时间:2022-09-08 22:39:36
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全保护,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词]云平台;信息安全;策略
中图分类号:TP309 文献标识码:A 文章编号:1009-914X(2016)09-0247-01
一、前言
随着我国社会经济和科学技术的不断发展,云计算也有了长足的发展。在云计算发展基础之上而形成的云平台,也被各大中企业所应用,云平台已成为了互联网世界中最大的信息平台,本文就云平台信息安全保护策略进行探讨。
二、云计算概念
云计算是将分布式处理、并行处理、虚拟化和网格计算以及互联网相结合的一种先进的资源服务模式,它将计算工作分布在多个的服务器构成的资源池上,使用户能够按所需获取计算能力、存储空间和信息服务。一般由存储与计算机服务器、宽带资源等大型服务器的集群,通过专门的软件进行自动管理,同时也可以进行自我的维护,无需人工参与。云计算中,软件和硬件可以成为资源而提供给用户使用,用户可以动态申请所需资源,云计算对软件和硬件资源可以进行很好的分配,用户能够更加专注自己的业务,提高工作效率和降低成本。由于云计算具备动态扩展、伸缩特性,随着用户的不断增长,云计算可以根据不断对系统进行扩展。
云计算的主要特点有:稳定性:具备良好的容错能力,当某个节点发生故障时,云计算平台能快速找到故障并恢复;高扩展性:云计算平台具有高扩展性和灵活的弹性,能够动态地满足用户规模的增长和需要;虚拟化:云计算通过虚拟化技术将分布式的物理和数字资源进行虚拟化,统一存放在数据中心,用户可以在任何地方使用终端来获取服务;通用性:云计算环境下可以构造出各种功能的应用,满意用户的大部分需求成本低廉:云平台的特殊容错机制可以采用极其廉价物理资源,资源成本低。
三、云平台面临的安全问题
云平台是基于云计算的技术基础上发展起来的,建立安全的云平台,必须要有一个安全的运行构架来保证云平台的安全运行。
现今云平台间来所要面临的问题主要有:
1、安全边界不清晰:虚拟化技术是云计算的关键技术,服务器虚拟化,终端用户数量非常庞大,实现共享的数据存放分散,无法像传统网络那样清楚的定义安全边界和保护措施。
2、数据安全隐患:根据云计算概念的理解,云计算的操作模式是将用户数据和相应的计算任务交给全球运行的服务器网络和数据库系统,用户数据的存储、处理和保护等操作,都是在“云”中完成的,将有更多的业务数据、更详细的个人隐私信息曝露在网络上,也必然存在更大的泄露风险。
3、系统可靠性和稳定性的隐患:云中存储大量数据,很容易受到来自窃取服务或数据的恶意攻击者、滥用资源的云计算用户攻击,当遇到严重攻击时,云系统可能面临崩溃的危险,无法提供高可靠性、稳定的服务。
4、云平台遭受攻击的问题
云平台高度集中了用户、信息资源等一些重要信息,所以极易成为黑客攻击的目标。近几年来,世界各国频频出现黑客攻击各大公司和政府机关的平台,盗取信息和篡改安全信息的事件发生,例如2011年上半年,黑客就有四起“云攻击”事件,分别是索尼PSN遭系列攻击事件、Wordpress遭攻击事件、新浪微博蠕虫攻击。由于这些网站存储了大量用户的资料和相关的信息,黑客攻击这些网站,窃取用户信息,用于不法之途,极大的损害了云平台用户的个人利益。
云计算迅速发展的同时,也面临着信息安全的巨大挑战。目前安全问题已成为困扰云计算更大发展的一个最重要因素。某种程度上,关于云计算安全问题的解决与否及如何解决,将会直接决定云计算在未来的发展走势。目前云计算环境存在以下隐患。
四、云环境信息安全防护解决方案
1、云服务提供商
从云服务提供商角度,安全防护方案:
(一)、基础网络安全
基础网络是指地理位置不同的数据中心和用户终端的互联。采用可信网络连接机制,对检验连接到通信网络的设备进行可信,以防止非法接入设备。基础网络安全设备性能要满足与网络相匹配的性能的需求,可以实现随着业务发展需要,灵活的扩减防火墙、入侵防御、流量监管、负载均衡等安全功能,实现安全和网络设备高度融合。
(二)、虚拟化服务安全
“按需服务”是云计算平台的终极目标,只有借助虚拟化技术,才可能根据需求,提供个性化的应用服务和合理的资源分配。在云计算数据中心内部,采用VLAN和分布式虚拟交换机等技术,通过虚拟化实例间的逻辑划分,实现不同用户系统、网络和数据的安全隔离。采用虚拟防火墙和虚拟设备管理软件为虚拟机环境部署安全防护策略,采用防恶意软件,建立补丁管理和版本管理机制,及时防范因虚拟化带来的潜在安全隐患。
(三)、用户管理
实现用户分级管理和用户鉴权管理。每个虚拟设备都应具备独立的管理员权限,实现用户的分级管理,不同的级别具有不同的管理权限和访问权限。支持用户标识和用户鉴别,采用受安全管理中心控制的令牌、口令及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份的鉴别,对鉴别数据进行保密性和完整性保护。
(四)、数据传输安全
采用在云端部署SSLVPN网关的接入方案,避免云环境下用户的数据信息从终端到云计算环境的传输中,数据信息容易被截获的隐患,以保证用户端到云端数据的安全访问和接入。
2、云服务终端用户
从终端用户角度,安全防护方案:
(一)、选择信誉高的服务商
企业终端用户应做风险评估,清楚数据存在云中和存储在自己内部数据中心的潜在风险,比较各家云服务供应商,取得优选者的服务水平保证。企业终端用户应分清哪些服务和任务由公司内部的IT人员负责、哪些服务和任务交由云服务供应商负责,避免恶意操作带来的损失,也能保证服务的持久化。
(二)、安装防火墙
在用户的终端上部署安全软件,反恶意软件、防病毒、个人防火墙等软件。使用自动更新功能,定期完成浏览器打补丁和更新及杀毒工作,保证计算环境应用的安全。
(三)、应用过滤器
目的在于监视哪些数据离开了用户的网络,自动阻止敏感数据外泄。通过对过滤器系统进行安全配置,防止数据在用户不知情的状态下被泄露,避免用户自身数据的安全性降低。
3、云计算监管方
目前我国云计算已经发展到实质应用阶段,国家有必要建立健全相关法律法规,积极研发和推广具有自主技术的云产品,构建中国自己的云计算安全防御体系。
五、结束语
总之,网络安全保护是一项重要、复杂的工作,目前,云安全还只是在发展阶段,面对的问题较多,因此,我们应始终保持积极的态度,不断的努力,使我国云计算服务朝着可持续的方向健康发展。
参考文献
随着当前科学技术的不断进步和发展,互联网技术的日益推广和普及,对人们的传统生活方式产生了极大的冲击和影响。大数据时代的到来使得数据分析以及计算机功能都打破了传统地域上的限制。而大数据时代下大部分用户的机密信息大多储存在网络平台上,这使得一些不法分子有了可乘之机。作者希望通过文章来探究大数据时代下如何能够保障个人信息的安全问题。
关键词:
个人数据;大数据;信息安全
随着目前互联网技术的不断进步,城市的智能化水平更加完善,移动设备功能上的健全使得人们的生活水平更加便利。往往足不出户就能够购买到想要的东西。通过移动智能设备,人们也能够完成基本的水电费的交付、社交等。同时通过互联网,人们将大量的个人信息上传到各种社交软件上与他人进行分享,在分享信息的过程中可能就潜移默化的增加了信息被窃取的概率,一些不法分子可能乘机提取有效的信息进而获得用户的核心数据,最终造成用户信息被盗取,影响到用户的正常生活。
1对大数据的看法
大数据的特点:当前大数据时代的主要特点就是数据信息量极大,类型较多并且运算效率高,能够产生一定的价值。就以一个最为常见的案例来说,当前大部分的移动设备,计算机设备的存储上限都由MB发展到了GB,再从GB发展到了TB,统计数据的信息量逐年上升。其次,大数据时代下,不仅数据信息的总量不断上升,数据的类型和样式也变的多样化。以前可能我们身边接触到的数据信息就以文字、图片为主要形式,但是当前视频、音频、电子邮件等的发展大大拓宽了大数据信息的类别。同时在大数据时代下运算的效率速度也明显上升,各种现代化的搜索引擎以及数据挖掘技术都为数据的处理奠定了坚实的基础。
2大数据时代下人们信息安全面临的挑战
前面我们对当前大数据时代的基本特征简单的分析和探究,大数据时代下人们的信息数据共享化,很容易在网络上泄露一些机密信息,从而影响到个人的生活。个人隐私的泄露:首先在跟前大数据时代下出现个人隐私的泄露现象是比较常见的,用户在进行一些软件的使用过程中一般都会与自己的手机号或者电子邮件绑定,一方面通过绑定电子邮件与手机能够非常便捷的进行相关操作,另一方面有的人认为绑定手机或电子邮件能够降低账号被盗的概率。其实不然,一旦黑客通过非法途径入侵到用户的计算机内部,将用户的信息数据盗取,很容易连带效应将用户的大量数据信息泄露。比如说,常常有人在浏览网页的时候进入一些不安全网页,网页中存在木马,而这些木马会入侵到计算机内部潜伏一段时间,一旦木马爆发,在短时间内计算机不会出现故障,但是用户的个人数据信息会黑客盗取,这种现象对用户来说会产生极大的损失。因此,目前来看,在大数据环境之下保护个人信息安全是非常重要而必要的。
