時間:2022-02-24 10:40:41
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全調(diào)查報告,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
1 調(diào)研項目的設(shè)計與調(diào)研范圍及方法
1.1 項目設(shè)計。“十一五”期間,省人口計生委全面推進(jìn)人口信息化管理,啟動建設(shè)國家中部人口信息中心和河南全員人口統(tǒng)籌管理信息系統(tǒng)(“金人”工程)。以省級集中方式實現(xiàn)全員戶籍人口和流動人口信息管理,個案信息納入省庫管理,人口計生信息化網(wǎng)絡(luò)已經(jīng)覆蓋省、市、縣、鄉(xiāng)和30%以上的行政村。信息工作全面推開,數(shù)字檔案信息安全管理出現(xiàn)了許多亟待解決的問題。項目目的是為摸清數(shù)字檔案信息安全現(xiàn)狀,發(fā)現(xiàn)信息安全管理工作中存在的問題及困難,提出合理化建議,以便采取有針對性的措施。
1.2 調(diào)研范圍與方式。此次調(diào)研從2011年3月起至2013年3月30日止,在全省隨機(jī)選取4個省級計生部門(省計生科研院、省藥具管理站和省計生協(xié)會、省計生干部學(xué)院)、26個市級計生部門(包括市計生委、市藥具站、市協(xié)會、市技術(shù)指導(dǎo)站)、63個縣區(qū)級計生部門(包括縣計生委、縣計生指導(dǎo)站、縣藥具站)單位和個人,發(fā)放調(diào)查表200份,收回問卷196份,有效率98%。
主要運用問卷調(diào)查、電話采訪與實地調(diào)研相結(jié)合的方法,把影響數(shù)字檔案信息安全的管理、硬件設(shè)施和人員素質(zhì)三個方面作為問卷設(shè)計和訪談內(nèi)容。根據(jù)國家有關(guān)的電子文件歸檔管理文件和計生系統(tǒng)的實際,針對單位和個人設(shè)計了兩張問卷,單位問卷設(shè)置了21道題目,個人問卷設(shè)置了2大類題,16道小題。
2 數(shù)字檔案信息安全現(xiàn)狀與調(diào)查分析
2.1 數(shù)字檔案業(yè)務(wù)概況。在省級機(jī)構(gòu),2個單位有綜合檔案室,其他單位檔案按照業(yè)務(wù)劃分科室管理,都有專兼職固定的檔案員,單位檔案管理狀況較好,數(shù)字檔案占全部檔案資料的7%;受編制限制和工作業(yè)務(wù)限制,市縣區(qū)級計生檔案部門紙質(zhì)檔案文件來源少,最少的內(nèi)部發(fā)文只有10件,數(shù)字檔案數(shù)量更少,沒有實現(xiàn)集中管理;全系統(tǒng)的檔案管理工作大多停留在傳統(tǒng)的保管紙質(zhì)檔案文件的工作模式上,電子文件不能有效歸檔,從而無法實現(xiàn)妥善保管。
2.2 管理體制情況。參與調(diào)研的單位中,數(shù)字檔案信息安全工作均實行統(tǒng)一領(lǐng)導(dǎo)、分級管理的模式,包括業(yè)務(wù)督導(dǎo)和組織培訓(xùn)。省市級單位按要求全部參加全省人口計生系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)班,對網(wǎng)絡(luò)基礎(chǔ)知識、交換原理、路由技術(shù)與路由器、信息安全有一定了解。對本單位檔案部門或下屬單位檔案工作主要通過組織人員參加基本業(yè)務(wù)或?qū)n}培訓(xùn)班(如安裝統(tǒng)一的管理軟件)以及個別指導(dǎo)的方式進(jìn)行。市縣級計生部門的數(shù)字檔案信息安全工作以接受上級監(jiān)督指導(dǎo)為主,95%單位把數(shù)字檔案信息安全工作納入了年度工作計劃或“十二五”檔案數(shù)字加工與信息安全發(fā)展規(guī)劃;用于數(shù)字檔案信息安全工作所需經(jīng)費全部來自財政撥款,投入比例信息大都不愿透露,無法了解到;參與調(diào)研單位全部配備信息員和專、兼職人員管理數(shù)字檔案信息工作。
2.3 制度建設(shè)情況。在省人口計生委突發(fā)公共事件應(yīng)急處理工作領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下,出臺了《河南省人口計生委突發(fā)公共事件應(yīng)急預(yù)案》,其中包含了數(shù)字檔案信息安全內(nèi)容。70%以上的單位有信息安全緊急預(yù)案,但是數(shù)字檔案信息安全專項制度缺失。
2.4 硬件配備情況。安全基礎(chǔ)設(shè)施是數(shù)字檔案信息安全管理的保障。對安全基礎(chǔ)設(shè)施包括設(shè)備配置、網(wǎng)站建設(shè)、是否安裝防病毒設(shè)施等方面進(jìn)行了調(diào)研。在被調(diào)研的單位中,98.89%市縣人口計生委單機(jī)配備數(shù)量和機(jī)關(guān)公務(wù)員編制人數(shù)(不含機(jī)房設(shè)備和筆記本計算機(jī))持平,市縣藥具站單機(jī)配備數(shù)量達(dá)到每個業(yè)務(wù)科室至少1臺標(biāo)準(zhǔn),95.37%以上單位計算機(jī)安裝有防火墻,但在入侵檢測、信息加密方面設(shè)施不足;大多應(yīng)用office辦公軟件對檔案進(jìn)行目錄級管理,數(shù)字化管理檔案水平普遍偏低;省級、市級計生部門全部建有網(wǎng)站和局域網(wǎng),26個市級調(diào)研單位中安裝數(shù)字化檔案采集轉(zhuǎn)化系統(tǒng)的有6個,占23.08%;安裝在線檔案存儲管理與安全系統(tǒng)的有4個,占15.38%,縣區(qū)級計生部門安全設(shè)施建設(shè)在經(jīng)費緊張的情況下,投入較少。
2.5 人員數(shù)字檔案信息安全素質(zhì)情況。從參加調(diào)研的196名工作人員中了解到,工作上大量使用計算機(jī),每天使用電腦工作2小時~5小時的有83人,占總數(shù)的42.34%,使用5小時~8小時的有54人,占總數(shù)的27.55%。使用電腦的主要目的,選工作的有164人,占總數(shù)的83.67%;查閱資料的有129人,占總數(shù)的65.82%。人員學(xué)歷水平,中專學(xué)歷的有31人,占總數(shù)的15.81%;大專以上學(xué)歷的有94人,占總數(shù)的47.95%;本科以上學(xué)歷的有67人,占總數(shù)的34.18%;碩士學(xué)位的有1人,占總數(shù)的0.05%。
平常工作中,使用殺毒軟件的有193人,占總數(shù)的98.47%;能夠自行處理病毒(求助他人或者找專業(yè)人士)的有161人,占總數(shù)的82.14%。在“您了解哪類信息安全技術(shù)和產(chǎn)品”問題的備選答案“防火墻、反病毒軟件、反垃圾郵件、動態(tài)密碼令牌”中,選擇最多的是防火墻,占總數(shù)的83.81%。認(rèn)為當(dāng)前數(shù)字檔案信息安全障礙主要有:選擇信息安全人才不夠的有66人,占總數(shù)的33.67%;選擇技術(shù)不過關(guān)的有60人,占總數(shù)的30.61%;選擇普遍缺乏信息安全意識的有44人,占總數(shù)的22.45%。參加了計算機(jī)安全知識培訓(xùn)的有158人,占總數(shù)的80.61%,其中,參加本單位檔案信息安全培訓(xùn)的有77人,占總數(shù)的39.29%,參加計生委培訓(xùn)的有85人,占總數(shù)的43.37%,86.53%的人員只接受過一次培訓(xùn)。
3 關(guān)于我省計生系統(tǒng)數(shù)字檔案安全的建議
通過定量和定性的分析,得出當(dāng)前計生系統(tǒng)的數(shù)字檔案信息安全存在以下問題:檔案的數(shù)字化水平偏低,多數(shù)人員對數(shù)字檔案信息安全管理的重要性、緊迫性認(rèn)識不足,認(rèn)為保障信息安全就是保障數(shù)字檔案信息安全;對數(shù)字檔案信息安全知識了解甚少,認(rèn)為保障數(shù)字檔案信息安全就是安裝殺毒軟件、設(shè)置防火墻;接受檔案業(yè)務(wù)培訓(xùn)和數(shù)字檔案信息安全教育頻次偏低;行業(yè)性的數(shù)字檔案信息安全制度缺失;缺乏專業(yè)數(shù)字檔案安全管理人才和硬件設(shè)備等問題,與當(dāng)前數(shù)字檔案信息安全工作發(fā)展有相當(dāng)大差距,與大量應(yīng)用計算機(jī)工作實際情況極不協(xié)調(diào)。針對以上問題,提出如下建議:
一是加強(qiáng)數(shù)字檔案信息安全意識教育和宣傳。建議在已有的人口數(shù)據(jù)信息平臺的基礎(chǔ)上,利用全員、流動人口、利導(dǎo)、人事、財務(wù)等人口信息系統(tǒng)服務(wù)基層,同時宣傳檔案和數(shù)字檔案信息安全知識,以期達(dá)到良好效果。在實際工作中,加強(qiáng)宣傳和管理力度,將數(shù)字檔案信息安全工作實行工作考核制,納入年度考核和目標(biāo)考評。
二是培養(yǎng)復(fù)合型人才。專業(yè)信息安全管理人才是保障信息安全的最有效措施。對計生部門全體人員根據(jù)對象的業(yè)務(wù)需求分層級、有重點、有周期地組織數(shù)字檔案信息安全知識培訓(xùn),提高數(shù)字檔案安全意識水平,并保證各層級檔案人員接受培訓(xùn)的頻次。如通過上級對下級的業(yè)務(wù)監(jiān)督指導(dǎo)或參加相關(guān)的數(shù)字檔案信息安全培訓(xùn)、組建QQ業(yè)務(wù)群、制作數(shù)字檔案整理流程教學(xué)光盤、電子版制度匯編及業(yè)務(wù)手冊等手段,實行多渠道、多層次、多類型的方法培養(yǎng)人才,提高隊伍的整體數(shù)字檔案信息安全業(yè)務(wù)素質(zhì)。
三是建立健全數(shù)字檔案信息安全規(guī)章制度。針對調(diào)研中發(fā)現(xiàn)的缺乏人口計生數(shù)字檔案信息安全標(biāo)準(zhǔn)規(guī)范體系問題,今后,應(yīng)著重建立管理制度:首先是實行數(shù)字檔案信息安全管理崗位責(zé)任制,做到分工明確、層層負(fù)責(zé),確保網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的安全,讓參與數(shù)字檔案信息安全保障的所有人員都能夠按照確定的要求去行動。其次是建立符合實際的數(shù)字檔案信息安全管理制度。根據(jù)數(shù)字檔案業(yè)務(wù)實際,對數(shù)字檔案信息化管理的軟件、操作系統(tǒng)、數(shù)據(jù)的維護(hù)、防災(zāi)和恢復(fù)建立相關(guān)制度,制定應(yīng)急處置預(yù)案。定期開展應(yīng)急演練,提高整體數(shù)字檔案信息安全防范水平。最后是業(yè)務(wù)工作制度化,對新發(fā)現(xiàn)的問題,如人口科技檔案、免費計生項目電子檔案的歸檔范圍及整理方式等制定相應(yīng)的管理規(guī)范,及時統(tǒng)一歸檔,為科技業(yè)務(wù)工作提供高質(zhì)量的數(shù)據(jù)支持。
