網絡安全技術服務方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全技術服務方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全技術服務方案范文
當前,隨著生產智能化程度的不斷提高,工業設備的深度互聯和信息基礎設施的廣泛應用,對信息安全提出了更高層的要求,云計算、移動互聯、大數據、工業控制和物聯網等新技術也為工業領域帶來了新的安全風險。從2010年到2015年期間,一系列的安全事件陸續發生,2010年震驚世界的Stuxnet病毒爆發、2011年的“Duqu”病毒、2012年的Flame火焰病毒、2014年蜻蜓組織利用havex惡意程序對歐美地區千余家能源企業所進行的攻擊,以及2015年末的烏克蘭變電站被攻擊事件,都是典型的影響深遠、波及廣泛、造成經濟損失慘重和社會危害性極高的工控安全事件。
據美國國家網絡安全和通信綜合中心(NCCIC)統計,近5年來,公開安全漏洞數達1300多個,其中2015年安全漏洞就有486個,呈明顯增長趨勢。《2016工業控制系統漏洞趨勢報告》顯示,工業控制系統漏洞正在逐步增多,在2014到2015年之間存在著49%的高速增長。
從國家相關政策頒布來看,自從工業和信息化部451號文之后,國內各行各業對工控系統安全的認識都達到了一個新的高度。電力、石化、制造和煙草等多個行業陸續制定了相應的指導性文件,來同步指導相應行業的安全檢查與整改活動。由此看來,保障工控系統網絡的安全性,實現工控安全的國產化應用是重中之重。
北京中科網威信息技術有限公司(以下簡稱中科網威)是國內最早從事工控安全研究的企業之一,在自主可控工控安全方面有著專業、深入的研究。中科網威認為,工控網絡安全是傳統網絡安全在工控網絡的延伸,指導工控安全建設的理念和方法論是相同的,即所謂的“老套路”。但工控系統又有別于傳統的信息系統,具備一定的特殊性,如資產變化小、資產訪問關系清晰、可靠性要求高、通信協議安全性差等。隨之也產生了一些新問題,傳統的安全防護手段是無法在工控現場環境中直接使用的,例如漏洞掃描、攻擊測試等。這些新的問題只要采用新的方法和手段去解決即可,其整體的理念和方法論與傳統的是相同的。
結合我國傳統網絡安全產品的發展狀況,中科網威提出了自主可控的工控安全理念。網絡安全產品自主化進程經歷了三個階段:無自主可控階段、半自主可控階段和全自主可控階段。如今我國自主品牌的工控安全產品已經完全具備了直接進入第三階段的技術水平,即不但軟件要自主,處理器更要自主。
在愈發嚴峻的網絡安全形勢背景下, 2013年初,中科網威在與申威處理器深度合作的基礎上,打造了基于申威的自主可控品牌――中科神威,以中科神威的自主可控防火墻為例,它已經成功替換了部分以國外x86芯片為技術核心的傳統防火墻,并率先在黨政軍等行業的核心、敏感、要害部門有了批量應用。
網絡安全產品采用自主可控的處理器,也就意味著在信息化時代掌握了事關國家經濟安全的重大技術話語權。專注網絡安全領域多年的中科網威,不僅堅信申威處理器的技術實力和發展潛力,而且敏銳地洞察到自主可控市場潛在的巨大發展空間,并迅速開展了市場推廣工作。
隨著自主可控網絡安全行業的不斷細分,用戶需要的不僅僅是單一的安全產品,更是整體的解決方案與安全技術服務。在這個行業,如果還是一味的銷售產品,不著眼于理念的革新,那么企業將越做越難,尤其是在國產化安全產品競爭如此激烈的時代。為了推動自主可控網絡安全市場的發展,中科網威正與合作伙伴配合,共同推出自主可控的網絡安全解決方案,與合作伙伴合作共贏,共同推動中國網絡安全產業的發展。
中科網威作為網絡安全民營企業,擁有多項工業控制系統安全產品發明專利和核心技術。對于網絡安全行業的自主可控應用,有著自己的見解和應對之道,并在業內率先提出了“芯改變,更安全”的安全理念。正是憑借一系列的突破,中科網威在國內自主可控網絡安全領域中占據了領跑者的地位。
第2篇:網絡安全技術服務方案范文
所謂電子政務就是將機構的管理、服務職能通過計算機技術和網絡技術放到網絡上去完成,解決時間、空間和部門的分割制約,實現工作流程的優化。伴隨著智能電網技術的快速發展,其承載的管理和服務任務日益龐雜,這就對智能電網網絡系統的安全性提出了更高的要求,為此,需處理好共享信息與保密性、開放與隱私保護、互聯與局部隔離的關系,以確保智能電網系統的安全。
二、智能電網的網絡結構特點及其面臨的安全問題
智能電網的網絡結構一般采用“三網架構“,具體包括:內部的電子化和網絡化辦公,之間通過網絡實現的信息共享和實時通信,通過網絡與公眾間進行的雙向信息交流。智能電網系統選用的軟硬件系統本身存在的安全弱點致使其易受到攻擊,具體包括:1.網絡硬件設備如服務器、網絡設備等安全問題;2.操作系統、數據庫系統、通用軟件系統等操作平臺的弱點和漏洞;3.應用軟件系統的脆弱性、網絡協議的開放性、系統的相互依賴性,這些問題都給智能電網網絡安全帶來了隱患。智能電網網絡系統主要面臨來自內部和外部的威脅,機關內部的主要威脅包括:惡意破壞或越權訪問、職權濫用、操作失誤、管理疏漏、軟硬件缺陷及自然災害等。Internet外網的主要威脅有:黑客攻擊、病毒、信息間諜及恐怖活動、信息戰等。
三、智能電網網絡安全目標和安全方案設計原則
為了實現最佳的信息服務效果,智能電網系統必須使信息的擁有者用最小的風險獲得最大的安全利益,并對網絡實行全面訪問控制。通過對網絡流量、重要服務器進行全面監控,將安全策略、軟硬件結合起來,形成統一的防御系統,減少安全風險。為此,網絡安全建設需以實現系統的可用性、完整性、保密性、可記賬性和保障性為目標。可用性:保證智能電網系統正常有效地運行,使用戶得到準確的信息和安全的服務。完整性:保證數據和系統的完整性,杜絕未授權修改的發生。保密性:保證信息不暴露給未授權實體或進程,不向非授權個人或部門泄露信息。可記賬性:智能電網系統保證能夠對實體的全部行為作出記錄,對出現的安全問題提供依據與手段,為拒絕否認、威懾違規、檢測和防止入侵及法律訴訟等提供證據。保障性:在用戶、軟件出現無意差錯或出現惡意入侵或破壞的時候,能夠提供充分的保護。
同時,在智能電網網絡系統的設計與建設中還需保證:第一,實現智能電網內網與外網的安全隔離與訪問控制,保證網絡的邊界安全。第二,定期進行網絡系統漏洞分析、減少惡意入侵的機會。第三,利用入侵檢測系統阻止來自外部的攻擊行為,并阻止內部的違規操作行為。第四,控制敏感信息的無序傳播及對不合法站點資源的訪問。
智能電網網絡系統安全體系建設要在平衡整體與局部利益,避免重復建設,遵循當前目標和長遠目標相結合的基礎上,采用“ 統一規劃、統籌安排、統一標準、相互配套”的原則進行。同時,安全方案要服務于業務需求,保證系統具有以下特性:實用性,在充分完成行政機關辦公工作的業務需求的前提下,避免盲目建設,盲目追求新技術。先進性,保證采用成熟、先進的技術,系統能夠持續發展,系統之間互聯方便。可靠性,從系統結構、技術措施、設備選型、技術服務及維修響應能力等方面考慮,保證系統的可靠性。⑷擴展性,要著眼于當前現有的技術,用最小的代價適應網絡技術不斷的發展,使系統規模擴大時不需重新進行規劃與設計。易用性,保證系統要易于理解、界面簡單實用、功能強大、管理方便簡潔、維護自動容易。規范性,系統的各種軟、硬件應符合國際、國內標準,各子系統要保持業務、功能、標準的統一。
四、智能電網網絡安全技術措施
為實現網絡安全,可以根據ISO七層分層網絡協議對網絡系統進行安全分層,并采取相應的安全措施,具體如下:
(一)物理層安全。該層的安全主要包括環境安全、設備安全和線路安全。特別指出的是,由于智能電網網絡系統各層之間存在著信息資源、服務對象、數據通信等方面的差異,需要把不同保密級別的網絡隔離開。物理隔離就是讓存有用戶重要數據的內網和互聯網從物理上斷開,防止因網絡互聯而被攻擊以及泄密事件的發生。同時,為了保證用戶和互聯網之間能夠完成信息交換,避免信息聯系被屏蔽,需要保證兩個網絡在邏輯上是連通的。
(二)數據鏈路層安全。為了防止入侵者在數據的傳輸過程中竊聽、非法讀取、惡意修改數據,保證數據的真實性、機密性、可靠性和完整性,必須使用數字簽名及認證技術、加密技術對網絡上的數據進行加密處理。另外,可以采用虛擬專用網技術在公網中建立專用網絡,保證數據在安全的“加密通道”中傳播,以有效解決外部用戶安全訪問網絡內部資源的問題。
(三)網絡層安全。防火墻技術:該技術通過建立網絡通信監控系統,根據防火墻的訪問控制策略對進出被保護網絡的數據流進行監控、分析,進而達到保障網絡安全的目的。防火墻系統能夠攔截從被保護網絡向外傳送的信息,并保護網絡資源不受外部的攻擊,管理員根據安全控制策略建立包過濾的準則,并對該準則進行修改、增加或刪除。利用防火墻可以實現以下功能:
使用IP與MAC地址綁定功能,保證控制用戶訪問權限到最低限度,但又不影響用戶的正常訪問;通過防火墻實現對服務器的全面監控,發現并阻止非法操作;利用防火墻采集網絡使用率統計數字和試探的證據。
