网络信息安全技术措施
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络信息安全技术措施范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络信息安全技术措施范文第1篇
随着信息技术的高速发展与互联网的普及,网络技术不但改变着人们的生活方式而且对他们的工作产生了重要的影响。几乎成了人们生活与工作必不可少的组成部分。然而大量的网络信息不可避免的存在安全隐患,因为探究网络信息安全技术措施具有重要作用。
1 加强网络信息安全管理的重要性
加强网络信息安全管理是互联网迅速发展的基础。特别是移动互联网持续发展,移动网民达到5亿以上。只有不断强化对网络信息安全的管理,才能推动网络与各行业的应用连接。
随着云计算的流行,加强对信息安全管理变得更为重要。云计算是通过互联网为用户提供可扩展,弹性的资源。人们可以在云这种便捷的平台上获取与传递各类信息。对信息进行了安全管理才能保障云计算平台实用性。
电子商务的运作也依赖于网络信息安全性,因为它的全球性开放性特征也存在一定的安全隐患。只有保障网络安全才能使电子商务更加安全。特别像淘宝,以及各种软件上的支付平台都需要网络安全的保障。
随着国家信息化的不断推动,众多企业,金融,政府等行业都依赖于网络信息。所以信息的安全性变得尤为重要,加强对信息安全的管理是最佳的举措。
2 影响网络信息安全的因素
网络信息安全渗透在网络层次的各个层次里,从万维网到局域网,从外部网到内部网,以及从中间链接的路由器交换机到信息客户端,都涉及到网络安全的问题,以下从整体上分析影响网络信息安全的不同因素。
(1)系统原因电脑程序员在设计系统的过程中会出现一些系统漏非法入侵者就会利用这些漏洞对系统进行攻击。而且网络系统也会存在许多的漏洞,黑客就会对此进行攻击。从而窃取,修改,删除重要信息数据,造成网络信息出现安全问题;
(2)网络共享网络信息技术的一个重要功能就是资源共享。不管我们在哪里,只要能够联网就能够获取想要的信息。虽然网络共享为我们的生活带来了许多方便,但也存在缺陷。黑客就会利用网络共享来对网络信息进行恶意攻击;
(3)IP地址盗用。盗窃者通过盗用IP地址而导致网络系统无法正常运行,用户会收到IP地址被禁用的通知。这不仅威胁了用户的权益,而且给用户带来很大的麻烦。造成网络无法安全运行;
(4)计算机病毒是指破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。具有繁殖性,传染性,潜伏性,隐蔽性,破坏性等特征。通过网页捆绑,电子邮件等方式在网络中传播,窃取重要的网络信息资源并且攻击计算机系统。
3 网络信息安全措施
网络安全其最终的目的是提供一种好的网络运行环境,保证信息的安全。它有总体策略上的目标,也有具体实现的各项技术。
3.1 防火墙技术
它是一种隔离控制技术,在某个机构的网络和不安全的网络之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为互联网的安全性保护软件,防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和互联网中装有防火墙软件。防火墙在内外网之间设置了一道屏障从而保护内部网免受非法用户的侵入,防止内部信息的外泄。
3.2 入侵检测技术
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统能够对网络接收的信息进行检测,并提醒或拦截使用者有破坏信息的侵入行为,从而提供对此的实时防护以免信息受到攻击。入侵检测技术被称之为第二种防火墙技术。
3.3 加密技术
加密技术是指通过加密算法和加密密钥将明文转变为密文。通过密码体制对信息进行加密,实现了对信息的隐藏,对信息的安全起到了保护的作用。加密技术包括两个元素:算法和密钥。算法是将普通的信息与一串密钥的结合,产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的参数。密钥加密技术分为对称密钥体制和非对称密钥体制。对称加密采用了对称密码编码技术,文件加密和解密使用相同的密钥。非对称密钥体制的加密和解密使用的是两个不同的密钥。这两种方法各有所长,可以结合使用,互补长短。对称加密密钥加密速度快,算法易实现安全性好,缺点是密钥长度短密码空间小。非对称密钥加密,容易实现密钥管理,便于数字签名,缺点是算法复杂,花费时间长。通过对密钥的保护,防止非法用户对信息的破坏,保障了网络信息的安全。加密技术是计算机系统对信息进行保护的一种最可靠的办法。
3.4 防病毒技术
防病毒技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
如今病毒以各种各样的方式存在网络中,不仅要使用防病毒技术还要加强使用网络的安全意识。一般而言,使用的杀毒软件有金山霸毒,瑞星杀毒软件, 360杀毒等。要经常进行检测或杀毒,做到防患于未然。还要注意对重要的数据进行备份,以防病毒对重要信息产生破坏而损毁。
4 结语
