公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全攻擊應(yīng)急預(yù)案范文

網(wǎng)絡(luò)安全攻擊應(yīng)急預(yù)案精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全攻擊應(yīng)急預(yù)案主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全攻擊應(yīng)急預(yù)案

第1篇:網(wǎng)絡(luò)安全攻擊應(yīng)急預(yù)案范文

論文摘要:網(wǎng)絡(luò)交易正隨著其交易額的迅猛增長,逐漸成為當(dāng)前主流的商業(yè)模式。但是,網(wǎng)絡(luò)交易信息安全問題也日益嚴(yán)重。文章以供應(yīng)鏈的視角,運(yùn)用供應(yīng)鏈管理思想,探討網(wǎng)絡(luò)交易信息安全問題。闡述了網(wǎng)絡(luò)交易中供應(yīng)鏈特性以及供應(yīng)鏈風(fēng)險(xiǎn)特征,以供應(yīng)鏈為基礎(chǔ),對網(wǎng)絡(luò)交易信息風(fēng)險(xiǎn)因素進(jìn)行了歸納分析,并有針對性地提出相應(yīng)對策。

一、 引言

隨著網(wǎng)絡(luò)信息技術(shù)的進(jìn)步、互聯(lián)網(wǎng)的普及和人們消費(fèi)理念的轉(zhuǎn)變,網(wǎng)絡(luò)交易作為一種當(dāng)今迅猛崛起的商業(yè)模式越來越受人青睞與關(guān)注。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心公布的數(shù)據(jù)顯示,截至2010 年12月,中國互聯(lián)網(wǎng)用戶已經(jīng)達(dá)到4.57億元,比2009年底增長7 330萬元,網(wǎng)絡(luò)普及率達(dá)到34.3%。同時(shí),網(wǎng)絡(luò)交易額的增長率已達(dá)到數(shù)倍于傳統(tǒng)實(shí)體渠道的銷售額。以2010年手機(jī)與筆記本的銷售為例,傳統(tǒng)實(shí)體渠道銷售額分別增長15%和40%,而通過網(wǎng)絡(luò)交易的銷售額增長率則達(dá)到驚人的64.6%和193.8%。

與網(wǎng)絡(luò)交易快速發(fā)展產(chǎn)生鮮明對比的是,由于網(wǎng)絡(luò)交易對信息的高度依賴性,網(wǎng)絡(luò)交易信息安全問題越來越突出。據(jù)調(diào)查顯示,40%以上的消費(fèi)者反映在線服務(wù)的承諾不真實(shí)或不能兌現(xiàn),有60%的消費(fèi)者個人信息曾被商家或網(wǎng)站濫用,而更有70%以上的消費(fèi)者在進(jìn)行網(wǎng)絡(luò)交易活動時(shí)懷疑交易網(wǎng)站信息的真實(shí)性與合法性。

以上調(diào)查只是從消費(fèi)者角度說明了網(wǎng)絡(luò)交易信息安全問題當(dāng)前的嚴(yán)重性,但這只是問題的表象。畢竟,網(wǎng)絡(luò)交易活動中是圍繞產(chǎn)品和服務(wù)來進(jìn)行的,只有同時(shí)存在供應(yīng)方、制造方、分銷方、網(wǎng)上商家直至消費(fèi)者等參與方,網(wǎng)絡(luò)交易行為才能真正實(shí)現(xiàn)。以往研究往往只針對上述某一方或幾方來討論網(wǎng)絡(luò)交易信息安全問題,顯然這只能解決部分問題。本文將從供應(yīng)鏈的角度,運(yùn)用供應(yīng)鏈管理思想,探討網(wǎng)絡(luò)交易信息安全問題。

二、 網(wǎng)絡(luò)交易中供應(yīng)鏈特性

網(wǎng)絡(luò)交易行為對供應(yīng)鏈發(fā)展產(chǎn)生了深遠(yuǎn)的影響。與以往傳統(tǒng)供應(yīng)鏈相比,主要體現(xiàn)出以下新的特性。

1. 網(wǎng)絡(luò)信息平臺出現(xiàn)。網(wǎng)絡(luò)交易中的供應(yīng)鏈與傳統(tǒng)供應(yīng)鏈相比,除了由各成員企業(yè)構(gòu)成的信息流交換系統(tǒng)外,還擁有專門應(yīng)用于信息集成與共享的網(wǎng)絡(luò)交易供應(yīng)鏈信息平臺。網(wǎng)絡(luò)交易供應(yīng)鏈依托這一平臺的信息生成、處理、傳遞與接收,實(shí)現(xiàn)供應(yīng)鏈各節(jié)點(diǎn)企業(yè)間的網(wǎng)絡(luò)交易決策行為。同時(shí),通過這一平臺獲取與預(yù)測市場需求并做出積極響應(yīng),實(shí)現(xiàn)供應(yīng)鏈穩(wěn)定性與柔性的有機(jī)結(jié)合。

2. 網(wǎng)狀結(jié)構(gòu)替代鏈狀結(jié)構(gòu)。供應(yīng)鏈結(jié)構(gòu)的完整是其正常運(yùn)營的保證。以往供應(yīng)鏈?zhǔn)怯晒?yīng)方直至最終消費(fèi)者的鏈狀結(jié)構(gòu),物流成為這種結(jié)構(gòu)下的主要形式,供應(yīng)鏈中任一成員單位的中斷,都可能對整個供應(yīng)鏈結(jié)構(gòu)產(chǎn)生破壞,影響整個供應(yīng)鏈的運(yùn)行。而基于網(wǎng)絡(luò)平臺信息發(fā)散性的網(wǎng)狀供應(yīng)鏈結(jié)構(gòu),當(dāng)某一成員出現(xiàn)中斷時(shí),供應(yīng)鏈能及時(shí)通過信息的協(xié)調(diào)作用,調(diào)整供應(yīng)鏈結(jié)構(gòu),實(shí)現(xiàn)供應(yīng)鏈結(jié)構(gòu)的修復(fù),保證供應(yīng)鏈的正常運(yùn)營。

3. 溝通與服務(wù)方式改變。網(wǎng)絡(luò)平臺的應(yīng)用使供應(yīng)方與需求方通過直接的信息交流建立溝通關(guān)系,消除了雙方的時(shí)間與空間距離,提高了響應(yīng)速度與客戶滿意度。同時(shí),以信息共享為基礎(chǔ)的生產(chǎn)與消費(fèi)過程的協(xié)同,使得整個供應(yīng)鏈更加開放、靈活和高效,為個性化的服務(wù)方式的實(shí)現(xiàn)提供了堅(jiān)實(shí)的基礎(chǔ)。

4. 供應(yīng)鏈成員共贏。供應(yīng)鏈成員的共贏主要體現(xiàn)在供應(yīng)鏈整體效率的提升。網(wǎng)絡(luò)平臺的應(yīng)用,使成員單位的信息在網(wǎng)絡(luò)平臺實(shí)現(xiàn)共享,使零庫存、準(zhǔn)確的銷售計(jì)劃與需求信息獲取成為可能,將整個網(wǎng)狀供應(yīng)鏈真正地整合成一個整體,信息在網(wǎng)絡(luò)平臺中快速高效的流動,消除了整個供應(yīng)鏈的多余消耗和運(yùn)作,保證供應(yīng)鏈整體效益的最大化,提高了總體競爭力,實(shí)現(xiàn)成員單位的共贏。同樣,通過網(wǎng)絡(luò)交易平臺,也為作為供應(yīng)鏈終端的消費(fèi)者提供了信息便利,節(jié)省了交易成本。

三、 網(wǎng)絡(luò)交易中供應(yīng)鏈風(fēng)險(xiǎn)特征

1. 復(fù)雜性。首先,造成危機(jī)的原因是復(fù)雜的,既有供應(yīng)鏈外部因素,也有供應(yīng)鏈內(nèi)部因素。其次,網(wǎng)絡(luò)交易平臺環(huán)境中供應(yīng)鏈網(wǎng)絡(luò)結(jié)構(gòu)的特性,造成鏈上成員不僅要面對單個成員企業(yè)的風(fēng)險(xiǎn),還要面對成員企業(yè)之間的風(fēng)險(xiǎn)。再次,信息風(fēng)險(xiǎn)發(fā)生過程和產(chǎn)生后果也是復(fù)雜的,使得供應(yīng)鏈成員難以評估風(fēng)險(xiǎn)并準(zhǔn)確及時(shí)地做出決策??傮w來看,網(wǎng)絡(luò)交易下的供應(yīng)鏈風(fēng)險(xiǎn)的復(fù)雜性相對傳統(tǒng)供應(yīng)鏈更高。

2. 虛擬性。網(wǎng)絡(luò)交易是以互聯(lián)網(wǎng)與信息技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)平臺信息共享的形式存在,這使得供應(yīng)鏈成員企業(yè)之間和供應(yīng)鏈成員企業(yè)與消費(fèi)者之間關(guān)系具有虛擬性的特征?;诰W(wǎng)絡(luò)交易虛擬性特征,它所帶來的供應(yīng)鏈風(fēng)險(xiǎn)同樣也具有虛擬性特征。網(wǎng)絡(luò)交易服務(wù)器流量限制,軟件設(shè)計(jì)的合理性以及網(wǎng)絡(luò)病毒的傳播等等潛在風(fēng)險(xiǎn),都會給網(wǎng)絡(luò)交易中的供應(yīng)鏈運(yùn)營帶來虛擬性風(fēng)險(xiǎn)。

