導語:在網絡安全總體規劃的撰寫旅程中���,學習并吸收他人佳作的精髓是一條寶貴的路徑��,好期刊匯集了九篇優秀范文��,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能�。
第1篇
關鍵詞:稅務�;政務信息系統����;安全體系
引言
所謂稅務電子政務是指稅務部門運用現代電腦和網絡技術,將其承擔的稅務管理和服務職能轉移到網絡上進行���,同時實現稅務部門組織結構和工作流程的重組優化,超越時間�����、空間和部門分隔的制約��,向社會和納稅人提供高效優質����、規范透明和全方位的管理與服務��。稅務電子政務的實施使得稅務部門事務變得公開、高效、透明���、廉潔和信息共享,與此同時���,也使得政務信息系統安全問題更加突出和嚴重,影響稅務電子政務信息系統功能的發揮,甚至對稅務部門和納稅人產生危害,嚴重的還將對國家信息安全乃至國家安全產生威脅。因此,建設稅務電子政務信息系統安全的保障體系是發展稅務電子政務的關鍵所在,具有極其重要的意義。
1稅務電子政務系統安全體系概述
稅務電子政務系統安全體系方面的研究始終是學術界研究重點和稅務部門、企業界廣泛關注的焦點之一�����,已經出現了較多的研究成果和實踐案例����,比如將稅務電子政務安全相關標準分成信息安全總體標準、密碼算法、密碼管理標準��、防信息泄漏標準�、信息安全產品標準、系統與網路安全標準、信息安全評估標準、信息安全管理標準8個類別�����;將稅務電子政務安全體系劃分為“網絡安全政策法規���、網絡安全組織管理�、網絡安全標準規范、網絡安全服務產業、網絡安全技術產品和網絡安全基礎設施”六個組成部分�;將稅務電子政務安全保障體系劃分為安全法規�、安全管理��、安全標準�、安全服務�����、安全技術產品和安全基礎設施6大要素��;部分廠商則或者從網絡�����、傳輸�����、存儲安全以及可靠性、隱秘性��、易維護性等角度構建安全體系�����,或者從物理�����、網絡���、主機����、應用角度設計�;或者從物理隔離、基礎平臺安全�、應用平臺安全和安全管理四個方面進行總體考慮��。
2如何構建完善的稅務電子政務系統安全體系
我們知道,稅務電子政務系統安全體系是整個稅務電子政務系統安全����、有效����、高效運行的重要保證�����,因此安全體系應切合稅務電子政務系統實際需求,在保證物理安全和網絡安全的基礎上��,充分保證數據安全和應用系統安全�,同時通過安全制度建設和安全教育培訓實現安全體系有效實施,以全面保證稅務電子政務應用系統中各類信息的采集��、處理��、管理����、傳輸等安全進行��,并滿足將來稅務電子政務系統安全方面的擴展需求��。下面我們將在闡述稅務電子政務系統安全體系基本構建原則的基礎上,從物理安全��、網絡安全����、數據安全、應用系統安全�、安全制度建設�、安全教育和培訓等方面對完善的稅務電子政務安全體系進行說明���。
(1)構建電子政務系統安全體系的基本原則
參照我國稅務電子政務建設指導意見并結合稅務電子政務安全體系方面的研究��,我認為:構建稅務電子政務系統安全體系應當遵循以下原則:
Ÿ1)全面設計����、整體部署
2)統一標準�����,加強管理
Ÿ3)需求主導,重點突出
Ÿ4)靈活配置、動態部署
5)制度建設�����、安全培訓
(2)電子政務系統安全體系之物理安全
物理安全是整個稅務電子政務系統安全的前提��,用于保證計算機網絡設備�����、設施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞��。稅務電子政務系統安全體系中的物理安全可以分為環境安全��、設備安全和媒體安全��,涉及到稅務電子政務系統應用范圍內的各方主體。其中,環境安全是對系統運行環境的安全保護,如區域保護和災難保護等�,具體可以參照國家標準GB50173-93�����、GB2887-89��、GB9361-88等相關要求進行設計;設備安全則主要包括存儲�����、傳輸或系統運行所用設備的防盜����、防毀��、防磁���、防止線路截獲�、抗電磁干擾及電源保護等���;媒體安全則包括存儲媒體本身的安全以及媒體中存儲數據安全�。
