互聯網信息安全評估模板(10篇)
時間:2023-10-13 09:09:38
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇互聯網信息安全評估,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
第二條 本規定所稱具有輿論屬性或社會動員能力的互聯網信息服務,包括下列情形:
(一)開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網絡直播、信息分享、小程序等信息服務或者附設相應功能;
(二)開辦提供公眾輿論表達渠道或者具有發動社會公眾從事特定活動能力的其他互聯網信息服務。
第三條 互聯網信息服務提供者具有下列情形之一的,應當依照本規定自行開展安全評估,并對評估結果負責:
(一)具有輿論屬性或社會動員能力的信息服務上線,或者信息服務增設相關功能的;
(二)使用新技術新應用,使信息服務的功能屬性、技術實現方式、基礎資源配置等發生重大變更,導致輿論屬性或者社會動員能力發生重大變化的;
(三)用戶規模顯著增加,導致信息服務的輿論屬性或者社會動員能力發生重大變化的;
(四)發生違法有害信息傳播擴散,表明已有安全措施難以有效防控網絡安全風險的;
(五)地市級以上網信部門或者公安機關書面通知需要進行安全評估的其他情形。
第四條 互聯網信息服務提供者可以自行實施安全評估,也可以委托第三方安全評估機構實施。
第五條 互聯網信息服務提供者開展安全評估,應當對信息服務和新技術新應用的合法性,落實法律、行政法規、部門規章和標準規定的安全措施的有效性,防控安全風險的有效性等情況進行全面評估,并重點評估下列內容:
(一)確定與所提供服務相適應的安全管理負責人、信息審核人員或者建立安全管理機構的情況;
(二)用戶真實身份核驗以及注冊信息留存措施;
(三)對用戶的賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬件特征等日志信息,以及用戶信息記錄的留存措施;
(四)對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識,信息、轉發、評論和通訊群組等服務功能中違法有害信息的防范處置和有關記錄保存措施;
(五)個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術措施;
(六)建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關投訴和舉報的情況;
(七)建立為網信部門依法履行互聯網信息服務監督管理職責提供技術、數據支持和協助的工作機制的情況;
(八)建立為公安機關、國家安全機關依法維護國家安全和查處違法犯罪提供技術、數據支持和協助的工作機制的情況。
第六條 互聯網信息服務提供者在安全評估中發現存在安全隱患的,應當及時整改,直至消除相關安全隱患。
經過安全評估,符合法律、行政法規、部門規章和標準的,應當形成安全評估報告。安全評估報告應當包括下列內容:
(一)互聯網信息服務的功能、服務范圍、軟硬件設施、部署位置等基本情況和相關證照獲取情況;
(二)安全管理制度和技術措施落實情況及風險防控效果;
(三)安全評估結論;
(四)其他應當說明的相關情況。
第七條 互聯網信息服務提供者應當將安全評估報告通過全國互聯網安全管理服務平臺提交所在地地市級以上網信部門和公安機關。
具有本規定第三條第一項、第二項情形的,互聯網信息服務提供者應當在信息服務、新技術新應用上線或者功能增設前提交安全評估報告;具有本規定第三條第三、四、五項情形的,應當自相關情形發生之日起30個工作日內提交安全評估報告。
第八條 地市級以上網信部門和公安機關應當依據各自職責對安全評估報告進行書面審查。
發現安全評估報告內容、項目缺失,或者安全評估方法明顯不當的,應當責令互聯網信息服務提供者限期重新評估。
發現安全評估報告內容不清的,可以責令互聯網信息服務提供者補充說明。
第九條 網信部門和公安機關根據對安全評估報告的書面審查情況,認為有必要的,應當依據各自職責對互聯網信息服務提供者開展現場檢查。
網信部門和公安機關開展現場檢查原則上應當聯合實施,不得干擾互聯網信息服務提供者正常的業務活動。
第十條 對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的互聯網信息服務,省級以上網信部門和公安機關應當組織專家進行評審,必要時可以會同屬地相關部門開展現場檢查。
第十一條 網信部門和公安機關開展現場檢查,應當依照有關法律、行政法規、部門規章的規定進行。
第十二條 網信部門和公安機關應當建立監測管理制度,加強網絡安全風險管理,督促互聯網信息服務提供者依法履行網絡安全義務。
發現具有輿論屬性或社會動員能力的互聯網信息服務提供者未按本規定開展安全評估的,網信部門和公安機關應當通知其按本規定開展安全評估。
第十三條 網信部門和公安機關發現具有輿論屬性或社會動員能力的互聯網信息服務提供者拒不按照本規定開展安全評估的,應當通過全國互聯網安全管理服務平臺向公眾提示該互聯網信息服務存在安全風險,并依照各自職責對該互聯網信息服務實施監督檢查,發現存在違法行為的,應當依法處理。
第十四條 網信部門統籌協調具有輿論屬性或社會動員能力的互聯網信息服務安全評估工作,公安機關的安全評估工作情況定期通報網信部門。
篇2
互聯網金融就是指傳統的金融結構利用互聯網技術,兩者進行有機的相互融合,在支付、投資的新興金融業務模式。大概從兩個方面來分析新興金融業務模式的改革。首先互聯網領頭人在互聯網的金融發展中不斷探索創新,使人民更好的融入其中。其次打破傳統的面對面交易模式,保證在金融交易上更加方便快捷,方便人們的生活。
2.互聯網金融的發展之路
互聯網金融逐漸發展成為了第三方支付、信息化金融機構等金融模式的聯合,伴隨著互聯網電子商務的飛速發展,傳統的交易模式逐漸轉變為了物流快遞的形式,網絡的虛擬化與資金流向在時間上大不相同,在交易時買家會擔心如果收不到商品怎么辦,或者商品質量出現問題誰來負責,賣家也同樣會擔心客戶收到商品之后不付款怎么辦,雙方在交易時都要承擔一定的風險,特別是在金額較大的時候風險也會隨之增加,導致網絡交易出現故障。但隨著金融的發展,金融體系的主體也會拓展,對互聯網進行了較大的改造。
