時間:2023-07-18 16:41:33
導語:在安全保障管理策略的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
隨著云計算、大數據等新興技術的不斷發展,企業信息化、智能化程度、網絡化、數字化程度越來越高,人類社會進入到以大數據為主要特征的知識文明時代。大數據是企業的重要財富,正在成為企業一種重要的生產資料,成為企業創新、競爭、業務提升的前沿。大數據正在成為企業未來業務發展的重要戰略方向,大數據將引領企業實現業務跨越式發展;同時,由此帶來的信息安全風險挑戰前所未有,遠遠超出了傳統意義上信息安全保障的內涵,對于眾多大數據背景下涉及的信息安全問題,很難通過一套完整的安全產品和服務從根本上解決安全隱患。
自2008年國際綜合性期刊《Nature》發表有關大數據(Big Data)的專刊以來,面向各應用領域的大數據分析更成為各行業及信息技術方向關注的焦點。大數據的固有特征使得傳統安全機制和方法顯示出不足。本文系統分析了大數據時代背景下的企業信息系統存在的主要信息安全脆弱性、信息安全威脅以及信息安全風險問題,并有針對性地提出相應的信息安全保障策略,為大數據背景下的企業信息安全保障提供一定指導的作用。
1 大數據基本內涵
大數據(Big Data),什么是大數據,目前還沒有形成統一的共識。網絡企業普遍將大數據定義為數據量與數據類型復雜到在合理時間內無法通過當前的主流數據庫管理軟件生成、獲取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等的大型數據集。大數據具有4V特征(Volume,Varity,Value,Velocity),即數據量大、數據類型多、數據價值密度低、數據處理速度快。
2011年麥肯錫咨詢公司了《大數據:下一個創新、競爭和生產力的變革領域》[1]的研究報告,引起了信息產業界的廣泛關注。美國谷歌公司(Google)、國際商業機器公司(IBM)、美國易安信公司(EMC)、臉書(Facebook)等公司相繼開始了大數據應用、分析、存儲、管理等相關技術的研究,并推出各自的大數據解決框架、方案以及產品。
例如,阿帕奇軟件基金會(Apache)組織推出的Hadoop大數據分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技術框架等,這些研究成果為隨后的大數據應用迅猛發展提供了便利的條件。2012年3月,美國奧巴馬總統了2億美元的“Big Data Initiative”(大數據研究和發展計劃),該計劃涉及能源、國防、醫療、基礎科學等領域的155個項目種類,該計劃極大地推動了大數據技術的創新與應用,標志著奧巴馬政府將大數據戰略從起初的政策層提升到國家戰略層。
同時,我國對大數據的認識、應用及相關技術服務等也在不斷提高,企業界一致認同大數據在降低企業經營運營成本、提升管理層決策效率、提高企業經濟效益等方面具有廣闊的應用前景,相繼大數據相關戰略文件,同時國家組織在民生、國防等重要領域投入大量的人力物力進行相關技術研究與創新實踐。中國移動通信公司在已有的云計算平臺基礎上,開展了大量大數據應用研究,力圖將數據信息轉化為商業價值,促進業務創新。
例如,通過挖掘用戶的移動互聯網行為特征,助力市場決策;利用信令數據支撐終端、網絡、業務平臺關聯分析,優化網絡質量。商業銀行也相繼開展了經融大數據研究,提升銀行的競爭力。例如,通過對用戶數據分析開展信用評估,降低企業風險;從細粒度的級別進行客戶數據分析,為不同客戶提供個性化的產品與服務,提升銀行的服務效率。總而言之,大數據正在帶來一場顛覆性的革命,將會推動整個社會取得全面進步。
2 大數據安全研究現狀
在大數據計算和分析過程中,安全是不容忽視的。大數據的固有特征對現有的安全標準、安全體系架構、安全機制等都提出了新的挑戰。目前對大數據完整性的研究主要包括兩方面,一是對數據完整性的檢測;二是對完整性被破壞的數據的恢復。在完整性檢測方面,數據量的增大使傳統的MD5、SHA1等效率較低的散列校驗方法不再適用,驗證者也無法將全部數據下載到本地主機后再進行驗證。
面向大數據的高效隱私保護方法方面,高效、輕量級的數據加密已有多年研究,雖然可用于大數據加密,但加密后數據不具可用性。保留數據可用性的非密碼學的隱私保護方法因而得到了廣泛的研究和應用。這些方法包括數據隨機化、k-匿名化、差分隱私等。這些方法在探究隱私泄漏的風險、提高隱私保護的可信度方面還有待深入,也不能適應大數據的海量性、異構性和時效性。
在隱私保護下大數據的安全計算方面,很多應用領域中的安全多方計算問題都在半誠實模型中得到了充分的研究,采用的方法包括電路賦值(Circuit Evaluation)、遺忘傳輸(Oblivious Transfer)、同態加密等。通過構造零知識證明,可以將半誠實模型中的解決方法轉換到惡意模型中。而在多方參與、涉及大量數據處理的計算問題,目前研究的主要缺陷是惡意模型中方法的復雜度過高,不適應多方參與、多協議執行的復雜網絡環境。
企業大數據技術是指大數據相關技術在企業的充分應用,即對企業業務、生產、監控、監測等信息系統在運行過程中涉及的海量數據進行抽取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等,實現大數據對企業效率的提升、效益的增值以及風險的預測等。
企業的大數據類型通常主要包括業務經營數據即客戶信息數據、企業的生產運營與管理數據以及企業的設備運行數據等,即客戶信息數據、員工信息數據、財務數據、物資數據、系統日志、設備監測數據、調度數據、檢修數據、狀態數據等。企業大數據具有3V、3E特征[2],3V即數據體量大(Volume)、數據類型多(Varity)與數據速度快(Velocity),3E即數據即能量(Energy)、數據即交互(Exchange)與數據即共情(Empathy)。3 大數據時代企業信息安全漏洞與風險并存
大數據時代,大數據在推動企業向著更為高效、優質、精準的服務前行的同時,其重要性與特殊性也給企業帶來新的信息安全風險與挑戰。如何針對大數據的重要性與特殊性構建全方位多層次的信息安全保障體系,是企業發展中面臨的重要課題。大數據背景下,結合大數據時代的企業工作模式,企業可能存在的信息安全風險主要表現在以下三個方面:
(1)企業業務大數據信息安全風險:由于缺乏針對大數據相關的政策法規、標準與管理規章制度,導致企業對客戶信息大數據的“開放度”難以掌握,大數據開放和隱私之間難以平衡;企業缺乏清晰的數據需求導致數據資產流失的風險;企業數據孤島,數據質量差可用性低,導致數據無法充分利用以及數據價值不能充分挖掘的風險;大數據安全能力和防范意識差,大數據人才缺乏導致大數據分析、處理等工作難以開展的風險;管理技術和架構相對滯后,導致數據泄露的風險。
(2)企業基礎設施信息安全風險:2010年,震網病毒[3]通過網絡與預制的系統漏洞對伊朗核電站發起攻擊,導致伊朗濃縮鈾工程的部分離心機出現故障,極大的延緩了伊朗核進程。從此開啟了世界各國對工業控制系統安全的重視與管控。對于生產企業,工業生產設備是企業的命脈,其控制系統的安全性必須得到企業的高度重視。隨著物理設備管理控制系統與大數據采集系統在企業的不斷應用,監控與數據采集系統必將成為是物理攻擊的重點方向,越來越多的安全問題隨之出現。
設備“接入點”范圍的不斷擴大,傳統的邊界防護概念被改變; 2013年初,美國工業控制系統網絡緊急響應小組(ICS-CERT)預警,發現美國兩家電廠的發電控制設備在2012年10月至12月期間感染了USB設備中的惡意軟件。該軟件能夠遠程控制開關閘門、旋轉儀表表盤、大壩控制等重要操作,對電力設備及企業安全造成了極大的威脅。
(3)企業平臺信息安全風險: 應用層安全風險主要是指網絡給用戶提供服務所采用的應用軟件存在的漏洞所帶來的安全風險,包括: Web服務、郵件系統、數據庫軟件、域名系統、路由與交換系統、防火墻及網管系統、業務應用軟件以及其他網絡服務系統等;操作系統層的安全風險主要是指網絡運行的操作系統存在的漏洞帶來的安全風險,例如Windows NT、UNIX、Linux系列以及專用操作系統本身安全漏洞,主要包括訪問控制、身份認證、系統漏洞以及操作系統的安全配置等;網絡層安全風險主要指網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密性與完整性、路由系統的安全、遠程接入、域名系統、入侵檢測的手段等網絡信息漏洞帶來的安全性。
4 企業大數據信息安全保障策略
針對大數據時代下企業可能存在的信息安全漏洞與風險,本文從企業的網絡邊界信息安全保障、應用終端信息安全保障、應用平臺信息安全保障、網絡安全信息安全保障、數據安全信息安全保障等多方面提出如下信息安全保障策略,形成具有層次特性的企業信息安全保障體系,提升大數據時代下的企業信息安全保障能力。
4.1企業系統終端——信息安全保障策略
