构建信息安全防护体系(共12篇)
构建信息安全防护体系 篇1
摘要:近年来, 信息技术广泛应用于军事、科技、文化和商业等各个领域, 信息已成为一种不可忽视的战略资源。传播、共享是信息的固有属性, 同时信息的传播又必须是可控的、共享是授权的。因此, 信息的安全性和可靠性越来越引起人们的高度重视。本文针对信息安全防护体系的构建作了相关探讨。
关键词:构建,信息安全,防护体系
近年来, 信息技术广泛应用于军事、科技、文化和商业等各个领域, 信息已成为一种不可忽视的战略资源。传播、共享是信息的固有属性, 同时信息的传播又必须是可控的、共享是授权的。因此, 信息的安全性和可靠性越来越引起人们的高度重视。
1 确保信息传输安全
信息安全主要包括两个方面, 即信息的存储安全和信息的传输安全。信息存储安全就是指信息在静态存储状态下的安全, 如是否会被非授权调用等, 一般可通过设置访问权限、身份识别、局部隔离等措施来得以保证。针对“外部”访问、调用而言的访问控制技术是解决信息存储安全的主要途径。在网络中, 无论是调用指令, 还是信息反馈均是通过网络传输实现的, 所以网络信息传输上的安全就显得尤为重要。信息的传输安全主要是指信息在动态传输过程中的安全。为确保网络信息传输的安全, 必须做到:
一是防止网络信息的窃听。对网上传输的信息, 攻击者在网络的传输链路上通过物理或逻辑的手段就能对数据进行非法的截获与监听, 进而得用户或服务方的敏感信息。
二是防止用户身份的仿冒。对用户身份仿冒这一常见的网络攻击方式, 传统的对策一般采用身份认证方式防护, 但是, 用于用户身份认证的密码在登录时常常以明文的方式在网络上进行传输, 很容易被攻击者在网络上截获, 进而可以对用户的身份进行仿冒, 使身份认证机制被攻破。
三是防止网络信息的篡改。攻击者一旦进入网络, 就能篡改网络上信息内容 (增加、截去或改写) , 使用用户无法获得准确、有用的信息, 从而落入攻击者的陷阱。
四是防止网络信息的重发。“信息重发”的攻击方式是在截获网络上的密文信息后, 并不对其破译, 而是把这些数据包再次向有关服务器发送, 以实现恶意攻击的目的。
2 采取行之有效的安全防范措施
随着网络攻击手段的不断发展, 所有的网络安全措施都不能保证万无一失, 良好的安全措施只不过使被攻破的时间长一点而已。因此, 在网络安全防护过程中, 安全防护措施的制定具有一定的动态性, 应根据具体的环境与攻击手段的发展不断予以修正。基于网络安全的种种原因, 我们应从以下几个方面对网络进行防护:
一是采用备份来避免总体损失。备份是避免损失的有效途径。一旦出现服务器或终端用户被窃或重大的硬件故障, 只有通过应急备份, 才能恢复文件, 减少不必要的损失。我们可以为服务器配备一个存储内存大于该服务器磁盘容量的备份磁带, 利用服务器的及时备份功能, 对文件和数据进行备份。
二是预防病毒感染。预防病毒最好的办法就是禁止所有操作终端使用外来未加检测的各种软件。现在市面上的各种软件纷繁复杂, 盗版现象日趋严重, 盗版商为了自己的利益, 到处集成各种软件, 致使大部分盗版软件含有各种病毒, 各软件生产商为了保护自己的知识产权不受侵害, 在编制软件时, 都留有后门, 当某些条件得不到满足时, 驻留在程序中的病毒就会自动发作, 给用户造成不必要的损失。因此, 我们在使用各种软件时, 一定要使用正版软件厂商生产的, 且经过多种病毒监测程序测试通过的软件, 以防止病毒的危害。同时, 我们还应该在网络服务器和终端机上安装正版的防毒、杀毒软件并及时进行升级和更新, 利用杀毒软件的自动扫描功能, 对机器上的数据进行实时监测, 发现病毒立即清除。
三是防止无意的信息泄漏。在每台网络终端上安装防辐射设备, 并设置屏幕消隐保护程序, 使得只有通过口令才能看到正在进行的工作, 这样用户通过控制时间间隔, 对屏幕消隐进行控制, 对最常见的窥探威胁具有预防作用。另外, 网络打印机也是信息泄漏的重要途径。当使用网络打印机时, 应将打印机放置在一个控制严密的房间里, 但是, 不管对打印机的防护创建了什么样的体制, 它都有可能失效, 因此, 在使用网络打印机时, 操作人员一定要具有强烈的安全意识。重视信息垃圾的处理, 防止信息垃圾的泄密。敏感信息在处理前都应使用碎纸机进行粉碎。密级较高的信息不应存放在硬盘上, 应该将该信息存储光盘上并将存储盘保存在安全保险的地方。
四是使用网络操作系统的安全功能。各种网络系统都有许多安全功能, 在使用一种网络系统时, 也要关注其他网络的安全功能, 使用过程中, 确保所有可供使用的网络操作系统的安全功能均打开。所使用的口令一定要采用不易忘记、不受猜测和不易受到蛮力攻击而且字长超过8个字符的口令, 并为多次访问提供最多不超过3次的不正确尝试次数。利用网络安全监视工具监测网络安全脆弱性, 对检测到的各种信息每天进行审计跟踪, 并不断完善各种安全规则。
3 增强操作人员的安全保密意识
黑客之所以能在网上频频得逞, 与人们防范意识淡薄有很大关系。各单位应定期对网络管理员进行培训, 提高其网络管理水平。网络安全并不仅仅是那些有重要数据的用户和管理员的事, 对每个普通用户都要严格要求, 否则普通用户将会成为危害网络安全的一个跳板, 黑客、病毒可以通过普通用户终端进入到网络中, 从而对整个网络和系统的安全带来威胁。因此, 让每一个用户都增强安全意识, 进行安全操作, 是实现网络安全的根本途径。同时, 要做好网络系统的安全保密工作, 加强网络操作人员的安全保密教育, 提高其安全保密意识。尤其是要增强所有终端操作人员的计算机安全防范意识。网络终端是网络中最基本的单元, 终端操作人员又是这单元的重要组成部分, 如果不及时对操作人员进行安全防范教育, 那么我们所构建的安全防护体系就会功亏一篑。
4 建立行之有效的安全管理机制
安全问题不仅仅是技术性的问题, 还与道德、行业管理以及用户的行为紧密地联系在一起。管理工作是安全系统的关键, 设备可以很快被淘汰, 一些技术也很快会落后, 但是, 良好的管理
参考文献
[1]徐超, 葛红美.《delphi程序设计》课程教学方法的改革与实践[J].和田师范专科学校学报, 2008.
[2]龚建华, 刘惠安.在高级语言程序设计课程中融入软件工程思想的教学改革思路[J].贵州教育学院学报, 2009, 20 (3) :31-33.
[3]陈渝, 曾庆森, 张红.基于Web Quest的“C程序设计”实验教学改革[J].重庆工学院学报, 2008.
(上接第131页)
肯定会拥有长期存在的价值。作为一个系统, 安全是动态的、发展的, 这就更需要有完善的管理来适应这种变化。实践表明, 纯技术难以防范原始的攻击方式, 根本的解决方法是严格的管理和各种制度的落实。
严格控制用户随意入网。对入网用户进行严格审批, 定期组织网络安全巡查并进行不定期抽查。建立逐级负责制度。信息安全管理不是哪一个人哪一个部门的事, 只有靠信息管理人员和所有信息使用人员共同来监督才能达到事半功倍的效果, 才能保证信息安全管理的及时有效性。
构建信息安全防护体系 篇2
1信息安全体系概况
信息安全体系的构建在于其通过计算机技术在内部形成有效的防火墙和巩固的内部系统来预防和阻止因非法入侵、攻击、盗用而造成的信息遗失安全问题,信息安全管理主要包括系统安全管理、安全服务管理和安全机制管理。
要确保信息安全体系的有效运行,就要确保安全有效的信息安全保护机制。
1.1信息安全保护机制
信息安全保护机制的形成是由内而外的逐级形成,其形成的基础在于现阶段全民对于信息资源安全问题的高度重视,从而形成了全体信息资源安全意识,建立起了巩固的心理屏障;其次,国家通过相关法律法规对信息安全管理进行了规范和约束,严厉打击非法入侵和盗用信息资源,为信息安全体系的构建提供了法律保障。
1.2安全服务
安全服务通过对服务过程中的数据和服务对象的鉴定来规范访问权限,以确保未授权情况下的信息资源的完整性和保密性,在服务过程中对相关信息数据的接收和发生备档,防止事后对方抵赖事件的发生。
1.3信息安全体系的框架
完整的信息安全体系的构建是由技术体系、组织机构体系、管理体系三者共同组建的。
如何构建企业信息安全体系 篇3
为了保障企业的信息安全,必须建立一个企业信息安全体系。信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容(如图1所示),四者既有机结合、又相互支撑。企业的信息安全体系运作就是企业根据安全策略,由安全组织(或人员)以安全技术作为工具和手段进行操作,来维持企业网络的安全运行,从而使网络安全可靠。
安全体系的普遍问题
当前大多数企业的信息安全体系普遍存在以下四方面的问题:
信息安全策略方面:许多企业没有统一的安全运行体系;公司的安全策略没有正式的审批和发布过程,没有公司的行政力度进行保障,使得安全策略在企业内的执行缺乏保障;缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。
信息安全组织方面:缺乏完整、有效、责权统一的专门的信息安全组织,只是配有少量的兼职安全人员。信息安全工作没有明确的责任归属,工作的开展与落实有困难;缺少信息安全专业人员,缺乏相应的安全知识和技能,安全培训不足;缺乏对于全员的信息安全意识教育,桌面系统用户的安全意识薄弱。
信息安全技术方面:用户认证强度不够;应用系统安全功能与强度不足;缺乏有效的信息系统安全监控与审计手段;系统配置存在安全隐患;网络安全域划分不够清晰,网络安全技术的采用缺乏一致性。
信息安全建设与运行方面:没有建立起完善的IT项目建设过程的安全管理机制,应用系统的开发没有同步考虑信息安全的要求,存在信息安全方面的缺陷;日常的安全运维工作常处于被动防御状态;缺乏明确的检查和处罚机制,多数企业在运维管理方面缺乏统一的安全要求和检查;缺乏应急响应机制;对已有安全设施的维护、升级和管理不到位。
面对以上种种问题,企业必须认真考虑下列问题: 企业如何建立信息安全策略体系?企业信息安全组织如何建立?企业信息安全技术是否有效可靠?企业信息安全建设与运行是否有完整的制度保障?要解决这些问题,企业应充分利用成熟的信息安全理论成果,设计出兼顾整体性、具有可操作性,并且融策略、组织、运行和技术为一体的信息安全保障体系,保障企业信息系统的安全。
信息安全策略体系
信息安全策略体系规划为三层架构,包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则(如图2所示),涉及的要素包括信息管理和技术两个方面,覆盖信息系统的物理层、网络层、系统层、应用层四个层面。
技术安全体系
在IAARC信息系统安全技术模型中,包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪五个部分,当前主要的信息安全技术或产品都可以归结到上述五类安全技术要素(如图3所示)。
充分利用信息安全的技术手段(包括身份认证、访问管理、内容安全、审核跟踪和响应恢复等五种保护措施),同时,结合信息安全所保护的对象层次,以及目前主流的信息安全产品和信息安全技术,完善企业信息安全技术体系框架。
整个企业信息安全技术体系的总体框架如图4所示:
物理层安全
主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
网络层安全
要建立注重安全域划分和安全架构的设计。可以根据信任程度、受威胁的级别、需要保护的级别和安全需求,将网络从总体上分成四个安全域,即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。
安全边界的防护。边界是不同网络安全区域之间的分界线,是不同网络安全区域间数据流动的必经之路。安全区域的边界防护是根据不同安全区域的安全需要,采取相应的安全技术防护手段,制定合理的安全访问控制策略,控制低安全区域的数据向高安全区域流动。
针对VPN的接入安全控制。用户远程VPN接入主要用于员工出差时访问内部网络的需求和各企业小规模分支机构访问内部网的需求。VPN(虚拟专用网)是为通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
网络准入控制。网络准入控制系统是通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估,决定是否允许这台网络终端计算机接入企业网络中。若不符合制定的准入策略,将其放入隔离区以修复,或仅允许其有限地访问资源。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。