3. 傳播性。網(wǎng)絡(luò)交易平臺中供應(yīng)鏈風(fēng)險(xiǎn)的傳播性特征,是由網(wǎng)絡(luò)平臺中供應(yīng)鏈自身的網(wǎng)狀結(jié)構(gòu)決定的。通過網(wǎng)狀結(jié)構(gòu)供應(yīng)鏈把從供應(yīng)方、制造方、銷售方以及顧客有機(jī)的聯(lián)系起來,環(huán)環(huán)相連,互相依賴,彼此影響,每個成員的信息風(fēng)險(xiǎn)都會通過網(wǎng)狀結(jié)構(gòu)傳播給其他供應(yīng)鏈成員,影響到整個供應(yīng)鏈的運(yùn)作。在網(wǎng)絡(luò)交易平臺的環(huán)境下,這種影響的破壞性更加突出,傳播的速度也更加迅速而難以應(yīng)對。

4. 易變性。供應(yīng)鏈整體與成員績效的提高都離不開成員之間的合作互補(bǔ),以提高競爭力,實(shí)現(xiàn)多贏。但是在市場理性的競爭規(guī)律下,供應(yīng)鏈中的每個成員又是獨(dú)立核算的利益主體,彼此都以利益最大化為出發(fā)點(diǎn)。以此競爭規(guī)律,我們不難得出供應(yīng)鏈成員企業(yè)的合作關(guān)系必將隨著整體利益與個體利益的博弈結(jié)果的變化而變化。同時(shí),在網(wǎng)絡(luò)交易環(huán)境下的供應(yīng)鏈內(nèi)部和不同供應(yīng)鏈之間,成員企業(yè)可能同時(shí)處于鏈內(nèi)與鏈間的網(wǎng)狀結(jié)構(gòu)之中,由于面對的環(huán)境和充當(dāng)?shù)慕巧煌c變化,其利益關(guān)系也隨之變化。因此,由于這些變化而帶來的不確定風(fēng)險(xiǎn)顯而易見。

四、 基于供應(yīng)鏈的網(wǎng)絡(luò)交易信息風(fēng)險(xiǎn)因素

1. 供應(yīng)鏈成員內(nèi)部信息風(fēng)險(xiǎn)因素。

(1)信息不暢。信息在供應(yīng)鏈中的高效流動才能保證供應(yīng)鏈運(yùn)營的高效。其前提是應(yīng)保證信息在成員企業(yè)內(nèi)部的高效有序流動,形成鏈內(nèi)企業(yè)之間的高效有序的信息流,實(shí)現(xiàn)信息的及時(shí)可靠交換。但是,供應(yīng)鏈成員內(nèi)部的種種不利因素如組織設(shè)置往往會制約其信息效率,引起內(nèi)部信息不暢,更無法形成有效的鏈間信息流,給整個供應(yīng)鏈的穩(wěn)定運(yùn)營帶來信息風(fēng)險(xiǎn)。

(2)信息虛假。網(wǎng)絡(luò)交易條件下的供應(yīng)鏈?zhǔn)怯尚畔⑦B接的各節(jié)點(diǎn)企業(yè)組成的網(wǎng)狀動態(tài)組織。相比傳統(tǒng)供應(yīng)鏈,由于成員內(nèi)部信息的可視性差,其合作關(guān)系的不穩(wěn)定性顯而易見。特別是在鏈內(nèi)成員企業(yè)追逐各自利益最大化的情況下,都會存在隱瞞或虛報(bào)商業(yè)信息的情況。其中夸大需求信息以增加對供應(yīng)鏈上游企業(yè)的議價(jià)能力的虛報(bào)需求信息情況尤為突出,這無形中擴(kuò)大了整個供應(yīng)鏈的牛鞭效應(yīng),使整個供應(yīng)鏈?zhǔn)ビ行f(xié)調(diào),必然帶來信息風(fēng)險(xiǎn)。

2. 供應(yīng)鏈成員間信息風(fēng)險(xiǎn)因素。

(1)逆向選擇。供應(yīng)鏈成員之間主要為委托關(guān)系。鏈內(nèi)企業(yè)的開展合作、共享信息等行為都是以供應(yīng)商與制造商、制造商與銷售商之間形成一種合作協(xié)調(diào)和委托機(jī)制為基礎(chǔ)。然而,由于信息的不對稱性,委托關(guān)系往往引起逆向選擇風(fēng)險(xiǎn)。一般來說,方通常處于信息有利地位,它能通過信息不對稱性的加劇,獲得更多的利益但會降低供應(yīng)鏈的整體利益。這種逆向選擇風(fēng)險(xiǎn)產(chǎn)生于信息不對稱,同時(shí)由于逆向選擇的存在也會擴(kuò)大信息不對稱,加劇信息風(fēng)險(xiǎn)。

(2)信息共享。供應(yīng)鏈中的信息交換均可視為信息共享行為。在網(wǎng)絡(luò)交易的虛擬化環(huán)境中,信息共享尤為重要。各成員企業(yè)往往通過建立將各自的信息數(shù)據(jù)平臺與整個供應(yīng)鏈的信息共享數(shù)據(jù)平臺連接實(shí)現(xiàn)彼此的信息共享。但是,由于成員間信息數(shù)據(jù)平臺軟硬件的不匹配,數(shù)據(jù)集成和處理方式的差異,通常會造成數(shù)據(jù)生成、傳遞與處理的不確定性,使信息共享本應(yīng)成為有利于降低供應(yīng)鏈信息風(fēng)險(xiǎn)的環(huán)節(jié)變成了信息風(fēng)險(xiǎn)環(huán)節(jié)。其次,如果信息安全措施不到位,信息共享便會成為網(wǎng)絡(luò)交易信息泄漏的一個主要出口,可能會造成參與網(wǎng)絡(luò)交易的供應(yīng)鏈參與方的巨大損失。

3. 技術(shù)設(shè)備信息風(fēng)險(xiǎn)因素。

(1)網(wǎng)絡(luò)安全。隨著人們消費(fèi)觀念的改變,網(wǎng)絡(luò)交易的迅猛增長,而網(wǎng)絡(luò)安全問題也日益突出。基于供應(yīng)鏈的網(wǎng)絡(luò)交易無論是從需求信息的收集反饋、供應(yīng)商與制造商的訂貨協(xié)調(diào),供應(yīng)商與顧客的信息傳遞等方面的運(yùn)營方式都對網(wǎng)絡(luò)安全提出了更高的要求。但是,網(wǎng)絡(luò)交易中網(wǎng)絡(luò)安全問題一直以來都是一個主要的隱患。系統(tǒng)安全漏洞、病毒、木馬、間諜軟件和安全機(jī)制缺失都嚴(yán)重破壞供應(yīng)鏈信息的有效傳遞,成為網(wǎng)路交易供應(yīng)鏈亟待解決的問題。

(2)信息處理。供應(yīng)鏈運(yùn)營中的信息量會隨著網(wǎng)絡(luò)交易量的增長而變得日益繁雜,對信息處理的技術(shù)水平要求也越來越高。信息的有效處理是信息有效傳遞和利用的前提。在信息處理過程中發(fā)生的信息不完整、失真等都可歸為信息處理風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)的原因主要由信息處理技術(shù)不當(dāng)造成,報(bào)文形式、信息處理標(biāo)準(zhǔn)等問題都可能引起信息處理風(fēng)險(xiǎn)。

五、 基于供應(yīng)鏈的網(wǎng)絡(luò)交易信息安全對策

1. 發(fā)揮供應(yīng)鏈核心成員信息領(lǐng)導(dǎo)作用。供應(yīng)鏈?zhǔn)怯珊诵钠髽I(yè)構(gòu)成,圍繞核心企業(yè)運(yùn)作的現(xiàn)代商業(yè)組織形式,網(wǎng)絡(luò)交易中的供應(yīng)鏈也不例外,只是將更多的網(wǎng)絡(luò)信息技術(shù)加入其中。供應(yīng)鏈核心企業(yè)在信息風(fēng)險(xiǎn)防控的作用很大程度反應(yīng)在其對整個供應(yīng)鏈信息規(guī)則的制定與監(jiān)管執(zhí)行方面。同時(shí),核心企業(yè)可利用其供應(yīng)鏈支配方的有利地位,獲取更多的供應(yīng)鏈信息,并利用其強(qiáng)勢地位達(dá)到有效地信息監(jiān)管的作用。另外,核心企業(yè)在信息真實(shí)性、信息標(biāo)準(zhǔn)、信息內(nèi)容形式、信息處理方式、信息傳遞規(guī)則等方面都能起到其他成員無法取代的領(lǐng)導(dǎo)作用,從而有效防范信息風(fēng)險(xiǎn)。

2. 加強(qiáng)供應(yīng)鏈成員企業(yè)信息控制。面對供應(yīng)鏈成員企業(yè)自身利益最大化動機(jī)下的虛報(bào)信息,造成信息失真,給整個供應(yīng)鏈帶來的信息風(fēng)險(xiǎn)。在信息收集環(huán)節(jié),應(yīng)加強(qiáng)對成員企業(yè)的控制監(jiān)督,對其內(nèi)部信息的真實(shí)性進(jìn)行核查。并且,應(yīng)制定供應(yīng)鏈成員間的誠信與制約機(jī)制,對虛報(bào)、瞞報(bào)信息的行為給予制裁,避免由于供應(yīng)鏈成員企業(yè)人為信息風(fēng)險(xiǎn)因素的存在。

