《企业安全信息化建设方案优秀9篇》
《企业安全信息化建设方案优秀9篇》由精心整编,希望在【安全信息化】的写作上带给您相应的帮助与启发。
安全信息化 篇1
保障中国的重要信息系统安全要实现自主可控,这是国家制定的信息安全的基本战略。然而,多年来,虽然在操作系统、应用软件方面,中国已经基本实现了国产化,但在芯片方面一直采用国外的产品,这成为信息安全产品的软肋。“如果底层硬件技术不掌握在自己手中,自主可控从何谈起?”网神总裁任增强在主题演讲中说。
为了弥补在芯片方面的软肋,网神从2009年开始跟踪国内芯片技术的发展,并开始与龙芯中科接触,了解全国产化的芯片是否适合应用在信息安全产品中。
“通过了解我们发现,龙芯芯片分很多档次,一些中低端的产品适合应用在像隔离网闸这样的产品中:虽然性能也许比不上某些国外产品,但安全性和价格方面都有优势,因此,整体性价比很高。”任增强介绍。龙芯尤其适合应用在像隔离网闸这样对安全性要求很高的信息安全产品中。
据悉,网神龙腾系列网闸采用中国自主知识产权的龙芯处理器,操作系统采用网神自主开发的多核并行操作系统SecOS2,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏;应用模块采用网神自主开发的网闸应用模块,真正实现硬件到软件、系统到芯片的完全自主研发。
安全信息化 篇2
1信息安全的定位
我国的信息化建设已经有多年的发展历史,在最初的信息化建设中,其目标只局限于纸质信息的数字化转化和单机程序的开发与应用。但随着信息技术建设的不断深入,其建设的目标也发生了本质性的变化。信息化建设逐渐演化成依靠网络资源实现电子商务运作、完成网络交流等。这种建设形式在一定程度上提高了办公的效率、实现了信息的共享。微型计算机的出现代表着信息技术进入了一个崭新的时代,但与此同时也带来了巨大的安全隐患,由于微型计算机的内置元件较为简化,在操作的过程中极易遭到破坏,从而产生了安全上的隐患。且微型计算机在设计上更多的是考虑其系统功能和信息的传播速度,对信息安全的考虑不够深入,这也使得计算机本身存在着安全缺陷。在信息飞速发展的今天,代码的数量每天都在增加,这也使得软件中的漏洞不断的暴露出来,各种病毒、木马防不胜防,对信息技术的安全建设造成了巨大的影响。随着信息技术的不断发展,其建设的重点逐渐开始偏向于系统开发,同时信息工作者对信息安全也有了新的认识。在现阶段的工作中,信息化建设的内容可以分为三个部分。一是完成网络的基础建设,不断开发辅软件。二是完成对应用系统的开发,提高系统的应用价值。三是完成安全建设,为信息系统提供安全性保障。由此可见,信息安全与信息化建设有着密切的关系,在完善各项网络功能的同时还要加强安全建设,提高信息系统的安全性。
2信息安全的范围
2.1信息管理
信息体系的构建需要多个部门的共同参与,管理工作也涉及多项内容。人员管理是管理工作中的重要内容,任何工作都涉及到人员的参与,加强对人员的管理不仅能够提升工作的效率,对经济的建设也有着积极的影响。在对人员的管理中,要明确各个岗位的工作内容,对工作人员进行合理的分配,建立完善的考核制度,最大限度的发挥人力资源的力量。制度管理也是管理工作中较为重要的一项,制度的管理包括制定安全目标、完善安全策略等内容,完善的制度管理能够使信息工作更加规范化。此外,风险管理也包含在管理工作的主要内容之中,风险管理的内容包括了解风险的构成,制定安全措施等。
2.2信息技术
