前言:中文期刊网精心挑选了网络安全的整改措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全的整改措施范文1
随着社会的进步,我们的时代已经成为了信息化的时代,计算机信息机技术被广泛的应在人们的生活和工作中,不仅是机场信息系统,各行行业离不开计算机。在1999年,我国机场就开始信息化的建设,经过14年,机场信息网络相对完善,无论是生产运营,还是内部办公,以及旅客服务,都需要用计算机管理,是机场运营工作的重要保障。信息技术的使用,提高了工作效率,机场驻场单位之间可以数据共享,实现了互联互通。所以,不仅要建设好机场信息系统,也要对其安全,进行管理。
1机场信息系统的现状及问题
由于互联网的发展,计算机技术使用得到了普及,越来越多人们对计算机技术进行深入学习,但是,计算机病毒和黑客也愈演愈烈。在机场中,大部分的计算机都连接着互联网,查阅资料或者下载一些软件都需要通过互联网,但是,一些资料、软件会携带病毒,存在安全隐患,这样就对机场网络安全造成了威胁,机场内部的信息需要严密的保密性,例如:航班信息、财务信息,尤其是旅客的信息更重要,一旦信息系统遭到破坏,资料泄露,对机场会造成巨大的损失。所以,机场信息系统网络安全管理的工作尤为重要。如今,机场单位正在进行二期建设,在完成二期建设后,机场信息网络的覆盖率更大,也会接入更多的单位,为各个单位的工作人员的工作方式提供了便利,与此同时,对网络安全方面来说,也存在了更多的风险,所以,负责网络安全的工作部门的工作人员,担负了更大的责任,对他们的工作有了新的要求。如何保证机场信息系统网络的安全,成为了关注的问题。
2机场信息系统安全的管理措施
2.1建立信息安全组织
对于机场来说,不仅服务组织多,信息系统也高度密集,想要实现信息安全管理,首先需要高层管理者的支持。机场的信息部门负责制定信息安全规范和安全防护体系,也要负责信息安全的有效运行,对各个安全室,定期的组织信息安全培训,对信息安全的进行风险评估,审核内部信息安全。很多机场没有设立这样的部门,缺少信息安全组织,只是让信息部门的某个人或某个科室负责安全信息工作,这样是不够的,必须从上至下,全面的进行信息安全管理工作。在机场信息安全管理中,必须建立负责信息安全的委员会,保证信息安全的策略,推进信息安全措施的顺利实施。组成信息安全检查工作的委员会从单位中挑选,定期的进行安全自查工作,及时发现存在的问题,提出相应的意见,及时的进行整改,对整改的全过程进行跟踪,对整改措施审核。机场各部门以及机场的其他相关单位,要按照机场信息安全规范进行工作,遵守安全流程,保证管辖内的网络信息安全,对存在的安全风险进行有效预防。
2.2建立信息安全的政策和程序
对于大部分企业来说,信息安全的认识程度只是停留在技术层面,认为只要设置了防火墙,安装了防治病毒的软件就会高枕无忧,其实,这样是远远不够的,频频的信息安全事件的发生,很明显说明了信息安全依然存在问题。在信息安全中,人的因素比技术重要,信息安全政策和程序的建立,既能让员工的工作参与信息安全中,又能减少由于人为因素损害信息安全的可能性,对整体有着保障作用。
2.3连续计划业务
机场业务对信息系统有着很强的依赖性,对信息系统的稳定性和恢复的能力有着很高的要求,所以,机场信息系统的建立要有连续性,如果信息系统出现紧急情况,能保证系统快速的回复,业务不能中断,为了保证业务的连续性,可以建立起业务的保障目标,对业务进行相关的分析,如果需要业务恢复工作,分析优先性,同时,制定应急的恢复方案。
2.4培训工作人员
机场的业务环境复杂,而且用户密集,对人的因素管理,要引起高度的重视,通过对相关工作人员的培训,使他们掌握相关的法律法规、安全指南,以及安全政策,提高管理人员的安全意识,掌握安全技能,进而实现信息的安全管理,建立一个成功的安全体系。在信息安全管理中,工作人员自动构成了一道防火墙,而且这道防火墙是最安全可靠的,能长久治安的保证信息安全,为整体的信息安全管理工作提供了保障。
2.5部署信息安全的技术
在信息安全管理中,除了信息安全的管理工作,信息安全技术也同样重,在信息安全的个性管理措施中,都离不开信息安全技术。信息安全技术的布置十分的重要,可以从以下几点进行部署。对物力安全进行控制,网络边界进行有效的防护工作,控制网络终端的安全性,防止病入侵,加固设备的安全,定期进行备份工作,防止数据丢失。
3结语
机场信息系统网络安全管理是一项非常系统的工作,对各个环节都要有效的把控,任何环节出现问题,都会造成整个系统的安全问题,虽然机场信息管理工作初具规模,但是要走的路还很长,想要真正实现网络信息安全管理,处理防患于未然,还需要大家共同努力,贡献一份自己的力量。
引用:
[1]贾晶,陈元,王丽娜.信息系统的安全与保密[M].北京:清华大学出版社,2002.