(3)稅務電子政務系統安全體系之網絡安全
稅務電子政務系統安全體系之網絡安全主要分為傳輸網絡安全和業務網絡安全兩類。對于稅務電子政務系統相關的傳輸網絡,網絡安全主要是保證參與稅務電子政務系統各方主體之間的數據傳輸網絡以及公共網絡服務的安全可靠運行,從目前稅務電子政務建設情況來看�����,傳輸網絡安全目前需要由網絡基礎設施提供商或服務商為其安全性提供充分保證���。對于稅務電子政務系統相關的業務網絡���,網絡安全主要包括控制撥號用戶接入�����、設置防火墻�、防范病毒�、控制與公網互連、防范黑客入侵以及就網絡安全進行嚴格監控和規范管理等以保護業務網絡資源和電子政務應用服務。
1)撥號用戶接入問題:
目前��,我國稅務電子政務系統網絡建設并不完善���,還存在部分網絡環境較差的單位���,在使用稅務電子政務系統的時候需要通過撥號方式利用公用電話交換網在網絡上傳輸數據�。以該種方式傳輸的數據可能在傳輸過程中被竊聽、被篡改,因此針對由于使用撥號方式傳輸數據所產生的安全隱患,需要采用撥號用戶身份認證等加強對撥號用戶的安全驗證,對撥號用戶實現統一管理��,采用加密手段對關鍵數據加密后進行傳輸����,防止數據泄漏和被非法竊?��?���;嚴格限制撥號上網用戶能訪問的系統信息和系統資源,防止非法用戶撥號進入電子政務系統所在網絡�����。
2)防火墻設置問題:
在稅務電子政務系統運行所在專網和外網之間�、不同安全域之間需要根據需要設置防火墻,依據安全政策對出入網絡的信息流進行控制��,有條件地允許�、拒絕、檢測或過濾��。防火墻設置需要綜合考慮電子政務系統所要求的速度�、性能、管理��、便易性和性價比等各個方面�����,進行周密設計和總體規劃���;另外應注意加強安全管理����,采取一些必要的措施保證較高的安全性,比如防火墻要安裝在不同的介質上�����,盡量使用不同的服務器提供不同性質的服務�����,對于重要系統的出口應重點配置防火墻,在實際配置和實施時應該關閉不需要的服務�����,要經常檢查防火墻的日志�,發現異常應該及時處理,采取多層防御�、冗余防御等多種方法和措施����。
3)關于防病毒問題:
在稅務電子政務系統中���,需要基于業務需求建立多層次病毒防衛體系�。無論是B/S還是C/S結構,均需要在稅務電子政務系統每一個安裝或運行點強調安裝反病毒軟件�,在稅務電子政務系統中的業務處理終端和服務器端應同時提供對應的防病毒保護措施�����。防病毒工作是一個長期的工作,應及時進行防病毒軟件或系統的升級�����、換代工作���。另外除了采用各種防病毒產品以外��,還應建立和實施完善的綜合安全性操作程序,該操作程序應包括各種安全措施,如定期數據備份����、關鍵信息加密保護等��。
4)控制與公網互連的問題:
在稅務電子政務系統中,數據傳輸的方式一般包括紙質傳輸、介質傳輸和網絡傳輸����,因此對于公網傳輸的情況應加強安全方面的管理和控制�����。稅務電子政務系統要求內外網物理隔離,一般可以采用雙穴主機及類似措施��,在嚴格控制與公網互連的前提下��,妥善解決公網與專網之間的數據傳輸問題��。
5)關于防止黑客問題:
隨著網絡規模的擴張和信息技術的飛速發展,黑客技術也不斷發展,其攻擊的范圍和層次也不斷擴張���。稅務電子政務系統作為我國政府信息化的重要項目(比如金稅工程、秦稅工程等)也有可能成為某些惡意黑客的攻擊對象。因此在設計和實施稅務電子政務系統安全體系時��,應加強采用入侵檢測技術防范黑客入侵和侵襲�����,并在必要的時候采取證據記錄�����、跟蹤恢復、強制斷開等措施保證業務網絡的安全。
6)網絡安全管理和監測:
網絡安全管理和監測是稅務電子政務系統安全設施和安全機制有效發揮作用的重要保證��,主要包括安全規范的制定和實施����、各類操作用戶的安全管理�����、安全體系的運營監控���、應急處理和安全控制等�����。
(4)稅務電子政務系統安全體系之數據安全
