时间:2023-02-23 13:21:49
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全服务,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
“十二五”期间,软件技术和产业格局孕育着新一轮重大调整,软件产业面临网络化、服务化、智能化、平台化、融合化五大发展趋势。国发[2011]4号文增强了对软件产业的扶持力度,这必将催生软件和信息服务新星的出现。
无论是基础设施、资金、人才还是政策扶持,甚至是项目推介和品牌宣传,软件园区这片沃土都给软件企业带来丰富养分。《中国计算机报》“软件园区”专栏,记录软件企业崛起,见证软件产业发展!
如今,电子取证和计算机法证业务在欧美发达国家和我国香港地区已经相当成熟,除了主要应用于金融行业外,在政府和企业中也有了相当多的应用。IDC 统计显示,2011年全球电子数据取证市场的规模达到18 亿美元,预计2015年中国电子数据取证将达到近10亿元人民币的市场规模。
电子取证:安全不可缺的一环
2012年3月,中国内地和香港地区最高级别的计算机法证技术协会——中国计算机法证技术研究会(CCFC)、香港信息安全与法证公会(香港ISFS)正式授权上海浦东软件园信息技术股份有限公司(以下简称浦软信息)为其华东代表处,这标志浦软信息拥有了国内领先的电子取证平台。
2012年7月,首次移师上海的第八届CCFC计算机法证技术峰会在上海浦东软件园举行。会议期间,由浦软信息投巨资新建并已投入运行的高水准电子数据司法鉴定实验室(以下简称取证实验室)及配套设施受到了海内外参会者的关注和期待。取证实验室包含了计算机鉴定人员从事涉及计算机犯罪案件受理、电子数据勘查、调查取证、数据恢复、密码破解、鉴定分析、证据存储等13个专门区域,并已经与CCFC和香港ISFS做了业务上的对接。
据上海浦东软件园信息技术股份有限公司总经理叶慧介绍,浦软信息将集全公司之力把取证试验室建设成为国内在技术与硬件条件上最卓越的实验平台。浦软信息的取证业务将由单一的取证产品向多样化、个性化服务转变,最终形成以自主取证产品销售、司法鉴定服务和专业取证培训为核心的三位一体的业务模式以及“事前预防、事中响应、事后取证”的整体信息安全解决方案。
公司成立了专业的市场销售团队,通过整体的设计与市场策划来推广取证业务。
如今,浦软信息更希望将已经拥有的平台资源和取证业务推广到信息安全市场较成熟的地区,与更多的业界同行一起培育电子取证市场。叶慧强调,浦软信息作为计算机安全防护领域整体解决方案的提供商,有义务和责任通过自身的努力为社会带来更多的价值,并以此作为自己的使命和社会责任。
取证培训:旨在完善认证体系
工欲善其事,必先利其器。专业取证培训是浦软信息取证业务中很重要的一环。取证实验室研发出许多基于高端技术的取证产品,其精心设计的培训教室拥有各类多媒体设备,能够满足取证技术领域内的各种培训要求,并已经举办过多次各类层次的取证培训。
第八届CCFC计算机法证技术峰会引入了海外专业培训方式,在由香港ISFS开办的研习会上,结合实际案例,对计算机法证技术应用及信息安全防护进行专业指导。
浦软信息之所以花大力气开展取证培训业务,就是预见到取证市场的前景将无限广阔,需要一个成熟的资质认证体系,构筑一个中国取证行业专业、统一的标准。因此,浦软信息规划了取证资质认证培训的发展方向,那就是明确自身的市场地位,完善取证实验室的培训体系和业务,今后将与海内外专业机构合作,继续拓展培训业务,最终得到政府部门和业内对浦软信息取证培训资质认证的认可。
制度创新:确保信息业务拓展
今年2月15日,上海股权托管交易中心正式开张,浦软信息成为首批挂牌OTC(场外交易市场)成员。这对浦软信息来说无疑是一个重要的转折点——浦软信息已经从一家中小型的以产品销售为导向的IT公司转变为一家以IT服务为核心的非上市公众公司。
浦软信息希望通过OTC挂牌交易,在为股东和其他投资者提供更多选择的同时,通过股权的发行和交易使得公司的法人治理结构更加规范和严谨,这对浦软信息未来发展是至关重要的,也是最大的挑战。另外,作为公众公司,浦软信息必须考虑到诸多方面的影响,决策上必须更加谨慎,对内部资源的安排也要考虑得更细致,要有平衡企业资源的能力,包括客户和市场资源,要投入更多的资源来支持和规划新的公司制度和运转。对此,叶慧信心满满。
优秀基因:可持续发展的动力
作为一家还处于成长期的中小型IT企业,浦软信息还有相当大的提升空间,但公司管理层始终保持着危机感,对市场保持高度的敏感,业务上真正做到以客户为导向,技术上不遗余力地投入人力物力。追求“优秀”是浦软信息始终坚持的目标。
何谓“优秀”,叶慧对此做了进一步诠释。
“优秀”体现在专业上,就是要有专攻方向。在信息安全领域浦软信息已经有十几年的经验,这既是公司的优势也是公司的品牌。同时,这种专业还要体现在技术研发的能力上,使之成为浦软信息的核心竞争力。作为一家IT公司,技术是最重要的生产力。
“优秀”体现在人才上,就是把员工视作企业发展中最重要的资产,将管理团队与技术团队作为企业的核心。浦软信息的股权结构中也有员工持股,这体现了公司创始人开放的胸襟。
“优秀”同时也体现在健康上,浦软信息未来的目标是上市。作为公众公司,需要给股东和员工持续的回报,这是相当重要的。作为一家肩负着社会责任的公众企业,体制一定要健康,不能一味盲目地追求增长速度,企业发展方式和公司结构至关重要,这也是企业可持续发展的前提。
IT行业内真正能够屹立不倒的百年老店一定具备“优秀”的基因,而不是纯粹靠包装和粉饰;同样,有了这些“优秀”的基因,一个升级版的浦软信息将从企业级信息安全服务行业中脱颖而出,也就有了底气。
记者手记
人生就是一场修炼
从上海市经济和信息化委员会到上海浦东软件园总部再到浦软信息,叶慧的角色在不断转变,虽然都涉及IT和通信行业,但视角却大不相同。尤其是调任浦软信息后,叶慧从原先站在宏观角度转变为以企业职业经理人的微观角度来审视IT和通信行业,同时还要承受着国有企业职业经理人特有的压力。
是什么信念使得叶慧能够在应对不断出现新的挑战和压力时如此谈定和柔韧?答案就是被叶慧视为励志誓言的《孟子·告子下》中的名句:“天将降大任于斯人也,必先苦其心志,劳其筋骨,饿其体肤,空乏其身,行拂乱其所为也,所以动心忍性,增益其所不能。”叶慧认为,一个职业经理人即使在处于坎坷时,也要保持良好的心态,不逃避不回避各种困难,积极面对挑战并拥有破解难题、果断决策的信心。
商业银行一直是信息化浪潮中的先行者。我国银行信息化进程最早可以追溯至20世纪80年代,以单机应用为起点,先后走过了县域微机联网、城市集中、省域集中、全国数据集中的发展历程。时至今日,我国商业银行已基本实现信息化,建设成了能够提供7×24小时不间断服务并覆盖城乡的庞大信息系统。20世纪90年代,网上银行的出现标志着我国银行业服务从“线下”走向“线上”,并由此开启了银行渠道转型之路,以网上银行为主的电子银行业务得到了迅速发展,交易替代率成为这一时期银行衡量信息化水平的重要指标。据统计,2009年到2014年,我国商业银行的电子银行交易替代率从49%上升至80%(见图1),但自2014年开始其增速明显放缓,且预计在未来几年将维持较低增速。交易替代率增速的放缓表明,以渠道转型和规模扩张为主要特征的银行信息化阶段正在接近尾声。而随着经营环境变化,信息技术进步以及公众金融意识的觉醒,从“银行信息化”到“信息化银行”的时代正在到来。信息化银行是更高级的银行信息化过程,它通过对信息的集中、整合、共享、挖掘,使银行的客户服务、经营决策、战略制定发生质的变化[1]。各大商业银行已普遍将信息化银行建设提升至战略高度,并提出新的经营理念[1-2]。理论界也紧跟信息化银行变革趋势,开展了广泛研究。谢平较早提出互联网金融模式,指出现代信息科技将对传统商业银行融资模式产生颠覆性影响,网络信贷模式将为优化资源配置做出贡献[3]。宫晓林指出第三方支付平台已对传统银行业务形成替代,使银行退居支付清算的后台[4]。王召认为银行不能仅靠发展金融互联网来消极抵御互联网金融的威胁,而要将争夺信用数据制高点做为重中之重[5]。樊志刚分析认为目前商业银行已在互联网金融的竞争中处于被动,必须主动采取大风控、大数据、大平台等竞合战略[6]。王硕对互联网金融下客户行为变化进行分析,从客户、网点、渠道、产品等角度开展银行转型研究[7]。冯娟娟认为互联网金融背景下的商业银行在资产实力、客户资源、风控体系等方面仍具有绝对优势[8]。赵立志认为互联网金融的“野蛮”生长带来了极大的信息安全隐患,包括商业银行在内的互联网金融企业在业务发展中必须重视信息安全保障[9]。现有研究主要是在信息化银行变革大背景下集中于探讨互联网金融对商业银行的业务影响以及商业银行如何应对互联网金融环境,但尚未揭示出信息化银行较为明晰的发展脉络,也未明确指出引领信息化银行革新的核心驱动力。本文将在深入分析目前经营环境最显著变化的基础上,明确提出发展信息化银行的三元驱动模型,并对信息化银行建设实践提出对策建议。
二、信息化银行经营环境变化趋势分析
信息技术在迅速提升商业银行金融服务能力的同时,也本质性的改变了商业银行内外部经营环境,商业银行在新一轮的信息化浪潮中正面临着新的挑战和机遇。
