时间:2022-02-24 10:40:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全调查报告,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
为了准确掌握我校学生网络信息安全意识现状,为分析原因、加强防范、堵塞漏洞提供依据,我们在部分学生中专题开展了网络信息安全意识问卷调查。从调查反馈的情况来看,我校学生网络信息安全意识相对有一定的基础,但总体仍不够强,值得我们深入分析研究并采取有效对策,及时全面提高学生的防范意识和防范能力,在充分享受互联网和信息社会带来好处的同时,严防网络信息违法犯罪现象和受骗受害现象的发生。具体报告如下:
一、调查概况
本次调查对象为东校区学生,采取随机确定的方式,共发放问卷300份,收回291份,回收率达97%。调查的主要方式是实际接触被调查者,交谈了解基本情况,要求被调查者独立填写不记名调查问卷。调查得到了同学们的积极支持,大家普遍比较认真地回答了每一个问题,并且比较真实地表述了自己的情况、表达了自己的想法。
二、数据分析
本次问卷调查共15道题目,以多选题为主,占三分之二;另有单选题5道。内容主要涉及大学生网络信息安全知识的掌握、对本人及他人信息安全的认知态度等多个方面,具体分析如下:
1)网络信息安全知识了解情况。291名被调查大学生中,有93人表示经常有意识地了解网络信息安全知识,占31.96%;有84人表示非常少;有65人表示偶尔了解;有49人表示从来没有了解。说明大学生普遍还没有及时掌握必要的网络信息安全知识。
2)个人信息安全的认知情况。291名被调查大学生中,有98人次认为个人信息安全是指在使用计算机时个人信息不泄露或不会被他人获取;有74人次认为是信息网络的硬件、软件及其系统中的个人数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断;有63人次认为是日常生活中个人信息不被他人知道和窃取;有80人次认为是一切与个人有关的信息的保护。可见相当一部分大学生对个人信息安全的概念仍不清楚,不知道个人信息安全与计算机技术、网络技术发展密切相关。
3)利用网络搜索他人信息情况。291名被调查大学生中,有110人表示经常会利用网络搜索他人信息,因为想解他人;有145人表示仅在有需要的时候偶尔会利用网络搜索他人信息;有36人表示从不这样,因为很无聊。三者比例分别占37.80%、49.83%和12.37%,说明大学生网搜他人信息行为总体正常。
4)网络安全问题认知情况。291名被调查大学生中,有53人次认为破坏分子作伪装绕过安全检查属于网络安全问题,有128人认为网络服务器因断电停机属于网络安全问题,有83人认为因病毒导致系统瘫痪属于网络安全问题,有61人次认为伪造IP地址骗取其口令获取对计算机的访问权限属于网络安全问题。说明有近一半的大学生对网络安全问题内涵不太清楚。
5)遭遇过哪些网络安全问题。291名被调查大学生中,有121人次反映遭遇过垃圾邮件侵扰,有89人次表示受到过病毒攻击,有119人次表示信息曾经被盗,有76人次表示遇到过其它形式的网络安全问题。说明侵犯网络信息安全的现象已经较多地影响到大学生。
6)个人信息泄露原因。291名被调查大学生中,有83人认为个人信息泄露最主要的原因是网络普及管理不规范,有112人认为是法律不健全,存在个人信息买卖市场,有72人认为是学生个人信息安全意识薄弱,有69人认为是电脑病毒、木马横行。总体上表明大学生对个人信息泄露原因是有思考的。
7)对校内个人信息安全建设的满意度。291名被调查大学生中,有182人对校内的个人信息安全建设表示满意,有109人表示不满意。说明校园个人信息安全建设尽管得到大部分大学生的认可,但仍有值得加强的地方。
8)对学校信息安全保障的期待。291名被调查大学生中,关于学校应当采取哪些措施保障个人信息安全,有114人次提出应该建设个人信息安全平台并绑定个人,137人次提出应该加强后续处理监督,121人次提出应该加强对于学生信息安全教育。应该说学生们的期待是建立在关心信息安全基础上的合理要求。
9)网络安全信息技术了解情况。291名被调查大学生中,了解网络信息安全技术的情况不太乐观,有97人次表示知道密匙管理技术,有103人次表示知道数字签名和认证技术,有141人次表示知道网络入侵检测和防火墙技术,有107人次表示了解电子商务安全技术。
10)获取网络信息安全知识的途径。291名被调查大学生中,有131人表示从网络获得相关知识,107人表示从书籍上获得,146人表示从课堂上获得,123人次表示从新闻媒体上获得。应该说大学生获取信息安全知识的途径是多方面的,基本上不存在获取不到的困难,主要是看不看的问题。
11)提高大学生网络安全意识的办法。291名被调查大学生中,有121人次建议开设讲座,97人次建议开主题班会,27人次提出发宣传单,101人次提出通过网络视频。应该说,大家对提高网络安全意识是有期待的,也希望有更多的渠道来加强个人信息安全保障。
综合以上数据进行分析,调研组认为,我校大学生信息安全意识有待提高,尽管越来越多地利用网络、自媒体进行交流、娱乐和学习,但主要精力花在如何从网上得到信息, 较少考虑如何在网络环境下保护自己的信息。交谈得知,不少学生会将自己的真实材料到网上, 碰到过QQ 密码会被盗, 登录口令过于简单等现象。大学生信息安全防范知识和操作能力有待加强,尽管因为新闻宣传、课堂教育等因素对防火墙、病毒等基本知识比较了解,但比较完全的网络信息安全管理和防范知识知之不多,一些学生不会安装操作系统、配置防火墙,不知道需要定期升级病毒防治产品, 不懂得如何更好的配置自己的计算机,也没有掌握保护自身信息安全的基本防范技能。
三、对策建议
大学生的学习、生活和准备就业已经越来越离不开网络,网络的发展对当代大学生的思维方式、行为模式、心理发展、价值观念和政治趋向等都产生了深远的影响。在越来越多地参与网上购物,使用网上银行等网上商务活动的过程中,涉世不深的大学生也日渐成为网络信息盗取和网络诈骗、网络盗窃等违法犯罪行为的猎物,一些不良商家也通过盗取信息来达到不正当竞争的目的。作为学校要重视和提高大学生的网络综合素质,加强学生的网络素质、网络技能、实践运用网络综合能力和网络安全意识的培养,督促提高安全上网意识,学会使用杀毒软件及防火墙,学会为别人也为自己提供一个安全和谐的网络空间。具体有四个方面的建议:
1)加强大学生网络法制教育。网络安全教育一个不可忽视的方面是思想教育,这其中最重要的是法制教育。目前网络犯罪是十分常见的包括网络欺诈、网络谣言的散播等。网络的匿名性特点给了许多人一种“漠视法律的理由”,认为没有具体监管就不算犯罪,其实不然。这体现的是网络法制教育的缺失,所以教育学生们什么在网络上是可以做的、是合法的,什么是不可以做的、是违法的是十分重要的,对维护网络安全运行也是有重要作用的。
2)充分利用课堂教育普及网络安全知识和技能。建议在计算机普及课程中除讲授常用软件知识外,增加计算机网络安全知识,让学生了解系统管理用户、文件和其他硬件资源的安全机制。对网络安全的基本理论知识和系统安全策略,如加密解密算法、防火墙的工作原理与作用、系统漏洞及修补方法、硬盘保护卡的工作原理与使用方法也要多加讲授。同时,要加强对大学生的网络安全法制教育,提高学生的网上自我约束能力、自控能力,不利用网络散播其它同学和老师的私密信息,不参与网络信息违法活动。
3)积极拓展课外空间,开展形式多样的网络信息安全防范活动。可以定期开设网络安全知识专题讲座,就课堂教学中不能深入讲解的问题或薄弱环节,如网络行为规范、个人计算机安全策略、计算机病毒的新动向、病毒查杀软件的使用,引导有兴趣、有需要的大学生深入学习并积极参与防范。 建议每年举办网络安全知识大赛、网络安全知识调查、网络安全主题漫画比赛等,丰富大学生的业余生活,实现以生教生,在校园中普及网络安全知识,构建网络安全防范的群防群治机制。
