信息安全保護(hù)范文

時(shí)間:2023-04-04 06:09:01

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇信息安全保護(hù),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

信息安全保護(hù)

篇1

【關(guān)鍵詞】信息安全; 威脅;防御策略;防火墻

1 計(jì)算機(jī)信息網(wǎng)絡(luò)安全概述

所謂計(jì)算機(jī)信息網(wǎng)絡(luò)安全,是指根據(jù)計(jì)算機(jī)通信網(wǎng)絡(luò)特性,通過(guò)相應(yīng)的安全技術(shù)和措施,對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護(hù),防止遭到破壞或竊取,其實(shí)質(zhì)就是要保護(hù)計(jì)算機(jī)通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計(jì)算機(jī)通信網(wǎng)絡(luò)的安全是指揮、控制信息安全的重要保證。

根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計(jì),通過(guò)分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次,每天捕獲最多的次數(shù)高達(dá)4369次。因此,隨著網(wǎng)絡(luò)一體化和互聯(lián)互通,我們必須加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)安全防范意思,提高防范手段。

2 計(jì)算機(jī)信息安全常見(jiàn)的威脅

以上這些因素都可能是計(jì)算機(jī)信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的,也是無(wú)法預(yù)測(cè)的;但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此,我們必須重視各種因素對(duì)計(jì)算機(jī)信息安全的影響,確保計(jì)算機(jī)信息資源萬(wàn)無(wú)一失。

3 計(jì)算機(jī)信息的安全的防御策略

根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和目前一般應(yīng)用情況,我們采取可兩種措施:一是,采用漏洞掃描技術(shù),對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估,保證網(wǎng)絡(luò)系統(tǒng)盡量在最優(yōu)的狀態(tài)下運(yùn)行;二是,采用各種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)。

3.1 漏洞掃描技術(shù)

漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞:在端口掃描后得到目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù),將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配,查看是否有滿足匹配條件的漏洞存在;通過(guò)模擬黑客的攻擊手法,對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊的安全漏洞掃描,如測(cè)試弱口令等,若模擬攻擊成功,則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。

3.2 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障,一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境更安全,信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。

防火墻一般是指用來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制的一個(gè)或一組網(wǎng)絡(luò)設(shè)備。從邏輯上來(lái)看,防火墻是分離器、限制器和分析器;從物理上來(lái)看,各個(gè)防火墻的物理實(shí)現(xiàn)方式可以多種多樣,但是歸根結(jié)底他們都是一組硬件設(shè)備(路由器、主機(jī))和軟件的組合體;從本質(zhì)上來(lái)看,防火墻是一種保護(hù)裝置,它用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和合法用戶的聲譽(yù);從技術(shù)上來(lái)看,防火墻是一種訪問(wèn)控制技術(shù),它在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)網(wǎng)絡(luò)信息資源的非法訪問(wèn)。

3.3 計(jì)算機(jī)網(wǎng)絡(luò)的加密技術(shù)(ipse)

采用網(wǎng)絡(luò)加密技術(shù),對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄?、完整性。它可以解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問(wèn)題,也可以解決遠(yuǎn)程用戶訪問(wèn)內(nèi)網(wǎng)的安全問(wèn)題。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層,IP作為網(wǎng)絡(luò)層協(xié)議,其安全機(jī)制可以對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋安全保護(hù)。IP安全是整個(gè)TCP/IP 安全的基礎(chǔ),是網(wǎng)絡(luò)安全的核心。ipse 提供的安全功能或服務(wù)主要包括:訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)起源認(rèn)證、抗重放攻擊、機(jī)密性、有限的數(shù)據(jù)流機(jī)密性。

3.4 身份認(rèn)證

身份認(rèn)證的作用是阻止非法實(shí)體的不良訪問(wèn)。有多種方法可以認(rèn)證一個(gè)實(shí)體的合法性,密碼技術(shù)是最常用的,但由于在實(shí)際系統(tǒng)中有許多用戶采用很容易被猜測(cè)的單詞或短語(yǔ)作為密碼,使得該方法經(jīng)常失效。其他認(rèn)證方法包括對(duì)人體生理特征的識(shí)別、智能卡等。隨著模式識(shí)別技術(shù)的發(fā)展,身份識(shí)別技術(shù)與數(shù)字簽名等技術(shù)結(jié)合,使得對(duì)于用戶身份的認(rèn)證和識(shí)別更趨完善。

3.5 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是對(duì)入侵行為的檢測(cè),他通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊,外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

3.6 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)(Virtual private Network,VPN) 是一門(mén)網(wǎng)絡(luò)技術(shù),提供一種通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的連接方式;是通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立起一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)不安全的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

下面,我們主要談一下防火墻在網(wǎng)絡(luò)信息安全中的應(yīng)用。

4 防火墻防御策略

4.1 防火墻的基本概念

所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)(如Internet)分開(kāi)的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制手段,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò),防止他們更改、復(fù)制和毀壞你的重要信息。

4.2 防火墻的功能

1)過(guò)濾掉不安全服務(wù)和非法用戶。

2)控制對(duì)特殊站點(diǎn)的訪問(wèn)。

3)提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。

4.3 防火墻的優(yōu)點(diǎn)

1)防火墻能強(qiáng)化安全策略

因?yàn)镮nternet上每天都有上百萬(wàn)人在那里收集信息、交換信息,不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人,或違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察",它執(zhí)行站點(diǎn)的安全策略,僅僅容許"認(rèn)可的"和符合規(guī)則的請(qǐng)求通過(guò)。

2)防火墻能有效地記錄Internet上的活動(dòng)

因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻,所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

3)防火墻限制暴露用戶點(diǎn)

防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣,能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。

4)防火墻是一個(gè)安全策略的檢查站

所有進(jìn)出的信息都必須通過(guò)防火墻,防火墻便成為安全問(wèn)題的檢查點(diǎn),使可疑的訪問(wèn)被拒絕于門(mén)外。

4.4 防火墻的不足

1)防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào),一些用戶可以形成與Internet的直接的連接,從而繞過(guò)防火墻,造成一個(gè)潛在的后門(mén)攻擊渠道。

2)防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺(tái)主機(jī)上裝反病毒軟件。

3)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí),就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。

4.5 防火墻的類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT、型和狀態(tài)監(jiān)測(cè)型。

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù),工作在網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外。但包過(guò)濾防火墻的缺點(diǎn)有三:一是,非法訪問(wèn)一旦突破防火墻,即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊;二是,數(shù)據(jù)包的源地址、目的地址以及IP 的端口號(hào)都在數(shù)據(jù)包的頭部,很有可能被竊聽(tīng)或假冒;三是,無(wú)法執(zhí)行某些安全策略。

網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT。 “你不能攻擊你看不見(jiàn)的東西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時(shí),NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址,并用一個(gè)偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當(dāng)一個(gè)數(shù)據(jù)包返回到NAT系統(tǒng),這一過(guò)程將被逆轉(zhuǎn)。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問(wèn)是安全的,可以接受訪問(wèn)請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問(wèn)是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求。如果黑客在網(wǎng)上捕獲到這個(gè)數(shù)據(jù)包,他們也不能確定發(fā)送端的真實(shí)IP地址,從而無(wú)法攻擊內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)。NAT技術(shù)也存在一些缺點(diǎn),例如,木馬程序可以通過(guò)NAT進(jìn)行外部連接,穿透防火墻。

型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品, 它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看,服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù), 然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部結(jié)構(gòu)的作用,這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點(diǎn)是速度相對(duì)較慢。

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的,也稱為動(dòng)態(tài)包過(guò)濾防火墻??偟膩?lái)說(shuō),具有:高安全性,高效性,可伸縮性和易擴(kuò)展性。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)服務(wù)器也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)??偟膩?lái)說(shuō),網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開(kāi)放性和靈活性為代價(jià)的,防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分,而且防火墻并非萬(wàn)無(wú)一失。除了使用了防火墻后技術(shù),我們還使用了其他技術(shù)來(lái)加強(qiáng)安全保護(hù),數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來(lái)重新組織數(shù)據(jù),使得除了合法受者外,任何其他人想要恢復(fù)原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密,非對(duì)稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.6 防火墻的配置

1)雙宿堡壘主機(jī)防火墻

一個(gè)雙宿主機(jī)是一種防火墻,擁有兩個(gè)聯(lián)接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口。例如,一個(gè)網(wǎng)絡(luò)接口聯(lián)到外部的不可信任的網(wǎng)絡(luò)上,另一個(gè)網(wǎng)絡(luò)接口聯(lián)接到內(nèi)部的可信任的網(wǎng)絡(luò)上。這種防火墻的最大特點(diǎn)是IP層的通信是被阻止的,兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來(lái)完成。一般情況下,人們采用服務(wù)的方法,因?yàn)檫@種方法為用戶提供了更為方便的訪問(wèn)手段。

2)屏蔽主機(jī)防火墻

這種防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相聯(lián)接,而不讓它們直接與內(nèi)部主機(jī)相連。為了實(shí)現(xiàn)這個(gè)目的,專門(mén)設(shè)置了一個(gè)過(guò)濾路由器,通過(guò)它,把所有外部到內(nèi)部的聯(lián)接都路由到了堡壘主機(jī)上。下圖顯示了屏蔽主機(jī)防火墻的結(jié)構(gòu)。

3)屏蔽主機(jī)防火墻

在這種體系結(jié)構(gòu)中,堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò),屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng),它是防火墻的第一道防線。屏蔽路由器需要進(jìn)行適當(dāng)?shù)呐渲?,使所有的外部?lián)接被路由到堡壘主機(jī)上。并不是所有服務(wù)的入站聯(lián)接都會(huì)被路由到堡壘主機(jī)上,屏蔽路由器可以根據(jù)安全策略允許或禁止某種服務(wù)的入站聯(lián)接(外部到內(nèi)部的主動(dòng)聯(lián)接)。

對(duì)于出站聯(lián)接(內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的主動(dòng)聯(lián)接),可以采用不同的策略。對(duì)于一些服務(wù),如Telnet,可以允許它直接通過(guò)屏蔽路由器聯(lián)接到外部網(wǎng)而不通過(guò)堡壘主機(jī);其他服務(wù),如WWW和SMTP等,必須經(jīng)過(guò)堡壘主機(jī)才能聯(lián)接到Internet,并在堡壘主機(jī)上運(yùn)行該服務(wù)的服務(wù)器。怎樣安排這些服務(wù)取決于安全策略。

5 結(jié)束語(yǔ)

隨著信息技術(shù)的發(fā)展,影響通信網(wǎng)絡(luò)安全的各種因素也會(huì)不斷強(qiáng)化,因此計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越受到人們的重視,以上我們簡(jiǎn)要的分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患,以及一般采取的幾種安全防范策略,主要討論了防火墻在網(wǎng)絡(luò)信息安全中所起到的作用??偟膩?lái)說(shuō),網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題,同時(shí)也是一個(gè)安全管理問(wèn)題。我們必須綜合考慮安全因素,制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

【參考文獻(xiàn)】

[1]田園.網(wǎng)絡(luò)安全教程[M].人民郵電出版社,2009.

