购物车(0) 期刊中心 科普订阅 SCI杂志 范文中心 投稿指导
在线咨询7X16小时在线
公务员期刊网 精选范文 网络安全保障体系建设范文

网络安全保障体系建设精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全保障体系建设主题范文,仅供参考,欢迎阅读并收藏。

网络安全保障体系建设

第1篇:网络安全保障体系建设范文

随着我国档案信息化建设工作已日渐深入,加强档案信息安全保障体系的建设尤为重要。档案信息安全保障体系,简单来讲,就是在档案信息系统的整个生命周期内,从技术、管理和标准法规等多方面,以积极防御、适度安全和动态保障为安全保护原则,保障档案信息安全的保密性、完整性、可用性、真实性、可核查性、抗抵赖性和可控性属性,并保障系统安全的持续性的体系。档案信息安全保障体系建设,是目前档案信息化建设中的重要工作,全国上下都高度重视,也在不断探索有效的构建方法,并加以规范和推广。但是,在档案信息安全保障体系建设中还存在一些不容忽视的问题。一是档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。二是档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。三是各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。四是缺乏法律与制度支持。档案信息化安全保障体系建设并非是一个单纯的技术层面的问题,它还涉及到管理、意识和国家法律等各个层面,因此,档案信息安全其实是一个综合性的问题,各个环节紧密衔接在一起。使用相关安全产品的同时,应在组织与制度上采用相应措施加以完善。因此,需要从理论上进一步加强研究,切实为档案信息安全保障体系建设提供坚实的思想保障,进一步健全档案信息安全保障体系。

二、加强行政执法,为档案安全保障体系提供法制保障

《档案法》颁布实施以来,使档案事业有法可依,并有力地促进了档案事业的发展。但是,目前的档案执法还处于初级阶段,还存在着一些亟待解决的问题。有的档案部门领导和工作人员缺乏对依法治档、依法行政重要性和必要性的认识;一些单位重视业务指导,忽视依法监管,在贯彻实施《档案法》过程中,还带有主观片面性和随意性,未获得人们所期望达到的效果。这就要求档案行政管理部门进一步建立健全档案执法监督制度,强化执法监督职能。一要从思想上入手,巩固提高依法治档、依法行政观念。档案行政管理部门是代表各级政府主管本地档案事业的部门,也是《档案法》所确定的档案行政执法主体和监督机构,这也使得管理档案事业有了法律的保障。我们的各级档案工作者特别是领导干部首先要带头认真学习档案法律、法规,做到知法、懂法、守法,并严格执法,带头依法办事、依法行政。《档案法》和《档案法实施办法》规定了档案部门是行政执法部门,要履行法律法规赋予档案部门的这一职能,应强化执法意识。二要从立法入手,完善档案法规体系。在建立社会主义市场经济体制过程中,真正做到执法机构依法行政,全体公民自觉守法,尚有待于法律体系的不断完善,而档案执法监督必须有完善的监督法律体系作为依据,健全完善操作性强的法律规章和相关监督条例,强化制约功能,是亟待解决的重要任务,各级地方人大、政府应依照《档案法》结合本地区实际,制定出配套性、实用性、可操作性较强的法规、规章文件,依法明确档案执法监督的形式、程序和手段,从而能够实行科学、合理、有效的监督,确保档案工作方针和法律法规的得以贯彻实施。三要从规范档案行政执法入手,加强档案监督制约机制的建设。在加强内部监督制约机制上,将档案工作列入本单位的目标管理责任制中,考核指标主要由贯彻《档案法》、档案业务等方面组成,定期对档案工作进行检查,以引起部门的高度重视,加大对档案依法管理工作的监督力度,确保机关档案的安全性;在加强外部监督制约机制上,与外部档案行政执法检查部门加强联系,通过行政执法部门对档案工作的指导和专业性的检查,对不规范或不符合要求的地方及时进行整改,以促进机关档案工作依法管理。通过外部监督,强化机关档案工作的法制建设。

三、加强制度建设,为档案安全保障体系提供机制保障

1.建立组织保障体系。档案安全保障体系建设需要有人来计划、设计和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级档案部门领导要高度重视,并积极实施有关档案系统安全方面的各项措施;另一方面,让工作人员和用户对网络安全性要有深入地了解,使他们积极地自觉地遵守各项信息系统安全制度和措施,防患于未然,就能降低档案网络信息系统的安全风险。档案信息以及档案工作者头脑中的包括直觉知识、阅历、情感等进行综合、概括、提炼的知识。档案信息专家能够充分使用认知、自然、情感和行为各个组成部分,在显性信息服务向隐性知识服务转变的过程中发挥重要作用。所以,一个高水平的档案馆必须重视档案信息专家的引进和培养,必须注重发挥档案信息专家的作用。业务工作者也是掌握多项技能的复合型人才,要求机构中的每位员工都把信息化和档案业务作为同等重要的基础性工作来开展。2.建立制度保障体系。建立有效的管理制度是保障档案信息安全的关键。规范档案管理、保障档案信息安全的永久性措施应该是建立程序化、制度化管理模式并严格执行、落实到位。这同样需要分别制定相应的政策与规范,并采取必要的措施强化落实,做到制度正确,落实见效。要积极争取上级有关部门的政策支持,根据档案部门的实际情况,参考《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国档案法》、《中华人民共和国保密法》等法律、法规,制定出适合档案部门的规章制度,以此约束所有用户、系统管理员以及其他成员,保证档案信息系统安全、可靠地正常运行。由于网络设备和系统软件本身存在一定的缺陷,再加上从事黑客的个人或组织技术在不断升级,所以,档案信息系统没有绝对的安全,只有相对的安全。档案信息化安全保障体系是一个动态的概念,面对档案信息系统安全的诸多问题,必须时刻警惕,运用多种手段,不断在技术上更新,管理体制上完善,人员素质和管理理念上紧跟网络发展的步伐。只有时刻从档案数据安全的方方面面出发,点滴不漏,常抓不懈,才能建立起完善的档案信息安全保障体系,确保档案信息系统的安全,保证档案信息化建设顺利进行。

