時間:2023-02-23 13:21:49
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全服務,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
“十二五”期間,軟件技術和產業格局孕育著新一輪重大調整,軟件產業面臨網絡化、服務化、智能化、平臺化、融合化五大發展趨勢。國發[2011]4號文增強了對軟件產業的扶持力度,這必將催生軟件和信息服務新星的出現。
無論是基礎設施、資金、人才還是政策扶持,甚至是項目推介和品牌宣傳,軟件園區這片沃土都給軟件企業帶來豐富養分。《中國計算機報》“軟件園區”專欄,記錄軟件企業崛起,見證軟件產業發展!
如今,電子取證和計算機法證業務在歐美發達國家和我國香港地區已經相當成熟,除了主要應用于金融行業外,在政府和企業中也有了相當多的應用。IDC 統計顯示,2011年全球電子數據取證市場的規模達到18 億美元,預計2015年中國電子數據取證將達到近10億元人民幣的市場規模。
電子取證:安全不可缺的一環
2012年3月,中國內地和香港地區最高級別的計算機法證技術協會——中國計算機法證技術研究會(CCFC)、香港信息安全與法證公會(香港ISFS)正式授權上海浦東軟件園信息技術股份有限公司(以下簡稱浦軟信息)為其華東代表處,這標志浦軟信息擁有了國內領先的電子取證平臺。
2012年7月,首次移師上海的第八屆CCFC計算機法證技術峰會在上海浦東軟件園舉行。會議期間,由浦軟信息投巨資新建并已投入運行的高水準電子數據司法鑒定實驗室(以下簡稱取證實驗室)及配套設施受到了海內外參會者的關注和期待。取證實驗室包含了計算機鑒定人員從事涉及計算機犯罪案件受理、電子數據勘查、調查取證、數據恢復、密碼破解、鑒定分析、證據存儲等13個專門區域,并已經與CCFC和香港ISFS做了業務上的對接。
據上海浦東軟件園信息技術股份有限公司總經理葉慧介紹,浦軟信息將集全公司之力把取證試驗室建設成為國內在技術與硬件條件上最卓越的實驗平臺。浦軟信息的取證業務將由單一的取證產品向多樣化、個性化服務轉變,最終形成以自主取證產品銷售、司法鑒定服務和專業取證培訓為核心的三位一體的業務模式以及“事前預防、事中響應、事后取證”的整體信息安全解決方案。
公司成立了專業的市場銷售團隊,通過整體的設計與市場策劃來推廣取證業務。
如今,浦軟信息更希望將已經擁有的平臺資源和取證業務推廣到信息安全市場較成熟的地區,與更多的業界同行一起培育電子取證市場。葉慧強調,浦軟信息作為計算機安全防護領域整體解決方案的提供商,有義務和責任通過自身的努力為社會帶來更多的價值,并以此作為自己的使命和社會責任。
取證培訓:旨在完善認證體系
工欲善其事,必先利其器。專業取證培訓是浦軟信息取證業務中很重要的一環。取證實驗室研發出許多基于高端技術的取證產品,其精心設計的培訓教室擁有各類多媒體設備,能夠滿足取證技術領域內的各種培訓要求,并已經舉辦過多次各類層次的取證培訓。
第八屆CCFC計算機法證技術峰會引入了海外專業培訓方式,在由香港ISFS開辦的研習會上,結合實際案例,對計算機法證技術應用及信息安全防護進行專業指導。
浦軟信息之所以花大力氣開展取證培訓業務,就是預見到取證市場的前景將無限廣闊,需要一個成熟的資質認證體系,構筑一個中國取證行業專業、統一的標準。因此,浦軟信息規劃了取證資質認證培訓的發展方向,那就是明確自身的市場地位,完善取證實驗室的培訓體系和業務,今后將與海內外專業機構合作,繼續拓展培訓業務,最終得到政府部門和業內對浦軟信息取證培訓資質認證的認可。
制度創新:確保信息業務拓展
今年2月15日,上海股權托管交易中心正式開張,浦軟信息成為首批掛牌OTC(場外交易市場)成員。這對浦軟信息來說無疑是一個重要的轉折點——浦軟信息已經從一家中小型的以產品銷售為導向的IT公司轉變為一家以IT服務為核心的非上市公眾公司。
浦軟信息希望通過OTC掛牌交易,在為股東和其他投資者提供更多選擇的同時,通過股權的發行和交易使得公司的法人治理結構更加規范和嚴謹,這對浦軟信息未來發展是至關重要的,也是最大的挑戰。另外,作為公眾公司,浦軟信息必須考慮到諸多方面的影響,決策上必須更加謹慎,對內部資源的安排也要考慮得更細致,要有平衡企業資源的能力,包括客戶和市場資源,要投入更多的資源來支持和規劃新的公司制度和運轉。對此,葉慧信心滿滿。
優秀基因:可持續發展的動力
作為一家還處于成長期的中小型IT企業,浦軟信息還有相當大的提升空間,但公司管理層始終保持著危機感,對市場保持高度的敏感,業務上真正做到以客戶為導向,技術上不遺余力地投入人力物力。追求“優秀”是浦軟信息始終堅持的目標。
何謂“優秀”,葉慧對此做了進一步詮釋。
“優秀”體現在專業上,就是要有專攻方向。在信息安全領域浦軟信息已經有十幾年的經驗,這既是公司的優勢也是公司的品牌。同時,這種專業還要體現在技術研發的能力上,使之成為浦軟信息的核心競爭力。作為一家IT公司,技術是最重要的生產力。
“優秀”體現在人才上,就是把員工視作企業發展中最重要的資產,將管理團隊與技術團隊作為企業的核心。浦軟信息的股權結構中也有員工持股,這體現了公司創始人開放的胸襟。
“優秀”同時也體現在健康上,浦軟信息未來的目標是上市。作為公眾公司,需要給股東和員工持續的回報,這是相當重要的。作為一家肩負著社會責任的公眾企業,體制一定要健康,不能一味盲目地追求增長速度,企業發展方式和公司結構至關重要,這也是企業可持續發展的前提。
IT行業內真正能夠屹立不倒的百年老店一定具備“優秀”的基因,而不是純粹靠包裝和粉飾;同樣,有了這些“優秀”的基因,一個升級版的浦軟信息將從企業級信息安全服務行業中脫穎而出,也就有了底氣。
記者手記
人生就是一場修煉
從上海市經濟和信息化委員會到上海浦東軟件園總部再到浦軟信息,葉慧的角色在不斷轉變,雖然都涉及IT和通信行業,但視角卻大不相同。尤其是調任浦軟信息后,葉慧從原先站在宏觀角度轉變為以企業職業經理人的微觀角度來審視IT和通信行業,同時還要承受著國有企業職業經理人特有的壓力。
是什么信念使得葉慧能夠在應對不斷出現新的挑戰和壓力時如此談定和柔韌?答案就是被葉慧視為勵志誓言的《孟子·告子下》中的名句:“天將降大任于斯人也,必先苦其心志,勞其筋骨,餓其體膚,空乏其身,行拂亂其所為也,所以動心忍性,增益其所不能。”葉慧認為,一個職業經理人即使在處于坎坷時,也要保持良好的心態,不逃避不回避各種困難,積極面對挑戰并擁有破解難題、果斷決策的信心。
商業銀行一直是信息化浪潮中的先行者。我國銀行信息化進程最早可以追溯至20世紀80年代,以單機應用為起點,先后走過了縣域微機聯網、城市集中、省域集中、全國數據集中的發展歷程。時至今日,我國商業銀行已基本實現信息化,建設成了能夠提供7×24小時不間斷服務并覆蓋城鄉的龐大信息系統。20世紀90年代,網上銀行的出現標志著我國銀行業服務從“線下”走向“線上”,并由此開啟了銀行渠道轉型之路,以網上銀行為主的電子銀行業務得到了迅速發展,交易替代率成為這一時期銀行衡量信息化水平的重要指標。據統計,2009年到2014年,我國商業銀行的電子銀行交易替代率從49%上升至80%(見圖1),但自2014年開始其增速明顯放緩,且預計在未來幾年將維持較低增速。交易替代率增速的放緩表明,以渠道轉型和規模擴張為主要特征的銀行信息化階段正在接近尾聲。而隨著經營環境變化,信息技術進步以及公眾金融意識的覺醒,從“銀行信息化”到“信息化銀行”的時代正在到來。信息化銀行是更高級的銀行信息化過程,它通過對信息的集中、整合、共享、挖掘,使銀行的客戶服務、經營決策、戰略制定發生質的變化[1]。各大商業銀行已普遍將信息化銀行建設提升至戰略高度,并提出新的經營理念[1-2]。理論界也緊跟信息化銀行變革趨勢,開展了廣泛研究。謝平較早提出互聯網金融模式,指出現代信息科技將對傳統商業銀行融資模式產生顛覆性影響,網絡信貸模式將為優化資源配置做出貢獻[3]。宮曉林指出第三方支付平臺已對傳統銀行業務形成替代,使銀行退居支付清算的后臺[4]。王召認為銀行不能僅靠發展金融互聯網來消極抵御互聯網金融的威脅,而要將爭奪信用數據制高點做為重中之重[5]。樊志剛分析認為目前商業銀行已在互聯網金融的競爭中處于被動,必須主動采取大風控、大數據、大平臺等競合戰略[6]。王碩對互聯網金融下客戶行為變化進行分析,從客戶、網點、渠道、產品等角度開展銀行轉型研究[7]。馮娟娟認為互聯網金融背景下的商業銀行在資產實力、客戶資源、風控體系等方面仍具有絕對優勢[8]。趙立志認為互聯網金融的“野蠻”生長帶來了極大的信息安全隱患,包括商業銀行在內的互聯網金融企業在業務發展中必須重視信息安全保障[9]。現有研究主要是在信息化銀行變革大背景下集中于探討互聯網金融對商業銀行的業務影響以及商業銀行如何應對互聯網金融環境,但尚未揭示出信息化銀行較為明晰的發展脈絡,也未明確指出引領信息化銀行革新的核心驅動力。本文將在深入分析目前經營環境最顯著變化的基礎上,明確提出發展信息化銀行的三元驅動模型,并對信息化銀行建設實踐提出對策建議。
二、信息化銀行經營環境變化趨勢分析
信息技術在迅速提升商業銀行金融服務能力的同時,也本質性的改變了商業銀行內外部經營環境,商業銀行在新一輪的信息化浪潮中正面臨著新的挑戰和機遇。
