時(shí)間:2023-09-15 17:31:08
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇近幾年的網(wǎng)絡(luò)安全事件,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:計(jì)算機(jī);信息網(wǎng)絡(luò);安防措施;分析;研究
經(jīng)濟(jì)的進(jìn)步和科學(xué)技術(shù)的提升,滋生了計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)的的快速發(fā)展。目前,我國(guó)已經(jīng)迎來(lái)了信息化時(shí)代,也推動(dòng)了計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)的飛速的進(jìn)步,并覆蓋到人們生活和生產(chǎn)的各個(gè)環(huán)節(jié)、各個(gè)領(lǐng)域,深受計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)的影響??梢赃@么說(shuō),當(dāng)今的人們已經(jīng)無(wú)法離開(kāi)計(jì)算機(jī)信息技術(shù)了。但是,人們?cè)谙硎苡?jì)算機(jī)信息技術(shù)給自身帶來(lái)方便、快捷和效益的同時(shí),也遭受著各種計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)的威脅,不管是2000年的千禧蟲(chóng),還是今年的威脅病毒,都是人們使用計(jì)算機(jī)信息技術(shù)的安全隱患之一。在這種背景下,人們只能通過(guò)不斷提升自身計(jì)算機(jī)信息網(wǎng)絡(luò)安全指數(shù)的方式來(lái)保證自身權(quán)益的不受損了。該研究課題也逐漸成為了當(dāng)今計(jì)算機(jī)技術(shù)學(xué)者研究的主要方向。
1計(jì)算機(jī)網(wǎng)絡(luò)安全的概述
計(jì)算機(jī)網(wǎng)絡(luò)安全作為一門(mén)包含了網(wǎng)絡(luò)技術(shù)知識(shí)、密碼技術(shù)知識(shí)和應(yīng)用數(shù)學(xué)知識(shí)、信息安全知識(shí)等諸多學(xué)科的綜合性學(xué)科,其主要指的是在網(wǎng)絡(luò)系統(tǒng)中的硬件和軟件中予以保護(hù),以此保護(hù)系統(tǒng)當(dāng)中的重要數(shù)據(jù),使得這些數(shù)據(jù)不被他人惡意破壞,進(jìn)而保障使用者的權(quán)益不受到損害,保證計(jì)算機(jī)系統(tǒng)的正常使用和連續(xù)性可靠運(yùn)營(yíng)。網(wǎng)絡(luò)安全和信息安全作為計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中的主要組成部分,其也是最容易出現(xiàn)安全事故的領(lǐng)域。但是,兩者的側(cè)重點(diǎn)和主要方向存在一定的差異性。網(wǎng)絡(luò)安全主要指的是計(jì)算機(jī)的線(xiàn)路鏈接安全、操作系統(tǒng)安全和人員管理安全、應(yīng)用服務(wù)安全及網(wǎng)絡(luò)系統(tǒng)安全這幾個(gè)方面。而信息安全主要是針對(duì)的是計(jì)算機(jī)中的各種數(shù)據(jù),包括數(shù)據(jù)的可用性、完整性、保密性和真實(shí)性等等。
2計(jì)算機(jī)網(wǎng)絡(luò)安全的影響因素
2.1自然災(zāi)害
隨著科學(xué)技術(shù)的發(fā)展,計(jì)算機(jī)技術(shù)已經(jīng)逐漸走向了智能化的道路,也使得其使用及操作更加的簡(jiǎn)便,對(duì)人們的生活幫助及影響也越來(lái)越大。但是,計(jì)算機(jī)技術(shù)仍是人類(lèi)設(shè)計(jì)、生產(chǎn)出來(lái)的產(chǎn)物,其無(wú)論多智能,都是由機(jī)械設(shè)備組成的機(jī)器罷了,其很容易受到外界環(huán)境的影響。特別是我們現(xiàn)階段的計(jì)算機(jī)都不具備防水、防雷等防干擾措施,在遭受外界不可抗力時(shí),計(jì)算機(jī)仍無(wú)法實(shí)現(xiàn)自身安全的自保,進(jìn)而也就出現(xiàn)了各種安全事故的發(fā)生。
2.2系統(tǒng)漏洞
目前全球已知的計(jì)算機(jī)系統(tǒng)都或多或少存在一定的漏洞,并不是完美無(wú)缺的。這些計(jì)算機(jī)系統(tǒng)當(dāng)中存在的漏洞自然也就威脅到計(jì)算機(jī)網(wǎng)絡(luò)自身的安全,最出名的網(wǎng)絡(luò)漏洞安全事故就是2000年的千禧蟲(chóng)網(wǎng)絡(luò)安全事件了。其就是因?yàn)橛?jì)算機(jī)程序的智能系統(tǒng)中的年份只使用了兩位十進(jìn)制數(shù)來(lái)表現(xiàn),使得在進(jìn)行跨世紀(jì)日期處理運(yùn)算時(shí)就出現(xiàn)了錯(cuò)誤的結(jié)果,進(jìn)而引導(dǎo)各系統(tǒng)的功能崩潰。從該次事件可以看出,這些系統(tǒng)漏洞也是編程人員自己故意留下來(lái)的,也可能是因?yàn)榫W(wǎng)絡(luò)協(xié)議不夠完善導(dǎo)致的。反正,這些漏洞如果沒(méi)有進(jìn)行及時(shí)的更新和補(bǔ)丁的話(huà),就會(huì)導(dǎo)致系統(tǒng)內(nèi)存在安全隱患,如果被有心之人利用了,就會(huì)造成計(jì)算機(jī)系統(tǒng)奔潰,最終導(dǎo)致計(jì)算機(jī)無(wú)法正常使用。
2.3不當(dāng)?shù)牟僮?/p>
由于計(jì)算機(jī)操作者自身的安全防范意識(shí)較低,對(duì)自己的賬戶(hù)安全不太重視,對(duì)安全口令的設(shè)置過(guò)于簡(jiǎn)單,或者是將自己的賬號(hào)借給他人使用,造成信息泄露,就很容易被有心之人利用,造成自身賬戶(hù)的安全系數(shù)較低,增加了網(wǎng)絡(luò)安全的危險(xiǎn)系數(shù)。部分使用者認(rèn)為,為了保證計(jì)算機(jī)的安全應(yīng)在計(jì)算機(jī)系統(tǒng)中安裝管家和殺毒軟件,但是很多人缺乏該意識(shí),使得網(wǎng)絡(luò)上的釣魚(yú)網(wǎng)站、病毒對(duì)計(jì)算機(jī)任意的襲擊,最終給計(jì)算機(jī)的安全帶來(lái)嚴(yán)重的威脅。
2.4惡意攻擊
人為的惡意攻擊是目前網(wǎng)絡(luò)安全中最大的安全隱患,比如今年出現(xiàn)的威脅事件,就是因?yàn)槿藶榈膼阂夤?,要挾?jì)算機(jī)使用者拿比特幣來(lái)?yè)Q取自己的畢業(yè)論文。惡意攻擊又可以分為被動(dòng)攻擊和主動(dòng)攻擊這兩種。主動(dòng)攻擊是有人選擇性的攻擊使用者的計(jì)算機(jī)系統(tǒng),破壞用戶(hù)信息的完整性、保密性。被動(dòng)攻擊主要是依據(jù)使用者系統(tǒng)中存在的漏洞來(lái)進(jìn)行攻擊,進(jìn)而導(dǎo)致計(jì)算機(jī)系統(tǒng)無(wú)法正常使用或者是竊取用戶(hù)的信息。
2.5病毒
計(jì)算機(jī)系統(tǒng)的病毒一般都會(huì)存在可執(zhí)行、可存儲(chǔ)的程度或者數(shù)據(jù)當(dāng)中,一旦出發(fā)某項(xiàng)激活條件,病毒就可以感染計(jì)算機(jī)的硬盤(pán)、存儲(chǔ)卡,或者是通過(guò)網(wǎng)絡(luò)來(lái)傳播病毒。病毒一旦進(jìn)入到計(jì)算機(jī)系統(tǒng)當(dāng)中,輕則會(huì)影響到電腦系統(tǒng)的正常運(yùn)行,嚴(yán)重的甚至?xí)?dǎo)致計(jì)算機(jī)系統(tǒng)的崩盤(pán)。
3提高計(jì)算機(jī)安全系數(shù)的有效方式
3.1樹(shù)立深刻的安全防范意識(shí)
目前計(jì)算機(jī)系統(tǒng)安全事件的發(fā)生都是受人為因素導(dǎo)致的,所以,使用者應(yīng)該要加強(qiáng)自身的網(wǎng)絡(luò)安全意識(shí),樹(shù)立深刻的安全防范意識(shí)。而相關(guān)的政府部門(mén)可以通過(guò)立法來(lái)約束網(wǎng)民的違規(guī)行為,并對(duì)網(wǎng)民實(shí)施道德教育,提高網(wǎng)絡(luò)信息的準(zhǔn)入門(mén)檻,以此凈化網(wǎng)絡(luò)安全環(huán)境。
3.2加強(qiáng)對(duì)賬戶(hù)的安全管理
惡意攻擊的一般方法都是對(duì)網(wǎng)絡(luò)用戶(hù)的賬號(hào)和密碼進(jìn)行盜取、竊取。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,很多人同時(shí)擁有多個(gè)賬戶(hù)、賬號(hào),這些賬號(hào)里包含了其很多私密性的信息和資產(chǎn)信息等等。一旦賬號(hào)被盜,極易發(fā)生安全事件并導(dǎo)致經(jīng)濟(jì)損失。因此,賬戶(hù)應(yīng)加強(qiáng)對(duì)自身賬戶(hù)的安全管理,提高賬號(hào)的安全系數(shù),盡量設(shè)置較為復(fù)雜的密碼,不設(shè)置相同的賬號(hào)或者是密碼,定期更換密碼等等。
3.3及時(shí)進(jìn)行系統(tǒng)漏洞的程序補(bǔ)丁
人為的惡意攻擊一般都是從計(jì)算機(jī)系統(tǒng)的漏洞中進(jìn)行??梢?jiàn),一旦系統(tǒng)出現(xiàn)漏洞,就會(huì)給我們的計(jì)算機(jī)造成極大的安全隱患。因此,開(kāi)發(fā)商和軟件維護(hù)方應(yīng)對(duì)自己投入市場(chǎng)中的軟件進(jìn)行及時(shí)的系統(tǒng)維護(hù),及時(shí)對(duì)系統(tǒng)中的漏洞進(jìn)行查漏補(bǔ)缺。另外,還可以通過(guò)安裝系統(tǒng)漏洞補(bǔ)丁程度的方式來(lái)提高系統(tǒng)的安全系數(shù)。
3.4對(duì)系統(tǒng)的入侵予以監(jiān)控
入侵監(jiān)控是近幾年興起的一種計(jì)算機(jī)信息網(wǎng)絡(luò)防范技術(shù),其結(jié)合了規(guī)則方法、人工智能和推理學(xué)、密碼學(xué)和通信技術(shù)等多種技術(shù)方法共同研發(fā)出來(lái)的。主要是對(duì)計(jì)算機(jī)系統(tǒng)當(dāng)中的入侵和濫用情況進(jìn)行檢測(cè),到達(dá)對(duì)計(jì)算機(jī)系統(tǒng)的實(shí)時(shí)監(jiān)控。
3.5定期對(duì)計(jì)算機(jī)實(shí)施安全掃描
定期對(duì)計(jì)算機(jī)系統(tǒng)實(shí)施安全掃描能及時(shí)、有效地發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)中的安全漏洞。通過(guò)掃描找到安全漏洞,對(duì)其進(jìn)行及時(shí)的修復(fù)和補(bǔ)丁,以此不斷的完善計(jì)算機(jī)的系統(tǒng),最終提高計(jì)算機(jī)的安全系數(shù)。目前,計(jì)算機(jī)的掃描主要有兩種方式:一是針對(duì)網(wǎng)絡(luò)的掃描,一是針對(duì)主機(jī)的掃描。定期的計(jì)算機(jī)安全掃描可以有效減少計(jì)算機(jī)被攻擊的可能性。
結(jié)論
綜上所述,隨著計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)的不斷進(jìn)步和變化,使得計(jì)算機(jī)的安全系數(shù)大大提升。但是,網(wǎng)絡(luò)當(dāng)中的那些安全隱患也一直處于不斷進(jìn)化的過(guò)程,使得計(jì)算機(jī)使用者的安全防護(hù)是防不勝防。因此,計(jì)算機(jī)使用者應(yīng)依據(jù)自身的使用情況和掌握的計(jì)算機(jī)技術(shù),綜合各種保護(hù)措施,建立行之有效的網(wǎng)絡(luò)信息防護(hù)系,以此提高我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范水平。
引用:
[1]計(jì)算機(jī)網(wǎng)絡(luò)信息安全影響因素及防范淺析[J].劉海峰,尹蕾.信息安全與技術(shù).2013(08)
[2]計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題及防范對(duì)策分析[J].曹勇.電腦知識(shí)與技術(shù).2013(16)
[3]計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)安全及防范對(duì)策研究[J].杜常青.信息安全與技術(shù).2011(11)
[4]淺析計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施[J].楊光,李非非,楊洋.科技信息.2011(29)
[關(guān)鍵詞] 網(wǎng)絡(luò)安全協(xié)議防范技術(shù)
隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,全球信息化已成為人類(lèi)發(fā)展的大趨勢(shì)。近幾年來(lái),互聯(lián)網(wǎng)漸漸走進(jìn)了老百姓的生活,人們的生活已離不開(kāi)網(wǎng)絡(luò);同時(shí)網(wǎng)絡(luò)給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌等的攻擊,所以網(wǎng)絡(luò)信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。為了確保信息的安全與暢通,研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文結(jié)合實(shí)際工作經(jīng)驗(yàn),談?wù)劸W(wǎng)絡(luò)安全防范技術(shù)。
一、網(wǎng)絡(luò)的不安全因素
現(xiàn)今的網(wǎng)絡(luò),存在不少的不安全因素,主要有:
1.網(wǎng)絡(luò)協(xié)議的弱點(diǎn)。TCP/IP協(xié)議是如今最流行的網(wǎng)絡(luò)協(xié)議,它最初是在封閉的環(huán)境下使用,并且它的用戶(hù)都是可靠的科研工作者,因而它的設(shè)計(jì)本身并沒(méi)有較多地考慮安全方面的需求,導(dǎo)致TCP/IP協(xié)議存在各種弱點(diǎn),這些弱點(diǎn)帶來(lái)許多直接的安全威脅。
2.網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和服務(wù)得以實(shí)現(xiàn)的最終載體之一,它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。一般情況,操作系統(tǒng)規(guī)模都很大,其中的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)尤其復(fù)雜,這點(diǎn)已經(jīng)決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過(guò)程所帶來(lái)的缺陷和漏洞,而某些商用操作系統(tǒng)的源代碼封閉性更是加劇了這一現(xiàn)象,從而成為網(wǎng)絡(luò)所面臨的重要安全威脅之一。
3.應(yīng)用系統(tǒng)設(shè)計(jì)的漏洞。與操作系統(tǒng)情況類(lèi)似,應(yīng)用程序的設(shè)計(jì)過(guò)程中也會(huì)帶來(lái)很多由于人的局限性所導(dǎo)致的缺陷或漏洞。軟件和硬件設(shè)計(jì)都存在這種問(wèn)題,而其中軟件的問(wèn)題為我們所直接面對(duì)。由于在硬件設(shè)計(jì)方面,特別是芯片技術(shù)還比較落后,所以這方面的漏洞我們還很難具體化,這實(shí)際上說(shuō)明,硬件的設(shè)計(jì)與漏洞是我們網(wǎng)絡(luò)所面臨的最為深刻的威脅之一。
4.網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)專(zhuān)指某個(gè)地區(qū)、系統(tǒng)或者一個(gè)單位的內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)的設(shè)計(jì),包括拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來(lái)安全隱患,由這些設(shè)備組建一個(gè)應(yīng)用系統(tǒng)的過(guò)程也可能帶來(lái)安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下,還可以提供較好的安全性,不合理的網(wǎng)絡(luò)設(shè)計(jì)則成為網(wǎng)絡(luò)的安全威脅。
5.惡意攻擊,就是人們常見(jiàn)的黑客攻擊及網(wǎng)絡(luò)病毒,是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化,這類(lèi)攻擊也是越來(lái)越多,影響也是越來(lái)越大 。
6.來(lái)自合法用戶(hù)的攻擊。這是最容易被管理者忽視的安全威脅之一。事實(shí)上,80%的網(wǎng)絡(luò)安全事件與內(nèi)部人員的參與相關(guān)。網(wǎng)絡(luò)管理的漏洞往往是導(dǎo)致這種威脅的直接原因。
7.互聯(lián)網(wǎng)的開(kāi)放性。事實(shí)上,以上所列的網(wǎng)絡(luò)安全威脅多數(shù)都是由于互聯(lián)網(wǎng)是一個(gè)完全開(kāi)放的網(wǎng)絡(luò)環(huán)境,其中通信幾乎都是不受到任何制約,互聯(lián)網(wǎng)的開(kāi)放性是導(dǎo)致網(wǎng)絡(luò)安全威脅最根本的原因。
8.就是物理威脅,如電磁干擾、電磁泄漏等。
還有就是管理方面的安全了,如制度的制定是否全理有效,制度的執(zhí)行是否到位等。
二、網(wǎng)絡(luò)安全防范理論
要做到網(wǎng)絡(luò)安全,必要的防范措施是不可少的。當(dāng)前的一些網(wǎng)絡(luò)安全所依賴(lài)的技術(shù)主要有以下幾種:
1.密碼技術(shù),它是密碼認(rèn)證、數(shù)字簽名和其他各種密碼協(xié)議的統(tǒng)稱(chēng)。數(shù)據(jù)加密算法標(biāo)準(zhǔn)的提出和應(yīng)用、公鑰加密思想的提出是密碼技術(shù)發(fā)展的重要標(biāo)志,認(rèn)證、數(shù)字簽名和各種密碼協(xié)議則從不同的需求角度將密碼技術(shù)進(jìn)行延伸。認(rèn)證技術(shù)包括消息認(rèn)證和身份鑒別。數(shù)字簽名技術(shù)可以理解為手寫(xiě)簽名在信息電子化的替代技術(shù),主要用以保證數(shù)據(jù)的完整性、有效性和不可抵賴(lài)性等。
2.訪(fǎng)問(wèn)控制。訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要技術(shù),它的主要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)。訪(fǎng)問(wèn)控制技術(shù)規(guī)定何種主體對(duì)何種客體具有何種操作權(quán)力。訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全理論的重要方面,主要包括人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、類(lèi)型控制和風(fēng)險(xiǎn)分析。訪(fǎng)問(wèn)控制技術(shù)一般與身份驗(yàn)證技術(shù)一起使用,賦予不同身份的用戶(hù)以不同的操作權(quán)限,以實(shí)現(xiàn)不同安全級(jí)別的信息分級(jí)管理。
3.PKI技術(shù)。PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。簡(jiǎn)單來(lái)說(shuō),PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵技術(shù)。
三、常用主流網(wǎng)絡(luò)安全防范技術(shù)
現(xiàn)在的網(wǎng)絡(luò)根據(jù)用途可分為主流網(wǎng)絡(luò)和專(zhuān)用網(wǎng)絡(luò),針對(duì)這兩種不同的網(wǎng)絡(luò),網(wǎng)絡(luò)安全措施又分為主流網(wǎng)絡(luò)安全措施和專(zhuān)業(yè)網(wǎng)絡(luò)安全措施。下面針對(duì)主流網(wǎng)絡(luò)安全做一個(gè)簡(jiǎn)單的介紹:
1.防火墻技術(shù)是將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)之間的訪(fǎng)問(wèn)進(jìn)行全面控制的一種機(jī)制,一般可能包括路由器、計(jì)算機(jī)等硬件,也可能包含有軟件,或者同時(shí)包含硬件和軟件。這些設(shè)備在物理上或邏輯上將內(nèi)部網(wǎng)和外部網(wǎng)隔離開(kāi)來(lái),使得外網(wǎng)和內(nèi)網(wǎng)的所有網(wǎng)絡(luò)通信必須經(jīng)過(guò)防火墻,從而可以進(jìn)行各種的靈活的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制,對(duì)內(nèi)部網(wǎng)進(jìn)行盡可能的安全保障,提高內(nèi)部網(wǎng)的安全性和健壯性,防火墻技術(shù)是當(dāng)前市場(chǎng)上最為流行的網(wǎng)絡(luò)安全技術(shù),它已成為網(wǎng)絡(luò)建設(shè)的一個(gè)基本配置。
2.VPN技術(shù)是利用不可信的公網(wǎng)資源建立可信的虛擬專(zhuān)用網(wǎng),是保證局域網(wǎng)間通信安全的少數(shù)可行的方案之一。VPN既可在TCP/IP協(xié)議族的鏈路層實(shí)現(xiàn)(比如L2F、PPTP等安全協(xié)議),也可在網(wǎng)絡(luò)層實(shí)現(xiàn)(IP Sec),其中更多情況下在網(wǎng)絡(luò)層實(shí)現(xiàn)。作為最近幾年才興起的網(wǎng)絡(luò)安全技術(shù),VPN在國(guó)內(nèi)的應(yīng)用也就是最近幾年的事情,但隨著企業(yè)網(wǎng)絡(luò)用戶(hù)的迅速增加,VPN技術(shù)有著廣闊的應(yīng)用前景。
3.入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中收集、分析信息,檢測(cè)任何企圖破壞計(jì)算機(jī)資源的完整性、機(jī)密性和可用性的行為,即查看是否有違反安全策略的行為和遭到攻擊的跡象,并做出相應(yīng)的反應(yīng)。
4.反病毒技術(shù)是查找和清除計(jì)算機(jī)病毒的主要技術(shù),其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎,然后根據(jù)病毒特征碼數(shù)據(jù)庫(kù)來(lái)進(jìn)行對(duì)比式查殺。這種方法簡(jiǎn)單、有效,但只適用于已知病毒,并且病毒特征庫(kù)需要不斷升級(jí)。
5.網(wǎng)絡(luò)隔離技術(shù)通過(guò)特殊硬件實(shí)現(xiàn)鏈路層的斷開(kāi),使得各種網(wǎng)絡(luò)攻擊與入侵失去了物理通路的基礎(chǔ),從而避免了內(nèi)部網(wǎng)絡(luò)遭受外部攻擊的可能性。
四、常用專(zhuān)用網(wǎng)絡(luò)安全防范技術(shù)
專(zhuān)用網(wǎng)絡(luò)由于要求更高的安全性,其防范也必更加重視,現(xiàn)就其主要的防范技術(shù)介紹如下:
1.系統(tǒng)和網(wǎng)絡(luò)的掃描和評(píng)估。通過(guò)掃描和評(píng)估,可預(yù)知主體受攻擊的可能性、將要發(fā)生的行為和產(chǎn)生的后果,因而這種方法受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用可幫助識(shí)別檢測(cè)對(duì)象的系統(tǒng)資源,分析這一資源被攻擊的可能指數(shù),了解支撐系統(tǒng)本身的脆弱性,評(píng)估所有存在的安全風(fēng)險(xiǎn)。一些非常重要的專(zhuān)業(yè)應(yīng)用網(wǎng)絡(luò),例如,銀行,不能承受一次入侵帶來(lái)的損失,對(duì)掃描和評(píng)估技術(shù)有強(qiáng)烈的需求。
2.監(jiān)控和審計(jì)。監(jiān)控和審計(jì)是與網(wǎng)絡(luò)管理直接掛鉤的技術(shù)。監(jiān)控和審計(jì)是通過(guò)對(duì)網(wǎng)絡(luò)通信過(guò)程中可疑、有害信息或行為進(jìn)行記錄以為事后處理提供依據(jù),從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)犯罪人員形成一個(gè)強(qiáng)有力的威懾,最終達(dá)到提高網(wǎng)絡(luò)整體安全性的目的。局域網(wǎng)監(jiān)控系統(tǒng)是網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的一大類(lèi)。局域網(wǎng)監(jiān)控能夠提供一套較好的內(nèi)部網(wǎng)行為監(jiān)控的機(jī)制,可以有效阻止來(lái)自?xún)?nèi)網(wǎng)的安全威脅。
3.全套接層協(xié)議(SSL,Secure Socket Layer)。這是由Netscape公司1994年設(shè)計(jì)開(kāi)發(fā)的安全協(xié)議,主要在傳輸層提高應(yīng)用程序之間的數(shù)據(jù)安全性。SSL采用了公開(kāi)密鑰和對(duì)稱(chēng)密鑰兩種加密:在建立連接過(guò)程中采用公開(kāi)密鑰;在會(huì)話(huà)過(guò)程中使用對(duì)稱(chēng)密鑰。加密的類(lèi)型和強(qiáng)度則在兩端之間建立連接的過(guò)程中協(xié)商決定,保證了客戶(hù)和服務(wù)器間事務(wù)的安全性。
