導(dǎo)語：如何才能寫好一篇信息安全技術(shù)報(bào)告，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

管理任務(wù)之變：需求增加導(dǎo)致設(shè)備管理任務(wù)增加

隨著用戶需求的不斷變化，數(shù)據(jù)中心承載著越來越重的任務(wù)量，無論是計(jì)算還是存儲或者網(wǎng)絡(luò)資源，其規(guī)模相比以往急劇擴(kuò)大，而這也使得其他一些配套設(shè)備發(fā)生了相應(yīng)的增長，以滿足應(yīng)用的需求。

CPU計(jì)算能力的提高、硬盤存儲容量的增加，以及刀片服務(wù)器和高密度存儲的發(fā)展，都無法滿足如同洪水猛獸般洶涌而至的數(shù)據(jù)處理需求。因此，人們不得不將包括計(jì)算、存儲、網(wǎng)絡(luò)、供電和散熱等在內(nèi)的部件累積起來，組成更大規(guī)模的數(shù)據(jù)中心。

安全技術(shù)之變：必須不斷適應(yīng)新型IT

未來，所有的公司都將成為IT公司。這個(gè)觀點(diǎn)可能稍有些偏激，不過從另一個(gè)角度來看，這說明無論工作還是生活都已經(jīng)離不開IT。

云計(jì)算、虛擬化、大數(shù)據(jù)，近兩年來頻繁冒出的新技術(shù)，無一不是為由IT所承載的業(yè)務(wù)服務(wù)的。當(dāng)這些新的技術(shù)到來之時(shí)，安全技術(shù)要與之匹配發(fā)展，以適應(yīng)新環(huán)境、新技術(shù)下的安全需求。

從長遠(yuǎn)到本源：數(shù)據(jù)加密或是最根本的防護(hù)

受限于10年前IT的發(fā)展水平，很多人都沒有意識到數(shù)據(jù)中心在“量”和“質(zhì)”方面的變化，以至于很多組織和機(jī)構(gòu)都不得不在新一輪的IT采購周期中花費(fèi)大量的時(shí)間和金錢，購買新產(chǎn)品，以替換舊設(shè)備。這樣的事情每時(shí)每刻都在發(fā)生。

由于信息技術(shù)的發(fā)展，數(shù)據(jù)本身受到來自多方面的威脅。作為數(shù)據(jù)中心主要的服務(wù)對象，數(shù)據(jù)的保護(hù)是十分重要，并且需要長遠(yuǎn)計(jì)劃的。但是面對變化和不斷更新的威脅，正面對抗似乎收效甚微，最好的選擇是本源的防護(hù)，即做到保護(hù)數(shù)據(jù)本源的同時(shí)，又能靈活應(yīng)對各種安全環(huán)境的需求。而符合這種要求的安全技術(shù)就要屬加密技術(shù)了。數(shù)據(jù)中心的管理人員需要在不影響新的數(shù)據(jù)中心環(huán)境所帶來的性能和功能的前提下，確保數(shù)據(jù)中心的安全運(yùn)營。

安全威脅攻擊的首要目標(biāo)是數(shù)據(jù)中心

許多現(xiàn)代的網(wǎng)絡(luò)犯罪活動是專門以數(shù)據(jù)中心為攻擊目標(biāo)而設(shè)計(jì)的，因?yàn)檫@些數(shù)據(jù)中心都托管和處理著海量的、高價(jià)值的數(shù)據(jù)信息，包括個(gè)人客戶數(shù)據(jù)資料、財(cái)務(wù)信息和企業(yè)知識產(chǎn)權(quán)等。因此，確保數(shù)據(jù)中心的安全運(yùn)營是一項(xiàng)挑戰(zhàn)。非對稱的業(yè)務(wù)流量、定制化的應(yīng)用程序、需要被路由到計(jì)算層之外并達(dá)到數(shù)據(jù)中心周邊的高流量數(shù)據(jù)、跨多個(gè)Hypervisor的虛擬化應(yīng)用，以及地理上分散的數(shù)據(jù)中心等，增加了數(shù)據(jù)中心安全運(yùn)營的難度，其結(jié)果可能是，在安全方案覆蓋范圍方面存在空白，可能對數(shù)據(jù)中心性能造成嚴(yán)重影響。人們不得不犧牲數(shù)據(jù)中心的功能，以適應(yīng)安全的限制，采用復(fù)雜的安全解決方案，削弱了數(shù)據(jù)中心根據(jù)實(shí)際業(yè)務(wù)需求而動態(tài)地配置資源的能力等。

思科預(yù)測，到2017年，全球76%的數(shù)據(jù)中心流量將保留在數(shù)據(jù)中心內(nèi)，而這些流量都是在虛擬環(huán)境中由存儲系統(tǒng)、生產(chǎn)系統(tǒng)和開發(fā)環(huán)境所生成的。早在2015年3月底，市場調(diào)研機(jī)構(gòu)Gartner公司就曾經(jīng)預(yù)測，數(shù)據(jù)中心的連接每秒增加3000%。

現(xiàn)代數(shù)據(jù)中心為企業(yè)提供了大量的應(yīng)用程序、服務(wù)和解決方案。許多企業(yè)和組織都要依賴分散在各個(gè)不同地理位置的數(shù)據(jù)中心所部署的服務(wù)，以支持它們不斷增長的云計(jì)算和流量需求。企業(yè)還需要制定新的更有效的戰(zhàn)略，比如大數(shù)據(jù)分析和業(yè)務(wù)連續(xù)性管理，使數(shù)據(jù)中心成為企業(yè)的一個(gè)更為關(guān)鍵的部分。但是，這也使得數(shù)據(jù)中心的資源成了惡意攻擊者攻擊的主要目標(biāo)。這意味著數(shù)據(jù)中心的安全團(tuán)隊(duì)實(shí)施數(shù)據(jù)中心的監(jiān)控和保護(hù)將變得更加困難。

信息安全已經(jīng)上升到國家戰(zhàn)略層面，亟須加大安全投入

網(wǎng)絡(luò)空間已成為國家繼陸、海、空、天四個(gè)疆域之后的第五疆域，與其他疆域一樣，網(wǎng)絡(luò)空間也須體現(xiàn)國家，而保障網(wǎng)絡(luò)空間安全就是保障國家。

自2013年“斯諾登”事件爆發(fā)以后，國際社會又相繼爆發(fā)了土耳其泄密事件、巴拿馬文件泄密事件等震驚海內(nèi)外的重大安全事故，網(wǎng)絡(luò)攻擊手段不斷推陳出新、網(wǎng)絡(luò)攻擊技術(shù)不斷升級發(fā)展。隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，信息安全已經(jīng)上升到國家戰(zhàn)略層面，國家對網(wǎng)絡(luò)信息安全的重視上升到了新的高度。但是目前，我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的整體規(guī)模和投入與歐美發(fā)達(dá)國家相比，差距巨大，必須奮起直追。

Gartner公司2015年的數(shù)據(jù)顯示，2015年全年，全球信息安全支出達(dá)833.78億美元，其中北美地區(qū)339.38億美元，西歐地區(qū)225.14億美元，大中華區(qū)只有32.15億美元，與經(jīng)濟(jì)體量明顯不相稱，僅為美國的9%。IDC的數(shù)據(jù)顯示，我國信息安全投入占IT投入的比重為1%～2%，而同期北美和歐洲的企業(yè)對信息安全的投入占IT支出比重達(dá)到8%～14%。信息安全投入上的嚴(yán)重不足，導(dǎo)致我國自主研發(fā)的信息安全技術(shù)和設(shè)備難以快速轉(zhuǎn)化為成果，應(yīng)用于實(shí)踐，從而使我國網(wǎng)絡(luò)安全面臨巨大隱患。

大數(shù)據(jù)、智慧城市的發(fā)展導(dǎo)致數(shù)據(jù)量爆發(fā)式增長

篇2

[關(guān)鍵詞]計(jì)算機(jī) 信息安全技術(shù) 相關(guān)概念 防護(hù)內(nèi)容 防護(hù)措施

中圖分類號：TP393.0 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2016）28-0194-01

1.計(jì)算機(jī)信息安全的相關(guān)概念

計(jì)算機(jī)網(wǎng)絡(luò)安全指的是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的安全環(huán)境維護(hù)，卞要保護(hù)的是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬盤、軟件中的數(shù)據(jù)資源，在沒有因?yàn)橐馔饣驉阂獾惹闆r下未遭遇人為型破壞和更改相關(guān)重要的數(shù)據(jù)信息，從而保障計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)的正常運(yùn)作。

2.計(jì)算機(jī)信息安全技術(shù)防護(hù)的內(nèi)容

計(jì)算機(jī)信息安全防護(hù)，強(qiáng)化計(jì)算機(jī)信息安全管理的防護(hù)工作和防護(hù)內(nèi)容較多。從現(xiàn)階段計(jì)拿機(jī)信息安全防護(hù)的實(shí)際情況來看，強(qiáng)化對計(jì)算機(jī)安全信息的管理可以從計(jì)算機(jī)安全技術(shù)入手，對計(jì)算機(jī)系統(tǒng)的安全信息存在的漏洞進(jìn)行及時(shí)的檢測、修補(bǔ)和分析結(jié)合檢測分析得到的結(jié)果制定有效的防護(hù)方案建立完善的安全系統(tǒng)體系。其中安全系統(tǒng)體系包括安全防火墻、計(jì)算機(jī)網(wǎng)絡(luò)的殺毒軟件、入侵監(jiān)測掃描系統(tǒng)等信息安全防護(hù)體系。從計(jì)算機(jī)信息安全管理方面來看，需要建立健全的信息安全制度，欄窀據(jù)信息安全管理制度的相關(guān)規(guī)定對計(jì)算機(jī)信息進(jìn)行防護(hù)，加強(qiáng)管理人員的安全防護(hù)意識。此外，計(jì)算機(jī)信息安全防護(hù)還需要充分考慮計(jì)算機(jī)安全數(shù)據(jù)資源的合法使用、安全穩(wěn)定運(yùn)作數(shù)據(jù)資料存儲和傳輸?shù)耐暾?、可控性、機(jī)密性和可用性等。

3.計(jì)算機(jī)信息安全防護(hù)中存在的問題

隨著計(jì)算機(jī)信息化技術(shù)的進(jìn)一步發(fā)展，信息安全已經(jīng)引起人們的高度關(guān)注?，F(xiàn)階段計(jì)算機(jī)安全信息防護(hù)還存在諸多問題。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全體系不夠完善，因此要保障計(jì)算機(jī)信息安全必須要配置一些安全信息設(shè)備，但是目前的安全技術(shù)水平偏低，安全信息質(zhì)量得不到保障。此外計(jì)算機(jī)系統(tǒng)內(nèi)部的應(yīng)急措施的構(gòu)建機(jī)制不夠健全，安全制度不完善，滿足不了信息安全的防護(hù)標(biāo)準(zhǔn)要求。近幾年來，我國用人單位對計(jì)算機(jī)催息安全管理工作越來越重視，但是有些單位的計(jì)算機(jī)安全信息防護(hù)意識薄弱，負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低，計(jì)算機(jī)信息安全技術(shù)防護(hù)水平偏低。同時(shí)，一些企業(yè)對管理人員的信息安全培訓(xùn)力度不足，對安全信息防護(hù)的設(shè)備費(fèi)用的投入力度不足。因此，現(xiàn)階段我國企業(yè)的計(jì)算機(jī)信息安全防護(hù)水平與社會服務(wù)的程度偏低。

4.計(jì)算機(jī)信息安全防護(hù)的措施

4.1 注計(jì)算機(jī)病毒的防護(hù)

計(jì)算機(jī)網(wǎng)絡(luò)之間的病毒傳播速度較快?，F(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)病毒必須要在互聯(lián)網(wǎng)環(huán)境下，對計(jì)算機(jī)的操作系統(tǒng)采取科學(xué)合理的防毒措施，有效防護(hù)計(jì)算機(jī)信息安全。現(xiàn)階段，從計(jì)算機(jī)信息行業(yè)來看，針對不同的操作系統(tǒng)，所采用的計(jì)算機(jī)防毒軟件的具體功能也會不一樣，但是能夠加強(qiáng)計(jì)算機(jī)用戶的信息安全防護(hù)利用安全掃描技術(shù)、訪問控制技術(shù)、信息過濾技術(shù)，制止惡性攻擊，加強(qiáng)計(jì)算機(jī)系統(tǒng)的安全性能，強(qiáng)化對計(jì)算機(jī)信息安全的防護(hù)。

4.2 信息安全技術(shù)

計(jì)算機(jī)信息安全技術(shù)主要包括實(shí)時(shí)的掃描技術(shù)、病毒情況研究報(bào)告技術(shù)、檢測技術(shù)、檢驗(yàn)保護(hù)技術(shù)、防火墻、計(jì)算機(jī)信息安全管理技術(shù)等。企業(yè)需要建立完善的信息安全管理和防護(hù)制度，提高系統(tǒng)管理工作人員人員技術(shù)水平和職業(yè)道德素質(zhì)。對重要的機(jī)密信息進(jìn)行嚴(yán)格的開機(jī)查毒，及時(shí)地備份重要數(shù)據(jù)，對網(wǎng)站訪問進(jìn)行肖致地控制，實(shí)現(xiàn)信息安全的防范和保護(hù)對數(shù)據(jù)庫進(jìn)行備份和咬復(fù)實(shí)現(xiàn)防護(hù)和管理數(shù)據(jù)的完整性。利用數(shù)據(jù)流加密技術(shù)、公鑰密碼體制、單鑰密碼體制等密碼技術(shù)劉信息進(jìn)行安全管理，保護(hù)信息的安全。切斷傳播途徑，對感染的計(jì)算機(jī)進(jìn)行徹底性查毒，不使用來路不明的程序、軟盤等，不隨意打開可疑的郵件等。提高計(jì)算機(jī)網(wǎng)絡(luò)的抗病毒能力。在計(jì)算機(jī)上配置病毒防火墻，對計(jì)算機(jī)網(wǎng)絡(luò)文件進(jìn)行及時(shí)地檢測和掃描。利用防病毒卡，對網(wǎng)絡(luò)文件訪問權(quán)限進(jìn)行設(shè)置。

