前言:中文期刊網(wǎng)精心挑選了信息安全保障范文供你參考和學(xué)習(xí),希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感,歡迎閱讀。
信息安全保障范文1
論文關(guān)鍵詞:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式變革
論文摘要:互聯(lián)網(wǎng)時(shí)代的來臨給人們帶來便利的同時(shí)也使信息安全與網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。形形的漏洞層出不窮,傳統(tǒng)的安全保障模式已經(jīng)無法有效地應(yīng)對(duì)當(dāng)前的威脅。本文分析了信息安全形勢(shì)和現(xiàn)狀,闡述了由漏洞挖掘、漏洞利用所構(gòu)成的病毒產(chǎn)業(yè)鏈對(duì)現(xiàn)有安全技術(shù)和理念的沖擊。根據(jù)病毒產(chǎn)業(yè)鏈中各個(gè)環(huán)節(jié)的特點(diǎn),提出了基于“云安全”思想的新型的安全保障模式,使之能夠快速感知和捕獲新的威脅,并從源頭上予以監(jiān)控。
l 引言
信息安全與網(wǎng)絡(luò)安全的概念正在與時(shí)俱進(jìn),它從早期的通信保密發(fā)展到關(guān)注信息的保密、完整、可用、可控和不可否認(rèn)的信息安全,再到如今的信息保障和信息保障體系。單純的保密和靜態(tài)的保障模式都已經(jīng)不能適應(yīng)今天的需要。信息安全保障依賴人、操作和技術(shù)實(shí)現(xiàn)組織的業(yè)務(wù)運(yùn)作,穩(wěn)健的信息保障模式意味著信息保障和政策、步驟、技術(shù)與機(jī)制在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上均能得以實(shí)施。
近年以來,我國(guó)的信息安全形勢(shì)發(fā)生著影響深遠(yuǎn)的變化,透過種種紛繁蕪雜的現(xiàn)象,可以發(fā)現(xiàn)一些規(guī)律和趨勢(shì),一些未來信息安全保障模式變革初現(xiàn)端倪。
2 信息安全形勢(shì)及分析
據(jù)英國(guó)《簡(jiǎn)氏戰(zhàn)略報(bào)告》和其它網(wǎng)絡(luò)組織對(duì)世界各國(guó)信息防護(hù)能力的評(píng)估,我國(guó)被列入防護(hù)能力最低的國(guó)家之一,排名大大低于美國(guó)、俄羅斯和以色列等信息安全強(qiáng)國(guó),排在印度、韓國(guó)之后。我國(guó)已成為信息安全惡性事件的重災(zāi)區(qū),國(guó)內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年高于30%的速度遞增。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心的監(jiān)測(cè)結(jié)果,目前我國(guó)95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入,其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。
在互聯(lián)網(wǎng)的催化下,計(jì)算機(jī)病毒領(lǐng)域正發(fā)生著深刻變革,病毒產(chǎn)業(yè)化經(jīng)營(yíng)的趨勢(shì)日益顯現(xiàn)。一條可怕的病毒產(chǎn)業(yè)鏈正悄然生成。
傳統(tǒng)的黑客尋找安全漏洞、編寫漏洞利用工具、傳播病毒、操控受害主機(jī)等環(huán)節(jié)都需要自己手工完成。然而,現(xiàn)在由于整個(gè)鏈條通過互聯(lián)網(wǎng)運(yùn)作,從挖掘漏洞、漏洞利用、病毒傳播到受害主機(jī)的操控,已經(jīng)形成了一個(gè)高效的流水線,不同的黑客可以選擇自己擅長(zhǎng)的環(huán)節(jié)運(yùn)作并牟取利潤(rùn),從而使得整個(gè)病毒產(chǎn)業(yè)的運(yùn)作效率更高。黑客產(chǎn)業(yè)化經(jīng)營(yíng)產(chǎn)生了嚴(yán)重的負(fù)面影響:
首先,病毒產(chǎn)業(yè)鏈的形成意味著更高的生產(chǎn)效率。一些經(jīng)驗(yàn)豐富的黑客甚至可以編寫出自動(dòng)化的處理程序?qū)σ延械牟《具M(jìn)行變形,從而生產(chǎn)出大量新種類的病毒。面對(duì)井噴式的病毒增長(zhǎng),當(dāng)前的病毒防范技術(shù)存在以下三大局限:①新樣本巨量增加、單個(gè)樣本的生存期縮短,現(xiàn)有技術(shù)無法及時(shí)截獲新樣本。②即使能夠截獲,則每天高達(dá)數(shù)十萬的新樣本數(shù)量,也在嚴(yán)重考驗(yàn)著對(duì)于樣本的分析、處理能力。③即使能夠分析處理,則如何能夠讓中斷在最短時(shí)間內(nèi)獲取最新的病毒樣本庫(kù),成為重要的問題。
其次,病毒產(chǎn)業(yè)鏈的形成意味著更多的未知漏洞被發(fā)現(xiàn)。在互聯(lián)網(wǎng)的協(xié)作模式下,黑客間通過共享技術(shù)和成果,漏洞挖掘能力大幅提升,速度遠(yuǎn)遠(yuǎn)超過了操作系統(tǒng)和軟件生產(chǎn)商的補(bǔ)丁速度。
再次,黑客通過租用更好的服務(wù)器、更大的帶寬,為漏洞利用和病毒傳播提供硬件上的便利;利用互聯(lián)網(wǎng)論壇、博客等,高級(jí)黑客雇傭“軟件民工”來編寫更強(qiáng)的驅(qū)動(dòng)程序,加入病毒中加強(qiáng)對(duì)抗功能。大量軟件民工的加入,使得病毒產(chǎn)業(yè)鏈條更趨“正規(guī)化、專業(yè)化”,效率也進(jìn)一步提高。
最后,黑客通過使用自動(dòng)化的“肉雞”管理工具,達(dá)到控制海量的受害主機(jī)并且利用其作為繼續(xù)牟取商業(yè)利潤(rùn)的目的。至此整個(gè)黑客產(chǎn)業(yè)內(nèi)部形成了一個(gè)封閉的以黑客養(yǎng)黑客的“良性循環(huán)”圈。
3 漏洞挖捆與利用
病毒產(chǎn)業(yè)能有今天的局面,與其突破了漏洞挖掘的瓶頸息息相關(guān)。而漏洞挖掘也是我們尋找漏洞、彌補(bǔ)漏洞的有利工具,這是一柄雙刃劍。
3.1漏洞存在的必然性
首先,由于internet中存在著大量早期的系統(tǒng),包括低級(jí)設(shè)備、舊的系統(tǒng)等,擁有這些早期系統(tǒng)的組織沒有足夠的資源去維護(hù)、升級(jí),從而保留了大量己知的未被修補(bǔ)的漏洞。其次,不斷升級(jí)中的系統(tǒng)和各種應(yīng)用軟件,由于要盡快推向市場(chǎng),往往沒有足夠的時(shí)間進(jìn)行嚴(yán)格的測(cè)試,不可避免地存在大量安全隱患。再次,在軟件開發(fā)中,由于開發(fā)成本、開發(fā)周期、系統(tǒng)規(guī)模過分龐大等等原因,bug的存在有其固有性,這些bug往往是安全隱患的源頭。另外,過分龐大的網(wǎng)絡(luò)在連接、組織、管理等方面涉及到很多因素,不同的硬件平臺(tái)、不同的系統(tǒng)平臺(tái)、不同的應(yīng)用服務(wù)交織在一起,在某種特定限制下安全的網(wǎng)絡(luò),由于限制條件改變,也會(huì)漏洞百出。
3.2漏洞挖掘技術(shù)