(一)從外部競爭看,互聯網金融的蓬勃發展,擠壓了商業銀行的盈利空間
2013年以來,以互聯網理財、P2P網貸為代表的互聯網金融獲得爆發式增長。以余額寶為例,其規模已超過7000億元,相當于國內一家中型銀行的總資產規模。互聯網金融對商業銀行最直接的沖擊主要體現在三方面:一是負債端。四大行2014年報顯示,作為銀行最優質資金來源的個人存款,增速正在大幅下降,尤其是個人活期存款增速由2013年的13.3%迅速跌落至3.8%,導致銀行資金使用成本上升。二是資產端。我國靠大規模投資拉動經濟增長的模式已告一段落,進入了“大眾創業、萬眾創新”的新時期。據調查,融資需求在50萬以下的企業約占55.3%,87.3%的企業融資需求在200萬以下[10]。目前商業銀行的信貸業務模式遠不能滿足這類小微企業的融資需求,也不能適應經濟結構轉型的新常態,而網貸平臺則在突破傳統信貸模式和服務實體經濟上活力突顯,率先占領了逐漸繁榮的長尾市場。三是中間業務環節。據統計,第三方支付和移動支付已經超越了商業銀行提供的網上銀行、POS機等支付渠道,搶占了支付市場前兩名位置(見圖2)。這不僅蠶食了商業銀行的利潤來源,還使商業銀行的支付業務逐漸遠離交易環境,無法獲取個人用戶的消費行為和企業用戶的供應鏈條中的寶貴數據。互聯網金融之所以取得成功,根本在于其立足于普惠金融,為用戶提供了門檻低、場景化、使用便捷的數字服務,顛覆了商業銀行重資產規模、輕客戶服務的傳統經營模式。
(二)從內生需求看,海量數據不斷積累,潛在價值有待挖掘
邁爾•舍恩伯格在《大數據時代》中寫到:“凡是過去,皆為序曲”[11],在“互聯網+”時代,大數據的積累和應用帶來了商業思維和商業模式的升級變革。商業銀行依托信息系統大規模應用部署和運行,已經聚集了海量數據。以資產規模最大的工商銀行為例[2],其信息系統中存儲的各類數據總量已達700萬GB,其中用于挖掘分析的數據在近7年增長了30倍,此外語音、圖片等非結構化數據以每年50%的速度增長,總量已達820萬GB。可見商業銀行已坐擁巨大的數據資源寶藏,但大多數數據仍處于“沉睡”或“孤島”狀態,未能在實際業務服務中實現增值。因此,對于商業銀行而言,已具備了大數據應用的條件和優勢,但缺乏相應的思維和機制。在信息化銀行時代,充分利用大數據提升商業決策和服務效能,將是未來商業銀行完成轉型、爭奪市場的關鍵。
(三)從風險環境看,信息安全形勢愈發嚴峻,“互聯網+”轉型面臨考驗
近年來,商業銀行信息安全事件頻發,輕則發生客戶信息大量泄露,重則導致銀行信息系統全面癱瘓數日,這是信息化銀行將要長期面臨的重要隱患。信息安全事件多發的主要原因可歸結為以下因素:一是針對銀行信息系統的攻擊愈演愈烈。銀行信息系統關乎國家安全、社會穩定和公民資金財產安全,加之其線上平臺不斷開放,容易成為網絡攻擊的目標。二是新型攻擊威脅巨大。當前黑客組織呈現出集團化、規模化、高水平化趨勢,攻擊行為潛伏期長、特征弱,善于利用未知漏洞形成突破,再逐層滲透,給現有防御體系帶來巨大威脅。三是新興線上業務增長帶來安全隱患。為了快速滿足不斷增長的線上業務需求,系統研發周期不斷縮短,導致系統漏洞增多。2014年,國家互聯網應急中心向包括銀行在內的重要信息系統部門通報漏洞事件9069起,較2013年增長3倍③。四是信息系統架構日趨復雜,考驗安全可控能力。系統規模的不斷擴大使得信息安全技術架構日趨復雜,安全加固點增多,系統產生海量信息難以被及時處理。目前銀行缺乏有效的關聯分析手段,難以實現網絡安全態勢感知和聯動防御。
三、信息化銀行的“三駕馬車”及三元驅動模型
從上述分析看,商業銀行迫切需要推動信息化銀行建設,積極應對內外部經營環境變化,打造全新的核心競爭力。本文認為,數字服務、大數據和信息安全將成為驅動信息化銀行發展的“三駕馬車”,引領商業銀行走上下一個高速發展的軌道。
(一)數字服務驅動信息化銀行的BaaS轉型
BrettKing在《Bank3.0》中提出BaaS(Bank鄄ing-as-a-Service,銀行即服務)模式[12],即未來銀行將不再是一個地點,而是一種行為,一種無處不在的服務。未來金融服務將是一場為客戶提供優質服務的數字戰役,線下網點的規模化擴張以及線上數字渠道的粗放式拓展將不再是主流。在BaaS模式下,信息化銀行數字服務的本質是在充分建立規模優勢和渠道優勢的基礎上,為客戶提供智能便捷、注重體驗的數字服務,它包括以下幾個方面:一是數字服務的智能化。智能化要求快速定位客戶需求,簡化操作流程,實現高效的客戶交互。例如,銀行已開始嘗試使用VTM(虛擬柜員機)設備來提供遠程銀行服務,實現對公零售業務的自主辦理,使用戶擺脫“取號+柜臺+紙質材料”的低效人工服務模式,充分享受智能化的數字服務。二是數字服務的移動化。金融服務的移動化是實現BaaS模式的關鍵,商業銀行已普遍搭建手機App移動平臺,并以此為網絡入口努力開展與移動產業生態的深度融合,尤其是在移動互聯網深度改變客戶行為模式的背景下,提升操作性、互動性、安全性以及解決客戶痛點將成為移動銀行革新的突破口。三是數字服務的場景化。數字服務的場景化將成為信息化銀行爭奪客戶流量的新特性,這要求銀行將金融服務與非金融服務嫁接,嵌入到日常生產生活場景中,并與整個互聯網生態體系進行深度融合,以獲得長期的用戶粘性和持續的商業變現。目前,場景化應用趨勢已初現端倪,如“網購+理財”(余額寶)、“網購+貸款”(網絡消費金融)、“線上+線下”(移動支付)、“數據+授信”(數據網貸)等。四是數字服務的協同化。協同化要求銀行整合既有的數字金融服務,打通業務間的邏輯連接,并與整個互聯網生態圈開展外部協作,實現業務流程再造和數字服務能力提升。無論是傳統大型銀行還是新興民營銀行都在開展這樣頗具革新性的實踐。例如,工商銀行的E-ICBC戰略整合了電商、通訊、直銷三大平臺,為客戶提供大一統的綜合金融服務。阿里系的網商銀行擬整合支付寶支付功能、余額寶融資功能、招財寶理財功能、螞蟻微貸貸款功能、芝麻信用授信功能等,建立信息化銀行數字服務的協同生態體系。
(二)大數據驅動信息化銀行的商業智能轉型
事實上,海量信息處理對于商業銀行并不是一個新的課題。在信息化進程中,銀行始終強調高速、穩定、精確的數據處理能力,長期以來,嚴謹、機械和弱相關是銀行數據的特點。而進入信息化銀行階段,數據變得開放、動態、高附加值,將逐漸實現由資源性向應用性的跨越,銀行更加關注數據的建模、分析、挖掘及使用,大數據的應用成為新的課題。鑒于數字服務已向經濟社會各微觀領域滲透,利用大數據提高商業智能既是商業銀行的迫切需求也是先天優勢。銀行可以通過各類服務渠道獲取海量數據,再通過對這些數據進行加工、整合、分析,實現數據增值,提升各個經營領域服務效能。例如,在零售業務領域,銀行可以通過歷史交易數據、資金結構數據對客戶進行分層管理,并通過對客戶消費行為變化、資金變化數據以及外部非結構化數據(如社交網絡數據)的分析,實現金融產品的精準營銷,并提供非金融增值服務,從而在產品差異小、可替代性強的零售業務領域脫穎而出。在對公業務領域,銀行可以通過在線供應鏈金融平臺實時客觀的掌握核心企業及上下游企業的信息流、物流、資金流數據,經大數據關聯分析后,既可以掌握某一個企業的整體經營狀況,并以數據分析結果為依據進行授信和放貸,又可以從宏觀視角分析行業發展趨勢,指導對公領域的戰略調整。在風險管理領域,可根據交易數據、社交數據、工商數據等內外部數據,完善小微企業或個人信用模型,使銀行更好的開展高風險的小貸業務;還可以基于電子渠道的海量數據完成電子賬號正常行為基線建模,再通過聚類分析以及實時流數據挖掘等方法進行異常事件檢測,從中識別網絡欺詐、賬戶盜用等行為,提高線上交易的安全性與便利性。如上所述,大數據將成為信息化銀行的大腦,調動各個業務領域的商業智能轉型。數據的處理和分析也將不再局限于銀行科技部門,而是將滲透于銀行的整體戰略發展中。
(三)信息安全將驅動信息化銀行的安全可控轉型
商業銀行是國民經濟命脈的重要環節,安全性是其穩健經營和持續發展的基礎。隨著業務和技術的深度融合,信息安全已成為信息化銀行轉型創新與健康發展的基本前提和重要驅動,實現安全可控亦是信息化銀行的重要目標之一。信息化銀行下的信息安全范疇,主要包括安全和可控兩個方面。一是安全。隨著業務模式逐步開放,信息化銀行的安全性將與整個互聯網日趨復雜的信息安全生態緊密相連,這對銀行的信息安全能力提出了極高的要求。首先是敏銳的安全感知能力。信息化銀行互聯互通,形成“木桶效應”,銀行系統任何與外界相連的風險點都有可能成為整個系統被入侵的突破口,因此信息化銀行要實現業務拓展必須強化風險監測和安全態勢感知能力。然后是堅固的安全防御能力。傳統的關注單點防御和階段性防御的孤立安全思維已不能有效應對新型安全威脅,需要構建系統間聯動、內外網聯動、前后動的立體化智能防御體系。最后是合理的安全規劃能力。在信息化銀行時代,用戶對金融服務的便利性和安全性都要求極高,要處理好這對天然矛盾,就需要將安全納入到業務創新的整體規劃中,針對業務場景實施有效的關聯梳理分析。二是可控。隨著互聯網金融服務的不斷創新,商業銀行將不斷面對類似于“雙11”、“搶紅包”等新型業務場景,經驗表明,當前銀行信息系統架構在應對業務的多樣性和多變性上已顯現不足,這制約了銀行業務創新轉型進程。因此,銀行應改變目前關鍵IT基礎架構和核心業務系統過度倚賴第三方廠商的現狀,加強頂層設計,推進深度自主研發,進一步增強核心系統架構的靈活性和安全性,提升對關鍵技術的掌控力,主要思路包括:一要以業務為導向,逐步向云計算服務模式遷移;二要從“IOE”向x86架構轉型,降低成本的同時,規避技術依賴風險;三要堅持開源軟件與自主研發相結合的技術發展路線;四要通過業務創新推動技術創新,實現基礎架構的高可用。未來信息化銀行將承載十分復雜的互聯網金融生態,信息安全將從銀行科技層面升級到戰略層面,并被納入整體能力建設和發展規劃中,成為高速發展中控制穩定性的重要驅動。
