國內信息安全事件范文

時間:2023-10-11 17:25:14

導語:如何才能寫好一篇國內信息安全事件,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

國內信息安全事件

篇1

(一)加強信息安全管理

金融行業通過在互聯網開展業務、提高管理效能、創新金融服務、開拓金融市場來擴大自身影響力,對防范和抵御來自互聯網的信息安全威脅十分重視,而對來自內部的信息安全威脅卻防范不足。尤其缺乏對內部人員信息安全意識的培養,在信息安全管理制度執行方面存在不足。調查顯示,超過75%的信息系統泄密和惡意攻擊事件都是由于內部人員疏忽和無意識泄密造成的,這是安全威脅不斷升級的重要原因之一。此外,在利益驅動下,個別內部人員鋌而走險,利用管理的疏漏主動發起的信息安全威脅更難防范。同時,信息安全不能只靠一些信息安全產品實現,安全產品和技術只是信息安全管理體系里的一小部分。只有在良好的信息安全管理基礎上才能發揮作用,所以“三分技術,七分管理”是保障信息安全的基本原則。

(二)建立信息安全事件調查規范

懷疑發生信息安全事件后,要及時啟動調查程序,而每個調查程序必須有一套基本的規范加以指導。通常從調查人員構成、調查時間緊迫程度、調查方案、保密范圍以及需要采取的后續措施等方面逐一規定。在調查組成員的選配上,需要業務部門、技術部門、監督檢查部門以至外聘專家共同組成;在時間要求上,第一時間開展調查能夠防止重要信息被刪除、篡改,爭取得到第一手資料;在調查方案上,信息安全事件調查需要從業務操作、內部管理、技術原因等各方面開展調查;在保密要求上,需要對被檢查單位和人員保密調查內容和調查方法,防止出現相關證據信息被人為隱瞞、銷毀的情況;在調查評估上,信息安全事件發生后引起的嚴重影響,是否需要啟動司法程序等作出規定。因此,建立一整套信息安全事件調查程序至關重要,主要是為了確保以下4個方面的內容。1.信息安全異?,F象可以被檢測出來并得到有效處理,尤其是確定是否需要將異?,F象歸類為信息安全事件。2.對已確定的信息安全事件進行評估,并以最恰當和最有效的方式作出響應。3.作為事件響應的一部分,通過恰當的防護措施,將信息安全事件對組織及其業務運行的負面影響降至最低。4.及時總結信息安全事件及其管理的經驗教訓,有效預防將來信息安全事件發生的頻率,改進信息安全防護措施的實施和使用,同時全面改進信息安全事件管理方案。

(三)提高信息安全人員素質

除了建立信息安全管理制度并嚴格落實外,高素質的信息安全人員是信息安全保障體系的智力支撐。從IT行業越來越細的專業劃分和日益復雜嚴重的信息安全威脅來看,信息安全管理儼然成為需要有更高專業素養的領域。信息安全管理人員需要掌握的知識結構包括信息安全保障基礎知識、信息安全技術、信息安全管理、信息安全工程以及信息安全標準法規等。在技術領域需要掌握操作系統安全、防火墻、防病毒、入侵檢測、密碼技術和應用等安全技術知識;在管理方面要掌握信息安全管理和治理,并要具有開展風險評估、災難恢復、應急響應所需相關知識和實踐能力;在工程領域要有開展信息安全工程管理、咨詢和監理的實踐經驗;在標準和法律法規領域,需要掌握國家信息安全相關的法律法規以及國內信息安全相關的標準和實踐經驗。此外,一個合格的信息安全員不但要有不斷更新自身知識結構的自主學習能力,還要具有高度的責任心和自律能力。因此,建立一支高素質的信息安全員隊伍,是信息安全工作的重要保障。

(四)建立金融機構間協同調查機制

在廣域網環境中,服務器、網絡設備、安全監控系統在地理上是分散的,可能部署在不同層次的網絡節點并分屬不同的管理機構。由于網絡的互通性,黑客經常會使用遠程攻擊或利用被侵入的主機作為跳板隱藏自身地址,入侵和攻擊事件表面上發生在A地,但發起攻擊的源頭很可能在B地。如果要追蹤攻擊的源頭,就需要收集所有關鍵服務器、網絡節點的日志信息等,并將它們按一定的規律關聯起來。例如這次事件的調查雖然不屬于黑客攻擊,但如果要找到登錄終端,就需要調取商業銀行、人民銀行各級網絡交換機、路由器、防火墻等設備的配置文件、日志文件,甚至是系統臨時文件等。由于商業銀行和人民銀行之間沒有建立相應的協同工作機制,調查組無法及時獲取這些資料,所以也就無法通過IP地址找到登錄終端,并通過登錄終端找到查詢人員。隨著人民銀行與金融機構間網絡的互聯互通,提供的服務項目增多,加上微小金融機構大量接入金融服務平臺,出現此類信息安全事件的概率也會上升,需要各金融機構間共享關鍵信息并協助開展調查的事件也會越來越多,所以建立金融機構間信息安全事件協同調查機制至關重要。

(五)重視Web應用系統安全設計

篇2

2016年11月29日,普華永道2017年全球信息安全狀況調查報告(以下簡稱“調查”)。此次調查是2016年4月至6月由普華永道和CIO與CSO雜志聯合在互聯網上開展的全球范圍調查研究。調研對象來自CIO和CSO雜志的讀者與普華永道的客戶群體,涵蓋133個國家,其中超過10,000份調研來自CEO(首席執行官)、CFO(首席財務官)、CIO(首席信息官)、CISO(首席信息安全官)、CSO(首席安全官)、VP(副總裁)以及IT與安全總監,48%的受訪企業年收益超過5億美元。

調查顯示,在過去12個月中,中國內地及香港企業檢測到的信息安全事件平均數量高達2,577起,是前次調查記錄的兩倍,較2014年更是攀升969%。

同時,調查發現,在過去一年中,全球各行業檢測到的信息安全事件平均數量有所下降,為4,782起,比2014年減少3%。

中國受訪企業在信息安全方面的投資預算比去年削減了7.6%。值得注意的是,88%的中國受訪企業認為,他們在信息安全上的投入受到了數字化的影響,而投入的重點主要集中在那些與企業自身的商業戰略及安全監管相匹配的網絡安全方面。此外,31.5%的中國受訪企業表示其有意在人工智能、機器學習等先進安全技術領域進行投資。

對此,普華永道中國網絡安全與隱私保護服務合伙人冼嘉樂認為,“國內一些有前瞻性的企業已經在調整信息安全的投資方向,通過加大對先進網絡信息安全技術的投入,來明確并加強其獨有的商業價值,為業務增長保駕護航?!?/p>

根據調查反饋,針對信息安全事件的攻擊途徑,49%的中國內地及香港受訪者表示,網絡釣魚欺詐是主要手段,而商務郵件首先成為重災區。44%的中國受訪企業認為,內部原因是網絡安全的最大威脅。同時,商業競爭對手也是不可忽視的因素。34%的中國受訪企業將攻擊歸因于競爭對手,高于全球數值(23%)。

在商業機會和風險不斷演變的大環境中,如何加強物聯網中各個連接設備的網絡安全,如何利用云科技來部署企業敏感職能已成為企業探索的主要方向。本期調查顯示,57%的中國內地及香港受訪企業正在對物聯網安全策略進行投資(全球為46%),并且已有約45%的IT系統是基于云技術運行的(全球為48%)。

