導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則最新全文第一條 為加強(qiáng)和指導(dǎo)信息安全等級(jí)保護(hù)備案工作，規(guī)范備 案受理、審核和管理等工作，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》 制定本實(shí)施細(xì)則。

第二條 本細(xì)則適用于非涉及國家秘密的第二級(jí)以上信息系 統(tǒng)的備案。

第三條 地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受 理本轄區(qū)內(nèi)備案單位的備案。 隸屬于省級(jí)的備案單位， 其跨地 (市) 聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，由省級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門受理備案。

第四條 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng) 運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò) 安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡(luò)安全監(jiān)察部門受理備案。 隸屬于中央的非在京單位的信息系統(tǒng)，由當(dāng)?shù)厥〖?jí)公安機(jī)關(guān) 公共信息網(wǎng)絡(luò)安全監(jiān)察部門(或其指定的地市級(jí)公安機(jī)關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門)受理備案。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系 統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)(包括由上級(jí)主管部門定級(jí)，在 當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)) 由所在地地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。

第五條 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng) 該設(shè)立專門的備案窗口，配備必要的設(shè)備和警力，專門負(fù)責(zé)受理 備案工作，受理備案地點(diǎn)、時(shí)間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會(huì) 公布。

第六條 信息系統(tǒng)運(yùn)營、使用單位或者其主管部門(以下簡 稱備案單位 ) 應(yīng)當(dāng)在信息系統(tǒng)安全保護(hù)等級(jí)確定后30日內(nèi)，到公 安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時(shí)，應(yīng)當(dāng)首先到公安機(jī)關(guān)指定的網(wǎng)址下載并填寫備案表，準(zhǔn)備好 備案文件，然后到指定的地點(diǎn)備案。

第七條 備案時(shí)應(yīng)當(dāng)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》 (以下簡稱《備案表》 (一式兩份)及其電子文檔。第二級(jí)以上 信息系統(tǒng)備案時(shí)需提交《備案表》中的表一、二、三;第三級(jí)以 上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、 測評(píng)完成后30日內(nèi)提交 《備案表》 表四及其有關(guān)材料。

第八條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門收到備案單位 提交的備案材料后，對屬于本級(jí)公安機(jī)關(guān)受理范圍且備案材料齊 全的，應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級(jí)保護(hù)備案材料接 收回執(zhí)》 備案材料不齊全的， 應(yīng)當(dāng)當(dāng)場或者在五日內(nèi)一次性告知 其補(bǔ)正內(nèi)容;對不屬于本級(jí)公安機(jī)關(guān)受理范圍的，應(yīng)當(dāng)書面告知 備案單位到有管轄權(quán)的公安機(jī)關(guān)辦理。

第九條 接收備案材料后，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)對下列內(nèi)容進(jìn)行審核： (一)備案材料填寫是否完整，是否符合要求，其紙質(zhì)材料 和電子文檔是否一致; (二)信息系統(tǒng)所定安全保護(hù)等級(jí)是否準(zhǔn)確。

第十條 經(jīng)審核，對符合等級(jí)保護(hù)要求的，公安機(jī)關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自收到備案材料之日起的十個(gè)工作日 內(nèi)，將加蓋本級(jí)公安機(jī)關(guān)印章(或等級(jí)保護(hù)專用章)的《備案表》 一份反饋備案單位，一份存檔;對不符合等級(jí)保護(hù)要求的，公安 機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個(gè)工作日內(nèi)通知備案單 位進(jìn)行整改， 并出具 《信息系統(tǒng)安全等級(jí)保護(hù)備案審核結(jié)果通知》

第十一條 《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格 的，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)出具《信息系統(tǒng)安 全等級(jí)保護(hù)備案證明》 (以下簡稱《備案證明》 《備案證明》由 公安部統(tǒng)一監(jiān)制。

第十二條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對定級(jí)不 準(zhǔn)的備案單位，在通知整改的同時(shí)，應(yīng)當(dāng)建議備案單位組織專家 進(jìn)行重新定級(jí)評(píng)審，并報(bào)上級(jí)主管部門審批。 備案單位仍然堅(jiān)持原定等級(jí)的，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全 監(jiān)察部門可以受理其備案，但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé) 任和后果，經(jīng)上級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門同意后， 同時(shí)通報(bào)備案單位上級(jí)主管部門。

第十三條 4 對拒不備案的，公安機(jī)關(guān)應(yīng)當(dāng)依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 等其他有關(guān)法律、 法規(guī)規(guī)定， 責(zé)令限期整改。逾期仍不備案的，予以警告，并向其上級(jí)主管部 門通報(bào)。 依照前款規(guī)定向中央和國家機(jī)關(guān)通報(bào)的，應(yīng)當(dāng)報(bào)經(jīng)公安部公 共信息網(wǎng)絡(luò)安全監(jiān)察局同意。

第十四條 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門應(yīng)當(dāng)及時(shí)將備案文件錄入到數(shù)據(jù)庫管理系統(tǒng)，并定期逐級(jí)上傳 《備案表》中表一、表二、表三內(nèi)容的電子數(shù)據(jù)。上傳時(shí)間為每 季度的第一天。 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)建立管 理制度， 對備案材料按照等級(jí)進(jìn)行嚴(yán)格管理， 嚴(yán)格遵守保密制度， 未經(jīng)批準(zhǔn)不得對外提供查詢。 第十五條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案 時(shí)不得收取任何費(fèi)用。

第十六條 本細(xì)則所稱以上包含本數(shù)(級(jí))

第十七條 各省(區(qū)、市)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察 部門可以依據(jù)本細(xì)則制定具體的備案工作規(guī)范，并報(bào)公安部公共 信息網(wǎng)絡(luò)安全監(jiān)察局備案。

篇2

【關(guān)鍵詞】等級(jí)保護(hù)；虛擬專網(wǎng)；VPN

1.引言

隨著因特網(wǎng)技術(shù)應(yīng)用的普及，以及政府、企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長，VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí)，我國現(xiàn)行的“計(jì)算機(jī)安全等級(jí)保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品，為企業(yè)提供符合安全等級(jí)保護(hù)要求、性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案，是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對于信息安全管理問題，在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國家的注意，并投入大量的資金和人力進(jìn)行分析和研究。英國分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，是一個(gè)全面信息安全管理體系評(píng)估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國際標(biāo)準(zhǔn)化組織（ISO）聯(lián)合國際電工委員會(huì)（IEC）分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國國家標(biāo)準(zhǔn)化管理委員會(huì)（SAC）于1999年了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn)，把信息安全管理劃分為五個(gè)等級(jí)，分別針對不同組織性質(zhì)和對社會(huì)、國家危害程度大小進(jìn)行了不同等級(jí)的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統(tǒng)安全的等級(jí)

為加快推進(jìn)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，國家公安部、保密局、密碼管理局和國務(wù)院信息化工作辦公室等，于2007年聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》，就全國機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問題，進(jìn)行了行政法規(guī)方面的規(guī)范，并組織和開展對全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。同時(shí)，制訂了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等相應(yīng)技術(shù)規(guī)范（國家標(biāo)準(zhǔn)審批稿），來指導(dǎo)國內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。

在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對信息流進(jìn)行不同等級(jí)的劃分，從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，第二級(jí)指導(dǎo)保護(hù)級(jí)，第三級(jí)為監(jiān)督保護(hù)級(jí)，第四級(jí)為強(qiáng)制保護(hù)級(jí)，第五級(jí)為?？乇Ｗo(hù)級(jí)。

針對政府、企業(yè)常用的三級(jí)安全保護(hù)設(shè)計(jì)中，主要是以三級(jí)安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級(jí)安全的信息安全機(jī)制和服務(wù)支持下，實(shí)現(xiàn)三級(jí)安全計(jì)算環(huán)境、三級(jí)安全通信網(wǎng)絡(luò)、三級(jí)安全區(qū)域邊界防護(hù)和三級(jí)安全管理中心的設(shè)計(jì)。

圖1 三級(jí)系統(tǒng)安全保護(hù)示意圖

圖2 VPN產(chǎn)品部署示意圖

4.VPN技術(shù)及其發(fā)展趨勢

VPN即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求，目前VPN技術(shù)主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。通過采用加密封裝技術(shù)，對所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備，無需安裝客戶端軟件，授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。

整個(gè)VPN通信過程可以簡化為以下4個(gè)步驟：

（1）客戶機(jī)向VPN服務(wù)器發(fā)出連接請求。

（2）VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份認(rèn)證的請求，客戶機(jī)與VPN服務(wù)器通過信息的交換確認(rèn)對方的身份，這種身份確認(rèn)是雙向的。

（3）VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù)，形成安全隧道。

（4）最后VPN服務(wù)器將在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密，然后通過VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合國家密碼產(chǎn)品管理和應(yīng)用的要求?！渡逃妹艽a管理?xiàng)l例》（中華人民共和國國務(wù)院第273號(hào)令，1999年10月7日）第四章第十四條規(guī)定：任何單位或者個(gè)人只能使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》，明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

5.VPN技術(shù)在等級(jí)保護(hù)中的應(yīng)用

在三級(jí)防護(hù)四大方面的設(shè)計(jì)要求中，VPN技術(shù)可以說是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用：

在安全計(jì)算環(huán)境的設(shè)計(jì)要求中：首先在實(shí)現(xiàn)身份鑒別方面，在用戶訪問的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會(huì)通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng)，當(dāng)身份得到鑒別通過時(shí)才可訪問應(yīng)用系統(tǒng)；其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

在安全區(qū)域邊界的設(shè)計(jì)要求中：網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn)，在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中：網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護(hù)，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān)，通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

在安全管理中心的設(shè)計(jì)要求中：系統(tǒng)管理中，VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù)，對用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制，確保重要信息安全可控，滿足對主機(jī)的安全監(jiān)管需要。

在信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)中VPN產(chǎn)品的部署示意圖如圖2所示。

篇3

【 關(guān)鍵詞 】 中小商業(yè)銀行；等級(jí)保護(hù)；信息科技風(fēng)險(xiǎn)管理；信息安全體系框架

1 中小銀行等級(jí)保護(hù)咨詢服務(wù)的背景

隨著信息技術(shù)的不斷進(jìn)步與發(fā)展，信息系統(tǒng)的安全建設(shè)顯得尤為重要。2012年6月29日人民銀行下發(fā)了“銀發(fā)【2012】163號(hào)”文件，為進(jìn)一步落實(shí)《信息安全等級(jí)保護(hù)管理辦法》（公通字〔2007〕 43號(hào)文印發(fā)），加強(qiáng)對銀行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)，結(jié)合近年來銀行業(yè)信息安全等級(jí)保護(hù)工作開展情況，人民銀行給出了銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)的指導(dǎo)意見，至此，正式的拉開了中小商業(yè)銀行等級(jí)保護(hù)建設(shè)和整改工作的序幕。

2 等級(jí)保護(hù)咨詢服務(wù)的項(xiàng)目目標(biāo)

國內(nèi)中小銀行在信息安全的發(fā)展程度，大部分處于自我認(rèn)知的階段，一邊忙于業(yè)務(wù)發(fā)展的保障需要，一邊又要應(yīng)對上級(jí)監(jiān)管部門的監(jiān)督檢查，對于安全建設(shè)來說，大部分沒有納入到戰(zhàn)略的層面來考慮。因此，借助于等級(jí)保護(hù)咨詢服務(wù)來建立的這樣一套信息安全體系，必須同時(shí)滿足公安部等級(jí)保護(hù)基本要求、人民銀行等級(jí)保護(hù)的測評(píng)要求和銀監(jiān)會(huì)關(guān)于IT風(fēng)險(xiǎn)管理的要求。這些目標(biāo)相輔相承，互為補(bǔ)充。只有將通用的要求、標(biāo)準(zhǔn)、規(guī)范落實(shí)到自己IT風(fēng)險(xiǎn)管理體系的各方面，建立適合自己業(yè)務(wù)特點(diǎn)與發(fā)展需求的信息安全體系，才能達(dá)到有效管理風(fēng)險(xiǎn)、進(jìn)行IT治理的目的，并最終通過等級(jí)測評(píng)。

3 等級(jí)保護(hù)咨詢服務(wù)的總體思路

中小銀行在咨詢服務(wù)項(xiàng)目需要主動(dòng)地全面的考量自身情況，綜合分析人民銀行、銀監(jiān)會(huì)和等級(jí)保護(hù)的要求，在現(xiàn)有的安全工作基礎(chǔ)之上，建立統(tǒng)一的信息安全體系，同時(shí)滿足這些主要的監(jiān)管要求。這樣面臨檢查時(shí)，只要客觀反映出當(dāng)前狀態(tài)就可以，有效降低臨時(shí)的材料組織工作。

