時間:2023-10-12 09:36:38
引言:易發(fā)表網憑借豐富的文秘實踐,為您精心挑選了九篇互聯(lián)網信息安全評估范例。如需獲取更多原創(chuàng)內容,可隨時聯(lián)系我們的客服老師。
第一條 為加強對具有輿論屬性或社會動員能力的互聯(lián)網信息服務和相關新技術新應用的安全管理,規(guī)范互聯(lián)網信息服務活動,維護國家安全、社會秩序和公共利益,根據《中華人民共和國網絡安全法》《互聯(lián)網信息服務管理辦法》《計算機信息網絡國際聯(lián)網安全保護管理辦法》,制訂本規(guī)定。
第二條 本規(guī)定所稱具有輿論屬性或社會動員能力的互聯(lián)網信息服務,包括下列情形:
(一)開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網絡直播、信息分享、小程序等信息服務或者附設相應功能;
(二)開辦提供公眾輿論表達渠道或者具有發(fā)動社會公眾從事特定活動能力的其他互聯(lián)網信息服務。
第三條 互聯(lián)網信息服務提供者具有下列情形之一的,應當依照本規(guī)定自行開展安全評估,并對評估結果負責:
(一)具有輿論屬性或社會動員能力的信息服務上線,或者信息服務增設相關功能的;
(二)使用新技術新應用,使信息服務的功能屬性、技術實現方式、基礎資源配置等發(fā)生重大變更,導致輿論屬性或者社會動員能力發(fā)生重大變化的;
(三)用戶規(guī)模顯著增加,導致信息服務的輿論屬性或者社會動員能力發(fā)生重大變化的;
(四)發(fā)生違法有害信息傳播擴散,表明已有安全措施難以有效防控網絡安全風險的;
(五)地市級以上網信部門或者公安機關書面通知需要進行安全評估的其他情形。
第四條 互聯(lián)網信息服務提供者可以自行實施安全評估,也可以委托第三方安全評估機構實施。
第五條 互聯(lián)網信息服務提供者開展安全評估,應當對信息服務和新技術新應用的合法性,落實法律、行政法規(guī)、部門規(guī)章和標準規(guī)定的安全措施的有效性,防控安全風險的有效性等情況進行全面評估,并重點評估下列內容:
(一)確定與所提供服務相適應的安全管理負責人、信息審核人員或者建立安全管理機構的情況;
(二)用戶真實身份核驗以及注冊信息留存措施;
(三)對用戶的賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬件特征等日志信息,以及用戶信息記錄的留存措施;
(四)對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識,信息、轉發(fā)、評論和通訊群組等服務功能中違法有害信息的防范處置和有關記錄保存措施;
(五)個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術措施;
(六)建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關投訴和舉報的情況;
(七)建立為網信部門依法履行互聯(lián)網信息服務監(jiān)督管理職責提供技術、數據支持和協(xié)助的工作機制的情況;
(八)建立為公安機關、國家安全機關依法維護國家安全和查處違法犯罪提供技術、數據支持和協(xié)助的工作機制的情況。
第六條 互聯(lián)網信息服務提供者在安全評估中發(fā)現存在安全隱患的,應當及時整改,直至消除相關安全隱患。
經過安全評估,符合法律、行政法規(guī)、部門規(guī)章和標準的,應當形成安全評估報告。安全評估報告應當包括下列內容:
(一)互聯(lián)網信息服務的功能、服務范圍、軟硬件設施、部署位置等基本情況和相關證照獲取情況;
(二)安全管理制度和技術措施落實情況及風險防控效果;
(三)安全評估結論;
(四)其他應當說明的相關情況。
第七條 互聯(lián)網信息服務提供者應當將安全評估報告通過全國互聯(lián)網安全管理服務平臺提交所在地地市級以上網信部門和公安機關。
具有本規(guī)定第三條第一項、第二項情形的,互聯(lián)網信息服務提供者應當在信息服務、新技術新應用上線或者功能增設前提交安全評估報告;具有本規(guī)定第三條第三、四、五項情形的,應當自相關情形發(fā)生之日起30個工作日內提交安全評估報告。
第八條 地市級以上網信部門和公安機關應當依據各自職責對安全評估報告進行書面審查。
發(fā)現安全評估報告內容、項目缺失,或者安全評估方法明顯不當的,應當責令互聯(lián)網信息服務提供者限期重新評估。
發(fā)現安全評估報告內容不清的,可以責令互聯(lián)網信息服務提供者補充說明。
第九條 網信部門和公安機關根據對安全評估報告的書面審查情況,認為有必要的,應當依據各自職責對互聯(lián)網信息服務提供者開展現場檢查。
網信部門和公安機關開展現場檢查原則上應當聯(lián)合實施,不得干擾互聯(lián)網信息服務提供者正常的業(yè)務活動。
第十條 對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的互聯(lián)網信息服務,省級以上網信部門和公安機關應當組織專家進行評審,必要時可以會同屬地相關部門開展現場檢查。
第十一條 網信部門和公安機關開展現場檢查,應當依照有關法律、行政法規(guī)、部門規(guī)章的規(guī)定進行。
第十二條 網信部門和公安機關應當建立監(jiān)測管理制度,加強網絡安全風險管理,督促互聯(lián)網信息服務提供者依法履行網絡安全義務。
發(fā)現具有輿論屬性或社會動員能力的互聯(lián)網信息服務提供者未按本規(guī)定開展安全評估的,網信部門和公安機關應當通知其按本規(guī)定開展安全評估。
第十三條 網信部門和公安機關發(fā)現具有輿論屬性或社會動員能力的互聯(lián)網信息服務提供者拒不按照本規(guī)定開展安全評估的,應當通過全國互聯(lián)網安全管理服務平臺向公眾提示該互聯(lián)網信息服務存在安全風險,并依照各自職責對該互聯(lián)網信息服務實施監(jiān)督檢查,發(fā)現存在違法行為的,應當依法處理。
第十四條 網信部門統(tǒng)籌協(xié)調具有輿論屬性或社會動員能力的互聯(lián)網信息服務安全評估工作,公安機關的安全評估工作情況定期通報網信部門。
第十五條 網信部門、公安機關及其工作人員對在履行職責中知悉的國家秘密、商業(yè)秘密和個人信息應當嚴格保密,不得泄露、出售或者非法向他人提供。
為加強我省政府類互聯(lián)網站的安全管理,確保網站健康有序發(fā)展,現就加強我省政府類互聯(lián)網站安全管理工作通知如下:
一、要高度重視網站安全管理工作
各級各單位要高度重視信息安全工作,把信息安全放到至關重要的位置上,切實加強本單位互聯(lián)網站的安全管理,正確處理好安全與發(fā)展的關系,按照以發(fā)展求安全、以安全保發(fā)展的信息化建設根本要求,堅持一手抓好互聯(lián)網站的建設,一手抓好互聯(lián)網站的安全保障。一要嚴格按照“誰主管、誰負責,誰使用、誰負責”的原則,建立互聯(lián)網站安全管理工作小組,由單位分管領導任組長,并確定本單位負責互聯(lián)網站安全管理工作的主要責任部門以及部門主要責任人,逐級簽訂網絡與信息安全責任狀,將互聯(lián)網站安全管理工作分解到具體部門及具體人員。領導小組名單應報當地公安機關備案。二要嚴格網站接入管理。市、縣(區(qū))政府類互聯(lián)網站開通前,應報設區(qū)市公安局備案,省直單位應報省公安廳公共信息網絡安全監(jiān)察部門備案,并由省網絡與信息安全測評中心進行安全評估。評估合格后,方可接入互聯(lián)網。之前已經開通的政府類互聯(lián)網站,應于本通知下發(fā)后一個月內,向公安機關補辦備案手續(xù),并向省網絡與信息安全測評中心申請開展安全評估。評估不合格不得投入使用。托管在省外的政府類互聯(lián)網站應在年底前移回省內,并在移回后一個月內,及時向公安機關備案,并向省網絡與信息安全測評中心申請開展安全評估。評估不合格不得投入使用。三要加強信息管理。由專人負責對擬上網的信息進行審核,統(tǒng)一信息出口,未經審核批準的信息不得上網。要指定專門人員對網站日常信息進行監(jiān)控及安全技術維護。
