導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全等級保護(hù)測評方法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】 云安全模型 信息系統(tǒng) 安全等級保護(hù) 測評 研究

實(shí)踐中可以看到，云安全技術(shù)具有較強(qiáng)的技術(shù)要求，尤其是物理資源、網(wǎng)絡(luò)、主機(jī)以及應(yīng)用和數(shù)據(jù)信息安全。云計算中心以虛擬技術(shù)居多，基于等級保護(hù)之要求，對云計算信息系統(tǒng)難以開展安全等級保護(hù)測評，具有非常重要的作用。

一、云安全服務(wù)模型

云產(chǎn)品在部署模型、服務(wù)模型以及資源物理位置和管理屬性方面，呈現(xiàn)出較大區(qū)別的形態(tài)模式，安全風(fēng)險特征、控制職責(zé)范圍也存在著較大的差異性。基于此，需基于安全控制角度健全和完善云計算模型， 實(shí)現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)的有效映射，從而為風(fēng)險識別、決策以及安全控制提供重要參考。

基礎(chǔ)設(shè)施即服務(wù)，其主要有計算機(jī)網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)設(shè)備、主機(jī)以及服務(wù)器等硬件平臺；在基礎(chǔ)設(shè)施建設(shè)過程中，首先是將硬件資源抽象起來，并且將這些資源有效的納入到基礎(chǔ)設(shè)施邏輯節(jié)點(diǎn)之中，向用戶提供可統(tǒng)一編程應(yīng)用程序接口，然后讓用戶通過應(yīng)用程序?qū)?yīng)用程序編程接口調(diào)用，從而實(shí)現(xiàn)物理設(shè)備的相互應(yīng)用。對于IaaS層而言，其關(guān)注的主要安全問題是網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境、物理、環(huán)境、主機(jī)以及網(wǎng)絡(luò)連接設(shè)備和系統(tǒng)虛擬化等方面的安全。

對于云安全管理中心而言，基于云安全服務(wù)所提出的云安全管理概念，對用戶、安全事件以及資產(chǎn)等進(jìn)行統(tǒng)一監(jiān)管，集中審計分析研究；同時，通過高效化、專業(yè)化支撐平臺，以及先進(jìn)的監(jiān)測工具，預(yù)警安全事件，并且及時對安全狀態(tài)進(jìn)行掌控，從而發(fā)現(xiàn)基于云計算環(huán)境的病毒傳播、網(wǎng)絡(luò)攻擊以及異常行為等事件，為應(yīng)急響應(yīng)、預(yù)警和事件調(diào)查提供技術(shù)方面的支撐；同時，還要采取有效的主動防護(hù)措施保護(hù)用戶數(shù)據(jù)信息，并且對云計算中心進(jìn)行全面安保。

二、基于云安全模型的信息安全等級測評

所謂云安全模式下的信息安全等級測評，主要是基于云安全中心模型、云安全服務(wù)模型以及云安全領(lǐng)域的不同要求，得出一個安全模型，并且在信息安全等級保護(hù)基礎(chǔ)上確定其所處位置。云安全模型的一端與等級保護(hù)技術(shù)要求相連接，另一端則與等級保護(hù)管理要求相連接。實(shí)踐中，通過云安全信息中心建模操作，全面分析安全模型下的云安全核心基礎(chǔ)，并且得出安全等級測評模型，以此來開展相關(guān)測評工作。基于以上分析，筆者認(rèn)為將在云安全模型中有效的嵌套云安全等級保護(hù)建模，即可實(shí)現(xiàn)與云信息安全等級相關(guān)的測評操作，對安全模型下的控制項(xiàng)實(shí)施細(xì)粒度分析。

云認(rèn)證及其授權(quán)：對于云認(rèn)證、授權(quán)而言，其重點(diǎn)在于全面查看登錄認(rèn)證、程序運(yùn)行授權(quán)、服務(wù)認(rèn)證以及敏感文件授權(quán)等事項(xiàng)。云訪問控制過程中，基于訪問控制模型對是否為強(qiáng)制訪問、自主訪問以及角色型訪問控制進(jìn)行確定，以便于能夠采用不同的方式和方法對其進(jìn)行有效的分析。對于云安全邊界與隔離而言，主要是全面了解安全隔離機(jī)制、安全區(qū)域劃分以及硬件安全技術(shù)支撐等問題。對于云安全存儲而言，可將數(shù)據(jù)信息存儲成加密格式，而且用戶需將數(shù)據(jù)信息獨(dú)立出來，區(qū)分開來。在惡意代碼防范過程中，可了解是否有惡意代碼檢測、攻擊抵御策略。同時，還要具備安全管理功能，對所有物理/虛擬硬件、軟件以及網(wǎng)絡(luò)資源等加強(qiáng)管理，管理測評要求與等級保護(hù)管理要求應(yīng)當(dāng)保持一致。對于網(wǎng)絡(luò)安全傳輸而言，主要了解計算機(jī)網(wǎng)絡(luò)安全傳輸采用加密的方式與否。對于網(wǎng)絡(luò)配置及其安全策略而言，應(yīng)當(dāng)使訪問控制、資源分配確實(shí)有效，而且還要以統(tǒng)一、安全可靠的方式進(jìn)行定義，并且有效解 決、執(zhí)行實(shí)踐中的相應(yīng)安全策略。

結(jié)語：總而言之，云安全快速發(fā)展的條件下，基于云安全模型的信息系統(tǒng)安全等級保護(hù)方法也在不斷的完善，如何應(yīng)當(dāng)云計算虛擬化技術(shù)的漏洞以及數(shù)據(jù)泄露和共享訪問模式問題，成為需要深化研究的要點(diǎn)。

參 考 文 獻(xiàn)

[1] 邱建勛. 信息系統(tǒng)安全等級保護(hù)定級方法的思考[J]. 數(shù)字與縮微影像，2012（04）

篇2

關(guān)鍵詞：等級保護(hù)；測評；信息安全；管理

中圖分類號：TP393

文獻(xiàn)標(biāo)志碼：C

文章編號：1006-8228(2011)12-60-02

0 引言

信息安全等級保護(hù)作為國家信息安全工作的一項(xiàng)基本制度、基本國策，已經(jīng)在全國實(shí)行多年，各信息系統(tǒng)運(yùn)營使用單位都深刻認(rèn)識到等級保護(hù)制度的重要性。在我國信息安全等級保護(hù)制度中，等級保護(hù)分五個工作環(huán)節(jié)――定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查。其中，等級測評是等級測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行的檢測評估活動，是信息安全等級保護(hù)工作的重要環(huán)節(jié)。

隨著等級保護(hù)工作的不斷推進(jìn)，等級測評機(jī)構(gòu)的體系建設(shè)也在不斷深入，全國等級測評機(jī)構(gòu)的數(shù)量在不斷增加，測評機(jī)構(gòu)的品質(zhì)和能力、測評人員的水平和素質(zhì)、測評競爭環(huán)境等諸多方面的問題將不斷出現(xiàn)。因此，加強(qiáng)對等級測評機(jī)構(gòu)的合理、有效監(jiān)管，對提升測評行業(yè)質(zhì)量，保證測評數(shù)據(jù)公正、客觀，以及保障重點(diǎn)行業(yè)的重要信息系統(tǒng)安全等至關(guān)重要。

1 國家層面對測評機(jī)構(gòu)的監(jiān)管模式

測評工作作為等級保護(hù)制度中最重要工作環(huán)節(jié)，具有明顯的專業(yè)性和技術(shù)性恃點(diǎn)，其政策導(dǎo)向性強(qiáng)。因此，僅有相關(guān)測評技術(shù)標(biāo)準(zhǔn)是不夠的，測評機(jī)構(gòu)的體系化、規(guī)范化管理也是關(guān)鍵。

2009年7月公安部開始信息安全等級保護(hù)測評體系建設(shè)試點(diǎn)工作，其目的是探索信息安全等級保護(hù)測評體系建設(shè)和管理的模式和經(jīng)驗(yàn)，保證全國重要信息系統(tǒng)等級保護(hù)安全建設(shè)工作的順利開展。試點(diǎn)工作主要在浙江、重慶、河南、廣東等省市展開。其主要內(nèi)容是根據(jù)《信息安全等級保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)完成五個方面的工作：一是檢驗(yàn)并完善等級測評機(jī)構(gòu)應(yīng)具備的條件；二是檢驗(yàn)并完善等級測評機(jī)構(gòu)建設(shè)的主要內(nèi)容；三是檢驗(yàn)并完善等級測評人員管理的主要內(nèi)容；四是檢驗(yàn)并完善等級測評工作規(guī)范性要求的主要內(nèi)容；五是檢驗(yàn)并完善測評機(jī)構(gòu)監(jiān)督管理的主要內(nèi)容等。從試點(diǎn)工作情況分析，國家對等級保護(hù)測評機(jī)構(gòu)的監(jiān)管模式采用的是能力評估和政府干預(yù)相結(jié)合的模式。

從工作程序上分為四個步驟：

(1)各測評機(jī)構(gòu)向設(shè)區(qū)的市級以上所在地公安網(wǎng)安部門申請，公安網(wǎng)安部門根據(jù)《信息安全等級保護(hù)測評工作管理規(guī)范(試行)》對測評機(jī)構(gòu)所提交的申請材料進(jìn)行審核，審核通過后，提交給上一級公安網(wǎng)安部門報批，并予以受理。

(2)公安部網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一將各地上報的測評機(jī)構(gòu)信息轉(zhuǎn)發(fā)給公安部信息安全等級保護(hù)評估中心，由評估中心按照《信息安全等級測評機(jī)構(gòu)能力要求(試行)》對各測評機(jī)構(gòu)進(jìn)行能力評估。能力評估通過后，由評估中心將能力評估材料遞交公安部網(wǎng)絡(luò)安全保衛(wèi)局審核批準(zhǔn)。

(3)各省公安網(wǎng)安部門收到公安部網(wǎng)絡(luò)安全保衛(wèi)局對測評機(jī)構(gòu)審核的意見及相關(guān)證書，下發(fā)給各地網(wǎng)安部門。

(4)公安部信息安全等級保護(hù)評估中心在網(wǎng)站上公布測評機(jī)構(gòu)名單，接受社會監(jiān)督。

能力評估的內(nèi)容和要求上，分為組織管理能力、測評實(shí)施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、規(guī)范性保證能力、風(fēng)險控制能力、可持續(xù)發(fā)展能力等七個方面和基本要求、約束性要求等兩個部分。

2 浙江省等級測評機(jī)構(gòu)現(xiàn)有監(jiān)管模式

浙江省信息等級保護(hù)工作一直處于國內(nèi)前列，2006年就頒布了《浙江省信息安全等級保護(hù)管理辦法》(省政府第223號令)，并在同年開展了全國等級保護(hù)試點(diǎn)項(xiàng)目。通過多年積累的經(jīng)驗(yàn)，2007年浙江省開始在測評機(jī)構(gòu)管理、測評工作模式等方面進(jìn)行探索，初步形成具有浙江特色的等級保護(hù)測評機(jī)構(gòu)監(jiān)管模式。

(1)以社會協(xié)會管理為主，政府監(jiān)管為輔的管理模式

浙江省結(jié)合實(shí)際，政府層面出臺了《浙江省信息安全等級保護(hù)測評機(jī)構(gòu)管理規(guī)定(試行)》，明確了省內(nèi)從事等級測評工作的單位性質(zhì)、條件和義務(wù)等要素。社會協(xié)會層面出臺了《浙江省信息安全測評機(jī)構(gòu)資信等級評定管理辦法(試行)》實(shí)現(xiàn)測評機(jī)構(gòu)資信等級一、二級管理，形成測評機(jī)構(gòu)管理行業(yè)規(guī)范，變政府由市場參與主體向市場監(jiān)管主體轉(zhuǎn)變，由管理審批型向管理服務(wù)型轉(zhuǎn)變、由直接行政干預(yù)向間接宏觀調(diào)控轉(zhuǎn)變。

(2)建立以行業(yè)自律管理為主的監(jiān)管體系

嚴(yán)格測評機(jī)構(gòu)行業(yè)自律管理，測評機(jī)構(gòu)間簽署《信息安全等級保護(hù)測評機(jī)構(gòu)行業(yè)自律公約》，強(qiáng)化機(jī)構(gòu)自律化管理，進(jìn)一步規(guī)范測評機(jī)構(gòu)行為和工作秩序。

(3)建立機(jī)構(gòu)統(tǒng)一管理標(biāo)準(zhǔn)，專控審查機(jī)構(gòu)自身及人員能力建設(shè)

全省測評機(jī)構(gòu)必須按照“審核標(biāo)準(zhǔn)統(tǒng)一，管理規(guī)范標(biāo)準(zhǔn)統(tǒng)一、技術(shù)標(biāo)準(zhǔn)統(tǒng)一、測評工具標(biāo)準(zhǔn)統(tǒng)一、報告樣式標(biāo)準(zhǔn)統(tǒng)一”的五統(tǒng)一規(guī)范開展測評工作，并由政府組織機(jī)構(gòu)年審，設(shè)立準(zhǔn)入準(zhǔn)出機(jī)制。測評機(jī)構(gòu)的能力審查對測評過程中技術(shù)人員行為的規(guī)范性、合理性和程序標(biāo)準(zhǔn)性，對機(jī)構(gòu)業(yè)務(wù)范圍、管理能力和技術(shù)能力要求等給予明確規(guī)定，規(guī)范申請、審核、查驗(yàn)和推薦流程，組建由公安、保密、密碼管理、信息辦和安全等部門專家組成的專門審查小組對機(jī)構(gòu)背景、管理水平、資格和技術(shù)能力進(jìn)行量化評價，作為推薦依據(jù)。同時，嚴(yán)格規(guī)范測評機(jī)構(gòu)工作程序，加強(qiáng)對機(jī)構(gòu)內(nèi)部管理規(guī)范化建設(shè)督導(dǎo)，要求健全人員管理、項(xiàng)目管理、文檔管理、設(shè)備管理、保密制度等各項(xiàng)制度，要求制定《質(zhì)量手冊》、《程序文件》、《作業(yè)指導(dǎo)書》、《測評過程記錄表單》等測評實(shí)施過程文檔，完善測評實(shí)施規(guī)程。

