信息安全技術報告范文

導語：如何才能寫好一篇信息安全技術報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

管理任務之變：需求增加導致設備管理任務增加

隨著用戶需求的不斷變化，數據中心承載著越來越重的任務量，無論是計算還是存儲或者網絡資源，其規模相比以往急劇擴大，而這也使得其他一些配套設備發生了相應的增長，以滿足應用的需求。

CPU計算能力的提高、硬盤存儲容量的增加，以及刀片服務器和高密度存儲的發展，都無法滿足如同洪水猛獸般洶涌而至的數據處理需求。因此，人們不得不將包括計算、存儲、網絡、供電和散熱等在內的部件累積起來，組成更大規模的數據中心。

安全技術之變：必須不斷適應新型IT

未來，所有的公司都將成為IT公司。這個觀點可能稍有些偏激，不過從另一個角度來看，這說明無論工作還是生活都已經離不開IT。

云計算、虛擬化、大數據，近兩年來頻繁冒出的新技術，無一不是為由IT所承載的業務服務的。當這些新的技術到來之時，安全技術要與之匹配發展，以適應新環境、新技術下的安全需求。

從長遠到本源：數據加密或是最根本的防護

受限于10年前IT的發展水平，很多人都沒有意識到數據中心在“量”和“質”方面的變化，以至于很多組織和機構都不得不在新一輪的IT采購周期中花費大量的時間和金錢，購買新產品，以替換舊設備。這樣的事情每時每刻都在發生。

由于信息技術的發展，數據本身受到來自多方面的威脅。作為數據中心主要的服務對象，數據的保護是十分重要，并且需要長遠計劃的。但是面對變化和不斷更新的威脅，正面對抗似乎收效甚微，最好的選擇是本源的防護，即做到保護數據本源的同時，又能靈活應對各種安全環境的需求。而符合這種要求的安全技術就要屬加密技術了。數據中心的管理人員需要在不影響新的數據中心環境所帶來的性能和功能的前提下，確保數據中心的安全運營。

安全威脅攻擊的首要目標是數據中心

許多現代的網絡犯罪活動是專門以數據中心為攻擊目標而設計的，因為這些數據中心都托管和處理著海量的、高價值的數據信息，包括個人客戶數據資料、財務信息和企業知識產權等。因此，確保數據中心的安全運營是一項挑戰。非對稱的業務流量、定制化的應用程序、需要被路由到計算層之外并達到數據中心周邊的高流量數據、跨多個Hypervisor的虛擬化應用，以及地理上分散的數據中心等，增加了數據中心安全運營的難度，其結果可能是，在安全方案覆蓋范圍方面存在空白，可能對數據中心性能造成嚴重影響。人們不得不犧牲數據中心的功能，以適應安全的限制，采用復雜的安全解決方案，削弱了數據中心根據實際業務需求而動態地配置資源的能力等。

思科預測，到2017年，全球76%的數據中心流量將保留在數據中心內，而這些流量都是在虛擬環境中由存儲系統、生產系統和開發環境所生成的。早在2015年3月底，市場調研機構Gartner公司就曾經預測，數據中心的連接每秒增加3000%。

現代數據中心為企業提供了大量的應用程序、服務和解決方案。許多企業和組織都要依賴分散在各個不同地理位置的數據中心所部署的服務，以支持它們不斷增長的云計算和流量需求。企業還需要制定新的更有效的戰略，比如大數據分析和業務連續性管理，使數據中心成為企業的一個更為關鍵的部分。但是，這也使得數據中心的資源成了惡意攻擊者攻擊的主要目標。這意味著數據中心的安全團隊實施數據中心的監控和保護將變得更加困難。

信息安全已經上升到國家戰略層面，亟須加大安全投入

網絡空間已成為國家繼陸、海、空、天四個疆域之后的第五疆域，與其他疆域一樣，網絡空間也須體現國家，而保障網絡空間安全就是保障國家。

自2013年“斯諾登”事件爆發以后，國際社會又相繼爆發了土耳其泄密事件、巴拿馬文件泄密事件等震驚海內外的重大安全事故，網絡攻擊手段不斷推陳出新、網絡攻擊技術不斷升級發展。隨著中央網絡安全和信息化領導小組的成立，信息安全已經上升到國家戰略層面，國家對網絡信息安全的重視上升到了新的高度。但是目前，我國網絡安全產業的整體規模和投入與歐美發達國家相比，差距巨大，必須奮起直追。

Gartner公司2015年的數據顯示，2015年全年，全球信息安全支出達833.78億美元，其中北美地區339.38億美元，西歐地區225.14億美元，大中華區只有32.15億美元，與經濟體量明顯不相稱，僅為美國的9%。IDC的數據顯示，我國信息安全投入占IT投入的比重為1%～2%，而同期北美和歐洲的企業對信息安全的投入占IT支出比重達到8%～14%。信息安全投入上的嚴重不足，導致我國自主研發的信息安全技術和設備難以快速轉化為成果，應用于實踐，從而使我國網絡安全面臨巨大隱患。

大數據、智慧城市的發展導致數據量爆發式增長

篇2

[關鍵詞]計算機 信息安全技術 相關概念 防護內容 防護措施

中圖分類號：TP393.0 文獻標識碼：A 文章編號：1009-914X（2016）28-0194-01

1.計算機信息安全的相關概念

計算機網絡安全指的是現代計算機網絡內部的安全環境維護，卞要保護的是計算機網絡系統中的硬盤、軟件中的數據資源，在沒有因為意外或惡意等情況下未遭遇人為型破壞和更改相關重要的數據信息，從而保障計算機網絡服務的正常運作。

2.計算機信息安全技術防護的內容

計算機信息安全防護，強化計算機信息安全管理的防護工作和防護內容較多。從現階段計拿機信息安全防護的實際情況來看，強化對計算機安全信息的管理可以從計算機安全技術入手，對計算機系統的安全信息存在的漏洞進行及時的檢測、修補和分析結合檢測分析得到的結果制定有效的防護方案建立完善的安全系統體系。其中安全系統體系包括安全防火墻、計算機網絡的殺毒軟件、入侵監測掃描系統等信息安全防護體系。從計算機信息安全管理方面來看，需要建立健全的信息安全制度，欄窀據信息安全管理制度的相關規定對計算機信息進行防護，加強管理人員的安全防護意識。此外，計算機信息安全防護還需要充分考慮計算機安全數據資源的合法使用、安全穩定運作數據資料存儲和傳輸的完整性、可控性、機密性和可用性等。

3.計算機信息安全防護中存在的問題

隨著計算機信息化技術的進一步發展，信息安全已經引起人們的高度關注?，F階段計算機安全信息防護還存在諸多問題。計算機網絡系統的安全體系不夠完善，因此要保障計算機信息安全必須要配置一些安全信息設備，但是目前的安全技術水平偏低，安全信息質量得不到保障。此外計算機系統內部的應急措施的構建機制不夠健全，安全制度不完善，滿足不了信息安全的防護標準要求。近幾年來，我國用人單位對計算機催息安全管理工作越來越重視，但是有些單位的計算機安全信息防護意識薄弱，負責信息安全防護的管理人員業務素質偏低，計算機信息安全技術防護水平偏低。同時，一些企業對管理人員的信息安全培訓力度不足，對安全信息防護的設備費用的投入力度不足。因此，現階段我國企業的計算機信息安全防護水平與社會服務的程度偏低。

4.計算機信息安全防護的措施

4.1 注計算機病毒的防護

計算機網絡之間的病毒傳播速度較快。現代計算機網絡防護病毒必須要在互聯網環境下，對計算機的操作系統采取科學合理的防毒措施，有效防護計算機信息安全?，F階段，從計算機信息行業來看，針對不同的操作系統，所采用的計算機防毒軟件的具體功能也會不一樣，但是能夠加強計算機用戶的信息安全防護利用安全掃描技術、訪問控制技術、信息過濾技術，制止惡性攻擊，加強計算機系統的安全性能，強化對計算機信息安全的防護。

4.2 信息安全技術

計算機信息安全技術主要包括實時的掃描技術、病毒情況研究報告技術、檢測技術、檢驗保護技術、防火墻、計算機信息安全管理技術等。企業需要建立完善的信息安全管理和防護制度，提高系統管理工作人員人員技術水平和職業道德素質。對重要的機密信息進行嚴格的開機查毒，及時地備份重要數據，對網站訪問進行肖致地控制，實現信息安全的防范和保護對數據庫進行備份和咬復實現防護和管理數據的完整性。利用數據流加密技術、公鑰密碼體制、單鑰密碼體制等密碼技術劉信息進行安全管理，保護信息的安全。切斷傳播途徑，對感染的計算機進行徹底性查毒，不使用來路不明的程序、軟盤等，不隨意打開可疑的郵件等。提高計算機網絡的抗病毒能力。在計算機上配置病毒防火墻，對計算機網絡文件進行及時地檢測和掃描。利用防病毒卡，對網絡文件訪問權限進行設置。