3. 嚴(yán)格供應(yīng)鏈成員選擇。供應(yīng)鏈?zhǔn)怯蓮脑喜少彽郊庸ぶ圃?,產(chǎn)品運(yùn)輸?shù)椒咒N,直至最終客戶的空間與時(shí)間分布的網(wǎng)狀結(jié)構(gòu)。構(gòu)成成員素質(zhì)直接制約了供應(yīng)鏈的整體素質(zhì)與競爭力,也直接影響到供應(yīng)鏈的潛在信息風(fēng)險(xiǎn)。一般來說,構(gòu)成成員企業(yè)素質(zhì)越高,潛在風(fēng)險(xiǎn)信息越小?;诠?yīng)鏈的網(wǎng)絡(luò)交易信息風(fēng)險(xiǎn)也不例外,甚至成員素質(zhì)對信息風(fēng)險(xiǎn)的影響會更高,因?yàn)榫W(wǎng)絡(luò)交易的信息不對稱性更強(qiáng),更需要供應(yīng)鏈成員的自律,沒有自身素質(zhì)的保證,這種自律恐怕難以保證。解決成員企業(yè)素質(zhì)問題,除了提高各自企業(yè)的能力素質(zhì)外,供應(yīng)鏈成員的選擇顯得尤為重要。不僅在選擇成員企業(yè)是要注重其競爭力,也要注重對其商譽(yù)、質(zhì)量等方面的考慮。同時(shí),制定有效的合作契約,有效控制成員企業(yè)的信息風(fēng)險(xiǎn)。

4. 增強(qiáng)供應(yīng)鏈成員間信任。信息風(fēng)險(xiǎn)很大程度上產(chǎn)生于信息的不對稱性。為什么會存在信息不對稱,不難否定供應(yīng)鏈成員企業(yè)間彼此的不信任是其主要原因。很難想象,兩個無話不說的知心朋友之間,會相互隱瞞,彼此欺騙。這種隱瞞欺騙其實(shí)就是信息不對稱現(xiàn)象,根源在于彼此不信任。大家都害怕對方獲得信息后會做出對自己不利的事情,損害自己的利益。在供應(yīng)鏈整體利益最大化下的成員企業(yè)各自利益最大化,處理不好就很容易產(chǎn)生導(dǎo)致信息不對稱的不信任行為。那么,建立信任肯定不能憑空想象。首先,需要有兌現(xiàn)彼此間的承諾的能力,保證承諾的信息能夠按時(shí)按質(zhì)實(shí)現(xiàn);其次,應(yīng)制定有效的契約,對信息不對稱行為進(jìn)行制約。

5. 加強(qiáng)信息技術(shù)建設(shè)。供應(yīng)鏈信息在成員企業(yè)內(nèi)部和企業(yè)之間的高效流動與共享必須以信息技術(shù)為基礎(chǔ)。信息技術(shù)建設(shè)的一個主要目的是,將供應(yīng)鏈成員企業(yè)內(nèi)部和企業(yè)之間的與信息有關(guān)的軟硬件系統(tǒng)有效連接與整合到一個基于信息技術(shù)的信息共享平臺上來。這些需要整合的信息系統(tǒng)主要包括客戶關(guān)系管理系統(tǒng)、企業(yè)資源計(jì)劃系統(tǒng)和電子數(shù)據(jù)交換系統(tǒng)等。通過有效整合,建立高效順暢的信息流通途徑,保證供應(yīng)鏈的整體運(yùn)作效率,降低信息風(fēng)險(xiǎn)的可能性。

6. 推進(jìn)信息標(biāo)準(zhǔn)化。供應(yīng)鏈信息要達(dá)到準(zhǔn)確高效的目的,信息共享是前提。信息怎么樣才能有效共享,信息本身、信息處理以及信息傳遞的標(biāo)準(zhǔn)化是解決信息有效共享,提高運(yùn)作效率的根本保證。這就要求信息數(shù)據(jù)的格式、名稱、字段的規(guī)范,信息之間關(guān)系明確定義,信息處理遵循統(tǒng)一的程序,避免由于成員企業(yè)間信息差異造成的信息共享阻塞和中斷。

7. 提高網(wǎng)絡(luò)安全水平。供應(yīng)鏈?zhǔn)腔谛畔⒕W(wǎng)絡(luò)而存在的,網(wǎng)絡(luò)交易中的供應(yīng)鏈對網(wǎng)絡(luò)的依賴就更加突出。網(wǎng)絡(luò)安全狀況直接制約著基于供應(yīng)鏈的網(wǎng)絡(luò)交易的信息安全水平。網(wǎng)絡(luò)病毒是網(wǎng)絡(luò)安全的主要威脅。在網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)病毒具有傳播快,影響廣,控制難度大的特點(diǎn)。這就要求從源頭來加以控制與管理。首先,主要由防毒軟件構(gòu)成的網(wǎng)絡(luò)安全屏障應(yīng)該具備,且能實(shí)時(shí)更新病毒數(shù)據(jù)庫。另外,對于威脅大、發(fā)生頻率高的主要網(wǎng)絡(luò)病毒,可有針對性的設(shè)計(jì)網(wǎng)絡(luò)安全策略。計(jì)算機(jī)操作系統(tǒng)和軟件也應(yīng)注意實(shí)時(shí)更新。而備用網(wǎng)絡(luò)系統(tǒng)和軟件,在網(wǎng)絡(luò)威脅發(fā)生且一時(shí)難以控制的情況下,能保證供應(yīng)鏈的正常運(yùn)營和網(wǎng)絡(luò)交易的繼續(xù)。

參考文獻(xiàn)

1. 馬國順,宋偉偉.基于交易平臺的C2C完全信息博弈分析.現(xiàn)代情報(bào),2010,(6):3-5,15.

2. 陳璐. 基于我國市場環(huán)境下網(wǎng)絡(luò)購物風(fēng)險(xiǎn)防范對策研究.江蘇商論,2011,(3):47-49.

3. 賈煒瑩,劉永勝,張劍.基于不對稱信息的供應(yīng)鏈契約風(fēng)險(xiǎn)管理.商業(yè)研究,2011,(1):57-62.

第2篇:網(wǎng)絡(luò)安全攻擊應(yīng)急預(yù)案范文

隨著全球信息化程度的加深,CDN已經(jīng)成為互聯(lián)網(wǎng)上向用戶提供服務(wù)的重要系統(tǒng)之一,一方面由于CDN位于內(nèi)容源站和終端用戶之間的特殊物理位置,能夠抵御一部分對源站的安全攻擊,從而提高源站的安全性;另外一方面,隨著CDN越來越多地服務(wù)于重要國家部門、金融機(jī)構(gòu)、網(wǎng)絡(luò)媒體、商業(yè)大型網(wǎng)站,并經(jīng)常承擔(dān)奧運(yùn)會、國慶等重大活動,保障CDN自身的安全性、確保源站信息內(nèi)容安全準(zhǔn)確地分發(fā)給用戶也非常重要。一旦CDN出現(xiàn)業(yè)務(wù)中斷、數(shù)據(jù)被篡改等安全問題,可能對用戶使用互聯(lián)網(wǎng)服務(wù)造成大范圍嚴(yán)重影響,甚至可能影響社會穩(wěn)定。

標(biāo)準(zhǔn)工作開展背景

一直以來,國際國內(nèi)缺乏專門的標(biāo)準(zhǔn)明確CDN應(yīng)滿足的安全要求,今年《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》在中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA:ChinaCommunications StandardsAssociation)立項(xiàng),“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”討論了征求意見稿,相信CDN安全的標(biāo)準(zhǔn)化工作,能對促進(jìn)CDN服務(wù)商規(guī)范安全地提供服務(wù),從整體上提高CDN行業(yè)的安全防護(hù)水平提供指導(dǎo)。

美英等國家從20世紀(jì)70年代就開始研究等級保護(hù)、風(fēng)險(xiǎn)評估的相關(guān)內(nèi)容,制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標(biāo)準(zhǔn)。隨著通信網(wǎng)絡(luò)在國家政治、經(jīng)濟(jì)和社會發(fā)展過程中的基礎(chǔ)性和全局性作用與日俱增,這些發(fā)達(dá)國家越來越重視通信網(wǎng)絡(luò)安全,并上升到國家安全高度。我國也越來越重視網(wǎng)絡(luò)與信息安全保障,相繼了中辦【2003】27號《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中辦發(fā)【2006】11號《2006―2020年國家信息化發(fā)展戰(zhàn)略》等文件指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保障體系建設(shè)。

近五年通信網(wǎng)絡(luò)安全防護(hù)工作取得很大成效,指導(dǎo)通信網(wǎng)絡(luò)從業(yè)務(wù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、設(shè)備安全、物理環(huán)境安全、管理安全等各方面加固,提高了通信網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性、基礎(chǔ)電信運(yùn)營企業(yè)安全管理的規(guī)范性,也促進(jìn)了通信行業(yè)安全服務(wù)產(chǎn)業(yè)的快速發(fā)展。

隨著通信網(wǎng)絡(luò)安全防護(hù)工作逐步深入規(guī)范開展,2011年工業(yè)和信息化部組織開展了增值運(yùn)營企業(yè)的安全防護(hù)試點(diǎn),率先對新浪、騰訊、百度、阿里巴巴、萬網(wǎng)、空中信使運(yùn)營管理的網(wǎng)絡(luò)單元進(jìn)行定級備案、安全符合性評測和風(fēng)險(xiǎn)評估。

