時(shí)間:2023-09-17 15:04:18
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全運(yùn)營(yíng)體系建設(shè)方案,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:電信;網(wǎng)絡(luò)安全;技術(shù)防護(hù)
從20世紀(jì)90年代至今,我國(guó)電信行業(yè)取得了跨越式發(fā)展,電信固定網(wǎng)和移動(dòng)網(wǎng)的規(guī)模均居世界第一,網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面,和日常生活的結(jié)合越來(lái)越緊密。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運(yùn)行。加強(qiáng)電信網(wǎng)絡(luò)的安全防護(hù)工作,是一項(xiàng)重要的工作。筆者結(jié)合工作實(shí)際,就電信網(wǎng)絡(luò)安全及防護(hù)工作做了一些思考。
1 電信網(wǎng)絡(luò)安全及其現(xiàn)狀
狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性,按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面;廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面,在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面,幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。
電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建設(shè),針對(duì)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年,原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性,并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門,著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中,包括組織體系、策略體系和保障的機(jī)制,依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn),單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此,建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái),也就是SOC平臺(tái),形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系,以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。這個(gè)系統(tǒng)通過幾個(gè)模塊協(xié)同工作,來(lái)完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控,完成對(duì)網(wǎng)絡(luò)安全工作處理過程中的支撐,還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。
然而,網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等,造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中,安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看,隨著攻擊技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊工具的獲得越來(lái)越容易,對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易;而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來(lái)越廣泛,這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞,容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看,業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等,也是威脅網(wǎng)絡(luò)安全的因素。
2 電信網(wǎng)絡(luò)安全面臨的形勢(shì)及問題
2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合,給電信網(wǎng)帶來(lái)新的安全威脅
傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送,信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離,完全由運(yùn)營(yíng)商控制,電信用戶無(wú)法進(jìn)入。這種機(jī)制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng),保障了網(wǎng)絡(luò)安全。IP電話引入后,需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通,電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上,TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號(hào)碼不在IP包中傳送,一旦出現(xiàn)不法行為,無(wú)論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān),確認(rèn)這些用戶的身份需要費(fèi)一番周折,加大了打擊難度。
2.2 新技術(shù)、新業(yè)務(wù)的引入,給電信網(wǎng)的安全保障帶來(lái)不確定因素
NGN的引入,徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來(lái)的好處是顯而易見的,但從網(wǎng)絡(luò)安全方面看,如果采取的措施不當(dāng),NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外,3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入,都有可能給電信網(wǎng)的安全帶來(lái)不確定因素。特別是隨著寬帶接入的普及,用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng),每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制,組成僵尸網(wǎng)絡(luò)群,其拒絕服務(wù)攻擊的破壞力將可能十分巨大。
2.3 運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合,網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)
目前,我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備,電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套,給電信網(wǎng)絡(luò)安全帶來(lái)了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面,原來(lái)由行業(yè)主管部門對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè),現(xiàn)在由各運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè),行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題,不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。
2.4 相關(guān)法規(guī)尚不完善,落實(shí)保障措施缺乏力度
當(dāng)前我國(guó)《電信法》還沒有出臺(tái),《信息安全法》還處于研究過程中,與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備,且缺乏操作性。在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面,也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位,更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場(chǎng)份額和投資回報(bào),把經(jīng)濟(jì)效益放在首位,網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。
3 電信網(wǎng)絡(luò)安全防護(hù)的對(duì)策思考
強(qiáng)化電信網(wǎng)絡(luò)安全,應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合,著重考慮以下幾方面。
3.1 發(fā)散性的技術(shù)方案設(shè)計(jì)思路
在采用電信行業(yè)安全解決方案時(shí),首先需要對(duì)關(guān)鍵資源進(jìn)行定位,然后以關(guān)鍵資源為基點(diǎn),按照發(fā)散性的思路進(jìn)行安全分析和保護(hù),并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng),使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。
3.2 網(wǎng)絡(luò)層安全解決方案
網(wǎng)絡(luò)層安全要基于以下幾點(diǎn)考慮:控制不同的訪問者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問;劃分并隔離不同安全域;防止內(nèi)部訪問者對(duì)無(wú)權(quán)訪問區(qū)域的訪問和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域,即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域,在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時(shí),應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要,與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合,在系統(tǒng)中建立一個(gè)完善的安全體系,包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御,系統(tǒng)訪問控制,網(wǎng)絡(luò)入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強(qiáng)系統(tǒng)的總體可控性。
3.3 網(wǎng)絡(luò)層方案配置
在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專用的安全工作站安裝入侵檢測(cè)產(chǎn)品,將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort),用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包,并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。
3.4 主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配置方案
由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu),兼呈局域網(wǎng)和廣域網(wǎng)的特性,是一個(gè)充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò),它面臨的安全性威脅來(lái)自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范,并在中央安全管理平臺(tái)上部署中央管理控制臺(tái),對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。
3.5 系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描
系統(tǒng)和數(shù)據(jù)庫(kù)的漏洞掃描對(duì)電信行業(yè)這樣的大型網(wǎng)絡(luò)而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購(gòu)買其他的系統(tǒng)/數(shù)據(jù)庫(kù)漏洞掃描工具。
參考文獻(xiàn)
關(guān)鍵詞信息安全;PKI;CA;VPN
1引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益,但隨之而來(lái)的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng),企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來(lái)解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。
在下面的描述中,以某公司為例進(jìn)行說(shuō)明。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺(tái),通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析
通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
