信息安全防護方法精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全防護方法主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全防護方法范文
廣播發送平臺的信息安全防護系統需按照IATF的標準,并根據廣播信息的傳送和處理過程的特點,制定相應的防護策略,包括網絡邊界監管、非法設備接入、用戶訪問認證、流量控制、安全審計、基礎設施建設等方面。首先是網絡邊界安全。廣播發送平臺的網絡結構較為復雜,網絡邊界的監管顯得尤為重要,需考慮以下幾個方面。一是用戶的訪問控制,安全防護系統通過分析消息的源端口和目的端口、原地址和目的地址等相關參數,實現對網絡流量的管控,并通過利用防火墻等區域分割方式,對不同區域的用戶訪問進行區分,也可有效阻止網絡安全威脅的傳播。二是用戶的身份認證,通過對訪問者的身份進行鑒別,起到保護網絡資源的作用,同時還能避免非法用戶的入侵,維護安全防護系統的保密性。三是防范攻擊,由于網絡的連通性和開放性,廣播傳送平臺的信息安全防護系統很容易受到病毒等的威脅和攻擊。在防范攻擊的過程中,安裝并且及時升級防火墻是最好的選擇。同時,及時更新設備,更新系統等也能夠達到防范惡意攻擊的目的。四是流量管控,只有對廣播發送平臺網絡的流量進行管理和控制,才能保障該系統的正常運轉和相關業務的連續性,因此需要制定相應的制度和機制來分析網絡流量的傳輸特點和規律,從而確保用戶的上網效率及消息的傳送帶寬,提供高質量的數據傳輸。接著是安全的計算環境。廣播發送平臺的信息安全防護系統中,計算環境包括應用系統、數據庫服務器、應用服務器和終端,其中終端包括管理終端和業務終端。
2安全的計算環境需要為以上設備和應用的服務提供安全有效的防護機制
一是要對所有設備實現統一的管理和控制,在較高層面對終端和服務器實施統一完善的安全防護措施,能在不影響廣播發送平臺的正常運轉的情況下有效提升業務進程的效率,。二是安全的審計制度,廣播發送平臺的安全防護計算環境中需部署完善的審計系統,通過融合處理業務流程日志,對用戶操作、數據庫的記錄等日志進行采集,為管理人員的統一管控提供參考和便利。三是應用方面的安全,廣播發送平臺的信息安全防護系統有針對廣播消息的傳送和處理的特定需求,采取一定的措施如加密、認證、審計等對多層面的應用提供相應的安全保護。最后是基礎設施建設方面的安全考慮。一是網絡和基礎設施,包括安全可靠的通信系統和物理隔離的安全設施,廣播發送平臺的信息安全防護體系中安全的通信網絡需實現訪問控制、認證、數據完整性、審計和保密的要求,物理方面的安全防護需考慮機房的訪問、電力設施的保護、安全設備的維護等。二是支撐性的的基礎設施要求在廣播發送平臺的信息安全防護體系中應用信息加密技術,可采用公鑰這種非對稱的加密方法,加密者和解密者各自擁有不同的密鑰,以此實現系統內信息的安全、保密、真實和完整,并結合數字簽名的方式進行身份認證,防止假冒。
3結束語
第2篇:信息安全防護方法范文
關鍵詞:信息安全;等級保護;定級制度
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)03-0045-02
信息安全等級保護制度的建設,是隨著經濟建設和信息化建設的全面展開而進行的。對國家重要的信息系統等進行定級保護,可以提高信息系統的工作效率,在大數據、云計算的技術支持下,實現全系統的信息安全。為此國家多部門早已出臺多項關于信息安全的制度和規定,明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護制度。其工作流程包含定級、對級別的建設和整改、測評建設整改工作、向主管公安部門備案;監管信息系統。其中首要階段的定級工作,是作為等級保護的起始,為后面四個階段的工作奠定基礎。
1 信息系統安全等級保護政策概述
我國在信息技術的浪潮退推動下,各行各業都在面臨信息化、智能化的轉型升級帶來的沖擊和挑戰。需要建設的信息化項目不斷增多,很多領域的業務都要采用網絡信息系統作為載體,因此,信息系統的數量和結構都在增加和復雜化,對信息進行等級保護就被提上了日程。
2008年,我國首部信息安全等級保護管理辦法由公安部下發,信息系統有了等級的劃分,并且對信息系統的保護也有了明確的管理規定。2008年,信息系統安全等級保護定級上升到了國家級別的標準,擁有了定級指南,對于信息系統安全等級定級工作來說,意味著擁有了定級的方法和準則。2009年,關于整改信息安全等級保護工作的指導意見證實下發,要求對信息安全等級保護的整改要按照測評工作的標準展開。這是第一次對信息安全等級保護測評體系的建設進行的規定。
2 信息系統的安全定級
在信息安全技術等級定級指南中,對于信息技術的重要性以及遭到破壞的危害性進行了詳細的闡述,從公共安全、社會利益、公民權益等幾個方面,將信息系統的安全等級劃分為五個等級:
第一級為當信息安全被侵犯,國家利益、公共安全等合法權益就會被損壞,但是國家安全、社會利益和公共秩序不會受到損害。
第二級為當信息安全被侵犯,公民的合法權益就會被侵害,但是國家安全不會受到破壞。
第三級為當信息系統受到侵犯后,社會秩序和公共利益被損壞,進而產生對國家安全的損害。
第四級是信息系統受到破壞,社會秩序、公共利益、國家安全都會受到特別嚴重的損傷。
第五級是信息系統受到侵犯,國家安全被特別嚴重地損壞。
3 當前信息系統安全定級中存在的問題
1)定級對象不明確是信息系統安全定級中的常見問題。當信息系統在相同的網絡環境中被按照獨立的系統進行定級時,多個定級對象會重復出現環境和設備。以機房的EPR系統和OA系統以及配套為例,系統中如果使用到網絡資源,就有可能產生相同的定級對象同時出現不同的網絡設備的情況。
2)根據安全信息國家定級指南中對安全保護等級的定級要求。當受侵害客體為國家、社會、公民安全以及組織法人的合法權益時,客體的侵害程度可以分為一般、嚴重、特別嚴重。這種分類是比較抽象的。需要進行具體的描述,但是從目前的發函情況看,對于危害程度的描述還是過于傾向于主觀判斷,因此對客觀情況的定級準確率不足,依據不足。
3)現有的定級報告皆是從模板中引用格式,參考定價指南,提供定級流程,引導結論的驗證。從下表我們可以大概地看到定級要素和安全保護等級的關系:
表1
[受侵害的客體\&一般損害\&嚴重損害\&特別嚴重的損害\&公民、法人和組織的合法權益\&第一級\&第二級\&第二級\&社會利益、公共秩序\&第二級\&第三級\&第四級\&國家安全\&第三級\&第四級\&第五級\&]
對于基礎數據的描述雖然也能顯示出關于信息安全系統定級的重要意義,但是從系統的客觀問題以及隨時可能出現威脅和侵害的現象角度觀察,很多關于信息安全等級定級的新方法還不能保證定級結果的準確性,很多定級報告不完善,缺乏依據,主觀判斷成分多,無法將信息安全系統的真實情況反映給決策層,對于工作的開展沒有好處。
4 等級保護流程
等級保護的工作是循環的、動態發展的。將等級保護工作視為循環性強的工作對于工作流程加以分析,最終得到的是等級保護工作的流程圖:
定級階段:系統劃分、等級確定;填寫表格;
初步備案階段:上報材料、專家評審,不符合安全等級規定的重新定級,最終進入初備案。
測評階段:選定機構、測評、出具報告;
整改階段:制訂方案、專家論證、提出整改措施并實施;
復評階段:對定級方案進行復評,得到最終的備案;
根據等級保護制度接受監管的階段。
需要說明的是,等級保護工作的初始階段:定級工作可以采用自行定級的方法,也可以委托第三方機構進行監管和測評。定級工作是所有階段工作的基礎。初備案階段有一個重新定級的環節,主要是如果出現不公平、不公正或者定級不合格的情況,要對信息系統的等級評定工作進行復評選,并達到等級保護的要求,才能進行最終的備案。
5 信息安全定級方法
1)定流程是參照定級指南進行的,包括了業務信息和系統服務等內容。首先是確定定級對象,然后確定業務信息安全受到破壞和侵害的客體,以及系統服務安全受到破壞和侵害的客體。兩方面都要進行客體的侵害程度的評定,前者得出業務信息安全等級,后者得出系統服務安全等級,最后形成了定級對象的安全保護等級。
定級對象的選取根據定級指南的規定,具有一些特征,首先是擁有安全責任單位,第二是信息系統要素,第三是承載單一和獨立的業務。在定級對象的業務應用上應該擁有共享的機房基礎環境和網絡設備等,這樣就不會產生重復出現的定級對象。而且將物理環境、網絡資源等納入到信息系統中,形成具有單獨優先定級權限的定級對象[1]。
對于受侵害的客體的損害程度的評分,要對危害后果等進行權重分析。參照的依據包括國家安全、社會利益、公眾秩序、公民法人和組織的權益。客體的侵害程度在定x和解釋上是簡單而抽象的,要對危害程度進行具體的描述,就要規避主觀判斷、依據不足的問題。對客體的侵害程度進行確定,是需要參考很多元素的,要得到一個準確的定量,可以采用評分表的方法對危害后果予以打分。
表2
[危害后果\&得分\&權重\&影響工作職能形式\&\&\&降低業務能力\&\&\&引起糾紛需要法律介入\&\&\&財產損失\&\&\&社會不良影響\&\&\&損害到組織和個人\&\&\&其他影響\&\&\&]
根據對表格中的打分得到的數值和權重的分析,可以得出定級對象被破壞后可能產生的危害以及后果。不存在危害的數值為0,有危害程度較輕的數值為1,有危害程度較高的為2,后果嚴重的為3。不同的信息系統在服務內容、范圍、對象上都不同,因此不同的得分和權重最能反映信息安全系統的實際情況。
確定安全保護等級是在所有流程結束后,得到的結論。這個結論包括客體對等級對象的侵害造成的危害,信息安全的保密性、可用性的情況,系統服務安全的及時性、有效性的問題等等。當業務信息安全和服務系統的客體侵害程度不同時,就要在定級過程中處理不同的危害后果。
2)定級表格的細化是為定級報告模板提供基礎數據,并保證信息安全系統穩定可靠的重要保障。當系統內部問題導致其難以支撐定級結果后,采用系統定級的方法,就能夠將信息系統的情況記載道定級表中。定級表包括了定級系統的用戶情況以及定級系統的業務職能等情況,例如在行業和部門內的地位和作用。定級系統需要有備份系統作為應急措施,保證定級系統在關聯系統受到破壞后不會受到數據傳遞等的影響。
6 案例分析
按照等級保護工作測評和定級的規定,確定信息系統的等級。某政府網站信息系統包括的板塊為:政務公開、地方行政、法制建設、管理措施、領導講話、網上辦事大廳、新聞動態、政府公告、舉報建議等,還專門開辟了一個下載板塊,方便下載有用的電子表單加以填報。
在這個政府網站的信息系統中,制訂了符合信息安全等級保護定級指南的流程和標準,通過分析,判斷,研究等流程確定定級的系統。該網站的擁有者設立的專門的政府網站平臺,由指定部門確定相關資料的搜集、采集、整理的過程方案。在這套流程中,信息生產者為企業,產生的資料是信息,管理信息的手段是利用科學技術,對外承擔政務信息,擁有獨立的業務,如辦事流程、新聞會等。將各類任務的環境加以構建,就形成了政府網站中具有基本特征和要素的定級對象。對定級客體的邀請,要采取分析的方法,確保信息系統內的保密性和可用性。實際操作中只要能夠保證信息的完整性和通用性,又增強了制作、、管理的職能建設,激發出參與者的完整性和保密性。提高可用概率。而系統服務安全有力地支撐著系統安全運行,并為信息安全系統提供有效的服務,達到地方網站發揮在定級中的作用,幫助提供服務,滿足消費者的需求。采用了這種方法,網站信息系統的業務信息安全和系統服務安全都將是今后在企業運用中需要特別加以注意的。
例如:對于受侵害的客體,必須說明客體的情況,是否受到法律保護,等級保護中牽扯到的社會關系和合法權益。尤其是針對信息系統的客體的先后順序進行判斷,結合政府平臺,實施政務信息公開。如果做不到政務信息公開,政府就要設置管理界限,發揮人的主觀能動性,在知情權、業務能力、投訴與批評等階段加大業務辦理力度,最大可能地維護法人和代表組織的知情權,排棄受到破壞的客體,法人由于難以摻入個人組織中,直接投訴合法的法律法規,由于業務施工的進度過快,環節紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業務、舉報、投訴等。
對于客體造成的侵害進行后果的分析,無論是大型門戶網站,還是在金融政策引領下,親自感受到客體檢查結果的影響,如信息安全管理等,都要注重網絡平臺的臨時性。
7 結束語
要做好信息系統的安全保護等級的確定,就要采取正確的 (下轉第51頁)
(上接第46頁)
策略以及方法,對信息安全管控產生依賴,保護過程中采取正確的策略和方法,等等。信息系統、安全等級保護不足的問題,都要求管理覺決策層加熬煮。在實際運行中,還要以定級指南為指導,綜合信息系統的業務特征,切實推動信息技術等級保護工作的大力發展。
參考文獻:
第3篇:信息安全防護方法范文
1 計算機信息安全的相關概念
計算機信息安全是指現代計算機網絡通信所需要的內部和外部環境,主要的保護對象為計算機信息通信系統中硬件及軟件等數據信息,在運行過程中使其免受木馬、盜號、惡意篡改信息等黑客行為,從而保障計算機網絡服務的安全、穩定運行。因此,計算機信息安全指的是保障信息在網絡傳輸是能抵御各種攻擊,并對系統產生的各種安全漏洞進行自我修復或發出預警指示提醒信息管理人員及時采取相應措施。計算機信息安全所涉及的系統信息數據極為龐大,主要包括計算機ID信息、硬件資源、網絡服務器地址、服務器管理員密碼、文件夾密碼以及計算機系統不斷變換與更新的各類登錄用戶名和密碼信息等內容。從整體來來歸類,可以將計算機信息安全劃分為信息的存儲安全和傳輸安全兩大類。
2 計算機信息安全技術防護的內容
計算機信息安全防護技術所包含的內容較為繁雜,從現階段安全技術應用的實際情況來看,強化計算機安全防護技術可以從安全技術管理入手。安全管理包含的主要內容為:對計算機系統進行安全檢測和漏洞修補、分析系統數據、安裝系統防火墻、設置管理員密碼、安裝正版殺毒軟件、對系統進行定期不定期的入侵檢測掃描等。同時,計算機安全防護管理人員應積極的研究并完善信息安全管理制度,嚴格根據管理條列規范安全防護行為,加強對管理人員的安全知識培訓,提高其安全防護意識。
