時間:2023-10-10 10:43:14
導語:在網絡安全運營體系建設的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
關鍵詞:電信;網絡安全;技術防護
從20世紀90年代至今,我國電信行業取得了跨越式發展,電信固定網和移動網的規模均居世界第一,網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網絡安全及防護工作做了一些思考。
1電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻
電力體系通信網絡為電力體系運營與管制做出了突出貢獻,但是網絡安全問題也是電力體系通信業務不可忽視的問題。
【關鍵詞】電力體系 通信網絡 安全 防護
1 電力體系信息通信網絡設備概述
電力體系信息通信網絡使用的硬件設備主要涉及網絡設備、通信設備、主機及服務器和存儲設備。當前,在我國的國情下,我們的核心技術和知識產權都有一定的局限性,目前新購置的網絡設備基本都是國產的,只能說目前仍有部分在用網絡設備是國外進口的設備,可以從幾方面來說:
(1)目前仍然在用的國外進口設備存在安全方面的隱患;
(2)國產的設備在因受技術條件的影響,安全性還有待提高。
(3)因為目前電力行業正在從進口設備轉向國產設備,但不可能一次性全部將設備進行更換,因此必然會出現同時使用不同品牌設備的情況,會存在一定的兼容性差異,影響網絡安全。
電力信息通信是電力體系的重要構成部分,由多個部分構成而形成的電力體系。電力體系信息通信網絡是一個覆蓋面積廣泛的網絡,它的不同管控和通信都是以大量的軟硬件做支撐。電力作為關系人民生產、生活的基礎產業,電力信息化建設是電力公司安全生產及生產力水平的主要體現。為了確保電力體系的安全穩定運營,必須要使用這些通信技術和網絡設備,而國外信息通信網絡設備廠商和產品的不可控性,不斷曝出國外廠商信息化資源的安全隱患,關乎公司、國家的信息網絡安全保障問題也日益突出。
2 電力體系信息通信網絡存在的問題
自“十一五”以來,我國組建了電力體系管制專用網絡,并實現了內外網隔離。通過邏輯隔離和物理隔離的方法對信息通信網絡進行安全防護,全面組建了以“三道防線”為核心的等級保護縱深防御體系。有效地確保了核心數據的安全,杜絕了非相關人員管控網絡以及訪問信息的情況出現,通過電力體系相關實驗室的對國內外網絡設備安全風險進行分析發現,如果設備存在安全漏洞或者事先被植入木馬、后門等程序,即便在物理隔離下,依然會被攻擊。
2.1 設備與體系風險
因為目前電力行業正在從進口設備轉向國產設備,但不可能一次性全部將設備進行更換,因此必然會出現同時使用不同品牌設備的情況,會存在一定的兼容性差異,影響網絡安全。存在被植入后門、木馬的風險,將電力體系信息通信網絡完全、局部對外部網絡開放,導致電力體系信息通信網的安全風險。由于設備的缺陷或漏洞未及時更新修復,使得服務器等網絡設備遭受攻擊和利用,這也是我國電力體系信息通信網絡的安全風險。
2.2 人員管控方面
通過實現內外網隔離,降低和消除了部分網絡攻擊帶來的故障影響,但在運維和管制中還存在一些風險,主要體現在管制、維護人員方面。一些核心的設備來源于國外,因此故障、升級、維護等環節也需要外來人員的技術支持。在進行內網體系檢測維護時,眾多敏感數據可能會被他人所非法利用。對于國家電網公司從事體系管制的工作人員,由于管制不善,通過移動存儲介質或其他終端通訊設備,對信息通信網絡進行攻擊和破壞。
3 加強科學技術使用,抵制風險
網絡技術是預防安全風險的最優方法,電力公司要及時創新或引入最前衛的體系安全技術,創建良好的運營環境。網絡技術是抵制安全風險形成的最佳方式,電力公司要及時更新或引進先進的體系安全技術,營造良好的運營環境。
3.1 安全審核技術
對于體系上流通的數據信息進行審查,及時攔阻存在異常的數據信息,避免這類信息給網絡體系造成干擾,安全審查技術的運用也能有效的保護信息體系的安全。如審核技術中對網絡設備日志、操作體系運營日志、數據庫訪問日志等綜合處理,及時發現異常問題且自動處理。
3.2 防火墻技術
這種技術是將可信網絡與不可信網絡相互分隔開來,進而創建一個全面性的安全檢查點,對一些異常信息流通進行過濾篩選。如:防火墻中的強制實糟能進行安全檢查,避免電力公司信息遭到非法存取或攻擊。另外,在電力體系的生產、計量、營銷、調度等方面也有很好的管控。
3.3 容災技術
采用雙機備份、異地備份等方式來保護重要資料。在本地將關鍵數據備份,然后送到異地保存。災難發生后,按預定數據恢復程序恢復系統和數據。這種方案成本低、易于配置。但當數據量增大時,存在存儲介質難管理的問題,并且當災難發生時存在大量數據難以及時恢復的問題。為了解決此問題,災難發生時,先恢復關鍵數據,后恢復非關鍵數據。
4 加強管制體制
體系建設安全技術僅僅是一部分,在引進網絡信息體系管制之后應從多個層面來維護信息安全。公司經營者應從管制策略上創新改革,制定更加科學的安全管制策略以規劃好網絡信息體系的運營。日常管制中,公司可以從以下幾個方面對網絡信息安全維護管制:
4.1 規劃管制體制
嚴格的網絡安全管制體制可實現信息體系的有序操作,讓每個環節都能處于安全、可靠的運營狀態。公司要全面貫徹科學發展觀念,制定可持續性的體系安全策略,以確保網絡信息得到有效維護。如:對計算機操作人員管制,考核其專業技能;對計算機設備管制,避免出現意外故障等。
4.2 增強安全觀念
安全觀念涉及到領導者、操作者。電力公司經營者要從安全角度出發,為現有的網絡信息體系制定安全管制策略,避免體系受到外在因素的破壞;而公司職員,則要不斷培養自己的安全觀念,在操作網絡體系時堅持安全原則,把握好每一個操作步驟以維持體系的穩定性。
4.3 構建認證體系
身份認證是利用專有賬戶、密碼等對進入信息體系者的身體進行驗證,防止外來入侵者惡意攻擊體系。
4.4 加快故障處理
當網絡信息體系發生故障后,公司要盡快組織技術人員對體系進行解決,盡早解決常見故障造成的不利影響。
5 結語
通過上述分析可知,電力體系通信網絡安全問題一直是電力公司運營中關注的焦點問題,由于外界影響因素以及體系運營自身存在的局限性,給電力體系通信網絡帶來一定的安全隱患,必須采取有效的安全防護技術,創立完善的安全管制體制,加強安全防護觀念等,營造一個安全的網絡運營環境,為電力體系通信業務發展提供動力。
參考文獻
[1]李疆生.電力通信網絡中的時間同步體系[J].電力體系通信,2011,32(01):6-9.
