公司信息安全体系构建

公司信息安全体系构建（精选11篇）

公司信息安全体系构建 第1篇

C公司的信息化建设起步于20世纪80年代初,在建设的初期通过引进、吸收的方式建立了以富士通中型计算机为平台的管理信息系统,而且开发并应用了财务、调度、统计等一系列通用软件系统。进入到90年代,C公司在信息化建设上加大了投入力度,购置了运算速度更快、处理能力更强以及稳定性更好的IBM大型机来作为管理信息系统的服务器,并淘汰掉富士通中型计算机,将一些主要的应用系统如调度、统计、财务等都迁移到大型机上运行。并先后三次派送多名技术人员出国培训,为C公司信息系统的稳定运行提供有力的人才保障。2000年后,随着网络技术的飞速发展和广泛应用,C公司的应用系统也由原来的单机运行,转变为网络分布式架构应用,其工作内容主要体现在三个方面:应用系统建设、网络建设、信息组织建设。

虽然C公司至今未发生过重大的信息安全事件,但是病毒攻击、网络中断、个别应用系统瘫痪等情况却时有发生。信息中心技术人员经常疲于应付各种各样病毒、死机、数据丢失等问题,虽然做了大量工作,但却仍然经常收到用户投诉和抱怨。为了更好地掌握C公司信息安全现状,尽可能地挖掘C公司在信息安全管理过程中的漏洞和薄弱环节,为业务应用提供安全保证,公司聘请了惠普公司安全测试人员,并使用极光远程安全评估系统AURO-RA-600-B对现有系统中所有服务器网段进行扫描(详见附表1所示),测试结果表明:有5台服务器的扫描结果为非常危险,12台服务器的扫描结果为比较危险,13台服务器的扫描结果为比较安全,13台服务器的扫描结果为非常安全,其所占的比例如图1所示。

通过对扫描结果的分析,C公司发现在信息安全方面主要存在着以下技术问题:

1)重要业务数据存储在个人的电脑当中,没有制定良好的备份机制。对于目前的备份作业来看,没有确定一个良好的备份方法,使备份工作流于形式;没有对备份作业进行恢复性测试,存在着很大的安全隐患。

2)没有完全禁用网络设备上不必要的和不使用的网络服务。

3)缺少先进、全面的日志管理工具和安全防御工具;不能通过使用强大的日志分析工具,对网络中的异常情况在最短时间内报警并联动安全防御工具对网络起到有效保护。

4)系统使用了默认的安装方式,并且安装了多余的服务和使用了默认账号,给系统增加了额外安全风险;有的没有对默认安装的服务进行安全性检查;一些系统没有安装重要的系统安全补丁,或者在安装了系统安全补丁后没有按照要求重新启动计算机;一些系统服务在安装完成以后,并未对其完成全部安全配置,存在很高安全风险。

5)系统管理员账号口令过于简单,有的口令与用户名相同、甚至为空,有的口令只是简单的连续3到5位数字,或者用自己的生日做口令等弱口令现象非常普遍。

2 信息安全风险评估

按照ISO17799标准,安全风险评估是安全体系建设必需的前奏,可为安全体系建设确定安全需求,提出安全规划,并为安全技术标准体系和安全管理体系的制定提供完善的建议。

2.1 评估流程

参照ISO27001的风险评估方法,风险评估共分7个阶段:评估规划、信息收集、资产确定和估值、威胁和漏洞分析、影响和可能性分析、风险建模和分析、确定和推荐控制措施。C公司的风险评估部分结果如表1所示。

进一步对这些漏洞产生的风险进行统计分析,结果高风险有875个(占9%),中风险有3762个(占39%),低风险有5104个(占52%)。具体的风险分布比例如图2所示。

从风险评估的结果分布图上看,高风险情况占的比例低于10%,在国内同行业中属于较好状态,但于世界先进水平相比还有很大差距(通常要求控制在4%以下)。

3 信息安全体系构建

C公司的信息安全体系由三个方面组成:安全策略体系、安全管理体系和安全技术体系。

3.1 安全策略体系

安全策略体系包括管理策略、法律法规、规章制度、技术标准、管理标准等,是信息安全策略的最核心问题,是整个信息安全建设的依据。安全策略覆盖了资产管理、人员信息安全管理、物理和环境安全管理、日常运行维护安全管理、信息系统安全访问控制管理五个方面。安全策略的规划工作是信息安全体系建设的基础,它是C公司信息安全体系建设的标准,是整个信息安全建设的蓝图。

3.2 安全管理体系

通过对信息安全管理工作的梳理,C公司制定了9个流程,具体名称见表2所示。

3.3 安全技术体系

信息安全技术主要包含实现信息安全的产品(如防火墙、防病毒软件等)、执行信息安全的工具和服务(如入侵监测、网络行为审计、IT流程服务管理、配置管理等)三个方面。在C公司安全技术体系规划中,设计宗旨可以表述为:依据最新、最先进的国际信息安全标准,采用国际上先进的安全技术。参照国际标准来规范信息安全产品和服务,严格遵守中华人民共和国相关的法律和法规。考虑到安全产品的使用特性以及C航运业务应用的不断发展,安全产品的配置还要适用将来一定时期内的业务需求。

参考文献

[1]Acharya.网络存储的备份策略[M].中译本.北京:电子工业出版社,2001.

[2]张晓阳.信息安全防范策略[M].北京:电子工业出版社,2003.

[3]李证.中央企业信息安全管理指南[M].北京:北京工业大学出版社,2004.

[4]蔡勉.信息系统安全理论与技术[M].北京:北京工业大学出版社,2006.

新时期金融信息安全体系构建措施 第2篇

1信息安全体系概况

信息安全体系的构建在于其通过计算机技术在内部形成有效的防火墙和巩固的内部系统来预防和阻止因非法入侵、攻击、盗用而造成的信息遗失安全问题，信息安全管理主要包括系统安全管理、安全服务管理和安全机制管理。

要确保信息安全体系的有效运行，就要确保安全有效的信息安全保护机制。

1.1信息安全保护机制

信息安全保护机制的形成是由内而外的逐级形成，其形成的基础在于现阶段全民对于信息资源安全问题的高度重视，从而形成了全体信息资源安全意识，建立起了巩固的心理屏障;其次，国家通过相关法律法规对信息安全管理进行了规范和约束，严厉打击非法入侵和盗用信息资源，为信息安全体系的构建提供了法律保障。

1.2安全服务

安全服务通过对服务过程中的数据和服务对象的鉴定来规范访问权限，以确保未授权情况下的信息资源的完整性和保密性，在服务过程中对相关信息数据的接收和发生备档，防止事后对方抵赖事件的发生。

1.3信息安全体系的框架

完整的信息安全体系的构建是由技术体系、组织机构体系、管理体系三者共同组建的。

如何构建企业信息安全体系 第3篇

为了保障企业的信息安全，必须建立一个企业信息安全体系。信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容（如图1所示），四者既有机结合、又相互支撑。企业的信息安全体系运作就是企业根据安全策略，由安全组织（或人员）以安全技术作为工具和手段进行操作，来维持企业网络的安全运行，从而使网络安全可靠。

安全体系的普遍问题

当前大多数企业的信息安全体系普遍存在以下四方面的问题：

信息安全策略方面：许多企业没有统一的安全运行体系；公司的安全策略没有正式的审批和发布过程，没有公司的行政力度进行保障，使得安全策略在企业内的执行缺乏保障；缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。

信息安全组织方面：缺乏完整、有效、责权统一的专门的信息安全组织，只是配有少量的兼职安全人员。信息安全工作没有明确的责任归属，工作的开展与落实有困难；缺少信息安全专业人员，缺乏相应的安全知识和技能，安全培训不足；缺乏对于全员的信息安全意识教育，桌面系统用户的安全意识薄弱。

信息安全技术方面：用户认证强度不够；应用系统安全功能与强度不足；缺乏有效的信息系统安全监控与审计手段；系统配置存在安全隐患；网络安全域划分不够清晰，网络安全技术的采用缺乏一致性。

信息安全建设与运行方面：没有建立起完善的IT项目建设过程的安全管理机制，应用系统的开发没有同步考虑信息安全的要求，存在信息安全方面的缺陷；日常的安全运维工作常处于被动防御状态；缺乏明确的检查和处罚机制，多数企业在运维管理方面缺乏统一的安全要求和检查；缺乏应急响应机制；对已有安全设施的维护、升级和管理不到位。

面对以上种种问题，企业必须认真考虑下列问题: 企业如何建立信息安全策略体系？企业信息安全组织如何建立？企业信息安全技术是否有效可靠？企业信息安全建设与运行是否有完整的制度保障？要解决这些问题，企业应充分利用成熟的信息安全理论成果，设计出兼顾整体性、具有可操作性，并且融策略、组织、运行和技术为一体的信息安全保障体系，保障企业信息系统的安全。

信息安全策略体系

信息安全策略体系规划为三层架构，包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则（如图2所示），涉及的要素包括信息管理和技术两个方面，覆盖信息系统的物理层、网络层、系统层、应用层四个层面。

技术安全体系

在IAARC信息系统安全技术模型中，包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪五个部分，当前主要的信息安全技术或产品都可以归结到上述五类安全技术要素（如图3所示）。

充分利用信息安全的技术手段(包括身份认证、访问管理、内容安全、审核跟踪和响应恢复等五种保护措施)，同时，结合信息安全所保护的对象层次，以及目前主流的信息安全产品和信息安全技术，完善企业信息安全技术体系框架。

整个企业信息安全技术体系的总体框架如图4所示：

物理层安全

主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。

网络层安全

要建立注重安全域划分和安全架构的设计。可以根据信任程度、受威胁的级别、需要保护的级别和安全需求，将网络从总体上分成四个安全域，即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。

安全边界的防护。边界是不同网络安全区域之间的分界线，是不同网络安全区域间数据流动的必经之路。安全区域的边界防护是根据不同安全区域的安全需要，采取相应的安全技术防护手段，制定合理的安全访问控制策略，控制低安全区域的数据向高安全区域流动。

针对VPN的接入安全控制。用户远程VPN接入主要用于员工出差时访问内部网络的需求和各企业小规模分支机构访问内部网的需求。VPN（虚拟专用网）是为通过一个公用网络（通常是互联网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

网络准入控制。网络准入控制系统是通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估，决定是否允许这台网络终端计算机接入企业网络中。若不符合制定的准入策略，将其放入隔离区以修复，或仅允许其有限地访问资源。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。