4.3 提高信息安全管理人員的技術防護水平

計算機信息安全不僅需要從技術上進行信息安全防范措施，同時也要采取有效的管理措施，貫徹落實計算機信息安全防護反律法規制度，提高計算機信息的安全性。對計算機管理人員進行培訓;建立完善的計算機信息安全管理機制，改進計算機信息安全管理能力，加強計算機信息安全的立法和執法力度，強化計算機信息管理的道德規范，提高管理人員對安全信息的防護意識;明確計算機系統管理人員的工作職責。此外，企業需要增加對計算機安全信息防護設備的投入費用，整體提高我國社會部門的計算機信息安全防護與社會服務水平。

5.結束語

綜合上述，計算機信息安全防護過程中存在著;信息安全管理體系不夠健全、信息安全制度不完善、負責信息安全防護的管理人員業務素質偏低等問題，這就要求企業從計算機病毒的防護、信息安全技術、信息安全管理人員的技術防護水平這三方面入手，全面提高計算機信息安全技術水平和管理人員對計算機信息的安全防護能力。

參考文獻

篇3

【關鍵詞】互聯網 信息安全 控制技術

在進行互聯網的信息交流時，就要及時進行信息安全性能的檢驗，要保證信心的安全性能得到有效的計算機安全環境進行傳播。在進行信息的正確操作系統使用時，就要在隨意的任意環節進行安全檢測，對于存在安全漏洞的網站進行及時的修補清理，及時進行安全環境的檢測，以免使自己的有效信息受到威脅。在實際的操作中，一定要對互聯網的操作系統、安全協議、與安全有關的系統進行安全環境的及時檢測，其中任何方面的安全漏洞都能造成威脅到整個互聯網的安全。在互聯網的信息安全控制的技術應用發展方面，對于互聯網的繼續發展具有很大的作用。

1 互聯網的信息安全的控制技術和特征

1.1 信息安全技術之生物識別

進行互聯網的信心安全控制的重要環節就是要對生物識別技術的推廣運用，使其更加具體地運用到互聯網的實際應用之中。就現在互聯網的技術的發展狀況而言，進行互聯網安全技術識別，相比傳統的身份驗證，已經表現出了具有更加可復制性能的方面的跨越式發展。人體的生物特征復制難度最高，就像指紋、聲音、容貌、視網膜、掌紋等這種因人而異的人體的特征，別人根本實現不了復制操作。利用這種人們生而不同的人體特征作為安全技術識別的發展前景是十分可觀的，在互聯網的技術控制中，已經出現了大量使用指紋的技術進行安全保護，針對視網膜等生物特征，很多研究實驗的結果顯示，這即將成為互聯網生物識別的下一個生物特征，在進行信息安全方面，很多生物技術已經投入使用，并且取得了很好的效果。在很多方面有了很大的進步。

1.2 信息安全技術之防火墻

在進行互聯網的信息安全維護中，防火墻技術的應用十分廣泛。在進行信息安全的維護時，使用這種的網絡技術進行保護網絡和外網就能實現一道安全的屏障。就會實現私人的網絡和外部的網絡環境進行隔離時，在進行私人信息安全保護，防止信息不被竊取。在實現信息安全的檢測時，就預測的、具有潛在破壞性的網絡安全的破壞。在有著網絡漏洞的不軌信息，要及時做好網絡的安全維護問題，實現信息安全得到很好的防護。

1.3 信息安全技術之數據加密

在信息的數據加密技術時，就要進行信息的安全維護時，要先進行密碼的設置，在進行密碼層次的維護時，將不讓別人知道的數據信息技術轉變成密碼的形式。不讓別人知道的情況下對于自己密碼轉變成別人難以識別的密文，然后進行自己的信息安全維護，再進行傳輸。但是，人們在進行密碼的輸入時，就收到信息的人進行信息的安全輸入密碼轉換成自己可以識別的銘文進行信息的安全維護，從密碼的轉換成明文的情況下得到數據中的信息。

1.4 信息安全技術之入侵檢測

在進行入侵檢測技術的實施時，為了保證互聯網的系統信息的安全性，在進行信息安全性能的報告使用中，計算機使用者就會出現對于系統中出現的如未授權或者異常系統提示等情況進行及時的檢測。這種種信息安全檢測技術，能夠促進進行互聯網的系統遇到不安全入侵時，及時進行入侵信息的安全性能檢測，及時阻止不安全信息的入侵。進行檢測互聯網，中是否出現了違反信息安全的行為的一種技術。

1.5 信息安全技術之網絡安全漏洞掃描

針對系統的漏洞修補時，首先要進行檢測信息安全漏洞出現的原因，在進行系統安全維護時，一定要做好信息安全方面的風險評估。及時針對系統出現漏洞的問題，找到切實可行的解決方案。進行安全漏洞的掃描時，可以預先知道系統中，出現漏洞的根本所在，能夠及時防止網絡漏洞對信息的安全進行有效的保護。

2 實現互聯網信息安全的策略探討

2.1 互聯網安全策略之系統安全

互聯網最有效的信息安全維護，就是要對計算機的操作系統和數據庫及時進行信息安全的漏洞檢測，及時發現出現的問題找到最優的解決方案。尤其是對于計算機進行操作系統進行查缺補漏，針對計算機出現的漏洞問題一定要密切關注，找到最優的解決方案。針對容易出現問題的系統及時進行加強安全加固防護措施，尤其對于關鍵業務的服務器，一定要做到萬無一失。

2.2 互聯網安全策略之安全管理

針對互聯網的信息的安全性，一定要加強對于網絡安全的信息的安全管理策略，進行企業的信息系統安全管理策略的制定是，一定要結合具體的情況進行信息安全的合理維護。進行安全管理時，企業一定要重視對相關人員進行安全管理知識的定期培訓，及時進行網絡安全的妥善管理。當進行信息安全進行資產管理、災難管理、安全服務和站點維護的相關工作進行合理有效的管理。在技術的運用上，注意將技術適當運用到相關的部門。結合具體的管理措施進行合理有效的信息維護，保證企業互聯網的信息安全。

2.3 互聯網安全策略之縱深防御

在進行互聯網的安全合理有效地管理時，一定要將可能存在的不良操作及時進行安全性能測試，在互聯網的安全系統遭到入侵時，檢測系統就會發出信息提示，提醒進行及時的系統安全的維護措施。在信息安全系統的管理中，防火墻是其中一個最有效的安全管理手段。能夠保障系統在遇到安全威脅時，計算機系統在進行安全管理保安操作時，及時阻擋那些存在威脅的信息，按照預先的設定判斷信息的有效性，將符合規則的操作指令發出放行指令，能夠保證互聯網的信息安全。

在進行互聯網的安全管理中，一定要加強對于互聯網安全漏洞的及時檢測，確?；ヂ摼W的信息安全。在檢測過程中，若是發現了系統受到攻擊，一定要立馬采取有效措施進行系統的安全維護，及時控制企業及個人的重要信息不受破壞或者避免損失。在進行互聯網安全控制時，要考慮多方面的控制情況，為了避免遭受經濟或者其他方面的損失，就要在維護互聯網的信息安全的情況下，及時推動互聯網的發展。本文在針對各種互聯網的信息安全的管理措施的分析研究的情況下，重點強調要注意運用加密技術的使用。相信在未來的數字化科技發展中，網絡信息安全的地位將更加重要，互聯網信息安全必然隨著網絡應用的發展而不斷發展。

篇4

 

1 網絡信息安全的內涵

 

網絡信息安全定義是：計算機網絡系統中的硬件、數據、程序等不會因為無意或惡意的原因遭到破壞、篡改、泄露，防止非授權的單位使用[1]。網絡系統能夠保持服務不受中斷，維持可靠運行。

 

不同的用戶對網絡信息安全的定義有所不同。作為普通民眾，他們希望自己的隱私信息能夠得到有效保護，不被他人竊取利用。對網絡安全管理員來說，他們希望始終有權限管控自己的網絡，并不受外界惡意入侵和破壞。對于國家安全部門而言，阻擋一切可能造成威脅的信息，并防止任何信息外泄是他們的工作目標。網絡信息安全，離不開技術和治理兩方面的努力。

 

2 目前網絡安全的主要技術

 

2.1 防火墻

 

防火墻是一個或一組網絡設備。防火墻的主要作用是加強兩個或兩個以上網絡中的訪問控制[2]。防火墻主要目的是保護網絡不受外界攻擊。通過對網絡設定防火墻，能對來自外部網絡的信息進行有效篩查，將安全的信息放行，將存在威脅的信息過濾。達到保護網絡安全的目的。

 

防火墻具有以下特點：(1)網絡之間的信息傳遞，都需要經過防火墻篩查;(2)只有符合安全策略的信息數據才能通過防火墻;(3)防火墻兼具保護和預防外部網絡入侵的功能。雖然防火墻對保護網絡安全具有良好效果，但其最大的缺陷在于會造成網絡服務于網絡間的數據傳輸速度大幅下降。這也是為了達到保護網絡安全所必須付出的代價。

 

2.2 數據加密技術

 

當今時代，信息是一把雙刃劍。它既能幫助團體或個人，令他們從中受益，同時也能成為威脅和破壞的工具。因此這就要求出現某種安全技術對信息進行有效保護，防止被惡意竊取或利用。

 

數據加密技術，是通過使用數字，對原有的信息進行重新組織。經過數字加密技術處理后的數據，除了合法使用者外，其他人難以將信息進行恢復。數據加密主要是對傳輸中的數據流進行加密。加密方法有線路加密與端對端加密兩種。線路加密側重于對傳輸線路加密，端對端加密是使用者在段的兩頭對信息進行加密處理，再經過TCP/IP數據包封裝后通過互聯網傳輸到目的地。到達目的地后收件人用相應的密匙對數據包解密，將信息恢復。