[2]王富良.淺談電力通信網絡管制體系結構[J].城市建設理論研究:電子版,2014(33):55.
關鍵詞:通信網絡;安全隱患;管理體系;安全與防護
中圖分類號:TN918.91文獻標識碼:A文章編號:1007-9599 (2012) 02-0000-02
Thinking of Communication Network Security and Protection
Li Jian
(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)
Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.
Keywords:Communication network;Security risks;Management system;Safety and Protection
一、前言
計算機網絡包括兩個部分:計算機和通信網絡,計算機是信源或者終端,通信網絡則是進行數據傳輸和交換,它最終實現計算機網絡的資源共享。隨著信息技術的不斷更新,我國通信網絡產業也在快速發展。目前,國內的通信網絡系統覆蓋地域廣闊,設備復雜多樣,針對各種特定類型的通信設備,很多的網管系統基本實現了使用專用的接口協議。
信息技術的快速發展,自然而然就帶動了通信網絡的快速發展,隨著國民經濟信息化進程的加快,使得信息技術得到普及,而各行業通信網絡的依賴程度越來越高。通常,機遇與挑戰是并存的,一方面給通信網絡帶來了發展機遇;另一方面又不可避免的給通信網絡的安全造成一定的挑戰。當前,通信網絡安全問題日漸凸顯,如病毒,黑客等等竊取信息的方式也不計其數,所以如何應對這些通信網絡出現的安全問題,也就是保證網絡通信的安全性是目前通信工程需要急需解決的難題。
為了維護網絡通信的信息系統的正常工作,預防網絡安全事故以保證通信網絡的安全,防范猖狂的網絡犯罪。需要制定相關的網絡通信信息系統的安全防護策略。
二、通信網絡安全防護工作現狀
通信網絡安全防護包括:網絡安全的等級保護、網絡安全的風險評估和網絡安全的災難備份等,這些都以事前防護和準備為主的,最終通過技術和管理落實和改進通信網絡安全的維護和管理,并且與網絡安全的重要性及潛在的威脅相適應,以提高通信網絡的安全水平,降低重大網絡安全事件的發生概率,以“積極防御、綜合防范”為指導方針,以“預防為主”的原則,關鍵是進行事前預防保護。
通信網絡安全是根據網絡特性,通過相應的安全技術和措施以防止通信網絡中泄露、破壞或更改了操作系統、軟件、硬件和數據等資源,預防非法用戶竊取服務,以確保通信網絡的正常運行;網絡通信安全包括設備安全、用戶識別安全以及數據傳輸安全等內容。
國內外對通信網絡安全的研究一直在進行,國外很早就進行信息網絡安全研究,研究全面而廣泛。上個世紀70年代美國在網絡安全技術基礎理論研究成果“計算機保密模型”的基礎上,制定了“可信計算機系統安全評估準則”(TCSEC),之后又制定了網絡系統數據庫方面和系列安全解釋,形成了安全信息體系結構的準則[3]。安全協議對信息安全而言是必不可少的,包括基于狀態機、代數工具和模態邏輯三種分析方法。而今密碼學成為網絡信息安全的重要技術,近年來各個國家和地區相繼舉辦信息學及安全密碼學術會議。當前研究的熱點是密鑰密碼,而電子商務的安全性也受到極大關注,目前處于研究和發展的階段,加快了密鑰管理及論證理論的研究步伐。國內的信息網絡安全研究經歷了兩個階段:通信保密和數據保護。目前主要從安全體系結構、現代密碼結論、安全協議、信息分析和監控等方面提出的系統完整和協同的通信網絡安全與防護的方案。2009年開始,國家的信息化部及工業計劃每年對通信網絡進行安全等級保護、通信風險評估,網絡通信的災難備份等相關防護工作。
三、探討通信網絡中的安全隱患
隨著通信網絡的一體化和互聯互通,以及共享資源步伐的加快,通信的安全和保密問題就顯得非常重要。
(一)關于安全管理體系建設
首先,網絡安全機構不夠健全,網絡安全維護隊伍還不充實。目前,非傳統安全問題不斷增加,而企業在進行人員素質培養、人員的配備及機構的設置未能很好地適應管理工作。其次,未能很好的統籌網絡安全管理工作,整體性不足。雖然在業務發展中,各運營企業相繼建設了不少的網絡和系統,但沒有統籌謀劃和監督管理,缺乏統一標準,運營企業各自管理網絡和系統的安全,因此,必然存在安全隱患。再者,由于缺乏安全技術手段。網絡的應急處置、預警監控、安全防護和審計等技術水平不高。最后,網絡安全制度未完善,未能涉及每個環節。安全管理主要集中在運行維護環節而忽略其他環節,最近幾年企業建設了不少IT系統,但上線前未對設備和系統進行徹底的安全檢測,同樣帶來安全隱患。
(二)關于適應形勢的發展
運營企業未能深入認識到通信網絡的基礎性以及全局性作用,隨著通信網絡移動化、IP化、智能化的發展,網絡安全觀念相對滯后,傳統的網絡通信安全意識仍停在設備可靠性等物理安全層面上,而對網絡攻擊、非法遠程控制和病毒傳播等威脅意識仍然不夠,對通信網絡安全防護的投入很少,對網絡安全存在僥幸心理。
(三)關于規范第三方服務的管理
運營企業在信息和網絡系統的安全的保障、規劃的設計、建設集成和網絡的運行維護等環節基本都依賴第三方服務。但是由于缺乏規程規范和制度,運營企業對第三方服務的管控力度不夠,致使服務過程存在較大風險。
(四)防護措施落實不到位
目前,網絡通信防護內容主要是防病毒、防攻擊、防入侵。但是,防護措施落實不夠,未能防范和抵御網絡系統的內外部安全風險,DDOS攻擊堵塞城域網和IDC的事件時有發生;未能及時升級軟件,漏洞管理不及時,被保護主機或系統會因為漏洞遭到黑客的攻擊;如果沒做好不同安全域之間和內外網隔離及其訪問控制工作,就可能導致不同系統間的非授權訪問;服務器或者系統開放不必要的服務和端口就會給黑客有機可乘,通過遠程攻擊和入侵;沒有啟用安全日志或者沒做好日志審計工作就會對故障的排查及處理,安全事件的還原工作帶來困難。
(五)關于網絡的安全意識
目前,運營企業的網絡和系統本身安全性不足,存在很多安全漏洞,而運營企業本身的內部網絡防范措施不足,太過依賴邊界安全,因此存在嚴重的安全隱患。
(六)關于遠程維護管控措施
有的遠程維護管理網絡平臺本身就有漏洞,而遠程維護管理控制的審批的管理、平臺的管理、日志的審計以及實時的監控等措施也不足,因此業務系統同時存在內外部的安全隱患。