3大数据环境下个人信息安全保护的途径
目前随着大数据时代的到来,人们对于个人信息的保护和控制程度远远不如过去,很多时候个人隐私在不知不觉中就会被暴露在网络上,这些数据对于一般人来说可能没有什么作用,但是有的人可能从其中找到一些非法的牟利手段,间接的影响到用户的财产安全。因此我希望能够提出一些有效的个人信息安全保护对策来提高用户对信息的重视思想。
3.1匿名保护
首先,目前大数据匿名技术应当得到更新和改善,在我看来,传统匿名技术根本无法有效的对用户的信息数据进行保护,用户在匿名发送相关信息数据的过程中依然会被黑客窃取。换句话说传统匿名技术往往无法有效的保护用户的信息来源,黑客能够通过发送的信息数据直接搜索到用户机上,再通过移植病毒和木马的方式对用户机进行入侵。因此,首要的保护个人信息安全的措施就是相关部门能够加强匿名保护装置的建立,使得匿名保护设施能够直接将用户发送数据的来源进行修改,使得黑客无法通过非法手段获取到用户机的具体IP地址,从而实现对用户的个人信息数据保护。
3.2个人提升一定的安全防护意识
第二点,现在很多人认为随着科学技术的不断进步,互联网技术的完善和发展,互联网安全已经逐渐完善了,但是实际上其中的暗流涌动现象还是非常普遍,很多潜在的危险无法辨别就容易使个人信息遭到窃取。因此对于用户个人来说,我们首先应当从自我做起,提升对互联网的警惕心理,提高个人安全防护意识,在建立相关账号的过程中能够仔细辨认出网站的安全性,同时不浏览具有安全隐患的网络。计算机定期的进行木马、病毒的查杀工作,安装杀毒软件,保证计算机的安全,从而实现对个人信息的安全防护。
3.3政府部门加强监管
第三,政府内部专门的网络监控部门应当实施对网络的有序监管,随着大数据时代的到来,数据信息的容量以及内容逐渐增加,政府部门实施有效的网络监控措施能够对个人信息安全保护起到积极的作用。政府部门可以通过政府专用网络实现对大部分公网、子网的监控和审核,对于存在安全隐患的网址予以严肃的处理,如果存在严重影响到社会安定,人们的财产安全的则应当追究一定的刑事责任,最大化的保证大数据时代下网络系统的安全,保证个人信息安全。
3.4国家构建全面的法律法规
第四,国家也应当逐渐重视大数据时代下的网络信息安全问题,通过构建有效的法律法规体系来避免黑客钻法律的空子。很多情况下黑客之所以敢去窃取用户的信息一方面认为警察无法追捕到自己,所产生的影响不至于受到刑事责任,另一方面非法分子认为即使被抓到,也只是简单的惩罚一些金钱,而不是负刑事责任。因此国家应当严肃处理网络非法事件,对于非法入侵他人用户机的黑客予以严肃处理,不仅应当惩罚金钱,还应当追究刑事责任。
4结束语
总而言之,目前在大数据环境下个人信息安全防护是非常重要的问题,黑客技术的不断上升以及互联网的不断推广和普及都影响到了人们的信息安全。个人应当逐渐提高对网络使用的警惕心理;政府有关部门则应当重视网络的监管,降低黑客入侵现象的发生;最后国家有关部门构建全面系统的法律法规体系,使得黑客不敢如此猖獗。从这三面来提高个人信息安全保护的效果,保证人们能够在一个稳定健康的网络环境中发展。
作者:任凯 单位:莱芜市莱城区凤城高级中学
参考文献
[1]雷善雨.浅析大数据环境下的个人信息安全保护[J].科技创新导报,2015,32:20-21+23.
[2]张宸.大数据环境下个人信息保护研究[D].黑龙江大学,2015.
关键词:社交网络;隐私保护;个人信息安全;信息安全举措
社交网络平台是互联网应用中非常重要的组成部分,随着当前科技的发展,移动互联终端迅速普及,智能手机、移动电脑等设备充实人们的生活。社交平台为社会上的个人创建了一个平台,在这个平台上,用户可以逐渐发展自己的人脉关系,扩充自己的人脉网络,寻找曾经的朋友;用户还可以通过这个平台分享自己的照片等;还有就是近两年逐渐流行的朋友圈之间互发红包等等,通过该平台逐渐拉近了朋友间的友谊。但是,分享的同时,个人信息也被上传到网络平台,成为一些不法分子注意的对象,近年来,网络犯罪的比例日益变大,社交网络中个人信息安全的保护迫在眉睫。
一、社交网络安全性分析
社交网络是一种基于因特网的网络使用方式,它为用户提供了一个扩充人脉的平台,在这个平台上,用户相当于整个社交网络中的节点,用户之间通过交流与沟通,将节点与节点之间的连线越来越复杂,互联沟通面得到不断扩展,社交网络普及面越来越广阔。当前,Android系统和IOS系统中的聊天通讯应用更新频率不断加快,应用软件层出不穷,因此,为社交网络的进一步发展和普及提供了良好的条件基础。因此,未来社交网络的覆盖面将会更加广泛,用户活跃度将会更加高昂。但是,正是由于社交网络的开放性,使得网络上的虚拟人物良莠不齐,相关用户很难从表面上去进行辨伪,很容易上当受骗;此外,当前许多通讯聊天应用为了实现更加精准化的交友条件选择,对用户的个人信息完全透明化,虽然在一定程度上使得用户能够更加轻松的找到自己需要找的人,但是也为网络犯罪创造了绝佳的搜索平台;还有,当前许多人过分依赖网络,为了让别人相信自己的真实存在,对自己的信息毫无忌惮地展现在社交网络上,希望通过这种方法来提高自己的空间浏览量和关注度,用户在进行分享的同时,用户个人的信息有可能会被不法分子所关注,进而进行违法犯罪行为。据调查,2014年我国因网络犯罪造成的经济损失将近万亿元人民币,高达90%的互联网用户都受到过网络犯罪的攻击。因此,增强社交网络中用户个人信息安全保护势在必行。
二、隐私保护控制方法
为了在社交网络中保护用户个人信息安全,许多专家学者提出了许多理论研究,常见的有以下几种技术:①Sweeney专家提出的K-匿名技术,该技术将用户信息数据库的部分信息数据进行泛化处理,使得其中包含个人敏感信息的K个位置的信息数据形成匿名集,进而实现对用户隐私的保护;②Chen等人提出的生成虚假信息的隐私保护方法,在用户位置信息的服务器中形成多种不同位置信息,进而使得攻击者难以正确识别用户信息;③MatsuuraK和HuangL提出的基于区域划分的轨迹隐私保护理论,将用户的轨迹进行分析分类,对用户经过的敏感区域进行用户个人信息的保护,防止用户个人信息的泄漏;④Gabrial提出基于分布式协议的prive方法等等。
三、用户个人信息安全保护措施
3.1建立健全相关法律条文
在当前法制社会里,通过建立健全对用户个人信息保护的法律条文非常必要,通过法律保护社交网络中用户个人信息安全不受侵犯,是立法机构当前非常紧要的事务。对于当前有些不法分子通过非法手段搜集个人信息,然后通过各种渠道用于违法犯罪的行为,相关法律应该给予严惩,对于一些通过设计开发包含有非法搜集个人信息漏洞的应用软件,然后用于从事非法商业活动的商家个人,相关法律条文也应该严厉惩罚。
3.2社交网络企业加强用户信息保护管理
社交网络企业应用实名制注册,在一定程度上能够减少不法分子通过注册一些非法账号用于网络诈骗,防止个人信息的泄漏,但是,这种情况下,注册的用户需要填写的信息更为透明化,如果账号被盗泄漏的信息将会更严重。在这种矛盾下,这就需要社交网络企业加强对用户信息的保护和管理。通过不断优化相关软件应用,对其中的漏洞进行不断修复升级,提升系统稳定性,运用先进手段对网络攻击者进行拦截。
3.3提高社交网络用户安全意识
除了需要国家和相关企业提高对用户个人信息的保护以外,用户个人也需要了解一些保护个人信息的方法。虽然社交网络是一个开放性的社交平台,但相关用户也不能过于放开自己,将自己的全部信息全盘透露给好友,将自己的一举一动都分享给好友,这样就会存在许多安全隐患。所以,作为社交网络用户,需要时刻提防社交网络的局限性,及时对自己的软件进行升级,完善系统漏洞,对自己的一些敏感性信息有防范保护意识,对自己的信息安全负责。
四、结论
社交网络有利有弊,它在拉近朋友间距离的同时,也拉近了用户与网络犯罪的距离,为了保护社交网络中用户个人信息安全,立法机构、相关网络管理企业、用户本人都应该具备时刻保护用户个人信息安全的意识,通过相应的措施不断完善社交网络,使得社交网络平台更加安全、便捷、实用。
作者:刘伟彦 单位:武汉市第六中学
参考文献:
[1]郭祥.基于移动社交网络的隐私保护关键技术研究与应用[D].电子科技大学硕士学位论文,2015.6.