四是項目帶動,加快數(shù)字檔案信息硬件設(shè)施的建設(shè)。數(shù)字檔案信息安全工作包括人財物投入、軟硬件的集成,需要資金、技術(shù)、政策等各方面的支持,通過計劃生育科技服務(wù)項目帶動數(shù)字檔案信息安全工作是很好的一個途徑,爭取把數(shù)字檔案信息安全建設(shè)納入信息化建設(shè)總體規(guī)劃中,從項目獲取數(shù)字檔案信息安全建設(shè)的專項資金支持。例如,我院的孕前優(yōu)生項目數(shù)據(jù)庫的建設(shè),不僅為項目提供了所需的軟硬件設(shè)施,也推動了單位的數(shù)字檔案信息安全網(wǎng)絡(luò)建設(shè)。
計劃生育系統(tǒng)形成的檔案,含有大量民生信息,與改善民生、維護(hù)廣大人民群眾的合法權(quán)益息息相關(guān),數(shù)字檔案信息安全顯得尤為重要。由于此次調(diào)研樣本量有限,難免使所得結(jié)論存在一定的局限性。期望此次調(diào)研對計生系統(tǒng)不同層級的部門數(shù)字檔案信息安全工作所作的客觀描述,能為推進(jìn)和改善計生數(shù)字檔案安全工作提供參考。
(一)加快完善信息安全法律法規(guī)的建設(shè)
針對網(wǎng)絡(luò)營銷中存在的一些問題,不僅要從技術(shù)手段上進(jìn)行防止,更要從法律上面進(jìn)行建設(shè)。市場的健康有序的發(fā)展和運行需要一個良好的法制環(huán)境。我國目前在網(wǎng)絡(luò)營銷和交易上的立法還較薄弱,法律的不完善是制約我國網(wǎng)絡(luò)營銷的一大瓶頸。因此應(yīng)盡快完善立法,建立有序的網(wǎng)絡(luò)市場。
加強(qiáng)信息安全的立法,制定相應(yīng)的法律、法規(guī)打擊利用網(wǎng)絡(luò)技術(shù)手段收集、竊取企業(yè)和個人信息,并利用這些信息進(jìn)行非法牟利的行為。完善經(jīng)濟(jì)合同法,保護(hù)企業(yè)和消費者的交易行為,避免消費欺詐的發(fā)生。加強(qiáng)知識產(chǎn)權(quán)保護(hù)的立法,保護(hù)個人和企業(yè)的信息權(quán)益和無形的資產(chǎn),規(guī)范網(wǎng)絡(luò)信息收集、加工、行為,以消除網(wǎng)絡(luò)營銷中虛假、泛濫、冗余的信息。
(二)建立信息可靠性級別
針對網(wǎng)絡(luò)營銷中存在大量虛假和失效信息的現(xiàn)象,可以通過建立信息可靠性級別的認(rèn)定和審查的制度。規(guī)范企業(yè)和個人信息的行為,用以增強(qiáng)消費者對網(wǎng)絡(luò)信息的信心。對能夠真實、有效信息的企業(yè)和個人進(jìn)行肯定,以提高企業(yè)信息和維護(hù)的質(zhì)量。組織行業(yè)協(xié)會,定期網(wǎng)上商家信息的可靠程度情況,就好像酒店的星級評比,有一個統(tǒng)一的標(biāo)準(zhǔn),這樣就在很大程度上,減少了消費者對不可靠信息的擔(dān)憂。
同時建立虛假信息的舉報和監(jiān)督機(jī)制,依靠廣大網(wǎng)民的力量建立網(wǎng)絡(luò)信息秩序。在從事網(wǎng)絡(luò)銷售的網(wǎng)站上通常商品評論,商品評論給了消費者充分的話語權(quán),加強(qiáng)了消費者與企業(yè)之間的互動,有助于用戶選擇商品。CNNIC的調(diào)查表明目前超過一半的網(wǎng)購用戶表示買每種商品前都會看相關(guān)商品評論,已有近8成的網(wǎng)購網(wǎng)民買大多數(shù)商品前都會看看商品評論。購物網(wǎng)站的商品評論管理良好與否會成為影響網(wǎng)民購物的重要因素。目前已有部分購物網(wǎng)站非常重視商品評論,采取了各種措施鼓勵網(wǎng)民發(fā)表商品評論。可見采取群眾監(jiān)督的方式能夠有效規(guī)范企業(yè)的信息行為,提高信息的可靠性。
(三)提高產(chǎn)品和服務(wù)的信息化程度
網(wǎng)絡(luò)營銷的優(yōu)勢歸根到底是信息傳遞、處理上的優(yōu)勢。互聯(lián)網(wǎng)的虛擬性使得消費者在購買行為發(fā)生前無法像傳統(tǒng)的交易行為那樣對產(chǎn)品和服務(wù)以及提品和服務(wù)的企業(yè)和個人有一個完整的認(rèn)識。因此企業(yè)在網(wǎng)絡(luò)營銷中應(yīng)盡可能運用各種技術(shù)手段增加產(chǎn)品和服務(wù)的信息量,從而增加消費者對產(chǎn)品及服務(wù)的認(rèn)識,提高消費者對產(chǎn)品和服務(wù)的認(rèn)同度,減少消費者對產(chǎn)品和服務(wù)的歧義,進(jìn)而提高消費者的滿意度。
(四)加強(qiáng)企業(yè)品牌建設(shè)
品牌知名度和美譽(yù)度是企業(yè)產(chǎn)品質(zhì)量、服務(wù)質(zhì)量和信用的綜合體現(xiàn)。在虛擬的環(huán)境下進(jìn)行交易行為,雙方的相互信任是交易成功的基礎(chǔ)。企業(yè)通過樹立品牌的方式是獲得消費者的信任的重要途徑。CNNIC的調(diào)查報告顯示:網(wǎng)絡(luò)購物用戶的忠誠度相對較高。有60%的用戶只在一個網(wǎng)站上買東西,另有33%的用戶只在兩個網(wǎng)絡(luò)購物網(wǎng)站上買過東西。如此高的品牌忠誠度足以說明品牌建設(shè)的重要性。
在“信息爆炸”的互聯(lián)網(wǎng)世界里傳統(tǒng)的廣告宣傳方式已經(jīng)很難起到傳統(tǒng)營銷中的效果。“口口相傳”是網(wǎng)絡(luò)營銷中企業(yè)建立品牌的重要途徑。互聯(lián)網(wǎng)的信息擴(kuò)散速度遠(yuǎn)遠(yuǎn)超過傳統(tǒng)的媒介途徑。CNNIC的調(diào)查報告顯示:互聯(lián)網(wǎng)是網(wǎng)民獲知購物網(wǎng)站的第一渠道,70.5%的購物網(wǎng)民視互聯(lián)網(wǎng)為認(rèn)知渠道。其次是親朋好友的口口相傳,52.6%的網(wǎng)民從其他人口中聽說過某個購物網(wǎng)站。
來自機(jī)制上的防范,比技術(shù)上的加密更為可靠――這原本是市場宣傳語,卻也道出了信息安全的部分本質(zhì)。
最近一項旨在調(diào)查評估SMB市場 的《2008年中國企業(yè)信息安全現(xiàn)狀調(diào)查報告》指出,如何確保Windows平臺安全和最大限度地降低IT風(fēng)險已經(jīng)成為企業(yè)必須真接面對的問題。但是更多有關(guān)中小企業(yè)信息安全的白皮書卻指出,防范機(jī)制往往比加密技術(shù)本身更重要,常用來佐證的觀點包括“企業(yè)信息安全隱患的重心由防范外網(wǎng)攻擊轉(zhuǎn)向防范內(nèi)部泄密”,以及“以大量資金購置防火墻、防病毒等安全產(chǎn)品只是在企業(yè)信息化初期給予安全一定保障。”
一種比較激進(jìn)的觀點認(rèn)為,內(nèi)網(wǎng)安全已經(jīng)成為信息安全的主要威脅,“現(xiàn)有的IT技術(shù)難以控制員工在操作權(quán)限內(nèi)對電子文檔的修改”以及“拷貝和打印不留痕跡”都成為泄密的主要通道。最著名的一個例子來自摩根斯坦利亞太區(qū)前任首席經(jīng)濟(jì)學(xué)家謝國忠的離職事件,評價新加坡腐敗的郵件沒有通過電子渠道向外傳送,而是采取了打印后帶出公司散布的做法,最終導(dǎo)致了對摩根公司聲譽(yù)的國際影響以及謝本人的黯然離職。
在軍事情報部門,很多國家采用這樣的做法:在所有的復(fù)印機(jī)上加密。加密后的復(fù)印機(jī)有各自的編號,影印出來的文件上會出現(xiàn)該部門名稱及復(fù)印機(jī)編號,一旦文件外泄,憑借這些編號就可以很容易地查出外泄密件的出處。
這種衍生于電子政務(wù)、從復(fù)印和打印出口進(jìn)行安全控制,已經(jīng)成為被重視的一種信息安全手段。就職于日立(.cn)與北京工業(yè)大學(xué)()合資公司的一位工程師表示,這也是其研發(fā)團(tuán)隊正在致力于推出的新產(chǎn)品:“針對打印文件的各種威脅實現(xiàn)切實的安全對策,比如在拷貝檢測的同時,可以得知文件在打印輸出時嵌入的信息以及打印出的文件在被不正當(dāng)改寫或添加時也能被檢測出。”粗略看上去,名為“證書衛(wèi)士”的這款安全產(chǎn)品并沒有太過出奇之處,不過“安全的要點是實用”,日立北工大信息系統(tǒng)的總經(jīng)理郭慶栓則表示,“類似的產(chǎn)品在日本早有應(yīng)用,這是日立公共系統(tǒng)的打印安全軟件進(jìn)行本土化開發(fā)后的中文軟件。”
這種思路值得品味:它的出發(fā)點便是假設(shè)泄密通道會采用物理的方式而非電子手段。事實上在絕大多數(shù)企業(yè)里,重系統(tǒng)監(jiān)管而輕實際監(jiān)測的現(xiàn)象處處皆是,即使是那些著名的軟件廠商也不例外―最近發(fā)生在上海SAP(.cn)研發(fā)團(tuán)隊的一個事例,即是內(nèi)部員工將公司內(nèi)部資料大量打印出售以牟利―而按照通常的內(nèi)部網(wǎng)絡(luò)流量監(jiān)管,如果一次性大量下載或者是網(wǎng)絡(luò)外傳,很容易查出最初的肇事者,但物理的隱形手段顯然更加難以管理。
這意味著另一種商機(jī),或者說信息安全的回歸正好契合了近年來安全廠商的輿論導(dǎo)向。瑞星(.cn)、金山(.cn)等幾家著名的本土殺毒軟件廠商從前些年的殺毒軟件產(chǎn)品提供商轉(zhuǎn)而宣傳自己是“網(wǎng)絡(luò)安全整體解決方案提供商”,其意也正在于此,在企業(yè)級網(wǎng)絡(luò)產(chǎn)品市場,但凡涉及安全領(lǐng)域,過去劃分明確的監(jiān)控、存儲、安全幾條產(chǎn)品線,如今也常常被整合進(jìn)整體方案打包出售,比如賽門鐵克、Avaya(.cn)、H3C(.cn)等等。有意無意地,廠商們希望造成這樣一種印象:機(jī)制的安全比單純的加密技術(shù)更能賦予企業(yè)完美的防范功能,而這樣的安全需要專業(yè)的技能和完整的解決方案,當(dāng)然更重要的,還是乘機(jī)把自己對于安全的理念一同販賣,占據(jù)長期的市場。
關(guān)鍵詞:云;云計算;云安全
中圖分類號:TP393.01
自2006年谷歌公司提出云、云計算概念、理論及推出的“云計劃”,世界上各大IT公司陸續(xù)推出自己的“云計劃”。由于云計算,以其低成本 、高度自動化、無限存儲擴(kuò)展性、高度靈活性、無需基建投資等等的巨大優(yōu)勢,迅速成為IT行業(yè)發(fā)展的方向,并成為各國最優(yōu)先發(fā)展的技術(shù)之一。隨著云計算技術(shù)的發(fā)展,各種云計算應(yīng)用,諸如:云辦公、云安全、云存儲、云打印、云通訊等等相繼推出。特別是在大眾消費電子、信息技術(shù)產(chǎn)品上諸如:“云手機(jī)”、“云電視”、“云殺毒”、“云游戲”……各種“云概念”產(chǎn)品和服務(wù)急劇增加,似乎世界一下進(jìn)入到“云計算時代”。
然而,在人們享用云計算的好處的同時,云的安全和風(fēng)險日益成為阻礙云計算發(fā)展的現(xiàn)實問題。也就是說,云安全日益成為阻礙云計算產(chǎn)業(yè)發(fā)展的瓶頸。進(jìn)而影響到整個信息產(chǎn)業(yè)的發(fā)展。
1 在我們探討云安全之前,我們先來了解下,什么是云?什么是云計算?
