時間:2023-09-15 17:31:08
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇近幾年的網(wǎng)絡(luò)安全事件,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
關(guān)鍵詞:計算機;信息網(wǎng)絡(luò);安防措施;分析;研究
經(jīng)濟的進步和科學(xué)技術(shù)的提升,滋生了計算機信息網(wǎng)絡(luò)技術(shù)的的快速發(fā)展。目前,我國已經(jīng)迎來了信息化時代,也推動了計算機信息網(wǎng)絡(luò)技術(shù)的飛速的進步,并覆蓋到人們生活和生產(chǎn)的各個環(huán)節(jié)、各個領(lǐng)域,深受計算機信息網(wǎng)絡(luò)技術(shù)的影響。可以這么說,當(dāng)今的人們已經(jīng)無法離開計算機信息技術(shù)了。但是,人們在享受計算機信息技術(shù)給自身帶來方便、快捷和效益的同時,也遭受著各種計算機信息網(wǎng)絡(luò)技術(shù)的威脅,不管是2000年的千禧蟲,還是今年的威脅病毒,都是人們使用計算機信息技術(shù)的安全隱患之一。在這種背景下,人們只能通過不斷提升自身計算機信息網(wǎng)絡(luò)安全指數(shù)的方式來保證自身權(quán)益的不受損了。該研究課題也逐漸成為了當(dāng)今計算機技術(shù)學(xué)者研究的主要方向。
1計算機網(wǎng)絡(luò)安全的概述
計算機網(wǎng)絡(luò)安全作為一門包含了網(wǎng)絡(luò)技術(shù)知識、密碼技術(shù)知識和應(yīng)用數(shù)學(xué)知識、信息安全知識等諸多學(xué)科的綜合性學(xué)科,其主要指的是在網(wǎng)絡(luò)系統(tǒng)中的硬件和軟件中予以保護,以此保護系統(tǒng)當(dāng)中的重要數(shù)據(jù),使得這些數(shù)據(jù)不被他人惡意破壞,進而保障使用者的權(quán)益不受到損害,保證計算機系統(tǒng)的正常使用和連續(xù)性可靠運營。網(wǎng)絡(luò)安全和信息安全作為計算機網(wǎng)絡(luò)安全系統(tǒng)中的主要組成部分,其也是最容易出現(xiàn)安全事故的領(lǐng)域。但是,兩者的側(cè)重點和主要方向存在一定的差異性。網(wǎng)絡(luò)安全主要指的是計算機的線路鏈接安全、操作系統(tǒng)安全和人員管理安全、應(yīng)用服務(wù)安全及網(wǎng)絡(luò)系統(tǒng)安全這幾個方面。而信息安全主要是針對的是計算機中的各種數(shù)據(jù),包括數(shù)據(jù)的可用性、完整性、保密性和真實性等等。
2計算機網(wǎng)絡(luò)安全的影響因素
2.1自然災(zāi)害
隨著科學(xué)技術(shù)的發(fā)展,計算機技術(shù)已經(jīng)逐漸走向了智能化的道路,也使得其使用及操作更加的簡便,對人們的生活幫助及影響也越來越大。但是,計算機技術(shù)仍是人類設(shè)計、生產(chǎn)出來的產(chǎn)物,其無論多智能,都是由機械設(shè)備組成的機器罷了,其很容易受到外界環(huán)境的影響。特別是我們現(xiàn)階段的計算機都不具備防水、防雷等防干擾措施,在遭受外界不可抗力時,計算機仍無法實現(xiàn)自身安全的自保,進而也就出現(xiàn)了各種安全事故的發(fā)生。
2.2系統(tǒng)漏洞
目前全球已知的計算機系統(tǒng)都或多或少存在一定的漏洞,并不是完美無缺的。這些計算機系統(tǒng)當(dāng)中存在的漏洞自然也就威脅到計算機網(wǎng)絡(luò)自身的安全,最出名的網(wǎng)絡(luò)漏洞安全事故就是2000年的千禧蟲網(wǎng)絡(luò)安全事件了。其就是因為計算機程序的智能系統(tǒng)中的年份只使用了兩位十進制數(shù)來表現(xiàn),使得在進行跨世紀日期處理運算時就出現(xiàn)了錯誤的結(jié)果,進而引導(dǎo)各系統(tǒng)的功能崩潰。從該次事件可以看出,這些系統(tǒng)漏洞也是編程人員自己故意留下來的,也可能是因為網(wǎng)絡(luò)協(xié)議不夠完善導(dǎo)致的。反正,這些漏洞如果沒有進行及時的更新和補丁的話,就會導(dǎo)致系統(tǒng)內(nèi)存在安全隱患,如果被有心之人利用了,就會造成計算機系統(tǒng)奔潰,最終導(dǎo)致計算機無法正常使用。
2.3不當(dāng)?shù)牟僮?/p>
由于計算機操作者自身的安全防范意識較低,對自己的賬戶安全不太重視,對安全口令的設(shè)置過于簡單,或者是將自己的賬號借給他人使用,造成信息泄露,就很容易被有心之人利用,造成自身賬戶的安全系數(shù)較低,增加了網(wǎng)絡(luò)安全的危險系數(shù)。部分使用者認為,為了保證計算機的安全應(yīng)在計算機系統(tǒng)中安裝管家和殺毒軟件,但是很多人缺乏該意識,使得網(wǎng)絡(luò)上的釣魚網(wǎng)站、病毒對計算機任意的襲擊,最終給計算機的安全帶來嚴重的威脅。
2.4惡意攻擊
人為的惡意攻擊是目前網(wǎng)絡(luò)安全中最大的安全隱患,比如今年出現(xiàn)的威脅事件,就是因為人為的惡意攻擊,要挾計算機使用者拿比特幣來換取自己的畢業(yè)論文。惡意攻擊又可以分為被動攻擊和主動攻擊這兩種。主動攻擊是有人選擇性的攻擊使用者的計算機系統(tǒng),破壞用戶信息的完整性、保密性。被動攻擊主要是依據(jù)使用者系統(tǒng)中存在的漏洞來進行攻擊,進而導(dǎo)致計算機系統(tǒng)無法正常使用或者是竊取用戶的信息。
2.5病毒
計算機系統(tǒng)的病毒一般都會存在可執(zhí)行、可存儲的程度或者數(shù)據(jù)當(dāng)中,一旦出發(fā)某項激活條件,病毒就可以感染計算機的硬盤、存儲卡,或者是通過網(wǎng)絡(luò)來傳播病毒。病毒一旦進入到計算機系統(tǒng)當(dāng)中,輕則會影響到電腦系統(tǒng)的正常運行,嚴重的甚至?xí)?dǎo)致計算機系統(tǒng)的崩盤。
3提高計算機安全系數(shù)的有效方式
3.1樹立深刻的安全防范意識
目前計算機系統(tǒng)安全事件的發(fā)生都是受人為因素導(dǎo)致的,所以,使用者應(yīng)該要加強自身的網(wǎng)絡(luò)安全意識,樹立深刻的安全防范意識。而相關(guān)的政府部門可以通過立法來約束網(wǎng)民的違規(guī)行為,并對網(wǎng)民實施道德教育,提高網(wǎng)絡(luò)信息的準入門檻,以此凈化網(wǎng)絡(luò)安全環(huán)境。
3.2加強對賬戶的安全管理
惡意攻擊的一般方法都是對網(wǎng)絡(luò)用戶的賬號和密碼進行盜取、竊取。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,很多人同時擁有多個賬戶、賬號,這些賬號里包含了其很多私密性的信息和資產(chǎn)信息等等。一旦賬號被盜,極易發(fā)生安全事件并導(dǎo)致經(jīng)濟損失。因此,賬戶應(yīng)加強對自身賬戶的安全管理,提高賬號的安全系數(shù),盡量設(shè)置較為復(fù)雜的密碼,不設(shè)置相同的賬號或者是密碼,定期更換密碼等等。
3.3及時進行系統(tǒng)漏洞的程序補丁
人為的惡意攻擊一般都是從計算機系統(tǒng)的漏洞中進行。可見,一旦系統(tǒng)出現(xiàn)漏洞,就會給我們的計算機造成極大的安全隱患。因此,開發(fā)商和軟件維護方應(yīng)對自己投入市場中的軟件進行及時的系統(tǒng)維護,及時對系統(tǒng)中的漏洞進行查漏補缺。另外,還可以通過安裝系統(tǒng)漏洞補丁程度的方式來提高系統(tǒng)的安全系數(shù)。
3.4對系統(tǒng)的入侵予以監(jiān)控
入侵監(jiān)控是近幾年興起的一種計算機信息網(wǎng)絡(luò)防范技術(shù),其結(jié)合了規(guī)則方法、人工智能和推理學(xué)、密碼學(xué)和通信技術(shù)等多種技術(shù)方法共同研發(fā)出來的。主要是對計算機系統(tǒng)當(dāng)中的入侵和濫用情況進行檢測,到達對計算機系統(tǒng)的實時監(jiān)控。
3.5定期對計算機實施安全掃描
定期對計算機系統(tǒng)實施安全掃描能及時、有效地發(fā)現(xiàn)計算機系統(tǒng)中的安全漏洞。通過掃描找到安全漏洞,對其進行及時的修復(fù)和補丁,以此不斷的完善計算機的系統(tǒng),最終提高計算機的安全系數(shù)。目前,計算機的掃描主要有兩種方式:一是針對網(wǎng)絡(luò)的掃描,一是針對主機的掃描。定期的計算機安全掃描可以有效減少計算機被攻擊的可能性。
結(jié)論
綜上所述,隨著計算機網(wǎng)絡(luò)安全防護技術(shù)的不斷進步和變化,使得計算機的安全系數(shù)大大提升。但是,網(wǎng)絡(luò)當(dāng)中的那些安全隱患也一直處于不斷進化的過程,使得計算機使用者的安全防護是防不勝防。因此,計算機使用者應(yīng)依據(jù)自身的使用情況和掌握的計算機技術(shù),綜合各種保護措施,建立行之有效的網(wǎng)絡(luò)信息防護系,以此提高我國計算機網(wǎng)絡(luò)系統(tǒng)的安全防范水平。
引用:
[1]計算機網(wǎng)絡(luò)信息安全影響因素及防范淺析[J].劉海峰,尹蕾.信息安全與技術(shù).2013(08)
[2]計算機網(wǎng)絡(luò)信息安全問題及防范對策分析[J].曹勇.電腦知識與技術(shù).2013(16)
[3]計算機網(wǎng)絡(luò)信息技術(shù)安全及防范對策研究[J].杜常青.信息安全與技術(shù).2011(11)
[4]淺析計算機網(wǎng)絡(luò)安全防范措施[J].楊光,李非非,楊洋.科技信息.2011(29)
[關(guān)鍵詞] 網(wǎng)絡(luò)安全協(xié)議防范技術(shù)
隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢。近幾年來,互聯(lián)網(wǎng)漸漸走進了老百姓的生活,人們的生活已離不開網(wǎng)絡(luò);同時網(wǎng)絡(luò)給政府機構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌等的攻擊,所以網(wǎng)絡(luò)信息的安全和保密是一個至關(guān)重要的問題。為了確保信息的安全與暢通,研究計算機網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文結(jié)合實際工作經(jīng)驗,談?wù)劸W(wǎng)絡(luò)安全防范技術(shù)。
一、網(wǎng)絡(luò)的不安全因素
現(xiàn)今的網(wǎng)絡(luò),存在不少的不安全因素,主要有:
1.網(wǎng)絡(luò)協(xié)議的弱點。TCP/IP協(xié)議是如今最流行的網(wǎng)絡(luò)協(xié)議,它最初是在封閉的環(huán)境下使用,并且它的用戶都是可靠的科研工作者,因而它的設(shè)計本身并沒有較多地考慮安全方面的需求,導(dǎo)致TCP/IP協(xié)議存在各種弱點,這些弱點帶來許多直接的安全威脅。
2.網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和服務(wù)得以實現(xiàn)的最終載體之一,它不僅負責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。一般情況,操作系統(tǒng)規(guī)模都很大,其中的網(wǎng)絡(luò)協(xié)議實現(xiàn)尤其復(fù)雜,這點已經(jīng)決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞,而某些商用操作系統(tǒng)的源代碼封閉性更是加劇了這一現(xiàn)象,從而成為網(wǎng)絡(luò)所面臨的重要安全威脅之一。
3.應(yīng)用系統(tǒng)設(shè)計的漏洞。與操作系統(tǒng)情況類似,應(yīng)用程序的設(shè)計過程中也會帶來很多由于人的局限性所導(dǎo)致的缺陷或漏洞。軟件和硬件設(shè)計都存在這種問題,而其中軟件的問題為我們所直接面對。由于在硬件設(shè)計方面,特別是芯片技術(shù)還比較落后,所以這方面的漏洞我們還很難具體化,這實際上說明,硬件的設(shè)計與漏洞是我們網(wǎng)絡(luò)所面臨的最為深刻的威脅之一。
4.網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計專指某個地區(qū)、系統(tǒng)或者一個單位的內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)的設(shè)計,包括拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患,由這些設(shè)備組建一個應(yīng)用系統(tǒng)的過程也可能帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下,還可以提供較好的安全性,不合理的網(wǎng)絡(luò)設(shè)計則成為網(wǎng)絡(luò)的安全威脅。
5.惡意攻擊,就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒,是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響也是越來越大 。
6.來自合法用戶的攻擊。這是最容易被管理者忽視的安全威脅之一。事實上,80%的網(wǎng)絡(luò)安全事件與內(nèi)部人員的參與相關(guān)。網(wǎng)絡(luò)管理的漏洞往往是導(dǎo)致這種威脅的直接原因。
7.互聯(lián)網(wǎng)的開放性。事實上,以上所列的網(wǎng)絡(luò)安全威脅多數(shù)都是由于互聯(lián)網(wǎng)是一個完全開放的網(wǎng)絡(luò)環(huán)境,其中通信幾乎都是不受到任何制約,互聯(lián)網(wǎng)的開放性是導(dǎo)致網(wǎng)絡(luò)安全威脅最根本的原因。
8.就是物理威脅,如電磁干擾、電磁泄漏等。
還有就是管理方面的安全了,如制度的制定是否全理有效,制度的執(zhí)行是否到位等。
二、網(wǎng)絡(luò)安全防范理論
要做到網(wǎng)絡(luò)安全,必要的防范措施是不可少的。當(dāng)前的一些網(wǎng)絡(luò)安全所依賴的技術(shù)主要有以下幾種:
1.密碼技術(shù),它是密碼認證、數(shù)字簽名和其他各種密碼協(xié)議的統(tǒng)稱。數(shù)據(jù)加密算法標準的提出和應(yīng)用、公鑰加密思想的提出是密碼技術(shù)發(fā)展的重要標志,認證、數(shù)字簽名和各種密碼協(xié)議則從不同的需求角度將密碼技術(shù)進行延伸。認證技術(shù)包括消息認證和身份鑒別。數(shù)字簽名技術(shù)可以理解為手寫簽名在信息電子化的替代技術(shù),主要用以保證數(shù)據(jù)的完整性、有效性和不可抵賴性等。
2.訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要技術(shù),它的主要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制技術(shù)規(guī)定何種主體對何種客體具有何種操作權(quán)力。訪問控制是網(wǎng)絡(luò)安全理論的重要方面,主要包括人員限制、數(shù)據(jù)標識、權(quán)限控制、類型控制和風(fēng)險分析。訪問控制技術(shù)一般與身份驗證技術(shù)一起使用,賦予不同身份的用戶以不同的操作權(quán)限,以實現(xiàn)不同安全級別的信息分級管理。
3.PKI技術(shù)。PKI是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵技術(shù)。
三、常用主流網(wǎng)絡(luò)安全防范技術(shù)
現(xiàn)在的網(wǎng)絡(luò)根據(jù)用途可分為主流網(wǎng)絡(luò)和專用網(wǎng)絡(luò),針對這兩種不同的網(wǎng)絡(luò),網(wǎng)絡(luò)安全措施又分為主流網(wǎng)絡(luò)安全措施和專業(yè)網(wǎng)絡(luò)安全措施。下面針對主流網(wǎng)絡(luò)安全做一個簡單的介紹:
1.防火墻技術(shù)是將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)之間的訪問進行全面控制的一種機制,一般可能包括路由器、計算機等硬件,也可能包含有軟件,或者同時包含硬件和軟件。這些設(shè)備在物理上或邏輯上將內(nèi)部網(wǎng)和外部網(wǎng)隔離開來,使得外網(wǎng)和內(nèi)網(wǎng)的所有網(wǎng)絡(luò)通信必須經(jīng)過防火墻,從而可以進行各種的靈活的網(wǎng)絡(luò)訪問控制,對內(nèi)部網(wǎng)進行盡可能的安全保障,提高內(nèi)部網(wǎng)的安全性和健壯性,防火墻技術(shù)是當(dāng)前市場上最為流行的網(wǎng)絡(luò)安全技術(shù),它已成為網(wǎng)絡(luò)建設(shè)的一個基本配置。
2.VPN技術(shù)是利用不可信的公網(wǎng)資源建立可信的虛擬專用網(wǎng),是保證局域網(wǎng)間通信安全的少數(shù)可行的方案之一。VPN既可在TCP/IP協(xié)議族的鏈路層實現(xiàn)(比如L2F、PPTP等安全協(xié)議),也可在網(wǎng)絡(luò)層實現(xiàn)(IP Sec),其中更多情況下在網(wǎng)絡(luò)層實現(xiàn)。作為最近幾年才興起的網(wǎng)絡(luò)安全技術(shù),VPN在國內(nèi)的應(yīng)用也就是最近幾年的事情,但隨著企業(yè)網(wǎng)絡(luò)用戶的迅速增加,VPN技術(shù)有著廣闊的應(yīng)用前景。
3.入侵檢測技術(shù)是一種主動保護自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計算機系統(tǒng)或者網(wǎng)絡(luò)中收集、分析信息,檢測任何企圖破壞計算機資源的完整性、機密性和可用性的行為,即查看是否有違反安全策略的行為和遭到攻擊的跡象,并做出相應(yīng)的反應(yīng)。
4.反病毒技術(shù)是查找和清除計算機病毒的主要技術(shù),其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎,然后根據(jù)病毒特征碼數(shù)據(jù)庫來進行對比式查殺。這種方法簡單、有效,但只適用于已知病毒,并且病毒特征庫需要不斷升級。
5.網(wǎng)絡(luò)隔離技術(shù)通過特殊硬件實現(xiàn)鏈路層的斷開,使得各種網(wǎng)絡(luò)攻擊與入侵失去了物理通路的基礎(chǔ),從而避免了內(nèi)部網(wǎng)絡(luò)遭受外部攻擊的可能性。
四、常用專用網(wǎng)絡(luò)安全防范技術(shù)
專用網(wǎng)絡(luò)由于要求更高的安全性,其防范也必更加重視,現(xiàn)就其主要的防范技術(shù)介紹如下:
1.系統(tǒng)和網(wǎng)絡(luò)的掃描和評估。通過掃描和評估,可預(yù)知主體受攻擊的可能性、將要發(fā)生的行為和產(chǎn)生的后果,因而這種方法受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用可幫助識別檢測對象的系統(tǒng)資源,分析這一資源被攻擊的可能指數(shù),了解支撐系統(tǒng)本身的脆弱性,評估所有存在的安全風(fēng)險。一些非常重要的專業(yè)應(yīng)用網(wǎng)絡(luò),例如,銀行,不能承受一次入侵帶來的損失,對掃描和評估技術(shù)有強烈的需求。