网络安全的整改措施范文2
1.1网络信息安全规章制度落实不力
《公安信息网“八条纪律”和“四个严禁”》、《禁止公安业务用计算机“一机两用”的规定》、《公安网计算机使用管理规定》、网络信息系统日巡检、系统日志周检查和数据库备份制度等一系列网络信息安全规章制度未有效落实在日常工作中,麻痹大意思想不同程度存在,造成了基层公安消防部队网络信息安全隐患事件。
1.2网络安全教育组织不到位
大多数基层部队官兵电脑、网络方面的维护知识较少,对于查杀病毒、杀毒软件升级、设置更改密码等一些基本操作都不精通,工作中普遍存在只使用、不懂维护现象,这些因素致使网络信息安全得不到保障有效。多数基层消防部队开展网络安全教育手段较为单一,多是照本宣科的传达上级规章制度,不少单位甚至将士兵上网行为视作洪水猛兽,这种一味去“堵”“、防”的安全教育管理模式,显然不能从根本上解决问题,也达不到提升官兵自身网络安全意识的效果。另外基层消防部队的合同制消防员和文职人员流动性大,也增加了消防部队网络安全教育的复杂因素。
1.3网络安全技术防范措施和手段较为单一
基层公安消防部队的网络信息安全系统建设普遍不到位,网络安全管理平台、威胁管理(UTM)、防病毒、入侵侦测、安全审计、漏洞扫描、数据备份等安全设备缺口较大。受经费制约,不少基层消防部队在信息化项目建设时不能按照有关规定进行网络安全设计,无法同步建设网络信息安全系统。这种现象致使基层部队网络安全技术防范措施和手段较单一,不能及早发现、消除一些网络安全隐患。
2加强基层公安消防部队网络信息安全的对策
2.1加强网络信息安全教育
基层消防部队要组织官兵经常性地学习部队网络信息安全规章及禁令,积极开展反面警示及法制教育,从中汲取教训,举一反三,使官兵充分认识到网上违纪违规行为的严重性和危害性。针对网络违纪的倾向性问题,加强思想政治教育、革命人生观教育和忧患意识教育,让青年官兵做到正确认识看待网络技术,正确把握自己的言行。可以邀请保密部门进行专题培训、组织案例剖析以及窃密攻防演示等多种形式,进一步强化官兵依法保护国家秘密的自觉性。要加强对文员和合同制队员的岗前培训与安全保密教育工作,对于日常工作中经常接触公安网和内部信息的人员要严格监督和指导,贯彻落实各项安全管理制度,杜绝违纪泄密事件发生,最大限度地消除隐患,确保网络信息安全。
2.2规范日常网络安全检查
应配责任心强、计算机素质较高的官兵为单位网络安全管理员,严格落实网络信息系统日巡检、系统日志周检查和数据库定期备份制度,并将设备运行参数、安全运行情况、故障处理信息等检查、巡检结果造册登记。同时要定期组织开展计算机网络安全自查,确保不漏一人、一机、一盘、一网,对排查出来的问题要逐项登记,落实整改措施,消除隐患,堵塞漏洞。通过经常性的检查评比,在部队内部营造浓厚的网络信息安全氛围,不断提升官兵做好网络信息安全工作的自觉意识,杜绝各类网络信息违纪泄密事件发生,把隐患消灭在萌芽状态,确保网络信息安全稳定。
2.3加强公安信息网接入边界管理
每台接入公安网的计算机必须安装“一机两用”监控程序、防病毒软件,及时更新操作系统补丁程序,坚决杜绝未注册计算机接入公安网络。计算机、公安信息网、互联网必须实行物理隔离。严禁具有WIFI、蓝牙功能的3G手机连接公安网电脑。除移动接入应用外,严禁笔记本电脑接入公安网。严格落实各类应用系统和网站的登记、备案制度,严格上网内容的审批,防止非网管人员随意登录服务器篡改业务系统程序、开设论坛、聊天室、架设游戏网站、非工作视频下载等违规行为。
