信息安全保护
信息安全保护范文第1篇
关键字:安全保护信息流数据流EDI
临近防汛期,大堤上俯视江水,滚滚的江水夹杂着从上游带下的黄沙,匆匆流向东方。原本平静的江水,开始变得混浊,日夜洗擦着堤岸。见况,“安全”的意识迅间闪现在每人的脑海中……。校园课堂上,校园网内外的信息流不断,导致局域网内部分机器不能正常工作,信息不能正常在网络间交换,这些是每个应用网络的人常遇到的问题。从现实的自然现象,到虚拟环境的现象,均随况出现各种危险的境况,从“护堤”――“护机”,“净水”――“完整数据流”不就是急切落实的防预措施的措施吗?电子商务是传统商贸发展到网络数字化阶段的新营运模式。架构在网络中的商贸交流信息不单只关系到“交易”双方,而且还涉及到参与虚拟市场的各方实体。市场交易是在公开、公平、公正、自愿下进行的,市场的形式拓展为虚拟环境的交易需要满足用户身份的确定,内容的完整性,信息保密性,交易不可否认性,访问控制等安全性的控制要求,才能有效地实现。
作为用户应用电子商务平台实现网上商务过程,总是从内到外,从个体到整体,从预防到处理,从流到存等过程是中是个性化的安全环境的构建,保护数据信息流的实现。网上信息总是以物理实体为基本载体,在网络环境下确保交流的信息不受污染,交换过程畅通无阻,信息存储与交换的过程中实现信息的加密传送,信息所属用户的认证等功能,实现全方位的安全防护,是保证电子商务交易的安全措施。
1、由内到外,确认控制访问的用户身份:
电子商务平台是网上实现买卖双方开展商贸活动的接口,虚拟环境中,不存在双方或多方的会面,且网络中存在着各种以非法入侵,非法窃取、非法控制的黑客手法,利用网络监听,截取信息流,木马程序驻留系统,获取系统资源。交易时怎样保证对方是客观存在的实体,并且有能力实现协作交易?用户身份实时有效的唯一性认证成为开展电子商务的首要处理的问题。
A、本地身份校验:
商家服务器上的电子商务平台,为用户提供平台客户登录的入口,利用实时获取合法用户的口令、智能卡(加密卡)、生物特征等数据,同时进行服务平台上合法用户身份的认证,简单直接地保证了本地用户登陆的安全性。
面向CRM管理意识的平台应用开发,把用户的需要与网上合作伙伴间关系结合开展商务化活动的电子商务平台,为合法的用户提供不同权限功能控制,实现个性化的商务活动界面。以CRM个性化彰显的系统功能在以用户登录为入口展现在平台上,维护与保证各连接用户使用功能的合法化与安全性。模拟平台的实训学习过程中,学生使用权限与教师使用权限的分类,简单直接地以选项的选择为区分,使用户了解平台角色应用中功能分类的意义。分角色实现规范性的商务平台的工作流程中,表现为多连接用户提供多条访问的进程,各用户在个性化工作界面中多线程并行工作下,工作不互相影响,信息不造成网络碍塞,而运行正常的商务平台特点。以JavaScript语言为开发网页依据,提供安全实时的用户身份验证,是保证用户的合法性与系统的资源的安全性访问的重要前提。
B、远程身份验证:
采用向CA认证中心申请X.509数字证书的用户合法身份数字证书。服务器以数字证书为用户访问依据,向合法用户开放实时连接权限,使访问方为验证方提供自身网上的身份资料,并实现网上数字证书的实时的有效性验证,确定了合法数据交换的双方身份,为交易提供对象合法有确定性的安全性保证。
信息在网上传输过程中,涉及到信息源,信息目的地,信息传输协议。交换的信息怎样保证按统一的标准安全地为源与目的地提供可连接的通道,并进行安全的信息传递。针对不同安全性的网络结构,提供通用性标准化协议的安全连接。利用数字证书为载体为客户端、服务端的连接提供以SSL、SET为标准的传输协议,用户身份信息通过CA认证中心分层管理、解释、验证。数字证书实现实时的网上连接,并对用户数据实现加密传输。
信息的实时验证与反馈是保证网上服务器的安全连接的前提。绑定服务器数字证书可使用户在遵守SSL协议标准下,与客户端建立安全可访问网络通道,使合法用户与服务器间筑构加密传送的数据通道,实现安全的域访问。
利用商务模拟平台,开展B2C、B2B实验教学过程中,客户端申请并下载安装数字证书,实现网上商贸活动的实验。让学生认识并理解各种类型的数字证书的用途及其使用方法,进一步理解数字证书应用在网络中商务平台功能访问权限的分配方式及意义,并体现验证用户唯一身份,在网络支付组件间完成的资金流和商流信息流动中,实现系统分权管理用户数据独立性与系统协调的安全性应用。
