前言:中文期刊网精心挑选了公共信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
公共信息安全范文1
信息战历来被称为“第二战场”,观察北京奥运会谣言传播状况,暴露出我国新闻发言人制度不健全、新闻信息要素不全等弱点,因此导致恐怖谣言传播。国家行政学院公共行政教研部教授竹立家说,面对“谣言――辟谣”事件的频发,我们需要反思其发生的根源。我国新闻发言人制度还不完善,对不及时信息或不完全真实的信息没有相应的问责制度。针对民众可能关心、又在政府部门职责范围内的事宜,应提前做好相应的解释、规划,避免“谣传”。IRI网络口碑研究机构研究员李艳认为在信息披露方面,我国存在着责任不对称的情况,在信息披露问题上应建立对称的责任制。在建立、健全新闻发言人制度的过程中,公众的知情权需要以法律的形式加以保障,对没有尽责的新闻发言人及其领导机关应该追究责任。
(据李舒于《t望》2008年第38期)
新闻媒体参与联合监督的基本原则
联合监督是社会监督的一种必要方式,有其存在的合理性和合法性。新闻媒体参与联合监督会使监督更加有力。合法的联合监督是受法律保护的,但要真正实施有效的联合监督,要遵循必要的原则,主要有:一是公共利益原则。联合监督的指向是关乎公共利益的重要事项,其主要目的是为了维护公共利益,不允许联合监督中的有关成员打着“公共利益”的幌子谋取私利。联合监督的资源(包括媒体资源)有限,决定了联合监督的重点和主要任务要放到监督重要的社会事项上来。因此,无论从监督的目的还是监督的可行性、实效性等方面,联合监督要有规律可循,要恪守公共利益至上这一铁的原则。二是价值平衡原则。联合监督中可能涉及到多种公共利益,需要适当地平衡。新闻媒体若经常听从或屈从于行政而制造假新闻,就会损害新闻传播的真实性。在具体操作中要有相关的约束机制,应探讨出协调利益冲突的解决办法,另外还需要注意监督各主体的利益的平衡。三是信息透明原则。任何联合监督最终都要接受社会的监督。有些联合监督的内容可能有保密的需要,但并没有永远保密的公共秘密。联合监督的结果要真实,最终都应公开、透明。只有公开、透明,才能保证联合监督的质量。
(据李衍玲于《当代传播》2008年第4期)
我国电视媒介品牌的整合原则
根据我国电视媒介现状,电视媒介品牌整合应遵循以下基本原则:第一,媒介融合原则。媒介融合是网络时代的传播媒介发展的总趋势。媒介产业是一种信息产业,其生存和发展必须借助于现代信息技术走联合发展的道路。根据我国的实际,这种联合发展的道路应该从产业化运营开始,在此基础上充分利用市场机制的作用组建传媒产业集团,这是媒介融合的第一步。第二,品牌价值原则。根据电视媒介的特点,任何一类电视媒介品牌价值都是品牌整合价值,是电视媒介人共同创造的,个人是无法创造出完整的电视媒介品牌价值的。但当一种电视媒介品牌形成以后,常常用一种形式表达出来,即使用个人的品牌形象表现出来的品牌价值也是一种品牌整合价值。第三,品牌作用原则。从电视媒介人的角度来看,品牌作用可以使电视媒介人有成就感,可以调动其积极性,把电视媒介经营得更好。从电视受众的角度来看,品牌作用可以增强受众对电视媒介的信任度,扩大电视产品市场,提高电视媒介资源的开发利用率。第四,品牌目的原则。电视媒介品牌整合的目的是为了在提高收视率、提高受众忠诚度的基础上更有效地开发利用电视媒介资源。电视媒介品牌整合有利于宣传而不会有碍于新闻宣传。第五,媒介功能原则。在市场经济的条件下,电视媒介的一切活动都必须为实现其产业功能和宣传功能服务,品牌整合也必须紧紧结合这两种功能进行调整组合。
(据周鸿铎于《电视研究》2008年第9期)
广播电视内容生产的
“两个误区”
公共服务的最终衡量标准是是否得到了满意的服务。当前广播电视生产内容存在着下列问题:第一,混淆公共事业和公共服务之间的区别。多数广播电视生产、传播机构都存在一个误区:广播电视本身就是公共事业的一部分,因此广播电视的所有传播行为都是在进行公共服务。这一认识仅仅通过概念转换就实现了“口头上的服务”,其结论必然是维持现状,维护既得利益。内容生产也因此处于自流状态。第二,把完成宣传当作公共服务的全部内容。众多的传播机构都把完成政府下达的宣传任务作为公共服务的主干业务,最后,“为政府服务”就成了“公共服务”的代名词,“为公众”变成了“面向公众”。这一方面曲解了舆论宣传的目的从根本上是为民众服务这一事实,有可能造成宣传过程中的官僚作风和形式主义,不能创作出受众喜欢的和需要的“三贴近”产品。另一方面缩小了服务范围,把“面”换成了“点”,推卸了进行公共服务的责任。
(据张政法于《中国广播电视学刊》2008年第6期)
我国文化市场
需要重塑什么样的市场主体
在市场经济运行中,作为市场经济的微观经济组织――文化市场主体必须具备以下三个条件:第一,以赢利为目标。在市场经济中,文化市场主体和一般主体没有区别,它必须生产出符合消费者需要的文化商品,并将这些文化商品成功地销售出去以获取利润。如果文化市场主体的行为不围绕市场、不以赢利为目标,而以上级意志为目标,它在市场中就难以生存。第二,独立的产权主体。文化市场主体的一切行为动机与行为特点,均离不开其必须拥有独立的自行支配的经营财产作为基础。文化市场主体拥有财产支配权或占有权,成为真正的产权主体,是文化生产者能形成市场行为,成为真正的市场主体的必要条件,在市场经济中文化企业本身必须是独立的产权主体。第三,能够独立决策、自主经营、自负盈亏、自我约束、自行发展。文化市场主体必须面向市场独立地实施市场行为,体现市场主体的意志;必须依靠自身的力量,依靠良好的经营效果自行积累、自我约束。我国文化市场要重塑的市场主体只有具备上述三个条件才能成为真正的市场主体。(据方林徐祯于《东南传播》2008年第8期)
