導語:在網(wǎng)絡(luò)安全總體規(guī)劃的撰寫旅程中�����,學習并吸收他人佳作的精髓是一條寶貴的路徑���,好期刊匯集了九篇優(yōu)秀范文���,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能�����。
第1篇
關(guān)鍵詞:稅務(wù)���;政務(wù)信息系統(tǒng)���;安全體系
引言
所謂稅務(wù)電子政務(wù)是指稅務(wù)部門運用現(xiàn)代電腦和網(wǎng)絡(luò)技術(shù)���,將其承擔的稅務(wù)管理和服務(wù)職能轉(zhuǎn)移到網(wǎng)絡(luò)上進行�����,同時實現(xiàn)稅務(wù)部門組織結(jié)構(gòu)和工作流程的重組優(yōu)化�����,超越時間、空間和部門分隔的制約�,向社會和納稅人提供高效優(yōu)質(zhì)�、規(guī)范透明和全方位的管理與服務(wù)�。稅務(wù)電子政務(wù)的實施使得稅務(wù)部門事務(wù)變得公開、高效�、透明、廉潔和信息共享���,與此同時,也使得政務(wù)信息系統(tǒng)安全問題更加突出和嚴重���,影響稅務(wù)電子政務(wù)信息系統(tǒng)功能的發(fā)揮�,甚至對稅務(wù)部門和納稅人產(chǎn)生危害���,嚴重的還將對國家信息安全乃至國家安全產(chǎn)生威脅。因此�����,建設(shè)稅務(wù)電子政務(wù)信息系統(tǒng)安全的保障體系是發(fā)展稅務(wù)電子政務(wù)的關(guān)鍵所在�����,具有極其重要的意義。
1稅務(wù)電子政務(wù)系統(tǒng)安全體系概述
稅務(wù)電子政務(wù)系統(tǒng)安全體系方面的研究始終是學術(shù)界研究重點和稅務(wù)部門�����、企業(yè)界廣泛關(guān)注的焦點之一�,已經(jīng)出現(xiàn)了較多的研究成果和實踐案例�����,比如將稅務(wù)電子政務(wù)安全相關(guān)標準分成信息安全總體標準�、密碼算法���、密碼管理標準、防信息泄漏標準、信息安全產(chǎn)品標準���、系統(tǒng)與網(wǎng)路安全標準、信息安全評估標準�����、信息安全管理標準8個類別;將稅務(wù)電子政務(wù)安全體系劃分為“網(wǎng)絡(luò)安全政策法規(guī)���、網(wǎng)絡(luò)安全組織管理、網(wǎng)絡(luò)安全標準規(guī)范���、網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)�����、網(wǎng)絡(luò)安全技術(shù)產(chǎn)品和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施”六個組成部分;將稅務(wù)電子政務(wù)安全保障體系劃分為安全法規(guī)�����、安全管理、安全標準���、安全服務(wù)�����、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施6大要素�;部分廠商則或者從網(wǎng)絡(luò)�、傳輸�����、存儲安全以及可靠性、隱秘性�、易維護性等角度構(gòu)建安全體系,或者從物理�、網(wǎng)絡(luò)�、主機�、應(yīng)用角度設(shè)計;或者從物理隔離�、基礎(chǔ)平臺安全�����、應(yīng)用平臺安全和安全管理四個方面進行總體考慮。
2如何構(gòu)建完善的稅務(wù)電子政務(wù)系統(tǒng)安全體系
我們知道�����,稅務(wù)電子政務(wù)系統(tǒng)安全體系是整個稅務(wù)電子政務(wù)系統(tǒng)安全���、有效�����、高效運行的重要保證�,因此安全體系應(yīng)切合稅務(wù)電子政務(wù)系統(tǒng)實際需求�,在保證物理安全和網(wǎng)絡(luò)安全的基礎(chǔ)上,充分保證數(shù)據(jù)安全和應(yīng)用系統(tǒng)安全���,同時通過安全制度建設(shè)和安全教育培訓實現(xiàn)安全體系有效實施,以全面保證稅務(wù)電子政務(wù)應(yīng)用系統(tǒng)中各類信息的采集�����、處理、管理、傳輸?shù)劝踩M行,并滿足將來稅務(wù)電子政務(wù)系統(tǒng)安全方面的擴展需求�����。下面我們將在闡述稅務(wù)電子政務(wù)系統(tǒng)安全體系基本構(gòu)建原則的基礎(chǔ)上,從物理安全�、網(wǎng)絡(luò)安全�、數(shù)據(jù)安全�、應(yīng)用系統(tǒng)安全���、安全制度建設(shè)�、安全教育和培訓等方面對完善的稅務(wù)電子政務(wù)安全體系進行說明。
(1)構(gòu)建電子政務(wù)系統(tǒng)安全體系的基本原則
參照我國稅務(wù)電子政務(wù)建設(shè)指導意見并結(jié)合稅務(wù)電子政務(wù)安全體系方面的研究,我認為:構(gòu)建稅務(wù)電子政務(wù)系統(tǒng)安全體系應(yīng)當遵循以下原則:
Ÿ1)全面設(shè)計�、整體部署
2)統(tǒng)一標準,加強管理
Ÿ3)需求主導�����,重點突出
Ÿ4)靈活配置���、動態(tài)部署
5)制度建設(shè)�、安全培訓
(2)電子政務(wù)系統(tǒng)安全體系之物理安全
物理安全是整個稅務(wù)電子政務(wù)系統(tǒng)安全的前提���,用于保證計算機網(wǎng)絡(luò)設(shè)備�、設(shè)施以及其他媒體免遭地震、水災(zāi)�、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞�����。稅務(wù)電子政務(wù)系統(tǒng)安全體系中的物理安全可以分為環(huán)境安全�、設(shè)備安全和媒體安全,涉及到稅務(wù)電子政務(wù)系統(tǒng)應(yīng)用范圍內(nèi)的各方主體�。其中���,環(huán)境安全是對系統(tǒng)運行環(huán)境的安全保護,如區(qū)域保護和災(zāi)難保護等,具體可以參照國家標準GB50173-93���、GB2887-89���、GB9361-88等相關(guān)要求進行設(shè)計�����;設(shè)備安全則主要包括存儲���、傳輸或系統(tǒng)運行所用設(shè)備的防盜�����、防毀�����、防磁�����、防止線路截獲�、抗電磁干擾及電源保護等;媒體安全則包括存儲媒體本身的安全以及媒體中存儲數(shù)據(jù)安全。