云,這個概念由谷歌公司提出。因其無邊的擴(kuò)展性而形象的取名。實際上,云指的是一些可以自我維護(hù)和管理的虛擬計算資源,通常為一些大型服務(wù)器集群,包括計算服務(wù)器、存儲服務(wù)器、寬帶資源等等。
云計算,也由谷歌公司提出。是將所有的計算資源(云)集中起來,并由軟件實現(xiàn)自動管理。是一種基于互聯(lián)網(wǎng)的計算方式,通過這種方式,共享的軟硬件資源和信息可以按需提供給計算機(jī)和其他設(shè)備。具體說,是指建立功能強(qiáng)大的數(shù)據(jù)中心,用戶最大程度簡化個人客戶端,接入數(shù)據(jù)中心進(jìn)行存儲和運算。就像過去打井取水,現(xiàn)在則從自來水公司購買水喝。簡單說,云計算,就是非本地計算。
對于用戶而言,云安全問題的解決是關(guān)系到云服務(wù)能否得到認(rèn)可的關(guān)鍵因素。對于云計算的應(yīng)用而言,云安全也是云計算應(yīng)用的主要障礙之一。比如:計算資源的系統(tǒng)發(fā)生故障,缺乏統(tǒng)一的安全標(biāo)準(zhǔn)、安全法規(guī),以及隱私保護(hù)、數(shù)據(jù)屬權(quán)、遷移、傳輸、安全、災(zāi)備等問題如何有效的解決。
2 目前,云安全主要體現(xiàn)在用戶數(shù)據(jù)的隱私保護(hù)和傳統(tǒng)互聯(lián)網(wǎng)、硬件設(shè)備的安全這兩方面
(1)用戶數(shù)據(jù)的隱私保護(hù)。在云計算出來之前,用戶信息存儲于自己的電腦中,是受法律保護(hù)的,任何人不經(jīng)許可是不能查看、使用這些信息的。
但是當(dāng)用戶信息成為云計算的資源儲存在云上時,任何人使用這些信息,導(dǎo)致隱私泄漏,尚沒有法律依據(jù)如何進(jìn)行處罰。
另外云服務(wù)提供商對登記注冊管理不嚴(yán)格,也極有可能造成不良分子注冊成功并對云服務(wù)進(jìn)行攻擊,造成云的濫用、惡用以及對云服務(wù)的破壞。
(2)互聯(lián)網(wǎng)、硬件設(shè)備的安全。云中可能存在不安全的接口和API,且用戶數(shù)據(jù)集中在此,更容易受到黑客攻擊和病毒感染。當(dāng)遇到重大事故時,云系統(tǒng)將可能面臨崩潰的危險。
2.1 那么如何才能實現(xiàn)云安全?
必須解決以下幾個問題:首先,健全法律法規(guī),保障云計算用戶象相信銀行一樣,相信云服務(wù)提供商,樹立云服務(wù)提供商的公信力,使用戶象在銀行存錢一樣,把數(shù)據(jù)存在云服務(wù)提供商那里。其次,保障不同用戶之間相互隔離,互不影響,防治用戶“串門”。第三,租用第三方的云平臺,必須考慮解決云服務(wù)提供商管理人員權(quán)限的問題。第四,傳統(tǒng)互聯(lián)網(wǎng)服務(wù)為避免單點故障,使用了雙機(jī)備份:主服務(wù)器停止服務(wù),備用服務(wù)器隨即啟動提供服務(wù)。但是在云環(huán)境下,一旦云服務(wù)提供商的服務(wù)停止了,將會影響到一大片用戶,其損失很可能是巨大的。因此必須解決云服務(wù)突然終止所帶來的風(fēng)險問題。
2.2 那么如何實施應(yīng)用具體的云安全技術(shù)解決云安全問題?
云中數(shù)據(jù)安全:目前,云中數(shù)據(jù)安全防護(hù)技術(shù)主要有:增強(qiáng)加密技術(shù)、密鑰管理、數(shù)據(jù)隔離、數(shù)據(jù)殘留等,用這些技術(shù)來解決用戶數(shù)據(jù)在云端計算、存儲及數(shù)據(jù)的歸屬權(quán)、管理權(quán)相分離,帶來的數(shù)據(jù)安全問題。
云計算的虛擬化安全:云計算的特征之一是虛擬化。虛擬化的安全直接關(guān)系到云計算的安全。虛擬化技術(shù)雖然加強(qiáng)了基礎(chǔ)設(shè)施、軟件平臺、業(yè)務(wù)系統(tǒng)的擴(kuò)展能力,但卻使傳統(tǒng)物理安全邊界逐漸缺失,使基于以往的安全域/安全邊界的防護(hù)機(jī)制不能滿足虛擬化環(huán)境下的多租戶應(yīng)用模式。
云環(huán)境中存在著虛擬化軟件安全和虛擬服務(wù)器安全兩方面問題。虛擬環(huán)境中的安全機(jī)制與傳統(tǒng)物理環(huán)境中的安全措施相比,仍有差距。因此,在云計算環(huán)境下,用戶需要了解用戶及云服務(wù)提供商雙方所要承擔(dān)的安全責(zé)任,只有用戶與云服務(wù)提供商共同承擔(dān)安全責(zé)任,才能保證云計算環(huán)境的安全。
云終端的安全:目前可以從云終端的基礎(chǔ)設(shè)施、硬件芯片可信技術(shù)、操作系統(tǒng)安全機(jī)制、應(yīng)用安全更新機(jī)制等四個方面進(jìn)行云終端安全防護(hù)。
云計算的應(yīng)用安全:由于云環(huán)境的靈活性、開放性以及公眾可用性等特性,給應(yīng)用安全帶來很大挑戰(zhàn)。云服務(wù)提供商在部署應(yīng)用程序時應(yīng)當(dāng)充分考慮可能引發(fā)的安全風(fēng)險。對于使用云服務(wù)的用戶而言,應(yīng)提高安全意識,采取必要措施,保證云終端的安全。如用戶在處理敏感數(shù)據(jù)的應(yīng)用程序與服務(wù)器之間通信時采用加密技術(shù)。用戶應(yīng)建立定期更新機(jī)制,及時為使用云服務(wù)的應(yīng)用打補(bǔ)丁或更新版本。
云計算產(chǎn)業(yè)發(fā)展的核心是服務(wù),因此,為保證云計算服務(wù)的可靠性、易用性、可操作性、安全性和穩(wěn)定性,必須在數(shù)據(jù)遷移、備份、加密以及位置控制方面深入探索、研究。同時,要不斷完善云計算相關(guān)的法律法規(guī),讓用戶象在銀行存錢那樣對使用云計算有信心。但無可否認(rèn),除了不斷探索、研究、推廣成熟的云計算安全技術(shù)之外,用戶的自我防護(hù)意識也需要加強(qiáng)。
當(dāng)然,在相關(guān)云計算技術(shù)和標(biāo)準(zhǔn)尚未成熟的今天。若想解決云計算的安全問題,需要政府大力支持和業(yè)界的廣泛聯(lián)合,組成一個完整的生態(tài)系統(tǒng),共同實現(xiàn)云計算的安全。
附錄一:《2010中國云計算調(diào)查報告》關(guān)于云安全在中國應(yīng)用狀況調(diào)查的主要結(jié)論:
(1)針對云安全的三種說法,都有相當(dāng)?shù)挠脩粽J(rèn)可(三種提法:1、云安全是利用云計算技術(shù)提升信息安全;2、云安全是安全即服務(wù);3、云安全是解決云計算技術(shù)本身安全的問題)。
(2)在安全即服務(wù)廠商認(rèn)知度調(diào)查中,奇虎360、瑞星、卡巴斯基等廠商表現(xiàn)較突出。
(3)企業(yè)用戶對數(shù)據(jù)安全與隱私關(guān)注度最高。
(4)不同規(guī)模企業(yè)對于云殺毒的價值訂可度存在差異。
(5)用戶對云安全的發(fā)展趨勢持樂觀態(tài)度。
附錄二:《2012年中國云計算安全調(diào)查報告》調(diào)查結(jié)果:
(1)在云計算部署模型中,企業(yè)認(rèn)為私有云是最安全的,其次為基礎(chǔ)設(shè)施即服務(wù)(IaaS),平臺即服務(wù)(PaaS)位居第三。
(2)在云計算部署模型中,企業(yè)認(rèn)為軟件即服務(wù)(SaaS)是最不安全的,其次為混合式(有的是內(nèi)部管理資源,有的是來自于IaaS/PaaS/SaaS廠商)。
(3)企業(yè)表示永遠(yuǎn)不會遷移到云端的特殊類型數(shù)據(jù)依次為信用卡數(shù)據(jù)、商業(yè)或者合作伙伴的財務(wù)數(shù)據(jù)和客戶身份信息。
(4)對于云計算/云服務(wù),企業(yè)最關(guān)心的三個主要的安全問題是賬戶劫持、云數(shù)據(jù)訪問以及特定云攻擊/威脅(非目標(biāo)性的)。
參考文獻(xiàn):
[1]薄明霞.淺談云計算的安全隱患及防護(hù)策略[J].信息安全與技術(shù),2011,9.