2.4加强网络信息安全技术保障
基层消防部队要依据《全国公安消防部队安全保障系统建设技术指导意见》,在建设信息化项目时,制定切实可行的网络安全保障规划,加大投入,确保用于网络安全与保密系统方面的投入不低于信息化建设项目投资总额的10%,逐步配备必要的网络信息安全系统,研究网络安全防范技术,建立网上巡查监控机制,提高计算机网络和信息系统的整体防范能力和水平。
2.5建立健全网络信息责任机制
网络安全的整改措施范文3
1.1信息系统漏洞带来的威胁
电力系统应用会涉及到大量的软件系统,无论是生产控制大区的监控系统还是管理信息大区的管理信息系统。而每类软件自身也会带有一定的特点,在长期的使用之下,便会暴露出一定的漏洞,也就是我们所说的BUG,如继续应用这类软件的话,会对系统内的数据及信息安全造成一定的影响,甚至引发系统漏洞对系统防御软件的安全性的影响,为病毒、木马创造入侵环境,对系统信息安全造成巨大的威胁。
1.2恶意网页带来的威胁
当今网络的发达性,各个企业都有着自己的网页,电力企业也是如此,拥有着自己的网页,而且是与Internet直接建立连接的,其中电力系统计算机的使用者也会在工作中不断地访问其他的网页,试图寻找相关有用的信息,这也是不可避免的事实。然而,在点击浏览网页的过程中,不是所有的网页都是安全的,有很多网页的拥有者以及开发者为了达到某种目的会对网页中加入一些恶意程序,通过使用者无意的点击来获取计算机使用的相应权限,并对计算机的信息进行解读、篡改等,其中比较普遍的是网页中带有木马,如果点击这类网站将会把网站中的木马种入到计算机中,继而通过该计算机对电力系统局域网内其他计算机或服务器进行攻击或获取相关的信息,对电力系统的信息安全造成极大的威胁。
2电力系统信息安全的防护措施
2.1建立防火墙,完善杀毒软件
防火墙是一种网络安全系统,对信息网络安全起到一定的防护作用。它将内部网络与外部网络有效隔离,通过对网络数据流量的监控,能够有效地阻止外部网络非法威胁因素对计算机网络的入侵,从而在企业内外网之间形成一道保护屏障。对于电力系统来说,在使用的过程中应建立其防火墙和杀毒软件,一方面防御网络木马攻击,另一方面对侵入到计算机内部的病毒进行有效查杀。当然,在使用防火墙和杀毒软件的过程中,要定期对软件进行升级,因为网络病毒也可能发生变异破解杀毒软件以及防火墙程序,如果不对其进行升级的话,那么这些防御措施也将成为一种摆设,根本起不到任何对网络信息安全保护的作用。另外,为了避免电力系统重要信息的丢失,要定期的对系统内重要信息进行备份,避免意外情况的发生造成重要信息的丢失,同时要加强对电力系统信息安全管理人员的培训,要提高管理人员对相应技术操作的熟练程度,并养成遇事不乱的心态,这样才能进一步提高网络信息安全的保障措施。
2.2部署入侵检测、行为管理及漏洞扫描系统