篇2

銀行借助于網(wǎng)絡(luò)技術(shù)獲得了飛速發(fā)展,借助于網(wǎng)絡(luò)技術(shù),催生了網(wǎng)絡(luò)銀行。與此同時(shí),銀行網(wǎng)絡(luò)信息安全受到了威脅,用戶信息安全不能得到保障,需要加強(qiáng)對(duì)銀行網(wǎng)絡(luò)信息安全保護(hù),探索優(yōu)化途徑。本文對(duì)銀行網(wǎng)絡(luò)信息安全的保護(hù)措施和優(yōu)化途徑進(jìn)行研究,旨在提高銀行網(wǎng)絡(luò)信息的安全性。

【關(guān)鍵詞】

銀行;網(wǎng)絡(luò)信息;安全保護(hù);優(yōu)化

引言:

網(wǎng)絡(luò)技術(shù)的發(fā)展中產(chǎn)生了網(wǎng)絡(luò)銀行,網(wǎng)絡(luò)銀行的發(fā)展有賴于網(wǎng)絡(luò)技術(shù),但是與傳統(tǒng)銀行相比,網(wǎng)絡(luò)銀行有更多的風(fēng)險(xiǎn)和隱患?,F(xiàn)階段,銀行網(wǎng)絡(luò)信息安全系統(tǒng)還不夠完善,其信息安全也得不到完善的法律保護(hù),使得銀行網(wǎng)絡(luò)信息安全存在很大隱患,需要加強(qiáng)對(duì)銀行網(wǎng)絡(luò)信息安全保護(hù),確保銀行用戶信息安全,促進(jìn)銀行健康穩(wěn)定發(fā)展。

一、產(chǎn)生網(wǎng)絡(luò)銀行信息安全問(wèn)題的原因

產(chǎn)生網(wǎng)絡(luò)信息安全的原因主要有:①銀行借助于網(wǎng)絡(luò)技術(shù)業(yè)務(wù)范圍不斷擴(kuò)大,網(wǎng)絡(luò)銀行優(yōu)勢(shì)得到了充分發(fā)揮,但是銀行信息管理系統(tǒng)不完善,使得銀行信息安全出現(xiàn)問(wèn)題。②網(wǎng)絡(luò)犯罪者攻擊銀行系統(tǒng),竊取銀行機(jī)密信息和資金,并且其攻擊手段借助于網(wǎng)絡(luò)技術(shù)在不斷提高,銀行信息安全技術(shù)出現(xiàn)了很多漏洞和弊端。③很多網(wǎng)絡(luò)銀行用戶信息安全意識(shí)不強(qiáng),并且不重視安全知識(shí),不懂得如何規(guī)避網(wǎng)絡(luò)風(fēng)險(xiǎn),這也是網(wǎng)絡(luò)犯罪案件不斷增多的原因。

二、銀行網(wǎng)絡(luò)信息安全保護(hù)措施

2.1要建立健全銀行的信息管理系統(tǒng)

銀行要定期進(jìn)行隱患排查和入侵檢測(cè),目的在于確保交易網(wǎng)絡(luò)和服務(wù)器的安全。銀行要及時(shí)對(duì)數(shù)據(jù)進(jìn)行備份,合理利用加密和訪問(wèn)控制技術(shù),與客戶簽訂網(wǎng)銀安全協(xié)議證書(shū),全面檢測(cè)系統(tǒng)漏洞。針對(duì)網(wǎng)絡(luò)病毒要建立網(wǎng)絡(luò)病毒安全防御體系,并且在銀行信息系統(tǒng)運(yùn)行過(guò)程中,實(shí)時(shí)進(jìn)行查殺病毒,以便隨時(shí)應(yīng)對(duì)。

2.2加強(qiáng)網(wǎng)絡(luò)技術(shù)人員隊(duì)伍的建設(shè)

著眼于長(zhǎng)遠(yuǎn)可持續(xù)發(fā)展,增加網(wǎng)絡(luò)技術(shù)安全工作人員的數(shù)量,提高網(wǎng)絡(luò)運(yùn)維技術(shù)人員的技術(shù)水平,以提高信息安全意識(shí)作為出發(fā)點(diǎn),對(duì)其加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)和新技術(shù)的學(xué)習(xí),激發(fā)其的工作熱情。

2.3建立一套完備的應(yīng)急處置系統(tǒng)

銀行應(yīng)該在考慮自身網(wǎng)絡(luò)環(huán)境的前提下,從自身實(shí)際出發(fā),通過(guò)縝密的測(cè)試工作,形成一套操作性較強(qiáng)的應(yīng)急處理系統(tǒng),一旦銀行內(nèi)部管理系統(tǒng)遭到外部攻擊,能夠以最快的反應(yīng)速度抵擋外來(lái)攻擊,減少攻擊帶來(lái)的損失。

2.4建立健全有關(guān)法律法規(guī)

網(wǎng)絡(luò)銀行中存在較多交易憑據(jù),如:電子賬單、電子憑證、收支明細(xì)等資料,但是,目前該交易憑據(jù)的保護(hù),暫時(shí)沒(méi)有完整的法律保護(hù)體系,這是制約網(wǎng)絡(luò)銀行發(fā)展的一個(gè)重要因素。此外,我國(guó)在銀行網(wǎng)絡(luò)信息安全方面的立法還不夠健全,因此,需要充分加強(qiáng)在保護(hù)銀行網(wǎng)絡(luò)信息安全方面的立法力度,確保銀行網(wǎng)絡(luò)信息安全。

三、銀行網(wǎng)絡(luò)安全問(wèn)題優(yōu)化策略

3.1解決系統(tǒng)漏洞

以光大銀行-網(wǎng)上銀行為例,廣大銀行的手機(jī)銀行系統(tǒng),設(shè)置了超時(shí)自動(dòng)退出功能,如果在15分鐘內(nèi)不對(duì)手機(jī)銀行進(jìn)行任何操作,操作系統(tǒng)會(huì)自動(dòng)退出手機(jī)銀行客戶端,客戶要進(jìn)行手機(jī)銀行操作需要再次登錄手機(jī)銀行。此外,廣大銀行為了確保手機(jī)銀行客戶端的安全,還專門(mén)設(shè)置了陽(yáng)光令牌動(dòng)態(tài)密碼,每分鐘自動(dòng)刷新一次,使得手機(jī)銀行的使用更加安全可靠。

3.2解決手機(jī)銀行漏洞

為了確保手機(jī)銀行的安全,很多銀行采用的方法是綁定客戶信息與手機(jī)號(hào),客戶要想登錄手機(jī)銀行就必須使用開(kāi)戶時(shí)使用的銀行預(yù)留手機(jī)號(hào),同時(shí)還需要輸入正確的登錄密碼,為了出現(xiàn)惡意探秘現(xiàn)象,手機(jī)銀行一般會(huì)設(shè)置輸錯(cuò)累積次數(shù),一般手機(jī)銀行錯(cuò)輸三次密碼就會(huì)自動(dòng)鎖定。

3.3雙密碼措施

很多銀行為了避免惡意攻擊,都設(shè)置了雙密碼功能。對(duì)此,建設(shè)銀行的做法是設(shè)置登錄密碼以及交易密碼兩種控制方式,并且對(duì)錯(cuò)輸次數(shù)進(jìn)行限制,超出錯(cuò)輸次數(shù),當(dāng)日就無(wú)法正常登錄系統(tǒng)。首次登錄網(wǎng)上銀行,會(huì)提示用戶設(shè)置交易密碼,系統(tǒng)會(huì)對(duì)用戶設(shè)置的交易密碼進(jìn)行自動(dòng)檢測(cè),太簡(jiǎn)單的密碼會(huì)提示重新設(shè)置,確保用戶的賬戶安全。此外,部分銀行在用戶登錄網(wǎng)銀系統(tǒng)時(shí),提供了附加碼和小鍵盤(pán)服務(wù),防止用戶信息泄露。

總結(jié):

綜上所述,我們應(yīng)該提高銀行網(wǎng)絡(luò)信息安全防范意識(shí),確保網(wǎng)絡(luò)銀行使用過(guò)程的安全。對(duì)于銀行網(wǎng)絡(luò)信息存在的安全隱患,我們要仔細(xì)分析原因,并且采取保護(hù)措施,探索優(yōu)化途徑,不斷提高銀行網(wǎng)絡(luò)信息的安全性,確保銀行用戶信息安全。

作者:周奉強(qiáng) 單位:中國(guó)人民銀行濟(jì)南分行

參考文獻(xiàn)

[1]趙麗君.我國(guó)網(wǎng)絡(luò)銀行信息安全問(wèn)題研究[J].管理學(xué)家,2014(6)

篇3

 

關(guān)鍵詞:二政府 信息安全 保護(hù)策略

自從進(jìn)入了信息時(shí)代,信息技術(shù)在政府的公共管理活動(dòng)中所占的比重達(dá)到了前所未有的地步,為了提高政府管理工作的效率,政府紛紛加入到政務(wù)信息化的進(jìn)程中,希望通過(guò)采用最先進(jìn)的信息設(shè)備和信息技術(shù)來(lái)快速實(shí)現(xiàn)政府信息的高效處理。然而,在以互聯(lián)網(wǎng)為主要信息交換渠道的電子政務(wù),政府具有時(shí)效要求或保密要求的信息資料也很容易通過(guò)正式渠道泄露,不論是有意還是無(wú)意的泄露,都會(huì)給政府的正常工作帶來(lái)極大的危害,甚至?xí)?duì)社會(huì)帶來(lái)極大的沖擊。合理地運(yùn)用政府信息安全保護(hù)策略,為政府提供全方位的信息資源安全保證,在現(xiàn)代政府的信息管理工作中顯得尤為重要。

1.政府信息安全技木層面的保護(hù)

    1.1理立全面的安全防護(hù)體系。具體涉及到的信息安全技術(shù)包括通過(guò)保用可管理交換機(jī)、防火墻等網(wǎng)絡(luò)安全設(shè)備,達(dá)到數(shù)據(jù)在內(nèi)部網(wǎng)與外部網(wǎng)之間進(jìn)出控制,根據(jù)過(guò)濾原則判斷數(shù)據(jù)是否通過(guò)。建立授權(quán)和身份認(rèn)證系統(tǒng),加強(qiáng)賬戶和口令的控制實(shí)現(xiàn)授權(quán)訪問(wèn)控制,用戶身份識(shí)別等,用于自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的安全漏洞給出分析報(bào)告。建立安全檢測(cè)預(yù)警系統(tǒng),用于實(shí)時(shí)檢測(cè)網(wǎng)上的數(shù)據(jù)流,尋找具有網(wǎng)絡(luò)攻擊特性和違反網(wǎng)絡(luò)安全策略的數(shù)據(jù)流,當(dāng)發(fā)現(xiàn)可疑數(shù)據(jù)流時(shí)按照系統(tǒng)安全策略規(guī)定的響應(yīng)策略進(jìn)行響應(yīng),實(shí)時(shí)阻斷非法的網(wǎng)絡(luò)連接。

    1.2建立有關(guān)系統(tǒng)安全方面有價(jià)值的信息的系統(tǒng)日志審計(jì)。在系統(tǒng)運(yùn)行時(shí),通過(guò)網(wǎng)絡(luò)管理員對(duì)系統(tǒng)日志進(jìn)行配置,達(dá)到盡可能多地保留有用信息的目的。其中系統(tǒng)文件是自動(dòng)生成的,內(nèi)容包括操作方式,登記次數(shù),運(yùn)行時(shí)間,交易內(nèi)容等,對(duì)于系統(tǒng)的運(yùn)行監(jiān)督,維護(hù)分析,故障恢復(fù),對(duì)于預(yù)防竊密事件的發(fā)生以及發(fā)生之后的偵破提供依據(jù)。

