化網絡環境,營造文明健康、積極向上的網絡文化,要有成熟的交往理性作為支撐。此前,網絡上非理性的表達與非理性的控制糾結在一起,難解難分,結果多是兩敗俱傷。這次推行微博實名制,既要強化微博使用者的言論責任,也要政府擔負起對等的責任。而政府在這方面的責任目標應該是:把保障公民的知情權、表達權、參與權、監督權落到實處。
(作者為復旦大學新聞學院副教授)
此事件讓人們對互聯網再次提高了警惕,大數據是互聯網時代的重要特征,其發展方向是數據共享和數據開放。隨著云服務的推出,很多互聯網企業把一些敏感數據放在互聯網云端,通過對數據的挖掘、分析,最后形成有用的信息。在互聯網金融的大環境下,這將對信息安全,包括資金安全提出更大挑戰。
小隱私中的大隱患
從近期的案件分析來看,犯罪分子更多把目光放在數據挖掘和數據分析上,互聯網金融的發展使他們容易竊取到一些更精準的企業信息和個人信息,作案成功率也會更高。
類似于已被人們熟知的信用卡欺詐、套現洗錢等事件還在不斷發生。而且從互聯網到手機,從電話到電視,從pos機到pad,第三方支付渠道愈加增多。互聯網金融最基本的核心還是金融的屬性和金融的特性,所以還是要以金融的風險管理角度來直面互聯網金融所帶來的風險。
中國金融認證中心助理總經理王梅認為,金融機構在面臨這些信息安全隱患時,需要加強新技術和新應用這方面的研究。隨著現在銀行業務不斷的創新,電子銀行的渠道也越來越多,復雜度越來越高。銀行金融機構要從業務架構和技術架構兩方面人手,考慮如何更好的融合。尤其是信息安全建設方面,系統建設要同時啟動規劃、開發、測試、上線,要充分認識重視信息安全。最重要的是加強信息安全的宣傳、引導,尤其是電子銀行安全方面的引導。
“很多時候,客戶發生信息泄露事件,是客戶自身對信息安全意識不足。”一位銀行人士表示,對于一些詐騙信息,百姓應分辨清楚,不輕信對方。
中國互聯網絡信息中心(CNNIC)的《2012年中國網民信息安全狀況研究報告》顯示,我國信息安全狀況不容樂觀,而網民對信息安全危害意識程度不夠。
有84.8%的網民遇到過信息安全事件,在這些網民中,平均每人遇到2.4類信息安全事件。在眾多信息安全事件中垃圾短信和手機騷擾電話發生比例最高,分別有68.3%和56.5%。而“欺詐誘騙信息”、“假冒網站”等新型信息安全事件甚至超過了部分傳統信息安全事件。38.2%的網民遇到過“欺詐誘騙信息”,這一比例甚至比傳統的“中病毒或木馬”的網民比例高出15.1個百分點。但在遇到信息安全事件的網民中,高達47.5%的網民不做任何處理,網民對信息安全事件的危害并不了解或不在意。
中國金融認證中心副總經理曹小青撰文表示,對消費者而言,面臨的風險主要包含電子貨幣形式的資金的損失和電子信息形式的隱私泄露兩類。目前看消費者一方風險產生的原因,主要是消費者安全意識薄弱、消費者操作不當、木馬軟件泛濫及黑客攻擊猖獗。
他提醒消費者,要注意保護個人的隱私信息。如電話號碼、家庭住址、身份證號碼、公司地址、E-mail等信息。不要將對自己至關重要的敏感信息暴露在網上;不使用弱密碼,也不在多處使用同一密碼;加強安全支付意識,不在網吧進行支付,不使用公共網絡進行支付;在線交易操作需要反復確認,隨時注意瀏覽器地址欄、彈出窗口的各項內容等細節信息;認清不同種支付方式所面臨的風險,對短信支付、手機銀行支付、信用卡支付等支付方式,要通過設置交易資金限制等方式來降低風險。
業務連續性管理新課題
如果說,隱私泄露帶來的信息安全問題,自己稍加注意便能避免,那如果是因為銀行管理失誤,導致民眾無法正常辦理金融業務,這會讓信息金融時代的民眾最缺乏安全感。
根據中國金融認證中心的《2012中國電子銀行調查報告》顯示,中國電子銀行業務連續三年呈增長態勢,68%的用戶使用網上銀行替代了一半以上的柜臺業務,部分銀行網銀替代率超過85%。而40%的個人網銀用戶擁有多個網銀賬戶,最近1年內的網銀賬戶主動開通率為75%;個人手機銀行用戶比例為8.9%,較2011年增長2.6個百分點,連續三年呈增長趨勢。