(四)信息化銀行三元驅動模型
經過對“三駕馬車”的分析和論述,可以發現信息化銀行將形成以“三駕馬車”為核心驅動的戰略發展模式,在此總結為一種三元驅動模型(見圖3)。數字服務、大數據和信息安全分別解決信息化銀行經營中所面臨的主要問題,并引領其在BaaS、商業智能和安全可控三個方向上開展轉型。三者分工明確、缺一不可,同時又互為促進、相輔相成。一是數字服務使客戶更好的感知銀行,并在服務體驗中產生大量有價值的數據,大數據使銀行更好的認知客戶,從而有針對性的提升數字服務能力。二是數字服務的發展依附于信息安全服務水平的不斷提升,信息安全能力的不斷完善將保障數字服務更加大膽的開展金融服務創新。三是銀行大數據的存儲和使用本身會帶來數據安全和隱私保護問題,需要安全技術和安全管理的雙重保護,而大數據技術同時又能夠幫助銀行在金融信息安全感知防御能力上取得突破。
四、“三駕馬車”視角下商業銀行實踐信息化銀行的策略
根據前文的分析闡述可見,信息化銀行趨勢已成,以“三駕馬車”模式為抓手開展經營發展模式轉型,將使商業銀行在“互聯網+”時代占據戰略主動。本文以信息化銀行“三駕馬車”的觀點為視角,結合我國商業銀行實際情況,從縱橫兩個維度對商業銀行實踐信息化銀行提出相關對策建議。
(一)縱向上持續發揮“三駕馬車”的驅動優勢
一是以互聯網金融為導向,加快完善金融數字服務。商業銀行應在網上銀行、手機銀行良好的發展勢頭以及網點轉型有序進行的基礎上,根據各自情況,不斷開發和完善自有電商平臺、資產管理平臺、網絡信貸平臺、移動金融平臺等新興業務平臺,積極探索特點鮮明的互聯網金融服務品牌化路線,建立綜合化數字金融服務生態圈。鑒于商業銀行普遍欠缺互聯網基因,且互聯網金融業務開展較晚,還可選擇曲線發展路線以提升數字服務能力。一種是外部合作模式,可通過收購具有潛力和規模的電商或投融資平臺,也可聯手大型互聯網企業開展線上金融服務創新,彌補自身業務體系不足;一種是差異化競爭模式,盯緊藍海,快速切入,例如在農村市場,可以充分利用銀行網點和聲譽優勢率先發展農村電商平臺,還可以研究將支付理財通過移動金融等服務手段嵌入到田間地頭,滿足農民農戶的理財需求。二是堅持“數據治行”的現代經營理念,充分挖掘大數據價值。要積極開展內部商業數據的搜集整合,并通過爬蟲等技術主動式的定向獲取有價值的網絡數據,以及廣泛與互聯網企業、工商、稅務等開展外部數據合作,解決商業銀行數據“難搜集”問題;大力推進數據治理,明確數據標準,明晰管理流程,嚴控數據質量,并以業務數據、技術數據、管理數據等為分類建立企業數據模型作為各項目的參考數據模型,解決數據“不可用”問題;努力提升數據使用能力,開展數據分析技能培訓,以各業務條線為主導進行大數據應用立項,建立業務部門、數據管理部門及科技部門的協作溝通機制,引入試錯和反饋機制,深度挖掘數據潛能,解決數據“不會用”問題。三是將信息安全納入企業戰略規劃體系,切實提升安全可控能力。要提高對信息安全的認識程度,將安全可控視為信息化銀行建設中的“馬拉松”,化被動安全為主動安全,推動信息安全規劃向上層遷移。建立從企業戰略和業務需求角度出發,到系統架構、到技術架構、到實施管理、再到新業務架構變更的全生命周期安全規劃框架,確保安全規劃的持續性、可操作性以及實施彈性,使信息安全能夠全面融入到開發測試、生產運維、業務運營等各個環節。在提升安全規劃層次基礎上,還要持續加強安全技術研究,落實安全管理規范,提升安全檢查評估,將銀行信息化階段的有效安全措施進行轉型升級,切實提高信息化銀行的安全治理能力。
(二)橫向上積極發揮“三駕馬車”的協作優勢
關鍵詞:SOA 信息安全 企業服務總線
中圖分類號:TP2 文獻標識碼:A 文章編號:1672-3791(2013)01(c)-0022-02
隨著信息技術的不斷普遍,信息安全體系結構在當前的企業信息技術中扮演著越來越重要的角色。我們嘗試將信息安全和風險控制活動定義到安全服務里,設計面向服務的企業信息安全體系結構。
SOA是工業界的一個熱點主題。它是一個策略、實踐和框架的集合,能夠為提供跨域注冊、動態發現和自動機制提供內建的基礎設施。并且提供的服務封裝,通過消息協議提供可由雙方共同操作的服務。SOA也為服務質量控制和資源管理及其它的監控服務和異常處理機制準備了基礎設施。作為一個agility-pursued體系結構,SOA將企業邏輯從技術實現分離,從而使圍繞SOA體系結構建立的應用能夠滿足企業和技術領域持續變化的需求。它也將有益于可復用性和系統集成,以及可擴展性、分布性和跨域注冊。
1 問題發現
我們在SOA安全體系結構上的研究發現了以下幾個問題。
(1)缺少企業信息安全集成體系結構,引入了不同的、相互獨立的信息安全系統和解決方案,這會導致整個系統的不兼容性,導致無法達到期望的風險管理控制。
(2)由于在信息風險管理系統的信息采集還處于半自動化階段,人工的信息采集過程會導致人為造成的錯誤。
(3)ISO/IEC 27002系統為企業信息安全管理提供非常好的方法和指南,但由于缺乏合適的工具進行管理,無法很好解決企業信息安全。
(4)我們需要注意SOA自身的可靠性和安全性問題。
2 信息安全體系結構的設計
根據上述問題,提出本文的基于SOA的信息安全體系的設計。
通過研究,我們提出了一個面向服務架構的企業信息安全體系結構,它是底層基于數據倉庫/數據集市技術,并以安全服務總線作為hub,為企業信息安全活動提供集成信息安全的管理和有效的控制,使用BPM(企業過程管理)、規則引擎(Rule Engine,RE)和,企業智能(Business Intelligence,BI)技術。它有益于企業公司達到需要的信息安全管理級別。并且建立一個PDCA(Plan-Do-Check-Act)適配器,以確保信息安全管理和風險控制活動,能夠進行自我優化。
2.1 體系結構的結構
參考七層OSI設計,我們設計了五層的智能企業信息安全體系結構。自下向上為安全數據庫層、安全應用層、安全服務總線、集成和智能層、信息安全框架。
(圖1)說明了智能企業信息安全體系結構的結構。
(1)安全數據層。體系結構的底層是整個體系結構的基礎層。這是因為安全數據易于被其它應用和服務使用。這一層的數據被分為兩個部分:操作數據和分析數據。
(2)安全應用層。應用層包括所有的信息安全系統,如防火墻、入侵防御系統、反病毒系統,以及被防護的設備,如網絡設備、服務器和桌面環境等。它也包括這些系統上的各種各樣的操作系統。
(3)安全服務總線。是基于SOA的信息安全體系結構的中樞。我們在這一層定義SOA服務總線的結構和需要的各種各樣的信息安全服務。在面向服務的信息安全體系結構中,我們能夠將當前和未來的安全需求定義為安全服務,但這些服務的實現是隱藏的。
(4)集成&智能層。體系結構中數據、過程和應用都是在這一層進行處理實現的,解決一個企業各種業務問題,滿足快速變化的環境。集成層具有“應用之間”和“過程之間”進行通信的能力,通過適配器,它還能夠與其他企業過程、服務提供者或數據提供者通信。
(5)信息安全輔助設計。這是信息安全對外的接口,主要是由勻衡器、關鍵風險指示儀以及監控接口。
企業智能模型提供各種各樣的服務,例如報告、查詢、OLAP、數據挖掘和多維分析。規則引擎,作為工作流的一部分,可以結合到BPM模型。因為有了規則引擎,我們能夠更加有效地執行信息安全管理和風險控制。PDCA適配器是一個特殊的工具,它利用人工智能能夠幫助公司達到信息安全管理中持續提高和自我優化的目標。
2.2 特點和優勢
本文提出的企業信息安全體系結構具有以下特點。
(1)集成。它也能夠將信息安全管理和風險控制聯合起來作為一個集成的框架。
(2)可復用。體系結構是比較獨立的,適合于企業和小型組織。服務的封裝使得可復用,與其他服務聯合使用。
(3)面向服務的體系結構。SOA體系機構的采用提供了服務的獨立性、自我管理和自我彈性。
(4)集成的數據環境。集成的數據結構使之適合于各種數據庫進行對接。
(5)企業智能。這個體系結構將企業智能應用到信息安全管理,信息安全管理主要使用了數據挖掘和模式識別技術。這可以大大減少由于人工誤操作引起的損失,增強信息安全管理和風險控制操作。
(6)開放的體系結構。體系結構開放設計,以滿足整個企業的安全需求;面向服務的特征使得體系結構式開放的,允許多個接口與外部應用通信。
3 結論
與傳統的信息安全體系結構設計相比,本文提出的體系結構設計具有幾個優勢,包括開放、集成、可復用、面向服務、集成數據平臺和商業智能。信息安全管理人員可以自由地執行重要的任務,如風險分析等。最后,這個體系結構式我們建立集成和智能企業信息安全體系結構的開端,以后會有更多的、更好的產品出現。
參考文獻
[1] 魏東,陳曉江,房鼎益,等.基于SOA體系結構的軟件開發方法研究[J].微電子學與計算機,2005,22(6):73-76.