    1.3建立數(shù)據(jù)應(yīng)急保護(hù)系統(tǒng)。為了滿足系統(tǒng)業(yè)務(wù)不間斷的要求,避免由于自然災(zāi)難和事故設(shè)備的損壞造成系統(tǒng)停止服務(wù)而采用系統(tǒng)備份和恢復(fù)技術(shù)。災(zāi)難恢復(fù)包括許多工作,一方面是硬件的恢復(fù),使計(jì)算機(jī)系統(tǒng)重新運(yùn)轉(zhuǎn)起來(lái),另一方面是數(shù)據(jù)恢復(fù)。災(zāi)難備份技術(shù)總是以關(guān)鍵業(yè)務(wù)為保障對(duì)象,而不是簡(jiǎn)單地對(duì)整個(gè)系統(tǒng)進(jìn)行備份,否則,不僅在技術(shù)上實(shí)現(xiàn)難度大,在代價(jià)上也較高。

    1.4嚴(yán)格規(guī)范內(nèi)外網(wǎng)絡(luò)的連接。由于互聯(lián)網(wǎng)是一個(gè)開(kāi)放的系統(tǒng),不為任何服務(wù)提供安全保障,在政府內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)時(shí),在系統(tǒng)安全檢查合格后才能接入外部網(wǎng)絡(luò)。換句話說(shuō),一種安全的信息技術(shù)系統(tǒng)要對(duì)用戶的訪問(wèn)權(quán)限予以限制,同時(shí)避免應(yīng)用軟件和數(shù)據(jù)的破壞,更重要的是當(dāng)系統(tǒng)失靈時(shí)能夠重新啟動(dòng)系統(tǒng)并保存重要的數(shù)據(jù)備份。

2政府信息安全的物理保護(hù)

    2.1信息安全區(qū)的物理保護(hù)。政府要嚴(yán)格限制非有關(guān)人員進(jìn)出具有信息保密要求的物理區(qū)域,一切人員的進(jìn)出要按照規(guī)定的出入路線。對(duì)敏感信息載體加以物理屏蔽。具有高度保密要求的機(jī)要室、檔案室應(yīng)盡量與外界隔離,阻斷外來(lái)視線,對(duì)具有重要政務(wù)信息價(jià)值的文件、檔案應(yīng)婉言謝絕參觀,以防止信息外泄。

    2.2安裝反竊聽(tīng)裝置。竊聽(tīng)已經(jīng)成為政府獲取信息的重要手段,政府非常有必要安排專人進(jìn)行清查,例如對(duì)會(huì)議室的桌椅沙發(fā)以及領(lǐng)導(dǎo)的辦公室檢查是否被人安排了竊聽(tīng)裝置,經(jīng)?;瘜I(yè)化的反竊聽(tīng)檢查可有效減少信息機(jī)要信息的外泄。

    2.3對(duì)內(nèi)部資料的保護(hù)。對(duì)有時(shí)效性或全局性的關(guān)鍵內(nèi)部出版物的發(fā)放進(jìn)行嚴(yán)格限制,僅僅限于發(fā)放給職員,嚴(yán)厲禁止政府內(nèi)部資料的外傳。在公開(kāi)出版物出版之前,需要出版界新聞界上交具有個(gè)人信息特征的復(fù)印件給信息安全部門(mén),在出版物出版之前回顧所有文章的細(xì)節(jié)問(wèn)題。

  對(duì)文件的復(fù)印實(shí)行專人負(fù)責(zé)制,同時(shí)規(guī)定哪類資料是不能復(fù)印的。建立相應(yīng)的復(fù)印制度,使之有規(guī)可依。一些政府為了進(jìn)行節(jié)約,對(duì)紙張進(jìn)行重復(fù)利用,節(jié)約的同時(shí)一些包含政府重要信息的內(nèi)容就被泄露出來(lái)。所以對(duì)一些包含重要信息的資料的紙張是不能進(jìn)行二次使用的。

    2.4垃圾廢品處理。在對(duì)垃圾廢品的管理中,應(yīng)該主要從以下方面入手,進(jìn)行嚴(yán)格的文件劃分,為丟棄的機(jī)密制定扔棄的步驟,確保信息已經(jīng)徹底銷毀。毀掉副本或復(fù)寫(xiě)紙,因?yàn)槿绻麖?fù)印機(jī)和傳真機(jī)使用膠片或復(fù)寫(xiě)紙,職業(yè)化的情況人員是能夠從這些有痕跡的膠片或復(fù)寫(xiě)紙上讀出相關(guān)信息的,所以一定要在被銷毀之前粉碎那些易讀的媒介物。對(duì)于一些紙上信息,切記千萬(wàn)不要隨手亂扔,在將廢紙扔進(jìn)垃極筐前,必須檢查紙上是否有關(guān)于政府的機(jī)要信息。

3政府信息安全管理層面的保護(hù)

    在利用各種技術(shù),采取物理保障政府信息安全的同時(shí),應(yīng)加強(qiáng)對(duì)公務(wù)人員的管理和教育,來(lái)實(shí)現(xiàn)政府的信息安全。

    3.1制定工作職位信息安全制度。根據(jù)政府的信息安全方針制訂該職位在安全方面所扮演的角色和應(yīng)承擔(dān)的責(zé)任,并形成相關(guān)的文檔。角色和責(zé)任的制訂可考慮以下幾方面的因素應(yīng)與信息安全方針保持一致;應(yīng)保護(hù)可能涉及的政府資產(chǎn);應(yīng)及時(shí)報(bào)告安全事件;是否需要執(zhí)行某些安全職能。所簽署的正式工作合同(或其附件,如保密協(xié)議等等)中必須包含該職位在信息安全方面的責(zé)任條款。與掌握政府重要信息的員工、離退體及調(diào)動(dòng)工作的職工,通過(guò)定立保密合同的形式予以明確對(duì)本政府的信息安全負(fù)有保護(hù)的義務(wù)。此外,還應(yīng)建立懲戒制度,以對(duì)那些違反了政府信息安全管理規(guī)定的人員進(jìn)行懲罰,這不僅是一種懲罰措施,同樣也是一種威懾手段。

    3.2培養(yǎng)公務(wù)人員信息安全意識(shí)。在公務(wù)人員正式投入工作、獲得訪問(wèn)敏感信息的權(quán)利之前,應(yīng)再次向該公務(wù)人員明確和細(xì)化其崗位所承擔(dān)的信息安全責(zé)任和相關(guān)要求。安全教育也是比較重要的一個(gè)環(huán)節(jié),安全教育能使得掌握基本的安全知識(shí),有利于安全意識(shí)的提高,應(yīng)定期在政府內(nèi)部開(kāi)展信息安全教育和培訓(xùn),提高公務(wù)人員的安全意識(shí)和技術(shù)水平。

    3.3妥善處理公務(wù)人員離職的信息安全問(wèn)題。公務(wù)人員離職前,應(yīng)重申其離職后一段時(shí)間內(nèi)仍須遵守的安全條款,如在保密協(xié)議簽訂的相關(guān)內(nèi)容以及可能由此引發(fā)的法律責(zé)任。應(yīng)收回公務(wù)人員所持有的政府信息資產(chǎn),如配發(fā)的筆記本、門(mén)禁卡、以及軟件、內(nèi)部文檔等。公務(wù)人員的對(duì)信息系統(tǒng)的訪問(wèn)權(quán)限應(yīng)被立即移除,如停用個(gè)人賬號(hào)、調(diào)整所在組的賬號(hào)等。同時(shí)還應(yīng)注意防止離職前的蓄意破壞及盜取資料等行為的發(fā)生。

篇4

一、加強(qiáng)領(lǐng)導(dǎo),提高對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作重要性和緊迫性的認(rèn)識(shí)

《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理規(guī)定》是我省頒布的有關(guān)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)方面的第一個(gè)地方性政府規(guī)章。它的頒布實(shí)施,對(duì)于加強(qiáng)我省計(jì)算機(jī)信息系統(tǒng)安全保護(hù),促進(jìn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的發(fā)展具有重要的現(xiàn)實(shí)意義。我市是全國(guó)首批信息化試點(diǎn)城市之一,正努力實(shí)施以計(jì)算機(jī)信息系統(tǒng)為基礎(chǔ)的電子政府、電子商務(wù)等城市信息化工程,全面貫徹落實(shí)《管理規(guī)定》在我市顯得尤其重要和緊迫。各單位要將貫徹落實(shí)《管理規(guī)定》、抓好計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作擺上重要議事日程,迅速組織本單位、本系統(tǒng)有關(guān)領(lǐng)導(dǎo)、計(jì)算機(jī)信息系統(tǒng)安全管理責(zé)任人以及相關(guān)人員認(rèn)真學(xué)習(xí),提高計(jì)算機(jī)信息系統(tǒng)安全保護(hù)意識(shí),做到認(rèn)識(shí)到位、措施到位和管理到位。

二、建立健全計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度,加強(qiáng)系統(tǒng)安全管理

各單位要根據(jù)《管理規(guī)定》的要求,按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則,建立和健全計(jì)算機(jī)信息系統(tǒng)安全保護(hù)各項(xiàng)制度,全面實(shí)行領(lǐng)導(dǎo)負(fù)責(zé)制,并指定管理責(zé)任人和信息審查員。《管理規(guī)定》明確黨政機(jī)關(guān)、銀行、證券、能源、交通、郵電通信、重點(diǎn)科研和教育等單位為重點(diǎn)安全保護(hù)單位,市公安局應(yīng)督促其建立計(jì)算機(jī)信息系統(tǒng)安全保護(hù)組織,指導(dǎo)其開(kāi)展計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作。安全保護(hù)組織由單位主管領(lǐng)導(dǎo)、保衛(wèi)部門(mén)負(fù)責(zé)人、安全管理責(zé)任人、信息審查員和計(jì)算機(jī)信息系統(tǒng)運(yùn)行管理人員組成。各重點(diǎn)安全保護(hù)單位的計(jì)算機(jī)安全管理責(zé)任人和信息審查員要參加公安機(jī)關(guān)組織的安全技術(shù)培訓(xùn)和考核,取得安全技術(shù)培訓(xùn)合格證書(shū)。

今后,各重點(diǎn)安全保護(hù)單位的計(jì)算機(jī)信息系統(tǒng)及計(jì)算機(jī)機(jī)房,必須按國(guó)家有關(guān)規(guī)定和國(guó)家標(biāo)準(zhǔn),由具有安全服務(wù)資質(zhì)的機(jī)構(gòu)進(jìn)行安全保護(hù)設(shè)計(jì)和建設(shè),并經(jīng)具有安全服務(wù)資質(zhì)的機(jī)構(gòu)檢測(cè)合格后才能投入使用。

