敏感信息安全精选(十四篇)
发布时间:2023-10-12 17:41:14
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇敏感信息安全,期待它们能激发您的灵感。
篇1
关键词 攻防角度;敏感信息;输入;安全防护技术
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)15-0042-01
随着计算机技术和通信技术的飞速发展,大量的信息在计算机当中进行储存和处理,在网络上进行传输和交流,方便人们进行查阅,为人们的日常生产生活提供了诸多便利。但是,也会经常发生信息泄露现象,这严重的影响了人们的隐私,同时还可能会造成重大的损失,所以应该加强对于敏感信息的防护,保障信息的安全性。
1 敏感信息概况
当前,用户的敏感信息,比如:账号和密码,一直以来都是受到网络攻击的目标,现在的网络用户通常情况下更加的关注在网络传输过程中的安全协议以及加密等手段对于这些敏感信息进行相应的防护,从而忽略了相应的物理以及主机方面的信息安全的保护。一般情况下,攻击者能够在相应的敏感信息到达软件或者是浏览器的内部进行加密等处理之前就能够将其截获。信息在计算机网络当中进行传播,其主要的以如下几种形式存在:①储存在永久的介质上。在永久介质上存在的信息,主要的是指以操作系统文件形式或者是以数据库的数据结构形式存储在要硬盘或者是其他类似介质上的信息。②在使用过程中的信息,其主要包含了正在进行运算处理和以显示和打印等形式输出的信息。③正在传输的信息,其传输包含了以各种形式连接的主机与主机、主机和终端以及客户与服务器之间所传送的信息。
2 敏感信息常见的威胁种类和预防措施
1)非法入侵的威胁。计算机在运行的过程中,通常情况下会和互联网相连接,这时就会遭遇到非法入侵,非法入侵主要的就是指通过各种非正常的手段进入到系统当中,并且访问不该访问的相关信息,或者是对于系统的运行造成威胁。非法入侵主要的可以通过过滤方法、方法以及身份验证方法来对其进行防护,其中身份验证是防止非法入侵最常见也是非常有效的方法,并且能够取得很好的效果。
2)越权访问以及传输过程中信息泄露的威胁。越权访问主要的是指一个用户通过合法的途径进入到系统以后,对于超越了自身权限的信息进行访问,去访问那些本来不应该由自己进行访问的信息,这样就可能会对信息造成一定程度上的威胁;而敏感信息在传输的过程当中也会造成信息泄露所带来的威胁。防止越权访问的最基本的方式就是加强对于用户访问权限的管理、控制以及检查,常见的访问控制方法有以下两种:自主访问控制和强制访问控制。而在传输过程中敏感信息泄露大多数情况下会采用传输加密的方式来进行防护,当前主要的加密方式是线路加密。
3)使用过程中信息泄露的威胁。信息在使用的过程中,主要的包含了对于计算机中信息进行各种运算处理和通过显示以及打印等设备对于相关的信息进行输出,其主要的体现在运算处理中的信息在内存中可能会出现被泄露的情况,另外就是显示终端的电磁辐射所造成的泄露以及打印结构所造成的泄露。在进行使用过程中信息泄露防护的过程中,应该实现对一般用户的防范,相应的显示终端以及其他终端是被的电磁辐射等,主要的可以通过屏蔽的方式来防止,而打印结果造成的泄露主要的是通过加强管理来解决。
3 基于攻防角度的敏感信息输入安全防护技术分析
在进行信息输入的过程中,主要的是通过键盘来实现,在信息输入分过程中,也会遭受到信息泄露的威胁,所以应该采取有效的技术进行防范。
1) 安全密码框技术。为了保障敏感信息的安全输入,当前常用的方式是通过控件或者是软件的方式来构成相应的安全密码框,当相应的输入焦点落入到密码框内的时候,启用相应的安全措施,保障键盘记录器能够正常的运行的同时,也记录不到密码框接收到敏感的信息。在内核层常见的防御方式有:禁止扫描0×60端口,在相应的0×60端口处插入干扰的信息,这样键盘记录器就会受到这些信息的干扰,没有办法正确的记录相关的信息;此外还可以修改IDT中断处理层程序的地址,这样就可以有效的绕开后面的键盘记录器。一般来说,在内核层进行防御所达到的效果是比较好的,安全强度比较高,但是其通用性不是很好。在其应用层主要的可以通过加密以及加入干扰信息等方式绕过相应的应用层键盘记录器,这些方式的通用性都比较好,适用于各种类型的键盘以及各种操作系统版本。
2) 虚拟键盘风险防范技术。虚拟键盘是一种通过软件模拟键盘输入的技术,其可以直接的在应用层生成相应的按键信息,其能够很大程度上避开内核层的大部分的威胁,当前已经得到了广泛的应用。但是在使用的过程中还存在很多的威胁,比如:容易被偷窥、可以通过截屏来获取相应的按键信息,并且还可以根据窗口的位置和鼠标点击信息推断出按键内容。主要的可以采取以下的方式进行安全防护,对于偷窥可以利用光学手段进行相应的防护,可以添加相应的防偷窥的材料;对于截屏主要的可以余晖效应将虚拟键盘界面分为若干个部分连续显示,这样计算机使用者可以看到虚拟键盘内容,但是攻击者通过程序截屏所获得的图像是无法进行识别的。对于鼠标记录,可以通过动态变化键盘布局的方法进行防护,也就是在每次启动虚拟键盘的时候,虚拟键盘内各个按键的排布方式不同,这样就能够有效的防止输入信息的泄露。
4 总结
随着科学技术的不断发展,保障敏感信息的安全已经成为当前一个非常重要的问题,对于敏感信息进行防范的过程中,应该采用科学合理的方式,了解到信息泄露的主要原因,有针对的采取各种有效的措施对其进行防范,以此来保障敏感信息的安全。
参考文献
[1]傅建明,伟,李晶雯.敏感信息输入安全技术探究[J].信息网络安全,2013,06(03):152-160.
[2]姜伟,方滨兴,田志宏,张宏莉.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,08(04):103-108.
[3]王利涛,郁滨.信息技术设备电磁泄漏建模与防护[J].计算机工程与设计,2013,03(01):45-51.