防火墙及杀毒软件能在一定程度上有效阻止网络攻击,保护信息安全。但我们不能仅限于此简单防护,应当在主要服务器及主要网络边界部署入侵检测系统,通过日常的检测数据分析,提前锁定那些具有威胁性的入侵对象,把风险防范关口前移。同时部署上网行为管理系统,制定严格的策略过滤掉某些不良互联网页,禁止用户访问那些高危的网站,通过上网行为的审计及时发现访问了未知的恶意网站的计算机,并告知用户做好安全防护。此外,还应部署漏洞扫描系统,定期对局域网内部计算机、服务器及网络设备进行漏洞扫描,及早发现主机存在的安全漏洞隐患。对于扫描出来的安全漏洞,根据其漏洞危险等级制定对应的修复、整改措施。
2.3加强信息安全的管理
信息安全不仅要体现在信息网络软件以及硬件的自身防御功能上,而且要体现在对系统使用的管理上。虽然在计算机上企业已经建立了防火墙以及杀毒软件,部署了入侵检测、上网行为管理及漏洞扫描系统,但是,工作人员的不正当操作也有可能使计算机信息系统遭受病毒攻击、木马入侵等。因此,要加强对电力系统信息安全的管理。首先,对工作人员的操作规范进行管理,坚决杜绝浏览一些非正当网站,如果要获取相关信息的话,可以通过正规网站获取,并且在浏览网站过程中,要开启计算机本身自带防火墙的网站过滤、防御、警告功能,一旦浏览的网站有可疑程序,防火墙也将弹出提示,这时任何信息都比不上系统信息的安全性重要,必须要终止该网页的浏览,再另寻其他途径来获取相关的信息。其次,要加强计算机的授权管理、身份认证、跟踪审计等,要严禁无权限的工作人员乱用计算机的现象,在使用计算机办公之前,必须要进行身份认证,并在计算机内安装相应的监控程序,严格控制计算机操作技术人员出现非正常操作。另外,还要做好重要信息系统实行安全等级保护工作。通过划分不同的安全等级,编制不同的安全保护措施对运用中的信息系统进行保护。加强对信息安全的管理,才能进一步保障电力系统信息的安全性。
2.4加强信息的保密工作
随着信息时代的来临,很多企业的重要信息都属于一种高级商业机密,一旦泄漏将会产生不可预估的严重后果。如果是被不法分子获取的话,将对电网企业甚至社会造成极大的打击及负面影响。因此,要加强对信息的保密工作。首先,严禁计算机通过各种方式接入国际互联网,应与企业内部公网实现物理隔离,这样可以避免该计算机内信息的泄漏。同时,在储存信息的过程中,要采用经过认证的实物介质来储存,并且要保证实物储存介质的性,严禁在计算机和非计算机之间进行交叉使用,更不能在连接互联网或其他网络的计算机上使用。其次,加强对信息管理人员以及与信息有关人员的保密工作,要签署相关的保密协议,严格控制这些人员与其他人员进行保密信息的交流,同时要对各人员设置相应的访问权限,对非人员要限制其访问权限。与此同时,还需要相关工作人员做好信息文档的存档、定密、解密、登记、销毁等工作,一旦发现存在信息泄漏的隐患,要及时采取相应的措施,全面提高电力企业系统信息的安全性。
3结束语
网络安全的整改措施范文4
关键词:软件工程;网络安全;教学改革
中图分类号:G642文献标识码:A文章编号:1009-3044(2010)08-1934-02
The Design and Implement of the Basis of Computer Applications
YU Ying, DENG Song, WANG Ying-long
(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)
Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.