(一)从外部竞争看,互联网金融的蓬勃发展,挤压了商业银行的盈利空间
2013年以来,以互联网理财、P2P网贷为代表的互联网金融获得爆发式增长。以余额宝为例,其规模已超过7000亿元,相当于国内一家中型银行的总资产规模。互联网金融对商业银行最直接的冲击主要体现在三方面:一是负债端。四大行2014年报显示,作为银行最优质资金来源的个人存款,增速正在大幅下降,尤其是个人活期存款增速由2013年的13.3%迅速跌落至3.8%,导致银行资金使用成本上升。二是资产端。我国靠大规模投资拉动经济增长的模式已告一段落,进入了“大众创业、万众创新”的新时期。据调查,融资需求在50万以下的企业约占55.3%,87.3%的企业融资需求在200万以下[10]。目前商业银行的信贷业务模式远不能满足这类小微企业的融资需求,也不能适应经济结构转型的新常态,而网贷平台则在突破传统信贷模式和服务实体经济上活力突显,率先占领了逐渐繁荣的长尾市场。三是中间业务环节。据统计,第三方支付和移动支付已经超越了商业银行提供的网上银行、POS机等支付渠道,抢占了支付市场前两名位置(见图2)。这不仅蚕食了商业银行的利润来源,还使商业银行的支付业务逐渐远离交易环境,无法获取个人用户的消费行为和企业用户的供应链条中的宝贵数据。互联网金融之所以取得成功,根本在于其立足于普惠金融,为用户提供了门槛低、场景化、使用便捷的数字服务,颠覆了商业银行重资产规模、轻客户服务的传统经营模式。
(二)从内生需求看,海量数据不断积累,潜在价值有待挖掘
迈尔•舍恩伯格在《大数据时代》中写到:“凡是过去,皆为序曲”[11],在“互联网+”时代,大数据的积累和应用带来了商业思维和商业模式的升级变革。商业银行依托信息系统大规模应用部署和运行,已经聚集了海量数据。以资产规模最大的工商银行为例[2],其信息系统中存储的各类数据总量已达700万GB,其中用于挖掘分析的数据在近7年增长了30倍,此外语音、图片等非结构化数据以每年50%的速度增长,总量已达820万GB。可见商业银行已坐拥巨大的数据资源宝藏,但大多数数据仍处于“沉睡”或“孤岛”状态,未能在实际业务服务中实现增值。因此,对于商业银行而言,已具备了大数据应用的条件和优势,但缺乏相应的思维和机制。在信息化银行时代,充分利用大数据提升商业决策和服务效能,将是未来商业银行完成转型、争夺市场的关键。
(三)从风险环境看,信息安全形势愈发严峻,“互联网+”转型面临考验
近年来,商业银行信息安全事件频发,轻则发生客户信息大量泄露,重则导致银行信息系统全面瘫痪数日,这是信息化银行将要长期面临的重要隐患。信息安全事件多发的主要原因可归结为以下因素:一是针对银行信息系统的攻击愈演愈烈。银行信息系统关乎国家安全、社会稳定和公民资金财产安全,加之其线上平台不断开放,容易成为网络攻击的目标。二是新型攻击威胁巨大。当前黑客组织呈现出集团化、规模化、高水平化趋势,攻击行为潜伏期长、特征弱,善于利用未知漏洞形成突破,再逐层渗透,给现有防御体系带来巨大威胁。三是新兴线上业务增长带来安全隐患。为了快速满足不断增长的线上业务需求,系统研发周期不断缩短,导致系统漏洞增多。2014年,国家互联网应急中心向包括银行在内的重要信息系统部门通报漏洞事件9069起,较2013年增长3倍③。四是信息系统架构日趋复杂,考验安全可控能力。系统规模的不断扩大使得信息安全技术架构日趋复杂,安全加固点增多,系统产生海量信息难以被及时处理。目前银行缺乏有效的关联分析手段,难以实现网络安全态势感知和联动防御。
三、信息化银行的“三驾马车”及三元驱动模型
从上述分析看,商业银行迫切需要推动信息化银行建设,积极应对内外部经营环境变化,打造全新的核心竞争力。本文认为,数字服务、大数据和信息安全将成为驱动信息化银行发展的“三驾马车”,引领商业银行走上下一个高速发展的轨道。
(一)数字服务驱动信息化银行的BaaS转型
BrettKing在《Bank3.0》中提出BaaS(Bank鄄ing-as-a-Service,银行即服务)模式[12],即未来银行将不再是一个地点,而是一种行为,一种无处不在的服务。未来金融服务将是一场为客户提供优质服务的数字战役,线下网点的规模化扩张以及线上数字渠道的粗放式拓展将不再是主流。在BaaS模式下,信息化银行数字服务的本质是在充分建立规模优势和渠道优势的基础上,为客户提供智能便捷、注重体验的数字服务,它包括以下几个方面:一是数字服务的智能化。智能化要求快速定位客户需求,简化操作流程,实现高效的客户交互。例如,银行已开始尝试使用VTM(虚拟柜员机)设备来提供远程银行服务,实现对公零售业务的自主办理,使用户摆脱“取号+柜台+纸质材料”的低效人工服务模式,充分享受智能化的数字服务。二是数字服务的移动化。金融服务的移动化是实现BaaS模式的关键,商业银行已普遍搭建手机App移动平台,并以此为网络入口努力开展与移动产业生态的深度融合,尤其是在移动互联网深度改变客户行为模式的背景下,提升操作性、互动性、安全性以及解决客户痛点将成为移动银行革新的突破口。三是数字服务的场景化。数字服务的场景化将成为信息化银行争夺客户流量的新特性,这要求银行将金融服务与非金融服务嫁接,嵌入到日常生产生活场景中,并与整个互联网生态体系进行深度融合,以获得长期的用户粘性和持续的商业变现。目前,场景化应用趋势已初现端倪,如“网购+理财”(余额宝)、“网购+贷款”(网络消费金融)、“线上+线下”(移动支付)、“数据+授信”(数据网贷)等。四是数字服务的协同化。协同化要求银行整合既有的数字金融服务,打通业务间的逻辑连接,并与整个互联网生态圈开展外部协作,实现业务流程再造和数字服务能力提升。无论是传统大型银行还是新兴民营银行都在开展这样颇具革新性的实践。例如,工商银行的E-ICBC战略整合了电商、通讯、直销三大平台,为客户提供大一统的综合金融服务。阿里系的网商银行拟整合支付宝支付功能、余额宝融资功能、招财宝理财功能、蚂蚁微贷贷款功能、芝麻信用授信功能等,建立信息化银行数字服务的协同生态体系。
(二)大数据驱动信息化银行的商业智能转型
事实上,海量信息处理对于商业银行并不是一个新的课题。在信息化进程中,银行始终强调高速、稳定、精确的数据处理能力,长期以来,严谨、机械和弱相关是银行数据的特点。而进入信息化银行阶段,数据变得开放、动态、高附加值,将逐渐实现由资源性向应用性的跨越,银行更加关注数据的建模、分析、挖掘及使用,大数据的应用成为新的课题。鉴于数字服务已向经济社会各微观领域渗透,利用大数据提高商业智能既是商业银行的迫切需求也是先天优势。银行可以通过各类服务渠道获取海量数据,再通过对这些数据进行加工、整合、分析,实现数据增值,提升各个经营领域服务效能。例如,在零售业务领域,银行可以通过历史交易数据、资金结构数据对客户进行分层管理,并通过对客户消费行为变化、资金变化数据以及外部非结构化数据(如社交网络数据)的分析,实现金融产品的精准营销,并提供非金融增值服务,从而在产品差异小、可替代性强的零售业务领域脱颖而出。在对公业务领域,银行可以通过在线供应链金融平台实时客观的掌握核心企业及上下游企业的信息流、物流、资金流数据,经大数据关联分析后,既可以掌握某一个企业的整体经营状况,并以数据分析结果为依据进行授信和放贷,又可以从宏观视角分析行业发展趋势,指导对公领域的战略调整。在风险管理领域,可根据交易数据、社交数据、工商数据等内外部数据,完善小微企业或个人信用模型,使银行更好的开展高风险的小贷业务;还可以基于电子渠道的海量数据完成电子账号正常行为基线建模,再通过聚类分析以及实时流数据挖掘等方法进行异常事件检测,从中识别网络欺诈、账户盗用等行为,提高线上交易的安全性与便利性。如上所述,大数据将成为信息化银行的大脑,调动各个业务领域的商业智能转型。数据的处理和分析也将不再局限于银行科技部门,而是将渗透于银行的整体战略发展中。
(三)信息安全将驱动信息化银行的安全可控转型
商业银行是国民经济命脉的重要环节,安全性是其稳健经营和持续发展的基础。随着业务和技术的深度融合,信息安全已成为信息化银行转型创新与健康发展的基本前提和重要驱动,实现安全可控亦是信息化银行的重要目标之一。信息化银行下的信息安全范畴,主要包括安全和可控两个方面。一是安全。随着业务模式逐步开放,信息化银行的安全性将与整个互联网日趋复杂的信息安全生态紧密相连,这对银行的信息安全能力提出了极高的要求。首先是敏锐的安全感知能力。信息化银行互联互通,形成“木桶效应”,银行系统任何与外界相连的风险点都有可能成为整个系统被入侵的突破口,因此信息化银行要实现业务拓展必须强化风险监测和安全态势感知能力。然后是坚固的安全防御能力。传统的关注单点防御和阶段性防御的孤立安全思维已不能有效应对新型安全威胁,需要构建系统间联动、内外网联动、前后动的立体化智能防御体系。最后是合理的安全规划能力。在信息化银行时代,用户对金融服务的便利性和安全性都要求极高,要处理好这对天然矛盾,就需要将安全纳入到业务创新的整体规划中,针对业务场景实施有效的关联梳理分析。二是可控。随着互联网金融服务的不断创新,商业银行将不断面对类似于“双11”、“抢红包”等新型业务场景,经验表明,当前银行信息系统架构在应对业务的多样性和多变性上已显现不足,这制约了银行业务创新转型进程。因此,银行应改变目前关键IT基础架构和核心业务系统过度倚赖第三方厂商的现状,加强顶层设计,推进深度自主研发,进一步增强核心系统架构的灵活性和安全性,提升对关键技术的掌控力,主要思路包括:一要以业务为导向,逐步向云计算服务模式迁移;二要从“IOE”向x86架构转型,降低成本的同时,规避技术依赖风险;三要坚持开源软件与自主研发相结合的技术发展路线;四要通过业务创新推动技术创新,实现基础架构的高可用。未来信息化银行将承载十分复杂的互联网金融生态,信息安全将从银行科技层面升级到战略层面,并被纳入整体能力建设和发展规划中,成为高速发展中控制稳定性的重要驱动。