二、互聯網金融信息的特征
1.影響范圍廣闊
作為國家重要基礎設施的互聯網,隨著國家各個領域對互聯網的依賴程度越來越高,使其逐步成為了重要的數??傳播方式。通過大量的互聯網金融數據,能夠通過表面看出事情的本質,反映出一個國家經濟、政治等方面的現狀,是一個能夠涉及到國家金融體系的重要內容,除此之外還有可能被利用去直接影響到大眾的日常生活。但是當互聯網金融體系一旦受到范圍較大的安全事故,國家的經濟體系很有可能變成癱瘓狀態,同時也會對國家的安全問題但來不良影響。
2.難以評估的風險問題
如今的互聯網金融操作層面、業務層面甚至是管理層面都會涉及到IT技術,但是現代的業務風險與傳統的業務風險相比較,IT風險管理的專業性與技術性更占優勢,由于目前還無法準確的制定IT風險的計量標準,最終無法用常規的方法進行檢測與控制。例如在面對IT風險的損失衡量、風險程度等等,都沒有制定出一套較為具體的計量體系。此外IT風險還極易容易與其他風險相互交織,導致風險的評估與計量更加無法順利的進行。
3.快速的擴散性
在信息科技時代,網絡技術在互聯網金融當中被主要運用,擴展的速度快是網絡技術的一大特點。以往的金融業務當中,信息技術風險所帶來的損失并不是很大,但是在現如今的互聯網金融業務中,處于一個環環性扣的狀態,其中的任何一個小環節出現問題時都會使風險快速的蔓延到與其相關的系統網絡當中,使局部風險擴散開來,甚至導致整個金融市場都受到威脅。此外傳統的金融中還有一些離線的業務操作,對于偶爾出現的錯誤也有時間去更正,但現如今的互聯網金融業務都是在線操作的,一旦出現問題就是在很短的時間內爆發,糾正錯誤的機會被大大減小,加大了風險補救成本。
三、金融信息安全問題面臨的挑戰
1.落后的信息安全保障體系
由于互聯網金融技術的飛速發展,為金融行業提供了一個全新的發展方向,但是相關的金融信息保障系統并沒有完善,伴隨著各種不斷涌現出的理財問題、保險問題,這對于互聯網金融業務的發展無疑是一種如履薄冰的行為。以此互聯網金融業務的發展需要強大的互聯網金融安全信息保障體系作為強大的后盾,不完善的金融信息安全一定會加大金融業務的風險問題。就現代的互聯網金融發展而言,不相融洽的金融業務與信息安全保障體系,盡管可以維持著金融業務的順利開展,但這樣的局面隨時都可能受到威脅。
2.難以預防的網絡安全問題
威脅金融安全的另一個問題就是難以防控的網絡安全,這一安全隱患也是互聯網安全自身存在的問題。匿名性與開放性是互聯網自身的性質,導致許多不法分子有機可乘,這也是互聯網金融信息安全所要重點注意的。想要在互聯網這個平臺上健康的發展金融行業,從根本上解決網絡安全問題,將它從一個難點問題發展到重點問題。互聯網金融安全問題不僅是一個機遇也是一個挑戰,凡事都具有兩面性。一方面互聯網金融所帶來的發展,要將壓力轉變為動力,使互聯網金融中存在的問題得到根本上的解決。另一方面威脅互聯網金融安全,會影響到互聯網金融業的發展,為國民經濟的發展做出更大的貢獻。
3.快速更新的互聯網金融技術
快速更新的互聯網技術應用也是金融安全信息所面臨的另一挑戰,伴隨著互聯網技術的不斷提高,越來越多以互聯網技術為基礎的發展平臺如雨后春筍般生長出來,第三方支付平臺的出現打破了傳統金融業務的機制,消費者的個人金融信息安全也受到了泄露的風險。日新月異的互聯網應用技術不僅使互聯網金融安全問題受到挑戰也使互聯網技術更加快速的發展。因此制定出相關的安全管理策略來保證其安全的運行,成為了當今互聯網金融發展的關鍵問題。
四、加強互聯網金融信息的相關對策
1.強化金融信息安全保障體系
因為外界的安全問題不能從根本上消除,為了確保互聯網金融企業的健康發展,因此加強安全保障體系建設來保證金融信息安全必不可少。有了相關體系的支持才能保證互聯網金融安全的平穩運行,我國現存的金融信息安全保障體系依舊以傳統的金融信息安全問題為基礎,這顯然已經跟不上現如今的互聯網金融信息的安全需要。因此國家將強相關制度的建立,提供最高端嚴謹的技術支持,以完善當前金融信息安全保障為基礎,隨時關注互聯網金融業務的變化,最終實現金融安全問題的防范。
2.對信息安全風險進行評估
對計算機信息安全保護進行分等級劃分,再對互聯網金融信息進行安全風險評估。評估這一環節可以預防可能引發信息安全問題產生的風險,根據完整性與保密性存在的薄弱環節。對風險進行評估之前,為了防止計算風險值時存在誤差,可以事先采取相關的安全防范措施。在對風險評估進行一段之后,所計算的?C合值隨時都有可能發生誤差,這一因素也會隨時影響到互聯網金融中的資產。最后就是計算風險綜合值的公式,它是利用字母的代表值和之前所分析的信息安全風險所聯系,從而降低風險值的范圍。
3.對網絡身份進行認證
篇3
(一)評估內容。
工信部與三大運營商對互聯網新技術新業務信息安全評估的要求主要包括:與業務相關的網絡架構安全、設備安全、平臺安全、業務流程安全、內容安全、業務數據安全、系統運維及人員管理安全等方面。
(二)“傳統”安全評估的主要內容。
雖然目前的評估都來自于ISO13335-2信息安全風險管理中,但主要的內容為:管理脆弱性識別包括組織架構管理、人員安全管理、運維安全管理、審計安全管理等方面的評估技術脆弱性識別漏洞掃描:對網絡安全、網站安全、操作系統安全、數據庫安全等方面的脆弱性進行識別。基線安全:對各種類型操作系統(HP-UX、AIX、SOLARIS、LINUX、Windows等)、WEB應用(IIS、Tomcat等)、網絡設備等網元的安全配置進行檢查和評估。滲透測試:滲透測試是站在攻擊者的角度,對目標進行深入的技術脆弱性的挖掘。
(三)業務信息安全評估與“傳統”安全評估的對比。
雖然安全風險評估基本都按照了ISO13335-2中的方法來操作,但是通過對業務信息安全評估的內容和“傳統”安全評估內容對比不難看出,“傳統”安全評估主要集中在網絡、系統和應用軟件層,且每層的評估比較孤立,很難全面反映業務的主要風險。“以業務為中心、風險為導向”的業務系統安全評估能夠與客戶的業務密切結合,風險評估結果和安全建議能夠與客戶的業務發展戰略相一致,最終做到促進和保障業務戰略的實現。