四、加强设施建设,为档案安全保障体系提供物质保障

一是加强档案库房建设。为了档案工作的可持续发展,我们必须做好档案实体的保护工作。因此,在档案库房与门窗的设计、防火材料、消防系统、库房温湿度、技术与管理方面,需要进一步加大投入。库房是保管档案的场所,档案库房多数是在机关办公大楼上的,客观上不具备建档案库房的条件。在这样的情况下,首先要考虑档案库房的承重问题。一般作为档案库房,钢筋的密度要大,数量要多,型号要粗。预防火灾对机关档案实体安全来说是头等大事。随着科学技术的发展,建筑材料、各种电器设备的种类日益增多,档案库房引起火灾的危险性可能性进一步增大。火灾是当今档案部门的头号灾害,为预防火灾,档案库房门口,必须配备消防器材,如手提灭器或手推移动灭火器等。档案库房要做好防火防潮的处理,保存的各种载体的档案对温湿度都有严格的要求,在技术参数范围内,档案能够长久的保存。反之,温湿度过高过低,都会影响档案的寿命。门窗要严格按国家档案局要求安装。作为档案实体安全的装具,我们仍然要求采用可移动铁皮柜和不可移动密集架,它具有防火、防鼠功能。档案盒作为贴身装具,制作档案盒的牛皮纸要做去酸处理,这样做,有利于档案实体安全的保护。二是加强档案数字化建设。在系统硬件设备方面,要做到:第一,内外网隔离。根据有关安全保密部门的网络安全规定,的计算机信息系统,不得直接或间接与国际互联网或其它公共信息网互相连接,必须实行隔离。因此,对档案部门的内部网络和国际互联网,要严格地进行隔离,防止不宜公开的内部档案信息通过网络连接泄露到外部公众网。第二,将内部网络划分成若干个安全级别不同的子网,实现内部一个网段与另一个网段的隔离。这样,就能防止某一个网段的安全问题在整个网络传播,限制局部网络安全问题对全局网络安全造成的影响。第三,每个厂家的设备有它独特的优点也有它不可克服的致命弱点,因此在选用档案网络设备时,尽量选用不同厂家不同型号的设备,做到优势互补,封堵网络漏洞,增强系统的安全性能。

五、加强技术建设,为档案安全保障体系提供安全保障

网络、计算机、存储器和信息系统是数字化档案信息生存的基础,也是引发安全问题的风险基地。黑客攻击、病毒蔓延、信息窃取、技术落后、制度不健全、管理不规范、措施不到位、治理不及时是产生不安全因素的根源,其中有客观的因素,也有主观的原因。因此,加强对客观侵害行为的防范,对主管漏洞的治理,对安全事故的补救是保障网络畅通、系统稳定、数据安全的重要措施。只有网络和系统安全了,数字化档案信息的安全才能得以保障。建立技术保障体系是提高网络和系统免疫力的重要措施。1.保障网络安全:防火墙和入侵检测技术是常用的保障网络安全的两种手段,入侵检测技术侧重于监测、监控和预警,而防火墙则在内外网之间的访问控制领域具有明显的优势、功能强大,效果明显。面对网络攻击手段复杂度的不断提高及融合能力的逐渐加强,要在网络层采取安全技术的应用和安全产品的联动启用措施,全面提高网络的综合防范能力。2.保障系统安全:加强升级服务,做到无漏洞运行。目前各操作系统的开发商已经开通了专业通道,提供升级服务的补丁程序下载、安装和检测服务,而且大多是免费的,因此,能否做到系统的无漏洞运行,关键在于人们是否使用正版软件,增强了安全意识并做到及时升级,及时打补丁,,保障每台客户端的无漏洞运行。3.保障档案信息系统的安全:要做好系统用户的安全管理,不给偷窃者以机会。

