網絡安全等級測評報告精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全等級測評報告主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全等級測評報告范文
關鍵詞:信息安全;等級保護;等級測評;實踐教學;綜合實訓
DOIDOI:10.11907/rjdk.161717
中圖分類號:G434
文獻標識碼:A文章編號文章編號:16727800(2016)009017303
基金項目基金項目:貴州省科技廳社發攻關項目(黔科合SY字2012-3050號);貴州大學自然科學青年基金項目(貴大自青合字2010-026號);貴州大學教育教學改革研究項目(JG2013097)
作者簡介作者簡介:張文勇(1973-),男,貴州臺江人,碩士,貴州大學計算機科學與技術學院講師,研究方向為網絡與信息安全;李維華(1961-),男,貴州貴陽人,貴州大學計算機科學與技術學院高級實驗師,研究方向為網絡與信息安全;唐作其(1980-),男,貴州興義人,碩士,貴州大學計算機科學與技術學院副教授,研究方向為信息安全保障體系。
0引言
信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法,開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現。信息安全學科要求學生不僅要具備很強的理論知識,更應具備較強的實踐能力。現階段很多高校在理論教學上有較好的培養方法和模式,學生具備良好的理論基礎,但在實踐教學中由于各課程的銜接和關聯較少,盡管部分學校開設了信息安全實訓或信息安全攻防實踐等課程,但基本都是做一些單元實驗,僅局限于某一方面的技能訓練,沒有從全局、系統的角度去培養學生綜合運用各種信息安全知識解決實際問題的能力[15]。從貴州大學信息安全專業畢業生就業情況調查反饋信息來看,絕大多數畢業生主要從事企事業單位的信息安全管理、信息安全專業服務等工作,少數畢業生從事信息安全產品研發,或繼續碩士博士深造,從事信息安全理論研究。用人單位普遍反映學生的基本理論掌握相對較好,但實際操作技能、綜合分析能力欠缺。為了解決目前這種狀況,筆者根據長期從事信息安全等級保護項目實施工作實踐,提出在信息安全專業的實踐教學環節中引入信息安全等級保護相關內容。
1信息安全等級保護對學生能力培養的作用
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查5個階段,信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護的知識體系完善,信息安全等級保護測評人員的技術要求涵蓋多個方面,包括物理環境、主機、操作系統、應用安全、安全設備等,因此國家對于信息安全等級保護人員的技術要求十分綜合和全面[3]。如參照信息安全等級保護專業人員的技術要求對學生開展信息安全綜合實訓將滿足社會對信息安全專業人員的技能和知識結構要求,主要體現在以下4個方面:①培養學生了解國家關于非信息系統保護的基本方針、政策、標準;②培養學生掌握各種基本信息安全技術操作技能,熟悉各種信息系統構成對象的基本操作,為將來快速融入到信息安全保護實踐工作奠定基礎;③培養學生具備從綜合、全面的角度去規劃、設計、構建符合國家信息安全保障體系要求的信息安全防護方案能力;④培養學生建立信息安全等級保護的基本意識,在工作實踐中自覺按國家信息安全等級保護要求開展工作,有利于促進國家信息安全等級保護政策實施。
2實訓教學知識體系
信息安全等級保護的相關政策和標準是信息安全實訓教學體系建立的基本依據,GB/T 22239-2008《信息安全等級保護基本要求》在信息安全等級保護標準體系中起基礎性作用。信息安全等級保護基本要求充分體現了“全面防御,縱深防御”的理念,遵循了“技術和管理并重”的基本原則,而不同級別的業務信息系統在控制點要求項上的區別體現了“適度安全”的根本原則[6]。信息安全保護測評是信息安全等級保護的一項重要基礎性工作,GB/T 28449-2012《信息安全等級保護測評過程指南》是對等級測評的活動、工作任務以及每項任務的工作內容作出了詳細建議,等級測評中的單元測評、整體測評、風險分析、問題處置及建議環節體現了測評工程師對等保項目基本安全保障情況的綜合分析能力[610]。信息安全等級保護知識體系龐大,不可能兼顧所有方面,因而在信息安全實訓教學知識體系制訂中采用兼顧全局、突出重點的基本原則;在實訓教學知識體系的構成中重點以《信息安全等級保護基本要求》和《信息安全等級保護測評過程指南》為基礎,包括基本理論培訓、基本技能實訓、安全管理培訓、能力提高實訓四大模塊;在實際操作中將重點放在基本技能實訓和能力提高實訓上。各實訓模塊構成及關系如圖1所示。
3實訓教學實施
教學實施依據實訓教學知識體系進行,教學方式采用集中課堂基本理論教學、在信息系統模擬平臺實施現場測評數據采集的基本操作實訓和以信息安全等級保護測評報告的編寫為基礎的數據分析、數據整理、安全方案編寫實訓。
3.1基本理論教學
該環節采用集中課堂教學方式,講解的主要內容是信息安全等級保護政策和標準。講解深度上應有所側重,講解重點包括:①信息安全等級保護基本要求中層面的劃分原則和依據、控制點的構成、控制點中要求項的解讀;②信息安全保護過程指南中單元測評、整體測評、風險分析、問題處置和建議等部分的解讀。
理論教學在突出重點的同時,兼顧全局,讓學生對信息安全等級保護制度和標準有一個完整、清晰的認識。
3.2基本技能實訓
基本技能實訓環節主要是強化學生各種信息安全技術的基本操作訓練。首先,應根據最真實的企業內部環境搭建符合信息安全等級保護要求的模擬信息系統,并編寫好對應的信息安全等級保護現場測評指導書;然后,指導學生在模擬系統上進行現場測評實訓,實訓過程按信息安全等級保護現場測評指導書要求進行,實訓內容以獲取信息系統安全配置和運行狀態等原始數據為基礎。基本技能實訓模塊包括網絡安全、主機安全、應用安全、數據備份及恢復、自動化工具掃描這5個層面的訓練項目。
(1)網絡安全。學生在模擬平臺上開展各種主流的網絡設備和安全設備的基本操作訓練,要求學生理解網絡設備和安全設備的安全功能及安全設置,掌握設備的運行狀態和信息數據采集方法。
(2)主機安全。學生在模擬平臺上開展各種主流系統軟件基本操作訓練,包括操作系統、數據庫系統、中間件等,要求學生理解各種系統軟件的安全功能和安全設置。通過本環節的實訓,學生應具備系統軟件安全配置核查和運行狀態信息采集能力。
(3)應用安全。學生在模擬平臺上對所安裝的主流商用應用軟件和自主開發軟件進行安全配置核查和安全功能驗證訓練,要求學生理解應用軟件的安全功能設計要求,掌握應用軟件的安全配置核查和安全功能驗證方法。
(4) 數據備份和回復。通過模擬系統的磁盤冗余陣列進行基本操作訓練,讓學生了解磁盤冗余陣列的驗證方法;通過訓練學生在操作系統和數據庫管理系統上配置計劃備份任務,使其理解系統軟件的數據備份安全功能,掌握系統軟件的備份操作計劃配置和驗證方法。
(5)自動化工具掃描。學生利用主流的開源掃描工具和商用的掃描工具對模擬系統上的網絡設備、安全設備、服務器主機等進行掃描,獲取信息系統主要軟硬件的漏洞,并驗證系統的脆弱性。本部分獲取的原始數據作為(1)、(2)、(3)部分的補充,通過本環節培訓學生整理和分析漏洞掃描結果以及初步驗證漏洞真實性的能力。
3.3能力提高實訓
在學生掌握信息系統安全配置和運行狀態數據采集的基本技能后實施能力提高實訓,本模塊主要培訓學生對原始數據的分析、整理,并編寫信息安全等級保護測評報告的能力。能力提高實訓模塊主要包括單元測評、整體測評、風險分析、問題處置和安全建議4個項目,各項目之間的關系流程如圖2所示。
(1)通過基本技能實訓獲取到原始數據后,根據信息安全等級保護測評過程要求整理、分析原始數據,開展單元測評,并給出各單元層面內控制點中檢查項的符合性,分析并給出單元測評結果,按信息安全等級保護報告模板編寫單元測評報告。
(2)在完成單元測評后,由于單元測評參照的信息相對獨立,未考慮原始數據間的關聯性,而實際信息系統的最終安全防護效力和面臨的風險是信息系統安全控制點間、安全層面間、安全區域間各組成要素共同作用的結果,因此在完成單元測評后還應該進行整體測評。整體測評主要是考慮單元測評中的各控制點間、安全層面間、安全區域間存在某種關聯性,這種關聯會對信息系統整體的安全防護效力、面臨的風險具有降低或增加的作用,應從整體角度對信息系統安全的狀態進行修正。
(3)風險分析結果是制訂信息安全系統防護措施的重要依據,風險分析能力是體現信息安全工程師水平的一項重要指標。在風險分析實訓項目中結合單元測評和整體測評結果利用風險分析計算工具對信息系統面臨的風險等級大小進行定性或定量的分析計算,并編寫風險分析報告。
(4)確定信息系統存在的風險后,接著應分析引起信息系統風險的因素,對不可接受風險因素或不能滿足等級保護要求的安全防護項提出完整的問題處置和整改建議。問題處置和整改建議環節要求信息安全工程技術人員具備扎實理論知識的同時還具備相當豐富的實踐經驗,工程技術人員必須熟悉信息安全的各種防護技術和目前市場上相關的信息安全軟硬件安全產品。因此,本實訓項目主要是訓練并提高學生綜合運用信息安全技術解決實際問題的能力。
4結語
在信息安全專業的實踐教學中引入信息安全等級保護內容,實訓教學知識體系完全參照信息安全等級保護要求來構建,信息安全等級保護知識體系完善,保證了實訓內容的廣度和深度。通過信息安全等級保護現場測評環節訓練學生的信息安全技術基本操作技能,通過信息安全等級保護測評報告的編制訓練學生運用信息安全等級保護基本知識、理論和方法去分析信息系統存在的漏洞、面臨的安全風險,并編制符合信息安全等級保護要求的安全防護方案,提高學生綜合運用信息安全技術解決實際問題的能力,較好地滿足了社會對信息安全人才的需求,深受信息安全等級保護技術服務機構和已開展或擬開展信息系統安全等級保護的企事業及機關單位的歡迎,為學生畢業后盡快適應工作要求奠定了基礎。
由于實驗環境的限制,所制訂的基于信息安全等級保護的實訓教學知識體系仍存在以下3點不足:①實訓教學體系未涉及虛擬化、云計算、物聯網安全實訓,而這些是當前發展較快且正被廣泛運用的信息技術;②由于滲透測試對測試環境搭建和學生基本技能要求較高,因而實訓教學體系中并未涉及滲透測試項目;③信息安全管理在信息安全防護工作中是非常重要但卻最容易被忽視的工作內容,可以說一個組織的信息安全管理水平高低直接決定其信息系統的安全防護能力。因為安全管理測評基本上采用的是制度類、證據類、記錄類文檔性資料的核查和訪談,而在實訓中難以模擬一個完整的安全管理體系實際案例,所以在實訓中安全管理部分更多地是采用課堂教學講解,沒有操作實訓。 這些在后續教學實踐工作中都有待改進。
參考文獻參考文獻:
[1]楊冬曉,嚴曉浪,于慧敏.信息類特色專業建設的若干實踐[J].中國電子教育,2010(1):3945.