與此同時,根據調查反饋,75%的中國內地及香港受訪企業在使用開源軟件(全球為53%)。受訪企業認為安全管理服務和開源軟件能夠有效提升企業信息安全水平。

冼嘉樂表示,企業在信息安全方面,應當重視員工的信息安全意識培訓,同時做好企業數據的分類工作、對數據分類進行風險評估,并按照級別對信息采取相應的保護措施;采用科技數據保護方案是十分必要的;企業應該加強信息安全的管理,并提高對受訪者身份的識別能力。

篇3

關鍵詞:計算機網絡 網絡信息 安全 技術 發展方向

隨著全社會信息化水平的不斷提高,信息安全成為一個世界熱點問題。近年來網絡和信息安全領域取得了先進技術成果與重大應用,我國權威機構對此總結交流,并研究和探討了國內外有關技術的前沿動態、發展趨勢及有創新意義的研究方法和理論,進而促進了我國信息安全技術的發展。

1 計算機網絡安全概述

互聯網的發展在影響國家經濟、政治、軍事等各領域的同時也帶來安全風險和健康損害,這是由于互聯網有很大的開放性和安全漏洞,不容忽視。中國互聯網絡信息中心(CNNIC)在京第31次《中國互聯網絡發展狀況統計報告》(以下簡稱《報告》)顯示,我國在2012年12月底已經有5.64億網民,互聯網普及率為42.1%,而在各項指標中,低速增長的傳統網絡已被手機網絡的增長速度所超越。其中手機在電子商務應用和微博用戶方面也有較快增長。

我國當前寬帶上網人數和網民數世界排名第二,僅次美國,同時人們開始著重關注互聯網安全。我國在全面推進信息化戰略部署時迫切需要研究和推廣相關技術來保證網絡與信息安全。相關安全技術需要網絡軟件公司和專家的分析和研究,以此推進其在國家網絡與信息安全領域中的應用以及提高我國的網絡和信息安全技術的研究水平。其中相關技術包括安全事件檢測與發現技術、蠕蟲病毒防范技術、網絡應用的安全性分析技術、入侵防御/入侵檢測技術、安全事件檢測與發現技術、網絡模擬與安全評估技術等。

2 計算機網絡安全防范的必要性

隨著計算機技術和網絡技術的發展,對網絡安全的需求越來越迫切,信息安全、信息技術也越來越受國際社會的重視。在全球化步伐加快的今天,網絡信息安全不僅關系到公民個人信息安全,也關系到國家安全和、社會穩定。結合全球互聯網的發展態勢與中國互聯網的發展經驗,我們對大數據時代網絡信息安全問題進行一個探討。

現今網絡傳播發展有三大背景:市場化、全球化和技術化。這三大背景影響了傳播的利益格局,讓思想多元化、信息碎片化。而如何在多元化、碎片化的大數據時代尋找客觀意義上的“真實”、保障網絡信息安全,是所有專家學者關心的問題。根據中國互聯網絡信息中心的《2012年中國網民信息安全狀況研究報告》顯示:多年來,我國不斷加強網民的信息安全治理,但網絡信息安全形勢仍然極為嚴峻。主要問題如下:新型的信息安全事件不斷出現,且迅速向更多網民蔓延;導致信息安全事件的情境日益多樣復雜化,令網民防不勝防;信息安全所引起的直接經濟損失已達到較大規模,接近200億元;發起信息安全事件的因素已從此前的好奇心理升級為明顯的逐利性,經濟利益鏈條已然形成;信息安全事件中所涉及的信息類型、危害類型越來越多,且日益深入涉及網民的隱私,潛在的后果更嚴重。

根據調查及數據顯示,我國有4.2億手機網民,以18.1%的年增長率快速增長,遠超網民的整體增幅。并且網民中用手機上網的比例由原來的69.3%升至74.5%,持續增長的現象鞏固了第一大上網終端的地位。相比PC網民(包括臺式和筆記本電腦),手機網民的規模仍具有一定差距。同時網絡安全也及其重要。

3 網路信息技術與信息戰爭

新時期,信息不再僅僅只是信息,信息也已經開始成為一種武器。美國是互聯網的創始國家,擁有世界最多的網絡信息和信息資源,這就是說,如果以后要進行網絡戰爭,美國獲勝的希望遠遠高于其他國家。美國網絡監視項目泄密者斯諾登在香港接受媒體采訪時稱,多年來,美國政府一直針對中國網絡發動大規模入侵活動。報道稱,自2009年以來,美國已針對中國網絡發動了大規模的入侵活動。攻擊目標達到數百個之多,其中還包括學校。據悉,美國政府黑客主要通過入侵巨型路由器從而一舉入侵成千上萬臺電腦,而不是分別入侵每一臺電腦。

信息戰爭并不同于網絡攻擊,雖然可以說美國擁有最先進的網絡攻擊或者說黑客監控技術,但對于如何進行網絡信息監管,這對于包括美國在內的世界多國來說,都是一個新領域。如果單從“棱鏡”事件透露出的信息看,美國不僅需要加強與其他國家的合作,如何立法保護信息不被截獲,也需要保護這些信息不被斯諾登這樣擁有高技術的人泄露。相信完善網絡法規還有很長的道路要走。

參考文獻:

[1]楊彬.淺析計算機網絡信息安全技術研究及發展趨勢[J].科技風,2009年20期.

[2]羅濤.淺談計算機網絡安全問題及其對策[J].中小企業管理與科技,2010年12期.

[3]張永俠.淺述計算機網絡安全策略[J].科技與生活,2010年13期.

[4]張興東,胡華平,況曉輝,陳輝忠.防火墻與入侵檢測系統聯動的研究與實現[J].計算機工程與科學,2004年04期.

[5]靳攀.互聯網的網絡安全管理與防護策略分析[J].北京工業職業技術學院學報,2008年03期.

[6]趙薇娜.網絡安全技術與管理措施的探討[J].才智,2008年10期.

[7]皮興進.計算機網絡系統安全威脅及其防護策略的研究[J].才智,2009年17期.

篇4

信息化時代的到來,推進了網絡技術的高速發展和應用,但各種計算機病毒和黑客的入侵也層出不窮,讓人防不勝防,建立強有力的預警系統,,全方位地保障網絡安全,是我們首先要做到的。預警定位的目的就是警戒距離,及時正確的探測目標活動范圍,探測事實的真假,獲得有關數據,處理相關信息,并迅速并自己獲得的探測情報快速傳送到信息安全控制中心,為其提供正確的決策信息。網絡隔離,就是把有害的攻擊隔離在可信網絡之外,同時也保證可信網絡內部信息不外泄,還能夠完成可信網絡之間的數據安全交換。

1 國內外網絡安全問題現狀

國外的網絡安全預警系統及入侵檢測技術的研究比我國要早,在重要政治,軍事以及經濟網絡的非法入侵加強了防范和監控。在美國還專門設立了計算機安全中心以及預警系統,專門對付非法網絡入侵,負責搜索預警情報,網絡攻防技術,網絡信息戰指導以及網絡戰戰術預警中心等。美英對網絡安全問題都特別重視,自九七年以來,一直致力于網絡安全預警技術的研究和開發,并取得了不錯的成績,在預警技術研究上也遙遙領先于其他國家。

目前,我國還沒有專門的大規模預警系統工程,只是在某些領域局部地建立了入侵檢測預警系統。但是,要想跟上時代的步伐,適應信息化時展的需要,保障我國各方面網絡系統的正常運行,我們必須大力投入網絡入侵預警定位和隔離控制系統的研究,提升我們國家網絡系統的反應能力,減少惡意網絡攻擊對我們造成的傷害,加強我們的跟蹤和反擊能力。