[2]孟晓明.贺敏伟.社交网络大数据商业化开发利用中的个人隐私保护[J].图书馆论坛,2015(6).
大数据在本质上是一种电子数据,它具有自身独特的特性。首先,数据处理规模大。现今社会,全球每天产生的数据就已经达到4. 5EB,这个数字仍然以惊人的速度高速增长。其次,数据信息快速化。信息产生的速度常常比数量更加重要,通过手机定位数据可以计算出一个商场当天的客流量,从而推断出该商家的当天营业额。最后,数据信息具有多样性。大数据的形态多样,包括了结构化、半结构化和非结构化数据。此外,现代互联网应用呈现出非结构化数据大幅增长的特点,来源形式多种多样,包括各种信息、应用更新、社交网络的图片、传感器读取的信息、手机的定位等,而且不少信息来源的重要方式都是新近才出现的。
一、个人信息安全面临的挑战
1.个人隐私安全风险增大。网络的浩瀚性意味着数据来源更加宽泛和多元,监控摄像头、交互平台、移动电话、电子档案、数据库等,大量的信息堆积,必然给个人的信息安全带来影响和破坏,增大了个人信息被泄露的可能。
2.大数据成为了网络攻击的主要目标。在互联网时代,大数据能够反馈出更多、更有价值的信息,信息的含金量不断提升,带来的丰厚利润不言而喻,因此遭到攻击和盗取的概率也就越大。同时,大数据的窃取能够是不法分子获得大量相关信息,一次获取,多重效益,必然让黑客垂涎欲滴。
3.不法分子利用大数据精确攻击。大数据对于企业来说是财富是影响,对于不法分子来说同样是金钱是价值。不法分子在获取大数据的同时,也会反其道而行之,利用大数据来检索、定位,为新一轮的攻击盗取提供更加快捷的技术手段和方式。为了提升攻击的效率和质量,黑客往往会尽最大可能的收集包括社交平台、微博微信、通话记录、电子邮件、消费记录等信息,并加以归档整理,方便下次调用,提高攻击的精确性和时效性。
二、个人信息安全保护的措施
1.加强舆论宣传,提高保护意识。国家网络相关部门要通过各种舆论宣传工具,对网络用户进行个人信息保护知识的宣传,提高公民对个人信息安全的认识和重视,树立公民保护个人信息、尊重他人个人信息的理念。个人在信息保护上是第一责任人,负有维护个人信息安全的当然义务。个人在进行网络行为时,尽量避免个人信息的泄露。同时,加强对个人电脑的安全防护,安装并及时升级杀毒软件与防火墙,提高个人上网设备的安全性能。
2.建立个人信息安全保护的法律法规。我国目前现有的法律法规对个人信息的保护虽然有所涉及,但这些规定都还只是零散地分布在各个法律之中,并未形成一个完整的个人信息安全保护的法律体系,而且没有一部明确保护个人信息的专门法律。立法保护个人信息,不仅突出了公民的信息自由权,彰显出以人为本的理念,回应了和谐社会权利有序化的诉求。同时还可保护网上消费者的个人信息安全,促使网络运营有序化,推动全国电子商务和电子政务的健康发展。
3.完善个人信息安全保护的技术措施。在互联网环境下,个人信息的泄露主要是由黑客等机构外部人员获取和网络传输过程中的问题造成的,因此要加强软硬件的技术保障,从而保护用户个人信息安全。在硬件方面主要通过安装防病毒硬盘等硬件设施进行保护。在软件方面主要通过个人隐私安全平台、加密软件、数据备份软件、自动删除个人资料软件等保护措施。针对网络上的个人信息易泄露的问题,网络营运商除了应向用户提供提示信息,还应该使用各种安全技术来保护网络用户的个人信息不被不法分子侵害。
4.建立健全个人信息安全保护与防范机制。个人信息安全的保护不仅要依靠法律,更需要网络主体从业人员的道德意识以及自律意识。加强网络道德建设,用道德标准约束人们在网络上的行为,要让网络道德成为人们在网络中实施行为时的一个标准。对网络运营商而言,除了要对网络从业人员进行道德教育并提高行业自律意识外。
许多网络运营企业掌握着客户大量的个人信息,如果没有很好的防范机制就很容易造成信息的丢失。无论是电信运营商、电子商务企业,还是信息安全企业都需要对外来的技术攻击加以防范。因此,企业必须加强自我约束力,提高保护客户信息的意识,同时提高技术手段,完善相关信息管理系统,并对用户个人信息安全管理制度和流程进行梳理和完善,建立健全侵犯用户个人信息的各项管理制度与规范,用户个人信息安全管理和保护机制、问题处理机制、监督机制和奖惩机制等。对侵犯用户个人信息的情况,要做到迅速和准确处理。
结束语
大数据时代的到来极大地促进整个社会的发展。大数据在各行各业中的运用,使我们精确地了解到过去通过抽样调查很难了解的许多东西,让我们更深刻地认识了这个社会,从而更进一步改善这个社会。我们不应该否认大数据带来的益处,同样我们应该使这种益处最大化。但大数据带来的对个人信息安全的威胁我们也应该有着充分的认识。保护个人信息不仅是对社会每个成员的保护,更是对国家安全以及社会长期持续健康发展的保护。
关键词:信息系统安全 等级保护 福建
一、引言
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别,从第一级到第五级逐级增高,对不同安全级别的信息系统实施不同的安全管理。
二、我国信息系统安全等级保护思想的形成
1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
20世纪80年代初,美国国防部制定了“国家计算机安全标准”等系列标准,包括《可信计算机系统评估准则》(TCSEC,即俗称的“桔皮书”)及其他近40个相关标准,合称“彩虹系列”。 TCSEC标准是国际上计算机系统安全评估的第一套大规模系统标准,具有划时代的意义。TCSEC将安全产品的安全功能和可信度综合在一起,设立了4类7级。
1999年,我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。
2000年11月10日,国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。
2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法(试行)》,并于2007年6月修订。
2007年6月,公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
三、开展信息系统安全等级保护工作的必要性和重要性
⒈开展信息系统安全等级保护工作的必要性
随着网络新技术的飞速发展和各类信息系统的广泛应用,网络与信息安全也相应出现了许多新情况、新问题,福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。
一是网上斗争日趋复杂,不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点,使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。
二是网络违法犯罪活动迅速增多,造成的后果越来越严重。随着新技术、新应用的发展,暴露出来的网络与信息安全问题也日益增多。
三是漏洞数量居高不下,利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。
四是计算机病毒传播和对网络非法入侵十分严重。据公安机关调查,2007年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。2007年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。
⒉开展信息系统安全等级保护工作的重要性
开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。
建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
四、加快推进福建省重要信息系统安全等级保护工作
2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。8月13日,福建省公安厅、省保密局、省委机要局、数字福建建设领导小组办公室等四家单位也联合召开“福建省重要信息系统安全等级保护定级工作电视电话会议”。这标志着福建省重要信息系统安全等级保护工作正式启动。
信息系统安全保护工作的首要环节是定级,定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。
1.突出重点,全面准确划定定级范围和定级对象
此次重要信息系统定级的范围是国家基础信息网络和重要信息系统,这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围,体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。
