前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全调查报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
根据市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[2010]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下:
一、自查情况
(一)安全制度落实情况
1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、计算机都设有开机密码,由专人保管负责。同时,计算机相互共享之间没有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
4、安装了针对移动存储设备的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。
2、坚持和计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的wps系统。
3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。
(五)安全教育培训情况
1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。
2、安全小组组织了一次对基本的信息安全常识的学习活动。
二、自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
根据BSA|软件联盟的一项调查显示,全球范围内,每7分钟就有一家企业遭到恶意攻击。而根据普华永道的一项调查,2015年在中国内地和香港企业监测到的信息安全事件比2014年上升了5倍之多。仅在2015年,网络攻击给全球经济造成损失超过4000亿美元,同时,超过4910亿美元用于解决与非授权软件相关的恶意软件问题;全球31%的高管表示他们的品牌或声誉因为安全事件而受到损害。而在这些触目惊心的数字中,金融等关键行业更是重点攻击和侵扰目标。
软件资产管理(SAM):超互联时代信息安全的重要防线
超互联环境下,信息安全建设是一个巨大的系统工程,需要整体调研、布局、部署、实施与维护,步步为营,方能将威胁与漏洞拒之于外。而在这个巨大的系统工程中,软件资产管理(SAM)占据着极其重要地位。
但实际上,不少企业并没有高度重视这自我检查和管理的过程,导致企业信息系统面临病毒和网络攻击等各种安全隐患。据BSA|软件联盟今年5月的一个软件调查报告显示,在全球所有已经安装的软件当中,39%的软件没有经过授权,而在金融、证券、保险等关键行业中,高达25%的软件未经过授权;全球49%的CIO意识到安全威胁来自于未经许可的软件,但是仅35%的企业制定了相关的书面政策。
对于金融证券业来说,如果不能合理有效的管理软件资产,不能确保网络中运行的软件100%合法或已经得到充分授权,无疑于是“引狼入室”般的行为――虽然金融证券业的正版软件使用率一直领先于各行业,但25%的缺漏仍是让人触目惊心:这25%的背后更代表着软件资产管理的巨大缺失与不足。当企业无法对与自身核心业务水融的软件资产实现100%正版化时,这说明企业未能完全了解自身所面临的各种安全风险,更未从软件的采购、授权、部署、维护到回收的全生命周期管理着手,未雨绸缪,未能将这种风险防范于未然。
如何筑就网络安全的重要防线
一般来说,仅需四步即可初步创建一个有效的软件资产管理体系:
首先,需要对企业现有软件资产进行审计,对所有的软件及其合法性了然在胸,并确认这些软件是否应该安装,所有用户是否都拥有适当许可。
第二步即是确定企业需要什么样的软件资产,这是对未来软件资产布局的一个瞻望与部署。在了解企业已拥有什么样的软件资产之后,需要预测未来的需求,从这样的执行步骤中,或能发现可能的成本节约途径,并更好地利用软件许可协议中的维护条款。
第三步是制定健全的软件政策和管理流程,涵盖企业的IT前沿与核心部分,从采购流程开始,管理软件资产的全生命周期。
而最后一步则是让软件资产管理成为企业的一个工作流程,必须监控并确保企业始终遵守自己的软件政策,并对员工开展持续的培训。
中小企业数量和信息化的程度越高,尾巴就越长;针对中小企业的攻击越多,尾巴的厚度也就越大。
简单来讲,安全中的长尾现象是由信息安全攻守双方的交错制衡而产生的,具体表现有两个:安全风险长尾和安全市场长尾。
安全风险长尾
