网络安全评测范文1
关键词:网络安全;系统开发;系统运用
近些年来,随着互联网技术的快速发展,我国在网络信息安全保障领域方面也得到了快速发展。但结合当今实际情况来看,我国网络信息安全保障领域中还存在着网络信息安全滞后于信息发展等问题,这些问题的存在将会严重影响到我国的网络信息安全。为能够进一步提高网络信息安全保障能力,维护国家信息安全和公民信息安全,需要在网络安全测评领域,采用先进技术手段和科学有效的方法,构建相应的网络安全测评信息系统,及时预防和抵御网络信息安全问题,将网络信息安全风险控制在可接受水平范围。
1网络安全评测信息系统设计与实现
1.1安全漏洞扫描器类型。安全漏洞扫描器作为网络安全评测信息系统重要组成部分,其在市面上常用的类型主要分为基于主机的安全漏洞扫描器、基于网络的安全漏洞扫描器、基于目标的安全漏洞扫描器以及基于应用的安全漏洞扫描器四种。(1)基于主机的安全漏洞扫描器主要是通过被动式、非破坏性的方法对网络信息系统进行全面检测,检测过程中会对系统配置文件的完整性、正确性、重要文件和程序的实际权限以及主机内部安全状态等内容进行检测分析,分析文件、程序、主机中是否存在风险漏洞问题[1];(2)基于网络的安全漏洞扫描器则会采用主动性、破坏性的方式来检测系统是否能够抵御外部攻击,即通过一些脚本、病毒来模拟系统在被攻击时的安全性能,进而测定系统的安全水平;(3)基于目标的安全漏洞扫描器在运行过程中会对系统属性和文件属性进行全面检测,并在检测过程中采用消息加密算法和HASH函数来感知系统加密消息的真伪变化情况;(4)基于应用的安全漏洞扫描器是一种被动式、非破坏性的安全检测方式,在实际运行过程中会通过对应用软件设置情况的检测来判断系统示范存在安全漏洞问题。
1.2网络安全评测信息系统主要架构。结合当今实际情况来看,常见的网络安全评测信息系统主要采用B-S、C-S等架构,本文在实际设计过程中,将会采用C-S架构。在网络安全评测信息系统中主要分为客户端和服务器两部分,其中客户端主要由安全评估模块、扫描配置模块以及结果报表整理模块三部分组成;服务器主要是由扫描引擎、漏洞库以及插件库三部分组成[2]。在该些模块的支持下,客户端可以实现配置模块的全面扫描,并实时将扫描请求发送到服务器端。服务器端在接收到扫描请求后,会调用扫描引擎会基于目标配置文件对目标的网络进行全面扫描,然后将扫描结果与服务器漏洞库中的预设信息进行匹配对比,确定目标网络是否存在漏洞问题,再将判断后获取到的匹配结果返回给客户端,客户端会对返回的匹配结果进行分析,然后对分析结果及相关内容进行报表整理,完成整个网络安全评测信息系统工作流程。
1.3客户端架构设计。网络安全评测信息系统的客户端主要有扫描配置模块、评估模块、预警模块、扫描结果数据库以及主机基本情况数据库五部分组成,具体内容如下:(1)扫描配置模块:扫描配置模块的主要作用是对客户端的扫描任务进行合理配置,具体配置内容包括扫描目标、用户名、用户密码、加密方式、输出格式、扫描范围、服务器地址、服务器端口、使用插件等。(2)评估模块:评估模块的主要作用是结合目标的实际情况选用适当的算法对目标扫描结果进行分析,然后对目标安全新情况进行一个较为全面、公正的评估判断。(3)预警模块:预警模块的主要作用是在发现目标存在安全风险后,通过Email或者其他通信方式,及时告知目标存在的安全风险问题的实际情况,具体告知内容包括目标已发现的安全漏洞,漏洞相应的补救措施等[3]。(4)主机基本情况数据库:通常来说,某一系统内部的所包含的主机数量在一定时间范围内都是一定的,所以在实际网络安全评测过程中,可以将这些主机相关的基本信息存入到主机基本情况数据库中,以方便后续网络安全评测信息系统检测中使用,进而有效提高评测速度的同时,增强主机的管理效果。当然,在主机情况发生变动后,网络管理人员需要结合主机变动情况及时对主机基本情况数据库中的信息进行更新处理,确保数据的精准性和有效性。(5)扫描结果数据库:每当完成一次网络安全扫描后,扫描所获取到的结果便会存储到扫描结果数据库中,以供后续扫描结果评估的匹配参考。
1.4服务器架构设计。本文所设计的网络安全评测信息系统中服务器部分主要由扫描引擎、结果数据库、漏洞数据库、规则数据库、插件数据库等五部分组成。具体内容如下:(1)扫描引擎:扫描引擎的主要作用是根据用户的个性化扫描要求,合理从插件数据库中选择相应的插件,并在执行扫描过程中有效协调各插件之间的关系,执行扫描程序的同时,将扫描过程中所返回的扫描结果存储到结果数据库中。(2)插件数据库:在网络安全评测信息系统中,网络漏洞和插件之间将会执行一对一的关系,即在检测过程中,一个插件仅会负责一个漏洞的检验,而插件数据库中存储着网络安全评测信息系统中所有的插件,并将插件进行分类存储[4]。(3)漏洞数据库:本文设计的网络安全测评信息系统主要是采用基于主机和基于网络安全漏洞扫描相结合的方式,在执行外部扫描时,系统会将目标主机或者目标网络所返回的信息与漏洞服务器中的信息进行匹配分析,进而判断目标主机或者目标网络中存在的安全漏洞风险。另外,为确保漏洞数据库的全面性和有效性,漏洞数据库中将会存储国际上各权威机构所公布的漏洞信息。(4)规则数据库:在执行内部扫描时,系统会将目标主机或者目标网络所返回的信息与规则数据库中的信息进行匹配分析,进而判断目标主机或者目标网络配置是否存在安全漏洞分析[5]。另外,为确保规则数据库中数据信息的全面性和有效性,会将一些配置上的重要规则内容存储到规则数据库中。(5)结果数据库:无论是在执行外部扫描还是内部扫描过程中,系统在发现目标主机或者目标网络存在安全漏洞风险后,均会将相关漏洞信息存储到结果数据库中,并在完成安全扫描过程后,将结果数据库中所存储的数据信息传输给客户端,然后由客户端执行后续评测工作。
1.5漏洞数据库的数据插入。随着互联网技术的不断发展,被人们所发现的安全漏洞信息也在不断增加。为确保发现的漏洞信息能够及时存储到漏洞数据库中,达成数据库及网络安全评测信息系统的更新效果,需要采用相应的技术手段实现漏洞数据库的自动化更新。在设计中,漏洞数据库的数据插入工作主要是通过程序提取添加以及系统自动添加两种方式进行。其中程序提取添加就是通过预设的数据提取程序,在专业的安全漏洞信息网站上进行漏洞信息提取,查询该些网站时候更新漏洞信息,若是有更新漏洞信息,则会将更新后的漏洞信息进行下载,之后存储到漏洞数据库中[6];系统自动添加则会为系统设置定时数据收集功能,并通过该功能定时从固定的网站中下载漏洞信息,然后分析该些漏洞信息是否与漏洞数据库中的数据信息相同,去除掉相同的内容,将不同的内容自动存储到漏洞数据库中。
2网络安全评测信息系统的运用分析
