時間:2023-10-11 10:13:18
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇敏感信息安全,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
作者:王蘭成 宋容 單位:南京政治學院上海分院信息管理系
有的檔案部門和人員甚至因為怕泄密而人為擴大保密范圍、不及時開展檔案降解密和檔案公布工作、忽視檔案信息利用服務,這些情況導致了檔案信息封閉于檔案館庫高墻之內的后果,進而影響了檔案信息資源的社會共享。在公眾信息權益不斷覺醒、社會信息資源共享需求不斷增強、檔案機構信息服務不斷改善的今天,檔案信息資源的共享利用已經成為一種大趨勢。然而,值得一提的是,由于檔案信息資源的特殊性,尤其是軍事外交、國防科技、商業秘密、個人資料等檔案信息的極端重要性和高度敏感性,以及這些信息背后錯綜復雜的聯系,使得檔案信息資源共享過程中隱藏著許多信息挖掘推理通道和泄密隱患,極容易被惡意攻擊者所利用。因此,在檔案信息資源共享利用的過程中,必須高度警惕和重視檔案敏感信息泄露的問題,在保證檔案敏感信息安全的前提下,盡可能多地實現檔案信息資源社會共享。檔案在信息共享方面的優勢及敏感信息的安全問題以電子檔案為例,檔案信息資源共享與敏感信息保護的矛盾關系更為突出。在過去的十幾年間,信息技術的發展使社會的方方面面都發生了深刻的變革,在檔案領域的一個重要體現就是,由計算機產生和管理的電子檔案大量增加,隨著人類社會進一步向數字社會和信息時代邁進,這種趨勢將越來越明顯,越來越多的信息將為電子檔案所承載,海量電子文件的歸檔管理與共享利用也就變得極其重要。而電子文件作為一種現代技術的伴生物,其真正的優勢在于“傳遞—傳輸”[2]。換個角度,這也就是說,電子文件和電子檔案在信息傳輸、傳遞,進而在知識傳播、促進社會信息共享方面具有傳統載體檔案無可匹敵的優越性。電子檔案不同于傳統紙質文件的一些特性共同造就了其“傳遞—傳輸”效率優勢,如大存貯量、高密度、多種信息綜合集成、靈活的可操作性等,同時,電子檔案與其載體介質具有可分離性,電子檔案及其承載的信息可以在不同的計算機和載體之間方便地復制、傳遞,也可以在網絡上傳輸、傳播。人們發現,網絡環境下電子檔案中蘊含的大量信息和知識的充分共享利用,將對經濟、社會、科技進步和人類自身發展產生巨大的促進作用,然而在便于高效快捷地處理的同時,也使得檔案信息處于更大的危險之中。例如,電子文件在處理過程中易于修改、拷貝、剪切、粘貼、查詢、下載、移動,且不留下痕跡,這直接影響和威脅了電子檔案信息的安全性;電子文件在輸入、存貯、傳輸和提供利用的過程中,都可能存在信息干擾、信息丟失、竊密攻擊、病毒侵犯、人為破壞等不安全現象。因此,電子檔案的特性決定了在其管理、利用過程中必須高度重視信息安全問題,尤其是一些電子檔案信息具有高敏感性、保密性,一旦泄密將造成無法挽回的損失。綜上所述,檔案信息資源共享這個目標必須在安全的基礎上進行,在檔案信息安全領域引入隱私保護技術,探討檔案敏感信息保護問題,是協調和解決檔案信息資源共享與敏感信息保護兩者之間矛盾關系的一種探索和嘗試。
檔案敏感信息安全面臨的主要威脅及保護需求
檔案敏感信息面臨的主要威脅檔案信息內容安全是檔案信息安全中的重點難點問題。鐘義信認為,內容安全直接發生在信息的內核,這是它與基于密碼學的信息安全問題的最大區別,后者只對信號的形式進行處理,不需要理解信息的內容[3]。按照來源,威脅因素主要可以分為兩個方面:自然威脅和人為威脅。自然威脅是指不可抗力自然災害、自然消耗損壞、環境干擾等自然因素構成的威脅;人為威脅則是由于人為過失或破壞等人為因素造成的威脅,包括檔案信息資源管理者和利用者對檔案信息資源的無意攻擊或惡意攻擊等。在造福人類的同時,信息技術的不斷發展和網絡的公開性對檔案信息資源中敏感信息的安全構成威脅。信息化、數字化、網絡化在檔案領域的廣泛應用,使得檔案工作發生深刻變化,檔案信息的存儲介質由主要是紙介質發展到聲、光、電、磁等多種形式介質并存,檔案信息的利用方式網絡化、便捷化等等,這些方面的變革,大大提升了檔案工作信息化水平,也給檔案工作帶來了許多新情況新問題。例如,檔案信息網絡化建設是近幾年來檔案領域重要的工作內容之一,網絡環境下,檔案信息系統在存儲、傳輸檔案信息時極易遇到黑客攻擊、病毒感染等問題,檔案敏感信息有可能輕易被竊取、泄漏和篡改,這些都使得網絡環境下數字化檔案與傳統介質檔案相比,更易發生泄密問題和隱私權侵犯問題。這也是檔案信息網絡化共享難以推進的重要影響因素之一,因此,積極尋求解決之道,維護網絡環境下檔案信息安全,是檔案界和計算機界面臨的共同課題。檔案敏感信息安全保護需求根據《涉及國家秘密的信息系統分級保護技術要求》(BMB17-2007),檔案信息安全涉及到環境、設備、介質安全,備份恢復、病毒防護,身份認證、訪問控制、密碼保護、電磁泄露、完整性校驗、安全審計、操作系統安全、數據庫安全、信息安全性能檢測、抗抵賴、邊界防護等多個方面。而就電子文件信息安全來說,主要是指對其信息內容的保密性、完整性、可用性、可控性和不可否認性進行的安全保護[4]。本文關注檔案敏感信息安全問題的側重點在于如何應用隱私保護技術和知識技術對檔案敏感信息內容本身進行保護,實際上是屬于維護檔案信息內容保密性的范疇,而對于完整性、可用性、可控性、不可否認性,可在對檔案敏感信息資源進行隱私保護處理以后,聯合運用身份認證、訪問控制、存儲加密、數字簽名、加密傳輸、入侵檢測、安全隔離等信息安全手段和技術,對檔案敏感信息進行一個全方位、多角度的保護。這樣,由于對檔案敏感信息本身進行了隱私保護處理,那么即便是在突破各種防范手段非法獲取了檔案信息的情況下,惡意攻擊者也無法知曉檔案中的敏感信息。對檔案敏感信息進行隱私保護處理并不影響檔案信息的真實性,因為對檔案信息資源進行隱私保護處理的主體是檔案館等檔案工作權威機構,檔案工作權威機構在對其所有的檔案信息資料進行隱私保護處理以后,再經官方途徑統一,或按照檔案敏感信息訪問控制策略提供利用,這樣就能保證檔案信息及其來源的真實可信。值得一提的是,我們針對檔案數據庫中的敏感信息保護研究[5]中,為了保護敏感信息不被泄露,會涉及到對數據庫中的部分信息進行泛化、隱匿處理,一定程度上會影響檔案信息的精確性和完整性,但相比較于限制、禁止開放利用所有包含敏感信息的檔案信息資源這種保密處理方式而言,利用隱私保護技術將敏感信息保護起來的方式能夠在保證安全的基礎上,擴大和深化檔案信息資源的共享利用。還有一種情況就是,目前能夠或已經開放共享的檔案信息資源中,可能存在一些敏感信息,惡意攻擊者通過鏈接攻擊和推理攻擊等方式,能夠將其挖掘出來,造成敏感信息泄露和個人隱私侵犯。如果檔案館在這些檔案信息資源之前,能夠對其進行隱私保護處理,就可以避免這些問題。因此,本文認為,引入隱私保護技術和知識技術對檔案敏感信息本身進行處理,能夠保護檔案敏感信息安全,并在其基礎上推進檔案信息資源共享的擴展和深化。
檔案信息資源共享和敏感信息保護的現實障礙和基本策略
法規標準保護法規標準保護主要可以分為法規制度保護和標準規范制約,應當重在保護檔案敏感信息尤其是個人隱私信息,注重保持整個法規體系中關于個人隱私信息保護條款的統一協調,逐步頒布專門的《個人信息保護法》,加強敏感信息保護法規制度的操作性,同時,逐步完善加強檔案信息安全的管理制度、技術標準、操作規范,提高整個行業對敏感信息保護工作的標準化、規范化。組織管理在組織管理策略方面,面向信息資源共享的檔案敏感信息保護組織管理涉及到一個龐大的體系,包括組織重視程度,相關機構、人員、崗位設置,規章制度和管理措施落實,人員教育管理,設備設施管理,系統軟件平臺管理維護,經濟條件保障等方面。具體而言,首先,各級各類檔案人員尤其是各級領導要更新觀念,提高對檔案信息資源共享和敏感信息保護的重視程度,正確處理信息保密和開放利用的矛盾,加大人力、物力和財力的投入,在保護敏感信息安全的同時不斷擴大檔案信息資源的開放利用。其二,根據實際需要,檔案館、機關檔案室可以與保密委員會或保密辦公室聯合設立檔案敏感信息保護的相關管理機構和人員崗位,明確職責任務,具體承擔檔案敏感信息保護和共享利用的相關事務,對檔案安全設施設備進行管理,對系統軟件平臺進行維護,同時抓好安全管理制度措施的制定和落實。其三,加強人員教育管理,一方面對相關領導、檔案管理人員、信息技術人員,以及檔案信息利用者等人員進行保密教育,尤其是安全管理操作人員、直接責任者應該具有信息安全方面的任職資格,同時堅守職業道德素質,不隨意談論和泄露組織秘密和個人隱私。另一方面,要加強前端控制,在文件形成階段就重視做好保密工作,對形成文件和利用文件系統的所有人員進行保密教育培訓,并加以紀律約束。技術保護目前,檔案信息安全保護技術主要有防火墻技術、防病毒技術、加密技術、安全檢測技術、安全監控技術、安全隔離技術、安全審計技術、備份恢復技術、數字簽名技術、身份驗證技術、訪問控制技術等。我們正著重從技術保護策略的角度,對檔案信息資源共享和敏感信息保護進行研究,引入隱私保護技術和本體技術,針對檔案數據庫和電子文件、電子檔案敏感信息保護中的具體問題,分別提出面向信息資源共享的檔案敏感信息保護解決方案和策略框架。
《了解21世紀IT環境的安全復雜性》調研由波耐蒙研究所在2011年2月期間獨立進行,該機構對美國、英國、法國、德國以及日本的IT管理人員進行了訪問。調查樣本涵蓋了14個行業的各種規模企業。
上述調研顯示,受訪者認為最常丟失的信息類型包括客戶信息(52%)、知識產權(33%)、員工信息(31%)和公司計劃(16%)。隨著Web2.0應用程序的廣泛應用和更多種類的移動設備連接到網絡,企業需要執行更佳數據安全保護及IT治理,以及符合更嚴格的風險及法規遵從(GRC)要求。
這項調研訪問了2,400多名IT安全管理人員,其結果表明數據泄密的主因是設備丟失或被盜,其次為網絡攻擊、不安全的移動設備、Web2.0和文件共享應用程序,以及無意地發送電子郵件給錯誤的收件人。此外,大約49%的受訪者認為他們公司的員工對數據安全、法規及政策的意識極低甚至沒有,這促使企業把提高用戶意識作為數據保護策略的一部分,因為用戶往往是數據安全的第一道防線。