2.依据《管理办法》,准确确定信息系统安全保护等级
福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上,根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素,依据《管理办法》,参照《定级指南》所提供的定级方法,综合确定信息系统的安全保护等级。在确定等级的过程中,要最大限度地避免定级的盲目性、随意性,力争做到定级准确、科学、合理。
3.及时备案,加强对定级工作的监督、检查和指导
为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况,保护重点领域的重要信息网络和信息系统,凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求,到公安机关进行备案。公安机关受理备案后要对备案材料进行审核,加强对重要信息系统安全等级保护定级工作的监督、检查和指导;对定级不准的,要及时通知备案单位重新定级。
4.依据《管理办法》和技术标准,开展整改、测评等工作
信息系统的安全保护等级确定后,运营使用单位要按照信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施;参照信息安全等级保护管理规范,制定并落实安全管理制度;选择符合《管理办法》规定条件的测评机构,依据技术标准对信息系统安全等级状况开展等级测评,使其尽快达到等级要求的安全保护能力和水平。
五、加大力度,确保福省重要信息系统安全等级保护工作任务落到实处
随着北京奥运会的日益临近,特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,信息安全等级保护的工作任务艰巨,责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合,及时开展监督、检查,严格审查信息系统所定级别,积极开展备案、整改、测评等工作。同时,充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,以确保福建省重要信息系统安全等级保护工作落到实处。
1.明确职责,落实责任
各级公安机关要积极向当地党委、政府专门汇报,主动争取党委、政府对信息安全等级保护工作的重视和支持;或者成立专门的等级保护工作直辖市领导小组,加强对定级工作的领导,研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导,落实等级保护各项责任,督促、指导本行业、本系统开展定级、备案、建设整改等工作。
2.密切配合,通力协作
各级公安机关作为开展等级保护工作的牵头部门,要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合,尽快建立健全信息安全等级保护监管工作的协调配合机制;要主动与信息系统主管部门交流沟通,督促配合其组织下属信息系统运营、使用单位建立信息安全责任制,建立并落实等级保护制度,从而确保等级保护工作的顺利、有效实施。
3.加强宣传,强化培训
一、工作目标
通过深入开展此次专项活动,确保全市重要信息系统能够全面进行准确定级和审核备案;全面组织等级测评和风险评估;全面开展监督检查和建设整改;全面落实管理制度和安全责任,努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标,不断提高重要信息系统安全防范能力和应急处置能力,为建国周年庆典活动创造一个良好的网络环境。
二、工作任务
(一)全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级,对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统,凡符合上级国家机关、企事业单位安全保护等级的,可不再重新定级和审核备案,否则均要重新定级和审核备案;对于尚未定级和审核备案的系统,都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中,安全保护等级确定为一级的信息系统,公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统,各信息系统运营使用单位要在公安机关办理审核备案手续,填写《信息安全等级保护备案表》,实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。
(二)全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求,全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上(其他尚未开展初次测评的系统应于年上半年完成)。
(三)全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等,全面组织开展安全等级保护监督检查和限期整改工作,其监督检查率应达到100%,限期整改率应达到80%以上。其他被定为二级(含二级)以下的信息系统,可由信息系统运营使用单位进行自查和整改。
三、工作步骤
(一)定级与备案阶段(8月18日至9月15日)。市专项活动领导小组在8月31日前进行组织动员和工作部署,开展信息系统普查,全面摸清底数,掌握基本情况,确定定级对象。9月15日前,各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级,对应确定本单位信息系统安全保护等级,并做好申报备案。对审核符合安全保护等级要求的,由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的,应重新评审确定,为等级测评和检查整改奠定基础。
(二)测评与检查阶段(9月15日至11月30日)。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上(含三级)信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神,提前做好人员、技术、经费等各项准备工作,按时完成信息系统等级测评和风险评估。
(三)总结与整改阶段(12月1日至12月31日)。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题,向运营使用单位下发《整改通知书》,要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案,认真搞好安全隐患的整改工作。
四、工作要求
(一)统一思想认识,切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势,进一步增强做好信息安全等级保护工作的责任感和紧迫感,务必把此项工作作为事关国家安全和社会稳定,特别是国庆61周年安全保卫的一项重要政治任务,纳入议事日程,摆在应有位置。为切实加强领导,成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组(名单附后),领导小组在本次专项活动完成后,继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制,精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥,按照“谁主管,谁负责,谁使用,谁负责”的原则,成立领导小组,建立工作专班,确立联络人员,迅速行动、全力以赴,大张旗鼓地组织开展等级保护工作。
(二)深入动员部署,精心组织实施。各重要信息系统运营使用单位要制定好本单位信息系统安全等级保护工作实施方案,准确定级,并将相关资料上报市专项活动领导小组办公室。在定级完成后,要积极做好测评准备工作,在人力、财力上给予充分保障。对检测出来的问题要及时向主管领导和上级部门报告,立即整改,把专项活动的各项要求落到实处。
《中国标准导报杂志》2015年第四期
1信息系统安全等级保护测评依据的标准