4.3 提高信息安全管理人員的技術(shù)防護(hù)水平

計(jì)算機(jī)信息安全不僅需要從技術(shù)上進(jìn)行信息安全防范措施，同時(shí)也要采取有效的管理措施，貫徹落實(shí)計(jì)算機(jī)信息安全防護(hù)反律法規(guī)制度，提高計(jì)算機(jī)信息的安全性。對計(jì)算機(jī)管理人員進(jìn)行培訓(xùn);建立完善的計(jì)算機(jī)信息安全管理機(jī)制，改進(jìn)計(jì)算機(jī)信息安全管理能力，加強(qiáng)計(jì)算機(jī)信息安全的立法和執(zhí)法力度，強(qiáng)化計(jì)算機(jī)信息管理的道德規(guī)范，提高管理人員對安全信息的防護(hù)意識;明確計(jì)算機(jī)系統(tǒng)管理人員的工作職責(zé)。此外，企業(yè)需要增加對計(jì)算機(jī)安全信息防護(hù)設(shè)備的投入費(fèi)用，整體提高我國社會部門的計(jì)算機(jī)信息安全防護(hù)與社會服務(wù)水平。

5.結(jié)束語

綜合上述，計(jì)算機(jī)信息安全防護(hù)過程中存在著;信息安全管理體系不夠健全、信息安全制度不完善、負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低等問題，這就要求企業(yè)從計(jì)算機(jī)病毒的防護(hù)、信息安全技術(shù)、信息安全管理人員的技術(shù)防護(hù)水平這三方面入手，全面提高計(jì)算機(jī)信息安全技術(shù)水平和管理人員對計(jì)算機(jī)信息的安全防護(hù)能力。

參考文獻(xiàn)

篇3

【關(guān)鍵詞】互聯(lián)網(wǎng) 信息安全 控制技術(shù)

在進(jìn)行互聯(lián)網(wǎng)的信息交流時(shí)，就要及時(shí)進(jìn)行信息安全性能的檢驗(yàn)，要保證信心的安全性能得到有效的計(jì)算機(jī)安全環(huán)境進(jìn)行傳播。在進(jìn)行信息的正確操作系統(tǒng)使用時(shí)，就要在隨意的任意環(huán)節(jié)進(jìn)行安全檢測，對于存在安全漏洞的網(wǎng)站進(jìn)行及時(shí)的修補(bǔ)清理，及時(shí)進(jìn)行安全環(huán)境的檢測，以免使自己的有效信息受到威脅。在實(shí)際的操作中，一定要對互聯(lián)網(wǎng)的操作系統(tǒng)、安全協(xié)議、與安全有關(guān)的系統(tǒng)進(jìn)行安全環(huán)境的及時(shí)檢測，其中任何方面的安全漏洞都能造成威脅到整個(gè)互聯(lián)網(wǎng)的安全。在互聯(lián)網(wǎng)的信息安全控制的技術(shù)應(yīng)用發(fā)展方面，對于互聯(lián)網(wǎng)的繼續(xù)發(fā)展具有很大的作用。

1 互聯(lián)網(wǎng)的信息安全的控制技術(shù)和特征

1.1 信息安全技術(shù)之生物識別

進(jìn)行互聯(lián)網(wǎng)的信心安全控制的重要環(huán)節(jié)就是要對生物識別技術(shù)的推廣運(yùn)用，使其更加具體地運(yùn)用到互聯(lián)網(wǎng)的實(shí)際應(yīng)用之中。就現(xiàn)在互聯(lián)網(wǎng)的技術(shù)的發(fā)展?fàn)顩r而言，進(jìn)行互聯(lián)網(wǎng)安全技術(shù)識別，相比傳統(tǒng)的身份驗(yàn)證，已經(jīng)表現(xiàn)出了具有更加可復(fù)制性能的方面的跨越式發(fā)展。人體的生物特征復(fù)制難度最高，就像指紋、聲音、容貌、視網(wǎng)膜、掌紋等這種因人而異的人體的特征，別人根本實(shí)現(xiàn)不了復(fù)制操作。利用這種人們生而不同的人體特征作為安全技術(shù)識別的發(fā)展前景是十分可觀的，在互聯(lián)網(wǎng)的技術(shù)控制中，已經(jīng)出現(xiàn)了大量使用指紋的技術(shù)進(jìn)行安全保護(hù)，針對視網(wǎng)膜等生物特征，很多研究實(shí)驗(yàn)的結(jié)果顯示，這即將成為互聯(lián)網(wǎng)生物識別的下一個(gè)生物特征，在進(jìn)行信息安全方面，很多生物技術(shù)已經(jīng)投入使用，并且取得了很好的效果。在很多方面有了很大的進(jìn)步。

1.2 信息安全技術(shù)之防火墻

在進(jìn)行互聯(lián)網(wǎng)的信息安全維護(hù)中，防火墻技術(shù)的應(yīng)用十分廣泛。在進(jìn)行信息安全的維護(hù)時(shí)，使用這種的網(wǎng)絡(luò)技術(shù)進(jìn)行保護(hù)網(wǎng)絡(luò)和外網(wǎng)就能實(shí)現(xiàn)一道安全的屏障。就會實(shí)現(xiàn)私人的網(wǎng)絡(luò)和外部的網(wǎng)絡(luò)環(huán)境進(jìn)行隔離時(shí)，在進(jìn)行私人信息安全保護(hù)，防止信息不被竊取。在實(shí)現(xiàn)信息安全的檢測時(shí)，就預(yù)測的、具有潛在破壞性的網(wǎng)絡(luò)安全的破壞。在有著網(wǎng)絡(luò)漏洞的不軌信息，要及時(shí)做好網(wǎng)絡(luò)的安全維護(hù)問題，實(shí)現(xiàn)信息安全得到很好的防護(hù)。

1.3 信息安全技術(shù)之?dāng)?shù)據(jù)加密

在信息的數(shù)據(jù)加密技術(shù)時(shí)，就要進(jìn)行信息的安全維護(hù)時(shí)，要先進(jìn)行密碼的設(shè)置，在進(jìn)行密碼層次的維護(hù)時(shí)，將不讓別人知道的數(shù)據(jù)信息技術(shù)轉(zhuǎn)變成密碼的形式。不讓別人知道的情況下對于自己密碼轉(zhuǎn)變成別人難以識別的密文，然后進(jìn)行自己的信息安全維護(hù)，再進(jìn)行傳輸。但是，人們在進(jìn)行密碼的輸入時(shí)，就收到信息的人進(jìn)行信息的安全輸入密碼轉(zhuǎn)換成自己可以識別的銘文進(jìn)行信息的安全維護(hù)，從密碼的轉(zhuǎn)換成明文的情況下得到數(shù)據(jù)中的信息。

1.4 信息安全技術(shù)之入侵檢測

在進(jìn)行入侵檢測技術(shù)的實(shí)施時(shí)，為了保證互聯(lián)網(wǎng)的系統(tǒng)信息的安全性，在進(jìn)行信息安全性能的報(bào)告使用中，計(jì)算機(jī)使用者就會出現(xiàn)對于系統(tǒng)中出現(xiàn)的如未授權(quán)或者異常系統(tǒng)提示等情況進(jìn)行及時(shí)的檢測。這種種信息安全檢測技術(shù)，能夠促進(jìn)進(jìn)行互聯(lián)網(wǎng)的系統(tǒng)遇到不安全入侵時(shí)，及時(shí)進(jìn)行入侵信息的安全性能檢測，及時(shí)阻止不安全信息的入侵。進(jìn)行檢測互聯(lián)網(wǎng)，中是否出現(xiàn)了違反信息安全的行為的一種技術(shù)。

1.5 信息安全技術(shù)之網(wǎng)絡(luò)安全漏洞掃描

針對系統(tǒng)的漏洞修補(bǔ)時(shí)，首先要進(jìn)行檢測信息安全漏洞出現(xiàn)的原因，在進(jìn)行系統(tǒng)安全維護(hù)時(shí)，一定要做好信息安全方面的風(fēng)險(xiǎn)評估。及時(shí)針對系統(tǒng)出現(xiàn)漏洞的問題，找到切實(shí)可行的解決方案。進(jìn)行安全漏洞的掃描時(shí)，可以預(yù)先知道系統(tǒng)中，出現(xiàn)漏洞的根本所在，能夠及時(shí)防止網(wǎng)絡(luò)漏洞對信息的安全進(jìn)行有效的保護(hù)。

2 實(shí)現(xiàn)互聯(lián)網(wǎng)信息安全的策略探討

2.1 互聯(lián)網(wǎng)安全策略之系統(tǒng)安全

互聯(lián)網(wǎng)最有效的信息安全維護(hù)，就是要對計(jì)算機(jī)的操作系統(tǒng)和數(shù)據(jù)庫及時(shí)進(jìn)行信息安全的漏洞檢測，及時(shí)發(fā)現(xiàn)出現(xiàn)的問題找到最優(yōu)的解決方案。尤其是對于計(jì)算機(jī)進(jìn)行操作系統(tǒng)進(jìn)行查缺補(bǔ)漏，針對計(jì)算機(jī)出現(xiàn)的漏洞問題一定要密切關(guān)注，找到最優(yōu)的解決方案。針對容易出現(xiàn)問題的系統(tǒng)及時(shí)進(jìn)行加強(qiáng)安全加固防護(hù)措施，尤其對于關(guān)鍵業(yè)務(wù)的服務(wù)器，一定要做到萬無一失。

2.2 互聯(lián)網(wǎng)安全策略之安全管理

針對互聯(lián)網(wǎng)的信息的安全性，一定要加強(qiáng)對于網(wǎng)絡(luò)安全的信息的安全管理策略，進(jìn)行企業(yè)的信息系統(tǒng)安全管理策略的制定是，一定要結(jié)合具體的情況進(jìn)行信息安全的合理維護(hù)。進(jìn)行安全管理時(shí)，企業(yè)一定要重視對相關(guān)人員進(jìn)行安全管理知識的定期培訓(xùn)，及時(shí)進(jìn)行網(wǎng)絡(luò)安全的妥善管理。當(dāng)進(jìn)行信息安全進(jìn)行資產(chǎn)管理、災(zāi)難管理、安全服務(wù)和站點(diǎn)維護(hù)的相關(guān)工作進(jìn)行合理有效的管理。在技術(shù)的運(yùn)用上，注意將技術(shù)適當(dāng)運(yùn)用到相關(guān)的部門。結(jié)合具體的管理措施進(jìn)行合理有效的信息維護(hù)，保證企業(yè)互聯(lián)網(wǎng)的信息安全。

2.3 互聯(lián)網(wǎng)安全策略之縱深防御

在進(jìn)行互聯(lián)網(wǎng)的安全合理有效地管理時(shí)，一定要將可能存在的不良操作及時(shí)進(jìn)行安全性能測試，在互聯(lián)網(wǎng)的安全系統(tǒng)遭到入侵時(shí)，檢測系統(tǒng)就會發(fā)出信息提示，提醒進(jìn)行及時(shí)的系統(tǒng)安全的維護(hù)措施。在信息安全系統(tǒng)的管理中，防火墻是其中一個(gè)最有效的安全管理手段。能夠保障系統(tǒng)在遇到安全威脅時(shí)，計(jì)算機(jī)系統(tǒng)在進(jìn)行安全管理保安操作時(shí)，及時(shí)阻擋那些存在威脅的信息，按照預(yù)先的設(shè)定判斷信息的有效性，將符合規(guī)則的操作指令發(fā)出放行指令，能夠保證互聯(lián)網(wǎng)的信息安全。

在進(jìn)行互聯(lián)網(wǎng)的安全管理中，一定要加強(qiáng)對于互聯(lián)網(wǎng)安全漏洞的及時(shí)檢測，確?；ヂ?lián)網(wǎng)的信息安全。在檢測過程中，若是發(fā)現(xiàn)了系統(tǒng)受到攻擊，一定要立馬采取有效措施進(jìn)行系統(tǒng)的安全維護(hù)，及時(shí)控制企業(yè)及個(gè)人的重要信息不受破壞或者避免損失。在進(jìn)行互聯(lián)網(wǎng)安全控制時(shí)，要考慮多方面的控制情況，為了避免遭受經(jīng)濟(jì)或者其他方面的損失，就要在維護(hù)互聯(lián)網(wǎng)的信息安全的情況下，及時(shí)推動互聯(lián)網(wǎng)的發(fā)展。本文在針對各種互聯(lián)網(wǎng)的信息安全的管理措施的分析研究的情況下，重點(diǎn)強(qiáng)調(diào)要注意運(yùn)用加密技術(shù)的使用。相信在未來的數(shù)字化科技發(fā)展中，網(wǎng)絡(luò)信息安全的地位將更加重要，互聯(lián)網(wǎng)信息安全必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

篇4

 

1 網(wǎng)絡(luò)信息安全的內(nèi)涵

 

網(wǎng)絡(luò)信息安全定義是：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、數(shù)據(jù)、程序等不會因?yàn)闊o意或惡意的原因遭到破壞、篡改、泄露，防止非授權(quán)的單位使用[1]。網(wǎng)絡(luò)系統(tǒng)能夠保持服務(wù)不受中斷，維持可靠運(yùn)行。

 

不同的用戶對網(wǎng)絡(luò)信息安全的定義有所不同。作為普通民眾，他們希望自己的隱私信息能夠得到有效保護(hù)，不被他人竊取利用。對網(wǎng)絡(luò)安全管理員來說，他們希望始終有權(quán)限管控自己的網(wǎng)絡(luò)，并不受外界惡意入侵和破壞。對于國家安全部門而言，阻擋一切可能造成威脅的信息，并防止任何信息外泄是他們的工作目標(biāo)。網(wǎng)絡(luò)信息安全，離不開技術(shù)和治理兩方面的努力。

 

2 目前網(wǎng)絡(luò)安全的主要技術(shù)

 

2.1 防火墻

 

防火墻是一個(gè)或一組網(wǎng)絡(luò)設(shè)備。防火墻的主要作用是加強(qiáng)兩個(gè)或兩個(gè)以上網(wǎng)絡(luò)中的訪問控制[2]。防火墻主要目的是保護(hù)網(wǎng)絡(luò)不受外界攻擊。通過對網(wǎng)絡(luò)設(shè)定防火墻，能對來自外部網(wǎng)絡(luò)的信息進(jìn)行有效篩查，將安全的信息放行，將存在威脅的信息過濾。達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。

 

防火墻具有以下特點(diǎn)：(1)網(wǎng)絡(luò)之間的信息傳遞，都需要經(jīng)過防火墻篩查;(2)只有符合安全策略的信息數(shù)據(jù)才能通過防火墻;(3)防火墻兼具保護(hù)和預(yù)防外部網(wǎng)絡(luò)入侵的功能。雖然防火墻對保護(hù)網(wǎng)絡(luò)安全具有良好效果，但其最大的缺陷在于會造成網(wǎng)絡(luò)服務(wù)于網(wǎng)絡(luò)間的數(shù)據(jù)傳輸速度大幅下降。這也是為了達(dá)到保護(hù)網(wǎng)絡(luò)安全所必須付出的代價(jià)。