(四)系統層安全。該層次的安全問題包括操作系統、數據庫及相關應用系統的安全。當前的網絡操作系統存在著“后門“和安全漏洞,為此,應采用具有自主知識產權且源代碼對公開的系統并進行合理的配置,同時要利用漏洞掃描工具定期掃描漏洞及配置更改情況,并進行漏洞的修補和配置的重新優化。而數據庫則必須進行有效的加固以保證重要信息的安全,進而從根本上保證整個信息系統的安全。
(五)應用層安全。身份認證技術:在智能電網系統中,計算機只能識別數字身份,而用戶只有物理身份,為了實現操作者數字身份與物理身份的對應,必須使用身份認證系統。該系統通過綁定證據和實體來標識和鑒別用戶身份,進而實現用戶身份的判別和確認。
第3篇:網絡安全技術服務方案范文
1.1國家衛生部文件
文件明確規定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務、工作要求,工作任務別強調了“三級甲等醫院的核心業務信息系統”應進行定級備案。
1.2浙江省衛生廳文件
為加強醫療衛生行業信息安全管理,提高信息安全意識,以信息安全等級保護標準促進全行業的信息安全工作,提高全省衛生系統信息安全保護與信息安全技術水平,強化信息安全的重要性。2011年6月7日,浙江省衛生廳和浙江省公安廳聯合下發《關于做好全省醫療衛生行業重要信息系統信息安全等級保護工作的通知》(浙衛發〔2011〕131號),并一同下發了《浙江省醫療衛生行業信息安全等級保護工作實施方案》和《浙江省衛生行業信息系統安全等級保護定級工作指導意見》。為進一步指導我省衛生行業單位開展信息安全等級保持工作,浙江省衛生信息中心于2012年4月6日下發了《關于印發<浙江省衛生行業信息安全等級保護工作指導意見細則>的函》。上述文件詳細規定了工作目標、工作流程和工作進度,并明確了醫療衛生單位重要信息系統的劃分和定級,具有很強的指導性和操作性。
2醫院信息安全等級保護
依據上述行業文件要求,全省醫院重要信息系統信息安全等級保護工作由省衛生廳和各級衛生局、公安局分級負責,按照系統定級、系統備案、等級測評、安全整改[1]四個工作步驟實施。
2.1系統定級
2.1.1確定對象
我省醫院信息化發展較早,各類系統比較完善,但數量繁多。將出現多達幾十甚至上百個定級對象的狀況,這與要求重點保護、控制建設成本、優化資源配置[2]的原則相違背,不利于醫院重要信息系統開展信息安全等級保護工作。依據《計算機信息系統安全保護等級劃分準則(GB17859-1999)》等標準,結合我省醫院信息化現狀及發展需要,經衛生信息化專家和信息安全專家多次論證,本著突出重點、按類歸并、相對獨立、節約費用的原則,從系統管理、業務使用者、系統服務對象和運行環境等多方面綜合考慮,把醫院信息系統劃分為以下幾類,如表1所示。
2.1.2等級評定
醫院重要信息系統的信息安全和系統服務應用被破壞時,產生的危害主要涉及公民的個人隱私、就醫權利及合法權益,對社會秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛生信息中心指導意見細則要求[3],即屬于“第二級”或“第三級”范疇。因此醫院信息系統對信息安全防護和服務能力保護的要求較高,結合業務服務及系統應用范疇,實行保護重點、以點帶面原則,參考定級如表2所示。
2.2系統定級備案
省衛生廳及省級醫療衛生單位信息系統、全省統一聯網或跨市聯網運行的信息系統由省公安廳受理備案;各市衛生局及其下屬單位、轄區內醫院信息系統由屬地公安機關受理備案。各市衛生局應將轄區內醫療衛生單位備案匯總情況和《信息系統安全等級保護備案表》等材料以電子文件形式向省衛生廳報備。定級備案流程示意圖如圖1所示。
2.3等級保護測評
醫院重要信息系統完成定級備案后,應依據《浙江省信息安全等級保護工作協調小組關于公布信息安全等級報測評機構的通知》(浙等保〔2010〕9號)選擇浙江省信息安全等級保護工作協調小組辦公室推薦的等級測評機構,啟動等級測評工作,結合所屬等級要求對系統進行逐項測評。通過對醫院系統進行查驗、訪談、現場測試等方式收集相關信息,詳細了解信息安全保護現狀,分析所收集的資料和數據,查找發現醫院重要信息系統漏洞和安全隱患,針對測評報告結果進行分析反饋、溝通協商,明確等級保護整改工作目標、整改流程及注意事項,共同制定等級保護整改建議方案用于指導后續整改工作。對第二級以上的信息系統要定期開展等級測評。信息系統測評后,醫院應及時將測評機構出具的《信息系統等級測評報告》向所屬地公安機關報備。
2.4等級保護規劃建設整改
根據《信息系統安全等級保護實施指南》及省實施方案,結合醫院信息系統的安全需求分析,判斷安全保護現狀,設計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施規劃[4]等,用以指導信息系統安全建設工程實施。引進第三方安全技術服務商,協助完成系統安全規劃、建設及整改工作。建設,整改實施過程中按照詳細設計方案,設置安全產品采購、安全控制開發與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環節[5],將規劃設計階段的安全方針和策略,切實落實到醫院系統的信息安全規劃、建設、評估、運行和維護等各個環節。其核心是根據系統的實際信息安全需求、業務特點及應用重點,并結合醫院自身信息安全建設的實際需求,建設一套全面保護、重點突出、持續運行的安全保障體系,確保醫院系統的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。
3醫院重要信息系統安全等級保護成效
各級醫院按照國家有關信息安全等級保護政策、標準,結合衛生行業政策和要求,全面落實信息系統信息安全等級保護工作,保障信息系統安全可靠運行,提高安全管理運維水平。
3.1明確系統安全保護目標
通過推行各級醫院信息安全等級保護工作,梳理衛生信息系統資產、網絡邊界、網絡安全設備部署及運行狀況。根據系統風險評估、危害的覆蓋范圍及影響性判定安全等級,從而根據標準全面、系統、深入地掌握系統潛在的風險隱患,安全漏洞。明確需要重點保護的應用系統及信息資產,提出行之有效的保護措施,有針對性地提高保護等級,實現重點目標重點保護。
3.2建立安全管理保障體系
安全管理保障體系是開展信息安全工作的保障,指導落實各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門領導,配備信息安全專員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系,包括機房安全管理制度、人員安全管理制度、運維安全管理規范。建立行之有效的安全應急響應預案及常規化的信息安全培訓及預防演練,形成長期的安全風險管控機制。
3.3加強安全意識和管理能力
通過落實等級保護制度的各項要求,認識安全意識在信息安全工作中的重要性和必要性,調動安全保護的自覺主動性,加大安全保護的資金投入力度,優化安全管理資源及策略,主動提升安全保護能力。同時重視常規化的信息安全管理教育和培訓,強化安全管理員和責任人的安全意識,提高風險分析和安全性評估等能力,信息系統安全整體管理水平將得到提高。
3.4強化安全保護技術實施
醫院開展信息安全等級保護工作可加深分級、分域的縱深防御理念,進一步結合終端安全、身份認證、網絡安全、容災技術,建立統一的安全監控平臺和安全運行中心。根據測評報告及建設整改建議,增強對應用系統的授權訪問,終端計算機的安全控制,網絡流量的異常監控,業務與數據安全保障,惡意軟件和攻擊行為的防御、發現及阻擊等功能,深層次提高抵御外部和內部信息安全威脅的能力。
3.5優化第三方技術服務
與安全技術服務機構建立長期穩定的合作關系,引進并優化第三方技術資源,搭建安全保護技術的學習橋梁與交流平臺。在安全技術與管理方面加固信息安全防護措施,完善信息安全管理制度,同時通過安全技術管理培訓強化醫院工作人員信息安全保護意識,提高信息安全隊伍的技術與管理水平,共同為醫院系統信息化建設的快速發展保駕護航。總之,醫院開展信息安全等級保護工作將有效提高醫院信息化建設的整體水平,有利于醫院信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡、個人隱私、醫療資源和社會公共衛生等方面的重要信息系統的安全[6]。
4結束語
第4篇:網絡安全技術服務方案范文
關鍵詞:電子政務;信息安全
一、電子政務概述
近幾年來,在很多國家越來越多的政府官員與技術專家采用e-government或e-governance來代表政府信息化。美國檔案管理員協會認為:e-government是指利用信息技術,通過簡化流程,整合和減少冗余的系統,進而改進政府對公民、企業和政府不同部門的服務以及它們之間的互動。在我國,電子政務多數情況下被定義為借助于電子信息技術而進行的,即政府機構運用現代計算機技術和網絡技術,將其管理和服務職能轉移到網絡上進行,在網絡上實現政府組織結構和工作流程的優化重組,超越時間、空間與部門分隔的制約,全方位的向社會提供高效、優質、規范、透明、符合國際慣例的管理與服務。該定義包含三方面的信息,即電子政務必須借助于電子信息和數字網絡技術,離不開信息基礎設施和相關軟件技術的發展;電子政務處理的是與政權有關的公開事務,除了政府機關的行政事務外,還包括立法、司法部門及其它一些公共組織的管理事務;電子政務并不是簡單地將傳統的政府管理事務原封不動地搬到互聯網上,而是要對其組織結構進行重組,并對業務流程進行再造。