二、要建立健全網站安全管理制度
各級各單位要將建立互聯(lián)網站安全管理制度作為本單位信息安全規(guī)范化建設的一項重要內容,依據國家相關法律法規(guī)及公安機關等信息安全主管部門的相關要求,建立健全安全管理制度。一要建立政府類網站計算機房人員出入管理登記等管理制度。二要建立操作權限管理制度,明確互聯(lián)網站安全負責人、安全管理員、系統(tǒng)管理員、信息員等的權限和操作范圍。三要建立操作人員密碼管理制度,定期修改管理密碼。四要建立計算機病毒防治制度,定期進行病毒檢查。用介質交換數據必須進行病毒預檢,防止病毒破壞系統(tǒng)和數據。要建立網絡安全漏洞檢測和系統(tǒng)升級管理制度,及時檢測發(fā)現漏洞,下載安裝系統(tǒng)補丁。五要制定網絡與信息應急處置預案,完善應急措施,有效應對各種突發(fā)事件。
三、要落實網站安全技術措施
各級各單位要根據公安部《互聯(lián)網安全保護技術措施規(guī)定》,完善互聯(lián)網站的安全技術措施。一要建立重要數據庫和系統(tǒng)主要設備的冗災備份措施。二要落實防范計算機病毒、網絡入侵和攻擊破壞的技術措施。三要建立防范網站、網頁被篡改以及自動恢復的技術措施。四是提供交互式欄目等服務的網站,必須具備記錄用戶注冊信息,記錄并留存的信息內容及時間。五是開辦電子郵件和網上短信服務的網站,要建立防范和清除以群發(fā)方式發(fā)送偽造、隱匿信息發(fā)送者真實標記的技術措施。
一、互聯(lián)網金融時代,金融信息安全面臨的主要挑戰(zhàn)
互聯(lián)網金融信息安全不僅面臨著互聯(lián)網自身存在的安全風險,還面臨著金融業(yè)務新技術與新形勢的挑戰(zhàn),后者也為互聯(lián)網金融的發(fā)展提供了諸多發(fā)展障礙。1、互聯(lián)網金融信息安全保障體系的建設速度滯后于互聯(lián)網金融業(yè)務的發(fā)展速度。由于互聯(lián)網技術的不斷創(chuàng)新與發(fā)展,為金融業(yè)務提供了全新的發(fā)展平臺與端口,眾多理財、保險類互聯(lián)網金融業(yè)務乘著互聯(lián)網技術的發(fā)展態(tài)勢不斷涌出,在相關的金融信息安全保障體系尚未建立與完善之際,這種互聯(lián)網金融業(yè)務的發(fā)展無疑是一種如履薄冰的繁榮。網絡病毒的侵襲使得這種互聯(lián)網金融業(yè)務的安全運行成為了一種偶然,如果不能及時構建嚴密的金融信息安全保障體系,那么互聯(lián)網金融的發(fā)展則會變成無稽之談。2、層出不窮的互聯(lián)技術應用是當前金融信息安全面臨的最大挑戰(zhàn)。由于第三方支付平臺的出現以及大數據等新興分析技術的興起,打破了傳統(tǒng)金融業(yè)務的運行機制,也為消費者的金融信息安全增添了更多威脅。互聯(lián)技術應用已經成為互聯(lián)網金融發(fā)展的重要支撐,因此必須為其制定出相應的安全管理策略,來保證其安全運行。3、網絡安全防控是互聯(lián)網金融信息安全防范的難點。互聯(lián)網金融發(fā)展面臨的另一重要安全隱患便是互聯(lián)網自身存在的安全漏洞。互聯(lián)網由于其自身的開放性和匿名性特點,為許多網上金融犯罪提供了便利,這也是互聯(lián)網金融信息安全防范的重難點。要想依附互聯(lián)網這一平臺展開相關金融業(yè)務,必須在網絡安全防控方面有所作為。
二、相關對策建議
1、完善頂層設計,盡快構建適應互聯(lián)網金融發(fā)展需要的金融信息安全保障體系。互聯(lián)網金融的安全平穩(wěn)運行離不開相關保障體系的保駕護航,我國當前已經存在的金融信息安全保障體系主要是根據傳統(tǒng)金融信息安全問題而建立的,這顯然已經不適應當前發(fā)展得日新月異的互聯(lián)網金融的信息安全需要。所以,國家必須做好相關頂層設計,在安全保障技術方面提供最嚴密、最尖端的技術支持,加快金融信息安全方面的人才建設,在對當前金融信息安全保障體系進行完善的前提下,時刻關注互聯(lián)網金融業(yè)務的整體發(fā)展態(tài)勢,以實現金融信息安全問題的有效預測與防范。2、加快安全網絡體系建設,最大限度提升金融網絡防御攻擊的水平。作為互聯(lián)網金融業(yè)務發(fā)展依附的主要平臺,互聯(lián)網有必要進一步減少自身存在的安全隱患,從而為金融網絡的自身防御提供高安全系數的保障。互聯(lián)網可基于大數據分析,對于不同的金融業(yè)務平臺進行相關數據分析,為互聯(lián)網金融業(yè)務所的平臺進行信用評估,從而為消費者進行選擇時提供相關參考性意見。3、加強對新生金融實體從事互聯(lián)網金融業(yè)務的信息安全保障。新生金融實體開通互聯(lián)網金融業(yè)務時,在很大程度上會存在信息安全保障不到位的現象,因此,國家需要對這些新生互聯(lián)網金融業(yè)務進行相關審批,制定出相關的考核檢驗標準,考核檢驗新生互聯(lián)網金融業(yè)務的整體發(fā)展實力以及相關安全保障體系的建設與投入,嚴格遵守為消費者負責的態(tài)度,為我國的互聯(lián)網金融發(fā)展的大環(huán)境保駕護航。4、積極探索適合監(jiān)管互聯(lián)網金融的金融信息安全防范措施。由于我國互聯(lián)網金融的發(fā)展處在發(fā)展初期,因此缺乏相關管理經驗,所以,我國可以借助國外先進互聯(lián)網金融信息安全管理經驗,對我國的互聯(lián)網金融信息安全保障體系建設提供相應的支持。還可以展開國際互聯(lián)網金融信息安全管理合作,因為互聯(lián)網金融是面向世界各國的業(yè)務,單純依靠一個國家的力量無法對涉及國際金融信息安全的問題實現有效處理。
三、結語
近年來,國信辦組織了幾項信息安全試點,遍及全國的近三十余家試點單位成為安全探索先行者。當通過一年多的努力,為中國信息安全前行之路成功點燃一簇簇“星火”的時候,
他們坦然面對記者說出了這背后的故事。
國稅總局在風險評估實踐中總結出的差距分析法
有句話是這么說的:道路是什么,道路是人在沒有路的地方用腳踩出來的。
人生的道路是這樣,信息安全之路也是這樣。當安全威脅成為信息化進程最大阻礙的時候,如何踩出一條網絡信息安全之路,就成為政府主管部門思考的問題。
2006年,為貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文件),形成與國際標準相銜接的中國特色的信息安全標準體系,以更好應對未來日益嚴峻的信息安全威脅,國務院信息化工作辦公室會同相關部門,組織了三項信息安全試點,包括:電子政務信息安全試點、信息安全風險評估試點、信息安全管理標準應用試點。總共有三十余家試點單位參加了相關試點工作。