 

2.2 數(shù)據(jù)加密技術(shù)

 

當(dāng)今時(shí)代，信息是一把雙刃劍。它既能幫助團(tuán)體或個(gè)人，令他們從中受益，同時(shí)也能成為威脅和破壞的工具。因此這就要求出現(xiàn)某種安全技術(shù)對信息進(jìn)行有效保護(hù)，防止被惡意竊取或利用。

 

數(shù)據(jù)加密技術(shù)，是通過使用數(shù)字，對原有的信息進(jìn)行重新組織。經(jīng)過數(shù)字加密技術(shù)處理后的數(shù)據(jù)，除了合法使用者外，其他人難以將信息進(jìn)行恢復(fù)。數(shù)據(jù)加密主要是對傳輸中的數(shù)據(jù)流進(jìn)行加密。加密方法有線路加密與端對端加密兩種。線路加密側(cè)重于對傳輸線路加密，端對端加密是使用者在段的兩頭對信息進(jìn)行加密處理，再經(jīng)過TCP/IP數(shù)據(jù)包封裝后通過互聯(lián)網(wǎng)傳輸?shù)侥康牡?。到達(dá)目的地后收件人用相應(yīng)的密匙對數(shù)據(jù)包解密，將信息恢復(fù)。

 

2.3 入侵檢測系統(tǒng)

 

入侵檢測技術(shù)是對外部網(wǎng)絡(luò)入侵行為進(jìn)行檢測[3]。它通過不斷收集和分析網(wǎng)絡(luò)行為、安全日志并對數(shù)據(jù)進(jìn)行審計(jì)，及時(shí)獲取系統(tǒng)中關(guān)鍵點(diǎn)信息，檢查網(wǎng)絡(luò)或系統(tǒng)是否存在被惡意攻擊或違反安全策略的行為。入侵檢測的任務(wù)主要包括：(1)對系統(tǒng)中用戶的各種活動進(jìn)行監(jiān)視;(2)檢查網(wǎng)絡(luò)系統(tǒng)存在的弱點(diǎn);(3)將工作中的異常情況進(jìn)行記錄和報(bào)告;(4)對數(shù)據(jù)完整性進(jìn)行檢查;(5)遭受外來攻擊時(shí)報(bào)警。

 

3 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全對策

 

3.1 強(qiáng)化網(wǎng)絡(luò)安全保障體系建設(shè)

 

強(qiáng)化網(wǎng)絡(luò)安全保障體系建設(shè)，離不開多方面的共同努力。當(dāng)前國家信息安全保障體系建設(shè)，應(yīng)當(dāng)圍繞以下幾方面：(1)深入研究和開發(fā)信息加密技術(shù);(2)健全網(wǎng)絡(luò)信息安全體系;(3)強(qiáng)化網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估;(4)建立健全信息安全監(jiān)控體系;(5)加大對信息安全應(yīng)急處理工作的重視度。

 

在面對網(wǎng)絡(luò)信息安全威脅時(shí)，作為普通用戶應(yīng)當(dāng)提高自身網(wǎng)絡(luò)安全意識。在學(xué)習(xí)必要的網(wǎng)絡(luò)安全知識外，對來自外部網(wǎng)絡(luò)的突然進(jìn)攻應(yīng)當(dāng)保持冷靜。作為企業(yè)用戶，網(wǎng)絡(luò)安全建設(shè)更加復(fù)雜，保護(hù)網(wǎng)絡(luò)信息安全的意義也更為深遠(yuǎn)。首先，企業(yè)應(yīng)當(dāng)設(shè)計(jì)符合自身需要的安全策略，對重點(diǎn)對象提供有效保護(hù)。第二加強(qiáng)對用戶訪問權(quán)的控制，對非法用戶的操作進(jìn)行嚴(yán)格限制，保護(hù)企業(yè)信息不受侵犯。

 

3.2 構(gòu)建信息安全體系的措施

 

目前我國信息安全保障水平偏低，構(gòu)建有效的網(wǎng)絡(luò)信息安全體系，需要社會各界的共同努力。沒有通力合作，難以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全事件，而且網(wǎng)絡(luò)信息安全技術(shù)涉及面廣，技術(shù)難度大，單一組織或個(gè)人的網(wǎng)絡(luò)安全技術(shù)難以滿足各方面需求。

 

(1)加強(qiáng)國家宏觀調(diào)控。吸收發(fā)達(dá)國家網(wǎng)絡(luò)信息安全管理經(jīng)驗(yàn)，建立具有國家權(quán)威的網(wǎng)絡(luò)信息安全部門，由該部門對我國網(wǎng)絡(luò)信息安全體系建設(shè)路線、方針進(jìn)行統(tǒng)籌規(guī)劃。

 

(2)完善相關(guān)法律法規(guī)。進(jìn)一步完善我國相關(guān)網(wǎng)絡(luò)安全法律法規(guī)，保障信息安全產(chǎn)業(yè)的權(quán)益，加大對危害信息安全行為的處罰力度。

 

(3)鼓勵(lì)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域投資。從國家的角度，鼓勵(lì)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域投資包括加大財(cái)政對信息安全產(chǎn)業(yè)的直接投入，和給予信息安全產(chǎn)業(yè)相關(guān)企業(yè)、團(tuán)體政策支持和補(bǔ)貼，擴(kuò)大其發(fā)展規(guī)模。

 

(4)加強(qiáng)信息安全技術(shù)創(chuàng)新。我國目前正掀起“大眾創(chuàng)業(yè)，萬眾創(chuàng)新”的社會浪潮。在此背景之下，鼓勵(lì)安全信息技術(shù)創(chuàng)新，并給予高額獎勵(lì)，推動我國信息安全技術(shù)的發(fā)展。

 

4 結(jié)語

 

綜上，目前網(wǎng)絡(luò)信息安全正越來越受到關(guān)注。雖然目前有許多網(wǎng)絡(luò)安全產(chǎn)品保護(hù)用戶信息，但由于網(wǎng)絡(luò)自身仍存在安全隱患，因而來自外部攻擊難以從根本上消除。建立健全網(wǎng)絡(luò)信息安全體系，對未來促進(jìn)我國互聯(lián)網(wǎng)發(fā)展將發(fā)揮巨大作用。

篇5

關(guān)鍵詞：混業(yè)經(jīng)營；金融牌照；信息安全；管理體系

一、金控的定義與歷史機(jī)遇

（一）金控的定義

金控是金融控股的簡稱，是指在同一控制權(quán)下，完全或主要在銀行業(yè)、證券業(yè)、保險(xiǎn)業(yè)中至少兩個(gè)不同的行業(yè)提供服務(wù)的金融集團(tuán)。從定義上可以直接反映出金控公司的特點(diǎn)：多金融牌照混業(yè)經(jīng)營，由一家集團(tuán)母公司控股，通過子公司獨(dú)立運(yùn)作各項(xiàng)金融業(yè)務(wù)。

（二）金控的歷史機(jī)遇

金控公司出現(xiàn)之初，集團(tuán)母公司多是扮演財(cái)務(wù)投資的角色，不參與具體業(yè)務(wù)的運(yùn)營。隨著國家“十三五”工作的推進(jìn)，金融改革不斷深化和多元化，單一業(yè)務(wù)的聚集效應(yīng)在減弱，而以多業(yè)務(wù)構(gòu)建“客戶-平臺-資產(chǎn)”供應(yīng)鏈閉環(huán)生態(tài)系統(tǒng)的金控平臺則迎來其歷史發(fā)展機(jī)遇。其通過資源協(xié)同、渠道整合、交叉銷售等運(yùn)營模式，促進(jìn)供應(yīng)鏈上各項(xiàng)金融業(yè)務(wù)的聯(lián)動發(fā)展，最大程度地發(fā)揮了產(chǎn)品互補(bǔ)優(yōu)勢，提高效能，享受高額市場回報(bào)。

二、金控體系下信息化建設(shè)的重要性和安全需求

（一）信息化建設(shè)的重要性

打造金控體系下多牌照的閉環(huán)生態(tài)系統(tǒng)，離不開信息化平臺的建設(shè)。換個(gè)角度，信息系統(tǒng)是多牌照業(yè)務(wù)融合、產(chǎn)品創(chuàng)新和效能提升的一種有效手段。如通過信息化建設(shè)金控體系下統(tǒng)一的客戶系統(tǒng)、全面風(fēng)險(xiǎn)管理系統(tǒng)、產(chǎn)品銷售系統(tǒng)、大數(shù)據(jù)分析平臺等，可助力金控集團(tuán)建立品牌效應(yīng)，快速響應(yīng)多元化的市場需求，從而實(shí)現(xiàn)業(yè)務(wù)的爆發(fā)式增長?；谛畔⒒闹匾?，綜觀目前市場上的各類金控公司，都在大力發(fā)展信息化建設(shè)，尋找業(yè)務(wù)創(chuàng)新點(diǎn)，引領(lǐng)行業(yè)升級和搶占市場。

（二）信息安全需求分析

對于互聯(lián)網(wǎng)時(shí)代的金融企業(yè)來說，數(shù)據(jù)是核心，安全是生命線。隨著《網(wǎng)絡(luò)安全法》的實(shí)施，信息安全已上升到國家戰(zhàn)略層面，構(gòu)建金融企業(yè)的信息安全防護(hù)網(wǎng)勢在必行。對于金控公司來說，由于是混業(yè)經(jīng)營模式，旗下不同牌照的子公司，因其監(jiān)管部門不同以及對信息安全要求不一樣，在規(guī)劃其信息安全時(shí)，必須將多牌照的特點(diǎn)融入到安全體系內(nèi)，同時(shí)滿足信息安全和業(yè)務(wù)發(fā)展的平衡需求，以免顧此失彼，得不償失。

三、金控體系下信息安全體系規(guī)劃

建立一套金控公司的安全體系，必須同時(shí)從管理和技術(shù)角度進(jìn)行規(guī)劃，管理是運(yùn)營措施，而技術(shù)是操作手段，相輔相成，缺一不可。

（一）信息安全管理體系的規(guī)劃

1.對標(biāo)的選擇。建立一套信息安全體系，目前可對標(biāo)的標(biāo)準(zhǔn)和規(guī)范包括國際標(biāo)準(zhǔn)ISO27001、國家安全標(biāo)準(zhǔn)、各監(jiān)管機(jī)構(gòu)的安全指引、信息安全等級保護(hù)管理辦法，以及行業(yè)的最佳實(shí)踐等。對于金控信息安全管理體系的規(guī)劃，應(yīng)該以ISO27001為基礎(chǔ)，結(jié)合監(jiān)管的合規(guī)要求進(jìn)行編制。2.設(shè)計(jì)原則。通常情況下混業(yè)經(jīng)營企業(yè)在制定企業(yè)管理體系標(biāo)準(zhǔn)時(shí)要照顧到各方的使用需求，其標(biāo)準(zhǔn)具有通用性和廣泛性。具體使用部門或子公司可再結(jié)合自身業(yè)務(wù)特點(diǎn)，制定更具體的操作規(guī)范。但對于金控行業(yè)來說，由于旗下各子公司經(jīng)營的都是金融業(yè)務(wù)，對信息安全的要求比普通企業(yè)更嚴(yán)格，信息安全是其不可逾越的紅線。因此在為其設(shè)計(jì)信息安全管理體系時(shí)，應(yīng)反其道而行，從嚴(yán)要求，以最嚴(yán)格的標(biāo)準(zhǔn)進(jìn)行編制，做好頂層設(shè)計(jì)，然后根據(jù)各子公司的業(yè)務(wù)特點(diǎn)，對制度或規(guī)范做適當(dāng)?shù)牟脺p或降低等級要求。3.管理體系模型。信息安全管理體系是一個(gè)多層次的模型，如圖1所示。在該模型中，第一層是企業(yè)信息安全方針政策，說明企業(yè)信息安全總體目標(biāo)、范圍、原則和安全框架等；第二層是企業(yè)安全管理制度和規(guī)范，說明體系運(yùn)行所需要的通用管理要求；第三層屬于安全管理活動中，用于約束安全行為的具體方法；第四層是配套的表單和記錄，用于輔助制度和管理辦法的執(zhí)行。4.安全目標(biāo)和方針的設(shè)計(jì)。雖然是混業(yè)經(jīng)營，但對于金控集團(tuán)及旗下各子公司來說，信息安全的目標(biāo)應(yīng)該是一致的，本質(zhì)都是追求企業(yè)數(shù)據(jù)的保密性、完整性和可用性，所以安全方針可以基于集團(tuán)統(tǒng)一考慮，設(shè)計(jì)為：安全、合規(guī)、協(xié)同、務(wù)實(shí)。安全：以風(fēng)險(xiǎn)管控為核心，主動識別、管控并重，為用戶提供安全、可靠的信息技術(shù)服務(wù)。合規(guī)：按照國家法律法規(guī)及行業(yè)監(jiān)管要求，建立滿足集團(tuán)業(yè)務(wù)發(fā)展需求，并具有專業(yè)能力的信息安全管理機(jī)制。協(xié)同：全員參與，對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識和能力。務(wù)實(shí)：以經(jīng)濟(jì)適用為準(zhǔn)則，選擇適應(yīng)公司發(fā)展變化的業(yè)務(wù)架構(gòu)和穩(wěn)定靈活的技術(shù)架構(gòu)，滿足各業(yè)務(wù)條線的管理和決策需要。5.組織架構(gòu)的設(shè)計(jì)。信息安全方針的貫徹，安全制度的執(zhí)行，安全技術(shù)的部署，都需要通過安全管理組織來推行。各個(gè)模塊相互之間的關(guān)系如圖2所示。對于金控行業(yè)公司而言，由于多數(shù)子公司都是獨(dú)立法人，無法完全成立一個(gè)實(shí)體安全組織，而是一個(gè)橫跨集團(tuán)和各子公司的虛擬安全組織。為保證安全組織的有效性和執(zhí)行力，應(yīng)具有分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的特點(diǎn)。6.管理制度及規(guī)范的設(shè)計(jì)。管理制度和規(guī)范是屬于企業(yè)運(yùn)營措施，根據(jù)ISO27001標(biāo)準(zhǔn)模型，安全管理制度劃分了14個(gè)控制域，涵蓋的內(nèi)容如圖3所示。根據(jù)各控制域的關(guān)聯(lián)關(guān)系，結(jié)合金融企業(yè)的安全需求，企業(yè)的安全管理制度通用全景圖設(shè)計(jì)如圖4所示。

