关于信息安全应急响应范文
发布时间:2023-10-09 18:03:35
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇关于信息安全应急响应范例,将为您的写作提供有力的支持和灵感!
篇1
前言:网络与信息安全事件的发生是世界性问题,我国的网络与信息安全事件发生率一直高居不下,随着信息化社会的不断发展,网络与信息安全事件的频发,受到了我国各级政府和相关企业的高度关注,而预防与保障此事件发生的方法与手段也愈加关键。我国针对此应急事件的处理方法分为分类、预警、响应三步,全面预防与控制网络与信息安全事件的发生。
一、网络与信息安全的概述
随着现代信息社会的发展与进步,网络为人们的生活、工作、学习等带来了一定的便捷,由于网络的开放性、通用性、分散性等原因,很容易发生网络与信息安全事件。对于网络与信息安全事件的发生,已经对社会造成严重的影响,对此我国颁布的《中华人民共和国突发事件应对法》中有提到:需要建立一定的应急处理方法来应对由自然灾害、事故灾害、公共卫生灾害和社会安全引起的安全事故。对于网络安全事件的应急处置工作也有了明确的分类,《国家信息化领导小组关于加强信息安全保障工作的意见》中将网络与信息安全事件归纳为:由网络和信息系统直接产生对国家、社会、经济、公众等方面产生的利益损害事件。
网络与信息安全事件是世界各国重点关注的问题之一,就我国而言,我国网民数量多达4亿多,通过互联网产生的消费额已经超过6000亿元。信息安全问题已经影响到我国社会、经济、公众的利益,从过去发生过的网络与信息安全事件中可以看出,引起信息安全事件的因素多为以经济利益为目的的安全事件,另一部分是以非经济利益为目的的安全事件。由于网络与信息安全事件的发生具有无征兆且扩散十分迅速、传播范围广、对周边网络或计算机信息的危害大等特征,建立起完备的网络与信息安全事件应急处置体系十分必要。
二、建立网络与信息安全事件的应急处置体系
最初的网络与计算机信息技术应用范围较为狭隘,仅限于国家的军事、管理或社会经济、产业、技术等方面。目前网络与计算机信息技术已经涉及到社会中各层面、各行业的领域中,因此,出现的网络与信息安全事件便成为一个社会性问题。我国对此提出的建议是:由国家宏观调控指挥、各部门密切配合,建立起能够针对网络与信息安全事件的应急处理体系,对影响国家信息安全、社会经济发展、公众利益等方面作出一定的防范措施。对于建立的应急处置体系,还需要具有科学性、合理性:以预防为主,不能单纯的事后补救;以处置为主,不能放纵危险事件的发生。在各方面的努力下,我国的网络与信息安全事件的应急处置体系配备相应的法律法规,成为网络与信息安全事件的一项保障。信息安全是一种新兴的安全问题,不同于自然灾害、人为灾害或直接经济损失的危险事件,而是一种虚拟信息的泄露,这需要对网络与信息安全事件重新定位,建立统一的定位标准。我国对网络与信息安全事件的分类方法为:按照信息安全事件的引发因素、事件表现、影响等将信息安全分类为程序损害事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件和信息灾害事件等6大类,其中细节划分为40余种。再按照事件危害等级、预警等级将其划分为四个事件等级:A级:特大网络与信息安全事件;B级:重大网络与信息安全事件;C级网络与信息安全事件;D级一般网络与信息安全事件。
对于网络与信息安全事件的应急处置工作,我国已经将其纳入国家突发事件应对体系中。建立的应急预案分为国家、地区、单位的三级应急处置体系,并在此体系中建立具有高度统一、十分便捷、方便协调的组织机构,如遇网络与信息安全事件,通过综合分析,判定网络与信息安全事件的形势,再制定应急处置预案,经协调指挥相关技术人员落实预案。
在此系统中,地方政府和相关机构对本辖区内的网络与信息安全事件直接负责,负责的内容包括网络与信息安全事件的预防、监测、报告和应急处理工作。我国需要建立起网络与信息安全事件应急处理咨询机构,为此提供预防和处置技术的咨询。另外,需要向社会公众建立起信息通报机制,如报警电话等。由群众提供网络与信息安全事件信息,作为紧急事件预警的基础,根据建立起科学、有序的网络与信息安全事件的规章制度,全面控制网络与信息安全事件。
二、网络与信息安全的应急处置体系内容
(一)预警
预警包括对安全事件监测的预警、预警判定、预警审定、预警、预警响应和最终的预警解除。
预警机制的健全,能够全面避免安全事件发生后的扩展和对人类财产的损失扩大,为了防止这一问题,可根据上文所提到的事件发生的紧急程度和危害程度分级处理,按照不同级别进行不同预警。
(二)响应
响应的理论基础是在预警过后产生的事件起因预测、事件结果评估。响应工作是确定响应等级后开启响应指挥,迅速了解事件动态并进行部署,然后实施处置工作,最后对本次应急事件进行评估。响应也包括四个等级,根据预警等级不同,实施不同的响应等级工作。