篇2
(2012年11月26日最高人民法院审判委员会第1561次会议通过自2013年1月1日起施行)
为正确审理侵害信息网络传播权民事纠纷案件,依法保护信息网络传播权,促进信息网络产业健康发展,维护公共利益,根据《中华人民共和国民法通则》《中华人民共和国侵权责任法》《中华人民共和国著作权法》《中华人民共和国民事诉讼法》等有关法律规定,结合审判实际,制定本规定。
第一条人民法院审理侵害信息网络传播权民事纠纷案件,在依法行使裁量权时,应当兼顾权利人、网络服务提供者和社会公众的利益。
第二条本规定所称信息网络,包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。
第三条网络用户、网络服务提供者未经许可,通过信息网络提供权利人享有信息网络传播权的作品、表演、录音录像制品,除法律、行政法规另有规定外,人民法院应当认定其构成侵害信息网络传播权行为。
通过上传到网络服务器、设置共享文件或者利用文件分享软件等方式,将作品、表演、录音录像制品置于信息网络中,使公众能够在个人选定的时间和地点以下载、浏览或者其他方式获得的,人民法院应当认定其实施了前款规定的提供行为。
第四条有证据证明网络服务提供者与他人以分工合作等方式共同提供作品、表演、录音录像制品,构成共同侵权行为的,人民法院应当判令其承担连带责任。网络服务提供者能够证明其仅提供自动接入、自动传输、信息存储空间、搜索、链接、文件分享技术等网络服务,主张其不构成共同侵权行为的,人民法院应予支持。
第五条网络服务提供者以提供网页快照、缩略图等方式实质替代其他网络服务提供者向公众提供相关作品的,人民法院应当认定其构成提供行为。
前款规定的提供行为不影响相关作品的正常使用,且未不合理损害权利人对该作品的合法权益,网络服务提供者主张其未侵害信息网络传播权的,人民法院应予支持。
第六条原告有初步证据证明网络服务提供者提供了相关作品、表演、录音录像制品,但网络服务提供者能够证明其仅提供网络服务,且无过错的,人民法院不应认定为构成侵权。
第七条网络服务提供者在提供网络服务时教唆或者帮助网络用户实施侵害信息网络传播权行为的,人民法院应当判令其承担侵权责任。
网络服务提供者以言语、推介技术支持、奖励积分等方式诱导、鼓励网络用户实施侵害信息网络传播权行为的,人民法院应当认定其构成教唆侵权行为。
网络服务提供者明知或者应知网络用户利用网络服务侵害信息网络传播权,未采取删除、屏蔽、断开链接等必要措施,或者提供技术支持等帮助行为的,人民法院应当认定其构成帮助侵权行为。
第八条人民法院应当根据网络服务提供者的过错,确定其是否承担教唆、帮助侵权责任。网络服务提供者的过错包括对于网络用户侵害信息网络传播权行为的明知或者应知。
网络服务提供者未对网络用户侵害信息网络传播权的行为主动进行审查的,人民法院不应据此认定其具有过错。
网络服务提供者能够证明已采取合理、有效的技术措施,仍难以发现网络用户侵害信息网络传播权行为的,人民法院应当认定其不具有过错。
第九条人民法院应当根据网络用户侵害信息网络传播权的具体事实是否明显,综合考虑以下因素,认定网络服务提供者是否构成应知:
(一)基于网络服务提供者提供服务的性质、方式及其引发侵权的可能性大小,应当具备的管理信息的能力;
(二)传播的作品、表演、录音录像制品的类型、知名度及侵权信息的明显程度;
(三)网络服务提供者是否主动对作品、表演、录音录像制品进行了选择、编辑、修改、推荐等;
(四)网络服务提供者是否积极采取了预防侵权的合理措施;
(五)网络服务提供者是否设置便捷程序接收侵权通知并及时对侵权通知作出合理的反应;
(六)网络服务提供者是否针对同一网络用户的重复侵权行为采取了相应的合理措施;
(七)其他相关因素。
第十条网络服务提供者在提供网络服务时,对热播影视作品等以设置榜单、目录、索引、描述性段落、内容简介等方式进行推荐,且公众可以在其网页上直接以下载、浏览或者其他方式获得的,人民法院可以认定其应知网络用户侵害信息网络传播权。
第十一条网络服务提供者从网络用户提供的作品、表演、录音录像制品中直接获得经济利益的,人民法院应当认定其对该网络用户侵害信息网络传播权的行为负有较高的注意义务。
网络服务提供者针对特定作品、表演、录音录像制品投放广告获取收益,或者获取与其传播的作品、表演、录音录像制品存在其他特定联系的经济利益,应当认定为前款规定的直接获得经济利益。网络服务提供者因提供网络服务而收取一般性广告费、服务费等,不属于本款规定的情形。
第十二条有下列情形之一的,人民法院可以根据案件具体情况,认定提供信息存储空间服务的网络服务提供者应知网络用户侵害信息网络传播权:
(一)将热播影视作品等置于首页或者其他主要页面等能够为网络服务提供者明显感知的位置的;
(二)对热播影视作品等的主题、内容主动进行选择、编辑、整理、推荐,或者为其设立专门的排行榜的;
(三)其他可以明显感知相关作品、表演、录音录像制品为未经许可提供,仍未采取合理措施的情形。
第十三条网络服务提供者接到权利人以书信、传真、电子邮件等方式提交的通知,未及时采取删除、屏蔽、断开链接等必要措施的,人民法院应当认定其明知相关侵害信息网络传播权行为。
第十四条人民法院认定网络服务提供者采取的删除、屏蔽、断开链接等必要措施是否及时,应当根据权利人提交通知的形式,通知的准确程度,采取措施的难易程度,网络服务的性质,所涉作品、表演、录音录像制品的类型、知名度、数量等因素综合判断。
第十五条侵害信息网络传播权民事纠纷案件由侵权行为地或者被告住所地人民法院管辖。侵权行为地包括实施被诉侵权行为的网络服务器、计算机终端等设备所在地。侵权行为地和被告住所地均难以确定或者在境外的,原告发现侵权内容的计算机终端等设备所在地可以视为侵权行为地。
篇3
有的档案部门和人员甚至因为怕泄密而人为扩大保密范围、不及时开展档案降解密和档案公布工作、忽视档案信息利用服务,这些情况导致了档案信息封闭于档案馆库高墙之内的后果,进而影响了档案信息资源的社会共享。在公众信息权益不断觉醒、社会信息资源共享需求不断增强、档案机构信息服务不断改善的今天,档案信息资源的共享利用已经成为一种大趋势。然而,值得一提的是,由于档案信息资源的特殊性,尤其是军事外交、国防科技、商业秘密、个人资料等档案信息的极端重要性和高度敏感性,以及这些信息背后错综复杂的联系,使得档案信息资源共享过程中隐藏着许多信息挖掘推理通道和泄密隐患,极容易被恶意攻击者所利用。因此,在档案信息资源共享利用的过程中,必须高度警惕和重视档案敏感信息泄露的问题,在保证档案敏感信息安全的前提下,尽可能多地实现档案信息资源社会共享。档案在信息共享方面的优势及敏感信息的安全问题以电子档案为例,档案信息资源共享与敏感信息保护的矛盾关系更为突出。在过去的十几年间,信息技术的发展使社会的方方面面都发生了深刻的变革,在档案领域的一个重要体现就是,由计算机产生和管理的电子档案大量增加,随着人类社会进一步向数字社会和信息时代迈进,这种趋势将越来越明显,越来越多的信息将为电子档案所承载,海量电子文件的归档管理与共享利用也就变得极其重要。而电子文件作为一种现代技术的伴生物,其真正的优势在于“传递—传输”[2]。换个角度,这也就是说,电子文件和电子档案在信息传输、传递,进而在知识传播、促进社会信息共享方面具有传统载体档案无可匹敌的优越性。电子档案不同于传统纸质文件的一些特性共同造就了其“传递—传输”效率优势,如大存贮量、高密度、多种信息综合集成、灵活的可操作性等,同时,电子档案与其载体介质具有可分离性,电子档案及其承载的信息可以在不同的计算机和载体之间方便地复制、传递,也可以在网络上传输、传播。人们发现,网络环境下电子档案中蕴含的大量信息和知识的充分共享利用,将对经济、社会、科技进步和人类自身发展产生巨大的促进作用,然而在便于高效快捷地处理的同时,也使得档案信息处于更大的危险之中。例如,电子文件在处理过程中易于修改、拷贝、剪切、粘贴、查询、下载、移动,且不留下痕迹,这直接影响和威胁了电子档案信息的安全性;电子文件在输入、存贮、传输和提供利用的过程中,都可能存在信息干扰、信息丢失、窃密攻击、病毒侵犯、人为破坏等不安全现象。因此,电子档案的特性决定了在其管理、利用过程中必须高度重视信息安全问题,尤其是一些电子档案信息具有高敏感性、保密性,一旦泄密将造成无法挽回的损失。综上所述,档案信息资源共享这个目标必须在安全的基础上进行,在档案信息安全领域引入隐私保护技术,探讨档案敏感信息保护问题,是协调和解决档案信息资源共享与敏感信息保护两者之间矛盾关系的一种探索和尝试。
档案敏感信息安全面临的主要威胁及保护需求
档案敏感信息面临的主要威胁档案信息内容安全是档案信息安全中的重点难点问题。钟义信认为,内容安全直接发生在信息的内核,这是它与基于密码学的信息安全问题的最大区别,后者只对信号的形式进行处理,不需要理解信息的内容[3]。按照来源,威胁因素主要可以分为两个方面:自然威胁和人为威胁。自然威胁是指不可抗力自然灾害、自然消耗损坏、环境干扰等自然因素构成的威胁;人为威胁则是由于人为过失或破坏等人为因素造成的威胁,包括档案信息资源管理者和利用者对档案信息资源的无意攻击或恶意攻击等。在造福人类的同时,信息技术的不断发展和网络的公开性对档案信息资源中敏感信息的安全构成威胁。信息化、数字化、网络化在档案领域的广泛应用,使得档案工作发生深刻变化,档案信息的存储介质由主要是纸介质发展到声、光、电、磁等多种形式介质并存,档案信息的利用方式网络化、便捷化等等,这些方面的变革,大大提升了档案工作信息化水平,也给档案工作带来了许多新情况新问题。例如,档案信息网络化建设是近几年来档案领域重要的工作内容之一,网络环境下,档案信息系统在存储、传输档案信息时极易遇到黑客攻击、病毒感染等问题,档案敏感信息有可能轻易被窃取、泄漏和篡改,这些都使得网络环境下数字化档案与传统介质档案相比,更易发生泄密问题和隐私权侵犯问题。这也是档案信息网络化共享难以推进的重要影响因素之一,因此,积极寻求解决之道,维护网络环境下档案信息安全,是档案界和计算机界面临的共同课题。档案敏感信息安全保护需求根据《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2007),档案信息安全涉及到环境、设备、介质安全,备份恢复、病毒防护,身份认证、访问控制、密码保护、电磁泄露、完整性校验、安全审计、操作系统安全、数据库安全、信息安全性能检测、抗抵赖、边界防护等多个方面。而就电子文件信息安全来说,主要是指对其信息内容的保密性、完整性、可用性、可控性和不可否认性进行的安全保护[4]。本文关注档案敏感信息安全问题的侧重点在于如何应用隐私保护技术和知识技术对档案敏感信息内容本身进行保护,实际上是属于维护档案信息内容保密性的范畴,而对于完整性、可用性、可控性、不可否认性,可在对档案敏感信息资源进行隐私保护处理以后,联合运用身份认证、访问控制、存储加密、数字签名、加密传输、入侵检测、安全隔离等信息安全手段和技术,对档案敏感信息进行一个全方位、多角度的保护。这样,由于对档案敏感信息本身进行了隐私保护处理,那么即便是在突破各种防范手段非法获取了档案信息的情况下,恶意攻击者也无法知晓档案中的敏感信息。对档案敏感信息进行隐私保护处理并不影响档案信息的真实性,因为对档案信息资源进行隐私保护处理的主体是档案馆等档案工作权威机构,档案工作权威机构在对其所有的档案信息资料进行隐私保护处理以后,再经官方途径统一,或按照档案敏感信息访问控制策略提供利用,这样就能保证档案信息及其来源的真实可信。值得一提的是,我们针对档案数据库中的敏感信息保护研究[5]中,为了保护敏感信息不被泄露,会涉及到对数据库中的部分信息进行泛化、隐匿处理,一定程度上会影响档案信息的精确性和完整性,但相比较于限制、禁止开放利用所有包含敏感信息的档案信息资源这种保密处理方式而言,利用隐私保护技术将敏感信息保护起来的方式能够在保证安全的基础上,扩大和深化档案信息资源的共享利用。还有一种情况就是,目前能够或已经开放共享的档案信息资源中,可能存在一些敏感信息,恶意攻击者通过链接攻击和推理攻击等方式,能够将其挖掘出来,造成敏感信息泄露和个人隐私侵犯。如果档案馆在这些档案信息资源之前,能够对其进行隐私保护处理,就可以避免这些问题。因此,本文认为,引入隐私保护技术和知识技术对档案敏感信息本身进行处理,能够保护档案敏感信息安全,并在其基础上推进档案信息资源共享的扩展和深化。
篇4
[关键词]智能油田;信息安全;综合审计;关联分析
doi:10.3969/j.issn.1673-0194.2020.22.028
[中图分类号]TP393.08;F239.4[文献标识码]A[文章编号]1673-0194(2020)22-00-02
1智能油田信息安全风险
在数字化转型发展背景下,智能油田建设与应用进程逐渐加快,网络与信息系统的基础性、全局性作用不断增强,而保证核心数据资产的安全对油田业务的高质量发展至关重要。当前国内外网络安全形势严峻,境内外恶意分子以及被政治、经济利益裹挟的黑客组织,对能源行业加剧进行网络渗透,攻击关键信息基础设施、窃取商业机密等敏感信息,对油田信息安全构成了极大的外部威胁。此外,内部员工违规访问不良网站内容,使智能系统面临着严重法律风险,加上员工有意识或无意识的网络泄密事件与系统运维人员违规操作事件频发,严重威胁了智能油田发展。目前,我国油田信息安全建设思路已经从防外为主,逐步转为以内外兼顾的策略,信息安全审计成为纵深安全防御延伸和安全体系建设的重要环节。为遵循国家网络强国战略、达到网络安全合规要求,有效避免黑客攻击、网络泄密、违规上网、数据窃取等安全风险,我国急需建立智能油田信息安全综合审计平台,实现信息内容实时检查、网络行为全面监测、安全事件追溯取证,为油田高质量发展保驾护航。
2信息安全综合审计关键技术
信息安全综合审计是企业内控管理、安全风险治理不可或缺的保障措施,主要指对网络运行过程中与安全有关的活动、数据、日志以及人员行为等关键要素进行识别、记录及分析,发现并评估安全风险。针对智能油田业务需求场景,重点解决3项技术难题:一是如何基于纵深防御理论通过大数据、云计算等技术,对油田不同防御层级的日志、流量等信息进行关联分析建模,有效预防黑客隐蔽型攻击;二是如何通过建立面向油田具体业务场景的敏感信息指纹库、安全策略库、行为特征库,构建覆盖敏感文件信息处理、存储、外发等关键环节的纵深防护与事件溯源取证机制;三是如何通过深度网络业务流量识别与数据建模分析技术,建立面向油田具体业务场景的员工上网行为监管审计机制,实現对员工违规网络行为的全面管控。
2.1多源异构网络日志信息统一标准化方法与关联分析模型
设计多源异构网络日志信息格式标准化方法,利用基于大数据处理的日志过滤与关联分析建模技术,整合网络泄密、违规上网、黑客攻击等网络风险事件日志信息,建立油田信息安全风险关联分析模型。
2.2信息安全审计敏感信息指纹库、行为特征库、审计策略库
结合油田具体业务需求场景,运用数据分类分级与指纹识别技术、深度业务流量识别与建模方法,建立满足国家合规要求及油田特有应用场景需求的敏感信息指纹库、网络行为特征库及安全审计策略库。
2.3数据防泄露与敏感信息内容检查机制
基于操作系统底层驱动过滤的数据通道防护技术、基于智能语义分析的敏感信息内容审计技术,实现对员工通过云盘、邮件、即时通信、移动介质等方式外发涉密信息的实时检测与控制,彻底解决员工有意识或无意识地违规存储、处理、外发涉密信息问题。
3智能油田信息安全综合审计平台建设及应用
信息安全综合审计平台是一个综合利用云计算、大数据、人工智能、数据指纹、异构数据采集等技术,实现网络行为监控、信息内容审计、数据库操作审计、网络异常流量监测预警的审计溯源系统,在满足网络合规性要求的同时,为信息安全管理与系统运维人员提供了网络安全监测、事件追溯取证的基本手段,提升了油田对敏感数据的监测预警和传输阻断能力,防止了敏感信息泄露,增强了对外部黑客隐蔽性网络攻击行为与内部运维人员违规业务操作的防御能力。其中,图1是智能油田信息安全综合审计平台总体架构。
基于信息安全综合审计关键技术研究与集成创新,相关单位研发建立了智能油田信息安全综合审计平台,以纵深防御理论为指导,通过网络层面的行为和流量审计、信息系统层面日志和数据库审计、终端层面的信息内容审计等,实现对网络风险事件的事前防范、事中告警、事后追溯,形成上网行为全面管控、网络保密实时防护、网络攻击深度发现的主动治理新模式。贯穿数据信息的产生、存储、传输、应用全生命周期的关键过程,自主建立油田敏感信息指纹库,构建基于涉密违规存储远程检查、终端违规外发自动阻断、网络敏感信息识别告警功能的数据安全纵深防护与事件追溯取证机制,为网络保密主动治理提供技术手段。通过设计跨平台、多协议网络信息采集接口机制与多源异构日志标准化数据模型,结合云计算与大数据处理技术,建立适应油田海量非结构化日志信息的存储云中心,且基于深度学习算法建立关联模型,通过日志信息纵向聚合与横向关联实现网络行为与信息内容全面审计。
为保障智能油田核心数据安全与网络系统运行安全,将平台成功应用于油田网络安全保障与网络攻防实战演练、网络保密治理与数据安全保护、员工上网行为管理与审计、IT基础设施运维操作审计等,有效提升智能油田精细化管理水平。通过平台网络安全审计功能,将网络层面防火墙、入侵检测、高级威胁检测、蜜罐入侵诱捕、Web应用防火墙、流量溯源分析、漏洞扫描等网络安全监测防护设备提供的黑客网络攻击行为日志信息,应用系统层面服务器操作系统、中间件、数据库等产生的系统日志信息以及终端计算机层面产生的病毒防护、主机漏洞、基线配置等日志信息进行集中统一标准化处理,通过提取关键要素信息进行关联建模分析,实现对黑客隐蔽性网络攻击行为的深度发现与事件追踪溯源,为油田网络安全日常防御保障提供监测分析技术手段,为油田网络攻防对抗实战演习统一决策指挥提供平台支撑。通过信息安全综合审计平台的信息内容审计功能,实现对内部员工通过电子邮件、即时通信、网络云盘、网站上传等方式外发敏感数据信息的实时监测,结合平台数据防泄露功能,实现对员工办公终端计算机违规存储、处理、外发敏感数据信息文件行为的实时告警提示与阻断控制,同时针对油田不同业务场景,制定开发科研、生产、经营、管理等不同业务敏感数据信息审计策略,实现对内部员工有意识或无意识网络泄密行为的事前告警提示、事中监测阻断、事后追溯取证,为网络保密治理提供有效的技术手段,保障智能油田核心数据安全。通过信息安全综合审计平台的上网行为审计功能,实现对油田内部员工上网行为的有效管理,对员工通过油田网络进行网站访问、网络应用等行为进行实时监测审计,防止员工因访问不良网站给企业带来的法律风险,同时避免因访问恶意网站给企业带来木马病毒等网络安全风险,满足网络安全管理合规要求。利用信息安全综合审计平台提供的运维操作行为审计功能,对运维管理人员的操作日志进行集中监测分析,整合利用日志数据价值,实现对网络设备、安全设备、服务器、数据库等信息基础设施运维操作活动的实时监控、记录及告警,有效规避运维操作过程中产生的网络安全风险。
篇5
根据自治区、地区有关要求,按照《XXX新闻宣传报道管理办法》有关内容,为进一步加强我县网络和信息安全管理工作,现就有关事项通知如下。
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站、微信公众平台信息审查监管
各单位通过站、微信公众平台在互联网上公开信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。
严肃突发、敏感事(案)件的新闻报道纪律,对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害,涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传报道的,经县领导同意,上报地区层层审核,经自治区党委宣传部审核同意后,方可按照宣传内容做到统一口径、统一,确保信息的时效性和严肃性。
五、组织开展网络和信息安全清理检查
篇6
《了解21世纪IT环境的安全复杂性》调研由波耐蒙研究所在2011年2月期间独立进行,该机构对美国、英国、法国、德国以及日本的IT管理人员进行了访问。调查样本涵盖了14个行业的各种规模企业。
上述调研显示,受访者认为最常丢失的信息类型包括客户信息(52%)、知识产权(33%)、员工信息(31%)和公司计划(16%)。随着Web2.0应用程序的广泛应用和更多种类的移动设备连接到网络,企业需要执行更佳数据安全保护及IT治理,以及符合更严格的风险及法规遵从(GRC)要求。
这项调研访问了2,400多名IT安全管理人员,其结果表明数据泄密的主因是设备丢失或被盗,其次为网络攻击、不安全的移动设备、Web2.0和文件共享应用程序,以及无意地发送电子邮件给错误的收件人。此外,大约49%的受访者认为他们公司的员工对数据安全、法规及政策的意识极低甚至没有,这促使企业把提高用户意识作为数据保护策略的一部分,因为用户往往是数据安全的第一道防线。
Check Point网络安全副总裁Oded Gonda表示:“数据安全和法规遵从往往是首席信息安全官的首要工作。如果从数据泄密的成因分析,大多数事故是无心之失。为了将数据丢失防护的工作从检测转为预防,企业应该考虑将提高用户意识,并建立相应的程序,增强信息资产的可视性与控制。”
由于数据防泄密(DLP)是头号的信息安全挑战,企业了解数据泄密的起因,并建立严密的数据保护机制至为重要:
* 了解机构的数据安全需求 C 掌握并记录现存于机构内的敏感数据类型,并明确定出哪类数据类是需要管理,或者需要符合行业法规标准。
* 敏感数据分类 - 首先,创建机构敏感数据类型列表并注明敏感程度。考虑建立一个文档模板,按照公开、限制或高度机密进行归类,并提高用户对公司政策和敏感信息构成的意识。
* 根据业务需要制定安全政策 - 机构的安全策略应该在不影响最终用户的情况下保护公司的信息资产。首先,根据单个员工、组别或机构的业务需求,用简单的商业用语制定公司信息安全政策。为了更好地执行企业的信息安全政策,应该采用身份识别解决方案,以便为公司提供更多有关其用户和IT环境的可视性。
* 确保数据整个生命周期的安全 - 企业应该考虑部署数据安全解决方案,保护各种形式的敏感数据,如关联用户、数据类型和流程等,并确保其整个生命周期的安全,包括数据的存储、传输和使用。
* 消除合规负担 - 评估政府和行业的法规要求,以及它们如何影响机构的安全和业务流程。为了执行工作能一步到位,机构可考虑实施行业的最佳范例,以满足特定法规要求,如HIPAA、PCI DSS和萨班斯法案。采用最佳范例政策也使IT团队能专注法规要求以外的数据保护工作。
* 强调用户身份识别和参与 - 让用户参与到安全决策过程中。技术可以帮助教育用户了解企业的信息安全政策,并使他们能够实时补救安全事件。结合技术和身份识别使员工通过自己实践增强对风险行为的敏感度。
篇7
一、总则
(一)编制目的
为提处置网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大程度地预防和减少网络与信息安全突发事件及其造成的损害,保障信息资产安全,特制定本预案。
(二)编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、公安部《计算机病毒防治管理办法》,制定本预案。
(三)分类分级
本预案所称网络与信息安全突发事件,是指本系统信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害,危及公共安全的紧急事件。
1、事件分类
根据网络与信息安全突发事件的性质、机理和发生过程,网络与信息安全突发事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
2、事件分级
根据网络与信息安全突发事件的可控性、严重程度和影响范围,县上分类情况。
(1)i级、ⅱ级。重要网络与信息系统发生全局大规模瘫痪,事态发展超出控制能力,需要县级各部门协调解决,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的信息安全突发事件。
(2)ⅲ级。某一部分的重要网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,属县内控制之内的信息安全突发事件。
(3)ⅳ级。重要网络与信息系统使用效率上受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的信息安全突发事件。
(四)适用范围
适用于本系统发生或可能导致发生网络与信息安全突发事件的应急处置工作。
(五)工作原则
1、居安思危,预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
2、提高素质,快速反应。加强网络与信息安全科学研究和技术开发,采用先进的监测、预测、预警、预防和应急处置技术及设施,充分发挥专业人员的作用,在网络与信息安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
3、以人为本,减少损害。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公共财产、信息资产遭受损失。
4、加强管理,分级负责。按照“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间协调与配合,形成合力,共同履行应急处置工作的管理职责。
5、定期演练,常备不懈。积极参与县上组织的演练,规范应急处置措施与操作流程,确保应急预案切实有效,实现网络与信息安全突发事件应急处置的科学化、程序化与规范化。
二、组织指挥机构与职责
(一)组织体系
成立网络安全工作领导小组,组长局党委书记、局长担任,副组长由局分管领导,成员包括:信息全体人员、各通信公司相关负责人。
(二)工作职责
1、研究制订我中心网络与信息安全应急处置工作的规划、计划和政策,协调推进我中心网络与信息安全应急机制和工作体系建设。
2、发生i级、ⅱ级、ⅲ级网络与信息安全突发事件后,决定启动本预案,组织应急处置工作。如网络与信息安全突发事件属于i级、ⅱ级的,向县有关部门通报并协调县有关部门配合处理。
3、研究提出网络与信息安全应急机制建设规划,检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
4、指导应对网络与信息安全突发事件的科学研究、预案演习、宣传培训,督促应急保障体系建设。
5、及时收集网络与信息安全突发事件相关信息,分析重要信息并提出处置建议。对可能演变为i级、ⅱ级、ⅲ级的网络与信息安全突发事件,应及时向相关领导提出启动本预案的建议。
6、负责提供技术咨询、技术支持,参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作,进行应急处置工作。
三、监测、预警和先期处置
(一)信息监测与报告
1、要进一步完善各重要信息系统网络与信息安全突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引发网络与信息安全突发事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时,在按规定向有关部门报告的同时,按紧急信息报送的规定及时向领导汇报。初次报告最迟不得超过4小时,较大、重大和特别重大的网络与信息安全突发事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2、重要信息系统管理人员应确立2个以上的即时联系方式,避免因信息网络突发事件发生后,必要的信息通报与指挥协调通信渠道中断。
3、及时上报相关网络不安全行为:
(1)恶意人士利用本系统网络从事违法犯罪活动的情况。
(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。
(3)网络恐怖活动的嫌疑情况和预警信息。
(4)网络安全状况、安全形势分析预测等信息。
(5)其他影响网络与信息安全的信息。
(二)预警处理与预警
1、对于可能发生或已经发生的网络与信息安全突发事件,系统管理员应立即采取措施控制事态,请求相关职能部门,协作开展风险评估工作,并在2小时内进行风险评估,判定事件等级并预警。必要时应启动相应的预案,同时向信息安全领导小组汇报。
2、领导小组接到汇报后应立即组织现场救援,查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。
(三)先期处置
1、当发生网络与信息安全突发事件时,及时请技术人员做好先期应急处置工作并立即采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大,同时向上级信息安全领导小组通报。
2、信息安全领导小组在接到网络与信息安全突发事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对有可能演变为ⅲ级网络与信息安全突发事件,技术人员处置工作提出建议方案,并作好启动本预案的各项准备工作。信息安全领导小组根据网络与信息安全突发事件发展态势,视情况决定现场指导、组织设备厂商或者系统开发商应急支援力量,做好应急处置工作。对有可能演变为ⅱ级或i级的网络与信息安全突发事件,要根据县有关部门的要求,上报县政府有关部门,赶赴现场指挥、组织应急支援力量,积极做好应急处置工作。
四、应急处置
(一)应急指挥
1、本预案启动后,领导小组要迅速建立与现场通讯联系。抓紧收集相关信息,掌握现场处置工作状态,分析事件发展趋势,研究提出处置方案,调集和配置应急处置所需要的人、财、物等资源,统一指挥网络与信息安全应急处置工作。
2、需要成立现场指挥部的,立即在现场开设指挥部,并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。
(二)应急支援
本预案启动后,领导小组可根据事态的发展和处置工作需要,及时申请增派专家小组和应急支援单位,调动必需的物资、设备,支援应急工作。参加现场处置工作的有关人员要在现场指挥部统一指挥下,协助开展处置行动。
(三)信息处理
现场信息收集、分析和上报。技术人员应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况及时报领导小组,不得隐瞒、缓报、谎报。符合紧急信息报送规定的,属于i级、ⅱ级信息安全事件的,同时报县委、县政府相关网络与信息安全部门。
(四)扩大应急
经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。要迅速召开信息安全工作领导小组会议,根据事态情况,研究采取有利于控制事态的非常措施,并向县政府有关部门请求支援。
(五)应急结束
网络与信息安全突发事件经应急处置后,得到有效控制,将各监测统计数据报信息安全工作领导小组,提出应急结束的建议,经领导批准后实施。
五、相关网络安全处置流程
(一)攻击、篡改类故障
指网站系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。现网站出现非法信息或页面被篡改,要第一时间请求相关职能部门取证并对其进行删除,恢复相关信息及页面,同时报告领导,必要时可请求对网站服务器进行关闭,待检测无故障后再开启服务。
(二)病毒木马类故障
指网站服务器感染病毒木马,存在安全隐患。
1)对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。
2)发现服务器感染病毒木马,要立即对其进行查杀,报告领导,根据具体情况,酌情上报。
3)由于病毒木马入侵服务器造成系统崩溃的,要第一时间报告领导,并联系相关单位进行数据恢复。
(三)突发性断网
指突然性的内部网络中某个网络段、节点或是整个网络业务中断。
1)查看网络中断现象,判定中断原因。若不能及时恢复,应当开通备用设备和线路。
2)若是设备物理故障,联系相关厂商进行处理。
(四)数据安全与恢复
1.发生业务数据损坏时,运维人员应及时报告领导,检查、备份系统当前数据。
2.强化数据备份,若备份数据损坏,则调用异地光盘备份数据。
3.数据损坏事件较严重无法保证正常工作的,经部门领导同意,及时通知各部门以手工方式开展工作。
4.中心应待数据系统恢复后,检查基础数据的完整性;重新备份数据,并写出故障分析报告。
(五)有害信息大范围传播
系统内发生对互联网电子公告服务、电子邮件、短信息等网上服务中大量出现危害国家安全、影响社会稳定的有害、敏感信息等情况进行分析研判,报经县委、县政府分管领导批准后启动预案;或根据上进部门要求对网上特定有害、敏感信息及时上报,由上级职能部门采取封堵控制措施,按照市上职能部门要求统一部署启动预案。
(六)恶意炒作社会热点、敏感问题
本系统互联网网站、电子公告服务中出现利用社会热点、敏感问题集中、连续、反复消息,制造舆论焦点,夸大、捏造、歪曲事实,煽动网民与政府对立、对党对社会主义制度不满情绪,形成网上热点问题恶意炒作事件时,启动预案。
(七)敏感时期和重要活动、会议期间本地互联网遭到网络攻击
敏感时期和重要活动、会议期间,本系统互联网遭受网络攻击时,启动预案。要加强值班备勤,提高警惕,密切注意本系统网上动态。收到信息后,及时报警,要迅速赶赴案(事)发网站,指导案(事)件单位采取应急处置措施,同时收集、固定网络攻击线索,请求县上技术力量,分析研判,提出技术解决方案,做好现场调查和处置工作记录,协助网站恢复正常运行并做好防范工作。
六、后期处置
(一)善后处置
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作,统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施。
(二)调查和评估
在应急处置工作结束后,信息安全工作领导小组应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训,写出调查评估报告。
七、应急保障
(一)通信与信息保障
领导小组各成员应保证电话24小时开机,以确保发生信息安全事故时能及时联系到位。
(二)应急装备保障
各重要信息系统在建设系统时应事先预留出一定的应急设备,做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在网络与信息安全突发事件发生时,由领导小组负责统一调用。
(三)应急队伍保障
按照一专多能的要求建立网络与信息安全应急保障队伍。选择若干经国家有关部门资质认可的,具有管理规范、服务能力较强的企业作为我县网络与信息安全的社会应急支援单位,提供技术支持与服务;必要时能够有效调动机关团体、企事业单位等的保障力量,进行技术支援。
(四)交通运输保障
应确定网络与信息安全突发事件应急交通工具,确保应急期间人员、物资、信息传递的需要,并根据应急处置工作需要,由领导小组统一调配。
(五)经费保障
网络与信息系统突发公共事件应急处置资金,应列入年度工作经费预算,切实予以保障。
八、工作要求
(一)高度重视。互联网信息安全突发事件应急处置工作事关国家安全、社会政治稳定和经济发展,要切实增强政治责任感和敏感性,建立应急处置的快速反应机制。
篇8
根据__、__和__、__有关要求,为进一步加强网络和信息安全管理工作,经__领导同意,现就有关事项通知如下。
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁计算机连接互联网及其他公共信息网络,严禁在非计算机上存储、处理信息,严禁在与非计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载和敏感信息。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发和敏感信息。
四、加强网站信息审查监管
各单位通过门户网站在互联网上公开信息,要遵循不公开、公开不的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上的信息进行审核把关,审核内容包括:上网信息有无问题;上网信息目前对外是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息,严禁交流传播信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。
五、组织开展网络和信息安全清理检查
篇9
随着网络的建设,信息安全的不稳定因素主要体现在以下各方面:
1.客户端数量不断增多,意味着使用人员的增多。但实际情况中,许多人员并不重视自己所使用设备的安全性与可靠性,盲目的认为只要客户端可以使用,数据存在就可以,殊不知,由于不重视将造成了网络信息的严重安全隐患。
2.信息安全制度的不规范或实施不力,信息安全制度属于信息管理制度,目前主要由信息部门进行制定同时推广实施,但由于信息部门工作任务重,同时还要承担信息技术研究、开发工作,无法兼顾实施,即使制度进行了推广,但由于部门的局限性也无法得到很好的响应,就造成了安全制度的执行不力,也给网络信息安全带来严重的安全隐患。
3.客户端操作系统漏洞升级不及时及安全应用软件安装不到位,目前一般的客户端使用的均为微软的操作系统,安全应用软件为国产软件。由于军工企业一般要求内外网完全物理隔离,所以,当微软公司成批量推出操作系统漏洞补丁时,如果信息部门不及时从互联网上下载补丁同时下发,将造成客户端计算机的漏洞大量存在,形成极大的安全隐患,同时,客户端如果不按要求安装安全应用软件,也会给网络造成安全隐患。
4.企业中便携式设备管理松散,一般的军工企业中都存在一部分便携式设备,包括便携式计算机、存储设备等,虽然针对这部分设备一般企业都会制定严格的管理制度,包括使用、归还、数据拷贝等都有详细的要求描述,但由于各方面的原因,往往存在不按制度办理的情况,造成信息安全的人为隐患。
二、解决安全隐患的有效途径
以上四个问题是军工企业信息安全中常见的安全隐患问题,如何解决,将是以下讨论的重点:
1.做到制度从上到下一致执行,同时制度发行要讲究方式方法,如组织全员学习制度规范,同时真正发挥企业领导小组的职能作用;信息安全的学习与意识培养,也是重要的组成部分,只有全员信息安全意识提升,才能时所有的信息安全制度深入到各方面的工作中,同时发挥信息中心的监管作用,对网络客户端制定信息安全制度制定的定期检查工作,只有定期或不定期的排查、宣灌,才能真正的将信息安全制度推行到企业的每一个使用者,得到真正的执行。
2.由于军工企业的特殊性,在企业的园区网络中会存在大量的敏感信息,所以客户端作为使用终端,是信息流通的一个重要环节,控制敏感信息的流向与操作权限将是企业信息安全的重要组成部分。加强企业客户端的管理,安装对客户端使用行为进行管控的安全产品,制定不同客户端的响应管控安全策略,同时保证策略下发到位是企业保证信息安全的一个重要手段。安全管理人员也应重视日常客户端监控监控行为的日志分析工作,确保网络客户端的信息安全。
3.安装漏洞扫描系统,对网络进行统一的漏洞扫描,并及时安装补丁下发系统(wsus),确保网络中所有设备操作系统安全性与可靠性,防止应漏洞引起的安全问题。同时,及时对网络防病毒软件的病毒库更新升级,网络管理员在病毒库更新后要下发到全网设备,对不及时升级的设备要执行强制升级,保证网络的纯净,防止因后门或木马病毒的扩散造成的信息安全隐患。
4.加强企业中便携式设备的管理,对可以安装安全软件的设备一定要安装,同时,要对所有便携式设备统一管理,定期检查。因在便携式设备中安装文档加密软件,防止设备中的敏感信息泄漏。
篇10
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
篇11
摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:
(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;
(2)管理层的目的的相关阐述;
(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;
(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:
(1)需要保护的信息系统、资产、技术;
(2)实物场所(地理位置、部门等)。
信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(5)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(6)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(7)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(8)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
篇12
【关键词】军工企业;信息安全;问题
军工企业是国家国防科技工业的重要组成部分,也是国防综合实力重要发展的企业。随着信息技术的全面发展,信息化建设已成为军工企业科研发展不可或缺的一部分,信息化的建设可以快速推进军工企业的科研、工艺等方面的技术发展,同时可提供企业决策的可靠数据,所以,军工企业的信息化可为企业提供强大的技术支撑与快捷的数据分析,提高了企业的整体竞争力。但是,由于军工企业的特殊性与保密性,在军工企业信息化建设方面,信息安全的问题尤为突出。特别是随着信息化的快速发展,军工企业一般都面临网络建设日益庞大,但信息安全的建设却无法满足网络发展的问题,这就导致网络安全日益严重的隐患,同时问题也在不断增多。
一、信息安全的不稳定因素
随着网络的建设,信息安全的不稳定因素主要体现在以下各方面:
1.客户端数量不断增多,意味着使用人员的增多。但实际情况中,许多人员并不重视自己所使用设备的安全性与可靠性,盲目的认为只要客户端可以使用,数据存在就可以,殊不知,由于不重视将造成了网络信息的严重安全隐患。
2.信息安全制度的不规范或实施不力,信息安全制度属于信息管理制度,目前主要由信息部门进行制定同时推广实施,但由于信息部门工作任务重,同时还要承担信息技术研究、开发工作,无法兼顾实施,即使制度进行了推广,但由于部门的局限性也无法得到很好的响应,就造成了安全制度的执行不力,也给网络信息安全带来严重的安全隐患。
3.客户端操作系统漏洞升级不及时及安全应用软件安装不到位,目前一般的客户端使用的均为微软的操作系统,安全应用软件为国产软件。由于军工企业一般要求内外网完全物理隔离,所以,当微软公司成批量推出操作系统漏洞补丁时,如果信息部门不及时从互联网上下载补丁同时下发,将造成客户端计算机的漏洞大量存在,形成极大的安全隐患,同时,客户端如果不按要求安装安全应用软件,也会给网络造成安全隐患。
4.企业中便携式设备管理松散,一般的军工企业中都存在一部分便携式设备,包括便携式计算机、存储设备等,虽然针对这部分设备一般企业都会制定严格的管理制度,包括使用、归还、数据拷贝等都有详细的要求描述,但由于各方面的原因,往往存在不按制度办理的情况,造成信息安全的人为隐患。
二、解决安全隐患的有效途径
以上四个问题是军工企业信息安全中常见的安全隐患问题,如何解决,将是以下讨论的重点:
1.做到制度从上到下一致执行,同时制度发行要讲究方式方法,如组织全员学习制度规范,同时真正发挥企业领导小组的职能作用;信息安全的学习与意识培养,也是重要的组成部分,只有全员信息安全意识提升,才能时所有的信息安全制度深入到各方面的工作中,同时发挥信息中心的监管作用,对网络客户端制定信息安全制度制定的定期检查工作,只有定期或不定期的排查、宣灌,才能真正的将信息安全制度推行到企业的每一个使用者,得到真正的执行。
2.由于军工企业的特殊性,在企业的园区网络中会存在大量的敏感信息,所以客户端作为使用终端,是信息流通的一个重要环节,控制敏感信息的流向与操作权限将是企业信息安全的重要组成部分。加强企业客户端的管理,安装对客户端使用行为进行管控的安全产品,制定不同客户端的响应管控安全策略,同时保证策略下发到位是企业保证信息安全的一个重要手段。安全管理人员也应重视日常客户端监控监控行为的日志分析工作,确保网络客户端的信息安全。
3.安装漏洞扫描系统,对网络进行统一的漏洞扫描,并及时安装补丁下发系统(wsus),确保网络中所有设备操作系统安全性与可靠性,防止应漏洞引起的安全问题。同时,及时对网络防病毒软件的病毒库更新升级,网络管理员在病毒库更新后要下发到全网设备,对不及时升级的设备要执行强制升级,保证网络的纯净,防止因后门或木马病毒的扩散造成的信息安全隐患。
4.加强企业中便携式设备的管理,对可以安装安全软件的设备一定要安装,同时,要对所有便携式设备统一管理,定期检查。因在便携式设备中安装文档加密软件,防止设备中的敏感信息泄漏。
5.安装必须的网络安全设备,加强网络信息安全的管理力度,同时安全管理人员应及时收集各个设备的日志,并加以分析,通过日志分析,统一规划网络的安全策略,并针对常见的安全隐患制定响应的安全策略,并对网络中存在的薄弱环节进行重点管理、重点监控。
篇13
“华工安鼎公司是一家专注于信息安全的高新技术企业和软件企业,拥有数据安全、云安全、大数据分析方面多项专利技术”,谈及公司的发展,余鹏飞博士介绍说“可以分为三个阶段。第一个阶段,也就是成立之初,作为一家校办企业,主要从事信息安全体系和密码算法研究,承担了国家重大科技攻关项目,积累了大量国内领先的信息安全科技成果和研发经验。第二个阶段,利用积累的技术成果,成功孵化出系列围绕数据安全的软硬件产品,凭借技术的先进性和产品的安全性和可靠性获得了用户好评和市场的认可,跻身于信息安全行业前列。第三个阶段,也就是近两年,华工安鼎认识到云计算、大数据、移动互联网的应用深化,给企业的信息安全带来极为严峻的挑战,在企业核心数据需要保护的同时,更希望信息安全企业能够提供成体系的整体解决方案,并构建主动、智能的立体防御体系,因此华工安鼎依托技术积累和产品优势,迅速打造出业界领先的系列行业性综合解决方案”。
