開篇:寫作不僅是一種記錄�,更是一種創造�,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上��。下面是小編精心整理的12篇網絡安全定級評估�����,希望這些內容能成為您創作過程中的良師益友�����,陪伴您不斷探索和進步。
第1篇
持續推動的等級保護
信息化技術標準委員會副主任委員崔書昆認為�,在基礎信息網絡和重要信息系統的安全嚴重關系到國家安全��、社會穩定以及人民群眾切身利益的今天,信息安全問題已然成為事關全局的戰略性問題����。近年來,有關部門圍繞信息安全保障體系建設,在信息安全等級保護���、風險評估、標準制定、產品開發及打擊各種網絡違法犯罪活動等方面取得了積極進展���。在這種情勢下,將信息安全等級保護確定為提高國家信息安全保障能力,維護國家安全、社會穩定和公共利益的一項基本制度�,是非常必要的�。
可以這樣理解�,我國信息安全各項工作快速推進,信息安全風險評估工作和保障體系建設、信息安全管理工作�、信息安全法制化和規范化建設�、信息化基礎設施和體系建設取得了重要的成效��。特別是從2007年7月20號開始�,全國重要信息系統定級工作已經開始�����,并在各行業�����、各部門、各單位的支持下,取得了豐碩的成果�。
從2008年開始�,公安部會同國家保密局等部門����,在重要信息系統定級工作的基礎之上,部署和開展深入推進信息安全等級保護工作�����,它主要分為三個方面:
第一,依據國家行業標準�,從管理和技術兩個方面�,開展信息系統安全建設整改�,建立并落實安全管理制度��,落實安全責任制�����。
第二,根據等級保護標準開展風險評估、災難備份、應急處置���、安全檢查等工作。
第三,對信息系統應用的一些重要單位,開展等級保護工作檢查。
公安部網絡安全保衛局郭啟全處長說:“目前全國范圍內����,大規模的重要系統定級工作已經基本完成�,相關資料目前集中到公安部進行管理����。定級工作的主要成效是了解重要信息系統的底數,掌握國家信息安全的基本情況�,為全面貫徹落實信息安全等級保護制度��,推動國家信息安全保障等工作的深入發展奠定堅實的基礎。同時���,某些地方、企業或者單位沒有完成定級工作���,但會納入到我們下一階段的檢查工作當中完成。另外,有些企業會隨后逐步執行該工作,不會影響國家等級保護制度的大規模推動。”
實施等級保護�����,充分體現了“適度安全����、保護重點”的目的,可以把國家的重要網絡、重要系統挑出來���,把國家有限的精力���、財力投入到信息保護當中去���,提高國家基礎網絡和重要信息系統的安全保護水平�,同時提高信息安全保障工作的整體水平。
奧運留下的財富
“2008年北京奧運會的信息網絡安全工作給我們留下了很多財富�����?�!惫鶈⑷浾f過���,奧運會對我們國家的信息網絡安全工作進行了一次大考���。它既考驗了我們國家信息網絡安全的工作��,同時也考驗了等級保護主管部門、公安部和很多部委的行業主管部門的信息安全工作��。在這次大考中�����,各部門均表現得很優秀����。在北京奧運會期間�����,無論是核心網絡還是信息系統,都遭受了大規模的攻擊和入侵,卻沒有出現相關安全事故,支撐北京奧運會順利舉辦,這是我國信息網絡安全領域經歷的考驗。
實際上,奧運會取得的經驗和公安部下一步等級保護工作之間存在密切的相關性。公安部和有關部委會借鑒奧運會信息安全網絡經驗����,充分利用好奧運留下的財富�,進一步開展今后的工作。
記者了解到���,在北京奧運會之前,成立了以公安部牽頭的包括海關����、銀行����、廣電等14個部委參加的信息網絡安全指揮部���。由于有了這樣的指揮部���,使得各項工作的落實有了一個組織保障�����。如果沒有這個指揮部�,大家各干各的��,在北京奧運會期間便無法保證重要系統和網絡的安全�����。
在2008年,國家安全的核心問題便是保障奧運的安全�����,奧運安全采取的第一個措施就是等級保護��。郭啟全介紹說:“公安部把奧運核心網絡和涉及奧運會的系統都定級、備案,針對風險和重要性搞等級測評和風險評估��,反復查找問題����、漏洞、脆弱性和安全風險。從歷史經驗來看�����,總會有一些黑客試圖攻擊奧運系統����。所以,在這些黑客攻擊之前,我們就需要開始做嚴格的攻擊性自測����。找到問題后進行系統加固�,并且是有針對性地進行加固����。這種安全建設、整改、加固還有等級測評,提升了我們的系統防范能力�����?�!?/p>
郭啟全強調:“我們當時還專門針對北京奧運會提出了風險評估的指南��。北京奧運會期間最大的風險是什么?其實就是來自黑客的攻擊破壞,所以搞風險評估要針對最大的風險去做��。舉個例子���,我到國家體育總局去了三次���,就是研究他們的網絡安全問題�����、網站安全問題���,這就有針對性���,搞等級保護����、風險評估非常有針對性�。這使得我們的風險找得準,漏洞找得準,問題找得準����,因此相關措施就有針對性�?��!?/p>
2009年的新工作
中國工程院院士沈昌祥指出���,目前我國信息與網絡安全的防護能力還處于發展的初級階段���,有些應用系統處于不設防狀態��。國防科技大學的一項研究表明����,我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入��,其中銀行、金融和證券機構是攻擊重點���。
由于奧運網絡和信息系統開展了等級保護工作,并對等級保護工作的政策標準��、工作環節進行了檢驗��,所以等級保護下一步的工作部署將充分借鑒北京奧運會的經驗�����,健全完善等級保護領導體制和協調配合機制,例如等級保護原來有些領導體制可能還要進行補充�����,明確重點工作對象�,比如說拿三級系統作為重點工作對象。
郭啟全說:“我們會嚴格落實責任制��,認真抓好三點工作�,計劃三年內完成安全系統的整改工作,總的目標就是:能力提高�����,事故降低�,等級保護制度得到落實,國家信息網絡安全基本得到保障��?�!?/p>
開展的重點工作主要分為三個方面�����。第一個方面是全面開展等級保護安全建設整改工作��,要建設安全設施�,落實安全措施�����,建立并落實安全管理制度��,落實責任制。第二個方面是各單位建立安全整改工作規劃��,完成定級系統整改規劃和制定具體實施方案�。第三個方面是以三級以上系統為重點,確定安全需求,制定安全方案�����。“當然�����,一些單位可能不太明白具體的操作辦法��,屆時我們會選擇有代表性的信息系統進行安全建設試點�����、示范,結合行業特點制定行業標準規范�����,按照有關工作實施的規范要求組織實施信息系統安全建設工程����?����!?/p>
第2篇
國家特別重視信息系統安全保護工作��,確立了信息安全等級保護的基本指導思想,明確要求“重點保護基礎信息網絡和關系國際安全、經濟命脈�、社會穩定等方面的重要信息系統��,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南。要重視信息安全風險評估工作����。對網絡與信息系統安全的潛在威脅�、薄弱環節�����、防護措施等進行分析評估�����。”
現實工作中,企業員工的違規使用行為往往會導致重要信息意外泄露,給企業生產帶來嚴重影響��,造成巨大經濟損失��。特別是對于國有石油企業而言�����,網絡安全的重要性不言而喻,其業務系統的穩定運行直接關系著社會秩序穩定���,關系到國計民生的長遠發展。國有石油企業網絡安全建設在滿足自身業務安全需求的基礎上���,必須遵循國家提出的等級保護等合規性工作要求�����。復雜的外部環境和來自于國家的合規性要求���,這些使得石油企業都迫切需要提高信息安全保障能力�,保證網絡基礎設施與業務系統的安全�、可靠運行。
網絡安全防護技術與產品多種多樣����,但是沒有一種獨立的解決方案能夠滿足石油企業信息安全上的需求����,只有將多種安全防護技術緊密地結合在一起��,才能充分發揮其各自作用����。通過將各種安全防護技術統一、全盤考慮����,能夠避免出現彼此之間相互抵觸����,導致防護水平降低現象出現�����。實現1+1>2的防護效果����,切實保障石油企業網絡信息安全����。
“知己知彼����,百戰不殆”,在石油企業網絡安全工作中�����,即要對所面臨的對手——安全威脅與挑戰有著深刻的理解���,更要對自身業務系統脆弱性與安全需求有清晰的認識��。為了明確問題范圍�,深入理解企業當前面臨的安全風險與問題��,明確自身安全需求��,石油企業首先要對各個業務系統進行安全評估。評估方面應當涵蓋IT基礎設備的各個方面��,包括網絡設備��、服務器��、應用系統、終端設備���、互聯網出口、管理制度與規范等多個方面的內容����。通過進行安全評估與風險分析,明確安全風險的范圍、內容與嚴重程度��,確定工作目標與工作重點�。在開展風險評估工作的同時,還應與有關部門合作,對已經定級應用系統開展等級保護測評工作,對新上線系統進行定級備案,滿足合規性要求����。
網絡安全工作是一個系統工程���,石油企業應以“統一標準�����、統一設計、統一建設、統一管理”作為工作指導思想,按照由外到內��、層層深入���、分區防護�、縱深防御的思路進行網絡安全防護建設。
首先,應當明確不同工作內容的范圍����。網絡安全工作紛繁蕪雜�����,涉及到各個方面的工作內容����。對于主機安全��、應用安全�、數據安全與備份恢復等方面的工作內容�,由各應用系統建設與維護人員考慮。對于物理安全�、網絡安全等具有一定共性安全內容���,進行統一規劃,按照統一的標準進行防護,制定標準的IT服務管理規范進行統一管理。石油企業網絡安全工作的第一步應當界定內部網絡與外部網絡邊界,對進入網絡內部的途徑進行梳理�����,對互聯網出口按照統一標準進行管理�����,按照統一標準進行安全防護�����。互聯網出口是外部用戶訪問企業信息系統的重要途徑�,同時也是安全威脅進入企業網絡的重要途徑����。出口越多����,入侵者進入內部網絡的途徑就越多,安全隱患也越多,在運維過程中也難以統一管理���。針對互聯網出口多、互聯網出口安全防護標準不一致,容易受到外部入侵等安全威脅的問題,可以采用統一互聯網出口的策略。石油企業應根據用戶及應用系統的使用需求��,對互聯網出口進行統一規劃��,制定統一的出口防護標準�,并按照標準進行統一安全防護��。通過對互聯網出口統一規劃��、統一防護、統一管理,可以減少入侵者通過網絡接入企業內部網絡的途徑��,提高企業網絡邊界安全防護能力����。通過應用技術隱蔽企業網絡信息��,通過網絡地址轉換技術改變IP地址內容����,降低入侵者通過互聯網出口直接滲透進入內部網絡的可能性�����。
第二�,對用戶訪問權限進行劃分���。并非所有用戶都具有互聯網訪問權限��,只有業務需求的用戶���,經過審批后才能開通互聯網訪問權限��。同時用戶使用USBkey進行身份認證,以USBkey作為用戶身份的唯一標識�,實現用戶訪問行為實名制管理����,避免用戶名口令方式存在的漏洞����。傳統的安全違規事件定位方式是通過IP地址進行問題定位����,這種方式進行事件處理費時費力�,特別是在大規模復雜結構的網絡環境中�,基本上很難實現及時、準確定位的目標����。為了在違規事件發生后能實現問題來源快速準確定位���,可以將用戶訪問行為信息與用戶身份標識進行綁定�,一旦發生違規事件后���,可以通過用戶信息而不是IP地址進行迅速定位與響應�����。
第三����,規范用戶的互聯網使用行為�,避免用戶訪問具有安全風險的內容給自身和企業帶來危害。通過行為審計技術對用戶的互聯網訪問內容進行記錄與審計�,發生安全事件后可以根據審計記錄定位事件發生時間及來源�����。審計設備記錄了所有用戶訪問互聯網所有內容,部分信息中還包括違規發送的信息���。因此,在審計記錄訪問權限分配制過程中��,要按照安全審計職責分離的要求設置不同權限的用戶����,避免系統管理員處理過程中接觸文件導致的二次泄密事件��。
第四�����,制定和實施相關管理制度與規范。信息安全“三分技術、七分管理”,石油企業安全目標的實現�,不但要以先進����、成熟��、可靠的技術作為支撐和保障���,更需要制定相應管理辦法與規范作為依托��,通過建立和健全完整的安全管理制度與規范對用戶使用行為進行管理。參照全球最佳安全管理實踐,建立標準和規范的IT服務運維管理流程�。通過標準化流程�,規范系統運維與管理工作�。
第3篇
關鍵詞:策略 系統工程 動態
中圖分類號:TP301 文獻標識碼:A 文章編號:1672-3791(2012)08(c)-0012-01
信息技術、通信技術、計算機技術對各個行業的影響越來越大,已成為國家和社會發展的重要戰略資源�����。各個行業實現網絡的互動互連�、信息的共享已經成為必然趨勢,中國的軍工研究單位也不例外。3G/4G高速數據手機通信也已經滲透到每個人的工作、生活之中��,如何在現有形式下保護開放網絡環境下軍工研究單位的軍事秘密信息已經成為當前的重要任務��。解決辦法之一是建立獨立的軍隊內部網���,在物理上隔開與外界的互連����,這樣將直接影響到軍工研究單位與非軍工研究單位的協同工作�,對中國武器裝備科研發展帶來不利的影響����。最好的解決方法是按照軍事級別的要求提高軍工研究單位的網絡安全����,不僅能使用互聯網����、通信網絡的優勢,同時也能保護軍事秘密。
1 網絡安全體系