[2]田秀霞.創新實踐項目驅動的信息安全專業教學改革[J].計算機教育,2015(23):3033.
[3]張勝生,呂緒銀.基于信息安全場景下的等級保護技術人才培養模式研究[C].第二屆全國信息安全等級保護測評體系建設會議論文集,2012:8385.
[4]李琳,陳東方,李濤,等.信息安全專業實踐教學體系研究[J].電腦知識與技術.2014,10(35):85148515.
[5]蔣煒.信息安全等級保護培訓探討[J].現代企業研究,2015(2):64.
[6]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓教程[M].北京:電子工業出版社,2015.
[7]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程(中級) [M].北京:電子工業出版社,2015.
[8]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程(初級) [M].北京:電子工業出版社,2015.
第2篇:網絡安全等級測評報告范文
兩個發展階段
衛生監督中心信息安全等級保護工作大致經歷了兩個發展階段。
啟動與探索階段(2007年~2008年):2007年12月,原衛生部組織專家組對部直屬機關報送的信息安全等級保護定級情況進行了評審。衛生監督中心的衛生監督信息報告系統和衛生行政許可受理評審系統確定為第三級保護,衛生監督中心網站確定為第二級保護。衛生監督中心在了解了信息安全等級保護制度的同時,啟動了信息安全等級保護相關工作。為摸清信息安全隱患,2008年衛生監督中心聘請了具有信息安全相關資質的信息安全咨詢公司對等保涉及的信息系統進行了信息安全測評,并制定了相應的整改方案。由于2008年信息安全整改資金等原因,未開展相關整改工作。
發展階段(2009年至今):本著統籌考慮、分布實施的原則,在實施國家級衛生監督信息系統建設項目之初就參照等級保護有關要求規劃和設計業務應用系統及其運行環境,同時積極開展等級保護備案等工作。在國家級項目二期中,專項對信息安全進行加固。并每年邀請公安部信息安全等級保護評估中心,對衛生監督中心的第三級保護系統進行了安全等級測評。
截至目前,衛生監督中心共有3個信息安全等級保護第三級的信息系統,4個信息安全等級保護第二級的信息系統。
信息安全技術體系
衛生監督信息系統信息安全技術體系建設,嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個方面進行設計。
1.物理安全
衛生監督中心現有南北兩個機房,機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統,南機房部署等級保護第二級信息系統,實現了第三級系統與第二級系統物理環境隔離。根據等級保護有關要求,機房均采用了精密空調、門禁系統、環境監測系統等設備設施及技術手段,有效地保證了機房的物理安全。
2.網絡安全
主干網絡鏈路均采用雙鏈路連接,關鍵網絡、安全設備均采用雙機冗余方式,避免單點故障。采用防火墻、入侵防護系統、DDoS系統進行邊界防護,各網絡區域之間采用防火墻進行區域隔離,在對外服務區部署了入侵檢測系統,在交換服務區部署了網絡審計系統。在核心數據區部署了數據庫審計系統,對網絡行為進行監控和記錄。在安全管理區部署安全管理系統,實現設備日志的統一收集及分析。
3.主機安全
所有服務器和管理終端配置了密碼安全策略;禁止用戶遠程管理,管理用戶必須進入機房通過KVM進行本地管理;所有服務器和管理終端進行了補丁更新,刪除了多余賬戶,關閉了不必要的端口和服務;所有服務器和管理終端開啟了安全審計功能;通過對數據庫的安全配置,實現管理用戶和特權用戶的分離,并實現最小授權要求。
4.應用安全
衛生監督中心7個應用系統均完成了定級備案,并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署,保證了系統的高可用性,同時建立了安全審計功能模塊,記錄登錄日志、業務操作日志、系統操作日志3種日志,并實現查詢和審計統計功能,配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統。信息安全等級保護第三級系統管理人員及高權限用戶均使用CA證書登錄相應系統。
5.數據安全及備份恢復
衛生監督信息報告系統數據庫服務器使用了雙機熱備,應用服務器采用多機負載均衡,每天本地備份,保證了業務系統的安全、穩定和可靠運行。其余等級保護第三級信息系統使用了雙機備份,無論是軟件還是硬件問題,都可以及時準確地進行恢復并正常提供服務。同時,衛生監督中心在云南建立了異地數據備份中心,每天進行增量備份,每周對數據進行一次全備份。備份數據在一定時間內進行恢復測試,保證備份的有效性。
信息安全管理體系
在開展信息安全等級保護工作中,我們深刻體會到,信息安全工作“三分靠技術,七分靠管理”。為保證信息安全等級保護工作順利進行,參考ISO/IEC 27001《信息安全管理體系要求》,衛生監督中心建立了符合實際工作情況的信息安全管理制度體系,明確了“統一領導,技管并重;預防為主,責權分明;重點防護,適度安全”的安全方針,涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五大方面的要求。
衛生監督中心建立了較為完善的信息安全責任制,設立了信息安全領導小組,領導小組組長由衛生監督中心主任擔任,成員由衛生監督中心有關處室負責人組成,信息處作為信息安全工作辦公室負責衛生監督中心日常信息安全管理工作。信息處設立了信息安全管理崗位,分別為網絡管理員、系統管理員、應用管理員、安全管理員、安全審計員、機房管理員,并建立了信息安全崗位責任制度。
此外,衛生監督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂,確保信息安全工作落到實處。
信息安全運維體系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等級保護有關要求指導信息安全運維實踐。
衛生監督中心結合實際情況,編制了《國家級衛生監督信息系統運行維護工作規范》,從運行維護流程、資源管理和環境管理三個方面進行了規范,將安全運維理念落到實處。
運維人員在實際工作中,嚴格按照工作規范要求。利用衛生監督中心OA系統,建立了統一的服務臺,實現了事件、問題的全流程閉環管理(即:發現問題、登記問題、解決問題、解決反饋、解決確認)。年均處理信息安全事件近百件,將信息安全問題消滅在萌芽階段,有效地保證了信息系統穩定運行,保證了衛生監督中心信息安全目標和方針的實現。
信息安全等級保護實踐經驗
1.規范管理,細化流程
衛生監督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設,為國家級衛生監督信息系統運維管理工作中安全管理提供了重要指導。
國家級衛生監督信息系統運維工作從安全管理體系的建設中吸取了很多有益經驗,不僅合理調配了運維管理人員,落實了運維管理組織機構和崗位職責,而且細化了運維管理流程,形成了“二級三線”的運維處理機制。
2.循序漸進,持續完善
第3篇:網絡安全等級測評報告范文
1數據信息安全威脅信息數據
面臨的安全威脅來自于多個方面,有通過病毒、非授權竊取來破壞數據保密性的安全威脅,有因為操作系統故障、應用系統故障等導致的破壞數據完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅,還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅,這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取,給公共衛生行業帶來無法彌補的損失。
2安全管理缺失公共衛生行業
在信息化建設工作中,如果存在重應用、輕安全的現象,在IT系統建設過程中沒有充分考慮信息安全的科學規劃,將導致后期信息安全建設和管理工作比較被動,業務的發展及信息系統的建設與信息安全管理建設不對稱;或由于重視信息安全技術,輕視安全管理,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現象普遍存在,很有可能會導致本不應該發生的信息安全事件發生。
二分析問題產生的主要原因
1經費投入不足導致的安全防范技術
薄弱許多公共衛生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發以后國家投入建設的,運行至今,很多省級以下的公共衛生單位由于領導認識不足或經費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛生信息化的投入,很少將經費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術比較薄弱,因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數據丟失、竊取的現象時有發生,嚴重影響了重要信息數據的保密性、完整性和安全性,一旦發生信息安全事件后果將不堪設想。