做好网络设备登录认证。建立集中的网络设备登录认证系统,用于对网络设备维护用户的集中管理,认证用户的身份,决定其是否可以登录到网络设备;通过定义不同级别的用户,授权他们能执行的不同操作,记录并审计用户的登录和操作。
系统层安全
做好系统主机的入侵检测,针对系统主机的网络访问进行监测,及时发现外来入侵和系统级用户的非法操作行为;要做好系统主机的访问控制,系统主机访问控制提供给系统安全管理员最有效的方法,从用户登录安全、访问控制安全、系统日志安全等方面加入安全机制;要做好系统主机的安全加固,定期对服务器操作系统和数据库系统进行安全配置和加固,在不影响业务处理能力的前提下对系统的配置进行安全优化,以提高系统自身的抗攻击性,消除安全漏洞,降低安全风险;做好主机的安全审计工作,提供全面的安全审计日志和数据,提升主机审计保护能力,对审计数据的访问进行严格控制,加强对审计数据的完整性保护。
应用层安全
随着各种各样的系统应用不断深化和普及,一些应用系统安全问题不断凸现出来。为了最大限度及时规避因应用安全问题带来的威胁,应着力抓好六个方面的工作:建立应用安全基础设施;健全应用安全相关规范;改进应用开发过程;组织关键应用安全性测试;加强应用安全相关人员管理;制定应用安全文档及应急预案。
终端层安全
加强终端电脑的安全管理。终端安全指对接入企业网络的终端设备(主要是台式计算机、笔记本电脑和其他移动设备等)进行的安全管理。内容包括终端安全策略、防病毒、防入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。
备份与恢复
备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内、并使灾难得到有效恢复的安全机制,包括数据级、应用级和业务级三个层次。参照国际标准Share78中定义的容灾系统层次划分,对不同等级的信息系统建立不同的备份与恢复机制。主要工作包括:开发容灾计划,通过对不同等级的信息系统容灾需求分析,确定容灾等级、RTORPO等容灾指标、备份策略、恢复性测试要求等,设计容灾方案;备份与恢复基础设施的建设,包括建立异地灾难恢复系统和重要数据的本地备份设施。
信息安全组织
信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分,能合理阻止关键流程的破坏。同时应加强全员的信息安全意识教育,提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作,组织与职责的清晰定义可以有效地促进信息安全各项工作的进行,包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织要包含决策、管理、执行与监管四个层面。
信息安全教育与培训要覆盖公司各个层面的人员,提升整个企业人员安全的水平,同时人员安全的相关工作在制度和机制方面为教育与培训提供有效保障。
信息安全建设与运行体系
如何构建企业信息安全体系 篇4
关键词:信息安全体系,安全组织,安全策略,安全技术
网络构建起来的信息化高速公路, 为全球信息的交换与获取提供了最便捷的手段, 但也使信息安全受到严重威胁。据资料显示, 全球由于信息安全漏洞造成的损失每年为150亿美元。企业的信息安全与否已经成为企业能否正常运行的重要因素。为了保证企业信息安全, 必须建立一个企业信息安全体系。
1 当前企业信息安全体系普遍存在的问题
信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行。四者既有机结合, 又相互支撑。但目前绝大多数企业在安全体系建设方面都存在不完善的地方。
1.1 信息安全策略方面
没有统一的安全运行体系;安全策略没有正式的审批和发布过程, 没有行政力度进行保障, 使得安全策略的在企业内的执行缺乏保障;缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。
1.2 信息安全组织方面
缺乏完整、有效、责权统一的专门的信息安全组织。信息安全工作没有明确的责任归属, 工作的开展与落实有困难;缺少信息安全专业人员, 缺乏相应的安全知识和技能, 安全培训不足;缺乏对于全员的信息安全意识教育, 桌面系统用户的安全意识薄弱。
1.3 信息安全技术方面
用户认证强度不够;应用系统安全功能与强度不足;缺乏有效的信息系统安全监控与审计手段;系统配置存在安全隐患;网络安全域划分不够清晰, 网络安全技术的采用缺乏一致性
1.4 信息安全建设与运行方面
没有建立起完善的IT项目建设过程的安全管理机制, 应用系统的开发没有同步考虑信息安全的要求, 存在信息安全方面的缺陷。日常的安全运维工作常处于被动防御状态。缺乏明确的检查和处罚机制, 多数企业在运维管理方面缺乏统一的安全要求和检查。缺乏应急响应机制。对已有安全设施的维护、升级和管理不到位。
2 如何建立企业信息安全体系
企业应充分利用成熟的信息安全理论成果, 设计出兼顾整体性、具有可操作性, 并且融策略、组织、运行和技术为一体的信息安全保障体系, 保障企业信息系统的安全。具体措施如下:
2.1 建立科学合理的信息安全策略体系
信息安全策略体系规划为三层架构, 包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则如图一所示, 涉及的要素包括信息管理和技术两个方面, 覆盖信息系统的物理层、网络层、系统层、应用层四个层面。
2.2 采用先进可靠的技术安全体系
在IAARC信息系统安全技术模型该模型中, 包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪5个部分, 当前主要的信息安全技术或产品都可以归结到上述5类安全技术要素。充分利用信息安全的技术手段这5种保护措施。同时, 结合信息安全的所保护的对象层次, 以及目前主流的信息安全产品和信息安全技术, 完善企业信息安全技术体系框架。整个企业信息安全技术体系总体框架包括物理层、网络层、系统层、应用层、终端层等五层次。
2.2.1 物理层安全
主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
2.2.2 网络层安全
一是要建立注重安全域划分和安全架构的设计。根据信任程度、受威胁的级别、需要保护的级别和安全需求, 将网络从总体上可分成四个安全域, 即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。
二是安全边界的防护。根据不同安全区域的安全需要, 采取相应的安全技术防护手段, 制定合理的安全访问控制策略, 控制低安全区域的数据向高安全区域流动。
三是针对VPN的接入安全控制。VPN为通过一个公用网络建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。针对VPN接入需要从用户接入到安全防护一套安全控制手段。
四是网络准入控制。通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估, 决定是否允许这台网络终端计算机接入企业网络中。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。
五是做好网络设备登录认证。建立企业集中的网络设备登录认证系统, 用于对网络设备维护用户的集中管理, 认证用户的身份;通过定义不同级别的用户, 授权他们能执行的不同操作, 记录并审计用户的登录和操作。
2.2.3 系统层安全
一是做好系统主机的入侵检测, 针对系统主机的网络访问进行监测, 及时发现外来入侵和系统级用户的非法操作行为。二要做好系统主机的访问控制, 从用户登录安全、访问控制安全、系统日志安全等方面加入了安全机制。三是要做好系统主机的安全加固, 定期对服务器操作系统和数据库系统进行安全配置和加固, 对系统的配置进行安全优化, 以提高系统自身的抗攻击性, 消除安全漏洞, 降低安全风险。四是做好主机的安全审计工作, 提供全面的安全审计日志和数据, 提升主机审计保护能力。
2.2.4 应用层安全
随着系统应用的不断深化和普及, 一些应用系统安全问题不断凸现出来。为最大限度及时规避因应用安全问题而带来的威胁, 应着力抓好六个方面的工作:一是建立应用安全基础设施;二是健全应用安全相关规范;三是改进应用开发过程;四是组织关键应用安全性测试;五是加强应用安全相关人员管理;六是制定应用安全文档及应急预案。
2.2.5 终端层安全
加强终端电电脑的安全管理。对接入企业网络的终端设备进行安全管理。内容包括终端安全策略、防病毒、放入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。
2.2.6 备份与恢复
备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内, 并使灾难得到有效恢复的安全机制, 包括数据级、应用级和业务级三个层次。一是建立容灾计划。通过对不同等级的信息系统容灾需求分析, 确定容灾等级、RTORPO等容灾指标、备份策略、恢复性测试要求等, 设计容灾方案。二是建立备份与恢复基础设施, 包括异地灾难恢复系统和重要数据的本地备份设施。
2.3 建立完整、有效、责权统一的信息安全组织
信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分, 能合理阻止关键流程的破坏。加强全员的信息安全意识教育, 提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作, 组织与职责的清晰定义可以有效地促进信息安全各项工作的进行, 包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织包含决策、管理、执行与监管四个层面。
信息安全教育与培训要覆盖公司各个层面的人员, 提升整个企业人员安全的水平, 同时人员安全的相关工作在制度和机制方面为教育与培训提供了有效保障。
2.4 建立合适的信息安全建设与运行体系
建立合适的信息安全建设与运行体系, 一是建立安全评估机制。形成系统化的信息安全风险评估规范和制度, 定期对重要信息系统的安全进行评估。二是建立有效的应急响应机制。针对可能发生的破坏性事件而设计的必要的管理和恢复机制, 将安全事件带来的损失降到最低。三是加强项目建设信息安全管理, 建立IT项目建设过程的安全管理机制, 对信息系统的全生命周期进行安全管理, 在项目的申报、审批、立项、实施、验收以等关键环节中, 都有相应的信息安全规定或制度来进行约束, 完成各个环节的信息安全管理行为。四是建立信息系统运维安全管理制度。重点加强安全监控和响应机制, 安全日志审计与分析机制, 安全预警机制三方面的建设工作。
构建信息安全防护体系 篇5
杜洪伟
天津第七市政公路工程有限公司,天津(300113)
摘 要:随着计算机网络的快速发展,网络资源共享也更加广泛。计算机网络面临着信息泄露、黑客攻击、病毒感染等多种威胁,信息安全保密工作面临着严峻挑。本文结合我国企业信息安全保密工作的相关要求和实际情况,从技术防范的角度出发,对保障网络的信息安全进行了分析,探讨了构建满足企业信息安全保密工作需要的防范措施。
关键词:企业信息化;信息安全保密;技术防范措施; 引言
信息网络国际化、社会化、开放化和个人化的特点, 决定了,它在给人们提供高效率、高效益、高质量的“信息共享”的同时,也投下了不安全的阴影。随着企业和人民对网络环境和网络资源依赖程度的不断加深, 信息泄露、黑客入侵、计算机病毒传播甚至于威胁信息安全的问题会出现得越来越多。因此,如何在企业机构中做好信息安全保密工作,事关企业发展的战略安全与重要利益。试想一下如果有关我国企业技术研究的重要信息系统安全遭到泄漏、破坏,那么就会对我国企业技术研究开发的各方面工作造成严重影响,使企业在该技术领域的研究陷于被动的处境,甚至会牵连整个社会和经济的发展进程,引致灾难性的经济损失后果。总之,在企业机构中做好信息安全保密工作是一项系统工程,本文从技术角度出发,以未雨绸缪,预防为主,兼顾防御及修复的原则为指导,加强信息安全保密工作的重要意识,在构建防范体系的过程中把该安全意识落实到每个技术细节上。最终构建一个系统、全面、可靠、有针对性的技术防范体系。网络信息安全问题