同時(shí)滿足三方面監(jiān)管要求的信息安全體系，這個(gè)信息安全體系將以公安部的等級(jí)保護(hù)《基本要求》、人民銀行的《等保測評(píng)指南》和銀監(jiān)會(huì)《管理指引》為主要依據(jù)來搭建起框架，以各專項(xiàng)監(jiān)管指引為各個(gè)領(lǐng)域的具體工作指導(dǎo)，以ISO27000為代表的國內(nèi)外信息安全標(biāo)準(zhǔn)為補(bǔ)充。

4 等級(jí)保護(hù)咨詢服務(wù)的內(nèi)容

等級(jí)保護(hù)的咨詢服務(wù)具體實(shí)施過程可參考公安部下發(fā)的《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》，“指南”中將等級(jí)保護(hù)工作分為了定級(jí)備案、規(guī)劃設(shè)計(jì)、建設(shè)整改和等級(jí)測評(píng)四大過程。

4.1 系統(tǒng)定級(jí)

系統(tǒng)定級(jí)階段需要完成的工作。

1） 等級(jí)保護(hù)的導(dǎo)入培訓(xùn)：在進(jìn)行咨詢服務(wù)之前，需要對銀行相關(guān)科室信息人員進(jìn)行等級(jí)保護(hù)的內(nèi)容培訓(xùn)。只要講清楚等保是什么，需要各級(jí)人員配合的工作點(diǎn)是什么就可以了。

2） 系統(tǒng)業(yè)務(wù)安全域劃分：這個(gè)階段需要進(jìn)行信息搜集和資產(chǎn)調(diào)研。明確業(yè)務(wù)系統(tǒng)的范圍、邊界、功能、以及重要性等。

3） 編寫系統(tǒng)定級(jí)報(bào)告和備案表：定級(jí)報(bào)告和備案表都是按照公安部等保辦公室的通用模版來編寫的，內(nèi)容包含了系統(tǒng)功能描述、網(wǎng)絡(luò)拓?fù)洹⒍?jí)的理由和依據(jù)等。

4） 召開專家評(píng)審會(huì)、獲得備案證明：召開專家評(píng)審會(huì)并獲得備案證明可視為一個(gè)里程碑式的階段性成果，因?yàn)槎?jí)和備案是等級(jí)保護(hù)工作開展的前提，如果級(jí)別定錯(cuò)了，或者專家有不同的評(píng)審意見，則后續(xù)的設(shè)計(jì)方案、整改方案均無法執(zhí)行。同時(shí)，對于銀行信息科技部門的領(lǐng)導(dǎo)而言，服務(wù)工作做的怎么樣無法量化，但是備案證書是看的見，摸的著的，如果能在評(píng)審會(huì)現(xiàn)場當(dāng)場頒發(fā)，則意義更加重大。

4.2 規(guī)劃與設(shè)計(jì)

規(guī)劃與設(shè)計(jì)階段的主要工作就是進(jìn)行等級(jí)差距分析和風(fēng)險(xiǎn)評(píng)估。

1） 技術(shù)層面可直接參考人民銀行關(guān)于金融行業(yè)的“測評(píng)指南”來完成，可操作性較強(qiáng)?？煞治锢怼⒕W(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個(gè)層面進(jìn)行差距評(píng)估，同時(shí)對網(wǎng)絡(luò)流量和網(wǎng)絡(luò)協(xié)議進(jìn)行簡單的分析，通過漏洞掃描設(shè)備、配置核查設(shè)備、滲透工具等進(jìn)行風(fēng)險(xiǎn)分析，輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和技術(shù)層面的差距評(píng)估報(bào)告。

2） 管理層面上，等保的管理要求相對薄弱，集中體現(xiàn)在運(yùn)維管理等方面，如果要達(dá)到人民銀行和銀監(jiān)會(huì)的標(biāo)準(zhǔn)，還有很多需要加強(qiáng)和補(bǔ)充的地方，可以對現(xiàn)有的制度文檔進(jìn)行一個(gè)簡單的梳理，用最短的時(shí)間完成等保的管理制度調(diào)研。

4.3 實(shí)施與整改

實(shí)施與整改階段需要按照規(guī)劃階段的設(shè)計(jì)方案進(jìn)行實(shí)施，以滿足等級(jí)保護(hù)安全體系的建設(shè)要求。

1） 組織體系整改：安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組、具體信息安全職能部門負(fù)責(zé)日常工作的組織模式?？蓞⒖家殉闪⒌摹兜缺ｎI(lǐng)導(dǎo)小組》設(shè)立模式，但應(yīng)具體到管理員崗位。

2） 管理體系整改：按照等級(jí)保護(hù)的要求補(bǔ)充或重新制定管理制度，根據(jù)咨詢方提供的制度模版，銀行可根據(jù)自身的實(shí)際業(yè)務(wù)需求進(jìn)行修改，并經(jīng)內(nèi)部討論修訂后，下文試運(yùn)行。

3） 技術(shù)體系整改：技術(shù)體系整改應(yīng)從三個(gè)層面進(jìn)行考慮。

制定技術(shù)規(guī)范：包括windows、AIX、Informix、tuxedo、cisco等主流設(shè)備的安全配置規(guī)范；可考慮聘請專業(yè)安全公司進(jìn)行咨詢服務(wù)，制定適合銀行長期發(fā)展的安全策略和技術(shù)安全規(guī)范。

安全配置加固：根據(jù)已制定的技術(shù)規(guī)范進(jìn)行主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的全面的安全加固。

安全設(shè)備采購：在安全技術(shù)體系的具體實(shí)現(xiàn)過程中，需要落實(shí)安全技術(shù)詳細(xì)設(shè)計(jì)方案中的具體技術(shù)要求，將先進(jìn)的信息安全技術(shù)落實(shí)到具體安全產(chǎn)品中，形成合理、有效、可靠的安全防護(hù)體系。

4.4 等級(jí)測評(píng)

根據(jù)人民銀行的《金融行業(yè)信息安全等級(jí)保護(hù)測評(píng)服務(wù)安全指引》選擇具有資質(zhì)的第三方測評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測評(píng)，一般當(dāng)?shù)毓矙C(jī)關(guān)會(huì)指定2-3家評(píng)估中心進(jìn)行等級(jí)測評(píng)，如果銀行自行聯(lián)系省外的測評(píng)機(jī)構(gòu)，可能需要事先跟當(dāng)?shù)厥」矎d取得聯(lián)系，確保該測評(píng)機(jī)構(gòu)的測評(píng)報(bào)告在本省是受到認(rèn)可的。

實(shí)際上做了咨詢服務(wù)之后，等級(jí)測評(píng)的工作就變的非常簡單，因?yàn)樽稍兎綍?huì)在規(guī)劃與設(shè)計(jì)階段就會(huì)與測評(píng)中心取得聯(lián)系，確保其設(shè)計(jì)方案和整改實(shí)施方案得到專家和測評(píng)中心的認(rèn)可，保障其順利實(shí)施。所以在等級(jí)測評(píng)的時(shí)候，測評(píng)師從進(jìn)場到出具評(píng)測報(bào)告大概只需一周左右的時(shí)間。

5 結(jié)束語

關(guān)于金融業(yè)等級(jí)保護(hù)的建設(shè)工作，是今后兩年的一個(gè)重點(diǎn)工作，尤其是中小銀行可借助合規(guī)要求，由信息科技部門立項(xiàng)，向行內(nèi)申請更多的資源來完善自身的安全體系建設(shè)工作。

參考文獻(xiàn)

[1] 武冬立.銀行業(yè)安全防范建設(shè)指南.長安出版社，2008-11-1.

[2]李宗怡. 中國銀行安全網(wǎng)構(gòu)建基礎(chǔ)研究.經(jīng)濟(jì)管理出版社，2006-6-1.

[3] 劉志友.商業(yè)銀行安全問題研究.中國金融出版社， 2010-3-1.

[4] 曹子建，趙宇峰，容曉峰.網(wǎng)絡(luò)入侵檢測與防火墻聯(lián)動(dòng)平臺(tái)設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全，2012，（09）：12-14.

[5] 傅慧.動(dòng)態(tài)包過濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡(luò)安全，2012，（12）：12-14.

篇4

關(guān)鍵詞：云安全模型；信息系統(tǒng)；安全等級(jí)；檢測保護(hù)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）19-0052-02

云計(jì)算作為一種易擴(kuò)展而又具有動(dòng)態(tài)性，且選用高速互聯(lián)網(wǎng)處理數(shù)據(jù)信息的過程。伴隨當(dāng)前云計(jì)算技術(shù)水平的日益提升，與之結(jié)伴的云計(jì)算安全問題日漸凸顯，已然成為各相關(guān)部門及廠商所關(guān)注的重點(diǎn)內(nèi)容。在云計(jì)算框架內(nèi)，虛擬化乃是網(wǎng)絡(luò)環(huán)境主要的出現(xiàn)形式，以往開展測評(píng)工作所需要運(yùn)用的網(wǎng)絡(luò)設(shè)備或物理服務(wù)器，在當(dāng)前云計(jì)算環(huán)境下，存在諸多差異。當(dāng)將云安全技術(shù)退出之后，設(shè)別及查殺病毒，已經(jīng)并不僅僅依靠本地的病毒庫，而是利用更為廣泛的網(wǎng)絡(luò)服務(wù)體系，分析并處理所出現(xiàn)的各種病毒隱患。

1 云計(jì)算信息系統(tǒng)安全特性概述

與計(jì)算信息系統(tǒng)相比于傳統(tǒng)形式的互聯(lián)網(wǎng)信息系統(tǒng)，其利用服務(wù)端處理所有數(shù)據(jù)，并將其儲(chǔ)存起來，而對于終端用戶而言，則利用網(wǎng)絡(luò)對所需要的而各種信息和服務(wù)及時(shí)獲取，無需基于本地配置下，便可對數(shù)據(jù)實(shí)施儲(chǔ)存及處理工作。依據(jù)為網(wǎng)絡(luò)為基礎(chǔ)所設(shè)置的對應(yīng)網(wǎng)絡(luò)安全防護(hù)設(shè)施，在系統(tǒng)服務(wù)端，可將安全審計(jì)系統(tǒng)和身份兼?zhèn)溥M(jìn)行統(tǒng)一設(shè)置，從而保證諸多系統(tǒng)所可能發(fā)生的安全問題，均可及時(shí)且有效的解決，但由于不斷更新的服務(wù)模式，又會(huì)帶來諸多新的安全問題，比如數(shù)據(jù)泄露、不安全的服務(wù)接口及濫用云計(jì)算等。

2 構(gòu)建管理中心及云安全服務(wù)模型

構(gòu)建云安全服務(wù)模型：對于現(xiàn)實(shí)當(dāng)中已經(jīng)出現(xiàn)的各種云產(chǎn)品而言，在諸如服務(wù)模型、資源位置及部署模型等各方面而言，其所展現(xiàn)的模式及形態(tài)各不相同，所形成的安全控制范圍存在差異，安全風(fēng)險(xiǎn)特征也各不相同。因此，需基于安全控制方面，對云計(jì)算模型完成創(chuàng)建，然后描述各屬性組合所具有的云服務(wù)架構(gòu)，進(jìn)行為云服務(wù)架至安全架構(gòu)合理映射給予保證，進(jìn)而為設(shè)備的風(fēng)險(xiǎn)識(shí)別及安全控制提供科學(xué)依據(jù)。

3 基于云安全模型的信息安全等級(jí)測評(píng)方法

基于云安全信息安全有關(guān)保護(hù)測評(píng)的方法，就是依據(jù)云安全中心模型以及云安全服務(wù)模型，結(jié)合用戶在云安全方面所存在的各種需求，首先，促使安全模型始終處于整個(gè)安全等級(jí)保護(hù)體系作用下的各個(gè)位置上。對于安全模型而言，其一段與等級(jí)保護(hù)技術(shù)相連接，而另一端則與則與等級(jí)保護(hù)相應(yīng)管理要求相連接。

依據(jù)云安全信息中心相應(yīng)建模狀況，全面分析云安全模型框架下的支撐安全及核心技術(shù)，最終取得企業(yè)在云安全領(lǐng)域范圍內(nèi)的信息安全等級(jí)測評(píng)模型，以模型為參照，開展后續(xù)的檢測工作。

3.1 基于等級(jí)測評(píng)云安全模型下控制項(xiàng)

經(jīng)過上述分析可知，在云安全等級(jí)保護(hù)模式框架內(nèi)嵌套云安全模型，進(jìn)而開展與云安全存在相關(guān)性的信息安全等級(jí)評(píng)價(jià)，另外，分析基于安全模型下相關(guān)控制項(xiàng)。然后查看授權(quán)狀況及云認(rèn)證，并測評(píng)是否存在有諸如敏感文件授權(quán)、程序授權(quán)及登陸認(rèn)證等狀況。最后依據(jù)訪問控制模型的差異，對訪問控制的目標(biāo)進(jìn)行選擇，即依據(jù)實(shí)際情況選擇為角色型訪問、自主性訪問或強(qiáng)制性訪問，然后運(yùn)用切合實(shí)際的應(yīng)對方法。為了對網(wǎng)絡(luò)訪問資源提供保障，可對開展分配及控制操作，需建立更為可靠的解決策略及執(zhí)行辦法。當(dāng)所運(yùn)用的方式可靠而又統(tǒng)一，才能為安全策略的自動(dòng)執(zhí)行提供保障。針對網(wǎng)絡(luò)數(shù)據(jù)的加密狀況進(jìn)行測量時(shí)，需以靜態(tài)或動(dòng)態(tài)的方式，保護(hù)標(biāo)準(zhǔn)的服務(wù)類型及加密功能。針對數(shù)據(jù)的恢復(fù)及備份情況進(jìn)行探測時(shí)，需檢查是否是安全的云備份，另外還需查看密碼鑰匙的管理狀況，磁帶有無加密以及數(shù)據(jù)實(shí)際銷毀狀況，而在所開展的各項(xiàng)檢查中，重點(diǎn)為供應(yīng)商所提供的數(shù)據(jù)備份。還需對是否可控制管理用戶的身份進(jìn)行查看，能否對用戶角色具體的訪問內(nèi)容進(jìn)行管理。另外，對用戶的審計(jì)日志及安全服務(wù)進(jìn)行查看，即告警管理與維護(hù)、主機(jī)的維護(hù)以及網(wǎng)絡(luò)設(shè)備的監(jiān)控管理等?？刂祈?xiàng)分析范圍：（1）云認(rèn)證和授權(quán)。云認(rèn)證與授權(quán)重點(diǎn)乃是查看是否有敏感文件授權(quán)、程序運(yùn)行授權(quán)、服務(wù)認(rèn)證及登錄認(rèn)證等，（2）云訪問控制。依據(jù)所建立的相應(yīng)訪問控制模型，以此來對其是否為角色型訪問控制、自主訪問控制策略及強(qiáng)制訪問控制策略予以確定，然后家用對應(yīng)方法進(jìn)行分析。（3）云安全邊界與隔離。知曉系統(tǒng)實(shí)施安全隔離的具體機(jī)制，安全區(qū)域的劃分方法以及硬件安全的相關(guān)技術(shù)支持等。（4）云安全存儲(chǔ)。可將所有數(shù)據(jù)儲(chǔ)存成加密格式，而對于用戶而言，需分離出數(shù)據(jù)。（5）惡意代碼防范。首先需了解惡意代碼是否存在，并采取與之對應(yīng)的防范舉措。（6）云安全管理。需對全面軟件資產(chǎn)、網(wǎng)絡(luò)及物理/虛擬硬件進(jìn)行管理，管理當(dāng)中相應(yīng)測評(píng)要求需一致于等級(jí)保護(hù)管理要求。（7）網(wǎng)絡(luò)安全傳輸。需對網(wǎng)絡(luò)安全傳輸選用加密方式與否予以了解。（8）網(wǎng)絡(luò)配置及安全策略。如若想要獲取更為有效的訪問控制及資源，需對安全策略采取一種更為可靠且統(tǒng)一的方式執(zhí)行。解決及定義。利用此種方式促進(jìn)安全策略自動(dòng)執(zhí)行的實(shí)現(xiàn)。

3.2 等級(jí)測評(píng)云安全模型風(fēng)險(xiǎn)性分析

按照有關(guān)等級(jí)保護(hù)的具體要求，采用風(fēng)險(xiǎn)分析的相關(guān)方法，在分析信息系統(tǒng)過程中，需對如下內(nèi)容給予重視。（1）訪問控制、授權(quán)及云身份認(rèn)證。對于云安全而言，其不僅對于訪問控制及授權(quán)具有十分重要的作用，對于用戶身份的認(rèn)證同樣重要，但其實(shí)際效果的發(fā)揮，需將現(xiàn)實(shí)實(shí)施狀況作為依據(jù)。（2）設(shè)置云安全邊界。針對基于云安全內(nèi)部的具體的網(wǎng)絡(luò)設(shè)備而言，其需要利用諸如防火墻的措施，實(shí)施更為有效的安全防護(hù)舉措，但對于外部的云用戶而言，其則需采用虛擬技術(shù)，此技術(shù)自身便存在有安全風(fēng)險(xiǎn)，因此，必須對其實(shí)施有效而全面的安全隔離舉措。（3）數(shù)據(jù)信息備份及云安全儲(chǔ)存。通常情況下，云供應(yīng)商所運(yùn)用的數(shù)據(jù)備份方式，乃是最為有效且更具安全性的保護(hù)模式，盡管供應(yīng)商在實(shí)施數(shù)據(jù)備份方面已經(jīng)十分安全，但通常情況下依然會(huì)發(fā)生相關(guān)數(shù)據(jù)的丟失，因此，在條件允許的情況下，公司需選用云技術(shù)，對全部數(shù)據(jù)予以共享，并對其進(jìn)行備份，或在還會(huì)發(fā)生數(shù)據(jù)徹底丟失的情況下，啟動(dòng)訴訟程序，進(jìn)而從中獲取有效的賠償。在云計(jì)算過程中，通常發(fā)生由于數(shù)據(jù)的交互放大，而造成數(shù)據(jù)出現(xiàn)泄漏或丟失狀況，如若出現(xiàn)安全時(shí)間，且用戶數(shù)據(jù)出現(xiàn)丟失狀況，此時(shí)，系統(tǒng)需將安全時(shí)間及時(shí)、快速的上報(bào)于用戶，避免更大范圍的數(shù)據(jù)丟失（4）賬戶與服務(wù)劫持。攻擊者從云服務(wù)用戶中獲取賬號(hào)，造成云服務(wù)客戶端產(chǎn)生相應(yīng)安全風(fēng)險(xiǎn)。（5）不安全的API及接口。第三方插件存在安全風(fēng)險(xiǎn)，或較差的接口質(zhì)量。（6）安全事件通報(bào)。如若發(fā)生安全事件，導(dǎo)致用戶數(shù)據(jù)出現(xiàn)安全風(fēng)險(xiǎn)，整個(gè)系統(tǒng)就會(huì)將數(shù)學(xué)信息及時(shí)上報(bào)，防止出現(xiàn)較大程度的損失。

4 結(jié)語

伴隨當(dāng)今云計(jì)算技術(shù)的日益發(fā)展和完善，云計(jì)算信息系統(tǒng)今后必然成為整個(gè)信息化建設(shè)的重要構(gòu)成。本文基于云安全等級(jí)保護(hù)檢測，對云計(jì)算信息系統(tǒng)所具有的安全特性進(jìn)行簡要分析，并探討了云安全服務(wù)模型及構(gòu)建管理中心，以此為依據(jù)提出切合實(shí)際需要的云安全模型的信息安全等級(jí)檢測方法。

參考文獻(xiàn)：

[1] 成瑾， 劉佳， 方祿忠. 面向電信運(yùn)營商云計(jì)算平臺(tái)的安全檢測評(píng)估服務(wù)體系研究[J]. Computer Science＼s&＼sapplication， 2015， 05（4）：83-91.

篇5

【關(guān)鍵詞】大數(shù)據(jù) 企業(yè)網(wǎng)絡(luò) 信息安全

1 大數(shù)據(jù)下的網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)企業(yè)普遍將大數(shù)據(jù)定義為數(shù)據(jù)量與數(shù)據(jù)類型復(fù)雜到在合理時(shí)間內(nèi)無法通過當(dāng)前的主流數(shù)據(jù)庫管理軟件生成、獲取、傳輸、存儲(chǔ)、處理，管理、分析挖掘、應(yīng)用決策以及銷毀等的大型數(shù)據(jù)集。大數(shù)據(jù)具有4V特征，即數(shù)據(jù)量大、數(shù)據(jù)類型多、數(shù)據(jù)價(jià)值密度低、數(shù)據(jù)處理速度快。在大數(shù)據(jù)計(jì)算和分析過程中，安全是不容忽視的。大數(shù)據(jù)的固有特征對現(xiàn)有的安全標(biāo)準(zhǔn)、安全體系架構(gòu)、安全機(jī)制等都提出了新的挑戰(zhàn)。面向大數(shù)據(jù)的高效隱私保護(hù)方法方面，高效、輕量級(jí)的數(shù)據(jù)加密已有多年研究，雖然可用于大數(shù)據(jù)加密，但加密后數(shù)據(jù)不具可用性。保留數(shù)據(jù)可用性的非密碼學(xué)的隱私保護(hù)方法因而得到了廣泛的研究和應(yīng)用。這些方法包括數(shù)據(jù)隨機(jī)化、k-匿名化、差分隱私等。這些方法在探究隱私泄漏的風(fēng)險(xiǎn)、提高隱私保護(hù)的可信度方面還有待深入，也不能適應(yīng)大數(shù)據(jù)的海量性、異構(gòu)性和時(shí)效性。

2 企業(yè)網(wǎng)絡(luò)信息安全的主要問題

在開放的互聯(lián)網(wǎng)環(huán)境中，企業(yè)網(wǎng)絡(luò)信息安全問題日益突顯，成為影響互聯(lián)網(wǎng)快速發(fā)展的重要因子。從實(shí)際來看，造成企業(yè)網(wǎng)絡(luò)信息安全問題的因素多元化，計(jì)算機(jī)系統(tǒng)漏洞、病毒入侵、黑客進(jìn)攻是造成目前網(wǎng)絡(luò)信息安全主要原因。特別是病毒入侵、黑客進(jìn)攻的頻繁，對整個(gè)互聯(lián)網(wǎng)的發(fā)展形成了較大影響。

2.1 計(jì)算機(jī)系統(tǒng)漏洞

計(jì)算機(jī)系統(tǒng)漏洞的存在，是造成計(jì)算機(jī)網(wǎng)絡(luò)信息安全的重要原因。在日常的系統(tǒng)運(yùn)行中，360等安全工具都會(huì)對系統(tǒng)進(jìn)行不定期的漏洞修復(fù)，以確保系統(tǒng)運(yùn)行的安全穩(wěn)定。因此，計(jì)算機(jī)系統(tǒng)漏洞的存在，一方面造成了計(jì)算機(jī)運(yùn)行中的不穩(wěn)定性，易于受到外界的惡意攻擊，進(jìn)而造成網(wǎng)絡(luò)終端用戶的信息安全；另一方面，系統(tǒng)漏洞的存在，為黑客等的攻擊，提供了更多的途徑和選擇，特別是系統(tǒng)和軟件編寫中存在的漏洞，給不法分子的惡意攻擊提供了可能，進(jìn)而造成計(jì)算機(jī)系統(tǒng)信息數(shù)據(jù)被盜，給計(jì)算機(jī)用戶的信息安全帶來極大的安全隱患。

2.2 計(jì)算機(jī)病毒攻擊

計(jì)算機(jī)病毒是當(dāng)前計(jì)算機(jī)安全問題的“始作俑者”，對計(jì)算機(jī)網(wǎng)絡(luò)信息安全帶來極大的破壞性。計(jì)算機(jī)病毒具有隱蔽性強(qiáng)、可擴(kuò)散等特點(diǎn)，決定了其在計(jì)算機(jī)安全中的巨大破壞性。首先，計(jì)算機(jī)病毒入侵的過程中，會(huì)造成計(jì)算機(jī)出現(xiàn)運(yùn)行不穩(wěn)定、系統(tǒng)異常等情況，數(shù)據(jù)丟失、硬盤內(nèi)存不足等問題的出現(xiàn)，都會(huì)影響計(jì)算機(jī)的安全運(yùn)行；其次，病毒一旦入侵計(jì)算機(jī)，其自動(dòng)傳播、自動(dòng)復(fù)制的特性，如木馬、蠕蟲等計(jì)算機(jī)病毒，可以讓其在計(jì)算機(jī)系統(tǒng)中形成大規(guī)模的自動(dòng)傳播，進(jìn)而對計(jì)算機(jī)系統(tǒng)內(nèi)的數(shù)據(jù)信息進(jìn)行破壞及竊取。

