时间:2023-10-10 10:43:14
导语:在网络安全运营体系建设的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
电力体系通信网络为电力体系运营与管制做出了突出贡献,但是网络安全问题也是电力体系通信业务不可忽视的问题。
【关键词】电力体系 通信网络 安全 防护
1 电力体系信息通信网络设备概述
电力体系信息通信网络使用的硬件设备主要涉及网络设备、通信设备、主机及服务器和存储设备。当前,在我国的国情下,我们的核心技术和知识产权都有一定的局限性,目前新购置的网络设备基本都是国产的,只能说目前仍有部分在用网络设备是国外进口的设备,可以从几方面来说:
(1)目前仍然在用的国外进口设备存在安全方面的隐患;
(2)国产的设备在因受技术条件的影响,安全性还有待提高。
(3)因为目前电力行业正在从进口设备转向国产设备,但不可能一次性全部将设备进行更换,因此必然会出现同时使用不同品牌设备的情况,会存在一定的兼容性差异,影响网络安全。
电力信息通信是电力体系的重要构成部分,由多个部分构成而形成的电力体系。电力体系信息通信网络是一个覆盖面积广泛的网络,它的不同管控和通信都是以大量的软硬件做支撑。电力作为关系人民生产、生活的基础产业,电力信息化建设是电力公司安全生产及生产力水平的主要体现。为了确保电力体系的安全稳定运营,必须要使用这些通信技术和网络设备,而国外信息通信网络设备厂商和产品的不可控性,不断曝出国外厂商信息化资源的安全隐患,关乎公司、国家的信息网络安全保障问题也日益突出。
2 电力体系信息通信网络存在的问题
自“十一五”以来,我国组建了电力体系管制专用网络,并实现了内外网隔离。通过逻辑隔离和物理隔离的方法对信息通信网络进行安全防护,全面组建了以“三道防线”为核心的等级保护纵深防御体系。有效地确保了核心数据的安全,杜绝了非相关人员管控网络以及访问信息的情况出现,通过电力体系相关实验室的对国内外网络设备安全风险进行分析发现,如果设备存在安全漏洞或者事先被植入木马、后门等程序,即便在物理隔离下,依然会被攻击。
2.1 设备与体系风险
因为目前电力行业正在从进口设备转向国产设备,但不可能一次性全部将设备进行更换,因此必然会出现同时使用不同品牌设备的情况,会存在一定的兼容性差异,影响网络安全。存在被植入后门、木马的风险,将电力体系信息通信网络完全、局部对外部网络开放,导致电力体系信息通信网的安全风险。由于设备的缺陷或漏洞未及时更新修复,使得服务器等网络设备遭受攻击和利用,这也是我国电力体系信息通信网络的安全风险。
2.2 人员管控方面
通过实现内外网隔离,降低和消除了部分网络攻击带来的故障影响,但在运维和管制中还存在一些风险,主要体现在管制、维护人员方面。一些核心的设备来源于国外,因此故障、升级、维护等环节也需要外来人员的技术支持。在进行内网体系检测维护时,众多敏感数据可能会被他人所非法利用。对于国家电网公司从事体系管制的工作人员,由于管制不善,通过移动存储介质或其他终端通讯设备,对信息通信网络进行攻击和破坏。
3 加强科学技术使用,抵制风险
网络技术是预防安全风险的最优方法,电力公司要及时创新或引入最前卫的体系安全技术,创建良好的运营环境。网络技术是抵制安全风险形成的最佳方式,电力公司要及时更新或引进先进的体系安全技术,营造良好的运营环境。
3.1 安全审核技术
对于体系上流通的数据信息进行审查,及时拦阻存在异常的数据信息,避免这类信息给网络体系造成干扰,安全审查技术的运用也能有效的保护信息体系的安全。如审核技术中对网络设备日志、操作体系运营日志、数据库访问日志等综合处理,及时发现异常问题且自动处理。
3.2 防火墙技术
这种技术是将可信网络与不可信网络相互分隔开来,进而创建一个全面性的安全检查点,对一些异常信息流通进行过滤筛选。如:防火墙中的强制实糟能进行安全检查,避免电力公司信息遭到非法存取或攻击。另外,在电力体系的生产、计量、营销、调度等方面也有很好的管控。
3.3 容灾技术
采用双机备份、异地备份等方式来保护重要资料。在本地将关键数据备份,然后送到异地保存。灾难发生后,按预定数据恢复程序恢复系统和数据。这种方案成本低、易于配置。但当数据量增大时,存在存储介质难管理的问题,并且当灾难发生时存在大量数据难以及时恢复的问题。为了解决此问题,灾难发生时,先恢复关键数据,后恢复非关键数据。
4 加强管制体制
体系建设安全技术仅仅是一部分,在引进网络信息体系管制之后应从多个层面来维护信息安全。公司经营者应从管制策略上创新改革,制定更加科学的安全管制策略以规划好网络信息体系的运营。日常管制中,公司可以从以下几个方面对网络信息安全维护管制:
4.1 规划管制体制
严格的网络安全管制体制可实现信息体系的有序操作,让每个环节都能处于安全、可靠的运营状态。公司要全面贯彻科学发展观念,制定可持续性的体系安全策略,以确保网络信息得到有效维护。如:对计算机操作人员管制,考核其专业技能;对计算机设备管制,避免出现意外故障等。
4.2 增强安全观念
安全观念涉及到领导者、操作者。电力公司经营者要从安全角度出发,为现有的网络信息体系制定安全管制策略,避免体系受到外在因素的破坏;而公司职员,则要不断培养自己的安全观念,在操作网络体系时坚持安全原则,把握好每一个操作步骤以维持体系的稳定性。
4.3 构建认证体系
身份认证是利用专有账户、密码等对进入信息体系者的身体进行验证,防止外来入侵者恶意攻击体系。
4.4 加快故障处理
当网络信息体系发生故障后,公司要尽快组织技术人员对体系进行解决,尽早解决常见故障造成的不利影响。
5 结语
通过上述分析可知,电力体系通信网络安全问题一直是电力公司运营中关注的焦点问题,由于外界影响因素以及体系运营自身存在的局限性,给电力体系通信网络带来一定的安全隐患,必须采取有效的安全防护技术,创立完善的安全管制体制,加强安全防护观念等,营造一个安全的网络运营环境,为电力体系通信业务发展提供动力。
参考文献
[1]李疆生.电力通信网络中的时间同步体系[J].电力体系通信,2011,32(01):6-9.
