公司信息安全体系构建

公司信息安全体系构建（共11篇）

公司信息安全体系构建 篇1

摘要：随着网络的发展, 企业活动越来越依赖于网络。有效的企业安全体系将成为现代企业发展的基本要求。本文分析了企业信息安全中存在的问题, 并从安全组织、安全策略、安全技术以及安全建设与运行四个方面阐述如何建立企业信息安全体系。

关键词：信息安全体系,安全组织,安全策略,安全技术

网络构建起来的信息化高速公路, 为全球信息的交换与获取提供了最便捷的手段, 但也使信息安全受到严重威胁。据资料显示, 全球由于信息安全漏洞造成的损失每年为150亿美元。企业的信息安全与否已经成为企业能否正常运行的重要因素。为了保证企业信息安全, 必须建立一个企业信息安全体系。

1 当前企业信息安全体系普遍存在的问题

信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行。四者既有机结合, 又相互支撑。但目前绝大多数企业在安全体系建设方面都存在不完善的地方。

1.1 信息安全策略方面

没有统一的安全运行体系;安全策略没有正式的审批和发布过程, 没有行政力度进行保障, 使得安全策略的在企业内的执行缺乏保障;缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。

1.2 信息安全组织方面

缺乏完整、有效、责权统一的专门的信息安全组织。信息安全工作没有明确的责任归属, 工作的开展与落实有困难;缺少信息安全专业人员, 缺乏相应的安全知识和技能, 安全培训不足;缺乏对于全员的信息安全意识教育, 桌面系统用户的安全意识薄弱。

1.3 信息安全技术方面

用户认证强度不够;应用系统安全功能与强度不足;缺乏有效的信息系统安全监控与审计手段;系统配置存在安全隐患;网络安全域划分不够清晰, 网络安全技术的采用缺乏一致性

1.4 信息安全建设与运行方面

没有建立起完善的IT项目建设过程的安全管理机制, 应用系统的开发没有同步考虑信息安全的要求, 存在信息安全方面的缺陷。日常的安全运维工作常处于被动防御状态。缺乏明确的检查和处罚机制, 多数企业在运维管理方面缺乏统一的安全要求和检查。缺乏应急响应机制。对已有安全设施的维护、升级和管理不到位。

2 如何建立企业信息安全体系

企业应充分利用成熟的信息安全理论成果, 设计出兼顾整体性、具有可操作性, 并且融策略、组织、运行和技术为一体的信息安全保障体系, 保障企业信息系统的安全。具体措施如下:

2.1 建立科学合理的信息安全策略体系

信息安全策略体系规划为三层架构, 包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则如图一所示, 涉及的要素包括信息管理和技术两个方面, 覆盖信息系统的物理层、网络层、系统层、应用层四个层面。

2.2 采用先进可靠的技术安全体系

在IAARC信息系统安全技术模型该模型中, 包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪5个部分, 当前主要的信息安全技术或产品都可以归结到上述5类安全技术要素。充分利用信息安全的技术手段这5种保护措施。同时, 结合信息安全的所保护的对象层次, 以及目前主流的信息安全产品和信息安全技术, 完善企业信息安全技术体系框架。整个企业信息安全技术体系总体框架包括物理层、网络层、系统层、应用层、终端层等五层次。

2.2.1 物理层安全

主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。

2.2.2 网络层安全

一是要建立注重安全域划分和安全架构的设计。根据信任程度、受威胁的级别、需要保护的级别和安全需求, 将网络从总体上可分成四个安全域, 即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。

二是安全边界的防护。根据不同安全区域的安全需要, 采取相应的安全技术防护手段, 制定合理的安全访问控制策略, 控制低安全区域的数据向高安全区域流动。

三是针对VPN的接入安全控制。VPN为通过一个公用网络建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。针对VPN接入需要从用户接入到安全防护一套安全控制手段。

四是网络准入控制。通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估, 决定是否允许这台网络终端计算机接入企业网络中。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。

五是做好网络设备登录认证。建立企业集中的网络设备登录认证系统, 用于对网络设备维护用户的集中管理, 认证用户的身份;通过定义不同级别的用户, 授权他们能执行的不同操作, 记录并审计用户的登录和操作。

2.2.3 系统层安全

一是做好系统主机的入侵检测, 针对系统主机的网络访问进行监测, 及时发现外来入侵和系统级用户的非法操作行为。二要做好系统主机的访问控制, 从用户登录安全、访问控制安全、系统日志安全等方面加入了安全机制。三是要做好系统主机的安全加固, 定期对服务器操作系统和数据库系统进行安全配置和加固, 对系统的配置进行安全优化, 以提高系统自身的抗攻击性, 消除安全漏洞, 降低安全风险。四是做好主机的安全审计工作, 提供全面的安全审计日志和数据, 提升主机审计保护能力。

2.2.4 应用层安全

随着系统应用的不断深化和普及, 一些应用系统安全问题不断凸现出来。为最大限度及时规避因应用安全问题而带来的威胁, 应着力抓好六个方面的工作:一是建立应用安全基础设施;二是健全应用安全相关规范;三是改进应用开发过程;四是组织关键应用安全性测试;五是加强应用安全相关人员管理;六是制定应用安全文档及应急预案。

2.2.5 终端层安全

加强终端电电脑的安全管理。对接入企业网络的终端设备进行安全管理。内容包括终端安全策略、防病毒、放入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。

2.2.6 备份与恢复

备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内, 并使灾难得到有效恢复的安全机制, 包括数据级、应用级和业务级三个层次。一是建立容灾计划。通过对不同等级的信息系统容灾需求分析, 确定容灾等级、RTORPO等容灾指标、备份策略、恢复性测试要求等, 设计容灾方案。二是建立备份与恢复基础设施, 包括异地灾难恢复系统和重要数据的本地备份设施。

2.3 建立完整、有效、责权统一的信息安全组织

信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分, 能合理阻止关键流程的破坏。加强全员的信息安全意识教育, 提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作, 组织与职责的清晰定义可以有效地促进信息安全各项工作的进行, 包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织包含决策、管理、执行与监管四个层面。

信息安全教育与培训要覆盖公司各个层面的人员, 提升整个企业人员安全的水平, 同时人员安全的相关工作在制度和机制方面为教育与培训提供了有效保障。

2.4 建立合适的信息安全建设与运行体系

建立合适的信息安全建设与运行体系, 一是建立安全评估机制。形成系统化的信息安全风险评估规范和制度, 定期对重要信息系统的安全进行评估。二是建立有效的应急响应机制。针对可能发生的破坏性事件而设计的必要的管理和恢复机制, 将安全事件带来的损失降到最低。三是加强项目建设信息安全管理, 建立IT项目建设过程的安全管理机制, 对信息系统的全生命周期进行安全管理, 在项目的申报、审批、立项、实施、验收以等关键环节中, 都有相应的信息安全规定或制度来进行约束, 完成各个环节的信息安全管理行为。四是建立信息系统运维安全管理制度。重点加强安全监控和响应机制, 安全日志审计与分析机制, 安全预警机制三方面的建设工作。

构建企业信息安全体系是一个系统工程, 需要从技术、设备、人员、管理等多方面入手构筑一个立体体系, 也需要社会各层面的高度重视和关注。

公司信息安全体系构建 篇2

摘要：近年来，信息化在各个行业的应用和融合逐渐深入，金融业也受其推动而获得了快速发展，但金融信息安全问题始终是金融行业发展的一个敏感和热点问题。

下面本文主要分析金融行业计算机信息存在的风险，并在此基础上提出构建计算机信息安全保障体系的一些可行性建议。

关键词：金融行业 计算机 信息安全 保障体系

随着社会的不断进步和发展，信息系统改变人们的生活方式，推动了整个社会的发展，金融行业也不例外。

信息化虽然给人们带来了极大的便利，然而计算机信息技术的发展也存在潜在的信息安全问题。

在这一背景下，计算机网络的开放性与金融信息的私密性又具有直接的矛盾，金融行业信息安全形势也不容乐观，加强金融行业计算机信息保护，构建更加安全可靠的金融信息安全保障体系显得尤为重要。

一、金融行业计算机信息存在的风险

(一)计算机数据被攻击窃取

计算机病毒和木马依然是目前金融行业信息风险的主要因素。

计算机病毒和木马在计算机程序中潜伏，被激活后会对其他程序进行感染和破坏，轻者造成数据毁坏、丢失，严重者甚至可能使整个信息系统瘫痪，是破坏计算机数据的一个主要因素，也是计算机面临的一个主要安全问题。

一旦金融计算机数据传输系统被破坏，就可能会导致数据被窃或者客户资料泄露，甚至导致客户资金或证券交易价值损失。

(二)系统设计维护的缺陷

金融行业的各项信息系统设计不可能做到完美无缺，任何一个系统都具有固有的缺陷，这就为不法分子留下攻击的漏洞，并且无效的安全管理也是造成安全隐患的重要因素，将直接影响客户和银行的资金安全。

通常情况下，金融计算机系统都有管理人员对其进行监视，若发现漏洞则应对其危险程度进行分析，并应积极采取相应措施进行补救。

然而即使是维护过的系统，在软件更新或者升级后又可能会产生新的漏洞，依然会危及金融系统的安全。

二、金融行业计算机信息安全保障体系的构建

为了确保金融行业计算机信息安全体系的有效运行，就必须要构建一个安全、有效的信息安全体系对其进行保护，从而在计算机技术内部形成有效的防火墙，并加强系统的维护和管理，以预防和阻止由于非法入侵、攻击、盗用等造成的信息遗失安全问题。

(一)推进金融科技标准化体系

近几年，标准化体系建设已经成为人民银行科技主管部门的一项重要工作，为金融行业信息技术发展的做出了行业规范。

在实际发展中，金融行业在计算机信息管理，专业研发、维护和管理部门和人才等方面做了大量的工作。

金融机构既建立计算机信息系统规划、开发、建设、维护等相关技术部门，也设立风险管理部门和安全管理部门。

为了更好地推进金融科技标准化工作，各金融行业风险管理部门要加强对安全风险进行监视，从组织监督检查的角度，由金融系统内部审计部门，对其业务流程及系统运作情况进行安全监督检查，及时将监视结果提供给其他相关部门;安全管理部门要加强对管理制度、法规、安全细则等进行规定，并通过监督、指导、管理等使制度得到落实，从信息安全管理层面使金融信息安全体系的防范级别得到切实提高。