Check Point網絡安全副總裁Oded Gonda表示:“數據安全和法規遵從往往是首席信息安全官的首要工作。如果從數據泄密的成因分析,大多數事故是無心之失。為了將數據丟失防護的工作從檢測轉為預防,企業應該考慮將提高用戶意識,并建立相應的程序,增強信息資產的可視性與控制。”
由于數據防泄密(DLP)是頭號的信息安全挑戰,企業了解數據泄密的起因,并建立嚴密的數據保護機制至為重要:
* 了解機構的數據安全需求 C 掌握并記錄現存于機構內的敏感數據類型,并明確定出哪類數據類是需要管理,或者需要符合行業法規標準。
* 敏感數據分類 - 首先,創建機構敏感數據類型列表并注明敏感程度。考慮建立一個文檔模板,按照公開、限制或高度機密進行歸類,并提高用戶對公司政策和敏感信息構成的意識。
* 根據業務需要制定安全政策 - 機構的安全策略應該在不影響最終用戶的情況下保護公司的信息資產。首先,根據單個員工、組別或機構的業務需求,用簡單的商業用語制定公司信息安全政策。為了更好地執行企業的信息安全政策,應該采用身份識別解決方案,以便為公司提供更多有關其用戶和IT環境的可視性。
* 確保數據整個生命周期的安全 - 企業應該考慮部署數據安全解決方案,保護各種形式的敏感數據,如關聯用戶、數據類型和流程等,并確保其整個生命周期的安全,包括數據的存儲、傳輸和使用。
* 消除合規負擔 - 評估政府和行業的法規要求,以及它們如何影響機構的安全和業務流程。為了執行工作能一步到位,機構可考慮實施行業的最佳范例,以滿足特定法規要求,如HIPAA、PCI DSS和薩班斯法案。采用最佳范例政策也使IT團隊能專注法規要求以外的數據保護工作。
* 強調用戶身份識別和參與 - 讓用戶參與到安全決策過程中。技術可以幫助教育用戶了解企業的信息安全政策,并使他們能夠實時補救安全事件。結合技術和身份識別使員工通過自己實踐增強對風險行為的敏感度。
隨著網絡的建設,信息安全的不穩定因素主要體現在以下各方面:
1.客戶端數量不斷增多,意味著使用人員的增多。但實際情況中,許多人員并不重視自己所使用設備的安全性與可靠性,盲目的認為只要客戶端可以使用,數據存在就可以,殊不知,由于不重視將造成了網絡信息的嚴重安全隱患。
2.信息安全制度的不規范或實施不力,信息安全制度屬于信息管理制度,目前主要由信息部門進行制定同時推廣實施,但由于信息部門工作任務重,同時還要承擔信息技術研究、開發工作,無法兼顧實施,即使制度進行了推廣,但由于部門的局限性也無法得到很好的響應,就造成了安全制度的執行不力,也給網絡信息安全帶來嚴重的安全隱患。
3.客戶端操作系統漏洞升級不及時及安全應用軟件安裝不到位,目前一般的客戶端使用的均為微軟的操作系統,安全應用軟件為國產軟件。由于軍工企業一般要求內外網完全物理隔離,所以,當微軟公司成批量推出操作系統漏洞補丁時,如果信息部門不及時從互聯網上下載補丁同時下發,將造成客戶端計算機的漏洞大量存在,形成極大的安全隱患,同時,客戶端如果不按要求安裝安全應用軟件,也會給網絡造成安全隱患。
4.企業中便攜式設備管理松散,一般的軍工企業中都存在一部分便攜式設備,包括便攜式計算機、存儲設備等,雖然針對這部分設備一般企業都會制定嚴格的管理制度,包括使用、歸還、數據拷貝等都有詳細的要求描述,但由于各方面的原因,往往存在不按制度辦理的情況,造成信息安全的人為隱患。
二、解決安全隱患的有效途徑
以上四個問題是軍工企業信息安全中常見的安全隱患問題,如何解決,將是以下討論的重點:
1.做到制度從上到下一致執行,同時制度發行要講究方式方法,如組織全員學習制度規范,同時真正發揮企業領導小組的職能作用;信息安全的學習與意識培養,也是重要的組成部分,只有全員信息安全意識提升,才能時所有的信息安全制度深入到各方面的工作中,同時發揮信息中心的監管作用,對網絡客戶端制定信息安全制度制定的定期檢查工作,只有定期或不定期的排查、宣灌,才能真正的將信息安全制度推行到企業的每一個使用者,得到真正的執行。
2.由于軍工企業的特殊性,在企業的園區網絡中會存在大量的敏感信息,所以客戶端作為使用終端,是信息流通的一個重要環節,控制敏感信息的流向與操作權限將是企業信息安全的重要組成部分。加強企業客戶端的管理,安裝對客戶端使用行為進行管控的安全產品,制定不同客戶端的響應管控安全策略,同時保證策略下發到位是企業保證信息安全的一個重要手段。安全管理人員也應重視日常客戶端監控監控行為的日志分析工作,確保網絡客戶端的信息安全。
3.安裝漏洞掃描系統,對網絡進行統一的漏洞掃描,并及時安裝補丁下發系統(wsus),確保網絡中所有設備操作系統安全性與可靠性,防止應漏洞引起的安全問題。同時,及時對網絡防病毒軟件的病毒庫更新升級,網絡管理員在病毒庫更新后要下發到全網設備,對不及時升級的設備要執行強制升級,保證網絡的純凈,防止因后門或木馬病毒的擴散造成的信息安全隱患。
4.加強企業中便攜式設備的管理,對可以安裝安全軟件的設備一定要安裝,同時,要對所有便攜式設備統一管理,定期檢查。因在便攜式設備中安裝文檔加密軟件,防止設備中的敏感信息泄漏。
【關鍵詞】軍工企業;信息安全;問題
軍工企業是國家國防科技工業的重要組成部分,也是國防綜合實力重要發展的企業。隨著信息技術的全面發展,信息化建設已成為軍工企業科研發展不可或缺的一部分,信息化的建設可以快速推進軍工企業的科研、工藝等方面的技術發展,同時可提供企業決策的可靠數據,所以,軍工企業的信息化可為企業提供強大的技術支撐與快捷的數據分析,提高了企業的整體競爭力。但是,由于軍工企業的特殊性與保密性,在軍工企業信息化建設方面,信息安全的問題尤為突出。特別是隨著信息化的快速發展,軍工企業一般都面臨網絡建設日益龐大,但信息安全的建設卻無法滿足網絡發展的問題,這就導致網絡安全日益嚴重的隱患,同時問題也在不斷增多。
一、信息安全的不穩定因素
隨著網絡的建設,信息安全的不穩定因素主要體現在以下各方面:
1.客戶端數量不斷增多,意味著使用人員的增多。但實際情況中,許多人員并不重視自己所使用設備的安全性與可靠性,盲目的認為只要客戶端可以使用,數據存在就可以,殊不知,由于不重視將造成了網絡信息的嚴重安全隱患。
2.信息安全制度的不規范或實施不力,信息安全制度屬于信息管理制度,目前主要由信息部門進行制定同時推廣實施,但由于信息部門工作任務重,同時還要承擔信息技術研究、開發工作,無法兼顧實施,即使制度進行了推廣,但由于部門的局限性也無法得到很好的響應,就造成了安全制度的執行不力,也給網絡信息安全帶來嚴重的安全隱患。
3.客戶端操作系統漏洞升級不及時及安全應用軟件安裝不到位,目前一般的客戶端使用的均為微軟的操作系統,安全應用軟件為國產軟件。由于軍工企業一般要求內外網完全物理隔離,所以,當微軟公司成批量推出操作系統漏洞補丁時,如果信息部門不及時從互聯網上下載補丁同時下發,將造成客戶端計算機的漏洞大量存在,形成極大的安全隱患,同時,客戶端如果不按要求安裝安全應用軟件,也會給網絡造成安全隱患。
4.企業中便攜式設備管理松散,一般的軍工企業中都存在一部分便攜式設備,包括便攜式計算機、存儲設備等,雖然針對這部分設備一般企業都會制定嚴格的管理制度,包括使用、歸還、數據拷貝等都有詳細的要求描述,但由于各方面的原因,往往存在不按制度辦理的情況,造成信息安全的人為隱患。
二、解決安全隱患的有效途徑
以上四個問題是軍工企業信息安全中常見的安全隱患問題,如何解決,將是以下討論的重點:
1.做到制度從上到下一致執行,同時制度發行要講究方式方法,如組織全員學習制度規范,同時真正發揮企業領導小組的職能作用;信息安全的學習與意識培養,也是重要的組成部分,只有全員信息安全意識提升,才能時所有的信息安全制度深入到各方面的工作中,同時發揮信息中心的監管作用,對網絡客戶端制定信息安全制度制定的定期檢查工作,只有定期或不定期的排查、宣灌,才能真正的將信息安全制度推行到企業的每一個使用者,得到真正的執行。
2.由于軍工企業的特殊性,在企業的園區網絡中會存在大量的敏感信息,所以客戶端作為使用終端,是信息流通的一個重要環節,控制敏感信息的流向與操作權限將是企業信息安全的重要組成部分。加強企業客戶端的管理,安裝對客戶端使用行為進行管控的安全產品,制定不同客戶端的響應管控安全策略,同時保證策略下發到位是企業保證信息安全的一個重要手段。安全管理人員也應重視日常客戶端監控監控行為的日志分析工作,確保網絡客戶端的信息安全。
3.安裝漏洞掃描系統,對網絡進行統一的漏洞掃描,并及時安裝補丁下發系統(wsus),確保網絡中所有設備操作系統安全性與可靠性,防止應漏洞引起的安全問題。同時,及時對網絡防病毒軟件的病毒庫更新升級,網絡管理員在病毒庫更新后要下發到全網設備,對不及時升級的設備要執行強制升級,保證網絡的純凈,防止因后門或木馬病毒的擴散造成的信息安全隱患。
4.加強企業中便攜式設備的管理,對可以安裝安全軟件的設備一定要安裝,同時,要對所有便攜式設備統一管理,定期檢查。因在便攜式設備中安裝文檔加密軟件,防止設備中的敏感信息泄漏。
5.安裝必須的網絡安全設備,加強網絡信息安全的管理力度,同時安全管理人員應及時收集各個設備的日志,并加以分析,通過日志分析,統一規劃網絡的安全策略,并針對常見的安全隱患制定響應的安全策略,并對網絡中存在的薄弱環節進行重點管理、重點監控。
關鍵詞:信息安全;信息化建設;校園網
近十年來,我國的高校信息化建設步入了飛速發展階段,各類學校官網建設、教學資源的共享、教務系統的應用、校園一卡通等信息系統的建設,成了高校信息化的展示平臺和重點,信息系統在學校教務工作中占據了非常重要的地位.原本的大學信息化平臺只能提供普通的通知公告、學校形象展示等功能,隨著信息技術的發展,如今的大學信息化平臺發生了很大變化,匯集了學校網站宣傳、微信、微博賬號、師生互動溝通、教學教務系統、選課評教系統、教學資源共享等功能.這些系統和信息已經成為高校重要的業務展示和應用平臺.其中涉及的信息安全方面的問題日趨值得我們重視.