[2]王富良.浅谈电力通信网络管制体系结构[J].城市建设理论研究:电子版,2014(33):55.
关键词:通信网络;安全隐患;管理体系;安全与防护
中图分类号:TN918.91文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Thinking of Communication Network Security and Protection
Li Jian
(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)
Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.
Keywords:Communication network;Security risks;Management system;Safety and Protection
一、前言
计算机网络包括两个部分:计算机和通信网络,计算机是信源或者终端,通信网络则是进行数据传输和交换,它最终实现计算机网络的资源共享。随着信息技术的不断更新,我国通信网络产业也在快速发展。目前,国内的通信网络系统覆盖地域广阔,设备复杂多样,针对各种特定类型的通信设备,很多的网管系统基本实现了使用专用的接口协议。
信息技术的快速发展,自然而然就带动了通信网络的快速发展,随着国民经济信息化进程的加快,使得信息技术得到普及,而各行业通信网络的依赖程度越来越高。通常,机遇与挑战是并存的,一方面给通信网络带来了发展机遇;另一方面又不可避免的给通信网络的安全造成一定的挑战。当前,通信网络安全问题日渐凸显,如病毒,黑客等等窃取信息的方式也不计其数,所以如何应对这些通信网络出现的安全问题,也就是保证网络通信的安全性是目前通信工程需要急需解决的难题。
为了维护网络通信的信息系统的正常工作,预防网络安全事故以保证通信网络的安全,防范猖狂的网络犯罪。需要制定相关的网络通信信息系统的安全防护策略。
二、通信网络安全防护工作现状
通信网络安全防护包括:网络安全的等级保护、网络安全的风险评估和网络安全的灾难备份等,这些都以事前防护和准备为主的,最终通过技术和管理落实和改进通信网络安全的维护和管理,并且与网络安全的重要性及潜在的威胁相适应,以提高通信网络的安全水平,降低重大网络安全事件的发生概率,以“积极防御、综合防范”为指导方针,以“预防为主”的原则,关键是进行事前预防保护。
通信网络安全是根据网络特性,通过相应的安全技术和措施以防止通信网络中泄露、破坏或更改了操作系统、软件、硬件和数据等资源,预防非法用户窃取服务,以确保通信网络的正常运行;网络通信安全包括设备安全、用户识别安全以及数据传输安全等内容。
国内外对通信网络安全的研究一直在进行,国外很早就进行信息网络安全研究,研究全面而广泛。上个世纪70年代美国在网络安全技术基础理论研究成果“计算机保密模型”的基础上,制定了“可信计算机系统安全评估准则”(TCSEC),之后又制定了网络系统数据库方面和系列安全解释,形成了安全信息体系结构的准则[3]。安全协议对信息安全而言是必不可少的,包括基于状态机、代数工具和模态逻辑三种分析方法。而今密码学成为网络信息安全的重要技术,近年来各个国家和地区相继举办信息学及安全密码学术会议。当前研究的热点是密钥密码,而电子商务的安全性也受到极大关注,目前处于研究和发展的阶段,加快了密钥管理及论证理论的研究步伐。国内的信息网络安全研究经历了两个阶段:通信保密和数据保护。目前主要从安全体系结构、现代密码结论、安全协议、信息分析和监控等方面提出的系统完整和协同的通信网络安全与防护的方案。2009年开始,国家的信息化部及工业计划每年对通信网络进行安全等级保护、通信风险评估,网络通信的灾难备份等相关防护工作。
三、探讨通信网络中的安全隐患
随着通信网络的一体化和互联互通,以及共享资源步伐的加快,通信的安全和保密问题就显得非常重要。
(一)关于安全管理体系建设
首先,网络安全机构不够健全,网络安全维护队伍还不充实。目前,非传统安全问题不断增加,而企业在进行人员素质培养、人员的配备及机构的设置未能很好地适应管理工作。其次,未能很好的统筹网络安全管理工作,整体性不足。虽然在业务发展中,各运营企业相继建设了不少的网络和系统,但没有统筹谋划和监督管理,缺乏统一标准,运营企业各自管理网络和系统的安全,因此,必然存在安全隐患。再者,由于缺乏安全技术手段。网络的应急处置、预警监控、安全防护和审计等技术水平不高。最后,网络安全制度未完善,未能涉及每个环节。安全管理主要集中在运行维护环节而忽略其他环节,最近几年企业建设了不少IT系统,但上线前未对设备和系统进行彻底的安全检测,同样带来安全隐患。
(二)关于适应形势的发展
运营企业未能深入认识到通信网络的基础性以及全局性作用,随着通信网络移动化、IP化、智能化的发展,网络安全观念相对滞后,传统的网络通信安全意识仍停在设备可靠性等物理安全层面上,而对网络攻击、非法远程控制和病毒传播等威胁意识仍然不够,对通信网络安全防护的投入很少,对网络安全存在侥幸心理。
(三)关于规范第三方服务的管理
运营企业在信息和网络系统的安全的保障、规划的设计、建设集成和网络的运行维护等环节基本都依赖第三方服务。但是由于缺乏规程规范和制度,运营企业对第三方服务的管控力度不够,致使服务过程存在较大风险。
(四)防护措施落实不到位