3 提高計算機信息安全的策略
為了提高計算機信息安全防護水平,保護國家和個人的信息與財產安全,以充分發揮計算機科學技術的社會和經濟效益,我們應從以下幾個方面來加強計算機信息安全防護工作。
3.1 提高計算機信息安全防護意識,加強法律立法
隨著計算機網絡技術的高速發展以及個人PC機、移動終端的大眾化使用,隨之而來的信息安全威脅與日俱爭,一方面是由于計算機操作使用者的技術門檻要求過低;另一方面是計算機安全防護技術與黑客技術的發展所呈現出的矛盾性。無論是國家部門還是企事業組織對職工的安全防護知識力度的不足,更導致計算機安全事故頻發。因此,要提高計算機信息安全防護技術水平,首要加強法律立法,對各種黑客入侵和人為惡意破壞行為進行法律上的制裁;同時,國家應出臺并完善計算機安全防護管理條例,使計算機信息安全防護工作有法可依,有法可循。針對認為操作失誤而導致的計算機安全事故,應做好對相關人員的安全防護知識教育工作,提高其安全防護意識,從思想上認知到計算機安全防護知識對維護個人和集體財產安全的重要性。企事業單位應將掌握一定的計算機安全防護知識作為職工聘任標準之一,并將這一標準加入到職工考核之中,在各類組織結構內容構建計算機信息安全管理條例,以規范人們的日常行為。
3.2 計算機信息安全防護的具體技術
1)設立身份驗證機制。身份驗證機制即是確認訪問計算機信息系統的具體個人是否為系統所允許,最主要的目的是防止其他個人的惡意欺詐和假冒攻擊行為。對身份驗證通常有三種方法:①設立管理員登陸密碼和私有密鑰等;②通過特殊的媒介進行身份驗證,如網銀登陸所需要的U盾,管理員配置的IC卡和護照等;③通過驗證用戶的生物體征來達到密碼保護的功能,如IPHONE的HOME鍵指紋識別功能,或者其他的視網膜識別和筆跡識別等。
2)設定用戶操作權限。結合計算機信息數據的具體應用,設置不同的個體訪問、修改、保存、復制和共享權限,以防止用戶的越權行為對信息安全系統所帶來的潛在威脅。如設置計算機PC端的管理員和訪客密碼,文件的可修改、可復制權限等。
3)加密計算機信息數據。信息數據的加密即是通過美國改變信息符號的排列足組合方式或設置對象之間的身份識別機制,以實現只有合法用戶才能獲取信息的目的。計算機信息加密方法一般分為:信息表加密、信息記錄加密以及信息字段加密等。其中計算機信息記錄的加密處理方式因其操作方式便利、靈活性高、選擇性多而受到較為廣泛的應用。如網絡聊天工具的異地登錄聊天信息查詢的密碼登錄功能。
3.3 網絡安全監測
對計算機網絡傳輸帶寬進行合理分配,并預留相應的空間,以滿足網絡使用高峰期的資源需求,并控制網絡IP訪問,設置IP過濾和黑名單功能,關閉系統的遠程控制與撥號功能。局域網內設置用戶訪問、復制、修改與共享權限,有WIFI的局域網設置相應的密鑰。同時,要監測端口掃描、木馬攻擊、服務攻擊、IP碎片攻擊、惡意插件下載與安裝等潛在的信息安全威脅。對操作終端安裝殺毒軟件,定期的進行全盤掃描和殺毒,以及時的檢測系統是否存在惡意攻擊代碼,系統不能刪除的文件要進行手動清除。
第4篇:信息安全防護方法范文
在社會經濟與科技水平都得到迅速發展的今天,電力企業的發展也邁向了一個新臺階,信息安全防護技術在電力系統中的應用也逐漸增加,電力信息系統的建設與維護比較復雜,主要的是要加強其安全防護能力,避免產生信息漏洞對電力系統造成安全威脅。
【關鍵詞】電力系統;信息安全;防護
電力資源在整個社會的發展中都占據著十分重要的地位,而且人們的日常生活與生產活動都離不開對電力資源的使用,其形式比較多樣化,電力系統屬于一項比較復雜的體系,有時會在供電方面產生不穩定的情況,如果一個地方的電力系統發生故障就可能會影響周邊的一片區域,對人們的生活、生產活動造成不便。
1電力系統中信息安全防護技術的發展現狀
電力系統中所涉及到的信息安全防護工作最主要的就是與電力負荷管理以及電力生產營銷、電網調度自動化、安全設備等相關的工作內容,而且它還屬于電力系統中比較復雜的一項工程類型,在現階段的發展中,電力行業的發展逐漸加速,其中電力系統所應用的信息安全防護技術也獲得了不小的進步,這使得電力系統信息安全防護技術的管理機構的工作效率得到了有效的提升。不過,還是存在一些電力企業為了單純的追逐經濟利益而對電力系統的管理工作存在輕視,電力系統信息安全防護方面的建設缺乏足夠的重視,還需要進一步的完善,從而使得電力系統在信息安全方面缺乏一個比較全面的規劃,這對于電力企業的經濟進步產生著很大的阻礙。在電力系統開展的信息安全防護工作需要不斷的對防護技術進行完善和規范,這不僅是電力系統運行質量水平方面的需求也是電力企業獲得長久發展以及獲得經濟效益的保障,通常情況下,電力企業的信息安全防護工作人員在專業能力以及專業素質方面比較不足,對相關技術知識的了解、應用和標準化施工了解的不是很全面和透徹,而且其在電力信息安全防護方面掌握的技術也得不到充分的利用,這些方面的狀況都對電力系統信息安全防護工作的發展產生著不利影響。
2電力系統中信息安全防護技術的分析
2.1電力系統中信息安全的風險評估技術
風險評估(VulnerabilityAssessment)是電力網絡系統安全防護中的一項重要技術,主要有關注軟件所在主機上面的風險漏洞與通過網絡遠程探測其他主機的安全風險漏洞兩方面的內容[1]。這一信息技術系統主要的工作目標就是完成服務器、數據庫以及工作站等設施的工作對象,按照信息網絡中存在的安全漏洞存儲庫以及其他安全管理機制、安全防護措施等來對電力系統的各個工作目標可能存在的安全問題進行全面的掃描以及檢查,然后對檢查的對象中包含的信息進行提取,對其存在的安全風險等級情況進行進一步的評估總結,由此對電力系統運行的安全狀況進行正確的判斷,提出準確的安全改善建議和進步的對策。這種電力系統安全風險分析的實現需要借助網絡漏洞掃描技術的應用,在工作操作中,風險評估可以作為一種有效的輔助手段來應用,但是真正的信息安全防護的開展還要主要借助防火墻、IPSec、VPN等技術來實現。
2.2電力系統中信息安全防護的物理隔離技術
物理隔離有橫向隔離和縱向隔離兩種方式,橫向隔離裝置是采用電力專用密碼算法設計、專用于電力系統的一種單向隔離設備,安裝在生產控制大區與管理信息大區之間[2]。這種橫向的隔離技術,其設備在運行過程中可以實現兩個安全區之間的物理形式的隔離,對FTP、E-Mail、Wed等網絡通用的服務技術項目進行禁止,還可以將使用B/S或者C/S方式的數據庫進行隔離設備的穿越、訪問等操作進行阻攔。另外,物理隔離中包含的縱向隔離設備主要的使用的是數字加密、認證以及訪問過濾等技術類型,它屬于一種在電力系統中的縱向加密的認證設備中專門使用的技術,主要使用在上下級企業生產管理大區的網絡邊界之中,作用就是完成縱向網絡信息邊界的安全防護工作與數據的遠方安全傳輸工作,確保電力系統中生產管理大區的信息傳輸的不可逆性以及完整性。
2.3電力系統中信息安全防護的IPSec技術分析