二、互聯網新技術新業務信息安全評估的主要方法
“業務為中心、風險為導向”的信息安全評估思路互聯網新技術新業務信息安全評估是開展其他信息安全服務的基礎,而以“業務為中心、風險為導向”的信息安全評估思路,是切實落實信息安全風險評估的根本保證。
(一)主要流程。
對互聯網新技術新業務信息安全評估來說,分為三大基本步驟:一是深入業務,分析流程;二是業務威脅分析、業務脆弱性識別和人工滲透分析;三是風險分析和處置建議。
(二)深入業務,分析流程。
目標是了解業務信息系統承載的業務使命、業務功能、業務流程等;客觀準確把握業務信息系統的體系特征。管理層面調研和分析圍繞“業務”,管理調研的內容主要為組織架構、部門職責、崗位設置、人員能力、管理流程、審計流程等等,其調研核心是一系列的管理流程。通常,組織中有多種類型的管理流程,管理調研的重點是與信息安全有關的流程、制度及其落實、執行和效果情況。管理措施通常貫穿于整個管理流程之中,目的是保證管理流程的有效流傳或者不出現意外的紕漏。管控措施的設計一般都遵循一定的原則,如工作相關、職責分析、最小授權等等。業務系統層面調研和分析業務系統提供的功能一般是指被外界(例如客戶、用戶)所感知的服務項目或內容,是IT系統承載、支持的若干個業務流程所提供功能的總匯。一個具體的業務功能常常與多個業務流程相關,一種(個)業務功能,常常需要若干個業務流程來實現。例如數據的錄入流程、數據的修改流程、數據的處理流程等等。對于一個具體的信息系統來說,可以通過其提供的業務功能,對業務流程進行全面梳理、歸納,并驗證業務流程分析的完備性、系統性。一個具體的業務流程也常常跨越多個系統,某個具體的IT系統可能僅完成整個IT流程中的某一個活動。例如在短信增值服務中,SP與用戶手機短信收發就涉及到了短信中心、短信網關、智能網SCP等多個系統;另外,還涉及到了計費、BOSS等業務支撐系統以及網管等運維管理系統等。因此,業務功能通常是對業務系統進行調研的最佳切入點,并將業務流程簡化成為單純的數據處理過程,將各個應用軟件之間的數據傳輸簡化成為點對點的流。然后基于數據流分析,建立信息視圖,明確信息的流轉、分布、出入口,把業務系統簡化成為數據流的形式,可以更好地分析數據在各個階段所面臨的風險。
(三)脆弱性識別。
1.系統和應用軟件層脆弱性識別。對評估范圍內的主機操作系統及其上運行的數據庫/Web服務器/中間件等系統軟件的安全技術脆弱性,得到主機設備的安全現狀,包含當前安全模塊的性能、安全功能、穩定性以及在基礎設施中的功能狀態。
2.網絡層脆弱性識別。明確被評估系統和其他業務系統的接口邏輯關系、和其他業務系統的訪問關系、得出清晰的基礎設施拓撲圖;從網絡的穩定性、安全性、擴展性、(易于)管理性、冗余性幾個方面綜合評定網絡的安全狀況。
3.現有安全措施脆弱性識別。識別并分析現有安全措施的部署位置、安全策略,確定其是否發揮了應用的作用。
4.管理層脆弱性識別。識別和分析安全組織、安全管理制度、流程以及執行中存在的安全弱點。
(四)業務威脅分析。
對于業務系統來說,安全威脅及安全需求分析的最小單位是數據處理活動。可以通過安全威脅列表來識別威脅,構建安全威脅場景來進行威脅、風險分析。
1.列出評估的業務系統的全部安全威脅。如何能將安全威脅很好的列出來呢?可以借助一些現有的安全威脅分析模型,例如微軟Stride模型(假冒、篡改、否認、信息泄漏、拒絕服務、提升權限)都提供了一些安全威脅的分類方法。
2.識別和構造威脅路徑。依據自身(企業或部門級)的業務特點進行細化,識別和列出安全威脅來,如拒絕服務、業務濫用、業務欺詐、惡意訂購、用戶假冒、隱蔽、非法數據流、惡意代碼等。
篇4
他們坦然面對記者說出了這背后的故事。
國稅總局在風險評估實踐中總結出的差距分析法
有句話是這么說的:道路是什么,道路是人在沒有路的地方用腳踩出來的。
人生的道路是這樣,信息安全之路也是這樣。當安全威脅成為信息化進程最大阻礙的時候,如何踩出一條網絡信息安全之路,就成為政府主管部門思考的問題。
2006年,為貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文件),形成與國際標準相銜接的中國特色的信息安全標準體系,以更好應對未來日益嚴峻的信息安全威脅,國務院信息化工作辦公室會同相關部門,組織了三項信息安全試點,包括:電子政務信息安全試點、信息安全風險評估試點、信息安全管理標準應用試點。總共有三十余家試點單位參加了相關試點工作。
因為涉及國家信息安全未來標準和技術道路的探索,所有的試點單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作?它們的先行又為我國信息安全事業踏出什么樣的實踐之路?近日,在國信辦召開的全國地方信息安全處長會議間歇,記者走近本次試點工作六個優秀試點單位代表,揭開了一直罩在這些試點單位頭上那層神秘的面紗,看到了他們的努力和汗水,以及試點工作探*索出來的寶貴經驗。政務馳入安全互聯網模式
試點方向:電子政務信息安全
訪談人物:河南省濟源市信息辦副主任焦依平
電子政務是國家信息化的重中之重,而信息安全又是電子政務順利完成的重中之重。
為貫徹落實中辦發27號文件精神,研究解決電子政務信息安全建設和管理中的一些共性問題,探索電子政務信息安全保障方法,國信辦會同國家保密局、國家密碼管理局、公安部十一局,從2005年10月開始,在廣東、河南、天津、重慶4個省市開展了電子政務信息安全試點。
這4個試點具體方向各有不同,其中河南濟源市探索的方向是如何基于互聯網開展電子政務建設、保障信息安全問題。“我們按照‘保安全,促應用’的思路,構建了基于互聯網的電子政務信息安全保障體系,探索出了一條低成本建設電子政務的新路子。”焦依平現在談起試點,依然抑制不住激動的心情。
焦依平介紹說,濟源市通信光纖現已覆蓋到村,政務部門全部接入了互聯網,但是統計下來,濟源市政務信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網,顯然投入和效益不能平衡,這也與電子政務建設的初衷相違背。為此,濟源市按照國信辦和河南省信息辦的要求,不拉專線,完全基于互聯網,開展電子政務建設。