2.1测试单位简介。测试过程中所选择的测试单位为某市中小企业。现如今,该企业已经构建包括办公信息系统、业务管理系统、电子档案查询系统、综合调度系统、外网管理系统等诸多信息系统,并结合自身的实际情况构成符合自身需求的互联网应用平台,可实现对数据信息的快速归档、更新、处理,有效提高企业办公效率的同时,降低原本人员办公的错误率,提高办公质量,为企业的长久较好发展提供重要支持。
2.2网络安全评测信息系统的运用成果。在征询该测试单位上级领导人员同意的情况下,采用网络安全评测信息系统对该测试单位的主机和网络进行安全漏洞测试,并按照国家所制定的等级保护与风险评估标准进行实际评定后,测试单位的安全漏洞风险较为严重,急需采用相应的应对预防措施,对相关漏洞进行弥补的同时,确保测试单位信息系统的整体安全性。另外,通过测试过程中发现,本文所设计的网络安全评测信息系统可以有效地发现目标主机和目标网络中存在的安全漏洞风险,进而为后续风险的预防处理提供重要参考依据。
3总结
网络安全评测范文2
关键词:政务大数据平台;网络安全;运维策略
现如今,信息技术的高速发展使得其在社会中得到了广泛的应用。而在政府工作中,工作人员可以利用信息技术构建政务大数据平台,通过网络化的方式解决群众的问题。这不仅可以提高政务处理效率,还能切实满足广大群众的利益需求。为此,相关技术人员需要对政务大数据平台建设进行深入分析,加强对网络安全建设的重视,并制定完善的运维策略。
1政务大数据平台的建设特点
1.1集约性
一般而言,技术人员会在混合云架构部署的基础上完成政务平台的建设。其中,平台主体部署在政务云专有域,而公有域则面向互联网用户群众,以便其获取相关的数据信息,并为其应用模式的拓展提供保障[1]。同时,在该平台的支持下,工作人员还能通过电子政务平台接入可扩展的物理虚拟资源池,按照实际的业务需求完成云资源的调配。
1.2安全性
在政务平台运行过程中,技术人员需结合实际构建全面、多层次的安全保障体系,如网络安全体系、数据安全、应用及运维安全,并使其达到我国网络安全标准中的第三级安全要求。
1.3资源共享性
由于政务平台具有统一的数据资源标识编码体系,使得工作人员能够利用元数据管理体系、数据资产登记等模块,增进工作人员与群众间的联系,并能加强工作人员之间的信息共享,以保障政务大数据平台的完整性,为后续政务工作的进行提供保障。
1.4融合性
在政务大数据平台运行过程中,各部门、群众均可以通过平台完成自身的业务,并获取所需信息。以智慧交通为例,物联网大数据平台和政务大数据平台的融合(物信融合)导致数据之间深度关联,数据价值更大,对人才技术和业务知识面要求也更广。这使得技术人员也可以将政务大数据平台与其他工作平台进行对接,增进与其他机构的联系,实现双方的信息共享,有助于实现数据信息的多元化发展。但是,这一功能的实现也给相关技术人员提出了更高的要求。
2政务大数据平台建设中存在的问题
2.1信息共享不足
现如今,我国电子政务体系已逐渐成熟,其效用地发挥也愈发明显。但再具体的工作过程中,传统管理体制的影响仍然没有消除,使得各政府部门间的信息沟通相对较差,没有进行有效的信息共享[2]。在这种情况下,服务型政府的建设虽然得到了推进,但各部门的工作无法进行有效协调,导致具体的工作效率受到了严重的影响。具体而言,在政务平台建设中,信息共享问题主要体现在以下几方面:首先,相当一部分政府资源仍然以纸质化的形式存留在各部门中,没有进行数字化转变,导致平台中的数据信息相对浅薄,没有足够的参考价值;其次,平台中的数据信息多为结构化数据信息,部分应用更广、数据更庞大的半结构化信息并没有被纳入平台中;最后,当前政务大数据平台的信息共享相对封闭,仅适用于政府机关内部运行需要,没有将其深入到群众生活中,导致数据平台信息共享功能的发挥受到了限制,不利于后续政务工作的顺利进行。
2.2大数据管理机制相对落后
现阶段,我国多数政务信息没有得到数字化转变,其价值也得不到充分体现。究其原因,多数政府部门实行的管理机制相对落后[3]。首先,由于大数据在我国的发展起步较晚,相应的管理体制也较为落后,无法适用于当前时代的发展需求,需要管理人员对其进行深入研究,明确自身不足,从而使管理机制不能满足工作需要;其次,部分管理人员对信息技术的认知不够明确,对大数据平台的应用要点也缺乏认知,导致其信息意识相对较差。且由于部分管理人员的思想也没有得到良好的转变,这使得其在工作过程中仍然沿用传统的工作模式,对大数据平台的效用发挥造成了限制。另外,我国对大数据管理机制的研究尚处于探索阶段,对工作中出现的问题还没有形成标准的处理流程,特别是在数据采集、使用、共享等方面均存在管理机制与实际业务中的松耦合问题,需要管理人员加以重视。
2.3数据处理及应用技术落后
对政务大数据平台而言,其作用的发挥在于对数据信息进行高效处理与应用。为此,如何充分提高大数据技术的应用已成为政府工作人员重点关注的内容。现如今,信息技术已经渗入到群众生活的方方面面,数据信息的时效性相比以往有了质的提升,且数据信息的组成也多以半结构化与结构化数据为主[4]。但从实际处理效果来看,对数据信息的处理技术及应用方式相对落后,致使工作人员即便在政务数据平台中获取到所需信息,也无法对其进行高效利用,给后续政务工作的开展造成了阻碍。
3提高政务大数据平台网络安全建设及运维效果的措施
3.1聘请专业的网络安全运维机构
一般而言,与聘请本地专业网络安全机构相比,让设备厂商直接参与网络安全运维工作存在以下问题:第一,厂商的经营目的在于提高利润,使得其在开展运维工作时往往只会推荐自家的产品,而不会选择别家厂商的产品,这很容易造成安全产品的功能问题;第二,厂商推荐的产品多为统一品牌,缺乏安全异构。这使得该品牌的某一产品出现问题,很容易对该系列所有产品造成影响;第三,厂商的总部与用户所在地往往不会处于同一区域。使得其对网络安全事件的响应能力较差,无法给用户提供及时有效的服务[5]。而对于专业服务公司来说,其在合同与经济模式的约束下,能够为用户提供更加全面的产品选型策略,并对其网络架构进行优化设计,从而组成高效的异构安全防护链。通过这种方式,其能够给用户提供更加全面且优质的运维服务,缓解其安全压力。另外,专业安全服务机构与厂商还有着以下几方面的不同:首先,服务范围不同。厂商给用户提供的运维服务主要包括设备状态检查、故障排查等,并对用户设备进行漏洞扫描。而安全服务机构能够在此基础上对安全事件进行应急响应,并对其起因进行分析取证。同时,其还可以利用多种异构扫描工具,对设备进行扫描等,使服务内容得到进一步扩充。其次,两者对安全设备的熟悉程度不同。厂商大多仅对自身产品的指标性能、功能特点相对熟悉,对其他安全设备的应用要点不够明确。而安全服务机构则是既能在设备选型过程中给用户提供专业的建议,又能辅助其完成对设备功能的优化配置。由此,当前多数机构选择聘请专业的网络安全服务机构来开展运维工作。
3.2强化网络安全制度建设