做好网络设备登录认证。建立集中的网络设备登录认证系统，用于对网络设备维护用户的集中管理，认证用户的身份，决定其是否可以登录到网络设备;通过定义不同级别的用户，授权他们能执行的不同操作，记录并审计用户的登录和操作。

系统层安全

做好系统主机的入侵检测，针对系统主机的网络访问进行监测，及时发现外来入侵和系统级用户的非法操作行为；要做好系统主机的访问控制，系统主机访问控制提供给系统安全管理员最有效的方法，从用户登录安全、访问控制安全、系统日志安全等方面加入安全机制;要做好系统主机的安全加固，定期对服务器操作系统和数据库系统进行安全配置和加固，在不影响业务处理能力的前提下对系统的配置进行安全优化，以提高系统自身的抗攻击性，消除安全漏洞，降低安全风险；做好主机的安全审计工作，提供全面的安全审计日志和数据，提升主机审计保护能力，对审计数据的访问进行严格控制，加强对审计数据的完整性保护。

应用层安全

随着各种各样的系统应用不断深化和普及，一些应用系统安全问题不断凸现出来。为了最大限度及时规避因应用安全问题带来的威胁，应着力抓好六个方面的工作：建立应用安全基础设施；健全应用安全相关规范；改进应用开发过程；组织关键应用安全性测试；加强应用安全相关人员管理；制定应用安全文档及应急预案。

终端层安全

加强终端电脑的安全管理。终端安全指对接入企业网络的终端设备（主要是台式计算机、笔记本电脑和其他移动设备等）进行的安全管理。内容包括终端安全策略、防病毒、防入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。

备份与恢复

备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内、并使灾难得到有效恢复的安全机制，包括数据级、应用级和业务级三个层次。参照国际标准Share78中定义的容灾系统层次划分，对不同等级的信息系统建立不同的备份与恢复机制。主要工作包括：开发容灾计划，通过对不同等级的信息系统容灾需求分析，确定容灾等级、RTORPO等容灾指标、备份策略、恢复性测试要求等，设计容灾方案；备份与恢复基础设施的建设，包括建立异地灾难恢复系统和重要数据的本地备份设施。

信息安全组织

信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分，能合理阻止关键流程的破坏。同时应加强全员的信息安全意识教育，提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作，组织与职责的清晰定义可以有效地促进信息安全各项工作的进行，包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织要包含决策、管理、执行与监管四个层面。

信息安全教育与培训要覆盖公司各个层面的人员，提升整个企业人员安全的水平，同时人员安全的相关工作在制度和机制方面为教育与培训提供有效保障。

信息安全建设与运行体系

网络信息安全保护体系构建 第4篇

2014年2月27日, 中央网络安全和信息化领导小组宣告成立, 体现了最高层全面深化改革、加强顶层设计的意志, 显示出在保障网络安全、维护国家利益、推动信息化发展的决心。网络时代的到来给网民带来便利和愉悦, 网络的公开性带来信息的共享性, 网民可以在网络平台上自由共享信息和数据, 突破时间和空间的限制, 同时也带来了一丝担忧, 那就是涉及隐私的信息安全谁来保障。首先从网络信息安全的概况入手进而分析网络信息安全政策的影响。

1 网络信息安全概念

网络信息安全, 顾名思义就是在网络作为传播媒介的平台进行信息数据传输、储存、处理和使用的过程中信息数据不被篡改、非法使用或窃取, 保障网络信息处于信息数据所有者的掌控的安全状态。网络信息安全涉及计算机技术、网络信息技术、通信技术、密码技术、信息安全技术等多种技术, 它具有保密性、完整性、可用性。保密性指网络用户在上网期间所有个人信息和网络信息的隐私保护。完整性指网络用户利用网络传输、存储、处理数据和信息时不被破坏和盗取。可用性指网络用户在使用网络时能够自由畅通, 能够掌控数据的提取和处理的进度。

2 我国网络信息安全管理的现状分析

2.1 网络信息安全是一个全球性问题

从世界范围来看, 2012年发生的Mat Honan (连线杂志资深科技记者) 个人信息盗窃事件社会反响较为强烈。他在8月被黑客攻击了iCloud账户, 黑客控制其所有银行账户, 邮件信息以及社交媒体账户。这些都是由几名年龄不大但技术娴熟的黑客完成的。从这一事件看出, 在黑客技术的阴影下, 任何人在网络上的任何信息都可以获取。

2.2 我国网络信息安全形势严峻

来自国家互联网应急中心2013年3月19日公布的《2012年我国互联网网络安全态势综述》的消息, 2012年我国境内被篡改网站数量为16388个, 其中政府网站1802个, 分别同比增长6.1%和21.4%。报告显示, 我国网站被植入后门等隐蔽性攻击事件呈增长态势, 网站用户信息成为黑客窃取重点。移动互联网恶意程序数量急剧增长, 安卓平台成为重灾区。2012年, 我国境内日均发生攻击流量超过1G的较大规模拒绝攻击事件1022起, 约为2011年的3倍, 但常见虚假源地址攻击事件所占比例由2011年的70%下降至49%。这些都表明隐性攻击呈增长态势。网络信息安全形势严峻, 整治网络空间环境刻不容缓。

2.3 网络信息失去安全保障带来严重后果

(1) 侵害民众隐私, 盗取民众资金。根据2013年1月16日召开的2012中国互联网产业年会上公布的信息, 我国有84.8%的网民遇到过网络信息安全事件, 总人数为4.56亿。360公司副总裁石晓虹在会上发布《2012中国互联网安全报告》时称, 我国有84.8%的网民遇到过网络信息安全事件。这些事件包括个人资料泄露、网购支付不安全等。在这些网民中, 77.7%遭受了不同形式的损失, 其中, 产生经济损失的占7.7%。部分网民个人和企业的个人隐私和商业机密被窃取然后被卖给不法个人和组织, 作为不法分子非法牟利的手段。如今, 大部分网站在注册新用户时要求实名注册, 即注册所填信息必须是真实可靠的。这在方便网站管理人员管理的同时也加大了网民信息安全保障的难度和压力。很多网络运营商存有大量用户的基本信息, 由于个人信息保护意识的不健全和疏忽大意, 网络运营商没有征得用户的同意即公布用户信息, 使得用户深受信息泄露的伤害。

(2) 攻击政府和其他社会组织网站后台, 窃取大量机密。《2013年互联网安全威胁报告》显示, 政府网站和金融行业网站仍然是不法分子攻击的重点目标, 安全漏洞是重要联网信息系统遭遇攻击的主要内因。3月, 监测发现境内被篡改政府网站数量为886个, 较上月的686个增长29.2%, 占境内被篡改网站比例由8.2%上升到9.9%;境内被植入后门的政府网站数量为300个, 较上月的227个增长32.2%, 占境内被植入后门网站比例由3.3%上升到4.1%;针对境内网站的仿冒页面数量为3487个, 较上月的1650个大幅增长111.3%, 这些仿冒页面绝大多数是仿冒我国金融机构和著名社会机构。更重要的是, 国家和政府的机密被窃取这种情况严重损害了我国的国家利益, 给我国在经济贸易、对外交往等方面带来巨大的被动, 严重干扰了我国正常的外交内政活动, 更是对我国的政权稳定的一大挑战。

2.4 网民信息安全意识有待提高

《2012年中国网民信息安全状况研究报告》显示, 网民普遍知道要重视信息安全, 但对其原因认识并不清晰。90.3%的网民知道要重视信息安全, 但知道信息安全事件会给自己、给其他人带来不良影响的网民分别仅占57.2%、41.4%。学历越高的网民, 对信息安全事件的危害越了解。知道信息安全事件会给自己、给其他人带来不良影响的网民比例, 从小学及以下的42%、24%, 逐渐提高到硕士及以上的78%、66%。96.2%的网民都会采取信息安全保护措施, 平均每个网民采取5.3种措施。在遇到信息安全事件的网民中, 高达47.5%的网民不做任何处理。

3 我国网络信息安全问题的原因探讨

我国网络信息安全管理出现问题是多种因素造成的。

第一, 我国网络信息安全缺乏系统化的法律规范。虽然我国已有全国人大常委会通过的《关于维护互联网安全的决定》、《中华人民共和国电子签名法》, 国务院颁布的《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机软件保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《电信条例》、《互联网信息服务管理办法》、《商用密码管理条例》等相关法律和法规, 但是总体上看比较分散, 没有一个超越各部门之上的全局法律予以统筹。

第二, 我国网络信息安全管理方面缺乏统筹布局, 职能联动不清晰。科技部门负责国家网络信息安全技术的研发和维护, 国家互联网络信息中心负责注册管理、引领互联网地址行业发展等职能, 国家安全部和公安部门负责网络信息安全的监控和犯罪调查等。中央政府各部门各司其职, 职能联动只局限于表面的沟通和交流, 而且各部门权属和各种资源由于缺乏一个统筹网络信息安全管理的上级部门, 所以相互联动存在很大困难。各种互联网企业负责网络信息安全技术软件的研发和营销, 也存在没有专门部门监管的漏洞。

第三, 目前缺乏一套比较完整的问责机制和赔偿机制, 受侵害网民无处说理。我国网民和企业组织关键信息的泄露问题已经比较严重, 然而受侵害网民却没有地方去维护自身的合法权益, 也没有一个部门和负责人承担责任, 没有相关部门给予补偿, 这种机制的空白既给不法分子以可乘之机, 也是当前建设服务型政府不应该出现的现象。

第四, 我国网络社会缺乏一种道德层面的约束。当今网络信息良莠不齐, 社会思潮也呈现多元化, 一些网络主体在利益面前迷失了自己, 世界观、人生观和价值观出现了偏差, 网络道德呈现退化趋势。网络社会缺乏道德这个看不见的“指挥棒”来引导网络的健康发展。没有道德层面的引导和约束, 就不会有网络信息安全意识的觉醒和提高, 也就不会有网络信息的保护和健康发展。

第五, 我国各种社会组织和个人对于网络信息的保护没有一个完整的意识, 警惕性不高。

我国部分企事业单位在各自网站的安全维护方面存在懈怠, 很多涉密信息没有经过审核直接公布在网上, 内部网的一些信息通过外网泄露, 这些问题都没有引起主管人员的高度重视。网民上网不注意个人隐私的保护, 将涉及自身利益的信息直接放到互联网上。同时, 一些服务网站没有保护网民个人信息安全的意识和规定, 致使各种信息“裸奔”在互联网中。