因為涉及國家信息安全未來標準和技術道路的探索,所有的試點單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作?它們的先行又為我國信息安全事業(yè)踏出什么樣的實踐之路?近日,在國信辦召開的全國地方信息安全處長會議間歇,記者走近本次試點工作六個優(yōu)秀試點單位代表,揭開了一直罩在這些試點單位頭上那層神秘的面紗,看到了他們的努力和汗水,以及試點工作探*索出來的寶貴經驗。政務馳入安全互聯(lián)網模式
試點方向:電子政務信息安全
訪談人物:河南省濟源市信息辦副主任焦依平
電子政務是國家信息化的重中之重,而信息安全又是電子政務順利完成的重中之重。
為貫徹落實中辦發(fā)27號文件精神,研究解決電子政務信息安全建設和管理中的一些共性問題,探索電子政務信息安全保障方法,國信辦會同國家保密局、國家密碼管理局、公安部十一局,從2005年10月開始,在廣東、河南、天津、重慶4個省市開展了電子政務信息安全試點。
這4個試點具體方向各有不同,其中河南濟源市探索的方向是如何基于互聯(lián)網開展電子政務建設、保障信息安全問題。“我們按照‘保安全,促應用’的思路,構建了基于互聯(lián)網的電子政務信息安全保障體系,探索出了一條低成本建設電子政務的新路子。”焦依平現在談起試點,依然抑制不住激動的心情。
焦依平介紹說,濟源市通信光纖現已覆蓋到村,政務部門全部接入了互聯(lián)網,但是統(tǒng)計下來,濟源市政務信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網,顯然投入和效益不能平衡,這也與電子政務建設的初衷相違背。為此,濟源市按照國信辦和河南省信息辦的要求,不拉專線,完全基于互聯(lián)網,開展電子政務建設。
濟源市試點系統(tǒng)建設內容包括以下幾項:一是基于互聯(lián)網建設連接全市所有黨政部門和鄉(xiāng)鎮(zhèn)的電子政務網絡;二是在互聯(lián)網上建設政務辦公、項目審批管理、12345便民熱線、新農村信息服務等4個應用系統(tǒng);三是在進行網絡和應用系統(tǒng)建設的同時開展信息安全試點,建設基于互聯(lián)網電子政務信息安全支撐平臺。
那么,如何真正用技術實現政務網絡互聯(lián)網辦公的安全需求呢?焦依平介紹說,試點工程遵循信息安全系統(tǒng)工程思想,按照“適度安全,促進應用,綜合防范”的原則和等級保護的要求,采用集成創(chuàng)新的技術路線,綜合運用以密碼為核心的信息安全技術,合理配置信息安全保密設備和安全策略,建設一個技術先進、安全可靠的基于互聯(lián)網的電子政務信息安全支撐平臺,形成一體化的分級防護安全保障體系,為電子政務提供可靠、有效的安全保障。
從安全技術實現上,據焦依平介紹,濟源市試點工程的安全支撐平臺涉及網絡安全和應用安全兩部分,本次試點網絡安全系統(tǒng)共建設7個安全子系統(tǒng):一是VPN系統(tǒng),由VPN密碼機、VPN客戶端和VPN管理系統(tǒng)組成,共同完成域間安全互聯(lián)、移動安全接入、用戶接入控制與網絡邊界安全等功能,其中中心機房的VPN密碼機帶有防火墻功能;二是統(tǒng)一身份認證與授權管理系統(tǒng),完成用戶統(tǒng)一身份認證、授權管理等功能;三是網絡防病毒系統(tǒng),部署于安全服務區(qū),完成網絡防病毒功能;四是網頁防篡改系統(tǒng),部署于政府網站,提供網站立即恢復的手段和功能;五是入侵檢測系統(tǒng),部署于中心交換機,對網絡入侵事件進行主動防御;六是網絡審計系統(tǒng)部署于中心交換機,對網絡事件進行記錄,方便事后追蹤;七是桌面安全防護系統(tǒng),部署在用戶終端,提供網絡防護、病毒防護、存儲安全、郵件安全等一體化的終端安全保護。
對于目前試點效果,焦依平認為,從實際效果來說,一是低成本建設了安全的政務網絡,實際投入620萬元,比原計劃專網方式預算總投資節(jié)約48.3%;二是實現了安全政務辦公和可信政務服務,全市各部門已100%實現了安全互聯(lián),網絡可達鄉(xiāng)鎮(zhèn),試點村;三是實現了安全的移動辦公,打破了電子政務應用只能在本地訪問的局限。而從長遠來講,濟源市已經初步建成安全、開放、實用的全面基于互聯(lián)網的電子政務系統(tǒng)。
電子政務內外互通
試點方向:電子政務信息安全
訪談人物:廣東省信息中心副主任曾強
目前,妨礙電子政務系統(tǒng)互聯(lián)互通的主要原因就是由此帶來的信息安全問題。跟濟源市試點方向不同,廣東省的試點方向主要是通過等級保護,探索解決省、市、縣(區(qū))電子政務系統(tǒng)的信息共享與互聯(lián)互通問題。曾強介紹說,面對國信辦試點布置的這個大命題,廣東省將試點命題細化成以下幾個方面:由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業(yè)務系統(tǒng)縱向互聯(lián)互通試點;由省政府辦公廳完成視頻會議系統(tǒng)省府門戶網站試點;由佛山市政府完成財稅庫銀互聯(lián)互通系統(tǒng)試點;由江門市政府完成開放互聯(lián)環(huán)境下的信息安全解決方案試點;由佛山市南海區(qū)政府完成大社保6個分系統(tǒng)橫向互聯(lián)互通試點。
關于如何解決在不同的電子政務系統(tǒng)之間,安全實現互聯(lián)互通以及資源共享問題,曾強介紹說,試點工作中,廣東省綜合運用等級保護和風險評估相結合的方法,確定了解決互聯(lián)互通問題的基本思路:一是明確系統(tǒng)的重要程度,確定系統(tǒng)安全等級,采取與系統(tǒng)安全等級相適應的安全保護措施;二是按照有條件互聯(lián)、共享可控制的原則,確定需要共享的系統(tǒng)和應用以及需要共享的數據,保證只共享那些確實需要共享的數據,以保護系統(tǒng)中原有信息的安全;三是在進行系統(tǒng)互聯(lián)的部門之間建立共同的安全管理機制,明確系統(tǒng)互聯(lián)后的安全管理責任、管理邊界、安全事件協(xié)同處理等機制;四是對系統(tǒng)互聯(lián)的安全風險進行評估,全面分析低安全等級的系統(tǒng)給高安全等級的系統(tǒng)帶來的安全風險;五是針對系統(tǒng)互聯(lián)的安全風險,確定關鍵的安全控制要素,如互聯(lián)邊界的訪問控制、系統(tǒng)互聯(lián)的安全傳輸等,并落實具體的安全措施,保障系統(tǒng)互聯(lián)、數據共享的安全。
在以上措施的執(zhí)行下,廣東省取得了初步成功,形成了《廣東省電子政務系統(tǒng)定級規(guī)范》、《廣東省電子政務系統(tǒng)互聯(lián)互通安全規(guī)范》等地方指導性文件。
風險規(guī)避預先保障
試點方向:信息安全風險評估
訪談人物:國家稅務總局處長李建彬
上海市信息化委員會信息安全測評中心
總工程師應力
信息網絡,風險無處不在,防患于未然是上上之策。這也是風險評估安全保障的內涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務總局、國家電網公司、國家信息中心等地方和部門開展信息安全風險評估試點工作。
國家稅務總局在廣東地稅南海數據中心所進行的風險評估試點,最大的亮點就是具有創(chuàng)新精神的“差距分析法”。
李建彬在介紹廣東南海試點經驗時,將差距分析法用一句話概括,就是“通過找出安全目標與現實系統(tǒng)差距,從而得出風險分析報告”。在試點工作中,李建彬感觸最深的就是,要對系統(tǒng)生命周期的整個過程都持續(xù)不斷地引入風險評估,盡量避免“先運行,后評估”的亡羊補牢式工作流程,以降低信息系統(tǒng)整體的信息安全風險等級。此外,李建彬還提出在風險評估工作具體實施過程中必須重點考慮以下幾點:
首先是風險評估與等級保護有密切的關系。類別和級別都是信息系統(tǒng)的固有屬性,通過風險評估可以識別系統(tǒng)的類別和安全級別,從而落實“等級保護”這一國家政策。但是系統(tǒng)的安全級別不應該一刀切,可考慮將系統(tǒng)最高安全級別部分的安全等級作為系統(tǒng)的安全等級。其次是系統(tǒng)分析是系統(tǒng)安全評估的基礎工作。再次是行業(yè)性系統(tǒng)安全要求在風險評估中起決定作用,不同行業(yè)的系統(tǒng)有著不同的安全要求,必須為不同行業(yè)、不同類型的系統(tǒng)制定適應其特點的系統(tǒng)安全要求。最后,通過安全風險評估工作進一步完善系統(tǒng)安全總體設計。
上海市在很早的時候就開始對風險評估進行探索。2002年上海市就確立180家重點信息安全責任單位(2004年調整為163家),涉及重要政府部門、公共事業(yè)單位、基礎網絡和涉及國計民生的重要信息系統(tǒng)。2006年,上海市了《上海市公共信息系統(tǒng)安全測評管理辦法》,又于2007年1月出臺了《上海市市級機關信息系統(tǒng)建設與管理指南》。之后,上海市信息委又出臺了關于風險評估工作的實施意見,明確建立自評估與檢查評估制度的原則、工作安排。
上海市信息安全測評中心總工程師應力博士在介紹上海市的風險評估實踐經驗時,多次強調要引導各單位進行自評估建設,讓信息安全風險評估成為政府及企事業(yè)信息安全建設的常態(tài),在系統(tǒng)的設計階段、驗收階段、運行階段,都需要進行風險評估工作,形成“預防為主,持續(xù)改進”的風險評估機制。應力認為,對信息安全主管機關來說,風險評估是一種管理措施,通過風險評估,領導者可以了解信息系統(tǒng)的安全現狀,從而為管理決策提供依據。
信息安全重在管理
試點方向:信息安全管理標準應用
訪談人物:北京市海淀區(qū)信息辦主任張澤根
深交所ISMS項目組張興東
有專家提出:“信息安全系統(tǒng)是三分技術,七分管理。”可見信息安全管理在整個信息安全保障體系中的重要性。
國信辦網絡與信息安全組與全國信息安全標準化技術委員會共同于2006年3月開始,在北京市、上海市、國家稅務總局、中國證監(jiān)會和武漢鋼鐵(集團)公司選取了相關單位,對國際上通用的,也是已經列入國家標準制、修訂計劃的兩個信息安全管理標準,即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規(guī)則》,組織了應用試點。
北京市海淀區(qū)信息辦張澤根主任在具體介紹北京市海淀區(qū)信息安全管理體系實踐經驗時,感觸最深的就是在參考國際標準ISO/IEC27001和ISO/IEC17799的基礎上,結合海淀區(qū)原有ISO9001管理體系,取得了事半功倍的實際效果。通過ISMS的運行實踐,海淀區(qū)信息辦建立了信息安全管理體系,為進一步通過ISO/IEC27001認證做了很好的準備,同時還對ISMS與風險評估和等級保護的關系進行了有益的探索。ISMS為解決海淀區(qū)信息安全問題,提供了良好的方法和管理機制,并且為政府的信息化建設通過避免安全事故和合理分配經費兩種方式很好地節(jié)約了建設經費。
在ISMS項目試點實施前,深交所ISMS項目組就確定了項目實施不能流于形式的總體工作思路。深交所ISMS項目組張興東介紹經驗時,認為除了利用技術調查手段之外,還需要深入各個層面調研,充分了解深交所的信息安全現狀,利用多種方法相互補充、相互印證,以提高調查質量,為項目后期的實施打下良好的基礎。
【關鍵詞】互聯(lián)網 信息安全 控制技術
在進行互聯(lián)網的信息交流時,就要及時進行信息安全性能的檢驗,要保證信心的安全性能得到有效的計算機安全環(huán)境進行傳播。在進行信息的正確操作系統(tǒng)使用時,就要在隨意的任意環(huán)節(jié)進行安全檢測,對于存在安全漏洞的網站進行及時的修補清理,及時進行安全環(huán)境的檢測,以免使自己的有效信息受到威脅。在實際的操作中,一定要對互聯(lián)網的操作系統(tǒng)、安全協(xié)議、與安全有關的系統(tǒng)進行安全環(huán)境的及時檢測,其中任何方面的安全漏洞都能造成威脅到整個互聯(lián)網的安全。在互聯(lián)網的信息安全控制的技術應用發(fā)展方面,對于互聯(lián)網的繼續(xù)發(fā)展具有很大的作用。
1 互聯(lián)網的信息安全的控制技術和特征
1.1 信息安全技術之生物識別
進行互聯(lián)網的信心安全控制的重要環(huán)節(jié)就是要對生物識別技術的推廣運用,使其更加具體地運用到互聯(lián)網的實際應用之中。就現在互聯(lián)網的技術的發(fā)展狀況而言,進行互聯(lián)網安全技術識別,相比傳統(tǒng)的身份驗證,已經表現出了具有更加可復制性能的方面的跨越式發(fā)展。人體的生物特征復制難度最高,就像指紋、聲音、容貌、視網膜、掌紋等這種因人而異的人體的特征,別人根本實現不了復制操作。利用這種人們生而不同的人體特征作為安全技術識別的發(fā)展前景是十分可觀的,在互聯(lián)網的技術控制中,已經出現了大量使用指紋的技術進行安全保護,針對視網膜等生物特征,很多研究實驗的結果顯示,這即將成為互聯(lián)網生物識別的下一個生物特征,在進行信息安全方面,很多生物技術已經投入使用,并且取得了很好的效果。在很多方面有了很大的進步。
1.2 信息安全技術之防火墻
在進行互聯(lián)網的信息安全維護中,防火墻技術的應用十分廣泛。在進行信息安全的維護時,使用這種的網絡技術進行保護網絡和外網就能實現一道安全的屏障。就會實現私人的網絡和外部的網絡環(huán)境進行隔離時,在進行私人信息安全保護,防止信息不被竊取。在實現信息安全的檢測時,就預測的、具有潛在破壞性的網絡安全的破壞。在有著網絡漏洞的不軌信息,要及時做好網絡的安全維護問題,實現信息安全得到很好的防護。
1.3 信息安全技術之數據加密
在信息的數據加密技術時,就要進行信息的安全維護時,要先進行密碼的設置,在進行密碼層次的維護時,將不讓別人知道的數據信息技術轉變成密碼的形式。不讓別人知道的情況下對于自己密碼轉變成別人難以識別的密文,然后進行自己的信息安全維護,再進行傳輸。但是,人們在進行密碼的輸入時,就收到信息的人進行信息的安全輸入密碼轉換成自己可以識別的銘文進行信息的安全維護,從密碼的轉換成明文的情況下得到數據中的信息。
1.4 信息安全技術之入侵檢測
在進行入侵檢測技術的實施時,為了保證互聯(lián)網的系統(tǒng)信息的安全性,在進行信息安全性能的報告使用中,計算機使用者就會出現對于系統(tǒng)中出現的如未授權或者異常系統(tǒng)提示等情況進行及時的檢測。這種種信息安全檢測技術,能夠促進進行互聯(lián)網的系統(tǒng)遇到不安全入侵時,及時進行入侵信息的安全性能檢測,及時阻止不安全信息的入侵。進行檢測互聯(lián)網,中是否出現了違反信息安全的行為的一種技術。
1.5 信息安全技術之網絡安全漏洞掃描
針對系統(tǒng)的漏洞修補時,首先要進行檢測信息安全漏洞出現的原因,在進行系統(tǒng)安全維護時,一定要做好信息安全方面的風險評估。及時針對系統(tǒng)出現漏洞的問題,找到切實可行的解決方案。進行安全漏洞的掃描時,可以預先知道系統(tǒng)中,出現漏洞的根本所在,能夠及時防止網絡漏洞對信息的安全進行有效的保護。
2 實現互聯(lián)網信息安全的策略探討
2.1 互聯(lián)網安全策略之系統(tǒng)安全