 

2.3 入侵檢測系統

 

入侵檢測技術是對外部網絡入侵行為進行檢測[3]。它通過不斷收集和分析網絡行為、安全日志并對數據進行審計，及時獲取系統中關鍵點信息，檢查網絡或系統是否存在被惡意攻擊或違反安全策略的行為。入侵檢測的任務主要包括：(1)對系統中用戶的各種活動進行監視;(2)檢查網絡系統存在的弱點;(3)將工作中的異常情況進行記錄和報告;(4)對數據完整性進行檢查;(5)遭受外來攻擊時報警。

 

3 加強計算機網絡信息安全對策

 

3.1 強化網絡安全保障體系建設

 

強化網絡安全保障體系建設，離不開多方面的共同努力。當前國家信息安全保障體系建設，應當圍繞以下幾方面：(1)深入研究和開發信息加密技術;(2)健全網絡信息安全體系;(3)強化網絡信息安全風險評估;(4)建立健全信息安全監控體系;(5)加大對信息安全應急處理工作的重視度。

 

在面對網絡信息安全威脅時，作為普通用戶應當提高自身網絡安全意識。在學習必要的網絡安全知識外，對來自外部網絡的突然進攻應當保持冷靜。作為企業用戶，網絡安全建設更加復雜，保護網絡信息安全的意義也更為深遠。首先，企業應當設計符合自身需要的安全策略，對重點對象提供有效保護。第二加強對用戶訪問權的控制，對非法用戶的操作進行嚴格限制，保護企業信息不受侵犯。

 

3.2 構建信息安全體系的措施

 

目前我國信息安全保障水平偏低，構建有效的網絡信息安全體系，需要社會各界的共同努力。沒有通力合作，難以應對日益復雜的網絡安全事件，而且網絡信息安全技術涉及面廣，技術難度大，單一組織或個人的網絡安全技術難以滿足各方面需求。

 

(1)加強國家宏觀調控。吸收發達國家網絡信息安全管理經驗，建立具有國家權威的網絡信息安全部門，由該部門對我國網絡信息安全體系建設路線、方針進行統籌規劃。

 

(2)完善相關法律法規。進一步完善我國相關網絡安全法律法規，保障信息安全產業的權益，加大對危害信息安全行為的處罰力度。

 

(3)鼓勵網絡安全技術領域投資。從國家的角度，鼓勵網絡安全技術領域投資包括加大財政對信息安全產業的直接投入，和給予信息安全產業相關企業、團體政策支持和補貼，擴大其發展規模。

 

(4)加強信息安全技術創新。我國目前正掀起“大眾創業，萬眾創新”的社會浪潮。在此背景之下，鼓勵安全信息技術創新，并給予高額獎勵，推動我國信息安全技術的發展。

 

4 結語

 

綜上，目前網絡信息安全正越來越受到關注。雖然目前有許多網絡安全產品保護用戶信息，但由于網絡自身仍存在安全隱患，因而來自外部攻擊難以從根本上消除。建立健全網絡信息安全體系，對未來促進我國互聯網發展將發揮巨大作用。

篇5

關鍵詞：混業經營；金融牌照；信息安全；管理體系

一、金控的定義與歷史機遇

（一）金控的定義

金控是金融控股的簡稱，是指在同一控制權下，完全或主要在銀行業、證券業、保險業中至少兩個不同的行業提供服務的金融集團。從定義上可以直接反映出金控公司的特點：多金融牌照混業經營，由一家集團母公司控股，通過子公司獨立運作各項金融業務。

（二）金控的歷史機遇

金控公司出現之初，集團母公司多是扮演財務投資的角色，不參與具體業務的運營。隨著國家“十三五”工作的推進，金融改革不斷深化和多元化，單一業務的聚集效應在減弱，而以多業務構建“客戶-平臺-資產”供應鏈閉環生態系統的金控平臺則迎來其歷史發展機遇。其通過資源協同、渠道整合、交叉銷售等運營模式，促進供應鏈上各項金融業務的聯動發展，最大程度地發揮了產品互補優勢，提高效能，享受高額市場回報。

二、金控體系下信息化建設的重要性和安全需求

（一）信息化建設的重要性

打造金控體系下多牌照的閉環生態系統，離不開信息化平臺的建設。換個角度，信息系統是多牌照業務融合、產品創新和效能提升的一種有效手段。如通過信息化建設金控體系下統一的客戶系統、全面風險管理系統、產品銷售系統、大數據分析平臺等，可助力金控集團建立品牌效應，快速響應多元化的市場需求，從而實現業務的爆發式增長?；谛畔⒒闹匾?，綜觀目前市場上的各類金控公司，都在大力發展信息化建設，尋找業務創新點，引領行業升級和搶占市場。

（二）信息安全需求分析

對于互聯網時代的金融企業來說，數據是核心，安全是生命線。隨著《網絡安全法》的實施，信息安全已上升到國家戰略層面，構建金融企業的信息安全防護網勢在必行。對于金控公司來說，由于是混業經營模式，旗下不同牌照的子公司，因其監管部門不同以及對信息安全要求不一樣，在規劃其信息安全時，必須將多牌照的特點融入到安全體系內，同時滿足信息安全和業務發展的平衡需求，以免顧此失彼，得不償失。

三、金控體系下信息安全體系規劃

建立一套金控公司的安全體系，必須同時從管理和技術角度進行規劃，管理是運營措施，而技術是操作手段，相輔相成，缺一不可。

（一）信息安全管理體系的規劃

1.對標的選擇。建立一套信息安全體系，目前可對標的標準和規范包括國際標準ISO27001、國家安全標準、各監管機構的安全指引、信息安全等級保護管理辦法，以及行業的最佳實踐等。對于金控信息安全管理體系的規劃，應該以ISO27001為基礎，結合監管的合規要求進行編制。2.設計原則。通常情況下混業經營企業在制定企業管理體系標準時要照顧到各方的使用需求，其標準具有通用性和廣泛性。具體使用部門或子公司可再結合自身業務特點，制定更具體的操作規范。但對于金控行業來說，由于旗下各子公司經營的都是金融業務，對信息安全的要求比普通企業更嚴格，信息安全是其不可逾越的紅線。因此在為其設計信息安全管理體系時，應反其道而行，從嚴要求，以最嚴格的標準進行編制，做好頂層設計，然后根據各子公司的業務特點，對制度或規范做適當的裁減或降低等級要求。3.管理體系模型。信息安全管理體系是一個多層次的模型，如圖1所示。在該模型中，第一層是企業信息安全方針政策，說明企業信息安全總體目標、范圍、原則和安全框架等；第二層是企業安全管理制度和規范，說明體系運行所需要的通用管理要求；第三層屬于安全管理活動中，用于約束安全行為的具體方法；第四層是配套的表單和記錄，用于輔助制度和管理辦法的執行。4.安全目標和方針的設計。雖然是混業經營，但對于金控集團及旗下各子公司來說，信息安全的目標應該是一致的，本質都是追求企業數據的保密性、完整性和可用性，所以安全方針可以基于集團統一考慮，設計為：安全、合規、協同、務實。安全：以風險管控為核心，主動識別、管控并重，為用戶提供安全、可靠的信息技術服務。合規：按照國家法律法規及行業監管要求，建立滿足集團業務發展需求，并具有專業能力的信息安全管理機制。協同：全員參與，對全體員工進行持續的信息安全教育和培訓，不斷增強員工的信息安全意識和能力。務實：以經濟適用為準則，選擇適應公司發展變化的業務架構和穩定靈活的技術架構，滿足各業務條線的管理和決策需要。5.組織架構的設計。信息安全方針的貫徹，安全制度的執行，安全技術的部署，都需要通過安全管理組織來推行。各個模塊相互之間的關系如圖2所示。對于金控行業公司而言，由于多數子公司都是獨立法人，無法完全成立一個實體安全組織，而是一個橫跨集團和各子公司的虛擬安全組織。為保證安全組織的有效性和執行力，應具有分工合理、職責明確、相互制衡、報告關系清晰的特點。6.管理制度及規范的設計。管理制度和規范是屬于企業運營措施，根據ISO27001標準模型，安全管理制度劃分了14個控制域，涵蓋的內容如圖3所示。根據各控制域的關聯關系，結合金融企業的安全需求，企業的安全管理制度通用全景圖設計如圖4所示。

（二）信息安全技術體系規劃

技術體系屬于信息安全操作層面的內容，應該是圍繞整個數據生命周期展開規劃的。根據數據的運動軌跡，經歷“生產-傳輸-計算-存儲-消亡”等階段，所以信息安全技術體系的范圍，應該涵蓋物理環境、基礎架構（含虛擬化層）、應用、數據和訪問控制等。一般通用的安全技術體系全景如圖5所示。由于安全技術需要部署大量的專業設備，對于混業經營的金控公司而言，可以發揮集團總部的先天優勢，對于一些共性的安全技術方案，由集團統一規劃和部署，然后為各子公司提供相應的安全服務，減少投入，節約成本。例如防病毒系統，由集團總部部署服務端，各子公司部署客戶端即可，類似的安全技術服務還有漏洞掃描系統、身份認證系統、終端準入系統、APT檢測系統、安全滲透服務、安全培訓服務等。