1高校信息安全現狀
一般的高校信息化建設主要經過以下幾個階段:網絡基礎設施建設、舊應用系統整合、新應用系統開發等.[1]在高校信息化建設發展的同時,整體安全狀況卻不容樂觀.高校網絡應用日趨增加,網絡系統越來越龐大,對外要能夠抵御各種黑客攻擊,負載均衡等問題,對內要解決規范網絡資源使用.信息化安全是當前高校信息業務應用發展需要關注的核心和重點,而高校信息安全需要解決以下安全內容:1)操作系統安全.2)網絡信息通信安全.3)網絡系統信息內容安全.中國高校網站安全情況極差,根據國內信息安全公司的報告,在2012年5月,國內截獲了61萬個遭黑客網頁掛馬的網址,其中教育教學類的網址就有18萬個以上.此外,根據《2013年中國高校網站安全檢測報告》,高校網站的安全性在全國各類網址中,體檢分數排名僅僅比倒數第一名多2分(見圖1).值得注意的是,各大學校的科研、教務網站上保存有大量的敏感數據和學生信息,如不加以重視安全保護,極易受到黑客的攻擊和竊取,由此引發的高校網站被篡改、被掛馬的安全事件頻繁出現,最終給高校帶來嚴重的形象及經濟損失.另外,高校網站在百度、搜狗等搜索引擎中是熱門關鍵詞,由于其安全性薄弱及多方面的利益驅使,是黑客攻擊并傳播病毒的優先選擇目標.信息安全隱患已經成為高校信息化建設過程中無法回避的問題,其嚴重威脅著高校信息化的推廣和使用,[2]威脅著公共安全的多個方面.
2高校信息安全面臨的挑戰
當前,各大高校都在加大信息化平臺的投入,對官網、教務管理系統進行建設,讓各類教學資源聯網共享,優化校內網絡資源等,這些高校信息化的建設是各大高校適應當前形勢發展需求而開展的,每個學校都有自己的實際情況和需求,業務開展初期沒有一個宏觀的規劃架構,各個系統之間互不連通,數據不能同步共享、更新,這些系統的功能特性、安全需求和等級、服務的群體、所面臨的風險各不相同.高校信息安全面臨的挑戰,主要有以下幾點:1)高校官網易受到攻擊:高校官網是學校重要對外交流窗口,瀏覽訪問量巨大,又因為高校網站多為各高校自主搭建,缺乏足夠的安全防范技術與措施,所以較容易引起網絡黑客的攻擊興趣,黑客利用網頁掛馬,分布式拒絕服務攻擊等方式對學校官網進行攻擊,輕則造成網站響應速度變慢,重則導致訪問者中毒,或者學校網站無法訪問等嚴重后果.圖2和圖3分別列出了中國高校網站安全漏洞分布情況和黑客攻擊高校網站技術手段分布情況.圖2中國高校網站安全漏洞分布情況Fig.2DistributionofsecurityvulnerabilitiesinChinesecolleges圖3黑客攻擊高校網站技術手段分布情況Fig.3Hackers'attackmethoddistribution2)高校敏感數據被入侵、篡改.高校信息中心的業務數據,包括“校園一卡通”、教務管理系統、圖書館借閱系統、精品課程資源庫等,由于保存有大量學生身份證、聯系電話、成績、銀行卡號、住址、學生飯卡資金等敏感信息,也成為網絡黑手攻擊的對象,黑客入侵修改學生成績、學歷,甚至修改畢業證信息等信息安全事件屢見不鮮.3)校園網的內部威脅.高校內部用戶上網帶來的威脅,包括機房、宿舍、辦公樓用戶等.由于信息技術發展速度較快,高校在信息安全教育方面沒有跟上技術發展的步伐,導致校園上網用戶對信息安全重視程度不夠,缺乏信息安全保護能力和意識,通過學校局域網或者機房感染計算機病毒的概率很高,使得各種計算機病毒在校園內迅速傳播,給學校內網帶來安全威脅.另外,有些學生對黑客盲目崇拜,在校內嘗試黑客攻擊技術,也造成了一些信息安全事故.4)技術人員方面的短缺.很多高校信息管理人員缺乏成熟的管理經驗,整體素質比較低,加上管理和制度上的欠缺,使得高校信息系統在運行過程中遇到入侵的概率大大增加.5)需要加大資金投入.越來越多的高校已經認識到校園信息化建設的重要性.但是,由于信息化建設的硬件投入需要較大資金,而很多高校存在資金缺口,導致安全設備硬件的缺乏,進而成為整個安全建設的短板.另外,信息化服務、信息化應用、人員培訓等方面也需要大量資金,這些問題不解決,將使得高校的信息化建設失去動力支持.
3解決方案
對于高校校園網的安全建設而言,主要考慮以下幾個方面:1)對整個高校的信息安全進行統一規劃,建立并實施體系化的信息保障標準,實現學校門戶部門公共服務網站教學資源等各類型網站的整合,簡化技術維護難度,確保網站的建設質量和安全防護能力.2)全方位的進行建設,在基礎層建設方面、網絡層建設方面、系統集成方面、管理應用方面,多角度多層面的設計和建設安全需求.3)對涉及敏感數據的區域進行重點保護,劃分重點區域,有利于集中管理.4)針對學校的業務需求,引入先進的安全硬件軟件等產品,緊跟安全領域的步伐.5)定期進行校園網絡體系化建設咨詢,風險評估,攻擊測試等活動,不斷提高安全防護能力.6)信息安全建設過程中要嚴格遵守國家等級保護要求,結合等級化的方法來設計.7)高校信息化建設與人員的素質息息相關,在加強信息化管理的過程中,需要對校園中使用網絡的人員進行安全教育和培訓,提高人員的安全意識,[3]形成人人關心信息安全工作,事事重視信息安全保護的工作氛圍.
4具體安全措施框架
根據高校自身系統的特點,結合等級保護相關技術要求和標準規范,筆者提出了以下解決方案(見圖4).該方案的安全措施框架是依據“防范優先,全面防御”的方針,以及“制度與技術結合”的原則,并結合等級保護基本要求進行設計,主要包括技術體系,管理體系以及安全監控體系三大方面,在核心應用系統方面使用入侵檢測系統、軟硬件防火墻、殺毒軟件定期查殺等常用信息防范措施,保障網絡業務在具有一定的安全防護能力下的正常開展.
4.1技術體系
4.1.1架構規劃
劃分重點保護區域、訪問控制、防DDOS攻擊,針對重點保護區域使用防火墻進行隔離,配置規范的訪問控制權限和策略,交叉使用多家安全廠商的產品,構建嚴密、專業的網絡安全保障體系.
4.1.2應用層面
對校內各Web應用進行入侵檢測,及時修補漏洞,利用防火墻對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷,并結合網頁防篡改子系統,真正達到“網頁防篡改”效果.
4.1.3數據層面
將校內重要的數據放置在重點保護區域,提升數據庫自身的安全指數與配置,對數據庫的訪問權限進行嚴格設定,最大限度地保證數據庫安全.同時,利用SAN、異地數據備份系統有效保護重要信息數據的健康度.
4.2管理體系
任何安全設施和安全產品都需要專業管理人員的審核、跟蹤和維護,在安全管理體系的設計中,引入安全經驗豐富和對等級保護管理要求理解清晰的專業公司,為高校量身定做符合實際的、可操作的安全管理體系.
4.3安全監控體系
4.3.1風險評估
評估和分析在網絡上存在的安全技術,分析業務運作和管理方面存在的安全缺陷,調查系統現有的安全控制措施,評價當前高校的業務安全風險承擔能力;聘請資深的安全專家對各種安全事件的日志、記錄實時監控與分析,發現各種潛在的危險,并提供及時的修補和防御措施建議.
4.3.2滲透測試
利用網絡安全掃描器、專用安全測試工具和專業的安全工程師的人工經驗對網絡中的核心服務器及重要的網絡設備進行非破壞性質的模擬黑客攻擊,提高防范意識與技術.
4.3.3應急響應
針對信息系統危機狀況的緊急響應設有預案,當信息系統發生意外的突發安全事件時,可以提供緊急的救援措施.通過以上方案的實施,學校業務系統得到安全保障,高校科研、教務、學籍等重要數據免受黑客入侵威脅.高校官網抗攻擊性得到加強,在遭受一般的網絡攻擊下能持續提供網絡服務,并檢測攻擊出處.規范校內用戶的上網行為,提高校內用戶的整體信息安全意識,提高了網絡利用率,減少了內部的網絡攻擊.另外能逐步完善安全制度并提升管理人員素質.因此該系統的建設能夠滿足當前高校網絡系統的要求.
5結語
當前高校網絡系統是一個不斷發展壯大的多功能復雜系統,在提供日常的教務管理、學校宣傳的同時,也面臨著越來越復雜的信息安全威脅,網絡技術不斷發展的同時,現有的系統自身的漏洞與弱點也會不斷被發現,信息安全風險日益突出,成為當前高職院校中信息化建設過程中必須面對與亟待解決的問題.信息化建設和發展對于高校未來的教育工作有著非常重要的現實意義,因此,需要加大資金投入,保證校園向著信息化方向發展,[4]以信息安全為出發點,將系統從項目立項開始就納入管理范疇,從而實現對高校信息系統的有效管理.[5]在高校信息化建設中實施信息安全保護建設工作有利于提高全校的信息系統安全建設水平,能不斷的同步建設各種信息安全設施,讓信息化建設與信息安全同步發展,能提供全面的并有針對性的信息系統安全建設,降低網絡系統建設成本,有利于優化信息安全資源配置,保護信息系統分類,確保高校信息平臺的安全運行.
作者:聶晶 單位:南寧職業技術學院
[參考文獻]
[1]于莉潔,王松盛,唐麗華,等.高校信息化建設中的信息安全問題研究[J].信息安全與技術,2016(3).
[2]趙歡,陳熙.高校信息安全體系的研究與實現[J].中國教育信息化,2013(13).