2、网络数据安全的预防与实现:
电子商务平台下合法用户利用网络实现向服务器提交单向的数据信息,流动的信息以标准格式传递商贸中所需单证、凭证、资料等,而双向的数据交换是实现网上支付,信息的咨询及实时反馈,若网络传输的信息流中夹杂着带传染性、攻击性的数字信息,并有直接危害网络和系统的情况,不单只造成网上各共享资源受损失,并导致不可估量的商贸经济的重大损失。
A、安全的预防、处理病毒:
以网络中各实体的安全性为防护的主体,是实现用户数据存取安全性,数据信息可靠性,网络数据交换的数据完整性,信息不可否认性的保证。对客户端单机来说,建立以预防为主的日常维护与管理工作,常采取安装个人防火墙软件,管理网络可访问连接端口及访问策略,有效地实现单机与网络数据流的实时检测,阻止网络攻击与不法信息的网络传递。并在本机系统内安装查杀病毒软件,定时升级更新,实现防止各存储介质为机器带来的病毒信息的有效隔治。
整体的网络管理方式来说,实现局域网内单机的分布管理,不单是用户端的应用,而是涉及到以整体网络为对象的安全防护应用。网络的分层级结构规划,安排与设置局域网的IP网段,防止网络风暴,合理分配和使用网络中软、硬件资源;利用软、硬件防火墙设置与管理相结合的技术,实现整体到个体的网络信息可控性管理。把管理应用在网络共享资源组合和用户级别的网络安全体制上,是有效实现网络信息安全性应用的基础。
B、网上安全数据交换:
网络其实是内部的连接,外部的联接的硬件与软件功能协调应用的构件。架构在安全可信的网络环境下的以数字信息为载体的电子货币的出现为传统商贸活动开拓了新市场,活动以电子现金、信用卡、电子支票等多种信息载体的电子货币,实现了网上数字化信息存取,数字化信息管理,助手应用程序工具等,利用服务器开放给合法用户的端口,实现网上电子支付的实时数据交换。开展B2C的网上交易流程的讲解与实验时,把电子货币信息载体的管理与使用方法及意义,结合保护与认证双方应用,贯穿商贸活动中的“申请――>定购――>支付――>确认”过程,有效地把载体、方式、应用相结合起来,并理解信息流在传输标准协议SET中实现网上交易过程,贴近生活中的网上银行理解支付网关的接入应用与平台操作,实现全面开展网上安全数据交换的学习、应用的教学与尝试。
理解在开展数据加密与认证技术中来确保网上安全交易的意义中,初步建立了理论性的数据加密、CA认证等概念式技术的认识,但在实践应用过程中,如何解决各类不能在虚拟数据传输中用直观感知出来的问题。(如:管理者如何才能知道传输的是谁的数据?数据怎样才能被安全保护?交流信息如何才算验证正确……?)针对有效的数据加密技术、认证技术的手段――数字证书的应用为例,利用广泛的电子邮件应用,把加密技术、算法应用、加密手段、认证过程的实现流程知识点,利用图解展示,借用互动软件操作,结合平台实现方法,完成信息被保护的过程实现,对比篡改信息后的数字原文的变化,把学与用关系应用到认证与保证的可实现层次里。
建立安全的数据交换通道,以数字证书作为网上用户身份的认证技术,从申请过程中确定证书中使用者的有效身份,以DES的加密算法实现传统体制和RAS加密算法实现公钥体制的密钥管理。建立以PKI公钥基础设施技术为基础的SSL、SET协议利用以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术实现网上数据安全交易。以S/MIME协议为标准的电子邮件是网上交易过程中最广泛,最常用的数据交易,其提供了对邮件加密传送、签名确认的基本数据安全措施。把个人邮件数字证书绑定个人的Email地址,利用数字证书提供的以RAS为基础的加密体制,生成个人身份标识性的公钥,把信息实现网上的私钥加密传送,对方获取公钥后自动解密后实现发送方身份的识别,内容的显示。
(1)保证数据的完整性,数据在其过程中不被修改,利用数字信封、数字摘要、双重签名、数字代码等加密技术实现对数据内容的不同加密手段,从不同的程度上加强了加密的有效性,保证了数据的安全性。
(2)为保证数据交易时双方身份的实时确认,数字化数据容易被篡改,且不留痕迹,发送方可利用个性化文本标识为发送的内容进行数字签名,还可利用以PGP密钥管理软件实现个性图像化的数字签名。利用数字签章软件实现保护电子文档信息,内容不被篡改。;为此保证发送与接收方的利益,利用数字时间戳技术实现CA第三方认证电子信息的时间、用户身份有效性。