4 多角度构筑网络信息安全保护系统

4.1 继续完善相关法律和制定细化的法律法规

2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过的关于加强网络信息保护的决定只是一个一般性的法律规定, 我们立法部门应该结合我国社会发展的实际情况积极听取法学界专家的建议和广大民意, 广泛吸收国外在网络信息安全立法方面的优秀经验, 完善和整合相关法律法规, 制定类似网络信息安全管理法等细化的法律, 也为执法部门的依法行政奠定基础。

在条件允许的条件下, 先试行制定行政法规或者行政规章, 不断细化网络信息安全保障的各个方面, 比如严格规范网络服务提供商的信息保存制度、网络监管部门的信息审核制度、网站后台的删减权限制度等等。等到行政法规或者行政规章实施一段时间成熟后再提交人大批准, 制定成体系的法律。

4.2 明确执法部门和其权责范围

涉及网络信息安全管理的部门比较分散, 中央政府可以做好前期准备, 在对我国目前网络信息安全充分调研的基础上, 在立法部门制定和完善法律法规的前提下, 设立一个网络信息安全的专职部门, 履行网络信息安全的监督和执法职能, 同时明确这个专职部门和其他相关管理部门的关系和权责范围, 这对各部门之间的职能联动和协作具有重大意义。专职部门要与公安、检察院、法院的相关部门形成对接, 互通网络犯罪的信息, 形成一张共同打击网络信息犯罪的司法网。同时, 互联网监管机构要加大对国内网络信息的管控力度, 监督网络内容提供商严格按照国家有关规定按时提交网络信息安全报告, 及时报告网络信息安全隐患, 签订责任认定书。

4.3 制定网络信息安全受损的责任追究和赔偿制度

网络信息安全是关乎民众利益和政府形象的问题, 服务型政府需要有所作为维护网络环境的良好秩序。如果民众的网络信息权益受到侵害, 相关部门应该根据相关规定承担责任和做出赔偿, 也就是责任需要落实到位, 谁负责谁赔偿, 并且需要制定出具体的追责制度和具体的赔偿标准, 这是真正体现民众利益得到维护的举措。需要网络内容提供商赔偿的, 责成其及时履行民事赔偿义务, 如有必要还需追究其刑事责任;需要国家有关部门赔偿的, 按照国家赔偿的有关规定赔偿;需要个人赔偿的, 追究其应有的民事和刑事责任。

4.4 需要社会力量发挥宣传作用

政府在推动网络信息安全立法的同时要注重社会各阶层的力量和反响, 需要发动社会力量运用道德这个“指挥棒”帮助整顿网络信息混乱的秩序和局面。社会力量的崛起已经显示了它们存在的力量, 在道德宣传上, 可以借助志愿者等社会团体发起一系列活动唤醒一部分人的良知, 共同倡导网络道德, 为建设一个良好的网络环境“呐喊助威”。传媒媒体应该做好积极的宣传工作, 倡导社会形成网络安全意识, 比如制作宣传片、报道宣传成果和遇到的问题等等。学校要扮演好教育者的角色, 为学生开通网络信息安全的相关课程, 从实践中提取案例分析网络信息安全问题带来的后果和应对的措施。

5 网络信息安全保护的意义

第一, 加强网络信息安全有利于保护网民和其他法人组织的切身利益。

网民和法人组织的个人信息属于隐私和商业机密, 保护网民和法人组织的网络信息可以避免因网络信息被窃取和篡改带来的经济损失和形象受损。当前部分互联网运营商和移动网络运营商因为缺乏保护客户个人信息的意识和对网络信息库监管不力, 导致一部分网民和法人组织的信息数据泄露和被篡改, 给客户带来很多困扰和损失。网络信息安全法律法规和政策的出台有助于遏制网络信息的无序状态, 帮助网民和其他法人组织维护自身的合法权益。

第二, 加强网络信息安全有利于形成良好的舆论氛围, 维护社会的和谐稳定。

网络信息安全不仅涉及到网络虚拟社会, 而且间接地影响到现实社会的发展。非理性的谣言和煽动性言论不仅不会推动问题的解决反而会给本来复杂的问题火上浇油, 影响正常的社会秩序。网络上流传说, 网络信息安全相关法律法规的出台会影响民众言论自由权的行使和维护, 这种说法是站不住脚的。因为国家层面上的把握不是要限制民众的言论自由, 而是要保护民众言论自由的舆论氛围, 在限制部分居心不良民众言论的同时正是为广大守法网民提供一个行使言论自由权的良性舆论氛围, 在维护网民言论自由权利的同时也提醒广大网民为自身的言论负责, 这也是宪法权利和义务匹配的本质所在。

第三, 加强网络信息安全有利于净化网络文化, 推动社会主义精神文明建设大发展大繁荣。

网络信息玉石杂糅, 真假难辨, 尤其是广大青少年正处于知识扩张和心智成熟的关键时期, 追求好奇心的满足, 网络上很多新事物超越了青少年的认知和价值评价的范围, 一些淫秽和反动言论侵害了广大青少年的心灵, 也玷污了我国社会主义大环境下的网络文化。国家加强网络信息的监管和保护力度不仅净化了网络虚拟社区, 而且重新唤醒了广大网民的道德良知和提高了网民尤其是广大青少年的鉴别意识和能力, 正是体现了我国繁荣社会主义文化和加强社会主义核心价值体系建设的要求。

第四, 加强网络信息安全有利于推动互联网行业的健康持续的发展。

全国人大常委会通过的《关于加强网络信息保护的决定》一出台便引起了互联网相关领域的极大反响, 得到了包括搜狐、新浪、腾讯和瑞星等互联网企业的一致支持。互联网信息的安全不仅关系到互联网用户的利益, 而且还关乎互联网企业的服务水平和品牌形象。只有互联网企业积极配合政府相关部门, 切实遵守国家的法律法规和政策, 将维护网络信息安全作为必备战略和竞争力大小的指标, 才能推动互联网行业健康持续的发展。

第五, 加强网络信息安全有利于网络反腐工作的进一步细化。

网络反腐是最近几年比较热门的一种反腐利器, 尤其是十八大召开以来, 很多政府官员都因为微博等舆论工具的爆料而受到关注和监督调查, 这是一个国家正能量发挥的恰到好处的时机。但是《全国人民代表大会常务委员会关于加强网络信息保护的决定》第六条提出要进行网络实名制, 引起了广大网民对政府网络反腐的质疑。实际上网络实名制很早就有提到, 只是没有上升到立法层面。一部分网民认为, 原先匿名网民可以对社会上出现的丑恶现象进行爆料, 对贪污腐败可以检举揭发, 但是实行网络实名制后担心揭发检举会遭到报复打击。还有可能因为取证途径不当而受到追责。这些情况是客观存在的事实, 网民的担忧也是必要的。但是加强网络信息安全不是没有放松对揭发腐败的鼓励和支持, 是为了下一步细化法律法规和相关政策奠定基础。只有相关法律有了总框架才能更好地充实和细化。当然, 实名反腐需要政府相关部门在细化网络反腐工作规章的同时加强对网络反腐当事人的保护。

参考文献

[1]人民网——人民日报.关注个人信息安全:去年16388个境内网站遭篡改——个人信息和数据安全存在极大隐患[EB/OL].[2013-03-20]http://theory.people.com.cn/n/2013/0320/c49150-20848402.html

[2]王泽, 刘彤.浅谈网络信息安全[C].第二十六届中国 (天津) 2012IT、网络、信息技术、电子、仪器仪表创新学术会议, 2012-9-1.

[3]马民虎, 贺晓娜, 网络信息安全应急机制的理论基础及法律保障[J].情报杂志, 2005, (8) .

[4]何悦, 郑文娟.我国网络信息安全立法研究[J].科技与法律, 2011, (12) .

[5]徐隽.社会各界热议网络信息保护决定:不损害网民言论自由不影响网络反腐效果[EB/OL].[2013-01-30].人民网-人民日报.http://news.xinhuanet.com/newmedia/2013-01/03/c_132077405.htm.

[6]张玉胜.新华网评:网络立法打造信息安全之“盾”[EB/OL].[2013-01-30]新华网.http://news.xinhuanet.com/zgjx/2013-01/04/c_132079184.htm.

[7]全国人民代表大会常务委员会关于加强网络信息保护的决定[EB/OL].[2012-12-28]新闻背景:http://news.xinhuanet.com/politics/2012-12/28/c_114195221.htm.

公司信息安全体系构建 第5篇

摘要：随着科学技术的不断发展，信息化技术快速发展，甚至广泛应用于 指挥信息系统；而信息化的战争作为未来战争，已经成为体系之间的相互对抗，指挥信息系统作为其重要依托，信息安全防护体系的构建与完善是否有效对于指挥信息系统有着重要意义；而本文根据指挥信息系统的安全需求，进行信息安全防护体系的构建，以此提高在指挥信息系统中的信息安全性。

关键词：指挥信息系统;信息安全;防护体系

近年来，许多发达国家通过对新型网络攻击的发展，对我国在信息化系统作战方面带来了不容忽视的威胁，指挥信息系统的安全性与 安全息息相关，一旦出现薄弱环节或者缺乏快速响应力，将会导致信

息泄露与破坏；因此，构建信息安全防护体系成为重中之重，而信息安全所涉及到的网络安全、平台安全、管理安全等方面，是指挥信息系统在复杂战场中可控运行的一个重要保障；只有实现了信息安全防护体系的有效构建，才能进一步确保指挥信息系统的对抗能力。

指挥信息系统的安全需求分析

1.1 安全威胁

指挥信息系统是指将控制、情报、通信、监视、侦察、指挥等集中为一体的一种军事信息系统，主要特征是信息的获取、传输、处理及决策辅助、指挥、保密等，对 战斗力及信息化作战力有着重要作用。在当前的信息化战争中，指挥信息系统经常面临病毒破坏、信息截获、网络渗透、电磁干扰等安全威胁，其主要攻击方式包括了计算机网络、信息链路、非授权访问、信息窃取、信息篡改、信息重放、物理攻击七个方面。