2011年工信部的《“十二五”中小企业的成长规划》中表明,到2010年末我国的中小企业数量是1100万家,如果再加上个体工商户,总共会达到4500万家,这些中小企业在国家的国民生产总值,包括就业岗位累计起来已经超过了大型企业。另据CNNIC的调查报告,中小企业使用计算机的比例在90%以上,使用互联网的比例在85%以上。而这些中小企业目前的信息安全防范手段非常薄弱。国内曾经有一家公司做过调查,问中小企业安装企业级杀毒软件的比例有多少?调查结果是只有20%的中小企业用了企业级的杀毒软件。而企业杀毒软件仅仅是企业安全防御最基本的一种,由此可见国内中小企业的安全防范水平非常低下,导致了广泛存在的安全风险。
简单讲,中小企业面临的风险有三种:第一、显性风险,指安全问题会导致这个企业发生的直接损失,包括经济损失、名誉受损等。第二、隐性风险,指由于产业链条上不同企业具有的安全问题给链条之上其它企业带来的安全风险。第三、社会风险,是指由于中小企业自身的计算机等设备被黑客控制后可能对社会造成的潜在风险。如果我们按照风险大小作为纵轴,将企业按照规模大小排列在横轴上,因为在中国的中小企业数量非常巨大,所以横轴就会非常长,并且形成了一个风险的长尾。中小企业数量和信息化的程度越高,尾巴就越长;针对中小企业的攻击越多,尾巴的厚度也就越大,而这些就是目前的趋势。我们有理由相信,位于长尾部分的中小企业的安全风险随着目前这种趋势会越来越大,甚至累加起来的总和会超过大型企业的累积风险。如果针对这部分安全风险长尾我们没有进行适当的控制,它对我们整个国家的社会环境和经济环境就可能会造成直接影响。
2011年CNCERT中国网络安全状况报告,表示经抽样调查发现在中国网络中有890万台计算机是僵尸计算机,就是已经被人恶意控制了。2012年,CDN厂商Akamai全球互联网状况分析报告,表示全球网络攻击来源地区第一名是中国。来源于中国的攻击未必是中国人在背后操控,但是这样会给人一种印象,认为中国的互联网环境是不安全的。
安全市场长尾
既然中小企业数量这么大、风险这么高,那么为什么他们没有实现有效的信息安全防护呢?其主要原因非常简单,第一是没有钱,第二是没有人。即使企业规模很小,按照传统的建设方式,企业也往往要一次性投入几万、几十万才可能建立相对完备的信息安全体系。此外,信息安全维护需要紧跟安全威胁的趋势,但是中小企业很难有合适的安全技术人才对这些安全产品进行维护。中小企业自身没有条件,那么安全厂商为什么不把这个目标瞄准这几千万家中小企业这个非常巨大的市场呢?作为一个安全厂商或安全集成商,给企业提供安全的产品和服务是有成本曲线的,包括推广成本、销售成本、运营成本。这些成本不随着中小企业服务对象规模的缩小而降低为零,这个成本是相对固定的,而且在一定程度下会超过目标企业的预算。成本曲线和企业的预算曲线有一个交叉点,这个交叉点右侧这部分对于安全从业者来讲就无利可图了。
下面,我们分析为什么我们可以利用云安全服务这种新兴的安全建设方式来解决这个问题,将众多中小企业原来由于成本问题而制约的需求释放出来,形成一个新的安全长尾市场。首先从用户投资角度分析,他们只需要按需租用云安全服务,而且可以根据公司规模进行弹性地租用。从用户维护来讲,是不需要企业客户来费心的,基本所有维护都是由云安全服务商进行,这样,困扰中小企业的钱和人的问题就解决了。从云安全服务商来讲,采用SaaS这种模式的安全服务非常类似于互联网产品,它的渠道建设、销售、服务等都可以采用在线的方式,因此成本曲线会下降,从而降低到了中小企业客户可以承担的程度,这样就形成了一个巨大的新的安全市场。
目前越来越多的安全厂商和服务商开始在云安全服务市场发力。McAfee在全球联合很多运营商和服务合作伙伴企业提供多种类型的云安全服务,在这个领域具有超过十年的经验,在中国也联合国内的合作伙伴落地了部分云安全服务。之前数月内,中国电信安全服务中心了网站保护“安全云服务”,进入了这个广阔的市场。安全行业先驱、原Netscreen创始人邓峰先生投资了云安全服务企业安全宝,为这个市场添加了浓墨重彩的一笔。
关键词:云;云计算;云安全
中图分类号:TP393.01
自2006年谷歌公司提出云、云计算概念、理论及推出的“云计划”,世界上各大IT公司陆续推出自己的“云计划”。由于云计算,以其低成本 、高度自动化、无限存储扩展性、高度灵活性、无需基建投资等等的巨大优势,迅速成为IT行业发展的方向,并成为各国最优先发展的技术之一。随着云计算技术的发展,各种云计算应用,诸如:云办公、云安全、云存储、云打印、云通讯等等相继推出。特别是在大众消费电子、信息技术产品上诸如:“云手机”、“云电视”、“云杀毒”、“云游戏”……各种“云概念”产品和服务急剧增加,似乎世界一下进入到“云计算时代”。
然而,在人们享用云计算的好处的同时,云的安全和风险日益成为阻碍云计算发展的现实问题。也就是说,云安全日益成为阻碍云计算产业发展的瓶颈。进而影响到整个信息产业的发展。
1 在我们探讨云安全之前,我们先来了解下,什么是云?什么是云计算?