GB/T28449—2012《信息安全技术信息系统安全等级保护测评过程指南》规定了信息系统安全等级保护测评工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。GB/T28448—2012《信息安全技术信息系统安全等级保护测评要求》针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,包括基本技术要求和基本管理要求,该标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
2整合实施的思路
2.1审核与测评的过程整合整合是为了在组织内部建立一套信息安全管理体系及制度,而且该制度既符合信息安全管理体系又符合信息系统安全等级保护的管理要求,并给组织带来收益,避免不必要的冲突和资源浪费。根据对审核和测评的过程分析得知审核从表面上执行了测评的管理内容,但从整个审核和测评活动可得出,两者的活动内容和组织方式非常相似,因此具备很强的整合条件,两者的具体活动如表1所示。
2.2审核与测评的控制措施整合整合GB/T22239—2008中的控制措施部分与GB/T22080—2008的附录A完全可行,且整合后可避免多余、重复的管理资源。如GB/T22239—2008三级信息系统对资产管理的要求和GB/T22080—2008中的“A.7资产管理”基本保持了一致,具体标准条款映射如表2所示。若组织内存在等级保护三级或三级以上的信息系统,则该组织应建立信息安全管理制度体系,这与组织单独建立ISMS所达到的目标基本一样,从整合的角度来看,通过实施整合,可以取得“一举两得”的效果。具体的整合检查表如表3所示。
3结语
信息系统安全等级保护测评和信息安全管理体系审核,都是为实现和强化信息安全管理,做到分清责任机构,确认安全制度,预防和应对可能发生或者已经发生的信息系统管理问题。因此随着信息化工作的不断发展,信息安全管理体系审核和信息系统安全等级保护测评必将走上一条能够融合的道路。
作者:胡娟 谢宗晓 单位:公安部第三研究所 南开大学商学院
【关键词】电力;信息系统;信息安全;等级保护
随着科学技术的快速提高,我国的信息化发展迅速,信息化在各行各业都得到广泛应用。城市电网是经济社会发展的重要基础设施,是能源产业链的重要环节。随着信息、通信技术的广泛应用,智能化已成为世界电网发展的新趋势。电力企业网络建立信息安全等级保护制度旨在为国家信息安全保护工作建立起一个长久有效的安全机制,保障信息化建设的健康发展。然而目前我国电网的信息安全等级保护政策的实施处于初步进行阶段,还有很多工作需要完成。这需要业内外人士的共同参与,为保障信息安全尽最大的努力。同时伴随着计算机技术的发展,信息安全等级保护技术和水平也要不断优化升级,确保能够及时解决安全保护中遇到的问题,让信息安全等级保护政策的实施畅行无阻。
1 电力信息安全等级保护
信息系统等级保护制度是我国信息安全领域一项重要政策,信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统实用业务重要程度及其安全实际需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全稳定运行,维护国家利益、公共利益和社会稳定,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。
1.1 等级保护定级
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,其中等级保护对象受到破坏时所侵害的客体包括三方面:公民、法人和其他组织的合法权益,社会秩序、公民利益,国家安全。等级保护对象受到破坏后对客体造成侵害的程度分为三种:一般损害,严重损害,特别严重损害。定级要素与信息系统定级的关系见下表所示。
1.2 基本要求与主要流程
等级保护的基本要求是:各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。等级保护的主要流程包括6项内容。
(1)自主定级与审批:信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
(2)评审:在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第4级以上信息系统的,运营使用单位或主管部门应当邀请国家信息安全等级专家评审委员会评审。
(3)备案:第2级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。
(4)系统安全建设:信息系统安全保护等级确定后,运营使用单位按照惯例规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实信息安全管理制度。
(5)等级测评:信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
(6)监督检查:公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对第3级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
2 电力信息系统等级保护工作开展
2.1 信息系统定级及审批
2007年7月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),按照有关工作要求,国家电力监管委员会开展了电力行业等级保护定级工作,并印发《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号),电力公司按照《国家电网公司信息系统安全保护等级定级指南(试行)》(信息技术[2007]60号)对公司信息系统进行定级,按照要求填写定级报告和备案表,并报送国家电力监管委员会组织评审和审批。主要涉及4个3级系统、11个二级系统,具体见表2。
2.2 信息系统等级保护备案
公司完成信息系统的定级工作后,开始对信息系统进行等级保护备案,认真填写《信息系统安全等级保护备案表》,梳理完成所有资料准备后,于2011年向省公安厅提交了等级保护备案材料,最终公司15个管理信息系统完成了等级保护备案工作。
2.3 等级保护测评及整改工作
2011-2012年,按照国家电力监管委员会要求,北京华电卓识信息安全测评技术中心相继完成对公司电力市场交易系统、ERP系统、财务管理系统、营销管理等15个系统的等级保护测评工作。
公司积极组织、协调、配合测评队伍,遵循“流程规范、方法科学、结论公正”的原则,按照国家等级保护测评工作的有关标准、规范的要求,根据《电力行业信息系统安全等级保护要求(试行)》开展测评工作,公司信息系统等级保护测评符合率达到95%以上,顺利通过了等级保护测评,但是测评中还是发现了部分问题,主要包括:
(1)网络设备不具备双因子验证
根据国家《信息系统安全等级保护基本要求》规定,第2级以上(不含)信息系统网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别,按照此项基本要求,限于硬件条件,公司三级信息系统尚达不到安全防护要求。
(2)数据库审计功能未开启
根据国家《信息系统安全等级保护基本要求》规定,第2级及以上信息系统审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;系统不支持该要求的,应以系统运行安全和效率为前提。按照此项工作要求,公司部分系统未开启数据库审计功能,亦未部署第三方审计产品。
测评工作结束后测评人员对测评过程结果及以上问题进行了反馈,公司根据测评中发现的各类问题做好问题整改工作,确保公司信息系统安全稳定运行。整改工作如下:
1)网络设备未设置双因子认证。对于不具备双因子验证条件的问题,公司正在加快建设统一数字认证系统,系统上线后可实现双因子验证。
2)数据库审计功能未开启。因开启数据库审计功能会对系统性能产生较大影响,公司近期计划购置部署第三方审计产品。
3 结束语
电力公司近年来高度重视信息安全工作,信息安全等级保护工作卓有成效,通过落实信息安全等级保护制度,开展管理制度建设、技术措施建设、落实等级保护各项工作要求,使信息系统安全管理水平明显提高,安全防护能力显著增强,安全隐患和安全事故明显减少,有效保障公司信息化工作健康发展,公司下一步工作重点应着手对等级保护测评发现的各项问题进行整改,保障公司网络及信息系统安全稳定运行。
参考文献:
[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用,2012.
[2]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密,2011.