3、认识C/S结构,拓展安全空间:
网上安全数据交换为适应不同的电子商务平台,兼容不同的数据类型传输,以专用网络或Internet网络为基础实现标准EDI数据交换,C/S双方的数据怎样遵循同一协议,规范标准的数据格式,实现标准格式的数据存储?该过程的实现主要依赖于电子商务平台所提供为其他数据交换应用平台的接口来实现。以传统的软件开发,实现服务器与客户端的数据交换,基本只适用于专用网络的高级语言应用,而较大规模的平台兼容性运行与数据标准化传递的差别,则是全球化、网络化、信息资源共享与应用的主要要解决的问题。网络不只提供简单的信息交与换的方式,其把应用功能以联接的方式扩展到职能部分的功能应用平台中。那么各平台的连接与信息共享实现过程中,怎样才能把数据自动适应地传递?问题中存在许多技术与规范的标准的协调与标准统一。例,在实现以CGI连接各功能平台接口的应用中,以屏幕表单的填写为数据收集表现载体,以纯文本信息实现网络数据传递,使扁平化的数据交换完成在最广泛连接的不同网络平台的应用中,并进一步拓展Internet网络在安全性保障前提下标准化数据传输的空间。
模拟平台中实现信息选择、对象操作、表单提交、数据交换的操作、理解和应用过程中,利用网页制作工具,帮助学生学习与分析理解网页脚本语言,认识利用对象行为事件调用JavaScript语言的功能实现方法。信息在网络中以数据库应用与变量传递方式中,实现网络的安全信息流的应用中,如何加密/解密,如何有效存取的实现措施中,进一步实现网络动态数据的交换在学生学习认识中理解安全防护的应用。
虚拟世界的交易离不开双方的信任度,架构安全的环境,保护信息流,是数字化信息得以发展的基础,是开展电子商务实现安全网上商贸的基本要求。网上商务市场是传统商务市场在虚拟网络环境中连动网络营销与物流专业等相关市场的拓展营运。全面落实与发展专业化安全信息流,共同维护与构建新型商业营运市场的后盾与保证。
信息安全保护范文第2篇
[关键词]电信运营商 客户信息 安全保护
对于电信运营商而言,保证其客户信息具有较高安全性,能够相应的提升自身的品牌价值,亦能够提高电信在行业内的核心竞争力。为此,电信运营商必须要明确其客户敏感信息,并且深入分析其客户信息安全保护当中存在的主要问题,由此方能够寻找针对性的有效措施予以积极应对,促使电信运营商获得更良好的发展。
一、客户敏感信息概述
客户敏感信息主要指一旦遭到泄露或者被修改,便会对个人信息主体造成严重不良影响的部分个人信息。各个行业的客户敏感信息,根据客户意愿、行业特点等存在相应差别。
二、电信运营商客户信息安全保护问题
1、敏感信息保护工作的重视程度缺失。虽然当前电信运营上已经认识到了客户信息安全存在威胁,但是却仍旧难以提高客户敏感信息保护工作的重视程度。可以说,虽然电信运营上在客户敏感信息安全保障方面已经作出了努力,但是却并不具有针对性,亦缺少完善的安全防护体系,难以解决其中存在的诸多安全隐患。主要表现为电信运营商在客户敏感信息保护当中的人员能力十分欠缺,其不能够对自身客户信息现状作出全面的了解,即便知道客户信息安全存在问题却难以明确问题的严重性。
2、敏感信息识别难。敏感信息的识别比较困难,主要原因在于电信运营商对客户敏感信息的具体分布并未清晰了解。虽然电信运营商能够进行文件加密、终端管控和账号管理,但是在客户敏感信息贯穿于整个运营商业务流的情况下,其原本所采用的,比较单一的信息安全防护措施并不能够起到良好的安全保障效果。同时,电信运营上当前并不能够对其所有业务流程当中所产生的客户敏感信息分布情况作出清晰的了解,难以作出系统性的、全面性的监控,因而难以识别业务流当中的敏感信息,亦难以发现敏感信息风险。
3、网络安全威胁。首先,在人们对信息安全越来越重视的情况下,IT建设却比较滞后,电信运营商对于客户敏感信息体系建设并不清晰,缺少充足的安全保障意识、人才支撑和技术保障。其次,IT网络的链接十分混乱,存在私搭乱建的现象,使得网络间的访问难以得到控制。随着互联网技术的发展,网络技术结构逐渐变得复杂,各个不同系统之间的关系十分混乱,接入访问需求时会出现越来越多的安全威胁,使得接入访问难以达到客户敏感信息安全规范需求。最后,由于客户敏感信息众多,必须要通过大数据进行分析。但是,大数据所需要分析的敏感信息存在信息量大,要求准确和变化快等特点,使得其对大数据分析具有了更高要求。