（二）信息安全技術(shù)體系規(guī)劃

技術(shù)體系屬于信息安全操作層面的內(nèi)容，應(yīng)該是圍繞整個(gè)數(shù)據(jù)生命周期展開規(guī)劃的。根據(jù)數(shù)據(jù)的運(yùn)動軌跡，經(jīng)歷“生產(chǎn)-傳輸-計(jì)算-存儲-消亡”等階段，所以信息安全技術(shù)體系的范圍，應(yīng)該涵蓋物理環(huán)境、基礎(chǔ)架構(gòu)（含虛擬化層）、應(yīng)用、數(shù)據(jù)和訪問控制等。一般通用的安全技術(shù)體系全景如圖5所示。由于安全技術(shù)需要部署大量的專業(yè)設(shè)備，對于混業(yè)經(jīng)營的金控公司而言，可以發(fā)揮集團(tuán)總部的先天優(yōu)勢，對于一些共性的安全技術(shù)方案，由集團(tuán)統(tǒng)一規(guī)劃和部署，然后為各子公司提供相應(yīng)的安全服務(wù)，減少投入，節(jié)約成本。例如防病毒系統(tǒng)，由集團(tuán)總部部署服務(wù)端，各子公司部署客戶端即可，類似的安全技術(shù)服務(wù)還有漏洞掃描系統(tǒng)、身份認(rèn)證系統(tǒng)、終端準(zhǔn)入系統(tǒng)、APT檢測系統(tǒng)、安全滲透服務(wù)、安全培訓(xùn)服務(wù)等。

四、金控體系下信息安全的實(shí)踐

由于是混業(yè)經(jīng)營，在組建了橫跨集團(tuán)和各子公司的安全組織后，還需要不斷地進(jìn)行實(shí)踐以達(dá)到最佳效果，以下是一些具有特色的實(shí)踐場景。

（一）信息安全事件的統(tǒng)一管理

信息安全事件的管理是安全制度之一，有效的事件管理可以積極發(fā)揮安全效能，提升全集團(tuán)的安全能力。1.情報(bào)共享，協(xié)同防護(hù)。在管理層面，原各業(yè)務(wù)子公司只會向其外部監(jiān)管部門報(bào)送安全信息，相互獨(dú)立，不能有效共享相關(guān)的安全情報(bào)。新的模式下要求子公司同時(shí)將安全信息上報(bào)集團(tuán)總部，總部通過分析后形成統(tǒng)一報(bào)告，再發(fā)放到各個(gè)子公司。通過這種方式，一方面可以實(shí)現(xiàn)情報(bào)共享，另一方面可以實(shí)現(xiàn)信息安全的統(tǒng)一管控，協(xié)調(diào)防護(hù)。2.統(tǒng)一監(jiān)控，快速反應(yīng)。在技術(shù)層面，可通過在子公司部署探針，建立集團(tuán)的統(tǒng)一安全監(jiān)控平臺，對集團(tuán)內(nèi)所有的安全日志進(jìn)行采集、分析、響應(yīng)，同時(shí)結(jié)合集團(tuán)和各子公司的安全保護(hù)措施對事件進(jìn)行快速處理，合縱連橫，從而保證整個(gè)集團(tuán)和各子公司信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

（二）子公司信息安全建設(shè)的管理

對于多牌照的金控公司來說，旗下各子公司業(yè)務(wù)種類不同，規(guī)模也有區(qū)別。在信息安全的建設(shè)方面，應(yīng)該有區(qū)分對待。對于規(guī)模較大的子公司，依靠自身力量建設(shè)了數(shù)據(jù)中心及安全體系的，除一些共性的安全技術(shù)方案可由集團(tuán)提供以外，其他的安全措施由子公司執(zhí)行，集團(tuán)主要是發(fā)揮標(biāo)準(zhǔn)制定和監(jiān)管的角色。對于規(guī)模較小的子公司，由于IT力量較弱，數(shù)據(jù)中心體量有限，很難依靠自身建設(shè)完整的信息安全保護(hù)體系。在監(jiān)管許可的情況下，可以將子公司的信息系統(tǒng)托管在集團(tuán)數(shù)據(jù)中心，由集團(tuán)進(jìn)行信息安全的統(tǒng)一規(guī)劃、建設(shè)和運(yùn)維。

（三）交叉檢查，取長補(bǔ)短

由于同屬于一個(gè)集團(tuán)，各子公司之間具有天然的信任感，通過集團(tuán)的統(tǒng)一組織和管理，可以促進(jìn)各子公司之間進(jìn)行信息安全的交叉檢查，在兄弟公司之間充分展示本單位的優(yōu)勢，取長補(bǔ)短，相互學(xué)習(xí)，共同進(jìn)步。

參考文獻(xiàn)：

[1]ISO27001：2013.信息安全管理體系標(biāo)準(zhǔn)[S].2013.

[2]中國銀行業(yè)監(jiān)督管理委員會.商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引[Z].2009.

篇6

【 關(guān)鍵詞 】 信息安全；信息安全保障體系；國家大劇院

Exploration of Information Security Framework for National Center for the Performing Arts

Liu Zhen-yu

（National Center for the Performing Arts BeiJing 100031）

【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that， information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique， management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.

【 Keywords 】 information security； information security framework； national center for the performing arts

1 背景

隨著信息技術(shù)的飛速發(fā)展，人類正以前所未有的速度進(jìn)入以網(wǎng)絡(luò)為主的信息時(shí)代，網(wǎng)絡(luò)的快速發(fā)展不僅促進(jìn)了人們的通信和交流，同時(shí)也帶來了商業(yè)和經(jīng)濟(jì)模式的巨大變革。

國家大劇院是國家新建的重要文化設(shè)施，也是一處別具特色的景觀勝地。作為北京市國家級標(biāo)志性文化設(shè)施，國家大劇院的建設(shè)與運(yùn)行體現(xiàn)了正在迅速崛起和復(fù)興的中國在精神文化領(lǐng)域的追求，因此，依托信息化手段宣傳和服務(wù)于廣大文化藝術(shù)愛好者是國家大劇院電子商務(wù)網(wǎng)站建設(shè)的宗旨，使之成為“國家表演藝術(shù)最高殿堂、藝術(shù)普及教育的引領(lǐng)者、中外藝術(shù)交流最大平臺、文化創(chuàng)意產(chǎn)業(yè)重要基地”。

國家大劇院網(wǎng)絡(luò)及信息系統(tǒng)從2007開始逐步建設(shè)，建設(shè)初期主要滿足國家大劇院演出宣傳、文藝教育、演出票務(wù)、公眾服務(wù)、內(nèi)部辦公和訪問互聯(lián)網(wǎng)的需求，官方網(wǎng)站電子商務(wù)平臺承擔(dān)著對外宣傳及網(wǎng)上售票業(yè)務(wù)。隨著國家大劇院近幾年影響力和地位的不斷提升以及業(yè)務(wù)的發(fā)展壯大，對信息化建設(shè)提出了更高要求，同時(shí)對信息安全的需求也越來越迫切，結(jié)合國家等級保護(hù)制度來進(jìn)行安全保障建設(shè)成為國家大劇院信息化建設(shè)的有益補(bǔ)充。

2 現(xiàn)狀及問題

目前國家大劇院局域網(wǎng)骨干帶寬為千兆，雙核心。已部署的安全設(shè)施，如在整個(gè)局域網(wǎng)的出口均部署了防火墻，內(nèi)網(wǎng)服務(wù)器域邊界部署了防火墻；在門戶網(wǎng)站出口部署了流量控制和入侵防御設(shè)備；內(nèi)部終端還廣泛部署了防病毒軟件，以防范計(jì)算機(jī)病毒在局域網(wǎng)內(nèi)傳播和破壞。國家大劇院正在運(yùn)行的業(yè)務(wù)系統(tǒng)主要包括網(wǎng)站系統(tǒng)、票務(wù)系統(tǒng)、藝術(shù)資料管理系統(tǒng)、OA系統(tǒng)、財(cái)務(wù)系統(tǒng)及郵件系統(tǒng)等。

根據(jù)對國家大劇院信息化及信息安全現(xiàn)狀的分析，結(jié)合國內(nèi)外信息安全發(fā)展態(tài)勢，發(fā)現(xiàn)國家大劇院面臨著一些信息安全問題及風(fēng)險(xiǎn)。

假冒網(wǎng)站、網(wǎng)站掛馬等安全風(fēng)險(xiǎn)。據(jù)權(quán)威統(tǒng)計(jì)，2011年下半年，檢測新增掛馬網(wǎng)站獨(dú)立網(wǎng)址246萬，平均每日100萬人次訪問此類掛馬鏈接，新增釣魚盜號欺詐類網(wǎng)站獨(dú)立網(wǎng)址492萬，共攔截10億余次釣魚盜號欺詐類網(wǎng)址，平均每日600萬人次訪問此類欺詐類鏈接。假冒網(wǎng)站獨(dú)占鰲頭的是電商網(wǎng)購類，而且仿冒范圍不斷擴(kuò)散，通過國家大劇院運(yùn)維人員統(tǒng)計(jì)觀察，越來越多的黑客、病毒、不法機(jī)構(gòu)和人員對國家大劇院電子商務(wù)網(wǎng)站系統(tǒng)的正常運(yùn)行產(chǎn)生威脅，網(wǎng)站業(yè)務(wù)系統(tǒng)隨時(shí)都可能遭受惡意攻擊。

系統(tǒng)入侵或網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。由于系統(tǒng)保護(hù)措施不到位，可能導(dǎo)致國家大劇院票務(wù)等對外網(wǎng)站系統(tǒng)的域名劫持、DDoS攻擊等安全風(fēng)險(xiǎn)。同時(shí)，也可能由于軟件漏洞或者安全意識單薄等造成內(nèi)部郵件等信息泄露。

非授權(quán)訪問風(fēng)險(xiǎn)。由于國家大劇院內(nèi)部辦公等信息系統(tǒng)邊界缺乏訪問控制設(shè)施，并且在網(wǎng)絡(luò)可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，未授權(quán)者可通過網(wǎng)絡(luò)非法訪問網(wǎng)站及系統(tǒng)服務(wù)器，并進(jìn)行非法讀取、篡改和破壞數(shù)據(jù)等不良行為，構(gòu)成對內(nèi)部數(shù)據(jù)及信息系統(tǒng)的重大隱患。

數(shù)據(jù)安全風(fēng)險(xiǎn)。媒資庫建設(shè)完成后將承載大量的媒體資料，這些有藝術(shù)價(jià)值的音像資料是國家大劇院的寶貴資產(chǎn)，一旦由于自然災(zāi)害、人員非法入侵、內(nèi)部人員誤操作等造成數(shù)據(jù)丟失損壞，將對國家大劇院造成重大損失。

媒體資源庫音像資料版權(quán)風(fēng)險(xiǎn)。目前，劇院已經(jīng)為視頻在線傳播及直播提供服務(wù)平臺，然而提供的音視頻服務(wù)面臨版權(quán)盜用、盜鏈和惡意下載等問題，容易對劇院和公眾利益帶來損害。

內(nèi)控管理風(fēng)險(xiǎn)。據(jù)權(quán)威調(diào)查報(bào)告顯示，內(nèi)部員工的粗心大意是企業(yè)信息安全的最大威脅，由此造成的安全事故高達(dá)78%。目前，由于國家大劇院內(nèi)部員工的安全意識還相對淡薄，存在進(jìn)入業(yè)務(wù)系統(tǒng)的登錄口令設(shè)置過于簡單，私自訪問不安全網(wǎng)站，私自接入不安全設(shè)備等問題，這些都給大劇院信息系統(tǒng)造成了極大的安全隱患和威脅。

3 信息安全保障體系探索

3.1 總體目標(biāo)

通過對國家大劇院信息安全現(xiàn)狀、問題以及信息安全建設(shè)需求的分析，可知國家大劇院信息安全保障體系建設(shè)的總體目標(biāo)是按照國家信息安全等級保護(hù)相關(guān)要求，從風(fēng)險(xiǎn)控制、技術(shù)設(shè)施、管理體制及運(yùn)維服務(wù)等方面入手，基于成熟的安全技術(shù)，借鑒先進(jìn)可行的管理理念，加強(qiáng)外御威脅防護(hù)、構(gòu)建內(nèi)控管理機(jī)制、強(qiáng)化數(shù)據(jù)保護(hù)措施，建立和完善信息安全管理體制，加強(qiáng)安全服務(wù)保障，設(shè)計(jì)適合國家大劇院信息化發(fā)展的安全保障體系，從而確保業(yè)務(wù)流程可控、業(yè)務(wù)狀態(tài)可視，保障業(yè)務(wù)整體安全。

3.2 設(shè)計(jì)思路

針對國家大劇院安全保障目標(biāo)，在信息安全保障體系設(shè)計(jì)上基于幾種設(shè)計(jì)思路。

3.2.1構(gòu)建網(wǎng)站可信機(jī)制

通過第三方網(wǎng)站身份誠信認(rèn)證來確保網(wǎng)站真實(shí)性，可幫助網(wǎng)民判斷網(wǎng)站的真實(shí)性。同時(shí)，基于可信證書類產(chǎn)品，確保系統(tǒng)管理用戶身份的真實(shí)性。其次，借助社會力量來實(shí)現(xiàn)假冒網(wǎng)站的定位、侵權(quán)取證等服務(wù)，從而有效打擊防范欺詐類網(wǎng)站并且協(xié)助維權(quán)。

3.2.2建設(shè)安全可靠的辦公網(wǎng)絡(luò)平臺

積極推進(jìn)信息安全等級保護(hù)建設(shè)，通過制定安全策略、部署安全設(shè)備，完善安全保密管理制度，加強(qiáng)安全運(yùn)維支撐建設(shè)，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、流程安全、人員安全等多方面保障系統(tǒng)的安全穩(wěn)定運(yùn)行。

3.2.3建立網(wǎng)絡(luò)信任服務(wù)

通過為網(wǎng)絡(luò)管理員、網(wǎng)站維護(hù)人員頒發(fā)數(shù)字證書，部署網(wǎng)絡(luò)可信接入及遠(yuǎn)程安全接入設(shè)施來構(gòu)建劇院內(nèi)部的網(wǎng)絡(luò)信任服務(wù)體系，保證信息系統(tǒng)及媒資庫資源的可靠訪問，確保我院信息資源安全。

3.3 體系框架

在國家大劇院信息系統(tǒng)安全保障體系設(shè)計(jì)以及實(shí)現(xiàn)中，將在國家相關(guān)的安全政策、法規(guī)、標(biāo)準(zhǔn)、要求的指導(dǎo)下，制定可具體操作的安全策略，構(gòu)建國家大劇院網(wǎng)站系統(tǒng)安全技術(shù)系統(tǒng)、安全管理體系以及安全運(yùn)行體系，形成集防護(hù)、檢測、評估、響應(yīng)、恢復(fù)于一體的整體安全保障體系，從而實(shí)現(xiàn)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全，以滿足國家大劇院網(wǎng)站系統(tǒng)全方位的安全保護(hù)需求。國家大劇院信息系統(tǒng)整體安全保障體系模型如圖1所示。