目前,网络通信防护内容主要是防病毒、防攻击、防入侵。但是,防护措施落实不够,未能防范和抵御网络系统的内外部安全风险,DDOS攻击堵塞城域网和IDC的事件时有发生;未能及时升级软件,漏洞管理不及时,被保护主机或系统会因为漏洞遭到黑客的攻击;如果没做好不同安全域之间和内外网隔离及其访问控制工作,就可能导致不同系统间的非授权访问;服务器或者系统开放不必要的服务和端口就会给黑客有机可乘,通过远程攻击和入侵;没有启用安全日志或者没做好日志审计工作就会对故障的排查及处理,安全事件的还原工作带来困难。
(五)关于网络的安全意识
目前,运营企业的网络和系统本身安全性不足,存在很多安全漏洞,而运营企业本身的内部网络防范措施不足,太过依赖边界安全,因此存在严重的安全隐患。
(六)关于远程维护管控措施
有的远程维护管理网络平台本身就有漏洞,而远程维护管理控制的审批的管理、平台的管理、日志的审计以及实时的监控等措施也不足,因此业务系统同时存在内外部的安全隐患。
(七)灾难备份工作不够完善
随着网络的集中管控程度的提高,在部分网络单元中,还存在同管道、单节点、单路由等问题。
四、关于网络安全的防护
(一)关于网络安全维护的新情况和新问题
监管部门应该加强管理及随时研究新技术带来的安全问题,为提高工作的有效性和主动性,应及时提出相关的措施。
(二)关于安全防护的检查力度
在传统的安全防护检查的基础上,需要制订和完善安全防护标准以针对非传统安全的薄弱环节和突出问题,深入开展风险和安全评测。
(三)贯彻落实各项制度标准
电信监管部门应该积极组织开展《互联网网络安全应急预案》、《通信网络安全防护管理办法》等制度的学习宣传和贯彻,落实安全防护工作。
(四)对应急事件的处理
随着网络技术的发展,网络安全事件发生频率将越来越高,电信监管部门应及时通报网络安全信息,重视重大的网络安全事件。
(五)关于主机、操作系统、数据库配置方案
基于Intranet体系结构的运营企业的网络系统,同时兼备广域网和局域网的特性,是一个范围覆盖广且充分利用了Intranet技术的分布式的计算机网络,面临的安全隐患很多,应安装核心防护产品在需要保护的核心服务器上,部署中央管理控制台在中央安全管理平台上,以对全部的核心防护产品进行统一管理。
(六)关于网络的安全技术水平
监管部门在网络安全工作中应重视技术手段建设,随时关注通信网络的发展趋势,加强技术研发,提高运营企业的抗击能力。一直以来,运营企业的安身立命需要保证通信网络的安全稳定运行。随着信息通信技术的飞速发展,通信网络所涉及的各种业务已经渗透到国家社会、政治及生活的各个方面,其地位和作用日趋重要。在新的发展形势下,网络的安全稳定已经成为通信运营企业所担负的社会责任。
五、结语
当今是信息时代,掌握了信息就掌握了主动权,不管是经济的发展还是战争的对抗,信息就是决定一切的先决条件。整个社会都在努力追赶信息时代的步伐,为的就是及时追随时代的步伐,走在信息时代的最前沿才能掌握发言权。
参考文献:
[1]杨朝军.关于计算机通信网络安全与防护策略的几点思考[J].应用科学
[2]丁全文.浅谈通信网络的安全与防护[J].信息与电脑,2011,5
[3]冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用,2001,1:8-13
[4]姜滨,于湛.通信网络安全与防护[J].甘肃科技,2006,12,22
关键词:数字认证技术;网络安全;PKI
中图分类号:F062.5 文献标识码:A
随着信息技术的迅速发展,因特网已进入社会生活的各个领域,基于网络环境下的电子商务、电子政务、电子事务正在蓬勃迅猛的发展。信息化程度已经成为国家乃至个人现代化程度的重要标志。但网络安全一直困扰着信息化进程,缺乏诚信的网络世界充满了欺诈和风险,影响了经济发展和社会秩序。建立完善的网络信任体系,保证网络信息安全是推进信息化必须面对的课题。而电子服务认证是保证网络信息真实、完整和信息发送不可抵赖,建立起完善网上信任体系的重要手段和措施,大力发展电子认证服务对于加快信息化建设进程具有重要意义。
一、电子认证服务
1.电子认证的认证原理
电子认证服务所采用的数字证书认证技术是以密码技术为核心,在国际上广泛流行的是采用PKI(Pubic Key Infrastructure)技术。在PKI钥系统中,为每个用户生成一对相关的密钥:公开密钥和私有密钥。双方进行信息交换的过程是:发送方通过网络或其他公开途径得到接收方的公钥,然后使用该密钥对信息加密后发送给接收方;接收方用自己的私钥对收到的信息进行解密,得到信息明文。在这里,只有接收方才能成功地解密该信息,因为只有接收方拥有与之相对应的私有密钥,从而保证了信息的机密性。如果发送方在发送信息时附上自己的数字签名,则接收方通过验证数字签名可以保证信息的完整性和不可抵赖性。
PKI框架中的核心元素是数字证书;PKI的核心实施者是CA认证中心。数字证书又称为数字标识(Digital Certificate,Digital ID)。它提供了一种在网络上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子政务和电子商务活动时,双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关的操作。
2.电子认证服务在网络信任体系中的作用
网络信任体系是以密码技术为基础,以法律法规、技术标准和基础设施为主要内容,以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系,它是网络环境下各项业务活动有序开展的基础保障。电子认证服务就是利用数字证书技术为电子商务、电子政务等网络业务提供行为主体的真实身份和控制权限,保证信息资源的真实性和可靠性的第三方服务,是建立网络信任体系的基础和核心。
