時(shí)間:2023-10-11 10:13:18
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇敏感信息安全,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
作者:王蘭成 宋容 單位:南京政治學(xué)院上海分院信息管理系
有的檔案部門和人員甚至因?yàn)榕滦姑芏藶閿U(kuò)大保密范圍、不及時(shí)開展檔案降解密和檔案公布工作、忽視檔案信息利用服務(wù),這些情況導(dǎo)致了檔案信息封閉于檔案館庫高墻之內(nèi)的后果,進(jìn)而影響了檔案信息資源的社會(huì)共享。在公眾信息權(quán)益不斷覺醒、社會(huì)信息資源共享需求不斷增強(qiáng)、檔案機(jī)構(gòu)信息服務(wù)不斷改善的今天,檔案信息資源的共享利用已經(jīng)成為一種大趨勢(shì)。然而,值得一提的是,由于檔案信息資源的特殊性,尤其是軍事外交、國防科技、商業(yè)秘密、個(gè)人資料等檔案信息的極端重要性和高度敏感性,以及這些信息背后錯(cuò)綜復(fù)雜的聯(lián)系,使得檔案信息資源共享過程中隱藏著許多信息挖掘推理通道和泄密隱患,極容易被惡意攻擊者所利用。因此,在檔案信息資源共享利用的過程中,必須高度警惕和重視檔案敏感信息泄露的問題,在保證檔案敏感信息安全的前提下,盡可能多地實(shí)現(xiàn)檔案信息資源社會(huì)共享。檔案在信息共享方面的優(yōu)勢(shì)及敏感信息的安全問題以電子檔案為例,檔案信息資源共享與敏感信息保護(hù)的矛盾關(guān)系更為突出。在過去的十幾年間,信息技術(shù)的發(fā)展使社會(huì)的方方面面都發(fā)生了深刻的變革,在檔案領(lǐng)域的一個(gè)重要體現(xiàn)就是,由計(jì)算機(jī)產(chǎn)生和管理的電子檔案大量增加,隨著人類社會(huì)進(jìn)一步向數(shù)字社會(huì)和信息時(shí)代邁進(jìn),這種趨勢(shì)將越來越明顯,越來越多的信息將為電子檔案所承載,海量電子文件的歸檔管理與共享利用也就變得極其重要。而電子文件作為一種現(xiàn)代技術(shù)的伴生物,其真正的優(yōu)勢(shì)在于“傳遞—傳輸”[2]。換個(gè)角度,這也就是說,電子文件和電子檔案在信息傳輸、傳遞,進(jìn)而在知識(shí)傳播、促進(jìn)社會(huì)信息共享方面具有傳統(tǒng)載體檔案無可匹敵的優(yōu)越性。電子檔案不同于傳統(tǒng)紙質(zhì)文件的一些特性共同造就了其“傳遞—傳輸”效率優(yōu)勢(shì),如大存貯量、高密度、多種信息綜合集成、靈活的可操作性等,同時(shí),電子檔案與其載體介質(zhì)具有可分離性,電子檔案及其承載的信息可以在不同的計(jì)算機(jī)和載體之間方便地復(fù)制、傳遞,也可以在網(wǎng)絡(luò)上傳輸、傳播。人們發(fā)現(xiàn),網(wǎng)絡(luò)環(huán)境下電子檔案中蘊(yùn)含的大量信息和知識(shí)的充分共享利用,將對(duì)經(jīng)濟(jì)、社會(huì)、科技進(jìn)步和人類自身發(fā)展產(chǎn)生巨大的促進(jìn)作用,然而在便于高效快捷地處理的同時(shí),也使得檔案信息處于更大的危險(xiǎn)之中。例如,電子文件在處理過程中易于修改、拷貝、剪切、粘貼、查詢、下載、移動(dòng),且不留下痕跡,這直接影響和威脅了電子檔案信息的安全性;電子文件在輸入、存貯、傳輸和提供利用的過程中,都可能存在信息干擾、信息丟失、竊密攻擊、病毒侵犯、人為破壞等不安全現(xiàn)象。因此,電子檔案的特性決定了在其管理、利用過程中必須高度重視信息安全問題,尤其是一些電子檔案信息具有高敏感性、保密性,一旦泄密將造成無法挽回的損失。綜上所述,檔案信息資源共享這個(gè)目標(biāo)必須在安全的基礎(chǔ)上進(jìn)行,在檔案信息安全領(lǐng)域引入隱私保護(hù)技術(shù),探討檔案敏感信息保護(hù)問題,是協(xié)調(diào)和解決檔案信息資源共享與敏感信息保護(hù)兩者之間矛盾關(guān)系的一種探索和嘗試。
檔案敏感信息安全面臨的主要威脅及保護(hù)需求
檔案敏感信息面臨的主要威脅檔案信息內(nèi)容安全是檔案信息安全中的重點(diǎn)難點(diǎn)問題。鐘義信認(rèn)為,內(nèi)容安全直接發(fā)生在信息的內(nèi)核,這是它與基于密碼學(xué)的信息安全問題的最大區(qū)別,后者只對(duì)信號(hào)的形式進(jìn)行處理,不需要理解信息的內(nèi)容[3]。按照來源,威脅因素主要可以分為兩個(gè)方面:自然威脅和人為威脅。自然威脅是指不可抗力自然災(zāi)害、自然消耗損壞、環(huán)境干擾等自然因素構(gòu)成的威脅;人為威脅則是由于人為過失或破壞等人為因素造成的威脅,包括檔案信息資源管理者和利用者對(duì)檔案信息資源的無意攻擊或惡意攻擊等。在造福人類的同時(shí),信息技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)的公開性對(duì)檔案信息資源中敏感信息的安全構(gòu)成威脅。信息化、數(shù)字化、網(wǎng)絡(luò)化在檔案領(lǐng)域的廣泛應(yīng)用,使得檔案工作發(fā)生深刻變化,檔案信息的存儲(chǔ)介質(zhì)由主要是紙介質(zhì)發(fā)展到聲、光、電、磁等多種形式介質(zhì)并存,檔案信息的利用方式網(wǎng)絡(luò)化、便捷化等等,這些方面的變革,大大提升了檔案工作信息化水平,也給檔案工作帶來了許多新情況新問題。例如,檔案信息網(wǎng)絡(luò)化建設(shè)是近幾年來檔案領(lǐng)域重要的工作內(nèi)容之一,網(wǎng)絡(luò)環(huán)境下,檔案信息系統(tǒng)在存儲(chǔ)、傳輸檔案信息時(shí)極易遇到黑客攻擊、病毒感染等問題,檔案敏感信息有可能輕易被竊取、泄漏和篡改,這些都使得網(wǎng)絡(luò)環(huán)境下數(shù)字化檔案與傳統(tǒng)介質(zhì)檔案相比,更易發(fā)生泄密問題和隱私權(quán)侵犯問題。這也是檔案信息網(wǎng)絡(luò)化共享難以推進(jìn)的重要影響因素之一,因此,積極尋求解決之道,維護(hù)網(wǎng)絡(luò)環(huán)境下檔案信息安全,是檔案界和計(jì)算機(jī)界面臨的共同課題。檔案敏感信息安全保護(hù)需求根據(jù)《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》(BMB17-2007),檔案信息安全涉及到環(huán)境、設(shè)備、介質(zhì)安全,備份恢復(fù)、病毒防護(hù),身份認(rèn)證、訪問控制、密碼保護(hù)、電磁泄露、完整性校驗(yàn)、安全審計(jì)、操作系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全性能檢測、抗抵賴、邊界防護(hù)等多個(gè)方面。而就電子文件信息安全來說,主要是指對(duì)其信息內(nèi)容的保密性、完整性、可用性、可控性和不可否認(rèn)性進(jìn)行的安全保護(hù)[4]。本文關(guān)注檔案敏感信息安全問題的側(cè)重點(diǎn)在于如何應(yīng)用隱私保護(hù)技術(shù)和知識(shí)技術(shù)對(duì)檔案敏感信息內(nèi)容本身進(jìn)行保護(hù),實(shí)際上是屬于維護(hù)檔案信息內(nèi)容保密性的范疇,而對(duì)于完整性、可用性、可控性、不可否認(rèn)性,可在對(duì)檔案敏感信息資源進(jìn)行隱私保護(hù)處理以后,聯(lián)合運(yùn)用身份認(rèn)證、訪問控制、存儲(chǔ)加密、數(shù)字簽名、加密傳輸、入侵檢測、安全隔離等信息安全手段和技術(shù),對(duì)檔案敏感信息進(jìn)行一個(gè)全方位、多角度的保護(hù)。這樣,由于對(duì)檔案敏感信息本身進(jìn)行了隱私保護(hù)處理,那么即便是在突破各種防范手段非法獲取了檔案信息的情況下,惡意攻擊者也無法知曉檔案中的敏感信息。對(duì)檔案敏感信息進(jìn)行隱私保護(hù)處理并不影響檔案信息的真實(shí)性,因?yàn)閷?duì)檔案信息資源進(jìn)行隱私保護(hù)處理的主體是檔案館等檔案工作權(quán)威機(jī)構(gòu),檔案工作權(quán)威機(jī)構(gòu)在對(duì)其所有的檔案信息資料進(jìn)行隱私保護(hù)處理以后,再經(jīng)官方途徑統(tǒng)一,或按照檔案敏感信息訪問控制策略提供利用,這樣就能保證檔案信息及其來源的真實(shí)可信。值得一提的是,我們針對(duì)檔案數(shù)據(jù)庫中的敏感信息保護(hù)研究[5]中,為了保護(hù)敏感信息不被泄露,會(huì)涉及到對(duì)數(shù)據(jù)庫中的部分信息進(jìn)行泛化、隱匿處理,一定程度上會(huì)影響檔案信息的精確性和完整性,但相比較于限制、禁止開放利用所有包含敏感信息的檔案信息資源這種保密處理方式而言,利用隱私保護(hù)技術(shù)將敏感信息保護(hù)起來的方式能夠在保證安全的基礎(chǔ)上,擴(kuò)大和深化檔案信息資源的共享利用。還有一種情況就是,目前能夠或已經(jīng)開放共享的檔案信息資源中,可能存在一些敏感信息,惡意攻擊者通過鏈接攻擊和推理攻擊等方式,能夠?qū)⑵渫诰虺鰜恚斐擅舾行畔⑿孤逗蛡€(gè)人隱私侵犯。如果檔案館在這些檔案信息資源之前,能夠?qū)ζ溥M(jìn)行隱私保護(hù)處理,就可以避免這些問題。因此,本文認(rèn)為,引入隱私保護(hù)技術(shù)和知識(shí)技術(shù)對(duì)檔案敏感信息本身進(jìn)行處理,能夠保護(hù)檔案敏感信息安全,并在其基礎(chǔ)上推進(jìn)檔案信息資源共享的擴(kuò)展和深化。
檔案信息資源共享和敏感信息保護(hù)的現(xiàn)實(shí)障礙和基本策略
法規(guī)標(biāo)準(zhǔn)保護(hù)法規(guī)標(biāo)準(zhǔn)保護(hù)主要可以分為法規(guī)制度保護(hù)和標(biāo)準(zhǔn)規(guī)范制約,應(yīng)當(dāng)重在保護(hù)檔案敏感信息尤其是個(gè)人隱私信息,注重保持整個(gè)法規(guī)體系中關(guān)于個(gè)人隱私信息保護(hù)條款的統(tǒng)一協(xié)調(diào),逐步頒布專門的《個(gè)人信息保護(hù)法》,加強(qiáng)敏感信息保護(hù)法規(guī)制度的操作性,同時(shí),逐步完善加強(qiáng)檔案信息安全的管理制度、技術(shù)標(biāo)準(zhǔn)、操作規(guī)范,提高整個(gè)行業(yè)對(duì)敏感信息保護(hù)工作的標(biāo)準(zhǔn)化、規(guī)范化。組織管理在組織管理策略方面,面向信息資源共享的檔案敏感信息保護(hù)組織管理涉及到一個(gè)龐大的體系,包括組織重視程度,相關(guān)機(jī)構(gòu)、人員、崗位設(shè)置,規(guī)章制度和管理措施落實(shí),人員教育管理,設(shè)備設(shè)施管理,系統(tǒng)軟件平臺(tái)管理維護(hù),經(jīng)濟(jì)條件保障等方面。具體而言,首先,各級(jí)各類檔案人員尤其是各級(jí)領(lǐng)導(dǎo)要更新觀念,提高對(duì)檔案信息資源共享和敏感信息保護(hù)的重視程度,正確處理信息保密和開放利用的矛盾,加大人力、物力和財(cái)力的投入,在保護(hù)敏感信息安全的同時(shí)不斷擴(kuò)大檔案信息資源的開放利用。其二,根據(jù)實(shí)際需要,檔案館、機(jī)關(guān)檔案室可以與保密委員會(huì)或保密辦公室聯(lián)合設(shè)立檔案敏感信息保護(hù)的相關(guān)管理機(jī)構(gòu)和人員崗位,明確職責(zé)任務(wù),具體承擔(dān)檔案敏感信息保護(hù)和共享利用的相關(guān)事務(wù),對(duì)檔案安全設(shè)施設(shè)備進(jìn)行管理,對(duì)系統(tǒng)軟件平臺(tái)進(jìn)行維護(hù),同時(shí)抓好安全管理制度措施的制定和落實(shí)。其三,加強(qiáng)人員教育管理,一方面對(duì)相關(guān)領(lǐng)導(dǎo)、檔案管理人員、信息技術(shù)人員,以及檔案信息利用者等人員進(jìn)行保密教育,尤其是安全管理操作人員、直接責(zé)任者應(yīng)該具有信息安全方面的任職資格,同時(shí)堅(jiān)守職業(yè)道德素質(zhì),不隨意談?wù)摵托孤督M織秘密和個(gè)人隱私。另一方面,要加強(qiáng)前端控制,在文件形成階段就重視做好保密工作,對(duì)形成文件和利用文件系統(tǒng)的所有人員進(jìn)行保密教育培訓(xùn),并加以紀(jì)律約束。技術(shù)保護(hù)目前,檔案信息安全保護(hù)技術(shù)主要有防火墻技術(shù)、防病毒技術(shù)、加密技術(shù)、安全檢測技術(shù)、安全監(jiān)控技術(shù)、安全隔離技術(shù)、安全審計(jì)技術(shù)、備份恢復(fù)技術(shù)、數(shù)字簽名技術(shù)、身份驗(yàn)證技術(shù)、訪問控制技術(shù)等。我們正著重從技術(shù)保護(hù)策略的角度,對(duì)檔案信息資源共享和敏感信息保護(hù)進(jìn)行研究,引入隱私保護(hù)技術(shù)和本體技術(shù),針對(duì)檔案數(shù)據(jù)庫和電子文件、電子檔案敏感信息保護(hù)中的具體問題,分別提出面向信息資源共享的檔案敏感信息保護(hù)解決方案和策略框架。
《了解21世紀(jì)IT環(huán)境的安全復(fù)雜性》調(diào)研由波耐蒙研究所在2011年2月期間獨(dú)立進(jìn)行,該機(jī)構(gòu)對(duì)美國、英國、法國、德國以及日本的IT管理人員進(jìn)行了訪問。調(diào)查樣本涵蓋了14個(gè)行業(yè)的各種規(guī)模企業(yè)。
上述調(diào)研顯示,受訪者認(rèn)為最常丟失的信息類型包括客戶信息(52%)、知識(shí)產(chǎn)權(quán)(33%)、員工信息(31%)和公司計(jì)劃(16%)。隨著Web2.0應(yīng)用程序的廣泛應(yīng)用和更多種類的移動(dòng)設(shè)備連接到網(wǎng)絡(luò),企業(yè)需要執(zhí)行更佳數(shù)據(jù)安全保護(hù)及IT治理,以及符合更嚴(yán)格的風(fēng)險(xiǎn)及法規(guī)遵從(GRC)要求。
這項(xiàng)調(diào)研訪問了2,400多名IT安全管理人員,其結(jié)果表明數(shù)據(jù)泄密的主因是設(shè)備丟失或被盜,其次為網(wǎng)絡(luò)攻擊、不安全的移動(dòng)設(shè)備、Web2.0和文件共享應(yīng)用程序,以及無意地發(fā)送電子郵件給錯(cuò)誤的收件人。此外,大約49%的受訪者認(rèn)為他們公司的員工對(duì)數(shù)據(jù)安全、法規(guī)及政策的意識(shí)極低甚至沒有,這促使企業(yè)把提高用戶意識(shí)作為數(shù)據(jù)保護(hù)策略的一部分,因?yàn)橛脩敉菙?shù)據(jù)安全的第一道防線。
Check Point網(wǎng)絡(luò)安全副總裁Oded Gonda表示:“數(shù)據(jù)安全和法規(guī)遵從往往是首席信息安全官的首要工作。如果從數(shù)據(jù)泄密的成因分析,大多數(shù)事故是無心之失。為了將數(shù)據(jù)丟失防護(hù)的工作從檢測轉(zhuǎn)為預(yù)防,企業(yè)應(yīng)該考慮將提高用戶意識(shí),并建立相應(yīng)的程序,增強(qiáng)信息資產(chǎn)的可視性與控制。”