二、電子政務系統信息安全框架
國務院辦公廳已為我國電子政務制訂了“三網一庫”體系,“三網”指政府機關的辦公業務網、政府部門間用于信息交換的辦公業務資源網、以互聯網為依托的政府公眾信息網;“一庫”指政府系統共建共享的信息資源數據庫。從安全的角度出發,電子政務的整個系統框架可規劃為一個四層的安全控制域,第一層是核心決策層,主要為領導決策和指揮提供信息支持和技術服務,這是國家的、最核心、最機密的一層,是政務信息集中存儲與處理的域;第二層是政府辦公業務處理層,是政府內部的電子辦公環境,該層的信息只能在內部流動。一、二層合起來就是內網;第三層是信息交換層,可實現同一領域各個分支部門間的信息傳輸,還可以將信息從一個內網傳送到另一個內網區域,即專網。所涉及的信息主要包括各類公文、一般數據以及政府部門之間的各類交換信息,這些信息必須依據政府內部的各類管理權限傳輸,防止來自內部或外部的非法入侵;第四層是最外層,即公共服務層,是政府部門公共信息的外部網。它面向社會提供的一般應用服務及信息,包括各類公開信息和一般的、非敏感的社會服務。
三、常用的電子政務信息安全技術
1、防火墻技術。在網絡入口處檢查網絡通訊,根據客戶設定的安全規則,在保護內部網絡安全的前提下,保障內外網絡通訊。雖然防火墻技術可提高內部網絡的安全性,但它側重于網絡層至應用層的策略隔離,在安全上仍存在著缺陷,如不能防范網絡內部的威脅,也不能保護網絡免受病毒或其它方式的攻擊。
2、加密/解密技術。目的是防止消息的非授權泄漏,避免各種存儲介質上的或通過網絡傳送的敏感數據被攻擊者竊取。按照密鑰的不同,常用的有對稱密鑰加密技術和非對稱密鑰加密技術。前者的加密密鑰和解密密鑰相同,使用的算法比較簡便高效,密鑰簡短,計算時間短,處理速度快,適合加密/解密大文件,且保密強度高;后者的加密方和解密方使用的密鑰互不相同,它便于密鑰的管理和分發,從而消除了密鑰的安全隱患,加強了保密性,適于對少量數據加密/解密。
3、入侵檢測技術。通過網絡監控軟件或硬件對網絡上的數據流進行實時檢查,并與系統中的入侵特征數據庫進行比較,一旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網絡連接,或通知防火墻系統對訪問控制策略進行調整等。入侵檢測技術雖然能作為防火墻技術的補充,對付來自網絡內部的攻擊,但由于其側重點在于發現網絡攻擊,因此不能代替防火墻執行整個網絡的訪問控制策略。
4、安全掃描技術。通過范圍寬廣的穿透測試檢測潛在的網絡漏洞,評估系統安全配置,以提前主動地控制安全危險,它是整個安全系統不可缺少的組成部分。能協助管理者及早發現網絡上可能存在的安全漏洞,是一種主動的防范措施。
5、防病毒技術。病毒歷來對電子政務的信息安全威脅最大,它往往通過軟盤、光盤、磁帶和Ftp、Email、Web瀏覽等傳播。電子政務網絡設計中的防病毒技術及防病毒產品對網絡安全的影響至關重要。防病毒技術主要通過病毒防火墻,阻止病毒的傳播,檢查和清除病毒。
6、數字簽名技術。為了防止他人對傳輸的電子公文進行破壞,確定發信人的身份,避免假、錯文件的出現,需要采用數字簽名技術。數字簽名是通過一個單向函數對傳送的報文進行處理得到的,用以認證報文來源并核實報文是否發生變化的一個字母數字串。它能夠代替書寫簽名或印章,起到與之相同的法律效用,確定信息發送方身份。采用數字簽名能夠確認信息是由簽名者發送的,以及確認信息自簽名后到收到為止未曾作過任何修改。
參考文獻:
1、朱方洲,李旭軍.電子政務安全保障體系的研究[J].電腦學習,2006(6).
2、侯安才.電子政務安全中的三網隔離技術及應用[J].網絡安全技術與應用,2006(6).
3、李青.電子政務安全策略研究[J].中國人民公安大學學報,2005(4).
4、夏陽,唐亮,張強.電子政務安全及其解決方案[J].計算機工程與設計,2005(1).
第5篇:網絡安全技術服務方案范文
【 關鍵詞 】 工控設備;風險評估;安全隱患;安全防護
Security Risk Assessment and Practice for Industrial Equipment
Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li
(Institute of Computer Application, China Academy of Engineering Physics SichuanMianyang 621900)
【 Abstract 】 Security information incidents occur recently shows, industrial system has become the main target of foreign information security attacks, safety protection for industrial control system must be strengthen. Industrial control system, is not office system, it has many intelligent devices、embedded operating system with various special protocols, especially intelligent equipments which has more high integration、specialty-industry, private kernel and lack efficient control technology for data interface, security risk assessment method and standard for industrial control system has not informed. In this paper, security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system, security risk assessment method is given to assess the full life of 840D.Last,some safety protections for confidential security is advised to adopted to protect industrial system.
【 Keywords 】 industrial equipment; risk assessment; security threat; safety protection
1 引言
近年來,越來越多的數控設備和工控系統應用到工業生產中,它們更多地采用了開放性和透明性較強的通用協議、通用硬件和通用軟件,并通過各種方式與企業管理網、互聯網等公共網絡連接。根據CNNVD搜集的漏洞數據和CNCERT的網絡安全態勢報告,這些工控系統中存在的各種漏洞、病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。
近期披露的信息安全事件表明,信息安全問題已經從軟件延伸至硬件,從傳統的網絡信息系統延伸至工業控制系統、大型科研裝置、基礎設施等諸多領域。對于工控系統以及工控設備的安全性測試和風險評估也變得重要起來。
工控系統與辦公系統不同,系統中使用智能設備、嵌入式操作系統和各種專用協議,尤其是智能設備具有集成度高、行業性強、內核不對外開放、數據交互接口無法進行技術管控等特點,工控系統的安全風險不能直接參照辦公系統的風險評估標準,其評估方法、標準還在不斷研究和探索中。
2 工控設備風險評估模型和流程
2.1 工控設備風險評估模型
工控設備安全保密風險需求主要涉及到三大方面:一是工控設備所處的物理環境安全,如防偷竊、非授權接觸、是否有竊聽竊視裝置等;二是工控設備自身的安全,主要分析包括硬件、軟件、網絡和電磁等方面的安全;三是工控設備的安全保密管理問題,包括其管理機構、人員、制度、流程等。在對工控設備安全保密需求分析的基礎上,本文結合工控設備安全檢測的需求,提出了工控設備安全風險評估框架,如圖1所示。
2.2 工控設備安全保密風險評估流程
針對上述評估模型,本文按照檢測對象、風險分析、檢測方案、結果評估的流程開展工控設備安全保密風險評估,如圖2所示。
1)檢測對象:確定設備用途,分析基本組成;
2)風險分析:根據不同設備類型,按照風險評估模型進行風險分析;