信息安全实质上是信息系统安全,信息系统主要由计算机系统构成,包括软件、硬件等。国际标准化组织(ISO)将“信息安全”定义为: 为数据处理系统建立和采取的技术和管理的安全保护, 保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
网络信息安全面临的威胁是多方面的, 具有无边界性、突发性、蔓延性和隐蔽性等新的特点。网络模糊了地理、空间上的边疆概念, 使得网上的冲突和对抗更具隐蔽性。对计算机网络的攻击往往是在没有任何先兆的情况下突然发生的, 而且会沿着网络迅速蔓延。对网络信息安全防御的困难还在于, 一个攻击者仅需要发起一个成功的攻击, 而防御者则需要考虑所有可能的攻击;而且这种攻击是在动态变化的。因此,需从技术上采取综合、系统性的多种措施构建技术防范体系。
信息安全是一个综合、交叉的学科领域,要涉及到安全体系结构、安全协议、密码理论、信息分析、安全监控、应急处理等各个方面, 还要利用数学、电子、信息、通信、计算机等诸多学科的长期知识积累和最新发展成果。信息安全要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果, 进行自主创新研究, 加强顶层设计, 提出系统的、完整的, 协同的解决方案。
实际上不论是局域网还是广域网, 都是一种系统, 所以系统安全问题的解决, 必然是一项系统工程, 必须采用系统工程学的方法、运用系统工程学的原理来设计网络信息安全体系。解决网络信息安全的基本策略是技术、管理和法制并举。技术是核心, 要通过关键技术的突破, 构筑起国家信息安全技术防范体系。管理是关键, 根据“木桶原理”, 信息安全链条中任何一个环节的脆弱都有可能导致安全防护体系的失效, 必须要加强各管理部门和有关人员间的密切合作。法制是保障, 通过建立信息安全法规体系, 规范信息化社会中各类主体的行为, 以维持信息化社会的正常运作秩序。
3.信息安全的技术体系构成
3.1信息安全技术基础 3.1.1边界隔离技术
边界隔离包括逻辑隔离、物理隔离、信息过滤、入侵检测、防火墙、防病毒网关等,其实就是一种用于信息系统边办防护的安全技术,以阻止来自网络系统外部的各种攻击。运用该项技术首先
巨大商业、社会价值,病毒的泛滥大有愈演愈烈之势,其危害的深度、广度和力度也越来越大。流行广泛、各类繁多、潜伏期长、破坏力大,对储存了大量科研数据的计算机信息系统构成了长期与现实的威胁。
其次就是黑客入侵。通过技术手段,非法侵入计算机信息系统,获取秘密信息或有选择地破坏信息的有效性与完整性。这是当前企业机构计算机信息系统所面临的最大威胁。黑客除了在网上编写程序利用软件进行直接的攻击和破坏,还采用信号截取和声像外露信号来获取秘密信息。
再者就是存储介质失密,特别是随着移动存储介质的广泛使用,使得利用存储介质窃取信息的事件日益增多。如涉密的优盘、硬盘、光盘、笔记本电脑等。
系统漏洞,软件是编程人员设计编写的,有时因为疏忽,有时为了自便而专门设置,总是或多或少存在一些大大小小的漏洞。因此没有无懈可击,天衣无缝的软件系统。利用计算机操作系统、信息管理系统、网络系统的自身安全漏洞,进行窃取与破坏活动。
非法访问,企业机构以外人员利用非法手段进入安全保密防范措施不完善的信息系统,对企业信息系统进行的破坏活动。另外还有人为因素。例如个别人员利用合法身份与国外的网络非法连接,或者使用随身携带的摄像等装备进行的窃取行为。
以上所列举的情况是目前存在于企业机构的主要信息安全威胁,针对上述威胁我们应构建有针对性的、强健的技术防范体系。
3.2.2构建有针对性的技术防范体系
构建符合企业机构工作特点且有针对性的信息安全保密技术防范体系,实际上就是从信息系统和信息网络的不同层面保证信息的机密性、完整性、可用性、可控性,进而保障信息系统的安全,提高信息系统及网络的防御能力。安全保密技术是随着信息技术、网络技术,以及各种入侵技术的发展而不断完善和提高的,不断采用一些最新的安全防护技术,可以极大地弥补传统安全防护手段存在的不足。因此,信息安全保密的技术防范体系,是构建整个信息安全保密体系的重要组成部分,在资金允许和技术可行的条件下,应该尽可能采用先进的、且经得住实践检验的技术防护手段,这样才能有效抵御不断出现的信息安全威胁。
(1)物理安全防护
物理安全防护主要指内网借助于某些网络设备及软件系统等方式间接地连接到外网,另外还包括对网络设备保护层及电磁辐射的物理防护。物理安全防护的方法有以下几种:
1)抑制电磁泄漏(即TEMPEST技术)是物理安全防护的一个重要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,既要采用各种电磁屏蔽手段,还要应对可能出现的干扰。
2)网络隔离卡:在终端机上加装网络安全隔离卡,并额外配备1块硬盘,这样就能根据使用者的需求,灵活切换内外网。
3)最直接的方法应是一人双机:如果经济条件允许,给专业管理人员配备2台终端机,1台接外网,1台只接内网。
(2)防火墙
目前,常见的防火墙主要有三类:
1)应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔离应用层通信流的作用。2)包过滤型防火墙:数据分组的过滤或包过滤,其中包过滤原理和技术可以认为是各种网络防火墙的基础构件。
3)综合型防火墙将数据包过滤和代理服务结合起来使用。
混合使用数据包过滤技术、代理服务技术和其他一些新技术将是未来防火墙的发展趋势。(3)抗攻击、防病毒网关
教育信息网络安全体系研究与构建 篇6
关键词:教育信息网络;防火墙技术;网络安全体系;用户安全
中图分类号:TP393.08
教育网络随着互联网与计算机的快速发展也迅速普及,这对优质教育资源的合理利用、资源共享的实现还有工作效率的提高都起到了重要作用。自互联网诞生以来,信息安全问题就伴其左右,而随着互联网资源共享性的快速提高,信息安全问题也越来越严重,恶意软件、病毒、黑客攻击等造成的网络瘫痪、数据丢失等状况时有发生。因此所有高校都面临着怎样确保教育网络安全高效运行的问题,教育网络安全问题亟待解决。
1 网络安全体系简介
1.1 网络安全定义
网络安全指的是在目前已有的网络基础之上,通过采用相应的技术或者安全措施去防止病毒、恶意软件、黑客等利用修改、窃听、冒充等手段造成的用户信息安全受损,从而确保网络系统能够高效可靠的正常运行,所以,网络安全保护系统的建立使为了保证数据在经过网络的传输和交换之后不会发生篡改泄露或者丢失等[1]。
1.2 网络安全技术
(1)防火墙技术与入侵检测技术。防火墙指的是在内部网与外部网之间设立的封锁过滤机制,它是由一系列部件的结合而成的。它能够有效拦截一些从内网向外网发送的不合法信息,也可以阻断外部网络使内部网络资源不受黑客非法入侵,从而使得防火墙可以保护网络系统的安全,入侵检测技术是一种可以在受到攻击时主动保护系统不受伤害的网络安全技术[2]。
(2)数据加密技术与防病毒技术。数据加密技术比防火墙技术更加灵活,所以开放性网络多采用此技术进行安全防护。在网络安全问题中,计算机病毒的危害是相当严重的,其不仅覆盖面特别广、潜伏性特别强而且发生的频率也特别高从而造成的损失也很大。网络安全防护中计算机病毒防护是一个很重要的领域[3]。
2 教育信息网络安全体系需求分析
2.1 用户安全
用户安全分为管理员层和业务层两个层次的安全。管理员层用户具有较高的能力与权力,导致其承担较高的责任,所以,对于信息系统的安全,最大的执行责任由管理层用户承担。为此,信息系统管理人员必须具有精湛的业务素质和良好的政治素养;只有在管理层用户分配的权限内业务层用户才可以教育网络内的相关资源进行相关操作与使用,绝对不允许越权使用系统资源、转让及泄露合法权限也绝对不允许利用合法权限进行和职位不相关的操作。
2.2 应用环境安全
对于一些保存了敏感信息的专用业务子网站如人事处、教务处和财务处等,一定要保证应用的安全。包括数据的备份与恢复、防病毒入侵、接入安全管理、防止敏感信息失窃、对网络通信秩序进行规范、有层次的监控保存了敏感信息的重要服务器的硬/软件资源等。
2.3 组织管理安全
信息系统安全中组织管理安全也是其重要的组成部分。根据《中华人民共和国计算机信息系统安全保护条例》这一法律条例的规定,再结合高校内对校园网安全的要求,从上层向基层建立起层级分明的网络安全管理机制,全面有效的负责高校内教育网络的安全[4]。
2.4 网络平台安全
网络平台安全分为两部分,其中包括基础设施安全部分和网络连接安全部分。基础设施安全部分,这部分安全主要包括:硬件设施本身机械及物理的安全、物理的环境与保障安全;网络连接安全部分,高校内网络连接安全主要包括:教育网络和互联网之间的连接安全、教学单位与学生宿舍还有行政办公和网管中心以及公众服务器等网络同其他网络之间的连接安全、各个专用的业务子网站的安全、关于宿舍内网络IP地址的欺骗及仿冒等问题的防范。
3 教育信息网络安全体系构建分析
3.1 结构设计
防火墙作为一种网络周边安全机制,其是无法做到完全监控内部网络的全方位安全监控的,很多安全威胁都是防火墙所无法防范的,教育信息网络在运行过程中,大部分的安全威脅都来自于校园内部,所以在安全体系中引入防火墙系统可以实现网络安全监测以及实时攻击识别,能够及时分析出来自校园外部以及内部的数据通讯信息,但是入侵系统的一个劣势在于其单独是无法发挥作用的,所以将入侵系统与防火墙进行联合,是构建教育信息网络安全体系的可供选择。
3.2 教育信息网络安全体系的建立
为了建立完善的网络安全体系,需要对各种体系和安全技术进行深入的分析,进而制定出全方位的网络安全体系,通过多种技术与安全工具的联合,形成多种维度的安全机制。P2DR是一个动态的计算机系统安全模型,指的是在安全战略的指导之下,运用防火墙、加密手段以及操作用户身份认证的方式,利用入侵检测、漏洞评估等工具,对评估系统网络的安全状态进行全方位的了解,达到将网络体系的安全性调整到最安全的状态[5]。
3.3 教育信息网络安全体系实现
教育信息网络的核心交换机是三层交换机,对于虚拟局域网技术能够给予很好的支持,为了提高网络体系的安全性,需要将不同区域的网络运作进行虚拟网络的划分,如教学楼、办公楼、学生宿舍、食堂等。为了更好的实现应用安全,在教育信息网络中应该有如下几种规定:一是访问控制,可以采用自主访问进行合理控制;二是信息的完整性,指的是保证教育信息不会被随意更改;三是记录,即对于访问的用户能够及时进行记录;四是用户认证,其主要是为了避免非法用户登录到教育信息网站进行恶意破坏。另外,为了保证教育信息网络安全体系的真正实现,必须保证防火墙系统安全性、入侵系统安全性以及整体网络安全管理的实现。
防火墙技术是目前使用最广泛的保护网络系统安全的有效手段之一。数据加密技术主要针对于动态信息,对于动态数据受到的攻击既有主动攻击也有被动攻击,对于主动攻击虽然很难避免但是却可以被检测,而被动攻击则是无法检测但却可以避免,而如果以信息加密技术为基础就可以实现这一切。数据被加密后就算黑客获取了数据也没有办法复原这些数据,从而保护了信息的安全。
4 结束语
当前如何确保计算机网路系统的安全是任何一个网络的设计者和管理者都极为关心的热点话题,出现安全隐患的最主要的原因是因为互联网全面开放的特点,人们为了避免这些安全隐患的入侵,开始积极研究各种安全手段与技术措施,以期能够构建出一种可靠的计算机安全网络系统,教育信息网络安全体系研究与构建是目前困扰教育界的一大难题,对教育信息网络的安全方案中存在着手段单一的问题,这种局限性的措施不能完全消除安全隐患,所以这些问题都是亟待解决的重点问题。
参考文献:
[1]罗曦.校园网络安全体系构建的研究与应用[D].长沙:湖南大学,2013.
[2]张彭,李若思,王蓓.实现教育信息网络安全的对策[J].小学时代(教育研究),2011(03):8-9.
[3]张德祥,刘勋,扈炳良.校园信息网络安全体系构建研究[J].情报科学,2012(04):1542-1544.
[4]苏骏.信息系统安全体系构建研究[D].武汉:武汉理工大学,2012.
[5]孟小冬.浅谈教育信息网络安全与防范[J].吉林广播电视大学学报,2012(02):97-98.