Key words: software engineering; network security; educational reform
近年来,我院围绕软件工程专业面向软件产业培养高素质应用型软件工程人才这个定位,不断探索新的培养理念、培养模式,调整课程体系和教学目标、改革教学方法和教学手段。本文结合我院人才培养的改革与实践,探讨“网络安全”课程教学改革。
“网络安全”是我院软件工程专业网络工程方向的一门方向专业课,在专业课程中占据很重的分量。“网络安全”是一门综合性很强的课程,涉及的知识包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、数论、信息论等多门学科。根据培养应用型人才这个目标,我们将授课目标定位在培养掌握网络安全的基础概念合理论,了解计算机网络潜在安全问题,掌握常用的计算机网络安全技术,增强学生的安全意识以及对安全问题的分析和处理能力,能在实际生活和工作中解决某些具体安全问题的应用型人才。因此,软件工程专业“网络安全”课程不能与计算机专业开设的网络安全课程一样,着重基础理论教学。如何进行软件工程专业下的“网络安全”课程教学改革,加强学生实践动手能力的培养突出应用能力的培养,使之符合软件工程专业强调学生动手实践能力的特点是本文要探讨的内容。
1 合理组织教学内容,适应教学要求
“网络安全”课程覆盖知识面广泛,学生不可能在有限的时间内掌握所有的安全技术,根据确定的课程目标,针对培养应用型人才的需要,确定本课程教学内容包括计算机网络安全基础理论(网络安全体系结构、网络安全评估标准、网络安全协议基础)、网络安全攻击技术(网络扫描、网络监听、攻击类型)、网络安全防御技术(数据加密认证技术、防火墙、入侵检测、操作系统安全配置方案)、网络安全综合解决方案四个部分。在课程选择上从传统的偏重网络安全理论的介绍,转变为比较实用的新型技术的学习,突出应用能力的培养。
由于目前没有专门针对软件工程专业的网络安全教材,通用的网络安全教材一般着重就介绍网络安全理论与常用网络攻防技术。知识点孤立、分散,没有形成一个完整的体系。很少有教材综合多个知识点结合案例进行讲解分析,而且教材中关于网络安全综合解决方案的内容很简单,篇幅也很少,不适合培养应用型人才的需要。为了解决这个问题,我们整合多本教材作为授课教材。在授课内容的组织上,重新调整次序,将前三部分内容穿插在综合解决方案里,保证授课内容包含教学大纲要求掌握的所有知识点。
在教学大纲编写上,我们改变以往“网络安全”课程单独制定大纲的方式,将本课程和其它网络相关课程一起按课程模块统一制定大纲,使得教学内容的总体布局更加科学合理。例如,网络安全协议――TCP/IP协议簇安排在“TCP/IP协议原理及应用”课程中重点讲解,防火墙及IDS的配置安排在“网络设备”课程中讲解,避免出现知识盲点和教学内容重复现象。
2 改进教学方法,激发学生学习兴趣
采用以案例教学为主,理论教学为辅的方法。围绕解决企业安全问题这条主线,把课程内容分为发现安全问题、分析安全问题、解决安全问题3大部分,通过一个实际的案例(某大学校园网)贯穿始终,围绕着课程主线,逐步将知识点渗透。目前常见的攻击技术(口令攻击、木马、IP欺骗、拒绝服务攻击、会话劫持等)和防御技术(防火墙、入侵监测等)都可以在校园网中找到案例,因此将校园网安全问题作为案例讲解有一定的代表性。在案例中设计了各种常见的网络攻击的情景,通过实际情景引申出原理的讲解,原理依然采用多媒体设备进行课堂讲授,对于常见攻击要进行当堂演示,回放攻击过程,然后再讲解具体的防御措施和手段,并演示防御过程。采用这种授课方式使学生切实感受到各种安全问题的存在,加深对各种攻击技术和防御方法的理解,灵活掌握各种防御技术的应用。通过一个完整案例的分析讲解,使各个知识点不再孤立,而是形成一个整体,与现实中各种网络安全综合解决过程相符。每个部分中各知识点均配有其它案例作补充,例如常见网络攻击技术均设计有相关案例讲解分析,而且根据网络安全最新技术,每年调整案例内容。