手机电视将大规模商用
国家广电总局正计划成立中国移动多媒体广播运营总公司,对CMMB进行运营和管理。目前广电总局在全国37个城市开通免费CMMB信号,可以收到5套央视节目及2套本地节目。成立运营总公司后将考虑CMMB市场化,可能每月向用户收取费用5―10元。CMMB全国运营主体成立以后,地方广电可通过参股方式参与设立地方运营子公司,独立进行该地方的CMMB建网工作,并在全国统一模式下独立运营。在运营主体成立之前的过渡期内,地方广电可先期进行该地区的CMMB建网工作,并在运营主体成立以后纳入全国运营体系。业内专家指出,CMMB投入商用后的赢利情况需要建立在良好的用户体验基础上,更丰富的内容以及尽快确立合理的赢利模式是成功运营的关键。
(消息来源:《传媒经济参考》)
中央人民广播电台
将向付费电视和手机广播多向发展
9月3日,中央人民广播电台明确了今后新媒体的发展思路,即“以中国广播网为新媒体业务发展龙头,台网一体、付费电视、手机广播多向发展”的工作目标,并确定了下一步三项重点工作任务:一是要深入分析和研究自身特点,另辟蹊径,寻求差异化发展道路;二是要抓牢台网互动,并充分整合中央台的人才资源、节目资源和信息资源在互联网上加以利用;三是要认真研究传播规律,集中力量打造一个品牌,培育一个亮点,尝试通过“一点搞活”来带动新媒体广播的影响力和知名度。
(消息来源:《传媒经济参考》)
星空传媒携手福克斯
图谋亚洲电影市场
继索尼、华纳兄弟之后,新闻集团旗下两大成员二十世纪福克斯影业与星空传媒集团近日宣布合资组建 Fox STAR Studios,积极参与亚洲电影制作、发行及推广项目。据星空传媒集团宣布,新公司首个分支机构将落户宝莱坞电影工业中心孟买,之后将陆续设立大中华、东南亚分公司。除了投资传统宝莱坞影片外,还将拍摄新浪潮和其他印度语言电影。二十世纪福克斯主席Jim Gianopoulos表示,成立此联营公司是二十世纪福克斯在亚洲发展中最重要的一步。
(消息来源:《第一财经日报》)
传媒经济领域首颁学院奖
9月20日,由中国传媒大学、国家广电总局发展研究中心和国家新闻出版总署中国出版科学研究所主办的首次《中国传媒经济三十年学术峰会暨传媒经济杯・学院奖颁奖典礼》在中国传媒大学隆重举行。此次传媒经济杯是中国传媒经济领域三十年来首次颁发的学院奖,分别有24家单位及个人获得“传媒经济杯・学院奖”。在评选结果中,有两档经济类节目获得殊荣,分别是中央电视台《赢在中国》栏目和内蒙古卫视《财富非常道》栏目。(消息来源:搜狐网)
报纸、电视、互联网成为
中国商务人士接触最多媒体
公共信息安全范文2
一、当前构建县供电企业信息安全新体系存在的风险
1.信息安全策略风险
信息安全策略体系是当前县供电企业信息安全新体系中的重要组成部分,但目前多数供电企业在信息安全策略上还存在一定的风险。主要体现在:缺乏统一的安全运行体系;未实现对信息安全策略的修订和评审,因缺乏规范的机制;信息安全策略在企业缺乏一定的执行保障,因信息安全策略未被审批和,缺乏行政保障。
2.信息安全技术风险
主要表现在以下几个方面:缺乏有效的信息系统审计手段和安全监控,未清晰划分网络安全区域,网络应用系统的安全功能和强度严重不足,使用的网络安全技术不够统一,用户的认证度不大,安全系统配置还不够安全。
3.信息安全组织风险
当前县供电企业还缺乏有效、完整、专业的信息安全组织,在实际运行中存在一定的风险。首先是对职工的信息安全教育不够,宣传力度不大,使得职工的信息安全意识薄落,桌面系统用户的安全意识不够[1]。其次,企业组织人员对技术人员的专业安全知识和技能的培训不够,使得企业内部缺少专业的信息安全技术人员。最后,开展的信息安全工作未形成专业的责任制度,职权不明,给企业的工作带来一定的困难。
二、构建县供电企业信息安全新体系的具体举措
1.建立科学的信息安全策略体系
建立科学的信息安全策略体系,是构建县供电企业信息安全新体系的重要举措之一。建立科学的信息安全策略体系应该覆盖物理层、网络层、系统层以及应用层四个方面,包括信息管理和技术两个要素[2]。主要可以从三个方面入手:信息安全策略、信息安全标准规范、信息安全操作流程细则(见图1)。
2.建立先进的信息安全技术体系
先进的信息安全技术体系包括了防火墙技术、信息确认和网络控制技术、防病毒技术、防攻击技术、信息加密技术、数据备份和恢复技术以及统一威胁管理技术。(1)防火墙技术。防火墙技术是指在企业的内部网络与外部网络之间设置安全屏障,防止内部对外部不安全信息的访问,组织外部不安全信息侵入到内部系统的一种技术。该技术是目前国内应用最为广泛的信息安全保障技术,能有效的防止电脑黑客对内部网络系统的攻击,实现对数据的过滤、监控、记录。主要包括了过滤技术、服务技术以及应用网管技术。(2)信息确认和网络控制技术。该技术的使用是围绕计算机网络开展的,有关业务信息安全的技术必须根据各单位的具体业务、性质、任务等制定相应的策略。目前国内的主要信息确认和网络控制技术有:身份认证、数据完整性、防止否认以及存取控制等[3]。(3)防病毒技术。计算机病毒是网络信息最常见的网络安全隐患,已经呈多态化、灾难化形态发展。对此,使用防病毒技术必须建立相应的防病毒网络中心,实行网络化管理。