信息技术对信息的安全有着很大的影响,随着信息技术的不断发展,新的安全问题层出不穷。对于不同的安全问题,可以采用不同的安全技术手段进行治理。一是对用户进行身份识别,通过指纹、口令等方式来完成对人员的识别。二是访问控制,通过设定访问权限对用户进行管理。三是标记作业,对计算机中的系统资源进行标记,并通过这种方式达到管理的目的。四是安插可信路径,建立一种可信任的通信路径,用户可以通过该路径进入到信息系统中。五是进行安全审计,对违反操作规范的用户进行审计,完成事后补救。现阶段信息工作者已经具备了一定的安全意识,新的防范措施也不断的被提出,为信息系统的安全提供了更大的保障。
3信息安全的构筑策略
3.1信息安全的宏观构建策略
从宏观的层面上来看,安全工作可以分为三个部分,即进行风险评估、完成灾难备份和建立应急机制。风险评估是指对信息系统中可能存在的风险进行科学的评估,在该项工作中,首先要明确风险的等级,其次要对系统进行全面的检查,确定其表面风险及隐藏风险,将这些风险按照风险等级进行合理的划分,以便于对风险进行有效防范。在进行灾难备份时,要对以往的数据进行整理和分析,确定风险发生的规律和解决办法,将这些数据进行备份。在应急机制的建立中,要根据备份的资料制定出相应的应急预案,并对预案进行测评,提高预案的可利用率。同时对可能出现的安全事故进行分析,建立应急机制。在日常工作中加入安全演习的内容,以确保在安全事故发生是能够在第一时间解决问题。
3.2信息安全的微观构建策略
3.2.1提高安全意识目前,信息技术已经在人们的生活中占据了重要的位置,很多工作都离不开信息技术的参与。但大多数人只注重信息技术的学习,对信息安全没有足够的认识。在以往的信息安全事故中,有很大一部分都是因为信息工作者的安全意识不强所造成的。因此在学习信息技术的同时,也要加强对信息安全的了解,树立安全意识,提高处理安全事故的能力。信息工作者在进行信息处理时,必须规范自身的行为,避免人为因素对信息安全造成影响。加强对安全知识的学习,降低安全事故的发生概率。3.2.2制定安全策略构建信息安全系统的首要任务是制定出安全策略。安全策略的制定要根据风险评估的结果来完成,使策略能够满足信息安全的需求。由于信息安全会受到多种因素的共同影响,因此在策略的的制定上也要对这些影响因素进行综合的分析,建立起环境安全、身份认证、系统备份、事故处理等多重策略,保证信息系统正常运行。3.2.3确定安全机制安全机制的建立是为了使安全策略能够更好的发挥作用。机制要根据安全策略的内容来制定,为安全策略提供参照标准。例如为了保证安全策略中的加密策略能够更好的发挥作用,可以制定“所有设备必须进行3DES加密”一机制。工作人员在工作中必须严格按照安全机制的要求进行操作,使系统得到安全防护。3.2.4完善业务流程为了使安全操作更加规范化,需要制定出相应的业务流程。在业务流程的制定上,首先要明确操作的步骤,制定出操作流程表。其次要完成对流程表的审核,保证操作流程满足系统的需要。最后要将流程标准以书面的形式展现出来,使工作人员能够按照操作流程完成工作,提高工作的效率。
4结语
安全信息化 篇3
近年来,随着计算机技术的深入应用和不断发展,相关的网络安全和信息安全事件频发。2013年6月,美国人斯诺登在国际上掀起轩然大波,他向世界揭示美国监视美国公民以及监听世界各国的惊天大秘密。此举引爆了保障全球网络信息安全的警钟,让各国对信息安全的重视又提到了一个新的层面。这些网络世界的安全事件,不仅使公民的个人隐私、公司的商业机密遭到泄露而引发损失,甚至对国家利益和国家安全也带来了新的挑战。