2專業技術人才缺乏
建設信息化、發展信息化最大的動力資源是掌握信息化的專業技術人才,人才的培養是行業信息化高速發展的基礎,然而,公共衛生行業的人才梯隊主要以疾病控制、醫學檢驗專業為主,信息化、信息安全專業技術人才缺乏,隊伍力量薄弱,不能很好地利用現有的計算機軟硬件設備,也很難對本單位現有的信息化、信息安全現狀進行有效的評估,缺乏制定本行業長期、可持續信息化建設發展規劃的能力,這也是制約公共衛生行業信息化發展的重要因素。
3信息安全培訓不足
職工安全保密意識不強信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛生行業的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網絡安全不夠重視,缺乏網絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經常有意無意的傳播病毒,使得單位網絡系統經常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網絡的安全穩定運行;同時,許多職工對于單位的移動介質缺乏規范化管理意識,隨意將拷貝有信息的移動硬盤、優盤等介質帶出單位,在其他聯網的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。
三如何促進公共衛生行業計算機網絡安全性提升
1強化管理
建立行業計算機網絡安全管理制度為了確保整個計算機網絡的安全有效運行,建立出一套既符合本行業工作實際的,又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容:
1.1成立信息安全管理機構
引進信息安全專業技術人才,結合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統管全局的網絡安全管理規定。
1.2制定信息安全知識培訓制度
定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網絡安全知識最新動態,結合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術人員進行專業知識和操作技能的培訓,培養一支具有安全管理意識的隊伍,提高應對各種網絡安全攻擊破壞的能力。
1.3建立信息安全監督檢查機制
開展定期或不定期內部信息安全監督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結果直接與科室和個人的獎勵績效工資、評先評優掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
2開展信息安全等級保護
建設開展信息安全等級保護建設,通過對公共衛生行業處理、存儲重要信息數據的信息系統實行分等級安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統安全等級保護建設情況進行測評,存在問題及時整改,從制度落實、安全技術防護、應急處置管理等各個方面,進一步提高公共衛生行業信息安全的防護能力、應急處置能力和安全隱患發現能力。
3加強網絡安全技術防范
隨著信息技術的高速發展,信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網絡安全技術特點,建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系,全面增強網絡系統的安全性和可靠性。
3.1防火墻技術
防火墻技術在公共衛生行業網絡安全建設體系中發揮著重要的作用,按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態檢測防火墻三種類型,一般部署在核心網絡的邊緣,將內部網絡與Internet之間或者與其他外部網絡互相隔離,有效地記錄Internet上的活動,將網絡中不安全的服務進行有效的過濾,并嚴格限制網絡之間的互相訪問,從而提高網絡的防毒能力和抗攻擊能力,確保內部網絡安全穩定運行。
3.2入侵檢測
入侵檢測是防火墻的合理補充,是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備,檢測方法包括基于專家系統入侵檢測方法和基于神經網絡的入侵檢測方法兩種,利用入侵檢測系統,能夠迅速及時地發現并報告系統中未授權或異常現象,幫助系統對付內部攻擊和外部網絡攻擊,在網絡系統受到危害之前攔截和響應入侵,在安全審計、監視、進攻識別等方面進一步擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。
3.3虛擬專用網絡(VPN)技術
VPN技術因為低成本、高度靈活的特點,在很多行業信息化建設中被廣泛應用,公共衛生行業也有很多信息系統都是基于VPN進行數據傳輸的,如中國疾病預防控制信息系統等,通過在公用網絡上建立VPN,利用VPN網關將數據包進行加密和目標地址轉換,以實現遠程訪問。VPN技術實現方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統VPN鏈路網絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現國家到省、市、縣四級的互聯互通和數據傳輸共享。VPN通過使用點到點協議用戶級身份驗證的方法進行驗證,將高度敏感的數據地址進行物理分隔,只有授權用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權用戶接觸或竊取重要數據,為用戶信息提供了很高的安全性保護。
四結語
第4篇:網絡安全等級測評報告范文
一、銀行業金融機構信息系統等級保護現狀
人民銀行作為我國中央銀行,承擔著指導協調我國金融業信息安全工作的職責。2010年以來,人民銀行為全面落實國家信息安全等級保護制度,制定了《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》、《金融行業信息安全等級保護測評服務安全指引》三項行業標準,建立了金融業等級保護標準規范體系。在此基礎上,人民銀行圍繞定級、備案、安全建設整改、等級測評和監督檢查等五個規定動作,在人民銀行及銀行業全面部署實施信息安全等級保護工作,截至目前,全國銀行業金融機構已基本完成重要信息系統的定級、備案和測評整改工作,等級保護工作取得了長足進步,信息系統的安全防護水平得到了全面提升,推動了金融業信息化建設和業務發展,但在等級保護執行過程中也面臨以下一些困難:一是金融機構分支機構多、分布廣,總部對分支機構等級保護工作的可控管理水平有限。二是金融機構信息系統數量多、運行環境復雜,定級范圍廣且標準不統一,加大了等級保護的運維難度。三是部分銀行分支機構沒有認識到信息系統等級保護工作的重要性,等級保護工作流于形式,使等級保護工作未能真正落到實處。四是缺少如何將信息安全等級保護工作與信息安全日常保障工作、風險測評等安全管理工作相結合的有效技術手段。引入安全基線管理機制,充分利用基線技術的特點和優勢,去化解當前金融機構等級保護所面臨的問題,不失為一種有效的解決辦法。現就安全基線在基層人民銀行等級保護中的應用實踐為例,談談安全基線技術在加強等級保護管理,促進長效管理機制形成中所發揮的作用。
二、安全基線在基層人民銀行等級保護管理中的應用
1.人民銀行信息安全基線概述
人民銀行安全基線建立在《人民銀行信息安全綜合規范》基礎之上,《人民銀行信息安全綜合規范》主要吸收了金融行業信息系統信息安全等級保護及人民銀行內部多類制度安全管理要求項,涉及總行、省級行、地市中支、縣支行4級機構,包含機房環境、網絡安全、應用安全、保密技術管理、信息安全管理、安全運維等10個方面的內容,涵蓋了人民銀行所有信息系統等級保護定級管理要求,是人民銀行信息系統需要滿足的安全管理要求。它是由一組安全配置項組成,形成了針對不同信息系統的詳細CheckList及操作指南,為人民銀行分支行建立本單位的安全基線提供了統一規范。人民銀行分支行結合本單位最佳安全實踐,通過對《人民銀行信息安全綜合規范》進行篩選、檢測、配平等操作,最終形成符合各單位實際情況、本地化的安全基線。
2.安全基線在基層人民銀行等級保護管理中的應用過程
人民銀行分支行的安全基線包含了本單位已定級信息系統安全管理的各項要求,通過對安全基線進行管理,能夠促進等級保護各項措施的落實。安全基線在基層人民銀行等級保護中的應用過程可分為三部分:建立安全基線、安全基線的檢測與控制、基線度量與報告。
(1)建立安全基線。人民銀行分支機構在綜合考慮本單位等級保護定級管理要求及企業自身安全建設發展需求基礎之上,對IT設備及業務系統的安全目標進行識別和梳理,并對照《人民銀行信息安全綜合規范》進行篩選,分離出不適用項,并對剩余適用本單位的配置項進行安全檢測、配合平等操作,形成了符合本單位實際情況的一組安全配置項,即本單位的初始安全基線。初始安全基線被上級管理部門批準確認后,形成本單位的安全基線,變為受控狀態,作為當前時期的安全基準點,不允許隨便更改。