结论:综上所述,网络与信息安全事件的发生十分迅速、不可预估,并且危害大、扩展性强,我国对此已经作出一系列法律法规的约束,但对于网络与信息安全事件的发生还需作应急处理,制定相应的应急处理机制,以预防为主,需要培养发现和控制事件的能力,减轻和消除由突发事件所引起的社会危害事件,并且需要在事件发生后第一时间做出总结,以防同样事件再次发生。
参考文献:
篇2
一、基本情况
__县商务局现有__招商网、__县商务之窗、__县电子政务门户网站、__县商务局政府信息公开网站四个网站,现在正常运行的有商务部提供的__县商务之窗和__县商务局政府信息公开网站,自开通以来,四个网站还没出现过重大网络安全事件,各网站都由我局人员自行监管,定期更新,及时商务公开信息,为公众方便快捷地了解__起到了较好的宣传作用。
1、领导重视,机构落实
为保证我局重要网站的安全,我局严格按照“统一领导、归口负责、综合协调、各司其职”的原则、“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,明确成立了由局长陈红钢任组长,党支部书记朱学林任副组长,办公室主任王有培、政策法规科科长陆康冲、招商引资科科长他石红、外事科科长刘双林、政策法规科李翠娥为成员的__县商务局政府信息公开领导小组,负责我局4个网站的安全工作及突发互联网网络安全事件应急处理工作。同时,明确了由局办公室按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制,依法对互联网网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。在出现安全事件后,对计算机系统和网络安全事件的处理提供技术支持和指导,遵循正确的流程,采取正确快速的行动作出响应,提出事件统计分析报告。
2、专人专管,务求实效
自20__年初__县人民政府办公室下发《关于做好施行〈中华人民共和国政府信息公开条例〉准备工作的通知》(陆政办发[20__]10号)以来,我局领导就安排专人对我局的政府信息公开工作进行全面准备,认真学习政府信息公开的有关文件,积极参加政府信息公开培训,对涉及商务的有关法律法规、发展规划及行政认可的事项进行全面梳理,编制公开目录和公开指南,并按时上报到县政府信息产业办。至20__年12月10日,我局共各类信息70条,其中:机构职能信息4条,法律法规依据信息16条,行政执法信息4条,商务发展规划4条,招商引资信息2条,四项制度信息5条,公开指南信息2条,商务动态信息29条,其它信息4条。
3、双网并用,加强宣传
20__年,我局充分利用政府信息公开网站和商务之窗加大对我县商务、招商引资政策的宣传力度,
二、存在的问题
下一步工作将围绕__县政府信息公开网站监测情况通报情况进行完善。
1、进一步全面规范政府信息公开目录,做到目录内容与站内信息的一致性,及时更新目录内容;
2、进一步完善政府公开内容。重点做好机构职能、法律法规政策、发展规划、行政执法及动态信息的分类,保证信息内容的完整性;
3、进一步做好政府信息公开网站建设工作。及时更新图片,合理布局网站页面,做到图文并茂,保证页面美观。
4、全面梳理和整理商务法律法规、行政执法信息,做到每天至少有2条信息。
为科学应对互联网网络与信息安全突发事件,建立健全互联网网络与信息安全应急响应机制,有效预防、及时控制和最大限度地消除互联网网络与信息安全各类突发事件的危害和影响,按照《__县人民政府办公室关于印发__县互联网网络与信息安全事件应急预案的通知》要求,结合我局实际,对我局互联网网络与信息安全情况进行自查,现将有关情况综合汇报如下:
一、基本情况
__县商务局现有__招商网、__县商务之窗、__县
电子政务门户网站、__县商务局政府信息公开网站四个网站,自开通以来,四个网站还没出现过重大网络安全事件,各网站都由我局人员自监管,定期更新,及时商务公开信息,为公众方便快捷地了解__起到了较好的宣传作用。二、主要做法
(一)领导重视,责任明确
为保证我局重要网站的安全,我局严格按照“统一领导、归口负责、综合协调、各司其职”的原则、“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,明确成立了由局长陈红钢任组长,党支部书记朱学林任副组长,办公室主任王有培、政策法规科科长陆康冲、招商引资科科长他石红、招商局工作人员刘双林、李翠娥为成员的__县商务局互联网网络安全应急领导小组,负责我局4个网站的安全工作及突发互联网网络安全事件应急处理工作。同时,明确了由局办公室按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制,依法对互联网网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。
(二)防范为主,加强监控
我局随时宣传普及互联网网络与信息安全防范知识,树立常备不懈的观念,经常性地做好应对互联网网络与信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高基础网络和重要信息系统的互联网网络与信息安全综合保障水平。加强对互联网网络与信息安全隐患的日常监测,发现和防范重大互联网网络与信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
(三)责任到人,监测到位
篇3
中图分类号:F2 文献标识码:A 文章编码:1672-3791(2013)06(b)-0014-02
2012年3月15日,上海市税务局发生了一次信息安全事件,由于设备老化和供电异常,机房UPS设备发生严重故障,直接导致全市税务大集中核心业务信息系统全面宕机。虽然相关部门立即开展了应急处置和全力抢修,当天晚上业务信息系统恢复正常运行。但是因为该事件导致全市纳税人无法正常办理涉税事项,且15日是3月法定纳税申报期最后一个工作日,税务部门不得不通过网站、电视、广播、12366税务热线等社会媒体公告,宣布延长当月纳税申报期至16日。
虽然这件事情已经过去一年多了,但它留给我们的却是深刻地教训。对于信息安全事件我们绝不能掉以轻心。随着信息化的不断发展推广,现在政府机关应用信息系统来开展工作的范围越来越广泛,已经涉及到民生、经济、政治、军事各个领域。我国有这么多关键重要的信息系统在运行,试想如果发生信息安全事件,那么或多或少地会造成社会影响甚至政治影响。所以说,如何避免信息安全事件的产生,已经是摆在政府机关面前必须考虑的问题了。笔者作为一名长期在政府机关信息部门工作的技术人员,将在下面阐述我个人关于应对信息安全事件的一些看法。
1 信息安全事件的分类
为了分析信息安全事件,我们应当对可能发生的信息安全事件进行分类。依据事件发生的原因,我们将信息安全事件分为如下几类。
1.1 外部环境异常引起的安全事件
第一类,是由于物理环境异常导致的安全事件。这里的物理环境主要指的是机房环境,比如承重、电源,空调,水患、鼠患等等。承重设计不达标不仅会造成信息安全事件,甚至可能造成人员伤亡;电源问题包括市电供应、UPS电源、防雷击及静电处理等,电源异常不仅会造成硬件设备的宕机,也可能引发火灾、造成人员伤亡;空调问题会引起硬件设备的运行故障,从而影响信息系统运行;水患是指机房如果建在地势低洼处或有不能密闭的窗户,遇到大水或雨季,会因为雨水进入机房而导致硬件设备的运行故障;鼠患是指乱窜的老鼠会咬断网线、引起短路、损坏硬件设施,所以灭鼠也是保障信息系统正常运行需要考虑的工作。以上这些都是信息系统稳定运行的基本要素,任何一个环节出现问题都会导致安全事件的发生。
1.2 网络异常引起的安全事件
第二类,网络异常导致的安全事件。现在政府机关的信息系统基本都是运行在网络环境中的,单机运行的应用系统已经鲜有耳闻了,这个时候,网络的重要性就显而易见了。一旦网络通信发生故障,即发生断网、网络拥塞等情况,那么信息系统也就瘫痪了。
1.3 硬件设施故障引起的安全事件
第三类、硬件设施故障引起的安全事件。比如存储设备故障,主机服务器的故障、终端计算机的故障等。政府机关由于资金投入的限制,一方面这些硬件设施多半存在单点故障;另一方面,隐患发生时故障点常常不能被及时发现。举个例子,某台主机有数块硬盘,考虑到数据安全技术人员对硬盘做了RAID5处理,以避免因硬盘损坏引起的数据丢失,但是如果硬盘损坏后未被发现不能被及时更换,那么当故障硬盘达到数量的极限时,系统还是会崩溃数据还是会丢失。在这里我必须指出,某些设备的故障将引起数据丢失或破坏,在数据的价值越来越被认可的今天,这是必须引起警惕的。
1.4 软件异常引起的事件
第四类,软件系统异常引起的故障。这里的软件系统是指操作系统异常、应用软件异常等。引起软件系统异常的原因很多,比如:病毒感染、黑客侵入、升级异常、软件冲突、安装未经测试的补丁和升级包等。
1.5 人为事件
第五类,人为因素引起的安全事件。比如说,管理不善、职责不清、对重要系统设施监控不力,无视信息安全风险,不能将信息安全事件扼杀在萌芽期;误操作,由于责任心不强或技术能力不够,导致操作失误;故意行为,由于人性的弱点,有的员工出于各种原因(对单位不满或对领导同事不满)故意造就信息安全事件以借机发泄,还有人为谋求利益窃取数据,甚或被策反加入间谍组织或与非法组织勾结,破坏国家利益。
2 信息安全事件的分级
不同类型的信息安全事件造成影响的范围有大有小,这时我们应该对信息安全事件有一个分级,分级的原则我们可以参照国家关于信息系统等级保护政策的思路,也就是通过判断影响对象及影响程度来分级。影响对象可以是:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。影响程度可以是:一般损害;严重损害;特别严重损害。(如表1)
表1只是介绍一种定级的方法,各单位可以根据自身特点定义自己的信息安全事件级别,细化定级标准。在定义了不同的事件级别之后,再设计不同的响应流程,也就是应急响应。这样的话,在发生安全事件时,就可以按照不同级别的信息安全事件启动应急响应流程,关于应急响应这里不作描述。
3 防患信息安全事件的建议
前面我描述了导致信息安全事件的因素及信息安全事件的分级,接下来根据政府机关的特点我将给出预防信息安全事件的几点建议。具体如下。
3.1 明确职责
我认为在谈关于信息系统的任何事之前,首先要明确职责,不仅是明确领导层的职责,也要明确执行者的职责。也就是说,职责必须细化到每个人。换个角度说的话,就是职责本身要进行细化,比如一个信息系统的建设是谁负责、后续运维是谁负责,假如硬件设施由A负责,那么A负责到什么程度呢,是不是只要硬件设施正常运行不发生故障就OK了?日常运维要管到什么程度呢?是不是要建立硬件设施的清单?这份清单是不是要更新?日常的运维操作是否要有记录?在我看来,以上所有都应该在岗责体系中进行细化明确,只有明确了每个人的工作职责才能保证工作被落实,制度被落实。
3.2 完善制度
要想减少信息安全事件的发生,首先要有制度,国有国法家有家规,没有规矩不成方圆,如果没有制度,那就无章可循无法可依,发生信息安全事件之后也无法追究相关人员的责任。但是有些政府机关里的制度常常是只能挂在墙上看、放在会上念,有些单位的制度陈旧落后难操作,不能真正执行的制度是不能发挥其作用的。我认为一套好的信息安全管理制度应该分三个层次,第一层是总体性的制度策略或框架,第二层是具有操作指导意义的制度规范,第三层则是建设方案、运维手册和使用说明等更为细化的文档资料。有了完整的制度体系,我们还要定期对制度进行修订,这样才能让制度始终符合实际状况以便于操作落实。
3.3 在信息系统生命周期全方位考虑信息安全
因为信息系统是有生命周期的,也就是系统的需求设计、建设、更新、运维、废弃5个阶段,为此,我们应该在信息系统的全生命周期考虑信息安全问题,在每个阶段我们都要考虑信息安全风险的规避问题。由于信息安全的概念是近些年才被提及和重视的,在实际工作中我们发现,政府机关的很多信息系统都是很早就开发出来在用的,随着应用需求的不断变化,这些老旧的信息系统不断的在升级在更新在打补丁。由于这些信息系统开发之初还没有信息安全的概念,所以即使发现系统存在这这样那样的安全风险也很难下手修补,常常因为系统性能存在瓶颈、存储空间不够、系统不够稳定等原因不敢解决信息安全漏洞。所以,我们提倡在新建系统的过程中,全面考虑信息安全保障,有能力的单位应该解决在用信息系统的安全漏洞。
3.4 安全管理措施的部署
为避免信息安全风险,提高安全保障水平,我们必须采取一些安全管理措施。比如使用虚拟机技术提升主机服务器的运行性能;网络双线路链接、重要设备双机热备、双路供电、管理员AB角,以避免单点故障;对系统进行安全加固,关闭不需要的服务进程及端口使服务最少化、启用密码策略、安装重要补丁、开启审计策略等等;为不同的管理员开启不同的访问权限,使用户权限最小化;为不同的用户开启不同的网络访问链路,以进行访问控制;在软件系统进行运行前,对软件系统开展源代码审计,对准备安装的升级包或补丁包进行测试;建立审计环节,对信息系统的建设运维开展审计;对重要的运维操作进行授权,以限制管理员权限的滥用等等。安全管理措施的全方位执行是减少信息安全事件发生的有力保障。
3.5 加强监控分析
信息安全的发生有时好像地震,地震在发生前可能有一些征兆,只是由于我们人力技术的限制无法探知。信息安全事件发生前也会有一些蛛丝马迹,如果我们能采取某些措施进行监控,提前得知相关信息,那么我们就能更早地掌握信息安全风险,并采取措施避免事件的发生。现在信息安全领域的很多产品已经很成熟,像IDS、IPS、防火墙、防病毒、桌面安全管理、主机性能监控等等,我们应该选择合适的产品或服务来监控我们的信息系统,同时,要注重对监控信息加以分析,以便及早发现风险并消灭隐患。
3.6 引入“等级保护”和安全评估
近几年来,我国对信息安全的关注度越来越高,相关的管理部门也纷纷出台了关于加强信息安全的文件要求,其中,等级保护制度是较为重要的政策。信息安全等级保护就是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。等级保护政策的出台对于政府机关的信息安全工作有很强的指导意义,我们把信息系统按重要程度的不同进行划分,把有限的财力和人力集中到重要信息系统的保障中。另外,安全评估工作是了解政府机关信息系统安全程度的重要途径,只有明白自身的风险点并进行安全整改才能不断巩固信息系统的安全,以避免信息安全事件的发生。
3.7 应急演练
要想提高信息安全事件的应对能力,我们不得不提到应急演练的重要性。应急演练就是模拟事件的发生,演练事件发生后的补救措施。所以做好应急演练是极其必要的。不管做不做应急演练,应急方案是必须要有的,我认为应急方案也应该有几个层次,首先要有一个总体方案,接着应该是对总体方案细化建立子方案,也就是不同类型的信息安全事件要有各自的应急方案。比如:机房环境应急方案、网络应急方案、应用系统应急方案等。其中,不同的应用系统应该有不同的应急方案。有了应急方案之后,我们应该定期进行演练,以便熟悉应急操作程序,将信息安全事件产生的影响尽力减少。
3.8 备份重要数据及系统
为了避免信息安全事件带来的影响,有条件的政府机关可以建立自己的容灾备份系统,对重要信息系统建立双套系统,建立热备份或冷备份,如果有可能的话物理地址可以选取异地,以避免单点故障,提高自己应对风险的能力。如果财力有限,我们可以采用定期手工备份重要数据及系统的方法,并做好备份介质的管理工作。
3.9 加强人员管控
谈到信息安全,有时候我们会忽略最重要的一个环节,就是人员的管控。大家知道,所有的信息系统都是人开发出发的,要提升信息安全能力,就应该增强人力资源,现在政府机关面临的问题很多都是人手紧张,人员素质不高之类的问题,由于政府机关的人员工资都是由国家规定的,不能享受像外企或民企甚或国企那样的高薪酬,很多高水平的技术人才都不愿意留在政府机关。很多技术骨干在遇到升职加薪的瓶颈后选择离职跳槽,使人才流失情况也很严重。那么如何来盘活机关内部的计算机人才就是人事部门的一道难题了。很多时候,好不容易招聘过来的计算机人才,都被抢到业务部门做一线工作去了。因为现在的业务部门全是通过信息系统来操作工作的,有些上了年纪的员工对信息系统不熟练,导致很多业务部门都喜欢要懂计算机技术的人才。我认为考虑到现在信息化技术的使用程度和依赖程度,适当提高信息技术人员的福利待遇并保证信息部门的人才供给是应当被考虑的。另外,适当增加一些工会活动或团体活动,增加单位凝聚力,也能让信息技术人员更热爱自己的单位和岗位,愿意尽全力付出努力,以保证技术人员管理信息系统的稳定和安全。
4 结语
篇4
关键词:电子政务 信息安全PKI
1综合电子政务平台概述
电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。
电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。
2综合电子政务平台的安全风险
2.1网络安全域的划分和控制问题
电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。
2.2内部监控、审核问题
目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
2.3电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
2 .4数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。
2.5电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力
3综合电子政务平台安全体系建设方案
3 .1技术保障体系
技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。
信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。
信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。
3.2运行管理体系
安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。
安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。
风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。
3.3社会服务体系
安全管理服务。目前,一些信息安全管理服务提供商(Managed Security Service Providers, MSSP)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从IT集成或咨询商发展而来提供信息安全咨询的。
安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。
3.4基础设施平台
篇5
一、引言
《2006-2020年国家信息化发展战略》提出,“到2020年我国信息安全的长效机制基本形成,国家信息安全保障体系较为完善,信息安全保障能力显著增强”。政府门户网站是政府部门在国际互联网上建立的信息、办公互动、数据交换的窗口,是政务公开的载体和舞台,也是政府与社会、企业、民众沟通的桥梁。通过政府门户网站,公众可以便捷地获取政府信息和服务,使得公众与政府关系简单化。由于互联网是个开放的网络,政府网站的信息一天24小时都在被查询、阅读、下载或转载。如果没有可靠的信息安全体系和有效的事件响应能力,那么一旦网页被篡改或网站被中断,将直接干扰、破坏政府履职,损害政府的形象,败坏公众对政府的信任,后果不堪设想。根据有关资料显示,2005年,我国90%以上的政府网站存在安全漏洞,很多网站都曾受到过不同程度的黑客攻击和计算机病毒的侵害,给国家造成了较大的损失。因此,信息安全问题是政府门户网站建设的一项重要内容,必须综合运用多种策略和手段建设政府门户网站安全保障体系。
二、政府门户网站信息安全存在的主要问题
安全管理认识存在偏差以及缺乏有效组织规划培训和相应法律制度支持,是当前福建省各级政府门户网站信息安全建设中存在的最主要问题,主要表现有以下几个方面:
一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响,各级政府信息主管部门往往认为“安全”只是保障“业务应用”的一种手段,只重视网站信息系统的建设,轻视相应的信息系统安全建设和管理。
二是重消极应对轻主动预案。在政府门户网站安全管理中,很多情况是等出了问题,才匆忙借助经验和应变能力去处理突发安全事件,缺乏应急预案的制定和按照应急预案进行处理的观念。
三是缺乏整体安全意识。谈及信息安全,很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施,没有真正意识到安全是一个包括理念、技术、制度、人才等各方面缺一不可的整体。
四是缺乏及时有效培训。信息化安全技术日新月异,网络攻击手段也日趋多样化,各级网站主管部门对安全管理人员缺乏及时有效培训,无法保证网站信息安全。
五是缺乏统一信息安全技术标准与规范。不同层次、不同部门的网站信息安全建设各自为政,没有进行有效的组织和规划,使用的安全技术五花八门。这样不仅造成了资源的严重浪费和低效率,也给网站信息安全带来各种各样的隐患。
六是缺乏相应的法律和制度的支持。政府作为信息的所有者,其权利范围和内容较为模糊,相关网站信息安全的法律和制度较为薄弱,法律上缺乏相应的保护。
三、政府门户网站信息安全存在问题的原因分析
1.管理体制未理顺
政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制,尽管在中央一级设有领导小组以及专家咨询委员会,但在地方由于“条块”职责不清、管理多头的实际状况,直接影响对电子政务安全的重视程度和贯彻落实相应信息安全政策措施的力度。
2.运行机制未健全
信息安全保障的运行机制不健全表现在电子政务信息安全的地位与其重要程度不相称,电子政务信息安全在政府发展任务的地位上,远不及经济、社会、文化等其他方面;在资金、人力等方面的投入得不到更好的保障;与信息安全相关的政策法规、技术标准与规范的制定落后于实际发展的需要。
3.技术与实际安全需求存在差距
技术是确保信息安全的重要因素,由于技术本身的局限性和推广应用程度不够,使技术与实际安全需求存在差距。技术不能完全保证安全,安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达,福建省在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。
4.过分强调安全技术的重要性
认为信息安全是技术问题,依靠相应的技术就能防范。实际上国内外许多信息安全事故都是人为造成的,三分靠技术,七分靠管理,要防止此类事故的发生,必须从建立和完善信息安全管理体系入手。
四、加强政府门户网站信息安全的对策建议
网络安全不仅是一个技术问题,要从法规、管理和技术三方面来统筹保障政府门户网站信息安全。在法制上,加强网络和信息安全管理等方面的立法工作,为政府门户网站的建设、运行、维护和管理提供法律保障,构筑促进国家信息化发展的社会环境;在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行;在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。
⒈加强政府门户网站信息安全法规与制度建设
一是加强信息安全管理等方面的立法工作。国家及省都有加强网站建设方面的相关政策,但还没从立法的角度予以确认和强化,应从“电子政府”建设的高度,制定相应的法规,为包括政府门户网站在内的电子政务网络与系统的建设、运行、维护和管理提供法律保障。
二是加强网络和信息安全管理等方面的制度建设。用管理手段来弥补技术落后问题,本着“堵漏、补缺、管用”的原则,采用整体思路,加强管理,切实从机关内部堵塞漏洞,在若干不够安全的技术环节的基础上,形成一个相对安全的整体。在加强信息安全防护能力的同时,重视隐患发现、网络应急反应、信息对抗等管理能力的提高。
⒉建立健全政府门户网站信息安全管理体系
一是明确技术管理规范。面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。具体包括:非、网机器不允许混用;非网机器不允许运行信息,网机器不允许上非网;严格按照安全等级、安全域划分,制定相应的安全保密制度;不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。只有所有接入网络的设备都安全,整个网络的安全才能得到保证。
二是明确相关人员的职责。强调以人为本,把网站安全纳入一个人人有责、层层负责、由第一责任人负总责的安全管理体制之中。主管领导负责安全体系的建设实施,在安全实施过程中取得相关部门的配合,领导整个部门不断提高系统的安全等级;网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略;安全操作员负责安全系统的具体实施;信息编辑人员负责信息采集、编辑和审核工作,确保所信息的完整性、一致性、权威性和准确性。另外,还应建立安全专家小组,负责安全问题的重大决策。
三是建立应急响应机制。从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面建立应急响应机制,以保障政府门户网站正常安全运行。
四是建立信息安全检查监督和激励机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处;建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改;建立良好的激励机制,从人才引进、培养的渐进性和连续性上优化人员结构,形成梯队,重点加强系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。
五是做好政府门户网站信息安全培训工作。政府门户网站的运行维护,需要一支具有较高的政治素质和职业道德水准,既懂业务又懂技术的队伍。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高各类人员的安全理论实践水平和安全意识。只有让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全防范。
六是合理安排信息安全建设资金。在电子政务信息项目建设上,要在项目建设前期就安排相应比例的资金用于信息安全的建设;切实落实国家信息安全建设的有关规定,保证信息安全建设资金足额到位。
七是加强信息安全设施建设。联合公安等部门,加强网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等信息安全基础设施建设。
⒊积极完善政府门户网站信息安全技术防范手段
2007年9月,福建省为加强政府类互联网站的安全管理,确保网站健康有序发展,下发了《福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知》(闽政办〔2007〕182号),要求各级各单位建立健全网站安全管理制度,并贯彻落实网站安全技术措施。笔者根据实践提出以下建议:
一是加强电子政务网络的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。
二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。
三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。
四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
五是在技术手段上,要统筹好网络被动防御和网络主动防御的关系,确保信息的安全。网络被动防御方面可以采取防火墙、入侵检测、防病毒等技术;网络主动防御方面可以采取漏洞扫描、补丁升级和自动分发、网页防篡改、容灾备份等技术。
五、结束语
综上所述,加强政府门户网站的信息安全,必须做好信息安全的法规制度建设、建立健全安全管理体系、积极完善安全技术防范手段等三方面的工作。同时,还要处理好信息安全与网站发展辩证统一的关系:安全是前提保证,发展是最终目的,要在发展过程中确保安全,在确保安全的条件下加快发展,使政府门户网站充满生机与活力,并充分发挥其应有的社会效益,为海峡西岸经济区建设做出积极的贡献。