網絡具有聯結形式多樣性����、終端分布不均勻性和網絡的開放性���、互連性等特征����,致使網絡易受黑客���、惡意軟件和其他不軌行為的攻擊�。要提高網絡安全性,任何單位都需要一個完整的網絡安全體系結構,否則該網絡將是個無用、甚至會危及國家安全的網絡���。無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素造成的安全脆弱性和潛在威脅����。要從網絡安全體系的各個層面來分析網絡安全的實現�,研究網絡安全模型��,來對網絡安全體系進行研究與部署��。一般的網絡系統都要涉及到網絡設施�����、網絡操作系統和網絡應用程序��,僅僅從這三個方面實施網絡不能完全保證網絡的整體安全。因為在網絡中信息是核心��,如何保證數據的安全性以及使用這些信息的用戶��、實體和進程的安全性也是必須考慮����,只有從這五個層次綜合考慮�����,才能總整體上做到安全的防護�。
網絡安全體系的五層之間是相互依賴的�,呈現了整體性,相互協作以立體化作業來提高整個系統的安全性�����。網絡安全威脅按照攻擊者的主動性可以分為主動威脅和被動威脅����,在合適的網絡安全模型的支持下,網絡系統可以采用對應的主動防御技術和被動防御技術來提高網絡系統的安全性?�,F在的網絡主動防御技術和被動防御技術有很多�,把最好的、最貴的防御產品部署到軍工單位的網絡中是不能提供足夠的安全�����,應該按照網絡安全策略指導網絡安全技術來保護好網絡安全�,對網絡安全整體體系進行保護��,才能即保護了數據�����,同時也充分利用了網絡的便利性和快捷性。
2 網絡安全策略
網絡安全策略(Security Policy)是指在一個特定的網絡環境里,為保證提供一定級別的安全保護所必須遵守的一系列條例��、規則。進行數據訪問時�,網絡安全策略規定在安全范圍內什么是允許的����,什么是不允許的����。網絡安全策略通常不作具體規定,它僅僅提出什么是最重要的��,而不確切地說明如何達到所希望的安全性����。網絡安全策略建立起安全技術規范的最高一級。安全策略具備普遍的指導意義����,它針對網絡系統安全所面臨的各種網絡威脅進行安全風險分析�����,提出控制策略,建立安全模型和安全等級�����,對網絡安全系統進行評估并為網絡系統的配置管理和應用提供基本的框架��。有了網絡安全策略系統才可能保證整體網絡系統能夠正常有序地運行,也才可能更安全合理地提供網絡服務,有了網絡安全策略才可能更加高效迅速地解決網絡安全問題��,使網絡威脅造成的損失降為最小��。
制訂軍工單位的安全策略必須以《保密法》�、《中華人民共和國保守國家秘密法》�、《中國人民保密條例》、《中華人民共和國計算機信息、系統安全保護條例》為根本依據�����,才能制訂科學的��、完善的網絡安全策略��。安全策略是規章制度,是網絡安全的高級指導,需要考慮軍工企業的各個方面���,不僅僅是網絡安全的技術,還必須包括各個級別的員工的安全教育、安全操作����、危機意識的培養�����。比如現在手機終端功能越來越強大,很多人都喜歡手機終端的通信���,這樣就為軍工單位的網絡打開一個缺口,黑客軟件可以控制手機攝像頭的打開和攝像操作��,在軍工單位內使用智能手機就有可能泄露軍事秘密���。所以軍工單位的安全必須采用系統工程的方法進行�,作為一個復雜的系統來考慮,這樣才能制定一個科學的安全策略。軍工單位的網絡安全策略制定是屬于社會領域的研究,可以采用軟系統方法論��,采用一個系統方法���,以國家法律和法規為基礎����,在軍工單位的各個層面的人員進行討論和辯論���,使大家從各個層面考慮網絡安全問題����,是問題得到充分的認識和問題解決的考慮,使制定的安全策略得到全面的考慮�,同樣對軍工單位的人員的一個安全教育����。
安全策略出自對軍工單位的要求、網絡設備環境���、軍事機構規則、國家軍事秘密法律約束等方面研究���,在網絡安全專家的協助下制定詳細的規范,但僅僅使提供安全服務的一套準則�����,具體的實現需要各種網絡安全防御技術提供的安全服務和安全機制來保障�����。軍工單位的網絡安全策略是一個動態策略�,它是要在安全策略的執行過程中�,實時進行監測,實時對各個層面的人員進行安全教育,對于出現的問題及時對安全策略進行修訂和補充。
3 結語
各個國家的軍工單位都是重點保護的對象��,因為它擁有軍事秘密信息�����,也是各種敵對勢力、競爭對象�、商業間諜進行網絡攻擊的目標���,提高網絡安全是軍工單位網絡邊界的第一道防線���,網絡安全策略就是指導各種網絡安全防御技術保障整個網絡體系的安全���。不要認為網絡全策略僅僅是一個規則和制度�����,僅僅采購高級網絡技術就可以了,軍工單位的網絡必須在網絡安全策略的宏觀指導下才能綜合各種網絡安全產品構建一個動態的安全網絡�����,它是各個部分工作的規范�,包括人員。網絡安全策略是一個軍工單位的核心�,只有充分認識網絡安全策略的動態發展過程����,才能使軍工單位充分使用網絡的優點��,也能保護好單位內部秘密���。
參考文獻
[1] 尹開賢.軍工單位信息系統的安全保密形勢與對策[C].第十一屆“保密通信與信息安全現狀研討會”����,2009(8):186-187.
第4篇
2007年��,原鐵道部成立了鐵路信息安全等級保護工作協調領導小組,印發了《關于開展鐵路重要信息系統安全等級保護定級工作的通知》。多次組織會議研究具體工作�����,并每年將等級保護工作列入全國鐵路信息化工作要點�����,提出明確要求����,重點督促落實�。2012年,了《關于進一步做好鐵路信息安全等級保護工作的通知》,進一步推進鐵路信息安全等級保護工作�����。截至2012年�,鐵路行業已對33個信息系統進行了定級��,其中二級8個,三級22個�����,四級3個��,結合系統建設�����、升級改造、專項工程等�����,對部分已定級的信息系統進行了相應的信息安全防護改造�,起到了一定的防護作用����。
2其他行業信息安全等級保護工作現狀
2.1電力行業
電力信息系統包括發電、輸電、變電、配電����、用電等環節的生產��、調度與控制系統,還包括與生產�����、營銷等工作相關的管理系統���。2004年10月�,國家電網公司轉發了公安部的《關于信息安全等級保護工作的實施意見》的通知,要求下屬單位認識信息安全保障體系。2005年,電力行業監管部門頒發了《電力二次系統安全防護規定》����,后陸續制定了《電力二次系統安全防護總體方案》����、《省級及以上調度中心二次系統安全防護方案》����、《變電站二次系統安全防護方案》,高度重視信息安全保護工作[2]。2007年8月,電監會了《關于開展電力行業信息系統安全等級保護定級工作的通知》;隨后11月下發了《電力行業信息系統安全等級保護定級工作指導意見》,要求貫徹落實國家關于信息安全等級保護工作�����。2010年6月��,電力行業信息安全等級保護測評中心通過國家信息安全等級保護工作協調小組評審,成為國內首個行業信息安全等級保護測評機構�����,為電力行業信息安全等級保護工作開展提供測評及咨詢等服務�。2011年,電力行業按照國家信息安全等級保護相關標準和管理規范��,結合自身行業現狀和特點�,制定了本行業的等保標準——《電力行業信息系統安全等級保護基本要求》(送審稿),指導行業信息安全等級保護工作��。以國家電網公司為代表�����,電力行業等級保護工作有序穩步推進��,2006年開展了信息系統安全等級保護制度研究與試點工作,2007年進行了試點����,2009年全面展開等級保護建設工作��。2010年以來,電力行業形成了以網絡隔離����、邊界防護和分層分級縱深防御為主要特點的立體化安全防護體系����,成為全國首個率先組織開展信息安全等級保護工作并深入應用的行業。
2.2金融行業
金融行業信息系統包括中國人民銀行信息系統和銀行業金融機構信息系統兩大類���。中國人民銀行除擁有政府行政管理的各類信息系統外�,還有履行金融調控、金融服務����、金融市場職能的13類信息系統���。銀行業金融機構信息系統分為兩類:各類銀行�����、各類金融機構。2007年����,中國人民銀行印發《中國人民銀行��、中國銀行業監督管理委員會關于印發<開展銀行業金融機構重要信息系統安全等級保護定級工作>的通知》,開始在金融行業開展信息安全等級保護工作���。2011年1月,經中國人民銀行�、公安部國家信息安全等級保護工作協調小組辦公室批準���,中國金融電子化公司測評中心成為行業指定的信息安全等級保護測評服務機構���,開始了金融行業信息安全等級保護測評和風險評估工作�����。2012年7月,人民銀行制定出臺了《金融行業信息系統信息安全等級保護實施指引》��、《金融行業信息系統信息安全等級保護測評指南》�、《金融行業信息安全等級保護測評服務安全指引》3項標準,成為金融行業的等級保護標準��。同年����,人民銀行了《中國人民銀行關于進一步推進銀行業信息安全等級保護工作的通知》����,將等級保護工作長效化、制度化��。2013年以來�����,人民銀行先后了《中國人民銀行信息系統安全等級保護定級和備案流程實施辦法》����、《中國人民銀行關于銀行業金融機構信息系統安全等級保護定級的指導意見》����,進一步完善了等級保護工作流程,并組織對21家全國性銀行業金融機構信息系統定級情況進行了評審。
2.3教育行業
教育行業信息系統包括教育行政管理信息系統和學校信息系統兩大類�,如教育部全國學前教育管理信息系統�����、全國中小學校舍信息管理系統、高考報名與招生相關系統;各高校教師學生管理信息系統、考試與成績管理系統�、遠程教育系統等��。2009年,教育部辦公廳印發《關于開展信息系統安全等級保護工作的通知》,隨后�����,教育部批準成立了“教育信息安全等級保護測評中心”�,具體承擔相關等級保護工作。2010年~2011年�����,教育部辦公廳先后印發了《關于開展教育系統信息安全等級保護工作專項檢查的通知》���、《關于進一步加強網絡信息系統安全保障工作的通知》�,要求做好教育系統網絡信息安全保障工作,加快建立完備的教育網絡信息安全保障體系。2011年6月�,國家信息安全等級保護工作協調小組評審并通過了教育信息安全等級保護測評中心作為國家信息安全等級保護測評機構的資質申請�,成為繼電力����、金融行業之后第三家行業信息安全等級保護測評機構。教育部積極組織開展信息安全等級保護行業標準的制定,研究制定了《教育系統信息安全等級保護定級指南》、《教育系統信息安全等級保護基本要求》等技術標準��,進一步規范了教育行業等級保護工作在技術層面的落實�。2012年以來,教育行業等級保護工作繼續深入開展,教育部直屬機關100多個系統完成定級及評審工作,國家教育管理信息系統安全保障體系建設完成,行業具備了獨立進行信息安全等級測評����、風險評估服務的能力����。
2.4廣電行業
廣電行業信息系統可分為3大類:生產業務系統����、外網系統、專網系統[11]�����。鑒于廣電系統的專業特色���,無法照搬基于IP網絡的信息安全評估方法�,廣電行業進行了一系列的研究工作。2007年�����,廣電總局以光纜干線網風險評估為切入點�����,開始了行業內風險評估的探索;2008年�,完成了“廣播電視光纜干線網信息安全風險評估方法研究”項目����,探索出一條適用于行業信息安全評估之路�����;2009年�,在此基礎之上�,廣電總局完成了“廣播電視衛星地球站信息安全風險評估方法研究”;2010年�����,啟動了電視中心�、廣播中心、無線發射3大播出類型的專業風險評估方法研究���。2007年,廣電行業下發了相應的定級工作指導意見���,開始了重要播出信息系統定級工作。2009年�����,廣電總局開始著手研究編制適合行業的等級保護標準����;2011年����,廣電總局頒布出臺了《廣播電視相關信息系統安全等級保護定級指南》和《廣播電視相關信息系統安全等級保護基本要求》��,作為行業內信息安全等級保護標準,為信息系統建設整改提供指導����。2012年��,國家廣播電影電視總局廣播電視信息安全測評中心通過國家信息安全等級保護工作領導協調小組辦公室評審,獲得廣電行業信息安全等級保護測評機構推薦證書���,成為國內第4家行業信息安全等級保護測評機構。目前��,按照廣電總局的統一部署和要求��,廣電行業已完成主要信息系統的分類和定級��,完成了相關系統在公安機關網絡安全保衛部門的備案,并有計劃地開展安全建設整改工作�。
3鐵路與其他行業信息安全等級保護工作對比分析
3.1對工作的認識和推進程度
作為關系國計民生的重要運輸系統��,早在2007年,鐵路行業即開始了信息安全等級保護工作���,與教育等行業相比,信息安全等級保護工作在鐵路行業的起步更早�����,等級保護工作被列作全國鐵路信息化工作的要點�,獲得了較多的關注和重視。然而,與電力等其他行業相比����,鐵路信息安全等級保護工作也存在著不足:(1)行業的先行性自我研究欠缺且滯后,沒有在等級保護工作全面開展之前進行行業信息安全工作的調研和考察,這使得本行業對信息安全等級保護工作的認識缺乏良好的理論和實踐基礎;(2)信息安全等級保護工作在全路的實施力度有待加強,有些行業已將等級保護工作實現了例行化和常態化,而且較早時候即按照等級保護工作的要求完成了本行業信息系統的定級���、備案等工作,而鐵路行業內的上述工作尚處于未實現狀態或實現較晚。
3.2行業標準的制定
信息安全等級保護工作的行業標準��,是本行業按照信息安全等級保護國家標準的要求���、結合行業自身特點而制定的等級保護工作標準��。行業標準是行業開展信息安全等級保護工作的依據和指導性文件��,其集中體現了本行業信息安全等級保護工作的研究現狀和最高水平,是判斷一個行業信息安全等級保護工作水平的重要依據。當前電力�、金融�、廣電等行業已按照信息安全等級保護國家標準要求�、結合自身行業特點,制定出臺了本行業的等級保護標準,有的結合使用反饋情況�,對已有標準進行了重新修訂和完善����,形成了第二版的標準�����。鐵路信息系統的行業特點�����,決定了鐵路信息系統安全不能完全照搬等級保護國家標準,而應依據國家標準結合行業特點實施信息安全保護工作��;然而����,此項工作尚處于空白狀態,鐵路行業亟待出臺行業標準以指導行業信息安全等級保護工作。
3.3行業評測機構的成立