一、指导思想
信息安全等级保护制度是全区信息安全保障工作的一项基本制度,实施信息安全等级保护是社会信息化进程中的一件大事,是维护国家基础信息网络和重要信息系统安全最直接、有效的措施。通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设。
二、组织领导
成立区信息安全等级保护工作领导小组。由区政府副区长李彦侠担任组长,区政府电子政务办、公安分局、区国家保密局为成员单位,领导小组下设办公室,办公室设在公安分局网监大队,由网监大队大队长韩迎飞兼任领导小组办公室主任,具体负责日常事务。
三、职责分工
公安分局负责信息安全等级保护工作的监督、检查、指导。区国家保密局负责等级保护工作中有关保密工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。区政府电子政务办负责等级保护工作部门间的协调工作。
四、工作目标
通过开展信息安全等级保护工作,使全区重要信息系统能够全面进行准确定级和审核备案,建立健全信息安全等级保护职能部门、行业主管部门、信息系统运营使用单位渠道畅通、责任明确、运作协调、通力合作的信息系统安全等级保护工作机制。
五、定级范围
(一)基础信息网络、互联网接入服务单位、互联网数据中心、大型互联网信息服务单位重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证劵、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、卫生、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
主要单位包括:区法院、区检察院、公安分局、区科协、区教育局、区住建局、区农业局、区卫生局、区计生局、区商务局、区工业办、区果业局、国土分局、国税分局、环保分局、工商分局、区人才交流中心。
(三)党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统。
(五)其它重要信息系统。
六、工作内容
(一)开展信息系统基本情况的摸底调查。区信息安全等级保护工作领导小组对全区各行业、各单位所属信息系统进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》的要求,确定定级对象。
(二)召开区信息安全等级保护工作会议。召集全区信息系统运营使用单位或主管部门召开一次专门的会议,在会议上宣布信息安全等级保护工作的相关情况,并印发《信息系统安全等级保护备案表》,要求信息系统运营使用单位或主管部门在规定的时间内报送到领导小组办公室。
(三)备案。根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管部门持《信息系统安全等级保护备案表》及相关手续到网监大队办理备案手续,提交有关备案材料。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向市公安局网安支队备案。信息系统建设使用单位依据《信息安全等级保护管理办法》和国家保密局的有关规定,按照属地管理原则,地方单位的信息系统向所在地的区保密局备案。
(四)备案管理。信息系统备案后,网监大队对信息系统的备案情况进行审核,发现不符合《信息安全等级保护管理办法》及有关标准的,应当通知备案单位予以纠正。
(五)监督检查。区政府电子政务办、公安分局、区国家保密局等单位将从今年起联合对各重要信息系统行业主管部门、运营使用单位开展的等级保护工作进行监督、检查、整改,对拒不落实安全等级保护工作的单位,将依法予以严肃处理。
七、工作要求
(一)加强领导,落实保障。各行业主管部门、各重要信息系统运营使用单位要落实责任部门、责任人员,并于4月20日前将《信息系统安全等级保护备案表》及相关备案资料报送领导小组办公室备案,保障定级工作顺利进行。
(二)明确责任,密切配合。定级工作由区政府牵头,组织区政府电子政务办、公安分局、区国家保密局、共同实施。各单位必须各司其职,加强联系,切实做好重要信息系统的安全等级保护。
[关键词]企业发展 信息化发展 网络安全 策略
中图分类号:TU758.7 文献标识码:A 文章编号:1009-914X(2016)04-0071-01
引言
现代信息技术的发展和应用,促进了我国社会的快速发展,现代信息技术的应用领域在不断扩大,在人们的工作、生活、学习等过程中都有所应用,尤其是在企业信息化过程中,扮演的角色越来越重要。信息技术的应用给我们的生活带来了很大的变化,在企业的发展过程中,也积极加强了对信息系统的应用。随着计算机信息技术为越来越多的人所接受,各种信息的泄露、不良信息的传播成为人们使用网络时的安全忧患。尤其是各种信息的泄露,导致当前很多人的生活受到影响,企业管理过程中应该要加强对安全隐患的防范,可以使得企业的管理水平得到提升。
一、企业信息化过程中的安全隐患
在新的时代背景下,企业管理过程中加强对信息化的应用,可以使得企业的各项资料、信息管理更加井然有序,并且可以提高信息资料传递的速率,使得企业的管理效率不断提升。但是由于信息系统本身就面临一些威胁,所以企业网络信息安全在进行传递、存储以及使用的过程中,都面临着较大的危害。一些企业网络信息安全系统存在软件和硬件的漏洞,比如一个恶意的数据包就有可能导致各种设备出现瘫痪,最终使得各种信息出现泄漏。这些危害很有可能导致企业网络信息的安全受到威胁,严重时还有可能导致整个信息系统出现瘫痪。比如一些企业中存储有关于国家历史的文件资料,一旦出现了信息安全危害,严重时还会对整个国家造成影响。在企业的发展和管理过程中加强对信息系统的应用,常常出现的一个严重的问题就是信息泄露。信息泄露主要有几个方面,第一,失密、泄密。失密、泄密指的是非法的用户在使用过程中采用各种违法的手段获取企业的信息从而导致信息出现泄漏的现象。企业网络信息的失密和泄密的途径主要有几种,即磁泄漏、传输泄漏、侦收破译泄密、存储不利泄露等。这种泄密方式具有不可见性和不易察觉性,危害比较严重、持续时间也比较长。这种对于企业以及各种机构组织产生的影响比较大,很有可能会导致一些机密信息的出现。第二,数据遭受破坏。企业在日常管理过程中往往会利用计算机技术、互联网等对各种信息进行传递,在这个过程中也会对信息进行相应的处理,比如企业的工作人员在利用网络上传或者下载信息的时候,有些资源会被压缩,在信息处理过程中最容易出现数据破坏的现象,这种信息的破坏往往是不可逆转的,也就是修改之后的数据恢复起来难度比较大。第三,网络入侵威胁。由于当前的时代是信息网络时代,企业网络系统的基础是互联网,没有网络,企业的网络系统不能正常工作。但是企业网络系统应用的过程中,往往会存在很多恶意的侵犯,最终使得信息受损。
二、 企业网络信息安全隐患的防护
在新形势下,企业的信息化发展是一个必然的趋势,在这个过程中,必须要加强对网络信息安全的保护,加强对计算机系统的安全保护,从而使得企业发展过程中能够对各种信息进行加密处理,确保企业的健康发展。
(一)加强工作人员对信息安全工作的重视
在企业的发展过程中,工作人员对信息安全工作的重视程度如何,将会对企业的发展带来十分重要的影响,只有不断提高工作人员的信息安全意识,才能从根本上杜绝一些危害的出现。比如引导企业的工作人员形成安全意识,使得他们在使用计算机以及网络的时候可以注意不要去点一些不安全的网站,不会下载一些非法的东西,从而确保企业的信息系统的运营环境的安全性,确保企业的各种信息数据可以得到有效的保护。
(二)采用技术手段对各种安全隐患进行控制
在企业的发展过程中,为了对各种信息进行安全保护,则必须要从技术手段加强安全保护,比如对于企业的电脑,要安装防病毒系统,购买一些正版的杀毒软件,安装防火墙等,使得企业的信息系统可以得到有效的保护,加强对病毒的预防,从而不断提高企业的信息安全水平。其次,对于企业发展过程中的各种重要的信息要进行加密处理,尤其是在各种商业信息,是企业发展过程中的重要内容,为了防止信息被黑客窃取,则可以使用相应的数据加密技术,使得密码破译的难度增大,从而对一些违法的入侵行为进行规避,这种方法可以规避数据破坏、窃听等恶意行为。另外,在企业内部应该要建立一个相对独立的网络,从而可以对企业发展过程中的各种信息进行有效的传递,使得信息传递的网络环境是健康的,相关的技术人员应该要定期对该网络进行检查,确定内部网络的健康性。
(三)加强企业网络信息安全管理体制的建立
在企业网络信息安全防护过程中,应该要对管理制度进行完善,首先要定期修改管理制度,加强对技术人员安全的培训,以更好地适应现代化信息社会。其次,要开发计算机信息与网络安全的监督管理系统,并且对安全监管系统的管理责任进行细分,落实到具体的责任人身上,一旦出现网络信息安全时要及时找到相应的责任人,对网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则,实现安全保护责任制,逐渐实现企业网络信息完全管理的科学化和规范化发展。第三,在管理的过程中,要对企业的安全技术管理人员的责任进行确定,一旦企业的信息系统出现了安全问题,则应该要按照相应的责任关系找到责任人,对具体的责任进行承担,从而使得企业的信息安全系统管理更加科学。
结语
综上所述,在信息技术时代,信息网络系统在企业管理过程中的应用越来越多,同时也产生了较大的信息安全隐患。对此要积极加强信息安全工作,从人员安全意识的提升以及应用安全防护技术手段角度着手,对企业的信息安全保护工作进行加强,并且建立相应的严密的管理制度,从而使得企业的网络信息安全管理工作水平可以得到有效的提升,促进企业在信息化过程中的健康发展。
参考文献
[1] 余人杰.浅谈网络设备的安全隐患及其防范措施[J].计算机光盘软件与应用,2014(12).