稅務電子政務系統一般將需要采集���、整理��、處理、傳輸、統計�����、分析等所對應的數據進行安全分級����,比如有些系統將數據分為一般數據、重要數據和關鍵數據三級���,有些系統將數據分為自主保護、審計保護���、標記保護、結構化保護和驗證保護五級等�����,然后對于不同級別的數據采用不同的安全措施��。
根據數據的處理形式不同,安全體系之數據安全可以分為數據傳輸安全��、數據存儲安全�、數據庫安全三個方面。
(5)稅務電子政務系統安全體系之應用系統安全
稅務電子政務系統安全體系之應用系統安全主要包括用戶身份認證�、訪問控制���、安全審計及日志�����、安全技術及應用四個部分。
1)用戶身份認證
這里的用戶是一個比較寬泛的概念�����,不僅包括使用稅務電子政務系統的政務工作者(人)���,還包括訪問或者使用稅務電子政務系統的其他系統或者主機�����、服務器等(系統���、計算機)����。
用戶身份認證根據稅務電子政務系統是否部署認證中心CA可以劃分為如下兩種情形:當稅務電子政務系統中沒有部署認證中心CA時���,一般采用用戶名稱�����、密碼、附加驗證碼的形式進行用戶身份認證。只有稅務電子政務系統的數據庫中保存了該用戶的記錄�����,并且該用戶具有合法訪問當前稅務電子政務系統的權限�,用戶才能夠登錄當前稅務電子政務系統�。如果稅務電子政務系統部署了認證中心CA����,那么一般CA是在全系統部署并發揮作用的,每個稅務電子政務系統用戶首先向CA申請數字證書并以此作為用戶參與稅務電子政務系統的合法身份��。超級秘書網
用戶身份認證一般發生于用戶登錄稅務電子政務系統時或者不同稅務電子政務系統之間傳遞數據時的情況�����。在用戶登錄稅務電子政務系統時���,需要對登錄用戶持有的數字證書進行認證���,以保證只有合法持有有效數字證書的用戶才能夠登錄稅務電子政務系統�����,同時還需要進行安全審計和記錄系統安全日志。
2)訪問控制
在稅務電子政務系統中����,需要指定各個應用層次中的每一個用戶所能夠訪問的業務資源和系統資源�����,也即訪問控制和權限分配策略�����。
這里的權限不但包括用戶能否訪問的業務范圍�、業務數據���、數據的訪問方式���、操作類型等���,還包括稅務電子政務系統相關的系統資源���,包括打印�����、郵件等���。
3)安全技術及應用
根據安全級別的劃分���,可以采用包括數據加密與解密�����、數據摘要及驗證、數字簽名及驗證、時間戳加蓋及驗證等在內的安全技術保證系統的安全性���、完整性和不可否認性�。
(6)稅務電子政務系統安全體系之安全制度建設
稅務電子政務系統安全體系要真正發揮作用,還需要制定安全制度并嚴格實施����。一般的��,安全制度包括人員安全管理、系統文檔管理��、環境安全管理��、設備購置使用�����、系統開發管理�、運營安全管理���、應急情況處理等內容����。
(7)稅務電子政務系統安全體系之安全教育和培訓
稅務電子政務系統中,用戶安全意識及其掌握的安全知識是整個安全體系高效��、有效運行和正常維護的重要因素之一���,因此在電子政務系統的設計���、研發�、實施、運維、服務的過程中,應建立完善的安全教育和培訓體系�����,以定期或不定期對電子政務系統涉及的各類用戶進行安全相關的教育和培訓�。
綜上所述�����,建立全方位�、多層次的�����、完善的稅務電子政務系統安全體系���,應從物理安全����、網絡安全���、數據安全���、應用系統安全�、安全制度建設、安全教育培訓六個方面進行全面��、細致規劃和周密�、整體部署。另外��,在構建稅務電子政務系統安全體系的同時����,還需要注意切合稅務電子政務系統實際進行設計,安全思路清晰���、安全體系全面、安全重點突出等相關問題�����。
參考文獻:
1曹凌�����,耿鵬.電子政務管理模式探析.西安電子科技大學學報(社科版),2001(9)
第2篇
隨著教育網基礎建設的逐步完成,其構成的信息化高速公路在學校教學���、科研、管理和對外交流等多方面扮演著越來越重要的角色。
