信息安全等級保護的分析論文大全(17篇)

格式:DOC 上傳日期:2023-11-28 21:17:13
信息安全等級保護的分析論文大全(17篇)
時間:2023-11-28 21:17:13     小編:雁落霞

環(huán)境是人類賴以生存的物質(zhì)基礎(chǔ),保護環(huán)境是我們共同的責任??偨Y(jié)要客觀、真實地反映事實,不能夸大和縮小??偨Y(jié)是一種能夠幫助我們提升自己并改進的有效途徑。那么我們該如何寫一篇較為完美的總結(jié)呢?接下來是一些寫作總結(jié)的范例,希望對大家的寫作有所幫助。

信息安全等級保護的分析論文篇一

認真落實國家信息系統(tǒng)安全等級保護政策和標準,是增強信息安全、確保系統(tǒng)健康運行的'重要途徑和保障.2008年7月,國家發(fā)展改革委批復的“金審”工程二期項目,從立項規(guī)劃到系統(tǒng)建設(shè)的整體階段,我們一直認真學習和落實信息安全等級保護政策和標準,為信息安全和系統(tǒng)安全提供了較好的保障.

作者:周德銘作者單位:審計署信息化建設(shè)辦公室刊名:信息網(wǎng)絡(luò)安全英文刊名:netinfosecurity年,卷(期):2009“”(5)分類號:關(guān)鍵詞:

信息安全等級保護的分析論文篇二

現(xiàn)在全球已經(jīng)進入網(wǎng)絡(luò)時代,信息化生活越來越普及,所以在檔案管理方面,新興的數(shù)字信息也已經(jīng)逐步取代了原有的人工紙質(zhì)整理方式。

但是伴隨著信息化的各種簡單快捷,其安全問題能否得到保障也值得人深思,數(shù)字檔案信息安全通常包括系統(tǒng)網(wǎng)絡(luò)設(shè)備的安全和檔案信息的安全,要想保證檔案的安全性,就要對可能出現(xiàn)的問題及時進行解決和完善,這樣才能真正實現(xiàn)檔案信息的數(shù)字化。

1.數(shù)字檔案體系建設(shè)中存在的問題。

1.1相關(guān)軟硬件設(shè)施不夠完善。

儲存數(shù)字檔案信息需要有足夠匹配的硬件條件,比如說計算機和光盤質(zhì)量,直接影響了信息能否長時間安全保存,所以為了檔案信息可以被安全完整的保存,便于日后使用,就需要加大在軟件和硬件方面的投入,有了高質(zhì)量的設(shè)備和系統(tǒng),可以提高信息的安全性,加強數(shù)字檔案信息系統(tǒng)的建設(shè)。

1.2相關(guān)法律法規(guī)不夠健全。

由于數(shù)字信息檔案是新興技術(shù),所以在這方面的我國仍然缺乏相應的健全的管理體制和法制法規(guī)。

把數(shù)字檔案信息安全問題上升到法律高度,可以起到震懾不法分子的作用,現(xiàn)在僅僅依靠通用的計算機法律法規(guī)來維護檔案信息化建設(shè)的安全,這對那些刻意攻擊、竊取、毀壞檔案信息的破壞分子來說實在是微不足道,早日建立專門的法規(guī)進行監(jiān)管,可以保證信息的安全性,減少不必要的損失,促進新型數(shù)字信息體制的發(fā)展。

1.3人員素質(zhì)和管理體制不夠健全。

把檔案信息數(shù)字化,網(wǎng)絡(luò)化,就需要從錄入,管理,使用都形成良好的體系,所以要加強對于其體系的管理工作,比如說,建立專門的檔案組織機構(gòu),可以協(xié)調(diào)檔案數(shù)字化、信息化、網(wǎng)絡(luò)化各部分間的工作,把技術(shù)部門和管理部門相聯(lián)系,實現(xiàn)檔案信息網(wǎng)絡(luò)一體化的宏觀管理。

在統(tǒng)一的安全組織領(lǐng)導下,每個人都要明確自己的分工和責任,條理清晰,層層負責,建立由館長為網(wǎng)絡(luò)安全總負責人的體系,并根據(jù)各自安全管理的目標,建立相應的檔案信息安全管理制度。

在完善管理之后,就要提高技術(shù)人員的水平,針對數(shù)字檔案方面的相關(guān)知識對人員進行培訓,提高他們的專業(yè)能力和工作效率。

現(xiàn)在這種專業(yè)的技術(shù)人員和管理人員都較為缺乏,所以數(shù)字信息的運行較為混亂。

數(shù)字檔案作為信息時代應運而生的產(chǎn)物,就要采用更為高科技的手段進行管理。

所以針對其安全問題,可以采用防火墻技術(shù),入侵檢測技術(shù),防病毒技術(shù),加密技術(shù)等。

防火墻技包括計算機防火墻和網(wǎng)絡(luò)防火墻。

檔案館可以充分利用防火墻提供的功能自行設(shè)定符合本單位要求的安全策略,通過確定防火墻的信息類型,可以檢查內(nèi)部網(wǎng)絡(luò)間的信息溝通交流,避免被黑客阻斷破壞網(wǎng)絡(luò)交流,篡改網(wǎng)絡(luò)信息。

防病毒必須從網(wǎng)絡(luò)整體考慮,主動防御,改變被動劣勢,通過網(wǎng)絡(luò)環(huán)境管理網(wǎng)絡(luò)上的所有機器,如利用查毒功能對客戶進行掃描,檢查病毒情況,還可以利用在線報警功能,當病毒侵入系統(tǒng)或者機器運轉(zhuǎn)出現(xiàn)問題,網(wǎng)絡(luò)管理人員可以及時了解,并采取一定的防范措施。

檔案信息具有非公開性,采用加密技術(shù)可以確保檔案信息內(nèi)容的非公開性。

加密和解密使用不同的密鑰,使得第三方很難從截獲的密文中破解出原文,這對于傳輸中的檔案信息具有很好的保護作用。

這些高科技手段的應用,都可以有效的提高數(shù)字檔案信息的安全性,避免檔案發(fā)生泄漏等問題。

2.2提高重視,加強道德安全教育。

檔案信息化進程不斷推進,對于網(wǎng)絡(luò)的依賴性也日益提升,許多檔案部門對檔案信息安全的重要性、緊迫性仍認識不足。

對檔案信息安全則是淡然處之,由于缺乏必要的安全教育與培訓,導致系統(tǒng)操作人員缺乏安全意識,網(wǎng)絡(luò)信息違規(guī)操作的現(xiàn)象時有發(fā)生。

所以要加強對于信息安全的重視,加強宣傳教育,樹立全面的系統(tǒng)的檔案信息安全觀,并且要端正態(tài)度,有良好的道德品質(zhì),不能利用網(wǎng)絡(luò)從事一些違規(guī)違法的事情,要有職業(yè)的責任感,明確自己的職權(quán)范圍和行業(yè)操守,嚴格按照規(guī)定做事,保護數(shù)字檔案信息的安全。

2.3提高人員素質(zhì),加強能力培訓。

數(shù)字檔案信息的管理追根究底還是得依靠人員的操作,所以對管理人員進行素質(zhì)和能力培訓是非常有必要的。

要讓他們學習先進的知識文化,通過培訓班,講座,與其他地區(qū)甚至國家進行交流等方式,讓他們能夠不斷更新數(shù)字檔案信息管理知識,掌握現(xiàn)代化的數(shù)字檔案信息管理技術(shù),進一步提升數(shù)字檔案信息管理素養(yǎng),這樣才能跟上我國數(shù)字檔案信息安全管理的發(fā)展步伐。

還可以建立內(nèi)部的獎罰和考核機制,提高大家對于專業(yè)知識技能學習的積極性,激發(fā)他們對于工作的熱情,端正對于工作的態(tài)度。

2.4政府大力支持,完善體制。

對于檔案信息領(lǐng)域新的變革,要想讓大家接受并逐步推廣,就要政府大力支持,給予一定的資金技術(shù)支持,加強數(shù)字檔案信息的宏觀管理,完善各方面體制建設(shè)。

人員方面包括安全審查制度、崗位安全考核制度、安全培訓制度等。

在文檔管理方面,對已經(jīng)存儲的數(shù)字檔案信息均應進行密級分類,對敏感信息與機密信息應當加密并脫機存儲在安全的環(huán)境中,防止信息被偷聽、變更與毀壞。

在系統(tǒng)的運營方面也要注意安全問題,包括操作安全管理、操作權(quán)限管理、操作規(guī)范管理、操作責任管理、操作監(jiān)督管理、操作恢復管理、應用系統(tǒng)備份管理、應用軟件維護安全管理等等。

3.結(jié)語。

數(shù)字檔案工作是一項需要長期堅持,不斷完善的工作,它的安全問題需要我們不斷改進,不斷加以維護,我們要從人員,技術(shù),制度管理等多個方面同時下手,建立良好的“軟環(huán)境”和“硬環(huán)境”,早日建立好數(shù)字檔案信息安全體系,用好數(shù)字檔案,管好數(shù)字檔案,為我國的經(jīng)濟建設(shè)做出更大的貢獻。

參考文獻:

[1]宗文萍,檔案信息安全保障體系建設(shè)研究,檔案學通訊,.

[2]呂榜珍,數(shù)字檔案的安全管理與技術(shù)措施,云南檔案,.

[3]崔淑霞,檔案信息化建設(shè)中的信息安全研究,天津檔案2006.

信息安全等級保護的分析論文篇三

[摘要]近些年隨著經(jīng)濟水平的提高,我國的發(fā)展也正處于上升的階段。

我國信息安全的發(fā)展是近年來受到國家較為重視的一項內(nèi)容,信息安全管理水平也在日益提高。

信息安全管理就是對一些重要的信息進行保護,防止信息內(nèi)容的泄露,對我國安全有著重要的意義。

現(xiàn)階段我國信息安全管理的主要方式就是數(shù)字檔案信息安全,這種信息管理方式是具有較多優(yōu)點的新型管理模式。

本研究將對我國數(shù)字檔案信息安全進行細致的分析,找出影響數(shù)字檔案信息安全的因素與對策。

前言。

數(shù)字檔案信息安全是我國信息安全管理發(fā)展中的項重要改進,它的出現(xiàn)為我國信息安全做出了重要的貢獻。

數(shù)字檔案信息安全最主要就是利用數(shù)字信息將所要進行保密的信息進行記錄存檔,數(shù)字檔案的安全可靠性是其他信息安全措施所不能相比的。

雖然數(shù)字檔案信息安全較為可靠,但是還是存在一些影響其安全性進一步提高的因素,這些因素的存在使得我國數(shù)字檔案信息安全的發(fā)展受到抑制,所以在下一階段的發(fā)展過程中我國需要對這些因素進行注意,找出相應的解決措施。

數(shù)字檔案信息安全是在我國信息安全不斷發(fā)展的過程中被提出的一項新內(nèi)容,它的應用對我國信息安全有著重要的意義。

我國傳統(tǒng)的信息安全管理技術(shù)主要是以文字檔案進行存儲的,這種信息安全管理方式對信息安全有效性的保證十分不利,信息內(nèi)容很容易向外泄露,泄露將會為我國帶來一定程度的影響。

以傳統(tǒng)文字為信息載體的信息管理方式不能夠使得信息安全性得到較高的保證,所以我國信息安全管理部門對信息安全管理方式進行了較大的改進,數(shù)字檔案信息安全管理方式也隨之出現(xiàn)。

以數(shù)字為信息的主要載體會很小程度的暴露信息內(nèi)容,這就對信息的加密工作作出了較好的保障。

數(shù)字檔案信息安全主要是針對安全性要求極強的信息進行安全管理工作的,它將這些信息轉(zhuǎn)變?yōu)閿?shù)字形式進行存儲,這就使得其他無關(guān)人員對信息的獲知概率減小。

數(shù)字檔案信息安全的發(fā)展使得我國信息管理有了顯著的提高,這對于國家的發(fā)展意義重大。

我國數(shù)字檔案信息安全管理在現(xiàn)階段正在進行較快的發(fā)展,數(shù)字檔案的應用不僅使得我國信息管理變得更加便捷,還進一步的加強了我國信息安全的保障,所以數(shù)字檔案信息安全的出現(xiàn)與完善是我國發(fā)展過程中的重要內(nèi)容。

但是雖然在現(xiàn)階段我國數(shù)字檔案信息管理技術(shù)的發(fā)展較好,但是仍然存在一些需要我們進行進一步注意并能找到適當改進措施的方面[1]。

進行數(shù)字檔案信息安全管理主要就是采用數(shù)字檔案信息安全管理的流程來進行信息處理,但是目前我國數(shù)字檔案信息安全管理流程還是存在較大問題的一項重要的內(nèi)容,管理流程較為欠缺使得數(shù)字檔案信息安全管理的可靠度有所下降。

現(xiàn)階段進行信息安全管理的工作人員不能夠?qū)ζ渌M行的工作進行完全的掌握,在工作過程中總是出現(xiàn)一些問題與漏洞,這就使得數(shù)字檔案信息安全得不到較高的保證,進而不利于數(shù)字檔案信息安全的進步與發(fā)展。

管理人員是信息安全保證的最基本條件,在信息安全管理工作進行的過程中,信息管理工作人員應該將信息安全作為最重要的責任,時刻的保持信息安全意識,只有信息管理人員能夠?qū)⑿畔⒆龅阶畲蟪潭鹊谋C?,才能使得信息不會輕易的向外泄露。