对政务大数据平台建设来说,工作人员若想充分发挥其效用,就需要对现行的网络安全制度进行完善,并积极推动该制度在平台建设与运维全过程中的贯彻。只有这样,安全管理制度的效用才能得到充分发挥。在这种情况下,其首先需要将所有员工纳入安全管理的范围中,通过签订合同等方式,强化安全管理制度的针对性,使其能够对各员工的行为进行明确规范,从而强化安全管理的作用。同时,其还需要在合同中对违规行为进行规定,明确对这一行为的处罚,并做好对各管理人员岗位职责的规划。通过这种方式,网络安全制度建设效果得以显著提升。其次,管理人员须构建系统建设管理制度,对系统规划到测试验收的全流程实行明确的管理规范,并对软件开发过程中控制方法进行明确,实现对开发文档的综合管理,防止出现权责不清的情况。这对后续风险评估工作的进行也有着重要的帮助。再次,构建网络安全运维管理制度。管理人员需要明确安全保障的常规措施,对系统的边界安全、升级补丁、恶意代码防范等进行明确管理,使网络安全行为得到有效落实,这对整体安全建设效果的提升十分重要。最后,管理人员需要做好相应的应急处理预案。具体而言,其需要在同一的预案框架下,针对不同应急预案进行演练,并对其进行实时更新,以满足时展下对安全运维工作的开展需要。这不仅可以提高数据安全,还能为政务工作的高效进行提供保障。
3.3加强对系统建设单位的管理
首先,做好对外部人员的上岗管理。在其正式投入工作前,单位需要与其新签订保密协议,对保密时效与违约责任进行明确。同时,其还需对上岗人员进行培训,使其对自身的工作要点有足够的了解,并对岗位职责进行明确。其次,加强对软件开发过程的管理。具体而言,其需要按照既定的运维管理制度,对软件开发全流程实施严格管理,加强对项目进度的把控,从而有效提高项目建设质量。最后,政府人员需引进专业的第三方管理团队,依靠专业团队的力量为政务平台的建设提供保障。此外,网络安全审查办公室等部门还需对政务大数据平台的运行状态进行全面监督,加强对违规行为的打击,从而使安全管理建设目标得到深度落实。
4结束语
网络安全评测范文3
关键词:信息安全;实训平台;云计算
近年来,信息安全成为国家关注的重要领域,各高校正在积极开设信息安全类课程和专业,然而信息安全相关实验内容极不完善,实验环境和实验器材都较为匮乏,开发一种具备实用性、开放性、灵活性的信息安全实验平台成为开展相关课程教学的基础条件之一[1]。
1新疆高职院校信息安全专业实训建设意义
“一带一路”经过五年的建设发展,取得了举世瞩目的成绩,乌鲁木齐作为丝绸之路经济带的桥头堡,其经济发展和信息化建设将起着决定性作用。在信息化建设过程中,信息安全成为维护国家安全和社会稳定的一个焦点[2]。新疆高职院校主要是培养适应本地发展的高素质技能型人才,其特点是强调应用型。本文以乌鲁木齐职业大学(以下简称“乌职大”)的信息安全云实训平台构建为例,紧紧抓住“实用”和“应用”两个关键点,围绕信息安全云实训的内容及对应的职业技能和岗位应用进行探索。目的是加强网络发展变革下的信息安全防范工作,顺应“一带一路”的发展信息网络安全新思路,抵御恐怖主义、极端主义的信息及网络袭击,加强新疆信息安全高素质应用型人才的培养,努力构建社会稳定的安全格局。
2实训平台建设目标
信息安全云实验平台对信息安全人才培养至关重要。综合信息安全领域的数据安全、密码学安全、逆向工程、安全运维与评估等方面,构建一个基于云计算环境的虚拟化信息安全综合实训平台具有迫切性和实用性。如何构建一个集成网络工程、计算机科学与技术、信息安全、网络安全、信息对抗、信息管理、电子商务等安全相关专业或相关方向迫切需要开设更多更全的信息安全类课程,如“信息安全概论”、“网络安全”、“现代密码学”、“PKI原理与技术”、“操作系统安全”、“数据安全技术”、“防火墙”、“入侵检测”、“计算机病毒分析与防治”、“网络攻击与防护”、“信息隐藏”、“无线局域网安全分析与防护”、“信息安全综合实训”等,这些课程的教学都离不开好的实验实训平台。
3实训平台及实训内容
3.1操作系统及数据库安全实训平台
操作系统及数据库安全实训课程主要涵盖了win-dows、linux操作系统安全实训课程,Sqlserver数据库安全实训课程、Mysql数据库安全实训课程等,从企业实用应用角度出发,着重培养学生信息安全基本技能。
3.1.1专业领域及岗位
专业领域为数据安全及原理、计算机网络安全、操作系统安全等。所涉及的专业岗位为:操作系统工程师、操作系统支持工程师、操作系统资深工程师、LINUX操作系统研发工程师、数据库管理员、数据库运维工程师、数据库维护工程师、数据库安全管理员、数据库安全研究员等岗位。
3.1.2实训内容
平台能够为诸如Windows服务器配置与管理、Windows企业服务器配置与管理、Linux服务器配置与管理、SQLServer2008数据库配置与管理、MySQL5数据库配置与管理等课程提供实训练习。
3.2密码学安全实训
密码学安全实训课程主要涵盖了密码学算法、密码学分析、密码学测评、密码学应用相关的教学实验内容,在满足高校教学需求的同时,提供学生密码学安全技能。
3.2.1专业领域及岗位
包含密码学原理与应用、PKI原理与技术,涉及的岗位有:密码工程师、密码算法工程师、密码产品研究、密码算法测试工程师及PKI工程师等。
3.2.2实训内容
平台能够为诸如密码学算法、密码学分析、密码学测评、密码学应用等课程提供实训练习。
3.3安全运维与评估实训平台
安全运维与评估实训包含了安全运维和安全评估方向的教学实验内容,可以培养学生面向企业真实网络环境的分析和评估技能。
3.3.1专业领域及岗位
涉及的专业方向为计算机网络、数据库原理、操作系统原理、WEB应用安全等。涉及的就业岗位有系统管理员、运维管理员、数据安全运维工程师、网络安全运维工程师、应用运维工程师、系统安全测评师、安全评估工程师等。
3.3.2实训内容
平台能够为诸如服务器安装、企业服务器shell管理、构建企业负载均衡网络、构建Web网站、构建数据库集群、构建企业门户网站、构建企业监控系统、open-vas风险评估介绍、企业网站进行风险评估、构建服务器集群、Windows系统安全评测、Linux系统安全评测、Mysql数据库安全评测、SQLServer数据库安全评测、Oraclel数据库安全评测、WEB应用安全评测、风险评估报告等课程提供实训练习。
3.4逆向工程实训平台
逆向工程实训包含了汇编语法、软件脱壳技术、响应事件技术、软件破解技术等四个方面的内容,培养专业的逆向安全、汇编等方向的岗位人才。
3.4.1专业领域及岗位
涉及的技术领域为汇编语言、操作系统及逆向工程。涉及的就业岗位为逆向工程师、软件逆向分析工程师、反汇编工程师、逆向破解工程师等。
3.4.2实训内容