[2]TechTarget中國.2012年中國云計算安全調(diào)查報告.
[3]盛拓-SEQUEL[J].云計算在中國的應(yīng)用,2010-9.
2013年中國網(wǎng)民遇到的各種安全問題的整體發(fā)生率如圖1所示。與2012年相比,2013年個人信息泄漏的比例有大幅的上升。從上圖也可看出,雖然個人信息泄漏被作為一個單獨項進(jìn)行統(tǒng)計,但排在前三位的安全事件也是由個人信息的泄漏造成的。所以,綜合來看,個人的信息泄漏事件不容小覷。在這些事件的背后我們看到的是人員信息安全意識的缺失,企業(yè)信息安全管理的不足。為了幫助企業(yè)和個人提高信息安全意識水平,2012年底某IT企業(yè)了《2012年度中國企業(yè)員工信息安全意識調(diào)查報告》,經(jīng)過對被調(diào)查企業(yè)的管理層人員及普通員工的大量數(shù)據(jù)分析和統(tǒng)計,參與本次接受調(diào)查訪問者的信息安全意識評價平均得分為77.48分。其中,受訪者在移動存儲介質(zhì)安全方面的得分最高,為96.1分;在社會工程學(xué)信息安全方面的得分最低,為49.6分。因此,中國企業(yè)的信息安全意識依然有較大的提升空間。很多企業(yè)為保障企業(yè)數(shù)據(jù)信息安全,不惜花巨資投資購進(jìn)防火墻、入侵檢測、防病毒等網(wǎng)絡(luò)安全產(chǎn)品。然而,企業(yè)內(nèi)的安全事件遠(yuǎn)比管理者的預(yù)想更為復(fù)雜、更為寬泛,人員的誤操作或無作為也會使這些工具失去其應(yīng)有的作用。只有提高人員的安全意識和技能,才能真正使企業(yè)的信息安全設(shè)備發(fā)揮應(yīng)有的作用。
2目前企業(yè)人員的信息安全管理主要存在的問題
(1)全體工作人員的信息安全意識不高;
(2)信息安全專業(yè)人員數(shù)量較少,工作流程不清晰;
(3)信息安全崗位職責(zé)劃分模糊;
(4)管理層不重視;
(5)信息安全管理工作缺乏有效的考核和監(jiān)管機(jī)制。上述幾個問題看似不會影響正常的企業(yè)運作,但長期持續(xù)則會給企業(yè)的信息安全帶來巨大的隱患,存在較高的風(fēng)險。有調(diào)查顯示,企業(yè)的信息泄漏事件70%-80%都由內(nèi)部人員造成。對于一些關(guān)系國計民生的企業(yè),如電力、通信等,企業(yè)的信息一旦泄漏,將會產(chǎn)生巨大的社會影響,同時也會給企業(yè)造成巨大的損失。但是我們?nèi)匀豢梢酝ㄟ^對知悉或掌握企業(yè)核心資產(chǎn)和數(shù)據(jù)的人員加強(qiáng)信息安全管理與監(jiān)督,來提高信息安全整體水平。
3加強(qiáng)人員信息安全管理的具體措施
對于企業(yè)人員的安全管理措施有很多,國內(nèi)外的相關(guān)標(biāo)準(zhǔn)中都有相應(yīng)的描述,如《薩班斯法案》《信息安全技術(shù)信息系統(tǒng)安全管理要求》ISO27000系列等,不同的標(biāo)準(zhǔn)要求亦有不同,但總體來說不外乎以下幾點。
(1)加強(qiáng)人員的信息安全保密意識與責(zé)任。任何企業(yè)的信息安全與保密都離不開人,信息安全每個步驟的操作與執(zhí)行都是由人來完成與實現(xiàn)的。如果企業(yè)內(nèi)相關(guān)人員的信息安全與保密意識薄弱,不小心造成某些敏感信息泄露,則比其他安全不足問題導(dǎo)致的損失更大。因此必須要不斷對相關(guān)崗位人員的信息安全意識、責(zé)任和職業(yè)道德進(jìn)行培訓(xùn)、指導(dǎo)與監(jiān)督。
(2)管理層重視。企業(yè)人員的信息安全管理是管理層的職責(zé),所有的措施和方法都需要得到管理層的支持才能實施,否則再完美的方法也是毫無意義的。隨著各類信息安全事件的曝光,信息泄漏事件的頻發(fā),特別是國家推行信息系統(tǒng)的等級保護(hù)政策以后,越來越多的管理層開始重視信息安全問題。
(3)明確本單位的核心信息安全資產(chǎn)。我們要對企業(yè)的核心信息安全資產(chǎn)加強(qiáng)保護(hù),即主要是對企業(yè)內(nèi)部最核心的信息資產(chǎn)進(jìn)行有效的保護(hù),這對企業(yè)的信息安全尤為重要且非常有效。任何一個企業(yè)的資源都有限,信息安全工作相對于業(yè)務(wù)工作的投入來說一定較小一些,因此對核心的信息資產(chǎn)保護(hù)才是企業(yè)真正關(guān)心的內(nèi)容和工作。核心信息資產(chǎn)主要指價值比較高,一旦泄露可能會對企業(yè)造成比較大損失的資產(chǎn),如企業(yè)的重要或敏感數(shù)據(jù)、存有重要敏感數(shù)據(jù)的紙質(zhì)和電子類的載體等企業(yè)的核心資產(chǎn)。明確核心資產(chǎn)信息安全也是對人員進(jìn)行職責(zé)劃分的基礎(chǔ)。
(4)清楚劃分人員職責(zé),嚴(yán)格進(jìn)行權(quán)限分離。人員職責(zé)和權(quán)限對應(yīng)組織的信息資產(chǎn),一定程度上也決定了該人員在組織中的安全地位,職責(zé)不明確往往導(dǎo)致人員的無作為或誤操作,很多的信息安全隱患無法消除。如果明確了單位的核心資產(chǎn),而人員的職責(zé)劃分不清晰,那也等于是無用功。很多單位由于信息安全人員數(shù)量有限,存在一人多崗的情況,很多核心的敏感的信息或功能掌握在一個人的手中,這就使得某個人或某幾個人的權(quán)限過大,導(dǎo)致內(nèi)部舞弊的風(fēng)險增加。因此,首先要明確本單位需要設(shè)置的信息技術(shù)類崗位,并設(shè)置相應(yīng)的人員,確保人員的配備遵循三權(quán)分離的原則,敏感的功能或較高的權(quán)限不能放在一個人手上,關(guān)鍵性的操作甚至需要多人同時在場,只有這樣才能最大限度地避免人員的內(nèi)部舞弊。
(5)嚴(yán)格選拔新進(jìn)人員,考核在崗人員,審查離崗人員。選拔人員是人員信息安全管理的第一步,對人員進(jìn)行嚴(yán)格的背景審查和技能考核是保障企業(yè)信息安全人員執(zhí)業(yè)技能和職業(yè)道德的重要措施。重要敏感崗位的人員應(yīng)盡量從內(nèi)部進(jìn)行選拔,避免直接任用外聘的人員;對于在崗的信息安全人員應(yīng)定期進(jìn)行考核和檢查,保證所有的工作都按正常的操作規(guī)程執(zhí)行,避免簡化流程的事情發(fā)生;對于離崗的人員應(yīng)與之簽訂相關(guān)的協(xié)議說明,并立即更換其所掌握的關(guān)鍵認(rèn)證信息,避免由于人員的流失導(dǎo)致信息的泄漏。
(6)建立信息安全管理工作的日常監(jiān)管和考核機(jī)制。信息安全管理執(zhí)行的主體是人,人的操作難免會有失誤或不當(dāng)?shù)牡胤剑@些都是信息安全的風(fēng)險隱患。所以應(yīng)對人員的日常工作需建立考核和監(jiān)管機(jī)制,對人員的日常安全管理工作進(jìn)行監(jiān)督并提前發(fā)現(xiàn)潛在風(fēng)險,及時消除隱患,降低由于人員操作不當(dāng)或惡意操作帶來的信息安全風(fēng)險。
4結(jié)語
該文對供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析,并探討了可以針對性改進(jìn)的安全防護(hù)措施。首先對當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析,然后研究了在“自主定級,自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案,最終實現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。
關(guān)鍵詞:
供水企業(yè)信息集成系統(tǒng);等級保護(hù);信息安全
供水行業(yè)對國計民生很重要的一個行業(yè),供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點,集中管理所有涉及運營的相關(guān)數(shù)據(jù),針對供水企業(yè)運行的特殊要求,進(jìn)行集中的規(guī)劃和架構(gòu),將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合,最終形成完整的供水企業(yè)綜合信息平臺。[1]而集成系統(tǒng)中最重要的一個要求就是信息安全。
隨著大數(shù)據(jù)時代的到來,網(wǎng)格、分布式計算、云計算、物聯(lián)網(wǎng)等新技術(shù)相繼推出,對供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展,應(yīng)用中存在著大量的安全隱患,網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國Radicati公司于2015年3月的調(diào)查報告,截至2014年12月,網(wǎng)絡(luò)攻擊已經(jīng)為全球計算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升,計算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級數(shù)增長。根據(jù)2015年的中國網(wǎng)絡(luò)安全分析報告,2014年報告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年,搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國各地都出現(xiàn)了長達(dá)25分鐘無法使用。2014年7月,某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊,造成在其公司注冊的13%的網(wǎng)站無法訪問,時間長達(dá)17個小時,經(jīng)濟(jì)損失不可估量。因此,從信息安全的角度,要對供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù),降低信息安全事故的發(fā)生的概率,降低其危害,是本文需要研究的內(nèi)容。
1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問題
伴隨著科技的不斷發(fā)展,供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展,主要是從深度和廣度兩個層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動化系統(tǒng)等子系統(tǒng)。其中多個系統(tǒng)數(shù)據(jù)需要接受外部訪問,存在大量的安全隱患。目前,威脅到供水企業(yè)信息安全的風(fēng)險因素主要分為三個大類:1)人為原因,如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級錯誤等。2)數(shù)據(jù)存儲位置位置的風(fēng)險。可能由自然災(zāi)害引發(fā)的問題,缺乏數(shù)據(jù)備份和恢復(fù)能力。3)不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。
2有關(guān)分級防護(hù)的要求
尤其是供水企業(yè)信息集成系統(tǒng)中,存在大量涉及公民個人隱私的信息,也存在像生產(chǎn)調(diào)度這樣涉及國計民生的信息。因此,需要按照國家有關(guān)信息安全的法律法規(guī),明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)第十四條,信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。定級標(biāo)準(zhǔn)按照國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240—2008)實施,根據(jù)等級保護(hù)相關(guān)管理文件,信息系統(tǒng)的安全保護(hù)等級分為以下五級:第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種:1)造成一般損害;2)造成嚴(yán)重?fù)p害;3)造成特別嚴(yán)重?fù)p害。
3分別防護(hù)實施步驟
根據(jù)有關(guān)法律法規(guī),建設(shè)完成并投入使用的信息系統(tǒng),其有關(guān)使用此系統(tǒng)的單位需要對其系統(tǒng)的等級狀況做定期的測評。供水企業(yè)要遵照要求選擇具有資質(zhì)的測評機(jī)構(gòu)來對管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級保護(hù)的測評工作。其所得到的結(jié)果如下表1所示:通常情況下,供水企業(yè)信息系統(tǒng)中不會出現(xiàn)第四級和第五級的系統(tǒng)。根據(jù)測評結(jié)果,有必要對供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項主要內(nèi)容:細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置;按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實際,主要有等級包括三個業(yè)務(wù)區(qū)域,以及一個公共業(yè)務(wù)區(qū)和測評業(yè)務(wù)區(qū)。按照上述原則對供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級的系統(tǒng)服務(wù)器針對不同級別的信息安全區(qū)進(jìn)行設(shè)置。等級為一、二、三的業(yè)務(wù)區(qū)分別安裝著對應(yīng)的服務(wù)器,而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù),不需要進(jìn)行保護(hù)分級。測評業(yè)務(wù)區(qū)提供是投入正式使用前的測試服務(wù)器。
依據(jù)表1的測評結(jié)果,將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū),其主要業(yè)務(wù)系統(tǒng)對安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果,可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi),以此達(dá)到服務(wù)器分級防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界,也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對于不同區(qū)域邊界的信息安全的部署建議,供水企業(yè)要遵照各自的實際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi),如此可以初步實現(xiàn)對供水企業(yè)管理信息區(qū)的信息安全防護(hù)。
4結(jié)束語
隨著大數(shù)據(jù)的發(fā)展,對供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會提出更高的要求,也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下,還需要加強(qiáng)信息審計,及時發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷,加強(qiáng)數(shù)據(jù)庫安全防護(hù),維護(hù)管理系統(tǒng)的隱患。
參考文獻(xiàn):
[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).