[2] 葉宇風.基于SOA的企業應用集成研究[J].微電子學與計算機,2006,23(5):211-213.
[3] 雷冬艷.SOA環境下的數字圖書館信息安全研究[J].科教文匯,2010(33):189-190.
[4] 李益文.基于SOA的商業系統的信息安全技術探討[J].電腦編程技巧與維護,2010(20):114-115,154.
關鍵詞:分布式;信息安全;規劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業的信息安全規劃就更加缺乏。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統籌安排,分步實施;分級管理,責任到崗;資源優化,注重效益。
這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同、側重點可以不同,但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構,達到國際國內標準的要求;
2)打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面,是屬于一個企業信息安全規劃的上層建筑,需要用一種由上而下的方法來實現,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎人力、財力和物力的投入。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規范,一套信息安全教育培訓體系,一套信息安全風險監管機制,一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化健康發展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面,根據調查,建立信息安全管理規范、信息安全技術規范。其中,安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識,提高信息安全工作質量。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業人員的信息安全意識和技能,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境,為企業轉型提供契機,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境,調整和優化IT基礎設施,建立安全專網,設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業業務,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監控第一生產網的安全專網核心基礎設施,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設,主要內容是SOC 的選址、布局、布線、系統集成,實現SOC 自身的防火、防潮、防電、防塵、安全監控功能;
2)軟件基礎建設,包括SSS 系統、機房監控子系統、功能小組及中心組劃分。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深,需要部署到大量IT 產品和應用系統,為了保障安全,必須對這些IT 系統和產品做入網前安全檢查,消除安全隱患。基于此,綜合測試環境建設的內容包括:安全測試網絡;測試系統設備;安全測試工具;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬;測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統能夠提供統計分析、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產品知識庫,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產為核心,通過安全組織實現資產保護,以安全管理來約束組織的行為,以技術手段輔助安全管理。其中,資產、組織、管理、安全措施的關系如圖3所示,核心為資產,圍繞資產是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權;信息安全防護;信息安全監控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點,充分發揮企業優勢資源,引領信息安全市場,為企業轉型創造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產品;2)推出面向大型企業的信息安全咨詢產品;3)推出面向家庭安全上網產品;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估;信息安全規劃設計;信息安全產品顧問。
2)信息安全教育培訓類產品,其服務功能主要有:提供信息安全操作環境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務;家庭上網機器安全檢查服務;家庭上網機數據備份服務。
4)企業類安全服務產品,其服務功能主要有:企業安全上網控制服務;企業安全專網服務;安全信息通告;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務;面向政府信息系統災備服務;面向企業數據災備服務;面向企業信息系統災備服務。
7 結束語
通過結合分布式企業的具體實際,按照信息安全體系結構相關標準,提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標,按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后,依據服務規劃目標,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
鄧高峰:國內信息安全產業經歷了十多年的發展積累了一批中堅力量,大多分布在信息安全產品提供商和服務提供商以及第三方機構,但從信息安全責任單位以及為其提供各類信息技術服務外包的更廣泛的IT行業來看,大部分行業和組織還沒有專門的信息安全崗位設置和專業的信息安全人才配置,據權威機構估算,我國信息安全人才的需要量在50多萬。目前,信息安全專業在國內仍是高等教育的二級學科,全國有將近80家高校設置了信息安全類本科專業,通過高校培養的信息安全人才不到4萬人,這些青年軍無論在整體數量還是在實踐實戰上,距離國家健全信息安全保障體系、上海市智慧城市所要求的信息安全總體可控,還有很大缺口,亟需通過專業的職業培訓來補充和提升。
我理解的信息安全是暫時的,不安全是永恒的;信息安全的系統建設是一個持續進行的過程,其實就是指信息安全的“新四化”。以上海這樣信息化程度很高的城市為例,無論是政府還是企業,一方面其業務對信息技術的依賴程度很大,另一方面這些改革開放的前沿也是各方關注的焦點,信息安全和業務連續的保障需求自然就十分迫切,信息安全不應成為信息化發展瓶頸,而應成為趨利避害的重要手段。全面提高各單位各企業的信息安全意識,有效提升信息安全專業技能水平,包括重點培育信息安全專業服務機構,這些工作都離不開信息安全人才培養和集聚,因此在各行業大力開展CISP等相關培訓將為建設上海信息安全人才高地打下堅實的基礎。
《上海信息化》:三零衛士在CISP培訓體系建設上,又有哪些新的創新與思考?
鄧高峰:CISP培訓一直致力于培養信息安全的組織者、推動者和管理者。信息安全體系建設,不只是用信息安全產品搭建一個堡壘,更重要的是組織自身需建立一套完善的信息安全制度,只有硬件(技術)和軟件(人才)相互結合,才能保障信息的機密性、完整性和可用性。對于公司的培訓來說,則是將安全知識體系和實際工作中的應用一起納入了信息安全體系建設。組織面臨的安全問題多種多樣,除了常見的系統漏洞、黑客入侵、掛馬和釣魚網站、木馬下載器等一些技術性威脅外,一些安全意識薄弱同樣也會產生安全問題,比如:沒有專業的安全培訓嚴重缺乏安全意識;不知道組織存在哪些安全隱患;出現突發安全事故無法第一時間了解等等。對于那些沒有經過專門的安全培訓、沒有配備專業的技術人才、沒有設定合理安全流程的企業來講,只靠采購安裝軟、硬件安全產品來避免威脅或在遇到威脅時應急處理,是非常不現實的。
對此,CISP全面覆蓋全球信息安全知識,充分貼合中國信息安全國情,具有非常系統化的知識體系,使用組件模塊化的結構,包括知識類、知識體、知識域和知識子域四個層次,更注重全面性、前沿性和實用性。
《上海信息化》:國際上也有CISSP等信息安全培訓,與之相比CISP有什么優勢或特點?
鄧高峰:國際上除了(ISC)2的CISSP(信息系統安全專家)培訓之外,還有ISACA的CISA(注冊信息安全審計師)、ISO27001的主任審核員等與信息安全相關的人員培訓,但分別側重技術、審計和管理體系,參與培訓的人員也未必是信息安全從業人員。國內有公安部的信息安全師、工信部網絡信息安全師、國家信息安全認證中心的CISAW(信息安全保障從業人員)等培訓,還有不少社會化IT培訓中也有所謂的信息安全模塊,但是無論從專業人員定位、培訓體系構成還是從與國家信息安全保障工作的關聯度來看,均遜色于CISP。
CISP最初是瞄準CISSP所設計的高端專業培訓,十年來結合國家信息安全保障的需求,不斷得到更新和充實,現在已形成由CISM(注冊信息安全人員)、CISO(注冊信息安全管理人員)、CISE(注冊信息安全工程師)、CISP-AUDIT(注冊信息安全審計師)、CISP-DRP(注冊信息安全災難恢復工程師)、CISD(注冊信息安全專業開發人員)所構成的系列培訓和人員認證。所以說,如果希望在信息安全行業長期發展,就目前而言,CISP專業培訓具有不可替代性。
《上海信息化》:今年上海針對信息安全教育培訓有什么具體的政策和要求?
鄧高峰:“發展以安全為重,安全以人才為本”是CISP培訓的宗旨,信息化的成效很大程度上取決于信息安全保障水平,而信息安全保障的關鍵在于人,CISP培訓的初衷就是在最大范圍建立大家的信息安全意識,并針對信息安全相關人員普及信息安全知識,掌握必要的信息安全技能。就目前來看,CISP不僅是申請信息安全服務資質的必備條件,并在越來越多的行業成為信息安全崗位的“上崗證”,上海市也開始要求IT服務外包企業將信息安全專業人員納入技術團隊標準配置。
火花1 : 安全產品走向融合
在網絡通信界的巨頭們熱烈討論網絡融合美妙前景的同時,網絡安全界已經用行動去品嘗各種安全技術融合的滋味。但如果我們比較一下兩種融合趨勢就會發現他們之間有很大差異。
網絡通信的融合的源動力來自新技術的創新,而這種融合的方向是多種業務在一個平臺上的承載。而信息安全界的融合源動力來自網絡攻擊手段的融合。而融合的方向是以安全技術的融合對抗攻擊手段的融合。可以說信息安全界的融合是讓愈演愈烈的網絡攻擊逼出來的雖然這聽起來有點以彼之道還彼之身的味道,但事實確實如此。以網絡病毒為例從去年的尼姆達到今年的振蕩波,沖擊波,還有最近的QQ尾巴,我們可以看出在現在的網絡攻擊手段中,既包括病毒攻擊,也包括隱通道、拒絕服務攻擊,還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊模式。雙拳難敵四手,眾多攻擊手段讓傳統上各自為戰的安全產品破綻百出。
IDS不是用來對付網絡蠕蟲的,防病毒軟件不會理睬網絡上拒絕服務攻擊,防火墻對病毒攻擊和隱藏在合法服務下木馬后門鞭長莫及。用戶不是技術專家,當安全問題出現時,他們不會追究到底是擺在這邊的防火墻還是放在那邊的IDS誰失職,他們會責問安全提供商:我掏了一大堆錢,為什么我的網絡老出問題,你們安全產品到底靈不靈?
