网络安全等级保护管理办法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全等级保护管理办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全等级保护管理办法范文第1篇
一、国家等级保护标准
我国的信息安全等级保护工作起步于20世纪90年代,随后相继颁布了多个等级保护标准,具体可分为基础性标准、定级标准、建设标准、测评类标准和管理类标准。基础性标准包括《计算机信息系统安全等级保护划分准则》(GB17859-1999)、《信息系统安全等级保护实施指南》(GB25058-2010)以及《信息安全等级保护管理办法》(公通字[2007]43号)等;定级标准有《信息系统安全等级保护定级指南》(GB/T22240-2008)等;建设标准包括《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息系统通用安全技术要求》(GB/T20271-2006)以及《信息系统等级保护安全设计技术要求》(GB/T25070-2010)等;测评类标准主要有《信息系统安全等级保护测评要求》(GB/T28448-2012)和《信息系统安全等级保护测评过程指南》(GB/T28449-2012)等;管理类标准主要有《信息系统安全管理要求》(GB/T20269-2006)以及《信息系统安全工程管理要求》(GB/T20282-2006)等。针对单位的普通信息安全工作人员而言,涉及较多的标准主要有定级标准《信息系统安全等级保护定级指南》(GB/T22240-2008)与建设标准《信息系统安全等级保护基本要求》(GB/T22239-2008)等。《信息系统安全等级保护定级指南》主要用于指导信息系统的等级划分和评定,将信息系统安全保护等级划分为5级,定级要素有两个:等级保护对象受到破坏时所侵害的客体以及客体受到侵害程度。定级要素与信息系统安全保护等级的关系见表1。由表1可知,三级及以上系统受到侵害时可能会影响国家安全,而一级、二级系统受到侵害时只会对社会秩序或者个人权益产生影响。在实际系统定级过程中,要从系统的信息安全和服务连续性两个维度分别定级,最后按就高原则给系统进行定级。《信息系统安全等级保护基本要求》是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类等级保护基本要求共有10个部分,技术要求和管理要求各占5个部分。其中,技术类安全要求又细分三个类型。信息安全类(S类):为保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求。服务保证类(A类):保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求。通用安全保护类要求(G类):既考虑信息安全类,又考虑服务保障类,最后选择就高原则。
二、金融行业信息安全等级保护标准及必要性分析
1.行业标准金融行业作为信息化行业的一个重要组成部分,金融行业信息系统安全直接关系到国家安全、社会稳定以及公民的利益等。为落实国家对金融行业信息系统信息安全等级保护相关工作要求,加强金融行业信息安全管理和技术风险防范,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展,中国人民银行针对金融行业的信息安全问题,在2012年了三项行业标准:《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》。2.必要性分析网络安全法明确规定国家实行网络安全等级保护制度,开展等级保护工作是满足国家法律法规的合规需求。金融行业开展信息安全等级保护工作的必要性有以下3点。(1)理清安全等级,实现分级保护金融行业各类业务系统众多,系统用途和服务对象差异性大,依据等级保护根据系统可用性和数据重要性开展分级的定级要求,可以有效梳理和分析现有的信息系统,识别出重要的信息系统,将不同系统按照不同重要等级进行分级,按照等级开展适当的安全防护,有效保证了有限资源充分发挥作用。(2)明确保护标准,实现规范保护金融行业信息系统等级保护标准有效解决了金融行业信息系统保护无标准可依的问题。在信息系统全生命周期中注重落实等级保护相关标准和规范要求,在信息系统需求、信息系统建设和信息系统维护阶段参照、依据等级保护的标准和要求,基本实现信息系统安全技术措施的同步规划、同步建设、同步使用,从而保证重要的信息系统能够抵御网络攻击而不造成重大损失或影响。(3)定期开展测评,实现有效保护按照等级保护要求,每年对三级以上信息系统开展测评工作,使得重要信息系统能够对系统的安全性实现定期回顾、有效评估,从整体上有效发现信息系统存在的安全问题。通过每年开展等级保护测评工作,持续优化金融行业重要信息系统安全防护措施,有效提高了重要信息系统的安全保障能力,加强了信息系统的安全管理水平,保障信息系统的安全稳定运行以及对外业务服务的正常开展。