由于數(shù)據(jù)防泄密(DLP)是頭號(hào)的信息安全挑戰(zhàn),企業(yè)了解數(shù)據(jù)泄密的起因,并建立嚴(yán)密的數(shù)據(jù)保護(hù)機(jī)制至為重要:
* 了解機(jī)構(gòu)的數(shù)據(jù)安全需求 C 掌握并記錄現(xiàn)存于機(jī)構(gòu)內(nèi)的敏感數(shù)據(jù)類型,并明確定出哪類數(shù)據(jù)類是需要管理,或者需要符合行業(yè)法規(guī)標(biāo)準(zhǔn)。
* 敏感數(shù)據(jù)分類 - 首先,創(chuàng)建機(jī)構(gòu)敏感數(shù)據(jù)類型列表并注明敏感程度。考慮建立一個(gè)文檔模板,按照公開、限制或高度機(jī)密進(jìn)行歸類,并提高用戶對(duì)公司政策和敏感信息構(gòu)成的意識(shí)。
* 根據(jù)業(yè)務(wù)需要制定安全政策 - 機(jī)構(gòu)的安全策略應(yīng)該在不影響最終用戶的情況下保護(hù)公司的信息資產(chǎn)。首先,根據(jù)單個(gè)員工、組別或機(jī)構(gòu)的業(yè)務(wù)需求,用簡單的商業(yè)用語制定公司信息安全政策。為了更好地執(zhí)行企業(yè)的信息安全政策,應(yīng)該采用身份識(shí)別解決方案,以便為公司提供更多有關(guān)其用戶和IT環(huán)境的可視性。
* 確保數(shù)據(jù)整個(gè)生命周期的安全 - 企業(yè)應(yīng)該考慮部署數(shù)據(jù)安全解決方案,保護(hù)各種形式的敏感數(shù)據(jù),如關(guān)聯(lián)用戶、數(shù)據(jù)類型和流程等,并確保其整個(gè)生命周期的安全,包括數(shù)據(jù)的存儲(chǔ)、傳輸和使用。
* 消除合規(guī)負(fù)擔(dān) - 評(píng)估政府和行業(yè)的法規(guī)要求,以及它們?nèi)绾斡绊憴C(jī)構(gòu)的安全和業(yè)務(wù)流程。為了執(zhí)行工作能一步到位,機(jī)構(gòu)可考慮實(shí)施行業(yè)的最佳范例,以滿足特定法規(guī)要求,如HIPAA、PCI DSS和薩班斯法案。采用最佳范例政策也使IT團(tuán)隊(duì)能專注法規(guī)要求以外的數(shù)據(jù)保護(hù)工作。
* 強(qiáng)調(diào)用戶身份識(shí)別和參與 - 讓用戶參與到安全決策過程中。技術(shù)可以幫助教育用戶了解企業(yè)的信息安全政策,并使他們能夠?qū)崟r(shí)補(bǔ)救安全事件。結(jié)合技術(shù)和身份識(shí)別使員工通過自己實(shí)踐增強(qiáng)對(duì)風(fēng)險(xiǎn)行為的敏感度。
隨著網(wǎng)絡(luò)的建設(shè),信息安全的不穩(wěn)定因素主要體現(xiàn)在以下各方面:
1.客戶端數(shù)量不斷增多,意味著使用人員的增多。但實(shí)際情況中,許多人員并不重視自己所使用設(shè)備的安全性與可靠性,盲目的認(rèn)為只要客戶端可以使用,數(shù)據(jù)存在就可以,殊不知,由于不重視將造成了網(wǎng)絡(luò)信息的嚴(yán)重安全隱患。
2.信息安全制度的不規(guī)范或?qū)嵤┎涣Γ畔踩贫葘儆谛畔⒐芾碇贫龋壳爸饕尚畔⒉块T進(jìn)行制定同時(shí)推廣實(shí)施,但由于信息部門工作任務(wù)重,同時(shí)還要承擔(dān)信息技術(shù)研究、開發(fā)工作,無法兼顧實(shí)施,即使制度進(jìn)行了推廣,但由于部門的局限性也無法得到很好的響應(yīng),就造成了安全制度的執(zhí)行不力,也給網(wǎng)絡(luò)信息安全帶來嚴(yán)重的安全隱患。
3.客戶端操作系統(tǒng)漏洞升級(jí)不及時(shí)及安全應(yīng)用軟件安裝不到位,目前一般的客戶端使用的均為微軟的操作系統(tǒng),安全應(yīng)用軟件為國產(chǎn)軟件。由于軍工企業(yè)一般要求內(nèi)外網(wǎng)完全物理隔離,所以,當(dāng)微軟公司成批量推出操作系統(tǒng)漏洞補(bǔ)丁時(shí),如果信息部門不及時(shí)從互聯(lián)網(wǎng)上下載補(bǔ)丁同時(shí)下發(fā),將造成客戶端計(jì)算機(jī)的漏洞大量存在,形成極大的安全隱患,同時(shí),客戶端如果不按要求安裝安全應(yīng)用軟件,也會(huì)給網(wǎng)絡(luò)造成安全隱患。
4.企業(yè)中便攜式設(shè)備管理松散,一般的軍工企業(yè)中都存在一部分便攜式設(shè)備,包括便攜式計(jì)算機(jī)、存儲(chǔ)設(shè)備等,雖然針對(duì)這部分設(shè)備一般企業(yè)都會(huì)制定嚴(yán)格的管理制度,包括使用、歸還、數(shù)據(jù)拷貝等都有詳細(xì)的要求描述,但由于各方面的原因,往往存在不按制度辦理的情況,造成信息安全的人為隱患。
二、解決安全隱患的有效途徑
以上四個(gè)問題是軍工企業(yè)信息安全中常見的安全隱患問題,如何解決,將是以下討論的重點(diǎn):
1.做到制度從上到下一致執(zhí)行,同時(shí)制度發(fā)行要講究方式方法,如組織全員學(xué)習(xí)制度規(guī)范,同時(shí)真正發(fā)揮企業(yè)領(lǐng)導(dǎo)小組的職能作用;信息安全的學(xué)習(xí)與意識(shí)培養(yǎng),也是重要的組成部分,只有全員信息安全意識(shí)提升,才能時(shí)所有的信息安全制度深入到各方面的工作中,同時(shí)發(fā)揮信息中心的監(jiān)管作用,對(duì)網(wǎng)絡(luò)客戶端制定信息安全制度制定的定期檢查工作,只有定期或不定期的排查、宣灌,才能真正的將信息安全制度推行到企業(yè)的每一個(gè)使用者,得到真正的執(zhí)行。
2.由于軍工企業(yè)的特殊性,在企業(yè)的園區(qū)網(wǎng)絡(luò)中會(huì)存在大量的敏感信息,所以客戶端作為使用終端,是信息流通的一個(gè)重要環(huán)節(jié),控制敏感信息的流向與操作權(quán)限將是企業(yè)信息安全的重要組成部分。加強(qiáng)企業(yè)客戶端的管理,安裝對(duì)客戶端使用行為進(jìn)行管控的安全產(chǎn)品,制定不同客戶端的響應(yīng)管控安全策略,同時(shí)保證策略下發(fā)到位是企業(yè)保證信息安全的一個(gè)重要手段。安全管理人員也應(yīng)重視日常客戶端監(jiān)控監(jiān)控行為的日志分析工作,確保網(wǎng)絡(luò)客戶端的信息安全。
3.安裝漏洞掃描系統(tǒng),對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的漏洞掃描,并及時(shí)安裝補(bǔ)丁下發(fā)系統(tǒng)(wsus),確保網(wǎng)絡(luò)中所有設(shè)備操作系統(tǒng)安全性與可靠性,防止應(yīng)漏洞引起的安全問題。同時(shí),及時(shí)對(duì)網(wǎng)絡(luò)防病毒軟件的病毒庫更新升級(jí),網(wǎng)絡(luò)管理員在病毒庫更新后要下發(fā)到全網(wǎng)設(shè)備,對(duì)不及時(shí)升級(jí)的設(shè)備要執(zhí)行強(qiáng)制升級(jí),保證網(wǎng)絡(luò)的純凈,防止因后門或木馬病毒的擴(kuò)散造成的信息安全隱患。
4.加強(qiáng)企業(yè)中便攜式設(shè)備的管理,對(duì)可以安裝安全軟件的設(shè)備一定要安裝,同時(shí),要對(duì)所有便攜式設(shè)備統(tǒng)一管理,定期檢查。因在便攜式設(shè)備中安裝文檔加密軟件,防止設(shè)備中的敏感信息泄漏。
【關(guān)鍵詞】軍工企業(yè);信息安全;問題
軍工企業(yè)是國家國防科技工業(yè)的重要組成部分,也是國防綜合實(shí)力重要發(fā)展的企業(yè)。隨著信息技術(shù)的全面發(fā)展,信息化建設(shè)已成為軍工企業(yè)科研發(fā)展不可或缺的一部分,信息化的建設(shè)可以快速推進(jìn)軍工企業(yè)的科研、工藝等方面的技術(shù)發(fā)展,同時(shí)可提供企業(yè)決策的可靠數(shù)據(jù),所以,軍工企業(yè)的信息化可為企業(yè)提供強(qiáng)大的技術(shù)支撐與快捷的數(shù)據(jù)分析,提高了企業(yè)的整體競爭力。但是,由于軍工企業(yè)的特殊性與保密性,在軍工企業(yè)信息化建設(shè)方面,信息安全的問題尤為突出。特別是隨著信息化的快速發(fā)展,軍工企業(yè)一般都面臨網(wǎng)絡(luò)建設(shè)日益龐大,但信息安全的建設(shè)卻無法滿足網(wǎng)絡(luò)發(fā)展的問題,這就導(dǎo)致網(wǎng)絡(luò)安全日益嚴(yán)重的隱患,同時(shí)問題也在不斷增多。
一、信息安全的不穩(wěn)定因素
隨著網(wǎng)絡(luò)的建設(shè),信息安全的不穩(wěn)定因素主要體現(xiàn)在以下各方面:
1.客戶端數(shù)量不斷增多,意味著使用人員的增多。但實(shí)際情況中,許多人員并不重視自己所使用設(shè)備的安全性與可靠性,盲目的認(rèn)為只要客戶端可以使用,數(shù)據(jù)存在就可以,殊不知,由于不重視將造成了網(wǎng)絡(luò)信息的嚴(yán)重安全隱患。
2.信息安全制度的不規(guī)范或?qū)嵤┎涣Γ畔踩贫葘儆谛畔⒐芾碇贫龋壳爸饕尚畔⒉块T進(jìn)行制定同時(shí)推廣實(shí)施,但由于信息部門工作任務(wù)重,同時(shí)還要承擔(dān)信息技術(shù)研究、開發(fā)工作,無法兼顧實(shí)施,即使制度進(jìn)行了推廣,但由于部門的局限性也無法得到很好的響應(yīng),就造成了安全制度的執(zhí)行不力,也給網(wǎng)絡(luò)信息安全帶來嚴(yán)重的安全隱患。
3.客戶端操作系統(tǒng)漏洞升級(jí)不及時(shí)及安全應(yīng)用軟件安裝不到位,目前一般的客戶端使用的均為微軟的操作系統(tǒng),安全應(yīng)用軟件為國產(chǎn)軟件。由于軍工企業(yè)一般要求內(nèi)外網(wǎng)完全物理隔離,所以,當(dāng)微軟公司成批量推出操作系統(tǒng)漏洞補(bǔ)丁時(shí),如果信息部門不及時(shí)從互聯(lián)網(wǎng)上下載補(bǔ)丁同時(shí)下發(fā),將造成客戶端計(jì)算機(jī)的漏洞大量存在,形成極大的安全隱患,同時(shí),客戶端如果不按要求安裝安全應(yīng)用軟件,也會(huì)給網(wǎng)絡(luò)造成安全隱患。
4.企業(yè)中便攜式設(shè)備管理松散,一般的軍工企業(yè)中都存在一部分便攜式設(shè)備,包括便攜式計(jì)算機(jī)、存儲(chǔ)設(shè)備等,雖然針對(duì)這部分設(shè)備一般企業(yè)都會(huì)制定嚴(yán)格的管理制度,包括使用、歸還、數(shù)據(jù)拷貝等都有詳細(xì)的要求描述,但由于各方面的原因,往往存在不按制度辦理的情況,造成信息安全的人為隱患。
二、解決安全隱患的有效途徑
以上四個(gè)問題是軍工企業(yè)信息安全中常見的安全隱患問題,如何解決,將是以下討論的重點(diǎn):
1.做到制度從上到下一致執(zhí)行,同時(shí)制度發(fā)行要講究方式方法,如組織全員學(xué)習(xí)制度規(guī)范,同時(shí)真正發(fā)揮企業(yè)領(lǐng)導(dǎo)小組的職能作用;信息安全的學(xué)習(xí)與意識(shí)培養(yǎng),也是重要的組成部分,只有全員信息安全意識(shí)提升,才能時(shí)所有的信息安全制度深入到各方面的工作中,同時(shí)發(fā)揮信息中心的監(jiān)管作用,對(duì)網(wǎng)絡(luò)客戶端制定信息安全制度制定的定期檢查工作,只有定期或不定期的排查、宣灌,才能真正的將信息安全制度推行到企業(yè)的每一個(gè)使用者,得到真正的執(zhí)行。
2.由于軍工企業(yè)的特殊性,在企業(yè)的園區(qū)網(wǎng)絡(luò)中會(huì)存在大量的敏感信息,所以客戶端作為使用終端,是信息流通的一個(gè)重要環(huán)節(jié),控制敏感信息的流向與操作權(quán)限將是企業(yè)信息安全的重要組成部分。加強(qiáng)企業(yè)客戶端的管理,安裝對(duì)客戶端使用行為進(jìn)行管控的安全產(chǎn)品,制定不同客戶端的響應(yīng)管控安全策略,同時(shí)保證策略下發(fā)到位是企業(yè)保證信息安全的一個(gè)重要手段。安全管理人員也應(yīng)重視日常客戶端監(jiān)控監(jiān)控行為的日志分析工作,確保網(wǎng)絡(luò)客戶端的信息安全。
3.安裝漏洞掃描系統(tǒng),對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的漏洞掃描,并及時(shí)安裝補(bǔ)丁下發(fā)系統(tǒng)(wsus),確保網(wǎng)絡(luò)中所有設(shè)備操作系統(tǒng)安全性與可靠性,防止應(yīng)漏洞引起的安全問題。同時(shí),及時(shí)對(duì)網(wǎng)絡(luò)防病毒軟件的病毒庫更新升級(jí),網(wǎng)絡(luò)管理員在病毒庫更新后要下發(fā)到全網(wǎng)設(shè)備,對(duì)不及時(shí)升級(jí)的設(shè)備要執(zhí)行強(qiáng)制升級(jí),保證網(wǎng)絡(luò)的純凈,防止因后門或木馬病毒的擴(kuò)散造成的信息安全隱患。
4.加強(qiáng)企業(yè)中便攜式設(shè)備的管理,對(duì)可以安裝安全軟件的設(shè)備一定要安裝,同時(shí),要對(duì)所有便攜式設(shè)備統(tǒng)一管理,定期檢查。因在便攜式設(shè)備中安裝文檔加密軟件,防止設(shè)備中的敏感信息泄漏。
5.安裝必須的網(wǎng)絡(luò)安全設(shè)備,加強(qiáng)網(wǎng)絡(luò)信息安全的管理力度,同時(shí)安全管理人員應(yīng)及時(shí)收集各個(gè)設(shè)備的日志,并加以分析,通過日志分析,統(tǒng)一規(guī)劃網(wǎng)絡(luò)的安全策略,并針對(duì)常見的安全隱患制定響應(yīng)的安全策略,并對(duì)網(wǎng)絡(luò)中存在的薄弱環(huán)節(jié)進(jìn)行重點(diǎn)管理、重點(diǎn)監(jiān)控。
關(guān)鍵詞:信息安全;信息化建設(shè);校園網(wǎng)
近十年來,我國的高校信息化建設(shè)步入了飛速發(fā)展階段,各類學(xué)校官網(wǎng)建設(shè)、教學(xué)資源的共享、教務(wù)系統(tǒng)的應(yīng)用、校園一卡通等信息系統(tǒng)的建設(shè),成了高校信息化的展示平臺(tái)和重點(diǎn),信息系統(tǒng)在學(xué)校教務(wù)工作中占據(jù)了非常重要的地位.原本的大學(xué)信息化平臺(tái)只能提供普通的通知公告、學(xué)校形象展示等功能,隨著信息技術(shù)的發(fā)展,如今的大學(xué)信息化平臺(tái)發(fā)生了很大變化,匯集了學(xué)校網(wǎng)站宣傳、微信、微博賬號(hào)、師生互動(dòng)溝通、教學(xué)教務(wù)系統(tǒng)、選課評(píng)教系統(tǒng)、教學(xué)資源共享等功能.這些系統(tǒng)和信息已經(jīng)成為高校重要的業(yè)務(wù)展示和應(yīng)用平臺(tái).其中涉及的信息安全方面的問題日趨值得我們重視.