(2)安全基線的檢測與控制。安全基線建立后,將定期對目標業務開展合規性檢測,找出不符合項,并通過整改、加固等措施,消除安全風險,逐步達到安全基線標準要求。隨著業務的不斷調整變化,對已建立的安全基線進行評估,整理出需要補充、維護和完善配置項后,提出“變更請求”(checkrequest),在變更請求得到批準的情況下,允許配置項從安全基線中檢出(實施check-out),待變更完成,并經評審后,確認無誤,方可重新進入安全基線,使其恢復到受控狀態,從而實現安全基線動態更新。對安全基線的檢測與控制,可以有效監控各單位等級保護管理整體安全狀態,跟蹤信息系統等級保護工作中的未達標項,把未達標項納入信息安全基線控制范圍,通過對本單位信息安全基線的定期檢測和整改,可以逐步提升信息系統等級保護的安全保障能力。
(3)基線度量與報告。對本單位安全基線檢測后得到的數據是安全基線配置項的狀態表,它反映了本單位在某一時點上的整體信息安全狀態,是信息安全總體水平的量化表述,可以度量企業安全現狀與安全基線之間的差距,為后續的整改提供依據。人民銀行分支機構的安全基線是上級單位管理決策的重要依據之一,安全基線建立后,實行季報制度,每個季度向上級行上報本轄區的安全基線報告,人民銀行總行安全管理部門則可以不定期查看分支機構的安全基線報告,方便了解分支機構的整體安全狀況及安全變動趨勢。
3.安全基線在基層人民銀行等級保護管理中的應用效果
(1)實現了信息安全工作可控、可管、可操作。通過安全基線技術,將本單位信息安全管理工作統一轉化為一組可操作的配置項,便于數據匯總和分析安全變動趨勢,可以有效監控本單位的整體信息安全狀態,跟蹤整改未達標的信息安全要求、消除存在的信息安全隱患。
(2)綜合了多方運維管理內容。安全基線實際上已經綜合了等級保護、風險評估、內部管理制度等多方面的管理要求,與人民銀行信息安全保障工作有機結合,建立了集中統一的安全運維管理體系。
(3)提升等級保護測評符合率。安全基線管理,通過采用“填平補齊”的方式,逐步完善各單位安全狀況,較全面地解決各單位(特別是技術力量比較薄弱的分支機構)中存在的信息安全管理問題,能有效提升各單位等級保護測評符合率。
(4)促進了安全長效機制形成。安全基線管理過程遵循“生命環”管理體系,通過對安全基線的定期檢查、更新、報告及風險跟蹤,周而復始,持續改進,形成螺旋上升的良性循環態勢,促進了安全長效機制形成。
第5篇:網絡安全等級測評報告范文
【關鍵詞】 政務云 云安全 IaaS服務
信息化建設是我國現階段發展的主要內容和方向,但同時也就面臨著信息安全的眾多問題。根據國家互聯網應急中心的報告,15年接收境內外報告的網絡安全事件同比增長125.9%,主要遭受攻擊的對象就包括政府。因此在電子政務云建設時信息安全方面的內容必須作為重點進行考慮。
一、電子政務云安全問題分析
云計算服務采購方式作為電子政務基礎設施建設的主要方式,而IaaS服務模式是目前常用的政務云服務提供模式。
政務云面臨的安全風險呈現出3個主要特點。需要管控的角色更多:除一般的系統建設者和訪問用戶外,還有服務提供商、政府內部政務云的統一管理人員等。需要解決的管控問題更多:虛擬化安全的問題、對資源管控能力減弱的問題、過渡依賴和鎖定的問題等。影響更深遠:政務云上的信息出現安全問題時存在影響面更廣、更敏感、政府公信力受損等問題。
二、建設方案探討
按照我國政府對信息安全的要求,境內的計算機信息系統實行安全等級保護制度。除此外國家還下發黨政部門云計算服務網絡安全管理的相關要求,明確了安全管理責任不變、數據歸屬關系不變、安全管理標準不變、敏感信息不出境、要參照信息安全國家標準等的要求。
2.1安全防范需求分析
整體要求:滿足等保要求外,還需滿足黨政內部的信息管理要求。
監管要求:對云服務提供商各方面的管理和監督較一般企業用戶強、要求更高。
數據要求:對數據的安全性、機密性、完整性的要求更高,對殘余數據的處置也更謹慎,對服務商數據管理的流程和制度提出更高要求。
物理要求:υ浦行牡慕ㄉ櫛恢煤透衾攵紉求更敏感。
分工要求:對于服務合同中的責任義務要求更明晰,對云服務商內部的各項管理、監測、檢查、配合度等有更高的要求。
2.2設計思路及方案探討
從其本質上看,政務云仍是一類信息系統,其防護體系應當是以等級保護為指導思想,并考慮虛擬化等新的技術和運營方式所帶來的安全問題,從技術和管理兩個層面全方位保護信息安全,將安全理念貫穿政務云建設、整改、測評、運維全過程。
設計方案時建議可從以下幾個內容考慮:
等保等級劃分:按照等保定級要素和一般流程進行分析定級,并參考云計算服務安全指南確定是一般保護或增強保護。
責任范圍劃分:云服務商和政府客戶間基于IaaS的服務,以虛擬化計算資源層為界線,以上由政府客戶負責,以下由云服務商負責,虛擬化計算資源層安全措施由雙方分擔。
物理安全:根據等保要求,對機房位置、環境、管理等進行規范。
網絡安全:這里主要討論區域的劃分,邊界部分則按要求部署FW、IPS/IDS等設備。功能區劃分:政務云一般設計時按業務承載類型劃分為互聯網區和電子政務外網區,之間有安全設備進行區間信息的交換管控,確保互聯網用戶不能直接訪問公用網絡區的系統。安全域劃分:各個區內根據需求劃分安全域,各域之間根據業務需求進行隔離。一般可劃分為:完成對外安全控制的安全邊界區;完成業務部署的業務區;完成運維管理系統部署的運維管理區;完成安全管控設備部署的安全管理區。
主機安全:除部署傳統的漏掃、配置核查、安全審計等主機安全系統外,還需要考慮傳統安全設備對物理主機內部虛擬化主機的管控缺失問題。目前業界一般以兩種模式解決:集中部署虛機安全設備或在虛機內部署安全軟件。前一種方式主要是流量迂回問題,后一種方式主要是服務器資源占用問題,后一種方式一般采用較多。
應用安全:云服務商通過網管系統和安全系統對應用進行資源監測,但應用的主要安全由云服務使用者完成。應用安全審計則各自收集所控制部分的審計數據,云服務商以云資源應用為主,上層應用由云服務使用者完成審計。
數據安全:主要包括數據隔離與訪問控制、剩余數據刪除、數據加密和數據備份。政務云比較特殊的是剩余數據問題,各子系統之間分配各自的物理空間,虛機遷移或釋放時,虛擬機內的所有信息應該被清空,確保數據的不泄露。當雙方合作終止時,云服務商需在政府方相關管理部門的監督下,進行信息銷毀。
結束語:政務云安全的保障是一個較復雜的問題,設計方案時需從政府業務特殊性、云計算技術的特點等進行多視角的分析,進行全局化的設計。
參 考 文 獻
[1] GBT 31167-2014,信息安全技術 云計算服務安全指南,中國標準出版社,2015-04-01;
第6篇:網絡安全等級測評報告范文
隨著云計算、大數據等新興技術的不斷發展,企業信息化、智能化程度、網絡化、數字化程度越來越高,人類社會進入到以大數據為主要特征的知識文明時代。大數據是企業的重要財富,正在成為企業一種重要的生產資料,成為企業創新、競爭、業務提升的前沿。大數據正在成為企業未來業務發展的重要戰略方向,大數據將引領企業實現業務跨越式發展;同時,由此帶來的信息安全風險挑戰前所未有,遠遠超出了傳統意義上信息安全保障的內涵,對于眾多大數據背景下涉及的信息安全問題,很難通過一套完整的安全產品和服務從根本上解決安全隱患。
自2008年國際綜合性期刊《Nature》發表有關大數據(Big Data)的專刊以來,面向各應用領域的大數據分析更成為各行業及信息技術方向關注的焦點。大數據的固有特征使得傳統安全機制和方法顯示出不足。本文系統分析了大數據時代背景下的企業信息系統存在的主要信息安全脆弱性、信息安全威脅以及信息安全風險問題,并有針對性地提出相應的信息安全保障策略,為大數據背景下的企業信息安全保障提供一定指導的作用。
1 大數據基本內涵
大數據(Big Data),什么是大數據,目前還沒有形成統一的共識。網絡企業普遍將大數據定義為數據量與數據類型復雜到在合理時間內無法通過當前的主流數據庫管理軟件生成、獲取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等的大型數據集。大數據具有4V特征(Volume,Varity,Value,Velocity),即數據量大、數據類型多、數據價值密度低、數據處理速度快。
2011年麥肯錫咨詢公司了《大數據:下一個創新、競爭和生產力的變革領域》[1]的研究報告,引起了信息產業界的廣泛關注。美國谷歌公司(Google)、國際商業機器公司(IBM)、美國易安信公司(EMC)、臉書(Facebook)等公司相繼開始了大數據應用、分析、存儲、管理等相關技術的研究,并推出各自的大數據解決框架、方案以及產品。例如,阿帕奇軟件基金會(Apache)組織推出的Hadoop大數據分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技術框架等,這些研究成果為隨后的大數據應用迅猛發展提供了便利的條件。2012年3月,美國奧巴馬總統了2億美元的“Big Data Initiative”(大數據研究和發展計劃),該計劃涉及能源、國防、醫療、基礎科學等領域的155個項目種類,該計劃極大地推動了大數據技術的創新與應用,標志著奧巴馬政府將大數據戰略從起初的政策層提升到國家戰略層。