三、网络安全法作用下标准的发展
随着等保制度上升为法律层面、等保的重要性不断增加、等保对象也在扩展以及等保的体系也在不断升级,等级保护的发展已经进入到了2.0时代。为了配合网络安全法的出台和实施,满足行业部门、企事业单位、安全厂商开展云计算、大数据、物联网、移动互联等新技术、新应用环境下等级保护工作需求,公安部网络安全保卫局组织对原有的等保系列标准进行修订,主要从三个方面进行了修订:标准的名称、标准的结构以及标准的内容。1.标准名称的变化为了与网络安全法提出的“网络安全等级保护制度”保持一致性,等级保护标准由原来的“信息系统安全等级”修改为“网络安全等级”。例如:《信息系统安全等级保护基本要求》修改为《网络安全等级保护基本要求》,《信息系统安全等级保护定级指南》修改为《网络安全等级保护定级指南》等。2.标准结构的变化为了适应云计算、物联网、大数据等新技术、新应用情况下网络安全等级保护工作的开展,等级保护基本要求标准、等级保护测评要求标准的结构均由原来的一部分变为六部分组成,分别为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求与大数据安全扩展要求。3.标准内容的变化各级技术要求分类和管理要求的分类都发生了变化。其中,技术要求“从面到点”提出安全要求,对机房设施、通信网络、业务应用等提出了要求;管理要求“从元素到活动”,提出了管理必不可少的制度、机构和人员三要素,同时也提出了建设过程和运维过程中的安全活动要求。
网络安全等级保护管理办法范文第2篇
根据州综合行政执法局《关于开展网络安全自查自检工作的通知》的要求,积极安排部署,结合检查内容及相关要求,成立专门的领导小组,由局长任组长、下设办公室,做到分工明确,责任到人,对局所有的计算机及网络安全情况进行自查,确保网络安全自查工作顺利实施。
二、网络安全等级保护工作开展情况
按照县级网络安全主管部门的工作要求将网络安全保护工作纳入日常工作中,要求网络安全负责人员以高度的责任感负责日常网络安全检查工作,任何个人不得在办公电脑上使用违反网络安全的软件,一旦发现将交由相关部门处理。但是暂未将网络安全等级保护纳入年度考核,行业网络安全工作经费未纳入年度预算。
三、关键信息基础设施安全保护工作开展情况
因单位新成立,目前正建立健全单位的基本规章制度,关于行业信息基础设施安全保护工作方面的行业标准规范、基础设施认定规则、保障机制将会纳入下一步的工作计划当中,尽快建立健全基础设施保护机制。
四、网络与信息安全信息通报工作开展情况
网络安全作为当前比较具有危险性的工作,加强网络安全检测是一项非常重要的工作,局长作为第一责任将会定期检查单位日常网络使用情况,以有则改之,无则加勉的态度要求网络使用者提高网络使用的警惕性,局办公室将会根据网络安全使用的情况进行通报批评,个人根据自己的出现的问题进行检讨,不断提高网络使用者的网络安全意识。
五、网络安全防护类平台建设工作开展情况
由于单位的能力和水平还未建设网络安全防护类平台建设。
六、当前网络安全方面存在的突出问题
(一)网络安全基础设施保护不规范。经自查发现:未制定出台关键信息基础设施保护行业规范,未建立关键信息基础设施安全保障机制,对本单位信息基础设施安全保护工作自查意识不强。
(二)网络安全制度不健全。自查发现:未制定网络安全考评、本行业网络安全与信息安全通报、未出台网络安全保护政策、管理办法、管理规定等规范性文件。
网络安全等级保护管理办法范文第3篇
该文对供水企业信息集成系统安全进行分析,并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析,然后研究了在“自主定级,自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案,最终实现供水企业信息集成系统的信息安全防护。
关键词:
供水企业信息集成系统;等级保护;信息安全
供水行业对国计民生很重要的一个行业,供水企业的业务性质要求以信息的整体化为基本立足点,集中管理所有涉及运营的相关数据,针对供水企业运行的特殊要求,进行集中的规划和架构,将不同专业的应用系统进行整合,最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。