因特網協議安全性是為IPv4和IPv6協議提供加密服務的,其使用網絡認證協議和封裝安全載荷協議來保證其安全。使用因特網中的安全關聯以及密鑰管理協議、因特網簡單交換密鑰協議可以開展密鑰的控制管理及交換等操作。電力系統信息安全防護技術中的IPSec安全服務技術主要有對網絡信息的訪問數量進行管理,還有無連接數據完整性、數據源認證、信息加密以及通信機密性限制等作用。其中,訪問方面的管理控制在IPSec技術中需要使用身份認證制度、數字簽名標準以及公鑰加密等進行認證,提高了信息流通的保密性,在無連接完整性的操作中則要使用數據源驗證這一方式來實現。另外,IPSec技術抗重播功能可以有效的防止攻擊者進行IP包復制與截取操作。在電力系統工作中接收到IP包之后,需要使用同一個驗證碼以及算法來進行數據的驗證,如果結果與MAC中的一樣,才可以通過這一驗證。
2.4電力系統信息安全防護的VPN技術應用
虛擬網絡是指采用隧道技術、身份認證等方法,建立一個將遠程用戶、公司分支機構、公司合作伙伴等與企業內網連接起來的安全數據專用通道。通過對VPN技術的應用電力企業與其用戶能夠實現對公共互聯網的運用,從而與分部的網絡、其他遠程的服務網絡、企業的網絡等系統進行連接,而且可以起到保護電力系統網絡通信安全的作用。VPN技術在實際的應用中具備安全性能好、管理規范化以及服務質量高、成本低、靈活等特點,在電力單位的運行中,應盡量的使用VPN技術產品來對其中重要的業務信息跨部門或者跨地區的傳輸實行加密處理,這樣可以對信息的安全傳輸過程進行保障。但是在具體的應用中,需要注意幾個方面的問題:①VPN的服務協議在實施的過程中要與現有的網絡協議內容保持一致性。②在實施VPN服務的企業中的部門機構需要合理選擇其中的密鑰技術類型以及加密形式、密鑰長度等,這樣才可以促進網絡負載與安全發展中的平衡發展。
3電力系統中信息安全防護技術的發展趨勢
電力系統中包含的信息安全防護技術除了以上的幾種之外還包括存取控制、安全協議、身份驗證等這些已經得到了廣泛應用的安全技術類型,主要是由防病毒、安全審計、硬件密碼加速等相關技術的一種集成,這種技術的結合發展成為的GAP技術產品對于電力系統網絡的連接的靈活性提高更有幫助,這樣形式的安全防護技術的結合在電力系統信息安全管理中的發展潛力比較大。而且IPSecVPN技術也有向SSLVPN這一方向發展的趨勢。總體來說,電力系統信息安全工作比較復雜和系統化,不僅涉及到網絡安全技術的發展程度,而且與網絡的系統復雜程度及發展層次有著很大的聯系,所以,電力系統中信息安全網絡的防護應采用分層次、分區域的進行管理防護。
4結語
在電力系統中信息安全防護技術的實際應用與技術方面的安全措施對比,建立完善的安全管理制度以及提高安全防護意識顯得更加重要,信息安全防護的工作需要不斷提高重視,在提高系統安全性的同時還需要加強安全方面的監管,確保電力系統的穩定、安全的運行。
參考文獻
[1]朱世順,余勇.信息安全防護技術在電力系統中的最佳實踐[J].電力信息化,2009,04:24~26.
第5篇:信息安全防護方法范文
一、2015年工控安全漏洞與安全事件依然突出
通過對國家信息安全漏洞庫(CNNVD)的數據進行分析,2015年工控安全漏洞呈現以下幾個特點:
1.工控安全漏洞披露數量居高不下,總體呈遞增趨勢。受2010年“震網病毒”事件影響,工控信息安全迅速成為安全領域的焦點。國內外掀起針對工控安全漏洞的研究熱潮,因此自2010年以后工控漏洞披露數量激增,占全部數量的96%以上。隨著國內外對工控安全的研究逐漸深入,以及工控漏洞的公開披露開始逐漸制度化、規范化,近幾年漏洞披露數量趨于穩定。
2.工控核心硬件漏洞數量增長明顯。盡管在當前已披露的工控系統漏洞中軟件漏洞數量仍高居首位,但近幾年工控硬件漏洞數量增長明顯,所占比例有顯著提高。例如,2010年工控硬件漏洞占比不足10%,但是2015年其占比高達37.5%。其中,工控硬件包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)、智能儀表設備(IED)及離散控制系統(DCS)等。
3.漏洞已覆蓋工控系統主要組件,主流工控廠商無一幸免。無論是國外工控廠商(如西門子、施耐德、羅克韋爾等)還是國內工控廠商(研華),其產品普遍存在安全漏洞,且許多漏洞很難修補。在2015年新披露的工控漏洞中,西門子、施耐德、羅克韋爾、霍尼韋爾產品的漏洞數量分列前四位。
二、工控信息安全標準需求強烈,標準制定工作正全面推進
盡管工控信息安全問題已得到世界各國普遍重視,但在工業生產環境中如何落實信息安全管理和技術卻沒有切實可行的方法,工控信息安全防護面臨著“無章可循”,工控信息安全標準已迫在眉睫。當前,無論是國外還是國內,工控信息安全標準的需求非常強烈,標準制定工作也如火如荼在開展,但工控系統的特殊性導致目前工控安全技術和管理仍處探索階段,目前絕大多數標準正處于草案或征求意見階段,而且在設計思路上存在較為明顯的差異,這充分反映了目前不同人員對工控信息安全標準認識的不同,因此工控信息安全標準的制定與落地任重道遠。
1.國外工控信息安全標準建設概況
IEC 62443(工業自動化控制系統信息安全)標準是當前國際最主要的工控信息安全標準,起始于2005年,但至今標準制定工作仍未結束,特別是在涉及到系統及產品的具體技術要求方面尚有一段時日。
此外,美國在工控信息安全標準方面也在不斷推進。其國家標準技術研究院NIST早在2010年了《工業控制系統安全指南》(NIST SP800-82),并2014年了修訂版2,對其控制和控制基線進行了調整,增加了專門針對工控系統的補充指南。在奧巴馬政府美國總統第13636號行政令《提高關鍵基礎設計網絡安全》后,NIST也隨即了《關鍵基礎設施網絡安全框架》,提出“識別保護檢測響應恢復”的總體框架。
2.國內工控信息安全標準建設概況
在國內,兩個標準化技術委員會都在制定工控信息安全標準工作,分別是:全國信息安全標準化技術委員會(SAC/TC260),以及全國工業過程測量與控制標準化技術委員會(SAC/TC 124)。
其中,由TC260委員會組織制定的《工業控制系統現場測控設備安全功能要求》和《工業控制系統安全控制應用指南》處于報批稿階段,《工業控制系統安全管理基本要求》、《工業控制系統安全檢查指南》、《工業控制系統風險影響等級劃分規范》、《工業控制系統安全防護技術要求和測試評價方法》和《安全可控信息系統(電力系統)安全指標體系》正在制定過程中,并且在2015年新啟動了《工業控制系統產品信息安全通用評估準則》、《工業控制系統漏洞檢測技術要求》、《工業控制系統網絡監測安全技術要求和測試評價方法》、《工業控制網絡安全隔離與信息交換系統安全技術要求》、《工業控制系統網絡審計產品安全技術要求》、《工業控制系統風險評估實施指南》等標準研制工作。