(四)信息化银行三元驱动模型
经过对“三驾马车”的分析和论述,可以发现信息化银行将形成以“三驾马车”为核心驱动的战略发展模式,在此总结为一种三元驱动模型(见图3)。数字服务、大数据和信息安全分别解决信息化银行经营中所面临的主要问题,并引领其在BaaS、商业智能和安全可控三个方向上开展转型。三者分工明确、缺一不可,同时又互为促进、相辅相成。一是数字服务使客户更好的感知银行,并在服务体验中产生大量有价值的数据,大数据使银行更好的认知客户,从而有针对性的提升数字服务能力。二是数字服务的发展依附于信息安全服务水平的不断提升,信息安全能力的不断完善将保障数字服务更加大胆的开展金融服务创新。三是银行大数据的存储和使用本身会带来数据安全和隐私保护问题,需要安全技术和安全管理的双重保护,而大数据技术同时又能够帮助银行在金融信息安全感知防御能力上取得突破。
四、“三驾马车”视角下商业银行实践信息化银行的策略
根据前文的分析阐述可见,信息化银行趋势已成,以“三驾马车”模式为抓手开展经营发展模式转型,将使商业银行在“互联网+”时代占据战略主动。本文以信息化银行“三驾马车”的观点为视角,结合我国商业银行实际情况,从纵横两个维度对商业银行实践信息化银行提出相关对策建议。
(一)纵向上持续发挥“三驾马车”的驱动优势
一是以互联网金融为导向,加快完善金融数字服务。商业银行应在网上银行、手机银行良好的发展势头以及网点转型有序进行的基础上,根据各自情况,不断开发和完善自有电商平台、资产管理平台、网络信贷平台、移动金融平台等新兴业务平台,积极探索特点鲜明的互联网金融服务品牌化路线,建立综合化数字金融服务生态圈。鉴于商业银行普遍欠缺互联网基因,且互联网金融业务开展较晚,还可选择曲线发展路线以提升数字服务能力。一种是外部合作模式,可通过收购具有潜力和规模的电商或投融资平台,也可联手大型互联网企业开展线上金融服务创新,弥补自身业务体系不足;一种是差异化竞争模式,盯紧蓝海,快速切入,例如在农村市场,可以充分利用银行网点和声誉优势率先发展农村电商平台,还可以研究将支付理财通过移动金融等服务手段嵌入到田间地头,满足农民农户的理财需求。二是坚持“数据治行”的现代经营理念,充分挖掘大数据价值。要积极开展内部商业数据的搜集整合,并通过爬虫等技术主动式的定向获取有价值的网络数据,以及广泛与互联网企业、工商、税务等开展外部数据合作,解决商业银行数据“难搜集”问题;大力推进数据治理,明确数据标准,明晰管理流程,严控数据质量,并以业务数据、技术数据、管理数据等为分类建立企业数据模型作为各项目的参考数据模型,解决数据“不可用”问题;努力提升数据使用能力,开展数据分析技能培训,以各业务条线为主导进行大数据应用立项,建立业务部门、数据管理部门及科技部门的协作沟通机制,引入试错和反馈机制,深度挖掘数据潜能,解决数据“不会用”问题。三是将信息安全纳入企业战略规划体系,切实提升安全可控能力。要提高对信息安全的认识程度,将安全可控视为信息化银行建设中的“马拉松”,化被动安全为主动安全,推动信息安全规划向上层迁移。建立从企业战略和业务需求角度出发,到系统架构、到技术架构、到实施管理、再到新业务架构变更的全生命周期安全规划框架,确保安全规划的持续性、可操作性以及实施弹性,使信息安全能够全面融入到开发测试、生产运维、业务运营等各个环节。在提升安全规划层次基础上,还要持续加强安全技术研究,落实安全管理规范,提升安全检查评估,将银行信息化阶段的有效安全措施进行转型升级,切实提高信息化银行的安全治理能力。
(二)横向上积极发挥“三驾马车”的协作优势
关键词:SOA 信息安全 企业服务总线
中图分类号:TP2 文献标识码:A 文章编号:1672-3791(2013)01(c)-0022-02
随着信息技术的不断普遍,信息安全体系结构在当前的企业信息技术中扮演着越来越重要的角色。我们尝试将信息安全和风险控制活动定义到安全服务里,设计面向服务的企业信息安全体系结构。
SOA是工业界的一个热点主题。它是一个策略、实践和框架的集合,能够为提供跨域注册、动态发现和自动机制提供内建的基础设施。并且提供的服务封装,通过消息协议提供可由双方共同操作的服务。SOA也为服务质量控制和资源管理及其它的监控服务和异常处理机制准备了基础设施。作为一个agility-pursued体系结构,SOA将企业逻辑从技术实现分离,从而使围绕SOA体系结构建立的应用能够满足企业和技术领域持续变化的需求。它也将有益于可复用性和系统集成,以及可扩展性、分布性和跨域注册。
1 问题发现
我们在SOA安全体系结构上的研究发现了以下几个问题。
(1)缺少企业信息安全集成体系结构,引入了不同的、相互独立的信息安全系统和解决方案,这会导致整个系统的不兼容性,导致无法达到期望的风险管理控制。
(2)由于在信息风险管理系统的信息采集还处于半自动化阶段,人工的信息采集过程会导致人为造成的错误。
(3)ISO/IEC 27002系统为企业信息安全管理提供非常好的方法和指南,但由于缺乏合适的工具进行管理,无法很好解决企业信息安全。
(4)我们需要注意SOA自身的可靠性和安全性问题。
2 信息安全体系结构的设计
根据上述问题,提出本文的基于SOA的信息安全体系的设计。
通过研究,我们提出了一个面向服务架构的企业信息安全体系结构,它是底层基于数据仓库/数据集市技术,并以安全服务总线作为hub,为企业信息安全活动提供集成信息安全的管理和有效的控制,使用BPM(企业过程管理)、规则引擎(Rule Engine,RE)和,企业智能(Business Intelligence,BI)技术。它有益于企业公司达到需要的信息安全管理级别。并且建立一个PDCA(Plan-Do-Check-Act)适配器,以确保信息安全管理和风险控制活动,能够进行自我优化。
2.1 体系结构的结构
参考七层OSI设计,我们设计了五层的智能企业信息安全体系结构。自下向上为安全数据库层、安全应用层、安全服务总线、集成和智能层、信息安全框架。
(图1)说明了智能企业信息安全体系结构的结构。
(1)安全数据层。体系结构的底层是整个体系结构的基础层。这是因为安全数据易于被其它应用和服务使用。这一层的数据被分为两个部分:操作数据和分析数据。
(2)安全应用层。应用层包括所有的信息安全系统,如防火墙、入侵防御系统、反病毒系统,以及被防护的设备,如网络设备、服务器和桌面环境等。它也包括这些系统上的各种各样的操作系统。
(3)安全服务总线。是基于SOA的信息安全体系结构的中枢。我们在这一层定义SOA服务总线的结构和需要的各种各样的信息安全服务。在面向服务的信息安全体系结构中,我们能够将当前和未来的安全需求定义为安全服务,但这些服务的实现是隐藏的。
(4)集成&智能层。体系结构中数据、过程和应用都是在这一层进行处理实现的,解决一个企业各种业务问题,满足快速变化的环境。集成层具有“应用之间”和“过程之间”进行通信的能力,通过适配器,它还能够与其他企业过程、服务提供者或数据提供者通信。
(5)信息安全辅助设计。这是信息安全对外的接口,主要是由匀衡器、关键风险指示仪以及监控接口。
企业智能模型提供各种各样的服务,例如报告、查询、OLAP、数据挖掘和多维分析。规则引擎,作为工作流的一部分,可以结合到BPM模型。因为有了规则引擎,我们能够更加有效地执行信息安全管理和风险控制。PDCA适配器是一个特殊的工具,它利用人工智能能够帮助公司达到信息安全管理中持续提高和自我优化的目标。
2.2 特点和优势
本文提出的企业信息安全体系结构具有以下特点。
(1)集成。它也能够将信息安全管理和风险控制联合起来作为一个集成的框架。
(2)可复用。体系结构是比较独立的,适合于企业和小型组织。服务的封装使得可复用,与其他服务联合使用。
(3)面向服务的体系结构。SOA体系机构的采用提供了服务的独立性、自我管理和自我弹性。
(4)集成的数据环境。集成的数据结构使之适合于各种数据库进行对接。
(5)企业智能。这个体系结构将企业智能应用到信息安全管理,信息安全管理主要使用了数据挖掘和模式识别技术。这可以大大减少由于人工误操作引起的损失,增强信息安全管理和风险控制操作。
(6)开放的体系结构。体系结构开放设计,以满足整个企业的安全需求;面向服务的特征使得体系结构式开放的,允许多个接口与外部应用通信。
3 结论
与传统的信息安全体系结构设计相比,本文提出的体系结构设计具有几个优势,包括开放、集成、可复用、面向服务、集成数据平台和商业智能。信息安全管理人员可以自由地执行重要的任务,如风险分析等。最后,这个体系结构式我们建立集成和智能企业信息安全体系结构的开端,以后会有更多的、更好的产品出现。
参考文献
[1] 魏东,陈晓江,房鼎益,等.基于SOA体系结构的软件开发方法研究[J].微电子学与计算机,2005,22(6):73-76.