清晰明了等级保护制度
毕马宁认为要开展信息安全等级保护工作,首先应该弄明白什么是等级保护,“等级保护是我们国家以法律形式固定下来的一个关于国家信息安全保障体系建设和保护关键基础设施的基本国家制度”,而信息安全等级保护制度的法律依据则是1994年国务院的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。
其次,还应该明白信息安全等级保护的等级概念。“等级保护简单地说,等级是手段,目的是保护”,而等级的划分是根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。毕马宁强调:“信息系统的重要程度不是由系统的技术性所决定,而是由这个系统的社会属性所决定的。”比如,同样是财务系统,银行的财务系统与某小型企事业单位的财务系统所承载的应用对社会秩序、国家安全的影响是不一样的,一旦遭到破坏,银行财务系统对社会秩序和国家安全的负面影响更重大。“所以,原卫生部才会要求全国的三级甲等医院的核心系统通过第三级测评。”他说。
一体之两翼
其实信息安全等级保护并非我国独创,而是借鉴国际已有的信息安全风险管理理论和方法,并结合我国信息安全管理的特色,制定的具有中国特色的信息安全等级保护制度。现阶段整个人民生活、社会运行,包括政府的运行,都跟信息化密不可分。信息化已经从原来的辅助作用变成支撑作用,成为机构、企业发展,获得价值或者改善自身生存,为社会做贡献的一个利器、一个支撑平台。“正如所说的,一个国家的发展,一个民族的发展,需要‘一体两翼’,‘一体’是发展;‘两翼’,则是信息化和信息安全保障。想要发展就缺一不可。”毕马宁说,“等级保护制度是对信息系统做风险控制,是一种国家风险管理行为。可以说等级保护制度就是国家风险管控手段。它虽然不能完全保证信息系统不出事,但起码能够保证信息系统少出事,或者是风险可控的,而且一旦出了事我们知道如何去应对。”
等级测评工作的目的和意义
等级保护是要通过定级、备案、建设整改来提升信息系统安全防护能力,安全建设整改工作完成后,如何检验效果?这就是等级测评工作的目的和意义。等级测评是检测评估信息系统安全保护状况是否达到相应等级能力要求的过程,是落实信息安全等级保护制度的重要环节。
毕马宁认为,“等级测评是等级保护工作推进过程中的一项能力技术判断活动,它是一个必备的环节。”他还建议:“不要把等级测评工作当作是考试,应该是把等级保护工作重点放在准确定级、建设整改上,逐步提升信息系统的安全防护能力,通过等级测评来发现自己的问题,再明确下一步的方向,这是最关键的。”
等级测评工作也可以在定级备案之后,安全建设或整改之前开展,因为“公安机关赋予了等级测评机构提供咨询的权利和义务,可以站在用户的角度帮他们做咨询服务”,毕马宁解释:“作为评估中心,我们不仅要发现问题,还要跟用户共同商量解决问题,这也是服务型政府的一个特点。”
对医疗卫生行业信息安全等级保护工作的建议
关键词:项目预算监控;中医药;信息安全
DOI:10.3969/j.issn.1005-5304.2016.11.002
中图分类号:R2-05 文献标识码:A 文章编号:1005-5304(2016)11-0004-04
Abstract: With constant development and application of new generation information technology such as big data, cloud computing and Internet of Things, traditional management style and thought patterns of TCM are being changed. It is particularly important to introduce information security into budget management of TCM projects. This article discussed security factors in TCM budget monitoring platform, organized key contents of information security construction, built information security model for monitoring platform, and analyzed security strategies for the construction of TCM budget monitoring platform, with a purpose to guarantee effective implementation of budget information management measures of TCM projects.
Key words: project budget monitor; traditional Chinese medicine; information security
信息化是经济与社会发展的创新驱动力。大数据、云计算、物联网等新一代信息技术的不断发展和应用,加快了我国中医药信息化建设的步伐,改变着传统中医药管理方式和思维模式。随着信息技术在中医药行业各业务的深入应用,信息加密、病毒防护、身份鉴别、访问控制、入侵防范、数据保护等安全问题越来越突出。中医药项目预算监控平台(以下简称“监控平台”)作为中医药重点信息化工程,构建了国家、省级、基层单位三级信息网络平台,覆盖全国31个省、3000余家基层单位,对信息安全工作提出了更高的要求。为此,笔者以监控平台安全建设为基础,深入分析影响监控平台的安全因素,从安全保护等级确定、信息安全模型构建、物理环境和网络体系创建、自身安全策略制定、数据传输通道建立、安全管理制度、人员培养等方面探讨信息安全的应用。
1 中医药项目预算监控平台安全隐患分析
1.1 项目预算信息
中医药项目预算是反映中医药事业发展政策的具体措施,主要涉及项目经费分配、预算执行、组织实施、项目绩效等信息,若预算经费信息被篡改,将影响中医药行政部门的权威性和可信度,易造成基层单位项目经费下达与执行数据不符[1]。预算执行是反映项目建设单位经费使用和任务完成的具体体现,若执行数据被篡改,将影响预算执行过程监管的精准性,造成对项目建设单位执行能力和效率的决策失准。
1.2 监控平台
监控平台的数据中心承载着中医药项目预算监控数据的计算、信息资源管理与服务等主要功能,支持数据安全存储,提供持续可靠的信息服务,其安全对信息服务和运行能力提升至关重要。
1.2.1 物理因素 监控平台所应用的服务器、交换机和路由器等网络设备,以及防火墙、入侵检测、漏洞扫描等安全设备都运行在数据中心,保证这些设备的安全是监控平台稳定运行的前提。若遇盗窃、突然断电等,监控平台将无法运行。
1.2.2 网络体系 监控平台网络体系设计不规范、不能满足业务发展需求,交换机、路由器等网络设施和防火墙、网络审计、行为管理等安全设备的选型、部署、使用、管理与中医药项目管理业务处理能力和安全需求不协调,安全策略规则不符合中医药项目预算管理流程,安全设备不能有效监测和防御,易出现中医药项目经费监控数据不准确、监控手段不灵敏、监控时效性不强,使中医药管理部门科学决策受影响。
1.2.3 系统服务器 监控平台服务器运行着数据库、系统软件及电子签章等,存储了所有中医药项目预算实时监控数据,是监控平台运行的关键设备。其操作系统和数据库易存在默认的、多余的、长期不使用的、共享的账户,用户口令长度和复杂度不符合等级保护要求,各类补丁未能及时更新,这些均容易给网络黑客破坏监控平台服务器创造条件,导致监控数据丢失、数据库信息被篡改等。
1.2.4 信息系统 监控平台除依赖于网络安全、操作系统、数据库等安全措施外,其自身也需部署相应安全策略,如用户身份识别、口令长度和复杂度控制、用户访问权限和粒度设置、用户登录与操作痕迹的不可否认性、最大并发会话连接数等,这些因素均是监控平台信息系统在开发设计阶段需要考虑的。
1.3 监控信息传输
监控平台在互联网和局域网中同时应用,互联网传输易遭受黑客和恶意软件攻击,存在诸多人为因素破坏的潜在威胁。监控平台在国家层面、省级、基层单位之间的数据传输依托互联网,如何保证数据的完整性、抗否认性、准确性,需要重点考虑,如采用加密、访问控制、安全认证等措施;国家级平台和省级平台内部使用的安全性取决于单位内部网络体系安全建设[2]。