對企業計算機終端進行分類,依照國家信息安全等級保護的要求實行分級管理,根據確定的等級要求采取相應的安全保障策略。企業擁有多種類型終端設備,對于不同終端,根據具體終端的類型、通信方式以及應用環境等選擇適宜的保障策略。確保移動終端的接入安全,移動作業類終端嚴格執行企業制定的辦公終端嚴禁“內外網機混用”原則,移動終端接入內網需采用軟硬件相結合的加密方式接入。配子站終端需配置安全模塊,對主站系統的參數設置指令和控制命令采取數據完整性驗證和安全鑒別措施,以防范惡意操作電氣設備,冒充主站對子站終端進行攻擊。
4.2企業網絡邊界——信息安全保障策略
企業網絡具有分區分層的特點,使邊界不受外部的攻擊,防止惡意的內部人員跨越邊界對外實施攻擊,在不同區的網絡邊界加強安全防護策略,或外部人員通過開放接口、隱蔽通道進入內部網絡。在管理信息內部,審核不同業務安全等級與網絡密級,在網絡邊界進行相應的隔離保護。按照業務網絡的安全等級、實時性需求以及用途等評價指標,采用防火墻隔離技術、協議隔離技術、物理隔離技術等[4]對關鍵核心業務網絡進行安全隔離,實現內部網與外部網訪問資源限制。
4.3企業網絡安全——信息安全保障策略
網絡是企業正常運轉的重要保障,是連接物理設備、應用平臺與數據的基礎環境。生產企業主要采用公共網絡和專用網絡相結合的網絡結構,專用網絡支撐企業的生產管理、設備管理、調度管理、資源管理等核心業務,不同業務使用的專用網絡享有不同安全等級與密級,需要采取不同的保障策略。網絡彈性是指基礎網絡在遇到突發事件時繼續運行與快速恢復的能力。
采用先進的網絡防護技術,建立基礎網一體化感知、響應、檢測、恢復與溯源機制,采取網絡虛擬化、硬件冗余、疊加等方法提高企業網絡彈性與安全性;對網絡基礎服務、網絡業務、信息流、網絡設備等基礎網絡環境采用監控審計、安全加固、訪問控制、身份鑒別、備份恢復、入侵檢測、資源控制等措施增強網絡環境安全防護;在企業網絡中,重要信息數據需要安全通信。針對信息數字資源的安全交換需求,構建企業的業務虛擬專用網。在已有基礎網絡中采用訪問控制、用戶認證、信息加密等相關技術,防止企業敏感數據被竊取,采取建立數據加密虛擬網絡隧道進行信息傳輸安全通信機制。
4.4企業應用系統平臺——信息安全保障策略
應用系統平臺安全直接關系到企業各業務應用的穩定運行,對應用平臺進行信息安全保障,可以有效避免企業業務被阻斷、擾亂、欺騙等破壞行為,本文建議給每個應用平臺建立相應的日志系統,可以對用戶的操作記錄、訪問記錄等信息進行歸檔存儲,為安全事件分析提供取證與溯源數據,防范內部人員進行異常操作。
企業應用平臺的用戶類型多樣,不同的應用主體享有不同的功能與應用權限,考慮到系統的靈活性與安全性,采用基于屬性權限訪問控制[5]、基于動態和控制中心訪問權限控制[6]、基于域訪問權限控制[7]、基于角色訪問控制等訪問控制技術;確保企業應用平臺系統安全可靠,在應用平臺上線前,應邀請第三方權威機構對其進行信息安全測評,即對應用平臺系統進行全面、系統的安全漏洞分析與風險評估[8],并制定相應的信息安全保障策略。4.5企業大數據安全——信息保障策略
大數據時代下,大數據是企業的核心資源。企業客戶數據可能不僅包含個人的隱私信息,而且還包括個人、家庭的消費行為信息,如果針對客戶大數據不妥善處理,會對用戶造成極大的危害,進而失信于客戶。目前感知大數據(數據追蹤溯源)、應用大數據(大數據的隱私保護[9]與開放)、管控大數據(數據訪問安全、數據存儲安全)等問題,仍然制約與困擾著大數據的發展。大數據主要采用分布式文件系統技術在云端存儲,在對云存儲環境進行安全防護的前提下,對關鍵核心數據進行冗余備份,強化數據存儲安全,提高企業大數據安全存儲能力。
為了保護企業數據的隱私安全、提高企業大數據的安全性的同時提升企業的可信度,可采用數據分享、分析、時進行匿名保護已經隱私數據存儲加密保護措施來加強企業數據的隱私安全,對大數據用戶進行分類與角色劃分,嚴格控制、明確各角色數據訪問權限,規范各級用戶的訪問行為,確保不同等級密級數據的讀、寫操作,有效抵制外部惡意行為,有效管理云存儲環境下的企業大數據安全。
5 結束語
隨著信息技術的快速革新,數據正以驚人的速度積累,大數據時代已經來臨了;智能終端和數據傳感器成為大數據時代的數據主要來源。大數據在推動企業不斷向前發展給企業提供了更多機遇的同時,也給企業的應用創新與轉型發展帶來了新的信息安全威脅、信息安全漏洞以及信息安全風險。傳統的信息安全保障策略已經無法滿足大數據時代的信息安全保障需求。怎樣做好企業大數據信息安全保障、加強信息安全防護、建設相關法律法規將是大數據時代長期研究的問題。
【關鍵詞】軍隊檔案;安全保障體系建設;思考
檔案安全保障體系建設是推動檔案管理機制創新,提升檔案管理水平的重要途徑之一。檔案安全保障體系建設必須以檔案安全保障理論為指導,綜合技術、管理、人員、活動,建立動態調整的、獨立的、開放的安全保障體系,保證檔案終身安全。特別是在當前,我國自然災害和頻發、公共服務體系建設和政府信息公開提速、信息技術應用導致數字檔案信息大量產生的新形勢下,進一步加強軍隊檔案安全保障體系建設,全面提升軍隊檔案部門的安全保障能力,顯得尤為重要。加強軍隊檔案安全保障體系建設,是應對敵對勢力竊取我軍核心檔案信息資源的客觀需要;是應對近年我國自然災害多發頻發、對檔案安全構成嚴重威脅的客觀需要;是應對社會轉型期出現,威脅檔案安全的重要舉措;是應對新技術廣泛應用,對數字檔案信息資源安全帶來的新隱患新挑戰的必然選擇。從軍隊檔案管理工作實踐的角度來看,檔案安全保障體系建設的任務非常繁重,涉及檔案收集、保管、利用等各個環節,貫穿于檔案管理的整個過程。從軍隊檔案安全保障體系的基礎設施以及制度、技術、人員等諸多支撐要素來看,必須將其作為一個有機整體的系統工程,統籌考慮和謀劃,全方位地整體推進。
一、加強檔案安全保障體系建設的物質保障
軍隊檔案館(室)是保障檔案安全的重要屏障。加強檔案安全相關基礎設施建設,首先要堅持不懈地抓好檔案館(室)建設,改善檔案館(室)設施和檔案保管條件。在檔案館(室)建設過程中,應當高度重視抗震烈度、防火等級等方面的剛性要求,充分考慮堅固、安全、環保、實用等因素,嚴格遵循國家和軍隊有關檔案館(室)建設的標準和規范,把檔案館(室)建設好,筑起保障檔案安全的堅固防線。在設施設備方面,要嚴格遵循視頻監控、門禁、火災報警、消防、溫濕度監控、恒溫恒濕、周界防護、電子巡查、通訊、計算機安全等系統建設的新要求。全面構建和實施檔案安全保障體系,可以從根本上提高軍隊對檔案文獻遺產長期保存、有效利用的控制力,從根本上提高檔案安全保障技術整體水平。
二、加強檔案安全保障體系建設的制度保障
建立健全軍隊檔案管理規章制度,加強對規章制度執行情況的監督檢查,建立起長效機制,確保規章制度落到實處。一手抓建章立制,一手抓貫徹落實,同時在制度的制定和執行兩個方面下工夫,不能有“椰子效應”,即在政策的“硬包裝”之下存在一個執行的“軟內核”,從確保軍隊核心信息資源安全的高度,充分認識檔案安全保障能力建設的重要性和緊迫性,不斷完善各項涉及檔案安全工作的規章制度,并認真付諸實施,把安全至上的理念物化到檔案管理各個環節中去。完善突發事件應對制度,建立危機預防與危機管理機制,加強突發事件應急管理,提高應對自然災害損毀和影響的能力。按照《檔案工作突發事件應急處置管理辦法》的要求,根據單位實際制定相應的應急預案,對所能設想到的各種突發災害、突發社會事件到來時怎樣搶救、保護檔案制定出方案,以便緊急情況發生時按預案辦事。每年不定期按預案進行演練,以提高應急處置的執行力。加強《檔案館災害防治工作指南》的宣傳貫徹,用以指導各級檔案部門的防災備災、應急處置和恢復重建工作。
實施重要檔案備份制度,是提高抵御各種突發事件影響能力的一項重要舉措。俗話說,雞蛋不能只放在一個籃子里。我國自古以來就有對重要檔案實行多套異地備份的制度,在危害檔案安全的突發社會事件和自然災害頻發的今天,我們必須進一步強化風險防范意識,更加重視實施重要檔案異地備份制度,提高災害應對能力。完善檔案利用安全保密制度,處理好檔案開放和公開與信息安全的關系,提高檔案利用過程中本體安全和信息安全保障能力。在更多關注信息公開、改善公共信息服務的同時,要加強對利用檔案的審查監管工作,不該提供利用的檔案堅決不提供,能利用副本的盡量利用副本,保障檔案本體的安全和檔案信息的安全。完善受損檔案搶救制度,對突發災害、事件以及自然老化等因素造成檔案損毀的,一定要盡快對破損檔案采取搶救和保護措施,避免造成更大損失,加強對各項搶救保護工作的監督和指導,是落實檔案搶救制度的關鍵所在。
完善數字檔案信息安全制度,認真做好檔案信息化建設過程中的信息安全保障工作。數字檔案信息的安全保障工作,應當從設備、網絡、系統、數據等各個方面、各個環節加強安全管理,以完備的防范體系來保證數字檔案信息萬無一失。電子文件是一種易被改動、易被竊取、易于傳播、易于消失的信息,特別是它還是一種不能直接識讀而必須依賴于特定的設備和軟件才能被讀取的信息,必須在不斷攻克相關關鍵技術的同時,建立完善的管理制度和規程,解決好電子文件的保密、保存、讀取等巨大難題。