為進一步推進國家信息安全等級保護工作����,公安部依據機構信息安全等級保護測評能力,授權第三方機構進行信息安全等級保護測評���。等級保護測評機構的主要工作是根據等級保護標準規范,對各信息系統測評���;作為等級保護測評工作的實施者,它推動著等級保護工作的前進���,是信息安全等級保護工作的重要組成部分。截至目前����,全國已有數十家機構獲得信息安全等級保護測評資質���,列入公安部信息安全等級保護評估中心推薦的全國等級保護測評機構目錄���。其中�,已有7家機構獲得國家級測評資質,這包括了電力����、金融��、教育及廣電等行業的測評機構,另外的機構則獲得了省市級的測評資質�。當前����,鐵路行業尚無一家具有認可測評資質的第三方測評機構�����,導致鐵路內信息系統安全等級保護工作的推進���,不得不求助于鐵路外的社會評測機構,然而這些機構并不了解鐵路行業的特點����,給鐵路等級保護工作的實施帶來了很大被動��。另外,鐵路信息系統大多覆蓋全國�����,實行全國統一管理��,省市級測評機構已不能勝任鐵路的需求�。因此����,成立一家行業內的國家級測評機構,是鐵路等級保護工作進一步開展的必然要求�����。
4結束語
第5篇
【關鍵詞】等級保護���;虛擬專網��;VPN
1.引言
隨著因特網技術應用的普及����,以及政府���、企業和各部門及其分支結構網絡建設和安全互聯互通需求的不斷增長�����,VPN技術為企業提供了一種低成本的組網方式。同時,我國現行的“計算機安全等級保護”也為企業在建設信息系統時提供了安全整體設計思路和標準����。如何充分利用VPN技術和相關產品���,為企業提供符合安全等級保護要求�����、性價比高的網絡安全總體解決方案,是當前企業信息系統設計中面臨的挑戰。
2.信息安全管理體系發展軌跡
對于信息安全管理問題����,在上世紀90年代初引起世界主要發達國家的注意�,并投入大量的資金和人力進行分析和研究���。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規范》,規定信息安全管理體系與控制要求和實施規則���,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,是一個全面信息安全管理體系評估的基礎和正式認證方案的根據���。國際標準化組織(ISO)聯合國際電工委員會(IEC)分別于2000年和2005年將BS7799標準轉換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣���。中國國家標準化管理委員會(SAC)于1999年了GB/T 17859《計算機信息系統安全保護等級劃分準則》標準,把信息安全管理劃分為五個等級���,分別針對不同組織性質和對社會、國家危害程度大小進行了不同等級的劃分����,并提出了監管方法���。2008年制訂并下發了與ISO/IEC 17799和ISO/IEC 27001相對應的GBT 22081-2008《信息安全管理體系 實用規則》和GBT 22080-2008《信息安全管理體系 要求》。
3.信息系統安全的等級
為加快推進信息安全等級保護,規范信息安全等級保護管理���,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設�����,國家公安部���、保密局�、密碼管理局和國務院信息化工作辦公室等,于2007年聯合了《信息安全等級保護管理辦法》��,就全國機構/企業的信息安全保護問題�����,進行了行政法規方面的規范��,并組織和開展對全國重要信息系統安全等級保護定級工作。同時,制訂了《信息系統安全等級保護基本要求》�����、《信息系統安全等級保護實施指南》�、《信息系統安全等級保護測評準則》和《信息系統安全等級保護定級指南》等相應技術規范(國家標準審批稿),來指導國內機構/企業進行信息安全保護。
在《信息系統安全等級保護基本要求》中�����,要求從網絡安全�、主機安全、應用安全、數據安全及備份恢復���、系統運維管理、安全管理機構等幾方面��,按照身份鑒別�����、訪問控制、介質管理��、密碼管理���、通信和數據的完整�����、保密性以及數據備份與恢復等具體要求�,對信息流進行不同等級的劃分���,從而達到有效保護的目的���。信息系統的安全保護等級分為五級:第一級為自主保護級���,第二級指導保護級��,第三級為監督保護級����,第四級為強制保護級,第五級為??乇Wo級��。
針對政府、企業常用的三級安全保護設計中�����,主要是以三級安全的密碼技術�����、系統安全技術及通信網絡安全技術為基礎的具有三級安全的信息安全機制和服務支持下,實現三級安全計算環境���、三級安全通信網絡、三級安全區域邊界防護和三級安全管理中心的設計����。
圖1 三級系統安全保護示意圖
圖2 VPN產品部署示意圖
4.VPN技術及其發展趨勢
VPN即虛擬專用網�����,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接���,是一條穿過混亂的公用網絡的安全、穩定的隧道����。通常�����,VPN是對企業內部網的擴展,通過它可以幫助遠程用戶�����、公司分支機構�、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸����。VPN可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路�����,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網����。
VPN使用三個方面的技術保證了通信的安全性:隧道協議、身份驗證和數據加密。VPN通道的加密方式成為主要的技術要求,目前VPN技術主要包括IPSec VPN���,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等�。
IPSec VPN是基于IPSec協議的VPN產品��,由IPSec協議提供隧道安全保障,協議包括AH、ESP���、ISAKMP等協議。其通過對數據加密、認證�����、完整性檢查來保證數據傳輸的可靠性�、私有性和保密性。通過采用加密封裝技術,對所有網絡層上的數據進行加密透明保護。IPSec協議最適合于LAN到LAN之間的虛擬專用網構建����。
SSL VPN是基于SSL協議的VPN產品����。在企業中心部署SSL VPN設備�����,無需安裝客戶端軟件��,授權用戶能夠從任何標準的WEB瀏覽器和互聯網安全地連接到企業網絡資源�����。SSL VPN產品最適合于遠程單機用戶與中心之間的虛擬網構建�����。
整個VPN通信過程可以簡化為以下4個步驟:
(1)客戶機向VPN服務器發出連接請求����。
(2)VPN服務器響應請求并向客戶機發出身份認證的請求��,客戶機與VPN服務器通過信息的交換確認對方的身份���,這種身份確認是雙向的��。
(3)VPN服務器與客戶機在確認身份的前提下開始協商安全隧道以及相應的安全參數,形成安全隧道��。
(4)最后VPN服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密���,然后通過VPN隧道技術進行封裝���、加密����、傳輸到目的內部網絡。
目前國外公開的相關VPN產品多數采用軟件加密的方式�,加解密算法也多使用通用的3DES�、RSA加解密算法����,不符合國家密碼產品管理和應用的要求?���!渡逃妹艽a管理條例》(中華人民共和國國務院第273號令,1999年10月7日)第四章第十四條規定:任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品��,不得使用自行研制的或者境外生產的密碼產品��。國家密碼管理局在2009年針對VPN產品下發了《IPSec VPN技術規范》和《SSL VPN技術規范》�,明確要求了VPN產品的技術體系和算法要求�����。
5.VPN技術在等級保護中的應用
在三級防護四大方面的設計要求中�,VPN技術可以說是在四大方面的設計要求中都有廣泛的應用:
在安全計算環境的設計要求中:首先在實現身份鑒別方面�,在用戶訪問的中心,系統管理員都統一建立的有用戶的用戶組和用戶名��,用戶會通過VPN的設備登錄訪問中心的應用系統�,當身份得到鑒別通過時才可訪問應用系統;其次在數據的完整性保護和保密性保護上都能夠防止用戶的數據在傳輸過程中被惡意篡改和盜取���。
在安全區域邊界的設計要求中:網絡邊界子系統的邊界控制與VPN功能一體化實現,在保證傳輸安全性的同時提高網絡數據包處理效率��。
在安全通信網絡的設計要求中:網絡安全通信的子系統主要是為跨區域邊界的通信雙方建立安全的通道�����,通過IPSEC協議建立安全的VPN隧道傳輸數據�。完成整個應用系統中邊界或部門服務器邊界的安全防護����,為內部網絡與外部網絡的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機制���。在客戶端和應用服務器進出的總路由前添加網絡VPN網關,通過IPSEC協議或者SSL協議建立VPN隧道為進出的數據提供加密傳輸�,實現應用數據的加密通信��。
在安全管理中心的設計要求中:系統管理中���,VPN技術在主機資源和用戶管理能夠實現很好的保護,對用戶登錄����、外設接口�����、網絡通信、文件操作及進程服務等方面進行監視機制�,確保重要信息安全可控��,滿足對主機的安全監管需要。
在信息系統安全等級保護設計中VPN產品的部署示意圖如圖2所示�。
第6篇
【關鍵詞】網絡安全�;威脅攻擊�����;防范措施
隨著網絡的開放���、共享和互連程度的擴大����,信息技術的高速發展�,連接信息能力、流通能力的提高無不給政府、企事業單位的日常工作帶來了極大的便利�����,但也因網絡的開放性�、自由性和國際化給網絡入侵者也帶來了方便。因此�,網絡中的安全問題也日益突出�����。
一��、計算機網絡安全概述
網絡安全涉及計算機科學�����、網絡技術、通信技術、密碼技術���、信息安全技術、應用數學、數論、信息論等多種學科��?����?傮w來說計算機網絡安全包括兩個方面�����,即物理安全和邏輯安全。物理安全是指在物理媒介層次上對存儲和傳輸的信息加以保護��,如網絡設備�、設施免遭地震、水災�、火災等環境事故以及人為操作錯誤或各種計算機犯罪行為而導致破壞的過程�。邏輯安全包括信息的安全性���、保密性�、完整性。
1.網絡系統安全的含義
由于網絡的開放性以及網絡體系結構自身的一些缺陷,導致網絡系統中的軟、硬件資源��,數據資源都無可避免地遭到各種各樣的威脅���,或客觀的��,或主觀的。因此說:網絡安全是相對的����,不安全才是絕對的����。
2.網絡系統安全的特性
(1)系統的可靠性:系統本身的安全是網絡安全的前提,是網絡能正常運行的保證�����。(2)數據的保密性:數據在網絡傳輸過程中應用相關的保密技術對數據進行加密處理��,以保證傳輸過程中不會被別人竊取而識別��。(3)數據的完整性:數據在網絡上存儲、傳輸時不會被非法篡改�。
二����、網絡安全面臨的威脅和攻擊
安全威脅是指某個人���、物����、事件或概念對某一資源的機密性、完整性、可用性或合法性所造成的危害��。
安全威脅可分為故意的(如黑客滲透)和偶然的(如信息被發往錯誤的地址)兩類����。故意威脅也是目前安全面臨的主要威脅,它可以分為被動和主動兩種��。(1)基本威脅:網絡安全的基本目標是實現信息的機密性��、完整性、可用性和合法性�����。這也直接反映了4個安全目標���,目前存在的威脅主要表現為信息泄漏或丟失�、破壞數據完整性、拒絕服務�、非授權訪問等����。(2)滲入威脅和植入威脅:滲入威脅主要有假冒���、旁路控制��、授權侵犯��。植入威脅主要有特洛伊木馬、陷門�。(3)潛在威脅:如竊聽��、通信量分析、人員疏忽�、媒體清理等�。(4)病毒:指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據�,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。
安全攻擊就是安全威脅的具體實現����。如:中斷是指系統資源遭到破壞或變得不能使用��,這是可用性的攻擊;截取是指未授權的實體得到了資源的訪問權���,這是對機密性的攻擊;修改是指未授權的實體不僅得到了訪問權����,而且還篡改了資源,這是對完整性的攻擊;捏造是指未授權的實體向系統中插入偽造的對象����,這是對合法性的攻擊����。
三�、目前網絡安全的主要防范措施
針對網絡系統現實情況,處理好網絡的安全問題是當務之急。為了保證網絡安全采用如下方法:
1.防火墻配置
防火墻實質上是一種隔離技術,將內部網和Internet分開。它可通過監測���、限制及更改跨越防火墻的數據流,盡可能地對外部屏蔽內部網絡的信息����、結構和運行狀況�,以此來實現網絡的安全保護。在邏輯上���,防火墻是一個分離器,一個限制器���,也是一個分析器,它有效地監控了內部網和外部網之間的任何活動�,保證了內部網絡的安全����。利用防火墻�����,在網絡通訊時執行一種訪問控制尺度��,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外�,最大限度地阻止網絡中的黑客隨意訪問自己的網絡���。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部����,所以�����,防火墻是網絡安全的重要一環。
2.安裝防病毒軟件