2 網絡安全預警系統的研究

現在大規模的網絡安全事件時有爆發,而小規模的網絡安全事件,更是層出不窮,為了防范和應對頻繁爆發的網絡安全問題,我們必須在全國范圍甚至全世界范圍內建立一個統一的網絡安全系統,保障我們的網絡能夠安全可靠地運行。

如何確保網絡安全?特別是面對大規模大范圍內的網絡安全威脅問題如早幾年轟動一時的蠕蟲事件,我們又該怎樣來應對呢?我們要對安全事件的重災區實行強有力的反擊,我們還要通過分析安全事件的特征,建立大規模網絡安全事件預警機制,通過監控手段實時掌握安全事件的活動范圍,對警戒災區進行快速定位,安全隔離,力爭把損失降到最少。

2.1 網絡安全事件的模式

網絡安全事件的模式大致分為已知安全事件和未知安全事件兩種模式。而網絡預警技術就是要通過分析大規模網絡安全事件的特性,從中找到和發現規律,從而能夠準確地檢測安全事件和正確地預警。網絡預警技術能夠從網絡的正?;顒雍彤悩拥幕顒又邪l現其規律,來進行入侵預警,提高工作人員的判斷能力,力爭把網絡安全威脅拒之門外。

2.2 網絡安全事件的控制

對于傳染蔓延性網絡安全事件,我們一定要在第一時間控制。傳染蔓延性網絡安全大體可以分為三個傳播階段:緩慢開始階段,快速傳播階段,緩慢結束階段。剛開始緩慢傳播階段,因為受控主機數量少,輻射傳播范圍也小,傳播速度也緩慢,就容易控制。所以,我們就要對安全事件擴散蔓延進行第一時間的預測,判斷,直至預警,統一安排隔離,快速撒下大網覆蓋所有受感染主機,確保將傳染性蔓延消失在萌芽狀態。

2.3 網絡安全整體戰略

對于大規模的網絡安全事件,我們一定要樹立整體戰略觀念,在全網范圍內要統一行動,共同對外,共御強敵。對于網絡安全事件,各個部分都要統一行動起來,團結一致貢獻自己的力量,把非法入侵分子趕出網絡。

對于預警災區邊界地帶,也要加強防范,統一布置,該隔離就隔離,該治療就治療等,確保網絡安全。

3 實現網絡安全的方法和技術

在DCEORICS中,每一個獨立的自治網絡通過協同控制,共同工作,醞造一個安全舒適的網絡世界。各個不同的自治網絡還可以實現資源和信息安全共享,實現更大領域的協調互補,建立大規模網絡統一安全體系。

3.1 入侵蔓延預測模型的建立

我們在全網建立完善的入侵監控模型,通過審核監控進入和外發流量,及時將數據輸送給預警監控中心,讓監控中心通過統計分析這些數據,建立其預警預測機制,確保網絡安全。

3.2 全網統一安全控制策略

對各分布式網絡實行統一管理,建立統一的公共安全控制模型。對主機傳播的文件數據進行嚴格的審查,針對各個不同安全事件的活動特性,采取不同的隔離防范措施,研究隔離控制策略的自動生成方式,自動生成隔離控制策略,建立隔離數據庫。多側面,多層次,全方位地研究隔離的策略,管理方式等,力爭把安全事件消滅在萌芽狀態,及時隔離控制。

3.3 協同預警與隔離控制模型

協同預警與隔離控制模型既要服從,又要相互尊重,相互協作。上層系統由協同預警模塊與隔離控制模塊組成。安全控制策略模型把全網絡分成安全區,警戒區,危險區,問題區,并且對各個不同的區采用不同的隔離策略,全網還有一個最高指揮系統――安全控制中心,負責統一調配等。

4 結語

對于大規模網絡的預警定位與快速隔離控制,我們不再是束手無策了,DCEORICS已然能夠輕松自如地進行準確的監控和預警,并且能夠及時定位,而且還能立馬采取應對措施,實行安全控制和隔離,確保網絡正常運行。

參考文獻

[1]趙剛.試論網絡信息安全控制技術及應用[J].湖北科技學院學報,2013,33(11):194-195.

[2]姚志強,張文.企業網的安全控制技術[J].高師理科學刊,2002,22(2):13-15.

篇5

【 關鍵詞 】 工業控制系統;信息安全;現狀;趨勢

【 中圖分類號 】 T-19 【 文獻標示碼 】 A

1 引言

隨著科學技術的發展,工業控制系統(Industrial Control Systems, ICS)已成為電力、水力、石化天然氣及交通運輸等行業的基石。但工業控制系統往往缺乏或根本不具備防護能力,與此同時工業控制系統的每次安全事件都會造成巨大的經濟損失,并直接關系到國家的戰略安全。特別是2010年爆發的Stuxnet病毒讓全球都明白,一直以來被認為相對安全的工業控制系統已經成為黑客攻擊的目標,因此,工業控制系統安全是世界各國關注的焦點。本文將從工業控制系統特點出發、立足典型工控安全事件,對該領域的現狀及未來發展趨勢做詳細闡述和分析。

2 典型工業控制系統基本結構

工業控制系統是由各種自動化組件、過程監控組件共同構成的以完成實時數據采集、工業生產流程監測控制的管控系統,其結構如圖1所示,主要分為控制中心、通信網絡、控制器組。工業控制系統包括過程控制、數據采集系統(SCADA)、分布式控制系統(DCS)、程序邏輯控制(PLC)以及其他控制系統等,目前已廣泛應用于電力、水力、石化、醫藥、食品以及汽車、航天等工業領域,成為國家關鍵基礎設施的重要組成部分。

作為工業控制系統的重要組件,SCADA、DCS及PLC各具特點。

SCADA(Supervisory Control And Data Acquisition)系統:SCADA經通信網絡與人機交互界面進行數據交互,可以對現場的運行設備實時監視和控制,以實現數據采集、設備控制、測量、參數調節以及各類信號報警等??梢娖浒瑑蓚€層次的基本功能:數據采集和監控。常見的SCADA系統結構如城市煤氣管網遠程監控、電力行業調度自動化及城市排水泵站遠程監控系統等。

DCS(Distributed Control System)系統:分布式控制系統是相對于集中式控制系統而言的一種新型計算機控制系統,由過程控制級和過程監控級組成的以通信網絡為紐帶的多級計算機系統,其基本思想是分散控制、集中操作、分級管理,廣泛應用于流程控制行業,例如電力、石化等。

PLC(Programmable Logic Controllers):用以實現工業設備的具體操作與工藝控制,通常在SCADA或DCS系統中通過調用各PLC組件實現業務的基本操作控制。

其他工業控制系統:除以上介紹外,一些生產廠商對典型的控制系統進行改造,生產出符合特定工作環境、滿足特定生產工藝的工業控制系統。

無論在何種工業控制系統中,工業控制過程都包括控制回路、人機交互界面(Human Interface,HMI)及遠程診斷與維護組件:其中控制回路用于向執行器輸出邏輯控制指令;HMI執行信息交互,包括實時獲取控制器及執行器的狀態參數,向控制器發送控制指令,修改工藝參數等;遠程診斷與維護工具確保出現異常時進行診斷和系統恢復,例如系統的緊急制動、報警等。圖1為典型的ICS控制過程。