但是目前我國數(shù)字檔案信息安全管理人員的安全意識還沒有得到應有的提高,一些重要的信息還是因為信息管理人員而遭到泄露。

信息安全對國家的發(fā)展有著重要的影響意義,國家的一些重要信息需要由嚴格的信息安全管理機構(gòu)來進行管理[2]。

信息安全管理機構(gòu)的工作主要就是對所有重要信息進行處理與保存,這個過程需要由嚴格的管理技術(shù)來進行。

數(shù)字檔案信息安全管理技術(shù)是目前對信息安全保證的重要技術(shù),它與傳統(tǒng)的信息管理技術(shù)相比更為便捷安全,是現(xiàn)階段最適合我國信息管理的重要技術(shù)。

提高我國數(shù)字信息安全是我國發(fā)展過程中十分必要的一項內(nèi)容,信息安全是我國未來發(fā)展的基本內(nèi)容,只有將我國發(fā)展過程中的重要信息進行加密安全保護,我國才能安全穩(wěn)定的實施每一項發(fā)展內(nèi)容。

提高我國數(shù)字檔案信息安全水平是目前我國十分重視的發(fā)展問題,所以尋找提高數(shù)字檔案信息安全措施是我國目前正在進行的一項重要內(nèi)容,這與我國未來的發(fā)展息息相關(guān)。

數(shù)字檔案信息安全管理的管理流程與傳統(tǒng)信息管理方式相比較為嚴格復雜,這主要是有利于信息的安全保障。

進行數(shù)字檔案信息安全管理的首要步驟就是對信息進行核對與分類,一些重要信息是需要進行嚴格的分類,以保證不與其他信息弄混。

完成信息的分類后要將所有的信息轉(zhuǎn)變?yōu)閿?shù)字檔案,有需要備份的信息要完成備份工作,這樣就會使所有的信息進行統(tǒng)一的管理,同時在查找信息時可以很快的找出。

2.2提高管理人員的安全意識。

數(shù)字檔案信息安全管理人員是對所有數(shù)字檔案進行管理以及保護的人員,所以他們對信息必須要進行一定的了解,這就使得信息的安全性受到了威脅。

一些管理人員沒有對信息保密的安全意識,使得自己了解的信息可能對外透露,這就引起了重要信息的泄露發(fā)生。

提高管理人員的安全意識是現(xiàn)階段我國需要完善的重要內(nèi)容,只有對數(shù)字檔案進行管理的工作人員可以保證不會將信息泄露出去,信息安全才能從根本上得以保證。

2.3注重管理和培訓信息安全人才。

數(shù)字檔案信息安全管理人員的工作十分重要,所以在對管理人員的管理以及培訓工作上我們要加強重視。

在對正式進行信息管理工作的工作人員進行培訓時,要對他們進行工作內(nèi)容的細致講解,使他們對工作流程進行完全的掌握,防治在正式工作后發(fā)生不必要的錯誤。

在了解一定的工作內(nèi)容后還要進行一定時間的試用期,只有管理人員在試用期時很好地完成任務才能進行正式的工作。

所有數(shù)字檔案信息安全管理工作的人員需要由統(tǒng)一的管理機構(gòu)來進行管理,這對于信息安全的保障十分重要。

注重管理和培訓信息安全人才是提高我國數(shù)字檔案信息安全工作的重要環(huán)節(jié),只有這樣我國的信息安全才能夠得到更好的保證。

3.結(jié)語。

我國數(shù)字檔案信息安全管理工作在近些年的'發(fā)展很快,這對我國未來的發(fā)展意義重大。

雖然在現(xiàn)階段我國數(shù)字檔案信息安全管理工作仍然存在一定的問題,但是在細致認真的分析過后我國可以很好的都對這些問題進行解決,最終使我國數(shù)字檔案信息安全工作有更高水平的提高。

參考文獻。

信息安全等級保護的分析論文篇四

公安部于開始等級保護測評體系的建設(shè),以來,對國家和地方等級保護協(xié)調(diào)小組推薦的測評機構(gòu)開展能力評估工作,到目前為止,已完成120多家測評機構(gòu)的申請和評估,并頒發(fā)了《信息安全等級保護測評機構(gòu)》推薦證書。120多家機構(gòu)按國家和地方兩級管理,國家級目前有7家,其中有4家主要承擔行業(yè)內(nèi)的測評工作,分別是電力、金融、教育和廣電。

2電力行業(yè)等級保護測評機構(gòu)的借鑒作用。

國家信息安全等級保護工作協(xié)調(diào)小組鼓勵具有信息系統(tǒng)特色的行業(yè)申請等級保護測評機構(gòu),旨在對具有行業(yè)特色、安全建設(shè)情況又不便向外界透露的信息系統(tǒng)開展本行業(yè)的等級測評工作。在電力、金融、教育和廣電4大行業(yè)中,電力行業(yè)信息安全等級保護測評中心是最早獲批國家級測評機構(gòu)的單位,其成功經(jīng)驗對其它行業(yè)開展信息安全測評工作具有重要的借鑒作用。電力行業(yè)等級保護測評中心設(shè)有3個測評實驗室,分別掛靠在國網(wǎng)電力科學研究院、中國電力科學研究院、華電卓識測評中心。3個實驗室均為獨立法人單位,獨立承接測評業(yè)務,測評業(yè)務指導統(tǒng)一歸口電力行業(yè)信息安全等級保護測評中心。各測評單位的主要職能有:技術(shù)研究、安全測評、風險評估、業(yè)務咨詢服務、行業(yè)相關(guān)標準及規(guī)范編制等,對電力行業(yè)信息安全等級保護工作的開展起到引領(lǐng)和推動作用。電力行業(yè)信息系統(tǒng)數(shù)量多,工業(yè)控制類信息系統(tǒng)占多數(shù),其中三級系統(tǒng)有1700多個,四級系統(tǒng)有40~50個,按照公安部的要求,測評中心對本行業(yè)的三級、四級系統(tǒng)定期開展等級保護測評工作。

鐵路行業(yè)的業(yè)務與電力行業(yè)十分相似,都屬于國家的重要基礎(chǔ)設(shè)施。電力行業(yè)的信息系統(tǒng)主要是電網(wǎng)控制類系統(tǒng),屬工業(yè)控制專業(yè),信息安全要求高;鐵路行業(yè)信息化工作主要為行車控制、客貨運輸提供重要支撐,信息系統(tǒng)涉及控制和實時交易處理等,具有明顯的行業(yè)特點,專業(yè)性要求高。因此,借鑒電力行業(yè)等級保護測評機構(gòu)在本行業(yè)信息安全工作中起到的作用,有必要在鐵路行業(yè)內(nèi)部建立正規(guī)的信息安全技術(shù)隊伍,對鐵路行業(yè)的網(wǎng)絡(luò)與信息安全工作的開展起支撐作用。

3.1行業(yè)測評機構(gòu)的優(yōu)勢。

如上所述,鐵路行業(yè)的信息系統(tǒng)有著行業(yè)運行特點和專業(yè)特殊要求,客、貨運輸交易及管理類系統(tǒng)涉及國計民生,列車運行控制類系統(tǒng)與老百姓的生命安全息息相關(guān),行業(yè)內(nèi)的測評機構(gòu)依托其自身長期的專業(yè)知識的積累,具有以下幾個方面的優(yōu)勢:

(1)行業(yè)測評機構(gòu)容易理解行業(yè)信息系統(tǒng)的業(yè)務并把控安全風險行業(yè)測評機構(gòu)的從業(yè)人員大多是有著行業(yè)信息系統(tǒng)研發(fā)經(jīng)驗的科研人員,熟悉系統(tǒng)的功能特點和應用背景,長期從事行業(yè)信息安全服務工作,對行業(yè)信息系統(tǒng)的安全風險把握較準確。

(2)便于培養(yǎng)行業(yè)內(nèi)的信息安全服務技術(shù)力量行業(yè)測評機構(gòu)通過長期積累,在技術(shù)裝備上能得到不斷提升,通過構(gòu)建與實際生產(chǎn)系統(tǒng)一致的模擬仿真測試環(huán)境,可以有效跟蹤生產(chǎn)應用系統(tǒng)的安全風險;長期從事行業(yè)內(nèi)的信息安全等級保護測評工作也給測評機構(gòu)的檢測人員提供良好的行業(yè)應用平臺,積累服務經(jīng)驗和技術(shù)經(jīng)驗;通過組織培訓班等形式,又可以將測評機構(gòu)積累的豐富經(jīng)驗以技術(shù)研討會的形式在行業(yè)內(nèi)信息安全從業(yè)人員中傳授,有效提高行業(yè)內(nèi)信息安全整體技術(shù)服務水平。

(3)行業(yè)測評機構(gòu)隊伍穩(wěn)定且人員可控性強公安部要求從事信息安全等級保護測評工作的人員要可控,對從事四級系統(tǒng)(重要系統(tǒng))以上的測評人員進行嚴格管理。行業(yè)測評機構(gòu)一般都是國企,主要從事行業(yè)內(nèi)的信息安全技術(shù)研究、等級保護測評服務等相關(guān)工作,人員除簽訂勞動服務合同,與單位定期簽訂保密協(xié)議外,機構(gòu)也會對員工在職業(yè)發(fā)展、工資待遇、培訓教育機會等方面給予慎重安排,使得測評人員保持較高的穩(wěn)定性和可控性。

3.2行業(yè)測評機構(gòu)的作用。

(1)行業(yè)信息安全技術(shù)支撐信息安全測評第三方機構(gòu)有著豐富的信息安全專業(yè)知識,熟悉國家、行業(yè)各層級的標準和規(guī)范,通過長期在鐵路行業(yè)內(nèi)開展測評、咨詢等服務性工作,了解行業(yè)應用系統(tǒng)的業(yè)務特點,掌握行業(yè)信息系統(tǒng)安全的普遍性和特殊性要求,可以為行業(yè)單位提供定制化的信息安全解決方案,對行業(yè)信息安全工作的開展起到積極的技術(shù)支撐作用。

(2)行業(yè)標準規(guī)范制定根據(jù)公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》(公信安[]1429號)的要求,重點行業(yè)信息系統(tǒng)主管部門可以按照等級保護國家標準,結(jié)合行業(yè)特點,確定行業(yè)信息系統(tǒng)安全等級保護的具體指標。在不低于等級保護國標基本要求的情況下,結(jié)合鐵路行業(yè)信息系統(tǒng)安全保護的特殊需求,在行業(yè)主管部門的指導下制定鐵路行業(yè)的相關(guān)標準、規(guī)范或細則,指導鐵路行業(yè)信息系統(tǒng)安全建設(shè)、整改與測評工作。

(3)信息系統(tǒng)全生命周期測評服務信息系統(tǒng)全生命周期包含5個基本階段:規(guī)劃、設(shè)計、實施、運維和廢棄。行業(yè)測評機構(gòu)可以在信息系統(tǒng)生命周期各階段為用戶提供有針對性的信息安全服務,使等級保護工作貫穿于信息系統(tǒng)生命周期的各個階段。規(guī)劃階段測評機構(gòu)可以幫助用戶識別危險源和安全風險,確定系統(tǒng)應達到的安全目標,提供定級指導;設(shè)計階段協(xié)助提出系統(tǒng)需滿足的安全指標,在關(guān)鍵節(jié)點提供安全測評服務;實施階段測評機構(gòu)提供漏洞掃描、滲透性測試、源代碼安全檢查等深度安全檢測,并根據(jù)測評結(jié)果提供安全建設(shè)整改建議;運維階段等級保護測評的目的.是掌控信息系統(tǒng)運行期間的安全風險,按國家標準要求定期開展等級保護測評,遇網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、應用系統(tǒng)升級改造等重大變更時進行等級保護測評;業(yè)務廢棄階段行業(yè)測評機構(gòu)可為用戶提供軟、硬件等資產(chǎn)及殘留信息的廢棄處置方案,防止系統(tǒng)廢棄可能引入的新的風險。

(4)信息安全咨詢與評估服務由于測評機構(gòu)熟悉信息安全相關(guān)的標準和規(guī)范,實踐經(jīng)驗豐富,可以根據(jù)用戶的需要開展定制化的咨詢服務,如等級保護合規(guī)性咨詢與評估服務,風險管理咨詢服務,安全體系建設(shè)咨詢與評估服務,軟件源代碼安全咨詢服務等。

(5)行業(yè)信息安全持續(xù)改進能力培養(yǎng)測評機構(gòu)在實施某一測評任務時,一般需要在測評前期、中期和后期與用戶進行充分的溝通,通過技術(shù)交流、設(shè)計聯(lián)絡(luò)等方式,提高用戶對等級保護基本概念、安全指標的理解以及測評方法、檢測工具的運用,在完成測評任務的同時,也幫助用戶提升信息安全自測能力。行業(yè)測評機構(gòu)還可通過技術(shù)講座等形式,對用戶單位信息安全分管領(lǐng)導、系統(tǒng)運維人員和業(yè)務部門關(guān)鍵崗位人員進行培訓,通過培訓增強用戶信息安全意識和運維人員專業(yè)技術(shù)水平,使用戶具備對信息系統(tǒng)進行安全持續(xù)改進的能力。

鐵路行業(yè)目前已投入使用的信息系統(tǒng)按大系統(tǒng)分有上百個,每個大系統(tǒng)按照應用范圍又分為鐵路總公司級系統(tǒng)、鐵路局/地區(qū)中心系統(tǒng)和站段級系統(tǒng),這些系統(tǒng)一般采取統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、分系統(tǒng)建設(shè)的模式投入使用,各級系統(tǒng)采用不同的等級保護定級,在開展信息系統(tǒng)測評時,一般需要將大系統(tǒng)拆分為不同的子系統(tǒng)分開測評,每年可參與評測的信息系統(tǒng)數(shù)量不低。按1個鐵路總公司、18個鐵路局、上千個車站規(guī)??紤],鐵路每年可參評的信息系統(tǒng)數(shù)量大約有上萬個左右。因此,成立鐵路行業(yè)信息安全等級保護專業(yè)測評機構(gòu)不僅是信息系統(tǒng)安全保障的需要,也是建立健全完善的鐵路運輸整體安全體系的需要。