通過對(duì)現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對(duì)外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。
美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來(lái)自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。
已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。
4.2系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動(dòng),都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護(hù)原則
任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。
4.6分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開支。
5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對(duì)的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來(lái)完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來(lái)完成。
不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來(lái)完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護(hù)
對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來(lái)自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無(wú)縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。
5.5身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
6方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖3
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
保旺達(dá),關(guān)注數(shù)據(jù),保障未來(lái)。
江蘇保旺達(dá)軟件技術(shù)有限公司始創(chuàng)于2002年,具有十多年的深厚積淀,始終專注于計(jì)算機(jī)信息安全領(lǐng)域的體系建設(shè)、服務(wù)交付和產(chǎn)品提供,成就了保旺達(dá)在中國(guó)信息安全行業(yè)的領(lǐng)先地位。
2016年2月,保旺達(dá)與上市公司通鼎互聯(lián)達(dá)成戰(zhàn)略合作伙伴關(guān)系,這意味著保旺達(dá)將擁有更為寬廣的視野和舞臺(tái),以及更加強(qiáng)勁的動(dòng)力和保障。
保旺達(dá)在董事長(zhǎng)鐘丹東的帶領(lǐng)下,以建設(shè)中國(guó)自主的信息安全體系為目標(biāo),以實(shí)現(xiàn)中國(guó)國(guó)家安全大業(yè)為偉大使命,專注于國(guó)內(nèi)領(lǐng)先的信息安全領(lǐng)域,為客戶提供軟件研發(fā)、系統(tǒng)集成、技術(shù)服務(wù)等全方位的解決方案與服務(wù),是中國(guó)計(jì)算機(jī)信息安全領(lǐng)域領(lǐng)先的體系設(shè)計(jì)者、服務(wù)交付者和產(chǎn)品供應(yīng)者。
保旺達(dá)作為國(guó)內(nèi)最早從事信息安全產(chǎn)品研發(fā)、銷售、集成的企業(yè)之一,已通過ISO9001質(zhì)量管理體系、ISO27001信息安全管理體系、CMMI3級(jí)認(rèn)證和ITSS貳級(jí)認(rèn)證,榮獲“江蘇省軟件企業(yè)”稱號(hào),還是江蘇省信息產(chǎn)業(yè)廳首批信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)、江蘇省公安廳等級(jí)保護(hù)服務(wù)機(jī)構(gòu)、江蘇省規(guī)劃布局內(nèi)重點(diǎn)軟件企業(yè),具有國(guó)家計(jì)算機(jī)信息系統(tǒng)集成貳級(jí)資質(zhì)、國(guó)家信息安全服務(wù)一級(jí)資質(zhì)和信息系統(tǒng)集成乙級(jí)資質(zhì)。
保旺達(dá)堅(jiān)持“始于客戶要求,終于客戶滿意”,憑借豐富的項(xiàng)目管理經(jīng)驗(yàn)和完善的產(chǎn)品解決方案,先后在華北、華東、華南、華中、西南、西北等區(qū)域的多個(gè)省市成立辦事處和技術(shù)支持中心,業(yè)務(wù)網(wǎng)絡(luò)遍及全國(guó)。
保旺達(dá)與中國(guó)聯(lián)通、中國(guó)移動(dòng)、中國(guó)電信等電信運(yùn)營(yíng)商建立穩(wěn)定的合作關(guān)系,提供安全運(yùn)維服務(wù),并參與和主導(dǎo)了三大電信運(yùn)營(yíng)商信息安全體系的設(shè)計(jì)和規(guī)范編寫工作。同時(shí),保旺達(dá)還為政府部門和軍工企業(yè)提供信息專項(xiàng)集成服務(wù)。
保旺達(dá)依托專業(yè)的研發(fā)力量和強(qiáng)大的人才優(yōu)勢(shì),成功研發(fā)出網(wǎng)絡(luò)信息交換系統(tǒng)、統(tǒng)一運(yùn)維管理系統(tǒng)、打印刻錄安全監(jiān)控審計(jì)系統(tǒng)、敏感數(shù)據(jù)擴(kuò)散跟蹤地圖等50多項(xiàng)軟件產(chǎn)品,形成網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、云應(yīng)用安全五大產(chǎn)品體系,多個(gè)產(chǎn)品通過中國(guó)質(zhì)量認(rèn)證中心、國(guó)家保密科技測(cè)評(píng)中心和公安部網(wǎng)絡(luò)安全保衛(wèi)局的產(chǎn)品檢測(cè),多個(gè)產(chǎn)品獲得計(jì)算機(jī)軟件著作權(quán)和軟件產(chǎn)品登記證書。保旺達(dá)承擔(dān)的科研項(xiàng)目多次獲得國(guó)家專項(xiàng)資金扶持,獲評(píng)國(guó)家和省市級(jí)獎(jiǎng)項(xiàng),為各大運(yùn)營(yíng)商和政企業(yè)客戶建立可信可靠的安全管理體系。
人才是現(xiàn)代企業(yè)永續(xù)發(fā)展的第一動(dòng)力。保旺達(dá)在發(fā)展過程中,一貫堅(jiān)持 “尊重、愛護(hù)、培養(yǎng)、發(fā)展”的用人育才方針,通過科學(xué)完善的績(jī)效和薪酬管理體系,致力于為人才提供優(yōu)厚的福利待遇和卓越的個(gè)人發(fā)展平臺(tái)。保旺達(dá)擁有一支年輕、專業(yè)的技術(shù)團(tuán)隊(duì),博士學(xué)歷和碩士學(xué)歷的員工占10%,擁有本科學(xué)歷的員工占80%。
為跟蹤技術(shù)潮流,實(shí)現(xiàn)自主創(chuàng)新、積蓄后勁,保旺達(dá)長(zhǎng)期與南京大學(xué)、東南大學(xué)等多所知名高校進(jìn)行產(chǎn)學(xué)研合作,并委托培養(yǎng)和外派培養(yǎng)了大量信息安全領(lǐng)域的專家人才,搶占信息安全技術(shù)的制高點(diǎn)。
2015年,Jeep切諾基Uconnect 車載系統(tǒng)漏洞就曾被曝出,攻擊者通過漏洞能遠(yuǎn)程控制汽車娛樂系統(tǒng)、制動(dòng)甚至油門等功能,對(duì)高速行駛中的汽車駕駛者而言,這是生死攸關(guān)的安全問題。該事件導(dǎo)致克萊斯勒不得不在美國(guó)召回140萬(wàn)輛汽車,并對(duì)其車載軟件進(jìn)行升級(jí)。
車聯(lián)網(wǎng)信息安全隱患已非個(gè)案。國(guó)家層面也在積極推動(dòng)、探索汽車行業(yè)與信息安全交叉領(lǐng)域的安全規(guī)范及標(biāo)準(zhǔn)建設(shè)。2016年11月正式出臺(tái)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確要求網(wǎng)絡(luò)運(yùn)營(yíng)者(車廠、車聯(lián)網(wǎng)運(yùn)營(yíng)者)應(yīng)“采取技術(shù)措施和其他必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動(dòng),維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性”。
這意味著國(guó)家層面已經(jīng)意識(shí)、關(guān)注并不斷推動(dòng)車聯(lián)網(wǎng)信息安全的防御體系建設(shè),通過加合國(guó)世界車輛法規(guī)協(xié)調(diào)論壇(簡(jiǎn)稱WP29),積極參與聯(lián)合國(guó)汽車信息安全法律法規(guī)的起草、修訂工作。作為中國(guó)受邀單位,東軟集團(tuán)也由網(wǎng)絡(luò)安全事業(yè)部物聯(lián)網(wǎng)研發(fā)中心主任陳靜相作為代表,出席于今年3月1日在美國(guó)召開的ISO和SAE聯(lián)合工作組第二次會(huì)議。
汽車安全防護(hù)意識(shí)抬頭
目前,汽車行業(yè)ISO標(biāo)準(zhǔn)體系已明確汽車功能安全規(guī)范,但并未做強(qiáng)制性推行。2016年,WP29就著手?jǐn)M定汽車信息安全相關(guān)草案,計(jì)劃將其作為一個(gè)國(guó)際交通系統(tǒng)必須遵守的強(qiáng)制性法律法規(guī)推出。
“東軟之所以能作為中方代表參與其中,是因?yàn)槲覀冊(cè)谄囯娮有袠I(yè)以及安全領(lǐng)域有了近20年的積累。在將安全與車聯(lián)網(wǎng)相關(guān)聯(lián)并量產(chǎn)的實(shí)際能力方面東軟有一定優(yōu)勢(shì)。”東軟集團(tuán)副總裁兼網(wǎng)絡(luò)安全事業(yè)部總經(jīng)理?xiàng)罴o(jì)文表示,他們是想通過自身的一些積累,在推動(dòng)汽車安全領(lǐng)域無(wú)論是國(guó)內(nèi)標(biāo)準(zhǔn)還是國(guó)際標(biāo)準(zhǔn)的過程中貢獻(xiàn)力量。
WP29推國(guó)際交通系統(tǒng)強(qiáng)制性法規(guī),這對(duì)國(guó)內(nèi)企業(yè)觸動(dòng)極大,同時(shí)也將影響智能網(wǎng)聯(lián)汽車、無(wú)人駕駛汽車未來(lái)的市場(chǎng)格局。作為中方代表參與WP29國(guó)際法規(guī)建設(shè),尤其是聯(lián)合國(guó)汽車信息安全標(biāo)準(zhǔn)建設(shè)的具體工作,陳靜相也坦誠(chéng)壓力。
“一方面,國(guó)內(nèi)車廠此前在汽車信息安全方面普遍沒有太多涉獵和積累,而我們參與提案的內(nèi)容對(duì)現(xiàn)有產(chǎn)業(yè)格局會(huì)產(chǎn)生影響,勢(shì)必會(huì)有阻力,這是難點(diǎn)一;另一方面,在汽車信息安全技術(shù)維度,歐洲主導(dǎo)加密技術(shù),美國(guó)更注重整個(gè)管理流程、周期上的安全規(guī)范,東軟如何代表國(guó)內(nèi)汽車行業(yè)群體,把握好技術(shù)的主導(dǎo)方向,同時(shí)也要考慮將區(qū)域市場(chǎng)中的一些技術(shù)需求反映到國(guó)際汽車組織中,這是難點(diǎn)二。”
由東軟集團(tuán)股份有限公司、公安部第三研究所、長(zhǎng)安集團(tuán)、中國(guó)電子科技集團(tuán)公司第十五研究所、中國(guó)信息安全認(rèn)證中心、中國(guó)軟件測(cè)評(píng)中心、恩智浦(中國(guó))、長(zhǎng)安汽車股份有限公司、奇瑞汽車股份有限公司等共同組成的車載信息安全產(chǎn)業(yè)聯(lián)盟(Automotive Cybersecurity Industry Alliance,縮寫:ACIA)2016年正式在京成立,該聯(lián)盟正式對(duì)外了《車載信息安全技術(shù)標(biāo)準(zhǔn)白皮書》。東軟集團(tuán)也同期了國(guó)內(nèi)首款車載信息安全產(chǎn)品――東軟S-Car整體解決方案。
而東軟也一直積極與國(guó)內(nèi)各個(gè)車廠進(jìn)行溝通,希望借此打消國(guó)內(nèi)汽車廠商對(duì)現(xiàn)階段的測(cè)試部署是否符合未砉際標(biāo)準(zhǔn)的顧慮,并希望憑借自身的努力,在真正的汽車安全行業(yè)標(biāo)準(zhǔn)落地后,保證前期介入制定的各項(xiàng)標(biāo)準(zhǔn)能夠切實(shí)為汽車廠商提供應(yīng)用支撐、提升安全防護(hù)。
深耕車載信息安全
陳靜相介紹說(shuō),車載信息安全分為終端安全和網(wǎng)絡(luò)安全兩部分,與傳統(tǒng)安全有著巨大差異。“這是一條更艱難的道路。”陳靜相表示,“車載信息安全系統(tǒng)對(duì)車輛的操作性、實(shí)時(shí)性要求非常高,其所涉及到的技術(shù)難度是從量變到質(zhì)變的過程。”例如,車載信息系統(tǒng)在加入安全元素之后,在流量的傳輸上也將帶來(lái)更大成本,同時(shí),車載信息安全系統(tǒng)需要做雙向認(rèn)證,在車輛每次斷網(wǎng)再連網(wǎng)時(shí),需要再做一次安全部署。而車載實(shí)時(shí)操作系統(tǒng)內(nèi)存非常有限,傳統(tǒng)的算法在其上無(wú)法直接運(yùn)行,這一切無(wú)疑都是一個(gè)巨大挑戰(zhàn)。
而汽車行業(yè)對(duì)設(shè)備的性能也有著異常嚴(yán)苛的要求。陳靜相舉例說(shuō)明,寶馬汽車在測(cè)試一款即將在歐洲車型上裝配的收音機(jī)部件時(shí),甚至派出工程師坐著樣車環(huán)繞歐洲開了好幾圈,測(cè)試收音機(jī)在不同地區(qū)不同頻段是否會(huì)出現(xiàn)細(xì)微吱吱聲,并隨時(shí)記錄以便改進(jìn)。