四、金控體系下信息安全的實踐

由于是混業經營，在組建了橫跨集團和各子公司的安全組織后，還需要不斷地進行實踐以達到最佳效果，以下是一些具有特色的實踐場景。

（一）信息安全事件的統一管理

信息安全事件的管理是安全制度之一，有效的事件管理可以積極發揮安全效能，提升全集團的安全能力。1.情報共享，協同防護。在管理層面，原各業務子公司只會向其外部監管部門報送安全信息，相互獨立，不能有效共享相關的安全情報。新的模式下要求子公司同時將安全信息上報集團總部，總部通過分析后形成統一報告，再發放到各個子公司。通過這種方式，一方面可以實現情報共享，另一方面可以實現信息安全的統一管控，協調防護。2.統一監控，快速反應。在技術層面，可通過在子公司部署探針，建立集團的統一安全監控平臺，對集團內所有的安全日志進行采集、分析、響應，同時結合集團和各子公司的安全保護措施對事件進行快速處理，合縱連橫，從而保證整個集團和各子公司信息系統的安全穩定運行。

（二）子公司信息安全建設的管理

對于多牌照的金控公司來說，旗下各子公司業務種類不同，規模也有區別。在信息安全的建設方面，應該有區分對待。對于規模較大的子公司，依靠自身力量建設了數據中心及安全體系的，除一些共性的安全技術方案可由集團提供以外，其他的安全措施由子公司執行，集團主要是發揮標準制定和監管的角色。對于規模較小的子公司，由于IT力量較弱，數據中心體量有限，很難依靠自身建設完整的信息安全保護體系。在監管許可的情況下，可以將子公司的信息系統托管在集團數據中心，由集團進行信息安全的統一規劃、建設和運維。

（三）交叉檢查，取長補短

由于同屬于一個集團，各子公司之間具有天然的信任感，通過集團的統一組織和管理，可以促進各子公司之間進行信息安全的交叉檢查，在兄弟公司之間充分展示本單位的優勢，取長補短，相互學習，共同進步。

參考文獻：

[1]ISO27001：2013.信息安全管理體系標準[S].2013.

[2]中國銀行業監督管理委員會.商業銀行信息科技風險管理指引[Z].2009.

篇6

【 關鍵詞 】 信息安全；信息安全保障體系；國家大劇院

Exploration of Information Security Framework for National Center for the Performing Arts

Liu Zhen-yu

（National Center for the Performing Arts BeiJing 100031）

【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that， information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique， management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.

【 Keywords 】 information security； information security framework； national center for the performing arts

1 背景

隨著信息技術的飛速發展，人類正以前所未有的速度進入以網絡為主的信息時代，網絡的快速發展不僅促進了人們的通信和交流，同時也帶來了商業和經濟模式的巨大變革。

國家大劇院是國家新建的重要文化設施，也是一處別具特色的景觀勝地。作為北京市國家級標志性文化設施，國家大劇院的建設與運行體現了正在迅速崛起和復興的中國在精神文化領域的追求，因此，依托信息化手段宣傳和服務于廣大文化藝術愛好者是國家大劇院電子商務網站建設的宗旨，使之成為“國家表演藝術最高殿堂、藝術普及教育的引領者、中外藝術交流最大平臺、文化創意產業重要基地”。

國家大劇院網絡及信息系統從2007開始逐步建設，建設初期主要滿足國家大劇院演出宣傳、文藝教育、演出票務、公眾服務、內部辦公和訪問互聯網的需求，官方網站電子商務平臺承擔著對外宣傳及網上售票業務。隨著國家大劇院近幾年影響力和地位的不斷提升以及業務的發展壯大，對信息化建設提出了更高要求，同時對信息安全的需求也越來越迫切，結合國家等級保護制度來進行安全保障建設成為國家大劇院信息化建設的有益補充。

2 現狀及問題

目前國家大劇院局域網骨干帶寬為千兆，雙核心。已部署的安全設施，如在整個局域網的出口均部署了防火墻，內網服務器域邊界部署了防火墻；在門戶網站出口部署了流量控制和入侵防御設備；內部終端還廣泛部署了防病毒軟件，以防范計算機病毒在局域網內傳播和破壞。國家大劇院正在運行的業務系統主要包括網站系統、票務系統、藝術資料管理系統、OA系統、財務系統及郵件系統等。

根據對國家大劇院信息化及信息安全現狀的分析，結合國內外信息安全發展態勢，發現國家大劇院面臨著一些信息安全問題及風險。

假冒網站、網站掛馬等安全風險。據權威統計，2011年下半年，檢測新增掛馬網站獨立網址246萬，平均每日100萬人次訪問此類掛馬鏈接，新增釣魚盜號欺詐類網站獨立網址492萬，共攔截10億余次釣魚盜號欺詐類網址，平均每日600萬人次訪問此類欺詐類鏈接。假冒網站獨占鰲頭的是電商網購類，而且仿冒范圍不斷擴散，通過國家大劇院運維人員統計觀察，越來越多的黑客、病毒、不法機構和人員對國家大劇院電子商務網站系統的正常運行產生威脅，網站業務系統隨時都可能遭受惡意攻擊。

系統入侵或網絡攻擊風險。由于系統保護措施不到位，可能導致國家大劇院票務等對外網站系統的域名劫持、DDoS攻擊等安全風險。同時，也可能由于軟件漏洞或者安全意識單薄等造成內部郵件等信息泄露。

非授權訪問風險。由于國家大劇院內部辦公等信息系統邊界缺乏訪問控制設施，并且在網絡可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，未授權者可通過網絡非法訪問網站及系統服務器，并進行非法讀取、篡改和破壞數據等不良行為，構成對內部數據及信息系統的重大隱患。

數據安全風險。媒資庫建設完成后將承載大量的媒體資料，這些有藝術價值的音像資料是國家大劇院的寶貴資產，一旦由于自然災害、人員非法入侵、內部人員誤操作等造成數據丟失損壞，將對國家大劇院造成重大損失。

媒體資源庫音像資料版權風險。目前，劇院已經為視頻在線傳播及直播提供服務平臺，然而提供的音視頻服務面臨版權盜用、盜鏈和惡意下載等問題，容易對劇院和公眾利益帶來損害。

內控管理風險。據權威調查報告顯示，內部員工的粗心大意是企業信息安全的最大威脅，由此造成的安全事故高達78%。目前，由于國家大劇院內部員工的安全意識還相對淡薄，存在進入業務系統的登錄口令設置過于簡單，私自訪問不安全網站，私自接入不安全設備等問題，這些都給大劇院信息系統造成了極大的安全隱患和威脅。

3 信息安全保障體系探索

3.1 總體目標

通過對國家大劇院信息安全現狀、問題以及信息安全建設需求的分析，可知國家大劇院信息安全保障體系建設的總體目標是按照國家信息安全等級保護相關要求，從風險控制、技術設施、管理體制及運維服務等方面入手，基于成熟的安全技術，借鑒先進可行的管理理念，加強外御威脅防護、構建內控管理機制、強化數據保護措施，建立和完善信息安全管理體制，加強安全服務保障，設計適合國家大劇院信息化發展的安全保障體系，從而確保業務流程可控、業務狀態可視，保障業務整體安全。

3.2 設計思路

針對國家大劇院安全保障目標，在信息安全保障體系設計上基于幾種設計思路。

3.2.1構建網站可信機制

通過第三方網站身份誠信認證來確保網站真實性，可幫助網民判斷網站的真實性。同時，基于可信證書類產品，確保系統管理用戶身份的真實性。其次，借助社會力量來實現假冒網站的定位、侵權取證等服務，從而有效打擊防范欺詐類網站并且協助維權。

3.2.2建設安全可靠的辦公網絡平臺

積極推進信息安全等級保護建設，通過制定安全策略、部署安全設備，完善安全保密管理制度，加強安全運維支撐建設，從物理安全、網絡安全、主機安全、應用安全、數據安全、流程安全、人員安全等多方面保障系統的安全穩定運行。

3.2.3建立網絡信任服務

通過為網絡管理員、網站維護人員頒發數字證書，部署網絡可信接入及遠程安全接入設施來構建劇院內部的網絡信任服務體系，保證信息系統及媒資庫資源的可靠訪問，確保我院信息資源安全。

3.3 體系框架

在國家大劇院信息系統安全保障體系設計以及實現中，將在國家相關的安全政策、法規、標準、要求的指導下，制定可具體操作的安全策略，構建國家大劇院網站系統安全技術系統、安全管理體系以及安全運行體系，形成集防護、檢測、評估、響應、恢復于一體的整體安全保障體系，從而實現物理安全、網絡安全、主機安全、數據安全和應用安全，以滿足國家大劇院網站系統全方位的安全保護需求。國家大劇院信息系統整體安全保障體系模型如圖1所示。

國家大劇院信息系統整體安全保障體系模型主要由三個方面組成。

3.3.1安全技術體系

參考國家標準《信息安全技術 信息系統等級保護安全設計技術要求》按照威脅分析，將信息資產劃分為若干保護對象，并按照“一個中心”管理下的“三重保護”的設計框架，構建國家大劇院信息安全技術體系保障機制和策略，為國家大劇院信息系統的運行提供安全保護環境。該環境共包括四部分：安全計算環境、安全區域邊界、安全通信網絡和安全管理中心。