4)建议成立校级的信息安全管理机构。主要负责校园网的日常安全与管理工作,及时了解本校学生的网络使用情况;定期最新的网络安全信息,让大学生及时了解网络不安全因素的动态。现代大学生作为国家未来的接班人,有责任与义务充分意识到网络安全隐患,在经济全球化,网络快捷化的浪潮里,不被外界因素迷失本心,努力做到规范上网,不触犯法律法规,提高网络安全意识,做一名合格的大学生。
(一)加快完善信息安全法律法规的建设
针对网络营销中存在的一些问题,不仅要从技术手段上进行防止,更要从法律上面进行建设。市场的健康有序的发展和运行需要一个良好的法制环境。我国目前在网络营销和交易上的立法还较薄弱,法律的不完善是制约我国网络营销的一大瓶颈。因此应尽快完善立法,建立有序的网络市场。
加强信息安全的立法,制定相应的法律、法规打击利用网络技术手段收集、窃取企业和个人信息,并利用这些信息进行非法牟利的行为。完善经济合同法,保护企业和消费者的交易行为,避免消费欺诈的发生。加强知识产权保护的立法,保护个人和企业的信息权益和无形的资产,规范网络信息收集、加工、行为,以消除网络营销中虚假、泛滥、冗余的信息。
(二)建立信息可靠性级别
针对网络营销中存在大量虚假和失效信息的现象,可以通过建立信息可靠性级别的认定和审查的制度。规范企业和个人信息的行为,用以增强消费者对网络信息的信心。对能够真实、有效信息的企业和个人进行肯定,以提高企业信息和维护的质量。组织行业协会,定期网上商家信息的可靠程度情况,就好像酒店的星级评比,有一个统一的标准,这样就在很大程度上,减少了消费者对不可靠信息的担忧。
同时建立虚假信息的举报和监督机制,依靠广大网民的力量建立网络信息秩序。在从事网络销售的网站上通常商品评论,商品评论给了消费者充分的话语权,加强了消费者与企业之间的互动,有助于用户选择商品。CNNIC的调查表明目前超过一半的网购用户表示买每种商品前都会看相关商品评论,已有近8成的网购网民买大多数商品前都会看看商品评论。购物网站的商品评论管理良好与否会成为影响网民购物的重要因素。目前已有部分购物网站非常重视商品评论,采取了各种措施鼓励网民发表商品评论。可见采取群众监督的方式能够有效规范企业的信息行为,提高信息的可靠性。
(三)提高产品和服务的信息化程度
网络营销的优势归根到底是信息传递、处理上的优势。互联网的虚拟性使得消费者在购买行为发生前无法像传统的交易行为那样对产品和服务以及提品和服务的企业和个人有一个完整的认识。因此企业在网络营销中应尽可能运用各种技术手段增加产品和服务的信息量,从而增加消费者对产品及服务的认识,提高消费者对产品和服务的认同度,减少消费者对产品和服务的歧义,进而提高消费者的满意度。
(四)加强企业品牌建设
品牌知名度和美誉度是企业产品质量、服务质量和信用的综合体现。在虚拟的环境下进行交易行为,双方的相互信任是交易成功的基础。企业通过树立品牌的方式是获得消费者的信任的重要途径。CNNIC的调查报告显示:网络购物用户的忠诚度相对较高。有60%的用户只在一个网站上买东西,另有33%的用户只在两个网络购物网站上买过东西。如此高的品牌忠诚度足以说明品牌建设的重要性。
在“信息爆炸”的互联网世界里传统的广告宣传方式已经很难起到传统营销中的效果。“口口相传”是网络营销中企业建立品牌的重要途径。互联网的信息扩散速度远远超过传统的媒介途径。CNNIC的调查报告显示:互联网是网民获知购物网站的第一渠道,70.5%的购物网民视互联网为认知渠道。其次是亲朋好友的口口相传,52.6%的网民从其他人口中听说过某个购物网站。
来自机制上的防范,比技术上的加密更为可靠――这原本是市场宣传语,却也道出了信息安全的部分本质。
最近一项旨在调查评估SMB市场 的《2008年中国企业信息安全现状调查报告》指出,如何确保Windows平台安全和最大限度地降低IT风险已经成为企业必须真接面对的问题。但是更多有关中小企业信息安全的白皮书却指出,防范机制往往比加密技术本身更重要,常用来佐证的观点包括“企业信息安全隐患的重心由防范外网攻击转向防范内部泄密”,以及“以大量资金购置防火墙、防病毒等安全产品只是在企业信息化初期给予安全一定保障。”
一种比较激进的观点认为,内网安全已经成为信息安全的主要威胁,“现有的IT技术难以控制员工在操作权限内对电子文档的修改”以及“拷贝和打印不留痕迹”都成为泄密的主要通道。最著名的一个例子来自摩根斯坦利亚太区前任首席经济学家谢国忠的离职事件,评价新加坡腐败的邮件没有通过电子渠道向外传送,而是采取了打印后带出公司散布的做法,最终导致了对摩根公司声誉的国际影响以及谢本人的黯然离职。
在军事情报部门,很多国家采用这样的做法:在所有的复印机上加密。加密后的复印机有各自的编号,影印出来的文件上会出现该部门名称及复印机编号,一旦文件外泄,凭借这些编号就可以很容易地查出外泄密件的出处。
这种衍生于电子政务、从复印和打印出口进行安全控制,已经成为被重视的一种信息安全手段。就职于日立(.cn)与北京工业大学()合资公司的一位工程师表示,这也是其研发团队正在致力于推出的新产品:“针对打印文件的各种威胁实现切实的安全对策,比如在拷贝检测的同时,可以得知文件在打印输出时嵌入的信息以及打印出的文件在被不正当改写或添加时也能被检测出。”粗略看上去,名为“证书卫士”的这款安全产品并没有太过出奇之处,不过“安全的要点是实用”,日立北工大信息系统的总经理郭庆栓则表示,“类似的产品在日本早有应用,这是日立公共系统的打印安全软件进行本土化开发后的中文软件。”
这种思路值得品味:它的出发点便是假设泄密通道会采用物理的方式而非电子手段。事实上在绝大多数企业里,重系统监管而轻实际监测的现象处处皆是,即使是那些著名的软件厂商也不例外―最近发生在上海SAP(.cn)研发团队的一个事例,即是内部员工将公司内部资料大量打印出售以牟利―而按照通常的内部网络流量监管,如果一次性大量下载或者是网络外传,很容易查出最初的肇事者,但物理的隐形手段显然更加难以管理。
这意味着另一种商机,或者说信息安全的回归正好契合了近年来安全厂商的舆论导向。瑞星(.cn)、金山(.cn)等几家著名的本土杀毒软件厂商从前些年的杀毒软件产品提供商转而宣传自己是“网络安全整体解决方案提供商”,其意也正在于此,在企业级网络产品市场,但凡涉及安全领域,过去划分明确的监控、存储、安全几条产品线,如今也常常被整合进整体方案打包出售,比如赛门铁克、Avaya(.cn)、H3C(.cn)等等。有意无意地,厂商们希望造成这样一种印象:机制的安全比单纯的加密技术更能赋予企业完美的防范功能,而这样的安全需要专业的技能和完整的解决方案,当然更重要的,还是乘机把自己对于安全的理念一同贩卖,占据长期的市场。
关键词:云;云计算;云安全
中图分类号:TP393.01
自2006年谷歌公司提出云、云计算概念、理论及推出的“云计划”,世界上各大IT公司陆续推出自己的“云计划”。由于云计算,以其低成本 、高度自动化、无限存储扩展性、高度灵活性、无需基建投资等等的巨大优势,迅速成为IT行业发展的方向,并成为各国最优先发展的技术之一。随着云计算技术的发展,各种云计算应用,诸如:云办公、云安全、云存储、云打印、云通讯等等相继推出。特别是在大众消费电子、信息技术产品上诸如:“云手机”、“云电视”、“云杀毒”、“云游戏”……各种“云概念”产品和服务急剧增加,似乎世界一下进入到“云计算时代”。
然而,在人们享用云计算的好处的同时,云的安全和风险日益成为阻碍云计算发展的现实问题。也就是说,云安全日益成为阻碍云计算产业发展的瓶颈。进而影响到整个信息产业的发展。
1 在我们探讨云安全之前,我们先来了解下,什么是云?什么是云计算?
