构建网络安全责任体系(6篇)
构建网络安全责任体系篇1
随着互联网的深入发展,信息安全成为当前互联网发展面临的重要瓶颈,因各种信息泄露给公民隐私造成的损失更是不计其数。因此,信息安全不仅是行业问题,更提高到社会的高度。只有不断完善我国现有信息安全法律体系,才能促进互联网行业的健康发展,进而保障社会和个人信息安全,维护每个自然人的合法权益。
一、当前我国信息安全立法存在的问题
(一)立法模式缺乏统一的基本法。
我国信息安全法律体系善未构成有机的统一整体。目前,专门针对信息安全的法律只有《关于加强网络信息保护的决定》,但这不能是真正意义上的法律。其他大部分大多是以行政法规、规章和司法解释,没有形成针对性、前瞻性的整套法律体系。
(二)现有法律可操作性不高。
目前,我国在信息安全的立法和管理大部分是以行政制度的方式体现,大部分采用的是禁止性条款,比较笼统和概况,可操作性不强。由此,在执法过程中,导致相关法律部门在对当事人进行处罚中,不能找到可操作性的规章和条款,给当事双方极大的分歧,同时也给法律的落实带来很大的障碍。
(三)缺乏科学性设计。
现存信息安全法中,大多强调加强对事前的审批和事后处罚,而对于网络信息安全事中部分则未引起足够重视,对相关主体的问责程序、问责条件等未作出明确的划定。同时,研究发现对执行中的不同法律主体的权利和义务没有也未进行明确规定,从而导致权利和义务出现不对等,没有起到法律的威慑作用。
二、国外网络信息安全立法给我国的借鉴
(一)制定不同领域的针对性法律法规。
西方国家在针对网络信息安全发生在人们的各个方面,如个人隐私、电子商务、未成年保护等领域,都有非常明确和针对性的规定,从而形成了非常完善的信息安全体系。以美国为例,在隐私保护方面,专门制定了《联邦互联网隐私保护法》;在未成年的保护方面,制定《儿童在线隐私权保护法》;电子商务方面制定《2002年电子政务法》。同时日本在网络信息的安全方面,也专门制定《反黑客法》等。因此,国际在网络信息方面出台的法律文件给我国信息安全的立法打开了大门,也给过提供参考借鉴。
(二)增加民事赔偿部分,增设罚金刑制度。
我国现行对网络信息方面的立法大都以行政法规方式进行规范,并通过刑法条款对网络犯罪进行处罚。因此,针对网络信息犯罪行为,在立法方面也应体现出相对应的刑事责任或行政责任。如对网络犯罪的处罚中,没有设置处理罚金部分,而在责任方面还主要以刑事责任为主。通过这种处罚方式发现,对犯罪分子的处罚比较单一,并且责任也不多元化。而对于网络信息安全中的信息泄露问题,通常给网络主体造成很大的损失。相比西方国家,在立法的早期已经设定罚金刑,除刑事责任、行政责任外,还必须辅助民事赔偿。
(三)完善制定我国法律规制。
目前,全国人大已经制定并出台了《关于加强网络信息保护的决定》,从而从法律层面填补了对网络个人信息和隐私保护的法律空白,但是对于商业信息方面的保护,如泄漏后的责任主体、制裁标准等还没有进行统一和明确的规定。而美国在对商业信息的保护中,则制定非常完善的法律制度,如《电子通信隐私法》。在该部法律中,明确规定对于非法入侵网络服务器、改变通信内容的行为,都必须承担相应的刑事和民事责任。而在《统一商业秘密法》中也明确规定,任何针对企业商业秘密的侵权行为都必须受到严厉处罚。因此,在逐步完善不同领域的的法律保护问题方面,我们还应该借鉴美国的经验,进一步完善和明确法律主体。
三、我国网络信息安全法律体系构建
(一)立法宗旨。
针对我国网络信息安全问题,在2014年召开的中央网络信息安全领导小组会议中则要求:“要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。”因此,通过的要求,在立法方面应将保障网络信息安全、维护每一位公民的合法权益作为当前我国立法的根本宗旨,从而净化我国网络空间,保障国家和社会安全与稳定。同时,根据该立法宗旨,在立法中还应该亿保障安全与发展、实体与程序立法并重、权责与义务对等、高效等作为基本的原则。
(二)我国网络信息安全立法体系构建。
1.基本法构建。
网络安全基本法可以网络个人信息保护法作为开端,通过加强个人信息的保护作为,从而加强信息安全。在此处的个人信息,笔者认为可以从广义和狭义的角度进行考量。从广义的角度,个人与现实中的信息主体相同,即个人、法人、其他组织和国家等,都可以直接归纳到法人这个领域。而对于信息的理解,必须结合网络的特性,如笼统的指所有的信息的话,可能会限制网络的正常发展,将信息界定为具有私密性、人格性性质的信息。通过该界定,则将个人信息保护分为国家秘密保护、商业秘密保护、个人信息保护。而鉴于当前网络更新快,但立法慢的问题,可采用单行法或者分法的方式对个人信息进行保护。
2.加强对单行法的制定。
除从基本法的角度对网络信息安全进行保护外,针对一些特殊的领域还必须制定单行法法方式。如对国家地理信息安全方面,必须对电子地图中出现的关系国家重要机密的部分进行掩饰、隐藏,同时规定网络服务者在这些方面所具有的义务和责任。