3.3.2安全管理體系

以國家大劇院現有業務系統所服務對象為基礎，建立完善的安全管理體系，建立信息安全管理機構、制定信息安全管理制度、設置信息安全管理崗位。

3.3.3安全運維服務體系

針對業務安全運行的需要，以日常巡檢、咨詢、評估等建立有效的運維服務機制，加強對資產管理的分析、隱患發現、策略審核考評等，不斷發現平臺在運行中的安全隱患，降低系統脆弱性和面臨潛在的威脅帶來的影響及損失，以及時對安全策略實現完善和防護措施的改進提升。

3.4 信息安全體系建設實踐

國家大劇院信息安全保障工作經過長期的努力，已經初見成效。在安全體系的建設實踐中，總結出幾點實踐經驗。

3.4.1制定標準規范，奠定保障基礎

信息安全保障建設的一項重要工作之一是參照國家等級保護的技術要求完成相應的合規性檢查。因此，國家大劇院應據此建立適合國家大劇院的信息安全管理基線，堅持常態化管理和動態控制，達到并保持國家相關安全主管部門的安全審計要求。

3.4.2重視管理，制度先行

信息安全是一個動態發展的過程，每年隨著業務發展變化而變化，同時隨著信息安全技術的不斷演變，都會出現新的安全防護技術的使用。經過多年實踐證明，每個系統或者防護設備上線前，都必須在遵守總體防護規范的前提下，編制好具有針對性的管理要求，才有有效降低安全風險引入的可能。

3.4.3定期組織代碼審計和滲透測試等系統檢測

代碼安全審計是通過人工分析和工具掃描的方式檢驗應用程序的源代碼，利用大量的代碼安全規則，來分析源代碼中的違反規則部分，進而確定可能存在的安全漏洞和隱患。應用系統生命周期安全的從SDL實踐上看，安全做的越早效果越好（但開發模式改動的成本也相對比較大），代碼審計作為保證代碼安全的最低低線，其作用是不可取代的。

另外，除了從代碼開發過程中保證開發出安全的應用系統以外，針對已開發的系統，國家大劇院還組織第三方測試機構，從攻擊者視角檢測信息系統安全防護能力是否達到，是否存在成功攻入系統的途徑。

4 信息安全建設意義

通過構建信息安全保障平臺，保障我劇院信息系統可安全合規運行?；趪倚畔踩燃壉Ｗo制度要求，建設國家大劇院信息系統整體安全保障體系模型信息安全保障基礎設施，制定安全策略，為國家大劇院系統提供安全可靠的運行環境。

提高國家大劇院電子票務等信息系統的安全運行平穩度。通過在信息安全技術、信息安全保密管理等多維度的體系保障建設，保障網站真實性、打擊假冒網站，大大提高國家大劇院信息系統安全穩定運行的平穩度。

提高用戶的安全便捷以及系統安全管理能力。通過構建可信的電子票務運營環境，為用戶提供身份認證及網絡信任機制，加強用戶的身份、資金安全保障，并且提高系統安全管理能力。

提升安全隱患發現能力。安全隱患的發現能力是信息安全管理中的關鍵能力，關系到能否將風險消除在事件發生之前。通過建立入侵監測系統、防病毒系統以及定期的安全脆弱性檢測等，大大提升我劇院信息系統的安全隱患發現能力。

5 結束語

建設和完善信息安全保障體系是為了保證國家大劇院的業務在今后發展過程中對信息安全建設的要求。

信息安全保障體系建設涵蓋安全管理體系、安全技術體系、安全運維體系的復雜系統工程，是一項長期性的專業的細致的認為，需要以信息安全技術為基礎，持續投入大量的人力和物力。為使國家大劇院建設成為國際化、現代化的大劇院提供有力的信息安全保障。

參考文獻

[1] 關于大力推進信息化發展和切實保障信息安全的若干意見（國發[2012]23號）.

[2] 信息安全管理實用規則（GB/T 22081-2008）.

[3] 信息系統等級保護安全設計技術要求（GBT25070-2010）.

[4] 信息系統安全等級保護體系框架（GA/T 708-2007）.

[5] 國家大劇院電子商務網站系統安全保障方案.內部資料，2010.

[6] 國家大劇院安全服務保障方案.內部資料，2011.

篇7

關鍵詞：安全機制 電力公司 信息管理

【分類號】：TM73

二十一世紀是一個信息的時代，隨著電網規模的擴大和改革的深入，企業各部門之間、企業和社會之間信息的交換也更加頻繁，對信息的及時性、準確性和可靠性的要求越來越高。因此，基于當前安全機制下，電力公司對信息管理要求也將越來越高。

一、電力企業信息網絡系統存在的安全問題

隨著電力企業互聯網的發展，其信息網絡的安全也日益尖銳。網絡的信息安全是一種涉及了通信技術、計算機技術、信息安全技術、密碼技術等多種技術的邊緣綜合性學科，國際標準化組織把信息安全定義為“信息的完整性、可用性、可靠性及保密性”，但因其是新生事物，人們接觸它主要忙于工作、學習和娛樂，對于它的安全性，則無暇顧及，從下到下普遍存在僥幸心理，沒有形成主動防范、積極應對的意識，所以很難從根本上提高網絡監測、抗擊、防護等能力。

其次，在整體運行管理過程中，有關信息安全的政策、手段都存在問題，如因互聯網復雜多變，網絡用戶對此缺乏足夠的認識，在未進入安全狀態時就急于操作，導致敏感數據暴露，使系統遭受了風險；還有很多用戶都越來越以來“銀彈”方案，即加上防火墻或者加密技術，使用戶產生了虛假的安全感，喪失了警惕。

還有，不少單位沒有從管理制度上建立相應的安全防范機制，在整個運行過程中，缺乏行之有效的安全檢查制度，這些不完善的制度滋長了網絡管理者和內部人士自身的違法行為。

二、當前電力公司網絡信息安全的技術手段

而隨著電力體制改革的不斷深化，計算機網絡將承載著大量的企業生產和經營的重要數據。所以，保障計算機網絡信息系統安全、穩定運行至關重要，目前確保電力公司信息安全技術有如下幾種：

1、 防病毒技術

計算機病毒實際上就是一種在計算機系統運行過程中能夠實現傳染和侵害計算機系統的功能程序，其在網上的傳播極其迅速，且傳播具有相當大的隨機性，從而增加了網絡防殺病毒的難度，所以，這就要求做到對整個網絡集中進行病毒防范、統一管理，在預定時間自動從網站下載最新的升級文件，并自動分發到局域網中所有安裝防病毒軟件的機器上。

2、入侵檢測技術

入侵檢測是對入侵行為的發覺，是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。

3、風險評估技術

風險評估是網絡安全防御中的一項重要技術，其原理是根據已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查，它包括了網絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發生的安全事件，最大可能的消除安全隱患。

除了上述幾種技術之外，還有一些被廣泛應用的安全技術，如虛擬專用網VPN技術、虛擬局域網VLAN技術、身份驗證、安全協議等，網絡的信息安全是一個系統的工程，只有根據實際情況、綜合各安全技術的優點，才能形成一個由多種安全技術構成的網絡安全系統。

三、電力企業網絡安全防范措施

1、完善網絡信息安全的管理機制

首先，網絡與信息安全需要制度化、規范化，將網絡信息安全管理納入到安全生產管理體系中，制定相應的管理制度，比如建立用戶權限管理制度、網絡信息安全管理制度、病毒防范制度等，這一旦形成，就必須嚴格執行，保證落實。同時，明確網絡與信息安全體系的四個關鍵系統，即安全決策指揮系統、安全管理制度系統、安全管理技術系統和安全教育培訓系統，實行企業行政正職負責制，明確主管領導部門職責。

2、強化企業內部人員安全培訓

根據企業性質與人員的職責、業務不同，將安全培訓分成三個不同的層次，即初級、中級和高級，初級培訓可針對全部人員，主要強化員工安全意識和責任；中級培訓對象一般包括高層領導、技術管理人員、合同管理者等，培訓內容包括安全核心知識、風險管理、資源需求與合同需求。高級安全培訓的人群包括信息安全人員、系統管理人員，內容主要包括操作/應用系統、協議、安全工具、技術控制、風險評估、安全計劃和認證與評估，旨在提高企業的整體安全管理。

綜上所述，企業必須充分重視網絡信息系統的安全威脅所在，制定保障網絡安全的應對措施，落實嚴格的安全管理制度，才能使網絡信息得以安全運行。

參考文獻

1、孟洛明，亓峰?《現代網絡管理技術》，北京郵電大學出版社2001

篇8

公安部網絡安全保衛局副局長顧堅指出，當前，社會對信息網絡的依賴與日俱增，信息安全成為國家安全的基礎，已全面影響到世界的政治、經濟、文化和未來戰爭，成為世界各國普遍關注的戰略問題。

中國工程院院士、中國計算機學會計算機安全專委會主任方濱興表示，“十二五”期間，信息安全業界要重點關注的問題包括：信息系統安全、信息（數據）自身安全、信息利用安全及信息技術尤其是新信息網絡技術的安全。通過對這四方面問題的研究，要達到以下目標：完善面向可用性的信息安全對抗體系和面向可信性的信息資源保障體系，提升面向可控性的網絡信息管控水平，構建面向網絡新技術的安全應用支撐體系。