2011年,“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”組織研究起草《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》等8項(xiàng)安全防護(hù)標(biāo)準(zhǔn),工業(yè)和信息化部電信研究院、藍(lán)汛、網(wǎng)宿、清華大學(xué)、中國移動、中國電信、華為、中國互聯(lián)網(wǎng)協(xié)會等單位研究人員參與了標(biāo)準(zhǔn)的起草,目前這兩項(xiàng)標(biāo)準(zhǔn)的征求意見稿已經(jīng)在CCSA討論通過。

根據(jù)《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》,按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全、經(jīng)濟(jì)運(yùn)行、社會秩序、公眾利益的危害程度,由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》明確了一級至五級CDN系統(tǒng)應(yīng)該滿足的安全等級保護(hù)要求,級別越高,CDN需滿足的安全要求越多或越嚴(yán)格?!痘ヂ?lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》明確了對CDN進(jìn)行安全符合性評測的方法、內(nèi)容、評價(jià)原則等,有助于深入檢查企業(yè)是否落實(shí)了安全防護(hù)要求。

CDN安全防護(hù)內(nèi)容

CDN位于內(nèi)容源站與終端用戶之間,主要通過內(nèi)容的分布式存儲和就近服務(wù)提高內(nèi)容分發(fā)的效率,改善互聯(lián)網(wǎng)絡(luò)的擁塞狀況,進(jìn)而提升服務(wù)質(zhì)量。通常CDN內(nèi)部由請求路由系統(tǒng)、邊緣服務(wù)器、運(yùn)營管理系統(tǒng)、監(jiān)控系統(tǒng)組成,CDN外部與內(nèi)容源站以及終端用戶相連。CDN是基于開放互聯(lián)網(wǎng)的重疊網(wǎng),與承載網(wǎng)松耦合。

CDN主要是為互聯(lián)網(wǎng)上的各種業(yè)務(wù)應(yīng)用提供內(nèi)容分發(fā)服務(wù),以顯著提高互聯(lián)網(wǎng)用戶的訪問速度,所以保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全和CDN業(yè)務(wù)系統(tǒng)安全至關(guān)重要,保障CDN的基礎(chǔ)設(shè)施安全、管理安全,有效實(shí)施災(zāi)難備份及恢復(fù)等也是CDN安全防護(hù)應(yīng)該考慮的重要內(nèi)容。因此CDN的安全防護(hù)可從數(shù)據(jù)內(nèi)容安全、業(yè)務(wù)系統(tǒng)安全、基礎(chǔ)設(shè)施安全、管理安全、災(zāi)難備份及恢復(fù)幾方面考慮。

(1)CDN數(shù)據(jù)內(nèi)容安全

為保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全,需要確保CDN與源站數(shù)據(jù)內(nèi)容一致,并進(jìn)行版權(quán)保護(hù),記錄管理員的操作維護(hù)并定期審計(jì),一旦發(fā)現(xiàn)不良信息能夠及時(shí)清除,同時(shí)提供防御來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊并對源站進(jìn)行保護(hù)的能力。

數(shù)據(jù)一致性:CDN企業(yè)提供對內(nèi)容污染的防御能力,識別和丟棄污染的內(nèi)容,保障重要數(shù)據(jù)內(nèi)容的一致性和完整性;保證CDN平臺內(nèi)部傳輸數(shù)據(jù)的一致性;防止分發(fā)的內(nèi)容被非法引用(即防盜鏈)。

版權(quán)保護(hù):按照源站要求提供內(nèi)容鑒權(quán)、用戶鑒權(quán)、IP地址鑒權(quán)、終端鑒別以及組合鑒權(quán)等方式對源站內(nèi)容進(jìn)行版權(quán)保護(hù)。

安全審計(jì):記錄管理員(含源站管理員和CDN系統(tǒng)內(nèi)部管理員)對CDN系統(tǒng)的管理操作,留存日志記錄并定期審計(jì)。

不良信息清除:一旦發(fā)現(xiàn)CDN系統(tǒng)內(nèi)部含不良信息,應(yīng)在內(nèi)容源站或主管部門要求時(shí)間內(nèi),完成全網(wǎng)服務(wù)器屏蔽或清除不良信息。

防攻擊和源站保護(hù):引入CDN后不應(yīng)降低內(nèi)容源站的安全水平,同時(shí)CDN在一定程度上提供對內(nèi)容源站的抗攻擊保護(hù)。

(2)CDN業(yè)務(wù)系統(tǒng)安全

為保障CDN的業(yè)務(wù)系統(tǒng)安全,需要從結(jié)構(gòu)安全、訪問控制、入侵防范等方面進(jìn)行安全保護(hù),另外鑒于請求路由系統(tǒng)(即DNS系統(tǒng))在CDN系統(tǒng)中的重要性以及目前DNS系統(tǒng)存在脆弱性,需要保障請求路由系統(tǒng)的安全。

結(jié)構(gòu)安全:CDN企業(yè)在節(jié)點(diǎn)部署時(shí)應(yīng)考慮防范安全攻擊,如為服務(wù)器單節(jié)點(diǎn)服務(wù)能力留出足夠的冗余度、配置實(shí)時(shí)備份節(jié)點(diǎn)等。

訪問控制:對管理員操作維護(hù)進(jìn)行身份認(rèn)證并進(jìn)行最小權(quán)限分配,從IP地址等方面限制訪問。

入侵防范:關(guān)閉不必要的端口和服務(wù),CDN能夠抵御一定的安全攻擊并快速恢復(fù)。

請求路由系統(tǒng)安全:部署多個內(nèi)部DNS節(jié)點(diǎn)進(jìn)行冗余備份,并對DNS進(jìn)行安全配置。

(3)CDN基礎(chǔ)設(shè)施安全

保障CDN的基礎(chǔ)設(shè)施安全,可從主機(jī)安全、物理環(huán)境安全、網(wǎng)絡(luò)及安全設(shè)備防護(hù)等方面進(jìn)行保護(hù)。

主機(jī)安全:企業(yè)對CDN的操作系統(tǒng)和數(shù)據(jù)庫的訪問進(jìn)行訪問控制,記錄操作并定期進(jìn)行安全審計(jì);操作系統(tǒng)遵循最小授權(quán)原則,及時(shí)更新補(bǔ)丁,防止入侵;對服務(wù)器的CPU、硬盤、內(nèi)存等使用情況進(jìn)行監(jiān)控,及時(shí)處置告警信息。

物理環(huán)境安全:機(jī)房應(yīng)選擇合適的地理位置,對機(jī)房訪問應(yīng)進(jìn)行控制,防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護(hù)等方面均應(yīng)采取一定的防護(hù)措施,并確保電力持續(xù)供應(yīng)。

網(wǎng)絡(luò)及安全設(shè)備防護(hù):IP承載網(wǎng)需要從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)保護(hù)與恢復(fù)、網(wǎng)絡(luò)攻擊防范等方面進(jìn)行保護(hù)。

(4)CDN管理安全

規(guī)范有效的管理對于保障信息系統(tǒng)的安全具有重要作用,可從機(jī)構(gòu)、人員、制度等方面進(jìn)行保障,同時(shí)應(yīng)將安全管理措施貫穿系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維全過程。

機(jī)構(gòu):通過加強(qiáng)崗位設(shè)置、人員配備、授權(quán)審批、溝通合作等形成強(qiáng)有力的安全管理機(jī)構(gòu)。

人員:在人員錄用、離崗、考核、安全意識教育和培訓(xùn)、外部人員訪問等環(huán)節(jié)加強(qiáng)對人員的管理。

制度:對重要的安全工作制訂管理制度,確保制度貫徹執(zhí)行,根據(jù)安全形勢的變化和管理需要及時(shí)修訂完善安全制度。

安全建設(shè):在系統(tǒng)定級備案、方案設(shè)計(jì)、產(chǎn)品采購、系統(tǒng)研發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、選擇安全服務(wù)商等環(huán)節(jié)進(jìn)行安全管理,分析安全需求、落實(shí)安全措施。CDN企業(yè)在新建、改建、擴(kuò)建CDN時(shí),應(yīng)當(dāng)同步建設(shè)安全保障設(shè)施,并與主體工程同時(shí)驗(yàn)收和投入運(yùn)行。安全保障設(shè)施的新建、改建、擴(kuò)建費(fèi)用,需納入建設(shè)項(xiàng)目概算。

安全運(yùn)維:在系統(tǒng)運(yùn)行維護(hù)過程中對物理環(huán)境、介質(zhì)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、安全監(jiān)測、密碼、備份與恢復(fù)等加強(qiáng)安全管理,提高對惡意代碼防范、安全事件處置、應(yīng)急預(yù)案制訂與演練的管理。

(5)災(zāi)難備份及恢復(fù)

可通過配置足夠的冗余系統(tǒng)、設(shè)備及鏈路,備份數(shù)據(jù),提高人員和技術(shù)支持能力、運(yùn)行維護(hù)管理能力,制訂完善的災(zāi)難恢復(fù)預(yù)案,提高CDN企業(yè)的抗災(zāi)難和有效恢復(fù)CDN的能力。