目前,保障合法用户的做法是采取强身份认证、加密和防密码偷窃等技术,并保证内部安全管理制度和措施的有效性实施与落实。4.保障档案数据的安全:实行隔离、加密、备份等措施。安全管理的最终目的就是保障网络上传输的、系统中存储的、用户访问到的档案数据和信息是真实、完整和有效的,并保障系统操作者能够方便地访问自身权限范围内的数据,杜绝无权用户进入系统,因此数据加密、硬盘加密、文件系统加密,增加系统存储的复杂性等都成为保障数据安全的有效措施。5.病毒防范:建立网络化的病毒防范体系,实现病毒库的同步升级几乎有网络和计算机存在的地方,病毒都会伴随。每台计算机上都应安装防病毒软件系统,并及时更新病毒库,而对于网络环境下的一个组织而言,病毒杀不尽的原因则是网络上至少有一台机器有病毒,并在网上扩散传播,因此购买网络版的防病毒软件,建立网络化的病毒防范体系,实现病毒库的统一管理,同步升级,是防范病毒侵害数字化档案信息的有效措施之一。同时,加强对病毒知识的学习,提高机构中每位员工的主动防范意识和警惕性也是非常重要的保障措施。

第2篇:网络安全保障体系建设范文

关键词 信息系统;安全;保障体系;技术;信息技术基础设施

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)14-0137-02

油服信息技术应用与集中程度的不断深入提高,信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点,在信息安全形势多变的情况下,独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障,将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此,需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系,采用先进的安全管理过程模式,完善信息安全管理制度与规范,提高员工的信息安全意识,提升风险控制及保障水平,以支撑油服核心业务的健康发展。

1 信息安全保障体系

1.1 信息安全保障体系建设需求

油服在信息安全方面已部署了部分信息安全防护措施,如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时,每年都开展信息系统安全测评工作,对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等,从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况,以提高信息系统的安全防护能力。但从总体来看,仍缺乏信息安全保障体系框架,总体安全方针和策略不够明确,安全区域划分不够细致,网络设备和重要服务器的安全策略缺乏统一标准,未部署安全运维管理中心,无法真正起到纵深安全防御的效用。

1.2 信息安全保障体系目标与定位

信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势,在风险评估的基础上,明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理的安全域划分,技术与管理并重的同时,以应用与实效为主导,从网络、应用系统、组织管理等方面,保障油服信息安全,形成集检测、响应、恢复、防护为一体的安全保障体系。

2 油服信息安全保障体系架构模型

油服信息安全保障体系框架采用“结构化”的分析和控制方法,纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络;横向把控制体系分成安全管理、安全技术和安全运行的控制体系,同时通过“一个安全管理中心”的安全管理概念和模式,形成一个依托于安全保护对象为基础,横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系

框架。

2.1 安全管理体系

根据等级保护基本要求的相关内容,信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。

2.2 安全技术体系

根据等级保护基本要求的相关内容,通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与实际情况相结合的安全技术体系。

2.3 安全运行体系

根据等级保护基本要求的相关内容,信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与实际情况相结合,形成符合等级保护要求的信息安全运行体系

框架。

2.4 安全管理中心

根据等级保护基本要求和安全设计技术要求的相关内容,通过“自动、平台化”的方式,对信息安全管理、技术、运行三个体系的相关控制内容,结合实际情况加以落实。

3 油服信息安全保障体系架构设计

3.1 安全管理体系架构设计

信息安全管理体系架构的设计可从以下3方面开展。

3.1.1 信息安全组织

油服信息安全组织为信息安全管理委员会,各业务部门为信息安全小组,部门经理为本小组的第一安全责任人。同时,定义了组织中各职能角色的职责,以此指导信息安全工作开展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及时反映公司的信息安全风险动态,便于灵活地修订与更新;另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的,哪些是必须做的。

3.1.3 人员安全管理

在人员安全管理方面,可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安全几个方面进行设计。

3.2 安全技术体系架构设计

信息安全技术体系架构设计可从以下3个方面开展。

3.2.1 信息安全服务架构

信息安全服务架构设计分为保护、检测、响应与恢复四个环节,实现对信息可用性、完整性和机密性的保护,监测检查系统存在的安全漏洞,对危害系统安全的事件行为做出响应

处理。

3.2.2 信息技术基础设施安全架构

信息技术基础设施安全架构以网络安全架构为主体,结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域,并实施安全防护措施。

3.2.3 应用安全架构

应用系统的信息安全保障是在信息技术基础设施安全架构上,更多地关注已有的信息安全服务是否被充分利用。为满足业务系统对信息安全的需求,通过在业务系统中实现集成保障信息安全的机制,从而达到信息安全技术控制要求。

3.3 安全运行体系架构设计

油服信息安全运行体系架构设计主要从以下3个方面开展。

3.3.1 信息系统安全等级划分

油服信息系统安全等级划分从信息资产等级、网络系统等级和应用系统等级三个方面进行定义。

3.3.2 信息安全技术控制

信息安全技术控制是由系统自身自动完成的安全控制。主要在信息系统的网络层、系统层和应用层,包含身份鉴别、访问控制、安全审计等五大类通用技术。

3.3.3 信息安全运作控制

信息安全运作控制是在油服业务运作和信息技术运作过程中进行实施的运作类安全控制,包括控制针对的主要风险点及具体分类。

4 结束语

在油服业务不断拓展,国际化步伐不断深入的过程中,信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长,信息安全也愈发重要。健全油服信息安全保障体系,为实现“制度标准化、工作制度化”的管理常态奠定了坚实的基础。油服信息安全保障体系不仅从物理网络安全、系统应用安全、数据和用户安全等方面入手,还从安全域划分、安全边界防护、主动监控、访问控制和应急响应等方面综合考虑,进一步加强落实信息安全等级保护的基本要求,初步实现对网络与应用系统细粒度、全方位的安全管控,从而更为有效地提升了油服在信息安全方面的管理水平。

参考文献

[1]马永.浅谈企业信息安全保障体系建设[J].计算机安全,2007(7):72-75.