2.3 黑客攻擊頻繁

在開放的互聯(lián)網(wǎng)平臺(tái)，日益活躍的黑客成為企業(yè)網(wǎng)絡(luò)信息安全的重要影響因子。黑客通過入侵計(jì)算機(jī)系統(tǒng)，進(jìn)而對計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行形成破壞，甚至將整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)癱瘓，造成巨大的安全影響。近年來，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，黑客攻擊日益頻繁，且攻擊手段多樣化，這給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來較大威脅。一方面，網(wǎng)絡(luò)安全監(jiān)管存在漏洞，良好的網(wǎng)絡(luò)環(huán)境有待進(jìn)一步凈化；另一方面，安全工具在技術(shù)升級(jí)等方面，存在一定的滯后性，在應(yīng)對黑客進(jìn)攻的過程中，表現(xiàn)出較大的被動(dòng)性，以至于計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行故障問題的頻發(fā)。

3 企業(yè)網(wǎng)絡(luò)信息安全防護(hù)辦法

完整的企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系應(yīng)包括以下幾方面，如圖1所示。

3.1 企業(yè)系統(tǒng)終端安全防護(hù)

對企業(yè)計(jì)算機(jī)終端進(jìn)行分類，依照國家信息安全等級(jí)保護(hù)的要求實(shí)行分等級(jí)管理，根據(jù)確定的等級(jí)要求采取相應(yīng)的安全防護(hù)。企業(yè)擁有多種類型終端設(shè)備，對于不同終端，根據(jù)具體終端的類型、通信方式以及應(yīng)用環(huán)境等選擇適宜的保障策略。確保移動(dòng)終端的接入安全，移動(dòng)作業(yè)類終端嚴(yán)格執(zhí)行企業(yè)制定的辦公終端嚴(yán)禁“內(nèi)外網(wǎng)機(jī)混用”原則，移動(dòng)終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入。

3.2 企業(yè)網(wǎng)絡(luò)邊界安全防護(hù)

企業(yè)網(wǎng)絡(luò)具有分區(qū)分層的特點(diǎn)，通過邊界防護(hù)確保信息資產(chǎn)不受外部的攻擊，防止惡意的內(nèi)部人員跨越邊界對外實(shí)施攻擊或?qū)?nèi)進(jìn)行超越權(quán)限的訪問和攻擊，在不同區(qū)的網(wǎng)絡(luò)邊界加強(qiáng)安全防護(hù)策略，或外部人員通過開放接口、隱蔽通道進(jìn)入內(nèi)部網(wǎng)絡(luò)。在管理信息內(nèi)部，審核不同業(yè)務(wù)安全等級(jí)與網(wǎng)絡(luò)密級(jí)，在網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)的隔離保護(hù)。按照業(yè)務(wù)網(wǎng)絡(luò)的安全等級(jí)、業(yè)務(wù)連續(xù)性需求以及用途等評(píng)價(jià)指標(biāo)，采用防火墻隔離技術(shù)、協(xié)議隔離技術(shù)、物理隔離技術(shù)等對關(guān)鍵核心業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全隔離，實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)訪問資源的有效控制。

篇6

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦；2016年11月，在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會(huì)群眾提供服務(wù)的同時(shí)，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對外部攻擊，安全風(fēng)險(xiǎn)的同時(shí)，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實(shí)施，開展各項(xiàng)安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡單的配置。信息安全工作不全面，安全管理相對薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號(hào)簡單或者直接采用系統(tǒng)的默認(rèn)賬號(hào)現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測或其他手段獲得管理員賬號(hào)，攻擊者如入無人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號(hào)，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識(shí)薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識(shí)，存在離開辦公電腦時(shí)不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房內(nèi)的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點(diǎn)擊不明郵件的鏈接；更有員工將系統(tǒng)賬號(hào)、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開發(fā)人員、測試人員，均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識(shí)較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無法有效實(shí)施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開發(fā)過程中，開發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開發(fā)（存在開發(fā)人員沒有意識(shí)到代碼安全開發(fā)的問題；有些開發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象，從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題），可能導(dǎo)致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測評(píng)機(jī)構(gòu)在網(wǎng)安的要求下，對企業(yè)信息系統(tǒng)的安全進(jìn)行測評(píng)，并出具相應(yīng)測評(píng)結(jié)果。根據(jù)測評(píng)結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等）對信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過程，以確定該用戶是否具有訪問某種資源的權(quán)限，防止非法用戶訪問系統(tǒng)資源，保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識(shí)，且標(biāo)識(shí)需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機(jī)制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級(jí)較高，但會(huì)遇到各種問題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問題，移動(dòng)終端無USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級(jí)較高的認(rèn)證技術(shù)。針對重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測

入侵檢測能夠依據(jù)安全策略，對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測系統(tǒng)（IDS）是一個(gè)旁路監(jiān)聽設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，從而掌控整個(gè)信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。

漏洞掃描主要用于評(píng)估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺(tái)軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)?，在網(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺(tái)，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等?？梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控，并在故障發(fā)生時(shí)及時(shí)告警；可對VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過直觀的網(wǎng)絡(luò)控制臺(tái)管理整個(gè)IP架構(gòu)；可快速檢測、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲(chǔ)時(shí)應(yīng)加密存儲(chǔ)，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對稱加密（DES、AES）和不對稱加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對數(shù)據(jù)進(jìn)行加密存儲(chǔ)外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。

2.2 管理措施

2.2.1 安全團(tuán)隊(duì)

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作，該團(tuán)隊(duì)包括信息安全委員會(huì)，信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加，話語權(quán)在增多，肩上的擔(dān)子也越來越大。安全團(tuán)隊(duì)需要定好自己的位，多檢查少運(yùn)維，多幫企業(yè)解決問題。即安全團(tuán)隊(duì)修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識(shí)文化，樹立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競爭實(shí)際上是人才的競爭，除了定期進(jìn)行技能培訓(xùn)外，還需對員工的安全意識(shí)進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識(shí)教育和培訓(xùn)計(jì)劃，包括但不限于在線、郵件、海報(bào)（標(biāo)語）、視頻、專場、外培等形式。通過對員工的安全意識(shí)教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內(nèi)部。單靠個(gè)人的力量已無法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開發(fā)，可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí)，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過PDCA四個(gè)基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運(yùn)行；Action審核、評(píng)審和持續(xù)改進(jìn)）。可依據(jù)ISO27000，信息安全等級(jí)保護(hù)等，從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語

國家不斷加強(qiáng)對各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過ISO27000、信息安全等級(jí)保護(hù)測評(píng)、電子銀行評(píng)估、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測評(píng)等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)實(shí)踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學(xué)位?，F(xiàn)為信息安全等級(jí)測評(píng)師、初級(jí)工程師。主要研究方向?yàn)樾畔踩?/p>

作者單位

篇7

關(guān)鍵詞：信息安全；信息安全管理

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)15-3491-03

計(jì)算機(jī)、網(wǎng)絡(luò)已經(jīng)逐漸成為我們工作生活中必不可少的一部分了，企業(yè)辦公自動(dòng)化已經(jīng)成為普遍現(xiàn)象。但是我們在享受信息化帶來諸多便利的同時(shí)，也要看到信息化給企業(yè)帶來的諸多不便。2011年上半年，花期銀行由于遭受黑客攻擊，二十多萬客戶資料信息外泄，為銀行和客戶帶來巨大的損失，同期國際著名的安全解決方案提供商RSA遭受黑客的惡意攻擊，對其超過五百家客戶造成潛在風(fēng)險(xiǎn)，給該企業(yè)帶來高達(dá)數(shù)百萬的損失。信息安全是企業(yè)整體安全的重要方面，一旦企業(yè)重要的信息外泄，會(huì)給企業(yè)帶來巨大的風(fēng)險(xiǎn)，甚至有可能將企業(yè)帶入破產(chǎn)的境地。

1企業(yè)信息系統(tǒng)安全的發(fā)展

隨著信息技術(shù)的產(chǎn)生，信息系統(tǒng)安全的保護(hù)也隨之而來，并且隨著信息技術(shù)的不斷更新?lián)Q代，信息系統(tǒng)安全保護(hù)的戰(zhàn)略也不斷發(fā)展，接下來我們可以簡要地分析一下信息安全系統(tǒng)的發(fā)展歷程。

信息系統(tǒng)安全的第一步是保障信息的安全，當(dāng)時(shí)各個(gè)電子業(yè)務(wù)系統(tǒng)較為獨(dú)立，互聯(lián)網(wǎng)還不太流行，這時(shí)主要技術(shù)是對信息進(jìn)行加密，普遍運(yùn)用風(fēng)險(xiǎn)分析法來對系統(tǒng)可能出現(xiàn)的漏洞進(jìn)行分析，合理地填補(bǔ)漏洞，消除威脅，這是一種基于傳統(tǒng)安全理念指導(dǎo)下的系統(tǒng)安全保護(hù)。

隨著互聯(lián)網(wǎng)技術(shù)的深入，信息系統(tǒng)安全開始逐步向業(yè)務(wù)安全轉(zhuǎn)化，開始從信息產(chǎn)業(yè)的角度出發(fā)來考慮安全狀況，此時(shí)的互聯(lián)網(wǎng)已經(jīng)成為工作生活的一個(gè)組成部分。這時(shí)候我們需要保護(hù)的不再僅僅是相關(guān)信息了，我們需要對整個(gè)業(yè)務(wù)流程進(jìn)行保護(hù)，分析其可能出現(xiàn)的問題。本階段的安全防護(hù)理念關(guān)注整個(gè)業(yè)務(wù)流程的周期，對流程的每一個(gè)節(jié)點(diǎn)進(jìn)行綜合考慮。信息保護(hù)在此時(shí)只是整個(gè)系統(tǒng)安全的一部分，是作為最為基礎(chǔ)的防護(hù)技術(shù)，除此之外，還強(qiáng)調(diào)對整個(gè)流程的監(jiān)控，防止某個(gè)節(jié)點(diǎn)可能出現(xiàn)的不安全因素，一旦出現(xiàn)任何風(fēng)吹草動(dòng)的現(xiàn)象我們可以立即予以控制。此外，審計(jì)技術(shù)在這個(gè)時(shí)候也被引入，通過對技術(shù)操作的跟蹤，可以對攻擊發(fā)起者進(jìn)行責(zé)任追究，對攻擊者起到一種震懾的效果。

到目前為止，業(yè)務(wù)系統(tǒng)的獨(dú)立性和邊界已經(jīng)逐步弱化，系統(tǒng)間的融合更為常見。以礦業(yè)企業(yè)為例，在大型集團(tuán)中，往往存在財(cái)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)、銷售系統(tǒng)、統(tǒng)計(jì)分析系統(tǒng)等，這些系統(tǒng)之間需要相互勾稽，系統(tǒng)與系統(tǒng)之間需要互相取數(shù)，因此大量的系統(tǒng)集中到了一個(gè)業(yè)務(wù)平臺(tái)中，由該平臺(tái)來提供整體服務(wù)。這樣的話，我們對于信息系統(tǒng)安全的需求也從單系統(tǒng)向多系統(tǒng)轉(zhuǎn)換，我們在關(guān)心單個(gè)系統(tǒng)安全的同時(shí)，還要對其系統(tǒng)平臺(tái)服務(wù)給予更多的關(guān)注。這樣的話，企業(yè)信息安全也開始由業(yè)務(wù)流程向服務(wù)轉(zhuǎn)換。

2企業(yè)信息安全存在的問題分析

信息安全問題我們可以將其進(jìn)行進(jìn)一步細(xì)分為物理、技術(shù)以及人為等三類因素。

首先來看物理方面，物理安全主要指的是機(jī)器設(shè)備以及網(wǎng)絡(luò)線路出現(xiàn)的問題。一般企業(yè)在進(jìn)行信息設(shè)備設(shè)置時(shí)最先考慮的因素是人員安全，即在保證信息設(shè)備不會(huì)對企業(yè)員工人身安全造成威脅的前提下再進(jìn)行設(shè)備本身考慮。信息設(shè)備一般屬于電氣設(shè)備，容易受到打雷、水電等災(zāi)害的影響。如果服務(wù)器主機(jī)受到嚴(yán)重破壞，有可能導(dǎo)致企業(yè)整個(gè)信息系統(tǒng)崩潰。相對于其他電氣設(shè)備而言，信息設(shè)備耐壓數(shù)值比較小，企業(yè)需要其持續(xù)不斷地運(yùn)行，并且磁場的干擾對網(wǎng)絡(luò)影響比較明顯，這些都對信息設(shè)備的物理安全提出了要求，需要防止可能出現(xiàn)的問題。