网络信息的安全对人们的工作与生活有重要的影响。要使人们的办公和沟通顺利方便的进行,必须要有网络信息的安全作为保障。所以我们要不断得完善信息安全管理体系,寻求研发网络安全技术与措施,同时我们自身也要不断提高网络使用的安全意识来不断推动网络安全高速发展。
网络信息安全技术措施范文第2篇
关键词:网络环境;会计信息安全;技术控制
中图分类号:F232文献标识码:A文章编号:1009-2374(2009)10-0101-02
在现代科技高速发展,信息技术广泛应用的今天,会计信息处理适时化、便捷化和无纸化,大大加快了会计信息流通的效率。但在网络环境下会计信息存在安全问题, 而仅凭安装杀毒软件是不可能完全解决的,因此,要对会计信息进行深入研究,采取有效的技术控制措施,以确保会计信息的安全。
一、会计信息安全
ISO17799从不同的角度给出信息安全的定义。从功能的角度:信息安全就是保护信息免受各种威胁的损害,以确保业务连续性,使业务风险最小化,并使投资回报和商业机遇最大化。从实现方式的角度:信息安全通过实施一组适当的控制措施而达到,包括策略、过程、规程、组织结构以及软件和硬件功能。在必要的位置,需要建立、实施、监视、审核和改进这些控制措施,以确保满足该组织的特定安全和业务目标,这些工作应与其他业务管理过程结合起来进行。
然而目前,我国对会计信息安全还没有统一的定义。一般来说,会计信息安全是指会计信息具有可靠性、稳定性、保密性、完整性和准确性的状态,它来自于会计数据的完整和会计数据的安全,为会计信息的提供者以及投资者、债权人提供良好的信息传递渠道。
二、网络环境下会计信息的威胁
网络是把双刃剑,它既为信息使用者传递信息提供便利条件,又给攻击者(如:敌对国家、黑客、、有组织犯罪、商业竞争对手、心怀不满的员工等)提供盗取、篡改、损坏机密会计信息的途径。有时粗心或缺乏训练的员工也给会计信息造成威胁。网络环境下会计信息的威胁归纳为如下:
(一)攻击者的动机
攻击者的动机分为恶意动机和非恶意动机。
恶意的动机:为获取商业、军事或个人情报,跟踪或监视目标系统的运行,扰乱目标的运行,窃取钱财或服务,免费使用资源,打败安全机制的技术挑战。
非恶意的动机:意外损坏网络。
(二)会计信息受到攻击的方式以及造成的后果
1.恶意代码。(1)人为发起的越权和入侵类。许多系统都有这样那样的安全漏洞,攻击者没被授权利用系统的漏洞闯入会计信息系统对会计信息进行修改、删除等操作使得会计信息真实性和完整性受到威胁;(2)计算机病毒传播类。计算机病毒是可存储、可直接或间接执行、可隐藏在可执行程序和数据文件中而不被人发现,触发后可获取系统控制的一段可执行程序。病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失,具体的有蠕虫、特洛伊木马、发起的拒绝服务攻击等。
2.违规操作。由于会计人员误操作或操作人员的概念模糊,将有价值的会计信息会被更改、丢失甚至销毁。
3.物理问题。(1)设备故障:计算机系统、网络服务器、打印机等硬件实体和通信链路出现故障导致会计信息出错,甚至丢失;(2)自然灾害、环境事故:据有关方面调查,我国不少计算机机房没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统疏于周到考虑,抵御自然灾害和意外事故的能力较差,因断电而造成设备损坏、会计数据丢失的现象屡见不鲜。
为解决会计信息面临的攻击和威胁,全面安全地解决会计信息安全问题是非常重要的。因此,需要制定有关技术性安全措施,包括构建适应网络发展的会计信息安全体系,对会计信息系统风险的评估,制定事件应急处理体系等。
三、技术控制措施
(一)常规的会计信息安全控制技术
1.针对恶意代码的技术防范。会计信息加密的目的是保护系统内的会计数据、文件、口令和控制信息,保护网上传输的数据。通过加密,不但可以防止非授权用户的搭线窃听和进入,而且也是对付假冒、篡改和恶意攻击行为的有效方法。
防火墙是保护企业网络会计信息安全的主要机制。它能对流经的网络通信进行扫描,过滤掉一些攻击。防火墙是架构在本地网络与外界网络之间的通信控制设施, 对双向的访问数据流实施逐一检查,允许符合企业安全政策的访问,拦截可能危害企业网络安全的访问,从而对企业内部网上敏感数据资源或服务加以保护。
防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击无能为力,这时企业要依靠入侵检测系统(如IDS),动态地监测网络内部活动并做出及时的响应。攻击者在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(如Netwatch),该监视程序则会有警告提示。修补系统漏洞对会计信息系统的安全同样起着重要作用,操作系统本身存在的漏洞极容易引起黑客的攻击,从而导致系统的崩溃和数据的丢失,因此要及时修补系统漏洞。
2.针对违规操作的安全措施。企业应定期进行安全审计,其目的是发现系统或用户行为中的入侵或异常行为,系统可以创建用户在系统中活动的事件记录,通过这些记录检查不平常或可疑的行为。计算机审计要求内部审计人员和注册会计师审计人员不仅了解会计信息舞弊原理还要懂得企业信息系统的运行机制,慎用共享软件。