1.2 安全需求

通过对当下指挥信息系统所面临的一系列安全威胁，对安全的需求显得更加迫切，主要分为五方面：（1）可靠性。在规定条件和时间内指挥信息系统能完成规定功能，包括系统、硬件、软件可靠性；系统可靠性指指挥系统要具有较高的应急恢复力、抗毁性、容错性；硬件可靠性指物理设备与线路达到可靠；软件可靠性指一定时间中程序可以自行可靠运行；一般利用应急恢复、冗余设计、数据备份等进行安全防护［1］。（2）可用性。指挥通信系统能为授权实体及时提供使用性能及数据访问，一般通过入侵检测、网络隔离、访问控制等方式组织恶意代码、漏洞攻击、网络攻击等。（3）认证性。控制指挥信息数据及资源访问，对未授权资源阻止以保障用户身份，一般通过数字签名、共性秘密等方式。（4）机密性。对于特定信息要保证不会泄露给未经授权用户，预防在信息传输中的非授权泄露，尤其是通过超短波、微波、卫星等传输信息的媒介，一般通过认证技术、密码技术、安全协议等方式。（5）完整性。信息在传输中不能被非法插入、修改、乱序、删除等有意或无意的破坏，一般通过校验机制、密码机制来保

障。

指挥信息系统在信息安全防护体系上的构建

2.1 防护体系的构建与系统组成 指挥信息系统的要应对各类安全威胁就要建立起全面的信息安全防护体系：（1）计算机应用安全。针对计算机应用中的系统漏洞等进行优化、漏洞扫描、应急备份等，建立可集中管理的安全信息平台以全面监控；（2）通信安全。通过数据安全与链路安全两方面进行防护，数据安全以数据加密、通信协议、安全协议等方式；链路安全以光纤链路防护、扩频通信、无线抗干扰等方式；（3）网络安全。采用双重防护，第一是边界安全，通过访问入侵检测、防火墙等方式实现；第二是内网安全，通过权限控制、病毒防护、身份认证等方式进行防护；（4）基础设施自主可控。在硬件设施上通过采用安全芯片、网站设备加固、元器件等，在软件设施上通过对应用软件、操作系统、第三

方插件的控制来实现信息安全防护［2］。

2.2 动态防御流程

在实现对指挥信息系统静态部分的防御基础上还要对其动态部分有效防御：（1）检测并感知。通过指挥信息系统中嵌入的安全设备对系统运行状态进行检测，将收集安全态势数据汇总整理，做到全面掌控；（2）分析后决策。将收集的数据利用融合技术进行分析，根据安全威胁所隐藏的区域、类型、位置作出相应措施；（3）响应与恢复。依照安全措施通过安全设备、防护元素的联动响应对威胁快速处理，同时利用应急恢复等方式快速恢复至正常运行；（4）攻击加评估。在一定条件下，利用网络攻击武器进行反击，实现信息系统的主动保护，并对防御过程中的安全态势作全面评估，进而优化动态安全措施。

2.3 安全防护关键技术

（1）信息集中管理。对信息系统中安全设备的运行状态集中监控，制定有效安全措施，对单一安全 汇总分析，及时发现安全威胁行为，提高信息安全管理；（2）安全保密。在符合军方密码管理规定的前提下，运用安全高效的专用密码算法或通过量子密钥分发技术，实现各级指挥信息系统间的安全分发，并建立点对点形式的通信系统；（3）网络安全集成。对信息系统中安全机制与设备间联动响应做到有效控制，对异常威胁快速定位、隔离，提高一体化联动响应速率；（4）安全态势感知。通过基于逻辑关系、概率统计、规则推理、数学模型四中融合方法对网络安全态势进行评估与分析；（5）主动入侵防御。通过基于行为特征的异常检测术，对用户行为进行统计分析，然后检测其观察值是否处于正常阈值范围；同时通过基于规则的误用检测术，建立入侵行为的信息规则库，并将其与安全 匹配进行判断。

结语

综上所述，信息安全防护体系对于提高指挥信息系统的生存能力

与抗攻击能力有着重要作用，基于指挥信息系统对于安全的需求，以此构建信息安全防护体系，通过防护体系的构建、动态防御的流程、安全防护的关键技术，对指挥信息系统进行检测与分析，制定相应防护措施，对军方信息进行集中管理，实现安全集成与保密并进行主动入侵防御，从而保障计算机、通信、网络、基础设施的安全，以全面提高对军事指挥信息系统的安全防护；促进我国指挥信息系统安全防护的进一步发展。

参考文献：

教育信息网络安全体系研究与构建 第6篇

关键词：教育信息网络；防火墙技术；网络安全体系；用户安全

中图分类号：TP393.08

教育网络随着互联网与计算机的快速发展也迅速普及，这对优质教育资源的合理利用、资源共享的实现还有工作效率的提高都起到了重要作用。自互联网诞生以来，信息安全问题就伴其左右，而随着互联网资源共享性的快速提高，信息安全问题也越来越严重，恶意软件、病毒、黑客攻击等造成的网络瘫痪、数据丢失等状况时有发生。因此所有高校都面临着怎样确保教育网络安全高效运行的问题，教育网络安全问题亟待解决。

1 网络安全体系简介

1.1 网络安全定义

网络安全指的是在目前已有的网络基础之上，通过采用相应的技术或者安全措施去防止病毒、恶意软件、黑客等利用修改、窃听、冒充等手段造成的用户信息安全受损，从而确保网络系统能够高效可靠的正常运行，所以，网络安全保护系统的建立使为了保证数据在经过网络的传输和交换之后不会发生篡改泄露或者丢失等[1]。

1.2 网络安全技术

（1）防火墙技术与入侵检测技术。防火墙指的是在内部网与外部网之间设立的封锁过滤机制，它是由一系列部件的结合而成的。它能够有效拦截一些从内网向外网发送的不合法信息，也可以阻断外部网络使内部网络资源不受黑客非法入侵，从而使得防火墙可以保护网络系统的安全，入侵检测技术是一种可以在受到攻击时主动保护系统不受伤害的网络安全技术[2]。

（2）数据加密技术与防病毒技术。数据加密技术比防火墙技术更加灵活，所以开放性网络多采用此技术进行安全防护。在网络安全问题中，计算机病毒的危害是相当严重的，其不仅覆盖面特别广、潜伏性特别强而且发生的频率也特别高从而造成的损失也很大。网络安全防护中计算机病毒防护是一个很重要的领域[3]。

2 教育信息网络安全体系需求分析

2.1 用户安全

用户安全分为管理员层和业务层两个层次的安全。管理员层用户具有较高的能力与权力，导致其承担较高的责任，所以，对于信息系统的安全，最大的执行责任由管理层用户承担。为此，信息系统管理人员必须具有精湛的业务素质和良好的政治素养；只有在管理层用户分配的权限内业务层用户才可以教育网络内的相关资源进行相关操作与使用，绝对不允许越权使用系统资源、转让及泄露合法权限也绝对不允许利用合法权限进行和职位不相关的操作。

2.2 应用环境安全

对于一些保存了敏感信息的专用业务子网站如人事处、教务处和财务处等，一定要保证应用的安全。包括数据的备份与恢复、防病毒入侵、接入安全管理、防止敏感信息失窃、对网络通信秩序进行规范、有层次的监控保存了敏感信息的重要服务器的硬/软件资源等。

2.3 组织管理安全

信息系统安全中组织管理安全也是其重要的组成部分。根据《中华人民共和国计算机信息系统安全保护条例》这一法律条例的规定，再结合高校内对校园网安全的要求，从上层向基层建立起层级分明的网络安全管理机制，全面有效的负责高校内教育网络的安全[4]。

2.4 网络平台安全

网络平台安全分为两部分，其中包括基础设施安全部分和网络连接安全部分。基础设施安全部分，这部分安全主要包括：硬件设施本身机械及物理的安全、物理的环境与保障安全；网络连接安全部分，高校内网络连接安全主要包括：教育网络和互联网之间的连接安全、教学单位与学生宿舍还有行政办公和网管中心以及公众服务器等网络同其他网络之间的连接安全、各个专用的业务子网站的安全、关于宿舍内网络IP地址的欺骗及仿冒等问题的防范。

3 教育信息网络安全体系构建分析

3.1 结构设计

防火墙作为一种网络周边安全机制，其是无法做到完全监控内部网络的全方位安全监控的，很多安全威胁都是防火墙所无法防范的，教育信息网络在运行过程中，大部分的安全威脅都来自于校园内部，所以在安全体系中引入防火墙系统可以实现网络安全监测以及实时攻击识别，能够及时分析出来自校园外部以及内部的数据通讯信息，但是入侵系统的一个劣势在于其单独是无法发挥作用的，所以将入侵系统与防火墙进行联合，是构建教育信息网络安全体系的可供选择。

3.2 教育信息网络安全体系的建立

为了建立完善的网络安全体系，需要对各种体系和安全技术进行深入的分析，进而制定出全方位的网络安全体系，通过多种技术与安全工具的联合，形成多种维度的安全机制。P2DR是一个动态的计算机系统安全模型，指的是在安全战略的指导之下，运用防火墙、加密手段以及操作用户身份认证的方式，利用入侵检测、漏洞评估等工具，对评估系统网络的安全状态进行全方位的了解，达到将网络体系的安全性调整到最安全的状态[5]。

3.3 教育信息网络安全体系实现

教育信息网络的核心交换机是三层交换机，对于虚拟局域网技术能够给予很好的支持，为了提高网络体系的安全性，需要将不同区域的网络运作进行虚拟网络的划分，如教学楼、办公楼、学生宿舍、食堂等。为了更好的实现应用安全，在教育信息网络中应该有如下几种规定：一是访问控制，可以采用自主访问进行合理控制；二是信息的完整性，指的是保证教育信息不会被随意更改；三是记录，即对于访问的用户能够及时进行记录；四是用户认证，其主要是为了避免非法用户登录到教育信息网站进行恶意破坏。另外，为了保证教育信息网络安全体系的真正实现，必须保证防火墙系统安全性、入侵系统安全性以及整体网络安全管理的实现。

防火墙技术是目前使用最广泛的保护网络系统安全的有效手段之一。数据加密技术主要针对于动态信息，对于动态数据受到的攻击既有主动攻击也有被动攻击，对于主动攻击虽然很难避免但是却可以被检测，而被动攻击则是无法检测但却可以避免，而如果以信息加密技术为基础就可以实现这一切。数据被加密后就算黑客获取了数据也没有办法复原这些数据，从而保护了信息的安全。

4 结束语

当前如何确保计算机网路系统的安全是任何一个网络的设计者和管理者都极为关心的热点话题，出现安全隐患的最主要的原因是因为互联网全面开放的特点，人们为了避免这些安全隐患的入侵，开始积极研究各种安全手段与技术措施，以期能够构建出一种可靠的计算机安全网络系统，教育信息网络安全体系研究与构建是目前困扰教育界的一大难题，对教育信息网络的安全方案中存在着手段单一的问题，这种局限性的措施不能完全消除安全隐患，所以这些问题都是亟待解决的重点问题。

参考文献：

[1]罗曦.校园网络安全体系构建的研究与应用[D].长沙：湖南大学，2013.