1高校信息安全現(xiàn)狀
一般的高校信息化建設(shè)主要經(jīng)過以下幾個(gè)階段:網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、舊應(yīng)用系統(tǒng)整合、新應(yīng)用系統(tǒng)開發(fā)等.[1]在高校信息化建設(shè)發(fā)展的同時(shí),整體安全狀況卻不容樂觀.高校網(wǎng)絡(luò)應(yīng)用日趨增加,網(wǎng)絡(luò)系統(tǒng)越來越龐大,對(duì)外要能夠抵御各種黑客攻擊,負(fù)載均衡等問題,對(duì)內(nèi)要解決規(guī)范網(wǎng)絡(luò)資源使用.信息化安全是當(dāng)前高校信息業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn),而高校信息安全需要解決以下安全內(nèi)容:1)操作系統(tǒng)安全.2)網(wǎng)絡(luò)信息通信安全.3)網(wǎng)絡(luò)系統(tǒng)信息內(nèi)容安全.中國高校網(wǎng)站安全情況極差,根據(jù)國內(nèi)信息安全公司的報(bào)告,在2012年5月,國內(nèi)截獲了61萬個(gè)遭黑客網(wǎng)頁掛馬的網(wǎng)址,其中教育教學(xué)類的網(wǎng)址就有18萬個(gè)以上.此外,根據(jù)《2013年中國高校網(wǎng)站安全檢測報(bào)告》,高校網(wǎng)站的安全性在全國各類網(wǎng)址中,體檢分?jǐn)?shù)排名僅僅比倒數(shù)第一名多2分(見圖1).值得注意的是,各大學(xué)校的科研、教務(wù)網(wǎng)站上保存有大量的敏感數(shù)據(jù)和學(xué)生信息,如不加以重視安全保護(hù),極易受到黑客的攻擊和竊取,由此引發(fā)的高校網(wǎng)站被篡改、被掛馬的安全事件頻繁出現(xiàn),最終給高校帶來嚴(yán)重的形象及經(jīng)濟(jì)損失.另外,高校網(wǎng)站在百度、搜狗等搜索引擎中是熱門關(guān)鍵詞,由于其安全性薄弱及多方面的利益驅(qū)使,是黑客攻擊并傳播病毒的優(yōu)先選擇目標(biāo).信息安全隱患已經(jīng)成為高校信息化建設(shè)過程中無法回避的問題,其嚴(yán)重威脅著高校信息化的推廣和使用,[2]威脅著公共安全的多個(gè)方面.
2高校信息安全面臨的挑戰(zhàn)
當(dāng)前,各大高校都在加大信息化平臺(tái)的投入,對(duì)官網(wǎng)、教務(wù)管理系統(tǒng)進(jìn)行建設(shè),讓各類教學(xué)資源聯(lián)網(wǎng)共享,優(yōu)化校內(nèi)網(wǎng)絡(luò)資源等,這些高校信息化的建設(shè)是各大高校適應(yīng)當(dāng)前形勢(shì)發(fā)展需求而開展的,每個(gè)學(xué)校都有自己的實(shí)際情況和需求,業(yè)務(wù)開展初期沒有一個(gè)宏觀的規(guī)劃架構(gòu),各個(gè)系統(tǒng)之間互不連通,數(shù)據(jù)不能同步共享、更新,這些系統(tǒng)的功能特性、安全需求和等級(jí)、服務(wù)的群體、所面臨的風(fēng)險(xiǎn)各不相同.高校信息安全面臨的挑戰(zhàn),主要有以下幾點(diǎn):1)高校官網(wǎng)易受到攻擊:高校官網(wǎng)是學(xué)校重要對(duì)外交流窗口,瀏覽訪問量巨大,又因?yàn)楦咝>W(wǎng)站多為各高校自主搭建,缺乏足夠的安全防范技術(shù)與措施,所以較容易引起網(wǎng)絡(luò)黑客的攻擊興趣,黑客利用網(wǎng)頁掛馬,分布式拒絕服務(wù)攻擊等方式對(duì)學(xué)校官網(wǎng)進(jìn)行攻擊,輕則造成網(wǎng)站響應(yīng)速度變慢,重則導(dǎo)致訪問者中毒,或者學(xué)校網(wǎng)站無法訪問等嚴(yán)重后果.圖2和圖3分別列出了中國高校網(wǎng)站安全漏洞分布情況和黑客攻擊高校網(wǎng)站技術(shù)手段分布情況.圖2中國高校網(wǎng)站安全漏洞分布情況Fig.2DistributionofsecurityvulnerabilitiesinChinesecolleges圖3黑客攻擊高校網(wǎng)站技術(shù)手段分布情況Fig.3Hackers'attackmethoddistribution2)高校敏感數(shù)據(jù)被入侵、篡改.高校信息中心的業(yè)務(wù)數(shù)據(jù),包括“校園一卡通”、教務(wù)管理系統(tǒng)、圖書館借閱系統(tǒng)、精品課程資源庫等,由于保存有大量學(xué)生身份證、聯(lián)系電話、成績、銀行卡號(hào)、住址、學(xué)生飯卡資金等敏感信息,也成為網(wǎng)絡(luò)黑手攻擊的對(duì)象,黑客入侵修改學(xué)生成績、學(xué)歷,甚至修改畢業(yè)證信息等信息安全事件屢見不鮮.3)校園網(wǎng)的內(nèi)部威脅.高校內(nèi)部用戶上網(wǎng)帶來的威脅,包括機(jī)房、宿舍、辦公樓用戶等.由于信息技術(shù)發(fā)展速度較快,高校在信息安全教育方面沒有跟上技術(shù)發(fā)展的步伐,導(dǎo)致校園上網(wǎng)用戶對(duì)信息安全重視程度不夠,缺乏信息安全保護(hù)能力和意識(shí),通過學(xué)校局域網(wǎng)或者機(jī)房感染計(jì)算機(jī)病毒的概率很高,使得各種計(jì)算機(jī)病毒在校園內(nèi)迅速傳播,給學(xué)校內(nèi)網(wǎng)帶來安全威脅.另外,有些學(xué)生對(duì)黑客盲目崇拜,在校內(nèi)嘗試黑客攻擊技術(shù),也造成了一些信息安全事故.4)技術(shù)人員方面的短缺.很多高校信息管理人員缺乏成熟的管理經(jīng)驗(yàn),整體素質(zhì)比較低,加上管理和制度上的欠缺,使得高校信息系統(tǒng)在運(yùn)行過程中遇到入侵的概率大大增加.5)需要加大資金投入.越來越多的高校已經(jīng)認(rèn)識(shí)到校園信息化建設(shè)的重要性.但是,由于信息化建設(shè)的硬件投入需要較大資金,而很多高校存在資金缺口,導(dǎo)致安全設(shè)備硬件的缺乏,進(jìn)而成為整個(gè)安全建設(shè)的短板.另外,信息化服務(wù)、信息化應(yīng)用、人員培訓(xùn)等方面也需要大量資金,這些問題不解決,將使得高校的信息化建設(shè)失去動(dòng)力支持.
3解決方案
對(duì)于高校校園網(wǎng)的安全建設(shè)而言,主要考慮以下幾個(gè)方面:1)對(duì)整個(gè)高校的信息安全進(jìn)行統(tǒng)一規(guī)劃,建立并實(shí)施體系化的信息保障標(biāo)準(zhǔn),實(shí)現(xiàn)學(xué)校門戶部門公共服務(wù)網(wǎng)站教學(xué)資源等各類型網(wǎng)站的整合,簡化技術(shù)維護(hù)難度,確保網(wǎng)站的建設(shè)質(zhì)量和安全防護(hù)能力.2)全方位的進(jìn)行建設(shè),在基礎(chǔ)層建設(shè)方面、網(wǎng)絡(luò)層建設(shè)方面、系統(tǒng)集成方面、管理應(yīng)用方面,多角度多層面的設(shè)計(jì)和建設(shè)安全需求.3)對(duì)涉及敏感數(shù)據(jù)的區(qū)域進(jìn)行重點(diǎn)保護(hù),劃分重點(diǎn)區(qū)域,有利于集中管理.4)針對(duì)學(xué)校的業(yè)務(wù)需求,引入先進(jìn)的安全硬件軟件等產(chǎn)品,緊跟安全領(lǐng)域的步伐.5)定期進(jìn)行校園網(wǎng)絡(luò)體系化建設(shè)咨詢,風(fēng)險(xiǎn)評(píng)估,攻擊測試等活動(dòng),不斷提高安全防護(hù)能力.6)信息安全建設(shè)過程中要嚴(yán)格遵守國家等級(jí)保護(hù)要求,結(jié)合等級(jí)化的方法來設(shè)計(jì).7)高校信息化建設(shè)與人員的素質(zhì)息息相關(guān),在加強(qiáng)信息化管理的過程中,需要對(duì)校園中使用網(wǎng)絡(luò)的人員進(jìn)行安全教育和培訓(xùn),提高人員的安全意識(shí),[3]形成人人關(guān)心信息安全工作,事事重視信息安全保護(hù)的工作氛圍.
4具體安全措施框架
根據(jù)高校自身系統(tǒng)的特點(diǎn),結(jié)合等級(jí)保護(hù)相關(guān)技術(shù)要求和標(biāo)準(zhǔn)規(guī)范,筆者提出了以下解決方案(見圖4).該方案的安全措施框架是依據(jù)“防范優(yōu)先,全面防御”的方針,以及“制度與技術(shù)結(jié)合”的原則,并結(jié)合等級(jí)保護(hù)基本要求進(jìn)行設(shè)計(jì),主要包括技術(shù)體系,管理體系以及安全監(jiān)控體系三大方面,在核心應(yīng)用系統(tǒng)方面使用入侵檢測系統(tǒng)、軟硬件防火墻、殺毒軟件定期查殺等常用信息防范措施,保障網(wǎng)絡(luò)業(yè)務(wù)在具有一定的安全防護(hù)能力下的正常開展.
4.1技術(shù)體系
4.1.1架構(gòu)規(guī)劃
劃分重點(diǎn)保護(hù)區(qū)域、訪問控制、防DDOS攻擊,針對(duì)重點(diǎn)保護(hù)區(qū)域使用防火墻進(jìn)行隔離,配置規(guī)范的訪問控制權(quán)限和策略,交叉使用多家安全廠商的產(chǎn)品,構(gòu)建嚴(yán)密、專業(yè)的網(wǎng)絡(luò)安全保障體系.
4.1.2應(yīng)用層面
對(duì)校內(nèi)各Web應(yīng)用進(jìn)行入侵檢測,及時(shí)修補(bǔ)漏洞,利用防火墻對(duì)SQL注入、跨站腳本等通過應(yīng)用層的入侵動(dòng)作實(shí)時(shí)阻斷,并結(jié)合網(wǎng)頁防篡改子系統(tǒng),真正達(dá)到“網(wǎng)頁防篡改”效果.
4.1.3數(shù)據(jù)層面
將校內(nèi)重要的數(shù)據(jù)放置在重點(diǎn)保護(hù)區(qū)域,提升數(shù)據(jù)庫自身的安全指數(shù)與配置,對(duì)數(shù)據(jù)庫的訪問權(quán)限進(jìn)行嚴(yán)格設(shè)定,最大限度地保證數(shù)據(jù)庫安全.同時(shí),利用SAN、異地?cái)?shù)據(jù)備份系統(tǒng)有效保護(hù)重要信息數(shù)據(jù)的健康度.
4.2管理體系
任何安全設(shè)施和安全產(chǎn)品都需要專業(yè)管理人員的審核、跟蹤和維護(hù),在安全管理體系的設(shè)計(jì)中,引入安全經(jīng)驗(yàn)豐富和對(duì)等級(jí)保護(hù)管理要求理解清晰的專業(yè)公司,為高校量身定做符合實(shí)際的、可操作的安全管理體系.
4.3安全監(jiān)控體系
4.3.1風(fēng)險(xiǎn)評(píng)估
評(píng)估和分析在網(wǎng)絡(luò)上存在的安全技術(shù),分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷,調(diào)查系統(tǒng)現(xiàn)有的安全控制措施,評(píng)價(jià)當(dāng)前高校的業(yè)務(wù)安全風(fēng)險(xiǎn)承擔(dān)能力;聘請(qǐng)資深的安全專家對(duì)各種安全事件的日志、記錄實(shí)時(shí)監(jiān)控與分析,發(fā)現(xiàn)各種潛在的危險(xiǎn),并提供及時(shí)的修補(bǔ)和防御措施建議.
4.3.2滲透測試
利用網(wǎng)絡(luò)安全掃描器、專用安全測試工具和專業(yè)的安全工程師的人工經(jīng)驗(yàn)對(duì)網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的模擬黑客攻擊,提高防范意識(shí)與技術(shù).
4.3.3應(yīng)急響應(yīng)
針對(duì)信息系統(tǒng)危機(jī)狀況的緊急響應(yīng)設(shè)有預(yù)案,當(dāng)信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時(shí),可以提供緊急的救援措施.通過以上方案的實(shí)施,學(xué)校業(yè)務(wù)系統(tǒng)得到安全保障,高校科研、教務(wù)、學(xué)籍等重要數(shù)據(jù)免受黑客入侵威脅.高校官網(wǎng)抗攻擊性得到加強(qiáng),在遭受一般的網(wǎng)絡(luò)攻擊下能持續(xù)提供網(wǎng)絡(luò)服務(wù),并檢測攻擊出處.規(guī)范校內(nèi)用戶的上網(wǎng)行為,提高校內(nèi)用戶的整體信息安全意識(shí),提高了網(wǎng)絡(luò)利用率,減少了內(nèi)部的網(wǎng)絡(luò)攻擊.另外能逐步完善安全制度并提升管理人員素質(zhì).因此該系統(tǒng)的建設(shè)能夠滿足當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)的要求.
5結(jié)語
當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個(gè)不斷發(fā)展壯大的多功能復(fù)雜系統(tǒng),在提供日常的教務(wù)管理、學(xué)校宣傳的同時(shí),也面臨著越來越復(fù)雜的信息安全威脅,網(wǎng)絡(luò)技術(shù)不斷發(fā)展的同時(shí),現(xiàn)有的系統(tǒng)自身的漏洞與弱點(diǎn)也會(huì)不斷被發(fā)現(xiàn),信息安全風(fēng)險(xiǎn)日益突出,成為當(dāng)前高職院校中信息化建設(shè)過程中必須面對(duì)與亟待解決的問題.信息化建設(shè)和發(fā)展對(duì)于高校未來的教育工作有著非常重要的現(xiàn)實(shí)意義,因此,需要加大資金投入,保證校園向著信息化方向發(fā)展,[4]以信息安全為出發(fā)點(diǎn),將系統(tǒng)從項(xiàng)目立項(xiàng)開始就納入管理范疇,從而實(shí)現(xiàn)對(duì)高校信息系統(tǒng)的有效管理.[5]在高校信息化建設(shè)中實(shí)施信息安全保護(hù)建設(shè)工作有利于提高全校的信息系統(tǒng)安全建設(shè)水平,能不斷的同步建設(shè)各種信息安全設(shè)施,讓信息化建設(shè)與信息安全同步發(fā)展,能提供全面的并有針對(duì)性的信息系統(tǒng)安全建設(shè),降低網(wǎng)絡(luò)系統(tǒng)建設(shè)成本,有利于優(yōu)化信息安全資源配置,保護(hù)信息系統(tǒng)分類,確保高校信息平臺(tái)的安全運(yùn)行.
作者:聶晶 單位:南寧職業(yè)技術(shù)學(xué)院
[參考文獻(xiàn)]
[1]于莉潔,王松盛,唐麗華,等.高校信息化建設(shè)中的信息安全問題研究[J].信息安全與技術(shù),2016(3).
[2]趙歡,陳熙.高校信息安全體系的研究與實(shí)現(xiàn)[J].中國教育信息化,2013(13).
[3]譚博.高校信息化建設(shè)進(jìn)程中信息安全問題成因及對(duì)策探析[J].信息與電腦:理論版,2016(11).