3 工業控制系統信息安全現狀及策略

3.1 工業控制系統安全現狀

相比于傳統的網絡與信息系統,大多數的工業控制系統在開發設計時,需要兼顧應用環境、控制管理等多方面因素,首要考慮效率和實時特性。因此,工業控制系統普遍缺乏有效的工業安全防御及數據通信保密措施。特別是隨著信息化的推動和工業化進程的加速,越來越多的計算機和網絡技術應用于工業控制系統,在為工業生產帶來極大推動作用的同時也帶來了諸如木馬、病毒、網絡攻擊等安全問題。根據工業安全事件信息庫RISI(Repository of Industrial Security Incidents)的統計,截止2011年,全球已發生200余起針對工業控制系統的重大攻擊事件,尤其在2000年之后,隨著通用協議、通用硬件、通用軟件在工業控制系統中的應用,對過程控制和數據采集監控系統的攻擊增長了近10倍。

針對工業控制系統的攻擊主要威脅其物理安全、功能安全和系統信息安全,以達到直接破壞控制器、通信設備,篡改工業參數指令或入侵系統破壞生產設備和生產工藝、獲取商業信息等目的。

對于工業控制系統破壞主要來自與對工控系統的非法入侵,目前此類事件已頻繁發生在電力、水利、交通、核能、制造業等領域,給相關企業造成重大的經濟損失,甚至威脅國家的戰略安全。以下是各行業典型的工業控制系統(ICS)遭入侵事件。

* 2000年,黑客在加斯普羅姆(Gazprom)公司(俄羅斯國營天然氣工業股份公司)內部人員的幫助下突破了該公司的安全防護網絡,通過木馬程序修改了底層控制指令,致使該公司的天然氣流量輸出一度控制在外部用戶手中,對企業和國家造成了巨大的經濟損失。

* 2001年,澳大利亞昆士蘭Maroochy 污水處理廠由于內部工程師的多次網絡入侵,該廠發生了46次不明原因的控制設備功能異常事件,導致數百萬公升的污水進入了地區供水系統。

* 2003年,美國俄亥俄州的戴維斯-貝斯(Davis Besse)核電站進行維修時,由于施工商在進行常規維護時,自行搭接對外連接線路,以方便工程師在廠外進行維護工作,結果當私人電腦接入核電站網絡時,將電腦上攜帶的SQL Server蠕蟲病毒傳入核電站網絡,致使核電站的控制網絡全面癱瘓,系統停機將近5小時。

* 2005年,13家美國汽車廠(尤其是佳士拿汽車工廠)由于被蠕蟲感染而被迫關閉,50000名生產工人被迫停止工作,直接經濟損失超過140萬美元。

* 2006年8月,美國Browns Ferry核電站,因其控制網絡上的通信信息過載,導致控制水循環系統的驅動器失效,使反應堆處于“高功率,低流量”的危險狀態,核電站工作人員不得不全部撤離,直接經濟損失數百萬美元。

* 2007年,攻擊者入侵加拿大的一個水利SCADA控制系統,通過安裝惡意軟件破壞了用于控制薩克拉門托河河水調度的控制計算機系統。

* 2008年,攻擊者入侵波蘭羅茲(LodZ)市的城市鐵路系統,用一個電視遙控器改變了軌道扳道器的運行,導致四節車廂脫軌。

* 2010年6月,德國安全專家發現可攻擊工業控制系統的Suxnet病毒,截止9月底,該病毒感染了全球超過45000個網絡,其中伊朗最為嚴重,直接造成其核電站推遲發電。

除對工業控制系統的直接惡意攻擊外,獲取商業信息、工業數據等也是近年來入侵工業控制系統的常見現象。例如,2011年出現的Night Dragon可以從能源和石化公司竊取諸如油田投標及SCADA運作這樣敏感的數據。世界著名安全公司邁克菲(McAfee)在一份報告中披露,黑客曾依靠該方式入侵了五家跨國石油天然氣公司竊取其商業機密;與此同時出現的Duqu病毒和Suxnet不同,它并不攻擊PLC系統,而是收集與其攻擊目標有關的各種情報(如工業控制系統的設計文件等),根據世界著名信息安全公司卡巴斯基的報告,Duqu作為一種復雜的木馬,可能與Suxnet蠕蟲的編寫者同為一人,這也預示著網絡犯罪有足夠的能力成功執行工業間諜活動;類似的惡意軟件還有Nitro,它攻擊了25家化工和新材料制造商,收集相關知識產權資料,以獲得競爭優勢。

據不完全統計,近年來發生的工業控制系統安全事件(主要以惡意入侵、攻擊為主),除水利、電力、交通運輸等公共設施領域外,更為集中的發生在諸如石油、石化等能源行業。如圖4所示為主要領域工業控制系統安全事件統計。

通過相關工控事件案例分析可以發現,導致工業控制系統安全問題日益加劇的原因有三。

A.工業控制系統的自身特點所致:如前所述,工業控制系統的設計開發并未將系統防護、數據保密等安全指標納入其中,再者工業控制網絡中大量采用TCP/IP技術,而且工業控制系統網絡與企業網絡連接,防護措施的薄弱(如TCP/IP協議缺陷、工業應用漏洞等)導致攻擊者很容易通過企業網絡間接入侵工業控制系統,如圖5所示。

經統計,工控系統遭入侵的方式多樣,其入侵途徑以透過企業廣域網及商用網絡方式為主,除此之外還包括通過工控系統與因特網的直接連接,經撥號調制解調器、無線網絡、虛擬網絡連接等方式。如圖6所示為常用的工業控制系統入侵手段。

B.工業控制系統設備的通用性:在工業控制系統中多采用通用協議、通用軟件硬件,這些通用設備的漏洞將為系統安全帶來極大隱患。

1) 組態軟件作為工業控制系統監控層的軟件平臺和開發環境,針對不同的控制器設備其使用具有一定的通用性。目前使用比較廣泛的有WinCC、Intouch、IFix等,在國內,組態王在中小型工控企業中也占有一定份額。Suxnet病毒事件即為利用西門子WinCC漏洞所致。

2) 通信網絡是工業控制系統中連接監測層與控制層的紐帶,目前工控系統多采用IEC61158中提供的20種工業現場總線標準,例如Modbus系列(Modbus-TCP和Modbus-RTU等)、Profibus系列(Profibus-DP、Profibus-FMS)、Ethernet等,圖7為通用現場總線的網絡結構,可見只要利用這些通用協議的缺陷、漏洞即可入侵工業控制系統,獲得控制器及執行器的控制權,進而破壞整個系統??刂破髟O備則主要采用西門子、RockWell、HoneyWell、施耐德等公司產品,因此這些通信協議及通用控制器所具有的漏洞極易成為惡意攻擊的突破口(如施耐德電氣Quantum以太網模塊漏洞可以使任何人全方位訪問設備的硬編碼密碼)。

C.入侵、攻擊手段的隱蔽性:大多對工業控制系統的入侵和攻擊手段極為隱蔽、木馬和蠕蟲病毒的潛伏周期較長,待發現時已對企業國家造成嚴重損失。

據金山網絡安全事業部的統計報告顯示,一般的防御機制需要2個月的時間才能確認針對工業控制系統的攻擊行為,對于更為隱蔽的Stunet及Duqu病毒,則需要長達半年之久。如圖8所示為McAfee披露Night Dragon的入侵模式。

3.2 工業控制系統安全策略

自Stuxnet病毒爆發以來,工業控制系統的安全就成為各國所關注的焦點。針對越發嚴重的工業系統入侵等安全事件,世界各國都在積極研究相應的應對措施。

* 美國成立了工業控制系統網絡應急小組(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT),專注于協助美國計算機應急相應小組US-CERT處理工業控制系統安全方面的事宜,其職能包括:對已發生的工控安全事件進行處理分析,以便將來避免發生類似的安全事件;引導系統脆弱性分析和惡意軟件分析;提供對事件相應和取證分析的現場支持等。