[3]譚博.高校信息化建設進程中信息安全問題成因及對策探析[J].信息與電腦:理論版,2016(11).
[關鍵詞]ZigBee POS 信息安全
中圖分類號:X913.2 文獻標識碼:A 文章編號:1009-914X(2016)03-0080-02
ZigBee技術在WSN(無線傳感器網絡)和物聯網應用的提出已經有很多年了,并且ZigBee在智能化信息管理、電子收費系統、自動化控制監測和軍用智能無人機器方面有廣闊的市場前景。WSN網絡和物聯網通信技術的不成熟、軟硬件標準的不統一,信息安全方面特別是信息安全技術的敏感性和各個研發單位的安全技術保密的不成熟,而ZigBee網具有很強的安全、穩定性能,可以有效的解決這一難題。由于ZigBee無線網應用極其廣泛,選取POS收費系統應用作為具體研究對象,而且將ZigBee技術應用在POS收費系統上本身也是個研究前沿。所以,對確立在STM32單片機基礎上,基于ZigBee無線網絡的POS機信息安全問題進行整體的初步探討,以期起到拋磚引玉的作用。
1 基于ZigBee無線網的POS系統信息安全環境
1.1 ZigBee網POS系統環境配置
具有安全特性的高性能、低功耗、自組網的ZigBee組網是當今WSN和物聯網RFID技術組合的主流高新技術之一,相比藍牙、Wi-Fi和GPRS,ZigBee組網更具有特別的安全性;而STM32單片機高效能、高可靠、低成本和技術成熟,還可以實現51單片機不能完成的復雜功能用途,是很有發展前途的一款單片機。因此,STM32單片機是安全、穩定的ZigBee組網節點的恰當選擇。μC/OSⅡ操作系統具有執行效率高、空間占用小、多任務、可擴展能力強和穩定可靠的特點,符合WSN的信息安全穩定工作要求。建立在STM32單片機、ZigBee組網和μC/OSⅡ操作系統基礎上的軟硬件系統是建立低成本、高可靠、高安全的無線網的必要條件。將無線網絡信息安全建立在使用STM32單片機、基于ZigBee組網和μC/OSⅡ等實時操作系統上的POS系統環境,相比建立在基于51單片機裸機上的ZigBee組網的POS系統環境,安全度更高更可靠。
1.2 ZigBee無線網的安全特性
ZigBee無線網是一種短距離、低功耗、自組網和高安全性的高新無線通信網絡,由一個高性能的FFD(全功能節點)和多個的RFD(精簡功能節點)組成PAN(私人用局域網)。只能有FFD建立PAN網,由多個PAN網建立整個ZigBee組網。萬一有FFD被擊毀,可以由臨近有效范圍的FFD自動重新組網;當孤立的RFD不在FFD范圍內,可以通過其他附近的FFD加入PAN網,靈活性和穩定性很高。由于ZigBee無線網的有群集性多跳性,定位節點位置是技術難題,就需要再組合GPS應用模塊進行補充,
1.3 ZigBee無線網安全的關鍵技術
ZigBee的無線通信安全的關鍵是通信協議,ZigBee協議規范提供了信任中心、網絡層安全和APS層安全,不提供鏈路層安全。ZigBee遵守IEEE802.15.4協議,并可以在簡單的IEEE802.15.4協議基礎上開發簡單的WSN應用協議,用于建立小規模簡易局域網如星型網。甚至在此基礎上自行開發大規模復雜的協議棧,比如用于智能家居自動監控系統的Mesh網。還可以創新多種功能的應用程序和系統軟件。我們甚至可以把開發出來的有安全保護的協議棧固化到芯片中去,使用AES協處理器實現信息的硬件加密加速的功能,而我們的軟件只需要設計一個自己的API接口就行。
1.4 ZigBee無線網的POS系統信息安全架構
針對ZigBee組網的POS系統信息安全問題,從上層到底層可分為:操作安全、網絡安全、軟件算法安全、底層硬件安全。操作安全要求有一套嚴格的操作規章制度,禁止未授權人非法使用、越權使用。網絡安全要求網路的安全,包括接入點安全和網絡協議族安全。軟件算法安全最重要也很復雜,包括各種加解密算法安全、電子簽名和身份認證。底層硬件安全包括、POS機安全和意外安全。
2 基于ZigBee無線網的POS系統軟件算法安全及算法比較
身份認證可以使用不對稱加密算法和對稱加密算法,一般應使用不對稱加密的RAS算法。使用預定好的密鑰進行身份認證,身份認證成功后,對存儲器的任何操作都是加密的。身份認證共有三輪,如圖,流程為: 第一輪:a) 讀寫器指定要訪問的存儲區,并選擇預定密鑰A 或B。b) 射頻卡從位塊讀取密鑰和訪問條件。然后,射頻卡向讀寫器發送隨機數。第二輪:c) 讀寫器利用密鑰和隨機數計算回應值。回應值連同讀寫器的隨機數,發送給射頻卡。d) 射頻卡通過與自己的隨機數比較,驗證讀寫器的回應值,再計算回應值并發送。第三輪:讀寫器通過比較,驗證射頻卡的回應值,正確后才能對卡進行讀寫操作。這樣認證加密后,就有效的保護了個人隱私。身份認證成功后,讀寫器/芯片指定后續讀取的存儲器位置,數據加密采用TEA、DES、AES等。為保證終端設備的安全,必須一卡一碼,并且每次只能對一張卡操作。認證完成后才能進行卡的讀寫操作,每次只能有一張卡選中,獲得認證后進行讀寫操作,其他的卡則進入休眠態,以保證不會出現由串卡現象引起的誤操作。射頻卡讀寫器的安全軟件由生產商配備,并且通常要固化到硬件。
RSA算法的難度在于如何產生密鑰對,RSA生成公鑰的方法:任意選兩個大素數M、N,選擇一個加密密鑰E,使E不是(M-1)和(N-1)的因子;
生成私鑰D的公式:(D*E)MOD(P-1)*(Q-1)=1;
用公鑰E加密公式:CT=PTEMOD(M*N);
用私鑰D解密公式:PT=CTDMOD(M*N)。
在ZigBee網中,對于敏感性信息的安全保護沒有太高要求的應用領域,在32位CPU或MPU處理器主頻80Mhz情況下,使用對稱加密方法的DES,加解密的速度為26.75Mbyte/s, 加解密的速度水平較高。如強化安全性能可以升級為更先進對稱加密方法的AES,如使用AES加解密,加解密的速度11.69Mbyte/s, 加解密的速度水平中等,比前者慢。
在ZigBee網中,對于敏感性信息的安全保護有很高要求的領域,特別是在財務、金融和軍用領域,必須要保證身份認證和數據信息的絕對安全。所以,算法必須使用復雜加密方法RSA,并配合數字簽名。在32位CPU或MPU處理器主頻80MHz情況下,1M的 RSA 簽名次數 32 次/秒,認證次數 32 次/秒,正所謂慢工出細活。RSA使用公鑰密鑰對機制,再配合數字認證可避免中間人攻擊,這對于開放性更強的無線網絡尤為重要。如果采用對稱密鑰算法,密鑰容易被入侵者截獲,對收發雙方進行欺騙并非法獲利。并且RSA伸縮性更好,所需密鑰數與消息交換參與者個數相等。而對稱加密算法容易受到中間人攻擊,密碼會被盜用;并且一旦網絡規模加大,密鑰對的數目的需求成指數級別增長,是消息交換參與者個數的平方,在密鑰發放過程中很容易泄密。因此,身份認證應采用安全度更高但速度慢的RSA;經常大量的數據包加密采用速度快的DES或AES,并可用ZigBee節點自帶的AES協處理器進行硬件加速。若要進一步加速數據包加解密速度,可以將主節點與上位機的串行數據接口改為高速的USB接口,就可加快加解密速度。以下簡述AES的應用程序設計。
3 POS系統的ZigBee網絡安全
在TCP/IP各層數據安全中,ZigBee的網絡數據信息安全的數據安全主要特點有:非法網絡節點的過濾和無線網信息加密,可有效避免網絡的非法入侵。通過IEEE802.15.4協議棧的應用庫,例如如在基于MAC協議棧的MAC庫API上,通過建立PAN網,每個PAN都有獨有的PAN地址ID,這樣就可通過PAN網ID和節點ID過濾來區分ZigBee網節點的合法性。在發送和接收數據包過程中,通過AES算法來加密來實現數據的信息安全。
據最新報道,AES加密算法已被國外頂尖專家破解,但是也不必驚慌,對于絕大多數情況下,附加其他綜合安全措施,它目前還是很安全。AES高級加密標準(Rijndael算法)明文分塊和密鑰為可變長,加密的輪數為可變次,每一輪4步:第一步:使用S盒技術進行字節替換。第二步移行,第一行不變,其他的行移動可變次數。第三步混合列。第四步,輪密鑰加法,將密鑰與輸入的字符進行字節異或操作。其中的可變部分由用戶自行確定后,生成的密文更難破譯。
此外,網絡接入點的防火墻也很重要,防火墻保護可信任內部網絡免受不可信網絡的入侵威脅,能極大地提高政府部門、企業內部網絡的信息安全,同時允許信任的雙方通信,并通過過濾不安全的網絡服務而降低風險。ZigBee無線網的接入點也必須要有完備的防火墻設置,采用路由器相互認證、地址翻譯等方法,方可有效防止假冒的路由器接入內網和非法截取私有敏感數據,以確保無線網的信息安全。
在以STM32單片機為節點的ZigBee無線網,可加載GPS衛星定位模塊,將關鍵的可讀寫的FFD節點中嵌入GPS模塊并且全部定好位,并將地址上傳到主控機節點,而執行多跳的RFD節點不加載GPS模塊,以減少信息安全成本。這樣,凡是不在正確的GPS位置的非法入侵FFD節點一律無法加入ZigBee網并且會導致啟動入侵報警程序。
4 POS系統硬件安全
由于是無線網,ZigBee網的安裝和POS機入網離網非常方便,易于隨身攜帶,比固定POS機好保管、防盜。在POS機內置高容量緩存,可暫時保存網絡通信延遲信息。內置后備供電池,防止突發停電。配置后備存儲器,暫時斷網后可脫機保存消費信息。
5 結束語
基于ZigBee無線網的POS系統信息安全不僅要有嚴密的安全算法,健全的軟、硬件和網絡安全環境也起了不可替代的作用。此外,無線網信息安全應當考慮到加解密算法的安全性能、成本和時間的平衡點,尋求安全、低價和快速的實施方案。有有效的方法就是:首先,身份認證采用安全度更高但速度慢的RSA算法,極度敏感數據采用加載GPS模塊的STM32單片機來定位入侵;其次,經常大量的數據包加密采用安全度較低但速度快的AES算法,并采用低價、高效和低功耗的STM32單片機為節點的ZigBee無線網,使用AES協處理器加速加解密處理;第三,ZigBee無線網組網的FFD節點加載GPS定位模塊,并登記GPS地址到主控機,解決ZigBee節點的準確定位問題,防止非法節點冒名頂替和準確定位入侵者。 最后,ZigBee無線網的接入點必須采用防火墻。只有軟硬件互相配合和嚴格的安全管理,才能保證基于ZigBee無線網的POS系統信息安全萬無一失。
參考文獻
[1] 楊宗德,張兵 μC/OS-Ⅱ標準教程 人民郵電出版社2009.5: 5-6.
