前言:中文期刊网精心挑选了信息安全保障范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全保障范文1
论文关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革
论文摘要:互联网时代的来临给人们带来便利的同时也使信息安全与网络安全形势日益严峻。形形的漏洞层出不穷,传统的安全保障模式已经无法有效地应对当前的威胁。本文分析了信息安全形势和现状,阐述了由漏洞挖掘、漏洞利用所构成的病毒产业链对现有安全技术和理念的冲击。根据病毒产业链中各个环节的特点,提出了基于“云安全”思想的新型的安全保障模式,使之能够快速感知和捕获新的威胁,并从源头上予以监控。
l 引言
信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。
2 信息安全形势及分析
据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。
传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:
首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。
其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁速度。
再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。
最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。
3 漏洞挖捆与利用
病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。
3.1漏洞存在的必然性
首先,由于internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,bug的存在有其固有性,这些bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。
3.2漏洞挖掘技术
漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。
(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如ida pro是目前性能较好的反汇编工具。
(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台idapro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。
(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。
3.3漏洞利用
漏洞的价值体现在利用,如果一个漏洞没有得到广泛的利用便失去了意义。通常,从技术层面上讲,黑客可以通过远程/本地溢出、脚本注入等手段,利用漏洞对目标主机进行渗透,包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等,而当前漏洞利用的主要趋势是更趋向于web攻击,其最终日标是要在日标主机(主要针对服务器)上植入可以综合利用上面的几种挖掘技术的复合型病毒,达到其各种目的。
4 新型信息安全模式分析
最近的两三年间,在与病毒产业此消彼涨的较量中,信息安全保障体系的格局,包括相关技术、架构、形态发生了一些深远、重大的变化,大致归纳为以下三个方面:第一,细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展,开始向网络周边拓展。如现在常见的对于帐号的安全保护、密码的安全保护、游戏的安全保护、电子商务支付过程的安全保护等,都是信息安全功能和应用的细分与拓展。
第二,信息安全保障一体化的趋向。从终端用户来说,他们希望信息安全保障除了能够专业化地解决他们具体应用环节里面临的各种各样的具体问题之外,更希望整体的、一体化的信息安全解决方案贯穿业务的全过程,贯穿it企业架构的全流程。因此,许多不同的安全厂商都在进行自身的安全产品、体系架构的整合,针对性地应用到个人客户的方方面面,表现出信息安全保障一体化的趋向。