其次是技術(shù)方面，對于大量企業(yè)而言，可以分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)相對安全性較高。對于絕大多數(shù)企業(yè)而言，局域網(wǎng)都會(huì)通過一定途徑與外部網(wǎng)相連接。這樣內(nèi)部網(wǎng)路安全性就受到內(nèi)部網(wǎng)絡(luò)設(shè)備與外部網(wǎng)絡(luò)進(jìn)行的溝通的威脅。同時(shí)，操作系統(tǒng)的安全以及應(yīng)用程序的安全都是技術(shù)上所面臨的困擾。

在操作系統(tǒng)方面，我們的選擇比較狹窄，大多數(shù)企業(yè)只能選擇微軟操作系統(tǒng)，每個(gè)系統(tǒng)都存在一定的漏洞，都會(huì)造成信息的外泄。其實(shí)操作系統(tǒng)同樣是軟件，微軟為系統(tǒng)安全會(huì)不定期推出安全更新與漏洞補(bǔ)丁，雖然我們可以通過系統(tǒng)的Windows Update或其他輔助軟件來給系統(tǒng)修修補(bǔ)補(bǔ)，但這還不是100%的安全保證。隨著微軟在安全技術(shù)上的逐漸改進(jìn)，系統(tǒng)漏洞出現(xiàn)的次數(shù)越來越少，現(xiàn)在很多黑客開始把注意力轉(zhuǎn)移到常用的第三方軟件上來，也就是要利用這些軟件的漏洞來進(jìn)行攻擊。相對于操作系統(tǒng)而言，應(yīng)用軟件方面我們選擇性比較大，但目前流行的各種病毒、木馬都會(huì)給我們企業(yè)的信息安全帶來極大的影響。

尤其是現(xiàn)在大部分企業(yè)都建立有自己的官方網(wǎng)站，保存著企業(yè)的重要數(shù)據(jù)和客戶資料等，而如果網(wǎng)站存在一個(gè)通用漏洞，就會(huì)被惡意的黑客攻擊，甚至黑客還會(huì)進(jìn)行木馬的上傳來得到WebShell，添加隱藏超級(jí)賬號(hào)，使用遠(yuǎn)程桌面連接等操作，從而導(dǎo)致網(wǎng)絡(luò)淪落為黑客手中的“肉雞”。因此，如果使用網(wǎng)站模板代碼，必須要時(shí)刻關(guān)注該網(wǎng)站模板是否有最新的漏洞被曝光，及時(shí)到官網(wǎng)上下載并打上相關(guān)的漏洞補(bǔ)丁程序。另外，網(wǎng)管務(wù)必要有經(jīng)常查看網(wǎng)站登錄日志的習(xí)慣，檢查后臺(tái)登錄的IP是否有異地的可疑信息，或者是否被添加了異常的管理賬號(hào)等等，永遠(yuǎn)繃緊安全這根弦。

對局域網(wǎng)進(jìn)行妥善管理，讓網(wǎng)絡(luò)運(yùn)行始終安全、穩(wěn)定，一直是所有網(wǎng)絡(luò)管理員的主要職責(zé)。為了保證局域網(wǎng)的安全性，不少網(wǎng)絡(luò)管理員開動(dòng)腦筋，并且不惜花費(fèi)重金，“請”來了各式各樣的專業(yè)安全工具，來為局域網(wǎng)進(jìn)行保駕護(hù)航。然而在實(shí)際工作過程中，如果沒有現(xiàn)成的專業(yè)安全防范工具，也可以利用客戶端系統(tǒng)自帶的安全功能，保護(hù)自己的上網(wǎng)安全。

最后是人員方面，人員是企業(yè)信息外泄的重要途徑，其中我們可以將其分為兩大類，一類是內(nèi)部人員的泄密。這往往體現(xiàn)在員工將企業(yè)核心機(jī)密通過硬盤等設(shè)備將其帶出公司信息設(shè)備，并且造成遺失等現(xiàn)象，最終導(dǎo)致公司機(jī)密為外界所獲取，信息安全受到嚴(yán)重威脅。另一部分是黑客攻擊，這類攻擊對公司造成的損失非常大。該行為的目標(biāo)就是獲取相應(yīng)的信息。隨著黑客技術(shù)的發(fā)展，傳統(tǒng)的防火墻甚至物理網(wǎng)閘斷開都難以完全避免黑客的攻擊。目前企業(yè)繁多的保護(hù)程序?qū)诳偷姆雷o(hù)效果不佳，反倒給用戶帶來了諸多不便。

3企業(yè)信息安全改進(jìn)建議

3.1物理安全防護(hù)

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)直接影響到企業(yè)的信息安全，局域網(wǎng)的網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)也成了信息防護(hù)的關(guān)鍵所在，一般情況下，企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下：

圖1內(nèi)部網(wǎng)拓?fù)浣Y(jié)構(gòu)圖

在整個(gè)流程中，核心交換機(jī)是關(guān)鍵，首先它必須滿足國家相關(guān)的規(guī)定標(biāo)準(zhǔn)，可以承載相應(yīng)的功能。機(jī)房設(shè)計(jì)要考慮到防盜、防火等，必須實(shí)行24小時(shí)監(jiān)控。硬件防火墻是我們進(jìn)行信息保護(hù)的一個(gè)重要措施，性能比軟件防火墻更為強(qiáng)大，這也決定了硬件防火墻的價(jià)格相對而言更為昂貴。硬件加密卡也是我們目前使用范圍比較廣泛的一個(gè)技術(shù)措施，它獨(dú)立于計(jì)算機(jī)系統(tǒng)，一般難以通過常用的軟件模擬方式來對其進(jìn)行攻擊，因此獨(dú)立性能更高。通過合理配置計(jì)算機(jī)硬件保護(hù)器，我們可以將信息保護(hù)的基礎(chǔ)工作做得更加有效，能夠?yàn)榭刂萍夹g(shù)風(fēng)險(xiǎn)和人為風(fēng)險(xiǎn)提供良好的基礎(chǔ)。

3.2技術(shù)安全

相對而言，技術(shù)安全是比較難以處理的，信息技術(shù)的發(fā)展非常迅速，我們難以面對層出不窮的網(wǎng)絡(luò)技術(shù)攻擊做出完全有效的防御，需要及時(shí)改變技術(shù)防御措施。

3.2.1數(shù)字簽名和加密技術(shù)

在網(wǎng)絡(luò)中，我們可以不斷發(fā)展傳統(tǒng)的數(shù)字簽名和加密技術(shù)，防止黑客的多種入侵。

我們可以以數(shù)字簽名為例，通過設(shè)定數(shù)字簽名，用戶在進(jìn)行各種操作時(shí)會(huì)打上自身的印記，可以防止除授權(quán)者以外的修改，能夠極大地提高整體的安全系數(shù)，抵御黑客的攻擊。在這個(gè)程序中，我們需要予以關(guān)注的是數(shù)字證書的獲取，一般有以下三個(gè)途徑：a使用相關(guān)軟件創(chuàng)建自身的數(shù)字證書；b從商業(yè)認(rèn)證授權(quán)機(jī)構(gòu)獲取；c從內(nèi)部專門負(fù)責(zé)認(rèn)證安全管理機(jī)構(gòu)獲取。

3.2.2入侵防護(hù)系統(tǒng)（IPS）

傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計(jì)可施。絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，而入侵防護(hù)系統(tǒng)(IPS)則傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。

3.2.3統(tǒng)一威脅管理（UTM）

美國著名的IDC對統(tǒng)一威脅管理(UTM)安全設(shè)備的定義的是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能。它將多種安全特性集成于一個(gè)硬設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測/防御和網(wǎng)關(guān)防病毒功能。這幾項(xiàng)功能并不一定要同時(shí)都得到使用，不過它們應(yīng)該是UTM設(shè)備自身固有的功能。

UTM安全設(shè)備也可能包括其它特性，例如安全管理、日志、策略管理、服務(wù)質(zhì)量(QoS)、負(fù)載均衡、高可用性(HA)和報(bào)告帶寬管理等。不過，其它特性通常都是為主要的安全功能服務(wù)的。

3信息安全管理

這主要是針對人員管理而設(shè)定的，是企業(yè)內(nèi)部管理流程的一個(gè)重要方面，這是企業(yè)內(nèi)部管控制度的一個(gè)重要組成方面。

每個(gè)企業(yè)都要有明確的硬件設(shè)備管理制度，專人負(fù)責(zé)保管，監(jiān)督審查，確保硬件使用的合理和安全性。其次要對操作人員進(jìn)行足夠的培訓(xùn)，要求每一個(gè)使用人員都了解應(yīng)當(dāng)進(jìn)行的合理操作，明白可能存在的網(wǎng)絡(luò)安全隱患。第三要對數(shù)據(jù)保管有明確的責(zé)任和制度，防止大量數(shù)據(jù)的丟失，導(dǎo)致公司整體系統(tǒng)癱瘓。

為了進(jìn)一步加強(qiáng)和規(guī)范計(jì)算機(jī)信息系統(tǒng)安全，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室于2007年6月和7月聯(lián)合頒布了《信息安全等級(jí)保護(hù)管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》，并召開了全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作部署專題電視電話會(huì)議，標(biāo)志著我國信息安全等級(jí)保護(hù)制度歷經(jīng)十多年的探索正式開始實(shí)施。

建立計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度，是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中的一件大事，它直接關(guān)系到各行各業(yè)的計(jì)算機(jī)信息系統(tǒng)建設(shè)和管理，是一項(xiàng)復(fù)雜的社會(huì)化的系統(tǒng)工程，需要社會(huì)各界的共同參與。大中型企業(yè)應(yīng)該認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》及相關(guān)技術(shù)標(biāo)準(zhǔn)規(guī)范，大力開展培訓(xùn)工作，落實(shí)好信息網(wǎng)絡(luò)安全管理、安全技術(shù)、信息安全等崗位人員的繼續(xù)教育培訓(xùn)，不斷提高信息安全等級(jí)保護(hù)的能力與水平。

4結(jié)束語

在我們進(jìn)行企業(yè)信息安全管理過程中，企業(yè)及企業(yè)員工是否對信息安全工作有足夠的認(rèn)識(shí)十分重要，企業(yè)領(lǐng)導(dǎo)和上層應(yīng)該對企業(yè)信息安全工作給予必要的關(guān)注，企業(yè)信息安全不能僅僅依靠專業(yè)的IT技術(shù)人員，它需要我們?nèi)w企業(yè)員工的共同努力。

參考文獻(xiàn)：

[1]孫博.企業(yè)信息安全及相關(guān)技術(shù)概述[J].科技創(chuàng)新導(dǎo)報(bào),2009(04).

[2]徐國芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國高新技術(shù)企業(yè),2009(5).

[3]王東.“北京移動(dòng)案”暴露信息安全管理軟肋[J].中國新通信,2006(6).

[4]吳輝.淺談企業(yè)信息安全管理方案[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2010(25).

[5]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問題研究[J].供電企業(yè)管理,2008(2).

[6]汪紅梅.我國信息安全保障體系存在的問題及對策芻議[J].信息網(wǎng)絡(luò)安全,2008(2).

[7]盛玉.檔案信息安全與安全保障體系內(nèi)容的關(guān)系分析[J].網(wǎng)絡(luò)財(cái)富,2009(12).

篇8

關(guān)鍵詞:稅務(wù)系統(tǒng);信息安全;安全策略

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10406-02

On the Information Security Policy and Management of Tax Information Management System

HUANG Jian-qun

(Xi'an Shiyou University, Xi'an 710065, China)

Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.