作者简介:刘长才(1993.03-),男,河南周口人,本科在读,研究方向:信息网络安全。
构建信息安全防护体系 篇7
随着信息化进程的发展, 信息技术与网络技术的高度融合, 现代企业对信息系统的依赖性与信息系统本身的动态性、脆弱性、复杂性、高投入性之间的矛盾日趋突显, 如何有效防护信息安全成为了企业亟待解决的问题之一。目前国内企业在信息安全方面仍侧重于技术防护和基于传统模式下的静态被动管理, 尚未形成与动态持续的信息安全问题相适应的信息安全防护模式, 企业信息安全管理效益低下;另一方面, 资源约束性使企业更加关注信息安全防护的投入产出效应, 最大程度上预防信息安全风险的同时节省企业安全建设、维护成本, 需要从管理角度上更深入地整合和分配资源。
本文针对现阶段企业信息安全出现的问题, 结合项目管理领域的一般过程模型, 从时间、任务、逻辑方面界定了系统的霍尔三维结构, 构建了标准化的ISM结构模型及动态运行框架, 为信息网络、信息系统、信息设备以及网络用户提供一个全方位、全过程、全面综合的前瞻性立体防护, 并从企业、政府两个层面提出了提高整体信息安全防护水平的相关建议。
1 企业信息安全立体防护体系概述
1.1 企业信息安全立体防护体系概念
信息安全立体防护体系是指为保障企业信息的有效性、保密性、完整性、可用性和可控性, 提供覆盖到所有易被威胁攻击的角落的全方位防护体系。该体系涵盖了企业信息安全防护的一般步骤、具体阶段及其任务范围。
1.2 企业信息安全立体防护体系环境分析
系统运行离不开环境。信息产业其爆炸式发展的特性使企业信息安全的防护环境也相对复杂多变, 同时, 多样性的防护需求要求有相适应的环境与之配套。
企业信息安全立体防护体系的运行环境主要包括三个方面, 即社会文化环境、政府政策环境、行业技术环境。社会文化环境主要指在企业信息安全方面的社会整体教育程度和文化水平、行为习惯、道德准则等。政府政策环境是指国家和政府针对于企业信息安全防护出台的一系列政策和措施。行业技术环境是指信息行业为支持信息安全防护所开发的一系列技术与相匹配的管理体制。
1.3 企业信息安全立体防护体系霍尔三维结构
为平衡信息安全防护过程中的时间性、复杂性和主观性, 本文从时间、任务、逻辑层面建立了企业信息安全立体防护体系的三维空间结构, 如图1所示。
时间维是指信息安全系统从开始设计到最终实施按时间排序的全过程, 由分析建立、实施运行、监视评审、保持改进四个基本时间阶段组成, 并按PDCA过程循环[5]。逻辑维是指时间维的每一个阶段内所应该遵循的思维程序, 包括信息安全风险识别、危险性辨识、危险性评估、防范措施制定、防范措施实施五个步骤。任务维是指在企业信息安全防护的具体内容, 如网络安全、系统安全、数据安全、应用安全等。该霍尔三维结构中任一阶段和步骤又可进一步展开, 形成分层次的树状体系。
2 企业信息安全立体防护体系解释结构模型
2.1 ISM模型简介
ISM (Interpretation Structural Model) 技术, 是美国J·N·沃菲尔德教授于1973年为研究复杂社会经济系统问题而开发的结构模型化技术。该方法通过提取问题的构成要素, 并利用矩阵等工具进行逻辑运算, 明确其间的相互关系和层次结构, 使复杂系统转化成多级递阶形式。
2.2 企业信息安全立体防护体系要素分析
本文根据企业信息安全的基本内容, 将立体防护体系划分为如下15个构成要素:
(1) 网络安全:网络平台实现和访问模式的安全;
(2) 系统安全:操作系统自身的安全;
(3) 数据安全:数据在存储和应用过程中不被非授权用户有意破坏或无意破坏;
(4) 应用安全:应用接入、应用系统、应用程序的控制安全;
(5) 物理安全:物理设备不受物理损坏或损坏时能及时修复或替换;
(6) 用户安全:用户被正确授权, 不存在越权访问或多业务系统的授权矛盾;
(7) 终端安全:防病毒、补丁升级、桌面终端管理系统、终端边界等的安全;
(8) 信息安全风险管理:涉及安全风险的评估、安全代价的评估等;
(9) 信息安全策略管理:包括安全措施的制定、实施、评估、改进;
(10) 信息安全日常管理:巡视、巡检、监控、日志管理等;
(11) 标准规范体系:安全技术、安全产品、安全措施、安全操作等规范化条例;
(12) 管理制度体系:包括配套规章制度, 如培训制度、上岗制度;
(13) 评价考核体系:指评价指标、安全测评;
(14) 组织保障:包括安全管理员、安全组织机构的配备;
(15) 资金保障:指建设、运维费用的投入。
2.3 ISM模型计算
根据专家对企业信息安全立体防护体系中15个构成要素逻辑关系的分析, 可得要素关系如表1所示。
将企业信息安全立体防护体系要素关系梳理成邻接矩阵, 并通过Matlab软件进行运算, 得到可达矩阵M:
其中“1”表示不同因素之间存在的直接或间接的影响关系。
对可达矩阵进行区域划分和级位划分, 确定各要素所处层次地位。在可达矩阵中找出各个因素的可达集R (Si) , 前因集A (Si) 以及可达集R (Si) 与前因集A (Si) 的交集R (Si) ∩A (Si) , 得到第一级的可达集与前因集 (见表2) 。
由表2可知该系统存在 (R (S11) ∩R (S12) ∩R (S13) ∩R (S14) ∩R (S15) ) ≠∅, 构成要素处于同一个区域中, 且第一级的可达集与前因集只有R (S3) =R (S3) ∩A (S3) , 因此, L1={S3}。划去可达矩阵中S3所对应的行和列, 得到第二级的可达集和前因集。依此类推, 可得L2={S1, S2, S4, S5, S6, S7};L3={S8, S9, S10};L4={S11, S12, S13, S14, S15}。
2.4 企业信息安全立体防护结构
结合信息安全防护的特点, 企业信息安全立体防护体系15个要素相互联系、相互作用, 有机地构成递阶有向层级结构模型。图2中自下而上的箭头表示低一层因素影响高一层因素, 双向箭头表示同级影响。
从图2可以看出, 企业信息安全防护体系内容为四级递阶结构。从下往上, 第一层因素从制度层面阐述了企业信息安全防护, 该层的五个因素处于ISM结构的最基层且相互独立, 构成了企业信息安全立体防护的基础。第二层因素在基于保障的前提下, 确定了企业为确保信息安全进行管理活动, 是进行立体防护的方法和手段;第三层因素是从物理条件、传输过程方面揭示了企业进行信息安全防护可控点, 其中物理安全是控制基础。第四层要素是企业信息安全的直接需求, 作为信息的直接表现形式, 数据是企业信息安全立体防护的核心。企业信息安全防护体系的四级递阶结构充分体现了企业信息安全防护体系的整体性、层级性、交互性。
2.5 企业信息安全立体防护过程
企业信息安全立体防护是一个多层次的动态过程, 它随着环境和信息传递需求变化而变化。本文在立体防护结构模型的基础上对企业信息安全防护结构进行扩展, 构建了整体运行框架 (见图3) 。
从图3中可以看出, 企业信息安全防护过程按分析建立到体系保持改进的四个基本时间阶段中有序进行, 充分体现出时间维度上的动态性。具体步骤如下:
(1) 综合分析现行的行业标准规范体系, 企业内部管理流程、人员组织结构和企业资金实力, 建立企业信息安全防护目标, 并根据需要将安全防护内容进行等级划分。
(2) 对防护内容进行日常监测 (包括统计分析其他公司近期发生的安全事故) , 形成预警, 进而对公司信息系统进行入侵监测, 判断其是否潜在威胁。
(3) 若存在威胁, 则进一步确定威胁来源, 并对危险性进行评估, 判断其是否能通过现有措施解决。
(4) 平衡控制成本和实效性, 采取防范措施, 并分析其效用, 最终形成内部信息防护手册。
3 分析及对策
3.1 企业层面
(1) 加强系统整体性。企业信息安全防护体系的15个构成要素隶属于一个共同区域, 在同一系统大环境下运作。资源受限情况下要最大程度地保障企业信息安全, 就必须遵循一切从整体目标出发的原则, 加强信息安全防护的整体布局, 在对原有产品升级和重新部署时, 应统一规划, 统筹安排, 追求整体效能和投入产出效应。
(2) 明确系统层级性。企业信息安全防护工作效率的高低很大程度上取决于在各个防护层级上的管理。企业信息安全防护涉及技术层面防护、策略层面防护、制度层面防护, 三个层面互相依存、互相作用, 其中制度和保障是基础, 策略是支撑, 技术是手段。要有效维护企业信息安全, 企业就必须正确处理好体系间的纵向关系, 在寻求技术支撑的同时, 更要立足于管理, 加强工作间的协调, 避免重复投入、重复建设。
(3) 降低系统交互性。在企业信息安全防护体系同级之间, 相关要素呈现出了强连接关系, 这种交互式的影响, 使得系统运行更加复杂。因此需要加快企业内部规章制度和技术规范的建设, 界定好每个工作环节的边界, 准确定位风险源, 并确保信息安全策略得到恰当的理解和有效执行, 防止在循环状态下风险的交叉影响使防范难度加大。
(4) 关注系统动态性。信息安全防护是一个动态循环的过程, 它随着信息技术发展而不断发展。因此, 企业在进行信息安全防护时, 应在时间维度上对信息安全有一个质的认识, 准确定位企业信息安全防护所处的工作阶段, 限定处理信息安全风险的时间界限, 重视不同时间段上的延续性, 并运用恰当的工具方法来对风险加以识别, 辨别风险可能所带来的危险及其危害程度, 做出防范措施, 实现企业信息安全的全过程动态管理。
3.2 政府层面
企业信息安全防护不是一个孤立的系统, 它受制于环境的变化。良好的社会文化环境有助于整体安全防护能力主动性的提高, 有力的政策是推动企业信息安全防护发展的前提和条件, 高效的行业技术反应机制是信息安全防护的推动力。因此在注重企业层面的管理之外, 还必须借助于政府建立一个积极的环境。
(1) 加强信息安全防护方面的文化建设。一方面, 政府应大力宣传信息安全的重要性及相关政策, 提高全民信息安全素质, 从道德层面上防止信息安全事故的发生;另一方面, 政府应督促企业加强信息安全思想教育、职能教育、技能教育、法制教育, 从思想上、理论上提高和强化社会信息安全防护意识和自律意识。
(2) 高度重视信息安全及其衍生问题。政府应加快整合和完善现有信息安全方面的法律、法规、行业标准, 建立多元监管模式和长效监管机制, 保证各项法律、法规和标准得到公平、公正、有效的实施, 为企业信息安全创造有力的支持。
(3) 加大信息安全产业投入。政府应高度重视技术人才的培养, 加快信息安全产品核心技术的自主研发和生产, 支持信息安全服务行业的发展。
4 结语
本文从企业信息安全防护的实际需求出发, 构建企业信息安全防护基本模型, 为企业信息安全防护工作的落实提供有效指导, 节省企业在信息安全防护体系建设上的投入。同时针对现阶段企业信息安全防护存在的问题从企业层面和政府层面提出相关建议。
参考文献
[1]中国信息安全产品测评认证中心.信息安全理论与技术[M].北京:人民邮电出版社, 2003.
[2]汪应洛.系统工程[M].3版.北京:高等教育出版社, 2003.
[3]齐峰.COBIT在企业信息安全管理中的应用实践[J].计算机应用与软件, 2009, 26 (10) :282-285.
[4]肖馄.浅议网络环境下的企业信息安全管理[J].标准科学, 2010 (8) :20-23.
[5]王永红.信息安全风险评估流程初探[C]//全国第21届计算机技术与应用学术会议 (CACIS·2010) 暨全国第2届安全关键技术与应用学术会议论文集.合肥:中国仪器仪表学会微型计算机应用学会, 2010:504-507.
[6]王玫.建设银行信息安全管理体系建设研究[D].济南:山东大学, 2008.