(3)稅務(wù)電子政務(wù)系統(tǒng)安全體系之網(wǎng)絡(luò)安全
稅務(wù)電子政務(wù)系統(tǒng)安全體系之網(wǎng)絡(luò)安全主要分為傳輸網(wǎng)絡(luò)安全和業(yè)務(wù)網(wǎng)絡(luò)安全兩類�。對于稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的傳輸網(wǎng)絡(luò),網(wǎng)絡(luò)安全主要是保證參與稅務(wù)電子政務(wù)系統(tǒng)各方主體之間的數(shù)據(jù)傳輸網(wǎng)絡(luò)以及公共網(wǎng)絡(luò)服務(wù)的安全可靠運行�����,從目前稅務(wù)電子政務(wù)建設(shè)情況來看���,傳輸網(wǎng)絡(luò)安全目前需要由網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供商或服務(wù)商為其安全性提供充分保證�����。對于稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的業(yè)務(wù)網(wǎng)絡(luò)���,網(wǎng)絡(luò)安全主要包括控制撥號用戶接入、設(shè)置防火墻、防范病毒�����、控制與公網(wǎng)互連、防范黑客入侵以及就網(wǎng)絡(luò)安全進行嚴格監(jiān)控和規(guī)范管理等以保護業(yè)務(wù)網(wǎng)絡(luò)資源和電子政務(wù)應(yīng)用服務(wù)�����。
1)撥號用戶接入問題:
目前,我國稅務(wù)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)建設(shè)并不完善�����,還存在部分網(wǎng)絡(luò)環(huán)境較差的單位,在使用稅務(wù)電子政務(wù)系統(tǒng)的時候需要通過撥號方式利用公用電話交換網(wǎng)在網(wǎng)絡(luò)上傳輸數(shù)據(jù)�。以該種方式傳輸?shù)臄?shù)據(jù)可能在傳輸過程中被竊聽�����、被篡改,因此針對由于使用撥號方式傳輸數(shù)據(jù)所產(chǎn)生的安全隱患���,需要采用撥號用戶身份認證等加強對撥號用戶的安全驗證�����,對撥號用戶實現(xiàn)統(tǒng)一管理,采用加密手段對關(guān)鍵數(shù)據(jù)加密后進行傳輸,防止數(shù)據(jù)泄漏和被非法竊?����?����;嚴格限制撥號上網(wǎng)用戶能訪問的系統(tǒng)信息和系統(tǒng)資源,防止非法用戶撥號進入電子政務(wù)系統(tǒng)所在網(wǎng)絡(luò)���。
2)防火墻設(shè)置問題:
在稅務(wù)電子政務(wù)系統(tǒng)運行所在專網(wǎng)和外網(wǎng)之間�、不同安全域之間需要根據(jù)需要設(shè)置防火墻�����,依據(jù)安全政策對出入網(wǎng)絡(luò)的信息流進行控制���,有條件地允許、拒絕�、檢測或過濾。防火墻設(shè)置需要綜合考慮電子政務(wù)系統(tǒng)所要求的速度�、性能�����、管理�、便易性和性價比等各個方面���,進行周密設(shè)計和總體規(guī)劃�;另外應(yīng)注意加強安全管理,采取一些必要的措施保證較高的安全性���,比如防火墻要安裝在不同的介質(zhì)上�,盡量使用不同的服務(wù)器提供不同性質(zhì)的服務(wù),對于重要系統(tǒng)的出口應(yīng)重點配置防火墻�����,在實際配置和實施時應(yīng)該關(guān)閉不需要的服務(wù)���,要經(jīng)常檢查防火墻的日志,發(fā)現(xiàn)異常應(yīng)該及時處理�����,采取多層防御�、冗余防御等多種方法和措施���。
3)關(guān)于防病毒問題:
在稅務(wù)電子政務(wù)系統(tǒng)中�����,需要基于業(yè)務(wù)需求建立多層次病毒防衛(wèi)體系。無論是B/S還是C/S結(jié)構(gòu)���,均需要在稅務(wù)電子政務(wù)系統(tǒng)每一個安裝或運行點強調(diào)安裝反病毒軟件,在稅務(wù)電子政務(wù)系統(tǒng)中的業(yè)務(wù)處理終端和服務(wù)器端應(yīng)同時提供對應(yīng)的防病毒保護措施�����。防病毒工作是一個長期的工作�,應(yīng)及時進行防病毒軟件或系統(tǒng)的升級�、換代工作���。另外除了采用各種防病毒產(chǎn)品以外,還應(yīng)建立和實施完善的綜合安全性操作程序,該操作程序應(yīng)包括各種安全措施�,如定期數(shù)據(jù)備份�����、關(guān)鍵信息加密保護等�����。
4)控制與公網(wǎng)互連的問題:
在稅務(wù)電子政務(wù)系統(tǒng)中���,數(shù)據(jù)傳輸?shù)姆绞揭话惆堎|(zhì)傳輸���、介質(zhì)傳輸和網(wǎng)絡(luò)傳輸,因此對于公網(wǎng)傳輸?shù)那闆r應(yīng)加強安全方面的管理和控制�。稅務(wù)電子政務(wù)系統(tǒng)要求內(nèi)外網(wǎng)物理隔離�,一般可以采用雙穴主機及類似措施,在嚴格控制與公網(wǎng)互連的前提下���,妥善解決公網(wǎng)與專網(wǎng)之間的數(shù)據(jù)傳輸問題。
5)關(guān)于防止黑客問題:
隨著網(wǎng)絡(luò)規(guī)模的擴張和信息技術(shù)的飛速發(fā)展�����,黑客技術(shù)也不斷發(fā)展���,其攻擊的范圍和層次也不斷擴張���。稅務(wù)電子政務(wù)系統(tǒng)作為我國政府信息化的重要項目(比如金稅工程���、秦稅工程等)也有可能成為某些惡意黑客的攻擊對象�����。因此在設(shè)計和實施稅務(wù)電子政務(wù)系統(tǒng)安全體系時�����,應(yīng)加強采用入侵檢測技術(shù)防范黑客入侵和侵襲�,并在必要的時候采取證據(jù)記錄�����、跟蹤恢復、強制斷開等措施保證業(yè)務(wù)網(wǎng)絡(luò)的安全�����。
6)網(wǎng)絡(luò)安全管理和監(jiān)測:
網(wǎng)絡(luò)安全管理和監(jiān)測是稅務(wù)電子政務(wù)系統(tǒng)安全設(shè)施和安全機制有效發(fā)揮作用的重要保證,主要包括安全規(guī)范的制定和實施�、各類操作用戶的安全管理�����、安全體系的運營監(jiān)控、應(yīng)急處理和安全控制等���。
(4)稅務(wù)電子政務(wù)系統(tǒng)安全體系之數(shù)據(jù)安全
稅務(wù)電子政務(wù)系統(tǒng)一般將需要采集、整理���、處理���、傳輸���、統(tǒng)計�、分析等所對應(yīng)的數(shù)據(jù)進行安全分級,比如有些系統(tǒng)將數(shù)據(jù)分為一般數(shù)據(jù)���、重要數(shù)據(jù)和關(guān)鍵數(shù)據(jù)三級,有些系統(tǒng)將數(shù)據(jù)分為自主保護�、審計保護�����、標記保護、結(jié)構(gòu)化保護和驗證保護五級等�,然后對于不同級別的數(shù)據(jù)采用不同的安全措施。
根據(jù)數(shù)據(jù)的處理形式不同�,安全體系之數(shù)據(jù)安全可以分為數(shù)據(jù)傳輸安全���、數(shù)據(jù)存儲安全�、數(shù)據(jù)庫安全三個方面�����。
(5)稅務(wù)電子政務(wù)系統(tǒng)安全體系之應(yīng)用系統(tǒng)安全
稅務(wù)電子政務(wù)系統(tǒng)安全體系之應(yīng)用系統(tǒng)安全主要包括用戶身份認證、訪問控制�、安全審計及日志�、安全技術(shù)及應(yīng)用四個部分���。
1)用戶身份認證
這里的用戶是一個比較寬泛的概念,不僅包括使用稅務(wù)電子政務(wù)系統(tǒng)的政務(wù)工作者(人)���,還包括訪問或者使用稅務(wù)電子政務(wù)系統(tǒng)的其他系統(tǒng)或者主機、服務(wù)器等(系統(tǒng)���、計算機)。
用戶身份認證根據(jù)稅務(wù)電子政務(wù)系統(tǒng)是否部署認證中心CA可以劃分為如下兩種情形:當稅務(wù)電子政務(wù)系統(tǒng)中沒有部署認證中心CA時���,一般采用用戶名稱�����、密碼���、附加驗證碼的形式進行用戶身份認證���。只有稅務(wù)電子政務(wù)系統(tǒng)的數(shù)據(jù)庫中保存了該用戶的記錄�����,并且該用戶具有合法訪問當前稅務(wù)電子政務(wù)系統(tǒng)的權(quán)限,用戶才能夠登錄當前稅務(wù)電子政務(wù)系統(tǒng)�。如果稅務(wù)電子政務(wù)系統(tǒng)部署了認證中心CA,那么一般CA是在全系統(tǒng)部署并發(fā)揮作用的,每個稅務(wù)電子政務(wù)系統(tǒng)用戶首先向CA申請數(shù)字證書并以此作為用戶參與稅務(wù)電子政務(wù)系統(tǒng)的合法身份�。超級秘書網(wǎng)
用戶身份認證一般發(fā)生于用戶登錄稅務(wù)電子政務(wù)系統(tǒng)時或者不同稅務(wù)電子政務(wù)系統(tǒng)之間傳遞數(shù)據(jù)時的情況���。在用戶登錄稅務(wù)電子政務(wù)系統(tǒng)時�����,需要對登錄用戶持有的數(shù)字證書進行認證�����,以保證只有合法持有有效數(shù)字證書的用戶才能夠登錄稅務(wù)電子政務(wù)系統(tǒng),同時還需要進行安全審計和記錄系統(tǒng)安全日志�����。
2)訪問控制
在稅務(wù)電子政務(wù)系統(tǒng)中�����,需要指定各個應(yīng)用層次中的每一個用戶所能夠訪問的業(yè)務(wù)資源和系統(tǒng)資源���,也即訪問控制和權(quán)限分配策略。
這里的權(quán)限不但包括用戶能否訪問的業(yè)務(wù)范圍�����、業(yè)務(wù)數(shù)據(jù)�����、數(shù)據(jù)的訪問方式�、操作類型等���,還包括稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的系統(tǒng)資源,包括打印、郵件等�����。
3)安全技術(shù)及應(yīng)用
根據(jù)安全級別的劃分,可以采用包括數(shù)據(jù)加密與解密�、數(shù)據(jù)摘要及驗證�����、數(shù)字簽名及驗證�����、時間戳加蓋及驗證等在內(nèi)的安全技術(shù)保證系統(tǒng)的安全性���、完整性和不可否認性�����。
(6)稅務(wù)電子政務(wù)系統(tǒng)安全體系之安全制度建設(shè)
稅務(wù)電子政務(wù)系統(tǒng)安全體系要真正發(fā)揮作用���,還需要制定安全制度并嚴格實施�。一般的,安全制度包括人員安全管理�、系統(tǒng)文檔管理�����、環(huán)境安全管理、設(shè)備購置使用�、系統(tǒng)開發(fā)管理�����、運營安全管理、應(yīng)急情況處理等內(nèi)容���。
(7)稅務(wù)電子政務(wù)系統(tǒng)安全體系之安全教育和培訓
稅務(wù)電子政務(wù)系統(tǒng)中�,用戶安全意識及其掌握的安全知識是整個安全體系高效、有效運行和正常維護的重要因素之一,因此在電子政務(wù)系統(tǒng)的設(shè)計�����、研發(fā)�、實施、運維���、服務(wù)的過程中,應(yīng)建立完善的安全教育和培訓體系�,以定期或不定期對電子政務(wù)系統(tǒng)涉及的各類用戶進行安全相關(guān)的教育和培訓���。
綜上所述,建立全方位�����、多層次的���、完善的稅務(wù)電子政務(wù)系統(tǒng)安全體系,應(yīng)從物理安全���、網(wǎng)絡(luò)安全�����、數(shù)據(jù)安全���、應(yīng)用系統(tǒng)安全�����、安全制度建設(shè)���、安全教育培訓六個方面進行全面���、細致規(guī)劃和周密���、整體部署���。另外���,在構(gòu)建稅務(wù)電子政務(wù)系統(tǒng)安全體系的同時�,還需要注意切合稅務(wù)電子政務(wù)系統(tǒng)實際進行設(shè)計�,安全思路清晰、安全體系全面���、安全重點突出等相關(guān)問題。
參考文獻:
1曹凌�,耿鵬.電子政務(wù)管理模式探析.西安電子科技大學學報(社科版)�����,2001(9)
第2篇
隨著教育網(wǎng)基礎(chǔ)建設(shè)的逐步完成�,其構(gòu)成的信息化高速公路在學校教學�����、科研�、管理和對外交流等多方面扮演著越來越重要的角色。
楊浦區(qū)早在1996年就成立了區(qū)教育信息中心�����,并將其建成了連接各校園網(wǎng)的門戶站點�����,校際共享的教育教學的資料庫,教育行政部門管理的網(wǎng)絡(luò)中心�����。
全區(qū)中小學信息中心網(wǎng)絡(luò)實現(xiàn)24小時開通�����,建立了全區(qū)中小學電子郵件系統(tǒng)�,通知���、提示�、文件全部網(wǎng)上運行���,加快了信息的傳遞速度,提高了工作效率�。分批推進校園網(wǎng)建設(shè),實施“校校通”工程�,做到“線路通�����、資源通�����、應(yīng)用通”���。
但是,數(shù)字化技術(shù)的大量應(yīng)用���,也使惡意和非惡意性的侵害和攻擊行為發(fā)生的可能性大大提高���,如何保障信息系統(tǒng)安全���、優(yōu)良的運行,實行高效�����、及時的管理?同時維護也成為重點考慮的問題���。
楊浦區(qū)教育信息系統(tǒng)是教育行業(yè)內(nèi)發(fā)展快���、基礎(chǔ)架構(gòu)完善的網(wǎng)絡(luò)�,承載著整個區(qū)的網(wǎng)絡(luò)教育以及教職員的研究項目的任務(wù)。由于網(wǎng)絡(luò)系統(tǒng)比較出名�,容易招致黑客的惡意攻擊。
每當攻擊導致網(wǎng)絡(luò)出現(xiàn)故障時���,學生將無法完成自己的課堂作業(yè)���,教職人員無法進行自己的研究項目���,行政管理人員則無法完成日常的管理任務(wù)�����。攻擊也會給網(wǎng)絡(luò)小組造成極大的麻煩�,此外�,學校還必須投入數(shù)十萬元的資金用于恢復網(wǎng)絡(luò)。
如何尋求新的解決方案給網(wǎng)絡(luò)安全再上一道門�。那么�����,什么樣的門才能實現(xiàn)這個功能呢?防火墻的目標是用于網(wǎng)絡(luò)訪問控制�����,對于黑客使用緩沖區(qū)溢出等應(yīng)用或攻擊OS弱點無能為力���。
另外���,對于通過郵件傳播的蠕蟲病毒�,防火墻也無法阻擋�����。而且�����,黑客的攻擊都是利用防火墻允許通過的協(xié)議發(fā)起的針對主機漏洞的攻擊�。IDS只能是被動的報警���,有時候還有相當大的漏報和誤報現(xiàn)象發(fā)生�����。
最終�,IPS(入侵防護系統(tǒng))吸引了信息中心同事們的注意���。他們發(fā)現(xiàn),IPS不僅具有IDS的預(yù)警功能�,而且,還可以在報警的同時,截獲惡意的數(shù)據(jù)包�,實現(xiàn)主動防御�����。
通過對防火墻���、IDS以及IPS等安全工具的優(yōu)劣勢進行比較分析,楊浦區(qū)教育信息中心的技術(shù)人員都覺得IPS是最佳的選擇,于是���,他們決定引進IPS系統(tǒng)���。
通過多家公司的產(chǎn)品測試�,最后決定購買McAfee的設(shè)備�����。McAfee具有全面的安全產(chǎn)品,如防病毒�����、病毒網(wǎng)關(guān)、入侵防護以及安全風險管理�����。目前主要是解決網(wǎng)絡(luò)安全事情,特別是蠕蟲和非法攻擊�。經(jīng)過嚴格的測試和對比�����,最后決定選擇McAfee Intrushield 2600�����。
McAfee Intmshield 2600可同時以In-Line的方式防護四條鏈路,做到對網(wǎng)絡(luò)入侵攻擊的實時阻斷���。提供一對千兆端口和三對百兆快速以太網(wǎng)端口�,吞吐量高達600Mb/s�����,不僅滿足了楊浦區(qū)教育信息中心的現(xiàn)有網(wǎng)絡(luò)需求�����,并且為信息中心網(wǎng)絡(luò)今后的擴展提供了很大空間���。
同時,可以根據(jù)楊浦區(qū)教育城局域的需求�����,在McAfee Intrushield2600上針對VLAN和CIDR設(shè)定虛擬IPS,以做到更進一步的細致防護���,確保整個楊浦區(qū)教育城域網(wǎng)網(wǎng)絡(luò)的安全���。
在安全系統(tǒng)中�,將McAfee Intrushield 2600的一對檢測防護端口以In-Line的方式串接在核心交換機和鏈路負載均衡設(shè)備Radware LinkProof之間�,以做到實時的阻斷整個楊浦區(qū)教育城域網(wǎng)內(nèi)網(wǎng)對外網(wǎng)及外網(wǎng)對內(nèi)網(wǎng)的入侵攻擊。
一對檢測防護端口同樣以In-Line的方式串接在核心交換機和電信MPLSVPN接入之間�,以做到實時的阻斷內(nèi)部網(wǎng)絡(luò)中各學校對信息中心應(yīng)用服務(wù)器群的入侵攻擊,有效的保護信息中心的安全。
MsAfee IntruShield能夠通過先進的簽名檢測���、異常檢測以及DoS攻擊檢測來預(yù)防各種各樣的攻擊���,其先進的功能也使楊浦區(qū)教育信息中心的工作人員受益匪淺�。自從部署了McAfee IntruShield以后�,楊浦區(qū)教育城域網(wǎng)被攻擊的次數(shù)顯著降低了���。
加油IC卡:防毒也“加油”
文 斌
如今80%的病毒通過電子郵件進行傳播�,那么加油IC卡系統(tǒng)是如何對整個防病毒系統(tǒng)進行集中管理���,如何在網(wǎng)關(guān)處就將帶病毒的電子郵件掃除門外?
中國石化加油IC卡系統(tǒng)是中國石化集團公司與銀行合作開展的跨系統(tǒng)、跨地區(qū)的特大型IC卡應(yīng)用項目。
IC卡系統(tǒng)通過以現(xiàn)代支付工具IC卡取代傳統(tǒng)的現(xiàn)金���、油票等結(jié)算���,實現(xiàn)加油款的電子支付和交易數(shù)據(jù)的自動采集�,在各級石油公司和加油站建設(shè)零售業(yè)務(wù)管理信息系統(tǒng),以高科技的經(jīng)營管理和服務(wù)提高工作效率�、降低經(jīng)營成本�����,使企業(yè)在市場競爭中處于有利的地位�。
項目的建設(shè)不僅為開展油品電子商務(wù)業(yè)務(wù)奠定基礎(chǔ)���,也有利于逐步以加油卡這一現(xiàn)代金融工具替代傳統(tǒng)的現(xiàn)金�、油票結(jié)算,同時采用銀企合作方式建設(shè)通用加油卡系統(tǒng)���,也為國有商業(yè)銀行開辟了新的業(yè)務(wù)領(lǐng)域和新的服務(wù)市場�����。由于中國石化加油IC卡系統(tǒng)需要完成各種交易信息的傳送和處理�,因此�,確保系統(tǒng)的安全可靠至關(guān)重要���。
全方位保護系統(tǒng)
為了全面實現(xiàn)“中國石化加油Ic卡防病毒管理系統(tǒng)”的目標,最大限度地防范病毒危害�,在建立“中國石化加油IC卡防病毒管理系統(tǒng)”時�,針對網(wǎng)絡(luò)構(gòu)造和應(yīng)用環(huán)境的實際情況�����,采用McAfee Active Virus Defense(AVD)和McAfee安全網(wǎng)關(guān)解決方案�����。
建立全方位的�����、統(tǒng)一完整的加油IC卡防病毒系統(tǒng)�,從桌面客戶端、服務(wù)器�����、群件以及網(wǎng)關(guān)上進行全方位、多層次的整體防護�,并通過McAfee AVD的核心產(chǎn)品ePolicy Orchestrator(ePO)對整個防病毒系統(tǒng)進行集中管理,分級控制���,確保保護整個企業(yè)網(wǎng)絡(luò)遠離各種病毒攻擊。
針對桌面客戶端的防病毒產(chǎn)品VirusScan�����,VirusScan支持多種操作系統(tǒng)�����,從而能夠?qū)ψ顝V大的用戶群提供支持�����,同時集成了一些功能強大的輔助技術(shù)�����,可以自動地保護系統(tǒng)免于崩潰和數(shù)據(jù)的意外丟失�。
針對服務(wù)器的防病毒產(chǎn)品NetShield�����,NetShield支持Novell�、Win NT���、Win2000S和NetApp等多種操作系統(tǒng),能夠從一個直觀的控制臺保護整個企業(yè)的文件���、應(yīng)用程序和群件服務(wù)器���,方便地從本地服務(wù)器或工作站監(jiān)測���、配置和執(zhí)行遠程服務(wù)�����。
分別專門針對Lotus Domino和Microsoft Exchange群件環(huán)境的防病毒產(chǎn)品GroupShield for Domino和GroupShield for Exchange���。
傳統(tǒng)的反病毒產(chǎn)品并不能對專有數(shù)據(jù)庫內(nèi)部以及群件環(huán)境中使用的通信進行掃 描,但群件服務(wù)器級的病毒防護功能對于企業(yè)防止病毒的擴散是十分重要的���。應(yīng)用了McAfee高級掃描技術(shù)的GroupShield能夠有效防止病毒在信息傳遞過程中發(fā)作���,在病毒擴散到網(wǎng)絡(luò)其他部分時有效地將其查殺。
VirusScan防范多威脅
VirusScan Enterprise 8.Oi使得用戶和管理員能夠從容應(yīng)對最常見的潛在惡意軟件程序�����,包括蠕蟲���、間諜軟件以及廣告軟件���。
VirusScan Enterprise 8.Oi擴展了對新類型惡意代碼的檢測功能���,這就意味著它能夠為企業(yè)的敏感信息和資產(chǎn)提供更有效���、更強大的保護�。該產(chǎn)品在初始配置情況下能夠預(yù)防約200多種最具危險性的潛在惡意程序�,用戶還可以按照計劃在潛在惡意程序安全列表中添加新發(fā)現(xiàn)的惡意程序���。
網(wǎng)關(guān)攔截病毒
電子郵件已經(jīng)成為計算機病毒傳播的主要媒介,據(jù)統(tǒng)計���,80%的病毒通過電子郵件進行傳播�。
如果能夠在網(wǎng)關(guān)處就開始對電子郵件進行掃描,在病毒進入網(wǎng)絡(luò)之前就將其截住�����,從而將對關(guān)鍵業(yè)務(wù)系統(tǒng)可能造成的危害減到最低。
McAfee安全網(wǎng)關(guān)全面集成了軟硬件技術(shù)的防病毒硬件設(shè)備�。利用McAfee安全網(wǎng)關(guān),企業(yè)用戶能夠?qū)Τ鋈刖W(wǎng)絡(luò)的電子郵件、HTTP數(shù)據(jù)與FTP數(shù)據(jù)進行掃描以搜尋病毒信號���。一旦偵探到病毒信號�,能夠?qū)⑵淝宄⒆柚够蚋綦x該信息或數(shù)據(jù)�。
中國石化加油IC卡系統(tǒng)是中國石化集團公司的重要系統(tǒng)�����,整個系統(tǒng)的穩(wěn)定性直接影響著業(yè)務(wù)的發(fā)展�。自從利用McAfee構(gòu)建起全面防病毒系統(tǒng)后���,整個系統(tǒng)運行穩(wěn)定,實現(xiàn)了全方位的病毒防護���,確保了整個系統(tǒng)免遭病毒的攻擊和危害�,保障了業(yè)務(wù)的順利發(fā)展。
SOC建設(shè)劍指金融安全
劉 巖
安全管理已經(jīng)被業(yè)界所認可���,那么如何將這些管理上的制度和規(guī)范落實,將這些安全管理目標真正用技術(shù)手段加以控制?
正如ISO 17799國際標準所強調(diào)的���,“信息安全是管理的過程�����,而不能僅僅考慮技術(shù)因素���。”隨著信息技術(shù)的發(fā)展�����,金融領(lǐng)域的科技工作重點已經(jīng)由網(wǎng)絡(luò)建設(shè)、數(shù)據(jù)大集中�����、安全基礎(chǔ)設(shè)施建設(shè),發(fā)展到安全管理的階段�����。
那么如何才能更加體系化�、流程化���、平臺化的進行信息安全管理系統(tǒng)的建設(shè)呢?
從BS7799談起
由英國標準協(xié)會(BSI)在1999年首次提出的BS7799安全管理標準,2000年正式成為ISO/IEC 17799���,并于2005年發(fā)展為最新版本ISO/IEC 27001���。
該標準通過11個大類的安全目標和安全控制�����,構(gòu)建了信息安全管理系統(tǒng)的框架,為各機構(gòu)進行信息安全管理工作提供基礎(chǔ)的依據(jù)。
七分管理���,三分技術(shù),管理和技術(shù)在金融領(lǐng)域的安全工作中是密不可分的���,管理需要以強大的技術(shù)手段作為依托,技術(shù)的實施需要以管理目標作為依據(jù)�。
近年來�����,國內(nèi)的各大銀行均在加強安全策略和規(guī)范的建設(shè),如人民銀行早在2003年牽頭編制了《銀行和相關(guān)金融服務(wù)信息安全管理規(guī)范》,而交通銀行也正在制定信息安全總體規(guī)劃�����,并制定相應(yīng)的規(guī)范。
國外的同行業(yè)機構(gòu)已經(jīng)將7799的認證工作確實的落實到具體的安全技術(shù)體系之上�����,例如英國的SmileBank�,其網(wǎng)上銀行最早獲得了英國BSI的7799 ISMS認證,并以此認證工作為契機為網(wǎng)銀的客戶提供強有力的安全保障�����。
如何將安全管理上的目標真正用技術(shù)手段做到控制呢?SOC(Seevturity Op-eration Center)就是在這樣的大環(huán)境之下順理成章出現(xiàn)并不斷發(fā)展,它是從單一的技術(shù)手段向管理過渡的重要里程碑。
四個中心�,五個模塊
啟明星辰提出的SOC解決方案���,其體系架構(gòu)如圖1所示,由“四個中心���、五個功能模塊”組成:
“四個中心”是漏洞評估中心�����、事件流量監(jiān)控中心、綜合分析決策支持與預(yù)警中心和響應(yīng)管理中心�;
“五個功能模塊”是策略管理���、資產(chǎn)管理�����、用戶管理�����、安全知識管理和自身系統(tǒng)維護管理���。常用的關(guān)鍵系統(tǒng)功能:
脆弱性管理
通過脆弱性管理可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況,結(jié)合當前安全的安全動態(tài)和預(yù)警信息���,有助于各級安全管理機構(gòu)及時調(diào)整安全策略�,開展有針對性的安全工作,并且可以借助弱點評估中心的技術(shù)手段和安全考核機制可以有效督促各級安全管理機構(gòu)將安全工作落實。
綜合分析與預(yù)警
綜合分析與預(yù)警是安全運營中心的核心模塊���,依據(jù)資產(chǎn)管理和脆弱性管理中心進行綜合的事件協(xié)同關(guān)聯(lián)分析�����,并基于資產(chǎn)(CIA屬性+價值)進行風險評估分析���,按照風險優(yōu)先級針對各個業(yè)務(wù)區(qū)域和具體事件產(chǎn)生預(yù)警�,參照網(wǎng)絡(luò)安全運行知識管理平臺的信息,并依據(jù)安全策略管理平臺的策略驅(qū)動響應(yīng)管理中心進行響應(yīng)處理�����。
響應(yīng)管理
響應(yīng)管理是根據(jù)當前的網(wǎng)絡(luò)安全狀態(tài)���,及時調(diào)動有關(guān)資源做出響應(yīng),降低風險對網(wǎng)絡(luò)的負面影響�����。
網(wǎng)絡(luò)安全響應(yīng)模塊負責根據(jù)預(yù)定義好的安全策略規(guī)則,及時工作指令�����,調(diào)動有關(guān)資源做出響應(yīng)。實現(xiàn)人機接口�����,通過人工派單方式發(fā)送到相應(yīng)的工單處理部門。工單的通知方式包括圖形顯示���、SNMP Trap�����、郵件和短信�����。
安全策略管理
網(wǎng)絡(luò)安全的整體性要求需要有統(tǒng)一安全策略和基于工作流程的管理�。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略�����,指導各級安全管理機構(gòu)因地制宜的做好安全策略的部署工作,有利于在全網(wǎng)形成安全防范的合力�����,提高全網(wǎng)的整體安全防御能力�����。
同時通過策略和配置管理平臺的建設(shè)可以進一步完善整個IP網(wǎng)絡(luò)的安全策略體系建設(shè),為指導各項安全工作的開展提供行動指南�,有效解決目前因缺乏口令�����、認證、訪問控制等方面策略而帶來到安全風險問題�����。
安全知識管理
安全信息管理是安全信息的WEB系統(tǒng)�,不僅可以充分共享各種安全信息資源,而且也會成為各級網(wǎng)絡(luò)安全運行管理機構(gòu)和技術(shù)人員之間進行安全知識和經(jīng)驗交流的平臺���,有助于提高人員的安全技術(shù)水平和能力�����。
實現(xiàn)在安全管理中心WEB門戶提供統(tǒng)一界面以安全WEB的形式最新的安全信息���,并將處理的安全事件方法和方案收集起來�����,形成一個安全共享知識庫�����,該信息庫的數(shù)據(jù)以數(shù)據(jù)庫的形式存儲及管理,為培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)技術(shù)人員提供培訓資源�。
SOC架起安全橋梁
SOC是安全管理工作的重要工具之一���。機構(gòu)資產(chǎn)的梳理�、防火墻的配置、入侵檢測系統(tǒng)的事件分析�����、甚至整個信息系統(tǒng)的脆弱性和威脅分析�,這些都不能做到整體的安全管理。因為管理者不可能過多的關(guān)注某些細節(jié),安全管理需要對整體的安全現(xiàn)狀和態(tài)勢進行宏觀地把握���,并果斷 有效的傳達旨意���,采取措施���。所以SOC的首要價值是通過技術(shù)的實現(xiàn)手段加強對安全管理的關(guān)注。應(yīng)該關(guān)注的問題有:
銜接宏觀與微觀
金融機構(gòu)的安全建設(shè)提出了更多管理層面的問題�,需要對多種資源的整合管理更加重視。目前企業(yè)的安全運行管理普遍現(xiàn)象是,不同類安全產(chǎn)品分別有其自身的管理控制臺�����,網(wǎng)絡(luò)與主機設(shè)備由網(wǎng)管系統(tǒng)管理�����。特別對于金融行業(yè)而言,需要有效地整合各系統(tǒng)�����,對事件的數(shù)據(jù)格式�����、分級進行標準化���,從全局上對整個網(wǎng)絡(luò)安全事件進行分析���。
解決人員依賴性
企業(yè)需要解決人力嚴重不足的問題,降低對人員技術(shù)水平、經(jīng)驗以及責任心的依賴�,把人員所造成的安全風險降到最低??紤]到事件優(yōu)先級判斷與參與人員的技術(shù)水平和經(jīng)驗相關(guān)���,很難有客觀的分析和判斷�����,需要建立一套完整的事件采集�����、統(tǒng)計、判斷和處理機制�����。
關(guān)注業(yè)務(wù)風險
對于技術(shù)型的人員來說���,往往采用技術(shù)型語言來描述問題。這種情況下���,容易與領(lǐng)導和非技術(shù)部門人員產(chǎn)生溝通和交流的問題。因此需要將技術(shù)型問題上升到管理型的問題�,風險數(shù)字化,損失數(shù)據(jù)化���。
合規(guī)性
BS 7799作為系統(tǒng)的安全管理標準���,在國際金融界廣為使用�����。所謂7分管理���、3分技術(shù)�����。管理和技術(shù)一直很難整合起來�,管理不僅是制度���,還需要有一種系統(tǒng)來實現(xiàn)管理的目的�����。SOC將安全管理需求與安全技術(shù)解決方案的整合���,將管理和日常技術(shù)工作融合在一起�。
有效顯示
第一時間發(fā)現(xiàn)病毒或者入侵事件源頭和發(fā)展趨勢,通過圖形化顯示�����,直觀了解全網(wǎng)的情況。
SOC能夠把問題顯示出來�����,能夠量化�����。每天發(fā)現(xiàn)了多少次�,解決了多少次,從而了解到網(wǎng)絡(luò)安全的真實現(xiàn)狀。
通過監(jiān)控大屏幕的顯示可以將整個網(wǎng)絡(luò)管理的現(xiàn)狀和態(tài)勢展示出來�,機構(gòu)領(lǐng)導者可以直觀的在監(jiān)控中心了解宏觀安全,并指揮各地的安全工作的落實�����。
例如�����,交通管理指揮中心人員不需要親自前往各個擁堵的路段���,他們只需要通過各種手段采集交通信息作匯總和,統(tǒng)一的指揮調(diào)度�。安全管理工作也同樣需要這樣的機制進行全局的管控。
有效提煉���,實施預(yù)警
SOC系統(tǒng)可以從海量的安全事件報警中得出有價值的信息,及時采取報警措施���。
有效投資
安全風險是無限的�����,而安全投資是有限的�����。應(yīng)該利用有限的安全投資解決無限的安全風險(安全投資ROI=減少的安全損失/安全投入)�����。
與安全域劃分相結(jié)合
安全域的劃分和賦值是金融行業(yè)網(wǎng)絡(luò)安全建設(shè)的重要環(huán)節(jié)。啟明星辰的泰合SOC解決方案的另一大特點���,也是安全建設(shè)非常有價值的功能之一,是可以部署基于安全域的SOC平臺�����,從而實現(xiàn)多層次可定制的安全域管理�,基于域的細粒度風險計算和監(jiān)控能力�����,并且以安全域的思想進行風險管理。
安全域作為安全建設(shè)的核心,需要長期的管理���,SOC是安全域管理監(jiān)控的有效工具�。使用資源管理中的安全域管理的核心功能���,可以使安全建設(shè)從單純的信息安全工作向業(yè)務(wù)保障轉(zhuǎn)換�,同時將宏觀的信息安全建設(shè)向下落實。
中國的信息安全起步和發(fā)展都處于世界前列�,特別是在金融領(lǐng)域���,2000年以來信息安全的技術(shù)和管理層面都已經(jīng)作了大量的工作。但是行業(yè)科技人員和管理者還需要繼續(xù)腳踏實地的落實信息安全管理工作���,從而切實地為我們的金融客戶提供高可靠���、高質(zhì)量的服務(wù)�����,使金融機構(gòu)穩(wěn)步健康地發(fā)展���。
雙認證護航遠程安全
滿 欣
由于RSA SecurlD認證器上每隔60秒轉(zhuǎn)換一次6位數(shù)的無窮盡無重復口令多么高明的黑客都無法在如此短的時間內(nèi)猜測出如此復雜的口令。
中國大地財產(chǎn)保險股份有限公司(簡稱大地財險)由包括中國再保險(集團)公司在內(nèi)的10家境內(nèi)外投資人共同發(fā)起設(shè)立���,總部設(shè)在上海�����,目前全國有15家分公司�。
為了建設(shè)一個高起點和高標準的信息化系統(tǒng)�,大地財險與IBM公司合作�����,引進國際先進的保險理念和信息技術(shù)�����,初步建立起公司的信息技術(shù)基礎(chǔ)平臺�。
基于VPN的種種優(yōu)勢以及最大化保險人的工作效率�����,大地財險的許多業(yè)務(wù)資源訪問已經(jīng)開始通過VPN實現(xiàn)�,具備合法身份的工作人員可以利用VPN訪問公司的核心資源�����。
VPN是把雙刃劍?
大地財險的運營越來越依賴企業(yè)的核心力系統(tǒng)和數(shù)據(jù),在通過VPN提高工作效率的同時,也看到了潛在的安全風險�����。
畢竟�����,VPN所應(yīng)用的通信隧道,需要通過公共網(wǎng)絡(luò)并且必須向各種各樣的用戶打開自己的“網(wǎng)絡(luò)之門”�����。如果是正確的人存取了正確的信息���,就等于你找到了一種功能無與倫比的商務(wù)工具�����。但是�,當VPN的遠程存取權(quán)落入錯誤的掌握之下時,就無疑是一場大災(zāi)難。
如何為企業(yè)的VPN訪問建立一個更加安全的環(huán)境�,成為大地財險完善VPN服務(wù)的一個關(guān)鍵因素。
VPN網(wǎng)絡(luò)安全認證主要有以下幾種形式:密碼屬于一種最弱的安全形式���,密碼公認的優(yōu)點在于易于部署應(yīng)用并且費用非常低廉���。但是�����,密碼非常容易被猜中���、被竊取或者受到其他的破壞�。
雙因素認證必須提供兩種形式的認證內(nèi)容。這就象是一部銀行的自動取款機(ATM)�,用戶既需要知道身份(卡)號碼,還需要擁有認證設(shè)備(令牌或者智能卡)�。
隨著互聯(lián)網(wǎng)交易數(shù)量的增長,將數(shù)字證書作為一種認證形式變得更加廣泛。數(shù)字證書可以幫助識別用戶�,因為它要求使用具有唯一性的數(shù)字信用證明。
使用智能卡的安全等級最強���。這不僅在于使用智能卡得到了雙因素認證保護,而且還因為雙密鑰可以在智能卡上生成并儲存�����。
生物認證利用的是某個用戶所擁有的唯一生物特征�。利用這種技術(shù)需要掌握某些生物數(shù)據(jù)���,例如:指紋�����、視網(wǎng)膜掃描以及聲波紋等等。
最終�����,大地財險決定采用雙因素認證來保障其VPN網(wǎng)絡(luò)的安全登錄�。
虛擬專用網(wǎng)絡(luò)(VPN)正迅速成為遠程存取應(yīng)用中最普及的一種方法���。通過建立在復雜交織的公共網(wǎng)絡(luò)中的一個專用通信隧道�����,VPN可以使用戶充分利用互聯(lián)網(wǎng)的強大功能,不僅大大節(jié)省了用戶遠程存取應(yīng)用的費用���,而且還進一步提高了工作效率�。
但是���,作為個人專用并不一定意味著一個虛擬的個人網(wǎng)絡(luò)具備應(yīng)有的安全性,這是由于VPN經(jīng)常采用的保護手段僅限于一種門檻偏低的密碼屏障�����。
大地財險通過對業(yè)界知名安全廠商所提供解決方案的對比�����,最終采用了RSA SecurID和Web Express認證解決方案�。
同步令牌雙認證
目前�,大地財險僅僅為其符合資格的保險人配備了RSA SecurID令牌���。RSA SecurID時間同步令牌提供功能強大的雙因素認證�,這種技術(shù)要求用戶提供他們知道的口令和他們擁有的硬件令牌�。
這些令牌被設(shè)計成一種易于操作使用并且便于攜帶的小件產(chǎn)品,用來替代口令這種可以被輕松猜中或破解的安全性能偏弱的認證形式���。
雙因素用戶認證系統(tǒng)能夠代替基本的密碼安全機制�,有效抵御非法入侵,使寶貴的網(wǎng)絡(luò)資源獲得完善的保護�,免受意外造成的破壞及惡意入侵。
RSA SecurID雙因素用戶認證產(chǎn)品的操作�����,如同使用取款卡一樣簡單方便。用戶只需在進入受保護的網(wǎng)絡(luò)前�,先行輸入個人識別密碼,以及在RSA SecurlD認證器上每隔60秒轉(zhuǎn)換一次口令�,就能通過認證�����。
