序論:在您撰寫網(wǎng)絡(luò)安全總體規(guī)劃時(shí)�����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�,引導(dǎo)您走向新的創(chuàng)作高度��。
第1篇
為了貫徹國(guó)家對(duì)信息系統(tǒng)安全保障工作的要求以及等級(jí)化保護(hù)堅(jiān)持“積極防御��、綜合防范”的方針�����,需要全面提高信息安全防護(hù)能力�。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計(jì),全面提高信息安全防護(hù)能力���,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保護(hù)國(guó)家利益����,促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。
1安全規(guī)劃的目標(biāo)和思路
貴州廣電網(wǎng)絡(luò)目前運(yùn)營(yíng)并管理著兩張網(wǎng)絡(luò):辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公��,重要的辦公系統(tǒng)為OA系統(tǒng)����、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺(tái)����,其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)�、互動(dòng)點(diǎn)播系統(tǒng)、安全播出系統(tǒng)���、內(nèi)容集成平臺(tái)以及寬帶系統(tǒng)等��。
基于對(duì)貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國(guó)家信息安全等級(jí)保護(hù)制度的認(rèn)識(shí)�����,我們認(rèn)為��,信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分�����,是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障��,它是一個(gè)包含貴州廣電網(wǎng)絡(luò)實(shí)體���、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個(gè)層面��,包括保護(hù)���、檢測(cè)���、響應(yīng)、恢復(fù)四個(gè)方面�,通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。
1.1設(shè)計(jì)目標(biāo)
貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃�,在安全域整改中初見成效,然而�����,安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界��,而且需要明確邊界上的安全策略��,提高對(duì)核心信息資源的保護(hù)意識(shí)��。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱��,管理細(xì)則文件亟需補(bǔ)充�,安全管理人員亟需培訓(xùn)。因此����,本次規(guī)劃重點(diǎn)在于對(duì)安全管理體系以及目前的各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理,針對(duì)業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析���,綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向�,進(jìn)行未來五年的信息安全建設(shè)規(guī)劃����。
1.2設(shè)計(jì)原則
1.2.1合規(guī)性原則
安全設(shè)計(jì)要符合國(guó)家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求��,符合廣電總局對(duì)信息安全系統(tǒng)的等級(jí)保護(hù)技術(shù)與管理要求�����。良好的信息安全保障體系必然是分為不同等級(jí)的��,包括對(duì)信息數(shù)據(jù)保密程度分級(jí)��,對(duì)用戶操作權(quán)限分級(jí)����,對(duì)網(wǎng)絡(luò)安全程度分級(jí)(安全子網(wǎng)和安全區(qū)域),對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)(應(yīng)用層�、網(wǎng)絡(luò)層�、鏈路層等),從而針對(duì)不同級(jí)別的安全對(duì)象�,提供全面、可選的安全技術(shù)和安全體制�����,以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)��、辦公網(wǎng)系統(tǒng)中不同層次的各種實(shí)際安全需求�。
1.2.2技管結(jié)合原則
信息安全保障體系是一個(gè)復(fù)雜的系統(tǒng)工程,涉及人��、技術(shù)�����、操作等要素����,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此��,必須將各種安全技術(shù)與運(yùn)行管理機(jī)制����、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合���。
1.2.3實(shí)用原則
安全是為了保障業(yè)務(wù)的正常運(yùn)行����,不能為了安全而妨礙業(yè)務(wù)��,同時(shí)設(shè)計(jì)的安全措施要可以落地實(shí)現(xiàn)��。
1.3設(shè)計(jì)依據(jù)
1.3.1“原則”符合法規(guī)要求
依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例K國(guó)務(wù)院147號(hào)令)�����、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號(hào))����、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào))、《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》�����、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》�����、《廣播電視安全播出管理規(guī)定》(廣電總局62號(hào)令)、GDJ038-CATV|有線網(wǎng)絡(luò)����。
2011《廣播電視播出相關(guān)信息系統(tǒng)等級(jí)保護(hù)基本要求》,對(duì)貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃��。
1.3.2“策略”符合風(fēng)險(xiǎn)管理
風(fēng)險(xiǎn)管理是基于“資產(chǎn)-價(jià)值-漏洞-風(fēng)險(xiǎn)-保障措施”的思想進(jìn)行保障的���。風(fēng)險(xiǎn)評(píng)估與管理的理論與方法已經(jīng)成為國(guó)際信息安全的標(biāo)準(zhǔn)�����。
風(fēng)險(xiǎn)管理是靜態(tài)的防護(hù)策略��,是在對(duì)方攻擊之前的自我鞏固的過程����。風(fēng)險(xiǎn)分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞�,包括技術(shù)上的、管理上的�����,分析面臨的威脅,從而確定防護(hù)需求����,設(shè)計(jì)防護(hù)的措施�,具體的措施是打補(bǔ)丁,還是調(diào)整管理流程��,或者是增加����、增強(qiáng)某種安全措施,要根據(jù)用戶對(duì)風(fēng)險(xiǎn)的可接受程度���,這樣就可以與安全建設(shè)的成本之間做一個(gè)平衡��。
1.3.3“措施”符合P2DR模型
美國(guó)ISS公司(IntemetSecuritySystem�����,INC)設(shè)計(jì)開發(fā)的P2DR模型包括安全策略(Policy)���、檢測(cè)(Detection)、防護(hù)(Protection)和響應(yīng)(Response)四個(gè)主要部分�����,是一個(gè)可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動(dòng)態(tài)的安全防御系統(tǒng)�����。安全策略是整個(gè)P2DR模型的中樞���,根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)����,以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等���,策略是模型的核心�����,所有的防護(hù)���、檢測(cè)和響應(yīng)都是依據(jù)安全策略實(shí)施的。
檢測(cè)(Detection)�����、防護(hù)(Protection)和響應(yīng)(Response)三個(gè)部分又構(gòu)成一個(gè)變化的、動(dòng)態(tài)的安全防御體系����。P2DR模型是在整體的安全策略的控制和指導(dǎo)下,在綜合運(yùn)用防護(hù)工具(如防火墻�、身份認(rèn)證�����、加密等)的同時(shí)���,利用檢測(cè)工具(如漏洞評(píng)估��、入侵檢測(cè)等)了解和評(píng)估系統(tǒng)的安全狀態(tài)���,通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài),在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]�����。
1.4安全規(guī)劃體系架構(gòu)
在進(jìn)行了規(guī)劃“原則”���、“策略”�����、“措施”探討的基礎(chǔ)上���,我們?cè)O(shè)計(jì)貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個(gè)中心�����、兩種手段”�����。
“一個(gè)中心”�����,以安全管理中心為核心��,構(gòu)建安全計(jì)算環(huán)境���、安全區(qū)域邊界和安全通信網(wǎng)絡(luò),確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行�,不會(huì)進(jìn)入任何非預(yù)期狀態(tài)�,從而防止用戶的非授權(quán)訪問和越權(quán)訪問�����,確保業(yè)務(wù)系統(tǒng)的安全���。
“兩種手段”��,是安全技術(shù)與安全管理兩種手段�,其中安全技術(shù)手段是安全保障的基礎(chǔ)�����,安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵�����,管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來監(jiān)管和驗(yàn)證����,兩者相輔相成�,缺一不可。
2安全保陳方案規(guī)劃
2.1總體設(shè)計(jì)
貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施�,分為五個(gè)方面:
邊界防護(hù)體系:安全域劃分,邊界訪問控制策略的部署,主要是業(yè)務(wù)核心資源的邊界����,運(yùn)維人員的訪問通道。
行為審計(jì)體系:通過身份鑒別�����、授權(quán)管理���、訪問控制��、行為曰志等手段�����,保證用戶行為的合規(guī)性����。
安全監(jiān)控體系:監(jiān)控網(wǎng)絡(luò)中的異常����,維護(hù)業(yè)務(wù)運(yùn)行的安全基線,包括安全事件與設(shè)備故障���,也包括系統(tǒng)漏洞與升級(jí)管理��。
公共安全輔助:作為整個(gè)網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)��,包括身份認(rèn)證系統(tǒng)���、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等���。
IT基礎(chǔ)設(shè)施:提供智能化、彈能力的基礎(chǔ)設(shè)施�,主要的機(jī)房的智能化、服務(wù)器的虛擬化�、存儲(chǔ)的虛擬化等。
2.2安全域劃分
劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域�����,服務(wù)器資源區(qū)�、網(wǎng)絡(luò)連接區(qū)���、用戶接入?yún)^(qū)�、運(yùn)維管理區(qū)��、對(duì)外公共服務(wù)區(qū);其次是在每個(gè)區(qū)域中,按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶���,進(jìn)一步劃分子區(qū)域;最后���,根據(jù)每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng),梳理其用戶到服務(wù)器與數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)訪問路徑���,通過的域邊界或網(wǎng)絡(luò)邊界越少越好�����。
Z3邊界防護(hù)體系規(guī)劃
邊界包括網(wǎng)絡(luò)邊界��、安全域邊界��、用戶接口邊界(終端與服務(wù)器)�、業(yè)務(wù)流邊界�,邊界上部署訪問控制措施,是防止非授權(quán)的“外部”用戶訪問“里面”的資源���,因此分析業(yè)務(wù)的訪問流向����,是訪問控制策略設(shè)計(jì)的依據(jù)。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網(wǎng)絡(luò)邊界:與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn)��,我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測(cè)���,采用防火墻(FW)部署訪問控制策略�,采用入侵防御系統(tǒng)(IPS)部署對(duì)黑客入侵的檢測(cè)�,采用病毒網(wǎng)關(guān)(AV)部署對(duì)病毒、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作�����,與遠(yuǎn)程辦公實(shí)施�����,在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)���,對(duì)遠(yuǎn)程訪問用戶身份鑒別后,分配內(nèi)網(wǎng)地址��,給予限制性的訪問授權(quán)�����。Web服務(wù)的SQL注入、XSS攻擊等�。