华工安鼎通过在信息安全行业十多年的持续投入与耕耘,信息安全技术、产品和管理方面积累了丰富经验,在国家政策要求和信息安全自主可控的呼声下,华工安鼎陆续推出数据库加密、电子文档安全管理、密级标识生成与管理、安全邮件、打印控制与审计、密标安全网关等多款核心产品并在数据安全、云安全、物联网方面持续创新,参与多项技术标准的制定。
2014年,代表华工安鼎核心技术的基于密级标识的数据防泄漏安全解决方案和产品在全国军工、政府、大型央企等的成功示范应用,为华工安鼎的发展提供了难得的历史机遇,也让公司在更广阔的领域有更多机会锤炼自己的产品。随着公司业务的发展,目前已在北京、上海、江苏、西安、江西等地建立分支机构。
余鹏飞博士指出,一方面随着国家政策导向和行业监管力度的不断加强,自主可控和安全合规的信息安全产品得到正确的引导和普及,特别是围绕核心数据的安全防护产品会有很好的市场前景。另一方面,随着云计算、大数据和移动互联网的规模性成熟应用,以及大家对敏感信息保护意识的提升,未来面向云计算、大数据等的信息安全服务会为人们的工作、生活带来更好的体验与保障。
华工安鼎基于敏感信息数据防泄漏提出的解决方案就是从一个全新的视角出发,结合华工安鼎具有自主知识产权的加密算法与云安全管理模型,以数据安全为核心打造全新的敏感信息数据防泄漏方案。
基于密级标识的数据防泄漏的方案是以电子文件为核心,对文件的生成、流转、归档、销毁的全生命周期进行安全管控,同时结合文档集中存储、文档外发管控、统一输出管理、边界安全控制、终端安全管理等特色功能,实现电子文件的分级分类分域的全方位智能防护。
余鹏飞博士表示,华工安鼎基于密级标识的系列产品覆盖主机安全、应用安全、数据安全、网络安全和综合审计等各方面,可以实现电子文档等数据信息的全生命周期的安全管理,做到终端不留密、流向可管可控、集中分类存储和打印外发权限管控,可以与企业特有业务模式和管理要求相结合,最终实现敏感信息“带不走、打不开、读不到”的控制目标及效果,适用于分级保护、等级保护和商业秘密保护等行业领域。
谈到方案的优势和特点,余鹏飞博士以一个电子文档的生命周期(起草-使用-流转-外发)为例,做了详细的介绍。
在文档起草、使用阶段,采用具有自主知识产权的处理技术将文件内容和敏感等级进行混淆,在文件生成的源头进行强制标密。用户在打开或保存文档时,系统自动采用默认的密级对文档进行标密。标密后的文档不会影响用户阅览习惯,不会改变任何工作流程及使用习惯,对用户而言可以说是完全透明的。
在存储、权限管理上,方案中对文档的管理采用“分级授权、集中存储”的设计理念。根据文件的重要程度,按照组织架构(部门、用户、项目组等)对文件进行密级标识及授权管理,只允许合法授权用户根据分配权限受控使用;非授权用户即使获取到数据也将无法查阅。授权用户只能按照规定好的权限进行使用,无法越权对文档进行属性修改、复制、另存等操作。所有的文档集中存储在服务器,支持按照个人文档库、公共文档库、文档库分类存储。
加强安全防护措施,华工安鼎的解决方案采用多种安全防护措施,实现电子文档的安全管理,保证文档的安全性、可用性和可控性。
(1)访问范围控制:仅同密级或高密级用户才可以访问密级文档,对单个的密级文档,可以通过修改访问范围,增添或删除访问用户,以控制各密级文档。
(2)操作权限控制:可以对单个文档的操作权限进行设置,包括是否允许下载、重命名、评论、删除、覆盖、打印等操作。合法用户打开加密文件后,系统将实时监控用户的截屏及录屏行为,当用户发起截屏请求时系统会自动拦截截屏请求,无法截屏。
(3)传输方向控制:将密级属性与文档相结合,当合法用户打开加密的文件时,系统将对文档的传输方向进行监控,根据文档密级自动阻断密级文档从高密级用户向低密级用户传输,避免高密低流的现象发生。
(4)打印控制与审计:系统可对用户的打印行为进行灵活的控制,即可控制用户是否允许或禁止打印加密文件,也可实现打印精细化管理,控制用户对指定文档的阅读、打印权限,如使用次数和时限,也可进行打印水印设置等。
在文档外发阶段,通过对数据进行加密及授权封装,保障数据在外部环境的存储及使用安全。
(1)文件加密保护:采用加密技术对外发数据进行加密保护,防止非法用户暴力破解泄密。
(2)安全身份校验:外发文件提供多种安全身份认证机制,包括:密码口令认证、机器绑定认证、USB-KEY认证等,在身份认证通过后才可正常、安全打开外发文件。
(3)文件使用权限控制:外发文件提供细粒度权限控制保护,包含文档使用权限如只读、打印、修改等控制;文档生命周期管理如:阅读次数、阅读时限及过期自动销毁等保护;文档协同权限如修改、还原以及文档内容保护、打印水印等控制。
(4)文件内容安全控制:为防止使用者恶意将文件内容扩散,系统对其内容进行高强度安全控制,如内禁止截屏、禁止另存为及打印控制等。
(5)外发文件易用性:外发文件在外部环境使用时,无需安装任何客户端及插件,用户双击外发文件完成身份认证后即可根据预设权限透明、安全使用。
这种从信息安全的源头就加以控制,结合内容安全防护、应用系统加固以及业务流程支撑等实现手段能起到很好的防护效果,企业敏感数据均被加密,即使被泄露也无法读取到任何有价值内容,从而保证了对恶意行为的防护,可满足各行业用户的安全及管理需求。华工安鼎提供的解决方案和服务能力得到了现有客户的充分肯定。
篇14
这四位专家的名字在信息安全业界可说是如雷贯耳:美国退伍军人事务部前任首席信息安全官Bruce Brody(现为Input公司负责信息安全的副总裁)、证券交易委员会前任首席信息安全官Chrisan Herrod、百事可乐公司前任首席信息安全Bryan Palma,以及曾任加拿大丰业银行信息安全和隐私主管的顾问Paul Wing。
在他们看来,数据安全问题需要三管齐下的响应机制:首先教育员工,并执行旨在监管系统使用的政策;其次尽量减少人为失误;最后堵住技术安全漏洞。一旦组织已经确认了哪些重要数据需要加以保护,就可以依照这些专家提出的下列建议。
标准最重要
在了解了哪些重要数据需要加以保护后,安全组织首先需要制订保护敏感数据的政策和标准。Chrisan Herrod认为:“规范的安全标准是CSO们面临的最大问题。”Chrisan Herrod如今是Scalable Software公司负责法规遵从解决方案的副总裁。
以便携式设备的访问为例,Chrisan Herrod认为首先要问一下:“到底需不需要通过笔记本电脑等设备来访问信息?”如果答案是肯定的,接下来的问题是“谁可以访问?”同时,组织要把数据访问时间、访问者记入日志,并且派专职员工每月或者每季度检查一次该日志。
“多管齐下”定策略
对于安全组织来说,有些敏感数据极为重要,譬如客户的个人信息。按照百事可乐公司的前任首席信息安全官Bryan Palma建议,组织应该先限制对敏感数据的访问,然后对这些数据进行加密。他表示:“万一出了问题――这种情况免不了会发生,就要确保丢失的数据无法被访问。”
四位专家对目前美国管理和预算办公室规定的做法表示了认同。该部门指令美国联邦机构对移动数据系统使用双因子验证,譬如除了密码外,还要使用指纹阅读器。并且,还使用了超时功能,要求远程访问设备在隔30分钟后重新获得授权。
Herrod认为,锁定移动设备的读写功能对确保数据不被人操纵或者不被人篡改来说很重要。
Palma则表示,CSO们应当尽量让这些访问和验证措施易于使用。“实际上,如果措施过于麻烦,人们总会寻求变通的方法。”
美国退伍军人事务部前任首席信息安全官Bruce Brody说,制订的政策应当与数据安全措施相辅相成。“譬如说,你不希望对准备公开的数据进行加密,但你一定要对你认为有可能出问题的数据进行加密,作出这些决策则是CIO和CSO们的任务。”
严格把关 层层设防