當(dāng)網(wǎng)絡(luò)無處不在的時候,安全問題也就無處不在了。
隨著網(wǎng)絡(luò)的發(fā)展,越來越多的企業(yè)把信息放在網(wǎng)絡(luò)上以提高工作效率,這也使他們時刻面臨信息泄露、數(shù)據(jù)損毀的威脅。
于是,安全廠商如雨后春筍般涌現(xiàn)出來。如此之快的增長速度,對于安全市場的健康發(fā)展并非是一件好事。當(dāng)技術(shù)指標(biāo)混亂、缺乏嚴(yán)格的衡量標(biāo)準(zhǔn)等問題逐漸暴露出來時,那些蜂涌而至的廠商勢必要面臨這些挑戰(zhàn),甚至要面對安全領(lǐng)域廠商的一次洗牌。如何及時調(diào)整自己的市場策略,在這前景一片大好的市場中占據(jù)一席之地,已經(jīng)成為眾多安全廠商急需思考的問題。
從芯片研發(fā)成功轉(zhuǎn)戰(zhàn)安全市場的凹凸科技(O2Micro)全球執(zhí)行副總裁Max Huang認(rèn)為:“最大限度地發(fā)揮自身的優(yōu)勢,及時掌握市場的需求變化,務(wù)實地研發(fā)自己的產(chǎn)品,是凹凸科技在安全領(lǐng)域從零開始,漸漸獲得市場信任的三個原因。這也是凹凸科技扎根未來安全市場的關(guān)鍵。”
用技術(shù)突破安全市場
凹凸科技成立于12年前,總部設(shè)于美國硅谷,現(xiàn)在已經(jīng)成為一家具有芯片研發(fā)能力的集成電路供應(yīng)商,累計獲得了280多項技術(shù)專利。其設(shè)計研發(fā)中心和商務(wù)營銷部門分布在美洲、歐洲、亞洲的14個國家和地區(qū),并在國內(nèi)的北京、上海、武漢、成都、深圳5個城市相繼建立了研發(fā)、銷售以及服務(wù)網(wǎng)絡(luò)。
凹凸科技從2002年開始涉足安全領(lǐng)域,5年來已經(jīng)推出了多款安全產(chǎn)品,其SSL VPN產(chǎn)品Succendo更是獲得了業(yè)內(nèi)的好評,并在相關(guān)市場中占得不錯的市場份額。相對于傳統(tǒng)的安全廠商,5年時間能取得這樣的成績,多少有點出乎人們的意料。
Max Huang談到這5年的研發(fā)路程時表示:“投入一個自己完全不熟悉的市場,雖然非常冒險,但是我們能看到安全是未來的市場發(fā)展重點,因此挑戰(zhàn)雖然大但機(jī)遇也非常大。”芯片研發(fā)是凹凸科技的傳統(tǒng)強(qiáng)項,這也讓其在進(jìn)行安全產(chǎn)品研發(fā)時受益不少,不僅有效降低了研發(fā)以及生產(chǎn)成本,同時也找到了自己的特點。
“比如,我們基于自主技術(shù)ASIC芯片的防火墻或VPN產(chǎn)品擁有非常高的性價比和市場競爭力。而正是本著務(wù)實的研發(fā)態(tài)度,我們從零開始慢慢進(jìn)入到安全領(lǐng)域的競爭行列。目前我們已經(jīng)有好幾款產(chǎn)品在相關(guān)市場份額競爭中名列前茅,而未來我們肯定會走得更遠(yuǎn)。”Max Huang這樣強(qiáng)調(diào)。
與渠道共挖市場需求
國家發(fā)改委中小企業(yè)司的《2006年中國中小企業(yè)信息化調(diào)查報告》中顯示,眾多被訪企業(yè)已經(jīng)把信息安全列為信息化建設(shè)的重點。但事實是,一方面近八成的被訪中小企業(yè)只有5名以下的IT技術(shù)人員,另一方面信息安全方案的實施需要非常專業(yè)的人才。這種需求與現(xiàn)實的差距讓企業(yè)在架構(gòu)安全方案時捉襟見肘。而對于產(chǎn)品和解決方案提供商來說,產(chǎn)品的銷售和實施主要依賴于各地渠道商。因此,渠道的建設(shè)以及相關(guān)人員技術(shù)水平直接關(guān)系到該安全產(chǎn)品是否真正能為中小企業(yè)所接受。
向主動防御轉(zhuǎn)變
在云計算的背景下,企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生了邊界模糊、中心離散、分層減少等重大變化,導(dǎo)致原本奏效的安全防護(hù)理念,出現(xiàn)了設(shè)備位置不確定、檢測目標(biāo)不明確、防護(hù)重點不突出、阻斷策略不匹配等問題,防護(hù)效能嚴(yán)重降低。所以要將被動防御變?yōu)橹鲃臃烙⒎e極防御,從而讓用戶以更低的成本享受到更高質(zhì)量的安全服務(wù)。
什么是主動防御?如何做到主動防御,遠(yuǎn)離安全漏洞和數(shù)據(jù)泄密? 在接受記者采訪時,安永華北區(qū)信息安全服務(wù)合伙人李睿表示,主動防御不同于傳統(tǒng)的被動防守,今天網(wǎng)絡(luò)安全漏洞的防不勝防,企業(yè)應(yīng)該利用新技術(shù)主動找到可能存在的風(fēng)險,并進(jìn)一步提供防范措施。“主動防御不會代替?zhèn)鹘y(tǒng)安全運營,而是對其加以組織和鞏固。網(wǎng)絡(luò)安全不止是一個技術(shù)性問題,也不僅僅局限在IT領(lǐng)域。它既是每一位企業(yè)董事會成員應(yīng)該承擔(dān)的職責(zé),還以各種方式,通常是隱秘、不易識別的方式影響著企業(yè)的各個層面以及最高管理層的每一位成員。”李睿說。
《安永第十八屆全球信息安全調(diào)查報告》特別指出,企業(yè)應(yīng)繼續(xù)以超前防范網(wǎng)絡(luò)攻擊者為目標(biāo),建立更為先進(jìn)的安全管理平臺,并使用網(wǎng)絡(luò)威脅智能感知系統(tǒng)以有效地保持運營的一致性,幫助開展主動防御,尋找潛在攻擊者、分析和評估威脅,并在威脅破壞企業(yè)的關(guān)鍵資產(chǎn)之前將其解除。
安永表示可以為企業(yè)提供包括企業(yè)各個部門之間應(yīng)如何協(xié)作和分享經(jīng)驗、共同收集證據(jù)識別出攻擊者已經(jīng)入侵的區(qū)域等服務(wù),甚至是為企業(yè)提供攻擊者正在收集信息的領(lǐng)域,為主動防御提供支持。
安全技術(shù)服務(wù)化
“網(wǎng)絡(luò)就是連接一切。”隨著越來越多的企業(yè)把業(yè)務(wù)和互聯(lián)網(wǎng)對接,原有的防護(hù)系統(tǒng)很難保障企業(yè)業(yè)務(wù)和相關(guān)財產(chǎn)安全。針對這一需求變化,安全企業(yè)必須擺脫原有的產(chǎn)品和許可證的商業(yè)模式,將技術(shù)服務(wù)化,以便為企業(yè)提供更多個性化的服務(wù)。
不同于安永這樣的咨詢服務(wù)機(jī)構(gòu)和傳統(tǒng)的安全企業(yè),梆梆安全是一家新生代安全公司,它為客戶提供最受歡迎的業(yè)務(wù)是把安全技術(shù)服務(wù)化。梆梆安全創(chuàng)始人闞志剛博士認(rèn)為,“第一代安全公司是賣設(shè)備、賣防火墻;第二代安全公司是賣許可證的;第三代安全公司必須是賣服務(wù)的,因為服務(wù)是集約化服務(wù),成本最低。”
“大智移云尤其是對傳統(tǒng)安全企業(yè)的沖擊比較大,例如賣盒子和設(shè)備的公司,大數(shù)據(jù)時代IT資源集約化之后,原來每個小企業(yè)都會買安全設(shè)備,但是集約到云之后,作為云公司如果為100家企業(yè)服務(wù),那他們買一套安全設(shè)備就可以了。”梆梆安全不是唯一的例子,大數(shù)據(jù)對于新型安全企業(yè)而言意味著機(jī)遇,現(xiàn)在涌現(xiàn)出大量以大數(shù)據(jù)和云為研究對象的新型安全公司,這些公司建立云之后,可以為成百上千家客戶進(jìn)行服務(wù)。
下一步:智能化平臺
和專業(yè)的安全公司相比,BAT等互聯(lián)網(wǎng)企業(yè)也在補(bǔ)齊自己的短板。在近日舉辦的首都網(wǎng)絡(luò)安全日活動中,百度向外界展示的“百度昊天鏡威脅情報平臺”,打通了移動、云、PC的完整生態(tài)安全數(shù)據(jù),構(gòu)建了全面的互聯(lián)網(wǎng)安全事件地貌及知識圖譜,充分發(fā)揮百度在大數(shù)據(jù)和人工智能領(lǐng)域多年積累的優(yōu)勢,構(gòu)建了面向安全決策的復(fù)合機(jī)器學(xué)習(xí)引擎。可以實現(xiàn)識別潛在互聯(lián)網(wǎng)威脅,告別被動防御局面,有效提升互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)對黑產(chǎn)困擾和入侵攻擊的對抗能力。
人行:
根據(jù)《河南省取消企業(yè)銀行賬戶許可工作實施方案》的要求,我行在人行湯陰支行的統(tǒng)籌規(guī)劃、統(tǒng)一部署下,提高認(rèn)識,統(tǒng)一思想,積極行動,逐項認(rèn)真落實各項工作要求。我行現(xiàn)將具體的工作情況匯報如下:
一、系統(tǒng)操作方面
我行在人行指定的時間內(nèi)逐項完成了人行下發(fā)的操作任務(wù),包括系統(tǒng)的壓力測試階段和系統(tǒng)上線后快速的完成了操作員的創(chuàng)立和操作員的密碼修改等工作。
二、業(yè)務(wù)處理方面
根據(jù)人行的業(yè)務(wù)指令,我行在第一時間順利完成了基本戶和臨時戶的虛擬開戶許可證編號的領(lǐng)取工作。由于試點工作啟動以來還未有企業(yè)來我行辦理基本戶的開立業(yè)務(wù),我行還未就企業(yè)開立、變更等業(yè)務(wù)進(jìn)行處理。但是,我行并未放松對業(yè)務(wù)處理操作的學(xué)習(xí)。我行前臺員工認(rèn)真學(xué)習(xí)《賬戶管理系統(tǒng)取消企業(yè)銀行賬戶許可業(yè)務(wù)操作講解》、《河南省人民幣銀行結(jié)算賬戶監(jiān)管輔助系統(tǒng)商業(yè)銀行用戶操作手冊》等學(xué)習(xí)資料,確保能夠正確、快速的為客戶辦理相關(guān)業(yè)務(wù)。