3.業(yè)務(wù)流邊界:安全需求等級(jí)相同的業(yè)務(wù)應(yīng)用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離����,防止二層廣播,通知可以在發(fā)現(xiàn)安全事件時(shí)��,開啟不同子域的安全隔離��。
4.終端邊界:重點(diǎn)業(yè)務(wù)系統(tǒng)的終端�,如運(yùn)維終端,采用終端安全系統(tǒng)�,保證終端上系統(tǒng)的安全,如補(bǔ)丁的管理����、黑名單軟件管理、非法外聯(lián)管理����、移動(dòng)介質(zhì)管理等等。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的�,部署安全策略重點(diǎn)有兩個(gè)方面:一是有針對(duì)性。允許什么�����,不允許什么,是明確的;二是動(dòng)態(tài)性�����。就是策略的定期變化�,如訪問者的口令、允許遠(yuǎn)程訪問的端口等��,變化的周期越短�����,給入侵者留下的攻擊窗口越小�����。
2.4行為審計(jì)體系規(guī)劃
行為審計(jì)是指對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄�����,直接的好處是可以為事后安全事件取證提供直接證據(jù)���,間接的好處乇兩方面:對(duì)業(yè)務(wù)操作的日志記錄���,可以在曰后發(fā)現(xiàn)操作錯(cuò)誤、確定破壞行為恢復(fù)時(shí)提供操作過程的反向操作�,最大程度地減小損失;對(duì)系統(tǒng)操作的日志記錄,可以分析攻擊者的行為軌跡��,從而判斷安全防御系統(tǒng)的漏洞所在��,亡羊補(bǔ)牢�����,可以彌補(bǔ)入侵者下次入侵的危害���。
行為審計(jì)主要措施包括:一次性口令����、運(yùn)維審計(jì)(堡壘機(jī))���、曰志審計(jì)以及網(wǎng)絡(luò)行為審計(jì)�����。
2.5安全監(jiān)控體系規(guī)劃
監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢(shì)展示平臺(tái)���,也是安全事件應(yīng)急處理的指揮平臺(tái)����。為了管理工作上的方便��,在安全監(jiān)控體系上做到幾方面的統(tǒng)一:
1.運(yùn)維與安全管理的統(tǒng)一:業(yè)務(wù)運(yùn)維與安全同平臺(tái)管理���,提高安全事件的應(yīng)急處理速度��。
2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一:隨時(shí)了解網(wǎng)絡(luò)上的設(shè)備����、系統(tǒng)����、流量、業(yè)務(wù)等狀態(tài)變化����,不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺(tái),而且作為安全事件應(yīng)急指揮的調(diào)度平臺(tái)��,隨時(shí)了解安全事件波及的范圍、影響的業(yè)務(wù)����,同時(shí)確定安全措施執(zhí)行的效果�����。
3.管理與考核的統(tǒng)一:安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位�����,在安全事件的定位��、跟蹤�、處理過程中,就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量���。因此對(duì)安全運(yùn)維平臺(tái)的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)���。
安全監(jiān)控措施主要包括安全態(tài)勢(shì)監(jiān)控以及安全管理平臺(tái),2.6公共安全輔助系統(tǒng)
作為整個(gè)網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)���,需要建設(shè)公共安全輔助系統(tǒng):
1.身份認(rèn)證系統(tǒng):獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外���,為業(yè)務(wù)��、運(yùn)維提供身份認(rèn)證服務(wù)��。
2.補(bǔ)丁管理系統(tǒng):對(duì)所有系統(tǒng)����、應(yīng)用的補(bǔ)丁進(jìn)行管理�,對(duì)于通過測(cè)試的補(bǔ)丁、重要的補(bǔ)丁�����,提供主動(dòng)推送����,或強(qiáng)制執(zhí)行的技術(shù)手段,保證網(wǎng)絡(luò)安全基線����。
3.漏洞掃描系統(tǒng):對(duì)于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)���、數(shù)據(jù)庫(kù)����、業(yè)務(wù)系統(tǒng)等的漏洞要及時(shí)了解,對(duì)于不能打補(bǔ)丁的系統(tǒng)�����,要確認(rèn)有其他安全策略進(jìn)行防護(hù)�����。漏洞掃描分為兩個(gè)方面����,一是系統(tǒng)本身的漏洞���,二是安全域邊界部署了安全措施之后����,實(shí)際用戶所能訪問到的漏洞(滲透性測(cè)試服務(wù))���。
2.7IT基礎(chǔ)設(shè)施規(guī)劃
IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)���,具備一個(gè)優(yōu)秀的基礎(chǔ)架構(gòu)�,不僅可以快速�、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行,而且可以極大地提高基礎(chǔ)IT資源的利用率���,節(jié)省資金投入�,達(dá)到環(huán)保的要求�����。
IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個(gè)方面:智能機(jī)房����、服務(wù)器虛擬化、存儲(chǔ)虛擬化����。
3安全筐理體系規(guī)劃
在系統(tǒng)安全的各項(xiàng)建設(shè)內(nèi)容中,安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)���,建立一套科學(xué)的���、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證�����。
3_1安全管理標(biāo)準(zhǔn)依據(jù)
以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中二級(jí)、三級(jí)安全防護(hù)能力為標(biāo)準(zhǔn)�,對(duì)貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計(jì)。
3.2安全管理體系的建設(shè)目標(biāo)
通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)�,最終要實(shí)現(xiàn)的目標(biāo)是:采取集中控制模式,建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實(shí)施與保持����,實(shí)現(xiàn)動(dòng)態(tài)的、系統(tǒng)的��、全員參與的��、制度化的��、以預(yù)防為主的安全管理模式�����,從而在管理上確保全方位��、多層次��、快速有效的網(wǎng)絡(luò)安全防護(hù)�����。
3.3安全管理建設(shè)指導(dǎo)思想
各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議�����,要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系���,在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo):“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)����、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)�����,信息安全管理是信息安全的關(guān)鍵�����,人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則�����,信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段?�!?/p>
3.4安全管理體系的建設(shè)具體內(nèi)容
GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(以下簡(jiǎn)稱《基本要求》)對(duì)信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求���。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn)�����,結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀��,對(duì)廣電系統(tǒng)的管理機(jī)構(gòu)����、管理制度�、人員管理、技術(shù)手段四個(gè)方面進(jìn)行建設(shè)和加強(qiáng)��。同時(shí)���,由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程,所以�,貴州廣電網(wǎng)絡(luò)還必須對(duì)信息安全管理措施不斷的加以校驗(yàn)和調(diào)整,以使管理體系始終適應(yīng)和滿足實(shí)際情況的需要����,使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效����、經(jīng)濟(jì)�����、合理的保護(hù)�����。
貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)����、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面���。
通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)�,設(shè)置安全管理人員���,規(guī)劃安全策略���、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施,制定嚴(yán)格的安全管理制度����,合理地協(xié)調(diào)法律、技術(shù)和管理三種因素����,實(shí)現(xiàn)對(duì)系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化�����、法制化和規(guī)范化����,達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。
3.5曰常安全運(yùn)維3.5.1安全風(fēng)險(xiǎn)評(píng)估
安全風(fēng)險(xiǎn)評(píng)估是建立主動(dòng)防御安全體系的重要和關(guān)鍵環(huán)節(jié)��,這環(huán)的工作做好了可以減少大量的安全威脅�����,提升整個(gè)信息系統(tǒng)的對(duì)網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)����,是組織平衡安全風(fēng)險(xiǎn)和安全投入的依據(jù),也是信息安全管理體系測(cè)量業(yè)績(jī)�����、發(fā)現(xiàn)改進(jìn)機(jī)會(huì)的最重要途徑�。
3.5.2網(wǎng)絡(luò)管理與安全管理
網(wǎng)絡(luò)管理與安全管理的主要措施包括:出入控制、場(chǎng)地與設(shè)施安全管理����、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控���、安全事件監(jiān)控與分析�����、提出預(yù)防措施���。
3.5.3備份與容災(zāi)管理
貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾洹?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施��。
3.5.4應(yīng)急響應(yīng)計(jì)劃
通過建立應(yīng)急相應(yīng)機(jī)構(gòu)����,制定應(yīng)急響應(yīng)預(yù)案�,通過建立專家資源庫(kù)�、廠商資源庫(kù)等人力資源措施,通過對(duì)應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練�,可以在發(fā)生緊急事件時(shí),做到規(guī)范化操作��,更快的恢復(fù)應(yīng)用和數(shù)據(jù)�,并最大可能的減少損失
3.6安全人員管理
信息系統(tǒng)的運(yùn)行是依靠在各級(jí)黨政機(jī)構(gòu)工作的人員來具體實(shí)施的,他們既是信息系統(tǒng)安全的主體�,也是系統(tǒng)安全管理的對(duì)象。所以���,要確保信息系統(tǒng)的安全���,首先應(yīng)加強(qiáng)人事安全管理。
安全人員應(yīng)包括:系統(tǒng)安全管理員����、系統(tǒng)管理員、辦公自動(dòng)化操作人員����、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員��。
其中系統(tǒng)管理員����、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理
主要措施包括:軟件管理�、設(shè)備管理、備份管理以及技術(shù)文檔管理����。
4安全規(guī)劃分期建設(shè)路線
信息安全保障重要的是過程,而不一定是結(jié)果���,重要的是安全意識(shí)的提高����,而不一定是安全措施的多少����。因此,信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營(yíng)為目標(biāo)���,提高用戶自身的安全意識(shí)為思路���,根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步���、分階段建設(shè),同時(shí)還要符合國(guó)家與廣電總局關(guān)于等級(jí)保護(hù)的技術(shù)與管理要求����。
4.1主要的工作內(nèi)容
根據(jù)安全保障方案規(guī)劃的設(shè)計(jì),貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個(gè)方面的內(nèi)容:
1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分����,網(wǎng)絡(luò)結(jié)構(gòu)的改造。
2.安全措施部署:邊界隔離措施部署���,行為審計(jì)系統(tǒng)部署�����、安全監(jiān)控體系部署����。
3.基礎(chǔ)設(shè)施改造:主要是數(shù)據(jù)大集中�����、服務(wù)器虛擬化���、存儲(chǔ)虛擬化�����。
4.安全運(yùn)維管理:信息安全管理規(guī)范����、日常安全運(yùn)維考核�、安全檢查與審計(jì)流程、安全應(yīng)急演練��、曰常安全服務(wù)等�。
4.2分期建設(shè)規(guī)劃
4_2.1達(dá)標(biāo)階段(2015-2017)
1.等保建設(shè)
2.信任體系:網(wǎng)絡(luò)審計(jì)、運(yùn)維審計(jì)�、日志審計(jì)
3.身份鑒別(一次口令)
4.監(jiān)控平臺(tái):入侵檢測(cè)、流量監(jiān)測(cè)�、木馬監(jiān)測(cè)
5.安全管理平臺(tái)建設(shè)
6.等保測(cè)評(píng)通過(2級(jí)3級(jí)系統(tǒng))
7.安全服務(wù):建立定期模式
8.滲透性測(cè)試服務(wù)(外部+內(nèi)部)
9.安全加固服務(wù),建立服務(wù)器安全底線
10.信息安全管理
11.落實(shí)安全管理細(xì)則文件制定
12.落實(shí)安全運(yùn)維與應(yīng)急處理流程
13.完善IT服務(wù)流程�����,建設(shè)安全運(yùn)維管理平臺(tái)
14.定期安全演練與培訓(xùn)
4.2.2持續(xù)改進(jìn)階段(2018?2019)
1.等保建設(shè)
2.完善信息安全防護(hù)體系
3.提升整體防護(hù)能力
4.深度安全服務(wù)
5.有針對(duì)性安全演練���,協(xié)調(diào)改進(jìn)管理與技術(shù)措施
6.源代碼安全審計(jì)服務(wù)(新上線業(yè)務(wù))
7.信息安全管理
8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度�,提高應(yīng)急反應(yīng)能力
9.提高運(yùn)維效率,開拓運(yùn)維增值模式
5結(jié)東語(yǔ)
第2篇
去年5月9日����,國(guó)務(wù)院就信息化和信息安全工作召開常務(wù)會(huì)議,會(huì)議審議通過了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》 (國(guó)發(fā)23號(hào))��。這意味著在信息安全的頂層設(shè)計(jì)中更強(qiáng)調(diào)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施���、重要信息系統(tǒng)�、政府信息系統(tǒng)以及對(duì)個(gè)人信息�����、企業(yè)信息����,乃至信息資源的保護(hù)。與《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息處理安全保障工作的意見》(國(guó)發(fā)27號(hào))文件相比�����,23號(hào)文件注入了新的政策設(shè)置����,強(qiáng)調(diào)加強(qiáng)信息安全工作的頂層設(shè)計(jì)���,并克服了這種誰(shuí)主管、誰(shuí)負(fù)責(zé)的局限性���。
隨著今年國(guó)家級(jí)信息安全政策又密集出臺(tái)——8月����,《國(guó)務(wù)院關(guān)于促進(jìn)信息消費(fèi)擴(kuò)大內(nèi)需的若干意見》��,隨后����,國(guó)家發(fā)改委在網(wǎng)站又公布了《國(guó)家發(fā)展改革委辦公廳關(guān)于組織實(shí)施2013年國(guó)家信息安全專項(xiàng)有關(guān)事項(xiàng)的》通知�,明確行業(yè)重點(diǎn),信息安全頂層設(shè)計(jì)再度成為熱議話題���,
那么����,久為業(yè)界討論的信息安全頂層設(shè)計(jì)究竟究竟該如何成型��?為此,本刊采訪了部分業(yè)內(nèi)專家���,以饗讀者����。
——國(guó)防大學(xué)戰(zhàn)略教研部 許蔓舒
隨著對(duì)網(wǎng)絡(luò)依賴度越來越高����,網(wǎng)絡(luò)空間安全問題超越了專業(yè)技術(shù)層面,構(gòu)成直接影響國(guó)家安全的綜合挑戰(zhàn)�。因此,我國(guó)網(wǎng)絡(luò)安全防護(hù)也迫切需要走出技術(shù)維護(hù)和配合的低層次運(yùn)行水平�,上升到統(tǒng)一籌劃、綜合防護(hù)的戰(zhàn)略高度�����。
首先���,應(yīng)加快制定和頒布國(guó)家的網(wǎng)絡(luò)與信息安全戰(zhàn)略�。趨勢(shì)表明���,爭(zhēng)奪未來的焦點(diǎn)是戰(zhàn)略規(guī)劃之爭(zhēng)����。誰(shuí)能先知先覺、搶得先機(jī)���,誰(shuí)就有可能掌握戰(zhàn)略主動(dòng)權(quán)����。目前世界上已有40多個(gè)國(guó)家公開頒布國(guó)家級(jí)網(wǎng)絡(luò)空間安全戰(zhàn)略����,并且隨著形勢(shì)的變化不斷出臺(tái)和調(diào)整相關(guān)政策。應(yīng)加快制定相關(guān)的國(guó)家安全戰(zhàn)略及其配套政策���。
同時(shí),把戰(zhàn)略管理的著力點(diǎn)放在“跨域融合”上����。立足于國(guó)家安全和現(xiàn)代化建設(shè)的全局,平衡好利益沖突�����,融合好利益訴求����,研究解決好信息化發(fā)展和管理中那些跨部門�、跨領(lǐng)域�����、超越局部利益和短期利益的瓶頸問題����。
其次,在提高自身信息系統(tǒng)防御水平方面����,多采取四條措施:成立國(guó)家級(jí)的協(xié)調(diào)管理機(jī)構(gòu);加大投入�;加強(qiáng)立法,授權(quán)和擴(kuò)大執(zhí)法部門的監(jiān)管��;不斷更新技術(shù)手段�����。
——國(guó)家信息化專家咨詢委員會(huì)委員 曲成義
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全策略;安全技術(shù);軍隊(duì)校園網(wǎng)
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-7800(2012)005-0130-02
1 軍校網(wǎng)絡(luò)安全概述
軍隊(duì)院校的校園網(wǎng)絡(luò)有著軍隊(duì)網(wǎng)絡(luò)和校園網(wǎng)絡(luò)的雙重特點(diǎn)����。從保密要求來看�����,軍校的網(wǎng)絡(luò)中承載著許多的信息����;從網(wǎng)絡(luò)應(yīng)用的角度來看���,軍校的網(wǎng)絡(luò)又跟普通的校園網(wǎng)一樣��,需要開放����、便利的網(wǎng)絡(luò)服務(wù)����。軍隊(duì)院校下屬部門較多,校園網(wǎng)絡(luò)作為軍隊(duì)院校重要的基礎(chǔ)設(shè)施�����,擔(dān)當(dāng)著學(xué)校教學(xué)�、科研�����、管理和對(duì)外交流等許多角色。
1.1 軍校網(wǎng)絡(luò)的功能與特點(diǎn)
軍校網(wǎng)絡(luò)具有教學(xué)��、管理以及其它一些網(wǎng)絡(luò)應(yīng)用等功能�,從功能架構(gòu)上來分,大致分為對(duì)內(nèi)�����、對(duì)外和信息中心3部分�����。對(duì)內(nèi)部分主要是指校園Intranet���,主要包括院校機(jī)關(guān)�����、教員辦公樓��、多媒體教室����、機(jī)房、電子圖書館和各專修室的內(nèi)部網(wǎng)絡(luò)連接�,它主要服務(wù)于院校的教學(xué)和管理;對(duì)外部分包括與軍事信息綜合網(wǎng)和其它兄弟院校及單位的連接��,提供信息共享服務(wù)等����;而網(wǎng)管中心則是這兩部分的橋梁和核心,擔(dān)負(fù)著整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的管理和安全工作����。
軍校網(wǎng)絡(luò)是一種特殊的網(wǎng)絡(luò),除了具有基本廣域網(wǎng)應(yīng)有的功能與特點(diǎn)外�����,還具有網(wǎng)絡(luò)規(guī)模巨大�、計(jì)算機(jī)系統(tǒng)管理比較復(fù)雜、用戶群體比較活躍等特點(diǎn)����。
1.2 軍校網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
從網(wǎng)絡(luò)部件的安全風(fēng)險(xiǎn)因素分析,網(wǎng)絡(luò)系統(tǒng)的易欺騙性和易被監(jiān)控性�����,加上薄弱的認(rèn)證環(huán)節(jié)以及局域網(wǎng)服務(wù)的缺陷和系統(tǒng)主機(jī)的復(fù)雜設(shè)置與控制���,使得計(jì)算機(jī)網(wǎng)絡(luò)容易遭受威脅和攻擊�;網(wǎng)絡(luò)端口����、傳輸線路和處理機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽而造成電磁泄露。
從網(wǎng)絡(luò)軟件的安全威脅因素來看��,網(wǎng)絡(luò)軟件的漏洞及缺陷容易被利用�����,從而對(duì)網(wǎng)絡(luò)進(jìn)行入侵和損壞��;計(jì)算機(jī)病毒不斷侵入網(wǎng)絡(luò)并繁殖�。
大多數(shù)軍校網(wǎng)管還是采用單一、被動(dòng)��、缺乏主動(dòng)性���、靈活性的安全策略�,根本無法適應(yīng)現(xiàn)行的網(wǎng)絡(luò)規(guī)范����。
此外網(wǎng)絡(luò)管理方面��,責(zé)權(quán)不明��,安全管理制度不健全及缺乏可操作性等因素都可能引起網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)�����。
1.3 軍校網(wǎng)絡(luò)安全的設(shè)計(jì)目標(biāo)和原則
對(duì)軍校網(wǎng)絡(luò)�,網(wǎng)絡(luò)信息安全的主要目標(biāo)應(yīng)表現(xiàn)為系統(tǒng)的保密性�、完整性、真實(shí)性��、可靠性�、可用性、不可抵賴性6個(gè)方面�����。具體來講就是確保信息經(jīng)網(wǎng)絡(luò)傳輸?shù)侥康挠?jì)算機(jī)時(shí)沒有任何改變或丟失�����,使信息的機(jī)密性、完整性及可使用性得到保護(hù)�;設(shè)備要具有最大的可靠性,網(wǎng)絡(luò)具有監(jiān)控���、分析和自動(dòng)響應(yīng)等功能,同時(shí)網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)指數(shù)都要正常�����。根據(jù)上述目標(biāo)����,我們制定以下設(shè)計(jì)原則:
(1)先進(jìn)性與現(xiàn)實(shí)性。技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù)的高效率�����。
(2)系統(tǒng)與軟件的可靠性����。對(duì)可靠性的考慮,可以充分減少或消除因意外或事故造成的損失��。 (3)系統(tǒng)安全性與保密性����。要從內(nèi)部訪問控制和外部防火墻兩方面保證校園網(wǎng)系統(tǒng)的安全���。
(4)易管理與維護(hù)。要盡量使用圖形化的管理界面和簡(jiǎn)潔的操作方式��,提供強(qiáng)大的網(wǎng)絡(luò)管理功能���。
(5)易擴(kuò)充性�����。校園網(wǎng)的建設(shè)要方便擴(kuò)充和升級(jí)��。
2 軍校網(wǎng)絡(luò)安全防護(hù)策略及關(guān)鍵技術(shù)
2.1 網(wǎng)絡(luò)安全防護(hù)策略
網(wǎng)絡(luò)安全策略是軍隊(duì)院校在網(wǎng)絡(luò)安全工作中的法律�。網(wǎng)絡(luò)安全工作要有法可依����,它使網(wǎng)絡(luò)建設(shè)和管理過程中的安全工作避免盲目性。在網(wǎng)絡(luò)安全的實(shí)施中�����,還應(yīng)該先對(duì)網(wǎng)絡(luò)安全管理有個(gè)清晰的概念�,然后制定翔實(shí)的安全策略�。
概括起來��,網(wǎng)絡(luò)安全策略包括:環(huán)境安全策略��、信息加密策略����、網(wǎng)絡(luò)防病毒策略��、系統(tǒng)備份與災(zāi)難恢復(fù)���、網(wǎng)絡(luò)安全管理策略等�����。
2.2 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)
網(wǎng)絡(luò)安全關(guān)鍵技術(shù)包括很多�����,如防火墻(Firewall)技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一��;網(wǎng)絡(luò)加密技術(shù)是一種常用網(wǎng)絡(luò)安全手段���;入侵檢測(cè)技術(shù)是繼“防火墻”�����、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)����;計(jì)算機(jī)病毒防護(hù)技術(shù)是網(wǎng)絡(luò)安全的一個(gè)重要領(lǐng)域���;身份認(rèn)證技術(shù)是保證網(wǎng)絡(luò)安全的重要技術(shù)手段�,其主要功能是在通信過程中保證通信雙方的身份始終都是可信賴的���;VPN技術(shù)是在公共網(wǎng)絡(luò)上建立安全專用隧道的技術(shù)����,等等����。
3 軍校網(wǎng)絡(luò)安全體系的應(yīng)用
3.1 軍校網(wǎng)絡(luò)安全需求
軍隊(duì)院校網(wǎng)絡(luò)內(nèi)部要保護(hù)網(wǎng)絡(luò)設(shè)備的正常運(yùn)行,維護(hù)主要業(yè)務(wù)系統(tǒng)的安全�,是校園網(wǎng)絡(luò)的基本安全需求。根據(jù)軍隊(duì)院校網(wǎng)絡(luò)的現(xiàn)狀���,目前具體的網(wǎng)絡(luò)需求包括有:
(1)建立一個(gè)以光纖為主干�、覆蓋全校的寬帶網(wǎng),主干1000M�����,100M至桌面���。需要考慮網(wǎng)絡(luò)運(yùn)行的高效����、可靠、安全以及智能化管理的方便。
(2)實(shí)現(xiàn)校園Intranet同軍事綜合信息網(wǎng)的互聯(lián)互通�,校內(nèi)可以方便快捷地訪問軍內(nèi)外信息,以滿足查詢�����、通訊���、資源共享�、遠(yuǎn)程教學(xué)等需要�;建立學(xué)院自主的服務(wù)器組群。
(3)建立網(wǎng)絡(luò)教學(xué)系統(tǒng)����,提供教員電子備課��、課件制作�����、多媒體演示����、學(xué)生多媒體交互學(xué)習(xí)�、網(wǎng)絡(luò)考試、自動(dòng)教學(xué)評(píng)估等功能��。
(4)建立基于網(wǎng)絡(luò)的教育管理及自動(dòng)化辦公系統(tǒng)����,包括行政、教學(xué)教務(wù)����、科研、后勤�����、財(cái)務(wù)等系統(tǒng),以滿足學(xué)院管理現(xiàn)代化的需要��。
3.2 網(wǎng)絡(luò)安全總體設(shè)計(jì)
校園網(wǎng)絡(luò)總體規(guī)劃建設(shè)是一項(xiàng)龐大的技術(shù)性很強(qiáng)的綜合工程�����,一般需要經(jīng)過網(wǎng)絡(luò)調(diào)研����、系統(tǒng)設(shè)計(jì)、可行性分析��、設(shè)備選型���、工程招標(biāo)、硬件施工���、軟件環(huán)境的建立����、人員培訓(xùn)�、聯(lián)調(diào)測(cè)試和系統(tǒng)驗(yàn)收等9個(gè)階段。要有安全維護(hù)運(yùn)行體系框架設(shè)計(jì)���,安全運(yùn)行與維護(hù)體系的重點(diǎn)是保障信息系統(tǒng)的運(yùn)行安全��。
3.3 網(wǎng)絡(luò)安全部署方案
(1)防火墻技術(shù)采用安全性最好的被屏蔽子網(wǎng)結(jié)構(gòu).外部路由器起到保護(hù)周邊網(wǎng)的作用���。在網(wǎng)絡(luò)中����,選擇實(shí)施DMZ區(qū)域設(shè)計(jì)方案來保護(hù)校園網(wǎng)絡(luò)�。
(2)在校園網(wǎng)與外部網(wǎng)絡(luò)之間設(shè)置Cisco入侵測(cè)系統(tǒng)(IDSM-2),它與防火墻并行接入網(wǎng)絡(luò)中�,監(jiān)測(cè)來自網(wǎng)絡(luò)的攻擊行為。當(dāng)有入侵行為時(shí)���,主動(dòng)通知防火墻阻斷攻擊源��;此外還可部署基于網(wǎng)絡(luò)的Symantec Client Security�,從而幫助網(wǎng)絡(luò)管理員更好地完成網(wǎng)絡(luò)防病毒工作����;在校園網(wǎng)絡(luò)中,還應(yīng)部署身份認(rèn)證系統(tǒng)��,通過安全管理平臺(tái),網(wǎng)絡(luò)管理員可以為網(wǎng)絡(luò)中的主機(jī)設(shè)備定義一個(gè)統(tǒng)一的網(wǎng)絡(luò)安全接入標(biāo)準(zhǔn),只有滿足這個(gè)接入標(biāo)準(zhǔn)的主機(jī)才能接入并使用網(wǎng)絡(luò)���。使用IPRMS(IP資源管理系統(tǒng))來進(jìn)行IP地址綁定�;在數(shù)據(jù)備份及恢復(fù)系統(tǒng)中�����,采用NEO 2000磁帶庫(kù)����,同時(shí)連接至多個(gè)不同的服務(wù)器,分別運(yùn)行不同操作系統(tǒng)和磁帶應(yīng)用�����,對(duì)所有服務(wù)器數(shù)據(jù)進(jìn)行備份�����。
(3)通過一些安全配置���,使服務(wù)器的安全性得到進(jìn)一步提高。
當(dāng)然��,還有其它安全防范措施����,如:過濾不良網(wǎng)絡(luò)信息�����、拒絕垃圾郵件等���。
4 結(jié)束語(yǔ)
軍校網(wǎng)絡(luò)完全遵循安全體系的設(shè)計(jì)目標(biāo)及原則,并實(shí)施上述網(wǎng)絡(luò)安全部署方案����,綜合運(yùn)用各種安全措施后,確實(shí)能提高軍校網(wǎng)絡(luò)的安全性��,使校園網(wǎng)絡(luò)具高可靠性��、開放性��、兼容性及可擴(kuò)展性等特性���。從實(shí)際運(yùn)行情況來看�,效果良好�。
參考文獻(xiàn):
\[1\] 龔靜.高校校園網(wǎng)絡(luò)的安全與防護(hù)研究\[J\].教育信息化,2005(10).
第4篇
關(guān)鍵詞:分布式;信息安全�;規(guī)劃;方案
中圖分類號(hào):TP309.2文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息�����,市場(chǎng)研究機(jī)構(gòu)Gartner 研究報(bào)告稱����,很對(duì)企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長(zhǎng)����,但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主,因此他們對(duì)安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對(duì)較低的水平�。尤其對(duì)于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言,因?yàn)樾畔踩枨蠛筒渴鹣鄬?duì)更加復(fù)雜��,投入更多�����,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏����。
本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。
2 總體規(guī)劃原則和目標(biāo)
2.1 總體規(guī)劃原則
對(duì)于分布式企業(yè)的信息安全規(guī)劃�,要遵守如下原則:適度集中,控制風(fēng)險(xiǎn)���;突出重點(diǎn)���,分級(jí)保護(hù);統(tǒng)籌安排���,分步實(shí)施����;分級(jí)管理����,責(zé)任到崗;資源優(yōu)化�,注重效益。
這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況���、人員素質(zhì)情況以及資源配置情況來制定的�。
2.2 總體規(guī)劃目標(biāo)
信息系統(tǒng)安全規(guī)劃的方法可以不同��、側(cè)重點(diǎn)可以不同,但是需要圍繞組織安全�、管理安全、技術(shù)安全進(jìn)行全面的考慮��。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上����,下面將分別對(duì)組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述���。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃��,對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用�。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的��,而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確�����、更貼近安全�。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標(biāo)
組織建設(shè)是信息安全建設(shè)的基本保證��,信息安全組織的目標(biāo)是:
1)完善和形成一個(gè)獨(dú)立的����、完整的�����、動(dòng)態(tài)的、開放的信息安全組織架構(gòu)���,達(dá)到國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求�;
2)打造一支具有專業(yè)水準(zhǔn)的���、過硬本領(lǐng)的信息安全隊(duì)伍��。對(duì)內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全���,對(duì)外可以向社會(huì)提供高品質(zhì)的安全服務(wù);
3)建設(shè)一個(gè) “信息安全運(yùn)維中心(SOC)”����,能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng),能夠?qū)ν馓峁┌踩?wù)平臺(tái)�。
3.2 組織規(guī)劃實(shí)施
對(duì)于組織規(guī)劃這個(gè)方面,是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑���,需要用一種由上而下的方法來實(shí)現(xiàn)�,其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作�。對(duì)于分布式企業(yè)而言,需要主導(dǎo)部門從上層著手����,建章立制,強(qiáng)化安全教育��,加大基礎(chǔ)人力��、財(cái)力和物力的投入���。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標(biāo)
信息安全管理規(guī)劃的目標(biāo)是��,完善和形成“七套信息安全軟措施”����,具體包括:一套等級(jí)劃分指標(biāo)�����,一套信息安全策略���,一套信息安全制度��,一套信息安全流程規(guī)范�����,一套信息安全教育培訓(xùn)體系����,一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制����,一套信息安全績(jī)效考核指標(biāo)?���!捌咛仔畔踩洿胧标P(guān)系如圖1所示。
4.2 信息安全管理設(shè)計(jì)
基于對(duì)管理目標(biāo)的分析�����,信息安全管理的原則以風(fēng)險(xiǎn)管理為主��,集中安全控制��。管理要素由管理對(duì)象、安全威脅����、脆弱性、風(fēng)險(xiǎn)���、保護(hù)措施組成�����。
4.2.1 信息安全等級(jí)劃分指標(biāo)
信息安全等級(jí)保護(hù)是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中�,提高信息安全保障能力和水平���,維護(hù)國(guó)家安全���、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化健康發(fā)展的基本策略����。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護(hù)對(duì)象說明、保護(hù)必要性描述�、保護(hù)責(zé)任人、保護(hù)對(duì)策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則�。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求,在信息安全規(guī)范方面�����,根據(jù)調(diào)查���,建立信息安全管理規(guī)范����、信息安全技術(shù)規(guī)范�����。其中�����,安全管理規(guī)范主要針對(duì)人員�、團(tuán)隊(duì)���、制度和資源管理提供參照性準(zhǔn)則���;信息安全技術(shù)規(guī)范主要針對(duì)安全設(shè)計(jì)����、施工����、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應(yīng)遵循的信息安全程序���,其目的是減少安全隱患�,降低風(fēng)險(xiǎn)�。
4.2.6 信息安全績(jī)效考核指標(biāo)
信息安全績(jī)效考核指標(biāo)是指針對(duì)信息安全工作的質(zhì)量和態(tài)度而給出的評(píng)價(jià)依據(jù),其目的是增強(qiáng)信息安全責(zé)任意識(shí)�����,提高信息安全工作質(zhì)量���。
4.2.7 信息安全監(jiān)管機(jī)制
信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識(shí)別�、分析和控制的措施總和�����。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制,做到“安全第一�����,預(yù)防為主”�����。
4.2.8 信息安全教育培訓(xùn)體系
其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè)��,提高企業(yè)人員的信息安全意識(shí)和技能�����,增強(qiáng)企業(yè)信息安全能力��。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標(biāo)
信息安全技術(shù)規(guī)劃目標(biāo)簡(jiǎn)言之是:給業(yè)務(wù)運(yùn)營(yíng)提供信息安全環(huán)境����,為企業(yè)轉(zhuǎn)型提供契機(jī)�,構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下:
1)打造信息安全基礎(chǔ)環(huán)境�,調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施,建立安全專網(wǎng)��,設(shè)置兩個(gè)中心(信息安全運(yùn)維中心、災(zāi)備中心)�;
2)建立一體化信息安全平臺(tái),綜合集成安全決策調(diào)度���、安全巡檢����、認(rèn)證授權(quán)�、安全防護(hù)、安全監(jiān)控����、安全審計(jì)、應(yīng)急響應(yīng)����、安全服務(wù)、安全測(cè)試��、安全培訓(xùn)等功能�����,實(shí)現(xiàn)的集中安全管理控制�,快速安全事件響應(yīng)��,高可信的安全防護(hù)�,拓展企業(yè)業(yè)務(wù)��,開辟信息安全服務(wù)新領(lǐng)域�����。
5.2 信息安全運(yùn)維中心(SOC)
SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作���,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施���,提供信息安全中心技術(shù)人員的辦公場(chǎng)所,提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控�、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)�、安全更新與升級(jí)等業(yè)務(wù),SOC 要求具有充分保障自身的安全措施�。除了SOC 的組織建設(shè)、基礎(chǔ)工程外��,SOC 的技術(shù)性工作還要做以下幾個(gè)方面:
1)硬件基礎(chǔ)建設(shè)��,主要內(nèi)容是SOC 的選址�����、布局�����、布線���、系統(tǒng)集成��,實(shí)現(xiàn)SOC 自身的防火�����、防潮��、防電����、防塵��、安全監(jiān)控功能�����;
2)軟件基礎(chǔ)建設(shè),包括SSS 系統(tǒng)�、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分����。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)、組織�����、管理和安全措施的關(guān)系
5.3 信息安全綜合測(cè)試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深�����,需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)�����,為了保障安全���,必須對(duì)這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查�����,消除安全隱患����?�;诖?���,綜合測(cè)試環(huán)境建設(shè)的內(nèi)容包括:安全測(cè)試網(wǎng)絡(luò);測(cè)試系統(tǒng)設(shè)備��;安全測(cè)試工具����;安全測(cè)試分析系統(tǒng);安全測(cè)試知識(shí)庫(kù)�����。
其中��,安全測(cè)試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬����;測(cè)試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬��;安全測(cè)試工具覆蓋防范類、檢測(cè)類�、評(píng)估類、應(yīng)急恢復(fù)類�����、管理類等���,并提供使用說明��、漏洞掃描�、應(yīng)用安全分析����;安全測(cè)試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能����;安全知識(shí)庫(kù)包含以下內(nèi)容:漏洞知識(shí)庫(kù),補(bǔ)丁信息庫(kù)�,安全標(biāo)準(zhǔn)知識(shí)庫(kù),威脅場(chǎng)景視頻庫(kù)�,攻擊特征知識(shí)庫(kù),信息安全解決案例庫(kù),安全產(chǎn)品知識(shí)庫(kù)��,安全概念和術(shù)語(yǔ)知識(shí)庫(kù)�。
5.4 安全平臺(tái)建設(shè)規(guī)劃
參照國(guó)際上PDRR 模型和國(guó)家信息安全方面規(guī)范,建議信息安全總體框架設(shè)計(jì)如圖2所示����。
主要目的���,以資產(chǎn)為核心�����,通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù)�,以安全管理來約束組織的行為����,以技術(shù)手段輔助安全管理。其中���,資產(chǎn)�����、組織���、管理���、安全措施的關(guān)系如圖3所示,核心為資產(chǎn)����,圍繞資產(chǎn)是組織,組織是管理����,最外層是安全措施。
在平臺(tái)中集成十個(gè)安全機(jī)制�,它們分別是:信息安全集中管理;信息安全巡檢����;信息安全認(rèn)證授權(quán);信息安全防護(hù)����;信息安全監(jiān)控;信息安全測(cè)試����;信息安全審核���;信息安全應(yīng)急響應(yīng);信息安全教育培訓(xùn)���;信息安全服務(wù)�����。
6 信息安全服務(wù)業(yè)務(wù)規(guī)劃
6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)
信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡(jiǎn)言之是:以信息安全服務(wù)為切入點(diǎn),充分發(fā)揮企業(yè)優(yōu)勢(shì)資源��,引領(lǐng)信息安全市場(chǎng)�����,為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)���。具體目標(biāo)如下:
1)推出面向客戶安全(檢查��、教育�����、配置)產(chǎn)品����;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品���;4)推出面向企業(yè)安全運(yùn)維產(chǎn)品��;5)推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品�����。
6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)
服務(wù)業(yè)務(wù)規(guī)劃主要針對(duì)具體業(yè)務(wù)而言��,在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例:
1)信息安全咨詢類產(chǎn)品��,其服務(wù)功能主要有:信息安全風(fēng)險(xiǎn)評(píng)估����;信息安全規(guī)劃設(shè)計(jì)�����;信息安全產(chǎn)品顧問���。
2)信息安全教育培訓(xùn)類產(chǎn)品���,其服務(wù)功能主要有:提供信息安全操作環(huán)境��;提供信息安全知識(shí)教育��;提供信息安全運(yùn)維教育����。
3)家庭類安全服務(wù)產(chǎn)品���,其服務(wù)功能主要有:推出“家庭綠色上網(wǎng)”安全服務(wù)����;家庭上網(wǎng)防病毒服務(wù)��;家庭上網(wǎng)機(jī)器安全檢查服務(wù)���;家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。
4)企業(yè)類安全服務(wù)產(chǎn)品��,其服務(wù)功能主要有:企業(yè)安全上網(wǎng)控制服務(wù)���;企業(yè)安全專網(wǎng)服務(wù)���;安全信息通告�;企業(yè)運(yùn)維服務(wù)���。
5)容災(zāi)類安全服務(wù)產(chǎn)品��,其服務(wù)功能主要有:面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)��;面向政府信息系統(tǒng)災(zāi)備服務(wù)���;面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù);面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)���。
7 結(jié)束語(yǔ)
通過結(jié)合分布式企業(yè)的具體實(shí)際��,按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)�,提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)�。并依據(jù)次原則與目標(biāo),按照組織�����、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后���,依據(jù)服務(wù)規(guī)劃目標(biāo)�,提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例�����。
參考文獻(xiàn):
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用���,2006�,3:62~64�����,57.
[2] Harold F. Tipton����,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications���,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào)���,2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究���,2002,10:5~7.
[5] ISO/IEC 15408,13335���,15004��,14598���,信息技術(shù)安全評(píng)估的系列標(biāo)準(zhǔn)[S].
[6] BS7799-1,7799-2�����,ISO/IEC 17799����,信息安全管理系列標(biāo)準(zhǔn)[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運(yùn)營(yíng)商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
第5篇
【關(guān)鍵詞】電子政務(wù) 網(wǎng)絡(luò)運(yùn)行維護(hù) 安全
眾所周知��,電子政務(wù)網(wǎng)絡(luò)作為一個(gè)多應(yīng)用平臺(tái)其中納入了多個(gè)應(yīng)用系通���,如辦公自動(dòng)化系統(tǒng)���、人事管理系統(tǒng)�、財(cái)務(wù)管理系統(tǒng)���、業(yè)務(wù)系統(tǒng)����、郵件系統(tǒng)等���。對(duì)于網(wǎng)絡(luò)管理者而言必須要對(duì)此類應(yīng)用的運(yùn)行情況加以詳細(xì)了解�。其次需要注意的是�,電子政務(wù)網(wǎng)絡(luò)用戶較多,不可避免的會(huì)出現(xiàn)因用戶運(yùn)行其他應(yīng)用程序而影響到電子政務(wù)網(wǎng)絡(luò)的正常運(yùn)行�,從而導(dǎo)致網(wǎng)絡(luò)工作效率的下降,甚至對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的威脅����。
1 網(wǎng)絡(luò)運(yùn)行維護(hù)管理中的問題
1.1 網(wǎng)絡(luò)規(guī)模的影響
隨著電子政務(wù)網(wǎng)絡(luò)規(guī)模的日趨龐大,通訊線路也越來越長(zhǎng)���,在這一條件下網(wǎng)絡(luò)的安全問題及脆弱性逐漸增大�����。尤其是隨著網(wǎng)絡(luò)客戶數(shù)量的不斷提升��,網(wǎng)絡(luò)所受的安全性威脅也越來越大�����,具體主要體現(xiàn)在以下兩個(gè)方面:
1.1.1 網(wǎng)絡(luò)結(jié)構(gòu)難以控制
網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)張必然會(huì)導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)出現(xiàn)較大變化��,如果網(wǎng)絡(luò)管理者不能及時(shí)發(fā)現(xiàn)和處理這一問題�����,很容易出現(xiàn)因網(wǎng)絡(luò)配置不當(dāng)而導(dǎo)致網(wǎng)絡(luò)性能下降等問題的出現(xiàn)��,嚴(yán)重時(shí)甚至?xí)?dǎo)致網(wǎng)絡(luò)安全出現(xiàn)重大的安全隱患����,給電子政務(wù)網(wǎng)絡(luò)帶來較大的經(jīng)濟(jì)損失�,因此網(wǎng)絡(luò)管理這必須要將網(wǎng)絡(luò)規(guī)模與網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化納入到網(wǎng)絡(luò)安全總體規(guī)劃及管理當(dāng)中去。
1.1.2 網(wǎng)絡(luò)漏洞無法掌握
一般而言��,絕大多數(shù)網(wǎng)絡(luò)攻擊都是基于系統(tǒng)漏洞為基礎(chǔ)的�����。電子政務(wù)網(wǎng)絡(luò)規(guī)模龐大、系統(tǒng)多樣�、設(shè)備種類繁多,因此單靠網(wǎng)絡(luò)管理者的能力很難建立一套完善的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)���,加上近年來網(wǎng)絡(luò)黑客技術(shù)水平的不斷提升���,電子政務(wù)網(wǎng)絡(luò)的安全問題愈演愈烈。
1.2 信息與資源相關(guān)的安全威脅
在信息與資源相關(guān)的安全威脅中����,非授權(quán)訪問是其中的一個(gè)重要組成部分。我們所說的非授權(quán)訪問��,即未獲得許可便瀏覽計(jì)算機(jī)資源或進(jìn)入網(wǎng)絡(luò)��,比如刻意避開系統(tǒng)訪問控制機(jī)制對(duì)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)設(shè)備展開非正常使用���。一般非授權(quán)訪問主要有以下幾種方式���,分別為非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)、非法操作����、合法用戶越權(quán)操作�、假冒身份攻擊等�����。此外����,還包括信息泄漏或丟失����。通常信息泄露、信息丟失主要是指部分系統(tǒng)數(shù)據(jù)在人為前提下有意或無意被泄露��、丟失的問題�。往往包括信息傳輸過程中泄露或丟失、搭線竊聽截獲信息�、探測(cè)用戶口令、賬號(hào)等有用信息��、建立隱蔽隧道竊取信息�、存儲(chǔ)介質(zhì)丟失信息等。
1.3 內(nèi)����、外網(wǎng)數(shù)據(jù)交換安全
由于外網(wǎng)同Internet保持連接��,因此內(nèi)外網(wǎng)在交換數(shù)據(jù)的過程中或多或少的對(duì)內(nèi)網(wǎng)產(chǎn)生了一定威脅����,這種威脅主要體現(xiàn)在以下幾點(diǎn):木馬程序竊取關(guān)鍵信息數(shù)據(jù)�����、計(jì)算機(jī)病毒�����、何可攻擊�、垃圾郵件等。此外����,在電子政務(wù)內(nèi)部網(wǎng)絡(luò)當(dāng)中同樣也要注意內(nèi)部工作人員或黑客對(duì)系統(tǒng)發(fā)起的攻擊行為,據(jù)相關(guān)權(quán)威部門的評(píng)測(cè)報(bào)告限制����,一般對(duì)系統(tǒng)產(chǎn)生威脅的80%攻擊行為均來自于系統(tǒng)內(nèi)部。同外部攻擊行為相區(qū)別的是���,系統(tǒng)內(nèi)部攻擊主要是因黑客或內(nèi)部工作人員對(duì)系統(tǒng)���、操作系統(tǒng)內(nèi)容而發(fā)起的對(duì)系統(tǒng)本身的攻擊等�。
2 網(wǎng)絡(luò)運(yùn)行維護(hù)管理的解決對(duì)策
2.1 建立起基礎(chǔ)安全服務(wù)設(shè)施
要想實(shí)現(xiàn)網(wǎng)絡(luò)安全就必須要有一個(gè)良好的安全服務(wù)基礎(chǔ)作為保障�����,進(jìn)而保證整個(gè)電子政務(wù)網(wǎng)絡(luò)的安全����、高效運(yùn)行�。基礎(chǔ)安全服務(wù)設(shè)施的作用主要為電子政務(wù)網(wǎng)絡(luò)創(chuàng)設(shè)出良好的網(wǎng)絡(luò)環(huán)境�����,即相互信任���,進(jìn)而為安全技術(shù)的應(yīng)用與科學(xué)決策提供依據(jù)�����。但需要注意的是����,基礎(chǔ)安全服務(wù)設(shè)施的搭建必須要有可信的身份。系統(tǒng)內(nèi)設(shè)的安全措施通常會(huì)根據(jù)用戶身份來決定是否通過驗(yàn)證與執(zhí)行用戶所提出的訪問要求���,因此用戶身份是否可信便成為了基礎(chǔ)安全策略最為核心的問題��。實(shí)際上��,可信的身份服務(wù)即為驗(yàn)證提供正確的用戶身份信息���,如果驗(yàn)證無法通過,那么系統(tǒng)防火墻便會(huì)根據(jù)假的用戶身份來做出錯(cuò)誤判斷而不予服務(wù)�。
2.2 設(shè)置安全技術(shù)支撐平臺(tái)
解決了電子政務(wù)網(wǎng)絡(luò)中的信任問題后便能夠在可信任的環(huán)境下對(duì)現(xiàn)有安全產(chǎn)品與技術(shù)實(shí)施既定的安全策略,其中包括訪問控制��、通訊加密�、漏洞檢查、物理安全與黑客入侵檢測(cè)等�。正式上述這些策略的執(zhí)行為整個(gè)電子政務(wù)網(wǎng)絡(luò)建立起了一個(gè)較為真實(shí)的安全策略環(huán)境,這對(duì)于低于網(wǎng)絡(luò)攻擊��、預(yù)防信息破壞��、控制用戶權(quán)限及防止泄密有著極為重要的作用�。基于安全島實(shí)現(xiàn)網(wǎng)內(nèi)系統(tǒng)����,限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)系統(tǒng)�����,過濾非法使用用戶和不安全服務(wù)��。特殊點(diǎn)的訪問嚴(yán)格把關(guān)���,限制非法分子訪問特殊點(diǎn)。將見識(shí)網(wǎng)絡(luò)安全和預(yù)警提到重要主義方面�,為這兩方面的實(shí)施提供方便����。充分利用資源,防止資源的濫用��,倡導(dǎo)可持續(xù)性利用����。
2.3 合理運(yùn)用防火墻技術(shù)
在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用防火墻技術(shù)是保證網(wǎng)絡(luò)安全的重要手段。是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種控制訪問限度的一種手段�。其主要目的是迫使所有網(wǎng)絡(luò)的連接都接受檢驗(yàn),控制出入的一種網(wǎng)絡(luò)上的限制���。防止安全的網(wǎng)絡(luò)環(huán)節(jié)遭到外界因素的破壞和干擾�。在正常的邏輯思維當(dāng)中,防火墻實(shí)際上是發(fā)揮了一個(gè)分離器或者是限制器的作用�����,甚至起到了分析器的作用�����。這樣能夠充分的將內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的任何活動(dòng)實(shí)施監(jiān)控�����,保證了內(nèi)部網(wǎng)絡(luò)的安全�����。計(jì)算機(jī)防火墻技術(shù)���,他能允許將你“同意”進(jìn)來的人進(jìn)入你的網(wǎng)絡(luò)���,拒絕不同意的人。“包過濾”技術(shù)是防火墻技術(shù)的一種重要方式���。而要實(shí)施“包過濾” 的標(biāo)準(zhǔn)就是根據(jù)安全策略制定的���。訪問控制的標(biāo)準(zhǔn)就是:包的源地址和連接請(qǐng)求方向。硬件的包過濾技術(shù)之外還可以通過服務(wù)器軟件來實(shí)現(xiàn)��。
3 結(jié)語(yǔ)
一般來說��,對(duì)于電子政務(wù)網(wǎng)絡(luò)這一種涉及審批�����、執(zhí)行��、政策制定的應(yīng)用而言���,系統(tǒng)內(nèi)文件應(yīng)都具有可信度較高的時(shí)間戳,因此電子政務(wù)網(wǎng)絡(luò)安全的保障也要對(duì)這一方面加以重視���,這對(duì)于區(qū)分政府工作間的重要工作c責(zé)任認(rèn)定具有非常重要的作用��。因此�,為了能夠更好的提高電子政務(wù)網(wǎng)絡(luò)的安全性與穩(wěn)定性��,我們就必須要充分重視其在網(wǎng)絡(luò)運(yùn)行維護(hù)管理中的問題,并采取有效措施來對(duì)其加以解決��。
參考文獻(xiàn)
[1]廖堅(jiān)強(qiáng)���,李明生.電信業(yè)重組后益陽(yáng)聯(lián)通運(yùn)行維護(hù)管理模式研究[J].企業(yè)家天地(下旬刊)���,2011(11):68.
[2]張金珠,李寧.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行維護(hù)管理探索[J].城市建設(shè)理論研究(電子版)��,2013(33).
第6篇
【關(guān)鍵詞】信息安全�;數(shù)據(jù)庫(kù);網(wǎng)絡(luò)應(yīng)用�����;安全體系
1信息安全現(xiàn)狀
1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知�,三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)不得低于國(guó)家安全信息保護(hù)等級(jí)三級(jí)。據(jù)此我們對(duì)信息系統(tǒng)的各個(gè)方面進(jìn)行了安全評(píng)估����,發(fā)現(xiàn)主要有如下的問題:
(1)物理安全:機(jī)房管理混亂問題;機(jī)房場(chǎng)地效用不明確�;機(jī)房人員訪問控制問題;
(2)網(wǎng)絡(luò)設(shè)備安全:訪問控制問題;網(wǎng)絡(luò)設(shè)備安全漏洞����;設(shè)備配置安全;
(3)系統(tǒng)安全:補(bǔ)丁問題�����;運(yùn)行服務(wù)問題�;安全策略問題;訪問控制問題����;默認(rèn)共享問題;防病毒情況����;
(4)數(shù)據(jù)安全:數(shù)據(jù)庫(kù)補(bǔ)丁問題;SQL數(shù)據(jù)庫(kù)默認(rèn)賬號(hào)問題�����;SQL數(shù)據(jù)庫(kù)弱口令問題����;SQL數(shù)據(jù)庫(kù)默認(rèn)配置問題;(5)網(wǎng)絡(luò)區(qū)域安全:醫(yī)院內(nèi)網(wǎng)安全措施完善����;醫(yī)院內(nèi)網(wǎng)的訪問控制問題;醫(yī)院內(nèi)外網(wǎng)互訪控制問題�;
(6)安全管理:沒有建立安全管理組織;沒有制定總體的安全策略����;沒有落實(shí)各個(gè)部門信息安全的責(zé)任人;缺少安全管理文檔�����。
1.2當(dāng)前醫(yī)院信息安全存在的問題��,主要表現(xiàn)在如下的幾個(gè)方面
(1)機(jī)房所處環(huán)境不合格���,場(chǎng)地效用不明確��,人員訪問控制不足����,管理混亂�。
(2)在辦公外網(wǎng)中�����,醫(yī)院建立了基本的安全體系���,但是還需要進(jìn)一步的完善,例如辦公外網(wǎng)總出口有單點(diǎn)故障的隱患��、門戶網(wǎng)站有被撰改的隱患���。
(3)在醫(yī)院內(nèi)網(wǎng)中����,內(nèi)網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制�����,存在蠕蟲病毒相互擴(kuò)散的可能���。
(4)沒有成立安全應(yīng)急小組�����,雖然有相應(yīng)的應(yīng)急事件預(yù)案�����,但缺少安全預(yù)案的應(yīng)急演練�;缺少安全事件應(yīng)急處理流程與規(guī)范���,也沒有對(duì)安全事件的處理過程做記錄歸檔���。
(5)沒有建立數(shù)據(jù)備份與恢復(fù)制度;缺少對(duì)備份的數(shù)據(jù)做恢復(fù)演練��,保證備份數(shù)據(jù)的有效性和可用性��,在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作���。
2醫(yī)院信息安全總體規(guī)劃
2.1設(shè)計(jì)目標(biāo)��、依據(jù)及原則
2.1.1設(shè)計(jì)目標(biāo)
信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用�����,存儲(chǔ)著重要的數(shù)據(jù)資源����,是醫(yī)院正常運(yùn)行必不可少的組成部分,所以必須從硬件設(shè)施��、軟件系統(tǒng)����、安全管理等方面,加強(qiáng)安全保障體系的建設(shè)��,為醫(yī)院工作應(yīng)用提供安全可靠的運(yùn)行環(huán)境��。
2.1.2設(shè)計(jì)依據(jù)
(1)《信息安全等級(jí)保護(hù)管理辦法》���;
(2)《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》�;
(3)《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》����;
(4)《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》。
2.1.3設(shè)計(jì)原則
醫(yī)院信息安全系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)遵循如下的原則:分級(jí)保護(hù)原則:以應(yīng)用為主導(dǎo)�����,科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)的安全等級(jí)��,并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理��,保證服務(wù)的有效性和快捷性。最小特權(quán)原則:整個(gè)系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力�����。標(biāo)準(zhǔn)化與一致性原則:醫(yī)院信息系統(tǒng)是一個(gè)龐大的系統(tǒng)工程�,其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)��,這樣才能確保各個(gè)分系統(tǒng)的一致性�����,使整個(gè)醫(yī)院信息系統(tǒng)安全地互聯(lián)互通��、信息共享�。多重保護(hù)原則:任何安全措施都不是絕對(duì)安全的,都可能被攻破�。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充��,當(dāng)一層被攻破時(shí)�����,其他層仍可保護(hù)系統(tǒng)的安全�。易操作性原則:安全措施需要人去完成���,如果措施過于復(fù)雜,對(duì)人的要求過高��,本身就降低了安全性�����;其次��,措施的采用不能影響系統(tǒng)的正常運(yùn)行���。適應(yīng)性及靈活性原則:安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化��,要容易適應(yīng)��、容易修改和升級(jí)���。
2.2總體信息安全規(guī)劃方案
2.2.1基礎(chǔ)保障體系
建設(shè)信息安全基礎(chǔ)保障體系,是一項(xiàng)復(fù)雜的��、綜合的系統(tǒng)工程���,是堅(jiān)持積極防御�、綜合防范方針的具體體現(xiàn)。目前醫(yī)院基礎(chǔ)保障體系已經(jīng)初具規(guī)模�,但是還存在個(gè)別問題,需要進(jìn)一步的完善�����。
2.2.2監(jiān)控審計(jì)體系
監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn)�,能完成對(duì)醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控��。通過此體系監(jiān)控到的數(shù)據(jù)能對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率���、數(shù)據(jù)流量�、應(yīng)用提供比例����、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況��、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄�、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等有較全面的了解。
2.2.3應(yīng)急響應(yīng)體系
應(yīng)急響應(yīng)體系的主要功能是采取足夠的主動(dòng)措施解決各類安全事件����。安全事件可以被許多不同的事件觸發(fā)并破壞單個(gè)系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性���,完整性、數(shù)據(jù)的保密性�。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決,以避免加重整個(gè)醫(yī)院信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)�。
2.2.4災(zāi)難備份與恢復(fù)體系
為了保證醫(yī)院信息系統(tǒng)的正常運(yùn)行,抵抗包括地震����、火災(zāi)、水災(zāi)等自然災(zāi)難���,以及戰(zhàn)爭(zhēng)�、網(wǎng)絡(luò)攻擊�、設(shè)備系統(tǒng)故障和人為破壞等無法預(yù)料的突發(fā)事件造成的損害,應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系��。在這個(gè)體系里主要包括下面三個(gè)部分:政務(wù)內(nèi)網(wǎng)線路的冗余備份��、主機(jī)服務(wù)器的系統(tǒng)備份與恢復(fù)���、數(shù)據(jù)庫(kù)系統(tǒng)的備份與恢復(fù)�。
3結(jié)論
通過對(duì)醫(yī)院的信息安全風(fēng)險(xiǎn)評(píng)估,我們發(fā)現(xiàn)了大量關(guān)于物理安全��、操作系統(tǒng)���、數(shù)據(jù)庫(kù)系統(tǒng)�����、網(wǎng)絡(luò)設(shè)備���、應(yīng)用系統(tǒng)等等方面的漏洞。為了達(dá)到對(duì)安全風(fēng)險(xiǎn)的長(zhǎng)期有效的管理�,我們進(jìn)行了具有體系性和原則性并能夠符合醫(yī)院實(shí)際需求的規(guī)劃����。
參考文獻(xiàn)
[1]王立,史明磊.醫(yī)院信息系統(tǒng)的建設(shè)與維護(hù)[J].醫(yī)學(xué)信息���,2007���,20(3).