云,这个概念由谷歌公司提出。因其无边的扩展性而形象的取名。实际上,云指的是一些可以自我维护和管理的虚拟计算资源,通常为一些大型服务器集群,包括计算服务器、存储服务器、宽带资源等等。
云计算,也由谷歌公司提出。是将所有的计算资源(云)集中起来,并由软件实现自动管理。是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。具体说,是指建立功能强大的数据中心,用户最大程度简化个人客户端,接入数据中心进行存储和运算。就像过去打井取水,现在则从自来水公司购买水喝。简单说,云计算,就是非本地计算。
对于用户而言,云安全问题的解决是关系到云服务能否得到认可的关键因素。对于云计算的应用而言,云安全也是云计算应用的主要障碍之一。比如:计算资源的系统发生故障,缺乏统一的安全标准、安全法规,以及隐私保护、数据属权、迁移、传输、安全、灾备等问题如何有效的解决。
2 目前,云安全主要体现在用户数据的隐私保护和传统互联网、硬件设备的安全这两方面
(1)用户数据的隐私保护。在云计算出来之前,用户信息存储于自己的电脑中,是受法律保护的,任何人不经许可是不能查看、使用这些信息的。
但是当用户信息成为云计算的资源储存在云上时,任何人使用这些信息,导致隐私泄漏,尚没有法律依据如何进行处罚。
另外云服务提供商对登记注册管理不严格,也极有可能造成不良分子注册成功并对云服务进行攻击,造成云的滥用、恶用以及对云服务的破坏。
(2)互联网、硬件设备的安全。云中可能存在不安全的接口和API,且用户数据集中在此,更容易受到黑客攻击和病毒感染。当遇到重大事故时,云系统将可能面临崩溃的危险。
2.1 那么如何才能实现云安全?
必须解决以下几个问题:首先,健全法律法规,保障云计算用户象相信银行一样,相信云服务提供商,树立云服务提供商的公信力,使用户象在银行存钱一样,把数据存在云服务提供商那里。其次,保障不同用户之间相互隔离,互不影响,防治用户“串门”。第三,租用第三方的云平台,必须考虑解决云服务提供商管理人员权限的问题。第四,传统互联网服务为避免单点故障,使用了双机备份:主服务器停止服务,备用服务器随即启动提供服务。但是在云环境下,一旦云服务提供商的服务停止了,将会影响到一大片用户,其损失很可能是巨大的。因此必须解决云服务突然终止所带来的风险问题。
2.2 那么如何实施应用具体的云安全技术解决云安全问题?
云中数据安全:目前,云中数据安全防护技术主要有:增强加密技术、密钥管理、数据隔离、数据残留等,用这些技术来解决用户数据在云端计算、存储及数据的归属权、管理权相分离,带来的数据安全问题。
云计算的虚拟化安全:云计算的特征之一是虚拟化。虚拟化的安全直接关系到云计算的安全。虚拟化技术虽然加强了基础设施、软件平台、业务系统的扩展能力,但却使传统物理安全边界逐渐缺失,使基于以往的安全域/安全边界的防护机制不能满足虚拟化环境下的多租户应用模式。
云环境中存在着虚拟化软件安全和虚拟服务器安全两方面问题。虚拟环境中的安全机制与传统物理环境中的安全措施相比,仍有差距。因此,在云计算环境下,用户需要了解用户及云服务提供商双方所要承担的安全责任,只有用户与云服务提供商共同承担安全责任,才能保证云计算环境的安全。
云终端的安全:目前可以从云终端的基础设施、硬件芯片可信技术、操作系统安全机制、应用安全更新机制等四个方面进行云终端安全防护。
云计算的应用安全:由于云环境的灵活性、开放性以及公众可用性等特性,给应用安全带来很大挑战。云服务提供商在部署应用程序时应当充分考虑可能引发的安全风险。对于使用云服务的用户而言,应提高安全意识,采取必要措施,保证云终端的安全。如用户在处理敏感数据的应用程序与服务器之间通信时采用加密技术。用户应建立定期更新机制,及时为使用云服务的应用打补丁或更新版本。
云计算产业发展的核心是服务,因此,为保证云计算服务的可靠性、易用性、可操作性、安全性和稳定性,必须在数据迁移、备份、加密以及位置控制方面深入探索、研究。同时,要不断完善云计算相关的法律法规,让用户象在银行存钱那样对使用云计算有信心。但无可否认,除了不断探索、研究、推广成熟的云计算安全技术之外,用户的自我防护意识也需要加强。
当然,在相关云计算技术和标准尚未成熟的今天。若想解决云计算的安全问题,需要政府大力支持和业界的广泛联合,组成一个完整的生态系统,共同实现云计算的安全。
附录一:《2010中国云计算调查报告》关于云安全在中国应用状况调查的主要结论:
(1)针对云安全的三种说法,都有相当的用户认可(三种提法:1、云安全是利用云计算技术提升信息安全;2、云安全是安全即服务;3、云安全是解决云计算技术本身安全的问题)。
(2)在安全即服务厂商认知度调查中,奇虎360、瑞星、卡巴斯基等厂商表现较突出。
(3)企业用户对数据安全与隐私关注度最高。
(4)不同规模企业对于云杀毒的价值订可度存在差异。
(5)用户对云安全的发展趋势持乐观态度。
附录二:《2012年中国云计算安全调查报告》调查结果:
(1)在云计算部署模型中,企业认为私有云是最安全的,其次为基础设施即服务(IaaS),平台即服务(PaaS)位居第三。
(2)在云计算部署模型中,企业认为软件即服务(SaaS)是最不安全的,其次为混合式(有的是内部管理资源,有的是来自于IaaS/PaaS/SaaS厂商)。
(3)企业表示永远不会迁移到云端的特殊类型数据依次为信用卡数据、商业或者合作伙伴的财务数据和客户身份信息。
(4)对于云计算/云服务,企业最关心的三个主要的安全问题是账户劫持、云数据访问以及特定云攻击/威胁(非目标性的)。
参考文献:
[1]薄明霞.浅谈云计算的安全隐患及防护策略[J].信息安全与技术,2011,9.