[2] 叶宇风.基于SOA的企业应用集成研究[J].微电子学与计算机,2006,23(5):211-213.
[3] 雷冬艳.SOA环境下的数字图书馆信息安全研究[J].科教文汇,2010(33):189-190.
[4] 李益文.基于SOA的商业系统的信息安全技术探讨[J].电脑编程技巧与维护,2010(20):114-115,154.
关键词:分布式;信息安全;规划;方案
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2 总体规划原则和目标
2.1 总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2 总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3 信息安全组织规划
3.1 组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2 组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4 信息安全管理规划
4.1 管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2 信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1 信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3 信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4 信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5 信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6 信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7 信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8 信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5 信息安全技术规划
5.1 技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2 信息安全运维中心(SOC)
SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。
图1 信息安全软措施关系
图2 信息安全总体框架
图3 资产、组织、管理和安全措施的关系
5.3 信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4 安全平台建设规划
参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6 信息安全服务业务规划
6.1 服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2 服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7 结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41~41,45~45.
邓高峰:国内信息安全产业经历了十多年的发展积累了一批中坚力量,大多分布在信息安全产品提供商和服务提供商以及第三方机构,但从信息安全责任单位以及为其提供各类信息技术服务外包的更广泛的IT行业来看,大部分行业和组织还没有专门的信息安全岗位设置和专业的信息安全人才配置,据权威机构估算,我国信息安全人才的需要量在50多万。目前,信息安全专业在国内仍是高等教育的二级学科,全国有将近80家高校设置了信息安全类本科专业,通过高校培养的信息安全人才不到4万人,这些青年军无论在整体数量还是在实践实战上,距离国家健全信息安全保障体系、上海市智慧城市所要求的信息安全总体可控,还有很大缺口,亟需通过专业的职业培训来补充和提升。
我理解的信息安全是暂时的,不安全是永恒的;信息安全的系统建设是一个持续进行的过程,其实就是指信息安全的“新四化”。以上海这样信息化程度很高的城市为例,无论是政府还是企业,一方面其业务对信息技术的依赖程度很大,另一方面这些改革开放的前沿也是各方关注的焦点,信息安全和业务连续的保障需求自然就十分迫切,信息安全不应成为信息化发展瓶颈,而应成为趋利避害的重要手段。全面提高各单位各企业的信息安全意识,有效提升信息安全专业技能水平,包括重点培育信息安全专业服务机构,这些工作都离不开信息安全人才培养和集聚,因此在各行业大力开展CISP等相关培训将为建设上海信息安全人才高地打下坚实的基础。
《上海信息化》:三零卫士在CISP培训体系建设上,又有哪些新的创新与思考?
邓高峰:CISP培训一直致力于培养信息安全的组织者、推动者和管理者。信息安全体系建设,不只是用信息安全产品搭建一个堡垒,更重要的是组织自身需建立一套完善的信息安全制度,只有硬件(技术)和软件(人才)相互结合,才能保障信息的机密性、完整性和可用性。对于公司的培训来说,则是将安全知识体系和实际工作中的应用一起纳入了信息安全体系建设。组织面临的安全问题多种多样,除了常见的系统漏洞、黑客入侵、挂马和钓鱼网站、木马下载器等一些技术性威胁外,一些安全意识薄弱同样也会产生安全问题,比如:没有专业的安全培训严重缺乏安全意识;不知道组织存在哪些安全隐患;出现突发安全事故无法第一时间了解等等。对于那些没有经过专门的安全培训、没有配备专业的技术人才、没有设定合理安全流程的企业来讲,只靠采购安装软、硬件安全产品来避免威胁或在遇到威胁时应急处理,是非常不现实的。
对此,CISP全面覆盖全球信息安全知识,充分贴合中国信息安全国情,具有非常系统化的知识体系,使用组件模块化的结构,包括知识类、知识体、知识域和知识子域四个层次,更注重全面性、前沿性和实用性。
《上海信息化》:国际上也有CISSP等信息安全培训,与之相比CISP有什么优势或特点?
邓高峰:国际上除了(ISC)2的CISSP(信息系统安全专家)培训之外,还有ISACA的CISA(注册信息安全审计师)、ISO27001的主任审核员等与信息安全相关的人员培训,但分别侧重技术、审计和管理体系,参与培训的人员也未必是信息安全从业人员。国内有公安部的信息安全师、工信部网络信息安全师、国家信息安全认证中心的CISAW(信息安全保障从业人员)等培训,还有不少社会化IT培训中也有所谓的信息安全模块,但是无论从专业人员定位、培训体系构成还是从与国家信息安全保障工作的关联度来看,均逊色于CISP。
CISP最初是瞄准CISSP所设计的高端专业培训,十年来结合国家信息安全保障的需求,不断得到更新和充实,现在已形成由CISM(注册信息安全人员)、CISO(注册信息安全管理人员)、CISE(注册信息安全工程师)、CISP-AUDIT(注册信息安全审计师)、CISP-DRP(注册信息安全灾难恢复工程师)、CISD(注册信息安全专业开发人员)所构成的系列培训和人员认证。所以说,如果希望在信息安全行业长期发展,就目前而言,CISP专业培训具有不可替代性。
《上海信息化》:今年上海针对信息安全教育培训有什么具体的政策和要求?
邓高峰:“发展以安全为重,安全以人才为本”是CISP培训的宗旨,信息化的成效很大程度上取决于信息安全保障水平,而信息安全保障的关键在于人,CISP培训的初衷就是在最大范围建立大家的信息安全意识,并针对信息安全相关人员普及信息安全知识,掌握必要的信息安全技能。就目前来看,CISP不仅是申请信息安全服务资质的必备条件,并在越来越多的行业成为信息安全岗位的“上岗证”,上海市也开始要求IT服务外包企业将信息安全专业人员纳入技术团队标准配置。
火花1 : 安全产品走向融合
在网络通信界的巨头们热烈讨论网络融合美妙前景的同时,网络安全界已经用行动去品尝各种安全技术融合的滋味。但如果我们比较一下两种融合趋势就会发现他们之间有很大差异。
网络通信的融合的源动力来自新技术的创新,而这种融合的方向是多种业务在一个平台上的承载。而信息安全界的融合源动力来自网络攻击手段的融合。而融合的方向是以安全技术的融合对抗攻击手段的融合。可以说信息安全界的融合是让愈演愈烈的网络攻击逼出来的虽然这听起来有点以彼之道还彼之身的味道,但事实确实如此。以网络病毒为例从去年的尼姆达到今年的振荡波,冲击波,还有最近的QQ尾巴,我们可以看出在现在的网络攻击手段中,既包括病毒攻击,也包括隐通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。双拳难敌四手,众多攻击手段让传统上各自为战的安全产品破绽百出。
IDS不是用来对付网络蠕虫的,防病毒软件不会理睬网络上拒绝服务攻击,防火墙对病毒攻击和隐藏在合法服务下木马后门鞭长莫及。用户不是技术专家,当安全问题出现时,他们不会追究到底是摆在这边的防火墙还是放在那边的IDS谁失职,他们会责问安全提供商:我掏了一大堆钱,为什么我的网络老出问题,你们安全产品到底灵不灵?