[2]王洪萍,程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].醫(yī)院管理雜志���,2011�����,18(11).
[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設(shè)備信息�����,2004���,19(9).
第7篇
(1)物理安全防范較為重視�。從物理安全的五項(xiàng)指標(biāo)來看���,被調(diào)查的160家醫(yī)院都非常注重防盜��、防水�、防雷����、防塵、防靜電及溫濕度控制等物理環(huán)境安全防范���,絕大部分醫(yī)院對(duì)物理訪問控制與物理監(jiān)控(機(jī)房設(shè)備管理)也都很重視�,分別達(dá)到93%與85%,但僅有1/4的醫(yī)院注重設(shè)備檢測(cè)���,說明中國(guó)絕大部分醫(yī)院設(shè)備或未做檢測(cè)即投入運(yùn)行���,或缺乏定期進(jìn)行安全評(píng)估、安全加固等保護(hù)�,因而我國(guó)數(shù)字化醫(yī)院還存在著一定的物理設(shè)備安全風(fēng)險(xiǎn)。
(2)系統(tǒng)安全威脅嚴(yán)重��。系統(tǒng)安全四項(xiàng)指標(biāo)中��,采用了訪問控制及備份與恢復(fù)措施的醫(yī)院分別達(dá)到138家與147家�����,但實(shí)地調(diào)查顯示非授權(quán)訪問的情況還大量存在�。進(jìn)行系統(tǒng)日志審計(jì)的醫(yī)院不足50家�,說明我國(guó)醫(yī)院系統(tǒng)日志還基本流于形式,缺乏深度安全審計(jì)���,從而很難及時(shí)發(fā)現(xiàn)其中的安全隱患����。進(jìn)行系統(tǒng)開發(fā)與維護(hù)的醫(yī)院也僅54家,原因主要在于目前許多醫(yī)院由于受人員��、設(shè)備����、資金影響,或本身重視不夠����,導(dǎo)致其信息系統(tǒng)缺乏運(yùn)營(yíng)維護(hù)或維護(hù)不及時(shí),因此其安全性和可靠性多數(shù)處于較差狀態(tài)�����。
(3)網(wǎng)絡(luò)通信安全較為脆弱���。網(wǎng)絡(luò)通信安全五項(xiàng)指標(biāo)中����,網(wǎng)絡(luò)攻擊防護(hù)與業(yè)務(wù)文檔記錄方面����,醫(yī)院相對(duì)比較重視,比例分別達(dá)到94%與84%�����,但實(shí)地調(diào)查發(fā)現(xiàn)其網(wǎng)絡(luò)攻擊防護(hù)還處于低水平狀態(tài)。實(shí)行網(wǎng)絡(luò)隔離與訪問控制的醫(yī)院僅占30%����,大多數(shù)醫(yī)院網(wǎng)絡(luò)訪問隨意性大,醫(yī)院網(wǎng)絡(luò)可隨意互訪�����,信息流通和共享暢通無阻����,這給醫(yī)院信息安全帶來極大的安全隱患。實(shí)行入侵檢測(cè)的醫(yī)院不到30%��,說明中國(guó)數(shù)字化醫(yī)院還處于被動(dòng)防御階段�,遠(yuǎn)未達(dá)到主動(dòng)防御水平,同時(shí)信息系統(tǒng)的縱深防護(hù)水平不高�,由此導(dǎo)致數(shù)字化醫(yī)院以計(jì)算機(jī)病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生����。實(shí)行密鑰管理的醫(yī)院則僅13%����,說明醫(yī)院網(wǎng)絡(luò)密鑰其實(shí)幾乎還處于無人監(jiān)管狀態(tài)�。
(4)人員安全隱患重重�。人員安全四項(xiàng)指標(biāo)調(diào)查結(jié)果都不容樂觀,尤其是進(jìn)行第三方合作合同的控制和管理的醫(yī)院僅占10%��,說明中國(guó)數(shù)字化醫(yī)院在人員安全管理方面還遠(yuǎn)未重視�����,由此導(dǎo)致醫(yī)院內(nèi)部存在大量網(wǎng)絡(luò)操作違規(guī)現(xiàn)象�。如,網(wǎng)絡(luò)操作人員隨意將自己的登錄賬號(hào)轉(zhuǎn)借他人���,隨意將一些存儲(chǔ)介質(zhì)接入信息系統(tǒng)�,未經(jīng)授權(quán)同時(shí)訪問外網(wǎng)與內(nèi)網(wǎng)��,一些人員為了謀取個(gè)人私利�,非法訪問內(nèi)部網(wǎng)絡(luò),竊取��、偽造����、篡改醫(yī)療數(shù)據(jù)等����,這使得中國(guó)數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生����。
(5)組織管理安全有待加強(qiáng)。組織管理安全四項(xiàng)指標(biāo)中���,160家醫(yī)院都設(shè)置了安全管理組織機(jī)構(gòu)��,說明所有醫(yī)院都很重視信息安全管理工作����,但安全管理制度完整的醫(yī)院僅114家���,且多數(shù)在應(yīng)急管理制度制定方面較為欠缺����,而安全管理制度實(shí)施情況調(diào)查顯示����,只有40%的醫(yī)院安全管理制度得到實(shí)施,這意味著60%的醫(yī)院的安全管理制度形同虛設(shè)。在人力財(cái)力保障方面給予充分保障的醫(yī)院不到50%�,由于缺乏人力財(cái)力的保障��,目前許多醫(yī)院信息安全系統(tǒng)建設(shè)難以為繼����。綜上所述,中國(guó)數(shù)字化醫(yī)院還存在著極大的信息安全隱患��。因此��,數(shù)字化醫(yī)院信息安全建設(shè)已迫在眉睫����。
2動(dòng)態(tài)網(wǎng)絡(luò)安全模型的比較分析
面對(duì)復(fù)雜多樣的信息安全風(fēng)險(xiǎn)以及日益嚴(yán)峻的信息安全局勢(shì),動(dòng)態(tài)網(wǎng)絡(luò)安全模型為中國(guó)數(shù)字化醫(yī)院信息安全建設(shè)提供了理論基礎(chǔ)�。典型的動(dòng)態(tài)網(wǎng)絡(luò)安全模型有PPDR模型、PDRR模型�����、MPDRR模型和WPDRRC模型等��,這些安全模型各有特點(diǎn)�����,各有側(cè)重,已廣泛應(yīng)用于多個(gè)領(lǐng)域的信息安全建設(shè)實(shí)踐�。環(huán)節(jié)。它強(qiáng)調(diào)在安全策略的指導(dǎo)下�,綜合采用防火墻、VPN等安全技術(shù)進(jìn)行防護(hù)的同時(shí)�,利用入侵檢測(cè)系統(tǒng)等檢測(cè)工具,發(fā)現(xiàn)系統(tǒng)的異常情況�����,以及可能的攻擊行為��,并通過關(guān)閉端口���、中斷連接��、中斷服務(wù)等響應(yīng)措施將系統(tǒng)調(diào)整到一個(gè)比較安全的狀態(tài)��。其中��,安全策略是核心��,防護(hù)��、檢測(cè)和響應(yīng)環(huán)節(jié)組成了一個(gè)完整�����、動(dòng)態(tài)的安全循環(huán)����,它們共同保證網(wǎng)絡(luò)系統(tǒng)的信息安全����。(2)PDRR模型。PDRR模型是在PPDR模型基礎(chǔ)上增加恢復(fù)(Recovery)環(huán)節(jié)發(fā)展而來�,由防護(hù)(Protection)、檢測(cè)(Detection)��、響應(yīng)(Re-sponse)和恢復(fù)(Recovery)四個(gè)環(huán)節(jié)組成(見圖2)�。其核心思想是在安全策略的指導(dǎo)下,通過采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù)����,并隨時(shí)進(jìn)行安全跟蹤和檢測(cè)以了解其安全狀態(tài),一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患����,則馬上采取響應(yīng)措施�����,直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)����。與PPDR模型相比��,PDRR模型更強(qiáng)調(diào)一種故障的自動(dòng)恢復(fù)能力�����,即系統(tǒng)在被入侵后���,能迅速采取相應(yīng)措施將系統(tǒng)恢復(fù)到正常狀態(tài)��,從而保障系統(tǒng)的信息安全�����。因此��,PDRR模型中的安全概念已經(jīng)從信息安全擴(kuò)展到了信息保障�����,信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密�,是防護(hù)、檢測(cè)��、響應(yīng)���、恢復(fù)的有機(jī)結(jié)合���。
3基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國(guó)數(shù)字化醫(yī)院信息安全體系構(gòu)建
結(jié)合動(dòng)態(tài)網(wǎng)絡(luò)安全模型����,并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239—2008)、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070—2010)等標(biāo)準(zhǔn)規(guī)范�,本文試構(gòu)建一個(gè)以信息安全組織機(jī)構(gòu)為核心,以信息安全策略����、信息安全管理、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架�����。即�����,在進(jìn)行數(shù)字化醫(yī)院信息安全建設(shè)時(shí),我們應(yīng)成立一個(gè)信息安全組織機(jī)構(gòu)����,并以此為中心,通過制定信息安全總體策略�、加強(qiáng)信息安全管理,利用各項(xiàng)信息安全技術(shù)����,并將其貫徹在預(yù)警、保護(hù)����、檢測(cè)、響應(yīng)�、恢復(fù)和反擊6個(gè)環(huán)節(jié)中,針對(duì)不同的安全威脅�,采用不同的安全措施,從而對(duì)系統(tǒng)物理設(shè)備��、系統(tǒng)軟件�、數(shù)據(jù)信息等受保護(hù)對(duì)象進(jìn)行全方位多層次保護(hù)。
(1)信息安全組織機(jī)構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素�,在信息安全體系中處于核心地位���。它由決策機(jī)構(gòu)、管理機(jī)構(gòu)與執(zhí)行機(jī)構(gòu)三部分組成�����。其中���,決策機(jī)構(gòu)是醫(yī)院信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)���,負(fù)責(zé)對(duì)醫(yī)院信息安全工作進(jìn)行總體規(guī)劃與宏觀領(lǐng)導(dǎo),其成員由醫(yī)院主要領(lǐng)導(dǎo)及其他相關(guān)職能部門主要負(fù)責(zé)人組成�����。管理機(jī)構(gòu)在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下����,負(fù)責(zé)信息安全體系建設(shè)規(guī)劃的制定��,以及信息安全的日常管理工作��,其成員主要來自于信息化工作部門��,也包括行政、人事等部門相關(guān)人員參與���。執(zhí)行機(jī)構(gòu)在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下�,負(fù)責(zé)保證信息安全技術(shù)的有效運(yùn)行及日常維護(hù)�,其成員主要由信息化工作部門相關(guān)技術(shù)人員及其他相關(guān)職能部門的信息安全員組成。信息安全組織機(jī)構(gòu)應(yīng)對(duì)醫(yī)院信息安全工作進(jìn)行科學(xué)規(guī)劃��,經(jīng)常進(jìn)行不定期的信息安全檢查��、評(píng)估和應(yīng)急安全演練�����。其中對(duì)那些嚴(yán)重危及醫(yī)院信息安全的行為應(yīng)進(jìn)行重點(diǎn)管理和監(jiān)督��,明確信息安全責(zé)任制�,從而保證信息安全各項(xiàng)工作的有效貫徹與落實(shí)。