第三,安全分布结构的变化。在服务器端,不管是相关市场的投入还是企业的需要,乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响,在这方面,各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能,甚至都在从体系结构方面提出一些新模式。
透过技术、架构、形态的新发展,我们看到了·些规律和趋势,吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化,那么信息安全保障呢?将互联网上的每个终端用户的力量调动起来,使整个互联网就将成为一个安全保障工具,这样的模式就是未来信息安全保障的模式,被一些机构和安全厂商命名为“云安全”。
在“云安全”模式中,参与安全保障的不仅是安全机构和安全产品生产商,更有终端用户——客户端的参与。“云安全”并不是一种安全技术,而是一种将安全互联网化的理念。
“云安全”的客户端区别于通常意义的单机客户端,而是一个传统的客户端进行互联网化改造的客户端,它是感知、捕获、抵御互联网威胁的前端,除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能,因此它可以在感知到威胁的同时,迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构,它具有两个功能:一是收集威胁信息;二是客户端协作信息的查询和反馈。首先,从“云安全”的客户端收集、截获的恶意威胁信息,及时传递给数据中心,然后传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的来源,通过协作分析找到源头,进而对源头进行控制,如果不能控制,则至少可以对源头进行检测。然后,将所有收集到的信息集中到自动分析处理系统,由其形成一个解决方案,传递给服务器,服务器再回传客户端,或者是形成一个互联网的基础服务,传递给所有安全合作伙伴,形成一个互联网技术服务,使整个网络都享受该安全解决方案。
概括而言,“云安全”模式具有以下特点:第一,快速感知,快速捕获新的威胁。“云安全”的数据中心可以并行服务,通过互联网大大提高威胁捕获效率。第二,“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测,可以从源头监控互联网威胁。
互联网已经进入web2.o时代,web2.0的特点就是重在用户参与,而“云安全”模式已经让用户进入了安全的2.o时代。在黑客产业化经营的新威胁的形势下,也只有互联网化的“云安全”保障模式才能与之对抗。
4 结柬语
信息安全保障范文2
计算机网络是一个互动交流的平台,因特网信息相对繁杂,因为其开放性,所以极易引发恶意利用等问题。而黑客入侵就位居其中之列,黑客们往往会钻网络漏洞的空隙,趁虚而入,进而窃取密码等相关隐私信息或加以破坏,最严重情况下可能造成整个网络的瘫痪。外部攻击致使安全隐患频发。除了外部黑客恶意破坏,企业员工结合各种办法同外界相互勾结,致使企业受损现象也是时有发生的。企业员工素质及能力存在不均衡现象,有较为优秀的,当然也有些鱼目混珠的,致使理念上产生偏差,比如像导致信息出现格式化、主要数据丢失、无用信息铺天盖地等状况。部分拥有技术能力员工,能够对指定应用程序进行修改,让该类程序特定时间内运行致使企业大批私密信息外泄,为企业带来无法估量的经济损失。还有些如入无人之境像走绿灯一样随便进入信息内部系统,并且对计算机运行实行监控,这种行为是比较恶劣还有严重的。企业内部员工,只有少部分对网络系统拥有合法访问权,除此以外我们国家大部分企业使用的网络软硬件都是结合专有企业产品,这样就导致部分厂商对计算机的网络访问是具有合法权限的,另外警察与部分政府相关工作人员对企业信息访问也是合法的。
2计算机的网络安全问题