二、我国电子认证服务体系的建立
1.法律法规与标准规范建设
2005年4月1日《中华人民共和国电子签名法》(简称《电子签名法》)正式实施。随后,信息产业部和为国家密码管理局出台了一系列的配套规章和标准规范,包括《电子认证服务管理办法》、《电子认证服务密码管理办法》、《电子认证业务规则规范(试行)》、《证书认证系统密码及其相关安全技术规范》。等。《电子签名法》是我国电子商务、电子认证领域的第一部法律,具有极其重要的历史意义和现实意义,它给网上数字化的商务活动以法律认同的效力和地位,这对推动我国网络经济的健康发展可谓意义重大。
2007年2月1日,国家标准化委员会《信息安全技术公钥基础设施数字证书格式》、《信息安全技术公钥基础设施特定权限管理中心技术规范》和《信息安全技术公钥基础设施时间戳规范》三项信息安全国家标准,对《电子签名法》的实施和我国网络信任体系建设将起到重要的规范作用。
2.我国电子认证服务的现状
电子认证服务在我国开展已有近10年的历史。随着因特网的普及,伴随着电子政务 、电子商务的发展,我国数字认证市场逐步从培育期走向成长发展期。《电子签名法》、《电子认证服务管理办法》等法律法规出台后,电子认证服务逐步走向规范化。截至2007年10月10日,我国已有25家电子认证服务机构获得信息产业部颁发的电子认证服务许可证获得电子认证服务资质。由于服务资质认证开始的时间不长,还有100多家认证机构未获得电子认证服务许可证。
三、我国电子认证服务体系建设存在的问题
1.法律环境体系不完善
虽然国家在2005年出台了《电子签名法》,信息产业部也相继出台了与之配套的法规和标准,但还是缺乏对认证服务过程中的一些实质性的操作进行规范和约束,也没有确定电子认证在实际应用中的基础性保障地位。其它法律法规没有做出相应的调整,无法体现数字认证在法律活动中的法律效力。
2.认证服务缺少行业整体规划,标准规范滞后
从国内电子认证服务机构开始建设至今,国家政府部门一直没有出台一个指导国内电子认证服务机构建设的总体规划和管理指南,使得电子认证服务机构建设处于无序状态。长期以来,电子认证服务业的建设和运营一直都缺少统一的标准和规范,严重影响了中国电子认证服务行业的发展。目前国内的电子认证服务机构颁发数字证书时所采用的标准和规范都不一样,证书的发放和运用范围、审核方式也不尽相同,所涉及到的信息保存及披露更是有较大的差别,导致很多用户拥有多张证书,无法交叉认证和互联互通。
3.对电子认证服务机构的作用认识不足
网络上之所以需要电子认证,是由于网络化带来的信任问题引起的。而电子认证中心正是这样一个服务机构,它提供网上实体身份标识的第三方公证服务,广泛地服务于电子政务、电子商务、网上银行、网上身份证、电子公证、安全电邮、电信、保险等领域。然而,在国内电子认证服务行业建设和发展过程中,政府、企业、个人都对电子认证服务机构的作用认识不足,对电子认证服务机构的作用认识存在偏差。
4.区域发展不平衡
电子认证服务机构应该是第三方机构,应该是社会共享资源。但是,由于缺少统一的规划和管理,国内电子认证服务机构建设过热,有一定的盲目性,重复建设和资源浪费现象严重。一些在经济欠发达的地区盲目设立的电子认证服务机构,由于当地市场容量有限,不仅不能发挥作用,甚至认证机构本身也难以维持正常的运营,长期亏损;而在经济发达地区,建设的盲目性就表现为重复建设,资源浪费严重。
5.认证业务整体发展水平偏低
技术基础问题将直接影响着中国的电子认证服务业的发展:电子认证目前使用的主要是数字签名技术,也主要是指PKI;而从技术角度看,PKI潜在问题是涉及到证书机制,对客户不透明;对证书签发后管理问题技术实现和管理方法落后,不方便客户。公钥算法的生命周期问题目前成为关注的焦点,各种算法的应用将面临挑战;PKI的核心机构就是CA,而目前信息孤岛现象比较严重,一个CA一个信任域,信息交流和互联互通是一个迫在眉睫的问题。
四、电子认证服务体系发展建议
1.建立健全法律规范,完善标准体系建设
法律法规是大力发展电子认证服务的基本保障,《电子签名法》对电子认证服务管理只是做了框架性的规定,配套的法律法规、行业规范亟待健全;技术规范是电子认证服务的安全核心,电子认证的技术标准和服务规范继续统一和完善。
2.从国家战略高度统筹规划
应该加强电子认证服务业发展的基础性研究,做好电子政务服务的整体发展规划。政府部门应该针对我国电子认证服务机构的发展现状,做出统筹规划,进行合理布局,以构建适合我国国情的电子认证技术体系、运营体系和服务体系。
3.积极提升技术水平,加强安全监控
电子认证服务机构的认证系统安全,涉及到诸多方面。政府部门和认证机构应该积极合作,密切配合,尽力消除安全隐患,提高安全强度,采取多种方式提高整个认证系统运行的安全性和稳定性。
4.积极地参与电子认证的国际合作
电子商务的本质,决定了与之相关的服务必然逐步呈现国际化的趋势,电子认证服务也不例外。从长远的角度看,电子认证在国际范围内的交叉认证、统一和标准化是一种必然趋势。
作者单位: 辽东学院 信息技术学院
参考文献:
[1]谢先江.浅论我国数字认证建设[J].现代情报,2004,(11):20-22.
[2]全国信息安全标准化技术委员会秘书处. 我国电子认证相关标准简介[J]. 信息网络安全,2007,(3):2-4.