三、建立健全重大突發(fā)事件應(yīng)急處置工作機(jī)制,提高應(yīng)急處置能力

市公安局是主管我市行政區(qū)域內(nèi)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的職能部門(mén),要與*地區(qū)計(jì)算機(jī)信息系統(tǒng)安全服務(wù)機(jī)構(gòu)、互聯(lián)網(wǎng)運(yùn)營(yíng)單位、其他計(jì)算機(jī)系統(tǒng)使用單位以及政府有關(guān)部門(mén)建立工作聯(lián)系機(jī)制,制定重大突發(fā)事件應(yīng)急處置預(yù)案并組織演練。各計(jì)算機(jī)信息系統(tǒng)使用單位要制定重大安全事故處置的應(yīng)急措施,發(fā)生重大安全事故時(shí)必須保留原始記錄,并在24小時(shí)內(nèi)向公安機(jī)關(guān)報(bào)告。市公安局要密切掌握計(jì)算機(jī)信息系統(tǒng)安全保護(hù)動(dòng)態(tài),依法查處通過(guò)計(jì)算機(jī)信息系統(tǒng)進(jìn)行的違法犯罪行為。

四、加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的監(jiān)督檢查,依法查處各類違規(guī)行為

各單位要根據(jù)《管理規(guī)定》的要求,對(duì)本單位、本系統(tǒng)的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作進(jìn)行一次全面的檢查,重點(diǎn)檢查是否建立健全計(jì)算機(jī)信息系統(tǒng)安全保護(hù)責(zé)任制和安全保護(hù)制度,安全保護(hù)管理措施、技術(shù)措施是否落到實(shí)處,安全管理人員是否按規(guī)定配備。要在自查的基礎(chǔ)上,如實(shí)填寫(xiě)*地區(qū)重點(diǎn)單位網(wǎng)絡(luò)安全狀況調(diào)查表,并于9月30日前送交市公安局。市公安局要加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的檢查、監(jiān)督和指導(dǎo),在今年年底前適時(shí)組織安全抽查,針對(duì)存在問(wèn)題,提出切實(shí)可行的整改意見(jiàn),做到防患于未然。對(duì)整改仍未符合要求的,要按《管理規(guī)定》進(jìn)行處理。

篇5

信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則最新全文第一條 為加強(qiáng)和指導(dǎo)信息安全等級(jí)保護(hù)備案工作,規(guī)范備 案受理、審核和管理等工作,根據(jù)《信息安全等級(jí)保護(hù)管理辦法》 制定本實(shí)施細(xì)則。

第二條 本細(xì)則適用于非涉及國(guó)家秘密的第二級(jí)以上信息系 統(tǒng)的備案。

第三條 地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受 理本轄區(qū)內(nèi)備案單位的備案。 隸屬于省級(jí)的備案單位, 其跨地 (市) 聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng),由省級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門(mén)受理備案。

第四條 隸屬于中央的在京單位,其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng) 運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng),由公安部公共信息網(wǎng)絡(luò) 安全監(jiān)察局受理備案,其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡(luò)安全監(jiān)察部門(mén)受理備案。 隸屬于中央的非在京單位的信息系統(tǒng),由當(dāng)?shù)厥〖?jí)公安機(jī)關(guān) 公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)(或其指定的地市級(jí)公安機(jī)關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門(mén))受理備案。 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系 統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)(包括由上級(jí)主管部門(mén)定級(jí),在 當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)) 由所在地地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理備案。

第五條 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng) 該設(shè)立專門(mén)的備案窗口,配備必要的設(shè)備和警力,專門(mén)負(fù)責(zé)受理 備案工作,受理備案地點(diǎn)、時(shí)間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會(huì) 公布。

第六條 信息系統(tǒng)運(yùn)營(yíng)、使用單位或者其主管部門(mén)(以下簡(jiǎn) 稱備案單位 ) 應(yīng)當(dāng)在信息系統(tǒng)安全保護(hù)等級(jí)確定后30日內(nèi),到公 安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)辦理備案手續(xù)。辦理備案手續(xù) 時(shí),應(yīng)當(dāng)首先到公安機(jī)關(guān)指定的網(wǎng)址下載并填寫(xiě)備案表,準(zhǔn)備好 備案文件,然后到指定的地點(diǎn)備案。

第七條 備案時(shí)應(yīng)當(dāng)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》 (以下簡(jiǎn)稱《備案表》 (一式兩份)及其電子文檔。第二級(jí)以上 信息系統(tǒng)備案時(shí)需提交《備案表》中的表一、二、三;第三級(jí)以 上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、 測(cè)評(píng)完成后30日內(nèi)提交 《備案表》 表四及其有關(guān)材料。

第八條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)收到備案單位 提交的備案材料后,對(duì)屬于本級(jí)公安機(jī)關(guān)受理范圍且備案材料齊 全的,應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級(jí)保護(hù)備案材料接 收回執(zhí)》 備案材料不齊全的, 應(yīng)當(dāng)當(dāng)場(chǎng)或者在五日內(nèi)一次性告知 其補(bǔ)正內(nèi)容;對(duì)不屬于本級(jí)公安機(jī)關(guān)受理范圍的,應(yīng)當(dāng)書(shū)面告知 備案單位到有管轄權(quán)的公安機(jī)關(guān)辦理。

第九條 接收備案材料后,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)對(duì)下列內(nèi)容進(jìn)行審核: (一)備案材料填寫(xiě)是否完整,是否符合要求,其紙質(zhì)材料 和電子文檔是否一致; (二)信息系統(tǒng)所定安全保護(hù)等級(jí)是否準(zhǔn)確。

第十條 經(jīng)審核,對(duì)符合等級(jí)保護(hù)要求的,公安機(jī)關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)自收到備案材料之日起的十個(gè)工作日 內(nèi),將加蓋本級(jí)公安機(jī)關(guān)印章(或等級(jí)保護(hù)專用章)的《備案表》 一份反饋備案單位,一份存檔;對(duì)不符合等級(jí)保護(hù)要求的,公安 機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)在十個(gè)工作日內(nèi)通知備案單 位進(jìn)行整改, 并出具 《信息系統(tǒng)安全等級(jí)保護(hù)備案審核結(jié)果通知》

第十一條 《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格 的,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)出具《信息系統(tǒng)安 全等級(jí)保護(hù)備案證明》 (以下簡(jiǎn)稱《備案證明》 《備案證明》由 公安部統(tǒng)一監(jiān)制。

第十二條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)對(duì)定級(jí)不 準(zhǔn)的備案單位,在通知整改的同時(shí),應(yīng)當(dāng)建議備案單位組織專家 進(jìn)行重新定級(jí)評(píng)審,并報(bào)上級(jí)主管部門(mén)審批。 備案單位仍然堅(jiān)持原定等級(jí)的,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全 監(jiān)察部門(mén)可以受理其備案,但應(yīng)當(dāng)書(shū)面告知其承擔(dān)由此引發(fā)的責(zé) 任和后果,經(jīng)上級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)同意后, 同時(shí)通報(bào)備案單位上級(jí)主管部門(mén)。

第十三條 4 對(duì)拒不備案的,公安機(jī)關(guān)應(yīng)當(dāng)依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 等其他有關(guān)法律、 法規(guī)規(guī)定, 責(zé)令限期整改。逾期仍不備案的,予以警告,并向其上級(jí)主管部 門(mén)通報(bào)。 依照前款規(guī)定向中央和國(guó)家機(jī)關(guān)通報(bào)的,應(yīng)當(dāng)報(bào)經(jīng)公安部公 共信息網(wǎng)絡(luò)安全監(jiān)察局同意。

第十四條 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門(mén)應(yīng)當(dāng)及時(shí)將備案文件錄入到數(shù)據(jù)庫(kù)管理系統(tǒng),并定期逐級(jí)上傳 《備案表》中表一、表二、表三內(nèi)容的電子數(shù)據(jù)。上傳時(shí)間為每 季度的第一天。 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)建立管 理制度, 對(duì)備案材料按照等級(jí)進(jìn)行嚴(yán)格管理, 嚴(yán)格遵守保密制度, 未經(jīng)批準(zhǔn)不得對(duì)外提供查詢。 第十五條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理備案 時(shí)不得收取任何費(fèi)用。

第十六條 本細(xì)則所稱以上包含本數(shù)(級(jí))

第十七條 各省(區(qū)、市)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察 部門(mén)可以依據(jù)本細(xì)則制定具體的備案工作規(guī)范,并報(bào)公安部公共 信息網(wǎng)絡(luò)安全監(jiān)察局備案。

篇6

【關(guān)鍵詞】移動(dòng)社交網(wǎng)絡(luò);信息安全保護(hù);無(wú)線加密技術(shù);WPA;WPA2

隨著人類文明和科技進(jìn)步,我們已步入互聯(lián)網(wǎng)時(shí)代。大數(shù)據(jù)、云計(jì)算、智能化等新一代信息技術(shù)的發(fā)展,正以空前的力量和效率,掀起一場(chǎng)影響全人類的深層變革,改變了人們的生活方式,提供了前所未有的思維模式。移動(dòng)社交網(wǎng)絡(luò)已成為生活中不可或缺的一部分,它豐富了人們的物質(zhì)和精神生活,同時(shí)移動(dòng)社交網(wǎng)絡(luò)中用戶信息安全問(wèn)題也成為當(dāng)今社會(huì)的一個(gè)焦點(diǎn),越來(lái)越受到人們的關(guān)注,飽受廣大網(wǎng)民詬病。

1移動(dòng)社交網(wǎng)絡(luò)用戶信息安全問(wèn)題現(xiàn)狀分析

當(dāng)今社會(huì)移動(dòng)社交網(wǎng)絡(luò)(MobileSocialNetwork)已成為社交網(wǎng)絡(luò)的主流,移動(dòng)社交網(wǎng)絡(luò)雖然是一種虛擬的社交媒體,但為用戶提供了分享信息、交流思想、溝通情感的平臺(tái)。近年來(lái),隨著4G技術(shù)以及無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展及智能移動(dòng)終端的廣泛使用,移動(dòng)社交網(wǎng)絡(luò)得到高速發(fā)展。然而,移動(dòng)社交網(wǎng)絡(luò)在給用戶提供便捷高效的服務(wù)的同時(shí)也面臨著極大地安全挑戰(zhàn)。據(jù)第38次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》(2016.7)顯示,截止2016年6月,我國(guó)網(wǎng)民規(guī)模已達(dá)7.1億,互聯(lián)網(wǎng)普及率達(dá)到51.7%,手機(jī)上網(wǎng)主導(dǎo)地位強(qiáng)化,手機(jī)網(wǎng)民規(guī)模達(dá)到6.56億,網(wǎng)民中手機(jī)上網(wǎng)的人群占比為92.5%,中國(guó)網(wǎng)站總數(shù)為454萬(wàn)個(gè)[1]。另?yè)?jù)有關(guān)資料顯示,2015年有95.9%的手機(jī)網(wǎng)民遇到過(guò)手機(jī)信息安全事件,手機(jī)網(wǎng)民中會(huì)主動(dòng)查看手機(jī)軟件隱私權(quán)限的用戶僅占35.8%,44.7%的用戶會(huì)在不確認(rèn)公共Wi-Fi是否安全的情況下直接連接,58.9%的手機(jī)網(wǎng)民沒(méi)有聽(tīng)說(shuō)過(guò)偽基站,26.4%的用戶在遭遇手機(jī)信息安全事件后不會(huì)采取任何措施進(jìn)行處理[2]。由上述情況來(lái)看,人們?cè)谌粘I钪谢蚨嗷蛏俣加龅竭^(guò)因個(gè)人信息泄露導(dǎo)致的諸如騷擾詐騙短信或電話、非正常鏈接、惡意軟件攻擊、病毒木馬入侵等信息安全事件,但因受影響程度的不同,人們的處理態(tài)度和方式也不一樣。因大多數(shù)未造成直接的經(jīng)濟(jì)損失,加上舉報(bào)程序復(fù)雜且操作成本高,人們擔(dān)心花費(fèi)時(shí)間和精力得不償失,半數(shù)以上的人選擇不理睬的態(tài)度,從而慫恿了不法分子的猖獗,這也是導(dǎo)致詐騙信息不斷的主要原因。除非造成了重大經(jīng)濟(jì)損失或出現(xiàn)人身傷亡事故,如徐玉玉事件,才會(huì)引起高度關(guān)注??偟膩?lái)看,各類信息安全事件在數(shù)量上將呈上升趨勢(shì);在內(nèi)容上花樣百出、不斷翻新;在手段上隱蔽性更強(qiáng)、欺騙性更大。移動(dòng)社交網(wǎng)絡(luò)中用戶的信息安全正成為移動(dòng)互聯(lián)網(wǎng)時(shí)代突出的社會(huì)問(wèn)題。