3.其他相关信息安全规定。
对法律来讲,基本法或者是单行法的出台会存在一定的滞后性,因此针对该问题,可以通过修改现存的规范,从而及时应对网络信息安全保护中出现的新问题。通过及时调整相关的网络服务、网络监管等单行法律文本,并对涉及到网络信息安全的条款进行及时修正,从而全方位保障网络信息安全。
四、总结
总之,对于我国的网络信息安全保护问题,还有很长的路要走。本文则尝试通过对现存网络信息安全保护存在的问题入手,并结合国外在信息安全立法的成功经验,提出对我国网络信息安全保护的几点建议和对策,从而完善我国网络信息安全立法体系,促进互联网和社会的快速、和谐发展。
构建网络安全责任体系篇2
【关键词】电网调度自动化系统二次安全防护问题途径
电力企业作为我国国民经济的主要组成部分之一,对于工业生产及居民日常生活有着十分重要的作用,因此,要维护好电力系统的安全性。电力二次系统安全防护主要是对EMS、DTS、PAS、AGC、AVC这些系统进行合理的把控,通过对电网调度系统的二次防护,可有效防范电力系统免受到各种形式的攻击侵害,增强我国电力调度数据网络的安全性、可靠性及实时性。
1电力二次系统安全防护体系分析
1.1电力调度自动化二次系统安全防护概述
电网调度自动化系统主要应用于数据的收集与监控、电网数据信息存储、网络分析、发电控制等方面。在整个系统中,各个子系统之间是紧密互联的,其中任何一个子系统出现差错,则都会导致原始数据无法收集,就无法将转发信息传达到服务器,从而影响管理人员及时掌握电网的数据及信息。
据调查,目前电网的信息威胁主要来自于与之相连的外部网络,如黑客攻击、计算机蠕动病毒等。因此,构建电力二次系统安全防护体系主要目标是防止外部边界的攻击和入侵、禁止未授权用户访问系统、规范内部人员的工作行为等,使其能够抵御攻击,保障电力实时闭环监控系统及电力调度数据网络的安全。
1.2电力二次系统安全防护体系存在的风险
目前电力二次系统安全防护体系仍存在一定的问题,严重影响了电力系统自动化的运行。以下从多方面对存在的风险进行分析:
(1)控制区的各系统缺乏合理的防病毒措施。部分电力企业认为安装了物理隔离装置,并利用二次系统网络及办公系统,即可抵御病毒。因此,导致了控制区缺少应有的防病毒系统。
(2)各系统的数据备份方法较为单一,一旦系统遭到破坏,数据将会受到严重的损失,因此要构建相应的系统防线。
(3)由于部分电力企业过于依赖厂家,当在进行二次系统的安装、调试和维护时介入较少,使得出现系统运行后无法正常维护的状况。同时,由于厂家人员较为复杂,且流动性大,若一旦出现人为通过二次系统来控制电网,那将会给电网的安全带来的威胁。
2调度自动化系统二次安全防护体系所遵循的原则
2.1安全分区
电力调度自动化系统二次安全防护体系结构的基础是安全分区。按照相关规定,调度自动化系统可分为四个区,即实时控制区、非控制生产区、生产管理区、管理信息区,其中,实时控制区是整个安全防护的核心。连接安全区的拓扑结构主要是链式、三角形及星形结构,但一般选择链式结构,因其可提高系统运行的稳定性和减少资金的投入。
2.2网络专用
在各个安全区使用不同强度的网络安全设备,对电力调度数据和电力数据通信网实现物理隔离,各个安全区使用各自的相互逻辑隔离的MPLS-VPN。实现网络专用,可以避免核心业务受到影响。
2.3横向隔离
实时控制区和非控制生产区之间允许采用逻辑隔离,实时控制区、非控制生产区和生产管理区、管理信息区之间实现物理隔离。其中,进行逻辑隔离需采用有关部门认定核准的硬件防火墙,利用其保护作用,可将入侵者隔离在防火墙的安全防线以外,避免接触到计算机。其次,进行物理隔离采用有关部门认定核准的专业隔离装置,该隔离装置分为正向型和反向型,从实时控制区、非控制生产区往生产管理区必须采用正向型隔离装置单项传输信息。
2.4纵向认证
实时控制区和非控制生产区的纵向边界部署纵向认证加密装置,生产管理区和管理信息区的纵向边界部署硬件防火强,可为安全区提供一个安全屏障,同时为上下级控制系统之间的广域网提供提供认证与加密服务,实现对传输数据的机密性保护。
3调度自动化系统二次安全防护体系构建途径
3.1加强企业内部的安全意识
在构建调度自动化系统二次安全防护体系过程中,电力企业管理人员应逐渐认识到二次安全防护体系重要性及必要性,进行一系类地措施,强化企业内部信息安全意识。企业要加强宣传工作,并组织相关的培训活动,让员工参与到构建调度自动化系统二次安全防护体系工作中去,使其不断提高在信息安全方面的责任心,增强其安全意识。
3.2制定科学合理的安全管理规定
电力企业为了保证电网的安全稳定,需建立一种完整的安全管理模式,以抵御外部网络病毒的破坏,以下为制定科学合理的安全管理规定的部分建议:
(1)依据“谁主管,谁负责”的原则,建立岗位责任制,明确每个内部人员的相关职责。