在教学过程中转变传统的“填鸭式”教学为启发式教学,让学生以企业安全顾问的角色对企业的运行过程及网络架构进行诊断,找出问题并提出解决方案和整改措施,最后要学生根据所学知识完成二次案例设计。实际的案例讨论和应用将理论与实际完全结合起来,既有逻辑性,也有趣味性。学生全方位参与教学过程,充分调动了学生的学习积极性,引导学生发现问题,解决问题,培养学生动手的能力,激发学生的学习主动性。
3 加强实践教学,提高动手能力
网络安全是实践性非常强的课程,光说不练不行。本课程实验教学最初分为基础验证型和综合设计型两个层次。实验内容涵盖了网络攻击技术、访问控制技术、防火墙技术、入侵检测技术等。为了加强学生专业创新能力和应用能力的培养,在原有两个层次之上增加一个研究创新型实验,调整为3个层次,并加大后面层次的比重。
基础验证实验内容与理论课内容相衔接,且相对固定。包括网络扫描、网络监听、DES算法实现、程序实现简单IDS、口令攻击、木马攻击、拒绝服务攻击等。通过基础实验帮助学生掌握密码学算法实现,网络安全设备配置,并让学生体验网络攻击防御的全过程。本类型实验安排在每个理论知识点讲解后进行。
综合设计实验锻炼学生综合运用网络安全知识解决问题的能力,在真实网络环境中,将学生分成两组,一组学生发现网络存在的安全漏洞并进行攻击,另一组对发现的攻击行为进行分析,确定攻击类型并采取相应的措施,一遍攻防实验结束后再轮换。该类型实验主要通过课程实训、实习基地实战训练等方式实现,要求学生综合运用所学网络安全知识,提高解决具体问题的能力,培养整体安全意识。该类型实验安排在理论课完成后,集中一周或两周进行;
研究创新实验要求学生利用学过的知识和积累的经验,针对创新课题提出有创意的设计并加以实现。该层次实验主要通过创新课题研究、毕业设计与毕业论文、竞赛项目、兴趣小组等方式实现。内容来源于教师的科研项目、学生的自主科研选题、社会实践活动和企事业应用需求,实验内容每年都在更新。
4 注重能力培养,提高学生综合素质
近年来,我院从应用型人才标准出发认真研究了国内外各高校软件工程专业人才培养模式,办学经验,认识到软件工程教育不仅要使我们的学生掌握专业相关知识、系统分析和设计能力、科学分析方法、工程思维能力。还必须具备良好的学习能力、语言表达能力、沟通能力和团队协作能力等。因此,在我们进行教学改革时,要把对学生能力的培养和课程的学习融合起来。在“网络安全”课程的教学活动中,为了培养学生的能力,我们做了以下几方面工作。
以项目为载体,将学生的基础知识学习和综合能力训练、扎实的课程学习和广泛的探索兴趣结合起来,引导学生养成终身学习的习惯,培养工程思维方式以及系统分析设计能力。在实验过程中,注重学生主观能动意识的培养。
将合作性实验模式引入实验教学,通过合作,培养了学生的团队意识、和同学、老师的交流沟通能力,提高学生的综合素质,培养创新意识和能力。
开设《大学语文》、《思想道德修养》等课程增强学生良好的职业道德和责任感的培养,提高人文素质。
5 结束语
随着网络安全形势的日益严峻,《网络安全》课程成为热点课程,且随着攻防对抗不断升级,新技术不断产生,课程内容也不断变化,这些给我们的教学工作带来难度。如何设计深浅适宜,符合应用型人才培养目标的授课内容、如何把抽象的理论变成学生易懂的知识,要需要在以后的教学实践中进行不断的总结和提高。
参考文献:
[1] 骆斌,赵志宏,邵栋.软件工程专业工程化实践教学体系的构建与实施[J].计算机教育,2005(4):25-28.