3)檢測方案:依據根據風險分析結果制定檢測方案,準備檢測工具、環境,明確檢測項目、要求和方法;
4)結果評估:依據檢測方案執行檢測,完成所有檢測項,依據檢測結果進行評估,對發現的可疑風險點進行深入檢測,修訂檢測方案,綜合評估。
3 數控設備安全保密風險評估實踐
3.1 檢測對象
數控機床主要用于各種零部件的生產加工,機床包括機床主體和核心控制系統。840D控制系統是西門子公司推出的一款功能強大、簡單開放的數控系統,本次數控設備安全保密風險評估的主要內容也是針對該控制系統。
840D sl將數控系統(NC、PLC、HMI)與驅動控制系統集成在一起,可與全數控鍵盤(垂直型或水平型)直接連接,通過PROFIBUS總線與PLC I/O連接通訊,基于工業以太網的標準通訊方式,可實現工業組網。其各部分硬件組成結構、拓撲結構、軟件系結構統如圖3、4、5所示。
3.2 風險分析及評估
3.2.1 物理安全
通過對840D數控機床設備所處的房間進行物理安全檢查,區域控制符合要求;竊聽竊照檢測,未發現有竊聽竊照裝置;通過對房間的進行聲光泄漏檢測,符合相關安全要求。
3.3.2 系統自身安全
1) 操作系統
脆弱點分析:
* 基本情況
> SINUMERIK 840D PCU采用Windows XP平臺
> 一般不會對Windows平臺安裝任何補丁
> 微軟停止對Windows XP的技術服務
> NCU系統為黑盒系統
* PCU
> RPC遠程執行漏洞(MS08-067)
> 快捷方式文件解析漏洞(MS10-046)
> 打印機后臺程序服務漏洞(MS10-061)
> 系統未安裝任何防火墻軟件和殺毒軟件
* NCU(CF卡)
> SINUMERIK 840D系統的NCU采用的西門子自有的內嵌式Linux系統,該系統在編譯時經過特殊設計,只能在SINUMERIK系統環境下運行;
> 可以對CF卡進行映像和重建,而且新建的CF卡可以在SINUMERIK 840D系統上成功啟動;
> NCU系統中設定了不同的用戶及權限,但內置的用戶及口令均以默認狀態存在系統存在默認用戶及口令;
> SNMP服務存在可讀口令,遠程攻擊者可以通過SNMP獲取系統的很多細節信息。密碼可暴力猜解,snmp服務密碼為弱口令“public”。
風險:
* 攻擊者可以利用漏洞入侵和控制SINUMERIK 840D系統的PCU,獲取到相應操作權限,對下位機下達相應指令;
* 由于在CF卡上有用戶數據的存放、HMI應用程序顯示的數據以及系統日志文件,因此通過對CF卡的復制和研究可還原用戶存放數據、PLC加工代碼等信息;
* 只要通過PCU或者直接使用PC安裝相應的管理軟件,通過網絡連接到NCU,即可使用以上用戶和口令進行各類操作;
* 攻擊者一旦得到了可寫口令,可以修改系統文件或者執行系統命令。
2) 應用系統
* 基本情況
> 應用軟件多種多樣,很難形成統一的防范規范;
> 開放應用端口,常規IT防火墻很難保障其安全性;
> 利用一些應用軟件的安全漏洞獲取設備的控制權。
* 重要應用――Winscp
脆弱點分析:是一款遠程管理軟件,其可通過ssh、SCP、SFTP等加密協議對下位機進行一定權限的系統命令操作; 通過winscp軟件可以對NCU進行遠程管理,需要相應的用戶賬戶和密碼。賬戶和密碼可通過協議漏洞獲取,如表1所示。
風險評估:攻擊者機器上直接登錄winscp遠程控制NCU。進一步,可對下位機NCU進行信息的竊取(G代碼等相關數據均存于此)、系統破壞、上傳病毒、木馬、后門等作進一步攻擊。
* 重要應用――VNC Viewer
脆弱點分析:VNC是一款功能強大的遠程管理軟件。可接受管理人員鍵盤、鼠標等幾乎全部本地的控制操作;840d工控系統上位機所采用的VNC遠程管理軟件為通用軟件,不需要登錄認證。
風險評估:在內網的攻擊者只需一款普通VNC就可以實現對下位機的遠程的、完全的控制。
* 重要應用――HMI
脆弱點分析:HMI(直接發出指令操控機器的計算機軟件),可裝在任何符合條件的PC上,通過工程調試模式(直連管理口)連接NCU,進行配置信息的查看修改。
風險評估:物理接觸、調試,不僅存在信息泄露、甚至可能存在致使系統崩潰,或者植入軟件后門的風險。也可通過網絡配置實現對下位機的控制操作 。
3) 通信協議
> SINUMERIK 840D采用TCP/IP 協議和OPC 協議等通信,通信協議存在潛在威脅;
> 網絡傳輸的信息是否安全;
> 容易讀取到網絡上傳輸的消息,也可以冒充其它的結點。
* 協議――MPI
脆弱點分析:MPI MPI是一種適用于少數站點間通信的多點網絡通信協議,用于連接上位機和少量PLC之間近距離通信。MPI協議為西門子公司內部協議,不對外公開。
風險評估:尚未發現MPI多點通訊協議的安全問題。
* 協議――G代碼傳輸協議
脆弱點分析:G代碼是數控程序中的指令,它是數控系統中人與制造機床的最本質橋梁,是上位機對下位機及加工部件最直接最根本控制;G代碼傳輸采用的是基于TCP/IP協議之上的自定義協議,其傳輸過程中的G代碼裝載、卸載,PC_Panel上按鍵操作等都是進行明文傳輸。
風險評估:攻擊者不僅可以嗅探到完全的G代碼及上位機操作信息。而且可以對傳輸過程中的G代碼進行篡改、重放,致使下位機接收錯誤的命令和數據,從而使得工業控制系統不可控,生產制造不合格甚至帶有蓄意破壞性的工件。
4) 其他部分
* 數據存儲
脆弱點分析:生產加工數據明文存放于PCU上,缺少必要的安全增加及保護措施。
風險評估:數據存在被非法獲取的隱患。
* 特定部件
脆弱點分析:G代碼在CF卡上有臨時備份,通過數據處理,有可能獲取到加工參數。
風險評估:可通過非法拷貝等方式對加工數據進行獲取。
* 硬件安全
脆弱點分析:是否存在危險的硬件陷阱,如邏輯鎖等安全問題。
風險評估:目前尚未發現。
3.3.3 管理安全
1)人員安全意識 工業控制系統在設計時多考慮系統的可用性,普遍對安全性問題的考慮不足,缺乏相應的安全政策、管理制度以及對人員的安全意識培養。
2)安全審計 缺少對系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性等方面的安全審計。
3)安全運維與管理 缺少對賬號與口令安全、惡意代碼管理、安全更新(補丁管理)、業務連續性管理等關鍵控制領域實施制度化/流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設。
4)核心部件使用管理 缺乏對類似NCU的CF卡這些核心部件的使用、復制和保管進行安全管理,防止非信任人員的接觸的管理規定。
4 工控設備安全防護建議
1)建立縱深防御安全體系,提高工控系統安全性; 2)針對核心部件加強安全管理,進行嚴格的訪問控制;3)加強網絡脆弱性的防護、采用安全的相關應用軟件 、嚴格控制NCU服務; 4)加強對工業控制系統的安全運維管理; 5)建立有效的安全應急體系;6)從設備采購、使用、維修、報廢全生命周期關注其信息安全,定期開展風險評估,工控系統全生命周期如圖6所示。
5 結束語
隨著信息技術的廣泛應用,工控系統已經從封閉、孤立的系統走向互聯體系的IT系統,安全風險在不斷增加。做好工控系統安全保密風險評估非常重要,研究工控設備的風險評估模型、流程,開展數控設備的安全保密風險評估實踐,可以為工控系統的安全保密風險評估奠定重要的基礎。
參考文獻
[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. (2011205221), http: //.cn/.
[2] CNCERT. 2010年中國互聯網安全態勢報告[Z/OL].(2011205221), CERT. 2010 report on the Internet Security Situation of China [Z/OL]. (2011205221), .cn.(in Chinese).
[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner, Alice Goguen, and Alexis Feringa. National Institute of Standards and Technology(NIST),2002.
[4] GB/T 20984―2007.信息安全技術信息安全風險評估規范[S].北京:中華人民共和國國家質量監督檢驗檢疫總局,2007.
[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing: General Administration of Quality Supervision,Inspection and Quarantine of the Peopleps Republic of China,2007. (in Chinese)
[6] 趙冬梅,張玉清,馬建峰.網絡安全的綜合風險評估[J].計算機科學, 2004,31(7): 66-69.