濟源市試點系統建設內容包括以下幾項:一是基于互聯網建設連接全市所有黨政部門和鄉鎮的電子政務網絡;二是在互聯網上建設政務辦公、項目審批管理、12345便民熱線、新農村信息服務等4個應用系統;三是在進行網絡和應用系統建設的同時開展信息安全試點,建設基于互聯網電子政務信息安全支撐平臺。
那么,如何真正用技術實現政務網絡互聯網辦公的安全需求呢?焦依平介紹說,試點工程遵循信息安全系統工程思想,按照“適度安全,促進應用,綜合防范”的原則和等級保護的要求,采用集成創新的技術路線,綜合運用以密碼為核心的信息安全技術,合理配置信息安全保密設備和安全策略,建設一個技術先進、安全可靠的基于互聯網的電子政務信息安全支撐平臺,形成一體化的分級防護安全保障體系,為電子政務提供可靠、有效的安全保障。
從安全技術實現上,據焦依平介紹,濟源市試點工程的安全支撐平臺涉及網絡安全和應用安全兩部分,本次試點網絡安全系統共建設7個安全子系統:一是VPN系統,由VPN密碼機、VPN客戶端和VPN管理系統組成,共同完成域間安全互聯、移動安全接入、用戶接入控制與網絡邊界安全等功能,其中中心機房的VPN密碼機帶有防火墻功能;二是統一身份認證與授權管理系統,完成用戶統一身份認證、授權管理等功能;三是網絡防病毒系統,部署于安全服務區,完成網絡防病毒功能;四是網頁防篡改系統,部署于政府網站,提供網站立即恢復的手段和功能;五是入侵檢測系統,部署于中心交換機,對網絡入侵事件進行主動防御;六是網絡審計系統部署于中心交換機,對網絡事件進行記錄,方便事后追蹤;七是桌面安全防護系統,部署在用戶終端,提供網絡防護、病毒防護、存儲安全、郵件安全等一體化的終端安全保護。
對于目前試點效果,焦依平認為,從實際效果來說,一是低成本建設了安全的政務網絡,實際投入620萬元,比原計劃專網方式預算總投資節約48.3%;二是實現了安全政務辦公和可信政務服務,全市各部門已100%實現了安全互聯,網絡可達鄉鎮,試點村;三是實現了安全的移動辦公,打破了電子政務應用只能在本地訪問的局限。而從長遠來講,濟源市已經初步建成安全、開放、實用的全面基于互聯網的電子政務系統。
電子政務內外互通
試點方向:電子政務信息安全
訪談人物:廣東省信息中心副主任曾強
目前,妨礙電子政務系統互聯互通的主要原因就是由此帶來的信息安全問題。跟濟源市試點方向不同,廣東省的試點方向主要是通過等級保護,探索解決省、市、縣(區)電子政務系統的信息共享與互聯互通問題。曾強介紹說,面對國信辦試點布置的這個大命題,廣東省將試點命題細化成以下幾個方面:由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業務系統縱向互聯互通試點;由省政府辦公廳完成視頻會議系統省府門戶網站試點;由佛山市政府完成財稅庫銀互聯互通系統試點;由江門市政府完成開放互聯環境下的信息安全解決方案試點;由佛山市南海區政府完成大社保6個分系統橫向互聯互通試點。
關于如何解決在不同的電子政務系統之間,安全實現互聯互通以及資源共享問題,曾強介紹說,試點工作中,廣東省綜合運用等級保護和風險評估相結合的方法,確定了解決互聯互通問題的基本思路:一是明確系統的重要程度,確定系統安全等級,采取與系統安全等級相適應的安全保護措施;二是按照有條件互聯、共享可控制的原則,確定需要共享的系統和應用以及需要共享的數據,保證只共享那些確實需要共享的數據,以保護系統中原有信息的安全;三是在進行系統互聯的部門之間建立共同的安全管理機制,明確系統互聯后的安全管理責任、管理邊界、安全事件協同處理等機制;四是對系統互聯的安全風險進行評估,全面分析低安全等級的系統給高安全等級的系統帶來的安全風險;五是針對系統互聯的安全風險,確定關鍵的安全控制要素,如互聯邊界的訪問控制、系統互聯的安全傳輸等,并落實具體的安全措施,保障系統互聯、數據共享的安全。
在以上措施的執行下,廣東省取得了初步成功,形成了《廣東省電子政務系統定級規范》、《廣東省電子政務系統互聯互通安全規范》等地方指導性文件。
風險規避預先保障
試點方向:信息安全風險評估
訪談人物:國家稅務總局處長李建彬
上海市信息化委員會信息安全測評中心
總工程師應力
信息網絡,風險無處不在,防患于未然是上上之策。這也是風險評估安全保障的內涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務總局、國家電網公司、國家信息中心等地方和部門開展信息安全風險評估試點工作。
國家稅務總局在廣東地稅南海數據中心所進行的風險評估試點,最大的亮點就是具有創新精神的“差距分析法”。
李建彬在介紹廣東南海試點經驗時,將差距分析法用一句話概括,就是“通過找出安全目標與現實系統差距,從而得出風險分析報告”。在試點工作中,李建彬感觸最深的就是,要對系統生命周期的整個過程都持續不斷地引入風險評估,盡量避免“先運行,后評估”的亡羊補牢式工作流程,以降低信息系統整體的信息安全風險等級。此外,李建彬還提出在風險評估工作具體實施過程中必須重點考慮以下幾點:
首先是風險評估與等級保護有密切的關系。類別和級別都是信息系統的固有屬性,通過風險評估可以識別系統的類別和安全級別,從而落實“等級保護”這一國家政策。但是系統的安全級別不應該一刀切,可考慮將系統最高安全級別部分的安全等級作為系統的安全等級。其次是系統分析是系統安全評估的基礎工作。再次是行業性系統安全要求在風險評估中起決定作用,不同行業的系統有著不同的安全要求,必須為不同行業、不同類型的系統制定適應其特點的系統安全要求。最后,通過安全風險評估工作進一步完善系統安全總體設計。
上海市在很早的時候就開始對風險評估進行探索。2002年上海市就確立180家重點信息安全責任單位(2004年調整為163家),涉及重要政府部門、公共事業單位、基礎網絡和涉及國計民生的重要信息系統。2006年,上海市了《上海市公共信息系統安全測評管理辦法》,又于2007年1月出臺了《上海市市級機關信息系統建設與管理指南》。之后,上海市信息委又出臺了關于風險評估工作的實施意見,明確建立自評估與檢查評估制度的原則、工作安排。