[2]张彭，李若思，王蓓.实现教育信息网络安全的对策[J].小学时代（教育研究），2011（03）：8-9.

[3]张德祥，刘勋，扈炳良.校园信息网络安全体系构建研究[J].情报科学，2012（04）：1542-1544.

[4]苏骏.信息系统安全体系构建研究[D].武汉：武汉理工大学，2012.

[5]孟小冬.浅谈教育信息网络安全与防范[J].吉林广播电视大学学报，2012（02）：97-98.

作者简介：刘长才（1993.03-），男，河南周口人，本科在读，研究方向：信息网络安全。

论机场信息安全体系的构建 第7篇

随着信息技术的不断发展, 我国机场信息化水平不断提高, 集成系统、离港系统、订座系统、货运系统、航班显示系统、安检信息管理系统等信息系统已普遍应用于机场。机场的日常运营越来越依赖于信息技术, 由此需要面对包括系统运行、网络安全、数据处理、系统设计、技术操作等的信息系统风险。重点保障信息化安全已经成为开展机场信息化的当务之急。本文结合温州机场信息系统安全体系的建设, 主要从信息技术方面探讨机场信息安全体系建设思路。

1 机场信息系统的运行环境特征

机场信息系统主要包括离港系统、订座系统、安检信息管理系统、航班信息显示系统、广播系统、以及信息系统集成等系统。这些系统主要面向地面服务和旅客、货主的信息系统, 覆盖航班信息相关集成系统、旅客服务相关集成系统和行李服务相关集成系统等, 因此系统建设运行环境具有以下特征:

(1) 可靠性、安全性要求高

机场系统要求可靠并且连续无故障的运行。关键的信息系统出现故障将是一场无法想象的灾难, 因此要求机场的信息系统必须能够不间断运行, 一旦出现故障必需在短的时间内恢复, 以保证业务。

(2) 业务流程复杂

机场航站楼属于大型公共建筑的一种, 业务流程复杂。以航班信息为例, 航班计划分为中长期计划、次日计划和当日计划;计划会直接关联到停机位、廊桥、值机柜台、行李转盘、登机门等一系列机场运营资源的分配与使用, 并同时关联到候机楼内外公安、安检、海关、配餐、油料、地面服务等许多单位的工作;这些业务都需要信息系统的支持, 由于业务的复杂性及业务之间的关联度, 导致信息系统众多且高度集成。

(3) 覆盖范围和涉及面广

信息系统既包括日常营运管理如资源分配、离港、航班信息显示、行李处理、广播、地面服务以及配餐、泊位引导、应急指挥、油料、货运等, 还和机场管理相关, 如综合信息管理如航空业务统计、航空业务收费、人力资源管理、财务管理、资产管理、仓库管理、办公自动化等。为机场提供服务的除了机场, 还有海关、边防、检验检疫等联检单位, 各航空公司, 各地面服务公司、商贸公司、保洁公司、保安公司等等, 大型机场可能达到上百家之多。为了实现信息共享, 各组织之间通过网络互联实现数据传递, 产生了复杂的网络环境。

2 机场信息安全体系的构建

通过对系统特点的分析, 以及一般的安全系统工程原理, 机场信息安全系统构架包含5部分:物理级安全、网络级安全、系统级安全、应用安全和安全管理。物理级安全、网络级安全、系统级安全构建一个基础的安全防御体系, 为系统应用提供一个基础的、安全的网络系统运行环境。

2.1 物理级安全

主要提供对系统内部关键设备、存储介质的物理运行环境安全, 确保设备能正常工作。物理级安全管理的主要内容包括:建立一个符合机房设计规范的运行环境;设立物理屏障, 通过门禁、安全制度等技术和管理措施保证机房的安全性;将脱机保存的存储介质存放在一个安全可靠的场所。

2.2 网络级安全

机场网络系统是一个非常重要的运营网络, 安全性的考虑尤为重要, 拥有一个健全的安全策略是基本要求, 网络安全性设计主要包括一下几个方面:

(1) 身份认证 (AAA) 即认证、授权、记帐功能。

AAA功能的实施需要两部分的配合:支持AAA的网络设备和AAA服务器;RADIUS/TACACS+是实施AAA常用的协议, 通过AAA的实施, 我们可以方便地控制网络设备的安全性, 同时结合ACL的设置限制能够进行远程登录的工作站的数量、IP地址, 降低网络设备受到攻击的可能性。

(2) 边界安全。

通过核心交换机和边界防火墙提供了网络访问控制, 实现了整个网络系统的边界安全。

(3) 入侵防御系统

安装检测和防御安全服务模块能够主动提供全特性入侵防御服务, 由于网络入侵者越来越多地利用开放的服务端口 (如HTTP、SMTP、POP3、DNS等) 发起攻击, 且手段隐蔽, 破坏性却非常大。传统的防火墙因功能的局限性, 难以进行有效的防御, 因此迫切需要一种有效的深度防御手段弥补其功能的局限性。入侵防御系统是一种部署在网关位置的安全设备, 利用攻击的知识对网络数据和行为进行深层检查, 从而更有效地抵御应用层攻击, 在病毒等恶意流量影响您的网络前终止它们的运行。

(4) 局域网的安全性保证

在局域网内部的安全性考虑, 主要体现在内部访问的权限控制上。一般来说, 局域网中在安全方面的基本功能是VLAN的划分和子网之间的基于包过滤的隔离, 这已经是非常成熟的技术, 在实际环境中有大量的应用。

(5) 网络设备的安全性

IP网络的安全很大程度体现在网络主干设备的安全性上。如果网络设备容易遭到攻击, 整个网络的安全性就无从提起。网络管理的安全性包括网络设备登陆的安全性, SNMP网络管理协议的安全性等。为了防止网络设备配置被恶意修改, 网络路由信息、数据信息泄漏, 在配置中应该注意以下方面:限制主干网络设备的端口, 通过设置广播风暴的上限, 抵御广播风暴或拒绝服务攻击。采用复杂的登陆口令, 登陆口令与enable密码不能一致, 并考虑定期更换;对于连续3次口令输入错误的用户, 将拒绝其登陆;对于正在使用的登陆窗口, 如果超过一定时间没有任何命令输入, 就关闭该登陆进程。通过交换机分配不同的特权, 每种特权有限定的命令集, 使得每个特权用户只能执行某些命令, 从而提高了安全性。采用SNMPv2的网络管理协议, 指定特定的SNMP管理主机, 设置特别的community string和password。采用设备支持带外管理的交换机, 通过关闭带内网络管理接口, 使得交换机设备只可以被专用的管理网络管理, 保证安全。定期对配置进行备份, 便于恢复。

(6) 网络访问的安全性

网络访问的安全性包括VLAN间的访问、主机的访问等等, 通常对于外部系统的接入都由防火墙进行隔离保护, 对于局域网内的防护, 可采用以下技术:设置访问列表 (IP, MAC) , 限制主机的访问对象、限制数据流的种类、大小等, 可有效地防止黑客的侵入以及防范拒绝服务攻击 (Dos) 。配置静态ARP, 以防止非法设备接入内部网。网络管理员对网内所有终端的MAC地址进行登记, 并启用交换机的端口安全特性, 如设置端口的MAC地址列表, 当有非法MAC地址入侵时, 交换机会发送TRAP来向管理员告警;或者限制端口的MAC数量, 当有超过规定数量的终端接入时, 设备进行告警。802.1x协议是基于Client/Server的访问控制和认证协议, 它可以限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前, 802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前, 802.1x只允许EAPoL (基于局域网的扩展认证协议) 数据通过设备连接的交换机端口;认证通过以后, 正常的数据可以顺利地通过以太网端口。如下图1所示。

在路由协议安全方面, 对于RIP V2协议, 可设置key对路由信息进行加密, 防止路由信息被窃听;对OSPF等路由协议, 可设置路由器邻居校验, 校验方式可采用明码或MD5加密方式, 确保只有有效的路由器才能加入到网络, 避免非法的路由器或伪造的路由信息进入。

(7) 数据传输的安全性

数据传输的安全性对以太网技术来说是一个弱项, 共享式的数据传输原理极易造成数据窃取行为的产生。对于局域网内的防护, 可采用的技术有:VLAN技术, VLAN技术可以有效地克服以太网内抓包的问题, 不同VLAN间的用户间无法收到彼此的2层数据流量, 也无法冒用对方VLAN内的IP地址。PVLAN技术, PVLAN是2层的机制, 在同一个2层域中有分为3类不同安全级别的VLAN (public, common, isolate) , 其中一个public vlan中可包含若干common vlan和一个Isolate vlan;Common vlan间以及Common vlan与Isolate间不能访问。同一个Common Vlan内的端口可互相访问, 但同一个Isolate vlan内的端口不能互相访问;Common vlan内的端口以及Isolate Vlan内的端口都可以访问到public vlan中的端口, 此端口通常为服务器、路由器等共享设备所用;因此Pvlan是一种更高级、更灵活的vlan实现方式, 可以在一个vlan内真正实现点到点 (端口到端口) 的数据通道, 防止数据包被窃取。IPSec VPN, 对于安全要求特别高的数据流, 可采用IPSec VPN技术对数据流进行点对点的加密;2台互连的终端设备利用IP Sec协议, 在局域网内形成一个加密的数据通道 (VPN) , 使得数据包即使被窃取, 其内容也无法被读出。

总之, 采用上述方案, 可以在很大程度上解决机场网络系统的安全问题, 但是系统较复杂, 成本较高, 可以根据实际情况, 分步骤实施。

2.3 系统级安全

主要是从操作系统的角度考虑系统安全措施, 防止不法分子利用操作系统的一些BUG、后门取得对系统的非法操作权限。系统级安全管理的主要内容包括:

(1) 主机设备使用安全:主要利用操作系统本身提供的安全机制, 通过科学合理的设置来充分利用操作系统所提供的强大安全性能。

(2) 避免单点故障:对重要服务器设备实行双机热备。

(3) 漏洞及时修补:及时检测、发现操作系统存在的安全漏洞, 对发现的操作系统安全漏洞做出及时、正确的处理。

(4) 数据保护:对数据的存储提供防护, 建立一套完善的备份制度与应急措施, 加强数据的可恢复能力。

(5) 防病毒:建立网络化防病毒系统, 保护系统的安全。

(6) 主机防护:采用专用软件, 细化主机操作系统的访问控制, 提高操作系统的安全等级。

2.4 应用级安全

以密码技术为基础, 建立一个应用级的安全平台, 针对系统内各类具体的应用系统, 统一提供相应的应用级安全保护, 包括数据资源的保护和应用系统处理过程的保护。应用级安全主要包括:

(1) 应用审计:负责业务操作行为的记录、分析和管理, 它可以使系统管理员更好、更准确地了解和掌握业务系统运行情况, 及时发现并解决出现的异常情况, 是对传统安全审计系统的有效补充。

(2) 用户管理与授权认证:通过用户身份认证系统对用户的身份进行统一管理和认证, 对用户的访问请求根据系统运行环境和访问控制策略进行授权, 以确定用户对他人资源、网络资源和信息资源的访问权限。

2.5 安全管理

人们常说“三分技术, 七分管理”, 要解决网络与信息安全问题, 不仅应从技术方面着手, 更应加强安全的管理工作。在管理层面, 则通过构架安全管理体系来实现。安全管理的是居安思危, 防范于未然的工作, 是一项长期性的任务, 同时也是个不断完善的过程。安全管理在制度上约束和规范安全工作, 是使之成为有章可循, 有理可依的过程, 将安全工作进行有序的操作和合理的分配, 从而使整体安全性能达到最优。需要在对机场各个业务流程的安全需求进行全面调研的基础上, 制定机场统一的安全管理策略和各个部门的细化安全管理策略, 明确各级的安全管理目标、内容和方法, 并通过各级安全管理规章制度加以确定。

在安全管理策略及相关的规章制度出台后, 应通过各种形式 (包括正规和非正规的方式) 对机场的内部工作人员进行安全意识教育和安全策略相关的安全操作的培训, 使每个工作人员明确自身的信息安全防范责任, 并掌握有关安全产品的基本操作技能。

在安全管理策略的实施过程中应及时对发现的问题进行分析, 并根据机场自身安全需求的变化或安全技术的发展, 对安全策略自身进行修正与调整, 使安全管理策略与机场实际的安全需求相一致, 并与安全技术的发展相一致。系统安全的建设并不是一个简单的单点安全产品安装的过程, 一个完整的安全体系是由多种安全措施有机结合, 相互协助, 提供基础的技术手段, 然后依靠安全管理体系来实现真正的安全。

3 结束语

民航的信息安全, 是一个系统问题, 需要从管理与技术相结合的高度, 制定整体安全管理策略。通过建立完善的民航信息安全危机管理体制, 并切实认真地实施这些策略, 才能保证生产、经营信息的安全, 达到提高民航信息系统安全性的目的。安全实施可采取“一次规划、分步实施、滚动发展”的方式。所有的上述工作, 包括整个系统的安全管理、安全维护和应急反应是一个长期的持久、循环、动态的过程。

摘要：机场信息化的安全是机场信息化健康发展的关键, 保障信息化安全已成为机场信息化建设的当务之急。首先分析了机场信息系统的运行环境特征, 然后提出机场信息化安全体系的整体构架方案。

关键词：机场,信息安全,网络,管理

参考文献

公司信息安全体系构建 第8篇

随着信息技术和互联网的快速发展,网络与信息的安全威胁和风险也日益突出,我国已将网络与信息安全上升到国家安全的战略高度,习近平总书记在2016年4月19日召开的“网络安全和信息化工作座谈会”上进一步强调“网络安全和信息化是相辅相成的”、“安全和发展要同步推进”、“加快构建关键信息基础设施安全保障体系”。

电信运营商网络与信息安全的内涵和外延也发生了很大变化,面临着前所未有的挑战和威胁,同时由于涉及面广、变化快、新技术及新业务层出不穷、基础较薄弱等因素,网络与信息安全工作尚处于被动的“应急救火”阶段,亟需构建适合电信运营商特点的网络与信息安全体系,从使命、对象、能力、基础等4个层面出发,解决“为什么、保护谁、怎么做、如何保障”等4类问题,从而有效指导整个企业的网络与信息安全工作。

使命远景:肩负三大使命

1.贯彻落实党和国家战略

面对复杂严峻的网络安全形势,数十个国家已颁布网络空间国家安全战略,我国也高度重视。2013年11月12日成立“中国共产党中央国家安全委员会”,明确信息安全是国家安全体系的重要组成部分。2014年2月27日,成立中央网络安全和信息化领导小组,该领导小组着眼国家安全和长远发展,统筹协调各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策。党的十八届五中全会、“十三五”规划纲要对实施网络强国战略作了部署。电信运营企业作为国有大型基础电信设施的建设者、提供者、运营者,所建设和运营的信息通信网络设施是经济社会运行的神经中枢,网络上承载着国家、企业和用户的重要信息,也是可能遭到重点攻击的目标,电信运营企业必须切实贯彻落实好国家有关网络与信息安全的政策要求,做好网络与信息的安全防护。

2.保障和促进企业发展

电信运营企业作为信息化主力军,运营的网络是企业乃至国家和社会的信息化、互联网正常发展的重要基础,随着运营企业互联网化、战略转型的深入推进,新兴业务快速发展,各类用户规模增长,网络平台更加开放,数据量爆炸式增长,面临的网络与信息安全风险和挑战愈加突出,用户信息泄露、信息数据被截取、内容涉黄涉暴等网络与信息安全事件层出不穷,造成业务下线、网站关停等严重影响企业业务发展的后果,亟需网络与信息安全为企业保驾护航。

同时,电信运营企业也可利用当前社会对网络与信息安全空前关注的机会,化压力为动力,化危机为机遇,将企业的网络与信息安全的能力转化为对外的安全服务和产品,形成市场竞争新优势,促进企业发展。

3.履行企业社会责任

正如很多新型技术都是“双刃剑”一样,互联网也未能幸免。快速发展的互联网越来越成为人们学习、工作、生活的新空间,在给我们带来便利的同时,网络诈骗、虚假广告、涉黄、涉暴等负面现象也接踵而至。电信运营企业作为国有大型企业,尤其要率先履行社会责任,坚持经济效益和社会效益并重,在企业经营过程中,要担起社会责任、道德责任,确保网络与信息安全,营造一个气朗风清、健康的网络空间。

保护对象:保障两类安全

网络与信息是企业的资产,具有极其重要的价值,必须保证其安全。网络安全是指网络的硬件、软件及其系统不因网络攻击、非法入侵等原因而遭到破坏,网络连续可靠正常运行,服务不中断,网络安全主要有主机安全、操作系统安全、数据库安全、配置安全、物理环境安全等。信息安全是指网络承载的业务、数据、内容、用户信息及其交互的安全,在整个运营过程中不被非法篡改、泄露,具有完整性、保密性、可用性和合法合规性。

网络安全侧重于网络环境的安全,是对异常、滥用行为的监测和防控,是信息安全的基础,是保护信息安全的重要手段。信息安全侧重于信息产生、存储、传输、处理等过程的安全,是网络安全的价值体现和工作目标,两者互相作用,相辅相成。

能力建设:提升四大能力

1.可靠的防护能力

防护能力是指采取手段与措施,使得企业的网络、信息系统具备防范、抵御各种已知的针对网络与信息安全威胁的能力。鉴于互联网的开放性与安全的短板效应,在开放的网络空间环境下,社会主体需要对自身的网络与信息进行必要的防护,事先采取各种管理与技术措施,对潜在的威胁进行可靠的预防,确保网络与信息的保密性、完整性、可用性、不可抵赖性、可靠性。

2.精确的感知能力

感知能力是指采取手段与措施使得网络与信息系统具备监测、分析和预测各种已知或未知的、潜在与事实上的针对网络与信息安全威胁的能力。对网络与信息进行安全监测,对现有事件进行告警和说明,及时发现,同时对资产数据、配置数据、漏洞数据、内外部威胁数据和事件数据等进行收集和梳理,在此基础上进行特征归纳,分析这些安全事件背后的意义,并找出有意义的指标和参数,最后再根据这些指标变化来预测未来的趋势和变化,这些变化对企业有什么影响,同时还要提出应对建议。

3.快速的处置能力

处置能力是指采取手段与措施,使得网络与信息系统针对所出现的各种突发事件,具备及时响应、处置网络与信息系统所遭受的攻击、恢复网络与信息系统基本服务的能力。处置能力包含建立应急响应体系,企业须按照“平战”结合的原则,积极做好网络与信息安全事件的应急预案及演练、报告制度、保障工作,以便在事件出现时能够及时响应,针对攻击事件进行有效处置,以防止事态的进一步恶化,面向攻击所出现的故障确保恢复,从而将损失降到最低限度。

4.准确的溯源能力

溯源能力是指采取手段与措施,确定网络攻击者身份或位置信息及其中间介质的能力,身份信息包括攻击者名字、账号或与之有关系的类似信息;位置信息包括其地理位置或虚拟地址,如IP地址、MAC地址等。追踪溯源过程还能够提供其他辅助信息,比如攻击路径和攻击时序等。管理者可使用追踪溯源技术定位真正的攻击源,以采取多种安全策略和手段,从源头抑制,防止网络攻击带来更大破坏,并记录攻击过程,为司法取证提供必要的信息支撑。通过溯源,可以确定攻击源,制定实施针对性的防御策略;采取拦截、隔离等手段,减轻损害,保证网络平稳健康地运行;记录攻击过程,出现安全问题时提供依据与手段,具有可审查性;同时,准确的溯源能力将对网络攻击者或潜在攻击者产生极大的威慑力。

基础保障:健全四大体系

1.完善的规范体系

电信运营企业的网络与信息安全保障工作尚处于起步阶段,规章、制度还不够完善,缺乏可落地执行的结构化、层次化、可扩展的标准规范。结合国内外标准和电信运营企业特点,可从管理和技术两个维度,构建自上至下的四层安全管理规范体系模型。第一层是总纲,涉及网络与信息安全工作的范围、原则、目标和策略,具有总体指导意义;第二层是对总纲的分解,侧重于管理制度和技术规范,对安全工作具有实际的指导作用;第三层是根据不同类型的网络和应用环境,统一制定的具体细则、流程和规范;第四层是操作层面,结合企业各部门的实际及具体的网络和应用系统,分别制定详细的操作步骤与配置方法。

