敏感信息安全
开篇:润墨网以专业的文秘视角,为您筛选了八篇敏感信息安全范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
敏感信息安全范文第1篇
[关键词]智能油田;信息安全;综合审计;关联分析
doi:10.3969/j.issn.1673-0194.2020.22.028
[中图分类号]TP393.08;F239.4[文献标识码]A[文章编号]1673-0194(2020)22-00-02
1智能油田信息安全风险
在数字化转型发展背景下,智能油田建设与应用进程逐渐加快,网络与信息系统的基础性、全局性作用不断增强,而保证核心数据资产的安全对油田业务的高质量发展至关重要。当前国内外网络安全形势严峻,境内外恶意分子以及被政治、经济利益裹挟的黑客组织,对能源行业加剧进行网络渗透,攻击关键信息基础设施、窃取商业机密等敏感信息,对油田信息安全构成了极大的外部威胁。此外,内部员工违规访问不良网站内容,使智能系统面临着严重法律风险,加上员工有意识或无意识的网络泄密事件与系统运维人员违规操作事件频发,严重威胁了智能油田发展。目前,我国油田信息安全建设思路已经从防外为主,逐步转为以内外兼顾的策略,信息安全审计成为纵深安全防御延伸和安全体系建设的重要环节。为遵循国家网络强国战略、达到网络安全合规要求,有效避免黑客攻击、网络泄密、违规上网、数据窃取等安全风险,我国急需建立智能油田信息安全综合审计平台,实现信息内容实时检查、网络行为全面监测、安全事件追溯取证,为油田高质量发展保驾护航。
2信息安全综合审计关键技术
信息安全综合审计是企业内控管理、安全风险治理不可或缺的保障措施,主要指对网络运行过程中与安全有关的活动、数据、日志以及人员行为等关键要素进行识别、记录及分析,发现并评估安全风险。针对智能油田业务需求场景,重点解决3项技术难题:一是如何基于纵深防御理论通过大数据、云计算等技术,对油田不同防御层级的日志、流量等信息进行关联分析建模,有效预防黑客隐蔽型攻击;二是如何通过建立面向油田具体业务场景的敏感信息指纹库、安全策略库、行为特征库,构建覆盖敏感文件信息处理、存储、外发等关键环节的纵深防护与事件溯源取证机制;三是如何通过深度网络业务流量识别与数据建模分析技术,建立面向油田具体业务场景的员工上网行为监管审计机制,实現对员工违规网络行为的全面管控。
2.1多源异构网络日志信息统一标准化方法与关联分析模型
设计多源异构网络日志信息格式标准化方法,利用基于大数据处理的日志过滤与关联分析建模技术,整合网络泄密、违规上网、黑客攻击等网络风险事件日志信息,建立油田信息安全风险关联分析模型。
2.2信息安全审计敏感信息指纹库、行为特征库、审计策略库
结合油田具体业务需求场景,运用数据分类分级与指纹识别技术、深度业务流量识别与建模方法,建立满足国家合规要求及油田特有应用场景需求的敏感信息指纹库、网络行为特征库及安全审计策略库。
2.3数据防泄露与敏感信息内容检查机制
基于操作系统底层驱动过滤的数据通道防护技术、基于智能语义分析的敏感信息内容审计技术,实现对员工通过云盘、邮件、即时通信、移动介质等方式外发涉密信息的实时检测与控制,彻底解决员工有意识或无意识地违规存储、处理、外发涉密信息问题。
3智能油田信息安全综合审计平台建设及应用
信息安全综合审计平台是一个综合利用云计算、大数据、人工智能、数据指纹、异构数据采集等技术,实现网络行为监控、信息内容审计、数据库操作审计、网络异常流量监测预警的审计溯源系统,在满足网络合规性要求的同时,为信息安全管理与系统运维人员提供了网络安全监测、事件追溯取证的基本手段,提升了油田对敏感数据的监测预警和传输阻断能力,防止了敏感信息泄露,增强了对外部黑客隐蔽性网络攻击行为与内部运维人员违规业务操作的防御能力。其中,图1是智能油田信息安全综合审计平台总体架构。
基于信息安全综合审计关键技术研究与集成创新,相关单位研发建立了智能油田信息安全综合审计平台,以纵深防御理论为指导,通过网络层面的行为和流量审计、信息系统层面日志和数据库审计、终端层面的信息内容审计等,实现对网络风险事件的事前防范、事中告警、事后追溯,形成上网行为全面管控、网络保密实时防护、网络攻击深度发现的主动治理新模式。贯穿数据信息的产生、存储、传输、应用全生命周期的关键过程,自主建立油田敏感信息指纹库,构建基于涉密违规存储远程检查、终端违规外发自动阻断、网络敏感信息识别告警功能的数据安全纵深防护与事件追溯取证机制,为网络保密主动治理提供技术手段。通过设计跨平台、多协议网络信息采集接口机制与多源异构日志标准化数据模型,结合云计算与大数据处理技术,建立适应油田海量非结构化日志信息的存储云中心,且基于深度学习算法建立关联模型,通过日志信息纵向聚合与横向关联实现网络行为与信息内容全面审计。
为保障智能油田核心数据安全与网络系统运行安全,将平台成功应用于油田网络安全保障与网络攻防实战演练、网络保密治理与数据安全保护、员工上网行为管理与审计、IT基础设施运维操作审计等,有效提升智能油田精细化管理水平。通过平台网络安全审计功能,将网络层面防火墙、入侵检测、高级威胁检测、蜜罐入侵诱捕、Web应用防火墙、流量溯源分析、漏洞扫描等网络安全监测防护设备提供的黑客网络攻击行为日志信息,应用系统层面服务器操作系统、中间件、数据库等产生的系统日志信息以及终端计算机层面产生的病毒防护、主机漏洞、基线配置等日志信息进行集中统一标准化处理,通过提取关键要素信息进行关联建模分析,实现对黑客隐蔽性网络攻击行为的深度发现与事件追踪溯源,为油田网络安全日常防御保障提供监测分析技术手段,为油田网络攻防对抗实战演习统一决策指挥提供平台支撑。通过信息安全综合审计平台的信息内容审计功能,实现对内部员工通过电子邮件、即时通信、网络云盘、网站上传等方式外发敏感数据信息的实时监测,结合平台数据防泄露功能,实现对员工办公终端计算机违规存储、处理、外发敏感数据信息文件行为的实时告警提示与阻断控制,同时针对油田不同业务场景,制定开发科研、生产、经营、管理等不同业务敏感数据信息审计策略,实现对内部员工有意识或无意识网络泄密行为的事前告警提示、事中监测阻断、事后追溯取证,为网络保密治理提供有效的技术手段,保障智能油田核心数据安全。通过信息安全综合审计平台的上网行为审计功能,实现对油田内部员工上网行为的有效管理,对员工通过油田网络进行网站访问、网络应用等行为进行实时监测审计,防止员工因访问不良网站给企业带来的法律风险,同时避免因访问恶意网站给企业带来木马病毒等网络安全风险,满足网络安全管理合规要求。利用信息安全综合审计平台提供的运维操作行为审计功能,对运维管理人员的操作日志进行集中监测分析,整合利用日志数据价值,实现对网络设备、安全设备、服务器、数据库等信息基础设施运维操作活动的实时监控、记录及告警,有效规避运维操作过程中产生的网络安全风险。
敏感信息安全范文第2篇
一、总则
(一)编制目的
为提处置网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大程度地预防和减少网络与信息安全突发事件及其造成的损害,保障信息资产安全,特制定本预案。
(二)编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、公安部《计算机病毒防治管理办法》,制定本预案。
(三)分类分级
本预案所称网络与信息安全突发事件,是指本系统信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害,危及公共安全的紧急事件。
1、事件分类
根据网络与信息安全突发事件的性质、机理和发生过程,网络与信息安全突发事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
2、事件分级
根据网络与信息安全突发事件的可控性、严重程度和影响范围,县上分类情况。
(1)i级、ⅱ级。重要网络与信息系统发生全局大规模瘫痪,事态发展超出控制能力,需要县级各部门协调解决,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的信息安全突发事件。
(2)ⅲ级。某一部分的重要网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,属县内控制之内的信息安全突发事件。
(3)ⅳ级。重要网络与信息系统使用效率上受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的信息安全突发事件。
(四)适用范围
适用于本系统发生或可能导致发生网络与信息安全突发事件的应急处置工作。
(五)工作原则
1、居安思危,预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
2、提高素质,快速反应。加强网络与信息安全科学研究和技术开发,采用先进的监测、预测、预警、预防和应急处置技术及设施,充分发挥专业人员的作用,在网络与信息安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
3、以人为本,减少损害。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公共财产、信息资产遭受损失。
4、加强管理,分级负责。按照“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间协调与配合,形成合力,共同履行应急处置工作的管理职责。
5、定期演练,常备不懈。积极参与县上组织的演练,规范应急处置措施与操作流程,确保应急预案切实有效,实现网络与信息安全突发事件应急处置的科学化、程序化与规范化。
二、组织指挥机构与职责
(一)组织体系
成立网络安全工作领导小组,组长局党委书记、局长担任,副组长由局分管领导,成员包括:信息全体人员、各通信公司相关负责人。
(二)工作职责
1、研究制订我中心网络与信息安全应急处置工作的规划、计划和政策,协调推进我中心网络与信息安全应急机制和工作体系建设。
2、发生i级、ⅱ级、ⅲ级网络与信息安全突发事件后,决定启动本预案,组织应急处置工作。如网络与信息安全突发事件属于i级、ⅱ级的,向县有关部门通报并协调县有关部门配合处理。
3、研究提出网络与信息安全应急机制建设规划,检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
4、指导应对网络与信息安全突发事件的科学研究、预案演习、宣传培训,督促应急保障体系建设。
5、及时收集网络与信息安全突发事件相关信息,分析重要信息并提出处置建议。对可能演变为i级、ⅱ级、ⅲ级的网络与信息安全突发事件,应及时向相关领导提出启动本预案的建议。
6、负责提供技术咨询、技术支持,参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作,进行应急处置工作。
三、监测、预警和先期处置
(一)信息监测与报告
1、要进一步完善各重要信息系统网络与信息安全突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引发网络与信息安全突发事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时,在按规定向有关部门报告的同时,按紧急信息报送的规定及时向领导汇报。初次报告最迟不得超过4小时,较大、重大和特别重大的网络与信息安全突发事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2、重要信息系统管理人员应确立2个以上的即时联系方式,避免因信息网络突发事件发生后,必要的信息通报与指挥协调通信渠道中断。
3、及时上报相关网络不安全行为:
(1)恶意人士利用本系统网络从事违法犯罪活动的情况。
(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。
(3)网络恐怖活动的嫌疑情况和预警信息。
(4)网络安全状况、安全形势分析预测等信息。
(5)其他影响网络与信息安全的信息。
(二)预警处理与预警
1、对于可能发生或已经发生的网络与信息安全突发事件,系统管理员应立即采取措施控制事态,请求相关职能部门,协作开展风险评估工作,并在2小时内进行风险评估,判定事件等级并预警。必要时应启动相应的预案,同时向信息安全领导小组汇报。
2、领导小组接到汇报后应立即组织现场救援,查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。
(三)先期处置
1、当发生网络与信息安全突发事件时,及时请技术人员做好先期应急处置工作并立即采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大,同时向上级信息安全领导小组通报。
2、信息安全领导小组在接到网络与信息安全突发事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对有可能演变为ⅲ级网络与信息安全突发事件,技术人员处置工作提出建议方案,并作好启动本预案的各项准备工作。信息安全领导小组根据网络与信息安全突发事件发展态势,视情况决定现场指导、组织设备厂商或者系统开发商应急支援力量,做好应急处置工作。对有可能演变为ⅱ级或i级的网络与信息安全突发事件,要根据县有关部门的要求,上报县政府有关部门,赶赴现场指挥、组织应急支援力量,积极做好应急处置工作。
四、应急处置
(一)应急指挥
1、本预案启动后,领导小组要迅速建立与现场通讯联系。抓紧收集相关信息,掌握现场处置工作状态,分析事件发展趋势,研究提出处置方案,调集和配置应急处置所需要的人、财、物等资源,统一指挥网络与信息安全应急处置工作。
2、需要成立现场指挥部的,立即在现场开设指挥部,并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。
(二)应急支援
本预案启动后,领导小组可根据事态的发展和处置工作需要,及时申请增派专家小组和应急支援单位,调动必需的物资、设备,支援应急工作。参加现场处置工作的有关人员要在现场指挥部统一指挥下,协助开展处置行动。
(三)信息处理
现场信息收集、分析和上报。技术人员应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况及时报领导小组,不得隐瞒、缓报、谎报。符合紧急信息报送规定的,属于i级、ⅱ级信息安全事件的,同时报县委、县政府相关网络与信息安全部门。
(四)扩大应急
经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。要迅速召开信息安全工作领导小组会议,根据事态情况,研究采取有利于控制事态的非常措施,并向县政府有关部门请求支援。
(五)应急结束
网络与信息安全突发事件经应急处置后,得到有效控制,将各监测统计数据报信息安全工作领导小组,提出应急结束的建议,经领导批准后实施。
五、相关网络安全处置流程
(一)攻击、篡改类故障
指网站系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。现网站出现非法信息或页面被篡改,要第一时间请求相关职能部门取证并对其进行删除,恢复相关信息及页面,同时报告领导,必要时可请求对网站服务器进行关闭,待检测无故障后再开启服务。
(二)病毒木马类故障
指网站服务器感染病毒木马,存在安全隐患。
1)对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。
2)发现服务器感染病毒木马,要立即对其进行查杀,报告领导,根据具体情况,酌情上报。
3)由于病毒木马入侵服务器造成系统崩溃的,要第一时间报告领导,并联系相关单位进行数据恢复。
(三)突发性断网
指突然性的内部网络中某个网络段、节点或是整个网络业务中断。
1)查看网络中断现象,判定中断原因。若不能及时恢复,应当开通备用设备和线路。
2)若是设备物理故障,联系相关厂商进行处理。
(四)数据安全与恢复
1.发生业务数据损坏时,运维人员应及时报告领导,检查、备份系统当前数据。
2.强化数据备份,若备份数据损坏,则调用异地光盘备份数据。
3.数据损坏事件较严重无法保证正常工作的,经部门领导同意,及时通知各部门以手工方式开展工作。
4.中心应待数据系统恢复后,检查基础数据的完整性;重新备份数据,并写出故障分析报告。
(五)有害信息大范围传播
系统内发生对互联网电子公告服务、电子邮件、短信息等网上服务中大量出现危害国家安全、影响社会稳定的有害、敏感信息等情况进行分析研判,报经县委、县政府分管领导批准后启动预案;或根据上进部门要求对网上特定有害、敏感信息及时上报,由上级职能部门采取封堵控制措施,按照市上职能部门要求统一部署启动预案。
(六)恶意炒作社会热点、敏感问题
本系统互联网网站、电子公告服务中出现利用社会热点、敏感问题集中、连续、反复消息,制造舆论焦点,夸大、捏造、歪曲事实,煽动网民与政府对立、对党对社会主义制度不满情绪,形成网上热点问题恶意炒作事件时,启动预案。
(七)敏感时期和重要活动、会议期间本地互联网遭到网络攻击
敏感时期和重要活动、会议期间,本系统互联网遭受网络攻击时,启动预案。要加强值班备勤,提高警惕,密切注意本系统网上动态。收到信息后,及时报警,要迅速赶赴案(事)发网站,指导案(事)件单位采取应急处置措施,同时收集、固定网络攻击线索,请求县上技术力量,分析研判,提出技术解决方案,做好现场调查和处置工作记录,协助网站恢复正常运行并做好防范工作。
六、后期处置
(一)善后处置
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作,统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施。
(二)调查和评估
在应急处置工作结束后,信息安全工作领导小组应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训,写出调查评估报告。
七、应急保障
(一)通信与信息保障
领导小组各成员应保证电话24小时开机,以确保发生信息安全事故时能及时联系到位。
(二)应急装备保障
各重要信息系统在建设系统时应事先预留出一定的应急设备,做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在网络与信息安全突发事件发生时,由领导小组负责统一调用。
(三)应急队伍保障
按照一专多能的要求建立网络与信息安全应急保障队伍。选择若干经国家有关部门资质认可的,具有管理规范、服务能力较强的企业作为我县网络与信息安全的社会应急支援单位,提供技术支持与服务;必要时能够有效调动机关团体、企事业单位等的保障力量,进行技术支援。
(四)交通运输保障
应确定网络与信息安全突发事件应急交通工具,确保应急期间人员、物资、信息传递的需要,并根据应急处置工作需要,由领导小组统一调配。
(五)经费保障
网络与信息系统突发公共事件应急处置资金,应列入年度工作经费预算,切实予以保障。
八、工作要求
(一)高度重视。互联网信息安全突发事件应急处置工作事关国家安全、社会政治稳定和经济发展,要切实增强政治责任感和敏感性,建立应急处置的快速反应机制。
敏感信息安全范文第3篇
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
敏感信息安全范文第4篇
“华工安鼎公司是一家专注于信息安全的高新技术企业和软件企业,拥有数据安全、云安全、大数据分析方面多项专利技术”,谈及公司的发展,余鹏飞博士介绍说“可以分为三个阶段。第一个阶段,也就是成立之初,作为一家校办企业,主要从事信息安全体系和密码算法研究,承担了国家重大科技攻关项目,积累了大量国内领先的信息安全科技成果和研发经验。第二个阶段,利用积累的技术成果,成功孵化出系列围绕数据安全的软硬件产品,凭借技术的先进性和产品的安全性和可靠性获得了用户好评和市场的认可,跻身于信息安全行业前列。第三个阶段,也就是近两年,华工安鼎认识到云计算、大数据、移动互联网的应用深化,给企业的信息安全带来极为严峻的挑战,在企业核心数据需要保护的同时,更希望信息安全企业能够提供成体系的整体解决方案,并构建主动、智能的立体防御体系,因此华工安鼎依托技术积累和产品优势,迅速打造出业界领先的系列行业性综合解决方案”。
华工安鼎通过在信息安全行业十多年的持续投入与耕耘,信息安全技术、产品和管理方面积累了丰富经验,在国家政策要求和信息安全自主可控的呼声下,华工安鼎陆续推出数据库加密、电子文档安全管理、密级标识生成与管理、安全邮件、打印控制与审计、密标安全网关等多款核心产品并在数据安全、云安全、物联网方面持续创新,参与多项技术标准的制定。
2014年,代表华工安鼎核心技术的基于密级标识的数据防泄漏安全解决方案和产品在全国军工、政府、大型央企等的成功示范应用,为华工安鼎的发展提供了难得的历史机遇,也让公司在更广阔的领域有更多机会锤炼自己的产品。随着公司业务的发展,目前已在北京、上海、江苏、西安、江西等地建立分支机构。
余鹏飞博士指出,一方面随着国家政策导向和行业监管力度的不断加强,自主可控和安全合规的信息安全产品得到正确的引导和普及,特别是围绕核心数据的安全防护产品会有很好的市场前景。另一方面,随着云计算、大数据和移动互联网的规模性成熟应用,以及大家对敏感信息保护意识的提升,未来面向云计算、大数据等的信息安全服务会为人们的工作、生活带来更好的体验与保障。
华工安鼎基于敏感信息数据防泄漏提出的解决方案就是从一个全新的视角出发,结合华工安鼎具有自主知识产权的加密算法与云安全管理模型,以数据安全为核心打造全新的敏感信息数据防泄漏方案。
基于密级标识的数据防泄漏的方案是以电子文件为核心,对文件的生成、流转、归档、销毁的全生命周期进行安全管控,同时结合文档集中存储、文档外发管控、统一输出管理、边界安全控制、终端安全管理等特色功能,实现电子文件的分级分类分域的全方位智能防护。
余鹏飞博士表示,华工安鼎基于密级标识的系列产品覆盖主机安全、应用安全、数据安全、网络安全和综合审计等各方面,可以实现电子文档等数据信息的全生命周期的安全管理,做到终端不留密、流向可管可控、集中分类存储和打印外发权限管控,可以与企业特有业务模式和管理要求相结合,最终实现敏感信息“带不走、打不开、读不到”的控制目标及效果,适用于分级保护、等级保护和商业秘密保护等行业领域。
谈到方案的优势和特点,余鹏飞博士以一个电子文档的生命周期(起草-使用-流转-外发)为例,做了详细的介绍。
在文档起草、使用阶段,采用具有自主知识产权的处理技术将文件内容和敏感等级进行混淆,在文件生成的源头进行强制标密。用户在打开或保存文档时,系统自动采用默认的密级对文档进行标密。标密后的文档不会影响用户阅览习惯,不会改变任何工作流程及使用习惯,对用户而言可以说是完全透明的。
在存储、权限管理上,方案中对文档的管理采用“分级授权、集中存储”的设计理念。根据文件的重要程度,按照组织架构(部门、用户、项目组等)对文件进行密级标识及授权管理,只允许合法授权用户根据分配权限受控使用;非授权用户即使获取到数据也将无法查阅。授权用户只能按照规定好的权限进行使用,无法越权对文档进行属性修改、复制、另存等操作。所有的文档集中存储在服务器,支持按照个人文档库、公共文档库、文档库分类存储。
加强安全防护措施,华工安鼎的解决方案采用多种安全防护措施,实现电子文档的安全管理,保证文档的安全性、可用性和可控性。
(1)访问范围控制:仅同密级或高密级用户才可以访问密级文档,对单个的密级文档,可以通过修改访问范围,增添或删除访问用户,以控制各密级文档。
(2)操作权限控制:可以对单个文档的操作权限进行设置,包括是否允许下载、重命名、评论、删除、覆盖、打印等操作。合法用户打开加密文件后,系统将实时监控用户的截屏及录屏行为,当用户发起截屏请求时系统会自动拦截截屏请求,无法截屏。
(3)传输方向控制:将密级属性与文档相结合,当合法用户打开加密的文件时,系统将对文档的传输方向进行监控,根据文档密级自动阻断密级文档从高密级用户向低密级用户传输,避免高密低流的现象发生。
(4)打印控制与审计:系统可对用户的打印行为进行灵活的控制,即可控制用户是否允许或禁止打印加密文件,也可实现打印精细化管理,控制用户对指定文档的阅读、打印权限,如使用次数和时限,也可进行打印水印设置等。
在文档外发阶段,通过对数据进行加密及授权封装,保障数据在外部环境的存储及使用安全。
(1)文件加密保护:采用加密技术对外发数据进行加密保护,防止非法用户暴力破解泄密。
(2)安全身份校验:外发文件提供多种安全身份认证机制,包括:密码口令认证、机器绑定认证、USB-KEY认证等,在身份认证通过后才可正常、安全打开外发文件。
(3)文件使用权限控制:外发文件提供细粒度权限控制保护,包含文档使用权限如只读、打印、修改等控制;文档生命周期管理如:阅读次数、阅读时限及过期自动销毁等保护;文档协同权限如修改、还原以及文档内容保护、打印水印等控制。
(4)文件内容安全控制:为防止使用者恶意将文件内容扩散,系统对其内容进行高强度安全控制,如内禁止截屏、禁止另存为及打印控制等。
(5)外发文件易用性:外发文件在外部环境使用时,无需安装任何客户端及插件,用户双击外发文件完成身份认证后即可根据预设权限透明、安全使用。
这种从信息安全的源头就加以控制,结合内容安全防护、应用系统加固以及业务流程支撑等实现手段能起到很好的防护效果,企业敏感数据均被加密,即使被泄露也无法读取到任何有价值内容,从而保证了对恶意行为的防护,可满足各行业用户的安全及管理需求。华工安鼎提供的解决方案和服务能力得到了现有客户的充分肯定。
敏感信息安全范文第5篇
[关键词] 电子商务 信息安全 数据加密
一、前言
Internet的迅猛发展给传统的商务带来了新的机遇和挑战。随着互联网的快速发展,一种新的商务形式应运而生,即电子商务。与传统的商务相比,电子商务具有节约能源,消除时空差距和效率高等优点,但电子商务发展的却不是非常成功,其中最主要的问题就是信息安全,因此,从事电子商务的企业比传统的商务企业承担更大的风险,这种风险包括黑客攻击,病毒感染和信息安全受到威胁等。美国网络权威杂志《信息安全》的‘2001信息安全调查’一文中指出有66%的企业担忧信息安全问题并声称它是企业发展电子商务的最大障碍,75%的企业在过去的经营过程中已经经历了严重的IT安全问题。由此可见,在影响电子商务发展的众多因素中,信息安全则是影响电子商务发展的瓶颈。信息安全主要指盗听信息、篡改信息和伪造信息等,因此,可以说,今天乃至将来电子商务的发展在很大程度上取决于信息安全。为了增强电子商务的安全机制,主要采用防火墙技术、公开密钥加密技术、数据加密技术、数字签名、数字时间戳技术、身份认证和安全协议等。在保证像信息的机密性、真实性、完整性这些必要的信息安全中,公钥加密技术扮演着非常重要的角色。本文主要对电子商务环境下信息在传输过程中,基于数字加密算法的相关应用技术的详细探讨,并提出一个改进的电子商务环境下基于加密算法的安全数据传输流程。
二、加密技术
在线电子交易是实施电子商务的一个重要环节。这个环节把服务商、客户和银行三方通过互联网连接起来,并实现具体的业务操作。在这个在线交易过程中,客户的信用卡信息,服务商的信息都是需要保密的,我们称之为在Internet上传输的敏感数据。为了能够安全的传输敏感数据,目前国内外主要采用数据加密技术。常用的数据加密技术主要有对称密钥加密技术和公开密钥加密技术。
1.对称密钥加密技术
对称密钥加密技术,顾名思义既是对在Internet上传输的敏感数据采用相同的密钥进行加密和解密。如果密钥不完全相同,也可以很容易地通过算法从一个密钥计算出另一个密钥。即在对称密钥加密算法中,两个密钥和算法之间具有很大的相关性。目前国内外应用最广的对称密钥加密技术采用的是DES算法。这种加密技术的优点是算法简单,加密、解密速度快, 破译极其困难。缺点是无法在公开的网络上安全传输密钥和密钥的数目难于管理。采用对称密钥加密技术进行数据传输的安全性决定于密钥本身的安全性。鉴于对称加密存在的诸多问题,又出现了非对称加密技术。
2.公开密钥加密技术
公开密钥加密技术也称为非对称密钥加密技术,这种技术是对非对称密码算法的应用,其中最著名的是基于数论原理的RSA算法。在1976年Diffie和Hellman首先设想出公共密钥加密算法,在1977年Risvest、Shamir和Adleman 设计了RSA 加密算法。根据数论原理,此算法的安全性在于将一个大数分解成两个素数的困难性。在公开密钥加密系统中,每个用户有两个密钥,一个是公开密钥,简称公钥,它是用来给数据加密的,所以又称加密密钥。另一个是私有密钥,简称私钥,它是用来给加密后的数据解密的,所以又叫解密密钥。
(1)工作原理
公钥是公开的,私钥是秘密的。当敏感数据在Internet上传输时,首先用接收方的公开的公钥对其进行加密encrypt a message,形成密文,当密文到达目的地时,接收方再用其私有的密钥对密文进行解密the receiver can decipher with his private key。这样,在数据的传输过程中,被传输的是加密后的密文,而不是的敏感数据。即使在传输的过程中数据被窃取,但由于窃取的是密文,而窃取者有不知道私钥,所以不会造成数据的丢失,从而保证了敏感数据sensitive data在传输过程中的安全性。公开秘钥加密系统的工作流程如图1所示。
(2)算法的基本思想
①取两个大素数α和β,n=α*β,n称为RSA算法的模数。
②计算欧拉函数Φ(n)= (α-1)*(β-1)
③从[0,n-1]中取一个与Φ(n)互质的数e,e称为公开加密指数。
④由e*d=1 mod Φ(n),计算出d,d成为解密指数。
⑤公钥PK={e,n},私钥SK={d,n}
其中e,n是公开的,而d,α,β是保密的。
设X,Y分别为明文,密文,则
Y=Xe mod n
X=Yd mod n
RSA公开密钥加密体系的安全性在于当仅知道e,n的情况下是无法通过算法计算出d,除非分解大数n,但是大数n的分解却不是一件容易的事。所以,一般情况下,只要n足够大(当然这里所说的足够大是相对于计算机的计算能力而言的),我们是不会怀疑采用该算法的加密技术的安全性。因此,该加密技术的优点是安全性较高,缺点是RSA的算法复杂,加密、解密的速度相对较慢。
三、数字签名技术与数字信封
数字签名技术也是对非对称密码算法的应用,是非对称密码技术的逆运用。数字签名技术在电子商务中所起的作用相当于亲笔签名或印章在传统商务中所起的作用。即在电子商务发展过程中,采用数字签名技术能保证发送方对所发信息的不可抵赖性。在法律上,数字签名与传统签名同样具有有效性。
数据签名技术的工作原理:
1.把要传输的信息用杂凑函数(Hash Function)转换成一个固定长度的输出,这个输出称为信息摘要(Message Digest,简称MD)。杂凑函数是一个单向的不可逆的函数,它的作用是能对一个输入产生一个固定长度的输出。
2.发送者用自己的私钥(SK)对信息摘要进行加密运算,从而形成数字签名。
3.把数字签名和原始信息(明文)一同通过Internet发送给接收方。
4.接收方用发送方的公钥(PK)对数字签名进行解密,从而得到信息摘要。
5.接收方用相同的杂凑函数对接收到的原始信息进行变换,得到信息摘要,与⑷中得到的信息摘要进行比较,若相同,则表明在传输过程中传输信息没有被篡改。同时也能保证信息的不可抵赖性。若发送方否认发送过此信息,则接收方可将其收到的数字签名和原始信息传送至第三方,而第三方用发送方的公钥很容易证实发送方是否向接收方发送过此信息。
要保证数字签名的安全性,必须存在一个可信赖的数字时间戳机构。当产生一个新的数字签名时,应该到数字时间戳机构加盖一个时间戳,可以通过它来证明产生数字签名的有效时间。
然而,仅采用上述技术在Internet上传输敏感信息是不安全的,主要有两方面的原因。
1.没有考虑原始信息即明文本身的安全;
2.任何知道发送方公钥的人都可以获取敏感信息,而发送方的公钥是公开的。
解决1可以采用对称密钥加密技术或非对称密钥加密技术,同时考虑到整个加密过程的速度,一般采用对称密钥加密技术。而解决2需要介绍数字加密算法的又一应用即数字信封。
在采用上述信息传输过程中,把数字签名和明文用随即产生的对称密钥加密,再把对称密钥用接受方的公钥加密,即形成数字信封。这样,只有接受方的私钥才能打开此数据信封,获得对称密钥,从而得到明文。把数字信封和经过对称密钥加密过的数据合并到一起,称为密文。既可以安全的在Internet上传输的数据。
四、改进的安全信息传输流程
基于以上数据加密技术,完整的数据传输过程如图2所示。
现在,我们来分析一下图2,图中展示的是信息如何进行安全传输。但是,通过对图2的仔细研究,我们发现,图中有2点缺陷。第一,数字签名已经被发送方的密钥进行不对称加密了,因此没有必要用随机对称密钥对其进行对称加密,这样会延长整个加密过程的加密时间,并且发送方是惟一知道密钥的人,任何其他不知道发送方密钥的人都没办法伪造。第二,明文只被随即对称密钥进行对称加密一次,这显然不能完全确保通过互联网传输的信息的安全性。因此,我们再通过接受者的公钥对其进行二次加密,以保证信息的安全性。基于以上原因,本文提出了改进的数据加密流程,如图3所示,该流程可以减少整个加密过程的时间并且能提高信息在传输过程中的安全性。
五、结论
我国入世以后,面临着更加开放的发展环境。随着国家信息化建设的不断推进,对信息安全提出了更高的要求,在信息安全方面除了采取必要的保护措施和相关的法规、政策外,努力掌握核心技术则更为重要。
以上技术的结合是实现电子商务数据传输中安全保密的重要手段之一。上述改进的信息传输流程是一个主动的安全防御策略,可以防止信息被滥用,篡改,从而保证信息的安全传输。和其他电子商务安全技术相结合,可以一同构筑安全可靠的电子商务环境,使得网上通讯更加安全、可信。
参考文献:
[1]Sheng-Uei Guan,Yang Yang,SAFE.Secure agent roaming for puters & Industrial Engineering ,42(2002):481
[2]Ray Hunt.Technological infrastructure for PKI and digital puter Communications,24(2001):1460
[3]W.Diffie, M.E.Hellman,NEW directions in cryptography,IEEE Transactions on Information Theory 22(1976)644-654
[4]William J Caelli, Edward P Dawson, Scott A Rea.PKI, Elliptic curve cryptography, and digital signatures. Computers & Security.18(1999)50-51
敏感信息安全范文第6篇
关键词:信息完全;技术;体系
一、前言
随着金川集团公司跨国经营战略的实施,企业信息化进程不断深入,企业信息安全己经引起公司领导的的高度重视,但依然存在不少问题。调查结果表明,造成网络安全事件发生的原因有很多,一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标;二是应急反应体系没有经常化、制度化;三是企业信息安全的标准、制度建设滞后。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的80%,登录密码过于简单或未修改密码导致发生安全事件的占19%。近年来,虽然使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,但是,很多企业存在安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平还比较低。因此现代企业迫切需要建立信息资源安全管理体系。
二、企业信息资源安全管理体系构建
1、企业信息安全组织管理
企业信息安全组织体系定义为一个三层的组织,组织架构如图所示:
企业信息安全组织
l)总经理通过总经办负责企业信息、安全的决策事项。2)总经理任命一名信息安全主管负责企业信息安全的风险管理,该主管领导一个有各个部门主要负责人参加的信息安全管理小组维护企业信息安全管理体系、管理企业信息安全风险。3)总经理任命一名信息安全审计师,负责企业信息安全活动的审计。4)行政部门、业务部门和分支机构执行信息安全管理体系中的相应安全政策,并在信息安全管理主管的领导下,实施风险管理计划。各个部门负责人有义务向信息安全主管报告所管辖部门的信息安全状况,信息安全主管应定期在组织范围内和向上级机关报告企业信息安全状况。
2、企业信息安全政策管理
根据企业信息安全风险分析的结果和信息安全政策制定的原则,设计信息安全政策体系包括以下几点:(1)企业信息安全风险管理政策:a)信息安全风险定义,包括风险等级定义和安全类别定义;b)信息安全风险评估执行要求,包括时问周期要求、范围要求、基于事件的风险评估要求:c)信息安全风险评估责任,包括信息安全管理人员责任和业务部门责任。(2)企业信息安全体系管理政策:a)管理体系的规划,包括规划的时机、规划的内容、规划的依据、规划的责任人:b)管理体系的实施,包括、培训、执行奖惩。c)管理体系的验证,包括周期管理评审、安全审计、事件评审、残留风险评估。d)管理体系的改进,包括分析和变更控制。(3)病毒抵御安全政策:a)操作程序一运行网络管理人员日常工作的程序。这部分安全政策主要控制的风险是不规范的管理活动造成无效或低效的管理。b)关键资源监控一识别出关键设备并对关键设备的运行状态进行监控。这部分安全政策主要控制的风险是关键资源异常情况不能被及时发现和处理。c)软件系统维护一对软件系统及时地升级和打补丁。这部分安全政策主要控制的风险是软件系统未及时升级和/或打补丁而造成的信息故障或者安全事故。d)敏感资料存储一对在业务进行过程中产生的敏感信息的存放管理。这部分安全政策主要控制的风险是由于对敏感资料存储不当导致资料的丢失或泄漏。
3、企业信息安全事件管理
目前,没有任何一种具有代表性的信息安全策略或防护措施可对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护变得无效,从而导致信息安全事件发生,并对企业的业务运行直接或间接地产生负面影响。此外,以前未被认识到的威胁也将会不可避免地发生。企业如果对如何应对这些事件没有作好充分准备,其任何实际响应的效率都会大打折扣,甚至还可能增加潜在的业务负面影响。因此,企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必要过程包括:(1)发现和报告发生的信息安全事态,无论是由企业人员/顾客引起的还是自动发生的(如防火墙警报)。(2)收集有关信息安全事态的信息,由企业的运行支持组人员进行评估,确定该事态属于信息安全事件还是发生了误报。确认该事态是否属于信息安全事件,如果是,则立即作出响应,同时启动必要的法律取证分析、沟通活动。(3)进行评审以确定该信息安全事件是否处于控制下。(4)如果处于控制下,则启动任何所需要的进一步的后续响应,以确保所有相关信息准备完毕,供事件解决后评审所用。(5)如果不在控制下,则采取“危机求助”活动并召集相关人员,如企业中负责业务连续性的管理者和工作组。(6)在整个阶段按要求进行上报,以便进一步评估和决策。(7)确保所有相关人员,正确记录所有活动以备后面分析所用。(8)确保对电子证据进行收集和安全保存,同时确保电子证据的安全保存得到持续监视,以备法律起诉或内部处罚所需。(9)确保包括信息安全事件追踪和事件报告更新的变更控制制度得到维护,从而使得信息安全事态/事件数据库保持最新。
4、企业信息安全技术管理
我们所构建的信息安全管理体系中,不能忽视技术的作用,虽然只使用技术控制不能保证一个信息安全环境,但是在通常情况下,它是信息安全项目的基础部分。(1)密码服务技术。密码服务技术为密码的有效应用提供技术支持。通常密码服务系统由密码芯片、密码模块、密码机或软件,以及密码服务接口构成。通常,企业会涉及以下几个方面的密码应用:数字证书运算、密钥加密运算、数据传输、数据储存、数字签名、数字信封。(2)故障恢复技术。故障恢复的主要措施有:群集配置,由多台计算机组成群集结构,尽可能消除整个系统可能存在的单点故障;双机热备份,在任何一台设备失效的情况下,按照预先定义的规则快速切换至相应的备份设备,维持业务的正常运行;故障恢复管理,由专门的集群软件进行管理和监控,使应用系统在任何软硬件组成单元发生故障时,能够根据 故障情况重新分配任务。(3)恶意代码防范技术:恶意代码防范技术包括四大系统:病毒查杀系统、网关防毒系统、群件防毒系统、集中管理系统。(4)入侵检测技术。入侵检测系统是实现入侵检测功能的一系列的软件、硬件的组合。入侵检测系统以实时方式监测网络通信,对其进行分析并实时安全预警,从而使企业能够有效管理内部人员和资源,并对外部攻击进行早期预警和跟踪,有效保障系统安全。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较这些审计记录文件与攻击签名是否匹配,如果匹配立即报警采取行动.基于网络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络适配器来实时监视并分析通过网络进行传输的所有通信业务。(5)扫描与分析技术。端口扫描工具能识别网络上活动的计算机,同样也可以识别这些计算机上的活动端口和服务。可以扫描特定类型的计算机、协议和资源,也可进行普遍扫描。漏洞扫描可以扫描网络并得到非常详细的信息。可以识别暴露的用户名和组,显示开放的网络共享,并暴露配置问题和其他服务器漏洞。内容过滤器也能有效地保护机构系统,使其不受误用和无意的拒绝服务。
5、企业信息安全培训的必要性
公司目前很多岗位和部门的员工都从事涉密数据相关工作,有很多数据和信息涉及到公司的机密和知识产权,但是大多数员工信息安全意识差,在平时的工作中在意识上和实际工作中存在很多问题,导致涉密数据的外漏,给公司的生产经营造成不可挽回的损失。在有管理组织、政策制度和技术保障的情况下,通过对涉密数据相关工作人员的信息安全意识和信息安全操作培训是非常必要的。
三、结语
总之,企业信息安全管理体系是一个企业日常经营和持续发展的基本保证,也是企业战略和管理的重要环节。建立信息安全管理体系的目的就是降低信息风险对企业的危害。并将企业信息系统投资和商业利益最大化。信息安全不只是个技术问题,而更多的是商业、管理和法律问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其他手段。
参考文献:
敏感信息安全范文第7篇
关键词: 桌面终端;安全防护体系;安全要求
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2012)0220131-01
0 前言
随着互联网络和企业网络的发展,信息传播范围和获取手段发生着日新月异的变化。桌面终端在企业员工日常工作中已被广泛使用,成为基本工具。桌面终端需要频繁地访问与企业生产运行密切相关的各种各样的信息系统,大量敏感或信息存储在桌面或移动存储介质中。同时,来自于企业计算机网络外部或内部的攻击活动有增无减,变化无常,加之企业内部桌面非法接入的情况较为普遍,以及桌面安全的管理规章制度没有切实有效的管理手段。目前企业信息安全面临严峻的挑战,如何保证桌面终端的安全,从而保证企业整体信息安全,成为日益突出的问题。同时强有力和切实可行的桌面安全管理手段,也将成为企业信息安全得以保证的基础。
1 桌面终端的安全要求
随着企业信息化建设的迅速发展,终端计算机数量的逐步增加,企业正常、稳定的生产及运行越加依附于企业网络。桌面终端是企业网络的最基本组成部分,也是管理的最薄弱环节,涉及大量敏感或数据,管理较为为复杂,往往成为信息外泄的源头。
企业应根据自身的网络环境,结合基本情况,统一部署防病毒系统和补丁分发系统,并定期对病毒定义文件进行升级和播发安全补丁。同时为了确保终端用户合规接入网络,应建立以端点准入控制系统为基础的安全防护体系,并执行企业制定的安全策略,阻止不符合安全策略的终端用户接入企业网络。终端用户的桌面安全环境需要由完善的桌面管理系统提供保障,除了利用防病毒和补丁系统,来防范和控制木马、恶意软件及内网的攻击行为,还要对企业终端用户的桌面制定相应的安全机制,确保每个接入网络的终端用户都符合企业安全策略,规范终端桌面的安全行为,使桌面终端工作在一个安全的防护体系中,保证企业网络在一个安全、稳定、有较的环境中运行。
2 桌面终端安全防护体系建设
随着信息技术应用的不断深入,企业信息系统集中程度的不断提高,业务对信息系统依赖程度不断加大。现有的安全防护系统仍不能完全预防来自企业内部或外部网络的入侵和攻击,所以需要完善安全防护体系建设,统一建立以防病毒系统、补丁分发系统和端点准入控制系统为基础的桌面安全防护系统,才能使主要依靠信息化应用系统的安全性得到有效保证。
2.1 防病毒系统。防病毒系统体系由总部服务器获取最新病毒定义文件下推到各级单位,实现病毒定义文件的逐级升级。防病毒体系的统一部署,有效地防止了病毒和恶意软件的大面积爆发,为桌面终端安全提供了强有力的保障。
2.2 补丁分发系统。补丁分发系统采用总部服务器过滤最新系统安全补丁并下发到地区公司服务器,地区公司服务器自动下发到终端用户的总体架构方式。补丁管理系统可以帮助企业对网络内各种软件和应用系统进行维护和控制。克服安全漏洞并保持生产环境的稳定性。
2.3 端点准入系统。端点准入安全防护体系由总部服务器下发企业总体安全策略,地区公司接收总部策略后根据本地实际情况制定个性化策略,管理个人计算机。端点准入控制系统需要提供全面的端点保护功能,实现多层次的安全防护策略,有效应对病毒、木马、蠕虫等混合安全威胁,有效应对来自于互联网和内部网络的恶意扫描、恶意入侵等安全威胁。
2.4 桌面安全流量监控体系。通过桌面安全流量监控系统,将桌面安全事件和桌面安全技术支持团队有机联系在一起,建立“发现-定位-处理”循环往复的工作模式,以安全管理团队自上而下的监督、支持和协同作战,推动各级安全管理团队的工作,提升管理水平,保证信息安全在桌面端少出问题,从而增强我们整体的信息安全水平。
2.5 数据文件电子加密。网络中最有价值的是数据,而敏感或数据的安全性越来越重要。网络安全产品大部分都集中在这些数据的,并没有针对数据本身的安全保障提出有效的解决方案。所以建立电子文档加密系统,可以为员工提供方便易用的文件加密工具,切实增强信息安全水平和意识,有效防止敏感信息泄漏。这对提高整体的信息安全也是切实可行的。电子文档加密系统是为桌面用户提供文件加密工具。加密后的文件可有效防范丢失、失窃或在网络上传输时被非法常截获等情况下的信息外泄。
2.6 系统安全审计。建立系统安全审计应为安全部门或管理员提供及时有效的一组管理数据进行分析,以发现在何处发生了违反安全方案的事件。利用安全审计结果,可调整安全政策,堵住出现的漏洞,为此,系统安全审计应该具备以下功能:
1)记录关键事件:由安全相关部门统一定义违犯安全的事件,并决定将什么信息记入审计日志。
2)提供可集中处理审计日志的数据形式:以标准的、可使用的格式输出安全审计信息,使安全官员能够直接利用软件工具处理这些事件。
3)实时安全报警:扩展现有管理工作的能力并将它们与数据链路驱动程序和安全审计能力结合起来,当发生与安全有关的事件时,安全系统就报警通知相应的部门。
2.7 加强桌面安全管理。建立严格遵守规章制度,依据国家法律法规根据企业本身的实际情况制定相关规章制度,让终端用户遵守相关制度,可以有效的减少终端安全桌面的事故发生。培养终端用户良好的安全意识,安全意识低的必然结果就是导致信息安全实践水平较差,所以培养终端用户的安全意识可以防止利用终端入侵企业网络。加强桌面用户安全培训,经常组织安全培训可以提高终端用户的安全防护知识,提升终端桌面的防御能力。
3 结语
桌面终端是企业网络运行的基础,也是企业信息安全最脆弱的部位,目前企业的安全防护手段不能完全的对桌面终端做到有效的安全管理,所以应该根据需求建立相应的安全体系,不仅能增加桌面终端的安全防护能力,同时也减少企业网络面临的安全威胁,同时应提高终端用户的安全意识,加强安全管理。
参考文献:
敏感信息安全范文第8篇
信息技术的发展和应用速度总是超出我们的想象。如果说,云计算在几年前还是一个备受争议的概念,那在2011年,争论已无必要,因为这一年,云计算已经渐渐落地,它正广泛应用于电子商务、电子政务等各个领域,基于云计算的软件和信息服务也融入到了各行各业中。不过,在企业部署云计算进程中,安全问题仍然是最大的瓶颈。
云计算为信息安全产业带来新课题,如:风险管理与兼容性问题、身份认证与访问管理、敏感信息保护问题等。这些问题为用户带来了新的安全隐患。
目前,一个必须承认的现实是,当企业CIO们将敏感数据、处理器和其他信息融入“云”端,新的安全防护措施却仍然没有建立起来。云计算这一发展趋势让安全从业者不得不转变思路,安全产业也由此面临着新的机遇和挑战。一场围绕“云”端的安全战役已拉开序幕。
2011年,无论是从虚拟化起家的VMware,还是知名的老牌安全厂商赛门铁克、稳捷网络,抑或是像绿盟、启明星辰这样的本土安全企业,相关厂商无不在主动靠近“云”端,从各自角度切入到这场里程碑式的变革中来。帮助企业走好信息安全和合规的“云”之旅,让安全与合规跟上云计算的步伐,成为安全厂商们新的更高目标。