上海市信息安全測評中心總工程師應力博士在介紹上海市的風險評估實踐經驗時,多次強調要引導各單位進行自評估建設,讓信息安全風險評估成為政府及企事業信息安全建設的常態,在系統的設計階段、驗收階段、運行階段,都需要進行風險評估工作,形成“預防為主,持續改進”的風險評估機制。應力認為,對信息安全主管機關來說,風險評估是一種管理措施,通過風險評估,領導者可以了解信息系統的安全現狀,從而為管理決策提供依據。
信息安全重在管理
試點方向:信息安全管理標準應用
訪談人物:北京市海淀區信息辦主任張澤根
深交所ISMS項目組張興東
有專家提出:“信息安全系統是三分技術,七分管理。”可見信息安全管理在整個信息安全保障體系中的重要性。
國信辦網絡與信息安全組與全國信息安全標準化技術委員會共同于2006年3月開始,在北京市、上海市、國家稅務總局、中國證監會和武漢鋼鐵(集團)公司選取了相關單位,對國際上通用的,也是已經列入國家標準制、修訂計劃的兩個信息安全管理標準,即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規則》,組織了應用試點。
北京市海淀區信息辦張澤根主任在具體介紹北京市海淀區信息安全管理體系實踐經驗時,感觸最深的就是在參考國際標準ISO/IEC27001和ISO/IEC17799的基礎上,結合海淀區原有ISO9001管理體系,取得了事半功倍的實際效果。通過ISMS的運行實踐,海淀區信息辦建立了信息安全管理體系,為進一步通過ISO/IEC27001認證做了很好的準備,同時還對ISMS與風險評估和等級保護的關系進行了有益的探索。ISMS為解決海淀區信息安全問題,提供了良好的方法和管理機制,并且為政府的信息化建設通過避免安全事故和合理分配經費兩種方式很好地節約了建設經費。
篇5
1我國互聯網信息安全現狀
1.1政府和行業對互聯網信息安全重視程度增加
隨著近些年來網絡信息安全問題的不斷發酵,網絡安全問題已經拓展到國家安全的角度,國家的重視度不斷增加。現在,國家網絡安全的行業進入了一個加速發展的時代,網絡安全對政治商業和經濟等利益都有較大的影響,因此,網絡安全行業的發展已經到了存量和增量大幅增加的階段。從政府方面來講,政府正在加大加國產硬件和軟件及一些安全軟件的采購力度,逐步提升企事業單位的IT基礎設施建設和網絡防御能力;從企事業單位的方面來講,我們用于信息安全的投資明顯的低于世界平均水平。現在,各類網絡安全問題的出現及一些商業機密泄露等事件敲響了企事業單位安全意識的警鐘,企事業但是開始強化數據保護和提高安全防御措施。1.2互聯網犯罪猖獗
現在網絡違法犯罪活動愈發猖獗。一些不法分子利用互聯網進行各種各樣的違法犯罪活動,如賭博、詐騙、撒播謠言、竊密盜竊等不法活動,還有通過互聯網攻擊竊取數據和機密等的犯罪活動。這些通過互聯網進行的違法犯罪不僅危害了公民的合法權益,而且破壞了國家的安全和社會的穩定。
1.3網絡安全產業有很大的發展空間
伴隨著大數據、云計算、物聯網等技術的快速應用,互聯網已經影響到我們生活的方方面面,而網絡安全產業也面臨著新的機遇和挑戰。為了保證國家的網絡安全,要不斷發展有自主知識產權的網絡安全產品。現在由于互聯網的核心的設施、技術還有比較高端的服務還是主要依賴于國外的進口,在操作系統使用、專用芯片制造和大型應用軟件開發等方面都存在著嚴重的安全的隱患。因此,具有自主知識產權的網絡安全產品和產業有非常廣闊的發展空間和發展前景。
1.4互聯網信息安全研究成為熱點
現在可穿戴設備、智能終端等設備的應用非常廣泛,信息安全問題是現在互聯網技術研究的熱點問題,隨著研究的深入進行和技術的不斷發展,會幫助解決互聯網在安全方面所遇到的問題。現在已經有很多的高校將互聯網信息安全作為專門的課程開設,這也有助于我國互聯網信息安全研究的發展。
2加強我國互聯網信息安全對策
2.1發揮政府功能,強化法規建設,建立全國范圍內的網絡安全協助機制
隨著互聯網的發展,網絡安全受到巨大的威脅,針對這種情況,要加強公民的網絡安全教育工作,盡可能提升全民的網絡安全的基礎知識和水平,增強公民的“網絡道德”意識,保護我國網絡信息的安全。而且要進一步強化網絡立法以及執法的能力,深化政府職能,完善法規建設,在全國范圍內建立網絡安全協助的機制,這樣有助于協調全國網絡的安全運行。制定出網絡在建設階段和運行階段的安全級別的定義和安全行為的細則,安全程度的考核評定等標準化文本,分析網絡出現的攻擊手段,報告系統漏洞并給出“補丁”程序,并且對全國范圍內協調網絡安全建設,另外,還要大力提高我國自主研發,生產相關的應用系統與網絡安全的能力,用以代替進口產品。
2.2加大互聯網信息安全犯罪的打擊力度
目前,互聯網技術的發展速度已經遠遠超越了網絡犯罪的立法速度,有一些立法對互聯網犯罪的處罰力度非常輕,還有一些互聯網犯罪活動并沒有相關的法律規定。這種情況對于加大網絡信息安全的打擊力度是非常不利的。因此,現在要加快對互聯網犯罪的立法工作,使得在處理互聯網犯罪的時候可以做到有法可依。近些年,國家加大了最互聯網的監督和監管力度,使得很多的互聯網犯罪活動能夠在較短的時間內得到取證和解決,但是相對而言,公民的互聯網安全意思還是比較淡薄,因此,提高公民的互聯網安全意識也成了迫在眉睫需要解決的問題。
2.3加大網絡信息安全的宣傳和教育的工作
現今社會,互聯網已經深入到生活的方方面面,互聯網正在改變著人們傳統的生活方式,人們的生活離不開互聯網。可是隨之而來的是計算機病毒、計算機犯罪、計算機黑客等問題,影響著人們對互聯網的正常和安全使用,更是影響到國家的經濟發展和安全。
因此,加大我國網絡信息安全的宣傳和教育工作是一件非常急迫的事情,通過不斷提高公民的網絡安全意識,能夠有效避免一些網絡犯罪的發生,并且對提高我國整體網絡安全有很大的幫助。要不斷的通過電視、網絡、報紙等多種媒體進行網絡安全知識的宣傳,讓網絡安全意識深入人心。
2.4建立互聯網的信息安全預警和應急保障制度