楊浦區早在1996年就成立了區教育信息中心,并將其建成了連接各校園網的門戶站點,校際共享的教育教學的資料庫��,教育行政部門管理的網絡中心�����。
全區中小學信息中心網絡實現24小時開通���,建立了全區中小學電子郵件系統����,通知、提示、文件全部網上運行���,加快了信息的傳遞速度,提高了工作效率��。分批推進校園網建設��,實施“校校通”工程���,做到“線路通�����、資源通��、應用通”���。
但是�,數字化技術的大量應用���,也使惡意和非惡意性的侵害和攻擊行為發生的可能性大大提高�,如何保障信息系統安全、優良的運行����,實行高效�、及時的管理?同時維護也成為重點考慮的問題���。
楊浦區教育信息系統是教育行業內發展快�、基礎架構完善的網絡,承載著整個區的網絡教育以及教職員的研究項目的任務��。由于網絡系統比較出名���,容易招致黑客的惡意攻擊���。
每當攻擊導致網絡出現故障時���,學生將無法完成自己的課堂作業���,教職人員無法進行自己的研究項目��,行政管理人員則無法完成日常的管理任務��。攻擊也會給網絡小組造成極大的麻煩�,此外,學校還必須投入數十萬元的資金用于恢復網絡�����。
如何尋求新的解決方案給網絡安全再上一道門��。那么�,什么樣的門才能實現這個功能呢?防火墻的目標是用于網絡訪問控制�,對于黑客使用緩沖區溢出等應用或攻擊OS弱點無能為力。
另外�����,對于通過郵件傳播的蠕蟲病毒�����,防火墻也無法阻擋�。而且���,黑客的攻擊都是利用防火墻允許通過的協議發起的針對主機漏洞的攻擊�。IDS只能是被動的報警,有時候還有相當大的漏報和誤報現象發生��。
最終����,IPS(入侵防護系統)吸引了信息中心同事們的注意。他們發現��,IPS不僅具有IDS的預警功能,而且����,還可以在報警的同時�,截獲惡意的數據包���,實現主動防御���。
通過對防火墻�����、IDS以及IPS等安全工具的優劣勢進行比較分析,楊浦區教育信息中心的技術人員都覺得IPS是最佳的選擇�����,于是��,他們決定引進IPS系統��。
通過多家公司的產品測試,最后決定購買McAfee的設備���。McAfee具有全面的安全產品,如防病毒���、病毒網關、入侵防護以及安全風險管理�。目前主要是解決網絡安全事情�����,特別是蠕蟲和非法攻擊。經過嚴格的測試和對比���,最后決定選擇McAfee Intrushield 2600。
McAfee Intmshield 2600可同時以In-Line的方式防護四條鏈路�,做到對網絡入侵攻擊的實時阻斷��。提供一對千兆端口和三對百兆快速以太網端口,吞吐量高達600Mb/s�����,不僅滿足了楊浦區教育信息中心的現有網絡需求�,并且為信息中心網絡今后的擴展提供了很大空間���。
同時��,可以根據楊浦區教育城局域的需求�,在McAfee Intrushield2600上針對VLAN和CIDR設定虛擬IPS�,以做到更進一步的細致防護,確保整個楊浦區教育城域網網絡的安全�����。
在安全系統中�����,將McAfee Intrushield 2600的一對檢測防護端口以In-Line的方式串接在核心交換機和鏈路負載均衡設備Radware LinkProof之間�����,以做到實時的阻斷整個楊浦區教育城域網內網對外網及外網對內網的入侵攻擊。
一對檢測防護端口同樣以In-Line的方式串接在核心交換機和電信MPLSVPN接入之間,以做到實時的阻斷內部網絡中各學校對信息中心應用服務器群的入侵攻擊�����,有效的保護信息中心的安全��。
MsAfee IntruShield能夠通過先進的簽名檢測�、異常檢測以及DoS攻擊檢測來預防各種各樣的攻擊�,其先進的功能也使楊浦區教育信息中心的工作人員受益匪淺。自從部署了McAfee IntruShield以后,楊浦區教育城域網被攻擊的次數顯著降低了�����。
加油IC卡:防毒也“加油”
文 斌
如今80%的病毒通過電子郵件進行傳播���,那么加油IC卡系統是如何對整個防病毒系統進行集中管理�,如何在網關處就將帶病毒的電子郵件掃除門外?