[關(guān)鍵詞]ZigBee POS 信息安全
中圖分類號(hào):X913.2 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2016)03-0080-02
ZigBee技術(shù)在WSN(無線傳感器網(wǎng)絡(luò))和物聯(lián)網(wǎng)應(yīng)用的提出已經(jīng)有很多年了,并且ZigBee在智能化信息管理、電子收費(fèi)系統(tǒng)、自動(dòng)化控制監(jiān)測和軍用智能無人機(jī)器方面有廣闊的市場前景。WSN網(wǎng)絡(luò)和物聯(lián)網(wǎng)通信技術(shù)的不成熟、軟硬件標(biāo)準(zhǔn)的不統(tǒng)一,信息安全方面特別是信息安全技術(shù)的敏感性和各個(gè)研發(fā)單位的安全技術(shù)保密的不成熟,而ZigBee網(wǎng)具有很強(qiáng)的安全、穩(wěn)定性能,可以有效的解決這一難題。由于ZigBee無線網(wǎng)應(yīng)用極其廣泛,選取POS收費(fèi)系統(tǒng)應(yīng)用作為具體研究對(duì)象,而且將ZigBee技術(shù)應(yīng)用在POS收費(fèi)系統(tǒng)上本身也是個(gè)研究前沿。所以,對(duì)確立在STM32單片機(jī)基礎(chǔ)上,基于ZigBee無線網(wǎng)絡(luò)的POS機(jī)信息安全問題進(jìn)行整體的初步探討,以期起到拋磚引玉的作用。
1 基于ZigBee無線網(wǎng)的POS系統(tǒng)信息安全環(huán)境
1.1 ZigBee網(wǎng)POS系統(tǒng)環(huán)境配置
具有安全特性的高性能、低功耗、自組網(wǎng)的ZigBee組網(wǎng)是當(dāng)今WSN和物聯(lián)網(wǎng)RFID技術(shù)組合的主流高新技術(shù)之一,相比藍(lán)牙、Wi-Fi和GPRS,ZigBee組網(wǎng)更具有特別的安全性;而STM32單片機(jī)高效能、高可靠、低成本和技術(shù)成熟,還可以實(shí)現(xiàn)51單片機(jī)不能完成的復(fù)雜功能用途,是很有發(fā)展前途的一款單片機(jī)。因此,STM32單片機(jī)是安全、穩(wěn)定的ZigBee組網(wǎng)節(jié)點(diǎn)的恰當(dāng)選擇。μC/OSⅡ操作系統(tǒng)具有執(zhí)行效率高、空間占用小、多任務(wù)、可擴(kuò)展能力強(qiáng)和穩(wěn)定可靠的特點(diǎn),符合WSN的信息安全穩(wěn)定工作要求。建立在STM32單片機(jī)、ZigBee組網(wǎng)和μC/OSⅡ操作系統(tǒng)基礎(chǔ)上的軟硬件系統(tǒng)是建立低成本、高可靠、高安全的無線網(wǎng)的必要條件。將無線網(wǎng)絡(luò)信息安全建立在使用STM32單片機(jī)、基于ZigBee組網(wǎng)和μC/OSⅡ等實(shí)時(shí)操作系統(tǒng)上的POS系統(tǒng)環(huán)境,相比建立在基于51單片機(jī)裸機(jī)上的ZigBee組網(wǎng)的POS系統(tǒng)環(huán)境,安全度更高更可靠。
1.2 ZigBee無線網(wǎng)的安全特性
ZigBee無線網(wǎng)是一種短距離、低功耗、自組網(wǎng)和高安全性的高新無線通信網(wǎng)絡(luò),由一個(gè)高性能的FFD(全功能節(jié)點(diǎn))和多個(gè)的RFD(精簡功能節(jié)點(diǎn))組成PAN(私人用局域網(wǎng))。只能有FFD建立PAN網(wǎng),由多個(gè)PAN網(wǎng)建立整個(gè)ZigBee組網(wǎng)。萬一有FFD被擊毀,可以由臨近有效范圍的FFD自動(dòng)重新組網(wǎng);當(dāng)孤立的RFD不在FFD范圍內(nèi),可以通過其他附近的FFD加入PAN網(wǎng),靈活性和穩(wěn)定性很高。由于ZigBee無線網(wǎng)的有群集性多跳性,定位節(jié)點(diǎn)位置是技術(shù)難題,就需要再組合GPS應(yīng)用模塊進(jìn)行補(bǔ)充,
1.3 ZigBee無線網(wǎng)安全的關(guān)鍵技術(shù)
ZigBee的無線通信安全的關(guān)鍵是通信協(xié)議,ZigBee協(xié)議規(guī)范提供了信任中心、網(wǎng)絡(luò)層安全和APS層安全,不提供鏈路層安全。ZigBee遵守IEEE802.15.4協(xié)議,并可以在簡單的IEEE802.15.4協(xié)議基礎(chǔ)上開發(fā)簡單的WSN應(yīng)用協(xié)議,用于建立小規(guī)模簡易局域網(wǎng)如星型網(wǎng)。甚至在此基礎(chǔ)上自行開發(fā)大規(guī)模復(fù)雜的協(xié)議棧,比如用于智能家居自動(dòng)監(jiān)控系統(tǒng)的Mesh網(wǎng)。還可以創(chuàng)新多種功能的應(yīng)用程序和系統(tǒng)軟件。我們甚至可以把開發(fā)出來的有安全保護(hù)的協(xié)議棧固化到芯片中去,使用AES協(xié)處理器實(shí)現(xiàn)信息的硬件加密加速的功能,而我們的軟件只需要設(shè)計(jì)一個(gè)自己的API接口就行。
1.4 ZigBee無線網(wǎng)的POS系統(tǒng)信息安全架構(gòu)
針對(duì)ZigBee組網(wǎng)的POS系統(tǒng)信息安全問題,從上層到底層可分為:操作安全、網(wǎng)絡(luò)安全、軟件算法安全、底層硬件安全。操作安全要求有一套嚴(yán)格的操作規(guī)章制度,禁止未授權(quán)人非法使用、越權(quán)使用。網(wǎng)絡(luò)安全要求網(wǎng)路的安全,包括接入點(diǎn)安全和網(wǎng)絡(luò)協(xié)議族安全。軟件算法安全最重要也很復(fù)雜,包括各種加解密算法安全、電子簽名和身份認(rèn)證。底層硬件安全包括、POS機(jī)安全和意外安全。
2 基于ZigBee無線網(wǎng)的POS系統(tǒng)軟件算法安全及算法比較
身份認(rèn)證可以使用不對(duì)稱加密算法和對(duì)稱加密算法,一般應(yīng)使用不對(duì)稱加密的RAS算法。使用預(yù)定好的密鑰進(jìn)行身份認(rèn)證,身份認(rèn)證成功后,對(duì)存儲(chǔ)器的任何操作都是加密的。身份認(rèn)證共有三輪,如圖,流程為: 第一輪:a) 讀寫器指定要訪問的存儲(chǔ)區(qū),并選擇預(yù)定密鑰A 或B。b) 射頻卡從位塊讀取密鑰和訪問條件。然后,射頻卡向讀寫器發(fā)送隨機(jī)數(shù)。第二輪:c) 讀寫器利用密鑰和隨機(jī)數(shù)計(jì)算回應(yīng)值。回應(yīng)值連同讀寫器的隨機(jī)數(shù),發(fā)送給射頻卡。d) 射頻卡通過與自己的隨機(jī)數(shù)比較,驗(yàn)證讀寫器的回應(yīng)值,再計(jì)算回應(yīng)值并發(fā)送。第三輪:讀寫器通過比較,驗(yàn)證射頻卡的回應(yīng)值,正確后才能對(duì)卡進(jìn)行讀寫操作。這樣認(rèn)證加密后,就有效的保護(hù)了個(gè)人隱私。身份認(rèn)證成功后,讀寫器/芯片指定后續(xù)讀取的存儲(chǔ)器位置,數(shù)據(jù)加密采用TEA、DES、AES等。為保證終端設(shè)備的安全,必須一卡一碼,并且每次只能對(duì)一張卡操作。認(rèn)證完成后才能進(jìn)行卡的讀寫操作,每次只能有一張卡選中,獲得認(rèn)證后進(jìn)行讀寫操作,其他的卡則進(jìn)入休眠態(tài),以保證不會(huì)出現(xiàn)由串卡現(xiàn)象引起的誤操作。射頻卡讀寫器的安全軟件由生產(chǎn)商配備,并且通常要固化到硬件。
RSA算法的難度在于如何產(chǎn)生密鑰對(duì),RSA生成公鑰的方法:任意選兩個(gè)大素?cái)?shù)M、N,選擇一個(gè)加密密鑰E,使E不是(M-1)和(N-1)的因子;
生成私鑰D的公式:(D*E)MOD(P-1)*(Q-1)=1;
用公鑰E加密公式:CT=PTEMOD(M*N);
用私鑰D解密公式:PT=CTDMOD(M*N)。
在ZigBee網(wǎng)中,對(duì)于敏感性信息的安全保護(hù)沒有太高要求的應(yīng)用領(lǐng)域,在32位CPU或MPU處理器主頻80Mhz情況下,使用對(duì)稱加密方法的DES,加解密的速度為26.75Mbyte/s, 加解密的速度水平較高。如強(qiáng)化安全性能可以升級(jí)為更先進(jìn)對(duì)稱加密方法的AES,如使用AES加解密,加解密的速度11.69Mbyte/s, 加解密的速度水平中等,比前者慢。
在ZigBee網(wǎng)中,對(duì)于敏感性信息的安全保護(hù)有很高要求的領(lǐng)域,特別是在財(cái)務(wù)、金融和軍用領(lǐng)域,必須要保證身份認(rèn)證和數(shù)據(jù)信息的絕對(duì)安全。所以,算法必須使用復(fù)雜加密方法RSA,并配合數(shù)字簽名。在32位CPU或MPU處理器主頻80MHz情況下,1M的 RSA 簽名次數(shù) 32 次/秒,認(rèn)證次數(shù) 32 次/秒,正所謂慢工出細(xì)活。RSA使用公鑰密鑰對(duì)機(jī)制,再配合數(shù)字認(rèn)證可避免中間人攻擊,這對(duì)于開放性更強(qiáng)的無線網(wǎng)絡(luò)尤為重要。如果采用對(duì)稱密鑰算法,密鑰容易被入侵者截獲,對(duì)收發(fā)雙方進(jìn)行欺騙并非法獲利。并且RSA伸縮性更好,所需密鑰數(shù)與消息交換參與者個(gè)數(shù)相等。而對(duì)稱加密算法容易受到中間人攻擊,密碼會(huì)被盜用;并且一旦網(wǎng)絡(luò)規(guī)模加大,密鑰對(duì)的數(shù)目的需求成指數(shù)級(jí)別增長,是消息交換參與者個(gè)數(shù)的平方,在密鑰發(fā)放過程中很容易泄密。因此,身份認(rèn)證應(yīng)采用安全度更高但速度慢的RSA;經(jīng)常大量的數(shù)據(jù)包加密采用速度快的DES或AES,并可用ZigBee節(jié)點(diǎn)自帶的AES協(xié)處理器進(jìn)行硬件加速。若要進(jìn)一步加速數(shù)據(jù)包加解密速度,可以將主節(jié)點(diǎn)與上位機(jī)的串行數(shù)據(jù)接口改為高速的USB接口,就可加快加解密速度。以下簡述AES的應(yīng)用程序設(shè)計(jì)。
3 POS系統(tǒng)的ZigBee網(wǎng)絡(luò)安全
在TCP/IP各層數(shù)據(jù)安全中,ZigBee的網(wǎng)絡(luò)數(shù)據(jù)信息安全的數(shù)據(jù)安全主要特點(diǎn)有:非法網(wǎng)絡(luò)節(jié)點(diǎn)的過濾和無線網(wǎng)信息加密,可有效避免網(wǎng)絡(luò)的非法入侵。通過IEEE802.15.4協(xié)議棧的應(yīng)用庫,例如如在基于MAC協(xié)議棧的MAC庫API上,通過建立PAN網(wǎng),每個(gè)PAN都有獨(dú)有的PAN地址ID,這樣就可通過PAN網(wǎng)ID和節(jié)點(diǎn)ID過濾來區(qū)分ZigBee網(wǎng)節(jié)點(diǎn)的合法性。在發(fā)送和接收數(shù)據(jù)包過程中,通過AES算法來加密來實(shí)現(xiàn)數(shù)據(jù)的信息安全。
據(jù)最新報(bào)道,AES加密算法已被國外頂尖專家破解,但是也不必驚慌,對(duì)于絕大多數(shù)情況下,附加其他綜合安全措施,它目前還是很安全。AES高級(jí)加密標(biāo)準(zhǔn)(Rijndael算法)明文分塊和密鑰為可變長,加密的輪數(shù)為可變次,每一輪4步:第一步:使用S盒技術(shù)進(jìn)行字節(jié)替換。第二步移行,第一行不變,其他的行移動(dòng)可變次數(shù)。第三步混合列。第四步,輪密鑰加法,將密鑰與輸入的字符進(jìn)行字節(jié)異或操作。其中的可變部分由用戶自行確定后,生成的密文更難破譯。
此外,網(wǎng)絡(luò)接入點(diǎn)的防火墻也很重要,防火墻保護(hù)可信任內(nèi)部網(wǎng)絡(luò)免受不可信網(wǎng)絡(luò)的入侵威脅,能極大地提高政府部門、企業(yè)內(nèi)部網(wǎng)絡(luò)的信息安全,同時(shí)允許信任的雙方通信,并通過過濾不安全的網(wǎng)絡(luò)服務(wù)而降低風(fēng)險(xiǎn)。ZigBee無線網(wǎng)的接入點(diǎn)也必須要有完備的防火墻設(shè)置,采用路由器相互認(rèn)證、地址翻譯等方法,方可有效防止假冒的路由器接入內(nèi)網(wǎng)和非法截取私有敏感數(shù)據(jù),以確保無線網(wǎng)的信息安全。
在以STM32單片機(jī)為節(jié)點(diǎn)的ZigBee無線網(wǎng),可加載GPS衛(wèi)星定位模塊,將關(guān)鍵的可讀寫的FFD節(jié)點(diǎn)中嵌入GPS模塊并且全部定好位,并將地址上傳到主控機(jī)節(jié)點(diǎn),而執(zhí)行多跳的RFD節(jié)點(diǎn)不加載GPS模塊,以減少信息安全成本。這樣,凡是不在正確的GPS位置的非法入侵FFD節(jié)點(diǎn)一律無法加入ZigBee網(wǎng)并且會(huì)導(dǎo)致啟動(dòng)入侵報(bào)警程序。
4 POS系統(tǒng)硬件安全
由于是無線網(wǎng),ZigBee網(wǎng)的安裝和POS機(jī)入網(wǎng)離網(wǎng)非常方便,易于隨身攜帶,比固定POS機(jī)好保管、防盜。在POS機(jī)內(nèi)置高容量緩存,可暫時(shí)保存網(wǎng)絡(luò)通信延遲信息。內(nèi)置后備供電池,防止突發(fā)停電。配置后備存儲(chǔ)器,暫時(shí)斷網(wǎng)后可脫機(jī)保存消費(fèi)信息。
5 結(jié)束語
基于ZigBee無線網(wǎng)的POS系統(tǒng)信息安全不僅要有嚴(yán)密的安全算法,健全的軟、硬件和網(wǎng)絡(luò)安全環(huán)境也起了不可替代的作用。此外,無線網(wǎng)信息安全應(yīng)當(dāng)考慮到加解密算法的安全性能、成本和時(shí)間的平衡點(diǎn),尋求安全、低價(jià)和快速的實(shí)施方案。有有效的方法就是:首先,身份認(rèn)證采用安全度更高但速度慢的RSA算法,極度敏感數(shù)據(jù)采用加載GPS模塊的STM32單片機(jī)來定位入侵;其次,經(jīng)常大量的數(shù)據(jù)包加密采用安全度較低但速度快的AES算法,并采用低價(jià)、高效和低功耗的STM32單片機(jī)為節(jié)點(diǎn)的ZigBee無線網(wǎng),使用AES協(xié)處理器加速加解密處理;第三,ZigBee無線網(wǎng)組網(wǎng)的FFD節(jié)點(diǎn)加載GPS定位模塊,并登記GPS地址到主控機(jī),解決ZigBee節(jié)點(diǎn)的準(zhǔn)確定位問題,防止非法節(jié)點(diǎn)冒名頂替和準(zhǔn)確定位入侵者。 最后,ZigBee無線網(wǎng)的接入點(diǎn)必須采用防火墻。只有軟硬件互相配合和嚴(yán)格的安全管理,才能保證基于ZigBee無線網(wǎng)的POS系統(tǒng)信息安全萬無一失。
參考文獻(xiàn)
[1] 楊宗德,張兵 μC/OS-Ⅱ標(biāo)準(zhǔn)教程 人民郵電出版社2009.5: 5-6.
[2] Klaus Finkenzeller RFID-Handbuch 電子工業(yè)出版社2006.10:218-228.