作者簡介:
謝彬(1966-),女,四川安岳人,中國紡織大學,大學本科,副主任,高級工程師;長期從事信息系統軟件測評、信息系統安全保密相關的技術研究,負責了多個項目的技術安全保密檢測、安全保密防護方案設計以及相關技術研究工作;主要研究方向和關注領域:信息安全相關技術、信息系統安全、工控系統安全。
賀志強(1983-),男,四川綿陽人,四川大學,碩士,測評工程師,工程師;主要研究方向和關注領域:信息安全技術、信息安全及相關技術。
第6篇:網絡安全技術服務方案范文
In-Stat分析師李敏:融合通信現在已經成為一個公認的理念,它為企業和行業部門提供了良好的溝通平臺。
IDC中國電信研究部研究主管經理鹿強:對于廠商而言,目前第一步并不是競爭問題,而是應該合力推廣融合通信這個理念,把融合通信炒火,一起將市場打開,形成產業鏈,做大市場。
北京金融街威斯汀大酒店電腦部經理張立興:融合通信系統的應用為用戶帶來的裨益必然不能直接體現在收入上,但是在改善企業內部協調水平、提高服務質量方面,卻能夠帶來革命性的變化。
2006年整個IT業和通信業界曝光率最高的名詞,或許非“融合通信”莫屬。從有志于融合通信的設備廠商和解決方案提供商發出的聲音看來,融合通信盡管尚未市場化,卻已經是一塊巨大的蛋糕。
一系列數據為融合通信的應用和推廣的必要性提供了解釋。據Sage數據研究機構的統計,平均每個人身上共攜帶6.4種不同的通信設備,包括固定電話、手機、電郵、即時通信、Skype、辦公電話等。其中企業內部約有27%的員工需要到外地洽談生意;即使坐在辦公室,也需要使用工作時間的52%選擇不同的方式同人聯絡,但有36%的幾率無法在第一時間聯系上對方。累積下來,平均每月有22%的工作會被拖延。
“融合通信這個理念的出現,其實是要解決用戶在聯系方面的困難。現在的通信方式太多了,雖然有許多的方法可以和對方聯系,但是又不知道用哪種方法最為便捷,這樣就造成時間損耗,融合通信能夠讓這些通信方式更加有效。”In-Stat分析師李敏說。
盡管各廠商對“融合通信”的包裝形式略有差異,但分析師認為,以“融合通信”為代表的一系列新名詞背后蘊涵的主旨,卻都是指將話音業務、在線狀態、實時通信(即時消息、視頻和應用共享)和準實時通信(電子郵件、語音郵件和短消息業務)等通信手段融為一體的新型通信方式。
在設備廠商和解決方案提供商的搖旗吶喊之下,融合通信所帶來的種種便利迅捷的理念正在迅速被植入行業用戶的腦海中,在2006年更是進一步深入人心。融合通信的應用似乎已經時不我待。
融合通信提升企業效率
“融合通信現在已經成為一個公認的理念,它為企業和行業部門提供了一個溝通的良好平臺,為企業工作效率的提高錦上添花,具有很好的發展前景。”對于融合通信為行業用戶帶來的變革,李敏并不吝贊美之詞。
李敏認為,除了減少溝通的時間損失,融合通信還可以有多種應用,比如融合通信還可以改進傳統call-center(呼叫中心)的應用。通過分布式的call-center,本地用戶可以直接接通本地服務,節約了資源。另外,行業用戶網絡內部、外部的溝通非常頻繁,可以通過IP融合通信增進通信的有效性。此外,融合通信還可將通信系統和企業CRM等應用系統集成,平臺化的程度非常高。
“通過融合通信,企業在基于一個良好的虛擬局域網基礎上,實現了短信互通、VoIP等多種溝通方式,這對企業來說是有一定吸引力的,尤其對于公安、交通等政府部門和一些垂直行業用戶而言,融合通信整體解決方案對提高政府部門和企業的工作效率提供了很好的業務平臺。”李敏說。
盡管大部分行業用戶還在逐漸接受和理解融合通信的理念,但是有一部分敢于吃螃蟹的行業和企業已經開始了對融合通信的初步運用。
北京威斯汀金融街大酒店采用IP和無線技術,為客人提供一系列快速、靈活、個性化的通信服務。采用融合通信解決方案后,入住威斯汀大酒店的客人可通過電話、筆記本電腦、掌上電腦等多種設備實現隨時隨地的通信互連。“我們將酒店傳統的電話系統、客房寬帶網絡及酒店管理通信網絡加以整合,集成于統一的融合網絡之中,以便客人和酒店員工隨時隨地享用通信服務,實現網絡連接。”威斯汀大酒店電腦部經理張立興說。
使用融合通信技術提高管理效率的還有安利(中國)、北京東城區城市管理監督中心、新疆國稅、廣東省中山市的小欖人民醫院等企事業單位。安利(中國)采用IP解決方案后,從安利總部打電話到180多家店鋪所在的任何一個城市,都不再需要付長途費用:所有的語音呼叫先通過安利企業網絡“零成本”地與目標城市連接,然后再通過該城市的IP電話網關實現本地呼叫。而北京東城區城市管理監督中心使用的基于無線移動網絡技術、用于現場信息采集和傳送的專用工具――城管通,集成了電話接聽、短信群呼、位置定位、圖像采集等多項功能,實現了城市數字化管理。
融合通信為率先運用新技術的用戶帶來了甜頭。張立興認為,融合的通信網絡為威斯汀酒店帶來的效益不僅體現在避免硬件資源的浪費、節約重復建設的成本和提高設備利用率及管理效率這些方面,更體現在對酒店服務質量的提升上。“作為第一家采用全IP通信的五星級酒店,我們的客房IP電話在為客人提供更好的服務的同時,還提高了入住客人的體驗感,給予客人全新的科技享受,這樣就提升了客人的滿意度和威斯汀的競爭優勢。”張立興說。
概念推廣阻力重重
但是,融合通信的現實發展是否真的如數據顯示的如此時不我待?融合通信解決方案提供商們的各種產品對于行業用戶是否真的具有巨大的吸引力?
分析師認為,融合通信離被用戶普遍接受到規模應用至少還需要2~3年的時間。“對于融合通信市場來說,IP-PBX從2006年開始有一定量的銷售,但是融合通信前期的推廣和最后的市場銷售中間還有一個時間過渡和用戶接受的過程,因此預計到2008年才會出現融合通信的規模應用。”李敏說。
“對于融合通信,業界還有一種提法是‘統一通信(Unified Communications)’。”IDC中國電信研究部研究主管經理鹿強指出。通信和IT行業的發展,從當初的解決方案,發展到集成系統,而后又是融合的概念,提的概念逐漸寬泛。為了使融合這個概念進一步落地,一些廠商提出了統一通信的概念,這是使融合進一步得到實現的步驟。統一通信得到了思科,北電等電信設備系統廠商的支持,同時也有微軟等軟件廠商進一步加入。“我認為,融合通信和統一通信是兩個不同的概念,統一通信的概念相對融合通信來得更具體些。統一通信對一些因辦公需要進行的語音、電郵、短信、即時通信等溝通方式進行統一。”鹿強認為。
李敏認為,用戶對于融合通信這種IP應用目前的認知度并不是很高。“用戶都知道融合通信能夠提高效率,但是畢竟提高效率是一個不能夠被感知的東西。因此,在一些垂直行業用戶、特別是大用戶間,融合通信的接受程度并不高。”
鹿強則從用戶使用意愿角度指出了融合通信推廣所面臨的困境。“融合通信作為一個更大的工作平臺,看似無時無處的方便也要求更為復雜的應用過程,而目前我國真正熟練使用計算機的人群是有限的,這對用戶的能力是一個挑戰。”此外,鹿強還指出,融合通信對用戶的使用習慣也存在挑戰,用戶是否真的愿意無時無刻工作,還是保持一定生活空間?而且如果一個用戶能夠充分使用統一通信帶來的各種應用,這樣自然會帶來公司的效率提高,以及一些潛在的回報,但如果使用不夠充分,則相應的設備等投資反而會有所浪費。
成本問題也許是困擾融合通信廠商的最重要因素。李敏指出,融合通信推廣的困難在于用戶對于這種新事物的接受程度上,其所宣揚的節約通信資費等概念目前對用戶的吸引力正在減小,運營商也為企業提供打包的通信服務,價格很有競爭力。目前行業用戶在選擇設備商和解決方案提供商時所看重的是其是否做過一些成功的案例。
對于融合通信推廣面臨的用戶認識問題,率先應用融合通信解決方案的用戶表示理解。 張立興認為,融合通信系統的應用為用戶帶來的裨益必然不能直接體現在收入上,但是在改善企業內部協調水平、提高服務質量方面,卻能夠帶來革命性的變化。“其實現在不少新建的高級酒店都開始規劃融合通信應用。”張立興說。
諸多廠商誰領先機?
盡管融合通信尚未打開市場,但意圖在融合通信業務分得一塊大蛋糕的眾廠商們已經摩拳擦掌,迫不及待地想要做先入為主者,并紛紛推出自己的產品。對此分析師李敏指出,由于業務方向的不同,不同廠商的融合通信優勢和側重點也會有所不同。
在通信設備廠商方面,李敏認為,基于自己的電信背景和本身的技術特點的阿爾卡特等通信設備廠商,由于考慮到了企業網和電信網絡的結合等方面的很多問題,將來可能做得會好比網絡設備廠商和IT廠商好些。
對于網絡設備廠商,李敏指出,Avaya作為傳統PBX廠商,在從傳統PBX到IP-PBX的轉化過程中,開發的企業應用相對比較豐富,因此對于call-center的應用會比較有優勢。而對于以生產路由器為主的思科,由于它有一套自己的Call Manager軟件系統,因此基于自己的路由器、交換機和軟件來做融合通信或VoIP,優勢也比較明顯。
作為傳統軟件廠商,微軟并沒有自己的硬件優勢。分析師認為,微軟可能會利用自己的桌面優勢,采用粘制性的方法推廣其融合通信產品。由于微軟融合通信解決方案的底層設備需要硬件支撐,所以它如果想在中國推融合通信,必然需要尋找一些合作伙伴。
設備廠商和解決方案提供商各有優勢,但融合通信的技術應以何為關鍵?鹿強指出,融合通信主要以IP技術為核心技術,而其中IP-PBX是核心設備。目前我國的IP核心技術正在以每年兩位數的幅度在增長,市場潛力巨大。
盡管中國的IP核心技術增長迅速,但根據IDC對地區的IP-PBX(IP分組交換機)進行評估分析,中國的IP關鍵技術尚未完善,發展仍舊不容樂觀。“根據我們的分析,如果一個地區的IP交換機占該地交換機比例的30%以上,那么這個地區具有較好的推廣融合通信的基礎,2006年亞洲這個比例已經超過50%,而其中,中國的IP-PBX比例是相對比較低的。”鹿強說。
IP核心技術水平較低,再加上設備廠商和解決方案廠商們在融合通信的定義和理念上存在分歧,造成了原本就面臨用戶推廣困境的融合通信市場化進程更為艱辛。對此分析師建議,其實目前各廠商應該合力推廣融合通信,而不是相互競爭。“對于廠商而言,目前第一步并不是競爭問題,而是應該合力推廣融合通信這個理念,把融合通信炒火,一起將市場打開,形成產業鏈,做大市場。市場做起來、有了規模之后,再考慮競爭問題并不遲。”鹿強說。
鏈 接:融合從哪里入手?