同時,我國對大數據的認識、應用及相關技術服務等也在不斷提高,企業界一致認同大數據在降低企業經營運營成本、提升管理層決策效率、提高企業經濟效益等方面具有廣闊的應用前景,相繼大數據相關戰略文件,同時國家組織在民生、國防等重要領域投入大量的人力物力進行相關技術研究與創新實踐。
中國移動通信公司在已有的云計算平臺基礎上,開展了大量大數據應用研究,力圖將數據信息轉化為商業價值,促進業務創新。例如,通過挖掘用戶的移動互聯網行為特征,助力市場決策;利用信令數據支撐終端、網絡、業務平臺關聯分析,優化網絡質量。商業銀行也相繼開展了經融大數據研究,提升銀行的競爭力。例如,通過對用戶數據分析開展信用評估,降低企業風險;從細粒度的級別進行客戶數據分析,為不同客戶提供個性化的產品與服務,提升銀行的服務效率。總而言之,大數據正在帶來一場顛覆性的革命,將會推動整個社會取得全面進步。
2 大數據安全研究現狀
在大數據計算和分析過程中,安全是不容忽視的。大數據的固有特征對現有的安全標準、安全體系架構、安全機制等都提出了新的挑戰。目前對大數據完整性的研究主要包括兩方面,一是對數據完整性的檢測;二是對完整性被破壞的數據的恢復。在完整性檢測方面,數據量的增大使傳統的MD5、SHA1等效率較低的散列校驗方法不再適用,驗證者也無法將全部數據下載到本地主機后再進行驗證。
面向大數據的高效隱私保護方法方面,高效、輕量級的數據加密已有多年研究,雖然可用于大數據加密,但加密后數據不具可用性。保留數據可用性的非密碼學的隱私保護方法因而得到了廣泛的研究和應用。這些方法包括數據隨機化、k-匿名化、差分隱私等。
這些方法在探究隱私泄漏的風險、提高隱私保護的可信度方面還有待深入,也不能適應大數據的海量性、異構性和時效性。在隱私保護下大數據的安全計算方面,很多應用領域中的安全多方計算問題都在半誠實模型中得到了充分的研究,采用的方法包括電路賦值(Circuit Evaluation)、遺忘傳輸(Oblivious Transfer)、同態加密等。通過構造零知識證明,可以將半誠實模型中的解決方法轉換到惡意模型中。而在多方參與、涉及大量數據處理的計算問題,目前研究的主要缺陷是惡意模型中方法的復雜度過高,不適應多方參與、多協議執行的復雜網絡環境。
企業大數據技術是指大數據相關技術在企業的充分應用,即對企業業務、生產、監控、監測等信息系統在運行過程中涉及的海量數據進行抽取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等,實現大數據對企業效率的提升、效益的增值以及風險的預測等。
企業的大數據類型通常主要包括業務經營數據即客戶信息數據、企業的生產運營與管理數據以及企業的設備運行數據等,即客戶信息數據、員工信息數據、財務數據、物資數據、系統日志、設備監測數據、調度數據、檢修數據、狀態數據等。企業大數據具有3V、3E特征[2],3V即數據體量大(Volume)、數據類型多(Varity)與數據速度快(Velocity),3E即數據即能量(Energy)、數據即交互(Exchange)與數據即共情(Empathy)。
3 大數據時代企業信息安全漏洞與風險并存
大數據時代,大數據在推動企業向著更為高效、優質、精準的服務前行的同時,其重要性與特殊性也給企業帶來新的信息安全風險與挑戰。如何針對大數據的重要性與特殊性構建全方位多層次的信息安全保障體系,是企業發展中面臨的重要課題。大數據背景下,結合大數據時代的企業工作模式,企業可能存在的信息安全風險主要表現在以下三個方面:
(1)企業業務大數據信息安全風險:由于缺乏針對大數據相關的政策法規、標準與管理規章制度,導致企業對客戶信息大數據的“開放度”難以掌握,大數據開放和隱私之間難以平衡;企業缺乏清晰的數據需求導致數據資產流失的風險;企業數據孤島,數據質量差可用性低,導致數據無法充分利用以及數據價值不能充分挖掘的風險;大數據安全能力和防范意識差,大數據人才缺乏導致大數據分析、處理等工作難以開展的風險;管理技術和架構相對滯后,導致數據泄露的風險。
(2)企業基礎設施信息安全風險:2010年,震網病毒[3]通過網絡與預制的系統漏洞對伊朗核電站發起攻擊,導致伊朗濃縮鈾工程的部分離心機出現故障,極大的延緩了伊朗核進程。從此開啟了世界各國對工業控制系統安全的重視與管控。對于生產企業,工業生產設備是企業的命脈,其控制系統的安全性必須得到企業的高度重視。隨著物理設備管理控制系統與大數據采集系統在企業的不斷應用,監控與數據采集系統必將成為是物理攻擊的重點方向,越來越多的安全問題隨之出現。
設備“接入點”范圍的不斷擴大,傳統的邊界防護概念被改變; 2013年初,美國工業控制系統網絡緊急響應小組(ICS-CERT)預警,發現美國兩家電廠的發電控制設備在2012年10月至12月期間感染了USB設備中的惡意軟件。該軟件能夠遠程控制開關閘門、旋轉儀表表盤、大壩控制等重要操作,對電力設備及企業安全造成了極大的威脅。
(3)企業平臺信息安全風險: 應用層安全風險主要是指網絡給用戶提供服務所采用的應用軟件存在的漏洞所帶來的安全風險,包括: Web服務、郵件系統、數據庫軟件、域名系統、路由與交換系統、防火墻及網管系統、業務應用軟件以及其他網絡服務系統等;操作系統層的安全風險主要是指網絡運行的操作系統存在的漏洞帶來的安全風險,例如Windows NT、UNIX、Linux系列以及專用操作系統本身安全漏洞,主要包括訪問控制、身份認證、系統漏洞以及操作系統的安全配置等;網絡層安全風險主要指網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密性與完整性、路由系統的安全、遠程接入、域名系統、入侵檢測的手段等網絡信息漏洞帶來的安全性。
4 企業大數據信息安全保障策略
針對大數據時代下企業可能存在的信息安全漏洞與風險,本文從企業的網絡邊界信息安全保障、應用終端信息安全保障、應用平臺信息安全保障、網絡安全信息安全保障、數據安全信息安全保障等多方面提出如下信息安全保障策略,形成具有層次特性的企業信息安全保障體系,提升大數據時代下的企業信息安全保障能力。
4.1企業系統終端——信息安全保障策略
對企業計算機終端進行分類,依照國家信息安全等級保護的要求實行分級管理,根據確定的等級要求采取相應的安全保障策略。企業擁有多種類型終端設備,對于不同終端,根據具體終端的類型、通信方式以及應用環境等選擇適宜的保障策略。確保移動終端的接入安全,移動作業類終端嚴格執行企業制定的辦公終端嚴禁“內外網機混用”原則,移動終端接入內網需采用軟硬件相結合的加密方式接入。配子站終端需配置安全模塊,對主站系統的參數設置指令和控制命令采取數據完整性驗證和安全鑒別措施,以防范惡意操作電氣設備,冒充主站對子站終端進行攻擊。
4.2企業網絡邊界——信息安全保障策略
企業網絡具有分區分層的特點,使邊界不受外部的攻擊,防止惡意的內部人員跨越邊界對外實施攻擊,在不同區的網絡邊界加強安全防護策略,或外部人員通過開放接口、隱蔽通道進入內部網絡。在管理信息內部,審核不同業務安全等級與網絡密級,在網絡邊界進行相應的隔離保護。按照業務網絡的安全等級、實時性需求以及用途等評價指標,采用防火墻隔離技術、協議隔離技術、物理隔離技術等[4]對關鍵核心業務網絡進行安全隔離,實現內部網與外部網訪問資源限制。
4.3企業網絡安全——信息安全保障策略
網絡是企業正常運轉的重要保障,是連接物理設備、應用平臺與數據的基礎環境。生產企業主要采用公共網絡和專用網絡相結合的網絡結構,專用網絡支撐企業的生產管理、設備管理、調度管理、資源管理等核心業務,不同業務使用的專用網絡享有不同安全等級與密級,需要采取不同的保障策略。網絡彈性是指基礎網絡在遇到突發事件時繼續運行與快速恢復的能力。采用先進的網絡防護技術,建立基礎網一體化感知、響應、檢測、恢復與溯源機制,采取網絡虛擬化、硬件冗余、疊加等方法提高企業網絡彈性與安全性;對網絡基礎服務、網絡業務、信息流、網絡設備等基礎網絡環境采用監控審計、安全加固、訪問控制、身份鑒別、備份恢復、入侵檢測、資源控制等措施增強網絡環境安全防護;在企業網絡中,重要信息數據需要安全通信。針對信息數字資源的安全交換需求,構建企業的業務虛擬專用網。在已有基礎網絡中采用訪問控制、用戶認證、信息加密等相關技術,防止企業敏感數據被竊取,采取建立數據加密虛擬網絡隧道進行信息傳輸安全通信機制。
4.4企業應用系統平臺——信息安全保障策略
應用系統平臺安全直接關系到企業各業務應用的穩定運行,對應用平臺進行信息安全保障,可以有效避免企業業務被阻斷、擾亂、欺騙等破壞行為,本文建議給每個應用平臺建立相應的日志系統,可以對用戶的操作記錄、訪問記錄等信息進行歸檔存儲,為安全事件分析提供取證與溯源數據,防范內部人員進行異常操作。企業應用平臺的用戶類型多樣,不同的應用主體享有不同的功能與應用權限,考慮到系統的靈活性與安全性,采用基于屬性權限訪問控制[5]、基于動態和控制中心訪問權限控制[6]、基于域訪問權限控制[7]、基于角色訪問控制等訪問控制技術;確保企業應用平臺系統安全可靠,在應用平臺上線前,應邀請第三方權威機構對其進行信息安全測評,即對應用平臺系統進行全面、系統的安全漏洞分析與風險評估[8],并制定相應的信息安全保障策略。