中國石化加油IC卡系統是中國石化集團公司與銀行合作開展的跨系統、跨地區的特大型IC卡應用項目�����。
IC卡系統通過以現代支付工具IC卡取代傳統的現金���、油票等結算����,實現加油款的電子支付和交易數據的自動采集,在各級石油公司和加油站建設零售業務管理信息系統,以高科技的經營管理和服務提高工作效率����、降低經營成本�����,使企業在市場競爭中處于有利的地位。
項目的建設不僅為開展油品電子商務業務奠定基礎�,也有利于逐步以加油卡這一現代金融工具替代傳統的現金��、油票結算,同時采用銀企合作方式建設通用加油卡系統��,也為國有商業銀行開辟了新的業務領域和新的服務市場���。由于中國石化加油IC卡系統需要完成各種交易信息的傳送和處理��,因此���,確保系統的安全可靠至關重要�。
全方位保護系統
為了全面實現“中國石化加油Ic卡防病毒管理系統”的目標�,最大限度地防范病毒危害����,在建立“中國石化加油IC卡防病毒管理系統”時,針對網絡構造和應用環境的實際情況�,采用McAfee Active Virus Defense(AVD)和McAfee安全網關解決方案�。
建立全方位的�、統一完整的加油IC卡防病毒系統,從桌面客戶端��、服務器��、群件以及網關上進行全方位����、多層次的整體防護�,并通過McAfee AVD的核心產品ePolicy Orchestrator(ePO)對整個防病毒系統進行集中管理,分級控制���,確保保護整個企業網絡遠離各種病毒攻擊。
針對桌面客戶端的防病毒產品VirusScan�,VirusScan支持多種操作系統�,從而能夠對最廣大的用戶群提供支持���,同時集成了一些功能強大的輔助技術���,可以自動地保護系統免于崩潰和數據的意外丟失�。
針對服務器的防病毒產品NetShield,NetShield支持Novell�、Win NT���、Win2000S和NetApp等多種操作系統�����,能夠從一個直觀的控制臺保護整個企業的文件、應用程序和群件服務器����,方便地從本地服務器或工作站監測、配置和執行遠程服務�����。
分別專門針對Lotus Domino和Microsoft Exchange群件環境的防病毒產品GroupShield for Domino和GroupShield for Exchange。
傳統的反病毒產品并不能對專有數據庫內部以及群件環境中使用的通信進行掃 描��,但群件服務器級的病毒防護功能對于企業防止病毒的擴散是十分重要的�。應用了McAfee高級掃描技術的GroupShield能夠有效防止病毒在信息傳遞過程中發作,在病毒擴散到網絡其他部分時有效地將其查殺�。
VirusScan防范多威脅
VirusScan Enterprise 8.Oi使得用戶和管理員能夠從容應對最常見的潛在惡意軟件程序��,包括蠕蟲、間諜軟件以及廣告軟件��。
VirusScan Enterprise 8.Oi擴展了對新類型惡意代碼的檢測功能�,這就意味著它能夠為企業的敏感信息和資產提供更有效、更強大的保護����。該產品在初始配置情況下能夠預防約200多種最具危險性的潛在惡意程序��,用戶還可以按照計劃在潛在惡意程序安全列表中添加新發現的惡意程序。
網關攔截病毒
電子郵件已經成為計算機病毒傳播的主要媒介��,據統計���,80%的病毒通過電子郵件進行傳播�。
如果能夠在網關處就開始對電子郵件進行掃描,在病毒進入網絡之前就將其截住�����,從而將對關鍵業務系統可能造成的危害減到最低�。
McAfee安全網關全面集成了軟硬件技術的防病毒硬件設備。利用McAfee安全網關,企業用戶能夠對出入網絡的電子郵件����、HTTP數據與FTP數據進行掃描以搜尋病毒信號����。一旦偵探到病毒信號�����,能夠將其清除、阻止或隔離該信息或數據。
中國石化加油IC卡系統是中國石化集團公司的重要系統,整個系統的穩定性直接影響著業務的發展�����。自從利用McAfee構建起全面防病毒系統后�����,整個系統運行穩定�,實現了全方位的病毒防護��,確保了整個系統免遭病毒的攻擊和危害���,保障了業務的順利發展���。
SOC建設劍指金融安全
劉 巖
安全管理已經被業界所認可���,那么如何將這些管理上的制度和規范落實��,將這些安全管理目標真正用技術手段加以控制?