事实上,网络并不是一个特殊的存在。像其他事物一样,安全、健康是其存在的基本要求,是底限。然而,对信息安全的保障,仅仅在精神层面的加大重视是远远不够的,既要从技术层面进行更新升级,更要从战略的角度谋略全局,让保障信息安全落地,这才是真正让国家、让公众对网络、对信息获取安全的根本。
信息安全有多重要,相信已经不用本刊再来赘言。然而,如何来保障信息安全?如何将这些保护措施切实有效地施行起来?这才是最重要的。信息安全由于其自身的复杂性、敏感性、特殊性,一直广受人们的关注。但是大家往往在呼吁关注的同时,却在施行的过程
企业安全信息化建设方案优秀9篇
基于此,本刊特别选取了某些领域和国内外保障信息安全的切实有效措施的文章,希望通过他们的观点、研究和经验,能给大家带来一些有益的启示。
安全信息化 篇4
采访中,刘磊提到次数最多的词汇是自主、安全、可控和加密。这些词汇表现出了得安的市场政策和产品策略。与此同时,也说明得安在信息化领域国产化替代进程中所处的位置以及所发挥的作用。
完善布局 助力腾飞
在信息安全国产化进程中,得安从一个密码设备研发厂商转型为一个信息安全服务企业,产品体系从密码产品拓展到金融密码服务平台、云计算安全平台、统一认证授权系统、移动互联网安全等领域,利用密码技术优势,为用户提供信息安全的整体解决方案。市场领域遍布金融、证券、电子政务、大型国企等行业。得安计划通过以一种将自身的信息安全领域专业技术和成果与基础软硬件相结合的方式,从而实现对其更深层面的加固,进而保障国产服务器等核心基础硬件的自主可控安全。
在此基础上,得安相继推出了天卓、天信两款信息安全产品。天卓大数据服务器,是一款在拥有业内一流的稳定性和处理能力的同时,通过内置得安自主研发的加密模块而实现自主可靠的高端服务器产品。天信数据安全传输服务平台,是为了满足云计算和大数据时代的应用需求而开发的文件传输产品。
刘磊提到:“天卓大数据服务器主要是就国产服务器很难在短时间内满足行业内性能可靠性要求的前提下,我们对国外的服务器进行安全加固,采用得安自主研发的硬件加密模块,从而实现硬件层面的可信密码运算,在操作系统层面更是提供这种数据安全、审计、监控等一系列系统服务。在应用层面也提供了二次的开发接口,能够保证业务系统的安全。此外,天信数据安全传输平台也是基于目前国产文件传输系统面临的一系列大数据领域的问题而推出的。”
对于两款产品的市场反响,刘磊显得信心十足。他说:“天卓是首次提出的用国产化加固硬件对服务器进行加固的一种解决方案。而天信能够对传输的过程进行监控和可追溯,另外我们还可以应用国产的密码技术对传输的过程进行加密,从而真正实现操作层面的自主可控和安全可靠。”
除了这两款产品,在得安的产品链上还有云安全密码服务平台、密钥管理系统以及统一认证授权等一系列解决方案和服务器密码机、PCI密码卡以及VPN系统等一系列信息安全产品。得安的产品布局日渐完善,在信息安全和国产化方面的效用也日渐显现。
国产化形式依然严峻
在研讨会的演讲中,刘磊说:“在信息化发展进程中,我们取得了举世瞩目的成绩。不过与信息技术强国相比,我们还有很大的差距。比如说CPU、操作系统以及数据库等核心产品,65%都是用国外的产品,并长期处于安全不可控的状态。在芯片市场方面,服务器的CPU被Intel和AMD操控。虽然国产的服务器市场与以前取得较大幅度的增长,但是从数据中可以看出,IBM、戴尔、惠普仍然占据着三甲的位置。所以,对于国内信息化从业者以及信息安全的维护者来说,大力发展国产化工程,实现国产化替代,并最终实现本质安全,应是之后工作的重中之重。”