[2]TechTarget中国.2012年中国云计算安全调查报告.
[3]盛拓-SEQUEL[J].云计算在中国的应用,2010-9.
2013年中国网民遇到的各种安全问题的整体发生率如图1所示。与2012年相比,2013年个人信息泄漏的比例有大幅的上升。从上图也可看出,虽然个人信息泄漏被作为一个单独项进行统计,但排在前三位的安全事件也是由个人信息的泄漏造成的。所以,综合来看,个人的信息泄漏事件不容小觑。在这些事件的背后我们看到的是人员信息安全意识的缺失,企业信息安全管理的不足。为了帮助企业和个人提高信息安全意识水平,2012年底某IT企业了《2012年度中国企业员工信息安全意识调查报告》,经过对被调查企业的管理层人员及普通员工的大量数据分析和统计,参与本次接受调查访问者的信息安全意识评价平均得分为77.48分。其中,受访者在移动存储介质安全方面的得分最高,为96.1分;在社会工程学信息安全方面的得分最低,为49.6分。因此,中国企业的信息安全意识依然有较大的提升空间。很多企业为保障企业数据信息安全,不惜花巨资投资购进防火墙、入侵检测、防病毒等网络安全产品。然而,企业内的安全事件远比管理者的预想更为复杂、更为宽泛,人员的误操作或无作为也会使这些工具失去其应有的作用。只有提高人员的安全意识和技能,才能真正使企业的信息安全设备发挥应有的作用。
2目前企业人员的信息安全管理主要存在的问题
(1)全体工作人员的信息安全意识不高;
(2)信息安全专业人员数量较少,工作流程不清晰;
(3)信息安全岗位职责划分模糊;
(4)管理层不重视;
(5)信息安全管理工作缺乏有效的考核和监管机制。上述几个问题看似不会影响正常的企业运作,但长期持续则会给企业的信息安全带来巨大的隐患,存在较高的风险。有调查显示,企业的信息泄漏事件70%-80%都由内部人员造成。对于一些关系国计民生的企业,如电力、通信等,企业的信息一旦泄漏,将会产生巨大的社会影响,同时也会给企业造成巨大的损失。但是我们仍然可以通过对知悉或掌握企业核心资产和数据的人员加强信息安全管理与监督,来提高信息安全整体水平。
3加强人员信息安全管理的具体措施
对于企业人员的安全管理措施有很多,国内外的相关标准中都有相应的描述,如《萨班斯法案》《信息安全技术信息系统安全管理要求》ISO27000系列等,不同的标准要求亦有不同,但总体来说不外乎以下几点。
(1)加强人员的信息安全保密意识与责任。任何企业的信息安全与保密都离不开人,信息安全每个步骤的操作与执行都是由人来完成与实现的。如果企业内相关人员的信息安全与保密意识薄弱,不小心造成某些敏感信息泄露,则比其他安全不足问题导致的损失更大。因此必须要不断对相关岗位人员的信息安全意识、责任和职业道德进行培训、指导与监督。
(2)管理层重视。企业人员的信息安全管理是管理层的职责,所有的措施和方法都需要得到管理层的支持才能实施,否则再完美的方法也是毫无意义的。随着各类信息安全事件的曝光,信息泄漏事件的频发,特别是国家推行信息系统的等级保护政策以后,越来越多的管理层开始重视信息安全问题。
(3)明确本单位的核心信息安全资产。我们要对企业的核心信息安全资产加强保护,即主要是对企业内部最核心的信息资产进行有效的保护,这对企业的信息安全尤为重要且非常有效。任何一个企业的资源都有限,信息安全工作相对于业务工作的投入来说一定较小一些,因此对核心的信息资产保护才是企业真正关心的内容和工作。核心信息资产主要指价值比较高,一旦泄露可能会对企业造成比较大损失的资产,如企业的重要或敏感数据、存有重要敏感数据的纸质和电子类的载体等企业的核心资产。明确核心资产信息安全也是对人员进行职责划分的基础。
(4)清楚划分人员职责,严格进行权限分离。人员职责和权限对应组织的信息资产,一定程度上也决定了该人员在组织中的安全地位,职责不明确往往导致人员的无作为或误操作,很多的信息安全隐患无法消除。如果明确了单位的核心资产,而人员的职责划分不清晰,那也等于是无用功。很多单位由于信息安全人员数量有限,存在一人多岗的情况,很多核心的敏感的信息或功能掌握在一个人的手中,这就使得某个人或某几个人的权限过大,导致内部舞弊的风险增加。因此,首先要明确本单位需要设置的信息技术类岗位,并设置相应的人员,确保人员的配备遵循三权分离的原则,敏感的功能或较高的权限不能放在一个人手上,关键性的操作甚至需要多人同时在场,只有这样才能最大限度地避免人员的内部舞弊。
(5)严格选拔新进人员,考核在岗人员,审查离岗人员。选拔人员是人员信息安全管理的第一步,对人员进行严格的背景审查和技能考核是保障企业信息安全人员执业技能和职业道德的重要措施。重要敏感岗位的人员应尽量从内部进行选拔,避免直接任用外聘的人员;对于在岗的信息安全人员应定期进行考核和检查,保证所有的工作都按正常的操作规程执行,避免简化流程的事情发生;对于离岗的人员应与之签订相关的协议说明,并立即更换其所掌握的关键认证信息,避免由于人员的流失导致信息的泄漏。
(6)建立信息安全管理工作的日常监管和考核机制。信息安全管理执行的主体是人,人的操作难免会有失误或不当的地方,这些都是信息安全的风险隐患。所以应对人员的日常工作需建立考核和监管机制,对人员的日常安全管理工作进行监督并提前发现潜在风险,及时消除隐患,降低由于人员操作不当或恶意操作带来的信息安全风险。
4结语
该文对供水企业信息集成系统安全进行分析,并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析,然后研究了在“自主定级,自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案,最终实现供水企业信息集成系统的信息安全防护。
关键词:
供水企业信息集成系统;等级保护;信息安全
供水行业对国计民生很重要的一个行业,供水企业的业务性质要求以信息的整体化为基本立足点,集中管理所有涉及运营的相关数据,针对供水企业运行的特殊要求,进行集中的规划和架构,将不同专业的应用系统进行整合,最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。
随着大数据时代的到来,网格、分布式计算、云计算、物联网等新技术相继推出,对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展,应用中存在着大量的安全隐患,网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告,截至2014年12月,网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升,计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告,2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年,搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月,某域名服务商的域名解析服务器发生了网络黑客的集中式攻击,造成在其公司注册的13%的网站无法访问,时间长达17个小时,经济损失不可估量。因此,从信息安全的角度,要对供水企业信息集成系统进行防护,降低信息安全事故的发生的概率,降低其危害,是本文需要研究的内容。
1当前供水企业信息集成系统安全防护的现状和存在的问题
伴随着科技的不断发展,供水企业的信息化建设也得到了很大的发展,主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问,存在大量的安全隐患。目前,威胁到供水企业信息安全的风险因素主要分为三个大类:1)人为原因,如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2)数据存储位置位置的风险。可能由自然灾害引发的问题,缺乏数据备份和恢复能力。3)不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。
2有关分级防护的要求
尤其是供水企业信息集成系统中,存在大量涉及公民个人隐私的信息,也存在像生产调度这样涉及国计民生的信息。因此,需要按照国家有关信息安全的法律法规,明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》(公通字[2007]43号)第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》(GB/T22240—2008)实施,根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别严重损害。
3分别防护实施步骤
根据有关法律法规,建设完成并投入使用的信息系统,其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示:通常情况下,供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果,有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容:细化各业务系统服务器的物理位置;按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际,主要有等级包括三个业务区域,以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器,而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务,不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。
依据表1的测评结果,将安全区域进行细化表2所示的就是企业管理信息区,其主要业务系统对安全区域存放问题的展示。根据表2得到的结果,可以将信息安全设备存放在不同信息区域边界内,以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界,也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议,供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内,如此可以初步实现对供水企业管理信息区的信息安全防护。
4结束语
随着大数据的发展,对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求,也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下,还需要加强信息审计,及时发现和补救系统缺陷,加强数据库安全防护,维护管理系统的隐患。
参考文献:
[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).