對(duì)此,東軟選擇的技術(shù)路線是由內(nèi)而外,通過在汽車底層網(wǎng)絡(luò)中構(gòu)建、部署汽車智能信息安全系統(tǒng)的方式來(lái)提升整個(gè)車聯(lián)網(wǎng)系統(tǒng)的安全防御能力。
陳靜相將東軟在汽車安全領(lǐng)域的“事業(yè)”形象地比喻為一個(gè)與蘋果手機(jī)iOS系統(tǒng)緊密結(jié)合的安全模塊,這個(gè)模塊可以從底層真正解決用戶的安全問題,其重要性不言而喻。
關(guān)鍵詞:商業(yè)銀行 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)風(fēng)險(xiǎn)
1 城市商業(yè)銀行網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀
銀行的信息與網(wǎng)絡(luò)安全建設(shè)與銀行的整個(gè)電子化、信息化和網(wǎng)絡(luò)化密切相關(guān),把金融風(fēng)險(xiǎn)監(jiān)管現(xiàn)代化和金融電子化、信息化和網(wǎng)絡(luò)化風(fēng)險(xiǎn)的監(jiān)管密切結(jié)合起來(lái),是搞好銀行與阿絡(luò)安全建設(shè)的根本思路。目前城市商業(yè)銀行信息化安全的觀念對(duì)于網(wǎng)絡(luò)與系統(tǒng)的虛擬世界的“行為與內(nèi)容的監(jiān)管”和“大范圍的網(wǎng)絡(luò)環(huán)境的安全問題”,考慮較少。
1.1銀行網(wǎng)絡(luò)行為和內(nèi)容的安全情況
銀行網(wǎng)絡(luò)的安全問題實(shí)際是銀行風(fēng)險(xiǎn)監(jiān)管的問題,銀行風(fēng)險(xiǎn)監(jiān)管既要檢查銀行和客戶人員在現(xiàn)實(shí)世界中的人與銀行業(yè)務(wù)相關(guān)的行為結(jié)果,又要檢查網(wǎng)絡(luò)虛擬世界中用戶、系統(tǒng)和的行為,實(shí)際上要對(duì)銀行監(jiān)管實(shí)行監(jiān)管現(xiàn)代化的建設(shè)和銀行信息化實(shí)行監(jiān)管。
1.2銀行業(yè)務(wù)運(yùn)營(yíng)信息化安全情況
主要涉及銀行價(jià)值管理信息系統(tǒng)、資源管理信息系統(tǒng)、銀行產(chǎn)品服務(wù)管理信息系統(tǒng)等。對(duì)于這些業(yè)務(wù)信息系統(tǒng),由于銀行系統(tǒng)有高度的安全意識(shí)銀行系統(tǒng)的安全工作開展的較早,制定了相關(guān)的標(biāo)準(zhǔn)和規(guī)范,進(jìn)行了安全規(guī)劃與實(shí)施等。
1.3銀行網(wǎng)絡(luò)系統(tǒng)安全情況
當(dāng)前銀行網(wǎng)絡(luò)系統(tǒng)安全問題重要表現(xiàn)在數(shù)據(jù)大集中后的安全,其特點(diǎn)是數(shù)據(jù)服務(wù)大集中,前置通信中心強(qiáng)大的和眾多本地與遠(yuǎn)端終端的中心體系結(jié)構(gòu)。
應(yīng)該看到,電子化在給銀行帶來(lái)利益的同時(shí),也給銀行帶來(lái)了新的安全問題。原因主要有三個(gè):伴隨金融體制改革的深入、對(duì)外開放的擴(kuò)大,金融風(fēng)險(xiǎn)迅速增大;當(dāng)前計(jì)算機(jī)應(yīng)用日益廣泛、日趨網(wǎng)絡(luò)化,系統(tǒng)的安全性漏洞也隨之增加;計(jì)算機(jī)知識(shí)日益普及,金融網(wǎng)絡(luò)向國(guó)際化發(fā)展,計(jì)算機(jī)犯罪技術(shù)在不斷提高。
2 銀行網(wǎng)絡(luò)安全重點(diǎn)關(guān)注的方面
目前銀行用戶關(guān)注的信息化安全問題主要是客戶隱私、用戶權(quán)益、信息內(nèi)容安全和客戶可信接入銀行網(wǎng)等問題:
全面整合銀行信息化安全建設(shè),在此基礎(chǔ)上建立銀行信息安全保障、應(yīng)急和監(jiān)管系統(tǒng)。
以安全觀點(diǎn)再度審核銀行應(yīng)用數(shù)據(jù)大集中的安全建設(shè)問題、專網(wǎng)與公網(wǎng)的隔離安全建設(shè)、銀行外包服務(wù)安全建設(shè)、安全檢測(cè)、監(jiān)控、審計(jì)、追蹤和定位系統(tǒng)建設(shè)、制定安全應(yīng)急標(biāo)準(zhǔn)與安全應(yīng)急培訓(xùn)。
3 安全風(fēng)險(xiǎn)分析
我們可以參考國(guó)際標(biāo)準(zhǔn)化組織ISO開放系統(tǒng)互聯(lián)(OSI)模型,將整個(gè)銀行系統(tǒng)的安全風(fēng)險(xiǎn)統(tǒng)一劃分成五個(gè)層次,即物理層安全、網(wǎng)絡(luò)層安全、操作系統(tǒng)層安全、應(yīng)用層安全以及管理層安全。
3.1物理層安全風(fēng)險(xiǎn)分析。物理層安全包括通信線路的安全,物理設(shè)備的安全,機(jī)房的安全等。
3.2網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析。網(wǎng)絡(luò)層安全包括網(wǎng)絡(luò)層身份認(rèn)證,網(wǎng)絡(luò)資源的訪問控制,數(shù)據(jù)傳輸?shù)谋C芎屯暾裕h(yuǎn)程接入的安全,路由系統(tǒng)的安全等。
a數(shù)據(jù)傳輸風(fēng)險(xiǎn)分析。表現(xiàn)在重要業(yè)務(wù)數(shù)據(jù)泄漏、重要數(shù)據(jù)被破壞等,如果沒有專門的軟件或硬件對(duì)數(shù)據(jù)進(jìn)行控制,所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸,因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取
b網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析。主要表現(xiàn)于銀行業(yè)務(wù)系統(tǒng)安全和互聯(lián)網(wǎng)出口的安全。
c網(wǎng)絡(luò)設(shè)備的安全風(fēng)險(xiǎn)。由于銀行專用網(wǎng)絡(luò)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備,如交換機(jī)、路由器等,使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的銀行系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。
3.3系統(tǒng)層的安全風(fēng)險(xiǎn)。主要表現(xiàn)在兩方面:一是操作系統(tǒng)本身的安全漏洞和隱患;二是對(duì)操作系統(tǒng)的錯(cuò)誤配置。
3.4應(yīng)用層安全風(fēng)險(xiǎn)分析。應(yīng)用層安全是用戶采用的應(yīng)用軟件和數(shù)據(jù)庫(kù)的安全性,包括數(shù)據(jù)庫(kù)軟件、Web服務(wù)、電子郵件系統(tǒng)、域名服務(wù)系統(tǒng)、業(yè)務(wù)應(yīng)用軟件,以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)(如Telnet、FTP等)。
3.5管理層安全風(fēng)險(xiǎn)分析
管理層安全包括安全技術(shù)和設(shè)備的管理,安全管理制度的制定,部門和人員的組織規(guī)劃等。要建立完備的安全網(wǎng)絡(luò)最終要靠人來(lái)實(shí)現(xiàn),因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)。因此我們有必要認(rèn)真的分析管理所帶來(lái)的安全風(fēng)險(xiǎn),并采取相應(yīng)的安全措施。
4 安全方案總體設(shè)計(jì)
4.1網(wǎng)絡(luò)安全建設(shè)原則
網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程,銀行網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排,統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行,采用先進(jìn)的“平臺(tái)化”建設(shè)思想,避免重復(fù)投入、建設(shè),充分考慮整體和局部的利益,堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。
在實(shí)際實(shí)施中還要按照系列基本原則進(jìn)行:系統(tǒng)性原則;簡(jiǎn)單性原則;實(shí)時(shí)、連續(xù)、安全統(tǒng)一原則;需求、風(fēng)險(xiǎn)、代價(jià)平衡原則;實(shí)用與先進(jìn)相互結(jié)合的原則;方便與安全相互統(tǒng)一原則;全面防護(hù)、突出重點(diǎn)原則;分層、分區(qū)原則;整體規(guī)劃、分布實(shí)施原則;責(zé)任明確,分級(jí)管理,聯(lián)合防護(hù)原則。
4.2網(wǎng)絡(luò)安全建設(shè)目標(biāo)
我們對(duì)于銀行網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的目標(biāo)為:采用防護(hù)、檢測(cè)、反應(yīng)、恢復(fù)四方面行之有效的安全措施,建立一個(gè)全方位并易于管理的安全體系,確保銀行網(wǎng)絡(luò)系統(tǒng)安全可靠的運(yùn)行
a系統(tǒng)級(jí)安全目標(biāo)。保證操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)的安全補(bǔ)丁不斷升級(jí)、安全設(shè)置正確,防止計(jì)算機(jī)終端、服務(wù)器感染通過軟盤、光盤、網(wǎng)絡(luò)、電子郵件及其它網(wǎng)絡(luò)途徑傳播的計(jì)算機(jī)病毒。
b網(wǎng)絡(luò)級(jí)安全目標(biāo)。保證內(nèi)外網(wǎng)之間、內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域之間的安全隔離和有效的訪問控制,保證系統(tǒng)業(yè)務(wù)敏感信息網(wǎng)絡(luò)傳輸中的機(jī)密性、完整性,保證網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全漏洞及時(shí)發(fā)現(xiàn)、告警,網(wǎng)絡(luò)安全狀況不斷改善,以及保證銀行網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)傳輸系統(tǒng)的高可靠性:主要指線路、設(shè)備的備份、冗余等。
c應(yīng)用級(jí)別安全目標(biāo)。防止本地用戶和遠(yuǎn)程用戶的非授權(quán)訪問、越權(quán)訪問和身份假冒,保證各種服務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。
d管理級(jí)安全目標(biāo)。對(duì)安全軟硬件設(shè)備(如防殺病毒軟件、入侵檢測(cè)軟件、安全MPN設(shè)備、防火墻設(shè)備)和安全策略、安全狀況能夠集中統(tǒng)一管理、監(jiān)控、審計(jì)和響應(yīng),保證安全責(zé)任分解到人、出現(xiàn)問題有跡可尋,加強(qiáng)管理制度和管理體系建設(shè)。
4.3整體安全設(shè)計(jì)概述
整體安全設(shè)計(jì)要最大限度保障業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)的安全,做到安全性和方便性的統(tǒng)一。
a數(shù)據(jù)庫(kù)服務(wù)器是業(yè)務(wù)系統(tǒng)中最重要的數(shù)據(jù)庫(kù)部分,它保存了所有業(yè)務(wù)交易相關(guān)的各種帳務(wù)數(shù)據(jù),因此必須對(duì)它們實(shí)行有限訪問控制防護(hù)——配置雙機(jī)熱備防火墻系統(tǒng)。
b由于辦公機(jī)器眾多、員工的安全防范意識(shí)較差,需要與互聯(lián)網(wǎng)接入,又要直接接入OA辦公、決策等系統(tǒng),因此,辦公機(jī)器應(yīng)受到高度關(guān)注。
c由于網(wǎng)絡(luò)中設(shè)備、主機(jī)數(shù)量眾多,應(yīng)此使用日志審計(jì)系統(tǒng)收集全網(wǎng)中的安全設(shè)備、服務(wù)器的日志,進(jìn)行歸檔、分析,及時(shí)發(fā)現(xiàn)系統(tǒng)中發(fā)生的安全時(shí)間,起到事后審計(jì)的安全機(jī)制。
興安盟地處東北,人口不多,轄2個(gè)縣級(jí)市、1個(gè)縣、3個(gè)旗。該盟電子政務(wù)建設(shè)從資金來(lái)源、架構(gòu)、信息服務(wù)等幾個(gè)方面頗有特色,以電子政務(wù)和興安盟政府門戶網(wǎng)站為抓手,90%的聯(lián)網(wǎng)機(jī)關(guān)開通局域網(wǎng),全年無(wú)障礙率達(dá)到300天,并注重服務(wù)功能,值得學(xué)習(xí)。
按照著力打造發(fā)展型、效能型、服務(wù)型政府的要求,興安盟將進(jìn)一步深化職能定位,轉(zhuǎn)變工作作風(fēng),創(chuàng)新工作方法,以電子政務(wù)和興安盟政府門戶網(wǎng)站為抓手,積極協(xié)調(diào)推進(jìn)電子政務(wù)建設(shè),努力提高信息化應(yīng)用水平。
統(tǒng)一網(wǎng)絡(luò)平臺(tái)
近年來(lái),興安盟在財(cái)政緊張的情況下共投入信息化建設(shè)資金800多萬(wàn)元,主要用于電子政務(wù)平臺(tái)建設(shè)、行政審批服務(wù)中心網(wǎng)絡(luò)平臺(tái)建設(shè)、信息資源開發(fā)、線路租用、應(yīng)用系統(tǒng)軟件的開發(fā)和購(gòu)買、計(jì)算機(jī)配備等。
