信息安全管理論文6篇

時間:2022-06-25 03:38:29

導語:信息安全管理論文6篇一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

信息安全管理論文6篇

第一篇:地市公司信息安全建設和應用

1建設目標

1.1信息安全技術保障體系建設理念

信息安全是企業安全運行的重要一環,而信息安全技術又是信息安全的關鍵。信息安全技術保障體系建設,應牢固樹立“安全第一、預防為主、綜合治理”的安全理念,著力構建起立足當前、著眼長遠的目標理念。在信息安全技術保障體系的構建方面,應突出堅持以下四個原則。(1)“三同步”原則以信息安全貫穿于信息系統全生命周期的思路為指導,始終堅持信息安全建設與信息化建設同步規劃、同步建設、同步運行的“三同步”原則,確保信息安全工作的主動防御性。(2)以人為本與精益化管理相結合原則工作中,突出“以人為本”的同時,應注重與“精益化管理”相融合,把認真負責的工作態度貫穿于工作始終,努力做到“精、細、實”。(3)全面防范與突出重點相結合原則全面防范是保障信息系統安全的關鍵。首先,可根據人員、管理、技術等情況,在預警、保護、檢測、反應、恢復和跟蹤等多個環節上實施全面防御,防患于未然。其次,在全面分析的基礎上,找準事故“易發點”,實施重點防御。(4)系統性與動態性相結合原則信息安全管理是一項系統工程。要按照系統工程的要求,注意各方面、各層次、各時期的相互協調、匹配和銜接,體現出系統集成效果和前期投入的收益。同時,信息安全管理又是一種狀態的動態反饋過程,應隨著安全利益和系統脆弱性的時空分布的變化、威脅程度的提高、系統環境的演變以及管理人員對系統安全認識的不斷深化等,及時將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升管理等級。

1.2信息安全技術保障體系建設范圍和目標

1.2.1信息安全技術保障體系建設范圍

信息安全技術保障體系,包括保護、檢測、響應、審計等多種技術。防御領域覆蓋地市供電公司信息內、外網網絡邊界、網絡基礎設施、終端計算環境以及支撐性基礎設施建設。[1](1)網絡邊界防御體系建設。通過確定不同資產的安全等級和防護等級,以采用適合的邊界防護技術。(2)網絡基礎設施防御體系建設。網絡基礎設施防御的主要目標包括提高網絡拓撲的安全可靠性、提高網絡設備特別是骨干設備的安全性、保證網絡設備遠程管理的安全性等。(3)終端計算環境防御體系建設。為了達到減少內部環境中存在的弱點和漏洞,防止計算機病毒及蠕蟲在內部環境的傳播,提高對網絡攻擊的發現能力以及在安全事件發生后的跟蹤和追查,加強對內部用戶的保護、管理、監控和審計能力的終端計算機環境安全目標,可以采用自動補丁管理、訪問控制、防病毒、入侵防護、完整性檢查和強制認證、網絡準入控制等技術來實現。(4)支撐性基礎設施建設。信息安全支撐設施是指為網絡用戶、設備、應用系統提供安全運作的基礎設施,包括密鑰管理設施、安全管理中心等。

1.2.2信息安全技術保障體系建設目標

(1)堅持“安全第一、預防為主、綜合治理”方針,強化全員信息安全意識。(2)高度重視信息化建設中的安全問題,將網絡與信息安全全面納入公司安全管理體系,建立多層次的安全防御體系,實現信息安全的可控、能控、在控。(3)建立完善的信息安全技術保障體系,保護信息的保密性、完整性和可用性。(4)確保不發生重大系統停運事故。(5)確保不發生重大信息泄露事故。(6)確保不發生網站被篡改造成重大影響事故。(7)確保信息化有效支撐公司發展方式和電網發展方式轉變。1.3信息安全技術保障體系建設的指標體系及目標值根據國網、省公司指標考核內容,信息安全技術保障體系建設的指標,主要包括內、外網VRV未注冊情況,內、外網弱口令數等。具體如表1所示。

2主要做法

2.1信息安全技術保障體系建設管理工作流程圖。信息安全技術保障體系建設管理分為風險評估、方案設計、方案落實、驗收測評等4個節點。如圖1所示。2.2主要節點說明2.2.1風險評估當前,影響信息安全的因素很多。一是日益復雜的網絡系統和安全系統不斷地增加運行維護的難度,以及工作量和人力成本,對于位置分散的、數目眾多的各類主機、網絡設備、安全設備等進行逐一管理耗時又耗力。傳統意義上的安全防護措施只關注安全的某一方面,對這些分散獨立的安全事件信息難以形成全面的風險抵御,導致了安全策略和配置難于統一協調,安全事件無法迅速響應。二是由于與安全相關的信息量越來越大,關鍵的安全信息和告警事件常常被低價值或無價值的告警信息所淹沒,一些全局性的、影響重大的問題很難被分析和提煉出來。三是由于新的安全威脅總是出現在安全應對措施之前,完全依賴安全技術的安全防護系統無法真正確保網絡的安全和提高企業的安全防護能力。根據國網、省公司要求,確定地市公司的信息安全需求和可接受的殘余風險,建立常態風險評估機制。開展信息安全風險評估工作,了解和評價公司的信息安全現狀,提出信息系統的安全需求,公司領導層再依據評估報告,選擇最佳的風險控制措施,確立有效的信息安全保障體系。2.2.2制定策略,設計方案[3]建立安全信息監管系統,將來自不同設備的事件記錄(例如:防火墻、入侵檢測系統、防毒軟件、網絡設備、操作系統、數據庫及其它應用系統等),進行數據采集、關聯分析、事件優先重要性分析及視覺圖形化呈現。并自動地將雜亂無章的系統信息轉換成有意義、且利于用戶對安全事件做出響應的有用信息,最終完成從安全信息來源,到安全信息采集,再到安全信息處理,直至安全事件管理的全部監管過程。建立重要數據安全管理系統。采用高可用性冗災技術、加密技術、數據檢索技術,通過完善的人員組織建設和培訓,以及周密的流程設計和測試演練,最大限度地降低突發性災難對企業關鍵業務環境的影響,切實保障企業重要數據資料安全。開發IT運維監管平臺。通過對桌面終端管理系統、IT綜合管理系統等進行有效整合,集中監控管理網絡、主機、軟件的基本信息資料,通過運維流程管理,簡化業務支撐系統的硬件、軟件的多樣性,降低系統管理維護的復雜性,從而達到“集中監控、集中維護、集中管理”的目標。同時,減少系統建設維護成本,節約投資和降低人力成本。2.2.3方案審查信息化領導小組負責審查相關信息化建設方案,負責公司信息安全重大事項決策和協調工作,全過程監督方案的落實和各個項目的建設。2.2.4組織實施各相關部門嚴格遵守公司下發的信息安全管理規章制度,執行各種信息安全管理辦法,全面落實安全措施,加強對部門內部安全檢查與改進,著力做好各項安全工作。公司與各單位簽訂《信息安全責任書》,把安全責任和安全措施落實到每個環節、每個崗位和每位員工身上,形成“大安全”管理局面,把“誰主管誰負責、誰運行誰負責、誰使用誰負責、誰督查誰負責”的原則落到實處。2.2.5檢查驗收公司對方案的落實情況、項目的實施情況采取驗收測評、跟蹤檢查等手段,并查找問題,提出整改措施,形成整套完備有效的信息安全防護體系。