Key words: tax systems; information security; security policy

稅收是國家財(cái)政收入的重要途徑,相關(guān)的稅務(wù)系業(yè)務(wù)要求其具有準(zhǔn)確性、公證性和完整性的特點(diǎn),因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分,屬國家基礎(chǔ)信息建設(shè),其基本特點(diǎn)是:網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對象復(fù)雜;稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高;應(yīng)用系統(tǒng)的種類較多,網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大,種類多,管理難度大。

稅務(wù)系統(tǒng)是一個(gè)及其龐大復(fù)雜的系統(tǒng),從業(yè)務(wù)上有國稅、地稅之分,從地域來說又有國家級(jí)、省級(jí)、地市級(jí)、區(qū)縣四級(jí)。網(wǎng)絡(luò)結(jié)點(diǎn)眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計(jì)其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門、網(wǎng)絡(luò)機(jī)構(gòu)極其復(fù)雜。面對如此復(fù)雜的系統(tǒng),其內(nèi)部安全隱患隨處可見,經(jīng)過不斷的研究和探索,目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗(yàn),形成一整套稅務(wù)系統(tǒng)的安全保障方法,相關(guān)安全保障的體系也在不斷完善和發(fā)展中。

1 網(wǎng)絡(luò)信息安全在稅務(wù)系統(tǒng)中的重要性

計(jì)算機(jī)軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及,為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國家金稅工程的建設(shè)和應(yīng)用,使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國家的稅收收入,但卻面臨著系統(tǒng)安全性的難題。

雖然我國稅務(wù)信息化建設(shè)自開始金稅工程以來,取得了長足進(jìn)步,極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進(jìn)的問題,各種應(yīng)用軟件自成體系、重復(fù)開發(fā)、信息集中程度低。隨著信息化水平的不斷提高,基于信息網(wǎng)絡(luò)及計(jì)算機(jī)的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系,要求人們必須提高對網(wǎng)絡(luò)安全重要性的認(rèn)識(shí),增強(qiáng)防范意識(shí),加強(qiáng)網(wǎng)絡(luò)安全管理,采取先進(jìn)有效的技術(shù)防范措施。

2 稅務(wù)系統(tǒng)安全建設(shè)

如何保證信息在傳遞過程中的安全性對稅務(wù)系統(tǒng)來說至關(guān)重要,任何網(wǎng)絡(luò)設(shè)備或者解決方案的漏洞都會(huì)對稅務(wù)系統(tǒng)造成很大影響。如何成功處理信息安全問題,使國家稅務(wù)系統(tǒng)在充分利用信息技術(shù)的同時(shí),保障系統(tǒng)的安全,對稅務(wù)系統(tǒng)建設(shè)具有極大意義。信息安全的建設(shè)涉及到信息賴以存在和傳遞的一切設(shè)施和環(huán)境。構(gòu)筑這個(gè)體系的目的是保證信息的安全,不僅需要信息技術(shù)的努力與突破,還需要相關(guān)政策、法律、管理等方面提供的有力保障,同時(shí)也需要提高操作信息系統(tǒng)的工作人員的安全意識(shí)。

2.1 稅務(wù)系統(tǒng)安全防護(hù)體系

稅務(wù)系統(tǒng)安全防護(hù)體系保證了系統(tǒng)在生命期內(nèi)處于動(dòng)態(tài)的安全狀態(tài),確保系統(tǒng)功能正確,不受系統(tǒng)規(guī)模變化的影響,性能滿意,具有良好的互操作性和強(qiáng)有力的生存能力等。

稅務(wù)信息系統(tǒng)安全模型提供了必要的安全服務(wù)和措施,增加了動(dòng)態(tài)特性,強(qiáng)調(diào)了各因素之間關(guān)系的重要性。該模型是一種實(shí)時(shí)的、動(dòng)態(tài)的安全理論模型,是實(shí)施信息安全保障的基礎(chǔ)。在模型基礎(chǔ)上建立安全體系架構(gòu)隨著環(huán)境和時(shí)間改變,框架和技術(shù)將會(huì)主動(dòng)實(shí)時(shí)動(dòng)態(tài)的調(diào)整,從而確保稅務(wù)系統(tǒng)的信息安全。

2.2 稅務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估

稅務(wù)系統(tǒng)信息安全保障的目的是確保系統(tǒng)的信息免受威脅,但絕對的安全并不可能實(shí)現(xiàn),只能通過一定的控制措施將系統(tǒng)受到威脅的可能性降到一個(gè)可接受的范圍內(nèi)。風(fēng)險(xiǎn)評(píng)估是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估用來確認(rèn)稅務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)及大小,即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估技術(shù),確定稅務(wù)系統(tǒng)資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制順序。

風(fēng)險(xiǎn)評(píng)估是信息安全管理體系的基礎(chǔ),為降低網(wǎng)絡(luò)的風(fēng)險(xiǎn)、實(shí)施風(fēng)險(xiǎn)管理及風(fēng)險(xiǎn)控制提供了直接依據(jù)。系統(tǒng)風(fēng)險(xiǎn)評(píng)估貫穿于系統(tǒng)整個(gè)生命期的始終,是系統(tǒng)安全保障討論最為重要的一個(gè)環(huán)節(jié)。

3 稅務(wù)信息系統(tǒng)整體安全構(gòu)架

一般稅務(wù)信息系統(tǒng)所采用的安全架構(gòu)模型如圖1所示。

從安全結(jié)構(gòu)模型可以看出,該安全架構(gòu)主要分為三部分:網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)防御體系、應(yīng)用安全體系和安全管理體系。網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)防御體系是一個(gè)最基本的安全體系,主要從物理級(jí)、網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)幾個(gè)層次采取一系列統(tǒng)一的安全措施,為信息系統(tǒng)的所有應(yīng)用提供一個(gè)基礎(chǔ)的、安全的網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境。

該體系的主要安全建設(shè)范圍如下:

1) 物理級(jí)安全:主要提供對系統(tǒng)內(nèi)部關(guān)鍵設(shè)備、線路、存儲(chǔ)介質(zhì)的物理運(yùn)行環(huán)境安全,確保系統(tǒng)能正常工作。

2) 網(wǎng)絡(luò)級(jí)安全:在網(wǎng)絡(luò)層上,提供對系統(tǒng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)、廣域網(wǎng)連接和遠(yuǎn)程訪問網(wǎng)絡(luò)的運(yùn)行安全保障,確保各類應(yīng)用系統(tǒng)能在統(tǒng)一的網(wǎng)絡(luò)安全平臺(tái)上可靠地運(yùn)作。

3) 系統(tǒng)級(jí)安全:主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施,防止不法分子利用操作系統(tǒng)的一些BUG、后門取得對系統(tǒng)的非法操作權(quán)限。

4 信息安全管理策略

4.1 安全管理平臺(tái)

信息安全管理的總體原則是“沒有明確表述為允許的都被認(rèn)為是被禁止的”。信息安全管理實(shí)行安全等級(jí)保護(hù)制度,制定安全等級(jí)劃分標(biāo)準(zhǔn)和安全等級(jí)的保護(hù)辦法。從管理的角度,將系統(tǒng)中的各類安全管理工具統(tǒng)一到一個(gè)平臺(tái),并對各種安全事件、報(bào)警、監(jiān)控做統(tǒng)一處理,發(fā)現(xiàn)各類安全問題的相關(guān)性,按照預(yù)定義的安全策略,進(jìn)行自動(dòng)的流程化處理,從而大為縮短發(fā)現(xiàn)問題、解決問題的時(shí)間,減少了人工操作的工作量,提高安全管理工作的效率。

通過技術(shù)手段,構(gòu)建一個(gè)專門的安全管理平臺(tái),將各類安全管理工具集成在這個(gè)統(tǒng)一的平臺(tái)上,對信息系統(tǒng)整體安全架構(gòu)的實(shí)施進(jìn)行實(shí)時(shí)監(jiān)視并對發(fā)現(xiàn)的問題或安全漏洞從技術(shù)角度進(jìn)行分析,為安全管理策略的調(diào)整提供建議和反饋信息。統(tǒng)一的安全管理平臺(tái)將有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)視和管理,從而提高安全管理工作的效率。

4.2 物理安全策略

物理安全是對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的設(shè)備、設(shè)施及相關(guān)的數(shù)據(jù)存儲(chǔ)介質(zhì)提供的安全保護(hù),使其免受各類自然災(zāi)害及人為導(dǎo)致的破壞。物理安全防范是系統(tǒng)安全架構(gòu)的基礎(chǔ),對系統(tǒng)的正常運(yùn)行具有重要的作用。

當(dāng)然,信息系統(tǒng)安全不是一成不變的,它是一個(gè)動(dòng)態(tài)的過程。隨著安全攻擊和防范技術(shù)的發(fā)展,安全策略也必須分階段進(jìn)行調(diào)整。日常的安全工作要靠合理的制度和對制度的遵守來實(shí)現(xiàn)。只有建立良好的信息安全管理機(jī)制,做到技術(shù)與管理良好配合,才能長期、有效地防范信息系統(tǒng)的風(fēng)險(xiǎn)。

5 網(wǎng)絡(luò)信息安全所采取的主要措施

目前網(wǎng)絡(luò)信息安全所采取的主要措施是使用一系列的安全技術(shù)來防止對信息系統(tǒng)的非授權(quán)使用。討論稅務(wù)系統(tǒng)安全策略問題時(shí),相關(guān)人員往往傾向于防火墻、入侵檢測系統(tǒng)等實(shí)際的安全設(shè)備。其實(shí),造成系統(tǒng)安全問題的本質(zhì)是稅務(wù)信息系統(tǒng)本身存在脆弱性。任何信息系統(tǒng)都不可避免的存在或多或少的脆弱性,而且這些脆弱性都是潛在的,無法預(yù)知。系統(tǒng)出現(xiàn)脆弱性的根本原因是由于系統(tǒng)的復(fù)雜性使得系統(tǒng)存在脆弱性的風(fēng)險(xiǎn)成正比,系統(tǒng)越復(fù)雜,系統(tǒng)存在的脆弱性的風(fēng)險(xiǎn)就越大,反之亦然。

安全防御的總策略為:1)建立網(wǎng)絡(luò)邊界和安全域防護(hù)系統(tǒng),防止來自系統(tǒng)外部的攻擊和對內(nèi)部安全訪問域進(jìn)行控制;2)建立基于整個(gè)網(wǎng)絡(luò)和全部應(yīng)用的安全基礎(chǔ)設(shè)施,實(shí)現(xiàn)系統(tǒng)的內(nèi)部的身份認(rèn)證、權(quán)限劃分、訪問控制和安全審計(jì);3)建立全系統(tǒng)網(wǎng)絡(luò)范圍內(nèi)的安全管理與響應(yīng)中心,強(qiáng)化網(wǎng)絡(luò)可管理、安全可維護(hù)、事件可響應(yīng);4)進(jìn)行分級(jí)縱深安全保護(hù),構(gòu)成系統(tǒng)網(wǎng)絡(luò)統(tǒng)一的防范與保護(hù)、監(jiān)控與檢查、響應(yīng)與處置機(jī)制。

6 結(jié)束語

解決信息系統(tǒng)的安全不是一個(gè)獨(dú)立的項(xiàng)目問題,安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范等,是整個(gè)信息系統(tǒng)安全建設(shè)的依據(jù)?，F(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架,若能進(jìn)一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動(dòng)技術(shù)、實(shí)時(shí)技術(shù)等,將形成更加完善的信息安全管理體系。

稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗,必須引起稅務(wù)機(jī)關(guān)和每一位稅務(wù)人的重視?？茖W(xué)技術(shù)的發(fā)展不一定能對任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響,技術(shù)只有與先進(jìn)的管理思想、管理體制相結(jié)合,才能產(chǎn)生巨大的效益。

參考文獻(xiàn):

[1] 蔡皖東.信息安全工程與管理[M].西安:西安電子科技大學(xué)出版社,2004.

[2] 譚思亮.網(wǎng)絡(luò)與信息安全[M].北京:人民郵電出版社,2002.

[3] 譚榮華.稅務(wù)信息化簡明教程[M].北京:中國人民大學(xué)出版社,2001.

[4] 李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社,2004.

[5] 朱建軍,熊兵.網(wǎng)絡(luò)安全防范手冊[M].北京:人民郵電出版社,2007.

[6] 戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版社,2002.