4.5企業大數據安全——信息保障策略
大數據時代下,大數據是企業的核心資源。企業客戶數據可能不僅包含個人的隱私信息,而且還包括個人、家庭的消費行為信息,如果針對客戶大數據不妥善處理,會對用戶造成極大的危害,進而失信于客戶。目前感知大數據(數據追蹤溯源)、應用大數據(大數據的隱私保護[9]與開放)、管控大數據(數據訪問安全、數據存儲安全)等問題,仍然制約與困擾著大數據的發展。大數據主要采用分布式文件系統技術在云端存儲,在對云存儲環境進行安全防護的前提下,對關鍵核心數據進行冗余備份,強化數據存儲安全,提高企業大數據安全存儲能力。為了保護企業數據的隱私安全、提高企業大數據的安全性的同時提升企業的可信度,可采用數據分享、分析、時進行匿名保護已經隱私數據存儲加密保護措施來加強企業數據的隱私安全,對大數據用戶進行分類與角色劃分,嚴格控制、明確各角色數據訪問權限,規范各級用戶的訪問行為,確保不同等級密級數據的讀、寫操作,有效抵制外部惡意行為,有效管理云存儲環境下的企業大數據安全。
5 結束語
隨著信息技術的快速革新,數據正以驚人的速度積累,大數據時代已經來臨了;智能終端和數據傳感器成為大數據時代的數據主要來源。大數據在推動企業不斷向前發展給企業提供了更多機遇的同時,也給企業的應用創新與轉型發展帶來了新的信息安全威脅、信息安全漏洞以及信息安全風險。傳統的信息安全保障策略已經無法滿足大數據時代的信息安全保障需求。怎樣做好企業大數據信息安全保障、加強信息安全防護、建設相關法律法規將是大數據時代長期研究的問題。
第7篇:網絡安全等級測評報告范文
關鍵詞:廣播電視;安全播出;調度
引言
為更好地適應廣播電視機構改革新形勢,進一步做好全省廣播電視安全播出管理工作,河南省廣播電視安全播出調度指揮中心開展了河南省廣播電視安全播出指揮調度系統項目建設。系統采用云服務,通過互聯網和設備終端,連接省市縣3級廣播電視行政部門。系統建成后,將有效提高全省廣播電視安全播出管理和應急調度工作效能,更好的適應從管腳下向服務監管社會廣播電視相關行業轉變。指揮調度系統包括信息處理系統和可視調度系統兩個部分。信息處理系統具備通知公告傳達、文件信息交換、重保期情況上報和臨時停播請示備案等功能,可視調度系統具備遠程可視調度、遠程應急演練、網絡視頻會議等功能。下面分別詳述兩個系統業務功能和技術優勢。
1信息處理系統
信息處理系統采用B/S(瀏覽器/服務器)架構,各單位只需在瀏覽器上登錄網站,輸入用戶名和密碼即可使用該系統業務功能,業務功能包括首頁、日常業務、安播資源、重要保障、全情查看五大業務版塊,系統架構如圖1所示,具體業務功能和應用特點如下。
1.1業務功能
1.1.1首頁首頁用來展示安全播出相關通知、公告等,包括新聞、重要通知、公告、學習資料和行業通報5個子版塊。新聞子版塊展示國家、省內重要會議和重大活動有關新聞。重要通知子版塊展示國家廣電總局、省廣電局安全播出工作重要通知。公告子版塊展示信息處理系統用戶使用手冊和常用配套軟件。學習資料子版塊展示安全播出規章制度和業務培訓資料。行業通報子版塊展示全省近期安全播出情況通報。
1.1.2日常業務(1)收發文收發文用于系統內各單位之間收發郵件,包括寫郵件、收件箱、已發送、草稿箱、已刪除5個模塊。寫郵件模塊可編寫正文、加載附件、選收件人后發送郵件。收件箱模塊存放已收郵件。已發送模塊存放已發郵件。草稿箱模塊存放尚未完成的郵件。已刪除模塊存放收件箱、已發送、草稿箱模塊中刪除的郵件,亦可徹底刪除上述郵件。收件箱、已發送、草稿箱、已刪除模塊均可通過標題、發件人、正文等關鍵字搜索相應郵件。(2)操作備案操作備案主頁面展示本單位權限內可查看的操作備案信息,可根據需要搜索相應操作備案信息。操作備案填報頁面設置操作單位、開始結束時間、操作內容、影響頻率頻道、措施等字段。備案單位按規定填完后提交備案,上級單位查看到下級單位提交的操作備案信息后,在系統內進行批準、轉呈或退回操作,下級單位按照上級單位的處理結果開展相應的停播檢修工作。(3)事件事故事件事故主界面展示本單位權限內可查看的安全播出事件事故,可根據需要搜索相應事件事故信息。事件事故填報頁面設置事件事故單位、臺站類型、發生日期、停播時長、影響節目、故障環節、事件事故起因、事件事故性質等字段。填報單位按規定填完事件事故信息后保存,該條事件事故即保存在系統內,上級單位可審核、修正下級單位事件事故信息。
1.1.3安播資源(1)組織機構庫組織機構庫以樹狀結構的形式展示廣播電視單位基本信息和單位詳細信息。單位基本信息包括單位名稱、級別、類型、業務、地址等字段,單位詳細信息包括內設部門信息,直屬單位信息和人員信息三個部分。內設部門信息包括部門名稱、電話、傳真、職能等字段,直屬單位信息與單位基本信息字段相同,人員信息包括姓名、職務、座機、手機等字段。各單位可登錄查看、修改本單位或者所轄單位的組織機構信息。(2)臺站資源庫臺站信息庫以樹狀結構的形式展示廣播電視單位系統和設備信息,包括自查表管理、系統管理、設備管理和節目管理四個部分。在自查表管理版塊,各單位可填寫自查表,協助本單位做好安播自查相關工作。在系統管理版塊,各單位可新建、編輯本單位技術系統相關信息。新建完成技術系統后,各單位可在設備管理版塊為技術系統添加系統組成設備并填寫相關信息,在節目管理版塊為技術系統添加播出節目相關信息。(3)頻道資源庫頻道資源庫展示全省頻道資源信息,包括頻道名稱、所屬地區、頻道類型、頻道級別等字段,各單位可通過上述字段查詢需要的頻道信息。同時頻道資源庫作為基礎數據庫,還為事件事故、操作備案的填報提供數據支撐。
1.1.4重要保障重要保障主頁面展示重要保障期信息,各單位可輸入關鍵字搜索相應的重要保障期信息。管理員負責新建重保期,包括重保期名稱、開始時間、結束時間、保障內容,以及零報告名稱、日期、上報時間、重點保障時段等字段。各單位應每日填寫上報重保期情況(零報告),上級單位可查看下級單位上報的零報告。
1.1.5全情查看全情查看展示全省地圖,可以按照系統內外、單位類別、單位級別、單位類型、專業類型等字段,在地圖上搜索需要查找的單位。能夠正確查找到目標單位的前提是,該單位組織機構庫地址信息中的經緯度坐標填寫正確。
1.2技術優勢
信息處理系統采用云服務,服務器部署在云端,免除設備物理維護,設置防火墻,全面保障服務器網絡安全和業務運行安全。建立收發文業務模塊,要求安全播出業務文件使用該模塊進行文件交換,有效提高安播文件交換效率、準確性和安全性。建立操作備案業務模塊,要求臨時停播備案材料使用該模塊填報和流轉,切實提高備案工作的規范性,有效節省紙張、油墨和傳真通訊線路等資源。建立安播資源庫,可及時查詢轄區內機構、人員、技術系統、設施設備以及節目等各類安播資源,為安全播出調度指揮和應急處置工作提供信息支撐。建立重要保障版塊,要求重保期零報告使用該版塊填報,極大地提高零報告報送接收效率,有效節省電話線路資源。
2可視調度系統
2.1業務功能
2.1.1硬件配置和組會能力終端設備部署在省、市、縣三級廣播電視行政機構,分別設置為一級、二級和三級會場。一級會場配置高清攝像機、全向麥克風、高清視訊終端和2臺顯示設備,具備150方會議組織能力;二級會場配置一體化視頻會議終端和1臺顯示設備,具備視音頻編解碼、麥克風和攝像機功能,具備25方會議組織能力,也可參加會議;三級會場配置已安裝視頻會議軟終端的計算機,計算機上內置攝像頭、麥克風和揚聲器,只能參加會議。
2.1.2會議管理功能具備會議組織能力的終端設備可發起會議并可使用會控平板或微信小程序管理會議,會議管理具體功能如下:(1)會議發起后,為保障會場音效環境,可將全體參會單位靜音,有可自行解除和不可自行解除2種設置以供選擇。會議進行中,為使需要對話的會場能夠互相聽到聲音,可解除相應會場的聲音禁止。(2)可使用焦點功能,將主會場鎖定在主畫面上,也可使用會場輪巡功能,順序查看所有會場情況。(3)會議開始前或會議間隙,為保障主會場私密性,可將全向麥靜音,將攝像頭關閉。(4)在應參會單位已全部入會后,可鎖定會議,避免無關單位獲取會議號碼和密碼后進入會議。若無關單位已進入會議,也可將其從會議中移除。(5)為保障主講人順利講解演示PPT,可關閉共享,避免參會人員誤用共享功能,將本機屏幕投入主畫面。
2.1.3軟終端功能可與其他會場進行視音頻交流;可管理本機攝像頭和麥克風開啟、關閉狀態;可將PPT、屏幕共享至會議主畫面,供會議使用;可與其他計算機進行文字交流。
2.2技術優勢
2.2.1視音頻處理視頻方面,系統采用帶寬自適應機制、視頻多碼率支持、視頻圖像平滑處理等算法,保證視頻流暢、清晰。音頻方面,系統采用回音消除、自動增益、背景降躁、靜音檢測等算法,保證音頻流暢、清晰。此外,在帶寬/網絡質量下降時,系統自動優先保證語音通信,確保會議的連續性。
2.2.2終端支持支持視訊終端、計算機、平板電腦、手機等不同類型、不同操作系統終端設備,在不同場景接入網絡視頻會議,參會方式靈活便捷,移動性強。