随着大数据时代的到来,网格、分布式计算、云计算、物联网等新技术相继推出,对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展,应用中存在着大量的安全隐患,网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告,截至2014年12月,网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升,计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告,2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年,搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月,某域名服务商的域名解析服务器发生了网络黑客的集中式攻击,造成在其公司注册的13%的网站无法访问,时间长达17个小时,经济损失不可估量。因此,从信息安全的角度,要对供水企业信息集成系统进行防护,降低信息安全事故的发生的概率,降低其危害,是本文需要研究的内容。
1当前供水企业信息集成系统安全防护的现状和存在的问题
伴随着科技的不断发展,供水企业的信息化建设也得到了很大的发展,主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问,存在大量的安全隐患。目前,威胁到供水企业信息安全的风险因素主要分为三个大类:1)人为原因,如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2)数据存储位置位置的风险。可能由自然灾害引发的问题,缺乏数据备份和恢复能力。3)不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。
2有关分级防护的要求
尤其是供水企业信息集成系统中,存在大量涉及公民个人隐私的信息,也存在像生产调度这样涉及国计民生的信息。因此,需要按照国家有关信息安全的法律法规,明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》(公通字[2007]43号)第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》(GB/T22240—2008)实施,根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别严重损害。
3分别防护实施步骤
根据有关法律法规,建设完成并投入使用的信息系统,其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示:通常情况下,供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果,有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容:细化各业务系统服务器的物理位置;按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际,主要有等级包括三个业务区域,以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器,而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务,不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。
依据表1的测评结果,将安全区域进行细化表2所示的就是企业管理信息区,其主要业务系统对安全区域存放问题的展示。根据表2得到的结果,可以将信息安全设备存放在不同信息区域边界内,以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界,也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议,供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内,如此可以初步实现对供水企业管理信息区的信息安全防护。
4结束语