篇6

關鍵詞:民航信息系統安全;風險評估;決策依據;可持續發展

1.引言

目前,世界各國航空公司紛紛從維護信息時代根本利益的高度認識信息安全的重要性,美國、日本、英國、法國等許多國家航空公司也都先后成立了高級別的信息安全機構。與此對比,國內民航企業在信息系統安全保障方面還處在一

個比較初級的階段,基本遵循著“出現事故一解決事故”的傳統模式。因此建設適合民航系統的信息安全管理體系,建立“安全評估一發現漏洞一解決漏洞—制定科學管理措施一預防事故”的新安全模式,已經成為開展民航信息化的當務之急,是民航信息化工作中不可避免的問題。

2.研究方案

本研究方案分作三個階段進行實施:

第一階段,在

國家評估標準

GB/T20984---2007《信息安全技術信息安全風險評估規范》的基礎上,對典型的民航信息系統安全風險進行評估。這一階段的工作內容有:分析并描述民航信息系統內涵,對其

內在拓撲結構、應用系統和業務流程進行分析;劃分評估對象的范圍并對其分類賦值;識別可能由人為因素或環境因素所引發的安全威脅,并將其分類賦值;從技術和管理兩個方面對信息系統

中可能存在

的脆弱點進行識別、分類,并依照其各

自嚴重程度的不同定級賦值;在對信息系統的資產、威脅和脆弱性安全賦值基礎上,計算信息系統的安全風險值;最后對風險結果進行分析,討論現有安全管理規定的隱患和不足之處,制定風險處理計劃,制定出新的更合理的安全管理規定。

第二階段,在現有傳統評估方法和評估模型研

究的基礎上,針對民用航空行業的特殊性需求,提出新的評估模型算法,并加以應用實踐。這一階段的工作內容有:分析傳統評估算法和評估模型,指出其存在的不足;分析民航業信息系統評估的特別的安全需求和評估指標;在傳統評估模型的基礎上,提出新的評估模型,從而更好地符合

民航業信息系統安全評估;利用得出的新的評估模型,對信息系統進行評估應用實踐,并對最終實踐數據進行分析、驗證。

第三個階段,深入開展信息安全知識普及和實施信息安全人才培訓計劃。這一階段的工作內容有:深入到民航公司和相關部門,通過靈活多樣的方式,開展普及信息安全的活動。制定安全人才培訓計劃,培訓信息安全相關規范和有關國

家法律知識,提高民航單位工作人員的信息安全意識,加強規范信息系統工作制度,提高防范意識。

3.實施方案

3.1民航信息系統安全評估

內容:如圖

l所示,確定評估范圍、目標;

指定評估方案:資產評估;威脅識別;脆弱性識別;風險計算;已有安全措施的確認;評估結論。

風險值=R

(A,1.,V)=

(L(T,V),F(Ia,Va))。

其中,R

表示安全風險計算函數;A

表示資

產;T表示威脅:V表示脆弱性;Ia表示安全事件

所作用的資產價值;Va表示脆弱性嚴重程度;L

表示威脅利用資產的脆弱性導致安全事件的可能性;F表示安全事件發生后造成的損失。

指標:評估出民航信息系統中的安全風險,清楚地了解系統中目前的安全現狀,找到潛在的威脅和安全隱患。

1民航信息安全的評估內容

3.2民航信息系統安全管理分析

內容:風險等級劃分:評估已有的安全控制

措施是否可接受;對不可接受的部分提出相應的

整改建議;對殘余風險的評估。

指標:根據風險評估結果,指出現有安全管

理規范中不合理的因素,制定出更加有效的安全

管理規范。

3.3傳統評估算法模型的研究

內容:定性的評估方法研究;定量的評估方

法研究;綜合的評估方法研究;傳統評估方法和模型的不足之處;改進的思路。

(1)概率風險評估

概率風險評估(PRA)以定性評估和定量計算相結合,將系統逐步分解轉化為初始事件進行分析。確定系統失效的事件組合及失效概率。能識別風險及原因,給出導致風險的事故序列和事故發生的概率。

(2)費用.效益分析

費用.效益分析是系統評價的經典方法之一。

在學術界、福利經濟學理論的基礎上,該方法要求從經濟總體上考慮費用和效益的關系,以達到資源的最優化分配。

(3)關聯矩陣法

關聯矩陣法應用于多目標系統。它是用矩陣形式來表示各替代方案有關評價項目的平均值。

然后計算各方案評估值的加權和,再通過分析比較,綜合評估價值、評估值加權和最大的方案即為最優方案。

(4)關聯樹法

關聯樹法是作為一種有助于對復雜問題進行評價的方法而產生的。最初它是用來對國家戰略性的技術預測和設計的評價,后來在開拓市場、

投資分析等不確定狀態下進行評價時也廣泛應用起來。

指標:現有傳統評估方法應用與民航信息系統安全評估中所存在的問題,并指出其不足之處。

3.4新的評估模型算法的研究

內容:民航信息系統的評估需求分析:改進傳統評估模型的方法研究;新的評估模型框架;新的評估算法;新的評估模型應用實踐;實踐數據的驗證。

(1)層次分析法

層次分析法對系統進行分層次、定量、規范化處理。為決策者提供定量形式的決策依據。

(2)動態風險評估法

動態風險評估法,能夠與時間緊密結合,確定系統失效的事件組合及失效概率。

指標:新算法模型更符合民航業信息系統的

實際需求,具有良好的科學性、合理性和可操作性。

3.5安全人才培訓計劃

內容:培訓對象為民航公司相關單位工作人員。開展信息安全普及活動;開展信息安全技術

培訓班:編寫信息安全培訓教材:設立信息安全培訓實驗室。

指標:通過該計劃,能切實提高民航單位工作人員的信息安全意識,規范信息安全操作,提高保障信息安全的能力。

本文涵蓋了民航信息系統保障機制的 各個方面,與民航日常工作和安全保障密切相關,有著非常重要的學術意義和應用意義。在提高民航安全管理質量,評估民航安全信息系統,制定民航安全管理規范,培訓

民航安全管理素質等各方面,都有著重要的意義。

參考文獻:

[1]范紅.信息安全風險評估規范國家標準理解與實施【M】.北京:中國標準出版社,2008:l—49

篇7

傳統IDS的不足

IDS的核心是檢測技術,并且已經成為網絡安全產品的核心技術之一。IDS從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,查看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。

可以說,IDS入侵檢測系統被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

雖然IDS在不斷進步,但傳統的IDS也存在一些不足。比如:使用IDS以后誤判率較高,攻擊日志會出現很多,而網絡管理員花了大量時間查找原因,卻可能沒有發現任何攻擊。這些誤報逐漸導致網絡管理員不再關心IDS的報告。

此外,有些企業雖然部署了IDS設備,但是防御效果不明顯。很多用戶發現仍然會發生數據失竊、主機被控之類的攻擊。

而從用戶的角度而言,任何一個稍微復雜的大型網絡系統,如果它運用了傳統的入侵檢測類產品IDS,那么這個系統的IT運維人員往往需要精通對事件的分析技術,并投入大量精力進行威脅排序、威脅定位、威脅處理與統計報告等很多工作。顯然,在這種情況下,運維壓力會非常大。