(4)防攻击技术。防攻击技术主要是针对电脑“黑客”设定的,电脑黑客经常会对电脑主机和网络信息系统的一些漏洞进行攻击。防攻击技术的使用能跟根据黑客攻击的程度检测系统的安全漏洞,并提出相应的解决措施,一般而言,对一些重要的系统可采用物理隔离的措施。(5)信息加密技术。信息加密技术是县供电企业信息安全体系中的一种重要且实用的技术,主要包括对称密码技术如DES算法,非对称密钥技术如RAS算法。(6)数据备份和恢复技术。采用数据备份技术可以根据数据的重要程度按等级进行备份,建立省市级与县级数据备份中心,为了保障信息安全系统的安全性和可靠性,应该采用数据恢复技术。(7)统一威胁管理技术。统一威胁管理系统是为了解决因安全产品过度导致网络管理难和网络效率出现瓶颈的问题而产生的,主要功能有防火墙、病毒过滤、流量管理、VPN、上网行为审计以及入侵防御等[4]。目前,该技术已经在很多领域得到应用。县级供电企业与省市供电企业相比,规模较小、资金短缺,在建立先进的技术安全体系时,要结合自身发展规划,不断学习新技术,利用自己的智能开发有潜力的产品。如在数据采集上,可以利用GPRS技术进行远程抄表,且将重点放在路由设备上;调度数据网的数据时可以利用安全物理隔离网闸,移动办公时可以使用VPN技术。
3.建立完善的信息安全管理体系
信息安全管理体系是县供电企业信息安全新体系的核心组成部分,良好的信息安全体系必须要有合理、科学的管理,这是保障供电企业正常运转的重要途径。完善的信息安全管理体系包括了人员管理、技术管理、密码管理、数据管理以及安全管理等。人员管理上,县供电企业要强化网络管理者的信息安全意识,加强信息安全教育,尤其是对网络机密的教育。技术管理上,确保网络的各种设备如路由器、防火墙、交换机、VPN、QOS、IPS、防毒墙的安全。密码管理上,更新重要密码,对各类密码实施分级管理,以免出现出产密码、默认密码等简易密码被破解的现象。数据管理上,做好数据备份工作,数据备份的策略要及时合理,保管好备份数据介质。安全管理上,建立相关的县供电企业信息安全管理浅析如何构建县供电企业信息安全新体系刘志杰(国网冀北电力有限公司隆化县供电分公司,河北隆化067000)的规章制度,在操作系统、操作手段、机房及其设施等方面进行安全管理。
4.建立有效的信息安全组织体系
目前,国内县供电企业要建立信息安全组织体系主要包括了决策、管理、执行、监管四个方面。只有处理好这四个层面的关系,才能建立一个完整、责权统一、有效的信息安全组织体系。同时,建立信息安全组织和定义安全职责是相互影响的两项工作,信息安全组织的角色与职责要有清晰的电柜,管理层要对下属职责进行明确的规范和划分,才能有效的确保信息安全体系的建立,保障企业信息安全工作的有效开展,尤其是信息安全教育与培训的工作。要做好信息安全教育与培训的工作,必须涉及到每个职工,在信息安全教育与培训方面制定严格的制度机制,才能提升整个企业职工的信息安全水平。
三、案例分析
某供电企业信息安全新体系结构示意图从图2中可以看出,组织体系、策略体系、技术和管理体系是该供电所信息安全体系的灵魂,为了建立完整的信息安全体系,保护好供电企业内部网络系统的安全,信息安全新体系设计的具体防护措施如下:
1.物理安全
物理安全主要针对的是地震、水灾等自然因素以及人为操作失误而导致的计算机网络系统和设备损坏采取的一项措施。采取物理安全措施要防止系统信息在空间的扩散,物理安全的实施主要体现在机房上,具体措施包括了防火、防水、防雷、防盗、防静电等。
2.物理和逻辑隔离
物理隔离和逻辑隔离是两种不同的策略,物理隔离是指只要没有网络连接就是安全的,而逻辑隔离是要在网络正常运行的基础上,确保网络信息的安全。对当前的电力企业而言,使用物理隔离是无法保障电力信息安全的,因此,逻辑隔离是最好的举措。逻辑隔离是指网络正常连接情况下,使用技术进行逻辑上的隔离。逻辑隔离可以通过设置VLAN和防火墙来实现,包括企业内部局域网与外界的隔离,不同区域供电企业之间的隔离以及各种专业VLAN之间的隔离等。
3.强化计算机管理策略
加强计算机管理策略体现在设施管理、访问管理以及加密管理三方面。设施管理包括建立安全管理制度,对计算机系统、打印机等设备进行检修、创设良好的电磁兼容环境;访问控制管理是网络安全保护的主要措施,主要通过设置访问账户、访问时间、访问方式等市县。加密管理包括了加密与保密、公共密钥加密、数字签名的鉴定以及包过滤等方面。
4.入侵检测
虽然目前国内很多供电企业都布置了防火墙技术,但是传统的防火墙技术还存在一定的缺点,实施入侵检测能很好的弥补防火墙的缺陷。入侵检测的使用能够有效发挥IPS的优势,协调IPS和防火墙的优势互补,提升对信息安全保护的效果。该供电所的入侵检测主要应用在网络边界上的保护,如内网与电力网的边界、互联网与公司外网的边界、内网与服务器区域的边界。
5.漏洞扫描和弥补
系统缺陷漏洞扫描能帮助工作人员及时发现计算机系统的安全漏洞,更新系统补丁,并进行修补,能有效降低网络系统的安全风险。具体操作以该供电企业使用的漏洞扫描软件X-scan为例进行说明。X-scan漏洞扫描软件采用的是多线程方式对单机进行安全漏洞的扫描,包括命令行和图形界面两种操作方式,扫描的内容有远程操作系统类型及版本、端口BANNER信息、IIS漏洞、CGI漏洞、RPC漏洞,NT服务器NETBIOS信息等。扫描的结果一般保存在/log/目录中,扫描结果索引文件是index_*.htm。具体操作步骤是:第一步,准备扫描文件,如X-Scan图形界面的主程序xscan_gui.exe,插件调度的主程序checkhost.dat等;第二步,准备工作,即安装扫描软件并注册;第三步,图形界面设置项说明,包括了检测范围模块、全局设置模块、插件设置模块等。第四步,运行参数说明,主要的命令格式是:xscan-host<起始IP>[-<终止IP>]<检测项目>[其他选项];xscan-file<主机列表文件名><检测项目>[其他选项]。