(七)災難備份工作不夠完善
隨著網絡的集中管控程度的提高,在部分網絡單元中,還存在同管道、單節點、單路由等問題。
四、關于網絡安全的防護
(一)關于網絡安全維護的新情況和新問題
監管部門應該加強管理及隨時研究新技術帶來的安全問題,為提高工作的有效性和主動性,應及時提出相關的措施。
(二)關于安全防護的檢查力度
在傳統的安全防護檢查的基礎上,需要制訂和完善安全防護標準以針對非傳統安全的薄弱環節和突出問題,深入開展風險和安全評測。
(三)貫徹落實各項制度標準
電信監管部門應該積極組織開展《互聯網網絡安全應急預案》、《通信網絡安全防護管理辦法》等制度的學習宣傳和貫徹,落實安全防護工作。
(四)對應急事件的處理
隨著網絡技術的發展,網絡安全事件發生頻率將越來越高,電信監管部門應及時通報網絡安全信息,重視重大的網絡安全事件。
(五)關于主機、操作系統、數據庫配置方案
基于Intranet體系結構的運營企業的網絡系統,同時兼備廣域網和局域網的特性,是一個范圍覆蓋廣且充分利用了Intranet技術的分布式的計算機網絡,面臨的安全隱患很多,應安裝核心防護產品在需要保護的核心服務器上,部署中央管理控制臺在中央安全管理平臺上,以對全部的核心防護產品進行統一管理。
(六)關于網絡的安全技術水平
監管部門在網絡安全工作中應重視技術手段建設,隨時關注通信網絡的發展趨勢,加強技術研發,提高運營企業的抗擊能力。一直以來,運營企業的安身立命需要保證通信網絡的安全穩定運行。隨著信息通信技術的飛速發展,通信網絡所涉及的各種業務已經滲透到國家社會、政治及生活的各個方面,其地位和作用日趨重要。在新的發展形勢下,網絡的安全穩定已經成為通信運營企業所擔負的社會責任。
五、結語
當今是信息時代,掌握了信息就掌握了主動權,不管是經濟的發展還是戰爭的對抗,信息就是決定一切的先決條件。整個社會都在努力追趕信息時代的步伐,為的就是及時追隨時代的步伐,走在信息時代的最前沿才能掌握發言權。
參考文獻:
[1]楊朝軍.關于計算機通信網絡安全與防護策略的幾點思考[J].應用科學
[2]丁全文.淺談通信網絡的安全與防護[J].信息與電腦,2011,5
[3]馮登國.國內外信息安全研究現狀及其發展趨勢[J].網絡安全技術與應用,2001,1:8-13
[4]姜濱,于湛.通信網絡安全與防護[J].甘肅科技,2006,12,22
關鍵詞:數字認證技術;網絡安全;PKI
中圖分類號:F062.5 文獻標識碼:A
隨著信息技術的迅速發展,因特網已進入社會生活的各個領域,基于網絡環境下的電子商務、電子政務、電子事務正在蓬勃迅猛的發展。信息化程度已經成為國家乃至個人現代化程度的重要標志。但網絡安全一直困擾著信息化進程,缺乏誠信的網絡世界充滿了欺詐和風險,影響了經濟發展和社會秩序。建立完善的網絡信任體系,保證網絡信息安全是推進信息化必須面對的課題。而電子服務認證是保證網絡信息真實、完整和信息發送不可抵賴,建立起完善網上信任體系的重要手段和措施,大力發展電子認證服務對于加快信息化建設進程具有重要意義。
一、電子認證服務
1.電子認證的認證原理
電子認證服務所采用的數字證書認證技術是以密碼技術為核心,在國際上廣泛流行的是采用PKI(Pubic Key Infrastructure)技術。在PKI鑰系統中,為每個用戶生成一對相關的密鑰:公開密鑰和私有密鑰。雙方進行信息交換的過程是:發送方通過網絡或其他公開途徑得到接收方的公鑰,然后使用該密鑰對信息加密后發送給接收方;接收方用自己的私鑰對收到的信息進行解密,得到信息明文。在這里,只有接收方才能成功地解密該信息,因為只有接收方擁有與之相對應的私有密鑰,從而保證了信息的機密性。如果發送方在發送信息時附上自己的數字簽名,則接收方通過驗證數字簽名可以保證信息的完整性和不可抵賴性。
PKI框架中的核心元素是數字證書;PKI的核心實施者是CA認證中心。數字證書又稱為數字標識(Digital Certificate,Digital ID)。它提供了一種在網絡上身份驗證的方式,是用來標志和證明網絡通信雙方身份的數字信息文件。在網上進行電子政務和電子商務活動時,雙方需要使用數字證書來表明自己的身份,并使用數字證書來進行有關的操作。
2.電子認證服務在網絡信任體系中的作用
網絡信任體系是以密碼技術為基礎,以法律法規、技術標準和基礎設施為主要內容,以解決網絡應用中身份認證、授權管理和責任認定等為目的的完整體系,它是網絡環境下各項業務活動有序開展的基礎保障。電子認證服務就是利用數字證書技術為電子商務、電子政務等網絡業務提供行為主體的真實身份和控制權限,保證信息資源的真實性和可靠性的第三方服務,是建立網絡信任體系的基礎和核心。
二、我國電子認證服務體系的建立
1.法律法規與標準規范建設
2005年4月1日《中華人民共和國電子簽名法》(簡稱《電子簽名法》)正式實施。隨后,信息產業部和為國家密碼管理局出臺了一系列的配套規章和標準規范,包括《電子認證服務管理辦法》、《電子認證服務密碼管理辦法》、《電子認證業務規則規范(試行)》、《證書認證系統密碼及其相關安全技術規范》。等。《電子簽名法》是我國電子商務、電子認證領域的第一部法律,具有極其重要的歷史意義和現實意義,它給網上數字化的商務活動以法律認同的效力和地位,這對推動我國網絡經濟的健康發展可謂意義重大。
2007年2月1日,國家標準化委員會《信息安全技術公鑰基礎設施數字證書格式》、《信息安全技術公鑰基礎設施特定權限管理中心技術規范》和《信息安全技術公鑰基礎設施時間戳規范》三項信息安全國家標準,對《電子簽名法》的實施和我國網絡信任體系建設將起到重要的規范作用。
2.我國電子認證服務的現狀
電子認證服務在我國開展已有近10年的歷史。隨著因特網的普及,伴隨著電子政務 、電子商務的發展,我國數字認證市場逐步從培育期走向成長發展期。《電子簽名法》、《電子認證服務管理辦法》等法律法規出臺后,電子認證服務逐步走向規范化。截至2007年10月10日,我國已有25家電子認證服務機構獲得信息產業部頒發的電子認證服務許可證獲得電子認證服務資質。由于服務資質認證開始的時間不長,還有100多家認證機構未獲得電子認證服務許可證。
三、我國電子認證服務體系建設存在的問題
1.法律環境體系不完善