三、加強檔案安全保障體系建設的理論支撐和技術保障
構建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應用的關系,爭取實現基于高起點、實現高目標、開拓新局面。
目前,國內外關于檔案安全保障體系的理解大致有三層含義:其一,控制環境,降低風險。這里的“環境”是指檔案保管環境、物理環境、社會環境、信息存儲環境等,降低環境因素對檔案安全的影響,最大可能降低風險。其二,建立安全保障平臺,采取安全防護措施,使檔案盡可能保持穩定狀態。其三,對已經處于不安全環境中的檔案,采取各種措施使其達到新的穩定狀態,保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中的社會因素、管理體制、組織體系、策略、政策法規、安全保障技術或安全保護效果的評價等等較為宏觀的要素。
檔案安全保障屬于檔案管理和檔案維護中非常重要的一部分工作,需要滲透到檔案形成階段、保管階段和維護階段,也就是整個生命周期。充分結合檔案工作實際,加強檔案防災減災策略、數字檔案信息安全保障策略、受損檔案搶救修復技術方法、電子文件真實性保證和長久保存方法、突發事件應對措施等關鍵理論和技術方法的研究攻關,不斷提高檔案安全的理論支撐和技術保障能力。如對于檔案保管單位來講需要進行系統的檔案安全現狀的普查工作,了解檔案的種類、損壞程度、檔案保管安全現狀和存在的安全隱患,建立檔案安全數據庫平臺。摸清家底會對檔案安全總體狀況有個全面和系統的了解,可以從整個軍隊的層面制訂相應的檔案安全保障長期策略。這就使得檔案的安全保障工作更加具有整體性的把握及其長期的計劃性,以至實施保障技術措施時更加具有針對性。采取有效措施推進檔案安全保障相關新技術、新設備、新方法的推廣應用,促進檔案安全保障能力快速提升。
四、加強檔案安全保障體系建設的人才保障
正如國家檔案局楊冬權局長所說:在影響檔案安全的各種因素中,人是決定性的因素檔案安全的最大保障是人的認真,檔案安全的最大危險是人的疏忽。許多檔案安全事故的發生,就源自于人的認識不到位、思想不重視,疏于防范;許多自然災害中檔案損失的大小,完全取決于人們是否重視檔案安全并采取了有效防范與搶救措施。因此,確保檔案安全,對檔案部門和檔案工作者來說,是本職、是天職、是稱職;相反,則是失職、瀆職、不稱職。若是由此給軍隊造成重大損失的,還要免職、撤職,直至追究刑事責任。
由此可見,提高軍隊檔案干部整體素質、增強安全保障能力,是檔案部門的一項重要而緊迫的任務。通過對檔案工作人員開展經常性的安全教育和學習培訓,強化他們的安全防范意識和責任意識,普及檔案安全保障基本知識與技能,培養造就一支責任意識強、掌握現代科技知識和專業技能、勝任本職工作的檔案干部隊伍,為檔案安全提供可靠的人才保障。
現代條件下的檔案安全保障體系的構建是決定檔案事業發展的關鍵之一,它圍繞檔案主體工作而形成的,包括檔案創新能力、關鍵技術研發與應用能力、安全保護活動組織能力、業務拓展能力、事業發展支持能力、檔案技術力量培訓能力等,是一項長期而艱巨的任務,需要檔案機構上上下下、方方面面的通力合作,積極配合。檔案安全保障體系對于檔案工作及檔案工作者都是一個全新的概念,它的構建、研究和推廣應用為檔案事業的長期發展提供了巨大的空間。
參考文獻:
[1]周朱華.電子政務網絡與信息安全保障體系設計[J].信息安全,2009(3).
[2]王愛紅.一種安全電子政務系統的開發[J].計算機信息,2007(1)-(3).
[3]王謙,陳放.我國電子政務信息安全及保障體系[J].網絡安全技術與應用,2006(04).
[4]楊冬權.在電子文件管理國家戰略國際學術研討會上的講話[N].中國檔案報,2009-6-26(1).
[5]楊安蓮.電子文件信息安全管理研究[J].檔案學通訊,2009(4).
[6]馬芳.國外信息安全保障技術的回顧與前瞻[J].信息安全與通信保密,2008(6).
【關鍵詞】電子文件信息;安全保障體系;構建
在時代的變革下,電子文件已然成為各個機構開展業務中的主要憑證,是信息資源中最為可靠、權威的信息,該種信息資源是保障機構運行的重要支撐,也屬于國家信息資源的有機組成部分。構建出科學的電子文件信息安全保障體系不僅是信息安全的必然需求,也是促進組織發展的客觀需求。
1電子文件信息安全保障體系構建目標分析
構建電子文件信息安全保障體系的前提是制定出相關的安全保障體系,對電子文件管理中的各類風險進行準確的預估,制定出系統、科學的安全保障體系,最大限度的保障文件的可用性、安全性與完整性,避免私密信息、重要信息與敏感信息泄密。各個機構在建設電子政府信息系統的過程中,必須要充分的意識到這一問題,將其放置在一定的高度進行考慮。這需要遵循如下的幾個原則:第一,科學性原則:在構建電子文件信息安全保障體系時,必須要進行科學的調查和研究,找出其中的風險,制定出科學的防范措施,將相關的理論應用在具體的實踐過程中,提升安全保障體系的可操作性。第二,標準規范性原則:電子文件信息安全保障體系的構建必須要符合我國相關法律的要求,要遵循國際與國家的標準,嚴格按照規章制度來辦事。第三,適度經濟性原則:在工作中,需要根據上網信息的等級來制定安全防范體系,根據各單位的人力、物力和財力以及風險評估等級來確定資金的分配方式,不僅要考慮到系統的操作性,也要分析安全保密性能。第四,長久安全性原則:在構建電子文件信息安全保障體系,需要進行總體的設計與規劃,考慮到信息發展情況與條件變化因素,尤其是分析系統安全功能設計時需要考慮到技術因素的潛在功能。
2電子文件信息安全保障體系構建措施
在構建電子文件信息安全保障體系時,其首要的支撐就是信息安全理論,以這一理論作為指導,采用多樣化的手段,將管理制度、法律規范與技術措施有機融合起來,構建出科學的安全保障體系:
2.1建設思路
在建設安全保障體系時,需要先梳理現有的法律制度,解決現有問題,為電子文件信息安全保障體系的建設提供科學的依據,盡快的完善現有的法律法規,并結合管理內容的特點突出重點,完善流程,充實、細化安全法規。此外,還要結合機構的情況來制定文件安全管理制度,建立起科學的監督機制,對電子文件信息的人員管理、風險評估以及操作流程進行系統、全面的控制。
2.2管理策略
雖然技術方式可以保障電子文件信息的安全,但是依然需要制定出合理的管理制度,僅僅依靠傳統的技術防火墻是無法起到良好的效果的,一般情況下,管理策略需要涵蓋到幾個內容:樹立起風險意識:管理人員風險意識的淡薄是影響電子文件信息安全的主要誘因,實施風險管理模式可以提升電子文件應用的安全性,提升其管理水平,為此,相關部門需要加強對工作人員的培訓與教育,提升他們的風險意識,建立防護體系,明確管理重點,為電子文件提供科學的保障;將安全管理原則落實到實處,要保障電子文件信息的安全性,必須要制定出專門的安全管理守則,安全守則的制定需要遵循職責分離原則、專人負責原則以及制度保障原則幾個方面。在具體的應用過程中,每個單位都需要考慮到自身的實際情況,及時調整管理策略,一旦發現有人違反規定,必須要嚴厲處罰。此外,電子文件信息安全保障體系涉及的內容是非常多樣的,在研制軟件時,就需要考慮到這些問題,一些單位為了省事,往往聘請軟件公司來負責這一事宜,但是,市面上的軟件公司水平往往參差不齊,研制的軟件也難以取得理想的效果。為了解決這一問題,單位必須要加強與軟件公司的溝通和交流,分析其中存在的安全風險,充分的考慮到每一個細節問題,最大限度的保障內部電子文件信息的安全性。建立起科學的電子文件備份機制。合理的備份機制是應對安全事件的有效保障,電子文件備份機制能夠避免文件的丟失,這包括三個類型:第一就是硬件級別的備份,采用各類閑置硬件來保障系統運行的穩定性,但是,該種方式是無法避免病毒、人為操作等引起的錯誤的;第二,進行軟件備份,保存好系統數據,如果系統發生錯誤,可以及時的恢復,避免數據出現邏輯性損壞;第三,進行人工備份,利用硬件備份避免物理故障問題的發生,同時,聯合使用軟件備份與人工備份,進行多重保護。對于備份機制,需要制定好完善的計劃表,建立好備份副本,制定出合理的應急機制,對于網絡環境,不僅要做好文件備份,還要對整個網絡體系進行備份;第四,利用多重技術保證文件的傳輸安全。對于加密文件信息,可以將傳統加密技術與防消息泄密技術、信息隱藏技術與防拷貝技術結合起來,其中,信息加密技術就是采用密碼的形式儲存相關的文件信息,讓竊取者無法在短時間內破譯內容。而信息隱藏技術主要針對的文件,將消息的發送者與接收者隱藏。防消息泄密技術能夠避免電子文件信息出現電磁輻射泄漏。防拷貝技術主要針對貯存的電子文件,對其載體進行技術處理,即便被不法分子獲取,也無法識別出來。
3結語
總而言之,為了保障電子文件信息的安全性,必須要建立起與之相關的安全保障體系,縱觀我國的實際情況來看,關于這一內容尚未制定出系統的規章制度,要提升電子文件信息的安全性,需要綜合考慮到各個方面的內容,這一道路還任重道遠。
參考文獻:
[1]陳清明,張俊彥.信息安全風險評估工具及其應用分析[J].信息安全與通信保密,2010(01).