4.HTTPS協(xié)議,SHTTP協(xié)議及SMIME協(xié)議等。HTTPS協(xié)議是建立于SSL上的HTTP安全協(xié)議,它利用SSL協(xié)議來(lái)加強(qiáng)HTTP協(xié)議的安全性,已經(jīng)成功應(yīng)用于電子商務(wù)。SHTTP(安全超文本傳輸協(xié)議)是一種結(jié)合HTTP而設(shè)計(jì)的消息的安全通信協(xié)議。SHTTP的設(shè)計(jì)基于與HTTP信息樣板共存并易于與HTTP應(yīng)用程序相整合。SHTTP協(xié)議為HTTP客戶(hù)機(jī)和服務(wù)器提供了多種安全機(jī)制,這些安全服務(wù)選項(xiàng)是適用于萬(wàn)維網(wǎng)上各類(lèi)用戶(hù)的。SHTTP還為客戶(hù)機(jī)和服務(wù)器提供了對(duì)稱(chēng)能力(及時(shí)處理請(qǐng)求和恢復(fù),及兩者的參數(shù)選擇),同時(shí)維持HTTP的通信模型和實(shí)施特征。SMIME(Secure/Multipurpose Internet Mail Extensions)是MIME的安全版本,設(shè)計(jì)用來(lái)支持郵件的加密?;贛IME標(biāo)準(zhǔn),SMIME為電子消息應(yīng)用程序提供如下加密安全服務(wù):認(rèn)證、完整性保護(hù)、鑒定及數(shù)據(jù)保密等。傳統(tǒng)的郵件用戶(hù)(MUA)可以使用SMIME來(lái)加密發(fā)送郵件及解密接收郵件。然而,SMIME并不僅限于郵件的使用,它也能應(yīng)用于任何可以傳送MIME數(shù)據(jù)的傳輸機(jī)制,例如HTTP。同樣,SMIME利用MIME的面向?qū)ο筇卣髟试S在混合傳輸系統(tǒng)中交換安全消息。
關(guān)鍵詞:信息安全、病毒、防范
一、 造成當(dāng)前信息安全事件頻發(fā)的原因
計(jì)算機(jī)病毒源于上世紀(jì)的七八十年代,當(dāng)時(shí)造成計(jì)算機(jī)病毒出現(xiàn)的主要原因在于惡作劇。隨著計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)病毒也從玩笑性質(zhì)開(kāi)始發(fā)展成幾乎不可控制的技術(shù)比拼。1987年10月,在美國(guó),世界上第一例實(shí)質(zhì)意義上的計(jì)算機(jī)病毒巴基斯智囊病毒(Brian)發(fā)現(xiàn),這是一種系統(tǒng)引導(dǎo)型病毒。它以強(qiáng)勁的執(zhí)著蔓延開(kāi)來(lái)!世界各地的計(jì)算機(jī)用戶(hù)幾乎同時(shí)發(fā)現(xiàn)了形形的計(jì)算機(jī)病毒,如大麻、IBM圣誕樹(shù)、黑色星期五等等;1988年,我國(guó)出現(xiàn)第一例計(jì)算機(jī)病毒——小球病毒。從此以后,炫耀技術(shù)成為了計(jì)算機(jī)病毒出現(xiàn)的主要原因,眾多的計(jì)算機(jī)病毒制造者為了炫耀自己技術(shù)的高超,寫(xiě)出一些程序來(lái)對(duì)系統(tǒng)進(jìn)行破壞等。同時(shí),也有部分計(jì)算機(jī)病毒制造者出于一種報(bào)復(fù)的心態(tài),編寫(xiě)病毒程序,公開(kāi)傳播,如當(dāng)年臭名昭著的CIH病毒,就是因?yàn)楫?dāng)時(shí)的作者陳盈豪為了報(bào)復(fù)某殺毒軟件公司對(duì)于他的懷才不遇,而編寫(xiě)出來(lái)的。
另外,隨著互聯(lián)網(wǎng)的發(fā)展,越來(lái)越多的病毒作者開(kāi)始瞄上了國(guó)際互聯(lián)網(wǎng),由此催生了另一種惡意程序——木馬。嚴(yán)格意義上來(lái)說(shuō),木馬并不等同于病毒,木馬是一種通過(guò)一些手段不知不覺(jué)的進(jìn)入其他用戶(hù)的計(jì)算機(jī)并對(duì)其計(jì)算機(jī)內(nèi)的文件、數(shù)據(jù)等資源進(jìn)行監(jiān)視與盜竊的惡意程序。但是隨著時(shí)代的發(fā)展,病毒與木馬開(kāi)始不斷的融合。由于經(jīng)濟(jì)的不斷發(fā)展,尤其是網(wǎng)上交易活動(dòng)的日益頻繁,越來(lái)越多的病毒制造者開(kāi)始瞄準(zhǔn)了經(jīng)濟(jì)利益,從開(kāi)始簡(jiǎn)單的入侵和破壞用戶(hù)系統(tǒng),到機(jī)密文件被盜竊,再到網(wǎng)上銀行賬號(hào)、虛擬貨幣賬號(hào)被盜取以及使用不正當(dāng)手段迫使用戶(hù)瀏覽某網(wǎng)站,片面增大網(wǎng)站訪(fǎng)問(wèn)量,最后發(fā)展成一個(gè)擁有完整產(chǎn)業(yè)利益鏈的病毒制造與交易市場(chǎng),現(xiàn)在全世界的信息安全形勢(shì),幾乎已經(jīng)到了一發(fā)不可收拾的地步。
二、2009年度計(jì)算機(jī)病毒疫情特征
2009年計(jì)算機(jī)病毒疫情總體呈現(xiàn)出如下幾個(gè)特征:
1、 微軟0day漏洞及第三方應(yīng)用軟件漏洞被廣泛利用
進(jìn)入2009年以來(lái),頻繁爆出的微軟0day漏洞與第三方應(yīng)用軟件漏洞已經(jīng)成為駭客攻擊的主要目標(biāo),同時(shí)也成為網(wǎng)頁(yè)掛馬的最主要途徑。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),木馬傳播者所利用的微軟漏洞與第三方應(yīng)用軟件漏洞,已經(jīng)基本達(dá)到各占一半的比例。
2、 釣魚(yú)網(wǎng)站激增 “網(wǎng)頁(yè)掛馬”黑客產(chǎn)業(yè)鏈日益成熟
2009年網(wǎng)頁(yè)掛馬、釣魚(yú)網(wǎng)站已經(jīng)成為病毒制造者傳播有害程序的最佳途徑,同時(shí)也成為互聯(lián)網(wǎng)最為嚴(yán)重的安全威脅。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)日前在2009中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟年會(huì)上公布的最新統(tǒng)計(jì)數(shù)據(jù)顯示,截至09年11月22日,經(jīng)CNNIC認(rèn)定并處理的釣魚(yú)網(wǎng)站域名已累計(jì)達(dá)8342個(gè)。
3、病毒創(chuàng)新欺騙方式,偽裝成文件夾的病毒增多
進(jìn)入2009年以來(lái),有越來(lái)越多的病毒采用了全新的欺騙方式,偽裝成IE快捷方式和文件夾已經(jīng)成為一種新的趨勢(shì)。
4、 計(jì)算機(jī)病毒技術(shù)特征變化明顯
2009年度,計(jì)算機(jī)病毒技術(shù)特征較2008年度相比有明顯的變化。
a) 病毒的傳播方式主要以?huà)炷抉R網(wǎng)頁(yè)和U盤(pán)傳播為主。
b) 為了增加反病毒軟件的清除難度,2009年大部分病毒通過(guò)注入系統(tǒng)進(jìn)程中運(yùn)行。
c) 2009年度,使用內(nèi)存截取技術(shù)的木馬,與往年通過(guò)紀(jì)錄擊鍵技術(shù)相比有了大幅提高;此外,因?yàn)椴簧侔踩浖呀?jīng)具備主動(dòng)防御功能,能有效防御使用驅(qū)動(dòng)來(lái)入侵破壞系統(tǒng)的病毒,因此2009年使用驅(qū)動(dòng)的病毒較去年有所降低。
d) 2009年度,由于各種名目的廣告聯(lián)盟出現(xiàn),受到廣告聯(lián)盟按點(diǎn)擊量計(jì)費(fèi)的利益誘惑,各種惡意廣告病毒大量涌現(xiàn),通過(guò)病毒方式騙取大量虛假點(diǎn)擊,按照點(diǎn)擊量向通過(guò)廣告聯(lián)盟廣告的廠(chǎng)商收取費(fèi)用,已證實(shí)國(guó)內(nèi)有多款業(yè)內(nèi)知名軟件成為受害者,遭到惡意廣告程序欺騙式點(diǎn)擊推廣。
e) 2009年通過(guò)替換系統(tǒng)文件來(lái)傳播自身的病毒也呈多發(fā)態(tài)勢(shì)。
三、防范信息安全事件的對(duì)策
針對(duì)目前越來(lái)越嚴(yán)峻的信息安全形勢(shì),我們必須重視信息安全工作,有必要對(duì)信息安全事件進(jìn)行更深層次的防范。而對(duì)于個(gè)人與單位,根據(jù)不同的計(jì)算機(jī)應(yīng)用環(huán)境,可以有不同的應(yīng)對(duì)方案。
對(duì)于個(gè)人用戶(hù),最少應(yīng)該要做到以下這幾點(diǎn):
1、 留意操作系統(tǒng)提供商以及其他第三方軟件開(kāi)發(fā)商所的安全公告,及時(shí)為系統(tǒng)和其他軟件打上安全補(bǔ)丁。
2、 安裝防病毒軟件等安全類(lèi)軟件,打開(kāi)其實(shí)時(shí)監(jiān)控,并要注意經(jīng)常升級(jí)病毒庫(kù)。還要養(yǎng)成定期殺毒的習(xí)慣。
3、 使用安全性能高的文件系統(tǒng),如windows操作系統(tǒng)可以采用NTFS格式,充分利用好此類(lèi)文件系統(tǒng)可以在一定程度上避免資料外泄。
4、 限制光盤(pán)以及其他可移動(dòng)磁盤(pán)的自動(dòng)運(yùn)行功能,尤其是對(duì)于來(lái)歷不明或者在其他地方使用過(guò),拿到自己的計(jì)算機(jī)上使用的光盤(pán)盒可移動(dòng)磁盤(pán),最好禁止其自動(dòng)運(yùn)行,并使用帶最新病毒特征庫(kù)的殺毒軟件對(duì)其進(jìn)行查毒,確保安全之后方可使用。
5、 盡量不要使用來(lái)歷不明的軟件,尤其是盜版軟件;盡量不訪(fǎng)問(wèn)不明來(lái)歷的網(wǎng)站,尤其是非法網(wǎng)站。
6、 不要貪圖小便宜,輕信互聯(lián)網(wǎng)上的消息,凡事打醒十二分精神,明白“天下沒(méi)有免費(fèi)的午餐”的道理。
對(duì)于單位和企業(yè)用戶(hù),除了要注意以上這幾點(diǎn)以外,還要做到以下這幾點(diǎn):
1、 科學(xué)規(guī)范的設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),從結(jié)構(gòu)上防范信息安全事件。
2、 根據(jù)網(wǎng)絡(luò)的實(shí)際情況,對(duì)網(wǎng)絡(luò)實(shí)施合適的安全策略。
3、 對(duì)于安全要求比較高的網(wǎng)絡(luò)節(jié)點(diǎn),必須使用充分的軟件和硬件以及其他防范措施來(lái)保證這些節(jié)點(diǎn)的安全。
4、 開(kāi)啟日志記錄功能,記錄網(wǎng)絡(luò)在運(yùn)作的時(shí)候所發(fā)生的事件。
5、 在帶寬出口處,應(yīng)該安裝硬件防火墻,尤其是對(duì)安全性能較高的地方,硬件防火墻要放在路由器的前面。
6、 指定相應(yīng)的管理?xiàng)l例,約束員工的網(wǎng)絡(luò)使用行為。
四、信息安全的立法
由于越來(lái)越嚴(yán)峻的信息安全形勢(shì),盡管已經(jīng)有相應(yīng)的措施對(duì)信息安全事件進(jìn)行防范,但是沒(méi)有法律上的幫助,只能讓病毒制造者越來(lái)越猖狂。前面我們提到,越來(lái)越多的病毒開(kāi)發(fā)的目的主要是為了經(jīng)濟(jì)利益,而國(guó)家在這方面的立法工作做得遠(yuǎn)遠(yuǎn)不夠。
目前針對(duì)信息安全方面的法律法規(guī)主要有《中華人民共和國(guó)刑法》、《中華人民共和國(guó)電子簽名法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《商用密碼管理?xiàng)l例》等。但是隨著時(shí)代的發(fā)展,國(guó)家法律對(duì)于信息安全事件方面的約束明顯力度不足。目前,我國(guó)的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié),政策法規(guī)難以適應(yīng)網(wǎng)絡(luò)發(fā)展需要,信息立法存在許多空白。最近幾年來(lái),結(jié)合我國(guó)信息化建設(shè)的實(shí)際情況,政府制訂了一系列法律文件和行政法規(guī)、規(guī)章,取得了一些成效,但依然存在著一些問(wèn)題:一是現(xiàn)有法律法規(guī)以部門(mén)規(guī)章為主,缺乏系統(tǒng)性和權(quán)威性;二是法律法規(guī)龐雜,其間的協(xié)調(diào)性和相通性不夠。公安、信息產(chǎn)業(yè)、郵電、技術(shù)監(jiān)督部門(mén)都公布過(guò)相關(guān)法規(guī),各部門(mén)之間缺乏統(tǒng)籌規(guī)劃。其三、現(xiàn)行法律法規(guī)過(guò)于原則或籠統(tǒng),缺乏可操作性。即使是已頒布的專(zhuān)門(mén)法(如《專(zhuān)利法》、《統(tǒng)計(jì)法》、《檔案法》)也沒(méi)有充分體現(xiàn)國(guó)家信息安全的內(nèi)容。個(gè)人隱私保護(hù)、數(shù)據(jù)庫(kù)保護(hù)、數(shù)字媒體、數(shù)字簽名認(rèn)證等信息空間正常運(yùn)作所需要的配套法規(guī)尚不健全。(參考資料:九三學(xué)社《加強(qiáng)網(wǎng)絡(luò)信息安全立法,維護(hù)國(guó)家信息安全》)
為此,針對(duì)目前的形勢(shì),國(guó)家在這一方面應(yīng)該要加大立法力度,制定一部信息安全相關(guān)的專(zhuān)門(mén)法律,保障國(guó)家與公民在信息交換中的合法權(quán)益。除此之外,在信息安全方面的執(zhí)法力度,也應(yīng)該要相應(yīng)的加大,以威懾病毒制造者等信息安全事件的主要責(zé)任人。
參考文獻(xiàn)
[1] 馮登國(guó),趙險(xiǎn)峰.信息安全技術(shù)概論.電子工業(yè)出版社,2009,04.