雖然國家在2005年出臺了《電子簽名法》,信息產業部也相繼出臺了與之配套的法規和標準,但還是缺乏對認證服務過程中的一些實質性的操作進行規范和約束,也沒有確定電子認證在實際應用中的基礎性保障地位。其它法律法規沒有做出相應的調整,無法體現數字認證在法律活動中的法律效力。
2.認證服務缺少行業整體規劃,標準規范滯后
從國內電子認證服務機構開始建設至今,國家政府部門一直沒有出臺一個指導國內電子認證服務機構建設的總體規劃和管理指南,使得電子認證服務機構建設處于無序狀態。長期以來,電子認證服務業的建設和運營一直都缺少統一的標準和規范,嚴重影響了中國電子認證服務行業的發展。目前國內的電子認證服務機構頒發數字證書時所采用的標準和規范都不一樣,證書的發放和運用范圍、審核方式也不盡相同,所涉及到的信息保存及披露更是有較大的差別,導致很多用戶擁有多張證書,無法交叉認證和互聯互通。
3.對電子認證服務機構的作用認識不足
網絡上之所以需要電子認證,是由于網絡化帶來的信任問題引起的。而電子認證中心正是這樣一個服務機構,它提供網上實體身份標識的第三方公證服務,廣泛地服務于電子政務、電子商務、網上銀行、網上身份證、電子公證、安全電郵、電信、保險等領域。然而,在國內電子認證服務行業建設和發展過程中,政府、企業、個人都對電子認證服務機構的作用認識不足,對電子認證服務機構的作用認識存在偏差。
4.區域發展不平衡
電子認證服務機構應該是第三方機構,應該是社會共享資源。但是,由于缺少統一的規劃和管理,國內電子認證服務機構建設過熱,有一定的盲目性,重復建設和資源浪費現象嚴重。一些在經濟欠發達的地區盲目設立的電子認證服務機構,由于當地市場容量有限,不僅不能發揮作用,甚至認證機構本身也難以維持正常的運營,長期虧損;而在經濟發達地區,建設的盲目性就表現為重復建設,資源浪費嚴重。
5.認證業務整體發展水平偏低
技術基礎問題將直接影響著中國的電子認證服務業的發展:電子認證目前使用的主要是數字簽名技術,也主要是指PKI;而從技術角度看,PKI潛在問題是涉及到證書機制,對客戶不透明;對證書簽發后管理問題技術實現和管理方法落后,不方便客戶。公鑰算法的生命周期問題目前成為關注的焦點,各種算法的應用將面臨挑戰;PKI的核心機構就是CA,而目前信息孤島現象比較嚴重,一個CA一個信任域,信息交流和互聯互通是一個迫在眉睫的問題。
四、電子認證服務體系發展建議
1.建立健全法律規范,完善標準體系建設
法律法規是大力發展電子認證服務的基本保障,《電子簽名法》對電子認證服務管理只是做了框架性的規定,配套的法律法規、行業規范亟待健全;技術規范是電子認證服務的安全核心,電子認證的技術標準和服務規范繼續統一和完善。
2.從國家戰略高度統籌規劃
應該加強電子認證服務業發展的基礎性研究,做好電子政務服務的整體發展規劃。政府部門應該針對我國電子認證服務機構的發展現狀,做出統籌規劃,進行合理布局,以構建適合我國國情的電子認證技術體系、運營體系和服務體系。
3.積極提升技術水平,加強安全監控
電子認證服務機構的認證系統安全,涉及到諸多方面。政府部門和認證機構應該積極合作,密切配合,盡力消除安全隱患,提高安全強度,采取多種方式提高整個認證系統運行的安全性和穩定性。
4.積極地參與電子認證的國際合作
電子商務的本質,決定了與之相關的服務必然逐步呈現國際化的趨勢,電子認證服務也不例外。從長遠的角度看,電子認證在國際范圍內的交叉認證、統一和標準化是一種必然趨勢。
作者單位: 遼東學院 信息技術學院
參考文獻:
[1]謝先江.淺論我國數字認證建設[J].現代情報,2004,(11):20-22.
[2]全國信息安全標準化技術委員會秘書處. 我國電子認證相關標準簡介[J]. 信息網絡安全,2007,(3):2-4.
建立健全廣電網絡安全防御體系
1廣電網絡特征
(1)我國廣電網絡發展正處于數字電視及模擬電視轉型階段,且廣電網絡正處于轉型期,除此以外,我國網絡安全投資經費遠遠不能夠滿足實際需要;(2)我國網絡管理機制不健全、管理人員專業技能及綜合素養普遍不高,且我國網絡管理手段大多為管理性能不高的局部管理軟件或網絡設備廠家免費贈送的網絡管理軟件;(3)我國網絡安全與系統建設不成熟,尚處于發展的低級階段,且安全集中式管理模式基本缺失,這對于我國廣電網絡安全均造成了不少的安全隱患。
2立體網絡安全防御體系結構層次
隨著技術的發展及廣電網絡安全意識的提高,立體安全防御體系建立被得到深入發展,這為提高廣電網絡安全防御性能發揮著巨大的作用。立體安全防御體系主要分為安全管理系統、安全防護系統及安全監理系統等三大部分。在整個網絡安全體系中,安全監控系統扮演著中樞系統的角色。安全監控系統重點功能模塊包括安全策略管理模塊、安全知識庫及報表模塊、用戶權限管理模塊、安全預警管理、安全事件流程管理模塊、風險評估模塊、安全區域管理模塊、安全資產管理模塊、安全信息監控管理模塊、安全事件智能關聯及分析模塊、安全事件采集模塊、安全知識學習平臺模塊。就防護級別而言,安全防護系統涉及的模塊包括:(1)專控保護區域:多路供配電系統、攻擊防護模塊、空氣調節及通風控制、數據訪問控制、防火及火警探測、系統訪問控制、水患及水浸控制、系統日志控制、物理出入控制、密碼管理控制、定期衛生及清潔控制、認證及識別系統、設數據訪問控制、備及介質控制;(2)強制保護區域:不間斷供電系統、攻擊防護模塊、多路供配電系統、漏洞管理和修補、空氣調節及通風控制、激活業務控制、防火及火警探測、程序開發控制、水患及水浸控制、系統更改控制、物理出入控制、病毒防護模塊、數據訪問控制、定期衛生及清潔控制、系統訪問控制、系統日志控制、設備及介質控制;(3)監督保護區域:多路供配電系統、密鑰管理模塊、空氣調節及通風控制、攻擊防護模塊、防火及火警探測、漏洞管理和修補、水患及水浸控制、激活業務控制、物理出入控制、系統更改控制、定期衛生及清潔控制、病毒防護模塊、設備及介質控制、數據訪問控制、系統訪問控制、系統日志控制;(4)指導保護區:物理出入控制、密碼管理控制、定期衛生及清潔控制、漏洞管理和修補、設備及介質控制、激活業務控制、系統訪問控制、系統更改控制、病毒防護模塊、數據訪問控制;(5)一般保護區:系統訪問控制、用戶行為管理模塊、數據訪問控制、漏洞管理和修補、病毒防護模塊;(6)安全管理系統:安全技術及設備管理、部門與人員組織規則、安全管理制度等。
工程實例