病毒掃描就是對機器中的所有文件和郵件內容以及帶有.exe的可執行文件進行掃描���,掃描的結果包括清除病毒,刪除被感染文件,將被感染文件和病毒放在一隔離文件夾里面�。要對全網的機器從網站服務器到郵件服務器到文件服務器到客戶機都要安裝殺毒軟件����,并保持最新的病毒庫�。因為病毒一旦進入機器就會瘋狂的自我復制,終至遍布全網,其威脅性和破壞力將是無法估量的�����,有時可以使得整個系統崩潰�,導致所有的重要資料丟失。所以應定期(至少每周一次)對全網的電腦進行集中殺毒,并定期的清除隔離病毒的文件夾等。
3.利用網絡監聽維護子網系統安全
對于網絡外部的入侵可以通過安裝防火墻來解決�,但是對于網絡內部的侵襲則無能為力���。在這種情況下�����,可以采用對各個子網做一有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據�。設計一個子網專用的監聽程序���,該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份����。
4.應用數據加密技術
數據加密是計算機網絡安全中很重要的一個部分���。數據加密技術就是對信息進行重新編碼����,從而隱藏信息內容���,使非法用戶無法獲取信息的真實內容的一種技術手段��;是提高信息系統及數據的安全性和保密性��,防止重要數據被外部破析所采用的主要手段之一。
5.應用認證技術
網絡安全系統的一個重要方面是防止分析人員對系統進行主動攻擊��,如偽造�����、篡改信息等�,認證則是防止地動攻擊的重要技術,它對于開放環境中的各種信息系統的安全有重要作用����。認證是指驗證一個最終用戶或設備的聲明身份的過程�,其目的主要是:一是對信源識別�,以防假冒;二是對完整性驗證����,以防信息在傳輸過程中被篡改����、重放或延遲等��。
在大多數情況下,授權和訪問控制都是伴隨在成功的認證之后的�,目前有關認證的使用技術主要有:消息認證���、身份認證和數字簽名��。
6.常做數據備份
由于數據備份所占有的重要地位,它已經成為計算機領域里相對獨立的分支機構�。時至今日�����,各種操作系統都附帶有功能較強的備份程序,但同時也還存在這樣或那樣的缺陷����;各類數據庫管理系統也都有一定的數據復制的機理和功能���,但對整個系統的數據備份來說仍有不夠完備之處��。所以,如想從根本上解決整個系統數據的可靠備份問題��,選擇專門的備份軟��、硬件���,建立專用的數據備份系統是不可缺少的���。
7.建立安全策略和安全管理機制
面對網絡安全的脆弱性����,除了在網絡技術上加強防范外��,還必須建立完善的安全策略和安全管理機制。
安全策略�,是指在一個特定的環境里�,為保證提供一定級別的安全保護所必須遵守的規則��,包括三個組成模塊:威嚴的法律��,先進的技術,嚴格的管理。
(1)威嚴的法律:安全的基石是社會法律�����、法規與手段���,這部分用于建立一套安全管理標準與方法�����。即通過建立與信息安全相關的法律��、法規,使非法分子懾于法律而不敢輕舉妄動。(2)先進的技術:這是信息安全的根本保障����,用戶對自身面臨的威脅進行風險評估�,決定其需要的安全服務種類�,選擇相應的安全機制,然后集成先進的安全技術����。(3)嚴格的管理:各網絡使用機構����、企業和單位應建立相宜的信息安全管理辦法,加強內部管理,建立審計和跟蹤體系,提高整體信息安全意識。
安全管理一直是網絡系統的薄弱環節之一�,而用戶對網絡安全的要求往往又相當高����,因此安全管理就顯得非常重要����。網絡管理者必須充分意識到潛在的安全性威脅��,并采取一定的防范措施���,盡可能減少這些威脅帶來的惡果�����,將來自企業或公司網絡內部和外部對數據和設備所引起的危險降到最低程度。
參考文獻:
[1]閆書磊,李歡.計算機網絡基礎[M].人民郵電出版社���,2008,5.
[2]銳捷網絡.網絡互聯與實現[M].北京希望電子出版社����,2007���,3.
第7篇
【關鍵詞】安全監控���;病毒程序�����;操作系統
【中圖分類號】U223【文獻標識碼】A【文章編號】1672-5158(2013)07-0434-02
0 前言
按照ISO17799信息安全標準、國家計算機網絡安全規定及南網公司相關規定�����,信息安全體系的建設應包括2方面的內容:安全技術防護體系�����、安全管理體系。技術防護體系包括網絡和應用系統的安全防護基礎設施和相關的監視����、檢測手段�����;安全管理體系主要包括組織、評估�����、改進等管理手段����。信息安全體系建設的思路是:在全面的安全風險評估的基礎上,對信息資產進行安全分類定級��,針對信息系統存在的安全隱患和威脅�,提出信息系統安全整體規劃,分步實施����,循環改進�。
1 信息安全總體思路
當前我國已把信息安全上升到國家戰略決策的高度�����。國家信息化領導小組第三次會議確定我國信息安全的指導思想:“堅持積極防御���、綜合防范的方針���,在全面提高信息安全防護能力的同時��,重點保障基礎網絡和重要系統的安全。完善信息安全監控體系����,建立信息安全的有效機制和應急處理機制���?���!边@就引出等級保護的概念�����,必須區分重要程度不同的應用系統��,并據此將保護措施分成不同的等級,而從國家層面�,必須將那些關系到國民經濟發展命脈的基礎網絡圈定出來����,加以重點保護���,這就是“重點保障基礎網絡和重要系統的安全”思路�����。
所謂信息安全���,可以理解為對信息4方面屬性的保障�,一是保密性�����,就是能夠對抗對手的攻擊,保證信息不泄露給未經授權的人;二是完整性�,就是能夠對抗對手的主動攻擊�����,防止信息被未經授權的篡改;三是可用性,就是保證信息及信息系統確定為授權使用者所用���;四是可控性,就是對信息及信息系統實施安全監控��。(見圖 1)
2 計算機網絡病毒的定義與特征
2.1 計算機網絡病毒的定義
計算機網絡病毒直觀來講是以一種程序�����、一段可自動運行的執行編碼的方式來存在的�,它們存在的目的就是為了對計算機進行破壞�����,導致計算機不能正常運作��,不能正常使用操作系統,甚至損壞硬盤。它與生物病毒有一定的類似��,計算機網絡病毒也具有相當強的復制能力與傳播能力����,可以在很短的時間內實施蔓延,因此,徹底消除病毒是比較困難的。計算機網絡病毒能將自身“寄托”在各種類型文件之上。只要文件被復制或者傳送出去以后,它們就有了蔓延的機會,并且肆無忌憚����。病毒程序也不是個體單獨存在的����,它需要隱蔽在相關可執行的文件與程序之中�����,不僅會隱藏����,也會破壞與傳播�����。通常出現的普通情況會是讓電子計算機運行速度降低�,嚴重者會導致計算機網絡直接癱瘓����,這樣無論是普通用戶還是企業都會帶來不能估計的損失。
2.2 計算機網絡病毒的特征
每一件事物的存在自然都會有它的特征,網絡病毒也不例外,抓住特征,分析原因,才能做好防御,計算機網絡病毒通常有這幾個特征:
一是隱藏性高���,善于在無形之中存在、傳播以及對重要數據進行破壞,而由于太過隱藏��,通常不會輕易被計算機工作人員察覺��;二是寄生性高�����,計算機網絡病毒通常會依附在一個文件或者一個可執行程序之上,用這樣的方式來生存的���;三是傳播性高,只要具備了一定的條件�,計算機網絡病毒可以實現自我復制的���,能對相關的文件與系統進行惡意的自行操作,而逐步形成一個的新的傳染源����。四是觸發性高��,只要滿足了病毒的觸發條件,例如:某些程序��、時間�、日期或者軟件運行次數等等,這些都可以成為病毒的激發條件�����;五是破壞性高��,當病毒觸發條件滿足時��,病毒的破壞性就體現出來了,對系統���、文件、資源等運行進行破壞與篡改���;六是不可預見性,病毒防御軟件永遠都是計算機病毒出現之后才實施防御的�����,因此�����,沒有什么殺毒軟件可以百分百將網絡病毒清除�����。
2.3 計算機病毒的類型
基于傳播方式可以分為:一是系統操作型病毒�,此類病毒將其程序融入操作系統過程中或者取代某些操作系統來進行工作,具有較強的破壞力,甚至導致整個系統癱瘓���;二是原碼病毒,病毒在程序編譯之前已經被融入到源程序里面了,通常比較多的是在語言處理程序之中或者連接程序之中;三是外殼病毒,通常在主程序的頭部與尾部隱藏����,而這類病毒是平常見得最多的���;四是入侵病毒���,此類病毒利用自身來替代正常程序的一些主要功能模塊��,而這類病毒需要對特定的程序進行編制的�����。
3 供電企業計算機網絡病毒的防范方案
計算機病毒防范不能直觀的認為是一種產品、一種軟件�、一種制度或者說一種策略�,網絡病毒的防范是需要將軟件��、硬件����、網絡����、人為因素以及相互之間的關系等等綜合考慮進去的系統。網絡病毒防范體系的構建是一個社會性的工作����,需要所有人積極參與進來,充分利用現有的資源�����,逐步形成一套有效的企業計算機網絡病毒防范體系�����。
3.1 供電企業終端的病毒防范
任何一種病毒必然會對供電企業網絡系統資源造成不可估量的損失�����,會嚴重影響到供電企業網絡的穩定運行,甚至還會影響到社會的發展。因此���,對網絡病毒的防范是刻不容緩的問題。目前,計算機病毒除了在網絡上進行傳播�,還會從另一個途徑進行傳播�����,例如移動存儲設備,因此,在使用移動儲存設備之前一定要堅持進行掃描�����,降低病毒的出現幾率���,從而將病毒拒之門外�。
計算機系統默認U 盤插入以后是自動啟動的,所以����,U 盤里若是存在病毒必然也會自動運行�����。那么要先將U 盤的自動播放功能去除:在“開始- 運行”中輸入命令“gpedit.msc”�����,按確定后會出現一個“組策略”的窗口�,再依次來選擇“計算機配置���、管理模塊��、系統”��,雙擊“關閉自動播放”,在“設置”選項項目中選取“已啟用”這個選項�����,然后在“關閉自動播放”框中選擇“所有驅動器”。
根據相關案例來分析�����,將自動播放關掉其實并不徹底��,在雙擊或者右擊打開的過程中����,病毒也會利用這個漏洞進行傳播的���。目前的網絡病毒在激活形式方面通常是不會再涉及到DOS 環境的�����,因此可以通過系統自帶的命令提示符來將U 盤打開:在“開始-運行”中輸入“Cmd”,進入DOS 命令模式�����,然后依次輸入以下命令(這里舉例g是U盤的盤符)��,通過這樣的方式將U 盤打開����,
g:
attrib g:\autorun.inf -a -h -s
del g:\autorun.inf
start g:
exit
也可用批處理方式進行打開�����,將以上命令保存為文本文檔�,然后改成BAT 文件就可以直接使用了���。雖然這些方式看似繁瑣����,但是從細節上來防范病毒才是最佳途徑,不會為病毒提供任何傳播的機會���,不然釀成的后果是無法估計的,因此�����,通過這樣來將U 盤打開時���,需要將autorun.inf 這類文件進行刪除后再打開��,這樣才能最大限度的保障病毒不會運行���。最后,U 盤打開后要進行掃描,看是否存在病毒�,在檢查之前需要進行設置�,在“工具”—“文件夾選項”中“查看”這一項找到“隱藏受保護的操作系統文件(推薦)”�,將勾去掉,然后找到“顯示所有文件與文件夾”選項并進行選擇,最后找到“隱藏已知文件類型的擴展名”,并將勾去掉,這樣再來看U 盤中到底哪些是不明應用程序�,特別 是AutoRun.inf 這類文件是必須要及時清除的�����。發現病毒時要及時清除,才能最大限度的控制病毒傳染,防止不必要的損失。
3.2 系統層的防范
3.2.1 電子計算機操作系統本身安全防范
系統方面服務器所采用的是:Windows Server 2003Enterprise Edition����,終端所采用的是正版操作系統Windows XP Professional�。
目前��,Windows 操作系統依然是大家的首選����,因此���,此系統的安全問題越來越受到大家的重視��,微軟會定期相關的補丁來對漏洞進行修補�,在供電企業的網絡中用 (Microsoft Windows Server Update Services) 來架設微軟提供的軟件服務器,充分發揮定期自動執行的作用,促進操作升級。隨著時代的不斷進步,科學技術的迅猛發展���,各種病毒、黑客、木馬等工具接二連三����,密碼已經不再保密����。充分發揮Windows 中的域管理與域策略的作用���,制定域用戶方面的智能登錄卡�,可以有效地解決這個問題�����。供電企業可以廣泛采用CA 認證系統與Windows 系統的完美鏈接����,將CA 系統中的硬件密匙充分利用起來���,就會徹底解決這類問題��。
3.2.2 病毒隱患存在于操作系統中的安全配置
首先��,基于版本方面選擇進行分析。Windows XP 中具有各式各樣的語言版本���,可以自由選擇簡體中文本或者英文版等等,如果語言方面沒有阻礙�,建議采用英文版本�。再次�,基于組件定制方面來分析,Win2000 有一個特點是默認情況下會對一些常用組件實施自動安裝��,由于這個默認功能給病毒傳播提供了更多的機會��,因此是非常危險的����。要明確需要哪些方面的服務�����,而且必須是安裝過程中需要的服務����,嚴格依照安全原則�����,最大限度的控制權限,最大限度的降低服務���,這樣才能得到最大的安全。最后�,基于端口配置來分析���,端口是外部網絡與計算機鏈接的主要邏輯接口�����,這也是屬于計算機的第一道關口,對于端口的配置正確與否�,將會直接影響到計算機的安全���。
3.3 加強防火墻技術
防火墻是設置于局域網和互聯網之間的一組可以確保網絡安全的組件����,具體作用是監管和控制網絡之間的信息交流以確保信息系統的安全��,與此同時記錄與之有關聯的數據來源�、服務器通信量以及任何試圖入侵的企圖�����。
軟件防火墻��。通常來說軟件防火墻是需要像其他一般的軟件產品一樣要預先在計算機安裝好以后才能夠使用�����,并且要得到計算機操系統的支持�。總體來說它就相當于計算機網絡的關卡�,也就是我們所說的“個人防火墻”�����。