一、統(tǒng)籌規(guī)劃,突出重點(diǎn),全面夯實(shí)信息系統(tǒng)安全運(yùn)行基礎(chǔ)
1、不斷推進(jìn)關(guān)區(qū)網(wǎng)絡(luò)準(zhǔn)入管理工作。網(wǎng)絡(luò)準(zhǔn)入是2011年我關(guān)重點(diǎn)科技項(xiàng)目之一,我科對(duì)現(xiàn)有的客戶端安全監(jiān)控系統(tǒng)(eCop)進(jìn)行功能升級(jí),以最小的資金投入和管理成本實(shí)現(xiàn)關(guān)區(qū)網(wǎng)絡(luò)準(zhǔn)入功能,確保只有經(jīng)過總關(guān)技術(shù)處審批、并且符合各項(xiàng)安全要求的信息化設(shè)備才能正常使用青島海關(guān)網(wǎng)絡(luò),補(bǔ)全關(guān)區(qū)信息安全管理工作的一塊短板,為我關(guān)網(wǎng)絡(luò)提供強(qiáng)有力的安全保障。目前關(guān)區(qū)業(yè)務(wù)管理網(wǎng)已經(jīng)全部實(shí)施了網(wǎng)絡(luò)準(zhǔn)入,業(yè)務(wù)運(yùn)行網(wǎng)正在逐步部署,預(yù)計(jì)明年初完成。
2、徹底完成業(yè)務(wù)管理網(wǎng)安全域劃分工作。按照國家關(guān)于等級(jí)保護(hù)的安全要求和海關(guān)總署的統(tǒng)一部署,在袁進(jìn)軍副處長的指揮下,我科牽頭網(wǎng)絡(luò)科、系統(tǒng)科、開發(fā)科組建工作組,花大力氣,用半年多時(shí)間,將重要應(yīng)用系統(tǒng)的服務(wù)器移入保護(hù)區(qū),只對(duì)微機(jī)開放HTTP端口,極大降低關(guān)鍵服務(wù)器受病毒影響、越權(quán)訪問、數(shù)據(jù)外泄等方面的風(fēng)險(xiǎn),徹底完成了管理網(wǎng)安全域的劃分工作。工作組按照總署的統(tǒng)一要求、結(jié)合關(guān)區(qū)網(wǎng)絡(luò)現(xiàn)狀,充分論證、細(xì)化實(shí)施方案,將整個(gè)工作分成4個(gè)步驟,一是部署防火墻劃分安全域,二是將服務(wù)器全部移至過渡區(qū),三是對(duì)服務(wù)器訪問策略進(jìn)行徹底梳理,四是調(diào)整網(wǎng)絡(luò)參數(shù)將服務(wù)器逐臺(tái)移入保護(hù)區(qū);制定了周密的應(yīng)急預(yù)案,將大部分網(wǎng)絡(luò)調(diào)整的操作安排在工余時(shí)間。同時(shí),將新增的防火墻加入我關(guān)防火墻集中日志系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)日志記錄功能,并同步制定《管理網(wǎng)服務(wù)器保護(hù)區(qū)網(wǎng)絡(luò)訪問策略變更工作規(guī)范》、《管理網(wǎng)服務(wù)器安全域劃分后運(yùn)維管理工作規(guī)范》等日常工作制度。在實(shí)施過程中,工作組攻克多個(gè)技術(shù)難點(diǎn):對(duì)47臺(tái)服務(wù)器逐臺(tái)梳理網(wǎng)絡(luò)關(guān)聯(lián)、分析網(wǎng)絡(luò)訪問記錄達(dá)百萬條;鉆研虛擬化技術(shù),解決部分應(yīng)用系統(tǒng)使用高危端口提供服務(wù)的問題;重新規(guī)范技術(shù)人員運(yùn)維模式和業(yè)務(wù)人員對(duì)敏感數(shù)據(jù)庫的訪問方式。管理網(wǎng)安全域的劃分,提高了青島關(guān)區(qū)信息系統(tǒng)的可用性,今后將在關(guān)區(qū)信息系統(tǒng)安全運(yùn)行工作中發(fā)揮至關(guān)重要的作用。
3、對(duì)敏感崗位計(jì)算機(jī)實(shí)施重點(diǎn)保護(hù)。為加強(qiáng)敏感崗位計(jì)算機(jī)在越權(quán)訪問、數(shù)據(jù)泄露、病毒入侵等方面的自我防護(hù)能力,我科經(jīng)充分測試評(píng)估,啟用瑞星防病毒軟件的個(gè)人防火墻功能,提升關(guān)區(qū)業(yè)務(wù)管理網(wǎng)內(nèi)敏感崗位計(jì)算機(jī)的安全保護(hù)級(jí)別。目前已對(duì)關(guān)領(lǐng)導(dǎo)、辦公室、人事處、財(cái)務(wù)處55臺(tái)敏感崗位微機(jī)實(shí)施了保護(hù),受到了預(yù)期的效果。
4、完成防病毒產(chǎn)品的換型和升級(jí)工作。在管理網(wǎng)、互聯(lián)網(wǎng)部署了瑞星防病毒軟件,運(yùn)行網(wǎng)服務(wù)器也完成了KILL軟件升級(jí)。升級(jí)入侵檢測系統(tǒng),在運(yùn)行網(wǎng)及管理網(wǎng)的核心交換機(jī)部署了兩臺(tái)千兆入侵檢測引擎,用于監(jiān)控關(guān)鍵服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)包;調(diào)整我關(guān)入侵檢測系統(tǒng)策略,將管理網(wǎng)和運(yùn)行網(wǎng)的DNS服務(wù)器納入監(jiān)控范圍;開展專項(xiàng)木馬查殺工作,在2臺(tái)服務(wù)器、3臺(tái)微機(jī)查殺了木馬病毒。加強(qiáng)日常監(jiān)控,提升關(guān)區(qū)網(wǎng)絡(luò)內(nèi)病毒、木馬等惡意軟件的防范能力。
5、充分發(fā)揮在線應(yīng)用監(jiān)控系統(tǒng)的功效,提高安全運(yùn)行保障能力。不斷利用在線應(yīng)用監(jiān)控系統(tǒng)對(duì)新增項(xiàng)目進(jìn)行運(yùn)行監(jiān)控,持續(xù)優(yōu)化監(jiān)控參數(shù)。截至目前共對(duì)43個(gè)在線應(yīng)用項(xiàng)目的614個(gè)故障點(diǎn)進(jìn)行了監(jiān)控,平均每分鐘發(fā)出63.4次監(jiān)控請(qǐng)求,日均報(bào)警2.9次。保障第一時(shí)間發(fā)現(xiàn)運(yùn)行異常、準(zhǔn)確定位故障點(diǎn)并及時(shí)處理。
二、充分發(fā)揮管理職能,保障關(guān)區(qū)信息系統(tǒng)安全運(yùn)行
1、進(jìn)行關(guān)區(qū)安全掃描評(píng)估工作。我科不斷完善安全掃描評(píng)估機(jī)制,每半年進(jìn)行一次安全掃描。微機(jī)方面重點(diǎn)包括客戶端安全軟件(eCop)安裝、弱口令、防病毒軟件的安裝、補(bǔ)丁更新、計(jì)算機(jī)命名規(guī)范等五方面的內(nèi)容,運(yùn)行網(wǎng)、管理網(wǎng)微機(jī)符合安全要求的比例分別為90.8%和85.3%。絕大部分單位評(píng)分在90分以上,客戶端微機(jī)的安全狀況良好。服務(wù)器方面發(fā)現(xiàn)28臺(tái)服務(wù)器共計(jì)51個(gè)高危漏洞、管理網(wǎng)qdc域共332個(gè)用戶存在弱口令。安全掃描通報(bào)并組織整改。
2、緊急應(yīng)對(duì)conficker病毒。與系統(tǒng)科一起對(duì)管理網(wǎng)conficker病毒進(jìn)行專項(xiàng)查殺,利用ids系統(tǒng)、瑞星軟件定位染毒計(jì)算機(jī),使用域策略配合專殺工具定期進(jìn)行全網(wǎng)殺毒。積極向總署匯報(bào)該病毒的處理過程和效果,配合信息中心在全國海關(guān)網(wǎng)絡(luò)中查殺該病毒。在國慶期間,我們針對(duì)conficker病毒的傳播途徑進(jìn)行重點(diǎn)監(jiān)控、保障敏感時(shí)期信息系統(tǒng)安全穩(wěn)定運(yùn)行。
3、不斷加強(qiáng)信息安全宣傳工作。編寫并發(fā)表了“管理網(wǎng)安全域劃分、國慶期間關(guān)區(qū)信息系統(tǒng)安全保障、提升敏感崗位微機(jī)的安全保護(hù)級(jí)別”等三個(gè)工作簡報(bào),平時(shí)注意工作信息的編寫,不斷提升信息安全工作在關(guān)區(qū)的認(rèn)知度。
4、配合辦公室完成安全保密相關(guān)工作。協(xié)助省安全廳檢查組對(duì)我關(guān)進(jìn)行網(wǎng)絡(luò)安全保密檢查,經(jīng)各級(jí)檢查組多次抽查,我關(guān)、我處均未發(fā)現(xiàn)安全保密違規(guī)事件。配合辦公室完成紅機(jī)網(wǎng)分級(jí)保護(hù)測評(píng)工作。參與辦公室關(guān)于“辦公網(wǎng)保密管理規(guī)定”的工作會(huì)議,就系統(tǒng)管理、客戶端維護(hù)、安全管理、網(wǎng)絡(luò)管理等相關(guān)工作的分工進(jìn)行充分討論、溝通,最終達(dá)成一致意見。
5、繼續(xù)普及并強(qiáng)化關(guān)員信息安全意識(shí)。通過對(duì)各單位各部門信息安全管理員進(jìn)行培訓(xùn)、組織信息安全自查、操作指引、通報(bào)安全掃描情況等方式多角度、全方面地普及并強(qiáng)化關(guān)區(qū)用戶的信息安全意識(shí)。
三、常抓不懈,不斷排查信息安全隱患
1、外聯(lián)網(wǎng)油氣化系統(tǒng)服務(wù)器對(duì)企業(yè)端開放了所有端口,可能導(dǎo)致互聯(lián)網(wǎng)病毒傳入和非法入侵。組織有關(guān)科室確定正常服務(wù)端口,并進(jìn)行網(wǎng)絡(luò)訪問控制。
2、財(cái)務(wù)處互聯(lián)網(wǎng)網(wǎng)上銀行業(yè)務(wù)用微機(jī)原本在單獨(dú)子網(wǎng)進(jìn)行訪問控制,大樓裝修后未進(jìn)行子網(wǎng)劃分。提醒有關(guān)科室及時(shí)處理。
3、關(guān)于VPN訪問網(wǎng)上辦公系統(tǒng)身份信息混淆的安全隱患,向政信科反映,建議其立即排除故障。
4、發(fā)現(xiàn)并排除SCA機(jī)房光纖接入單點(diǎn)故障。
5、處內(nèi)督察時(shí)發(fā)現(xiàn)新疆路網(wǎng)絡(luò)機(jī)房溫濕度不符合機(jī)房環(huán)境要求,建議網(wǎng)絡(luò)科排除隱患。
6、發(fā)現(xiàn)短信平臺(tái)工余時(shí)間故障無法及時(shí)通知維護(hù)人員。與通信科合作,在oam系統(tǒng)中將短信平臺(tái)的報(bào)警由短信方式改為撥通手機(jī)方式,排除該隱患。
四、服務(wù)關(guān)區(qū)各項(xiàng)改革,積極參與重點(diǎn)科技項(xiàng)目開發(fā)
1、組織人事管理信息平臺(tái)二期項(xiàng)目開發(fā)工作。
青島海關(guān)人事信息平臺(tái)是以總署人事管理信息系統(tǒng)(CCHRS)數(shù)據(jù)庫為基礎(chǔ),在HB2004系統(tǒng)下授權(quán)運(yùn)行,以人事信息綜合查詢、人事信息標(biāo)準(zhǔn)化采集、人力資源分析等功能為核心,按照“公開、效能、簡便”的原則,科學(xué)整合原有的領(lǐng)導(dǎo)干部網(wǎng)上考核、后備干部管理等系統(tǒng),新開發(fā)人事信息綜合查詢、人事信息標(biāo)準(zhǔn)化采集、人力資源現(xiàn)狀分析、人力資源量化測算、工資管理、離崗管理、網(wǎng)上投票等系統(tǒng),搭建的統(tǒng)一的青島海關(guān)人力資源管理信息平臺(tái)。該系統(tǒng)是關(guān)區(qū)人事部門組織開展工作、強(qiáng)化管理監(jiān)督的管理操作平臺(tái),是一個(gè)關(guān)區(qū)廣大關(guān)員了解關(guān)區(qū)干部人事工作和個(gè)人基本信息的信息查詢平臺(tái),同時(shí)也是關(guān)區(qū)各級(jí)領(lǐng)導(dǎo)班子和領(lǐng)導(dǎo)干部研究部署工作的人事輔助決策平臺(tái)。
2、升級(jí)公務(wù)員考試錄用面試系統(tǒng)。該系統(tǒng)改變了面試考官、人事處管理人員紙面評(píng)分、匯總、統(tǒng)計(jì)的工作方式,大大提高了考生招錄的效率和質(zhì)量。
3、抽調(diào)總署進(jìn)行科技項(xiàng)目設(shè)計(jì)、開發(fā)工作。苗偉彬借調(diào)到總署人教司,參與總署人事管理信息系統(tǒng)二期的設(shè)計(jì)工作,從需求提出到系統(tǒng)設(shè)計(jì),提出了許多建設(shè)性的意見和建議;并對(duì)署管干部年度考核系統(tǒng)進(jìn)行了安全加固,修復(fù)了SQL注入攻擊、XSS跨站攻擊等多種安全漏洞,提高了系統(tǒng)的安全性。
4、升級(jí)網(wǎng)上考核系統(tǒng)。人事處對(duì)領(lǐng)導(dǎo)班子和班子成員年度考核辦法進(jìn)行了大幅度的調(diào)整,政治部辦公室年內(nèi)調(diào)整了基層考核指標(biāo)和計(jì)分方式。為了適應(yīng)新的考核模式,組織人員對(duì)網(wǎng)上考核系統(tǒng)進(jìn)行了全面改造和升級(jí)。
5、參與H2010工程安全運(yùn)行組集中工作。委派王璐參加總署H2010工程安全運(yùn)行組集中工作,負(fù)責(zé)編寫《海關(guān)信息系統(tǒng)安全審計(jì)系統(tǒng)建設(shè)方案》中主機(jī)審計(jì)部分。
五、存在的不足
回顧全年工作,感覺在技術(shù)創(chuàng)新、爭取總署項(xiàng)目試點(diǎn)方面尚存在不足,今后需著力加強(qiáng)。
六、明年工作打算
1、在業(yè)務(wù)運(yùn)行網(wǎng)完成網(wǎng)絡(luò)準(zhǔn)入功能的部署。
2、穩(wěn)步推進(jìn),實(shí)施管理網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)專網(wǎng)專用。
3、部署防病毒網(wǎng)關(guān)產(chǎn)品,進(jìn)一步加強(qiáng)關(guān)區(qū)網(wǎng)絡(luò)病毒防范能力。
4、加強(qiáng)關(guān)區(qū)信息安全培訓(xùn),不斷提高關(guān)員信息安全意識(shí),提升自身安全技術(shù)水平。
【關(guān)鍵詞】電力企業(yè);信息安全;桌面管控技術(shù)
引言
隨著信息技術(shù)的發(fā)展,信息系統(tǒng)的深入應(yīng)用,信息安全成為國家電力企業(yè)信息化的重要工作內(nèi)容。由于桌面終端和用戶的數(shù)量多,從而容易帶來信息安全隱患,致使信息管理部門難以開展工作。近幾年,多數(shù)電力企業(yè)制定了對(duì)桌面的管理制度,統(tǒng)一了桌面終端管理系統(tǒng)。但是,如何將管理制度落實(shí)到實(shí)際工作中并將現(xiàn)有的技術(shù)應(yīng)用到桌面信息安全管理,還需要不斷的深入研究與實(shí)踐。
1桌面終端信息安全管理現(xiàn)狀
近幾年,我國電力企業(yè)提出了信息安全的八不準(zhǔn)和五禁止,由于電力企業(yè)提出上述措施,有利于各企業(yè)桌面終端系統(tǒng)信息安全工作的順利開展,大力推廣了桌面終端管理系統(tǒng)的應(yīng)用,對(duì)非法接入外網(wǎng)實(shí)施了有效的監(jiān)控,提升了對(duì)移動(dòng)儲(chǔ)存介質(zhì)的管理。但根據(jù)桌面終端管理系統(tǒng)的相關(guān)數(shù)據(jù)顯示,還沒有達(dá)到對(duì)信息安全的要求,仍然存在很多問題,致使信息管理部門的工作難以開展[1]。因此必須要立足于桌面管控技術(shù)全面的提升電力企業(yè)信息安全水平,從而有效的保障電力企業(yè)的信息安全。
2桌面終端存在的問題
目前,桌面終端主要存在以下幾個(gè)方面的問題:①接入外網(wǎng)時(shí)計(jì)算機(jī)感染病毒,特別是由于移動(dòng)儲(chǔ)存介質(zhì)最容易感染,而且傳播的速度極快;②部分員工利用電子郵件辦公時(shí),電子郵件里會(huì)出現(xiàn)一些敏感字體;③非法接入外網(wǎng)現(xiàn)象始終存在,桌面終端的口令設(shè)置較弱;④桌面終端補(bǔ)丁更新率、桌面終端注冊(cè)率和殺毒軟件安裝率較低,沒有達(dá)到企業(yè)的標(biāo)準(zhǔn)。致使以上問題出現(xiàn)的原因有:①對(duì)信息安全的管理力度不夠,沒有將其歸入對(duì)信息管理部門工作人員的考核中,沒有將現(xiàn)有的桌面管控技術(shù)手段深入應(yīng)用;②對(duì)信息安全管理的要求較為分散,沒有統(tǒng)一的管理標(biāo)準(zhǔn),雖然通過各種方式開展宣傳,但是僅對(duì)信息管理部門的工作人員有用,其他部門員工對(duì)信息安全的認(rèn)知度不夠[2];③部分員工信息安全意識(shí)淡薄,沒有將信息安全管理的要求落實(shí)到實(shí)際工作中,認(rèn)為信息安全可有可無,存在無所謂的心理。
3桌面管理及提升技術(shù)的措施
3.1桌面管理措施