云,这个概念由谷歌公司提出。因其无边的扩展性而形象的取名。实际上,云指的是一些可以自我维护和管理的虚拟计算资源,通常为一些大型服务器集群,包括计算服务器、存储服务器、宽带资源等等。
云计算,也由谷歌公司提出。是将所有的计算资源(云)集中起来,并由软件实现自动管理。是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。具体说,是指建立功能强大的数据中心,用户最大程度简化个人客户端,接入数据中心进行存储和运算。就像过去打井取水,现在则从自来水公司购买水喝。简单说,云计算,就是非本地计算。
对于用户而言,云安全问题的解决是关系到云服务能否得到认可的关键因素。对于云计算的应用而言,云安全也是云计算应用的主要障碍之一。比如:计算资源的系统发生故障,缺乏统一的安全标准、安全法规,以及隐私保护、数据属权、迁移、传输、安全、灾备等问题如何有效的解决。
2 目前,云安全主要体现在用户数据的隐私保护和传统互联网、硬件设备的安全这两方面
(1)用户数据的隐私保护。在云计算出来之前,用户信息存储于自己的电脑中,是受法律保护的,任何人不经许可是不能查看、使用这些信息的。
但是当用户信息成为云计算的资源储存在云上时,任何人使用这些信息,导致隐私泄漏,尚没有法律依据如何进行处罚。
另外云服务提供商对登记注册管理不严格,也极有可能造成不良分子注册成功并对云服务进行攻击,造成云的滥用、恶用以及对云服务的破坏。
(2)互联网、硬件设备的安全。云中可能存在不安全的接口和API,且用户数据集中在此,更容易受到黑客攻击和病毒感染。当遇到重大事故时,云系统将可能面临崩溃的危险。
2.1 那么如何才能实现云安全?
必须解决以下几个问题:首先,健全法律法规,保障云计算用户象相信银行一样,相信云服务提供商,树立云服务提供商的公信力,使用户象在银行存钱一样,把数据存在云服务提供商那里。其次,保障不同用户之间相互隔离,互不影响,防治用户“串门”。第三,租用第三方的云平台,必须考虑解决云服务提供商管理人员权限的问题。第四,传统互联网服务为避免单点故障,使用了双机备份:主服务器停止服务,备用服务器随即启动提供服务。但是在云环境下,一旦云服务提供商的服务停止了,将会影响到一大片用户,其损失很可能是巨大的。因此必须解决云服务突然终止所带来的风险问题。
2.2 那么如何实施应用具体的云安全技术解决云安全问题?