入侵檢測技術側重監測、監控和預警領域,而防火墻和IPS能在訪問控制領域發揮長處,防病毒軟件,安全認證分屬于不同的安全領域的安全產品,可惜用戶并不是討論某一種安全技術乃至某一個安全產品與其他技術和產品哪個更安全,其實不如探討如何將各種安全產品整合成一個安全體系讓這些安全產品有效地協同工作更為務實。
我們可以看到現在各大安全產品制造商的產品線已經在嘗試將不同的技術融合在一起:以側重于檢測的入侵檢測技術和側重于訪問控制的防火墻技術兩種技術協同和融合起來一直是信息安全研究的前沿課題。而防火墻和防病毒的融合已經在防毒墻這一產品中得到體現。所以只有將不同安全側重點的安全技術有效的融合起來,安全產品的性價比才能更高,才能在日益激烈的信息安全市場上有優異的表現。
一個木桶能裝多少水不但要看木桶最短的那塊模板的長度,也要看木板之間的緊密程度。這個模型應用在信息安全領域就是:一個企業網絡的信息安全不但依賴單個安全產品自身的性能也依賴于各個安全產品之間的協作。眾多安全產品之間的關系不是簡單堆砌,而是相互協作,將不同安全防范領域的安全產品融合成一個無縫的安全體系。
來自天融信的余海波介紹說:這種融合趨勢不僅僅是安全技術,也席卷了安全體系和架構。網絡安全產品已不能再僅僅是個安全設備,還必須是個高性能的網絡設備。
思科自防御網絡的體系框架把安全的基因融合到路由器、交換機、終端、防火墻+VPN+IDS產品中,并采用了集成化管理軟件。從終端方面的網絡準備控制(NAC),到交換機上的防火墻、入侵檢測、流量分析與監控、內容過濾形成全面的網絡安全防御體系。這個安全防御體系代表了安全和網絡融合成一體的整體安全解決方案也成為網絡安全領域的共識和發展方向。
火花2: 安全廠商之間不僅僅是競爭關系
說到競爭,在信息安全市場上,安全廠商們之間不僅僅是激烈的競爭,他們還有合作。合作不僅僅是不同領域的安全產品之間的必須有良好的兼容性,這個技術問題對于前來座談的廠商不是什么大問題,真正的問題來自于廠商之間在市場競爭中的合作。來自瑞星公司的市場部副總經理馬剛談到了價格競爭,講了一個真實案例,在一次采購招標中,一家小的安全產品服務商為了能拿到一個單子,用低于盜版的價格硬是將瑞星還有另外兩家國內知名安全廠商擠出局,馬剛說:“當我聽到他的報價,一個單機版5元!那就沒什么可說的了。5元一個軟件,別說是軟件開發成本,服務提供成本,就是我的服務人員來你這里提供及時的上門服務的車票錢都不夠!”
這種嚴重的惡意壓低產品價格只能是阻礙,而不是促進信息安全業的健康發展。非理智的低價競爭恐怕受損失不僅是廠商自己,用戶最終也會為這個非理智低價承擔相應的損失。而剛才那個案例的用戶就是折騰了兩個星期后又把上面3家安全產品提供商請回來重新競標,原因當然也勿須多說,從這個案例我們可以看出信息安全這個產業需要每一個參與游戲者都自覺遵守一定的游戲規則,而其中一條重要的規則就是不參與低價競爭。需要指出的是現階段的信息安全產業環境和網絡通信界的產業環境有一個重要的不同:那就是競爭過度。網絡通信界天天有人喊打破壟斷,鼓勵競爭,只有競爭可以讓壟斷者出讓一部分剩余讓消費者享受,可是在信息安全產業內是恰恰相反,競爭的不止是有點過頭,而是千軍萬馬過獨木橋,十幾家廠商為一個單子互開低價,而且是一邊罵別人瞎搞拆臺,一邊給用戶開出0折扣的支票,讓客戶自己去填價格!這種惡性競爭不但影響安全制造商,安全服務提供商自己的健康成長,而且超低價產品和超廉價服務只是一個短期行為,長期下去會滋生劣質產品、劣質服務,這反而不利于信息安全市場的成長。
所以安全廠商之間不僅僅是刺刀見紅的競爭關系,而且每一個想在信息安全產業做久做大的企業都必須建立一種戰略合作,通過這種合作去建立一種行業秩序,這種行業秩序同國家的宏觀產業政策互相呼應才能營造出一種良好的市場環境,促進信息安全市場健康發展。顯然信息安全市場的健康發展的受益者是信息安全市場的每一個參與者,不僅是產品和服務的提供者,還有產品和服務的接受者。我想信息安全界自律公約的出臺就說明這種合作的必要性已經被各大信息安全相關廠商意識到了。
火花3 :信息安全服務-產業的盲點
啟明星辰的楊繼生分析當前信息安全服務市場時說道:現在的信息安全服務基本上分為安全評估服務,安全培訓,安全外包、安全集成、和應急相應。現在能看到利潤的主要是安全評估和安全集成。而安全培訓和應急相應多是對用戶的售后服務,而在國外開始流行的安全外包服務在國內尚沒有成氣候。信息安全服務對安全設備提供商意味著什么?冠群金辰的黃遜認為服務就是贏得客戶對產品以及產品背后的廠商信賴和認可的重要手段,良好的服務積累起來的口碑是冠群金辰取得用戶信任的干將莫邪(注:冠群金辰曾以七種上古神兵做為自己七款產品的代言人)!而東軟市場的路娜則講述了東軟在完成了一次及時高效應急服務后,贏得大客戶的信任,得到一筆不菲訂單的成功案例。也許是受限于座談會的時間短暫,關于信息安全服務的話題沒有深入的進行下去。
還有什么沒有談到的嗎?
在我看來,良好的服務給安全產品提供商帶來不僅僅是口碑、商機。信息安全服務對于信息安全提供商還有兩個戰略意義。
1 信息安全市場的入場劵
讓我們先從兩個統計數據來感受熱鬧的信息安全市場:
數據1:2007年全球安全市場的總額將從2002年的639億美元增長為1,188億美元,其中硬件、軟件和服務的市場占有率將分別為32.4%、34%和33.6%,其市場規模平均增長率分別是11.8%、12.2%和15.8%。按照IDC對安全的新定義,安全領域可細分為物理安全、信息安全和業務連續性安全,信息安全是安全市場增長最多的領域。IDC預測,亞太區信息安全的市場規模將從將從2003年的37億美元增長為2007年的83.4億美元,而中國信息安全市場則從2億美元增長為6.7億美元,年均增長率為34%,遠遠超過整個亞太市場22.9%的年均增長率。 (數據來源:IDC(國際數據公司)2004年亞太安全論壇)
數據2:2002年底,我國國內與信息安全相關的注冊公司已達1300多家,其中具有技術研發能力的350多家,有自主產品的190家,具有成熟產品的80家;已領取了安全產品銷售許可證的產品有近500種,通過信息安全測評認證的產品有140多個。 (數據來源:中國信息產業商會信息安全產業分會)
兩個統計數據給我們這樣一個問題:信息安全市場容的下1300家企業嗎?
答案是:過去容不下,將來更容不下。信息安全市場的高速發展的另一面就是高淘汰率。顯而易見,信息安全市場越成熟,市場的資源配置會就越來越集中到更少而不是更多的公司手中,這是資本的規律。問題的關鍵是會淘汰什么樣的企業?第一感覺告訴我們是技術,只有擁有核心技術的信息安全公司才會在激烈的市場競爭中幸存,但是如果你站在用戶的角度上就會發現并不完全是這樣。用戶真正關心的不是你賣給他的硬件設備是基于NP還是ASIC的硬件平臺,是千兆設備還是百兆設備,他關心的是你的設備能否既能保證他內部網絡的安全的同時,又能兼顧正常的網絡轉發性能。他們最終關心不是你的防火墻是采用狀態檢測機制還是深度檢測機制,你的IDS是基于主機的還是基于網絡的,而是用了你的設備后,他的機密信息是否真正安全了,他們的內網安全在你的設備和你的安全方案下得到了真正的安全。簡而言之,核心技術對用戶應該是透明的,用戶看的到的是廠家的服務。廠家所能提供服務水平是這個廠家的技術實力、資本實力、管理實力、市場運作實力的綜合體現。限于條件,筆者只能在這里提出一個假設:如果能將這四種實力進行計量形成一個加權綜合服務指數,那么這個綜合服務指數的排名和廠商在市場的份額應該是直接對應的。
這種信息安全廠商的服務隨著信息安全市場的發展將積累成一種資格,而這種資格一面淘汰那些不能提供長期優質服務的信息安全廠商,一面也逐漸成為信息安全產業后來者的入場劵。現在的信息安全廠商要想利用先發優勢享用更多的信息安全市場高速發展帶來的豐厚利潤,就必須做好他們的服務,他們的服務越好,后來者就越不容易進入這個產業。
2 未來安全產品制造商的避風港
常言道:居安思危。現在信息安全產品提供商現在注意到的是不規范的市場秩序和高速發展的市場,不知他們考慮過螳螂捕蟬,黃雀在后。或許在他們相互為爭奪客戶拼個你死我活時,像CISCO這樣的網絡設備提供商和微軟這樣的軟件商正在暗自打算如何搶走他們的奶酪,他們苦心經營的技術優勢恐怕對于這些巨頭來說只是薄薄的一層窗紗。顯而易見CICSO和華為這樣的網絡設備提供商進入防火墻、IDS的市場難度,遠小于防火墻制造商進入交換路由市場的難度,微軟做防毒軟件更是有得天獨到的優勢。
如果換一個角度看CISCO的自防御體系和華為的“i3安全”,就會發現CICSO和華為這樣的網絡設備提供商,正在考慮利用其完善的網絡基礎設施產品線,把相關的安全產品融合到網絡構架中。對用戶來說絕對是一個好事,因為他們把技術層次上的信息安全做的可謂滴水不漏。可是對于現在得信息安全廠商來說可是一個嚴峻得考驗。當網絡設備提供商用自己全面的生產線為用戶建立起完善的安全體系的時候,真不知道,防火墻也好,IDS也罷,他們能賣出多少。我是在危言聳聽嗎?但愿是。
至于微軟捆綁銷售防毒軟件我不想多說,免的給他造勢,反正我知道網景當年可是高速成長的明星公司......