就工業控制系統的安全保護問題，國家信息化專家咨詢委員會委員崔書昆認為，在我國，加強工業控制系統的保護勢在必行。一是要把工業控制系統納入到信息網絡安全保障的管理范圍及防護體系中；二是要加快制定工業控制系統的法律法規和安全技術標準的建設步伐；三是要加強工業控制系統安全技術的研究、開發與應用；四是要提高業內人士對工業控制系統的安全保護意識。

篇9

今年的RSA大會，特別強調了“運用集體智慧”。不管是信息安全領域還是其他領域，人們強調集體與協作，就意味著對手非常復雜、非常強大。顯然，在互聯網化的趨勢下，信息安全成為每個人身邊越來越嚴峻的挑戰。

四項原則

大會上，EMC公司執行副總裁兼EMC信息安全事業部RSA執行主席亞瑟·科維洛發表了開幕主題演講。他就互聯網上的網絡戰爭、監控、隱私、互信等重要問題，極富激情地呼吁各國政府及行業間要增強合作。

科維洛提出了四項指導原則以確保互聯網的安全：一是放棄使用網絡武器并放棄利用互聯網發動戰爭；二是合作調查、逮捕和網絡罪犯；三是確?；ヂ摼W上的經濟活動能夠不受約束地進行，知識產權得到保護；四是尊重和確保每個人的隱私?！拔覀儽仨毾裨鲪汉宋淦骱突瘜W武器一樣憎惡網絡戰爭。”科維洛說。

筆者認為，這四項原則具有漸進式的關系，網絡戰爭是首先要解決的問題。信息安全就是一場攻防戰，只要有人發起攻擊、有人犯罪，就會有人進行防御、有人對抗犯罪。在信息技術普及的今天，每個人都手持智能移動終端（智能手機或平板電腦）甚至可穿戴智能設備，利用互聯網進行犯罪將產生極為惡劣的影響；而保護每個人的隱私是終極目標，安恒信息總裁范淵認為，大數據的價值在于分析和利用，它也為隱私安全帶來嚴峻的挑戰，而且必須面對。

中國力量

如果說，每年的RSA大會是各個信息安全廠商的一大“秀”場，那么中國廠商正變得越來越靚麗。當然，在強調集體智慧與協作的“RSA 2014”，也離不開中國信息安全廠商的參與和創新。

參加RSA大會的天融信軟件產品線總監張鳳羽認為，面對花樣繁多的終端類型及接入方式，面對服務端、云端不斷虛擬化，面對業務層面的接入、傳輸、用戶身份識別，面對大數據的安全、分析等各種各樣的問題，傳統的安全管理平臺顯得應對乏力。而通過天融信“大安管”構建起的技術體系，能夠全面掌控日益擴展的安全信息范圍，并進行更為準確的分析，體現更高的管理價值。

據了解，“大安管”平臺除了具備傳統安管平臺數據采集、運行監測、響應報警、業務處理、綜合分析等功能特點外，隨著引擎管理層的增加，將眾多安全引擎進行有機整合，在實現大數據的高效采集、存儲、挖掘分析和可視化綜合展示的同時，實現針對用戶身份、終端管控、流量分析、業務審計、邊界安全等多方面的統一安全策略管理。

風向標

當然，RSA大會也是信息安全技術和產品發展趨勢的風向標。如山石網科展出了下一代智能防火墻（iNGFW）的最新產品和基于iNGFW的多種部署環境的解決方案。其下一代防火墻主打“智能”牌，大會上展出的兩款iNGFW新品也屬首次亮相，并將于今年4月在中國正式。同時，360“天”字號產品悉數亮相，包括2013年底剛剛的企業移動解決方案“360天機”，以及自稱為“中國版FireEye”的APT防護產品“360天眼”等。

篇10

電力是人民生活、經濟進步不可或缺的必需品，美國作為世界第一大經濟體，提供可靠的電力供應是維持社會穩定、保證經濟社會平穩發展的必然要求。但隨著通用網絡與信息技術在電力系統中的使用，病毒、網絡攻擊給電力生產帶來了信息安全風險，尤其美國部分落后地區電網基礎設施陳舊，測控與保護系統缺少安全防護機制，一旦遭受信息安全攻擊，不僅造成本地區的電力故障，還可能影響北美地區的電力供應。2003年美國東北部和加拿大部分地區發生大面積停電就是典型的連鎖反應事故。隨著美國智能電網建設的推進，更加開放與友好的電網讓美國的電力供應面臨更多威脅。2009年的美國黑帽大會上就有人演示驗證了蠕蟲可以在24h內感染智能電表，使1.5萬戶家庭電力供應陷入癱瘓[1]。針對基礎設施信息安全的嚴峻形勢，美國聯邦政府下屬多個機構都對電力系統的信息安全給予高度重視，投入資金進行相關的研究與標準制定工作，經過近10a的發展，美國政府相關部門在工業控制尤其是電力系統信息安全防護方面，先后經歷了交流研究、立法規范、推行標準和當前的智能電網安全試點投資建設階段，目前信息安全工作已經取得了一定的成果，的標準和指南被世界范圍內電力行業信息安全相關工作人員參考和使用。

本文在對美國電力行業信息安全相關政府部門和標準組織的工作進行總結的基礎上，對影響力比較大的法規、標準、及相關指導文件進行了解讀，并分析了美國電力行業信息安全工作的特點。

1美國電力行業信息安全管理模式

1.1美國電力行業信息安全研究與管理組織結構

美國聯邦政府對電力系統的信息安全工作極為關注，國會多項法案，賦予下屬多個部門管理權利與相關職能。在電力企業與機構信息安全監管方面，遵循已有的電力企業監管方式，授權聯邦一級的聯邦能源管理委員會(FederalEnergyRegulatoryCommission，FERC)監管包括信息安全標準在內的電力可靠性標準的推行。在電力行業信息安全研究與指導方面，美國能源部(DepartmentofEnergy，DOE)下屬多個能源實驗室從事信息安全的研究，研發的信息安全防護措施與技術直接用于電力相關示范項目中。在信息安全標準化方面，商務部下屬美國國家標準技術研究院(NationalInstituteofStandardsandTechnology，NIST)致力于工業控制系統安全標準和智能電網信息安全標準的制定，形成了大量研究成果，為電力企業實施信息安全防護提供了指南。此外，美國國土安全部(DepartmentofHomelandSecurity，DHS)負責信息安全威脅分析與信息安全事件的應急響應，每年都組織包含電網等基礎設施在內的大規模信息安全演練。

1.2國土安全部

美國國土安全部(DHS)是美國聯邦政府的一個內閣部門，主要職責包括保護美國免受恐怖組織的攻擊，同時在發生自然災害時進行緊急響應。

DHS在2006年、2008年和2010年分別進行了3次網絡風暴(cyberstorm)演習。網絡風暴演習模擬美國關鍵基礎設施遭受大規模網絡攻擊時，網絡應急響應團體中各政府部分與相關企業聯合應對的情況，旨在檢測并加強政企合作的網絡防災和響應能力。

DHS還負責控制系統安全項目(controlsystemssecurityprogram，CSSP)的執行，通過聯邦、州、地區政府部門和工業控制系統所有者、運營商和廠商的共同努力，降低關鍵基礎設施面臨的信息安全風險。項目下設工業控制系統聯合工作組(industrialcontrolsystemsjointworkinggroup，CSJWG)，為聯邦機構內所有關鍵基礎設施和重要能源部門(criticalinfrastructureandkeystructures，CIKR)，以及工業控制系統私營企業提供交流的渠道，加速設計、開發和部署安全的工業控制系統，持續加強利益相關者在信息安全工作方面的合作。

1.1 能源部及相關單位

    1.3.1美國能源部

美國能源部(DOE)是美國聯邦政府的能源主管部門，主要負責制定和實施國家綜合能源戰略和政策。具體職責包括：收集、分析和研究能源信息，提出能源政策方案，制定能源發展與能源安全戰略，研究開發安全、環保和有競爭力的能源新產品等。在推進電力安全防護工作方面，DOE在2003年就提出了《保護SCADA系統信息安全的21步》，還資助美國電力科學研究院(ElectricPowerResearchInstitute，EPRI)和多個能源實驗室進行電力系統信息安全風險與防護技術的研究。

1.3.2美國聯邦能源管理委員會

美國聯邦能源管理委員會(FERC)是一個內設于美國能源部的獨立監管機構，前身是成立于1920年的聯邦電力委員會(FederalPowerCommission，FPC)。委員會的主要職責是負責依法制定聯邦政府職權范圍內的能源監管政策并實施監管，具體包括監管跨州的電力銷售、批發電價、水電建設許可證、天然氣定價和石油管道運輸費。