互聯(lián)網最有效的信息安全維護,就是要對計算機的操作系統(tǒng)和數據庫及時進行信息安全的漏洞檢測,及時發(fā)現出現的問題找到最優(yōu)的解決方案。尤其是對于計算機進行操作系統(tǒng)進行查缺補漏,針對計算機出現的漏洞問題一定要密切關注,找到最優(yōu)的解決方案。針對容易出現問題的系統(tǒng)及時進行加強安全加固防護措施,尤其對于關鍵業(yè)務的服務器,一定要做到萬無一失。
2.2 互聯(lián)網安全策略之安全管理
針對互聯(lián)網的信息的安全性,一定要加強對于網絡安全的信息的安全管理策略,進行企業(yè)的信息系統(tǒng)安全管理策略的制定是,一定要結合具體的情況進行信息安全的合理維護。進行安全管理時,企業(yè)一定要重視對相關人員進行安全管理知識的定期培訓,及時進行網絡安全的妥善管理。當進行信息安全進行資產管理、災難管理、安全服務和站點維護的相關工作進行合理有效的管理。在技術的運用上,注意將技術適當運用到相關的部門。結合具體的管理措施進行合理有效的信息維護,保證企業(yè)互聯(lián)網的信息安全。
2.3 互聯(lián)網安全策略之縱深防御
在進行互聯(lián)網的安全合理有效地管理時,一定要將可能存在的不良操作及時進行安全性能測試,在互聯(lián)網的安全系統(tǒng)遭到入侵時,檢測系統(tǒng)就會發(fā)出信息提示,提醒進行及時的系統(tǒng)安全的維護措施。在信息安全系統(tǒng)的管理中,防火墻是其中一個最有效的安全管理手段。能夠保障系統(tǒng)在遇到安全威脅時,計算機系統(tǒng)在進行安全管理保安操作時,及時阻擋那些存在威脅的信息,按照預先的設定判斷信息的有效性,將符合規(guī)則的操作指令發(fā)出放行指令,能夠保證互聯(lián)網的信息安全。
在進行互聯(lián)網的安全管理中,一定要加強對于互聯(lián)網安全漏洞的及時檢測,確保互聯(lián)網的信息安全。在檢測過程中,若是發(fā)現了系統(tǒng)受到攻擊,一定要立馬采取有效措施進行系統(tǒng)的安全維護,及時控制企業(yè)及個人的重要信息不受破壞或者避免損失。在進行互聯(lián)網安全控制時,要考慮多方面的控制情況,為了避免遭受經濟或者其他方面的損失,就要在維護互聯(lián)網的信息安全的情況下,及時推動互聯(lián)網的發(fā)展。本文在針對各種互聯(lián)網的信息安全的管理措施的分析研究的情況下,重點強調要注意運用加密技術的使用。相信在未來的數字化科技發(fā)展中,網絡信息安全的地位將更加重要,互聯(lián)網信息安全必然隨著網絡應用的發(fā)展而不斷發(fā)展。
【關鍵詞】互聯(lián)網信息安全系統(tǒng)控制技術
信息安全是影響到社會公共安全以及國家安全的重要因素,世界各國均已認識到互聯(lián)網信息安全對于國家重大利益的影響,信息安全屬于互聯(lián)往經濟方面的最高點,同時也是促進電子商務、電子政務以及互聯(lián)網發(fā)展的重要環(huán)節(jié),現階段信息安全已成為互聯(lián)網發(fā)展的迫切要求。現對互聯(lián)網信息安全的控制技術以及特點進行淺述,并淺析加密技術在保障互聯(lián)網信息安全中的應用。
一、互聯(lián)網信息安全的控制技術以及特點
1.1防火墻技術
防火墻是在外部網絡以及保護網絡之間采用網絡綜合技術設置一道屏障,從而對外部網絡以及受保護網絡進行分隔,以防止具有破壞可能性以及無法預測的危險因素侵入系統(tǒng)。
1.2生物識別技術
生物識別的控制技術具有可復制性這一特點,該技術的安全等級與傳統(tǒng)的身份驗證機相比,存在較大的提升空間。骨架、掌紋、視網膜、面孔、聲音以及指紋等均是人體生物特征,其中指紋以其穩(wěn)定性、唯一性與再生性等特點成為最受關注的特征[1]。此外,簽名識別以及視網膜識別的技術研究近年來也取得了較好的成績。
1.3入侵檢測技術
入侵檢測這一種可及時發(fā)現并向系統(tǒng)報告未授權情況或是異常現象的技術是為了保證計算機系統(tǒng)安全而設計、配置的,該控制技術用于檢測網絡中不安全因素。
1.4數據加密技術
數據加密是采用密碼算法轉換明文數據為具有辨別難度的密文數據,采取不同的密鑰可通過相同的加密算法轉換出多種密文。
1.5網絡安全漏洞掃描技術
由于漏洞檢測以及安全風險評估的技術可預知主體可能會受到的攻擊,并對該行為與后果進行具體指證,因此網絡安全行業(yè)特別重視該技術。在維護信息安全中應用該技術不僅可對系統(tǒng)資源識別檢測,還可分析資源受攻擊的可能性,掌握系統(tǒng)支撐體的脆弱性,以評估現存的安全風險。
1.6安全審計技術
安全審計的控制技術通常是采用某種或是多種被稱為掃描器的安全檢測工具,采取漏洞預先掃描的措施,以檢查計算機系統(tǒng)中是否存在安全漏洞,通過檢查報告掌握系統(tǒng)薄弱環(huán)節(jié),并采取相應的措施增強系統(tǒng)的安全性。
二、加密技術在保障互聯(lián)網信息安全中的應用
2.1電子商務方面
為了保障消費者在互聯(lián)網中進行不同的商務活動,免于擔憂自身的銀行卡賬號被盜用,現階段各消費者已逐漸開始應用RSA加密技術以提高其銀行卡交易的安全。NETSCAPE公司針對此現象提供了稱為SSL(安全插座層)的加密技術,該技術以RSA與保密密鑰在互聯(lián)網中的應用作為基礎。SSL技術同時應用對稱與非對稱的加密手段,客戶在與電子商務服務器溝通過程中,有一個會話密鑰(SK)在客戶方生成,接著客戶方通過服務器端提供的公鑰對會話進行加密,然后再傳至服務器端,待雙方均知道SK后,則采用SK加密和解密傳輸數據[2]。此外,服務端在給客戶發(fā)送公鑰時均需要首先向相關的發(fā)證機關進行申請,獲取認證。
2.2虛擬專用網絡(VPN)方面
數據在離開了發(fā)送者的局域網時,應首先通過用戶端與互聯(lián)網連接的路由器進行加密,以加密形式在互聯(lián)網中傳送數據,在數據到達目的LAN處的路由器時,由路由器解密數據,而目的LAN處的用戶便可獲取真實信息。
三、網絡信息安全的實現對策
3.1系統(tǒng)安全對策
修補服務系統(tǒng)、操作系統(tǒng)以及數據庫中的漏洞并進行安全加固,針對重點業(yè)務的服務器構建嚴格的審核制度,以保證重點業(yè)務的安全性[3]。盡量解決因不同漏洞所引起的安全問題,杜絕各類安全隱患,例如病毒、系統(tǒng)缺陷、非法訪問以及黑客入侵等。
3.2安全管理對策
根據企業(yè)對信息安全的要求,不斷完善各方面管理機制,例如人才管理、安全服務、應急響應、資產管理、人員管理、站點維護管理等等,同時結合管理技術,為企業(yè)建立一套較為健全的信息系統(tǒng)安全管理制度。
3.3縱深防御對策
在計算機安全系統(tǒng)中,其防火墻就等同于網絡系統(tǒng)在入口處的保安,根據用戶所設定的條件判斷各類數據表能否進入系統(tǒng),將具有攻擊性的惡意數據包抵擋在門外。入侵檢測系統(tǒng)可對網絡或是關鍵的主機進行監(jiān)控,其效果等同于現實生活中的攝像機,對各項入侵行為進行監(jiān)控,特別是具有潛在攻擊特點的行為,嚴重時可聯(lián)合防火墻,將入侵行為及時阻斷。大部分黑客在試探攻擊時,均是采取一些已知的攻擊手段進行試探。而入侵檢測系統(tǒng)中的實施監(jiān)測功能,可發(fā)現黑客的攻擊企圖,即入侵檢測系統(tǒng)發(fā)現并相應黑客攻擊系統(tǒng)的時間小于黑客攻破系統(tǒng)的時間,通過入侵檢測系統(tǒng)可對網絡外部或是內部的攻擊行為快速定位,并檢測內部流量的異常現象,對于保障網絡而言具有重要意義。
參考文獻
[1]華顏濤.互聯(lián)網計算機信息安全保障機制研究[J].計算機光盤軟件與應用,2010(07):51-51.
