互聯網信息安全評估范文
時間:2023-10-09 17:31:05
導語:如何才能寫好一篇互聯網信息安全評估,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
第一條 為加強對具有輿論屬性或社會動員能力的互聯網信息服務和相關新技術新應用的安全管理,規范互聯網信息服務活動,維護國家安全、社會秩序和公共利益,根據《中華人民共和國網絡安全法》《互聯網信息服務管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》,制訂本規定。
第二條 本規定所稱具有輿論屬性或社會動員能力的互聯網信息服務,包括下列情形:
(一)開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網絡直播、信息分享、小程序等信息服務或者附設相應功能;
(二)開辦提供公眾輿論表達渠道或者具有發動社會公眾從事特定活動能力的其他互聯網信息服務。
第三條 互聯網信息服務提供者具有下列情形之一的,應當依照本規定自行開展安全評估,并對評估結果負責:
(一)具有輿論屬性或社會動員能力的信息服務上線,或者信息服務增設相關功能的;
(二)使用新技術新應用,使信息服務的功能屬性、技術實現方式、基礎資源配置等發生重大變更,導致輿論屬性或者社會動員能力發生重大變化的;
(三)用戶規模顯著增加,導致信息服務的輿論屬性或者社會動員能力發生重大變化的;
(四)發生違法有害信息傳播擴散,表明已有安全措施難以有效防控網絡安全風險的;
(五)地市級以上網信部門或者公安機關書面通知需要進行安全評估的其他情形。
第四條 互聯網信息服務提供者可以自行實施安全評估,也可以委托第三方安全評估機構實施。
第五條 互聯網信息服務提供者開展安全評估,應當對信息服務和新技術新應用的合法性,落實法律、行政法規、部門規章和標準規定的安全措施的有效性,防控安全風險的有效性等情況進行全面評估,并重點評估下列內容:
(一)確定與所提供服務相適應的安全管理負責人、信息審核人員或者建立安全管理機構的情況;
(二)用戶真實身份核驗以及注冊信息留存措施;
(三)對用戶的賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬件特征等日志信息,以及用戶信息記錄的留存措施;
(四)對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識,信息、轉發、評論和通訊群組等服務功能中違法有害信息的防范處置和有關記錄保存措施;
(五)個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術措施;
(六)建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關投訴和舉報的情況;
(七)建立為網信部門依法履行互聯網信息服務監督管理職責提供技術、數據支持和協助的工作機制的情況;
(八)建立為公安機關、國家安全機關依法維護國家安全和查處違法犯罪提供技術、數據支持和協助的工作機制的情況。
第六條 互聯網信息服務提供者在安全評估中發現存在安全隱患的,應當及時整改,直至消除相關安全隱患。
經過安全評估,符合法律、行政法規、部門規章和標準的,應當形成安全評估報告。安全評估報告應當包括下列內容:
(一)互聯網信息服務的功能、服務范圍、軟硬件設施、部署位置等基本情況和相關證照獲取情況;
(二)安全管理制度和技術措施落實情況及風險防控效果;
(三)安全評估結論;
(四)其他應當說明的相關情況。
第七條 互聯網信息服務提供者應當將安全評估報告通過全國互聯網安全管理服務平臺提交所在地地市級以上網信部門和公安機關。
具有本規定第三條第一項、第二項情形的,互聯網信息服務提供者應當在信息服務、新技術新應用上線或者功能增設前提交安全評估報告;具有本規定第三條第三、四、五項情形的,應當自相關情形發生之日起30個工作日內提交安全評估報告。
第八條 地市級以上網信部門和公安機關應當依據各自職責對安全評估報告進行書面審查。
發現安全評估報告內容、項目缺失,或者安全評估方法明顯不當的,應當責令互聯網信息服務提供者限期重新評估。
發現安全評估報告內容不清的,可以責令互聯網信息服務提供者補充說明。
第九條 網信部門和公安機關根據對安全評估報告的書面審查情況,認為有必要的,應當依據各自職責對互聯網信息服務提供者開展現場檢查。
網信部門和公安機關開展現場檢查原則上應當聯合實施,不得干擾互聯網信息服務提供者正常的業務活動。
第十條 對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的互聯網信息服務,省級以上網信部門和公安機關應當組織專家進行評審,必要時可以會同屬地相關部門開展現場檢查。
第十一條 網信部門和公安機關開展現場檢查,應當依照有關法律、行政法規、部門規章的規定進行。
第十二條 網信部門和公安機關應當建立監測管理制度,加強網絡安全風險管理,督促互聯網信息服務提供者依法履行網絡安全義務。
發現具有輿論屬性或社會動員能力的互聯網信息服務提供者未按本規定開展安全評估的,網信部門和公安機關應當通知其按本規定開展安全評估。
第十三條 網信部門和公安機關發現具有輿論屬性或社會動員能力的互聯網信息服務提供者拒不按照本規定開展安全評估的,應當通過全國互聯網安全管理服務平臺向公眾提示該互聯網信息服務存在安全風險,并依照各自職責對該互聯網信息服務實施監督檢查,發現存在違法行為的,應當依法處理。
第十四條 網信部門統籌協調具有輿論屬性或社會動員能力的互聯網信息服務安全評估工作,公安機關的安全評估工作情況定期通報網信部門。
第十五條 網信部門、公安機關及其工作人員對在履行職責中知悉的國家秘密、商業秘密和個人信息應當嚴格保密,不得泄露、出售或者非法向他人提供。
篇2
近年來,國信辦組織了幾項信息安全試點,遍及全國的近三十余家試點單位成為安全探索先行者。當通過一年多的努力,為中國信息安全前行之路成功點燃一簇簇“星火”的時候,
他們坦然面對記者說出了這背后的故事。
國稅總局在風險評估實踐中總結出的差距分析法
有句話是這么說的:道路是什么,道路是人在沒有路的地方用腳踩出來的。
人生的道路是這樣,信息安全之路也是這樣。當安全威脅成為信息化進程最大阻礙的時候,如何踩出一條網絡信息安全之路,就成為政府主管部門思考的問題。
2006年,為貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文件),形成與國際標準相銜接的中國特色的信息安全標準體系,以更好應對未來日益嚴峻的信息安全威脅,國務院信息化工作辦公室會同相關部門,組織了三項信息安全試點,包括:電子政務信息安全試點、信息安全風險評估試點、信息安全管理標準應用試點。總共有三十余家試點單位參加了相關試點工作。
因為涉及國家信息安全未來標準和技術道路的探索,所有的試點單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作?它們的先行又為我國信息安全事業踏出什么樣的實踐之路?近日,在國信辦召開的全國地方信息安全處長會議間歇,記者走近本次試點工作六個優秀試點單位代表,揭開了一直罩在這些試點單位頭上那層神秘的面紗,看到了他們的努力和汗水,以及試點工作探*索出來的寶貴經驗。政務馳入安全互聯網模式
試點方向:電子政務信息安全
訪談人物:河南省濟源市信息辦副主任焦依平
電子政務是國家信息化的重中之重,而信息安全又是電子政務順利完成的重中之重。
為貫徹落實中辦發27號文件精神,研究解決電子政務信息安全建設和管理中的一些共性問題,探索電子政務信息安全保障方法,國信辦會同國家保密局、國家密碼管理局、公安部十一局,從2005年10月開始,在廣東、河南、天津、重慶4個省市開展了電子政務信息安全試點。
這4個試點具體方向各有不同,其中河南濟源市探索的方向是如何基于互聯網開展電子政務建設、保障信息安全問題。“我們按照‘保安全,促應用’的思路,構建了基于互聯網的電子政務信息安全保障體系,探索出了一條低成本建設電子政務的新路子。”焦依平現在談起試點,依然抑制不住激動的心情。
焦依平介紹說,濟源市通信光纖現已覆蓋到村,政務部門全部接入了互聯網,但是統計下來,濟源市政務信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網,顯然投入和效益不能平衡,這也與電子政務建設的初衷相違背。為此,濟源市按照國信辦和河南省信息辦的要求,不拉專線,完全基于互聯網,開展電子政務建設。
濟源市試點系統建設內容包括以下幾項:一是基于互聯網建設連接全市所有黨政部門和鄉鎮的電子政務網絡;二是在互聯網上建設政務辦公、項目審批管理、12345便民熱線、新農村信息服務等4個應用系統;三是在進行網絡和應用系統建設的同時開展信息安全試點,建設基于互聯網電子政務信息安全支撐平臺。
那么,如何真正用技術實現政務網絡互聯網辦公的安全需求呢?焦依平介紹說,試點工程遵循信息安全系統工程思想,按照“適度安全,促進應用,綜合防范”的原則和等級保護的要求,采用集成創新的技術路線,綜合運用以密碼為核心的信息安全技術,合理配置信息安全保密設備和安全策略,建設一個技術先進、安全可靠的基于互聯網的電子政務信息安全支撐平臺,形成一體化的分級防護安全保障體系,為電子政務提供可靠、有效的安全保障。
從安全技術實現上,據焦依平介紹,濟源市試點工程的安全支撐平臺涉及網絡安全和應用安全兩部分,本次試點網絡安全系統共建設7個安全子系統:一是VPN系統,由VPN密碼機、VPN客戶端和VPN管理系統組成,共同完成域間安全互聯、移動安全接入、用戶接入控制與網絡邊界安全等功能,其中中心機房的VPN密碼機帶有防火墻功能;二是統一身份認證與授權管理系統,完成用戶統一身份認證、授權管理等功能;三是網絡防病毒系統,部署于安全服務區,完成網絡防病毒功能;四是網頁防篡改系統,部署于政府網站,提供網站立即恢復的手段和功能;五是入侵檢測系統,部署于中心交換機,對網絡入侵事件進行主動防御;六是網絡審計系統部署于中心交換機,對網絡事件進行記錄,方便事后追蹤;七是桌面安全防護系統,部署在用戶終端,提供網絡防護、病毒防護、存儲安全、郵件安全等一體化的終端安全保護。
對于目前試點效果,焦依平認為,從實際效果來說,一是低成本建設了安全的政務網絡,實際投入620萬元,比原計劃專網方式預算總投資節約48.3%;二是實現了安全政務辦公和可信政務服務,全市各部門已100%實現了安全互聯,網絡可達鄉鎮,試點村;三是實現了安全的移動辦公,打破了電子政務應用只能在本地訪問的局限。而從長遠來講,濟源市已經初步建成安全、開放、實用的全面基于互聯網的電子政務系統。
電子政務內外互通
試點方向:電子政務信息安全
訪談人物:廣東省信息中心副主任曾強
目前,妨礙電子政務系統互聯互通的主要原因就是由此帶來的信息安全問題。跟濟源市試點方向不同,廣東省的試點方向主要是通過等級保護,探索解決省、市、縣(區)電子政務系統的信息共享與互聯互通問題。曾強介紹說,面對國信辦試點布置的這個大命題,廣東省將試點命題細化成以下幾個方面:由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業務系統縱向互聯互通試點;由省政府辦公廳完成視頻會議系統省府門戶網站試點;由佛山市政府完成財稅庫銀互聯互通系統試點;由江門市政府完成開放互聯環境下的信息安全解決方案試點;由佛山市南海區政府完成大社保6個分系統橫向互聯互通試點。
關于如何解決在不同的電子政務系統之間,安全實現互聯互通以及資源共享問題,曾強介紹說,試點工作中,廣東省綜合運用等級保護和風險評估相結合的方法,確定了解決互聯互通問題的基本思路:一是明確系統的重要程度,確定系統安全等級,采取與系統安全等級相適應的安全保護措施;二是按照有條件互聯、共享可控制的原則,確定需要共享的系統和應用以及需要共享的數據,保證只共享那些確實需要共享的數據,以保護系統中原有信息的安全;三是在進行系統互聯的部門之間建立共同的安全管理機制,明確系統互聯后的安全管理責任、管理邊界、安全事件協同處理等機制;四是對系統互聯的安全風險進行評估,全面分析低安全等級的系統給高安全等級的系統帶來的安全風險;五是針對系統互聯的安全風險,確定關鍵的安全控制要素,如互聯邊界的訪問控制、系統互聯的安全傳輸等,并落實具體的安全措施,保障系統互聯、數據共享的安全。
在以上措施的執行下,廣東省取得了初步成功,形成了《廣東省電子政務系統定級規范》、《廣東省電子政務系統互聯互通安全規范》等地方指導性文件。
風險規避預先保障
試點方向:信息安全風險評估
訪談人物:國家稅務總局處長李建彬
上海市信息化委員會信息安全測評中心
總工程師應力
信息網絡,風險無處不在,防患于未然是上上之策。這也是風險評估安全保障的內涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務總局、國家電網公司、國家信息中心等地方和部門開展信息安全風險評估試點工作。
國家稅務總局在廣東地稅南海數據中心所進行的風險評估試點,最大的亮點就是具有創新精神的“差距分析法”。
李建彬在介紹廣東南海試點經驗時,將差距分析法用一句話概括,就是“通過找出安全目標與現實系統差距,從而得出風險分析報告”。在試點工作中,李建彬感觸最深的就是,要對系統生命周期的整個過程都持續不斷地引入風險評估,盡量避免“先運行,后評估”的亡羊補牢式工作流程,以降低信息系統整體的信息安全風險等級。此外,李建彬還提出在風險評估工作具體實施過程中必須重點考慮以下幾點:
首先是風險評估與等級保護有密切的關系。類別和級別都是信息系統的固有屬性,通過風險評估可以識別系統的類別和安全級別,從而落實“等級保護”這一國家政策。但是系統的安全級別不應該一刀切,可考慮將系統最高安全級別部分的安全等級作為系統的安全等級。其次是系統分析是系統安全評估的基礎工作。再次是行業性系統安全要求在風險評估中起決定作用,不同行業的系統有著不同的安全要求,必須為不同行業、不同類型的系統制定適應其特點的系統安全要求。最后,通過安全風險評估工作進一步完善系統安全總體設計。
上海市在很早的時候就開始對風險評估進行探索。2002年上海市就確立180家重點信息安全責任單位(2004年調整為163家),涉及重要政府部門、公共事業單位、基礎網絡和涉及國計民生的重要信息系統。2006年,上海市了《上海市公共信息系統安全測評管理辦法》,又于2007年1月出臺了《上海市市級機關信息系統建設與管理指南》。之后,上海市信息委又出臺了關于風險評估工作的實施意見,明確建立自評估與檢查評估制度的原則、工作安排。
上海市信息安全測評中心總工程師應力博士在介紹上海市的風險評估實踐經驗時,多次強調要引導各單位進行自評估建設,讓信息安全風險評估成為政府及企事業信息安全建設的常態,在系統的設計階段、驗收階段、運行階段,都需要進行風險評估工作,形成“預防為主,持續改進”的風險評估機制。應力認為,對信息安全主管機關來說,風險評估是一種管理措施,通過風險評估,領導者可以了解信息系統的安全現狀,從而為管理決策提供依據。
信息安全重在管理
試點方向:信息安全管理標準應用
訪談人物:北京市海淀區信息辦主任張澤根
深交所ISMS項目組張興東
有專家提出:“信息安全系統是三分技術,七分管理。”可見信息安全管理在整個信息安全保障體系中的重要性。
國信辦網絡與信息安全組與全國信息安全標準化技術委員會共同于2006年3月開始,在北京市、上海市、國家稅務總局、中國證監會和武漢鋼鐵(集團)公司選取了相關單位,對國際上通用的,也是已經列入國家標準制、修訂計劃的兩個信息安全管理標準,即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規則》,組織了應用試點。
北京市海淀區信息辦張澤根主任在具體介紹北京市海淀區信息安全管理體系實踐經驗時,感觸最深的就是在參考國際標準ISO/IEC27001和ISO/IEC17799的基礎上,結合海淀區原有ISO9001管理體系,取得了事半功倍的實際效果。通過ISMS的運行實踐,海淀區信息辦建立了信息安全管理體系,為進一步通過ISO/IEC27001認證做了很好的準備,同時還對ISMS與風險評估和等級保護的關系進行了有益的探索。ISMS為解決海淀區信息安全問題,提供了良好的方法和管理機制,并且為政府的信息化建設通過避免安全事故和合理分配經費兩種方式很好地節約了建設經費。
在ISMS項目試點實施前,深交所ISMS項目組就確定了項目實施不能流于形式的總體工作思路。深交所ISMS項目組張興東介紹經驗時,認為除了利用技術調查手段之外,還需要深入各個層面調研,充分了解深交所的信息安全現狀,利用多種方法相互補充、相互印證,以提高調查質量,為項目后期的實施打下良好的基礎。
篇3
工業和信息化部負責網絡強國建設相關工作,推動實施寬帶發展;負責互聯網行業管理;協調電信網、互聯網、專用通信網的建設;組織開展新技術新業務安全評估,加強信息通信業準入管理,擬訂相關政策并組織實施;指導電信和互聯網相關行業自律和相關行業組織發展。
負責電信網、互聯網網絡與信息安全技術平臺的建設和使用管理;負責信息通信領域網絡與信息安全保障體系建設;擬定電信網、互聯網及工業控制系統網絡與信息安全規劃、政策、標準并組織實施,加強電信網、互聯網及工業控制系統網絡安全審查;擬訂電信網、互聯網數據安全管理政策、規范、標準并組織實施;負責網絡安全防護、應急管理和處置。
工信局是2010年中國機構改革后改名為工業和信息化局,簡稱工信局,以前叫經濟貿易委員會,內設經濟運行科等機構。
根據新型工業化發展戰略和規劃,負責擬定近期和年度工業發展目標;監測、分析和評估工業運行態勢并相關信息,進行預測預警和信息引導;負責經濟運行調節,協調財政、金融、稅務、統計、電力、交通等相關部門與企業的關系等工作。
(來源:文章屋網 )
篇4
緊接著,全球最大的中文搜索引擎百度也遭遇攻擊,從而導致用戶不能正常訪問,眾多網站最近頻遭網絡攻擊的消息,不禁引起業界及廣大網民的深刻反思:“我們的互聯網真的安全嗎?”
據中國互聯網絡信息中心的調查報告,2009年我國網民規模達到3.84億人,普及率達28.9%,網民規模較2008年底增長8600萬人,年增長率為28.9%。中國互聯網呈現出前所未有的發展與繁榮。
然而,在高速發展的背后,我們不能忽視的是互聯網安全存在的極大漏洞,期盼互聯網增長的不僅有渴望信息的網民,也有心存不善的黑客,不僅有滾滾而來的財富,也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘:“重視互聯網安全刻不容緩!”
顯然,互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域,有力地促進了經濟社會的發展。但同時,網絡信息安全問題日益突出,如不及時采取積極有效的應對措施,必將影響我國信息化的深入持續發展,對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作,創建一個健康、和諧的網絡環境,需要我們深入研究,落實措施。
首先,要深刻認識網絡安全工作的重要性和緊迫性。黨的十七大指出,要大力推進信息化與工業化的融合。推進信息化與工業化融合發展,對網絡安全必須有新的要求。信息化發展越深入,經濟社會對網絡的應用性越強,保證網絡安全就顯得越重要,要求也更高。因此,政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性,始終堅持一手抓發展,一手抓管理。在加強互聯網發展,深入推動信息化進程的同時,采取有效措施做好網絡安全各項工作,著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。
第二,要進一步完善網絡應急處理協調機制。網絡安全是一項跨部門、跨行業的系統工程,涉及政府部門、企業應用部門、行業組織、科研院校等方方面面,各方面要秉承共建共享的理念,建立起運轉靈活、反應快速的協調機制,形成合力有效應對各類網絡安全問題。特別是,移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面,包含外部威脅和內部管控、第三方管理等多個方位的安全需求,因此應全面考慮不同層面、多個方位的立體防護策略。
第三,要著力加強網絡安全隊伍建設和技術研究。要牢固樹立人才第一觀念,為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢,積極支持網絡安全學科專業和培訓機構的建設,努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設,是有效提升網絡安全水平的基礎,要加強相關技術,特別是關鍵核心技術的攻關力度,積極研究制訂和推動出臺有關扶持政策,有效應對網絡安全面臨的各種挑戰。
第四,要進一步加強網絡安全國際交流與合作。在立足我國國情,按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上,不斷增強應急協調能力,進一步加強網絡安全領域的國際交流與合作,推動形成公平合理的國際互聯網治理新格局,共同營造和維護良好的網絡環境。
第五,要加強網絡和信息安全戰略與規劃的研究,針對網絡信息安全的薄弱環節,不斷完善有關規章制度。如在當前的市場準入中,要求運營商必須承諾信息安全保障措施和信息安全責任,并監督其自覺履行相關義務。還要充分發揮行業自律及社會監督作用,利用行業自律組織完善行業規范、制定行業章程、推廣安全技術、倡導網絡文明。
篇5
【關鍵詞】移動互聯網;信息;安全威脅;漏洞
移動互聯網是移動通信技術和互聯網技術相結合的一種產物,它的存在與應用為人們的生活提供了巨大的便利,但是隨著國內移動網絡規模和用戶規模的不斷擴大,其存在的信息安全風險日益凸顯。許多人對移動互聯網的應用安全問題并不了解,安全防范意識較為薄弱,因此,人們有必要了解移動互聯網的信息安全威脅和漏洞,做好相關防范措施,同時,相關部門要采取積極有效的應對措施,保障用戶信息安全,提高移動互聯網的應用安全性。
1我國當前移動互聯網信息安全威脅與漏洞分析
1.1網站安全漏洞
相關調查顯示,我國超過30%的網站存在安全漏洞,這些漏洞的表現方式主要是:用戶的登錄名稱和密碼會遭到泄露;用戶瀏覽的信息遭到泄露;用戶因瀏覽網站而受到攻擊的概率大大增加。而且,這類不安全的網站呈現出增長的態勢,需要引起相關部門的重視。
1.2破解加密算法或竊取口令
除了網站本身存在的安全漏洞之外,部分人也會通過破解網站接入設備口令來進行攻擊,用戶在上網過程中容易受到攻擊,這就要求網站運營商加強網站口令的嚴密性,提高網站抵抗入侵的能力,保護用戶免受攻擊。
1.3木馬病毒
木馬病毒是最為常見的一種移動互聯網安全漏洞,也是電子信息安全的主要威脅因素,其主要通過特定的程序來控制另一臺移動設備,竊取移動設備的資料信息,這種情況在現實生活中較為常見,許多用戶因此而遭受到財產損失。這些惡意程序主要入侵智能手機、平板電腦等移動設備,而且在入侵之后不容易被用戶發現,即使是一些防護軟件也對此束手無策,因此,應對木馬病毒是移動互聯網安全工作應當重視的問題。
1.4偽AP欺騙
接入點AP偽裝是目前威脅等級較高的一種黑客手段,這種安全威脅較為隱蔽,用戶很難發現,因此也難以清除,由于移動終端用戶的配置不當或者疏忽,就有可能會在未察覺時或者在貪圖免費Wi-Fi想法驅使下連接到偽裝接入點,因此受到攻擊,在現實生活中,許多用戶由于接入陌生的Wi-Fi,而使得自身的信息遭到泄露,這種問題較為突出,需要引起相關部門和用戶的關注。
1.5Wi-Fi無線網絡劫持
Wi-Fi無線網絡劫持主要是攻擊程序通過移動設備處理器上的安全漏洞來截獲相應的信息,用戶的信息和電話會因此受到竊聽和監視,這種攻擊手段較為隱蔽,用戶在使用Wi-Fi上網時很難發現,受攻擊的概率大大提高。而且,隨著社會的發展,這種免費的Wi-Fi會更多,用戶在接入和使用的過程中很難發現,需要相關部門加強這方面的管理,為用戶提供安全的免費Wi-Fi服務。
2防范移動互聯網信息安全威脅與漏洞的措施
2.1完善移動互聯網安全相關法規
目前,我國在移動互聯網安全保護方面制定了一些法律法規,但是,這些法律法規還不完善,對于一些細節性的問題沒有交代清楚。筆者認為,我國立法部門應當將追責機制加入到法律體系中,使其發揮出應有的作用,當發現有危害移動互聯網安全的行為時,要根據IP等信息確定嫌疑人,追究其刑事責任。同時,針對我國當前移動互聯網快速發展的局勢,相關單位要立足于自身的本職工作,加強移動互聯網安全保護立法力度,建立健全相應的保護機制,規范網絡安全保護技術,提高應對威脅和漏洞的能力,使得用戶能夠在保障體系之下享受互聯網服務。
2.2加強改進計算機算法
當前在計算機安全網絡評價方面主要應用的算法就是神經網絡算法,這種算法有較大的優勢,如非線性、自組織等,但是BP神經網絡算法在面對不穩定的網絡參數時會容易出現疏漏。因此,可以通過一些改進措施來完善。一般來說,BP神經網絡的算法步驟為預先設置好輸入的變量,然后設置好參數、輸入樣本數值、按照一定的公式來進行計算。改善時可通過附加動量法、自適應學習速率、結合擬牛頓法的算法、LM算法來實現。例如在計算時,會需要對權值進行修正,但是權值的修正可能會漏掉很小的值,這時就可以通過附加動量的方法來避免,也就是說在修正函數時可添加上一個動量項,這樣就可以完成最精確的修正。如果同時加上一個大的動量項的話,可以使得修正在一個合理的方向進行。而自適應學習率是對計算過程中學習率方面的修正。通過對學習率的修正,可以使得計算的誤差變小。
2.3移動互聯網接入的安全防護措施
目前,隨著網絡信息科技的發展,用戶入網的方式主要是Wi-Fi以及3G、4G網絡,這些入網方式的優點是速度更快,能夠滿足用戶多層次的需求,但是,這也增加了用戶遭受攻擊的風險,用戶在使用互聯網時,會認為網站是安全可靠的,因此,其防護等級就會比較低,而且在遭受到攻擊之后還不會察覺。所以,相關部門有必要加強移動互聯網的接入安全性,提高認證等級,例如可以使用雙向認證的方式,如果有一方沒有進行認證,則上網功能會受到影響,同時要進行訪問授權,未經授權的終端設備不能接入互聯網。移動互聯網與終端通訊需采用加密機制,在傳統的入侵檢測手段的基礎上,需要進一步強化對移動網絡建立特別入侵攻擊行為的檢測機制。總之,目前人們對移動互聯網有著非常大的依賴性,用戶在上網的過程中,需要一個健康、安全的環境,相關單位要加強這方面的研究,提高移動互聯網的安全性,加強認證,提高防護等級,為移動互聯網的健康快速發展提供保障,促進我國移動互聯網事業健康發展。
參考文獻
[1]姜勇,劉徳剛,淋.移動互聯網信息安全威脅與漏洞分析[J].信息化建設,2016(02):121-123.
[2]宋曉宇.一種基于AHP的信息安全威脅評估模型研究[J].計算機光盤軟件與應用,2014(10):78-79.
篇6
以十三五規劃落實為指引,全面部署落實全省信息化工作
召開一次全省信息化領導小組工作會議,回顧五年多來《浙江省信息化促進條例》貫徹實施情況,統籌研究全省信息化發展工作;
做好國家信息化頂層――《國家信息化發展戰略綱要》和《“十三五”國家信息化規劃》在浙江省的宣貫工作;
做好《浙江省信息化發展“十三五”規劃(“數字浙江2.0”發展規劃)》和《浙江省信息化和工業化深度融合國家示范區建設“十三五”規劃(2016-2020年)》的實施工作,指導督促各地、各部門落實規劃目標任務相關工作,推進全省信息化領域中重大工程、重大平臺和重大項目的實施;
開展信息化發展水平考核評價和全省區域兩化整合發展水平評估工作,繼續做好對全省各市、縣(市、區)信息化發展水平評價工作。進一步完善指標體系,優化工作流程,更加科學高效地開展區域兩化融合水平評估工作,以評估為抓手,形成地區間比學趕超發展氛圍。在此基礎上,年度信息化發展和全省區域兩化融合發展水平評估報告。
以制造業與互聯網融合為主線,深入推進信息化與工業化深度融合國家示范區建設
深化“兩化”深度融合國家示范試點區域建設。抓好26個“兩化”深度融合國家示范區、6個試點區、160家兩化融合綜合示范試點企業建設,進一步按照示范區建設實施方案的內容加緊實施機聯網、數字工廠、綠色制造等項目。加強對首批18個振興實體經濟(傳統產業改造)財政專項激勵的工業大縣兩化融合推進工作的指導,確定兩化融合的相關考核內容,推動示范區開展制造業與互聯網融合的相關示范試點工程。制定兩化深度融合國家示范區驗收管理辦法,并對首批8個兩化融合國家綜合示范區和4個專項示范區開展檢查驗收工作。組織開展示范試點典型案例總結宣傳推廣。
積極推動制造業互聯網“雙創”平臺建設。引導大型制造企業、互聯網企業、電信運營商開放技術、人才、渠道等資源,構建基于互聯網的制造業“雙創”新生態,支持內外部創業創新。在全省創建20個制造業互聯網“雙創”示范平臺,其中振興實體經濟(傳統產業改造)財政專項激勵的工業大縣至少創建1個“雙創”示范平臺。引導龍頭企業結合特色小鎮、高新園區、開發區,建設“雙創”空間,力爭創建1個國家級制造業互聯網“雙創”示范平臺。組織舉辦中國產業互聯網“雙創”大賽。
大力發展基于互聯網的制造業新模式。引導制造業企業建立網絡化制造資源協同平臺,開展協同制造;推動傳統生產模式向大規模個性定制轉變,發展C2M個性化定制和柔性生產模式;推進企業運用互聯網開展在線增值服務,鼓勵企業發展面向智能產品和裝備的產品全生命周期管理和服務。重點在服裝、家電、家具等消費品行業和汽車、機床、叉車、船舶、電梯等裝備制造行業培育100個個性化定制和一批協同制造、服務型制造等示范試點企業。鼓勵企業申報國家有關基于互聯網的制造新模式示范試點項目。
大力推進工業互聯網、工業云和工業大數據應用。推進全省2000家重點工業企業開展工業互聯網、工業云和工業大數據應用,發展智能制造。建成10個省級智能制造試點示范區,培育100家數字工廠(智能制造)示范企業。利用工業互聯網、工業云、RFID(射頻識別)與圖像識別等智能識別技術,實現工廠內人與機器、機器與物料、機器與機器之間的互聯和數據實時采集,運用大數據技術構建數據鏈,促進基于數據的生產、物流、倉儲等環節高效協同,提升柔性化生產能力、精細化管控能力和智能化決策能力。
實施中小企業上云計劃。聚焦中小企業云應用,依托產業集群和龍頭企業,建設一批專業或行業性云平臺,培育10萬家上云企業。鼓勵中小企業在研發、生產、管理、銷售、服務等環節使用云技術,開展個性化定制、網絡化協同制造、服務型制造和網上銷售等活動,實現客戶、供應商資源共享和產業鏈協同。發展工業電子商務,推進中小制造企業與電商企業、物流企業和金融企業的合作,基于電商云平臺整合線上線下資源,打造制造、營銷、物流和金融服務等高效協同的一體化新生態。組織召開云計算應用和產業推進大會,辦好云棲大會,開展企業上云專項培訓。
深入推進“機器換人”和智能裝備發展。堅持“分類指導、典型示范、資金扶持、機制保障”的原則,大力推進機器換人、機器聯網,推進30家機器換人行業試點,舉辦百場現場交流會,新增培育省級工程服務公司20家以上。落實“機器人+”行動計劃,編制重點行業機器人應用指導意見,完成新增工業機器人1萬臺目標任務。推進感知互聯的智能新產品新裝備的研發,大力發展智能傳感器、網絡終端、工業機器人、數控裝備、智能成套裝等高端裝備產業。
繼續實施企業信息化“登高”計劃。推動企業信息化從單向應用向綜合集成、協同創新階段登高,從內部縱向集成向企業之間橫向集成和產業價值鏈端到端集成延伸,提升全產業鏈的要素資源配置效率。全省2000家重點工業企業資源計劃普及率達到85%,制造執行系統普及率達到50%,機器聯網率達到35%,供應鏈管理普及率達到70%,產品全生命周期管理系統普及率達到60%,裝備數控化率達到50%,企業電子商務采購額和銷售額占總采購額和總銷售額的比例分別達到40%和55%以上,進入兩化融合集成創新階段的企業達到35%以上。
扎實推進兩化融合管理體系貫標工作。重點抓好工信部批復的118家企業管理體系貫標試點,積極爭取新增30家企業列入今年的工信部貫標試點。在振興實體經濟(傳統產業改造)財政專項激勵的工業大縣、兩化深度融合國家示范區,分別確定10家和5家貫標試點企業。貫標通過評定的企業數力爭突破60家。加快培育互聯網環境下的企業創新能力,依托兩化融合咨服務平臺,開展企業兩化融合自評估、自診斷、自對標,力爭在工信部的兩化融合發展地圖上有新突破。以兩化融合管理體系標準為指導,推動企業業務流程再造和組織方式變革,提升企業管理能力。
以應用需求為引向,大力發展軟件和信息技術服務業
提升兩化融合的服務支撐能力。以提升行業系統解決方案設計、集成和應用能力為重點,支持重點行業工業互聯網、信息物理系統(CPS)開發和應用試點。培育一批行業系統解決方案提供商,加快優秀解決方案的推廣普及;培育一批服務于重點行業智能工廠建設的工業信息工程公司,新創建10家云工程云服務和工業信息工程省級重點企業研究院。加強兩化融合產業鏈企業的合作,構建服務于兩化融合的產業生態。發展集聚工業信息工程公司的產業互聯網小鎮。配合工信部召開全國兩化融合系統解決方案現場會。
加快軟件和信息技術服務業的創新發展。抓好《浙江省“十三五”軟件和信息服務業發展規劃》的實施,出臺支持軟件業發展的政策意見,落實好軟件企業和軟件產品稅收優惠政策,完善產業統計制度。加快推進軟件和信息服務業9個示范基地、10個特色基地和15個創業基地建設,提升杭州中國軟件名城建設水平。加強工業軟件支撐能力建設,開展工業技術軟件化行動,重點發展以自動控制與感知技術、核心工業軟硬件、工業互聯網、工業云和智能服務平臺“新四基”為核心的技術體系,推進人工智能、區塊鏈、虛擬現實和增強現實等新興產業的培育,全面提升制造業與互聯網融合的有效供給能力。
培育大數據產業。貫徹落實《浙江省促進大數據發展實施計劃》,扶持并培育一批大數據分析、大數據應用服務的龍頭企業、一批創新型大數據應用類中小企業,加快形成協調發展的大數據產業體系。組織開展第二批大數據產業應用示范企業培育試點工作,建立一批大數據省級重點企業研究院,推動創建一批大數據應用示范工程,拓展大數據應用領域。培育數據資源交易市場試點。
加強工業控制信息安全保障。按照《工業控制系統信息安全防護指南》,指導企業做好工業控制系統信息安全防護,明確工業企業主體責任,提高安全防護意識,細化信息安全防護措施。加快完善網絡與信息安全基礎設施,研究建立面向工業領域的信息安全技術支撐、檢查評估綜合保障體系,開發并鼓勵企業使用自主可控、安全可靠的工業控制系統。開展工業領域重點行業工業控制系統及相關信息系統安全檢查和風險評估。
深化智慧城市建設與農業信息化發展
組織開展對20個省級智慧城市示范試點項目的檢查驗收及績效評價工作。重點加快智慧政務、智慧高速、智慧交通、智慧車聯網、智慧安防、智慧安監、智慧環保、智慧能源、智慧旅游、智慧健康服務、智慧物流、智慧消防等示范試點項目在全省推廣與覆蓋。
加快9個省級農業信息化示范試點建設,并籌備建O一批示范試點區。重點圍繞農業產業集聚區與現代特色農業強鎮建設,在溫室大棚、畜禽養殖、大田生產、生態環境監控等重點領域與關鍵環節,推進信息技術應用。引導互聯網企業建立一批農業銷售服務平臺,加強產銷銜接。
強化城鎮光網覆蓋,城市全面具備100M以上接入能力。4G網絡實現城鄉全覆蓋,爭取5G試驗網建設。實施農村海島“掃盲除點”工程,基本具備50M以上接入能力。推進中國互聯網絡信息中心浙江分中心建設。細化落實省政府與中國電信、中國移動、中國聯通和中國鐵塔的戰略合作協議,推進新技術產業應用示范項目,推進杭州國家互聯網骨干直聯點建設。全面推進全省三網融合。推進數據中心集約化綠色化,推廣公眾云計算和大數據服務。推進中小企業信息網絡提速降費。
以營造發展氛圍為目標,積極組織各類活動
牽頭做好第四屆世界互聯網大會信息化工作部工作,組織籌備好大會期間的新技術新產品、浙江分論壇和互聯網之光博覽會、雙創熱土項目對接活動等重大活動;
籌辦好中國產業互聯網大會,充分發揮制造業和互聯網雙重基礎優勢,力爭把大會打造為國內外有影響力的產業互聯網新平臺。
籌辦好中國工業大數據(蕭山)峰會等,通過活動平臺制造業與互聯網融合的前沿技術,推出一批典型企業和創新項目,宣傳一批行業解決方案和商業新模式。
篇7
關鍵詞:大數據時代;信息安全;防范
一、大數據時代特點
隨著計算機技術的不斷發展,計算機數據存儲功能越發強大,并且擁有處理海量信息的能力,標志著我國已經進入了大數據時代。大數據時代最為明顯的特征就是數據信息的極速增加,以及各種信息處理技術的廣泛應用,通過移動終端就可以收集和傳遞信息;另外,信息變得更加直觀和多元,有文字信息、音頻信息、視頻圖片信息等等,這些多元化的信息構架起了大數據;傳遞的信息隨著通信技術的改革升級,流通信息的速度加快,數據的存儲、發掘、獲取都更加的便捷。但是也是因為信息的傳播和獲取都比較簡單了,人們每天瀏覽的信息價值在減少,很多帶有危險系數的信息參雜其中,給信息監管帶來不小的壓力[1]。大數據時代加上全球化,我們已經可以足不出戶便知曉世界事,很多信息在國家之間傳播,給國家的信息安全帶來一定的危險,也讓個人信息在互聯網上“裸奔”,信息安全成為大數據時代需要重視的問題。
二、大數據時代計算及信息安全現狀
(一)計算機網絡存在安全漏洞
我國信息安全隱患之一是網絡的安全漏洞。很多的安全漏洞隱藏在網頁鏈接之中,很多不法分子想要利用竊取用戶信息進行犯罪,謀取不正當利益。一旦不小心點到存在安全漏洞的網頁,網頁所攜帶的病毒就會入侵電腦,并且病毒具有潛伏期、執行性和儲存性的特點,一旦運行到程序中獲取電腦信息造成電腦癱瘓。所以很多企業建立了內外網,就是擔心員工在瀏覽網頁的時候不小心中招,危害到公司利益。
(二)缺乏網絡安全的意識
雖然現在已經是大數據時代了,通過電腦、手機都可以連上互聯網瀏覽資訊,互聯網的用戶越來越多,但互聯網的信息安全意識卻沒有跟上時代進步的步伐。一些沒有網絡安全意識的用戶在使用互聯網的時候,隨意瀏覽網頁注冊個人信息,增加了個人信息的曝光度,讓個人信息收到威脅。另外很多企業工作人員也缺乏網絡安全意識,管理公司重要的信息時疏忽大意,信息曝光給公司造成損失,這些都是因為網絡安全意識淺薄所導致的。
(三)網絡監管制度不完善
大數據時代讓信息的流通更加順暢,也使數據的種類繁多,其中參雜著一些有害信息危害國家及個人的利益。所以在大數據時代,網絡信息監管的力度也應該隨著技術的發展不斷的完善。但是我國的信息安全規定與時代沒有同步,很多的管理規定不適用于現在復雜多元的互聯網,網絡監管部門在執法的時候無法可依。信息監管存在漏洞,沒有警惕意識,國家的計算機信息安全不夠堅固,給力不法分子以可乘之機;個人上網也缺乏法律約束,隨意操作竊取個人信息,在網絡上隨意將他人信息曝光,進行違法行為,危害公眾信息安全。
三、大數據時代計算機信息安全的對策
(一)提高用戶信息安全防護意識
大數據時代最基礎的信息安全防護就是提高個人對信息安全的防護意識。用戶在瀏覽網頁、接受郵件的時候,注意不要過度曝光個人信息,尤其是私密信息;在注冊一些賬戶的時候注意仔細的閱讀注冊相關條例,在設置密碼的時候盡量設置的復雜一些,大小寫數字加字母的組合,避免密碼過于簡單被破譯;在連接公眾網絡的時候盡量少登陸私密性較強的賬號,不連沒有安全保障的免費網絡;個人電腦公司電腦都應該安裝殺毒軟件,保障在日常使用網絡的時候過濾掉一些病毒,并定期對計算機進行系統維護和軟件升級[2]。
(二)應用防火墻和安全防護系統
防火墻和安全防護系統的主要作用是隔絕病毒,并對網絡信息漏洞進行修復和完善,防火墻技術的應用大大提高網絡安全系數。所以在防火墻和安全防護系統上應該重視,理應加強安全防護系統建設,并推廣安全有效的殺毒軟件,確保信息的安全。關閉計算機閑置端口,例如:端口21,FTP服務器所開放的端口,主要用于上傳和下載,但同時也是對木馬、Fore、InvisibleFTP所開放的端口,所以關閉閑置端口也是防止病毒侵入電腦的一種方式。現目前也有很多做的非常好的安全防護系統,例如360天擎,專門針對于木馬病毒、0day漏洞等網絡安全漏洞研發的安全防護系統,比傳播的病毒防御技術更加全面,為用戶終端安全和管理保駕護航。尤其是針對于像企業的核心的信息,360天擎可以做到全網終端意見安全體檢、數字化的評估安全狀況;全面的查殺已知未知病毒、惡意代碼等等,360天擎這種比較先進全面的防護系統可以代表現目前的最先進的安全防護系統。
(三)完善網絡安全監察體系
網絡安全監察應該跟上大數據時代的步伐,適應時代的發展,減少應該監察管理的滯后性而引發的網絡安全問題。完善網絡安全監察體系,相關部門提高安全防護意識,制定出適用于個人用戶和企業用戶的監察制度,保障信息數據的安全。互聯網并非法外之地,要讓互聯網行為有法可依,這是全面預防網絡信息安全行之有效的手段。加強互聯網法治建設,增加公民對信息維護的法律意識,對在網上隨意曝光他人信息,隨意發表危害社會安全言論的行為,進行嚴格打擊。另外還要加強信息的保密措施,針對于不同的局域網設置不同的保密級別,針對于企業的網絡安全,杜絕任何信息都可以進入公司網絡,避免企業信息流出。
篇8
關鍵詞:網絡信息安全;防護策略;滿意度
選題依據和背景情況:在現今信息化時代,網絡安全已經成為越來越重要的課題。對我國網絡信息安全防護策略在世界市場上的影響做一個系統的評估,能對我國網絡信息安全防護策略現在的整體水平有一個具體的把握同時研究如何去提升做的更好的方法。
1我國網絡信息安全防護策略發展現狀及存在的問題
我國網絡信息安全對于網絡信息安全防護策略的重視度不足,甚至部分網絡信息安全認為,網絡信息安全防護策略可有可無,因此并未將網絡信息安全防護策略納入到網絡信息安全運轉日程當中。就我國網絡信息安全目前情況而言,其網絡信息安全防護策略還存在較多的問題,還要全面提升網絡信息安全競爭力,擴充消費群體,就需要對所存在的問題進行一一梳理。
1.1存在獨立性,信息不能共享
市場網絡信息安全防護策略存在獨立性,并且其市場網絡信息安全防護策略是不同共享的。網絡信息安全中不同業務部門所擁有的市場網絡信息安全防護策略是不能夠共享的,這樣就造成了網絡信息安全的工作滯怠,無法為客戶提供完整性的服務。這樣不僅會造成客戶資源的流失,而且也嚴重滯怠了網絡信息安全的工作效率與工作質量。因為大數據時代的到來,為網絡信息安全需要提供了非常好的市場發展機會。而在未來三年到五年的時間里,網絡信息安全也應該更加重視大數據時代帶給互聯網領域的市場網絡信息安全防護策略。伴隨而來的挑戰,也將大數據時代網絡信息安全之間的競爭推向了。一旦有哪一家網絡信息安全不能夠在大數據時代的數據流中,選擇到具有重要價值的市場網絡信息安全防護策略,并且對市場網絡信息安全防護策略進行系統的管理,那么就會與其他的網絡信息安全之間的差距越來越大。因此,如何有效的從大數據時代的數據流中,篩選出具有價值的市場網絡信息安全防護策略,對市場網絡信息安全防護策略進行系統、全面的管理,并且將其轉化為網絡信息安全的市場核心競爭力,就是網絡信息安全必須加以重視的地方。
1.2網絡信息安全防護策略人才缺乏,信息監管工作不明確
根據信息化時代的基本特點來看,可以明顯了解到,市場網絡信息安全防護策略發展的如此迅猛,數據量呈現爆炸式的增長趨勢,其管理技術必須要做到與時俱進,才能更加順應信息化時代的數據流的發展需求。也因為互聯網領域各大網絡信息安全需要對市場網絡信息安全防護策略的高速發展,奠定市場網絡信息安全防護策略技術基礎,所以對網絡信息安全防護策略的技術人才的需求較大。而對于網絡信息安全而言,最為重要的市場網絡信息安全防護策略就是市場網絡信息安全防護策略,如何對市場網絡信息安全防護策略進行系統、完善的管理,將會直接影響到網絡信息安全的未來發展。但是就目前的形勢而言,互聯網領域網絡信息安全的客戶關系的管理技術人才十分有限。幾乎不能滿足互聯網領域對于網絡信息安全防護策略人才的需求,而這也直接影響到了網絡信息安全的網絡信息安全防護策略效率及質量。并且,網絡信息安全的客戶關系監管工作也具有一定的有限性。例如在信息化時代的互聯網領域環境下,網絡信息安全必須對市場網絡信息安全防護策略監管工作進行有效性的提升。因為信息化時代下的網絡信息安全必須對市場網絡信息安全防護策略進行系統的保密監管,防止外流出來,否則,后果將不堪設想。
2網絡信息安全防護策略發展對策分析
根據上一章的網絡信息安全防護策略問題的梳理,本章提出了針對性的對策,以此來解決網絡信息安全網絡信息安全防護策略問題。
2.1將市場網絡信息安全防護策略進行整合管理
網絡信息安全需要將各個業務部門的市場網絡信息安全防護策略進行整合性的管理,由此來提升網絡信息安全服務體系與業務項目的制定,從而將網絡信息安全的工作被動性狀態轉換為積極性狀態。網絡信息安全的市場網絡信息安全防護策略進行整合性的管理,能夠全面的提升網絡信息安全的工作效率與工作質量,與此同時,能夠讓客戶滿意度提升,提升客戶忠誠度,從而為網絡信息安全有效的保留客戶資源。
2.2加強網絡信息安全防護策略人才的培養
在對市場網絡信息安全防護策略進行整合管理的過程中,還需要加強網絡信息安全防護策略人才的培養。就目前網絡信息安全的網絡信息安全防護策略人才數量的狀態來看,互聯網領域整體呈現出對網絡信息安全防護策略人才求過于供的現象,可見網絡信息安全防護策略人才的培養對于網絡信息安全發展的重要性。面對如此龐大的市場網絡信息安全防護策略量,這對于網絡信息安全的存儲與分析信息技術的要求非常高。但是伴隨著網絡信息安全對于市場網絡信息安全防護策略的存儲與分析技術人才的需求越來越多,市場網絡信息安全防護策略的存儲與分析技術人才群體顯得供不應求。而網絡信息安全信息管理部門不僅要為網絡信息安全招募合適的網絡信息安全防護策略技術人才,而且還需要規劃一筆款項,來專門用作培養市場網絡信息安全防護策略技術人才的經費。這樣不僅能夠為網絡信息安全自身提供充足的市場網絡信息安全防護策略存儲與分析技術人才,而且還能建立網絡信息安全市場網絡信息安全防護策略存儲與分析技術員工的忠誠度。顯然,巨大的市場網絡信息安全防護策略量是需要先進的市場網絡信息安全防護策略存儲與分析技術來幫助儲存的。如果不能對龐大的數據量進行合理、系統的處理,那么將會為網絡信息安全帶來許多不便之處,甚至會直接影響到網絡信息安全的內部經營管理與外部市場發展。不僅如此,網絡信息安全信息管理部門也需要對其他各部門做出系統的市場網絡信息安全防護策略培訓規劃,為的就是全面提升網絡信息安全上下員工對于互聯網領域市場網絡信息安全防護策略的敏銳度,從而有效的掌握對網絡信息安全最具價值的市場網絡信息安全防護策略。而網絡信息安全防護策略與分析的價值,就在于對有效的市場網絡信息安全防護策略進行激活、歸納與重復利用。所以,網絡信息安全市場網絡信息安全防護策略的分析管理技術是需要保持在互聯網領域前沿水平的,如果不能提供熟練且先進的網絡信息安全防護策略分析技術,那么其綜合競爭力就會大大落后于互聯網領域的其他網絡信息安全。
3探析網絡信息安全防護策略的發展前景
在新經濟時代,網絡信息安全的整體質量如個人素養提升一般關鍵,并且成為了網絡信息安全提升市場競爭力的重點所在。面對新市場的挑戰,網絡信息安全應該學會如何對待不同背景、類型的客戶,并且通過網絡信息安全防護策略來建立網絡信息安全客戶群,與現代化的管理思想及方式相結合,有效整合網絡信息安全資源。網絡信息安全防護策略的出現真正使網絡信息安全能夠全面觀察客戶資源,將網絡信息安全管理趨于信息化,有效加強網絡信息安全競爭力。
4結語
在當代互聯網領域發展中,網絡信息安全網絡信息安全防護策略系統的制定與執行工作非常重要。而就互聯網領域各大網絡信息安全目前的網絡信息安全防護策略現狀來看,雖然網絡信息安全的產品營銷模式及網絡信息安全運營流程等都已趨于穩定,但是在網絡信息安全防護策略上仍然存在一定的問題。并且在其網絡信息安全防護策略的目標市場的挖掘上,還有一定的潛力空間。應該正視網絡信息安全防護策略問題,并且制定及時的解決方案,才能保證謀求到更好的發展未來。
參考文獻:
[1]楊二寶.關于加強企業應收賬款管理的思考[J].特區經濟.2013(07):233-234.
[2]李峰,王全弟.美國應收賬款擔保制度及其對我國的啟示[J].復旦學報:社會科學版.2011(04):102-110.
篇9
云計算的發展勢頭近年來日益迅猛,眾多企業在開始享受云計算便利的計算資源服務、大數據沉淀與挖掘帶來的產業創新的同時,業界也一直存在著關于云服務安全方面的挑戰與質疑。2013年,亞馬遜AWS戰勝IBM獲得美國中央情報局6億美元云計算系統訂單,給質疑云計算安全的聲音潑了一次冷水,對全世界范圍內的云計算云服務進程是一次不小的推動。
在中國,云計算服務經過3年多的發展實踐,已經有了不小的規模,同時也產生了國外尚未涉足、對安全要求更高的金融行業等新的云計算服務領域。比如目前國內最大的單只基金――余額寶,國內第一家互聯網保險公司――眾安在線均是構建在阿里云的云計算平臺上。
當然,對這一新鮮事物質疑與擔憂也不少,據統計國內50%的企業不敢使用云計算服務的主要原因是對安全問題的擔憂。
云計算更安全,是一個思維變革
云計算的特點是把信息化的資源顆粒化,比如存儲、計算、軟件、數據、管理資源,這些資源虛擬化而且被顆粒化以后形成各種資源池然后統一整合進行管理和利用,實時地按需分配。就好比是以前家家戶戶自己打井汲水,現在由自來水公司集中管理全市用水,并且通過管道將自來水輸送到各家各戶。從井水到自來水的變遷讓千家萬戶喝上了放心水,省去了挖井打水的工夫,不會有人擔心自來水公司被投毒而拒絕接入自來水。
“事實上,云比原來的方法更安全,就好像把錢放在銀行事實上會比放在枕頭底下更安全一樣,需要克服的是心理障礙”。現任阿里巴巴集團首席技術官,也是阿里云計算有限公司、云OS操作系統的籌建者,并主導了阿里巴巴集團的去“IOE”革新的王堅博士認為這是一個思維變革的過程。
國內云計算安全獲國際頂級認可
如同儲戶把金錢從枕頭下存進銀行是基于信任一樣,用戶是否選擇使用云服務關鍵在于如何建立對云服務商的信任,而無論從阿里云還是用戶角度來看,客觀、公正的第三方權威認證是雙方建立信任的基礎,因此阿里云通過覆蓋國際和國內、傳統IT安全和云計算安全的一系列第三方認證構建起用戶同云服務商間的信任紐帶。
在國際方面,暨2012阿里云領先國內云服務商將ISO27001(信息安全管理體系)國際認證覆蓋彈性計算、RDS(關系型數據庫服務)、ODPS(開放數據處理服務)、OSS(開放存儲服務)、OTS(開放結構化數據服務)、云盾(云安全服務)以及云監控服務后,于2013年阿里云獲得全球首張云安全國際認證金牌(CSA-STAR),這是英國標準化協會(bsi)向全球云服務商頒發的首張金牌。這也是中國企業在信息化、云計算領域安全合規方面第一次取得世界領先成績。
該認證是一項全新而有針對性的國際專業認證項目,旨在應對與云安全相關的特定問題。其以ISO/IEC 27001認證為基礎,結合云端安全控制矩陣CCM的要求,bsi提供的成熟度模型和評估方法,對提供和使用云計算的任何組織,綜合評估組織云端安全管理和技術能力,最終給出“不合格-銅牌-銀牌-金牌”四個級別的獨立第三方外審結論。
在國內方面,阿里云已通過公安部信息安全等級保護三級測評,測評對象覆蓋彈性計算、RDS(關系型數據庫服務)、ODPS(開放數據處理服務)、OSS(開放存儲服務)、OTS(開放結構化數據服務)、OSS(開放存儲服務)等云服務支撐系統。
云安全考驗企業文化和誠信
眾多企業對云計算服務心存顧慮的原因不僅是對安全防護的擔憂,還有對敏感和隱私數據的保護缺乏信心。目前國內幾大云計算服務商都是互聯網巨頭,這些巨頭的業務覆蓋范圍十分廣泛,幾乎無所不包,拷貝復制的能力非常強大,中小型互聯網創業公司可能將自己的業務和數據放到強大競爭對手的云平臺上嗎?
“這是一個有關企業誠信和文化的問題,短時間內無法證明。”王堅博士誠懇地回答,“淘寶2013年‘雙11’的交易量達到350億,卻沒有一分錢是淘寶自己賣出的。淘寶提供交易平臺,阿里云計算提供IT服務,阿里金融提供融資貸款服務,這是阿里巴巴集團為中小型公司打造的一個創業服務生態鏈。”
“阿里云計算公司成立的初衷不是僅僅為支持本集團內部的業務系統,我們提供的通用的云計算服務可以幫助中小型企業擺脫IT的束縛,減少IT投入的成本和風險,讓小公司做大公司才能做的事。云計算的發展需要一個生態圈,中國互聯網的健康發展也需要一個生態圈,而不僅僅是幾個互聯網巨頭,阿里巴巴集團的成功并沒有堵住中小型創業公司的發展道路,而是在為中小企業的發展創造條件。”博士接著談到。
云計算為國家信息安全等級保護工作提供便利
今天傳統的網絡安全產品提供商仍然在致力于逐門逐戶地推廣安全加固的“井蓋和井水凈化劑”,安全產品防御容量也從“企業級”走向了“電信級”。當很多單位和企業其業務互聯網后面對用戶不可預知的攻擊動機所引發的“現象級”安全保障挑戰時,其在信息安全建設方面曾經經歷的“堆產品、上服務、組團隊”等安全歷程后、仍未能幫助解決“攻擊難預測、服務響應慢、安全人才一將難求”等方面的安全問題。究其原因是對于“現象級”安全保障挑戰,未能具備安全攻擊自動響應、彈性防御的能力,從而無法保證安全防御能力不被海量用戶的差異化訪問而稀釋。
云計算服務的集中化特點使得云服務商無論是從保障云服務安全性,還是提升用戶使用云服務黏性的角度都需要提供“現象級”的云安全服務。這種特性不但使得用戶的安全投入得以大大降低,更重要的是對于國家信息安全主管部門而言,為其信息安全監督和檢查工作提供了極大的便利條件。改變過去系統和數據分散不易管控的局面,通過集中化的安全管理提高國家信息安全管理的水平,真正實現用戶安全防御能力的可測量化。
從監管對象而言,國家信息安全等級保護標準體系目前基于信息系統而非平臺的測評體系也同樣面臨云計算服務模式帶來的挑戰。這方面阿里云正積極會同公安部各測評、研究機構在公共安全領域試點等保要求在云計算平臺落地的可行性,提升等保標準在新信息化服務模式下的生命力。
大數據挖掘的計算能力是國家競爭力
當各種數據在云計算平臺上迅速沉淀,大數據的分析方法就有了用武之地。正如微軟的Windows操作系統平臺使美國成為全世界個人電腦的數據中心,GOOGLE的Android移動操作系統使其成為大部分移動終端的數據中心,各國云計算通用平臺的競爭將是一個更大規模數據中心的競爭,具有重要戰略意義。
“6年前全世界只有5%的手機使用美國公司的操作系統,如今80%以上的手機使用美國蘋果公司的ios操作系統以及谷歌的Android操作系統。操作系統之上的軟件只能控制很少一部分數據,無法保障數據安全。這也正是阿里云計算公司花大力氣研發自己的阿里云移動操作系統的原因之一。”
篇10
關鍵詞:信息安全;安全風險;風險防控
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 11-0000-03
隨著大型企業信息化建設的逐步深入,對信息系統的依賴程度不斷提高,信息系統的穩定運行直接關系到社會秩序與國計民生。企業伴隨著各信息系統的建成,信息化水平不斷提高,信息系統對業務的支撐作用更加明顯,迫切需要提高信息安全保障能力,保證網絡基礎設施與信息系統的安全、可靠運行。
為了加強大型企業信息系統的安全防護,按照《國家信息化領導小組關于加強信息安全保障工作的意見》文中明確提出的“要重視信息安全風險評估工作,對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估"的指導建議,本文對信息系統進行風險評估,確定系統缺陷和安全需求,提出整改建議,為大型企業整體信息安全解決方案提供基礎資料和有力依據;結合國家關于信息系統安全等級保護的相關要求,評價已有信息安全建設的適當性、合規性,分析所面臨的威脅、影響和脆弱性及其發生的可能性,最終得出所面臨的風險,并提出整改建議,為大型企業信息安全戰略發展提供參考。
一、大型企業信息安全面臨的風險
(一)風險概述
安全風險是一種對機構及其資產構成潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統,安全風險是一個客觀存在的事物,它是風險評估的重要因素之一。
產生安全風險的主要因素可以分為人為因素和環境因素。人為因素又可區分為有意和無意兩種。一般來說,威脅總是要利用網絡、系統、應用或數據的弱點才可能成功地對資產造成傷害。安全事件及其后果是分析威脅的重要依據。但是有相當一部分威脅發生時,由于未能造成后果,或者沒有意識到,而被安全管理人員忽略。這將導致對安全風險的認識出現偏差。
(二)威脅類別
分析存在哪些威脅種類,首先要考慮威脅的來源,信息系統的安全風險來源如下。
對安全風險進行分類的方式有多種多樣,針對上表威脅來源,可以將威脅分為以下種類。
二、信息安全風險防控
(一)信息安全風險防控思路
根據大型企業目前信息安全工作的現狀,為了充分的利用現有資源、節約成本,并能夠有效的對信息資產進行充分保障,我們提出“集中管控、縱深防御”二點方針:
1.集中管控:減少攻防界面是成本較低、成效顯著的防御方法。隨著網絡設備、服務器主機、安全設備的不斷增加,網絡拓撲日益復雜,如能對安全設施進行集中管理,控制安全邊界將能夠有效地降低安全成本;
2.縱深防御:現有的任何防護措施都不能完全保證信息系統不發生安全事件,通過多級的安全防御部署,能夠在出現未知漏洞外層防御措施失效后,控制安全事件造成的影響,減少損失。
基于以上兩個觀點,結合大型企業信息安全的現狀,制定如下思路:
由于大型企業的網絡復雜龐大,在未來的網絡安全建設上建議采取大面上封堵,重點防御的策略。大面上封堵即阻斷傳統終端--網絡—服務器—存儲的訪問方式;重點防御是指采用用戶集中通過統一平臺訪問的方式實現業務應用,然后重點做好統一平臺的安全防御工作;
在上述大思路的指導下,未來的網絡安全建設還需要重點做好數據中心的網絡安全防護工作,即不僅要防止由于服務端口開放帶來安全風險,還應該重點防御深度注入web應用類型病毒所帶來的安全風險,因為目前集團絕大多數的應用系統為B/S架構下通過web訪問方式實現訪問。
(二)信息安全風險防控藍圖
本文針對信息安全風險防控的藍圖擬從網絡、主機、應用和數據4個方面來對大型企業的信息安全建設提出建議,如圖所示:
大型企業信息安全建設規劃藍圖
(三)信息安全風險防控措施
信息安全風險防控措施的基礎工作是訪問控制的細化。建議傾向于安全域的劃分的思想,但不強調必須要進行安全域劃分的表現形式。與網絡相關的控制措施主要有以下3個方面:
1.單點故障:核心鏈路的各種網絡設備往往為單臺設備運行,諸如核心交換機、路由器以及防火墻等,一旦出現故障,將對網絡的可用性造成嚴重影響,直接影響內外網間的訪問,建議增加核心鏈路的設備數量,考慮進行雙機熱備。
2.邊界控制:從網絡整體來看,如果互聯網出口數量較多,一旦發生來自網絡外部的安全事件,判斷和溯源難度大,管理分析成本較高,需要對企業網絡的互聯網邊界適當管控,關閉或對互聯網出口增加監管;
3.VLAN隔離:在服務器機房中存放的服務器主機的資產重要程度是不同的,部分主機所有互聯網用戶可以訪問(如:門戶網站),部分主機只有內部人員或內部部分人員可以訪問(如:OA、ERP等)如果這些主機都劃分在同一VLAN中,一旦任意主機出現安全事件,很容易影響到統一VLAN中的其他主機。需要對業務重要程度不同,系統應用耦合度小的主機間進行網段或其他方式的隔離,降低影響。同時通過隔離,一旦出現病毒、蠕蟲等惡意代碼,也能夠方便管理人員排錯和修復,提高網絡管理效率。
三、結論和建議
(一)建立事前預警機制