网络信息条件下,计算机的网络安全相关问题大多集中在计算机软件开发途中。软件本身存在漏洞对信息安全构成威胁可以说是最大的。信息化建设过程中,要对使用软件加大注意力。应用网络的时候,信息传输不会因为网络故障而终止,但因为网络功能基础就是计算机相关系统软件使用,因为系统本身问题致使该部分漏洞成为攻击者违法犯罪的可乘之机。除了软件本身与网络本身问题,相关管理人员选择也是很重要的一个环节,信息化建设途中结合大型软件的使用,对使用者在依照说明对软件进行使用的时候提出了更高的要求,对软件升级也是提升信息安全不错的选择。使用的时候,应当将密码及用户名保存视为重点关注事项,不应当选择设备本身默认密码及用户名。
3信息安全保障对策
企业信息化建设中对于信息安全同企业发展两者相辅相成、缺一不可,这种意识一定要树立起来。我们不妨进行一下联想,假使企业重要信息被盗取亦或是出现外泄情况,那么后果将是不堪设想的。因此企业先要做的事情就是安全意识的培养,只有意识和理念树立起来,后续工作开展才可以更加便利。(1)对设备进行定期检查。计算机网络设备是计算机的网络系统中极为重要的一部分,定期对设备安全性进行检查,是保障计算机网络安全运行的前提。设备安全得以维护了,网络的传输介质就得以维护了,经常使用相应软件对端口进行维护是计算机网络安全的必要工作。(2)设置防火墙确保网络的安全运行。防火墙是保护网络安全中一项形而有效的举措。当黑客入侵时,防火墙就起到积极屏障与杜绝的作用。防火墙位于网络连接处,它对网络连接起到了控制作用,并对外部的非法用户加以限制与阻拦,保护内部资源不受侵害,对数据传输也起到干涉作用。防火墙相当于一层网络保护膜,它可以对盗窃与破坏活动加以阻挠。防火墙具有非常强的防范作用,它可以积极阻拦外界的进攻和渗透,我们也可以毫不夸张的说它是网络的保镖。(3)强化企业管理工作结合信息安全种类与等级想出针对性的解决策略,并且提前想出多种安全事故应对构想。但凡有信息安全的危机发生的时候,企业要快速组织应急小组,结合危机管理预案及处理步骤,对危机进行处理,切记不要慌张,要冷静沉思,积极灵活应对,避免操作不当而使事态变得更为严重无可挽回。除此以外,对于信息安全相关知识做相关教育和培训的工作,综合提升工作人员危机处理能力也是极其有必要的。(4)提升企业员工综合素质及能力信息安全可以看成是一项整体的、系统化的工程,信息安全要靠信息化建设当中,结合系统面对的整体威胁,攻击,漏洞等采取相应应对措施。人是所有工作开展的先决条件,只有拥有一支能力强、素质高的管理班子,才可以于日常管理当中对各项工作操作的更为专业化,假使有问题产生的话,也可以第一时间想出专业应对方法及策略,对于信息系统安全建设可以说是有着非常大的帮助的。
4结语
信息安全保障范文3
一、档案信息安全存在的问题
1.环境方面存在的问题
(1)软环境方面存在的问题。①缺乏档案安全保障意识。档案工作是关系国家和社会发展的一件大事,然而,长期以来一些民众对于这项工作却存在偏见,很难认识到这项工作的特殊性与重要性,不能得到社会公众应有的支持和肯定。②档案事业发展缓慢。虽然各级政府对于档案工作给予了一定的关心和支持,但力度不够,收效不佳,档案工作还没有得到足够的重视。③档案安全保障资金不足。⑵硬环境方面存在的问题。①自然灾害因素的威胁。在档案库房选址时一定要充分考虑这些因素,规避可能带来的风险。②档案存储环境和载体的问题。载体的性质也会决定着档案信息的寿命。传统的档案载体以纸质方式为主,现在除了纸质档案以外,还有U盘、硬盘等电子档案。
2.法规方面存在的问题
(1)档案安全方面的法律法规还不完善。有关档案方面的法律法规还比较少,而且不够成熟,法律法规的滞后必然会给档案日常管理带来不必要的麻烦。因此,应抓紧制定和落实档案方面的法律法规,并不断进行细化。⑵档案针对性安全法规建设步伐缓慢。尽管我国已经出台了一些有关档案安全方面的法规,但这些安全法规并不能完全适应档案工作的实际需要,也没有很好的贯彻执行,目前,我国还没有完全针对电子档案方面的法律法规。因此,建立和完善档案方面针对性的安全法规迫在眉睫。
3.技术方面存在的问题
⑴实体档案安全技术方面的问题。实体档案一般具有原始唯一性,在保存过程中需要格外小心,一旦遭到破坏便很难修复,给档案信息造成一定的损失。怎样运用高新技术对档案进行修复,使档案得以更好的保存是广大档案工作者亟待研究和解决的问题。⑵电子档案安全技术方面的问题。电子档案在运用过程中常常会出现的系统安全以及网络安全等问题,需要引起高度重视,并采取有效措施加以解决,以保障电子档案的信息安全。