当网络无处不在的时候,安全问题也就无处不在了。
随着网络的发展,越来越多的企业把信息放在网络上以提高工作效率,这也使他们时刻面临信息泄露、数据损毁的威胁。
于是,安全厂商如雨后春笋般涌现出来。如此之快的增长速度,对于安全市场的健康发展并非是一件好事。当技术指标混乱、缺乏严格的衡量标准等问题逐渐暴露出来时,那些蜂涌而至的厂商势必要面临这些挑战,甚至要面对安全领域厂商的一次洗牌。如何及时调整自己的市场策略,在这前景一片大好的市场中占据一席之地,已经成为众多安全厂商急需思考的问题。
从芯片研发成功转战安全市场的凹凸科技(O2Micro)全球执行副总裁Max Huang认为:“最大限度地发挥自身的优势,及时掌握市场的需求变化,务实地研发自己的产品,是凹凸科技在安全领域从零开始,渐渐获得市场信任的三个原因。这也是凹凸科技扎根未来安全市场的关键。”
用技术突破安全市场
凹凸科技成立于12年前,总部设于美国硅谷,现在已经成为一家具有芯片研发能力的集成电路供应商,累计获得了280多项技术专利。其设计研发中心和商务营销部门分布在美洲、欧洲、亚洲的14个国家和地区,并在国内的北京、上海、武汉、成都、深圳5个城市相继建立了研发、销售以及服务网络。
凹凸科技从2002年开始涉足安全领域,5年来已经推出了多款安全产品,其SSL VPN产品Succendo更是获得了业内的好评,并在相关市场中占得不错的市场份额。相对于传统的安全厂商,5年时间能取得这样的成绩,多少有点出乎人们的意料。
Max Huang谈到这5年的研发路程时表示:“投入一个自己完全不熟悉的市场,虽然非常冒险,但是我们能看到安全是未来的市场发展重点,因此挑战虽然大但机遇也非常大。”芯片研发是凹凸科技的传统强项,这也让其在进行安全产品研发时受益不少,不仅有效降低了研发以及生产成本,同时也找到了自己的特点。
“比如,我们基于自主技术ASIC芯片的防火墙或VPN产品拥有非常高的性价比和市场竞争力。而正是本着务实的研发态度,我们从零开始慢慢进入到安全领域的竞争行列。目前我们已经有好几款产品在相关市场份额竞争中名列前茅,而未来我们肯定会走得更远。”Max Huang这样强调。
与渠道共挖市场需求
国家发改委中小企业司的《2006年中国中小企业信息化调查报告》中显示,众多被访企业已经把信息安全列为信息化建设的重点。但事实是,一方面近八成的被访中小企业只有5名以下的IT技术人员,另一方面信息安全方案的实施需要非常专业的人才。这种需求与现实的差距让企业在架构安全方案时捉襟见肘。而对于产品和解决方案提供商来说,产品的销售和实施主要依赖于各地渠道商。因此,渠道的建设以及相关人员技术水平直接关系到该安全产品是否真正能为中小企业所接受。
向主动防御转变
在云计算的背景下,企业网络结构发生了边界模糊、中心离散、分层减少等重大变化,导致原本奏效的安全防护理念,出现了设备位置不确定、检测目标不明确、防护重点不突出、阻断策略不匹配等问题,防护效能严重降低。所以要将被动防御变为主动防御、积极防御,从而让用户以更低的成本享受到更高质量的安全服务。
什么是主动防御?如何做到主动防御,远离安全漏洞和数据泄密? 在接受记者采访时,安永华北区信息安全服务合伙人李睿表示,主动防御不同于传统的被动防守,今天网络安全漏洞的防不胜防,企业应该利用新技术主动找到可能存在的风险,并进一步提供防范措施。“主动防御不会代替传统安全运营,而是对其加以组织和巩固。网络安全不止是一个技术性问题,也不仅仅局限在IT领域。它既是每一位企业董事会成员应该承担的职责,还以各种方式,通常是隐秘、不易识别的方式影响着企业的各个层面以及最高管理层的每一位成员。”李睿说。
《安永第十八届全球信息安全调查报告》特别指出,企业应继续以超前防范网络攻击者为目标,建立更为先进的安全管理平台,并使用网络威胁智能感知系统以有效地保持运营的一致性,帮助开展主动防御,寻找潜在攻击者、分析和评估威胁,并在威胁破坏企业的关键资产之前将其解除。
安永表示可以为企业提供包括企业各个部门之间应如何协作和分享经验、共同收集证据识别出攻击者已经入侵的区域等服务,甚至是为企业提供攻击者正在收集信息的领域,为主动防御提供支持。
安全技术服务化
“网络就是连接一切。”随着越来越多的企业把业务和互联网对接,原有的防护系统很难保障企业业务和相关财产安全。针对这一需求变化,安全企业必须摆脱原有的产品和许可证的商业模式,将技术服务化,以便为企业提供更多个性化的服务。
不同于安永这样的咨询服务机构和传统的安全企业,梆梆安全是一家新生代安全公司,它为客户提供最受欢迎的业务是把安全技术服务化。梆梆安全创始人阚志刚博士认为,“第一代安全公司是卖设备、卖防火墙;第二代安全公司是卖许可证的;第三代安全公司必须是卖服务的,因为服务是集约化服务,成本最低。”
“大智移云尤其是对传统安全企业的冲击比较大,例如卖盒子和设备的公司,大数据时代IT资源集约化之后,原来每个小企业都会买安全设备,但是集约到云之后,作为云公司如果为100家企业服务,那他们买一套安全设备就可以了。”梆梆安全不是唯一的例子,大数据对于新型安全企业而言意味着机遇,现在涌现出大量以大数据和云为研究对象的新型安全公司,这些公司建立云之后,可以为成百上千家客户进行服务。
下一步:智能化平台
和专业的安全公司相比,BAT等互联网企业也在补齐自己的短板。在近日举办的首都网络安全日活动中,百度向外界展示的“百度昊天镜威胁情报平台”,打通了移动、云、PC的完整生态安全数据,构建了全面的互联网安全事件地貌及知识图谱,充分发挥百度在大数据和人工智能领域多年积累的优势,构建了面向安全决策的复合机器学习引擎。可以实现识别潜在互联网威胁,告别被动防御局面,有效提升互联网业务应对黑产困扰和入侵攻击的对抗能力。
人行:
根据《河南省取消企业银行账户许可工作实施方案》的要求,我行在人行汤阴支行的统筹规划、统一部署下,提高认识,统一思想,积极行动,逐项认真落实各项工作要求。我行现将具体的工作情况汇报如下:
一、系统操作方面
我行在人行指定的时间内逐项完成了人行下发的操作任务,包括系统的压力测试阶段和系统上线后快速的完成了操作员的创立和操作员的密码修改等工作。
二、业务处理方面
根据人行的业务指令,我行在第一时间顺利完成了基本户和临时户的虚拟开户许可证编号的领取工作。由于试点工作启动以来还未有企业来我行办理基本户的开立业务,我行还未就企业开立、变更等业务进行处理。但是,我行并未放松对业务处理操作的学习。我行前台员工认真学习《账户管理系统取消企业银行账户许可业务操作讲解》、《河南省人民币银行结算账户监管辅助系统商业银行用户操作手册》等学习资料,确保能够正确、快速的为客户办理相关业务。
三、账户监管方面