[2] Klaus Finkenzeller RFID-Handbuch 電子工業出版社2006.10:218-228.
一、統籌規劃,突出重點,全面夯實信息系統安全運行基礎
1、不斷推進關區網絡準入管理工作。網絡準入是2011年我關重點科技項目之一,我科對現有的客戶端安全監控系統(eCop)進行功能升級,以最小的資金投入和管理成本實現關區網絡準入功能,確保只有經過總關技術處審批、并且符合各項安全要求的信息化設備才能正常使用青島海關網絡,補全關區信息安全管理工作的一塊短板,為我關網絡提供強有力的安全保障。目前關區業務管理網已經全部實施了網絡準入,業務運行網正在逐步部署,預計明年初完成。
2、徹底完成業務管理網安全域劃分工作。按照國家關于等級保護的安全要求和海關總署的統一部署,在袁進軍副處長的指揮下,我科牽頭網絡科、系統科、開發科組建工作組,花大力氣,用半年多時間,將重要應用系統的服務器移入保護區,只對微機開放HTTP端口,極大降低關鍵服務器受病毒影響、越權訪問、數據外泄等方面的風險,徹底完成了管理網安全域的劃分工作。工作組按照總署的統一要求、結合關區網絡現狀,充分論證、細化實施方案,將整個工作分成4個步驟,一是部署防火墻劃分安全域,二是將服務器全部移至過渡區,三是對服務器訪問策略進行徹底梳理,四是調整網絡參數將服務器逐臺移入保護區;制定了周密的應急預案,將大部分網絡調整的操作安排在工余時間。同時,將新增的防火墻加入我關防火墻集中日志系統,實現網絡日志記錄功能,并同步制定《管理網服務器保護區網絡訪問策略變更工作規范》、《管理網服務器安全域劃分后運維管理工作規范》等日常工作制度。在實施過程中,工作組攻克多個技術難點:對47臺服務器逐臺梳理網絡關聯、分析網絡訪問記錄達百萬條;鉆研虛擬化技術,解決部分應用系統使用高危端口提供服務的問題;重新規范技術人員運維模式和業務人員對敏感數據庫的訪問方式。管理網安全域的劃分,提高了青島關區信息系統的可用性,今后將在關區信息系統安全運行工作中發揮至關重要的作用。
3、對敏感崗位計算機實施重點保護。為加強敏感崗位計算機在越權訪問、數據泄露、病毒入侵等方面的自我防護能力,我科經充分測試評估,啟用瑞星防病毒軟件的個人防火墻功能,提升關區業務管理網內敏感崗位計算機的安全保護級別。目前已對關領導、辦公室、人事處、財務處55臺敏感崗位微機實施了保護,受到了預期的效果。
4、完成防病毒產品的換型和升級工作。在管理網、互聯網部署了瑞星防病毒軟件,運行網服務器也完成了KILL軟件升級。升級入侵檢測系統,在運行網及管理網的核心交換機部署了兩臺千兆入侵檢測引擎,用于監控關鍵服務器的網絡數據包;調整我關入侵檢測系統策略,將管理網和運行網的DNS服務器納入監控范圍;開展專項木馬查殺工作,在2臺服務器、3臺微機查殺了木馬病毒。加強日常監控,提升關區網絡內病毒、木馬等惡意軟件的防范能力。
5、充分發揮在線應用監控系統的功效,提高安全運行保障能力。不斷利用在線應用監控系統對新增項目進行運行監控,持續優化監控參數。截至目前共對43個在線應用項目的614個故障點進行了監控,平均每分鐘發出63.4次監控請求,日均報警2.9次。保障第一時間發現運行異常、準確定位故障點并及時處理。
二、充分發揮管理職能,保障關區信息系統安全運行
1、進行關區安全掃描評估工作。我科不斷完善安全掃描評估機制,每半年進行一次安全掃描。微機方面重點包括客戶端安全軟件(eCop)安裝、弱口令、防病毒軟件的安裝、補丁更新、計算機命名規范等五方面的內容,運行網、管理網微機符合安全要求的比例分別為90.8%和85.3%。絕大部分單位評分在90分以上,客戶端微機的安全狀況良好。服務器方面發現28臺服務器共計51個高危漏洞、管理網qdc域共332個用戶存在弱口令。安全掃描通報并組織整改。
2、緊急應對conficker病毒。與系統科一起對管理網conficker病毒進行專項查殺,利用ids系統、瑞星軟件定位染毒計算機,使用域策略配合專殺工具定期進行全網殺毒。積極向總署匯報該病毒的處理過程和效果,配合信息中心在全國海關網絡中查殺該病毒。在國慶期間,我們針對conficker病毒的傳播途徑進行重點監控、保障敏感時期信息系統安全穩定運行。
3、不斷加強信息安全宣傳工作。編寫并發表了“管理網安全域劃分、國慶期間關區信息系統安全保障、提升敏感崗位微機的安全保護級別”等三個工作簡報,平時注意工作信息的編寫,不斷提升信息安全工作在關區的認知度。
4、配合辦公室完成安全保密相關工作。協助省安全廳檢查組對我關進行網絡安全保密檢查,經各級檢查組多次抽查,我關、我處均未發現安全保密違規事件。配合辦公室完成紅機網分級保護測評工作。參與辦公室關于“辦公網保密管理規定”的工作會議,就系統管理、客戶端維護、安全管理、網絡管理等相關工作的分工進行充分討論、溝通,最終達成一致意見。
5、繼續普及并強化關員信息安全意識。通過對各單位各部門信息安全管理員進行培訓、組織信息安全自查、操作指引、通報安全掃描情況等方式多角度、全方面地普及并強化關區用戶的信息安全意識。
三、常抓不懈,不斷排查信息安全隱患
1、外聯網油氣化系統服務器對企業端開放了所有端口,可能導致互聯網病毒傳入和非法入侵。組織有關科室確定正常服務端口,并進行網絡訪問控制。
2、財務處互聯網網上銀行業務用微機原本在單獨子網進行訪問控制,大樓裝修后未進行子網劃分。提醒有關科室及時處理。
3、關于VPN訪問網上辦公系統身份信息混淆的安全隱患,向政信科反映,建議其立即排除故障。
4、發現并排除SCA機房光纖接入單點故障。
5、處內督察時發現新疆路網絡機房溫濕度不符合機房環境要求,建議網絡科排除隱患。
6、發現短信平臺工余時間故障無法及時通知維護人員。與通信科合作,在oam系統中將短信平臺的報警由短信方式改為撥通手機方式,排除該隱患。
四、服務關區各項改革,積極參與重點科技項目開發
1、組織人事管理信息平臺二期項目開發工作。
青島海關人事信息平臺是以總署人事管理信息系統(CCHRS)數據庫為基礎,在HB2004系統下授權運行,以人事信息綜合查詢、人事信息標準化采集、人力資源分析等功能為核心,按照“公開、效能、簡便”的原則,科學整合原有的領導干部網上考核、后備干部管理等系統,新開發人事信息綜合查詢、人事信息標準化采集、人力資源現狀分析、人力資源量化測算、工資管理、離崗管理、網上投票等系統,搭建的統一的青島海關人力資源管理信息平臺。該系統是關區人事部門組織開展工作、強化管理監督的管理操作平臺,是一個關區廣大關員了解關區干部人事工作和個人基本信息的信息查詢平臺,同時也是關區各級領導班子和領導干部研究部署工作的人事輔助決策平臺。
2、升級公務員考試錄用面試系統。該系統改變了面試考官、人事處管理人員紙面評分、匯總、統計的工作方式,大大提高了考生招錄的效率和質量。
3、抽調總署進行科技項目設計、開發工作。苗偉彬借調到總署人教司,參與總署人事管理信息系統二期的設計工作,從需求提出到系統設計,提出了許多建設性的意見和建議;并對署管干部年度考核系統進行了安全加固,修復了SQL注入攻擊、XSS跨站攻擊等多種安全漏洞,提高了系統的安全性。
4、升級網上考核系統。人事處對領導班子和班子成員年度考核辦法進行了大幅度的調整,政治部辦公室年內調整了基層考核指標和計分方式。為了適應新的考核模式,組織人員對網上考核系統進行了全面改造和升級。
5、參與H2010工程安全運行組集中工作。委派王璐參加總署H2010工程安全運行組集中工作,負責編寫《海關信息系統安全審計系統建設方案》中主機審計部分。
五、存在的不足
回顧全年工作,感覺在技術創新、爭取總署項目試點方面尚存在不足,今后需著力加強。
六、明年工作打算
1、在業務運行網完成網絡準入功能的部署。
2、穩步推進,實施管理網移動存儲介質專網專用。
3、部署防病毒網關產品,進一步加強關區網絡病毒防范能力。
4、加強關區信息安全培訓,不斷提高關員信息安全意識,提升自身安全技術水平。
【關鍵詞】電力企業;信息安全;桌面管控技術
引言
隨著信息技術的發展,信息系統的深入應用,信息安全成為國家電力企業信息化的重要工作內容。由于桌面終端和用戶的數量多,從而容易帶來信息安全隱患,致使信息管理部門難以開展工作。近幾年,多數電力企業制定了對桌面的管理制度,統一了桌面終端管理系統。但是,如何將管理制度落實到實際工作中并將現有的技術應用到桌面信息安全管理,還需要不斷的深入研究與實踐。
1桌面終端信息安全管理現狀
近幾年,我國電力企業提出了信息安全的八不準和五禁止,由于電力企業提出上述措施,有利于各企業桌面終端系統信息安全工作的順利開展,大力推廣了桌面終端管理系統的應用,對非法接入外網實施了有效的監控,提升了對移動儲存介質的管理。但根據桌面終端管理系統的相關數據顯示,還沒有達到對信息安全的要求,仍然存在很多問題,致使信息管理部門的工作難以開展[1]。因此必須要立足于桌面管控技術全面的提升電力企業信息安全水平,從而有效的保障電力企業的信息安全。
2桌面終端存在的問題
目前,桌面終端主要存在以下幾個方面的問題:①接入外網時計算機感染病毒,特別是由于移動儲存介質最容易感染,而且傳播的速度極快;②部分員工利用電子郵件辦公時,電子郵件里會出現一些敏感字體;③非法接入外網現象始終存在,桌面終端的口令設置較弱;④桌面終端補丁更新率、桌面終端注冊率和殺毒軟件安裝率較低,沒有達到企業的標準。致使以上問題出現的原因有:①對信息安全的管理力度不夠,沒有將其歸入對信息管理部門工作人員的考核中,沒有將現有的桌面管控技術手段深入應用;②對信息安全管理的要求較為分散,沒有統一的管理標準,雖然通過各種方式開展宣傳,但是僅對信息管理部門的工作人員有用,其他部門員工對信息安全的認知度不夠[2];③部分員工信息安全意識淡薄,沒有將信息安全管理的要求落實到實際工作中,認為信息安全可有可無,存在無所謂的心理。