2.顺畅的实施体系

由于企业的网络与信息安全工作包括计算机科学、网络技术、通信技术、密码技术、信息安全技术等众多专业,涉及电信运营企业后端网络的建设、维护与管理支撑,以及前端的市场销售等各环节,往往某类信息的安全防护、安全事件的处置等均需要多专业配合、多部门协同,因此,网络与信息安全需要一套包含工作机制和工作流程在内的顺畅的实施体系,明确牵头、归口、操作部门的分工界面及职责划分,将网络与信息安全管理嵌入到企业生产流程的各个环节,确保企业网络与信息安全工作纵向和横向协同推进,顺畅实施。

3.有效的监督体系

电信运营企业当前的网络与信息安全工作存在安全意识薄弱、工作执行打折扣、整改落实不到位等现象,为确保网络与信息安全工作的推进落实不走样、不打折,需要一套有效的监督体系,监督措施主要包括检查督促、考核奖惩、管理和技术审计、风险评估等手段。

4.有力的保障体系

管理和技术的有效实施,最终都依赖于各种相关的资源保障,需要有力的保障体系支撑。保障措施主要包括组织机构、人员配备、教育培训、安全意识宣贯、管理信息化支撑手段、资产管理、信息报备、特殊通信、重要时期网络与信息安全保障等内容。

信息安全防护体系的分析及构建 第9篇

1企业信息安全的现状

在“互联网+”的发展大背景下, 强化信息安全防护体系的建立, 成为企业网络信息化发展的必然要求。当前, 企业信息安全防护主要存在“安全防护体系不完善”“安全防护意识淡薄”“安全保障机制不完善”三大突出问题, 直接影响企业信息安全管理, 制约战略性发展目标的建立。

1.1安全防护体系不完善, 缺乏良好的安全防护效力

信息安全的保障很大程度上依托于完善的安全防护体系。从实际来看, 很大部分企业, 尤其是中小型企业, 信息安全防护体系建设不到位, 防护体系的完善性不足。一方面, 防护体系的安全技术功能存在缺陷, 无法满足企业信息安全防护的要求;另一方面, 信息安全防护体系的构建流于形式、 浮于表面。通过简单的安全产品安装, 就以为实现了所谓的安全防护体系建立。这种错误的思想观念, 对于信息系统的安全运行带来十分显著的安全隐患。

1.2安全防护意识淡薄, 存在安全技能不足的问题

良好的意识形态是提高信息安全防护的重要基础。但是, 一些企业在信息安全防护过程中, 表现出很大的被动性。安全防护滞后于企业信息安全管理的建设需求, 往往出现了安全问题, 才主动去解决, 这样的安全防护现状显然是致命的, 无法满足现实的安全保障需求。此外, 安全技能不足也是企业信息安全防护体系构建的瓶颈。由于资金投入有效、技术人员配置不足, 进而在安全技能提供上存在技能不足的问题风险。

1.3安全保障机制不完善, 缺乏保障机构的有力支撑

信息化建设的不断推进, 是企业实现现代化发展的重要基础。安全保障机制的欠缺直接影响企业在安全防护体系构建中的有力推进。当前, 企业大多没有设计专门的信息安全管理部门, 信息安全管理的重要性缺乏显著性突出, 导致信息安全防护体系的建立缺乏职能部门的统筹规划, 工作的组织开展面临困难。此外, 信息安全保障机制的缺失, 缺乏机制作为导向的工作指导, 显然不利于企业信息安全管理工作的开展。

2信息安全防护体系构建的原则

在安全防护体系的构建中, 为确保构建的科学性、有效性, 构建应建立在明确的原则之上, 从防护体系的设计、构建等方面, 确保防护体系建设符合企业战略发展的需求, 也为企业的可持续发展创造良好的内在条件。

2.1 “双网双机”原则

在管理信息的大区划分中, 主要分为信息外网和信息内网。为了确保信息内外网络的安全防护需求, 需在内外网络之间进行有效隔离。从实际来看, 隔离的措施主要采用逻辑强隔离设备, 这对于内外信息隔离具有重要的作用。同时, 为了进一步强化“双网双机”的原则, 内外信息网络分别采取独立的服务器、桌面主机等, 从而最大程度地满足信息安全防护体系的构建需求。

2.2 “等级防护”原则

为了提高防护体系的防护能力, 要满足信息安全管理要求。在系统的构建过程中, 应遵循“等级防护”原则, 针对不同的安全攻击, 采取更加有针对性地防护措施, 这对提高信息安全防护具有十分重要的作用。

2.3 “多层防御”原则

开放的互联网环境、复杂的环境构成, 强调企业信息安全防护体系的建立应强化“多层防御”原则的践行, 从而提高信息安全的防护能力。从实际而言, 多层防御体系的构建进一步强化信息安全的防护能力, 对提高企业信息安全管理的作用力十分显著。因此, 在信息安全防护体系的构建中, “多层防御”的原则是体系构架的基础, 更是提高防护能力、 满足安全防护的内在要求。

3信息安全防护体系的策略

为了进一步确保并实现完善的安全防护体系, 在信息安全防护体系的构建中应注重体系构建的实践性, 从网络环境安全防护、主机系统安全防护、风险管理中心建设等方面, 实现信息安全防护体系的构建。

3.1网络环境安全防护的实践

在当前的信息安全防护中, 网络层的安全问题集中体现在边界, 也就是网络接入的信息安全问题比较突出。因此, 在网络环境安全防护实践中, 应对外来访问者的身份认证、 确保数据传输的完整性与保密性、实现远程接入的安全性等问题采取相应的保护措施。此外, 在病毒入侵控制、资源访问控制等方面, 要构建相应的防护措施, 从而对网络环境安全的创设采取有针对性和有效性的措施。在实际操作中, 企业可以通过病毒过滤系统、防火墙系统等, 实现对网络层的安全防护。以电力企业为例, 很多电力公司为确保网络环境安全防护的需求, 通过建立分布式内外网入侵防护体系, 为公司内部网络信息安全构建了良好防护, 也提供了有力的技术支持, 进而在很大程度上提高了信息安全管理能力。

3.2主机系统安全防护的构建

操作系统的不完全性, 也是造成信息安全问题频发的重要原因。由于操作系统中的各种数据、应用程序等的安全难以得到有效保障, 进而主机系统的安全防护构建更加重要。 从实际而言, 主机系统性安全问题的表现主要在于: (1) 系统自身存在缺陷, 进而为安全问题的发生创造条件, 如系统中的漏洞、访问控制等问题; (2) 配置安全问题; (3) 黑客、病毒的入侵威胁。因此, 在主机系统安全防护的构建中, 可以通过防病毒系统、安全漏洞扫描系统等, 进一步加固主机系统, 从而为主机安全构建系统的安全层。

3.3安全风险管理中心的建立

当前, 实现安全风险管理中心的建立, 是提高安全防护体系性能的重要方面。一方面, 企业可以针对实际的安全管理情况, 在信息安全管理方面建立专门的风险管理中心, 让信息安全防护上升到新的高度;另一方面, 通过安全风险管理中心确保新安全风险评估的常态化, 也可进一步集中信息安全管理力量, 确保信息安全防护的现实需求, 夯实企业现代化发展的基础。

4结语

信息安全防护体系的建立是基于信息安全管理的必然要求, 也是新时期企业实现信息现代化建设发展的重要之举。 当前, 企业一方面要认识到自身信息安全管理中存在的不足, 并进行全面而认真的思考;另一方面, 要立足实际需求, 从网络环境安全防护的实践、主机系统安全防护的构建、安全风险管理中心的建立等三个方面, 全面部署, 统筹谋划, 构建更加完善的安全防护体系。

参考文献

[1]董莹.网络信息安全防护体系的构建探析[J].中国新技术新产品, 2014 (14) .

[2]东海莲.基于构建企业信息安全防护体系的研究[J].数字通信世界, 2015 (6) .

[3]常胜.企业信息安全体系构建与管理分析[J].电子技术与软件工程, 2015 (12) :207.

[4]白俊峰.自动化系统信息安全与防护分析[J].才智, 2010 (10) .

论构建网络信息的安全防护体系 第10篇

随着信息技术的发展和 Internet 技术的广泛应用, 如今的网络已经成为人们生活中不可缺少的一部分, 人们对信息网络系统的需求和依赖程度正在日益增加。与此同时, 对网络安全的威胁也变得越来越严重。因此, 分析影响网络安全的原因, 提出保障网络安全的相关对策变得十分重要。Internet 的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全隐患。为了解决这些安全问题, 各种各样的安全机制、安全策略和网络安全工具被人们开发和应用 (彭珺, 高珺, 2011) 。余晓征, 谷皓, 张兴东 (2004) 指出在实际网络系统的安全实施中, 网络安全防护不是一个产品所能解决的, 而是一套系统工程, 它应该包括防火墙、入侵检测、防病毒、漏洞扫描等全面的解决方案, 每种产品互为补充的, 缺一不可。由于网络具有特殊的安全性要求, 要求各个安全产品安全可靠, 更要求产品之间具有 良好的可集成性。

2 网络信息安全内容和技术防范原则

2.1 网络信息安全内容

网络信心安全是指网络系统的软件以及系统中的数据受到保护, 不会由于偶然或恶意的原因而遭到破坏、更改、泄露, 系统能连续、可靠和正常的运行, 网络服务不中断。网络信息所面临的安全威胁分为故意的和偶然的两类, 一是故意威胁, 他又可以分为被动和主动两类。被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有泄露信息内容和通信量分析等。主动攻击涉及修改数据流或创建错误的数据流, 它包括中断、截取、修改、捏造、假冒, 重放, 修改信息和拒绝服务等根据计算机网络所面临的威胁, 计算机网络的安全工作主要集中在以下四个方面:保密;鉴别;访问控制;病毒防范。