作为信息安全领域的技术专家,刘磊认为,在一段时间内国产基础软硬件还不能实现对国外设备的完全超越和替代。从另一个层面来说,信息安全以及国产化的形式还依然十分严峻。不过,这并不代表国产厂商会任由这种形式无限蔓延和扩展。
刘磊提到:“虽然我们不能在短时间内解决这一问题,但是可以通过其它方式加以弥补和维护。通过对国外设备上的数据和资源进行国产化的加密和加固,以达到维护信息安全的目的。这也是得安研发天卓、天信以及其他一系列信息安全产品的初衷。”
此外,刘磊还提到,无论是国产化设备还是国外设备,它都是从市场的检验过程中不断完善和成熟的。所以,我们要给国产软硬件的发展多一些时间。在这个过程中,我们一定要有足够的耐心,切忌急功近利。
实现国产替代化以及消除信息安全隐患的确是一项长期而艰巨的任务。在这个过程中,作为抵御“国外列强”侵袭的本土化企业,要做的就是潜心布局、积蓄力量,等待时机的都来,从而彻底颠覆“国外列强”的垄断,完成国产软硬件替代的重任。新形势下的未来规划
无论是国产替代化的新形势,还是大数据、云计算技术下的新机遇,都为得安在未来的产品布局和规划提出了更高的的标准和要求。在新形势、新机遇下,如何保障企业的高速发展,并完善自身“自主可控、安全可靠”的产品追求和理念,是摆在所有得安人面前的一道难题。
对此,刘磊解释道:“由于我们是一家技术领先的信息安全企业,所以产品技术体系很齐全。在底层层面,包括网银KEY、服务器密码机以及金融密码机等硬件设备;中间层面,我们提供国际和国内所有的标准接口;上层层面用来保证终端安全和信息数据的安全。不过,随着时代的不断发展,大数据、云计算技术的广泛应用,很多问题就需要进行一些前沿性的研究。比如说我们在云计算、大数据的研究中,依托于得安研究院研发了很多基于云计算和大数据领域的课题,比如说,海量数据的加密以及虚拟化安全,另外在许多其他关键技术上也取得了突破。”
得安在2014年12月份获得了工信部颁发的核心软件品牌的荣誉称号。随着国家大力推进国产密码算法的要求,得安依托于得安云计算取得了高性能的进展、虚拟环境下的密码技术安全、服务器的密码安全加固技术以及服务器的整体安全技术等等。
从研发方向和产品策略中看出,得安实际上走的是一条“曲线救国”的道路。在整体软硬件实力处于劣势的情况下,以一种剑走偏锋的形式,赢得了市场认可。虽然行业形势和市场态势瞬息万变,但是只要精准的把握住市场需求,成功自然就在前方。
记者手记
安全信息化范文 篇5
关键词:企业;信息化建设;信息;安全
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 08-0000-01
目前,很多企业开展自身建设的重点之一就是加快进行企业信息化建设,然而与此同时也出现了信息安全问题。越来越多的不法分子,为了满足自身的不正当利益,采取各种非法手段窃取企业的内部信息,所以企业必须要加快进行信息化建设,并且高度重视信息安全问题。
一、信息安全问题原因
信息安全问题产生的原因包括内因和外因两部分,两者都存在着巨大的安全隐患,威胁着企业的信息安全。
(一)内因[1]
第一,企业信息安全意识不足。很多企业表面上正在大力开展信息化建设,但是他们过多的沉迷于信息化建设所带来的利益,并没有意识到随之产生的信息安全问题,也就是说信息安全意识不足,这就给信息安全问题的产生提供了可乘之机。
第二,信息安全保障技术落后。虽然近年来我国的信息技术发展很快,但是与国际水平相比还有较大的差距,国内安全软件技术的发展落后于病毒、黑客等的发展,很难保障企业的信息安全。