全省機(jī)構(gòu)都已被要求必須獲得CMA中國計量認(rèn)證，并被引導(dǎo)和鼓勵去獲得CNAS實(shí)驗(yàn)室認(rèn)證、ISO27001認(rèn)證等。所有從業(yè)人員必須獲得初級以上“測評師”技術(shù)證書，測評工作中持證上崗。對測評從業(yè)人員要進(jìn)行錄用考核、備案和背景審查等工作。

3 現(xiàn)有監(jiān)管模式的不足

在現(xiàn)行的測評機(jī)構(gòu)監(jiān)管模式中，我們側(cè)重于對測評機(jī)構(gòu)應(yīng)具備條件(包括審核是否在境內(nèi)注冊成立、注冊資本多少、法人資格、公司已有的資質(zhì)、測評人員已獲得的技術(shù)認(rèn)證等)的監(jiān)管；僅關(guān)注機(jī)構(gòu)是否已具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等制度，而對這些制度的落實(shí)情況及執(zhí)行情況缺乏有效監(jiān)督；對測評活動實(shí)施過程中的合法性，有效性問題缺乏必要的考量。

4 對測評機(jī)構(gòu)進(jìn)行有效性監(jiān)管方法的探討

(1)對測評機(jī)構(gòu)的測評大綱實(shí)行報備審核

測評大綱應(yīng)是等級測評機(jī)構(gòu)的整體測評策略性文件，能綜合反映不同測評機(jī)構(gòu)從事等級測評活動的經(jīng)驗(yàn)、知識、測評方法和測評程序?；趯Ρ粶y評單位的利益保護(hù)以及對測評機(jī)構(gòu)的監(jiān)管要求，測評大綱應(yīng)具有法律效力，須報公安機(jī)關(guān)審核備案后使用。測評機(jī)構(gòu)只有按照測評大綱中明確的指標(biāo)嚴(yán)格檢測、測評，其測評結(jié)果才能真實(shí)地反映被測單位計算機(jī)信息

系統(tǒng)的安全狀況，為安全整改建設(shè)提供科學(xué)的依據(jù)和指南。

(2)對等級測評活動的各周期程序?qū)嵭斜O(jiān)督指導(dǎo)

等級測評流程分為四個階段：測評準(zhǔn)備、方案編制、現(xiàn)場測評及報告編制，政府部門的督導(dǎo)工作須貫穿其中。如，在測評準(zhǔn)備階段，為了避免測評小組成員和委托人之間存在利害關(guān)系，影響測評結(jié)果的公平、客觀、真實(shí)，測評機(jī)構(gòu)在確定測評小組成員名單后讓測評委托人確認(rèn)簽字，確認(rèn)書要留檔備查，未經(jīng)確認(rèn)開展的項(xiàng)目測評報告不具有法律效力。方案編制中，必須明確測評對象、范圍、依據(jù)法律法規(guī)和標(biāo)準(zhǔn)、制定具體的測評檢查表，記錄文件要測評雙方簽字確認(rèn)，方案和測評過程文檔應(yīng)留檔備查?，F(xiàn)場測評中，測評小組必須使用可信、安全等級測評工具采集數(shù)據(jù)，測評工具要向公安機(jī)關(guān)報備，現(xiàn)場測評要按照檢測程序全面檢測關(guān)鍵測評項(xiàng)，依據(jù)測評標(biāo)準(zhǔn)客觀、公正、準(zhǔn)確評價，政府主管部門應(yīng)隨機(jī)駐點(diǎn)督查現(xiàn)場測評過程實(shí)施情況。測評報告反映的是被測評單位信息系統(tǒng)的安全保護(hù)現(xiàn)狀，應(yīng)具有法律效力，報告要使用標(biāo)準(zhǔn)模板，起草過程中測評機(jī)構(gòu)和測評人員應(yīng)當(dāng)遵守國家的有關(guān)法律法規(guī)，保守被測評單位秘密、保障被測單位利益，政府部門有必要明確測機(jī)構(gòu)及其工作人員的法律責(zé)任來規(guī)范其職業(yè)道德。測評機(jī)構(gòu)的測評結(jié)果直接對信息系統(tǒng)運(yùn)營使用單位的建設(shè)、整改和運(yùn)營成本，以及對監(jiān)管部門的行政監(jiān)管成本產(chǎn)生影響，也就是說，測評報告對國家和社會都會產(chǎn)生影響。因此，測評機(jī)構(gòu)要對自身的測評行為負(fù)責(zé)，政府主管部門將對機(jī)構(gòu)及從業(yè)人員違反法律規(guī)定的行為予以民事、行政或刑事處罰。

(3)對測評人員實(shí)行從錄用到離職的全程監(jiān)督

等級測評涉及用戶單位的核心業(yè)務(wù)系統(tǒng)，是一項(xiàng)高技術(shù)的專業(yè)安全服務(wù)，需要具有一定政治素質(zhì)、道德素質(zhì)和專業(yè)素質(zhì)的測評人員來支撐。管理應(yīng)進(jìn)一步加大對測評人員的政治背景、從業(yè)背景、專業(yè)背景、技術(shù)素養(yǎng)的審查力度，建立完備測評人員檔案庫，考量測評機(jī)構(gòu)測評人員穩(wěn)定性，重點(diǎn)加大對離職測評人員的管控，明確保密條約，關(guān)注人員離職去向。

(4)制定測評機(jī)構(gòu)優(yōu)劣考量機(jī)制，促進(jìn)誠信服務(wù)的企業(yè)文化

等級測評的執(zhí)行主體是測評機(jī)構(gòu)，測評機(jī)構(gòu)的企業(yè)文化是否具有凝聚性，企業(yè)價值觀是否誠信，內(nèi)部管理模式是否健康，關(guān)乎其市場競爭力，更關(guān)乎測評機(jī)構(gòu)能否為信息系統(tǒng)安全等級保護(hù)工作提供安全、客觀、公正的檢測評估服務(wù)。因此，要求測評企業(yè)必須有一定的政治覺悟，要嚴(yán)格遵守國家有關(guān)法律法規(guī)，要承擔(dān)社會責(zé)任和法律責(zé)任，不能唯利是圖。政府部門要定期開展管理評審，制定考量測評機(jī)構(gòu)優(yōu)劣評判標(biāo)準(zhǔn)，完善被測評單位滿意度反饋機(jī)制，建立機(jī)構(gòu)誠信狀況、信用狀況、評級結(jié)果等信息公開機(jī)制，將政府監(jiān)管和社會監(jiān)督結(jié)合起來，通過評星評級、市場退出和獎懲機(jī)制的建立，鼓勵誠信機(jī)構(gòu)，懲戒不誠信機(jī)構(gòu)，增加機(jī)構(gòu)不規(guī)范測評行為的風(fēng)險成本。

(5)規(guī)范價格體系，推動測評機(jī)構(gòu)良性發(fā)展

等級測評是近兩年才興起的行業(yè)，政府要引導(dǎo)建立良好的測評市場價格體系，借鑒其他行業(yè)自律的經(jīng)驗(yàn)手段，避免惡性價格競爭，要保障等級測評有一定的利潤空間，以使得測評機(jī)構(gòu)能朝更專業(yè)、更具實(shí)力方向發(fā)展，充分調(diào)動測評機(jī)構(gòu)提升品牌建設(shè)、服務(wù)工作效率、專業(yè)能力、測評人員素質(zhì)的內(nèi)在動力。

篇3

1.1信息安全保護(hù)等級的劃分

此級別功能最全，除具備上述所有級別功能外，對系統(tǒng)加設(shè)了訪問驗(yàn)證保護(hù)，以此不但記錄訪問者對系統(tǒng)的訪問歷史，還對訪問者的訪問權(quán)限進(jìn)行設(shè)置，確保信息被安全使用，保障信息不外泄。

1.2信息安全等級的劃分

對于一些需要特殊保護(hù)和隔離的信息系統(tǒng)，如我國的國防部、國家機(jī)關(guān)以及重點(diǎn)科研機(jī)構(gòu)等特殊機(jī)構(gòu)的信息系統(tǒng)，在進(jìn)行信息安全保護(hù)時，要嚴(yán)格按照國家頒布的關(guān)于信息安全等級保護(hù)的相關(guān)政策制度以及法律法規(guī)的規(guī)定要求對信息系統(tǒng)進(jìn)行等級保護(hù)。根據(jù)需被保護(hù)的信息的類別和價值的不同，通常其受到保護(hù)的安全等級也不同。此舉目的為在保護(hù)信息安全的同時降低運(yùn)作成本。

2信息安全等級保護(hù)的基本要求

信息安全等級保護(hù)的基本要求分為技術(shù)和管理兩大類。技術(shù)部分是要求在信息安全保護(hù)過程中采取安全技術(shù)措施，使系統(tǒng)具備對抗外來威脅和受到破壞后自我修復(fù)的能力，主要涉及到物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用安全和數(shù)據(jù)恢復(fù)功能等技術(shù)的應(yīng)用。管理部分是要求在信息系統(tǒng)的全部運(yùn)行環(huán)節(jié)中對各運(yùn)行環(huán)節(jié)采取控制措施。管理過程要求對制度、政策、人員和機(jī)構(gòu)都提出要求，涉及到安全保護(hù)等級管理、工程建設(shè)管理、系統(tǒng)的運(yùn)行與維護(hù)管理以及應(yīng)急預(yù)案管理等管理環(huán)節(jié)。

3信息安全等級保護(hù)的方法

3.1信息安全等級保護(hù)流程

信息安全等級保護(hù)涉及到多個環(huán)節(jié)，需要各相關(guān)部門共同參與，合力完成。安全等級保護(hù)的環(huán)節(jié)大體上分為以下九步：（1）確定系統(tǒng)等級作為實(shí)現(xiàn)信息等級保護(hù)的前提，確定信息系統(tǒng)的安全保護(hù)等級是必不可缺的步驟。用戶要嚴(yán)格按照國家規(guī)范標(biāo)準(zhǔn)給所使用的信息系統(tǒng)科學(xué)確定等級。（2）等級審批信息系統(tǒng)主管部門對信息系統(tǒng)的安全等級進(jìn)行審批調(diào)整，但調(diào)整時要按照規(guī)定，只能將等級調(diào)高。（3）確定安全需求信息系統(tǒng)的安全需求可反映出該等級的信息系統(tǒng)普遍存在的安全需求。信息系統(tǒng)在確定安全需求時要依賴該系統(tǒng)的安全等級，但因?yàn)樾畔⑾到y(tǒng)普遍存在可變性，因此用戶在確定安全需求時還要根據(jù)自身實(shí)際情況確定自己系統(tǒng)的安全需求。（4）制定安保方案當(dāng)信息系統(tǒng)的等級和安全需求確定后，針對已掌握情況制定出包括技術(shù)安全和管理安全在內(nèi)的最佳安全保護(hù)方案。（5）安全產(chǎn)品選型安全產(chǎn)品的選擇直接決定了安全保護(hù)工作是否能夠成功實(shí)現(xiàn)。因此在安全產(chǎn)品的選擇過程中，不僅要對產(chǎn)品的可信度和功能進(jìn)行認(rèn)真審查，還要求國家相關(guān)部門監(jiān)管產(chǎn)品的使用情況。（6）安全測評測評的目的在于確定系統(tǒng)安全保護(hù)的實(shí)現(xiàn)，以保證信息安全。若測評不能達(dá)到預(yù)期目標(biāo)，要及時進(jìn)行重新調(diào)整。（7）等級備案安全保護(hù)等級在三級以上的信息系統(tǒng)，其用戶和運(yùn)營商需要向地市級以上公安機(jī)關(guān)備案?？绲赜虻男畔⑾到y(tǒng)的備案由其主管部門在當(dāng)?shù)赝壒矙C(jī)關(guān)完成，分系統(tǒng)的備案由其用戶和運(yùn)營商完成。（8）監(jiān)督管理信息系統(tǒng)的監(jiān)管工作主要是監(jiān)督安全產(chǎn)品的使用情況，并對測評機(jī)構(gòu)和信息系統(tǒng)的登記備案進(jìn)行監(jiān)管。（9）運(yùn)行維護(hù)該環(huán)節(jié)主要目的在于通過運(yùn)行確定系統(tǒng)的信息安全，還可以重新確定對產(chǎn)生變化的信息系統(tǒng)的安全保護(hù)等級。以上環(huán)節(jié)在實(shí)現(xiàn)信息系統(tǒng)的安全等級保護(hù)過程中極其重要，不可跨環(huán)節(jié)、漏環(huán)節(jié)操作。