篇9

根據(jù)《基本要求》的規(guī)定，二級(jí)要求的系統(tǒng)防護(hù)能力為：信息系統(tǒng)具有抵御一般攻擊的能力，能防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力，系統(tǒng)遭受破壞后，具有恢復(fù)系統(tǒng)主要功能的能力。數(shù)據(jù)恢復(fù)的能力要求為：系統(tǒng)具有一定的數(shù)據(jù)備份功能和設(shè)備冗余，在遭受破壞后能夠在有限的時(shí)間內(nèi)恢復(fù)部分功能。按照二級(jí)的要求，一般情況下分為技術(shù)層面和管理層面的兩個(gè)層面對信息系統(tǒng)安全進(jìn)行全面衡量，技術(shù)層面主要針對機(jī)房的物理?xiàng)l件、安全審計(jì)、入侵防范、邊界、主機(jī)安全審計(jì)、主機(jī)資源控制、應(yīng)用資源控制、應(yīng)用安全審計(jì)、通信完整性和數(shù)據(jù)保密性等多個(gè)控制點(diǎn)進(jìn)行測評(píng)，而管理層面主要針對管理制度評(píng)審修訂、安全管理機(jī)構(gòu)的審核和檢查、人員安全管理、系統(tǒng)運(yùn)維管理、應(yīng)急預(yù)案等方面進(jìn)行綜合評(píng)測。其中技術(shù)類安全要求按照其保護(hù)的側(cè)重點(diǎn)不同分為業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類）、通用安全防護(hù)類（G類）三類。水利信息系統(tǒng)通常以S和G類防護(hù)為主，既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，又關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。

2水利科研院所信息安全現(xiàn)狀分析

水利科研院所信息系統(tǒng)結(jié)構(gòu)相對簡單，在管理制度上基本建立了機(jī)房管控制度、人員安全管理制度等，技術(shù)上也都基本達(dá)到了一級(jí)防護(hù)的要求。下面以某水利科研單位為例分析。某水利科研單位主機(jī)房選址為大樓低層(3層以下)，且不臨街。機(jī)房大門為門禁電磁防盜門，機(jī)房內(nèi)安裝多部監(jiān)控探頭。機(jī)房內(nèi)部劃分為多個(gè)獨(dú)立功能區(qū)，每個(gè)功能區(qū)均安裝門禁隔離。機(jī)房鋪設(shè)防靜電地板，且已與大樓防雷接地連接。機(jī)房內(nèi)按照面積匹配自動(dòng)氣體消防，能夠?qū)馂?zāi)發(fā)生進(jìn)行自動(dòng)報(bào)警，人工干預(yù)滅火。機(jī)房內(nèi)已安裝溫度濕度監(jiān)控探頭，對機(jī)房內(nèi)溫濕度自動(dòng)監(jiān)控并具有報(bào)警功能，機(jī)房配備較大功率UPS電源，能夠保障關(guān)鍵業(yè)務(wù)系統(tǒng)在斷電后2小時(shí)正常工作。機(jī)房采用通信線路上走線，動(dòng)力電路下走線方式。以上物理?xiàng)l件均滿足二級(jí)要求。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為外聯(lián)區(qū)、對外服務(wù)區(qū)、業(yè)務(wù)處理區(qū)和接入?yún)^(qū)4大板塊，對外服務(wù)區(qū)部署有VPN網(wǎng)關(guān)，外部人員可通過VPN網(wǎng)關(guān)進(jìn)入加密SSL通道訪問業(yè)務(wù)處理區(qū)，接入?yún)^(qū)用戶通過認(rèn)證網(wǎng)關(guān)訪問互聯(lián)網(wǎng)。整個(gè)網(wǎng)絡(luò)系統(tǒng)未部署入侵檢測（IDS）系統(tǒng)、非法外聯(lián)檢測系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及流量控制系統(tǒng)。由上述拓?fù)浣Y(jié)構(gòu)可以看出，現(xiàn)有的安全防護(hù)手段可基本保障信息網(wǎng)絡(luò)系統(tǒng)的安全，但按照二級(jí)要求，系統(tǒng)內(nèi)缺少IDS系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和非法外聯(lián)檢測系統(tǒng)，且沒有獨(dú)立的數(shù)據(jù)備份區(qū)域，給整個(gè)信息網(wǎng)安全帶來一定的隱患。新的網(wǎng)絡(luò)系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測系統(tǒng)（IDS），新規(guī)劃了獨(dú)立的數(shù)據(jù)備份區(qū)域，在核心交換機(jī)上部署了網(wǎng)絡(luò)審計(jì)系統(tǒng)，并在接入?yún)^(qū)安裝了非法外聯(lián)檢測系統(tǒng)。形成了較為完整的信息網(wǎng)絡(luò)安全防護(hù)體系。

3信息系統(tǒng)安全等級(jí)測評(píng)的內(nèi)容

3.1信息系統(tǒng)等級(jí)保護(hù)的總體規(guī)劃

信息系統(tǒng)從規(guī)劃到建立是一個(gè)復(fù)雜漫長的過程，需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計(jì)算機(jī)系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設(shè)計(jì)。相應(yīng)的技術(shù)測評(píng)工作也主要圍繞這3個(gè)模塊展開。

3.2測評(píng)的要素

信息系統(tǒng)是個(gè)復(fù)雜工程，設(shè)備的簡單堆疊并不能有效保障系統(tǒng)的絕對安全，新建系統(tǒng)應(yīng)嚴(yán)格按照等保規(guī)劃設(shè)計(jì)，已建系統(tǒng)要對信息系統(tǒng)進(jìn)行安全測試，對于測評(píng)不合格項(xiàng)對照整改。信息系統(tǒng)安全測試范圍很廣，主要在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全、管理安全六大方面展開測評(píng)。本文僅對測評(píng)內(nèi)容要素進(jìn)行描述，對具體測試方法及工具不作描述。

3.2.1網(wǎng)絡(luò)安全的測評(píng)

水利科研院所網(wǎng)絡(luò)安全的測評(píng)主要參照公安部編制《信息安全等級(jí)測評(píng)》條件對網(wǎng)絡(luò)全局、路由和交換設(shè)備、防火墻、入侵檢測系統(tǒng)展開測評(píng)。但應(yīng)結(jié)合科研院所實(shí)際有所側(cè)重。水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大，網(wǎng)絡(luò)帶寬占用比例相對較高，因此，在網(wǎng)絡(luò)全局中主要測試網(wǎng)絡(luò)設(shè)備是否具備足夠的數(shù)據(jù)處理能力，網(wǎng)絡(luò)設(shè)備資源占用情況，確保網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力冗余性?？蒲性核乩砦恢孟鄬Ψ稚?，因此，需要合理的VLAN劃分，確保局部網(wǎng)絡(luò)攻擊不會(huì)引發(fā)全局癱瘓?？蒲性核鶕碛写罅康难芯可@類人群對于制度的約束相對較差，網(wǎng)絡(luò)應(yīng)用多伴有P2P應(yīng)用，對出口帶寬影響極大，因此除了用經(jīng)濟(jì)杠桿的手段外，在技術(shù)上要求防火墻配置帶寬控制策略。同時(shí)對“非法接入和外聯(lián)”行為進(jìn)行檢查。網(wǎng)絡(luò)中應(yīng)配置IDS對端口掃描，對木馬、后門攻擊、網(wǎng)絡(luò)蠕蟲等常見攻擊行為監(jiān)視等等。

3.2.2主機(jī)安全測評(píng)

主機(jī)安全的測評(píng)主要對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)展開測評(píng)。通常水利科研院所服務(wù)器種類繁多，從最多見的機(jī)架式服務(wù)器到曙光一類的大型并行服務(wù)器均有部署，同時(shí)操作系統(tǒng)有window系列、Linux、Unix、Solaris等多種操作系統(tǒng)，數(shù)據(jù)庫以主流SQLSERVER、ORACLE為主，早期開發(fā)的系統(tǒng)還有Sybase，DB2等數(shù)據(jù)庫。對于window操作系統(tǒng)是容易被攻擊的重點(diǎn)，因?yàn)槎?jí)等保為審計(jì)級(jí)保護(hù)所以重點(diǎn)在于身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼4個(gè)方面進(jìn)行測評(píng)，主要審計(jì)重要用戶行為、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。對于LINUX等其他系統(tǒng)和數(shù)據(jù)庫，主要審計(jì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的身份標(biāo)識(shí)唯一性，口令應(yīng)復(fù)雜程度以及限制條件等。

3.2.3應(yīng)用安全測評(píng)

水利科研院所內(nèi)部業(yè)務(wù)種類繁多，如OA系統(tǒng)，科研管理系統(tǒng)，內(nèi)部財(cái)務(wù)系統(tǒng)、網(wǎng)站服務(wù)器群，郵件服務(wù)器等，測評(píng)的重點(diǎn)主要是對這些業(yè)務(wù)系統(tǒng)逐個(gè)測評(píng)身份驗(yàn)證，日志記錄，訪問控制、安全審計(jì)等功能。

3.2.4數(shù)據(jù)安全的測評(píng)

數(shù)據(jù)安全的測評(píng)主要就數(shù)據(jù)的完整性、保密性已及備份和恢復(fù)可靠性、時(shí)效性展開測評(píng)。水利科研院所數(shù)據(jù)量十分龐大，一般達(dá)到上百TB級(jí)數(shù)據(jù)量，一旦遭受攻擊，恢復(fù)任務(wù)十分艱巨，因此備份區(qū)和應(yīng)用區(qū)應(yīng)該選用光纖直連的方式，避免電纜數(shù)據(jù)傳輸效率的瓶頸。日常情況下應(yīng)做好備份計(jì)劃，采用增量備份的方式實(shí)時(shí)對數(shù)據(jù)備份。

3.2.5物理安全測評(píng)

機(jī)房的物理安全測評(píng)主要是選址是否合理，機(jī)房大門防火防盜性能，機(jī)房的防雷擊、防火、防水防潮防靜電設(shè)施是否完好達(dá)標(biāo)，溫濕度控制、電力供應(yīng)以及電磁防護(hù)是否符合規(guī)定等物理?xiàng)l件。

3.2.6安全管理測評(píng)

安全管理主要就制定的制度文檔和記錄文檔展開評(píng)測。制度文檔主要分為3類，流程管理，人員管理和設(shè)備管理。記錄文檔主要為制度文檔的具體實(shí)施形式。在滿足二級(jí)的條件下，一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責(zé)管理規(guī)定》、《安全審核與檢查管理制度》、《授權(quán)和審批管理規(guī)定》、《信息安全制度管理規(guī)范》、《內(nèi)部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》、《系統(tǒng)設(shè)計(jì)和采購安全管理規(guī)定》、《系統(tǒng)實(shí)施安全管理規(guī)定》、《系統(tǒng)測試驗(yàn)收和交付安全管理規(guī)定》、《軟件開發(fā)安全管理規(guī)定》、《系統(tǒng)運(yùn)維和監(jiān)控安全管理規(guī)定》、《網(wǎng)絡(luò)安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》、《賬號(hào)密碼管理規(guī)定》等基本規(guī)章制度。同時(shí)對管理制度本身進(jìn)行也要規(guī)范管理，如版本控制，評(píng)審修訂流程等。需要制定的記錄文檔有《機(jī)房出入登記記錄》、《機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄》、《各類評(píng)審和修訂記錄》、《人員考核、審查、培訓(xùn)記錄》、《各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄》、《產(chǎn)品的測試選型測試結(jié)果記錄》、《系統(tǒng)驗(yàn)收測試記錄報(bào)告》、《介質(zhì)歸檔查詢等的等級(jí)記錄》、《主機(jī)系統(tǒng)，網(wǎng)絡(luò)，安全設(shè)備等的操作日志和維護(hù)記錄》、《機(jī)房日常巡檢記錄》、《安全時(shí)間處理過程記錄》、《應(yīng)急預(yù)案培訓(xùn)，演練，審查記錄》等。

4測評(píng)的方式方法

按照《基本要求》在等級(jí)測評(píng)中，對二級(jí)及二級(jí)以上的信息系統(tǒng)應(yīng)進(jìn)行工具測試。

4.1測試目的工具測試

是利用各種測試工具，通過對目標(biāo)系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應(yīng)等活動(dòng)，查看分析響應(yīng)結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。工具測試種類繁多，這里特指適用于等保測評(píng)過程中的工具測試。利用工具測試不僅可以直接獲得系統(tǒng)本身存在的漏洞，同時(shí)也可以通過不同的區(qū)域接入測試工具所得到的測試結(jié)果判斷出不同區(qū)域之間的訪問控制情況。利用工具測試并結(jié)合其他的核查手段能為測試結(jié)果提供客觀準(zhǔn)確的保障。

4.2測試流程

收集信息→規(guī)劃接入點(diǎn)→編制《工具測試作業(yè)指導(dǎo)書》→現(xiàn)場測試→結(jié)果整理。收集信息主要是對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備型號(hào)、IP地址、操作系統(tǒng)以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等信息進(jìn)行收集。規(guī)劃接入點(diǎn)是保證不影響整個(gè)信息系統(tǒng)網(wǎng)絡(luò)正常運(yùn)行的前提下嚴(yán)格按照方案選定范圍進(jìn)行測試。接入點(diǎn)的規(guī)劃隨著網(wǎng)絡(luò)結(jié)構(gòu)，訪問控制，主機(jī)位置等情況的不同而不同,但應(yīng)該遵循以下規(guī)則。（1）由低級(jí)別系統(tǒng)向高級(jí)別系統(tǒng)探測。（2）同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測。（3）由外聯(lián)接口向系統(tǒng)內(nèi)部探測。（4）跨網(wǎng)絡(luò)隔離設(shè)備（包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備）要分段探測。

4.3測試手段

利用漏洞掃描器、滲透測試工具集、協(xié)議分析儀、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié)，為整改方案的編制提供依據(jù)。

5云計(jì)算與等級(jí)保護(hù)

近年來，隨著水利科研院各自的云計(jì)算中心相繼建立，云計(jì)算與以往的計(jì)算模式安全風(fēng)險(xiǎn)差異很大，面臨的風(fēng)險(xiǎn)也更大，因?yàn)橐酝南到y(tǒng)多數(shù)為集中式管理范圍較小，安全管理和設(shè)備資源是可控的，而云計(jì)算是分布式管理，是一個(gè)動(dòng)態(tài)變化的計(jì)算環(huán)境，這種環(huán)境在某種意義上是無序的，這種虛擬動(dòng)態(tài)的運(yùn)行環(huán)境更不可控，傳統(tǒng)的安全邊界消失。同時(shí)，云計(jì)算在認(rèn)證、授權(quán)、訪問控制和數(shù)據(jù)保密這些方面這對于信息網(wǎng)絡(luò)安全也提出了更高的要求。由云安全聯(lián)盟和惠普公司列出了云計(jì)算面臨的7宗罪（風(fēng)險(xiǎn)），說明云安全的狀況變化非常快，現(xiàn)有的技術(shù)和管理體系并不完全適應(yīng)于云計(jì)算的模式，如何結(jié)合自身特點(diǎn)制定出適合云計(jì)算的等級(jí)保護(hù)體系架構(gòu)是今后研究的方向。

6結(jié)語

篇10

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；等級(jí)保護(hù)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 14-0000-02

The Public Security Frontier Forces Information Security Construction Discussion

Jiang Haijun

(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)

Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.