尤其是當前網絡環境復雜多變,在大量事件中,傳統IDS往往不能夠清晰地反映安全事件的威脅級別,更不用說給IT運維人員提供處理意見和建議了?;谶@樣的原因,很多用戶對IDS技術和產品還不太滿意。

目前用戶對于傳統IDS的使用通常有幾點經驗:首先是定期更新廠家的攻擊特征庫,其次是對IDS日志進行統計分析,第三就是在攻擊發生以后,通過IDS日志尋找可疑的日志信息,從而分析出攻擊的來源和攻擊造成的影響。

不過要做到后面兩點,需要IDS提供相應的日志事件管理軟件,并且配有專業分析人員。對于很多用戶來,這樣勢必會增加IDS的運維成本。目前在國際上,比較領先的做法是融入智能分析系統,并且讓IDS展示出的攻擊事件有重點、分級別地呈現在用戶面前,解決目前眾多用戶的問題。

智能分析與可視化

所謂智能分析系統,是指根據眾多安全專家的經驗與知識設計的一整套威脅事件智能分析的方法和算法,實現了IDS智能化的威脅檢測。換句話說,如果IDS具備了智能分析系統,就意味著IDS具備安全專家長期實戰積累下來的知識和經驗,這將極大減少IT運維人員的工作量。

若想更深入了解智能分析系統,我們不妨先來看一看安全專家處理IDS報警事件的四個步驟:

1.確認需要關注的事件:從眾多事件日志中排除一些無威脅事件,找出重點關注事件。

2.事件分析:通過分析重點關注事件,排除誤報的可能。

3.事件處理:通過分析后的安全威脅事件,有針對性地進行修復或系統加固,并適當地改變IDS安全策略。

4.統計匯報:量化事件產生的數據,提交報告輔助宏觀決策。

如果將上面專家處理步驟標準化、智能化,開發出一套行之有效的可執行程序,使其變成智能分析系統,那么可以想象,加入智能分析系統的IDS將如虎添翼,從海量事件中自動找出重點安全事件,同時極大地解放IT運維人員的生產力。

智能分析系統的核心就是將原有專家處理告警的四個步驟標準化、程序化。從威脅能力、發生頻率、流行程度以及用戶關注度等不同維度分析事件所帶來的影響,從真正意義上解決目前很多IDS用戶的困擾,能夠在海量事件中,找出重點威脅事件,這是結合了專家知識庫后的智能分析系統核心價值所在。

此外,通過智能分析系統,將威脅事件可視化,再進行輔助處理,對于用戶來說也是一件令人興奮的事情。因為將威脅可視化可以為IT運維人員提供宏觀信息,并能迅速直觀發現重點關注事件。

目前,國內已經開發出了相應的智能分析系統――天闐威脅檢測與智能分析系統。該系統使得威脅檢測的結果具有更強的可讀性,從而使得威脅檢測變得可視化,網絡信息安全的運維也相應變得簡單。

篇8

關鍵詞:信息安全;信息化建設;校園網

近十年來,我國的高校信息化建設步入了飛速發展階段,各類學校官網建設、教學資源的共享、教務系統的應用、校園一卡通等信息系統的建設,成了高校信息化的展示平臺和重點,信息系統在學校教務工作中占據了非常重要的地位.原本的大學信息化平臺只能提供普通的通知公告、學校形象展示等功能,隨著信息技術的發展,如今的大學信息化平臺發生了很大變化,匯集了學校網站宣傳、微信、微博賬號、師生互動溝通、教學教務系統、選課評教系統、教學資源共享等功能.這些系統和信息已經成為高校重要的業務展示和應用平臺.其中涉及的信息安全方面的問題日趨值得我們重視.

1高校信息安全現狀

一般的高校信息化建設主要經過以下幾個階段:網絡基礎設施建設、舊應用系統整合、新應用系統開發等.[1]在高校信息化建設發展的同時,整體安全狀況卻不容樂觀.高校網絡應用日趨增加,網絡系統越來越龐大,對外要能夠抵御各種黑客攻擊,負載均衡等問題,對內要解決規范網絡資源使用.信息化安全是當前高校信息業務應用發展需要關注的核心和重點,而高校信息安全需要解決以下安全內容:1)操作系統安全.2)網絡信息通信安全.3)網絡系統信息內容安全.中國高校網站安全情況極差,根據國內信息安全公司的報告,在2012年5月,國內截獲了61萬個遭黑客網頁掛馬的網址,其中教育教學類的網址就有18萬個以上.此外,根據《2013年中國高校網站安全檢測報告》,高校網站的安全性在全國各類網址中,體檢分數排名僅僅比倒數第一名多2分(見圖1).值得注意的是,各大學校的科研、教務網站上保存有大量的敏感數據和學生信息,如不加以重視安全保護,極易受到黑客的攻擊和竊取,由此引發的高校網站被篡改、被掛馬的安全事件頻繁出現,最終給高校帶來嚴重的形象及經濟損失.另外,高校網站在百度、搜狗等搜索引擎中是熱門關鍵詞,由于其安全性薄弱及多方面的利益驅使,是黑客攻擊并傳播病毒的優先選擇目標.信息安全隱患已經成為高校信息化建設過程中無法回避的問題,其嚴重威脅著高校信息化的推廣和使用,[2]威脅著公共安全的多個方面.

2高校信息安全面臨的挑戰

當前,各大高校都在加大信息化平臺的投入,對官網、教務管理系統進行建設,讓各類教學資源聯網共享,優化校內網絡資源等,這些高校信息化的建設是各大高校適應當前形勢發展需求而開展的,每個學校都有自己的實際情況和需求,業務開展初期沒有一個宏觀的規劃架構,各個系統之間互不連通,數據不能同步共享、更新,這些系統的功能特性、安全需求和等級、服務的群體、所面臨的風險各不相同.高校信息安全面臨的挑戰,主要有以下幾點:1)高校官網易受到攻擊:高校官網是學校重要對外交流窗口,瀏覽訪問量巨大,又因為高校網站多為各高校自主搭建,缺乏足夠的安全防范技術與措施,所以較容易引起網絡黑客的攻擊興趣,黑客利用網頁掛馬,分布式拒絕服務攻擊等方式對學校官網進行攻擊,輕則造成網站響應速度變慢,重則導致訪問者中毒,或者學校網站無法訪問等嚴重后果.圖2和圖3分別列出了中國高校網站安全漏洞分布情況和黑客攻擊高校網站技術手段分布情況.圖2中國高校網站安全漏洞分布情況Fig.2DistributionofsecurityvulnerabilitiesinChinesecolleges圖3黑客攻擊高校網站技術手段分布情況Fig.3Hackers'attackmethoddistribution2)高校敏感數據被入侵、篡改.高校信息中心的業務數據,包括“校園一卡通”、教務管理系統、圖書館借閱系統、精品課程資源庫等,由于保存有大量學生身份證、聯系電話、成績、銀行卡號、住址、學生飯卡資金等敏感信息,也成為網絡黑手攻擊的對象,黑客入侵修改學生成績、學歷,甚至修改畢業證信息等信息安全事件屢見不鮮.3)校園網的內部威脅.高校內部用戶上網帶來的威脅,包括機房、宿舍、辦公樓用戶等.由于信息技術發展速度較快,高校在信息安全教育方面沒有跟上技術發展的步伐,導致校園上網用戶對信息安全重視程度不夠,缺乏信息安全保護能力和意識,通過學校局域網或者機房感染計算機病毒的概率很高,使得各種計算機病毒在校園內迅速傳播,給學校內網帶來安全威脅.另外,有些學生對黑客盲目崇拜,在校內嘗試黑客攻擊技術,也造成了一些信息安全事故.4)技術人員方面的短缺.很多高校信息管理人員缺乏成熟的管理經驗,整體素質比較低,加上管理和制度上的欠缺,使得高校信息系統在運行過程中遇到入侵的概率大大增加.5)需要加大資金投入.越來越多的高校已經認識到校園信息化建設的重要性.但是,由于信息化建設的硬件投入需要較大資金,而很多高校存在資金缺口,導致安全設備硬件的缺乏,進而成為整個安全建設的短板.另外,信息化服務、信息化應用、人員培訓等方面也需要大量資金,這些問題不解決,將使得高校的信息化建設失去動力支持.