硬件防火墻。目前市面上大多數的硬件防火墻都是基于專用的硬件平臺�,用易懂的詞匯來講就是它們都是基于PC 架構�,且和我們所使用的普通的PC 機沒有太多區別���。但是��,值得我們注意的是���,雖然在這些PC 架構計算機上運行的是經過裁剪和簡化的操作系統����,但是仍然使用的是一些常用的舊版本系統���,其中包括Linux Unix 和 FreeBSD 系統��,且一直采用的是其他內核�,所以還是會受到來自操作系統本身的安全性影響����。
芯片級防火墻。芯片級防火墻是沒有操作系統并具有專門的ASIC 芯片����,它可以讓防火墻的速度���、處理能力和性能都得到一定程度的提高,且芯片防火墻本身的漏洞也較少。
第8篇
[關鍵詞]公共圖書館安全管理安全危機新策略
1公共圖書館安全管理的現狀
為貫徹落實新時代文化建設的戰略部署,我國頒布實施了《中華人民共和國公共文化服務保障法》《中華人民共和國公共圖書館法》《“十三五”時期全國公共圖書館事業發展規劃》等一系列的政策法規條例���,為公共圖書館事業發展提供了堅實的法律政策保障,助推公共圖書館事業駛入全面發展的快車道。根據《中華人民共和國文化和旅游部2018年文化和旅游發展統計公報》的數據顯示:至2018年末���,我國公共圖書館共有3176個,比上年末增加10個��;圖書總藏量10.37億冊�,增長7.0%;全年全國公共圖書館流通總人次8.20億�,增長10.2%����;全年共為讀者舉辦各種活動179043次�����,增長15.1%���;參加人次10648萬���,增長20.2%[3]����。隨著大數據時代的到來���,以及“互聯網+”的普及����,公共圖書館全面進入數字化��、網絡化�、信息化時代,相對傳統的圖書館而言�,新時代公共圖書館正處在安全危機復雜多變的環境中�,安全管理工作面臨著新的挑戰�。2015年1月俄羅斯社會信息研究所圖書館發生火災,約有200萬冊文獻資料遭到損毀��;2017年8月美國新墨西哥州圖書館發生槍擊案件��,造成兩人死亡���,4人受傷�;2018年1月�����,河南新鄉市封丘縣圖書館網站遭到黑客攻擊��,網頁被篡改。公共圖書館安全形勢日益嚴峻,迫切需要我們通過相應的策略加以制約和引導����。
2影響公共圖書館安全的因素
結合當前公共圖書館安全工作實際����,筆者將影響公共圖書館安全的事件概括為自然災害��、網絡安全����、消防安全���、衛生安全和治安事件五大類��。
2.1自然災害
公共圖書館所面臨的自然災害主要包括地震、火山爆發���、泥石流、海嘯�、臺風��、洪水等突發性災害,如何防范和減少因自然災害給圖書館造成的損失和影響���,是當前公共圖書館安全危機管理中的基礎性研究[4]。自然災害是造成公共圖書館安全危機的一個重要因素����,因為自然災害是不可控的��。諸如,九八洪水��、汶川地震��、山竹臺風等對沿地震帶���、沿江���、沿海城市的公共圖書館造成了不可估量的影響��。自然災害造成的危害和損失,可以通過運用事前監測與預警��、事中處置與救護��、事后恢復與重建等危機管理手段來應對����,但因管理者重視程度不夠或管理不當就會導致影響擴大�����,從而造成更大的損失。換言之,自然災害對公共圖書館安全造成的影響除了自身施加的因素外,也有人為管理不當的因素。
2.2網絡安全
圖書館網絡安全是指網絡系統的硬件、軟件及其數據受偶然因素或惡意原因破壞��、更改��、泄密所引發的風險����,主要包括讀者信息、系統數據、數字資源�����、特色館藏數據庫等方面的安全[5]��。結合工作實際���,筆者認為公共圖書館網絡安全風險可概括為系統環境(基礎層)風險�、非法侵入(應用層)風險和管理(管理層)風險���。系統環境風險是指信息系統在運行中硬件系統(服務器���、存儲設備��、交換機��、路由器等),以及軟件系統(系統軟件���、支撐軟件、應用軟件)的故障率,這類故障發生必然會影響信息系統的正常運行。非法侵入風險是指非法人員有意對應用層系統各組件(外部終端:身份認證系統、微信端平臺�、讀者自助服務設備�、移動終端����、讀者上網設備等)���、系統信息(內部終端:網站CMS��、身份認證�、數據分析�、業務管理、服務管理、信息安全等)等進行更改、移動���、銷毀等,直接危害系統的完整性、可用性和可控性���,而圖書館軟件系統一般是基于Windows、Unix、Linux等操作系統平臺構建的�����,非法人員可以利用系統漏洞侵入操作系統進行篡改網頁����、盜取用戶數據、竊取各類信息����。管理風險是指監管���、管理�����、運維人員操作不當或管理不善,造成口令�、密鑰的丟失或泄露而造成的風險����。3個風險層面是影響公共圖書館網絡安全的基本組成因素��,也是破解網絡安全危機的著力點和側重點。
2.3消防安全
圖書館的安全保衛體系中�,防火工作是重中之重����,是一項需要常抓不懈的日常工作內容[6]�。因此,深入分析公共圖書館可能導致火災發生的因素�,從源頭上消除火災隱患�����,是對公共圖書館安全危機管理策略的肯定與支持����。結合公共圖書館的自身特點�,筆者將日常管理中最常見的影響消防安全的危機因素劃分為直接因素和間接因素。直接因素:隨意亂拉亂接電線�����、使用不合格的電氣設備�、工程操作不規范、線路老化或故障造成線路短路����、小動物啃食或爬行造成的線路短路���、電氣設備安裝不合理導致的電器超負荷工作����、隨意丟棄可燃或易燃(煙頭���、白磷等)物品等可以直接導致火災的發生��;間接因素:消防設施(警鈴、應急照明燈��、消火栓����、滅火器等)故障、防火間距不夠��、逃生通道堵塞�����、消防意識淡薄����、日常管理疏忽�、消防責任未落實等可以間接導致火災損失的加大。
2.4衛生安全
近幾年���,隨著國家對文化事業的重視,越來越多的新圖書館落成開放��,這也給圖書館的衛生安全管理帶來了一定影響����。新圖書館的開放,甲醛危害就是第一道制約圖書館衛生安全的坎。致病細菌是危害圖書館公共衛生安全的主要因素之一�����。楊波曾對圖書館的環境衛生情況做過調查研究�,研究發現書刊衛生合格率僅為65%,其中26.67%的書刊存在致病細菌;公用品表面的合格率僅為60%,其中15.83%存在致病細菌��,而鍵盤�、鼠標的致病細菌高達36.37%[7]。而滋生細菌的原因主要有不良的閱讀習慣(讀者習慣把食物帶到圖書館邊看書邊吃喝���、隨地吐痰等)���、不達標的衛生環境�����、密閉的館舍環境��、流通或長期存放的書刊等。此外,影響圖書館公共衛生安全的因素還有大型傳染病、電子設施設備的污染、空氣污染等。
2.5治安問題
圖書館治安問題��,指的是發生在館內的盜竊�、詐騙、斗毆、損毀公共財物等違反《中華人民共和國治安管理處罰法》的違法行為[8]��。公共圖書館常見的治安問題主要有讀者之間�、讀者與工作人員之間發生的言語和肢體沖突;讀者財務遺失、被盜��、被騙����;館藏資源(書刊資料���、音像制品���、電子數據等)�、設施(桌椅��、沙發���、充電口等)���、設備(電腦�、借還書機���、消毒機等)損毀或被盜等�。治安問題的出現與當地的治安環境和圖書館的安保工作息息相關�����。就圖書館而言�����,治安問題多數是由于讀者之間缺乏諒解、對財務的疏忽大意��、工作人員處置不當�����、安全宣傳不到位�、監控錄像存在死角�、缺乏與當地公安部門聯動等原因造成的。
3公共圖書館安全管理的策略
公共圖書館安全危機往往是伴隨著幾種不同類型的危機同時出現��,例如洪水對公共圖書館的影響����,不僅會直接或間接(引發火災)造成圖書館人員傷亡、財產損失,以及環境污染等�。管理者不能片面孤立地去看待圖書館的安全危機問題�,更應該從全面發展的角度去思考�����,這也是公共圖書館安全危機管理的目的所在�。因此�,危機管理新策略既要在人防、技防��、物防等“硬件”上下功夫����,也要在完善制度����、加強管理、人員培訓等“軟件”上謀出路��。
3.1完善管理制度�����,健全管理體系
(1)建立安全責任制度�。建立“一崗雙責”責任制度��,“誰主管����、誰負責”�����,把安全工作落實到個人��。從單位到部門��、從部門到樓層、從樓層到個人�,均應承擔一定的安全管理責任����,層層簽訂安全責任書�,確保責任落實到人,制度覆蓋到人�。(2)建立健全突發事件應急處置機制��。建立重大事項(決策)社會穩定風險評估機制�����、不穩定因素滾動排查機制��,健全涉及網絡安全、消防安全�����、衛生安全���、治安事件的突發事件應急處置機制����。成立突發事件應急處置領導小組,加強對特殊敏感期��、法定節假日����、閉館時期的綜合治理、維穩�、安保�����、防火、生產等工作領導�����。(3)完善安全管理制度����。完善公共圖書館設備設施定期檢查與維護保養制度��,如消防設施維護保養制度����、視頻監控維護保養制度�����、計算機網絡維護保養制度�����、自助借還書機維護保養制度等;完善值班巡檢制度,如公共圖書館重點部位日常巡檢制度�、消防控制室24小時值班制度�、監控室24小時值班制度���,以及日常巡檢臺賬制度��;完善圖書館內部閱覽區��、電梯、書架等重點部位,以及借還書機�、讀報機�����、檢索機等讀者常用設備的衛生清潔和消毒制度。通過建立和完善圖書館的管理制度��,全方位提高公共圖書館安全管理水平。
3.2落實責任分工,消除安全隱患
制度的考驗在于管理��,管理的成效在于實踐�,只有認真落實公共圖書館安全檢查工作,從源頭上消除安全隱患,才能真正防患于未然����。一要落實責任分工。按照“誰主管誰負責”“管生產必須管安全”和“屬地監管”原則�,明確公共圖書館主要領導為安全生產隱患排查治理第一責任人����,分管領導為安全生產隱患排查治理直接責任人���。二要突出檢點���。加強對圖書館閱覽區�����、館藏區���、辦公區等重點場所����,機房�、供電房、空調房等突出部位���,以及消防器材、逃生通道�����、救援設施等特殊設施的安全檢查�����,切實做到不走過場、嚴密排查�����、全面覆蓋���、不留死角�����。三要制作安全臺賬�。日常的安全檢查中必須要制作好檢查臺賬���,以備查閱�����。例如“防火巡查記錄本”“監控室巡檢記錄本”“機房巡檢登記表”“網絡系統巡檢登記表”“公共衛生巡檢登記表”等臺賬記錄��。四要落實整改措施。對檢查發現的安全隱患����,要一項一項落實整改����。五要保證經費投入�����。安全經費的穩定投入����,直接影響圖書館安全設施����、設備的更新升級,為提升公共圖書館安全管理水平夯實根基��。
3.3搭建三防屏障��,筑牢安全基礎
從傳統的以“人防”為主���,到以“人防”為基礎�、“技防”為手段���、“物防”為輔助的現代化科學管理模式��,為公共圖書館安全環境奠定了堅實基礎�。首先����,以“人防”為基礎,按要求建立治安聯防隊�、志愿消防隊和突發事件應急處置小組��,協同處置治安、暴恐、消防等突發事件�,共同維護館舍��、館藏資源、設備設施等財產安全,以及維護館員和讀者人身財產安全�����。其次�,以“技防”為手段,網絡安全建設上要根據《信息系統安全等級保護定級指南》(GB/T22240-2008)[9]相關標準,完善公共圖書館信息系統安全等級保護定級����,加強對網絡設備、機房設備�����、讀者自助設備���,及服務器���、存儲器�����、桌面應用軟件和認證系統�、業務系統���、安全系統等設施設備和軟件系統的的維護保養�����,并加強對防火墻技術���、入侵檢測技術�、殺毒軟件防護技術的更新升級���,全方位確保公共圖書館信息和數據的安全�;消防安全上要強化自動報警、自動滅火等系統建設��;治安防衛上要加強電子報警技術和視頻監控技術��,為共同維護公共圖書館安全危機管理提供技術支持和管理延伸�����。以“物防”為輔助�,完善出入圖書館安全檢測機、監控攝像��、防爆器材等設備配置���,完善防火卷簾門、常閉防火門�����、自動噴淋裝置等設施建設��,完善消火栓����、滅火器����、應急照明燈等消防器材配置,為公共圖書館消除安全隱患和處置突發事件提供物質保障�。通過“三防”手段�����,從源頭上消除各類安全隱患,共同營造公共圖書館和諧安定的閱覽環境�。
3.4加強安全教育���,提升應急能力
安全知識的普及是災害事件發生時人員進行自救和互救的基礎�,強化公共圖書館安全工作的宣傳����、教育和培訓對營造安全環境具有重要意義�����。公共圖書館可以通過官方網站��、官方微博、微信公眾號等平臺推送“入館安全小常識”����,在館內播放宣傳教育片�、發放安全知識與應急手冊��、懸掛警示橫幅或海報等宣傳安全知識���;通過每月的讀者圖書推薦活動�,向讀者推薦相關書籍���,并在館內電視屏上滾動播出�;還可以邀請當地消防部門、公安部門���、計算機專家等對圖書館員工進行安全生產教育和培訓,定期組織工作人員進行應對消防、爆恐事件�����、自然災害等突發事件的演練�����。有條件的單位還可以不定期邀請有經驗的老師到館為館員和讀者講解突發事件應急和急救知識�,全面提高公共圖書館工作人員的安全生產及防災減災能力�。
第9篇
關鍵詞:網絡會計 風險 安全 措施
近些年來,隨著經濟全球化的發展和網絡的普及�,越來越多的傳統方式被電子化取代,人們習慣于電子訂單電子支付等方式,即使會計電算化也存在著不足,會計在網絡環境下發生了變化���,網絡會計有效的彌補了這些不足。由于網絡會計的研究尚處于初探階段,對“網絡財務”�����、“網絡會計”并無十分明確的定義�。
一、網絡會計
最初是由用友公司提出,廣義來看�����,網絡會計要以會計信息使用者為導向�,以信息技術為基礎,對會計信息處理流程進行根本性的再思考��,并以集成化的方式,面向對象并行地進行重新設計,使其能為會計信息使用者提供準確、完整、可靠�����、合理的會計信息�,以使會計能較好地滿足信息使用者的需要。