建立健全广电网络安全防御体系
1广电网络特征
(1)我国广电网络发展正处于数字电视及模拟电视转型阶段,且广电网络正处于转型期,除此以外,我国网络安全投资经费远远不能够满足实际需要;(2)我国网络管理机制不健全、管理人员专业技能及综合素养普遍不高,且我国网络管理手段大多为管理性能不高的局部管理软件或网络设备厂家免费赠送的网络管理软件;(3)我国网络安全与系统建设不成熟,尚处于发展的低级阶段,且安全集中式管理模式基本缺失,这对于我国广电网络安全均造成了不少的安全隐患。
2立体网络安全防御体系结构层次
随着技术的发展及广电网络安全意识的提高,立体安全防御体系建立被得到深入发展,这为提高广电网络安全防御性能发挥着巨大的作用。立体安全防御体系主要分为安全管理系统、安全防护系统及安全监理系统等三大部分。在整个网络安全体系中,安全监控系统扮演着中枢系统的角色。安全监控系统重点功能模块包括安全策略管理模块、安全知识库及报表模块、用户权限管理模块、安全预警管理、安全事件流程管理模块、风险评估模块、安全区域管理模块、安全资产管理模块、安全信息监控管理模块、安全事件智能关联及分析模块、安全事件采集模块、安全知识学习平台模块。就防护级别而言,安全防护系统涉及的模块包括:(1)专控保护区域:多路供配电系统、攻击防护模块、空气调节及通风控制、数据访问控制、防火及火警探测、系统访问控制、水患及水浸控制、系统日志控制、物理出入控制、密码管理控制、定期卫生及清洁控制、认证及识别系统、设数据访问控制、备及介质控制;(2)强制保护区域:不间断供电系统、攻击防护模块、多路供配电系统、漏洞管理和修补、空气调节及通风控制、激活业务控制、防火及火警探测、程序开发控制、水患及水浸控制、系统更改控制、物理出入控制、病毒防护模块、数据访问控制、定期卫生及清洁控制、系统访问控制、系统日志控制、设备及介质控制;(3)监督保护区域:多路供配电系统、密钥管理模块、空气调节及通风控制、攻击防护模块、防火及火警探测、漏洞管理和修补、水患及水浸控制、激活业务控制、物理出入控制、系统更改控制、定期卫生及清洁控制、病毒防护模块、设备及介质控制、数据访问控制、系统访问控制、系统日志控制;(4)指导保护区:物理出入控制、密码管理控制、定期卫生及清洁控制、漏洞管理和修补、设备及介质控制、激活业务控制、系统访问控制、系统更改控制、病毒防护模块、数据访问控制;(5)一般保护区:系统访问控制、用户行为管理模块、数据访问控制、漏洞管理和修补、病毒防护模块;(6)安全管理系统:安全技术及设备管理、部门与人员组织规则、安全管理制度等。
工程实例
南京广电网络属于复杂网络结合体,其涵盖了三个物理结构,即MSTP传输网、IP传输网、HFC网,且该网络系统包含的系统及部门众多。
1安全监控系统
南京广电公司坚持“分级监控体系”原则,即公司层面设安全监控中心,各部门设子系统监控分中心。网络监控系统对网络系统内各主要链路状态及主要节点设备进行实时监控,且构建了紧急事件相应流程及自动报警机制,并对管理漏洞、网络配置及未授权行为进行严格检测,此外,如实保存并审计相关安全事件及异常事件日志(见下图)。
2安全防护体系
南京广电公司于安全防护体系之上始终坚持“分级防护“原则。基于信息资产及业务系统重要性的不同,安全防护体系被划分为五大保护等级。信息安全等级保护工作应坚持“分类指导、分级负责、分步实施、突出重点”原则;遵循“谁运营-谁负责、谁主管-谁负责”要求。防护体系架构:安全防护体系层次模型被划分为纵向及横向两个层面相结合安全防护体系,该安全防护系统有助于对广电网络各系统及系统各层次进行安全全面而系统地把握。就横向管理体系(见下图一)而言,考虑的核心在于对安全数据进行集中式监控及处理,并以等级保护相关规范为根据,对各系统不同等级安全保护域加以确定;就纵向管理体系(见图二)而言,考虑的核心在于以系统ISO七层体系模型为参考依据,监控并管理各系统各层次。
安全防护体系层次划分标准:横向层次标准:划分横向层次安全域应该以国家系统等级保护标准格式为依据,并基于企业系统程度,将广电网络定义为五大保护等级,且以保护等级为依据将网络体系划分为安全域;纵向层次标准:纵向层次划分标准应以ISO七层网络模型为参考依据,具体划分标准包括物理层安全防护(环境安全、设备安全、介质安全)、系统层安全防护、网络层安全防护、安全管理(安全技术及设备管理、部门及人员组织规则、安全管理制度)。
保旺达,关注数据,保障未来。
江苏保旺达软件技术有限公司始创于2002年,具有十多年的深厚积淀,始终专注于计算机信息安全领域的体系建设、服务交付和产品提供,成就了保旺达在中国信息安全行业的领先地位。
2016年2月,保旺达与上市公司通鼎互联达成战略合作伙伴关系,这意味着保旺达将拥有更为宽广的视野和舞台,以及更加强劲的动力和保障。
保旺达在董事长钟丹东的带领下,以建设中国自主的信息安全体系为目标,以实现中国国家安全大业为伟大使命,专注于国内领先的信息安全领域,为客户提供软件研发、系统集成、技术服务等全方位的解决方案与服务,是中国计算机信息安全领域领先的体系设计者、服务交付者和产品供应者。
保旺达作为国内最早从事信息安全产品研发、销售、集成的企业之一,已通过ISO9001质量管理体系、ISO27001信息安全管理体系、CMMI3级认证和ITSS贰级认证,荣获“江苏省软件企业”称号,还是江苏省信息产业厅首批信息安全风险评估服务机构、江苏省公安厅等级保护服务机构、江苏省规划布局内重点软件企业,具有国家计算机信息系统集成贰级资质、国家信息安全服务一级资质和信息系统集成乙级资质。
保旺达坚持“始于客户要求,终于客户满意”,凭借丰富的项目管理经验和完善的产品解决方案,先后在华北、华东、华南、华中、西南、西北等区域的多个省市成立办事处和技术支持中心,业务网络遍及全国。
保旺达与中国联通、中国移动、中国电信等电信运营商建立稳定的合作关系,提供安全运维服务,并参与和主导了三大电信运营商信息安全体系的设计和规范编写工作。同时,保旺达还为政府部门和军工企业提供信息专项集成服务。
保旺达依托专业的研发力量和强大的人才优势,成功研发出网络信息交换系统、统一运维管理系统、打印刻录安全监控审计系统、敏感数据扩散跟踪地图等50多项软件产品,形成网络安全、系统安全、应用安全、数据安全、云应用安全五大产品体系,多个产品通过中国质量认证中心、国家保密科技测评中心和公安部网络安全保卫局的产品检测,多个产品获得计算机软件著作权和软件产品登记证书。保旺达承担的科研项目多次获得国家专项资金扶持,获评国家和省市级奖项,为各大运营商和政企业客户建立可信可靠的安全管理体系。