3.2信息安全等級保護(hù)的方法

信息安全等級保護(hù)分為物理安全保護(hù)和網(wǎng)絡(luò)系統(tǒng)安全保護(hù)兩類。對于物理安全保護(hù)，又分為必要考慮和需要考慮兩個安全層面。對于必要考慮的物理安全方面：對于主機(jī)房等場所設(shè)施來說，要做好安全防范工作。采用先進(jìn)的技術(shù)設(shè)備做到室內(nèi)監(jiān)控、使用用戶信息登記、以及自動報警系統(tǒng)等。記錄用戶及其訪問情況，方便隨時查看。對于需要考慮的物理安全方面：對于主機(jī)房以及重要信息存儲設(shè)備來說，要通過采用多路電源同時接入的方式保障電源的可持續(xù)供給，謹(jǐn)防因斷電給入侵者制造入侵的機(jī)會。根據(jù)安全保護(hù)對象的不同，有不同的保護(hù)方法。具體方法如下：（1）已確定安全等級系統(tǒng)的安全保護(hù)對于全系統(tǒng)中同一安全等級的信息系統(tǒng)，對于任何部分、任何信息都要按照國家標(biāo)準(zhǔn)采取統(tǒng)一安全保護(hù)方法給其設(shè)計完整的安全機(jī)制。對于不同安全等級的分系統(tǒng)，對其上不同的部分及信息按照不同的安全要求設(shè)計安全保護(hù)。（2）網(wǎng)絡(luò)病毒的防范方法計算機(jī)病毒嚴(yán)重威脅到計算機(jī)網(wǎng)絡(luò)安全，所以防范病毒的入侵在信息系統(tǒng)安全保護(hù)過程中是非常重要的步驟。運(yùn)用防火墻機(jī)制阻擋病毒入侵，或者給程序加密、監(jiān)控系統(tǒng)運(yùn)行情況、設(shè)置訪問權(quán)限，判斷是否存在病毒入侵，及時發(fā)現(xiàn)入侵的病毒并予以清除，保障計算機(jī)信息系統(tǒng)的安全。（3）漏洞掃描與修復(fù)方法系統(tǒng)存在漏洞是系統(tǒng)的安全隱患，不法分子常會利用系統(tǒng)中的漏洞對系統(tǒng)進(jìn)行攻擊破壞。因此要經(jīng)常對計算機(jī)進(jìn)行全面的漏洞掃描，找出系統(tǒng)中存在的漏洞并及時修復(fù)漏洞，避免給不法分子留下入侵機(jī)會。漏洞的修復(fù)分為系統(tǒng)自動修復(fù)和人工手動修復(fù)兩種，由于多種原因，絕對完善的系統(tǒng)幾乎不存在，因此要定期對系統(tǒng)進(jìn)行漏洞掃描修復(fù)，確保系統(tǒng)的安全。

4結(jié)束語

篇4

【 關(guān)鍵詞 】 等級保護(hù)；信息系統(tǒng)；安全設(shè)計；安全實(shí)現(xiàn)

0 引言

強(qiáng)力安全部門等級化保護(hù)注重信息產(chǎn)品的安全性能和系統(tǒng)運(yùn)行狀態(tài)安全檢測、評估和定級，更重要的是等級化保護(hù)是圍繞信息系統(tǒng)安全保障全過程的一項(xiàng)基礎(chǔ)性工作，是保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。對于即將投入建設(shè)的信息系統(tǒng)，通過將等級化保護(hù)方法和安全體系方法有效結(jié)合，設(shè)計一套滿足信息系統(tǒng)安全需要的體系方案，是系統(tǒng)化解決信息系統(tǒng)安全的一個非常有效方法。

1 設(shè)計基礎(chǔ)

等級保護(hù)測評針對的是已經(jīng)建設(shè)完成且運(yùn)行中的系統(tǒng)。許多系統(tǒng)建設(shè)單位對系統(tǒng)建設(shè)中的信息安全不夠重視或設(shè)計思路不佳，導(dǎo)致建設(shè)完成的系統(tǒng)存在“先天不足”。通過實(shí)施等級保護(hù)評測，評估信息系統(tǒng)和相應(yīng)的安全等級保護(hù)標(biāo)準(zhǔn)的差距和所面臨的安全風(fēng)險。根據(jù)評測結(jié)果對系統(tǒng)進(jìn)行技術(shù)類、管理類全方位整改，提高信息系統(tǒng)的安全性，達(dá)到國家和國際等級保護(hù)要求。然而，系統(tǒng)從上線運(yùn)行至整改完成的一段時間內(nèi)，長期暴露于安全缺陷的危險之中，而且用戶并不知曉，使信息系統(tǒng)在一段時間內(nèi)面臨著極大的風(fēng)險。針對這一問題，若信息系統(tǒng)在建設(shè)前先進(jìn)行評估定級，依據(jù)該等級保護(hù)級別的標(biāo)準(zhǔn)指導(dǎo)系統(tǒng)建設(shè)，系統(tǒng)建設(shè)完成后便與國家信息安全技術(shù)標(biāo)準(zhǔn)要求“零差距”。與目前信息系統(tǒng)相比，上線運(yùn)行時就不存在安全缺陷，有效地規(guī)避系統(tǒng)整改前所面臨的風(fēng)險。

在信息系統(tǒng)建設(shè)中，如何設(shè)計和實(shí)施一個安全、穩(wěn)定可靠同時又兼顧成本的架構(gòu)是至關(guān)重要的事。關(guān)于系統(tǒng)質(zhì)量與成本的關(guān)系，業(yè)界有一個著名的“1:10:100”成本法則，即假設(shè)信息系統(tǒng)在建設(shè)初期設(shè)計時發(fā)現(xiàn)一項(xiàng)缺陷并加以彌補(bǔ)，僅需1元錢；如果此缺陷在系統(tǒng)建設(shè)中被發(fā)現(xiàn)，需要10元錢代價來彌補(bǔ)；如果此缺陷在系統(tǒng)上線后在運(yùn)行中被發(fā)現(xiàn)近，則需要花費(fèi)100倍甚至上千倍的代價來彌補(bǔ)。這個觀點(diǎn)不難理解，根據(jù)經(jīng)驗(yàn)，對運(yùn)行中的信息系統(tǒng)進(jìn)行整改不僅需要極大的成本支撐，甚至難以實(shí)現(xiàn)。如物理安全整改，涉及機(jī)房環(huán)境等基礎(chǔ)設(shè)施的改造時，“傷筋動骨”且實(shí)施難度巨大；應(yīng)用安全整改，在線的應(yīng)用系統(tǒng)已經(jīng)開發(fā)成型，如果涉及應(yīng)用軟件功能模塊的增添或底層協(xié)議接口的改變，即便開發(fā)商支持，也將面臨系統(tǒng)停運(yùn)等重大影響和損失。如果信息系統(tǒng)的設(shè)計和建設(shè)始終參照等級保護(hù)標(biāo)準(zhǔn)，經(jīng)過科學(xué)的安全設(shè)計和實(shí)施，信息系統(tǒng)建設(shè)完成后便足夠“優(yōu)秀”，不僅避免了目前信息系統(tǒng)普遍面臨的安全整改難題，而且節(jié)約成本，是投資資本效能最大化。更重要的是，系統(tǒng)上線即達(dá)到等級保護(hù)標(biāo)準(zhǔn)技術(shù)要求，同時降低和消除了可能發(fā)生在物理、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)傳輸層面的安全威脅，從安全管理層面也大大降低了系統(tǒng)內(nèi)部的脆弱性。如此一來，信息系統(tǒng)整體安全保障在設(shè)計、建設(shè)中逐一體現(xiàn)，良好的設(shè)計鑄就了安全。

2 方案總體設(shè)計

等級化保護(hù)貫穿信息系統(tǒng)設(shè)計和建設(shè)的整個生命周期，這是與已建系統(tǒng)等級保護(hù)實(shí)施過程的主要區(qū)別。結(jié)合自身信息化建設(shè)或改造的需要，在建設(shè)的整個生命周期中依據(jù)等級保護(hù)要求規(guī)劃與建設(shè)，符合建設(shè)單位和項(xiàng)目規(guī)劃的安全目標(biāo)要求，保證信息系統(tǒng)上線后平穩(wěn)、安全運(yùn)行。

以等級保護(hù)標(biāo)準(zhǔn)指導(dǎo)信息系統(tǒng)方案設(shè)計，需遵循以下原則。

1）整體安全原則。按照國家信息安全保護(hù)標(biāo)準(zhǔn)，以整體設(shè)計安全為原則，分別從技術(shù)類和管理類共十個方面，指導(dǎo)系統(tǒng)設(shè)計與實(shí)施全過程。確保系統(tǒng)建設(shè)完成后即達(dá)到相應(yīng)等級保護(hù)級別的要求。

2）資金效能最大化原則。保證信息系統(tǒng)高質(zhì)量與安全目標(biāo)的同時，力求在系統(tǒng)建設(shè)前設(shè)計時花“一元成本”和在建設(shè)中花“十元成本”解決安全問題原則，避免由于安全缺陷造成巨大損失和高成本整改漏洞。

3）擴(kuò)展性原則。系統(tǒng)在設(shè)計時遵循可擴(kuò)展性原則，可根據(jù)用戶信息系統(tǒng)及信息安全的要求，增加客服端和進(jìn)行各種功能擴(kuò)展。尤其是物理安全設(shè)計，采取比系統(tǒng)所定等級保護(hù)級別“高一級”的設(shè)計方案，用戶未來根據(jù)業(yè)務(wù)需求增添系統(tǒng)時或需要部署高一級的信息系統(tǒng)，物理安全部分不需要做相應(yīng)的整改，可由當(dāng)前物理機(jī)房做無縫承載。

新建等級保護(hù)系統(tǒng)，是保障系統(tǒng)信息安全的有效手段，也是落實(shí)國家信息化領(lǐng)導(dǎo)小組指示的“實(shí)行信息安全等級保護(hù)”的最佳實(shí)踐。該方案用于提高客戶信息系統(tǒng)的規(guī)范性和整改安全性?？傮w框架如圖1所示。

新建等級保護(hù)項(xiàng)目的實(shí)施主要步驟實(shí)現(xiàn)。

第一階段：定級階段

定級階段的主要目標(biāo)是確定信息系統(tǒng)及其子系統(tǒng)的安全等級。定級結(jié)果是進(jìn)行安全規(guī)劃與設(shè)計的基礎(chǔ)。定級階段主要包括兩個工作過程。

1）系統(tǒng)識別與描述：應(yīng)準(zhǔn)確識別并描述出整體的電子政務(wù)系統(tǒng)，以及系統(tǒng)可以分解的子系統(tǒng)。系統(tǒng)識別要確定系統(tǒng)的范圍和邊界，識別系統(tǒng)包含信息和系統(tǒng)提供的服務(wù)，作為后續(xù)定級工作的輸入。

2）等級確定：進(jìn)行系統(tǒng)整體定級和子系統(tǒng)分別定級，形成系統(tǒng)的定級列表，作為后續(xù)階段的基礎(chǔ)，定級工作的流程如圖2所示。

第二階段：安全規(guī)劃和安全設(shè)計階段

1）需求分析：根據(jù)建設(shè)單位和項(xiàng)目規(guī)劃的安全目標(biāo)，劃分信息系統(tǒng)及各層保護(hù)對象的安全等級，提出信息系統(tǒng)特殊的安全運(yùn)行環(huán)境和威脅系統(tǒng)安全的保護(hù)要求，明確完整的系統(tǒng)安全需求。

篇5

2003年SARS爆發(fā)后，中國疾病預(yù)防控制中心信息化建設(shè)進(jìn)入了突飛猛進(jìn)的發(fā)展階段，通過十年建設(shè)，構(gòu)建了以覆蓋全國的網(wǎng)絡(luò)直報系統(tǒng)為核心，涵蓋國家疾控核心業(yè)務(wù)的中國疾病預(yù)防控制信息系統(tǒng)。

2009年遷入新址以來，中國疾控中心重構(gòu)了新數(shù)據(jù)中心，以原址數(shù)據(jù)中心為基礎(chǔ)改建容災(zāi)中心，扎實(shí)推進(jìn)信息系統(tǒng)建設(shè)相關(guān)工作，信息安全等級保護(hù)工作由此展開新的篇章。

根據(jù)原衛(wèi)生部的相關(guān)文件精神，中國疾控中心按規(guī)定進(jìn)行信息安全等級備案，作為衛(wèi)生計生領(lǐng)域的重要系統(tǒng)，及時開展系統(tǒng)備案、漏洞掃描、風(fēng)險評估、安全整改與測評，每年接受國家公安機(jī)關(guān)組織的信息安全檢查，是多次代表衛(wèi)生行業(yè)接受公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室等部門檢查的唯一受檢國家級醫(yī)療衛(wèi)生單位。目前昌平園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心建設(shè)已初具規(guī)模，各業(yè)務(wù)系統(tǒng)運(yùn)行安全穩(wěn)定。

開展信息安全建設(shè)工作的主要方法

1.統(tǒng)籌規(guī)劃

在信息化建設(shè)過程中，中國疾控中心始終堅持?jǐn)?shù)據(jù)安全與規(guī)劃同步、與系統(tǒng)建設(shè)同步、與運(yùn)行管理同步的“三同步”原則。在原衛(wèi)生部關(guān)于信息安全等級保護(hù)相關(guān)文件出臺后，國家疾控中心重新修訂了信息系統(tǒng)安全總體規(guī)劃。經(jīng)過各級疾控人員的共同努力，以及多年信息化建設(shè)工作的不斷推進(jìn)，中國疾控中心的防攻擊、防篡改、防病毒、防癱瘓能力不斷提升。