《2005年能源政策法案》授權FERC監督主干電網強制可靠性標準的實施。2007年7月，FERC批準由北美電力可靠性組織(NorthAmericanElectricReliabilityCorporation，NERC)制定的《關鍵設施保護》(criticalinfrastructureprotection，CIP)標準為強制標準，要求各相關企業執行，旨在保護電網，預防由于薄弱的訪問控制、軟件漏洞或其他控制系統漏洞而導致的信息系統攻擊事件的發生。1.3.3北美電力可靠性協會北美電力可靠性組織(NERC)是一個非營利性組織，其前身是1968年6月成立的國家電力可靠性委員會(NationalElectricReliabilityCouncil，NERC)。1965年發生美國東北部大停電之后，各電力企業為促進北美電力傳輸的可靠性、保證電網輸電能力，聯合成立了該委員會。1981年由于加拿大和墨西哥的加入，NERC改名為北美電力可靠性協會(NorthAmericanElectricReliabilityCouncil)。NERC的主要工作包括組織制定電力系統運行標準、監督和推進標準的執行、評估系統的能力和提供培訓服務。NERC還對重大的電力系統故障進行調查和分析，以防類似事件的再次發生。NERC的成立極大地推動了電力系統可靠性理論的研究及其在工程實際中的應用，同時也帶動了世界各國電力可靠性管理工作的開展。

《2005年美國能源政策法案》提出成立“電力可靠性組織”(electricreliabilityorganization，ERO)，制定并推行強制可靠性標準。2006年，NERC被授予該職能。2007年，NERC正式更名為北美電力可靠性組織。NERC的一系列CIP標準，被FERC認證為強制標準，在美國50個州和加拿大部分省份強制執行。美國的電力公司一旦違反這些標準，將被處罰最高每天100萬USD的罰金。

1.4美國電力行業信息安全標準研究與制定機構

    1.4.1美國國家標準技術研究院

美國國家標準與技術研究院(NIST)是美國商務部下屬非監管聯邦機構，其前身是1901年成立的美國國家標準局(NationalBureauofStandards，NBS)，1988年更名為美國國家標準與技術研究院。

NIST的職責是指導美國使用已有和新興的信息技術來滿足國家在社會、經濟和政治等方面的要求。根據《2002年聯邦信息安全管理法案》，NIST加強了信息安全標準、指南和相關技術的研究，完成了NISTSP800系列出版物。其中，NISTSP800-82《工業控制系統安全指南》和NISTSP800-53《聯邦信息系統推薦安全措施》2份出版物與電力工業信息安全密切相關。

根據《2007年能源獨立與安全法案》，NIST“主要負責協調開發一個包括協議和信息管理的模型標準框架，實現智能電網設備和系統的互操作性”。為了完成法案提出的要求，NIST制定了3階段的工作計劃，以快速建立一套最初的標準，并形成有效的工作流程，隨著技術的革新持續對標準進行制訂和實施。NIST為商業和其他智能電網利益相關者提供了一個開放的公共交流平臺，通過該平臺，相關人員可以對已有的標準進行識別，分析缺失的標準并提出亟需制定的標準。目前NIST已了NISTIR7628《智能電網信息安全指南》。

   1.4.2國際自動化協會

國際自動化協會（InternationalSocietyofAutomation，ISA)成立于1945年，是一家全球性的非盈利組織。主要從事自動化行業技術標準化工作。除了制定標準，ISA還從事認證、培訓、會議組織、技術刊物出版等工作。

ISA的前身是美國儀表協會，2000年隨著研究范圍的擴大，更名為美國儀器、系統和自動化協會，后在2008年又更名為國際自動化協會。ISA下屬ISA99委員會從事包括電網調度系統在內的工業控制系統的信息安全標準化工作，目前正在制定ISA99《工業自動化與控制系統安全》標準系列。

2美國電力行業信息安全工作主要成果

2.1關鍵設施保護CIP標準

2.1.1CIP標準的制定過程介紹

目前在全美強制推廣的CIP標準最初名稱是NERC1300，2005年NERC對NERC1300進行了更新并更名為CIP，分為CIP002-009共8個部分草案。CIP編制的目標是保證電網的可靠運行，覆蓋對象包括供電公司、發電廠、電網運營商等電力企業。2006年4月，在經過4個版本的討論與修改后，CIP標準第1版，同時了符合性實施計劃[1'實施截止日期根據企業的不同定在2009—2010年之間。

2007年7月20日，FERC針對NERCCIP標準了一份《公共制定規則通知》[11]，將NERCCIP作為強制性標準進行推行，但對標準的8個部分提出了59項修改內容，要求CIP在2009年前進行修改。2008年末，CIP的修改進入了實質性階段，在2009年9月末了CIP第2版，即CIP002-2至CIP009-2。但在標準的執行過程中，針對CIP執行效果不佳的問題，NERC對CIP標準要求進行了細化和調整，2011年1月了CIP第4版。

2.1.2CIP標準內容介紹

NERCCIP標準的核心部分是CIP-002至CIP-009，8個要求部分分別覆蓋資產識別、安全管理、人員管理、訪問控制、物理安全、系統安全、應急響應與災難恢復，具體內容描述見表1。在提出要求的基礎上，NERC制定了符合性實施計劃，將標準的執行分為了資產評估、基本符合、符合和通過審計4個階段，對不同的電力企業制定了不同的執行時間表和審計截止日期，電力企業在審計截止日期之前將CIP中要求的材料提交到NERC或州權威機構。

2.1.3CIP標準存在的問題

盡管CIP作為全美強制推行的第一個電力系統信息安全標準，已經在管理層面取得了重大突破，但是CIP在內容上仍存在很多不足。

首先，CIP-002《關鍵網絡資產識別》中只要求電力企業自己選用風險評估方法識別重要的信息資產，而且傾向于防護基于通用網絡技術的信息系統主機、終端，但對于繼電保護裝置、測控裝置、變壓器等重要的電力系統組件，CIP中卻沒有提到。電力企業可以根據自己的評估方法接受一定的信息安全風險，自主確定需要保護的資產。但是在實際操作中，很多電力企業都聲稱在進行了風險評估之后，沒有需要保護的重要資產。比如在美國東南最大的一個區域，所有電力企業(包括核電在內)，都認為他們的發電系統對電網的可靠性沒有影響，系統滿足#-1定律，單一故障并不影響整個系統的穩定性，所以這些系統不屬于重要資產[12]。但是他們并沒有考慮到安全故障同時發生的情況。試想如果多個電站控制系統中都被植入了木馬，而且同時發作，出現的狀況將不亞于2003年的東北大停電。2009年4月，NERC的副主席兼首席安全官向NERC提交了一封信，信中稱70%的美國電廠都認為自己的系統不是NERC的關鍵系統，30%的輸電資產也被所屬電力公司認為是非關鍵資產，而由于CIP沒有覆蓋配電，所以100%配電系統都不屬于關鍵資產[13]。FERC在《公共制定規則通知》中對CIP的寬松條款表示不滿，要求NERC重新考慮修改事宜，經過多版更新，目前的CIP第4版中雖然對資產進行了更近一步的定義，但是發電廠的資產基線設定值高達1500MW，仍有很多的發電設備將在防護要求之外，而且標準依舊沒有考慮配電設施。

其次，CIP標準中要求的安全機制都是適用于商用信息系統的防病毒、安全配置等通用措施，主要用于解決調度中心的服務器和工作站的安全問題，而不是防護電廠和變電站的現場設備的。但對于目前美國變電站和電廠中的大部分現場控制器和可編程邏輯控制器（programmablelogiccontroller，PLC)等眾多計算機處理能力低、結構簡單的設備，這些措施則無法實施。而且，隨著智能電網的推行，底層設備的智能化而引入的信息安全風險也是CIP標準必須面對的問題。

再次，CIP標準沒有考慮配電系統和電力市場交易系統。配電的監控系統也是連接在NERC的調度通信網上的，配電監控系統的安全同樣影響電網的安全。開放接入實時信息系統(openaccesssame-timeinformationsystem，OASIS)作為市場交易系統的一種，就在CIP的管理范圍之外，它們一邊連著EMS/SCADA系統，另一邊就連著互聯網，對電網的安全構成極大威脅。

根據NERC2011年3月的標準符合度情況統計數據，從2010年起，各電力企業和機構的CIP不符合項以每月100個的速度增長，而且這些不符合項中超過一半都還沒有整改。CIP標準本身的缺陷和推行不力問題，使得美國國內很多專家對CIP是否真的能夠提升全美電力系統的信息安全水平產生了巨大質疑。

2.2 NISTSP800-53和NISTIR7628

2.2.1 NISTSP800-53介紹

在美國國會將NERCCIP提升為強制要求的過程中，信息安全界始終有呼聲推舉安全防護覆蓋面更廣的NISTSP800-53作為強制標準。

NISTSP800-53是為了支持《2002年聯邦信息安全管理法案》而制定的，該法案要求所有聯邦機構都開發、記錄并實施信息系統安全項目。作為法案實施的一部分，NIST提出了“風險管理框架”，將法案相關的標準和指南進行整合，幫助各機構制定實施信息安全項目，在法案的要求下，所有的聯邦機構都必須強制執行。NISTSP800-53是“風險管理框架”的基礎，其中包含管理、操作和技術3類安全控制措施(圖2)，為機構實施信息安全項目提供了基本信息安全控制點。