云中数据安全:目前,云中数据安全防护技术主要有:增强加密技术、密钥管理、数据隔离、数据残留等,用这些技术来解决用户数据在云端计算、存储及数据的归属权、管理权相分离,带来的数据安全问题。
云计算的虚拟化安全:云计算的特征之一是虚拟化。虚拟化的安全直接关系到云计算的安全。虚拟化技术虽然加强了基础设施、软件平台、业务系统的扩展能力,但却使传统物理安全边界逐渐缺失,使基于以往的安全域/安全边界的防护机制不能满足虚拟化环境下的多租户应用模式。
云环境中存在着虚拟化软件安全和虚拟服务器安全两方面问题。虚拟环境中的安全机制与传统物理环境中的安全措施相比,仍有差距。因此,在云计算环境下,用户需要了解用户及云服务提供商双方所要承担的安全责任,只有用户与云服务提供商共同承担安全责任,才能保证云计算环境的安全。
云终端的安全:目前可以从云终端的基础设施、硬件芯片可信技术、操作系统安全机制、应用安全更新机制等四个方面进行云终端安全防护。
云计算的应用安全:由于云环境的灵活性、开放性以及公众可用性等特性,给应用安全带来很大挑战。云服务提供商在部署应用程序时应当充分考虑可能引发的安全风险。对于使用云服务的用户而言,应提高安全意识,采取必要措施,保证云终端的安全。如用户在处理敏感数据的应用程序与服务器之间通信时采用加密技术。用户应建立定期更新机制,及时为使用云服务的应用打补丁或更新版本。
云计算产业发展的核心是服务,因此,为保证云计算服务的可靠性、易用性、可操作性、安全性和稳定性,必须在数据迁移、备份、加密以及位置控制方面深入探索、研究。同时,要不断完善云计算相关的法律法规,让用户象在银行存钱那样对使用云计算有信心。但无可否认,除了不断探索、研究、推广成熟的云计算安全技术之外,用户的自我防护意识也需要加强。
当然,在相关云计算技术和标准尚未成熟的今天。若想解决云计算的安全问题,需要政府大力支持和业界的广泛联合,组成一个完整的生态系统,共同实现云计算的安全。
附录一:《2010中国云计算调查报告》关于云安全在中国应用状况调查的主要结论:
(1)针对云安全的三种说法,都有相当的用户认可(三种提法:1、云安全是利用云计算技术提升信息安全;2、云安全是安全即服务;3、云安全是解决云计算技术本身安全的问题)。
(2)在安全即服务厂商认知度调查中,奇虎360、瑞星、卡巴斯基等厂商表现较突出。
(3)企业用户对数据安全与隐私关注度最高。
(4)不同规模企业对于云杀毒的价值订可度存在差异。
(5)用户对云安全的发展趋势持乐观态度。
附录二:《2012年中国云计算安全调查报告》调查结果:
(1)在云计算部署模型中,企业认为私有云是最安全的,其次为基础设施即服务(IaaS),平台即服务(PaaS)位居第三。
(2)在云计算部署模型中,企业认为软件即服务(SaaS)是最不安全的,其次为混合式(有的是内部管理资源,有的是来自于IaaS/PaaS/SaaS厂商)。
(3)企业表示永远不会迁移到云端的特殊类型数据依次为信用卡数据、商业或者合作伙伴的财务数据和客户身份信息。
(4)对于云计算/云服务,企业最关心的三个主要的安全问题是账户劫持、云数据访问以及特定云攻击/威胁(非目标性的)。
参考文献:
[1]薄明霞.浅谈云计算的安全隐患及防护策略[J].信息安全与技术,2011,9.
[2]TechTarget中国.2012年中国云计算安全调查报告.
[3]盛拓-SEQUEL[J].云计算在中国的应用,2010-9.
2013年中国网民遇到的各种安全问题的整体发生率如图1所示。与2012年相比,2013年个人信息泄漏的比例有大幅的上升。从上图也可看出,虽然个人信息泄漏被作为一个单独项进行统计,但排在前三位的安全事件也是由个人信息的泄漏造成的。所以,综合来看,个人的信息泄漏事件不容小觑。在这些事件的背后我们看到的是人员信息安全意识的缺失,企业信息安全管理的不足。为了帮助企业和个人提高信息安全意识水平,2012年底某IT企业了《2012年度中国企业员工信息安全意识调查报告》,经过对被调查企业的管理层人员及普通员工的大量数据分析和统计,参与本次接受调查访问者的信息安全意识评价平均得分为77.48分。其中,受访者在移动存储介质安全方面的得分最高,为96.1分;在社会工程学信息安全方面的得分最低,为49.6分。因此,中国企业的信息安全意识依然有较大的提升空间。很多企业为保障企业数据信息安全,不惜花巨资投资购进防火墙、入侵检测、防病毒等网络安全产品。然而,企业内的安全事件远比管理者的预想更为复杂、更为宽泛,人员的误操作或无作为也会使这些工具失去其应有的作用。只有提高人员的安全意识和技能,才能真正使企业的信息安全设备发挥应有的作用。