4.管理方面存在的问题
随着档案整理、保存和利用等方面的变化,档案管理的理念、思路与方法也应随之改变。现代档案管理不仅要求对实体档案进行管理,还要对电子档案进行规范。当前我国的档案管理方式还相对单一,管理方法还相对滞后,管理制度还很不健全,甚至还在沿用传统的老办法进行现代档案管理,这样势必会影响档案管理的效率和效果,也会影响档案信息的安全和稳定。
二、档案信息安全保障的有效措施
1.软件和硬件方面的建设
⑴档案信息安全的思想基础。要对档案信息安全的方式、内容和主体有清醒的认识和理解,要逐步培养和建立系统化和科学化的档案保护理念,并贯穿于日常档案管理工作的始终。安全意识的养成不是一朝一夕的,需要档案工作者、信息利用者和社会三者的互动和作用,档案工作者是主导,信息利用者是动力,社会是前提。各级档案参与者要从思想上重视起来,从行动上表现出来,自觉学习和践行档案安全教育,培养信息安全的意识,加强信息安全的道德建设。⑵档案信息安全的资金支持。档案部门是国家非营利性事业机构,档案环境建设、设备更换和软件维护等方面所需费用都完全依靠国家和政府的划拨。这些费用往往很难满足档案工作的实际需要,还存在一定的资金缺口,这就需要各级档案部门开动脑筋,发挥所长,多种途径筹措资金,以推动档案工作向前发展。⑶档案保存环境方面的建设。档案可以分为实体档案和电子档案,不同类型的档案应该采用相应的措施。①纸质类档案。纸的质量好坏直接影响着档案信息安全的周期,纸张的耐久性如何跟化学成分的特性、原料的品质以及纸张的生产工艺等因素有关。档案的文字安全是纸质档案信息安全的关键,字迹耐久性一般受字迹的色素和组合比例的影响。②磁带、胶片类档案。磁带和光盘等数字影像档案应远离磁场,避免因消磁而造成损失。胶片装具材料一般可分为金属材料、纸质和塑料三种,金属的胶片装具较为安全,使用寿命也较长。③光盘类档案。光盘档案的保存保管也需要特别注意。光盘的寿命受内外两方面环境的制约,内部因素主要指的光盘的成分和类型,外部因素主要指的是光盘的功率和读写方式等。
2.政策法规方面的建设
⑴法律法规体系的建设。目前我国关于档案信息安全保障的法律法规比较少,还属于起步阶段,加强这方面法律法规的建设刻不容缓,国家应该给予关注。⑵针对性法律法规的建设。关于针对性法律法规的建设应该从以下几个方面入手:①修改和完善档案法。《档案法》对于档案信息安全的执法检查项目要做明确规定,并定期对有关项目进行检查督导,同时要大力宣传和引导,树立档案工作人员的法律责任意识和安全意识。②建立和完善电子档案安全法规。我国在电子档案方面的法律法规很少,而且很不健全,因而对电子档案缺乏有效管理,出现一些安全问题。一方面要加强计算机网络的安全和指导,对网络环境下电子档案信息安全进行特殊保护。另一方面加强保护电子档案信息内容的立法,保证信息资源的完整性、真实性和有效性。
3.安全技术保障方面的建设
⑴实体档案信息安全保障方面的技术。①实体档案保存技术。主要涉及建筑的保护、驱虫的保护、装帧的保护和分类的保护等。在实际工作中,要依据档案类型的差别,采取恰当的保存方法,提高档案保存的技术。要对纸质档案、磁盘、光盘和胶片等实体档案进行分类保管,这样有利于保管环境的建设和维护,有利于档案的信息安全,也有利于档案的开放共享。②实体档案修复技术。档案在保存保管中由于各种内外因素的影响难免会出现字迹不清、磨损变形、纸张老化、磁盘损坏以及胶片褪色等现象。纸质档案的修复技术主要有去酸的技术、去污的技术和档案载体转换的技术等。电子档案的修复技术主要是照片档案修复技术,而光盘、磁盘以及磁带等的修复相对困难,一旦损坏便很难修复,最好做适当备份。实体档案的保管,有条件的档案机构建议实行三套管理,一套进行封存保管,不对外使用;一套进行异地备份,完全封存;一套可以开放共享,发挥其信息价值,确保档案的万无一失。⑵电子档案信息安全保障技术。与电子档案信息安全保障技术有关的内容主要包括:数据安全技术、系统安全技术、网络安全技术、用户安全技术、防写技术等。随着信息技术的快速发展,以云计算为特征的新型网络开始出现,具有随需随取和按需收费的特点,将会成为信息产业的第三次革命。
4.档案信息安全管理方面的建设