工業(yè)和信息化部負責網絡強國建設相關工作,推動實施寬帶發(fā)展;負責互聯(lián)網行業(yè)管理;協(xié)調電信網、互聯(lián)網、專用通信網的建設;組織開展新技術新業(yè)務安全評估,加強信息通信業(yè)準入管理,擬訂相關政策并組織實施;指導電信和互聯(lián)網相關行業(yè)自律和相關行業(yè)組織發(fā)展。
負責電信網、互聯(lián)網網絡與信息安全技術平臺的建設和使用管理;負責信息通信領域網絡與信息安全保障體系建設;擬定電信網、互聯(lián)網及工業(yè)控制系統(tǒng)網絡與信息安全規(guī)劃、政策、標準并組織實施,加強電信網、互聯(lián)網及工業(yè)控制系統(tǒng)網絡安全審查;擬訂電信網、互聯(lián)網數據安全管理政策、規(guī)范、標準并組織實施;負責網絡安全防護、應急管理和處置。
工信局是2010年中國機構改革后改名為工業(yè)和信息化局,簡稱工信局,以前叫經濟貿易委員會,內設經濟運行科等機構。
根據新型工業(yè)化發(fā)展戰(zhàn)略和規(guī)劃,負責擬定近期和年度工業(yè)發(fā)展目標;監(jiān)測、分析和評估工業(yè)運行態(tài)勢并相關信息,進行預測預警和信息引導;負責經濟運行調節(jié),協(xié)調財政、金融、稅務、統(tǒng)計、電力、交通等相關部門與企業(yè)的關系等工作。
(來源:文章屋網 )
關鍵詞: 云計算;信息安全;網絡
引言
隨著科技的飛速發(fā)展,互聯(lián)網快速發(fā)展,已經成為人們工作生活中不可或缺的一部分。互聯(lián)網計算服務模式已經不能滿足計算機存儲、數據空間匱乏等帶來的一系列的問題,云計算(Cloud Computing)應運而生。眾多計算機節(jié)點結合起來,互聯(lián)網用戶在“云端”實現業(yè)務辦理,云計算帶來利好的同時,也存在用戶信息安全的問題。2009年初,亞馬遜的云存儲S3連續(xù)4小時出現故障;時隔一個月,谷歌聲稱由于疏忽泄露了客戶的信息;微軟公司也承認了其云計算平臺有運行中斷的現象出現。如何在“云端”便利的實現用戶的數據與處理,便于用戶高效實用共享資源的同時,保證用戶信息的安全與隱私,云計算信息的安全性和可靠性是云計算環(huán)境下值得探討的重要問題。
云計算概述
云計算概念及體系架構
云計算是上世紀九十年代由IBM首先提出的,開始僅限于超級計算機,隨著網絡技術的發(fā)展,云計算應用面得到廣泛擴展。云計算是一種基于互聯(lián)網的計算方式,可以方便的按需訪問網絡、存儲設備、應用程序等。云計算是在分布式處理、并行處理和網絡計算發(fā)展的基礎上出現的一種新型的計算模型[1],在分布式環(huán)境下,提供數據和網絡服務。用戶可以在任意計算機終端將數據資源交由網絡處理并儲存,不需占用用戶自己的硬件資源,在需要時可以隨意訪問存儲系統(tǒng)并得到相關數據。狹義的講,云計算是指IT基礎設施通過網絡按需獲得資源的交付和使用模式;廣義的講,通過網絡按需獲取服務的交付和使用模式。簡單來說,云計算就是把客戶的所有數據交由網絡處理,設置企業(yè)數據中心對客戶的數據進行處理,通過一個數據中心向客戶提供服務,客戶可以使用不同的終端進行操作,云計算為客戶節(jié)省大量硬件資源。
云計算體系分為三個層,管理層、應用層和訪問層。管理層解決資源共享問題,應用層實現以何種方式提供服務給外層設備,訪問層即為云計算的核心層,用來解決實際的云計算問題。
云計算的特點
按需自助服務:用戶自主訪問云資源;
寬帶接入:云計算的功能實現需要網絡支持;
虛擬化資源:通過虛擬技術對云服務的軟硬件資源進行劃分,提供共享使用形式,并對各用戶 占用的虛擬資源進行分配和花粉;
快速彈性架構:快速、彈性的將資源提供給用戶;
可測量服務:對用戶使用云端資源的情況進行測量并計價。
云計算的這些特點能夠解決計算機存儲、數據空間匱乏等問題,但同時也對云計算的安全性產生威脅。
1.3 云計算的應用形式
云計算的應用形式包括軟件服務(SaaS)、平臺即服務(PaaS)和基礎設施服務(IaaS)。SaaS需用戶結合自身特點向互聯(lián)網商戶自行訂購服務模式,互聯(lián)網商戶制定統(tǒng)一的軟件運行形式和硬件設施,該形式下用戶使用便捷。PaaS通過提供具有開發(fā)環(huán)境的分布式平臺,使用戶自己參與到開發(fā)中來,量身定制適用于自己的應用程序,并通過互聯(lián)網傳遞給其他客戶。IaaS應用模式的云端設備由多臺服務器組成,提供給客戶計量服務,將存儲、內存、I/O等資源整合后提供給商戶。
云計算環(huán)境下的信息安全隱患
云計算需要依托網絡平臺實現其功能,網絡安全也直接影響到云計算環(huán)境下的信息安全,雖然網絡安全技術不斷提升,但泄密事件、數據丟失、訪問權限被控等問題經常影響用戶的正常使用,也制約了云計算的普及。
云計算環(huán)境下,信息安全隱患主要包括以下幾點:
數據丟失。云計算平臺發(fā)生崩潰,導致用戶數據丟失。
隱私泄露。用戶存儲的數據以及數據處理由服務器網絡和數據庫系統(tǒng)統(tǒng)一進行計算,不可避免的存在用戶數據被竊取和破壞的情況。
密碼易被破解。云計算的計算能力強大,可縮短密碼破解時間,如有非法用戶對密碼進行破解,用戶的信息安全性面臨威脅。
管理員接入具有潛在威脅。在安全場所以外的地方處理信息,如果沒有對管理員進行充分了解和驗證管理員信息,可能對信息安全存在潛在的威脅。
數據隔離導致數據失效。在云計算環(huán)境中,用戶數據處于資源共享環(huán)境下,一定的加密設置可以規(guī)避風險,云計算提供商將數據區(qū)分隔離開來進行管理,并針對用戶設計加密服務,如果加密系統(tǒng)出現問題,那么用戶所有數據將失效,不能再使用。
安全區(qū)域劃分無效。在云計算中,傳統(tǒng)的安全域可以清晰定義邊界,保護用戶數據,但在云計算中無法實現。
用戶數量分類各異,用戶具有變化、動態(tài)和移動的特點。
服務安全問題。云計算提供商控制所有數據、服務以及網絡,一旦提供商出現安全問題,將直接影響用戶的利益。
數據的安全性。包括數據存放位置、數據隔離、數據恢復、數據加密等。