1.4 用户终端
监控平台采用B/S模式,用户终端涉及全国中医药项目建设单位,且无需运行任何程序,但终端的安全短板效应依然会影响监控平台整体安全防护能力,如操作系统漏洞、防病毒软件缺失、USB Key丢失、帐号/密码泄露等,易给攻击者假冒合法用户进行某些破坏动作留下可乘之机。
1.5 系统管理维护
监控平台覆盖范围广,用户复杂、水平参差不齐,若无健全的安全管理制度,特别是安全管理或使用人员操作手册缺失,易产生人为的误操作等;系统管理员、安全保密管理员、安全审计员的职责不清、人员不明,安全策略管理手段缺乏,易造成监控平台运行维护的混乱;数据备份与恢复管理缺乏,易引起备份数据的不可恢复、监控数据的永久丢失;系统应急预案和演练缺乏,一个很小系统安全问题可能出现监控平台长时间瘫痪、数据丢失等。
2 中医药项目预算监控平台的安全措施
2.1 确定监控平台安全保护等级
监控平台建设初期,我们分析中医药项目预算管理的信息化和安全防护需求,邀请中医药财务、信息安全、信息技术等领域专家规划和设计网络拓扑结构和体系框架,确定监控平台的应用覆盖面、预算管理业务依赖性、系统数据敏感度、平台服务范围等。监控平台业务信息和系统服务受到破坏时,所侵害客体是国家和各级中医药管理部门、中医药项目建设单位,中医药项目预算管理和执行信息篡改、不准确,将会严重影响国家和各级中医药管理部门的公信力和权威性,业务信息破坏达到严重损害程度,所以,业务信息安全保护等级确定为第三级。监控平台主要为国家和各级中医药管理部门、中医药项目建设单位提供系统服务,当其遭到破坏时对使用人员损害程度比较有限,所以,系统服务安全保护等级确定为第二级。根据信息系统安全保护等级由业务和系统服务安全保护等级较高者决定的原则,最终确定监控平台安全保护等级为第三级[3]。
2.2 构建监控平整安全防线
2.2.1 监控平台信息安全 模型在监控平台信息安全等级第三级的基础上,我们结合开放式系统互联(OSI)安全体系结构、分布式动态主动模型PPDR(策略、保护、检测、响应)等信息安全模型结构,从中医药项目预算管理业务的需求出发,保障预算管理与执行信息的安全可靠,建立了一套较为完善的中医药项目预算监控平台信息安全模型。在系统部署层面,采用B/S/S服务器级连接模式,通过WEB服务器将外部终端与数据服务器隔离,防止非法入侵者通过系统漏洞直接获取预算数据。在数据传输层面,在平台服务器端与客户端之间部署防火墙和基于SSL协议的VPN通道,引用电子签章、数字认证等数据加密手段。在数据存储层面,采用安全性较为完善的SQL Server数据库系统,所有预算相关数据存储均进行加密,采用磁带机等进行数据的自动备份,防止数据库服务器遭受意外攻击或损坏后可能产生的安全隐患。在表示应用层面,运用S-HTTP协议分离CA认证与应用界面,严格区分前后台系统,应用层数据须经加密认证后再由传输层传输。在平台内部网络层面,配备安全管理平台,采用防火墙、入侵检测、漏洞扫描、网络审计、防病毒等安全技术,实现实时全方位监控[4]。详见图1。
2.2.2 创造安全的物理环境和网络体系 国家级、省级监控平台分别部署在国家中医药管理局和各省中医药管理部门机房,均具备一定的安全物理环境,按照三级等级保护要求完善安全措施,如为国家级监控平台数据专门配备气体灭火器,增装机房专用空调,国家级和省级监控平台使用的所有服务器、安全设备等粘贴统一的监控平台专用标识。
针对中医药项目预算管理需求,基于互联网建立国家、省、项目建设单位3级信息网络架构,划分国家级、省级等不同安全域,统一制定安全管理策略。在国家级监控数据中心部署防火墙、入侵检测、漏洞扫描、主机监控与审计、网络安全审计等;在省级监控数据中心部署防火墙、网络安全审计、防病毒系统等,共同监测、抵御和防范病毒木马和黑客等各种攻击、入侵行为及非法访问和操作等,做到非监控平台使用人员进不来、看不到、看不懂。在服务器和数据库安全防护方面,及时更新操作系统和数据库的补丁、漏洞,删除或停用默认、多余和共享的账户,特别是测试阶段所使用的账户和已经撤销的机构账户,只开放监控系统用到的服务器端口,数据库帐号由监控平台数据库管理员负责。在数据保护方面,国家级平台采取磁带库和服务器备份双备份方式,省级平台采取服务器备份方式。
2.2.3 实施监控平台自身安全策略 监控平台采用基于角色的访问控制(RBAC)安全模型,做到信息操作轨迹可追溯。用户管理员将监控平台用户分别授予国家级用户、省级用户、基层单位用户、系统管理员、安全保密管理员、安全审计员等角色组,各角色组和角色之间具有角色互斥关系;角色管理员针对不同角色分配给监控平台数据的查询、增加、修改、删除、退回等操作权限。如国家中医药管理局人员被授予国家级用户角色,只能操作国家级平台,授予查询和退回各省报送数据,不能修改和增加省级、项目建设单位报送的数据。针对监控平台财务数据的高保密性,用户身份验证采用基于数字证书的双向认证并结合静态口令认证的USB Key,口令要求字母、数字、符号两者以上组成的8位以上长度。严格监控平台账户访问和操作规则,口令输入错误超过5次立即锁定,30 min后方可再次登录,30 min无操作监控平台的账户自动退出,避免无关人员攻击或操作监控平台。
2.2.4 建立安全可信的数据传输通道 监控平台是基于互联网进行数据传输和通信,如何确保预算数据下达、预算执行数据上报、预警信息通报等过程中信息不被泄露或篡改,监控平台通过部署SSL VPN设备和PKI系统,利用SSL安全套接层协议对监控平台预算信息进行加密,在服务器端和客户端建立虚拟专用网络,应用数字证书和私钥进行用户数字认证和身份确认,从而保护在互联网上预算数据传输的安全性、完整性、机密性。同时,搭建基于CA认证的统一身份管理平台,在PKI系统的基础上,将电子签章、电子签名技术与CA数字认证技术相结合,统一将用户信息存储在身份认证服务器,实现各级各类用户身份的统一强鉴别认证和访问控制,保证监控平台数据的真实性和使用人员的不可否认性[5]。
2.3 建立监控平台安全管理制度
信息安全“三分技术、七分管理”。在监控平台建设过程中,成立监控平台信息安全管理领导小组,统筹规划监控平台的信息安全,设立信息安全工作小组,全面负责监控平台信息安全措施的执行和监督,要求省级监控平台由专人负责信息安全维护。制定监控平台操作手册、安全设备管理、账户与密码管理、用户访问控制、监控数据存储管理、监控数据分析与利用规范、运行维护手册、数据备份与恢复方案、应急预案、风险评估等一系列25个安全管理制度,编制防火墙、入侵检测、漏洞扫描、VPN设备等安全策略,做到监控平台的每个环节、每个操作都有据可依、有章可循,最大限度地降低安全风险。设立监控平台系统管理员、安全保密管理员、安全审计员,定期开展国家级和省级监控平台信息安全事件应急预案演练,创造信息安全应急技术支撑队伍和保障条件。
2.4 加强信息安全管理技术人员培养
高素质的信息安全技术队伍是信息安全保障体系的智力支撑。开展监控平台管理和使用人员的操作培训,将监控平台信息安全建设和后期运行维护纳入监控平台管理与技术人员培训主要内容,建立多层次、多形式、多途径、重实效的信息安全人才培养机制,培养监控平台管理和使用人员安全意识、职业道德和责任心,规范用户合法合规操作。委托监控平台开发单位和信息安全专业机构定期举办培训班,开展系统安全使用、电子签章、CA认证等专业技术培训。
3 结语
中医药项目预算监控平台是“中医药信息化建设‘十二五’规划”的重要任务之一,其信息安全保护不容忽视,信息安全管理与技术体系建设已成为不可或缺的重要组成部分。作为管理者和使用者,应充分认识信息安全的重要性,在设计、开发、建设、运维的各个阶段,强化信息安全技术和管理措施的落实,建立完善的信息安全策略和管理制度,做到事前预防、事中监控、事后应急,保障监控平台的安全稳定运行,有效提高中医药项目经费预算管理的科学性,为中医药行业其他应用系统信息安全建设提供借鉴和参考。
参考文献:
[1] 田双桂,沈绍武.中医药项目预算管理信息化需求探讨[J].中医药管理杂志,2013,21(8):802-803.
[2] 李继珍.重视中医药发展时期信息安全问题的探讨[J].中医药管理杂志,2012,20(4):391-392.
[3] 肖勇,沈绍武,田双桂,等.中医药项目预算监控平台信息安全等级保护实践[J].医学信息学杂志,2014,35(9):7-11.