重點加強對全社會信息安全問題的統籌安排,對信息安全工作責任制要不斷深化細化;加強重點信息領域的安全保障工作,推動信息安全等工作的開展、要把安全測評、應急管理等信息安全基本制度落到實處;加快推進網絡與信息安全應急基礎平臺建設;提升信息安全綜合監管和服務水平,積極應對信息安全新情況、新問題,針對云計算、物聯網、移動互聯網、下一代互聯網等新技術、新應用開展專項研究,建立信息安全風險評估和應對機制;建立統一的網絡信任體系、信息安全測評認證平臺、電子政務災難備份中心等基礎設施等,力求對信息安全保障工作形成更強的基礎支撐。
2.5技術防護安全策略
技術防護是確保網站信息安全的有力措施,在技術防護上,主要做好以下幾方面工作:一是要加強網絡環境安全;二是加強網站平臺安全管理;三是加強網站代碼安全;四是加強數據安全。
3結語
網絡安全技術已經成為影響互聯網發展速度的一個重要課題,通過對其深入的研究,制定出合適的策略方法并加以實施,達到提升互聯網安全的目的。
參考文獻
篇6
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 05-0000-02
一、引言
隨著科技的高速發展、互聯網的大力普及,越來越多的人在互聯網這個虛擬的世界里面開創了自己的小世界,很多以前只能在日常生活中完成的事情,也都搬到了網上進行。網絡不僅成為了人們娛樂休閑的場所,成為了人們的一種職業手段,更成為了人們生活中不可或缺的一部分。在這種情況下,很多私人信息,包括個人及家庭基本信息、銀行帳號信息等更加私密的信息,都需要通過互聯網進行傳輸,在這種大背景之下,信息安全技術就顯得尤為重要,而其在互聯網中的運用也成為了人們不得不考慮的問題。
二、網絡環境下信息安全技術簡介
單從信息安全來看,其包括的層面是很大的。大到國家軍事政治等機密安全,小到如防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、信息認證、數據加密等),直至安全系統,其中任何一個安全漏洞便可以威脅全局安全。信息安全技術,從廣義上來看,凡是涉及到信息的安全性、完整性、可用性、真實性和可控性的相關理論和技術都是信息安全所要研究的領域。狹義的信息安全技術是指為對抗利用電子信息技術手段對信息資源及軟、硬件應用系統進行截獲、干擾、篡改、毀壞等惡意破壞行為所采用的電子信息技術的總稱[1]。隨著互聯網熱潮的興起,整個社會對網絡的依賴越來越強,信息安全的重要性開始顯現。
隨著信息安全內涵的不斷延伸,信息安全技術也得到了長足的發展,從最初對信息進行保密,發展到現在要保證信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。互聯網環境下,信息安全技術可以主要概括為以下幾個方面的內容:身份認證技術、加密解密技術、邊界防護技術、訪問控制技術、主機加固技術、安全審計技術、檢測監控技術等。
三、互聯網中的信息安全技術
互聯網是面向所有用戶的,所有信息高度共享,所以信息安全技術在互聯網中的應用就顯得尤為重要。
(一)信息安全技術之于互聯網的必要性
國際互聯網十分發達,基本可以聯通生活的方方面面,我國的互聯網雖不如發達國家先進,但是同作為互聯網,其所面臨的安全問題都是一樣的。網絡信息安全有三個重要的目標:完整性、機密性和有效性,對于信息的保護,也便是從這三個方面進行展開,
(二)信息安全技術在互聯網中的運用
美國國家安全局對現有的信息安全工程實踐和計算機網絡系統的構成進行了系統分析和總結,提出了《信息保障技術框架》[2],從空間維度,將分布式的網絡信息系統劃分為局域計算環境、網絡邊界、網絡傳輸和網絡基礎設施四種類型的安全區域,并詳細論述了在不同安全域如何應用不同的安全技術要素構建分布式的信息安全系統。所以互聯網中對于信息安全技術的使用是有一個應用體系的,不同的網絡系統有不同的安全策略,但是不論是何種網絡形式,有三項信息安全技術是必須被運用的,它們是:身份認證技術、數據加密技術、防火墻技術。
1.身份認證技術
身份認證是網絡安全的第一道防線,也是最重要的一道防線。對于身份認證系統來說,最重要的技術指標是合法用戶的身份是否易于被別人冒充。用戶身份被冒充不僅可能損害用戶自身的利益,也可能損害其他用戶和整個系統。所以,身份認證是授權控制的基礎[3]。現實生活中,可以通過很多途徑來進行身份的認證,就在這種情況下也有人偽造身份,而對于網絡虛擬環境,身份應該如何認證確實是一項頭疼的技術難題。目前網絡上的身份認證方式主要有:密碼認證、口令卡認證、u盾認證以及各種技術結合使用等方式,也取得了一定的成效,對于信息安全的保障,起了很大的作用。
2.數據加密解密技術
數據加密技術是互聯網中最基本的信息安全技術,因為眾所周知,互聯網的本質就是進行信息的共享,而有些信息是只對個人或者部分群體才可以共享的,另一方面,裸數據在網絡中傳播是很容易被竊取的,所以在信息發送端對數據進行加密,接收信息的時候進行解密,針對互聯網信息傳播的特點,是行之有效的信息安全技術。
3.防火墻技術
防火墻,很多人都很熟悉,它實質上是起到一個屏障的作用,正如其名,可以將有害信息擋在墻外,過濾到不利信息,阻止破壞性的信息出現在用戶的計算機。防火墻的基本準則有兩種:一切未被禁止的就是允許的;一切未被允許的就是禁止的。這種過來是如何實現的?這就涉及實現防火墻的技術,主要有:數據包過濾、應用網關和服務等。對于互聯網而言,一個有效的防火墻,可以幫助用戶免除很多有害信息的干擾,也是信息安全技術對于互聯網非常大的貢獻。
除了使用一些安全技術措施之外,在網絡安全中,通過制定相關的規章制度來加強網絡的安全管理,對于確保網絡順利、安全、可靠、有序的運行,也會起到十分重要的作用。
四、結束語
本文簡要介紹了身份認證技術、數據加密技術、防火墻技術這三項技術對于網絡信息安全的重要性及其應用,事實上隨著科學技術的飛速發展,互聯網的組織形式也在發生極大變化,網絡信息安全技術在互聯網上應用將會越來越多,但是筆者相信,本文所介紹的三個基本運用,會隨著互聯網的越來越透明化而得到更大的發展。
參考文獻:
篇7
工業和信息化部負責網絡強國建設相關工作,推動實施寬帶發展;負責互聯網行業管理;協調電信網、互聯網、專用通信網的建設;組織開展新技術新業務安全評估,加強信息通信業準入管理,擬訂相關政策并組織實施;指導電信和互聯網相關行業自律和相關行業組織發展。