冗余系統(tǒng)、設(shè)備及鏈路:運(yùn)營管理系統(tǒng)、請求路由系統(tǒng)等核心系統(tǒng)應(yīng)具備冗余能力,在多個省份備份,發(fā)生故障后能及時(shí)切換;CDN設(shè)備的處理能力應(yīng)有足夠的冗余度;核心系統(tǒng)間的鏈路應(yīng)有冗余備份。

備份數(shù)據(jù):系統(tǒng)配置數(shù)據(jù)、源站托管數(shù)據(jù)等關(guān)鍵數(shù)據(jù)應(yīng)定期同步備份。

人員和技術(shù)支持能力:應(yīng)為用戶提供7×24小時(shí)技術(shù)支持,員工應(yīng)經(jīng)過培訓(xùn)并通過考核才能上崗。

運(yùn)行維護(hù)管理能力:運(yùn)維人員應(yīng)能及時(shí)發(fā)現(xiàn)系統(tǒng)異常事件,在規(guī)定事件內(nèi)上報(bào)企業(yè)管理人員、客服人員,做好對客戶的解釋工作。

災(zāi)難恢復(fù)預(yù)案:應(yīng)根據(jù)可能發(fā)生的系統(tǒng)故障情況制訂詳細(xì)的災(zāi)難恢復(fù)預(yù)案,組織對預(yù)案的教育、培訓(xùn)和演練。

CDN標(biāo)準(zhǔn)展望

2011年制訂的CDN標(biāo)準(zhǔn)還只是一個嘗試,目前《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測要求》僅對作為第三方對外提供互聯(lián)網(wǎng)內(nèi)容分發(fā)服務(wù)的CDN提出安全防護(hù)要求和檢測要求,隨著后續(xù)CDN安全防護(hù)工作的深入開展、CDN面臨的安全風(fēng)險(xiǎn)不斷變化,CDN安全防護(hù)標(biāo)準(zhǔn)還會不斷修訂完善。

第3篇:網(wǎng)絡(luò)安全攻擊應(yīng)急預(yù)案范文

隨著網(wǎng)絡(luò)與信息技術(shù)在我們經(jīng)濟(jì)和生活各個領(lǐng)域的快速發(fā)展,企業(yè)也紛紛打造自身的網(wǎng)絡(luò)信息平臺。信息技術(shù)正逐漸影響著我們生活和工作的方式,在信息技術(shù)帶給我們巨大便利的同時(shí),網(wǎng)絡(luò)與信息安全的各類問題也在不斷攀升。面對眾多網(wǎng)絡(luò)攻擊行為,安全風(fēng)險(xiǎn)面臨重要的挑戰(zhàn)。因此,探討企業(yè)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn),強(qiáng)化安全防護(hù)管理措施,保障企業(yè)業(yè)務(wù)安全穩(wěn)定發(fā)展具有十分重要的意義。

關(guān)鍵詞

企業(yè)網(wǎng)絡(luò);信息安全;防護(hù)

隨著網(wǎng)絡(luò)與信息技術(shù)在我們經(jīng)濟(jì)和生活各個領(lǐng)域的快速發(fā)展,企業(yè)也紛紛打造自身的網(wǎng)絡(luò)信息平臺。信息技術(shù)正逐漸影響著我們生活和工作的方式,在信息技術(shù)帶給我們巨大便利的同時(shí),網(wǎng)絡(luò)與信息安全的各類問題也在不斷攀升。面對眾多網(wǎng)絡(luò)攻擊行為,安全風(fēng)險(xiǎn)面臨重要的挑戰(zhàn)。因此,探討企業(yè)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn),強(qiáng)化安全防護(hù)管理措施,保障企業(yè)業(yè)務(wù)安全穩(wěn)定發(fā)展具有十分重要的意義。

1網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)分析

面對日益增加,不斷涌現(xiàn)的網(wǎng)絡(luò)攻擊行為,企業(yè)在鞏固和加強(qiáng)基本的網(wǎng)絡(luò)與信息安全的基礎(chǔ)上,仍不同程度上存在一定的安全風(fēng)險(xiǎn),主要包括以下方面。

1.1物理安全風(fēng)險(xiǎn)

物理安全是網(wǎng)絡(luò)與信息系統(tǒng)安全的基礎(chǔ)。物理安全風(fēng)險(xiǎn)主要包括雷擊、水災(zāi)、火災(zāi)等環(huán)境事故導(dǎo)致大部分或整個系統(tǒng)的癱瘓;供配電系統(tǒng)故障導(dǎo)致設(shè)備斷電而造成的業(yè)務(wù)服務(wù)中斷;機(jī)房環(huán)控及報(bào)警系統(tǒng)缺失造成設(shè)備被盜、被損;電磁輻射可能造成重要數(shù)據(jù)的信息泄露或非法截獲;人為操作失誤或錯誤造成的系統(tǒng)宕機(jī)或數(shù)據(jù)庫信息丟失等。

1.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

企業(yè)在網(wǎng)絡(luò)平臺建設(shè)的初期,安全意識不高,沒有從整體網(wǎng)絡(luò)與信息安全的角度出發(fā)進(jìn)行統(tǒng)籌規(guī)劃,網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)主要存在網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險(xiǎn)、網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)、入侵檢測風(fēng)險(xiǎn)、流量管理風(fēng)險(xiǎn)、遠(yuǎn)程安全接入風(fēng)險(xiǎn)5個方面。網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險(xiǎn)方面,企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中缺少冗余設(shè)計(jì),網(wǎng)絡(luò)中關(guān)鍵設(shè)備易形成單點(diǎn)故障,影響了整體網(wǎng)絡(luò)系統(tǒng)故障恢復(fù)的能力。網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)方面,企業(yè)網(wǎng)絡(luò)系統(tǒng)中不同網(wǎng)絡(luò)區(qū)域間通信管控能力不足,數(shù)據(jù)的安全訪問不能得到有效控制,存在非法訪問的風(fēng)險(xiǎn)。入侵檢測風(fēng)險(xiǎn)方面,在企業(yè)局域網(wǎng)內(nèi)缺少入侵檢測手段,無法對局域網(wǎng)內(nèi)引發(fā)的網(wǎng)絡(luò)安全攻擊事件進(jìn)行有效檢測與報(bào)警。入侵者通過滲透以獲取用戶系統(tǒng)控制權(quán),并傳播木馬病毒形成僵尸網(wǎng)絡(luò),甚至發(fā)起拒絕服務(wù)攻擊,使企業(yè)的業(yè)務(wù)服務(wù)面臨中斷風(fēng)險(xiǎn)。流量管理風(fēng)險(xiǎn)方面,企業(yè)用戶在網(wǎng)絡(luò)帶寬使用過程中,存在過度資源濫用情況,業(yè)務(wù)流量帶寬受到擠壓,帶寬使用效率大幅降低。遠(yuǎn)程接入風(fēng)險(xiǎn)方面,企業(yè)網(wǎng)絡(luò)系統(tǒng)沒有采取可信認(rèn)證與加密遠(yuǎn)程接入的訪問機(jī)制,造成非可信身份訪問企業(yè)內(nèi)部網(wǎng)絡(luò),導(dǎo)致信息泄露風(fēng)險(xiǎn)。

1.3系統(tǒng)安全風(fēng)險(xiǎn)

系統(tǒng)安全風(fēng)險(xiǎn)一般指主機(jī)或終端自身系統(tǒng)防護(hù)能力不足導(dǎo)致容易發(fā)生病毒和惡意代碼攻擊、非法使用、數(shù)據(jù)截取等安全事件。系統(tǒng)安全風(fēng)險(xiǎn)主要包括身份認(rèn)證風(fēng)險(xiǎn)、系統(tǒng)安全配置風(fēng)險(xiǎn)、系統(tǒng)漏洞風(fēng)險(xiǎn)、病毒和惡意代碼風(fēng)險(xiǎn)這4個方面。身份認(rèn)證風(fēng)險(xiǎn)方面,企業(yè)在網(wǎng)絡(luò)系統(tǒng)中由于采用單一身份鑒別技術(shù),導(dǎo)致攻擊者易假冒合法用戶獲得資源的訪問權(quán)限,對系統(tǒng)和數(shù)據(jù)安全造成威脅。系統(tǒng)漏洞與安全配置風(fēng)險(xiǎn)方面,由于系統(tǒng)補(bǔ)丁未得到及時(shí)更新,安全配置未能形成統(tǒng)一化、標(biāo)準(zhǔn)化安全部署,導(dǎo)致企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)存在大量的安全盲點(diǎn)。病毒和惡意代碼風(fēng)險(xiǎn)方面,企業(yè)網(wǎng)絡(luò)中主機(jī)及終端系統(tǒng)中防病毒軟件升級滯后,導(dǎo)致防護(hù)軟件存在查殺能力不足,系統(tǒng)易受病毒和惡意代碼的攻擊。

1.4應(yīng)用安全風(fēng)險(xiǎn)

應(yīng)用安全風(fēng)險(xiǎn)涉及很多方面,并且與具體的應(yīng)用有關(guān)。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的,需要我們針對不同的應(yīng)用進(jìn)行安全漏洞的檢測,從而采取相應(yīng)的安全措施,降低應(yīng)用的安全風(fēng)險(xiǎn)。應(yīng)用安全風(fēng)險(xiǎn)主要包括文件及數(shù)據(jù)庫安全風(fēng)險(xiǎn)、病毒侵害風(fēng)險(xiǎn)、未經(jīng)授權(quán)的訪問、數(shù)據(jù)信息篡改,破壞了數(shù)據(jù)的完整性等。