興安盟堅(jiān)持以市場(chǎng)機(jī)制為基礎(chǔ),實(shí)現(xiàn)電子政務(wù)投資多元化,吸引非政府機(jī)構(gòu)參與電子政務(wù)建設(shè),確保電子政務(wù)順利發(fā)展。在確保政務(wù)安全的前提下,通過合理方式授權(quán)企業(yè)參與籌資、建設(shè)、運(yùn)營(yíng)和管理,減輕了政府部門預(yù)算壓力,確保了政府網(wǎng)站運(yùn)行的資金來(lái)源。
按照自治區(qū)信息化總體規(guī)劃和部署,興安盟積極努力推進(jìn)信息化基礎(chǔ)設(shè)施建設(shè),充分調(diào)動(dòng)網(wǎng)通公司、移動(dòng)公司、廣電等網(wǎng)絡(luò)運(yùn)營(yíng)商積極性,扎實(shí)推進(jìn)興安盟信息化基礎(chǔ)設(shè)施建設(shè),規(guī)劃和籌備了盟級(jí)電子政務(wù)平臺(tái)、行政審批服務(wù)中心網(wǎng)絡(luò)平臺(tái)、民生工程等一批信息化基礎(chǔ)設(shè)施建設(shè)項(xiàng)目,促使興安盟信息化基礎(chǔ)設(shè)施建設(shè)有了質(zhì)的飛躍。
興安盟基本建成了盟級(jí)電子政務(wù)網(wǎng)絡(luò)平臺(tái)和行政審批服務(wù)中心網(wǎng)絡(luò)平臺(tái),各旗縣市政府、盟農(nóng)牧場(chǎng)管理局、盟直各部門及部分區(qū)直機(jī)關(guān)已經(jīng)接入,并全部建立了內(nèi)部局域網(wǎng)。同時(shí)為各旗縣市政府配備了高端路由器,為盟直財(cái)政撥款單位配備了三層交換機(jī),盟到各旗縣市、盟直各部門的光纖已經(jīng)全部開通,線路租賃費(fèi)全部由盟里負(fù)責(zé),為全盟推進(jìn)信息化創(chuàng)造了條件。同時(shí),興安盟初步完成了由防火墻、網(wǎng)閘、網(wǎng)站監(jiān)測(cè)、互聯(lián)網(wǎng)安全審計(jì)等網(wǎng)絡(luò)安全設(shè)備組成的網(wǎng)絡(luò)安全體系建設(shè),確保了電子政務(wù)網(wǎng)絡(luò)平臺(tái)的安全穩(wěn)定。
結(jié)合政府信息公開目錄及“百件實(shí)事”網(wǎng)上辦的有關(guān)要求,興安盟對(duì)門戶網(wǎng)站進(jìn)行了全新改版。目前,興安盟電子政務(wù)綜合門戶網(wǎng)站已經(jīng)成為宣傳興安盟的窗口,對(duì)外招商引資,合作交流的信息樞紐。
在移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)建設(shè)方面,基于短信方式的企業(yè)短信平臺(tái)也在興安盟大力推廣,政府、企業(yè)、服務(wù)業(yè)等企事業(yè)單位均有應(yīng)用,效果顯著。目前,中心城區(qū)、城關(guān)鎮(zhèn)、重點(diǎn)地區(qū)均已具備光纖入戶能力;無(wú)線網(wǎng)絡(luò)已經(jīng)形成對(duì)興安盟點(diǎn)、線、面的立體覆蓋,基本實(shí)現(xiàn)了對(duì)城區(qū)內(nèi)所有人口的90%以上覆蓋,對(duì)主要會(huì)場(chǎng)、酒店、商務(wù)中心、購(gòu)物中心實(shí)現(xiàn)了室內(nèi)覆蓋,對(duì)鄉(xiāng)鎮(zhèn)實(shí)現(xiàn)了92%覆蓋,對(duì)行政村實(shí)現(xiàn)了85%的覆蓋,互聯(lián)網(wǎng)絡(luò)帶寬和無(wú)線通訊質(zhì)量得到了大幅提升。
根據(jù)政策法規(guī)結(jié)合實(shí)際,興安盟印發(fā)了《興安盟電子政務(wù)外網(wǎng)管理(暫行)辦法》,加強(qiáng)各地、各部門電子政務(wù)外網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)安全工作管理,督促?gòu)?qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全意識(shí),及時(shí)排除網(wǎng)絡(luò)安全隱患。全盟政務(wù)專網(wǎng)穩(wěn)定程度明顯提高,全年無(wú)障礙率達(dá)到300天以上。對(duì)門戶網(wǎng)站進(jìn)行了重新改版,增強(qiáng)了服務(wù)功能,完善了“政務(wù)公開”、“百件實(shí)事網(wǎng)上辦”、“政府信息公開”、“應(yīng)急管理”等欄目的內(nèi)容。加大了網(wǎng)站動(dòng)態(tài)新聞的日常更新與維護(hù)。對(duì)全盟重要會(huì)議、盟委行署重點(diǎn)工作及重大決策進(jìn)行了及時(shí)報(bào)道。
轉(zhuǎn)向服務(wù)
按照自治區(qū)電子政務(wù)三級(jí)“王”型網(wǎng)絡(luò)建設(shè)要求,盟級(jí)電子政務(wù)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)已搭建,以此為依托,電子政務(wù)應(yīng)用逐步展開。盟政務(wù)門戶網(wǎng)站陸續(xù)建設(shè)完成了32個(gè)(80多個(gè))子網(wǎng)站,形成了具有興安盟特色的外網(wǎng)門戶網(wǎng)站群,政務(wù)信息公開程度得到一定的提高。
興安盟建成了以盟行署綜合政務(wù)門戶網(wǎng)站為主站,以盟四大班子、80多個(gè)盟直部門、各旗縣市門戶網(wǎng)站為子站的政府門戶網(wǎng)站群。政務(wù)網(wǎng)絡(luò)平臺(tái)建設(shè)日臻完善,信息資源開發(fā)利用步伐加快。截止2010年底已建成連接自治區(qū)統(tǒng)一電子政務(wù)外網(wǎng)的骨干傳輸網(wǎng)絡(luò),實(shí)現(xiàn)了盟委、人大、政府、政協(xié)、旗縣區(qū)及市直部門局域網(wǎng)的互聯(lián)互通,80個(gè)單位接入盟本級(jí)電子政務(wù)城域網(wǎng),48個(gè)部門建成內(nèi)部局域網(wǎng),6個(gè)旗縣區(qū)、40個(gè)委辦局通過互聯(lián)網(wǎng)政務(wù)信息,21個(gè)部門建有數(shù)據(jù)庫(kù),20多個(gè)部門采取信息安全措施,聯(lián)網(wǎng)部門中90%以上的部門已建立了內(nèi)部局域網(wǎng),并根據(jù)各自業(yè)務(wù)要求不同程度的開展網(wǎng)上應(yīng)用。
盟四大班子辦公自動(dòng)化系統(tǒng)為無(wú)紙化辦公、實(shí)現(xiàn)了四大班子到各旗縣市和盟直部門之間的公文流轉(zhuǎn)無(wú)紙化奠定了基礎(chǔ),盟級(jí)視頻會(huì)議系統(tǒng)、公務(wù)員電子郵件系統(tǒng)、網(wǎng)上視頻點(diǎn)播系統(tǒng)等政務(wù)部門公共應(yīng)用系統(tǒng)也已建成。
興安盟定期維護(hù)電子政務(wù)平臺(tái),確保接入單位與自治區(qū)傳輸通道暢通,采取有效措施,完成業(yè)務(wù)系統(tǒng)與自治區(qū)順利對(duì)接,進(jìn)一步完善了盟本級(jí)電子政務(wù)網(wǎng)絡(luò)平臺(tái)技術(shù)方案及硬件方案,實(shí)現(xiàn)自治區(qū)―盟市―旗縣電子政務(wù)三級(jí)網(wǎng)絡(luò)互聯(lián)互通。此外,以“金關(guān)”、“金卡”、“金稅”、“金盾”為代表的重大信息化應(yīng)用工程穩(wěn)步推進(jìn);以“中國(guó)?興安盟”政府門戶網(wǎng)站為核心的政府網(wǎng)站體系不斷完善;行政審批全程辦事試點(diǎn)工作積極推進(jìn),跨部門的一站式電子化公共服務(wù)穩(wěn)步展開。
政府網(wǎng)站服務(wù)功能增強(qiáng),政府信息公開及時(shí)準(zhǔn)確,政府門戶網(wǎng)站每日訪問量達(dá)萬(wàn)次。政府網(wǎng)站除確保已有信息的及時(shí)準(zhǔn)確外,隨時(shí)更新盟委、盟行署各類信息,及時(shí)采集、整合信息資源,切實(shí)滿足百姓需求。
網(wǎng)站開展了行風(fēng)政風(fēng)網(wǎng)上評(píng)議、雙擁模范測(cè)評(píng)、干部述職述廉、漢語(yǔ)言文字評(píng)估等網(wǎng)上互動(dòng)交流和調(diào)查工作,提高了群眾的參政議政工作水平。強(qiáng)化了盟行署網(wǎng)站的社會(huì)服務(wù)功能,為推進(jìn)盟行署有關(guān)部門專項(xiàng)工作開展創(chuàng)造了良好的輿論氛圍。
鏈接
二、認(rèn)真組織,取得成效。中心利用三個(gè)月的時(shí)間,完成了學(xué)習(xí)動(dòng)員、查擺問題和研究整改三個(gè)階段的活動(dòng),取得了明顯的成效。共學(xué)習(xí)討論12次,寫學(xué)習(xí)筆記兩萬(wàn)余字,寫體會(huì)文章20余篇,征求到各服務(wù)對(duì)象及本中心人員對(duì)信息中心工作六大類共36條意見和建議。通過認(rèn)真研究討論,形成針對(duì)六大類問題的整改措施,為今后中心的發(fā)展指明了方向。通過內(nèi)部學(xué)習(xí)交流,每個(gè)人都認(rèn)真查找了自身存在的問題和差距,堅(jiān)定了不斷提高自己的決心,明確了自己今后的奮斗方向。
三、查改集合,學(xué)以治用
我中心重點(diǎn)負(fù)責(zé)全局的網(wǎng)絡(luò)及監(jiān)控體系建設(shè)工作,過去習(xí)慣于按部就班式地完成任務(wù)。通過學(xué)家提高了認(rèn)識(shí),增強(qiáng)了主動(dòng)服務(wù),積極創(chuàng)新的意識(shí)。結(jié)合整改在幾項(xiàng)重點(diǎn)工作中主動(dòng)謀劃,大膽創(chuàng)新,使解放思想大討論見到了實(shí)效。
1、針對(duì)我局網(wǎng)絡(luò)不穩(wěn)定的問題,主動(dòng)征求了各部門的意見,多方面查找好的網(wǎng)絡(luò)設(shè)備,走訪了國(guó)家環(huán)保總局、省環(huán)保局及我市信息化建設(shè)好的單位,集各地的網(wǎng)絡(luò)功能及設(shè)備優(yōu)勢(shì),制訂了我局網(wǎng)絡(luò)改造方案,經(jīng)專家論證后,組織實(shí)施。在較短的時(shí)間內(nèi),使我局網(wǎng)絡(luò)運(yùn)行狀況得到了較大的改觀。
2、挖掘潛力,發(fā)揮資源優(yōu)勢(shì),完善我局局域網(wǎng)平臺(tái)建設(shè)。通過解放思想大討論,增強(qiáng)了主動(dòng)服務(wù)意識(shí)。中心廣集思路進(jìn)一步完善了局域網(wǎng)綜合辦公平臺(tái)內(nèi)容,并在全局大平臺(tái)的基礎(chǔ)上,增設(shè)了各科室的網(wǎng)站專頁(yè),方便了領(lǐng)導(dǎo)對(duì)各科室工作的及時(shí)了解和掌握。
3、針對(duì)群眾反映的烤火期煙囪冒黑煙問題,中心主動(dòng)利用先進(jìn)的煙氣黑度自動(dòng)監(jiān)控系統(tǒng),開始全天候?qū)κ袇^(qū)范圍內(nèi)的煙囪進(jìn)行監(jiān)控掃描,將監(jiān)控到的不合格煙囪拍照后交稽查大隊(duì)處理,并在環(huán)保在線曝光。
4、春節(jié)期間,為確保在線監(jiān)控系統(tǒng)的正常穩(wěn)定運(yùn)行,保證我市環(huán)境安全,中心10人全部晝夜輪流值班,一方面保證監(jiān)控網(wǎng)絡(luò)的正常運(yùn)行,另一方面隨時(shí)監(jiān)控重點(diǎn)企業(yè)的排污情況,做到有異常及時(shí)發(fā)現(xiàn),避免污染事故的產(chǎn)生。
四、針對(duì)問題,主動(dòng)謀劃
通過大討論,中心對(duì)內(nèi)部工作進(jìn)行了認(rèn)真的梳理,認(rèn)真分析了我局信息化建設(shè)及信息中心內(nèi)部存在的主要問題,表現(xiàn)在:一是網(wǎng)絡(luò)覆蓋能力不能完全滿足信息傳輸與資源共享的需要,現(xiàn)有環(huán)境信息傳輸網(wǎng)絡(luò)僅限于局內(nèi)部及局與前端監(jiān)測(cè)設(shè)備的聯(lián)接,隨著環(huán)境管理應(yīng)用需求的不斷增加,環(huán)境數(shù)據(jù)實(shí)時(shí)傳輸、信息資源共享的要求越來(lái)越高,網(wǎng)絡(luò)的覆蓋范圍、傳輸速度和穩(wěn)定性等需要不斷加強(qiáng)和提高。二是環(huán)境數(shù)據(jù)尚未得到全面有效開發(fā)和共享,多年環(huán)境管理工作積累了大量的基礎(chǔ)數(shù)據(jù),但這些數(shù)據(jù)庫(kù)的采集、傳輸、加工、存儲(chǔ)和應(yīng)用比較分散,缺少規(guī)范化,珍貴的環(huán)境數(shù)據(jù)尚未全面轉(zhuǎn)化為可用的信息資源。三是環(huán)境管理核心業(yè)務(wù)信息化程度有待提高,許多核心業(yè)務(wù)數(shù)據(jù)庫(kù)和應(yīng)用軟件有待開發(fā)。四是信息化更新維護(hù)人員業(yè)務(wù)水平欠缺,缺少系統(tǒng)建成后的全面培訓(xùn)和信息化技術(shù)的更新培訓(xùn)。五是環(huán)境信息化安全意識(shí)有待加強(qiáng),在當(dāng)前國(guó)家十分重視網(wǎng)絡(luò)安全的形勢(shì)下,我局缺少專業(yè)的網(wǎng)絡(luò)安全管理人員。六是環(huán)境信息化管理制度亟待加強(qiáng),目前尚未嚴(yán)格的網(wǎng)上內(nèi)容更新制度要求和明確的獎(jiǎng)罰措施。
針對(duì)問題,提出了20*年信息中心工作的思路
1、在項(xiàng)目籌劃和管理制度方面,按照統(tǒng)一規(guī)劃、資源整合、信息共享的原則籌劃信息化建設(shè)項(xiàng)目,按照統(tǒng)一管理、分塊負(fù)責(zé)的原則,制定嚴(yán)格的網(wǎng)絡(luò)管理及網(wǎng)上內(nèi)容維護(hù)制度,為辦公自動(dòng)化奠定基礎(chǔ)。
2、在管理機(jī)構(gòu)和隊(duì)伍建設(shè)方面,加強(qiáng)我局信息化機(jī)構(gòu)和隊(duì)伍建設(shè),成立由局各部門組織的信息化管理機(jī)構(gòu),成立網(wǎng)絡(luò)安全管理小組及電子政務(wù)領(lǐng)導(dǎo)小組,統(tǒng)一領(lǐng)導(dǎo)、規(guī)劃和管理我局網(wǎng)絡(luò)安全及電子政府信息化工作。