3桌面管理及提升技術的措施
3.1桌面管理措施
3.1.1計算機安裝流程標準化電力企業中,所有新購買的計算機統一由信息管理部門安裝殺毒軟件和操作系統。修補系統中存在的漏洞,注冊桌面系統的新端口,初始開機口令的設置要符合國家統一的標準。只有完成以上流程,才能下發給網絡用戶并接入網絡,嚴格把控好信息設備的安全性,從根源上消除桌面信息安全隱患。3.1.2完善管理制度企業應制定統一的管理制度,落實好信息管理部門的工作內容,其工作內容包括:信息設備的損壞修理、安裝、領用、驗收及信息的來源。由于筆記本計算機容易感染其他網絡端口的病毒,出現重裝系統的問題,致使管理人員不易管理,對此不允許接入其他網絡,從制度的根本上確保企業內所有的聯網端口都是由信息管理部門負責。除此之外,統一訂購帶有企業標志的移動儲存介質,工作人員在領用時必須簽字,待離職時交還信息管理部門。3.1.3提高工作人員信息安全意識由于工作人員的信息安全意識淡薄,不了解企業對信息安全的要求,還沒有掌握信息安全的技術,這些都成為信息潛在的安全隱患,對此,加大對員工信息安全意識的培訓力度顯得至關重要。工作人員的信息安全意識應從第一天入職的時候就加以重視,培訓人員要全方面的開展對新入職員工的培訓,包括:技術手段、管理制度、信息安全意識、對信息保密等。培訓之后,可以實施對信息安全有關知識和技術手段的考核[3]。除此之外,給員工配備計算機時,要給員工講解使用的要求及注意事項,且讓其簽字。通過信息安全培訓,使工作人員掌握桌面管控的相關知識和信息安全知識,提高了工作人員的信息安全技術水平和職業素養及其安全意識,給信息安全提供了強有力的技術支撐。3.1.4強化外網終端接入流程管理各地區電力企業的外網桌面終端接入要嚴格遵守內網終端接入的標準流程,電力企業外網終端接入需要由企業管理人員向協同辦公系統簽報流程提報申請,經外網管理部門領導審批后轉發信通分公司,再由企業的網控室調整終端準入賬號、分配IP地址,并根據各企業的具體情況派發終端,由運維人員將符合入網條件的外網終端入網并進行安裝調試,再由網控室進行檢查,確定是否達到入網的標準,如果沒有達到標準要及時修改,值班人員需進行回訪,將工作單及時歸檔[4]。具體的申請流程詳見圖1。
3.2提升桌面管理技術的措施
3.2.1定期檢查、維護信息安全使用掃描設備對企業整個網絡系統進行掃描,對出現的問題及漏洞及時解決,一旦發現有桌面終端不符合基線要求,可以通過北信源程序下發符合基線要求的方法,保證桌面終端達到基線的要求。信息管理部門的工作人員要定期檢查桌面終端及控制系統的各項數據,出現異常要及時解決,逐步提升信息安全水平。3.2.2加固桌面終端由信息管理部門統一分配終端,完成對使用軟件和操作系統的安裝,并對桌面終端進行加固。接入網絡時,嚴格按照企業制定的桌面管理系統和準入要求執行,安裝必要的殺毒軟件及辦公軟件。對于沒有注冊和沒有安裝殺毒軟件的設備采取強制下線措施,對帶有敏感字的文檔給予提醒,以此保證殺毒軟件的安裝率和桌面終端的注冊率。內、外網的桌面終端在接入后,需由信息管理部門工作人員綁定接入交換機,將沒有使用到的端口關閉,預防其他用戶非法侵入[5]。3.2.3使用桌面終端系統的監控功能除了可以使用桌面終端管理系統的非法接入外網、警告口令設置低、殺毒軟件的安裝率和桌面終端的注冊率之外,該系統中還有控制的功能,可以通過控制功能,杜絕桌面終端用戶的不安全行為。例如通過硬件資源管理中的控制系統,在特定的區域內禁止使用藍牙設備與紅外線設備。有利于防范終端用戶使用信息內網接連計算機,有效解決了違規接入外網。3.2.4使用北信源系統在北信源系統(見圖2)中可以采用硬件設備控制,通過設備控制禁止使用藍牙設備和紅外線設備;采用進程監控功能,防止無線網卡設備的侵入;設置防火墻,只允許桌面終端訪問企業內部網址;將IP與MAC綁定,嚴禁使用用冗余網卡,防止修改IP與網關,以防發生違規外聯事件;實施文件動態監控、文件內容檢查和終端檢查,確保敏感信息檢查執行率及保密檢測系統安裝率指標水平。
4結語
21世紀以來,傳統的桌面終端管理模式已經無法適應社會的需求,不能安全有效地管控桌面終端。通過企業制定的桌面管理制度和桌面終端管理系統,提升了桌面管控技術,使桌面終端的工作流程規范化,在提升信息安全的同時,也提高了工作人員的桌面安全管理意識。在電力企業中采用桌面管控技術來提升信息安全,還需要不斷地實踐與探索,只有堅持不懈,才能使企業保持信息安全,走可持續發展道路。
參考文獻:
[1]姚瑋.電力企業信息安全全生命周期管控[J].電力信息與通信技術,2015(08).
[2]馬之力,張馴,崔阿軍,袁暉.電網企業網絡準入體系設計與應用[J].電力信息與通信技術,2015(05).
[3]陶明峰,劉志剛,徐勝朋,邢藝欣,襲建學.市縣級電力公司網絡一體化管理設計與研究[J].電力信息與通信技術,2015(05).
[4]吳石松,劉曄.電力企業桌面終端安全管理應用研究[J].現代計算機(專業版),2013(36).
大數據(BigData)本身是一個比較抽象的概念,至今尚未有一個公認的定義。Wiki定義“大數據”是利用常用軟件工具捕獲、管理和處理數據所耗的時間超過可容忍時間的數據集[1]。Gartner這樣定義“:大數據”是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力的海量、高增長率和多樣化的信息資產[2]。也有研究者形象化地描述“大數據”是未來的新石油。不同的定義基本都是根據大數據的特征歸納闡述給出。比較具有代表性的是4V定義,認為大數據具有4個特點:規模性(volume)、多樣性(variety)、高速性(velocity)和價值性(value)。即數據規模巨大,從TB級躍升到PB級;數據類型多樣,包含結構化、半結構化和非結構化的多種數據類型;高效的數據處理能力及蘊含著極高的價值。
2大數據時代圖書館信息安全面臨的威脅
大數據時代,數據資源將逐漸成為圖書館最重要的資產之一,決策行為將在數據分析的基礎上做出。作為以數據分析利用和信息服務為己任的圖書館,它的信息安全將面臨著大數據帶來的挑戰。
2.1存儲安全問題
圖書館關注的數據已不僅限于書目信息、讀者信息、電子期刊等業務數據,還延伸到微信、微博、移動網絡等讀者活動中產生的很難估量的社會化數據。如此龐大的數據集對圖書館的存儲、軟硬件設施是個考驗。如何防止這些數據丟失、損毀、被非法盜取及利用是圖書館安全存儲面臨的一項挑戰。另外,大數據環境下的圖書館為了降低成本,通常會將數據存儲在云端,云的開放性,海量用戶共存性等都帶來了潛在的威脅。
2.2網絡安全問題
圖書館是以網絡為基礎來傳遞信息和數字資源,為讀者提供服務。在網絡上,大數據成為更易被攻擊的顯著目標。圖書館的“大數據”不僅包含了海量數據資源,還包含了讀者行為、敏感數據等,這些海量的信息資源將吸引更多的攻擊者,也使大數據成為更有吸引力的目標。另外,黑客利用大數據發起的僵尸網絡攻擊,能夠同時控制百萬臺機器,這是傳統單點攻擊做不到的。利用大數據,黑客能夠發動APT攻擊,APT的攻擊代碼隱藏在大數據中,很難被檢測到。
2.3隱私泄露問題
社交網絡、微博、移動網絡等這些信息服務新形式的快速發展,互聯網每時每刻都在產生海量的數據。讀者的個人數據可能被任意搜索、獲取,這將極大地威脅隱私安全。一方面,圖書館的海量數據信息資源、讀者信息、讀者行為、科研信息等數據高度集中,即使不被盜取濫用,也增加了數據泄露的風險。另一方面,對于某些重要數據、敏感數據以及隱私數據的挖掘分析,其使用權沒有明確界定,這都將會涉及隱私泄露。
2.4知識產權問題
大數據時代,圖書館雖然會把越來越多的數據資源交給“云”提供商代為托管,但是圖書館應完全擁有這些被托管數據資源的知識產權。然而現實中“,云”提供商利用大數據技術對圖書館的數據資源進行挖掘、發現、分析進而整合成新的數據產品加以利用,本該由圖書館所唯一擁有的數據,一旦被“云”提供商開發成產品,知識產權的界定就成為圖書館要面臨的新難題。
3大數據時代圖書館信息安全應對策略
大數據資源將成為圖書館的核心資產。圖書館在利用數據處理、數據挖掘、數據分析等技術獲取大數據蘊藏的高價值,創新服務模式,提高服務質量的同時,應重點考慮如何確保數據資源存儲安全,如何降低網絡安全威脅,如何防止隱私泄露等。大數據時代的圖書館應首先從技術層面保障存儲安全,提高網絡安全防范技術;其次,建立數據監管體系,對讀者和圖書館的重要數據、敏感數據、隱私數據進行監管;最后,加強圖書館信息安全制度和相關政策法規建設。
3.1保障存儲安全
圖書館的數據資源在無限增長,規模日益龐大,保障這些數據資源的安全存儲顯得尤為重要,同時對硬件設施也是巨大考驗。現有的存儲系統無法充分有效地存儲、管理、分析大數據,限制了數據的增長。大數據時代的圖書館為了降低運維成本,緩解硬件設施壓力,應考慮將數據和信息存儲在云端,利用云存儲實現數據的存儲、管理以及分析。云存儲,即基于云計算的存儲系統,其可擴展性、靈活性、運算高效性能夠解決大數據存儲和管理存在的問題。但是,云存儲具有數據規模海量、管理高度集中、系統規模巨大、平臺開放復雜等特點,這些都將對信息安全帶來威脅。因此,保障云安全是大數據時代圖書館信息安全的基礎。圖書館作為云存儲服務用戶,最關心的就是存儲在云端的數據是否完整安全,是否有人非法訪問,以及當合法訪問這些數據時是否能獲得有效且正確的數據。因此,應重點研究運用身份認證、加密存儲、數據災備這3種技術手段來保障云安全。
(1)身份認證。