3解決方案

對于高校校園網的安全建設而言,主要考慮以下幾個方面:1)對整個高校的信息安全進行統一規劃,建立并實施體系化的信息保障標準,實現學校門戶部門公共服務網站教學資源等各類型網站的整合,簡化技術維護難度,確保網站的建設質量和安全防護能力.2)全方位的進行建設,在基礎層建設方面、網絡層建設方面、系統集成方面、管理應用方面,多角度多層面的設計和建設安全需求.3)對涉及敏感數據的區域進行重點保護,劃分重點區域,有利于集中管理.4)針對學校的業務需求,引入先進的安全硬件軟件等產品,緊跟安全領域的步伐.5)定期進行校園網絡體系化建設咨詢,風險評估,攻擊測試等活動,不斷提高安全防護能力.6)信息安全建設過程中要嚴格遵守國家等級保護要求,結合等級化的方法來設計.7)高校信息化建設與人員的素質息息相關,在加強信息化管理的過程中,需要對校園中使用網絡的人員進行安全教育和培訓,提高人員的安全意識,[3]形成人人關心信息安全工作,事事重視信息安全保護的工作氛圍.

4具體安全措施框架

根據高校自身系統的特點,結合等級保護相關技術要求和標準規范,筆者提出了以下解決方案(見圖4).該方案的安全措施框架是依據“防范優先,全面防御”的方針,以及“制度與技術結合”的原則,并結合等級保護基本要求進行設計,主要包括技術體系,管理體系以及安全監控體系三大方面,在核心應用系統方面使用入侵檢測系統、軟硬件防火墻、殺毒軟件定期查殺等常用信息防范措施,保障網絡業務在具有一定的安全防護能力下的正常開展.

4.1技術體系

4.1.1架構規劃

劃分重點保護區域、訪問控制、防DDOS攻擊,針對重點保護區域使用防火墻進行隔離,配置規范的訪問控制權限和策略,交叉使用多家安全廠商的產品,構建嚴密、專業的網絡安全保障體系.

4.1.2應用層面

對校內各Web應用進行入侵檢測,及時修補漏洞,利用防火墻對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷,并結合網頁防篡改子系統,真正達到“網頁防篡改”效果.

4.1.3數據層面

將校內重要的數據放置在重點保護區域,提升數據庫自身的安全指數與配置,對數據庫的訪問權限進行嚴格設定,最大限度地保證數據庫安全.同時,利用SAN、異地數據備份系統有效保護重要信息數據的健康度.

4.2管理體系

任何安全設施和安全產品都需要專業管理人員的審核、跟蹤和維護,在安全管理體系的設計中,引入安全經驗豐富和對等級保護管理要求理解清晰的專業公司,為高校量身定做符合實際的、可操作的安全管理體系.

4.3安全監控體系

4.3.1風險評估

評估和分析在網絡上存在的安全技術,分析業務運作和管理方面存在的安全缺陷,調查系統現有的安全控制措施,評價當前高校的業務安全風險承擔能力;聘請資深的安全專家對各種安全事件的日志、記錄實時監控與分析,發現各種潛在的危險,并提供及時的修補和防御措施建議.

4.3.2滲透測試

利用網絡安全掃描器、專用安全測試工具和專業的安全工程師的人工經驗對網絡中的核心服務器及重要的網絡設備進行非破壞性質的模擬黑客攻擊,提高防范意識與技術.

4.3.3應急響應

針對信息系統危機狀況的緊急響應設有預案,當信息系統發生意外的突發安全事件時,可以提供緊急的救援措施.通過以上方案的實施,學校業務系統得到安全保障,高??蒲?、教務、學籍等重要數據免受黑客入侵威脅.高校官網抗攻擊性得到加強,在遭受一般的網絡攻擊下能持續提供網絡服務,并檢測攻擊出處.規范校內用戶的上網行為,提高校內用戶的整體信息安全意識,提高了網絡利用率,減少了內部的網絡攻擊.另外能逐步完善安全制度并提升管理人員素質.因此該系統的建設能夠滿足當前高校網絡系統的要求.

5結語

當前高校網絡系統是一個不斷發展壯大的多功能復雜系統,在提供日常的教務管理、學校宣傳的同時,也面臨著越來越復雜的信息安全威脅,網絡技術不斷發展的同時,現有的系統自身的漏洞與弱點也會不斷被發現,信息安全風險日益突出,成為當前高職院校中信息化建設過程中必須面對與亟待解決的問題.信息化建設和發展對于高校未來的教育工作有著非常重要的現實意義,因此,需要加大資金投入,保證校園向著信息化方向發展,[4]以信息安全為出發點,將系統從項目立項開始就納入管理范疇,從而實現對高校信息系統的有效管理.[5]在高校信息化建設中實施信息安全保護建設工作有利于提高全校的信息系統安全建設水平,能不斷的同步建設各種信息安全設施,讓信息化建設與信息安全同步發展,能提供全面的并有針對性的信息系統安全建設,降低網絡系統建設成本,有利于優化信息安全資源配置,保護信息系統分類,確保高校信息平臺的安全運行.

作者:聶晶 單位:南寧職業技術學院

[參考文獻]

[1]于莉潔,王松盛,唐麗華,等.高校信息化建設中的信息安全問題研究[J].信息安全與技術,2016(3).

[2]趙歡,陳熙.高校信息安全體系的研究與實現[J].中國教育信息化,2013(13).

[3]譚博.高校信息化建設進程中信息安全問題成因及對策探析[J].信息與電腦:理論版,2016(11).

篇9

【關鍵詞】智慧城市;安全風險;風險識別;風險評估

1.引言

自IBM于2009提出“智慧地球”理念以來,國內外已經有眾多城市以網絡為基礎,打造數字化、泛在互聯的新型智慧型城市。在智慧城市的建設和研究過程中,將新興的物聯網、云計算、超級計算,以及基礎通信網絡、軟件服務化、數據共享、整合、挖掘與分析等技術全面應用。同時也對信息安全帶來了全角度的沖擊。

建設智慧城市必將面臨各種風險,本文主要研究和討論智慧城市工程信息系統的風險和評估方法。并且為建設智慧城市信息安全提供設計思路。

目前信息安全風險評估的方法主要有層次分析法[1]、神經網絡方法[2]和模糊理論[3]等;信息安全要求是通過對安全風險的系統評估予以識別的[4]。風險評估是依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。

2.建設智慧城市面臨的信息安全風險

2.1 智慧城市信息系統的基本結構

智慧城市主要由三部分組成,底層為基礎設施平臺,主要包括互聯網絡和感知網絡;數據共享平臺主要包括基礎信息資源庫,例如人口信息、地理信息等;應用服務平臺是面向公眾、企業及政府的綜合服務門戶平臺。