3、在基礎(chǔ)網(wǎng)絡(luò)和硬件建設(shè)方面,建設(shè)我市環(huán)保系統(tǒng)的環(huán)境信息廣域網(wǎng)絡(luò)系統(tǒng),通過建立虛擬專網(wǎng)的方式實(shí)現(xiàn)市局與區(qū)縣環(huán)境局的環(huán)境信息廣域網(wǎng)絡(luò)聯(lián)接。支持召開視頻會(huì)議。
4、在政府門戶網(wǎng)站和內(nèi)部辦公平臺(tái)建設(shè)方面,做好市政府門戶網(wǎng)站“中國(guó)*”網(wǎng)及我局環(huán)境信息外網(wǎng)的維護(hù)工作,進(jìn)一步更新完善外網(wǎng)結(jié)構(gòu)和內(nèi)容。以應(yīng)用系統(tǒng)高度集成為特色,全面完成我局電子政務(wù)綜合辦公平臺(tái)的建設(shè)任務(wù),增加網(wǎng)上公開內(nèi)容,擴(kuò)大環(huán)境信息網(wǎng)上公開指數(shù),提高為公眾服務(wù)的效率。
5、在業(yè)務(wù)系統(tǒng)建設(shè)和應(yīng)用方面,針對(duì)排污申報(bào)、排污收費(fèi)、建設(shè)項(xiàng)目審批、環(huán)境應(yīng)急管理等方面工作需要,組織開發(fā)一批業(yè)務(wù)應(yīng)用系統(tǒng),促進(jìn)我局環(huán)境保護(hù)工作的規(guī)范化管理,提高我局行政管理效率。同時(shí),根據(jù)我市特殊的地理位置,組織實(shí)施三維地理信息系統(tǒng)、環(huán)境應(yīng)急系統(tǒng)等先進(jìn)應(yīng)用系統(tǒng)的建設(shè),為我市建設(shè)項(xiàng)目規(guī)劃及環(huán)境安全提供技術(shù)支持。
6、在環(huán)境信息與統(tǒng)計(jì)能力建設(shè)方面,國(guó)家安排專項(xiàng)資金支持污染減排指標(biāo)、監(jiān)測(cè)、考核“三大體系”能力建設(shè),信息能力建設(shè)是基礎(chǔ)和關(guān)鍵,其重要內(nèi)容就是加強(qiáng)環(huán)境信息的采集、傳輸、儲(chǔ)存、分析和應(yīng)用等方面的能力。20*年重點(diǎn)抓好環(huán)境基礎(chǔ)數(shù)據(jù)庫(kù)建設(shè),建立和完善環(huán)保系統(tǒng)信息交換平臺(tái)及環(huán)境數(shù)據(jù)中心,提高環(huán)境信息資源共享程度和利用水平。
7、在環(huán)境宣傳和為公眾服務(wù)方面,以政府門戶網(wǎng)站為依托,進(jìn)一步完善公眾參與、在線辦事功能,為公眾提供“一站式”環(huán)境信息服務(wù),全面公開污染減排等有關(guān)環(huán)境保護(hù)的政策和工作進(jìn)展。針對(duì)污染減排等熱點(diǎn)環(huán)保問題,制作專題欄目,做好專題宣傳。同時(shí),加強(qiáng)網(wǎng)上互動(dòng),開展網(wǎng)上訪談,宣傳政策,解答疑問,讓更多的社會(huì)公眾了解、關(guān)心、支持污染減排及其它重點(diǎn)環(huán)境保護(hù)內(nèi)容。
8、在網(wǎng)絡(luò)安全和保密方面。積極應(yīng)用數(shù)據(jù)加密、身份認(rèn)證、訪問控制、安全檢測(cè)、數(shù)據(jù)備份等技術(shù),保證網(wǎng)絡(luò)環(huán)境下用戶身份的可靠性,增強(qiáng)系統(tǒng)的安全性,建立可信任網(wǎng)絡(luò)體系。同時(shí),建立并執(zhí)行完善的安全管理制度,構(gòu)筑全方位多層次安全體系,為環(huán)境信息化的健康有序發(fā)展提供堅(jiān)實(shí)的保障。
9、在知識(shí)更新和人員培訓(xùn)方面,根據(jù)環(huán)境信息化發(fā)展的當(dāng)前和長(zhǎng)遠(yuǎn)需要,制定人才發(fā)展規(guī)劃,通過內(nèi)部培養(yǎng)、委托培養(yǎng)、外聘專家等多種形式建設(shè)結(jié)構(gòu)合理的人才梯隊(duì)。重視人員知識(shí)的更新,在環(huán)保系統(tǒng)普及信息化技術(shù)和意識(shí)。
課題研究主要內(nèi)容包括智慧信息化整體架構(gòu)特征、安全框架,安全保障管理要求、技術(shù)要求及保障機(jī)制等。
概述
智慧信息化整體架構(gòu)與主要特征
智慧信息化整體架構(gòu)模型主要包括物聯(lián)感知層,網(wǎng)絡(luò)通信層,計(jì)算與存儲(chǔ)層,數(shù)據(jù)及服務(wù)支撐層,智慧應(yīng)用層,安全保障體系,運(yùn)維管理體系,建設(shè)質(zhì)量管理體系等。具有開放性、移動(dòng)化、集中化、協(xié)同化、高滲透等主要特征。
智慧信息系統(tǒng)安全風(fēng)險(xiǎn)分析
根據(jù)智慧信息化特征,結(jié)合信息安全體系層次模式,逐層分析智慧信息化帶來(lái)新的安全風(fēng)險(xiǎn)。
物理屏障層,主要包括場(chǎng)地門禁、設(shè)備監(jiān)控、警衛(wèi)等。移動(dòng)性特點(diǎn)帶來(lái)物理介質(zhì)的安全新風(fēng)險(xiǎn)。移動(dòng)設(shè)備和智能終端自身防御能力弱、數(shù)量大、分布散、采用無(wú)線連接、缺少有效監(jiān)控等帶來(lái)的風(fēng)險(xiǎn)。
安全技術(shù)層,主要包括防火墻、防病毒、過濾等安全技術(shù)。云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的開放性、協(xié)同性等特征帶來(lái)的安全新風(fēng)險(xiǎn)。
管理制度層,主要包括信息安全人事、操作和設(shè)備等。智慧信息化環(huán)境下信息資源高度集中、服務(wù)外包等新模式帶來(lái)的管理制度上的新風(fēng)險(xiǎn)。
政策法規(guī)層,主要包括信息安全法律、規(guī)章和政策等。對(duì)各類海量數(shù)據(jù)整合、共享和智能化的挖掘利用等深度開發(fā)帶來(lái)的信息管理政策法規(guī)上的新風(fēng)險(xiǎn)。
安全素養(yǎng)層,主要包括民眾信息安全意識(shí)、方法、經(jīng)驗(yàn)等。智慧信息化帶來(lái)威脅快速傳播、波及范圍倍增擴(kuò)大的風(fēng)險(xiǎn),信息安全威脅的主體發(fā)生轉(zhuǎn)換,社會(huì)公眾的高度參與,用戶、技術(shù)與管理人員的安全意識(shí)和素養(yǎng)帶來(lái)的風(fēng)險(xiǎn)比傳統(tǒng)系統(tǒng)更大。
智慧信息系統(tǒng)安全框架
智慧信息系統(tǒng)安全框架如圖2所示。管理終端和其他經(jīng)過認(rèn)證授權(quán)的可信終端作為智慧信息系統(tǒng)可信組成部分,需要進(jìn)行邊界防護(hù),防止越權(quán)訪問,互聯(lián)網(wǎng)用戶等非可信組成部分,要采取安全隔離措施,使其只能訪問受限資源,防止內(nèi)部數(shù)據(jù)非法流出。對(duì)數(shù)據(jù)區(qū)域、物聯(lián)網(wǎng)感知區(qū)域、物聯(lián)網(wǎng)控制區(qū)域以及基礎(chǔ)設(shè)施的管理區(qū)域進(jìn)行嚴(yán)格的安全域劃分,針對(duì)不同的安全域?qū)嵤┌踩a(chǎn)品的監(jiān)測(cè)、防護(hù)、審計(jì)等不同的安全策略以保護(hù)數(shù)據(jù)安全,再配合同步進(jìn)行的體系建設(shè)、安全培訓(xùn)等安全服務(wù)措施,實(shí)現(xiàn)智慧信息系統(tǒng)的深度防御。
管理要求
安全保障規(guī)劃。信息化主管部門負(fù)責(zé)智慧信息化發(fā)展總體安全保障規(guī)劃,各相關(guān)領(lǐng)域主管部門負(fù)責(zé)專項(xiàng)領(lǐng)域安全保障規(guī)劃。確定安全目標(biāo),提出與業(yè)務(wù)戰(zhàn)略相一致的安全總體方針及方案。
安全保障需求分析。項(xiàng)目單位分析系統(tǒng)的安全保護(hù)等級(jí)并通過論證、審核、備案;根據(jù)安全目標(biāo),分析系統(tǒng)運(yùn)行環(huán)境、潛在威脅、資產(chǎn)重要性、脆弱性等,找出現(xiàn)有安全保護(hù)水平的差距,提出安全保障需求。
安全保障設(shè)計(jì)。項(xiàng)目單位根據(jù)系統(tǒng)總體安全方案中要求的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能、物理形態(tài)和具體規(guī)范上。并形成指導(dǎo)安全實(shí)施的指導(dǎo)性文件。
安全保障實(shí)施。建立安全管理職能部門,通過崗位設(shè)置、授權(quán)分工及資源配備,為系統(tǒng)安全實(shí)施提供組織保障。對(duì)項(xiàng)目質(zhì)量、進(jìn)度和變更等進(jìn)行全過程管控及評(píng)估。
安全檢測(cè)驗(yàn)收。系統(tǒng)運(yùn)行前進(jìn)行安全審查,關(guān)注系統(tǒng)的安全控制、權(quán)限設(shè)置等的正確性、連貫性、完整性、可審計(jì)性和及時(shí)性等。上線進(jìn)行安全測(cè)試和評(píng)估,包括安全符合性查驗(yàn),軟件代碼安全測(cè)試,漏洞掃描,系統(tǒng)滲透性測(cè)試等,確保系統(tǒng)安全性。
運(yùn)維安全保障。建立系統(tǒng)安全管理行為規(guī)范和操作規(guī)程,包括機(jī)房安全管理制度,資產(chǎn)安全管理制度,介質(zhì)安全管理制度,網(wǎng)絡(luò)安全管理制度,個(gè)人桌面終端安全管理制度等并嚴(yán)格按照制度監(jiān)督執(zhí)行。
優(yōu)化與持續(xù)改進(jìn)。在系統(tǒng)運(yùn)行一段時(shí)間或重大結(jié)構(gòu)調(diào)整后進(jìn)行評(píng)估,對(duì)系統(tǒng)各項(xiàng)風(fēng)險(xiǎn)控制是否恰當(dāng),能否實(shí)現(xiàn)預(yù)定目標(biāo)提出改進(jìn)建議。
技術(shù)要求
計(jì)算環(huán)境安全要求
服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端及機(jī)房安全、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)遵循GB/T 22239-2008對(duì)應(yīng)安全保護(hù)等級(jí)中相關(guān)安全控制項(xiàng)要求,并對(duì)重要設(shè)備的安全配置和安全狀態(tài)等進(jìn)行嚴(yán)格的監(jiān)控與檢測(cè)。
網(wǎng)絡(luò)虛擬化資源池應(yīng)支持基于虛擬化實(shí)例的獨(dú)立的安全管理。多租戶環(huán)境下,租戶之間的網(wǎng)絡(luò)支持虛擬化安全隔離,各個(gè)租戶可以同時(shí)對(duì)自身的安全資源進(jìn)行管理。
應(yīng)提供以密碼技術(shù)為前提的安全接入服務(wù),保證終端能夠選擇加密通信方式安全接入云計(jì)算平臺(tái)。
通信網(wǎng)絡(luò)安全要求
對(duì)應(yīng)安全保護(hù)等級(jí)中網(wǎng)絡(luò)安全控制項(xiàng)要求,覆蓋結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等控制項(xiàng)要求。
虛擬網(wǎng)絡(luò)資源間的訪問,應(yīng)實(shí)施網(wǎng)絡(luò)邏輯隔離并提供訪問控制手段。從區(qū)域邊界訪問控制、包過濾、安全審計(jì)及完整性保護(hù)等方面保護(hù)虛擬邊界安全。
智慧網(wǎng)絡(luò)應(yīng)具備網(wǎng)絡(luò)接入認(rèn)證能力,確保可信授權(quán)終端接入網(wǎng)絡(luò)。采取數(shù)據(jù)加密、信道加密等措施加強(qiáng)無(wú)線網(wǎng)絡(luò)及其他信道的安全,防止敏感數(shù)據(jù)泄漏,保證傳輸數(shù)據(jù)完整性。
終端安全要求
對(duì)應(yīng)安全保護(hù)等級(jí)中終端安全及GAT671-2006的安全控制項(xiàng)要求,覆蓋物理安全、身份鑒別、訪問控制、安全審計(jì)、惡意代碼防范、入侵防范、資源控制等內(nèi)容。
建設(shè)統(tǒng)一的終端安全管理體系,規(guī)范終端的各類訪問、操作及使用行為,確保接入終端的安全合規(guī)、可管理、可控制、可審計(jì)。在重要終端中嵌入帶有密碼性安全子系統(tǒng)的終端芯片。
應(yīng)用安全要求
滿足對(duì)應(yīng)安全保護(hù)等級(jí)中應(yīng)用安全控制項(xiàng)要求,覆蓋身份鑒別、訪問控制、安全控制、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等內(nèi)容。
進(jìn)行可信執(zhí)行保護(hù),構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈,實(shí)現(xiàn)可執(zhí)行程序的完整性檢驗(yàn),防范惡意代碼等攻擊,并在受破壞時(shí)恢復(fù)。建立統(tǒng)一帳號(hào)、認(rèn)證授權(quán)和審計(jì)系統(tǒng),實(shí)現(xiàn)訪問可溯。
遵循安全最小化原則,關(guān)閉未使用服務(wù)組件和端口;加強(qiáng)內(nèi)存管理,防止駐留剩余信息被非授權(quán)獲取;加強(qiáng)安全加固,對(duì)補(bǔ)丁與現(xiàn)有系統(tǒng)的兼容性進(jìn)行測(cè)試;限制匿名用戶的訪問權(quán)限,支持設(shè)置用戶并發(fā)連接次數(shù)、連接超時(shí)限制等,采用最小授權(quán)原則。
數(shù)據(jù)安全要求
滿足對(duì)應(yīng)安全保護(hù)等級(jí)中數(shù)據(jù)安全控制項(xiàng)要求,覆蓋數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份與恢復(fù)等內(nèi)容。
將信息部署或遷移到云計(jì)算平臺(tái)之前,明確信息類型及安全屬性進(jìn)行分類分級(jí),對(duì)不同類別信息采取不同保護(hù)措施,重點(diǎn)防范用戶越權(quán)訪問、篡改敏感信息。
在多租戶云計(jì)算環(huán)境下,通過物理隔離、虛擬化和應(yīng)用支持多租戶架構(gòu)等實(shí)現(xiàn)不同租戶之間數(shù)據(jù)和配置安全隔離,保證每個(gè)租戶數(shù)據(jù)安全隱私。確保法律監(jiān)管部門要求的數(shù)據(jù)可被找回。