⑴档案信息安全组织体系。国家档案局应该在中央设立档案信息安全管理部门,对全国有关这方面的工作进行统一监督和管理,各地方档案部门应该成立相应的科室,对该方面的法规政策进行大力宣传和落实。⑵档案信息安全管理制度。①建立健全档案信息安全管理制度体系。国家档案局应该组织相关专家,制定我国现阶段这方面工作的总体方针和发展目标,对全国的档案信息安全保障工作进行宏观指导和管理。同时,各地方档案部门应该在国家法规和政策的指导下制定符合本地实际的地方制度和办法。②加强档案信息安全保密制度建设。各级档案部门要加强档案信息安全保密的教育,培养员工的保密意识,提高自身的职业道德,贯彻落实档案工作的各项规定。③建立电子档案信息安全管理体系。在体系建设中,逐步建立严格的档案保管制度,完善和发展电子档案的形成制度,规范数字档案的开放共享制度。⑶档案信息安全执行力度。档案信息安全保障,制度的建立是基础,制度的落实才是核心。制定的制度如果不严格贯彻执行就如同虚设,就发挥不了应有的作用。因此,可以成立专门的档案安全工作领导小组,并实行领导负责制,发挥领导的模范带头作用,定期对档案信息安全进行大检查,一旦发现问题,立刻进行解决,避免拖泥带水。
信息安全保障范文4
【 关键词 】 信息安全;信息安全保障体系;国家大剧院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
随着信息技术的飞速发展,人类正以前所未有的速度进入以网络为主的信息时代,网络的快速发展不仅促进了人们的通信和交流,同时也带来了商业和经济模式的巨大变革。
国家大剧院是国家新建的重要文化设施,也是一处别具特色的景观胜地。作为北京市国家级标志性文化设施,国家大剧院的建设与运行体现了正在迅速崛起和复兴的中国在精神文化领域的追求,因此,依托信息化手段宣传和服务于广大文化艺术爱好者是国家大剧院电子商务网站建设的宗旨,使之成为“国家表演艺术最高殿堂、艺术普及教育的引领者、中外艺术交流最大平台、文化创意产业重要基地”。
国家大剧院网络及信息系统从2007开始逐步建设,建设初期主要满足国家大剧院演出宣传、文艺教育、演出票务、公众服务、内部办公和访问互联网的需求,官方网站电子商务平台承担着对外宣传及网上售票业务。随着国家大剧院近几年影响力和地位的不断提升以及业务的发展壮大,对信息化建设提出了更高要求,同时对信息安全的需求也越来越迫切,结合国家等级保护制度来进行安全保障建设成为国家大剧院信息化建设的有益补充。
2 现状及问题
目前国家大剧院局域网骨干带宽为千兆,双核心。已部署的安全设施,如在整个局域网的出口均部署了防火墙,内网服务器域边界部署了防火墙;在门户网站出口部署了流量控制和入侵防御设备;内部终端还广泛部署了防病毒软件,以防范计算机病毒在局域网内传播和破坏。国家大剧院正在运行的业务系统主要包括网站系统、票务系统、艺术资料管理系统、OA系统、财务系统及邮件系统等。
根据对国家大剧院信息化及信息安全现状的分析,结合国内外信息安全发展态势,发现国家大剧院面临着一些信息安全问题及风险。
假冒网站、网站挂马等安全风险。据权威统计,2011年下半年,检测新增挂马网站独立网址246万,平均每日100万人次访问此类挂马链接,新增钓鱼盗号欺诈类网站独立网址492万,共拦截10亿余次钓鱼盗号欺诈类网址,平均每日600万人次访问此类欺诈类链接。假冒网站独占鳌头的是电商网购类,而且仿冒范围不断扩散,通过国家大剧院运维人员统计观察,越来越多的黑客、病毒、不法机构和人员对国家大剧院电子商务网站系统的正常运行产生威胁,网站业务系统随时都可能遭受恶意攻击。
系统入侵或网络攻击风险。由于系统保护措施不到位,可能导致国家大剧院票务等对外网站系统的域名劫持、DDoS攻击等安全风险。同时,也可能由于软件漏洞或者安全意识单薄等造成内部邮件等信息泄露。
非授权访问风险。由于国家大剧院内部办公等信息系统边界缺乏访问控制设施,并且在网络可信接入、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,未授权者可通过网络非法访问网站及系统服务器,并进行非法读取、篡改和破坏数据等不良行为,构成对内部数据及信息系统的重大隐患。
数据安全风险。媒资库建设完成后将承载大量的媒体资料,这些有艺术价值的音像资料是国家大剧院的宝贵资产,一旦由于自然灾害、人员非法入侵、内部人员误操作等造成数据丢失损坏,将对国家大剧院造成重大损失。