南京廣電網絡屬于復雜網絡結合體,其涵蓋了三個物理結構,即MSTP傳輸網、IP傳輸網、HFC網,且該網絡系統包含的系統及部門眾多。
1安全監控系統
南京廣電公司堅持“分級監控體系”原則,即公司層面設安全監控中心,各部門設子系統監控分中心。網絡監控系統對網絡系統內各主要鏈路狀態及主要節點設備進行實時監控,且構建了緊急事件相應流程及自動報警機制,并對管理漏洞、網絡配置及未授權行為進行嚴格檢測,此外,如實保存并審計相關安全事件及異常事件日志(見下圖)。
2安全防護體系
南京廣電公司于安全防護體系之上始終堅持“分級防護“原則。基于信息資產及業務系統重要性的不同,安全防護體系被劃分為五大保護等級。信息安全等級保護工作應堅持“分類指導、分級負責、分步實施、突出重點”原則;遵循“誰運營-誰負責、誰主管-誰負責”要求。防護體系架構:安全防護體系層次模型被劃分為縱向及橫向兩個層面相結合安全防護體系,該安全防護系統有助于對廣電網絡各系統及系統各層次進行安全全面而系統地把握。就橫向管理體系(見下圖一)而言,考慮的核心在于對安全數據進行集中式監控及處理,并以等級保護相關規范為根據,對各系統不同等級安全保護域加以確定;就縱向管理體系(見圖二)而言,考慮的核心在于以系統ISO七層體系模型為參考依據,監控并管理各系統各層次。
安全防護體系層次劃分標準:橫向層次標準:劃分橫向層次安全域應該以國家系統等級保護標準格式為依據,并基于企業系統程度,將廣電網絡定義為五大保護等級,且以保護等級為依據將網絡體系劃分為安全域;縱向層次標準:縱向層次劃分標準應以ISO七層網絡模型為參考依據,具體劃分標準包括物理層安全防護(環境安全、設備安全、介質安全)、系統層安全防護、網絡層安全防護、安全管理(安全技術及設備管理、部門及人員組織規則、安全管理制度)。
保旺達,關注數據,保障未來。
江蘇保旺達軟件技術有限公司始創于2002年,具有十多年的深厚積淀,始終專注于計算機信息安全領域的體系建設、服務交付和產品提供,成就了保旺達在中國信息安全行業的領先地位。
2016年2月,保旺達與上市公司通鼎互聯達成戰略合作伙伴關系,這意味著保旺達將擁有更為寬廣的視野和舞臺,以及更加強勁的動力和保障。
保旺達在董事長鐘丹東的帶領下,以建設中國自主的信息安全體系為目標,以實現中國國家安全大業為偉大使命,專注于國內領先的信息安全領域,為客戶提供軟件研發、系統集成、技術服務等全方位的解決方案與服務,是中國計算機信息安全領域領先的體系設計者、服務交付者和產品供應者。
保旺達作為國內最早從事信息安全產品研發、銷售、集成的企業之一,已通過ISO9001質量管理體系、ISO27001信息安全管理體系、CMMI3級認證和ITSS貳級認證,榮獲“江蘇省軟件企業”稱號,還是江蘇省信息產業廳首批信息安全風險評估服務機構、江蘇省公安廳等級保護服務機構、江蘇省規劃布局內重點軟件企業,具有國家計算機信息系統集成貳級資質、國家信息安全服務一級資質和信息系統集成乙級資質。
保旺達堅持“始于客戶要求,終于客戶滿意”,憑借豐富的項目管理經驗和完善的產品解決方案,先后在華北、華東、華南、華中、西南、西北等區域的多個省市成立辦事處和技術支持中心,業務網絡遍及全國。
保旺達與中國聯通、中國移動、中國電信等電信運營商建立穩定的合作關系,提供安全運維服務,并參與和主導了三大電信運營商信息安全體系的設計和規范編寫工作。同時,保旺達還為政府部門和軍工企業提供信息專項集成服務。
保旺達依托專業的研發力量和強大的人才優勢,成功研發出網絡信息交換系統、統一運維管理系統、打印刻錄安全監控審計系統、敏感數據擴散跟蹤地圖等50多項軟件產品,形成網絡安全、系統安全、應用安全、數據安全、云應用安全五大產品體系,多個產品通過中國質量認證中心、國家保密科技測評中心和公安部網絡安全保衛局的產品檢測,多個產品獲得計算機軟件著作權和軟件產品登記證書。保旺達承擔的科研項目多次獲得國家專項資金扶持,獲評國家和省市級獎項,為各大運營商和政企業客戶建立可信可靠的安全管理體系。
人才是現代企業永續發展的第一動力。保旺達在發展過程中,一貫堅持 “尊重、愛護、培養、發展”的用人育才方針,通過科學完善的績效和薪酬管理體系,致力于為人才提供優厚的福利待遇和卓越的個人發展平臺。保旺達擁有一支年輕、專業的技術團隊,博士學歷和碩士學歷的員工占10%,擁有本科學歷的員工占80%。
為跟蹤技術潮流,實現自主創新、積蓄后勁,保旺達長期與南京大學、東南大學等多所知名高校進行產學研合作,并委托培養和外派培養了大量信息安全領域的專家人才,搶占信息安全技術的制高點。
【 關鍵詞 】 云計算;云安全;等級保護;虛擬化安全
1 引言
自2006年云計算的概念產生以來,各類與云計算相關的服務紛紛涌現,隨之而來的就是人們對云安全問題的關注。目前各個運營商、服務提供商以及安全廠商所提的云安全解決方案,大都根據自己企業對云平臺安全的理解,結合本企業專長,專注于某一方面的安全。然而,對于用戶來說云平臺是一個整體,需要構建云平臺的整體安全防護體系。
因此,針對云計算中心的安全需求建立信息安全防護體系已經是大勢所趨,云安全防護體系的建立,必將使云計算得以更加健康、有序的發展。
2 云計算的安全問題解析
云計算模式當前已得到業界普遍認同,成為信息技術領域新的發展方向。但是,隨著云計算的大量應用,云環境的安全問題也日益突出。我們如果不能很好地解決相關的安全管理問題,云計算就會成為過眼“浮云”。在眾多對云計算的討論中,SafeNet的調查非常具有代表性:“對于云計算面臨的安全問題,88.5%的企業對云計算安全擔憂”。各種調研數據也表明:安全性是用戶選擇云計算的首要考慮因素。近年來,云安全的概念也有多種層面的解讀,本文所指云安全是聚焦于云計算中心的安全問題及其安全防護體系。
2.1 云安全與傳統安全技術的關系
云計算引入了虛擬化技術,改變了服務方式,但并沒有顛覆傳統的安全模式。從這張對比視圖中,如圖1所示,可以看出,安全的層次劃分是大體類似,在云計算環境下,由于虛擬化技術的引入,需要納入虛擬化安全的防護措施。而在基礎層面上,仍然可依靠成熟的傳統安全技術來提供安全防護。
如圖1所示,云計算安全和傳統安全在安全目標、系統資源類型、基礎安全技術方面是相同的,而云計算又有其特有的安全問題,主要包括虛擬化安全問題和與云計算分租服務模式相關的一些安全問題。大體上,我們可以把云安全看做傳統安全的一個超集,或者換句話說,云安全是傳統安全在云計算環境下的繼承和發展。