(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的基礎(chǔ)���。其具體制定應(yīng)依據(jù)國(guó)家信息安全戰(zhàn)略的方針政策�����、法律法規(guī)�����,遵循指導(dǎo)性�、原則性、可行性�、動(dòng)態(tài)性等原則,按照醫(yī)療行業(yè)標(biāo)準(zhǔn)規(guī)范要求�,并結(jié)合醫(yī)院自身的具體情況來進(jìn)行,由總體方針與分項(xiàng)策略兩個(gè)層次組成��,內(nèi)容涵蓋技術(shù)層�����、管理層等各個(gè)層面的安全策略����,最終實(shí)現(xiàn)“進(jìn)不來�����、拿不走���、看不懂��、改不了���、逃不掉”的安全防御目的�,即在訪問控制機(jī)制方面做到“進(jìn)不來”��、授權(quán)機(jī)制方面做到“拿不走”�、加密機(jī)制方面做到“看不懂”、數(shù)據(jù)完整性機(jī)制方面做到“改不了”�����、審計(jì)/監(jiān)控/簽名機(jī)制方面做到“逃不掉”����。
(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的保障。它包括人員管理����、技術(shù)管理和操作管理等方面。當(dāng)前中國(guó)數(shù)字化醫(yī)院在信息安全管理中普遍存在的問題:在安全管理中對(duì)人的因素重視不夠����、缺乏懂得管理的信息安全技術(shù)人員、信息安全意識(shí)不強(qiáng)、員工接受的教育和培訓(xùn)不夠��、安全管理中被動(dòng)應(yīng)付的較多等��。因此�,數(shù)字化醫(yī)院一方面應(yīng)加強(qiáng)全員信息安全意識(shí),加大信息安全人員的引進(jìn)�、教育與培訓(xùn)力度,提高信息安全管理水平;另一方面應(yīng)制定具體的信息安全管理制度�����,以規(guī)范與約束相關(guān)人員行為����,保證信息安全總體策略的貫徹與信息安全技術(shù)的實(shí)施。
(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的關(guān)鍵�����。數(shù)字化醫(yī)院信息安全建設(shè)涉及防火墻�����、防病毒�、黑客追蹤、日志分析����、異地容災(zāi)、數(shù)據(jù)加密���、安全加固和緊急響應(yīng)等技術(shù)手段��,它們貫穿于信息安全預(yù)警����、保護(hù)����、檢測(cè)、響應(yīng)�、恢復(fù)與反擊六個(gè)環(huán)節(jié)。數(shù)字化醫(yī)院應(yīng)切實(shí)加強(qiáng)這六個(gè)環(huán)節(jié)的技術(shù)力量����,確保其信息安全得以實(shí)現(xiàn),具體體現(xiàn)在:①預(yù)警��。醫(yī)院應(yīng)通過部署系統(tǒng)監(jiān)控平臺(tái)���,實(shí)現(xiàn)對(duì)路由器��、交換機(jī)�、服務(wù)器、存儲(chǔ)�、加密機(jī)等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件以及各種應(yīng)用軟件的監(jiān)控和預(yù)警�,實(shí)現(xiàn)設(shè)備和應(yīng)用監(jiān)控預(yù)警;或采用入侵防御系統(tǒng),分析各種安全報(bào)警�、日志信息,結(jié)合使用網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)����,實(shí)現(xiàn)對(duì)各種安全威脅與安全事件的預(yù)警;并將這些不同層面的預(yù)警,統(tǒng)一到一套集中的監(jiān)控預(yù)警平臺(tái)或運(yùn)維管理平臺(tái)�����,實(shí)現(xiàn)統(tǒng)一展現(xiàn)和集中預(yù)警��。②保護(hù)�。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡(luò)通信安全等方面的安全保護(hù)���。對(duì)于中心機(jī)房�、交換機(jī)、工作站�、服務(wù)器等物理設(shè)備的安全防護(hù)����,主要注意防水、防雷��、防靜電以及雙機(jī)熱備等安全防護(hù)工作���。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)等的安全防護(hù)�����。操作系統(tǒng)的主要風(fēng)險(xiǎn)在于系統(tǒng)漏洞和文件病毒等�。為此��,醫(yī)院需運(yùn)用防火墻技術(shù)控制和管理用戶訪問權(quán)限����,并定期做好監(jiān)視、審計(jì)和事件日志記錄和分析����。所有工作站應(yīng)取消光驅(qū)軟驅(qū)���,屏蔽USB接口,同時(shí)為各個(gè)客戶端安裝殺毒軟件�,并及時(shí)更新,從源頭上預(yù)防系統(tǒng)感染病毒�。數(shù)據(jù)庫(kù)安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等�����。為此�����,需對(duì)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限設(shè)置��。對(duì)于關(guān)鍵數(shù)據(jù)���,應(yīng)進(jìn)行加密存儲(chǔ)���。對(duì)于重要數(shù)據(jù)庫(kù)應(yīng)做好多種形式的備份工作,如本地備份與異地備份��、全量備份與增量備份等��,以保證數(shù)據(jù)萬(wàn)無一失。對(duì)于網(wǎng)絡(luò)通信安全防護(hù)�����,醫(yī)院網(wǎng)絡(luò)應(yīng)采用物理隔離的雙網(wǎng)架構(gòu)�,如果內(nèi)網(wǎng)確需開展對(duì)外的WWW等服務(wù)���,應(yīng)單獨(dú)設(shè)置VLAN�����,結(jié)合防火墻設(shè)備�,通過設(shè)置DMZ的方式實(shí)現(xiàn)與外界的安全相連��。同時(shí)����,醫(yī)院應(yīng)合理的設(shè)置網(wǎng)絡(luò)使用權(quán)限,嚴(yán)格進(jìn)行用戶網(wǎng)絡(luò)密碼管理���,防止越權(quán)操作����。③檢測(cè)。檢測(cè)是從監(jiān)視���、分析���、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度,發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊��、破壞活動(dòng)���,提供預(yù)警�����、實(shí)時(shí)響應(yīng)�、事后分析和系統(tǒng)恢復(fù)等方面的支持���,使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御����。前述防護(hù)系統(tǒng)能阻止大部分入侵事件的發(fā)生�����,但是它不能阻止所有的入侵。因此安全策略的另一個(gè)重要屏障就是檢測(cè)�。常用工具是入侵檢測(cè)系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測(cè)系統(tǒng)(IDS)對(duì)醫(yī)院系統(tǒng)信息安全狀況進(jìn)行實(shí)時(shí)監(jiān)控����,并定期查看入侵檢測(cè)系統(tǒng)生成的報(bào)警日志,可及時(shí)發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊���。而通過漏洞掃描工具����,可及時(shí)檢測(cè)信息系統(tǒng)中關(guān)鍵設(shè)備是否存在各種安全漏洞�����,并針對(duì)漏洞掃描結(jié)果�����,對(duì)重要信息系統(tǒng)及時(shí)進(jìn)行安全加固��。④響應(yīng)���。主要包括審計(jì)跟蹤�����、事件報(bào)警��、事件處理等��。醫(yī)院應(yīng)在信息系統(tǒng)中部署安全監(jiān)控與審計(jì)設(shè)備以及帶有自動(dòng)響應(yīng)機(jī)制的安全技術(shù)或設(shè)備�,當(dāng)系統(tǒng)受到安全攻擊時(shí)能及時(shí)發(fā)出安全事故告警�����,并自動(dòng)終止信息系統(tǒng)中發(fā)生的安全事件�����。為了確保醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序��,提高醫(yī)院應(yīng)對(duì)突發(fā)事件的能力�,醫(yī)院還應(yīng)成立信息安全應(yīng)急響應(yīng)小組,專門負(fù)責(zé)突發(fā)事件的處理���,當(dāng)醫(yī)院信息系統(tǒng)出現(xiàn)故障時(shí)���,能迅速做出響應(yīng)��,從而將各種損失和社會(huì)影響降到最低�。其他事件處理則可通過咨詢���、培訓(xùn)和技術(shù)支持等得到妥善解決��。⑤恢復(fù)���。主要包括系統(tǒng)恢復(fù)和信息恢復(fù)兩個(gè)方面。系統(tǒng)恢復(fù)可通過系統(tǒng)重裝�、系統(tǒng)升級(jí)、軟件升級(jí)和打補(bǔ)丁等方式得以實(shí)現(xiàn)��。信息恢復(fù)主要針對(duì)丟失數(shù)據(jù)的恢復(fù)�����。數(shù)據(jù)丟失可能來自于硬件故障���、應(yīng)用程序或數(shù)據(jù)庫(kù)損壞、黑客攻擊����、病毒感染����、自然災(zāi)害或人為錯(cuò)誤���。信息恢復(fù)跟數(shù)據(jù)備份工作密切相關(guān)����,數(shù)據(jù)備份做得是否充分影響到信息恢復(fù)的程度�����。在信息恢復(fù)過程中要注意信息恢復(fù)的優(yōu)先級(jí)別�。直接影響日常生活和工作的信息必須先恢復(fù),這樣可提高信息恢復(fù)的效率����。另外,恢復(fù)工作中如果涉及機(jī)密數(shù)據(jù)�,需遵照機(jī)密系統(tǒng)的恢復(fù)要求。⑥反擊����。醫(yī)院可采用入侵防御技術(shù)����、黑客追蹤技術(shù)�、日志自動(dòng)備份技術(shù)、安全審計(jì)技術(shù)��、計(jì)算機(jī)在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)等手段����,進(jìn)行證據(jù)收集、追本溯源����,實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)遭遇不法侵害時(shí)對(duì)各種安全威脅源的反擊。
4結(jié)束語(yǔ)