构建网络信息的安全防御体系 篇8
随着信息化时代的到来以及计算机网络的广泛运用,我国在政治、军事、金融、教育和科研等许多重要领域的安全保障越来越依赖于计算机网络和信息的安全运行。根据CNNIC(中国互联网络中心)调查数据显示,截止2007年6月30日,我国大陆地区上网用户总数达到1.62亿户,上网计算机总数达到5 940万台,网络国际出口带宽总容量达到256 696MB,网站数达到84.3万个。与此同时,电子政务、电子商务、网络游戏、网络博客等互联网正在快速发展,新的操作系统、新的应用软件不断投入使用,这些都导致人为疏忽和网络系统漏洞大量产生。我们一方面面临着黑客入侵、病毒袭击、垃圾邮件、流氓软件等各种计算机网络不安全因素的严重威胁,另一方面越来越多的信息资源又必须通过计算机网络进行存储、处理和传输,再加上众多计算机网络的使用者缺乏最基本的网络安全意识和防护技能,使网络泄密和窃密的问题日趋严重。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题。
本文首先阐述我国当前网络信息安全面临严峻的威胁;接着进一步分析危及网络信息安全的主要因素;最后提出构筑网络信息安全防线的具体措施。
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,其本质就是网络上的信息安全。ISO(国际标准化组织)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。”
1 网络信息面临的威胁
1.1 涉密信息系统建设、维护和开通存在不规范行为
在网络建设中,普遍存在着急功近利的思想,对网络基础设备投入得多,而对安全保密方面投入得少;对网络应用产品研究投人得多,对网络安全的基础研究投入得少。这就使得信息安全技术的发展滞后。《涉及国家秘密的计算机信息系统集成资质管理办法》已于2005年7月10日正式施行。党政机关及军工科研院所涉密信息系统的规划、设计、施工以及服务、咨询工作应当由经保密工作部门依法审查、批准,具有相应涉密集成资质的单位承担建设,而且资质项目的内容和地域不同,准许承担的建设项目也会有所区别。因此,一些单位选择不具备相应资质单位承担涉密计算机网络的建设任务,导致涉密网络建设达不到国家规定的安全和保密标准,其信息安全就很难得到保证,甚至会从根子上留下泄密的硬伤和窃密的隐患。另外,在维护涉密网络的过程中,由于缺乏有效的监管措施,涉密数据被外人无意下载、恶意拷贝的情况都有发生。境外情报机关甚至有针对性地策反涉密网络的维修人员,伺机窃取计算机网络内的涉密数据。
1.2 信息产业的核心技术被少数国家垄断和封锁
我国信息技术起步较晚,信息系统安全基础薄弱,核心技术受制于人。我国使用的计算机CPU芯片、操作系统主要是国外生产的,网络高端设备几乎全是国外产品,网络技术通用标准性和网络安全协议也是国外制定的,我们并没有掌握信息安全的主动权。一些西方国家为了达到信息制控目的,利用技术优势,在对外出口的信息技术关键产品中设置“后门”集成窃密程序等方法,制造安全隐患,一旦出现异常情况,在国与国之间的信息对抗中,我们必将受制于人。
造成网络安全威胁的原因可能是多方面的,有来自外部,也有可能来自企业网络内部。目前这些攻击越来越普遍,手段也更大胆、更精巧。网络的信息安全已成为现代社会的热门话题。
2 危及网络信息安全的主要因素
2.1 网络和系统特性的缺陷
研究表明,从网络协议到操作系统,从服务器的安全机制到应用平台的各种应用事务,都存在着许多设计缺陷。任何一个操作系统,任何一个应用程序不可能一次就做到完美无缺。像WindowsNT这样的大型网络操作系统,新版本刚推出不久就相继发布一系列修订系统缺陷的补丁程序。因此,操作系统的任何一个缺陷都可能是网络信息安全的隐患。
2.2 网络黑客的恶意攻击
黑客攻击的目的通常有两个:一是获取信息和网络的系统资源;二是干扰和破坏网络系统。黑客攻击的方式虽然千变万化,但概括起来,其最常用的主要手段有两种:窃取合法账号和特洛伊木马术。
a)窃取合法账号:账号是合法用户进行网络登录的钥匙,黑客获取了账号就拥有了合法用户的一切权限。尤其是窃取了网络管理员的账号,对系统操作、控制的权限就更大,这是对网络系统安全的最大威胁。网络黑客通常利用网络传输协议的一些漏洞,进行IP地址的欺骗,获取系统文件破解其保密字。例如,FTP协议可能存在的安全漏洞有:通过匿名用户登录执行系统命令,下载超级用户系统文件,从而窃取超级用户权限。
b)特洛伊木马术:特洛伊木马和病毒、蠕虫之类的恶意程序一样,会删除或修改用户计算机存储的文件、格式化用户的计算机硬盘、上传和下载计算机存储的文件、骚扰用户操作自己的计算机等。特洛伊木马最具特色的性能就是实施远程窃密和远程控制。它们一旦潜入受害的计算机系统,就可以获得对受害计算机系统的控制权,从而随心所欲地对被攻击系统的文件系统、进程控制乃至系统注册表等系统资源进行操作。
2.3 人为因素造成的网络安全隐患
在构建网络安全体系时,人为因素对网络安全的影响非常重要。即使是网络管理员已经制定了相应完善的安全制度,如果操作员不认真履行规范性操作规程或违法执行某些越权的行为,都将对系统安全造成威胁。
人为因素造成的网络安全隐患主要表现在以下几个方面:
a)网络操作人员缺乏信息安全常识。不设防地将网络信息资源共享,轻而易举地将信息泄露出去;网络线路和闲置接口没有采取保护措施,使得不法分子通过便携机就可以很方便地接人到网络系统中,从而进行非法操作。
b)用户为了操作方便,追求简单,往往将保密字设置得过于简单,极易被黑客破解;一个口令长期使用、很少变更,这些都可能给不法分子有可乘之机。
c)安全制度不落实。即使制定了完善的网络管理制度,如果操作人员不能够认真履行,不能按照操作规程去做,甚至执行一些超越权限和明文禁止的操作,从而留下安全隐患。
d)电磁泄漏。重要涉密单位通常上级配发有干扰设备,如果操作人员思想上不重视或忘记了使用干扰器,就有可能造成电磁泄漏现象。这也是造成网络安全隐患的一个因素。
3 构筑网络信息的安全防线
构筑网络信息的安全防线主要指通过操作系统安全使用和部署安全防护软件等,实现信息化网络安全和信息安全。
3.1 完善网络信息安全系统
3.1.1 防病毒系统
常见的计算机病毒主要是针对微软的操作系统,如果使用其他操作系统如UNIX或Linux,基本可以不用担心受感染,但是仍可能成为病毒传播源和感染对象。对企业而言,对付病毒的重要手段是部署网络防病毒系统。网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成,它可以通过管理平台监测、分发部署防病毒客户端,这种功能意味着可以统一并实施全企业内的反病毒策略,并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的,到目前为止尚未发现“万能”防病毒系统,所以只能及时更新病毒库。目前,国内和国外的防病毒厂商都有能力提供企业级防病毒系统。要有效地对付计算机病毒,除了部署防病毒系统外,还要配合其他手段维护系统安全,做好数据备份是关键,并且要及时升级杀毒软件的病毒库,还要做好灾难恢复。
3.1.2 防火墙
防火墙是目前最重要的信息安全产品,它可以提供实质上的网络安全,承担着对外防御来自互联网的各种攻击,对内辅助企业安全策略实施的重任,是企业保护信息安全的第一道屏障,在信息化安全中应给予高度重视。防火墙从结构上分为软件防火墙和硬件防火墙。硬件防火墙基于专门设计的硬件和系统,自身安全有保证、效率高、稳定性好,但是功能单一,升级困难;软件防火墙基于现有的操作系统如Windows,功能强大,但是自身安全性受限于操作系统。大部分软件防火墙基于Windows平台,也部分基于Linux平台,基于Linux平台的防火墙成本低,但是维护使用要相对困难一些。通过配置安全策略,防火墙主要承担以下作用:禁止外部网络对企业内部网络的访问,保护企业网络安全;满足内部员工访问互联网的需求;对员工访问互联网进行审计和限制。现在的防火墙在功能上不断加强,可以实现流量控制、病毒检测、VPN(虚拟专用网)功能等,但是防火墙的主要功能仍然是通过包过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击,而且由于数据包都要通过防火墙的过滤,增加了网延迟,降低了网络性能,要想充分发挥防火墙的作用,还要与其他安全产品配合使用。
3.1.3 入侵检测
如果对系统的安全性要求较高,如为了保护电子商务网站和企业互联网接口等,有必要采用入侵检测产品,对重点主机或设备加强安全防护。大部分入侵检测系统主要采用基于包特征的检测技术来实现,它们的基本原理是:对网络上的数据包进行复制,与内部的攻击特征数据库进行匹配比较,如果相符即产生报警或响应。检测到入侵事件后,产生报警,并把报警事件计入日志,日后可以通过日志分析确定网络的安全状态,发现系统漏洞等。如果它与防火墙等其他安全产品配合使用,可以在入侵发生时,使防火墙联动,暂时阻断非法连接,保护网络不受侵害。在部署此类产品时要注意进行性能优化,尽量避免屏蔽没有价值的检测规则。
3.1.4 认证加密
应用系统的安全也是不可缺少的。企业内部可通过部署认证加密系统保障办公自动化流程、控制敏感信息的访问,特别是对电子商务,如何确认交易各方的身份,确保交易信息的保密性、完整性和不可否认性是交易正常进行的基本保证。认证加密是保证应用安全的有效手段,它主要通过数字证书来实现。数字证书是一个经证书授权中心数字签名并包含客户的公钥等与客户身份相关的信息数字证书,是网络通信中标志通信各方身份信息的数据,它提供了一种公开承认的在互联网上验证身份的方式,一般由权威机构———CA(认证中心)发行。数字证书可存储在IC卡、硬盘或磁盘等介质中,在基于数字证书的通过过程中,数字证书是合法身份的凭证,是建立保密通信的基础。
3.1.5 操作系统安全使用
在信息化网络中,操作系统的安全使用是保证网络安全的重要环节。操作系统安全使用主要包括以下几方面内容:用户密码管理、系统漏洞检测、信息加密等。用户密码管理无论是对个人还是企业都是很重要的。用户密码管理有许多原则要遵守,最重要的就是不要使用空密码,如当你使用WindowsNT/2000时,如果不幸你使用空密码,局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员,制定严谨的用户密码策略是首要任务之一。漏洞检测对关键服务器的操作系统是极为重要的,特别是对电子商务网站。任何操作系统都不可避免地存在安全漏洞,操作系统的漏洞总是不断地被发现并公布在互联网上,争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一类漏洞并不是系统固有的,而是由于系统安装配置缺陷造成的,同样应引起足够重视。对服务器而言,关闭不需要的服务或端口也是必要的。即使网络很安全,需要保密的信息在存储介质上的加密仍然是必要的,因为任何网络不能保证百分之百安全。使用WindowsNT/2000等操作系统时,尽量使用NTFS分区,对重要信息启用加密保护功能,这样即使信息意外泄露,也无法破解。操作系统的易用性和安全总是难以兼得,安装操作系统时尽量不要使用默认值,在微软尚未做出策略性调整之前,根据微软现在的理念,系统的易用性仍然是首先考虑的,所以默认安装会自动安装一些你并不熟悉且根本无用的服务和应用,并打开了许多特殊端口,这些服务、应用和端口很可能成为别人入侵的跳板。
3.2 开发和使用自主产品
目前,我国网络信息系统的主要设备(服务器和路由器等)和核心软件(操作系统、数据库管理系统甚至网络管理软件)广泛采用国外的商用产品,这给我国计算机网络安全带来极大隐患。商用产品因带有黑箱操作而不可控,使用者无法了解细节,对于可能带有的“后门”甚至逻辑炸弹和“间谍”束手无策。商用产品的安全性没有保证,必须发展自主的信息产业,采用自己的安全产品,这是网络安全建设的根本性问题。自主产品可以最大限度地控制不安全因素。首先,自主产品可以信赖。因为开发者可信赖和控制,就能排除有意设置恶意逻辑炸弹、“间谍”和后门的可能性,使自主产品的可信赖程度和可控制程度远远高于国外的商用产品。其次,自主产品可以自主更新。既然我们无法设计和实现一个绝对没有漏洞的系统,那么,发现漏洞和堵塞漏洞将是个长期的过程,没有自主的产品,就无法自主地实施堵塞漏洞的工作。第三,随着安全技术的发展,自主产品可以及时丰富安全功能。网络安全体系是一个不断进化、不断完善的体系,利用自主研制的构件来控制安全关键点,就可以达到在攻防技术的消涨平衡中动态地维持系统处在一个相对安全的水平上。因此,要摆脱受制于人的状况,必须加快自主操作系统、路由器和网络计算机平台的开发,并将其尽快部署在我国网络信息应用系统的关键环节上,以把握住网络信息系统安全的控制权。利用国外的高技术产品必须消除技术隐患,如对某些处理器,可以关闭其序列号功能,或禁止联接Internet。引进的设备和产品不经过安全处理而直接使用,无异于把钥匙交给窃贼。
3.3 培养能够胜任网络防御战的人才群体
网络管理人员负责提出随时出现的计算机和网络安全的新问题及解决方案。并制定出内部安全策略和有关安全制度,包括密钥的管理及对用户账号和口令的管理,定期对网络安全做出评估,提出系统安全报告和紧急情况应对方案。网络安全是一项专业性强、知识面广、实现难度大的综合性工作,没有一定的网络安全人才,就谈不上网络安全。因此,必须抓好网络安全人才培养。
3.4 理顺网络安全管理机制
应健全网络安全管理机构。网络安全保密管理工作的领导机构由主管保密的领导和相关业务部门人员组成,负责领导网络安全管理工作。网络安全技术保障组织由计算机网络专业人员组成,负责软硬件安装、维护、操作、用户授权、审计跟踪、应急恢复等网络日常管理事务。选调网络系统安全管理维护人员要严格审查,把好选拔关。
应落实网络安全管理法规。尽快完善和细化计算机网络规划建设、管理使用等安全保密标准和措施,严格安全检查、信息入网审批等规章制度,明确各级主管和监督部门的职责,为网络安全管理提供依据。加大网络安全检查监管力度,不断加强和改进网络安全管理措施。
4 结束语
构建完整的安全防护体系的目的是把企业的网络风险降低到可以接受的程度。这是一项综合的工程,不能简单地依赖一个产品,需要进行整体规划。在企业中,网络信息安全是一个动态的概念,而且没有绝对的安全。为了提高企业的网络信息安全,除采用可适应的、高可靠的安全措施和安全产品外,管理是极其重要的。网络信息安全是“三分技术,七分管理”。正确制定适应本企业的网络信息安全需求和安全策略,便能有效地实现和提高自己企业的网络信息安全。
参考文献
[1]谢希仁.计算机网络[M].大连:大连理工大学出版社,1996.
[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.
[3]肖军模,刘军,周海刚.网络信息安全[M].北京:机械工业出版社,2003.
[4]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.
某集团网络信息安全体系的构建 篇9
20世纪90年代以来, 计算机网络技术得到了迅速发展, Internet用户数和商业应用快速增长。但是人们在享受新技术带来革命性变化的时候, Internet也给人们带来许多问题。其中, 最引人关注的就是网络安全问题。由于计算机网络具有联结形式多样性、终端分布不均性、开放性、互连性等特点, 致使网络极易受到攻击。数据统计显示, 全球平均每20秒就发生一次计算机入侵事件。2002年数据盗窃引发的损失高达590亿美元。企业电脑受到入侵的比例从1996年的42%升到2003年的55%, 而亚洲地区的受入侵比例竟高达72%。这些惊人的数字说明, 互联网安全现状异常严峻, 网络系统必须有足够强的安全措施, 否则, 不仅会造成大量的人力、物力资源的浪费、经济的损失, 公司商业机密信息或研究技术文档的被窃, 甚至会丢失有关国家的机密, 危及到国家的安全。因此, 信息安全和网上信息对抗的需求, 使得如何增强计算机系统和网络系统的安全性成为人们关注的焦点。
1集团信息安全风险分析
集团信息网络系统是一个面向全集团的业务应用平台。按照业务的重要性和使用对象来分, 主要业务系统包括以下一些:
1) 核心的办公系统和业务系统, 包括OA系统、ERP系统、财务系统、行业生产经营决策系统、行业电子商务系统等等。
2) 公众和企业可直接访问集团公司公开服务器 (如将来的Web服务器) 和授权应用程序服务器。
3) 辅助应用系统, 包括邮件系统、传真系统等等。
网络的普及让信息的获取、共享和传播更加方便, 但同时也使得企业重要信息资源处于一种高风险的状态, 很容易受到来自系统内部和外部的非法访问。信息安全风险和信息化应用密切相关, 集团信息系统目前面临的主要风险存在于如下几个方面:
1) 计算机病毒、蠕虫、间谍软件的威胁 计算机病毒的破坏位列所有安全威胁之首。病毒感染可能造成网络通信阻塞、文件系统破坏, 系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序, 泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装 (安装后很难找到其踪影) , 并悄悄把截获的机密信息发送给第三者。
2) 带宽滥用 带宽滥用对于企业网络来说, 非业务数据流 (如P2P文件传输与即时通讯等 ) 消耗了大量带宽, 轻则影响企业业务无法正常运作, 重则致使企业IT系统瘫痪。必需对网络流量进行控制。
3) 拒绝服务攻击和分布式拒绝服务攻击 DoS和DDoS可以被分为两类:一类是利用网络协议的固有缺陷或实现上的弱点来进行攻击, 与漏洞攻击相似;另一类利用看似合理的海量服务请求来耗尽网络和系统的资源, 达到网络和系统能力的极限, 从而使合法用户无法得到服务的响应。
4) 端口扫描 这种信息收集型攻击可能会是某种攻击的前奏, 虽然不会对目标本身造成危害, 但由于会被用来为进一步入侵提供有用信息, 这种探测应该被阻止。
5) 信息传递的安全不容忽视 一般随着集团办公自动化、财务、调度等生产经营方面的重要系统投入运行, 大量重要数据和机密信息都需要通过内部局域网和广域网来传输, 必须防止这些信息被非法截取而泄露机密;被非法篡改而造成数据混乱和信息错误;被非法用户假冒合法身份, 发送虚假信息造成破坏和损失。保护信息资源, 保证信息的传递成为企业信息安全中重要的一环。
6) 用户身份认证和资源的访问控制急需加强 特定的系统一般为特定的用户使用, 特定系统中的信息数据, 也只对特定的用户开放。各个信息系统中都设计了用户管理功能:建立用户, 设置权限, 管理和控制用户对信息系统的访问。但仍然存在问题:一是用户权限管理功能过于简单, 不能灵活实现更细的权限控制;二是各应用系统没有一个统一的用户管理, 每个应用系统一套账号和口令。如何为各应用系统提供统一的用户管理和身份认证服务, 是开发建设应用系统时必须考虑的一个共性的安全问题。
2网络安全的五层体系
狭义的网络信息安全, 仅涉及网络硬件、网络操作系统、网络中的应用程序。通过以上分析, 可以看出用户的安全性、应用程序所使用的数据的安全性等都是必须考虑的。表1是一个得到国际网络安全界广泛认可的五层网络系统安全体系理论。
1) 网络的安全性
网络安全问题的核心在于网络的使用是否得到控制:来源IP是否有权访问网络资源, 是否会对本网络系统造成危害、网络中传输的敏感信息是否会被窃听、篡改。
物理层信息安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击 (干扰等) 。
链路层的安全:保证通过网络链路传送的数据不被窃听。主要采用划分VLAN (局域网) 、通讯加密 (远程网) 等手段。
网络层的安全:保证网络只给授权的客户使用授权的服务;保证网络路由正确, 避免被拦截或监听;保证网络带宽。
用于解决网络安全性问题的产品主要有防火墙和VPN。防火墙判断来源IP, 拒绝危险或未经授权的IP数据。一般应在公司的内部网络和Internet之间配置防火墙产品。VPN主要解决的是公司内部的敏感关键数据能够安全地借助公共网络进行交换。
2) 系统的安全性
系统的安全性问题主要有两个:一是病毒、蠕虫、间谍软件对于网络的威胁;二是黑客对于网络的破坏和侵入。
多数病毒不仅直接感染计算机, 还能够在网络上复制。电子邮件、FTP、网页中的Java小程序和ActiveX控件, 甚至文档文件都能够携带病毒。网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。
黑客主要通过DoS使用户的系统瘫痪、或窃取数据、非法修改系统。一是窃取合法用户的口令, 用合法身份进行非法操作;二是利用网络操作系统的某些合法但有漏洞的操作指令。需要专门的系统风险评估工具, 来查找系统中可能存在的漏洞。
3) 用户的安全性
用户的安全性问题, 所要考虑的问题是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据?
首先要做的是应该对用户进行分组管理, 并且这种分组管理应该是针对安全性问题而考虑的分组。
其次应该考虑的是强有力的身份认证, 确保用户的密码不会被他人猜到。在大型的应用系统之中, 单一登录体系要比多重登录体系能够提供更大的系统安全性。
4) 应用程序的安全性
这其中涉及两个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。
5) 数据的安全性
数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态。
在数据的保存过程中, 机密的数据即使处于安全的空间, 也要对其进行加密处理, 以保证万一数据失窃, 偷盗者也读不懂其中的内容。还需要保证数据万一被篡改, 则能够被识别。
3集团信息安全建设的具体对策
在组织架构上, 应采用虚拟团队的模式, 成立了网络信息安全领导小组、安全工作小组和安全工作执行人员小组。分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障。安全工作小组同时负责网络上的最新安全信息, 以便使得企业的安全策略能够不断地更新和扩展。
在安全制度保障方面, 良好的网络信息安全保障离不开规范严谨的管理制度。通过制定《系统安全管理方案》、《数据安全规范管理办法》、《安全应急处置预案》、《密码安全管理办法》等一系列规范, 保障了网络信息安全工作的“有章可循, 有据可查”。
开发制定一个全面的安全策略, 实现良好的网络安全总是以一个能够起到作用的安全策略为开始的。集团的全体人员包括总经理在内, 都必须按照这个策略来执行。全面的安全策略包括了从指导员工如何建立可靠的密码到业务连续计划以及灾难恢复计划 (BCP和DRP) 。
另外, 还须采用全方位的信息安全技术保障, 并使用一系列先进的技术工具和手段来保障网络信息安全, 提出了一套全方位的信息安全解决方案, 具体包括:远程接入安全解决方案、边界安全解决方案、内网安全解决方案、数据中心安全解决方案。
3.1远程接入安全解决方案
集团拥有多个异地分支, 建立分支与总部之间的具有保密性的网络连接是十分必要的。此外, 集团的工作人员出差时也需要访问系统内部的一些信息资源。集团采用了一种全新的VPN技术——SSL VPN。SSL VPN安全网关旁路部署在网络内部, 要访问内部网络资源的移动和分支用户首先到SSL VPN上进行认证, SSL VPN网关根据认证结果分配相应权限, 实现对内部资源的访问控制。SSL VPN具有如下的安全性:
· 保密性 保证信息不泄漏给未经授权的人。SSL VPN传输的内容是经过加密的, SSL数据加密的安全性由加密算法来保证。SSL VPN通过设置不同级别的用户、权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、Radius机制等不同的方式。
· 完整性 防止信息被未经授权的篡改。把企业内部需要被授权外部访问的应用注册到 SSL VPN上, 这样对于GATEWAY来讲, 需要开通 443 这样的端口到SSL VPN即可, 而不需要开通所有内部的应用的端口, 如果有黑客发起攻击也只能到SSL VPN这里, 攻击不到内部的实际应用。
· 访问控制 保证信息及信息系统确实为授权使用者所用。对于SSL VPN要保护的后台应用, 可以为其设置不同的级别, 只有相应级别的用户才可以访问对应级别的资源, 保证了信息的可用性。SSL VPN重点在于保护敏感的数据, 在配合一定的身份认证方式的基础上, 不仅可以控制访问人员的权限, 还可以对每个访问、每笔交易、每个操作进行数字签名, 保证每笔数据的不可抵赖性和不可否认性, 为事后追踪提供了依据。
3.2边界安全解决方案
进行边界安全防护, 我们首先对集团的信息系统划分出不同的安全区域:内网业务区、数据中心区、业务伙伴连接区、互联网连接区、分支机构连接区, 然后提出以防火墙、入侵防御系统 (IPS) 和上网行为管理设备为支撑的边界安全解决方案:在系统互联网出口部署防火墙 (集成防病毒和网络安全监控模块) 和IPS设备, 同时通过防火墙和IPS将企业内部网、数据中心、互联网等安全区域分隔开, 并通过制定相应的安全规则, 以实现各区域不同级别、不同层次的安全防护。如图1所示。
· 防火墙 通过在网络边界建立相应的网络通信监控系统, 以监测、限制、更改跨越防火墙的数据流, 从而尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 从而达到保障计算机网络安全的目的。防火墙是最主流也是最重要的安全产品, 是边界安全解决方案的核心。它可以对整个网络进行区域分割, 提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击, 如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。防火墙可以保护脆弱的网络、控制对系统的非法访问、增强网络信息的保密性、记录和统计网络利用数据以及非法使用数据并对非法网络入侵进行报警提示等。
· 防病毒模块 通过在放火墙上开启防病毒模块, 可以在网关处阻止病毒、木马等威胁的传播, 保护网络内部用户免受侵害, 改变了原有被动等待病毒感染的防御模式, 实现网络病毒的主动防御, 切断病毒在网络边界传递的通道。
· 入侵防御 传统的安全解决方案中, 防火墙和入侵检测系统IDS (Intrusion Detection System) 已经被普遍接受, 但还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备, 不能充分地分析应用层协议数据中的攻击信号, 而IDS也不能阻挡检测到的攻击。因此, 即使在网络中已部署了防火墙、IDS等基础网络安全产品, IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果, 必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统IPS (Intrusion Prevention System ) 为代表的应用层安全设备, 作为防火墙的重要补充, 很好的解决了应用层防御的问题, 通过在线部署, IPS可以检测并直接阻断恶意流量。
· 上网行为管理设备 防火墙、入侵检测等网络安全保护对于防止外部入侵有不可替代的作用, 而对于内部泄密及职工的上网监控则显得无可奈何。为此, 将上网行为管理设备置于核心交换机与防火墙之间。该设备具有900万url数据库, 可以实现准确的网站分类访问控制;具有100余种应用协议数据库, 可以实时管理网络应用;同时它还具备细化的多通道带宽管理, 支持异常流量报警;它还支持关键字过滤, 可以全面监控email、BBS等。我们通过对在线用户状态、Web访问内容、外发信息、网络应用、带宽占用情况等进行实时监控, 根据用户、时间段、流量、应用等信息生成的各种统计报表和图表, 在上网行为管理设备上设置了不同的策略, 阻挡P2P应用, 释放网络带宽, 有效地解决了内部网络与互联网之间的安全使用和管理问题。
3.3内网安全解决方案
超过70%的安全事件是发生在内网的, 内网安全是网络安全建设关注的重点, 但由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因, 也是安全建设的难点。集团针对上述信息安全各个层面的主要问题都提出了相应的技术, 这些技术相互关联、相互配合, 形成完善的内网安全解决方案。
· 交换机安全特性实现网络自身安全保障 首先通过划分VLAN, 配合ACL进行访问控制, 其次, 集团选用了具有丰富安全功能的交换机作为内网的核心交换, 这些安全特性同时也是内网安全解决方案中很多功能实现的基础, 如: 接入控制技术——Port Security、接入安全技术——防IP伪装、防中间人攻击——STP Root / BPDU 保护、防ARP欺骗、DHCP server 保护、路由协议攻击防护能力。
· 防病毒软件 安装网络版的防病毒软件, 由病毒服务器定期通过Internet下载最新病毒定义文件, 并制定统一的策略, 使得客户端可以定期从病毒服务器下载安装新的病毒定义文件, 有效减少了病毒的影响;
· 系统安全补丁服务器 部署了微软的Microsoft Windows Server Update Services (WSUS) , 可以自动定期将集团内大量的Windows操作系统和Office、Exchange Server以及 SQL Server等应用的最新关键更新和安全更新自动进行部署。
· 邮件安全网关 垃圾邮件、病毒邮件的大量泛滥, 严重影响邮件系统的工作效率, 甚至危害到计算机的正常使用。集团配置了邮件安全网关系统, 为邮件用户提供屏蔽垃圾邮件、查杀电子邮件病毒 (包括附件和压缩文件) 和实现邮件内容过滤 (包括各种附件中的内容) 等功能, 有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击。
· 漏洞扫描 漏洞扫描系统是网络安全产品中不可缺少的一部分, 它能够预先评估和分析系统中存在的各种安全隐患。随着黑客入侵手段的日益复杂和通用系统不断发现安全缺陷, 预先评估和分析网络系统中存在的安全问题已经成为网络管理员的重要需求。目前, 漏洞扫描可以分为基于网络的扫描和基于主机的扫描这两种类型。集团使用专用漏洞扫描软件定期对系统进行漏洞扫描, 并生成报告提醒安全工作人员对存在漏洞的系统进行整改。
· 用户的访问控制 部署一个统一的用户认证服务器, 建立统一用户管理系统, 统一存储所有应用系统的用户认证信息, 而授权等操作则由各应用系统完成, 即统一存储、分布授权。部署了SSO服务器, 实现了单点登录功能。
· 安全审计 一个安全攻击事件可能是独立的, 也可能是一个较大规模协同攻击的一部分。如果没有一个集中的分析视角, 就可能低估某个安全攻击的真正威胁, 采取的安全措施也可能无法解决真正的问题。因此, 对系统所记录和存储的审计数据进行综合分析及处理至关重要。这些审计数据可能来自防火墙、路由器、入侵防御系统、主机系统、防病毒系统和桌面安全系统。对上述审计数据的统一和集中的分析将能帮助更好地管理安全事件, 从而描绘出整个系统当前安全情况的更清晰和准确的图画。同时, 通过集中管理, 一个企业可以最大程度地减少重复工作从而提高安全事件管理的效率。
3.4数据中心安全解决方案
作为数据交换最频繁、资源最密集的地方, 集团的数据中心出现任何安全防护上的疏漏必将导致不可估量的损失, 因此数据中心安全解决方案十分重要。
使用网络安全产品, 构建数据中心的三重保护:
1) 具有丰富安全特性的交换机构成数据中心网络的第一重保护;
2) 具有高性能检测引擎的IPS对网络报文做深度检测, 构成数据中心网络的第二重保护;
3) 凭借高性能硬件防火墙构成的数据中心网络边界, 对数据中心网络做第三重保护。
三重保护为数据中心网络提供了从链路层到应用层的多层防御体系。交换机提供的安全特性构成安全数据中心的网络基础, 提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上, 通过状态防火墙可以把安全信任网络和非安全网络进行隔离, 并提供对DDoS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力, 即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为, 也可以对分布在网络中的各种流量进行有效管理, 从而达到对网络应用层的保护。
建立数据备份和异地容灾方案, 建立了完善的数据备份体系, 保证数据崩溃时能够实现数据的完全恢复。同时在异地建立一个备份站点, 通过网络以异步的方式, 把主站点的数据备份到备份站点, 利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。
3.5设备选用举例
作为SonicWALL PRO系列互联网安全平台最高端的SonicWALL PRO 5060, 是一个高性能、多服务千兆网络安全平台, 可保护用户关键数据的安全, 使这些敏感数据免遭来自网络的动态及复杂攻击的威胁。PRO5060将高速网关防病毒、防间谍软件、入侵防护、内容过滤及防垃圾邮件能力与高级无线LAN特性、全状态包防火墙及IPSECVPN集成在一个易部署及管理的解决方案中。可提供10/100/1000铜缆/光纤端口两种版本的PRO 5060, 集成了各种联网与完全特性, 使其成为众多应用的理想选择。
针对集团网络的要求及网络中服务器的持续不间断需求, SonicWALL防火墙PRO5060是一个理想的方案, 它在防火墙总体工作模式上采用了NAT模式。在原网络环境下, 用户的Web、短信平台业务和数据录入等需要对外服务的服务器都是直接挂在外网, 难免会受到来自外网的攻击。同时, 原来员工的上网都是通过一个简单的路由器, 考虑到以后人数的增加和流量的增加, 原来的设备已不能满足今后的需求。其次用户对网关防病毒和IPS都有需求, 但专业的防病毒设备和IPS的价格又很高, 了解到SonicWALL防火墙具有这两个功能, 很快地选定了SonicW ALL。
在安装SonicWALL PRO 5060之后。通过将Web、短信平台业务和数据录入等服务器放在DMZ区, 可以制定针对Web、短信平台业务和数据录入等服务器的安全策略, 同时把所有需要上网的客户端都接入到防火墙上, 由防火墙来统一提供上网和制定访问策略。从而实现了内网的可管理性。此外, 通过在网络人口处进行第一次的病毒过滤和IPS检测, PRO5060强大的UTM 病毒过滤模块, 可在第一时间内清除蠕虫、木马、间谍等威胁, IPS可帮助用户检测并阻断掉一些非法的入侵, 防止数据被黑客窃取。同时, SonicWALL 5060防火墙免费赠送强大的内容过滤功能和网络防病毒功能, 能够更加有效地对Web服务器进行保护, 同时还可以进行针对web服务器的CGI攻击的防范以及可以强制客户端安装防毒软件。SonicWALL 5060防火墙的功能、UTM 的性能充分满足了集团网络的需求。从安装到目前的运行, SonicWALL的一些细腻化控制也得到认可。
3.6基于RRDTool的网络性能检测模块实现
RRDtool是Tobi Oetiker设计的一个基于Perl的功能强大的数据储存和图形生成工具, 最初设计目的是为流量统计分析工具MRTG (multi router traffic graph) 提供更好的数据存储性能和更强的图形生成功能。基于RRDtool实现系统, 不需要处理繁琐的数据存储及图形生成, 可以将精力集中在系统的其他方面, 从而最大限度地提高系统执行效率。
性能监测的目标是为了保证网络的可用性和高效性, 为用户提供高质量的网络通信服务。具体来说希望达到以下目标:①全局监视:及早发现故障苗头, 在影响服务之前就及时将其排除;②故障出现后的搜索监测:在用户发现故障并报告后去查找故障发生位置的性能状况;③数据分析:对历史性能数据进行分析以获得网络性能情况及预测发展趋势。网络中所有的部件 (包括网络设备和各服务器) , 都有可能成为网络通信的瓶颈, 对网络性能监测需要对网络的各项性能参数进行定量评价。
本系统将流量数据利用RRD数据库格式储存起来, 能够储存任何类型的数据, 数据的储存能力得到了增强, 可以提供更好的性能。RRD数据库采用十分紧凑的方式存放数据, 具有非常高的性能, 并采用循环的方式使用数据库, 确保数据库的大小不会无限制地增长, 减少了额外的维护。RRDtool采用十分易于掌握的语句格式来实现数据库的创建, 使系统的实现具有很高的效率。
网络性能检测模块实现模型如图2所示。
其中数据分析模块、性能报告生成模块、配置模块如下介绍。
1) 数据分析模块
利用RRDtool的fetch功能读取出RRD文件中所需要分析的数据, 并可指定数据起始时间和结束时间, 在此基础上建立起采集到的数据即特定参数的MIB值和性能指标间的量化关系。性能指标有丢包率、吞吐量、时延、误码率等。步骤包括数据查询表示、性能指标计算、阈值计算。性能数据查询表示是将读取出来的数据进行处理, 使得其满足性能指标计算要求的格式;性能指标计算是将读取出来的原始数据和历史数据进行比较, 计算出以小时、天、月、年时间段的数据流量, 再将结果保存到RRD数据库中供将来进一步分析。阈值计算将性能指标计算的结果和预先定义好的阈值进行比较, 并根据比较结果作出相应操作, 如报警等。
2) 性能报告生成模块
性能报告生成模块处于系统的最上层, 调用分析模块从RRD数据中取出需要分析的数据, 再利用RRD图形生成功能根据特定需要生成分析图形或生成报告, 将数据分析的结果以图形和报告的方式显示出来, 包括当前监测和历史监测的情况。所生成的性能报告均能以HTML的页面输出, 便于通过Web查看。采用RRDtool作为图形生成工具, 具有高效、灵活的特点, 并可根据特定需要生成图形。
3) 配置模块
系统提供界面友好, 使用方便的配置工具集合, 包括统计类型 (图形和报告) 、管理对象 (服务器、路由器、交换机、代理软件等) 、监测类型 (CPU负载、链路丢包率、网络吞吐量等) 、时间段设置、阈值控制、压力测试。用户可根据自己网络具体状况进行配置, 更好地对整个网络的性能进行监测。配置文件采用层次结构, 清晰、简洁, 避免了监测属性的重复, 具有有很强的灵活性, 特别适合于大型的网络环境。
4结论
本文以“技术和管理缺一不可的安全建设理念”为核心, 从组织架构的建设、安全制度的制定、先进安全技术的应用三个层面, 构建了一个多层次、全方位的立体防护体系。一方面针对局部关键问题点进行安全部署, 抵御最基础的安全威胁;另一方面, 在统一的安全策略基础上, 利用安全产品间的分工协作, 达到协同防御的目的。通过对所有设备的检查、隔离、修复、管理和监控, 使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理, 达到提升网络对各种新兴安全威胁的整体防御能力。
摘要:企业的业务发展越来越依赖于网络, 但同时也遭受着越来越多的网络安全威胁。为了保护企业网络信息系统免遭黑客、病毒、恶意软件等的破坏, 本着“技术和管理缺一不可”的安全建设理念, 从组织架构的建设、安全制度的制定、信息安全技术的实施三个方面, 建立起一套比较完整的信息化安全保障体系, 保障业务应用的正常运行。
关键词:五层安全模型,防火墙,入侵防护,上网行为管理
参考文献
[1]赵喆.计算机网络实用技术[M].北京:中国铁道出版社, 2008.
[2]吴际忠.企业网络系统的安全防护策略[J].教育技术导刊, 2009 (3) :163-164.
[3]王建军, 李世英.计算机网络安全问题的分析与探讨[J].赤峰学院学报:自然科学版, 2009, 25 (1) :48-49.
[4]王鹏, 苏仲波.浅析防火墙技术及攻防策略[J].赤峰学院学报:自然科学版, 2009, 25 (1) .22-24.
计算机信息系统安全体系构建 篇10
计算机信息安全体系的构建应从信息、网络、系统、时域和空域等方面综合考虑, 建立具有纵深防御、立体配置、动态监测、快速响应、灾难恢复、技术防范与安全管理的信息安全体系。本文, 笔者在参照信息保障技术框架的基础上, 提出了纵深防御与保障体系的结构, 并对组成纵深防御与保障体系的各子系统的功能与组成进行了论述。
一、计算机信息系统纵深防御与保障体系模型
1. 保障体系模型。
由于网络入侵具有瞬时性、广泛性和隐蔽性等特点, 因此, 需要采用立体的、全方位的纵深防御安全策略, 实行分级防护, 并采取有效的防御和补救措施, 才能确保整个系统的安全。因而, 系统必须能够利用自身评估来预先发现漏洞并进行修补, 通过对入侵进行检测并根据检测结果进行预警, 系统在遭受攻击后, 能够开展应急响应与灾难修复。按照综合保障和突出重点的思想, 遵循纵深防御安全策略, 构建一个先进、完善和科学的安全体系。保障体系模型如图1所示。
2. 安全策略。
安全策略是纵深防御安全模型的核心。所有的防护、检测、响应和恢复操作都是依据安全策略实施的, 它为安全管理提供管理方向和支持手段。安全策略包括2部分:总体策略和具体规则。总体策略用于阐明安全策略的总体思想。具体规则用于说明哪些活动是被允许的, 哪些活动是被禁止的。
3. 安全技术。
安全技术就是根据具体的信息类别和威胁级别采用相应的安全措施, 避免遭受非法攻击。纵深防御系体系由安全防护、安全检测、应急响应、灾难恢复、安全管理控制台和协同联动通信平台等6个安全部件组成, 各安全部件在安全管理控制台的集中管理下, 通过协同联动通信平台进行互通和互操作。网络完全防御与保障体系组成如图2所示。
二、计算机信息系统纵深防御与安全保障体系的构建
在对计算机信息系统进行设计时, 必须针对不同安全需要的用户采取不同的安全体系设计方案。首先, 必须进行安全需求分析, 即根据用户的信息类别和可能遭受的威胁级别选择用户所需的安全保障级别和安全服务。然后, 根据安全服务与安全部件的相关性选择必要的安全部件, 按照用户的安全保障级别SPL (Security protect level) 来确定部件要求。最后, 按照区域配置不同的安全部件。
1. 信息类别。
为了使安全策略、信息技术的使用更有针对性, 根据数据在丢失、破坏及暴露时的不同影响, 可将信息划分为3大类。
(1) 商业保密信息。商业保密信息是指仅限于企业或单位内部人员使用的事务信息, 信息的泄露会对企业、单位、股东、合伙人以及用户等造成严重的后果。
(2) 私有信息。私有信息是指那些仅限于企业和单位内部使用的个人信息, 信息的泄露会对企业、股东、合伙人以及用户等造成不良的影响。
(3) 公用信息。公用信息是指企业或单位可对外发布的信息, 这类信息的泄露不会对企业、单位、雇员和用户造成负面影响。
2. 威胁级别。
根据对手可以获得的资源程度和愿意冒的风险程度, 可以将威胁划分为2大类。1
(1) 高强度威胁。高强度威胁是指有组织的、占有丰富资源的熟练对手, 并愿意冒一定风险的威胁。
(2) 低强度威胁。低强度威胁是指无组织的、占有少量资源、无意识的或被动的对手, 愿意冒少量风险的威胁。
3. 安全保障级别。
安全保障级别是指信息安全解决方案中推荐的安全机制强度和保险程度的级别。根据信息类别和威胁级别, 可以确定所需的安全保障级别。安全保障级别如表1所示。
4.安全服务。
为保障信息的安全, 系统必须提供访问控制、保密控制、完整控制、可用控制和不可否认性控制等安全服务。
5. 安全服务与安全部件之间的关系。
安全服务可以采用不同的部件来实现。具体实施中, 可以根据安全需求的不同, 选择合理的安全部件。
6. 可用性支持机制与技术要求。
不同的安全保障级别对各种安全部件的安全性要求也各不相同。安全性要求越高, 所提供安全保障的强度越高, 但代价也越高。因此, 设计时必须平衡考虑。可用性支持机制与技术要求如表2所示。
7. 安全部件配置。
根据各安全部件所处的物理或逻辑位置, 可以将纵深防御体系划分为计算机环境的安全保障、区域边界的安全保障以及网络与基础设施的安全保障这3个部分。
8. 计算机系统安全设计划分。
通过对系统资产价值和可能遭受的威胁进行分析, 可以将计算机系统划分成更小的安全域, 并将系统的所有元素分配到不同的安全域中。信息安全域分为公共信息区、私有信息区和商业保密信息区3类。在确定安全域后, 计算机系统内部的资产和人员也被相应分配到某个安全域中, 对系统的安全设计转化为对安全域的设计。需要指出的是, 部分安全策略和技术究竟是应用于区域外部还是应用于区域内部是不确定的, 需要将工程判断、安全策略、经济因素、使用管理因素以及可接受的风险决策结合起来综合判断。但是, 有些安全威胁和策略只能通过边界来覆盖, 因此, 通过边界来保护区域内的资产在经济上和使用管理上有较大的优势。
9. 纵深防御的安全策略。
会计信息化标准体系构建研究 篇11
【关键词】会计信息化 标准体系 构建
一、引言
自从我国提出了标准化体系建设以后,各个方面标准化体系的建设便随之开展。特别是会计管理工作,快速建立起会计信息化标准体系,能够更好地做好会计信息化的相关工作。有相关的专家研究分析之后,得出了一定的成绩。所以这为会计信息化标准体系的建立也提供了一个良好的发展基础。但是笔者认为,对于会计信息化标准体系来说,其发展还需要进行进一步的探索,相关的进展也需要进行不同程度的完善。也就是说,实现会计信息化标准体系的构建,还需要我们从更多的方面进行全方位的研究,只有这样才能够抓好这一工作。
二、会计信息化标准体系构建的相关内容分析
会计的信息化形成在一系列的会计管理实践活动基础之上,在常规的工作当中,它需要对实践管理活动当中所存在的相关规律和相关规则进行有效的分析和总结,以便于形成一些相关的理论认知,会计信息化和标准化则是对会计信息化活动当中长期进行事物和相关的概念进行界定。这样就能够确保会计活动得以顺利有效地开展下来,最终获得最佳的社会效益。
在对会计信息化标准体系进行建设的时候,需要结合以往的会计信息化管理的案例来进行,这样才能够更为全面和客观地将其中所存在的问题和不足进行全面的分析和总结,最后选择出最佳的方案,这也能够当作是今后在会计信息化实践过程当中的一点重要的工作依据。而对于会计信息化标准来说,其概念比较泛泛,就是在会计信息化范围当中获得最佳秩序,通过协商以后一致认定并经过工人机构批准,它是一种规范性的文件[1]。
当前,我国的社会主义市场经济在不断地趋于完善,这促使企业和企业之间的竞争也更加的激烈,社会的各行各业都在信息化的建设当中取得了较为满意的成绩。在这种作用力的促使下,无论是大型企业还是中小型企业,都在信息化的管理模式下实现了一定的价值,而其自身的信息系统也按照自己的实际情况和独特优势被运用到了各自的管理决策领域当中。企业对于每一个管理人员的最基本要求就是将每一项本职工作做好,完善每一项职能决策,最终实现企业的战略目标。当信息技术发展到当前的这种情况的时候,那么企业的相关管理人员就必须要具备一定的全局意识,要对企业在生产过程当中所出现的各种信息做出全面透彻的分析,这有助于提高管理决策的科学性。所以说,会计信息化标准体系的构建能够帮助企业的管理人员更加及时有效地对企业的资金收支情况做出透彻准确的了解,从而使得企业管理人员的决策效率得到充分的提升。
三、会计信息化标准体系构建研究
(一)会计信息化标准体系的定位
对会计信息化标准体系进行定位能够更为有效地将相应的目标构建出来,这也是构建会计信息化的标准前提和必要准备。在此过程当中,需要更为客观地对会计信息化标准体系进行定位,这是确定其在国家信息化标准体系当中具体地位的工作,而且这也进一步地将会计信息化和其他信息化标准之间的关系作出了进一步的明确。对会计信息化标准体系进行定位对会计信息化的特殊性息息相关,在国家信息化标准体系当中它是占有相当重要地位的。我们都知道,会计信息化主要包含了各类信息,所以这也决定了对会计信息进行交换的时候,涉及到的方面也比较多[2]。简单来说,包括投资者、债权人,也有供应商和客户等等方面的监管者,由此也可以看出,会计信息化体系是该体系内部其他信息化标准体系建设的基础。因此,对会计信息化的定位问题一定需要予以必要的重视,做好这一点对于建设会计信息化标准体系具有至关重要的意义,所以要科学的开展,有序地进行。
(二)建立会计信息化标准体系
对会计信息化标准体系的建立,其中最为重要的一个目标就是需要将会计信息效益和社会效益做到共同促进。所以,在对会计信息化进行构建的时候,就需要在明确目标建设的基础上作出大量的分析和总结工作,而在此之间,最为重要的就是要根据以往的会计管理案例和会计管理的有效模型作出分析[3]。通过大量的分析和总结,然后在有针对性地对最佳的方案进行选择和优化,也需要将在此过程当中所获取的经验和教训作出总结和吸收。在总结和吸收的基础上进一步加以完善,并进行规范,最终形成完整的规范性的、科学性的具有指导意义的文件。从这里也可以看出,对会计信息化进行建设和现实当中的实践管理工作是密切相关的,而且在此基础上最好进行有效的分析和总结,才能够更好地将会计信息化标准体系的构建加以实现出来。
(三)会计信息化标准体系构建的相关要素和原则
在对会计信息化体系进行构建的时候,我们也做出了必要的定位,所以确定出相关的构建目标。在此基础上,再将相关元素和相关的构建原则进行确立,就能够更好地完成会计信息化标准体系的构建[4]。构建会计信息化标准体系最需要考虑的就是其基本的组成,而作为会计信息化的基本元素,也是对会计信息化的标准作出具体的细化。根据信息化的标准来对会计信息化标准体系进行确认,最终使得会计信息化的标准体系更加的具体化。对于会计信息化标准体系的构建,其中也包含一些基本内容,这些基本内容是根据信息化的基本内涵所衍生而来的。具体来说,主要可以从四个方面进行总结。这四个方面的基本元素涵盖了会计信息化建设的信息化环境,还涉及到了会计信息化在其运行过程当中所涉及到的软件工程方法和信息方法。当然也有会计信息化的综合支持与控制,涉及到了会计信息化的评价等。
四、结语
在本研究当中,笔者主要对我国会计信息化标准体系构建方面的主要内容做出了相关的分析和探讨,文中笔者也简要地谈到了一些自己的主观看法。会计信息化标准体系的构建是我国标准化体系构建的主要组成部分之一,所以在业内,关于这一问题的构建也一直都受到了较为广泛的关注。在本研究当中,文章所涉及到的相关问题的研究,在目前来说还缺乏必要的实践性,有些地方还需要进一步的验证。但是,通过本研究,笔者更为坚定地认识到,会计信息化标准体系的构建在目前来说是相当重要的,能够为促进我国社会主义经济的建设提供必要的保障。
参考文献
[1]孙凡.从会计信息化的一些基本特征看我国会计信息化标准制定[J].财会月刊,2012,15(12):658-659.
[2]杨周南.论会计信息化的TMAIM体系架构[J].会计之友(下旬刊),2010,13(12):65-66.
[3]付强.会计信息化条件下会计信息的相关性研究[J].现代营销(学苑版),2012,02(01):321-322.
[4]张玉涛.会计信息化形势下财务会计流程优化研究[J].现代营销(学苑版),2012,07(02):164-165.
档案信息化安全体系构建探讨 篇12
1.1 档案信息化特征体现。档案信息化在发展中已经形成了鲜明的特征, 主要体现在档案信息的采集内容以电子化的形式存在, 在档案信息的存储方面也从纸质向着电子方向转变, 在信息的传输过程中也是以电子形式传输。另外在档案信息化的服务方式上能够支持在线归档以及上网系统提供等[1]。并能在信息技术下可将档案信息瞬间共享以及下载。档案信息化的资源正向着标准化的方向迈进, 在开发利用的价值上也愈来愈大。
1.2 档案信息化安全体系构建目标、原则分析。对档案信息化安全体系构建的目标主要是配合完善档案信息化法规, 和相应标准, 通过信息技术在宏观管理以及档案信息部门微观管理下对档案信息的安全风险进行有效的防范, 从而来确保档案信息的安全化。对档案信息化安全体系的构建要能遵循相应的选择, 主要就是系统性原则以及可操作原则和可延续原则等。从可操作原则层面来看安全体系的构建要能具体的操作, 能够对现行的档案管理制度以及统计制度提供的数据方法有效使用, 在操作性上得以显著体现[2]。而系统性原则主要是对安全体系的构建在安全因素以及安全指标的选择层面得到系统化逻辑化的呈现。
二、档案信息化安全体系构建问题及策略实施
2.1 档案信息化安全体系构建问题分析。对档案信息化的安全体系构建过程中还有着一些误区问题有待解决, 主要就是在档案信息安全意识层面还比较薄弱, 使得一些重要的档案信息丢失, 没有将安全体系构建的理论基础得以重视。另外在相应的资金投入层面也比较不足, 以及在相关法律层面的滞后性, 管理制度层面的缺失以及人才结构的问题等。都对档案信息化安全体系的构建产生了很大负面影响。
2.2 档案信息化安全体系构建内容。从档案信息化的安全体系内容层面来看, 主要有档案信息化信息资源安全体系, 以及基础设施的安全体系、标准安全体系、人才队伍安全体系、应用系统安全体系、信息环境安全体系等几个重要内容。以档案信息化信息人才队伍的安全体系为例, 这是对档案信息化有着决定性作用的内容, 由于档案信息化的发展, 在涉及的内容上也比较丰富, 所以就需要专业的人才进行管理操作, 加强档案信息化人才队伍的安全体系构建才能保障档案信息化的安全。
2.3 档案信息化安全体系构建策略探究。第一, 对档案信息化安全体系的构建要从多方面进行考虑, 首先在政策法律层面的保障要能得到充分重视, 这是对档案信息化的安全模式得以保障的重要手段。在信息化档案的法律体系完善基础上才能达到有法可依以及违法必究的效果。对档案信息的安全工作中要能够将法律手段得以充分运用, 使其在法律的保障下能规范化运行。
第二, 将档案信息化的硬件设施安全体系层面的建设要能得到有效完善, 从具体的措施实施来看主要就是要构建有着防范自然界不确定因素的安全体系, 对自然破坏的问题进行预防, 由于硬件设施比较容易受到雷击影响, 所以要对此制定布雷方案防止雷击造成的档案信息丢失。然后对档案信息的硬件系统的防湿防潮以及防水等措施加强完善, 从多方面进行档案信息的保障。
第三, 加强档案信息化的人才队伍的安全体系构建, 在这一方面要对计算机以及档案专业复合型人才的培养得以加强, 将人才储备的方案科学化制定。对档案信息化的高层次管理人才进行培养, 并要能将相关的培训体系得以系统化的呈现, 从培训的内容上要完善呈现, 主要是对新技术的运用能力培训以及业务能力的培训等层面进行强化。
第四, 档案信息的环境安全体系的构建也要能够得以强化, 档案部门要能加强信息档案安全的宣传力度, 可通过相关的活动开展来普及以及加强档案意识教育。只有从多方面进行强化才能真正将档案信息化的安全得到保障。
三、结语
总而言之, 对档案信息化的安全体系构建要能结合实际的需求, 从多方面进行考虑, 随着档案管理体系的改革优化, 信息化的档案管理将成为重要的趋势, 面对信息安全问题也要能做好应对的准备。此次主要从档案信息化的相关理论以及安全体系构建思路进行的研究, 希望能对实际的档案信息化发展提供有益观点。
参考文献
[1]刘征宇.档案信息化管理的弊端及对策[J].科技资讯, 2013 (05) .
【构建信息安全防护体系】推荐阅读:
构建立体信息安全体系10-19
公司信息安全体系构建06-12
高校计算机信息安全管理体系构建论文02-28
测绘信息化体系的构建10-07
《医药信息素养》课程体系的构建07-13
安全构建网络信息02-14
信息系统构建01-19
信息化构建03-03
安全体系的构建10-25
文物管理信息系统构建05-15