2.2 网络信息安全技术操作防范原则

(1) 新购置的计算机硬件和软件系统都要经过测试。

(2) 计算机系统尽量使用硬盘启动。

(3) 对重点保护的计算机系统应做到专机、专盘、专人、专用, 封闭环境中不会自然产生计算机病毒。

(4) 重要数据文件定期备份。

(5) 电子邮件或者网上聊天信息传送的附件, 不要随意接收, 网上的软件, 不需要的尽量不要下载, 一些可执行文件和Office文档, 往往最容易卸载病毒, 尽量避免下载。即使下载了, 也要先用最新的防杀计算机病毒软件来检查。

(6) 安装正版防杀毒软件, 并经常进行升级。

(7) 安装病毒防火墙, 从网络出入口保护整个网络不受计算机病毒的侵害。

3 网络信息的安全防护体系

3.1 加强网络安全的层次模型

ISO定义了OSI/RM七层网络参考模型, 不同的网络层次完成不同的功能。从安全角度来看, 各层能提供一定的安全手段, 针对不同层次的安全措施是不同的。没有哪个层次能够单独提供全部的网络安全服务, 每个层次都有自己的贡献。

3.2 加强网络安全防火墙的功能

防火墙并不是真正的墙, 而是一种重要的访问控制措施, 一种有效的网络安全模型, 是机构总体安全策略的一部分, 它阻挡的是对内、对外的非法访问和不安全数据的传递。在因特网上, 通过它隔离风险区域 (即Internet或有一定风险的网络) 与安全区域 (内部网) 的连接, 能够增强内部网络的安全性。曾艳 (2011) 防火墙其主要作用是在网络入口点检查网络通讯, 根据企业的安全政策控制 (允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力, 通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理, 具有过滤进出网络的数据包, 管理进出网络的访问行为, 封堵某些禁止的访问行为, 记录通过防火墙的信息内容和活动, 对网络攻击进行检测和告警等五大基本功能。

通常防火墙具有以下功能:过滤进出的数据;管理进出的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击进行检测和报警。网络级防火墙可以将从数据包中获取的信息 (源地址、目标地址、所用端口等) 同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。网络级防火墙检查每一条规则直至发现包中的信息与某规则相符。应用级防火墙又称为应用级网关, 它的另外一个名字就是代理服务器。网络级防火墙可以按照IP地址禁止外部对内部的访问, 但不能控制内部人员对外的访问。代理服务器隔离在风险网络与内部网络之间, 内外不能直接交换数据, 数据交换由代理服务器“代理”完成。

3.3 加强虚拟专用网VPN技术

虚拟专用网VPN (Virtual Private Network) 是随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务, 乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。

隧道技术。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据 (或负载) 可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息, 从而使封装的负载数据能够通过互联网络传递。

加解密技术。对通过公共互联网络传递的数据必须经过加密, 确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术, VPN可直接利用。

密钥管理技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则, 在网络上传输密钥;在ISAKMP中, 双方都有两把密钥, 分别用于公用、私用。

使用者与设备身份认证技术。VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外, 方案还必须能够提供审计和记费功能, 显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

3.4 完善网络信息安全机制

研究计算机网络安全的体系结构, 就是研究如何从管理和技术上保证网络的安全得以完整准确地实现, 网络安全需求得以全面准确的满足。需要加强网络安全机制建设, 包含网络安全加密机制, 数字签名机制, 访问控制机制, 数据完整性机制, 鉴别交换机制, 通信业务流填充机制, 路由控制, 公证机制。

3.5 网络安全政策法规与标准

目前, 我国有章可循的国际国内信息安全标准一共有一百多条。网络 (信息) 安全标准是信息安全保障体系的重要组成部分, 是政府进行宏观管理的重要依据。信息安全标准不仅关系到国家安全, 同时也是保护国家利益的一种重要手段, 有利于保证网络安全产品的可信性、实现产品的互联和互操作性, 保障计算机网络系统的安全可靠。王丽香 (2004) 网络的信息安全问题已经引起全社会的普遍关注, 为了兴利除弊, 使网络健康发展, 维护国家安全和社会共公利益, 可以借助法律力量, 可以利用法律所具有的严肃性、强制性、不可侵犯性等特点, 强有力地规范约束社会上种种不利于网络安全的行为。为防治网络违法、有害信息的传播, 制止网络犯罪提供了法律依据。

3.6 加强网络安全管理

信息安全大约60%以上的问题是由管理方面原因造成的。网络系统的安全管理主要基于三个原则:多人负责原则, 任期有限原则, 职责分离原则。李亮 (2009) 指出加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问, 这是防病毒进程中, 最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限, 选择不同的口令, 对应用程序数据进行合法操作, 防止用户越权访问数据和使用网络资源。

摘要：信息网络产业发展时代的网络信息安全问题, 全方位关系着我国政治经济文化和社会生活的全方面。构建网络信息的安全防护体系成为当前发展的亟需。构建网络信息安全防护体系, 需要加强网络安全的层次模型, 加强虚拟专用网VPN技术;发挥网络安全防火墙功能;完善网络信息安全机制;构建网络安全政策法规与标准;加强网络安全管理。

关键词：网络信息,安全,防护体系

参考文献

[1]彭珺, 高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程, 2011, (1) :121-124.

[2]余晓征, 谷皓, 张兴东.构建网络信息安全的综合防护体系[J].广州广播电视大学学报, 2004, (2) :5-8.

档案信息化安全体系构建之我见 第11篇

1. 硬件设施安全体系建设

档案信息化硬件基础可以用信息化经费投入总量占档案馆经费比例、人均计算机拥有量、数字化设备的数量、存储设备的数量、数据迁移和备份设备的数量等指标来衡量。档案信息化硬件设施安全主要体现在通信线路的安全、物理设备的安全与容灾能力、抗干扰能力与设备的运行环境等方面。因此, 构建档案信息化硬件设施安全体系要从上述安全因素出发, 做好以下两个方面工作:一是建立具有防自然界非确定因素安全体系。自然破坏属于不可抗力, 只可预防不可阻止。信息时代导致微电子网路设备和硬件设备得到普遍应用, 也易遭受雷击影响, 所以, 档案馆或机构应具有综合布雷方案, 以备不时之需。综合布雷方案包括直击雷的防护和感应雷的防护, 以防止潜在风险。除此之外, 电子文件安全防护设备除具有调温、调湿、防水、防盗、防光、防虫等功能外, 还应具备防磁防磨损等能力, 以确保档案信息安全。二是建立计算机机房环境控制体系。计算机机房环境指标分为温度、湿度、照明、噪声等因素, 按照不同的标准分为A、B、C三级。档案信息化主服务器环境至少要达到B级标准, 适宜的温湿度不仅能够保证机房安全, 还能延长相关设备的使用寿命。

2. 网络环境安全体系建设

档案信息化网络环境可以用馆内计算机上网比例、网络性能、网络建设水平、政务网建设水平和公众网建设水平等指标来衡量。档案信息化网络环境安全体系建设主要体现在网络安全通讯、网络资源的访问控制、数据加密、远程接入的安全、路由系统的安全、侦测非法入侵和网络设施防病毒等方面。结合档案信息化网络安全体系安全因素, 档案信息化网络环境安全体系建设包括以下三个方面:一是全网数据安全备份体系。信息技术的发展促使档案信息化的发展, 也导致档案数据业务量的增加。对数据进行备份是为了保证数据的安全, 消除系统使用者和操作者的后顾之忧。数据备份体系一直是预防灾难、保证档案信息化信息安全的一种手段。因信息备份的对象不仅包括主服务器上的信息, 还包括网络节点上的信息, 所以, 建立全网数据安全备份体系就成为档案信息化安全体系建设的重要数据保障体系。浙江省舟山市档案馆在馆内建立病毒入侵防御系统、双机热备与灾难备份系统确保这些原生性档案数据安全与使用就是数据备份的例证。二是网络设备安全体系。随着信息技术的发展, 档案信息化正由传统的信息保密性向信息完整性、可用性、可控性等多方面发展。除了在传统信息技术注重系统本身防范外, 还应在网络出口配备防火墙设备。防火墙通常设置于某一台作为网间连接器的服务器上, 在内部网与其他网络之间建立起一个安全网关, 使访问者无法直接存取内部网络的资源, 保护网络资源免遭其他网络使用者的擅用或侵入。档案管理部门可通过信息传输和存储方面采用加密技术和身份认证技术等方式, 对不断变化的网络安全做出及时的反应, 以构建网络设备安全体系。三是建立病毒防护体系。信息技术的发展促进了档案信息化的发展, 也滋生了计算机病毒和木马程序。计算机病毒不仅具备破坏能力和黑客能力, 还可通过系统漏洞, 绕过计算机系统检测, 建立相应的有害服务, 导致整个网络系统瘫痪, 从而影响档案信息化整个进程。安装防病毒软件, 可以有效地防御和清除计算机和网络上已知的各种病毒。传统的杀毒软件不能满足现实需求, 对抗新的网络病毒我们必须采用更加主动的办法, 建立更加安全的防护措施。档案信息化建设防病毒体系不仅要提供灵活的安全方式, 多层次和强有力的保护, 还要适应复杂的网络环境, 提供简单、易用的病毒解决方案, 为档案信息化渐进式发展提供病毒防护体系。

3. 系统软件安全体系建设

档案信息化系统软件安全体系建设指标主要包括系统软件本身缺陷因素和安全配置因素, 因此, 档案信息化系统软件安全体系建设包括以下两个方面:一是系统软件漏洞扫描机制。漏洞扫描不仅可以用来自动检测主机安全漏洞, 还可作为增强档案信息化信息安全的重要措施。系统软件漏洞扫描机制能够有效地对潜在的档案信息系统安全问题做出预测, 有利于发现潜在的安全风险, 及时做出补救措施。二是系统软件安全配置机制。系统软件安全配置可以从软件角度保证档案信息化安全, 可以分为初级设置、中级设置和高级设置, 通过不同的权限和身份认证等措施 (权限设置、密码设置、关闭不必要的服务、不必要的端口和开启审核策略和密码策略等) , 保证档案信息化系统安全和档案信息化建设的安全进行。

4. 应用系统安全体系建设

档案信息化应用软件安全体系建设主要是针对不同软件厂商的兼容性问题。针对这一问题, 笔者建议不同的软件厂商要具有不同的文件格式的接口或转换功能。软件厂商可以目前市场上流行的格式为依据, 建设相应文件格式转换的接口, 以保障档案信息数据的安全和可靠。

参考文献

[1].蔡学美.郭玉东.冯剑波.关于档案信息化建设一些问题的认识.中国档案, 2010.10