2.組建機(jī)構(gòu)與招聘人員

信息系統(tǒng)安全等級保護(hù)內(nèi)容覆蓋管理與技術(shù)兩方面工作，涉及信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維全過程。“火車跑得快，全靠車頭帶”，中國疾控中心對信息安全工作高度重視，成立了以主要領(lǐng)導(dǎo)為組長、各相關(guān)部門主要負(fù)責(zé)人組成的信息安全領(lǐng)導(dǎo)小組。信息中心成立專門的網(wǎng)絡(luò)與安全管理室，公開招聘有經(jīng)驗(yàn)的技術(shù)骨干牽頭負(fù)責(zé)并組織實(shí)施，不斷加強(qiáng)管理，逐漸完善技術(shù)措施。另外，在全國各省疾控機(jī)構(gòu)內(nèi)部設(shè)立“信息安全員”，并要求逐級負(fù)責(zé)，初步形成了全國疾控的信息安全組織機(jī)構(gòu)體系。

3.完善信息安全管理制度

近些年來，中國疾控中心共制定或頒布了覆蓋系統(tǒng)建設(shè)、系統(tǒng)管理、系統(tǒng)運(yùn)維、系統(tǒng)使用等方面的一系列制度近30個，大大加強(qiáng)了內(nèi)部安全管理的規(guī)章制度的落實(shí)。每年年初按照信息安全等級保護(hù)相關(guān)要求開展自查，有針對性地整改加固，不斷完善信息化規(guī)章制度，為信息系統(tǒng)的建設(shè)、管理、運(yùn)維、安全監(jiān)管等各方面工作有條不紊、有章可循地進(jìn)行提供了保障。

4.強(qiáng)化安全責(zé)任管理

以“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”為原則，通過下發(fā)相關(guān)的網(wǎng)絡(luò)安全管理、用戶與權(quán)限管理規(guī)范，并不斷修訂完善，進(jìn)一步夯實(shí)信息中心與業(yè)務(wù)部門、國家與地方在網(wǎng)絡(luò)技術(shù)管理與業(yè)務(wù)信息管理上的分級管理工作職責(zé)。針對單個的系統(tǒng)，還初步實(shí)現(xiàn)了信息系統(tǒng)網(wǎng)絡(luò)與業(yè)務(wù)管理、系統(tǒng)管理和安全審計的三權(quán)分離，并逐步推進(jìn)系統(tǒng)建設(shè)方、系統(tǒng)運(yùn)維方與系統(tǒng)安全審計的主體剝離。

5.落實(shí)信息安全技術(shù)措施

完善基礎(chǔ)網(wǎng)絡(luò)設(shè)施 中國疾控中心在昌平新址重新構(gòu)建了標(biāo)準(zhǔn)機(jī)房、基礎(chǔ)網(wǎng)絡(luò)、門禁、消防、供配電、監(jiān)控及綜合運(yùn)維系統(tǒng)、統(tǒng)一安全管理平臺等。

優(yōu)化網(wǎng)絡(luò)安全結(jié)構(gòu) 信息中心技術(shù)人員通過一年多的分析和調(diào)研，明確各類信息系統(tǒng)對網(wǎng)絡(luò)的需求，組織召開內(nèi)部、外部的專家會議，充分研究實(shí)施方案。特別是邀請具有多年安全網(wǎng)絡(luò)實(shí)施經(jīng)驗(yàn)的技術(shù)人員，與信息中心技術(shù)人員一起實(shí)施。優(yōu)化后的網(wǎng)絡(luò)在的穩(wěn)定性、安全性和實(shí)際用戶體驗(yàn)上都大大提升。

完善雙因素認(rèn)證的用戶準(zhǔn)入 以用戶電子認(rèn)證服務(wù)系統(tǒng)（CA）的雙因素認(rèn)證體系已能在國家本級全覆蓋。

完善安全專網(wǎng)建設(shè) 截止目前，以VPN、SDH等虛擬專網(wǎng)和專網(wǎng)組成的安全專網(wǎng)，已在全國各省、市、縣級疾控機(jī)構(gòu)實(shí)現(xiàn)100%全覆蓋。

綜合實(shí)施應(yīng)用系統(tǒng)安全加固 對各類網(wǎng)站服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器進(jìn)行漏洞掃描、風(fēng)險評估和安全加固，一步步降低安全風(fēng)險。

加強(qiáng)安全運(yùn)維技術(shù)監(jiān)測 引入業(yè)界相關(guān)安全技術(shù)和設(shè)備，安排專門的人員，通過周期性的漏洞掃描、入侵檢測，系統(tǒng)日志分析，及時發(fā)現(xiàn)、修補(bǔ)系統(tǒng)漏洞，持續(xù)提升系統(tǒng)抗風(fēng)險能力。

6.開展整改與測評

2010年投入使用后，第三方安全等級保護(hù)測評工作緊接著就開展起來了。一方面將整改內(nèi)容納入項(xiàng)目建設(shè)，由專業(yè)信息安全公司提供技術(shù)支持；另一方面對照整改內(nèi)容，組織力量完成整改。實(shí)現(xiàn)了“整改-自測測評-再整改-再第三方測評”的良性循環(huán)。通過不斷的學(xué)習(xí)和實(shí)踐，提升自測評能力和信息系統(tǒng)安全保障能力。

7.積極推動行業(yè)內(nèi)信息安全等級保護(hù)進(jìn)展

制訂并向全國各省級疾控中心下發(fā)了相關(guān)指導(dǎo)文件。每年組織多期行業(yè)內(nèi)培訓(xùn)，采取“送出去，請進(jìn)來”的辦法，多次派員參加國家信息安全部門組織的培訓(xùn)和考試。目前，中國疾控信息中心有多人獲得國家公安部、工信委等權(quán)威機(jī)構(gòu)頒發(fā)的信息安全相關(guān)資質(zhì)證書。此外，還邀請國內(nèi)信息安全行業(yè)專家學(xué)者授課，舉辦全國范圍內(nèi)疾控行業(yè)網(wǎng)絡(luò)信息安全專項(xiàng)培訓(xùn)班。

開展信息安全建設(shè)工作體會

以往一談到信息安全，大家總認(rèn)為是技術(shù)部門的事，其實(shí)不然。

信息安全等級保護(hù)標(biāo)準(zhǔn)體系對此給出了明確的要求，比如在第三級等級保護(hù)的指標(biāo)體系中，涉及管理的指標(biāo)占比達(dá)到近三分之二，足見管理的規(guī)范化對信息安全的重要性?！叭旨夹g(shù)、七分管理、十二分運(yùn)維”對信息安全一樣適用。但是在信息安全工作上“重技術(shù)建設(shè)、輕管理建設(shè)、不知道運(yùn)維建設(shè)”的現(xiàn)象卻大量存在，目前還難以從根本上改變。在信息技術(shù)持續(xù)發(fā)展的時代，談信息安全的各種投入是個無底洞一點(diǎn)都不為過。因?yàn)?，信息安全建設(shè)只有進(jìn)行時，沒有完成時。

經(jīng)過近十年的信息化建設(shè)，信息安全保障工作為疾控中心各業(yè)務(wù)應(yīng)用系統(tǒng)穩(wěn)定運(yùn)行發(fā)揮了重要作用，正經(jīng)歷著從以安全設(shè)備為主要手段的網(wǎng)絡(luò)技術(shù)外部防范，向內(nèi)外兼顧的綜合全面的安全防護(hù)體系方向轉(zhuǎn)變。疾控信息系統(tǒng)大都是跨省、跨市、跨縣區(qū)運(yùn)行的信息系統(tǒng)，罕有僅限于某機(jī)構(gòu)內(nèi)部的系統(tǒng)。

篇6

信息安全防護(hù)要考慮不同層次的問題。例如網(wǎng)絡(luò)平臺就需要擁有網(wǎng)絡(luò)節(jié)點(diǎn)之間的相互認(rèn)證以及訪問控制；應(yīng)用平臺則需要有針對各個用戶的認(rèn)證以及訪問控制，這就需要保證每一個數(shù)據(jù)的傳輸?shù)耐暾院捅Ｃ苄?，?dāng)然也需要保證應(yīng)用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有：

1.1信息安全等級保護(hù)

信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定，及時在當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案，然后根據(jù)對應(yīng)等級要求，組織好評測，然后開展針對性的防護(hù)，從而提供全面的保障。

1.2網(wǎng)絡(luò)分區(qū)和隔離

運(yùn)用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備將企業(yè)網(wǎng)絡(luò)劃分為若干個區(qū)域，通過在不同區(qū)域?qū)嵤┨囟ǖ陌踩呗詫?shí)現(xiàn)對區(qū)域的防護(hù)，保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)置穩(wěn)定正常，保障業(yè)務(wù)信息安全。

1.3終端安全防護(hù)

需要部署（實(shí)施）防病毒系統(tǒng)、上網(wǎng)行為管理、主機(jī)補(bǔ)丁管理等終端安全防護(hù)措施。通過這些安全措施使網(wǎng)絡(luò)內(nèi)的終端可以防御各種惡意代碼和病毒；可以對互聯(lián)網(wǎng)訪問行為監(jiān)管，為網(wǎng)絡(luò)的安全防護(hù)管理提供安全保障；可以自動下發(fā)操作系統(tǒng)補(bǔ)丁，提高終端的安全性。

2.構(gòu)建信息安全防護(hù)體系

電力企業(yè)應(yīng)充分利用已經(jīng)成熟的信息安全理論成果，在此基礎(chǔ)上在設(shè)計出具有可操作性，能兼顧整體性，并且能融合策略、組織、技術(shù)以及運(yùn)行為一體化的信息安全保障體系，從而保障信息安全。

2.1建立科學(xué)合理的信息安全策略體系

信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標(biāo)準(zhǔn)以及規(guī)范和多方面的細(xì)則，所涉及的基本要素包括信息管理和信息技術(shù)這兩方面，其覆蓋了信息系統(tǒng)的網(wǎng)絡(luò)層面、物理層面、系統(tǒng)層面以及應(yīng)用層面這四大層面。

2.2建設(shè)先進(jìn)可靠的信息安全技術(shù)防護(hù)體系

結(jié)合電力企業(yè)的特點(diǎn)，在企業(yè)內(nèi)部形成分區(qū)、分域、分級、分層的網(wǎng)絡(luò)環(huán)境，然后充分運(yùn)用防火墻、病毒過濾、入侵防護(hù)、單向物理隔離、拒絕服務(wù)防護(hù)和認(rèn)證授權(quán)等技術(shù)進(jìn)行區(qū)域邊界防護(hù)。通過統(tǒng)一規(guī)劃，解決系統(tǒng)之間、系統(tǒng)內(nèi)部網(wǎng)段間邊界不清晰，訪問控制措施薄弱的問題，對不同等級保護(hù)的業(yè)務(wù)系統(tǒng)分級防護(hù)，避免安全要求低的業(yè)務(wù)系統(tǒng)的威脅影響到安全要求高的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)全方位的技術(shù)安全防護(hù)。同時，還要結(jié)合信息機(jī)房物流防護(hù)、網(wǎng)絡(luò)準(zhǔn)入控制、補(bǔ)丁管理、PKI基礎(chǔ)設(shè)施、病毒防護(hù)、數(shù)據(jù)庫安全防護(hù)、終端安全管理和電子文檔安全防護(hù)等細(xì)化的措施，形成覆蓋企業(yè)全領(lǐng)域的技術(shù)防護(hù)體系。

2.3設(shè)置責(zé)權(quán)統(tǒng)一的信息安全組織體系

在企業(yè)內(nèi)部設(shè)置網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu)，按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”原則，實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理。信息安全領(lǐng)導(dǎo)機(jī)構(gòu)由決策層組成，工作機(jī)構(gòu)由各部門管理成員組成。工作機(jī)構(gòu)一般設(shè)置在信息管理部門，包含安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和應(yīng)用管理員，并分配相關(guān)安全責(zé)任，使信息安全在組織內(nèi)得以有效管理。

2.4構(gòu)建全面完善的信息安全管理體系

對于電力企業(yè)的信息安全防范來說，單純的使用技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的，只有配合管理才能提供有效運(yùn)營的保障。

2.4.1用制度保證信息安全

企業(yè)要建立從指導(dǎo)性到具體性的安全管理框架體系。安全方針是信息安全指導(dǎo)性文件，指明信息安全的發(fā)展方向，為信息安全提供管理指導(dǎo)和支持；安全管理辦法是對信息安全各方面內(nèi)容進(jìn)行管理的方法總述；安全管理流程是在信息安全管理辦法的基礎(chǔ)上描述各控制流程；安全規(guī)范和操作手冊則是為用戶提供詳細(xì)使用文檔。人是信息安全最活躍的因素，人的行為會直接影響到信息安全保障。所以需要通過加強(qiáng)人員信息安全培訓(xùn)、建立懲罰機(jī)制、加大關(guān)鍵崗位員工安全防范力度、加強(qiáng)離崗或調(diào)動人員的信息安全審查等措施實(shí)現(xiàn)企業(yè)工作人員的規(guī)范管理，明確員工信息安全責(zé)任和義務(wù)，避免人為風(fēng)險。

2.4.3建設(shè)時就考慮信息安全

在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)時，就從生命周期的各階段統(tǒng)籌考慮信息安全，遵照信息安全和信息化建設(shè)“三同步”原則，即“同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行”。