为了能够全面、独立承担企业银行账户合法合规主体责任并坚决贯彻落实人行“两个不减,两个加强”的账户监管总要求,我行在账户监管方面做出了相应的优化工作。1、我行继续依托我行的反洗钱系统加强对企业银行账户行为监测和账户交易监测;2、建立企业银行账户核对机制,每月一次重点对账,每半年一次全面对账,总体对账频率不低于每季度一次;3、对于企业账户存在异常情形的,有权采取适当控制账户交易措施;4、对企业开户资格和实名制符合性进行动态复核;5、我支行上级行平均每月对我支行开展一次监督检查工作。6、我行还设有预警系统,加大对我行企业账户的事后核查工作强度。
四、信息安全方面
为确保企业数据信息的安全,我行在现有措施的基础上进行了相应的提升,发挥电子科技防范数据信息风险作用。
五、舆情管理方面
在一个拥有近6亿网民、3亿微博用户的网络大国,中央或地方政府任何一个针对互联网的管理政策均会引起不同震级的舆论反应。微博实名制传闻多时,如今,悬念终于揭开,此前那些复杂的联想立马就云开雾散。事实其实很简单:去年12月16日,北京市出台《北京市微博客发展管理若干规定》,规定任何组织或者个人注册微博客账号要用真实身份信息(后台信息而非前台公开),否则只能浏览不能发言。紧接着,广州、深圳、上海也开始实施微博实名认证制。北上广等一线城市一个个攻克下来了,其他城市更不在话下。生活永远比戏剧精彩。没想到,2011年的压轴戏竟是微博实名制!
互联网技术具有先天的“躲猫猫”功能,它可以让真人穿上隐身衣,戴上面具,消隐于网络江湖。没有真实身份的负担,恶作剧的成本会大大降低,因而容易纵容人性恶的膨胀。谁敢保证数千万计的网民游荡在网络江湖,个个都能守住正人君子的真身?只要网络行为的篱笆尚未扎紧,即会有人乘虚而入,成为“麻烦”制造者。对于中国这样的网络大国,网民的网络行为若没有“红绿灯”和“斑马线”,就会滋生麻烦。此前,中国的网络管理者曾多次努力,想在法规及伦理上扎紧篱笆。但互联网的技术防不胜防,它会不断撕开新的口子,引发新的信息决口和表达失控。结果我们看到:信息管理者忙于“补漏”、“打补丁”,四处救火。这种被动式管理方式,其效果有限不说,也会招致合法性的严重流失。
近两年,遍地开花的微博产生的鲶鱼效应,搅动了中国整个舆论场。微信息,大循环,最后释放出排山倒海的力量。特别是在关键信息缺席之时,微博就会走到传播第一线,填补信息真空,充当社会舆论的“连通器”与“鼓风机”。在佛山小悦悦事件、7・23动车事故中,微博都扮演了积极的社会行动者角色。这次,北京、广州等地方政府从微博实名制下手,将网络“隐身衣”换装成“比基尼”,意在绷紧微博用户的诚信神经。
用实名制的方式规范网民信息诚信,不能说没道理。数以万计的网民聚集在一个舆论场中,不实信息乃至谣言可能成为害群之马,引致社会舆论的偏航。问题是,这种规约不应是单向的,而应是双向的。政府要求微博用户“透底”,政府就应该为微博用户“托底”,权利与义务应该是对等的。既然微博用户的信息公开迈出了一大步,政府的表现更要上台阶。政府该以诚信、公开的姿态,有更佳的信息作为,让网民切身感到:他们的付出是值得的。基于此,公众对政府有三点期待:
其一,深入推动政府的信息公开。政府掌握着大量公共信息,除却涉及国家安全的信息,有很多信息还揽在政府的手里,公众欲知,但可望而不可即。“三公”消费的公开费了九牛二虎之力,至今还走在半路上。在一些突发事件中,不实信息之所以四处传播,甚至谣言四起,一个重要原因就是真实信息的缺席。近期披露的7・23动车事故调查报告中,就指出“信息不及时,对社会关切回应不准确”等问题。微博在7・23动车事件别活跃,很大程度上是由核心信息缺席引致的。在我看来,只有政府的信息公开有实质性的推进,才能解决公共事件中虚假信息的失控问题。近期,政务微博出现井喷式的繁荣,意在推动信息公开,促进政治沟通,思路和成效是值得肯定的。
其二,确保用户的信息安全。微博用户把自己真实的身份信息交出去,是存在信息安全顾虑的。虽说这些信息不是直接交给政府,是交给网站,但政府有责任通过制度建设,规范网站的信息管理,确保用户的信息安全。
其三,要切实保障公民的知情权、表达权、参与权、监督权。交往理性的生成是政治成熟的必要条件。应以实行微博实名制为契机,把政府与公众之间的交往理性提升到更高的层次。净化网络环境,营造文明健康、积极向上的网络文化,要有成熟的交往理性作为支撑。此前,网络上非理性的表达与非理性的控制纠结在一起,难解难分,结果多是两败俱伤。这次推行微博实名制,既要强化微博使用者的言论责任,也要政府担负起对等的责任。而政府在这方面的责任目标应该是:把保障公民的知情权、表达权、参与权、监督权落到实处。
(作者为复旦大学新闻学院副教授)
此事件让人们对互联网再次提高了警惕,大数据是互联网时代的重要特征,其发展方向是数据共享和数据开放。随着云服务的推出,很多互联网企业把一些敏感数据放在互联网云端,通过对数据的挖掘、分析,最后形成有用的信息。在互联网金融的大环境下,这将对信息安全,包括资金安全提出更大挑战。
小隐私中的大隐患
从近期的案件分析来看,犯罪分子更多把目光放在数据挖掘和数据分析上,互联网金融的发展使他们容易窃取到一些更精准的企业信息和个人信息,作案成功率也会更高。
类似于已被人们熟知的信用卡欺诈、套现洗钱等事件还在不断发生。而且从互联网到手机,从电话到电视,从pos机到pad,第三方支付渠道愈加增多。互联网金融最基本的核心还是金融的属性和金融的特性,所以还是要以金融的风险管理角度来直面互联网金融所带来的风险。
中国金融认证中心助理总经理王梅认为,金融机构在面临这些信息安全隐患时,需要加强新技术和新应用这方面的研究。随着现在银行业务不断的创新,电子银行的渠道也越来越多,复杂度越来越高。银行金融机构要从业务架构和技术架构两方面人手,考虑如何更好的融合。尤其是信息安全建设方面,系统建设要同时启动规划、开发、测试、上线,要充分认识重视信息安全。最重要的是加强信息安全的宣传、引导,尤其是电子银行安全方面的引导。
“很多时候,客户发生信息泄露事件,是客户自身对信息安全意识不足。”一位银行人士表示,对于一些诈骗信息,百姓应分辨清楚,不轻信对方。
中国互联网络信息中心(CNNIC)的《2012年中国网民信息安全状况研究报告》显示,我国信息安全状况不容乐观,而网民对信息安全危害意识程度不够。
有84.8%的网民遇到过信息安全事件,在这些网民中,平均每人遇到2.4类信息安全事件。在众多信息安全事件中垃圾短信和手机骚扰电话发生比例最高,分别有68.3%和56.5%。而“欺诈诱骗信息”、“假冒网站”等新型信息安全事件甚至超过了部分传统信息安全事件。38.2%的网民遇到过“欺诈诱骗信息”,这一比例甚至比传统的“中病毒或木马”的网民比例高出15.1个百分点。但在遇到信息安全事件的网民中,高达47.5%的网民不做任何处理,网民对信息安全事件的危害并不了解或不在意。