2移動(dòng)社交網(wǎng)絡(luò)中的信息安全問(wèn)題原因探究

移動(dòng)社交網(wǎng)絡(luò)中用戶個(gè)人信息安全形勢(shì)仍較嚴(yán)峻,主要有以下原因:(1)用戶信息安全意識(shí)淡薄。目前仍有一部分網(wǎng)民在個(gè)人信息安全方面沒(méi)有采取任何防護(hù)措施。由于許多網(wǎng)站的隱私設(shè)置比較繁瑣,很多用戶都沒(méi)有進(jìn)行隱私設(shè)置;有一些用戶習(xí)慣于用一個(gè)ID注冊(cè)多個(gè)賬號(hào),甚至用同樣的密碼;有的用戶使用與自己相關(guān)的個(gè)人信息等純數(shù)字來(lái)設(shè)置密碼,很容易被破譯;有的隨意安裝未知來(lái)源的社交應(yīng)用軟件,導(dǎo)致移動(dòng)終端和個(gè)人信息遭到泄露;還有部分用戶不會(huì)使用終端系統(tǒng)的隱私控制功能,不能及時(shí)更新系統(tǒng);隨意開(kāi)啟GPS功能,導(dǎo)致位置信息泄露[3]。(2)信息安全保護(hù)技術(shù)還存在漏洞。在智能終端設(shè)備上安裝第三方社交軟件,通過(guò)這種第三方軟件進(jìn)行注冊(cè)和認(rèn)證,會(huì)把用戶的信息及使用數(shù)據(jù)進(jìn)行記錄在移動(dòng)終端設(shè)備上,通過(guò)用戶的操作從而竊取用戶的身份標(biāo)識(shí)。然后通過(guò)截獲的用戶信息進(jìn)一步的竊取其相關(guān)用戶的信息[4]。(3)網(wǎng)絡(luò)企業(yè)安全管理職責(zé)缺失。企業(yè)在運(yùn)營(yíng)過(guò)程中掌握大量用戶個(gè)人信息資料,是用戶信息安全保護(hù)的義務(wù)主體和第一責(zé)任人。但部分移動(dòng)社交網(wǎng)絡(luò)運(yùn)營(yíng)機(jī)構(gòu)不重視用戶信息的安全保護(hù),缺乏制度建設(shè),沒(méi)有完全履行保護(hù)用戶信息安全的職責(zé)。不進(jìn)行技術(shù)創(chuàng)新,缺乏有效防范信息安全風(fēng)險(xiǎn)的解決方案;沒(méi)有投入充足的經(jīng)費(fèi)建設(shè)專業(yè)安全管理團(tuán)隊(duì),沒(méi)有良好的應(yīng)急能力。(4)個(gè)人信息安全法律體系滯后。由于互聯(lián)網(wǎng)技術(shù)是新興產(chǎn)業(yè),近十年來(lái)發(fā)展異常迅猛,尤其是在個(gè)人信息安全方面存在法律缺失。我國(guó)目前尚未出臺(tái)一部完整獨(dú)立的《個(gè)人信息保護(hù)法》,而散落在其他法律條款中的規(guī)定,也無(wú)法完整的反映并保證用戶的信息安全。此外,現(xiàn)成的法律體系主要表現(xiàn)為個(gè)人信息安全受到侵害時(shí)的一種補(bǔ)救機(jī)制,缺乏事前警示作用。

3移動(dòng)社交網(wǎng)絡(luò)中的信息安全保護(hù)原理

為了保護(hù)用戶數(shù)據(jù),無(wú)線網(wǎng)絡(luò)從WEP加密技術(shù)逐步改進(jìn)成為今天應(yīng)用最廣泛的WPA無(wú)線加密技術(shù),它有兩種標(biāo)準(zhǔn),下面進(jìn)行介紹:

3.1WPA加密技術(shù)

WPA全稱是Wi-FiProtectedAccess,它作為一種系統(tǒng),能夠保護(hù)無(wú)線網(wǎng)絡(luò)(Wi-Fi)的安全。Wi-Fi聯(lián)盟(TheWi-FiAl-liance)這個(gè)組織建立并確定了WPA,WPA最重要的部分就在TKIP和IEEE802.1X。TKIP相當(dāng)于包含在WEP密碼的一層“外殼”,它的密鑰長(zhǎng)度是128位,解決了WEP密鑰短的問(wèn)題。IEEE802.1X:①發(fā)出連接上網(wǎng)請(qǐng)求;②發(fā)出請(qǐng)求數(shù)據(jù)幀;③經(jīng)過(guò)一系列處理將用戶的信息發(fā)到服務(wù)器;④比較傳送來(lái)的與數(shù)據(jù)庫(kù)中的信息有何不同;⑤將對(duì)應(yīng)的口令進(jìn)行加密處理;⑥將加密后的口令傳給客戶端;⑦對(duì)上一部分的信息進(jìn)行加密整理;⑧檢查處理加密過(guò)的信息。

3.2WPA2加密技術(shù)

WPA2是WiFi聯(lián)盟新通過(guò)的協(xié)議標(biāo)準(zhǔn)的認(rèn)證形式,其中Michael算法被更加安全的CCMP所取代、而AES算法取代了RC4加密算法。WPA2支持安全性更高的算法AES;但與WPA不同的是,WPA2支持802.11g及以上的無(wú)線網(wǎng)卡。

3.3WPA與WPA2的公式區(qū)別

WPA=IEEE802.11idraft3=IEEE802.1X/EAP+WEP(選擇性項(xiàng)目)/TKIPWPA2=IEEE802.11i=IEEE802.1X/EAP+WEP(選擇性目)/TKIP/CCMP

3.4WPA技術(shù)的四個(gè)優(yōu)勢(shì)

WPA會(huì)不斷一直的迭代密鑰,增加其密鑰長(zhǎng)度,從而增加安全級(jí)別。WPA所采用的有效的保障機(jī)制,讓其可以應(yīng)用在不同種類的網(wǎng)卡。WPA使公共場(chǎng)所和學(xué)術(shù)辦公地安全地設(shè)置無(wú)線網(wǎng)絡(luò),不必?fù)?dān)心信息安全問(wèn)題。WPA實(shí)現(xiàn)“一戶一密”。即每一個(gè)用戶都使用分配給自己的密碼。

4移動(dòng)社交網(wǎng)絡(luò)用戶信息安全保護(hù)對(duì)策

保障移動(dòng)社交網(wǎng)絡(luò)用戶信息安全,需從用戶個(gè)人、網(wǎng)絡(luò)企業(yè)、國(guó)家立法三個(gè)層面多維度應(yīng)對(duì)。具體措施如下:(1)提高用戶信息安全素養(yǎng),加強(qiáng)風(fēng)險(xiǎn)防范意識(shí)。信息安全素養(yǎng)是指?jìng)€(gè)人在當(dāng)今網(wǎng)絡(luò)環(huán)境下對(duì)信息安全的理解與認(rèn)知,以及應(yīng)對(duì)信息安全問(wèn)題所反映出來(lái)的綜合能力[5]。增強(qiáng)信息安全意識(shí),學(xué)習(xí)信息安全知識(shí),有助于人們了解網(wǎng)絡(luò)犯罪和病毒攻擊的特征,提高識(shí)別風(fēng)險(xiǎn)的能力。同時(shí)遵守信息倫理道德,不受騙,不騙人,從自身做起,做一個(gè)遵紀(jì)守法的文明網(wǎng)民,營(yíng)創(chuàng)風(fēng)清氣正的社交網(wǎng)絡(luò)環(huán)境。(2)提高網(wǎng)絡(luò)安全保護(hù)技術(shù),加強(qiáng)信息安全監(jiān)管。未來(lái)網(wǎng)絡(luò)安全攻守雙方將以新型技術(shù)漏洞為核心進(jìn)行長(zhǎng)期博弈。因此,提高技術(shù)壁壘,減少技術(shù)漏洞是保障信息安全的基礎(chǔ),要加強(qiáng)互聯(lián)網(wǎng)技術(shù)和安全防護(hù)技術(shù)的深度融合,不斷創(chuàng)新,從源頭上保證個(gè)人信息安全。魔高一尺,道高一丈,要讓黑客在紅客面前無(wú)機(jī)可乘,無(wú)計(jì)可施。(3)提高運(yùn)營(yíng)管理水平,完善行業(yè)自律機(jī)制。社交網(wǎng)絡(luò)企業(yè)作為信息安全體系的主導(dǎo)因素,有義務(wù)在技術(shù)、制度、管理等方面提升綜合能力,承擔(dān)相應(yīng)責(zé)任。社交網(wǎng)絡(luò)企業(yè)要深刻意識(shí)到用戶信息安全的重要性,切實(shí)履行保護(hù)用戶信息安全的職責(zé),建設(shè)專業(yè)安全管理團(tuán)隊(duì),建立完備的隱私控制策略。在與第三方共享數(shù)據(jù)時(shí)要建立行業(yè)自律機(jī)制,遵守自律公約,保證用戶個(gè)人信息的隱私和安全。(4)健全信息安全法律體系,加大安全事件執(zhí)法力度。加快成立專門(mén)的國(guó)家級(jí)個(gè)人信息安全管理部門(mén),與時(shí)俱進(jìn),同步的完善信息安全法律體系。實(shí)行信息安全事件責(zé)任追究,做到有法可依,違法必究,對(duì)重大信息安全事件加大打擊力度,以高壓態(tài)勢(shì)整肅信息安全環(huán)境,促進(jìn)移動(dòng)社交網(wǎng)絡(luò)的繁榮和健康發(fā)展。

參考文獻(xiàn)

[1]CNNIC:2016年7月第38次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告.

[2]CNNIC:2015年中國(guó)手機(jī)網(wǎng)民網(wǎng)絡(luò)安全狀況報(bào)告.

[3]王娜,許大辰.移動(dòng)社交網(wǎng)絡(luò)中個(gè)人信息保護(hù)現(xiàn)狀的調(diào)查與分析———從用戶行為習(xí)慣視角出發(fā).情報(bào)雜志,2015,1.