三、賬戶監(jiān)管方面
為了能夠全面、獨立承擔(dān)企業(yè)銀行賬戶合法合規(guī)主體責(zé)任并堅決貫徹落實人行“兩個不減,兩個加強(qiáng)”的賬戶監(jiān)管總要求,我行在賬戶監(jiān)管方面做出了相應(yīng)的優(yōu)化工作。1、我行繼續(xù)依托我行的反洗錢系統(tǒng)加強(qiáng)對企業(yè)銀行賬戶行為監(jiān)測和賬戶交易監(jiān)測;2、建立企業(yè)銀行賬戶核對機(jī)制,每月一次重點對賬,每半年一次全面對賬,總體對賬頻率不低于每季度一次;3、對于企業(yè)賬戶存在異常情形的,有權(quán)采取適當(dāng)控制賬戶交易措施;4、對企業(yè)開戶資格和實名制符合性進(jìn)行動態(tài)復(fù)核;5、我支行上級行平均每月對我支行開展一次監(jiān)督檢查工作。6、我行還設(shè)有預(yù)警系統(tǒng),加大對我行企業(yè)賬戶的事后核查工作強(qiáng)度。
四、信息安全方面
為確保企業(yè)數(shù)據(jù)信息的安全,我行在現(xiàn)有措施的基礎(chǔ)上進(jìn)行了相應(yīng)的提升,發(fā)揮電子科技防范數(shù)據(jù)信息風(fēng)險作用。
五、輿情管理方面
在一個擁有近6億網(wǎng)民、3億微博用戶的網(wǎng)絡(luò)大國,中央或地方政府任何一個針對互聯(lián)網(wǎng)的管理政策均會引起不同震級的輿論反應(yīng)。微博實名制傳聞多時,如今,懸念終于揭開,此前那些復(fù)雜的聯(lián)想立馬就云開霧散。事實其實很簡單:去年12月16日,北京市出臺《北京市微博客發(fā)展管理若干規(guī)定》,規(guī)定任何組織或者個人注冊微博客賬號要用真實身份信息(后臺信息而非前臺公開),否則只能瀏覽不能發(fā)言。緊接著,廣州、深圳、上海也開始實施微博實名認(rèn)證制。北上廣等一線城市一個個攻克下來了,其他城市更不在話下。生活永遠(yuǎn)比戲劇精彩。沒想到,2011年的壓軸戲竟是微博實名制!
互聯(lián)網(wǎng)技術(shù)具有先天的“躲貓貓”功能,它可以讓真人穿上隱身衣,戴上面具,消隱于網(wǎng)絡(luò)江湖。沒有真實身份的負(fù)擔(dān),惡作劇的成本會大大降低,因而容易縱容人性惡的膨脹。誰敢保證數(shù)千萬計的網(wǎng)民游蕩在網(wǎng)絡(luò)江湖,個個都能守住正人君子的真身?只要網(wǎng)絡(luò)行為的籬笆尚未扎緊,即會有人乘虛而入,成為“麻煩”制造者。對于中國這樣的網(wǎng)絡(luò)大國,網(wǎng)民的網(wǎng)絡(luò)行為若沒有“紅綠燈”和“斑馬線”,就會滋生麻煩。此前,中國的網(wǎng)絡(luò)管理者曾多次努力,想在法規(guī)及倫理上扎緊籬笆。但互聯(lián)網(wǎng)的技術(shù)防不勝防,它會不斷撕開新的口子,引發(fā)新的信息決口和表達(dá)失控。結(jié)果我們看到:信息管理者忙于“補(bǔ)漏”、“打補(bǔ)丁”,四處救火。這種被動式管理方式,其效果有限不說,也會招致合法性的嚴(yán)重流失。
近兩年,遍地開花的微博產(chǎn)生的鯰魚效應(yīng),攪動了中國整個輿論場。微信息,大循環(huán),最后釋放出排山倒海的力量。特別是在關(guān)鍵信息缺席之時,微博就會走到傳播第一線,填補(bǔ)信息真空,充當(dāng)社會輿論的“連通器”與“鼓風(fēng)機(jī)”。在佛山小悅悅事件、7?23動車事故中,微博都扮演了積極的社會行動者角色。這次,北京、廣州等地方政府從微博實名制下手,將網(wǎng)絡(luò)“隱身衣”換裝成“比基尼”,意在繃緊微博用戶的誠信神經(jīng)。
用實名制的方式規(guī)范網(wǎng)民信息誠信,不能說沒道理。數(shù)以萬計的網(wǎng)民聚集在一個輿論場中,不實信息乃至謠言可能成為害群之馬,引致社會輿論的偏航。問題是,這種規(guī)約不應(yīng)是單向的,而應(yīng)是雙向的。政府要求微博用戶“透底”,政府就應(yīng)該為微博用戶“托底”,權(quán)利與義務(wù)應(yīng)該是對等的。既然微博用戶的信息公開邁出了一大步,政府的表現(xiàn)更要上臺階。政府該以誠信、公開的姿態(tài),有更佳的信息作為,讓網(wǎng)民切身感到:他們的付出是值得的。基于此,公眾對政府有三點期待:
其一,深入推動政府的信息公開。政府掌握著大量公共信息,除卻涉及國家安全的信息,有很多信息還攬在政府的手里,公眾欲知,但可望而不可即。“三公”消費的公開費了九牛二虎之力,至今還走在半路上。在一些突發(fā)事件中,不實信息之所以四處傳播,甚至謠言四起,一個重要原因就是真實信息的缺席。近期披露的7?23動車事故調(diào)查報告中,就指出“信息不及時,對社會關(guān)切回應(yīng)不準(zhǔn)確”等問題。微博在7?23動車事件別活躍,很大程度上是由核心信息缺席引致的。在我看來,只有政府的信息公開有實質(zhì)性的推進(jìn),才能解決公共事件中虛假信息的失控問題。近期,政務(wù)微博出現(xiàn)井噴式的繁榮,意在推動信息公開,促進(jìn)政治溝通,思路和成效是值得肯定的。
其二,確保用戶的信息安全。微博用戶把自己真實的身份信息交出去,是存在信息安全顧慮的。雖說這些信息不是直接交給政府,是交給網(wǎng)站,但政府有責(zé)任通過制度建設(shè),規(guī)范網(wǎng)站的信息管理,確保用戶的信息安全。
其三,要切實保障公民的知情權(quán)、表達(dá)權(quán)、參與權(quán)、監(jiān)督權(quán)。交往理性的生成是政治成熟的必要條件。應(yīng)以實行微博實名制為契機(jī),把政府與公眾之間的交往理性提升到更高的層次。凈化網(wǎng)絡(luò)環(huán)境,營造文明健康、積極向上的網(wǎng)絡(luò)文化,要有成熟的交往理性作為支撐。此前,網(wǎng)絡(luò)上非理性的表達(dá)與非理性的控制糾結(jié)在一起,難解難分,結(jié)果多是兩敗俱傷。這次推行微博實名制,既要強(qiáng)化微博使用者的言論責(zé)任,也要政府擔(dān)負(fù)起對等的責(zé)任。而政府在這方面的責(zé)任目標(biāo)應(yīng)該是:把保障公民的知情權(quán)、表達(dá)權(quán)、參與權(quán)、監(jiān)督權(quán)落到實處。
(作者為復(fù)旦大學(xué)新聞學(xué)院副教授)
此事件讓人們對互聯(lián)網(wǎng)再次提高了警惕,大數(shù)據(jù)是互聯(lián)網(wǎng)時代的重要特征,其發(fā)展方向是數(shù)據(jù)共享和數(shù)據(jù)開放。隨著云服務(wù)的推出,很多互聯(lián)網(wǎng)企業(yè)把一些敏感數(shù)據(jù)放在互聯(lián)網(wǎng)云端,通過對數(shù)據(jù)的挖掘、分析,最后形成有用的信息。在互聯(lián)網(wǎng)金融的大環(huán)境下,這將對信息安全,包括資金安全提出更大挑戰(zhàn)。
小隱私中的大隱患
從近期的案件分析來看,犯罪分子更多把目光放在數(shù)據(jù)挖掘和數(shù)據(jù)分析上,互聯(lián)網(wǎng)金融的發(fā)展使他們?nèi)菀赘`取到一些更精準(zhǔn)的企業(yè)信息和個人信息,作案成功率也會更高。
類似于已被人們熟知的信用卡欺詐、套現(xiàn)洗錢等事件還在不斷發(fā)生。而且從互聯(lián)網(wǎng)到手機(jī),從電話到電視,從pos機(jī)到pad,第三方支付渠道愈加增多。互聯(lián)網(wǎng)金融最基本的核心還是金融的屬性和金融的特性,所以還是要以金融的風(fēng)險管理角度來直面互聯(lián)網(wǎng)金融所帶來的風(fēng)險。
中國金融認(rèn)證中心助理總經(jīng)理王梅認(rèn)為,金融機(jī)構(gòu)在面臨這些信息安全隱患時,需要加強(qiáng)新技術(shù)和新應(yīng)用這方面的研究。隨著現(xiàn)在銀行業(yè)務(wù)不斷的創(chuàng)新,電子銀行的渠道也越來越多,復(fù)雜度越來越高。銀行金融機(jī)構(gòu)要從業(yè)務(wù)架構(gòu)和技術(shù)架構(gòu)兩方面人手,考慮如何更好的融合。尤其是信息安全建設(shè)方面,系統(tǒng)建設(shè)要同時啟動規(guī)劃、開發(fā)、測試、上線,要充分認(rèn)識重視信息安全。最重要的是加強(qiáng)信息安全的宣傳、引導(dǎo),尤其是電子銀行安全方面的引導(dǎo)。
“很多時候,客戶發(fā)生信息泄露事件,是客戶自身對信息安全意識不足。”一位銀行人士表示,對于一些詐騙信息,百姓應(yīng)分辨清楚,不輕信對方。
中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《2012年中國網(wǎng)民信息安全狀況研究報告》顯示,我國信息安全狀況不容樂觀,而網(wǎng)民對信息安全危害意識程度不夠。
有84.8%的網(wǎng)民遇到過信息安全事件,在這些網(wǎng)民中,平均每人遇到2.4類信息安全事件。在眾多信息安全事件中垃圾短信和手機(jī)騷擾電話發(fā)生比例最高,分別有68.3%和56.5%。而“欺詐誘騙信息”、“假冒網(wǎng)站”等新型信息安全事件甚至超過了部分傳統(tǒng)信息安全事件。38.2%的網(wǎng)民遇到過“欺詐誘騙信息”,這一比例甚至比傳統(tǒng)的“中病毒或木馬”的網(wǎng)民比例高出15.1個百分點。但在遇到信息安全事件的網(wǎng)民中,高達(dá)47.5%的網(wǎng)民不做任何處理,網(wǎng)民對信息安全事件的危害并不了解或不在意。
中國金融認(rèn)證中心副總經(jīng)理曹小青撰文表示,對消費者而言,面臨的風(fēng)險主要包含電子貨幣形式的資金的損失和電子信息形式的隱私泄露兩類。目前看消費者一方風(fēng)險產(chǎn)生的原因,主要是消費者安全意識薄弱、消費者操作不當(dāng)、木馬軟件泛濫及黑客攻擊猖獗。