随着大数据的发展,对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求,也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下,还需要加强信息审计,及时发现和补救系统缺陷,加强数据库安全防护,维护管理系统的隐患。
参考文献:
[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).
网络安全等级保护管理办法范文第4篇
在成功举办前六届中国国际计算机信息系统安全展览会的基础上,今年为配合新颁布的《国家信息安全等级保护管理办法(试行)》的实施,第七届中国国际计算机网络和信息安全展览会全面深入把握当前信息及网络安全发展动态,广泛展示最具代表性的信息及网络安全产品及技术,为展商和观众提供全面信息安全咨询及解决方案等最新资讯。此次展会展品涉及互联网安全、电子政务安全、虚拟专用网、公共密钥基础设施、证书中心、入侵监测系统、网络安全与管理、计算机安全、计算机取证、通讯安全、数据储存/备份、防火强/计算机病毒防护、灾难恢复、安全审核、无线安全、掌上电脑安全等。截至目前参展厂商有:天融信、安氏、联想网御、冠群金辰、启明星辰、索利通、金山、东软、微软、亿阳信通、方正、网康、O2、Broadweb、美亚、安浪、飞塔、中软等近六十家。众多厂商将在展会上展示最安全、有效,具有自身优越性的安全产品及解决方案,为信息安全以及网络安全的市场完善有序而不断开拓创新。
一、 众多领先安全产品齐聚展会
天融信:依托最佳安全服务资质以及最佳安全服务团队,为用户提供各级别的安全管理平台产品。
安氏:面对新的安全形势,用户及厂商都在不断探索和寻觅一个贴近用户实际需求、具有先进的体系架构及扩展性的解决方案。在这种情况下,UTM(Unified Threat Management ,一体化威胁管理)产品应运而生,形成“终端统一威胁管理”。
索利通:索利通网络系统(上海)有限公司作为一家致力于信息技术研究和提供的跨国公司在1998年成立之初即意识到相关安全技术研究的匮乏和其在信息化时代中举足轻重的核心作用,在海内外开展了以加强用户认证,监督系统应用为代表的研究和开发,并在以后的数年里完成和完善了SmartOn,InfoTrace,e-Care,Net'Attest等一系列软硬件安全产品。
冠群金辰:冠群金辰KSG产品家族中有两名重要成员:KILL过滤网关(KSG)、KILL邮件安全网关(KSG-M)。KSG重点过滤网络病毒、阻断蠕虫攻击、防御非法网络流量。KSG-M专门过滤非法邮件,重点过滤邮件病毒、垃圾邮件等。
金山:金山公司此次参展的产品除了原有的金山毒霸系列产品之外,还包括三大系列新品:金山防火墙、金山防毒墙和金山防水墙。
二、 安全厂商理性分析行业现状
索利通:安全和便利是伴随信息化发展的一对矛盾体。针对不同的需求,准确地把握这一对矛盾体的平衡点,给出最佳的解决方案是信息安全产业的一个长期的课题和目标。安全的信息系统的最基本的指标是在提高系统使用的便利性的同时,杜绝一切来自于外部和内部的攻击。
冠群金辰:
1.应用规模近两年有明显扩大
2.网关产品多元化发展
3.技术各有千秋,但逐步趋同
4.国内与国外产品一时难分高下
三、 安全产品发展前景值得期待
冠群金辰:
1.需求将继续快速增长
2.以内容为主的网关技术将继续发展
3.“积极防御,综合防范”继续发挥指导作用
4.技术、制度、管理并重
5.自主核心技术将成为产品长久发展的重要因素
网络安全等级保护管理办法范文第5篇
关键词:信息安全;信息安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)15-3491-03
计算机、网络已经逐渐成为我们工作生活中必不可少的一部分了,企业办公自动化已经成为普遍现象。但是我们在享受信息化带来诸多便利的同时,也要看到信息化给企业带来的诸多不便。2011年上半年,花期银行由于遭受黑客攻击,二十多万客户资料信息外泄,为银行和客户带来巨大的损失,同期国际著名的安全解决方案提供商RSA遭受黑客的恶意攻击,对其超过五百家客户造成潜在风险,给该企业带来高达数百万的损失。信息安全是企业整体安全的重要方面,一旦企业重要的信息外泄,会给企业带来巨大的风险,甚至有可能将企业带入破产的境地。
1企业信息系统安全的发展
随着信息技术的产生,信息系统安全的保护也随之而来,并且随着信息技术的不断更新换代,信息系统安全保护的战略也不断发展,接下来我们可以简要地分析一下信息安全系统的发展历程。
信息系统安全的第一步是保障信息的安全,当时各个电子业务系统较为独立,互联网还不太流行,这时主要技术是对信息进行加密,普遍运用风险分析法来对系统可能出现的漏洞进行分析,合理地填补漏洞,消除威胁,这是一种基于传统安全理念指导下的系统安全保护。
随着互联网技术的深入,信息系统安全开始逐步向业务安全转化,开始从信息产业的角度出发来考虑安全状况,此时的互联网已经成为工作生活的一个组成部分。这时候我们需要保护的不再仅仅是相关信息了,我们需要对整个业务流程进行保护,分析其可能出现的问题。本阶段的安全防护理念关注整个业务流程的周期,对流程的每一个节点进行综合考虑。信息保护在此时只是整个系统安全的一部分,是作为最为基础的防护技术,除此之外,还强调对整个流程的监控,防止某个节点可能出现的不安全因素,一旦出现任何风吹草动的现象我们可以立即予以控制。此外,审计技术在这个时候也被引入,通过对技术操作的跟踪,可以对攻击发起者进行责任追究,对攻击者起到一种震慑的效果。
到目前为止,业务系统的独立性和边界已经逐步弱化,系统间的融合更为常见。以矿业企业为例,在大型集团中,往往存在财务系统、生产系统、销售系统、统计分析系统等,这些系统之间需要相互勾稽,系统与系统之间需要互相取数,因此大量的系统集中到了一个业务平台中,由该平台来提供整体服务。这样的话,我们对于信息系统安全的需求也从单系统向多系统转换,我们在关心单个系统安全的同时,还要对其系统平台服务给予更多的关注。这样的话,企业信息安全也开始由业务流程向服务转换。
2企业信息安全存在的问题分析
信息安全问题我们可以将其进行进一步细分为物理、技术以及人为等三类因素。
首先来看物理方面,物理安全主要指的是机器设备以及网络线路出现的问题。一般企业在进行信息设备设置时最先考虑的因素是人员安全,即在保证信息设备不会对企业员工人身安全造成威胁的前提下再进行设备本身考虑。信息设备一般属于电气设备,容易受到打雷、水电等灾害的影响。如果服务器主机受到严重破坏,有可能导致企业整个信息系统崩溃。相对于其他电气设备而言,信息设备耐压数值比较小,企业需要其持续不断地运行,并且磁场的干扰对网络影响比较明显,这些都对信息设备的物理安全提出了要求,需要防止可能出现的问题。
其次是技术方面,对于大量企业而言,可以分为内部网络和外部网络,内部网络相对安全性较高。对于绝大多数企业而言,局域网都会通过一定途径与外部网相连接。这样内部网路安全性就受到内部网络设备与外部网络进行的沟通的威胁。同时,操作系统的安全以及应用程序的安全都是技术上所面临的困扰。
在操作系统方面,我们的选择比较狭窄,大多数企业只能选择微软操作系统,每个系统都存在一定的漏洞,都会造成信息的外泄。其实操作系统同样是软件,微软为系统安全会不定期推出安全更新与漏洞补丁,虽然我们可以通过系统的Windows Update或其他辅助软件来给系统修修补补,但这还不是100%的安全保证。随着微软在安全技术上的逐渐改进,系统漏洞出现的次数越来越少,现在很多黑客开始把注意力转移到常用的第三方软件上来,也就是要利用这些软件的漏洞来进行攻击。相对于操作系统而言,应用软件方面我们选择性比较大,但目前流行的各种病毒、木马都会给我们企业的信息安全带来极大的影响。
尤其是现在大部分企业都建立有自己的官方网站,保存着企业的重要数据和客户资料等,而如果网站存在一个通用漏洞,就会被恶意的黑客攻击,甚至黑客还会进行木马的上传来得到WebShell,添加隐藏超级账号,使用远程桌面连接等操作,从而导致网络沦落为黑客手中的“肉鸡”。因此,如果使用网站模板代码,必须要时刻关注该网站模板是否有最新的漏洞被曝光,及时到官网上下载并打上相关的漏洞补丁程序。另外,网管务必要有经常查看网站登录日志的习惯,检查后台登录的IP是否有异地的可疑信息,或者是否被添加了异常的管理账号等等,永远绷紧安全这根弦。
对局域网进行妥善管理,让网络运行始终安全、稳定,一直是所有网络管理员的主要职责。为了保证局域网的安全性,不少网络管理员开动脑筋,并且不惜花费重金,“请”来了各式各样的专业安全工具,来为局域网进行保驾护航。然而在实际工作过程中,如果没有现成的专业安全防范工具,也可以利用客户端系统自带的安全功能,保护自己的上网安全。
最后是人员方面,人员是企业信息外泄的重要途径,其中我们可以将其分为两大类,一类是内部人员的泄密。这往往体现在员工将企业核心机密通过硬盘等设备将其带出公司信息设备,并且造成遗失等现象,最终导致公司机密为外界所获取,信息安全受到严重威胁。另一部分是黑客攻击,这类攻击对公司造成的损失非常大。该行为的目标就是获取相应的信息。随着黑客技术的发展,传统的防火墙甚至物理网闸断开都难以完全避免黑客的攻击。目前企业繁多的保护程序对黑客的防护效果不佳,反倒给用户带来了诸多不便。
3企业信息安全改进建议
3.1物理安全防护