[4]劉建偉,李為宇,孫鈺.社交網(wǎng)絡(luò)安全問(wèn)題及其解決方案.中國(guó)科學(xué)技術(shù)大學(xué)學(xué)報(bào).

篇7

關(guān)鍵詞:信息安全;等級(jí)保護(hù);分級(jí)保護(hù)

隨著我國(guó)信息系統(tǒng)建設(shè)的逐步完善,信息安全越來(lái)越得到重視,目前,我國(guó)已提出實(shí)行信息安全等級(jí)保護(hù)管理,并建立了信息系統(tǒng)分級(jí)保護(hù)制度。

1 信息安全等級(jí)保護(hù)

2003年,中辦、國(guó)辦轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003〕27號(hào)),提出實(shí)行信息安全等級(jí)保護(hù),建立國(guó)家信息安全保障體系的明確要求。

信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí):

第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。該級(jí)別是用戶自主保護(hù)級(jí)。完全由用戶自己來(lái)決定如何對(duì)資源進(jìn)行保護(hù),以及采用何種方式進(jìn)行保護(hù)。

第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。該級(jí)別是系統(tǒng)審計(jì)保護(hù)級(jí)。本級(jí)的安全保護(hù)機(jī)制受到信息系統(tǒng)等級(jí)保護(hù)的指導(dǎo),支持用戶具有更強(qiáng)的自主保護(hù)能力,特別是具有訪問(wèn)審計(jì)能力。即能創(chuàng)建、維護(hù)受保護(hù)對(duì)象的訪問(wèn)審計(jì)跟蹤記錄,記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶和事件類型等信息,所有和安全相關(guān)的操作都能夠被記錄下來(lái),以便當(dāng)系統(tǒng)發(fā)生安全問(wèn)題時(shí),可以根據(jù)審計(jì)記錄,分析追查事故責(zé)任人,使所有的用戶對(duì)自己行為的合法性負(fù)責(zé)。

第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。該級(jí)別是安全標(biāo)記保護(hù)級(jí)。除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外,它還要求對(duì)訪問(wèn)者和訪問(wèn)對(duì)象實(shí)施強(qiáng)制訪問(wèn)控制,并能夠進(jìn)行記錄,以便事后的監(jiān)督、審計(jì)。通過(guò)對(duì)訪問(wèn)者和訪問(wèn)對(duì)象指定不同安全標(biāo)記,監(jiān)督、限制訪問(wèn)者的權(quán)限,實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制訪問(wèn)控制。

第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。該級(jí)別是結(jié)構(gòu)化保護(hù)級(jí)。將前三級(jí)的安全保護(hù)能力擴(kuò)展到所有訪問(wèn)者和訪問(wèn)對(duì)象,支持形式化的安全保護(hù)策略。其本身構(gòu)造也是結(jié)構(gòu)化的,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對(duì)關(guān)鍵部分強(qiáng)制性地直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取,使之具有相當(dāng)?shù)目節(jié)B透能力。本級(jí)的安全保護(hù)機(jī)制能夠使信息系統(tǒng)實(shí)施一種系統(tǒng)化的安全保護(hù)。

第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。該級(jí)別是訪問(wèn)驗(yàn)證保護(hù)級(jí)。這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問(wèn)驗(yàn)證功能,負(fù)責(zé)管理訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng),管理訪問(wèn)者能否訪問(wèn)某些對(duì)象從而對(duì)訪問(wèn)對(duì)象實(shí)行專控,保護(hù)信息不能被非授權(quán)獲取。因此,本級(jí)的安全保護(hù)機(jī)制不易被攻擊、被篡改,具有極強(qiáng)的抗?jié)B透的保護(hù)能力。

2 信息系統(tǒng)分級(jí)保護(hù)

2004年,中保委下發(fā)《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見(jiàn)》(中保委發(fā)〔2004〕7號(hào)),明確提出建立健全信息系統(tǒng)分級(jí)保護(hù)制度。

涉及國(guó)家秘密的信息系統(tǒng)要按照黨和國(guó)家有關(guān)保密規(guī)定進(jìn)行保護(hù)。我國(guó)的國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí),信息系統(tǒng)也按照秘密、機(jī)密、絕密三級(jí)進(jìn)行分級(jí)管理。

秘密級(jí):信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求,并且還必須符合分級(jí)保護(hù)的保密技術(shù)要求。

機(jī)密級(jí):信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求。屬下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)按機(jī)密級(jí)(增強(qiáng))要求管理:

(1) 信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān),以及國(guó)防、外交、國(guó)家安全、軍工等要害部門(mén);

(2) 信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多;

(3) 信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴程度較高。

絕密級(jí):信息系統(tǒng)中包含有最高為絕密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)五級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求,絕密級(jí)信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi),不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。

信息系統(tǒng)的等級(jí)由系統(tǒng)使用單位確定,按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則進(jìn)行管理。實(shí)現(xiàn)對(duì)不同等級(jí)的信息系統(tǒng)進(jìn)行分級(jí)保護(hù),對(duì)信息系統(tǒng)使用的安全保密產(chǎn)品進(jìn)行分級(jí)管理,對(duì)信息系統(tǒng)發(fā)生的泄密事件進(jìn)行分級(jí)處置。

3 等級(jí)保護(hù)與分級(jí)保護(hù)的關(guān)系

國(guó)家信息安全等級(jí)保護(hù)與信息系統(tǒng)分級(jí)保護(hù)既有聯(lián)系又有區(qū)別。

篇8

一是開(kāi)展信息系統(tǒng)定級(jí)備案工作。

1.開(kāi)展政府網(wǎng)站定級(jí)備案。根據(jù)去年重點(diǎn)單位調(diào)查摸底情況,全市尚有200余個(gè)各類信息系統(tǒng)未開(kāi)展等級(jí)保護(hù)工作,其中包括大量政府網(wǎng)站(指黨政機(jī)關(guān)門(mén)戶網(wǎng)站),鑒于政府網(wǎng)站近年來(lái)網(wǎng)絡(luò)安全事件頻發(fā),需及時(shí)落實(shí)各項(xiàng)安全技術(shù)措施。

全市黨政機(jī)關(guān)必須在規(guī)定時(shí)間內(nèi)開(kāi)展門(mén)戶網(wǎng)站定級(jí)備案工作,并于5月底前向公安網(wǎng)警部門(mén)提交《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》(簡(jiǎn)稱定級(jí)報(bào)告),《信息系統(tǒng)安全等級(jí)保護(hù)備案表》、《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)備案表》(簡(jiǎn)稱備案表)(模板見(jiàn)附件),定級(jí)報(bào)告、備案表完成后請(qǐng)單位蓋章后一式二份送至市公安局網(wǎng)警大隊(duì)。

2.開(kāi)展其他信息系統(tǒng)定級(jí)備案。除網(wǎng)站外,各單位其他信息系統(tǒng)也可一并開(kāi)展定級(jí)備案工作,提交時(shí)間可適當(dāng)放寬。

二是開(kāi)展信息系統(tǒng)安全測(cè)評(píng)工作。

1.有政府網(wǎng)站且定二級(jí)以上的單位,必須在12月底前開(kāi)展網(wǎng)站等級(jí)保護(hù)安全測(cè)評(píng),并根據(jù)測(cè)評(píng)結(jié)果及時(shí)落實(shí)整改建設(shè),切實(shí)保障網(wǎng)站安全運(yùn)行。

2.各單位其他已定二級(jí)以上信息系統(tǒng)爭(zhēng)取明年完成等級(jí)保護(hù)安全測(cè)評(píng),若今年有條件的也可一并開(kāi)展。

3.等級(jí)保護(hù)安全測(cè)評(píng)須由獲得相關(guān)資質(zhì)且在當(dāng)?shù)貍浒傅膶I(yè)測(cè)評(píng)機(jī)構(gòu)開(kāi)展。目前,擬由市政府采購(gòu)中心會(huì)同市等保辦從已在備案的測(cè)評(píng)機(jī)構(gòu)中通過(guò)法定方式選定若干家,確定后于5月底下發(fā)具體名單,各單位可直接從中選擇開(kāi)展測(cè)評(píng)工作。

三是開(kāi)展等級(jí)保護(hù)安全培訓(xùn)(時(shí)間:半年一次)

要依托等保小組定期邀請(qǐng)專業(yè)測(cè)評(píng)公司技術(shù)人員開(kāi)展信息安全知識(shí)培訓(xùn),進(jìn)一步普及等保知識(shí),提高信息系統(tǒng)使用單位各級(jí)責(zé)任人的安全意識(shí)和專業(yè)水平。

四是實(shí)行等保例會(huì)和通報(bào)制度(時(shí)間:每季一次)。

市等保小組成員單位要定期召開(kāi)等保工作會(huì)議,分析總結(jié)當(dāng)前工作開(kāi)展情況及存在問(wèn)題,特別是對(duì)上述工作開(kāi)展進(jìn)度情況定期在全市范圍予以通報(bào)。

二、系統(tǒng)定級(jí)建議

根據(jù)信息系統(tǒng)定級(jí)標(biāo)準(zhǔn)結(jié)合其他縣市經(jīng)驗(yàn)做法,對(duì)信息系統(tǒng)的分類定級(jí)作如下建議,供各信息系統(tǒng)使用單位參考,定級(jí)標(biāo)準(zhǔn)可查閱《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(GB/T2240-2008)。

1.政府部委局辦門(mén)戶網(wǎng)站、鎮(zhèn)(管理區(qū))以上政府門(mén)戶網(wǎng)站原則上定為二級(jí);

2.黨政機(jī)關(guān)重要業(yè)務(wù)應(yīng)用系統(tǒng)原則上定為二級(jí),特別重要的定為三級(jí)以上;

3.醫(yī)院、水電氣、金融系統(tǒng)以及其他涉及國(guó)計(jì)民生的重要信息系統(tǒng)原則上定為二級(jí),特別重要的定為三級(jí)以上。

三、工作要求

一是提高認(rèn)識(shí),落實(shí)工作?!暗缺!笔翘岣咝畔踩U夏芰退?,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。各單位要充分認(rèn)識(shí)開(kāi)展“等保”工作的重要性、必要性,全面貫徹落實(shí)相關(guān)要求和部署,切實(shí)做好我市“等?!惫ぷ鳌?/p>

二是明確責(zé)任,密切配合。市等保小組各成員單位要加強(qiáng)協(xié)調(diào)配合,共同組織信息系統(tǒng)主管部門(mén)和運(yùn)營(yíng)、使用單位開(kāi)展“等?!惫ぷ?。各信息系統(tǒng)主管部門(mén)要積極配合等保小組工作,督促各項(xiàng)工作任務(wù)的貫徹落實(shí)。