綜合前面的討論,可以推導出一個基本的認識,云計算的模式是革命性的:虛擬化安全、數據安全和隱私保護是云安全的重點和難點,云安全將基于傳統安全技術獲得發展。
2.2 云計算的安全需求與防護技術
解決安全問題的出發點是風險分析,CSA云安全聯盟提出了所謂“七重罪”的云安全重點風險域。
Threat 1: Abuse and Nefarious Use of Cloud Computing(云計算的濫用、惡用、拒絕服務攻擊);
Threat 2: Insecure Interfaces and APIs(不安全的接口和API);
Threat 3: Malicious Insiders(惡意的內部員工);
Threat 4: Shared Technology Issues(共享技術產生的問題);
Threat 5: Data Loss or Leakage(數據泄漏);
Threat 6: Account or Service Hijacking(賬號和服務劫持);
Threat 7: Unknown Risk Profile(未知的風險場景)。
信息的機密性、完整性和可用性被公認為信息安全的三個重要的基本屬性,用戶在使用云計算服務時也會從這三個方面提出基本的信息安全需求。
機密性安全需求:要求上傳到云端的信息及其處理結果以及所要求的云計算服務具有排他性,只能被授權人訪問或使用,不會被非法泄露。
完整性安全需求:要求與云計算相關的數據或服務是完備、有效、真實的,不會被非法操縱、破壞、篡改、偽造,并且不可否認或抵賴。
可用性安全需求:要求網絡、數據和服務具有連續性、準時性,不會中斷或延遲,以確保云計算服務在任何需要的時候能夠為授權使用者正常使用。
根據云計算中心的安全需求,我們會相應得到一個安全防護技術的層次結構:底層是基礎設施安全,包括基礎平臺安全、虛擬化安全和安全管理;中間是數據安全,上層是安全服務層面,還包括安全接入相關的防護技術。
3 等級保護背景下的云安全體系
3.1 等級保護標準與云安全
自1994年國務院147號令開始,信息安全等級保護體系歷經近20年的發展,從政策法規、國家標準、到測評管理都建立了完備的體系,自2010年以來,在公安部的領導下,信息安全等級保護落地實施開展得如火如荼,信息安全等級保護已經成為我國信息化建設的重要安全指導方針。
圖3表明了等級保護標準體系放發展歷程。
盡管引入了虛擬化等新興技術,運營模式也從出租機房進化到出租虛擬資源,乃至出租服務。但從其本質上看,云計算中心仍然是一類信息系統,需要依照其重要性不同分等級進行保護。云計算中心的安全工作必須依照等級保護的要求來建設運維。此外,云安全還需要考慮虛擬化等新的技術和運營方式所帶來的安全問題。
因此,云計算中心防護體系應當是以等級保護為指導思想,從云計算中心的安全需求出發,從技術和管理兩個層面全方位保護云計算中心的信息安全;全生命周期保證云計算中心的安全建設符合等保要求;將安全理念貫穿云計算中心建設、整改、測評、運維全過程。建設目標是要滿足不同用戶不同等保級別的安全要求,做到等保成果的可視化,做到安全工作的持久化。
3.2 云計算中心的安全框架
一個云計算中心的安全防護體系的構建,應以等級保護為系統指導思想,能夠充分滿足云計算中心的安全需求為目標。根據前面的研究,我們提出一個云計算中心的安全框架,包括傳統安全技術、云安全技術和安全運維管理三個層面的安全防護。
云安全框架以云安全管理平臺為中心,綜合安全技術和管理運維兩個方面的手段確保系統的整體安全。在安全技術方面,除了傳統的物理安全、網絡安全、主機安全、應用安全、數據安全、備份恢復等保障措施,還需要通過虛擬化安全防護技術和云安全服務來應對云計算的新特征所帶來的安全要求。
3.3 云安全防護體系架構
在實際的云安全防護體系建設中,首先要在網絡和主機等傳統的安全設備層面建立基礎信息系統安全防護系統。基礎信息安全防護體系是以等級保護標準為指導進行構建,符合等級保護標準對相應安全級別的基本安全要求。
在此基礎上,通過SOC安全集中管理系統、虛擬安全組件、SMC安全運維管理系統和等保合規管理系統四個安全子系統共同組成云安全管理中心,如圖4所示。通過實體的安全技術和虛擬化安全防護技術的協同工作,為云計算中心提供從實體設備到虛擬化系統的全面深度安全防護,同時通過專業的SLC等保合規管理系統來確保云安全體系對于等級保護標準的合規性。
參考文獻
[1] 郝斐,王雷,荊繼武等.云存儲安全增強系統的設計與實現[J].信息網絡安全,2012,(03):38-41.
[2] 季一木, 康家邦,潘俏羽等.一種云計算安全模型與架構設計研究[J].信息網絡安全,2012,(06):6-8.
[3] 黎水林.基于安全域的政務外網安全防護體系研究[J].信息網絡安全,2012,(07):3-5.
[4] 胡春輝.云計算安全風險與保護技術框架分析[J].信息網絡安全,2012,(07):87-89.
[5] 王偉,高能,江麗娜.云計算安全需求分析研究[J].信息網絡安全,2012,(08):75-78.
[6] 海然.云計算風險分析[J].信息網絡安全,2012,(08):94-96.
[7] 孫志丹,鄒哲峰,劉鵬.基于云計算技術的信息安全試驗系統設計與實現[J].信息網絡安全,2012,(12):50-52.
[8] 甘宏,潘丹.虛擬化系統安全的研究與分析[J].信息網絡安全,2012,(05):43-45.
[9] 賽迪研究院.關于云計算安全的分析與建議[J].軟件與信息服務研究,2011,5(5):3.
[10] 陳丹偉,黃秀麗,任勛益.云計算及安全分析[J].計算機技術與發展,2010,20(2):99.102.
[11] 馮登國,孫悅,張陽.信息安全體系結構[M].清華大學出版社,2008:43-81.
[12] 張水平,李紀真.基于云計算的數據中心安全體系研究與實現[J].計算機工程與設計,2011,12(32):3965.
[13] 質監局,國標委.信息系統安全等級保護基本要求.GB/T 22239—2008:1~51.
[14] 王崇.以“等保”為核心的信息安全管理工作平臺設計[J].實踐探究,2009,1(5):73.