[2] 朱明.信息安全法教程.中國(guó)林業(yè)出版社,2005,10.
從××國(guó)稅系統(tǒng)的實(shí)際情況出發(fā),對(duì)照國(guó)稅信息化高性能、高可靠性的要求,目前××國(guó)稅在信息安全上還存在以下五大問(wèn)題。
1、物理安全上存在的問(wèn)題。物理安全主要指信息化系統(tǒng)、設(shè)備、工作環(huán)境等在物理上采取的保護(hù)措施?!痢羾?guó)稅系統(tǒng)在物理安全上存在的問(wèn)題主要表現(xiàn)在機(jī)房建設(shè)、局域網(wǎng)建設(shè)缺乏規(guī)劃,基本沒(méi)有專(zhuān)門(mén)的防雷、防火、防水、防潮設(shè)施。機(jī)房中重要設(shè)備塵土覆蓋,存在許多安全上的隱患。
2、網(wǎng)絡(luò)安全上存在的問(wèn)題 。網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)訪(fǎng)問(wèn)、使用、操作的安全,它是信息化安全中最普遍的內(nèi)容,主要包括:病毒危害和訪(fǎng)問(wèn)安全。 在開(kāi)放網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒的危害比以往要大得多,特別是近幾年,通過(guò)互聯(lián)網(wǎng)進(jìn)行傳播的病毒數(shù)量急劇增長(zhǎng),危害范圍也不斷擴(kuò)大。對(duì)付計(jì)算機(jī)病毒的最好的方法是安防病毒軟件,國(guó)稅系統(tǒng)最好具備網(wǎng)絡(luò)版的防病毒軟件,可以實(shí)時(shí)查殺病毒、智能安裝,快速方便地升級(jí)。然而,當(dāng)前在使用的防病毒軟件基本上是單用戶(hù)版的,容易造成長(zhǎng)時(shí)間不升級(jí),在管理上也不方便。訪(fǎng)問(wèn)安全是指對(duì)設(shè)備、資源、信息和服務(wù)訪(fǎng)問(wèn)權(quán)限的安全控制。訪(fǎng)問(wèn)安全也是最常見(jiàn)的安全問(wèn)題,××國(guó)稅網(wǎng)絡(luò)缺少必要的權(quán)限管理,人人都可以通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)到各服務(wù)器和路由器。雖然網(wǎng)管人員可以通過(guò)外部防火墻限制外部用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng),也可以限制內(nèi)部用戶(hù)瀏覽互聯(lián)網(wǎng)的權(quán)限和時(shí)間,但是由于××縣局與省局、市局無(wú)內(nèi)部防火墻隔離,全國(guó)的國(guó)稅廣域網(wǎng)用戶(hù)都可以通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)××國(guó)稅的路由器和服務(wù)器,造成許多安全上的隱患。
3、信息安全上存在的問(wèn)題。信息安全主要是指信息交換安全。網(wǎng)上申報(bào)、網(wǎng)上認(rèn)證的發(fā)展推動(dòng)了信息安全需求。這兩種情況都需要對(duì)連接者身份進(jìn)行嚴(yán)格驗(yàn)證,防止非法用戶(hù)的進(jìn)入,為了防止傳輸過(guò)程中的信息被竊聽(tīng),要求登錄用戶(hù)名和密碼以及數(shù)據(jù)在傳輸過(guò)程中進(jìn)行有效的加密。為了增強(qiáng)信息安全,需要對(duì)登錄信息和納稅申報(bào)信息進(jìn)行安全審計(jì)記錄,從而可以對(duì)非法入侵進(jìn)行跟蹤,并分析系統(tǒng)的安全狀況。這一塊工作我們還沒(méi)有很好的開(kāi)展起來(lái)。
4、管理安全上存在的問(wèn)題。管理安全是指通過(guò)加強(qiáng)安全管理來(lái)保證物理安全、網(wǎng)絡(luò)安全和信息安全措施的實(shí)現(xiàn)。信息化安全是一項(xiàng)系統(tǒng)工程,如果沒(méi)有有效的安全管理,其他的任何努力都形同虛設(shè)。信息化安全需要一個(gè)完善的安全管理體系,從安全管理組織、制度、措施上都要制定一整套相應(yīng)的規(guī)范。××國(guó)稅自從通過(guò)is09000認(rèn)證以來(lái),信息中心的制度建設(shè)已日趨完善,但網(wǎng)絡(luò)信息安全方面的制度如應(yīng)急預(yù)案、機(jī)房安全制度、密碼制度等相對(duì)較少,沒(méi)有從制度上來(lái)杜絕網(wǎng)絡(luò)安全上的漏洞。
5、網(wǎng)絡(luò)及信息系統(tǒng)安全意識(shí)存在的問(wèn)題。網(wǎng)絡(luò)及信息系統(tǒng)安全問(wèn)題很多時(shí)候都出在內(nèi)部,許多典型的網(wǎng)絡(luò)入侵事件都是借助于內(nèi)部人員才得以實(shí)觀的,而我們國(guó)稅系統(tǒng)的一般工作人員,網(wǎng)絡(luò)及信息系統(tǒng)安全意識(shí)差,個(gè)別人就根本沒(méi)有安全意識(shí),計(jì)算機(jī)隨便裝載各種游戲軟件,不經(jīng)殺毒隨便使用外來(lái)u盤(pán)、軟盤(pán)、光盤(pán)等。
二、加高“短板”的對(duì)策
信息化安全問(wèn)題不存在一勞永逸的解決方案,提出的任何安全對(duì)策也只能是更好地預(yù)防問(wèn)題的出現(xiàn),盡量減少安全問(wèn)題對(duì)正常業(yè)務(wù)的影響。針對(duì)××國(guó)稅系統(tǒng)信息化建設(shè)的特點(diǎn)和存在問(wèn)題的分析,可以歸納出“三大對(duì)策”,即建設(shè)高可用性網(wǎng)絡(luò)、部署安全防護(hù)系統(tǒng)和建立安全保障體系。
1、建設(shè)高可用性網(wǎng)絡(luò)。建設(shè)高可用性網(wǎng)絡(luò)就是要建設(shè)具有高性能和高可靠性的信息化基礎(chǔ)網(wǎng)絡(luò)設(shè)施,實(shí)現(xiàn)信息化物理安全和網(wǎng)絡(luò)安全。建設(shè)高可用性網(wǎng)絡(luò)的主要措施涵蓋信息化硬件和軟件以及需要重點(diǎn)考慮的災(zāi)難恢復(fù)。(1)信息化硬件。信息化硬件包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、布線(xiàn)、機(jī)房設(shè)備等。要保證信息化網(wǎng)絡(luò)的高可用性,在設(shè)備選擇上必須堅(jiān)持高性能和高可靠性,在系統(tǒng)設(shè)計(jì)上也要充分考慮網(wǎng)絡(luò)和設(shè)備的冗余備份。在網(wǎng)絡(luò)設(shè)備上,應(yīng)盡可能選用可靠性高,有相對(duì)冗余的中心交換機(jī):服務(wù)器應(yīng)選用帶 冗余電源的,硬盤(pán)應(yīng)選用能做raidl,raid5等高可靠性的磁盤(pán)陣列:機(jī)房設(shè)備必須用ups供電,保證設(shè)備的持續(xù)、穩(wěn)定運(yùn)行。(2)信息化軟件。信系化軟件主要包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序等。應(yīng)盡量選用性能好安全性高的操作系統(tǒng),個(gè)人計(jì)算機(jī)操作系統(tǒng)可以選用,服務(wù)器操作系統(tǒng)應(yīng)優(yōu)先選用unix系統(tǒng)。(3)災(zāi)難恢復(fù) 。隨著信息化進(jìn)程的深入,國(guó)稅系統(tǒng)對(duì)計(jì)算機(jī)設(shè)備的依賴(lài)度也越來(lái)越大、對(duì)稅務(wù)系統(tǒng)而言,最珍貴的不是信息化設(shè)備或系統(tǒng):而是存儲(chǔ)的各種文檔和數(shù)據(jù)庫(kù)信息。網(wǎng)絡(luò)的可用性也是極為重要的,如果網(wǎng)絡(luò)總是有問(wèn)題,誰(shuí)還有信心去用它?所以災(zāi)難恢復(fù)是信息化安全中很重要的一個(gè)組成部分,必須想法保證數(shù)據(jù)存儲(chǔ)的可靠性,保證網(wǎng)絡(luò)服務(wù)和應(yīng)用在故障時(shí)能盡快恢復(fù)。對(duì)國(guó)稅系統(tǒng)而言,災(zāi)難恢復(fù)保護(hù)的地方主要是關(guān)鍵數(shù)據(jù)庫(kù)和文件服務(wù)器。關(guān)鍵數(shù)據(jù)庫(kù)一般是指存儲(chǔ)納稅申報(bào)信息ctais數(shù)據(jù)庫(kù)、金稅數(shù)據(jù)庫(kù),文件服務(wù)器主要是指辦公自動(dòng)化所依賴(lài)的服務(wù)器,它存儲(chǔ)國(guó)稅系統(tǒng)管理過(guò)程中所需的重要文檔和資料。 先進(jìn)的典型災(zāi)難恢復(fù)系統(tǒng)是由集群服務(wù)器、存儲(chǔ)設(shè)備和相關(guān)軟件組成,當(dāng)系統(tǒng)部分設(shè)備發(fā)生災(zāi)難時(shí)可以保持服務(wù)的連續(xù)性并自動(dòng)恢復(fù)或盡可能恢復(fù)最近的數(shù)據(jù)。典型災(zāi)難恢復(fù)系統(tǒng)的一個(gè)重要特點(diǎn)就是災(zāi)難恢復(fù)系統(tǒng)里的設(shè)備要做到地理分散,才能真正應(yīng)對(duì)災(zāi)難的發(fā)生。××國(guó)稅系統(tǒng)應(yīng)在××縣局建立了異地?cái)?shù)據(jù)容災(zāi)備份系統(tǒng)。容災(zāi)系統(tǒng)中采用falconstor的ipstor軟件和legatoautomatedavailabilitymanage(legatocluster)。市縣局用4m光纖相連,在晚上進(jìn)行數(shù)據(jù)復(fù)制。系統(tǒng)運(yùn)行后,市局將各縣市局的ctais查詢(xún)直接指向××縣局的小型機(jī)進(jìn)行查詢(xún),此舉極大地減輕了以市局為主的征管服務(wù)器的壓力,從根本上改善了服務(wù)器征期高峰的擁塞現(xiàn)象,保證了市局主服務(wù)器主要正常業(yè)務(wù)的開(kāi)展與運(yùn)行。同時(shí),數(shù)據(jù)的備份將在很大的程度上保證稅務(wù)工作的安全運(yùn)轉(zhuǎn),給征管數(shù)據(jù)上了“保險(xiǎn)”。ctais異地備份的成功實(shí)現(xiàn)為其他系統(tǒng)的安全保護(hù)提供了很好的借鑒。
2、部署安全防護(hù)系統(tǒng)。部署安全防護(hù)系統(tǒng)主要指通過(guò)操作系統(tǒng)安全使用和部署安全防護(hù)軟件,實(shí)現(xiàn)信息化網(wǎng)絡(luò)安全和信息安全。(1)防病毒系統(tǒng)。常見(jiàn)的計(jì)算機(jī)病毒主要是針對(duì)微軟的操作系統(tǒng),如果你使用其他操作系統(tǒng)如unix或linux,基本可以不用擔(dān)心受感染,但是仍可能成為病毒傳播源和感染對(duì)象。國(guó)稅系統(tǒng)中用戶(hù)網(wǎng)絡(luò)節(jié)點(diǎn)多,如果采用單機(jī)防病毒軟件,成本高,維護(hù)起來(lái)也不方便,防病毒的效果也不理想,所以對(duì)國(guó)稅系統(tǒng)而言,對(duì)付病毒的重要手段是部署網(wǎng)絡(luò)防病毒系統(tǒng)。網(wǎng)絡(luò)防病毒系統(tǒng)由防病毒主程序和客戶(hù)端以及其他輔助應(yīng)用組成,它可以通過(guò)管理平臺(tái)監(jiān)測(cè)、分發(fā)部署防病毒客戶(hù)端,這種功能意味著可以統(tǒng)一并實(shí)施全系統(tǒng)內(nèi)的反病毒策略,并封鎖整個(gè)系統(tǒng)內(nèi)病毒的所有入口點(diǎn)。因?yàn)橛?jì)算機(jī)病毒是動(dòng)態(tài)發(fā)展的,到目前為上尚未發(fā)現(xiàn)“萬(wàn)能”防病毒系統(tǒng),所以我們能做到只能是及時(shí)地更新病毒庫(kù)。要有效地對(duì)付計(jì)算機(jī)病毒,除了部署防病毒系統(tǒng)外,還要配合其他手段維護(hù)系統(tǒng)安全,做好數(shù)據(jù)備份是關(guān)鍵,并且要及時(shí)升級(jí)殺毒軟件的病毒庫(kù),還要做好災(zāi)難恢復(fù)。(2)防火墻。防火墻是目前最重要的信息安全產(chǎn)品,它可以提供實(shí)質(zhì)上的網(wǎng)絡(luò)安全,它承擔(dān)著對(duì)外防御來(lái)自互聯(lián)網(wǎng)的各種攻擊,對(duì)內(nèi)輔助用戶(hù)安全策略的實(shí)施的重任,是用戶(hù)保護(hù)信息安全的第一道屏障,在信息化安全中應(yīng)給予高度重視。通過(guò)配置安全策略,防火墻主要承擔(dān)以下作用:禁止外部網(wǎng)絡(luò)對(duì)××國(guó)稅系統(tǒng)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn),保護(hù)國(guó)稅網(wǎng)絡(luò)安全:滿(mǎn)足內(nèi)部員工訪(fǎng)問(wèn)互聯(lián)網(wǎng)的需求;對(duì)員工訪(fǎng)問(wèn)互聯(lián)網(wǎng)進(jìn)行審計(jì)和限制。對(duì)××國(guó)稅來(lái)說(shuō),除現(xiàn)在應(yīng)用的internet防火墻外,還應(yīng)該在與外單位包括其他國(guó)稅局、銀行等聯(lián)網(wǎng)的過(guò)程中沒(méi)置內(nèi)部防火墻、保證××國(guó)稅內(nèi)部網(wǎng)全部在防火墻的保護(hù)之下。