2.監(jiān)控和審計。監(jiān)控和審計是與網(wǎng)絡(luò)管理直接掛鉤的技術(shù)。監(jiān)控和審計是通過對網(wǎng)絡(luò)通信過程中可疑、有害信息或行為進行記錄以為事后處理提供依據(jù),從而對計算機網(wǎng)絡(luò)犯罪人員形成一個強有力的威懾,最終達到提高網(wǎng)絡(luò)整體安全性的目的。局域網(wǎng)監(jiān)控系統(tǒng)是網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的一大類。局域網(wǎng)監(jiān)控能夠提供一套較好的內(nèi)部網(wǎng)行為監(jiān)控的機制,可以有效阻止來自內(nèi)網(wǎng)的安全威脅。
3.全套接層協(xié)議(SSL,Secure Socket Layer)。這是由Netscape公司1994年設(shè)計開發(fā)的安全協(xié)議,主要在傳輸層提高應(yīng)用程序之間的數(shù)據(jù)安全性。SSL采用了公開密鑰和對稱密鑰兩種加密:在建立連接過程中采用公開密鑰;在會話過程中使用對稱密鑰。加密的類型和強度則在兩端之間建立連接的過程中協(xié)商決定,保證了客戶和服務(wù)器間事務(wù)的安全性。
4.HTTPS協(xié)議,SHTTP協(xié)議及SMIME協(xié)議等。HTTPS協(xié)議是建立于SSL上的HTTP安全協(xié)議,它利用SSL協(xié)議來加強HTTP協(xié)議的安全性,已經(jīng)成功應(yīng)用于電子商務(wù)。SHTTP(安全超文本傳輸協(xié)議)是一種結(jié)合HTTP而設(shè)計的消息的安全通信協(xié)議。SHTTP的設(shè)計基于與HTTP信息樣板共存并易于與HTTP應(yīng)用程序相整合。SHTTP協(xié)議為HTTP客戶機和服務(wù)器提供了多種安全機制,這些安全服務(wù)選項是適用于萬維網(wǎng)上各類用戶的。SHTTP還為客戶機和服務(wù)器提供了對稱能力(及時處理請求和恢復(fù),及兩者的參數(shù)選擇),同時維持HTTP的通信模型和實施特征。SMIME(Secure/Multipurpose Internet Mail Extensions)是MIME的安全版本,設(shè)計用來支持郵件的加密。基于MIME標準,SMIME為電子消息應(yīng)用程序提供如下加密安全服務(wù):認證、完整性保護、鑒定及數(shù)據(jù)保密等。傳統(tǒng)的郵件用戶(MUA)可以使用SMIME來加密發(fā)送郵件及解密接收郵件。然而,SMIME并不僅限于郵件的使用,它也能應(yīng)用于任何可以傳送MIME數(shù)據(jù)的傳輸機制,例如HTTP。同樣,SMIME利用MIME的面向?qū)ο筇卣髟试S在混合傳輸系統(tǒng)中交換安全消息。
關(guān)鍵詞:信息安全、病毒、防范
一、 造成當(dāng)前信息安全事件頻發(fā)的原因
計算機病毒源于上世紀的七八十年代,當(dāng)時造成計算機病毒出現(xiàn)的主要原因在于惡作劇。隨著計算機技術(shù)的發(fā)展,計算機病毒也從玩笑性質(zhì)開始發(fā)展成幾乎不可控制的技術(shù)比拼。1987年10月,在美國,世界上第一例實質(zhì)意義上的計算機病毒巴基斯智囊病毒(Brian)發(fā)現(xiàn),這是一種系統(tǒng)引導(dǎo)型病毒。它以強勁的執(zhí)著蔓延開來!世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形的計算機病毒,如大麻、IBM圣誕樹、黑色星期五等等;1988年,我國出現(xiàn)第一例計算機病毒——小球病毒。從此以后,炫耀技術(shù)成為了計算機病毒出現(xiàn)的主要原因,眾多的計算機病毒制造者為了炫耀自己技術(shù)的高超,寫出一些程序來對系統(tǒng)進行破壞等。同時,也有部分計算機病毒制造者出于一種報復(fù)的心態(tài),編寫病毒程序,公開傳播,如當(dāng)年臭名昭著的CIH病毒,就是因為當(dāng)時的作者陳盈豪為了報復(fù)某殺毒軟件公司對于他的懷才不遇,而編寫出來的。
另外,隨著互聯(lián)網(wǎng)的發(fā)展,越來越多的病毒作者開始瞄上了國際互聯(lián)網(wǎng),由此催生了另一種惡意程序——木馬。嚴格意義上來說,木馬并不等同于病毒,木馬是一種通過一些手段不知不覺的進入其他用戶的計算機并對其計算機內(nèi)的文件、數(shù)據(jù)等資源進行監(jiān)視與盜竊的惡意程序。但是隨著時代的發(fā)展,病毒與木馬開始不斷的融合。由于經(jīng)濟的不斷發(fā)展,尤其是網(wǎng)上交易活動的日益頻繁,越來越多的病毒制造者開始瞄準了經(jīng)濟利益,從開始簡單的入侵和破壞用戶系統(tǒng),到機密文件被盜竊,再到網(wǎng)上銀行賬號、虛擬貨幣賬號被盜取以及使用不正當(dāng)手段迫使用戶瀏覽某網(wǎng)站,片面增大網(wǎng)站訪問量,最后發(fā)展成一個擁有完整產(chǎn)業(yè)利益鏈的病毒制造與交易市場,現(xiàn)在全世界的信息安全形勢,幾乎已經(jīng)到了一發(fā)不可收拾的地步。
二、2009年度計算機病毒疫情特征
2009年計算機病毒疫情總體呈現(xiàn)出如下幾個特征:
1、 微軟0day漏洞及第三方應(yīng)用軟件漏洞被廣泛利用
進入2009年以來,頻繁爆出的微軟0day漏洞與第三方應(yīng)用軟件漏洞已經(jīng)成為駭客攻擊的主要目標,同時也成為網(wǎng)頁掛馬的最主要途徑。據(jù)權(quán)威機構(gòu)統(tǒng)計,木馬傳播者所利用的微軟漏洞與第三方應(yīng)用軟件漏洞,已經(jīng)基本達到各占一半的比例。
2、 釣魚網(wǎng)站激增 “網(wǎng)頁掛馬”黑客產(chǎn)業(yè)鏈日益成熟
2009年網(wǎng)頁掛馬、釣魚網(wǎng)站已經(jīng)成為病毒制造者傳播有害程序的最佳途徑,同時也成為互聯(lián)網(wǎng)最為嚴重的安全威脅。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)日前在2009中國反釣魚網(wǎng)站聯(lián)盟年會上公布的最新統(tǒng)計數(shù)據(jù)顯示,截至09年11月22日,經(jīng)CNNIC認定并處理的釣魚網(wǎng)站域名已累計達8342個。
3、病毒創(chuàng)新欺騙方式,偽裝成文件夾的病毒增多
進入2009年以來,有越來越多的病毒采用了全新的欺騙方式,偽裝成IE快捷方式和文件夾已經(jīng)成為一種新的趨勢。
4、 計算機病毒技術(shù)特征變化明顯
2009年度,計算機病毒技術(shù)特征較2008年度相比有明顯的變化。
a) 病毒的傳播方式主要以掛木馬網(wǎng)頁和U盤傳播為主。
b) 為了增加反病毒軟件的清除難度,2009年大部分病毒通過注入系統(tǒng)進程中運行。
c) 2009年度,使用內(nèi)存截取技術(shù)的木馬,與往年通過紀錄擊鍵技術(shù)相比有了大幅提高;此外,因為不少安全軟件已經(jīng)具備主動防御功能,能有效防御使用驅(qū)動來入侵破壞系統(tǒng)的病毒,因此2009年使用驅(qū)動的病毒較去年有所降低。
d) 2009年度,由于各種名目的廣告聯(lián)盟出現(xiàn),受到廣告聯(lián)盟按點擊量計費的利益誘惑,各種惡意廣告病毒大量涌現(xiàn),通過病毒方式騙取大量虛假點擊,按照點擊量向通過廣告聯(lián)盟廣告的廠商收取費用,已證實國內(nèi)有多款業(yè)內(nèi)知名軟件成為受害者,遭到惡意廣告程序欺騙式點擊推廣。
e) 2009年通過替換系統(tǒng)文件來傳播自身的病毒也呈多發(fā)態(tài)勢。
三、防范信息安全事件的對策
針對目前越來越嚴峻的信息安全形勢,我們必須重視信息安全工作,有必要對信息安全事件進行更深層次的防范。而對于個人與單位,根據(jù)不同的計算機應(yīng)用環(huán)境,可以有不同的應(yīng)對方案。
對于個人用戶,最少應(yīng)該要做到以下這幾點:
1、 留意操作系統(tǒng)提供商以及其他第三方軟件開發(fā)商所的安全公告,及時為系統(tǒng)和其他軟件打上安全補丁。
2、 安裝防病毒軟件等安全類軟件,打開其實時監(jiān)控,并要注意經(jīng)常升級病毒庫。還要養(yǎng)成定期殺毒的習(xí)慣。
3、 使用安全性能高的文件系統(tǒng),如windows操作系統(tǒng)可以采用NTFS格式,充分利用好此類文件系統(tǒng)可以在一定程度上避免資料外泄。
4、 限制光盤以及其他可移動磁盤的自動運行功能,尤其是對于來歷不明或者在其他地方使用過,拿到自己的計算機上使用的光盤盒可移動磁盤,最好禁止其自動運行,并使用帶最新病毒特征庫的殺毒軟件對其進行查毒,確保安全之后方可使用。
5、 盡量不要使用來歷不明的軟件,尤其是盜版軟件;盡量不訪問不明來歷的網(wǎng)站,尤其是非法網(wǎng)站。
6、 不要貪圖小便宜,輕信互聯(lián)網(wǎng)上的消息,凡事打醒十二分精神,明白“天下沒有免費的午餐”的道理。
對于單位和企業(yè)用戶,除了要注意以上這幾點以外,還要做到以下這幾點:
1、 科學(xué)規(guī)范的設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu),從結(jié)構(gòu)上防范信息安全事件。
2、 根據(jù)網(wǎng)絡(luò)的實際情況,對網(wǎng)絡(luò)實施合適的安全策略。
3、 對于安全要求比較高的網(wǎng)絡(luò)節(jié)點,必須使用充分的軟件和硬件以及其他防范措施來保證這些節(jié)點的安全。
4、 開啟日志記錄功能,記錄網(wǎng)絡(luò)在運作的時候所發(fā)生的事件。
5、 在帶寬出口處,應(yīng)該安裝硬件防火墻,尤其是對安全性能較高的地方,硬件防火墻要放在路由器的前面。
6、 指定相應(yīng)的管理條例,約束員工的網(wǎng)絡(luò)使用行為。
四、信息安全的立法