TC124委員會組織制定的工控信息安全標準工作也在如火如荼進行。2014年12月,TC124委員會了《工業控制系統信息安全》(GB/T 30976-2014),包括兩個部分內容:評估規范和驗收規范。另外,TC124委員會等同采用了IEC 62443中的部分標準,包括《工業通信網絡網絡和系統安全術語、概念和模型》(JB/T 11961-2014,等同采用IEC/TS 62443-1-1:2009)、《工業過程測量和控制安全網絡和系統安全》(JB/T 11960-2014,等同采用IEC PAS 62443-3:2008)、《工業通信網絡網絡和系統工業自動化和控制系統信息安全技術》(JB/T 11962-2014,等同采用IEC/TR 62443-3-1:2009),此外對IEC62443-2-1:2010標準轉標工作已經進入報批稿階段,并正在計劃對IEC 62443-3-3:2013進行轉標工作。除此之外,TC124委員會組織制定的集散控制系統(DCS)安全系列標準和可編程控制器(PLC)安全要求標準也已經進入征求意見稿后期階段。
由于不同行業的工業控制系統差異很大,因此我國部分行業已經制定或正在研究制定適合自身行業特點的工控信息安全標準。2014年,國家發改委了第14號令《電力監控系統安全防護規定》,取代原先的《電力二次系統安全防護規定》(電監會[2005]5號),以此作為電力監控系統信息安全防護的指導依據,同時原有配套的防護方案也進行了相應的更新。在城市軌道交通領域,上海申通地鐵集團有限公司2013年了《上海軌道交通信息安全技術架構》(滬地鐵信[2013]222號文),并在2015年以222號文為指導文件了企業標準《軌道交通信息安全技術建設指導意見》(2015,試行)。同時,北京市軌道交通設計研究院有限公司于2015年牽頭擬制國家標準草案《城市軌道交通工業控制系統信息安全要求》。在石油化工領域,2015年由石化盈科牽頭擬制《中石化工業控制系統信息安全要求》等。
三、工控安全防護技術正迅速發展并在局部開始試點,但離大規模部署和應用有一定差距
當前許多信息安全廠商和工控自動化廠商紛紛研究工業控制系統的信息安全防護技術并開發相應產品,近幾年出現了一系列諸如工控防火墻、工控異常監測系統、主機防護軟件等產品并在部分企業進行試點應用。比較有代表性的工控安全防護產品及特點如下:
1.工控防火墻 防火墻是目前網絡邊界上最常用的一種安全防護設備,主要功能包括訪問控制、地址轉換、應用、帶寬和流量控制等。相對于傳統的IT防火墻,工控防火墻不但需要對TCP/IP協議進行安全過濾,更需要對工控應用層協議進行深度解析和安全過濾,如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應用層協議的深度檢測,包括控制指令識別、操作地址和操作參數提取等,才能真正阻止那些不安全的控制指令及數據。
2.工控安全監測系統我國現有工業控制系統網絡普遍呈現出“無縱深”、“無監測”、“無防護”特點,工控安全監測系統正是針對上述問題而快速發展起來的技術。它通過數據鏡像方式采集大量工控網絡數據并進行分析,最終發現各種網絡異常行為、黑客攻擊線索等。利用該系統,相關人員能夠了解工控網絡實時通信狀況,及時發現潛在的攻擊前兆、病毒傳播痕跡以及各類網絡異常情況,同時,由于該系統是以“旁路”方式接入工控網絡中,不會對生產運行造成不良影響,因此更容易在工控系統這種特殊環境下進行部署和推廣。
3.主機防護產品在工業生產過程中,人員能夠通過工程師站或操作員站對PLC、DCS控制器等設備進行控制,從而實現閥門關閉、執行過程改變等操作。這些工程師站、操作員站等主機系統就變得十分重要,一旦出現問題,比如感染計算機病毒等,就會對正常生產造成較大影響。近年來發生的由于工程師站或操作員站感染計算機病毒最終導致控制通信中斷從而影響生產的報道屢見不鮮。加強這些重要主機系統的安全防護,尤其是病毒防護至關重要。但是,傳統的基于殺毒軟件的防護機制在工控系統中面臨著很多挑戰,其中最嚴重的就是在工控網絡這樣一個封閉的網絡環境中,殺毒軟件無法在線升級。另外,殺毒軟件對未知病毒、變異病毒也無能為力。在此情況下,基于白名單的防護技術開始出現。由于工控系統在建設完成投入運行后,其系統將基本保持穩定不變,應用單一、規律性強,因而很容易獲得系統合法的“白名單”。通過這種方式就能夠發現由于感染病毒或者攻擊而產生的各種異常狀況。
4.移動介質管控技術在工控網絡中,由于工控系統故障進行維修,或者由于工藝生產邏輯變更導致的工程邏輯控制程序的變更,需要在上位機插入U盤等外來移動介質,這必然成為工控網絡的一個攻擊點。例如,伊朗“震網”病毒就是采用U盤擺渡方式,對上位機(即WinCC主機)進行了滲透攻擊,從而最終控制了西門子PLC,造成了伊朗核設施損壞的嚴重危害后果。針對上述情況,一些針對U盤管控的技術和原型產品開始出現,包括專用U盤安全防護工具、USB漏洞檢測工具等。
總之,針對工控系統安全防護需求及工控環境特點,許多防護技術和產品正在快速研發中,甚至在部分企業進行試點應用。但是,由于這些技術和產品在穩定性、可靠性等方面還未經嚴格考驗,能否適用于工業環境的高溫、高濕、粉塵情況還未可知,再加上工控系統作為生產系統,一旦出現故障將會造成不可估量的財產損失甚至人員傷亡,用戶不敢冒然部署安全防護設備,因此目前還沒有行業大規模使用上述防護技術和產品。
四、主要對策建議
針對2015年工控信息安全總體情況,提出以下對策建議:
1.進一步強化工控信息安全領導機構,充分發揮組織管理職能。
2.對工控新建系統和存量系統進行區別對待。對于工控新建系統而言,要將信息安全納入總體規劃中,從安全管理和安全技術兩方面著手提升新建系統的安全保障能力,對關鍵設備進行安全選型,在系統上線運行前進行風險評估和滲透測試,及時發現安全漏洞并進行修補,避免系統投入生產后無法“打補丁”的情況。對于大量存量系統而言,應在不影響生產運行的情況下,通過旁路安全監測、外邊界保護等方式,形成基本的工控安全狀況監測和取證分析能力,徹底扭轉現階段對工控網絡內部狀況一無所知、面對工控病毒攻擊束手無策的局面。
3.大力推進工控安全防護技術在實際應用中“落地”,鼓勵主要工控行業用戶進行試點應用,并對那些實踐證明已經成熟的技術和產品在全行業進行推廣。
4.建立工控關鍵設備的安全測評機制,防止設備存在高危漏洞甚至是“后門”等重大隱患。
第6篇:信息安全防護方法范文
1計算機信息安全概述
實際應用過程中,計算機信息技術涉及較多環境,包括計算機系統、軟件、硬件以及數據傳輸等方面,均需要在定時檢測的基礎上不斷維護。此期間,若不做好相關檢測工作,會導致計算機系統遭受較大的病毒攻擊,從而引發安全問題。對此,應做好計算機硬件、軟件以及系統的保護工作,保證數據信息的完整性與安全性,以防他人盜取信息,威脅計算機的正常運行。此外,應加大計算機信息安全的監護工作,及時進行日常安全監測,切實保護用戶信息的安全。
2計算機信息安全防護工作存在的問題
第一,泄露個人隱私。網絡環境下,個人信息易被泄露,無法保障個人的隱私性。不法分子會利用這些信息進行詐騙,導致用戶出現較為嚴重的財產損失。第二,不法分子的攻擊。當前,不法分子為了個人利益攻擊系統漏洞,導致系統癱瘓,同時,計算機安裝的軟件系統不完善,被攻擊的系統會丟失很多重要信息,尤其是商業機密,造成十分嚴重的后果。第三,泄露個人信息。當用戶日常沒有關注安全防護時,會導致信息泄露,比如大學生在網吧選課時忘記退出登錄,他人登錄時會顯示信息。第三,計算機安全防護系統不完善,導致黑客易侵入系統。這主要是商家在安裝計算機系統時沒有徹底檢查安全性。對此,用戶應選擇正規廠家的計算機系統,營造安全的防護環境,降低被攻擊的概率[1]。