現(xiàn)在的防火墻在功能上不斷加強(qiáng),如可以實(shí)現(xiàn)流量控制、病毒檢測(cè)、vpn功能等,但是防火墻的主要功能仍然是通過(guò)包過(guò)濾來(lái)實(shí)現(xiàn)訪(fǎng)問(wèn)控制。防火墻的使用通常并不能避免來(lái)自?xún)?nèi)部的攻擊,而且由于數(shù)據(jù)包都要通過(guò)防火墻的過(guò)濾,增加了網(wǎng)延遲,降低了網(wǎng)絡(luò)性能,要想充分發(fā)揮防火墻的作用,還要與其他安全產(chǎn)品配合使用。(3)入侵檢測(cè)。大部分入侵檢測(cè)系統(tǒng)主要采用基于包特征的檢測(cè)技術(shù)來(lái)實(shí)現(xiàn),它們的基本原理是:對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行復(fù)制,與內(nèi)部的攻擊特征數(shù)據(jù)庫(kù)進(jìn)行匹配比較,如果相符即產(chǎn)生報(bào)警或響應(yīng)。檢測(cè)到入侵事件后,產(chǎn)生報(bào)警,并把報(bào)警事件計(jì)入日志,日后可以通過(guò)日志分析確定網(wǎng)絡(luò)的安全狀態(tài),發(fā)現(xiàn)系統(tǒng)漏洞等。如果它與防火墻等其他安全產(chǎn)品配合使用,可以在入侵發(fā)生時(shí),使防火墻聯(lián)動(dòng),暫時(shí)阻斷非法連接,保護(hù)網(wǎng)絡(luò)不受侵害。在部署此類(lèi)產(chǎn)品時(shí)要注意進(jìn)行性能優(yōu)化,盡量避免屏蔽沒(méi)有價(jià)值的檢測(cè)規(guī)則。 (4)操作系統(tǒng)安全使用。在信息化網(wǎng)絡(luò)中,操作系統(tǒng)的安全使用是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié),試想如果你打算與同事共享一個(gè)文件夾,可是你又沒(méi)有加密碼,共享的文件就會(huì)變成公開(kāi)的文件。操作系統(tǒng)安全使用主要包括以下幾方面內(nèi)容:用戶(hù)密碼管理、系統(tǒng)漏洞檢測(cè)、信息加密等。用戶(hù)密碼管理無(wú)論是對(duì)個(gè)人還是整個(gè)系統(tǒng)都是很重要的。用戶(hù)密碼管理有許多的原則要遵守,最重要的就是不要使用空密碼,如當(dāng)你使用windowsnt/20xx時(shí),如果不幸你使用空密碼,局域網(wǎng)中的任何人都可以隨意訪(fǎng)問(wèn)你的計(jì)算機(jī)資源。如果你是系統(tǒng)管理員,制定嚴(yán)謹(jǐn)?shù)挠脩?hù)密碼策略是首要任務(wù)之一。 漏洞檢測(cè)對(duì)關(guān)鍵服務(wù)器的操作系統(tǒng)是極為重要的。任何操作系統(tǒng)都不可避免地存在安全漏洞,操作系統(tǒng)的漏洞總是不斷地被發(fā)現(xiàn)并公布在互聯(lián)網(wǎng)上,爭(zhēng)取在黑客沒(méi)有攻擊你的主機(jī)之前及時(shí)發(fā)現(xiàn)并修補(bǔ)漏洞是極為關(guān)鍵的。另外一種類(lèi)型的漏洞并不是系統(tǒng)固有的,而是由于系統(tǒng)安裝配置缺陷造成的,同樣應(yīng)引起足夠重視。對(duì)服務(wù)器而言,關(guān)閉不需要的服務(wù)或端口也是必要的。即使網(wǎng)絡(luò)很安全了,需要保密的信息在存儲(chǔ)介質(zhì)上的加密仍然是必要的,因?yàn)槿魏尉W(wǎng)絡(luò)不能保證百分之百的安全。使用windowsnt/20xx等操作系統(tǒng)時(shí),盡量使用ntfs分區(qū),對(duì)重要信息起用加密保護(hù)功能,這樣就算是信息意外泄露,也無(wú)法破解。采用vpn(虛擬專(zhuān)用網(wǎng)) 。vpn是當(dāng)前實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn)重要方法,它可以有效地降低廣域網(wǎng)通訊費(fèi)用,并實(shí)現(xiàn)從任何位置安全地訪(fǎng)問(wèn)國(guó)稅系統(tǒng)內(nèi)部網(wǎng)絡(luò),它也可以作為國(guó)稅系統(tǒng)內(nèi)部重要資源訪(fǎng)問(wèn)控制的一種手段。vpn通過(guò)internet或其他公用ip網(wǎng)絡(luò)實(shí)現(xiàn),可以滿(mǎn)足遠(yuǎn)程通訊安全的基本需求,它將通訊信息進(jìn)行加密和認(rèn)證傳輸,從而保證了信息傳輸?shù)谋C苄?、?shù)據(jù)完整性和信息源的可靠性,實(shí)現(xiàn)安全的遠(yuǎn)程端到端連接。vpn的實(shí)現(xiàn)主要基于以下技術(shù):
(1)ipsec,ietf(internet工程師任務(wù)組)制定的ip安全標(biāo)準(zhǔn)。
(2)通過(guò)認(rèn)證機(jī)構(gòu)發(fā)放數(shù)字證書(shū)和進(jìn)行第三方認(rèn)證。
(3)使用共享密鑰認(rèn)證用于小規(guī)模的vpn網(wǎng)絡(luò)。
vpn一般采用專(zhuān)用的設(shè)備實(shí)現(xiàn),在選用vpn產(chǎn)品時(shí)應(yīng)主要考慮幾點(diǎn):可管理性、可擴(kuò)展性、可靠性、兼容性和價(jià)格。
關(guān)鍵詞 信息安全;PKI;CA;VPN
1 引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益,但隨之而來(lái)的安全問(wèn)題也在困擾著用戶(hù),在2003年后,木馬、蠕蟲(chóng)的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng),企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題,而其內(nèi)部的管理問(wèn)題、效率問(wèn)題、考核問(wèn)題、信息傳遞問(wèn)題、信息安全問(wèn)題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。
在下面的描述中,以某公司為例進(jìn)行說(shuō)明。
2 信息系統(tǒng)現(xiàn)狀
2.1 信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺(tái),通過(guò)內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過(guò)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過(guò)交換機(jī)連接。
2)應(yīng)用系統(tǒng)
經(jīng)過(guò)多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2 信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3 風(fēng)險(xiǎn)與需求分析
3.1 風(fēng)險(xiǎn)分析
通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴(lài)性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴(lài)性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶(hù)管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
通過(guò)對(duì)現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類(lèi)的增加,某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)都停留在用戶(hù)名/密碼的簡(jiǎn)單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶(hù)都是可信的。在這種信任模型下,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部,并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對(duì)外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶(hù)都是不可信的。在這種信任模型中,假設(shè)所有用戶(hù)都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。
美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。
已購(gòu)買(mǎi)的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿(mǎn)足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門(mén)和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期,在規(guī)劃的過(guò)程中,就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段,用戶(hù)才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。
3.2 需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程,如何利用專(zhuān)業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4 設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1 標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。
4.2 系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3 規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動(dòng),都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4 保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5 多重保護(hù)原則
任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。
4.6 分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開(kāi)銷(xiāo)的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿(mǎn)足某公司安全的基本需求,亦可節(jié)省費(fèi)用開(kāi)支。
5 設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示。
網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對(duì)的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過(guò)與計(jì)算機(jī)專(zhuān)業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過(guò)本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書(shū)認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開(kāi)密鑰理論和技術(shù)建立起來(lái)的提供在線(xiàn)身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴(lài)等安全問(wèn)題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶(hù)提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書(shū)認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)對(duì)方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書(shū)加密來(lái)完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。