(2)加强日常维护及管理,成立检查小组,定期对调度自动化二次安全防护系统进行巡查,如若出现问题,应及时解决问题。
(3)建立责任追究制度。制定出合理的责任追究制度,按照其相关的规定,对造成安全防护体系破坏的内部人员进行惩罚。
3.3完善数据备份管理系统
完善数据备份管理系统,可提高数据信息的安全和完整。
(1)网络备份是指在特定情况下,对系统进行精准记录和恢复的防护功能。在电力调度自动化系统二次安全防护中,网络备份可作为安全系统硬件设施的安全防范措施,有效抵御黑客的攻击,为数据恢复奠定基础。
(2)利用光盘或磁带等存储介质,对系统数据进行实时备份,并按照月份对数据进行标记,以应对数据丢失的突发状况,确保数据的完整及安全。
3.4加强预防病毒管理
为保障安全防护系统的正常运行,对病毒进行预防和控制,可以实施以下措施。将计算机的输入及输入设备进行技术屏蔽,并使用系统功能对运行及维护的内部人员进行限制,进最大努力做到切断内部网络病毒传播的途径,并且尽量切断远程控制等功能,以减少外部网络对安全系统的侵害。
4结语
综上所述,不难看出电力调度自动化安全防护系统在现代电力企业有着十分重要地位。为了进一步提升我国电力系统的安全性及稳定性,唯有在遵循调度自动化系统二次安全防护体系的原则下,不断加强企业内部的安全意识、制定科学合理的安全管理规定、完善数据备份管理系统以及加强预防病毒管理,才能达到此目标。
参考文献
[1]张飞,张莉莉.电网调度自动化系统的二次安全防护问题分析[J].华东科技学术版m2015(09):289-289.
[2]王朝琴.电网调度自动化系统的二次安全防护研究[J].通讯世界,2014(23):112-113.
[3]王玮,薛娜,陈素华.廊坊电网调度自动化系统的二次安全防护设计与实现[J].河南科技,2013(10):102-102.
[4]潘柳蓉.电力调度自动化二次安全防护实施方案的研究[J].大科技,2015(21):233-234.
构建网络安全责任体系篇3
一、网络安全教育的内涵
狭义的网络安全指的是运用各种必要的技术和管理措施,对网络系统进行安全保护,“即通过保障网络及与其相关的和配套的设备、设施的安全、运行环境的安全、传输信息的安全”等,[2]以保障网络功能的正常发挥,并“维护网络信息系统的安全运行”。[3]
大学生网络安全教育,可以说是高校网络思想政治教育内涵的延伸,同时也是新时代下高校安全教育的重要组成部分。开展大学生网络安全教育,既是满足“互联网+”背景下我国进行政治建设、经济建设、社会建设、文化建设等各方面建设的时代需求,也是提升大学生安全意识、思想素质、政治素养、道德水平的客观需要。
开展大学生网络安全教育,不但有利于深化大学生的社会主义核心价值体系教育,帮助大学生树立正确的、科学的价值观;还有利于帮助大学生提高网络安全意识,增强大学生的网络操作技能,保护自我的人身权益和财产权益,保卫国家的安全利益,构建和谐校园和和谐社会。其目的在于消除网络不良信息对大学生各项正当权利和身心健康的损害,保障国家网络信息安全,促使大学生能够合理、安全、健康地使用网络。
二、网络安全教育的必要性
1、高校网络安全教育表现出一定的滞后性
滞后性主要表现为:(1)对于大学生网络安全教育重要性的认识滞后。高校不能深刻认识加强大学生网络安全教育与培养全面发展的人才之间的关系,不够重视网络安全教育;高校有关网络安全教育的领导机制和责任机制尚不健全,学校网络安全中心的职能设置和责任落实并不到位;高校教师和学生对于网络安全教育重要性的忽视,导致大学生在校接受的网络安全教育无法达到系统化、体系化,网络安全教育的实践性、实效性亟待提高。
(2)高校网络安全教育的内容缺乏完整性和实施性。当前社会形势日益变化,尤其是在互联网浪潮波及全球的背景下,网络安全问题日益显现,呈现出网络威胁形式多样化、问题隐蔽性高、后果危害性大等特点。目前,大学生网络安全教育的内容大部分停留在传统的安全教育意义上,主要涉及网络基础知识教育、网络心理健康教育、网络道德教育等,教育内容较为全面,但缺乏教育过程缺乏深入性,教育结果缺乏有效性。新形势下的网络安全教育必须拓展视野,不断向国家大安全的层面拓展。
(3)网络文化安全与国家安全教育的意识淡薄。当前,在大学生网络安全教育内容中,涉及文化安全、国家安全、国家网络安全的教育内容十分匮乏。部分高校、教师甚至大学生自身对文化安全和国家安全的形势并未产生重视,也没有生成有效的防范意识。这样的形势迫切要求高校开展教育时克服功利化倾向,不断拓展网络安全教育的内容,将文化网络安全知识教育、国家网络安全知识教育等内容纳入网络安全教育体系之中。
2、开展大学生网络安全教育的必要性
(1)信息强权导致大学生理想信念的偏差。互联网时代下,信息传播和接收方式的转变使意识形态的话语权,由依靠权力和资本向网络控制者和信息者转移。以美国为首的西方资本主义国家,利用互联网浪潮加紧对我国进行文化上的、价值观上的渗透,以隐蔽的手段和形式将所谓的主流价值观、反社会主义、反马克思主义的观点散布到互联网上,容易使某些辨识能力差的大学生产生思想混乱,削弱他们原本正确的理想信念。