3.针对物理问题的安全措施。由于计算机物理问题导致会计信息存在安全隐患不容忽视,为确保会计信息安全,笔者提出以下建议:(1)确保物理网络安全,做好数据的备份工作防止信息丢失造成的损失。企业应当建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度。并在备份完毕后,将备份介质异地保存;(2)为防范因为物理介质、信号辐射等造成的安全风险,采用防火墙、IDS等设备对网络安全进行防护;(3)企业应当将计算机硬件设备放置在合适的物理环境中,由专人负责管理和检查,其他任何人未经授权不得接触计算机信息系统硬件设备。对于主要系统服务器应当配备不中断电源供给设备。另外,企业应编制完整、具体的灾难恢复计划。同时应当定期检测、及时修正该计划;(4)企业应当指定专人负责信息化会计档案的管理,做好防消磁、防火、防潮和防尘等工作。对于存储介质保存的会计档案,应当定期检查,防止由于介质损坏而使会计档案丢失。
(二)构建基于网络环境下的会计信息安全体系
网络环境下的会计信息系统,是在互联网环境下对各种交易中的会计事项进行确认、计量和披露的会计活动,能够实现企业财务与业务的协同、远程报账、查账、报送报表、审计、网上交易等远程处理,支持电子单据与电子货币,实现动态会计核算。
1.基于网络环境下的会计信息系统安全体系的框架。通常情况下的会计信息系统结构如下图所示:
构建基于网络环境下的会计信息系统,需要在会计信息源、内网与外网数据传输之间、会计信息输出等环节确保安全。有如下几种具体实施方案:(1)在会计信息输入环节,由于要将纸质凭证进行电子化处理,需要根据企业的实际情况制定一套规范准则对纸质凭证电子化处理,同时还要在进入输入节点前加上识别的功能,保证输入源的会计信息准确无误;(2)通过外网将会计信息传递到内网环节,需要在保证正确的同时防止信息的披露,还需要对会计信息输入人员进行培训与监督,以防人为故意破坏或输入虚假错误的会计信息,因此有必要制定一个严格完善的会计信息安全管理制度;(3)企业内部会计信息系统的安全处理。由于其承载的大量企业内部重要数据,需要对日常业务信息进行全称追踪,对涉及金额大的业务单独处理,建立严格的复核制度,保证数据安全处理并对其过程及结果进行安全备份;(4)会计信息的输出。网络环境下的会计信息输出形式有了更多的选择。一方面可以采用传统的纸质文件形式进行输出,另一方面通过网络进行。但都需要对其安全性进行审查,以防涉及企业机密信息通过网络泄露。
2.会计信息系统安全体系的风险评估。会计信息系统风险的评估概括起来说共有三种评估方法:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的风险评估方法。
定量风险评估方法运用数量指标来对风险进行评估。用因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。
定性风险评估方法依据研究者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。主要以与调查对象的深入访谈做出个案记录为基本资料,通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。典型的分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。
定性与定量相结合的风险评估方法是一个复杂的过程,考虑的因素较多,定性分析是定量分析的基础和前提,定量分析应建立在定性分析的基础上才能揭示客观事物的内在规律。
通过技术手段(如漏洞扫描、入侵检测)来维护会计信息系统的安全常见的风险评估工具有:(1)SAFESuite套件,它由Internet扫描器、系统扫描器、数据库扫描器、实时监控和SAFESuite套件决策软件构成,是一个完整的信息系统评估系统;(2)WebTrends Security Analyzer套件主要针对Web站点安全的检测和分析软件;(3)Cobra是进行风险分析的工具软件,其中也包括促进安全策略执行、外部安全标准评定的功能模块。
3.会计事件管理体系、应急处理体系。会计事件管理体系、应急处理体系是对评估结果后对系统的改进,对会计信息安全遭到破坏后的及时应对方案等。
目前常用的事件管理体系、应急体系有:可信认证方法、口令字认证协议、基于动态一次性口令协议、基于预共享秘密的挑战应答协议、基于公钥体制的认证协议、基于地址的认证机制、基于个人特征的认证机制、互认证协议和维持认证等。
总之,网络环境下会计信息的安全问题日益受到人们的关注,本文仅粗略地发表阶段性见解,会计信息安全的技术控制措施还需要更加深入的研究。
参考文献
[1]祁玉峡.网络环境下会计信息系统的安全问题及管理措施[J].科学理财,2007,(2).
[2]程楠.网络会计信息系统安全问题与对策[J].科技资讯,2006,(2).
[3]潘婧.网络会计信息系统的安全风险及防范措施[J].财会研究,2008,(2).
[4]陈克非,黄征.信息安全技术导论[M].电子工业出版社,2007.
[5]辽宁省财政厅.关于征求《企业内部控制评价指引》等配套文件意见的通知.辽财会函[2008]293号.