不可抵賴(lài)性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過(guò)數(shù)字簽名來(lái)完成,數(shù)字簽名可作為法律證據(jù)。
5.2 邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專(zhuān)用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專(zhuān)用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過(guò)安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專(zhuān)用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道,使得合法的用戶(hù)可以安全的訪(fǎng)問(wèn)企業(yè)的私有數(shù)據(jù),用以代替專(zhuān)線(xiàn)方式,實(shí)現(xiàn)移動(dòng)用戶(hù)、遠(yuǎn)程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪(fǎng)問(wèn)監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
5.3 安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開(kāi)放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶(hù)端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先,它的認(rèn)證機(jī)制依賴(lài)于層次結(jié)構(gòu)的證書(shū)認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書(shū)由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書(shū))之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹(shù)狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4 桌面安全防護(hù)
對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來(lái)自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對(duì)企業(yè)機(jī)密和專(zhuān)利信息的竊取、財(cái)務(wù)欺騙等,因此,對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶(hù)端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對(duì)稱(chēng)密鑰體系保證了文檔的完整性和不可抵賴(lài)性。采用組件技術(shù),可以無(wú)縫嵌入OFFICE系統(tǒng),用戶(hù)可以在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開(kāi)文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶(hù)如果需要離開(kāi)計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。
5.5 身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程?;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶(hù)的密鑰或數(shù)字證書(shū),利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶(hù)集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶(hù)端安全組件和證書(shū)管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪(fǎng)問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴(lài)性的總體要求。
6 方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程,也為本方案的實(shí)施提供了借鑒。
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專(zhuān)業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
7 結(jié)論
[關(guān)鍵詞] 校園安全;校園治安;和諧校園
[中圖分類(lèi)號(hào)]C913.5 [文獻(xiàn)標(biāo)識(shí)碼] A
一、校園安全的基本問(wèn)題
關(guān)于校園安全的內(nèi)涵和外延有很多觀點(diǎn)。比如有的觀點(diǎn)認(rèn)為校園安全是指消除和防止對(duì)學(xué)校安全有害的一切不安全因素,包括人身安全,食品安全,交通安全,防水、防火、防觸電等許多方面。也有的觀點(diǎn)認(rèn)為校園安全事故是指學(xué)生在校期間,由于某種偶然突發(fā)的因素而導(dǎo)致的人為傷害事件。有關(guān)校園安全的分類(lèi)也是多種多樣。有的主張校園安全包括個(gè)人安全問(wèn)題、財(cái)產(chǎn)安全問(wèn)題;也有的把校園安全分為安全教育、校園環(huán)境安全、校園周邊安全、消防安全、重點(diǎn)部位安全、體育設(shè)施安全、學(xué)生及教職工的飲食安全、學(xué)校財(cái)產(chǎn)、學(xué)生財(cái)產(chǎn)和學(xué)生人身安全等。
何謂校園安全,我們認(rèn)為可以從主體、客體和內(nèi)容三個(gè)方面來(lái)進(jìn)行定義。從廣義上說(shuō),校園安全的主體應(yīng)該為全體社會(huì)公民和學(xué)校等單位團(tuán)體,狹義上的校園安全主體一般指在校學(xué)生、教職工。而校園安全的客體包括了在校師生的生命、財(cái)產(chǎn)、人格等所有的權(quán)利以及學(xué)校公共財(cái)物的保全,也應(yīng)該包括校園文化資產(chǎn)的保護(hù)。現(xiàn)在對(duì)校園安全關(guān)注的焦點(diǎn)主要是學(xué)生人身安全上,而對(duì)于教職工安全、學(xué)校公共財(cái)產(chǎn)安全等一般不列入重點(diǎn)監(jiān)測(cè)的范圍中,對(duì)于校園文化意識(shí)的監(jiān)控更不被作為校園安全的內(nèi)容。這種做法顯然是有失偏頗的。校園安全應(yīng)該是人、財(cái)、物、校園文化綜合的安全。校園安全應(yīng)該包括以下幾個(gè)特征:
首先,立體性。校園安全的內(nèi)涵應(yīng)該是非常豐富的,應(yīng)該包括人、物以及非實(shí)體性的文化意識(shí)傳統(tǒng)這三個(gè)方面,這三個(gè)方面共同構(gòu)筑了校園這個(gè)機(jī)體。其外延就包括了學(xué)生生命安全、財(cái)產(chǎn)安全、公共財(cái)物安全、校園文化安全、教職工生命安全、著作權(quán)、知情權(quán)等等方面。
其次,持續(xù)性。校園安全是一項(xiàng)持續(xù)性的工作,它從校園建立之時(shí)起就開(kāi)始存在,只要有校園就需要校園安全,時(shí)時(shí)都是校園安全發(fā)生作用的時(shí)間,校園的各個(gè)角落都是校園安全的范圍,它是一項(xiàng)長(zhǎng)期的、連續(xù)的工作,任何時(shí)候都不能放棄或放松。
再次,動(dòng)態(tài)性。“靜止是相對(duì)的,運(yùn)動(dòng)是絕對(duì)的”,校園安全的主體和客體的類(lèi)是固定的,但是具體的對(duì)象卻是不斷變化的。學(xué)生、教職工都會(huì)變化,具體的財(cái)物也會(huì)有所變動(dòng)和更迭,這些都是動(dòng)態(tài)發(fā)展的因素,而以它們?yōu)槌休d體的校園安全內(nèi)容必然也需要隨之發(fā)生變化,在遵循規(guī)律的前提下,根據(jù)具體的條件對(duì)內(nèi)容進(jìn)行豐富和調(diào)整,具體的措施、制度等也會(huì)有一定的變化。
上述三個(gè)特征只是對(duì)校園安全概念的特性歸納,只有全面了解校園安全的內(nèi)涵和外延,才能正確的制定校園安全建設(shè)的原則,才能保證校園安全覆蓋的全面性,不留任何的安全“死角”,確實(shí)確保校園的安全。校園安全建設(shè)的原則與其特征是相配套的,大概歸納如下:
1. 以人為本原則。此原則包含兩個(gè)方面的內(nèi)容:一是指生命權(quán)的至高無(wú)上。在物權(quán)、人格權(quán)、財(cái)產(chǎn)權(quán)、知識(shí)產(chǎn)權(quán)、生命權(quán)等各項(xiàng)權(quán)利中,生命權(quán)毋庸置疑應(yīng)該是最為重要的權(quán)利,這也是人存在的首要證明,是人進(jìn)行一切活動(dòng),享有一切權(quán)利的前提。我們自古就有對(duì)人生命的尊重和熱愛(ài)的教育,在法律規(guī)范中也處處體現(xiàn)了對(duì)人生命的呵護(hù)與保護(hù)。校園安全所涉及到的內(nèi)容是很繁雜的,但是無(wú)論在何種情況下都應(yīng)該以保護(hù)在校學(xué)生、教職工的生命安全為第一要?jiǎng)?wù),這是校園安全建設(shè)的重點(diǎn)和首要項(xiàng)目。二是指校園安全建設(shè)要依托科學(xué)儀器的幫助,要利用先進(jìn)的保護(hù)和偵查技術(shù),這些可以大大提高校園的安全度,提高校園安全的效率。但是校園安全最主要的還是應(yīng)該依靠在校的所有人的力量和智慧,充分調(diào)動(dòng)校園內(nèi)所有有利的人的因素,而不是僅僅依靠設(shè)備,才能更好的做到時(shí)時(shí)處處的安全管理。
2.預(yù)防為主原則。由于事物處在變化中,所以很多安全事件的發(fā)生都具有突發(fā)性的特點(diǎn),實(shí)現(xiàn)難以預(yù)知,只能盡量在事件發(fā)生后在最短的時(shí)間內(nèi)把損失降低到最小。很多時(shí)候都是在扮演“救火隊(duì)”的角色,這樣使整個(gè)校園安全建設(shè)和管理顯得比較被動(dòng),缺少主動(dòng)性和預(yù)見(jiàn)性,無(wú)法有效的從根源上制止校園危險(xiǎn)事件的發(fā)生。所以校園安全建設(shè)應(yīng)該秉承預(yù)防為主的原則,通過(guò)分析一些危險(xiǎn)隱患產(chǎn)生的條件和一些初期表征,消滅那些不安全的因素,從源頭上防止校園不安全事件的發(fā)生。
3.綜合治理原則。校園安全是個(gè)綜合的工程,它涉及到的面是非常廣的,包括了人、財(cái)、物、意識(shí)等各個(gè)層面中與校園有關(guān)的內(nèi)容,所以,在確保了生命安全的前提下,其他方面的安全問(wèn)題也不容忽視,比如校園公共財(cái)物的維護(hù)、校園周邊環(huán)境的治理、校園網(wǎng)絡(luò)安全、校園相關(guān)產(chǎn)權(quán)的保護(hù)等等。所以校園安全需要全面兼顧,不可偏頗,進(jìn)行綜合治理,才能真正確保校園的安全。
4.科學(xué)管理原則。事物是普遍聯(lián)系的,也是有規(guī)律可循的,采用科學(xué)的方法,按照規(guī)律來(lái)辦事,就可以事半功倍,反之,則會(huì)陷入雜亂無(wú)章、事倍功半的境地。校園安全也是有規(guī)律可循的,它涉及到的教育、治安、救護(hù)等都已經(jīng)發(fā)展的比較成熟,國(guó)內(nèi)外很多學(xué)校也通過(guò)長(zhǎng)期的實(shí)踐摸索出一些行之有效的措施,歸結(jié)了校園安全的一些重要時(shí)段、地段和對(duì)象。這些都是在校園安全建設(shè)中要大力借鑒和發(fā)展的。
二、當(dāng)前校園安全基本情況分析