(2)海量化信息导致大学生价值观的错位。互联网已经成为人们传播和获取信息的主要渠道之一,其功能性和监管的缺陷决定了它充斥着良莠不齐的各种信息,有正面、积极的信息,也有如享乐主义、拜金主义、极端个人主义等负面、消极的信息。一些大学生由于缺乏社会阅历,明辨是非的能力有限,在这样海量信息的冲击下,原有价值观容易受到冲击和破坏,出现伦理道德和价值取向的紊乱,严重者甚至可能走向网络犯罪。
(3)网络的虚拟化造成大学生行为的异化。网络的虚拟性、娱乐性以及网络传播的泛娱乐化、碎片化,使大学生容易沉溺于网络交往中,从而造成现实社会人际交往的失语;某些大学生由于不能正确处理网络虚拟社会与现实社会的关系,造成一定程度上的心理障碍,从而引发网瘾综合征;某些大学生参与的网络社群由于缺乏有效的监管,容易被国外不法分子蛊惑利用,间接参与到泄露国家安全信息、危害国家安全的违法犯罪活动中去,不仅影响国家的安全稳定,而且将自己引向犯罪的深渊。
三、网络安全教育体系的构建
1、完善高校网络安全教育的内容体系
目前,高校对大学生的网络安全教育内容已经包括网络基础知识教育、网络心理健康教育、预防网络犯罪教育等,取得了一定的成效,但仍需加强重视,继续深化。同时,必须对大学生增加有关国家安全意识的教育内容。“国家安全意识是公民关心国家生存,维护国家安全的意识取向,是世界观、政治观、社会观、道德观等在国家安全问题上的反映”,[4]具体表现为公民的“忧患意识、责任意识、法律意识和保密意识”等。[5]为了避免大学生在市场化和网络文化的冲击下,由于价值观的错位,而做出追求个人利益至上、牺牲国家安全利益的错误选择,社会及高校必须重视和加强国家安全意识教育在大学生网络安全教育内容体系中的地位和作用。
2、健全高校网络安全教育的制度体系
2016年11月7日,全国人大常务会表决通过了《中华人民共和国网络安全法》[6]使我国在网络领域产生了国家层面上有法可依的基础性法律,这不仅为网络实现法制化的重要制度基础,也为高校开展大学生网络安全教育提供了新的思路和法律遵循。加之以往国家出台的一些相关法律法规,都应该成为高校结合本校实际制定合理的网络安全教育制度体系的基础。明确大学生的网络安全职责,包括保护自身安全和国家安全的多重职责;教师应履行教书育人的本职,引导大学生做出合理合法的网络行为;学校应该根据本校校情,设置专门负责网络安全教育的职能部门,构建合理的教育制度体系。
构建网络安全责任体系篇4
2003年SARS爆发后,中国疾病预防控制中心信息化建设进入了突飞猛进的发展阶段,通过十年建设,构建了以覆盖全国的网络直报系统为核心,涵盖国家疾控核心业务的中国疾病预防控制信息系统。
2009年迁入新址以来,中国疾控中心重构了新数据中心,以原址数据中心为基础改建容灾中心,扎实推进信息系统建设相关工作,信息安全等级保护工作由此展开新的篇章。
根据原卫生部的相关文件精神,中国疾控中心按规定进行信息安全等级备案,作为卫生计生领域的重要系统,及时开展系统备案、漏洞扫描、风险评估、安全整改与测评,每年接受国家公安机关组织的信息安全检查,是多次代表卫生行业接受公安部、国家保密局、国家密码管理局、国务院信息工作办公室等部门检查的唯一受检部级医疗卫生单位。目前昌平园区网络和数据中心建设已初具规模,各业务系统运行安全稳定。
开展信息安全建设工作的主要方法
1.统筹规划
在信息化建设过程中,中国疾控中心始终坚持数据安全与规划同步、与系统建设同步、与运行管理同步的“三同步”原则。在原卫生部关于信息安全等级保护相关文件出台后,国家疾控中心重新修订了信息系统安全总体规划。经过各级疾控人员的共同努力,以及多年信息化建设工作的不断推进,中国疾控中心的防攻击、防篡改、防病毒、防瘫痪能力不断提升。
2.组建机构与招聘人员
信息系统安全等级保护内容覆盖管理与技术两方面工作,涉及信息系统规划、建设、运维全过程。“火车跑得快,全靠车头带”,中国疾控中心对信息安全工作高度重视,成立了以主要领导为组长、各相关部门主要负责人组成的信息安全领导小组。信息中心成立专门的网络与安全管理室,公开招聘有经验的技术骨干牵头负责并组织实施,不断加强管理,逐渐完善技术措施。另外,在全国各省疾控机构内部设立“信息安全员”,并要求逐级负责,初步形成了全国疾控的信息安全组织机构体系。
3.完善信息安全管理制度
近些年来,中国疾控中心共制定或颁布了覆盖系统建设、系统管理、系统运维、系统使用等方面的一系列制度近30个,大大加强了内部安全管理的规章制度的落实。每年年初按照信息安全等级保护相关要求开展自查,有针对性地整改加固,不断完善信息化规章制度,为信息系统的建设、管理、运维、安全监管等各方面工作有条不紊、有章可循地进行提供了保障。
4.强化安全责任管理