1.5管理安全風(fēng)險(xiǎn)

安全管理是網(wǎng)絡(luò)與信息安全得到保證的重要組成部分,從管理層面分析,管理安全風(fēng)險(xiǎn)主要包括:安全管理制度不夠健全,關(guān)鍵活動的審批流程未建立或不夠明確,導(dǎo)致責(zé)權(quán)不明;工作人員的操作權(quán)限缺乏合理的劃分與分配,操作混亂;網(wǎng)絡(luò)安全管理和技術(shù)人員缺乏必要的安全意識、安全知識和教育的培訓(xùn);安全管理體系有待健全和完善,在主動防范網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)的管理手段有所不足,安全控制措施有待進(jìn)一步有效發(fā)揮。從上述網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)分析,由此所引發(fā)的安全事件,一般情況下將會導(dǎo)致網(wǎng)絡(luò)與信息系統(tǒng)在可用性、可靠性、可恢復(fù)性方面大幅下降。因此,針對安全風(fēng)險(xiǎn)制定切實(shí)可行的解決措施,提高網(wǎng)絡(luò)與信息安全的整體防護(hù)能力和水平,是保障企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運(yùn)行的關(guān)鍵所在。

2網(wǎng)絡(luò)與信息安全防護(hù)的主要措施

參照信息系統(tǒng)安全等級保護(hù)基本要求,根據(jù)網(wǎng)絡(luò)與信息安全建設(shè)存在的主要問題,切實(shí)結(jié)合企業(yè)自身實(shí)際需求,逐步建設(shè)形成多層保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系,將企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)工作落實(shí)到建設(shè)、防護(hù)、管理等的各個環(huán)節(jié),保障企業(yè)網(wǎng)絡(luò)與信息安全的整體性。因此,根據(jù)此主要思路提出保障企業(yè)網(wǎng)絡(luò)與信息安全的總體原則與主要措施意見。

2.1總體原則

1)統(tǒng)籌規(guī)劃,分步實(shí)施。建立健全完善企業(yè)網(wǎng)絡(luò)與信息整體安全防護(hù)體系是一項(xiàng)長期的系統(tǒng)工程,其所涉及到各層面、各系統(tǒng)的安全問題要在國家信息安全法律法規(guī)及標(biāo)準(zhǔn)規(guī)范框架內(nèi),根據(jù)對信息安全風(fēng)險(xiǎn)分析的綜合考慮進(jìn)行統(tǒng)籌規(guī)劃,制定統(tǒng)一、完整、動態(tài),可控的安全防護(hù)系統(tǒng)設(shè)計(jì),分步驟、分階段的進(jìn)行實(shí)施。

2)以用促建,合理投入。為保障企業(yè)網(wǎng)絡(luò)系統(tǒng)長期、安全、穩(wěn)定運(yùn)行,依據(jù)企業(yè)網(wǎng)絡(luò)不同時(shí)期所面臨威脅的嚴(yán)重程度,在考慮安全防護(hù)經(jīng)費(fèi)投入與數(shù)據(jù)及其應(yīng)用系統(tǒng)防護(hù)價(jià)值的性價(jià)比基礎(chǔ)上實(shí)施安全防護(hù)體系的建設(shè)。安全設(shè)備在性能功能的選擇上,要安全適度,不盲目超前,既要滿足業(yè)務(wù)應(yīng)用當(dāng)前安全防護(hù)需求,又能適應(yīng)未來安全防護(hù)的調(diào)整升級。

3)主動預(yù)防為主,應(yīng)急恢復(fù)為輔??紤]到現(xiàn)代網(wǎng)絡(luò)安全防護(hù)的復(fù)雜性和多變性,企業(yè)網(wǎng)絡(luò)與信息安全防護(hù),應(yīng)以主動預(yù)防為主,盡量將安全隱患消除在安全事件發(fā)生之前。要提前制定好安全事件處理的應(yīng)急預(yù)案,熟悉并掌握應(yīng)對各種事件發(fā)生的安全措施及辦法,最大限度地降低安全事件的損失程度。

4)動態(tài)管理,持續(xù)改進(jìn)。企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)是一個動態(tài)的變化過程,要對安全風(fēng)險(xiǎn)實(shí)施動態(tài)管理,針對不斷出現(xiàn)的新的安全威脅與漏洞持續(xù)改進(jìn)完善企業(yè)網(wǎng)絡(luò)安全措施,始終將網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)控制在可接受的范圍。

2.2主要措施意見

1)合理劃分網(wǎng)絡(luò)安全區(qū)域。企業(yè)從整體網(wǎng)絡(luò)與信息安全角度出發(fā),綜合分析網(wǎng)絡(luò)系統(tǒng)中存在的普遍問題,采取結(jié)構(gòu)化網(wǎng)絡(luò)設(shè)計(jì)思想,結(jié)合網(wǎng)絡(luò)安全域劃分原則,對企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行合理的安全區(qū)域劃分。依據(jù)安全域劃分,建議采取相應(yīng)的網(wǎng)絡(luò)邊界安全防護(hù)措施,實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離,邊界間聯(lián)合防御,對病毒進(jìn)行有效攔截及區(qū)域管控。在應(yīng)對滲透攻擊方面也能積極起到縱深防御效果,完善企業(yè)網(wǎng)絡(luò)系統(tǒng)抗攻擊,抗風(fēng)險(xiǎn)的能力。

2)規(guī)范網(wǎng)絡(luò)資源的有效使用。規(guī)范企業(yè)網(wǎng)絡(luò)資源的有效使用,增強(qiáng)局域網(wǎng)終端用戶的安全審計(jì),有效對網(wǎng)絡(luò)中的各種行為采取更加細(xì)粒度的安全識別和控制的措施。同時(shí),可對網(wǎng)絡(luò)流量、終端上網(wǎng)行為進(jìn)行實(shí)時(shí)分析和審計(jì),做到有據(jù)可查。從而,有效優(yōu)化網(wǎng)絡(luò)資源使用效率,幫助企業(yè)管理層全面了解網(wǎng)絡(luò)應(yīng)用狀況與趨勢,增強(qiáng)網(wǎng)絡(luò)資源對企業(yè)業(yè)務(wù)服務(wù)提供強(qiáng)支撐能力。

3)增強(qiáng)終端用戶的網(wǎng)絡(luò)安全防護(hù)措施。增強(qiáng)企業(yè)網(wǎng)絡(luò)安全意識,提高終端用戶安全防護(hù)措施,采取網(wǎng)絡(luò)防病毒、終端安全核心配置等措施,通過安全策略的統(tǒng)一分發(fā)及部署,企業(yè)管理人員可全面直觀掌握網(wǎng)絡(luò)中的安全狀況,如終端漏洞、終端病毒、終端升級等情況一目了然。有助于管理人員提高企業(yè)安全風(fēng)險(xiǎn)分析的能力及快速解除安全威脅的響應(yīng)能力。

4)創(chuàng)新開展具有自身特色的網(wǎng)絡(luò)運(yùn)維管理服務(wù)新模式。面對信息化技術(shù)的飛速發(fā)展及網(wǎng)絡(luò)應(yīng)用的不斷深入,在增強(qiáng)自身網(wǎng)絡(luò)安全意識的同時(shí),應(yīng)不斷學(xué)習(xí)新的防范技術(shù),豐富防范手段;不斷借鑒成熟的技術(shù)成果,對照自身網(wǎng)絡(luò)特點(diǎn),研究符合自身網(wǎng)絡(luò)安全防護(hù)技術(shù),不斷深入實(shí)踐,總結(jié)經(jīng)驗(yàn)教訓(xùn),把技術(shù)理論與實(shí)踐經(jīng)驗(yàn)有效結(jié)合,創(chuàng)新開展具有自身特色的網(wǎng)絡(luò)運(yùn)維管理服務(wù)新模式。

第4篇:網(wǎng)絡(luò)安全攻擊應(yīng)急預(yù)案范文

關(guān)鍵詞:信息系統(tǒng);弊端;對策

中圖分類號:TP315 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2016)08-0110-02

計(jì)算機(jī)信息管理系統(tǒng)簡稱CIMS(computer information management system)是一種面向價(jià)值信息和基于計(jì)算機(jī)管理活動的系統(tǒng),是在計(jì)算機(jī)硬軟件和網(wǎng)絡(luò)環(huán)境下,并通過現(xiàn)代信息技術(shù)處理后的一個人機(jī)交互的管理信息系統(tǒng)。它具有以現(xiàn)代計(jì)算機(jī)硬件和網(wǎng)絡(luò)平臺為處理環(huán)境,由人,信息技術(shù)(含數(shù)據(jù)文件)和運(yùn)行規(guī)程三大元素組成,其核心部分是管理系統(tǒng)。CIMS能充分利用現(xiàn)代信息技術(shù)處理技術(shù),自動或半自動采集,存儲,處理,分析,傳遞和反饋重要的信息。

計(jì)算機(jī)信息系統(tǒng)弊端主要分為三種情況:一是由于計(jì)算機(jī)專業(yè)人員專業(yè)知識不扎實(shí),操作能力低,職業(yè)道德素質(zhì)差導(dǎo)致;二是由于國家對各類信息系統(tǒng)流入市場的監(jiān)督不嚴(yán);三是由于信息系統(tǒng)固有缺陷。

1 計(jì)算機(jī)信息系統(tǒng)弊端的表現(xiàn)形式

1.1 計(jì)算機(jī)信息系統(tǒng)內(nèi)部數(shù)據(jù)不符合實(shí)際情況

計(jì)算機(jī)信息系統(tǒng)內(nèi)部數(shù)據(jù)不真實(shí)是指計(jì)算機(jī)人員通過添加,減少,更改輸入計(jì)算機(jī)核算系統(tǒng)的數(shù)據(jù),或者輸入偽造的業(yè)務(wù)和數(shù)據(jù),并對已有業(yè)務(wù)進(jìn)行變改,將原本完整的業(yè)務(wù)人為切割成若干部分,分次錄入計(jì)算機(jī)信息系統(tǒng),偽造輸出數(shù)據(jù),或者人為調(diào)整輸出信息,非法進(jìn)入計(jì)算機(jī)信息系統(tǒng),篡改計(jì)算機(jī)核算系統(tǒng)生成的數(shù)據(jù),利用內(nèi)部控制信息系統(tǒng)的缺陷訪問機(jī)密文件,破壞計(jì)算機(jī)系統(tǒng)硬件或者損壞其軟件,包括制造或傳播計(jì)算機(jī)病毒,企圖癱瘓計(jì)算機(jī)信息系統(tǒng),消除計(jì)算機(jī)內(nèi)存信息數(shù)據(jù)等方式,造成計(jì)算機(jī)信息系統(tǒng)內(nèi)部數(shù)據(jù)不符合實(shí)際情況。

1.2 計(jì)算機(jī)信息系統(tǒng)內(nèi)部設(shè)計(jì)不完善

計(jì)算機(jī)信息系統(tǒng)內(nèi)部設(shè)計(jì)不完善是指計(jì)算機(jī)信息在存儲介質(zhì)上的安全問題與系統(tǒng)本身的設(shè)計(jì)理念與代碼等問題。一方面,TCP/IP協(xié)議數(shù)據(jù)流采用的是明文傳輸,因此計(jì)算機(jī)信息系統(tǒng)里面的信息很容易被盜取,篡改和偽造,特別是在使用FTP和TELNET命令時(shí),如果用戶的賬號,口令是明文傳輸?shù)?,盜取者就可以使用sniffer等軟件截取信息系統(tǒng)里面財(cái)會人員的用戶賬號和登陸口令。

2 計(jì)算機(jī)信息系統(tǒng)弊端的原因

2.1 計(jì)算機(jī)內(nèi)部安全性差

計(jì)算機(jī)內(nèi)部安全性包括通過實(shí)施計(jì)算機(jī)內(nèi)部軟件保護(hù),保證軟件安全,保證內(nèi)部數(shù)據(jù)安全等。計(jì)算機(jī)內(nèi)部安全的研究內(nèi)容非常廣泛,包括軟件的防盜,操作系統(tǒng)的安全,磁盤上的數(shù)據(jù)防破壞,防盜取以及磁盤上的數(shù)據(jù)備份與恢復(fù)等。由于磁盤容量較大,存儲數(shù)據(jù)方便,所以磁盤是目前存放計(jì)算機(jī)信息最常使用的載體。但由于磁性本身的介質(zhì)都具有剩余磁效應(yīng)現(xiàn)象,保留在磁性存儲介質(zhì)中的數(shù)據(jù)可能會使存儲介質(zhì)永久性磁化,所以保存在磁性本身介質(zhì)上的數(shù)據(jù)可能會沒有清除干凈,永痕的保留在磁盤上。對于一些重要的信息,盡管已經(jīng)使用擦除軟件等手段擦除了信息。但如果擦除不徹底,就會在磁上面留下重要數(shù)據(jù)的跡印,一旦被別人利用,通過用強(qiáng)靈敏度磁頭等一些放大器材可以將磁上的數(shù)據(jù)還原,造成計(jì)算機(jī)數(shù)據(jù)的泄密。

另外,在計(jì)算機(jī)操作系統(tǒng)中,使用類似格式化命名時(shí)format或刪除命令del時(shí),僅僅能破壞或刪除文件的目錄結(jié)構(gòu)和文件指針等信息,磁盤上的原有文件內(nèi)容仍然原封不動的保留在磁盤上,只要不在磁盤中另存放數(shù)據(jù),使unformat等方法就可以非常完整地將在磁盤上的數(shù)據(jù)恢復(fù)出來。而且,在如今流行的windows操作系統(tǒng)下甚至可以從回收站找回被清除的信息數(shù)據(jù),利用這些內(nèi)部安全問題就能夠盜取重要的機(jī)密數(shù)據(jù)。

2.2 計(jì)算機(jī)信息系統(tǒng)機(jī)密技術(shù)不強(qiáng)

計(jì)算機(jī)信息系統(tǒng)加密技術(shù)不強(qiáng)是指計(jì)算機(jī)信息系統(tǒng)中的信息很容易被盜密者利用計(jì)算機(jī)專業(yè)技術(shù)盜取。第一種方式就是盜密者通過唯密文的計(jì)算機(jī)技術(shù)方法對計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)進(jìn)行盜取。在這種方式下,盜密者除了擁有所截獲的一些消息密文外,沒有其他可利用的信息,盜密者通過盡可能多的密文去推算出加密信息的密匙,從而輕松的推算出信息系統(tǒng)的賬戶與登錄密碼。第二種方式就是盜密者已經(jīng)掌握了相當(dāng)數(shù)量的密文,并且已經(jīng)了解一些明文密對,盜密者通過用加密信息想出用來加密的密匙或者一個算法,進(jìn)而推算出信息系統(tǒng)財(cái)務(wù)人員登錄系統(tǒng)的賬號和密碼。

2.3 計(jì)算機(jī)網(wǎng)絡(luò)安全隱患

計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件,軟件及其系統(tǒng)中的信息得到安全保障,不因偶然的原因而遭到破壞,篡改,泄露,系統(tǒng)安全連續(xù)可靠正常的運(yùn)行,網(wǎng)絡(luò)連接不中斷。網(wǎng)絡(luò)安全隱患主要由兩大方面構(gòu)成:一方面是由于計(jì)算機(jī)網(wǎng)絡(luò)被攻擊者從網(wǎng)絡(luò)上盜取通信內(nèi)容,這類攻擊通常被稱為被動攻擊或者截獲。另一方面是由攻擊者通過主動攻擊方式造成計(jì)算機(jī)網(wǎng)絡(luò)安全隱患,常表現(xiàn)形式為攻擊者修改原本的信息內(nèi)容,這里也包括徹底中斷傳送的報(bào)文,甚至把完全偽造的報(bào)文傳送給接收方。

2.4 計(jì)算機(jī)技術(shù)人員專業(yè)知識不扎實(shí),操作能力不強(qiáng),素質(zhì)低

計(jì)算機(jī)信息系統(tǒng)的內(nèi)部結(jié)構(gòu),運(yùn)行情況,操作方法只有計(jì)算機(jī)專業(yè)技術(shù)人員才知道。內(nèi)部程序的使用,篡改,只有通過專業(yè)知識才能正確的操作。計(jì)算機(jī)專業(yè)技術(shù)人員通過告訴他人信息系統(tǒng)內(nèi)部操作方法,從中獲取利益,這樣的表現(xiàn)形式完全是由于計(jì)算機(jī)專業(yè)技術(shù)人員職業(yè)道德缺失造成的。另外,由于計(jì)算機(jī)專業(yè)在大學(xué)課程中整體難度較大,一般的人很難將其學(xué)精,學(xué)好,甚而至于有的計(jì)算機(jī)專業(yè)的學(xué)生打著是本專業(yè)人才的幌子,設(shè)計(jì)出低質(zhì)價(jià)高,使用不便的信息系統(tǒng)。

3 計(jì)算機(jī)信息系統(tǒng)弊端的解決對策

3.1 建立網(wǎng)絡(luò)信息各方面的安全體系

隨著信息化時(shí)代的到來,計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)安全問題也越來越復(fù)雜。因此,將計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)劃分為不同的業(yè)務(wù)區(qū)域,對計(jì)算機(jī)信息系統(tǒng)的每個版塊進(jìn)行不同等級的保護(hù),是進(jìn)行計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的首要步驟。計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)安全是指同一個系統(tǒng)內(nèi),根據(jù)信息系統(tǒng)的信息,使用方面,安全目標(biāo)和策略等元素的不同來劃分不同邏輯的子網(wǎng)或網(wǎng)絡(luò),每個邏輯區(qū)域內(nèi)部有相同的安全保護(hù)需求,相互信任,具有相同的安全訪問權(quán)限控制和邊界控制策略,而且相同的網(wǎng)絡(luò)安全領(lǐng)域共享同樣的安全策略。通過制定計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)安全分層保護(hù)可以使計(jì)算機(jī)網(wǎng)絡(luò)整體架構(gòu)更加清晰,為系統(tǒng)的安全規(guī)劃和設(shè)計(jì)提供保障,同時(shí)也可以使得計(jì)算機(jī)網(wǎng)絡(luò)安全問題的維護(hù)工作更加容易進(jìn)行。另外建立網(wǎng)絡(luò)安全體系也可以有效防范信息系統(tǒng)的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)信息各方面的安全體系可以用邊界防衛(wèi),入侵檢測與安全反應(yīng)等技術(shù)構(gòu)成。其一通過使用數(shù)據(jù)加密,數(shù)據(jù)完整性檢測,防火墻,訪問控制和公正仲裁等方式將安全邊界防衛(wèi)設(shè)置在需要保護(hù)的信息周邊,主要來阻止病毒入侵,黑客攻擊,冒名頂替,線路竊聽等試圖盜取信息系統(tǒng)內(nèi)部資料的行為。其二通過對行為,安全日志,審計(jì)數(shù)據(jù)或者其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測入侵者的攻擊行為與正常用戶的行為是否有明顯的差異,以此來判斷是否有入侵者想趁機(jī)破壞信息系統(tǒng)里面的信息,或者直接破壞信息系統(tǒng)的內(nèi)部運(yùn)行程序。