2.2.3系統安全(1)架構安全:系統采用多點云中心搭配分布式低延時路由器的方式向參會方提供實時的視頻、音頻及數據通信服務。若正在服務的云中心失效,可在極短時間內自動切換到其他云中心,保證服務的有效性和連續性。(2)通信安全:系統對客戶端與路由器之間的會話加密后,建立可靠、安全的專屬通信鏈路。參會方通過專屬鏈接接入通信網絡,其通信被嚴格控制在專屬通信鏈路中,無關人員無法獲取鏈路中的信息。同時,會議進行中的會話數據為臨時數據,云平臺不存儲任何會話數據。會議結束后,會話數據即從系統中消除。(3)平臺安全:可視調度系統采用的云視頻系統所在的云平臺為信息安全等級保護第3級系統,已在公安機關取得備案證明,并通過了相應的信息安全等級保護測評。
第8篇:網絡安全等級測評報告范文
近幾年,信息泄漏事件頻發,數據安全將迎來巨大的挑戰,尤其是涉及師生個人隱私的數據及涉密數據應進行重點保護。數據平臺是高校日常信息管理的重要陣地,為高校的正常工作提供有力的數據支撐,保障信息數據的安全,提高系統的穩定性,為學校師生提供來源可靠、準確無誤的基礎數據,避免或減少數據損壞、丟失是高校信息安全工作的頭等大事兒。
1 利用數據平臺管理信息是高校發展的必然趨勢
高校數據的采集、錄入、存儲、提取工作較為頻繁,將數據信息上傳至數據平臺,方便信息的整合共享、反復交叉利用,將大量結構復雜、類型各異的數據匯集在一起,為高校的數據匯總、統計分析、信息共享、發展規劃提供了準確詳實的數據基礎,促進高校信息管理的數字化,為建設智慧校園打開方便之門。歸納分析數據平臺信息管理的優勢有以下幾點:
1)信息數據的上傳、查詢、檢索、管理等操作不限時間、地點。
只要能上網信息數據就可以上傳收集到數據平臺,支持電腦、手機、ipad等各種終端設備隨時隨地查詢、檢索數據信息,校內可以通過學校內部網絡,校外可以通過VPN等方式訪問獲取數據。
2)為統計分析提供了數據支持
高校通過大數據的統計分析可以有針對性的調整招生計劃、專業設置、就業方向,不斷完善辦學理念,開拓辦學思路,為學校的前途發展、決策制定、人才需求分析提供了數據支持。
3)推動高校數字化的進程
高校數字化是智慧校園建設的前提,推動高校云服務、網絡教學、慕課等教學形式的發展,提高學校的教學水平,為學校進一步發展網絡教學提供了技術支持。高校數字化對社會發展起到引領作用,促進地方經濟建設,提高地方數字化水平。
4)提升高校信息管理和服務水平
借助數據平臺實現數據共享,多部門共享數據信息,提高信息管理的效率,使學校的管理和服務水平又上新臺階。由此可見,通過數據平臺進行信息管理是大勢所趨,而數據平臺的安全保障工作成了重中之重。
2 數據平臺信息的安全問題及防范措施
2.1 物理環境安全
物理環境安全主要指數據機房的溫度、濕度等物理環境以及靜電、磁場干擾等因素的影響,高職院校數據中心應按照相應的安全等級建設,中央機房的建設應考慮將來在發展過程中可能遇到的問題。
2.2 硬軟件環境安全
硬件安全是指數據中心設備的安全,包括服務器、存儲、網絡設備等,中央機房的硬件維護應有專人負責,定期查看硬件運行是否穩定,是否有過熱、風扇故障或其他問題出現,對硬件進行必要的維護是保證學校工作正常進行的前提。
軟件安全是指服務器中各軟件及組件的正常使用,利用虛擬化軟件合理配置服務器資源,對存儲系統、災備系統及網絡設備等進行有機整合,通過對web環境配置、服務器環境搭建、防火墻、常用組件、數據庫等系統的調試運行,滿足用戶數據上傳、存儲、檢索、提取、共享等各項日常工作需要。
2.3 常見的信息安全問題
2.3.1 病毒攻擊、黑客入侵問題
高級可持續性威脅(APT)通過網絡漏洞入侵、分布式拒絕服務(DDoS)、Phishing、Botnet、木馬、惡意代碼等網絡攻擊。一些不懷好意的黑客入侵計算機系統,竊取或是篡改用戶的個人信息和重要數據,給用戶帶來嚴重危害[1]。我們應定期掃描系統安全漏洞,安裝服務器補丁并定時更新防火墻病毒庫,提高系統的防御能力。
2.3.2 數據信息的完整性保護
通過終端審計、身份認證、分級管理、行為追蹤等措施,確保數據信息的完整性、真實性、一致性,保護數據信息的可控性及可用性。
2.3.3 數據信息泄漏
近年來,數據信息泄漏事件呈上升趨勢,個人隱私泄漏、盜取敏感數據等事件頻發,通過數據加密技術、信息訪問權限的控制、安全審計等措施防止數據泄漏。
2.3.4 數據中心抗風險能力有待提高
數據平臺的穩定性是由系統自的完備程度決定的,系統容災、冗余備份工作不夠完善,對風險的認識不夠充分,出現問題的時候就會造成較大范圍的損失,提高風險意識,加強系統管理,提升數據平臺的抗風險能力。
3 安全管理策略
3.1 數據安全策略
數據可以通過加密來保證數據的安全性,有必要也可以采用動態加密技術。為保障數據傳輸安全,從外網訪問高校數據平臺信息,可以通過VPN、PPTP等方式訪問。
3.2 日志管理策略
服務器、防火墻及網絡軟件在運行過程中都會產生日志,用來記錄自身運行情況、相關事件的發生時間及有價值的信息,加強日志的記錄管理,通過收集、存儲、匯總、分析等方法及時發現操作系統及網絡的異常,利用日志監控系統、審計行為、分析原因并生成調查報告。
3.3 權限設置策略
根據管理級別,設置管理權限,高級權限有?L問、下載、管理數據權限,低級權限僅可以查看及部分操作與自己工作相關的信息。對于已提交審核確認后的內容僅有訪問權,沒有修改權,如學生成績管理,教師在規定時間上傳完學生的期末成績之后,就只能查看成績而不能修改,而學生只有查看權限。
3.4 密鑰管理策略
密鑰可與權限同步設置,通過密鑰管理一方面可以識辨人員身份,另一方面可以實行上網人員的權限控制,防止非法人員訪問系統。
3.5 行為管理策略
信息管理人員的行為從認證開始,辨識身份,監控行為,發現有病毒、木馬、惡意程序等或涉及信息安全行為的賬號要果斷采取有效措施,并追蹤來源,查找原因,避免此類事件再次發生。
4 信息安全保障體系建設
4.1 病毒防治
病毒入侵會導致數據信息被?閡獯鄹摹⑺鴰怠⒍?失,病毒的擴散傳播會造成系統大面積癱瘓,對軟硬件環境安全構成威脅。我們不但要提高防毒意識,還要加強防控技術水平。
4.1.1 提高系統的防護能力
檢測系統漏洞,及時安裝漏洞補丁,掃描病毒及木馬,通過入侵檢測防御系統(IDS)進行主動的安全防護,加強防御與入侵檢測工作,提高系統的健壯程度,增強系統穩定性。
4.1.2 防止網絡攻擊及黑客入侵
通過防火墻阻斷外部病毒的入侵,防火墻可根據實際需要采取不同技術,如過濾型防火墻、型防火墻,同時提高校園內網使用者的安全意識,防范來自內部的攻擊,避免病毒通過內網上傳平臺。
網絡安全不僅需要技術上的進步,同時需要通過規范制度、人員培訓、責任落實等手段齊抓共管。
4.2 規章制度建設
建立健全完善的數據機房管理制度,責任落實到人頭,定期對系統進行漏洞查找,安裝系統補丁、更新病毒庫。為避免人為因素的影響,對工作人員進行定期培訓及安全教育,對上網人員進行實名身份認證管理,并進行行為跟蹤。建立上網賬號數據庫,禁止非法訪問,保證數據信息的安全。
4.3 安全管理體系建設
相關管理部門制定安全策略和管理制度,認真做好安全管理組織工作,加強工作人員的安全管理,提高信息管理人員的安全責任意識,經常進行信息安全管理的業務培訓,提高安全管理的執行能力。
4.4 安全技術體系建設
通過識別用戶身份、訪問權限、行為控制等策略營造安全的平臺信息環境,過濾網絡信息,打造安全的區域邊界。為防止網絡入侵、非法訪問、惡意代碼攻擊等行為,采取漏洞掃描、安全檢測、物理隔離、升級防火墻等技術,支持系統安全測評、風險測評體系,防范信息篡改、假冒等事件發生。
4.5 數據安全體系建設
在保證供電的基礎上,高校數據中心可采用一用二備或三備的配置,并對重要數據定期備份。在容災備份技術的選擇上可以根據實際采用雙歸屬技術或IuFlex技術,如1+1主備或互備,有條件的也可以采用N+1主備或互備。一旦出現問題,數據備份可以減少處理問題的時間,及時解決問題并降損。
4.6 運行維護體系建設
信息的安全維護體系建設是系統安全穩定運行的有力保障,控制訪問、鑒別認證、監控數據、安全管理、系統配置等大量工作提前做好,才能使信息資源規避風險,減少損失,定期安裝補丁,檢查接口安全,利用數據加密技術應對黑客竊取數據或各種攻擊性行為。
4.7 應急處理方案
準備切實可行的應急處理預案,確保出現問題時第一時間做出反應,減少損失,盡快處理出現的問題。備服的安全管理也應同步進行,數據熱備份,做好應急預案,防止出現問題時忙中出錯。
第9篇:網絡安全等級測評報告范文
隨著近年來信息安全話題的持續熱議,越來越多的企業管理人員開始關注這一領域,針對黑客入侵、數據泄密、系統監控、信息管理等問題陸續采取了一系列措施,開始構筑企業的信息安全防護屏障。然而在給企業做咨詢項目的時候,還是經常會聽到這樣的話:
“我們已經部署了防火墻、入侵檢測設備防范外部黑客入侵,采購了專用的數據防泄密軟件進行內部信息資源管理,為什么還是會出現企業敏感信息外泄的問題?”
“我們的IT運營部門建立了系統的運行管理和安全監管制度和體系,為什么卻遲遲難以落實?各業務部門都大力抵制相關制度和技術措施的應用推廣。”
“我們已經在咨詢公司的協助下建立了ISMS體系,投入了專門的人力進行安全管理和控制,并且通過了企業信息安全管理體系的認證和審核,一開始的確獲得了顯著的成效,但為什么經過一年的運行后,卻發現各類安全事件有增無減?”