以“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”为原则,通过下发相关的网络安全管理、用户与权限管理规范,并不断修订完善,进一步夯实信息中心与业务部门、国家与地方在网络技术管理与业务信息管理上的分级管理工作职责。针对单个的系统,还初步实现了信息系统网络与业务管理、系统管理和安全审计的三权分离,并逐步推进系统建设方、系统运维方与系统安全审计的主体剥离。
5.落实信息安全技术措施
完善基础网络设施中国疾控中心在昌平新址重新构建了标准机房、基础网络、门禁、消防、供配电、监控及综合运维系统、统一安全管理平台等。
优化网络安全结构信息中心技术人员通过一年多的分析和调研,明确各类信息系统对网络的需求,组织召开内部、外部的专家会议,充分研究实施方案。特别是邀请具有多年安全网络实施经验的技术人员,与信息中心技术人员一起实施。优化后的网络在的稳定性、安全性和实际用户体验上都大大提升。
完善双因素认证的用户准入以用户电子认证服务系统(CA)的双因素认证体系已能在国家本级全覆盖。
完善安全专网建设截止目前,以VPN、SDH等虚拟专网和专网组成的安全专网,已在全国各省、市、县级疾控机构实现100%全覆盖。
综合实施应用系统安全加固对各类网站服务器、应用服务器和数据库服务器进行漏洞扫描、风险评估和安全加固,一步步降低安全风险。
加强安全运维技术监测引入业界相关安全技术和设备,安排专门的人员,通过周期性的漏洞扫描、入侵检测,系统日志分析,及时发现、修补系统漏洞,持续提升系统抗风险能力。
6.开展整改与测评
2010年投入使用后,第三方安全等级保护测评工作紧接着就开展起来了。一方面将整改内容纳入项目建设,由专业信息安全公司提供技术支持;另一方面对照整改内容,组织力量完成整改。实现了“整改-自测测评-再整改-再第三方测评”的良性循环。通过不断的学习和实践,提升自测评能力和信息系统安全保障能力。
7.积极推动行业内信息安全等级保护进展
制订并向全国各省级疾控中心下发了相关指导文件。每年组织多期行业内培训,采取“送出去,请进来”的办法,多次派员参加国家信息安全部门组织的培训和考试。目前,中国疾控信息中心有多人获得国家公安部、工信委等权威机构颁发的信息安全相关资质证书。此外,还邀请国内信息安全行业专家学者授课,举办全国范围内疾控行业网络信息安全专项培训班。
开展信息安全建设工作体会
以往一谈到信息安全,大家总认为是技术部门的事,其实不然。
信息安全等级保护标准体系对此给出了明确的要求,比如在第三级等级保护的指标体系中,涉及管理的指标占比达到近三分之二,足见管理的规范化对信息安全的重要性。“三分技术、七分管理、十二分运维”对信息安全一样适用。但是在信息安全工作上“重技术建设、轻管理建设、不知道运维建设”的现象却大量存在,目前还难以从根本上改变。在信息技术持续发展的时代,谈信息安全的各种投入是个无底洞一点都不为过。因为,信息安全建设只有进行时,没有完成时。
经过近十年的信息化建设,信息安全保障工作为疾控中心各业务应用系统稳定运行发挥了重要作用,正经历着从以安全设备为主要手段的网络技术外部防范,向内外兼顾的综合全面的安全防护体系方向转变。疾控信息系统大都是跨省、跨市、跨县区运行的信息系统,罕有仅限于某机构内部的系统。
构建网络安全责任体系篇5
关键词:企业网络;网络安全;安全体系
前言
由于计算机与通信技术的快速发展,人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大,对社会的影响也日益增大,网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现,网络安全也变得日益重要。为了保证企业网络自身的安全性,必须采取有效的手段面对网络中的各种威胁[1]。
1企业网络的威胁及其风险管理
企业网络的信息是自由传输的,尽管有各种各样的方式威胁着企业网络的安全,但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁,并根据这些威胁所导致的企业风险进行有效管理。首先,企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护,针对设备可以提供什么样的访问和怎么协调这样的工作。其次,评估需要进行网络安全保护的资源和财产。最后,分析所有对企业网络安全的可能威胁,并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失,它可以是偶然的,也可以是刻意的。威胁有很多方式,一般可以简单归纳为以下三种基本的类型:
1未经授权的访问。指未经过授权的人员却可以访问网络资产,而且也存在对网络资产进行篡改的可能。
2假冒。指由于伪造的凭证假冒其他人进行活动。
3拒绝服务。指服务中断。
2企业信息化的网络安全策略体系[2]