在此大背景下,各大銀行的信息系統一旦出現問題,將帶來難以估量的損失。
6月23日,中國資產規模最大的銀行中國工商銀行出現系統“癱瘓”,柜面取款、自動取款機、網上銀行、電話銀行等業務辦理均大受影響,多個網點更貼出“機器故障”告示停辦所有業務。此次事件涉及北京、上海、武漢、四川等中國多個省市。
中國工商銀行在內地擁有數萬家營業網點,電話銀行注冊客戶已超過1億戶,短信銀行累計服務客戶達2150萬戶,因此,此次系統故障影響范圍頗大。隨后工行證實事件乃系統升級所致,但此次“意外”已經引起坊間一些過度“解讀”。
7月初,中國工商銀行就6?23事件內部通報指出,故障原因是由于供應商提供的主機版本內存清理機制存在缺陷引發的。小概率,高風險的系統故障再一次將銀行災備與風險管理的重要性凸顯出來,也讓業務連續性管理(BCM)這一普通人覺得陌生的術語浮出水面。
銀行業信息系統承載著金融機構核心業務和金融服務的穩定運行,一個環節出現問題,就可能引發“多米諾骨牌”式的傳遞效應,引發系統性金融信息安全風險,巨大的經濟損失尚且可估算,但對銀行社會聲譽的巨大損失甚至容易引發全社會的恐慌所帶來的巨大沖擊則是不可估量的。
顯然,在6月多家銀行系統故障頻發的現實證明我國銀行業風險管控意識亟待升級。我國銀行業IT應用早已步入集中時代,但在數據和業務系統的連續性管理上,大多金融機構起步較晚,中小型金融機構更是如此。
2008年,現任銀監會副主席郭利根曾就多起國內銀行信息科技風險事件發表講話。他指出,基礎建設滯后、軟硬件及核心技術受制于人和系統管理粗放是當時銀行業信息科技建設存在的主要問題,特別是在業務連續性規劃、業務恢復機制、風險化解和轉移措施、技術恢復方案等方面,存在明顯的“短板”。
【 關鍵詞 】 信息安全;信息安全保障體系;國家大劇院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
隨著信息技術的飛速發展,人類正以前所未有的速度進入以網絡為主的信息時代,網絡的快速發展不僅促進了人們的通信和交流,同時也帶來了商業和經濟模式的巨大變革。
國家大劇院是國家新建的重要文化設施,也是一處別具特色的景觀勝地。作為北京市國家級標志性文化設施,國家大劇院的建設與運行體現了正在迅速崛起和復興的中國在精神文化領域的追求,因此,依托信息化手段宣傳和服務于廣大文化藝術愛好者是國家大劇院電子商務網站建設的宗旨,使之成為“國家表演藝術最高殿堂、藝術普及教育的引領者、中外藝術交流最大平臺、文化創意產業重要基地”。
國家大劇院網絡及信息系統從2007開始逐步建設,建設初期主要滿足國家大劇院演出宣傳、文藝教育、演出票務、公眾服務、內部辦公和訪問互聯網的需求,官方網站電子商務平臺承擔著對外宣傳及網上售票業務。隨著國家大劇院近幾年影響力和地位的不斷提升以及業務的發展壯大,對信息化建設提出了更高要求,同時對信息安全的需求也越來越迫切,結合國家等級保護制度來進行安全保障建設成為國家大劇院信息化建設的有益補充。
2 現狀及問題
目前國家大劇院局域網骨干帶寬為千兆,雙核心。已部署的安全設施,如在整個局域網的出口均部署了防火墻,內網服務器域邊界部署了防火墻;在門戶網站出口部署了流量控制和入侵防御設備;內部終端還廣泛部署了防病毒軟件,以防范計算機病毒在局域網內傳播和破壞。國家大劇院正在運行的業務系統主要包括網站系統、票務系統、藝術資料管理系統、OA系統、財務系統及郵件系統等。
根據對國家大劇院信息化及信息安全現狀的分析,結合國內外信息安全發展態勢,發現國家大劇院面臨著一些信息安全問題及風險。
假冒網站、網站掛馬等安全風險。據權威統計,2011年下半年,檢測新增掛馬網站獨立網址246萬,平均每日100萬人次訪問此類掛馬鏈接,新增釣魚盜號欺詐類網站獨立網址492萬,共攔截10億余次釣魚盜號欺詐類網址,平均每日600萬人次訪問此類欺詐類鏈接。假冒網站獨占鰲頭的是電商網購類,而且仿冒范圍不斷擴散,通過國家大劇院運維人員統計觀察,越來越多的黑客、病毒、不法機構和人員對國家大劇院電子商務網站系統的正常運行產生威脅,網站業務系統隨時都可能遭受惡意攻擊。