三、强化电信运营商客户信息安全保护效果的相关措施
3.1加强对客户敏感信息保护工作的重视
在此方面,电信运营商需要全面加强其对客户敏感信息保护工作的重视程度。首先,应该提升运维操作人员、技术人员等全体人员的信息安全保障意识,可以通过培训等弥补其安全意识以及技术方面存在的不足。其次,应该配备充足的专职安全岗位人员,明确各个岗位的职责,以便更加具有针对性的负责客户敏感信息保护。
3.2强化运营商对敏感信息的识别
电信运营商首先应该建立比较完善的客户信息安全管理系统,用以明确客户敏感信息安全管理责任和程序,有效的处理信息安全隐患。其次,应该对客户敏感信息分类作出明确,促使整个业务流当中各个业务所涉及到的客户敏感信息均能够被及时发现且纳入到信息安全管理系统中。通过全面的信息安全监控,及时发现信息安全风险,便于制定应对措施。据此,电信运营商将能够更加良好的加强客户敏感信息的安全保护,肩负起其不可推卸的信息安全保护社会责任。
3.3加强网络安全建设
信息安全保护范文第3篇
2007年,原铁道部成立了铁路信息安全等级保护工作协调领导小组,印发了《关于开展铁路重要信息系统安全等级保护定级工作的通知》。多次组织会议研究具体工作,并每年将等级保护工作列入全国铁路信息化工作要点,提出明确要求,重点督促落实。2012年,了《关于进一步做好铁路信息安全等级保护工作的通知》,进一步推进铁路信息安全等级保护工作。截至2012年,铁路行业已对33个信息系统进行了定级,其中二级8个,三级22个,四级3个,结合系统建设、升级改造、专项工程等,对部分已定级的信息系统进行了相应的信息安全防护改造,起到了一定的防护作用。
2其他行业信息安全等级保护工作现状
2.1电力行业
电力信息系统包括发电、输电、变电、配电、用电等环节的生产、调度与控制系统,还包括与生产、营销等工作相关的管理系统。2004年10月,国家电网公司转发了公安部的《关于信息安全等级保护工作的实施意见》的通知,要求下属单位认识信息安全保障体系。2005年,电力行业监管部门颁发了《电力二次系统安全防护规定》,后陆续制定了《电力二次系统安全防护总体方案》、《省级及以上调度中心二次系统安全防护方案》、《变电站二次系统安全防护方案》,高度重视信息安全保护工作[2]。2007年8月,电监会了《关于开展电力行业信息系统安全等级保护定级工作的通知》;随后11月下发了《电力行业信息系统安全等级保护定级工作指导意见》,要求贯彻落实国家关于信息安全等级保护工作。2010年6月,电力行业信息安全等级保护测评中心通过国家信息安全等级保护工作协调小组评审,成为国内首个行业信息安全等级保护测评机构,为电力行业信息安全等级保护工作开展提供测评及咨询等服务。2011年,电力行业按照国家信息安全等级保护相关标准和管理规范,结合自身行业现状和特点,制定了本行业的等保标准——《电力行业信息系统安全等级保护基本要求》(送审稿),指导行业信息安全等级保护工作。以国家电网公司为代表,电力行业等级保护工作有序稳步推进,2006年开展了信息系统安全等级保护制度研究与试点工作,2007年进行了试点,2009年全面展开等级保护建设工作。2010年以来,电力行业形成了以网络隔离、边界防护和分层分级纵深防御为主要特点的立体化安全防护体系,成为全国首个率先组织开展信息安全等级保护工作并深入应用的行业。
2.2金融行业
金融行业信息系统包括中国人民银行信息系统和银行业金融机构信息系统两大类。中国人民银行除拥有政府行政管理的各类信息系统外,还有履行金融调控、金融服务、金融市场职能的13类信息系统。银行业金融机构信息系统分为两类:各类银行、各类金融机构。2007年,中国人民银行印发《中国人民银行、中国银行业监督管理委员会关于印发<开展银行业金融机构重要信息系统安全等级保护定级工作>的通知》,开始在金融行业开展信息安全等级保护工作。2011年1月,经中国人民银行、公安部国家信息安全等级保护工作协调小组办公室批准,中国金融电子化公司测评中心成为行业指定的信息安全等级保护测评服务机构,开始了金融行业信息安全等级保护测评和风险评估工作。2012年7月,人民银行制定出台了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》3项标准,成为金融行业的等级保护标准。同年,人民银行了《中国人民银行关于进一步推进银行业信息安全等级保护工作的通知》,将等级保护工作长效化、制度化。2013年以来,人民银行先后了《中国人民银行信息系统安全等级保护定级和备案流程实施办法》、《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》,进一步完善了等级保护工作流程,并组织对21家全国性银行业金融机构信息系统定级情况进行了评审。