网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针,而且在内部网络的安全策略以及身份证明,从而为网络安全提供支持和认证。
2.1安全策略的文档结构
a)最高方针。是安全策略的主文档,属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。
b)技术的规范与标准。其内容包含:各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。
c)管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作,还能有效的推广及实行,是由最高方针引申而来,对用户协议具有规范作用。而用户协议对其不能违背。
d)组织机构以及人员的职责。负责安全管理的组织机构以及人员职责,包含负责安全管理的机构的组织形式以及运作方式,还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性,需得到有效推广及实行。
e)用户的协议。与用户所签署的文档及协议,包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定,并在违反安全规定时的处罚依据[3]。
2.2建立策略体系
目前,大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系,制定出安全策略的系列文档。
建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系,其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前,由于企业中机构间的网络现状与业务情况的差别较大,所以在基本的策略体系和框架下,可以让各个机构以自身情况为基础,对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。
2.3策略的与执行
企业网络安全的策略系列文档在制定完成后,必须得到以及有效执行。与执行的过程除了需要得到高层领导的支持与推动外,而且还要有可行的、合适的以及正确的推动手段。同时在策略与执行前,还需要对每个员工进行相关的培训,以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艰苦的、长期的工作,需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工,工作的方式与流程可能还需要改变,所以其推行难度相当大;同时,安全策略的本身还可能存在这样那样的缺陷,例如太过复杂及繁琐、不切实际以及规定有所缺欠等,都会影响到整体策略的落实[4]。
3企业信息化网络安全技术的总体方案
3.1引入防火墙系统[5]
通过引入防火墙系统,可以利用防火墙功能中的“访问控制+边界隔离”,从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的,可以重点进行监控,以提高企业网络层面的安全。防火墙的子系统还能够与入侵检测的子系统联动,当入侵检测的系统对数据包进行检测,发现异常并告知防火墙时,防火墙可以生成相应的安全策略,并将访问源拒绝于防火墙之外。
3.2引入网络防病毒的子系统
防病毒的子系统是用来对网络病毒进行实时查杀的,从而保证企业免遭病毒的危害。企业需要在内部部署邮件级、服务器级、个人主机级和网关级的病毒防护。在整体范围内提高系统的防御能力,提高企业网络层面安全性。
3.3引入漏洞扫描的子系统
漏洞扫描的子系统可以定期分析安全隐患,并在其萌牙状态时就把安全隐患消灭。由于企业网络中包含众多类型的数据库系统和操作系统,还运行着人力资源系统、产品管理系统、客户的信息系统、财务系统等诸多重要系统,如何确保众多信息的安全以及各类系统的稳定应用,便成为需要高度关注的重点。对漏洞扫描的子系统进行定期扫描,并在定期扫描后提交漏洞和弱点分析报告,可使企业网的整体系统的安全性得以提高。
3.4引入数据加密的子系统
对企业网重要的数据进行加密,以确保数据以密文的形式在网络中被传递。能够有效防范窃取企业重要的数据,可以使企业网络的整体安全性得以提高。
4结语
通过以上对企业网络的安全和隐患进行的着重分析,提出了保护企业信息安全的解决方法。由于网络技术的快速发展和应用的广泛,所以对于企业网络安全的建设,需要遵循一个稳定的体系框架,同时还要不断更新技术。这样才能有效地降低企业网络安全隐患的系数,进一步保证企业信息化在网络时代能够更安全、更健康的发展。
参考文献
[1]顾晟.企业信息化网络的安全隐患及解决策略[J].计算机时代,2010,3:19~22.
[2]丁国华,丁国强.企业网络安全体系研究[J].福建电脑,2007,2:66~67.
[3]陆耀宾.企业网络安全体系结构[J].电子工程师,2004,4:55~56.