由于越來越嚴峻的信息安全形勢,盡管已經(jīng)有相應(yīng)的措施對信息安全事件進行防范,但是沒有法律上的幫助,只能讓病毒制造者越來越猖狂。前面我們提到,越來越多的病毒開發(fā)的目的主要是為了經(jīng)濟利益,而國家在這方面的立法工作做得遠遠不夠。
目前針對信息安全方面的法律法規(guī)主要有《中華人民共和國刑法》、《中華人民共和國電子簽名法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《商用密碼管理條例》等。但是隨著時代的發(fā)展,國家法律對于信息安全事件方面的約束明顯力度不足。目前,我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié),政策法規(guī)難以適應(yīng)網(wǎng)絡(luò)發(fā)展需要,信息立法存在許多空白。最近幾年來,結(jié)合我國信息化建設(shè)的實際情況,政府制訂了一系列法律文件和行政法規(guī)、規(guī)章,取得了一些成效,但依然存在著一些問題:一是現(xiàn)有法律法規(guī)以部門規(guī)章為主,缺乏系統(tǒng)性和權(quán)威性;二是法律法規(guī)龐雜,其間的協(xié)調(diào)性和相通性不夠。公安、信息產(chǎn)業(yè)、郵電、技術(shù)監(jiān)督部門都公布過相關(guān)法規(guī),各部門之間缺乏統(tǒng)籌規(guī)劃。其三、現(xiàn)行法律法規(guī)過于原則或籠統(tǒng),缺乏可操作性。即使是已頒布的專門法(如《專利法》、《統(tǒng)計法》、《檔案法》)也沒有充分體現(xiàn)國家信息安全的內(nèi)容。個人隱私保護、數(shù)據(jù)庫保護、數(shù)字媒體、數(shù)字簽名認證等信息空間正常運作所需要的配套法規(guī)尚不健全。(參考資料:九三學(xué)社《加強網(wǎng)絡(luò)信息安全立法,維護國家信息安全》)
為此,針對目前的形勢,國家在這一方面應(yīng)該要加大立法力度,制定一部信息安全相關(guān)的專門法律,保障國家與公民在信息交換中的合法權(quán)益。除此之外,在信息安全方面的執(zhí)法力度,也應(yīng)該要相應(yīng)的加大,以威懾病毒制造者等信息安全事件的主要責(zé)任人。
參考文獻
[1] 馮登國,趙險峰.信息安全技術(shù)概論.電子工業(yè)出版社,2009,04.
[2] 朱明.信息安全法教程.中國林業(yè)出版社,2005,10.
從××國稅系統(tǒng)的實際情況出發(fā),對照國稅信息化高性能、高可靠性的要求,目前××國稅在信息安全上還存在以下五大問題。
1、物理安全上存在的問題。物理安全主要指信息化系統(tǒng)、設(shè)備、工作環(huán)境等在物理上采取的保護措施。××國稅系統(tǒng)在物理安全上存在的問題主要表現(xiàn)在機房建設(shè)、局域網(wǎng)建設(shè)缺乏規(guī)劃,基本沒有專門的防雷、防火、防水、防潮設(shè)施。機房中重要設(shè)備塵土覆蓋,存在許多安全上的隱患。
2、網(wǎng)絡(luò)安全上存在的問題 。網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)訪問、使用、操作的安全,它是信息化安全中最普遍的內(nèi)容,主要包括:病毒危害和訪問安全。 在開放網(wǎng)絡(luò)環(huán)境下,計算機病毒的危害比以往要大得多,特別是近幾年,通過互聯(lián)網(wǎng)進行傳播的病毒數(shù)量急劇增長,危害范圍也不斷擴大。對付計算機病毒的最好的方法是安防病毒軟件,國稅系統(tǒng)最好具備網(wǎng)絡(luò)版的防病毒軟件,可以實時查殺病毒、智能安裝,快速方便地升級。然而,當(dāng)前在使用的防病毒軟件基本上是單用戶版的,容易造成長時間不升級,在管理上也不方便。訪問安全是指對設(shè)備、資源、信息和服務(wù)訪問權(quán)限的安全控制。訪問安全也是最常見的安全問題,××國稅網(wǎng)絡(luò)缺少必要的權(quán)限管理,人人都可以通過網(wǎng)絡(luò)訪問到各服務(wù)器和路由器。雖然網(wǎng)管人員可以通過外部防火墻限制外部用戶訪問內(nèi)網(wǎng),也可以限制內(nèi)部用戶瀏覽互聯(lián)網(wǎng)的權(quán)限和時間,但是由于××縣局與省局、市局無內(nèi)部防火墻隔離,全國的國稅廣域網(wǎng)用戶都可以通過網(wǎng)絡(luò)訪問××國稅的路由器和服務(wù)器,造成許多安全上的隱患。
3、信息安全上存在的問題。信息安全主要是指信息交換安全。網(wǎng)上申報、網(wǎng)上認證的發(fā)展推動了信息安全需求。這兩種情況都需要對連接者身份進行嚴格驗證,防止非法用戶的進入,為了防止傳輸過程中的信息被竊聽,要求登錄用戶名和密碼以及數(shù)據(jù)在傳輸過程中進行有效的加密。為了增強信息安全,需要對登錄信息和納稅申報信息進行安全審計記錄,從而可以對非法入侵進行跟蹤,并分析系統(tǒng)的安全狀況。這一塊工作我們還沒有很好的開展起來。
4、管理安全上存在的問題。管理安全是指通過加強安全管理來保證物理安全、網(wǎng)絡(luò)安全和信息安全措施的實現(xiàn)。信息化安全是一項系統(tǒng)工程,如果沒有有效的安全管理,其他的任何努力都形同虛設(shè)。信息化安全需要一個完善的安全管理體系,從安全管理組織、制度、措施上都要制定一整套相應(yīng)的規(guī)范。××國稅自從通過is09000認證以來,信息中心的制度建設(shè)已日趨完善,但網(wǎng)絡(luò)信息安全方面的制度如應(yīng)急預(yù)案、機房安全制度、密碼制度等相對較少,沒有從制度上來杜絕網(wǎng)絡(luò)安全上的漏洞。
5、網(wǎng)絡(luò)及信息系統(tǒng)安全意識存在的問題。網(wǎng)絡(luò)及信息系統(tǒng)安全問題很多時候都出在內(nèi)部,許多典型的網(wǎng)絡(luò)入侵事件都是借助于內(nèi)部人員才得以實觀的,而我們國稅系統(tǒng)的一般工作人員,網(wǎng)絡(luò)及信息系統(tǒng)安全意識差,個別人就根本沒有安全意識,計算機隨便裝載各種游戲軟件,不經(jīng)殺毒隨便使用外來u盤、軟盤、光盤等。
二、加高“短板”的對策
信息化安全問題不存在一勞永逸的解決方案,提出的任何安全對策也只能是更好地預(yù)防問題的出現(xiàn),盡量減少安全問題對正常業(yè)務(wù)的影響。針對××國稅系統(tǒng)信息化建設(shè)的特點和存在問題的分析,可以歸納出“三大對策”,即建設(shè)高可用性網(wǎng)絡(luò)、部署安全防護系統(tǒng)和建立安全保障體系。
1、建設(shè)高可用性網(wǎng)絡(luò)。建設(shè)高可用性網(wǎng)絡(luò)就是要建設(shè)具有高性能和高可靠性的信息化基礎(chǔ)網(wǎng)絡(luò)設(shè)施,實現(xiàn)信息化物理安全和網(wǎng)絡(luò)安全。建設(shè)高可用性網(wǎng)絡(luò)的主要措施涵蓋信息化硬件和軟件以及需要重點考慮的災(zāi)難恢復(fù)。(1)信息化硬件。信息化硬件包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、布線、機房設(shè)備等。要保證信息化網(wǎng)絡(luò)的高可用性,在設(shè)備選擇上必須堅持高性能和高可靠性,在系統(tǒng)設(shè)計上也要充分考慮網(wǎng)絡(luò)和設(shè)備的冗余備份。在網(wǎng)絡(luò)設(shè)備上,應(yīng)盡可能選用可靠性高,有相對冗余的中心交換機:服務(wù)器應(yīng)選用帶 冗余電源的,硬盤應(yīng)選用能做raidl,raid5等高可靠性的磁盤陣列:機房設(shè)備必須用ups供電,保證設(shè)備的持續(xù)、穩(wěn)定運行。(2)信息化軟件。信系化軟件主要包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序等。應(yīng)盡量選用性能好安全性高的操作系統(tǒng),個人計算機操作系統(tǒng)可以選用,服務(wù)器操作系統(tǒng)應(yīng)優(yōu)先選用unix系統(tǒng)。(3)災(zāi)難恢復(fù) 。隨著信息化進程的深入,國稅系統(tǒng)對計算機設(shè)備的依賴度也越來越大、對稅務(wù)系統(tǒng)而言,最珍貴的不是信息化設(shè)備或系統(tǒng):而是存儲的各種文檔和數(shù)據(jù)庫信息。網(wǎng)絡(luò)的可用性也是極為重要的,如果網(wǎng)絡(luò)總是有問題,誰還有信心去用它?所以災(zāi)難恢復(fù)是信息化安全中很重要的一個組成部分,必須想法保證數(shù)據(jù)存儲的可靠性,保證網(wǎng)絡(luò)服務(wù)和應(yīng)用在故障時能盡快恢復(fù)。對國稅系統(tǒng)而言,災(zāi)難恢復(fù)保護的地方主要是關(guān)鍵數(shù)據(jù)庫和文件服務(wù)器。關(guān)鍵數(shù)據(jù)庫一般是指存儲納稅申報信息ctais數(shù)據(jù)庫、金稅數(shù)據(jù)庫,文件服務(wù)器主要是指辦公自動化所依賴的服務(wù)器,它存儲國稅系統(tǒng)管理過程中所需的重要文檔和資料。 先進的典型災(zāi)難恢復(fù)系統(tǒng)是由集群服務(wù)器、存儲設(shè)備和相關(guān)軟件組成,當(dāng)系統(tǒng)部分設(shè)備發(fā)生災(zāi)難時可以保持服務(wù)的連續(xù)性并自動恢復(fù)或盡可能恢復(fù)最近的數(shù)據(jù)。典型災(zāi)難恢復(fù)系統(tǒng)的一個重要特點就是災(zāi)難恢復(fù)系統(tǒng)里的設(shè)備要做到地理分散,才能真正應(yīng)對災(zāi)難的發(fā)生。××國稅系統(tǒng)應(yīng)在××縣局建立了異地數(shù)據(jù)容災(zāi)備份系統(tǒng)。容災(zāi)系統(tǒng)中采用falconstor的ipstor軟件和legatoautomatedavailabilitymanage(legatocluster)。市縣局用4m光纖相連,在晚上進行數(shù)據(jù)復(fù)制。系統(tǒng)運行后,市局將各縣市局的ctais查詢直接指向××縣局的小型機進行查詢,此舉極大地減輕了以市局為主的征管服務(wù)器的壓力,從根本上改善了服務(wù)器征期高峰的擁塞現(xiàn)象,保證了市局主服務(wù)器主要正常業(yè)務(wù)的開展與運行。同時,數(shù)據(jù)的備份將在很大的程度上保證稅務(wù)工作的安全運轉(zhuǎn),給征管數(shù)據(jù)上了“保險”。ctais異地備份的成功實現(xiàn)為其他系統(tǒng)的安全保護提供了很好的借鑒。