入侵检测技术侧重监测、监控和预警领域,而防火墙和IPS能在访问控制领域发挥长处,防病毒软件,安全认证分属于不同的安全领域的安全产品,可惜用户并不是讨论某一种安全技术乃至某一个安全产品与其他技术和产品哪个更安全,其实不如探讨如何将各种安全产品整合成一个安全体系让这些安全产品有效地协同工作更为务实。
我们可以看到现在各大安全产品制造商的产品线已经在尝试将不同的技术融合在一起:以侧重于检测的入侵检测技术和侧重于访问控制的防火墙技术两种技术协同和融合起来一直是信息安全研究的前沿课题。而防火墙和防病毒的融合已经在防毒墙这一产品中得到体现。所以只有将不同安全侧重点的安全技术有效的融合起来,安全产品的性价比才能更高,才能在日益激烈的信息安全市场上有优异的表现。
一个木桶能装多少水不但要看木桶最短的那块模板的长度,也要看木板之间的紧密程度。这个模型应用在信息安全领域就是:一个企业网络的信息安全不但依赖单个安全产品自身的性能也依赖于各个安全产品之间的协作。众多安全产品之间的关系不是简单堆砌,而是相互协作,将不同安全防范领域的安全产品融合成一个无缝的安全体系。
来自天融信的余海波介绍说:这种融合趋势不仅仅是安全技术,也席卷了安全体系和架构。网络安全产品已不能再仅仅是个安全设备,还必须是个高性能的网络设备。
思科自防御网络的体系框架把安全的基因融合到路由器、交换机、终端、防火墙+VPN+IDS产品中,并采用了集成化管理软件。从终端方面的网络准备控制(NAC),到交换机上的防火墙、入侵检测、流量分析与监控、内容过滤形成全面的网络安全防御体系。这个安全防御体系代表了安全和网络融合成一体的整体安全解决方案也成为网络安全领域的共识和发展方向。
火花2: 安全厂商之间不仅仅是竞争关系
说到竞争,在信息安全市场上,安全厂商们之间不仅仅是激烈的竞争,他们还有合作。合作不仅仅是不同领域的安全产品之间的必须有良好的兼容性,这个技术问题对于前来座谈的厂商不是什么大问题,真正的问题来自于厂商之间在市场竞争中的合作。来自瑞星公司的市场部副总经理马刚谈到了价格竞争,讲了一个真实案例,在一次采购招标中,一家小的安全产品服务商为了能拿到一个单子,用低于盗版的价格硬是将瑞星还有另外两家国内知名安全厂商挤出局,马刚说:“当我听到他的报价,一个单机版5元!那就没什么可说的了。5元一个软件,别说是软件开发成本,服务提供成本,就是我的服务人员来你这里提供及时的上门服务的车票钱都不够!”
这种严重的恶意压低产品价格只能是阻碍,而不是促进信息安全业的健康发展。非理智的低价竞争恐怕受损失不仅是厂商自己,用户最终也会为这个非理智低价承担相应的损失。而刚才那个案例的用户就是折腾了两个星期后又把上面3家安全产品提供商请回来重新竞标,原因当然也勿须多说,从这个案例我们可以看出信息安全这个产业需要每一个参与游戏者都自觉遵守一定的游戏规则,而其中一条重要的规则就是不参与低价竞争。需要指出的是现阶段的信息安全产业环境和网络通信界的产业环境有一个重要的不同:那就是竞争过度。网络通信界天天有人喊打破垄断,鼓励竞争,只有竞争可以让垄断者出让一部分剩余让消费者享受,可是在信息安全产业内是恰恰相反,竞争的不止是有点过头,而是千军万马过独木桥,十几家厂商为一个单子互开低价,而且是一边骂别人瞎搞拆台,一边给用户开出0折扣的支票,让客户自己去填价格!这种恶性竞争不但影响安全制造商,安全服务提供商自己的健康成长,而且超低价产品和超廉价服务只是一个短期行为,长期下去会滋生劣质产品、劣质服务,这反而不利于信息安全市场的成长。
所以安全厂商之间不仅仅是刺刀见红的竞争关系,而且每一个想在信息安全产业做久做大的企业都必须建立一种战略合作,通过这种合作去建立一种行业秩序,这种行业秩序同国家的宏观产业政策互相呼应才能营造出一种良好的市场环境,促进信息安全市场健康发展。显然信息安全市场的健康发展的受益者是信息安全市场的每一个参与者,不仅是产品和服务的提供者,还有产品和服务的接受者。我想信息安全界自律公约的出台就说明这种合作的必要性已经被各大信息安全相关厂商意识到了。
火花3 :信息安全服务-产业的盲点
启明星辰的杨继生分析当前信息安全服务市场时说道:现在的信息安全服务基本上分为安全评估服务,安全培训,安全外包、安全集成、和应急相应。现在能看到利润的主要是安全评估和安全集成。而安全培训和应急相应多是对用户的售后服务,而在国外开始流行的安全外包服务在国内尚没有成气候。信息安全服务对安全设备提供商意味着什么?冠群金辰的黄逊认为服务就是赢得客户对产品以及产品背后的厂商信赖和认可的重要手段,良好的服务积累起来的口碑是冠群金辰取得用户信任的干将莫邪(注:冠群金辰曾以七种上古神兵做为自己七款产品的代言人)!而东软市场的路娜则讲述了东软在完成了一次及时高效应急服务后,赢得大客户的信任,得到一笔不菲订单的成功案例。也许是受限于座谈会的时间短暂,关于信息安全服务的话题没有深入的进行下去。
还有什么没有谈到的吗?
在我看来,良好的服务给安全产品提供商带来不仅仅是口碑、商机。信息安全服务对于信息安全提供商还有两个战略意义。
1 信息安全市场的入场劵
让我们先从两个统计数据来感受热闹的信息安全市场:
数据1:2007年全球安全市场的总额将从2002年的639亿美元增长为1,188亿美元,其中硬件、软件和服务的市场占有率将分别为32.4%、34%和33.6%,其市场规模平均增长率分别是11.8%、12.2%和15.8%。按照IDC对安全的新定义,安全领域可细分为物理安全、信息安全和业务连续性安全,信息安全是安全市场增长最多的领域。IDC预测,亚太区信息安全的市场规模将从将从2003年的37亿美元增长为2007年的83.4亿美元,而中国信息安全市场则从2亿美元增长为6.7亿美元,年均增长率为34%,远远超过整个亚太市场22.9%的年均增长率。 (数据来源:IDC(国际数据公司)2004年亚太安全论坛)
数据2:2002年底,我国国内与信息安全相关的注册公司已达1300多家,其中具有技术研发能力的350多家,有自主产品的190家,具有成熟产品的80家;已领取了安全产品销售许可证的产品有近500种,通过信息安全测评认证的产品有140多个。 (数据来源:中国信息产业商会信息安全产业分会)
两个统计数据给我们这样一个问题:信息安全市场容的下1300家企业吗?
答案是:过去容不下,将来更容不下。信息安全市场的高速发展的另一面就是高淘汰率。显而易见,信息安全市场越成熟,市场的资源配置会就越来越集中到更少而不是更多的公司手中,这是资本的规律。问题的关键是会淘汰什么样的企业?第一感觉告诉我们是技术,只有拥有核心技术的信息安全公司才会在激烈的市场竞争中幸存,但是如果你站在用户的角度上就会发现并不完全是这样。用户真正关心的不是你卖给他的硬件设备是基于NP还是ASIC的硬件平台,是千兆设备还是百兆设备,他关心的是你的设备能否既能保证他内部网络的安全的同时,又能兼顾正常的网络转发性能。他们最终关心不是你的防火墙是采用状态检测机制还是深度检测机制,你的IDS是基于主机的还是基于网络的,而是用了你的设备后,他的机密信息是否真正安全了,他们的内网安全在你的设备和你的安全方案下得到了真正的安全。简而言之,核心技术对用户应该是透明的,用户看的到的是厂家的服务。厂家所能提供服务水平是这个厂家的技术实力、资本实力、管理实力、市场运作实力的综合体现。限于条件,笔者只能在这里提出一个假设:如果能将这四种实力进行计量形成一个加权综合服务指数,那么这个综合服务指数的排名和厂商在市场的份额应该是直接对应的。
这种信息安全厂商的服务随着信息安全市场的发展将积累成一种资格,而这种资格一面淘汰那些不能提供长期优质服务的信息安全厂商,一面也逐渐成为信息安全产业后来者的入场劵。现在的信息安全厂商要想利用先发优势享用更多的信息安全市场高速发展带来的丰厚利润,就必须做好他们的服务,他们的服务越好,后来者就越不容易进入这个产业。
2 未来安全产品制造商的避风港
常言道:居安思危。现在信息安全产品提供商现在注意到的是不规范的市场秩序和高速发展的市场,不知他们考虑过螳螂捕蝉,黄雀在后。或许在他们相互为争夺客户拼个你死我活时,像CISCO这样的网络设备提供商和微软这样的软件商正在暗自打算如何抢走他们的奶酪,他们苦心经营的技术优势恐怕对于这些巨头来说只是薄薄的一层窗纱。显而易见CICSO和华为这样的网络设备提供商进入防火墙、IDS的市场难度,远小于防火墙制造商进入交换路由市场的难度,微软做防毒软件更是有得天独到的优势。
如果换一个角度看CISCO的自防御体系和华为的“i3安全”,就会发现CICSO和华为这样的网络设备提供商,正在考虑利用其完善的网络基础设施产品线,把相关的安全产品融合到网络构架中。对用户来说绝对是一个好事,因为他们把技术层次上的信息安全做的可谓滴水不漏。可是对于现在得信息安全厂商来说可是一个严峻得考验。当网络设备提供商用自己全面的生产线为用户建立起完善的安全体系的时候,真不知道,防火墙也好,IDS也罢,他们能卖出多少。我是在危言耸听吗?但愿是。
至于微软捆绑销售防毒软件我不想多说,免的给他造势,反正我知道网景当年可是高速成长的明星公司......