2目前企业人员的信息安全管理主要存在的问题
(1)全体工作人员的信息安全意识不高;
(2)信息安全专业人员数量较少,工作流程不清晰;
(3)信息安全岗位职责划分模糊;
(4)管理层不重视;
(5)信息安全管理工作缺乏有效的考核和监管机制。上述几个问题看似不会影响正常的企业运作,但长期持续则会给企业的信息安全带来巨大的隐患,存在较高的风险。有调查显示,企业的信息泄漏事件70%-80%都由内部人员造成。对于一些关系国计民生的企业,如电力、通信等,企业的信息一旦泄漏,将会产生巨大的社会影响,同时也会给企业造成巨大的损失。但是我们仍然可以通过对知悉或掌握企业核心资产和数据的人员加强信息安全管理与监督,来提高信息安全整体水平。
3加强人员信息安全管理的具体措施
对于企业人员的安全管理措施有很多,国内外的相关标准中都有相应的描述,如《萨班斯法案》《信息安全技术信息系统安全管理要求》ISO27000系列等,不同的标准要求亦有不同,但总体来说不外乎以下几点。
(1)加强人员的信息安全保密意识与责任。任何企业的信息安全与保密都离不开人,信息安全每个步骤的操作与执行都是由人来完成与实现的。如果企业内相关人员的信息安全与保密意识薄弱,不小心造成某些敏感信息泄露,则比其他安全不足问题导致的损失更大。因此必须要不断对相关岗位人员的信息安全意识、责任和职业道德进行培训、指导与监督。
(2)管理层重视。企业人员的信息安全管理是管理层的职责,所有的措施和方法都需要得到管理层的支持才能实施,否则再完美的方法也是毫无意义的。随着各类信息安全事件的曝光,信息泄漏事件的频发,特别是国家推行信息系统的等级保护政策以后,越来越多的管理层开始重视信息安全问题。
(3)明确本单位的核心信息安全资产。我们要对企业的核心信息安全资产加强保护,即主要是对企业内部最核心的信息资产进行有效的保护,这对企业的信息安全尤为重要且非常有效。任何一个企业的资源都有限,信息安全工作相对于业务工作的投入来说一定较小一些,因此对核心的信息资产保护才是企业真正关心的内容和工作。核心信息资产主要指价值比较高,一旦泄露可能会对企业造成比较大损失的资产,如企业的重要或敏感数据、存有重要敏感数据的纸质和电子类的载体等企业的核心资产。明确核心资产信息安全也是对人员进行职责划分的基础。
(4)清楚划分人员职责,严格进行权限分离。人员职责和权限对应组织的信息资产,一定程度上也决定了该人员在组织中的安全地位,职责不明确往往导致人员的无作为或误操作,很多的信息安全隐患无法消除。如果明确了单位的核心资产,而人员的职责划分不清晰,那也等于是无用功。很多单位由于信息安全人员数量有限,存在一人多岗的情况,很多核心的敏感的信息或功能掌握在一个人的手中,这就使得某个人或某几个人的权限过大,导致内部舞弊的风险增加。因此,首先要明确本单位需要设置的信息技术类岗位,并设置相应的人员,确保人员的配备遵循三权分离的原则,敏感的功能或较高的权限不能放在一个人手上,关键性的操作甚至需要多人同时在场,只有这样才能最大限度地避免人员的内部舞弊。
(5)严格选拔新进人员,考核在岗人员,审查离岗人员。选拔人员是人员信息安全管理的第一步,对人员进行严格的背景审查和技能考核是保障企业信息安全人员执业技能和职业道德的重要措施。重要敏感岗位的人员应尽量从内部进行选拔,避免直接任用外聘的人员;对于在岗的信息安全人员应定期进行考核和检查,保证所有的工作都按正常的操作规程执行,避免简化流程的事情发生;对于离岗的人员应与之签订相关的协议说明,并立即更换其所掌握的关键认证信息,避免由于人员的流失导致信息的泄漏。
(6)建立信息安全管理工作的日常监管和考核机制。信息安全管理执行的主体是人,人的操作难免会有失误或不当的地方,这些都是信息安全的风险隐患。所以应对人员的日常工作需建立考核和监管机制,对人员的日常安全管理工作进行监督并提前发现潜在风险,及时消除隐患,降低由于人员操作不当或恶意操作带来的信息安全风险。
4结语