第三,管理不当。目前很多企业没有意识到信息安全的重要性,管理信息系统时不认真负责,这就给病毒、黑客等入侵者提供了可乘之机,给企业内部信息安全造成了潜在的威胁。
第四,管理者素质不够。企业内部的信息安全系统需要专业的管理人员来进行维护与管理,这样才能够保障信息安全。
第五,法律漏洞。当前国内有关网络犯罪的规范制度和法律法规还不成熟,存在很多漏洞,给企图窃取企业信息的不法分子提供了机会,企业因此而造成的损失,不能够得到有效的赔偿。
(二)外因[2]
现如今,外部因素是企业信息安全问题的主要罪魁祸首。随着社会经济的快速发展,在市场竞争中信息越来越重要,很多企业竞争者为了获得竞争优势达到竞争对手,会采取各种不正当的手段窃取对方的企业内部信息。很多不法分子为了满足自身的经济等各方面利益,也会用非法手段入侵企业内部信息系统,这些都是企业信息安全面临的外部威胁,严重危害着企业的利益。目前常见的入侵手段就是病毒传播,感染信息系统。
二、应对策略
目前随着经济的快速发展,企业内部信息的重要性逐渐凸现出来,一旦企业的内部重要信息被窃取就会造成无法估计的损失,所以企业必须提高信息安全意识,不能完全依靠安全软件的防护,更多的需要加强信息管理,保护企业的重要信息。
(一)提高安全意识
企业在谋求迅速发展的同时,要意识到信息安全的重要性。提高安全意识,要深刻的明白一旦企业信息被窃取,造成的损失有多大,首先在思想上重视信息安全问题[3]。
(二)使用安全软件
虽然任何安全软件都存在漏洞,都有被破解的可能,但是对于信息安全防护来说,安全软件是必不可少的。企业必须要使用安全性能好的防护软件,不能够一切从经济利益出发,使用廉价低劣的软件产品,否则出现安全问题产生的损失将会使软件价格的数万倍不止。
(三)加强系统管理
第一,因为任何的安全软件都存在被破解和攻击的可能,所以不能单纯依靠软件技术来达到保障信息安全的目的,加强企业内部信息系统的管理才是重中之重。因此,各企业需要完善内部信息管理体制,提高管理系统的规范性和可靠性,为企业内部信息的安全保驾护航。
第二,进行安全风险评估。每一个信息系统所使用的技术手段和组成方式都不同,都有自身独特的技术优势以及安全漏洞也不相同,所以企业在选择信息系统前,要先对各个系统进行安全风险评估,并针对企业自身的特点选择合适的信息安全系统,最大化的保障信息安全。
第三,加强管理。绝大多数的信息窃取和系统攻击都是通过网络完成的,所以必须要加强网络管理力度,才能够实现企业的正常安全运行[4]。
(四)提高员工素质
企业的内部信息管理需要高素质、高技能的专业技术人员来进行信息系统的日常维护和升级,高水平的管理人员能够应对信息安全的突发状况,避免安全问题的爆发,从源头上保障企业的重要信息的安全。
三、小结
目前国内的社会经济发展十分迅速,企业自身也得到了快速的发展,其中的重要部分之一就是信息化建设。然而信息化建设的飞速发展所导致的信息安全问题也需要企业给予足够的重视。信息安全问题涉及到企业内部的许多机密信息,决定着企业的发展进程,所以,企业在谋求快速发展的同时,应该提高信息安全意识,加强信息系统的管理,完善信息管理制度,全方位保障企业信息安全。信息安全并不是单一的技术问题,还涉及到信息系统的建设,以及日常的维护和升级,所以也牵扯到系统管理和管理人员水平,并且信息安全防护是一个长期而艰巨的任务。
参考文献:
[1]陈建华。中小企业信息化发展的对策分析[J].科技致富导向,2011,8.
[2]黄海嵩。企业信息化建设指南[M].合肥:安徽科学技术出版社,2002,10.