我猜想现在这些巨头们光动口,不动手的根本原因是现在的信息安全市场还不够肥,他们进入的时机还没有成熟,他们一面在炒概念,一面在不远处的地方观望着,对他们来说这是收益和成本的权衡,一旦他们信息安全市场规模发展到他们的收益超过他们的成本,他们可以在很短的时间内杀入这个狭窄的市场。
信息系统安全体系的研制和建设是一个非常复杂的过程,如果没有与之相配套的安全标准做支撑,就不能实现系统的安全可信,只有从系统的视角全面考虑信息系统的安全性,构建起合理的信息安全标准体系,才能保证各信息系统和平台的安全可控和高效运行,也只有建立起涵盖系统安全结构的完整的技术标准体系,才能促进安全组件之间的相互协作和关联操作,实现系统安全性的最大化。
1信息安全标准体系分类现状
1.1信息安全国际标准现状及分类体系
1.1.1美国国防部信息安全标准体系
美国国防部(DoD)将美军信息安全标准按安全部件与安全功能相结合的方法进行分类,其标准体系见图1,其中安全部件以信息流为主线贯穿始终,分为信息处理安全标准、信息传输安全标准、信息理解表示安全标准、安全管理标准和安全环境标准五类。安全功能从信息安全的基本要素(机密性、完整性、可用性、可控性、抗抵赖性)来进行划分,分为鉴别安全服务标准、访问控制安全服务标准、保密性安全服务标准、完整性安全服务标准、抗抵赖性安全服务标准和可用性安全服务标准六类。DoD的信息安全标准体系,虽然覆盖全面,但安全部件和安全功能之间的标准交叉重复比较多,层次不够清晰。
1.1.2联合技术参考模型(JTA 6.0)
JTA 6.0中的信息安全标准体系为实现对国防部信息系统的安全防护提供了支撑,包括(本地)计算环境、飞地边界、网络和基础设施、支撑性基础设施和安全评估五类标准。这种分类比较合理,但分类下面对应的标准大部分是国际标准和美国国家标准,因此,应在借鉴该分类的基础上,针对目前我国已有的国家标准,建立起合理的标准体系。
ISO信息安全工作组分类如图3所示。目前,ISO制定的信息安全标准按照工作组的分类分为信息安全管理体系(ISMS)标准、密码和安全机制、安全评价准则、安全控制与服务和身份管理与隐私技术五类。该分类方法比较粗糙,对于建立安全运行的信息系统,针对性不太强。
1.1.4国际电信联盟(ITU-T)标准
ITU-T SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务,如图4所示该分类方法对信息安全技术分类比较粗糙,信息安全技术也只侧重于通信安全。
ITU-T颁布的比较有影响力的安全标准主要有:消息处理系统(X.400系列)、目录系统(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509标准是PKI的重要基础标准,X.805是端到端通信安全的重要标准。
目前,ITU-T在安全标准化方面主要关注NGN安全、IPTV安全、身份管理(IDM)、数字版权管理(DRM)、生物认证、反垃圾信息等热点问题。
1.2国家信息安全标准体系
我国国家信息安全标准自1995年开始制定,至2002年共制定标准19项,全部由国际标准直接转化而来,主要是有关密码和评估的标准。在这19项中,2004年后已有12项进行了修订。自全国信息安全标准化技术委员会2004年成立以来至目前我国实际现存正式信息安全标准87项,这些标准中,既包括技术标准,如产品和系统(网络)标准,亦包括管理标准,如风险管理标准等,覆盖了当前信息安全主要需求领域。
由此可见,目前我国信息安全标准的制定工作已经取得了长足的进展,标准的数量和质量都有了很大的提升,本着“科学、合理、系统、适用”的原则,在充分借鉴和吸收国际先进信息安全技术标准化成果和认真梳理我国信息安全标准的基础上,经过全国信息安全标准化技术委员会各工作组的认真研究,初步形成了我国信息安全标准体系。该标准体系分类相对合理、全面,涵盖了体系结构、安全保密技术、安全管理和安全测评等方面的标准,但庞大繁杂的标准体系常常让开发人员无所适从,无法选取需要遵循的标准。因此,针对信息安全系统的开发工作要进一步精简标准体系,突出重点,尤其是影响系统集成方面的安全接口标准,进而增强各个安全组件之间的互操作和安全技术间的协作,提升整个信息系统的安全防护能力。
支撑性基础设施主要涉及到实现通信与网络、应用环境和数据安全所应用的支撑性技术,包括认证、授权、访问控制、公钥基础设施(PKI)和密码管理基础设施(KMI)。
通信与网络安全主要体现在网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。
应用环境安全主要包括终端安全和应用系统安全。其中:
终端安全主要包括计算机和服务器的安全。其中服务器可以归结为广义上的终端,防火墙、IDS、服务器存储备份等技术可以为服务器提供安全服务。
应用系统的安全问题主要来自网络内使用的操作系统和数据库的安全,操作系统安全主要表现在三个方面:(1)操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;(2)对操作系统的安全配置问题;(3)病毒对操作系统形成的威胁。数据库系统的威胁主要来自:非法访问数据库信息;恶意破坏数据库或未经授权非法修改数据库数据;用户通过网络进行数据库访问时受到各种攻击,如搭线窃听等。
系统中的数据是系统运行的核心,数据的安全性保障关系到整个系统能否正常运行和服务。数据安全通过数据容灾备份技术、网络隔离技术和加密技术保障数据的完整性、不受损坏、不被窃取。数据容灾备份主要通过对系统、数据、文件等进行快速、完整备份,保证数据的安全性,并支持快速恢复的机制。网络隔离技术主要通过隔离网络攻击来确保网间数据的安全交换。数据加密主要通过链路加密和节点加密来确保数据不被截获。
安全运维管理是在企业进行了一定的安全系统建设之后的工作,其目的是保证所应有的安全产品和技术能够真正、充分发挥其预期应有的效果和效率。安全运维管理包括安全设备的策略配置、安全测评、安全监控和审计、安全应急响应等方面的技术,主要完成安全风险的实时监控和安全问题的处理等系统安全保障工作。
3信息安全标准分类体系
信息安全技术参考模型是建立信息安全标准体系的基础和前提,只有在信息安全技术发展趋势的基础上建立起覆盖全面,分类合理的标准体系,才能科学地预见需要制/修订的标准,进一步明确信息安全标准化的研究方向,更好地支撑信息安全系统的开发和集成,确
保系统内部和系统之间形成安全可信的互连互通互操作。在前面提出的技术参考模型的基础上,进一步对信息安全标准体系进行了划分。 应用环境安全主要包括终端安全和应用系统安全。其中:
终端安全主要包括计算机和服务器的安全。其中服务器可以归结为广义上的终端,防火墙、IDS、服务器存储备份等技术可以为服务器提供安全服务。
应用系统的安全问题主要来自网络内使用的操作系统和数据库的安全,操作系统安全主要表现在三个方面:(1)操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;(2)对操作系统的安全配置问题;(3)病毒对操作系统形成的威胁。数据库系统的威胁主要来自:非法访问数据库信息;恶意破坏数据库或未经授权非法修改数据库数据;用户通过网络进行数据库访问时受到各种攻击,如搭线窃听等。
系统中的数据是系统运行的核心,数据的安全性保障关系到整个系统能否正常运行和服务。数据安全通过数据容灾备份技术、网络隔离技术和加密技术保障数据的完整性、不受损坏、不被窃取。数据容灾备份主要通过对系统、数据、文件等进行快速、完整备份,保证数据的安全性,并支持快速恢复的机制。网络隔离技术主要通过隔离网络攻击来确保网间数据的安全交换。数据加密主要通过链路加密和节点加密来确保数据不被截获。
安全运维管理是在企业进行了一定的安全系统建设之后的工作,其目的是保证所应有的安全产品和技术能够真正、充分发挥其预期应有的效果和效率。安全运维管理包括安全设备的策略配置、安全测评、安全监控和审计、安全应急响应等方面的技术,主要完成安全风险的实时监控和安全问题的处理等系统安全保障工作。
当前,我国信息消费保持高速发展态势,今年前五个月全国信息消费规模达到1.38万亿元,同比增长19.8%。总体看来,全国网络和信息基础设施进一步完善,信息服务和应用创新活力不断,居民消费潜力空间不断释放,电子商务增势继续高歌猛进,终端产品的智能化应用不断拓展,以家庭宽带接入、网络视频、网络购物、微媒体、手机支付、手机视频为依托的新兴消费对经济增长的拉动作用持续增强。
然而,伴随着信息消费的快速发展,安全问题也逐步凸显,如植入木马病毒、发送垃圾信息、散布有害信息、实施网络诈骗、设置钓鱼陷阱等违法犯罪现象频频出现,这些现象在侵犯公民合法权益的同时,更对信息消费环境安全构成了严重威胁。
信息消费扩容离不开网络信息安全,更需加强隐私保护,加强信息安全立法保障。在8月初国务院下发的《国务院关于促进信息消费扩大内需的若干意见》中就明确指出,要“提高信息网络安全保障能力”、“加强信息安全关键软件的开发应用,加快安全可信关键应用系统推广”、“加强工业控制系统软件开发和安全应用”、“构建安全可信的信息消费环境基础,大力推进身份认证、网站认证和电子签名等网络信任服务,推行电子营业执照”、“提升信息安全保障能力,提升网络与信息安全监管能力和系统安全防护水平”、“加强个人信息保护,积极推动出台网络信息安全、个人信息保护等方面的法律制度”等一系列与信息安全紧密相关的内容,这充分说明了信息消费必须要在安全可靠的环境中保持可持续健康发展,也进一步突出了从信息安全视角来保障信息消费发展的紧迫性和必要性。