6.安全管理
公共信息安全范文3
2013年以来,重钢集团作为重庆市的大型重工业企业工控信息安全试点,进行了积极的探索和实践。研究工控系统信息安全问题,制定工控系统信息安全实施指南,建立重钢ICS工控信息安全的模拟试验中心,进行控制系统信息安全的模拟试验,采取措施提高重钢控制系统的安全防御能力,以保证重钢集团控制系统的信息安全和安全生产,尽到自己的社会责任。
1工控系统信息安全问题的由来
工业控制系统(industrycontrolsystem,以下简称ICS)信息安全问题的核心是通信协议缺陷问题。工控协议安全问题可分为两类:
1.1ICS设计时固有的安全缺失
传统的ICS采用专用的硬件、软件和通信协议,设计上注重效率、实时性、可靠性,为此放弃了诸如认证、授权和加密等需要附加开销的安全特征和功能,一般采用封闭式的网络架构来保证系统安全。工业控制网的防护功能都很弱,几乎没有隔离功能。由于ICS的相对封闭性,一直不是网络攻防研究关注的重点。
1.2ICS开放发展而继承的安全缺失
目前,几乎所有的ICS厂商都提出了企业全自动化的解决方案,ICS通信协议已经演化为在通用计算机\操作系统上实现,并运行在工业以太网上,TCP/IP协议自身存在的安全问题不可避免地会影响到相应的应用层工控协议。潜在地将这些有漏洞的协议暴露给攻击者。随着工业信息化及物联网技术的高速发展,企业自动化、信息化联网融合,以往相对封闭的ICS逐渐采用通用的通信协议、硬软件系统,甚至可以通过实时数据采集网、MES、ERP网络连接到企业OA及互联网等公共网络。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向ICS扩散。因此在ICS对企业信息化系统开放,使企业生产经营获取巨大好处的同时,也减弱了ICS与外界的隔离,“两化融合”使ICS信息安全隐患问题日益严峻。
2重钢ICS信息安全问题的探索
2.1重钢企业系统架构
重钢新区的建设是以大幅提升工艺技术和控制、管理水平,以科技创新和装备大型化推进流程再造为依据,降本增效、节能减排为目的来完成的。各主要工艺环节、生产线都实现了全流程智能化管控。依据“产销一体化”的思想,重钢在各产线上集成,实现“两化”深度融合,形成了一个庞大而复杂的网络拓扑结构。
2.2生产管控系统分级
管控系统按控制功能和逻辑分为4级网络:L4(企业资源计划ERP)、L3(生产管理级MES)、L2(过程控制级PCS)、L1(基础自动化级BAS)。重钢新区L1控制系统有:浙大中控、新华DCS、西门子PLC、GEPLC、MOX、施耐德和罗克威尔控制系统等。各主要生产环节L1独立,L2互联,L3和ERP是全流程整体构建。
2.3重钢企业网络架
重钢新区网络系统共分为4个层次:Internet和专线区,主干网区域,服务器区域,L2/L3通信专网区。
(1)主干网区域包括全厂无线覆盖(用于各网络点的补充接入备用)和办公终端接入,主干网区域与Internet和专线区之间通过防火墙隔离,并部署行为管理系统;
(2)主干网区域与服务器区域之间通过防火墙隔离;
(3)L2与L3之间由布置在L2网络的防火墙和L3侧的数据交换平台隔离;
(4)L2和L1之间通过L2级主机双网卡方式进行逻辑隔离,各生产线L2和L1遍布整个新区,有多种控制系统。
(5)OA与ERP和MES服务器之间没有隔离。在L2以下没有防火墙,现有的安全措施不能保证ICS的安全。
2.4ICS安全漏洞
经过分析讨论,我们认为重钢管控系统ICS可能存在以下安全问题:
(1)通信协议漏洞基于TCP/IP的工业以太网、PROIBUS,MODBUS等总线通信协议,L1级与L2级之间通信采用的OPC协议,都有明显的安全漏洞。
(2)操作系统漏洞:ICS的HMI上Windows操作系统补丁问题。
(3)安全策略和管理流程问题:安全策略与管理流程、人员信息安全意识缺乏,移动设备的使用及不严格的访问控制策略。
(4)杀毒软件问题:由于杀毒软件可能查杀ICS的部分软件,且其病毒库需要不定期的更新,故此,ICS操作站\工程师站基本未安装杀毒软件。
3重钢工控系统信息安全措施
对重钢来说,ICS信息安全性研究是一个新领域,对此,需要重点研究ICS自身的脆弱性(漏洞)情况及系统间通信规约的安全性问题,对ICS系统进行安全测试,同时制定ICS的设备安全管理措施。
3.1制定ICS信息安全实施指南
根据国际行业标准ANSI/ISA-99及IT安防等级,重钢与重庆邮电大学合作,制定出适合国内实际的《工业控制系统信息安全实施指南》(草案)。指南就ICS和IT系统的差异,ICS系统潜在的脆弱性,风险因素,ICS网络隔离技术,安全事故缘由,ICS系统安全程序开发与部署,管理控制,运维控制,技术控制等多方面进行具体的规范,并提出ICS的纵深防御战略的主要规则。并提出ICS的纵深防御战略的主要规则。ICS的纵深防御战略:
(1)在ICS从应用设计开始的整个生命周期内解决安全问题;
(2)实施多层的网络拓扑结构;
(3)提供企业网和ICS的网络逻辑隔离;