2.4.4實(shí)施信息安全運(yùn)行保障

主要是以資產(chǎn)管理為基礎(chǔ)，風(fēng)險管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應(yīng)功能，構(gòu)建動態(tài)的可信安全運(yùn)行保障。同時，還需要不斷完善應(yīng)急預(yù)案，做好預(yù)案演練，可以對信息安全事件進(jìn)行及時的應(yīng)急響應(yīng)和處置。

3.總結(jié)

篇7

為了深入貫徹學(xué)習(xí)關(guān)于網(wǎng)絡(luò)安全系列重要講話精神，積極響應(yīng)中央網(wǎng)信辦、工業(yè)和信息化部、公安部等六部門聯(lián)合的《關(guān)于印刷國家網(wǎng)絡(luò)安全宣傳周活動方案的通知》的要求，9月24日，由杭州市政府、中國信息化推進(jìn)聯(lián)盟、浙江經(jīng)濟(jì)理事會主辦，杭州市拱墅區(qū)政府、中國信息化推進(jìn)聯(lián)盟協(xié)同創(chuàng)新專委會、浙江乾冠信息安全研究院承辦的2016第二屆中國網(wǎng)絡(luò)安全協(xié)同創(chuàng)新高峰論壇?杭州峰會在美麗的西子湖畔召開。

峰會上，來自中央網(wǎng)信辦、公安部、中科院及國家有關(guān)部門的領(lǐng)導(dǎo)、專家就如何學(xué)習(xí)貫徹關(guān)于網(wǎng)絡(luò)安全和信息化的系列講話精神、網(wǎng)絡(luò)安全面臨的嚴(yán)峻復(fù)雜形勢、網(wǎng)絡(luò)安全管理的方針政策、網(wǎng)絡(luò)安全體系建設(shè)的策略建議和實(shí)踐案例等進(jìn)行了研討交流。

本刊摘取部分專家精彩觀點(diǎn)，以饗讀者。

建設(shè)整體信息安全保密體系

楊國勛認(rèn)為，當(dāng)前的信息安全問題不容小覷，特別是政府及金融、能源等關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障問題。應(yīng)該強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全，進(jìn)而大力推動重要領(lǐng)域整體信息安保體系建設(shè)。

但是，信息安全既沒有絕對的安全，也沒有永久的安全，因此，整體信息的安全防護(hù)也不可能一勞永逸，徹底管住。所以，在實(shí)際操作中，我們應(yīng)該是在有效安全的前提下，以發(fā)展促安全。

那么，如何做到有效防護(hù)？第一，要明確消除可預(yù)見的整體安防的薄弱點(diǎn)和空白點(diǎn)。要按照對雙方的重要性及損害的嚴(yán)重程度分類評估，來判定做還是不做。如果是有可預(yù)見的薄弱點(diǎn)，就不能做。第二，要創(chuàng)新安防的思路、方法、路線圖?，F(xiàn)實(shí)中，我們經(jīng)常會遇到“又要馬兒跑、又要馬兒不吃草”的問題，信息安全也是這樣的問題，又要安全，又要擴(kuò)大應(yīng)用。在這種情況下，我們需要創(chuàng)新，需要從另外的角度來分析和思考。比如風(fēng)險管理，不僅要分析對自己的重要性，也要分析對敵方的重要性；出了事情，要分析對自己的影響，也要分析對敵方的影響；比如法制管理，用法制的威懾力，使他不敢造次，不敢隨便地對你進(jìn)行攻擊。第三，要有科學(xué)、合理、可持續(xù)的實(shí)施方案。

互聯(lián)網(wǎng)+下的工業(yè)安全技術(shù)

在演講中，何積豐提及了工業(yè)控制系統(tǒng)的三個安全目標(biāo)：一是通信可控，要能直觀觀察、監(jiān)控、管理通信數(shù)據(jù)，僅能保證專有協(xié)議的數(shù)據(jù)傳輸，禁止其他通信；二是區(qū)域隔離，要能防止局部控制網(wǎng)絡(luò)問題擴(kuò)散導(dǎo)致全局癱瘓，要在關(guān)鍵數(shù)據(jù)通道上部署網(wǎng)絡(luò)隔離；三是報警追蹤，要能及時發(fā)現(xiàn)網(wǎng)絡(luò)安全問題，確定故障點(diǎn)，記錄報警事件，為故障分析提供依據(jù)。

對于工業(yè)控制系統(tǒng)的安全防御策略，何積豐提出了五道防線，分別是：第三方商用防火墻，聯(lián)合安全網(wǎng)關(guān)，工業(yè)PC安全防護(hù)，現(xiàn)場設(shè)備控制防護(hù)，安全可靠的現(xiàn)場設(shè)備。可以采取的具體措施也有五條：去中心化、智能下移、異構(gòu)冗余，分布協(xié)同、蜜罐技術(shù)。

何積豐認(rèn)為，未來幾年，工業(yè)控制系統(tǒng)安全發(fā)展趨勢將朝著以下幾方面發(fā)展：一是隨著硬件元器件的可靠性越來越高及冗余技術(shù)的使用，安全問題的矛盾主要集中于軟件，軟件安全性面臨嚴(yán)峻形勢；二是工控信息安全標(biāo)準(zhǔn)需求強(qiáng)烈，標(biāo)準(zhǔn)制定工作亟需全面推進(jìn)；三是隨著自動化系統(tǒng)IT化，傳統(tǒng)邊界防護(hù)難以滿足工業(yè)控制環(huán)境；四是行業(yè)內(nèi)尚未形成氣候，需要整合自動化與信息安全公司優(yōu)勢，帶動產(chǎn)業(yè)全面發(fā)展；五是工控安全防護(hù)技術(shù)迅速發(fā)展并在局部開始試點(diǎn)，距離大規(guī)模部署和應(yīng)用有一定差距。

深化國家網(wǎng)絡(luò)安全等級保護(hù)制度，全力保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全

陳廣勇除匯報了公安部在網(wǎng)絡(luò)安全方面的一些工作情況和應(yīng)對措施之外，還給重要行業(yè)部門開展網(wǎng)絡(luò)安全工作和信息安全企業(yè)提出了一些建議。

他建議，重要行業(yè)部門開展網(wǎng)絡(luò)安全工作要統(tǒng)籌規(guī)劃行業(yè)安全工作，以網(wǎng)絡(luò)安全等級保護(hù)工作為抓手，以信息通報為平臺，以全面加強(qiáng)安全管理和技術(shù)防范為重點(diǎn)，以提高網(wǎng)絡(luò)安全保障能力為目標(biāo)，全力構(gòu)建本行業(yè)網(wǎng)絡(luò)安全綜合防御體系。

針對信息安全企業(yè)，他建議，第一是要緊密圍繞國家網(wǎng)絡(luò)安全重大舉措來開展經(jīng)營活動，包括及時跟蹤了解國家法律、政策、標(biāo)準(zhǔn)和重大舉措；有針對性地制定具有行業(yè)特點(diǎn)的產(chǎn)品研發(fā)戰(zhàn)略、技術(shù)創(chuàng)新，著重解決云、大、物、移以及工業(yè)控制系統(tǒng)的安全風(fēng)險，制定相應(yīng)的整體解決方案；第二是要積極參與和跟進(jìn)信息安全標(biāo)準(zhǔn)的規(guī)范研究工作；第三是要全力支撐國家網(wǎng)絡(luò)安全重點(diǎn)工作，做好技術(shù)儲備和技術(shù)創(chuàng)新，信息安全企業(yè)要積極參與網(wǎng)絡(luò)安全信息通報預(yù)警、智慧城市的網(wǎng)絡(luò)安全管理、新技術(shù)、新應(yīng)用推廣等國家有較大投入的方面；第四是要加強(qiáng)規(guī)劃、科學(xué)布局，企業(yè)要做好長遠(yuǎn)的戰(zhàn)略規(guī)劃，努力成為既能提供整體的網(wǎng)絡(luò)安全解決方案，也能提供高質(zhì)量的咨詢服務(wù)能力的綜合服務(wù)提供商。

擬態(tài)防御，協(xié)同眾測促進(jìn)網(wǎng)絡(luò)安全創(chuàng)新

演講中，葛培勤指出了當(dāng)今網(wǎng)絡(luò)安全的五個特點(diǎn)：一是網(wǎng)絡(luò)安全是整體的不是割裂的，二是網(wǎng)絡(luò)安全是動態(tài)的不是靜態(tài)的，三是網(wǎng)絡(luò)安全是開放的而不是封閉的，四是網(wǎng)絡(luò)安全是相對的而不是絕對的，五是網(wǎng)絡(luò)安全是共同的而不是孤立的。他進(jìn)而指出：網(wǎng)絡(luò)防護(hù)需要靠大家共同協(xié)防，網(wǎng)絡(luò)檢測需要靠大家一起發(fā)現(xiàn)問題，網(wǎng)絡(luò)管理需要大家齊抓共管，網(wǎng)絡(luò)應(yīng)急需要靠大家一起處置/恢復(fù)，網(wǎng)絡(luò)演練需要靠大家共同參與，網(wǎng)絡(luò)安全需要靠廣大人民。

他講到，近年來，針對傳統(tǒng)13類產(chǎn)品以外的信息安全產(chǎn)品層出不窮，如APT網(wǎng)絡(luò)監(jiān)控類、工控安全類、生物識別類、認(rèn)證類、安全芯片類、大數(shù)據(jù)分析類、物聯(lián)網(wǎng)安全等等，而創(chuàng)新產(chǎn)品測評與統(tǒng)一認(rèn)證，將加快這些創(chuàng)新產(chǎn)品進(jìn)入實(shí)際應(yīng)用。國家信息技術(shù)安全研究中心與中國信息安全中心協(xié)商一致，最近將與多家測評機(jī)構(gòu)進(jìn)一步溝通協(xié)商，一是在測評規(guī)范上采取一定的措施，如鼓勵采用未國標(biāo)開展試點(diǎn)示范，采用參考行標(biāo)擴(kuò)大使用范圍，采用多家眾測形成測試用例，同時借鑒國外相關(guān)技術(shù)標(biāo)準(zhǔn)等方法，加快形成創(chuàng)新產(chǎn)品的基本測評用例和增強(qiáng)測試用例，采取結(jié)果導(dǎo)向、問題導(dǎo)向、目標(biāo)導(dǎo)向理念，開展基于漏洞分析挖掘的產(chǎn)品測評，并對相對成熟的創(chuàng)新類產(chǎn)品、專家評審和審批后發(fā)放統(tǒng)一的認(rèn)證證書。眾測活動需要嚴(yán)格的管理措施來保證測評中的“7性”，組織方必須周密組織，公開公平公正地開展工作，保證測評的嚴(yán)肅性、嚴(yán)謹(jǐn)性。

跨維―深度聚焦網(wǎng)安生態(tài)

徐平說，在整個網(wǎng)絡(luò)信息化發(fā)展過程中，乾冠信息安全研究院主要解決網(wǎng)絡(luò)安全中第一公里和最后一公里的問題，其中的第一公里小到一個單位，大到國家互聯(lián)網(wǎng)的出入口。乾冠信息安全研究院致力于通過時空跨維和深度聚焦，來形成一個比較完整的針對安全威脅的體系化的解決方案。

如何發(fā)現(xiàn)并分析處理數(shù)據(jù)安全，需要業(yè)界廠家形成合力，利用大數(shù)據(jù)驅(qū)動構(gòu)建一個安全管理的平臺。這也是研究院積極參與構(gòu)建中國網(wǎng)絡(luò)安全協(xié)同創(chuàng)新共同體、網(wǎng)絡(luò)安全態(tài)勢感知生態(tài)矩陣的初衷，即借助平臺化的方式，用平臺+服務(wù)、平臺+產(chǎn)品、平臺+合作伙伴等模式，來為用戶提供整體的服務(wù)。平臺矩陣將從三個層面提供防御保護(hù)：遠(yuǎn)程防御、云防御和安全設(shè)備。

他坦言，對安全威脅的一些未來的預(yù)測，是乾冠信息安全研究院下一步要重點(diǎn)突破的方向。

安全理念更新引領(lǐng)網(wǎng)絡(luò)安全創(chuàng)新

演講伊始，邵國安就指出：現(xiàn)在很多層面對于網(wǎng)絡(luò)安全的本質(zhì)和核心的理解是比較模糊的。理念決定行動，但是若理念都錯了，談何正確的行動？

他講道，網(wǎng)絡(luò)安全要從以下五個方面來加以考慮：一是網(wǎng)絡(luò)邊界的安全，二是網(wǎng)絡(luò)防護(hù)，三是終端安全，四是應(yīng)用安全，五是數(shù)據(jù)安全，每個層面都有不同的安全要求，是一個扇型的安全保障體系。

交通運(yùn)輸網(wǎng)絡(luò)安全風(fēng)險與策略

李璐瑤認(rèn)為，不管是從事信息化還是從事信息安全的，都必須先了解它的業(yè)態(tài)，才能來進(jìn)行風(fēng)險權(quán)重的評價。交通行業(yè)，很好地體現(xiàn)了大數(shù)據(jù)的強(qiáng)大特征：廣泛性、海量性、有價性。也正因此，交通領(lǐng)域成為了可能遭到重點(diǎn)攻擊的目標(biāo)，一定要采取有效措施，加強(qiáng)安全防護(hù)。

此外，她也認(rèn)為就各級政府而言，要集中對政府網(wǎng)站、政務(wù)郵箱、重要業(yè)務(wù)、公務(wù)終端、互聯(lián)網(wǎng)出口這五類系統(tǒng)進(jìn)行安全防護(hù)。