漏洞挖掘技術(shù)并不單純的只使用一種方法,根據(jù)不同的應(yīng)用有選擇地使用自下而上或者自上而下技術(shù),發(fā)揮每種技術(shù)的優(yōu)勢(shì),才能達(dá)到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全掃描技術(shù)。安全掃描也稱為脆弱性評(píng)估,其基本原理是采用模擬攻擊的方式對(duì)目標(biāo)系統(tǒng)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢測(cè)。借助于安全掃描技術(shù),人們可以發(fā)現(xiàn)主機(jī)和網(wǎng)絡(luò)系統(tǒng)存在的對(duì)外開放的端口、提供的服務(wù)、某些系統(tǒng)信息、錯(cuò)誤的配置等,從而檢測(cè)出已知的安全漏洞,探查主機(jī)和網(wǎng)絡(luò)系統(tǒng)的入侵點(diǎn)。
(2)手工分析。針對(duì)開源軟件,手工分析一般是通過源碼閱讀工具,例如sourceinsight等,來提高源碼檢索和查詢的速度。簡(jiǎn)單的分析一般都是先在系統(tǒng)中尋找strcpy0之類不安全的庫(kù)函數(shù)調(diào)用進(jìn)行審查,進(jìn)一步地審核安全庫(kù)函數(shù)和循環(huán)之類的使用。非開源軟件與開源軟件相比又有些不同,非開源軟件的主要局限性是由于只能在反匯編獲得的匯編代碼基礎(chǔ)上進(jìn)行分析。在針對(duì)非開源軟件的漏洞分析中,反編引擎和調(diào)試器扮演了最蘑要的角色,如ida pro是目前性能較好的反匯編工具。
(3)靜態(tài)檢查。靜態(tài)檢查根據(jù)軟件類型分為兩類,針對(duì)開源軟件的靜態(tài)檢查和針對(duì)非開源軟件的靜態(tài)檢查。前者主要使用編譯技術(shù)在代碼掃描或者編譯期間確定相關(guān)的判斷信息,然后根據(jù)這些信息對(duì)特定的漏洞模型進(jìn)行檢查。而后者主要是基于反匯編平臺(tái)idapro,使用自下而上的分析方法,對(duì)二進(jìn)制文件中的庫(kù)函數(shù)調(diào)用,循環(huán)操作等做檢查,其側(cè)重點(diǎn)主要在于靜態(tài)的數(shù)據(jù)流回溯和對(duì)軟件的逆向工程。
(4)動(dòng)態(tài)檢查。動(dòng)態(tài)檢查也稱為運(yùn)行時(shí)檢查,基本的原理就是通過操作系統(tǒng)提供的資源監(jiān)視接口和調(diào)試接口獲取運(yùn)行時(shí)目標(biāo)程序的運(yùn)行狀態(tài)和運(yùn)行數(shù)據(jù)。目前常用的動(dòng)態(tài)檢查方法主要有環(huán)境錯(cuò)誤注入法和數(shù)據(jù)流分析法。以上介紹的各種漏洞挖掘技術(shù)之間并不是完全獨(dú)立的,各種技術(shù)往往通過融合來互相彌補(bǔ)缺陷,從而構(gòu)造功能強(qiáng)大的漏洞挖掘工具。
3.3漏洞利用
漏洞的價(jià)值體現(xiàn)在利用,如果一個(gè)漏洞沒有得到廣泛的利用便失去了意義。通常,從技術(shù)層面上講,黑客可以通過遠(yuǎn)程/本地溢出、腳本注入等手段,利用漏洞對(duì)目標(biāo)主機(jī)進(jìn)行滲透,包括對(duì)主機(jī)信息和敏感文件的獲取、獲得主機(jī)控制權(quán)、監(jiān)視主機(jī)活動(dòng)、破壞系統(tǒng)、暗藏后門等,而當(dāng)前漏洞利用的主要趨勢(shì)是更趨向于web攻擊,其最終日標(biāo)是要在日標(biāo)主機(jī)(主要針對(duì)服務(wù)器)上植入可以綜合利用上面的幾種挖掘技術(shù)的復(fù)合型病毒,達(dá)到其各種目的。
4 新型信息安全模式分析
最近的兩三年間,在與病毒產(chǎn)業(yè)此消彼漲的較量中,信息安全保障體系的格局,包括相關(guān)技術(shù)、架構(gòu)、形態(tài)發(fā)生了一些深遠(yuǎn)、重大的變化,大致歸納為以下三個(gè)方面:第一,細(xì)分和拓展。信息安全的功能和應(yīng)用正在從過去簡(jiǎn)單的攻擊行為和病毒防范開始向各種各樣新的聯(lián)網(wǎng)應(yīng)用業(yè)務(wù)拓展,開始向網(wǎng)絡(luò)周邊拓展。如現(xiàn)在常見的對(duì)于帳號(hào)的安全保護(hù)、密碼的安全保護(hù)、游戲的安全保護(hù)、電子商務(wù)支付過程的安全保護(hù)等,都是信息安全功能和應(yīng)用的細(xì)分與拓展。
第二,信息安全保障一體化的趨向。從終端用戶來說,他們希望信息安全保障除了能夠?qū)I(yè)化地解決他們具體應(yīng)用環(huán)節(jié)里面臨的各種各樣的具體問題之外,更希望整體的、一體化的信息安全解決方案貫穿業(yè)務(wù)的全過程,貫穿it企業(yè)架構(gòu)的全流程。因此,許多不同的安全廠商都在進(jìn)行自身的安全產(chǎn)品、體系架構(gòu)的整合,針對(duì)性地應(yīng)用到個(gè)人客戶的方方面面,表現(xiàn)出信息安全保障一體化的趨向。
第三,安全分布結(jié)構(gòu)的變化。在服務(wù)器端,不管是相關(guān)市場(chǎng)的投入還是企業(yè)的需要,乃至相關(guān)的企業(yè)對(duì)服務(wù)器市場(chǎng)的重視都在發(fā)生重大的變化。這樣的變化對(duì)安全的分布結(jié)構(gòu)產(chǎn)生了重大的影響,在這方面,各個(gè)安全廠商無論在服務(wù)器安全還是客戶端安全都加入了許多新型功能,甚至都在從體系結(jié)構(gòu)方面提出一些新模式。
透過技術(shù)、架構(gòu)、形態(tài)的新發(fā)展,我們看到了·些規(guī)律和趨勢(shì),吏看到了一些未來信息安傘保障模式變節(jié)的端倪。既然客在互聯(lián)的催化下實(shí)現(xiàn)產(chǎn)業(yè)化,那么信息安全保障呢?將互聯(lián)網(wǎng)上的每個(gè)終端用戶的力量調(diào)動(dòng)起來,使整個(gè)互聯(lián)網(wǎng)就將成為一個(gè)安全保障工具,這樣的模式就是未來信息安全保障的模式,被一些機(jī)構(gòu)和安全廠商命名為“云安全”。
在“云安全”模式中,參與安全保障的不僅是安全機(jī)構(gòu)和安全產(chǎn)品生產(chǎn)商,更有終端用戶——客戶端的參與。“云安全”并不是一種安全技術(shù),而是一種將安全互聯(lián)網(wǎng)化的理念。
“云安全”的客戶端區(qū)別于通常意義的單機(jī)客戶端,而是一個(gè)傳統(tǒng)的客戶端進(jìn)行互聯(lián)網(wǎng)化改造的客戶端,它是感知、捕獲、抵御互聯(lián)網(wǎng)威脅的前端,除了具有傳統(tǒng)單機(jī)客戶端的檢測(cè)功能以外還有基于互聯(lián)網(wǎng)協(xié)作的行為特征檢測(cè)和基于互聯(lián)網(wǎng)協(xié)作的資源防護(hù)功能,因此它可以在感知到威脅的同時(shí),迅速把威脅傳遞給“云安全”的威脅信息數(shù)據(jù)中心。威脅信息數(shù)據(jù)中心是收集威脅信息并提供給客戶端協(xié)作信息的機(jī)構(gòu),它具有兩個(gè)功能:一是收集威脅信息;二是客戶端協(xié)作信息的查詢和反饋。首先,從“云安全”的客戶端收集、截獲的惡意威脅信息,及時(shí)傳遞給數(shù)據(jù)中心,然后傳遞給來源挖掘和挖掘服務(wù)集群,來源挖掘和挖掘服務(wù)集群會(huì)根據(jù)這些數(shù)據(jù)來挖掘惡意威脅的來源,通過協(xié)作分析找到源頭,進(jìn)而對(duì)源頭進(jìn)行控制,如果不能控制,則至少可以對(duì)源頭進(jìn)行檢測(cè)。然后,將所有收集到的信息集中到自動(dòng)分析處理系統(tǒng),由其形成一個(gè)解決方案,傳遞給服務(wù)器,服務(wù)器再回傳客戶端,或者是形成一個(gè)互聯(lián)網(wǎng)的基礎(chǔ)服務(wù),傳遞給所有安全合作伙伴,形成一個(gè)互聯(lián)網(wǎng)技術(shù)服務(wù),使整個(gè)網(wǎng)絡(luò)都享受該安全解決方案。
概括而言,“云安全”模式具有以下特點(diǎn):第一,快速感知,快速捕獲新的威脅。“云安全”的數(shù)據(jù)中心可以并行服務(wù),通過互聯(lián)網(wǎng)大大提高威脅捕獲效率。第二,“云安全”的客戶端具有專業(yè)的感知能力。通過威脅挖掘集群的及時(shí)檢測(cè),可以從源頭監(jiān)控互聯(lián)網(wǎng)威脅。
互聯(lián)網(wǎng)已經(jīng)進(jìn)入web2.o時(shí)代,web2.0的特點(diǎn)就是重在用戶參與,而“云安全”模式已經(jīng)讓用戶進(jìn)入了安全的2.o時(shí)代。在黑客產(chǎn)業(yè)化經(jīng)營(yíng)的新威脅的形勢(shì)下,也只有互聯(lián)網(wǎng)化的“云安全”保障模式才能與之對(duì)抗。
4 結(jié)柬語
信息安全保障范文2
計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)互動(dòng)交流的平臺(tái),因特網(wǎng)信息相對(duì)繁雜,因?yàn)槠溟_放性,所以極易引發(fā)惡意利用等問題。而黑客入侵就位居其中之列,黑客們往往會(huì)鉆網(wǎng)絡(luò)漏洞的空隙,趁虛而入,進(jìn)而竊取密碼等相關(guān)隱私信息或加以破壞,最嚴(yán)重情況下可能造成整個(gè)網(wǎng)絡(luò)的癱瘓。外部攻擊致使安全隱患頻發(fā)。除了外部黑客惡意破壞,企業(yè)員工結(jié)合各種辦法同外界相互勾結(jié),致使企業(yè)受損現(xiàn)象也是時(shí)有發(fā)生的。企業(yè)員工素質(zhì)及能力存在不均衡現(xiàn)象,有較為優(yōu)秀的,當(dāng)然也有些魚目混珠的,致使理念上產(chǎn)生偏差,比如像導(dǎo)致信息出現(xiàn)格式化、主要數(shù)據(jù)丟失、無用信息鋪天蓋地等狀況。部分擁有技術(shù)能力員工,能夠?qū)χ付☉?yīng)用程序進(jìn)行修改,讓該類程序特定時(shí)間內(nèi)運(yùn)行致使企業(yè)大批私密信息外泄,為企業(yè)帶來無法估量的經(jīng)濟(jì)損失。還有些如入無人之境像走綠燈一樣隨便進(jìn)入信息內(nèi)部系統(tǒng),并且對(duì)計(jì)算機(jī)運(yùn)行實(shí)行監(jiān)控,這種行為是比較惡劣還有嚴(yán)重的。企業(yè)內(nèi)部員工,只有少部分對(duì)網(wǎng)絡(luò)系統(tǒng)擁有合法訪問權(quán),除此以外我們國(guó)家大部分企業(yè)使用的網(wǎng)絡(luò)軟硬件都是結(jié)合專有企業(yè)產(chǎn)品,這樣就導(dǎo)致部分廠商對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)訪問是具有合法權(quán)限的,另外警察與部分政府相關(guān)工作人員對(duì)企業(yè)信息訪問也是合法的。
2計(jì)算機(jī)的網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)信息條件下,計(jì)算機(jī)的網(wǎng)絡(luò)安全相關(guān)問題大多集中在計(jì)算機(jī)軟件開發(fā)途中。軟件本身存在漏洞對(duì)信息安全構(gòu)成威脅可以說是最大的。信息化建設(shè)過程中,要對(duì)使用軟件加大注意力。應(yīng)用網(wǎng)絡(luò)的時(shí)候,信息傳輸不會(huì)因?yàn)榫W(wǎng)絡(luò)故障而終止,但因?yàn)榫W(wǎng)絡(luò)功能基礎(chǔ)就是計(jì)算機(jī)相關(guān)系統(tǒng)軟件使用,因?yàn)橄到y(tǒng)本身問題致使該部分漏洞成為攻擊者違法犯罪的可乘之機(jī)。除了軟件本身與網(wǎng)絡(luò)本身問題,相關(guān)管理人員選擇也是很重要的一個(gè)環(huán)節(jié),信息化建設(shè)途中結(jié)合大型軟件的使用,對(duì)使用者在依照說明對(duì)軟件進(jìn)行使用的時(shí)候提出了更高的要求,對(duì)軟件升級(jí)也是提升信息安全不錯(cuò)的選擇。使用的時(shí)候,應(yīng)當(dāng)將密碼及用戶名保存視為重點(diǎn)關(guān)注事項(xiàng),不應(yīng)當(dāng)選擇設(shè)備本身默認(rèn)密碼及用戶名。
3信息安全保障對(duì)策
企業(yè)信息化建設(shè)中對(duì)于信息安全同企業(yè)發(fā)展兩者相輔相成、缺一不可,這種意識(shí)一定要樹立起來。我們不妨進(jìn)行一下聯(lián)想,假使企業(yè)重要信息被盜取亦或是出現(xiàn)外泄情況,那么后果將是不堪設(shè)想的。因此企業(yè)先要做的事情就是安全意識(shí)的培養(yǎng),只有意識(shí)和理念樹立起來,后續(xù)工作開展才可以更加便利。(1)對(duì)設(shè)備進(jìn)行定期檢查。計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備是計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)中極為重要的一部分,定期對(duì)設(shè)備安全性進(jìn)行檢查,是保障計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行的前提。設(shè)備安全得以維護(hù)了,網(wǎng)絡(luò)的傳輸介質(zhì)就得以維護(hù)了,經(jīng)常使用相應(yīng)軟件對(duì)端口進(jìn)行維護(hù)是計(jì)算機(jī)網(wǎng)絡(luò)安全的必要工作。(2)設(shè)置防火墻確保網(wǎng)絡(luò)的安全運(yùn)行。防火墻是保護(hù)網(wǎng)絡(luò)安全中一項(xiàng)形而有效的舉措。當(dāng)黑客入侵時(shí),防火墻就起到積極屏障與杜絕的作用。防火墻位于網(wǎng)絡(luò)連接處,它對(duì)網(wǎng)絡(luò)連接起到了控制作用,并對(duì)外部的非法用戶加以限制與阻攔,保護(hù)內(nèi)部資源不受侵害,對(duì)數(shù)據(jù)傳輸也起到干涉作用。防火墻相當(dāng)于一層網(wǎng)絡(luò)保護(hù)膜,它可以對(duì)盜竊與破壞活動(dòng)加以阻撓。防火墻具有非常強(qiáng)的防范作用,它可以積極阻攔外界的進(jìn)攻和滲透,我們也可以毫不夸張的說它是網(wǎng)絡(luò)的保鏢。(3)強(qiáng)化企業(yè)管理工作結(jié)合信息安全種類與等級(jí)想出針對(duì)性的解決策略,并且提前想出多種安全事故應(yīng)對(duì)構(gòu)想。但凡有信息安全的危機(jī)發(fā)生的時(shí)候,企業(yè)要快速組織應(yīng)急小組,結(jié)合危機(jī)管理預(yù)案及處理步驟,對(duì)危機(jī)進(jìn)行處理,切記不要慌張,要冷靜沉思,積極靈活應(yīng)對(duì),避免操作不當(dāng)而使事態(tài)變得更為嚴(yán)重?zé)o可挽回。除此以外,對(duì)于信息安全相關(guān)知識(shí)做相關(guān)教育和培訓(xùn)的工作,綜合提升工作人員危機(jī)處理能力也是極其有必要的。(4)提升企業(yè)員工綜合素質(zhì)及能力信息安全可以看成是一項(xiàng)整體的、系統(tǒng)化的工程,信息安全要靠信息化建設(shè)當(dāng)中,結(jié)合系統(tǒng)面對(duì)的整體威脅,攻擊,漏洞等采取相應(yīng)應(yīng)對(duì)措施。人是所有工作開展的先決條件,只有擁有一支能力強(qiáng)、素質(zhì)高的管理班子,才可以于日常管理當(dāng)中對(duì)各項(xiàng)工作操作的更為專業(yè)化,假使有問題產(chǎn)生的話,也可以第一時(shí)間想出專業(yè)應(yīng)對(duì)方法及策略,對(duì)于信息系統(tǒng)安全建設(shè)可以說是有著非常大的幫助的。
4結(jié)語
信息安全保障范文3
一、檔案信息安全存在的問題
1.環(huán)境方面存在的問題
(1)軟環(huán)境方面存在的問題。①缺乏檔案安全保障意識(shí)。檔案工作是關(guān)系國(guó)家和社會(huì)發(fā)展的一件大事,然而,長(zhǎng)期以來一些民眾對(duì)于這項(xiàng)工作卻存在偏見,很難認(rèn)識(shí)到這項(xiàng)工作的特殊性與重要性,不能得到社會(huì)公眾應(yīng)有的支持和肯定。②檔案事業(yè)發(fā)展緩慢。雖然各級(jí)政府對(duì)于檔案工作給予了一定的關(guān)心和支持,但力度不夠,收效不佳,檔案工作還沒有得到足夠的重視。③檔案安全保障資金不足。⑵硬環(huán)境方面存在的問題。①自然災(zāi)害因素的威脅。在檔案庫(kù)房選址時(shí)一定要充分考慮這些因素,規(guī)避可能帶來的風(fēng)險(xiǎn)。②檔案存儲(chǔ)環(huán)境和載體的問題。載體的性質(zhì)也會(huì)決定著檔案信息的壽命。傳統(tǒng)的檔案載體以紙質(zhì)方式為主,現(xiàn)在除了紙質(zhì)檔案以外,還有U盤、硬盤等電子檔案。
2.法規(guī)方面存在的問題
(1)檔案安全方面的法律法規(guī)還不完善。有關(guān)檔案方面的法律法規(guī)還比較少,而且不夠成熟,法律法規(guī)的滯后必然會(huì)給檔案日常管理帶來不必要的麻煩。因此,應(yīng)抓緊制定和落實(shí)檔案方面的法律法規(guī),并不斷進(jìn)行細(xì)化。⑵檔案針對(duì)性安全法規(guī)建設(shè)步伐緩慢。盡管我國(guó)已經(jīng)出臺(tái)了一些有關(guān)檔案安全方面的法規(guī),但這些安全法規(guī)并不能完全適應(yīng)檔案工作的實(shí)際需要,也沒有很好的貫徹執(zhí)行,目前,我國(guó)還沒有完全針對(duì)電子檔案方面的法律法規(guī)。因此,建立和完善檔案方面針對(duì)性的安全法規(guī)迫在眉睫。
3.技術(shù)方面存在的問題
⑴實(shí)體檔案安全技術(shù)方面的問題。實(shí)體檔案一般具有原始唯一性,在保存過程中需要格外小心,一旦遭到破壞便很難修復(fù),給檔案信息造成一定的損失。怎樣運(yùn)用高新技術(shù)對(duì)檔案進(jìn)行修復(fù),使檔案得以更好的保存是廣大檔案工作者亟待研究和解決的問題。⑵電子檔案安全技術(shù)方面的問題。電子檔案在運(yùn)用過程中常常會(huì)出現(xiàn)的系統(tǒng)安全以及網(wǎng)絡(luò)安全等問題,需要引起高度重視,并采取有效措施加以解決,以保障電子檔案的信息安全。
4.管理方面存在的問題
隨著檔案整理、保存和利用等方面的變化,檔案管理的理念、思路與方法也應(yīng)隨之改變。現(xiàn)代檔案管理不僅要求對(duì)實(shí)體檔案進(jìn)行管理,還要對(duì)電子檔案進(jìn)行規(guī)范。當(dāng)前我國(guó)的檔案管理方式還相對(duì)單一,管理方法還相對(duì)滯后,管理制度還很不健全,甚至還在沿用傳統(tǒng)的老辦法進(jìn)行現(xiàn)代檔案管理,這樣勢(shì)必會(huì)影響檔案管理的效率和效果,也會(huì)影響檔案信息的安全和穩(wěn)定。
二、檔案信息安全保障的有效措施
1.軟件和硬件方面的建設(shè)
⑴檔案信息安全的思想基礎(chǔ)。要對(duì)檔案信息安全的方式、內(nèi)容和主體有清醒的認(rèn)識(shí)和理解,要逐步培養(yǎng)和建立系統(tǒng)化和科學(xué)化的檔案保護(hù)理念,并貫穿于日常檔案管理工作的始終。安全意識(shí)的養(yǎng)成不是一朝一夕的,需要檔案工作者、信息利用者和社會(huì)三者的互動(dòng)和作用,檔案工作者是主導(dǎo),信息利用者是動(dòng)力,社會(huì)是前提。各級(jí)檔案參與者要從思想上重視起來,從行動(dòng)上表現(xiàn)出來,自覺學(xué)習(xí)和踐行檔案安全教育,培養(yǎng)信息安全的意識(shí),加強(qiáng)信息安全的道德建設(shè)。⑵檔案信息安全的資金支持。檔案部門是國(guó)家非營(yíng)利性事業(yè)機(jī)構(gòu),檔案環(huán)境建設(shè)、設(shè)備更換和軟件維護(hù)等方面所需費(fèi)用都完全依靠國(guó)家和政府的劃撥。這些費(fèi)用往往很難滿足檔案工作的實(shí)際需要,還存在一定的資金缺口,這就需要各級(jí)檔案部門開動(dòng)腦筋,發(fā)揮所長(zhǎng),多種途徑籌措資金,以推動(dòng)檔案工作向前發(fā)展。⑶檔案保存環(huán)境方面的建設(shè)。檔案可以分為實(shí)體檔案和電子檔案,不同類型的檔案應(yīng)該采用相應(yīng)的措施。①紙質(zhì)類檔案。紙的質(zhì)量好壞直接影響著檔案信息安全的周期,紙張的耐久性如何跟化學(xué)成分的特性、原料的品質(zhì)以及紙張的生產(chǎn)工藝等因素有關(guān)。檔案的文字安全是紙質(zhì)檔案信息安全的關(guān)鍵,字跡耐久性一般受字跡的色素和組合比例的影響。②磁帶、膠片類檔案。磁帶和光盤等數(shù)字影像檔案應(yīng)遠(yuǎn)離磁場(chǎng),避免因消磁而造成損失。膠片裝具材料一般可分為金屬材料、紙質(zhì)和塑料三種,金屬的膠片裝具較為安全,使用壽命也較長(zhǎng)。③光盤類檔案。光盤檔案的保存保管也需要特別注意。光盤的壽命受內(nèi)外兩方面環(huán)境的制約,內(nèi)部因素主要指的光盤的成分和類型,外部因素主要指的是光盤的功率和讀寫方式等。
2.政策法規(guī)方面的建設(shè)
⑴法律法規(guī)體系的建設(shè)。目前我國(guó)關(guān)于檔案信息安全保障的法律法規(guī)比較少,還屬于起步階段,加強(qiáng)這方面法律法規(guī)的建設(shè)刻不容緩,國(guó)家應(yīng)該給予關(guān)注。⑵針對(duì)性法律法規(guī)的建設(shè)。關(guān)于針對(duì)性法律法規(guī)的建設(shè)應(yīng)該從以下幾個(gè)方面入手:①修改和完善檔案法。《檔案法》對(duì)于檔案信息安全的執(zhí)法檢查項(xiàng)目要做明確規(guī)定,并定期對(duì)有關(guān)項(xiàng)目進(jìn)行檢查督導(dǎo),同時(shí)要大力宣傳和引導(dǎo),樹立檔案工作人員的法律責(zé)任意識(shí)和安全意識(shí)。②建立和完善電子檔案安全法規(guī)。我國(guó)在電子檔案方面的法律法規(guī)很少,而且很不健全,因而對(duì)電子檔案缺乏有效管理,出現(xiàn)一些安全問題。一方面要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全和指導(dǎo),對(duì)網(wǎng)絡(luò)環(huán)境下電子檔案信息安全進(jìn)行特殊保護(hù)。另一方面加強(qiáng)保護(hù)電子檔案信息內(nèi)容的立法,保證信息資源的完整性、真實(shí)性和有效性。
3.安全技術(shù)保障方面的建設(shè)
⑴實(shí)體檔案信息安全保障方面的技術(shù)。①實(shí)體檔案保存技術(shù)。主要涉及建筑的保護(hù)、驅(qū)蟲的保護(hù)、裝幀的保護(hù)和分類的保護(hù)等。在實(shí)際工作中,要依據(jù)檔案類型的差別,采取恰當(dāng)?shù)谋4娣椒ǎ岣邫n案保存的技術(shù)。要對(duì)紙質(zhì)檔案、磁盤、光盤和膠片等實(shí)體檔案進(jìn)行分類保管,這樣有利于保管環(huán)境的建設(shè)和維護(hù),有利于檔案的信息安全,也有利于檔案的開放共享。②實(shí)體檔案修復(fù)技術(shù)。檔案在保存保管中由于各種內(nèi)外因素的影響難免會(huì)出現(xiàn)字跡不清、磨損變形、紙張老化、磁盤損壞以及膠片褪色等現(xiàn)象。紙質(zhì)檔案的修復(fù)技術(shù)主要有去酸的技術(shù)、去污的技術(shù)和檔案載體轉(zhuǎn)換的技術(shù)等。電子檔案的修復(fù)技術(shù)主要是照片檔案修復(fù)技術(shù),而光盤、磁盤以及磁帶等的修復(fù)相對(duì)困難,一旦損壞便很難修復(fù),最好做適當(dāng)備份。實(shí)體檔案的保管,有條件的檔案機(jī)構(gòu)建議實(shí)行三套管理,一套進(jìn)行封存保管,不對(duì)外使用;一套進(jìn)行異地備份,完全封存;一套可以開放共享,發(fā)揮其信息價(jià)值,確保檔案的萬無一失。⑵電子檔案信息安全保障技術(shù)。與電子檔案信息安全保障技術(shù)有關(guān)的內(nèi)容主要包括:數(shù)據(jù)安全技術(shù)、系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、用戶安全技術(shù)、防寫技術(shù)等。隨著信息技術(shù)的快速發(fā)展,以云計(jì)算為特征的新型網(wǎng)絡(luò)開始出現(xiàn),具有隨需隨取和按需收費(fèi)的特點(diǎn),將會(huì)成為信息產(chǎn)業(yè)的第三次革命。
4.檔案信息安全管理方面的建設(shè)
⑴檔案信息安全組織體系。國(guó)家檔案局應(yīng)該在中央設(shè)立檔案信息安全管理部門,對(duì)全國(guó)有關(guān)這方面的工作進(jìn)行統(tǒng)一監(jiān)督和管理,各地方檔案部門應(yīng)該成立相應(yīng)的科室,對(duì)該方面的法規(guī)政策進(jìn)行大力宣傳和落實(shí)。⑵檔案信息安全管理制度。①建立健全檔案信息安全管理制度體系。國(guó)家檔案局應(yīng)該組織相關(guān)專家,制定我國(guó)現(xiàn)階段這方面工作的總體方針和發(fā)展目標(biāo),對(duì)全國(guó)的檔案信息安全保障工作進(jìn)行宏觀指導(dǎo)和管理。同時(shí),各地方檔案部門應(yīng)該在國(guó)家法規(guī)和政策的指導(dǎo)下制定符合本地實(shí)際的地方制度和辦法。②加強(qiáng)檔案信息安全保密制度建設(shè)。各級(jí)檔案部門要加強(qiáng)檔案信息安全保密的教育,培養(yǎng)員工的保密意識(shí),提高自身的職業(yè)道德,貫徹落實(shí)檔案工作的各項(xiàng)規(guī)定。③建立電子檔案信息安全管理體系。在體系建設(shè)中,逐步建立嚴(yán)格的檔案保管制度,完善和發(fā)展電子檔案的形成制度,規(guī)范數(shù)字檔案的開放共享制度。⑶檔案信息安全執(zhí)行力度。檔案信息安全保障,制度的建立是基礎(chǔ),制度的落實(shí)才是核心。制定的制度如果不嚴(yán)格貫徹執(zhí)行就如同虛設(shè),就發(fā)揮不了應(yīng)有的作用。因此,可以成立專門的檔案安全工作領(lǐng)導(dǎo)小組,并實(shí)行領(lǐng)導(dǎo)負(fù)責(zé)制,發(fā)揮領(lǐng)導(dǎo)的模范帶頭作用,定期對(duì)檔案信息安全進(jìn)行大檢查,一旦發(fā)現(xiàn)問題,立刻進(jìn)行解決,避免拖泥帶水。
信息安全保障范文4
【 關(guān)鍵詞 】 信息安全;信息安全保障體系;國(guó)家大劇院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
隨著信息技術(shù)的飛速發(fā)展,人類正以前所未有的速度進(jìn)入以網(wǎng)絡(luò)為主的信息時(shí)代,網(wǎng)絡(luò)的快速發(fā)展不僅促進(jìn)了人們的通信和交流,同時(shí)也帶來了商業(yè)和經(jīng)濟(jì)模式的巨大變革。
國(guó)家大劇院是國(guó)家新建的重要文化設(shè)施,也是一處別具特色的景觀勝地。作為北京市國(guó)家級(jí)標(biāo)志性文化設(shè)施,國(guó)家大劇院的建設(shè)與運(yùn)行體現(xiàn)了正在迅速崛起和復(fù)興的中國(guó)在精神文化領(lǐng)域的追求,因此,依托信息化手段宣傳和服務(wù)于廣大文化藝術(shù)愛好者是國(guó)家大劇院電子商務(wù)網(wǎng)站建設(shè)的宗旨,使之成為“國(guó)家表演藝術(shù)最高殿堂、藝術(shù)普及教育的引領(lǐng)者、中外藝術(shù)交流最大平臺(tái)、文化創(chuàng)意產(chǎn)業(yè)重要基地”。
國(guó)家大劇院網(wǎng)絡(luò)及信息系統(tǒng)從2007開始逐步建設(shè),建設(shè)初期主要滿足國(guó)家大劇院演出宣傳、文藝教育、演出票務(wù)、公眾服務(wù)、內(nèi)部辦公和訪問互聯(lián)網(wǎng)的需求,官方網(wǎng)站電子商務(wù)平臺(tái)承擔(dān)著對(duì)外宣傳及網(wǎng)上售票業(yè)務(wù)。隨著國(guó)家大劇院近幾年影響力和地位的不斷提升以及業(yè)務(wù)的發(fā)展壯大,對(duì)信息化建設(shè)提出了更高要求,同時(shí)對(duì)信息安全的需求也越來越迫切,結(jié)合國(guó)家等級(jí)保護(hù)制度來進(jìn)行安全保障建設(shè)成為國(guó)家大劇院信息化建設(shè)的有益補(bǔ)充。
2 現(xiàn)狀及問題
目前國(guó)家大劇院局域網(wǎng)骨干帶寬為千兆,雙核心。已部署的安全設(shè)施,如在整個(gè)局域網(wǎng)的出口均部署了防火墻,內(nèi)網(wǎng)服務(wù)器域邊界部署了防火墻;在門戶網(wǎng)站出口部署了流量控制和入侵防御設(shè)備;內(nèi)部終端還廣泛部署了防病毒軟件,以防范計(jì)算機(jī)病毒在局域網(wǎng)內(nèi)傳播和破壞。國(guó)家大劇院正在運(yùn)行的業(yè)務(wù)系統(tǒng)主要包括網(wǎng)站系統(tǒng)、票務(wù)系統(tǒng)、藝術(shù)資料管理系統(tǒng)、OA系統(tǒng)、財(cái)務(wù)系統(tǒng)及郵件系統(tǒng)等。
根據(jù)對(duì)國(guó)家大劇院信息化及信息安全現(xiàn)狀的分析,結(jié)合國(guó)內(nèi)外信息安全發(fā)展態(tài)勢(shì),發(fā)現(xiàn)國(guó)家大劇院面臨著一些信息安全問題及風(fēng)險(xiǎn)。
假冒網(wǎng)站、網(wǎng)站掛馬等安全風(fēng)險(xiǎn)。據(jù)權(quán)威統(tǒng)計(jì),2011年下半年,檢測(cè)新增掛馬網(wǎng)站獨(dú)立網(wǎng)址246萬,平均每日100萬人次訪問此類掛馬鏈接,新增釣魚盜號(hào)欺詐類網(wǎng)站獨(dú)立網(wǎng)址492萬,共攔截10億余次釣魚盜號(hào)欺詐類網(wǎng)址,平均每日600萬人次訪問此類欺詐類鏈接。假冒網(wǎng)站獨(dú)占鰲頭的是電商網(wǎng)購(gòu)類,而且仿冒范圍不斷擴(kuò)散,通過國(guó)家大劇院運(yùn)維人員統(tǒng)計(jì)觀察,越來越多的黑客、病毒、不法機(jī)構(gòu)和人員對(duì)國(guó)家大劇院電子商務(wù)網(wǎng)站系統(tǒng)的正常運(yùn)行產(chǎn)生威脅,網(wǎng)站業(yè)務(wù)系統(tǒng)隨時(shí)都可能遭受惡意攻擊。
系統(tǒng)入侵或網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。由于系統(tǒng)保護(hù)措施不到位,可能導(dǎo)致國(guó)家大劇院票務(wù)等對(duì)外網(wǎng)站系統(tǒng)的域名劫持、DDoS攻擊等安全風(fēng)險(xiǎn)。同時(shí),也可能由于軟件漏洞或者安全意識(shí)單薄等造成內(nèi)部郵件等信息泄露。
非授權(quán)訪問風(fēng)險(xiǎn)。由于國(guó)家大劇院內(nèi)部辦公等信息系統(tǒng)邊界缺乏訪問控制設(shè)施,并且在網(wǎng)絡(luò)可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,未授權(quán)者可通過網(wǎng)絡(luò)非法訪問網(wǎng)站及系統(tǒng)服務(wù)器,并進(jìn)行非法讀取、篡改和破壞數(shù)據(jù)等不良行為,構(gòu)成對(duì)內(nèi)部數(shù)據(jù)及信息系統(tǒng)的重大隱患。
數(shù)據(jù)安全風(fēng)險(xiǎn)。媒資庫(kù)建設(shè)完成后將承載大量的媒體資料,這些有藝術(shù)價(jià)值的音像資料是國(guó)家大劇院的寶貴資產(chǎn),一旦由于自然災(zāi)害、人員非法入侵、內(nèi)部人員誤操作等造成數(shù)據(jù)丟失損壞,將對(duì)國(guó)家大劇院造成重大損失。
媒體資源庫(kù)音像資料版權(quán)風(fēng)險(xiǎn)。目前,劇院已經(jīng)為視頻在線傳播及直播提供服務(wù)平臺(tái),然而提供的音視頻服務(wù)面臨版權(quán)盜用、盜鏈和惡意下載等問題,容易對(duì)劇院和公眾利益帶來損害。
內(nèi)控管理風(fēng)險(xiǎn)。據(jù)權(quán)威調(diào)查報(bào)告顯示,內(nèi)部員工的粗心大意是企業(yè)信息安全的最大威脅,由此造成的安全事故高達(dá)78%。目前,由于國(guó)家大劇院內(nèi)部員工的安全意識(shí)還相對(duì)淡薄,存在進(jìn)入業(yè)務(wù)系統(tǒng)的登錄口令設(shè)置過于簡(jiǎn)單,私自訪問不安全網(wǎng)站,私自接入不安全設(shè)備等問題,這些都給大劇院信息系統(tǒng)造成了極大的安全隱患和威脅。
3 信息安全保障體系探索
3.1 總體目標(biāo)
通過對(duì)國(guó)家大劇院信息安全現(xiàn)狀、問題以及信息安全建設(shè)需求的分析,可知國(guó)家大劇院信息安全保障體系建設(shè)的總體目標(biāo)是按照國(guó)家信息安全等級(jí)保護(hù)相關(guān)要求,從風(fēng)險(xiǎn)控制、技術(shù)設(shè)施、管理體制及運(yùn)維服務(wù)等方面入手,基于成熟的安全技術(shù),借鑒先進(jìn)可行的管理理念,加強(qiáng)外御威脅防護(hù)、構(gòu)建內(nèi)控管理機(jī)制、強(qiáng)化數(shù)據(jù)保護(hù)措施,建立和完善信息安全管理體制,加強(qiáng)安全服務(wù)保障,設(shè)計(jì)適合國(guó)家大劇院信息化發(fā)展的安全保障體系,從而確保業(yè)務(wù)流程可控、業(yè)務(wù)狀態(tài)可視,保障業(yè)務(wù)整體安全。
3.2 設(shè)計(jì)思路
針對(duì)國(guó)家大劇院安全保障目標(biāo),在信息安全保障體系設(shè)計(jì)上基于幾種設(shè)計(jì)思路。
3.2.1構(gòu)建網(wǎng)站可信機(jī)制
通過第三方網(wǎng)站身份誠(chéng)信認(rèn)證來確保網(wǎng)站真實(shí)性,可幫助網(wǎng)民判斷網(wǎng)站的真實(shí)性。同時(shí),基于可信證書類產(chǎn)品,確保系統(tǒng)管理用戶身份的真實(shí)性。其次,借助社會(huì)力量來實(shí)現(xiàn)假冒網(wǎng)站的定位、侵權(quán)取證等服務(wù),從而有效打擊防范欺詐類網(wǎng)站并且協(xié)助維權(quán)。
3.2.2建設(shè)安全可靠的辦公網(wǎng)絡(luò)平臺(tái)
積極推進(jìn)信息安全等級(jí)保護(hù)建設(shè),通過制定安全策略、部署安全設(shè)備,完善安全保密管理制度,加強(qiáng)安全運(yùn)維支撐建設(shè),從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、流程安全、人員安全等多方面保障系統(tǒng)的安全穩(wěn)定運(yùn)行。
3.2.3建立網(wǎng)絡(luò)信任服務(wù)
通過為網(wǎng)絡(luò)管理員、網(wǎng)站維護(hù)人員頒發(fā)數(shù)字證書,部署網(wǎng)絡(luò)可信接入及遠(yuǎn)程安全接入設(shè)施來構(gòu)建劇院內(nèi)部的網(wǎng)絡(luò)信任服務(wù)體系,保證信息系統(tǒng)及媒資庫(kù)資源的可靠訪問,確保我院信息資源安全。
3.3 體系框架
在國(guó)家大劇院信息系統(tǒng)安全保障體系設(shè)計(jì)以及實(shí)現(xiàn)中,將在國(guó)家相關(guān)的安全政策、法規(guī)、標(biāo)準(zhǔn)、要求的指導(dǎo)下,制定可具體操作的安全策略,構(gòu)建國(guó)家大劇院網(wǎng)站系統(tǒng)安全技術(shù)系統(tǒng)、安全管理體系以及安全運(yùn)行體系,形成集防護(hù)、檢測(cè)、評(píng)估、響應(yīng)、恢復(fù)于一體的整體安全保障體系,從而實(shí)現(xiàn)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全,以滿足國(guó)家大劇院網(wǎng)站系統(tǒng)全方位的安全保護(hù)需求。國(guó)家大劇院信息系統(tǒng)整體安全保障體系模型如圖1所示。
國(guó)家大劇院信息系統(tǒng)整體安全保障體系模型主要由三個(gè)方面組成。
3.3.1安全技術(shù)體系
參考國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》按照威脅分析,將信息資產(chǎn)劃分為若干保護(hù)對(duì)象,并按照“一個(gè)中心”管理下的“三重保護(hù)”的設(shè)計(jì)框架,構(gòu)建國(guó)家大劇院信息安全技術(shù)體系保障機(jī)制和策略,為國(guó)家大劇院信息系統(tǒng)的運(yùn)行提供安全保護(hù)環(huán)境。該環(huán)境共包括四部分:安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心。
3.3.2安全管理體系
以國(guó)家大劇院現(xiàn)有業(yè)務(wù)系統(tǒng)所服務(wù)對(duì)象為基礎(chǔ),建立完善的安全管理體系,建立信息安全管理機(jī)構(gòu)、制定信息安全管理制度、設(shè)置信息安全管理崗位。
3.3.3安全運(yùn)維服務(wù)體系
針對(duì)業(yè)務(wù)安全運(yùn)行的需要,以日常巡檢、咨詢、評(píng)估等建立有效的運(yùn)維服務(wù)機(jī)制,加強(qiáng)對(duì)資產(chǎn)管理的分析、隱患發(fā)現(xiàn)、策略審核考評(píng)等,不斷發(fā)現(xiàn)平臺(tái)在運(yùn)行中的安全隱患,降低系統(tǒng)脆弱性和面臨潛在的威脅帶來的影響及損失,以及時(shí)對(duì)安全策略實(shí)現(xiàn)完善和防護(hù)措施的改進(jìn)提升。
3.4 信息安全體系建設(shè)實(shí)踐
國(guó)家大劇院信息安全保障工作經(jīng)過長(zhǎng)期的努力,已經(jīng)初見成效。在安全體系的建設(shè)實(shí)踐中,總結(jié)出幾點(diǎn)實(shí)踐經(jīng)驗(yàn)。
3.4.1制定標(biāo)準(zhǔn)規(guī)范,奠定保障基礎(chǔ)
信息安全保障建設(shè)的一項(xiàng)重要工作之一是參照國(guó)家等級(jí)保護(hù)的技術(shù)要求完成相應(yīng)的合規(guī)性檢查。因此,國(guó)家大劇院應(yīng)據(jù)此建立適合國(guó)家大劇院的信息安全管理基線,堅(jiān)持常態(tài)化管理和動(dòng)態(tài)控制,達(dá)到并保持國(guó)家相關(guān)安全主管部門的安全審計(jì)要求。
3.4.2重視管理,制度先行
信息安全是一個(gè)動(dòng)態(tài)發(fā)展的過程,每年隨著業(yè)務(wù)發(fā)展變化而變化,同時(shí)隨著信息安全技術(shù)的不斷演變,都會(huì)出現(xiàn)新的安全防護(hù)技術(shù)的使用。經(jīng)過多年實(shí)踐證明,每個(gè)系統(tǒng)或者防護(hù)設(shè)備上線前,都必須在遵守總體防護(hù)規(guī)范的前提下,編制好具有針對(duì)性的管理要求,才有有效降低安全風(fēng)險(xiǎn)引入的可能。
3.4.3定期組織代碼審計(jì)和滲透測(cè)試等系統(tǒng)檢測(cè)
代碼安全審計(jì)是通過人工分析和工具掃描的方式檢驗(yàn)應(yīng)用程序的源代碼,利用大量的代碼安全規(guī)則,來分析源代碼中的違反規(guī)則部分,進(jìn)而確定可能存在的安全漏洞和隱患。應(yīng)用系統(tǒng)生命周期安全的從SDL實(shí)踐上看,安全做的越早效果越好(但開發(fā)模式改動(dòng)的成本也相對(duì)比較大),代碼審計(jì)作為保證代碼安全的最低低線,其作用是不可取代的。
另外,除了從代碼開發(fā)過程中保證開發(fā)出安全的應(yīng)用系統(tǒng)以外,針對(duì)已開發(fā)的系統(tǒng),國(guó)家大劇院還組織第三方測(cè)試機(jī)構(gòu),從攻擊者視角檢測(cè)信息系統(tǒng)安全防護(hù)能力是否達(dá)到,是否存在成功攻入系統(tǒng)的途徑。
4 信息安全建設(shè)意義
通過構(gòu)建信息安全保障平臺(tái),保障我劇院信息系統(tǒng)可安全合規(guī)運(yùn)行。基于國(guó)家信息安全等級(jí)保護(hù)制度要求,建設(shè)國(guó)家大劇院信息系統(tǒng)整體安全保障體系模型信息安全保障基礎(chǔ)設(shè)施,制定安全策略,為國(guó)家大劇院系統(tǒng)提供安全可靠的運(yùn)行環(huán)境。
提高國(guó)家大劇院電子票務(wù)等信息系統(tǒng)的安全運(yùn)行平穩(wěn)度。通過在信息安全技術(shù)、信息安全保密管理等多維度的體系保障建設(shè),保障網(wǎng)站真實(shí)性、打擊假冒網(wǎng)站,大大提高國(guó)家大劇院信息系統(tǒng)安全穩(wěn)定運(yùn)行的平穩(wěn)度。
提高用戶的安全便捷以及系統(tǒng)安全管理能力。通過構(gòu)建可信的電子票務(wù)運(yùn)營(yíng)環(huán)境,為用戶提供身份認(rèn)證及網(wǎng)絡(luò)信任機(jī)制,加強(qiáng)用戶的身份、資金安全保障,并且提高系統(tǒng)安全管理能力。
提升安全隱患發(fā)現(xiàn)能力。安全隱患的發(fā)現(xiàn)能力是信息安全管理中的關(guān)鍵能力,關(guān)系到能否將風(fēng)險(xiǎn)消除在事件發(fā)生之前。通過建立入侵監(jiān)測(cè)系統(tǒng)、防病毒系統(tǒng)以及定期的安全脆弱性檢測(cè)等,大大提升我劇院信息系統(tǒng)的安全隱患發(fā)現(xiàn)能力。
5 結(jié)束語
建設(shè)和完善信息安全保障體系是為了保證國(guó)家大劇院的業(yè)務(wù)在今后發(fā)展過程中對(duì)信息安全建設(shè)的要求。
信息安全保障體系建設(shè)涵蓋安全管理體系、安全技術(shù)體系、安全運(yùn)維體系的復(fù)雜系統(tǒng)工程,是一項(xiàng)長(zhǎng)期性的專業(yè)的細(xì)致的認(rèn)為,需要以信息安全技術(shù)為基礎(chǔ),持續(xù)投入大量的人力和物力。為使國(guó)家大劇院建設(shè)成為國(guó)際化、現(xiàn)代化的大劇院提供有力的信息安全保障。
參考文獻(xiàn)
[1] 關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(國(guó)發(fā)[2012]23號(hào)).
[2] 信息安全管理實(shí)用規(guī)則(GB/T 22081-2008).
[3] 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求(GBT25070-2010).
[4] 信息系統(tǒng)安全等級(jí)保護(hù)體系框架(GA/T 708-2007).
[5] 國(guó)家大劇院電子商務(wù)網(wǎng)站系統(tǒng)安全保障方案.內(nèi)部資料,2010.
[6] 國(guó)家大劇院安全服務(wù)保障方案.內(nèi)部資料,2011.
信息安全保障范文5
[關(guān)鍵詞]檔案信息;安全;保密;管理
近兩年來,有關(guān)部門發(fā)現(xiàn)并查處了一些檔案信息泄密事件,發(fā)現(xiàn)了影響檔案信息安全的重大隱患,這些問題的存在我們提出了檔案信息安全管理的重要課題。尤其是在網(wǎng)絡(luò)盛行,黑客入侵,木馬植入的時(shí)代,我們更應(yīng)提高警惕和高度重視。下面就如果做檔案信息安全保障工作進(jìn)行淺析。
一、提高檔案的保密意識(shí)。
近年來,有些部門對(duì)政府公開信息審核把關(guān)不嚴(yán),把一些的文件上網(wǎng)公布,以致把檔案在網(wǎng)上開放,嚴(yán)重危害了我們國(guó)家的信息安全。因此檔案部門要站在國(guó)家安全的高度,增強(qiáng)檔案保密工作的責(zé)任感和使命感,不斷強(qiáng)化檔案保密工作。要認(rèn)真學(xué)習(xí)《檔案法》、《保密法》等相關(guān)知識(shí),自覺履行保守國(guó)家秘密的義務(wù)。對(duì)于上網(wǎng)開放的檔案一定要做到凡是和內(nèi)容敏感的檔案都不要公開或開放,更不要上互聯(lián)網(wǎng),做到的不上網(wǎng),上網(wǎng)的不。對(duì)紙質(zhì)檔案、磁性介質(zhì)的借閱、保管、銷毀等要嚴(yán)格遵守保密制度,不要有任何僥幸與松懈心理。同時(shí)要經(jīng)常開展檔案安全教育工作,把檔案安全的重要性提到檔案工作的重要位置,尤其要把檔案泄密的危害和后果闡明講透,使檔案安全意識(shí)深入人心。
二、完善保密檔案的借閱制度
檔案借閱是檔案管理工作的主要形式之一。為充分發(fā)揮檔案的作用,既方便檔案利用,又確保檔案的安全完整,要制定完善的檔案借閱制度、外借制度。各項(xiàng)借閱規(guī)章制度的條文要簡(jiǎn)單而嚴(yán)謹(jǐn),便于執(zhí)行,確保保密檔案的安全。保密檔案的借閱、移出、銷毀等要嚴(yán)格按規(guī)定的手續(xù)辦理,要填寫借閱、移出、銷毀單,由直接領(lǐng)導(dǎo)簽字。借閱檔案要填寫登記表及借閱卡,手續(xù)齊備方可借閱。借閱人要嚴(yán)格遵守保密制度,禁止轉(zhuǎn)借泄密。保密檔案使用完畢,歸還時(shí)要認(rèn)真核對(duì)、檢查,對(duì)私自撕拆、涂改、缺頁少項(xiàng)的檔案要追究借閱人責(zé)任,并復(fù)原檔案。借閱的檔案如果丟失,失密、泄密等問題,要及時(shí)查明原因,向主管領(lǐng)導(dǎo)報(bào)告,進(jìn)行補(bǔ)救。保密檔案的借閱時(shí)間不得超過一年,因項(xiàng)目周期長(zhǎng)而不能及時(shí)歸還的,要及時(shí)辦理續(xù)借手續(xù)。要推行對(duì)已有復(fù)印件的檔案原件進(jìn)行封存的做法,無特殊情況的,不再提供檔案原件,對(duì)借閱檔案的要以復(fù)印件的形式提供使用,以延長(zhǎng)檔案壽命。
三、加強(qiáng)電子檔案安全維護(hù)
電子文件歸檔不同于紙質(zhì)文件的歸檔,它的歸檔屬于數(shù)字化信息形式歸檔,是按照有關(guān)電子檔案的歸檔要求將整理好的電子文件以數(shù)字化形式轉(zhuǎn)存在磁性材料或光盤等載體上保存。因此,必須采取技術(shù)保障措施,使其所形成的電子檔案和紙質(zhì)檔案一樣,保證其信息安全可靠,具有依據(jù)、查考和憑證的作用。一是設(shè)置訪問控制,從而保證電子文件信息在內(nèi)的網(wǎng)絡(luò)資源不被非法訪問和非法利用;二是提供信息加密措施。在多數(shù)情況下,信息加密是保證電子文件機(jī)密性的唯一方法;由于加密和解密使用不同的密鑰,因此第三者很難從中解出原文內(nèi)容,無法篡改其內(nèi)容,從而保護(hù)電子文件在傳輸過程中的原始性和真實(shí)性;三是建立網(wǎng)絡(luò)防火墻。防火墻可進(jìn)行網(wǎng)絡(luò)通信掃描,過濾一些攻擊,以阻止其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口,還能禁止特定端口的流出通信,禁止來自特殊站點(diǎn)的訪問,從而阻止來自不明入侵者的所有通信;四是簽名技術(shù)。通過簽名技術(shù)可以確保電子文件的真實(shí)性以及進(jìn)行身份信息驗(yàn)證,以此確認(rèn)其內(nèi)容是否被篡改或是否為偽造;五是設(shè)置防寫措施。如將電子文件設(shè)置為“只讀”狀態(tài),這樣用戶只能讀取信息,而不能對(duì)此信息做任何修改,從而有效地防止用戶更改電子文件,確保電子文件的安全性、真實(shí)性;六是信息備份與恢復(fù)。由于網(wǎng)絡(luò)的不安全性,給電子文件信息的安全帶來嚴(yán)重威脅。盡管我們可采取一些方法和技術(shù)提高網(wǎng)絡(luò)的安全性,但網(wǎng)絡(luò)上風(fēng)險(xiǎn)無處不在,難免會(huì)發(fā)生信息丟失和失真的現(xiàn)象。因此建立信息備份與恢復(fù)系統(tǒng)是保護(hù)電子檔案的必要手段,一旦信息丟失或失真,可及時(shí)地進(jìn)行電子文件數(shù)據(jù)的恢復(fù)。
四、加強(qiáng)檔案室安全管理
信息安全保障范文6
1.等級(jí)保護(hù)
1)主要內(nèi)容
等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性管理制度,其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。
2)優(yōu)點(diǎn)
等級(jí)保護(hù)適用于宏觀層面,是一種大范圍“基線安全”,適用于行業(yè)主管部門對(duì)信息安全的總體把握與監(jiān)控。
3)缺點(diǎn)
具體到某個(gè)組織的信息安全保護(hù)而言,等級(jí)保護(hù)的粒度劃分較粗,在滿足組織對(duì)信息安全的精細(xì)控制要求方面還存在不足。因此,在滿足監(jiān)管部門的等級(jí)保護(hù)要求之后,組織還可進(jìn)一步把等級(jí)細(xì)化到各種層次的安全域,直至對(duì)一個(gè)個(gè)的信息資產(chǎn)進(jìn)行有效管理。
2.信息安全管理體系(ISMS)
1)主要內(nèi)容
類似于質(zhì)量之于ISO9000,ISMS是組織為提高信息安全管理水平,按照ISO27001的要求,在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果,表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。
2)優(yōu)點(diǎn)
ISMS涉及了信息安全的11個(gè)領(lǐng)域,133個(gè)控制措施,基本涵蓋了信息安全的方方面面,適用于各種類型的組織用來建立一個(gè)總體的安全控制框架;ISMS更注重于把“安全管理”當(dāng)作一種制度來建設(shè),通過建立統(tǒng)一的方針、策略,以及規(guī)范化安全規(guī)則,使ISMS實(shí)施主體能有效地識(shí)別風(fēng)險(xiǎn),持續(xù)不斷地采取管控措施,以把風(fēng)險(xiǎn)降低到組織可接受的程度。
3)缺點(diǎn)
它只是描述了建立ISMS的思想、框架,但對(duì)如何建立ISMS并沒有一個(gè)詳細(xì)明確的定義,也沒有描述ISMS的最終形態(tài);沒有確定建立信息安全體系的具體方法與技術(shù)。因此,ISMS對(duì)實(shí)施者來說留下來很大的可操作空間,不同的組織和不同實(shí)施著對(duì)ISMS標(biāo)準(zhǔn)的把握可能差別很大,ISMS總體水平也會(huì)有高下之分。
3.風(fēng)險(xiǎn)評(píng)估
1)主要內(nèi)容
風(fēng)險(xiǎn)評(píng)估是獲知組織當(dāng)前風(fēng)險(xiǎn)水平的一種手段,在金融、電子商務(wù)等許多領(lǐng)域都是有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT安全領(lǐng)域時(shí),就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。
2)優(yōu)點(diǎn)
風(fēng)險(xiǎn)評(píng)估從早起簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作,逐漸過渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。
國(guó)內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快,具體的評(píng)估方法也在不斷改進(jìn)。原國(guó)信辦2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)測(cè),對(duì)規(guī)范我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。
3)缺點(diǎn)
《信息安全風(fēng)險(xiǎn)評(píng)估指南》所確定的風(fēng)險(xiǎn)評(píng)估方法還只是一個(gè)通用的方法論,具體到一個(gè)特定的單位,要對(duì)其中的風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確地識(shí)別與量化仍熱是一件困難的事情,在很大程度上要取決于評(píng)估者的經(jīng)驗(yàn)。