(4)ICS设备测试后封锁未使用过的端口和服务,确保其不会影响ICS的运行;
(5)限制物理访问ICS网络和设备;
(6)限制ICS用户使用特权,(权、责、人对应);
(7)在ICS网络和企业网络分别使用单独的身份验证机制;
(8)使用入侵检测软件、防病毒软件等,实现防御工控系统中的入侵及破坏;
(9)在工控系统的数据存储和通信中使用安全技术,例如加密技术;
(10)在安装ICS之前,利用测试系统测试完所有补丁并尽快部署安全补丁;
(11)在工控系统的关键区域跟踪和监测审计踪迹。
3.2建立重钢ICS信息安全模拟试验中心
由于重钢新区企业网络架构异常复杂,要解决信息安全问题,必须对企业网络及ICS进行信息安全测试,在此基础上对系统进行加固。为避免攻击等测试手段对正在生产运行的系统产生不可控制的恶劣影响,必须建立一个ICS信息安全的模拟试验中心。为此,采用模拟在线运行的重钢企业网络的方式,构建重钢ICS信息安全的模拟试验中心。这个中心也是重钢电子的软件开发模拟平台和信息安全攻防演练平台。
3.3模拟系统信息安全的测试诊断
重钢模拟系统安全测试,主要进行漏洞检测和渗透测试,形成ICS安全评估报告。重钢ICS安全问题主要集中在安全管理、ICS与网络系统三个方面,高危漏洞占很大比重。
(1)骨干网作为内外网数据交换的节点,抗病毒能力弱、有明显的攻击路径;
(2)生产管理系统中因为网络架构、程序设计和安全管理等方面的因素,存在诸多高风险安全漏洞;
(3)L1的PLC与监控层之间无安全隔离,ICS与L2之间仅有双网卡逻辑隔离,OA和ERP、MES的网络拓扑没有分级和隔离。对外部攻击没有防御手段。虽然各部分ICS(L1)相对独立,但整个系统还是存在诸多不安全风险因素,主要有系统层缺陷、渗透攻击、缓冲区溢出、口令破解及接口、企业网内部威胁五个方面。通过对安全测试结果进行分析,我们认为攻击者最容易采用的攻击途径是:现场无线网络、办公网—HMI远程网页—HMI服务器、U盘或笔记本电脑在ICS接入。病毒最容易侵入地方是:外网、所有操作终端、调试接入的笔记本电脑。
3.4提高重钢管控系统安防能力的措施
在原有网络安全防御的基础上根据ICS信息安全的要求和模拟测试的结果,我们采取一系列措施来提高重钢管控系统的措施。
3.5安全管理措施
参照《工业控制系统信息安全实施指南》(草案),修订《重钢股份公司计算机信息网络管理制度》,针对内部网络容易出现的安全问题提出具体要求,重点突出网络安全接入控制和资源共享规范;检查所有ICS操作员\工程师站,封锁USB口,重新清理所有终端,建立完整的操作权限和密码体系。封锁大部分骨干网区的无线接入,增加现场无线设备的加密级别。
3.6系统加固措施
3.6.1互联网出口安全防护第一层:防火墙——在原来配置的防火墙上,清理端口,精确开放内部服务器服务端口,限制主要网络木马病毒入侵端口通讯;第二层:行为管理系统——对内外通讯的流量进行整形和带宽控制,控制互联网访问权限,减少非法的互联网资源访问,同时对敏感信息进行控制和记录;第三层:防病毒系统——部署瑞星防毒墙对进出内网的网络流量进行扫描过滤,查杀占据绝大部分的HTTP、FTP、SMTP等协议流量,净化内网网络环境;
3.6.2内网(以太网)安全部署企业版杀毒系统、EAD准入控制系统(终端安装),进行交换机加固,增加DHCP嗅探功能,拒绝非法DHCP服务器分配IP地址,广播风暴抑制。
3.6.3工业以太网安全L1级安全隔离应考虑ICS的特点:
(1)PLC与监控层及过程控制级一般采用OPC通讯,端口不固定。因此,安全隔离设备应能进行动态端口监控和防御。
(2)工控系统实时性高,要求通信速度快。因此,为保证所处理的流量较少,网络延时小,实时性好,安全隔离设备应布置在被保护设备的上游和控制网络的边缘。图3安全防御技术措施实施简图经过多方比较,现采用数据采集隔离平台和智能保护平台。在PLC采用终端保护,在L1监控层实现L1区域保护,在PCS与MES、ERP和OA之间形成边界保护。接着考虑增加L1外挂监测审计平台和漏洞挖掘检测平台。
3.6.4数据采集隔离平台在L1的OPC服务器和实时数据库采集站之间实现数据隔离,采用数据隔离网关+综合管理平台实现:动态端口控制,白名单主动防御,实时深度解析采集数据,实时报警阻断。
3.6.5智能保护平台快速识别ICS系统中的非法操作、异常事件及外部攻击并及时告警和阻断非法数据包。多重防御机制:将IP地址与MAC地址绑定,防止内部IP地址被非法盗用;白名单防御机制:对网络中所有不符合白名单的安全数据和行为特征进行阻断和告警,消除未知漏洞危害;黑名单防御机制:根据已知漏洞库,对网络中所有异常数据和行为进行阻断和告警,消除已知漏洞危害。边界保护:布置在L1边界,监控L1网络中的保护节点和网络结构,配置信息以及安全事件。区域保护:布置在L1级ICS内部边界,防御来自工业以太网以外及ICS内部其他区域的威胁。终端保护:布置在终端节点,防御来自外部、内部其他区域及终端的威胁。综合管理平台:通过对所在工控网络环境的分析,自动组合一套规则与策略的部署方案;可将合适的白名单规则与漏洞防护策略下发部署到不同的智能保护平台。
4结束语
公共信息安全范文4
网络信息安全工作计划(一)
坚持科学发展观,充分发挥学校网络的技术指导的管理职能,强化服务意识、责任意识、发展意识,巩固我校教育信息化成果,不断完善信息化建设水平,大力推进教育现代化进程,科学、规范、高效抓管理,求真、务实、优质育人才,努力争创教学示范学校,办优质教育,特制订以下计划:
一、网络管理与建设
1、采取切实可行的措施,加强对校园网的管理,继续完善相关规章制度,落实各项管理措施,确保学校网络安全畅通。学校要继续完善相关的网络制度,杜绝网络信息安全事故的发生,确保网络畅通,更好的服务与教育教学工作。采取积极可行的措施,在保证网络畅通的情况下,杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题,充分发挥网络的作用,提高教育教学质量。
2、网络防毒。加强对教师信息技术的培训力度,使教师学会使用杀毒软件进行计算机病毒的查杀,确保学校网络畅通。基本上解决网络病毒在我校计算机上的传播,保证网络不因病毒而导致堵塞、停网等现象的发生。
二、网站建设
加强学校校园网网站建设和应用力度,使其服务于教学、服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管理员要不断学习相关业务知识,不断提高自己的业务能力,树立服务于教学的思想,管好用好学校网络。
三、信息技术使用与培训工作
加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班,加强培训指导,教师要将学习走在前头,自觉地学。
网络信息安全工作计划(二)
为加强本单位网络与信息安全保障工作,经局领导班子研究,制定**县工业商务和信息化局20**年网络与信息安全工作计划。
一、加强考核,落实责任
结合质量管理体系建设,建立健全信息化管理和考核制度,进一步优化流程,明确责任,与各部门重点涉密岗位签订《网络与信息安全及保密责任书》。加大考核力度,将计算机应用及运维情况列入年度考核中,通过考核寻找信息安全工作存在的问题和不足,认真分析原因,制定切实可行的预防和纠正措施,严格落实各项措施,持续改进信息安全工作。
二、做好信息安全保障体系建设
进一步完善信息安全管理制度,重点加强用户管理、变更管理、网络安全检查等运行控制制度和数据安全管理、病责防护管理等日常网络应用制度;加强入侵检测系统应用,通过桌管系统、瑞星控制台密切关注各移动存储介质(移动硬盘、U盘、CD光驱)等设备运行情况;在业务分析需求的基础上,合理设置安全策略,充分利用局域网优势,进一步发挥技术防范措施的作用,从源头上杜绝木马、病毒的感染和传播,提高信息网络安全管理实效;
进一步完善应急预案,通过应急预案演练检验预案的科学性、有效性,提高应对突发事件的应变能力。
三、加强各应用系统管理
进一步作好政府信息公开网站后台管理系统、OA等业务系统应用管理。加强与各部门勾通,收集使用过程中存在的问题,定期检查系统内各模块使用情况及时反馈给相关部门,充分发挥系统功能;完善系统基础资料,加大操作人员指导力度,确保系统有效运行,切实提高信息安全水平。
四、加强信息安全宣传教育培训
利用局域网、OA系统,通过宣传栏等形式,加大信息安全宣传力度,不断提高员工对信息安全重要性的认识,努力形成“广泛宣传动员、人人积极参与”的良好气氛;着力加强信息化工作人员的责任意识,切实增强做好信息化工作的责任感和使命感,不断提高服务的有效性和服务效率。
网络信息安全工作计划(三)
各乡镇党委、县直各部门单位:
根据自治区、地区有关要求,按照《XXX新闻宣传报道管理办法》有关内容,为进一步加强我县网络和信息安全管理工作,现就有关事项通知如下。
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站、微信公众平台信息审查监管
各单位通过门户网站、微信公众平台在互联网上公开信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。
严肃突发、敏感事(案)件的新闻报道纪律,对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害,涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传报道的,经县领导同意,上报地区层层审核,经自治区党委宣传部审核同意后,方可按照宣传内容做到统一口径、统一,确保信息的时效性和严肃性。
五、组织开展网络和信息安全清理检查
公共信息安全范文5
【 关键词 】 办公系统;信息安全;访问控制
1 引言
当下,网上办公自动化系统主要运用于单位内部的各种信息管理,包括办公信息的收集和,通知文件的接收收存,往来函件的发送传递,工作流程的系统设定与管理,单位档案的收存汇总。随着科技的发展,网上办公自动化系统操作已成为现实单位强化运作管理的一种潮流,它的主要工作职责就是负责与信息服务系统进行双向对接,完成对单位信息的收集汇总和处理。网上办公自动化系统所涉及的技术方面包括工作中的相互协作、文档数据库整理与压缩、工作流的设定并监督管理、安全方面的全面监控、数据库维护等内容。运用网上办公自动化系统,使用者能够多方位的相互发送和收集信息,单位信息化的管理要想发展,势必运用网上办公系统与网络接轨,摒弃局域网的限制,建立更加广阔的视野。务必达到办公活动不受时间,空间和位置的约束,以此来提高单位的发展的速度,提升工作的完成质量。因此,在办公系统的安全性能方面就必须有更高的标准要求。
(1)在使用Web应用程序进行工作时必须通过防火墙。
(2) Web应用程序在运行的多个方位之间传递时,及时提供并保留安全凭据。
(3)传递数据时无论在公共网络环境或是内部局域网络必须确保数据的完整性,且不外泄。