3.2加強(qiáng)計(jì)算機(jī)技術(shù)人員的繼續(xù)教育

計(jì)算機(jī)技術(shù)人員的專業(yè)知識和實(shí)際操作能力會嚴(yán)重影響到信息系統(tǒng)軟件的使用質(zhì)量。因此,一方面,學(xué)校應(yīng)加強(qiáng)重視對計(jì)算機(jī)專業(yè)技術(shù)人員的教育和實(shí)際操作能力的培訓(xùn),全面提高計(jì)算機(jī)技術(shù)人員的專業(yè)能力。同時(shí),計(jì)算機(jī)技術(shù)人員的職業(yè)道德素質(zhì)也會嚴(yán)重影響整個社會信息系統(tǒng)的安全性,通過對計(jì)算機(jī)技術(shù)專業(yè)人員職業(yè)道德素質(zhì)的教育,進(jìn)一步提高計(jì)算機(jī)專業(yè)人員的職業(yè)道德素質(zhì),讓他們時(shí)刻保持一顆正直,客觀,公正,不為利益出賣職業(yè)道德的職業(yè)心;另一方面,計(jì)算機(jī)專業(yè)人員也應(yīng)該自己進(jìn)行進(jìn)一步的自主學(xué)習(xí),不管在什么時(shí)候,都應(yīng)該保持學(xué)習(xí)的態(tài)度,時(shí)刻更新自己的專業(yè)知識,使自己的實(shí)際操作能力跟得上時(shí)代的步伐,設(shè)計(jì)出更符合時(shí)代進(jìn)步的信息系統(tǒng)。

3.3 增強(qiáng)計(jì)算機(jī)信息系統(tǒng)的加密技術(shù)

所謂加密技術(shù)就是最廣泛使用的保密措施,用各種方式把有用信息變?yōu)閬y碼傳輸,到達(dá)目的后再用技術(shù)手段還原信息。而計(jì)算機(jī)信息系統(tǒng)的加密技術(shù)是指通過加密的方法將財(cái)務(wù)人員的登陸賬號和登錄口令通過加密,產(chǎn)生不可理解的密文,讓盜密者在破解時(shí)所花費(fèi)的成本高于從盜取中所獲得的收益,從而使盜密者主動放棄盜取財(cái)務(wù)人員賬號和登陸密碼的想法。

在當(dāng)今社會必須要使用加密技術(shù)來保護(hù)信息系統(tǒng)中數(shù)據(jù)的安全。眾所周知,使用互聯(lián)網(wǎng)進(jìn)行傳輸、發(fā)送計(jì)算機(jī)信息系統(tǒng)里面的信息是日常業(yè)務(wù)往來中的重要手段,但是互聯(lián)網(wǎng)是基于TCP/IP協(xié)議存在,TCP/IP協(xié)議由于本身具有不安全性就需要引起人們的高度重視。為了保證信息系統(tǒng)內(nèi)部資料的保密性安全,可采取的加密等保護(hù)措施,包括數(shù)據(jù)加密、身份認(rèn)證和安全通信協(xié)議。數(shù)據(jù)加密是指發(fā)送方將一個消息通過加密密鑰和加密函數(shù)轉(zhuǎn)換為密文,而接收方就以相對稱的方法還原成明文。第一,常見的數(shù)據(jù)加密技術(shù)可以分為三種,一是利用密鑰加密技術(shù),即利用一個密鑰對消息加密,另一方得到消息后,使用同一個密鑰進(jìn)行解密。二是通過公開密鑰加密技術(shù),這種加密技術(shù)使用一對密鑰進(jìn)行加密,一個是公開密鑰,一個是私有密鑰。加密時(shí)使用公開密鑰對信息系統(tǒng)內(nèi)部資料進(jìn)行加密,接受者收到信息可以使用私有密鑰解密。三是不用考慮解密問題,用戶只需要對自己的資料進(jìn)行加密后,與原來的加密校對就可以了。

第二種是通過身份認(rèn)證來加強(qiáng)信息系統(tǒng)內(nèi)部資料的安全性,身份認(rèn)證是指用戶在登錄系統(tǒng)前,必須讓系統(tǒng)明白自己的身份,當(dāng)用戶身份的真實(shí)性得到確認(rèn)后,系統(tǒng)才可以確定用戶人員在系統(tǒng)中原先設(shè)好的操作權(quán)限。身份認(rèn)證的方法常分為知識、令牌、生理特征和行為特征的身份認(rèn)證等四種方法。通過上述的加密技術(shù),能有效地保護(hù)信息系統(tǒng)內(nèi)部資料的安全性、完整性。

3.4加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全管理措施

計(jì)算機(jī)信息系統(tǒng)保護(hù)安全管理的實(shí)施包括人員安全管理、系統(tǒng)建設(shè)安全管理和系統(tǒng)運(yùn)維管理三個方面。首先是進(jìn)行人員安全管理,依據(jù)國家計(jì)算機(jī)急響應(yīng)中心的數(shù)據(jù)資料,在所有計(jì)算機(jī)信息系統(tǒng)安全事件中,約有百分之五十二是由人為因素造成的,因此,人員安全管理和控制是信息系統(tǒng)安全管理中的重要環(huán)節(jié),是安全管理的關(guān)鍵,除加強(qiáng)法制建設(shè),通過法律制裁形成威懾,并通過倫理道德教育,提高計(jì)算機(jī)技術(shù)人員的職業(yè)道德素質(zhì)外,還應(yīng)采取科學(xué)的管理措施,減少計(jì)算機(jī)專業(yè)技術(shù)人員作案的機(jī)態(tài),其次是進(jìn)行系統(tǒng)建設(shè)安全管理,由于系統(tǒng)建設(shè)的過程將在很大程度上決定信息系統(tǒng)的定位和雛形,系統(tǒng)建設(shè)初期的管理不善,很有可能會引起后期系統(tǒng)應(yīng)用技術(shù) 的混亂,并進(jìn)一步導(dǎo)致信息系統(tǒng)安全隱患的產(chǎn)生。所以,對于系統(tǒng)的建設(shè)應(yīng)該建立一套完整的管理方案,用完善的管理措施對其進(jìn)行管理,這樣不僅僅可以保證建設(shè)過程的有序和安全,對于安全事件產(chǎn)生原因的追溯和補(bǔ)救措施的應(yīng)用都有著非常有效的作用。信息系統(tǒng)建設(shè)管理包括系統(tǒng)定級,安全方案設(shè)計(jì),產(chǎn)品采購和使用,自行軟件開發(fā),工程實(shí)施,測試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇,系統(tǒng)備案和等級測試,最后是信息系統(tǒng)運(yùn)維管理。傳統(tǒng)的信息安全策略往往只著眼于防范來自外界的安全威脅和阻斷試圖進(jìn)入系統(tǒng)內(nèi)部的攻擊。然而,只考慮的威脅已經(jīng)不能滿足現(xiàn)今系統(tǒng)的安全需要,系統(tǒng)運(yùn)維管理主要的控制點(diǎn)包括環(huán)境管理、設(shè)備管理、資產(chǎn)管理、介質(zhì)管理、密碼管理、變更管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、安全事件處置、應(yīng)急預(yù)案管理、備份與恢復(fù)管理、監(jiān)控和安全中心管理共十三個控制點(diǎn)。

最后,企業(yè)在整個過程中也應(yīng)扮演重要的角色,具體包括人員錄用,人員離崗,人員考核和人員安全意識教育和培訓(xùn)。安全意識和教育是適當(dāng)?shù)牟㈥P(guān)聯(lián)于員工的角色、職責(zé)和技能,應(yīng)包括關(guān)于已知威脅的信息,向誰咨詢進(jìn)一步安全建設(shè)和合適的報(bào)告信息安全事故的渠道,可以包括信息安全風(fēng)險(xiǎn)與控制、法律責(zé)任、業(yè)務(wù)相關(guān)控制、信息處理設(shè)施的使用等。用人單位應(yīng)制定安全教育和培訓(xùn)計(jì)劃,針對不同崗位應(yīng)制定不同培訓(xùn)計(jì)劃,并按照計(jì)劃對各類在崗人員進(jìn)行安全意識教育,崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)可以通過書面安全策略,員工簽署業(yè)務(wù)保密協(xié)議,利用各媒體在單位內(nèi)部宣講安全問題,強(qiáng)制執(zhí)行安全規(guī)定,鼓勵員工蹲守職業(yè)道德精神。同時(shí),應(yīng)對安全責(zé)任和違法的懲戒措施進(jìn)行規(guī)定并告知相關(guān)人員,對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。

參考文獻(xiàn):

[1] 李超.信息系統(tǒng)安全等級保護(hù)實(shí)務(wù)[M].北京:科學(xué)出版社,2013.