网络信息安全技术措施范文第3篇
[关键词]铁路物流 信息安全 模糊综合评价 安全性评价模型
一、铁路物流信息安全概述
铁路物流信息安全是指在铁路部门在与其它物流企业或直接与货主进行业务往来的物流过程中,信息平台的软硬件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、泄露,信息系统连续可靠正常地运行,信息服务不中断的状态。
为了保障铁路物流过程中的安全性,铁路部门已经陆续出台一系列相关政策和法规,如《铁路装卸作业安全技术管理规则》、《铁路货物运输管理规则》以及《铁路和水路货物联运规则》等。这些政策和法规都主要集中在仓储、运输、装卸的安全性管理之上,而对于铁路物流信息安全却没有提出详实的管理细则与方案,对于现有的信息系统也缺乏一定的安全性评估准则。此外,目前铁路内部网络与外部社会信息系统之间没有接口,处于封闭运行状态,这种信息孤岛状况,造成了铁路部门与客户之间的信息不畅、信息不对称等问题。因此,当前需要建立起铁路物流信息共享平台,将铁路的内部信息合理地融入社会服务体系,向货主提供及时准确的信息、简捷方便的交易、全方位优质综合配套服务[1]。
毋庸置疑,信息系统的崩溃将阻碍物流活动的正常运行,而诸如客户资料、报价等物流信息的泄露,也必将给铁路部门及货主带来不可估量的损失。《2009年中国信息安全领域预测》一文中就指出“2009年恶意软件将作为一项服务出现”,并且漏洞带来的定向攻击将会增加,尤其是针对运输等服务行业的网络基础设施攻击,IT专家们认为2009年Web安全仍将是最为严重的威胁之一。可见,随着铁路信息化建设的不断深入和铁路物流信息共享平台的建立,加强信息安全无疑是铁路物流信息平台迅速发展的基础和保障。本文将从ISO1779所提出的信息安全技术框架出发,为铁路物流信息共享平台的安全性评价建立分析模型,从而最终为科学地选择系统性安全方案提供依据。
二、信息安全技术框架
ISO 1779由国际标准化组织于2000年12月出版,它是适用于所有的组织一项详细安全标准,主要涉及信息安全方针、组织安全、资产归类和控制、人员安全等十个方面。其中,信息安全方针中信息安全技术框架的核心要素包括访问控制、审计和跟踪、内容安全这三个方面:
1. 访问控制
访问控制是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。借助铁路物流信息共享平台,铁路企业可以改变过去信息孤立状态,通过Internet和外部网络进行联系和交流,实现与外部社会信息系统的连接。这时系统的安全性就面临着一大问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行的访问。访问控制涉及的技术也比较广,主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制以及服务器安全控制[2]。
2. 审计和跟踪
审计和跟踪是系统活动的流水记录,该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。它可以作为对正常系统操作的一种支持,也可以作为一种安全保证策略或前两者兼而有之。透过铁路物流信息共享平台,每天都会有大量托运、到货、取货等交易信息,一旦系统发生故障、文件数据遭受破坏,将阻碍物流活动的正常运行,因此必须通过审计和跟踪来保障系统安全和维护系统信息的完整性。通常审计和跟踪体系主要由日志系统和入侵检测系统为主组成。
3. 内容安全
信息共享平台给铁路企业及其客户带来了很多方便和好处:通过浏览和搜索平台上的资源和信息,一方面客户可以实时跟踪其货物配送情况,另一方面铁路运输企业可以更快、更准确地实现运单审核、到货录入等功能。但是,访问这些内容也意味着在电脑保护系统中打开了一些“洞”,从而病毒、间谍、广告软件等引起的内容安全问题日益成为人们的忧患。主要的内容安全保护措施有:数据加密技术、网络漏洞扫描、防病毒系统。
三、基于模糊综合评价法的安全性评价模型
模糊综合评价法是近年来逐渐推广应用的一种系统综合评价方法,是运用层次分析法(AHP)和模糊数学方法(Fuzzy)的一种综合评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好地解决了其他方法中定性与定量评价不能很好结合的问题,使评价方法在综合性、科学性等方面得到了改进。
1. 模糊综合评价法的理论与算法
(1) 建立评价指标体系
本文从ISO1779所提出的信息安全技术框架核心要素――访问控制、审计和跟踪、内容安全出发建立评价指标体系,运用层次分析法建立铁路物流信息共享平台安全性评价模型。如图1所示,该模型的第一层为目标层,即保障铁路物流信息共享平台的安全性;第二层为框架层,包括了评价指标体系的一级指标:访问控制、审计和跟踪、内容安全;第三层为技术措施层,通过上文分析可知与一级指标所对应的二级指标分别为(入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制),(日志系统、入侵检测系统),(数据加密技术、网络漏洞扫描、防病毒系统)。
(2) 确定评价指标权重
评价指标中的每个元素在评价目标中占有不同的地位和作用(即比重),这个比重就是权重值。
①构造判断矩阵