人才是现代企业永续发展的第一动力。保旺达在发展过程中,一贯坚持 “尊重、爱护、培养、发展”的用人育才方针,通过科学完善的绩效和薪酬管理体系,致力于为人才提供优厚的福利待遇和卓越的个人发展平台。保旺达拥有一支年轻、专业的技术团队,博士学历和硕士学历的员工占10%,拥有本科学历的员工占80%。
为跟踪技术潮流,实现自主创新、积蓄后劲,保旺达长期与南京大学、东南大学等多所知名高校进行产学研合作,并委托培养和外派培养了大量信息安全领域的专家人才,抢占信息安全技术的制高点。
【 关键词 】 云计算;云安全;等级保护;虚拟化安全
1 引言
自2006年云计算的概念产生以来,各类与云计算相关的服务纷纷涌现,随之而来的就是人们对云安全问题的关注。目前各个运营商、服务提供商以及安全厂商所提的云安全解决方案,大都根据自己企业对云平台安全的理解,结合本企业专长,专注于某一方面的安全。然而,对于用户来说云平台是一个整体,需要构建云平台的整体安全防护体系。
因此,针对云计算中心的安全需求建立信息安全防护体系已经是大势所趋,云安全防护体系的建立,必将使云计算得以更加健康、有序的发展。
2 云计算的安全问题解析
云计算模式当前已得到业界普遍认同,成为信息技术领域新的发展方向。但是,随着云计算的大量应用,云环境的安全问题也日益突出。我们如果不能很好地解决相关的安全管理问题,云计算就会成为过眼“浮云”。在众多对云计算的讨论中,SafeNet的调查非常具有代表性:“对于云计算面临的安全问题,88.5%的企业对云计算安全担忧”。各种调研数据也表明:安全性是用户选择云计算的首要考虑因素。近年来,云安全的概念也有多种层面的解读,本文所指云安全是聚焦于云计算中心的安全问题及其安全防护体系。
2.1 云安全与传统安全技术的关系
云计算引入了虚拟化技术,改变了服务方式,但并没有颠覆传统的安全模式。从这张对比视图中,如图1所示,可以看出,安全的层次划分是大体类似,在云计算环境下,由于虚拟化技术的引入,需要纳入虚拟化安全的防护措施。而在基础层面上,仍然可依靠成熟的传统安全技术来提供安全防护。
如图1所示,云计算安全和传统安全在安全目标、系统资源类型、基础安全技术方面是相同的,而云计算又有其特有的安全问题,主要包括虚拟化安全问题和与云计算分租服务模式相关的一些安全问题。大体上,我们可以把云安全看做传统安全的一个超集,或者换句话说,云安全是传统安全在云计算环境下的继承和发展。
综合前面的讨论,可以推导出一个基本的认识,云计算的模式是革命性的:虚拟化安全、数据安全和隐私保护是云安全的重点和难点,云安全将基于传统安全技术获得发展。
2.2 云计算的安全需求与防护技术
解决安全问题的出发点是风险分析,CSA云安全联盟提出了所谓“七重罪”的云安全重点风险域。
Threat 1: Abuse and Nefarious Use of Cloud Computing(云计算的滥用、恶用、拒绝服务攻击);
Threat 2: Insecure Interfaces and APIs(不安全的接口和API);
Threat 3: Malicious Insiders(恶意的内部员工);
Threat 4: Shared Technology Issues(共享技术产生的问题);
Threat 5: Data Loss or Leakage(数据泄漏);
Threat 6: Account or Service Hijacking(账号和服务劫持);
Threat 7: Unknown Risk Profile(未知的风险场景)。
信息的机密性、完整性和可用性被公认为信息安全的三个重要的基本属性,用户在使用云计算服务时也会从这三个方面提出基本的信息安全需求。
机密性安全需求:要求上传到云端的信息及其处理结果以及所要求的云计算服务具有排他性,只能被授权人访问或使用,不会被非法泄露。
完整性安全需求:要求与云计算相关的数据或服务是完备、有效、真实的,不会被非法操纵、破坏、篡改、伪造,并且不可否认或抵赖。
可用性安全需求:要求网络、数据和服务具有连续性、准时性,不会中断或延迟,以确保云计算服务在任何需要的时候能够为授权使用者正常使用。
根据云计算中心的安全需求,我们会相应得到一个安全防护技术的层次结构:底层是基础设施安全,包括基础平台安全、虚拟化安全和安全管理;中间是数据安全,上层是安全服务层面,还包括安全接入相关的防护技术。
3 等级保护背景下的云安全体系
3.1 等级保护标准与云安全
自1994年国务院147号令开始,信息安全等级保护体系历经近20年的发展,从政策法规、国家标准、到测评管理都建立了完备的体系,自2010年以来,在公安部的领导下,信息安全等级保护落地实施开展得如火如荼,信息安全等级保护已经成为我国信息化建设的重要安全指导方针。
图3表明了等级保护标准体系放发展历程。
尽管引入了虚拟化等新兴技术,运营模式也从出租机房进化到出租虚拟资源,乃至出租服务。但从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。此外,云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。
因此,云计算中心防护体系应当是以等级保护为指导思想,从云计算中心的安全需求出发,从技术和管理两个层面全方位保护云计算中心的信息安全;全生命周期保证云计算中心的安全建设符合等保要求;将安全理念贯穿云计算中心建设、整改、测评、运维全过程。建设目标是要满足不同用户不同等保级别的安全要求,做到等保成果的可视化,做到安全工作的持久化。
3.2 云计算中心的安全框架
一个云计算中心的安全防护体系的构建,应以等级保护为系统指导思想,能够充分满足云计算中心的安全需求为目标。根据前面的研究,我们提出一个云计算中心的安全框架,包括传统安全技术、云安全技术和安全运维管理三个层面的安全防护。
云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。
3.3 云安全防护体系架构
在实际的云安全防护体系建设中,首先要在网络和主机等传统的安全设备层面建立基础信息系统安全防护系统。基础信息安全防护体系是以等级保护标准为指导进行构建,符合等级保护标准对相应安全级别的基本安全要求。
在此基础上,通过SOC安全集中管理系统、虚拟安全组件、SMC安全运维管理系统和等保合规管理系统四个安全子系统共同组成云安全管理中心,如图4所示。通过实体的安全技术和虚拟化安全防护技术的协同工作,为云计算中心提供从实体设备到虚拟化系统的全面深度安全防护,同时通过专业的SLC等保合规管理系统来确保云安全体系对于等级保护标准的合规性。
参考文献
[1] 郝斐,王雷,荆继武等.云存储安全增强系统的设计与实现[J].信息网络安全,2012,(03):38-41.