4結(jié)束語。

信息安全等級保護建設(shè)是一項長期任務,作為行業(yè)的第三方測評機構(gòu),應協(xié)助鐵路信息安全主管部門將行業(yè)信息安全工作落到實處,開展行業(yè)相關(guān)標準與規(guī)范制訂、安全方案設(shè)計、等級保護測評、定級備案、整改建設(shè)指導、安全咨詢等實效性工作,在落實好公安部和行業(yè)主管部門等級保護測評工作要求的同時,幫助用戶培養(yǎng)信息安全持續(xù)改進能力,促進行業(yè)信息安全水平整體提升,全面發(fā)揮對行業(yè)等級保護建設(shè)工作的技術(shù)支撐作用。

信息安全等級保護的分析論文篇五

第一章總則。

第一條為加強和規(guī)范信息安全等級保護管理,提高信息安全保障能力,維護國家安全、公共利益和社會穩(wěn)定,促進信息化建設(shè),根據(jù)國家有關(guān)規(guī)定,結(jié)合本省實際,制定本辦法。

第二條本省行政區(qū)域內(nèi)建設(shè)、運營、使用信息系統(tǒng)的單位,均須遵守本辦法。

第三條本辦法所稱信息安全等級保護,是指按國家規(guī)定對需要實行安全等級保護的各類信息的存儲、傳輸、處理的信息系統(tǒng)進行相應的等級保護,對信息系統(tǒng)中發(fā)生的信息安全突發(fā)公共事件實行分等級響應和處置的安全保障制度。

第四條本辦法所稱信息,是指通過信息系統(tǒng)進行存儲、傳輸、處理的語言、文字、聲音、圖像、數(shù)字等資料。

本辦法所稱信息系統(tǒng),是指由計算機、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的,按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的運行體系。

第五條信息安全等級保護應當遵循分級實施、明確責任、確保安全的原則;重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)各類信息的安全性和信息處理的連續(xù)性。

信息系統(tǒng)應當按照信息安全等級保護的要求,實行同步建設(shè)、動態(tài)調(diào)整、誰運行誰負責的原則。

第六條縣級以上人民政府應當加強對信息安全等級保護工作的領(lǐng)導,把信息安全等級保護納入信息化建設(shè)規(guī)劃,協(xié)調(diào)、解決有關(guān)重大問題,建立必要的資金和技術(shù)的保障機制。

第七條縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應當按照國家和本辦法規(guī)定,履行監(jiān)督管理職責。

縣級以上人民政府其他相關(guān)部門,應當按照職責分工,落實信息安全等級保護管理的責任,配合做好相關(guān)工作。

第八條根據(jù)信息系統(tǒng)承載的信息的重要性、業(yè)務處理對系統(tǒng)的依賴性以及系統(tǒng)遭到破壞后對經(jīng)濟、社會的危害程度,確定信息系統(tǒng)相應的保護等級。

信息系統(tǒng)的保護等級分為以下五級:

(五)信息系統(tǒng)承載的信息直接關(guān)系國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)和運行,信息系統(tǒng)遭到破壞后,會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴重損害的,為五級保護,由運營單位在國家指定的專門部門、專門機構(gòu)的??叵逻M行保護。

第九條信息系統(tǒng)的建設(shè)、運營、使用單位,應當按照國家有關(guān)技術(shù)規(guī)范、標準和本辦法第八條規(guī)定自行選定其信息系統(tǒng)相應的保護等級。

基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護等級,建設(shè)單位應當在信息系統(tǒng)規(guī)劃設(shè)計時,按照本辦法第十條規(guī)定報經(jīng)審定。

第十條基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)保護等級,實行專家評審制度。

省、設(shè)區(qū)的市信息化行政主管部門應當分別建立省、市信息系統(tǒng)保護等級專家評審組,并分別組織對關(guān)系全省和關(guān)系全市的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護等級進行審定。申報與審定的具體細則,由省信息化行政主管部門會同省公安部門制定,并報省人民政府備案。

第十一條對于包含多個子系統(tǒng)的信息系統(tǒng),應當根據(jù)各子系統(tǒng)的重要程度分別確定保護等級。

第十二條信息系統(tǒng)建設(shè)完成后,其運營、使用單位應當按照國家有關(guān)技術(shù)規(guī)范和標準進行安全測評,符合要求的,方可投入使用。

第十三條信息系統(tǒng)投入運行或者系統(tǒng)變更之日起三十日內(nèi),運營、使用單位應當將信息系統(tǒng)保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。

信息系統(tǒng)涉及國家秘密的,運營、使用單位應當按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。

第十四條信息系統(tǒng)的運營、使用單位,應當按照國家有關(guān)技術(shù)規(guī)范和標準,建立信息安全等級保護管理制度,落實安全保護責任,采取相應的安全保護措施,切實保障信息系統(tǒng)正常安全運行。

第十五條信息系統(tǒng)的運營、使用單位,應當建立信息系統(tǒng)安全狀況日常檢測工作制度,加強對信息系統(tǒng)的日常維護和安全管理,及時消除安全隱患,確保信息的安全和系統(tǒng)的正常運行。

基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的運營、使用單位,應當按照國家有關(guān)技術(shù)規(guī)范和標準,每年對系統(tǒng)的信息安全狀況進行一次全面的測評,也可以委托有相應資質(zhì)的單位進行安全測評。

第十六條信息系統(tǒng)發(fā)生信息安全突發(fā)公共事件時,應當根據(jù)事件的可控性、地域影響范圍和信息系統(tǒng)遭到破壞的嚴重程度,實行分級響應和應急處置。分級響應和應急處置按照省有關(guān)網(wǎng)絡(luò)與信息安全。

應急預案。

的規(guī)定執(zhí)行。

通信基礎(chǔ)網(wǎng)絡(luò)發(fā)生突發(fā)公共事件時,應當按照省有關(guān)通信保障應急預案的規(guī)定執(zhí)行。

第三章監(jiān)督管理。

第十七條縣級以上人民政府公安部門依法對運營、使用信息系統(tǒng)的單位的信息安全等級保護工作實施監(jiān)督管理,并做好下列工作:

(四)依法查處信息系統(tǒng)運營、使用單位和個人的違法行為;。

第十八條保密工作部門依照職責分工,依法做好下列工作:

(二)受理涉及國家秘密的信息系統(tǒng)保護等級的備案;。

(三)依法查處信息泄密、失密事件;。

第十九條密碼管理部門應當按照職責分工依法做好相關(guān)工作,加強對涉及密碼管理的信息安全等級保護工作的監(jiān)督、檢查和指導,查處信息安全等級保護工作中違反密碼管理的行為和事件。

第二十條信息化行政主管部門應當加強對信息安全等級保護工作的指導、服務、協(xié)調(diào)和管理,并做好下列工作:

(二)組織制定信息安全等級保護工作規(guī)范;。

(三)組織專家審定信息系統(tǒng)的保護等級;。

(五)根據(jù)預案規(guī)定,組織落實信息安全突發(fā)公共事件的應急處置工作;。

第二十一條信息系統(tǒng)建設(shè)、運營、使用單位,應當按照國家和本辦法有關(guān)規(guī)定,開展信息安全等級保護工作,接受有關(guān)部門的指導、檢查和監(jiān)督管理。

信息系統(tǒng)運營、使用單位,在運營、使用中發(fā)生信息安全突發(fā)公共事件、泄密失密事件的,應當按照應急預案要求,及時采取有效措施,防止事態(tài)擴大,并立即報告有關(guān)主管部門,配合做好應急處置工作。

第四章法律責任。

第二十二條違反本辦法規(guī)定的行為,有關(guān)法律、法規(guī)已有行政處罰規(guī)定的,從其規(guī)定。

第二十三條信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,不建立信息系統(tǒng)保護等級或者自行選定的保護等級不符合國家有關(guān)技術(shù)規(guī)范和標準的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,處一千元以上二千元以下罰款。

第二十四條信息系統(tǒng)運營、使用單位違反本辦法第十二條、第十三條第一款規(guī)定的,由公安部門責令限期改正,并給予警告;逾期不改正的,處二千元罰款。

逾期拒不改正的,對經(jīng)營性的處五千元以上五萬元以下罰款,對非經(jīng)營性的處二千元罰款。

第二十六條違反本辦法第十五條第一款規(guī)定,信息系統(tǒng)運營、使用單位未建立信息系統(tǒng)安全狀況日常檢測工作制度的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,處一千元以上二千元以下罰款。

違反本辦法第十五條第二款規(guī)定,基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的運營、使用單位,未定期對系統(tǒng)的信息安全狀況進行測評的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,對經(jīng)營性的處二千元以上二萬元以下罰款,對非經(jīng)營性的處二千元罰款。

第二十七條信息系統(tǒng)運營、使用單位違反本辦法第二十一條第二款規(guī)定的,由縣級以上人民政府信息化行政主管部門責令改正,給予警告,對經(jīng)營性的并處五千元以上三萬元以下罰款,對非經(jīng)營性的并處二千元罰款;涉及泄密、失密的,按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定處理。

第二十八條有關(guān)信息安全等級保護監(jiān)管部門及其工作人員有下列行為之一的,由其主管部門或者監(jiān)察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。

(一)未按照本辦法規(guī)定履行監(jiān)督管理職責的;。

(二)違反國家和本辦法規(guī)定審定信息系統(tǒng)保護等級的;。

(三)違反法定程序和權(quán)限實施行政處罰的;。

(四)在履行監(jiān)督管理職責中,玩忽職守、濫用職權(quán)、徇私舞弊的;。

(五)其他應當依法給予行政或者紀律處分的行為。

第二十九條違反本辦法規(guī)定,構(gòu)成犯罪的,依法追究刑事責任。

第五章附則。

第三十條在本辦法施行前已經(jīng)建成的信息系統(tǒng),運營、使用單位應當依照本辦法規(guī)定建立相應的保護等級。

第三十一條本辦法自20xx年1月1日起施行。

信息系統(tǒng)通用安全技術(shù)要求(gb/t20xx1-20xx)(應用類建設(shè)標準)。

信息系統(tǒng)安全管理要求(gb/t20xx9-20xx)(應用類管理標準)。

信息系統(tǒng)安全工程管理要求(gb/t20xx2-20xx)(應用類管理標準)。

信息安全等級保護的分析論文篇六

第一條為加強和規(guī)范信息安全等級保護管理,提高信息安全保障能力,維護國家安全、公共利益和社會穩(wěn)定,促進信息化建設(shè),根據(jù)國家有關(guān)規(guī)定,結(jié)合本省實際,制定本辦法。

第二條本省行政區(qū)域內(nèi)建設(shè)、運營、使用信息系統(tǒng)的單位,均須遵守本辦法。

第三條本辦法所稱信息安全等級保護,是指按國家規(guī)定對需要實行安全等級保護的各類信息的存儲、傳輸、處理的信息系統(tǒng)進行相應的等級保護,對信息系統(tǒng)中發(fā)生的信息安全突發(fā)公共事件實行分等級響應和處置的安全保障制度。

第四條本辦法所稱信息,是指通過信息系統(tǒng)進行存儲、傳輸、處理的語言、文字、聲音、圖像、數(shù)字等資料。

本辦法所稱信息系統(tǒng),是指由計算機、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的,按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的運行體系。

第五條信息安全等級保護應當遵循分級實施、明確責任、確保安全的原則;重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)各類信息的安全性和信息處理的連續(xù)性。

信息系統(tǒng)應當按照信息安全等級保護的要求,實行同步建設(shè)、動態(tài)調(diào)整、誰運行誰負責的原則。

第六條縣級以上人民政府應當加強對信息安全等級保護工作的領(lǐng)導,把信息安全等級保護納入信息化建設(shè)規(guī)劃,協(xié)調(diào)、解決有關(guān)重大問題,建立必要的資金和技術(shù)的保障機制。

第七條縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應當按照國家和本辦法規(guī)定,履行監(jiān)督管理職責。

縣級以上人民政府其他相關(guān)部門,應當按照職責分工,落實信息安全等級保護管理的責任,配合做好相關(guān)工作。

第八條根據(jù)信息系統(tǒng)承載的信息的重要性、業(yè)務處理對系統(tǒng)的依賴性以及系統(tǒng)遭到破壞后對經(jīng)濟、社會的危害程度,確定信息系統(tǒng)相應的保護等級。

(五)信息系統(tǒng)承載的信息直接關(guān)系國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)和運行,信息系統(tǒng)遭到破壞后,會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴重損害的,為五級保護,由運營單位在國家指定的專門部門、專門機構(gòu)的??叵逻M行保護。

第九條信息系統(tǒng)的建設(shè)、運營、使用單位,應當按照國家有關(guān)技術(shù)規(guī)范、標準和本辦法第八條規(guī)定自行選定其信息系統(tǒng)相應的保護等級。

基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護等級,建設(shè)單位應當在信息系統(tǒng)規(guī)劃設(shè)計時,按照本辦法第十條規(guī)定報經(jīng)審定。

第十條基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)保護等級,實行專家評審制度。

省、設(shè)區(qū)的市信息化行政主管部門應當分別建立省、市信息系統(tǒng)保護等級專家評審組,并分別組織對關(guān)系全省和關(guān)系全市的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護等級進行審定。申報與審定的具體細則,由省信息化行政主管部門會同省公安部門制定,并報省人民政府備案。

第十一條對于包含多個子系統(tǒng)的信息系統(tǒng),應當根據(jù)各子系統(tǒng)的重要程度分別確定保護等級。

第十二條信息系統(tǒng)建設(shè)完成后,其運營、使用單位應當按照國家有關(guān)技術(shù)規(guī)范和標準進行安全測評,符合要求的,方可投入使用。

第十三條信息系統(tǒng)投入運行或者系統(tǒng)變更之日起三十日內(nèi),運營、使用單位應當將信息系統(tǒng)保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。

信息系統(tǒng)涉及國家秘密的,運營、使用單位應當按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。

第十四條信息系統(tǒng)的運營、使用單位,應當按照國家有關(guān)技術(shù)規(guī)范和標準,建立信息安全等級保護管理制度,落實安全保護責任,采取相應的安全保護措施,切實保障信息系統(tǒng)正常安全運行。

第十五條信息系統(tǒng)的運營、使用單位,應當建立信息系統(tǒng)安全狀況日常檢測工作制度,加強對信息系統(tǒng)的日常維護和安全管理,及時消除安全隱患,確保信息的安全和系統(tǒng)的正常運行。

基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的運營、使用單位,應當按照國家有關(guān)技術(shù)規(guī)范和標準,每年對系統(tǒng)的信息安全狀況進行一次全面的測評,也可以委托有相應資質(zhì)的單位進行安全測評。

第十六條信息系統(tǒng)發(fā)生信息安全突發(fā)公共事件時,應當根據(jù)事件的可控性、地域影響范圍和信息系統(tǒng)遭到破壞的嚴重程度,實行分級響應和應急處置。分級響應和應急處置按照省有關(guān)網(wǎng)絡(luò)與信息安全應急預案的規(guī)定執(zhí)行。

通信基礎(chǔ)網(wǎng)絡(luò)發(fā)生突發(fā)公共事件時,應當按照省有關(guān)通信保障應急預案的規(guī)定執(zhí)行。

第三章監(jiān)督管理。

第十七條縣級以上人民政府公安部門依法對運營、使用信息系統(tǒng)的單位的信息安全等級保護工作實施監(jiān)督管理,并做好下列工作:

(四)依法查處信息系統(tǒng)運營、使用單位和個人的違法行為;。

第十八條保密工作部門依照職責分工,依法做好下列工作:

(二)受理涉及國家秘密的信息系統(tǒng)保護等級的備案;。

(三)依法查處信息泄密、失密事件;。

第十九條密碼管理部門應當按照職責分工依法做好相關(guān)工作,加強對涉及密碼管理的信息安全等級保護工作的監(jiān)督、檢查和指導,查處信息安全等級保護工作中違反密碼管理的行為和事件。

第二十條信息化行政主管部門應當加強對信息安全等級保護工作的指導、服務、協(xié)調(diào)和管理,并做好下列工作:

(二)組織制定信息安全等級保護工作規(guī)范;。

(三)組織專家審定信息系統(tǒng)的保護等級;。

(五)根據(jù)預案規(guī)定,組織落實信息安全突發(fā)公共事件的應急處置工作;。

第二十一條信息系統(tǒng)建設(shè)、運營、使用單位,應當按照國家和本辦法有關(guān)規(guī)定,開展信息安全等級保護工作,接受有關(guān)部門的指導、檢查和監(jiān)督管理。

信息系統(tǒng)運營、使用單位,在運營、使用中發(fā)生信息安全突發(fā)公共事件、泄密失密事件的,應當按照應急預案要求,及時采取有效措施,防止事態(tài)擴大,并立即報告有關(guān)主管部門,配合做好應急處置工作。

第四章法律責任。

第二十二條違反本辦法規(guī)定的行為,有關(guān)法律、法規(guī)已有行政處罰規(guī)定的,從其規(guī)定。

第二十三條信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,不建立信息系統(tǒng)保護等級或者自行選定的保護等級不符合國家有關(guān)技術(shù)規(guī)范和標準的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,處一千元以上二千元以下罰款。

第二十四條信息系統(tǒng)運營、使用單位違反本辦法第十二條、第十三條第一款規(guī)定的,由公安部門責令限期改正,并給予警告;逾期不改正的,處二千元罰款。

逾期拒不改正的,對經(jīng)營性的處五千元以上五萬元以下罰款,對非經(jīng)營性的處二千元罰款。

第二十六條違反本辦法第十五條第一款規(guī)定,信息系統(tǒng)運營、使用單位未建立信息系統(tǒng)安全狀況日常檢測工作制度的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,處一千元以上二千元以下罰款。

違反本辦法第十五條第二款規(guī)定,基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的運營、使用單位,未定期對系統(tǒng)的信息安全狀況進行測評的,由公安部門責令限期改正,并給予警告;逾期拒不改正的,對經(jīng)營性的處二千元以上二萬元以下罰款,對非經(jīng)營性的處二千元罰款。

第二十七條信息系統(tǒng)運營、使用單位違反本辦法第二十一條第二款規(guī)定的,由縣級以上人民政府信息化行政主管部門責令改正,給予警告,對經(jīng)營性的并處五千元以上三萬元以下罰款,對非經(jīng)營性的并處二千元罰款;涉及泄密、失密的,按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定處理。

第二十八條有關(guān)信息安全等級保護監(jiān)管部門及其工作人員有下列行為之一的,由其主管部門或者監(jiān)察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。

(一)未按照本辦法規(guī)定履行監(jiān)督管理職責的;。

(二)違反國家和本辦法規(guī)定審定信息系統(tǒng)保護等級的;。

(三)違反法定程序和權(quán)限實施行政處罰的;。

(四)在履行監(jiān)督管理職責中,玩忽職守、濫用職權(quán)、徇私舞弊的;。

(五)其他應當依法給予行政或者紀律處分的行為。

第二十九條違反本辦法規(guī)定,構(gòu)成犯罪的,依法追究刑事責任。

第五章附則。

第三十條在本辦法施行前已經(jīng)建成的信息系統(tǒng),運營、使用單位應當依照本辦法規(guī)定建立相應的保護等級。

第三十一條本辦法自1月1日起施行。

信息安全等級保護的分析論文篇七

建立等級保護制度是實現(xiàn)網(wǎng)絡(luò)安全的保障。結(jié)合網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)組成、服務模式等基本情況,建立等級保護制度實施的規(guī)范和標準。制定安全區(qū)域邊界和內(nèi)部實施相應的安全防護的策略,科學進行框架結(jié)構(gòu)、系統(tǒng)部署等內(nèi)容設(shè)計,建立一個適應性和可行性較強的網(wǎng)絡(luò)安全防護體系。通過科學的建模分析方法,結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)模型和對應的技術(shù)進行細致分析及思考。筆者針對如何建立適應性較強的網(wǎng)絡(luò)安全體系提出一些思路,并構(gòu)建出了具體的框架,提出具體的建模分析方法。

我國網(wǎng)絡(luò)技術(shù)迅猛發(fā)展,網(wǎng)絡(luò)技術(shù)的應用已經(jīng)滲透到各行各業(yè)中。由于網(wǎng)絡(luò)信息系統(tǒng)的類型很多,因此各國實施的系統(tǒng)建設(shè)標準各有不同,同時系統(tǒng)針對應用場景適應性也各有差異,還有其他一些的因素都是造成網(wǎng)絡(luò)安全等級保護制度難以進行推廣的原因。針對基于等級保護的網(wǎng)絡(luò)安全體系的建立和實施過程中的困難,有很多專家學者對信息安全等級保護制度進行了探討和研究。針對基于安全等級保護的網(wǎng)絡(luò)安全體系的研究,是從信息安全等級保護相關(guān)要求和標準角度,參考全球信息安全領(lǐng)域的安全保護原則與評估方法,進行科學的對比分析,常用的方法包括統(tǒng)計分析、系統(tǒng)建模等。信息安全等級保護制度的探索應用主要是在一些特定的對信息收集、處理標準較高的信息系統(tǒng)上,常見的比如,電子商務、媒體與信息服務、企業(yè)信息管理系統(tǒng)等。在特定領(lǐng)域的信息安全等級保護制度研究,要求結(jié)合行業(yè)領(lǐng)域的特點進行分析,還有一些相關(guān)的規(guī)范性文件要求。

2等級保護制度的內(nèi)容和要求。

所謂基于等級保護的網(wǎng)絡(luò)安全體系是指處理信息和其載體,需要結(jié)合信息的重要性,進行等級的分級別,提高信息安全保護的效率的一種體系制度。要求是對一些專有的重要信息或者公開信息進行專項的存儲、處理時,按照信息系統(tǒng)中內(nèi)容的等級實施對應的安全保護措施,實現(xiàn)對安全體系下的信息安全事件進行分等級的處置工作。實現(xiàn)系統(tǒng)的安全的相應要求不同于一般的技術(shù)安全要求標準。從物理、網(wǎng)絡(luò)、應用等層面,制定對不同等級的信息系統(tǒng)的建設(shè)標準。再根據(jù)實現(xiàn)方式的差異,提出基本的安全要求,分技術(shù)和管理要求兩個基本的類別。安全技術(shù)要求要對應安全層面的內(nèi)容,一些安全技術(shù)的實施標準的要求是能夠與特定層面相適應,例如防雷、防火等這些物理層面的安全要求。而一些安全要求是對應多個層面進行實施的,如進行身份的鑒別、系統(tǒng)訪問的控制等。

構(gòu)建科學的網(wǎng)絡(luò)安全體系,需要考慮諸多方面的內(nèi)容,比如安全組織、技術(shù)、和具體的實施等一系列的情況。在網(wǎng)絡(luò)安全體系中的內(nèi)容,必須符合我國當前的網(wǎng)絡(luò)方面的相關(guān)法律和標準,能夠適應各類的場景和應用環(huán)境來實現(xiàn)框架的構(gòu)建思路,科學的安全體系應當具備適用于各種應用場景的特點,進行安全場景的建模分析?;诘燃壉Wo的網(wǎng)絡(luò)安全體系,先要從需求角度進行分析,著重對體系建立的相關(guān)內(nèi)容進行思考,網(wǎng)絡(luò)安全體系框架的'構(gòu)建要求重點對網(wǎng)絡(luò)安全體系和安全目標、安全邊界多方面,通過建模方法進行分析,然后用具體明白的表述做好跟安全管理工作的對接。對安全目標的建模方法具體分析,要結(jié)合安全體系建立的需求,建立有針對性的安全目標。設(shè)立安全目標的內(nèi)容,通常會包括了業(yè)務的范圍、功能以及業(yè)務實施流程等方面的內(nèi)容。業(yè)務功能是指在網(wǎng)絡(luò)平臺上進行的特定相關(guān)業(yè)務的能力。通常業(yè)務功能可以按照模塊進行分解,目標的不同可能導致描述粒度要求的不同。針對安全目標的建立模型進行分析,由于業(yè)務需求與安全需求的內(nèi)容上存在很多類似的地方,因此,需要設(shè)定相同的分析對象再進行建模,運用的建模方法為:進行業(yè)務功能方面的建模,要結(jié)合網(wǎng)絡(luò)安全體系中的特定業(yè)務目標,深入分析業(yè)務的功能內(nèi)容,進行相關(guān)描述時,要結(jié)合具體的目標和特定的需要,同時還要針對對業(yè)務功能的內(nèi)容方面進行探討,對名稱的標識描述要突出,控制描述內(nèi)容的質(zhì)量,可以使用一些可視性例圖進行描述,這樣能起到幫助用戶更深入理解系統(tǒng)功能的目的。分析業(yè)務開展的范圍要結(jié)合相關(guān)的業(yè)務功能,在業(yè)務覆蓋的范圍內(nèi)闡述網(wǎng)絡(luò)覆蓋的業(yè)務實施和各個環(huán)節(jié)的相關(guān)性,可以借助類圖法對相關(guān)業(yè)務范圍進行刻畫。

4基于等級保護網(wǎng)絡(luò)安全體系中的安全邊界建模方法分析。

利用網(wǎng)絡(luò)安全邊界理論進行安全界定時,要服從于網(wǎng)絡(luò)安全體系可以涵蓋所有范圍的基本設(shè)立目標。利用sb=來對安全邊界模型的相關(guān)要素進行表示,在模型構(gòu)建的元素中以lnb表示邊界的連通,以smb表示安全措施邊界。應用lnb對聯(lián)通的邊界進行相關(guān)的分析,通過網(wǎng)絡(luò)上的軟件和硬件進行結(jié)合的內(nèi)容,進行的連通邊界的描述,同時還需要結(jié)合組件的運行和通信,對模型進行詳細的補充。

4.1針對安全體系要素的建模。

對安全體系的要素進行建模分析要求結(jié)合安全機制和安全威脅進行建模分析,對安全機制的相關(guān)要素和安全威脅的相關(guān)內(nèi)容要進行科學全面的思考,提高建模分析的準確性和科學性。要應用模態(tài)邏輯對安全體系的要素進行分析,包括了必然和可能等相關(guān)的概念邏輯。

4.2安全措施分析。

對網(wǎng)絡(luò)信息技術(shù)進行分析制定,防止網(wǎng)絡(luò)信息系統(tǒng)受到侵害,及時對一些安全事故進行分析處理,這是安全技術(shù)措施的主要內(nèi)容,安全管理措施是對網(wǎng)絡(luò)信息系統(tǒng)的檢查和分析,實施對機構(gòu)體制和系統(tǒng)操作人員的相關(guān)管理,還包括了對于提高系統(tǒng)的安全系數(shù)的工作內(nèi)容。

4.3安全管理措施和安全技術(shù)措施的分析比較。

安全管理措施和安全技術(shù)措施兩者十分類似,但在措施的實施方面有實際的差異。前者針對的管理的相關(guān)規(guī)則,而后者卻是針對技術(shù)制定相應的規(guī)則。進行模態(tài)邏輯的應用的時候,建立安全體系的模型,實現(xiàn)模擬邏輯的應用推導,利用安全體系中的有效性進行科學的推導和相應的分析,同時,利用強推理和弱推理的相關(guān)的規(guī)則進行對比分析,可以發(fā)現(xiàn)其中存在的一些關(guān)系。

用科學的方法建立模型,從安全目標和安全邊界角度以及安全要素等進行了模型的分析。下面就結(jié)合模型的驗證結(jié)果,分析安全目標的實現(xiàn)程度。主要針對安全要素計算法進行具體的分析如下:把特定的業(yè)務相關(guān)狀態(tài)的內(nèi)容進行模型的輸入和輸出操作,設(shè)定特定業(yè)務流程內(nèi)業(yè)務狀態(tài)的相應安全要素集,所謂安全要素集,是指若系統(tǒng)承載業(yè)務操作資產(chǎn)也成為了是安全威脅目標,那么該安全威脅就應該在此業(yè)務狀態(tài)下需要應對的安全威脅攻擊的集內(nèi)。通過測定安全要素是否在安全邊界中,實現(xiàn)對業(yè)務操作的性質(zhì)的區(qū)分,定性是屬于安全性還是威脅性的。其中有2個主要步驟:

(1)界定安全威脅攻擊目標是否在物理連通的邊界范圍中;

(2)對安全技術(shù)措施和安全管理中制定的相關(guān)措施狀態(tài),對比該安全措施邊界的模型定義和狀態(tài)的情況是否一致。

若業(yè)務操作中有安全威脅,但沒有解決該安全威脅的安全技術(shù)措施,那么這個業(yè)務操作就形成了一定程度的存在安全風險;再對這一安全威脅的安全技術(shù)措施的模態(tài)進行判斷,若發(fā)現(xiàn)“可能”針對這一模態(tài)的相應安全措施,根據(jù)弱推理規(guī)則對安全措施的科學性和可行性進行推導判斷,否則就根據(jù)強推理規(guī)則進行推導,結(jié)合最終的結(jié)果,進行安全風險的處置。制定科學的安全技術(shù)和安全管理方面的保護措施,需要界定安全要素是否包含在相應的安全邊界內(nèi),同時要求對安群威脅進行分析,根據(jù)最終系統(tǒng)是否受到攻擊的實際情況,結(jié)合安全管理的對象和相應的技術(shù)規(guī)范的時,檢測物理連接是否有效,連接的狀態(tài)是否發(fā)生了改變以及是否滿足要求,按照安全等級進行建模分析。結(jié)合上述的相關(guān)建模分析方法,安全管理部門可以細致的了解網(wǎng)絡(luò)安全的相關(guān)內(nèi)容,加深對網(wǎng)絡(luò)安全風險狀態(tài)的科學認知,并制定有針對性的標準和流程,保證業(yè)務操作的安全性和效率。

6結(jié)語。

本文對網(wǎng)絡(luò)安全體系建模分析的相關(guān)方法進行了詳細的介紹,并進行了驗證方法的闡述,滿足了網(wǎng)絡(luò)安全體系建模的方法的科學性和可行性要求。在具體的基于等級保護制度建立的網(wǎng)絡(luò)安全體系框架內(nèi),對于建模上的規(guī)范性和功能提出了較高的要求,結(jié)合對網(wǎng)絡(luò)安全體系建模分析,討論了對此類網(wǎng)絡(luò)安全建模分析方法科學性進行驗證的方法。

作者:馬榮華單位:鄭州鐵路職業(yè)技術(shù)學院。

引用:

[1]布寧,劉玉嶺,連一峰,黃亮.一種基于uml的網(wǎng)絡(luò)安全體系建模分析方法[j].計算機研究與發(fā)展,2014.

[2]范一樂.基于uml的網(wǎng)絡(luò)安全體系建模分析方法[j].信息通信,2015.

信息安全等級保護的分析論文篇八

摘要隨著計算機信息技術(shù)的迅猛發(fā)展,計算機網(wǎng)絡(luò)已經(jīng)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國防工業(yè)的重要信息交換媒介,并且滲透到生活的各個角落。

因此,認清網(wǎng)絡(luò)的脆弱性和潛在威脅性,采取強有力的安全措施勢在必行。

計算機網(wǎng)絡(luò)安全工作是一項長期而艱巨的任務,它應該貫徹于整個信息網(wǎng)絡(luò)的籌劃、組成、測試的過程。

關(guān)鍵詞計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)威脅。

信息安全是防止非法的攻擊和病毒的傳播,保證計算機系統(tǒng)和通信系統(tǒng)的正常運作,保證信息不被非法訪問和篡改。

信息安全主要包括幾個方面的內(nèi)容:即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。

信息安全的根本目的就是使內(nèi)部信息不受外部威脅,因此信息通常要加密。

計算機通信網(wǎng)絡(luò)的安全涉及到多種學科,包括計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等,這些技術(shù)各司其職,保護網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的`數(shù)據(jù)免遭各種因素的破壞、更改、泄露,保證系統(tǒng)連續(xù)可靠正常運行。

影響信息安全的因素有很多:

信息泄露:保護的信息被泄露或透露給某個非授權(quán)的實體,使得隱私信息在一定范圍內(nèi)大規(guī)模泄露。

破壞信息的完整性:數(shù)據(jù)被非授權(quán)地進行增刪、修改或破壞而受到損失。

惡意攻擊:惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒,是最難防范的網(wǎng)絡(luò)安全威脅。

隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。

無論是任何攻擊,簡單的看,都只是一種破壞網(wǎng)絡(luò)服務的黑客方式,雖然具體的實現(xiàn)方式千變?nèi)f化,但都有一個共同點,就是其根本目的是使受害主機或網(wǎng)絡(luò)無法及時接收并處理外界請求,或無法及時回應外界請求。

具體表現(xiàn)方式有以下幾種:

(1)制造大流量無用數(shù)據(jù),造成通往被攻擊主機的網(wǎng)絡(luò)擁塞,使被攻擊主機無法正常和外界通信。

(2)利用被攻擊主機提供服務或傳輸協(xié)議上處理重復連接的缺陷,反復高頻的發(fā)出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。

(3)利用被攻擊主機所提供服務程序或傳輸協(xié)議的本身實現(xiàn)缺陷,反復發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤而分配大量系統(tǒng)資源,使主機處于掛起狀態(tài)甚至死機。

(信息安全法律法規(guī)不完善:由于當前約束操作信息行為的法律法規(guī)還很不完善,存在很多漏洞,很多人打法律的擦邊球,這就給信息竊取、信息破壞者以可趁之機。)。

對于計算機的信息安全,可以從以下幾方面做起:

防火墻技術(shù),是指設(shè)置在不同網(wǎng)絡(luò)(如可以信任的企業(yè)內(nèi)部網(wǎng)和不可以信任的外部網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列軟件或硬件的組合。

在邏輯上它是一個限制器和分析器,能有效地監(jiān)控內(nèi)部網(wǎng)和internet之間的活動,保證內(nèi)部網(wǎng)絡(luò)的安全。

網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。

一個加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶的搭線偷聽和入網(wǎng),而且也是對付惡意軟件的有效方法之一。

信息加密過程是由形形色色的加密算法來具體實施的,它以很小的代價提供很牢靠的安全保護。

在多數(shù)情況下,信息加密是保證信息機密性的唯一方法。

據(jù)不完全統(tǒng)計,到目前為止,已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。

網(wǎng)絡(luò)防止病毒技術(shù),網(wǎng)絡(luò)防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務器中的文件進行頻繁地掃描和監(jiān)測,工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

防病毒必須從網(wǎng)絡(luò)整體考慮,從方便管理人員在夜間對全網(wǎng)的客戶機進行掃描,檢查病毒情況考慮;利用在線報警功能,網(wǎng)絡(luò)上每一臺機器出現(xiàn)故障、病毒侵入時,網(wǎng)絡(luò)管理人員都能及時知道,從而從管理中心處予以解決。

身份驗證技術(shù),是用戶向系統(tǒng)出示自己身份證明的過程。

身份認證是系統(tǒng)查核用戶身份證明的過程。

這兩個過程是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié),人們常把這兩項工作統(tǒng)稱為身份驗證。

它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權(quán)對他所請求的服務或主機進行訪問。

隨著網(wǎng)絡(luò)技術(shù)的日益普及,以及人們對網(wǎng)絡(luò)安全意識的增強,許多用于網(wǎng)絡(luò)的安全技術(shù)得到強化并不斷有新的技術(shù)得以實現(xiàn)。

不過,從總的看來,信息的安全問題并沒有得到所有公司或個人的注意。

在安全技術(shù)提高的同時,提高人們對網(wǎng)絡(luò)信息的安全問題的認識是非常必要的。

當前,一種情況是針對不同的安全性要求的應用,綜合多種安全技術(shù)定制不同的解決方案,以及針對內(nèi)部人員安全問題提出的各種安全策略。

另一種是安全理論的進步,并在工程技術(shù)上得以實現(xiàn),我們必須綜合考慮安全因素。

世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng),隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展,網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應用的發(fā)展而不斷發(fā)展。

參考文獻。

[1]陶陽.計算機與網(wǎng)絡(luò)安全.重慶:重慶大學出版社,.

[2]田園.網(wǎng)絡(luò)安全教程.北京:人民郵電出版社,.

[3]馮登國.計算機通信網(wǎng)絡(luò)安全.清華大學出版社,

信息安全等級保護的分析論文篇九

信息系統(tǒng)運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的,應當經(jīng)上級主管部門審批??缡』蛉珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。雖然說的是自主定級,但主要還是根據(jù)系統(tǒng)實際情況去定級,有行業(yè)指導文件的根據(jù)指導文件來,沒有文件的需要根據(jù)定級指南來,總之一句話合理定級,該是幾級就是幾級,不要定的高也不要定的低。

二、備案。

第二級以上信息系統(tǒng)定級市級單位到所在地社區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。省級單位到省公安廳網(wǎng)安總隊備案,各地市單位一般直接到市級網(wǎng)安支隊備案,也有部分地市區(qū)縣單位的定級備案資料是先交到區(qū)縣網(wǎng)監(jiān)大隊的,具體根據(jù)各地市要求來。

三、系統(tǒng)安全建設(shè)。

信息系統(tǒng)安全保護等級確定后,運營使用單位按照管理規(guī)范和技術(shù)標準,選擇管理辦法要求的信息安全產(chǎn)品,建設(shè)符合等級要求的信息安全設(shè)施,建立安全組織,制定并落實安全管理制度。

四、等級測評。

信息系統(tǒng)建設(shè)完成后,運營使用單位選擇符合管理辦法要求的檢測機構(gòu),對信息系統(tǒng)安全等級狀況開展等級測評。測評完成之后根據(jù)發(fā)現(xiàn)的安全問題及時進行整改,特別是高危風險。測評的結(jié)論分為:不符合、基本符合、符合。當然符合基本是不可能的,那是理想狀態(tài)。

五、監(jiān)督檢查。

公安機關(guān)依據(jù)信息安全等級保護管理規(guī)范及《網(wǎng)絡(luò)安全法》相關(guān)條款,監(jiān)督檢查運營使用單位開展等級保護工作,定期對信息系統(tǒng)進行安全檢查。運營使用單位應當接受公安機關(guān)的安全監(jiān)督、檢查、指導,如實向公安機關(guān)提供有關(guān)材料。

其中定級、備案工作原則上是由用戶單位自己填寫定級備案表交給網(wǎng)監(jiān)部門去進行備案工作,但考慮到實際情況,絕大多數(shù)情況下都是用戶單位在測評機構(gòu)的協(xié)助下完成這些工作。系統(tǒng)安全建設(shè)和等級測評的工作不一定要嚴格按照這個順序開展,可以先測評再整改,也可以先建設(shè)再測評。具體還是根據(jù)自身實際情況來辦。注:選擇的測評機構(gòu)很重要,測評機構(gòu)的權(quán)威性,測評質(zhì)量直接關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容,提前發(fā)現(xiàn)問題提前整改,可以有效降低被攻擊的風險,提高信息安全防護能力。

等級保護測評有哪些技術(shù)類型?具體指標如何?

等級保護主要從技術(shù)要求和管理要求兩方面進行綜合測評,而根據(jù)等級保護測評的三種不同技術(shù)類型,其測評的指標要求也有所不同。

等保測評并非相當于iso0系列的信息技術(shù)服務管理認證,也并非于iso27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度,是國家意志的體現(xiàn)。落實等級保護制度為了國家法律法規(guī)的合規(guī)需求。很多人認為,完成等保測評就萬事大吉。其實,等保制度只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規(guī)避大部分的安全風險。但就目前的測評結(jié)果來看,幾乎沒有任何一個被測系統(tǒng)能全部滿足等保要求。一般情況下,目前等保測評過程中,只要沒發(fā)現(xiàn)高危安全風險,都可以通過測評。但是,安全是一個動態(tài)而非靜止的過程,而不是通過一次測評,就可以一勞永逸的。企業(yè)通過落實等保安全要求,并嚴格執(zhí)行各項安全管理的規(guī)章制度,基本能做到系統(tǒng)的安全穩(wěn)定運行。但依然不能百分百保證系統(tǒng)的安全性。因此,更重要是提升企業(yè)安全防護能力,及時把工作做到位。

信息安全等級保護的分析論文篇十

隨著科技的高速發(fā)展,網(wǎng)絡(luò)時代已如期而至,伴隨著互聯(lián)網(wǎng)+、大數(shù)據(jù)、云計算等新興技術(shù)被廣泛運用,人們的生活便捷性大大提高。在大數(shù)據(jù)時代,網(wǎng)絡(luò)購物學習和交流不斷進行,個人信息數(shù)據(jù)安全面臨嚴峻的考驗,信息泄露存在一定的風險,因此必須加強個人信息安全的保護工作,防止人們在網(wǎng)絡(luò)交易過程中受到不法分子侵害。

大數(shù)據(jù)在本質(zhì)上是一種電子數(shù)據(jù),它具有自身獨特的特性。首先,數(shù)據(jù)處理規(guī)模大?,F(xiàn)今社會,全球每天產(chǎn)生的數(shù)據(jù)就已經(jīng)達到4.5eb,這個數(shù)字仍然以驚人的速度高速增長。其次,數(shù)據(jù)信息快速化。信息產(chǎn)生的速度常常比數(shù)量更加重要,通過手機定位數(shù)據(jù)可以計算出一個商場當天的客流量,從而推斷出該商家的當天營業(yè)額。最后,數(shù)據(jù)信息具有多樣性。大數(shù)據(jù)的形態(tài)多樣,包括了結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。此外,現(xiàn)代互聯(lián)網(wǎng)應用呈現(xiàn)出非結(jié)構(gòu)化數(shù)據(jù)大幅增長的特點,來源形式多種多樣,包括各種信息、應用更新、社交網(wǎng)絡(luò)的圖片、傳感器讀取的信息、手機的定位等,而且不少信息來源的重要方式都是新近才出現(xiàn)的。

1.個人隱私安全風險增大。網(wǎng)絡(luò)的浩瀚性意味著數(shù)據(jù)來源更加寬泛和多元,監(jiān)控攝像頭、交互平臺、移動電話、電子檔案、數(shù)據(jù)庫等,大量的信息堆積,必然給個人的信息安全帶來影響和破壞,增大了個人信息被泄露的可能。

2.大數(shù)據(jù)成為了網(wǎng)絡(luò)攻擊的主要目標。在互聯(lián)網(wǎng)時代,大數(shù)據(jù)能夠反饋出更多、更有價值的信息,信息的含金量不斷提升,帶來的豐厚利潤不言而喻,因此遭到攻擊和盜取的概率也就越大。同時,大數(shù)據(jù)的竊取能夠是不法分子獲得大量相關(guān)信息,一次獲取,多重效益,必然讓*客垂涎欲滴。

3.不法分子利用大數(shù)據(jù)精確攻擊。大數(shù)據(jù)對于企業(yè)來說是財富是影響,對于不法分子來說同樣是金錢是價值。不法分子在獲取大數(shù)據(jù)的同時,也會反其道而行之,利用大數(shù)據(jù)來檢索、定位,為新一輪的攻擊盜取提供更加快捷的技術(shù)手段和方式。為了提升攻擊的效率和質(zhì)量,*客往往會盡最大可能的收集包括社交平臺、微博微信、通話記錄、電子郵件、消費記錄等信息,并加以歸檔整理,方便下次調(diào)用,提高攻擊的精確性和時效性。

1.加強輿論宣傳,提高保護意識。國家網(wǎng)絡(luò)相關(guān)部門要通過各種輿論宣傳工具,對網(wǎng)絡(luò)用戶進行個人信息保護知識的宣傳,提高公民對個人信息安全的認識和重視,樹立公民保護個人信息、尊重他人個人信息的理念。個人在信息保護上是第一責任人,負有維護個人信息安全的當然義務。個人在進行網(wǎng)絡(luò)行為時,盡量避免個人信息的泄露。同時,加強對個人電腦的安全防護,安裝并及時升級殺毒軟件與防火墻,提高個人上網(wǎng)設(shè)備的安全性能。

2.建立個人信息安全保護的法律法規(guī)。我國目前現(xiàn)有的法律法規(guī)對個人信息的保護雖然有所涉及,但這些規(guī)定都還只是零散地分布在各個法律之中,并未形成一個完整的個人信息安全保護的法律體系,而且沒有一部明確保護個人信息的專門法律。立法保護個人信息,不僅突出了公民的信息自由權(quán),彰顯出以人為本的理念,回應了和諧社會權(quán)利有序化的訴求。同時還可保護網(wǎng)上消費者的個人信息安全,促使網(wǎng)絡(luò)運營有序化,推動全國電子商務和電子政務的健康發(fā)展。

3.完善個人信息安全保護的技術(shù)措施。在互聯(lián)網(wǎng)環(huán)境下,個人信息的泄露主要是由*客等機構(gòu)外部人員獲取和網(wǎng)絡(luò)傳輸過程中的問題造成的,因此要加強軟硬件的技術(shù)保障,從而保護用戶個人信息安全。在硬件方面主要通過安裝防病毒硬盤等硬件設(shè)施進行保護。在軟件方面主要通過個人隱私安全平臺、加密軟件、數(shù)據(jù)備份軟件、自動刪除個人資料軟件等保護措施。針對網(wǎng)絡(luò)上的個人信息易泄露的問題,網(wǎng)絡(luò)營運商除了應向用戶提供提示信息,還應該使用各種安全技術(shù)來保護網(wǎng)絡(luò)用戶的個人信息不被不法分子侵害。

4.建立健全個人信息安全保護與防范機制。個人信息安全的保護不僅要依靠法律,更需要網(wǎng)絡(luò)主體從業(yè)人員的道德意識以及自律意識。加強網(wǎng)絡(luò)道德建設(shè),用道德標準約束人們在網(wǎng)絡(luò)上的行為,要讓網(wǎng)絡(luò)道德成為人們在網(wǎng)絡(luò)中實施行為時的一個標準。對網(wǎng)絡(luò)運營商而言,除了要對網(wǎng)絡(luò)從業(yè)人員進行道德教育并提高行業(yè)自律意識外。

許多網(wǎng)絡(luò)運營企業(yè)掌握著客戶大量的個人信息,如果沒有很好的防范機制就很容易造成信息的丟失。無論是電信運營商、電子商務企業(yè),還是信息安全企業(yè)都需要對外來的技術(shù)攻擊加以防范。因此,企業(yè)必須加強自我約束力,提高保護客戶信息的意識,同時提高技術(shù)手段,完善相關(guān)信息管理系統(tǒng),并對用戶個人信息安全管理制度和流程進行梳理和完善,建立健全侵犯用戶個人信息的各項管理制度與規(guī)范,用戶個人信息安全管理和保護機制、問題處理機制、監(jiān)督機制和獎懲機制等。對侵犯用戶個人信息的情況,要做到迅速和準確處理。

大數(shù)據(jù)時代的到來極大地促進整個社會的發(fā)展。大數(shù)據(jù)在各行各業(yè)中的運用,使我們精確地了解到過去通過抽樣調(diào)查很難了解的許多東西,讓我們更深刻地認識了這個社會,從而更進一步改善這個社會。我們不應該否認大數(shù)據(jù)帶來的益處,同樣我們應該使這種益處最大化。但大數(shù)據(jù)帶來的對個人信息安全的威脅我們也應該有著充分的認識。保護個人信息不僅是對社會每個成員的保護,更是對國家安全以及社會長期持續(xù)健康發(fā)展的保護。

信息安全等級保護的分析論文篇十一

隨著信息技術(shù)特別是網(wǎng)絡(luò)技術(shù)的發(fā)展,大部分的企業(yè)或機關(guān)單位都組建了內(nèi)部局域網(wǎng),實現(xiàn)了資源共享,信息傳遞快速有效,極大地提高了工作效率。內(nèi)網(wǎng)已成為企事業(yè)單位日常工作不可或缺的重要組成部分,同時,內(nèi)網(wǎng)中一般會有大量的保密數(shù)據(jù)文件和信息通過網(wǎng)絡(luò)進行傳遞。例如政府、軍隊或軍工單位內(nèi)具有一定密級的文件、文檔、設(shè)計圖紙等;設(shè)計院所的圖紙和設(shè)計圖庫等;研發(fā)型企業(yè)的設(shè)計方案、源代碼和圖紙等數(shù)字知識產(chǎn)權(quán);企事業(yè)單位的財務數(shù)據(jù)等,都是保密數(shù)據(jù)信息。如何對這些保密數(shù)據(jù)信息進行全方位的保護,是非常重要的。

隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)讓信息的獲取、共享和傳播更加方便,同時內(nèi)部局域網(wǎng)開放共享的特點,使得分布在各臺主機中的重要信息資源處于一種高風險的狀態(tài),很容易受到來自系統(tǒng)內(nèi)部和外部的非法訪問。防火墻、入侵檢測、網(wǎng)絡(luò)隔離裝置等網(wǎng)絡(luò)安全保護對于防止外部入侵有不可替代的作用,而對于內(nèi)部泄密顯得無可奈何,內(nèi)部人員的非法竊密事件逐漸增多。據(jù)中國國家信息安全測評認證中心調(diào)查,信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客引起。根據(jù)對內(nèi)網(wǎng)具體情況的總結(jié)分析,來自內(nèi)部的安全威脅(見圖1)主要有4類:a.竊取者將自己的計算機非法接入內(nèi)網(wǎng)或者非法直接鏈接計算機終端,竊取內(nèi)網(wǎng)重要數(shù)據(jù);b.竊取者直接利用局域網(wǎng)中的某一臺主機,通過網(wǎng)絡(luò)攻擊或欺騙的手段,非法取得其他主機甚至是某臺服務器的重要數(shù)據(jù);c.內(nèi)部員工將只允許在局域網(wǎng)內(nèi)部使用的數(shù)據(jù)通過磁盤復制、打印、非法撥號外聯(lián)等手段泄漏到外部;d.內(nèi)部人員竊取管理員用戶名和密碼,非法進入重要的系統(tǒng)和應用服務器獲取內(nèi)部重要數(shù)據(jù)。在網(wǎng)絡(luò)互聯(lián)互通實現(xiàn)信息快速交換的同時,如何加強網(wǎng)絡(luò)內(nèi)部的安全,防止企事業(yè)單位的關(guān)鍵數(shù)據(jù)從網(wǎng)絡(luò)中泄漏出去,是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一個主要的發(fā)展方向。

為了解決內(nèi)網(wǎng)安全問題,市場上也出現(xiàn)了諸多的內(nèi)網(wǎng)信息安全產(chǎn)品,主要分為三類。

1.監(jiān)控與審計系統(tǒng)。

現(xiàn)有各廠商的監(jiān)控與審計系統(tǒng)一般都由三部分組成:客戶端、服務器。其中,客戶端安裝在受控的計算機終端,用來收集數(shù)據(jù)信息,并執(zhí)行來自服務器模塊的指令;服務器端一般安裝在內(nèi)網(wǎng)中一臺具有高性能cpu和大容量內(nèi)存的用作服務器的計算機上,存儲和管理所有客戶端計算機數(shù)據(jù);系統(tǒng)安全管理員可以登錄到服務器端管理各類審計功能模塊,并制定各種安全策略??蛻舳烁鶕?jù)控制端下發(fā)的安全策略,對受控主機進行相應的監(jiān)控,并將相應的信息上傳至服務器。它能夠獲取受控主機的信息資料,對各類輸入輸出端口如usb、軟驅(qū)、光驅(qū)、網(wǎng)卡、串/并口、調(diào)制解調(diào)器、紅外通信等進行控制與監(jiān)控,也可以對各類應用程序進行監(jiān)控,防止終端計算機非法接入、非法外聯(lián),對文件操作等行為進行審計。

這類產(chǎn)品提供了一定的安全控制功能,但由于其重點是按照安全策略進行記錄和審計,屬于事后審計產(chǎn)品,因此并不能很好地阻止單位信息泄密事件的發(fā)生,一旦發(fā)現(xiàn)泄密事件發(fā)生,損失已經(jīng)造成,所以這類產(chǎn)品的安全作用有一定的局限性。

2.文檔加密系統(tǒng)。

將本文的word文檔下載到電腦,方便收藏和打印。

信息安全等級保護的分析論文篇十二

隨著信息技術(shù)特別是網(wǎng)絡(luò)技術(shù)的發(fā)展,大部分的企業(yè)或機關(guān)單位都組建了內(nèi)部局域網(wǎng),實現(xiàn)了資源共享,信息傳遞快速有效,極大地提高了工作效率。內(nèi)網(wǎng)已成為企事業(yè)單位日常工作不可或缺的重要組成部分,同時,內(nèi)網(wǎng)中一般會有大量的保密數(shù)據(jù)文件和信息通過網(wǎng)絡(luò)進行傳遞。例如政府、軍隊或軍工單位內(nèi)具有一定密級的文件、文檔、設(shè)計圖紙等;設(shè)計院所的圖紙和設(shè)計圖庫等;研發(fā)型企業(yè)的設(shè)計方案、源代碼和圖紙等數(shù)字知識產(chǎn)權(quán);企事業(yè)單位的財務數(shù)據(jù)等,都是保密數(shù)據(jù)信息。如何對這些保密數(shù)據(jù)信息進行全方位的保護,是非常重要的。

隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)讓信息的獲取、共享和傳播更加方便,同時內(nèi)部局域網(wǎng)開放共享的特點,使得分布在各臺主機中的重要信息資源處于一種高風險的狀態(tài),很容易受到來自系統(tǒng)內(nèi)部和外部的非法訪問。防火墻、入侵檢測、網(wǎng)絡(luò)隔離裝置等網(wǎng)絡(luò)安全保護對于防止外部入侵有不可替代的作用,而對于內(nèi)部泄密顯得無可奈何,內(nèi)部人員的非法竊密事件逐漸增多。據(jù)中國國家信息安全測評認證中心調(diào)查,信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客引起。根據(jù)對內(nèi)網(wǎng)具體情況的總結(jié)分析,來自內(nèi)部的安全威脅(見圖1)主要有4類:a.竊取者將自己的計算機非法接入內(nèi)網(wǎng)或者非法直接鏈接計算機終端,竊取內(nèi)網(wǎng)重要數(shù)據(jù);b.竊取者直接利用局域網(wǎng)中的某一臺主機,通過網(wǎng)絡(luò)攻擊或欺騙的手段,非法取得其他主機甚至是某臺服務器的重要數(shù)據(jù);c.內(nèi)部員工將只允許在局域網(wǎng)內(nèi)部使用的數(shù)據(jù)通過磁盤復制、打印、非法撥號外聯(lián)等手段泄漏到外部;d.內(nèi)部人員竊取管理員用戶名和密碼,非法進入重要的系統(tǒng)和應用服務器獲取內(nèi)部重要數(shù)據(jù)。在網(wǎng)絡(luò)互聯(lián)互通實現(xiàn)信息快速交換的同時,如何加強網(wǎng)絡(luò)內(nèi)部的安全,防止企事業(yè)單位的關(guān)鍵數(shù)據(jù)從網(wǎng)絡(luò)中泄漏出去,是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一個主要的發(fā)展方向。

為了解決內(nèi)網(wǎng)安全問題,市場上也出現(xiàn)了諸多的內(nèi)網(wǎng)信息安全產(chǎn)品,主要分為三類。

1.監(jiān)控與審計系統(tǒng)。

現(xiàn)有各廠商的監(jiān)控與審計系統(tǒng)一般都由三部分組成:客戶端、服務器。其中,客戶端安裝在受控的計算機終端,用來收集數(shù)據(jù)信息,并執(zhí)行來自服務器模塊的指令;服務器端一般安裝在內(nèi)網(wǎng)中一臺具有高性能cpu和大容量內(nèi)存的用作服務器的計算機上,存儲和管理所有客戶端計算機數(shù)據(jù);系統(tǒng)安全管理員可以登錄到服務器端管理各類審計功能模塊,并制定各種安全策略??蛻舳烁鶕?jù)控制端下發(fā)的安全策略,對受控主機進行相應的監(jiān)控,并將相應的信息上傳至服務器。它能夠獲取受控主機的信息資料,對各類輸入輸出端口如usb、軟驅(qū)、光驅(qū)、網(wǎng)卡、串/并口、調(diào)制解調(diào)器、紅外通信等進行控制與監(jiān)控,也可以對各類應用程序進行監(jiān)控,防止終端計算機非法接入、非法外聯(lián),對文件操作等行為進行審計。

這類產(chǎn)品提供了一定的安全控制功能,但由于其重點是按照安全策略進行記錄和審計,屬于事后審計產(chǎn)品,因此并不能很好地阻止單位信息泄密事件的發(fā)生,一旦發(fā)現(xiàn)泄密事件發(fā)生,損失已經(jīng)造成,所以這類產(chǎn)品的安全作用有一定的局限性。

2.文檔加密系統(tǒng)。

信息安全等級保護的分析論文篇十三

摘要:本文闡述了網(wǎng)絡(luò)信息安全的具體概念以及要解決的問題。

文章的重點是探討描述了現(xiàn)今較為廣泛重視與研究的信息安全技術(shù),并對國內(nèi)國外的信息安全技術(shù)的具體發(fā)展方向和新趨勢進行了具體的介紹。

一、網(wǎng)絡(luò)信息安全的具體概念。

1.完整性。

信息在傳遞、提取和存儲的過程中并沒有丟失與殘缺的現(xiàn)象出現(xiàn),這樣就要求保持信息的存儲方式、存儲介質(zhì)、傳播媒體、讀取方式、傳播方法等的完全可靠。

因為信息是以固定的方式來傳遞、提取與記錄的,它以多樣的形式被儲存與各種物理介質(zhì)中,并隨時通過其他方式來傳遞。

2.機密性。

就是信息不被竊取和泄露。

人們總希望某些信息不被別人所知,所以會采取一些方法來進行阻止,例如把信息加密,把這些文件放置在其他人無法取到的地方,這些都是信息加密的方法。

3.有效性。

一種是對存儲信息的有效性保證,用規(guī)定的方法實現(xiàn)準確的存儲信息資源;另一種是時效性,指信息在規(guī)定的時間內(nèi)能夠存儲信息的主體等。

二、網(wǎng)絡(luò)安全需要解決的問題。

1.物理安全。

是指在關(guān)于物理介質(zhì)的層次上對傳輸和儲存的信息的安全上的保護。

對于計算機的網(wǎng)絡(luò)設(shè)施和設(shè)備等免于被人為或自然的破壞。

2.安全服務。

信息安全等級保護的分析論文篇十四

隨著社會經(jīng)濟的飛速發(fā)展和現(xiàn)代科學技術(shù)的快速進步,網(wǎng)絡(luò)技術(shù)、信息技術(shù)在人們的生產(chǎn)生活中被越來越廣泛地應用,整個社會逐漸步入了信息時代。以網(wǎng)絡(luò)為核心的信息技術(shù)和各類服務正在促進整個社會的轉(zhuǎn)型和質(zhì)變,信息網(wǎng)絡(luò)已經(jīng)超越傳統(tǒng)的一些通信媒體,成為了現(xiàn)代社會最重要的傳播媒介,信息網(wǎng)絡(luò)在日常生活中應用范圍逐漸變廣,對維護個人自身權(quán)利、促進產(chǎn)業(yè)發(fā)展和保障國家安全都具有重要意義。隨著網(wǎng)絡(luò)信息應用程度的逐步提高,對于保障網(wǎng)絡(luò)安全的工作也成為網(wǎng)絡(luò)信息維護工作者的重要任務。信息安全、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)空間安全,都對社會各行各業(yè)的發(fā)展具有重要意義,想要保證生產(chǎn)生活中各個方面都能夠有相對安全的環(huán)境,就需要不斷加強信息安全、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)空間安全管理工作[1]。

信息安全等級保護的分析論文篇十五

車聯(lián)網(wǎng)為什么值得大家關(guān)注呢?首先這是一個潮流,其次車聯(lián)網(wǎng)和物聯(lián)網(wǎng)一樣,發(fā)展起來很快。但是兩者又不一樣,不能把車單純看成一個物,因為在物聯(lián)網(wǎng),我們往往會偏重一些小的比較簡單的東西,車太復雜人也包含在里面,所以整個是一個很復雜的系統(tǒng)。我們建議不把車聯(lián)網(wǎng)放在物聯(lián)網(wǎng)信息安全里面。物聯(lián)網(wǎng)的操作系統(tǒng)是嵌入式的,而車聯(lián)網(wǎng)的操作系統(tǒng)歸到智能終端的領(lǐng)域里,所以車聯(lián)網(wǎng)應該與物聯(lián)網(wǎng)是不同的層次。

一、車聯(lián)網(wǎng)是走向自動駕駛的必然道路。

談在到和自動駕駛的關(guān)系,我們認為車聯(lián)網(wǎng)是走向自動駕駛的必然的道路,因為自動駕駛有一個很艱巨的任務,在無人駕駛發(fā)展的過程中車聯(lián)網(wǎng)是必要的階段,可以不斷地增強信息技術(shù)對駕駛的輔助,自動化的程度越來越高。

我們看到汽車行業(yè)確實在發(fā)生變化,和信息領(lǐng)域有關(guān)的變化,首先是軟件。在汽車里面,軟件的復雜程度已經(jīng)越來越大了,過去很簡單,有一些小的控制軟件,但汽車很龐大,它的軟件、操作系統(tǒng)非常復雜。同時我們想到了互聯(lián)互通的要求,在互聯(lián)互通的時代,汽車要聯(lián)網(wǎng),物體要聯(lián)網(wǎng),人要聯(lián)網(wǎng),所以車聯(lián)網(wǎng)是一個必然的趨勢。

這樣就有新的問題產(chǎn)生了,就是安全的問題。汽車出問題了,出事故了,我們認為安全是safty,現(xiàn)在是信息技術(shù)的安全是security。過去我們汽車技術(shù)不好,會駕駛事故,而現(xiàn)在出了事故就不是傳統(tǒng)的安全而是信息領(lǐng)域?qū)骨闆r下的安全。所以對我們來說提出了一些新的挑戰(zhàn)。

我們看到車載電腦的時代已經(jīng)來臨。過去計算技術(shù)的控制,例如有剎車的控制,氣囊的控制,現(xiàn)在我們的計算機車載電腦是一個聯(lián)網(wǎng)的電腦,很復雜的系統(tǒng)。所以計算機的功能越來越多地進入了汽車里面,所以我們要看到是一個復雜的計算系統(tǒng)。是不是豪華汽車才是呢?根據(jù)統(tǒng)計,不久后幾乎全部的汽車都將走向同樣的發(fā)展方向。而且我們往往會片面地認為車載電腦就是車里的音像系統(tǒng),聽聽廣播和路況,看一些視頻之類的,或者是通信。這是不對的,這只是一個很小部分的,應該更多的是整個車載聯(lián)網(wǎng)系統(tǒng),是駕駛和自動控制的系統(tǒng),所以應該看的更遠一點。

車載電腦很多人說是平板電腦呢,事實上不是那么簡單。因為車載電腦和平板電腦有很大的區(qū)別,在某種意義上要復雜很多。平板電腦更多是要娛樂,但車載電腦很重要的是整個車的`控制,比如說自動駕駛,整個功能都由車載電腦來承擔。所以娛樂僅僅是一個很小的部分。平板電腦是不一樣的,這是個人的消費品。那么,車載電腦是不是和手機可以等同呢?我想也不太可能,把所有的信息放在里面,個人信息就在汽車的屏幕上顯示出來也不太現(xiàn)實,所以在使用各方面跟平板電腦有很大的差別。

從軟件的角度來看,汽車這樣一個車載電腦或者是車聯(lián)網(wǎng)的電腦還是不太一樣的,首先有大量汽車的設(shè)備,整個汽車的構(gòu)件也會通過電腦連在一起,同時有一些功能有很大的差別。此外,易用性很重要,要做到很好用,有的時候?qū)幙勺龅蒙俣?。最后我們要考慮成本、可靠性、安全性、易用性,這都是很大的問題。特別是要很好地把它們組合起來,面面俱到但要特別注意可靠性的問題。手機故障了重啟了或許還可以用,但車停機重啟這個責任誰來負,因此有很大的技術(shù)挑戰(zhàn)。

應用場景也很不一樣,過去平板電腦、手機用的那些app不一定都需要在汽車里用,主要還是導航的功能、控制的功能、信息的交付的功能。此外,易用性有特殊的要求,人在開車的時候不能看著屏幕而出事故,汽車app使用的控制方法一定要和平板不一樣,人基本上不能離開方向盤,必須要全神貫注,不能看屏幕很長的時間。

二、建立產(chǎn)業(yè)聯(lián)盟助力中國車聯(lián)網(wǎng)發(fā)展。

智能城市非常重要,而汽車對智能城市和交通來也是非常重要的部分。在智能城市的設(shè)計中,汽車車載網(wǎng)絡(luò)起著重大作用。汽車車聯(lián)網(wǎng)應該是通向駕駛汽車的必由之路,我們可逐步擺脫駕駛這種枯燥、繁瑣的任務,使之代替人的勞動。今后我們還希望通過車聯(lián)網(wǎng)使得城市的交通更加通暢,使得我們的駕駛更加安全。

這里又不免會談到車載電腦的要求,一方面要求保障汽車能安全地連接到英特網(wǎng)上,另外是操作系統(tǒng),這已經(jīng)不是過去汽車單獨的部件控制?,F(xiàn)在在車聯(lián)網(wǎng)的時代,汽車非常地復雜且需要聯(lián)網(wǎng),對它的技術(shù)平臺和操作系統(tǒng)我們也提出了非常重要的要求。我們希望汽車行業(yè)今后提供更多的選擇,我們也希望通過各種新的合作開辟新的領(lǐng)域。

在此,我們特別強調(diào)了安全。這個安全不是傳統(tǒng)意義上的安全,而是網(wǎng)絡(luò)和信息時代的安全,這種情況下,我們建議使用的車聯(lián)網(wǎng)的芯片、軟件等也好盡可能是國產(chǎn)的,因為這種安全都是在對抗環(huán)境下的安全,有攻方、守方,所以對我們芯片和軟件的核心部件都需要特別高的要求。我們希望中國在操作系統(tǒng)方面提供自主可控的國產(chǎn)的操作系統(tǒng),這是出于安全的考慮。同時中國有巨大的市場,也給我們很大的發(fā)展的機會。

中國有十多億人,每個人大概平均來講有幾個智能終端。所以我們認為中國的智能終端以10億量計,很快會突破百億。這樣我們認為是非常重要的,因為通過操作系統(tǒng)能夠知道這個終端主要的信息、身份、喜好等,所以如果誰掌握了智能終端操作系統(tǒng),實際上很容易取得非常大的數(shù)據(jù),誰掌握了大數(shù)據(jù)以后,整個經(jīng)濟社會的活動都可以預測。因此,沒有智能終端操作系統(tǒng),那么要保障信息安全、網(wǎng)絡(luò)安全恐怕是很困難的。

包括車聯(lián)網(wǎng)在內(nèi),所有的智能終端操作系統(tǒng)在云計算下,會產(chǎn)生大量數(shù)據(jù),這些數(shù)據(jù)是非常有價值的,是經(jīng)濟社會的第一手材料,所以我們要保障數(shù)據(jù)的安全和網(wǎng)絡(luò)安全,我們要把智能終端操作系統(tǒng)做出來,可惜中國目前來講基本上沒有。企業(yè)勢力、創(chuàng)新能力還不夠強,另外過去附加層面上也沒有很好地做頂層設(shè)計,沒有很好的形成國家意識,各自為政。