3計算機信息安全技術分析
計算機信息安全技術主要保障信息的安全性與隱私性,主要包括防火墻技術、系統保密技術、計算機防護技術、身份認證技術以及訪問控制技術等。
3.1網絡系統防火墻
防火墻技術可以有效保障信息的安全性,抵抗外來不良因素的入侵,避免這些因素攻擊計算機系統。對此,應做好計算機網絡系統防火墻的建設工作,通過智能防護系統,有效分辨數據信息,避免不良因素對計算機產生不利影響。防火墻技術可以為計算機系統提供更多安全保障,切斷黑客的入侵途徑,降低網絡攻擊的發生幾率。由此看出,為了充分保障計算機信息安全性,應有效采用防火墻技術,減少數據隱私被偷盜的可能性,通過強化防火墻提高計算機信息技術的安全性。
3.2網絡系統保密技術
信息數據傳輸的重要途徑是網絡系統,但數據在實際傳輸期間極易發生被盜竊的問題,不利于保證信息的隱私性。而通過網絡安全保密技術,可以保證數據的隱私性與穩定性,為數據提供堅實的防護體系。對此,應將保密技術應用于計算機網絡安全系統,采用公鑰與密鑰的方法進行加密,為人們建立安全性高且更為牢固的數據信息系統。此外,網絡系統保密技術可以實現自動保護,系統可以對被惡意篡改的數據進行反應,阻斷惡意程序,防止其破壞數據信息。為了切實提高數據信息的隱私性與安全性,應有效采用網絡系統保密技術,保證正常的網絡秩序,充分發揮計算機信息技術的實際作用[2]。
3.3防護技術
防護技術可以及時檢查與發現計算機系統存在的漏洞問題,并進行針對性修復,切實提高系統運行的安全性。對此,連接互聯網的計算機可以采用防護技術進行安全保護,將防護軟件與檢測軟件安裝至計算機客戶端,有效抵抗外來病毒的入侵,及時有效鑒別、分析木馬和病毒等,針對性制定相關防護方案。通過防護技術,可以及時發現計算機系統存在的威脅因素,并在整個計算機網絡中應用系統防護措施,提高計算機運行的安全性,保證信息數據傳輸的穩定性與可靠性。
3.4多種身份認證方法
計算機信息安全保障過程中,身份認證占據十分重要的地位。其可以連接互聯網與信息系統,提供多種身份認證模式,保證數據的安全性與穩定性。當前,身份認證的主流方法包括智能臉識別、指紋識別以及手機短信驗證等,其與傳統密碼方式有效結合,可以保障用戶信息與計算機系統的安全性。此外,可以采用黑名單機制,將非法登錄的用戶納入黑名單,并及時有效管理,從而切實保障計算機信息網絡的安全性。
3.5訪問控制技術
計算機系統安全方面,訪問控制技術發揮十分關鍵的作用,屬于核心技術,其主要避免計算機信息被非法訪問。系統訪問控制方面,系統可以鑒別不同的用戶信息,識別不同的用戶角色,只有符合條件要求的用戶才可以查看系統的資源信息,并具備系統使用權限。目前,多數計算機系統已安裝了訪問控制權限模式。為了進一步增強信息防護的有效性,相關技術人員可以有效控制操作系統與安全器,保證網絡環境的安全性。通過安全操作系統,可以為計算機系統提供可靠的服務平臺,技術人員通過此平臺可以監控各類型網站,及時解決存在的漏洞問題,保證各類網站正常運行。此外,安全服務器可以保證局域網信息的安全性,促使技術人員強化管理控制局域網,并做好局域網相關事項的審核與檢查工作。通過網絡訪問控制技術,計算機系統可以做好外部用戶訪問限制工作,也可以控制計算機訪問外部用戶,從兩方面保證計算機數據信息的安全。
4計算機信息安全防護策略
為了保證計算機信息安全防護工作順利進行,相關技術人員應采用有效的安全技術,保證互聯網的可靠性與安全性,同時,時刻警惕計算機用戶,確保系統正常運行,減少黑客入侵的幾率。第一,專業技術人員應做好計算機病毒防護工作。病毒可以通過網絡在計算機系統中快速傳播,造成十分嚴重的影響。對此,應將殺毒軟件與安全工具及時安裝至用戶計算機,并采用科學合理的防護技術,避免黑客入侵,從根本上保證系統安全。第二,重視使用計算機信息安全技術,比如系統保密技術、網絡防火墻技術、防護技術、訪問控制技術以及身份認證技術等,保證數據信息的安全性。信息安全技術使用過程中,應確保合理化與規范化,企業應建立完善可行的監管機制,全面監督,保障安全技術的有效使用。企業應針對的建立信息安全管理機制,并強化信息管理人員的培訓力度,嚴格檢查涉及企業機密的信息,并及時做好數據備份工作。企業使用計算機信息安全技術時,應監管系統使用者,保證用前預約、用完登記,做好相關記錄工作,將信息技術安全防護措施真正落實到各個部門與個人。此外,應強化計算機使用者的安全防護意識,增大防護力度,企業、政府機構以及個人應具備安全警惕意識,不隨意點擊網絡鏈接,不隨意在計算機中安裝來歷不明的軟件。管理人員也應提高自身技術水平,有效應對突發事件,政府機構應加大病毒傳播與網絡攻擊的打擊力度。
第7篇:信息安全防護方法范文
隨著計算機技術與網絡技術的不斷發展,計算機信息化技術在各個領域內的應用越來越普及。對于水電廠而言,利用先進的計算機信息技術不僅大大提升了工作的效率與質量,還能實現信息的快速處理和全面分析,方便、快捷地完成各部門之間的信息傳遞、信息共享。
關鍵詞:
水電廠;計算機;信息安全;水情監測
水電廠作為國家重要基礎設施,直接影響著人們的正常生活,其計算機信息安全防護的重要性及戰略意義重大。然而,在當前的信息化時代,水電廠在利用計算機技術與網絡技術來方便生產經營的同時,也面臨著諸多的計算機信息安全隱患。比如監控系統、信息管理系統、水情監測調整系統等子系統之間的網絡連接與信息交換的過程中,存在著較大的信息安全風險,一旦信息遭到破壞,將會影響水電廠的信息數據的安全性、完整性,甚至擾亂整個水電廠信息系統的正常運行,給水電廠的生產經營帶來極大的損失。
1存在的主要問題
現階段,計算機信息安全已經成為信息化時代普遍存在的問題,以水電廠為例,其計算機信息存在的主要問題如下。
1.1子系統訪問控制權限設置不合理
水電廠信息系統是由多個子系統組成的,在水電廠運作時,各子系統之間將會產生頻繁的信息交換與信息共享。而部分水電廠子系統擁有的訪問控制權限是一致的,一旦黑客利用某個子系統存在的漏洞侵入并竊取水電廠內部信息資源與數據,各類信息數據的安全性將會遭到破壞,某些黑客甚至還可以通過子系統的漏洞侵入到其他系統,直接影響到整個系統的安全性。
1.2各系統之間的相對獨立性較小
水電廠信息系統大致可以分為3類,包括信息資源管理系統、電力生產系統以及安全防護系統,從目前來看,部分水電廠各系統之間的相對獨立性不強。水電廠可能考慮到各系統保持相對獨立性將會在系統開發與基礎設施上投入更多的成本,就沒有進行系統隔離,這就導致在系統實際的運行過程中,一旦其中一個系統出現問題或故障,將會直接影響到其他系統的運行,大大增加水電廠系統的風險性與影響范圍。
1.3網絡防護措施不全面
部分水電廠的信息資源控制管理系統會與外網,即萬維網進行連接,這些是水電廠信息安全防護的重點。而現階段,往往由于技術的限制導致網絡防護措施不夠全面,如果一些黑客利用網絡連接的漏洞侵入到系統竊取或篡改電力信息資源系統或生產系統的數據,利用竊取的數據與外界進行利益交易,或者直接對生產系統進行破壞,將會對水電廠的運行造成極大的損害,引發極為嚴重的后果。