平台能够为诸如汇编语法、软件脱壳技术、响应事件技术、软件破解技术等课程进行实训练习。
3.5信息安全综合实训平台
信息安全综合实训涵盖了信息安全多方向的教学实验内容,所有的教学实验均从企业真实使用场景为背景进行研发,充分体现和培养学生的信息安全实战技能。
3.5.1专业领域及岗位
涉及的技术领域为企业应用开发、Python编程技术、JAVAEE技术与编程技巧、大数据应用开发、信息安全、网络安全、操作系统、应用安全与攻防、JAVAEE安全技术、企业防火墙技术、网络协议解析、数据加密、KALI渗透检测、恶意代码分析原理、计算机病毒与恶意代码防御、移动安全开发等。涉及的专业岗位为:前端设计开发工程师、JAVAEE开发工程师、Python工程师、应用安全工程师、移动应用安全工程师、软件测试工程师、实施工程师、系统安全工程师、数据安全工程师、网络安全工程师、信息安全攻防测试员、数据安全研究员、Kali渗透工程师、病毒分析工程师、恶意代码分析工程师、WEB安全工程师等。
3.5.2实训内容
平台能够为诸如代码审查、应用安全技术、系统安全、网络安全、数据安全、安全攻防分析、kali渗透攻击、Namp应用实训、BurpSuite应用实训、网络协议解析、企业防火墙配置、DDOS入侵检测、Python脚本安全、数据隐藏与取证、病毒分析与防范技术、恶意代码分析、移动安全技术、sql注入检测、CVE漏洞检测、数据库安全日志分析、系统安全日志分析等课程提供实训练习。
4结语
乌职大通过构建一种基于云计算的信息安全实训平台,满足了新疆职业院校信息安全人才教学需求,并配套构建了实验指导手册、详细参考手册、实验指导视频等辅助学习资源。下一步工作的重点是,学校要加大信息安全场地和设备的投资,专业教师明确在实践教学中担任的角色,加强信息安全平台和实训中心建设[6]。
参考文献:
[1]李蒙,薛俊凯.高校信息安全实验平台构建方式浅析[J].网络安全技术与应用,2018,(09):99,101.
[2]余姜德,梁本来,冷令,等.高职信息安全专业实训课程与实训平台构建探索[J].广东职业技术教育与研究,2018,(04):162-164.
[3]周敏.基于云计算的虚拟信息安全实训平台的设计[J].实验技术与管理,2018,(07):198-201.
[4]侯海燕,赵鼎,白光安.信息安全攻防实训平台的设计与部署[J].科技视界,2016,(16):238-238,281.
[5]黄建忠,张沪寅,裴嘉欣.网络安全虚拟仿真实验教学体系设计[J].实验室研究与探索,2016,35(10):170-174.
网络安全评测范文4
[关键词]安全等级保护;信息系统;定级
0引言
在教育部提出《教育信息化2.0行动计划》后,建设“数字化”“智慧化”校园成为实现教育现代化的重要举措。然而,由于有些高校信息系统在建设之初未将等级保护作为政策性要求加以考虑,其保护现状能否满足安全基本要求成为管理者们担忧的问题。据统计,由于安全观念薄弱,黑客对高校攻击的成功率很高[1],因此高校实施信息系统安全等级保护势在必行。但由于思想认识不到位、资金投入不足、管理机构和制度不健全等因素[2],部分高校迟迟未实施等级保护工作。而现有的等级保护研究成果多从信息系统等级评测技术角度及整体实施步骤进行,对于等级保护中定级工作缺乏具体的实践指导意义。定级作为等级保护工作的第一步,其能否科学、合理关系到后续环节的顺利展开。本文针对高校典型信息系统的定级流程、核心要素进行分析,结合山西某高校网站群信息平台定级实例,希望对高校新建或改建信息系统等级保护评测提供借鉴。
1定级依据
信息系统安全等级评测制度对涉及国家安全,社会安全、公共利益,公民、法人和其他组织的专有和公开信息以及对这些信息存储、传输、处理的信息系统分等级进行安全保护[3]。截至2018年底,国家公开的信息安全技术、网络安全等级标准共14条。高校信息系统定级主要依据《信息系统安全保护等级定级指南(GB/T22240-2008)》以及教育部下发的《教育行业信息系统安全等级保护定级工作指南(试行)》。根据业务信息和信息系统在国家安全、社会秩序和公共利益、公民及相关组织合法权益中的重要程度以及在遭到破坏后对国家、社会、公民合法权益的危害程度,将业务信息和信息系统的安全保护等级分为五级[4],安全级别由高到低分别为专控保护级、强制保护级、监督保护级、指导保护级、自主保护级。同时依据安全等级保护管理办法,信息安全等级保护评测的主要环节分为定级、备案、建设整改、等级评测和监督检查五个环节。
2定级流程
信息系统定级工作总体按照“自主定级、专家评审、主管部门审批、备案”的程序进行。
3核心要素
3.1合理划分信息系统
高校信息系统可以按隶属单位、业务对象、部署模式等方式划分,但勿将整个校园网络进行定级,要综合考虑安全管理和责任,将基础网络划分为若干个安全域;不要将某一类信息系统作为定级对象,要按照不同业务类别单独确立。
3.2综合评估受侵害程度
高校信息系统受侵害程度应根据其承载的业务、面向的对象、行政级别、部署模式综合考虑,同时根据办学规模、社会影响力综合评估[5]。比如高校办学规模较大,其受危害程度大于中小学信息系统;“985”、“211”院校大于其他院校。
3.3工作衔接要紧密
在自主定级之后,要报教育主管部门审批,并及时向当地公安机关备案。按照规定,第一级系统无须备案;批准为二级以上系统,由其运营使用单位到所在地区的市级以上公安机关办理备案手续。
4定级实例分析
以山西省某高校为例,该校数字化建设主要有一卡通系统、站群管理系统、教务管理系统等。下面以该校网站群信息平台系统定级工作为例进行说明。
4.1自主定级
4.1.1摸底调查
该系统主要为高校门户网站提供数据支撑,具有独立的安全域。摸底应对该系统的责任部门、隶属关系、服务对象及范围、关键产品使用、系统采用服务等进行调查。了解到,该系统2016年12月建设完成,主要将校内各部门的站点信息联系在起来,以统一的门户为来访者提供一站式服务。该平台部署了Web应用防护系统、数据库审计系统、入侵防御系统,在系统边界部署有堡垒机、防火墙。
4.1.2责任明确
该系统由学校信息网络与信息化领导小组负责安全等级评测工作,网络技术中心负责该信息系统的运行维护,对该系统网络安全负保护责任;宣传部负责功能定位、后台管理和权限设定,对平台的信息负有内容安全审核责任。
4.1.3自主定级
该高校是区域知名大学,该系统是学校面向校内师生和社会的服务窗口。其业务信息受到破坏时,会对教职工内部办公产生影响,所侵害的客体是公民、法人和其他组织的合法权益;当网站主页面信息遭到篡改时,会对社会秩序和公共利益造成严重损害,但不损害国家安全;系统服务受到破坏后,会对师生内部办公、学习造成严重影响,影响公众对校园网站的正常浏览和搜索,对公民、法人和其他组织的合法权益造成严重损害,对社会秩序和公众利益造成一般损害,但不损害国家安全。根据《信息系统安全等级保护定级指南》,将该业务信息、服务系统安全保护等级分别定为第三级、第二级。综合以上情况,参考《教育行业信息系统安全等级保护定级工作指南》对省级高校门户网站安全保护等级的建议,最终该系保护等级定为第三级。