2.2.2 NISTIR7628介紹

在美國政府將智能電網列入國家重點發展產業的同時，NIST為智能電網信息安全戰略規劃了一份報告NISTIR7628《智能電網信息安全指南》。作為國家層面智能電網信息安全防護戰略規劃與指南，NISTIR7628中提出了一個普適性的框架，電力企業可以根據該框架制定基于自身特征、風險與脆弱性的信息安全戰略規劃。而相關的電力設備廠商和管理部門也可以將該報告中的安全措施作為工作指南的基本素材。

NIST編制NISTIR7628的目的是對NISTSP1108《智能電網互操作標準框架與路線圖》進行補充。NISTSP1108提出信息安全是需要優先解決的標準工作專題，NISTIR7628在此基礎上，對智能電網的信息安全進行了深入的分析，提供了用于指導智能電網風險管理的相關內容。NISTIR7628的編制工作自2009年3月啟動，經過了多輪公開討論與修改，第3版最終在2010年8月。

NISTIR7628報告第3版全文分為3個分冊。第1分冊描述了用于識別高層安全要求的風險評估步驟，提出了智能電網概念模型和7個智能電網域、域中以及域間接口的邏輯接口架構，并將這些接口分為了22類，對每一類接口制定了高層安全要求。在第1分冊的最后對智能電網系統與設備中的加密與密鑰管理問題進行了討論。第2分冊主要對用戶的隱私問題進行了討論。報告中對智能電網中新技術、個人信息、社區信息、人們在居所中的行為、電動汽車的使用情況等信息涉及的隱私問題進行了分析。根據被普遍使用的隱私原則，建議電力企業對智能電網業務流程中的包含個人信息的數據流進行跟蹤，將隱私風險降到最低，另外還建議電力企業對用戶和相關人員進行智能電網隱私風險的培訓，指導他們降低此類風險。第3分冊是對前2冊中提出高層安全要求的需求分析和其他相關資料的匯編。其中包含脆弱性分類方法和報告編制采用的“自下向上”的安全分析方法。此外，還包含了智能電網信息安全新技術研發專題，指明了保證高層可靠性與安全的技術方向。最后，對識別和梳理智能電網信息安全標準的過程進行了描述。

NISTIR7628最大的貢獻之一是形成了智能電網的安全要求指南，這些安全要求的內容主要是出自NISTSP800-53附錄I中工業控制系統的安全要求，是對NIST之前工業控制系統安全研究成果的繼承。盡管這份報告內容翔實豐富，且對于實際防護具有指導意義，但與NISTSP800-53遭遇的尷尬境地一樣，美國政府想在電力行業內推行NISTIR7628中的要求仍需要長時間的考量和多方利益的權衡。

2.3 ISA99和舊C62443的推進

除了政府層面從保衛國家基礎設施安全的角度關注電力系統以及智能電網的安全防護外，安全廠商、監控系統與設備制造商也意識到了電力系統的安全產品與解決方案市場潛力巨大，在基于原有信息安全技術提供測控系統及設備附加安全服務的同時，廠商通過參與民間電力系統信息安全技術標準化工作來占領技術制高點，擴大影響力，提升自身競爭力。

ISA下屬ISA99委員會從事工業控制系統的信息安全標準化工作，正在制定的標準系列ISA99《工業自動化與控制系統安全》未來將被IEC等同采用為IEC62443《工業通信網絡一網絡和系統安全》。

ISA99委員會在其工作計劃中提到，未來《工業自動化與控制系統安全》系列標準包含有常識與術語、安全項目的建立與運行、系統的等級與要求和終端設備的技術要求等4部分內容，標準結構見圖3。

在ISA99委員會進行標準制定的同時，ISA下屬安全合規性委員會(ISAsecuritycomplianceinstitute，ISCI)成立了嵌入式設備安全保證(embeddeddevicesecurityassurance，EDSA)認證項目，提出了嵌入式設備安全功能要求、嵌入式設備開發要求和嵌入式設備網絡協議健壯性要求等一系列嵌入式設備測評準則和流程文檔，在一定程度上為嵌入式設備的廠商提供了設備安全功能指南。

設備與系統安全機制的標準化和對電力通信規約的安全改造標準化，可以從底層直接實現系統建設與更新過程中安全技術的產業化集成，對提高電力系統的安全風險抵御能力具有重要意義。ISA99委員會早在1997年就了工業控制與自動化信息安全技術的報告，是最早進行相關研究的組織之一，因此業界一直對由廠商和研究機構組成的ISA99委員會寄予巨大期望，希望該委員會制定的標準能夠從本質上提高工業控制系統的信息安全技術防護能力。在歐洲和亞洲具有巨大影響力的IEC的加入，也為ISA99在全球的推廣提供了有力的支持。但是由于工作量巨大，標準工作組內部組織不力，ISA99標準的編制工作進展緩慢，目前還沒有成型的實質性成果。

3美國電力行業信息安全工作的特點

3.1 廠商掌握核心信息安全技術

由于美國信息技術發展起步較早，美國IT廠商掌握著大量信息安全的核心技術，而且信息安全的標準化工作都主要是美國有實力的廠商主導。以目前唯一的電力系統信息安全技術標準，電力規約通信安全標準IEC62351[2Q]為例，IEC62351-3《包含TCP/IP協議的安全規范》中使用的方法為“傳輸層安全協議”（transportlayersecurity，TLS)[21]，TLS協議是Certicom公司1999年在Internet工程任務組(Internetengineeringtaskforce，IETF)提出的。另外，Cisco、Microsoft等國外公司都掌握大量通信信息安全核心技術。

除了掌握核心技術知識產權，大量美國廠商還引領著信息安全技術的發展方向。隨著電力監控終端的處理能力的提高和一次設備的智能化，設備自身面臨的安全風險逐漸增多，大量自動控制系統生產廠商都在致力于將信息安全功能作為設備的增值能力，意圖從系統底層奠定智能電網信息安全的基礎。全球嵌入式及移動應用軟件制造商WindRiver于2011年2月宣布與全球最大的專業安全技術公司McAfee達成一項戰略合作協議，針對各類非PC設備，尤其是嵌入式及移動設備，共同開發、營銷專屬的安全防護解決方案并提供相關支持。

3.2 國家層面電力安全項目扶持力度大

美國聯邦政府安排多個部門從事電力系統信息安全的相關工作，并對工業控制系統安全研究、智能電網標準化和企業技術研發項目提供強大的資金支持。早在2004年，DHS就向11家小公司提供了10萬USD基金進行包括入侵檢測系統(intrusiondetectionsystems，IDS)和密碼算法在內的SCADA系統安全相關研究。2005年，為支持研究機構從事SCADA系統安全研究，DHS和NIST共同出資850萬USD作為由Sandia實驗室領導的信息架構保護協會（instituteforinformationinfrastructureprotection，I3P)2a期的研究經費。2007年，DOE向5個項目提供了790萬USD進行電網以及其他能源基礎設施的安全設備集成與先進技術應用。2009年底奧巴馬提出政府將撥款34億USD帶動美國智能電網建設，2010年美國能源部為10個智能電網信息安全項目提供了3040萬USD作為資金支持。2009年底確定的智能電網示范項目中很多項目都不同程度地包含信息安全的工作，其中DOE提供850多萬USD示范項目基金，采用波音公司的軍用級別信息安全軟件技術改進區域輸電系統計劃與運行軟件。美國多個部門連續在財年預算中提供工業控制和電力系統信息安全的項目基金，鼓勵企業和學術機構從事相關的研究和研發工作，當前美國在電力系統信息安全方面的國際領先地位與政府的大力扶持密不可分。

3.3 電力行業信息安全監管力度較弱

美國在電力行業市場化進程中，隨著民間資本的流入，政府對電力企業的監管控制程度都不同程度地降低了。在信息安全工作方面，盡管多部門齊抓共管，但在實際工作中國家層面各政府部門并不能強制要求電力企業如何進行信息安全防護工作，主要措施還是提供信息安全防護標準、指南，并且通過推動標準、指南的產業化應用逐步實現電力企業安全防護能力的提升。雖然FERC在強制推行CIP標準，但CIP的強度與我國的《電力二次系統安全防護規定》及配套方案相比，在控制力度和技術措施細度方面存在巨大差距，即使貫徹實行，也難以達到防御集團式攻擊的能力。而且，FERC的監管權利有限，只能被動等待電力企業上報自審結果，并不具備有力的強制性監管方式，即使電力企業對實際標準執行工作敷衍了事，FERC也無可奈何。

3.4 電力企業信息安全工作基礎較差

在電力市場競爭中，大部分美國電力企業更關注經濟效益。由于受到20世紀90年代電力改革的影響，部分州的電網運營商利潤被擠壓，高額負債無法償還、設備無法更新、電網老化嚴重和數字化程度低等現狀嚴重制約美國電網的發展。在這樣的形勢下，企業投資者不愿意也沒有資金從事信息安全防護工作。雖然近幾年國家加大了這方面的資金投入，但對于大量的電力企業來說，信息安全的經驗積累和意識轉變仍需要時間。

在IT基礎設施方面，大部分美國電力企業不具備用于生產控制業務的專用網絡，仍使用互聯網實現生產控制系統的廣域連接，使得控制系統暴露在互聯網上，為電網的生產控制引入巨大的風險。而且，目前各公司對信息安全工作的理解和重視程度不同，設定的信息安全防護目標和實現的防護效果也差異很大，防護薄弱的節點必然會成為整個北美互連電網抵御信息安全攻擊的“短板”。