提升風(fēng)險自主發(fā)現(xiàn)處置能力的探索實(shí)踐

篇8

今天，我們實(shí)施一個信息化項(xiàng)目，如果像實(shí)施傳統(tǒng)項(xiàng)目那樣，只重視經(jīng)濟(jì)效益，那么有可能事與愿違，造成重大的安全損害。特別是現(xiàn)在新一代信息技術(shù)蓬勃興起，一個信息系統(tǒng)可能會面向廣大的用戶、處理海量的數(shù)據(jù)，這類系統(tǒng)一旦出了安全問題，后果就極為嚴(yán)重。所以我們從事網(wǎng)信工作，往往要將網(wǎng)絡(luò)安全的考量放在優(yōu)先的地位，而且貫穿在項(xiàng)目的全過程中，包括確定需求、選擇方案、采購設(shè)備、組織實(shí)施、運(yùn)營維護(hù)等等，無論在哪個環(huán)節(jié)，都要把網(wǎng)絡(luò)安全保障放在重要位置。正像“綠色發(fā)展”要求我們在決定某些工業(yè)項(xiàng)目是否上馬時，將符合環(huán)保要求放在“一票否決”的地位，今天，我們也應(yīng)將是否符合網(wǎng)絡(luò)安全的要求放在類似的地位。

只有通過自主創(chuàng)新才能突破關(guān)鍵核心技術(shù)

在網(wǎng)信領(lǐng)域，信息化核心技術(shù)和信息基礎(chǔ)設(shè)施具有特別重要的地位，而且有高度的壟斷性。一直以來，我國在一些關(guān)鍵核心技術(shù)設(shè)備上受制于人，也就是說，我們的“命門”掌握在別人手里。正因?yàn)槿绱?，盡管我國的網(wǎng)民和移動網(wǎng)民數(shù)都居世界第一，但我們還不是網(wǎng)絡(luò)強(qiáng)國。我國只有盡快突破核心技術(shù)，把命運(yùn)掌握在自己手中，才能成為一個網(wǎng)絡(luò)強(qiáng)國。

掌握核心技術(shù)往往需要付出巨大的、堅持不懈的努力。例如，早期在我國還不能制造高性能計算機(jī)時，有些部門（如天氣預(yù)報、石油勘探）不得不高價去買外國計算機(jī)，但那時，外國只賣給我們較低指標(biāo)的計算機(jī)，外國公司還要派人在機(jī)房里監(jiān)視著計算機(jī)的運(yùn)行。后來，每當(dāng)我國研制出一臺較高指標(biāo)的計算機(jī)，他們才會放松一些限制，賣給我們高一檔次的計算機(jī)。就這樣，隨著我國自己設(shè)計的計算機(jī)不斷提升，外國才被迫逐漸放寬了對我國的禁運(yùn)。這兩年，我國的“天河”機(jī)登上了世界超級計算機(jī)的榜首，他們于心不甘，去年就禁運(yùn)了“天河”機(jī)所使用的“至強(qiáng)”CPU芯片，企圖進(jìn)行遏制。但這反而激勵了我國科技人員的創(chuàng)新。今年，我國推出了采用國產(chǎn)CPU芯片的“神威?太湖之光”超級計算機(jī)，繼續(xù)高居世界榜首；而且“天河”也將在明年推出采用國產(chǎn)CPU芯片的新型號。上述中國高性能計算機(jī)幾十年的發(fā)展史證明：真正的核心技術(shù)是買不來的，是市場換不到的。我們只有通過自主創(chuàng)新，自立自強(qiáng)，才能打破發(fā)達(dá)國家對我們采取的種種遏制，才能將關(guān)鍵核心技術(shù)掌握在我們自己手中。

正確處理開放和自主的關(guān)系

我們強(qiáng)調(diào)自主創(chuàng)新，不是關(guān)起門來搞研發(fā)，一定要堅持開放創(chuàng)新。我們不拒絕任何新技術(shù)，自主創(chuàng)新中包括引進(jìn)那些安全可控的新技術(shù)，也包括引進(jìn)消化吸收再創(chuàng)新。應(yīng)該說，這些年來基于開源軟件實(shí)施引進(jìn)消化吸收再創(chuàng)新還是卓有成效的。今后，隨著我國軟件人員逐步地從開源軟件的使用者發(fā)展到參與者、貢獻(xiàn)者，甚至有的開源軟件可能由我國軟件人員主導(dǎo)，其中將會具有越來越多的自主創(chuàng)新成分。

近來，我國企業(yè)和外國同行之間在一些核心技術(shù)方面的合作有增多的跡象。因?yàn)殡S著我國技術(shù)水平和創(chuàng)新能力的提高，外國會放寬某些出口限制，這有利于企業(yè)間國際合作的擴(kuò)展。另外，我國廣闊的市場也吸引著外國企業(yè)擴(kuò)展與中國企業(yè)的合作。這種合作一般是市場行為，企業(yè)可以自行決策。當(dāng)合作涉及到國家安全或者有可能造成市場壟斷時，需要通過有關(guān)部門的審查，包括進(jìn)行網(wǎng)絡(luò)安全審查在內(nèi)。

一些企業(yè)認(rèn)為，這類國際合作可以達(dá)到“合作共贏”或“與狼共舞”。不管怎么說，只要符合法規(guī)，都是容許的。不過應(yīng)當(dāng)防止出現(xiàn)某些偏差，例如有的“合資”或“合作”采用簡單的“貼牌”或“穿馬甲”等方式，將外國產(chǎn)品通過“合資”或“合作”變?yōu)椤皣a(chǎn)”或“自主可控”產(chǎn)品。這樣做可能會對真正的本國企業(yè)造成打壓，也可能誤將不可控的產(chǎn)品當(dāng)成“自主可控”的，不利于保障網(wǎng)絡(luò)安全。

企業(yè)間的合作主要取決于經(jīng)濟(jì)利益，但在國家層面上，發(fā)展信息化核心技術(shù)等重要決策，應(yīng)突出網(wǎng)絡(luò)安全，強(qiáng)調(diào)不能受制于人。即使外國公司的某項(xiàng)技術(shù)很先進(jìn)，性價比很高，似乎也能大量供應(yīng)市場，這作為企業(yè)間的國際合作項(xiàng)目是可以的，但如果它在某個方面（如知識產(chǎn)權(quán)、供應(yīng)鏈、技術(shù)掌握）會受到別人的制約，那么就不能作為國家層面的選擇。所以不能將企業(yè)間的“合作共贏”或“與狼共舞”，無條件地擴(kuò)展為國家間的關(guān)系。

篇9

 

隨著云計算、大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展，企業(yè)信息化、智能化程度、網(wǎng)絡(luò)化、數(shù)字化程度越來越高，人類社會進(jìn)入到以大數(shù)據(jù)為主要特征的知識文明時代。大數(shù)據(jù)是企業(yè)的重要財富，正在成為企業(yè)一種重要的生產(chǎn)資料，成為企業(yè)創(chuàng)新、競爭、業(yè)務(wù)提升的前沿。大數(shù)據(jù)正在成為企業(yè)未來業(yè)務(wù)發(fā)展的重要戰(zhàn)略方向，大數(shù)據(jù)將引領(lǐng)企業(yè)實(shí)現(xiàn)業(yè)務(wù)跨越式發(fā)展;同時，由此帶來的信息安全風(fēng)險挑戰(zhàn)前所未有，遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)意義上信息安全保障的內(nèi)涵，對于眾多大數(shù)據(jù)背景下涉及的信息安全問題，很難通過一套完整的安全產(chǎn)品和服務(wù)從根本上解決安全隱患。

 

自2008年國際綜合性期刊《Nature》發(fā)表有關(guān)大數(shù)據(jù)(Big Data)的?？詠?，面向各應(yīng)用領(lǐng)域的大數(shù)據(jù)分析更成為各行業(yè)及信息技術(shù)方向關(guān)注的焦點(diǎn)。大數(shù)據(jù)的固有特征使得傳統(tǒng)安全機(jī)制和方法顯示出不足。本文系統(tǒng)分析了大數(shù)據(jù)時代背景下的企業(yè)信息系統(tǒng)存在的主要信息安全脆弱性、信息安全威脅以及信息安全風(fēng)險問題，并有針對性地提出相應(yīng)的信息安全保障策略，為大數(shù)據(jù)背景下的企業(yè)信息安全保障提供一定指導(dǎo)的作用。

 

1 大數(shù)據(jù)基本內(nèi)涵

 

大數(shù)據(jù)(Big Data)，什么是大數(shù)據(jù)，目前還沒有形成統(tǒng)一的共識。網(wǎng)絡(luò)企業(yè)普遍將大數(shù)據(jù)定義為數(shù)據(jù)量與數(shù)據(jù)類型復(fù)雜到在合理時間內(nèi)無法通過當(dāng)前的主流數(shù)據(jù)庫管理軟件生成、獲取、傳輸、存儲、處理，管理、分析挖掘、應(yīng)用決策以及銷毀等的大型數(shù)據(jù)集。大數(shù)據(jù)具有4V特征(Volume，Varity，Value，Velocity)，即數(shù)據(jù)量大、數(shù)據(jù)類型多、數(shù)據(jù)價值密度低、數(shù)據(jù)處理速度快。

 

2011年麥肯錫咨詢公司了《大數(shù)據(jù)：下一個創(chuàng)新、競爭和生產(chǎn)力的變革領(lǐng)域》[1]的研究報告，引起了信息產(chǎn)業(yè)界的廣泛關(guān)注。美國谷歌公司(Google)、國際商業(yè)機(jī)器公司(IBM)、美國易安信公司(EMC)、臉書(Facebook)等公司相繼開始了大數(shù)據(jù)應(yīng)用、分析、存儲、管理等相關(guān)技術(shù)的研究，并推出各自的大數(shù)據(jù)解決框架、方案以及產(chǎn)品。

 

例如，阿帕奇軟件基金會(Apache)組織推出的Hadoop大數(shù)據(jù)分析框架，谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技術(shù)框架等，這些研究成果為隨后的大數(shù)據(jù)應(yīng)用迅猛發(fā)展提供了便利的條件。2012年3月，美國奧巴馬總統(tǒng)了2億美元的“Big Data Initiative”(大數(shù)據(jù)研究和發(fā)展計劃)，該計劃涉及能源、國防、醫(yī)療、基礎(chǔ)科學(xué)等領(lǐng)域的155個項(xiàng)目種類，該計劃極大地推動了大數(shù)據(jù)技術(shù)的創(chuàng)新與應(yīng)用，標(biāo)志著奧巴馬政府將大數(shù)據(jù)戰(zhàn)略從起初的政策層提升到國家戰(zhàn)略層。

 

同時，我國對大數(shù)據(jù)的認(rèn)識、應(yīng)用及相關(guān)技術(shù)服務(wù)等也在不斷提高，企業(yè)界一致認(rèn)同大數(shù)據(jù)在降低企業(yè)經(jīng)營運(yùn)營成本、提升管理層決策效率、提高企業(yè)經(jīng)濟(jì)效益等方面具有廣闊的應(yīng)用前景，相繼大數(shù)據(jù)相關(guān)戰(zhàn)略文件，同時國家組織在民生、國防等重要領(lǐng)域投入大量的人力物力進(jìn)行相關(guān)技術(shù)研究與創(chuàng)新實(shí)踐。中國移動通信公司在已有的云計算平臺基礎(chǔ)上，開展了大量大數(shù)據(jù)應(yīng)用研究，力圖將數(shù)據(jù)信息轉(zhuǎn)化為商業(yè)價值，促進(jìn)業(yè)務(wù)創(chuàng)新。

 

例如，通過挖掘用戶的移動互聯(lián)網(wǎng)行為特征，助力市場決策;利用信令數(shù)據(jù)支撐終端、網(wǎng)絡(luò)、業(yè)務(wù)平臺關(guān)聯(lián)分析，優(yōu)化網(wǎng)絡(luò)質(zhì)量。商業(yè)銀行也相繼開展了經(jīng)融大數(shù)據(jù)研究，提升銀行的競爭力。例如，通過對用戶數(shù)據(jù)分析開展信用評估，降低企業(yè)風(fēng)險;從細(xì)粒度的級別進(jìn)行客戶數(shù)據(jù)分析，為不同客戶提供個性化的產(chǎn)品與服務(wù)，提升銀行的服務(wù)效率?？偠灾?，大數(shù)據(jù)正在帶來一場顛覆性的革命，將會推動整個社會取得全面進(jìn)步。

 

2 大數(shù)據(jù)安全研究現(xiàn)狀

 

在大數(shù)據(jù)計算和分析過程中，安全是不容忽視的。大數(shù)據(jù)的固有特征對現(xiàn)有的安全標(biāo)準(zhǔn)、安全體系架構(gòu)、安全機(jī)制等都提出了新的挑戰(zhàn)。目前對大數(shù)據(jù)完整性的研究主要包括兩方面，一是對數(shù)據(jù)完整性的檢測;二是對完整性被破壞的數(shù)據(jù)的恢復(fù)。在完整性檢測方面，數(shù)據(jù)量的增大使傳統(tǒng)的MD5、SHA1等效率較低的散列校驗(yàn)方法不再適用，驗(yàn)證者也無法將全部數(shù)據(jù)下載到本地主機(jī)后再進(jìn)行驗(yàn)證。

 