[15] Devki Gaurav Pal, Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science (IJ-CLOSER) ,2012 ,l.1(2):45~52.
[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http:///guidance/csaguide.v3.0.pdf,2011:30.
作者簡介:
白秀杰(1973-),男,碩士,系統分析師;研究方向:云安全技術。
李汝鑫(1983-),男,本科,項目管理師;研究方向:信息安全技術。
隨著煙草行業信息化快速發展及云計算、虛擬化、移動應用等新興技術運用,使煙草行業的信息安全面臨新的挑戰,主要表現在以下幾點。
1.1核心軟硬件被國外壟斷,嚴重威脅行業信息安全
當前,煙草行業的信息系統基礎設施,包括主機、存儲、操作系統、數據庫、中間件等幾乎還很大程度上依賴于國外品牌,使得煙草行業信息系統比較容易被國外掌控,威脅煙草行業信息安全。
1.2傳統互聯網威脅向煙草行業輻射
隨著電子商務的快速發展,煙草行業信息系統由半封閉的行業內網向互聯網轉變,網上訂貨、網上營銷等新型業務與互聯網結合日益緊密,同樣面臨的網絡攻擊和威脅形勢日益復雜嚴峻,傳統互聯網威脅(如病毒、木馬等)也必將危及行業信息安全。
1.3新技術的應用使行業信息安全面臨更大挑戰
隨著云計算、虛擬化、移動應用等新興技術的快速發展和應用,極大地影響了信息系統的運行和服務方式,互聯網服務的開放性特點對煙草行業信息安全工作提出嚴峻的挑戰。
2煙草行業信息安全發展方向
近期,為處理好安全和發展的關系,適應信息技術發展形勢需要,提出以安全保發展、以發展促安全是未來一段時間信息安全建設和管理的重要方向。
2.1堅持自主安全可控,健全行業信息安全體系
信息安全自主可控作為行業信息化發展的重要保障,加大安全可靠的先進技術應用力度,提升對核心技術的自主掌控能力,保障行業信息化建設穩步推進,健全以防為主、軟硬結合的行業網絡安全體系。強化網絡基礎設施安全,加大安全可控關鍵軟硬件的應用比例,確保行業信息化高效安全平穩運行。
2.2堅持等級保護,提高安全管理水平
執行國家信息安全等級保護制度,以安全策略為核心,堅持技術和管理相結合,構建與行業信息化發展協調一致的行業網絡安全體系。
2.3強化安全運維機制,提升安全保障能力
目前,行業信息安全保障尚未全面融入信息化的“建管用”的各個環節,需要進一步建設、健全行業網絡安全保障體系,落實安全運維機制,提升安全綜合防范能力。
2.4完善應急處置體系,保證系統安全穩定運行
加強日常信息安全監控,進一步完善信息安全應急處置機制,充分評估信息系統面臨的威脅,并制訂覆蓋各類信息系統、各種信息安全事件的應急預案并進行演練,提升信息系統預警、應急處置和恢復能力,保障業務系統的連續穩定運行。
2.5煙草行業信息安全建設思路
隨著國家、行業主管單位對信息安全認識和要求的不斷深入,煙草行業信息系統綜合安全防范能力需要通過建立自主可控的信息安全技術體系;細化和完善信息安全法規制度、標準規范、流程細則的管理體系;和以“常態化”為目標,包括階段性運維、日常運維、應急工作三個角度的安全運維體系設計,從而提高信息系統信息安全綜合防范能力。
2.6建立系統安全基線,提升系統基礎防護能力
國家局針對信息安全工作下發了如《信息安全保障體系建設規范》《行業單位等級保護建設規范》等一系列的規范標準,同時以“三全工作”“安全檢查”為抓手推動信息安全保障體系的建設。但由于缺乏具體的操作層面的指南,各行業單位對標準規范和安全建設尚不能有效落地,不能執行到具體的業務系統以及所屬的主機、網絡設備等基礎設施層面。為保證信息系統整體安全水平,防止因為各類系統、設備的安全配置不到位而帶來安全風險,有必要針對信息系統建立其基本的安全要求(安全基線),確保信息系統具有基本的安全保護能力。
2.7建立自主可控信息安全技術體系
自主可控是信息安全的根本保障。建立自主可控的信息安全技術體系可以從以下方面著手:一是制訂行業信息安全技術產品準入要求,啟動核心信息技術產品的信息安全檢查和認證工作;二是加強對產品或系統的漏洞檢測和代碼審查,及時發現系統安全隱患,同時明確國外進口產品在使用過程的責任和義務;三是建立煙草行業新技術的安全標準規范,明確新技術的使用、運維和管理的方法和范圍。
2.8不斷完善行業信息安全標準規范體系
目前煙草行業已經陸續了一系列行業信息安全標準和規范,但是相對于信息化的快速發展來說還存在滯后性。制定、完善和細化行業信息安全標準規范,對于煙草信行業信息安全具有重要意義。例如,針對信息系統的建設,應制訂包含在信息系統規劃設計、開發建設、運行維護和停用廢棄等全生命周期的安全標準規范;針對移動應用,應制訂包含由移動終端、移動網絡、移動平臺、業務應用構成的移動安全框架和建設標準規范,為煙草行業的移動應用建設提供指導;針對煙草行業數據安全,應建立包括數據分類分級、數據分布、數據操作、數據備份和恢復在內數據安全標準規范,為合理保護和利用行業數據提供指導;針對第三方服務外包,制定第三方服務機構服務質量基本評價指標體系。
2.9建立安全運維管理服務體系
一是建立運維監控指標體系。通過對信息系統安全運維水平的層次化監控指標的建立,得到該業務系統的安全運維水平評級,以此來表明該業務系統的安全運維體系的建設成熟度。同時還應將表示安全運維水平的各個指標項建立針對某類安全事件的度量標準。建立監控指標不僅應當包括傳統的各種系統資源使用率、數據和應用工作狀態等,同時要加強對運維監控中發現的各種異常現象的監控分析,對風險隱患及時處理,同時根據運行分析結果動態評估系統的處理能力,動態優化系統資源配置。二是完善安全運維和管理工作。安全運維和管理工作應包含在信息系統規劃設計、開發建設、運行維護和停用廢棄等各環節,落實系統建設全生命周期各環節的安全指標和流程要求,做到基礎信息網絡、重要信息系統與安全防護設施同步規劃、同步建設、同步運行。三是完善應急處置機制,保障業務連續性。隨著行業數據的集中,各類信息系統整合的不斷推進,信息系統的技術體系日趨復雜,需要在日常運維過程中積累、提高對各種技術的把握、優化能力。充分評估各類信息系統潛在的威脅,并制訂和完善各類信息安全事件的應急預案,并定期開展應急演練。
2.10開展信息安全風險態勢感知體系研究