[2]張江珊.檔案信息公開的程序化思考——基于16宗案例及《信息公開司法解釋》的分析[J].檔案學通訊,2011(04).
我國信息化發展空前迅速,信息安全保障需求已成為信息化發展的重要部分。如何以信息化提升綜合國力,并在信息化快速發展的同時確保國家的信息安全,已成為各國政府關心的熱點問題。
中國信息化建設在突飛猛進的同時,也面臨著一系列的信息安全隱患。關鍵信息的安全管理漏洞,將會給政府、電信、金融、民航等重點行業帶來不可估量的嚴重后果。病毒的大肆傳播與黑客的不斷攻擊等事件的發生,也將造成巨大的經濟損失,甚至威脅到國家的安全。
建立國家信息安全保障體系
信息安全保障體系的建設策略是要建立信息安全防護能力,要具有隱患發現能力、網絡反應能力、信息對抗能力。
信息安全技術保障體系的建立要強調自主研發與創新,要組建研發國家隊與普遍推動相結合,推動自主知識產權與專利,建設技術工程中心與加速產品孵化,加大技術研發專項基金,全面推動與突出重點的技術研發相結合。要建立縱深的防御體系,采用網絡信息安全域的劃分與隔離控制、內部網安全服務與控制策略、外部網安全服務與控制策略、互聯網安全服務與控制策略、公共干線的安全服務與控制策略、計算環境的安全服務機制、多級設防與科學部署策略、全局安全檢測、集成管理、聯動控制與恢復等手段來保障信息安全。此外,要采用信息系統安全工程的控制方法和安全技術產品與系統互操作性策略。
建立資質認證機制和監理機制,形成社會化服務和行政監管體系。要建立基于數字證書的信任體系、信息安全測評與評估體系、應急響應與支援體系、計算機病毒防治與服務體系,建立災難恢復基礎設施和密鑰管理基礎設施。
在搭建國家信息安全保障體系框架時,要建立信息安全標準與法規環境,這就需要強力推動信息安全標準化工作、加強信息安全標準的研發、評審、審批,加快信息安全法規的制訂以及相關法規的制訂。此外,還需要培養大量高級信息安全人才。
信息安全需要技術保障
信息安全保障,從保密性、完整性、可用性、可控性、不可否認性等安全屬性的需要,以及在預警、保護、檢測、響應、恢復及反擊等環節提出了諸多的技術需求。
目前,國際上出現了一個叫"MALWERE(壞件)"的新概念,它把計算機病毒、蠕蟲、邏輯炸彈、特洛伊木馬、愚弄和下流玩笑程序以及惡意代碼都包括在內。在這個概念的推動下,計算機病毒檢測功能必將逐步有所擴充。
現在的防火墻在功能上有了許多擴展和延伸,許多產品把VPN的功能加入到防火墻中,也有把入侵檢測(IDS)、病毒檢測等功能模塊加入防火墻之中。
為了實現對各種安全模塊的集中管理,共享安全事件審計分析信息,統一制訂和實施安全策略,還出現了集中安全管理平臺的研制開發。
政府信息化采購應兼顧信息安全
政務信息化政府采購不僅應滿足經濟指標,也應兼顧信息安全。現在我國《政府采購法》已經出臺,這將有利于政務信息化的信息安全,也有利于本國IT企業的發展。
在政府采購中,電子政務占有重要的地位。據預測,2002年中國電子政務市場總投資將達到350億元,比2001年增長23.4%;2002年~2004年中國電子政務總體市場年復合增長率為25.7%。按照這一速度計算,5年后電子政務市場的投資額將突破1000億元,因此它將成為國內外企業關注的一個焦點。
《政府采購法》支持本國產業
采購法中明確規定,除一些特殊情況外,政府采購應當采購本國貨物、工程和服務(包括本國軟件和服務),這個規定既有利于本國企業,也有利于保障信息安全。
加入WTO并不等于立刻開放政府采購市場,因為加入WTO并不等于加入《政府采購協議》(GPA)。GPA是所謂"復邊貿易協議",僅對簽字成員方有效,我國在兩年后才會談判是否加入GPA。而在我國加入WTO的GPA之前,根據國際慣例,可以通過政府采購扶持本國產業。
政府采購支持NC推廣
目前,具有我國自主知識產權、非Wintel架構(采用方舟CPU和LinuxOS)的NC已經開始在學校、銀行等單位應用。它具有信息安全性好、容易管理和維護、成本低等優點,非常適合在電子政務中推廣應用。現在國家有關部門要求在電子政務中采用NC,因此可以在政務信息化項目的招標中,將上述這些指標列入招標條件,那么NC將明顯勝過PC。只要依法采購,NC就可以首先在政務信息化中得到推廣,然后在政府的帶動下,逐步推廣到其他領域,逐步改變我國計算機產業的"無芯"狀態。
關鍵詞:金融信息,網絡安全,保障體系,服務
1金融信息系統安全保障體系的總體構架
金融信息系統安全保障體系的總體構架有系統安全、物理安全、應用安全、網絡安全、和管理安全。畢業論文,網絡安全。
1.1金融信息系統的安全
系統安全指的就是網絡結構的安全和操作系統的安全,應用系統安全等等。畢業論文,網絡安全。網絡結構的安全就是指網絡拓撲沒有冗余的環路產生,線路比較暢通,結構合理。操作系統的安全就是指要采用較高的網絡操作系統,刪除一些不常用卻存在安全隱患的應用,對一些用戶的信息和口令要進行嚴格的把關和限制。應用系統的安全就是指只保留一些常用的端口號和協議,要嚴格的控制使用者的操作權限。在系統中要對系統有一些必要的備份和恢復,它是為了保護金融系統出現問題時,能夠快速的恢復,在金融系統在運行的過程中要對其內容進行備份。
1.2金融信息系統的物理安全
物理安全就是要保證整個網絡體系與信息結構都是安全的。物理安全主要涉及的就是環境的安全和設備的安全,環境安全主要就是防雷、防火、防水、等等,而設備的安全指的就是防盜、放干擾等等。
1.3金融信息系統的應用安全
金融信息系統的應用安全主要就是指金融信息系統訪問控制的需要,對訪問的控制采用不同的級別,對用戶級別的訪問授權也是不同。收集驗證數據和安全傳輸的數據都是對目前使用者的身份識別和驗證的重要步驟。而對于金融系統中數據資源的備份和恢復的機制也要采取相應的保護措施,在故障發生后第一時間恢復系統。
1.4金融信息系統的網絡安全
金融信息都是通過才能向外界的,而通過采取數據鏈路層和網絡層的加密來實現通信的保護,對網絡中重要信息進行保護。而對網絡進行入侵檢測也是必要的,通過信息代碼對進出的網段進行監控,來確保信息的安全性。畢業論文,網絡安全。對系統也要進行不定期的部件檢測,所是發現有漏洞要及時的進行補救。
1.5金融信息系統的安全管理
金融系統是一個涵蓋多方面的網絡,也運行著很多的網絡,對金融系統進行信息管理,就應該設置安全的管理中心,要集中的管理,嚴格的規定和確定明確的責任和控制,確保金融系統可靠的運行。
2金融信息系統安全保障的措施
2.1設置安全保障的措施
對于任何未經允許的策略都嚴格的禁止,系統允許訪問的都要經過眼的認證才能進入下一步,重要的金融信息要經加密的措施進行傳輸。要通過網絡安全策略對金融信息系統的網絡設置防火墻,用來保護各個金融節點的信息安全,允許授權用戶訪問局域網,允許授權用戶訪問該局域網內的特定資源;按業務和行政歸屬,在橫向和縱向網絡上通過采用MPLSVPN技術進行VPN劃分。
2.2使用安全技術和安全產品的措施
為了金融系統有個安全可靠運行環境,遵循金融系統的安全保障體系策略,要在金融信息系統中安裝一些安全技術和安全的產品。將金融信息系統劃分為不同的安全區域,每個區域都不同的責任和任務,對不同的區域要有不同的保護措施,即方便又增強了安全性。在金融想嘔吐中安裝一道防火墻,用來防止不可預見的事故,若是有潛在的破壞性的攻擊者,防火墻會起到一定的作用,對外部屏蔽內部的消息,以實現網絡的安全防護。應該在金融信息系統中設置入侵檢測系統,要對網絡的安全狀態進行定期的檢測,對入侵的事件進行檢測,對網絡進行全方位的保護。在金融信息系統中安裝防病毒的系統,對有可能產生的病源或是路徑進行相對應的配置防病毒的軟件,對金融信息系統提供一個集中式的管理,對反病毒的程序進行安裝、掃描、更新和共享等,將日常的金融信息系統的維護工作簡單化,對有可能侵入金融信息系統的病毒進行24小時監控,使得網絡免遭病毒的危害。定期的對金融信息系統進行安全評估,對系統中的工作站、服務器、交換機、數據庫一一的進行檢測評估,根據評估的結果,向系統提供報告。安全的評估與防火墻的入侵檢測是相互配合的,夠使網絡提供更高性能的服務。畢業論文,網絡安全。