多WAN寬帶路由器從2005年開始即漸漸為國內網吧所采用,隨著2006年政府規范網吧的政策朝著大型化、合法化、規范化的方向發展,多WAN寬帶路由器已成為新設網吧的標準寬帶接入設備。在企業市場方面,眾多企業用戶也開始漸漸接受多WAN VPN的概念,以多條線路作為VPN建設的平臺,采用多WAN寬帶路由器實現寬帶接入。
然而由于各種網絡攻擊的肆虐,如今路由器的概念已經不再是只提供接入,而必須在安全方面提供防護,否則連路由器本身的基本功能也無法發揮。除了強調傳統的多WAN接入功能之外,由于定位為中高級的寬帶接入設備,因此多WAN寬帶路由器也需要增加網絡安全方面的相關功能,如防攻擊、權限控管等。
市場上的安全產品如今五花八門、種類繁多,防病毒、防火墻、信息加密、入侵檢測、安全認證等無所不有,但從其應用范圍來看,安全廠商們所提供的方案大多是面向政府、電信、教育、銀行、證券等行業用戶和大型企業用戶,針對中小企業的安全解決方案寥寥無幾。由于分布較散,購買力相對較弱,這部分用戶一直沒有得到各大安全廠商的重視。
“多WAN寬帶路由器提供安全功能,是回應市場需求的一個必然發展趨勢。”在網吧路由器市場占據很高市場份額的俠諾科技公司行銷總監張建清認為。
據了解,俠諾科技的產品在網絡安全方面就提供“適當”的安全功能,其中包括:BT及大量下載防制功能、蠕蟲防制功能、沖擊波防制功能、常見即時應用一指鍵防制功能、ARP防制功能、ARP偵測機制等。“事實上,俠諾科技一直是市場上加入網絡安全功能的領頭羊,除了防火墻外,還提供各種網絡安全功能。俠諾科技的技術服務人員也在隨時關注并研究新發生的攻擊軟件及手法,提供防制方式的指導。”張建清告訴記者。
第7篇:網絡安全技術服務方案范文
關鍵詞:網絡金融;特征一、網絡金融概述
一)網絡金融內涵所謂網絡金融,又稱電子金融(e-finance),從狹義上講是指在國際互聯網(Internet)上開展論文的金融業務,包括網絡銀行、網絡證券、網絡保險等金融服務及相關內容;從廣義上講,網絡金融就是以網絡技術為支撐,在全球范圍內的所有金融活動的總稱,它不僅包括狹義的內容,還包括網絡金融安全、網絡金融監管等諸多方面。它不同于傳統的以物理形態存在的金融活動,是存在于電子空間中的金融活動,其存在形態是虛擬化的、運行方式是網絡化的。它是信息技術特別是互聯網技術飛速發展的產物,是適應電子商務(e-commerce)發展需要而產生的網絡時代的金融運行模式。
二)網絡金融的特征1、業務創新。網絡金融以客戶為中心的性質決定了它的創新性特征。為了滿足客戶的需求,擴大市場份額和增強競爭實力,網絡金融必須進行業務創新。2、管理創新。管理創新包括兩個方面:一方面,金融機構放棄過去那種以單個機構的實力去拓展業務的戰略管理思想,充分重視與其他金融機構、信息技術服務商、資訊服務提供商、電子商務網站等的業務合作,達到在市場競爭中實現雙贏的局面。另一方面,網絡金融機構的內部管理也趨于網絡化,傳統商業模式下的垂直官僚式管理模式將被一種網絡化的扁平的組織結構所取代。3、市場創新。由于網絡技術的迅猛發展,金融市場本身也開始出現創新。一方面,為了滿足客戶全球交易的需求和網絡世界的競爭新格局,金融市場開始走向國際聯合。另一方面,迫于競爭壓力一些證券交易所都在制定向上市公司轉變的戰略。4、監管創新。由于信息技術的發展,使網絡金融監管呈現自由化和國際合作兩方面的特點:一方面過去分業經營和防止壟斷傳統金融監管政策被市場開放、業務融合和機構集團化的新模式所取代。另一方面,隨著在網絡上進行的跨國界金融交易量越發巨大,一國的金融監管部門已經不能完全控制本國的金融市場活動了。
二、網絡金融的風險從某種意義上來說,網絡金融的興起使得金融業變得更加脆弱,網絡金融所帶來的風險大致可分為兩類:基于網絡信息技術導致的技術風險和基于網絡金融業務特征導致的經濟風險。首先,從技術風險來看,網絡金融的發展使得金融業的安全程度越來越受制于信息技術和相應的安全技術的發展狀況。第一,信息技術的發展如果難以適應金融業網絡化需求的迅速膨脹,網絡金融的運行無法達到預想的高效率,發生運轉困難、數據丟失甚至非法獲取等,就會給金融業帶來安全隱患。第二,技術解決方案的選擇在客觀上造成了技術選擇失誤風險,該風險表現在兩個方面:一是所選擇的技術系統與客戶終端軟件不兼容,這將會降低信息傳輸效率;二是所選擇的技術方案很快被技術革新所淘汰,技術落后將帶來巨大的經濟損失。其次,從經濟風險來說,網絡金融在兩個層面加劇了金融業的潛在風險:其一,網絡金融的出現推動了混業經營、金融創新和全球金融一體化的發展,在金融運行效率提高,金融行業融合程度加強的同時,實際上也加大了金融體系的脆弱性;其二,由于網絡金融具有高效性、一體化的特點,因而一旦出現危機,即使只是極小的問題都很容易通過網絡迅速在整個金融體系中引發連鎖反應,并迅速擴散。
三、網絡金融發展存在的問題務規模有限,收入水平不高,基本上處于虧損狀況。第二,網上金融業務具有明顯的初級特征。我國的網絡金融產品和服務大多是將傳統業務簡單地“搬”上網,更多地把網絡看成是一種銷售方式或渠道,忽視了網絡金融產品及服務的創新潛力。在主觀方面,主要存在兩點問題:第一,未能進行有效的統一規劃。我國網絡金融的發展因缺乏宏觀統籌,各融機構在發展模式選擇、電子設備投入、網絡建設諸方面不僅各行其道,甚至還相互保密、相互設防,造成信息、技術、資金的浪費和內部結構的畸形,不僅不利于形成網絡金融的發展,還有可能埋下金融業不穩定的因素。第二,立法滯后。一方面與市場經濟發達國家相比,我國網絡金融立法滯后。我國此類法律極為有限,只有《網上證券委托暫行管理辦法》、《證券公司網上委托業務核準程序》等幾部法規,并且涉及的僅是網上證券業務的一小部分。另一方面與傳統金融業務健全的法律體系相比,網絡金融立法同樣滯后。面對網絡金融的發展和電子貨幣時代的到來,需要進一步研究對現行金融立法框架進行修改和完善,適當調整金融業現有的監管和調控方式,以發揮其規范和保障作用,促進網絡金融積極穩妥地發展。
四、建議應采取的對策針對上述風險和問題,提出以下幾點對策。(1)確立傳統金融與網絡金融并行發展的戰略。(2)建立專門的指導和管理機構。(3)加快網絡金融立法。(4)造就復合型金融人才。(5)改革分業管理體制。(6)加快電子商務和網絡銀行的立法進程。(7)銀監會應提高對網絡銀行的監管水平。(8)大力發展先進的、具有自主知識產權的信息技術,建立網絡安全防護體系。(9)建立大型共享型網絡銀行數據庫。(10)建立網絡金融統一的技術標準。
【參考文獻】
第8篇:網絡安全技術服務方案范文
【關鍵詞】信息安全;風險;應對
隨著計算機應用范圍日益廣泛,社會發展和人們生活已經離不開信息網絡。信息技術成為行政機構中重要的資源之一,很多行政機構都大量引入了信息化辦公手段,運行于系統、網絡和電腦的數據安全成為了行政機構信息安全面臨的重大問題。盡管很多行政機構都認識到信息安全風險管理的重要性,也紛紛從人員配置、資金投入、技術更新等多方面加強對信息安全風險的管理,但是行政機構信息安全風險并沒有隨之消失,相反卻在不斷地增長。現在,機構在越來越多的威脅面前顯得更為脆弱。網絡攻擊日益頻繁、攻擊手段日益多樣化,從病毒到垃圾郵件,這些方式都被用來竊取機構信息,如不提前防范,一旦被襲,網絡阻塞、系統癱瘓、信息傳輸中斷、數據丟失等等,無疑將給行政機構業務帶來極大的負面影響和經濟損失。因此,行政機構信息安全風險控制勢在必行,它不僅是行政機構需要關注的問題,也是涉及到國家安全的重要課題。