安全信息化 篇6
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企業在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
结语:以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参 考 文 献
[1] 原黎。 探析企业信息安全问题的成因及对策[J]. 现代工业经济和信息化。 2011(08)
[2] 张耀辉。 关于企业信息化建设中的信息安全探讨[J]. 电子技术与软件工程。 2013(14)
[3] 赵晓华,陈秀芹,周文艳,夏莉莉,李建忠。 网络环境下河北中小企业信息安全问题研究[J]. 科技资讯。 2013(31)
安全信息化范文 篇7
近年来,已有部分省、市启动了安全生产信息化建设的工作,开通了安全生产信息网站,已经形成安全生产监督监管的信息平台。
安全生产信息化建设工作,无论在信息统计和安全生产监测及监控方面,都发挥了重要作用,使安全生产监督管理部门更加全面了解和掌握辖区的安全生产状况,提高了安全生产监督管理的工作效率,进一步改善了安全生产状况。
虽然我国的安全生产信息化建设取得了一些成果,但从总体上来说,还处在起步、探索阶段,目前还存在如下几个方面的问题。
■基础设施落后
各级安全生产监管、煤矿安全监察、安全生产应急救援机构刚刚组建,安全生产信息化资金投入较少,信息化的基础设施、信息化装备和安全生产信息的技术管理手段都比较落后,与国内其他部委或行业相比差距较大,与国外安全生产信息化水平相比差距更大。
■缺乏基础信息共享机制
安全生产监管的信息资源只限于本部门,各部门之间封锁自己长期以来采集的业务数据,无法与其他部门实现资源共享。
没有形成规范的、能够统领全局的、普遍适用安全生产监管、煤矿安全监察及应急救援信息系统,尚未建立基础信息的共享机制,无基础资源数据库和较为完备的共用共享应用系统,大量有效的信息资源不能得到应有的开发和利用。
■缺少总体规划
信息系统的建设,需要统一规划,统一执行。从国家安全监管总局到各级机构尚未建立统一的信息化建设和运行维护综合协调机构,因此,难以形成全国统一有效的安全生产信息化建设、管理、运行、维护保障机制,缺乏安全生产信息化建设政策、规范和技术标准。目前经常会出现某市建设一套业务应用系统,该辖区/县也建一套业务系统的现象,造成系统之间无法实现数据交换和共享。
许多企业没有将安全生产信息化纳入企业现代化建设的范畴,企业安全生产信息化系统性较差、随意性差,多为被动式建设。
安全生产宣传教育、人员培训、安全救护、检测检验等技术支撑体系的信息化也是刚刚起步,还没有作为一个整体纳入到安全生产信息体系的建设中来。
安全信息化范文 篇8
从上个世纪八十年代中期开始,我国政府部门就根据政务发展的需要,提出了办公自动化的发展需求。随着改革开放的持续深化,国民经济高速发展,我国在1993年12月提出了“三金工程”(金税、金关、金卡),开始在经济领域实施信息化建设。1999年,互联网开始普及,当年9月,我国提出了政府上网工程,从此开始了政府信息化的进程。2000年10月,电子政务被列入“十五计划”的重要内容,电子政务从此开始了一个新的发展阶段。
从那时开始,人们逐渐对电子政务有了更加深刻的理解,认识到电子政务不应仅仅局限于政府上网工程,或是单纯的网页式网站,而是政府机构应用现代信息和通信技术,将管理和服务通过网络技术进行集成,在互联网上实现政府组织结构和工作流程的优化重组,超越时间和空间及部门之间的分隔限制,向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。但是那时的电子政务建设还处于宏观规划阶段。直到2002年7月,随着《关于我国电子政务建设的指导意见》的出台,中国电子政务建设开始从宏观规划落实到具体的项目实施上。
新时期的政务工程
从电子政务的发展历程可以看出,电子政务的建设主要有两大目的:
一。早期建设,主要是为了简化政府日益繁杂的工作和管理流程,让政府工作能够更加高效和灵活地运行,这时的政府管理职能占的比重很大;
二。近期建设,主要是为了实现政府职能的转变,向社会大众提供更优质的和全方位的服务,同时也提供规范和透明的管理,以便于人民群众的监督。这时,管理和服务已经开始并重,甚至服务的比重要更大一些。
从这两个目的,我们不难分析出来,其实电子政务的主要内容有以下几点:首先是政府间的电子政务:主要指上下级政府、不同地方政府、不同政府部门之间的电子政务;其次是政府对企业的电子政务:主要指政府通过电子网络系统进行电子采购与招标,精简管理业务流程,快捷迅速地为企业提供各种信息服务;最后是政府对公民的电子政务:主要是指政府通过电子网络系统为公民提供的各种服务。