[2]王朗.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报(自然科学版),2004(2):58-62.

[3]黄海鹰.信息安全保障体系建设研究[J].数字图书馆论坛,2009(9):13-15.

第3篇:网络安全保障体系建设范文

 

1 网络信息安全的内涵

 

网络信息安全定义是:计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因遭到破坏、篡改、泄露,防止非授权的单位使用[1]。网络系统能够保持服务不受中断,维持可靠运行。

 

不同的用户对网络信息安全的定义有所不同。作为普通民众,他们希望自己的隐私信息能够得到有效保护,不被他人窃取利用。对网络安全管理员来说,他们希望始终有权限管控自己的网络,并不受外界恶意入侵和破坏。对于国家安全部门而言,阻挡一切可能造成威胁的信息,并防止任何信息外泄是他们的工作目标。网络信息安全,离不开技术和治理两方面的努力。

 

2 目前网络安全的主要技术

 

2.1 防火墙

 

防火墙是一个或一组网络设备。防火墙的主要作用是加强两个或两个以上网络中的访问控制[2]。防火墙主要目的是保护网络不受外界攻击。通过对网络设定防火墙,能对来自外部网络的信息进行有效筛查,将安全的信息放行,将存在威胁的信息过滤。达到保护网络安全的目的。

 

防火墙具有以下特点:(1)网络之间的信息传递,都需要经过防火墙筛查;(2)只有符合安全策略的信息数据才能通过防火墙;(3)防火墙兼具保护和预防外部网络入侵的功能。虽然防火墙对保护网络安全具有良好效果,但其最大的缺陷在于会造成网络服务于网络间的数据传输速度大幅下降。这也是为了达到保护网络安全所必须付出的代价。

 

2.2 数据加密技术

 

当今时代,信息是一把双刃剑。它既能帮助团体或个人,令他们从中受益,同时也能成为威胁和破坏的工具。因此这就要求出现某种安全技术对信息进行有效保护,防止被恶意窃取或利用。

 

数据加密技术,是通过使用数字,对原有的信息进行重新组织。经过数字加密技术处理后的数据,除了合法使用者外,其他人难以将信息进行恢复。数据加密主要是对传输中的数据流进行加密。加密方法有线路加密与端对端加密两种。线路加密侧重于对传输线路加密,端对端加密是使用者在段的两头对信息进行加密处理,再经过TCP/IP数据包封装后通过互联网传输到目的地。到达目的地后收件人用相应的密匙对数据包解密,将信息恢复。

 

2.3 入侵检测系统

 

入侵检测技术是对外部网络入侵行为进行检测[3]。它通过不断收集和分析网络行为、安全日志并对数据进行审计,及时获取系统中关键点信息,检查网络或系统是否存在被恶意攻击或违反安全策略的行为。入侵检测的任务主要包括:(1)对系统中用户的各种活动进行监视;(2)检查网络系统存在的弱点;(3)将工作中的异常情况进行记录和报告;(4)对数据完整性进行检查;(5)遭受外来攻击时报警。

 

3 加强计算机网络信息安全对策

 

3.1 强化网络安全保障体系建设

 

强化网络安全保障体系建设,离不开多方面的共同努力。当前国家信息安全保障体系建设,应当围绕以下几方面:(1)深入研究和开发信息加密技术;(2)健全网络信息安全体系;(3)强化网络信息安全风险评估;(4)建立健全信息安全监控体系;(5)加大对信息安全应急处理工作的重视度。

 

在面对网络信息安全威胁时,作为普通用户应当提高自身网络安全意识。在学习必要的网络安全知识外,对来自外部网络的突然进攻应当保持冷静。作为企业用户,网络安全建设更加复杂,保护网络信息安全的意义也更为深远。首先,企业应当设计符合自身需要的安全策略,对重点对象提供有效保护。第二加强对用户访问权的控制,对非法用户的操作进行严格限制,保护企业信息不受侵犯。

 

3.2 构建信息安全体系的措施

 

目前我国信息安全保障水平偏低,构建有效的网络信息安全体系,需要社会各界的共同努力。没有通力合作,难以应对日益复杂的网络安全事件,而且网络信息安全技术涉及面广,技术难度大,单一组织或个人的网络安全技术难以满足各方面需求。

 

(1)加强国家宏观调控。吸收发达国家网络信息安全管理经验,建立具有国家权威的网络信息安全部门,由该部门对我国网络信息安全体系建设路线、方针进行统筹规划。

 

(2)完善相关法律法规。进一步完善我国相关网络安全法律法规,保障信息安全产业的权益,加大对危害信息安全行为的处罚力度。

 

(3)鼓励网络安全技术领域投资。从国家的角度,鼓励网络安全技术领域投资包括加大财政对信息安全产业的直接投入,和给予信息安全产业相关企业、团体政策支持和补贴,扩大其发展规模。