(二)加强计算机信息数据的保护

金融行业服务业已进入大数据时代，要求数据存储系统具有较高的可靠性，只有完善的数据存储才能更好的保障其访问和交易过程的顺利进行。

若系统出现故障，可能会出现业务中断、客户流失，甚至资金链断裂等等诸多问题，会很多大程度影响客户体验和企业信誉度。

金融行业不仅要开发适合本机构的金融产品和完整有效的信息系统，更应该加强备用数据中心的建设，强化减灾容灾能力。

这样，在数据中心无法继续正常运行时，可以通过使用备用数据中心通道来维持系统的正常工作，从而更好的防范数据问题引起的服务事故，为网络信息安全保障体系建立强大的服务后盾。

(三)积极跟进新型信息安全技术

计算机信息安全技术是维持信息安全体系的关键，合理运用安全机制，积极探索和采用新型信息安全技术，可以保障系统的顺利运行和广大人民的资金财产安全。

一是要加强网络访问者身份认证。

金融行业要采用静态密码认证、动态密码认证、指纹识别、数字证书以及其它新型认证方式，做好客户身份认证工作，同时也要避免客户相关隐私信息被盗用。

二是加强网络病毒木马的实时监测。

坚持金融行业计算机网络安全以防护为主的原则，做好病毒防护系统升级工作，主动强化对病毒木马进行实时监测，分析病毒木马最新动态，制定合理的防护机制和预警机制，从而更好的 对其进行防范;三是加强计算机信息系统软硬件管理、维护和升级工作。

计算机信息系统的正常运行是以软硬件设备为基础的，其安全性设计和优化配置对于保障系统信息安全都尤为重要。

在实际工作中既要积极解决信息系统安全设计、生产、测试、运营、维护等方面的问题，提高系统设备安全性，从而更好的保障计算机网络安全策略的顺利执行，也要做好系统的更新和升级工作，要把用户体验好，安全防护好各类新型金融信息产品投入运行。

三、结束语

在信息化愈加普及的今天，金融机构更应重视计算机信息安全系统的构建，不仅要加强对信息资源的保护，同时还要建立完善、可靠的金融信息安全体系，以安全技术以及防护手段作为安全体系构建的支撑，确保信息体系的安全运行和实施，保障监视、评审信息安全，从而切实保障客户的个人信息安全，最终才能不断推动推动金融业的快速发展。

参考文献：

[1]韦雪江.我国金融行业计算机信息安全形势分析和研究[J].计算机光盘软件与应用，

[2]袁晓冬.银行业金融机构信息安全存在问题及建议[J].金融科技时代，2013

公司信息安全体系构建 篇3

本报讯 （记者 谌力）“中国保险行业面临的信息科技风险十分严峻，中国保监会希望保险公司提高对信息安全的重视，加大对信息安全的投入力度，加强对信息安全事件的判断和应急处理，完善信息安全防范体系。”5月15日，在由中国保监会统计信息部主办、中国人民保险集团公司承办，全国各大保险公司代表参加的保险信息化高峰论坛上，中国保监会统计信息部副主任于玫提出了上述看法。

在本次保险行业的高峰论坛上，有8家保险公司的代表进行了信息安全和风险管理的专题发言，信息安全成为大会热议的焦点。中国人保财险公司副总裁王和在会上谈到，“信息安全不是技术工作，而是整个企业的工作，需要企业内的管理层和所有职能部门共同落实。”中国平安保险（集团）公司CIO罗世礼在发言时说: “信息安全工作不局限于IT，业务人员的落实执行同样重要。执行信息安全的工作，人人有责。”中国人寿集团信息部总经理朱宏玲指出:“风险管理是保险企业创新发展的必然需要，对今天的保险业而言，IT与业务应该建立一致性的风险控制模型，从治理控制、管理控制、技术控制三个层面来建立安全体系。”

新闻点评: 信息安全，对于任何一个行业来说都十分重要。而对于保险业，安全标准无疑是实施信息安全、管理科技风险不可或缺的开门钥匙，保险公司需要找准自己信息安全建设的切入点、引入最适合的体系框架和实施步骤。

医院信息安全体系的构建 篇4

1 医院信息安全体系设计

在医院信息化建设过程中,信息安全设计首先要对来自网络内部和外部的各种安全风险进行分析,制定与各类信息系统安全需求相应的安全目标和安全策略,以此作为系统配置、管理和应用的基本安全框架,形成符合HIS的合理、完善的信息安全体系[2,3,4]。

1.1 计算机安全访问控制

主要是对应用系统的文件、数据库等资源访问的控制,避免越权非法使用。主要包括 :1权限控制 :对于不同用户的授权原则是其能够完成工作的最小化授权,并在用户之间形成相互制约的关系 ;2账号管理 :严格限制默认账户的访问权限,重命名默认账户,修改默认口令 ;及时删除多余的、过期的账户,避免共享账户的存在。

1.2 区域边界访问控制

为了防范外部网络攻击和入侵,应用防火墙可以解决各类专线接口(如医保、农合等)与外部网络连接的安全问题[5,6]。将防火墙部署于出口节点与核心交换机之间,可以起到抗攻击、包过滤和划分安全域的作用。

1.3 入侵防御系统

在各区域边界,防火墙起到了协议过滤的主要作用,根据安全策略偏重在网络层判断数据包的合法流动,但面对越来越广泛的基于应用层内容的攻击行为,防火墙并不擅长处理应用层数据。因此需要其他具备检测新型的混合攻击和防护能力的设备和防火墙配合,共同防御来自应用层到网络层的多种攻击类型,建立安全防护体系,进行多层次、多手段的检测和防护。入侵防护系统(IPS)是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警同时进行有效拦截防护[7]。

1.4 防病毒网关

采用透明接入方式,在最接近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过滤,可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截,有效防止病毒从其他区域传播到内部其他安全域中。

1.5 WEB应用防火墙

医院外网数据中心的互联网服务器区对外提供WEB服务,这使得医院外网信息系统中服务器很容易成为黑客的攻击目标,因此需要使用WEB应用防火墙。WEB应用防火墙部署于服务器区防病毒网关之后,主要阻止基于WEB的攻击、入侵、渗透和注入等威胁,如CC攻击、目录遍历等 ,同时做网页防篡改,维护WEB页面的安全。

1.6 业务审计系统

应用层安全审计是对业务应用系统行为的审计,需要与应用系统紧密结合,业务审计系统旁挂于服务器区核心交换机上,针对内网服务器区监控基于数据库的所有操作及服务器的大部分操作,同时可针对数据库的所有操作过程做回放。应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录。同时能对记录数据进行统计、查询、分析及生成审计报表。

2 对医院网络进行集中的安全管理

我院对中心机房核心网络交换机进行汇聚扩容,以解决网络故障隐患,规避因网络引起的大范围医院业务中断。

2.1 网络架构建设

在物理架构上实现了整个网络架构的高度冗余、容错能力 , 在网络平台架构中或业务关键节点不存在设备或线路单点故障。

我院网络架构主要分为5个部分 :1内网区 - 业务区域 :内部业务系统、服务器及存储服务器所属的网络域 ;2内网区 - 科室访问内部应用 :此区域为业务终端所处的网络域,各科室业务终端中能访问内部业务平台 ;3外网区 :临床、行政普通办公区,用于用户访问互联网 ;4外部接入区域 :第三方接入域,如 :新农合、省医保、市医保及银医一卡通等 ;5外网网站区 :医院门户网站所处的网络域,与其他网络域物理隔离。

逻辑架构上实现整个信息化基础架构平台的合理区域化划分,尽量合理的设计和规划安全区域,调整逻辑架构,在网络骨干设备间实现三层架构,避免因为不同故障而引起对业务产生大范围影响。

2.2 综合网络运维管理

我院采购综合网络运维管理系统,该系统是一个平台级的系统,提供网络及安全设备管理、各类主机、数据库、中间件等服务管理、IP地址资源管理等功能。

(1)能够采用多种算法自动生成整个动态网络拓扑结构,迅速搜索整个网络内的所有节点,自动勾画出设备之间的冗余连接、均衡负载连接、链路相关流量,链路等级、物理带宽情况。

(2)可以直接了解网络拓扑中各线路流量和设备状况的属性,如网络设备系统CPU、MEM,连续运行时间集中展现,并可实时监控和报警。另外,可针对网络运行状况,生成用户自定义报表。

(3)系统能对实时业务告警事件作出及时反应,并可深入显示告警相关的业务通道,在拓扑图中以相应链路变色、节点闪烁等形式提示 ;告警信息未确认则以某种方式保持对用户的提示。系统能实现的告警有 :联通性测试、ping告警、负载告警、流量告警、SNMP告警、端口状态告警等,并能更改告警显示信息,告警延时及轮询间隔。

(4)可实时查看交换机用户连接信息、交换机VLAN分布表、路由表、APR表、IP地址表、CDP表、TCP连接表、UDP连接表、Remote Ping、SNMP连接测试、RemoteTrace RT监控。直接在拓扑结构上实时监控多个端口的流量情况,可以同时监视总流量、帧流量、广播流量、丢包率、错包率和平均帧大小。

3 完善信息安全管理制度

目前我院主要完成以下制度建设[8]:

(1)加强用户密码管理。对于系统管理员和数据库管理员,分别拥有各自的密码,以便明确责任。做好普通用户的密码保管,定期提醒更换密码。

(2)做好数据备份与故障恢复。每日检查备份日志,确保数据的本地和异地备份顺利完成。定期开展信息系统应急演练,做好极端情况的手工处理,保证医疗流程不中断。

(3)针对医院终端设备进行策略管控,即根据医院现有的终端访问需求,作以下安全区域划分 :1内网终端 :指的是医院内部仅需访问内部应用系统的用户 ;2外网终端 :指的是医院内部少量用户仅需访问Internet,可以通过认证和访问策略限制,不允许其访问内网 ;3内外网共享终端 :针对医院领导和信息部门用户,可访问内网应用系统和Internet,对此类用户终端安全性要求严格定义,需通过信息部门认证许可后方可接入网络。

4 结语

公司信息安全体系构建 篇5

杜洪伟

天津第七市政公路工程有限公司，天津（300113）

摘 要：随着计算机网络的快速发展，网络资源共享也更加广泛。计算机网络面临着信息泄露、黑客攻击、病毒感染等多种威胁,信息安全保密工作面临着严峻挑。本文结合我国企业信息安全保密工作的相关要求和实际情况，从技术防范的角度出发，对保障网络的信息安全进行了分析，探讨了构建满足企业信息安全保密工作需要的防范措施。

关键词：企业信息化；信息安全保密；技术防范措施； 引言

信息网络国际化、社会化、开放化和个人化的特点, 决定了,它在给人们提供高效率、高效益、高质量的“信息共享”的同时,也投下了不安全的阴影。随着企业和人民对网络环境和网络资源依赖程度的不断加深, 信息泄露、黑客入侵、计算机病毒传播甚至于威胁信息安全的问题会出现得越来越多。因此，如何在企业机构中做好信息安全保密工作，事关企业发展的战略安全与重要利益。试想一下如果有关我国企业技术研究的重要信息系统安全遭到泄漏、破坏，那么就会对我国企业技术研究开发的各方面工作造成严重影响，使企业在该技术领域的研究陷于被动的处境，甚至会牵连整个社会和经济的发展进程，引致灾难性的经济损失后果。总之，在企业机构中做好信息安全保密工作是一项系统工程，本文从技术角度出发，以未雨绸缪，预防为主，兼顾防御及修复的原则为指导，加强信息安全保密工作的重要意识，在构建防范体系的过程中把该安全意识落实到每个技术细节上。最终构建一个系统、全面、可靠、有针对性的技术防范体系。网络信息安全问题

信息安全实质上是信息系统安全，信息系统主要由计算机系统构成，包括软件、硬件等。国际标准化组织(ISO)将“信息安全”定义为: 为数据处理系统建立和采取的技术和管理的安全保护, 保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

网络信息安全面临的威胁是多方面的, 具有无边界性、突发性、蔓延性和隐蔽性等新的特点。网络模糊了地理、空间上的边疆概念, 使得网上的冲突和对抗更具隐蔽性。对计算机网络的攻击往往是在没有任何先兆的情况下突然发生的, 而且会沿着网络迅速蔓延。对网络信息安全防御的困难还在于, 一个攻击者仅需要发起一个成功的攻击, 而防御者则需要考虑所有可能的攻击;而且这种攻击是在动态变化的。因此,需从技术上采取综合、系统性的多种措施构建技术防范体系。

信息安全是一个综合、交叉的学科领域,要涉及到安全体系结构、安全协议、密码理论、信息分析、安全监控、应急处理等各个方面, 还要利用数学、电子、信息、通信、计算机等诸多学科的长期知识积累和最新发展成果。信息安全要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果, 进行自主创新研究, 加强顶层设计, 提出系统的、完整的, 协同的解决方案。

实际上不论是局域网还是广域网, 都是一种系统, 所以系统安全问题的解决, 必然是一项系统工程, 必须采用系统工程学的方法、运用系统工程学的原理来设计网络信息安全体系。解决网络信息安全的基本策略是技术、管理和法制并举。技术是核心, 要通过关键技术的突破, 构筑起国家信息安全技术防范体系。管理是关键, 根据“木桶原理”, 信息安全链条中任何一个环节的脆弱都有可能导致安全防护体系的失效, 必须要加强各管理部门和有关人员间的密切合作。法制是保障, 通过建立信息安全法规体系, 规范信息化社会中各类主体的行为, 以维持信息化社会的正常运作秩序。

3.信息安全的技术体系构成

3.1信息安全技术基础 3.1.1边界隔离技术

边界隔离包括逻辑隔离、物理隔离、信息过滤、入侵检测、防火墙、防病毒网关等，其实就是一种用于信息系统边办防护的安全技术，以阻止来自网络系统外部的各种攻击。运用该项技术首先

巨大商业、社会价值，病毒的泛滥大有愈演愈烈之势，其危害的深度、广度和力度也越来越大。流行广泛、各类繁多、潜伏期长、破坏力大，对储存了大量科研数据的计算机信息系统构成了长期与现实的威胁。

其次就是黑客入侵。通过技术手段，非法侵入计算机信息系统，获取秘密信息或有选择地破坏信息的有效性与完整性。这是当前企业机构计算机信息系统所面临的最大威胁。黑客除了在网上编写程序利用软件进行直接的攻击和破坏，还采用信号截取和声像外露信号来获取秘密信息。

再者就是存储介质失密，特别是随着移动存储介质的广泛使用，使得利用存储介质窃取信息的事件日益增多。如涉密的优盘、硬盘、光盘、笔记本电脑等。

系统漏洞，软件是编程人员设计编写的，有时因为疏忽，有时为了自便而专门设置，总是或多或少存在一些大大小小的漏洞。因此没有无懈可击，天衣无缝的软件系统。利用计算机操作系统、信息管理系统、网络系统的自身安全漏洞，进行窃取与破坏活动。

非法访问，企业机构以外人员利用非法手段进入安全保密防范措施不完善的信息系统，对企业信息系统进行的破坏活动。另外还有人为因素。例如个别人员利用合法身份与国外的网络非法连接，或者使用随身携带的摄像等装备进行的窃取行为。

以上所列举的情况是目前存在于企业机构的主要信息安全威胁，针对上述威胁我们应构建有针对性的、强健的技术防范体系。

3.2.2构建有针对性的技术防范体系

构建符合企业机构工作特点且有针对性的信息安全保密技术防范体系，实际上就是从信息系统和信息网络的不同层面保证信息的机密性、完整性、可用性、可控性，进而保障信息系统的安全，提高信息系统及网络的防御能力。安全保密技术是随着信息技术、网络技术，以及各种入侵技术的发展而不断完善和提高的，不断采用一些最新的安全防护技术，可以极大地弥补传统安全防护手段存在的不足。因此，信息安全保密的技术防范体系，是构建整个信息安全保密体系的重要组成部分，在资金允许和技术可行的条件下，应该尽可能采用先进的、且经得住实践检验的技术防护手段，这样才能有效抵御不断出现的信息安全威胁。

（1）物理安全防护

物理安全防护主要指内网借助于某些网络设备及软件系统等方式间接地连接到外网，另外还包括对网络设备保护层及电磁辐射的物理防护。物理安全防护的方法有以下几种：

1)抑制电磁泄漏（即TEMPEST技术）是物理安全防护的一个重要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，既要采用各种电磁屏蔽手段，还要应对可能出现的干扰。

2）网络隔离卡：在终端机上加装网络安全隔离卡，并额外配备1块硬盘，这样就能根据使用者的需求，灵活切换内外网。

3）最直接的方法应是一人双机：如果经济条件允许，给专业管理人员配备2台终端机，1台接外网，1台只接内网。

（2）防火墙

目前，常见的防火墙主要有三类：

1）应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔离应用层通信流的作用。2）包过滤型防火墙：数据分组的过滤或包过滤，其中包过滤原理和技术可以认为是各种网络防火墙的基础构件。

3）综合型防火墙将数据包过滤和代理服务结合起来使用。

混合使用数据包过滤技术、代理服务技术和其他一些新技术将是未来防火墙的发展趋势。（3）抗攻击、防病毒网关

企业信息网络安全保障体系的构建 篇6

关键词:网络安全 信息 企业 安全保障

中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2011)03(c)-0242-01

随着计算机网络技术的发展,企业越来越多地使用计算机系统处理日常业务,以满足不断发展的业务需求,但企业的网络系统结构日益复杂,不断出现的安全隐患在很大程度上制约着企业业务的发展。应用信息安全技术,通过采取相应的措施在一定程度上降低安全风险,从而建立一个相对安全和可靠的网络系统,能够有效地保护信息资源免受威胁。本文将阐述企业在内外部网络环境下如何来构建一个强有力的安全保障体系。

1企业信息网络目前存在的主要问题隐患

1.1 路由器及交换机等设备的安全隐患

路由器是企业网络的核心部件,企业信息网络与外界的数据交换都必须经过路由器,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令,一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员部可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备的目的。一旦控制了企业网络的“咽喉”——路由器,那么整个企业的各种敏感信息随即也会完全暴露出来！

1.2 网络病毒和恶意代码的袭击

与前几年病毒和恶意代码传播情况相比,如今的病毒和恶意代码的传播能力与感染能力得到了极大提升,其破坏能力也在快速增强,所造成的损失也在以几何极数上升。当年的“熊猫烧香”病毒就使很多企业闻风丧胆。在日常办公和处理业务中,E-mail、Web、压缩文件、上传下载信息等已经成为人们获取信息的主要途径,这些途径也正是各种病毒的最好载体,使得它们的寄宿和传播变得更加容易。目前,全世界发现的病毒已经远远超过数十万种,这些病毒会对重要的主机或服务器进行攻击,诸于类似的SYN FLOOD攻击,或放置逻辑炸弹,有着不可估量的破坏力,造成企业网络无法正常运行,降低员工工作效率,影响企业盈利能力。如何防范各种类型的病毒和恶意程序,是任何一个企业不得不面对的一个挑战。

2企业信息化网络安全保障的体系

网络安全保障为网络安全提供管理指导和支持,具体地说,建立企业网络安全综合解决方案主要作用有以下几点。

2.1 利用先进网络安全技术

2.1.1 防火墙技术

防火墙技术一般分为两类:网络级防火墙和应用级防火墙。网络级防火墙防止整个网络出现外来非法入侵;应用级防火墙是从应用程序来进行接人控制,通常使用应用网关或代理服务器来区分各种应用。目前防火墙所采用的技术主要有:屏蔽路由技术、基于代理技术、包过滤技术、动态防火墙技术、DMZ模型。

2.1.2 虚拟专用网

虚拟专用网(Virtual Private Network．VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个私有的连接。因此,从本质上说VPN是一个虚拟通道,它可用来连接两个专用网。通过可靠的加密技术方法保证其他安全性。并且是作为一个公共网络的一部分存在的。

2.1.3 加密技术

加密技术分为对称加密和非对称加密两类。对称加密技术有DES、3DES、IDEA．对称加密技术是指加密系统的加密密钥和解密密钥相同。也就是说一把钥匙开一把锁。非对称密钥技术主要有RSA。非对称密钥技术也称为公钥算法,是指加密系统的加密密钥和解密密钥完全不同,这种加密方式广泛应用于身份验证、数字签名、数据传输。

2.2 采用严格访问控制措施

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问,使非权限的网络访问受到限制,只允许有访问权限的用户获得网络资源。首先是要进行身份验证。身份识别是用户向系统出示自己身份证明的过程,身份认证是系统查核用户身份证明的过程。这两项工作统称为身份验证,这是判明和确认通信双方真实身份的两个重要环节,用户名和口令的识别与验证是常用的方法之一。此外还有数字证书、动态口令、智能卡、生物识别等多种认证方式。确保企业信息资源的访问得到正式的授权,验证资源访问者的合法身份,将风险进一步细化,尽可能地减轻风险可能造成的损失。其次是有限授权。对网络的权限控制能有效地防止用户对网络的非法操作,企业可以根据用户所属部门和工作性质为其制定相应的权限,用户只能在自己的权限范围内对文件、目录、网络设备等进行操作。

2.3 部署漏洞扫描技术和入侵检测系统

漏洞扫描是对中小型企业的网络进行全方位的扫描,检查网络系统是否有漏洞,如果有漏洞,则需要马上进行修复,否则系统很容易受到伤害甚至被黑客借助漏洞进行远程控制,后果将不堪设想,所以漏洞扫描对于保护中小型企业网络安全是必不可少的。面对网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞,评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞,消除安全隐患。

入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,入侵检测技术是一种积极主动的安全防护技术,是一种用于检测计算机网络中违反安全策略行为的技术,是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。在中小型企业网络的入侵检测系统中记录相关记录,入侵检测系统能够检测并且按照规则识别出任何不符合规则的活动,能够限制这些活动,保护网絡系统的安全。

总之,中小型企业的网络安全保障体系构建是一个系统的工程,需要综合多个方面的因素和利用防火墙技术、网络加密技术、身份认证技术、防病毒技术、入侵检测技术等网络安全技术,而且需要仔细考虑中小型企业自身的安全需求,认真部署和严格管理,才能建立中小型企业网络安全的防御系统。

参考文献

[1]郭启全.网络信息安全学科建设与发展[J].中国人民公安大学学报,2003(3)．

[2]闫宏生.计算机网络安全与防护[M].北京:电子工业出版社,2007．

[3]王静燕,高伟.企业网络安全系统的设计[J].科技信息,2009,17．

公司信息安全体系构建 篇7

一、当前上市公司会计信息披露监管体系所呈现出的问题

1. 政府监管失灵

随着近年来上市公司会计信息失真等问题的曝出, 凸显出了当前我国政府在这一监管工作上依旧存在着一系列问题, 具体体现在:第一, 相应监管制度不健全。在当前市场经济体制下, 由于相应监管制度不健全, 致使相应的注协缺乏独立性, 相应的监管权责无法得以协调统一, 交叉监管的错位致使相应的监管工作无法得到有效的指导。第二, 会费制的存在致使监管陷于被动局面。当前, 我国会计监管部门为了实现自身的正常运转, 在实际开展监管工作的过程中会向相应的被监管单位征收会费, 此种制度的存在不仅致使相应监管工作陷入被动局面, 同时也会因地方保护主义的存在而加大企业违规概率。第三, 整个监管体系框架需实现进一步完善, 以适应当前市场经济的发展需求, 通过全方位、多层次的动态监管来提高监管效率。

2. 社会监管力量过于薄弱

当前, 社会监管在我国会计信息披露监管工作中尚未真正的发挥出自身的力量, 作为社会监管主体之一的会计事务所, 其在实际落实监管工作的过程中, 并没有有效的落实自身的权责, 相应的审计人员能力素质过低, 相应的风险意识过于薄弱, 整个会计行业从业人员队伍结构单一, 缺乏综合型人才。此外, 媒体作为社会监管的另一大主力, 特别是在当前的信息媒体时代下, 其监管作用的发挥凸显重要, 但是, 目前媒体行业在报道与批评等权利上尚未得到法律的保护, 无形之中监管作用被大大降低。

3. 企业内部监管存在漏洞

首先, 监事会尚未有效的落实自身的监管职能。从当前上市公司监事会此项工作开展的现状看, 其并没有相应的处罚权, 进而相应的监管效果不理想, 加上尚未对其监管业绩评估做出明确的规定, 进而致使其监管工作落实情况无法得到有效的衡量, 加上自身对内部审计工作的重要性认识不全面, 以经济利益为先的出发点致使整个内部控制工作无法得到有效的开展与落实。其次, 上市公司审计委员会在当前的形势下并没有实际权利, 进而相应的监管工作无法发挥作用。

二、完善构建上市公司会计信息披露监管体系的有效途径

1. 完善相关法律法规, 明确落实政府的监管权责

只有从法律上实现对会计监管体制的进一步完善, 才能够明确的划分相应的监管权责, 进而为构建完善的监管体系奠定基础。具体需要从税务、工商以及证券等法律方面进行完善, 实现对相应监督权的统一, 以确保地方政府财政部门能够承担起自身的监管职责。与此同时, 在政府明确自身职责的基础上, 需要充分发挥出自身的领导权力, 确保实现联合执法, 与相应的法院、财政等部门联合以实现统筹部署, 构建全方位、多层次的监管格局。

2. 充分的发挥出社会监管的功能与作用

社会监管主体对于规范企业行为、确保会计信息的完善披露有着极为重要的作用, 因此, 在构建相应监管体系的过程中, 需要充分的发挥出社会监管部门的职能。首先, 对于外部会计师事务所而言, 其需要实现对上市公司会计报表的有效审计, 避免因利益等问题而出现违规操作, 保证企业能够实现完善的会计信息披露, 一旦发现此类机构存在违规操作等问题, 需以吊销执业资格等强有效的处罚措施来加大监管力度。其次, 针对相应的从业人员, 要全面提高其职业能力素质, 打造一支综合能力素质强的会计审计队伍, 以提高其工作质量与效率。此外, 要赋予媒体监管部门以相应的权利, 确保能够实现有效的信息披露。

3. 进一步健全企业内部控制制度体系

要想全面强化上市企业内部监管效果, 就必须以完善的制度体系来落实这一监管工作。这就要求要在明确各部门之间权责的同时, 要强化其责任意识, 确保企业董事会具备独立的监管权力, 保证落实自身的责任, 并提高相关人员的职业道德素养, 使其能够克己奉公, 坚持基本的职业操守, 提高企业整个管理水平, 确保自身的稳健发展。

三、总结

综上所述, 在当前的市场经济环境下, 为了确保上市企业的稳健发展, 保护投资者的合法权利, 实现对市场资源的优化配置, 就需要确保企业会计信息披露的真实性与完善性, 因此, 构建完善的监管体系势在必行。这就要求要完善相应的法律法律, 落实政府的监管权责, 并发挥社会监管的力量, 完善企业的内部控制制度, 以通过全方位、多层次的监管体系来实现有效的监管, 从根本上改变当前国内上市企业会计信息失真的现象, 为促进社会主义市场经济的稳健发展奠定基础。

摘要：对于我国上市公司来讲, 构建完善的会计信息披露制度能够为其进入证券市场、实现自身的良性发展奠定基础, 同时也是投资者维护自身利益、实现自身投资效益最大化的基本依据, 此外, 还能够为实现社会资源的优化配置提供保障。但是, 由于相应监管体系的不完善致使会计信息披露问题凸显, 亟待解决。本文首先分析了当前上市公司会计信息披露监管体系所存在的问题, 其次为如何构建完善的监管体系提出对策, 以供参考。

关键词：上市公司,会计信息披露,监管体系,构建,研究

参考文献

[1]郭娴娴, 韩莎莎.我国上市公司会计信息披露体系研究[J].论坛, 2013, 3 (5) :11-13.

[2]王阳辉.试论我国上市公司会计信息披露质量的完善[J].中国证券期货, 2011, 12 (10) :29.

某集团网络信息安全体系的构建 篇8

20世纪90年代以来, 计算机网络技术得到了迅速发展, Internet用户数和商业应用快速增长。但是人们在享受新技术带来革命性变化的时候, Internet也给人们带来许多问题。其中, 最引人关注的就是网络安全问题。由于计算机网络具有联结形式多样性、终端分布不均性、开放性、互连性等特点, 致使网络极易受到攻击。数据统计显示, 全球平均每20秒就发生一次计算机入侵事件。2002年数据盗窃引发的损失高达590亿美元。企业电脑受到入侵的比例从1996年的42%升到2003年的55%, 而亚洲地区的受入侵比例竟高达72%。这些惊人的数字说明, 互联网安全现状异常严峻, 网络系统必须有足够强的安全措施, 否则, 不仅会造成大量的人力、物力资源的浪费、经济的损失, 公司商业机密信息或研究技术文档的被窃, 甚至会丢失有关国家的机密, 危及到国家的安全。因此, 信息安全和网上信息对抗的需求, 使得如何增强计算机系统和网络系统的安全性成为人们关注的焦点。

1集团信息安全风险分析

集团信息网络系统是一个面向全集团的业务应用平台。按照业务的重要性和使用对象来分, 主要业务系统包括以下一些:

1) 核心的办公系统和业务系统, 包括OA系统、ERP系统、财务系统、行业生产经营决策系统、行业电子商务系统等等。

2) 公众和企业可直接访问集团公司公开服务器 (如将来的Web服务器) 和授权应用程序服务器。

3) 辅助应用系统, 包括邮件系统、传真系统等等。

网络的普及让信息的获取、共享和传播更加方便, 但同时也使得企业重要信息资源处于一种高风险的状态, 很容易受到来自系统内部和外部的非法访问。信息安全风险和信息化应用密切相关, 集团信息系统目前面临的主要风险存在于如下几个方面:

1) 计算机病毒、蠕虫、间谍软件的威胁 计算机病毒的破坏位列所有安全威胁之首。病毒感染可能造成网络通信阻塞、文件系统破坏, 系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序, 泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装 (安装后很难找到其踪影) , 并悄悄把截获的机密信息发送给第三者。

2) 带宽滥用 带宽滥用对于企业网络来说, 非业务数据流 (如P2P文件传输与即时通讯等 ) 消耗了大量带宽, 轻则影响企业业务无法正常运作, 重则致使企业IT系统瘫痪。必需对网络流量进行控制。

3) 拒绝服务攻击和分布式拒绝服务攻击 DoS和DDoS可以被分为两类:一类是利用网络协议的固有缺陷或实现上的弱点来进行攻击, 与漏洞攻击相似;另一类利用看似合理的海量服务请求来耗尽网络和系统的资源, 达到网络和系统能力的极限, 从而使合法用户无法得到服务的响应。

4) 端口扫描 这种信息收集型攻击可能会是某种攻击的前奏, 虽然不会对目标本身造成危害, 但由于会被用来为进一步入侵提供有用信息, 这种探测应该被阻止。

5) 信息传递的安全不容忽视 一般随着集团办公自动化、财务、调度等生产经营方面的重要系统投入运行, 大量重要数据和机密信息都需要通过内部局域网和广域网来传输, 必须防止这些信息被非法截取而泄露机密;被非法篡改而造成数据混乱和信息错误;被非法用户假冒合法身份, 发送虚假信息造成破坏和损失。保护信息资源, 保证信息的传递成为企业信息安全中重要的一环。

6) 用户身份认证和资源的访问控制急需加强 特定的系统一般为特定的用户使用, 特定系统中的信息数据, 也只对特定的用户开放。各个信息系统中都设计了用户管理功能:建立用户, 设置权限, 管理和控制用户对信息系统的访问。但仍然存在问题:一是用户权限管理功能过于简单, 不能灵活实现更细的权限控制;二是各应用系统没有一个统一的用户管理, 每个应用系统一套账号和口令。如何为各应用系统提供统一的用户管理和身份认证服务, 是开发建设应用系统时必须考虑的一个共性的安全问题。

2网络安全的五层体系

狭义的网络信息安全, 仅涉及网络硬件、网络操作系统、网络中的应用程序。通过以上分析, 可以看出用户的安全性、应用程序所使用的数据的安全性等都是必须考虑的。表1是一个得到国际网络安全界广泛认可的五层网络系统安全体系理论。

1) 网络的安全性

网络安全问题的核心在于网络的使用是否得到控制:来源IP是否有权访问网络资源, 是否会对本网络系统造成危害、网络中传输的敏感信息是否会被窃听、篡改。

物理层信息安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击 (干扰等) 。

链路层的安全:保证通过网络链路传送的数据不被窃听。主要采用划分VLAN (局域网) 、通讯加密 (远程网) 等手段。

网络层的安全:保证网络只给授权的客户使用授权的服务;保证网络路由正确, 避免被拦截或监听;保证网络带宽。

用于解决网络安全性问题的产品主要有防火墙和VPN。防火墙判断来源IP, 拒绝危险或未经授权的IP数据。一般应在公司的内部网络和Internet之间配置防火墙产品。VPN主要解决的是公司内部的敏感关键数据能够安全地借助公共网络进行交换。

2) 系统的安全性

系统的安全性问题主要有两个:一是病毒、蠕虫、间谍软件对于网络的威胁;二是黑客对于网络的破坏和侵入。

多数病毒不仅直接感染计算机, 还能够在网络上复制。电子邮件、FTP、网页中的Java小程序和ActiveX控件, 甚至文档文件都能够携带病毒。网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。

黑客主要通过DoS使用户的系统瘫痪、或窃取数据、非法修改系统。一是窃取合法用户的口令, 用合法身份进行非法操作;二是利用网络操作系统的某些合法但有漏洞的操作指令。需要专门的系统风险评估工具, 来查找系统中可能存在的漏洞。

3) 用户的安全性

用户的安全性问题, 所要考虑的问题是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据?

首先要做的是应该对用户进行分组管理, 并且这种分组管理应该是针对安全性问题而考虑的分组。

其次应该考虑的是强有力的身份认证, 确保用户的密码不会被他人猜到。在大型的应用系统之中, 单一登录体系要比多重登录体系能够提供更大的系统安全性。

4) 应用程序的安全性

这其中涉及两个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。

5) 数据的安全性

数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态。

在数据的保存过程中, 机密的数据即使处于安全的空间, 也要对其进行加密处理, 以保证万一数据失窃, 偷盗者也读不懂其中的内容。还需要保证数据万一被篡改, 则能够被识别。

3集团信息安全建设的具体对策

在组织架构上, 应采用虚拟团队的模式, 成立了网络信息安全领导小组、安全工作小组和安全工作执行人员小组。分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障。安全工作小组同时负责网络上的最新安全信息, 以便使得企业的安全策略能够不断地更新和扩展。

在安全制度保障方面, 良好的网络信息安全保障离不开规范严谨的管理制度。通过制定《系统安全管理方案》、《数据安全规范管理办法》、《安全应急处置预案》、《密码安全管理办法》等一系列规范, 保障了网络信息安全工作的“有章可循, 有据可查”。

开发制定一个全面的安全策略, 实现良好的网络安全总是以一个能够起到作用的安全策略为开始的。集团的全体人员包括总经理在内, 都必须按照这个策略来执行。全面的安全策略包括了从指导员工如何建立可靠的密码到业务连续计划以及灾难恢复计划 (BCP和DRP) 。

另外, 还须采用全方位的信息安全技术保障, 并使用一系列先进的技术工具和手段来保障网络信息安全, 提出了一套全方位的信息安全解决方案, 具体包括:远程接入安全解决方案、边界安全解决方案、内网安全解决方案、数据中心安全解决方案。

3.1远程接入安全解决方案

集团拥有多个异地分支, 建立分支与总部之间的具有保密性的网络连接是十分必要的。此外, 集团的工作人员出差时也需要访问系统内部的一些信息资源。集团采用了一种全新的VPN技术——SSL VPN。SSL VPN安全网关旁路部署在网络内部, 要访问内部网络资源的移动和分支用户首先到SSL VPN上进行认证, SSL VPN网关根据认证结果分配相应权限, 实现对内部资源的访问控制。SSL VPN具有如下的安全性:

· 保密性 保证信息不泄漏给未经授权的人。SSL VPN传输的内容是经过加密的, SSL数据加密的安全性由加密算法来保证。SSL VPN通过设置不同级别的用户、权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、Radius机制等不同的方式。

· 完整性 防止信息被未经授权的篡改。把企业内部需要被授权外部访问的应用注册到 SSL VPN上, 这样对于GATEWAY来讲, 需要开通 443 这样的端口到SSL VPN即可, 而不需要开通所有内部的应用的端口, 如果有黑客发起攻击也只能到SSL VPN这里, 攻击不到内部的实际应用。

· 访问控制 保证信息及信息系统确实为授权使用者所用。对于SSL VPN要保护的后台应用, 可以为其设置不同的级别, 只有相应级别的用户才可以访问对应级别的资源, 保证了信息的可用性。SSL VPN重点在于保护敏感的数据, 在配合一定的身份认证方式的基础上, 不仅可以控制访问人员的权限, 还可以对每个访问、每笔交易、每个操作进行数字签名, 保证每笔数据的不可抵赖性和不可否认性, 为事后追踪提供了依据。

3.2边界安全解决方案

进行边界安全防护, 我们首先对集团的信息系统划分出不同的安全区域:内网业务区、数据中心区、业务伙伴连接区、互联网连接区、分支机构连接区, 然后提出以防火墙、入侵防御系统 (IPS) 和上网行为管理设备为支撑的边界安全解决方案:在系统互联网出口部署防火墙 (集成防病毒和网络安全监控模块) 和IPS设备, 同时通过防火墙和IPS将企业内部网、数据中心、互联网等安全区域分隔开, 并通过制定相应的安全规则, 以实现各区域不同级别、不同层次的安全防护。如图1所示。

· 防火墙 通过在网络边界建立相应的网络通信监控系统, 以监测、限制、更改跨越防火墙的数据流, 从而尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 从而达到保障计算机网络安全的目的。防火墙是最主流也是最重要的安全产品, 是边界安全解决方案的核心。它可以对整个网络进行区域分割, 提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击, 如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。防火墙可以保护脆弱的网络、控制对系统的非法访问、增强网络信息的保密性、记录和统计网络利用数据以及非法使用数据并对非法网络入侵进行报警提示等。

· 防病毒模块 通过在放火墙上开启防病毒模块, 可以在网关处阻止病毒、木马等威胁的传播, 保护网络内部用户免受侵害, 改变了原有被动等待病毒感染的防御模式, 实现网络病毒的主动防御, 切断病毒在网络边界传递的通道。

· 入侵防御 传统的安全解决方案中, 防火墙和入侵检测系统IDS (Intrusion Detection System) 已经被普遍接受, 但还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备, 不能充分地分析应用层协议数据中的攻击信号, 而IDS也不能阻挡检测到的攻击。因此, 即使在网络中已部署了防火墙、IDS等基础网络安全产品, IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果, 必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统IPS (Intrusion Prevention System ) 为代表的应用层安全设备, 作为防火墙的重要补充, 很好的解决了应用层防御的问题, 通过在线部署, IPS可以检测并直接阻断恶意流量。

· 上网行为管理设备 防火墙、入侵检测等网络安全保护对于防止外部入侵有不可替代的作用, 而对于内部泄密及职工的上网监控则显得无可奈何。为此, 将上网行为管理设备置于核心交换机与防火墙之间。该设备具有900万url数据库, 可以实现准确的网站分类访问控制;具有100余种应用协议数据库, 可以实时管理网络应用;同时它还具备细化的多通道带宽管理, 支持异常流量报警;它还支持关键字过滤, 可以全面监控email、BBS等。我们通过对在线用户状态、Web访问内容、外发信息、网络应用、带宽占用情况等进行实时监控, 根据用户、时间段、流量、应用等信息生成的各种统计报表和图表, 在上网行为管理设备上设置了不同的策略, 阻挡P2P应用, 释放网络带宽, 有效地解决了内部网络与互联网之间的安全使用和管理问题。

3.3内网安全解决方案

超过70%的安全事件是发生在内网的, 内网安全是网络安全建设关注的重点, 但由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因, 也是安全建设的难点。集团针对上述信息安全各个层面的主要问题都提出了相应的技术, 这些技术相互关联、相互配合, 形成完善的内网安全解决方案。

· 交换机安全特性实现网络自身安全保障 首先通过划分VLAN, 配合ACL进行访问控制, 其次, 集团选用了具有丰富安全功能的交换机作为内网的核心交换, 这些安全特性同时也是内网安全解决方案中很多功能实现的基础, 如: 接入控制技术——Port Security、接入安全技术——防IP伪装、防中间人攻击——STP Root / BPDU 保护、防ARP欺骗、DHCP server 保护、路由协议攻击防护能力。

· 防病毒软件 安装网络版的防病毒软件, 由病毒服务器定期通过Internet下载最新病毒定义文件, 并制定统一的策略, 使得客户端可以定期从病毒服务器下载安装新的病毒定义文件, 有效减少了病毒的影响;

· 系统安全补丁服务器 部署了微软的Microsoft Windows Server Update Services (WSUS) , 可以自动定期将集团内大量的Windows操作系统和Office、Exchange Server以及 SQL Server等应用的最新关键更新和安全更新自动进行部署。

· 邮件安全网关 垃圾邮件、病毒邮件的大量泛滥, 严重影响邮件系统的工作效率, 甚至危害到计算机的正常使用。集团配置了邮件安全网关系统, 为邮件用户提供屏蔽垃圾邮件、查杀电子邮件病毒 (包括附件和压缩文件) 和实现邮件内容过滤 (包括各种附件中的内容) 等功能, 有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击。

· 漏洞扫描 漏洞扫描系统是网络安全产品中不可缺少的一部分, 它能够预先评估和分析系统中存在的各种安全隐患。随着黑客入侵手段的日益复杂和通用系统不断发现安全缺陷, 预先评估和分析网络系统中存在的安全问题已经成为网络管理员的重要需求。目前, 漏洞扫描可以分为基于网络的扫描和基于主机的扫描这两种类型。集团使用专用漏洞扫描软件定期对系统进行漏洞扫描, 并生成报告提醒安全工作人员对存在漏洞的系统进行整改。

· 用户的访问控制 部署一个统一的用户认证服务器, 建立统一用户管理系统, 统一存储所有应用系统的用户认证信息, 而授权等操作则由各应用系统完成, 即统一存储、分布授权。部署了SSO服务器, 实现了单点登录功能。

· 安全审计 一个安全攻击事件可能是独立的, 也可能是一个较大规模协同攻击的一部分。如果没有一个集中的分析视角, 就可能低估某个安全攻击的真正威胁, 采取的安全措施也可能无法解决真正的问题。因此, 对系统所记录和存储的审计数据进行综合分析及处理至关重要。这些审计数据可能来自防火墙、路由器、入侵防御系统、主机系统、防病毒系统和桌面安全系统。对上述审计数据的统一和集中的分析将能帮助更好地管理安全事件, 从而描绘出整个系统当前安全情况的更清晰和准确的图画。同时, 通过集中管理, 一个企业可以最大程度地减少重复工作从而提高安全事件管理的效率。

3.4数据中心安全解决方案

作为数据交换最频繁、资源最密集的地方, 集团的数据中心出现任何安全防护上的疏漏必将导致不可估量的损失, 因此数据中心安全解决方案十分重要。

使用网络安全产品, 构建数据中心的三重保护:

1) 具有丰富安全特性的交换机构成数据中心网络的第一重保护;

2) 具有高性能检测引擎的IPS对网络报文做深度检测, 构成数据中心网络的第二重保护;

3) 凭借高性能硬件防火墙构成的数据中心网络边界, 对数据中心网络做第三重保护。

三重保护为数据中心网络提供了从链路层到应用层的多层防御体系。交换机提供的安全特性构成安全数据中心的网络基础, 提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上, 通过状态防火墙可以把安全信任网络和非安全网络进行隔离, 并提供对DDoS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力, 即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为, 也可以对分布在网络中的各种流量进行有效管理, 从而达到对网络应用层的保护。

建立数据备份和异地容灾方案, 建立了完善的数据备份体系, 保证数据崩溃时能够实现数据的完全恢复。同时在异地建立一个备份站点, 通过网络以异步的方式, 把主站点的数据备份到备份站点, 利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。

3.5设备选用举例

作为SonicWALL PRO系列互联网安全平台最高端的SonicWALL PRO 5060, 是一个高性能、多服务千兆网络安全平台, 可保护用户关键数据的安全, 使这些敏感数据免遭来自网络的动态及复杂攻击的威胁。PRO5060将高速网关防病毒、防间谍软件、入侵防护、内容过滤及防垃圾邮件能力与高级无线LAN特性、全状态包防火墙及IPSECVPN集成在一个易部署及管理的解决方案中。可提供10/100/1000铜缆/光纤端口两种版本的PRO 5060, 集成了各种联网与完全特性, 使其成为众多应用的理想选择。

针对集团网络的要求及网络中服务器的持续不间断需求, SonicWALL防火墙PRO5060是一个理想的方案, 它在防火墙总体工作模式上采用了NAT模式。在原网络环境下, 用户的Web、短信平台业务和数据录入等需要对外服务的服务器都是直接挂在外网, 难免会受到来自外网的攻击。同时, 原来员工的上网都是通过一个简单的路由器, 考虑到以后人数的增加和流量的增加, 原来的设备已不能满足今后的需求。其次用户对网关防病毒和IPS都有需求, 但专业的防病毒设备和IPS的价格又很高, 了解到SonicWALL防火墙具有这两个功能, 很快地选定了SonicW ALL。

在安装SonicWALL PRO 5060之后。通过将Web、短信平台业务和数据录入等服务器放在DMZ区, 可以制定针对Web、短信平台业务和数据录入等服务器的安全策略, 同时把所有需要上网的客户端都接入到防火墙上, 由防火墙来统一提供上网和制定访问策略。从而实现了内网的可管理性。此外, 通过在网络人口处进行第一次的病毒过滤和IPS检测, PRO5060强大的UTM 病毒过滤模块, 可在第一时间内清除蠕虫、木马、间谍等威胁, IPS可帮助用户检测并阻断掉一些非法的入侵, 防止数据被黑客窃取。同时, SonicWALL 5060防火墙免费赠送强大的内容过滤功能和网络防病毒功能, 能够更加有效地对Web服务器进行保护, 同时还可以进行针对web服务器的CGI攻击的防范以及可以强制客户端安装防毒软件。SonicWALL 5060防火墙的功能、UTM 的性能充分满足了集团网络的需求。从安装到目前的运行, SonicWALL的一些细腻化控制也得到认可。

3.6基于RRDTool的网络性能检测模块实现

RRDtool是Tobi Oetiker设计的一个基于Perl的功能强大的数据储存和图形生成工具, 最初设计目的是为流量统计分析工具MRTG (multi router traffic graph) 提供更好的数据存储性能和更强的图形生成功能。基于RRDtool实现系统, 不需要处理繁琐的数据存储及图形生成, 可以将精力集中在系统的其他方面, 从而最大限度地提高系统执行效率。

性能监测的目标是为了保证网络的可用性和高效性, 为用户提供高质量的网络通信服务。具体来说希望达到以下目标:①全局监视:及早发现故障苗头, 在影响服务之前就及时将其排除;②故障出现后的搜索监测:在用户发现故障并报告后去查找故障发生位置的性能状况;③数据分析:对历史性能数据进行分析以获得网络性能情况及预测发展趋势。网络中所有的部件 (包括网络设备和各服务器) , 都有可能成为网络通信的瓶颈, 对网络性能监测需要对网络的各项性能参数进行定量评价。

本系统将流量数据利用RRD数据库格式储存起来, 能够储存任何类型的数据, 数据的储存能力得到了增强, 可以提供更好的性能。RRD数据库采用十分紧凑的方式存放数据, 具有非常高的性能, 并采用循环的方式使用数据库, 确保数据库的大小不会无限制地增长, 减少了额外的维护。RRDtool采用十分易于掌握的语句格式来实现数据库的创建, 使系统的实现具有很高的效率。

网络性能检测模块实现模型如图2所示。

其中数据分析模块、性能报告生成模块、配置模块如下介绍。

1) 数据分析模块

利用RRDtool的fetch功能读取出RRD文件中所需要分析的数据, 并可指定数据起始时间和结束时间, 在此基础上建立起采集到的数据即特定参数的MIB值和性能指标间的量化关系。性能指标有丢包率、吞吐量、时延、误码率等。步骤包括数据查询表示、性能指标计算、阈值计算。性能数据查询表示是将读取出来的数据进行处理, 使得其满足性能指标计算要求的格式;性能指标计算是将读取出来的原始数据和历史数据进行比较, 计算出以小时、天、月、年时间段的数据流量, 再将结果保存到RRD数据库中供将来进一步分析。阈值计算将性能指标计算的结果和预先定义好的阈值进行比较, 并根据比较结果作出相应操作, 如报警等。

2) 性能报告生成模块

性能报告生成模块处于系统的最上层, 调用分析模块从RRD数据中取出需要分析的数据, 再利用RRD图形生成功能根据特定需要生成分析图形或生成报告, 将数据分析的结果以图形和报告的方式显示出来, 包括当前监测和历史监测的情况。所生成的性能报告均能以HTML的页面输出, 便于通过Web查看。采用RRDtool作为图形生成工具, 具有高效、灵活的特点, 并可根据特定需要生成图形。

3) 配置模块

系统提供界面友好, 使用方便的配置工具集合, 包括统计类型 (图形和报告) 、管理对象 (服务器、路由器、交换机、代理软件等) 、监测类型 (CPU负载、链路丢包率、网络吞吐量等) 、时间段设置、阈值控制、压力测试。用户可根据自己网络具体状况进行配置, 更好地对整个网络的性能进行监测。配置文件采用层次结构, 清晰、简洁, 避免了监测属性的重复, 具有有很强的灵活性, 特别适合于大型的网络环境。

4结论

本文以“技术和管理缺一不可的安全建设理念”为核心, 从组织架构的建设、安全制度的制定、先进安全技术的应用三个层面, 构建了一个多层次、全方位的立体防护体系。一方面针对局部关键问题点进行安全部署, 抵御最基础的安全威胁;另一方面, 在统一的安全策略基础上, 利用安全产品间的分工协作, 达到协同防御的目的。通过对所有设备的检查、隔离、修复、管理和监控, 使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理, 达到提升网络对各种新兴安全威胁的整体防御能力。

摘要：企业的业务发展越来越依赖于网络, 但同时也遭受着越来越多的网络安全威胁。为了保护企业网络信息系统免遭黑客、病毒、恶意软件等的破坏, 本着“技术和管理缺一不可”的安全建设理念, 从组织架构的建设、安全制度的制定、信息安全技术的实施三个方面, 建立起一套比较完整的信息化安全保障体系, 保障业务应用的正常运行。

关键词：五层安全模型,防火墙,入侵防护,上网行为管理

参考文献

[1]赵喆.计算机网络实用技术[M].北京:中国铁道出版社, 2008.

[2]吴际忠.企业网络系统的安全防护策略[J].教育技术导刊, 2009 (3) :163-164.

[3]王建军, 李世英.计算机网络安全问题的分析与探讨[J].赤峰学院学报:自然科学版, 2009, 25 (1) :48-49.

[4]王鹏, 苏仲波.浅析防火墙技术及攻防策略[J].赤峰学院学报:自然科学版, 2009, 25 (1) .22-24.

浅谈构建信息安全防护体系 篇9

关键词：构建,信息安全,防护体系

近年来, 信息技术广泛应用于军事、科技、文化和商业等各个领域, 信息已成为一种不可忽视的战略资源。传播、共享是信息的固有属性, 同时信息的传播又必须是可控的、共享是授权的。因此, 信息的安全性和可靠性越来越引起人们的高度重视。

1 确保信息传输安全

信息安全主要包括两个方面, 即信息的存储安全和信息的传输安全。信息存储安全就是指信息在静态存储状态下的安全, 如是否会被非授权调用等, 一般可通过设置访问权限、身份识别、局部隔离等措施来得以保证。针对“外部”访问、调用而言的访问控制技术是解决信息存储安全的主要途径。在网络中, 无论是调用指令, 还是信息反馈均是通过网络传输实现的, 所以网络信息传输上的安全就显得尤为重要。信息的传输安全主要是指信息在动态传输过程中的安全。为确保网络信息传输的安全, 必须做到:

一是防止网络信息的窃听。对网上传输的信息, 攻击者在网络的传输链路上通过物理或逻辑的手段就能对数据进行非法的截获与监听, 进而得用户或服务方的敏感信息。

二是防止用户身份的仿冒。对用户身份仿冒这一常见的网络攻击方式, 传统的对策一般采用身份认证方式防护, 但是, 用于用户身份认证的密码在登录时常常以明文的方式在网络上进行传输, 很容易被攻击者在网络上截获, 进而可以对用户的身份进行仿冒, 使身份认证机制被攻破。

三是防止网络信息的篡改。攻击者一旦进入网络, 就能篡改网络上信息内容 (增加、截去或改写) , 使用用户无法获得准确、有用的信息, 从而落入攻击者的陷阱。

四是防止网络信息的重发。“信息重发”的攻击方式是在截获网络上的密文信息后, 并不对其破译, 而是把这些数据包再次向有关服务器发送, 以实现恶意攻击的目的。

2 采取行之有效的安全防范措施

随着网络攻击手段的不断发展, 所有的网络安全措施都不能保证万无一失, 良好的安全措施只不过使被攻破的时间长一点而已。因此, 在网络安全防护过程中, 安全防护措施的制定具有一定的动态性, 应根据具体的环境与攻击手段的发展不断予以修正。基于网络安全的种种原因, 我们应从以下几个方面对网络进行防护:

一是采用备份来避免总体损失。备份是避免损失的有效途径。一旦出现服务器或终端用户被窃或重大的硬件故障, 只有通过应急备份, 才能恢复文件, 减少不必要的损失。我们可以为服务器配备一个存储内存大于该服务器磁盘容量的备份磁带, 利用服务器的及时备份功能, 对文件和数据进行备份。

二是预防病毒感染。预防病毒最好的办法就是禁止所有操作终端使用外来未加检测的各种软件。现在市面上的各种软件纷繁复杂, 盗版现象日趋严重, 盗版商为了自己的利益, 到处集成各种软件, 致使大部分盗版软件含有各种病毒, 各软件生产商为了保护自己的知识产权不受侵害, 在编制软件时, 都留有后门, 当某些条件得不到满足时, 驻留在程序中的病毒就会自动发作, 给用户造成不必要的损失。因此, 我们在使用各种软件时, 一定要使用正版软件厂商生产的, 且经过多种病毒监测程序测试通过的软件, 以防止病毒的危害。同时, 我们还应该在网络服务器和终端机上安装正版的防毒、杀毒软件并及时进行升级和更新, 利用杀毒软件的自动扫描功能, 对机器上的数据进行实时监测, 发现病毒立即清除。

三是防止无意的信息泄漏。在每台网络终端上安装防辐射设备, 并设置屏幕消隐保护程序, 使得只有通过口令才能看到正在进行的工作, 这样用户通过控制时间间隔, 对屏幕消隐进行控制, 对最常见的窥探威胁具有预防作用。另外, 网络打印机也是信息泄漏的重要途径。当使用网络打印机时, 应将打印机放置在一个控制严密的房间里, 但是, 不管对打印机的防护创建了什么样的体制, 它都有可能失效, 因此, 在使用网络打印机时, 操作人员一定要具有强烈的安全意识。重视信息垃圾的处理, 防止信息垃圾的泄密。敏感信息在处理前都应使用碎纸机进行粉碎。密级较高的信息不应存放在硬盘上, 应该将该信息存储光盘上并将存储盘保存在安全保险的地方。

四是使用网络操作系统的安全功能。各种网络系统都有许多安全功能, 在使用一种网络系统时, 也要关注其他网络的安全功能, 使用过程中, 确保所有可供使用的网络操作系统的安全功能均打开。所使用的口令一定要采用不易忘记、不受猜测和不易受到蛮力攻击而且字长超过8个字符的口令, 并为多次访问提供最多不超过3次的不正确尝试次数。利用网络安全监视工具监测网络安全脆弱性, 对检测到的各种信息每天进行审计跟踪, 并不断完善各种安全规则。

3 增强操作人员的安全保密意识

黑客之所以能在网上频频得逞, 与人们防范意识淡薄有很大关系。各单位应定期对网络管理员进行培训, 提高其网络管理水平。网络安全并不仅仅是那些有重要数据的用户和管理员的事, 对每个普通用户都要严格要求, 否则普通用户将会成为危害网络安全的一个跳板, 黑客、病毒可以通过普通用户终端进入到网络中, 从而对整个网络和系统的安全带来威胁。因此, 让每一个用户都增强安全意识, 进行安全操作, 是实现网络安全的根本途径。同时, 要做好网络系统的安全保密工作, 加强网络操作人员的安全保密教育, 提高其安全保密意识。尤其是要增强所有终端操作人员的计算机安全防范意识。网络终端是网络中最基本的单元, 终端操作人员又是这单元的重要组成部分, 如果不及时对操作人员进行安全防范教育, 那么我们所构建的安全防护体系就会功亏一篑。

4 建立行之有效的安全管理机制

安全问题不仅仅是技术性的问题, 还与道德、行业管理以及用户的行为紧密地联系在一起。管理工作是安全系统的关键, 设备可以很快被淘汰, 一些技术也很快会落后, 但是, 良好的管理

参考文献

[1]徐超, 葛红美.《delphi程序设计》课程教学方法的改革与实践[J].和田师范专科学校学报, 2008.

[2]龚建华, 刘惠安.在高级语言程序设计课程中融入软件工程思想的教学改革思路[J].贵州教育学院学报, 2009, 20 (3) :31-33.

[3]陈渝, 曾庆森, 张红.基于Web Quest的“C程序设计”实验教学改革[J].重庆工学院学报, 2008.

(上接第131页)

肯定会拥有长期存在的价值。作为一个系统, 安全是动态的、发展的, 这就更需要有完善的管理来适应这种变化。实践表明, 纯技术难以防范原始的攻击方式, 根本的解决方法是严格的管理和各种制度的落实。

公司信息安全体系构建 篇10

我国金融信息化建设的不断深入, 促使金融行业对信息资源的依赖程度不断提高, 虽然有助于金融服务效益和市场竞争实力的强化, 但与此同时也衍生了安全隐患, 而且我国金融机构出现的几起信息风险事件已经为我们敲响了警钟, 故构建并完善金融信息系统安全保障体系迫在眉睫。下面, 笔者就其现实障碍和构建策略加以研究。

1 金融信息系统安全保障体系的重要性

就当下而言, 金融是现代经济的枢纽与核心, 涉及了社会生活生产的方方面面, 而这必然离不开金融信息系统的有力支持和帮助, 可以说在信息时代下, 金融行业对其的依赖会与日俱增, 那么信息安全的重要性便不言而喻, 以至于关乎金融机构的生死存亡, 金融市场的稳定发展, 以及经济、社会和国家安全, 毕竟银行、基金、证券、保险等金融机构的信息数据直接相连着现实财富。如早在2003年, 1200多家欧美银行和保险公司便称, 其信用卡号码和客户密码等重要数据可能已被黑客窃取, 而且据统计, 2013年全球金融行业因网络攻击、电脑病毒、设备故障、系统异常、管理不善等多种因素引发的信息安全时间同比增长高达170%[1]。足以见得构建并完善金融信息系统安全保障体系必要而迫切。

2 构建金融信息系统安全保障体系的现实问题

虽然金融行业已明显意识到信息安全的重要性, 但在构建安全保障体系的过程中, 依旧存在着诸多阻碍和不足。如电子支付、手机银行、网上银行等金融新产品的出现和应用, 增大了黑客入侵、网络攻击、电脑病毒、内部人员作案等公共网络安全风险;因信息系统安全软硬件配备缺乏预见性、系统性和自主性, 灾备中心平台尚不成熟, 以及系统内外网隔离存在漏洞, 致使信息安全技术和产品效用较低, 进而增大了风险几率; 受POS、ATM、网上银行等核心业务的迅猛发展和数据大量集中现象的普遍存在, 致使信息系统在规划、建设、运行和管理中不可避免的出现各种风险;同时信息安全风险测试和评估难以真正落实, 应急处置规程复杂而不易操作, 以及金融信息安全法律保障的缺失, 均在不同程度上制约着金融信息安全保障体系的进一步完善。

3 金融信息系统安全保障体系构建的策略研究

3.1 以合理的构建目标为指导

为切实推进安全保障体系的顺利构建和完善, 就必须将构建目标合理化和明确化, 即基本实现物理安全、信息设备安全、网络安全、信息内容安全、数据安全以及公共信息安全, 最终实现信息机密、可用而完整, 业务可持续发展, 信息系统主体和资源可控。但在具体构建时, 必须符合信息安全的相关法律、政策、标准、指南和细则, 如必须遵守国家和部门推行的法律法规, 符合金融国家标准、标准体系等要求;必须兼顾金融机构、客户、管理部门等多方利益, 以最大限度的提升体系的安全水平;必须对信息系统的薄弱环节、潜在风险、资产价值、防护措施等加以分析, 评估出现风险事件的几率和损失, 并制定管理措施, 以此提升体系的整体水平[2];必须做到同步跟进内外环境变化, 以期通过体系的不断调整和改进控制风险;必须认真遵循自顶向下、集中管理的基本原则, 对方针政策、安全策略、技术防控、操作流程以及人员管理等加以全面管理, 以此有效降低信息系统安全风险。

3.2 以科学的体系架构为基础

经对金融机构信息系统建设和应用现状的分析, 并结合安全保障体系的构建目标, 将其体系架构划分为了核心信息模块、信息交流模块、内部系统模块、分支节点模块以及管理模块。其中核心模块主要是金融机构开展活动的基础, 既要求不能随意干扰业务操作, 也有着极高的安全性和封闭性要求, 其主要通过深度检测违反安全策略的网络行为及时报警, 并在防护系统的作用下限制和消除入侵攻击;交流模块主要负责与外部进行业务交流, 因其与公网直接相连且较为敏感, 故对业务连续性和区域安全性要求极高, 考虑到其易遭受内部威胁, 故需要在全网部署完善的病毒防御系统, 并经专线连接外联单位;内部系统模块则通常为OA系统提供服务, 除了借助全网病毒防御系统用于维护办公和协同系统安全外, 还需设置防火墙[3];对于分支节点模块, 则需加以安全访问控制, 以期通过节点强制执行和集中管理解决网络威胁问题;而管理模块则强调从技术和管理两大方面加强控制, 但需要循序渐进的分布实施。

3.3 以可靠的安全技术为支撑

安全技术是彰显金融信息系统安全保障体系效用的重要支撑和具体措施, 常用的安全技术和安全产品有:桌面安全系统、硬件加密机、网络防火墙、病毒防范工具、身边识别技术、密钥管理、VPN/IP保密机、风险评估以及信息审计工具等。而对于金融信息系统而言, 必须具备下述几项功能:身份识别是最基本的安全工具, 即用户在请求系统服务时必须通过身份验证, 如Password和User ID输入;为避免合法用户非法使用信息资源或防止非法用户进入系统必须借助存取权限技术加以有效控制;为确保信息来源可靠, 可基于RSA公约加密算法等数字签名技术用于准确判断信息只能属于某数据源;为保证数据完整, 可通过设置消息摘要等控制机制确定信息是否存在非法修改, 同时结合审计追踪技术查明原因, 以防止遭受虚假信息欺骗; 同时还应充分发挥病毒检测防御软件的优势, 其中应通过入侵检测、非法外联、漏洞扫描、补丁分发等安全技术对重点区域加以分割管理, 以此提高信息安全防护水平。

3.4 以完善的运维管理为保障

金融信息系统的安全管理应贯穿于系统运行的每个环节, 这就要求金融机构结合相关规定和自身实际, 对信息系统加以规范化和标准化管理, 如加强教育宣传, 督促内部人员强化金融信息保密意识, 根据安全保障体系框架设立专门的机构岗位, 并对设备、软件、网络、存储媒介、人事、场地、密钥和密码、审计等主要信息安全管理内容加以具体化和规范化, 如要求聘用的信息安全管理人员必须掌握一定的信息管理、金融业务、金融经济与管理等专业知识和技术;业务数据必须进行分布式备份, 分支机构和数据中心的服务器必须设有磁带库, 且存储规范而及时, 重要数据要采取双份异地存数;物理安全管理必须符合防尘、防雷、阻燃、降噪、防盗等要求, 通信线路必须穿线深埋、标记明显, 以防无意损坏;操作系统、应用系统必须安全可靠无隐患, 严禁应用Terminal Services、Task Scheduler等服务等。

4 结束语

总之, 金融信息系统安全保障体系的构建既是金融信息化发展的必然趋势, 更是其内在要求, 毕竟其信息资源与金融机构生存、行业市场稳定乃至国家利益密切相关, 因此我们必须全面分析金融信息系统安全的影响因素和主要威胁, 以此找准切入点加以有效防范, 进而形成一个多层次、全方位的安全保障体系, 推动金融信息化安全、高效、稳定发展。

摘要：随着金融信息系统规模的不断壮大和体系的日趋完善, 信息资源无疑为金融行业的高效服务和快速发展带来了便捷和机遇, 但也在无形中增大了潜在风险, 毕竟信息系统的安全性直接关乎金融行业的稳定性。对此, 本文从金融信息系统安全保障体系的重要性出发, 结合其面临的安全问题, 就体系的构建策略进行了研究。

关键词：金融信息系统,安全保障体系,金融信息化

参考文献

[1]祝慧洁.金融信息系统安全保障体系构建研究[J].中小企业管理与科技 (上旬刊) , 2012 (02) .

[2]杨春秀.当前金融信息系统的安全挑战及其对策[J].金融科技时代, 2011 (15) .

网络信息安全的保障体系构建初探 篇11

随着“互联网+”等现代信息技术的发展,新的网络时代已经到来。网络信息安全不仅关系到个人信息安全,更关系到国家安全稳定。所以网络信息安全是一个复杂的综合性问题,高速发展的信息技术为网络安全管理增加了难度,引发了新的网络安全问题,如何有效保障网络信息安全成为值得深思的重要问题。

2 网络信息安全的内涵

网络信息安全是一个关系到国家安全和主权、社会稳定的重要问题。从内涵上来讲,网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。它主要是指要保护网络环境下系统的硬件、软件和相关数据的安全,让网络系统不能遭到破坏或泄露数据信息,使系统能够正常可靠运行,不停止网络服务。

3 网络信息安全的特征

3.1 保密性

网络信息安全的主要特征就是其具有保密性。网络信息需要按照既定的要求,传递过程中不得泄漏给非授权的个人、实体,或提供给其他人员利用,也就是强调有用的信息只能被授权对象所使用,非授权个人或实体无权使用。

3.2 统一性

又称为“网络信息的完整性”。它主要是指信息在传输、交换、存储和处理过程中具有保持非修改、非破坏和非丢失的特性,即保持信息原样性,能正确生成、存储、传输信息,这是最基本的安全特征。要求数据结构和当前值严格保持一致和统一,预防未经授权的人擅自修改。

3.3 肯定性

网络信息行为人发出信息后将无法否认自己曾经发出的信息,也无法否认接收方接收的信息是否与自己发出信息一致,故所有参与者都不可能否认或抵赖其真实身份,以及提供信息的原样性和完成的操作。网络信息安全的肯定性可以利用数字签字、数字邮戳、数字凭证和认证中心等技术和手段维护网络系统安全。

4 网络信息安全保障体系

网络信息安全保障体系模式建设主要着眼在技术、立法和管理三个方面。技术是基础,立法是规范,管理是提升,这三个方面互相联系,互相制约,构成有机整体,如图1所示。因为信息安全本身就是一个需要综合治理的问题,仅靠一个方面并不能解决实际问题。

4.1 技术方面

技术是网络信息安全保障体系的基础。网络病毒与反病毒、侵害与反侵害的斗争,主要是体现在技术方面。所以抓好信息安全的技术环节,将会有效遏制网络犯罪。

4.1.1 网络认证技术

由于网络用户的不断增加,有些别有用心的人通过黑客技术进行信息盗取,危害网络环境。认证是防止主动攻击的重要技术,目的就是检查网络信息的统一性,检查信息发送者信息的真伪。目前主要的认证技术有身份认证、消息认证以及数字签名等。

4.1.2 网络防火墙技术

网络防火墙技术是用来阻挡外部不安全因素影响内部网络的屏障,外界网络访问不经过防火墙的验证将无法连接到用户终端。常见的防火墙技术有基于代理服务技术、包过滤技术等,这些技术可以防止外部网络对内部网络中重要信息的非授权访问,有效提升网络的安全性。

4.1.3 网络信息加密技术

网络信息加密技术主要是在网络上信息传输时,在发送端对信息进行加密,利用一定的加密算法,将明文转换成密文,再在信息的接收端对信息进行解密还原,这样就能够阻止非法用户获得和截取原始数据,从而确保网络信息的保密性。

4.2 立法方面

4.2.1 建立网络信息安全总法

总法主要体现在建立网络信息安全管理中主体、责任、义务等方面,主要阐述总法的目标和原则,明确网络中各个主体的权利及义务,建立网站身份认证,实施网络后台实名制,保护网络主体的隐私权,推进网络信息保密制度,完善行政机关对网络信息安全的监管程序和制度以及规定具体的诉讼救济程序等。

4.2.2 建立网络信息安全单行法

鉴于网络社会更新发展速度快,而规范立法滞后的特点,在总法下,可建立专门保护网络商业信息安全以及网络个人信息安全的单行法。例如现可以通过立法保障电子支付等各个方面的网络信息安全问题,减少电子商务、通信服务的障碍,保障个人的信息安全,减少违法犯罪。

4.2.3 完善其他法律中有关信息安全的规定

在总法或单行法未出台或者未规定前,新出现的网络信息安全问题可以通过修改现有法律来规范,及时处理网络发展、网络监管和网络服务中存在的问题,完善网络信息安全的相关条款,这也是网络信息安全立法的一部分。

4.3 管理层面

网络信息安全不仅涉及到技术和立法,重要的是管理。要通过加强管理来提升重要信息的安全性。

4.3.1 建立权威性的管理机构

针对国家面临的重大信息安全事件,统筹规划,做出决断。2014年“中央网络安全和信息化领导小组”在北京成立,说明国家高度重视网络安全和信息化工作。同时要求工业和信息化部、公安部做好网络安全及相关信息安全管理工作,维护国家信息安全,监督处理网络安全舆情,建设国家信息安全保障体系。

4.3.2 明确具体执法部门职责

在网络安全执法过程中不能出现主体不清的现象。虽然《计算机信息系统安全保护条例》中明确规定由公安部负责全国计算机信息系统安全保护工作,而国家安全部、国家保密局等其他部门协助做好信息系统安全保护的有关工作,但是这些规定没有细化明确具体责任,容易造成在具体实施过程中出现职责冲突的情况。

4.3.3 制定网络安全管理制度

一是明确网络信息系统中管理人员的权限、职责,制定人员管理制度,二是完善使用网络使用权限、身份认证、防火墙、数据备份等基本安全措施,制定计算机信息系统管理制度。

总而言之,“没有网络安全就没有国家安全,没有信息化就没有现代化”,在新环境下网络安全形势日益严峻,为了国家安全和社会稳定,我们要提高对网络信息安全的重视程度,增强网络信息的安全意识,重视网络信息安全技术应用,建立健全完善法律法规,加强信息安全管理,保障网络信息的安全。

参考文献

[1]李飞.加强网络信息安全的技术保障[J].信息与电脑(理论版),2015(7).

[2]陈世明.网络信息安全问题及对策分析[J].信息系统工程,2013(2).