(4)对用户实行权限的分级授权。
(5)保护Web应用程序与数据库状态的安全。
(6)确保Web应用程序运行数据的完整性。
(7)根据实际需求,提供随时可对用户权限进行变更和增减的操作方案。
常用的网上办公平台都采用B/S结构, B/S结构因为使用三层结构。在客户端运行Browser,让它可以适应众多网络上使用各种浏览器和各种工作环境用户。
2 办公自动化系统信息安全保障措施
建设网上办公系统是便于使用者在不同的环境中(时间、地点)通过访问网络来获取所需的办公信息,达成办公系统和其他资源的共享。因为办公资源的共享,针对信息保密性、完整性和适用性的安全保障,是建设办公系统必须解决的问题,要想提高办公系统内信息的安全性,必须从电子资源的访问控制、防火墙运行、入侵监控处理、数据保存等方面入手研究。
2.1 资源访问控制策略
访问控制是运用一些手段控制访问量及访问内容的方法之一,主要抵御越权调取资源的用户。访问控制主要保障系统内外部用户对系统资源的查阅、调取,同时针对系统中出现的敏感信息进行访问、备份。在安全管理中,适合系统需求的安全策略是为应对各种不法侵入,或者因用户的失误操作形成的破坏,确保资源安全地、合法地、有效管理和正当使用。
现在现有的访问控制策略的技术主要以三种方式存在;分别为自主访问控制DAC(Discretionary Access Control)、强制访问控制MAC(Mandatory Access Control)以及基于角色的访问控制RBAC(Role—based Access Control)。随着管理信息系统的发展,信息量不断加大,用户的不断增加和市场形态变化,运用DAC和MAC来控制日益艰难,RBAC运用角色媒介完成了使用者与访问权限的逻辑分离,成功弥补了传统访问技术监控中漏洞,简化管理流程,降低管理成本。同时为管理员营造了相对轻松的工作环境,完全可运用于多用户的授权管理。单位为充实办公网的功能和资源,对所有电子资源进行收集整理,依照最小权限原则来进行系统安全维护,用户与用户名相互验证,方便统筹管理和审核。
2.2 防火墙技术
防火墙是建设在网络内外之间的屏障。它的存在是用于控制网络内外之间的数据往来,数据的控制是预先经过防火墙中预先设立的安全规则标准来记性控制的。
TCP/IP协议是一个四层体系结构,其中包含物理接口层、网络层、传输层和应用层,主机之间的信息交流时由协议来完成。防火墙在各层次上完成对信息筛选与监控。扫描流经的数据,对一些不合规则的数据包进行筛选阻截,防止主机因不明数据包对其进行破坏。防火墙运用封锁ICMP包、筛选含有非法意图的数据包经过、关闭相应的TCP或UDP端口等措施,来防止外部群体的访问;暂停对外不安全的业务、完成对内部主机的保护,阻止外部非法访问。
现阶段办公自动化系统资源包括购买的镜像电子数据、远程包库电子资源、自行完成的数据资源以及图书汇总目录等。远程包库电子资源的安全性能如何暂不讨论。经过局域网完成对内部数据的维护、备份、自动更新等,通过在防火墙打开80端口使得用户以远程超文本传输协议访问的方式服务于用户,适用于各种浏览器查找下载,系统管理员可以通过特定的IP完成对相应服务器远程访问维护,通过对特定IP实行IP和相对应的MAC进行捆绑来预防用户的IP被非法盗用。
2.3 入侵检测
通过详细的配置,运用防火墙技术,一般情况下可以在内外网之间提供安全保护,让网络运行处于监管状态,但是网络安全不可以只依赖防火墙。因为防火墙或许有打开的后门成为入侵者进入的门户,所以有必要建立防火墙入侵检测技术。入侵检测是把系统的安全管理能力延伸至安全审核、安全检测、入侵甄别、入侵阻止和报警等纳入该技术负责范畴。
入侵检测系统是针对防火墙的后期加固,运用软件与硬件的组合,组建防火墙后面的另一道防线。入侵检测(Intrusion Detection)经过对网络或系统中的数据进行收集汇总整理并加以分析,筛选出不安全隐患和非法活动迹象,并加以提醒警示。
2.4 数据备份
因为美国“9·11”事件,数百家企业关键数据无法恢复,造成多数企业直接退出市场竞争,公司倒闭。此事件之后,单位对数据资料的保存更加小心,为避免因数据遗失到来损失,花费大量精力物力,数据遗失在现阶段涉及几个方面,如硬盘破损文件丢失、人为删除、格式化、黑客恶意损毁、病毒删除或改变数据、硬盘被盗、天灾、电磁强力干扰等,为防止意外发生,因数据造成不必要的损失,数据备份至关重要。
通常人们会将双机热备份、磁盘阵列备份和磁盘镜像备份等方式与数据备份放在同等的位置上。但在实际操作中,数据存储备份是唯一的,是其他方法不能替代的,硬件备份是运用其他的设备的损毁来换取现有设备的短暂安全,但是如果发生前面所讲到的各种破坏或者设备自身出现问题,数据就会永久丢失,无法修复。
完美成功的备份方式应该是全面的、安全的、多层次的。为避免硬件故障,RAID5是现阶段单位办公系统安全备份的首选。其特点存储性能优越、保护数据能力强和存储成本低;对长期运行的服务系统采用双机热备的方式运行;自动完成对数据的全部备份,在完成本地备份的同时把数据传送异地再次进行备份,并进行光盘刻录,确保万无一失,便于长期保存,随时利用。
3 办公自动化系统的安全设计
网络办公系统采用MySQL数据库,MySQL具有权限管理功能。MySQL 借助grant 和revoke 功能语句控制权限管理,授权采用grant ,而收权权限采用revoke。
3.1 GRANT 权限