國家大劇院信息系統(tǒng)整體安全保障體系模型主要由三個(gè)方面組成。

3.3.1安全技術(shù)體系

參考國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》按照威脅分析，將信息資產(chǎn)劃分為若干保護(hù)對象，并按照“一個(gè)中心”管理下的“三重保護(hù)”的設(shè)計(jì)框架，構(gòu)建國家大劇院信息安全技術(shù)體系保障機(jī)制和策略，為國家大劇院信息系統(tǒng)的運(yùn)行提供安全保護(hù)環(huán)境。該環(huán)境共包括四部分：安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心。

3.3.2安全管理體系

以國家大劇院現(xiàn)有業(yè)務(wù)系統(tǒng)所服務(wù)對象為基礎(chǔ)，建立完善的安全管理體系，建立信息安全管理機(jī)構(gòu)、制定信息安全管理制度、設(shè)置信息安全管理崗位。

3.3.3安全運(yùn)維服務(wù)體系

針對業(yè)務(wù)安全運(yùn)行的需要，以日常巡檢、咨詢、評估等建立有效的運(yùn)維服務(wù)機(jī)制，加強(qiáng)對資產(chǎn)管理的分析、隱患發(fā)現(xiàn)、策略審核考評等，不斷發(fā)現(xiàn)平臺在運(yùn)行中的安全隱患，降低系統(tǒng)脆弱性和面臨潛在的威脅帶來的影響及損失，以及時(shí)對安全策略實(shí)現(xiàn)完善和防護(hù)措施的改進(jìn)提升。

3.4 信息安全體系建設(shè)實(shí)踐

國家大劇院信息安全保障工作經(jīng)過長期的努力，已經(jīng)初見成效。在安全體系的建設(shè)實(shí)踐中，總結(jié)出幾點(diǎn)實(shí)踐經(jīng)驗(yàn)。

3.4.1制定標(biāo)準(zhǔn)規(guī)范，奠定保障基礎(chǔ)

信息安全保障建設(shè)的一項(xiàng)重要工作之一是參照國家等級保護(hù)的技術(shù)要求完成相應(yīng)的合規(guī)性檢查。因此，國家大劇院應(yīng)據(jù)此建立適合國家大劇院的信息安全管理基線，堅(jiān)持常態(tài)化管理和動態(tài)控制，達(dá)到并保持國家相關(guān)安全主管部門的安全審計(jì)要求。

3.4.2重視管理，制度先行

信息安全是一個(gè)動態(tài)發(fā)展的過程，每年隨著業(yè)務(wù)發(fā)展變化而變化，同時(shí)隨著信息安全技術(shù)的不斷演變，都會出現(xiàn)新的安全防護(hù)技術(shù)的使用。經(jīng)過多年實(shí)踐證明，每個(gè)系統(tǒng)或者防護(hù)設(shè)備上線前，都必須在遵守總體防護(hù)規(guī)范的前提下，編制好具有針對性的管理要求，才有有效降低安全風(fēng)險(xiǎn)引入的可能。

3.4.3定期組織代碼審計(jì)和滲透測試等系統(tǒng)檢測

代碼安全審計(jì)是通過人工分析和工具掃描的方式檢驗(yàn)應(yīng)用程序的源代碼，利用大量的代碼安全規(guī)則，來分析源代碼中的違反規(guī)則部分，進(jìn)而確定可能存在的安全漏洞和隱患。應(yīng)用系統(tǒng)生命周期安全的從SDL實(shí)踐上看，安全做的越早效果越好（但開發(fā)模式改動的成本也相對比較大），代碼審計(jì)作為保證代碼安全的最低低線，其作用是不可取代的。

另外，除了從代碼開發(fā)過程中保證開發(fā)出安全的應(yīng)用系統(tǒng)以外，針對已開發(fā)的系統(tǒng)，國家大劇院還組織第三方測試機(jī)構(gòu)，從攻擊者視角檢測信息系統(tǒng)安全防護(hù)能力是否達(dá)到，是否存在成功攻入系統(tǒng)的途徑。

4 信息安全建設(shè)意義

通過構(gòu)建信息安全保障平臺，保障我劇院信息系統(tǒng)可安全合規(guī)運(yùn)行?；趪倚畔踩燃壉Ｗo(hù)制度要求，建設(shè)國家大劇院信息系統(tǒng)整體安全保障體系模型信息安全保障基礎(chǔ)設(shè)施，制定安全策略，為國家大劇院系統(tǒng)提供安全可靠的運(yùn)行環(huán)境。

提高國家大劇院電子票務(wù)等信息系統(tǒng)的安全運(yùn)行平穩(wěn)度。通過在信息安全技術(shù)、信息安全保密管理等多維度的體系保障建設(shè)，保障網(wǎng)站真實(shí)性、打擊假冒網(wǎng)站，大大提高國家大劇院信息系統(tǒng)安全穩(wěn)定運(yùn)行的平穩(wěn)度。

提高用戶的安全便捷以及系統(tǒng)安全管理能力。通過構(gòu)建可信的電子票務(wù)運(yùn)營環(huán)境，為用戶提供身份認(rèn)證及網(wǎng)絡(luò)信任機(jī)制，加強(qiáng)用戶的身份、資金安全保障，并且提高系統(tǒng)安全管理能力。

提升安全隱患發(fā)現(xiàn)能力。安全隱患的發(fā)現(xiàn)能力是信息安全管理中的關(guān)鍵能力，關(guān)系到能否將風(fēng)險(xiǎn)消除在事件發(fā)生之前。通過建立入侵監(jiān)測系統(tǒng)、防病毒系統(tǒng)以及定期的安全脆弱性檢測等，大大提升我劇院信息系統(tǒng)的安全隱患發(fā)現(xiàn)能力。

5 結(jié)束語

建設(shè)和完善信息安全保障體系是為了保證國家大劇院的業(yè)務(wù)在今后發(fā)展過程中對信息安全建設(shè)的要求。

信息安全保障體系建設(shè)涵蓋安全管理體系、安全技術(shù)體系、安全運(yùn)維體系的復(fù)雜系統(tǒng)工程，是一項(xiàng)長期性的專業(yè)的細(xì)致的認(rèn)為，需要以信息安全技術(shù)為基礎(chǔ)，持續(xù)投入大量的人力和物力。為使國家大劇院建設(shè)成為國際化、現(xiàn)代化的大劇院提供有力的信息安全保障。

參考文獻(xiàn)

[1] 關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見（國發(fā)[2012]23號）.

[2] 信息安全管理實(shí)用規(guī)則（GB/T 22081-2008）.

[3] 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求（GBT25070-2010）.

[4] 信息系統(tǒng)安全等級保護(hù)體系框架（GA/T 708-2007）.

[5] 國家大劇院電子商務(wù)網(wǎng)站系統(tǒng)安全保障方案.內(nèi)部資料，2010.

[6] 國家大劇院安全服務(wù)保障方案.內(nèi)部資料，2011.

篇7

關(guān)鍵詞：安全機(jī)制 電力公司 信息管理

【分類號】：TM73

二十一世紀(jì)是一個(gè)信息的時(shí)代，隨著電網(wǎng)規(guī)模的擴(kuò)大和改革的深入，企業(yè)各部門之間、企業(yè)和社會之間信息的交換也更加頻繁，對信息的及時(shí)性、準(zhǔn)確性和可靠性的要求越來越高。因此，基于當(dāng)前安全機(jī)制下，電力公司對信息管理要求也將越來越高。

一、電力企業(yè)信息網(wǎng)絡(luò)系統(tǒng)存在的安全問題

隨著電力企業(yè)互聯(lián)網(wǎng)的發(fā)展，其信息網(wǎng)絡(luò)的安全也日益尖銳。網(wǎng)絡(luò)的信息安全是一種涉及了通信技術(shù)、計(jì)算機(jī)技術(shù)、信息安全技術(shù)、密碼技術(shù)等多種技術(shù)的邊緣綜合性學(xué)科，國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、可靠性及保密性”，但因其是新生事物，人們接觸它主要忙于工作、學(xué)習(xí)和娛樂，對于它的安全性，則無暇顧及，從下到下普遍存在僥幸心理，沒有形成主動防范、積極應(yīng)對的意識，所以很難從根本上提高網(wǎng)絡(luò)監(jiān)測、抗擊、防護(hù)等能力。

其次，在整體運(yùn)行管理過程中，有關(guān)信息安全的政策、手段都存在問題，如因互聯(lián)網(wǎng)復(fù)雜多變，網(wǎng)絡(luò)用戶對此缺乏足夠的認(rèn)識，在未進(jìn)入安全狀態(tài)時(shí)就急于操作，導(dǎo)致敏感數(shù)據(jù)暴露，使系統(tǒng)遭受了風(fēng)險(xiǎn)；還有很多用戶都越來越以來“銀彈”方案，即加上防火墻或者加密技術(shù)，使用戶產(chǎn)生了虛假的安全感，喪失了警惕。

還有，不少單位沒有從管理制度上建立相應(yīng)的安全防范機(jī)制，在整個(gè)運(yùn)行過程中，缺乏行之有效的安全檢查制度，這些不完善的制度滋長了網(wǎng)絡(luò)管理者和內(nèi)部人士自身的違法行為。

二、當(dāng)前電力公司網(wǎng)絡(luò)信息安全的技術(shù)手段

而隨著電力體制改革的不斷深化，計(jì)算機(jī)網(wǎng)絡(luò)將承載著大量的企業(yè)生產(chǎn)和經(jīng)營的重要數(shù)據(jù)。所以，保障計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全、穩(wěn)定運(yùn)行至關(guān)重要，目前確保電力公司信息安全技術(shù)有如下幾種：

1、 防病毒技術(shù)

計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序，其在網(wǎng)上的傳播極其迅速，且傳播具有相當(dāng)大的隨機(jī)性，從而增加了網(wǎng)絡(luò)防殺病毒的難度，所以，這就要求做到對整個(gè)網(wǎng)絡(luò)集中進(jìn)行病毒防范、統(tǒng)一管理，在預(yù)定時(shí)間自動從網(wǎng)站下載最新的升級文件，并自動分發(fā)到局域網(wǎng)中所有安裝防病毒軟件的機(jī)器上。

2、入侵檢測技術(shù)

入侵檢測是對入侵行為的發(fā)覺，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

3、風(fēng)險(xiǎn)評估技術(shù)

風(fēng)險(xiǎn)評估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識庫，對目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查，它包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報(bào)告服務(wù)進(jìn)程，提取對象信息，以及評測風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。

除了上述幾種技術(shù)之外，還有一些被廣泛應(yīng)用的安全技術(shù)，如虛擬專用網(wǎng)VPN技術(shù)、虛擬局域網(wǎng)VLAN技術(shù)、身份驗(yàn)證、安全協(xié)議等，網(wǎng)絡(luò)的信息安全是一個(gè)系統(tǒng)的工程，只有根據(jù)實(shí)際情況、綜合各安全技術(shù)的優(yōu)點(diǎn)，才能形成一個(gè)由多種安全技術(shù)構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)。

三、電力企業(yè)網(wǎng)絡(luò)安全防范措施

1、完善網(wǎng)絡(luò)信息安全的管理機(jī)制

首先，網(wǎng)絡(luò)與信息安全需要制度化、規(guī)范化，將網(wǎng)絡(luò)信息安全管理納入到安全生產(chǎn)管理體系中，制定相應(yīng)的管理制度，比如建立用戶權(quán)限管理制度、網(wǎng)絡(luò)信息安全管理制度、病毒防范制度等，這一旦形成，就必須嚴(yán)格執(zhí)行，保證落實(shí)。同時(shí)，明確網(wǎng)絡(luò)與信息安全體系的四個(gè)關(guān)鍵系統(tǒng)，即安全決策指揮系統(tǒng)、安全管理制度系統(tǒng)、安全管理技術(shù)系統(tǒng)和安全教育培訓(xùn)系統(tǒng)，實(shí)行企業(yè)行政正職負(fù)責(zé)制，明確主管領(lǐng)導(dǎo)部門職責(zé)。

2、強(qiáng)化企業(yè)內(nèi)部人員安全培訓(xùn)

根據(jù)企業(yè)性質(zhì)與人員的職責(zé)、業(yè)務(wù)不同，將安全培訓(xùn)分成三個(gè)不同的層次，即初級、中級和高級，初級培訓(xùn)可針對全部人員，主要強(qiáng)化員工安全意識和責(zé)任；中級培訓(xùn)對象一般包括高層領(lǐng)導(dǎo)、技術(shù)管理人員、合同管理者等，培訓(xùn)內(nèi)容包括安全核心知識、風(fēng)險(xiǎn)管理、資源需求與合同需求。高級安全培訓(xùn)的人群包括信息安全人員、系統(tǒng)管理人員，內(nèi)容主要包括操作/應(yīng)用系統(tǒng)、協(xié)議、安全工具、技術(shù)控制、風(fēng)險(xiǎn)評估、安全計(jì)劃和認(rèn)證與評估，旨在提高企業(yè)的整體安全管理。

綜上所述，企業(yè)必須充分重視網(wǎng)絡(luò)信息系統(tǒng)的安全威脅所在，制定保障網(wǎng)絡(luò)安全的應(yīng)對措施，落實(shí)嚴(yán)格的安全管理制度，才能使網(wǎng)絡(luò)信息得以安全運(yùn)行。

參考文獻(xiàn)

1、孟洛明，亓峰?《現(xiàn)代網(wǎng)絡(luò)管理技術(shù)》，北京郵電大學(xué)出版社2001

篇8

公安部網(wǎng)絡(luò)安全保衛(wèi)局副局長顧堅(jiān)指出，當(dāng)前，社會對信息網(wǎng)絡(luò)的依賴與日俱增，信息安全成為國家安全的基礎(chǔ)，已全面影響到世界的政治、經(jīng)濟(jì)、文化和未來戰(zhàn)爭，成為世界各國普遍關(guān)注的戰(zhàn)略問題。

中國工程院院士、中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專委會主任方濱興表示，“十二五”期間，信息安全業(yè)界要重點(diǎn)關(guān)注的問題包括：信息系統(tǒng)安全、信息（數(shù)據(jù)）自身安全、信息利用安全及信息技術(shù)尤其是新信息網(wǎng)絡(luò)技術(shù)的安全。通過對這四方面問題的研究，要達(dá)到以下目標(biāo)：完善面向可用性的信息安全對抗體系和面向可信性的信息資源保障體系，提升面向可控性的網(wǎng)絡(luò)信息管控水平，構(gòu)建面向網(wǎng)絡(luò)新技術(shù)的安全應(yīng)用支撐體系。