媒体资源库音像资料版权风险。目前,剧院已经为视频在线传播及直播提供服务平台,然而提供的音视频服务面临版权盗用、盗链和恶意下载等问题,容易对剧院和公众利益带来损害。
内控管理风险。据权威调查报告显示,内部员工的粗心大意是企业信息安全的最大威胁,由此造成的安全事故高达78%。目前,由于国家大剧院内部员工的安全意识还相对淡薄,存在进入业务系统的登录口令设置过于简单,私自访问不安全网站,私自接入不安全设备等问题,这些都给大剧院信息系统造成了极大的安全隐患和威胁。
3 信息安全保障体系探索
3.1 总体目标
通过对国家大剧院信息安全现状、问题以及信息安全建设需求的分析,可知国家大剧院信息安全保障体系建设的总体目标是按照国家信息安全等级保护相关要求,从风险控制、技术设施、管理体制及运维服务等方面入手,基于成熟的安全技术,借鉴先进可行的管理理念,加强外御威胁防护、构建内控管理机制、强化数据保护措施,建立和完善信息安全管理体制,加强安全服务保障,设计适合国家大剧院信息化发展的安全保障体系,从而确保业务流程可控、业务状态可视,保障业务整体安全。
3.2 设计思路
针对国家大剧院安全保障目标,在信息安全保障体系设计上基于几种设计思路。
3.2.1构建网站可信机制
通过第三方网站身份诚信认证来确保网站真实性,可帮助网民判断网站的真实性。同时,基于可信证书类产品,确保系统管理用户身份的真实性。其次,借助社会力量来实现假冒网站的定位、侵权取证等服务,从而有效打击防范欺诈类网站并且协助维权。
3.2.2建设安全可靠的办公网络平台
积极推进信息安全等级保护建设,通过制定安全策略、部署安全设备,完善安全保密管理制度,加强安全运维支撑建设,从物理安全、网络安全、主机安全、应用安全、数据安全、流程安全、人员安全等多方面保障系统的安全稳定运行。
3.2.3建立网络信任服务
通过为网络管理员、网站维护人员颁发数字证书,部署网络可信接入及远程安全接入设施来构建剧院内部的网络信任服务体系,保证信息系统及媒资库资源的可靠访问,确保我院信息资源安全。
3.3 体系框架
在国家大剧院信息系统安全保障体系设计以及实现中,将在国家相关的安全政策、法规、标准、要求的指导下,制定可具体操作的安全策略,构建国家大剧院网站系统安全技术系统、安全管理体系以及安全运行体系,形成集防护、检测、评估、响应、恢复于一体的整体安全保障体系,从而实现物理安全、网络安全、主机安全、数据安全和应用安全,以满足国家大剧院网站系统全方位的安全保护需求。国家大剧院信息系统整体安全保障体系模型如图1所示。
国家大剧院信息系统整体安全保障体系模型主要由三个方面组成。
3.3.1安全技术体系
参考国家标准《信息安全技术 信息系统等级保护安全设计技术要求》按照威胁分析,将信息资产划分为若干保护对象,并按照“一个中心”管理下的“三重保护”的设计框架,构建国家大剧院信息安全技术体系保障机制和策略,为国家大剧院信息系统的运行提供安全保护环境。该环境共包括四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。
3.3.2安全管理体系
以国家大剧院现有业务系统所服务对象为基础,建立完善的安全管理体系,建立信息安全管理机构、制定信息安全管理制度、设置信息安全管理岗位。
3.3.3安全运维服务体系
针对业务安全运行的需要,以日常巡检、咨询、评估等建立有效的运维服务机制,加强对资产管理的分析、隐患发现、策略审核考评等,不断发现平台在运行中的安全隐患,降低系统脆弱性和面临潜在的威胁带来的影响及损失,以及时对安全策略实现完善和防护措施的改进提升。
3.4 信息安全体系建设实践
国家大剧院信息安全保障工作经过长期的努力,已经初见成效。在安全体系的建设实践中,总结出几点实践经验。
3.4.1制定标准规范,奠定保障基础
信息安全保障建设的一项重要工作之一是参照国家等级保护的技术要求完成相应的合规性检查。因此,国家大剧院应据此建立适合国家大剧院的信息安全管理基线,坚持常态化管理和动态控制,达到并保持国家相关安全主管部门的安全审计要求。
3.4.2重视管理,制度先行