二、網絡會計的安全風險
新的方式��,存在著新的風險��,即使是國家安全級別的�����,最近也被斯諾登爆出來美國多年來有超過六萬一千項入侵全球各地電腦的行動。其中���,包括香港和中國大陸的電腦系統。這些����,都是大都通過網絡,因此網絡安全刻不容緩。
(一)病毒風險
在電腦使用過程中,病毒是個不能忽視的問題�,有時候小的操作可能造成嚴重的后果�,輕微的只會影響個別用戶的計算機無法正常使用���,但嚴重的會影響服務器的正常運行����,甚至導致會計信息系統崩潰和整個局域網的癱瘓,其危害后果的嚴重性不容忽視�。從計算機病毒的傳播方式分析���,大致可以分為互聯網傳播�����,局域網傳播和移動存儲介質比如移動硬盤傳播等三種。
(二)黑客惡意攻擊風險
現在這種案例越來越多�����,作為企業����,會計信息很多是最核心的財務數據,不管是最為競爭者還是被競爭者,為了立于不敗之地���,一定不能隨意讓人“參觀”我們的信息,毫無秘密可言。
(三)硬件風險
作為機器���,就存在失靈的風險,經常使用電腦的我們��,有時候也有可能會碰上數據丟失這樣的事件���,即使可修復����,損失必定不小����。一旦服務器宕機或出現其他故障,編制憑證��、出具報表等工作都無法進行�����,嚴重影響到財務部門的工作��,甚至可能因此影響企業正常的收支業務,直接帶來經濟上的損失���。
(四)電腦業務操作的風險
電腦操作時對會計人員新的要求,因為應用越廣泛��,也是越來越高的要求�。數據錄入主要還是由會計人員手工操作,故存在著篡改輸入的風險���。甚至有些人不注意密碼的安全�,一旦被別有用心的人發現��,就會為他人惡意篡改數據提供了可能�,可謂方便了別人�����,難過了自己�����。
三、網絡會計信息系統風險防治的措施
(一)網絡安全風險的控制
網絡運行的可靠性和保密性構成了計算機網絡的基本研究內容����。網絡會計作為一個會計信息系統,必須具有一個安全�����、可靠的網絡���。做好預防病毒的安全措施�,堅持使用正版的軟件;不要使用來歷不明的軟件;定時備份磁盤的數據和軟件�����,做好數據保護和加密����;不要打開和閱讀來歷不明的電子郵件;經常對電腦硬盤進行病毒檢測�����;做好對黑客的防護措施�����,設置防火墻�;加強對重要資料的保密�����;加強對重要網絡設備的管理�。把計算機用戶對信息的讀寫或修改控制在一定級別范圍之內�,其基本途徑是身份認證����、權限和記錄日志。在網絡中通常設置三級權限�,其他用戶的權限由系統管理員授予��。
(二)硬件和軟件風險的控制
首先,電腦網絡系統硬件選配應合適��,防止網絡功能發揮受阻�,提高網絡工作環境、電源等質量可以提高網絡的可靠性��;其次還要加強網絡操作系統和會計軟件的安裝��、維護完善質量�;為了提高系統數據的安全性和在意外情況下的“自救能力”�����,應建立雙備份�����,備份后的兩份數據應有不同的人員持有,另一份是非加密的,有具體操作人員使用�����。對一些重要的數據,可采用分布存儲。最后要健全網絡管理制度�,建立嚴格的數據存儲措施�����。在應用平臺開發的技術選擇上也要考慮數據安全性問題, 可在獨立核算的數據采集部門應用界面靈活、功能強大、適合大量單據錄入處理的結構。另外需要定時進行硬件和軟件的測試。
(三)內部控制風險的控制
內部控制制度主要包括組織控制制度,主要是通過內部分工,實現互相牽制:(1)提高會計人員的計算機應用水平和職業道德修養����。(2)數據訪問權限控制和重要數據備份制度。 (3)加強計算機輸入輸出控制計算機環境下的會計工作(4) 設立一種相互稽核���、相互監督和相互制約的機制,健全管理制度���,嚴格執行檔案保管制度,責任到人����。(5)加強內部的安全審計����。通過安全測試可以全面評估網絡會計系統的安全狀況��,預測會計信息失真的風險�����,并有針對性地指導企業完善相應的安全措施,建立應急處理機制����。
總之��,隨著信息高速公路的建成,網絡會計將會得到更廣泛的重視和應用�,網絡會計是會計學中的最具潛力的新方向�����,我們必須在管理和控制等多個方面與層次上,制定和實施相應的配合與協調機制����,為網絡會計建立一個安全穩定的運行環境����,使網絡會計風險減小到最低���,從而最大限度的發揮它的優勢�。
參考文獻:
[1] 肖海. 淺析網絡會計存在的問題與對策.對外經貿�, 2010.(04)
[2] 陳明坤.試論網絡會計[J].福建行政學院福建經濟管理干部學院學報, 2003( 02) .
第10篇
【 關鍵詞 】 信息安全�����;等級保護���;風險評估�����;層次分析法
Level Protection Risk Assessment Model for Research
Zhao Yun
(The Third Research Institute of Ministry of Public Security Shanghai 200031)
【 Abstract 】 This article in view of the information system risk assessment are susceptible to the influence of subjective factors��, some problems such as vagueness and uncertainty, a new risk assessment model is put forward. By establishing hierarchical evaluation system based on the level of protection���, and using the evaluation method based on analytic hierarchy process (AHP) that exist in the process evaluation fuzzy value, finally quantitative evaluation results. The empirical results show that the model can reduce the fuzziness and uncertainty in risk assessment can better solve practical difficulties and problems of information system risk assessment .
【 Keywords 】 information security�����;grade protection�;risk evaluation;analytic hierarchy process
1 引言
隨著計算機網絡的廣泛使用和網絡中承載的信息量的加速增長���,系統安全重要性正在世界范圍內不斷地擴大。近些年來,我國改革開放和信息化建設步伐不斷加快���,各行業都建立了自己的信息系統以支持相關業務的開展���,這些系統的運行狀況在各個層面不同程度地影響著企業或行業乃至整個社會的發展。因此,對于信息系統的等級保護工作也變得越發重要�。信息安全等級保護是指對國家安全��、法人和其它組織及公民的專有信息以及公開信息和存儲、傳輸����、處理這些信息的信息系統分等級實行安全保護�����,對信息系統中使用信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應����、處置等�,在系統的建設過程中�,我們總是關心系統所面臨的安全風險,基于上述原因��,如何評價一個信息系統項目就成了非常重要的課題��。目前的評價方法����,國內不是很成熟�。本文通過對信息系統評估方法的理論研究,對已有的評價方法進行了改進,最終得到一個優化的指標體系��。
2 發展歷程
由于計算機信息網絡安全的脆弱性和現實網絡環境的復雜性���,時刻給信息系統的正常運行帶來威脅�,為此國家公安部、保密局、國家密碼管理局����、國務院信息化領導小組于2007年聯合頒布了861號文件《關于開展全國重要信息系統安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》����。根據文件精神和等級劃分的原則�����,重要信息系統構筑需要達到三級或以上防護要求,以等級保護三級系統為例,其防護要求分類如圖1所示。
從圖1可以看出���,目前等級保護風險評估主要分為技術要求和管理要求兩大部分,技術要求從物理安全、網絡安全�����、主機安全���、應用安全和數據安全五個方面來評價��;管理要求從安全管理機構����、安全管理制度��、人員安全管理�、系統建設管理和系統運維管理五個角度進行分析��。通過對目前多個測評機構測評方法的分析研究�����,發現傳統的風險評估方法比較簡單,各項指標和分項指標的實際情況僅由符合、部分符合和不符合三種評價結果構成。這種評價方法無法區分各個測評項對整個信息系統影響的重要程度,另外,對整個信息系統的風險評估也僅僅由簡單的統計不符合率來體現�,無法客觀有效地反應系統的真實情況���。
3 信息系統風險評估
信息安全風險評估規范中明確了信息系統風險評估的基本工作形式是自評估與檢查評估。信息系統風險評估是信息系統安全工程的重要組成部分�,是建立信息系統安全體系的基礎和前提�����。根據國家有關管理規定���,基礎性��、重要的信息系統采用等級保護標準進行建設和測評。信息系統使用單位應該結合自身單位信息系統的具體情況��,依照國家標準�����,開展風險評估工作����。目前�,信息系統的復雜性和多樣性給風險評估帶來了很大困難,評估工作多是由測評單位的測評人員根據定性的評價指標進行評估���,在結果的判定上很難量化。因此���,最終的評估結果易受主觀因素的影響,每個人對結果的評價可能不完全一樣��;具有模糊性和不確定性���。
信息系統風險評估以信息系統的各個方面為對象��,建立在對信息系統進行評價的基礎上�,目前國內外在風險分析領域常用的三種方法:參數統計方法����、非參數統計方法和神經網絡方法��。應用于信息系統風險評估模型中的常用統計模型包括基于判別分析的信用評價模型�、Bayes風險分析的信用評價模型��、Logistic回歸模型的信用評價模型����、模糊聚類方法的信用評價模型和神經網絡(如徑向基函數網絡��、概率神經網絡���、自組織神經網絡等)的信用評價模型[2]���,Fu等運用層次分析法(AHP)和模糊綜合評價法(FCE)�����,建立風險評估的量化模式[3];Huang等以灰色評估模型為基礎,在權重的選擇過程中引入模糊層次分析法,弱化了評價的主觀性[4]���;Gao等人應用灰色關聯決策算法,給出了評估值缺失的先驗估計,能夠有效地處理參數評估值的不確定性問題[5]����。
信息系統評價指標體系的構建對信息系統安全指數進行客觀合理的測度�����,其基礎是建立一個客觀科學的指標體系。本文通過對信息系統等級保護測評過程客觀科學的分析以及查閱文獻���,構建出信息系統安全指數體系�����,如表1所示�。
等級保護風險評估模型建立在等級保護體系的基礎上����,運用綜合評價法,建立評價模型���,建立如下的評價參數:
假設風險評估目標指數為U����,U的取值和U1技術要求和U2管理要求相關:
U={U1 ��,U2}={技術要求��,管理要求}
進一步分析后,得到以下關系:
U1={U11,U12�,U13�����,U14,U15}={物理安全�、網絡安全����、主機安全��、應用安全����、數據安全}
U2={U21���,U22����,U23���,U24���,U25}={安全管理機構����、安全管理制度、人員安全管理�����、系統建設管理����、系統運維管理}
將U11至U22進一步拆解后,得到以下關系:
U11={U111,U112���,U113,U114���,U115,U116��,U117�����,U118��,U119�����,U1110}={物理位置的選擇�、物理訪問控制���、防盜竊和防破壞����、防雷擊、防火��、防水和防潮����、防靜電�����、溫濕度控制、電力供應���、電磁防護}
U12={U121,U122�����,U123�,U124,U125���,U126,U127}={結構安全��、訪問控制�����、安全審計、邊界完整性檢查�����、入侵防范���、惡意代碼防范�����、網絡設備防護}
U13={ U131�,U132��,U133�����,U134,U135��,U136 }={身份鑒別��、訪問控制��、安全審計、入侵防范��、惡意代碼防范�、資源控制}
……
由于三級指標的數目過多,在本文中就不一一列舉了,可以參照相關材料完成上述關系式����。
4 等級保護風險評估模型
層次分析法(The Analytic Hierarchy Process)簡稱AHP���,20世紀70年代中期由美國運籌學家托馬斯·塞蒂(T.L.Saaty)正式提出。它是一種定性和定量相結合的��、系統化�����、層次化的分析方法�����。層次分析法將決策問題按總目標、各層子目標、評價準則直至具體的備選方案的順序分解為不同的層次結構����,然后用求解判斷矩陣特征向量的辦法��,求得每一層次的各元素對上一層次某元素的優先權重,最后再用加權和的方法遞階歸并各備選方案對總目標的最終權重,此最終權重最大者即為最優方案�。層次分析法比較適合于具有分層交錯評價指標的目標系統且目標值又難于定量描述的決策問題�。其用法是構造判斷矩陣�,求出最大特征值及其所對應的特征向量w,歸一化后��,即為某一層次指標對于上一層次相關指標的相對重要性權值。
運用層次分析法建模,按四個步驟進行����。