綜上,這些都對云計算的安全運行造成威脅,給用戶的信息安全帶來隱患。
云計算環(huán)境下的信息安全解決方案
云計算安全事件的頻繁發(fā)生,使云計算的安全性、穩(wěn)定性得到質疑,對云計算環(huán)境下的信息安全進行防護,使云計算健康有序的發(fā)展,提出信息安全解決方案,制定相關的信息安全策略勢在必行。
3.1 要正確認識云計算,積極發(fā)展云計算技術來確保信息安全
3.1.1正確認識云計算
計算機技術、互聯(lián)網技術發(fā)展迅猛,催生云計算的產生,云計算提供商不應急于求成,過分夸大其功能,迷惑用戶,提供商應正確看待云計算的推廣和應用,用戶也不能盲目使用。云計算要以互聯(lián)網為基礎,網絡安全直接威脅云端信息的安全,影響云計算的安全使用,只有通過不斷提高計算機技術,提高網絡安全,才能保證云計算環(huán)境下的信息安全。云計算提供商應具有可靠性,提供商不能單純的把盈利放在首位,應將用戶的利益置于制高點,對用戶作出有效的保證,盡最大化的保證云端信息的透明化。保證云計算的連續(xù)性。信息處理的重要問題就是具有連續(xù)性,保證用戶的信息存取。在云計算環(huán)境下,大量信息集中在云端,在實際運行中,保證提供商硬件設施安全運行,在出現故障、硬件設備損壞或斷電的情況下,保證云端信息的安全和正常存取。
3.1.2 積極發(fā)展云計算技術
1)云計算具有多個安全域,單個安全域應具備全局、局部主題映射,不同安全域可相互鑒別。
2)滿足用戶動態(tài)需求,提供商建立良好的登錄、等的認證。
3)通過SSL、VPN等安全方式確保通信安全,并保證用戶連接。
4)云計算提供商、用戶以及之間的授權方式應規(guī)范化。
5)云計算提供商保證數據的機密性和完整性。
6)邊界安全。云計算環(huán)境下,硬件設備為虛擬化導致傳統(tǒng)意義上的網絡邊界不復存在,傳統(tǒng)的網絡邊界防護不能生搬硬套在云計算環(huán)境中。為加強網絡邊界安全,積極提供虛擬環(huán)境下防火墻技術升級,虛擬后的防火墻與原有的防火墻一樣,根據不同的業(yè)務需求,采取不同的安全防護策略。
7)數據傳輸安全。云計算數據傳輸包括用戶與云端之間、云端內部的數據傳輸,為保證傳輸安全,一般采用技術手段進行傳輸加密。
8)數據存儲安全。數據存儲安全性保證也是采取加密方式。云計算環(huán)境下,有兩種加密方式,一種為對象存儲加密,即將對象存儲系統(tǒng)設置為加密狀態(tài),用戶自行設置秘鑰;一種為卷標存儲加密,卷標加密又分為實際物理卷標加密和特殊設備加密。特殊設備是一種虛擬設備,以串行方式實現計算實例與物理存儲之間的數據加密。
9)云服務器安全。云服務器需安裝防病毒系統(tǒng)、補丁系統(tǒng)以及云安全操作系統(tǒng)。防病毒系統(tǒng)提供更好的病毒查殺能力,完成病毒查殺防護的任務。補丁系統(tǒng)及時對系統(tǒng)進行更新。國外一些云計算提供商如Google、Microsoft和Amazon已經推出了自己的云安全操作系統(tǒng),該系統(tǒng)設置了身份認證、訪問控制、行為審查等多方面的安全機制。
3.2 云計算提供商強強合作,建立統(tǒng)一平臺
各個云計算提供商之間是競爭的關系,信息高度發(fā)達的今天,緊靠幾個提供商運營完成信息處理顯然是很難的,相互獨立發(fā)展不利于云端信息的有效利用,造成資源浪費。云計算需要更廣闊的平臺,以平臺為基礎,各云端信息相互連通,形成整體,使信息交流更高效,使、云計算的優(yōu)勢得到充分發(fā)揮。也可以在國際范圍內家強共識,形成更大的平臺,以實現信息的交流和處理,使云計算應用范圍更廣泛,為用戶提供更好云端的服務。
3.3 建全法律法規(guī),有法可依
云計算屬于我國IT行業(yè)的基礎設施,其建設的具有重要性,應有相關的立法來保證期順暢實施。制定相關的法律法規(guī)捍衛(wèi)云計算、網絡信息安全。對于用戶而言,訪問云端的訪問權限應有嚴格的法律法規(guī)來約束限定。對于提供商而言,運營商應盡可能規(guī)避風險,保證信息安全。在用戶和運營商之間發(fā)生矛盾時,有相關的法律條款對其進行處理,使用戶愿意使用更安全更便捷的方式處理信息。建立第三方監(jiān)管審查機制,平衡提供商和用戶之間的權利、利益平衡。
3.4 建立云計算信息安全評估體系
云計算的信息安全風險存在于云計算信息的整個周期中,隨時可能發(fā)生。信息安全評估體系的建立,可以依據相關的信息安全技術和管理標準,對信息的整個系統(tǒng)、存儲狀態(tài)和傳輸處理過程, 進行安全評價,保證其機密性、可用性和完整性。通過對評估資存在的潛在威脅和安全事件所涉及的資產價值,來預測危險的存在,化解安全風險,保護云計算網絡和信息安全。
信息安全評估體系可按階段進行,準備階段確定評估目標和范圍,進行調研和研究;要素識別階段,明確資產的風險程度,威脅的強弱程度;分析階段制定相應的風險等級,確定風險;驗收階段,對整個評估進行總結和驗收。
結論
云計算是近年來的研究熱點,本文分析了云計算環(huán)境下的信息系統(tǒng)存在的安全隱患,著重探討了其信息安全的解決方案,隨著計算機和互聯(lián)網技術的進一步發(fā)展,云計算的應用前景更加廣闊,云計算環(huán)境下的信息安全問題也是值得長期探索的技術關鍵。
[參考文獻] (References)
[1] John Rit t inghous e, Jam es Ransome. Cl oud Comput ing: Impl ement at ion, Managem ent , and Securit y[ M] . Boca. R at on. FL.USA: 2009 March.
[2]馮登國,張敏,張妍,徐震. 云計算安全研究[J]. 軟件學報,2010(11) : 34-39.
[3] CSA. Security Guidance for Critical Areas of Focus in CloudComputing V2.1[EB/OL].[2010-05-10].http: / / /guidance /.