2水電廠計算機信息安全對策
2.1合理設置各子系統權限
在設置水電廠各子系統的訪問控制權限時,要結合水電廠的實際生產需要與子系統的實際功能進行合理設置。計算機信息監控系統要保障監控數據的實時性與精確性,其他的子系統只有對其數據進行單項讀取的權限,而沒有修改數據、命令等操作權限。這樣一來,可大大保障計算機信息監控系統的安全性,防止他人通過子系統對信息監控系統進行侵入或破壞。水電廠系統的其他子系統也要各自設置相應的訪問與控制權限,保障系統的安全性、可靠性與數據信息的真實性、完整性。
2.2加強各子系統之間的相互獨立性
水電廠各子系統之間應保持一定的相互獨立性,比如,電力生產系統與信息資源管理系統可采用雙網同設的方法進行獨立隔離,在這2個系統下的各單元系統盡量不要采用直接網絡連入的方式,而采用相互獨立隔離的網絡連入方式。同時,水情監測調整系統、工業電視系統、火災預防系統等都應留有備份系統以供不時之需,這樣就滿足了可靠性要求。
2.3定期進行全面掃描檢測
為了及時發現與控制計算機信息系統中存在的安全問題與風險,水電廠要定期對所有系統進行全面掃描檢測,包括計算機使用賬號、開機密碼、殺毒軟件安裝率、桌面管理系統安裝率、弱口令檢測等,及時發現整改含有病毒、木馬以及高危漏洞的計算機,同時,對業務系統的賬號權限口令、操作系統弱口令進行及時整改,保障水電廠信息系統的安全、穩定運行。
2.4增強信息安全防護意識
水電廠要定期抽調信息安全專業技術人員對系統操作人員開展信息安全防護培訓,認真細致、全面詳細地傳達計算機系統操作、計算機安全接入的相關規定,對內網準入系統的安裝注冊、桌面管理系統的管理操作、統一數據保護與監控平臺客戶端的安裝使用方法進行詳細講解,使計算機系統操作人員更加明確接入內網計算機的入網要求以及防止弱口令的操作方法,全面提升水電廠訪問操作口令的安全性以及防范高危漏洞的能力,同時,還要積極地向全體員工宣傳計算機信息安全防護的重要性,形成全員重視信息系統安全隱患防范、參與信息系統安全防護的氛圍。
3結束語
水電廠計算機信息安全問題不僅關乎電力企業的安全運轉,還直接影響到人們的正常生活以及電力行業的正常發展。水電廠一定要高度重視計算機信息安全問題,不斷增強全體人員的計算機信息安全防護意識,同時,采用各種物理防護與系統防護措施,有效保障水電廠系統的安全運行。
參考文獻
[1]曹林.淺析水電廠網絡安全防護的策略[J].信息化建設,2016(07).
[2]施星.關于水電廠計算機監控系統網絡安全問題的探究[J].房地產導刊,2015(30).
[3]張在峰.水電廠網絡信息安全防護措施分析[J].中國新通信,2015(14).
第8篇:信息安全防護方法范文
在受調查的中國網民中,遇到過信息安全問題的網民居多占74.1%,未遇到過信息安全問題的網民僅占比例的25.9%(見圖2),說明在過去半年信息安全問題整體發生率較高。采取一定的安全防護措施非常重要,直接影響網民的信息安全。在受調查的網民中,93.3%的網民都安裝了安全軟件,80%以上的網民還采取以下措施:不安裝來歷不明的軟件、不輕易在網上透漏個人真實信息、不隨便點擊可疑的鏈,一半以上的網民認為設置復雜密碼、不同網站設置不同賬號或密碼、使用數字證書對維護個人信息安全也十分重要,1.1%的網民還采取了其它安全防護措施,僅有0.9%的網民沒有采取任何安全防護措施(見圖3)。可見我國網民有較強的信息安全防護意識,安裝安全軟件是我國網民普遍認可的安全防護措施。我國網民對信息安全防護措施關注度較高,預計隨著我國電子商務中信息安全工作的開展,今后我國網民的安全防護意識將進一步提高。我國網民在發生安全事件后大都采取較易實施的方法進行處理如:殺毒、重新安裝軟件、重裝系統、屏蔽該網站。也有11.8%的網民會在網上公布此事,以期引起網民的注意,防止類似事件的發生。少部分網民會向有關部門投訴或采取其它措施來維護自己的權益,但什么都不做的網民仍不占少數(見圖4)。可以看出,我國網民在安全事件發生后處理該事件的積極性不高,采取有效措施處理信息安全事件的網民并不多,什么都不做的網民所占比例相對較高。調查發現電腦網上購物發生的安全問題主要有:欺詐、誘騙信息,假冒網站/詐騙網站,個人信息泄露,賬號或密碼被盜,中病毒或木馬。其中欺詐、誘騙信息及假冒網站/詐騙網站是電腦網上購物發生的主要安全問題,需引起網民的注意(見圖5)。電腦網上購物發生安全事件后僅有不足一半的網民會向網購企業投訴,33.3%的網民會選擇什么都不做,一少部分網民會采取其它處理方法(見圖6)。可見在電腦網上購物所發生的安全事件未給網民造成重大損失時,網民并不會追究網購企業的責任。這一現象勢必會縱容侵權行為的發生,因此需要網民積極參與對電子商務經營者的監管,加大對侵權行為的懲罰力度,才能減少電腦網上購物安全事件的發生。網絡支付過程中遇到過安全事件的人群大都采取了相應的防范措施。其中80%左右的網民采取了以下措施:設置強安全密碼、安裝數字證書認證、賬號實名制、不隨便登錄別人發的網站。70%左右的網民采取辦理動態密碼、動態口令卡,綁定手機,不在網吧等公共電腦輸入賬號信息等措施。60%以上的網民會安裝網購保鏢軟件來防止網絡支付過程中安全事件的發生(見圖7)。可以看出,網絡支付安全事件引起了大部分網民的重視,設置強安全密碼、安裝數字認證書是發生網絡支付安全事件人群普遍采取的防范措施。
2應對電子商務中信息安全問題的對策
2.1提高信息安全意識在我國用戶安全意識不強,沒有采取有效的防范措施,安全事件發生后未能進行一定處理等都會對信息安全帶來威脅。所以防止人為因素造成的信息安全問題是信息安全的重要方面[1]。為此,必須對電子商務中的用戶進行信息安全知識的教育,提高他們的信息安全意識,鼓勵他們采取防護措施并積極處理安全事件,使他們在主觀上對信息安全有足夠的認識,了解信息安全常識,從而減少電子商務中信息安全事件的發生。2.2加強信息安全的技術防范措施未來的網絡安全技術將會涉及到計算機網絡的各個層次中,但圍繞電子商務安全的防護技術將在未來的幾年中成為重點。針對我國電子商務安全問題,在技術層面可以采取以下對策:防火墻技術、加密技術、虛擬專用網及認證技術、訪問控制技術、安全審計技術、系統漏洞檢測技術、黑客跟蹤技術等。除此之外還可以采取動態包過濾技術、網絡地址翻譯技術、加密路由器技術、加密技術、虛擬專用網技術(VPN)、在攻擊者和受保護的資源間建立多道嚴密的安全防線[2]。2.3加強信息安全管理無論采取什么樣的安全技術,信息安全管理才是系統地和持久地解決信息安全問題的最重要的基礎。我國信息安全管理是一個薄弱環節,管理水平低且缺乏信息安全常識。電商務信息安全管理的一個有效方法就是建立由國家授權的第三方認證中心,它對進行電子商務交易的雙方負責,對整個交易過程進行管理[3]。2.4加強電子商務立法與信息安全立法目前我國電子商務的信用機制處于起步階段,只有進一步加強信用法制建設,信用機制才能充分發揮作用。因此應結合我國電子商務中的信息安全問題,一方面加大和強化現行法律的管理范圍,另一方面加強電子商務立法與信息安全立法,約束和打擊電子商務交易過程中的違法與犯罪行為[4]。除此之外,應該設置和加強第三方的信用保證,必須由銀行、商檢和商務認證中心的聯合工作才能保證交易正常進行。