3.1.1計(jì)算機(jī)安裝流程標(biāo)準(zhǔn)化電力企業(yè)中,所有新購買的計(jì)算機(jī)統(tǒng)一由信息管理部門安裝殺毒軟件和操作系統(tǒng)。修補(bǔ)系統(tǒng)中存在的漏洞,注冊(cè)桌面系統(tǒng)的新端口,初始開機(jī)口令的設(shè)置要符合國家統(tǒng)一的標(biāo)準(zhǔn)。只有完成以上流程,才能下發(fā)給網(wǎng)絡(luò)用戶并接入網(wǎng)絡(luò),嚴(yán)格把控好信息設(shè)備的安全性,從根源上消除桌面信息安全隱患。3.1.2完善管理制度企業(yè)應(yīng)制定統(tǒng)一的管理制度,落實(shí)好信息管理部門的工作內(nèi)容,其工作內(nèi)容包括:信息設(shè)備的損壞修理、安裝、領(lǐng)用、驗(yàn)收及信息的來源。由于筆記本計(jì)算機(jī)容易感染其他網(wǎng)絡(luò)端口的病毒,出現(xiàn)重裝系統(tǒng)的問題,致使管理人員不易管理,對(duì)此不允許接入其他網(wǎng)絡(luò),從制度的根本上確保企業(yè)內(nèi)所有的聯(lián)網(wǎng)端口都是由信息管理部門負(fù)責(zé)。除此之外,統(tǒng)一訂購帶有企業(yè)標(biāo)志的移動(dòng)儲(chǔ)存介質(zhì),工作人員在領(lǐng)用時(shí)必須簽字,待離職時(shí)交還信息管理部門。3.1.3提高工作人員信息安全意識(shí)由于工作人員的信息安全意識(shí)淡薄,不了解企業(yè)對(duì)信息安全的要求,還沒有掌握信息安全的技術(shù),這些都成為信息潛在的安全隱患,對(duì)此,加大對(duì)員工信息安全意識(shí)的培訓(xùn)力度顯得至關(guān)重要。工作人員的信息安全意識(shí)應(yīng)從第一天入職的時(shí)候就加以重視,培訓(xùn)人員要全方面的開展對(duì)新入職員工的培訓(xùn),包括:技術(shù)手段、管理制度、信息安全意識(shí)、對(duì)信息保密等。培訓(xùn)之后,可以實(shí)施對(duì)信息安全有關(guān)知識(shí)和技術(shù)手段的考核[3]。除此之外,給員工配備計(jì)算機(jī)時(shí),要給員工講解使用的要求及注意事項(xiàng),且讓其簽字。通過信息安全培訓(xùn),使工作人員掌握桌面管控的相關(guān)知識(shí)和信息安全知識(shí),提高了工作人員的信息安全技術(shù)水平和職業(yè)素養(yǎng)及其安全意識(shí),給信息安全提供了強(qiáng)有力的技術(shù)支撐。3.1.4強(qiáng)化外網(wǎng)終端接入流程管理各地區(qū)電力企業(yè)的外網(wǎng)桌面終端接入要嚴(yán)格遵守內(nèi)網(wǎng)終端接入的標(biāo)準(zhǔn)流程,電力企業(yè)外網(wǎng)終端接入需要由企業(yè)管理人員向協(xié)同辦公系統(tǒng)簽報(bào)流程提報(bào)申請(qǐng),經(jīng)外網(wǎng)管理部門領(lǐng)導(dǎo)審批后轉(zhuǎn)發(fā)信通分公司,再由企業(yè)的網(wǎng)控室調(diào)整終端準(zhǔn)入賬號(hào)、分配IP地址,并根據(jù)各企業(yè)的具體情況派發(fā)終端,由運(yùn)維人員將符合入網(wǎng)條件的外網(wǎng)終端入網(wǎng)并進(jìn)行安裝調(diào)試,再由網(wǎng)控室進(jìn)行檢查,確定是否達(dá)到入網(wǎng)的標(biāo)準(zhǔn),如果沒有達(dá)到標(biāo)準(zhǔn)要及時(shí)修改,值班人員需進(jìn)行回訪,將工作單及時(shí)歸檔[4]。具體的申請(qǐng)流程詳見圖1。
3.2提升桌面管理技術(shù)的措施
3.2.1定期檢查、維護(hù)信息安全使用掃描設(shè)備對(duì)企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描,對(duì)出現(xiàn)的問題及漏洞及時(shí)解決,一旦發(fā)現(xiàn)有桌面終端不符合基線要求,可以通過北信源程序下發(fā)符合基線要求的方法,保證桌面終端達(dá)到基線的要求。信息管理部門的工作人員要定期檢查桌面終端及控制系統(tǒng)的各項(xiàng)數(shù)據(jù),出現(xiàn)異常要及時(shí)解決,逐步提升信息安全水平。3.2.2加固桌面終端由信息管理部門統(tǒng)一分配終端,完成對(duì)使用軟件和操作系統(tǒng)的安裝,并對(duì)桌面終端進(jìn)行加固。接入網(wǎng)絡(luò)時(shí),嚴(yán)格按照企業(yè)制定的桌面管理系統(tǒng)和準(zhǔn)入要求執(zhí)行,安裝必要的殺毒軟件及辦公軟件。對(duì)于沒有注冊(cè)和沒有安裝殺毒軟件的設(shè)備采取強(qiáng)制下線措施,對(duì)帶有敏感字的文檔給予提醒,以此保證殺毒軟件的安裝率和桌面終端的注冊(cè)率。內(nèi)、外網(wǎng)的桌面終端在接入后,需由信息管理部門工作人員綁定接入交換機(jī),將沒有使用到的端口關(guān)閉,預(yù)防其他用戶非法侵入[5]。3.2.3使用桌面終端系統(tǒng)的監(jiān)控功能除了可以使用桌面終端管理系統(tǒng)的非法接入外網(wǎng)、警告口令設(shè)置低、殺毒軟件的安裝率和桌面終端的注冊(cè)率之外,該系統(tǒng)中還有控制的功能,可以通過控制功能,杜絕桌面終端用戶的不安全行為。例如通過硬件資源管理中的控制系統(tǒng),在特定的區(qū)域內(nèi)禁止使用藍(lán)牙設(shè)備與紅外線設(shè)備。有利于防范終端用戶使用信息內(nèi)網(wǎng)接連計(jì)算機(jī),有效解決了違規(guī)接入外網(wǎng)。3.2.4使用北信源系統(tǒng)在北信源系統(tǒng)(見圖2)中可以采用硬件設(shè)備控制,通過設(shè)備控制禁止使用藍(lán)牙設(shè)備和紅外線設(shè)備;采用進(jìn)程監(jiān)控功能,防止無線網(wǎng)卡設(shè)備的侵入;設(shè)置防火墻,只允許桌面終端訪問企業(yè)內(nèi)部網(wǎng)址;將IP與MAC綁定,嚴(yán)禁使用用冗余網(wǎng)卡,防止修改IP與網(wǎng)關(guān),以防發(fā)生違規(guī)外聯(lián)事件;實(shí)施文件動(dòng)態(tài)監(jiān)控、文件內(nèi)容檢查和終端檢查,確保敏感信息檢查執(zhí)行率及保密檢測系統(tǒng)安裝率指標(biāo)水平。
4結(jié)語
21世紀(jì)以來,傳統(tǒng)的桌面終端管理模式已經(jīng)無法適應(yīng)社會(huì)的需求,不能安全有效地管控桌面終端。通過企業(yè)制定的桌面管理制度和桌面終端管理系統(tǒng),提升了桌面管控技術(shù),使桌面終端的工作流程規(guī)范化,在提升信息安全的同時(shí),也提高了工作人員的桌面安全管理意識(shí)。在電力企業(yè)中采用桌面管控技術(shù)來提升信息安全,還需要不斷地實(shí)踐與探索,只有堅(jiān)持不懈,才能使企業(yè)保持信息安全,走可持續(xù)發(fā)展道路。
參考文獻(xiàn):
[1]姚瑋.電力企業(yè)信息安全全生命周期管控[J].電力信息與通信技術(shù),2015(08).
[2]馬之力,張馴,崔阿軍,袁暉.電網(wǎng)企業(yè)網(wǎng)絡(luò)準(zhǔn)入體系設(shè)計(jì)與應(yīng)用[J].電力信息與通信技術(shù),2015(05).
[3]陶明峰,劉志剛,徐勝朋,邢藝欣,襲建學(xué).市縣級(jí)電力公司網(wǎng)絡(luò)一體化管理設(shè)計(jì)與研究[J].電力信息與通信技術(shù),2015(05).
[4]吳石松,劉曄.電力企業(yè)桌面終端安全管理應(yīng)用研究[J].現(xiàn)代計(jì)算機(jī)(專業(yè)版),2013(36).
大數(shù)據(jù)(BigData)本身是一個(gè)比較抽象的概念,至今尚未有一個(gè)公認(rèn)的定義。Wiki定義“大數(shù)據(jù)”是利用常用軟件工具捕獲、管理和處理數(shù)據(jù)所耗的時(shí)間超過可容忍時(shí)間的數(shù)據(jù)集[1]。Gartner這樣定義“:大數(shù)據(jù)”是需要新處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)[2]。也有研究者形象化地描述“大數(shù)據(jù)”是未來的新石油。不同的定義基本都是根據(jù)大數(shù)據(jù)的特征歸納闡述給出。比較具有代表性的是4V定義,認(rèn)為大數(shù)據(jù)具有4個(gè)特點(diǎn):規(guī)模性(volume)、多樣性(variety)、高速性(velocity)和價(jià)值性(value)。即數(shù)據(jù)規(guī)模巨大,從TB級(jí)躍升到PB級(jí);數(shù)據(jù)類型多樣,包含結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化的多種數(shù)據(jù)類型;高效的數(shù)據(jù)處理能力及蘊(yùn)含著極高的價(jià)值。
2大數(shù)據(jù)時(shí)代圖書館信息安全面臨的威脅
大數(shù)據(jù)時(shí)代,數(shù)據(jù)資源將逐漸成為圖書館最重要的資產(chǎn)之一,決策行為將在數(shù)據(jù)分析的基礎(chǔ)上做出。作為以數(shù)據(jù)分析利用和信息服務(wù)為己任的圖書館,它的信息安全將面臨著大數(shù)據(jù)帶來的挑戰(zhàn)。
2.1存儲(chǔ)安全問題
圖書館關(guān)注的數(shù)據(jù)已不僅限于書目信息、讀者信息、電子期刊等業(yè)務(wù)數(shù)據(jù),還延伸到微信、微博、移動(dòng)網(wǎng)絡(luò)等讀者活動(dòng)中產(chǎn)生的很難估量的社會(huì)化數(shù)據(jù)。如此龐大的數(shù)據(jù)集對(duì)圖書館的存儲(chǔ)、軟硬件設(shè)施是個(gè)考驗(yàn)。如何防止這些數(shù)據(jù)丟失、損毀、被非法盜取及利用是圖書館安全存儲(chǔ)面臨的一項(xiàng)挑戰(zhàn)。另外,大數(shù)據(jù)環(huán)境下的圖書館為了降低成本,通常會(huì)將數(shù)據(jù)存儲(chǔ)在云端,云的開放性,海量用戶共存性等都帶來了潛在的威脅。
2.2網(wǎng)絡(luò)安全問題
圖書館是以網(wǎng)絡(luò)為基礎(chǔ)來傳遞信息和數(shù)字資源,為讀者提供服務(wù)。在網(wǎng)絡(luò)上,大數(shù)據(jù)成為更易被攻擊的顯著目標(biāo)。圖書館的“大數(shù)據(jù)”不僅包含了海量數(shù)據(jù)資源,還包含了讀者行為、敏感數(shù)據(jù)等,這些海量的信息資源將吸引更多的攻擊者,也使大數(shù)據(jù)成為更有吸引力的目標(biāo)。另外,黑客利用大數(shù)據(jù)發(fā)起的僵尸網(wǎng)絡(luò)攻擊,能夠同時(shí)控制百萬臺(tái)機(jī)器,這是傳統(tǒng)單點(diǎn)攻擊做不到的。利用大數(shù)據(jù),黑客能夠發(fā)動(dòng)APT攻擊,APT的攻擊代碼隱藏在大數(shù)據(jù)中,很難被檢測到。
2.3隱私泄露問題
社交網(wǎng)絡(luò)、微博、移動(dòng)網(wǎng)絡(luò)等這些信息服務(wù)新形式的快速發(fā)展,互聯(lián)網(wǎng)每時(shí)每刻都在產(chǎn)生海量的數(shù)據(jù)。讀者的個(gè)人數(shù)據(jù)可能被任意搜索、獲取,這將極大地威脅隱私安全。一方面,圖書館的海量數(shù)據(jù)信息資源、讀者信息、讀者行為、科研信息等數(shù)據(jù)高度集中,即使不被盜取濫用,也增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。另一方面,對(duì)于某些重要數(shù)據(jù)、敏感數(shù)據(jù)以及隱私數(shù)據(jù)的挖掘分析,其使用權(quán)沒有明確界定,這都將會(huì)涉及隱私泄露。
2.4知識(shí)產(chǎn)權(quán)問題
大數(shù)據(jù)時(shí)代,圖書館雖然會(huì)把越來越多的數(shù)據(jù)資源交給“云”提供商代為托管,但是圖書館應(yīng)完全擁有這些被托管數(shù)據(jù)資源的知識(shí)產(chǎn)權(quán)。然而現(xiàn)實(shí)中“,云”提供商利用大數(shù)據(jù)技術(shù)對(duì)圖書館的數(shù)據(jù)資源進(jìn)行挖掘、發(fā)現(xiàn)、分析進(jìn)而整合成新的數(shù)據(jù)產(chǎn)品加以利用,本該由圖書館所唯一擁有的數(shù)據(jù),一旦被“云”提供商開發(fā)成產(chǎn)品,知識(shí)產(chǎn)權(quán)的界定就成為圖書館要面臨的新難題。
3大數(shù)據(jù)時(shí)代圖書館信息安全應(yīng)對(duì)策略
大數(shù)據(jù)資源將成為圖書館的核心資產(chǎn)。圖書館在利用數(shù)據(jù)處理、數(shù)據(jù)挖掘、數(shù)據(jù)分析等技術(shù)獲取大數(shù)據(jù)蘊(yùn)藏的高價(jià)值,創(chuàng)新服務(wù)模式,提高服務(wù)質(zhì)量的同時(shí),應(yīng)重點(diǎn)考慮如何確保數(shù)據(jù)資源存儲(chǔ)安全,如何降低網(wǎng)絡(luò)安全威脅,如何防止隱私泄露等。大數(shù)據(jù)時(shí)代的圖書館應(yīng)首先從技術(shù)層面保障存儲(chǔ)安全,提高網(wǎng)絡(luò)安全防范技術(shù);其次,建立數(shù)據(jù)監(jiān)管體系,對(duì)讀者和圖書館的重要數(shù)據(jù)、敏感數(shù)據(jù)、隱私數(shù)據(jù)進(jìn)行監(jiān)管;最后,加強(qiáng)圖書館信息安全制度和相關(guān)政策法規(guī)建設(shè)。
3.1保障存儲(chǔ)安全
圖書館的數(shù)據(jù)資源在無限增長,規(guī)模日益龐大,保障這些數(shù)據(jù)資源的安全存儲(chǔ)顯得尤為重要,同時(shí)對(duì)硬件設(shè)施也是巨大考驗(yàn)。現(xiàn)有的存儲(chǔ)系統(tǒng)無法充分有效地存儲(chǔ)、管理、分析大數(shù)據(jù),限制了數(shù)據(jù)的增長。大數(shù)據(jù)時(shí)代的圖書館為了降低運(yùn)維成本,緩解硬件設(shè)施壓力,應(yīng)考慮將數(shù)據(jù)和信息存儲(chǔ)在云端,利用云存儲(chǔ)實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)、管理以及分析。云存儲(chǔ),即基于云計(jì)算的存儲(chǔ)系統(tǒng),其可擴(kuò)展性、靈活性、運(yùn)算高效性能夠解決大數(shù)據(jù)存儲(chǔ)和管理存在的問題。但是,云存儲(chǔ)具有數(shù)據(jù)規(guī)模海量、管理高度集中、系統(tǒng)規(guī)模巨大、平臺(tái)開放復(fù)雜等特點(diǎn),這些都將對(duì)信息安全帶來威脅。因此,保障云安全是大數(shù)據(jù)時(shí)代圖書館信息安全的基礎(chǔ)。圖書館作為云存儲(chǔ)服務(wù)用戶,最關(guān)心的就是存儲(chǔ)在云端的數(shù)據(jù)是否完整安全,是否有人非法訪問,以及當(dāng)合法訪問這些數(shù)據(jù)時(shí)是否能獲得有效且正確的數(shù)據(jù)。因此,應(yīng)重點(diǎn)研究運(yùn)用身份認(rèn)證、加密存儲(chǔ)、數(shù)據(jù)災(zāi)備這3種技術(shù)手段來保障云安全。
(1)身份認(rèn)證。
加強(qiáng)圖書館云存儲(chǔ)上數(shù)據(jù)的管理,實(shí)行身份認(rèn)證,確保管理員、讀者用戶、云存儲(chǔ)服務(wù)提供商等經(jīng)過認(rèn)證獲得訪問權(quán)限后,才可管理、分析、訪問“云”上的數(shù)據(jù)資源。云存儲(chǔ)具有跨平臺(tái)、異構(gòu)、分布式等特點(diǎn),為了提高管理員、用戶的訪問效率,應(yīng)建立有效的單點(diǎn)登錄統(tǒng)一身份認(rèn)證系統(tǒng),支持各圖書館云存儲(chǔ)之間共享認(rèn)證服務(wù)和用戶身份信息,減少重復(fù)驗(yàn)證帶來的運(yùn)行開銷。
(2)加密存儲(chǔ)。
對(duì)文件和數(shù)據(jù)進(jìn)行加密保存,確保圖書館云存儲(chǔ)上的數(shù)據(jù)資源在存儲(chǔ)和傳輸過程中,不被意外或非意外損毀、丟失、處理及非法利用。加密存儲(chǔ)主要包含兩部分工作:一是密鑰的管理和產(chǎn)生,二是應(yīng)用密鑰對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)和解密讀取。云存儲(chǔ)系統(tǒng)為每位注冊(cè)用戶生成一個(gè)解密密鑰,系統(tǒng)將數(shù)據(jù)加密存儲(chǔ)在數(shù)據(jù)中心,用戶讀取加密數(shù)據(jù)后,利用自己的解密密鑰恢復(fù)數(shù)據(jù),得到原始數(shù)據(jù)。這一過程對(duì)存儲(chǔ)性能和網(wǎng)絡(luò)傳輸效率會(huì)有一定影響,因此圖書館一方面要加快對(duì)加密存儲(chǔ)技術(shù)的研究;另一方面可以考慮先只對(duì)重要數(shù)據(jù)、敏感數(shù)據(jù)、個(gè)人信息數(shù)據(jù)進(jìn)行加密存儲(chǔ)。
(3)數(shù)據(jù)災(zāi)備。
云計(jì)算技術(shù)對(duì)于數(shù)據(jù)災(zāi)備具有天生的優(yōu)勢(shì)。將虛擬化技術(shù)、分布式技術(shù)和云計(jì)算技術(shù)結(jié)合可實(shí)現(xiàn)多點(diǎn)備份、數(shù)據(jù)自動(dòng)冗余存儲(chǔ)、云節(jié)點(diǎn)無單點(diǎn)故障數(shù)據(jù)級(jí)災(zāi)備。圖書館可以利用云存儲(chǔ)在不同的地方建設(shè)兩個(gè)及以上的圖書館云存儲(chǔ)數(shù)據(jù)中心,構(gòu)成一個(gè)跨地域的統(tǒng)一存儲(chǔ)平臺(tái),各業(yè)務(wù)部門和每個(gè)用戶都可以共享共用這些數(shù)據(jù)。保證只要有一個(gè)數(shù)據(jù)中心完整,所有數(shù)據(jù)就不會(huì)丟失且能夠提供持續(xù)服務(wù)。