4.2专家评审
在完成信息系统自主定级后,聘请相关信息安全等级保护专家3~5名对自主定级情况进行评审,核对相关信息的准确度,形成评审意见。
4.3主管部门审核批准
完成专家评审后,填写《安全等级保护定级报告》、《安全等级保护备案表》以及专家评审意见等材料,并将相关材料报送省教育厅进行审批。
4.4备案
自主定级完成后,携带《定级报告》、《备案表》以及系统拓扑结构及说明等材料到所在地设区的市级以上公安机关办理备案手续。审核后,公安部门加盖等级保护专用章,出具备案证明。
5几点建议
(1)明确责任。在高校信息化建设过程中,由于各信息系统建设时间、网络设备配置地点不集中,加之高校机构改革、职能变化等都会对信息系统的责任区分产生影响。因此,要严格按照“谁主管谁负责、谁运营谁负责”的原则进行。(2)系统划分要合理。高校中信息子系统种类繁多、功能定位不一,在确定定级对象时要从安全管理和安全责任角度出发,将基础信息网络划分为若干个最小安全域进行定级。(3)资金配套要到位。安排专项经费用于网络信息系统安全建设。对于等级评测工作,三级系统每年至少进行一次,二级系统每两年进行一次,每次都需专项资金确保评测工作顺利进行。(4)动态地看待定级环节。定级工作随着信息技术发展、网络安全威胁变化以及业务需求、系统运行量的增加而需要不断进行调整。当系统状态变化可能导致业务信息或系统服务受到破坏后的客体及受侵害程度发生较大变化时,就应重新定级。
6结语
本文分析和总结了信息等级保护定级工作的依据、实施步骤、核心要素,并结合山西某高校网站群信息平台系统定级实例进行了具体分析,给出建议。高校信息化建设任重道远,定级作为等级评测的第一步,必须认真筹划,才能更好地应对不断增强的网络安全威胁。
主要参考文献
[1]王强民,张保稳,张竞.高校信息系统安全等级保护工作的现状分析[C]//第二届全国信息安全等级保护技术大会会议论文集,2013:62-63.
[2]刘泽华.高校信息系统安全等级保护研究[J].中国管理信息化,2016,19(8):154-155.
[3]李超.信息系统安全等级保护实务[M].北京:科学出版社,2013:4-5.
[4]全国信息安全标准化技术委员会.GB/T22240-2008信息系统安全保护等级定级指南[S].2008.
网络安全评测范文5
[关键词]电子政务;质量监督;网络安全检测
电子政务是指政府相关部门利用信息技术、网络技术等现代技术手段重新梳理、优化组织架构和办公流程,利用电子化方式替代传统的人工服务,为社会提供更高效、简便、透明、廉洁的公共服务的一种全新的运作模式。其网络安全能否得到有效保障,直接影响到政务信息资产的安全。
一、电子政务信息系统质量监督的主要内容
依照《中华人民共和国政府采购法》第四十一条:“大型或复杂的政府采购项目,应当邀请国家认可的质量检测机构参加验收工作。”围绕采购方需求,制定出科学完善的测评方案,通过性能测试、漏洞扫描、云计算服务安全评估等专业检测方法,为采购方采购的业务系统、软件应用、云计算平台等开展安全检测。相关评测标准主要有:《GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》《GB50462-2015数据中心基础设施施工及验收规范》。
二、网络安全检测在质量监督中的重要性
电子政务信息系统存储着大量涉及国计民生的有效信息,若遭到不法分子窃取,将对个人、社会甚至国家安全造成严重威胁。基于此,对电子政务信息系统进行网络安全检测,保障其安全稳定地运行,是非常必要且需高度重视的。政务信息网络安全检测主要是针对系统可能存在的安全漏洞进行识别、分析,采取措施应对发现的安全问题,以保障电子政务信息系统安全稳定运行。
三、电子政务信息系统面临的安全风险
“互联网+政务服务”给社会带来便利的同时,也带来了许多网络安全方面的隐患。电子政务信息系统面临的网络安全风险包括以下方面。
1.非法入侵黑客组织
信息网络高速发展带来的巨大经济利益,时刻吸引着网络上的不法黑客组织通过非法入侵窃取大量信息,给社会和国家带来巨大损失。
2.计算机病毒威胁
随着计算机功能越发强大,计算机病毒种类也越来越多,它们利用自身的“传染”能力,窃取系统资源,破坏系统数据,给信息系统带来了较大的安全威胁。
3.系统自身漏洞
由于系统设计上的缺陷或失误导致的安全漏洞,也会给系统带来隐患,甚至破坏系统。因此,电子政务信息系统在建设过程中须严格把关流程中的每个环节,同时进行相关安全性测试,不断优化系统,避免出现系统自身漏洞。
4.内部人员泄密
内部人员是政务系统网络安全的重大“缺口”,在政务机构进行人员选拔时,一定要综合多方面因素,选择最合适的人才。同时,面向各类人员定期开展网络安全教育和培训,提高自身职业素养和网络安全意识,并对内部人员进行规范化管理。
5.用户安全意识薄弱
这是一个普遍现象。大多数人会认为:政务系统怎么会出现问题?安全意识淡薄,网络知识匮乏,导致电子政务信息系统服务器故障,从而导致系统无法稳定高效运行。
四、电子政务系统网络安全检测的内容及意义
根据电子政务面临的威胁,多维度开展网络安全检测,能全面发现网络安全隐患,提高电子政务的网络安全保障能力。网络安全检测依据标准GB/T22239-2019《信息安全技术网络安全等级保护基本要求》相关要求,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理制度等层面开展安全测评[1]。
五、小结
网络安全评测范文6
根据《基本要求》的规定,二级要求的系统防护能力为:信息系统具有抵御一般攻击的能力,能防范常见计算机病毒和恶意代码危害的能力,系统遭受破坏后,具有恢复系统主要功能的能力。数据恢复的能力要求为:系统具有一定的数据备份功能和设备冗余,在遭受破坏后能够在有限的时间内恢复部分功能。按照二级的要求,一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量,技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评,而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类(S类)、系统服务安全类(A类)、通用安全防护类(G类)三类。水利信息系统通常以S和G类防护为主,既关注保护业务信息的安全性,又关注保护系统的连续可用性。
2水利科研院所信息安全现状分析