就工業(yè)控制系統(tǒng)的安全保護(hù)問題，國家信息化專家咨詢委員會委員崔書昆認(rèn)為，在我國，加強(qiáng)工業(yè)控制系統(tǒng)的保護(hù)勢在必行。一是要把工業(yè)控制系統(tǒng)納入到信息網(wǎng)絡(luò)安全保障的管理范圍及防護(hù)體系中；二是要加快制定工業(yè)控制系統(tǒng)的法律法規(guī)和安全技術(shù)標(biāo)準(zhǔn)的建設(shè)步伐；三是要加強(qiáng)工業(yè)控制系統(tǒng)安全技術(shù)的研究、開發(fā)與應(yīng)用；四是要提高業(yè)內(nèi)人士對工業(yè)控制系統(tǒng)的安全保護(hù)意識。

篇9

今年的RSA大會，特別強(qiáng)調(diào)了“運(yùn)用集體智慧”。不管是信息安全領(lǐng)域還是其他領(lǐng)域，人們強(qiáng)調(diào)集體與協(xié)作，就意味著對手非常復(fù)雜、非常強(qiáng)大。顯然，在互聯(lián)網(wǎng)化的趨勢下，信息安全成為每個(gè)人身邊越來越嚴(yán)峻的挑戰(zhàn)。

四項(xiàng)原則

大會上，EMC公司執(zhí)行副總裁兼EMC信息安全事業(yè)部RSA執(zhí)行主席亞瑟·科維洛發(fā)表了開幕主題演講。他就互聯(lián)網(wǎng)上的網(wǎng)絡(luò)戰(zhàn)爭、監(jiān)控、隱私、互信等重要問題，極富激情地呼吁各國政府及行業(yè)間要增強(qiáng)合作。

科維洛提出了四項(xiàng)指導(dǎo)原則以確?；ヂ?lián)網(wǎng)的安全：一是放棄使用網(wǎng)絡(luò)武器并放棄利用互聯(lián)網(wǎng)發(fā)動戰(zhàn)爭；二是合作調(diào)查、逮捕和網(wǎng)絡(luò)罪犯；三是確?；ヂ?lián)網(wǎng)上的經(jīng)濟(jì)活動能夠不受約束地進(jìn)行，知識產(chǎn)權(quán)得到保護(hù)；四是尊重和確保每個(gè)人的隱私?！拔覀儽仨毾裨鲪汉宋淦骱突瘜W(xué)武器一樣憎惡網(wǎng)絡(luò)戰(zhàn)爭。”科維洛說。

筆者認(rèn)為，這四項(xiàng)原則具有漸進(jìn)式的關(guān)系，網(wǎng)絡(luò)戰(zhàn)爭是首先要解決的問題。信息安全就是一場攻防戰(zhàn)，只要有人發(fā)起攻擊、有人犯罪，就會有人進(jìn)行防御、有人對抗犯罪。在信息技術(shù)普及的今天，每個(gè)人都手持智能移動終端（智能手機(jī)或平板電腦）甚至可穿戴智能設(shè)備，利用互聯(lián)網(wǎng)進(jìn)行犯罪將產(chǎn)生極為惡劣的影響；而保護(hù)每個(gè)人的隱私是終極目標(biāo)，安恒信息總裁范淵認(rèn)為，大數(shù)據(jù)的價(jià)值在于分析和利用，它也為隱私安全帶來嚴(yán)峻的挑戰(zhàn)，而且必須面對。

中國力量

如果說，每年的RSA大會是各個(gè)信息安全廠商的一大“秀”場，那么中國廠商正變得越來越靚麗。當(dāng)然，在強(qiáng)調(diào)集體智慧與協(xié)作的“RSA 2014”，也離不開中國信息安全廠商的參與和創(chuàng)新。

參加RSA大會的天融信軟件產(chǎn)品線總監(jiān)張鳳羽認(rèn)為，面對花樣繁多的終端類型及接入方式，面對服務(wù)端、云端不斷虛擬化，面對業(yè)務(wù)層面的接入、傳輸、用戶身份識別，面對大數(shù)據(jù)的安全、分析等各種各樣的問題，傳統(tǒng)的安全管理平臺顯得應(yīng)對乏力。而通過天融信“大安管”構(gòu)建起的技術(shù)體系，能夠全面掌控日益擴(kuò)展的安全信息范圍，并進(jìn)行更為準(zhǔn)確的分析，體現(xiàn)更高的管理價(jià)值。

據(jù)了解，“大安管”平臺除了具備傳統(tǒng)安管平臺數(shù)據(jù)采集、運(yùn)行監(jiān)測、響應(yīng)報(bào)警、業(yè)務(wù)處理、綜合分析等功能特點(diǎn)外，隨著引擎管理層的增加，將眾多安全引擎進(jìn)行有機(jī)整合，在實(shí)現(xiàn)大數(shù)據(jù)的高效采集、存儲、挖掘分析和可視化綜合展示的同時(shí)，實(shí)現(xiàn)針對用戶身份、終端管控、流量分析、業(yè)務(wù)審計(jì)、邊界安全等多方面的統(tǒng)一安全策略管理。

風(fēng)向標(biāo)

當(dāng)然，RSA大會也是信息安全技術(shù)和產(chǎn)品發(fā)展趨勢的風(fēng)向標(biāo)。如山石網(wǎng)科展出了下一代智能防火墻（iNGFW）的最新產(chǎn)品和基于iNGFW的多種部署環(huán)境的解決方案。其下一代防火墻主打“智能”牌，大會上展出的兩款iNGFW新品也屬首次亮相，并將于今年4月在中國正式。同時(shí)，360“天”字號產(chǎn)品悉數(shù)亮相，包括2013年底剛剛的企業(yè)移動解決方案“360天機(jī)”，以及自稱為“中國版FireEye”的APT防護(hù)產(chǎn)品“360天眼”等。

篇10

電力是人民生活、經(jīng)濟(jì)進(jìn)步不可或缺的必需品，美國作為世界第一大經(jīng)濟(jì)體，提供可靠的電力供應(yīng)是維持社會穩(wěn)定、保證經(jīng)濟(jì)社會平穩(wěn)發(fā)展的必然要求。但隨著通用網(wǎng)絡(luò)與信息技術(shù)在電力系統(tǒng)中的使用，病毒、網(wǎng)絡(luò)攻擊給電力生產(chǎn)帶來了信息安全風(fēng)險(xiǎn)，尤其美國部分落后地區(qū)電網(wǎng)基礎(chǔ)設(shè)施陳舊，測控與保護(hù)系統(tǒng)缺少安全防護(hù)機(jī)制，一旦遭受信息安全攻擊，不僅造成本地區(qū)的電力故障，還可能影響北美地區(qū)的電力供應(yīng)。2003年美國東北部和加拿大部分地區(qū)發(fā)生大面積停電就是典型的連鎖反應(yīng)事故。隨著美國智能電網(wǎng)建設(shè)的推進(jìn)，更加開放與友好的電網(wǎng)讓美國的電力供應(yīng)面臨更多威脅。2009年的美國黑帽大會上就有人演示驗(yàn)證了蠕蟲可以在24h內(nèi)感染智能電表，使1.5萬戶家庭電力供應(yīng)陷入癱瘓[1]。針對基礎(chǔ)設(shè)施信息安全的嚴(yán)峻形勢，美國聯(lián)邦政府下屬多個(gè)機(jī)構(gòu)都對電力系統(tǒng)的信息安全給予高度重視，投入資金進(jìn)行相關(guān)的研究與標(biāo)準(zhǔn)制定工作，經(jīng)過近10a的發(fā)展，美國政府相關(guān)部門在工業(yè)控制尤其是電力系統(tǒng)信息安全防護(hù)方面，先后經(jīng)歷了交流研究、立法規(guī)范、推行標(biāo)準(zhǔn)和當(dāng)前的智能電網(wǎng)安全試點(diǎn)投資建設(shè)階段，目前信息安全工作已經(jīng)取得了一定的成果，的標(biāo)準(zhǔn)和指南被世界范圍內(nèi)電力行業(yè)信息安全相關(guān)工作人員參考和使用。

本文在對美國電力行業(yè)信息安全相關(guān)政府部門和標(biāo)準(zhǔn)組織的工作進(jìn)行總結(jié)的基礎(chǔ)上，對影響力比較大的法規(guī)、標(biāo)準(zhǔn)、及相關(guān)指導(dǎo)文件進(jìn)行了解讀，并分析了美國電力行業(yè)信息安全工作的特點(diǎn)。

1美國電力行業(yè)信息安全管理模式

1.1美國電力行業(yè)信息安全研究與管理組織結(jié)構(gòu)

美國聯(lián)邦政府對電力系統(tǒng)的信息安全工作極為關(guān)注，國會多項(xiàng)法案，賦予下屬多個(gè)部門管理權(quán)利與相關(guān)職能。在電力企業(yè)與機(jī)構(gòu)信息安全監(jiān)管方面，遵循已有的電力企業(yè)監(jiān)管方式，授權(quán)聯(lián)邦一級的聯(lián)邦能源管理委員會(FederalEnergyRegulatoryCommission，F(xiàn)ERC)監(jiān)管包括信息安全標(biāo)準(zhǔn)在內(nèi)的電力可靠性標(biāo)準(zhǔn)的推行。在電力行業(yè)信息安全研究與指導(dǎo)方面，美國能源部(DepartmentofEnergy，DOE)下屬多個(gè)能源實(shí)驗(yàn)室從事信息安全的研究，研發(fā)的信息安全防護(hù)措施與技術(shù)直接用于電力相關(guān)示范項(xiàng)目中。在信息安全標(biāo)準(zhǔn)化方面，商務(wù)部下屬美國國家標(biāo)準(zhǔn)技術(shù)研究院(NationalInstituteofStandardsandTechnology，NIST)致力于工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)和智能電網(wǎng)信息安全標(biāo)準(zhǔn)的制定，形成了大量研究成果，為電力企業(yè)實(shí)施信息安全防護(hù)提供了指南。此外，美國國土安全部(DepartmentofHomelandSecurity，DHS)負(fù)責(zé)信息安全威脅分析與信息安全事件的應(yīng)急響應(yīng)，每年都組織包含電網(wǎng)等基礎(chǔ)設(shè)施在內(nèi)的大規(guī)模信息安全演練。

1.2國土安全部

美國國土安全部(DHS)是美國聯(lián)邦政府的一個(gè)內(nèi)閣部門，主要職責(zé)包括保護(hù)美國免受恐怖組織的攻擊，同時(shí)在發(fā)生自然災(zāi)害時(shí)進(jìn)行緊急響應(yīng)。

DHS在2006年、2008年和2010年分別進(jìn)行了3次網(wǎng)絡(luò)風(fēng)暴(cyberstorm)演習(xí)。網(wǎng)絡(luò)風(fēng)暴演習(xí)模擬美國關(guān)鍵基礎(chǔ)設(shè)施遭受大規(guī)模網(wǎng)絡(luò)攻擊時(shí)，網(wǎng)絡(luò)應(yīng)急響應(yīng)團(tuán)體中各政府部分與相關(guān)企業(yè)聯(lián)合應(yīng)對的情況，旨在檢測并加強(qiáng)政企合作的網(wǎng)絡(luò)防災(zāi)和響應(yīng)能力。

DHS還負(fù)責(zé)控制系統(tǒng)安全項(xiàng)目(controlsystemssecurityprogram，CSSP)的執(zhí)行，通過聯(lián)邦、州、地區(qū)政府部門和工業(yè)控制系統(tǒng)所有者、運(yùn)營商和廠商的共同努力，降低關(guān)鍵基礎(chǔ)設(shè)施面臨的信息安全風(fēng)險(xiǎn)。項(xiàng)目下設(shè)工業(yè)控制系統(tǒng)聯(lián)合工作組(industrialcontrolsystemsjointworkinggroup，CSJWG)，為聯(lián)邦機(jī)構(gòu)內(nèi)所有關(guān)鍵基礎(chǔ)設(shè)施和重要能源部門(criticalinfrastructureandkeystructures，CIKR)，以及工業(yè)控制系統(tǒng)私營企業(yè)提供交流的渠道，加速設(shè)計(jì)、開發(fā)和部署安全的工業(yè)控制系統(tǒng)，持續(xù)加強(qiáng)利益相關(guān)者在信息安全工作方面的合作。

1.1 能源部及相關(guān)單位

    1.3.1美國能源部

美國能源部(DOE)是美國聯(lián)邦政府的能源主管部門，主要負(fù)責(zé)制定和實(shí)施國家綜合能源戰(zhàn)略和政策。具體職責(zé)包括：收集、分析和研究能源信息，提出能源政策方案，制定能源發(fā)展與能源安全戰(zhàn)略，研究開發(fā)安全、環(huán)保和有競爭力的能源新產(chǎn)品等。在推進(jìn)電力安全防護(hù)工作方面，DOE在2003年就提出了《保護(hù)SCADA系統(tǒng)信息安全的21步》，還資助美國電力科學(xué)研究院(ElectricPowerResearchInstitute，EPRI)和多個(gè)能源實(shí)驗(yàn)室進(jìn)行電力系統(tǒng)信息安全風(fēng)險(xiǎn)與防護(hù)技術(shù)的研究。

1.3.2美國聯(lián)邦能源管理委員會

美國聯(lián)邦能源管理委員會(FERC)是一個(gè)內(nèi)設(shè)于美國能源部的獨(dú)立監(jiān)管機(jī)構(gòu)，前身是成立于1920年的聯(lián)邦電力委員會(FederalPowerCommission，F(xiàn)PC)。委員會的主要職責(zé)是負(fù)責(zé)依法制定聯(lián)邦政府職權(quán)范圍內(nèi)的能源監(jiān)管政策并實(shí)施監(jiān)管，具體包括監(jiān)管跨州的電力銷售、批發(fā)電價(jià)、水電建設(shè)許可證、天然氣定價(jià)和石油管道運(yùn)輸費(fèi)。