系統入侵或網絡攻擊風險。由于系統保護措施不到位,可能導致國家大劇院票務等對外網站系統的域名劫持、DDoS攻擊等安全風險。同時,也可能由于軟件漏洞或者安全意識單薄等造成內部郵件等信息泄露。
非授權訪問風險。由于國家大劇院內部辦公等信息系統邊界缺乏訪問控制設施,并且在網絡可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,未授權者可通過網絡非法訪問網站及系統服務器,并進行非法讀取、篡改和破壞數據等不良行為,構成對內部數據及信息系統的重大隱患。
數據安全風險。媒資庫建設完成后將承載大量的媒體資料,這些有藝術價值的音像資料是國家大劇院的寶貴資產,一旦由于自然災害、人員非法入侵、內部人員誤操作等造成數據丟失損壞,將對國家大劇院造成重大損失。
媒體資源庫音像資料版權風險。目前,劇院已經為視頻在線傳播及直播提供服務平臺,然而提供的音視頻服務面臨版權盜用、盜鏈和惡意下載等問題,容易對劇院和公眾利益帶來損害。
內控管理風險。據權威調查報告顯示,內部員工的粗心大意是企業信息安全的最大威脅,由此造成的安全事故高達78%。目前,由于國家大劇院內部員工的安全意識還相對淡薄,存在進入業務系統的登錄口令設置過于簡單,私自訪問不安全網站,私自接入不安全設備等問題,這些都給大劇院信息系統造成了極大的安全隱患和威脅。
3 信息安全保障體系探索
3.1 總體目標
通過對國家大劇院信息安全現狀、問題以及信息安全建設需求的分析,可知國家大劇院信息安全保障體系建設的總體目標是按照國家信息安全等級保護相關要求,從風險控制、技術設施、管理體制及運維服務等方面入手,基于成熟的安全技術,借鑒先進可行的管理理念,加強外御威脅防護、構建內控管理機制、強化數據保護措施,建立和完善信息安全管理體制,加強安全服務保障,設計適合國家大劇院信息化發展的安全保障體系,從而確保業務流程可控、業務狀態可視,保障業務整體安全。
3.2 設計思路
針對國家大劇院安全保障目標,在信息安全保障體系設計上基于幾種設計思路。
3.2.1構建網站可信機制
通過第三方網站身份誠信認證來確保網站真實性,可幫助網民判斷網站的真實性。同時,基于可信證書類產品,確保系統管理用戶身份的真實性。其次,借助社會力量來實現假冒網站的定位、侵權取證等服務,從而有效打擊防范欺詐類網站并且協助維權。
3.2.2建設安全可靠的辦公網絡平臺
積極推進信息安全等級保護建設,通過制定安全策略、部署安全設備,完善安全保密管理制度,加強安全運維支撐建設,從物理安全、網絡安全、主機安全、應用安全、數據安全、流程安全、人員安全等多方面保障系統的安全穩定運行。
3.2.3建立網絡信任服務
通過為網絡管理員、網站維護人員頒發數字證書,部署網絡可信接入及遠程安全接入設施來構建劇院內部的網絡信任服務體系,保證信息系統及媒資庫資源的可靠訪問,確保我院信息資源安全。
3.3 體系框架
在國家大劇院信息系統安全保障體系設計以及實現中,將在國家相關的安全政策、法規、標準、要求的指導下,制定可具體操作的安全策略,構建國家大劇院網站系統安全技術系統、安全管理體系以及安全運行體系,形成集防護、檢測、評估、響應、恢復于一體的整體安全保障體系,從而實現物理安全、網絡安全、主機安全、數據安全和應用安全,以滿足國家大劇院網站系統全方位的安全保護需求。國家大劇院信息系統整體安全保障體系模型如圖1所示。
國家大劇院信息系統整體安全保障體系模型主要由三個方面組成。
3.3.1安全技術體系
參考國家標準《信息安全技術 信息系統等級保護安全設計技術要求》按照威脅分析,將信息資產劃分為若干保護對象,并按照“一個中心”管理下的“三重保護”的設計框架,構建國家大劇院信息安全技術體系保障機制和策略,為國家大劇院信息系統的運行提供安全保護環境。該環境共包括四部分:安全計算環境、安全區域邊界、安全通信網絡和安全管理中心。