篇9

移動(dòng)互聯(lián)網(wǎng)主要是指在互聯(lián)網(wǎng)的基礎(chǔ)上逐漸發(fā)展起來(lái)的新型技術(shù)。它主要包括了兩個(gè)層面:一方面包含了互聯(lián)網(wǎng)不受傳統(tǒng)現(xiàn)實(shí)社會(huì)約束限制的個(gè)性,強(qiáng)調(diào)自由、平等的特性;另一方面在隱私性、攻擊性等方面相比傳統(tǒng)互聯(lián)網(wǎng)具有更大的威脅。移動(dòng)互聯(lián)網(wǎng)的優(yōu)勢(shì)顯著:其一,移動(dòng)互聯(lián)網(wǎng)的接入成本低,它可以憑借手機(jī)隨時(shí)隨地進(jìn)行接入;其二,移動(dòng)互聯(lián)網(wǎng)對(duì)接入地點(diǎn)沒(méi)有特殊要求,只要是有移動(dòng)網(wǎng)絡(luò)信號(hào),就可以接入。移動(dòng)互聯(lián)網(wǎng)信息主要是指利用移動(dòng)互聯(lián)網(wǎng),可以存取、訪問(wèn)的涉及到公共利益的信息。移動(dòng)互聯(lián)網(wǎng)公共信息安全具有幾個(gè)特點(diǎn):其一,保密性,主要是指信息不被未授權(quán)解析與使用的特性;其二,完整性,主要是指信息傳播過(guò)程中,不會(huì)遭到任何篡改;其三,可用性,主要是指不論處于何種情況下,信息與信息系統(tǒng)都能在滿足基本需求的基礎(chǔ)上被使用;其四,真實(shí)性,主要是指信息系統(tǒng)在交互運(yùn)行的過(guò)程中,信息的來(lái)源與信息的者是真實(shí)可靠的。

2制約移動(dòng)互聯(lián)網(wǎng)公共信息安全的因素

2.1移動(dòng)互聯(lián)網(wǎng)運(yùn)行的全民性

移動(dòng)互聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎(chǔ)上產(chǎn)生的,而互聯(lián)網(wǎng)自產(chǎn)生起就帶有公開(kāi)性、全民共享性。目前,這一趨勢(shì)隨著移動(dòng)互聯(lián)網(wǎng)的普及更加顯著,但是隨著全民廣泛參與到移動(dòng)互聯(lián)網(wǎng)的應(yīng)用中,這就導(dǎo)致移動(dòng)互聯(lián)網(wǎng)的控制權(quán)被分散。由于移動(dòng)互聯(lián)網(wǎng)使用者的利益、目標(biāo)以及價(jià)值等方面都不盡相同,因此,對(duì)移動(dòng)互聯(lián)網(wǎng)資源的保護(hù)與管理也就容易產(chǎn)生分歧,促使移動(dòng)互聯(lián)網(wǎng)公共信息安全的問(wèn)題變得更加廣泛、復(fù)雜。

2.2移動(dòng)互聯(lián)網(wǎng)監(jiān)管不嚴(yán)

我們對(duì)移動(dòng)互聯(lián)網(wǎng)公共信息安全管理的過(guò)程中,往往存在著界定不明晰、管理觀念落后等問(wèn)題。比如對(duì)移動(dòng)互聯(lián)網(wǎng)上頻繁出現(xiàn)的不良信息的劃分不明確,這就導(dǎo)致相關(guān)管理部門(mén)進(jìn)行監(jiān)管時(shí),沒(méi)有可以依據(jù)的規(guī)則,進(jìn)而導(dǎo)致監(jiān)管過(guò)度或不力。

2.3缺乏核心的移動(dòng)互聯(lián)網(wǎng)技術(shù)

我國(guó)的移動(dòng)互聯(lián)網(wǎng)處于起步階段,缺乏自主性的網(wǎng)絡(luò)和軟件核心技術(shù),這就導(dǎo)致我們?cè)谝苿?dòng)互聯(lián)網(wǎng)運(yùn)行過(guò)程中不得不接受發(fā)達(dá)國(guó)家制定的一系列管理規(guī)則與標(biāo)準(zhǔn)。此外,由于我們的移動(dòng)互聯(lián)網(wǎng)核心技術(shù)主要是源自他國(guó),這就導(dǎo)致我國(guó)的移動(dòng)互聯(lián)網(wǎng)常常會(huì)處于被竊聽(tīng)、干擾以及欺詐等信息威脅的狀態(tài)之下,造成我國(guó)的移動(dòng)互聯(lián)網(wǎng)公共信息安全管理系統(tǒng)極為脆弱。

2.4缺乏制度化的移動(dòng)互聯(lián)網(wǎng)保障機(jī)制

我國(guó)對(duì)移動(dòng)互聯(lián)網(wǎng)公共信息安全的管理并沒(méi)有建立相應(yīng)的安全管理保障制度,同時(shí)也沒(méi)有建立有效地安全檢查制度與安全保護(hù)制度。此外,我國(guó)現(xiàn)有的政策法規(guī)很難適應(yīng)當(dāng)今移動(dòng)互聯(lián)網(wǎng)公共信息發(fā)展的需要,移動(dòng)互聯(lián)網(wǎng)公共信息安全保護(hù)還存在著大量的立法空白。

3建立移動(dòng)互聯(lián)網(wǎng)公共信息安全保障機(jī)制的措施

3.1政府應(yīng)充分發(fā)揮其職能

政府在移動(dòng)互聯(lián)網(wǎng)公共信息安全管理中,應(yīng)占據(jù)主導(dǎo)地位,引導(dǎo)整個(gè)移動(dòng)互聯(lián)網(wǎng)公共信息安全向著健康方向發(fā)展。首先,政府應(yīng)發(fā)揮應(yīng)急事件指揮者的角色。政府對(duì)控制一般網(wǎng)絡(luò)公共信息安全事件演變?yōu)槲C(jī)事件肩負(fù)巨大責(zé)任,需要通過(guò)自身的能力使社會(huì)秩序盡快恢復(fù)正常。其次,政府應(yīng)對(duì)移動(dòng)互聯(lián)網(wǎng)公共信息安全相關(guān)法律進(jìn)行監(jiān)管。政府應(yīng)依據(jù)相關(guān)法律對(duì)移動(dòng)互聯(lián)網(wǎng)信息是否安全運(yùn)行進(jìn)行有效監(jiān)管,同時(shí)應(yīng)不斷完善移動(dòng)互聯(lián)網(wǎng)公共信息安全中薄弱環(huán)節(jié)的法律法規(guī)制度。

3.2加強(qiáng)移動(dòng)互聯(lián)網(wǎng)公共信息安全法律建設(shè)

建立手機(jī)實(shí)名制法律。手機(jī)實(shí)名制對(duì)預(yù)防手機(jī)犯罪、凈化手機(jī)信息具有至關(guān)重要的作用,實(shí)施手機(jī)實(shí)名制能夠保障消費(fèi)者的合法權(quán)益。在我國(guó)制定的《通信短信息服務(wù)管理辦法》中對(duì)手機(jī)實(shí)名制就進(jìn)行了明確規(guī)定,與此同時(shí),若想讓手機(jī)實(shí)名制充分發(fā)揮其作用,就必須加強(qiáng)公民隱私權(quán)益方面的建設(shè)。完善公共信息安全法律法規(guī)。首先,應(yīng)重點(diǎn)建立信息安全的基本法,保障信息安全的各項(xiàng)問(wèn)題有法可依;其次,可以在專門(mén)信息安全基本法出臺(tái)之前,建立必要的、急需的單行法;最后,在建立信息安全法的時(shí)候,應(yīng)盡量避免采用制定地方性法規(guī)和部門(mén)規(guī)章的方法代替制定全國(guó)性法律法規(guī)。

3.3組建統(tǒng)一的管理機(jī)構(gòu)

建立統(tǒng)一的移動(dòng)互聯(lián)網(wǎng)管制機(jī)構(gòu)時(shí),應(yīng)遵循三個(gè)原則。首先,管制機(jī)構(gòu)建立的獨(dú)立性原則。建立的管制機(jī)構(gòu)不僅要獨(dú)立于電信運(yùn)營(yíng)企業(yè),同時(shí)還應(yīng)該獨(dú)立于任何行政部門(mén),這樣才能夠保障管制機(jī)構(gòu)辦事的公正性。其次,管制機(jī)構(gòu)建立的依法設(shè)立原則。在建立互聯(lián)網(wǎng)公共信息安全管制機(jī)構(gòu)時(shí),應(yīng)以《電信法》或?qū)iT(mén)管制機(jī)構(gòu)法對(duì)所建立的管制機(jī)構(gòu)的職責(zé)進(jìn)行明確劃分。最后,管制機(jī)構(gòu)建立的融合性原則。管制機(jī)構(gòu)應(yīng)是一個(gè)綜合性的管制機(jī)構(gòu),它所監(jiān)管的范圍應(yīng)該包括整個(gè)信息通信領(lǐng)域。

3.4加強(qiáng)終端安全保障技術(shù)研發(fā)

(1)重視病毒防御。

當(dāng)前的移動(dòng)互聯(lián)網(wǎng)終端基本上都是職能設(shè)備,采用的都是專門(mén)的移動(dòng)操作系統(tǒng),這些操作系統(tǒng)必須具備對(duì)常見(jiàn)的病毒、木馬等的防范功能,同時(shí)也應(yīng)不斷降低應(yīng)用軟件系統(tǒng)可能出現(xiàn)的安全漏洞。

(2)實(shí)施軟件簽名。

軟件簽名的實(shí)現(xiàn)能夠保障軟件的完整性,從而避免用戶的信息被篡改。此外,當(dāng)應(yīng)用程序發(fā)現(xiàn)信息被篡改后,能夠及時(shí)向用戶發(fā)出報(bào)警信息。

(3)采用軟件防火墻。

在終端設(shè)備上應(yīng)用軟件防火墻,用戶可以通過(guò)設(shè)置白名單與黑名單對(duì)設(shè)備上傳入與傳出的信息進(jìn)行有效地控制,保障信息安全。

(4)采用加密存儲(chǔ)。

用戶對(duì)設(shè)備上的重要信息應(yīng)在加密之后再將其存儲(chǔ)到終端設(shè)備中,這樣能夠有效避免非法竊取現(xiàn)象的產(chǎn)生。與此同時(shí),用戶在加密與解密的時(shí)候,一定要快速的完成,以防信息被竊取。

(5)統(tǒng)一管理。

對(duì)安全設(shè)備應(yīng)該進(jìn)行統(tǒng)一管理,即在一個(gè)統(tǒng)一的界面中能夠?qū)θ康陌踩O(shè)備都進(jìn)行相應(yīng)的管理,并對(duì)網(wǎng)絡(luò)中的實(shí)時(shí)信息進(jìn)行及時(shí)反映,然后可以對(duì)得到的各種數(shù)據(jù)進(jìn)行匯總、篩選、分析以及處理,從而提升終端對(duì)安全風(fēng)險(xiǎn)的反應(yīng)能力,降低設(shè)備受到攻擊的機(jī)率。

4結(jié)束語(yǔ)

篇10

一、引言

隨著我國(guó)信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用,信息安全的重要性愈發(fā)突出。在國(guó)家重視信息安全的大背景下,推出了信息安全等級(jí)保護(hù)制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn),公安部等四部委聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》(公通字【2007】43號(hào))。隨著等級(jí)保護(hù)工作的深入開(kāi)展,原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》(衛(wèi)辦發(fā)【2011】85號(hào)),進(jìn)一步規(guī)范和指導(dǎo)了我國(guó)醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作,并對(duì)三級(jí)甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級(jí)作了要求,原則上不低于第三級(jí)。