正如ISO 17799國際標準所強調的,“信息安全是管理的過程����,而不能僅僅考慮技術因素�����?!彪S著信息技術的發展,金融領域的科技工作重點已經由網絡建設���、數據大集中、安全基礎設施建設�����,發展到安全管理的階段���。
那么如何才能更加體系化、流程化��、平臺化的進行信息安全管理系統的建設呢?
從BS7799談起
由英國標準協會(BSI)在1999年首次提出的BS7799安全管理標準��,2000年正式成為ISO/IEC 17799���,并于2005年發展為最新版本ISO/IEC 27001��。
該標準通過11個大類的安全目標和安全控制,構建了信息安全管理系統的框架���,為各機構進行信息安全管理工作提供基礎的依據。
七分管理���,三分技術,管理和技術在金融領域的安全工作中是密不可分的�,管理需要以強大的技術手段作為依托�,技術的實施需要以管理目標作為依據��。
近年來�,國內的各大銀行均在加強安全策略和規范的建設�����,如人民銀行早在2003年牽頭編制了《銀行和相關金融服務信息安全管理規范》,而交通銀行也正在制定信息安全總體規劃�,并制定相應的規范�����。
國外的同行業機構已經將7799的認證工作確實的落實到具體的安全技術體系之上,例如英國的SmileBank���,其網上銀行最早獲得了英國BSI的7799 ISMS認證,并以此認證工作為契機為網銀的客戶提供強有力的安全保障��。
如何將安全管理上的目標真正用技術手段做到控制呢?SOC(Seevturity Op-eration Center)就是在這樣的大環境之下順理成章出現并不斷發展�,它是從單一的技術手段向管理過渡的重要里程碑。
四個中心�����,五個模塊
啟明星辰提出的SOC解決方案����,其體系架構如圖1所示,由“四個中心��、五個功能模塊”組成:
“四個中心”是漏洞評估中心�、事件流量監控中心、綜合分析決策支持與預警中心和響應管理中心���;
“五個功能模塊”是策略管理、資產管理���、用戶管理、安全知識管理和自身系統維護管理��。常用的關鍵系統功能:
脆弱性管理
通過脆弱性管理可以掌握全網各個系統中存在的安全漏洞情況��,結合當前安全的安全動態和預警信息����,有助于各級安全管理機構及時調整安全策略��,開展有針對性的安全工作,并且可以借助弱點評估中心的技術手段和安全考核機制可以有效督促各級安全管理機構將安全工作落實。
綜合分析與預警
綜合分析與預警是安全運營中心的核心模塊,依據資產管理和脆弱性管理中心進行綜合的事件協同關聯分析�,并基于資產(CIA屬性+價值)進行風險評估分析���,按照風險優先級針對各個業務區域和具體事件產生預警��,參照網絡安全運行知識管理平臺的信息,并依據安全策略管理平臺的策略驅動響應管理中心進行響應處理。
響應管理
響應管理是根據當前的網絡安全狀態���,及時調動有關資源做出響應,降低風險對網絡的負面影響。
網絡安全響應模塊負責根據預定義好的安全策略規則�,及時工作指令���,調動有關資源做出響應�����。實現人機接口,通過人工派單方式發送到相應的工單處理部門���。工單的通知方式包括圖形顯示����、SNMP Trap�、郵件和短信。
安全策略管理
網絡安全的整體性要求需要有統一安全策略和基于工作流程的管理�。通過為全網安全管理人員提供統一的安全策略��,指導各級安全管理機構因地制宜的做好安全策略的部署工作,有利于在全網形成安全防范的合力��,提高全網的整體安全防御能力�����。
同時通過策略和配置管理平臺的建設可以進一步完善整個IP網絡的安全策略體系建設�����,為指導各項安全工作的開展提供行動指南����,有效解決目前因缺乏口令、認證����、訪問控制等方面策略而帶來到安全風險問題�。
安全知識管理
安全信息管理是安全信息的WEB系統��,不僅可以充分共享各種安全信息資源�,而且也會成為各級網絡安全運行管理機構和技術人員之間進行安全知識和經驗交流的平臺��,有助于提高人員的安全技術水平和能力���。
實現在安全管理中心WEB門戶提供統一界面以安全WEB的形式最新的安全信息��,并將處理的安全事件方法和方案收集起來,形成一個安全共享知識庫,該信息庫的數據以數據庫的形式存儲及管理��,為培養高素質的網絡技術人員提供培訓資源��。
SOC架起安全橋梁