这里可以根据信息共享平台的安全需求及其安全性要求的倾向,参照信息共享平台安全性的评价指标分层体系,由信息安全专家根据相对重要程度给出判断值(根据Saaty的1~9标度法),构造判断矩阵。即在同一层次中,专家取出两个元素和进行比较,以表示元素和对于上一层控制元素Z的影响大小之比,全部比较结果用矩阵
②层次单排序
层次单排序就是根据判断矩阵A计算对于上一层次某元素而言本层次有关元素的重要性权值,这可以归结为计算判断矩阵的最大特征值及对应的特征向量,也就是对判断矩阵A计算满足的特征值及其对应的正规化的特征向量W,W的分量Wi(i = 1,2,…,n)就是相应元素的权重值。
③一致性检验
验证通过所构造的判断矩阵求出的特征向量是否合理,并对判断矩阵进行一致性和随机性检验,从而计算出判断矩阵的随机一致性比率CR。当CR
(3)建立模糊判断矩阵
对于安全技术措施的每项指标,可根据习惯划分为很好、好、较好、一般、较差、差和未使用等 7个评语等级如表1所示。对于具体的物流信息共享平台,专家组根据每个专家对某项目的各项指标评分确定出每项指标分别隶属于7个评语等级的隶属度,从而建立模糊判断矩阵R[3]。
矩阵R中相应的分值可以通过Delphi法得到:请多位专家彼此独立填写权重调查表,内容包括各二级单项指标,当所有专家都给出相应的权重后,在同一指标中,把选择相同级别的人数相加,再除以参加评价的总人数,则可得出各指标权重。
(4)计算模糊评价结果
计算模糊评价结果B,B=WT×R。式中,B为各二级指标隶属于所划分的7个评语等级的隶属度,WT为各二级指标相对于总目标的总权重值,R为模糊判断矩阵。
(5)计算信息共享平台安全性评价的最终得分D
D=B×C
其中,C 为以百分制表示的7个评语等级的分数所构成的列向量。
2. 铁路物流信息共享平台安全性评价模型的应用
(1)确定铁路物流信息共享平台的安全技术措施权重
首先,应用AHP法,通过信息安全专家评分的方式对铁路物流信息共享平台安全性评价模型中各个指标进行评价,可得到如下(见表2~表5)所示的两两比较矩阵:
本文利用MATLAB数学软件的eig(A)函数来求得表2所示矩阵的最大特征根=3.0385,则CI ==0.01925,随机一致性指标RI=0.58,从而得出CR= ≈0.0332
根据以上各表,可将各层诸要素的相对权数Wi 加以整合,求得整体层级的总优先向量,即计算得出安全技术措施相对于目标层来说各自的权重值,如表6所示。
通过表6可以看出在整个系统中,入侵检测系统是所有安全技术措施中权重最大者(0.4751),也就是该技术对于铁路物流信息共享平台的安全性具有最重要地位,数据加密技术则是仅次于此的技术。当然,信息系统的安全侧重点不同,最终得出的总优先向量也会有所不同。
(2)建立模糊判断矩阵R
本例中,选用铁道部刚结题建立的铁路物流信息共享平台A,让5位专家对其进行评分,得到模糊判断矩阵R(见表7)。由此,可得到模糊评价结果B=( 0.23604, 0.15176, 0.38014, 0.23206, 0, 0, 0 )
(3)计算铁路物流信息共享平台安全性评价的最终得分D
由前文所给C=( 100, 85, 70, 60, 50, 30, 0 ),可以得到铁路物流信息共享平台A的系统性安全性得分为77.037,安全性状况良好。同时,通过专家的评分也可以看出,对于该物流信息系统在属性安全控制、日志系统、入侵检测系统、数据加密技术、防病毒系统等方面的安全性控制应进一步加强,以保证信息系统连续可靠正常地运行。
四、结论
在过去,物流安全虽然已经受到物流工作者的关注,但是对于铁路物流信息安全却没有单独地提出来讨论,而要想健康地发展我国的铁路物流事业,就必须要重视其信息安全问题。本文从ISO1779所提出的信息安全技术框架出发建立评价指标体系,并由此建立基于模糊综合评价法的铁路物流信息共享平台安全性评价模型,用以对铁路信息系统的总体安全性进行科学的评价。通过算例验证,该模型为铁路物流信息系统的安全性评价提供了一个新的思想和方法,使决策更为科学、合理。
参考文献:
[1]刘畅. 基于互联网的铁路运输服务订单信息系统的设计及安全性分析与实现[D].东北大学. 2003.08.01
网络信息安全技术措施范文第4篇
关键词:信息安全 等级保护 信息系统 实施
一、引言
我国信息安全面临的形势十分严峻,维护国家信息安全的任务非常艰巨、繁重。2007年7月20日,公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
下文将讨论如何根据《信息系统安全等级保护基本要求》关于等级保护的管理规范和技术标准对新系统实施建设和对原有系统实施改建工作。
二、新建系统的安全等级保护规划与建设
完成系统定级并确定安全需求后,新建和改建系统就进入了实施前的设计过程。
以往的安全保障体系设计是没有等级概念的,主要是依据本单位业务特点,结合其他行业或单位实施安全保护的实践经验而提出的。当引入等级保护的概念后,系统安全防护设计思路会有所不同:
――由于确定了单位内部代表不同业务类型的若干个信息系统的安全保护等级,在设计思路上应突出对等级较高的信息系统的重点保护。
――安全设计应保证不同保护等级的信息系统能满足相应等级的保护要求。满足等级保护要求不意味着各信息系统独立实施保护,而应本着优化资源配置的原则,合理布局,构建纵深防御体系。
――划分了不同等级的系统,就存在如何解决等级系统之间的互连问题,因此必须在总体安全设计中规定相应的安全策略。
⒈总体安全设计方法