1)建立遞階層次結構模型��。應用AHP分析決策問題時,首先要把問題條理化、層次化�,構造出一個有層次的結構模型�。在這個模型下����,復雜問題被分解為元素的組成部分。這些元素又按其屬性及關系形成若干層次。上一層次的元素作為準則對下一層次有關元素起支配作用�����。
2)構造出各層次中的所有判斷矩陣�����。層次結構反映了因素之間的關系,但準則層中的各準則在目標衡量中所占的比重并不一定相同,在決策者的心目中���,它們各占有一定的比例。在確定影響某些因素的諸因子在該因素中所占的比重時,遇到的主要困難是這些比重常常不易定量化。此外�����,當影響某些因素的因子較多時���,直接考慮各因子對該因素有多大程度的影響時�����,常常會因考慮不周全��、顧此失彼而使決策者提出與其實際重要性程度不相一致的數據,甚至有可能提出一組隱含矛盾的數據����。層次分析法通過各指標相對于上級指標重要性的兩兩比較�����,構造判斷矩陣,可以有效避免上述問題�����。
3)指標體系建立及權重計算
在對信息系統建設及使用效果進行評估時�,底層相對于上一層指標可能有很多個����。此時運用層次分析法對底層指標構建的判斷矩陣會比較復雜,很難滿足一致性����。所以�,本文對一般的信息系統構建了一個三層的指標體系�����。其中一級指標2個�,二級指標10個�����,三級指標74個��。在進行權重計算時,考慮到三級指標數量過多����,如果逐一的討論其權重指標會顯得比較繁瑣�,并且其相互之間重要關系不易比較�����,故只計算一����、二級指標在整個指標體系中的權重,三級指標權重取他們對二級指標的平均值��。也正是因為三級指標數量繁多��,并且其重要性可通過二級指標的權重所體現,所以并不會對評估結果有較大的影響�。
對信息系統權重評分����,主要通過三類人員評分�,包括信息系統使用人員、測評人員及專家���,接下來分析權重確定方法及過程,本文采用發放調查表的方式�����,通過三種人員對信息系統的指標權重進行分項打分����,然后進行分類匯總計算權重,具體的辦法如下:
信息系統使用人員評分步驟如下:首先制作調查表。信息系統使用人員評分主要通過發放調查表的方式。調查表的內容應該包括指標體系中所有的三級指標。接下來填報調查表��。為了保證信息收集的全面客觀性����,應由系統的多類用戶填寫,例如業務人員、系統管理人員、部門領導等�。并且每一類人員也應當由多人填寫多份���,這樣才可保證搜集的信息全面而真實���。然后確定三級指標權重得分��。通過調查表的填寫及調查表中每個選項對應的分值,可以得到信息系統使用人員���、測評人員及專家對信息系統每個三級指標的權重得分。最后計算二級指標得分����。對每個二級指標下的三級指標得分求平均分,即得到日常使用人員對信息系統每個二級指標的得分。
信息系統測評人員打分方式:測評人員可以從許多技術角度考慮整個信息系統建設及使用效果。測評人員雖然并不一定能很熟練地操作整個信息系統�,并且對業務工作也不一定完全了解���,但其可以從許多技術角度考慮整個信息系統建設及使用效果����。所以測評人員只需對信息系統的三級指標進行直接評分���。測評人員主要通過查閱原始文檔��、座談�����、實地調研并結合自身的操作使用,對信息系統的三級指標直接打分����。為了使評估結果更具有代表性�����,本文建議由多名測評人員參與評分,最后取多名測評人員的平均分為各三級指標的最終得分���。
專家評分方式:專家往往不會過多地考慮信息系統具體的細節問題,而能夠宏觀考慮整個信息系統的建設及使用情況。所以專家只需對信息系統的二級指標進行直接評分���,一方面避免了其對許多細節問題的填報困難,另一方面也可以包含指標體系中無法體現的主觀因素對信息系統的影響��。專家主要通過查閱原始文檔�、座談,并結合自身的使用情況�,對信息系統的二級指標直接打分����。為了使評估結果更具有代表性����,本文建議由多名專家參與評分,最后取多名專家的平均分為各二級指標的得分����。
在得到信息系統使用人員��、測評人員及專家對信息系統各指標的權重打分之后,需要對該三類人員的評分結果進行匯總�����。
首先�,計算最終的三級指標得分。由于不同的信息系統����,系統使用人員�、測評人員及專家三類評分人員的評分結果重要性不同����,所以需要對其賦予一定權重。由于系統使用人員是系統的真實使用者��,具有最直接���、最真實的使用體驗�����,其評價結果也最為可靠,因此����,本文推薦系統使用人員評分權重為0.5�����;測評人員對系統的使用頻率一般沒有用戶的使用頻率高,且只關心部分功能��,但由于測評人員更具有全局觀����,往往能得到比較廣泛的、多方面的該系統的建設效果的信息,因此����,本文推薦測評人員評分權重為0.15����;專家是信息技術領域的專業人員���,一般為外請���,雖然不是直接使用者����,但具有豐富的專業知識,因此�,本文推薦專家評分權重為0.15�。
接下來��,計算各指標最終權重得分=該系統使用人員評分×0.5+測評人員評分×0.35+專家評分×0.15�����。
然后��,計算權重得分:該級指標下各下一級指標得分相加求和���,再對結果進行歸一化���。
最后��,計算系統的風險評估得分:該系統各級指標得分分別與該指標的權重相乘���,再將結果相加����,即得到該系統的風險評估得分�����。
為了簡化評分結果����,將三級權重的評價結果值省略���,僅列出一�����、二級權重的得分結果如表2所示��。
4)權重調整
建立了風險指標權重表后�,我們通過實際的系統為例,驗證以上權重的準確性����。我們選取8個系統的風險等級測評結果�,使用上述的指標權重對風險評估結果進行驗證�����,將8個系統按照上述測評方法分項計算其得分����,得到8個系統的風險評估得分���,如表3所示�����。
我們將以上結果與我們使用傳統方法對系統的測評結果做出比照�����,發現其中序號8系統的風險評估得分比實際情況有偏差,由此分析原因����。對以上的權重分配進行調整�,調整后的結果如表4所示�。
按照調整后的權重結果從新計算序號8系統的風險評估得分,發現與實際情況較為吻合����,因此確定該指標權重分配結果較之前的結果更加準確���。在具體的測評過程中,需要根據系統的具體情況調整以上的權重�,根據具體的業務需要���,對上述權重進行多輪的討論研究��,最終確定各權重取值。系統的測評結果會更加客觀�����,更能真實的反應出系統的實際情況����。
5)評估過程
按照以上的方法����,我們總結等級保護系統評估過程如圖2所示�����。
5 結束語
本文主要提供了一套完整的信息系統建設及使用效果評估方法��。通過運用層次分析法構建指標體系及計算權重,結合日常使用人員�����、領導及專家三類人員評分�����,可以很好地對單個或者多個信息系統的建設及使用效果進行評分�����。目前通過對3家企業的信息系統評估�,證明采用該指標體系和評分辦法,收到了良好的效果。不僅如此���,本指標體系和評估方法也為今后信息系統評估類軟件的開發提供了良好的理論基礎。
參考文獻
[1] 公安部.信息安全等級保護管理辦法(試行).2006.
[2] 龐素琳.信用評價與股市預測模型研究及應用:統計學、神經網絡與支持向量機方法[M].北京:科學出版社����,2O05.
[3] FU S��,ZHOU H J.The information security risk assessment based on AHP and fuzzy comprehensive evaluation [c]//International Conference On Risk Management& Engineering Management.Beijing.IEEE,2008:404—409.
[4] 黃劍雄�,丁建立.基于模糊分析的信息系統風險灰色評估模型[J].計算機工程與設計��,2012,33(4):1285—1289.
[5] 高陽�����,羅軍舟.基于灰色關聯決策算法的信息安全風險評估方法[J].東南大學學報(自然科學版)���,2009�����,39(2):225—229.
[6] 劉向升���,王剛.信息系統的風險評估方法研究[J].網絡安全與技術���,2006(11).
[7] KANG Hai—gui����,ZHAI Geng-jun���,LIU Xiang-bin.Structure fuzzy optimum design of offshore jacket platforms[C]//ISPOE一2001.Stavaiger���,Nonway:[s.n.].2001:114—118.
[8] 朱繼鋒�,趙英杰�����,楊賀���,張升波.等級保護思想的演化[J].學術研究�,2O11���,7O-73.
基金項目:
由適用于重要信息系統的產品安全性檢驗平臺項目(編號:C13383)支持���。
作者簡介;
第11篇
1計算機信息安全管理理論
1.1計算機信息
信息是關于客觀事實的可通訊的知識,信息是客觀世界各種事物表征的反映?��!靶畔ⅰ庇直环Q為消息、資訊,通常以文字或聲音���、圖像的形式來表現,是數據按有意義的關聯排列的結果。目前����,根據對信息的研究成果�����,我們可以將信息的概念科學的概括如下:信息是對客觀世界中各種事物的運動狀態和變化的反映,是客觀事物之間相互關聯和相互作用的表征,表現的是客觀事物運動狀態和變化的實質內容。
1.2計算機信息安全
信息安全是指信息系統(包括硬件����、軟件、數據、人��、物理環境極其基礎設施)受到保護���,不受偶然的或者惡意的原因而遭到破壞����、更改、泄露����,系統連續可靠正常的運行�,信息服務不中斷�����,最終實現業務連續性����。主要包括信息系統或信息網絡中的信息資源免受各種類型的威脅����、干擾和破壞,確保信息的完整性�����、可用性����、保密性和可靠性,即確保信息的安全性��。
2高校計算機信息安全管理理論
2.1計算機信息安全管理體系不健全
從目前高校的安全管理模式可以看出��,仍在沿用傳統的“以經驗管理為主,以科學管理為輔”的較固定的管理模式�。完全依靠開會強調安全管理的重要性��,靠文件學習風險防范方法,靠人員的巡視檢查來督促各部門的對信息的安全防范��。這樣簡單的�、被動的、機械的管理模式�,不能夠適應現在這個多變的社會環境��。沒有一個全員的安全緊迫性、全方位的安全管理程序��,不主動查缺補漏����,輕視安全隱患,往往會鑄就大的安全管理問題���。
2.2計算機信息安全管理手段較單一
高校往往重視教學和科研業務上的績效考核、獎勵激勵�����,而忽略了在信息安全管理方面表現卓越的激勵��、保障制度�。有關信息安全管理的規章制度也不成為專門的考核標準,一些信息安全管理方面的資金投入也較科研開發�����、教學業務拓展等較少��。只是在出了事故后層層問責��,而懈怠了平時的敦促、提醒����、培訓。沒能根據實際工作環境和社會變化趨勢來應對信息安全問題�,管理手段和方法單一落后���。
2.3計算機信息安全監督機制不完善
監管部門的安全監督責任有待調整和規范����。高校尚未出臺可資借鑒的安全監督執行力度標準�,這樣,就會影響組織機構在進行監督信息安全管理時的執行力度����。有法可依���、執法必嚴應是相關部門應該秉承的監督圭臬��,可是現實情況是制度缺失、人浮于事,監督機構設置如同虛設。
2.4計算機信息安全人才缺乏
高?����,F階段的信息安全人員多為其他崗位的兼職人員�����,而且非信息安全專業人才��,通常是進入崗位后,根據職能需要���,逐步學習,經過培訓而掌握了信息安全技術知識的人員���。
3完善高校計算機信息安全管理的對此
3.1建立信息安全預防體系
改進高校的信息安全管理體系需要從全局出發����,從基礎做起,然后逐步完善��。要有條理�����、有策略����、有方法�,不能冒進,也不能半途而廢�。因此�,要建立長效的信息安全預防體系�����,必須出臺切實可行的運行機制和控制手段����,逐一落實�,使企業的安全信息管理體系形成良性、螺旋上升的改進形式。
3.2建立信息安全預防管理控制手段
(1)注重管理策略和規程�;(2)加強技術控制���。
3.3建立信息安全預防管理運行機制
3.3.1組建相關的組織機構
建立其專門的安全監管部��,負責為高校的網絡與信息安全突發事件的監測、預警和應急處理工作提供技術支持��,并參與重要的判研、事件調查和總結評估。
3.3.2建立應急響應機制
即當安全監管部門發現安全問題���,及時向相關部門通報提請注意���,然后將安全問題定級��,提出預警等級建議�����,向有關領導報審。接到上級領導反饋后技術部門采取有效措施啟動應急預案���。當預警問題解決后,向上級請示����,解除預警�����。事后形成事件調查和風險評估總結,呈報領導�����。
3.4提高信息監管人員的素質
首先物色合適的人選�����,根據崗位工作性質�,經過嚴格的考察和科學的論證�,找出或培訓所需的人員。選聘過程嚴格可控���,然后把具備不同素質、能力和特長的人分別安排人員配備齊整�。培訓之后上崗���,從而使個崗位上的人充分履行自己的職責,最終促進組織結構功能的有效發揮����。在人員到崗后��,也要經常抽查崗位員工的工作技能和態度,測試和培訓崗位需求����,經常組織人員學習先進的信息技術和前沿項目���。
4結論
信息安全管理時一個動態發展的過程���,信息技術日新月異�����,信息安全管理策略就要隨之動態調整。信息安全管理體系的規劃�����、設計和實施流程也要根據實際運作的情況不斷調整和該井����。完備的計算機信息安全管理體系可以使高校信息資產安全得到有效的保障,將高校信息安全風險控制到最低�。
作者:張超 單位:遼寧經濟職業技術學院
參考文獻:
[1]張文雷.談高校信息技術的網絡安全[J].信息與電腦(理論版),2014(06).