中国金融认证中心副总经理曹小青撰文表示,对消费者而言,面临的风险主要包含电子货币形式的资金的损失和电子信息形式的隐私泄露两类。目前看消费者一方风险产生的原因,主要是消费者安全意识薄弱、消费者操作不当、木马软件泛滥及黑客攻击猖獗。
他提醒消费者,要注意保护个人的隐私信息。如电话号码、家庭住址、身份证号码、公司地址、E-mail等信息。不要将对自己至关重要的敏感信息暴露在网上;不使用弱密码,也不在多处使用同一密码;加强安全支付意识,不在网吧进行支付,不使用公共网络进行支付;在线交易操作需要反复确认,随时注意浏览器地址栏、弹出窗口的各项内容等细节信息;认清不同种支付方式所面临的风险,对短信支付、手机银行支付、信用卡支付等支付方式,要通过设置交易资金限制等方式来降低风险。
业务连续性管理新课题
如果说,隐私泄露带来的信息安全问题,自己稍加注意便能避免,那如果是因为银行管理失误,导致民众无法正常办理金融业务,这会让信息金融时代的民众最缺乏安全感。
根据中国金融认证中心的《2012中国电子银行调查报告》显示,中国电子银行业务连续三年呈增长态势,68%的用户使用网上银行替代了一半以上的柜台业务,部分银行网银替代率超过85%。而40%的个人网银用户拥有多个网银账户,最近1年内的网银账户主动开通率为75%;个人手机银行用户比例为8.9%,较2011年增长2.6个百分点,连续三年呈增长趋势。
在此大背景下,各大银行的信息系统一旦出现问题,将带来难以估量的损失。
6月23日,中国资产规模最大的银行中国工商银行出现系统“瘫痪”,柜面取款、自动取款机、网上银行、电话银行等业务办理均大受影响,多个网点更贴出“机器故障”告示停办所有业务。此次事件涉及北京、上海、武汉、四川等中国多个省市。
中国工商银行在内地拥有数万家营业网点,电话银行注册客户已超过1亿户,短信银行累计服务客户达2150万户,因此,此次系统故障影响范围颇大。随后工行证实事件乃系统升级所致,但此次“意外”已经引起坊间一些过度“解读”。
7月初,中国工商银行就6・23事件内部通报指出,故障原因是由于供应商提供的主机版本内存清理机制存在缺陷引发的。小概率,高风险的系统故障再一次将银行灾备与风险管理的重要性凸显出来,也让业务连续性管理(BCM)这一普通人觉得陌生的术语浮出水面。
银行业信息系统承载着金融机构核心业务和金融服务的稳定运行,一个环节出现问题,就可能引发“多米诺骨牌”式的传递效应,引发系统性金融信息安全风险,巨大的经济损失尚且可估算,但对银行社会声誉的巨大损失甚至容易引发全社会的恐慌所带来的巨大冲击则是不可估量的。
显然,在6月多家银行系统故障频发的现实证明我国银行业风险管控意识亟待升级。我国银行业IT应用早已步入集中时代,但在数据和业务系统的连续性管理上,大多金融机构起步较晚,中小型金融机构更是如此。
2008年,现任银监会副主席郭利根曾就多起国内银行信息科技风险事件发表讲话。他指出,基础建设滞后、软硬件及核心技术受制于人和系统管理粗放是当时银行业信息科技建设存在的主要问题,特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面,存在明显的“短板”。
【 关键词 】 信息安全;信息安全保障体系;国家大剧院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
随着信息技术的飞速发展,人类正以前所未有的速度进入以网络为主的信息时代,网络的快速发展不仅促进了人们的通信和交流,同时也带来了商业和经济模式的巨大变革。
国家大剧院是国家新建的重要文化设施,也是一处别具特色的景观胜地。作为北京市国家级标志性文化设施,国家大剧院的建设与运行体现了正在迅速崛起和复兴的中国在精神文化领域的追求,因此,依托信息化手段宣传和服务于广大文化艺术爱好者是国家大剧院电子商务网站建设的宗旨,使之成为“国家表演艺术最高殿堂、艺术普及教育的引领者、中外艺术交流最大平台、文化创意产业重要基地”。
国家大剧院网络及信息系统从2007开始逐步建设,建设初期主要满足国家大剧院演出宣传、文艺教育、演出票务、公众服务、内部办公和访问互联网的需求,官方网站电子商务平台承担着对外宣传及网上售票业务。随着国家大剧院近几年影响力和地位的不断提升以及业务的发展壮大,对信息化建设提出了更高要求,同时对信息安全的需求也越来越迫切,结合国家等级保护制度来进行安全保障建设成为国家大剧院信息化建设的有益补充。
2 现状及问题
目前国家大剧院局域网骨干带宽为千兆,双核心。已部署的安全设施,如在整个局域网的出口均部署了防火墙,内网服务器域边界部署了防火墙;在门户网站出口部署了流量控制和入侵防御设备;内部终端还广泛部署了防病毒软件,以防范计算机病毒在局域网内传播和破坏。国家大剧院正在运行的业务系统主要包括网站系统、票务系统、艺术资料管理系统、OA系统、财务系统及邮件系统等。
根据对国家大剧院信息化及信息安全现状的分析,结合国内外信息安全发展态势,发现国家大剧院面临着一些信息安全问题及风险。
假冒网站、网站挂马等安全风险。据权威统计,2011年下半年,检测新增挂马网站独立网址246万,平均每日100万人次访问此类挂马链接,新增钓鱼盗号欺诈类网站独立网址492万,共拦截10亿余次钓鱼盗号欺诈类网址,平均每日600万人次访问此类欺诈类链接。假冒网站独占鳌头的是电商网购类,而且仿冒范围不断扩散,通过国家大剧院运维人员统计观察,越来越多的黑客、病毒、不法机构和人员对国家大剧院电子商务网站系统的正常运行产生威胁,网站业务系统随时都可能遭受恶意攻击。
系统入侵或网络攻击风险。由于系统保护措施不到位,可能导致国家大剧院票务等对外网站系统的域名劫持、DDoS攻击等安全风险。同时,也可能由于软件漏洞或者安全意识单薄等造成内部邮件等信息泄露。
非授权访问风险。由于国家大剧院内部办公等信息系统边界缺乏访问控制设施,并且在网络可信接入、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,未授权者可通过网络非法访问网站及系统服务器,并进行非法读取、篡改和破坏数据等不良行为,构成对内部数据及信息系统的重大隐患。
数据安全风险。媒资库建设完成后将承载大量的媒体资料,这些有艺术价值的音像资料是国家大剧院的宝贵资产,一旦由于自然灾害、人员非法入侵、内部人员误操作等造成数据丢失损坏,将对国家大剧院造成重大损失。
媒体资源库音像资料版权风险。目前,剧院已经为视频在线传播及直播提供服务平台,然而提供的音视频服务面临版权盗用、盗链和恶意下载等问题,容易对剧院和公众利益带来损害。