面向大數(shù)據(jù)的高效隱私保護(hù)方法方面，高效、輕量級的數(shù)據(jù)加密已有多年研究，雖然可用于大數(shù)據(jù)加密，但加密后數(shù)據(jù)不具可用性。保留數(shù)據(jù)可用性的非密碼學(xué)的隱私保護(hù)方法因而得到了廣泛的研究和應(yīng)用。這些方法包括數(shù)據(jù)隨機(jī)化、k-匿名化、差分隱私等。這些方法在探究隱私泄漏的風(fēng)險、提高隱私保護(hù)的可信度方面還有待深入，也不能適應(yīng)大數(shù)據(jù)的海量性、異構(gòu)性和時效性。

 

在隱私保護(hù)下大數(shù)據(jù)的安全計算方面，很多應(yīng)用領(lǐng)域中的安全多方計算問題都在半誠實(shí)模型中得到了充分的研究，采用的方法包括電路賦值(Circuit Evaluation)、遺忘傳輸(Oblivious Transfer)、同態(tài)加密等。通過構(gòu)造零知識證明，可以將半誠實(shí)模型中的解決方法轉(zhuǎn)換到惡意模型中。而在多方參與、涉及大量數(shù)據(jù)處理的計算問題，目前研究的主要缺陷是惡意模型中方法的復(fù)雜度過高，不適應(yīng)多方參與、多協(xié)議執(zhí)行的復(fù)雜網(wǎng)絡(luò)環(huán)境。

 

企業(yè)大數(shù)據(jù)技術(shù)是指大數(shù)據(jù)相關(guān)技術(shù)在企業(yè)的充分應(yīng)用，即對企業(yè)業(yè)務(wù)、生產(chǎn)、監(jiān)控、監(jiān)測等信息系統(tǒng)在運(yùn)行過程中涉及的海量數(shù)據(jù)進(jìn)行抽取、傳輸、存儲、處理，管理、分析挖掘、應(yīng)用決策以及銷毀等，實(shí)現(xiàn)大數(shù)據(jù)對企業(yè)效率的提升、效益的增值以及風(fēng)險的預(yù)測等。

 

企業(yè)的大數(shù)據(jù)類型通常主要包括業(yè)務(wù)經(jīng)營數(shù)據(jù)即客戶信息數(shù)據(jù)、企業(yè)的生產(chǎn)運(yùn)營與管理數(shù)據(jù)以及企業(yè)的設(shè)備運(yùn)行數(shù)據(jù)等，即客戶信息數(shù)據(jù)、員工信息數(shù)據(jù)、財務(wù)數(shù)據(jù)、物資數(shù)據(jù)、系統(tǒng)日志、設(shè)備監(jiān)測數(shù)據(jù)、調(diào)度數(shù)據(jù)、檢修數(shù)據(jù)、狀態(tài)數(shù)據(jù)等。企業(yè)大數(shù)據(jù)具有3V、3E特征[2]，3V即數(shù)據(jù)體量大(Volume)、數(shù)據(jù)類型多(Varity)與數(shù)據(jù)速度快(Velocity)，3E即數(shù)據(jù)即能量(Energy)、數(shù)據(jù)即交互(Exchange)與數(shù)據(jù)即共情(Empathy)。3 大數(shù)據(jù)時代企業(yè)信息安全漏洞與風(fēng)險并存

 

大數(shù)據(jù)時代，大數(shù)據(jù)在推動企業(yè)向著更為高效、優(yōu)質(zhì)、精準(zhǔn)的服務(wù)前行的同時，其重要性與特殊性也給企業(yè)帶來新的信息安全風(fēng)險與挑戰(zhàn)。如何針對大數(shù)據(jù)的重要性與特殊性構(gòu)建全方位多層次的信息安全保障體系，是企業(yè)發(fā)展中面臨的重要課題。大數(shù)據(jù)背景下，結(jié)合大數(shù)據(jù)時代的企業(yè)工作模式，企業(yè)可能存在的信息安全風(fēng)險主要表現(xiàn)在以下三個方面：

 

(1)企業(yè)業(yè)務(wù)大數(shù)據(jù)信息安全風(fēng)險：由于缺乏針對大數(shù)據(jù)相關(guān)的政策法規(guī)、標(biāo)準(zhǔn)與管理規(guī)章制度，導(dǎo)致企業(yè)對客戶信息大數(shù)據(jù)的“開放度”難以掌握，大數(shù)據(jù)開放和隱私之間難以平衡;企業(yè)缺乏清晰的數(shù)據(jù)需求導(dǎo)致數(shù)據(jù)資產(chǎn)流失的風(fēng)險;企業(yè)數(shù)據(jù)孤島，數(shù)據(jù)質(zhì)量差可用性低，導(dǎo)致數(shù)據(jù)無法充分利用以及數(shù)據(jù)價值不能充分挖掘的風(fēng)險;大數(shù)據(jù)安全能力和防范意識差，大數(shù)據(jù)人才缺乏導(dǎo)致大數(shù)據(jù)分析、處理等工作難以開展的風(fēng)險;管理技術(shù)和架構(gòu)相對滯后，導(dǎo)致數(shù)據(jù)泄露的風(fēng)險。

 

(2)企業(yè)基礎(chǔ)設(shè)施信息安全風(fēng)險：2010年，震網(wǎng)病毒[3]通過網(wǎng)絡(luò)與預(yù)制的系統(tǒng)漏洞對伊朗核電站發(fā)起攻擊，導(dǎo)致伊朗濃縮鈾工程的部分離心機(jī)出現(xiàn)故障，極大的延緩了伊朗核進(jìn)程。從此開啟了世界各國對工業(yè)控制系統(tǒng)安全的重視與管控。對于生產(chǎn)企業(yè)，工業(yè)生產(chǎn)設(shè)備是企業(yè)的命脈，其控制系統(tǒng)的安全性必須得到企業(yè)的高度重視。隨著物理設(shè)備管理控制系統(tǒng)與大數(shù)據(jù)采集系統(tǒng)在企業(yè)的不斷應(yīng)用，監(jiān)控與數(shù)據(jù)采集系統(tǒng)必將成為是物理攻擊的重點(diǎn)方向，越來越多的安全問題隨之出現(xiàn)。

 

設(shè)備“接入點(diǎn)”范圍的不斷擴(kuò)大，傳統(tǒng)的邊界防護(hù)概念被改變; 2013年初，美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(ICS-CERT)預(yù)警，發(fā)現(xiàn)美國兩家電廠的發(fā)電控制設(shè)備在2012年10月至12月期間感染了USB設(shè)備中的惡意軟件。該軟件能夠遠(yuǎn)程控制開關(guān)閘門、旋轉(zhuǎn)儀表表盤、大壩控制等重要操作，對電力設(shè)備及企業(yè)安全造成了極大的威脅。

 

(3)企業(yè)平臺信息安全風(fēng)險： 應(yīng)用層安全風(fēng)險主要是指網(wǎng)絡(luò)給用戶提供服務(wù)所采用的應(yīng)用軟件存在的漏洞所帶來的安全風(fēng)險，包括： Web服務(wù)、郵件系統(tǒng)、數(shù)據(jù)庫軟件、域名系統(tǒng)、路由與交換系統(tǒng)、防火墻及網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)等;操作系統(tǒng)層的安全風(fēng)險主要是指網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)存在的漏洞帶來的安全風(fēng)險，例如Windows NT、UNIX、Linux系列以及專用操作系統(tǒng)本身安全漏洞，主要包括訪問控制、身份認(rèn)證、系統(tǒng)漏洞以及操作系統(tǒng)的安全配置等;網(wǎng)絡(luò)層安全風(fēng)險主要指網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ苄耘c完整性、路由系統(tǒng)的安全、遠(yuǎn)程接入、域名系統(tǒng)、入侵檢測的手段等網(wǎng)絡(luò)信息漏洞帶來的安全性。

 

4 企業(yè)大數(shù)據(jù)信息安全保障策略

 

針對大數(shù)據(jù)時代下企業(yè)可能存在的信息安全漏洞與風(fēng)險，本文從企業(yè)的網(wǎng)絡(luò)邊界信息安全保障、應(yīng)用終端信息安全保障、應(yīng)用平臺信息安全保障、網(wǎng)絡(luò)安全信息安全保障、數(shù)據(jù)安全信息安全保障等多方面提出如下信息安全保障策略，形成具有層次特性的企業(yè)信息安全保障體系，提升大數(shù)據(jù)時代下的企業(yè)信息安全保障能力。

 

4.1企業(yè)系統(tǒng)終端——信息安全保障策略

 

對企業(yè)計算機(jī)終端進(jìn)行分類，依照國家信息安全等級保護(hù)的要求實(shí)行分級管理，根據(jù)確定的等級要求采取相應(yīng)的安全保障策略。企業(yè)擁有多種類型終端設(shè)備，對于不同終端，根據(jù)具體終端的類型、通信方式以及應(yīng)用環(huán)境等選擇適宜的保障策略。確保移動終端的接入安全，移動作業(yè)類終端嚴(yán)格執(zhí)行企業(yè)制定的辦公終端嚴(yán)禁“內(nèi)外網(wǎng)機(jī)混用”原則，移動終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入。配子站終端需配置安全模塊，對主站系統(tǒng)的參數(shù)設(shè)置指令和控制命令采取數(shù)據(jù)完整性驗(yàn)證和安全鑒別措施，以防范惡意操作電氣設(shè)備，冒充主站對子站終端進(jìn)行攻擊。

 

4.2企業(yè)網(wǎng)絡(luò)邊界——信息安全保障策略

 

企業(yè)網(wǎng)絡(luò)具有分區(qū)分層的特點(diǎn)，使邊界不受外部的攻擊，防止惡意的內(nèi)部人員跨越邊界對外實(shí)施攻擊，在不同區(qū)的網(wǎng)絡(luò)邊界加強(qiáng)安全防護(hù)策略，或外部人員通過開放接口、隱蔽通道進(jìn)入內(nèi)部網(wǎng)絡(luò)。在管理信息內(nèi)部，審核不同業(yè)務(wù)安全等級與網(wǎng)絡(luò)密級，在網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)的隔離保護(hù)。按照業(yè)務(wù)網(wǎng)絡(luò)的安全等級、實(shí)時性需求以及用途等評價指標(biāo)，采用防火墻隔離技術(shù)、協(xié)議隔離技術(shù)、物理隔離技術(shù)等[4]對關(guān)鍵核心業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全隔離，實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)訪問資源限制。

 

4.3企業(yè)網(wǎng)絡(luò)安全——信息安全保障策略

 

網(wǎng)絡(luò)是企業(yè)正常運(yùn)轉(zhuǎn)的重要保障，是連接物理設(shè)備、應(yīng)用平臺與數(shù)據(jù)的基礎(chǔ)環(huán)境。生產(chǎn)企業(yè)主要采用公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)，專用網(wǎng)絡(luò)支撐企業(yè)的生產(chǎn)管理、設(shè)備管理、調(diào)度管理、資源管理等核心業(yè)務(wù)，不同業(yè)務(wù)使用的專用網(wǎng)絡(luò)享有不同安全等級與密級，需要采取不同的保障策略。網(wǎng)絡(luò)彈性是指基礎(chǔ)網(wǎng)絡(luò)在遇到突發(fā)事件時繼續(xù)運(yùn)行與快速恢復(fù)的能力。

 

采用先進(jìn)的網(wǎng)絡(luò)防護(hù)技術(shù)，建立基礎(chǔ)網(wǎng)一體化感知、響應(yīng)、檢測、恢復(fù)與溯源機(jī)制，采取網(wǎng)絡(luò)虛擬化、硬件冗余、疊加等方法提高企業(yè)網(wǎng)絡(luò)彈性與安全性;對網(wǎng)絡(luò)基礎(chǔ)服務(wù)、網(wǎng)絡(luò)業(yè)務(wù)、信息流、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)網(wǎng)絡(luò)環(huán)境采用監(jiān)控審計、安全加固、訪問控制、身份鑒別、備份恢復(fù)、入侵檢測、資源控制等措施增強(qiáng)網(wǎng)絡(luò)環(huán)境安全防護(hù);在企業(yè)網(wǎng)絡(luò)中，重要信息數(shù)據(jù)需要安全通信。針對信息數(shù)字資源的安全交換需求，構(gòu)建企業(yè)的業(yè)務(wù)虛擬專用網(wǎng)。在已有基礎(chǔ)網(wǎng)絡(luò)中采用訪問控制、用戶認(rèn)證、信息加密等相關(guān)技術(shù)，防止企業(yè)敏感數(shù)據(jù)被竊取，采取建立數(shù)據(jù)加密虛擬網(wǎng)絡(luò)隧道進(jìn)行信息傳輸安全通信機(jī)制。

 

4.4企業(yè)應(yīng)用系統(tǒng)平臺——信息安全保障策略

 

應(yīng)用系統(tǒng)平臺安全直接關(guān)系到企業(yè)各業(yè)務(wù)應(yīng)用的穩(wěn)定運(yùn)行，對應(yīng)用平臺進(jìn)行信息安全保障，可以有效避免企業(yè)業(yè)務(wù)被阻斷、擾亂、欺騙等破壞行為，本文建議給每個應(yīng)用平臺建立相應(yīng)的日志系統(tǒng)，可以對用戶的操作記錄、訪問記錄等信息進(jìn)行歸檔存儲，為安全事件分析提供取證與溯源數(shù)據(jù)，防范內(nèi)部人員進(jìn)行異常操作。

 