网络安全的整改措施范文5
关键词:信息安全;风险评估;脆弱性;威胁
一、前言
随着信息技术的飞速发展,信息系统依赖程度日益增强,采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险。
二、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征:
1、保密性:即信息不泄露给非授权的个人或实体。
2、完整性:即信息未经授权不能被修改、破坏。
3、可用性:即能保证合法的用户正常访问相关的信息。
4、可控性:即信息的内容及传播过程能够被有效地合法控制。
5、可审查性:即信息的使用过程都有相关的记录可供事后查询核对。
网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础,网络信息安全的风险因素主要有以下6大类:
1、自然界因素,如地震、火灾、风灾、水灾、雷电等;
2、社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;
3、网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;
4、软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;
5、人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;
6、其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
三、目前网络信息安全风险评估工作中急需解决的问题
信息系统涉及社会经济方方面面,在政务和商务领域发挥了重要作用,信息安全问题不单是一个局部性和技术性问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计,某省会城市各大机关、企事业单位中,有10%的单位出现过信息系统不稳定运行情况;有30%的单位出现过来自网络、非法入侵等方面的攻击;出现过信息安全问题的单位比例高达86%!缺少信息安全建设专项资金,信息安全专业人才缺乏,应急响应体系和信息安全测评机构尚未组建,存在着“重建设、轻管理,重应用、轻安全”的现象,已成为亟待解决的问题。
各部门对信息系统风险评估的重视程度与其信息化水平呈现正比,即信息化水平越高,对风险评估越重视。然而,由于地区差异和行业发展不平衡,各部门重视风险评估的一个重要原因是“安全事件驱动”,即“不出事不重视”,真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善,真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试,由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一,甚至出现对同一个信息系统,不同评估单位得出不同评估结论的案例。
四、信息系统风险评估解决措施
1、确诊风险,对症下药
信息系统风险是客观存在的,也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大,应该采取什么样的措施去减少、化解和规避风险?就像人的躯体有健康和疾病,设备状况有正常和故障,粮食质量有营养和变质,如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁,就需要进行风险评估。
2、夯实安全根基,巩固信息大厦
信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设,让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。
3、寻求适度安全和建设成本的最佳平衡点
安全是相对的,成本是有限的。在市场经济高度发达的今天,信息系统建设要达到预期经济效益和社会效益,就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账,让我们认清信息系统面临的威胁和风险,在此基础上决定哪些风险必须规避,哪些风险可以容忍,以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点,力求达到预期效益的最大化。
4、既要借鉴先进经验,又要重视预警防范
没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用,亦须知其锋芒与瑕疵,加强预警防范与借鉴先进技术同样重要。
五、结束语
综上所述,本文主要对信息安全风险评估进行了分析和探究,在今天高速的信息化环境中,信息的安全性越发显示出其重要性,风险评估可以明确信息系统的安全状况和主要安全风险基础,通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。
参考文献:
[1]中国国家标准化管理委员会,信息安全技术一信息安全风险评估规范,2007年
网络安全的整改措施范文6