2、部署安全防護系統(tǒng)。部署安全防護系統(tǒng)主要指通過操作系統(tǒng)安全使用和部署安全防護軟件,實現(xiàn)信息化網(wǎng)絡(luò)安全和信息安全。(1)防病毒系統(tǒng)。常見的計算機病毒主要是針對微軟的操作系統(tǒng),如果你使用其他操作系統(tǒng)如unix或linux,基本可以不用擔(dān)心受感染,但是仍可能成為病毒傳播源和感染對象。國稅系統(tǒng)中用戶網(wǎng)絡(luò)節(jié)點多,如果采用單機防病毒軟件,成本高,維護起來也不方便,防病毒的效果也不理想,所以對國稅系統(tǒng)而言,對付病毒的重要手段是部署網(wǎng)絡(luò)防病毒系統(tǒng)。網(wǎng)絡(luò)防病毒系統(tǒng)由防病毒主程序和客戶端以及其他輔助應(yīng)用組成,它可以通過管理平臺監(jiān)測、分發(fā)部署防病毒客戶端,這種功能意味著可以統(tǒng)一并實施全系統(tǒng)內(nèi)的反病毒策略,并封鎖整個系統(tǒng)內(nèi)病毒的所有入口點。因為計算機病毒是動態(tài)發(fā)展的,到目前為上尚未發(fā)現(xiàn)“萬能”防病毒系統(tǒng),所以我們能做到只能是及時地更新病毒庫。要有效地對付計算機病毒,除了部署防病毒系統(tǒng)外,還要配合其他手段維護系統(tǒng)安全,做好數(shù)據(jù)備份是關(guān)鍵,并且要及時升級殺毒軟件的病毒庫,還要做好災(zāi)難恢復(fù)。(2)防火墻。防火墻是目前最重要的信息安全產(chǎn)品,它可以提供實質(zhì)上的網(wǎng)絡(luò)安全,它承擔(dān)著對外防御來自互聯(lián)網(wǎng)的各種攻擊,對內(nèi)輔助用戶安全策略的實施的重任,是用戶保護信息安全的第一道屏障,在信息化安全中應(yīng)給予高度重視。通過配置安全策略,防火墻主要承擔(dān)以下作用:禁止外部網(wǎng)絡(luò)對××國稅系統(tǒng)內(nèi)部網(wǎng)絡(luò)的訪問,保護國稅網(wǎng)絡(luò)安全:滿足內(nèi)部員工訪問互聯(lián)網(wǎng)的需求;對員工訪問互聯(lián)網(wǎng)進行審計和限制。對××國稅來說,除現(xiàn)在應(yīng)用的internet防火墻外,還應(yīng)該在與外單位包括其他國稅局、銀行等聯(lián)網(wǎng)的過程中沒置內(nèi)部防火墻、保證××國稅內(nèi)部網(wǎng)全部在防火墻的保護之下。
現(xiàn)在的防火墻在功能上不斷加強,如可以實現(xiàn)流量控制、病毒檢測、vpn功能等,但是防火墻的主要功能仍然是通過包過濾來實現(xiàn)訪問控制。防火墻的使用通常并不能避免來自內(nèi)部的攻擊,而且由于數(shù)據(jù)包都要通過防火墻的過濾,增加了網(wǎng)延遲,降低了網(wǎng)絡(luò)性能,要想充分發(fā)揮防火墻的作用,還要與其他安全產(chǎn)品配合使用。(3)入侵檢測。大部分入侵檢測系統(tǒng)主要采用基于包特征的檢測技術(shù)來實現(xiàn),它們的基本原理是:對網(wǎng)絡(luò)上的數(shù)據(jù)包進行復(fù)制,與內(nèi)部的攻擊特征數(shù)據(jù)庫進行匹配比較,如果相符即產(chǎn)生報警或響應(yīng)。檢測到入侵事件后,產(chǎn)生報警,并把報警事件計入日志,日后可以通過日志分析確定網(wǎng)絡(luò)的安全狀態(tài),發(fā)現(xiàn)系統(tǒng)漏洞等。如果它與防火墻等其他安全產(chǎn)品配合使用,可以在入侵發(fā)生時,使防火墻聯(lián)動,暫時阻斷非法連接,保護網(wǎng)絡(luò)不受侵害。在部署此類產(chǎn)品時要注意進行性能優(yōu)化,盡量避免屏蔽沒有價值的檢測規(guī)則。 (4)操作系統(tǒng)安全使用。在信息化網(wǎng)絡(luò)中,操作系統(tǒng)的安全使用是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié),試想如果你打算與同事共享一個文件夾,可是你又沒有加密碼,共享的文件就會變成公開的文件。操作系統(tǒng)安全使用主要包括以下幾方面內(nèi)容:用戶密碼管理、系統(tǒng)漏洞檢測、信息加密等。用戶密碼管理無論是對個人還是整個系統(tǒng)都是很重要的。用戶密碼管理有許多的原則要遵守,最重要的就是不要使用空密碼,如當(dāng)你使用windowsnt/20xx時,如果不幸你使用空密碼,局域網(wǎng)中的任何人都可以隨意訪問你的計算機資源。如果你是系統(tǒng)管理員,制定嚴謹?shù)挠脩裘艽a策略是首要任務(wù)之一。 漏洞檢測對關(guān)鍵服務(wù)器的操作系統(tǒng)是極為重要的。任何操作系統(tǒng)都不可避免地存在安全漏洞,操作系統(tǒng)的漏洞總是不斷地被發(fā)現(xiàn)并公布在互聯(lián)網(wǎng)上,爭取在黑客沒有攻擊你的主機之前及時發(fā)現(xiàn)并修補漏洞是極為關(guān)鍵的。另外一種類型的漏洞并不是系統(tǒng)固有的,而是由于系統(tǒng)安裝配置缺陷造成的,同樣應(yīng)引起足夠重視。對服務(wù)器而言,關(guān)閉不需要的服務(wù)或端口也是必要的。即使網(wǎng)絡(luò)很安全了,需要保密的信息在存儲介質(zhì)上的加密仍然是必要的,因為任何網(wǎng)絡(luò)不能保證百分之百的安全。使用windowsnt/20xx等操作系統(tǒng)時,盡量使用ntfs分區(qū),對重要信息起用加密保護功能,這樣就算是信息意外泄露,也無法破解。采用vpn(虛擬專用網(wǎng)) 。vpn是當(dāng)前實現(xiàn)遠程訪問重要方法,它可以有效地降低廣域網(wǎng)通訊費用,并實現(xiàn)從任何位置安全地訪問國稅系統(tǒng)內(nèi)部網(wǎng)絡(luò),它也可以作為國稅系統(tǒng)內(nèi)部重要資源訪問控制的一種手段。vpn通過internet或其他公用ip網(wǎng)絡(luò)實現(xiàn),可以滿足遠程通訊安全的基本需求,它將通訊信息進行加密和認證傳輸,從而保證了信息傳輸?shù)谋C苄浴?shù)據(jù)完整性和信息源的可靠性,實現(xiàn)安全的遠程端到端連接。vpn的實現(xiàn)主要基于以下技術(shù):
(1)ipsec,ietf(internet工程師任務(wù)組)制定的ip安全標準。
(2)通過認證機構(gòu)發(fā)放數(shù)字證書和進行第三方認證。
(3)使用共享密鑰認證用于小規(guī)模的vpn網(wǎng)絡(luò)。
vpn一般采用專用的設(shè)備實現(xiàn),在選用vpn產(chǎn)品時應(yīng)主要考慮幾點:可管理性、可擴展性、可靠性、兼容性和價格。
關(guān)鍵詞 信息安全;PKI;CA;VPN
1 引言
隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2 信息系統(tǒng)現(xiàn)狀
2.1 信息化整體狀況
1)計算機網(wǎng)絡(luò)
某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計算機在同一網(wǎng)段,通過交換機連接。
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡(luò)的進一步完善,計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2 信息安全現(xiàn)狀
為保障計算機網(wǎng)絡(luò)的安全,某公司實施了計算機網(wǎng)絡(luò)安全項目,基于當(dāng)時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3 風(fēng)險與需求分析
3.1 風(fēng)險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強,計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。
(2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術(shù)手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。
目前實施的安全方案是基于當(dāng)時的認識進行的,主要工作集中于網(wǎng)絡(luò)安全,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證,對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運用風(fēng)險評估、風(fēng)險管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費。
3.2 需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4 設(shè)計原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1 標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定,使安全技術(shù)體系的建設(shè)達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。