 

(4)加强信息安全技术创新。我国目前正掀起“大众创业,万众创新”的社会浪潮。在此背景之下,鼓励安全信息技术创新,并给予高额奖励,推动我国信息安全技术的发展。

 

4 结语

 

综上,目前网络信息安全正越来越受到关注。虽然目前有许多网络安全产品保护用户信息,但由于网络自身仍存在安全隐患,因而来自外部攻击难以从根本上消除。建立健全网络信息安全体系,对未来促进我国互联网发展将发挥巨大作用。

第4篇:网络安全保障体系建设范文

 

1 综合治理信息安全的战略背景

 

IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。

 

目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。

 

如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。

 

2 建立和实施信息安全保障体系思路和方法

 

针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。

 

2.1 建立和推行目标管理

 

体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。

 

基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。

 

网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。

 

IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。

 

业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。

 

从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。

 

根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。

 

从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。

 

2.2 规划融合信息安全保障体系

 

通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。

 

①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。

 

②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。

 

③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。

 

其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。

 

④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。

 

3 企业建立和实施信息安全保障体系实践

 

面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。

 

①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。

 

②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。

 

③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。

 

④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。

 

几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。

第5篇:网络安全保障体系建设范文

关键词:物联网;政府;社会管理创新

一、物联网与政府社会管理创新

(一)政府社会管理与社会管理创新

政府社会管理指政府对社会公共事务的一系列管理活动或过程,以改善和保障人民物质和文化生活为依归。社会主义市场经济体制要求政府转变管理理念、范围、模式和方法,构建政府和社会良性互动体系。社会管理创新是政府采用新的方法和技术通过制定专门的、系统的、规范的社会政策和法规,对社会公共事务的一系列管理活动和过程。

(二)社会管理创新与物联网的联系与作用

政府在社会管理过程中对于网络的依赖越来越强。加之物联网具有渗透性强、带动作用大、综合效益好的特点,物联网的推动与发展有利于促进生产生活和社会管理方式向智能化、精细化、网络化方向转变,对于提高国民经济和社会信息化水平,提升社会管理和公共服务水平,带动社会管理服务方式的创新具有重要作用。物联网可以大大提高政府公共事务管理、公共服务的能力和水平,促进政府服务向主动型服务转变。

二、物联网在应用于政府社会管理创新过程中的问题

(一)物联网实施标准不统一,阻碍共同合作网络的建设,管理平台建设难产

物联网的发展越来越迅速,现在大到汽车,小至微波炉,手机,都可以各种信号技术联系在一起,这让我们的生活变得更方便了,但是我们现在没有办法确保我们使用的设备是否具有网络功能或者有网络适用,因此物联网要实现联网容易,物物相连却是问题。而且由于地域限制,各地的技术交流受到限制,一般经济发达地区的物联网实施标准要高于经济欠发达地区物联网建设的标准。这就造成社会共同合作网络建设难以实现,从而造成管理平台建设难产。因此,一个统一的物联网标准的文件制定势在必行。

(二)物联网实施需要的财政资助的问题

2011年4月,财政部实施《物联网发展专项资金管理暂行办法》,将安排专项资金,鼓励和支持企业以产业联盟组织形式开展物联网研发及应用活动。各地因为经济因素的制约和各地政府对于物联网技术的认识,财政预算和财政支出数额也存在很大差异,对于物联网的重视程度也存在不小的差异。这就造成了物联网实施的差异并且给物联网的普及带来经济阻碍。

(三)相关参与主体信息安全与安全体系建设的问题

政府管理信息安全和参与管理公民的信息安全与个人隐私,安全体系建设的问题。如果网络安全隐患的问题不能得到很好的解决,就将会在很大程度上制约物联网的进一步发展。物联网和互联网是密不可分的。现有的网络安全体系中,大部分机制仍然可以适用于物联网,但是在物联网安全体系的建设上,我们还需要根据物联网的特征对其安全机制进行调整和补充。所以可以将多年积累的安全技术以及对数据安全的理解应用到物联网中来,并研究与物联网特征对应的安全机制。

(四)法律法规制度不健全

在物联网的建设与运用过程中,涉及的法律问题非常多,可以说在每一个环节都有若干个法律问题。物联网涉及的知识产权非常多,既需要知识产权管理部门作出详细的规定,也需要从事物联网的当事人高度重视对自身知识产权的保护和对他人知识产权的尊重。

三、政府在创新社会管理方式中对物联网的科学应用

(一)统一规划和领导

按照统筹规划、分工协作、保障重点、急用先行的原则,建立高效的标准协调机制,积极推动自主技术标准的国际化,逐步完善物联网标准体系。首先加速完成标准体系框架的建设。其次,积极推进共性和关键技术标准的研制。最后,加强专业化公共服务平台建设。建立健全行业统计和运行监测分析工作体系,加强对重大项目建设的监督、检查和处理,推动物联网产业发展。