SOC是安全管理工作的重要工具之一��。機構資產的梳理、防火墻的配置、入侵檢測系統的事件分析�����、甚至整個信息系統的脆弱性和威脅分析����,這些都不能做到整體的安全管理。因為管理者不可能過多的關注某些細節��,安全管理需要對整體的安全現狀和態勢進行宏觀地把握�����,并果斷 有效的傳達旨意,采取措施�。所以SOC的首要價值是通過技術的實現手段加強對安全管理的關注�。應該關注的問題有:
銜接宏觀與微觀
金融機構的安全建設提出了更多管理層面的問題�,需要對多種資源的整合管理更加重視。目前企業的安全運行管理普遍現象是�����,不同類安全產品分別有其自身的管理控制臺��,網絡與主機設備由網管系統管理���。特別對于金融行業而言�����,需要有效地整合各系統,對事件的數據格式�����、分級進行標準化,從全局上對整個網絡安全事件進行分析�����。
解決人員依賴性
企業需要解決人力嚴重不足的問題�,降低對人員技術水平、經驗以及責任心的依賴���,把人員所造成的安全風險降到最低?�?紤]到事件優先級判斷與參與人員的技術水平和經驗相關�,很難有客觀的分析和判斷��,需要建立一套完整的事件采集���、統計�����、判斷和處理機制。
關注業務風險
對于技術型的人員來說�����,往往采用技術型語言來描述問題�。這種情況下,容易與領導和非技術部門人員產生溝通和交流的問題���。因此需要將技術型問題上升到管理型的問題,風險數字化�,損失數據化��。
合規性
BS 7799作為系統的安全管理標準,在國際金融界廣為使用��。所謂7分管理���、3分技術�。管理和技術一直很難整合起來,管理不僅是制度��,還需要有一種系統來實現管理的目的�。SOC將安全管理需求與安全技術解決方案的整合,將管理和日常技術工作融合在一起�。
有效顯示
第一時間發現病毒或者入侵事件源頭和發展趨勢���,通過圖形化顯示��,直觀了解全網的情況。
SOC能夠把問題顯示出來���,能夠量化���。每天發現了多少次��,解決了多少次��,從而了解到網絡安全的真實現狀。
通過監控大屏幕的顯示可以將整個網絡管理的現狀和態勢展示出來����,機構領導者可以直觀的在監控中心了解宏觀安全��,并指揮各地的安全工作的落實。
例如,交通管理指揮中心人員不需要親自前往各個擁堵的路段����,他們只需要通過各種手段采集交通信息作匯總和���,統一的指揮調度���。安全管理工作也同樣需要這樣的機制進行全局的管控�。
有效提煉�����,實施預警
SOC系統可以從海量的安全事件報警中得出有價值的信息�,及時采取報警措施����。
有效投資
安全風險是無限的���,而安全投資是有限的�。應該利用有限的安全投資解決無限的安全風險(安全投資ROI=減少的安全損失/安全投入)���。
與安全域劃分相結合
安全域的劃分和賦值是金融行業網絡安全建設的重要環節�。啟明星辰的泰合SOC解決方案的另一大特點�����,也是安全建設非常有價值的功能之一���,是可以部署基于安全域的SOC平臺�����,從而實現多層次可定制的安全域管理,基于域的細粒度風險計算和監控能力,并且以安全域的思想進行風險管理。
安全域作為安全建設的核心�����,需要長期的管理�����,SOC是安全域管理監控的有效工具���。使用資源管理中的安全域管理的核心功能���,可以使安全建設從單純的信息安全工作向業務保障轉換��,同時將宏觀的信息安全建設向下落實。
中國的信息安全起步和發展都處于世界前列�,特別是在金融領域�,2000年以來信息安全的技術和管理層面都已經作了大量的工作��。但是行業科技人員和管理者還需要繼續腳踏實地的落實信息安全管理工作,從而切實地為我們的金融客戶提供高可靠����、高質量的服務�����,使金融機構穩步健康地發展。
雙認證護航遠程安全
滿 欣
由于RSA SecurlD認證器上每隔60秒轉換一次6位數的無窮盡無重復口令多么高明的黑客都無法在如此短的時間內猜測出如此復雜的口令�。
中國大地財產保險股份有限公司(簡稱大地財險)由包括中國再保險(集團)公司在內的10家境內外投資人共同發起設立����,總部設在上海�,目前全國有15家分公司。
為了建設一個高起點和高標準的信息化系統���,大地財險與IBM公司合作,引進國際先進的保險理念和信息技術�,初步建立起公司的信息技術基礎平臺�����。
基于VPN的種種優勢以及最大化保險人的工作效率,大地財險的許多業務資源訪問已經開始通過VPN實現����,具備合法身份的工作人員可以利用VPN訪問公司的核心資源�����。
VPN是把雙刃劍?