負責電信網、互聯網網絡與信息安全技術平臺的建設和使用管理;負責信息通信領域網絡與信息安全保障體系建設;擬定電信網、互聯網及工業控制系統網絡與信息安全規劃、政策、標準并組織實施,加強電信網、互聯網及工業控制系統網絡安全審查;擬訂電信網、互聯網數據安全管理政策、規范、標準并組織實施;負責網絡安全防護、應急管理和處置。
工信局是2010年中國機構改革后改名為工業和信息化局,簡稱工信局,以前叫經濟貿易委員會,內設經濟運行科等機構。
根據新型工業化發展戰略和規劃,負責擬定近期和年度工業發展目標;監測、分析和評估工業運行態勢并相關信息,進行預測預警和信息引導;負責經濟運行調節,協調財政、金融、稅務、統計、電力、交通等相關部門與企業的關系等工作。
(來源:文章屋網 )
篇8
緊接著,全球最大的中文搜索引擎百度也遭遇攻擊,從而導致用戶不能正常訪問。眾多網站最近頻遭網絡攻擊的消息,不禁引起業界及廣大網民的深刻反思:“我們的互聯網真的安全嗎?”
據中國互聯網絡信息中心的調查報告,2009年我國網民規模達到3.84億人,普及率達28.9%,網民規模較2008年底增長8600萬人,年增長率為28.9%。中國互聯網呈現出前所未有的發展與繁榮。
然而,在高速發展的背后,我們不能忽視的是互聯網安全存在的極大漏洞,期盼互聯網增長的不僅有渴望信息的網民,也有心存不善的黑客,不僅有滾滾而來的財富,也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘:“重視互聯網安全刻不容緩!”
顯然,互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域,有力地促進了經濟社會的發展。但同時,網絡信息安全問題日益突出,如不及時采取積極有效的應對措施,必將影響我國信息化的深入持續發展,對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作,創建一個健康、和諧的網絡環境,需要我們深入研究,落實措施。
二、關于互聯網安全的幾點建議
第一,要深刻認識網絡安全工作的重要性和緊迫性。
黨的十七大指出,要大力推進信息化與工業化的融合。推進信息化與工業化融合發展,對網絡安全必須有新的要求。信息化發展越深入,經濟社會對網絡的應用性越強,保證網絡安全就顯得越重要,要求也更高。因此,政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性,始終堅持一手抓發展,一手抓管理。在加強互聯網發展,深入推動信息化進程的同時,采取有效措施做好網絡安全各項工作,著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。
第二,要進一步完善網絡應急處理協調機制。
網絡安全是一項跨部門、跨行業的系統工程,涉及政府部門、企業應用部門、行業組織、科研院校等方方面面,各方面要秉承共建共享的理念,建立起運轉靈活、反應快速的協調機制,形成合力有效應對各類網絡安全問題。特別是,移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面,包含外部威脅和內部管控、第三方管理等多個方位的安全需求,因此應全面考慮不同層面、多個方位的立體防護策略。
第三,要著力加強網絡安全隊伍建設和技術研究。
要牢固樹立人才第一觀念,為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢,積極支持網絡安全學科專業和培訓機構的建設,努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設,是有效提升網絡安全水平的基礎,要加強相關技術,特別是關鍵核心技術的攻關力度,積極研究制訂和推動出臺有關扶持政策,有效應對網絡安全面臨的各種挑戰。
第四,要進一步加強網絡安全國際交流與合作。
在立足我國國情,按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上,不斷增強應急協調能力,進一步加強網絡安全領域的國際交流與合作,推動形成公平合理的國際互聯網治理新格局,共同營造和維護良好的網絡環境。
第五,要加強網絡和信息安全戰略與規劃的研究,針對網絡信息安全的薄弱環節,不斷完善有關規章制度。
如在當前的市場準入中,要求運營商必須承諾信息安全保障措施和信息安全責任,并監督其自覺履行相關義務。還要充分發揮行業自律及社會監督作用,利用行業自律組織完善行業規范、制定行業章程、推廣安全技術、倡導網絡文明。
篇9
1引言
云計算、大數據等互聯網技術的普及,促進了電子政務、金融證券、電子商務、物流倉儲、視頻監控等領域的信息共享化、無紙化、自動化和智能化,提高了人們工作、生活和學習的便捷化程度。但是,互聯網的發展也帶來了很多的危害,比如黑客利用木馬和病毒盜取人們的賬號密碼,侵入人們的信息中心,破壞可用的數據資源,給人們帶來了嚴重的財產損失。傳統的互聯網防御技術采用被動措施,已經無法滿足安全保護需求,因此本文基于筆者多年的工作實踐,詳細地描述互聯網安全管理面臨的現狀,構建了一個深層次的主動防御系統,該系統包括風險分析、入侵控制、主動查殺等功能,進一步提高了互聯網防御能力。
2“互聯網+”時代信息安全現狀分析
“互聯網+”時代信息安全面臨更多、更嚴峻的形勢,比如在2017年初,美國國防部病毒庫泄露了許多的勒索病毒,這些蠕蟲病毒被稱為永恒之藍,利用終端服務器的網絡漏洞侵入計算機系統,破壞計算機操作系統的進入密碼,一旦感染永恒之藍病毒則需要支付比特幣,只有這樣才能夠獲取解鎖密鑰。目前,互聯網傳播的病毒、木馬采用了更加智能的開發技術,信息安全面臨著侵入程序更加智能、傳播速度更快、感染能力更強的形勢。而且互聯網接入的設備越來越多,不僅僅包括路由器、交換機、臺式機、筆記本電腦,同時還包括各類型的物聯網傳感器、智能手機、平板電腦等終端設備,不同的設備采用的驅動程序不同,這些設備集成在一起時非常容易產生各類型漏洞,因此也需要進一步提高網絡防御能力。
3“互聯網+”時代信息安全防御措施研究
“互聯網+”時代,木馬和病毒更加智能,潛伏周期更長,感染能力更強,傳播范圍也更廣,因此不能夠再采用傳統的被動防御理念,亟需利用最為先進的主動防御措施改進防御能力,進一步實現風險分析、入侵防控、安全評估、主動查殺,具有重要的作用和意義。
3.1入侵防控
目前,互聯網接入的設備越來越多,這些設備包括三層交換機、數據服務器、Web服務器、存儲服務器等,部署的軟件包括Windows、Unix、Linux以及各類型的應用系統,這些軟硬件資源運行產生了許多的日志操作信息,可以配置一些訪問控制規則,分析這些日志信息,實現信息采集和處理,進一步實現網絡安全風險管控。
3.2風險分析
目前,隨著光纖網絡、移動4G網絡的誕生,網絡傳輸的速度越來越快,因此互聯網承載的業務和傳輸的數據也越來越多,為了能夠更好地實現互聯網安全防范,本文提出引入風險分析技術,常見的風險分析技術很多,主要基于專家系統、模式識別、機器學習、數據挖掘等幾類,為了提高互聯網風險分析的準確度,本文利用人工神經網絡技術實現風險分析,創建一個包含輸入層、隱含層、輸出層的風險分析模式,利用現代化的操作管理方法,構建一種計算模式,從海量的網絡業務和數據中發現潛在的風險,并且可以定性風險的類型,比如是嚴重風險、輕度風險、一般風險等,根據分類將其反饋給安全評估系統。
3.3安全評估
互聯網承載的軟硬件經過風險分析之后,就可以將結果發送給安全評估模塊,針對軟硬件資源進行安全評估。安全評估的結果可以劃分為五個等級,分別是較優、良好、一般、輕度和嚴重。較優等級是指軟硬件資源不存在任何安全問題,良好等級說明軟硬件資源運行狀態良好,一般等級是指軟硬件資源運行狀態處于升級維護時刻,輕度等級說明軟硬件資源存在一定的安全隱患,比如系統漏洞等;嚴重是指系統存在較強的病毒、木馬,并且這些安全威脅已經爆發,嚴重影響計算機的安全運行。目前,安全評估常用的技術為專家系統,利用數據挖掘或模式識別算法,采用無監督學習模式,不需要用戶具有先驗知識,只需要輸入自己期望的類別即可獲取分析模式。
3.4主動查殺
傳統的互聯網安全防御采用防火墻、訪問控制規則等技術,這些技術均屬于被動防御模式,不能夠主動發起查殺功能。因此,為了改進互聯網安全防御能力,本文提出了主動查殺思想,配置一個積極的、動態的防御殺毒規則,該規則可以利用人工智能的思想實現入侵訪問控制、360病毒查殺等功能,主動地查殺互聯網中的病毒、木馬,阻斷這些災害的運行和傳播,確保網絡安全運行。
4結束語
隨著互聯網的普及和發展,其承載的業務覆蓋了醫療、教育、交通、金融、制造、政務等多個領域,傳輸的數據也越來越多,阿里、百度等均構建了大型的數據中心,為人們提供各類型的互聯網應用。但是,互聯網提供便捷服務的同時面臨著許多的安全風險,本文利用機器學習、模式識別等技術構建一個主動的防御系統,集成了多種防御措施,進一步提高網絡安全運行能力,保證互聯網正常可靠運行。
參考文獻
[1]唐翔宏.醫院網絡安全防御系統研究與設計[J].電子技術與軟件工程,2016(24):208-208.
篇10
據中國互聯網絡信息中心的調查報告,2009年我國網民規模達到3.84億人,普及率達28.9%,網民規模較2008年底增長8600萬人,年增長率為28.9%。中國互聯網呈現出前所未有的發展與繁榮。
然而,在高速發展的背后,我們不能忽視的是互聯網安全存在的極大漏洞,期盼互聯網增長的不僅有渴望信息的網民,也有心存不善的黑客,不僅有滾滾而來的財富,也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘:“重視互聯網安全刻不容緩!”
顯然,互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域,有力地促進了經濟社會的發展。但同時,網絡信息安全問題日益突出,如不及時采取積極有效的應對措施,必將影響我國信息化的深入持續發展,對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作,創建一個健康、和諧的網絡環境,需要我們深入研究,落實措施。
首先,要深刻認識網絡安全工作的重要性和緊迫性。黨的十七大指出,要大力推進信息化與工業化的融合。推進信息化與工業化融合發展,對網絡安全必須有新的要求。信息化發展越深入,經濟社會對網絡的應用性越強,保證網絡安全就顯得越重要,要求也更高。因此,政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性,始終堅持一手抓發展,一手抓管理。在加強互聯網發展,深入推動信息化進程的同時,采取有效措施做好網絡安全各項工作,著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。
第二,要進一步完善網絡應急處理協調機制。網絡安全是一項跨部門、跨行業的系統工程,涉及政府部門、企業應用部門、行業組織、科研院校等方方面面,各方面要秉承共建共享的理念,建立起運轉靈活、反應快速的協調機制,形成合力有效應對各類網絡安全問題。特別是,移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面,包含外部威脅和內部管控、第三方管理等多個方位的安全需求,因此應全面考慮不同層面、多個方位的立體防護策略。
第三,要著力加強網絡安全隊伍建設和技術研究。要牢固樹立人才第一觀念,為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢,積極支持網絡安全學科專業和培訓機構的建設,努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設,是有效提升網絡安全水平的基礎,要加強相關技術,特別是關鍵核心技術的攻關力度,積極研究制訂和推動出臺有關扶持政策,有效應對網絡安全面臨的各種挑戰。
第四,要進一步加強網絡安全國際交流與合作。在立足我國國情,按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上,不斷增強應急協調能力,進一步加強網絡安全領域的國際交流與合作,推動形成公平合理的國際互聯網治理新格局,共同營造和維護良好的網絡環境。