构建网络安全责任体系篇6
近年来,在市委、市政府领导下,我市在信息安全基础设施建设、计算机和互联网安全监管、互联网信息内容管理、密码技术和数字证书的应用等信息安全保障工作方面取得了明显成效。但是,仍存在领导与组织协调体系不够完善,信息安全基础设施比较薄弱,管理和技术人才缺乏,资金投入分散和不足等急需解决的问题。
根据《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强信息安全保障工作的意见〉的通知》(中办发〔〕27号)要求和全国信息安全保障工作会议精神,结合重庆实际,现就加强信息安全保障工作提出如下意见:
一、指导思想
我市加强信息安全保障工作的指导思想是:按照国家加强信息安全保障工作的总体要求,加强领导、统筹规划、提高认识、明确职责、以发展促安全、以安全保发展,全面提高信息安全防护能力,构筑我市信息安全保障和支撑体系,保障和促进信息化健康发展。
二、主要任务及责任落实
(一)研究制定我市信息安全发展战略规划。根据国家统一部署,要从战略发展的高度充分认识信息安全工作的重要性和紧迫性,加强全市信息安全总体战略的研究,组织制定信息安全发展战略规划,指导全市信息安全保障工作有序、健康发展。重庆市信息安全发展战略规划由市信息产业局会同市级有关部门组织制定。
(二)抓好信息安全等级保护工作。信息安全等级保护工作是我市信息安全保障工作的重要任务之一。各部门、各单位对新建信息系统要根据国家规范和要求,确定信息安全保护等级,并同步规划、同步建设;已建信息系统,要在风险评估的基础上确定信息安全保护等级,按照等级保护的管理规定和技术标准,建设和完善信息安全保障设施。
由市公安局牵头,会同市国家保密局、市国家密码管理委员会办公室(以下简称市国密办)等部门,按照国家统一要求,研究提出我市实行信息安全等级保护的措施,开展信息安全等级保护试点。坚持“确保重点、兼顾一般、适度保护”的原则,逐步推行信息安全等级保护制度。
对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护,涉及国家秘密的信息系统的监管工作由市国家保密局牵头负责。
(三)建立和完善信息安全监控体系。按照国家信息安全监控系统的统一规划和要求,各基础信息网络和重要信息系统的运营单位或主管部门,要根据实际情况建立和完善信息安全监控系统,提高网络防范能力,依法为加强信息内容安全管理、查处违法犯罪和防范网络攻击、病毒入侵、网络失窃密、有害信息传播等工作提供工作机制和技术支持。
市公安局、市通信管理局要会同相关部门加强对互联网有害信息的监控。
(四)加强信息安全应急处理协调机制建设。建立健全信息安全应急处理协调机制,逐步形成全市统一、协调的应急指挥调度机制和信息安全通报制度,加强信息安全事件的应急处置工作。
由市公安局牵头建立信息安全通报制度。各基础信息网络和重要信息系统的运营单位或主管部门,发现涉及国家安全、经济建设、社会稳定和公众利益的重大信息安全问题和事件,要按照信息安全通报制度的要求及时报告;市公安局分析、汇总相关情况后,向市委、市政府报告并抄报市信息安全保障工作协调组办公室(以下简称协调组办公室)。
积极推动我市信息系统和网络安全报警处置机制建设,提高公安机关对信息网络安全事件(案件)的预警、报警和快速处置能力。各重要计算机信息网络应建立与市公安局“网络安全报警处置系统”的联动机制,有效预防和打击计算机违法犯罪活动,及时防治和查处危害网络安全的事件,确保重要信息网络安全。鼓励信息安全技术服务机构加入信息网络安全报警处置联动服务,提高信息网络应急响应能力。
(五)统筹重要信息系统灾难备份体系建设。各基础信息网络和重要信息系统的运营单位或主管部门,要加强对基础信息网络和重要信息系统的保护,高度重视应急备份和灾难恢复工作,提高基础信息网络和信息系统网络的抗毁性、容灾性。按照国家和市的要求,结合实际,制定有效、完善、可行的灾难恢复计划和应急处置预案,报上级主管部门备案,同时抄报协调组办公室。
重要信息系统的数据备份、灾难备份以及灾难恢复系统建设,要充分利用现有信息基础设施和网络资源,实现资源共享、互为备份。
由市信息产业局牵头,研究提出我市重要信息系统数据备份与灾难备份体系建设总体规划,指导全市灾难备份体系建设和发展。公安机关对灾难备份、灾难处置进行监督、指导。
(六)推动以密码技术为基础的信息保护和网络信任体系建设。由市信息产业局、市国密办会同市级有关部门,组织、协调和逐步推进全市以密码技术为基础的网络信任体系建设工作,规范和加强网络身份认证、授权管理和责任认定工作。
由市国密办牵头,加强密码、密码技术的规划、管理;建立健全我市密码管理与保障体制,按照国家统一规划,逐步建立覆盖全市的密钥管理体系,为全市信息安全保障和网络信任体系建设提供有效、可靠的密码支撑。
由市信息产业局牵头,根据国家法律法规和有关规定,规范电子认证服务工作,指导电子认证服务机构积极开展有偿服务。建立市数字证书管理中心,统筹全市数字证书的发放和管理工作,保障电子政务、电子商务等领域推进电子签名、身份认证等活动的安全性和可靠性。根据国家统一规划,逐步建立起区域性、跨地区的电子认证服务体系。