[2]湯贊.淺談我國網絡安全對高校信息技術的影響[J].科技與創新,2016(02).
[3]黃瑞.高校信息化建設進程中信息安全問題成因及對策探析[J].現代教育技術,2014(03).
第12篇
主要內容
對銀行和信用卡支付卡授權商的系統風險管理���。新加坡金管局在2013年6月21日了644號和644A號通知���,并于2014年7月1日起開始執行�����。兩個通知分別對在新加坡的銀行和信用卡或支付卡授權商的系統風險管理做了安排。644A號文規定信用卡或支付卡授權商是被授權依法進行在新加坡開立信用卡或支付卡業務的個人。通知規定���,銀行和信用卡或支付卡授權商應該落實一個框架,處理識別核心系統,盡最大努力維持核心系統的高可靠性��,確保每一個影響和授權商操作和對客戶服務的核心系統的最大意外停機每12個月不超過4小時��。并且銀行和授權商應該建立一個修復時間目標(RTO���,指從故障發生到系統修復的持續時間)����,對于每一個核心系統不超過4個小時����。每12個月須至少驗證并且記錄一次核心系統在系統修復測試中的表現以及測試時間。一旦核心系統發生故障或事故�����,銀行和授權商應在1小時以內通知新加坡金管局��。在重大事件發生的14天以內�,或者經當局許可的更長一段時間內�,銀行和授權商應向新加坡金管局提交一份根本原因和沖擊分析報告。報告應該包括:重大事件的綜合摘要、觸發重大事件的根本原因分析��、描述重大事件對銀行的沖擊���、描述已采取的補救措施以解決根本原因和重大事件的結果����。最后�,銀行和授權商應實施IT控制以保護客戶信息免遭非法入侵和曝光。
有關IT外包的監管����。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對外包商的監管作了明確規定�。文件中指出��,外包是指位于新加坡國內外的一個或多個提供第三方IT技術和設備的供應商�,包括從系統開發�、維護和支持到數據中心操作、網絡管理���、故障修復服務、應用托管和云計算。金融機構要落實正確的框架、政策和流程去評估�����、審批��、復審�、控制和監控所有外包活動的風險和實質�。在與外包商簽訂合同之前,金融機構應該就所有的外包建議做一個徹底的風險評估�,可以參考基于移動終端的信息化應用服務(MAS)的外包技術調查問卷作為進一步指導���,金融機構在簽訂任何外包委托之前向服務商提交完成后的問卷��。新加坡金管局沒有直接涵蓋對銀行技術外包服務商(TSP-Technology Service Providers)的具體要求,而是要求金融機構確保外包商采用高標準的政策和流程以確保敏感信息的機密性和安全性���,敏感信息例如客戶資料、計算機文件����、檔案�����、目標程序和源代碼�����。在與外包商的合同終止時���,金融機構應該在有合同的保證下����,可以快速移除或銷毀所有的IT信息和資產。
對個人移動設備的監管��。2014年9月26日����,新加坡金管局了《Circular SRD TR02 2014》,對金融機構中“自帶設備”所帶來的風險進行了規定�。文件中指出“自帶你的移動設備”(BYOD)是越來越多的金融機構采用的一種相對較新的實踐���,讓員工從他們的個人移動設備訪問公司電子郵件����、日歷���、應用程序和數據���。但是“自帶設備”相應地會增加金融風險���,金融機構應該發展出一套綜合的防止資料損失的策略��,去保護敏感或機密的用戶信息。一些不利于策略有效應用的因素包括幾個方面,第一����,隱私和個人使用的沖擊�。在“自帶設備”環境中����,雇員可以根據他們的選擇自由在他們的移動設備上安裝應用,并且拒絕安裝特定的安全軟件���;第二,不同的設備組合�。實施“自帶設備”的金融機構將不得不支持大范圍的設備�����,操作系統和應用組合。這將造成一個一致而有效的方式難以被應用于不同平臺的混合環境�;第三��,缺乏對于設備升級的控制。在自帶設備的環境中��,雇員們可以隨意在他們的個人設備上安裝應用和運行軟件升級����,這可能給他們的設備帶來安全漏洞和惡意軟件。這將危及可由這些設備進入的金融機構的資料和公司系統,第四���,移動安全方法的成熟性。移動的安全方法仍然普遍處于起始階段。 兩個常見的解決“自帶設備”安全隱患的方法是使用移動設備管理和虛擬化。移動設備管理方面�����,在移動設備被許可進入公司網絡之前��,設備要被驗證以確保沒有被越獄或被嵌入的風險��。移動設備管理方法也可以在一個沙盒環境(指在一個受限制的操作系統環境中執行一個應用去保護公司應用可能使用的資源)中管理公司應用�、資料、政策和設置��。這樣做目的是允許雇員們自由地使用設備��,同時使企業得以保護其工作環境�。一個健全的移動設備管理方法應該被應用于所有的“自帶設備”安排中����。在虛擬化方面,允許雇員們通過一個請求式的入口從他們的移動設備進入公司的資源和資料,使用強力認證和網絡加密���。由于公司的資料在公司數據中心內部處理而不能被下載進入移動設備。在虛擬環境中嚴格的安全政策限制設備的復制和使用,例如打印機����,可移動存儲設備等����,以幫助防止數據進一步的數據泄露。
新加坡金管局要求,如果金融機構不能夠恰當地管理相關的安全風險��,則不應該實施自帶設備�。金融機構要牢記保持警戒并且緊跟移動領域的技術進步和關注緊急威脅。定期在自帶設備基礎設施上實施漏洞評估和滲透測試以確保任何安全漏洞被識別并盡快做出調整。
對我國的啟示
2006年銀監會《銀行業金融機構信息系統風險管理指引》(以下簡稱《指引》)�,填補了我國銀行業信息系統監管領域的空白��,為推動國內銀行業信息科技風險管理奠定了基礎。2009年3月,銀監會對原《指引》進行修訂�����,并重新定名為《商業銀行信息科技風險管理指引》���。新《指引》貫徹了“管法人���、管風險���、管內控���、提高透明度”的銀行監管理念���。新《指引》規定���,“商業銀行法定代表人是本機構信息科技風險管理的第一責任人”�����。要求商業銀行建立有效的機制,實現對信息科技風險的識別�����、計量����、監測和控制,促進商業銀行安全�、持續���、穩健運行�����,推動業務創新,提高信息技術使用水平�。要求商業銀行在信息系統開發����、測試和維護以及服務外包過程中加強對客戶信息的保護���,防止敏感信息泄露����,對業務連續性管理也加以規范����,保障客戶數據安全和服務連續。在新《指引》中���,提出要構建信息科技風險管理的三大防線,即信息科技管理�、信息科技風險管理�����、信息科技風險審計。
從銀監會對商業銀行信息系統風險管理的現場檢查實踐來看����,主要有如下幾個問題:高層的知曉度和參與度較低���,存在重建設�����、輕管理的現象��;信息科技風險管理三道防線的設置存在缺失、重合和分工不清晰的問題�����;信息系統開發風險須引起全行更多關注����;銀行業金融機構對災難性��、突發性事件的應對能力有待提升�����。
新加坡金管局從2001年開始開展信息科技風險監管工作,經過不斷實踐、探索,摸索出一套較為先進的監管做法���。新加坡金管局的信息科技風險監管由現場檢查和非現場監管構成。現場檢查的工作方式有訪談、調閱資料����、現場取證等����,檢查結束后金管局給金融機構檢查意見書���,金融機構要在三個星期內向金管局提交整改報告(已整改的問題�����、未整改問題的整改計劃)���,金管局會在下次現場檢查時核查整改情況����。金融機構按照新加坡金管局的要求填報調查問卷作為非現場監管的資料��。在處罰方面�,罰款是處罰的一種方式��,另一種處罰方式是提高存款準備金率。另外�����,新加坡金管局定期召集商業銀行高管人員會議傳達科技監管信息�����。金管局利用此種形式�����,向被監管機構定期講解信息科技風險發展的最新形勢,對金融機構進行技術輔導�,警示風險�,并介紹有關風險領域的解決方案����。
結合新加坡的監管安排及我國銀行及監管的實踐,新加坡的監管經驗對我國有一定的啟發�。
加強我國信息科技風險管理部門建設�。大力度培養復合型信息科技風險監管人員�����,提高科技人員的業務監督能力�����,推動業務監管人員掌握信息科技監督知識�����。
進一步完善我國銀行業信息科技風險監管的有關規章制度���。有必要完善信息科技風險評估體系���,系統分析銀行業機構采取的風險防控措施的有效性��,客觀評價銀行業機構信息科技風險管理水平�����;建立健全IT外包監管體系,建立IT外包監督流程�,要求商業銀行健全外包商的風險評估機制����,加強對外包風險的識別和監控�;進一步出臺有關銀行數據保護規范或政策,要求商業銀行對數據進行分類�、定級����,確定不同的保護措施和方法��。
向銀行業及時提示信息科技風險信息�����。各級銀行監管機構應定期召集轄內商業銀行信息科技工作高級管理人員舉辦情況通報會議,每次會議選定重點關注的信息科技風險點�����,及時傳達監管部門的工作意圖���,使商業銀行能夠及時獲取風險控制手段和工作技巧����。
因此�����,對于我國銀行機構防控信息系統風險來說��,有如下幾點應予以重視。
加強對電子支付欺詐案件的防范。首先�����,網上支付安全最重要的基礎是客戶端的安全���。MAS認為客戶端安全的責任在銀行而非客戶本身�����,銀行有義務對客戶進行安全教育����,并提供更安全和便捷的技術工具去增強客戶端的安全性�����。其次����,加快推廣銀行卡的EMV(芯片卡)和動態認證的實施進程。相對于磁條卡����,EMV有安全性高和不易偽造的特點。在芯片卡的認證方式上,MAS要求銀行發放動態和混合數據認證的芯片卡并逐步替代已有的靜態數據認證芯片卡����,以解決靜態卡中可能存在的仿冒風險�����,以強化電子支付的安全性。
強化銀行數據安全問題的關注。近年來國際上發生的一系列數據丟失并導致了客戶資金被盜等惡性案件�����。如2009年8月德國某銀行由于數據泄漏而導致了30萬歐元的經濟損失�����,2010年3月匯豐瑞士私人銀行的一個IT員工竊取了該行24000個賬戶信息����。新加坡金管局在其許多監管文件中都反復提到了數據泄露保護(DLP-Data Loss Prevention)�����。在IT外包�����,核心系統可靠性和個人移動設備管理上下大力氣保護敏感信息的機密性和安全性。借鑒國際銀行業數據中心先進經驗,加強對銀行數據中心�、災難恢復能力的建設����。深入研究和解決目前在災難備份系統建設方面存在的突出問題和技術難點��。