Keywords:Network information security;Level protection

隨著科學(xué)技術(shù)和邊防部隊(duì)勤務(wù)工作的深入發(fā)展，信息化建設(shè)已成為提高邊防執(zhí)法水平的有力途徑，全國邊防部隊(duì)近年來已基本實(shí)現(xiàn)信息資源網(wǎng)絡(luò)化。但是，緊隨信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸凸出，給邊防部隊(duì)管理工作帶來了新的挑戰(zhàn)，筆者結(jié)合邊防部隊(duì)當(dāng)前網(wǎng)絡(luò)安全工作實(shí)際，就如何構(gòu)建全方位的網(wǎng)絡(luò)安全管理體系略陳管見。

一、影響邊防部隊(duì)信息網(wǎng)絡(luò)安全的主要因素分析

（一）物理層的安全問題。構(gòu)成網(wǎng)絡(luò)的一些計(jì)算機(jī)設(shè)備主要包括各種服務(wù)器、計(jì)算機(jī)、路由器、交換機(jī)、集線器等硬件實(shí)體和通信鏈路，這些設(shè)備分向在各種不同的地方，管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起網(wǎng)絡(luò)的癱瘓。物理安全是制定區(qū)域網(wǎng)安全解決方案時(shí)首先應(yīng)考慮的問題。

（二）計(jì)算機(jī)病毒或木馬的危害。計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響網(wǎng)絡(luò)安全的豐要因素。新型的木馬和病毒的界限越來越模糊，木馬往往借助病毒強(qiáng)大的繁殖功能使其傳播更加廣泛。

（三）黑客的威脅和攻擊。現(xiàn)在各類打著安全培訓(xùn)旗號(hào)的黑客網(wǎng)站不勝枚舉，大量的由淺到深的視頻教程，豐富的黑客軟件使得攻擊變得越來越容易，攻擊者的年齡也呈現(xiàn)低齡化，攻擊越演越烈。黑客入侵的常用手法有：系統(tǒng)溢出、端口監(jiān)聽、端口掃描、密碼破解、腳本滲透等。

二、邊防部隊(duì)信息網(wǎng)絡(luò)安全的特征分析

（一）網(wǎng)絡(luò)安全管理范圍不斷擴(kuò)大。從工作點(diǎn)來看，網(wǎng)絡(luò)覆蓋范圍已從機(jī)關(guān)直接深入到基層一線，從機(jī)關(guān)辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網(wǎng)絡(luò)接入點(diǎn)的地方，無論是物理線路還是無線上網(wǎng)點(diǎn)都必須進(jìn)行網(wǎng)絡(luò)安全管理，點(diǎn)多線長，情況復(fù)雜；從工作環(huán)節(jié)來看，從設(shè)備的選購、網(wǎng)絡(luò)的組建、專線的租用到日常網(wǎng)絡(luò)應(yīng)用，從設(shè)備維護(hù)保養(yǎng)、設(shè)備出入庫到送修和報(bào)廢，無一不涉及到網(wǎng)絡(luò)信息安全，網(wǎng)絡(luò)安全已滲透到工作的每一個(gè)環(huán)節(jié)。如：某單位被通報(bào)發(fā)現(xiàn)違規(guī)事件，經(jīng)調(diào)查，結(jié)果是有人將手機(jī)接上公安網(wǎng)計(jì)算機(jī)充電，而該手機(jī)正在無線上網(wǎng)。

（二）安全管理對象類型復(fù)雜多樣。目前，公安信息網(wǎng)、互聯(lián)網(wǎng)、業(yè)務(wù)專網(wǎng)、機(jī)要專網(wǎng)在日常工作中頻繁使用，成為管理的難點(diǎn)。同時(shí)，公安網(wǎng)上各類使用中的網(wǎng)絡(luò)安全管理軟件系統(tǒng)應(yīng)用有待深化，一些網(wǎng)絡(luò)管理軟件使用功能僅停留在表層，未能成為得力工具。

（三）網(wǎng)絡(luò)安全問題不斷翻新。目前互聯(lián)網(wǎng)、公安網(wǎng)、業(yè)務(wù)網(wǎng)、網(wǎng)四種網(wǎng)絡(luò)必須物理隔離，禁止交叉使用移動(dòng)存儲(chǔ)介質(zhì)，但四種網(wǎng)絡(luò)的信息資源在一定范圍內(nèi)卻必須共享交流。曾經(jīng)出現(xiàn)過這種情況，某單位人員在互聯(lián)網(wǎng)上建立論壇，發(fā)表不健康言論，觸犯邊防部隊(duì)管理?xiàng)l例。究其原因，是因?yàn)槲覀兊木W(wǎng)絡(luò)安全工作一直以來是局限在公安網(wǎng)內(nèi)部，尚未隨著網(wǎng)絡(luò)應(yīng)用發(fā)展趨勢擴(kuò)展到互聯(lián)網(wǎng)的管理上。

三、邊防部隊(duì)信息網(wǎng)絡(luò)安全的技術(shù)分析

網(wǎng)絡(luò)安全產(chǎn)品的自身安全的防護(hù)技術(shù)網(wǎng)絡(luò)安全設(shè)備安全防護(hù)的關(guān)鍵，一個(gè)自身不安全的設(shè)備不僅不能保護(hù)被保護(hù)的網(wǎng)絡(luò)而且一旦被入侵，反而會(huì)變?yōu)槿肭终哌M(jìn)一步入侵的平臺(tái)。

（一）虛擬網(wǎng)技術(shù)。虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。

（二）防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。雖然防火墻是保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

（三）病毒防護(hù)技術(shù)。病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。在防火墻、服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。

（四）入侵檢測技術(shù)。利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊（agent），分別向管理服務(wù)器報(bào)告及上傳證據(jù)，提供跨平臺(tái)的入侵監(jiān)視解決方案；在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊（sensor），分別向管理服務(wù)器報(bào)告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。

四、邊防部隊(duì)信息網(wǎng)絡(luò)安全管理體系的對策

網(wǎng)絡(luò)安全是一個(gè)范圍相對較大的概念，根據(jù)具體的實(shí)際情況組成不同安全管控層次或等級(jí)的網(wǎng)絡(luò)系統(tǒng)，既是網(wǎng)絡(luò)實(shí)際發(fā)展應(yīng)用的趨勢，更是網(wǎng)絡(luò)現(xiàn)實(shí)應(yīng)用的一種必然。

（一）提高多層次的技術(shù)防范措施。按照網(wǎng)絡(luò)實(shí)際應(yīng)用中出現(xiàn)故障的原因和現(xiàn)象，參考網(wǎng)絡(luò)的結(jié)構(gòu)層次，我們可以把網(wǎng)絡(luò)安全工作的對象分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全，不同層次反映不同的安全問題，采取不同的防范重點(diǎn)：一是確保物理環(huán)境的安全性。包括通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。在內(nèi)網(wǎng)、外網(wǎng)共存的環(huán)境中，可以使用不同顏色的網(wǎng)線、網(wǎng)口標(biāo)記、網(wǎng)口吊牌來標(biāo)記區(qū)分不同的網(wǎng)絡(luò)，如灰色的公安網(wǎng)專用，紅色的互聯(lián)網(wǎng)專用，黃色的網(wǎng)專用。二是確保軟硬件設(shè)備安全性。必須預(yù)備一定的備用設(shè)備，并定期備份重要網(wǎng)絡(luò)設(shè)備設(shè)置。對待報(bào)廢的各類存儲(chǔ)類配件，一定要進(jìn)行消磁處理，確保信息安全。三是提供良好的設(shè)備運(yùn)行環(huán)境機(jī)房要有嚴(yán)格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施，并且有單獨(dú)的電源供電系統(tǒng)；安裝有計(jì)算機(jī)的辦公室要有防塵、防火、防潮、防泄密等措施，電源要符合計(jì)算機(jī)工作要求。四是完善操作系統(tǒng)的安全性必須設(shè)置系統(tǒng)自動(dòng)升級(jí)系統(tǒng)補(bǔ)丁。五是加強(qiáng)密碼的管理。存取網(wǎng)絡(luò)上的任何數(shù)據(jù)皆須通過密碼登錄。同時(shí)設(shè)制復(fù)雜的計(jì)算機(jī)開機(jī)密碼、系統(tǒng)密碼和屏保密碼。

（二）建立嚴(yán)格的網(wǎng)絡(luò)安全管理制度。嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應(yīng)通過制度規(guī)范協(xié)調(diào)網(wǎng)絡(luò)安全的組織、制度建設(shè)、安全規(guī)劃、應(yīng)急計(jì)劃，筑起網(wǎng)絡(luò)安全的第一道防線。

（三）合理開放其它類型的網(wǎng)絡(luò)應(yīng)用。目前，很多單位都建立了警營網(wǎng)吧，給官兵提供良好的學(xué)習(xí)娛樂平臺(tái)，這種情況下就必須把互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全工作納入安全工作范圍，采取多種方法，規(guī)范和引導(dǎo)官兵進(jìn)行互聯(lián)網(wǎng)的應(yīng)用，合理開放所需的應(yīng)用功能，有效控制不合理的功能應(yīng)用。目前，邊防部隊(duì)的信息網(wǎng)絡(luò)安全技術(shù)的研究仍處于起步階段，有大量的工作需要我們?nèi)ヌ剿骱烷_發(fā)。公安部已在全國范圍內(nèi)大力推進(jìn)信息網(wǎng)絡(luò)安全工作，相信在大家的共同努力下，邊防部隊(duì)將建立起一套完整的網(wǎng)絡(luò)安全體系，確保信息網(wǎng)絡(luò)的安全，推動(dòng)邊防部隊(duì)信息化高度發(fā)展。

五、結(jié)論

網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)完成后，將實(shí)現(xiàn)信息系統(tǒng)等級(jí)保護(hù)中有關(guān)數(shù)據(jù)安全保護(hù)的基本要求和目標(biāo)，尤其是應(yīng)用密碼技術(shù)和手段對信息系統(tǒng)內(nèi)部的數(shù)據(jù)進(jìn)行透明加密保護(hù)。網(wǎng)絡(luò)信息安全系統(tǒng)還為單位內(nèi)部機(jī)密電子文檔的管理提供了一套有效的管理辦法，為電子文檔的泄密提供了追查依據(jù)，解決了信息系統(tǒng)使用方便性和安全共享可控制的難點(diǎn)，為部隊(duì)深化信息化建設(shè)提供技術(shù)保障。網(wǎng)絡(luò)信息安全系統(tǒng)能夠有效提高單位的數(shù)據(jù)安全保護(hù)等級(jí)，與其他信息系統(tǒng)模塊協(xié)調(diào)工作，實(shí)現(xiàn)了資源的整合和系統(tǒng)的融合，形成一個(gè)更加安全、高效、可控、完善的信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)控與等級(jí)保護(hù)平臺(tái)，提高了部隊(duì)內(nèi)部核心數(shù)據(jù)，特別是對內(nèi)部敏感電子文檔的安全管理，隨著系統(tǒng)的不斷完善和擴(kuò)大，將對部隊(duì)內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)的安全保護(hù)發(fā)揮更大作用。

參考文獻(xiàn)：