加強圖書館云存儲上數據的管理,實行身份認證,確保管理員、讀者用戶、云存儲服務提供商等經過認證獲得訪問權限后,才可管理、分析、訪問“云”上的數據資源。云存儲具有跨平臺、異構、分布式等特點,為了提高管理員、用戶的訪問效率,應建立有效的單點登錄統一身份認證系統,支持各圖書館云存儲之間共享認證服務和用戶身份信息,減少重復驗證帶來的運行開銷。
(2)加密存儲。
對文件和數據進行加密保存,確保圖書館云存儲上的數據資源在存儲和傳輸過程中,不被意外或非意外損毀、丟失、處理及非法利用。加密存儲主要包含兩部分工作:一是密鑰的管理和產生,二是應用密鑰對數據進行加密存儲和解密讀取。云存儲系統為每位注冊用戶生成一個解密密鑰,系統將數據加密存儲在數據中心,用戶讀取加密數據后,利用自己的解密密鑰恢復數據,得到原始數據。這一過程對存儲性能和網絡傳輸效率會有一定影響,因此圖書館一方面要加快對加密存儲技術的研究;另一方面可以考慮先只對重要數據、敏感數據、個人信息數據進行加密存儲。
(3)數據災備。
云計算技術對于數據災備具有天生的優勢。將虛擬化技術、分布式技術和云計算技術結合可實現多點備份、數據自動冗余存儲、云節點無單點故障數據級災備。圖書館可以利用云存儲在不同的地方建設兩個及以上的圖書館云存儲數據中心,構成一個跨地域的統一存儲平臺,各業務部門和每個用戶都可以共享共用這些數據。保證只要有一個數據中心完整,所有數據就不會丟失且能夠提供持續服務。
3.2提高網絡安全防護技術
隨著圖書館數據資源總量的增加和新型社交網絡下讀者原創數據爆炸性增長,網絡在線數據呈現急劇增長的趨勢,導致黑客的攻擊欲望比以往更為強烈,其手段和工具也更為復雜、更加專業。大數據對圖書館網絡安全策略提出更高的要求,從技術層面來說,圖書館網絡安全策略包括漏洞掃描、入侵檢測、訪問控制和網絡安全審計4種技術手段,任何一個單一的防范手段都無法保障圖書館網絡的安全性。
(1)漏洞掃描。
漏洞掃描包括檢測路由器、交換機、防火墻、各應用服務器OS、應用系統以及工作人員用機的安全補丁、系統漏洞、病毒感染等問題。漏洞掃描系統應及時發現系統漏洞、木馬、病毒、蠕蟲、后門程序、網絡攻擊、ARP等,并提供修復、查殺、攔截、防御的有效工具,同時能夠對圖書館整個網絡系統進行風險評估,以便采取相應措施及時消除系統中的安全隱患。與以往的漏洞掃描不同的是,大數據時代,對于海量數據的掃描,將會花費很長的時間,因此需要研究解決如何提高網絡海量數據檢測掃描的精確度和速度。
(2)入侵檢測。
隨著圖書館信息資源和數據資源共建共享步伐的加快,圖書館私有云和行業云的建設加快,網絡應用范圍在不斷擴大,來自校園網內部和外部的黑客攻擊、非法訪問等安全問題與日俱增,因此對惡意入侵的檢測與防范刻不容緩。大數據對信息安全是把雙刃劍,應利用大數據的分析技術,通過分析來源信息,能夠自動確定網絡異常。進一步研究更有效的檢測手段,完成APT高端檢測,做到多點、長時、多類型的檢測。
(3)訪問控制。
接入圖書館網絡的用戶,在使用海量數據資源之前,必須進行身份認證和權限劃分,用戶通過認證獲得授權之后,才可以根據自己的權限訪問相應的數據資源和應用系統,獲取相關的數據分析結果等。采用單點、統一認證方式,并結合PMI權限控制技術,加大認證加密技術研究,有效控制不同用戶分不同級別訪問管理數據、訪問數據、獲取數據以及應用大數據分析結果。
(4)網絡安全審計。
相比入侵檢測系統,網絡安全審計沒有實時性要求,因此可以對海量的服務器運行日志、數據庫操作記錄、系統活動等歷史數據進行分析,并且可以利用大數據進行更加精細和復雜的分析,發現更多的黑客攻擊種類,其誤報率也將低于傳統的入侵檢測。
3.3建立數據安全監管機制
大數據關鍵技術的快速發展,為圖書館大數據的存儲與分析奠定了基礎,大數據將成為圖書館的重要資產。但是,海量數據和數據分析結果一旦泄露,相對于以往,對讀者個人甚至整個圖書館界將會造成巨大的經濟損失,還可能導致聲譽受損,嚴重的還要承擔相關法律責任。大數據安全不僅是技術問題,更是管理問題。因此,大數據時代,圖書館除了要從技術上實現存儲安全、云安全、網絡安全等方式來抵御外來的信息安全威脅,更需要加強在數據安全監管、數據資源共享機制、數據隱私保護、敏感數據審計等方面的制度建設,從管理上防止圖書館核心數據、隱私數據和敏感數據的泄露。力圖建立貫穿于數據生命周期的數據監管機制。在技術層面,運用先進的信息技術手段開展數據監管工作,如利用現有隱理、數據預處理等技術保障數據在使用和傳輸中能夠拒絕服務攻擊、數據傳輸機密性及DNS安全等。在管理層面,提高圖書館工作人員的信息安全意識,加強各業務部門內部管理,明確重要數據庫的范圍,創新有效科學的數據監管手段與方法,制定終端設備尤其是移動終端的安全使用規程,制定并完善重要數據、敏感數據、隱私數據的安全操作和管理制度,規范大數據的使用方法和流程。
3.4加強圖書館信息安全制度建設
依據信息安全管理國際標準ISO27000,明確大數據時代圖書館的實際安全需求和安全目標,量化各類數據資源的安全指標,建立全方位、立體、深度的信息安全防御體系。以信息安全防御體系為基礎,建立信息安全責任人負責制的組織機構;制定日常安全運維制度,包括存儲、業務系統以及各應用系統的安全運行監控制度、數據監管制度、移動終端檢測制度、網絡安全制度等;制定應急響應制度,包括數據災備制度、數據恢復制度、故障系統恢復制度等。對于存儲在云端的數據,建立數據共享制度和機密保護制度。根據保密級別、共享級別、開放級別等明確訪問權限等級劃分,制定數據的訪問、檢索、下載、分析等方面的規定;建立身份認證和權限控制機制,控制非法授權訪問數據;制定數據云存儲的安全規定,加密關鍵數據;制定數據所有權條款,防止“云”提供商第三方泄密。建立相應的法律政策保護數據利用時涉及的知識產權,保障數據資源的合理合法使用,維護圖書館利益,保護知識產權。
4結語
一、學校領導高度重視、組織落實是做好校園網絡安全管理工作的重要前提
校黨政主要領導和分管安全保衛工作的校領導高度重視網絡與信息安全工作,經常在各種會議上強調做好校園網絡與信息安全工作對維護學校安全穩定的極端重要性,對安全保衛部門上報的有關網絡動態信息認真閱讀和研判,并及時作出重要處理批示,在學校每次召開的有關維護校園穩定的工作會議上都要對加強校園網的安全管理與監控工作進行專門部署。學校還制定下發了《關于開展“平安校園”創建活動的實施意見》,其中指出“要堅持正確的輿論導向,防止信息傳媒的管理失控,要健全網絡管理機構,落實管理措施,強化網上監控”,為做好校園網絡與信息的安全管理工作明確了目標和方法。
二、各職能部門分工明確、互相配合是做好校園網絡安全管理工作的重要條件
在維護校園網絡安全方面,學校有關職能部門根據自身的工作性質有著明確的分工。如校宣傳部門主要負責全校網絡安全教育,網絡信息動態的監查、跟蹤和掌握并進行相關處置;校網絡主管部門主要負責加強整個校園網絡技術方面的安全防范、保障、封堵和指導,采用合理的技術手段對網絡運行安全進行有效的監查,為查處網絡不良、有害信息及案事件提供技術支持;保衛部門主要負責對網絡不良、有害信息及案事件進行查處,并根據自身工作性質對網絡信息進行監查。各職能部門既各司其職又密切配合、協作形成合力,為做好校園網絡安全工作提供了重要的基礎條件,使工作更為順利、效率更為提高、成效更為明顯。
三、建全各項管理規章制度是做好校園網絡安全管理工作的重要基礎
學校根據國家網絡與信息安全管理的有關法律法規,并結合學校的實際情況,制定了校園網絡安全管理條例與規定,并根據上級有關規定、形勢發展和學校具體實際情況,不斷予以修訂完善。各責任單位則根據學校有關規定和本單位的實際情況,制定網絡與信息安全管理方面的各項具體規章制度,如日常安全管理制度、信息審核制度、安全檢查制度、網管員工作職責等。由此校園網絡與信息安全管理工作做到有章可依,有章可循,不斷制度化、規范化。
四、建立和完善有效的管理機制是做好校園網絡與信息安全管理工作的保障
(一)實行分級管理、逐級負責制
學校成立網絡與信息安全領導小組,由主要領導擔任雙組長、分管領導擔任副組長。領導小組定期不定期地對校園網絡安全情況進行分析研判,研究制定涉及網絡安全方面重大問題的對策、措施,并對一段時期內的網絡與信息安全工作作出部署。領導小組下設辦公室,主要負責全校網絡與信息安全工作的管理和協調。各學院、部門、單位應當相應成立網絡與信息安全工作小組,其主要負責人為第一責任人,并指定專人擔任網管員,負責本級網絡與信息安全工作。
(二)實行安全責任制
學校與各學院、部門、單位簽訂網絡與信息安全責任書,各責任單位要將網絡與信息安全管理責任層層落實到所屬各部門和人員。其中,各責任單位的網管員,具體負責本單位日常的網絡與信息安全工作,網絡與信息系統的主管單位承擔系統的安全管理和監督責任,運行維護單位和個人承擔系統的技術安全保障責任,使用單位和個人承擔系統操作與信息內容的直接安全責任。堅持“誰主管、誰負責,誰運行、誰負責”的原則,切實落實網絡安全工作責任制。
(三)實行一票否決制
校園網絡與信息安全工作實行一票否決制。對在網絡與信息安全方面存在重大隱患和問題而不認真及時進行整改,或發生重大網絡與信息安全事件的相關單位和責任人,實行一票否決制,取消當年評先評優及個人晉職晉級的資格。
(四)實行責任追究制
對網絡與信息安全責任不落實、日常安全管理措施不落實、安全教育不到位等,導致網絡與信息重大安全事故或事件的,學校將根據網絡與信息安全責任書的有關規定,追究相關單位和責任人的責任,并予以全校通報批評。對觸犯法律的,則移交司法機關依法處理。
(五)實行值班備勤制
各責任單位要指定專人進行日常網絡與信息安全保障工作,確保24小時通訊聯系保持暢通。在重要、敏感時期,重大節假日期間,安排值班人員,一旦發生問題快速反應,及時處置。