3.3.2安全管理體系
以國家大劇院現有業務系統所服務對象為基礎,建立完善的安全管理體系,建立信息安全管理機構、制定信息安全管理制度、設置信息安全管理崗位。
3.3.3安全運維服務體系
針對業務安全運行的需要,以日常巡檢、咨詢、評估等建立有效的運維服務機制,加強對資產管理的分析、隱患發現、策略審核考評等,不斷發現平臺在運行中的安全隱患,降低系統脆弱性和面臨潛在的威脅帶來的影響及損失,以及時對安全策略實現完善和防護措施的改進提升。
3.4 信息安全體系建設實踐
國家大劇院信息安全保障工作經過長期的努力,已經初見成效。在安全體系的建設實踐中,總結出幾點實踐經驗。
3.4.1制定標準規范,奠定保障基礎
信息安全保障建設的一項重要工作之一是參照國家等級保護的技術要求完成相應的合規性檢查。因此,國家大劇院應據此建立適合國家大劇院的信息安全管理基線,堅持常態化管理和動態控制,達到并保持國家相關安全主管部門的安全審計要求。
3.4.2重視管理,制度先行
信息安全是一個動態發展的過程,每年隨著業務發展變化而變化,同時隨著信息安全技術的不斷演變,都會出現新的安全防護技術的使用。經過多年實踐證明,每個系統或者防護設備上線前,都必須在遵守總體防護規范的前提下,編制好具有針對性的管理要求,才有有效降低安全風險引入的可能。
3.4.3定期組織代碼審計和滲透測試等系統檢測
代碼安全審計是通過人工分析和工具掃描的方式檢驗應用程序的源代碼,利用大量的代碼安全規則,來分析源代碼中的違反規則部分,進而確定可能存在的安全漏洞和隱患。應用系統生命周期安全的從SDL實踐上看,安全做的越早效果越好(但開發模式改動的成本也相對比較大),代碼審計作為保證代碼安全的最低低線,其作用是不可取代的。
另外,除了從代碼開發過程中保證開發出安全的應用系統以外,針對已開發的系統,國家大劇院還組織第三方測試機構,從攻擊者視角檢測信息系統安全防護能力是否達到,是否存在成功攻入系統的途徑。
4 信息安全建設意義
通過構建信息安全保障平臺,保障我劇院信息系統可安全合規運行。基于國家信息安全等級保護制度要求,建設國家大劇院信息系統整體安全保障體系模型信息安全保障基礎設施,制定安全策略,為國家大劇院系統提供安全可靠的運行環境。
提高國家大劇院電子票務等信息系統的安全運行平穩度。通過在信息安全技術、信息安全保密管理等多維度的體系保障建設,保障網站真實性、打擊假冒網站,大大提高國家大劇院信息系統安全穩定運行的平穩度。
提高用戶的安全便捷以及系統安全管理能力。通過構建可信的電子票務運營環境,為用戶提供身份認證及網絡信任機制,加強用戶的身份、資金安全保障,并且提高系統安全管理能力。
提升安全隱患發現能力。安全隱患的發現能力是信息安全管理中的關鍵能力,關系到能否將風險消除在事件發生之前。通過建立入侵監測系統、防病毒系統以及定期的安全脆弱性檢測等,大大提升我劇院信息系統的安全隱患發現能力。
5 結束語
建設和完善信息安全保障體系是為了保證國家大劇院的業務在今后發展過程中對信息安全建設的要求。
信息安全保障體系建設涵蓋安全管理體系、安全技術體系、安全運維體系的復雜系統工程,是一項長期性的專業的細致的認為,需要以信息安全技術為基礎,持續投入大量的人力和物力。為使國家大劇院建設成為國際化、現代化的大劇院提供有力的信息安全保障。
參考文獻
[1] 關于大力推進信息化發展和切實保障信息安全的若干意見(國發[2012]23號).
[2] 信息安全管理實用規則(GB/T 22081-2008).
[3] 信息系統等級保護安全設計技術要求(GBT25070-2010).
[4] 信息系統安全等級保護體系框架(GA/T 708-2007).
[5] 國家大劇院電子商務網站系統安全保障方案.內部資料,2010.
[6] 國家大劇院安全服務保障方案.內部資料,2011.