信息安全是一个动态发展的过程,每年随着业务发展变化而变化,同时随着信息安全技术的不断演变,都会出现新的安全防护技术的使用。经过多年实践证明,每个系统或者防护设备上线前,都必须在遵守总体防护规范的前提下,编制好具有针对性的管理要求,才有有效降低安全风险引入的可能。
3.4.3定期组织代码审计和渗透测试等系统检测
代码安全审计是通过人工分析和工具扫描的方式检验应用程序的源代码,利用大量的代码安全规则,来分析源代码中的违反规则部分,进而确定可能存在的安全漏洞和隐患。应用系统生命周期安全的从SDL实践上看,安全做的越早效果越好(但开发模式改动的成本也相对比较大),代码审计作为保证代码安全的最低低线,其作用是不可取代的。
另外,除了从代码开发过程中保证开发出安全的应用系统以外,针对已开发的系统,国家大剧院还组织第三方测试机构,从攻击者视角检测信息系统安全防护能力是否达到,是否存在成功攻入系统的途径。
4 信息安全建设意义
通过构建信息安全保障平台,保障我剧院信息系统可安全合规运行。基于国家信息安全等级保护制度要求,建设国家大剧院信息系统整体安全保障体系模型信息安全保障基础设施,制定安全策略,为国家大剧院系统提供安全可靠的运行环境。
提高国家大剧院电子票务等信息系统的安全运行平稳度。通过在信息安全技术、信息安全保密管理等多维度的体系保障建设,保障网站真实性、打击假冒网站,大大提高国家大剧院信息系统安全稳定运行的平稳度。
提高用户的安全便捷以及系统安全管理能力。通过构建可信的电子票务运营环境,为用户提供身份认证及网络信任机制,加强用户的身份、资金安全保障,并且提高系统安全管理能力。
提升安全隐患发现能力。安全隐患的发现能力是信息安全管理中的关键能力,关系到能否将风险消除在事件发生之前。通过建立入侵监测系统、防病毒系统以及定期的安全脆弱性检测等,大大提升我剧院信息系统的安全隐患发现能力。
5 结束语
建设和完善信息安全保障体系是为了保证国家大剧院的业务在今后发展过程中对信息安全建设的要求。
信息安全保障体系建设涵盖安全管理体系、安全技术体系、安全运维体系的复杂系统工程,是一项长期性的专业的细致的认为,需要以信息安全技术为基础,持续投入大量的人力和物力。为使国家大剧院建设成为国际化、现代化的大剧院提供有力的信息安全保障。
参考文献
[1] 关于大力推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号).
[2] 信息安全管理实用规则(GB/T 22081-2008).
[3] 信息系统等级保护安全设计技术要求(GBT25070-2010).
[4] 信息系统安全等级保护体系框架(GA/T 708-2007).
[5] 国家大剧院电子商务网站系统安全保障方案.内部资料,2010.
[6] 国家大剧院安全服务保障方案.内部资料,2011.
信息安全保障范文5
[关键词]档案信息;安全;保密;管理
近两年来,有关部门发现并查处了一些档案信息泄密事件,发现了影响档案信息安全的重大隐患,这些问题的存在我们提出了档案信息安全管理的重要课题。尤其是在网络盛行,黑客入侵,木马植入的时代,我们更应提高警惕和高度重视。下面就如果做档案信息安全保障工作进行浅析。
一、提高档案的保密意识。
近年来,有些部门对政府公开信息审核把关不严,把一些的文件上网公布,以致把档案在网上开放,严重危害了我们国家的信息安全。因此档案部门要站在国家安全的高度,增强档案保密工作的责任感和使命感,不断强化档案保密工作。要认真学习《档案法》、《保密法》等相关知识,自觉履行保守国家秘密的义务。对于上网开放的档案一定要做到凡是和内容敏感的档案都不要公开或开放,更不要上互联网,做到的不上网,上网的不。对纸质档案、磁性介质的借阅、保管、销毁等要严格遵守保密制度,不要有任何侥幸与松懈心理。同时要经常开展档案安全教育工作,把档案安全的重要性提到档案工作的重要位置,尤其要把档案泄密的危害和后果阐明讲透,使档案安全意识深入人心。
二、完善保密档案的借阅制度