水利科研院所信息系统结构相对简单,在管理制度上基本建立了机房管控制度、人员安全管理制度等,技术上也都基本达到了一级防护的要求。下面以某水利科研单位为例分析。某水利科研单位主机房选址为大楼低层(3层以下),且不临街。机房大门为门禁电磁防盗门,机房内安装多部监控探头。机房内部划分为多个独立功能区,每个功能区均安装门禁隔离。机房铺设防静电地板,且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防,能够对火灾发生进行自动报警,人工干预灭火。机房内已安装温度湿度监控探头,对机房内温湿度自动监控并具有报警功能,机房配备较大功率UPS电源,能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线,动力电路下走线方式。以上物理条件均满足二级要求。网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块,对外服务区部署有VPN网关,外部人员可通过VPN网关进入加密SSL通道访问业务处理区,接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测(IDS)系统、非法外联检测系统、网络安全审计系统以及流量控制系统。由上述拓扑结构可以看出,现有的安全防护手段可基本保障信息网络系统的安全,但按照二级要求,系统内缺少IDS系统、网络安全审计系统和非法外联检测系统,且没有独立的数据备份区域,给整个信息网安全带来一定的隐患。新的网络系统在外联区边界防火墙下接入了入侵检测系统(IDS),新规划了独立的数据备份区域,在核心交换机上部署了网络审计系统,并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。
3信息系统安全等级测评的内容
3.1信息系统等级保护的总体规划
信息系统从规划到建立是一个复杂漫长的过程,需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。
3.2测评的要素
信息系统是个复杂工程,设备的简单堆叠并不能有效保障系统的绝对安全,新建系统应严格按照等保规划设计,已建系统要对信息系统进行安全测试,对于测评不合格项对照整改。信息系统安全测试范围很广,主要在网络安全、主机安全、应用安全、数据安全、物理安全、管理安全六大方面展开测评。本文仅对测评内容要素进行描述,对具体测试方法及工具不作描述。
3.2.1网络安全的测评
水利科研院所网络安全的测评主要参照公安部编制《信息安全等级测评》条件对网络全局、路由和交换设备、防火墙、入侵检测系统展开测评。但应结合科研院所实际有所侧重。水利科研院所信息系统数据传输量大,网络带宽占用比例相对较高,因此,在网络全局中主要测试网络设备是否具备足够的数据处理能力,网络设备资源占用情况,确保网络设备的业务处理能力冗余性。科研院所地理位置相对分散,因此,需要合理的VLAN划分,确保局部网络攻击不会引发全局瘫痪。科研院所拥有大量的研究生,这类人群对于制度的约束相对较差,网络应用多伴有P2P应用,对出口带宽影响极大,因此除了用经济杠杆的手段外,在技术上要求防火墙配置带宽控制策略。同时对“非法接入和外联”行为进行检查。网络中应配置IDS对端口扫描,对木马、后门攻击、网络蠕虫等常见攻击行为监视等等。
3.2.2主机安全测评
主机安全的测评主要对操作系统、数据库系统展开测评。通常水利科研院所服务器种类繁多,从最多见的机架式服务器到曙光一类的大型并行服务器均有部署,同时操作系统有window系列、Linux、Unix、Solaris等多种操作系统,数据库以主流SQLSERVER、ORACLE为主,早期开发的系统还有Sybase,DB2等数据库。对于window操作系统是容易被攻击的重点,因为二级等保为审计级保护所以重点在于身份鉴别、访问控制、安全审计、入侵防范、恶意代码4个方面进行测评,主要审计重要用户行为、系统资源的异常使用和重要信息的命令使用等系统内重要的安全相关事件。对于LINUX等其他系统和数据库,主要审计操作系统和数据库系统的身份标识唯一性,口令应复杂程度以及限制条件等。
3.2.3应用安全测评
水利科研院所内部业务种类繁多,如OA系统,科研管理系统,内部财务系统、网站服务器群,邮件服务器等,测评的重点主要是对这些业务系统逐个测评身份验证,日志记录,访问控制、安全审计等功能。
3.2.4数据安全的测评
数据安全的测评主要就数据的完整性、保密性已及备份和恢复可靠性、时效性展开测评。水利科研院所数据量十分庞大,一般达到上百TB级数据量,一旦遭受攻击,恢复任务十分艰巨,因此备份区和应用区应该选用光纤直连的方式,避免电缆数据传输效率的瓶颈。日常情况下应做好备份计划,采用增量备份的方式实时对数据备份。
3.2.5物理安全测评
机房的物理安全测评主要是选址是否合理,机房大门防火防盗性能,机房的防雷击、防火、防水防潮防静电设施是否完好达标,温湿度控制、电力供应以及电磁防护是否符合规定等物理条件。
3.2.6安全管理测评
安全管理主要就制定的制度文档和记录文档展开评测。制度文档主要分为3类,流程管理,人员管理和设备管理。记录文档主要为制度文档的具体实施形式。在满足二级的条件下,一般需要制度文档有《信息安全管理办法》、《安全组织及职责管理规定》、《安全审核与检查管理制度》、《授权和审批管理规定》、《信息安全制度管理规范》、《内部人员安全管理规定》、《外部人员安全管理规定》、《系统设计和采购安全管理规定》、《系统实施安全管理规定》、《系统测试验收和交付安全管理规定》、《软件开发安全管理规定》、《系统运维和监控安全管理规定》、《网络安全管理规定》、《系统安全管理规定》、《账号密码管理规定》等基本规章制度。同时对管理制度本身进行也要规范管理,如版本控制,评审修订流程等。需要制定的记录文档有《机房出入登记记录》、《机房基础设施维护记录》、《各类评审和修订记录》、《人员考核、审查、培训记录》、《各项审批和批准执行记录》、《产品的测试选型测试结果记录》、《系统验收测试记录报告》、《介质归档查询等的等级记录》、《主机系统,网络,安全设备等的操作日志和维护记录》、《机房日常巡检记录》、《安全时间处理过程记录》、《应急预案培训,演练,审查记录》等。
4测评的方式方法
按照《基本要求》在等级测评中,对二级及二级以上的信息系统应进行工具测试。
4.1测试目的工具测试
是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。工具测试种类繁多,这里特指适用于等保测评过程中的工具测试。利用工具测试不仅可以直接获得系统本身存在的漏洞,同时也可以通过不同的区域接入测试工具所得到的测试结果判断出不同区域之间的访问控制情况。利用工具测试并结合其他的核查手段能为测试结果提供客观准确的保障。