2.3教育行业
教育行业信息系统包括教育行政管理信息系统和学校信息系统两大类,如教育部全国学前教育管理信息系统、全国中小学校舍信息管理系统、高考报名与招生相关系统;各高校教师学生管理信息系统、考试与成绩管理系统、远程教育系统等。2009年,教育部办公厅印发《关于开展信息系统安全等级保护工作的通知》,随后,教育部批准成立了“教育信息安全等级保护测评中心”,具体承担相关等级保护工作。2010年~2011年,教育部办公厅先后印发了《关于开展教育系统信息安全等级保护工作专项检查的通知》、《关于进一步加强网络信息系统安全保障工作的通知》,要求做好教育系统网络信息安全保障工作,加快建立完备的教育网络信息安全保障体系。2011年6月,国家信息安全等级保护工作协调小组评审并通过了教育信息安全等级保护测评中心作为国家信息安全等级保护测评机构的资质申请,成为继电力、金融行业之后第三家行业信息安全等级保护测评机构。教育部积极组织开展信息安全等级保护行业标准的制定,研究制定了《教育系统信息安全等级保护定级指南》、《教育系统信息安全等级保护基本要求》等技术标准,进一步规范了教育行业等级保护工作在技术层面的落实。2012年以来,教育行业等级保护工作继续深入开展,教育部直属机关100多个系统完成定级及评审工作,国家教育管理信息系统安全保障体系建设完成,行业具备了独立进行信息安全等级测评、风险评估服务的能力。
2.4广电行业
广电行业信息系统可分为3大类:生产业务系统、外网系统、专网系统[11]。鉴于广电系统的专业特色,无法照搬基于IP网络的信息安全评估方法,广电行业进行了一系列的研究工作。2007年,广电总局以光缆干线网风险评估为切入点,开始了行业内风险评估的探索;2008年,完成了“广播电视光缆干线网信息安全风险评估方法研究”项目,探索出一条适用于行业信息安全评估之路;2009年,在此基础之上,广电总局完成了“广播电视卫星地球站信息安全风险评估方法研究”;2010年,启动了电视中心、广播中心、无线发射3大播出类型的专业风险评估方法研究。2007年,广电行业下发了相应的定级工作指导意见,开始了重要播出信息系统定级工作。2009年,广电总局开始着手研究编制适合行业的等级保护标准;2011年,广电总局颁布出台了《广播电视相关信息系统安全等级保护定级指南》和《广播电视相关信息系统安全等级保护基本要求》,作为行业内信息安全等级保护标准,为信息系统建设整改提供指导。2012年,国家广播电影电视总局广播电视信息安全测评中心通过国家信息安全等级保护工作领导协调小组办公室评审,获得广电行业信息安全等级保护测评机构推荐证书,成为国内第4家行业信息安全等级保护测评机构。目前,按照广电总局的统一部署和要求,广电行业已完成主要信息系统的分类和定级,完成了相关系统在公安机关网络安全保卫部门的备案,并有计划地开展安全建设整改工作。
3铁路与其他行业信息安全等级保护工作对比分析
3.1对工作的认识和推进程度
作为关系国计民生的重要运输系统,早在2007年,铁路行业即开始了信息安全等级保护工作,与教育等行业相比,信息安全等级保护工作在铁路行业的起步更早,等级保护工作被列作全国铁路信息化工作的要点,获得了较多的关注和重视。然而,与电力等其他行业相比,铁路信息安全等级保护工作也存在着不足:(1)行业的先行性自我研究欠缺且滞后,没有在等级保护工作全面开展之前进行行业信息安全工作的调研和考察,这使得本行业对信息安全等级保护工作的认识缺乏良好的理论和实践基础;(2)信息安全等级保护工作在全路的实施力度有待加强,有些行业已将等级保护工作实现了例行化和常态化,而且较早时候即按照等级保护工作的要求完成了本行业信息系统的定级、备案等工作,而铁路行业内的上述工作尚处于未实现状态或实现较晚。
3.2行业标准的制定