1.行政機構信息安全的風險分析
1.1 黑客的入侵和攻擊
行政機構面臨著一系列的信息安全威脅,其中最普遍的一種信息安全威脅就是病毒入侵。黑客技術的網絡資源隨處可見,很多年輕人處于好奇或者出于牟利目的,從網上購得黑客技術,對行政機構網站進行攻擊。
1.2 行政機構不重視信息安全的風險問題
目前,很多行政機構都加強了信息化建設,通過資金投入、技術改造等多方面來加強行政機構信息安全。但是信息風險不僅僅是技術層面的東西,更重要是人的意識層面對安全風險的認識。在行政機構中,很多部門和個人依然對信息安全風險問題不重視,有的認為信息風險安全是網絡部門的事情,與其他部門或者員工沒有關系,而且也幫不上忙;有的人認為對信息安全的宣傳有夸張的嫌疑,真正遭受過網絡攻擊的行政機構屈指可數,肯定不會發生在自己身上;有的行政機構缺乏信息安全風險管理的制度建設,沒有出臺具體的故障制度,造成員工無章可循,不知道怎么應對網絡信息風險,出現問題也不知道如何化解和處理。有的行政機構盡管已經制定了規章制度,但很多都是流于形式,沒有針對性,也沒有操作性,長年累月不進行更新和修改,滯后于信息化時展的要求。
1.3 行政機構信息安全權限的規定不嚴謹
很多行政機構在實際工作制定了大量的安全管理規定,但是在實際操作中,對行政機構員工以及信息服務人員的口令卡、數據加密等要求很難得到落實。部分員工長期使用初始口令、加密強度較弱的口令,有的員工登陸系統時使用別人的賬號,使用完畢后也沒有及時關閉賬號,也不關電腦,外來人員很容易登陸電腦竊取行政機構機密文件,機構內部也缺乏信息安全風險管理的意識,員工可以任意下載行政機構資料,可以隨意將行政機構資料設置成共享狀態,在拷貝行政機構文件或者數據時,也沒有經過殺毒過程,直接下載或者用郵件發送。甚至很多行政機構員工在上班時間看電影、玩游戲、下載文件比較普遍,員工隨意打開一些不安全的網站,隨意接受一些來源可疑的郵件,成病毒傳播、木馬下載、賬號及密碼被盜,自己還渾然不知。這些不良行為都嚴重威脅行政機構的信息安全,加上現代行政機構人員流動比較頻繁,員工跳槽很普遍,很多員工離職后也沒有上交機構賬號和口令卡,依然可以登錄原機構系統,給行政機構網絡風險帶來隱患。行政機構廢棄不用的一些安全設備也沒有及時進行加密和保護處理,里面的數據沒有及時進行刪除,安全設備隨意放置,外人很容易從這些設備中還原和復制原有的信息資源。
1.4 行政機構缺乏對信息技術裝備和設施的監控與維護
很多行政機構為了加強信息安全風險管理,都有針對性的部署了一些信息安全設備,然后這些從安裝上就很少有人問津,設備的運行狀況和參數設置都不合理,都是根據系統提示采用默認設置,由于行政機構與行政機構之間有很大的不同,行政機構之間的信息安全風險也相差迥異,采用默認狀態無法照顧行政機構的真實情況,不能從源頭上有針對性的加強信息安全風險管理。很多行政機構缺乏對安全設備以及運行日志的監控,不能有效的根據設備運行狀況進行細致分析,從而采取適當措施加強信息風險管理。總之,在行政機構信息安全風險管理中被動保護的情況比較普遍,缺乏主動防御的意識,而且對于大多數中小行政機構而言,行政機構資金和規模都比較小,面臨激烈的市場競爭,行政機構將主要精力用于市場開拓和產品的影響,以期在短時間內獲得可觀的利潤,行政機構在信息安全風險上的投人比較少,很多設備都老化了,線路都磨損嚴重,卻沒有得到及時更新和維護,為行政機構安全風險管理埋下了隱患。
2.行政機構信息安全風險的應對
2.1 機構人員須提高個人信息安全意識
維護行政機構計算機網絡信息安全是行政機構每一位員工都應該關注的課題,行政機構要加強信息安全風險防范的宣傳,讓每一位員工都對基本得到網絡安全信息技術有所了解,對計算機風險的重要性有清楚的認識,每位員工尤其是網絡技術服務人員要把口令卡和賬號管理好,不能泄露或者遺失,使用者的網絡操作行為和權限都要進行一定的控制,防止行政機構員工越權瀏覽機構信息,對于一些涉及行政機構機密的文件要及時進行加密,對文件是否可以公開訪問進行限制,減少不合法的訪問。還要及時清理文件,一些廢棄的或者沒有價值的文件要及時進行刪除,要徹底刪除不能僅僅放到回收站,保證其他人無法通過復制或者還原電腦設備中的信息。對于行政機構電腦設備要注意防磁、防雷擊等保護措施,行政機構職工要對電腦設備的基本保養和維護措施有了解,不要在過于潮濕、氣溫過高的地方使用電腦,要懂得如何對電腦系統繼續軟件更新和漏洞的修補,從而保證計算機處在最優的防護狀態,減少病毒入侵。
2.2 加強信息安全基礎設施建設資金投入
行政機構要加強信息安全風險防范的資金投入,資金投入主要用于行政機構日常安全信息管理、技術人員的培訓以及安全設備的購置等等,每年行政機構從行政機構利潤中拿出一定比例的資金來加強信息安全的投入,投入的資金與行政機構規模、行政機構對信息安全的要求息息相關。針對很多機構信息化設備老化,線路損耗嚴重的現實情況,行政機構要加強線路的維護和改造,購買新的防火墻和殺毒軟件等等,在采購和使用信息安全產品時,行政機構一定要重視產品的管理功能是否強大、解決方案是否全面,以及行政機構安全管理人員的技術水平。例如行政機構可以購入UPS電源,突然停電時可以利用該電源用來應急,以保證機構信息化建設中系統的正常運行和設備技術的及時更新。
2.3 加強行政機構網絡的防火墻設計
由員工網絡操作不當造成的黑客入侵、商業機密泄露也威脅著行政機構的生存和發展。一直以來,行政機構信息安全解決方案都需要來自多個制造商的不同產品,需要多個工具和基礎結構來進行管理、報告和分析。不同品牌、不同功能的信息安全設備被雜亂無章地堆疊在行政機構網絡中,不但兼容性差,還容易造成行政機構網絡擁堵。正確地部署和配置這些復雜的解決方案十分困難,而且需要大量時間。另外,大量安全產品互操作性不足,無法與已有的安全和IT基礎結構很好的集成。這樣組成的解決方案難以管理,增加了擁有者總成本,并可能在網絡上留下安全漏洞。行政機構可以引入終端安全管理系統進行信息安全風險的防范,例如瑞星終端安全管理系統采用了統一系統平立功能模塊的設計理念,集病毒查殺雙引擎、專業防火墻和信息安全審計等于一身,具有網絡安全管理、客戶端行為審計、即時通訊管理和審計、客戶端漏洞掃描和補丁管理等功能;行政機構信息安全新品還采用了模塊化的新形式,行政機構可以根據自己的需求定制相應的功能組合;通過瑞星在線商店,行政機構也可以隨著信息安全需求的變化添加所需模塊,減輕首次購買的支付成本及后續的升級成本。
總之,隨著網絡應用的日益普及,行政機構信息安全風險問題日益復雜。要切實加強對信息安全風險的認識,從規章制度、技術手段以及宣傳教育等多方面加強行政機構信息安全風險防范,確保網絡信息的保密性、完整性和可用性。
參考文獻
[1]徐瑋晟,張保穩,李生紅.網絡安全評估方法研究進展[J].專家新論,2009(10):50-53.
[2]張,慕德俊,任帥等.一種基于風險矩陣法的信息安全風險評估模型[J].計算機工程與應用,2010,46(5):93-95.