虛擬存儲(chǔ)系統(tǒng)應(yīng)支持按照數(shù)據(jù)安全級(jí)別建立容錯(cuò)和容災(zāi)機(jī)制,防止數(shù)據(jù)損失;建立災(zāi)備中心,保證數(shù)據(jù)副本存儲(chǔ)在合同法規(guī)允許的位置。
全面有效定位云計(jì)算數(shù)據(jù)、擦除/銷毀數(shù)據(jù),并保證數(shù)據(jù)已被完全消除或使其無(wú)法恢復(fù)。
密碼技術(shù)要求
物理要求。在系統(tǒng)平臺(tái)基礎(chǔ)設(shè)施方面使用密碼技術(shù)。
網(wǎng)絡(luò)要求。在安全訪問路徑、訪問控制和身份鑒別方面使用密碼技術(shù)。
主機(jī)要求。在身份鑒別、訪問控制、審計(jì)記錄等方面使用密碼技術(shù)。
應(yīng)用要求。在身份鑒別、訪問控制、審計(jì)記錄和通信安全方面應(yīng)當(dāng)使用密碼技術(shù)。
數(shù)據(jù)要求。在數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全和安全通信協(xié)議方面使用密碼技術(shù)。
安全域劃分與管理研究
智慧信息系統(tǒng)安全域可以分為安全計(jì)算域、安全用戶域、安全網(wǎng)絡(luò)域。
安全計(jì)算域:由一個(gè)或多個(gè)主機(jī)/服務(wù)器經(jīng)局域網(wǎng)連接組成的存儲(chǔ)和處理數(shù)據(jù)信息的區(qū)域,是需要進(jìn)行相同安全保護(hù)的主機(jī)/服務(wù)器的集合。安全計(jì)算域可以細(xì)分為核心計(jì)算域和安全支撐域。
安全用戶域:由一個(gè)或多個(gè)用戶終端計(jì)算機(jī)組成的存儲(chǔ)、處理和使用數(shù)據(jù)信息的區(qū)域。
安全網(wǎng)絡(luò)域:支撐安全域的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓?fù)洌雷o(hù)重點(diǎn)是保障網(wǎng)絡(luò)性能和進(jìn)行各子域的安全隔離與邊界防護(hù)。連接安全計(jì)算域和安全計(jì)算域、安全計(jì)算域和安全用戶域之間的網(wǎng)絡(luò)系統(tǒng)組成的區(qū)域。安全網(wǎng)絡(luò)域可以進(jìn)一步細(xì)分為感知網(wǎng)接入域、互聯(lián)網(wǎng)接入域、外聯(lián)網(wǎng)接入域、內(nèi)聯(lián)網(wǎng)接入域、備份網(wǎng)絡(luò)接入域。
安全管理平臺(tái)技術(shù)要求
對(duì)安全事件進(jìn)行集中收集、高度聚合存儲(chǔ)及分析,實(shí)時(shí)監(jiān)控全網(wǎng)安全狀況,并可根據(jù)需求提供各種網(wǎng)絡(luò)安全狀況審計(jì)報(bào)告。
智慧監(jiān)測(cè)。針對(duì)大數(shù)據(jù),通過預(yù)警平臺(tái)對(duì)流量監(jiān)測(cè)分析,為管理者提前預(yù)警,避免安全事件擴(kuò)大化;監(jiān)聽無(wú)線數(shù)據(jù)包,進(jìn)行網(wǎng)絡(luò)邊界控制,對(duì)智慧信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)實(shí)施安全保護(hù)。
智慧審計(jì)。通過運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)對(duì)系統(tǒng)運(yùn)維人員的集中賬號(hào)和訪問通道管控;通過數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)訪問流量進(jìn)行數(shù)據(jù)報(bào)文字段級(jí)解析操作,應(yīng)對(duì)來(lái)自運(yùn)維人員或外部入侵的數(shù)據(jù)威脅;通過綜合日志審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)違規(guī)行為監(jiān)控,追蹤非法操作的直接證據(jù),推動(dòng)監(jiān)測(cè)防護(hù)策略、管理措施的提升,實(shí)現(xiàn)信息安全閉環(huán)管理;針對(duì)應(yīng)用層的實(shí)時(shí)審計(jì)、監(jiān)測(cè)及自動(dòng)防護(hù)。
智慧日志分析。對(duì)海量原始日志,按照策略進(jìn)行過濾歸并,減輕日志數(shù)據(jù)傳輸存儲(chǔ)壓力。對(duì)來(lái)自各資源日志信息,提供多維關(guān)聯(lián)分析功能,包括基于源、目的、協(xié)議、端口、攻擊類型等多種統(tǒng)計(jì)項(xiàng)目報(bào)表。多租戶環(huán)境支持,支持虛擬化實(shí)例,能夠區(qū)分不同租戶的日志以及為不同租戶提供統(tǒng)計(jì)報(bào)表。
智慧協(xié)同。根據(jù)開放性及應(yīng)急響應(yīng)技術(shù)要求,安全管理平臺(tái)需考慮和周邊系統(tǒng)互聯(lián)互通,支持開放的API,相互傳遞有價(jià)值安全信息,以進(jìn)行協(xié)同聯(lián)動(dòng)。
除了以上八個(gè)技術(shù)方面的要求外,智慧信息化安全保障體系還對(duì)安全產(chǎn)品、產(chǎn)品安全接口等方面也做出了相關(guān)要求。
保障機(jī)制
建立責(zé)任人體制。建設(shè)單位指定信息安全保障第一責(zé)任人,明確各環(huán)節(jié)主體責(zé)任,制定安全保障崗位責(zé)任制度,并監(jiān)督落實(shí)。
建立追溯查證體系。建立全流程追溯查證體系,對(duì)存在的違法入侵進(jìn)行有效取證,保證證據(jù)數(shù)據(jù)不被改變和刪除。參照ISO/IEC 27037:2012、ISO/IEC27042。
建立監(jiān)督檢查機(jī)制。由信息安全監(jiān)管部門,通過備案、檢查、督促整改等方式,對(duì)建設(shè)項(xiàng)目的信息安全保護(hù)工作進(jìn)行指導(dǎo)監(jiān)督。
建立應(yīng)急處理機(jī)制。參照GB/Z 20986-2007將安全事件依次進(jìn)行分級(jí),按照分級(jí)情況制定應(yīng)急預(yù)案,定期對(duì)應(yīng)急預(yù)案進(jìn)行演練。
建立服務(wù)外包安全責(zé)任機(jī)制。安全服務(wù)商的選擇符合國(guó)家有關(guān)規(guī)定,確保提供服務(wù)的數(shù)據(jù)中心、云計(jì)算服務(wù)平臺(tái)等設(shè)在境內(nèi)。
建立風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)機(jī)制。對(duì)總體規(guī)劃、設(shè)計(jì)方案等的合理性和正確性以及安全控制的有效性進(jìn)行評(píng)估。委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu),對(duì)重要信息系統(tǒng)檢查評(píng)估。定期對(duì)系統(tǒng)進(jìn)行安全自查與測(cè)評(píng)。
1加強(qiáng)安全管理,助力企業(yè)轉(zhuǎn)型
在國(guó)際信息安全環(huán)境日趨惡劣,國(guó)家全面倡導(dǎo)信息安全的大環(huán)境下,為了確保信息安全工作的可持續(xù)性開展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運(yùn)行,依據(jù)集團(tuán)總部《關(guān)于建立集團(tuán)公司網(wǎng)絡(luò)與信息安全組織保障體系的通知》、鄂通信局發(fā)[2013]127號(hào)《關(guān)于進(jìn)一步落實(shí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核及有關(guān)工作的意見》等相關(guān)文件精神,同時(shí)參考《GA/T708-2007信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)體系框架》、《GB/T22239-2008信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《GB/T20269-2006信息安全技術(shù)-信息系統(tǒng)安全管理要求》、《GB/T0984-2007信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等國(guó)家標(biāo)準(zhǔn),制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規(guī)范》規(guī)范等,率先在企業(yè)內(nèi)建立并實(shí)施該體系,全面倡導(dǎo)企業(yè)向信息安全生產(chǎn)經(jīng)營(yíng)轉(zhuǎn)型,同時(shí)積極引導(dǎo)合作伙伴樹立信息安全意識(shí),規(guī)范自身的生產(chǎn)及合作行為,明確安全風(fēng)險(xiǎn)責(zé)任、細(xì)化管理要求,立足自身,兼顧第三方,共同打造信息安全的綠色長(zhǎng)城,確保企業(yè)長(zhǎng)足健康發(fā)展。通過該安全管理體系的實(shí)施,從中全面深入地挖掘現(xiàn)有安全體系的不足之處,并針對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)中的各類安全隱患制定了有效的整改方案并予以實(shí)施、預(yù)警,確保了移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的可持續(xù)性發(fā)展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運(yùn)行。首先,組織完成企業(yè)的自有業(yè)務(wù)信息系統(tǒng)和合作業(yè)務(wù)信息系統(tǒng)的安全等級(jí)劃分工作,將平臺(tái)安全管理工作落實(shí)到具體的責(zé)任人,并簽署責(zé)任狀,從而樹立全員安全責(zé)任意識(shí),實(shí)現(xiàn)人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術(shù)對(duì)業(yè)務(wù)信息系統(tǒng)進(jìn)行安全掃描、安全審計(jì),并應(yīng)用HIVE、Waka、PIG、Mahout等工具對(duì)海量日志、數(shù)據(jù)進(jìn)行分析和審核,發(fā)現(xiàn)相關(guān)漏洞與脆弱點(diǎn),并針對(duì)自有及合作業(yè)務(wù)信息系統(tǒng)編寫了整改建議和系統(tǒng)層面的加固方案。通過持續(xù)對(duì)自有及合作信息系統(tǒng)的檢查,共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊39處,合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞14處,目前這些漏洞已經(jīng)全部整改與加固完畢,消除了安全隱患。其次,以信息安全管理為導(dǎo)向,組建了由電信營(yíng)運(yùn)商、合作伙伴、專業(yè)公司三方共同構(gòu)成的一支業(yè)務(wù)信息系統(tǒng)安全管理團(tuán)隊(duì),通過從合作業(yè)務(wù)管理規(guī)范的建立到合作伙伴安全技能培訓(xùn),從信息安全制度宣貫到系統(tǒng)安全處罰辦法的落實(shí)執(zhí)行,從系統(tǒng)安全的定期評(píng)估到系統(tǒng)漏洞的及時(shí)加固等一系列舉措,最終創(chuàng)建一套業(yè)務(wù)信息系統(tǒng)全新的安全管理模型,提高業(yè)務(wù)信息系統(tǒng)運(yùn)行質(zhì)量和服務(wù)能力,提升創(chuàng)新業(yè)務(wù)品牌形象。從安全管理模型啟用至今,未發(fā)生一起信息安全事故,這樣強(qiáng)化了合作伙伴的信息安全概念,督促合作伙伴在發(fā)展業(yè)務(wù)的同時(shí)也重點(diǎn)關(guān)注信息安全問題,極大地降低了由于合作系統(tǒng)的信息安全漏洞導(dǎo)致的中病毒或木馬、假冒網(wǎng)站、賬號(hào)或密碼被盜、個(gè)人信息泄露等客戶信息安全事件的發(fā)生概率,此類原因造成創(chuàng)新業(yè)務(wù)投訴比率和往年相比降低了15%,改變了用戶對(duì)創(chuàng)新業(yè)務(wù)的固有印象,建立了良好的創(chuàng)新業(yè)務(wù)服務(wù)品牌形象。此模型具備良好的可復(fù)制性,可指導(dǎo)通信領(lǐng)域運(yùn)營(yíng)企業(yè)開展信息安全工作。在全國(guó)率先打造這套移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系,包含一系列業(yè)務(wù)系統(tǒng)信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規(guī)范等相關(guān)業(yè)務(wù)系統(tǒng)管理制度及規(guī)范,業(yè)務(wù)系統(tǒng)安全管理體系的先進(jìn)性和時(shí)效性在通信行業(yè)內(nèi)名列前茅,同時(shí)通過近兩年的安全理論研究和安全評(píng)估加固實(shí)踐,針對(duì)當(dāng)前企業(yè)業(yè)務(wù)平臺(tái)系統(tǒng)在信息安全監(jiān)管中面臨的一些問題,對(duì)當(dāng)前主流關(guān)聯(lián)分析技術(shù)進(jìn)行研究的基礎(chǔ)上,提出了一種新的安全事件關(guān)聯(lián)分析技術(shù)。該技術(shù)涉及到多源數(shù)據(jù)預(yù)處理、報(bào)警聚合、關(guān)聯(lián)分析、大數(shù)據(jù)分析和安全狀況態(tài)勢(shì)評(píng)估等相關(guān)技術(shù)。此技術(shù)運(yùn)用到電信行業(yè)的信息安全監(jiān)管上,就能夠?qū)ΡO(jiān)控設(shè)備收集的日志及安全設(shè)備產(chǎn)生的告警進(jìn)行關(guān)聯(lián)分析和挖掘,從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息,通過對(duì)此類信息的統(tǒng)計(jì)、濃縮、總結(jié)、關(guān)聯(lián)和分類,抽象出利于進(jìn)行判斷和比較的特征庫(kù),并智能地學(xué)習(xí)和維護(hù)其特征庫(kù),從而在提高安全事件報(bào)警準(zhǔn)確率的情況下保證極高的識(shí)別效率。同時(shí)該安全管理體系成功應(yīng)用到與百度公司合作開發(fā)的愛奇藝視頻業(yè)務(wù)系統(tǒng)、與騰訊科技公司聯(lián)合開發(fā)的微信平臺(tái)、與奇虎科技公司共同開發(fā)的安全衛(wèi)士手機(jī)應(yīng)用系統(tǒng),得到部分在美國(guó)納斯達(dá)克上市的中國(guó)互聯(lián)網(wǎng)精英公司的高度認(rèn)可和贊許,并表示今后與電信運(yùn)營(yíng)商共同開發(fā)產(chǎn)品都依照此安全管理規(guī)范和體系,確保產(chǎn)品的各項(xiàng)安全性能指標(biāo)。