信息安全等级保护工作的行业标准,是本行业按照信息安全等级保护国家标准的要求、结合行业自身特点而制定的等级保护工作标准。行业标准是行业开展信息安全等级保护工作的依据和指导性文件,其集中体现了本行业信息安全等级保护工作的研究现状和最高水平,是判断一个行业信息安全等级保护工作水平的重要依据。当前电力、金融、广电等行业已按照信息安全等级保护国家标准要求、结合自身行业特点,制定出台了本行业的等级保护标准,有的结合使用反馈情况,对已有标准进行了重新修订和完善,形成了第二版的标准。铁路信息系统的行业特点,决定了铁路信息系统安全不能完全照搬等级保护国家标准,而应依据国家标准结合行业特点实施信息安全保护工作;然而,此项工作尚处于空白状态,铁路行业亟待出台行业标准以指导行业信息安全等级保护工作。
3.3行业评测机构的成立
为进一步推进国家信息安全等级保护工作,公安部依据机构信息安全等级保护测评能力,授权第三方机构进行信息安全等级保护测评。等级保护测评机构的主要工作是根据等级保护标准规范,对各信息系统测评;作为等级保护测评工作的实施者,它推动着等级保护工作的前进,是信息安全等级保护工作的重要组成部分。截至目前,全国已有数十家机构获得信息安全等级保护测评资质,列入公安部信息安全等级保护评估中心推荐的全国等级保护测评机构目录。其中,已有7家机构获得部级测评资质,这包括了电力、金融、教育及广电等行业的测评机构,另外的机构则获得了省市级的测评资质。当前,铁路行业尚无一家具有认可测评资质的第三方测评机构,导致铁路内信息系统安全等级保护工作的推进,不得不求助于铁路外的社会评测机构,然而这些机构并不了解铁路行业的特点,给铁路等级保护工作的实施带来了很大被动。另外,铁路信息系统大多覆盖全国,实行全国统一管理,省市级测评机构已不能胜任铁路的需求。因此,成立一家行业内的部级测评机构,是铁路等级保护工作进一步开展的必然要求。
4结束语
信息安全保护范文第4篇
关键词:等级保护;信息安全;风险评估
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Applied Research of Classified Protection in Information Security
Lv Chunmei,Han Shuai,Hu Chaoju
(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)
Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.
Keywords:Classified protection;Information security;Risk assessment
随着信息化的快速发展,计算机网络与信息技术在各个行业都得到了广泛应用,对信息系统进行风险分析和等级评估,找出信息系统中存在的问题,对其进行控制和管理,己成为信息系统安全运行的重点。
一、信息系统安全
信息安全的发展大致为以下几个阶段,20世纪40-70年代,人们通过密码技术解决通信保密,保证数据的保密性和完整性;到了70-90年代,为确保信息系统资产保密性、完整性和可用性的措施和控制,采取安全操作系统设计技术;90年代后,要求综合通信安全和信息系统安全,确保信息在存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务,以及包括检测、记录和对抗此类威胁的措施,代表是安全评估保障CC;今天,要保障信息和信息系统资产,保障组织机构使命的执行,综合技术、管理、过程、人员等,需要更加完善的管理机制和更加先进的技术,出台的有BS7799/ISO17799管理文件[1]。
二、信息安全等级保护
信息安全等级保护是指对信息系统分等级实行安全保护,对信息系统中发生的信息安全事件等分等级响应、处置,对设备设施、运行环境、系统软件以及网络系统按等级管理。风险评估按照风险范畴中设定的相关准则进行评估计算,同时结合信息安全管理和等级保护要求来实施。现在越来越注重将安全等级策略和风险评估技术相结合的办法进行信息系统安全管理,国内2007年下发《信息安全等级保护管理办法》,规范了信息安全等级保护的管理。ISO/IEC 27000是英国标准协会的一个关于信息安全管理的标准[2]。
三、等级保护划分