4.2 系統(tǒng)化原則
信息安全是一個復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3 規(guī)避風(fēng)險原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4 保護投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5 多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當(dāng)一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6 分步實施原則
由于某公司應(yīng)用擴展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風(fēng)險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5 設(shè)計思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終,如圖2所示。
網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的,需要在風(fēng)險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務(wù)。通過建設(shè)證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2 邊界防護和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進行集中管理和配置。
5.3 安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu),所有下一級的組織和個人的證書由上一級的組織負責(zé)認證,而最上一級的組織(根證書)之間相互認證,整個信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4 桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5 身份認證
身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。基于PKI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構(gòu)建用戶集中管理與認證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實現(xiàn)上述身份認證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6 方案的組織與實施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
因此在本方案的組織和實施中,除了工程的實施外,還應(yīng)重視以下各項工作:
(1)在初步進行風(fēng)險分析基礎(chǔ)上,方案實施方應(yīng)進行進一步的風(fēng)險評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進一步制度化、規(guī)范化。
7 結(jié)論
[關(guān)鍵詞] 校園安全;校園治安;和諧校園
[中圖分類號]C913.5 [文獻標識碼] A
一、校園安全的基本問題
關(guān)于校園安全的內(nèi)涵和外延有很多觀點。比如有的觀點認為校園安全是指消除和防止對學(xué)校安全有害的一切不安全因素,包括人身安全,食品安全,交通安全,防水、防火、防觸電等許多方面。也有的觀點認為校園安全事故是指學(xué)生在校期間,由于某種偶然突發(fā)的因素而導(dǎo)致的人為傷害事件。有關(guān)校園安全的分類也是多種多樣。有的主張校園安全包括個人安全問題、財產(chǎn)安全問題;也有的把校園安全分為安全教育、校園環(huán)境安全、校園周邊安全、消防安全、重點部位安全、體育設(shè)施安全、學(xué)生及教職工的飲食安全、學(xué)校財產(chǎn)、學(xué)生財產(chǎn)和學(xué)生人身安全等。
何謂校園安全,我們認為可以從主體、客體和內(nèi)容三個方面來進行定義。從廣義上說,校園安全的主體應(yīng)該為全體社會公民和學(xué)校等單位團體,狹義上的校園安全主體一般指在校學(xué)生、教職工。而校園安全的客體包括了在校師生的生命、財產(chǎn)、人格等所有的權(quán)利以及學(xué)校公共財物的保全,也應(yīng)該包括校園文化資產(chǎn)的保護。現(xiàn)在對校園安全關(guān)注的焦點主要是學(xué)生人身安全上,而對于教職工安全、學(xué)校公共財產(chǎn)安全等一般不列入重點監(jiān)測的范圍中,對于校園文化意識的監(jiān)控更不被作為校園安全的內(nèi)容。這種做法顯然是有失偏頗的。校園安全應(yīng)該是人、財、物、校園文化綜合的安全。校園安全應(yīng)該包括以下幾個特征:
首先,立體性。校園安全的內(nèi)涵應(yīng)該是非常豐富的,應(yīng)該包括人、物以及非實體性的文化意識傳統(tǒng)這三個方面,這三個方面共同構(gòu)筑了校園這個機體。其外延就包括了學(xué)生生命安全、財產(chǎn)安全、公共財物安全、校園文化安全、教職工生命安全、著作權(quán)、知情權(quán)等等方面。
其次,持續(xù)性。校園安全是一項持續(xù)性的工作,它從校園建立之時起就開始存在,只要有校園就需要校園安全,時時都是校園安全發(fā)生作用的時間,校園的各個角落都是校園安全的范圍,它是一項長期的、連續(xù)的工作,任何時候都不能放棄或放松。
再次,動態(tài)性。“靜止是相對的,運動是絕對的”,校園安全的主體和客體的類是固定的,但是具體的對象卻是不斷變化的。學(xué)生、教職工都會變化,具體的財物也會有所變動和更迭,這些都是動態(tài)發(fā)展的因素,而以它們?yōu)槌休d體的校園安全內(nèi)容必然也需要隨之發(fā)生變化,在遵循規(guī)律的前提下,根據(jù)具體的條件對內(nèi)容進行豐富和調(diào)整,具體的措施、制度等也會有一定的變化。
上述三個特征只是對校園安全概念的特性歸納,只有全面了解校園安全的內(nèi)涵和外延,才能正確的制定校園安全建設(shè)的原則,才能保證校園安全覆蓋的全面性,不留任何的安全“死角”,確實確保校園的安全。校園安全建設(shè)的原則與其特征是相配套的,大概歸納如下:
1. 以人為本原則。此原則包含兩個方面的內(nèi)容:一是指生命權(quán)的至高無上。在物權(quán)、人格權(quán)、財產(chǎn)權(quán)、知識產(chǎn)權(quán)、生命權(quán)等各項權(quán)利中,生命權(quán)毋庸置疑應(yīng)該是最為重要的權(quán)利,這也是人存在的首要證明,是人進行一切活動,享有一切權(quán)利的前提。我們自古就有對人生命的尊重和熱愛的教育,在法律規(guī)范中也處處體現(xiàn)了對人生命的呵護與保護。校園安全所涉及到的內(nèi)容是很繁雜的,但是無論在何種情況下都應(yīng)該以保護在校學(xué)生、教職工的生命安全為第一要務(wù),這是校園安全建設(shè)的重點和首要項目。二是指校園安全建設(shè)要依托科學(xué)儀器的幫助,要利用先進的保護和偵查技術(shù),這些可以大大提高校園的安全度,提高校園安全的效率。但是校園安全最主要的還是應(yīng)該依靠在校的所有人的力量和智慧,充分調(diào)動校園內(nèi)所有有利的人的因素,而不是僅僅依靠設(shè)備,才能更好的做到時時處處的安全管理。
2.預(yù)防為主原則。由于事物處在變化中,所以很多安全事件的發(fā)生都具有突發(fā)性的特點,實現(xiàn)難以預(yù)知,只能盡量在事件發(fā)生后在最短的時間內(nèi)把損失降低到最小。很多時候都是在扮演“救火隊”的角色,這樣使整個校園安全建設(shè)和管理顯得比較被動,缺少主動性和預(yù)見性,無法有效的從根源上制止校園危險事件的發(fā)生。所以校園安全建設(shè)應(yīng)該秉承預(yù)防為主的原則,通過分析一些危險隱患產(chǎn)生的條件和一些初期表征,消滅那些不安全的因素,從源頭上防止校園不安全事件的發(fā)生。
3.綜合治理原則。校園安全是個綜合的工程,它涉及到的面是非常廣的,包括了人、財、物、意識等各個層面中與校園有關(guān)的內(nèi)容,所以,在確保了生命安全的前提下,其他方面的安全問題也不容忽視,比如校園公共財物的維護、校園周邊環(huán)境的治理、校園網(wǎng)絡(luò)安全、校園相關(guān)產(chǎn)權(quán)的保護等等。所以校園安全需要全面兼顧,不可偏頗,進行綜合治理,才能真正確保校園的安全。
4.科學(xué)管理原則。事物是普遍聯(lián)系的,也是有規(guī)律可循的,采用科學(xué)的方法,按照規(guī)律來辦事,就可以事半功倍,反之,則會陷入雜亂無章、事倍功半的境地。校園安全也是有規(guī)律可循的,它涉及到的教育、治安、救護等都已經(jīng)發(fā)展的比較成熟,國內(nèi)外很多學(xué)校也通過長期的實踐摸索出一些行之有效的措施,歸結(jié)了校園安全的一些重要時段、地段和對象。這些都是在校園安全建設(shè)中要大力借鑒和發(fā)展的。
二、當(dāng)前校園安全基本情況分析