内控管理风险。据权威调查报告显示,内部员工的粗心大意是企业信息安全的最大威胁,由此造成的安全事故高达78%。目前,由于国家大剧院内部员工的安全意识还相对淡薄,存在进入业务系统的登录口令设置过于简单,私自访问不安全网站,私自接入不安全设备等问题,这些都给大剧院信息系统造成了极大的安全隐患和威胁。
3 信息安全保障体系探索
3.1 总体目标
通过对国家大剧院信息安全现状、问题以及信息安全建设需求的分析,可知国家大剧院信息安全保障体系建设的总体目标是按照国家信息安全等级保护相关要求,从风险控制、技术设施、管理体制及运维服务等方面入手,基于成熟的安全技术,借鉴先进可行的管理理念,加强外御威胁防护、构建内控管理机制、强化数据保护措施,建立和完善信息安全管理体制,加强安全服务保障,设计适合国家大剧院信息化发展的安全保障体系,从而确保业务流程可控、业务状态可视,保障业务整体安全。
3.2 设计思路
针对国家大剧院安全保障目标,在信息安全保障体系设计上基于几种设计思路。
3.2.1构建网站可信机制
通过第三方网站身份诚信认证来确保网站真实性,可帮助网民判断网站的真实性。同时,基于可信证书类产品,确保系统管理用户身份的真实性。其次,借助社会力量来实现假冒网站的定位、侵权取证等服务,从而有效打击防范欺诈类网站并且协助维权。
3.2.2建设安全可靠的办公网络平台
积极推进信息安全等级保护建设,通过制定安全策略、部署安全设备,完善安全保密管理制度,加强安全运维支撑建设,从物理安全、网络安全、主机安全、应用安全、数据安全、流程安全、人员安全等多方面保障系统的安全稳定运行。
3.2.3建立网络信任服务
通过为网络管理员、网站维护人员颁发数字证书,部署网络可信接入及远程安全接入设施来构建剧院内部的网络信任服务体系,保证信息系统及媒资库资源的可靠访问,确保我院信息资源安全。
3.3 体系框架
在国家大剧院信息系统安全保障体系设计以及实现中,将在国家相关的安全政策、法规、标准、要求的指导下,制定可具体操作的安全策略,构建国家大剧院网站系统安全技术系统、安全管理体系以及安全运行体系,形成集防护、检测、评估、响应、恢复于一体的整体安全保障体系,从而实现物理安全、网络安全、主机安全、数据安全和应用安全,以满足国家大剧院网站系统全方位的安全保护需求。国家大剧院信息系统整体安全保障体系模型如图1所示。
国家大剧院信息系统整体安全保障体系模型主要由三个方面组成。
3.3.1安全技术体系
参考国家标准《信息安全技术 信息系统等级保护安全设计技术要求》按照威胁分析,将信息资产划分为若干保护对象,并按照“一个中心”管理下的“三重保护”的设计框架,构建国家大剧院信息安全技术体系保障机制和策略,为国家大剧院信息系统的运行提供安全保护环境。该环境共包括四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。
3.3.2安全管理体系
以国家大剧院现有业务系统所服务对象为基础,建立完善的安全管理体系,建立信息安全管理机构、制定信息安全管理制度、设置信息安全管理岗位。
3.3.3安全运维服务体系
针对业务安全运行的需要,以日常巡检、咨询、评估等建立有效的运维服务机制,加强对资产管理的分析、隐患发现、策略审核考评等,不断发现平台在运行中的安全隐患,降低系统脆弱性和面临潜在的威胁带来的影响及损失,以及时对安全策略实现完善和防护措施的改进提升。
3.4 信息安全体系建设实践
国家大剧院信息安全保障工作经过长期的努力,已经初见成效。在安全体系的建设实践中,总结出几点实践经验。
3.4.1制定标准规范,奠定保障基础
信息安全保障建设的一项重要工作之一是参照国家等级保护的技术要求完成相应的合规性检查。因此,国家大剧院应据此建立适合国家大剧院的信息安全管理基线,坚持常态化管理和动态控制,达到并保持国家相关安全主管部门的安全审计要求。
3.4.2重视管理,制度先行
信息安全是一个动态发展的过程,每年随着业务发展变化而变化,同时随着信息安全技术的不断演变,都会出现新的安全防护技术的使用。经过多年实践证明,每个系统或者防护设备上线前,都必须在遵守总体防护规范的前提下,编制好具有针对性的管理要求,才有有效降低安全风险引入的可能。
3.4.3定期组织代码审计和渗透测试等系统检测
代码安全审计是通过人工分析和工具扫描的方式检验应用程序的源代码,利用大量的代码安全规则,来分析源代码中的违反规则部分,进而确定可能存在的安全漏洞和隐患。应用系统生命周期安全的从SDL实践上看,安全做的越早效果越好(但开发模式改动的成本也相对比较大),代码审计作为保证代码安全的最低低线,其作用是不可取代的。
另外,除了从代码开发过程中保证开发出安全的应用系统以外,针对已开发的系统,国家大剧院还组织第三方测试机构,从攻击者视角检测信息系统安全防护能力是否达到,是否存在成功攻入系统的途径。
4 信息安全建设意义
通过构建信息安全保障平台,保障我剧院信息系统可安全合规运行。基于国家信息安全等级保护制度要求,建设国家大剧院信息系统整体安全保障体系模型信息安全保障基础设施,制定安全策略,为国家大剧院系统提供安全可靠的运行环境。
提高国家大剧院电子票务等信息系统的安全运行平稳度。通过在信息安全技术、信息安全保密管理等多维度的体系保障建设,保障网站真实性、打击假冒网站,大大提高国家大剧院信息系统安全稳定运行的平稳度。
提高用户的安全便捷以及系统安全管理能力。通过构建可信的电子票务运营环境,为用户提供身份认证及网络信任机制,加强用户的身份、资金安全保障,并且提高系统安全管理能力。
提升安全隐患发现能力。安全隐患的发现能力是信息安全管理中的关键能力,关系到能否将风险消除在事件发生之前。通过建立入侵监测系统、防病毒系统以及定期的安全脆弱性检测等,大大提升我剧院信息系统的安全隐患发现能力。
5 结束语
建设和完善信息安全保障体系是为了保证国家大剧院的业务在今后发展过程中对信息安全建设的要求。
信息安全保障体系建设涵盖安全管理体系、安全技术体系、安全运维体系的复杂系统工程,是一项长期性的专业的细致的认为,需要以信息安全技术为基础,持续投入大量的人力和物力。为使国家大剧院建设成为国际化、现代化的大剧院提供有力的信息安全保障。
参考文献
[1] 关于大力推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号).
[2] 信息安全管理实用规则(GB/T 22081-2008).
[3] 信息系统等级保护安全设计技术要求(GBT25070-2010).
[4] 信息系统安全等级保护体系框架(GA/T 708-2007).
[5] 国家大剧院电子商务网站系统安全保障方案.内部资料,2010.
[6] 国家大剧院安全服务保障方案.内部资料,2011.