近几年来,在领导高度重视下,我们加大了信息科技建设的推进力度,大大缩小了与同业科技差距:建成了现代化、高标准的信息系统数据中心,初步形成同城生产和灾备两中心模式;全面开展网络改造,将广域网三级架构改为二级架构,各营业网点配置2条专线,分别直接上联生产中心和同城灾备中心,实现了业务网与互联网专网进行物理隔离,增强了网络系统的稳定性和安全性;建设完善了网上银行、银行卡系统、资金债券系统、信贷系统等应用系统,形成了结构清晰、业务功能基本满足业务发展和经营管理需要的应用系统体系。相对于信息化建设发展水平的快速提高,我行的信息科技风险管理水平略显滞后,也与监管当局的要求存在一定的差距。开发测试体系建设需进一步完善,代码质量管理、Bug管理、开发过程管理、测试管理需进一步加强;系统运行管理有待改进,生产系统监控和流程管理自动化管理手段不足,逻辑访问控制有待加强;业务连续性管理及应急体制建设有待加强,应制订全行性的业务连续性规划及应急演练方案,并定期更新,切实发挥相关部门职能,按要求组织开展应急预案的演练,提高应急演练的有效性和覆盖面。李秀生:北京农商银行的信息科技风险管理制度体系涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性。信息科技风险管理进展为了提升信息科技风险管理水平,北京农商银行根据监管要求,结合信息科技建设实际情况,不断完善科技风险管理治理架构,初步建立了科技风险防控体系,有效预防和消除了科技风险事件的发生,确保了生产安全稳定运行和信息安全。
1.完善信息科技风险治理结构,明确信息科技风险“三道防线”的职责。成立了信息科技管理委员会,除了审议信息科技战略规划、推动信息科技建设的职能外,着重加强审议信息科技风险管理、信息安全策略、信息安全重大事项和信息安全评估报告等科技风险管理职能,强化了科技风险管理体系建设中高层的推动作用;设置了首席信息官,直接参与跟信息科技运用有关的业务发展决策,确保信息科技各项工作的有效开展和落实;形成了由信息科技部门、风险管理部门及审计部门组成的信息科技风险“三道防线”。
2.持续建立健全信息科技风险管理制度体系。对现有信息科技制度体系进行了整体评估,重新梳理确定信息科技制度体系架构,建立包括制度、实施细则及技术规范(标准)三层架构的制度体系。同时规范对现有制度的管理,形成了《信息科技制度汇编》,涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性,有效指导信息化建设和风险管理工作的开展。
3.事前、事中、事后管理并重,提升信息科技风险管理水平。一是强化风险防控意识,防范于未然。持续对全体科技员工进行风险意识教育,树立对风险防控的高度敏感性和责任心,积极向员工传导遵守法律法规和实施内部控制的重要性,培养员工的诚信和道德,规范员工职业行为,从源头上控制、减少潜在风险的发生。二是健全内控机制,规范事中管理。科学合理设置科技岗位,明确每个岗位的职责、权限,建立了逐级授权和审批机制,并制定相应控制措施;规范岗位操作流程,重要操作如版本迁移、数据修改等实行双人制,一人操作,一人复核,防止出现控制真空,产生风险;同时重视利用技术手段来强化风险管理,如批量作业自动化系统、系统和网络监控系统监控系统的建成有效地提升了系统运维风险管理水平。三是加强信息科技风险的识别和检查,持续督促、跟踪整改,深入挖掘信息科技运行及管理存在的问题和潜在风险,制订整改措施并积极整改。建立内部定期专项检查机制,根据每年年初制订检查计划,进行检查,详细记录检查结果,建立风险整改台账,定期对整改情况进行监督及跟踪。除加强上述自查工作之外,还积极配合监管当局开展各项检查,积极借助外部的力量帮助发现问题,查找隐患,从而提升科技风险防范能力。
4.加强信息安全体系建设,强化信息安全管理。完成了信息安全体系规划,建立科学合理的信息安全体系框架,制定较为完善的信息安全策略;通过实施网络边界控制、内网与互联网隔离、全面病毒防护、桌面系统监控、数据分级与使用保护等系列安全项目,建设形成覆盖数据安全、网络安全、系统安全和应用安全的综合信息安全体系,确保生产系统安全和客户信息安全,防范科技风险。未来的工作重点通过以上科技风险管理工作的开展,有效消除和防范了科技运行及科技管理中的风险隐患,近几年我行未发生信息科技风险事件,科技风险管理水平和防控能力得到显著提升。针对目前科技风险管理中存在的薄弱环节,未来信息科技风险管理的工作重点将体现在以下几个方面。
1.进一步完善信息科技风险治理结构,持续推进科技风险“三道防线”建设。进一步明确信息科技风险治理结构中各级主体的工作职责,充分发挥各级主体的职能作用,形成职责明确、结构合理的信息科技风险管理架构;特别是加强风险管理部门对信息科技风险的管控,形成一个职责明确、功能互补、相互监督、相互制约、共同发展的信息科技风险防范的有机整体。
2.加强软件开发质量管理体系建设,强化开发过程中风险的管理。建成基于我行现在的CMMI3级的软件研发规范体系,通过CMMI3级验收,全面推广体系的应用,整个体系涵盖了软件的需求、设计、开发、测试等各环节,有效规范了整个开发过程的管理;落实需求归口管理机制,推行重大项目需求评审机制,进行重要系统组织级方案评审,提高项目计划管理和风险管理水平;全面推行软件配置管理,提高软件版本管理水平;强化外包管理,规范外包人员工作量评估,加强外包人员工作环境管理。
3.进一步推进运维体系建设。加强对生产变更的风险评估,严格变更过程管理,严控变更风险;确保事件分级制度的落地执行,形成有效的事件升级和响应机制;进一步加强对问题的快速解决,并逐步深化问题的后续管理,从多维度进行生产问题分析,提高生产管理水平;充分发挥系统监控、网络监控工具的作用,完成应用监控建设,全面了解系统运行状态,及时定位故障;全面提高运维管理水平及风险防控能力。