近幾年有關(guān)校園的中毒事件、踩踏事件、暴力事件、交通安全事件屢見報端,而且每年的安全數(shù)字呈上升趨勢。在2001年,就有有關(guān)部門對我國58所高校進行安全情況調(diào)查,調(diào)查結(jié)果顯示,這些院校當(dāng)年共發(fā)案11725起,其中在校生非正常死亡的案件達112起。而中小學(xué)的校園安全情況同樣令人堪憂,教育部、公安部等單位對北京、天津、上海等10個省市的調(diào)查顯示,目前全國每年約有1.6萬名中小學(xué)生非正常死亡,平均每天約有40名學(xué)生非正常死亡,相當(dāng)于每天有一個班的學(xué)生消失!如山西曾在半個月內(nèi)連續(xù)發(fā)生7件中小學(xué)生集體食物中毒事件,殃及約600名學(xué)生;四川巴中市通江縣一小學(xué)晚自習(xí)經(jīng)過樓道時發(fā)生踩踏造成7名同學(xué)被踩死,5人重傷、13人輕傷;陜西商洛技校2004級新生許琳殺害舍友郭某的案件等。當(dāng)前我國校園安全處于高發(fā)期,形勢比較嚴峻,具有以下特征:
首先,校園暴力案件急劇上升。近幾年校園暴力案件的數(shù)量一直持上升趨勢,而且惡性程度不斷加深,同時呈現(xiàn)出團伙暴力和以暴治暴的特點。比如某中學(xué)曾出現(xiàn)過“十三龍”“十三鳳”等幫派,有學(xué)生被欺負,學(xué)生們有的不通過學(xué)校等正當(dāng)手段保護自己的權(quán)利,而是向這樣的幫派求救或干脆加入。
其次,多人甚至集體型的危害事件上升。這個特點在中小學(xué)中體現(xiàn)的比較明顯。2005年11月沁源縣的一千多名學(xué)生在公路上晨跑的時候有二十一名學(xué)生死于一輛大卡車的車輪下。這種集體慘劇不下少數(shù),這是由于中小學(xué)生的自我保護能力和判斷力都不及大學(xué)生,抵抗風(fēng)險能力很弱,而且中小學(xué)生集體活動的機率也比大學(xué)生要大得多。比如食物中毒事件往往發(fā)生在配餐的中小學(xué)中,集體交通事故的發(fā)生也經(jīng)常發(fā)生在接送中小學(xué)生的校車上。
再次,由于心理問題而導(dǎo)致的意外傷害和死亡事故有所上升。青少年學(xué)生處在心理和生理的成長發(fā)育期,比較敏感,很多看法都不成熟,容易誘發(fā)一些心理疾病,從而做出傷害自己或他人的行為。這種類型的危害行為在大學(xué)比在中小學(xué)表現(xiàn)的更為突出。
上述的校園安全的嚴峻形勢除了有一些不可避免的客觀原因之外,更主要的是由于有關(guān)部門的校園安全抓手不準,定位不正,方法不當(dāng)。校園安全管理是一項非常煩瑣和可控性比較弱的工作,要確實保障校園安全,必須有正確的校園安全意識,抓好各類安全死角的整頓和檢查工作。
三、校園安全建設(shè)需要突破的幾個難點和幾點建議
根據(jù)目前我國校園安全建設(shè)除了日常工作之外,還有幾個難點問題需要研究和突破,只有突破這些難點和瓶頸,才能使校園安全建設(shè)從根本上得到改進和發(fā)展。
第一,實現(xiàn)角色的轉(zhuǎn)換。校園安全負責(zé)部門作為校園安全建設(shè)的中樞機構(gòu),應(yīng)該負起處理校園各種意外事件的職責(zé),事件處理是其主要角色,但是不能把“救火員”作為自身唯一的角色,而應(yīng)該把注意力放在如何有效的承擔(dān)預(yù)防危害事件發(fā)生的“監(jiān)察監(jiān)測員”的角色上。但現(xiàn)在的事實是,大部分學(xué)校的保衛(wèi)部門在這點上做的非常不充分,很多保衛(wèi)部門都存在人員不足的情況,而日常的事件的處理就已經(jīng)占用了大量的人力物力,很難有精力主要從事預(yù)防工作。而很多的預(yù)防工作是由其他的非專職人員從事的,從而導(dǎo)致了角色的錯位和整合不利。所以,校園安全管理部門應(yīng)該明確自身的角色地位,工作應(yīng)該以預(yù)防為主。
第二,保衛(wèi)和預(yù)防措施缺乏創(chuàng)新性,不夠高效。主要表現(xiàn)在兩個方面:一是沿用一些傳統(tǒng)的保衛(wèi)預(yù)防措施,創(chuàng)新較少。原有的傳統(tǒng)保衛(wèi)措施和預(yù)防措施曾經(jīng)發(fā)揮了很大的作用,取得了很好的預(yù)防效果,比如宿舍檢查制度、常規(guī)安全教育制度、事故報告制度等。但是隨著形勢的發(fā)展和青少年心理和生理特征的變化,出現(xiàn)了很多新情況,原有的傳統(tǒng)做法無法解決一些特殊的問題,而且原有的一些傳統(tǒng)做法也有相應(yīng)的缺陷,無法做到萬無一失。比如宿舍檢查制度一直都存在一個問題就是很多學(xué)生在查房后仍外出的情況,而校門口的保安卻沒有查問所有出入學(xué)生,造成了一些空白。這些都是需要我們加以彌補的。二是現(xiàn)有的保衛(wèi)預(yù)防力量比較分散,除了專門的保衛(wèi)部門和人員外,還有一部分教職工、社會力量如志愿者、公安機關(guān)和司法部門等。這些力量都能為校園安全做出應(yīng)有的貢獻,但是由于力量多而且分屬不一,所以容易造成資源的重疊或空白。基于以上兩點,有關(guān)部門應(yīng)該加強創(chuàng)新意識,對傳統(tǒng)的保衛(wèi)預(yù)防方法進行改進和創(chuàng)新,如建立以學(xué)生為主的社區(qū)巡邏隊和以志愿者為主的離校護送隊等。
第三,權(quán)責(zé)不明,立法空白。現(xiàn)在校園立法是法律上的空白,在校園安全方面的問題主要按照現(xiàn)有的法律法規(guī)和學(xué)校的各項規(guī)定來處理。但是實踐中就出現(xiàn)了很多上述法律所無法解決的盲點,這些都表明需要一部專門的校園安全方面的法律來規(guī)范。而有關(guān)此點,也引起了很多研究者和實踐部門的共識,社會各界都呼吁要成立專門的校園法,明確各方職責(zé),保障校園學(xué)生和教職工的權(quán)利。而立法是個長期的過程,所以在這個空白期還存在很多權(quán)責(zé)的難題。有關(guān)校園立法我們認為應(yīng)該秉承以下原則:首先,應(yīng)該從在校師生的角度出發(fā),保護在校師生的利益,同時也明確在校師生的責(zé)任;其次,應(yīng)該避免法條上的沖突和重疊,對未成年人保護法等相關(guān)法律法規(guī)中已經(jīng)有的相關(guān)規(guī)定或原則不必重復(fù),但是應(yīng)該細化;再次,校園法只要明確在各種事件中學(xué)校和學(xué)校師生應(yīng)該承擔(dān)的責(zé)任和應(yīng)有的權(quán)利,不需涉及到其他各種因素,不應(yīng)泛化,而應(yīng)有針對性。
第四,安全死角的忽略與控制不力。雖然現(xiàn)在很多學(xué)校對學(xué)生的人身安全和財物的保護都比較重視,但是,也有所疏漏,尤其是對一些安全死角的認識有誤或忽略,造成對一些發(fā)案率不高或較低的安全死角的疏漏,而這些也不為日常工作所重視。這些都存在著很大的安全隱患,而且往往容易造成惡性事件的發(fā)生。所以應(yīng)該加強安全死角的控制,擴大保衛(wèi)的范圍,使保衛(wèi)和預(yù)防工作更加細致。
第五,建立與學(xué)校所在地公安機關(guān)的聯(lián)系制度,實現(xiàn)重大事故的報案、偵查、處理的聯(lián)網(wǎng),充分并及時利用對方的資源,防止重大事故的發(fā)生。同時聘請公安機關(guān)的人員擔(dān)任校內(nèi)的兼職教導(dǎo)員和保衛(wèi)工作人員,加強對在校師生的安全意識教育和求生避險實踐技能的教育。
總之,校園安全是個艱巨的工程,是和諧社會、和諧校園建設(shè)的具體要求,需要全校師生和社會各界的努力,只有安全的校園才能培養(yǎng)出合格的人才。
[參考文獻]
一、信息安全概況
隨著信息技術(shù)的飛速發(fā)展,金融機構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長的態(tài)勢,信息傳遞的方式和渠道急劇增加,在為金融機構(gòu)帶來收益和效率的同時,也使信息安全問題更加凸顯。在全球范圍內(nèi),信息安全事件頻發(fā),給銀行和客戶造成經(jīng)濟損失的同時,也帶來了巨大的聲譽損失。如何有效提升信息安全管理水平,成為銀行關(guān)注的焦點。信息安全審計作為信息安全保障工作中的重要一環(huán),能夠促進信息安全控制措施的落實,規(guī)范信息安全管理,提高全員信息安全意識,從而有利于保持和持續(xù)改進銀行信息安全能力和水平。
根據(jù)當(dāng)前的信息安全管理體系國家標準GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作從整體看應(yīng)包括四個階段:一是規(guī)劃和建設(shè)階段(Plan,簡稱“P階段”);二是實施和運行階段(Do,簡稱“D階段”);三是監(jiān)視和評審階段(Check,簡稱“C階段”);四是保持和改進(Act,簡稱“A階段”)。這四個階段按順序循環(huán)往復(fù),從而使信息安全得到持續(xù)改進。這種方法也被稱為“PDCA循環(huán)”,如圖1所示。
經(jīng)過近十幾年的努力,金融行業(yè)信息安全保障工作已經(jīng)普遍走過了“P階段”和“D階段”,金融行業(yè)的信息安全需求已基本明確,滿足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過大范圍的規(guī)劃建設(shè),各金融機構(gòu)已經(jīng)建立了相對完備的信息安全軟硬件環(huán)境,初步形成了信息安全保障體系。盡管如此,作為關(guān)系國計民生的重要基礎(chǔ)產(chǎn)業(yè),金融行業(yè)對信息安全有著更高的要求,也面臨著更大的信息安全風(fēng)險挑戰(zhàn)。近年來,金融行業(yè)頻繁發(fā)生的信息安全事件表明,金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多,其中一個重要的原因就是大家普遍重視信息安全的建設(shè)和運行,而忽視了信息安全工作的檢查和改進。從整體上看,金融行業(yè)信息安全保障工作已經(jīng)走過“P階段”和“D階段”,尚未進入“C階段”和“A階段”,還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進機制。接下來金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進。信息安全審計是“C階段”的主要手段。它利用傳統(tǒng)財務(wù)審計和審計工作的規(guī)范與嚴謹,結(jié)合信息和保密技術(shù)的工具與手段,對金融機構(gòu)信息安全工作的成效和不足給出客觀、確定的審計結(jié)論,并根據(jù)審計結(jié)果,對金融機構(gòu)的信息安全保障工作提出改進措施、給出合理化建議。