他提醒消費者,要注意保護(hù)個人的隱私信息。如電話號碼、家庭住址、身份證號碼、公司地址、E-mail等信息。不要將對自己至關(guān)重要的敏感信息暴露在網(wǎng)上;不使用弱密碼,也不在多處使用同一密碼;加強(qiáng)安全支付意識,不在網(wǎng)吧進(jìn)行支付,不使用公共網(wǎng)絡(luò)進(jìn)行支付;在線交易操作需要反復(fù)確認(rèn),隨時注意瀏覽器地址欄、彈出窗口的各項內(nèi)容等細(xì)節(jié)信息;認(rèn)清不同種支付方式所面臨的風(fēng)險,對短信支付、手機(jī)銀行支付、信用卡支付等支付方式,要通過設(shè)置交易資金限制等方式來降低風(fēng)險。
業(yè)務(wù)連續(xù)性管理新課題
如果說,隱私泄露帶來的信息安全問題,自己稍加注意便能避免,那如果是因為銀行管理失誤,導(dǎo)致民眾無法正常辦理金融業(yè)務(wù),這會讓信息金融時代的民眾最缺乏安全感。
根據(jù)中國金融認(rèn)證中心的《2012中國電子銀行調(diào)查報告》顯示,中國電子銀行業(yè)務(wù)連續(xù)三年呈增長態(tài)勢,68%的用戶使用網(wǎng)上銀行替代了一半以上的柜臺業(yè)務(wù),部分銀行網(wǎng)銀替代率超過85%。而40%的個人網(wǎng)銀用戶擁有多個網(wǎng)銀賬戶,最近1年內(nèi)的網(wǎng)銀賬戶主動開通率為75%;個人手機(jī)銀行用戶比例為8.9%,較2011年增長2.6個百分點,連續(xù)三年呈增長趨勢。
在此大背景下,各大銀行的信息系統(tǒng)一旦出現(xiàn)問題,將帶來難以估量的損失。
6月23日,中國資產(chǎn)規(guī)模最大的銀行中國工商銀行出現(xiàn)系統(tǒng)“癱瘓”,柜面取款、自動取款機(jī)、網(wǎng)上銀行、電話銀行等業(yè)務(wù)辦理均大受影響,多個網(wǎng)點更貼出“機(jī)器故障”告示停辦所有業(yè)務(wù)。此次事件涉及北京、上海、武漢、四川等中國多個省市。
中國工商銀行在內(nèi)地?fù)碛袛?shù)萬家營業(yè)網(wǎng)點,電話銀行注冊客戶已超過1億戶,短信銀行累計服務(wù)客戶達(dá)2150萬戶,因此,此次系統(tǒng)故障影響范圍頗大。隨后工行證實事件乃系統(tǒng)升級所致,但此次“意外”已經(jīng)引起坊間一些過度“解讀”。
7月初,中國工商銀行就6?23事件內(nèi)部通報指出,故障原因是由于供應(yīng)商提供的主機(jī)版本內(nèi)存清理機(jī)制存在缺陷引發(fā)的。小概率,高風(fēng)險的系統(tǒng)故障再一次將銀行災(zāi)備與風(fēng)險管理的重要性凸顯出來,也讓業(yè)務(wù)連續(xù)性管理(BCM)這一普通人覺得陌生的術(shù)語浮出水面。
銀行業(yè)信息系統(tǒng)承載著金融機(jī)構(gòu)核心業(yè)務(wù)和金融服務(wù)的穩(wěn)定運行,一個環(huán)節(jié)出現(xiàn)問題,就可能引發(fā)“多米諾骨牌”式的傳遞效應(yīng),引發(fā)系統(tǒng)性金融信息安全風(fēng)險,巨大的經(jīng)濟(jì)損失尚且可估算,但對銀行社會聲譽(yù)的巨大損失甚至容易引發(fā)全社會的恐慌所帶來的巨大沖擊則是不可估量的。
顯然,在6月多家銀行系統(tǒng)故障頻發(fā)的現(xiàn)實證明我國銀行業(yè)風(fēng)險管控意識亟待升級。我國銀行業(yè)IT應(yīng)用早已步入集中時代,但在數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的連續(xù)性管理上,大多金融機(jī)構(gòu)起步較晚,中小型金融機(jī)構(gòu)更是如此。
2008年,現(xiàn)任銀監(jiān)會副主席郭利根曾就多起國內(nèi)銀行信息科技風(fēng)險事件發(fā)表講話。他指出,基礎(chǔ)建設(shè)滯后、軟硬件及核心技術(shù)受制于人和系統(tǒng)管理粗放是當(dāng)時銀行業(yè)信息科技建設(shè)存在的主要問題,特別是在業(yè)務(wù)連續(xù)性規(guī)劃、業(yè)務(wù)恢復(fù)機(jī)制、風(fēng)險化解和轉(zhuǎn)移措施、技術(shù)恢復(fù)方案等方面,存在明顯的“短板”。
【 關(guān)鍵詞 】 信息安全;信息安全保障體系;國家大劇院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
隨著信息技術(shù)的飛速發(fā)展,人類正以前所未有的速度進(jìn)入以網(wǎng)絡(luò)為主的信息時代,網(wǎng)絡(luò)的快速發(fā)展不僅促進(jìn)了人們的通信和交流,同時也帶來了商業(yè)和經(jīng)濟(jì)模式的巨大變革。
國家大劇院是國家新建的重要文化設(shè)施,也是一處別具特色的景觀勝地。作為北京市國家級標(biāo)志性文化設(shè)施,國家大劇院的建設(shè)與運行體現(xiàn)了正在迅速崛起和復(fù)興的中國在精神文化領(lǐng)域的追求,因此,依托信息化手段宣傳和服務(wù)于廣大文化藝術(shù)愛好者是國家大劇院電子商務(wù)網(wǎng)站建設(shè)的宗旨,使之成為“國家表演藝術(shù)最高殿堂、藝術(shù)普及教育的引領(lǐng)者、中外藝術(shù)交流最大平臺、文化創(chuàng)意產(chǎn)業(yè)重要基地”。
國家大劇院網(wǎng)絡(luò)及信息系統(tǒng)從2007開始逐步建設(shè),建設(shè)初期主要滿足國家大劇院演出宣傳、文藝教育、演出票務(wù)、公眾服務(wù)、內(nèi)部辦公和訪問互聯(lián)網(wǎng)的需求,官方網(wǎng)站電子商務(wù)平臺承擔(dān)著對外宣傳及網(wǎng)上售票業(yè)務(wù)。隨著國家大劇院近幾年影響力和地位的不斷提升以及業(yè)務(wù)的發(fā)展壯大,對信息化建設(shè)提出了更高要求,同時對信息安全的需求也越來越迫切,結(jié)合國家等級保護(hù)制度來進(jìn)行安全保障建設(shè)成為國家大劇院信息化建設(shè)的有益補(bǔ)充。
2 現(xiàn)狀及問題
目前國家大劇院局域網(wǎng)骨干帶寬為千兆,雙核心。已部署的安全設(shè)施,如在整個局域網(wǎng)的出口均部署了防火墻,內(nèi)網(wǎng)服務(wù)器域邊界部署了防火墻;在門戶網(wǎng)站出口部署了流量控制和入侵防御設(shè)備;內(nèi)部終端還廣泛部署了防病毒軟件,以防范計算機(jī)病毒在局域網(wǎng)內(nèi)傳播和破壞。國家大劇院正在運行的業(yè)務(wù)系統(tǒng)主要包括網(wǎng)站系統(tǒng)、票務(wù)系統(tǒng)、藝術(shù)資料管理系統(tǒng)、OA系統(tǒng)、財務(wù)系統(tǒng)及郵件系統(tǒng)等。
根據(jù)對國家大劇院信息化及信息安全現(xiàn)狀的分析,結(jié)合國內(nèi)外信息安全發(fā)展態(tài)勢,發(fā)現(xiàn)國家大劇院面臨著一些信息安全問題及風(fēng)險。
假冒網(wǎng)站、網(wǎng)站掛馬等安全風(fēng)險。據(jù)權(quán)威統(tǒng)計,2011年下半年,檢測新增掛馬網(wǎng)站獨立網(wǎng)址246萬,平均每日100萬人次訪問此類掛馬鏈接,新增釣魚盜號欺詐類網(wǎng)站獨立網(wǎng)址492萬,共攔截10億余次釣魚盜號欺詐類網(wǎng)址,平均每日600萬人次訪問此類欺詐類鏈接。假冒網(wǎng)站獨占鰲頭的是電商網(wǎng)購類,而且仿冒范圍不斷擴(kuò)散,通過國家大劇院運維人員統(tǒng)計觀察,越來越多的黑客、病毒、不法機(jī)構(gòu)和人員對國家大劇院電子商務(wù)網(wǎng)站系統(tǒng)的正常運行產(chǎn)生威脅,網(wǎng)站業(yè)務(wù)系統(tǒng)隨時都可能遭受惡意攻擊。
系統(tǒng)入侵或網(wǎng)絡(luò)攻擊風(fēng)險。由于系統(tǒng)保護(hù)措施不到位,可能導(dǎo)致國家大劇院票務(wù)等對外網(wǎng)站系統(tǒng)的域名劫持、DDoS攻擊等安全風(fēng)險。同時,也可能由于軟件漏洞或者安全意識單薄等造成內(nèi)部郵件等信息泄露。
非授權(quán)訪問風(fēng)險。由于國家大劇院內(nèi)部辦公等信息系統(tǒng)邊界缺乏訪問控制設(shè)施,并且在網(wǎng)絡(luò)可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,未授權(quán)者可通過網(wǎng)絡(luò)非法訪問網(wǎng)站及系統(tǒng)服務(wù)器,并進(jìn)行非法讀取、篡改和破壞數(shù)據(jù)等不良行為,構(gòu)成對內(nèi)部數(shù)據(jù)及信息系統(tǒng)的重大隱患。
數(shù)據(jù)安全風(fēng)險。媒資庫建設(shè)完成后將承載大量的媒體資料,這些有藝術(shù)價值的音像資料是國家大劇院的寶貴資產(chǎn),一旦由于自然災(zāi)害、人員非法入侵、內(nèi)部人員誤操作等造成數(shù)據(jù)丟失損壞,將對國家大劇院造成重大損失。
媒體資源庫音像資料版權(quán)風(fēng)險。目前,劇院已經(jīng)為視頻在線傳播及直播提供服務(wù)平臺,然而提供的音視頻服務(wù)面臨版權(quán)盜用、盜鏈和惡意下載等問題,容易對劇院和公眾利益帶來損害。