信息安全与信息消费的发展是相互促进和共同发展的。一方面,信息安全防护能力的增强会提升消费者信息消费的信心,进一步刺激和释放信息消费的需求,一定程度上促进了信息消费规模化发展。另一方面,信息消费的快速发展也对信息安全提出了更高的要求和挑战,亟需加强信息安全关键软硬件核心技术和产品突破,完善信息安全服务体系,建立健全信息安全相关法律法规和制度,构建安全可靠的信息消费环境。
保障信息消费安全发展得到了政府部门的高度重视。在8月底国家发展改革委下发了《关于组织实施2013年国家信息安全专项有关事项的通知》中,就重点支持与信息消费息息相关的金融信息安全、云计算与大数据信息安全、信息安全分级保护、工业控制信息安全四大领域,并针对四大领域的重要信息系统进行安全可控试点示范,一定程度上为信息消费安全可控发展保驾护航。
总体而言,从信息安全层面来考虑信息消费发展需注重以下几个方面:一是提升全民信息安全防护意识,营造良好的社会安全环境,尤其是信息消费相关职能部门、信息消费市场相关企业以及参与信息消费的公民个人需要从思想上高度重视,将信息安全问题上升到国家安全的高度来认识,为信息消费积极营造良好的社会环境和舆论环境。二是加强和完善信息安全法规建设,加强对信息消费有关安全法规的研究,加强制度建设的探索,从维护信息资源合理使用,维护信息正常流通,维护用户正当权益出发,及早制定出可操作性强、科学配套的信息消费安全法规体系。三是加强信息安全技术、产品和服务模式创新,提升信息消费安全保障能力。如建立全国统一的信息数据库,加强网络安全技术平台的建设,实现对网络安全运行情况的全方位监控,提高信息消费过程中安全事件的异常发现、分析和处置能力。四是高度重视引进和培养信息安全专业人才,积极支持信息安全专业学科设置和培训机构建设,积极引进和培养一批政治素质高、并具有信息安全技术法律知识和管理能力的复合型人才和专业技术型人才。
随着信息化的高速发展,为企业及社会带来了显而易见的效益:提高的工作效率、减少的纸张浪费、快捷方便的通讯等等。但信息化也是一柄"双刃剑",尤其是在企业管理、商业保密等工作中,还存在着令人堪忧的隐患:
一是物理安全风险。物理安全风险包括计算机系统的设备、设施和信息面临因自然灾害、环境事故(如断电)、人为物理操作失误以及不法分子进行违法犯罪等风险。
二是数据安全风险。数据安全风险包括竞争性业务的经营和管理数据泄漏,数据被人为恶意篡改或破坏等。
三是网络安全风险。网络安全风险包括病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的入侵威胁等。
二、保证企业信息安全的基本对策
2.1正确认识企业信息安全问题。
企业的信息安全问题,绝不仅仅是一个仅靠防火墙、密码等等技术就能解决的问题,它还与人们的职业道德、社会道德以及企业管理等问题密切相关。因此,在维护企业信息安全时,我们必须站在宏观的角度对问题进行考虑。在过去看来,一个企业信息的安全问题,是领导层或者IT单个部门的事情,但是凭少数人或部门的工作,对于保障公司的信息不被泄漏,防护信息存储不被破坏、攻击和偷盗是很难的事。笔者认为,意识指导行动,信息安全问题首先要解决的是员工的思想认识问题,只有企业的每一个人都认识到信息安全的重要性,才能在工作中自觉地维护信息安全。因为在任何一个体系中,人都是最活跃、最具有影响力和决定意义的因素,因此对于企业的信息安全问题而言,企业内部员工才是保护信息安全的最可靠、最有效的重大保障。此外,还可以加强引进信息安全技术人才以及信息安全管理人才,并在日常工作中,加强对队伍专业知识以及工作技能的培训,从而为企业建设一支强有力的信息安全保卫队伍。其次信息管理部门要全面作好专业技术支持与防范工作,根据业务的需求采取适当的保护措施,实施专业应用系统。例如,保护企业信息安全的技术可以采用主动反击、网络入侵陷阱、密码、取证、防火墙、安全服务、防病毒、可信服务、PKI服务、身份识别、备份恢复、网络隔离等等保护产品以及保护技术,通过确保信息安全的最大化,来实现企业生产经营持续发展以及经济效益的最大化。此外,还可以在工作的过程中,进一步优化企业信息安全管理,并进行管理监控以及安全风险评估,分析入侵防范、服务器架构等等关键问题,以全面性、多角度的掌控,确保企业信息系统的安全性、稳定性,因为信息安全问题不具有静态性,信息管理始终处在一个不停变动的动态性过程,因此即使我们不可能确保信息的绝对安全,也必须做到相对安全,从而最大限度的降低企业风险。
2.2建立健全信息安全管理制度。
信息安全不仅是技术问题,更主要是管理问题。任何技术措施只能起到增强信息安全防范能力的作用,俗话说“三分技术,七分管理”,只有良好的管理工作才能使保障技术措施得到充分发挥,是能否对信息网络实施有效信息安全保障的关键。现在中国石油股份有限公司内控体系中涉及信息内部控制的《信息系统总体控制办法》(以下简称“GCC”)就很好的涵盖了信息安全的各个方面,包括了机房管理、服务器管理、网络管理和系统管理等。因此在实际的工作中,我们可以通过“三步骤”来实现企业信息的安全管理制度的健全化、完善化。第一,结合企业自身的实际,分析企业存在的问题以及预期的目标,制定具有科学性、合理性、实效性、可行性的信息安全管理制度,使保护信息安全工作做到有法可依,有章可循。第二,建立信息安全管理机构,明晰信息安全管理负责人的职务和责任,并建立相应的考核机制和激励机制,以督促、鼓励相关负责人的工作,提高信息管理工作质量。第三,真正贯彻管理措施,加强制度的执行力度,只有这样,才能从根本上实现管理工作以及工作目标,最终提高企业的信息安全管理水平。
三、加强企业信息安全保障的几点措施
如何有效地解决企业信息安全的专业性管理与技术性防范,笔者认为可从以下几个方面着手。
3.1实行严格的网络管理。企业网与互联网的物理隔离、防火墙设置以及端口限制,与互联网相比安全性较高,但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题,具体而言:一是在IP资源管理方面,采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这样,就不会出现IP地址被盗用而不能正常使用网络的情况;二是在网络流量监测方面,使用网络监测软件查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。三是加强服务器管理。常见应用服务器安装的操作系统多为WindowsServer,可利用其自带的安全管理功能进行设置,包括服务器安全审核、组策略实施、服务器的备份策略以及系统补丁更新等。
3.2加强客户端监管。对大多数单位的网管来说,客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题,这里推荐以下方法:
(1)将客户端都加入到域中,使客户端强制性纳入管理员集中管理的范围。
(2)只给用户以普通域用户的身份登录到域,这样就可以限制他们在本地计算机上安装有安全隐患软件的权利。
(3)实现客户端操作系统补丁程序的自动安装。
(4)利用企业IT部门的工作职能,设置热线帮助和技术支持人员,统一管理局域网内各客户端问题。
3.3坚持进行数据备份。由于应用系统的加入,各种数据库日趋增长,如何确保数据在发生故障或灾难性事件情况下不丢失,是当前面临的一个难题。从成本及易操作性考虑,这里推荐以下两种数据备份方法:一种是用硬盘进行数据备份;另一种是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。
C=CBNweekly
K=郭尊华(Bernard kwok)
C: 您怎么看这几年信息安全行业的变化?
K: 我想主要体现在四个方面:首先是信息安全攻击越来越有针对性,我们发现有57%的攻击是针对一台电脑。不像以前一个病毒恨不得在全世界范围内传播;其次是攻击的目的一直在改变。从一开始是想把你的网站同步,到把显示屏变得不能用,再到窃取公司的关键信息,比如客户信息和财务报表,现在是控制和影响整个基础架构;再次是信息安全所带来的影响越来越大,无论是从钱的角度,还是公司受到信息安全威胁时不仅会影响到业绩、商誉,政府也可能会有处罚;最后,各个政府对信息安全的要求和规格都越来越高,这有两个目标,一是怎么保证公民利益,二是怎么营造环境让企业符合信息安全水平从而提高整体的竞争力。
C: 对云计算要求改变处理信息的IT方式,您怎么看?
K: 简单来说,以前企业的IT部门可能更侧重技术,在云计算之后可能会更多地考虑安全服务和公司业务的结合。大家都知道企业可以选择自己的IT去做信息安全管理,也可以外包给别人来做。以前的说法是IT部门是成本中心,现在管理层的另一个选择是让提供商来提供服务,从技术的考虑变成了成本和服务的考虑,IT部门就成了提供云解决方案的一个因素。
第二,虽然外包服务商会保障服务水平,但我认为,一个企业可以外包一部分工作给别人做,但是责任是不可能外包的,所以IT部门的工作性质可能改变了,但是角色还是很重要,他们要保障提供商的服务是合适的。
C: 个人要保护自己的隐私,但IT部门又要控制公司的全部信息,应该怎么平衡?
K: 如果你丢了一部手机,你宁愿手机丢了,也不要丢了里面的信息。但并不是所有信息都有同等价值。一个公司要保证信息安全,必须要把信息分类,有哪些是公司的机密,比如信用卡资料,客户资料。信息要根据价值来分级,比如可以分为绝密、可以共享的、属于员工的。分级之后有授权,也就是让大家都清楚哪些资料是受到保护的,以及谁有权力去读和写,最后要明确这些信息的存储位置和管理策略。
C: 您对今后信息安全行业的发展趋势有什么判断?