第9篇:網絡安全技術服務方案范文
關鍵詞:信息安全;等級保護;等級測評;實踐教學;綜合實訓
DOIDOI:10.11907/rjdk.161717
中圖分類號:G434
文獻標識碼:A文章編號文章編號:16727800(2016)009017303
基金項目基金項目:貴州省科技廳社發攻關項目(黔科合SY字2012-3050號);貴州大學自然科學青年基金項目(貴大自青合字2010-026號);貴州大學教育教學改革研究項目(JG2013097)
作者簡介作者簡介:張文勇(1973-),男,貴州臺江人,碩士,貴州大學計算機科學與技術學院講師,研究方向為網絡與信息安全;李維華(1961-),男,貴州貴陽人,貴州大學計算機科學與技術學院高級實驗師,研究方向為網絡與信息安全;唐作其(1980-),男,貴州興義人,碩士,貴州大學計算機科學與技術學院副教授,研究方向為信息安全保障體系。
0引言
信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法,開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現。信息安全學科要求學生不僅要具備很強的理論知識,更應具備較強的實踐能力。現階段很多高校在理論教學上有較好的培養方法和模式,學生具備良好的理論基礎,但在實踐教學中由于各課程的銜接和關聯較少,盡管部分學校開設了信息安全實訓或信息安全攻防實踐等課程,但基本都是做一些單元實驗,僅局限于某一方面的技能訓練,沒有從全局、系統的角度去培養學生綜合運用各種信息安全知識解決實際問題的能力[15]。從貴州大學信息安全專業畢業生就業情況調查反饋信息來看,絕大多數畢業生主要從事企事業單位的信息安全管理、信息安全專業服務等工作,少數畢業生從事信息安全產品研發,或繼續碩士博士深造,從事信息安全理論研究。用人單位普遍反映學生的基本理論掌握相對較好,但實際操作技能、綜合分析能力欠缺。為了解決目前這種狀況,筆者根據長期從事信息安全等級保護項目實施工作實踐,提出在信息安全專業的實踐教學環節中引入信息安全等級保護相關內容。
1信息安全等級保護對學生能力培養的作用
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查5個階段,信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護的知識體系完善,信息安全等級保護測評人員的技術要求涵蓋多個方面,包括物理環境、主機、操作系統、應用安全、安全設備等,因此國家對于信息安全等級保護人員的技術要求十分綜合和全面[3]。如參照信息安全等級保護專業人員的技術要求對學生開展信息安全綜合實訓將滿足社會對信息安全專業人員的技能和知識結構要求,主要體現在以下4個方面:①培養學生了解國家關于非信息系統保護的基本方針、政策、標準;②培養學生掌握各種基本信息安全技術操作技能,熟悉各種信息系統構成對象的基本操作,為將來快速融入到信息安全保護實踐工作奠定基礎;③培養學生具備從綜合、全面的角度去規劃、設計、構建符合國家信息安全保障體系要求的信息安全防護方案能力;④培養學生建立信息安全等級保護的基本意識,在工作實踐中自覺按國家信息安全等級保護要求開展工作,有利于促進國家信息安全等級保護政策實施。
2實訓教學知識體系
信息安全等級保護的相關政策和標準是信息安全實訓教學體系建立的基本依據,GB/T 22239-2008《信息安全等級保護基本要求》在信息安全等級保護標準體系中起基礎性作用。信息安全等級保護基本要求充分體現了“全面防御,縱深防御”的理念,遵循了“技術和管理并重”的基本原則,而不同級別的業務信息系統在控制點要求項上的區別體現了“適度安全”的根本原則[6]。信息安全保護測評是信息安全等級保護的一項重要基礎性工作,GB/T 28449-2012《信息安全等級保護測評過程指南》是對等級測評的活動、工作任務以及每項任務的工作內容作出了詳細建議,等級測評中的單元測評、整體測評、風險分析、問題處置及建議環節體現了測評工程師對等保項目基本安全保障情況的綜合分析能力[610]。信息安全等級保護知識體系龐大,不可能兼顧所有方面,因而在信息安全實訓教學知識體系制訂中采用兼顧全局、突出重點的基本原則;在實訓教學知識體系的構成中重點以《信息安全等級保護基本要求》和《信息安全等級保護測評過程指南》為基礎,包括基本理論培訓、基本技能實訓、安全管理培訓、能力提高實訓四大模塊;在實際操作中將重點放在基本技能實訓和能力提高實訓上。各實訓模塊構成及關系如圖1所示。
3實訓教學實施
教學實施依據實訓教學知識體系進行,教學方式采用集中課堂基本理論教學、在信息系統模擬平臺實施現場測評數據采集的基本操作實訓和以信息安全等級保護測評報告的編寫為基礎的數據分析、數據整理、安全方案編寫實訓。
3.1基本理論教學
該環節采用集中課堂教學方式,講解的主要內容是信息安全等級保護政策和標準。講解深度上應有所側重,講解重點包括:①信息安全等級保護基本要求中層面的劃分原則和依據、控制點的構成、控制點中要求項的解讀;②信息安全保護過程指南中單元測評、整體測評、風險分析、問題處置和建議等部分的解讀。
理論教學在突出重點的同時,兼顧全局,讓學生對信息安全等級保護制度和標準有一個完整、清晰的認識。
3.2基本技能實訓
基本技能實訓環節主要是強化學生各種信息安全技術的基本操作訓練。首先,應根據最真實的企業內部環境搭建符合信息安全等級保護要求的模擬信息系統,并編寫好對應的信息安全等級保護現場測評指導書;然后,指導學生在模擬系統上進行現場測評實訓,實訓過程按信息安全等級保護現場測評指導書要求進行,實訓內容以獲取信息系統安全配置和運行狀態等原始數據為基礎。基本技能實訓模塊包括網絡安全、主機安全、應用安全、數據備份及恢復、自動化工具掃描這5個層面的訓練項目。
(1)網絡安全。學生在模擬平臺上開展各種主流的網絡設備和安全設備的基本操作訓練,要求學生理解網絡設備和安全設備的安全功能及安全設置,掌握設備的運行狀態和信息數據采集方法。
(2)主機安全。學生在模擬平臺上開展各種主流系統軟件基本操作訓練,包括操作系統、數據庫系統、中間件等,要求學生理解各種系統軟件的安全功能和安全設置。通過本環節的實訓,學生應具備系統軟件安全配置核查和運行狀態信息采集能力。
(3)應用安全。學生在模擬平臺上對所安裝的主流商用應用軟件和自主開發軟件進行安全配置核查和安全功能驗證訓練,要求學生理解應用軟件的安全功能設計要求,掌握應用軟件的安全配置核查和安全功能驗證方法。
(4) 數據備份和回復。通過模擬系統的磁盤冗余陣列進行基本操作訓練,讓學生了解磁盤冗余陣列的驗證方法;通過訓練學生在操作系統和數據庫管理系統上配置計劃備份任務,使其理解系統軟件的數據備份安全功能,掌握系統軟件的備份操作計劃配置和驗證方法。
(5)自動化工具掃描。學生利用主流的開源掃描工具和商用的掃描工具對模擬系統上的網絡設備、安全設備、服務器主機等進行掃描,獲取信息系統主要軟硬件的漏洞,并驗證系統的脆弱性。本部分獲取的原始數據作為(1)、(2)、(3)部分的補充,通過本環節培訓學生整理和分析漏洞掃描結果以及初步驗證漏洞真實性的能力。
3.3能力提高實訓
在學生掌握信息系統安全配置和運行狀態數據采集的基本技能后實施能力提高實訓,本模塊主要培訓學生對原始數據的分析、整理,并編寫信息安全等級保護測評報告的能力。能力提高實訓模塊主要包括單元測評、整體測評、風險分析、問題處置和安全建議4個項目,各項目之間的關系流程如圖2所示。
(1)通過基本技能實訓獲取到原始數據后,根據信息安全等級保護測評過程要求整理、分析原始數據,開展單元測評,并給出各單元層面內控制點中檢查項的符合性,分析并給出單元測評結果,按信息安全等級保護報告模板編寫單元測評報告。
(2)在完成單元測評后,由于單元測評參照的信息相對獨立,未考慮原始數據間的關聯性,而實際信息系統的最終安全防護效力和面臨的風險是信息系統安全控制點間、安全層面間、安全區域間各組成要素共同作用的結果,因此在完成單元測評后還應該進行整體測評。整體測評主要是考慮單元測評中的各控制點間、安全層面間、安全區域間存在某種關聯性,這種關聯會對信息系統整體的安全防護效力、面臨的風險具有降低或增加的作用,應從整體角度對信息系統安全的狀態進行修正。
(3)風險分析結果是制訂信息安全系統防護措施的重要依據,風險分析能力是體現信息安全工程師水平的一項重要指標。在風險分析實訓項目中結合單元測評和整體測評結果利用風險分析計算工具對信息系統面臨的風險等級大小進行定性或定量的分析計算,并編寫風險分析報告。
(4)確定信息系統存在的風險后,接著應分析引起信息系統風險的因素,對不可接受風險因素或不能滿足等級保護要求的安全防護項提出完整的問題處置和整改建議。問題處置和整改建議環節要求信息安全工程技術人員具備扎實理論知識的同時還具備相當豐富的實踐經驗,工程技術人員必須熟悉信息安全的各種防護技術和目前市場上相關的信息安全軟硬件安全產品。因此,本實訓項目主要是訓練并提高學生綜合運用信息安全技術解決實際問題的能力。
4結語
在信息安全專業的實踐教學中引入信息安全等級保護內容,實訓教學知識體系完全參照信息安全等級保護要求來構建,信息安全等級保護知識體系完善,保證了實訓內容的廣度和深度。通過信息安全等級保護現場測評環節訓練學生的信息安全技術基本操作技能,通過信息安全等級保護測評報告的編制訓練學生運用信息安全等級保護基本知識、理論和方法去分析信息系統存在的漏洞、面臨的安全風險,并編制符合信息安全等級保護要求的安全防護方案,提高學生綜合運用信息安全技術解決實際問題的能力,較好地滿足了社會對信息安全人才的需求,深受信息安全等級保護技術服務機構和已開展或擬開展信息系統安全等級保護的企事業及機關單位的歡迎,為學生畢業后盡快適應工作要求奠定了基礎。
由于實驗環境的限制,所制訂的基于信息安全等級保護的實訓教學知識體系仍存在以下3點不足:①實訓教學體系未涉及虛擬化、云計算、物聯網安全實訓,而這些是當前發展較快且正被廣泛運用的信息技術;②由于滲透測試對測試環境搭建和學生基本技能要求較高,因而實訓教學體系中并未涉及滲透測試項目;③信息安全管理在信息安全防護工作中是非常重要但卻最容易被忽視的工作內容,可以說一個組織的信息安全管理水平高低直接決定其信息系統的安全防護能力。因為安全管理測評基本上采用的是制度類、證據類、記錄類文檔性資料的核查和訪談,而在實訓中難以模擬一個完整的安全管理體系實際案例,所以在實訓中安全管理部分更多地是采用課堂教學講解,沒有操作實訓。 這些在后續教學實踐工作中都有待改進。
參考文獻參考文獻:
[1]楊冬曉,嚴曉浪,于慧敏.信息類特色專業建設的若干實踐[J].中國電子教育,2010(1):3945.
[2]田秀霞.創新實踐項目驅動的信息安全專業教學改革[J].計算機教育,2015(23):3033.
[3]張勝生,呂緒銀.基于信息安全場景下的等級保護技術人才培養模式研究[C].第二屆全國信息安全等級保護測評體系建設會議論文集,2012:8385.
[4]李琳,陳東方,李濤,等.信息安全專業實踐教學體系研究[J].電腦知識與技術.2014,10(35):85148515.
[5]蔣煒.信息安全等級保護培訓探討[J].現代企業研究,2015(2):64.
[6]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓教程[M].北京:電子工業出版社,2015.
[7]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程(中級) [M].北京:電子工業出版社,2015.
[8]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程(初級) [M].北京:電子工業出版社,2015.