《2005年能源政策法案》授權(quán)FERC監(jiān)督主干電網(wǎng)強(qiáng)制可靠性標(biāo)準(zhǔn)的實(shí)施。2007年7月，F(xiàn)ERC批準(zhǔn)由北美電力可靠性組織(NorthAmericanElectricReliabilityCorporation，NERC)制定的《關(guān)鍵設(shè)施保護(hù)》(criticalinfrastructureprotection，CIP)標(biāo)準(zhǔn)為強(qiáng)制標(biāo)準(zhǔn)，要求各相關(guān)企業(yè)執(zhí)行，旨在保護(hù)電網(wǎng)，預(yù)防由于薄弱的訪問控制、軟件漏洞或其他控制系統(tǒng)漏洞而導(dǎo)致的信息系統(tǒng)攻擊事件的發(fā)生。1.3.3北美電力可靠性協(xié)會北美電力可靠性組織(NERC)是一個(gè)非營利性組織，其前身是1968年6月成立的國家電力可靠性委員會(NationalElectricReliabilityCouncil，NERC)。1965年發(fā)生美國東北部大停電之后，各電力企業(yè)為促進(jìn)北美電力傳輸?shù)目煽啃?、保證電網(wǎng)輸電能力，聯(lián)合成立了該委員會。1981年由于加拿大和墨西哥的加入，NERC改名為北美電力可靠性協(xié)會(NorthAmericanElectricReliabilityCouncil)。NERC的主要工作包括組織制定電力系統(tǒng)運(yùn)行標(biāo)準(zhǔn)、監(jiān)督和推進(jìn)標(biāo)準(zhǔn)的執(zhí)行、評估系統(tǒng)的能力和提供培訓(xùn)服務(wù)。NERC還對重大的電力系統(tǒng)故障進(jìn)行調(diào)查和分析，以防類似事件的再次發(fā)生。NERC的成立極大地推動了電力系統(tǒng)可靠性理論的研究及其在工程實(shí)際中的應(yīng)用，同時(shí)也帶動了世界各國電力可靠性管理工作的開展。

《2005年美國能源政策法案》提出成立“電力可靠性組織”(electricreliabilityorganization，ERO)，制定并推行強(qiáng)制可靠性標(biāo)準(zhǔn)。2006年，NERC被授予該職能。2007年，NERC正式更名為北美電力可靠性組織。NERC的一系列CIP標(biāo)準(zhǔn)，被FERC認(rèn)證為強(qiáng)制標(biāo)準(zhǔn)，在美國50個(gè)州和加拿大部分省份強(qiáng)制執(zhí)行。美國的電力公司一旦違反這些標(biāo)準(zhǔn)，將被處罰最高每天100萬USD的罰金。

1.4美國電力行業(yè)信息安全標(biāo)準(zhǔn)研究與制定機(jī)構(gòu)

    1.4.1美國國家標(biāo)準(zhǔn)技術(shù)研究院

美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)是美國商務(wù)部下屬非監(jiān)管聯(lián)邦機(jī)構(gòu)，其前身是1901年成立的美國國家標(biāo)準(zhǔn)局(NationalBureauofStandards，NBS)，1988年更名為美國國家標(biāo)準(zhǔn)與技術(shù)研究院。

NIST的職責(zé)是指導(dǎo)美國使用已有和新興的信息技術(shù)來滿足國家在社會、經(jīng)濟(jì)和政治等方面的要求。根據(jù)《2002年聯(lián)邦信息安全管理法案》，NIST加強(qiáng)了信息安全標(biāo)準(zhǔn)、指南和相關(guān)技術(shù)的研究，完成了NISTSP800系列出版物。其中，NISTSP800-82《工業(yè)控制系統(tǒng)安全指南》和NISTSP800-53《聯(lián)邦信息系統(tǒng)推薦安全措施》2份出版物與電力工業(yè)信息安全密切相關(guān)。

根據(jù)《2007年能源獨(dú)立與安全法案》，NIST“主要負(fù)責(zé)協(xié)調(diào)開發(fā)一個(gè)包括協(xié)議和信息管理的模型標(biāo)準(zhǔn)框架，實(shí)現(xiàn)智能電網(wǎng)設(shè)備和系統(tǒng)的互操作性”。為了完成法案提出的要求，NIST制定了3階段的工作計(jì)劃，以快速建立一套最初的標(biāo)準(zhǔn)，并形成有效的工作流程，隨著技術(shù)的革新持續(xù)對標(biāo)準(zhǔn)進(jìn)行制訂和實(shí)施。NIST為商業(yè)和其他智能電網(wǎng)利益相關(guān)者提供了一個(gè)開放的公共交流平臺，通過該平臺，相關(guān)人員可以對已有的標(biāo)準(zhǔn)進(jìn)行識別，分析缺失的標(biāo)準(zhǔn)并提出亟需制定的標(biāo)準(zhǔn)。目前NIST已了NISTIR7628《智能電網(wǎng)信息安全指南》。

   1.4.2國際自動化協(xié)會

國際自動化協(xié)會（InternationalSocietyofAutomation，ISA)成立于1945年，是一家全球性的非盈利組織。主要從事自動化行業(yè)技術(shù)標(biāo)準(zhǔn)化工作。除了制定標(biāo)準(zhǔn)，ISA還從事認(rèn)證、培訓(xùn)、會議組織、技術(shù)刊物出版等工作。

ISA的前身是美國儀表協(xié)會，2000年隨著研究范圍的擴(kuò)大，更名為美國儀器、系統(tǒng)和自動化協(xié)會，后在2008年又更名為國際自動化協(xié)會。ISA下屬ISA99委員會從事包括電網(wǎng)調(diào)度系統(tǒng)在內(nèi)的工業(yè)控制系統(tǒng)的信息安全標(biāo)準(zhǔn)化工作，目前正在制定ISA99《工業(yè)自動化與控制系統(tǒng)安全》標(biāo)準(zhǔn)系列。

2美國電力行業(yè)信息安全工作主要成果

2.1關(guān)鍵設(shè)施保護(hù)CIP標(biāo)準(zhǔn)

2.1.1CIP標(biāo)準(zhǔn)的制定過程介紹

目前在全美強(qiáng)制推廣的CIP標(biāo)準(zhǔn)最初名稱是NERC1300，2005年NERC對NERC1300進(jìn)行了更新并更名為CIP，分為CIP002-009共8個(gè)部分草案。CIP編制的目標(biāo)是保證電網(wǎng)的可靠運(yùn)行，覆蓋對象包括供電公司、發(fā)電廠、電網(wǎng)運(yùn)營商等電力企業(yè)。2006年4月，在經(jīng)過4個(gè)版本的討論與修改后，CIP標(biāo)準(zhǔn)第1版，同時(shí)了符合性實(shí)施計(jì)劃[1'實(shí)施截止日期根據(jù)企業(yè)的不同定在2009—2010年之間。

2007年7月20日，F(xiàn)ERC針對NERCCIP標(biāo)準(zhǔn)了一份《公共制定規(guī)則通知》[11]，將NERCCIP作為強(qiáng)制性標(biāo)準(zhǔn)進(jìn)行推行，但對標(biāo)準(zhǔn)的8個(gè)部分提出了59項(xiàng)修改內(nèi)容，要求CIP在2009年前進(jìn)行修改。2008年末，CIP的修改進(jìn)入了實(shí)質(zhì)性階段，在2009年9月末了CIP第2版，即CIP002-2至CIP009-2。但在標(biāo)準(zhǔn)的執(zhí)行過程中，針對CIP執(zhí)行效果不佳的問題，NERC對CIP標(biāo)準(zhǔn)要求進(jìn)行了細(xì)化和調(diào)整，2011年1月了CIP第4版。

2.1.2CIP標(biāo)準(zhǔn)內(nèi)容介紹

NERCCIP標(biāo)準(zhǔn)的核心部分是CIP-002至CIP-009，8個(gè)要求部分分別覆蓋資產(chǎn)識別、安全管理、人員管理、訪問控制、物理安全、系統(tǒng)安全、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)，具體內(nèi)容描述見表1。在提出要求的基礎(chǔ)上，NERC制定了符合性實(shí)施計(jì)劃，將標(biāo)準(zhǔn)的執(zhí)行分為了資產(chǎn)評估、基本符合、符合和通過審計(jì)4個(gè)階段，對不同的電力企業(yè)制定了不同的執(zhí)行時(shí)間表和審計(jì)截止日期，電力企業(yè)在審計(jì)截止日期之前將CIP中要求的材料提交到NERC或州權(quán)威機(jī)構(gòu)。

2.1.3CIP標(biāo)準(zhǔn)存在的問題

盡管CIP作為全美強(qiáng)制推行的第一個(gè)電力系統(tǒng)信息安全標(biāo)準(zhǔn)，已經(jīng)在管理層面取得了重大突破，但是CIP在內(nèi)容上仍存在很多不足。

首先，CIP-002《關(guān)鍵網(wǎng)絡(luò)資產(chǎn)識別》中只要求電力企業(yè)自己選用風(fēng)險(xiǎn)評估方法識別重要的信息資產(chǎn)，而且傾向于防護(hù)基于通用網(wǎng)絡(luò)技術(shù)的信息系統(tǒng)主機(jī)、終端，但對于繼電保護(hù)裝置、測控裝置、變壓器等重要的電力系統(tǒng)組件，CIP中卻沒有提到。電力企業(yè)可以根據(jù)自己的評估方法接受一定的信息安全風(fēng)險(xiǎn)，自主確定需要保護(hù)的資產(chǎn)。但是在實(shí)際操作中，很多電力企業(yè)都聲稱在進(jìn)行了風(fēng)險(xiǎn)評估之后，沒有需要保護(hù)的重要資產(chǎn)。比如在美國東南最大的一個(gè)區(qū)域，所有電力企業(yè)(包括核電在內(nèi))，都認(rèn)為他們的發(fā)電系統(tǒng)對電網(wǎng)的可靠性沒有影響，系統(tǒng)滿足#-1定律，單一故障并不影響整個(gè)系統(tǒng)的穩(wěn)定性，所以這些系統(tǒng)不屬于重要資產(chǎn)[12]。但是他們并沒有考慮到安全故障同時(shí)發(fā)生的情況。試想如果多個(gè)電站控制系統(tǒng)中都被植入了木馬，而且同時(shí)發(fā)作，出現(xiàn)的狀況將不亞于2003年的東北大停電。2009年4月，NERC的副主席兼首席安全官向NERC提交了一封信，信中稱70%的美國電廠都認(rèn)為自己的系統(tǒng)不是NERC的關(guān)鍵系統(tǒng)，30%的輸電資產(chǎn)也被所屬電力公司認(rèn)為是非關(guān)鍵資產(chǎn)，而由于CIP沒有覆蓋配電，所以100%配電系統(tǒng)都不屬于關(guān)鍵資產(chǎn)[13]。FERC在《公共制定規(guī)則通知》中對CIP的寬松條款表示不滿，要求NERC重新考慮修改事宜，經(jīng)過多版更新，目前的CIP第4版中雖然對資產(chǎn)進(jìn)行了更近一步的定義，但是發(fā)電廠的資產(chǎn)基線設(shè)定值高達(dá)1500MW，仍有很多的發(fā)電設(shè)備將在防護(hù)要求之外，而且標(biāo)準(zhǔn)依舊沒有考慮配電設(shè)施。

其次，CIP標(biāo)準(zhǔn)中要求的安全機(jī)制都是適用于商用信息系統(tǒng)的防病毒、安全配置等通用措施，主要用于解決調(diào)度中心的服務(wù)器和工作站的安全問題，而不是防護(hù)電廠和變電站的現(xiàn)場設(shè)備的。但對于目前美國變電站和電廠中的大部分現(xiàn)場控制器和可編程邏輯控制器（programmablelogiccontroller，PLC)等眾多計(jì)算機(jī)處理能力低、結(jié)構(gòu)簡單的設(shè)備，這些措施則無法實(shí)施。而且，隨著智能電網(wǎng)的推行，底層設(shè)備的智能化而引入的信息安全風(fēng)險(xiǎn)也是CIP標(biāo)準(zhǔn)必須面對的問題。

再次，CIP標(biāo)準(zhǔn)沒有考慮配電系統(tǒng)和電力市場交易系統(tǒng)。配電的監(jiān)控系統(tǒng)也是連接在NERC的調(diào)度通信網(wǎng)上的，配電監(jiān)控系統(tǒng)的安全同樣影響電網(wǎng)的安全。開放接入實(shí)時(shí)信息系統(tǒng)(openaccesssame-timeinformationsystem，OASIS)作為市場交易系統(tǒng)的一種，就在CIP的管理范圍之外，它們一邊連著EMS/SCADA系統(tǒng)，另一邊就連著互聯(lián)網(wǎng)，對電網(wǎng)的安全構(gòu)成極大威脅。

根據(jù)NERC2011年3月的標(biāo)準(zhǔn)符合度情況統(tǒng)計(jì)數(shù)據(jù)，從2010年起，各電力企業(yè)和機(jī)構(gòu)的CIP不符合項(xiàng)以每月100個(gè)的速度增長，而且這些不符合項(xiàng)中超過一半都還沒有整改。CIP標(biāo)準(zhǔn)本身的缺陷和推行不力問題，使得美國國內(nèi)很多專家對CIP是否真的能夠提升全美電力系統(tǒng)的信息安全水平產(chǎn)生了巨大質(zhì)疑。

2.2 NISTSP800-53和NISTIR7628

2.2.1 NISTSP800-53介紹

在美國國會將NERCCIP提升為強(qiáng)制要求的過程中，信息安全界始終有呼聲推舉安全防護(hù)覆蓋面更廣的NISTSP800-53作為強(qiáng)制標(biāo)準(zhǔn)。

NISTSP800-53是為了支持《2002年聯(lián)邦信息安全管理法案》而制定的，該法案要求所有聯(lián)邦機(jī)構(gòu)都開發(fā)、記錄并實(shí)施信息系統(tǒng)安全項(xiàng)目。作為法案實(shí)施的一部分，NIST提出了“風(fēng)險(xiǎn)管理框架”，將法案相關(guān)的標(biāo)準(zhǔn)和指南進(jìn)行整合，幫助各機(jī)構(gòu)制定實(shí)施信息安全項(xiàng)目，在法案的要求下，所有的聯(lián)邦機(jī)構(gòu)都必須強(qiáng)制執(zhí)行。NISTSP800-53是“風(fēng)險(xiǎn)管理框架”的基礎(chǔ)，其中包含管理、操作和技術(shù)3類安全控制措施(圖2)，為機(jī)構(gòu)實(shí)施信息安全項(xiàng)目提供了基本信息安全控制點(diǎn)。