档案借阅是档案管理工作的主要形式之一。为充分发挥档案的作用,既方便档案利用,又确保档案的安全完整,要制定完善的档案借阅制度、外借制度。各项借阅规章制度的条文要简单而严谨,便于执行,确保保密档案的安全。保密档案的借阅、移出、销毁等要严格按规定的手续办理,要填写借阅、移出、销毁单,由直接领导签字。借阅档案要填写登记表及借阅卡,手续齐备方可借阅。借阅人要严格遵守保密制度,禁止转借泄密。保密档案使用完毕,归还时要认真核对、检查,对私自撕拆、涂改、缺页少项的档案要追究借阅人责任,并复原档案。借阅的档案如果丢失,失密、泄密等问题,要及时查明原因,向主管领导报告,进行补救。保密档案的借阅时间不得超过一年,因项目周期长而不能及时归还的,要及时办理续借手续。要推行对已有复印件的档案原件进行封存的做法,无特殊情况的,不再提供档案原件,对借阅档案的要以复印件的形式提供使用,以延长档案寿命。
三、加强电子档案安全维护
电子文件归档不同于纸质文件的归档,它的归档属于数字化信息形式归档,是按照有关电子档案的归档要求将整理好的电子文件以数字化形式转存在磁性材料或光盘等载体上保存。因此,必须采取技术保障措施,使其所形成的电子档案和纸质档案一样,保证其信息安全可靠,具有依据、查考和凭证的作用。一是设置访问控制,从而保证电子文件信息在内的网络资源不被非法访问和非法利用;二是提供信息加密措施。在多数情况下,信息加密是保证电子文件机密性的唯一方法;由于加密和解密使用不同的密钥,因此第三者很难从中解出原文内容,无法篡改其内容,从而保护电子文件在传输过程中的原始性和真实性;三是建立网络防火墙。防火墙可进行网络通信扫描,过滤一些攻击,以阻止其在目标计算机上被执行。防火墙还可以关闭不使用的端口,还能禁止特定端口的流出通信,禁止来自特殊站点的访问,从而阻止来自不明入侵者的所有通信;四是签名技术。通过签名技术可以确保电子文件的真实性以及进行身份信息验证,以此确认其内容是否被篡改或是否为伪造;五是设置防写措施。如将电子文件设置为“只读”状态,这样用户只能读取信息,而不能对此信息做任何修改,从而有效地防止用户更改电子文件,确保电子文件的安全性、真实性;六是信息备份与恢复。由于网络的不安全性,给电子文件信息的安全带来严重威胁。尽管我们可采取一些方法和技术提高网络的安全性,但网络上风险无处不在,难免会发生信息丢失和失真的现象。因此建立信息备份与恢复系统是保护电子档案的必要手段,一旦信息丢失或失真,可及时地进行电子文件数据的恢复。
四、加强档案室安全管理
信息安全保障范文6
1.等级保护
1)主要内容
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
2)优点
等级保护适用于宏观层面,是一种大范围“基线安全”,适用于行业主管部门对信息安全的总体把握与监控。
3)缺点
具体到某个组织的信息安全保护而言,等级保护的粒度划分较粗,在满足组织对信息安全的精细控制要求方面还存在不足。因此,在满足监管部门的等级保护要求之后,组织还可进一步把等级细化到各种层次的安全域,直至对一个个的信息资产进行有效管理。
2.信息安全管理体系(ISMS)
1)主要内容
类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平,按照ISO27001的要求,在整体或特定范围内监理的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
2)优点
ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断地采取管控措施,以把风险降低到组织可接受的程度。
3)缺点
它只是描述了建立ISMS的思想、框架,但对如何建立ISMS并没有一个详细明确的定义,也没有描述ISMS的最终形态;没有确定建立信息安全体系的具体方法与技术。因此,ISMS对实施者来说留下来很大的可操作空间,不同的组织和不同实施着对ISMS标准的把握可能差别很大,ISMS总体水平也会有高下之分。
3.风险评估
1)主要内容
风险评估是获知组织当前风险水平的一种手段,在金融、电子商务等许多领域都是有风险及风险评估需求的存在。当风险评估应用于IT安全领域时,就是对信息安全的风险评估。
2)优点
风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测,对规范我国信息安全风险评估的做法具有很好的指导意义。
3)缺点
《信息安全风险评估指南》所确定的风险评估方法还只是一个通用的方法论,具体到一个特定的单位,要对其中的风险进行准确地识别与量化仍热是一件困难的事情,在很大程度上要取决于评估者的经验。