3評估與改進

評估與改進是安全保障體系中的重要環節。真正的安全保障體系,不是一次性完備的架構,而是一個由安全評估與改進-安全防護-安全評估與改進-安全防護……的循環發展、動態完善的系統工程。可以說,沒有安全評估與改進的安全保障體系不具備真正的安全性。如圖2所示,反饋式的評估和檢查能加強網絡安全防護,能夠通過評估和改進達到自我調整和完善,是檢驗網絡安全與否的動態標準。

3.1評估

3.1.1評估的方法

(1)委托信息安全專家對公司信息安全項目評估、驗收。(2)開展各種信息安全反違章、專項治理活動進行檢查、評估。(3)通過技術手段進行安全檢查、評估。

3.1.2評估的內容

(1)貫徹、落實各級安全管理制度、規范情況。(2)保護定級方案執行情況。(3)重點項目的實施情況。

3.2信息安全技術保障體系建設中存在的問題

3.2.1信息安全技術標準規范體系不夠完善

(1)信息安全技術標準數量少,尤其缺乏信息安全風險評估標準,導致信息化建設缺乏統一的評估規范。(2)在實施過程中,缺乏必要的監督管理,致使標準未能得到有效實施。

3.2.2全員信息安全意識較淡薄

(1)很多用戶對信息安全問題認識不足,在系統缺乏保護的情況下就接入互聯網,致使系統頻頻受到病毒、木馬、黑客的攻擊,經常處于被動修補狀態。(2)由于信息安全法律意識淡薄,一些員工將不該的信息到了網上,導致不良信息的影響日益突出。(3)重“硬”輕“軟”現象突出,把信息安全防護希望全部寄托在信息安全產品和技術解決方案上,而忽視信息安全管理和信息安全人才的培養。

3.2.3信息安全管理和技術人才缺乏

(1)信息安全技術人才缺乏,導致信息安全技術保障功能得不到充分發揮。(2)信息安全管理人才不足,難以對信息系統、信息安全產品進行有效管理、配置,增加了信息安全事件的發生概率。

3.3改進的方向和對策

(1)加快推進信息安全標準化工作。加強信息安全標準的制定和實施,不斷完善信息安全標準體系建設,不斷增強信息安全標準的創新,提高自主開發的比重;加大宣傳培訓力度,有效推進標準的實施工作。(2)持續開展安全服務管理各項活動。信息安全管理是一個動態、持續的過程。信息安全生命周期是各種活動的不斷循環,包括完善策略體系,改進各項信息安全計劃,加強人才培養和意識教育,定期進行信息安全評估與檢查,長期的信息安全系統運維與支持,不間斷的安全功能改進和實施等內容。(3)提高全員的信息安全防范意識。開展信息安全教育,增強信息安全意識。要提高信息安全意識,真正認識到信息安全防護的重要性,消除“無所謂”的錯誤思想;加大信息安全防護知識的普及教育工作,加強人員的培訓和管理,推廣信息安全技術和產品應用,提高企業用戶和個人用戶的信息安全知識水平,從技術上和管理上切實提高公司信息安全保障能力。[4]

4結語

信息安全技術保障體系建設是一個復雜的系統工程,同時也是一個不斷完善的過程,從無到有,從不完善到完善,貫穿信息系統的整個生命期。實踐告訴我們,隨著網絡信息的發展和規模的擴大,網絡的安全缺陷也會加大。同時,不斷變化的信息安全需求和環境也要求有不斷改進的信息安全體系與之相適應。我們必須清醒地認識到,安全是一個過程,世界上沒有一勞永逸的安全。信息安全技術保障體系建設,要以用戶身份認證為基礎,以信息安全保密為核心,以網絡邊界防護和信息安全管理為輔助,建立起全面有機的安全整體,從而建立起真正有效的、能夠為信息化建設提供安全保障的可靠平臺,最終才能夠為電網的安全穩定運行保駕護航。

本文作者:劉立亮王軍徐暢工作單位:安徽省宣城供電公司

第二篇:IT項目信息安全管理方法

一、前言

業務應用的不斷拓展,信息系統已全面滲透到企業的運營中,而隨著網絡和通信技術的快速發展,網絡互聯與開放、信息共享帶來了日益增長的安全威脅[1];病毒和黑客攻擊越來越多,安全事件爆發越來越頻繁,直接影響企業正常業務運作。特別是對于移動通信運營商而言,信息安全尤為重要,為了保障客戶利益,加強對信息系統的信息安全管理工作刻不容緩。新建項目中容易忽視信息安全問題,如果安全管理工作不到位,安全風險就得不到控制,而對安全風險進行控制所需的成本則隨著安全管理工作介入項目的時間越晚而越高(如圖1所示);因此,為降本增效,在IT項目的建設過程中,越早引入信息安全管理,安全風險控制的成本就越低,達到的安全水平也越高。對IT項目進行全生命周期的安全管理,滿足集團安全管理“三同步”的要求,即在系統的設計、建設和運行過程中,做到同步規劃、同步建設、同步運行[1]。

二、IT項目全生命周期安全管理要求

對IT項目進行安全管理,一方面是要求項目能應達到與其承載業務相符的安全特性,如認證、賬戶管理、操作審計等功能;另一方面,對項目進行全生命周期的安全管理,在項目的不同階段進行評審和驗證,確保項目滿足規定的安全方案。結合ISO27000標準體系、國家信息安全標準以及薩班斯法案(SOX)的要求,制定IT項目建設全生命周期的項目安全管理工作流程。在項目全生命周期各階段加入安全管控點(如圖2所示),制定各階段安全管控點的安全控制措施和人員職責,充分考慮信息安全方面的要求,確保開發出來的系統可以滿足公司的安全方針、國家法律法規及薩班斯法案(SOX)的要求。安全要求是通過對安全風險的系統評估予以識別的[2],因所承載的業務的差異,每個系統的安全要求有所不同,每個系統都必須根據其業務流程評估安全風險,確定其對信息完整性、安全性、可用性的要求,從而采取適當的安全控制措施。如涉及客戶資料、經營信息的系統安全級別較高,而用于輔助辦公的系統安全級別則較低,需要采取不同的安全控制措施,才能將信息安全落到實處;不恰當的安全級別劃分,會導致敏感數據的訪問控制不嚴,甚至敏感數據在防護之外。

三、IT項目建設各階段安全管理實施方法

3.1項目規劃階段安全管理

項目規劃階段,定義業務需求,并進行可行性研究;在定義業務需求時,應注重對信息安全方面的需求制定。在業務需求書中,應明確對系統安全的詳細要求,并由項目各相關方(含信息安全人員)進行評審,評審通過才能進行項目立項。業務需求制定完成,任何對系統安全需求的修改,也應視為對業務需求書的修改,需經過正式的系統變更流程。

3.2項目設計階段安全管理

通過對業務流程的分析,對系統進行整體設計和詳細設計,考慮數據傳輸、處理、存儲等各個過程中的安全要求,確保實現所有過程中對數據的全面保護,特別是對關鍵業務的敏感數據的保護,如客戶資料、經營數據等,對重要數據的存儲和傳輸設置權限和校驗,并進行加密。在系統應用安全層面應至少進行以下安全控制設計:(1)身份認證。對用戶進行身份識別,并根據安全策略配置相關參數,如限制非法登錄次數、超時自動退出等,確保系統不被非法用戶進入。(2)訪問控制。遵循最小權限原則控制用戶對文件、數據庫表等客體的訪問。(3)日志與審計。對應用程序中的重要事件進行日志記錄,并進行審計,以便對系統的重要操作和安全事件進行追蹤審查。(4)通信安全。對通信過程中的敏感信息字段進行加密,確保重要的業務數據和敏感的系統信息(如口令)的傳輸不能被竊取和篡改。對于支撐公司業務運營的系統,必須設計與公司4A系統的接口。4A系統是融合統一用戶賬號管理、統一認證管理、統一授權管理和統一安全審計四要素的安全管理平臺解決方案,與薩班斯法案(SOX)內控需求一致。支撐公司業務運營的系統必須接入4A系統進行統一管理,以保證認證、授權和審計安全策略的一致實施。

3.3項目實施階段安全管理

開發人員應參照規范編寫代碼;嚴禁不安全的實施方法,如將用戶名或密碼編寫在程序中、使用未經安全評估的第三方產品等。對源代碼的訪問和修改必須嚴格控制,建議使用配置管理工具進行代碼訪問及代碼版本控制。開發平臺上如需使用來自生產環境的敏感數據,必須是過期并經過模糊化處理后的數據,并保留數據導入的處理記錄。

3.4項目驗收階段安全管理

驗收測試前,需要制定相應的安全驗收標準,驗收要求和標準應定義清楚,并經信息安全人員評審通過。在測試過程中,需通過技術手段,如漏洞掃描等,對系統的安全性進行測試,并驗證達到要求的管理水平。安全驗收測試的結果應由信息安全人員進行評審,以確認測試結果符合系統設計及公司整體的信息安全需要,或已經授權采取了充分、恰當的補償性措施。對于測試中產生的信息和結果應注意保密,以免泄漏影響系統安全性。

3.5系統上線部署階段安全管理

系統上線部署前,通過開展安全漏洞檢查、安全防護配套設施檢查、基線配置檢查等核查手段,確認安全方面的缺陷已被充分確認及記錄,所有與系統相關的補丁或更新已經實施,所有測試數據已清理,軟/硬件符合集團安全基線配置規范。此外,系統如需對互聯網開放,在系統上線前應經過對互聯網開放的審批,并對提供WEB服務的網站部署網站頁面防篡改系統。系統上線后,系統運行一段時間后對系統進行評估,評價系統對信息安全要求的符合情況、信息安全控制措施的運行效果和效率,以及潛在的需要改進的信息安全措施。

3.6系統運營階段安全管理

(1)操作管理和控制。制定不相容職責矩陣,對用戶最小化授權,并制定操作規程。(2)變更管理和控制。實施變更前,詳細的變更方案必須獲得審批,確保變更不會對系統的安全性和完整性造成不良影響;開發測試人員不能訪問生產系統,以防止未經測試或未經審批的變更上線到生產系統。(3)安全狀態監控。對系統的安全運行狀態進行監控,確保系統運行安全。(4)業務連續性管理。制定安全事件應急處置預案,應急預案應明確組織機構及工作職責,并定期進行應急演練。(5)安全測評與改進。定期進行漏洞掃描、滲透測試等安全評估手段,挖掘系統存在的安全漏洞并進行改進。

3.7系統下線階段安全管理

系統由于生命周期管理需要退出服務,進入系統消亡環節,應對受到保護的數據信息進行妥善轉移、轉存、銷毀,確保不發生信息安全事件;涉及到信息轉移、暫存和清除、設備遷移或廢棄、介質清除或銷毀,以及相應資產清單的更新。

四、結語

通過在IT項目生命周期的各個階段中實施信息安全管理,確保安全需求在IT項目中進行了充分實施,項目滿足公司整體安全策略的要求;建立以管理手段為抓手,以技術手段為支撐的IT項目安全管理體系。

本文作者:杜衡工作單位:中國移動(深圳)有限公司

第三篇:單位網站信息安全的重要性

一、網站信息安全被入侵的兩種主要形式

(一)SQL注入攻擊

互聯網中的許多Web應用都采用數據庫來存儲信息。使用SQL命令可以方便的將前臺Web頁面的應用數據和后臺數據庫中數據進行傳遞。這些Web站點的頁面可以根據用戶輸入的相關參數拼接成合法的SQL查詢語句,再將這些語句傳遞至服務器端對數據庫進行查詢。而別有用心者可以通過直接在URL地址欄或者表單域中直接輸入SQL命令,以此繞過web頁面的數據檢查改變查詢屬性,可以獲取對數據庫更高權限的操作。

(二)DDOS攻擊

DDoS攻擊發源于傳統的DoS(DenialofService)拒絕服務攻擊基礎之上,DoS往往是指黑客通過單一的IP地址向某一目標主機發出“合法”的訪問請求,而耗盡目標主機的網絡帶寬和硬件資源(CPU、內存等)的攻擊方式。這種攻擊方式在當今網絡技術和硬件技術飛速發展的情況下,已基本無用武之地。于是,分布式拒絕服務DDoS攻擊方式應運而生。所謂分布式拒絕服務攻擊,就是黑客利用互聯網的優勢,利用操作系統或軟件漏洞同時聯合眾多傀儡機對某一目標主機展開更大規模、更高強度的攻擊,使目標主機的大量網絡和硬件資源被占用,而無法對正常用戶提供服務。

二、防范黑客攻擊,維護網站信息安全的具體方法

SQL注入產生的原因的是程序員在應用開發過程中的編程不嚴謹,忽視了對用戶數據的檢查而造成的,SQL注入問題的解決根本途徑就是編制完善的程序。具體需要注意以下幾點:1.敏感字符直接過濾;2.參數化用戶輸入數據;3.使用ApacheWeb服務的安全檢測模塊。Apache的mod_security模塊是一個集入侵檢測和防御功能的開源的web應用安全檢測程序。它基于ApacheWeb服務器運行,目標是增強web應用程序的安全性,防止web應用程序受到已知或未知的攻擊。如果要使用此安全模塊,需要在/download/下載mod_security安全模塊并安裝,DDoS攻擊的最終目的是要耗盡服務器的網絡和硬件資源,因此,從這個角度上來講,哪怕有足夠多的正常訪問請求也同樣可以造成服務器的“拒絕服務”的情況出現。所以,從根本上解決拒絕服務攻擊,還需要做好以下幾點工作:1.保證服務器有足夠的網絡帶寬。2.適時升級服務器硬件。3.采用較新的服務器操作系統。4.及時打補丁修復系統漏洞。4.提前做好針對性預防工作。5.準確判斷攻擊方式。發生攻擊時,應通過軟件抓取數據包進行分析,根據不同的攻擊方式采取不同的解決方法。6.保留詳細系統日志,方便追查元兇。采用的安全手段越多.所帶來的運行成本就越高.系統的運行效率就越低.要在運行成本運行效率中間進行平衡。同時,也應該認識到安全防范手段是一個持久更新漸進的過程.所以需要不斷改進.優化采用的技術方法和安全策略。因此沒有絕對安全而只有相對的安全即在風險和運行成本、效率可以接受前提條件下的安全。通過采用上述安全體系架構,再結合相關的軟件和硬件安全措施,基本上保證了系統的安全性要求在具體技術措施的選取上,也可根據實際情況,在保證安全性的前提下進行適當的調整和修改。此外,解決網站安全問題,除了要有好的安全防護技術措施外,還要增強內部工作人員防范意識,以確保網站安全穩定運行、健康發展。

本文作者:翟松青工作單位:泰州市高新技術創業服務中心

第四篇:運營商客戶信息安全防護

1背景

隨著光纖寬帶、移動電話、移動互聯網的普及,通信服務在我們的日常生活中發揮了越來越重要的作用。通信運營商作為提供基礎通信服務的企業,在為更多的客戶(為描述方便,本文中不嚴格區別客戶與用戶的概念,文中客戶既指客戶也指用戶)提供通信服務的同時,也在企業內存儲了大量與客戶相關的信息,包括客戶身份、住址、銀行賬號、通信位置、通信行為、通信內容等信息。這些信息與通信服務使用者日常的生產生活息息相關,包含了屬于客戶自己的隱私信息。便捷的通信方式為人們生活帶來方便的同時也給不法分子帶來了可乘之機。近年來,利用通信工具的犯罪越來越多。為遏制通信犯罪,國家工業和信息化部對通信運營商提出了用戶實名登記的要求。根據工業和信息化部頒布的《電話用戶真實身份信息登記規定》,從2013年9月1日起,我國電信業務經營者為用戶辦理固定電話裝機、移機,移動電話(含無線上網卡)開戶、過戶等入網手續時,需要如實登記用戶提供的真實身份信息。通信運營商所記錄和存儲的客戶信息將更為真實完整。這些信息一旦被泄露或被不正當的使用,重則可能引發重大群體性事件,輕則造成客戶個人信息的泄露,給個人帶來不利的影響。為保護個人信息安全,國家在2009年刑法修正案第二百五十三條增加了對“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人”刑事犯罪行為的描述條款。保證客戶信息的安全,避免被非法濫用,是通信運營商必須承擔的重要社會責任和義務。同時,對客戶信息的安全防護能力也是通信企業市場核心競爭力的重要基礎。

2通信運營商客戶信息存儲及使用情況分析

通信運營商為做好客戶信息安全防護工作,首先需要全面分析客戶信息在自身內部的生成、存儲、使用、封存及銷毀的情況。需要從客戶信息在企業內流轉的全過程來考慮與之相關的安全防護工作??傮w上來看,客戶信息在通信運營商內部的流轉情況如圖1所示。

2.1客戶信息的生成

通信運營商客戶信息的生成來源于如下幾個渠道:(1)客戶到營業場所(包括運營商自有營業廳和社會代辦點)辦理業務,客戶向業務人員提供自身身份信息,這些信息連同所辦理的業務信息被錄入運營商內部信息管理系統。根據前臺業務辦理要求,作為業務辦理憑證,相關信息還會被打印生成(2)客戶通過運營商的客戶服務電話辦理業務,或是運營商的客戶服務經理上門為客戶辦理業務,客服人員核查記錄客戶的身份信息和所辦理的業務信息,錄入內部信息管理系統。其中,客戶經理在上門服務過程中會生成相關信息的紙質存檔。(3)客戶通過運營商提供的自助服務平臺,提供自身身份信息,提交需要辦理的業務信息,這些信息通過自助服務平臺會傳遞到內部信息管理系統。(4)客戶使用運營商的通信網絡服務,網元平臺產生對客戶的通信服務記錄信息。這些信息最后也會傳遞到內部信息管理系統進行集中處理。(5)運營商在派單給外線裝維施工人員上門安裝和處理故障的時候,會產生所服務客戶信息的紙質存檔。

2.2客戶信息的使用

在通信運營商內,如下人員在特定的工作場合需要訪問使用相關的客戶信息:(1)營業人員和客戶經理在為客戶辦理業務時,營業稽核人員在進行業務稽核時,需要核查當前客戶信息及其已有的業務訂購信息、消費信息等。(2)客服人員在為客戶提供服務時,需要核查當前客戶信息及其已有的業務訂購信息、消費信息等。(3)客戶經理在日??蛻艟S系工作中,需要查閱所維系客戶群客戶信息及業務訂購信息、消費信息等。(4)裝維人員(或施工派單人員)在派單上門服務前,需要查詢上門服務的客戶信息及業務訂購信息、線路信息等。(5)經營分析、營銷策劃人員在進行企業運營情況分析、策劃營銷活動的時候,需要查詢統計與客戶相關的信息。(6)信息管理系統的運營支撐人員在日常系統問題核查處理、提供臨時數據處理服務時,需要查詢處理與客戶相關的信息。在通信運營商外部,還存在如下人員在特定的場合需要訪問使用相關的客戶信息的情況:(1)外部業務商在代辦通信業務時,需要核查當前客戶信息及其已有的業務訂購信息、消費信息等。(2)客戶通過自助服務平臺需要查詢與自己相關的客戶信息、業務訂購信息、通信行為信息、消費信息等。(3)部分運營商應用平臺或與運營商合作的外部應用平臺在為客戶提供通信增值服務時,需查詢校驗客戶信息。

2.3客戶信息的歸檔與銷毀

不同類型的客戶信息有不同的生命周期。通信運營商對自身存儲的各類客戶信息的保存和封存期限有不同的內部規定。比如通話及短信詳單保存3個月、客戶的通信賬單保存6個月、業務資料保存10年等等。超過規定保存期限不再使用的客戶信息會逐月歸檔封存,最后在封存期過后按要求被銷毀。

3通信運營商的客戶信息安全防護策略

通信運營商具有客戶數量大、客戶信息數據多、數據變更頻繁且增長迅速、內外部可能接觸到相關信息的人員多、日常業務運營面對激烈的市場競爭需要能及時便捷的獲取需要的信息、自身信息安全防護水平要求高等特點,在這樣的環境下,客戶信息安全防護工作具有一定的難度,但也不是無章可循??傮w而言,需要從如下幾個方面采取相應的安全防護措施:

3.1內外部人員安全意識宣貫及常態運營體系建設

通信運營商日常各項生產運營工作繁雜,要做好客戶信息安全防護,首先需要對這項工作有充分的重視。通過在運營商內外加強對這項工作的重要性及安全管理要求的宣貫,培養和增強可能接觸到客戶信息的人員對相關信息的安全防范意識。形成具有高度客戶信息安全防范意識的企業文化,使得各級人員在日常工作中能自覺地考慮到客戶信息安全風險,在安全管理制度要求與工作便捷性有矛盾的時候,能辨別輕重緩急。各級人員敏銳的客戶信息安全防范意識,能為相關安全防護工作創建良好的內外部環境和奠定堅實的基礎??蛻粜畔踩雷o工作與日常各項生產活動息息相關,需要結合日常工作進行常態化的運營管控。在運營商內部需要建立客戶信息安全運營管控團隊,負責建立和完善內部相關的管理制度并監督執行,時時關注相關安全防護設施運行情況,監測排查可能存在的風險和漏洞。運作良好的運營管控團隊是高水準客戶信息安全防護的必要保障。

3.2信息分級與脫敏

通信運營商保存有數量龐大的客戶信息,不同信息有不同的敏感程度。比如客戶姓名、住址、聯系方式等信息通常有比客戶訂購了何種通信服務、當前有多少的預付費余額信息更敏感,而客戶在何時何地與何人有過何種通信聯系則具有更高的敏感級別。不加區分地對這些信息進行安全防護會嚴重干擾和影響其他運營工作的效率,也會增加企業不必要的成本投入。為提高安全防護效率,需要根據相關信息的重要性及被濫用可能帶來的影響及風險,對需要被防護的客戶信息進行分級。對不同等級的客戶信息采取不同的安全管控措施。基于對客戶相關信息的分級,可以梳理不同級別的客戶信息在哪些場合能夠被哪些人員訪問和使用,劃分不同級別客戶信息的訪問權限,制定對應的訪問管理制度,搭建起客戶信息安全的防范體系框架。對于高敏感性的信息,可以通過模糊處理進行脫敏以降低相關信息的敏感性水平,比如對運營商內外部大多數人員,都無需知道用戶完整的身份證號碼,可以對特定位數的身份證號碼顯示特定的模糊信息,而不影響日常相關信息的訪問效率。

3.3權限管控

對客戶信息特別是信息管理系統內存貯的信息數據,訪問處理權限的管控是日常安全防護工作的重心和主要內容。根據運營商內外不同角色人員及日常主要工作的特點,按照所需權限最小化的原則,劃定與之相匹配的信息訪問權限,限定只能訪問特定級別的客戶信息。通過對不同系統賬號授予的權限情況進行管控,建立賬號創建和權限變更的審批機制,定期審計相關系統賬號權限授予情況,確保所授予的權限滿足其使用者日常工作需要且不存在超越工作權限范圍的信息訪問權限。針對特定場合下,具有普通權限的人員可能需要臨時訪問高安全風險級別信息的情況,建立內部審批機制及信息流轉程序。最大限度的控制信息管理系統賬號的權限范圍,監管對高級別客戶信息的訪問權限。同時,還需要對相關系統內賬號的安全性進行管控,避免賬號權限的泄露。對高權限等級的賬號,需要限定嚴格的使用條件,建立配套的管理機制,防止被濫用。另外,還需要對存儲客戶信息的信息管理系統對外部系統平臺提供的接口進行權限管控,確認應用系統對外部系統平臺提供的訪問接口所傳輸的數據在允許范圍內,定期核查審計接口日志及行為,降低通過系統的外部接口泄露客戶信息的風險。

3.4信息安全基礎設施建設

對于大多數以電子形式存貯的客戶信息,需要建立完善的安全防護基礎設施,從技術手段上監控、管理、封堵各種可能導致信息泄露的途徑。通過信息安全基礎設施建設,可以從如下各方面加強信息安全防護:(1)通過終端準入認證、統一認證、合規性檢查、數據泄露防護、漏洞掃描等設施,管控訪問客戶信息的終端,避免外來終端隨意接入內部網絡,同時限定訪問信息數據的終端必須達到預設的安全條件。(2)通過前置堡壘機系統、漏洞掃描、配置管理、日志審計等基礎設施,管控提供客戶信息數據服務的主機,防止開放不必要的端口和服務,防止存在可被利用的后門和漏洞,保障日常的主機操作置于可監控、可審計范圍,提高主機安全水平。(3)通過網絡防火墻、網絡行為審計、網絡入侵檢測等基礎設施,管控客戶信息傳輸的網絡,限定信息數據只能在特定的網絡內傳輸、遵循特定的網絡訪問策略,保障信息數據在網絡傳輸過程中不能被非法監聽、截獲。(4)通過應用日志審計、應用漏洞掃描和應用防火墻等基礎設施,管控提供客戶信息數據的應用系統,降低應用系統因為存在設計編寫不良的程序代碼和被不恰當的部署、配置而帶來的信息數據泄露風險。(5)通過數據庫漏洞掃描、數據庫操作審計等基礎設施,管控存儲客戶信息的信息系統數據庫,降低后臺數據庫系統被非法訪問操作帶來的數據泄露風險。(6)通過應用系統、數據庫系統、文件系統的加密設施,使敏感信息能以密文方式存儲,可以從信息數據源頭管控安全風險。(7)通過機房、庫房安全監控等基礎設施,管控存儲和可訪問客戶信息數據的機房和庫房物理環境的安全,防止經由外部物理環境的安全入侵帶來信息數據泄露風險。不同的安全基礎設施各有側重,但不是相互獨立的,需要通過體系化的規劃建設將它們有效地整合起來,使其相互銜接、互為補充,形成完善的安全防護設施體系。

3.5存儲介質管理

加強對信息存儲介質的管理是一項重要的客戶信息安全防護策略。關注并限定信息可能存儲的介質,不允許信息擴散到允許的存儲介質范圍之外,降低經由存儲介質導致信息泄露的風險。信息存儲介質管理涉及如下內容:(1)存儲介質范圍的管理:確定并管控允許各類客戶信息存在的存儲介質范圍。通過管理和技術手段降低通過未經許可的存儲設備轉存、帶走敏感信息的可能性。(2)存儲介質變更及銷毀管理:在存儲有客戶信息的存儲介質的使用目的和范圍發生變更或存儲介質過期需要做報廢銷毀處理的情況下,確認其上的信息不能被重新恢復和獲取。(3)存儲介質環境管理:限定存儲各類客戶信息存儲介質的存放和訪問環境,及時歸檔管理存儲有客戶信息的新增存儲介質。加強存儲介質存放環境的安全管理。

4結束語

客戶信息安全防護是通信運營商在日常運營中面臨的重大課題,隨著國家通信用戶實名制的推進和公民對自身權益保護意識的提高,這項工作的成效受到來自社會公眾越來越多的關注與監督。在新的社會環境、業務環境和網絡環境下,通信運營商的客戶信息安全防護工作將會日益重要與復雜,需要持之以恒、長抓不懈并根據內外部環境的變化情況不斷的優化完善,才能實現客戶信息的有效防護。

本文作者:陳興華工作單位:中國電信廣西公司

第五篇:通信網信息安全的應用

1.通信網信息安全的現狀

1.1對通信網絡實行加密的技術

將加密技術引進到通信網絡當中,通信網絡的終端客戶需要憑借密碼才能夠進行操作,也就是說如果要想獲取通信網絡當中的信息,使用者就必須要輸入正確的密碼才能夠獲取到,才能夠使用到通信網絡,才能夠獲取到通信網絡當中的資源以及服務,例如移動運營商通過在通信網絡的終端加密保護好通信資源以及內容,然后才能夠向客戶提供密碼操作的服務。

1.2對訪問者進行訪問控制的技術

審查與控制通信網絡信息資源的訪問權限,就能夠有效地防范通信網絡的信息資源,這種防范機制不僅將訪問客體的身份限制進行了規定,同時還控制住了訪問客體的訪問權限以及訪問資源。

1.3將硬件做好防護技術

要想做好對通信網絡信息安全的防護工作,利用硬件防護技術是主要的手段之一,防火墻以及相對應的監測設備等硬件設施是硬件防護技術的主要方法,同時利用物理隔離以及主機加密等等一些措施也是能夠起到對通信網絡基礎設施的信息安全進行有效地防范的。

1.4設置專門的軟件進行防護技術

要想有效地實現對通信信息網絡的安全的防護,還可以通過設置專門的軟件進行防護,例如通過日志審計以及關鍵字偵查這些措施也是能夠起到一定的作用的。

2.通信網絡信息安全的應用研究

伴隨著信息技術的飛速發展,通信網絡也在不斷地向前發展著,通信網絡慢慢地從2G發展到了3G。3G網絡系統的安全是可以分為應用層、服務層和傳輸層這三個層面的,因此要想針對3G通信網絡實現信息的安全保護,可以通過如下幾個方面對其來進行技術革新和安全保護。

2.1接入網的安全技術

要想對3G通信網絡的信息安全進行防范首先就必須考慮接入網的安全技術。接入網是什么?接入網是指由用戶與網絡接口(UNI)到業務節點接口(SNI)之間的一系列傳送實體所組成的全部設施。把電信業務透明傳送到用戶手中就是接入網的主要職責,具體一點來說就是將本地交換機與用戶之間的連接部分相連接起來。同時在3G信息網絡系統當中,由于3G網絡所提供的業務準入機制和接口規范相比較而言是更為規范與全面的,因此在接入網方面就可以做到讓GMS網絡向3G網絡過渡的過程比較的平滑與安全,最終實現進入到3G網絡的目的。

2.2網絡傳輸層的安全

要想對3G通信網絡的信息安全進行防范除了要考慮接入網的安全技術之外,其次應該考慮的就是網絡傳輸層的安全。當信息在網絡傳輸層之中進行傳輸的時候,因為每隔一個部分就會存在著一個網絡節點,或者是交換器,又或者是路由器,因此當信息在網絡傳輸層當中進行傳輸的時候,信息就會遭受著被竊取的風險,所以目前對于在網絡傳輸層當中信息傳輸的安全問題也是社會上所關注的焦點問題之一。根據目前的信息安全保障措施來看,對于網絡傳輸層的信息進行風險防范的主要手段是物理隔離。然而,還有一個重大的問題需要考慮和解決的就是該怎么樣做才能夠保證在保證網絡傳輸層的信息安全的同時讓用戶終端信息傳輸的安全也得到實現。

2.3代碼安全技術

在3G通信網絡當中,利用代碼來保證信息傳輸的安全性是其最大的特點。在整個通信網絡當中對信息的安全的保護是有一套完整的代碼來控制的,從信息的源頭也就是制造商開始,到信息的運營商,最后再到信息的終端也就是信息的接受方這整個過程都是受其的保護的,并且在信息的終端,為了確保信息的安全性,對其的代碼保密也會大大的加強。

3.網絡通信信息安全的防范機制的進一步的完善

要想使網絡通信系統當中的信息安全得到保證,不僅需要從信息的流向渠道方面做文章,同時也還要注意從信息安全的角度來進行防范。以我國的移動通信網絡運營商為例,我國的移動、聯通和電信等等,都在將GSM網絡進行著IP化的演進,這樣做除了能夠讓通信網絡的業務服務內容和服務范圍進一步的得到擴寬之外,更重要的是能夠保護通信網絡信息的安全,并且這樣做是符合時代的潮流的,因為目前國內的大部分的移動通信網絡都是基于IP網絡來實現信息安全保護的。為了構建IP化的通信網絡,讓網絡通信當中的信息安全得到加強,可以從以下幾個方面來加強管理。(1)從管理人員方面來看,要想保證網絡通信之中的信息安全,就必須要讓管理人員首先就能夠從思想上認識到網絡信息安全的重要性,因此就需要技術人員和管理人員能夠具備專業的知識,對通信網絡設備的管理和技術服務能夠加強。(2)從網絡通信設備方面來看,要想讓網絡通信的信息安全得到保證,也需要防護網絡通信設備的安全,例如交換器和路由器中的網絡節點也需要對其進行定期的升級,預防在信息傳輸過程當中信息遭受到安全威脅。(3)從網絡通信的架設與結構方面來看,對網絡通信的結構設計也會影響網絡通信之中的信息的安全性的,因此就需要從結構設計方面就要加強對其安全性的防范,通過日志檢測和病毒查殺等等幾個方面讓網絡通信的安全機制能夠得到全方位的防范,同時對于網絡通信的備份能力以及故障自己診斷的能力也要提高,要通過這種方式讓網絡通信的信息安全的應用水平得到提升。綜上所述,每一種網絡都無一例外會存在著不同程度的信息安全問題和安全風險,因此保證網絡通信的信息安全就顯得尤為重要了,而要想將網絡通信的信息安全性能提高,首先就需要從信息的傳輸流向方面入手,從信息的源頭到信息的接受這一系列的過程,建立一個完整的安全信息的傳輸機制。

本文作者:鄭威工作單位:華中科技大學文華學院

第六篇:央行信息安全內涵和策略

一、人民銀行信息安全內涵

人民銀行信息安全內涵非常廣泛,基本上可包括9個方面。一是物理安全,包括環境、硬件、數據、媒介、人員所面臨的威脅及其對策。二是災害重建計劃,包括面對潛在的安全風險時事先應作的評估。計算和應對風險的預案,以及一旦災害發生后應如何盡快恢復正常生產,是一個短期的、在非常時期的應急計劃。三是安全結構和模式,包括計算機和網絡的原理、結構、安全模式及其安全行為的準則。四是應用和系統開發,主要包括在數據庫、分布式環境、操作系統中的安全組件和軟件開發周期和控制。五是通信和網絡安全,包括內聯網及因特網上公開和隱秘的通信、網絡結構、網絡協議、遠距訪問和管理。六是訪問控制領域,包括合法用戶的身份識別,允許獲取什么樣的網絡資源,能執行什么樣的操作,以及辨識、鑒別、授權、監視和審計活動。七是安全管理實踐,主要包括如何正確保護人民銀行資產,如何制定正確、有效的安全政策、標準、指導大綱和實施步驟。八是操作安全,盡管人民銀行制定了許多政策、規章制度,應用了許多先進技術,但是在實際操作、運行中,總會發生許多偏差,或是人員不遵章守紀,或是設備偏離預設參數,因此,有必要對人、硬件、系統的實際運行進行控制,強制遵守標準和規范,而“操作安全”則是對“安全管理實踐”的具體落實。九是法規和道德規范,主要包括規章操作、計算機犯罪和適用的法律、條例,以及對違規操作、玩忽職守、計算機犯罪的調查、取證、犯罪證據保管等。

二、人民銀行信息安全策略

安全策略是指在一個特定的環境中,為保證信息系統達到一定級別的安全保護而制定的規劃、規則和所采取的措施。制定安全策略的目的是保證信息安全保護工作的整體、計劃性及規范性,保證各項措施和管理手段的正確實施,使信息系統數據的機密性、完整性及可使用性受到全面、可靠的保護。信息安全的成敗取決于技術和管理這2個因素。安全技術是信息安全的構筑材料,安全管理是真正的粘合劑和催化劑。實現安全策略,不但要依靠先進的技術,而且要靠嚴格的安全管理、規章制度的約束和安全教育。

(一)先進的安全技術是實現網絡信息安全的根本保障

人民銀行應對各種信息安全威脅進行風險評估,決定選擇何種安全產品和服務,確定相應的安全機制,之后集成先進的安全技術,形成一個全方位的安全體系。

(二)嚴格的安全管理是保障網絡信息安全的有效手段

大多數安全事件的發生和安全隱患的存在,與其說是技術上的原因,不如說是管理不善造成的,理解并重視管理對于真正實現信息安全目標來說尤其重要。信息安全管理作為組織完整的管理體系中一個重要環節,它構成信息安全能動性的部分,是指導和控制組織關于信息安全風險的相互協調的活動,其針對對象就是組織的信息資產。人民銀行應加強內部管理、用戶管理和授權管理,建立安全審計和跟蹤體系,不斷提高整體安全意識。

(三)完善的法規制度是保證人民銀行網絡信息

安全的重要武器對于規章操作、計算機犯罪、黑客攻擊、計算機病毒、計算機經濟間諜和計算機欺詐等不良行為要制定相應的法規制度;對信息資源安全管理要有相應的制度規范;對計算機知識產權保護和隱私保護,也應有相應的法規約束。只有不斷增強廣大職工和系統操作人員的安全意識和法制觀念,才能保證網絡信息安全落到實處。

(四)重視安全管理建設

人民銀行各級機構應成立計算機信息安全組織機構,建立切實可行的規章制度;人民銀行各級機構領導要高度重視,牢固樹立群防群治意識,以保證信息安全。

三、人民銀行信息安全解決方案

第一,應確立人民銀行網絡系統安全的建設目標和策略;第二,應根據實際需要選擇切實可行的技術方案,以“整體優化”的原則構架多層次、全方位的安全防御體系;第三,認真實施方案,加強系統管理,制定培訓計劃和提出網絡安全管理措施??傊暾陌踩鉀Q方案應該覆蓋網絡的各個層面,并與日常管理相結合。確定人民銀行網絡及應用系統安全解決方案則需從系統不同層次著手。

(一)物理層安全防護

主要通過制定物理層面的管理規范和措施加以實施,如人民銀行機房環境管理規定,設備運行管理規定等。

(二)鏈路層安全防護

主要通過鏈路加密設備對所有用戶數據統一加密保護,用戶數據經由通信線路送到另一節點解密,如建立人民銀行保密專用網絡,配置專用加解密通信軟件。

(三)網絡層安全防護

主要采用防火墻技術作為安全防護手段,實施初級的安全防護。同時,可根據一些協議實施加密保護,還可結合入侵檢測進行系統集成,以構建人民銀行主動式防火墻綜合防護體系。

(四)傳輸層安全防護

傳輸層處于通信子網與資源子網之間,起著承上啟下的作用。傳輸層可支持各種安全服務,即訪問控制服務、數據加密服務、數據完整性服務、數據源認證服務等。

(五)應用層安全防護

原則上,所有的安全服務都要在應用層提供。在應用層可以實施基于用戶的身份認證,它也是實施數據加密、訪問控制的理想位置。在應用層還可采取加強數據備份和信息恢復措施,同時對資源(各種數據和服務)的有效性進行控制。由于應用層的安裝防護面向用戶和應用程序,因此可實施精細的安全控制。

四、結語

人民銀行網絡信息安全問題是一個系統工程,涉及技術管理和立法等方方面面,同時,它又是一個不斷發展的動態過程。因此,我們一定要以“信息安全就是國家安全”的意識,用系統集成的“整體優化”觀念,構架多層次、全方位的安全防御體系。只有這樣,才能為人民銀行業務及金融事業的發展保駕護航,進而為國家社會經濟快速發展提供有力保障。

本文作者:陳永義工作單位:中國人民銀行淮北市中心支行