2.2.2 NISTIR7628介紹

在美國政府將智能電網(wǎng)列入國家重點(diǎn)發(fā)展產(chǎn)業(yè)的同時(shí)，NIST為智能電網(wǎng)信息安全戰(zhàn)略規(guī)劃了一份報(bào)告NISTIR7628《智能電網(wǎng)信息安全指南》。作為國家層面智能電網(wǎng)信息安全防護(hù)戰(zhàn)略規(guī)劃與指南，NISTIR7628中提出了一個(gè)普適性的框架，電力企業(yè)可以根據(jù)該框架制定基于自身特征、風(fēng)險(xiǎn)與脆弱性的信息安全戰(zhàn)略規(guī)劃。而相關(guān)的電力設(shè)備廠商和管理部門也可以將該報(bào)告中的安全措施作為工作指南的基本素材。

NIST編制NISTIR7628的目的是對NISTSP1108《智能電網(wǎng)互操作標(biāo)準(zhǔn)框架與路線圖》進(jìn)行補(bǔ)充。NISTSP1108提出信息安全是需要優(yōu)先解決的標(biāo)準(zhǔn)工作專題，NISTIR7628在此基礎(chǔ)上，對智能電網(wǎng)的信息安全進(jìn)行了深入的分析，提供了用于指導(dǎo)智能電網(wǎng)風(fēng)險(xiǎn)管理的相關(guān)內(nèi)容。NISTIR7628的編制工作自2009年3月啟動，經(jīng)過了多輪公開討論與修改，第3版最終在2010年8月。

NISTIR7628報(bào)告第3版全文分為3個(gè)分冊。第1分冊描述了用于識別高層安全要求的風(fēng)險(xiǎn)評估步驟，提出了智能電網(wǎng)概念模型和7個(gè)智能電網(wǎng)域、域中以及域間接口的邏輯接口架構(gòu)，并將這些接口分為了22類，對每一類接口制定了高層安全要求。在第1分冊的最后對智能電網(wǎng)系統(tǒng)與設(shè)備中的加密與密鑰管理問題進(jìn)行了討論。第2分冊主要對用戶的隱私問題進(jìn)行了討論。報(bào)告中對智能電網(wǎng)中新技術(shù)、個(gè)人信息、社區(qū)信息、人們在居所中的行為、電動汽車的使用情況等信息涉及的隱私問題進(jìn)行了分析。根據(jù)被普遍使用的隱私原則，建議電力企業(yè)對智能電網(wǎng)業(yè)務(wù)流程中的包含個(gè)人信息的數(shù)據(jù)流進(jìn)行跟蹤，將隱私風(fēng)險(xiǎn)降到最低，另外還建議電力企業(yè)對用戶和相關(guān)人員進(jìn)行智能電網(wǎng)隱私風(fēng)險(xiǎn)的培訓(xùn)，指導(dǎo)他們降低此類風(fēng)險(xiǎn)。第3分冊是對前2冊中提出高層安全要求的需求分析和其他相關(guān)資料的匯編。其中包含脆弱性分類方法和報(bào)告編制采用的“自下向上”的安全分析方法。此外，還包含了智能電網(wǎng)信息安全新技術(shù)研發(fā)專題，指明了保證高層可靠性與安全的技術(shù)方向。最后，對識別和梳理智能電網(wǎng)信息安全標(biāo)準(zhǔn)的過程進(jìn)行了描述。

NISTIR7628最大的貢獻(xiàn)之一是形成了智能電網(wǎng)的安全要求指南，這些安全要求的內(nèi)容主要是出自NISTSP800-53附錄I中工業(yè)控制系統(tǒng)的安全要求，是對NIST之前工業(yè)控制系統(tǒng)安全研究成果的繼承。盡管這份報(bào)告內(nèi)容翔實(shí)豐富，且對于實(shí)際防護(hù)具有指導(dǎo)意義，但與NISTSP800-53遭遇的尷尬境地一樣，美國政府想在電力行業(yè)內(nèi)推行NISTIR7628中的要求仍需要長時(shí)間的考量和多方利益的權(quán)衡。

2.3 ISA99和舊C62443的推進(jìn)

除了政府層面從保衛(wèi)國家基礎(chǔ)設(shè)施安全的角度關(guān)注電力系統(tǒng)以及智能電網(wǎng)的安全防護(hù)外，安全廠商、監(jiān)控系統(tǒng)與設(shè)備制造商也意識到了電力系統(tǒng)的安全產(chǎn)品與解決方案市場潛力巨大，在基于原有信息安全技術(shù)提供測控系統(tǒng)及設(shè)備附加安全服務(wù)的同時(shí)，廠商通過參與民間電力系統(tǒng)信息安全技術(shù)標(biāo)準(zhǔn)化工作來占領(lǐng)技術(shù)制高點(diǎn)，擴(kuò)大影響力，提升自身競爭力。

ISA下屬ISA99委員會從事工業(yè)控制系統(tǒng)的信息安全標(biāo)準(zhǔn)化工作，正在制定的標(biāo)準(zhǔn)系列ISA99《工業(yè)自動化與控制系統(tǒng)安全》未來將被IEC等同采用為IEC62443《工業(yè)通信網(wǎng)絡(luò)一網(wǎng)絡(luò)和系統(tǒng)安全》。

ISA99委員會在其工作計(jì)劃中提到，未來《工業(yè)自動化與控制系統(tǒng)安全》系列標(biāo)準(zhǔn)包含有常識與術(shù)語、安全項(xiàng)目的建立與運(yùn)行、系統(tǒng)的等級與要求和終端設(shè)備的技術(shù)要求等4部分內(nèi)容，標(biāo)準(zhǔn)結(jié)構(gòu)見圖3。

在ISA99委員會進(jìn)行標(biāo)準(zhǔn)制定的同時(shí)，ISA下屬安全合規(guī)性委員會(ISAsecuritycomplianceinstitute，ISCI)成立了嵌入式設(shè)備安全保證(embeddeddevicesecurityassurance，EDSA)認(rèn)證項(xiàng)目，提出了嵌入式設(shè)備安全功能要求、嵌入式設(shè)備開發(fā)要求和嵌入式設(shè)備網(wǎng)絡(luò)協(xié)議健壯性要求等一系列嵌入式設(shè)備測評準(zhǔn)則和流程文檔，在一定程度上為嵌入式設(shè)備的廠商提供了設(shè)備安全功能指南。

設(shè)備與系統(tǒng)安全機(jī)制的標(biāo)準(zhǔn)化和對電力通信規(guī)約的安全改造標(biāo)準(zhǔn)化，可以從底層直接實(shí)現(xiàn)系統(tǒng)建設(shè)與更新過程中安全技術(shù)的產(chǎn)業(yè)化集成，對提高電力系統(tǒng)的安全風(fēng)險(xiǎn)抵御能力具有重要意義。ISA99委員會早在1997年就了工業(yè)控制與自動化信息安全技術(shù)的報(bào)告，是最早進(jìn)行相關(guān)研究的組織之一，因此業(yè)界一直對由廠商和研究機(jī)構(gòu)組成的ISA99委員會寄予巨大期望，希望該委員會制定的標(biāo)準(zhǔn)能夠從本質(zhì)上提高工業(yè)控制系統(tǒng)的信息安全技術(shù)防護(hù)能力。在歐洲和亞洲具有巨大影響力的IEC的加入，也為ISA99在全球的推廣提供了有力的支持。但是由于工作量巨大，標(biāo)準(zhǔn)工作組內(nèi)部組織不力，ISA99標(biāo)準(zhǔn)的編制工作進(jìn)展緩慢，目前還沒有成型的實(shí)質(zhì)性成果。

3美國電力行業(yè)信息安全工作的特點(diǎn)

3.1 廠商掌握核心信息安全技術(shù)

由于美國信息技術(shù)發(fā)展起步較早，美國IT廠商掌握著大量信息安全的核心技術(shù)，而且信息安全的標(biāo)準(zhǔn)化工作都主要是美國有實(shí)力的廠商主導(dǎo)。以目前唯一的電力系統(tǒng)信息安全技術(shù)標(biāo)準(zhǔn)，電力規(guī)約通信安全標(biāo)準(zhǔn)IEC62351[2Q]為例，IEC62351-3《包含TCP/IP協(xié)議的安全規(guī)范》中使用的方法為“傳輸層安全協(xié)議”（transportlayersecurity，TLS)[21]，TLS協(xié)議是Certicom公司1999年在Internet工程任務(wù)組(Internetengineeringtaskforce，IETF)提出的。另外，Cisco、Microsoft等國外公司都掌握大量通信信息安全核心技術(shù)。

除了掌握核心技術(shù)知識產(chǎn)權(quán)，大量美國廠商還引領(lǐng)著信息安全技術(shù)的發(fā)展方向。隨著電力監(jiān)控終端的處理能力的提高和一次設(shè)備的智能化，設(shè)備自身面臨的安全風(fēng)險(xiǎn)逐漸增多，大量自動控制系統(tǒng)生產(chǎn)廠商都在致力于將信息安全功能作為設(shè)備的增值能力，意圖從系統(tǒng)底層奠定智能電網(wǎng)信息安全的基礎(chǔ)。全球嵌入式及移動應(yīng)用軟件制造商WindRiver于2011年2月宣布與全球最大的專業(yè)安全技術(shù)公司McAfee達(dá)成一項(xiàng)戰(zhàn)略合作協(xié)議，針對各類非PC設(shè)備，尤其是嵌入式及移動設(shè)備，共同開發(fā)、營銷專屬的安全防護(hù)解決方案并提供相關(guān)支持。

3.2 國家層面電力安全項(xiàng)目扶持力度大

美國聯(lián)邦政府安排多個(gè)部門從事電力系統(tǒng)信息安全的相關(guān)工作，并對工業(yè)控制系統(tǒng)安全研究、智能電網(wǎng)標(biāo)準(zhǔn)化和企業(yè)技術(shù)研發(fā)項(xiàng)目提供強(qiáng)大的資金支持。早在2004年，DHS就向11家小公司提供了10萬USD基金進(jìn)行包括入侵檢測系統(tǒng)(intrusiondetectionsystems，IDS)和密碼算法在內(nèi)的SCADA系統(tǒng)安全相關(guān)研究。2005年，為支持研究機(jī)構(gòu)從事SCADA系統(tǒng)安全研究，DHS和NIST共同出資850萬USD作為由Sandia實(shí)驗(yàn)室領(lǐng)導(dǎo)的信息架構(gòu)保護(hù)協(xié)會（instituteforinformationinfrastructureprotection，I3P)2a期的研究經(jīng)費(fèi)。2007年，DOE向5個(gè)項(xiàng)目提供了790萬USD進(jìn)行電網(wǎng)以及其他能源基礎(chǔ)設(shè)施的安全設(shè)備集成與先進(jìn)技術(shù)應(yīng)用。2009年底奧巴馬提出政府將撥款34億USD帶動美國智能電網(wǎng)建設(shè)，2010年美國能源部為10個(gè)智能電網(wǎng)信息安全項(xiàng)目提供了3040萬USD作為資金支持。2009年底確定的智能電網(wǎng)示范項(xiàng)目中很多項(xiàng)目都不同程度地包含信息安全的工作，其中DOE提供850多萬USD示范項(xiàng)目基金，采用波音公司的軍用級別信息安全軟件技術(shù)改進(jìn)區(qū)域輸電系統(tǒng)計(jì)劃與運(yùn)行軟件。美國多個(gè)部門連續(xù)在財(cái)年預(yù)算中提供工業(yè)控制和電力系統(tǒng)信息安全的項(xiàng)目基金，鼓勵(lì)企業(yè)和學(xué)術(shù)機(jī)構(gòu)從事相關(guān)的研究和研發(fā)工作，當(dāng)前美國在電力系統(tǒng)信息安全方面的國際領(lǐng)先地位與政府的大力扶持密不可分。

3.3 電力行業(yè)信息安全監(jiān)管力度較弱

美國在電力行業(yè)市場化進(jìn)程中，隨著民間資本的流入，政府對電力企業(yè)的監(jiān)管控制程度都不同程度地降低了。在信息安全工作方面，盡管多部門齊抓共管，但在實(shí)際工作中國家層面各政府部門并不能強(qiáng)制要求電力企業(yè)如何進(jìn)行信息安全防護(hù)工作，主要措施還是提供信息安全防護(hù)標(biāo)準(zhǔn)、指南，并且通過推動標(biāo)準(zhǔn)、指南的產(chǎn)業(yè)化應(yīng)用逐步實(shí)現(xiàn)電力企業(yè)安全防護(hù)能力的提升。雖然FERC在強(qiáng)制推行CIP標(biāo)準(zhǔn)，但CIP的強(qiáng)度與我國的《電力二次系統(tǒng)安全防護(hù)規(guī)定》及配套方案相比，在控制力度和技術(shù)措施細(xì)度方面存在巨大差距，即使貫徹實(shí)行，也難以達(dá)到防御集團(tuán)式攻擊的能力。而且，F(xiàn)ERC的監(jiān)管權(quán)利有限，只能被動等待電力企業(yè)上報(bào)自審結(jié)果，并不具備有力的強(qiáng)制性監(jiān)管方式，即使電力企業(yè)對實(shí)際標(biāo)準(zhǔn)執(zhí)行工作敷衍了事，F(xiàn)ERC也無可奈何。

3.4 電力企業(yè)信息安全工作基礎(chǔ)較差

在電力市場競爭中，大部分美國電力企業(yè)更關(guān)注經(jīng)濟(jì)效益。由于受到20世紀(jì)90年代電力改革的影響，部分州的電網(wǎng)運(yùn)營商利潤被擠壓，高額負(fù)債無法償還、設(shè)備無法更新、電網(wǎng)老化嚴(yán)重和數(shù)字化程度低等現(xiàn)狀嚴(yán)重制約美國電網(wǎng)的發(fā)展。在這樣的形勢下，企業(yè)投資者不愿意也沒有資金從事信息安全防護(hù)工作。雖然近幾年國家加大了這方面的資金投入，但對于大量的電力企業(yè)來說，信息安全的經(jīng)驗(yàn)積累和意識轉(zhuǎn)變?nèi)孕枰獣r(shí)間。

在IT基礎(chǔ)設(shè)施方面，大部分美國電力企業(yè)不具備用于生產(chǎn)控制業(yè)務(wù)的專用網(wǎng)絡(luò)，仍使用互聯(lián)網(wǎng)實(shí)現(xiàn)生產(chǎn)控制系統(tǒng)的廣域連接，使得控制系統(tǒng)暴露在互聯(lián)網(wǎng)上，為電網(wǎng)的生產(chǎn)控制引入巨大的風(fēng)險(xiǎn)。而且，目前各公司對信息安全工作的理解和重視程度不同，設(shè)定的信息安全防護(hù)目標(biāo)和實(shí)現(xiàn)的防護(hù)效果也差異很大，防護(hù)薄弱的節(jié)點(diǎn)必然會成為整個(gè)北美互連電網(wǎng)抵御信息安全攻擊的“短板”。