完整正确地理解安全保护等级的安全要求,并合理地确定目标系统的保护等级,是将等级保护合理地运用于具体信息系统的重要前提[3]。国家计算机等级保护总体原则《计算机信息系统安全保护等级划分准则》(GB 17859)将我国信息系统安全等级分为5个级别,以第1级用户自主保护级为基础,各级逐渐增强。
第一级:用户自主保护级,通过隔离用户和数据,实施访问控制,以免其他用户对数据的非法读写和破坏。
第二级:系统审计保护级,使用机制来鉴别用户身份,阻止非授权用户访问用户身份鉴别数据。
第三级:安全标记保护级,提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。
第四级:结构化保护级,将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制,系统具有相当的抗渗透能力。
第五级:访问验证保护级,访问监控器仲裁主体对客体的全部访问,具有极强的抗渗透能力。
四、信息系统定级
为提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作[4],定级范围包含:
1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
2.铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通等重要信息系统。
3.市(地)级以上党政机关的重要网站和办公信息系统。
4.涉及国家秘密的信息系统。各行业根据行业特点指导本地区、本行业进行定级工作,保障行业内的信息系统安全。
五、等级保护在行业中应用
(一)等级保护在电力行业信息安全中的应用
国家电网公司承担着为国家发展电力保障的基本使命,对电力系统的信息安全非常重视,已经把信息安全提升到电力生产安全的高度,并陆续下发了《关于网络信息安全保障工作的指导意见》和《国家电网公司与信息安全管理暂行规定》。
(二)电信网安全防护体系研究及标准化进展
《国家信息化领导小组关于加强信息安全保障工作的意见》和《2006~2020年国家信息化发展战略》的出台,明确了我国信息安全保障工作的发展战略[5]。文中也明确了“国家公用通信网”包括通常所指“基础电信网络”、“移动通信网”、“公用互联网”和“卫星通信网”等基础电信网络。将安全保障的工作落实到电信网络,充分研究安全等级保护、安全风险评估以及灾难备份及恢复三部分内容,将三部分工作有机结合,互为依托和补充,共同构成了电信网安全防护体系。
六、结束语
安全等级保护是指导信息系统安全防护工作的基础管理原则,其核心内容是根据信息系统的重要程度进行安全等级划分,并针对不同的等级,提出安全要求。我国信息安全等级保护正在不断地完善中,相信信息保护工作会越做越好。
参考文献:
[1]徐超汉.计算机信息安全管理[M].北京:电子工业出版社,2006,36-89
[2]ISO27001.信息安全管理标准[S].2005
[3]GB17859计算机信息系统安全保护等级划分准则[S].1999
[4]关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL].公信安[2007]861号,20070716.
信息安全保护范文第5篇
随着信息安全等级保护工作的不断深化,已延伸到医疗卫生行业。卫计委要求三级医院核心业务系统定级不低于第三级。本文结合医院实际,介绍了医院信息安全等级保护工作的建设,阐明了信息系统的定级、备案、整改、测评四个实施步骤,以供大家探讨。
关键词:
医院信息安全;等级保护工作;等级测评
一、引言
随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字[2007]43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应[1]。
二、医院信息安全等级保护工作实施步骤
2.1定级与备案[2]。
根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。
2.2安全建设与整改[3]。
在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。
2.2.1等保差距分析与风险评估。