总体安全设计并非安全等级保护实施过程中必须的执行过程,对于规模较小、构成内容简单的信息系统,在通过安全需求分析确定了其安全需求后,可以直接进入安全详细设计。对于有一定规模的信息系统,实施总体安全设计过程。总体安全设计可以按以下步骤实施:
⑴局域网内部抽象处理
一个局域网可能由多个不同等级系统构成,无论局域网内部等级系统有多少,可以将等级相同、安全需求类相同、安全策略一致的系统合并为一个安全域,并将其抽象为一个模型要素,可将之称为某级安全域。通过抽象处理后,局域网模型可能是由多个级别的安全域互联构成的模型。
⑵局域网内部安全域之间互联的抽象处理
根据局域网内部的业务流程、数据交换要求、用户访问要求等确定不同级别安全域之间的网络连接要求,从而对安全域边界提出安全策略要求和安全措施要求,以实现对安全域边界的安全保护。
如果任意两个不同级别的子系统之间有业务流程、数据交换要求、用户访问要求等的需要,则认为两个模型要素之间有连接。通过分析和抽象处理后,局域网内部子系统之间互联模型如图1所示。
图1 局域网内部安全域之间互联抽象
⑶局域网之间安全域互联的抽象处理
根据局域网之间的业务流程、数据交换要求、用户访问要求等确定局域网之间通过骨干网/城域网的分隔的同级、或不同级别安全域之间的网络连接要求。
例如,任意两个级别的安全域之间有业务流程、数据交换要求、用户访问要求等的需要,则认为两个局域网的安全域之间有连接。通过分析和抽象处理后,局域网之间安全域互联模型如图2所示。
图2 局域网之间安全域互联的抽象
⑷局域网安全域与外部单位互联的抽象处理
对于与国际互联网或外部机构/单位有连接或数据交换的信息系统,需要分析这种网络的连接要求,并进行模型化处理。例如,任意一个级别的安全域,如果这个安全域与外部机构/单位或国际互联网之间有业务访问、数据交换等的需要,则认为这个级别的安全域与外部机构/单位或国际互联网之间有连接。通过分析和抽象处理后,局域网安全域与外部机构/单位或国际互联网之间互联模型如图3所示。
图3 局域网安全域与外部单位互联的抽象
⑸安全域内部抽象处理
局域网中不同级别的安全域的规模和复杂程度可能不同,但是每个级别的安全域的构成要素基本一致,即由服务器、工作站和连接它们的网络设备构成。为了便于分析和处理,将安全域内部抽象为服务器设备(包括存贮设备)、工作站设备和网络设备这些要素,通过对安全域内部的模型化处理后,对每个安全域内部的关注点将放在服务器设备、工作站设备和网络设备上,通过对不同级别的安全域中的服务器设备、工作站设备和网络设备提出安全策略要求和安全措施要求,实现安全域内部的安全保护。通过抽象处理后,每个安全域模型如图4所示。
图4 安全域内部抽象
⑹形成信息系统抽象模型
通过对信息系统的分析和抽象处理,最终应形成被分析的信息系统的抽象模型。信息系统抽象模型的表达应包括以下内容:单位的不同局域网络如何通过骨干网、城域网互联;每个局域网内最多包含几个不同级别的安全域;局域网内部不同级别的安全域之间如何连接;不同局域网之间的安全域之间如何连接;局域网内部安全域是否与外部机构/单位或国际互联网有互联,等等。
⑺制定总体安全策略
最重要的是制定安全域互连策略,通过限制多点外联、统一出口既可以达到保护重点、优化配置,也体现了纵深防御的策略思想。
⑻关于等级边界进行安全控制的规定
针对信息系统等级化抽象模型,根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求,提出不同级别安全域边界的安全保护策略和安全技术措施。
安全域边界安全保护策略和安全技术措施提出时要考虑边界设备共享的情况,如果不同级别的安全域通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施要满足最高级安全域的等级保护要求。
⑼关于各安全域内部的安全控制要求
提出针对信息系统等级化抽象模型,根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求,提出不同级别安全域内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。
⑽关于等级安全域的管理策略
从全局角度出发,提出单位的总体安全管理框架和总体安全管理策略,对每个等级安全域提出各自的安全管理策略,安全域管理策略继承单位的总体安全策略。
⒉总体安全设计方案大纲
最后形成的总体方案大纲包括以下内容:信息系统概述,单位信息系统安全保护等级状况;各等级信息系统的安全需求,信息系统的安全等级保护模型抽象,总体安全策略,信息系统的边界安全防护策略,信息系统的等级安全域防护策略,信息系统安全管理与安全保障策略。
⒊设计实施方案
实施方案不同于设计方案,实施方案需要根据阶段性的建设目标和建设内容将信息系统安全总体设计方案中要求实现的安全策略、安全技术体系结构、安全措施落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档,使得在信息安全产品采购和安全控制开发阶段具有依据。实施方案过程如下:
⑴结构框架设计
依据实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架,内容包括安全防护的层次、信息安全产品的选择和使用、等级系统安全域的划分、IP地址规划等。
⑵功能要求设计
对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、服务器、网络防病毒、PKI等提出功能指标要求;对需要开发的安全控制组件,提出功能指标要求。