3.2提高網(wǎng)絡(luò)安全防護(hù)技術(shù)
隨著圖書館數(shù)據(jù)資源總量的增加和新型社交網(wǎng)絡(luò)下讀者原創(chuàng)數(shù)據(jù)爆炸性增長,網(wǎng)絡(luò)在線數(shù)據(jù)呈現(xiàn)急劇增長的趨勢(shì),導(dǎo)致黑客的攻擊欲望比以往更為強(qiáng)烈,其手段和工具也更為復(fù)雜、更加專業(yè)。大數(shù)據(jù)對(duì)圖書館網(wǎng)絡(luò)安全策略提出更高的要求,從技術(shù)層面來說,圖書館網(wǎng)絡(luò)安全策略包括漏洞掃描、入侵檢測、訪問控制和網(wǎng)絡(luò)安全審計(jì)4種技術(shù)手段,任何一個(gè)單一的防范手段都無法保障圖書館網(wǎng)絡(luò)的安全性。
(1)漏洞掃描。
漏洞掃描包括檢測路由器、交換機(jī)、防火墻、各應(yīng)用服務(wù)器OS、應(yīng)用系統(tǒng)以及工作人員用機(jī)的安全補(bǔ)丁、系統(tǒng)漏洞、病毒感染等問題。漏洞掃描系統(tǒng)應(yīng)及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞、木馬、病毒、蠕蟲、后門程序、網(wǎng)絡(luò)攻擊、ARP等,并提供修復(fù)、查殺、攔截、防御的有效工具,同時(shí)能夠?qū)D書館整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,以便采取相應(yīng)措施及時(shí)消除系統(tǒng)中的安全隱患。與以往的漏洞掃描不同的是,大數(shù)據(jù)時(shí)代,對(duì)于海量數(shù)據(jù)的掃描,將會(huì)花費(fèi)很長的時(shí)間,因此需要研究解決如何提高網(wǎng)絡(luò)海量數(shù)據(jù)檢測掃描的精確度和速度。
(2)入侵檢測。
隨著圖書館信息資源和數(shù)據(jù)資源共建共享步伐的加快,圖書館私有云和行業(yè)云的建設(shè)加快,網(wǎng)絡(luò)應(yīng)用范圍在不斷擴(kuò)大,來自校園網(wǎng)內(nèi)部和外部的黑客攻擊、非法訪問等安全問題與日俱增,因此對(duì)惡意入侵的檢測與防范刻不容緩。大數(shù)據(jù)對(duì)信息安全是把雙刃劍,應(yīng)利用大數(shù)據(jù)的分析技術(shù),通過分析來源信息,能夠自動(dòng)確定網(wǎng)絡(luò)異常。進(jìn)一步研究更有效的檢測手段,完成APT高端檢測,做到多點(diǎn)、長時(shí)、多類型的檢測。
(3)訪問控制。
接入圖書館網(wǎng)絡(luò)的用戶,在使用海量數(shù)據(jù)資源之前,必須進(jìn)行身份認(rèn)證和權(quán)限劃分,用戶通過認(rèn)證獲得授權(quán)之后,才可以根據(jù)自己的權(quán)限訪問相應(yīng)的數(shù)據(jù)資源和應(yīng)用系統(tǒng),獲取相關(guān)的數(shù)據(jù)分析結(jié)果等。采用單點(diǎn)、統(tǒng)一認(rèn)證方式,并結(jié)合PMI權(quán)限控制技術(shù),加大認(rèn)證加密技術(shù)研究,有效控制不同用戶分不同級(jí)別訪問管理數(shù)據(jù)、訪問數(shù)據(jù)、獲取數(shù)據(jù)以及應(yīng)用大數(shù)據(jù)分析結(jié)果。
(4)網(wǎng)絡(luò)安全審計(jì)。
相比入侵檢測系統(tǒng),網(wǎng)絡(luò)安全審計(jì)沒有實(shí)時(shí)性要求,因此可以對(duì)海量的服務(wù)器運(yùn)行日志、數(shù)據(jù)庫操作記錄、系統(tǒng)活動(dòng)等歷史數(shù)據(jù)進(jìn)行分析,并且可以利用大數(shù)據(jù)進(jìn)行更加精細(xì)和復(fù)雜的分析,發(fā)現(xiàn)更多的黑客攻擊種類,其誤報(bào)率也將低于傳統(tǒng)的入侵檢測。
3.3建立數(shù)據(jù)安全監(jiān)管機(jī)制
大數(shù)據(jù)關(guān)鍵技術(shù)的快速發(fā)展,為圖書館大數(shù)據(jù)的存儲(chǔ)與分析奠定了基礎(chǔ),大數(shù)據(jù)將成為圖書館的重要資產(chǎn)。但是,海量數(shù)據(jù)和數(shù)據(jù)分析結(jié)果一旦泄露,相對(duì)于以往,對(duì)讀者個(gè)人甚至整個(gè)圖書館界將會(huì)造成巨大的經(jīng)濟(jì)損失,還可能導(dǎo)致聲譽(yù)受損,嚴(yán)重的還要承擔(dān)相關(guān)法律責(zé)任。大數(shù)據(jù)安全不僅是技術(shù)問題,更是管理問題。因此,大數(shù)據(jù)時(shí)代,圖書館除了要從技術(shù)上實(shí)現(xiàn)存儲(chǔ)安全、云安全、網(wǎng)絡(luò)安全等方式來抵御外來的信息安全威脅,更需要加強(qiáng)在數(shù)據(jù)安全監(jiān)管、數(shù)據(jù)資源共享機(jī)制、數(shù)據(jù)隱私保護(hù)、敏感數(shù)據(jù)審計(jì)等方面的制度建設(shè),從管理上防止圖書館核心數(shù)據(jù)、隱私數(shù)據(jù)和敏感數(shù)據(jù)的泄露。力圖建立貫穿于數(shù)據(jù)生命周期的數(shù)據(jù)監(jiān)管機(jī)制。在技術(shù)層面,運(yùn)用先進(jìn)的信息技術(shù)手段開展數(shù)據(jù)監(jiān)管工作,如利用現(xiàn)有隱理、數(shù)據(jù)預(yù)處理等技術(shù)保障數(shù)據(jù)在使用和傳輸中能夠拒絕服務(wù)攻擊、數(shù)據(jù)傳輸機(jī)密性及DNS安全等。在管理層面,提高圖書館工作人員的信息安全意識(shí),加強(qiáng)各業(yè)務(wù)部門內(nèi)部管理,明確重要數(shù)據(jù)庫的范圍,創(chuàng)新有效科學(xué)的數(shù)據(jù)監(jiān)管手段與方法,制定終端設(shè)備尤其是移動(dòng)終端的安全使用規(guī)程,制定并完善重要數(shù)據(jù)、敏感數(shù)據(jù)、隱私數(shù)據(jù)的安全操作和管理制度,規(guī)范大數(shù)據(jù)的使用方法和流程。
3.4加強(qiáng)圖書館信息安全制度建設(shè)
依據(jù)信息安全管理國際標(biāo)準(zhǔn)ISO27000,明確大數(shù)據(jù)時(shí)代圖書館的實(shí)際安全需求和安全目標(biāo),量化各類數(shù)據(jù)資源的安全指標(biāo),建立全方位、立體、深度的信息安全防御體系。以信息安全防御體系為基礎(chǔ),建立信息安全責(zé)任人負(fù)責(zé)制的組織機(jī)構(gòu);制定日常安全運(yùn)維制度,包括存儲(chǔ)、業(yè)務(wù)系統(tǒng)以及各應(yīng)用系統(tǒng)的安全運(yùn)行監(jiān)控制度、數(shù)據(jù)監(jiān)管制度、移動(dòng)終端檢測制度、網(wǎng)絡(luò)安全制度等;制定應(yīng)急響應(yīng)制度,包括數(shù)據(jù)災(zāi)備制度、數(shù)據(jù)恢復(fù)制度、故障系統(tǒng)恢復(fù)制度等。對(duì)于存儲(chǔ)在云端的數(shù)據(jù),建立數(shù)據(jù)共享制度和機(jī)密保護(hù)制度。根據(jù)保密級(jí)別、共享級(jí)別、開放級(jí)別等明確訪問權(quán)限等級(jí)劃分,制定數(shù)據(jù)的訪問、檢索、下載、分析等方面的規(guī)定;建立身份認(rèn)證和權(quán)限控制機(jī)制,控制非法授權(quán)訪問數(shù)據(jù);制定數(shù)據(jù)云存儲(chǔ)的安全規(guī)定,加密關(guān)鍵數(shù)據(jù);制定數(shù)據(jù)所有權(quán)條款,防止“云”提供商第三方泄密。建立相應(yīng)的法律政策保護(hù)數(shù)據(jù)利用時(shí)涉及的知識(shí)產(chǎn)權(quán),保障數(shù)據(jù)資源的合理合法使用,維護(hù)圖書館利益,保護(hù)知識(shí)產(chǎn)權(quán)。
4結(jié)語
一、學(xué)校領(lǐng)導(dǎo)高度重視、組織落實(shí)是做好校園網(wǎng)絡(luò)安全管理工作的重要前提
校黨政主要領(lǐng)導(dǎo)和分管安全保衛(wèi)工作的校領(lǐng)導(dǎo)高度重視網(wǎng)絡(luò)與信息安全工作,經(jīng)常在各種會(huì)議上強(qiáng)調(diào)做好校園網(wǎng)絡(luò)與信息安全工作對(duì)維護(hù)學(xué)校安全穩(wěn)定的極端重要性,對(duì)安全保衛(wèi)部門上報(bào)的有關(guān)網(wǎng)絡(luò)動(dòng)態(tài)信息認(rèn)真閱讀和研判,并及時(shí)作出重要處理批示,在學(xué)校每次召開的有關(guān)維護(hù)校園穩(wěn)定的工作會(huì)議上都要對(duì)加強(qiáng)校園網(wǎng)的安全管理與監(jiān)控工作進(jìn)行專門部署。學(xué)校還制定下發(fā)了《關(guān)于開展“平安校園”創(chuàng)建活動(dòng)的實(shí)施意見》,其中指出“要堅(jiān)持正確的輿論導(dǎo)向,防止信息傳媒的管理失控,要健全網(wǎng)絡(luò)管理機(jī)構(gòu),落實(shí)管理措施,強(qiáng)化網(wǎng)上監(jiān)控”,為做好校園網(wǎng)絡(luò)與信息的安全管理工作明確了目標(biāo)和方法。
二、各職能部門分工明確、互相配合是做好校園網(wǎng)絡(luò)安全管理工作的重要條件
在維護(hù)校園網(wǎng)絡(luò)安全方面,學(xué)校有關(guān)職能部門根據(jù)自身的工作性質(zhì)有著明確的分工。如校宣傳部門主要負(fù)責(zé)全校網(wǎng)絡(luò)安全教育,網(wǎng)絡(luò)信息動(dòng)態(tài)的監(jiān)查、跟蹤和掌握并進(jìn)行相關(guān)處置;校網(wǎng)絡(luò)主管部門主要負(fù)責(zé)加強(qiáng)整個(gè)校園網(wǎng)絡(luò)技術(shù)方面的安全防范、保障、封堵和指導(dǎo),采用合理的技術(shù)手段對(duì)網(wǎng)絡(luò)運(yùn)行安全進(jìn)行有效的監(jiān)查,為查處網(wǎng)絡(luò)不良、有害信息及案事件提供技術(shù)支持;保衛(wèi)部門主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)不良、有害信息及案事件進(jìn)行查處,并根據(jù)自身工作性質(zhì)對(duì)網(wǎng)絡(luò)信息進(jìn)行監(jiān)查。各職能部門既各司其職又密切配合、協(xié)作形成合力,為做好校園網(wǎng)絡(luò)安全工作提供了重要的基礎(chǔ)條件,使工作更為順利、效率更為提高、成效更為明顯。
三、建全各項(xiàng)管理規(guī)章制度是做好校園網(wǎng)絡(luò)安全管理工作的重要基礎(chǔ)
學(xué)校根據(jù)國家網(wǎng)絡(luò)與信息安全管理的有關(guān)法律法規(guī),并結(jié)合學(xué)校的實(shí)際情況,制定了校園網(wǎng)絡(luò)安全管理?xiàng)l例與規(guī)定,并根據(jù)上級(jí)有關(guān)規(guī)定、形勢(shì)發(fā)展和學(xué)校具體實(shí)際情況,不斷予以修訂完善。各責(zé)任單位則根據(jù)學(xué)校有關(guān)規(guī)定和本單位的實(shí)際情況,制定網(wǎng)絡(luò)與信息安全管理方面的各項(xiàng)具體規(guī)章制度,如日常安全管理制度、信息審核制度、安全檢查制度、網(wǎng)管員工作職責(zé)等。由此校園網(wǎng)絡(luò)與信息安全管理工作做到有章可依,有章可循,不斷制度化、規(guī)范化。
四、建立和完善有效的管理機(jī)制是做好校園網(wǎng)絡(luò)與信息安全管理工作的保障
(一)實(shí)行分級(jí)管理、逐級(jí)負(fù)責(zé)制
學(xué)校成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組,由主要領(lǐng)導(dǎo)擔(dān)任雙組長、分管領(lǐng)導(dǎo)擔(dān)任副組長。領(lǐng)導(dǎo)小組定期不定期地對(duì)校園網(wǎng)絡(luò)安全情況進(jìn)行分析研判,研究制定涉及網(wǎng)絡(luò)安全方面重大問題的對(duì)策、措施,并對(duì)一段時(shí)期內(nèi)的網(wǎng)絡(luò)與信息安全工作作出部署。領(lǐng)導(dǎo)小組下設(shè)辦公室,主要負(fù)責(zé)全校網(wǎng)絡(luò)與信息安全工作的管理和協(xié)調(diào)。各學(xué)院、部門、單位應(yīng)當(dāng)相應(yīng)成立網(wǎng)絡(luò)與信息安全工作小組,其主要負(fù)責(zé)人為第一責(zé)任人,并指定專人擔(dān)任網(wǎng)管員,負(fù)責(zé)本級(jí)網(wǎng)絡(luò)與信息安全工作。
(二)實(shí)行安全責(zé)任制
學(xué)校與各學(xué)院、部門、單位簽訂網(wǎng)絡(luò)與信息安全責(zé)任書,各責(zé)任單位要將網(wǎng)絡(luò)與信息安全管理責(zé)任層層落實(shí)到所屬各部門和人員。其中,各責(zé)任單位的網(wǎng)管員,具體負(fù)責(zé)本單位日常的網(wǎng)絡(luò)與信息安全工作,網(wǎng)絡(luò)與信息系統(tǒng)的主管單位承擔(dān)系統(tǒng)的安全管理和監(jiān)督責(zé)任,運(yùn)行維護(hù)單位和個(gè)人承擔(dān)系統(tǒng)的技術(shù)安全保障責(zé)任,使用單位和個(gè)人承擔(dān)系統(tǒng)操作與信息內(nèi)容的直接安全責(zé)任。堅(jiān)持“誰主管、誰負(fù)責(zé),誰運(yùn)行、誰負(fù)責(zé)”的原則,切實(shí)落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制。
(三)實(shí)行一票否決制
校園網(wǎng)絡(luò)與信息安全工作實(shí)行一票否決制。對(duì)在網(wǎng)絡(luò)與信息安全方面存在重大隱患和問題而不認(rèn)真及時(shí)進(jìn)行整改,或發(fā)生重大網(wǎng)絡(luò)與信息安全事件的相關(guān)單位和責(zé)任人,實(shí)行一票否決制,取消當(dāng)年評(píng)先評(píng)優(yōu)及個(gè)人晉職晉級(jí)的資格。
(四)實(shí)行責(zé)任追究制
對(duì)網(wǎng)絡(luò)與信息安全責(zé)任不落實(shí)、日常安全管理措施不落實(shí)、安全教育不到位等,導(dǎo)致網(wǎng)絡(luò)與信息重大安全事故或事件的,學(xué)校將根據(jù)網(wǎng)絡(luò)與信息安全責(zé)任書的有關(guān)規(guī)定,追究相關(guān)單位和責(zé)任人的責(zé)任,并予以全校通報(bào)批評(píng)。對(duì)觸犯法律的,則移交司法機(jī)關(guān)依法處理。
(五)實(shí)行值班備勤制
各責(zé)任單位要指定專人進(jìn)行日常網(wǎng)絡(luò)與信息安全保障工作,確保24小時(shí)通訊聯(lián)系保持暢通。在重要、敏感時(shí)期,重大節(jié)假日期間,安排值班人員,一旦發(fā)生問題快速反應(yīng),及時(shí)處置。
五、強(qiáng)化網(wǎng)絡(luò)安全形勢(shì)的預(yù)測研判是做好校園網(wǎng)絡(luò)安全管理工作的重要環(huán)節(jié)
學(xué)校各職能部門密切關(guān)注國內(nèi)外發(fā)生的重大事件及學(xué)校出臺(tái)的重大舉措,結(jié)合當(dāng)下校園網(wǎng)絡(luò)的具體實(shí)際并根據(jù)網(wǎng)絡(luò)本身的特點(diǎn),對(duì)一段時(shí)期內(nèi)校園網(wǎng)絡(luò)的安全形勢(shì)進(jìn)行分析研判并上報(bào)學(xué)校,為領(lǐng)導(dǎo)科學(xué)決策提供依據(jù)。特別是在每年重要敏感時(shí)間節(jié)點(diǎn)時(shí),對(duì)校園網(wǎng)絡(luò)安全形勢(shì)進(jìn)行預(yù)測研判并提出有關(guān)防范措施上報(bào)學(xué)校,使網(wǎng)絡(luò)安全防范工作更趨主動(dòng)和有的放矢,例如,在北京奧運(yùn)會(huì)、上海世博會(huì)、G20峰會(huì)等時(shí)期,均及時(shí)對(duì)校園網(wǎng)絡(luò)可能出現(xiàn)的輿情、動(dòng)態(tài)預(yù)作研判,將防范工作做在前面。
六、切實(shí)加強(qiáng)宣傳教育活動(dòng)是做好校園網(wǎng)絡(luò)安全管理工作的重要內(nèi)容
【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò);信息安全;內(nèi)部威脅;對(duì)策
1企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅的分析
1.1隨意更改IP地址