這些問題的出現往往是由于管理人員采取了“頭痛醫頭,腳痛醫腳”的安全解決方案,自然顧此失彼,難以形成有效的安全防護能力。上述的三個案例,案例一中企業發生過敏感信息外泄事件,于是采購了專用的數據防泄密軟件,卻并未制定相關的信息管理制度和進行員工保密意識培訓,結果只能是防外不防內,還會給員工的正常工作帶來諸多不便;案例二中企業管理者認識到安全管理的重要性,要求相關部門編制了大量的管理制度和規范,然而缺乏調研分析和聯系業務的落地措施,不切實際的管理制度最終因為業務部門的排斥而束之高閣;案例三中ISMS的建立有效地規范了公司原有的技術保障體系,然而認證通過后隨著業務發展卻并未進行必要的改進和優化,隨著時間的推移管理體系與實際工作脫節日益嚴重,各類安全隱患再次出現也就不足為奇。
其實,企業面臨的各種安全威脅和隱患,與人體所面臨的各種疾病有諸多類似之處,我們常說西醫治標不治本,指的就是采取分片分析的發現問題―分析問題―解決問題的思路處理安全威脅,通過技術手段的積累雖然可以解決很多問題,但總會產生疲于應付的狀況,難以形成有效的安全保障體系;類比于中醫理論將人體看為一個互相聯系的整體,信息安全管理體系的建立正是通過全面的調研分析,充分發現企業面臨的各種問題和隱患,緊密聯系業務工作和安全保障需要,形成系統的解決方案,通過動態的維護機制形成完善的防護體系。
總體來說,信息安全管理體系是企業在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進企業的信息安全系統,目的是保障企業的信息安全。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系統。
針對ISMS的建立,我們可以從中醫“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論:
第一,“望聞問切”,全面的業務、資產和風險評估是ISMS建設的基礎;
第二,“對癥下藥”,可落實、可操作、可驗證的管理體系是ISMS建設的核心;
第三,“治病于未病”,持續跟蹤,不斷完善的思想是ISMS持續有效的保障。
望聞問切
為了完成ISMS建設,就必然需要對企業當前信息資源現狀進行系統的調研和分析,為企業的健康把把脈,畢竟我們需要在企業現有的信息條件下進行ISMS建設。
首先,自然是對企業現有資源的梳理,重點可以從以下幾個方面入手:
1.業務主體(設備、人員、軟件等)。
業務主體是最直觀、最直接的信息系統資源,比如多少臺服務器、多少臺網絡設備,都屬于業務主體的范疇,按照業務主體本身的價值進行一個估值,也是進行整個信息系統資源價值評估的基礎評估。由于信息技術日新月異的變化,最好的主體未必服務于最核心的信息系統,同時價值最昂貴的設備未必最后對企業的價值也最大。在建立體系的過程中,對業務設備的盤點和清理是很重要的,也是進行基礎業務架構優化的一個重要數據。
2.業務數據(服務等)。
業務數據是現在企業信息化負責人逐步關注的方面,之前我們只關注設備的安全,網絡的良好工作狀態,往往忽略了數據對業務和企業的重要性。現在,核心的業務數據真正成為信息工作人員最關心的信息資產,業務數據存在于具體設備的載體之上,很多還需要軟件容器,所以,單純地看業務數據意義也不大,保證業務數據,必須保證其運行的平臺和容器都是正常的,所以,業務數據也是我們重點分析的方面之一。
3.業務流程。
企業所有的信息資源都是通過業務流程實現其價值的,如果沒有業務流程,所有的設備和數據就只是一堆廢銅爛鐵。所以,對業務流程的了解和分析也是很重要的一個方面。
以上三個方面是企業信息資源的三個核心方面,孤立地看待任何一個方面都是毫無意義的。
其次,當我們對企業的當前信息資產進行分析以后需要對其價值進行評估。
評估的過程就是對當前的信息資產進行量化的數據分析,進行安全賦值,我們將信息資產的安全等級劃分為 5 級,數值越大,安全性要求越高,5 級的信息資產定義非常重要,如果遭到破壞可以給企業的業務造成非常嚴重的損失。1 級的信息資產定義為不重要,其被損害不會對企業造成過大影響,甚至可以忽略不計。對信息資產的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規合同符合性要求等 5 個方面進行評估賦值,最后信息資產的賦值取 5 個屬性里面的最大值。
這里需要提出的是,這里不僅僅應該給硬件、軟件、數據賦值,業務流程作為核心的信息資源也必須賦值,而且幾個基本要素之間的安全值是相互疊加的,比如需要運行核心流程的交換機的賦值,是要高于需要運行核心流程的交換機的賦值的。很多企業由于歷史原因,運行核心業務流程的往往是比較老的設備,在隨后的分析可以看得出來,由于其年代的影響,造成資產的風險增加,也是需要重點注意的一點。
最后,對企業當前信息資產的風險評估。
風險評估是 ISMS 建立過程中非常重要的一個方面,我們對信息資產賦值的目的就是為了計算風險值,從而我們可以看出整個信息系統中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式:風險值 = 資產登記 + 威脅性賦值 + 脆弱性賦值(特定行業也有針對性的經驗公式)。
ISMS 建設的最終目標是將整個信息系統的風險值控制在一定范圍之內。
對癥下藥
經過上階段的調研和分析,我們對企業面臨的安全威脅和隱患有一個全面的認識,本階段的ISMS建設重點根據需求完成“對癥下藥”的工作:
首先,是企業信息安全管理體系的設計和規劃。
在風險評估的基礎上探討企業信息安全管理體系的設計和規劃,根據企業自身的基礎和條件建立ISMS,使其能夠符合企業自身的要求,也可以在企業本身的環境中進行實施。管理體系的規范針對不同企業一定要具體化,要和企業自身具體工作相結合,一旦缺乏結合性ISMS就會是孤立的,對企業的發展意義也就不大了。我們一般建議規范應至少包含三層架構,見圖1。
圖1 信息安全管理體系
一級文件通過綱領性的安全方針和策略文件描述企業信息安全管理的目標、原則、要求和主要措施等頂層設計;二級文件主要涉及業務工作、工程管理、系統維護工作中具體的操作規范和流程要求,并提供模塊化的任務細分,將其細化為包括“任務輸入”、“任務活動”、“任務實施指南”和“任務輸出”等細則,便于操作人員根據規范進行實施和管理人員根據規范進行工作審核;三級文件則主要提供各項工作和操作所使用的表單和模板,以便各級工作人員參考使用。
同時,無論是制定新的信息管理規章制度還是進行設備的更換,都要量力而行,依據自己實際的情況來完成。例如,很多公司按照標準設立了由企業高級領導擔任組長的信息安全領導小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室,具體負責企業的信息安全管理工作,在各級信息化技術部門均設置系統管理員、安全管理員、安全審計員,從管理結構設計上保證人員權限互相監督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業信息系統安全性,反而降低了整個信息系統的工作效率。
其次,是企業信息安全管理體系的實施和驗證
實施過程是最復雜的,實施之后需要進行驗證。實施是根據 ISMS 的設計和體系規劃來做的,是個全面的信息系統的改進工作,不是單獨的設備更新,也不是單獨的管理規范的,需要企業從上至下,全面地遵照執行,要和現有系統有效融合。
這里的現有系統既包含了現有的業務系統,也包含了現有的管理體制。畢竟ISMS是從國外傳入的思路和規范,雖然切合國人中醫理論的整體思維方式,但在國內水土不服是正常的,主要表現就在于是否符合企業本身的利益,是否能夠和企業本身的業務、管理融合起來。往往最難改變的還是企業管理者的固有思維,要充分理解到進行信息安全管理體系的建設是一個為企業長久發展必須進行的工程。
到目前為止,和企業本身業務融合并沒有完美的解決方案,需要企業領導組織本身、信息系統技術人員、業務人員和負責 ISMS 實施的工程人員一同討論決定適合企業自身的實施方案
最后,是企業信息安全管理體系的認證和審核
針對我們周圍很多重認證,輕實施的思想,這里有必要談一下這個問題,認證僅代表認證過程中的信息體系是符合 ISO27000(或者其他國家標準)的規范要求,而不是說企業通過認證就是一個在信息安全管理體系下工作的信息系統了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是掛在墻上的一張紙,放在抽屜里的一本書”。
“治病于未病”
企業信息安全管理體系需要動態改進和和優化,畢竟企業和信息系統是不斷發展和變化的,ISMS 是建立在企業和信息系統基礎之上的,也需要有針對性地發展和變化,道高一尺魔高一丈,必須通過各種方法,進行不斷地改進和完善,才有可能保證ISMS 系統的持續作用。
就像我們前面案例中提到的某公司一樣,缺乏了持續改進和跟蹤完善的手段,經過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業及未來即將建立ISMS的企業,為了持續運轉ISMS,我們認為可以主要從以下三個方面著手:
第一,人員。
人員對于企業來講是至關重要且必不可缺的,在ISMS建立過程中,選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續運轉過程中,人員都應該投入多少呢?通常在體系建立過程中,我們會建議所有體系管理范圍內的部門各自給出一名信息安全代表作為安全專員配合體系建立實施,且此名專員日后要持續保留,負責維護各自部門的信息資產、安全事件跟蹤匯報、配合內審與外審、安全相關記錄收集維護等信息安全相關工作。
但很多事情是一種企業文化的培養,需要更多的人員甚至全員參與,例如面向全員的定期信息安全意識培訓,面向專業人員的信息安全技術培訓等,因此對于企業來講,除了必要的體系維護人員,在ISMS持續運轉過程中,若能將企業內的每名員工都納入到信息安全管理范圍內,培養出“信息安全,人人有責”的企業氛圍,則會為企業帶大巨大的潛在收益。且有些企業在面向自身員工展開信息安全各項活動的同時,還會納入客戶、合作伙伴、供應商等需要外界相關人員的參與,對外也樹立起自身對重視信息安全的形象,大力降低外界給企業帶來的風險。
第二,體系。
ISMS自身的持續維護,往往是企業建立后容易被忽視的內容,一套信息安全管理文檔并不是在日益變化的企業中一直適用的,對于信息資產清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧,這項活動由于也是在相關標準中明確指出的,企業通常不會忽略;但日常對于這些文檔記錄的更新也是必不可少的,尤其是重要資產發生重大變更,組織業務、部門發生重大調整時,都最好對ISMS進行重新的評審,必要時重新進行風險評估,有助于發現新出現的重大風險,并且可以將資源合理調配,將有限的資源使用到企業信息安全的“短板”位置。
唯一不變的就是變化,企業每天所面臨的風險同樣也不是一成不變的,在更新維護信息資產清單的同時,對風險清單的回顧也是不可疏忽的,而這點往往是很多信息安全專員容易忽視的內容。持續的維護才能保證ISMS的運轉,有效控制企業所面臨的各種風險。
第三,工具。
工具往往是企業在建立ISMS過程中投入大量資金的方面,工具其實是很大的一個泛指,例如網絡安全設備、備份所需設備、防病毒軟件、正版軟件、監控審計等各類工具,即使沒有實施ISMS,企業在工具方面的投入也是必不可少的,但往往缺乏整體的規劃及與業務的結合,經常會出現如何將幾種類似工具充分利用,如何在各工具間建立接口,使數據流通共用,哪些工具應該替換更新,數據如何遷移,甚至出現新購買的工具無人使用或無法滿足業務需求等問題,導致資金資源的浪費,因此在持續運轉ISMS過程中,根據風險評估報告,及信息安全專員反映的各部門業務需求各種信息數據的收集,應對工具進行統一規劃,盡量減少資源的浪費。