3結束語
第9篇:信息安全防護方法范文
關鍵詞:信息系統;安全防護;安全域;邊界安全
中圖分類號:TP393.08
隨著電網企業信息化建設的逐步推進,大批信息系統相繼投入運行,信息系統幾乎貫穿于電網企業的各項工作環節,信息化建設對于提高國家電網公司經營生產管理水平、支撐集團化運作、集約化發展發揮了重要作用。但同時,若信息系統存在信息安全方面的問題,就會影響電力系統的安全、穩定運行,進而影響電網的可靠供電。因此,信息系統安全成為電網企業信息化工作的重中之重。
1 電網企業信息安全防護總體思路
電網企業信息系統安全防護要貫徹國家有關信息安全防護政策,全面落實國家電網公司信息安全相關的各項政策和制度,平衡信息安全風險和防護成本之間的關系,優化資源配置,在有限的成本下,使風險最小化,最大程度地保障信息系統的安全穩定運行,同時根據信息安全等級保護制度的相關要求,著重加強與公司重大利益相關的重要系統的安全防護。電網企業信息安全防護應遵循“分區分域、安全接入、動態感知、精益管理、全面防護”的安全策略,完善防護機制,健全信息安全管理措施和安全技術手段,完善信息安全基礎支撐平臺,提升信息安全綜合治理水平,滿足公司智能電網建設和“三集五大”對信息安全的需求。
2 電網企業信息安全防護措施
2.1 安全域劃分
2.1.1 安全域的定義
安全域是由一組具有相同安全保障需求、并相互信任的系統組成的邏輯區域,同一安全域的系統共享相同的安全保障策略。安全域是一組具有安全防護共性的系統的邏輯集合,一個安全域可以包括一個或多個物理或邏輯網段。分域防護的目標不僅是為了實現邊界防護,而且是一組在網絡、主機、應用等多個層次上深層防護措施的體現。
2.1.2 安全域的劃分
安全域的劃分應依據總體防護方案中定義的“二級系統統一成域,三級系統獨立成域”的方法進行,結合某省電力公司的應用系統使用情況,將整個信息系統共計分為8個安全域。
2.1.3 安全域的實現
安全域實現方式以劃分邏輯區域為主,旨在實現各安全區域的邏輯劃分,明確邊界以對各安全域分別防護,并且進行域間邊界控制,安全域的實體展現為一個或多個物理網段或邏輯網段的集合。
2.2 信息系統邊界安全
邊界安全防護是檢測出入邊界的數據信息,并對其進行有效控制的防護措施。根據邊界類型的不同,需采取不同的防護措施。
信息系統邊界主要分為信息外網邊界和信息內網邊界兩大類,其中信息外網邊界主要包括縱向邊界和橫向域間邊界;信息內網邊界主要包括縱向邊界、橫向域間邊界和第三方邊界。
2.2.1 信息外網域及邊界安全
根據電網企業安全域的劃分,外網包含外網桌面終端系統域、外網應用系統域和二級系統域共3個區域,對其防護主要從邊界網絡訪問控制方面考慮。
(1)實施邊界網絡訪問控制:在外網邊界部署防火墻,對進出內部網絡的數據流制定訪問控制策略;在外網系統域的邊界處部署防火墻,對進出內部網絡的數據流制定訪問控制策略;(2)外網桌面終端病毒防護:通過部署殺毒軟件,實現對外網桌面終端的防病毒管理;(3)入侵防護系統:在互聯網出口處,部署入侵防護系統(Intrusion Prevention System,IPS),同時在IPS上開啟針對蠕蟲病毒、網絡病毒的入侵防護功能,主動發現主要的攻擊行為和惡意信息的傳輸;(4)外網網絡、數據庫審計:在網絡核心處部署網絡審計、數據庫審計系統,通過網絡審計系統可以對信息外網進行監控,分析主機負載,發現網絡瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發現網上出現的異常流量。
通過數據庫審計可以主動收集各類對數據庫的訪問,進行記錄和分析的措施,彌補數據庫日志審計對實際活動記錄的不足,有效保護重要的數據庫系統,審計的結果有助于系統管理人員分析各類服務器被訪問的情況,并通過訪問還原技術,清楚地看到對數據庫系統進行訪問的過程情況。
2.2.2 信息內網域及邊界安全
信息內網邊界安全防護主要從邊界網絡訪問控制、入侵檢測、終端安全防護、鏈路冗余等方面考慮。
(1)邊界網絡訪問控制:建立各應用系統匯聚層,不同應用系統之間采用VLAN技術邏輯隔離,禁止直接互訪,并在匯聚交換機與核心交換機之間部署防火墻,檢測經過的所有數據,對進出內部網絡的數據流制定訪問控制策略。在信息內網縱向向上邊界處部署防火墻,對進出內部網絡的數據流制定訪問控制策略。在信息內網第三方邊界處部署防火墻,對進出第三方邊界的數據流制定訪問控制策略。在信通網絡接入邊界部署防火墻,對進出信通網絡的數據流制定訪問控制策略;(2)實施入侵檢測:采用入侵檢測系統(Intrusion DetectionSystems,IDS)對于流經內網邊界和重要信息系統的信息流進行入侵檢測,通過入侵檢測系統發現主要的攻擊行為和各種惡意信息的傳輸。因此,在安全域的建設中,在核心交換機上旁路和三級系統匯聚層部署入侵檢測系統,同時對主、備核心交換機進行檢測;(3)外網網絡、數據庫審計:部署網絡審計、數據庫審計系統,通過網絡審計系統可以對信息外網進行監控,分析主機負載,發現網絡瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發現網上出現的異常流量。通過數據庫審計可以主動收集各類對數據庫的訪問,進行記錄和分析的措施,彌補數據庫日志審計對實際活動記錄的不足,有效保護重要的數據庫系統,審計的結果有助于系統管理人員分析各類服務器被訪問的情況,并通過訪問還原技術,清楚地看到對數據庫系統進行訪問的過程情況。
2.3 主機系統安全
(1)主機安全加固:采取調整主機的系統、網絡、服務等配置的措施來提升主機的安全性,主要加固措施包括補丁加載、賬戶及口令的設置、登錄控制、關閉無用的服務、文件和目錄權限控制等;(2)進行補丁管理:各種操作系統均存在安全漏洞,應定時安裝、加載操作系統補丁,避免安全漏洞造成的主機風險。但針對不同的應用系統,安裝操作系統補丁可能會對其造成不同程度的影響,因此,應在測試環境中先行測試安裝操作系統補丁是否會對應用系統造成不良影響,確保安全無誤后,方可應用于正式環境中;(3)加強防病毒管理:實時監控防病毒軟件的運行情況,對未安裝防病毒軟件或未及時升級更新病毒庫的主機,確認其位置和未安裝或未及時更新的原因,及時解決問題,并采取措施確保不再發生。
3 結束語
信息安全防護是國家電網公司“十二五”期間信息化保障體系的重要組成部分,也是未來信息發展的趨勢。本文對信息系統電網企業信息系統安全防護思路及措施開展了研究與探討,提出了安全域劃分、信息系統邊界安全、主機系統安全的防護方案和實現方法,能夠有效提高電網企業信息系統的可靠性和安全性,具備較好的可行性和應用價值。
參考文獻:
[1]王謙.電力企業信息系統安全等級保護的研究[J].硅谷,2011(23).