K: 第一,云计算会带来机会和挑战,信息安全仍然是关键的考虑因素,怎么巩固用户在云计算环境的信息安全经验很重要。第二,虚拟化会被极大地推动。第三,无论是在互联网还是在移动互联网,最关键的是保护用户信息和用户的身份。现在操作平台越来越多,应用也层出不穷,但信息安全的重点不在应用,也不是操作系统,而是用户的信息。硬件所搭载的平台可能会变,但是信息的重要是从来不变的。第四是信息仍然爆炸性增长,对企业来说,怎么用更少的资源应付更多的问题和存储量是一直要面对的问题。从2009年到2020年,信息量会增长44倍,如果一个企业继续购买和管理更多存储,成本会非常高。第五是信息安全的威胁层出不穷。服务商怎么保证客户的信息安全仍然是个问题。
摘要:本文根据高校的具体情况,对网络与信息安全实验教学体系的相关问题进行探讨,提出了一个网络与信息安全实验教学体系的参考方案。
关键词:网络与信息安全;实验教学体系;信息安全人才培养
中图分类号:G642
文献标识码:B
1引言
网络与信息安全是一门实践性很强的学科,目前大多数高校的网络与信息安全课程偏重于理论教学,相应的实验教学环节滞后。建设一个满足网络与信息安全专业教学要求的实验教学体系,对信息安全专业的建设和培养合格的网络与信息安全人才具有重要的意义。
2我国网络与信息安全人才培养的模式分析
我国现有的网络与信息安全人才培养的教学模式还主要是以授课为主,或者利用一些简单工具进行演示。这样的教学模式存在以下问题:
(1) 偏重理论知识的传授,不太强调实践能力的培养。
(2) 实验内容单一而且彼此相对独立。网络与信息安全是一个整体概念,必须培养专业技术人员的整体安全意识,专业技术人员必须具有综合的安全技能。
(3) 不强调实验环境的真实性。现实的信息系统环境不允许专业技术人员出现失误,真实的实验环境将有助于培养学生的安全意识。
3建立符合创新性人才培养的网络与信息安全实验教学新体系
新的形势要求我们对实验教学进行改革,设计出一批更适合学生教学要求的、不同层次的实验项目。整个实验教学体系以提高实践能力、增强综合应用知识、解决具体问题的能力为目标,以加深基础知识、增强综合应用知识能力、提高创新研究能力为主线进行构建。实验内容从基础验证实验、综合设计实验和研究创新实验三个层次进行设计。
3.1信息安全实验
通过信息安全系列实验,使学生深入理解信息安全的概念,增强计算机系统安全意识,掌握保障网络信息安全的一些基本技术的使用方法,其中最主要的是防火墙数据包过滤功能和NAT功能的配置。
(1) MD5算法实现与应用。
(2) 数字证书发放。通过服务器网络中的CA证书服务器,为各个实验小组中的成员在线或离线发放数字证书。让学生掌握公钥密码体制中公钥和私钥生成、公钥的安全传送、私钥的存放、数字证书的申请和存放等技术,加深对基于PKI的数字证书技术整体框架的理解。
(3) 基于数字证书的身份认证。各小组的成员以发放的数字证书为凭证,访问服务器网络中的网络服务。服务器在提供网络服务之前,要先通过小组成员的数字证书进行身份认证,只有合法的用户才能获得相关的服务。
(4) 防火墙的设置与测试。设置防火墙,熟悉防火墙的功能。通过配置自己网络中安装的“清网”防火墙和Linux防火墙来访问、攻击服务器网络中的网络应用服务器。通过配置防火墙过滤规则和攻击用PC机上的各种攻击工具,理解防火墙在网络中的地位、作用和工作机理、熟悉防火墙的各种配置手段。
3.2网络安全实验
通过网络安全系列实验,使学生深化理解计算机网络安全的概念,及网络安全协议的标准与技术。增强计算机网络安全意识,掌握网络安全协议的内容与理论,具备一定网络安全保护能力。
(1) PGP实现电子邮件安全。PGP可保证邮件的机密性、完整性以及不可抵赖性等。通过实验,使学生掌握用PGP进行加密和数字签名的方法。
(2) 用SSL安全协议实现WEB服务器的安全性。掌握如何用SSL安全协议在Internet与Intranet服务器和客户端间进行安全传送数据,通过WEB服务器和浏览器来保证用户与WEB站点安全交流。
(3) 虚拟专网(VPN)实验。通过组建VPN以掌握相关协议的具体应用。这些技术包括VPN 技术及其配置、数字证书发放的实验、通过数字证书进行身份认证的实验、入侵检测实验、病毒防治实验、网络扫描实验等。
(4) 网络攻防实验。通过网络攻防实验,使学生掌握木马攻击与防范、DOS攻击与防范、漏洞扫描、明文嗅探、网页木马、洪泛攻击、文件型病毒攻击与防范的方法。
3.3网络与信息安全创新实验
创新提高型实验要求学生综合应用多门课程的知识,针对某个有创意的想法,在教师指导下完成设计和实现工作,帮助学生提高创新意识和创造能力。创新提高型实验内容来源于教师的科研项目、学生的自主科研选题、社会实践活动和企事业应用需求,实验内容是不断变化的。例如反弹式木马的设计与实现、数字水印技术的研究与应用、敏感信息过滤系统设计、病毒扫描引擎设计与实现、IPv6环境下的网络信息安全问题的研究等。实验室给高年级学生及研究生进行网络信息安全方面的创新实验提供相应的环境。
4结束语
网络与信息安全是一门实践性很强的学科,建设一个满足信息安全专业教学要求的实验教学体系是培养合格的信息安全人才的关键之一。本文探讨了网络与信息安全人才的培养模式,给出了一个网络与信息安全实验教学体系的参考方案,对高校网络与信息安全人才培养具有一定的参考价值。
参考文献
[1] 龚方红,汤正华,蒋必彪. 试论工程教育中的本科实验教学改革[J]. 中国高教研究,2006,(4):86-87.
[2] 钱素平. 构建实验教学体系是提高人才培养质量的关键[J]. 常熟理工学院学报,2005,19(4):121-124.
深入了解用户需求
据了解,水利部很早就确立了“以水利信息化带动水利现代化”的发展思路,提出"水利信息化是水利现代化的基础和重要标志",并将水利信息化列入2010年水利工作发展的十大主要目标之一。而水利部机关政务外网信息安全体系及流域机构数字证书身份认证系统建设,亦是水利信息化重点工程――水利信息网络与安全保障系统建设的重要组成部分。对这一工程,水利部有关领导给予了高度重视。
水利部部长陈雷指出,推行电子政务,对提高防汛抗旱保障能力、水资源的调控配置能力、水利工程的自动化水平和水管理的信息化水平;对践行可持续发展治水思路,加快水利的信息化,实现水利的现代化,具有重要的支撑和促进作用。而信息安全对电子政务的顺利实施起到重要作用。他认为,要切实加强水利信息安全与保障体系建设。要坚持积极防御、综合防范、软硬结合、科学管理的原则,进一步完善网络安全系统和病毒防护系统,增强信息安全的防护能力。要认真落实信息安全等级保护制度,重点保护基础信息网络和重要信息网络。要健全和完善信息安全监控体系,周密制定各种应急预案,提高对网络安全突发事件应对和防范的能力。
据介绍,水利部机关政务网覆盖了机关大院内各司局单位,并延伸到各在京直属单位,实现了机关和七个流域、31个省级水行政主管部门、新疆兵团水利局及其他一些部委共43家单位的互联互通,承载了多个关键业务应用系统。
由于项目涉及单位范围广、涉及系统关键,所以水利部对于安全服务与集成商也就提出了很高的要求。首先,要求服务商必须具备丰富的安全服务与集成经验,深刻理解国家相关安全政策法规、政策及安全标准,熟悉政府的信息安全目标;其次,安全服务与集成厂商需要对自身有高度负责的责任要求、良好的工作态度,拥有专业健全的安全工作规范和流程,以满足项目服务与集成的总体目标实现。
综合能力经得起考验
“能够拿下了水利部机关政务外网信息安全体系及流域机构数字证书身份认证系统建设的安全服务与集成总包,是因为网御神州有着过硬的综合服务能力。”项目负责人表示。
事实上,在近几年的安全服务实践中,网御神州积累了大量的安全经验,领会政府信息安全工作的重点及目标要求。作为本土信息安全的中坚力量,网御神州拥有信息安全软件和硬件的技术研发、生产制造,以及服务的综合能力,是集网络与信息安全方案、产品及服务于一体的信息安全综合服务专家,其产品和综合服务能力经历了2008年北京奥运和2010年上海世博会等重大项目的考验,其防火墙产品连续3年获得国内市场第二、安全管理市场第一的地位。而因过硬的技术,网御神州还成为了国家军用隔离产品标准编制成员。
网御神州安全服务经过长期的积累,总结并建立了一套安全服务方法和实践经验。“持续”服务是围绕着客户网络与信息系统建设、运行的整个生命周期提供长期顾问咨询,以及定期的风险评估和安全加固,使客户内部的网络和信息系统的安全防护和保障能够适应动态风险的发生,为客户建立基于风险管理模式的网络与信息安全体系提供支撑;“专业”服务体现在网御神州的安全服务流程和梯队式顾问服务方式上,网御神州安全服务顾问团队通过不同的专业序列、标准化的服务流程,完成对客户需求的及时反馈,并把服务内容和客户的业务网络进行整合,实现客户需求和购买服务的无缝对接;“有效”服务效果表明安全服务的最终成果是能够针对客户问题提供切实的解决措施,满足客户的合规性要求,满足客户的安全水平提升需求。同时,网御神州还建立了拥有CISSP、CISP、PMP、CCIE、CISA、ISO27001LA、COBIT、ITIL等多项认证、由行业专家、学者、博士、硕士组成的梯队式的顾问团队。