2創(chuàng)新點(diǎn)
為順應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代,運(yùn)營(yíng)商從基礎(chǔ)通信運(yùn)營(yíng)向流量運(yùn)營(yíng)轉(zhuǎn)型的新趨勢(shì),湖北移動(dòng)確定了“業(yè)務(wù)轉(zhuǎn)型,安全先行”的發(fā)展思路,堅(jiān)持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上,積極開展適應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代安全管理體系建設(shè),不斷推進(jìn)科學(xué)的安全管理方法,做到六“注重”六“突出”,即:(1)注重整體規(guī)劃,突出體系建設(shè),促進(jìn)職責(zé)高效履行。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評(píng)價(jià)體系建設(shè)計(jì)劃,內(nèi)容涵蓋安全工作方針目標(biāo)、安全目標(biāo)、各方職責(zé)、安全管理體系和模式、安全設(shè)施和機(jī)房環(huán)境保護(hù)設(shè)施標(biāo)準(zhǔn)、安全文明操作保證金、安全考核與獎(jiǎng)懲、過程的主要控制措施、應(yīng)急準(zhǔn)備和響應(yīng)等方面。嚴(yán)格按計(jì)劃有序開展體系建設(shè)工作;嚴(yán)格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運(yùn)行工作;加強(qiáng)保證與監(jiān)督體系的建設(shè)。(2)注重文化建設(shè),突出信息安全特色,促進(jìn)習(xí)慣養(yǎng)成。以人為本,加強(qiáng)企業(yè)安全文化建設(shè),促使安全文化落地,提高員工安全與風(fēng)險(xiǎn)防范意識(shí)。(3)注重教育培訓(xùn),突出行業(yè)特色,達(dá)到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓(xùn)方式,組織各單位安全管理人員開展安全教育和培訓(xùn)工作:一是安排專家和行業(yè)資深人士進(jìn)行專題講座;二是在專題培訓(xùn)的基礎(chǔ)上,做好網(wǎng)絡(luò)與信息安全專項(xiàng)工作如何開展的培訓(xùn)。(4)注重設(shè)備管理,突出針對(duì)特色,實(shí)現(xiàn)安全管理精細(xì)化。首先,網(wǎng)絡(luò)設(shè)備較多,加強(qiáng)網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù),為此各維護(hù)單位對(duì)每臺(tái)設(shè)備均建立了安全技術(shù)臺(tái)帳,臺(tái)帳包括運(yùn)行記錄、檢查保養(yǎng)記錄和定期檢驗(yàn)記錄。其次,組織精干力量先后兩次對(duì)所有設(shè)備、流程、機(jī)房進(jìn)行全面的安全評(píng)估工作。第三,使隱患排查整改形成機(jī)制。(5)注重安全投入,突出專用特色,合理使用安全生產(chǎn)費(fèi)用。認(rèn)真落實(shí)安全管理費(fèi)用投入長(zhǎng)效機(jī)制,加大安全費(fèi)用的管理,做到專款專用,確保安全生產(chǎn)費(fèi)用規(guī)范化、合理化和足額投入。并加強(qiáng)安全生產(chǎn)保證金的管理,建立安全生產(chǎn)保證金并實(shí)行年底考核的機(jī)制,有效促進(jìn)了安全管理工作。(6)注重應(yīng)急預(yù)案,突出超前特色,安全管理贏在主動(dòng)。在安全管理中,把預(yù)防工作落到實(shí)處,建立健全了應(yīng)急處置機(jī)構(gòu),將應(yīng)急處置工作進(jìn)一步制度化,規(guī)范化,形成了完整的安全事故預(yù)防體系。同時(shí),開展形式多樣、符合實(shí)際的應(yīng)急演練。
3結(jié)語(yǔ)
全新的移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系具備創(chuàng)新性、可復(fù)制性,對(duì)此領(lǐng)域企業(yè)具備示范和指導(dǎo)意義。目前已經(jīng)被省公司相關(guān)專業(yè)部門采納,計(jì)劃結(jié)合信安部工作在全國(guó)范圍內(nèi)進(jìn)行推廣,同時(shí)在移動(dòng)互聯(lián)網(wǎng)行業(yè)領(lǐng)域,成為行業(yè)巨頭制定與電信運(yùn)營(yíng)商合作開發(fā)產(chǎn)品的管理規(guī)范。此安全管理體系在企業(yè)應(yīng)用范圍涵蓋的業(yè)務(wù)生產(chǎn)中,帶來(lái)了巨大經(jīng)濟(jì)效益和社會(huì)效益,通過持續(xù)對(duì)自有及合作信息系統(tǒng)的檢查,共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊67處,合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞30處,成功處理異常安全入侵26次,避免了平臺(tái)業(yè)務(wù)收入的損失。
作者:彭敏 廖振松 單位:湖北移動(dòng)政企分公司湖北移動(dòng)網(wǎng)管中心
(訊)5月22日消息,今日下午,國(guó)內(nèi)智能硬件廠商丁盯在北京了兩款智能門鎖丁盯密碼鎖和丁盯指紋鎖,前者針對(duì)短租公寓和長(zhǎng)租的業(yè)主商用領(lǐng)域,后者針對(duì)家用領(lǐng)域(分為“自在版”與“摯愛版”)。
丁盯智能門鎖在設(shè)計(jì)上堅(jiān)持極簡(jiǎn)風(fēng)格,在功能上支持語(yǔ)音配置門鎖,自動(dòng)喚醒,密碼授權(quán)記錄查詢,異常警報(bào),忘關(guān)提醒,機(jī)器及人工安全防護(hù),在后續(xù)還將加入出門天氣提醒等諸多功能。商用版面向房東用戶,主打手機(jī)密碼開鎖,支持業(yè)主遠(yuǎn)程密鑰管理,并且可以精確到天。家用版面向家庭用戶,功能更加全面,支持指紋開鎖,同時(shí)還支持手機(jī)搖一搖開鎖,還能識(shí)別開門動(dòng)作是回家還是出門,未來(lái)還將謀求與智能家居產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)。產(chǎn)品負(fù)責(zé)人稱,丁盯門鎖在后續(xù)還會(huì)加入聲紋解鎖、敲門開鎖等更有趣的功能。
另外,丁盯CEO陳彬稱,這兩款產(chǎn)品還考慮了斷網(wǎng)斷電的極端情況。在家中沒有網(wǎng)絡(luò)(路由器故障、斷電等)的情況下,丁盯智能門鎖將會(huì)報(bào)警,另外將加入通信模塊和備用電池,支持?jǐn)嚯姅嗑W(wǎng)時(shí)利用SIM卡連接運(yùn)營(yíng)商網(wǎng)絡(luò)。
同時(shí),丁盯還面向門鎖廠商了互聯(lián)網(wǎng)智能門鎖解決方案。包括門鎖管理APP、SaaS管理平臺(tái)。在日常生活中,用戶可以通過手機(jī)APP實(shí)時(shí)查看門鎖開關(guān)狀態(tài),包括鎖上、反鎖、暗鎖等,隨時(shí)了解情況。丁盯CEO陳彬介紹稱,目前,國(guó)內(nèi)門鎖的智能化不超過5%,而很多機(jī)械門鎖、電子門鎖的企業(yè)都希望向互聯(lián)網(wǎng)和智能門鎖方向轉(zhuǎn)型,為傳統(tǒng)廠商免費(fèi)提供通信模組及網(wǎng)關(guān)。
關(guān)于家用版安裝交付以及后續(xù)付費(fèi)方面,丁盯門鎖會(huì)與服務(wù)商和商合作,讓經(jīng)驗(yàn)豐富的服務(wù)人員上門裝配。但如果涉及大量的安裝交付以及服務(wù)成本支出方面,丁盯門鎖還有很長(zhǎng)的路要走。
丁盯目前已經(jīng)申請(qǐng)過20多項(xiàng)核心專利,其中2個(gè)已授權(quán)。并且與公寓、鎖廠、智能家居廠商、百度安全、財(cái)務(wù)保險(xiǎn)公司等達(dá)成了合作。百度云安全將幫助丁盯加強(qiáng)網(wǎng)絡(luò)安全體系建設(shè),提供安全防護(hù)體系技術(shù)支持。丁盯CEO陳彬表示,目前智能門鎖領(lǐng)域無(wú)論硬件、軟件、技術(shù)還是成本,缺乏統(tǒng)一的標(biāo)準(zhǔn),丁盯希望能與其他智能家居廠商合作打造生態(tài)閉環(huán),提供智能家居門鎖接入標(biāo)準(zhǔn),建立本地和云端設(shè)備互聯(lián)互通標(biāo)準(zhǔn)、安全報(bào)警機(jī)制和規(guī)范等等。
價(jià)格方面,丁盯智能門鎖的預(yù)計(jì)發(fā)貨價(jià)格在1000-2000元,從整個(gè)門鎖市場(chǎng)來(lái)看,定位偏中高端市場(chǎng)。(來(lái)源:網(wǎng)易科技)
[關(guān)鍵詞]煙草 信息安全 CA
[中圖分類號(hào)]F426.8 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1672-5158(2013)06-0486-01
1 引言
煙草行業(yè)長(zhǎng)期處于計(jì)劃體制下,一直都受國(guó)家保護(hù),實(shí)行專賣專營(yíng),因此整個(gè)隊(duì)伍思想比較陳舊、觀念比較保守。特別是大部分企業(yè)的領(lǐng)導(dǎo)對(duì)信息化的認(rèn)識(shí)不夠,造成了整個(gè)煙草行業(yè)信息化的建設(shè)明顯落后于其它行業(yè),與煙草行業(yè)的地位明顯不符。
在正式加入世貿(mào)組織后,我國(guó)煙草與外國(guó)煙草的爭(zhēng)奪終端市場(chǎng)的激烈競(jìng)爭(zhēng)也不可避免,因此,我國(guó)煙草行業(yè)急需提高整體競(jìng)爭(zhēng)力和實(shí)力。而提高競(jìng)爭(zhēng)力和實(shí)力的最好,就是運(yùn)用信息技術(shù),走信息化的道路來(lái)整合企業(yè)資源。
2 煙草行業(yè)信息安全現(xiàn)狀
隨著行業(yè)信息化建設(shè)的全面推進(jìn),傳統(tǒng)的管理機(jī)制在改革與創(chuàng)新中逐漸消亡,人們?cè)谔幚硇畔⒑腿粘^k公中越來(lái)越依賴計(jì)算機(jī)和網(wǎng)絡(luò),機(jī)密與財(cái)富越來(lái)越集中在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中。因此,行業(yè)各應(yīng)用系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠運(yùn)行,面臨著十分嚴(yán)峻的挑戰(zhàn),網(wǎng)絡(luò)與信,息安全已成為行業(yè)信息化建設(shè)非常重要的問題。
我國(guó)對(duì)于煙草行業(yè)的信息安全工作啟動(dòng)較晚,但隨著計(jì)算機(jī)的發(fā)展以及信息技術(shù)的發(fā)展,煙草行業(yè)也開始注重信息安全的工作。目前,煙草行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)已具規(guī)模,實(shí)現(xiàn)了互聯(lián)互通。行業(yè)地面通信骨干網(wǎng)已建成并全網(wǎng)投入運(yùn)行,實(shí)現(xiàn)了國(guó)家局與行業(yè)各直屬單位及所屬卷煙廠、分公司、煙機(jī)廠和進(jìn)出口口岸公司等69個(gè)節(jié)點(diǎn)之間的互聯(lián)互通,入網(wǎng)率達(dá)到了100%;基本完成了行業(yè)各直屬單位省域網(wǎng)建設(shè),各直屬單位與所屬單位的聯(lián)網(wǎng)率達(dá)到了96%;行業(yè)網(wǎng)絡(luò)與信息安全體系初步形成,網(wǎng)絡(luò)運(yùn)行管理進(jìn)一步加強(qiáng)。啟動(dòng)了煙草行業(yè)安全認(rèn)證體系(CA)建設(shè)和煙草行業(yè)信息安全等級(jí)劃分的研究工作。
行業(yè)信息化的制度建設(shè)逐步完善。近幾年,行業(yè)先后出臺(tái)了《全國(guó)煙草行業(yè)信息化工作管理辦法》、《全國(guó)煙草行業(yè)信息化工作考核辦法》、《煙草行業(yè)信息化建設(shè)統(tǒng)一技術(shù)平臺(tái)要求》、《姻草行業(yè)信息化標(biāo)準(zhǔn)體系》和《煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范》等重要文件,用制度規(guī)范了行業(yè)信息化管理工作。
3 煙草行業(yè)數(shù)字證書認(rèn)證(CA)系統(tǒng)
CA認(rèn)證體系作為煙草行業(yè)CA認(rèn)證體系中重要的組成部分,將實(shí)現(xiàn)提供數(shù)字證書的注冊(cè)、更新、作廢等服務(wù),為各類業(yè)務(wù)應(yīng)用系統(tǒng)提供基于數(shù)字證書的身份認(rèn)證等應(yīng)用支撐服務(wù),保證數(shù)據(jù)的完整性、保密性、可用性和操作的不可否認(rèn)性,并能夠?qū)?shù)字證書的發(fā)放與在業(yè)務(wù)應(yīng)用系統(tǒng)中的使用情況進(jìn)行記錄、統(tǒng)計(jì)、上報(bào)等功能。