我猜想現在這些巨頭們光動口,不動手的根本原因是現在的信息安全市場還不夠肥,他們進入的時機還沒有成熟,他們一面在炒概念,一面在不遠處的地方觀望著,對他們來說這是收益和成本的權衡,一旦他們信息安全市場規模發展到他們的收益超過他們的成本,他們可以在很短的時間內殺入這個狹窄的市場。
信息系統安全體系的研制和建設是一個非常復雜的過程,如果沒有與之相配套的安全標準做支撐,就不能實現系統的安全可信,只有從系統的視角全面考慮信息系統的安全性,構建起合理的信息安全標準體系,才能保證各信息系統和平臺的安全可控和高效運行,也只有建立起涵蓋系統安全結構的完整的技術標準體系,才能促進安全組件之間的相互協作和關聯操作,實現系統安全性的最大化。
1信息安全標準體系分類現狀
1.1信息安全國際標準現狀及分類體系
1.1.1美國國防部信息安全標準體系
美國國防部(DoD)將美軍信息安全標準按安全部件與安全功能相結合的方法進行分類,其標準體系見圖1,其中安全部件以信息流為主線貫穿始終,分為信息處理安全標準、信息傳輸安全標準、信息理解表示安全標準、安全管理標準和安全環境標準五類。安全功能從信息安全的基本要素(機密性、完整性、可用性、可控性、抗抵賴性)來進行劃分,分為鑒別安全服務標準、訪問控制安全服務標準、保密性安全服務標準、完整性安全服務標準、抗抵賴性安全服務標準和可用性安全服務標準六類。DoD的信息安全標準體系,雖然覆蓋全面,但安全部件和安全功能之間的標準交叉重復比較多,層次不夠清晰。
1.1.2聯合技術參考模型(JTA 6.0)
JTA 6.0中的信息安全標準體系為實現對國防部信息系統的安全防護提供了支撐,包括(本地)計算環境、飛地邊界、網絡和基礎設施、支撐性基礎設施和安全評估五類標準。這種分類比較合理,但分類下面對應的標準大部分是國際標準和美國國家標準,因此,應在借鑒該分類的基礎上,針對目前我國已有的國家標準,建立起合理的標準體系。
ISO信息安全工作組分類如圖3所示。目前,ISO制定的信息安全標準按照工作組的分類分為信息安全管理體系(ISMS)標準、密碼和安全機制、安全評價準則、安全控制與服務和身份管理與隱私技術五類。該分類方法比較粗糙,對于建立安全運行的信息系統,針對性不太強。
1.1.4國際電信聯盟(ITU-T)標準
ITU-T SG17組負責研究網絡安全標準,包括通信安全項目、安全架構和框架、計算安全、安全管理、用于安全的生物測定、安全通信服務,如圖4所示該分類方法對信息安全技術分類比較粗糙,信息安全技術也只側重于通信安全。
ITU-T頒布的比較有影響力的安全標準主要有:消息處理系統(X.400系列)、目錄系統(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509標準是PKI的重要基礎標準,X.805是端到端通信安全的重要標準。
目前,ITU-T在安全標準化方面主要關注NGN安全、IPTV安全、身份管理(IDM)、數字版權管理(DRM)、生物認證、反垃圾信息等熱點問題。
1.2國家信息安全標準體系
我國國家信息安全標準自1995年開始制定,至2002年共制定標準19項,全部由國際標準直接轉化而來,主要是有關密碼和評估的標準。在這19項中,2004年后已有12項進行了修訂。自全國信息安全標準化技術委員會2004年成立以來至目前我國實際現存正式信息安全標準87項,這些標準中,既包括技術標準,如產品和系統(網絡)標準,亦包括管理標準,如風險管理標準等,覆蓋了當前信息安全主要需求領域。
由此可見,目前我國信息安全標準的制定工作已經取得了長足的進展,標準的數量和質量都有了很大的提升,本著“科學、合理、系統、適用”的原則,在充分借鑒和吸收國際先進信息安全技術標準化成果和認真梳理我國信息安全標準的基礎上,經過全國信息安全標準化技術委員會各工作組的認真研究,初步形成了我國信息安全標準體系。該標準體系分類相對合理、全面,涵蓋了體系結構、安全保密技術、安全管理和安全測評等方面的標準,但龐大繁雜的標準體系常常讓開發人員無所適從,無法選取需要遵循的標準。因此,針對信息安全系統的開發工作要進一步精簡標準體系,突出重點,尤其是影響系統集成方面的安全接口標準,進而增強各個安全組件之間的互操作和安全技術間的協作,提升整個信息系統的安全防護能力。
支撐性基礎設施主要涉及到實現通信與網絡、應用環境和數據安全所應用的支撐性技術,包括認證、授權、訪問控制、公鑰基礎設施(PKI)和密碼管理基礎設施(KMI)。
通信與網絡安全主要體現在網絡方面的安全性,包括網絡層身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性、遠程接入的安全、域名系統的安全、路由系統的安全、入侵檢測的手段、網絡設施防病毒等。
應用環境安全主要包括終端安全和應用系統安全。其中:
終端安全主要包括計算機和服務器的安全。其中服務器可以歸結為廣義上的終端,防火墻、IDS、服務器存儲備份等技術可以為服務器提供安全服務。
應用系統的安全問題主要來自網絡內使用的操作系統和數據庫的安全,操作系統安全主要表現在三個方面:(1)操作系統本身的缺陷帶來的不安全因素,主要包括身份認證、訪問控制、系統漏洞等;(2)對操作系統的安全配置問題;(3)病毒對操作系統形成的威脅。數據庫系統的威脅主要來自:非法訪問數據庫信息;惡意破壞數據庫或未經授權非法修改數據庫數據;用戶通過網絡進行數據庫訪問時受到各種攻擊,如搭線竊聽等。
系統中的數據是系統運行的核心,數據的安全性保障關系到整個系統能否正常運行和服務。數據安全通過數據容災備份技術、網絡隔離技術和加密技術保障數據的完整性、不受損壞、不被竊取。數據容災備份主要通過對系統、數據、文件等進行快速、完整備份,保證數據的安全性,并支持快速恢復的機制。網絡隔離技術主要通過隔離網絡攻擊來確保網間數據的安全交換。數據加密主要通過鏈路加密和節點加密來確保數據不被截獲。
安全運維管理是在企業進行了一定的安全系統建設之后的工作,其目的是保證所應有的安全產品和技術能夠真正、充分發揮其預期應有的效果和效率。安全運維管理包括安全設備的策略配置、安全測評、安全監控和審計、安全應急響應等方面的技術,主要完成安全風險的實時監控和安全問題的處理等系統安全保障工作。
3信息安全標準分類體系
信息安全技術參考模型是建立信息安全標準體系的基礎和前提,只有在信息安全技術發展趨勢的基礎上建立起覆蓋全面,分類合理的標準體系,才能科學地預見需要制/修訂的標準,進一步明確信息安全標準化的研究方向,更好地支撐信息安全系統的開發和集成,確
保系統內部和系統之間形成安全可信的互連互通互操作。在前面提出的技術參考模型的基礎上,進一步對信息安全標準體系進行了劃分。 應用環境安全主要包括終端安全和應用系統安全。其中:
終端安全主要包括計算機和服務器的安全。其中服務器可以歸結為廣義上的終端,防火墻、IDS、服務器存儲備份等技術可以為服務器提供安全服務。
應用系統的安全問題主要來自網絡內使用的操作系統和數據庫的安全,操作系統安全主要表現在三個方面:(1)操作系統本身的缺陷帶來的不安全因素,主要包括身份認證、訪問控制、系統漏洞等;(2)對操作系統的安全配置問題;(3)病毒對操作系統形成的威脅。數據庫系統的威脅主要來自:非法訪問數據庫信息;惡意破壞數據庫或未經授權非法修改數據庫數據;用戶通過網絡進行數據庫訪問時受到各種攻擊,如搭線竊聽等。
系統中的數據是系統運行的核心,數據的安全性保障關系到整個系統能否正常運行和服務。數據安全通過數據容災備份技術、網絡隔離技術和加密技術保障數據的完整性、不受損壞、不被竊取。數據容災備份主要通過對系統、數據、文件等進行快速、完整備份,保證數據的安全性,并支持快速恢復的機制。網絡隔離技術主要通過隔離網絡攻擊來確保網間數據的安全交換。數據加密主要通過鏈路加密和節點加密來確保數據不被截獲。
安全運維管理是在企業進行了一定的安全系統建設之后的工作,其目的是保證所應有的安全產品和技術能夠真正、充分發揮其預期應有的效果和效率。安全運維管理包括安全設備的策略配置、安全測評、安全監控和審計、安全應急響應等方面的技術,主要完成安全風險的實時監控和安全問題的處理等系統安全保障工作。
當前,我國信息消費保持高速發展態勢,今年前五個月全國信息消費規模達到1.38萬億元,同比增長19.8%。總體看來,全國網絡和信息基礎設施進一步完善,信息服務和應用創新活力不斷,居民消費潛力空間不斷釋放,電子商務增勢繼續高歌猛進,終端產品的智能化應用不斷拓展,以家庭寬帶接入、網絡視頻、網絡購物、微媒體、手機支付、手機視頻為依托的新興消費對經濟增長的拉動作用持續增強。
然而,伴隨著信息消費的快速發展,安全問題也逐步凸顯,如植入木馬病毒、發送垃圾信息、散布有害信息、實施網絡詐騙、設置釣魚陷阱等違法犯罪現象頻頻出現,這些現象在侵犯公民合法權益的同時,更對信息消費環境安全構成了嚴重威脅。
信息消費擴容離不開網絡信息安全,更需加強隱私保護,加強信息安全立法保障。在8月初國務院下發的《國務院關于促進信息消費擴大內需的若干意見》中就明確指出,要“提高信息網絡安全保障能力”、“加強信息安全關鍵軟件的開發應用,加快安全可信關鍵應用系統推廣”、“加強工業控制系統軟件開發和安全應用”、“構建安全可信的信息消費環境基礎,大力推進身份認證、網站認證和電子簽名等網絡信任服務,推行電子營業執照”、“提升信息安全保障能力,提升網絡與信息安全監管能力和系統安全防護水平”、“加強個人信息保護,積極推動出臺網絡信息安全、個人信息保護等方面的法律制度”等一系列與信息安全緊密相關的內容,這充分說明了信息消費必須要在安全可靠的環境中保持可持續健康發展,也進一步突出了從信息安全視角來保障信息消費發展的緊迫性和必要性。