2.3金融信息管理的安全措施
在管理的技術手段上,也要提高安全管理的水平。金融信息系統是相對比較封閉的,金融信息系統的安全是最重要的,業務邏輯與操作規范的嚴密是重中之重。因此對于金融信息系統的內部管理,加強領導班子對安全管理的體系,強化日常的管理制度嗎、,提升根本的管理層次。
2.3.1建立完善的組織機構
如今我國更加重視信息安全的發展,它可以促進經濟發展和維護社會的穩定。在金融信息系統的內部要建立安全管理小組,安全管理小組的任務就是要制定出符合金融發展的安全策略。管理小組由責任和義務維護好系統的安全和穩定。
2.3.2制定一系列的安全管理辦法和法規,主要就是抓住內網的管理,行為、應用等管理,進行內容控制和存儲管理。對每個設施都要有一套預案,并定期進行測試。畢業論文,網絡安全。
2.3.3 加強嚴格管理,加強登陸身份的認證,嚴格控制用戶的使用權限,對每個用戶都要進行信息跟蹤,為系統的審核提供保障。畢業論文,網絡安全。
2.3.4加強重視信息保護的等級,對金融信息系統中信息重點保護,對重要信息實施強制保護和強制性認證,以確保金融業務信息的安全。也要不斷的加強信息管理人才與安全隊伍的建設,加大對復合型人才的培養力度,通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。
3結語
隨著金融信息化的快速發展,金融信息系統的規模逐步擴大,金融信息資產的數量急劇增加,對網絡與信息系統實施安全保護已勢在必行。目前互聯網的應用還缺乏一定的安全措施,這樣就嚴重的影響和限制了金融系統通過網絡向外界提供服務的質量和種類。因此,各個金融信息系統都必須要采取一定的安全防護措施,構建一個安全的合理的金融信息系統。
參考文獻:
[1]盧新德.構建信息安全保障新體系:全球信息戰的新形勢與我國的信息安全戰略[M].北京:中國經濟出版社,2007.
[2]李改成.金融信息安全工程[M].北京:機械工業出版社,2010.
[3]方德英,黃飛鳴.金融業信息化戰略——理論與實踐[M].北京:電子工業出版社,2009.4.
關鍵詞:電力系統;信息安全;安全策略
中圖分類號:TM39 文獻標識碼:A
隨著飛速發展的電力信息化,電力系統越來越依賴于計算機網絡與電子信息系統,電力信息安全系統一旦產生差錯,將直接危害電網以及其衍射破壞國民經濟,其殺傷力勢必無法估量。電力系統信息安全是一項技術復雜度高、管理程度較深綜合型系統工程,波及到電力生產、傳輸、分配與使用等各個環節的同時,需最大限度地確保電力信息的密保性、整體性、可用性、可控性。此外,電力系統信息安全的深入研究,構建電力系統信息安全保障體系顯得尤為重要。
一、電力系統現存的信息安全隱患
近幾年,快速發展的國內電力信息化,電力通信逐步轉變為以光纖和數字微波為主導的的傳輸方式,并存著衛星、電力線載波、電纜、無線等多種通信方式的全國電力系統通信,為進一步發展國內電氣信息化夯實了基礎。綜合來講,相對較高的國內電力系統信息安全程度,保障著電力系統信息運行的安全性、穩定性。
雖然我國電力系統信息安全已取得了可喜的成效,但仍有進一步完善之處:
1.未統一規范管理的電力系統信息安全。確保正常運作電力系統,信息安全極為重要,但就目前來說,統一化、權威性的電力系統信息安全管理規范仍未真正落實到位。
2.符合電力行業指標的信息安全保障體系未合理構建。如在電力行業內部缺失計算機信息網絡安全意識、未實施完善的數據備份措施、脆弱的身份認證、計算機網絡化以及局域網廣域化,加大了外在危險的攻擊力等問題,屢見不鮮。隨著逐步推進的電氣信息化進程,計算機網絡越來越多的應用于電力系統的生產管理領域,但具有一定運行特點的電力系統,構建與電力工業特點相一致的計算機信息安全保障體系極為關鍵。
3.涌現出軟件內部的安全漏洞。軟件的獨特定已決定了自身一定不是健全的產品,不同影響的安全漏洞會不斷涌現。加之應用廣泛的軟件,增加了軟件接觸的條件復雜性,從而一定程度上隱藏了自身潛在的缺陷。
4.假借網頁進行惡意攻擊。一般情況下,每個電力企業均有自己電力系統網站,在互聯網連入后,各種網頁均在每位電腦用戶搜尋所需的有用信息不斷點擊下打開。這也是不可回避的情況,然而,并不是打開的所有網頁是安全的。部分網站的開發者或擁有者,為獲取某種利益,就會巧妙地修改自己的網頁,以便其具有一定的特殊功能。如:點擊打開某網站鏈接時,不經意間會發覺自己的瀏覽器已被自動更換,名稱已換成惡意網站的標題。此情況下,運用正常手段根本無法修正。更有甚者,部分網頁自身具有攜帶木馬的功能,只要不小心打開或瀏覽后,就有可能將木馬種在你的機器內,之后就會無意間破壞或泄露你個人的信息等。
5.針對當前服務虛擬化快速發展變革期的來臨,給電力企業信息系統帶來了一定的安全問題。比如攻擊內部虛擬機、爭奪有限的資源以及增加管理難度等方面。對此,基于信息安全保障體系預設的前提下,可以制定虛擬化感知的安全應對方案,規避爭奪資源,進而最大限度的提高服務器處于高峰和非高峰期內的工作效率。
二、構建電力系統信息安全保障體系的幾點思考
1.進一步完善信息安全管理機制
整體規劃統籌,關注重點,建設信息安全管理制度與規范標準進程需進一步加快,切實制定相關的信息安全制度條例,有效編制電力系統的實施辦法,明確信息安全項目的側重點,規劃統籌電力系統信息安全任務。合理構建電力系統信息安全保障體系,為本單位防護信息安全設施完善與更新工作做好全方位指導,及時調查應對產生信息事故之后的規范性工作,從而進一步提高信息安全事件的管理與監督力度。與此同時,針對規范建設災難恢復系統,需緊抓研究與編制,實施有效的恢復災難措施,適當規劃統籌單位內部恢復災難的系統建設工作。
除此之外,標準化、規范化是確保電力系統信息安全的基礎性工作。電力企業需著手于電力系統的實際特點,格外重視電力系統信息安全的規范化、統一性管理,適當的制定并完善一套標準化、統一性的安全管理規范機制,從而最大限度的彌補電力企業內部信息安全管理存在的不足之處,增強企業的風險承受力。在構建電力系統信息安全保障體系的過程中,電力系統主要管理部門必須嚴格按照確保電力系統正常運行的指標需求,參照現今的國際安全標準、國家安全標準以及相關的安全法規政策,有效地構建電力系統信息安全的各項管理規范和相關技術標準,進一步規范基礎性設施構建、系統與網絡平臺搭建、應用軟件開發、運行管理等各個重要環節,進而為電力系統信息安全的構建創造堅實的基礎。
2.加快建設信息安全管控機制
全面落實信息安全保障體系不可忽略主要負責人員的組織、管理工作。結合每人的不同因素,需嚴格遵循以人為本的安全理念是構建電力系統信息安全保障體系的基本原則之一,對此,在整個電力系統信息安全中,需重視組織安全機制的有效落實工作。在制定健全組織安全機制的過程中,需進一步提高計算機信息網絡工作人員的安全意識,并針對專門負責信息安全工作人員開展定期或不定期的安全培訓。
建設個人終端標準化工作需加快推進,嚴格管理個人終端接入網,將個人終端補丁程序與及時自動更新、升級病毒軟件落實到日常工作中,而對于隨意下載或安裝的非正版軟件需加大嚴禁力度。加強實施防治木馬病毒等危險因素侵入的安全措施,做好外來用戶訪問控制工作。全面有效的監控信息安全,盡快構建信息安全監控體系,實現集中監視防火墻、入侵檢測等安全防護設施,或對其進行及時有效地警示,同時,深入研究信息安全模型,制定綜合評估檢測信息安全機制,確保安全信息評估的科學化、簡便性。
3.增強安息安全密保工作的認識度