(七)加强信息内容的安全管理。信息内容的安全是保障信息安全的重要部分。各地区、各部门、各单位,根据各自的职责加强对信息的采集、生产、转换、存储、分发、应用等各环节的管理和监督,特别要对上网信息严格把关。对发生的问题做到“及时发现、及时上报、及时查处、及时清除”。
由市委宣传部牵头,负责信息内容的安全协调管理工作。对利用网络传播有害信息、危害公众利益和国家安全、泄露国家秘密等各种违法犯罪活动,由市公安局、市国家安全局、市国家保密局等部门按照职责分工依法进行查处。
(八)加强信息安全技术产品研发与信息安全标准化工作,推进信息安全产业发展。市发展改革委、市科委、市经委、市信息产业局等部门要加强对信息安全应用技术和产品研究开发的引导和支持,提高我市信息安全产品的自主创新能力,促进我市信息安全测评体系的建立和健全,促进成果转化和标准化,积极创建国家信息安全产品产业化基地,推进我市信息安全产业发展。
使用财政性资金建设的信息化项目,各项目实施单位要按照《中华人民共和国政府采购法》的规定,采用通过国家相关部门测评认证的国产信息安全产品和服务。
进一步加强信息安全标准化工作。针对全市信息安全产业发展及信息化建设的需求,研究制定相关地方标准,逐步构建起由国家、行业、地方各级标准组成的全市信息安全标准体系。推广先进的信息产品标准,加大信息安全产品的采标力度。
由市质监局牵头,会同市信息产业局负责信息安全的标准化和认证工作。
三、保障措施
(一)加强领导,明确责任,建立健全我市信息安全保障协调体制。为加强对全市信息安全保障工作的统筹协调,在市信息化领导小组下成立信息安全保障工作协调组(以下简称协调组),由常务副市长、市信息化领导小组组长担任组长,市信息化领导小组副组长担任副组长;成员由市委副秘书长、市政府副秘书长及市委宣传部、市国密办、市国家保密局、市发展改革委、市科委、市教委、市公安局、市国家安全局、市信息产业局、市财政局、市广电局、市通信管理局、市质监局、重庆警备区等部门分管信息安全的领导组成;协调组办公室设在市信息产业局(市信息办),负责协调小组的日常工作。办公室主任由市信息产业局局长(市信息办主任)兼任。
协调组的主要职责是:综合协调全市信息安全保障工作;审议全市信息安全保障工作的重大发展战略、宏观规划和政策;审议全市信息安全基础设施重大项目建设有关问题;综合协调全市跨部门、跨地区信息安全保障工作中的有关重大问题。
建立健全全市统一协调、职责明确、分工合作、各司其职的信息安全保障管理责任制。在协调组领导下,按照“谁主管、谁负责、谁经营、谁负责”的原则,信息安全保障工作各相关责任部门在各自的职权范围内行使信息安全管理职能,并承担相应的管理责任。
各级政府、各部门、各企事业单位要将信息安全保障工作列入重要议事日程,主要领导要亲自抓信息安全工作,建立健全信息安全管理体制,明确主管领导,落实部门责任,切实把信息安全工作落到实处。
协调组办公室要会同市级有关部门,定期对全市贯彻落实国家和我市信息安全保障工作情况进行督促检查。对在信息安全工作中做出突出成绩的单位和个人,要给予表彰和鼓励;对或严重失职造成重大信息安全责任事故者,要给予严肃处理,情节严重构成犯罪的,依照有关法律法规追究刑事责任。
(二)保证信息安全资金的投入。信息安全建设是信息化建设的重要组成部分,必须同步规划、同步建设、同步验收。各地区、各部门、各单位在信息化建设中,要保证信息安全资金投入和信息安全设施的运行维护费用。信息安全资金的投入应综合平衡建设成本和安全风险,区别不同情况,分级、分类、分阶段进行信息安全建设和管理。
为保障和支持我市重点信息安全基础性工作和基础设施建设,市发展改革委、市科委、市财政局、市信息产业局等部门,每年应从各类科技经费和发展资金中安排一定资金,重点支持信息安全产品的产业化、信息安全人才培养、信息安全技术与服务支撑体系建设、以密码技术为基础的网络信任体系建设、重点信息安全工程建设、信息安全应用示范工程、信息安全战略、标准与政策法规研究等方面。
(三)重视信息安全人才培养,提高全社会信息安全意识。推动信息安全学科、院系和培训机构建设,积极培养和造就高素质的信息安全管理和技术人才队伍;吸引和用好海内外优秀信息安全人才,为我市信息化建设做好人才储备。同时,充分发挥我市现有信息安全人才作用。
加强信息安全知识普及教育与网络文明建设,宣传信息安全基础知识和基本技能,开展对全社会特别是对广大青少年的信息安全知识教育和安全法律法规教育。加强对各级领导干部的信息安全意识教育和技能培训,把信息安全作为各级党校、行政学院教育培训的重要内容。
(四)加快推进信息安全技术与服务支撑体系建设。加快建立全市信息安全技术与服务支撑体系,为我市信息安全法规宣传、信息安全知识普及、人才培养、产品研发、信息系统与网络等级及风险评估、发展战略研究等提供技术支持。
按照国家对信息安全产品认证认可和测评的统一要求,加强信息安全产品认证认可工作,建立全市统一的信息安全产品测评体系。对计算机信息系统安全专用产品,要加强安全产品的测评工作,推进认证认可制度的实施。