CA安全認(rèn)證體系,實(shí)現(xiàn)全行業(yè)的互通、互認(rèn)和互信。要建立行業(yè)信息安全管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn),構(gòu)筑行業(yè)信息化安全機(jī)制,降低和消除各種信息安全隱患,確保信息傳輸與反饋暢通、及時(shí)和安全,為行業(yè)信息化建設(shè)保駕護(hù)航。
CA系統(tǒng)是煙草行業(yè)關(guān)鍵業(yè)務(wù)應(yīng)用的安全基礎(chǔ),在設(shè)計(jì)實(shí)施CA系統(tǒng)及與應(yīng)用對(duì)接的過程中,要排除脫離實(shí)際的安全需求、夸大的安全風(fēng)險(xiǎn),在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折衷。系統(tǒng)所選用的產(chǎn)品易于使用,符合煙草行業(yè)的統(tǒng)一技術(shù)規(guī)范,具有合理的美觀的操作管理界面,方便操作員和用戶操作使用。
各地方煙草企業(yè)要遵循PKI領(lǐng)域相關(guān)的國(guó)家和國(guó)際標(biāo)準(zhǔn),遵循國(guó)家局的《煙草行業(yè)CAS認(rèn)證體系建設(shè)方案》(國(guó)煙辦綜[2008]116號(hào))建設(shè)CAS認(rèn)證體系,按照產(chǎn)品選型參考確保和國(guó)家局已建CA(包括行業(yè)根CA和國(guó)家局CA)實(shí)現(xiàn)互信互認(rèn),做到平滑、無(wú)縫對(duì)接。
4 煙草行業(yè)信息安全建設(shè)實(shí)施策略
4.1 建設(shè)行業(yè)數(shù)據(jù)中心
數(shù)據(jù)集中是信息化發(fā)展的必然選擇。統(tǒng)一的全國(guó)性數(shù)據(jù)中心,既可以改變傳統(tǒng)的管理模式,又可以改變生產(chǎn)經(jīng)營(yíng)的運(yùn)營(yíng)模式,是管理理念、管理技術(shù)、管理水平的一次提升,可有效實(shí)現(xiàn)對(duì)業(yè)務(wù)的集約經(jīng)營(yíng)、集中監(jiān)控和風(fēng)險(xiǎn)防范。
要建設(shè)好行業(yè)數(shù)據(jù)中心,就要在保證不同業(yè)務(wù)系統(tǒng)數(shù)據(jù)相對(duì)獨(dú)立的基礎(chǔ)上,建立數(shù)據(jù)交換和共享機(jī)制,通過對(duì)數(shù)據(jù)的加工、清洗、傳遞和交換,使得不同業(yè)務(wù)系統(tǒng)及時(shí)匯集相關(guān)的共享信息,實(shí)現(xiàn)行業(yè)公用數(shù)據(jù)的標(biāo)準(zhǔn)化、一致化,并不斷更新和加強(qiáng)信息安全管理。逐步建立和完善數(shù)據(jù)分類描述、分析處理和傳輸交換等技術(shù)標(biāo)準(zhǔn),以指導(dǎo)行業(yè)各級(jí)數(shù)據(jù)中心的建設(shè)。
要建設(shè)好行業(yè)數(shù)據(jù)中心,關(guān)鍵是要建成基于不同類型業(yè)務(wù)主題的高水平數(shù)據(jù)應(yīng)用環(huán)境,統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn),做到資源上協(xié)同應(yīng)用,技術(shù)上協(xié)同關(guān)聯(lián),應(yīng)用上協(xié)同共享,提高信息資源有效利用率。
4.2 嚴(yán)格執(zhí)行相關(guān)標(biāo)準(zhǔn)
嚴(yán)格執(zhí)行《煙草行業(yè)信息化標(biāo)準(zhǔn)體系》,加強(qiáng)行業(yè)信息化標(biāo)準(zhǔn)制定和貫標(biāo)工作。標(biāo)準(zhǔn)化工作是一切工作規(guī)范化的基礎(chǔ),統(tǒng)一標(biāo)準(zhǔn)是煙草行業(yè)信息化建設(shè)的基礎(chǔ)工作,是實(shí)現(xiàn)信息共享的基本前提。離開了標(biāo)準(zhǔn)化,計(jì)算機(jī)系統(tǒng)就無(wú)法體現(xiàn)其技術(shù)優(yōu)勢(shì)。因此,行業(yè)在信息化建設(shè)中必須高度重視并實(shí)施信息化管理相關(guān)的各種數(shù)據(jù)、指標(biāo)和流程的標(biāo)準(zhǔn)化工作,要統(tǒng)一信息化建設(shè)標(biāo)準(zhǔn),統(tǒng)一信息資源標(biāo)準(zhǔn),統(tǒng)一數(shù)據(jù)傳輸標(biāo)準(zhǔn)。要按照行業(yè)的統(tǒng)一要求,逐步規(guī)范行業(yè)各方面信息化建設(shè)的基本業(yè)務(wù)流程、信息資源標(biāo)準(zhǔn)和數(shù)據(jù)交互機(jī)制,形成標(biāo)準(zhǔn)化體系框架。建設(shè)標(biāo)準(zhǔn)化體系要采取漸進(jìn)方式,一是要先建立標(biāo)準(zhǔn)化框架,行業(yè)已《煙草行業(yè)信息化標(biāo)準(zhǔn)體系》;二是對(duì)急需的、重要的標(biāo)準(zhǔn)要優(yōu)先制定。行業(yè)將制定煙葉類代碼、煙草行業(yè)工商統(tǒng)計(jì)數(shù)據(jù)元、煙草行業(yè)統(tǒng)一會(huì)計(jì)科目及編碼等標(biāo)準(zhǔn)規(guī)范;三是通過行業(yè)重點(diǎn)信息化工程項(xiàng)目的推廣運(yùn)行,完成相關(guān)標(biāo)準(zhǔn)化工作。做好代碼標(biāo)準(zhǔn)化、接口標(biāo)準(zhǔn)化、業(yè)務(wù)流程規(guī)范化、數(shù)據(jù)結(jié)構(gòu)規(guī)范化等一些標(biāo)準(zhǔn)、規(guī)范性工作,最終實(shí)現(xiàn)橫向縱向信息的互連互通,達(dá)到信息共享。
5 結(jié)束語(yǔ)
煙草行業(yè)必須從行業(yè)內(nèi)聯(lián)網(wǎng)和信息安全的高度,切實(shí)加大網(wǎng)絡(luò)建設(shè)的管理力度,建立嚴(yán)格有效的制度,落實(shí)好《煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)技術(shù)與管理規(guī)范》和《煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范》。運(yùn)用先進(jìn)的安全技術(shù),切實(shí)組織管理好信息網(wǎng)絡(luò)安全工作,建設(shè)行業(yè)網(wǎng)絡(luò)與信息安全體系,逐步開展行業(yè)網(wǎng)絡(luò)安全審計(jì)和行業(yè)計(jì)算機(jī)病毒防護(hù)系統(tǒng)建立工作,提高信息系統(tǒng)的安全性,保證系統(tǒng)穩(wěn)定、可靠運(yùn)行。要加強(qiáng)安全管理建設(shè),切實(shí)做好信息系統(tǒng)的軟件安全設(shè)計(jì),強(qiáng)化數(shù)據(jù)安全策略,采用成熟的信息系統(tǒng)安全技術(shù)和控制方法,逐步實(shí)現(xiàn)網(wǎng)絡(luò)管理的可視、可控、可管,所有網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)與設(shè)備應(yīng)實(shí)現(xiàn)統(tǒng)一、智能化的實(shí)時(shí)監(jiān)控,實(shí)現(xiàn)應(yīng)用系統(tǒng)與設(shè)備故障的預(yù)警和自動(dòng)報(bào)警,實(shí)現(xiàn)網(wǎng)絡(luò)資源的合理分配。凡由國(guó)家局統(tǒng)一組織開發(fā)的在全行業(yè)運(yùn)行的信息系統(tǒng),要統(tǒng)一使用行業(yè)CA安全認(rèn)證體系,實(shí)現(xiàn)全行業(yè)的互通、互認(rèn)和互信。要建立行業(yè)信息安全管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn),構(gòu)筑行業(yè)信息化安全機(jī)制,降低和消除各種信息安全隱患,確保信息傳輸與反饋暢通、及時(shí)和安全,為行業(yè)信息化建設(shè)保駕護(hù)航。
參考文獻(xiàn)
[1]趙燕敏,李明祿等編著,基于風(fēng)險(xiǎn)評(píng)估的企業(yè)信息化項(xiàng)目管理方法,北京:計(jì)算機(jī)應(yīng)用與軟件,2008第1期:111-114
[2]向宏,傅鸝,詹榜華等編著,信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估,北京:電子工業(yè)出版社,2009:;37-41
[5]沈昌祥編著,關(guān)于強(qiáng)化信息安全保障體系的思考,北京:信息安全與通信保密,2003年第6期:14-15
一、加強(qiáng)營(yíng)業(yè)廳渠道管理,積極提升服務(wù)質(zhì)量
營(yíng)業(yè)廳渠道作為企業(yè)面向客戶的直接窗口,營(yíng)業(yè)廳的業(yè)務(wù)氛圍與服務(wù)質(zhì)量,是影響到整個(gè)市場(chǎng)運(yùn)營(yíng)好壞的關(guān)鍵環(huán)節(jié),是為人民群眾提供優(yōu)質(zhì)服務(wù)的基礎(chǔ)。為此,我們加強(qiáng)了營(yíng)業(yè)廳渠道的人員管理,積極梳理存在的薄弱環(huán)節(jié),不斷完善工作流程,全力提升服務(wù)質(zhì)量。
(一)制定完善營(yíng)業(yè)人員工作規(guī)范考核細(xì)則,加強(qiáng)業(yè)務(wù)培訓(xùn)。針對(duì)少數(shù)營(yíng)業(yè)人員工作散漫,積極性不高,工作難于落實(shí)的情況,出臺(tái)制定完善了營(yíng)業(yè)人員工作規(guī)范考核細(xì)則。加強(qiáng)培訓(xùn),多次組織營(yíng)業(yè)人員開展培訓(xùn)學(xué)習(xí),提升營(yíng)業(yè)人員的整體思想素質(zhì);加強(qiáng)監(jiān)督考核,確保工作規(guī)范落實(shí)到位。每月,相關(guān)管理人員對(duì)各營(yíng)業(yè)廳的工作進(jìn)行抽查,并將檢查結(jié)果進(jìn)行考核通報(bào),并提出整改方案。
(二)做好營(yíng)業(yè)廳氛圍營(yíng)造及支撐管理工作。通過積極爭(zhēng)取,為營(yíng)業(yè)人員配置了工服、頭花、領(lǐng)結(jié),統(tǒng)一了儀容儀表;落實(shí)了營(yíng)業(yè)人員的臺(tái)牌、胸牌和工作牌;規(guī)范了營(yíng)業(yè)廳內(nèi)部布局,針對(duì)營(yíng)業(yè)廳測(cè)評(píng)細(xì)項(xiàng)逐個(gè)落實(shí)。通過一系列的整改措施,營(yíng)業(yè)廳的工作有了很大的改善。
(三)開展班組建設(shè),提高員工效率。我們?nèi)婕訌?qiáng)班組建設(shè),實(shí)現(xiàn)班組管理的科學(xué)化、制度化、規(guī)范化,我們做到以誠(chéng)相待、以心換心;靠一點(diǎn)一滴的細(xì)致工作贏得客戶信賴,提高營(yíng)業(yè)廳管理水平。
二、營(yíng)造氛圍,創(chuàng)新管理,增強(qiáng)主動(dòng)營(yíng)銷能力
營(yíng)銷是營(yíng)業(yè)廳作為實(shí)體渠道的核心功能之一,也是滿足客戶消費(fèi)需求并提升客戶對(duì)產(chǎn)品、品牌感知的重要途徑。我們公司把提升員工主動(dòng)營(yíng)銷能力放在工作的首位,充分發(fā)揮員工潛能,做好交叉向上營(yíng)銷和業(yè)務(wù)產(chǎn)品推介,不斷創(chuàng)新服務(wù)手段。
(一)開展了“金牌服務(wù),滿意100”系列活動(dòng)。根據(jù)公司的要求,我們營(yíng)業(yè)廳推出了“亞運(yùn)服務(wù)大使、亞運(yùn)優(yōu)秀服務(wù)團(tuán)隊(duì)”評(píng)比等系列活動(dòng),我們營(yíng)業(yè)廳整體服務(wù)能力和服務(wù)水平得到顯著提升。
(二)抓綜合治理,建設(shè)和諧平營(yíng)業(yè)廳。營(yíng)業(yè)廳始終把社會(huì)治安綜合治理、平安建設(shè)作為一項(xiàng)事關(guān)全局的頭等大事和基礎(chǔ)性工作來(lái)抓,社會(huì)治安綜合治理、交通安全管理機(jī)構(gòu)及管理制度健全,深入開展和諧平安創(chuàng)建活動(dòng),在亞運(yùn)會(huì)和殘亞會(huì),在盛會(huì)期間,我們緊抓安全生產(chǎn),落實(shí)安檢制度,從而使亞運(yùn)會(huì)和殘亞會(huì)召開期間的安全。
(三)抓好資金管理,確保稽核資金安全。隨著公司業(yè)務(wù)的不斷拓展,對(duì)稽核人員的素質(zhì)要求必然越來(lái)越高。我積極提高政治思想覺悟,加強(qiáng)自身道德修養(yǎng),主動(dòng)強(qiáng)化新制度及相關(guān)法律法規(guī)的學(xué)習(xí),不斷更新和充實(shí)自己的業(yè)務(wù)知識(shí),努力提高綜合業(yè)務(wù)水平,做好稽核工作。1-11月共完成收入1939萬(wàn)元,其中渠道完成1760萬(wàn)元,自辦廳完成179萬(wàn)元;完成存費(fèi)送費(fèi)154萬(wàn)元,其中渠道完成111萬(wàn)元,自辦廳完成43萬(wàn)元。
三、加強(qiáng)網(wǎng)絡(luò)維護(hù),做好轉(zhuǎn)型業(yè)務(wù)各項(xiàng)工程
1、為保障網(wǎng)絡(luò)安全,我們制定了通信保障應(yīng)急預(yù)案,并組織相關(guān)維護(hù)人員對(duì)預(yù)案進(jìn)行學(xué)習(xí)和演練,使維護(hù)人員熟練掌握應(yīng)急預(yù)案,達(dá)到了預(yù)期效果。對(duì)存在的隱患進(jìn)行了及時(shí)整改和整治,排除了一切隱患,保證了網(wǎng)絡(luò)運(yùn)行正常。加強(qiáng)網(wǎng)點(diǎn)保障工作,特別是加強(qiáng)了發(fā)電管理工作,取得了較大的成效,網(wǎng)點(diǎn)中斷次數(shù)明顯降低,大大提升了網(wǎng)絡(luò)服務(wù)質(zhì)量,提升了客戶感知度。一年來(lái)我們共組織線路搶險(xiǎn)37次,使用光纜線路6.55公里,光纜接頭盒59個(gè),共組織基站搶險(xiǎn)82次。