為了對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標準、高要求,滿足商業(yè)銀行信息科技風(fēng)險管理的需要,銀監(jiān)會2009年了《商業(yè)銀行信息科技風(fēng)險管理指引》,其中第六十五條規(guī)定:“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度,信息科技應(yīng)用情況,以及信息科技風(fēng)險評估結(jié)果,決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進行一次全面審計。”
二、國內(nèi)外信息安全審計現(xiàn)狀
(一)國外信息安全審計發(fā)展與現(xiàn)狀
在建立信息安全審計制度,開展信息安全審計研究方面,美國走在了世界前列。早在計算機進入實用階段時,美國就開始提出系統(tǒng)審計(SYSTEMAUDIT)概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會(EDPAA),1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會(ISACA),總部設(shè)在美國芝加哥。自1978年以來,由ISACA發(fā)起的注冊信息系統(tǒng)審計師(CISA)認證計劃已經(jīng)成為涵蓋信息系統(tǒng)審計、控制與安全等專業(yè)領(lǐng)域的被廣泛認可的標準。目前該組織在世界上100多個國家設(shè)有160多個分會,現(xiàn)有會員兩萬多人。
1999年,美國國家審計署(GAO)《聯(lián)邦信息系統(tǒng)控制審計手冊》(第一版),為美國聯(lián)邦政府實施信息安全審計提供基本準則和方法。2001年,GAO《聯(lián)邦信息系統(tǒng)安全審計管理的計劃指南》,用于為美國聯(lián)邦政府實施信息安全審計提供具體指導(dǎo);2009年,GAO《聯(lián)邦信息系統(tǒng)控制審計手冊》(第二版),該手冊成為現(xiàn)階段美國聯(lián)邦政府實施信息安全審計的事實標準。
近年來,美國通過立法賦予信息安全審計新的意義,并對企業(yè)實施信息安全審計產(chǎn)生重大影響。2002年,美國安然公司和世通財務(wù)欺詐案爆發(fā)后,美國國會和政府緊急通過了《薩班斯——奧克斯利法案》(Sarbanes-OxleyAct,簡稱薩班斯法案)。薩班斯法案第302條款和第404條款明確要求“,通過內(nèi)部控制加強公司治理,包括加強與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制,而信息安全審計正是IT系統(tǒng)內(nèi)部控制的核心。”2006年底生效的《巴塞爾新資本協(xié)議(》BaselII),要求全球銀行必須針對其市場、信用及營運等三種金融作業(yè)風(fēng)險提供相應(yīng)水準的資金準備,迫使各銀行必須做好風(fēng)險控管,而這一“金融作業(yè)風(fēng)險”的防范也正是需要業(yè)務(wù)信息安全審計為依托。
近一段時期,以美國、加拿大、澳大利亞為主的西方國家,針對不同的組織機構(gòu),以不同的信息安全審計方式,卓有成效地開展了包括信息系統(tǒng)計劃與技術(shù)構(gòu)架、信息安全保護與災(zāi)難恢復(fù)、軟件系統(tǒng)開發(fā)、獲得、實施及維護、商業(yè)流程評估及風(fēng)險管理等方面的信息安全審計。
具體來說,針對各類企業(yè)的信息安全審計,采取了以內(nèi)部審計為主,從關(guān)注安全向關(guān)注業(yè)務(wù)目標過渡,一般控制審計與應(yīng)用控制審計相結(jié)合的方式;針對政府機構(gòu)的信息安全審計,強調(diào)外部審計與政府內(nèi)部審計結(jié)合,融入績效預(yù)算管理體系,關(guān)注系統(tǒng)最終效果。
在亞洲,日本的信息安全審計始于20世紀80年代。1983年,通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標準》,并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試,著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年,東南亞各國也開始制定電子商務(wù)法規(guī),成立專門機構(gòu)開展信息系統(tǒng)審計業(yè)務(wù),并制定技術(shù)標準。
(二)我國信息安全審計發(fā)展與現(xiàn)狀
近年來,我國的信息安全審計日益受到重視,審計署以及一些大型國有銀行也相繼開展了信息安全方面的審計工作。信息系統(tǒng)審計規(guī)范的研究和制定方面,我國已建成了一套比較成熟規(guī)范的法規(guī)、準則體系,但在信息系統(tǒng)及信息安全審計方面,雖有《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》(中國內(nèi)部審計協(xié)會2008年)以及審計署對信息系統(tǒng)審計相關(guān)法規(guī)、準則的規(guī)劃及研究,但尚未形成系統(tǒng)的法規(guī)、準則和技術(shù)標準體系。
三、金融行業(yè)信息安全審計組織與實施
金融行業(yè)的信息安全審計(InformationSecurityAudit),是指金融機構(gòu)為了掌握其信息安全保障工作的有效性,根據(jù)事先確定的審計依據(jù),在規(guī)定的審計范圍內(nèi),通過文件審核、記錄檢查、技術(shù)測試、現(xiàn)場訪談等活動,獲得審計證據(jù),并對其進行客觀的評價,以確定被審計對象滿足審計依據(jù)的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。金融機構(gòu)可以單獨實施信息安全審計,也可以將信息安全審計作為其他相關(guān)工作的一部分內(nèi)容聯(lián)合實施。如IT審計、信息安全等級保護建設(shè)、信息安全風(fēng)險評估、信息安全管理體系建設(shè)等。審計的工作流程和內(nèi)容大致包括六個方面的活動(如圖2所示)。
1.確定審計目的和范圍。金融機構(gòu)實施信息安全審計,首先要明確審計目的,確定審計范圍。審計目的是信息安全審計工作的出發(fā)點。審計目的可以從滿足監(jiān)管部門的要求、滿足信息安全國際國內(nèi)標準的要求、滿足機構(gòu)自身信息安全工作要求等合規(guī)性方面考慮。明確了審計目的,然后要確定審計范圍。審計范圍是影響審計工作量的一個重要因素。確定審計范圍,可以從組織機構(gòu)考慮,如僅對個別部門實施審計,或者在組織全部范圍實施審計;也可以從業(yè)務(wù)和系統(tǒng)角度考慮,如僅對核心系統(tǒng)實施審計,或者僅對信貸業(yè)務(wù)實施審計等。
2.明確審計依據(jù)。審計依據(jù)就像一把“尺子”,審計人員用它來衡量信息安全工作的“長短”。審計目的不同,審計依據(jù)就可能不同,如表1中所示。
3.組建審計組。審計組是具體實施信息安全審計工作的基本組織單位,應(yīng)由審計組長和審計員組成。管理良好的審計組是信息安全審計工作順利實施并達成審計目的的保障。審計組長應(yīng)由金融機構(gòu)內(nèi)部審計部門的管理者任命。負責(zé)編制審計方案和審計計劃,選擇審計員,管理審計小組,與被審計對象溝通等。審計組長應(yīng)具備較強的項目管理能力,熟悉被審計對象的業(yè)務(wù)和系統(tǒng),了解被審計對象面臨的信息安全風(fēng)險和常用的風(fēng)險控制措施。審計員應(yīng)選擇責(zé)任心強、公正、獨立、熟悉業(yè)務(wù)的人員擔(dān)任,避免審計員與被審計對象存在利害關(guān)系,以免影響審計結(jié)果的公正性。正式實施信息安全審計前,應(yīng)對審計組成員進行培訓(xùn)。
4.實施現(xiàn)場審計。審計準備工作就緒后,則可以實施現(xiàn)場審計。現(xiàn)場審計是一項復(fù)雜的系統(tǒng)工程,具有較強的不確定性。因此,現(xiàn)場審計應(yīng)根據(jù)事先編制的審計方案和審計計劃執(zhí)行,審計過程中還要做好變更控制。現(xiàn)場審計往往由首次會議開始,至末次會議結(jié)束。在首次會議上,審計組長應(yīng)向被審計單位闡明此次審計的目的、范圍、依據(jù)和審計計劃,并提出需要被審計單位配合的事項。末次會議上,審計組長向被審計單位說明審計發(fā)現(xiàn),報告審計初步結(jié)果,并與被審計單位就初步審計結(jié)果達成一致。現(xiàn)場審計方法通常包括:現(xiàn)場訪談、審閱文件、查看記錄、系統(tǒng)檢查和測試等。在系統(tǒng)檢查和測試過程中,可能需要相關(guān)的審計工具,如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫安全審計系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡(luò)安全檢查工具、惡意軟件掃描器等。現(xiàn)場審計過程中,應(yīng)做好文檔化工作。對所發(fā)現(xiàn)的審計證據(jù)應(yīng)進行詳細記錄,并與被審計單位人員進行現(xiàn)場確認。現(xiàn)場審計應(yīng)注意方式方法,就意見不一致的問題先做好記錄,避免現(xiàn)場與被審計單位人員發(fā)生爭執(zhí)。