(二)加强参与主体的安全保护保障体系建设

建立信息安全保障体系,做好物联网信息安全顶层设计。加强监督管理,做好物联网重大项目的安全评测和风险评估,构建有效的预警和管理机制,大力提升信息安全保障能力。加强物联网安全技术研发。重点开展隐私保护、节点的轻量级认证、访问控制、密钥管理、安全路由、入侵检测与容侵容错等安全技术研究,推动关键技术的国际标准化进程。建立并完善物联网安全保障体系。建立以政府和行业主管部门为主导,第三方测试机构参与的物联网信息安全保障体系,构建有效的预警和管理机制。对各类物联网应用示范工程全面开展安全风险与系统可靠性评估工作。加强网络基础设施安全防护建设。加强对基础设施性能的分析和行为预测,有针对性的做好网络基础设施的保护。

(三)完善物联网相关法律法规

加强对国内外物联网发展形势研究,做好政策预研工作,针对发展中出现的热点、难点问题,及时制定出台相关管理办法。总结推广各地区、各部门的先进经验,加强政策协调,制定促进物联网健康有序发展的政策法规。

(四)人才队伍建设并加大财政资助

重点培育一批影响力大、带动性强的大企业;营造企业发展环境;加强产业联盟建设。制定和落实相关人才引进和配套服务政策。加大力度培养各类物联网人才,建立健全激励机制,造就一批领军人才和技术带头人。

增加物联网发展专项资金规模,加大产业化专项等对物联网的投入比重,鼓励民资、外资投入物联网领域。落实国家支持高新技术产业和战略性新兴产业发展的税收政策,支持物联网产业发展。

参考文献:

[1]周洁,物联网环境下我国政府公共服务的研究[D]. 西南交通大学.2012

第6篇:网络安全保障体系建设范文

关键词:档案信息;安全保障;体系;构建

今天是一个科技高速发展的时代,信息技术越来越发到,为人们的生活带来了极大的便利性。社会发展朝着信息资源整合、共享的方向发展。随着信息资源整合数字化的脚步不断加快,信息网络化逐渐普及,档案信息化的进程不断加快,数字档案资源借助档案信息系统管理程度不断加深,档案信息的安全性要求越来越高。因此,提高档案信息风险控制能力,加强档案信息安全管理水平,档案信息资源的价值才能有效的发挥起来。

1 档案信息安全保障体系建立的必要性

(一)档案信息特点环境必要

档案信息作为国家信息资源的重要组成部分,因其真实性等特点,需要不断提高对档案信息的重视程度,切实做好保护措施。今天,是信息化的时代,电子档案的传统特点随着信息化的到来而受到质疑。加强档案保护的呼声日渐高涨,档案信息安全已经从原本只做保管向安全保障的方向发展。对于档案的保护工作在早期只在档案保管与内容保密上,到了中期,发展为保密、完整以及可用,最后发展为完整、保密、可用、真实、可控、可申以及不可抵赖。

(二)档案信息安全价值必要。

实现档案信息价值可以依赖档案信息安全保障体系的建立,其具备现实基础的意义。为社会提供服务以及供公众使用的档案信息必须具备真实、完整、准确、有效才行,这就需要档案工作的所有环节都要把防护工作做到位,提高安全思想意识,严格按照“预防第一,防治结合”的方针,制定有效的措施,确保档案信息的真是可用,并最大化档案信息的价值,充分发挥其作用。档案信息安全保障体系的建立,对档案管理事业的发展以及国家信息安全保障体系的建立起到重要的推动作用。

2 影响档案信息安全的因素

(一)自然因素

自然界是档案信息资源存在与运用的主要方面,因此,自然灾害对档案信息的危害极大,能够直接造成档案信息资源的安全隐患发生。

(二)环境因素

为档案信息带来安全隐患的因素还有环境条件的不符合,比如,控制档案信息的网络中心以及工作站会因为环境要求不达标,在成电源质量差、温湿度不合适等现象,再加上空气污染以及有害生物的作用下,很容易为档案信息造成不利影响。

(三)技术因素

对于纸质档案来说,纸张自身的耐久性与造纸技术有着极大的关联性。新型载体档案而言,决定档案信息的安全因素是载体的质量、计算机技术等因素。比如网络安全漏洞、计算机故障等,都会对信息安全带来不利影响。

(四)社会因素

第一制约档案信心安全的重要因素之一资金短缺。资金投入不足,很容易造成档案信息安全软、硬件设备的质量问题。第二,社会暴力等因素,也会为档案信息资源造成安全问题。随着我国互联网的不断发展,各种势力都会利用互联网进行危险活动,因此,很容易造成档案信息的安全问题。

3 档案信息安全管理保障体系

档案信息安全管理体系管理占据重要地位,另外还需要技术的达标。档案信息安全技术保障体系需要档案信息安全管理体系做支撑。剧相关统计表明,信息被盗、信息泄露的根源在于内部管理的松懈,系统内部是计算机安全问题的根源,这些情况的发生主要是因为相关人员思想意识松懈以及管理体制的缺失造成。所以,信息安全技术系统建立之后,相应的管理制度也要紧随其后,两者相辅相成,切实将档案信息安全保障体系落到实处。