企業(yè)應(yīng)用平臺的用戶類型多樣，不同的應(yīng)用主體享有不同的功能與應(yīng)用權(quán)限，考慮到系統(tǒng)的靈活性與安全性，采用基于屬性權(quán)限訪問控制[5]、基于動態(tài)和控制中心訪問權(quán)限控制[6]、基于域訪問權(quán)限控制[7]、基于角色訪問控制等訪問控制技術(shù);確保企業(yè)應(yīng)用平臺系統(tǒng)安全可靠，在應(yīng)用平臺上線前，應(yīng)邀請第三方權(quán)威機(jī)構(gòu)對其進(jìn)行信息安全測評，即對應(yīng)用平臺系統(tǒng)進(jìn)行全面、系統(tǒng)的安全漏洞分析與風(fēng)險評估[8]，并制定相應(yīng)的信息安全保障策略。4.5企業(yè)大數(shù)據(jù)安全——信息保障策略

 

大數(shù)據(jù)時代下，大數(shù)據(jù)是企業(yè)的核心資源。企業(yè)客戶數(shù)據(jù)可能不僅包含個人的隱私信息，而且還包括個人、家庭的消費(fèi)行為信息，如果針對客戶大數(shù)據(jù)不妥善處理，會對用戶造成極大的危害，進(jìn)而失信于客戶。目前感知大數(shù)據(jù)(數(shù)據(jù)追蹤溯源)、應(yīng)用大數(shù)據(jù)(大數(shù)據(jù)的隱私保護(hù)[9]與開放)、管控大數(shù)據(jù)(數(shù)據(jù)訪問安全、數(shù)據(jù)存儲安全)等問題，仍然制約與困擾著大數(shù)據(jù)的發(fā)展。大數(shù)據(jù)主要采用分布式文件系統(tǒng)技術(shù)在云端存儲，在對云存儲環(huán)境進(jìn)行安全防護(hù)的前提下，對關(guān)鍵核心數(shù)據(jù)進(jìn)行冗余備份，強(qiáng)化數(shù)據(jù)存儲安全，提高企業(yè)大數(shù)據(jù)安全存儲能力。

 

為了保護(hù)企業(yè)數(shù)據(jù)的隱私安全、提高企業(yè)大數(shù)據(jù)的安全性的同時提升企業(yè)的可信度，可采用數(shù)據(jù)分享、分析、時進(jìn)行匿名保護(hù)已經(jīng)隱私數(shù)據(jù)存儲加密保護(hù)措施來加強(qiáng)企業(yè)數(shù)據(jù)的隱私安全，對大數(shù)據(jù)用戶進(jìn)行分類與角色劃分，嚴(yán)格控制、明確各角色數(shù)據(jù)訪問權(quán)限，規(guī)范各級用戶的訪問行為，確保不同等級密級數(shù)據(jù)的讀、寫操作，有效抵制外部惡意行為，有效管理云存儲環(huán)境下的企業(yè)大數(shù)據(jù)安全。

 

5 結(jié)束語

 

隨著信息技術(shù)的快速革新，數(shù)據(jù)正以驚人的速度積累，大數(shù)據(jù)時代已經(jīng)來臨了;智能終端和數(shù)據(jù)傳感器成為大數(shù)據(jù)時代的數(shù)據(jù)主要來源。大數(shù)據(jù)在推動企業(yè)不斷向前發(fā)展給企業(yè)提供了更多機(jī)遇的同時，也給企業(yè)的應(yīng)用創(chuàng)新與轉(zhuǎn)型發(fā)展帶來了新的信息安全威脅、信息安全漏洞以及信息安全風(fēng)險。傳統(tǒng)的信息安全保障策略已經(jīng)無法滿足大數(shù)據(jù)時代的信息安全保障需求。怎樣做好企業(yè)大數(shù)據(jù)信息安全保障、加強(qiáng)信息安全防護(hù)、建設(shè)相關(guān)法律法規(guī)將是大數(shù)據(jù)時代長期研究的問題。

篇10

關(guān)鍵詞：醫(yī)院 信息系統(tǒng) 安全

中圖分類號：R197.3 文獻(xiàn)標(biāo)識碼：A 文章編號：1003-9082 （2017） 04-0222-01

在醫(yī)院信息系統(tǒng)建設(shè)中，信息安全為一種重要組成部分。醫(yī)院信息系統(tǒng)的安全性主要涉及備份方案的可靠性、網(wǎng)絡(luò)安全、計算機(jī)病毒防治等。信息系統(tǒng)一旦出現(xiàn)安全問題，會對醫(yī)院工作效率、工作質(zhì)量產(chǎn)生嚴(yán)重影響。因此，加強(qiáng)對醫(yī)院信息系統(tǒng)安全實(shí)施科學(xué)管理，對醫(yī)療機(jī)構(gòu)相關(guān)醫(yī)療服務(wù)工作開展效率及質(zhì)量的保證及提高均具有重要價值[1]。本文主要以新形勢下醫(yī)院在信息安全方面所面臨的挑戰(zhàn)作為切入點(diǎn)，對醫(yī)院信息安全有效防治措施進(jìn)行深入研究，旨在為醫(yī)院信息系統(tǒng)安全性提供更多保障。

一、新形勢下醫(yī)院信息系統(tǒng)安全面臨挑戰(zhàn)

1.信息安全管理策略、責(zé)任缺乏明確性

目前，多數(shù)醫(yī)院在實(shí)施信息安全管理過程中，未能制定符合醫(yī)院實(shí)際情況的安全管理措施、規(guī)劃，或未能及時對管理策略進(jìn)行修改。同時，醫(yī)院領(lǐng)導(dǎo)對信息安全管理重視程度不夠，未能及時發(fā)現(xiàn)存在的安全隱患，未能實(shí)施預(yù)見性、針對性風(fēng)險評估和防范。這導(dǎo)致醫(yī)院信息安全管理缺乏有效、科學(xué)的防治措施，管理責(zé)任含糊不清，安全防控效果差。

2.系統(tǒng)數(shù)據(jù)存在安全隱患，信息安全事件頻發(fā)

目前，多數(shù)醫(yī)院在實(shí)施網(wǎng)絡(luò)安全建設(shè)過程中所選用的安全產(chǎn)品還缺乏聯(lián)動，部署存在不均衡性，安全信息未能得到有效挖掘，縱深安全防護(hù)未能形成，防護(hù)效果較低[2]。同時，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展速度的不斷加快，計算機(jī)系統(tǒng)漏洞、病毒泛濫等網(wǎng)絡(luò)安全問題頻發(fā)。醫(yī)院網(wǎng)絡(luò)因未能形成有效的安全防護(hù)，用戶終端未能及時實(shí)施系統(tǒng)升級、漏洞修補(bǔ)、病毒查殺等，這均為網(wǎng)絡(luò)信息系統(tǒng)安全埋下隱患，對醫(yī)院信息安全造成巨大威脅。保證用戶端的安全，通過用戶端對威脅入侵網(wǎng)絡(luò)進(jìn)行阻止，對訪問網(wǎng)絡(luò)實(shí)施嚴(yán)格控制，為保證醫(yī)院網(wǎng)絡(luò)安全和信息安全的重要前提，同時也是醫(yī)院目前信息系統(tǒng)安全管理中必須要解決的一個重要問題。

二、應(yīng)對信息安全挑戰(zhàn)措施

1.加強(qiáng)制度、隊伍等建設(shè)及完善，提升安全管理水平

首先，醫(yī)院須積極建設(shè)安全機(jī)構(gòu)，將信息系統(tǒng)安全管理責(zé)任進(jìn)行明確劃分。同時設(shè)立專門信息安全領(lǐng)導(dǎo)小組，并將小組中各個成員的安全管理職責(zé)和責(zé)任明確，并嚴(yán)格把控相關(guān)責(zé)任人管理責(zé)任的落實(shí)情況。領(lǐng)導(dǎo)小組須不定期組織開展信息系統(tǒng)安全檢查，并實(shí)施安全事件處理應(yīng)急演練。其次，加強(qiáng)管理隊伍建設(shè)，提升管理人員的安全防范意識。醫(yī)院應(yīng)積極建設(shè)一支高專業(yè)素質(zhì)和能力的安全管理隊伍，為信息系統(tǒng)能夠正常運(yùn)行提供有效保障。醫(yī)院可通過院內(nèi)培訓(xùn)、院外引進(jìn)等方式，加強(qiáng)對管理人員實(shí)施信息安全教育和培訓(xùn)，促進(jìn)其安全防范意識以及應(yīng)急處理能力得到有效提高。再次，積極建設(shè)并不斷完善安全制度，對安全管理策略進(jìn)行不斷改進(jìn)和優(yōu)化。醫(yī)院須建立一套包含網(wǎng)絡(luò)、應(yīng)用、運(yùn)行、信息安全等諸多個方面的，具有可行性和可行性的規(guī)章制度。同時，醫(yī)院以自身信息系統(tǒng)實(shí)際情況作為根據(jù)，對信息安全管理的等級、范圍進(jìn)行明確，制訂出切實(shí)可行的出入機(jī)房管理制度、網(wǎng)絡(luò)操作使用規(guī)程、網(wǎng)絡(luò)系統(tǒng)應(yīng)急措施及維護(hù)制度等，積極建立起適合自身實(shí)際情況的信息安全管理策略，提高管理有效性，保證醫(yī)院信息系統(tǒng)運(yùn)行的安全性。

2.制定規(guī)范性信息安全管理流程

首先，對信息系統(tǒng)登錄密碼實(shí)施規(guī)范化管理。單位中所使用的密碼須通過“暗文”的方式進(jìn)行保存，同時配上相應(yīng)的修改密碼記錄，定期實(shí)施密碼修改。其次，對系統(tǒng)使用權(quán)限進(jìn)行規(guī)范管理。業(yè)務(wù)軟件需要將原有用戶取消或增加新用戶時，必須要嚴(yán)格按照要求認(rèn)真填寫情況說明表，經(jīng)所在科室負(fù)責(zé)人簽字，之后信息科才能實(shí)施用戶撤銷或新用戶添加操作，同時向新用戶分配相應(yīng)的操作權(quán)限[3]。同時，當(dāng)員工需實(shí)施統(tǒng)計、其他操作權(quán)限變更時，須按照要求填寫好說明表，交由科室負(fù)責(zé)人簽字，然后交由相關(guān)行政科室進(jìn)行審批，獲得同意后信息科才能進(jìn)行修改。再次，對第三方訪問進(jìn)行規(guī)范控制管理。將第三方訪問者須將計算機(jī)的IP地址綁定于MAC地址，然后才能訪問單位內(nèi)部網(wǎng)絡(luò)。第三方訪問內(nèi)部網(wǎng)絡(luò)或出入信息科均須認(rèn)真填寫登記表；應(yīng)要求第三方使用信息科計算機(jī)訪問內(nèi)部網(wǎng)絡(luò)，其不使用信息科電腦訪問網(wǎng)絡(luò)時須填寫申請表格，并有信息科負(fù)責(zé)人簽字，由相關(guān)科室進(jìn)行審批，同時之后才能訪問。

3.運(yùn)用技術(shù)加強(qiáng)信息安全管理

首先，積極強(qiáng)化冗余技術(shù)應(yīng)用。醫(yī)院的信息網(wǎng)絡(luò)運(yùn)行狀況直接關(guān)系整個醫(yī)院業(yè)務(wù)系統(tǒng)的運(yùn)行狀況，網(wǎng)絡(luò)變化、故障的出現(xiàn)均會導(dǎo)致醫(yī)院相關(guān)業(yè)務(wù)正常運(yùn)行遭受嚴(yán)重影響，甚至可導(dǎo)致業(yè)務(wù)系統(tǒng)出現(xiàn)中斷，因此，在信息安全管理過程中必須保證網(wǎng)絡(luò)運(yùn)行的可靠性進(jìn)行充分考慮。冗余技術(shù)的運(yùn)用可有效保證網(wǎng)絡(luò)運(yùn)行的可靠性。該種技術(shù)主要由處理器冗余、電源冗余、模塊冗余等技術(shù)構(gòu)成。其次，強(qiáng)化加密處理技術(shù)。為了保證信息系統(tǒng)涉及相關(guān)數(shù)據(jù)的安全性，必須建立可靠、安全的數(shù)據(jù)中心，杜絕相關(guān)安全隱患，增加數(shù)據(jù)安全等，保證患者信息及時交互得以實(shí)現(xiàn)。加強(qiáng)對信息實(shí)施加密處理，選用先進(jìn)的驅(qū)動級加密技術(shù)、虛擬化技術(shù)等，對重要信息及文件M行加密。此外，還應(yīng)加強(qiáng)使用先進(jìn)入侵檢測技術(shù)，保證被攻擊組件及時得到識別被隔離，提高系統(tǒng)防御能力，保證信息系統(tǒng)安全。

三、結(jié)束語

醫(yī)院信息安全管理為一項(xiàng)具有復(fù)雜性、系統(tǒng)性的工程，為了保證信息系統(tǒng)安全、可靠性，醫(yī)院必須建立起一套健全、有效的安全管理控制及防御體系，積極應(yīng)用相關(guān)先進(jìn)技術(shù)實(shí)施安全防治工作。只有這樣才能正在保證醫(yī)院信息系統(tǒng)運(yùn)行的安全性。

參考文獻(xiàn)

[1]開拓.醫(yī)院網(wǎng)絡(luò)信息的不安全因素分析及防護(hù)措施分析[J].網(wǎng)絡(luò)空間安全，2016，16（Z1）：609-610.