近幾年有關(guān)校園的中毒事件、踩踏事件、暴力事件、交通安全事件屢見(jiàn)報(bào)端,而且每年的安全數(shù)字呈上升趨勢(shì)。在2001年,就有有關(guān)部門(mén)對(duì)我國(guó)58所高校進(jìn)行安全情況調(diào)查,調(diào)查結(jié)果顯示,這些院校當(dāng)年共發(fā)案11725起,其中在校生非正常死亡的案件達(dá)112起。而中小學(xué)的校園安全情況同樣令人堪憂(yōu),教育部、公安部等單位對(duì)北京、天津、上海等10個(gè)省市的調(diào)查顯示,目前全國(guó)每年約有1.6萬(wàn)名中小學(xué)生非正常死亡,平均每天約有40名學(xué)生非正常死亡,相當(dāng)于每天有一個(gè)班的學(xué)生消失!如山西曾在半個(gè)月內(nèi)連續(xù)發(fā)生7件中小學(xué)生集體食物中毒事件,殃及約600名學(xué)生;四川巴中市通江縣一小學(xué)晚自習(xí)經(jīng)過(guò)樓道時(shí)發(fā)生踩踏造成7名同學(xué)被踩死,5人重傷、13人輕傷;陜西商洛技校2004級(jí)新生許琳殺害舍友郭某的案件等。當(dāng)前我國(guó)校園安全處于高發(fā)期,形勢(shì)比較嚴(yán)峻,具有以下特征:
首先,校園暴力案件急劇上升。近幾年校園暴力案件的數(shù)量一直持上升趨勢(shì),而且惡性程度不斷加深,同時(shí)呈現(xiàn)出團(tuán)伙暴力和以暴治暴的特點(diǎn)。比如某中學(xué)曾出現(xiàn)過(guò)“十三龍”“十三鳳”等幫派,有學(xué)生被欺負(fù),學(xué)生們有的不通過(guò)學(xué)校等正當(dāng)手段保護(hù)自己的權(quán)利,而是向這樣的幫派求救或干脆加入。
其次,多人甚至集體型的危害事件上升。這個(gè)特點(diǎn)在中小學(xué)中體現(xiàn)的比較明顯。2005年11月沁源縣的一千多名學(xué)生在公路上晨跑的時(shí)候有二十一名學(xué)生死于一輛大卡車(chē)的車(chē)輪下。這種集體慘劇不下少數(shù),這是由于中小學(xué)生的自我保護(hù)能力和判斷力都不及大學(xué)生,抵抗風(fēng)險(xiǎn)能力很弱,而且中小學(xué)生集體活動(dòng)的機(jī)率也比大學(xué)生要大得多。比如食物中毒事件往往發(fā)生在配餐的中小學(xué)中,集體交通事故的發(fā)生也經(jīng)常發(fā)生在接送中小學(xué)生的校車(chē)上。
再次,由于心理問(wèn)題而導(dǎo)致的意外傷害和死亡事故有所上升。青少年學(xué)生處在心理和生理的成長(zhǎng)發(fā)育期,比較敏感,很多看法都不成熟,容易誘發(fā)一些心理疾病,從而做出傷害自己或他人的行為。這種類(lèi)型的危害行為在大學(xué)比在中小學(xué)表現(xiàn)的更為突出。
上述的校園安全的嚴(yán)峻形勢(shì)除了有一些不可避免的客觀原因之外,更主要的是由于有關(guān)部門(mén)的校園安全抓手不準(zhǔn),定位不正,方法不當(dāng)。校園安全管理是一項(xiàng)非常煩瑣和可控性比較弱的工作,要確實(shí)保障校園安全,必須有正確的校園安全意識(shí),抓好各類(lèi)安全死角的整頓和檢查工作。
三、校園安全建設(shè)需要突破的幾個(gè)難點(diǎn)和幾點(diǎn)建議
根據(jù)目前我國(guó)校園安全建設(shè)除了日常工作之外,還有幾個(gè)難點(diǎn)問(wèn)題需要研究和突破,只有突破這些難點(diǎn)和瓶頸,才能使校園安全建設(shè)從根本上得到改進(jìn)和發(fā)展。
第一,實(shí)現(xiàn)角色的轉(zhuǎn)換。校園安全負(fù)責(zé)部門(mén)作為校園安全建設(shè)的中樞機(jī)構(gòu),應(yīng)該負(fù)起處理校園各種意外事件的職責(zé),事件處理是其主要角色,但是不能把“救火員”作為自身唯一的角色,而應(yīng)該把注意力放在如何有效的承擔(dān)預(yù)防危害事件發(fā)生的“監(jiān)察監(jiān)測(cè)員”的角色上。但現(xiàn)在的事實(shí)是,大部分學(xué)校的保衛(wèi)部門(mén)在這點(diǎn)上做的非常不充分,很多保衛(wèi)部門(mén)都存在人員不足的情況,而日常的事件的處理就已經(jīng)占用了大量的人力物力,很難有精力主要從事預(yù)防工作。而很多的預(yù)防工作是由其他的非專(zhuān)職人員從事的,從而導(dǎo)致了角色的錯(cuò)位和整合不利。所以,校園安全管理部門(mén)應(yīng)該明確自身的角色地位,工作應(yīng)該以預(yù)防為主。
第二,保衛(wèi)和預(yù)防措施缺乏創(chuàng)新性,不夠高效。主要表現(xiàn)在兩個(gè)方面:一是沿用一些傳統(tǒng)的保衛(wèi)預(yù)防措施,創(chuàng)新較少。原有的傳統(tǒng)保衛(wèi)措施和預(yù)防措施曾經(jīng)發(fā)揮了很大的作用,取得了很好的預(yù)防效果,比如宿舍檢查制度、常規(guī)安全教育制度、事故報(bào)告制度等。但是隨著形勢(shì)的發(fā)展和青少年心理和生理特征的變化,出現(xiàn)了很多新情況,原有的傳統(tǒng)做法無(wú)法解決一些特殊的問(wèn)題,而且原有的一些傳統(tǒng)做法也有相應(yīng)的缺陷,無(wú)法做到萬(wàn)無(wú)一失。比如宿舍檢查制度一直都存在一個(gè)問(wèn)題就是很多學(xué)生在查房后仍外出的情況,而校門(mén)口的保安卻沒(méi)有查問(wèn)所有出入學(xué)生,造成了一些空白。這些都是需要我們加以彌補(bǔ)的。二是現(xiàn)有的保衛(wèi)預(yù)防力量比較分散,除了專(zhuān)門(mén)的保衛(wèi)部門(mén)和人員外,還有一部分教職工、社會(huì)力量如志愿者、公安機(jī)關(guān)和司法部門(mén)等。這些力量都能為校園安全做出應(yīng)有的貢獻(xiàn),但是由于力量多而且分屬不一,所以容易造成資源的重疊或空白。基于以上兩點(diǎn),有關(guān)部門(mén)應(yīng)該加強(qiáng)創(chuàng)新意識(shí),對(duì)傳統(tǒng)的保衛(wèi)預(yù)防方法進(jìn)行改進(jìn)和創(chuàng)新,如建立以學(xué)生為主的社區(qū)巡邏隊(duì)和以志愿者為主的離校護(hù)送隊(duì)等。
第三,權(quán)責(zé)不明,立法空白?,F(xiàn)在校園立法是法律上的空白,在校園安全方面的問(wèn)題主要按照現(xiàn)有的法律法規(guī)和學(xué)校的各項(xiàng)規(guī)定來(lái)處理。但是實(shí)踐中就出現(xiàn)了很多上述法律所無(wú)法解決的盲點(diǎn),這些都表明需要一部專(zhuān)門(mén)的校園安全方面的法律來(lái)規(guī)范。而有關(guān)此點(diǎn),也引起了很多研究者和實(shí)踐部門(mén)的共識(shí),社會(huì)各界都呼吁要成立專(zhuān)門(mén)的校園法,明確各方職責(zé),保障校園學(xué)生和教職工的權(quán)利。而立法是個(gè)長(zhǎng)期的過(guò)程,所以在這個(gè)空白期還存在很多權(quán)責(zé)的難題。有關(guān)校園立法我們認(rèn)為應(yīng)該秉承以下原則:首先,應(yīng)該從在校師生的角度出發(fā),保護(hù)在校師生的利益,同時(shí)也明確在校師生的責(zé)任;其次,應(yīng)該避免法條上的沖突和重疊,對(duì)未成年人保護(hù)法等相關(guān)法律法規(guī)中已經(jīng)有的相關(guān)規(guī)定或原則不必重復(fù),但是應(yīng)該細(xì)化;再次,校園法只要明確在各種事件中學(xué)校和學(xué)校師生應(yīng)該承擔(dān)的責(zé)任和應(yīng)有的權(quán)利,不需涉及到其他各種因素,不應(yīng)泛化,而應(yīng)有針對(duì)性。
第四,安全死角的忽略與控制不力。雖然現(xiàn)在很多學(xué)校對(duì)學(xué)生的人身安全和財(cái)物的保護(hù)都比較重視,但是,也有所疏漏,尤其是對(duì)一些安全死角的認(rèn)識(shí)有誤或忽略,造成對(duì)一些發(fā)案率不高或較低的安全死角的疏漏,而這些也不為日常工作所重視。這些都存在著很大的安全隱患,而且往往容易造成惡性事件的發(fā)生。所以應(yīng)該加強(qiáng)安全死角的控制,擴(kuò)大保衛(wèi)的范圍,使保衛(wèi)和預(yù)防工作更加細(xì)致。
第五,建立與學(xué)校所在地公安機(jī)關(guān)的聯(lián)系制度,實(shí)現(xiàn)重大事故的報(bào)案、偵查、處理的聯(lián)網(wǎng),充分并及時(shí)利用對(duì)方的資源,防止重大事故的發(fā)生。同時(shí)聘請(qǐng)公安機(jī)關(guān)的人員擔(dān)任校內(nèi)的兼職教導(dǎo)員和保衛(wèi)工作人員,加強(qiáng)對(duì)在校師生的安全意識(shí)教育和求生避險(xiǎn)實(shí)踐技能的教育。
總之,校園安全是個(gè)艱巨的工程,是和諧社會(huì)、和諧校園建設(shè)的具體要求,需要全校師生和社會(huì)各界的努力,只有安全的校園才能培養(yǎng)出合格的人才。
[參考文獻(xiàn)]
一、信息安全概況
隨著信息技術(shù)的飛速發(fā)展,金融機(jī)構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長(zhǎng)的態(tài)勢(shì),信息傳遞的方式和渠道急劇增加,在為金融機(jī)構(gòu)帶來(lái)收益和效率的同時(shí),也使信息安全問(wèn)題更加凸顯。在全球范圍內(nèi),信息安全事件頻發(fā),給銀行和客戶(hù)造成經(jīng)濟(jì)損失的同時(shí),也帶來(lái)了巨大的聲譽(yù)損失。如何有效提升信息安全管理水平,成為銀行關(guān)注的焦點(diǎn)。信息安全審計(jì)作為信息安全保障工作中的重要一環(huán),能夠促進(jìn)信息安全控制措施的落實(shí),規(guī)范信息安全管理,提高全員信息安全意識(shí),從而有利于保持和持續(xù)改進(jìn)銀行信息安全能力和水平。
根據(jù)當(dāng)前的信息安全管理體系國(guó)家標(biāo)準(zhǔn)GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作從整體看應(yīng)包括四個(gè)階段:一是規(guī)劃和建設(shè)階段(Plan,簡(jiǎn)稱(chēng)“P階段”);二是實(shí)施和運(yùn)行階段(Do,簡(jiǎn)稱(chēng)“D階段”);三是監(jiān)視和評(píng)審階段(Check,簡(jiǎn)稱(chēng)“C階段”);四是保持和改進(jìn)(Act,簡(jiǎn)稱(chēng)“A階段”)。這四個(gè)階段按順序循環(huán)往復(fù),從而使信息安全得到持續(xù)改進(jìn)。這種方法也被稱(chēng)為“PDCA循環(huán)”,如圖1所示。
經(jīng)過(guò)近十幾年的努力,金融行業(yè)信息安全保障工作已經(jīng)普遍走過(guò)了“P階段”和“D階段”,金融行業(yè)的信息安全需求已基本明確,滿(mǎn)足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過(guò)大范圍的規(guī)劃建設(shè),各金融機(jī)構(gòu)已經(jīng)建立了相對(duì)完備的信息安全軟硬件環(huán)境,初步形成了信息安全保障體系。盡管如此,作為關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè),金融行業(yè)對(duì)信息安全有著更高的要求,也面臨著更大的信息安全風(fēng)險(xiǎn)挑戰(zhàn)。近年來(lái),金融行業(yè)頻繁發(fā)生的信息安全事件表明,金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多,其中一個(gè)重要的原因就是大家普遍重視信息安全的建設(shè)和運(yùn)行,而忽視了信息安全工作的檢查和改進(jìn)。從整體上看,金融行業(yè)信息安全保障工作已經(jīng)走過(guò)“P階段”和“D階段”,尚未進(jìn)入“C階段”和“A階段”,還沒(méi)有形成完整的基于“PDCA”過(guò)程方法的持續(xù)改進(jìn)機(jī)制。接下來(lái)金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進(jìn)。信息安全審計(jì)是“C階段”的主要手段。它利用傳統(tǒng)財(cái)務(wù)審計(jì)和審計(jì)工作的規(guī)范與嚴(yán)謹(jǐn),結(jié)合信息和保密技術(shù)的工具與手段,對(duì)金融機(jī)構(gòu)信息安全工作的成效和不足給出客觀、確定的審計(jì)結(jié)論,并根據(jù)審計(jì)結(jié)果,對(duì)金融機(jī)構(gòu)的信息安全保障工作提出改進(jìn)措施、給出合理化建議。
為了對(duì)商業(yè)銀行信息科技整個(gè)生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標(biāo)準(zhǔn)、高要求,滿(mǎn)足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的需要,銀監(jiān)會(huì)2009年了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》,其中第六十五條規(guī)定:“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度,信息科技應(yīng)用情況,以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果,決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)。”