(一)建立健全档案信息安全管理制度

相应的安全管理制度是档案信息安全管理与档案信息工作落实到位的重要保障。因此,首先要做好统筹规划工作,将“收、管、存、用”落实到位,制定科学有效的档案信息安全管理方案。其次,相应的档案信息安全管理部门要设置,专门监督档案信息安全与保密管理工作,确保档案信息系统各个方面的工作都落实到位。最后,相应的规章制度的建立,比如安全防范责任制、重要数据与文件管理制度、紧急备份与应急预案等。只有从制度上对安全工作进行约束与规范,才能提高安全管理工作,做好预防工作,将危害的损失降低到最小,切实将档案信息安全体系作用发挥到最优。

(二)加强人员档案信息安全培训提高安全意识

档案信息安全保障体系的核心是人,这不仅是档案信息系统的拥有者,也是管理者与使用者。因此,培养专业的档案信息人才,建设档案信息安全管理队伍,提高相关工作人员的档案信息安全意识,对不同层面的人员做好安全管理工作培训是建设档案信息安全保障体系的关键。只有将人员素质提高了,档案信息安全保障体系工作才能顺利进行。

(三)制定n案信息安全标准规范

根据国内相关法律法规以及行业标准规范、严格按照业界管理,结合自身实际情况,构建档案信息安全保障体系。现阶段,国家档案局以及编制好《档案信息系统安全等级保护定级工作指南》,为指导各省级以上的档案信息安全工作。但是,不可否认的是我国档案信息安全保障体系还处在建设的初级阶段,相比于信息安全保障体系的研究差距还很大,所以,在实施档案信息安全保障体系的过程中,可以参考国内外信息安全保障体系的相应标准规范。只有制定科学有效的档案信息安全标准与规范,档案信息安全工作才能有规可循,建设过程中不必要的工作也会相应的减少,从而更好的规范与保障档案信息安全。

我国信息资源的重要组成部分之一档案信息资源,对我国未来信息资源的安全有着重要的影响。档案管理工作的最基本也是最重要的任务就是档案信息安全保障工作。构建档案信息安全保障体系是发展的必然结果,而这也是一个不能缺少的体系。档案信息安全保障体系的构建,需要从档案信息安全的各个方面做好整体的计划,结合管理与技术,结合不断变化的环境需要制定具体的措施,同时还要根据档案工作的形式做好时时的调整与改进工作。

参考文献

[1]宋丹.基于信息安全风险评估机制的档案信息安全保障体系建设研究[J].档案时空,2013(12).

[2]顾倩倩.加强档案安全保障体系建设确保事业单位档案信息安全[J].才智, 2015(15).

第7篇:网络安全保障体系建设范文

随着烟草行业信息化快速发展及云计算、虚拟化、移动应用等新兴技术运用,使烟草行业的信息安全面临新的挑战,主要表现在以下几点。

1.1核心软硬件被国外垄断,严重威胁行业信息安全

当前,烟草行业的信息系统基础设施,包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌,使得烟草行业信息系统比较容易被国外掌控,威胁烟草行业信息安全。

1.2传统互联网威胁向烟草行业辐射

随着电子商务的快速发展,烟草行业信息系统由半封闭的行业内网向互联网转变,网上订货、网上营销等新型业务与互联网结合日益紧密,同样面临的网络攻击和威胁形势日益复杂严峻,传统互联网威胁(如病毒、木马等)也必将危及行业信息安全。

1.3新技术的应用使行业信息安全面临更大挑战

随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用,极大地影响了信息系统的运行和服务方式,互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。

2烟草行业信息安全发展方向

近期,为处理好安全和发展的关系,适应信息技术发展形势需要,提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。

2.1坚持自主安全可控,健全行业信息安全体系

信息安全自主可控作为行业信息化发展的重要保障,加大安全可靠的先进技术应用力度,提升对核心技术的自主掌控能力,保障行业信息化建设稳步推进,健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全,加大安全可控关键软硬件的应用比例,确保行业信息化高效安全平稳运行。

2.2坚持等级保护,提高安全管理水平

执行国家信息安全等级保护制度,以安全策略为核心,坚持技术和管理相结合,构建与行业信息化发展协调一致的行业网络安全体系。

2.3强化安全运维机制,提升安全保障能力

目前,行业信息安全保障尚未全面融入信息化的“建管用”的各个环节,需要进一步建设、健全行业网络安全保障体系,落实安全运维机制,提升安全综合防范能力。

2.4完善应急处置体系,保证系统安全稳定运行

加强日常信息安全监控,进一步完善信息安全应急处置机制,充分评估信息系统面临的威胁,并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练,提升信息系统预警、应急处置和恢复能力,保障业务系统的连续稳定运行。

2.5烟草行业信息安全建设思路

随着国家、行业主管单位对信息安全认识和要求的不断深入,烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标,包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计,从而提高信息系统信息安全综合防范能力。

2.6建立系统安全基线,提升系统基础防护能力

国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准,同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南,各行业单位对标准规范和安全建设尚不能有效落地,不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平,防止因为各类系统、设备的安全配置不到位而带来安全风险,有必要针对信息系统建立其基本的安全要求(安全基线),确保信息系统具有基本的安全保护能力。

2.7建立自主可控信息安全技术体系

自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求,启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查,及时发现系统安全隐患,同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范,明确新技术的使用、运维和管理的方法和范围。