認清形勢,對全體員工的密保知識水平與防護技能進行全方面檢測,提高網絡竊密泄密防范水平。針對外網連接其他公共信息網絡,需嚴格審查或嚴禁,并嚴禁外存或處理國家和單位機密在非網上,將保護信息安全工作和職責切實落實到位。與合作單位的開發、咨詢工作需強化信息安全保密管理,簽訂保密協議,嚴審外來人員的訪問,加強授權管理,做好監管與備案工作。定期或不定期開展審查信息系統安全保密活動,對文檔做好登記、存檔、銷毀、定檢以及解密等各方面工作,及時發現、解除隱性的或顯性的泄密隱患。
在信息安全保障體系設計階段,確保電力系統信息安全需重點考慮的關鍵條件之一。規范化使用系統內部的部分安全設施,增強基礎設備的安全度,諸如盡可能實行深埋或架空通信線路等措施,避免各種方式的意外損壞。嚴格化管理保障體系內的部分精密設施,合理制定專項負責制,將責任具體到每人。
三、憑借防火墻及云計算安全手段,保障信息安全
近年來,隨著網絡科技的快速發展,防火墻技術已作為新興的計算機網絡安全保護性技術措施之一。在網絡中,通過阻止黑客訪問某個機構的內部網絡而設定的屏障,換句話而言,是專門控制超出兩個方向的通信門檻。針對邊界網絡,可利用對應的網絡通信監控系統的構建來將內外網絡進行隔離,從而防止外部網絡的入侵;緊密結合實電力系統,較為合適的利用“防火墻十殺毒軟件”配置方式,做好及時升級、更新工作,避免工作流于表面。與此同時,為保密信息因惡意外部破壞造成丟失或網絡癱瘓,需認真做好備份重要網絡信息和系統數據。此外,備份的有效性定期檢驗也顯得尤為重要。有力鑒定數據備份的有效性關鍵在于定期的恢復演習,也是有效演練網絡負責人恢復數據的操作技能,鍛煉應對問題時的從容面對,冷靜思考,進而為網絡訪問創造保障環境。
防火墻的類型多樣,具體概況為包過濾防火墻、防火墻與雙穴防火墻三大類。其中網絡層設置的一般是包過濾防火墻,而在路由器上實現包過濾目的。此類防火墻可以用來對外部非法用戶訪問的禁止,以及訪問某些服務類型的禁止等。又稱應用層網管級防火墻的防火墻,其組成主要有服務器和過濾路由器,是當前相對較為流行的防火墻種類之一。而針對雙穴防火墻,是在一個網絡內進行數據搜集,并有選擇性的傳送到另一個網絡。電力系統信息安全的保障性離不開防火墻的合理配置,確保安全連接各個網絡,從而在連接端口規避出現安全漏洞。
同時,通過加強云計算威脅管理,為信息安全保障體系提供靈活的管理策略,進一步豐富審計日志以及報表的功能。并有效結合“云中保險箱技術”,合理利用密鑰及管理策略機制,保護用戶存儲的云隱私與數據信息,使電力企業所運用的云平臺或數據交換突破時空限制,且更為安全。
結束語
總的來說,電力系統信息安全保障體系的構建是為了更好地應對電力系統信息安全的潛在威脅,使電力系統信息的安全性不斷提高。在總結過去經驗的基礎上,各電力企業要積極分析電力系統的特點,合理利用云計算安全手段,制定相應的安全策略,建立全面合理的信息安全體系,確保電力信息乃至整個電力系統的安全。
參考文獻
[1].吳克河.電力信息系統安全防御體系及關鍵技術[M].北京: 科學出版社.2011(10).
[2].田雨平.周鳳鳴.電力企業現代安全管理[M]. 北京:中國電力出版社.2009(1).
[3].國家電力監管委員會安全監管局.電力安全監督管理工作手冊[M].北京:中國電力出版社.2009(4).
即使這樣,如下安全問題依然擺在了很多企業面前:安全設備部署了很多,安全制度流程也建立了,但從整體角度看,仍然是各自為戰,仿佛信息安全問題只是IT部門的事情,與其他人無關,這就使得無法形成整體有效的安全防護;一邊是業務應用越來越復雜,一邊是安全設備和制度不斷增加,如果安全設備和制度做多了,業務部門抱怨太繁瑣,但如果不做這么多,又怕出現安全問題,左右為難。
那么,出現這些問題的根源是什么呢?我們早就知道,建設安全系統不僅僅是技術問題,也是管理問題。而信息安全服務的主要目標就是更好的支撐IT應用系統的效果和效率,也就是說,信息安全的主要目的是通過信息安全管理體系、技術體系以及運維體系的綜合有效建設,讓IT應用系統能夠達到更好的運營效果以及更高的效率。而如何綜合而有效的建立信息安全保障體系,成為了擺在每個企業面前的課題。
合規是重中之重
信息安全標準是確保信息安全產品和系統在設計、研發、生產、建設、使用和測評過程中保持一致性、可靠性、可控性、先進性和符合性的技術規范和依據,其不僅關系到國家的信息安全,也是保護國家利益、促進產業發展的一種重要手段,同時更是信息安全保障體系中的重要組成部分,是政府進行宏觀管理的重要依據。
我國在這方面雖然起步較晚,但也制定了一批符合中國國情的信息安全標準,同時在一些重點行業還頒布了一批信息安全的行業標準,尤其是國家等級保護制度和分級保護制度是我國在進行信息安全保障體系建設中的重要依據。
因此,企業只有在信息安全保障體系建設過程中依據相關標準進行合規性分析,通過安全風險評估,然后比對相關標準中所涉及的技術要求、管理要求、測評要求,才能明確得出建設的方向和重點,了解目前系統中存在的問題和改進的方法,同時明確在管理、部署和運維過程中信息安全管理的相關制度、流程和需要持續改進的目標。
此外,相關標準還為企業明確了進行信息安全保障體系建設的方法,只有遵循這種方法才能做到“有法可依、有章可循”。
安全咨詢是橋梁
前面提到,信息安全建設的主要目的是讓IT應用系統能夠達到更好的運行效果,并提高系統的運行效率,也就是說,要讓信息安全保障體系成為IT應用系統的有效支撐。然而,不同政府或企業的具體業務環境和流程各不相同,所以也不是每個政府或企業都可以使用一個統一的模板。不同的組織在建立與完善信息安全保障體系時,必須根據自己的業務特點和具體情況以及IT應用的實際情況,采取不同的步驟和方法。此外,還要注意,信息安全不僅涉及安全管理和技術層面的問題,還會涉及到治理機制、業務流程、人員管理、企業文化等內容。
這就使得,企業要運用風險的方法來決定信息安全體系建設的目標和步驟。這個過程實際上是需要專業資深的安全服務人員對目標的業務特點、IT應用實際情況和具體管理方式進行現場調研、符合性分析、相關的風險評估等操作的,尤其是對關鍵業務應用的深入了解和分析,只有這樣才能與標準比對形成安全基線和框架參考。
而且,在建設過程中,還要不斷與相關負責人(決策人員、安全管理員、網絡安全維護人員)進行深入溝通,以便發現安全隱患、找出關注重點,并提出有效的策略建議,最終才能運用風險的方法來決定體系建設的目標和步驟,并一步一步實施完成。通過這一點我們不難看出,信息安全咨詢貫穿于整個信息安全體系建設的過程中,是聯系實際需求和建設目標的橋梁。
實際落地是關鍵
信息安全技術體系是利用技術手段實現了技術層面的安全保護,是整個信息安全保障體系中非常重要的一部分。很多政府和企業都部署過一些技術防護手段,但這些防護手段是不是符合相關標準和關鍵業務的需求,是不是把風險控制到了一個可控的水平,我們就不得而知了。
因此,在信息安全保障體系建立過程中,一定要依照標準來選擇技術防護手段,同時實現技術手段的落地是關鍵。而要實現技術手段的落地,就要兼顧以下幾點:選擇的技術產品要滿足政府或企業實際環境、IT應用和管理流程制度等客觀條件;選擇的技術產品要具有易維護、管理簡便的特點,并要能夠保持先進性;選擇的技術產品要能夠滿足應用變化的需要,并適應技術的不斷發展。即保障可用性、適用性和持續性。
安全意識是必須
在很多政府部門和企業中普遍存在這樣一個問題,仿佛信息安全只是IT部門的事情,其他業務部門大多采取了“事不關己,高高掛起”的態度,這勢必會造成安全天天喊,但是總沒有明顯效果的局面。
可以說,建設信息安全保障體系是企業內的一次“安全革命”,通過培訓,不僅僅要讓每個人都提高對安全事件處理的管理水平和技術水平,更重要的是讓每個人都擁有“信息安全人人有責”的意識。
同時,這場“安全革命”給企業帶來了新的知識和管理模式,企業必須通過培訓將整個信息安全保障體系的相關知識轉移到每位員工身上,讓他們對整個體系逐步達到從接受到適應,再到最終掌握。只有這樣才能讓整個信息安全保障體系真正應用起來,并真正起到效果。