2.2 智慧城市面臨的信息安全風險

信息安全風險是認為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響[5]。如表1所示,智慧城市面臨的信息安全風險主要有物理破壞、人為破壞、設備故障、內部與外部攻擊、數據誤用、數據丟失以及應用程序錯誤等風險。智慧城市服務面廣、影響廣泛,面對大眾,其持續服務能力和流暢服務能力直接關系到智慧城市建設的成敗。而這兩個服務能力又取決于管理者和建設者對以上風險的認知和處理程度。

3.信息安全風險識別

信息安全風險識別的基本依據就是客觀世界的因果關聯性和可認識性[5]。在建設智慧城市的過程中,信息系統必將面臨各種安全風險。明確識別風險,評估風險,并合理的管理風險,是參與智慧城市項目建設中每個人的責任和義務。

風險識別主要有兩種方法,一種是從主觀信息源出發的識別方法。主要利用頭腦風暴法,德爾菲方法(Delphi method)和情景分析法(Scenarios analysis)。前兩種方法在我國使用的較多,情景分析法是一種定性預測方法,對預測對象可能出現的情況或引起的后果做出預測的方法,操作過程復雜,目前在我國的具體應用較少。另外一種風險識別的方法是從客觀信息源出發的識別方法。主要利用核對表法、流程圖法、數據或結果實驗法、工作結構分解分析法和財務報表法等。

信息安全風險管理是識別并評估風險、將風險降低至可接受級別、執行適當機制來維護這種級別的過程。沒有絕對安全的環境,每種環境都會存在某種程度的脆弱性,都會面臨一定的威脅。問題的關鍵在于識別威脅,估計它們實際發生的可能性以及可能造成的破壞,并采取恰當的措施將系統環境的總體風險降低至組織機構認為可以接受的級別。

4.終端面臨安全風險

用戶訪問智慧城市信息數據的終端雖然不屬于智能城市建設的范疇,但面對大量的用戶終端,智慧城市工程相關管理和技術人員必須要考慮智慧城市系統對用戶終端的影響。

根據CATR 2013年3月4日的研究數據顯示,預計2013年中國3G用戶將增長1.5-1.8億戶,用戶規模突破3億戶。也就是說會有很大量用戶通過3G智能終端獲取信息。智慧城市的信息數據,也將通過3G移動互聯網送至用戶的智能手機上。會存在黑客利用智慧城市信息服務平臺攻擊用戶智能終端的情況。

另外一部分用戶將使用個人計算機機通過互聯網訪問智慧城市信息數據。同樣黑客也有機會利用智慧城市信息服務平臺攻擊用戶的個人計算機。

最后,由于智能電視、網絡機頂盒的出現,還將會有部分用戶通過電視機訪問智慧城市的信息數據,黑客也有攻擊智能電視機網絡機頂盒等電視機接入設備。

智慧城市工程的建設,要應對網絡犯罪和黑客攻擊,維護移動互聯網安全,需要將移動網絡、后臺服務以及個體終端結合起來,從全局角度提出一個完整的綜合性解決方案,這就對普通用戶、移動運營商、網絡安全供應商、手機制造商、第三方軟件開發商以及網絡信息提供商都提出了更高的要求。同時,還需要政府監管部門完善響應的監管體系,加強相關法律法規的建設。

5.信息安全風險評估

信息安全風險評估是依據有關信息安全技術與管理標準,對信息系統及其由處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,并提出有針對性的抵御威脅的防護對策和整改措施。進行信息安全風險評估,就是要防范和化解信息安全風險,或者將風險控制在可接受的水平,從而為最大限度的保障網絡和信息安全提供科學依據。[6]

通過風險評估后,就可以針對信息系統中的高危風險進行風險管理。風險評估目前主要有定量風險分析方法和定性風險分析方法。國內外研究人員又在此基礎上提出了層次分析法(AHP),故障樹分析法和基于模糊數學的分析方法。另外就是基于科研機構頒布的標準或指南的信息安全風險評估方法,比較傳統的方法有BS7799標準、CC標準、ISO13335信息和通信技術安全管理指南和NIST相關標準等。這些標準或指南對信息安全風險評估具有很好的指導作用,且大多數是基于定性的風險評估,對評估者的能力要求高,評估具有很大的主觀性。

對于智慧城市工程的信息系統,可以采用多種不同的方法對信息系統進行綜合風險評估,將不同風險評估方法得出的結果系統分析,實施全方位、多角度的風險管理。只有通過對信息系統的安全風險評估才能對智慧城市工程存在的風險進行合理、科學和有效的管理。

6.結束語

在建設智慧城市工程的過程中,信息安全風險評估以及風險管理勢在必行。在規劃設計階段根據實際投資和項目情況,以國家相關標準為基礎進行規劃設計,并參照《信息系統安全等級保護基本要求》(GB/T22239-2008)對信息系統進行安全保護。正確識別和評估安全風險要始終貫穿到工程項目建設的每一個環節中。在項目建設初期從多角度、全方位識別風險,不留風險盲區;在項目建設過程中,通過風險評估的結論,將風險降低到可以接受的程度;在后期的使用維護過程中,始終使用PDCA方法,不斷的去識別、評估和降低安全風險。動態將風險識別和風險評估方法貫徹到智慧城市工程的每一個階段,確保實現安全可靠的智慧型政府、智慧型民生和智慧型產業。

參考文獻

[1]王奕,費洪曉,蔣蘋.FAHP方法在信息安全風險評估中的研究[J].計算機工程與科學,2006,28(9):4-6.

[2]趙冬梅,劉海峰,劉晨光.基于BP神經網絡的信息安全風險評估[J].計算機工程與應用,2007,43(1):139-141.

[3]陳光,匡光華.信息安全風險評估的模糊多準則決策方法[J].信息安全域通信保密,2006,7:23-25.

[4]信息安全管理實施指南(ISO17799:2005C).

[5]信息安全風險評估規范(GB/T20984-2007).

篇10

為了確保用戶免受病毒侵擾,切實保護網絡信息系統安全,在微軟終止支持Windows XP的危機時刻,國內各大安全廠商已然挑起了這一重擔。

在政府法律與技術的雙重支持下,目前各安全品牌針對的Windows XP的守護產品橫空出世:奇虎360重磅推出安全衛士Windows XP加固版,騰訊及時實施了“扎籬笆計劃”,北京優炫軟件強力部署Windows XP系統安全加固,北信源構建起金甲防線,瑞星推出漏洞監控服務……

對此,一些業界知名人士提出了建議。其中,金山毒霸安全專家李鐵軍建議,用戶可根據自身情況選擇采用USB設備控制、部署殺毒軟件、使用軟件限制等策略,盡可能避免安全風險。北京大學信息科學技術學院副教授陳江也提出了建議:第一,安裝好殺毒、查殺木馬等防病毒軟件,加強外部保護;第二,做好備份工作,Windows XP系統下的一鍵GHOST很容易操作,一旦被攻擊可迅速恢復;第三,適度斷網,潛在危害多源于網絡,斷網即可解決問題。

從國內外大大小小的安全事件中,不難發現,大到發展戰略,小到產品設計,安全廠商的社會責任感,已實實在在體現在企業的具體行動中,并貫穿了企業發展的始終。重視社會責任,對于安全廠商而言,如同重視技術創新一樣重要。

2014年是我國信息安全建設的關鍵一年。2月底,國家網絡安全和信息化領導小組成立。3月初,網絡信息安全首次被寫入政府工作報告。我國首度從國家戰略層面統一領導信息安全建設,戰略部署、組織架構、法律法規、關鍵基礎設施安全、技術產業的發展、攻防能力建設等方面的頂層設計將被進一步加強,網絡與信息安全領域的立法也將得到更高的重視。