【關鍵詞】信息安全 發(fā)展趨勢 互聯(lián)網 【中圖分類號】F49 【文獻標識碼】A
無論是個人、商家,還是社會組織、媒體,在發(fā)展過程中均離不開互聯(lián)網。從目前來看,較為常用的信息安全技術包括:防火墻技術、生物識別技術以及入侵檢測技術等。這些技術的應用,在很大程度上保證了網絡信息的安全性。從網絡系統(tǒng)以及管理等層面考慮,要想使互聯(lián)網的信息安全得到全面提升,還有必要從多個方面加以完善。互聯(lián)網的優(yōu)勢主要包括:其一,能夠不受空間限制,實現信息的交換;其二,信息更新速度快,具備時域性特征;其三,具備互動性特征,能夠滿足人與信息以及人與人之間的互動交流;其四,在信息交換過程中,存在諸多形式,包括文字的信息交換、圖片的信息交換以及視頻的信息交換等。也正因為互聯(lián)網的諸多優(yōu)勢,使其具備非常廣闊的發(fā)展前景。雖然我國互聯(lián)網網民的數量眾多,但是由于受到內外部環(huán)境的影響,我國互聯(lián)網發(fā)展和西方發(fā)達國家比較起來,尚存在一定的差距。這種差距主要體現在商業(yè)用途、信息價值以及信息安全等方面。我國互聯(lián)網內容中,存在著一些低俗信息,這些信息充滿了語言上的謾罵以及誹謗等,顯然,這些低俗信息違反了國家法律法規(guī)。此外,由于互聯(lián)網信息安全問題的存在,在沒有很好的防范措施的情況下,還可能讓企業(yè)面臨巨大的經濟損失。因此,有必要及時解決信息的安全問題,在確保互聯(lián)網信息安全的基礎上,為互聯(lián)網的良性發(fā)展奠定堅實的基礎。
互聯(lián)網信息安全的三個層次
信息安全屬于傳統(tǒng)保密技術的延續(xù)及其發(fā)展,也屬于互聯(lián)網時代出現的一個全新概念。信息安全涵蓋的內容很多,信息安全行為主體、信息防護策略以及任務目標等均屬于信息安全的內容。要想更為深入地認識信息安全,需從三個層次出發(fā)。
第一個層次,被稱為信息安全的重要性層次。從信息內容安全、信息系統(tǒng)安全以及信息網絡安全等多個層面來看,信息安全的重要性是毋庸置疑的。常見的信息安全事件包括信息內容偽造、泄露以及假冒等;信息系y受到病毒感染、攻擊以及入侵等;信息網絡中斷、癱瘓等;信息基礎建設被損壞等。顯然,確保信息的安全性非常關鍵。在確保信息的安全性的基礎上,才能夠使信息安全事件的發(fā)生得到有效控制。
第二個層次,被稱為信息安全的影響力層次。網絡攻擊武器和信息之間存在密切的關聯(lián)性,而美國把網絡攻擊武器視作殺傷力巨大的破壞性武器。倘若一個國家或企業(yè)的信息系統(tǒng)出現癱瘓故障,那么帶來的損失將難以估計。顯然,信息安全的影響力是巨大的。要想促進網絡發(fā)展,需要確保信息的安全性,合理應用信息,并采取有效的預防和處理措施。
第三個層次,被稱為信息安全的技術作用層次。近年來,隨著航海技術的進步及其發(fā)展,國家的領海范圍有所擴充。而航空技術的進步及發(fā)展,也讓國家進行了領空的擴展。顯然,科學技術的發(fā)展離不開網絡的支持,而網絡疆域的出現,更能夠體現出信息安全技術的重要性。要想使國家疆域得到有效發(fā)展,需要注重信息安全技術的作用,并逐步提高信息安全。
互聯(lián)網信息安全的實現
加強互聯(lián)網信息安全的防御能力。要想使互聯(lián)網信息安全得到有效保障,有必要加強互聯(lián)網信息安全的防御能力。互聯(lián)網信息防御過程中,最為重要的是查找出不良信息以及信息病毒等,進而采取有效防御策略。其中,防火墻技術和入侵檢測技術在其中的應用便顯得非常關鍵。防火墻的設置,能夠使一些重要信息被竊取的幾率大大降低。近年來,隨著網絡信息安全問題的不斷增加,防火墻技術也不斷完善。入侵檢測技術主要是對未授權的網絡信息或者有違法律法規(guī)的信息進行檢測,通過檢測將這部分不良信息排除,進而確保信息的安全性。除上述提到的兩項常用技術外,生物識別技術、數據加密技術等,均能夠保證信息的安全性。
加強互聯(lián)網信息安全的系統(tǒng)化管理。對于互聯(lián)網來說,其系統(tǒng)的構成存在復雜程度高的特點,主要的子系統(tǒng)包括:操作系統(tǒng)、服務系統(tǒng)、數據庫系統(tǒng)。為使系統(tǒng)信息的安全性得到有效保障,需做好每一個子系統(tǒng)的監(jiān)控以及保護工作。通過系統(tǒng)數據的分析,掌握系統(tǒng)可能受到的損害,進而加強監(jiān)控。與此同時,還有必要逐步對系統(tǒng)的防御功能進行強化,例如,網絡安全漏洞掃描技術的應用,能夠在一定程度上確保系統(tǒng)的信息安全。通過這項技術,對互聯(lián)網系統(tǒng)潛在安全隱患進行預警,并進行風險評估,進而采取有效防范措施。
構建完善的互聯(lián)網信息安全管理方案。對互聯(lián)網信息安全管理方案加以構建,才能夠使互聯(lián)網信息安全得到有效實現。一方面,需加強對信息管理工作人員的教育,提高信息管理工作人員的安全管理意識,使其認識到加強互聯(lián)網內外部信息安全管理的重要性,使得不法分子傳播網絡病毒以及攻擊網絡的行為得到有效遏制。另一方面,對于網絡秘密信息,未經授權人員不可訪問,同時需利用加密處理技術,防范不法分子竊取。此外,為了使網絡信息安全在整體上得到有效保障,還有必要構建完善的網絡信息安全管理制度。
互聯(lián)網信息安全的價值
互聯(lián)網的良好規(guī)范發(fā)展。要想使互聯(lián)網在未來具備良性的發(fā)展,有必要采取策略,確保互聯(lián)網信息的安全。從信息安全的價值來看,它能夠促進互聯(lián)網的有序發(fā)展。比如,在經濟方面,我國目前構建了覆蓋全國的公用電信網以及廣播電視網等,且互聯(lián)網逐步滲透到各個行業(yè),對其發(fā)展起到了促進的作用。然而,由于互聯(lián)網信息存在一些問題,如病毒傳播問題,以及信息管理問題等,針對這些問題,需要采取行之有效的防范處理方法,進一步確保信息的安全。在確保網絡信息安全的基礎上,互聯(lián)網技術不僅能夠穩(wěn)定企業(yè)的經濟,還能夠起到穩(wěn)定社會的作用,并進一步強化國家的安全。
使用者的權益保證。在科學技術不斷發(fā)展的背景下,我國國民經濟也呈現出不斷發(fā)展的狀況。在這樣的大背景、大趨勢之下,廣大人民群眾對信息的依賴表現得越來越明顯。例如,平板電腦、智能手機開始滲透到人們的日常生活以及工作、學習當中。通過互聯(lián)網的應用,手機和電腦都能夠豐富人們的生活、開拓人們的視野。但人們在“網上沖浪”過程中,勢必涉及到信息的、獲取,為了保護人們的信息安全,需要采取一些安全技術,如信息加密技術、防火墻技術等。在信息安全得到有效保障基礎上,使用者的合法權益便能夠得到有效保證。
保護電子信息的機密。除上述作用之外,信息安全還具備保護電子信息機密的作用。近年來,我國電子商務呈現了快速的發(fā)展態(tài)勢。電子商務關乎一些商業(yè)機密信息,以及個人財產信息等。為了使電子商務信息的安全得到有效保障,有必要采取一些防范技術,如公鑰加密技術,以及私鑰加密技術等,這些技術的應用,能夠實現對文件的加密以及解密,進而確保電子商務信息的安全性。總的來說,信息安全能保護電子信息的機密,進而使經濟損失以及商業(yè)機密竊取等風險事件的發(fā)生得到有效控制。此外,VPN加密技術的應用等,也在很大程度上保護了電子信息的機密。
(作者單位分別為新疆警察學院;新疆工程學院)
【參考文獻】
①孫勇、王創(chuàng)科:《計算機信息技術在互聯(lián)網中的應用探索》,《數字技術與應用》,2015年第7期。