內(nèi)控管理風(fēng)險。據(jù)權(quán)威調(diào)查報告顯示,內(nèi)部員工的粗心大意是企業(yè)信息安全的最大威脅,由此造成的安全事故高達(dá)78%。目前,由于國家大劇院內(nèi)部員工的安全意識還相對淡薄,存在進(jìn)入業(yè)務(wù)系統(tǒng)的登錄口令設(shè)置過于簡單,私自訪問不安全網(wǎng)站,私自接入不安全設(shè)備等問題,這些都給大劇院信息系統(tǒng)造成了極大的安全隱患和威脅。
3 信息安全保障體系探索
3.1 總體目標(biāo)
通過對國家大劇院信息安全現(xiàn)狀、問題以及信息安全建設(shè)需求的分析,可知國家大劇院信息安全保障體系建設(shè)的總體目標(biāo)是按照國家信息安全等級保護(hù)相關(guān)要求,從風(fēng)險控制、技術(shù)設(shè)施、管理體制及運維服務(wù)等方面入手,基于成熟的安全技術(shù),借鑒先進(jìn)可行的管理理念,加強(qiáng)外御威脅防護(hù)、構(gòu)建內(nèi)控管理機(jī)制、強(qiáng)化數(shù)據(jù)保護(hù)措施,建立和完善信息安全管理體制,加強(qiáng)安全服務(wù)保障,設(shè)計適合國家大劇院信息化發(fā)展的安全保障體系,從而確保業(yè)務(wù)流程可控、業(yè)務(wù)狀態(tài)可視,保障業(yè)務(wù)整體安全。
3.2 設(shè)計思路
針對國家大劇院安全保障目標(biāo),在信息安全保障體系設(shè)計上基于幾種設(shè)計思路。
3.2.1構(gòu)建網(wǎng)站可信機(jī)制
通過第三方網(wǎng)站身份誠信認(rèn)證來確保網(wǎng)站真實性,可幫助網(wǎng)民判斷網(wǎng)站的真實性。同時,基于可信證書類產(chǎn)品,確保系統(tǒng)管理用戶身份的真實性。其次,借助社會力量來實現(xiàn)假冒網(wǎng)站的定位、侵權(quán)取證等服務(wù),從而有效打擊防范欺詐類網(wǎng)站并且協(xié)助維權(quán)。
3.2.2建設(shè)安全可靠的辦公網(wǎng)絡(luò)平臺
積極推進(jìn)信息安全等級保護(hù)建設(shè),通過制定安全策略、部署安全設(shè)備,完善安全保密管理制度,加強(qiáng)安全運維支撐建設(shè),從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、流程安全、人員安全等多方面保障系統(tǒng)的安全穩(wěn)定運行。
3.2.3建立網(wǎng)絡(luò)信任服務(wù)
通過為網(wǎng)絡(luò)管理員、網(wǎng)站維護(hù)人員頒發(fā)數(shù)字證書,部署網(wǎng)絡(luò)可信接入及遠(yuǎn)程安全接入設(shè)施來構(gòu)建劇院內(nèi)部的網(wǎng)絡(luò)信任服務(wù)體系,保證信息系統(tǒng)及媒資庫資源的可靠訪問,確保我院信息資源安全。
3.3 體系框架
在國家大劇院信息系統(tǒng)安全保障體系設(shè)計以及實現(xiàn)中,將在國家相關(guān)的安全政策、法規(guī)、標(biāo)準(zhǔn)、要求的指導(dǎo)下,制定可具體操作的安全策略,構(gòu)建國家大劇院網(wǎng)站系統(tǒng)安全技術(shù)系統(tǒng)、安全管理體系以及安全運行體系,形成集防護(hù)、檢測、評估、響應(yīng)、恢復(fù)于一體的整體安全保障體系,從而實現(xiàn)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全,以滿足國家大劇院網(wǎng)站系統(tǒng)全方位的安全保護(hù)需求。國家大劇院信息系統(tǒng)整體安全保障體系模型如圖1所示。
國家大劇院信息系統(tǒng)整體安全保障體系模型主要由三個方面組成。
3.3.1安全技術(shù)體系
參考國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》按照威脅分析,將信息資產(chǎn)劃分為若干保護(hù)對象,并按照“一個中心”管理下的“三重保護(hù)”的設(shè)計框架,構(gòu)建國家大劇院信息安全技術(shù)體系保障機(jī)制和策略,為國家大劇院信息系統(tǒng)的運行提供安全保護(hù)環(huán)境。該環(huán)境共包括四部分:安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心。
3.3.2安全管理體系
以國家大劇院現(xiàn)有業(yè)務(wù)系統(tǒng)所服務(wù)對象為基礎(chǔ),建立完善的安全管理體系,建立信息安全管理機(jī)構(gòu)、制定信息安全管理制度、設(shè)置信息安全管理崗位。
3.3.3安全運維服務(wù)體系
針對業(yè)務(wù)安全運行的需要,以日常巡檢、咨詢、評估等建立有效的運維服務(wù)機(jī)制,加強(qiáng)對資產(chǎn)管理的分析、隱患發(fā)現(xiàn)、策略審核考評等,不斷發(fā)現(xiàn)平臺在運行中的安全隱患,降低系統(tǒng)脆弱性和面臨潛在的威脅帶來的影響及損失,以及時對安全策略實現(xiàn)完善和防護(hù)措施的改進(jìn)提升。
3.4 信息安全體系建設(shè)實踐
國家大劇院信息安全保障工作經(jīng)過長期的努力,已經(jīng)初見成效。在安全體系的建設(shè)實踐中,總結(jié)出幾點實踐經(jīng)驗。
3.4.1制定標(biāo)準(zhǔn)規(guī)范,奠定保障基礎(chǔ)
信息安全保障建設(shè)的一項重要工作之一是參照國家等級保護(hù)的技術(shù)要求完成相應(yīng)的合規(guī)性檢查。因此,國家大劇院應(yīng)據(jù)此建立適合國家大劇院的信息安全管理基線,堅持常態(tài)化管理和動態(tài)控制,達(dá)到并保持國家相關(guān)安全主管部門的安全審計要求。
3.4.2重視管理,制度先行
信息安全是一個動態(tài)發(fā)展的過程,每年隨著業(yè)務(wù)發(fā)展變化而變化,同時隨著信息安全技術(shù)的不斷演變,都會出現(xiàn)新的安全防護(hù)技術(shù)的使用。經(jīng)過多年實踐證明,每個系統(tǒng)或者防護(hù)設(shè)備上線前,都必須在遵守總體防護(hù)規(guī)范的前提下,編制好具有針對性的管理要求,才有有效降低安全風(fēng)險引入的可能。
3.4.3定期組織代碼審計和滲透測試等系統(tǒng)檢測
代碼安全審計是通過人工分析和工具掃描的方式檢驗應(yīng)用程序的源代碼,利用大量的代碼安全規(guī)則,來分析源代碼中的違反規(guī)則部分,進(jìn)而確定可能存在的安全漏洞和隱患。應(yīng)用系統(tǒng)生命周期安全的從SDL實踐上看,安全做的越早效果越好(但開發(fā)模式改動的成本也相對比較大),代碼審計作為保證代碼安全的最低低線,其作用是不可取代的。
另外,除了從代碼開發(fā)過程中保證開發(fā)出安全的應(yīng)用系統(tǒng)以外,針對已開發(fā)的系統(tǒng),國家大劇院還組織第三方測試機(jī)構(gòu),從攻擊者視角檢測信息系統(tǒng)安全防護(hù)能力是否達(dá)到,是否存在成功攻入系統(tǒng)的途徑。
4 信息安全建設(shè)意義
通過構(gòu)建信息安全保障平臺,保障我劇院信息系統(tǒng)可安全合規(guī)運行。基于國家信息安全等級保護(hù)制度要求,建設(shè)國家大劇院信息系統(tǒng)整體安全保障體系模型信息安全保障基礎(chǔ)設(shè)施,制定安全策略,為國家大劇院系統(tǒng)提供安全可靠的運行環(huán)境。
提高國家大劇院電子票務(wù)等信息系統(tǒng)的安全運行平穩(wěn)度。通過在信息安全技術(shù)、信息安全保密管理等多維度的體系保障建設(shè),保障網(wǎng)站真實性、打擊假冒網(wǎng)站,大大提高國家大劇院信息系統(tǒng)安全穩(wěn)定運行的平穩(wěn)度。
提高用戶的安全便捷以及系統(tǒng)安全管理能力。通過構(gòu)建可信的電子票務(wù)運營環(huán)境,為用戶提供身份認(rèn)證及網(wǎng)絡(luò)信任機(jī)制,加強(qiáng)用戶的身份、資金安全保障,并且提高系統(tǒng)安全管理能力。
提升安全隱患發(fā)現(xiàn)能力。安全隱患的發(fā)現(xiàn)能力是信息安全管理中的關(guān)鍵能力,關(guān)系到能否將風(fēng)險消除在事件發(fā)生之前。通過建立入侵監(jiān)測系統(tǒng)、防病毒系統(tǒng)以及定期的安全脆弱性檢測等,大大提升我劇院信息系統(tǒng)的安全隱患發(fā)現(xiàn)能力。
5 結(jié)束語
建設(shè)和完善信息安全保障體系是為了保證國家大劇院的業(yè)務(wù)在今后發(fā)展過程中對信息安全建設(shè)的要求。
信息安全保障體系建設(shè)涵蓋安全管理體系、安全技術(shù)體系、安全運維體系的復(fù)雜系統(tǒng)工程,是一項長期性的專業(yè)的細(xì)致的認(rèn)為,需要以信息安全技術(shù)為基礎(chǔ),持續(xù)投入大量的人力和物力。為使國家大劇院建設(shè)成為國際化、現(xiàn)代化的大劇院提供有力的信息安全保障。
參考文獻(xiàn)
[1] 關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見(國發(fā)[2012]23號).
[2] 信息安全管理實用規(guī)則(GB/T 22081-2008).
[3] 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求(GBT25070-2010).
[4] 信息系統(tǒng)安全等級保護(hù)體系框架(GA/T 708-2007).
[5] 國家大劇院電子商務(wù)網(wǎng)站系統(tǒng)安全保障方案.內(nèi)部資料,2010.
[6] 國家大劇院安全服務(wù)保障方案.內(nèi)部資料,2011.