目前,我国的电子政务经过十几年的规划和发展,基本已经有了一个清晰的发展方向和模式,同时在网络基础设施建设上也取得了不小的成绩。但是,目前的电子政务建设,特别是政府对公民的电子政务,大部分还仅仅以局部地区或城市的方式独立存在,无法满足快速信息共享和多地联合办公,应急联动的需要。因此,进一步加快从局部应用向协同应用过渡的步伐,提供更好和更快的在线服务,将是电子政务建设在今后的很长一段时期内的重点之一。同时,由于中国上网人数数量在全国人口中的比重还不算大,通过电话进行的服务也还将在政府部门的日常工作中占有很大的比例,所以传统电话网络与互联网的结合也将是电子政务建设的一大明显趋势。
安全与效率齐飞
由于电子政务最终将建设成为一个开放的,互动的服务和管理平台,将会有大量的应用基于其上,包括大量的重点数据库和政府保密文档。那么,在黑客和病毒技术快速发展,系统和应用程序漏洞频出的今天,我们已经不能够对信息安全熟视无睹。
国内外多次的教训已经证明,如果没有给与信息安全足够的重视,将可能会给电子政务系统的运行效率带来不可挽回的损失。只有将信息安全建设纳入到电子政务建设的主要工作中来,提高应用信息系统对黑客和病毒攻击的抵御能力,才能够保障电子政务系统的安全稳定运行,保障电子政务建设的成果。
“电子政务”和“信息安全”,实际是一个经典的课题:实验室安全技术和网络实际应用环境之间的融合问题。
作为一家以信息安全研究为主要特色的信息安全技术和产品提供商,卡巴斯基实验室其实在尚未向最终端计算机提供终端产品的时候,就已经再为世界信息安全应用研发和提供众多信息安全技术。
“信息安全”准确的说是“网络信息安全”是“计算机网络安全”的重要组成部分,它主要涵盖“信息传送”、“信息存储”、“信息应用”等诸多方面。这个领域涉及的课题很多。
谈到“信息安全”,就不得不谈及信息安全的敌人,经典病毒、网络蠕虫、特洛伊木马、黑客工具、垃圾信息和邮件、广告软件和程序等等,这些貌似高深的概念现在为更多人所熟识。这些现在都被整合在一个概念下“恶意软件”,这样只要给计算机用户带来不便的各种代码和软件都被被划归旗下。这样信息安全的内容就变得相当广泛了。
面对日益复杂的网络攻击手法,及时检测出和彻底清理掉恶意软件的本体是一切解决方案的基础。用一句通俗的话说:最终杀掉病毒才是“硬道理”。
现在反病毒技术有个主流的处置技术:第一,病毒指征码对比技术(病毒代码库检索检查);第二,病毒行为学检测技术(启发式扫描技术)。当然还有其他反病毒技术的分类(这里不再冗述)。这些都是早期反病毒技术研究者集体研究智慧的集合。卡巴斯基实验室从现代恶意软件的“鸿蒙期”起就一直监控这个现代计算机网络的畸形技术,并做了众多研究,它们包括:
・反“恶意软件”终端智能学习机制
该项技术即利用早期内嵌的“学习性指令集”接受扫描引擎分析后的“新种恶意代码”,并将其按照卡巴斯基的方式进行简单“解毒疫苗化”,放置在本地的反病毒数据库中,达到对新种恶意软件的及时防杀。
・对多“壳(shell)”恶意软件的精确分解分析手段
可以说,“恶意软件制作者”是最新“壳(shell)”格式的追星族。谁能够更多的识别多种类的“壳(shell)”格式,谁能够更多地解开被包裹地一层层的像木乃伊一样的程序和数据包,谁就能有效及时的捕捉到“恶意代码”的真实面貌。
以上两项仅仅是列举卡巴斯基众多反病毒技术种的少部分,更多的实用技术被应用到实际反恶意软件的战场中,保障电子政务应用一路畅通。
保电子政务“一路畅通”
客观而言,电子政务作为电子信息技术与管理的有机结合,已成为当代信息化的最重要的领域之一。虽然我国正大力发展信息化建设,但由于各方面条件的约束,电子政务仍处于初级阶段。
在制约电子政务的发展中,网络安全问题显得尤为重要。如果没有有效的安全措施保证系统正常运转,电子政务就不能走上信息化的正轨。在通常意义上,“电子政务”中地实体也是属于大型机构用户,这些用户地网络安全规划原则适用于通用地网络安全规则,然后由于这些“实体”的属于国家关键职能部门,则这里的“严肃性”和“安全性”就被更加突出出来。“网络是基础,安全是关键,应用是目的”这是“电子政务”的特色。
卡巴斯基的信息安全理念在中国众多正在运转“电子政务”的政府机构用户中得到认可,在经历了众多具体的应用实例后,卡巴斯基实验室发现如下几个需要注意的问题并提出自己的建议:
第一,有些用户认为使用网络反病毒系统后就可以全自动无人职守式似的的控制企业网内的病毒行为和攻� 智能反病毒软件是功能越做越智能,但毕竟是个智能的软件,每个用户的网内的结构各有特色,需要根据具体的技术环境订制个性化的策略。并且即使制定合理适宜的安全策略,但网络攻击和病毒的变换也是很迅猛的,企业内网的计算机操作员的技术水平高低也是造成日常维护繁简的一个因素。基于以上这些因素,所以网络反病毒软件系统即使完整搭设完成,日常也需要当地网络管理人员的监控方可产生最大的效果。