[2] 季一木, 康家邦,潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全,2012,(06):6-8.
[3] 黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,(07):3-5.
[4] 胡春辉.云计算安全风险与保护技术框架分析[J].信息网络安全,2012,(07):87-89.
[5] 王伟,高能,江丽娜.云计算安全需求分析研究[J].信息网络安全,2012,(08):75-78.
[6] 海然.云计算风险分析[J].信息网络安全,2012,(08):94-96.
[7] 孙志丹,邹哲峰,刘鹏.基于云计算技术的信息安全试验系统设计与实现[J].信息网络安全,2012,(12):50-52.
[8] 甘宏,潘丹.虚拟化系统安全的研究与分析[J].信息网络安全,2012,(05):43-45.
[9] 赛迪研究院.关于云计算安全的分析与建议[J].软件与信息服务研究,2011,5(5):3.
[10] 陈丹伟,黄秀丽,任勋益.云计算及安全分析[J].计算机技术与发展,2010,20(2):99.102.
[11] 冯登国,孙悦,张阳.信息安全体系结构[M].清华大学出版社,2008:43-81.
[12] 张水平,李纪真.基于云计算的数据中心安全体系研究与实现[J].计算机工程与设计,2011,12(32):3965.
[13] 质监局,国标委.信息系统安全等级保护基本要求.GB/T 22239—2008:1~51.
[14] 王崇.以“等保”为核心的信息安全管理工作平台设计[J].实践探究,2009,1(5):73.
[15] Devki Gaurav Pal, Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science (IJ-CLOSER) ,2012 ,l.1(2):45~52.
[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http:///guidance/csaguide.v3.0.pdf,2011:30.
作者简介:
白秀杰(1973-),男,硕士,系统分析师;研究方向:云安全技术。
李汝鑫(1983-),男,本科,项目管理师;研究方向:信息安全技术。
随着烟草行业信息化快速发展及云计算、虚拟化、移动应用等新兴技术运用,使烟草行业的信息安全面临新的挑战,主要表现在以下几点。
1.1核心软硬件被国外垄断,严重威胁行业信息安全
当前,烟草行业的信息系统基础设施,包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌,使得烟草行业信息系统比较容易被国外掌控,威胁烟草行业信息安全。
1.2传统互联网威胁向烟草行业辐射
随着电子商务的快速发展,烟草行业信息系统由半封闭的行业内网向互联网转变,网上订货、网上营销等新型业务与互联网结合日益紧密,同样面临的网络攻击和威胁形势日益复杂严峻,传统互联网威胁(如病毒、木马等)也必将危及行业信息安全。
1.3新技术的应用使行业信息安全面临更大挑战
随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用,极大地影响了信息系统的运行和服务方式,互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。
2烟草行业信息安全发展方向
近期,为处理好安全和发展的关系,适应信息技术发展形势需要,提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。
2.1坚持自主安全可控,健全行业信息安全体系
信息安全自主可控作为行业信息化发展的重要保障,加大安全可靠的先进技术应用力度,提升对核心技术的自主掌控能力,保障行业信息化建设稳步推进,健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全,加大安全可控关键软硬件的应用比例,确保行业信息化高效安全平稳运行。
2.2坚持等级保护,提高安全管理水平
执行国家信息安全等级保护制度,以安全策略为核心,坚持技术和管理相结合,构建与行业信息化发展协调一致的行业网络安全体系。
2.3强化安全运维机制,提升安全保障能力
目前,行业信息安全保障尚未全面融入信息化的“建管用”的各个环节,需要进一步建设、健全行业网络安全保障体系,落实安全运维机制,提升安全综合防范能力。
2.4完善应急处置体系,保证系统安全稳定运行
加强日常信息安全监控,进一步完善信息安全应急处置机制,充分评估信息系统面临的威胁,并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练,提升信息系统预警、应急处置和恢复能力,保障业务系统的连续稳定运行。
2.5烟草行业信息安全建设思路
随着国家、行业主管单位对信息安全认识和要求的不断深入,烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标,包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计,从而提高信息系统信息安全综合防范能力。
2.6建立系统安全基线,提升系统基础防护能力
国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准,同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南,各行业单位对标准规范和安全建设尚不能有效落地,不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平,防止因为各类系统、设备的安全配置不到位而带来安全风险,有必要针对信息系统建立其基本的安全要求(安全基线),确保信息系统具有基本的安全保护能力。
2.7建立自主可控信息安全技术体系
自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求,启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查,及时发现系统安全隐患,同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范,明确新技术的使用、运维和管理的方法和范围。
2.8不断完善行业信息安全标准规范体系
目前烟草行业已经陆续了一系列行业信息安全标准和规范,但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范,对于烟草信行业信息安全具有重要意义。例如,针对信息系统的建设,应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用,应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范,为烟草行业的移动应用建设提供指导;针对烟草行业数据安全,应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范,为合理保护和利用行业数据提供指导;针对第三方服务外包,制定第三方服务机构服务质量基本评价指标体系。
2.9建立安全运维管理服务体系
一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立,得到该业务系统的安全运维水平评级,以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等,同时要加强对运维监控中发现的各种异常现象的监控分析,对风险隐患及时处理,同时根据运行分析结果动态评估系统的处理能力,动态优化系统资源配置。二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节,落实系统建设全生命周期各环节的安全指标和流程要求,做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。三是完善应急处置机制,保障业务连续性。随着行业数据的集中,各类信息系统整合的不断推进,信息系统的技术体系日趋复杂,需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁,并制订和完善各类信息安全事件的应急预案,并定期开展应急演练。
2.10开展信息安全风险态势感知体系研究
风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估,同样也应对整体安全管理水平进行评估,为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面,从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面,从信息系统所需要达成的安全管理水平入手,通过对一系列管理指标的度量,来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系,是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求,建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面,以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系,提高信息系统的信息安全保障能力,提高信息安全事件的预警及防范能力。
3结语
1我省林业信息化安全形势严峻
我省林业系统信息安全面临的形势不容乐观,从省直机关及部分地市单位的调查结果看,有39%的单位发生过信息安全事件,说明我省林业系统网络和信息安全基础还比较薄弱,保障机制尚待健全。主要有以下四个方面表现。
1.1从发生信息安全事件的结构上看,超过半数的属于感染病毒、木马。引起事件的原因35.5%来自于单位外部,主要原因是未修补或升级软件漏洞。42.2%的事件损失比较轻微,只有0.9%的事故属于比较严重。而对于事件的觉察,36%是通过网络管理员工作监测发现,22.7%是事后分析发现。这说明,我省林业网络安全形势总体上是好的,但也说明网络与信息安全事件总体防范能力不足,缺乏对安全事件的提前预防。
1.2从信息安全管理来看,有74%的单位制定了安全管理规章制度,78%的单位能做到随时进行安全检查,61.1%的部门在管理中采取口令加密。这说明林业系统内大部门单位已经认识到了信息安全的重要性,但管理手段单一,技术落后,缺乏有效的身份认证、授权管理和安全审计手段。
1.3从信息安全投资来看,只有14.70%的单位信息安全投入达到了15%,70%的单位信息安全投资低于信息化项目总投资的10%,甚至还有7%的单位在信息安全方面从来没有过投资。说明整体网络与信息安全投入明显不足。
1.4从专职人员配备情况来看,只有46%的部门有专职的信息安全人员,大部分是兼职人员或外包服务。仅有3.8%的单位组织了对单位全体员工的信息安全培训,而对于网络安全管理技术人员的培训也只有46%的单位搞过。从业人员不足,安全培训少,也是影响信息安全的一个重要因素。上述现状,反映出我省林业系统网络与信息安全意识淡薄,信息系统综合防范手段匮乏,信息安全管理薄弱,应急处理能力不强,信息安全管理和技术人才缺乏。随着我省林业信息化建设和应用的加快,多样化的侵害和信息安全隐患将会不断地暴露出来,使我省林业网络与信息安全工作面临着更大的威胁和风险。
2我省林业系统信息安全保障思路及主要任务
省委省政府关于建设“平安山东”的决定,提出了把我省建设成为全国最稳定、最安全的地区之一的明确目标和任务,切实加强网络与信息安全保障工作是大力推进国民经济和社会信息化的重要保障,是平安山东建设的重要内容。省政府印发的山东省国民经济和社会信息化的十二五规划,把信息安全保障体系作为主要内容之一。在此基础上,林业信息化建设以全面提高网络与信息安全的保障能力为己任,努力开创了我省信息化建设与信息安全保障体系相互适应、共同进步的新局面。
2.1信息安全保障工作的思路以科学发展观为指导,认真贯彻“积极防御,综合防范”的方针,加强网络信任体系、信息安全监控体系和应急保障体系建设,全面提高林业系统网络与信息安全防护和应急事件处置能力,重点保障我省林业基础信息网络和重要信息系统安全;强化林业信息安全制度建设和人才队伍建设,充分发挥各方面的积极性,协同构筑我省网络与信息安全保障体系。
2.2信息安全保障工作的主要任务
2.2.1建立健全我省信息安全管理体制,充分发挥网络与信息安全建设的作用,建立了信息安全的通报制度,形成我省林业信息安全相关部门密切配合的良好机制。
2.2.2积极推进了信息风险评估和等级保护制度的建立。省信息办制定了山东省信息安全风险评估实施办法,介绍了实施风险评估的方法和流程,十一五期间,已选取了多家单位作为试点,下一步将根据自己工作实施风险评估,并争取在全省范围内推广。
2.2.3大力促进网络与信息安全的制度建设,积极贯彻有关信息安全标准的应用和推广,出台了林业系统网络信息安全建设的指导意见。
2.2.4加强信息安全应急处置体系建设,利用现有的专业队伍和技术资源,规划和建设林业数据备份中心,启动建设信息化应急技术处理中心,逐步实现为我省林业网络信息安全提供预警、评测等服务,按照“谁主管谁负责、谁运营谁负责”的要求,各部门出现问题及时处理,如果处理不了,可以呼叫应急中心通过技术手段判断突发事件的原因。
2.2.5加强人才队伍培养和建设。不定期的举办了面向工作人员提高安全意识、防范意识的培训,对从事信息化的专业人员建立管理培训的制度。
3加快我省林业信息安全保障体系建设进程的建议林业信息安全保障体系的建设是关系我省民生的大事,做好这项工作十分重要。
3.1充分认识做好信息安全保障工作的重要意义。目前对信息安全问题不少人仍然缺乏全面的、深刻的认识,现有各个部门在安全工作中缺乏安全防范的意识,安全防护注重于系统外部,忽略了系统内部的安全管理措施,安全保障缺乏循环、良性的提高,不能自主发现和及时消除安全隐患,对安全工作仍然不同程度的存在“说起来重要,忙起来次要,干起来不要”的问题。各单位各部门要从经济发展、社会稳定的高度充分认识信息安全的重要性,增强紧迫感、责任感和自觉性。
3.2正确把握加强信息安全保障工作的总体要求。要坚持积极防御、综合防范的方针,正确处理发展与安全的关系,坚持以发展求安全、以安全保发展,同时管理与技术并用,大力发展信息技术的同时,切实加强信息安全管理工作,努力从预防、监控、应急处理和打击犯罪等环节在法律、管理、技术、人才各方面采取各种措施全面提升信息安全的防护水平。
3.3突出重点,抓好落实。各部门要制定工作重点,加强信息安全体系建设和管理,最大限度的控制和限制安全风险,重点保障基础信息网络和重要信息系统的安全,做好应急服务工作,尽可能的防止因信息安全问题造成的重要信息系统的大面积的出现问题。防止数据丢失和错误,避免对社会造成的损失。