五、強化網絡安全形勢的預測研判是做好校園網絡安全管理工作的重要環節
學校各職能部門密切關注國內外發生的重大事件及學校出臺的重大舉措,結合當下校園網絡的具體實際并根據網絡本身的特點,對一段時期內校園網絡的安全形勢進行分析研判并上報學校,為領導科學決策提供依據。特別是在每年重要敏感時間節點時,對校園網絡安全形勢進行預測研判并提出有關防范措施上報學校,使網絡安全防范工作更趨主動和有的放矢,例如,在北京奧運會、上海世博會、G20峰會等時期,均及時對校園網絡可能出現的輿情、動態預作研判,將防范工作做在前面。
六、切實加強宣傳教育活動是做好校園網絡安全管理工作的重要內容
【關鍵詞】企業網絡;信息安全;內部威脅;對策
1企業網絡信息安全的內部威脅的分析
1.1隨意更改IP地址
企業網絡使用者對于計算機IP地址的更改是常見的信息安全問題,一方面更改IP地址后,可能與其他計算機產生地址沖突,造成他人無法正常使用的問題,另一方面更改IP的行為將使監控系統無法對計算機的網絡使用進行追溯,不能準確掌握設備運行狀況,出現異常運行等問題難以進行核查。
1.2私自連接互聯網
企業內部人員通過撥號或寬帶連接的形式,將計算機接入互聯網私自瀏覽網絡信息,使企業內部網絡與外界網絡環境的隔離狀態被打破,原有設置的防火墻等病毒防護體系不能有效發揮作用,部分木馬、病毒將以接入外網的計算機為跳板,進而侵入企業網絡內部的其他計算機。
1.3隨意接入移動存儲設備
移動硬盤、U盤等移動存儲設備的接入是當前企業內部網絡信息安全的最大隱患,部分企業內部人員接入的移動存儲設備已經感染了病毒,而插入計算機的時候又未能進行有效的病毒查殺,這使得病毒直接侵入企業計算機,形成企業信息數據的內外網間接地交換,造成機密數據的泄漏。
1.4不良軟件的安裝
部分企業盡管投入了大量資金在內部網絡建設與信息安全保護體系構建之中,但受版權意識不足、軟件購置資金較少等原因的限制,一些企業在計算機上安裝的是盜版、山寨軟件,這些軟件一方面不能保證計算機的正常使用需求,對企業內部網絡的運行造成一定影響,同時這些軟件還可能預裝了部分插件,用于獲取企業內部資料信息,這都對內網計算機形成了一定的威脅。
1.5人為泄密或竊取內網數據資料
受管理制度不完善、監控力度不完善等因素的影響,一些內部人員在企業內部網絡中獲取了這些數據信息,通過攜帶的移動存儲設備進行下載保存,或者連接到外網進行散播,這是極為嚴重的企業網絡信息安全的內部威脅問題。
2企業網絡信息安全的內部威脅成因分析
2.1企業網絡信息安全技術方面
我國計算機與網絡科學技術的研究相對滯后,在計算機安全防護系統和軟件方面的開發仍然無法滿足企業的實際需求,缺少適合網絡內部和桌面電腦的信息安全產品,這使得當前企業網絡內部監控與防護工作存在這漏洞,使企業管理人員不能有效應對外部入侵,同時不能對企業內部人員的操作行為進行監控管理。
2.2企業網絡信息安全管理方面
在企業中,內部員工對于信息安全缺乏準確的認知,計算機和內部網絡的使用較為隨意,這給企業網絡安全帶來了極大的隱患。同時,企業信息管理部門不能從自身實際情況出發,完善內部數據資料管理體系,在內部網絡使用上沒有相應的用戶認證以及權限管理,信息資料也沒有進行密級劃定,任何人都能隨意瀏覽敏感信息。另外,當前企業網絡信息安全的內部威脅大多產生于內部員工,企業忽視了對員工的信息安全管理,部分離職員工仍能夠登錄內部網絡,這使得內部網絡存在著極大的泄密風險。
3企業網絡信息安全的內部威脅解決對策
3.1管控企業內部用戶網絡操作行為
對企業內部用戶網絡操作行為的管控是避免出現內部威脅的重要方法,該方法能夠有效避免企業網絡資源非法使用的風險。企業網絡管理部門可在內部計算機上安裝桌面監控軟件,為企業網絡信息安全管理構筑首層訪問控制,從而實現既定用戶在既定時間內通過既定計算機訪問既定數據資源的控制。企業應對內部用戶或用戶組進行權限管理,將內部信息數據進行密級劃分,將不同用戶或用戶組能夠訪問的文件和可以執行的操作進行限定。同時,在用戶登錄過程中應使用密碼策略,提高密碼復雜性,設置口令鎖定服務器控制臺,杜絕密碼被非法修改的風險。
3.2提高企業網絡安全技術水平
首先管理部門應為企業網絡構建防火墻,對計算機網絡進程實施跟蹤,從而判斷訪問網絡進程的合法性,對非法訪問進行攔截。同時,將企業網絡IP地址與計算機MAC地址綁定,避免IP地址更改帶來的網絡沖,同時對各計算機的網絡行為進行有效追蹤,提高病毒傳播與泄密問題的追溯效率。另外,可通過計算機屬性安全控制的方式,降低用戶對目錄和文件的誤刪除和修改風險。最后,應對企業網絡連接的計算機進行徹底的病毒查殺,杜絕病毒的內部蔓延。
3.3建立信息安全內部威脅管理制度
企業網絡信息安全管理工作的重點之一,就是制定科學而完善的信息安全管理制度,并將執行措施落到實處。其中,針對部分企業人員將內部機密資料帶離企業的行為,在情況合理的條件下,應進行規范化的登記記錄。針對企業網絡文件保存,應制定規律的備份周期,將數據信息進行匯總復制加以儲存。針對離職員工,應禁止其帶走任何企業文件資料,同時對其內部網絡登錄賬號進行注銷,防止離職員工再次登入內部網絡。
3.4強化企業人員網絡安全培訓
加強安全知識培訓,使每位計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數據,保證本地數據信息的安全可靠。加大對計算機信息系統的安全管理,防范計算機信息系統泄密事件的發生。加強網絡知識培訓,通過培訓,掌握IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習慣。
4結語
綜上所述,信息安全是當前企業網絡應用和管理工作的要點之一,企業應嚴格管控企業內部用戶網絡操作行為,提高企業網絡安全技術水平,建立信息安全內部威脅管理制度,強化企業人員網絡安全培訓,進而對企業網絡信息安全內部威脅進行全面控制,從而提高敏感信息與機密資料的安全性。
參考文獻
[1]張連予.企業級信息網絡安全的設計與實現[D].吉林大學,2012.
關鍵詞: 網絡安全 安全需求 措施
1 校園網的概念
簡單地說,校園網絡是“校校通”項目的基礎,是為學院教師和學生提供教學,科研等綜合信息服務的寬帶多媒體。根據上述要求,校園網必須是一個寬帶,互動功能和高度專業化的局域網絡。
2 校園網的特點
校園網的設計應具備以下特點:
1)提供高速網絡連接;2)滿足復雜的信息結構;3)強大的可靠性和安全性保證;4)操作方便,易管理;5)提供可運營的特性;6)經濟實用。
3 校園網絡系統信息安全需求
3.1 用戶安全
用戶安全分成兩個層次即管理員用戶安全和業務用戶安全。
1)管理員用戶擁有校園網的最高執行權限,因此對信息系統的安全負有最大的執行責任。應該制定相應的管理制度,例如對管理員的政治素質和網絡信息安全技術管理的業務素質,對于涉及到某大學的網絡安全策略配置、調整、審計信息調閱等重要操作,應實行多人參與措施等等。
2)業務用戶必須在管理員分配的權限內使用校園網資源和進行操作,嚴禁超越權限使用資源和泄露、轉讓合法權限,需要對業務人員進行崗前安全培訓。
3.2 網絡硬環境安全
通過調研分析,初步定為有以下需求:
1)校園網與教育網的網絡連接安全二需要在連接處,對進/出的數據包進行訪問控制與隔離,重點對源地址為教育網,而目的地址為某大學的數據包進行嚴格的控制。2)校園網中,教師/學生宿舍網絡與其他網絡連接的網絡安全。3)校園網中,教學單位網絡與其他網絡的網絡連接安全。4)校園網中,行政辦公網絡與其他網絡的網絡連接安全。5)校園網中,網絡管理中心網絡與其他網絡的網絡連接安全。6)校園網中,公眾服務器所在的網絡與其他網絡的網絡連接安全。7)各個專用的業務子網的安全,即按信息的敏感程度,將各教學單位的網絡和行政辦公網絡劃分為多個子網,例如:專用業務子網(財務處、教務處、人事部等)和普通子網,對這些專用業務子網提供網絡連接控制。
3.3 網絡軟環境安全
網絡軟環境安全即校園網的應用環境安全。對于一些涉及到有敏感信息的業務專用網,如:財務處、教務處、人事處等等,必須確保這些子網的信息安全,包括:防病毒、數據備份與災難恢復、規范網絡通信秩序、對保存有敏感信息的重要服務器軟/硬件資源進行層次化監控,防止敏感信息被竊取。
3.4 傳輸安全
數據的傳輸安全,主要是指校園網內部的傳輸安全、校園網與教育網之間的數據傳輸安全以及校園網與老校區之間的數據傳輸安全。
4 校園網絡系統控制安全措施
4.1 通過使用訪問控制及內外網的隔離
訪問控制體現在如下幾個方面:
1)要制訂嚴格的規章管理制度:可制定的相應:《用戶授權實施細則》、《口令字及賬戶管理規范》、《權限管埋制度》。例如在內網辦公系統中使用的用戶登錄及管理模塊就是基于這些制度創建。
2)要配備相應的軟硬件安全設備:在內部網與外部網之間,在不同網絡或網絡安全域之間信息的唯一出入口設置防火墻。設置防火墻就是實現內外網的隔離與訪問控制,保護內部網安全的最主要、同時也是最快捷、最節省的措施之一。防火墻一般具有以下五大基本功能:過濾進、出網絡的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務;記錄通過防火墻的信息內容和活動;對網絡攻擊的檢測和報警。防火墻主要類型有包過濾型,包過濾防火墻就是利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾,能依據我們制定安全防范策略來控制(允許、拒絕、監測)出入網絡的信息流,也可實現網絡IP地址轉換(NAT)、審記與實時告警等功能。因為防火墻安裝在被保護網絡與路由器之間的通道上,所有也對被保護網絡和外部網絡起到隔離作用。