信息安全與信息消費的發展是相互促進和共同發展的。一方面,信息安全防護能力的增強會提升消費者信息消費的信心,進一步刺激和釋放信息消費的需求,一定程度上促進了信息消費規模化發展。另一方面,信息消費的快速發展也對信息安全提出了更高的要求和挑戰,亟需加強信息安全關鍵軟硬件核心技術和產品突破,完善信息安全服務體系,建立健全信息安全相關法律法規和制度,構建安全可靠的信息消費環境。
保障信息消費安全發展得到了政府部門的高度重視。在8月底國家發展改革委下發了《關于組織實施2013年國家信息安全專項有關事項的通知》中,就重點支持與信息消費息息相關的金融信息安全、云計算與大數據信息安全、信息安全分級保護、工業控制信息安全四大領域,并針對四大領域的重要信息系統進行安全可控試點示范,一定程度上為信息消費安全可控發展保駕護航。
總體而言,從信息安全層面來考慮信息消費發展需注重以下幾個方面:一是提升全民信息安全防護意識,營造良好的社會安全環境,尤其是信息消費相關職能部門、信息消費市場相關企業以及參與信息消費的公民個人需要從思想上高度重視,將信息安全問題上升到國家安全的高度來認識,為信息消費積極營造良好的社會環境和輿論環境。二是加強和完善信息安全法規建設,加強對信息消費有關安全法規的研究,加強制度建設的探索,從維護信息資源合理使用,維護信息正常流通,維護用戶正當權益出發,及早制定出可操作性強、科學配套的信息消費安全法規體系。三是加強信息安全技術、產品和服務模式創新,提升信息消費安全保障能力。如建立全國統一的信息數據庫,加強網絡安全技術平臺的建設,實現對網絡安全運行情況的全方位監控,提高信息消費過程中安全事件的異常發現、分析和處置能力。四是高度重視引進和培養信息安全專業人才,積極支持信息安全專業學科設置和培訓機構建設,積極引進和培養一批政治素質高、并具有信息安全技術法律知識和管理能力的復合型人才和專業技術型人才。
隨著信息化的高速發展,為企業及社會帶來了顯而易見的效益:提高的工作效率、減少的紙張浪費、快捷方便的通訊等等。但信息化也是一柄"雙刃劍",尤其是在企業管理、商業保密等工作中,還存在著令人堪憂的隱患:
一是物理安全風險。物理安全風險包括計算機系統的設備、設施和信息面臨因自然災害、環境事故(如斷電)、人為物理操作失誤以及不法分子進行違法犯罪等風險。
二是數據安全風險。數據安全風險包括競爭性業務的經營和管理數據泄漏,數據被人為惡意篡改或破壞等。
三是網絡安全風險。網絡安全風險包括病毒造成網絡癱瘓與擁塞、內部或外部人為惡意破壞造成網絡設備癱瘓、來自互聯網黑客的入侵威脅等。
二、保證企業信息安全的基本對策
2.1正確認識企業信息安全問題。
企業的信息安全問題,絕不僅僅是一個僅靠防火墻、密碼等等技術就能解決的問題,它還與人們的職業道德、社會道德以及企業管理等問題密切相關。因此,在維護企業信息安全時,我們必須站在宏觀的角度對問題進行考慮。在過去看來,一個企業信息的安全問題,是領導層或者IT單個部門的事情,但是憑少數人或部門的工作,對于保障公司的信息不被泄漏,防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為,意識指導行動,信息安全問題首先要解決的是員工的思想認識問題,只有企業的每一個人都認識到信息安全的重要性,才能在工作中自覺地維護信息安全。因為在任何一個體系中,人都是最活躍、最具有影響力和決定意義的因素,因此對于企業的信息安全問題而言,企業內部員工才是保護信息安全的最可靠、最有效的重大保障。此外,還可以加強引進信息安全技術人才以及信息安全管理人才,并在日常工作中,加強對隊伍專業知識以及工作技能的培訓,從而為企業建設一支強有力的信息安全保衛隊伍。其次信息管理部門要全面作好專業技術支持與防范工作,根據業務的需求采取適當的保護措施,實施專業應用系統。例如,保護企業信息安全的技術可以采用主動反擊、網絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI服務、身份識別、備份恢復、網絡隔離等等保護產品以及保護技術,通過確保信息安全的最大化,來實現企業生產經營持續發展以及經濟效益的最大化。此外,還可以在工作的過程中,進一步優化企業信息安全管理,并進行管理監控以及安全風險評估,分析入侵防范、服務器架構等等關鍵問題,以全面性、多角度的掌控,確保企業信息系統的安全性、穩定性,因為信息安全問題不具有靜態性,信息管理始終處在一個不停變動的動態性過程,因此即使我們不可能確保信息的絕對安全,也必須做到相對安全,從而最大限度的降低企業風險。
2.2建立健全信息安全管理制度。
信息安全不僅是技術問題,更主要是管理問題。任何技術措施只能起到增強信息安全防范能力的作用,俗話說“三分技術,七分管理”,只有良好的管理工作才能使保障技術措施得到充分發揮,是能否對信息網絡實施有效信息安全保障的關鍵。現在中國石油股份有限公司內控體系中涉及信息內部控制的《信息系統總體控制辦法》(以下簡稱“GCC”)就很好的涵蓋了信息安全的各個方面,包括了機房管理、服務器管理、網絡管理和系統管理等。因此在實際的工作中,我們可以通過“三步驟”來實現企業信息的安全管理制度的健全化、完善化。第一,結合企業自身的實際,分析企業存在的問題以及預期的目標,制定具有科學性、合理性、實效性、可行性的信息安全管理制度,使保護信息安全工作做到有法可依,有章可循。第二,建立信息安全管理機構,明晰信息安全管理負責人的職務和責任,并建立相應的考核機制和激勵機制,以督促、鼓勵相關負責人的工作,提高信息管理工作質量。第三,真正貫徹管理措施,加強制度的執行力度,只有這樣,才能從根本上實現管理工作以及工作目標,最終提高企業的信息安全管理水平。
三、加強企業信息安全保障的幾點措施
如何有效地解決企業信息安全的專業性管理與技術性防范,筆者認為可從以下幾個方面著手。
3.1實行嚴格的網絡管理。企業網與互聯網的物理隔離、防火墻設置以及端口限制,與互聯網相比安全性較高,但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題,具體而言:一是在IP資源管理方面,采用IP+MAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣,就不會出現IP地址被盜用而不能正常使用網絡的情況;二是在網絡流量監測方面,使用網絡監測軟件查看數據、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發現病毒的轉移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統多為WindowsServer,可利用其自帶的安全管理功能進行設置,包括服務器安全審核、組策略實施、服務器的備份策略以及系統補丁更新等。
3.2加強客戶端監管。對大多數單位的網管來說,客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題,這里推薦以下方法:
(1)將客戶端都加入到域中,使客戶端強制性納入管理員集中管理的范圍。
(2)只給用戶以普通域用戶的身份登錄到域,這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權利。
(3)實現客戶端操作系統補丁程序的自動安裝。
(4)利用企業IT部門的工作職能,設置熱線幫助和技術支持人員,統一管理局域網內各客戶端問題。
3.3堅持進行數據備份。由于應用系統的加入,各種數據庫日趨增長,如何確保數據在發生故障或災難性事件情況下不丟失,是當前面臨的一個難題。從成本及易操作性考慮,這里推薦以下兩種數據備份方法:一種是用硬盤進行數據備份;另一種是采用本地磁盤陣列來分別實現各服務器的本地硬盤數據冗余。
C=CBNweekly
K=郭尊華(Bernard kwok)
C: 您怎么看這幾年信息安全行業的變化?
K: 我想主要體現在四個方面:首先是信息安全攻擊越來越有針對性,我們發現有57%的攻擊是針對一臺電腦。不像以前一個病毒恨不得在全世界范圍內傳播;其次是攻擊的目的一直在改變。從一開始是想把你的網站同步,到把顯示屏變得不能用,再到竊取公司的關鍵信息,比如客戶信息和財務報表,現在是控制和影響整個基礎架構;再次是信息安全所帶來的影響越來越大,無論是從錢的角度,還是公司受到信息安全威脅時不僅會影響到業績、商譽,政府也可能會有處罰;最后,各個政府對信息安全的要求和規格都越來越高,這有兩個目標,一是怎么保證公民利益,二是怎么營造環境讓企業符合信息安全水平從而提高整體的競爭力。
C: 對云計算要求改變處理信息的IT方式,您怎么看?
K: 簡單來說,以前企業的IT部門可能更側重技術,在云計算之后可能會更多地考慮安全服務和公司業務的結合。大家都知道企業可以選擇自己的IT去做信息安全管理,也可以外包給別人來做。以前的說法是IT部門是成本中心,現在管理層的另一個選擇是讓提供商來提供服務,從技術的考慮變成了成本和服務的考慮,IT部門就成了提供云解決方案的一個因素。
第二,雖然外包服務商會保障服務水平,但我認為,一個企業可以外包一部分工作給別人做,但是責任是不可能外包的,所以IT部門的工作性質可能改變了,但是角色還是很重要,他們要保障提供商的服務是合適的。
C: 個人要保護自己的隱私,但IT部門又要控制公司的全部信息,應該怎么平衡?
K: 如果你丟了一部手機,你寧愿手機丟了,也不要丟了里面的信息。但并不是所有信息都有同等價值。一個公司要保證信息安全,必須要把信息分類,有哪些是公司的機密,比如信用卡資料,客戶資料。信息要根據價值來分級,比如可以分為絕密、可以共享的、屬于員工的。分級之后有授權,也就是讓大家都清楚哪些資料是受到保護的,以及誰有權力去讀和寫,最后要明確這些信息的存儲位置和管理策略。
C: 您對今后信息安全行業的發展趨勢有什么判斷?