運維平臺是手段
1農業科學技術檔案的安全管理現狀
近年來,一方面,由于強烈地震、泥石流等自然災害和突發事件的發生,可能使農業科學技術檔案遭受損毀;另一方面,由于管理機制、管理制度的不健全,也存在安全隱患。另外,一些別有用心的人,企圖用非法手段竊取重要的農業科學技術檔案信息也將造成隱患。這不僅使農業科學技術檔案信息資源出現缺失,而且對本單位科研工作的創新也將造成嚴重影響。
1.1管理機制上的疏忽
農業科學技術檔案的規范管理不僅是檔案部門的工作,更是農業科研單位行政管理和科研管理工作的重要組成部分。但是,有的農業科研單位在制定中、長期規劃綱要、農業科研工作計劃和目標任務時,對農業科研檔案的安全管理工作并沒有列入其中。比如,在制定“十二五規劃”時,對農業科學技術檔案資源建設、安全管理工作不列入其中;在年度計劃、總結中對農業科學技術檔案工作不重視,對廣大農業科技工作者對檔案資源的利用需求不做統計;對“農業科研工作和農業科研資料建檔工作實行‘四同步’”的政策規定不能全面貫徹落實等。鑒于管理機制上的不重視,造成農業科學技術檔案管理不規范,制度不健全,檔案人員責任不清、業務不精、意識不強等不良現象,將造成農業科學技術檔案的嚴重缺失。
1.2管理制度不健全
目前,有的農業科研單位對農業科學技術檔案在形成、收集、鑒定、整理、移交、保管、借閱、利用、銷毀以及向綜合檔案館移交等環節中,制度建立不夠健全完善;對負責資料收集、檔案管理的不同崗位上的相關人員的責任、素質、技能、培訓等沒有具體明確的職責規范。另外,對于電子檔案,在其形成積累、整理歸檔、移交、保管利用等各個環節也沒有健全完善的管理制度。將會存在著電子載體遭破壞、信息被篡改、材料丟失和破損的可能性。因此,依法建立科學規范,健全完善的管理制度,確保農業科研檔案的原始性、真實性和系統完整性是農業科學技術檔案資源建設、安全管理和有效利用的法制保障,應當引起各農業科研單位的足夠重視。
1.3庫房及設施設備中存在的問題
農業科學技術檔案的存放庫房是其安全最重要的保證。但是,由于受經濟所限,各級農業科研單位對檔案庫房建設的投入不足,很多檔案庫房設在本單位辦公樓區域內,一般都建于20世紀80年代末90年代初,有的多年沒有進行維修,雨季室內漏雨,庫房濕度過高,水暖管道銹蝕,電路老化,存在水災、火災隱患;大多沒有安裝安全監控系統、自動報警系統、自動滅火系統等設備;有的在基本建設中,不能根據農業科學技術檔案的年擴增量,對檔案庫房的建設面積做詳細的預算,盲目的留置一些閑置的小房間用于存放檔案,庫存面積小,導致現在《紙質檔案數字化技術規范》、《磁性載體檔案管理與保護規范》賦予的檔案安全保障措施等業務工作無法正常開展。另外,在購置存放實體檔案的存儲柜、密集架時為了方便查閱,整齊美觀,不考慮在自然災害、突發事件發生時,便于搬運,給搶救工作創造便利條件等因素。上述現象將造成農業科學技術檔案的安全隱患。
面對復雜的農業科學技術檔案安全隱患,盡快建立安全保障體系,最大限度地保障農業科學技術檔案的安全管理和有效利用刻不容緩。
2農業科學技術檔案安全保障體系的構建設想
一個相對完善的農業科學技術檔案安全保障體系,一般應當包含安全人員保障體系、安全管理法規體系、設施設備安全保管體系以及電子檔案安全管理體系等。
2.1農業科學技術檔案安全保障人員體系
安全人員保障,是在國家檔案行政管理部門的法規要求和專業指導下,通過農業科研單位內部的崗位設置、人員分工、部門配合、制度約束等管理機制的建立,為農業科學技術檔案的安全管理提供組織上的保障。具體包括決策、管理、執行方面。決策工作由農業科研單位相關部門組成農業科學技術檔案安全管理工作領導小組等機制,制定安全保障體系的總體規劃、實施目標、重點工作任務、檔案災害預警機制及演練方案等。做好各階段前期工作的統籌安排及全過程技術實施方案等,以科學的態度,作出科學的決策。
管理工作由檔案部門負責,依法處理農業科學技術檔案安全管理的日常工作,協調各方面實施執行。并提出制定、修改具體業務工作中的安全策略、操作規范、實施細則等意見,記錄和處理農業科學技術活動中形成的文件材料在收集、整理、立卷歸檔、保管利用等過程中出現的安全問題。
執行者則是具體負責特定檔案事務的設在各個崗位上的工作人員。要選擇有強烈的事業心和高度的責任感,具有良好的服務意識和安全意識的專業人員,還要為他們創造業務學習和培訓的機會,不斷更新知識,以便更好地適應檔案工作的要求。除檔案工作人員外,收發人員、安全保衛人員等也是安全體系中的執行者,要對他們進行定期或不定期的培訓,明確責任,增強意識,做到警鐘長鳴,盡量減少人為因素給農業科研檔案帶來的安全風險和隱患。
2.2農業科學技術檔案安全保障法規體系
威脅農業科學技術檔案安全的因素來自各個層面和各個環節,因此需要構建全面的法規制度體系。即由國家的法律、行政法規、地方性法規和規章制度所構成的相互聯系、相互融合的統一體,來保障農業科學技術檔案的絕對安全。
2.2.1農業科學技術檔案安全管理的法律
涉及農業科學技術檔案安全管理方面的法律主要有《中華人民共和國檔案法》以及刑法、民法等基本法律及其他專門法律中涉及到檔案的內容或條款等。認真學習和深刻領會檔案法律,對于保證農業科學技術檔案的真實性、完整性、系統性和開發利用具有重要的意義,是我們構建農業科學技術檔案安全管理體系并賴以實施的依據和準繩。
2.2.2農業科學技術檔案安全管理的行政法規、標準、地方性檔案法規
可以遵循的行政法規主要有《中華人民共和國檔案法實施辦法》、《機關檔案工作條例》、《科學技術檔案工作條例》等。可遵循的國家標準有《科學技術檔案案卷構成的一般要求》、《電子文件歸檔與管理規范》等;行業標準有《科學技術研究課題檔案管理規范》、《歸檔文件整理規則》、《紙質檔案數字化技術規范》、《磁性載體檔案管理與保護規范》等。地方性法規有《甘肅省檔案管理條例》等。行政法規、標準、地方性檔案法規規定了對各種檔案各主要管理環節的操作要求及質量標準,既是建立標準化、規范化檔案管理工作的依據,又是進行檔案日常管理工作的操作指南,我們應當認真學習,熟練地掌握和運用。
2.2.3農業科學技術檔案安全管理的規章制度
除了要執行國家有關檔案法律法規外,還應針對自身的特點和實際需要制定本單位的規章制度。包括檔案工作制度、管理規范、部門工作職責以及電子檔案管理規范等。工作制度是依據法律法規,結合本單位實際,對農業科學技術檔案的管理體制、管理分工、保密、檔案利用原則等所做的規定,要求本單位所有部門和工作人員都要執行。管理規范包括對歸檔范圍、分類方案、保管期限、鑒定標準、整理、移交、保管、借閱利用、鑒定銷毀、業績考核等環節所做的規定。部門工作職責包括檔案室、檔案工作人員、庫房管理人員、保衛人員等工作職責。電子檔案管理制度包括計算機使用、密碼管理、電子檔案異質備份、業務系統操作制度等內部規范。建立健全農業科學技術檔案規章制度,是進行科學化、規范化管理的有效措施,也是確保其安全的有效手段。
2.2.4落實各項規章制度
有了科學完善的農業科學技術檔案安全管理的法規制度,關鍵在于落實,要加強對農業科學技術檔案資源監測,嚴格其管理和利用活動,依法管理,按章辦事,科學有效地實現檔案的管理與保護。依法對破壞、危害農業科學技術檔案的安全行為進行查處,追究責任,維護檔案法規的嚴肅性。
2.3設施設備安全保管體系
確保庫房的安全無疑是整個系統安全的前提。包括庫房建設、設施設備配備、日常管理等方面。在庫房建設方面。對于計劃重新修建的庫房,嚴格按照《檔案館建設標準》和《檔案館建筑設計規范》要求,建設滿足未來30~70年需求的堅固、安全的現代化檔案庫房[1]。對于現有的庫房,要進行安全風險評估,增強防患意識。同時,要開辟足夠的庫房存儲面積,配備監控自動報警、自動滅火、溫濕度控制、門禁系統等先進設施,實現檔案安全管理的自動化和可控性。庫房除了傳統意義上的日常存放實體檔案外,還必須放眼長遠,考慮到兼顧存放備份磁盤、光盤等離線電子檔案,在做到“八防”要求外,應增加針對電子檔案特性的電磁屏蔽等安全防范措施。小規模離線電子檔案存儲庫房,可考慮使用恒溫恒濕防磁柜用以存放電子介質[2]