4.2测试流程
收集信息→规划接入点→编制《工具测试作业指导书》→现场测试→结果整理。收集信息主要是对网络设备、安全设备、主机设备型号、IP地址、操作系统以及网络拓扑结构等信息进行收集。规划接入点是保证不影响整个信息系统网络正常运行的前提下严格按照方案选定范围进行测试。接入点的规划随着网络结构,访问控制,主机位置等情况的不同而不同,但应该遵循以下规则。(1)由低级别系统向高级别系统探测。(2)同一系统同等重要程度功能区域之间要互相探测。(3)由外联接口向系统内部探测。(4)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
4.3测试手段
利用漏洞扫描器、渗透测试工具集、协议分析仪、网络拓扑结构生成工具更能迅速可靠地找到系统的薄弱环节,为整改方案的编制提供依据。
5云计算与等级保护
近年来,随着水利科研院各自的云计算中心相继建立,云计算与以往的计算模式安全风险差异很大,面临的风险也更大,因为以往的系统多数为集中式管理范围较小,安全管理和设备资源是可控的,而云计算是分布式管理,是一个动态变化的计算环境,这种环境在某种意义上是无序的,这种虚拟动态的运行环境更不可控,传统的安全边界消失。同时,云计算在认证、授权、访问控制和数据保密这些方面这对于信息网络安全也提出了更高的要求。由云安全联盟和惠普公司列出了云计算面临的7宗罪(风险),说明云安全的状况变化非常快,现有的技术和管理体系并不完全适应于云计算的模式,如何结合自身特点制定出适合云计算的等级保护体系架构是今后研究的方向。
6结语
网络安全评测范文7
[关键词]电子政务;质量监督;网络安全检测
电子政务是指政府相关部门利用信息技术、网络技术等现代技术手段重新梳理、优化组织架构和办公流程,利用电子化方式替代传统的人工服务,为社会提供更高效、简便、透明、廉洁的公共服务的一种全新的运作模式。其网络安全能否得到有效保障,直接影响到政务信息资产的安全。
一、电子政务信息系统质量监督的主要内容
依照《中华人民共和国政府采购法》第四十一条:“大型或复杂的政府采购项目,应当邀请国家认可的质量检测机构参加验收工作。”围绕采购方需求,制定出科学完善的测评方案,通过性能测试、漏洞扫描、云计算服务安全评估等专业检测方法,为采购方采购的业务系统、软件应用、云计算平台等开展安全检测。相关评测标准主要有:《GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》《GB50462-2015数据中心基础设施施工及验收规范》。
二、网络安全检测在质量监督中的重要性
电子政务信息系统存储着大量涉及国计民生的有效信息,若遭到不法分子窃取,将对个人、社会甚至国家安全造成严重威胁。基于此,对电子政务信息系统进行网络安全检测,保障其安全稳定地运行,是非常必要且需高度重视的。政务信息网络安全检测主要是针对系统可能存在的安全漏洞进行识别、分析,采取措施应对发现的安全问题,以保障电子政务信息系统安全稳定运行。
三、电子政务信息系统面临的安全风险
“互联网+政务服务”给社会带来便利的同时,也带来了许多网络安全方面的隐患。电子政务信息系统面临的网络安全风险包括以下方面。
1.非法入侵黑客组织
信息网络高速发展带来的巨大经济利益,时刻吸引着网络上的不法黑客组织通过非法入侵窃取大量信息,给社会和国家带来巨大损失。
2.计算机病毒威胁
随着计算机功能越发强大,计算机病毒种类也越来越多,它们利用自身的“传染”能力,窃取系统资源,破坏系统数据,给信息系统带来了较大的安全威胁。
3.系统自身漏洞
由于系统设计上的缺陷或失误导致的安全漏洞,也会给系统带来隐患,甚至破坏系统。因此,电子政务信息系统在建设过程中须严格把关流程中的每个环节,同时进行相关安全性测试,不断优化系统,避免出现系统自身漏洞。
4.内部人员泄密
内部人员是政务系统网络安全的重大“缺口”,在政务机构进行人员选拔时,一定要综合多方面因素,选择最合适的人才。同时,面向各类人员定期开展网络安全教育和培训,提高自身职业素养和网络安全意识,并对内部人员进行规范化管理。
5.用户安全意识薄弱
这是一个普遍现象。大多数人会认为:政务系统怎么会出现问题?安全意识淡薄,网络知识匮乏,导致电子政务信息系统服务器故障,从而导致系统无法稳定高效运行。
四、电子政务系统网络安全检测的内容及意义
根据电子政务面临的威胁,多维度开展网络安全检测,能全面发现网络安全隐患,提高电子政务的网络安全保障能力。网络安全检测依据标准GB/T22239-2019《信息安全技术网络安全等级保护基本要求》相关要求,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理制度等层面开展安全测评[1]。1.安全物理环境测评内容及方法(见表1)。2.安全通信网络测评内容及方法(见表2)。3.安全区域边界测评内容及方法(见表3)。4.安全计算环境测评内容及方法(见表4)。5.安全管理中心测评内容及方法(见表5)。6.安全管理。电子政务面临的安全风险主要来自高级黑客或网络犯罪团伙以及相关敌对势力,面对这种情况应采取以下措施。(1)建议建立政府网络安全监测预警机制,提高威胁情报分析能力。(2)建议定期对重要业务系统进行安全检测,识别安全漏洞和风险,及时进行整改。(3)建议完善应急处置机制,组织相关培训和演练,提高应对突发事件的能力。(4)建议加强电子政务信息系统的安全风险管控,完善安全风险管理体系。
五、小结
网络安全评测范文8
关键词:第三方支付;网络安全;关键信息基础设施
2018年4月全国网络安全和信息化工作会议上,再次强调“没有网络安全就没有国家安全,就没有经济社会稳定运行”。明确提出铸牢安全屏障,就要“加强网络安全信息统筹机制、手段、平台建设,做到关口前移,防患于未然”。“关口前移”实际上就是要知道风险到底在哪里,才能有的放矢。攻防双方的输赢取决于信息是否对称,技术是否对等,投入产出是否合理。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。
1新形势下网络安全所面临的挑战
近年来,国内外病毒事件和信息泄露事件层出不穷,“勒索病毒”“某酒店上亿条客户信息泄露”“某快递公司数千万条客户信息泄露”等事件的余温尚未退去,这给我们网络安全的建设敲响了警钟。回顾近年来经历的网络安全和信息泄露事件,威胁手段已由原来的脚本攻击、扫描注入攻击演变成勒索病毒攻击、僵尸网络攻击,攻击目标也由针对普通用户攻击转向针对关键信息基础设施的攻击。随着互联网技术和通信技术的发展,支付行业的信息化程度越来越高,由于支付场景的极大丰富,给人们生活带了各种便利,缴纳话费、水电煤费用等均可在网上完成。但是随着支付场景的多元化,个人信息和其他支付类敏感数据在互联网上传输越来越频繁,意外泄露和被非法窃取的可能性增加,因此保障信息的安全性至关重要。由于互联网的开放性和共享特征及信息系统自身安全漏洞和某些应用框架的先天缺陷,使得敏感信息被非法获取成为可能,因此构建合适的网络安全体系来保障信息的保密性、完整性和可用性变得尤为重要[1]。