風險態勢感知體系是具有宏觀的角度對行業的整體網絡安全防護能力進行評估,同樣也應對整體安全管理水平進行評估,為提升信息系統整體安全防護能力提供決策支持;同時風險態勢感知體系應具備兩個維度的態勢感知能力。一方面,從安全本身的發展變化入手,通過對事件和威脅的分析來評估當前網絡的整體安全態勢,包括地址熵態勢分析、熱點事件分析和威脅態勢分析;另一方面,從信息系統所需要達成的安全管理水平入手,通過對一系列管理指標的度量,來評估當前信息系統的安全管理水平;建設完備的信息安全風險感知體系,是提高煙草領域信息安全的重要途徑之一。風險態勢感知體系的建設應按照信息安全等級保護的相關要求,建設針對信息系統所有的基礎設施包括終端、網絡、應用、系統、物理各個方面,以及信息系統在業務處理過程中的身份認證、訪問控制、數據與內容安全、監控審計、備份恢復等各個環節的信息安全風險態勢感知體系,提高信息系統的信息安全保障能力,提高信息安全事件的預警及防范能力。
3結語
1我省林業信息化安全形勢嚴峻
我省林業系統信息安全面臨的形勢不容樂觀,從省直機關及部分地市單位的調查結果看,有39%的單位發生過信息安全事件,說明我省林業系統網絡和信息安全基礎還比較薄弱,保障機制尚待健全。主要有以下四個方面表現。
1.1從發生信息安全事件的結構上看,超過半數的屬于感染病毒、木馬。引起事件的原因35.5%來自于單位外部,主要原因是未修補或升級軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴重。而對于事件的覺察,36%是通過網絡管理員工作監測發現,22.7%是事后分析發現。這說明,我省林業網絡安全形勢總體上是好的,但也說明網絡與信息安全事件總體防范能力不足,缺乏對安全事件的提前預防。
1.2從信息安全管理來看,有74%的單位制定了安全管理規章制度,78%的單位能做到隨時進行安全檢查,61.1%的部門在管理中采取口令加密。這說明林業系統內大部門單位已經認識到了信息安全的重要性,但管理手段單一,技術落后,缺乏有效的身份認證、授權管理和安全審計手段。
1.3從信息安全投資來看,只有14.70%的單位信息安全投入達到了15%,70%的單位信息安全投資低于信息化項目總投資的10%,甚至還有7%的單位在信息安全方面從來沒有過投資。說明整體網絡與信息安全投入明顯不足。
1.4從專職人員配備情況來看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務。僅有3.8%的單位組織了對單位全體員工的信息安全培訓,而對于網絡安全管理技術人員的培訓也只有46%的單位搞過。從業人員不足,安全培訓少,也是影響信息安全的一個重要因素。上述現狀,反映出我省林業系統網絡與信息安全意識淡薄,信息系統綜合防范手段匱乏,信息安全管理薄弱,應急處理能力不強,信息安全管理和技術人才缺乏。隨著我省林業信息化建設和應用的加快,多樣化的侵害和信息安全隱患將會不斷地暴露出來,使我省林業網絡與信息安全工作面臨著更大的威脅和風險。
2我省林業系統信息安全保障思路及主要任務
省委省政府關于建設“平安山東”的決定,提出了把我省建設成為全國最穩定、最安全的地區之一的明確目標和任務,切實加強網絡與信息安全保障工作是大力推進國民經濟和社會信息化的重要保障,是平安山東建設的重要內容。省政府印發的山東省國民經濟和社會信息化的十二五規劃,把信息安全保障體系作為主要內容之一。在此基礎上,林業信息化建設以全面提高網絡與信息安全的保障能力為己任,努力開創了我省信息化建設與信息安全保障體系相互適應、共同進步的新局面。
2.1信息安全保障工作的思路以科學發展觀為指導,認真貫徹“積極防御,綜合防范”的方針,加強網絡信任體系、信息安全監控體系和應急保障體系建設,全面提高林業系統網絡與信息安全防護和應急事件處置能力,重點保障我省林業基礎信息網絡和重要信息系統安全;強化林業信息安全制度建設和人才隊伍建設,充分發揮各方面的積極性,協同構筑我省網絡與信息安全保障體系。
2.2信息安全保障工作的主要任務
2.2.1建立健全我省信息安全管理體制,充分發揮網絡與信息安全建設的作用,建立了信息安全的通報制度,形成我省林業信息安全相關部門密切配合的良好機制。
2.2.2積極推進了信息風險評估和等級保護制度的建立。省信息辦制定了山東省信息安全風險評估實施辦法,介紹了實施風險評估的方法和流程,十一五期間,已選取了多家單位作為試點,下一步將根據自己工作實施風險評估,并爭取在全省范圍內推廣。
2.2.3大力促進網絡與信息安全的制度建設,積極貫徹有關信息安全標準的應用和推廣,出臺了林業系統網絡信息安全建設的指導意見。
2.2.4加強信息安全應急處置體系建設,利用現有的專業隊伍和技術資源,規劃和建設林業數據備份中心,啟動建設信息化應急技術處理中心,逐步實現為我省林業網絡信息安全提供預警、評測等服務,按照“誰主管誰負責、誰運營誰負責”的要求,各部門出現問題及時處理,如果處理不了,可以呼叫應急中心通過技術手段判斷突發事件的原因。
2.2.5加強人才隊伍培養和建設。不定期的舉辦了面向工作人員提高安全意識、防范意識的培訓,對從事信息化的專業人員建立管理培訓的制度。
3加快我省林業信息安全保障體系建設進程的建議林業信息安全保障體系的建設是關系我省民生的大事,做好這項工作十分重要。
3.1充分認識做好信息安全保障工作的重要意義。目前對信息安全問題不少人仍然缺乏全面的、深刻的認識,現有各個部門在安全工作中缺乏安全防范的意識,安全防護注重于系統外部,忽略了系統內部的安全管理措施,安全保障缺乏循環、良性的提高,不能自主發現和及時消除安全隱患,對安全工作仍然不同程度的存在“說起來重要,忙起來次要,干起來不要”的問題。各單位各部門要從經濟發展、社會穩定的高度充分認識信息安全的重要性,增強緊迫感、責任感和自覺性。
3.2正確把握加強信息安全保障工作的總體要求。要堅持積極防御、綜合防范的方針,正確處理發展與安全的關系,堅持以發展求安全、以安全保發展,同時管理與技術并用,大力發展信息技術的同時,切實加強信息安全管理工作,努力從預防、監控、應急處理和打擊犯罪等環節在法律、管理、技術、人才各方面采取各種措施全面提升信息安全的防護水平。
3.3突出重點,抓好落實。各部門要制定工作重點,加強信息安全體系建設和管理,最大限度的控制和限制安全風險,重點保障基礎信息網絡和重要信息系統的安全,做好應急服務工作,盡可能的防止因信息安全問題造成的重要信息系統的大面積的出現問題。防止數據丟失和錯誤,避免對社會造成的損失。