從《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》中可知信息安全等級(jí)保護(hù)對(duì)象是國(guó)家秘密信息、法人和其他組織以及公民的專有信息和公開(kāi)信息。對(duì)信息系統(tǒng)及其安全產(chǎn)品進(jìn)行等級(jí)劃分,并按等級(jí)對(duì)信息安全事件響應(yīng)。

    二、醫(yī)院信息安全等級(jí)保護(hù)工作實(shí)施步驟

2.1定級(jí)與備案。根據(jù)公安部信息安全等級(jí)保護(hù)評(píng)估中心編制的《信息安全等級(jí)保護(hù)政策培訓(xùn)教程》,有兩個(gè)定級(jí)要素決定了信息系統(tǒng)的安全保護(hù)等級(jí),一個(gè)是等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體,另外一個(gè)是對(duì)客體造成侵害的程度。表1是根據(jù)定級(jí)要素制訂的信息系統(tǒng)等級(jí)保護(hù)級(jí)別。

    對(duì)于三級(jí)醫(yī)院,門(mén)診量與床位相對(duì)較多,影響范圍較廣,一旦信息系統(tǒng)遭到破壞,將會(huì)給患者造成生命財(cái)產(chǎn)損失,對(duì)社會(huì)秩序帶來(lái)重大影響。因此,從影響范圍和侵害程度來(lái)看,我們非常認(rèn)同國(guó)家衛(wèi)計(jì)委對(duì)三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級(jí)的限制要求。

在完成定級(jí)報(bào)告編制工作后,填寫(xiě)備案表,并按屬地化管理要求到市級(jí)公安機(jī)關(guān)辦理備案手續(xù),在取得備案回執(zhí)后才算完成定級(jí)備案工作。我院已按照要求向我市公安局網(wǎng)安支隊(duì),同時(shí)也是我市信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組辦公室,提交了定級(jí)報(bào)告與備案表。

2.2安全建設(shè)與整改。在完成定級(jí)備案后,就要結(jié)合醫(yī)院實(shí)際,分析信息安全現(xiàn)狀,進(jìn)行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險(xiǎn)評(píng)估。了解等級(jí)保護(hù)基本要求?!缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》分別從技術(shù)和管理兩方面提出了基本要求。基本技術(shù)要求包括五個(gè)方面:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全,主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品(包括硬件和軟件)及安全配置來(lái)實(shí)現(xiàn);基本管理要求也包括五個(gè)方面:安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理,主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對(duì)人員活動(dòng)進(jìn)行約束控制,以期達(dá)到安全管理要求。

技術(shù)類安全要求按保護(hù)側(cè)重點(diǎn)進(jìn)一步劃分為三類:業(yè)務(wù)信息安全類(S類)、系統(tǒng)服務(wù)安全類(A類)、通用安全保護(hù)類(G類)。如受條件限制,可以逐步完成三級(jí)等級(jí)保護(hù),A類和S類有一類滿足即可,但G類必須達(dá)到三級(jí),最嚴(yán)格的G3S3A3控制項(xiàng)共計(jì)136條.醫(yī)院可以結(jié)合自身建設(shè)情況,選擇其中一個(gè)標(biāo)準(zhǔn)進(jìn)行差距分析。

管理方面要求很嚴(yán)格,只有完成所有的154條控制項(xiàng),達(dá)到管理G3的要求,才能完成三級(jí)等級(jí)保護(hù)要求。這需要我們逐條對(duì)照,發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞,找出與管理要求的差距。

對(duì)于有條件的三甲醫(yī)院,可以先進(jìn)行風(fēng)險(xiǎn)評(píng)估,通過(guò)分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅,形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》。

經(jīng)過(guò)與三級(jí)基本要求對(duì)照,我院還存在一定差距。比如:在物理環(huán)境安全方面,我院機(jī)房雖有滅火器,但沒(méi)安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少,不能很好的應(yīng)對(duì)網(wǎng)絡(luò)人侵。在運(yùn)維管理方面,缺乏預(yù)警機(jī)制,無(wú)法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。根據(jù)差距分析情況,結(jié)合醫(yī)院信息系統(tǒng)安全實(shí)際需求和建設(shè)目標(biāo),著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面,滿足于臨床的實(shí)際需求,避免資金投入的浪費(fèi)、起不到實(shí)際效果。

整改方案制訂應(yīng)遵循以下原則:安全技術(shù)和安全管理相結(jié)合,技術(shù)作保障,管理是更好的落實(shí)安全措施;從安全區(qū) 域邊界、安全計(jì)算環(huán)境和安全通信網(wǎng)絡(luò)進(jìn)行三維防護(hù),建立安全管理中心。方案設(shè)計(jì)完成后,應(yīng)組織專家或經(jīng)過(guò)第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行評(píng)審,以保證方案的可用性。

整改方案實(shí)施。實(shí)施過(guò)程中應(yīng)注意技術(shù)與管理相結(jié)合,并根據(jù)實(shí)際情況適當(dāng)調(diào)整安全措施,提高整體保護(hù)水平。

我院整改方案是先由醫(yī)院內(nèi)部自查,再邀請(qǐng)等級(jí)測(cè)評(píng)#司進(jìn)行預(yù)測(cè)評(píng),結(jié)合醫(yī)院實(shí)際最終形成的方案。網(wǎng)絡(luò)技術(shù)義員熟悉系統(tǒng)現(xiàn)狀,易于發(fā)現(xiàn)潛在安全威脅,所以醫(yī)院要先自查,對(duì)自身安全進(jìn)行全面了解。等級(jí)測(cè)評(píng)公司派專業(yè)安全人員進(jìn)駐醫(yī)院,經(jīng)過(guò)與醫(yī)院技術(shù)人員溝通,利用安全工具進(jìn)行測(cè)試,可以形成初步的整改報(bào)告,對(duì)我院安全整改具有指導(dǎo)意義。

2.3開(kāi)展等級(jí)保護(hù)測(cè)評(píng)。下一步工作就是開(kāi)展等級(jí)測(cè)評(píng)。在測(cè)評(píng)機(jī)構(gòu)的選擇上,首先要查看其是否具有“DICP”認(rèn)證,有沒(méi)有在當(dāng)?shù)毓膊块T(mén)進(jìn)行備案,還可以到中國(guó)信息安全等級(jí)保護(hù)網(wǎng)站(網(wǎng)站地址:djbh.net)進(jìn)行核實(shí)。測(cè)評(píng)周期一般為1至2月,其測(cè)評(píng)流程如下。

2.3.1測(cè)評(píng)準(zhǔn)備階段。醫(yī)院與測(cè)評(píng)機(jī)構(gòu)共同成立項(xiàng)目領(lǐng)導(dǎo)小組,制定工作任務(wù)與測(cè)評(píng)計(jì)劃等前期準(zhǔn)備工作。項(xiàng)目啟動(dòng)前,為防止醫(yī)院信息泄露,還需要簽訂保密協(xié)議。項(xiàng)目啟動(dòng)后,測(cè)評(píng)機(jī)構(gòu)要進(jìn)行前期調(diào)研,主要是了解醫(yī)院信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、設(shè)備運(yùn)行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況,然后再選擇相應(yīng)的測(cè)評(píng)工具和文檔。

在測(cè)評(píng)準(zhǔn)備階段,主要是做好組織機(jī)構(gòu)建設(shè)工作,配合等級(jí)測(cè)評(píng)公司人員的調(diào)査工作。

2.3.2測(cè)評(píng)方案編制階段。測(cè)評(píng)內(nèi)容主要由測(cè)評(píng)對(duì)象與測(cè)評(píng)指標(biāo)來(lái)確定。我院測(cè)評(píng)對(duì)象包含三級(jí)的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級(jí)的門(mén)戶網(wǎng)站。測(cè)評(píng)機(jī)構(gòu)要與醫(yī)院溝通,制定工具測(cè)試方法與測(cè)評(píng)指導(dǎo)書(shū),編制測(cè)評(píng)方案。在此階段,主要工作由等級(jí)測(cè)評(píng)機(jī)構(gòu)來(lái)完成。

2.3.3現(xiàn)場(chǎng)測(cè)評(píng)階段。在經(jīng)過(guò)實(shí)施準(zhǔn)備后,測(cè)評(píng)機(jī)構(gòu)要對(duì)上述控制項(xiàng)進(jìn)行逐一測(cè)評(píng),大約需要1至2周,需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開(kāi)展,測(cè)評(píng)工作應(yīng)盡量減少對(duì)業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時(shí)應(yīng)避免業(yè)務(wù)高峰期,可以選擇下班時(shí)間或晚上。為避免對(duì)現(xiàn)有業(yè)務(wù)造成影響,測(cè)評(píng)工具應(yīng)在接人前進(jìn)行測(cè)試,同時(shí)要做好應(yīng)急預(yù)案準(zhǔn)備,一旦影響醫(yī)院業(yè)務(wù),應(yīng)立即啟動(dòng)應(yīng)急預(yù)案、在對(duì)209條控制項(xiàng)進(jìn)行測(cè)評(píng)后應(yīng)進(jìn)行結(jié)果確認(rèn),并將資料歸還醫(yī)院。

該階段是從真實(shí)情況中了解信息系統(tǒng)全面具體的主要工作,也是技術(shù)人員比較辛苦的階段。除了要密切配合測(cè)評(píng),還不能影響醫(yī)院業(yè)務(wù)開(kāi)展,除非必要,不然安全測(cè)試工作必須在夜間進(jìn)行。

2.3.4報(bào)告編制階段。通過(guò)判定測(cè)評(píng)單項(xiàng),測(cè)評(píng)機(jī)構(gòu)對(duì)單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行整理,逐項(xiàng)分析,最終得出整體測(cè)評(píng)報(bào)告。測(cè)評(píng)報(bào)告包含了醫(yī)院信息安全存在的潛在威脅點(diǎn)、整改建議與最終測(cè)評(píng)結(jié)果。對(duì)于公安機(jī)關(guān)來(lái)講,醫(yī)院能否通過(guò)等級(jí)測(cè)評(píng)的主要標(biāo)準(zhǔn)就是測(cè)評(píng)結(jié)果。因此,測(cè)評(píng)報(bào)告的結(jié)果至關(guān)重要。測(cè)評(píng)結(jié)果分為:不符合、部分符合、全部符合。有的測(cè)評(píng)機(jī)構(gòu)根據(jù)單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行打分,最后給出總分,以分值來(lái)判定是否通過(guò)測(cè)評(píng)。為得到理想測(cè)評(píng)結(jié)果,需要醫(yī)院落實(shí)安全整改方案。

2.4安全運(yùn)維。我們必須清醒地認(rèn)識(shí)到,實(shí)施安全等級(jí)保護(hù)是一項(xiàng)長(zhǎng)期工作,它不僅要在信息化建設(shè)規(guī)劃中考慮,還要在日常運(yùn)維管理中重視,是不斷循環(huán)的過(guò)程。按照等級(jí)保護(hù)制度要求,信息系統(tǒng)等級(jí)保護(hù)級(jí)別定為三級(jí)的三甲醫(yī)院每年要自查一次,還要邀請(qǐng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)并進(jìn)行整改,監(jiān)管部門(mén)每年要抽查一次。因此,醫(yī)院要按照PDCA的循環(huán)工作機(jī)制,不斷改進(jìn)安全技術(shù)與管理上,完善安全措施,更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行。―     

    三、結(jié)語(yǔ)