Grant 语句的语法为:
grant privileges (columns) on what to user identified by "password" with grant option
该语句可为权限域、级别域、用户域和选项域等4个域匹配权限。
3.2 REVOKE 权限
Revoke 语句的语法为:
REVOKE privileges ON 数据库名[.表名] FROM user_name
该语句可分为权限域、级别域和用户域,3 个不同域的意义及构成与GRANT 语句相同。
3.3 防范SQL 注入攻击
办公自动化系统为了能够提供动态的内容,要依托SQL数据库系统的支持。系统通过结构化查询语言来实现调取数据和存储信息。许多系统会因为用户输入校验不完善和系统权限匹配市场,将会导致网站遭到SQL注入攻击。 SQL注入攻击主要是非法用户借助查询语句,录入某些非法代码以此来欺骗登陆校验或提升自己的访问权限,进而截取网站敏感信息,或者破坏数据库和整个办公自动化系统。因此,不能忽视任何用户输入经表单提交的,或者从数据库中获取的数据。只要动态生成了结构化查询语句,就要对输入语句的合法性进行确认,否则就有可能被数据库注入攻击。下面,结合MySQL 数据库系统,给出相关防范注入攻击的策略。
3.3.1置换单引号
将单引号置换掉,使得用户无法借助单引号来开展恶意攻击。这也是抵御注入攻击的基本策略。可以利用MySQL 中的应用程序编程接口函数mysql_escape _string处理单引号。发送给MySOL 服务器之前,在单引号前增加反斜杠\,如此,服务器就把它作为一个整体的字串,而不会再对它进行单独执行了,也可以修改PHP的配置文件。在php .ini 中开启magic_quotes _gpc ,会在特殊字符前自动增加反斜杠\。
3.3.2 对用户输入字段长度和类型进行限定。
限定用户通过表单输入的字段长度,减少攻击时用户输入恶意代码的长度,并检验输入字段的数据类型,也可以降低利用数据库注入攻击的可能。PHP也具备数据类型检验的函数,如is_numeric等。
3.3.3 加密数据库中的重要内容
有些系统使用安全套接层加密数据,但该技术只加密数据传输过程,不能对数据库中已有数据进行保护。借助PHP 支持的加密算法,能够加密存储的数据,在检索数据时再进行解密,实现对数据的加密功能。
4 结束语
文章主要探讨了网上办公信息安全的整体解决策略,针对网上办公系统的实际要求,主要从资源访问控制策略、防火墙技术、入侵检测和数据备份等几个层面提出相应的安全解决方案,以确保网上办公系统的安全,对同类系统有很好的借鉴参考作用。
参考文献
[1] 吴翔.浅析办公系统中的信息安全.科技广场.2011.11.
[2] 赵金.谈OA办公系统的网络安全.吉林工商学院学报,2010.1.
[3] 王静.浅谈网上办公系统的安全解决方案.信息系统工程,2009.9.
[4] 李美云,李剑,黄超.基于同态加密的可信云存储平台[J].信息网络安全,2012,(09):35-40.
[5] 韩水玲,马敏,王涛等.数字证书应用系统的设计与实现[J].信息网络安全,2012,(09):43-45.
公共信息安全范文6
一年来,在中心领导的正确领导和兄弟科室的帮助支持下,紧紧围绕中心总体工作思路,认真履行科室职责,做好服务工作,完成了2018年的各项工作任务,现将一年来的工作汇报如下:
一、 网站及业务系统软硬件维护
2018年在网站和业务系统维护上面临巨大的挑战,在2018年6月其他区县交易中心网站发生了网站被黑客攻击的事件,并且我中心网站也面临被攻击的可能,在严峻的形式下,我科室积极开展网络安全工作,及时与信息安全管理部门沟通,并与网站技术支持单位共同协作,从技术和制度上加强加固我中心网络安全防护能力,通过多方努力化解了面临的危机,保证了交易中心网站及系统的安全。
在分管领导的指示下,我科室配合软件开发公司对我中心业务系统进行了功能性的升级和更新,此次更新进一步完善了系统功能,简化了工作流程,提高了工作效率。
我科室在中心领导的指导和兄弟科室的帮助下,提起完成了重庆市工程建设项目电子招投标安排部署工作,这标志着我中心已具备使用全市统一的电子招投标系统进行开标、评标的能力。这将让我县工程项目招投标融入大数据互通互联,工作效率、公开透明、市场竞争等方面将得到有效提升。
二、抽取及信息工作
2018年全年共成功完成各类抽取332次。其中完成专家抽取218次,小型预承包商抽取105次,其余中介机构抽取9次。全年在中心网站、重庆市公共资源交易网、重庆市政府采购网等媒体各类交易信息3280余条,
三、信息报送及统计工作
为及时反馈交易状况,做好宣传工作,今年在分管领导的指示下,我科室会同业务科室,将当日产生的开、评标信息、项目评审信息、项目质疑情况、项目挂网情况等工程建设交易活动信息及时上报给县上相关领导。并按月做好交易项目统计工作,将产生的交易项目汇总后制作成分析报表,及时报送县上各部门及领导。
四、不足之处
1、主动学习不够,没有深挖潜力,在业务学习方面有得过且过的落后思想。
2、自身技术还不够硬,特别是网络安全防护知识,还不足以应对可能面临的各种危险情况,还需进一步学习提高。
3、信息科人手不足,长期一个人一个科室,面对工作任务集中的时候,不能面面俱到,往往顾此失彼。
工作的完成离不开领导的关怀和指导、离不开各位同仁的大力支持,在今后的工作中我将一如既往认真努力、尽职尽责,发扬优点改正缺点,争取将工作做得更好。