K: 第一,云計算會帶來機會和挑戰,信息安全仍然是關鍵的考慮因素,怎么鞏固用戶在云計算環境的信息安全經驗很重要。第二,虛擬化會被極大地推動。第三,無論是在互聯網還是在移動互聯網,最關鍵的是保護用戶信息和用戶的身份。現在操作平臺越來越多,應用也層出不窮,但信息安全的重點不在應用,也不是操作系統,而是用戶的信息。硬件所搭載的平臺可能會變,但是信息的重要是從來不變的。第四是信息仍然爆炸性增長,對企業來說,怎么用更少的資源應付更多的問題和存儲量是一直要面對的問題。從2009年到2020年,信息量會增長44倍,如果一個企業繼續購買和管理更多存儲,成本會非常高。第五是信息安全的威脅層出不窮。服務商怎么保證客戶的信息安全仍然是個問題。
摘要:本文根據高校的具體情況,對網絡與信息安全實驗教學體系的相關問題進行探討,提出了一個網絡與信息安全實驗教學體系的參考方案。
關鍵詞:網絡與信息安全;實驗教學體系;信息安全人才培養
中圖分類號:G642
文獻標識碼:B
1引言
網絡與信息安全是一門實踐性很強的學科,目前大多數高校的網絡與信息安全課程偏重于理論教學,相應的實驗教學環節滯后。建設一個滿足網絡與信息安全專業教學要求的實驗教學體系,對信息安全專業的建設和培養合格的網絡與信息安全人才具有重要的意義。
2我國網絡與信息安全人才培養的模式分析
我國現有的網絡與信息安全人才培養的教學模式還主要是以授課為主,或者利用一些簡單工具進行演示。這樣的教學模式存在以下問題:
(1) 偏重理論知識的傳授,不太強調實踐能力的培養。
(2) 實驗內容單一而且彼此相對獨立。網絡與信息安全是一個整體概念,必須培養專業技術人員的整體安全意識,專業技術人員必須具有綜合的安全技能。
(3) 不強調實驗環境的真實性。現實的信息系統環境不允許專業技術人員出現失誤,真實的實驗環境將有助于培養學生的安全意識。
3建立符合創新性人才培養的網絡與信息安全實驗教學新體系
新的形勢要求我們對實驗教學進行改革,設計出一批更適合學生教學要求的、不同層次的實驗項目。整個實驗教學體系以提高實踐能力、增強綜合應用知識、解決具體問題的能力為目標,以加深基礎知識、增強綜合應用知識能力、提高創新研究能力為主線進行構建。實驗內容從基礎驗證實驗、綜合設計實驗和研究創新實驗三個層次進行設計。
3.1信息安全實驗
通過信息安全系列實驗,使學生深入理解信息安全的概念,增強計算機系統安全意識,掌握保障網絡信息安全的一些基本技術的使用方法,其中最主要的是防火墻數據包過濾功能和NAT功能的配置。
(1) MD5算法實現與應用。
(2) 數字證書發放。通過服務器網絡中的CA證書服務器,為各個實驗小組中的成員在線或離線發放數字證書。讓學生掌握公鑰密碼體制中公鑰和私鑰生成、公鑰的安全傳送、私鑰的存放、數字證書的申請和存放等技術,加深對基于PKI的數字證書技術整體框架的理解。
(3) 基于數字證書的身份認證。各小組的成員以發放的數字證書為憑證,訪問服務器網絡中的網絡服務。服務器在提供網絡服務之前,要先通過小組成員的數字證書進行身份認證,只有合法的用戶才能獲得相關的服務。
(4) 防火墻的設置與測試。設置防火墻,熟悉防火墻的功能。通過配置自己網絡中安裝的“清網”防火墻和Linux防火墻來訪問、攻擊服務器網絡中的網絡應用服務器。通過配置防火墻過濾規則和攻擊用PC機上的各種攻擊工具,理解防火墻在網絡中的地位、作用和工作機理、熟悉防火墻的各種配置手段。
3.2網絡安全實驗
通過網絡安全系列實驗,使學生深化理解計算機網絡安全的概念,及網絡安全協議的標準與技術。增強計算機網絡安全意識,掌握網絡安全協議的內容與理論,具備一定網絡安全保護能力。
(1) PGP實現電子郵件安全。PGP可保證郵件的機密性、完整性以及不可抵賴性等。通過實驗,使學生掌握用PGP進行加密和數字簽名的方法。
(2) 用SSL安全協議實現WEB服務器的安全性。掌握如何用SSL安全協議在Internet與Intranet服務器和客戶端間進行安全傳送數據,通過WEB服務器和瀏覽器來保證用戶與WEB站點安全交流。
(3) 虛擬專網(VPN)實驗。通過組建VPN以掌握相關協議的具體應用。這些技術包括VPN 技術及其配置、數字證書發放的實驗、通過數字證書進行身份認證的實驗、入侵檢測實驗、病毒防治實驗、網絡掃描實驗等。
(4) 網絡攻防實驗。通過網絡攻防實驗,使學生掌握木馬攻擊與防范、DOS攻擊與防范、漏洞掃描、明文嗅探、網頁木馬、洪泛攻擊、文件型病毒攻擊與防范的方法。
3.3網絡與信息安全創新實驗
創新提高型實驗要求學生綜合應用多門課程的知識,針對某個有創意的想法,在教師指導下完成設計和實現工作,幫助學生提高創新意識和創造能力。創新提高型實驗內容來源于教師的科研項目、學生的自主科研選題、社會實踐活動和企事業應用需求,實驗內容是不斷變化的。例如反彈式木馬的設計與實現、數字水印技術的研究與應用、敏感信息過濾系統設計、病毒掃描引擎設計與實現、IPv6環境下的網絡信息安全問題的研究等。實驗室給高年級學生及研究生進行網絡信息安全方面的創新實驗提供相應的環境。
4結束語
網絡與信息安全是一門實踐性很強的學科,建設一個滿足信息安全專業教學要求的實驗教學體系是培養合格的信息安全人才的關鍵之一。本文探討了網絡與信息安全人才的培養模式,給出了一個網絡與信息安全實驗教學體系的參考方案,對高校網絡與信息安全人才培養具有一定的參考價值。
參考文獻
[1] 龔方紅,湯正華,蔣必彪. 試論工程教育中的本科實驗教學改革[J]. 中國高教研究,2006,(4):86-87.
[2] 錢素平. 構建實驗教學體系是提高人才培養質量的關鍵[J]. 常熟理工學院學報,2005,19(4):121-124.
深入了解用戶需求
據了解,水利部很早就確立了“以水利信息化帶動水利現代化”的發展思路,提出"水利信息化是水利現代化的基礎和重要標志",并將水利信息化列入2010年水利工作發展的十大主要目標之一。而水利部機關政務外網信息安全體系及流域機構數字證書身份認證系統建設,亦是水利信息化重點工程――水利信息網絡與安全保障系統建設的重要組成部分。對這一工程,水利部有關領導給予了高度重視。
水利部部長陳雷指出,推行電子政務,對提高防汛抗旱保障能力、水資源的調控配置能力、水利工程的自動化水平和水管理的信息化水平;對踐行可持續發展治水思路,加快水利的信息化,實現水利的現代化,具有重要的支撐和促進作用。而信息安全對電子政務的順利實施起到重要作用。他認為,要切實加強水利信息安全與保障體系建設。要堅持積極防御、綜合防范、軟硬結合、科學管理的原則,進一步完善網絡安全系統和病毒防護系統,增強信息安全的防護能力。要認真落實信息安全等級保護制度,重點保護基礎信息網絡和重要信息網絡。要健全和完善信息安全監控體系,周密制定各種應急預案,提高對網絡安全突發事件應對和防范的能力。
據介紹,水利部機關政務網覆蓋了機關大院內各司局單位,并延伸到各在京直屬單位,實現了機關和七個流域、31個省級水行政主管部門、新疆兵團水利局及其他一些部委共43家單位的互聯互通,承載了多個關鍵業務應用系統。
由于項目涉及單位范圍廣、涉及系統關鍵,所以水利部對于安全服務與集成商也就提出了很高的要求。首先,要求服務商必須具備豐富的安全服務與集成經驗,深刻理解國家相關安全政策法規、政策及安全標準,熟悉政府的信息安全目標;其次,安全服務與集成廠商需要對自身有高度負責的責任要求、良好的工作態度,擁有專業健全的安全工作規范和流程,以滿足項目服務與集成的總體目標實現。
綜合能力經得起考驗
“能夠拿下了水利部機關政務外網信息安全體系及流域機構數字證書身份認證系統建設的安全服務與集成總包,是因為網御神州有著過硬的綜合服務能力。”項目負責人表示。
事實上,在近幾年的安全服務實踐中,網御神州積累了大量的安全經驗,領會政府信息安全工作的重點及目標要求。作為本土信息安全的中堅力量,網御神州擁有信息安全軟件和硬件的技術研發、生產制造,以及服務的綜合能力,是集網絡與信息安全方案、產品及服務于一體的信息安全綜合服務專家,其產品和綜合服務能力經歷了2008年北京奧運和2010年上海世博會等重大項目的考驗,其防火墻產品連續3年獲得國內市場第二、安全管理市場第一的地位。而因過硬的技術,網御神州還成為了國家軍用隔離產品標準編制成員。
網御神州安全服務經過長期的積累,總結并建立了一套安全服務方法和實踐經驗。“持續”服務是圍繞著客戶網絡與信息系統建設、運行的整個生命周期提供長期顧問咨詢,以及定期的風險評估和安全加固,使客戶內部的網絡和信息系統的安全防護和保障能夠適應動態風險的發生,為客戶建立基于風險管理模式的網絡與信息安全體系提供支撐;“專業”服務體現在網御神州的安全服務流程和梯隊式顧問服務方式上,網御神州安全服務顧問團隊通過不同的專業序列、標準化的服務流程,完成對客戶需求的及時反饋,并把服務內容和客戶的業務網絡進行整合,實現客戶需求和購買服務的無縫對接;“有效”服務效果表明安全服務的最終成果是能夠針對客戶問題提供切實的解決措施,滿足客戶的合規性要求,滿足客戶的安全水平提升需求。同時,網御神州還建立了擁有CISSP、CISP、PMP、CCIE、CISA、ISO27001LA、COBIT、ITIL等多項認證、由行業專家、學者、博士、碩士組成的梯隊式的顧問團隊。