大地財險的運營越來越依賴企業的核心力系統和數據,在通過VPN提高工作效率的同時��,也看到了潛在的安全風險���。
畢竟��,VPN所應用的通信隧道,需要通過公共網絡并且必須向各種各樣的用戶打開自己的“網絡之門”。如果是正確的人存取了正確的信息�����,就等于你找到了一種功能無與倫比的商務工具。但是�����,當VPN的遠程存取權落入錯誤的掌握之下時�����,就無疑是一場大災難���。
如何為企業的VPN訪問建立一個更加安全的環境��,成為大地財險完善VPN服務的一個關鍵因素。
VPN網絡安全認證主要有以下幾種形式:密碼屬于一種最弱的安全形式�,密碼公認的優點在于易于部署應用并且費用非常低廉�。但是���,密碼非常容易被猜中��、被竊取或者受到其他的破壞�。
雙因素認證必須提供兩種形式的認證內容�。這就象是一部銀行的自動取款機(ATM),用戶既需要知道身份(卡)號碼,還需要擁有認證設備(令牌或者智能卡)�。
隨著互聯網交易數量的增長��,將數字證書作為一種認證形式變得更加廣泛。數字證書可以幫助識別用戶,因為它要求使用具有唯一性的數字信用證明。
使用智能卡的安全等級最強�。這不僅在于使用智能卡得到了雙因素認證保護��,而且還因為雙密鑰可以在智能卡上生成并儲存。
生物認證利用的是某個用戶所擁有的唯一生物特征����。利用這種技術需要掌握某些生物數據,例如:指紋、視網膜掃描以及聲波紋等等����。
最終���,大地財險決定采用雙因素認證來保障其VPN網絡的安全登錄���。
虛擬專用網絡(VPN)正迅速成為遠程存取應用中最普及的一種方法��。通過建立在復雜交織的公共網絡中的一個專用通信隧道,VPN可以使用戶充分利用互聯網的強大功能,不僅大大節省了用戶遠程存取應用的費用��,而且還進一步提高了工作效率��。
但是��,作為個人專用并不一定意味著一個虛擬的個人網絡具備應有的安全性,這是由于VPN經常采用的保護手段僅限于一種門檻偏低的密碼屏障��。
大地財險通過對業界知名安全廠商所提供解決方案的對比��,最終采用了RSA SecurID和Web Express認證解決方案�����。
同步令牌雙認證
目前,大地財險僅僅為其符合資格的保險人配備了RSA SecurID令牌����。RSA SecurID時間同步令牌提供功能強大的雙因素認證�����,這種技術要求用戶提供他們知道的口令和他們擁有的硬件令牌。
這些令牌被設計成一種易于操作使用并且便于攜帶的小件產品,用來替代口令這種可以被輕松猜中或破解的安全性能偏弱的認證形式。
雙因素用戶認證系統能夠代替基本的密碼安全機制,有效抵御非法入侵�,使寶貴的網絡資源獲得完善的保護�,免受意外造成的破壞及惡意入侵�����。
RSA SecurID雙因素用戶認證產品的操作,如同使用取款卡一樣簡單方便�。用戶只需在進入受保護的網絡前����,先行輸入個人識別密碼,以及在RSA SecurlD認證器上每隔60秒轉換一次口令���,就能通過認證。