第二,网络防病毒软件系统的使用者应该把握两个原则:集中和强制。这个是在非Internet环境网络中,针对网络安全的特殊性所需要遵循的原则。使用高端智能的反病毒软件系统可以帮助使用者更高效地掌控网络,可以一劳永逸地在远端全盘控制网内的病毒攻防状况,对于网络级别的病毒攻防战,并不重于单机的得失,而重在全盘的控制,局域网内肯能够回游几台甚或是十几、几十台主机被攻击,但管理者通过网络反病毒软件系统监控到这个疫情,并及时隔离疫区,扑灭疫情,并对尚未遭受攻击的主机作好防疫免疫工作,这样使用网络反病毒系统才是正确有效的。
安全信息化 篇9
一、信息状态安全技术
信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。
(一)系统主机服务器安全(ServerSecurity)
服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不
(二)操作系统安全(OperatingSystemSecurity)
设置操作系统就像为构筑安全防范体系打好“地基”。
1.自主访问控制(DiscretionaryAccessControl,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(CapabilitiesList),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(PrefixList),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。
2.强制访问控制(MandatoryAccessControl,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。
3.安全核技术(SecurityKernelTechnology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。
其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。
(三)数据库安全(DatabaseSecurity)
数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。
数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。
二、信息转移安全技术
信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(IdentificationandAuthentication);访问控制(AccessControl);可记账性(Accountability);对象重用(ObjectReuse);精确性(Accuracy);服务可用性(AvailabilityofServices)等功能。
1.防火墙技术(FirewallTechnology)
为保证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。
2.信息加密技术(InformationEncryptionTechnology)
信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-keyCryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-keyCryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。
在传输过程中,只有税务系统和认证中心(AuthenticationCenter,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,
3.信息认证技术(InformationAuthenticationTechnology)
数字签名技术(DigitalSignatureTechnology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。
完整性认证(IntegrityAuthentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。
4.防病毒技术(Anti-virusTechnology)
病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
参考文献: