網絡安全等級保護重要性
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全等級保護重要性范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全等級保護重要性范文第1篇
隨著信息系統安全等級保護、分級保護方面的政策和規范的,以及國家薩班斯法案內控審計要求的出臺,IT控制的重要性正逐步提升。信息系統進行等級保護,不是對整個系統進行同一等級的保護,而是對系統內不同業務區域進行不同等級的保護。因此,安全域劃分是進行信息安全等級保護的首要步驟。
安全域是指同一系統內根據信息性質、使用主體、安全目標和策略等元素的不同來劃分不同邏輯子網,每一個邏輯區域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區域內具有相互信任關系,同一安全域共享同樣的安全策略。
二、網絡安全域劃分的方式
安全域劃分需考慮網絡中業務系統訪問終端與業務主機的訪問關系,以及業務主機間的訪問關系,若業務主機間沒有任何訪問關系,則單獨考慮各業務系統安全域的劃分,若業務主機間有訪問關系,則幾個業務系統一起考慮安全域的劃分。一個物理網絡區域可以對應多個安全區域,而一個安全區域一般只對應一個物理網絡區域。
(一)劃分安全計算域
根據業務系統的功能實現機制、保護等級程度進行安全計算域的劃分,一般分為核心處理域和訪問域,其中數據庫服務器等后臺處理設備歸入核心處理域,前臺直接面對用戶的應用服務器歸入訪問域。
(二)劃分安全用戶域
根據業務系統的訪問用戶分類進行安全用戶域的劃分,訪問同類數據的用戶終端、需要進行相同級別保護劃為一類安全用戶域,一般分為管理用戶域、內部用戶域、外部用戶域等。
(三)劃分安全網絡域
安全網絡域是連接具有相同安全等級的計算域和用戶域組成的網絡域。網絡域的安全等級的確定與網絡所連接的安全用戶域和安全計算域的安全等級有關。一般同一網絡內可劃分三種安全域:外部域、接入域、內部域等。
三、根據業務功能特點進行安全域劃分
(一)兩級三層結構劃分
安全域劃分應與業務架構相融合,傳統的業務應用可歸結為B/S或者C/S結構。依據業務架構進行傳統結構劃分,稱為兩級三層結構劃分。此方式是在User與Application之間進行安全域劃分,同時在應用當中的Server與Mainframe之間進行安全域區分。
優點:可有效避免用戶訪問核心處理域,對現有系統改動較小,不影響現有業務應用;所有用戶對于核心處理域的請求必須由應用服務訪問域內的應用程序進行,并由應用程序進行反饋;避免用戶計算機對核心處理域主機的病毒傳播。
缺點:用戶可以通過客戶端提出非職責范圍內的信息查詢、維護等操作;缺少將用戶請求進行標準化的過程,對用戶請求的合法性分析缺乏統一驗證;核心處理域與應用服務訪問域的每一個應用成為邏輯的單線聯系。
(二)兩級四層結構劃分
針對上述問題,需要根據SOA框架技術和參照銀行金融業安全方式,進行業務邏輯更改,將業務安全架構系統劃分為User層、Application層;在Application層內部再次進行更加安全的考慮,將Application層再次細化為Presentation層(表示層)、Business層(業務處理層)、Back-end層(核心數據層),稱為兩級四層劃分。
優點:具備兩級三層優點,在Business層將用戶提出的請求進行統一檢查和日志,提供統一的服務接口,Presentation層將用戶請求標準化后提交給Business層,并將服務響應進行可視化表現。
缺點:對現有網絡和業務系統改動較大。
四、實際網絡環境的安全域劃分
(一)局域網、城域網、廣域網應劃分為不同安全域
安全域劃分關鍵是網絡邊界的劃分,一旦劃分了邊界,也就劃分了不同的域。在現有的信息系統中,劃分區域最便捷的方式就是依靠網絡類型進行邊界的劃分。
(二)局域網內部安全域劃分
局域網內部安全域劃分是安全域劃分的重點,可以依據業務的安全策略進行劃分,主要參考在各業務的業務功能、安全等級、局域網網絡結構三方面因素。
(1)根據業務功能特點劃分
不改變當前業務邏輯,可以使用兩級三層結構進行劃分:
終端用戶區域:所有應用的客戶端。主要包括為C/S結構的C端,B/S結構的B端。
管理用戶域:具有管理系統、網絡、應用等相關管理職能的用戶客戶端網絡。
內部用戶域:在局域網內部需使用信息系統的用戶端網絡。
外部用戶域:在局域網外部需訪問信息系統的用戶端網絡。
服務器域:包括所有服務器。為客戶端提供業務平臺,完成業務所需的所有服務處理,以及后臺數據存儲的功能。
應用服務訪問域:包括所有應用服務器。為主要為業務處理的中間層服務器。
核心處理域:核心數據存儲以及運算服務器,包括數據庫服務器等后臺處理設備。
(2)根據安全等級要求劃分
等級保護、分級保護是通過安全域劃分,將信息系統劃分為多個子系統。實施等級保護時,一定會落實到每一個安全域中去,等級保護的對象其實是安全域。在業務系統進行等級保護、分級保護定級工作后,將相同安全等級的應用業務系統部署在相同的安全域。
(3)根據網絡技術現狀劃分
局域網內部安全域劃分的技術基礎是VLAN。同一個VLAN內部的成員可以視為具有相同安全策略的對象,相互信任。VLAN邊界可以視為網絡邊界,在VLAN之間使用相應的安全策略,便實現了簡單的安全域劃分。
(三)安全域劃分的隔離措施
安全域進行劃分后主要采用邊界隔離、邊界訪問控制等技術手段,將不同安全域的網絡依據不同安全策略,實施必要的安全技術措施。
VLAN邏輯隔離是在同一臺交換機內,建立不同的VLAN,承載不同的安全域。此方法對于現有網絡支持較好,易于實施,但網絡安全風險較大。
IP邏輯隔離是在VLAN邏輯隔離的基礎上,不同安全域使用不同IP子網地址,實現數據鏈路層隔離和網絡層隔離。此方式對現有網絡改動較大,網絡安全風險一般。
物理隔離是不同安全域完全使用單獨網絡基礎設施,包括網線、交換機、路由器等設備,并且相互間沒有任何邏輯或物理連接。此方式投資相對較大,對現有網絡改動很大,但網絡安全風險最小。
五、安全域劃分后的安全技術措施
安全域劃分最主要的目的是落實安全策略,由于安全域邊界通常是基于網絡劃分,所以通常的方式是,在管理層面根據安全策略制定制度和要求,技術層面通過部署安全設備,使用相應的安全技術,實現安全域劃分后的安全要求。
(一)安全策略落實
制定安全策略,完善相關的管理制度,明確安全域之間的關系。使安全域內的實體和客體明確所處安全域的安全策略。
(二)制定訪問控制實施規定
根據安全策略確定安全域之間的連接為物理隔離、邏輯隔離或者相互信任,考慮采取訪問控制的方式。物理隔離可以從物理層面斷開網絡連接或者部署網閘設備;邏輯隔離可以部署防火墻、訪問控制列表等訪問控制手段;相互信任可以直接進行網絡連接。
(三)檢查網絡邊界以及進行內容級深度檢測
部署檢測設備,確認是否有非授權的網絡邊界連接,甚至串網現象。部署網絡流量監控設備,監控跨安全域的網絡流量是否正常,及時發現網絡入侵、滲透和攻擊等異常行為。
網絡安全等級保護重要性范文第2篇
關鍵詞:電子政務外網 安全保障體系 計算區域 網絡基礎設施 計算區域邊界 安全域 等級保護 風險評估
一、前言
國家電子政務外網(以下簡稱政務外網)是中辦發[2002]17號文件明確規定要建設的政務網絡平臺。政務外網是政府的業務專網,主要為黨委、人大、政府、政協、法院和檢察院各級政務部門服務,運行各級政務部門面向社會的專業業務和不需要在內網上運行的業務。
為保證電子政務外網的安全運行,中辦發[2003]27號文和[2006]18號文明確提出,電子政務外網與政務內網之間采用物理隔離,政務外網與互聯網之間采用邏輯隔離。政務外網的建設要按照信息安全等級保護的有關要求,分別采用相應的保護措施,通過建立統一的密碼和密鑰管理體系、網絡信任體系和安全管理體系,分級、分層、分域保障信息安全。
二、政務外網(一期工程)安全需求
⒈政務外網安全防護對象
政務外網的基礎網絡環境如圖1所示。
依據政務外網的網絡環境,政務外網的安全防護對象分為如下三類:計算區域、網絡基礎設施和計算區域邊界。
⑴計算區域
政務外網所涉及的計算環境有:中央網絡管理中心計算區域、各省市節點的二級網絡管理中心計算區域、中央城域網接入單位計算區域以及外網骨干網接入的各省市節點的計算區域。
在各計算區域內主要防護如下對象:
①數據資源,主要包括各應用系統管理的數據資源;
②軟件資源,包括系統軟件、網絡軟件、支撐軟件和應用系統等;
③中心計算機;
④存儲介質,包括數據備份磁帶、軟盤、可讀寫光盤等;
⑤用戶,包括普通操作員、業務管理員、高級業務管理員以及系統(數據庫)管理員和網絡管理員等。
⑵網絡基礎設施
政務外網所要防護的網絡基礎設施主要有:各計算區域的網絡基礎設施,以及實現各計算區域相聯的網絡基礎設施。
⑶計算區域邊界
由于計算區域與其他外部實體相聯而產生區域邊界,區域邊界與計算區域直接相關,與計算區域相聯的外部實體的性質直接決定區域邊界的保護的策略。
政務外網中的計算區域邊界主要有:與中央城域網相聯的各計算區域因與中央城域網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界、各省市節點計算區域因與政務外網骨干網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界。
⒉安全需求
根據政務外網的特點,政務外網的安全需求體現在如下幾方面:
①建設政務外網安全信任體系,確保政務外網資源不能被非法用戶訪問;
②建設政務外網數據交換中心,確保不同安全域之間的安全數據交換;
③確保政務外網的安全保障體系具有高可靠性,并具有可審計、可監控性;
④實現政務外網統一的安全管理體系;
⑤確保政務外網與互聯網的安全互連。
三、政務外網安全保障體系框架
政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務。從政務外網的實際出發,政務外網的安全保障體系設計應重點針對政務外網的如下特點:
①政務外網必須與互聯網邏輯隔離;
②政務外網主要運行面向社會的專業業務,這些業務所涉及的業務信息具有面向公眾的特性,所以保護業務信息的完整性、可鑒別性以及抗抵賴性十分重要;
③政務外網是國家電子政務的基礎性網絡環境,支持電子政務系統互聯互通、數據交換、信息共享、業務互動、便民服務的需求,所以政務外網要滿足公用網絡安全可信的需求;
根據以上分析,政務外網(一期工程)安全保障體系由網絡防護體系、網絡信任體系、安全管理體系、安全服務體系等構成,邏輯模型如圖2所示。
⒈網絡安全防護體系
網絡安全防護系統是政務外網安全保障體系中最重要的安全設施,主要保護電子政務外網的各子網網絡節點及整個電子政務外網,保證整個政務外網及相關業務系統的可用性、完整性、可控性等。網絡安全防護系統重點要考慮防火墻系統、入侵防御系統、防病毒系統、遠程安全接入系統、流量監測系統等的配置和建設。
政務外網的網絡安全防護體系將涵蓋以下幾個方面:
⑴物理安全
保證政務外網中各種骨干設備的物理安全是整個政務外網安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
⑵網絡安全
網絡安全主要考慮VPN、防火墻、入侵檢測系統、非法外聯監控系統、PKI接入認證網關等安全設備在政務外網中的配置與部署。
⑶系統層安全
系統層安全主要包括漏洞掃描、操作系統安全加固、數據庫安全加固。
⑷應用層安全
應用層安全主要考慮應用系統的鑒別、授權和訪問控制等安全機制。
⒉網絡信任體系
網絡信任體系是為網絡用戶、設備提供信息安全服務的具有普適性的信息安全基礎設施。該體系在統一的安全認證標準和規范基礎上提供在線身份認證、授權管理和責任認定。其核心是要解決信息網絡空間中的信任問題,確定信息網絡空間中各種經濟和管理行為主體(包括組織和個人)身份的唯一性、真實性和合法性,保護信息網絡空間中各種主體的安全利益。政務外網網絡信任體系的建設與政務外網的安全運營息息相關,是電子政務安全運行的支撐基礎設施。
政務外網(一期工程)的網絡信任體系,主要是在國家主管部門的指導下,建設政務外網身份認證系統,組建政務外網身份認證管理協調機構和技術保障隊伍,制定有關政務外網身份認證的相關標準體系、管理運行規章制度和規范,逐步形成統一的政務外網網絡信任體系。
⒊安全服務體系
政務外網安全服務體系主要由安全評估和安全培訓組成。安全評估主要是對政務外網及其處理的傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學識別和掃描評估的過程。安全評估的主要目的是定期對網絡系統進行安全性分析,及時發現并修正動態運行的網絡系統中存在的弱點和漏洞,認清信息安全環境、信息安全狀況,明確責任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續性。
⒋安全管理體系
安全并非只是一個技術問題,它也是一個關于人和管理的問題。安全不是個產品,它是一個完整的過程。作為一個過程,它有人、技術、流程這3個組成部分,這些組成部分匹配得越好,過程進展得就越順利。
安全管理在政務外網的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術措施,如果管理的力度不夠,將會造成很大的安全隱患。因此,必須加強安全保密管理,設置安全保密管理機構,制定嚴格的安全保密管理制度,采用適當的安全保密管理技術將政務外網中各種安全保密產品進行集成,并加強對人員的管理。
安全管理體系的建設包括安全保密管理機構的建立、安全保密制度的制定、安全保密管理技術的使用以及人員的管理等幾方面內容,這里不再予以贅述。只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態的安全過程,才能為政務外網提供制度上的保證。
四、幾個重要問題
在整個政務外網(一期工程)安全保障體系的規劃和建設當中,有幾個重要問題需要特別說明。
⒈安全域劃分
政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務,要滿足政府公用網絡安全可信的需求。所以,在政務外網內有必要劃分不同的安全域,定義每個安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權威定義和執行的公共安全策略的安全要素的集合,有利于每個安全域共享相似的安全策略。
政務外網具有數據量龐大、業務復雜多樣、安全等級各異的特點,因此安全域的劃分遵循以下原則:
①根據信任等級劃分安全域。在政務外網中,要為政務信息資源和國家基礎信息資源的登記、備案、、交換和共享提供服務,同時相關的業務系統也要有連接到互聯網和有需求的其它單位,不同的系統由于處理的數據和交互的實體不同,需要在不同的位置或業務流程中,劃分不同的安全域。
②根據業務節點類型,對不同的節點劃分相應的安全域,并配置和節點業務量相匹配的安全措施和安全設備。在政務外網中,政務外網要連接不同類型的網絡節點,網絡節點的安全等級決定了安全域的劃分和安全設施的投資建設規模。
③依據數據的安全等級,在存儲和傳輸的不同區域,劃分安全域,并采用不同的安全策略,體現數據的分等級保護。
根據以上原則,在政務外網中,網絡各節點的局域網構成相對獨立的安全域,并在各節點內部進行安全域細化。政務外網中,按節點所劃分的安全域有中央網絡管理中心局域網、中央城域網接入節點單位、各省市節點的二級網絡管理中心局域網和各省市節點的各自的接入網絡。
⒉等級保護
根據公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室2007年聯合頒布的43號文件《信息安全等級保護管理辦法》的相關規定,為保障電子政務外網的網絡安全,對電子政務外網需采用等級保護機制。等級保護以網絡安全域劃分為基礎,電子政務外網包括網絡基礎設施,包括眾多接入網絡,各個子網絡又包括不同的應用系統。只有根據這些資產的重要性以及它們面臨的安全威脅的不同,結構化地劃分為安全域,才能有效地進行安全保護。
根據政務外網的邏輯結構、安全域劃分情況、面向對象及應用模式,中央網絡管理中心局域網、中央城域網接入節點單位二級網絡管理中心局域網和各省區市接入節點二級網絡管理中心局域網,至少要達到第三級(監督保護級)的要求。對于這類的安全域,將依照國家管理規范和技術標準進行自主保護,并接受信息安全監管職能部門的監督、檢查。
中央城域網接入節點單位接入網絡和各省區市接入節點單位接入網絡至少要達到第二級(指導保護級)的要求。對于這類安全域,將在信息安全監管職能部門的指導下,依照國家管理規范和技術標準進行自主保護。
⒊風險評估
在政務外網(一期工程)安全保障體系規劃和設計時,國家信息中心網絡安全部將風險管理的思想引入到政務外網的建設中,獲取規劃和設計階段的政務外網的安全風險,提出并確定外網安全建設的要求,改進規劃中的不合理因素,為后續的網絡建設的實施提供安全建設依據。此次事前評估范圍主要是政務外網一期工程第一階段工程初步設計規劃方案,評估著重考慮外網規劃中系統平臺的安全性。為支持整個風險評估過程的推進,國家信息中心網絡安全部成立了由領導層、相關業務骨干、外網相關人員等組成的風險評估小組。評估結束后,針對不可接受的風險,風險評估小組對規劃和設計做了相應的修改,很好地兼顧了風險與成本的平衡。
五、結語
根據政務外網(一期工程)安全保障體系整體規劃和一期工程建設進度安排,政務外網中央節點安全保障體系已初步建成。通過幾個月的試運行,整個政務外網安全保障體系運轉良好,初步達到了預期的設計目標。下一步的工作重點將是:進一步完善政務外網安全保障體系,建立健全政務外網安全管理機制,明確各級網管部門安全管理責任;開展信息安全風險評估工作,按照信息安全等級保護的要求,對全網分級、分層、分域確定信息安全等級;從技術和管理兩方面入手,不斷完善信息安全保障體系,初步建成統一的政務外網信任體系,形成面向外網用戶的服務能力。
作者簡介:
王勇,男,漢族,1977年生,山東鄄城人,國家信息中心網絡安全部工程師;研究方向:網絡安全。
網絡安全等級保護重要性范文第3篇
對于進一步提高信息安全的保障能力和防護水平來說,實行信息安全等級保護無疑是一種好的方法,因為它能充分調動國家、法人和其他組織及公民的積極性,增強安全保護的整體性、針對性和實效性,使信息系統安全建設重點更加突出、規范,更加統一。
但是,電子政務重在政務,由于政務部門的職能不同,信息系統的結構、功能和安全要求也不盡相同,信息安全等級保護工作的側重點也不同。然而從總體上來說,都需要做好以下幾點:
落實好“四個把握”
把握等級保護的建設進程。按照等級保護程序規定,做好定級、備案、整改、評測與監管工作。
把握等級劃分的合理性和準確性。要認真分析電子政務系統在國家安全、經濟建設、社會生活中的重要性程度,即電子政務系統遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素,合理準確地確定系統安全等級。具體來說,安全等級的確定要根據信息系統的綜合價值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小,綜合考慮信息系統的經濟價值、社會價值以及信息服務的服務范圍和連續性。
把握好不同等級的基本安全要求。基本要求是針對不同安全保護等級信息系統,應該具有的基本安全保護能力提出的安全要求。例如:第三級信息系統要具有抵御來自外部組織的惡意攻擊能力和防內部人員攻擊能力,不僅要對安全事件有審計記錄,還要能追蹤與響應處理,要實現多重保護制度。
把握好基本技術要求和基本管理要求。基本技術要求包括物理安全、網絡安全、主機安全、應用安全與數據安全等方面。基本管理要求是通過控制信息系統中各種角色參與的活動,包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等方面,從政策、制度、規范、流程以及記錄等方面做出規定。對于電子政務系統要特別關注基礎設施監控與管理、網絡安全監控與管理、業務應用系統的監控與管理、應急響應與備份恢復管理。
引入風險評估機制
信息安全等級保護必須樹立風險管理的思想,而風險評估是風險管理的基礎,因此,三級以上電子政務系統必須定期進行信息安全風險評估。風險評估貫穿于等級保護周期的系統定級、安全實施和安全運維三個階段:
系統定級。由于不同的電子政務系統具有自身的行業和業務特點,且所受到的安全威脅均有所不同。因此,可以依據信息安全風險評估國家標準對所評估資產的重要性、客觀威脅發生的頻率、系統自身脆弱性的嚴重程度進行識別和關聯分析,判斷信息系統應采取什么強度的安全措施,然后將安全事件一旦發生后可能造成的影響控制在可接受的范圍內。即將風險評估的結果作為確定信息系統安全措施的保護級別的一個參考依據。
安全實施。安全實施是根據信息安全等級保護國家標準的要求,從管理與技術兩個方面選擇不同強度的安全措施,來確保建設的安全措施滿足相應的等級要求。風險評估在安全實施階段就可以直接發揮作用,那就是對現有電子政務系統進行評估和加固,然后再進行安全設備部署等。在安全實施過程中也會發生安全事件并可能帶來長期的安全隱患,如安全集成過程中設置的超級用戶和口令沒有完全移交給用戶、防火墻部署后長時間保持透明策略等都會帶來嚴重的問題,風險評估能夠及早發現并解決這些問題。
安全運維。安全運維是指按照系統等級進行安全實施后開展運行維護的安全工作。安全運維包括兩方面:一是維護現有安全措施等級的有效性。二是根據客觀情況的變化以及系統內部建設的實際需要,對等級進行定期調整,以防止過度保護或保護不足。在安全運維的過程中,通過信息安全風險評估工作可以對已有信息系統的安全等級保護情況進行評估,依據已確定等級的相關保護要求,對系統的保護效果、潛在風險進行評價,評估是否達到等級保護的要求;當信息系統或外部環境發生變更時,可以通過風險評估工作了解和確定風險的變更,為再次定級和等級保護措施的調整提供依據。
建立有效的信息安全管理組織
信息安全管理組織是建立信息安全保障體系,做好信息安全等級保護工作的必要條件。當前很多政務部門的信息安全工作均有信息化部門兼任,沒有足夠的權威性。等級保護工作的開展,要求在組織內部建立信息系統安全方面的最高權力組織,并有明確的安全目標,目的是在管理層的承諾和擁有足夠資源的情況下開展信息安全工作。因此,建立有效的信息安全管理組織必須明確以下內容:
要遵循分權制衡原則。制度的建立、制度的執行、執行情況的檢查與監督要分開考慮。在目前的等級保護測評工作中,時常發現有系統管理員、網絡管理員、安全員與審計員兼任的情況,甚至一人包攬所有的信息系統運維工作。但從等級保護的基本要求來看,依據分權制衡的原則,建議在電子政務系統中,系統管理員與審計員不得兼任,審計員不能從事所有日常信息的維護與管理工作,系統管理員不能從事審計日志的查看與處理工作。
要堅持從上而下的垂直管理原則。上一級機關信息系統的安全管理組織指導下一級機關信息系統的安全管理組織的工作,下一級機關信息系統的安全管理組織接受并執行上一級機關信息系統的安全管理組織的安全策略。
應常設信息系統安全管理組織辦公機構,負責信息安全的日常事務工作。信息系統安全管理組織應由系統管理、系統分析、軟硬件維護、安全保衛、系統稽核、人事與通信等有關方面的人員組成。
信息安全管理組織部門不能隸屬于技術部門或運行部門,各級信息系統的安全組織不能隸屬于同級信息系統管理和業務機構。信息安全管理組織部門只有不隸屬于技術或運維部門,才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件,啟動應急預案。
網絡安全等級保護重要性范文第4篇
持續推動的等級保護
信息化技術標準委員會副主任委員崔書昆認為,在基礎信息網絡和重要信息系統的安全嚴重關系到國家安全、社會穩定以及人民群眾切身利益的今天,信息安全問題已然成為事關全局的戰略性問題。近年來,有關部門圍繞信息安全保障體系建設,在信息安全等級保護、風險評估、標準制定、產品開發及打擊各種網絡違法犯罪活動等方面取得了積極進展。在這種情勢下,將信息安全等級保護確定為提高國家信息安全保障能力,維護國家安全、社會穩定和公共利益的一項基本制度,是非常必要的。
可以這樣理解,我國信息安全各項工作快速推進,信息安全風險評估工作和保障體系建設、信息安全管理工作、信息安全法制化和規范化建設、信息化基礎設施和體系建設取得了重要的成效。特別是從2007年7月20號開始,全國重要信息系統定級工作已經開始,并在各行業、各部門、各單位的支持下,取得了豐碩的成果。
從2008年開始,公安部會同國家保密局等部門,在重要信息系統定級工作的基礎之上,部署和開展深入推進信息安全等級保護工作,它主要分為三個方面:
第一,依據國家行業標準,從管理和技術兩個方面,開展信息系統安全建設整改,建立并落實安全管理制度,落實安全責任制。
第二,根據等級保護標準開展風險評估、災難備份、應急處置、安全檢查等工作。
第三,對信息系統應用的一些重要單位,開展等級保護工作檢查。
公安部網絡安全保衛局郭啟全處長說:“目前全國范圍內,大規模的重要系統定級工作已經基本完成,相關資料目前集中到公安部進行管理。定級工作的主要成效是了解重要信息系統的底數,掌握國家信息安全的基本情況,為全面貫徹落實信息安全等級保護制度,推動國家信息安全保障等工作的深入發展奠定堅實的基礎。同時,某些地方、企業或者單位沒有完成定級工作,但會納入到我們下一階段的檢查工作當中完成。另外,有些企業會隨后逐步執行該工作,不會影響國家等級保護制度的大規模推動。”
實施等級保護,充分體現了“適度安全、保護重點”的目的,可以把國家的重要網絡、重要系統挑出來,把國家有限的精力、財力投入到信息保護當中去,提高國家基礎網絡和重要信息系統的安全保護水平,同時提高信息安全保障工作的整體水平。
奧運留下的財富
“2008年北京奧運會的信息網絡安全工作給我們留下了很多財富。”郭啟全曾經說過,奧運會對我們國家的信息網絡安全工作進行了一次大考。它既考驗了我們國家信息網絡安全的工作,同時也考驗了等級保護主管部門、公安部和很多部委的行業主管部門的信息安全工作。在這次大考中,各部門均表現得很優秀。在北京奧運會期間,無論是核心網絡還是信息系統,都遭受了大規模的攻擊和入侵,卻沒有出現相關安全事故,支撐北京奧運會順利舉辦,這是我國信息網絡安全領域經歷的考驗。
實際上,奧運會取得的經驗和公安部下一步等級保護工作之間存在密切的相關性。公安部和有關部委會借鑒奧運會信息安全網絡經驗,充分利用好奧運留下的財富,進一步開展今后的工作。
記者了解到,在北京奧運會之前,成立了以公安部牽頭的包括海關、銀行、廣電等14個部委參加的信息網絡安全指揮部。由于有了這樣的指揮部,使得各項工作的落實有了一個組織保障。如果沒有這個指揮部,大家各干各的,在北京奧運會期間便無法保證重要系統和網絡的安全。
在2008年,國家安全的核心問題便是保障奧運的安全,奧運安全采取的第一個措施就是等級保護。郭啟全介紹說:“公安部把奧運核心網絡和涉及奧運會的系統都定級、備案,針對風險和重要性搞等級測評和風險評估,反復查找問題、漏洞、脆弱性和安全風險。從歷史經驗來看,總會有一些黑客試圖攻擊奧運系統。所以,在這些黑客攻擊之前,我們就需要開始做嚴格的攻擊性自測。找到問題后進行系統加固,并且是有針對性地進行加固。這種安全建設、整改、加固還有等級測評,提升了我們的系統防范能力。”
郭啟全強調:“我們當時還專門針對北京奧運會提出了風險評估的指南。北京奧運會期間最大的風險是什么?其實就是來自黑客的攻擊破壞,所以搞風險評估要針對最大的風險去做。舉個例子,我到國家體育總局去了三次,就是研究他們的網絡安全問題、網站安全問題,這就有針對性,搞等級保護、風險評估非常有針對性。這使得我們的風險找得準,漏洞找得準,問題找得準,因此相關措施就有針對性。”
2009年的新工作
中國工程院院士沈昌祥指出,目前我國信息與網絡安全的防護能力還處于發展的初級階段,有些應用系統處于不設防狀態。國防科技大學的一項研究表明,我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入,其中銀行、金融和證券機構是攻擊重點。
由于奧運網絡和信息系統開展了等級保護工作,并對等級保護工作的政策標準、工作環節進行了檢驗,所以等級保護下一步的工作部署將充分借鑒北京奧運會的經驗,健全完善等級保護領導體制和協調配合機制,例如等級保護原來有些領導體制可能還要進行補充,明確重點工作對象,比如說拿三級系統作為重點工作對象。
郭啟全說:“我們會嚴格落實責任制,認真抓好三點工作,計劃三年內完成安全系統的整改工作,總的目標就是:能力提高,事故降低,等級保護制度得到落實,國家信息網絡安全基本得到保障。”
開展的重點工作主要分為三個方面。第一個方面是全面開展等級保護安全建設整改工作,要建設安全設施,落實安全措施,建立并落實安全管理制度,落實責任制。第二個方面是各單位建立安全整改工作規劃,完成定級系統整改規劃和制定具體實施方案。第三個方面是以三級以上系統為重點,確定安全需求,制定安全方案。“當然,一些單位可能不太明白具體的操作辦法,屆時我們會選擇有代表性的信息系統進行安全建設試點、示范,結合行業特點制定行業標準規范,按照有關工作實施的規范要求組織實施信息系統安全建設工程。”
網絡安全等級保護重要性范文第5篇
[關鍵詞]空間通信 網絡安全 防御系統
[中圖分類號]TN915.08
[文獻標識碼]A
[文章編號]1672-5158(2013)05-0247-01
一引言
隨著計算機網絡和通信技術的高速發展,衛星通信以其通信范圍廣、距離遠、靈活可靠等多方面的優勢成為當今的最重要、最有發展前景的信息通信方式之一。隨著衛星涉及國計民生的業務范圍越來越廣,其重要性越來越高,隨之引起了對其安全性重視和關注。同互聯網一樣,衛星通信也不是絕對可靠的信息傳輸方式,也存在著和互聯網同樣的安全隱患;并且在線路接入方面,在衛星信號覆蓋的范圍內使用衛星接收裝置都可以獲取衛星數據。根據衛星所使用空間通信協議,一方面,各方采取各自獨立開發空間通信協議從而提高通信的安全性,另一方面,隨著衛星間和衛星與地面間的信息交叉傳輸,又對空間通信協議的統一性和兼容性提出更高的要求。因此傳統單一的安全機制已經不能滿足衛星通信對安全服務上的需求。
二衛星通信網的主要安全隱患
衛星通信網與互聯網對于安全性的要求是一致的,通常從其可用性、訪問控制、機密性、完整性、安全認證等幾個方面對其安全性進行分析。在互聯網安全性的基礎上,以下從這幾個方面對衛星通信網的安全性能進行分析評價。
1、衛星通信網的可用性。由于衛星通信網是采用的完整的衛星通信系統進行完成通信任務,不只是采用某單一衛星。而在各個衛星在邏輯上協同工作的同時,各個衛星又在物理上相對獨立。因此當某一顆或幾顆衛星出現安全隱患而癱瘓時,其他衛星可以協同完成通信任務。因此衛星通信網具有較好的可用性。
2、衛星通信網的訪問控制。同互聯網的訪問控制策略相同,訪問控制是保證衛星通信網絡安全的最重要核心策略之一。在訪問控制方面主要考慮的安全隱患是非授權用戶對衛星通信資源和數據信息的非法訪問和操作使用。因為從衛星通信安全隱患所占的比重上來看,人為破壞因素比衛星因素要比衛星自身存在問題所占因素比重大的多。
3、衛星通信信息的機密性。與雙絞線,同軸電纜及光纖通訊類似,衛星采取的是微波通訊,是信息傳輸的眾多渠道之一,顯然,衛星通訊數據也同樣存在被攔截或者偵聽的可能性,即衛星通信在進行信息傳輸時存在物理層或數據鏈路層上的漏洞,一旦數據被竊取,其造成后果也是極其嚴重的。
4、衛星通信數據的完整性。衛星通信完整性指的是衛星收發信息保證一致,不受非授權的方式的干擾和破壞。通常會影響傳輸數據的完整性的因素有兩種,一種就是惡意的網絡攻擊,另一種就是采取信道到干擾。根據衛星通信的傳播方式,這兩種影響因素在衛星通信中都存在。
5、衛星通信的安全認證。安全認證是對抗對衛星通信主動攻擊的主要手段。由于物理位置比較分散,用戶和設備在數量上也不固定,所以衛星采用的是廣播方式,使用公鑰的認證算法。因此安全認證能夠確保這種開放式衛星通信網絡中消息來源或者消息本身被標識。
三衛星通信網的安全防御機制
針對衛星通信網存在的網絡安全上的主要威脅,衛星通信網采取安全措施一方面可以把傳統的安全策略上用到衛星網絡上,另一方面加強衛星自身的物理安全措施和鏈路安全措施。
首先,傳統的網絡安全策略對衛星網絡安全依然有效可行。傳統網絡安全策略包括訪問控制,信息加密,鑒別交換和安全審計等。根據衛星的所面臨的主要威脅的分析,可以看出,既然衛星通信網與互聯網對網絡安全的目標要求是一致,所不同的就是體現在物理鏈路和通信基礎設施以及空間位置的局限上,因此排除這些因素,其通信協議都是以TCP/IP協議為基礎,因此傳統的網絡安全策略對衛星通信網仍然可行。
其次,在對衛星通信網中傳輸的信息進行加密和完整性保護,對通信雙方實體進行身份鑒別、以及加強訪問控制和對星上通信基礎設施的加強安全防護的一系列防御措施的基礎之上,同時,根據衛星通信系統的自身特點,其網絡安全要著重設計密鑰管理,身份認證,訪問授權,數據安全,代碼安全和平臺安全保障方案。加強衛星自身的物理安全措施和鏈路安全措施。
最后,加強遠程安全管理。結合入侵檢測系統,加強衛星通信安全管理人員對衛星安全的監控。培訓衛星通信安全的管理人才,完善衛星通信的相關法律規定,使系統能應對各種可能的攻擊和安全威脅,將安全風險控制在可接受度范圍內。
四衛星通信網的分級安全機制的構建
隨著衛星通信網絡傳輸的使用范圍不斷擴大,從軍用,商用到民用,傳輸業務也越來越多。采用傳統的單一的安全機制已經無法適應當前不同級別業務以及不同級別用戶的安全需求。因此,采取對安全機制加以改進,提供一種從技術能滿足不同業務和不同用戶角色而對應著不同的安全等級的機制。讓具體的業務和角色可以選擇適合的等級的安全保障。通過這種機制,一方面既能滿足對安全性要求等級較高的業務需求,另一方面對于對安全等級要求不高的業務需求,可以節省衛星系統的存儲、計算等多方面的資源,從而提高衛星通信系統的高效性和可靠性。
整個系統的核心是星上的安全策略服務器,衛星網絡運營部門可以根據任務對安全需求不同進行配置安全等級,并存儲在星上的安全策略服務器上,另一方面,對于衛星網絡用戶來說,他們不需要對衛星通信的內部安全策略了解,只需要簡單直觀的選擇任務,并向安全服務器申請與任務相應等級的安全服務,星上安全響應服務器將該請求交與星上安全策略服務器進行仲裁,這時,星上安全策略服務器首先要對該任務請求提供主動安全防御措施,對是否將該用戶接人衛星通信網,以及是否授權等進行統一控制。另一方面對通信的接收方的實體進行仲裁。最后根據通信雙方的實體的在衛星通信中的安全級別的性質,統一進行控制,由通信雙方分別設置網絡安全,并由網絡安全按照安全策略服務器為通信雙方實體指定的安全等級進行通信。其中由星上安全響應服務器這個網絡實體來具體執行指定等級的安全策略。而安全網關負責安全策略服務器和安全響應服務器以及通信雙方實體之間的通信的網絡連接。
根據任務分級安全策略構建思路,該機制的核心思想在于根據任務和用戶角色的不同靈活的選擇相應等級的安全策略。這種安全機制一方面可以實現多樣化的網絡安全服務,根據安全需求不同,設置相應的安全等級。。另一方面,提高了衛星通信的使用效率,節省了資源。最后就是可以安全的和其他網絡兼容,為衛星通信網其他網絡之間交叉傳輸提供了一個安全策略機制。
五結束語
本文結合目前衛星通信的發展和網絡安全狀況,首先探討了衛星通信的主要安全隱患,并進一步對其相應的的防御措施進行了分析。最后在這些安全措施的基礎上,提出一種根據任務不同的分級安全機制。根據安全性的要求高低不同采取不同的認證和加密方式,從而保證衛星通信的安全性、高效性與兼容性。