企業(yè)網(wǎng)絡(luò)使用者對(duì)于計(jì)算機(jī)IP地址的更改是常見的信息安全問題,一方面更改IP地址后,可能與其他計(jì)算機(jī)產(chǎn)生地址沖突,造成他人無法正常使用的問題,另一方面更改IP的行為將使監(jiān)控系統(tǒng)無法對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)使用進(jìn)行追溯,不能準(zhǔn)確掌握設(shè)備運(yùn)行狀況,出現(xiàn)異常運(yùn)行等問題難以進(jìn)行核查。
1.2私自連接互聯(lián)網(wǎng)
企業(yè)內(nèi)部人員通過撥號(hào)或?qū)拵нB接的形式,將計(jì)算機(jī)接入互聯(lián)網(wǎng)私自瀏覽網(wǎng)絡(luò)信息,使企業(yè)內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)環(huán)境的隔離狀態(tài)被打破,原有設(shè)置的防火墻等病毒防護(hù)體系不能有效發(fā)揮作用,部分木馬、病毒將以接入外網(wǎng)的計(jì)算機(jī)為跳板,進(jìn)而侵入企業(yè)網(wǎng)絡(luò)內(nèi)部的其他計(jì)算機(jī)。
1.3隨意接入移動(dòng)存儲(chǔ)設(shè)備
移動(dòng)硬盤、U盤等移動(dòng)存儲(chǔ)設(shè)備的接入是當(dāng)前企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全的最大隱患,部分企業(yè)內(nèi)部人員接入的移動(dòng)存儲(chǔ)設(shè)備已經(jīng)感染了病毒,而插入計(jì)算機(jī)的時(shí)候又未能進(jìn)行有效的病毒查殺,這使得病毒直接侵入企業(yè)計(jì)算機(jī),形成企業(yè)信息數(shù)據(jù)的內(nèi)外網(wǎng)間接地交換,造成機(jī)密數(shù)據(jù)的泄漏。
1.4不良軟件的安裝
部分企業(yè)盡管投入了大量資金在內(nèi)部網(wǎng)絡(luò)建設(shè)與信息安全保護(hù)體系構(gòu)建之中,但受版權(quán)意識(shí)不足、軟件購置資金較少等原因的限制,一些企業(yè)在計(jì)算機(jī)上安裝的是盜版、山寨軟件,這些軟件一方面不能保證計(jì)算機(jī)的正常使用需求,對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的運(yùn)行造成一定影響,同時(shí)這些軟件還可能預(yù)裝了部分插件,用于獲取企業(yè)內(nèi)部資料信息,這都對(duì)內(nèi)網(wǎng)計(jì)算機(jī)形成了一定的威脅。
1.5人為泄密或竊取內(nèi)網(wǎng)數(shù)據(jù)資料
受管理制度不完善、監(jiān)控力度不完善等因素的影響,一些內(nèi)部人員在企業(yè)內(nèi)部網(wǎng)絡(luò)中獲取了這些數(shù)據(jù)信息,通過攜帶的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行下載保存,或者連接到外網(wǎng)進(jìn)行散播,這是極為嚴(yán)重的企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅問題。
2企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅成因分析
2.1企業(yè)網(wǎng)絡(luò)信息安全技術(shù)方面
我國計(jì)算機(jī)與網(wǎng)絡(luò)科學(xué)技術(shù)的研究相對(duì)滯后,在計(jì)算機(jī)安全防護(hù)系統(tǒng)和軟件方面的開發(fā)仍然無法滿足企業(yè)的實(shí)際需求,缺少適合網(wǎng)絡(luò)內(nèi)部和桌面電腦的信息安全產(chǎn)品,這使得當(dāng)前企業(yè)網(wǎng)絡(luò)內(nèi)部監(jiān)控與防護(hù)工作存在這漏洞,使企業(yè)管理人員不能有效應(yīng)對(duì)外部入侵,同時(shí)不能對(duì)企業(yè)內(nèi)部人員的操作行為進(jìn)行監(jiān)控管理。
2.2企業(yè)網(wǎng)絡(luò)信息安全管理方面
在企業(yè)中,內(nèi)部員工對(duì)于信息安全缺乏準(zhǔn)確的認(rèn)知,計(jì)算機(jī)和內(nèi)部網(wǎng)絡(luò)的使用較為隨意,這給企業(yè)網(wǎng)絡(luò)安全帶來了極大的隱患。同時(shí),企業(yè)信息管理部門不能從自身實(shí)際情況出發(fā),完善內(nèi)部數(shù)據(jù)資料管理體系,在內(nèi)部網(wǎng)絡(luò)使用上沒有相應(yīng)的用戶認(rèn)證以及權(quán)限管理,信息資料也沒有進(jìn)行密級(jí)劃定,任何人都能隨意瀏覽敏感信息。另外,當(dāng)前企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅大多產(chǎn)生于內(nèi)部員工,企業(yè)忽視了對(duì)員工的信息安全管理,部分離職員工仍能夠登錄內(nèi)部網(wǎng)絡(luò),這使得內(nèi)部網(wǎng)絡(luò)存在著極大的泄密風(fēng)險(xiǎn)。
3企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅解決對(duì)策
3.1管控企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為
對(duì)企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為的管控是避免出現(xiàn)內(nèi)部威脅的重要方法,該方法能夠有效避免企業(yè)網(wǎng)絡(luò)資源非法使用的風(fēng)險(xiǎn)。企業(yè)網(wǎng)絡(luò)管理部門可在內(nèi)部計(jì)算機(jī)上安裝桌面監(jiān)控軟件,為企業(yè)網(wǎng)絡(luò)信息安全管理構(gòu)筑首層訪問控制,從而實(shí)現(xiàn)既定用戶在既定時(shí)間內(nèi)通過既定計(jì)算機(jī)訪問既定數(shù)據(jù)資源的控制。企業(yè)應(yīng)對(duì)內(nèi)部用戶或用戶組進(jìn)行權(quán)限管理,將內(nèi)部信息數(shù)據(jù)進(jìn)行密級(jí)劃分,將不同用戶或用戶組能夠訪問的文件和可以執(zhí)行的操作進(jìn)行限定。同時(shí),在用戶登錄過程中應(yīng)使用密碼策略,提高密碼復(fù)雜性,設(shè)置口令鎖定服務(wù)器控制臺(tái),杜絕密碼被非法修改的風(fēng)險(xiǎn)。
3.2提高企業(yè)網(wǎng)絡(luò)安全技術(shù)水平
首先管理部門應(yīng)為企業(yè)網(wǎng)絡(luò)構(gòu)建防火墻,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)程實(shí)施跟蹤,從而判斷訪問網(wǎng)絡(luò)進(jìn)程的合法性,對(duì)非法訪問進(jìn)行攔截。同時(shí),將企業(yè)網(wǎng)絡(luò)IP地址與計(jì)算機(jī)MAC地址綁定,避免IP地址更改帶來的網(wǎng)絡(luò)沖,同時(shí)對(duì)各計(jì)算機(jī)的網(wǎng)絡(luò)行為進(jìn)行有效追蹤,提高病毒傳播與泄密問題的追溯效率。另外,可通過計(jì)算機(jī)屬性安全控制的方式,降低用戶對(duì)目錄和文件的誤刪除和修改風(fēng)險(xiǎn)。最后,應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)連接的計(jì)算機(jī)進(jìn)行徹底的病毒查殺,杜絕病毒的內(nèi)部蔓延。
3.3建立信息安全內(nèi)部威脅管理制度
企業(yè)網(wǎng)絡(luò)信息安全管理工作的重點(diǎn)之一,就是制定科學(xué)而完善的信息安全管理制度,并將執(zhí)行措施落到實(shí)處。其中,針對(duì)部分企業(yè)人員將內(nèi)部機(jī)密資料帶離企業(yè)的行為,在情況合理的條件下,應(yīng)進(jìn)行規(guī)范化的登記記錄。針對(duì)企業(yè)網(wǎng)絡(luò)文件保存,應(yīng)制定規(guī)律的備份周期,將數(shù)據(jù)信息進(jìn)行匯總復(fù)制加以儲(chǔ)存。針對(duì)離職員工,應(yīng)禁止其帶走任何企業(yè)文件資料,同時(shí)對(duì)其內(nèi)部網(wǎng)絡(luò)登錄賬號(hào)進(jìn)行注銷,防止離職員工再次登入內(nèi)部網(wǎng)絡(luò)。
3.4強(qiáng)化企業(yè)人員網(wǎng)絡(luò)安全培訓(xùn)
加強(qiáng)安全知識(shí)培訓(xùn),使每位計(jì)算機(jī)使用者掌握一定的安全知識(shí),至少能夠掌握如何備份本地的數(shù)據(jù),保證本地?cái)?shù)據(jù)信息的安全可靠。加大對(duì)計(jì)算機(jī)信息系統(tǒng)的安全管理,防范計(jì)算機(jī)信息系統(tǒng)泄密事件的發(fā)生。加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn),通過培訓(xùn),掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí),樹立良好的計(jì)算機(jī)使用習(xí)慣。
4結(jié)語
綜上所述,信息安全是當(dāng)前企業(yè)網(wǎng)絡(luò)應(yīng)用和管理工作的要點(diǎn)之一,企業(yè)應(yīng)嚴(yán)格管控企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為,提高企業(yè)網(wǎng)絡(luò)安全技術(shù)水平,建立信息安全內(nèi)部威脅管理制度,強(qiáng)化企業(yè)人員網(wǎng)絡(luò)安全培訓(xùn),進(jìn)而對(duì)企業(yè)網(wǎng)絡(luò)信息安全內(nèi)部威脅進(jìn)行全面控制,從而提高敏感信息與機(jī)密資料的安全性。
參考文獻(xiàn)
[1]張連予.企業(yè)級(jí)信息網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)現(xiàn)[D].吉林大學(xué),2012.
關(guān)鍵詞: 網(wǎng)絡(luò)安全 安全需求 措施
1 校園網(wǎng)的概念
簡單地說,校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ),是為學(xué)院教師和學(xué)生提供教學(xué),科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求,校園網(wǎng)必須是一個(gè)寬帶,互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。
2 校園網(wǎng)的特點(diǎn)
校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn):
1)提供高速網(wǎng)絡(luò)連接;2)滿足復(fù)雜的信息結(jié)構(gòu);3)強(qiáng)大的可靠性和安全性保證;4)操作方便,易管理;5)提供可運(yùn)營的特性;6)經(jīng)濟(jì)實(shí)用。
3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求
3.1 用戶安全
用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。
1)管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限,因此對(duì)信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度,例如對(duì)管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì),對(duì)于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作,應(yīng)實(shí)行多人參與措施等等。
2)業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作,嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限,需要對(duì)業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。
3.2 網(wǎng)絡(luò)硬環(huán)境安全
通過調(diào)研分析,初步定為有以下需求:
1)校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處,對(duì)進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離,重點(diǎn)對(duì)源地址為教育網(wǎng),而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2)校園網(wǎng)中,教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3)校園網(wǎng)中,教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4)校園網(wǎng)中,行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5)校園網(wǎng)中,網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6)校園網(wǎng)中,公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7)各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全,即按信息的敏感程度,將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng),例如:專用業(yè)務(wù)子網(wǎng)(財(cái)務(wù)處、教務(wù)處、人事部等)和普通子網(wǎng),對(duì)這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。
3.3 網(wǎng)絡(luò)軟環(huán)境安全
網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對(duì)于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng),如:財(cái)務(wù)處、教務(wù)處、人事處等等,必須確保這些子網(wǎng)的信息安全,包括:防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對(duì)保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控,防止敏感信息被竊取。
3.4 傳輸安全
數(shù)據(jù)的傳輸安全,主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。
4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施
4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離
訪問控制體現(xiàn)在如下幾個(gè)方面:
1)要制訂嚴(yán)格的規(guī)章管理制度:可制定的相應(yīng):《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。
2)要配備相應(yīng)的軟硬件安全設(shè)備:在內(nèi)部網(wǎng)與外部網(wǎng)之間,在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口設(shè)置防火墻。設(shè)置防火墻就是實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制,保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最快捷、最節(jié)省的措施之一。防火墻一般具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù);記錄通過防火墻的信息內(nèi)容和活動(dòng);對(duì)網(wǎng)絡(luò)攻擊的檢測和報(bào)警。防火墻主要類型有包過濾型,包過濾防火墻就是利用IP和TCP包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾,能依據(jù)我們制定安全防范策略來控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,也可實(shí)現(xiàn)網(wǎng)絡(luò)IP地址轉(zhuǎn)換(NAT)、審記與實(shí)時(shí)告警等功能。因?yàn)榉阑饓Π惭b在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上,所有也對(duì)被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。