⑶性能要求设计
对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、服务器、网络防病毒、PKI等提出性能指标要求;对需要开发的安全控制组件,提出性能指标要求。
⑷部署方案设计
结合信息系统网络拓扑,以图示的方式给出安全技术实现框架的实现方式,包括信息安全产品或安全组件的部署位置、连接方式、IP地址分配等;对于需对原有网络进行调整的,给出网络调整的图示方案等。
⑸制定安全策略实现计划
依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划。
⑹管理措施实现内容设计
结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
⑺形成系统建设的安全实施方案
最后形成的系统建设的安全实施方案应包含以下内容:系统建设目标和建设内容、技术实现框架、信息安全产品或组件功能及性能、信息安全产品或组件部署;安全策略和配置;配套的安全管理建设内容;工程实施计划;项目投资概算。
三、系统改建实施方案设计
与等级保护工作相关的大部分系统是已建成并投入运行的系统,信息系统的安全建设也已完成,因此信息系统的运营使用单位更关心如何找出现有安全防护与相应等级基本要求的差距,如何根据差距分析来设计系统的改建方案,使其能够指导该系统后期具体的改建工作,逐步达到相应等级系统的保护能力。
⒈确定系统改建的安全需求
第一步,根据信息系统的安全保护等级,参照前述的安全需求分析方法,确定本系统的总的安全需求,包括经过调整的等级保护基本要求和本单位的特殊安全需求。
第二步,由信息系统的运营使用单位自己组织人员或由第三方评估机构采用等级测评方法对信息系统系统安全保护现状与等级保护基本要求进行符合性评估,得到与相应等级要求的差距项。
第三步,针对满足特殊安全需求(包括采用高等级的控制措施和采用其他标准的要求)的安全措施进行符合性评估,得到与满足特殊安全需求的差距项。
⒉差距原因分析
差距项不一定都会作为改建的安全需求,因为存在差距的原因可能有以下几种情况:
一是整体设计方面的问题,即某些差距项的不满足是由于该系统在整体的安全策略(包括技术策略和管理策略)设计上存在问题。例如,网络结构设计不合理,各网络设备在位置的部署上存在问题,导致某些网络安全要求没有正确实现;信息安全的管理策略方向性不明确,导致一些管理要求没有实现。
二是缺乏相应产品实现安全控制要求。由于安全保护要求都是要落在具体产品、组件的安全功能上,通过对产品的正确选择和部署满足相应要求。但在实际中,有些安全要求在系统中并没有落在具体的产品上。产生这种情况的原因是多方面的,其中目前技术的制约可能是最主要的原因。例如,强制访问控制,目前在主流的操作系统和数据库系统上并没有得到很好的实现。
三是产品没有得到正确配置。某些安全要求虽然能够在具体的产品组件上实现,但使用者由于技术能力、安全意识的原因,或出于对系统运行性能影响的考虑等原因,产品没有得到正确的配置,从而使其相关安全功能没有得到发挥。例如,登陆口令复杂度检测没有启用、操作系统的审计功能没有启用等就是经常出现的情况。
以上情况的分析,只是系统在等级化安全保护上出现差距的主要原因,不同系统有其个性特点,产生差距的原因也不尽相同。
⒊分类处理的改建措施
针对差距出现的种种原因,分析如何采取措施来弥补差距。差距产生的原因不同,采用的整改措施也不同,首先可对改建措施进行分类考虑并针对上述三种情况,主要可从以下几方面进行:
针对情况一,系统需重新考虑设计网络拓扑结构,包括安全产品或安全组件的部署位置、连线方式、IP地址分配等。针对安全管理方面的整体策略问题,机构需重新定位安全管理策略、方针,明确机构的信息安全管理工作方向。
针对情况二,将未实现的安全技术要求转化为相关安全产品的功能/性能指标要求,在适当的物理/逻辑位置对安全产品进行部署。
针对情况三,正确配置产品的相关功能,使其发挥作用。
无论是哪种情况,改建措施的实现都需要将具体的安全要求落到实处,也就是说,应确定在哪些系统组件上实现相应等级安全要求的安全功能。
⒋形成改建措施
网络信息安全技术措施范文第5篇
关键词:信息安全技术;三网融合环境
前言
所谓的“三网融合”,就是将计算机网络技术、电信网、有线电视网经过技术改造之后,向用户提供音频、视频、数据等信息的综合多媒体通信业务。中国的信息环境因三网融合而发生了改变,不仅新的信息传播渠道不断地被开发出来,而且信息传播成本也不断地降低。人们在享受丰富的信息资源的同时,也需要面临信息安全隐患所引发的各种风险。比如,互联网技术的普及,用户群不断扩大。一些不良用户会利用网络信息的共享性传播恶意信息,甚至在计算机网络上传播病毒,导致其他用户的切身利益受到损害。要使三网融合的优势得以充分发挥的同时,还要应用信息安全技术,以提高信息质量。
1关于“三网融合”的理解