了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求[4]。技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,A类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3A3控制项共计136条[5]。医院可以结合自身建设情况,选择其中一个标准进行差距分析。管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络入侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。
2.2.2建设整改方案。
根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心[6]。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。我院整改方案是先由医院内部自查,再邀请等级测评公司进行预测评,结合医院实际最终形成的方案。网络技术人员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。
2.3开展等级保护测评[7]。
下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DICP”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站进行核实。测评周期一般为1至2月,其测评流程如下。
2.3.1测评准备阶段。
医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调查工作。
2.3.2测评方案编制阶段。
测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。
2.3.3现场测评阶段。
在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接入前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案[8]。在对209条控制项进行测评后应进行结果确认,并将资料归还医院。该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。
2.3.4报告编制阶段。
通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。
2.4安全运维。
我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照PDCA的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行[10]。
三、结语
医院信息安全工作是信息化建设的一部分,是一项长期的系统工程,需要分批分期的循序改建。还要结合医院实际,考虑安全产品的实用性,不能盲目的进行投资。医院通过实施等级保护工作,可以有效增强网络与信息系统整体安全性,有力保障医院各项业务的持续开展,适应医院信息化不断发展的需求。
作者:王磊 单位:蚌埠医学院第二附属医院
参考文献
[1]公安部,国家保密局,国家密码管理局,国务院信息化办公室文件.关于信息安全等级保护工作的实施意见(公通字[2004]66号)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技术信息系统安全等级保护实施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技术信息系统安全等级保护基本要求[S],2008-06-19.
[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播,2013,5(99):208-209.
[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S],2012-06-29.
[8]姚红磊,杨文.三级系统信息安全等级保护测评指标体系研究[J].铁路计算机应用,2015,24(2):59-61.