2.8不断完善行业信息安全标准规范体系

目前烟草行业已经陆续了一系列行业信息安全标准和规范,但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范,对于烟草信行业信息安全具有重要意义。例如,针对信息系统的建设,应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用,应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范,为烟草行业的移动应用建设提供指导;针对烟草行业数据安全,应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范,为合理保护和利用行业数据提供指导;针对第三方服务外包,制定第三方服务机构服务质量基本评价指标体系。

2.9建立安全运维管理服务体系

一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立,得到该业务系统的安全运维水平评级,以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等,同时要加强对运维监控中发现的各种异常现象的监控分析,对风险隐患及时处理,同时根据运行分析结果动态评估系统的处理能力,动态优化系统资源配置。二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节,落实系统建设全生命周期各环节的安全指标和流程要求,做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。三是完善应急处置机制,保障业务连续性。随着行业数据的集中,各类信息系统整合的不断推进,信息系统的技术体系日趋复杂,需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁,并制订和完善各类信息安全事件的应急预案,并定期开展应急演练。

2.10开展信息安全风险态势感知体系研究

风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估,同样也应对整体安全管理水平进行评估,为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面,从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面,从信息系统所需要达成的安全管理水平入手,通过对一系列管理指标的度量,来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系,是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求,建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面,以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系,提高信息系统的信息安全保障能力,提高信息安全事件的预警及防范能力。

3结语

第8篇:网络安全保障体系建设范文

【关键词】网络安全;网络攻击;建设与规划;校园网

1、网络现状

扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。

2、安全威胁分析

目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。

2.1安全设备现状

Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。

2.2外部网络安全威胁

互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。

2.3内部网络安全威胁

内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。

3、安全改造需求分析

本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。

4、解决方案

网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。

4.1短期网络建设规划

4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。

4.2长期网络建设规划

网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。

5、结语

从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。

参考文献:

[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184

[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3

[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4

[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17

[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31

第9篇:网络安全保障体系建设范文

紧接着,全球最大的中文搜索引擎百度也遭遇攻击,从而导致用户不能正常访问,众多网站最近频遭网络攻击的消息,不禁引起业界及广大网民的深刻反思:“我们的互联网真的安全吗?”

据中国互联网络信息中心的调查报告,2009年我国网民规模达到3.84亿人,普及率达28.9%,网民规模较2008年底增长8600万人,年增长率为28.9%。中国互联网呈现出前所未有的发展与繁荣。

然而,在高速发展的背后,我们不能忽视的是互联网安全存在的极大漏洞,期盼互联网增长的不仅有渴望信息的网民,也有心存不善的黑客,不仅有滚滚而来的财富,也有让人猝不及防的损失。此次发生的政府网站篡改事件、百度被攻击事件已经给我们敲响了警钟:“重视互联网安全刻不容缓!”

显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,如不及时采取积极有效的应对措施,必将影响我国信息化的深入持续发展,对我国经济社会的健康发展带来不利影响。进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。

首先,要深刻认识网络安全工作的重要性和紧迫性。党的十七大指出,要大力推进信息化与工业化的融合。推进信息化与工业化融合发展,对网络安全必须有新的要求。信息化发展越深入,经济社会对网络的应用性越强,保证网络安全就显得越重要,要求也更高。因此,政府各级主管部门要从战略高度认识网络安全的重要性、紧迫性,始终坚持一手抓发展,一手抓管理。在加强互联网发展,深入推动信息化进程的同时,采取有效措施做好网络安全各项工作,着力构建一个技术先进、管理高效、安全可靠的网络信息安全保障体系。

第二,要进一步完善网络应急处理协调机制。网络安全是一项跨部门、跨行业的系统工程,涉及政府部门、企业应用部门、行业组织、科研院校等方方面面,各方面要秉承共建共享的理念,建立起运转灵活、反应快速的协调机制,形成合力有效应对各类网络安全问题。特别是,移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面,包含外部威胁和内部管控、第三方管理等多个方位的安全需求,因此应全面考虑不同层面、多个方位的立体防护策略。

第三,要着力加强网络安全队伍建设和技术研究。要牢固树立人才第一观念,为加强网络管理提供坚实的人才保障和智力支持。要发挥科研院所和高校的优势,积极支持网络安全学科专业和培训机构的建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型队伍。不断加强创新建设,是有效提升网络安全水平的基础,要加强相关技术,特别是关键核心技术的攻关力度,积极研究制订和推动出台有关扶持政策,有效应对网络安全面临的各种挑战。

第四,要进一步加强网络安全国际交流与合作。在立足我国国情,按照政府主导、多方参与、民主决策、透明高效的互联网管理原则的基础上,不断增强应急协调能力,进一步加强网络安全领域的国际交流与合作,推动形成公平合理的国际互联网治理新格局,共同营造和维护良好的网络环境。

第五,要加强网络和信息安全战略与规划的研究,针对网络信息安全的薄弱环节,不断完善有关规章制度。如在当前的市场准入中,要求运营商必须承诺信息安全保障措施和信息安全责任,并监督其自觉履行相关义务。还要充分发挥行业自律及社会监督作用,利用行业自律组织完善行业规范、制定行业章程、推广安全技术、倡导网络文明。

相关热门标签
相关文章阅读
相关期刊推荐
精选范文推荐