传统的网络是广播电视网、电信网和计算机网络之间相互独立。三网融合是将广播电视网、电信网和计算机网络建立关联性,使三种网络技术实现了融合。三种网络技术不仅实现了信息共享,而且相互之间还进行了技术渗透,特别是进入到应用层面,使得各种形式的信息互通,对中国的信息化发展起到了重要的推动作用。按照中国《三网融合推广方案》,对三网融合哟实现的目标进一步明确,即所谓的“三网融合”并不是简单的物理技术层面的融合,而是在网络技术的应用上能够相互融合,特别是在业务领域中,三种技术相互渗透,使得传统的网络格局被打破,广播电视网、电信网和计算机网络在业务领域实现无缝融合[1]。比如,网络用户使用智能手机,不仅能上网,而且可以观看电视;用户在看电视的时候,还可以在电视上上网或者打电话;用户可以在电脑上看电视节目,也可以打电话。三网融合环境中,信息不断传播而且传播范围进一步扩大,使得通信网络统一化管理、一体化运行,信息传播效率有所提高。原有的单一化网络信息服务多元化发展,构成了多媒体为了环境,各项业务综合化,由此使得网络运行成本降低,网络资源得以高效利用。另外,三网融后合之后,还会产生各种新的业务,业务范围拓宽,从而是用户的各项需求得到了满足,信息传播过程中会获得更高的利润。网络运营商之前原有的恶性竞争转变为合作式的的竞争[2]。随着三网充分融合,就需要网络运行更为安全顺畅,要保证信息不会遭到损坏,就需要做好信息安全管理工作,以实现三网融合的预期目标。这也意味着,三网融合之后,对信息安全技术的要求更高,促进信息安全体系的完善是非常必要的,以将网络安全威胁消除,净化网络环境。
2三网融合环境中信息安全技术经验
三网融合环境下,信息安全技术成为需要重点研究的问题。信息安全技术管理中,所涉及的事务多,管理中还涉及到多项专项事务。要确保信息安全,就要将三网融合的技术保障体系构建起来,将现有的技术整合、优化,使信息安全技术水平得以提升。
2.1三网融合环境下要强化信息安全技术的研究工作
对信息技术实施安全管理,离不开高端专业技术的应用。要确保信息产业安全稳定地运行,就要基于信息技术将安全屏障建立起来,可以更好地控制信息产业稳定发展。特别是三网融合环境中所构建的虚拟社会,在投入信息技术的同时,还要实施必要的安全保障,包括计算机操作系统、安全芯片、信息技术软件以及移动终端产品等等,都要给予必要的安全保障,形成自主知识产权产品,同时还要从应用实践的角度将安全管理制度制定出来,确保三网融合规范运行[3]。特别是涉及到三网融合的各种安全技术,要采用研发的方式攻克难关,并对研发产品实施产业化发展,以从基层安全技术产品开始逐步升级,到核心安全技术环节实现技术的更新换代,促使三网环境下的信息得到有效管理。此外,为了确保三网融合下信息安全运行,还要将安全风险评估体现构建起来,以将网络风险因素量化为指标,对网络安全运行状况进行评估,以塑造良好的网络运行环境。对网络信息要做好专项检查工作,将安全管理策略制定出来,并针对网络运行中所存在的问题提出解决措施。同时,还要做好网络发展规划,将适合于三网融合环境的信息安全管理框架制定处理,以在框架下开展业务,确保网络信息安全。
2.2构建三网融合环境下的网络信息体系
中国目前正大力推进信息化建设,倡导改革行业实施“互联网+”战略,以将互联网技术充分地利用起来。将网络信息体系构建起来,就是要在三网融合环境下促进网络技术的融合,基于此在行业应用领域中对互联网技术有效应用。网络信息体系不仅诉诸到技术层面,更多的强调了道德层面,要通过强化网络管理提高网络诚信。在网络信息体系中,各种信息浏览记录都能够体现个人的信息应用情况,特别是密码技术的应用,就需要制定管理制度,并在法律的层面上予以约束,所有的技术工作都要基于网络设备和网络技术展开。面对网络信息不对称的现象,还要在信息体系运行中做好授权管理工作,认定承担责任的主题,还要做好身份认证,以对网络信息实施安全管理。提高网络信息体系的诚信度,就是要使用户在共享网络信息的同时,还要明确用户的真实身份。特别是在三网融合环境下,要求用户的身份要真实、而客观,对用户在网络上的各种行为要实时跟踪并做好监督管理工作。在授权管理中,要对身份认证严格管理,做好用户对信息的访问控制工作。在管理网络用户的时候,要合理利用网络信息,在提高信息使用效率的同时,还要对网络信息实施必要的保护,以避免信息丢失、滥用等等问题[4]。通过对网络基础设施的授权管理,做好责任认定工作,就需要配套使用相应的管理措施,包括调查和审定网络行为,对网络不当行为进行取证、保留调查信息,对信息进行判定等等。对于网络不良行为的肇事者,要按照规定的操作规程追究责任,以对用户的网络行为从法律的层面予以约束,以提高网络运行质量。
2.3三网融合环境下要避免安全隐患的扩散
三网融合环境下,信息量大而且传播速度快,一些安全隐患会伴随着信息快速扩散。这就需要加大监督力度,并将监督管理体系构建起来,从技术的层面和法律的层面入手对各种安全威胁采取防控措施。在网络系统中要将防火墙构建起来,行政监管、专业技术和法律规范等等整合,以提高网络信息安全系数[5]。这就需要开展网络安全技术培训工作,普及网络安全知识,将网络安全体系构建起来。另外,还要构建监督管理机构,对网络上传播的信息进行严格监管,并采取技术保障措施,以提高网络信息传播质量。
3结语
综上所述,信息化技术环境下,三网融合成为一种必然,对中国信息化建设起到了重要的推动作用。三网融合环境下提高信息安全度属于是系统化工程。特别是对于网络运行中所存在的各种安全隐患,要具有针对性地采取有效对策,确保网络安全稳定地运行。
参考文献:
[1]王宏宇,陈冬梅,王兴国.一种三网融合下的网络社会信息安全保障策略[J].信息安全与技术,2013.
[2]刘晨鸣,叶志强,刘伟东.三网融合背景下广电网络信息安全政策及技术措施思考[A].中国电子学会有线电视综合信息技术分会,2015.
[3]李小兰,刘晨鸣,叶志强.三网融合背景下广电网络信息安全问题分析与建议[J].广播与电视技术,2014.
[4]曾小丽,王宏宇,陈冬梅,王兴.三网融合环境中信息安全技术的经验分析[J].无线互联科技,2015.