二、國(guó)內(nèi)外信息安全審計(jì)現(xiàn)狀
(一)國(guó)外信息安全審計(jì)發(fā)展與現(xiàn)狀
在建立信息安全審計(jì)制度,開(kāi)展信息安全審計(jì)研究方面,美國(guó)走在了世界前列。早在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí),美國(guó)就開(kāi)始提出系統(tǒng)審計(jì)(SYSTEMAUDIT)概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)(EDPAA),1994年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA),總部設(shè)在美國(guó)芝加哥。自1978年以來(lái),由ISACA發(fā)起的注冊(cè)信息系統(tǒng)審計(jì)師(CISA)認(rèn)證計(jì)劃已經(jīng)成為涵蓋信息系統(tǒng)審計(jì)、控制與安全等專(zhuān)業(yè)領(lǐng)域的被廣泛認(rèn)可的標(biāo)準(zhǔn)。目前該組織在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì),現(xiàn)有會(huì)員兩萬(wàn)多人。
1999年,美國(guó)國(guó)家審計(jì)署(GAO)《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》(第一版),為美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)提供基本準(zhǔn)則和方法。2001年,GAO《聯(lián)邦信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南》,用于為美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)提供具體指導(dǎo);2009年,GAO《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》(第二版),該手冊(cè)成為現(xiàn)階段美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)的事實(shí)標(biāo)準(zhǔn)。
近年來(lái),美國(guó)通過(guò)立法賦予信息安全審計(jì)新的意義,并對(duì)企業(yè)實(shí)施信息安全審計(jì)產(chǎn)生重大影響。2002年,美國(guó)安然公司和世通財(cái)務(wù)欺詐案爆發(fā)后,美國(guó)國(guó)會(huì)和政府緊急通過(guò)了《薩班斯——奧克斯利法案》(Sarbanes-OxleyAct,簡(jiǎn)稱(chēng)薩班斯法案)。薩班斯法案第302條款和第404條款明確要求“,通過(guò)內(nèi)部控制加強(qiáng)公司治理,包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制,而信息安全審計(jì)正是IT系統(tǒng)內(nèi)部控制的核心?!?006年底生效的《巴塞爾新資本協(xié)議(》BaselII),要求全球銀行必須針對(duì)其市場(chǎng)、信用及營(yíng)運(yùn)等三種金融作業(yè)風(fēng)險(xiǎn)提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備,迫使各銀行必須做好風(fēng)險(xiǎn)控管,而這一“金融作業(yè)風(fēng)險(xiǎn)”的防范也正是需要業(yè)務(wù)信息安全審計(jì)為依托。
近一段時(shí)期,以美國(guó)、加拿大、澳大利亞為主的西方國(guó)家,針對(duì)不同的組織機(jī)構(gòu),以不同的信息安全審計(jì)方式,卓有成效地開(kāi)展了包括信息系統(tǒng)計(jì)劃與技術(shù)構(gòu)架、信息安全保護(hù)與災(zāi)難恢復(fù)、軟件系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施及維護(hù)、商業(yè)流程評(píng)估及風(fēng)險(xiǎn)管理等方面的信息安全審計(jì)。
具體來(lái)說(shuō),針對(duì)各類(lèi)企業(yè)的信息安全審計(jì),采取了以?xún)?nèi)部審計(jì)為主,從關(guān)注安全向關(guān)注業(yè)務(wù)目標(biāo)過(guò)渡,一般控制審計(jì)與應(yīng)用控制審計(jì)相結(jié)合的方式;針對(duì)政府機(jī)構(gòu)的信息安全審計(jì),強(qiáng)調(diào)外部審計(jì)與政府內(nèi)部審計(jì)結(jié)合,融入績(jī)效預(yù)算管理體系,關(guān)注系統(tǒng)最終效果。
在亞洲,日本的信息安全審計(jì)始于20世紀(jì)80年代。1983年,通產(chǎn)省公開(kāi)發(fā)表了《系統(tǒng)審計(jì)標(biāo)準(zhǔn)》,并在全國(guó)軟件水平考試中增加了“系統(tǒng)審計(jì)師”一級(jí)的考試,著手培養(yǎng)從事信息系統(tǒng)審計(jì)的骨干隊(duì)伍。近幾年,東南亞各國(guó)也開(kāi)始制定電子商務(wù)法規(guī),成立專(zhuān)門(mén)機(jī)構(gòu)開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù),并制定技術(shù)標(biāo)準(zhǔn)。
(二)我國(guó)信息安全審計(jì)發(fā)展與現(xiàn)狀
近年來(lái),我國(guó)的信息安全審計(jì)日益受到重視,審計(jì)署以及一些大型國(guó)有銀行也相繼開(kāi)展了信息安全方面的審計(jì)工作。信息系統(tǒng)審計(jì)規(guī)范的研究和制定方面,我國(guó)已建成了一套比較成熟規(guī)范的法規(guī)、準(zhǔn)則體系,但在信息系統(tǒng)及信息安全審計(jì)方面,雖有《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》(中國(guó)內(nèi)部審計(jì)協(xié)會(huì)2008年)以及審計(jì)署對(duì)信息系統(tǒng)審計(jì)相關(guān)法規(guī)、準(zhǔn)則的規(guī)劃及研究,但尚未形成系統(tǒng)的法規(guī)、準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)體系。
三、金融行業(yè)信息安全審計(jì)組織與實(shí)施
金融行業(yè)的信息安全審計(jì)(InformationSecurityAudit),是指金融機(jī)構(gòu)為了掌握其信息安全保障工作的有效性,根據(jù)事先確定的審計(jì)依據(jù),在規(guī)定的審計(jì)范圍內(nèi),通過(guò)文件審核、記錄檢查、技術(shù)測(cè)試、現(xiàn)場(chǎng)訪(fǎng)談等活動(dòng),獲得審計(jì)證據(jù),并對(duì)其進(jìn)行客觀的評(píng)價(jià),以確定被審計(jì)對(duì)象滿(mǎn)足審計(jì)依據(jù)的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。金融機(jī)構(gòu)可以單獨(dú)實(shí)施信息安全審計(jì),也可以將信息安全審計(jì)作為其他相關(guān)工作的一部分內(nèi)容聯(lián)合實(shí)施。如IT審計(jì)、信息安全等級(jí)保護(hù)建設(shè)、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全管理體系建設(shè)等。審計(jì)的工作流程和內(nèi)容大致包括六個(gè)方面的活動(dòng)(如圖2所示)。
1.確定審計(jì)目的和范圍。金融機(jī)構(gòu)實(shí)施信息安全審計(jì),首先要明確審計(jì)目的,確定審計(jì)范圍。審計(jì)目的是信息安全審計(jì)工作的出發(fā)點(diǎn)。審計(jì)目的可以從滿(mǎn)足監(jiān)管部門(mén)的要求、滿(mǎn)足信息安全國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求、滿(mǎn)足機(jī)構(gòu)自身信息安全工作要求等合規(guī)性方面考慮。明確了審計(jì)目的,然后要確定審計(jì)范圍。審計(jì)范圍是影響審計(jì)工作量的一個(gè)重要因素。確定審計(jì)范圍,可以從組織機(jī)構(gòu)考慮,如僅對(duì)個(gè)別部門(mén)實(shí)施審計(jì),或者在組織全部范圍實(shí)施審計(jì);也可以從業(yè)務(wù)和系統(tǒng)角度考慮,如僅對(duì)核心系統(tǒng)實(shí)施審計(jì),或者僅對(duì)信貸業(yè)務(wù)實(shí)施審計(jì)等。
2.明確審計(jì)依據(jù)。審計(jì)依據(jù)就像一把“尺子”,審計(jì)人員用它來(lái)衡量信息安全工作的“長(zhǎng)短”。審計(jì)目的不同,審計(jì)依據(jù)就可能不同,如表1中所示。
3.組建審計(jì)組。審計(jì)組是具體實(shí)施信息安全審計(jì)工作的基本組織單位,應(yīng)由審計(jì)組長(zhǎng)和審計(jì)員組成。管理良好的審計(jì)組是信息安全審計(jì)工作順利實(shí)施并達(dá)成審計(jì)目的的保障。審計(jì)組長(zhǎng)應(yīng)由金融機(jī)構(gòu)內(nèi)部審計(jì)部門(mén)的管理者任命。負(fù)責(zé)編制審計(jì)方案和審計(jì)計(jì)劃,選擇審計(jì)員,管理審計(jì)小組,與被審計(jì)對(duì)象溝通等。審計(jì)組長(zhǎng)應(yīng)具備較強(qiáng)的項(xiàng)目管理能力,熟悉被審計(jì)對(duì)象的業(yè)務(wù)和系統(tǒng),了解被審計(jì)對(duì)象面臨的信息安全風(fēng)險(xiǎn)和常用的風(fēng)險(xiǎn)控制措施。審計(jì)員應(yīng)選擇責(zé)任心強(qiáng)、公正、獨(dú)立、熟悉業(yè)務(wù)的人員擔(dān)任,避免審計(jì)員與被審計(jì)對(duì)象存在利害關(guān)系,以免影響審計(jì)結(jié)果的公正性。正式實(shí)施信息安全審計(jì)前,應(yīng)對(duì)審計(jì)組成員進(jìn)行培訓(xùn)。
4.實(shí)施現(xiàn)場(chǎng)審計(jì)。審計(jì)準(zhǔn)備工作就緒后,則可以實(shí)施現(xiàn)場(chǎng)審計(jì)。現(xiàn)場(chǎng)審計(jì)是一項(xiàng)復(fù)雜的系統(tǒng)工程,具有較強(qiáng)的不確定性。因此,現(xiàn)場(chǎng)審計(jì)應(yīng)根據(jù)事先編制的審計(jì)方案和審計(jì)計(jì)劃執(zhí)行,審計(jì)過(guò)程中還要做好變更控制。現(xiàn)場(chǎng)審計(jì)往往由首次會(huì)議開(kāi)始,至末次會(huì)議結(jié)束。在首次會(huì)議上,審計(jì)組長(zhǎng)應(yīng)向被審計(jì)單位闡明此次審計(jì)的目的、范圍、依據(jù)和審計(jì)計(jì)劃,并提出需要被審計(jì)單位配合的事項(xiàng)。末次會(huì)議上,審計(jì)組長(zhǎng)向被審計(jì)單位說(shuō)明審計(jì)發(fā)現(xiàn),報(bào)告審計(jì)初步結(jié)果,并與被審計(jì)單位就初步審計(jì)結(jié)果達(dá)成一致?,F(xiàn)場(chǎng)審計(jì)方法通常包括:現(xiàn)場(chǎng)訪(fǎng)談、審閱文件、查看記錄、系統(tǒng)檢查和測(cè)試等。在系統(tǒng)檢查和測(cè)試過(guò)程中,可能需要相關(guān)的審計(jì)工具,如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡(luò)安全檢查工具、惡意軟件掃描器等?,F(xiàn)場(chǎng)審計(jì)過(guò)程中,應(yīng)做好文檔化工作。對(duì)所發(fā)現(xiàn)的審計(jì)證據(jù)應(yīng)進(jìn)行詳細(xì)記錄,并與被審計(jì)單位人員進(jìn)行現(xiàn)場(chǎng)確認(rèn)?,F(xiàn)場(chǎng)審計(jì)應(yīng)注意方式方法,就意見(jiàn)不一致的問(wèn)題先做好記錄,避免現(xiàn)場(chǎng)與被審計(jì)單位人員發(fā)生爭(zhēng)執(zhí)。