网络结构设计直接影响到企业的信息安全,局域网的网络拓扑设计也成了信息防护的关键所在,一般情况下,企业的网络拓扑结构图如下:
图1内部网拓扑结构图
在整个流程中,核心交换机是关键,首先它必须满足国家相关的规定标准,可以承载相应的功能。机房设计要考虑到防盗、防火等,必须实行24小时监控。硬件防火墙是我们进行信息保护的一个重要措施,性能比软件防火墙更为强大,这也决定了硬件防火墙的价格相对而言更为昂贵。硬件加密卡也是我们目前使用范围比较广泛的一个技术措施,它独立于计算机系统,一般难以通过常用的软件模拟方式来对其进行攻击,因此独立性能更高。通过合理配置计算机硬件保护器,我们可以将信息保护的基础工作做得更加有效,能够为控制技术风险和人为风险提供良好的基础。
3.2技术安全
相对而言,技术安全是比较难以处理的,信息技术的发展非常迅速,我们难以面对层出不穷的网络技术攻击做出完全有效的防御,需要及时改变技术防御措施。
3.2.1数字签名和加密技术
在网络中,我们可以不断发展传统的数字签名和加密技术,防止黑客的多种入侵。
我们可以以数字签名为例,通过设定数字签名,用户在进行各种操作时会打上自身的印记,可以防止除授权者以外的修改,能够极大地提高整体的安全系数,抵御黑客的攻击。在这个程序中,我们需要予以关注的是数字证书的获取,一般有以下三个途径:a使用相关软件创建自身的数字证书;b从商业认证授权机构获取;c从内部专门负责认证安全管理机构获取。
3.2.2入侵防护系统(IPS)
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS系统都是被动的,而入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
3.2.3统一威胁管理(UTM)
美国著名的IDC对统一威胁管理(UTM)安全设备的定义的是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。
UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。
3信息安全管理
这主要是针对人员管理而设定的,是企业内部管理流程的一个重要方面,这是企业内部管控制度的一个重要组成方面。
每个企业都要有明确的硬件设备管理制度,专人负责保管,监督审查,确保硬件使用的合理和安全性。其次要对操作人员进行足够的培训,要求每一个使用人员都了解应当进行的合理操作,明白可能存在的网络安全隐患。第三要对数据保管有明确的责任和制度,防止大量数据的丢失,导致公司整体系统瘫痪。
为了进一步加强和规范计算机信息系统安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2007年6月和7月联合颁布了《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》,并召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
建立计算机信息系统安全等级保护制度,是我国计算机信息系统安全保护工作中的一件大事,它直接关系到各行各业的计算机信息系统建设和管理,是一项复杂的社会化的系统工程,需要社会各界的共同参与。大中型企业应该认真学习《信息安全等级保护管理办法》及相关技术标准规范,大力开展培训工作,落实好信息网络安全管理、安全技术、信息安全等岗位人员的继续教育培训,不断提高信息安全等级保护的能力与水平。
4结束语
在我们进行企业信息安全管理过程中,企业及企业员工是否对信息安全工作有足够的认识十分重要,企业领导和上层应该对企业信息安全工作给予必要的关注,企业信息安全不能仅仅依靠专业的IT技术人员,它需要我们全体企业员工的共同努力。
参考文献:
[1]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009(04).
[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009(5).
[3]王东.“北京移动案”暴露信息安全管理软肋[J].中国新通信,2006(6).
[4]吴辉.浅谈企业信息安全管理方案[J].科技情报开发与经济,2010(25).
[5]徐新件,朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理,2008(2).
[6]汪红梅.我国信息安全保障体系存在的问题及对策刍议[J].信息网络安全,2008(2).
[7]盛玉.档案信息安全与安全保障体系内容的关系分析[J].网络财富,2009(12).