2加强网络安全建设的必要性
支付系统是国家金融体系的重要组成部分,与公共交通、水电煤行业一样属于关键信息基础设施,支付系统的安全稳定运行是社会稳定的重要基础。对于支付行业而言,攻击者目的是要获取系统内部敏感数据,导致敏感数据泄露和企业声誉受损。随着外部攻击形式越来越隐蔽、攻击层次越来越高级、攻击维度越来越多样化,企业需要依赖健全的安全架构体系才能识别各种类型的攻击来源、辨识不同的攻击手段和方式,勾画出全面的风险威胁视图,进而制定多层“水闸式”纵深安全防御措施。在DT时代,数据是各种信息的载体,支付行业的数据尤为敏感,除了职能部门数据外,更多的敏感数据为商户和持卡人信息。任何数据泄漏都将导致客户或商户利益受损,支付企业自身名誉遭受重创。《网络安全法》等相关法律法规的出台,对数据安全保护提出了更高的要求[3]。数据是核心的信息资产,企业必须做好动静态数据的安全防护,落实各项法规和监管政策的要求,只有严格按照各项安全标准和监管要求,在不断加强安全防护的同时,做到最小化的信息收集、传输和存储,才是防止动态和静态数据外泄的行之有效的办法。现在的网络安全概念区别于以前的信息安全的概念,不仅仅只涵盖信息系统层面,也涉及到业务系统的安全。将安全管控触角延伸到业务流程之中,对业务操作过程实时监控,依托安全大数据态势感知,做到防患于未然。
3网络安全建设思路
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。列出了网络运营者应履行的五项安全保护义务。并且《网络安全法》引入了对关键信息基础设施实施重点保护,并了《关键信息基础设施确定指南(试行)》。支付行业作为国家金融体系的重要组成部分,对这一制度应该严格执行。
3.1建设原则和目标
以需求为驱动,符合法律法规及监管的要求,并与企业风险管理架构相适应,与企业业务和信息化架构协调发展,应当立足现状、保障发展、适当超前。在进行信息系统的规划、建设、运行和维护的全生命周期中均有安全角色的介入。根据信息系统分类分级的标准,采用恰当的管理措施和技术手段,减少安全威胁、降低安全风险,提高保障能力。使其拥有持续改进能力,能够随着业务和信息技术的发展,参照国际信息安全最佳实践并对之不断进行完善。支付行业网络安全体系必须总体统筹协调,做好顶层设计,根据制定的目标、任务以及产业发展对网络安全的需求,分阶段、分步骤实施,重点抓好急需的重要项目实施,把目标落到实处。总体目标如下:1)具备网络安全决策管理能力,使得企业形成良好的安全治理架构,能对所处环境进行感知并对紧急安全情况进行反应,同时还能观察并对长期变化趋势做出相应的管理决策,企业能对网络安全政策制度、人员组织进行有效管理和落实。2)具备网络安全风险管理能力,使得企业可以收集、分析并报告安全事件且根据安全控制有效性情况,以识别、评估,并制定风险应对方案,同时对风险管理状况进行持续监控。3)具备身份识别和数据安全管理能力,使得企业可以实现正确的人在正确的时间访问正确的资源做正确的事情。并对资源的访问进行监控和审计,从中发现未授权的操作和资源使用情况,确保组织范围内的数据和信息在其生命周期受到适当的保护。4)具备基础设施的安全管理能力,使得企业能够对基础设施进行安全防御,使其不受传统威胁和高级威胁的侵害,确保应用系统的安全运行。
3.2实施路线图
网络安全体系建设以5年为建设周期,通过四个阶段的建设,由“木桶式”式防御逐步提升到“多层水闸式纵深防御”,形成完整的网络安全架构体系和分项策略。
3.2.1信息系统可重用阶段
本阶段已完成基础防护建设,从网络结构上进行了安全域的划分、网络边界部署硬件防护设备、应用层部署WAF等设备。减小目前网络安全管理体系和技术体系之间的差距,初步完成管理体系与技术体系的融合。企业已经认识到网络安全的必要性,具有较为完善的安全意识培训制度和宣贯流程。已制定部分的安全策略,但无明确的网络安全需求,对于外部的网络安全事件只能被动做出反应,委托第三方服务商处理和跟进安全事件。技术上,对于安全工具的使用未进行系统规划,仅根据日常使用的需要进行“烟囱式”部署,缺少可移植性。
3.2.2安全体系基本成型阶段
本阶段网络安全意识得到管理层的促进,安全汇报的形式和内容已标准化和正式化,定义网络安全程序并使其适合安全策略和程序结构,存在驱动风险分析和安全解决方案的网络安全规划;技术上,已对公司内的安全技术和工具进行了部分框架性规划,安全技术和工具可以覆盖部分主要安全领域。对新上线的应用或者软件能做到上线前进行渗漏测试和漏洞扫描,上线时无中高危以上漏洞。
3.2.3安全体系标准化阶段
本阶段依托平台持续分析安全风险和影响,底层系统搭建和扩容均基于统一的安全基线规范,网络安全流程与组织总体的安全职能保持一致,安全报告与管理目标相联系。技术上,对公司内的安全技术和工具进行了全面框架性规划,安全技术和工具可以基本覆盖所有主要安全领域,对公司内目前所用安全技术和工具进行深入了解,评测不足和缺失。具有专门的安全攻防团队,岗位分工明确。
3.2.4安全体系持续优化阶段
本阶段网络安全已成业务管理者和IT管理者的共同责任,安全角色在软件的设计阶段就介入并贯穿整个软件开发生命周期,建立定期的安全评估机制以评价安全计划执行效果,系统地收集和分析新的威胁和安全隐患,及时通知并实施恰当的补救措施。技术上,构建下一代安全管理平台以及SIEM集中智能管控平台,实现对全网信息系统的集中管控;利用由自动化工具支持的事故响应程序快速处理故障。
4结论
等级保护2.0对网络运营者的空间活动范围规定的越来越清晰,也对支付行业提出了更高网络安全要求,支付企业应严格按照相关标准和规范进行安全体系的整改和重建,规范本行业的网络空间行为准则,维护本行业网络空间秩序[2]。随着Fintech时代的到来,网络安全变得更加复杂和严峻,金融科技所引领的数字化生活,对安全从业者既是巨大的挑战,同时也是机遇。只有主动归纳总结已有的经验教训、积极探索新的管理思路,才能在数字化时代,赢得主动、赢得未来[4]。
参考文献
[1]李宗慧.计算机网络安全建设方案解析[J].电脑编程技巧与维护,2018(4):157-159.
[2]李仲博,孙思维.新形势下热力行业网络安全建设思路[J].区域供热,2018(3):66-69.
[3]姜懿哲.浅谈我国电子支付发展现状及发展趋势[J].现代商业,2017(33):32-33.