。
另外,在配備存儲檔案密集架和防磁柜時,應當考慮在應急搬運時的安全便捷因素。做好設施設備安全保管體系建設,為農業科學技術檔案的安全保障打造第一道防線。
2.4電子檔案安全保障體系
目前,許多農業科研單位對于電子檔案的管理,認識不足。一方面,由于開展此項工作資金投入大,要配備完善的支持電子檔案運行的設施設備;另一方面,電子檔案安全管理保障技術尚未普及,現有的農業科研檔案管理人員也不能保證具有與其崗位職責相適應的技術能力和管理能力。在現有條件下,我們可以從以下幾方面嘗試。
2.4.1開展電子檔案的組織保障
隨著信息化和辦公無紙化的飛速發展,農業科研項目的研究工作、鑒定驗收、成果轉化等系列流程都離不開電子設備,因此,從組織機制入手,進行電子檔案的規劃建設,是立足長遠的發展之路。
多渠道籌措資金,配備完善的存儲電子檔案的最佳磁、光載體等先進的設施設備,建立歸檔數據安全監控系統,確保存儲的電子檔案長期安全可讀,有效利用。確立將紙質和電子兩種版本并存和異質異地備份策略管理的目標,是加強農業科學技術檔案安全保障的有效舉措。
2.4.2開展電子檔案的技術策略
實施電子檔案策略,一方面,應以現存農業科學技術檔案紙質載體為基礎,選擇利用紙質檔案數字化技術,掃描紙質檔案產生數字圖像,存儲于安全性能好的磁、光介質上,供快速有效利用。再利用COM(計算機輸出縮微品)技術,將數字圖像輸出到縮微膠片上,制作成農業科研檔案縮微品,進行長期安全保存[3]。另一方面,制定紙質檔案與電子檔案“雙軌制”歸檔管理實施方案。在文件生成、運轉過程中二者共存,即兩種版本檔案同步隨農業科研工作流程運轉,使紙質和電子兩種版本雙套歸檔[4]。這不但有利于開展農業科學技術檔案異質異地備份策略,而且將增加農業科學技術檔案安全保障和有效利用力度。
2.4.3電子檔案的人才隊伍建設
電子檔案安全管理工作是一項科技含量很高的知識創新工作,需要高素質的,具有計算機、自動化和網絡方面基礎知識以及在數字資源開發、組織和提供利用方面有豐富經驗的專業技術人員和管理人員。為此,應當通過引進和培養的渠道,建設高素質的人才隊伍,有效管理電子檔案。
2.4.4電子檔案安全操作中應注意的主要問題
為確保電子檔案擴散范圍的精準控制,需要采用規范的存儲方法,選擇良好的載體和創造安全的保護環境。在接受電子檔案存儲時,要對文字、圖像、視頻、音頻處理技術形成的農業科學技術文件材料,轉化為通用格式,并要注明格式、文字處理工具,必要時保存文字處理工具軟件。對電子檔案的可讀性、真實性以及傳輸安全方面,應參考國內外先進的研究成果加強管理。還要采取嚴密的防塵措施,用先進的除塵設備,減少灰塵對電子載體的損害等。在電子檔案的開發利用中,應該嚴密控制外泄和破壞,選擇具有安全保密功能的運行軟件,進行安全操作,必要時應該與責任者簽訂安全使用協議書,確定調閱檔案人員范圍和檔案利用手續,以確保其安全。
3結論
農業科學技術檔案安全保障體系的構建是一項系統工程,需要組織保障、技術保障、人員、經費、存儲保障等多方面的協調工作。也是一項復雜而嚴謹的工作,需要科學研究先行,做好前期技術儲備及全過程技術保障。
信息安全防護要考慮不同層次的問題。例如網絡平臺就需要擁有網絡節點之間的相互認證以及訪問控制;應用平臺則需要有針對各個用戶的認證以及訪問控制,這就需要保證每一個數據的傳輸的完整性和保密性,當然也需要保證應用系統的可靠性和可用性。一般電力企業主要采用的措施有:
1.1信息安全等級保護
信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定,及時在當地公安機關進行備案,然后根據對應等級要求,組織好評測,然后開展針對性的防護,從而提供全面的保障。
1.2網絡分區和隔離
運用網絡設備和網絡安全設備將企業網絡劃分為若干個區域,通過在不同區域實施特定的安全策略實現對區域的防護,保證網絡及基礎設置穩定正常,保障業務信息安全。
1.3終端安全防護
需要部署(實施)防病毒系統、上網行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網絡內的終端可以防御各種惡意代碼和病毒;可以對互聯網訪問行為監管,為網絡的安全防護管理提供安全保障;可以自動下發操作系統補丁,提高終端的安全性。
2.構建信息安全防護體系
電力企業應充分利用已經成熟的信息安全理論成果,在此基礎上在設計出具有可操作性,能兼顧整體性,并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系,從而保障信息安全。
2.1建立科學合理的信息安全策略體系
信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規范和多方面的細則,所涉及的基本要素包括信息管理和信息技術這兩方面,其覆蓋了信息系統的網絡層面、物理層面、系統層面以及應用層面這四大層面。
2.2建設先進可靠的信息安全技術防護體系
結合電力企業的特點,在企業內部形成分區、分域、分級、分層的網絡環境,然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區域邊界防護。通過統一規劃,解決系統之間、系統內部網段間邊界不清晰,訪問控制措施薄弱的問題,對不同等級保護的業務系統分級防護,避免安全要求低的業務系統的威脅影響到安全要求高的業務系統,實現全方位的技術安全防護。同時,還要結合信息機房物流防護、網絡準入控制、補丁管理、PKI基礎設施、病毒防護、數據庫安全防護、終端安全管理和電子文檔安全防護等細化的措施,形成覆蓋企業全領域的技術防護體系。
2.3設置責權統一的信息安全組織體系
在企業內部設置網絡與信息安全領導機構和工作機構,按照“誰主管誰負責,誰運營誰負責”原則,實行統一領導、分級管理。信息安全領導機構由決策層組成,工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門,包含安全管理員、系統管理員、網絡管理員和應用管理員,并分配相關安全責任,使信息安全在組織內得以有效管理。
2.4構建全面完善的信息安全管理體系
對于電力企業的信息安全防范來說,單純的使用技術手段是遠遠不夠的,只有配合管理才能提供有效運營的保障。
2.4.1用制度保證信息安全
企業要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件,指明信息安全的發展方向,為信息安全提供管理指導和支持;安全管理辦法是對信息安全各方面內容進行管理的方法總述;安全管理流程是在信息安全管理辦法的基礎上描述各控制流程;安全規范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素,人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現企業工作人員的規范管理,明確員工信息安全責任和義務,避免人為風險。
2.4.3建設時就考慮信息安全
在網絡和應用系統建設時,就從生命周期的各階段統籌考慮信息安全,遵照信息安全和信息化建設“三同步”原則,即“同步規劃、同步建設、同步投入運行”。
2.4.4實施信息安全運行保障
主要是以資產管理為基礎,風險管理為核心,事件管理為主線,輔以有效的管理、監視與響應功能,構建動態的可信安全運行保障。同時,還需要不斷完善應急預案,做好預案演練,可以對信息安全事件進行及時的應急響應和處置。
3.總結