未來我們希望做一些產(chǎn)業(yè)聯(lián)盟的方式,從產(chǎn)業(yè)創(chuàng)新來整合資源,這樣我們可以借鑒民間資本來做。我們希望學習蘋果、安卓、微軟,它們現(xiàn)在都有應用商店,可以更好發(fā)動全社會開放應用,完善生態(tài)系統(tǒng),而不是僅靠一家公司。

我們希望用產(chǎn)業(yè)激進來營造系統(tǒng),產(chǎn)業(yè)激進的方式可以更好發(fā)揮產(chǎn)業(yè)資源配置,最后我們希望不久的將來,中國的公司能夠積極的發(fā)展,能夠推出新的產(chǎn)品來。

信息安全等級保護的分析論文篇十六

信息化的社會已經(jīng)到來了,信息技術(shù)的廣泛應用無處不在地改變了人們的生活,信息資源被高度共享,為了更好利用信息資源,提高效率,降低運營管理成本,我們的中小企業(yè)不可避免要建設(shè)自己的局域網(wǎng)。隨著科技的進步,我們的計算機網(wǎng)絡(luò)變得更開放、更高性能、更高集成、更人性化,計算機網(wǎng)絡(luò)的應用在各行各業(yè)中發(fā)揮著越來越重要的作用,但是網(wǎng)絡(luò)上存在著許多威脅中小企業(yè)局域網(wǎng)信息安全的因素,如駭客、病毒、內(nèi)部人員的泄密等,所以建設(shè)一個安全的局域網(wǎng)來保障企業(yè)信息安全是非常重要的。

一、局域網(wǎng)的概念。

局域網(wǎng)就是在一個地理上較小的區(qū)域內(nèi)的多臺計算機和其他設(shè)備組成的,應用網(wǎng)絡(luò)軟件使各種資源能夠共享的網(wǎng)絡(luò)系統(tǒng)。它是指一個相距不遠地理范圍內(nèi),將各種計算機、存儲設(shè)備和數(shù)據(jù)庫、信息處理設(shè)備等互相聯(lián)接起來組成的計算機通信網(wǎng)。相對于廣域網(wǎng),局域網(wǎng)特點是有較高的數(shù)據(jù)傳輸速率和低誤碼率,比較容易維護和擴展。它可以通過數(shù)據(jù)通信網(wǎng)或?qū)S脭?shù)據(jù)電路,與遠方的局域網(wǎng)相連接,構(gòu)成一個范圍較大的局域網(wǎng)。通過局域網(wǎng)可以實現(xiàn)內(nèi)部數(shù)據(jù)文件共享、應用軟件共享、打印機、復印機等設(shè)備共享、局域網(wǎng)還可以共享寬帶資源實現(xiàn)電子郵件、在線聊天、傳真通信等等功能。一些軟件系統(tǒng)如財務管理軟件、進銷存系統(tǒng)、erp(企業(yè)資源計劃系統(tǒng))等也要依托建立在單位內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)上。一個企業(yè)的內(nèi)部網(wǎng)絡(luò)可以包括局域網(wǎng),也可以包括一部分廣域網(wǎng),而對于多數(shù)中小企業(yè)來說,沒有設(shè)置外地的分支機構(gòu),在本地一個小區(qū)域內(nèi)組建一個局域網(wǎng)也就可以滿足需要了??偟膩碚f局域網(wǎng)能使企業(yè)充分利用共享資源,即節(jié)省了經(jīng)費又提高了效率。

局域網(wǎng)如果按傳輸介質(zhì)分類可以分為兩種,一種是有線局域網(wǎng),另外的一種就是無線局域網(wǎng),如果傳輸介質(zhì)采用同軸電纜、雙絞線、光纜等介質(zhì)的稱為有線局域網(wǎng),若采用無線電波,微波,則稱為無線局域網(wǎng)。有線局域網(wǎng)的優(yōu)點是信號傳輸穩(wěn)定質(zhì)量高,信號基本不會受阻擋物、氣候、電磁干擾影響。有線局域網(wǎng)的缺點是在一些特殊的場合下布線的工程量大且困難,如果要改線的時候也工程量也相當大;線路容易損壞,維護困難、成本高;網(wǎng)絡(luò)中的節(jié)點不可移動,布線靈活性差。無線局域網(wǎng)絡(luò)的優(yōu)點則有:1、安裝布線靈活、易于規(guī)劃和調(diào)整2、可移動和可無縫漫游。2、建設(shè)成本較低、容易維護。無線局域網(wǎng)缺點也有很多:傳輸速率較低、信號容易受阻檔物、電磁波等干擾,穩(wěn)定性較差、安全性較差等。選擇無線局域網(wǎng)還是有線局域網(wǎng)要根據(jù)行業(yè)、地理環(huán)境、安全要求、傳輸速率、傳輸質(zhì)量等情況來選擇,或者是兩者相結(jié)合來組成局域網(wǎng)。此外局域網(wǎng)還可以按傳輸速率、操作系統(tǒng)、服務對象等不同來分類。

二、中小型企業(yè)的局域網(wǎng)系統(tǒng)的概況。

(一)中小型企業(yè)的局域網(wǎng)結(jié)構(gòu)分析。

改革開放后中小型企業(yè)的迅速成長起來,局域網(wǎng)的建設(shè)能夠給許多的中小心企業(yè)帶來便利,但是由于行業(yè)不同、地理環(huán)境不同,網(wǎng)絡(luò)的拓撲結(jié)構(gòu)也就不同。對于不同的中小型企業(yè)所建造的局域網(wǎng),主要可以分為三種結(jié)構(gòu):集中型、分散型、綜合型。

(二)中小型企業(yè)的局域網(wǎng)特點。

現(xiàn)在的中小型的局域網(wǎng)一般都與互聯(lián)網(wǎng)相連接,所以中小型企業(yè)一般都容易受互聯(lián)網(wǎng)中不安全因素的影響,如病毒、駭客和惡意軟件等。一般的中小企業(yè)在信息安全方面資金預算、人員投入有限,專業(yè)技術(shù)人員不足,甚至沒有配備專職的信息技術(shù)人員。一些中小企業(yè)在網(wǎng)絡(luò)管理方面缺乏有效的技術(shù)手段,管理松懈,不能形成完善的管理機制。總地來說中小企業(yè)的局域網(wǎng)長期處于被動管理的局面,安全性低,隨時面對著信息被惡意破壞和外泄。

三、現(xiàn)代中小型企業(yè)局域網(wǎng)的安全現(xiàn)狀。

(一)來自互聯(lián)網(wǎng)中的威脅。

網(wǎng)絡(luò)體系結(jié)構(gòu)的安全缺陷使得互聯(lián)網(wǎng)存在許多不安全因素,中小型企業(yè)的局域網(wǎng)與互聯(lián)網(wǎng)相連的時候,容易遭受駭客,病毒,惡意軟件等的入侵,而中小型企業(yè)的局域網(wǎng)本身安全性不高,受到入侵和攻擊的可能性更大,最終可能發(fā)生的是計算機系統(tǒng)被破壞、秘密資料和帳戶密碼等被竊取、企業(yè)的軟件系統(tǒng)癱瘓無法正常工作等,從而造成重大的經(jīng)濟損失。

(二)來自局域網(wǎng)內(nèi)部的安全威脅。

中小型企業(yè)局域網(wǎng)中的信息安全威脅并不僅僅存在于局域網(wǎng)外部,反而更多的時候是由于局域網(wǎng)內(nèi)部的威脅。許多的把中小型企業(yè)的重要信息泄露出去的就是企業(yè)內(nèi)部人員。另外企業(yè)內(nèi)部人員缺乏培訓,因操作不當所造成病毒感染、數(shù)據(jù)丟失等情況也比比皆是。中小型企業(yè)存在許多的安全管理的問題,安全管理制度的不健全、缺乏專業(yè)型的人才,企業(yè)內(nèi)部員工缺乏安全管理意識,責任不明確。一些非本企業(yè)的人員可以輕易地進入局域網(wǎng)系統(tǒng),系統(tǒng)中的文檔可以被隨意復制、刪除、打印、修改,重要的數(shù)據(jù)、資料可以被員工隨意拷貝拿走,一些企業(yè)內(nèi)部人員沒有保護企業(yè)信息的意識,企業(yè)的機密信息被有意無意的泄露,信息被泄露之后也沒有相應的懲罰措施。企業(yè)內(nèi)部的安全管理部門在管理上沒有相應的制度,也沒有采取足夠的安全防范措施,當局域網(wǎng)系統(tǒng)的操作人員操作不當?shù)臅r候無法進行監(jiān)控和及時改正,往往只有在發(fā)生嚴重后果之后才知道。正當局域網(wǎng)受到攻擊的時候無法追蹤和預警,即使受到攻擊后也無法追蹤攻擊的來源,這樣所遭到的損失將是無法挽回的。

(三)局域網(wǎng)病毒。

由于中小型企業(yè)在局域網(wǎng)方面中缺乏技術(shù)力量和管理,所以有可能因為人員的操作不當而使局域網(wǎng)受到病毒的侵害。局域網(wǎng)受到病毒侵害的方式有多種多樣,比如:由于人員的疏忽,沒有在對服務器拷貝之前進行病毒的查殺,使病毒進入局域網(wǎng)中傳播。局域網(wǎng)病毒非常的復雜,它不僅僅只具有一般計算機病毒的共性:可傳播、可執(zhí)行和可破壞,同時它比計算機病毒更加可怕的.是它傳播速度是非常快的,據(jù)以往的測定,在局域網(wǎng)內(nèi)只要有一臺計算機中感染此病毒,那么在短短的幾十分鐘內(nèi)局域網(wǎng)中所有的計算機都會感染病毒。局域網(wǎng)病毒具有可擴散性且擴散面非常的廣,不僅僅是感染局域網(wǎng)內(nèi)部的計算機,局域網(wǎng)外部的計算機也同樣傳播。局域網(wǎng)病毒多種多樣難以發(fā)現(xiàn)。一般被普通的計算機病毒感染的時候只需要將中病毒的文件刪除就行了,但局域網(wǎng)病毒非常難以被清除和查殺,只要在局域網(wǎng)中的計算機內(nèi)有一臺計算機的病毒沒有查殺干凈那么就很有可能使整個的局域網(wǎng)重新被病毒侵入。局域網(wǎng)病毒的破壞性非常大,在一定程度上會使整個局域網(wǎng)崩潰無法使用。而且局域網(wǎng)病毒具有潛在性的特點,即使及時將局域網(wǎng)中的病毒查殺了,但是還有85%的可能性在一個月內(nèi)被再次入侵。例如一種叫尼姆達的病毒,只要局域網(wǎng)中的計算機被此病毒入侵,那么他就會搜索網(wǎng)絡(luò)文件并在文件中安裝在一個隱藏的文件,當你給別人發(fā)送帶此病毒的郵件時并不需要你把隱藏文件打開,只要閱讀看該郵件那么就會中此病毒,每隔一段時間,病毒就重復一次傳染流程,這種循環(huán)反復的傳播方式會迅速消耗網(wǎng)絡(luò)資源,導致整個局域網(wǎng)內(nèi)的所有計算機都陷入病毒的互相感染之中,從而最終導致系統(tǒng)崩潰、局域網(wǎng)癱瘓。

四、中小企業(yè)局域網(wǎng)信息安全的措施。

(一)制定一個完整的安全管理制度。

由于中小企業(yè)大部分的安全事故是由于企業(yè)內(nèi)部的原因,所以我們要建立一個相應的安全管理部門并且制定一個全面的合理性、可執(zhí)行的安全管理制度,并嚴格的執(zhí)行其規(guī)章制度;吸納專業(yè)性的人才,建立一個安全性高的局域網(wǎng)系統(tǒng),并能夠長期地、實時地對局域網(wǎng)進行監(jiān)控和對企業(yè)人員進行指導。

(二)加強網(wǎng)絡(luò)安全意識的培養(yǎng)。

由于中小企業(yè)內(nèi)的安全管理體系不能夠有效的對局域網(wǎng)進行安全防護,員工的操作使用不當或無意中使用了網(wǎng)絡(luò)中的危險軟件,可能會使局域網(wǎng)遭到病毒和駭客的入侵,最終導致局域網(wǎng)癱瘓和企業(yè)重要信息的破壞、泄露,所以加強對企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理,增強專業(yè)技術(shù)人員和企業(yè)內(nèi)部員工的網(wǎng)絡(luò)安全意識培養(yǎng)是中小企業(yè)網(wǎng)絡(luò)信息安全建設(shè)的重中之重。加強安全部門的專業(yè)培養(yǎng)可以能夠有效的隨局域網(wǎng)實施保護,當局域網(wǎng)受到攻擊時能采取相應的安全措施,并且能對整個的局域網(wǎng)實施監(jiān)控,盡早的發(fā)現(xiàn)危險,把危險解決于萌芽狀態(tài)。當員工進行不當操作時能夠及時糾正,防止機密信息的外泄、破壞。

(三)局域網(wǎng)的防毒措施。

局域網(wǎng)病毒的具有復雜、隱蔽、易傳染、破壞性強、傳播速度快等特性,因此在中小型企業(yè)中必須建立一個完整的,多層次的防毒體系。首先必須增加安全意識,由于中小型企業(yè)的內(nèi)部人員的網(wǎng)絡(luò)安全意識普遍較低,對局域網(wǎng)病毒的傳播沒有足夠的了解,所以企業(yè)要加強企業(yè)內(nèi)部人員的安全意識,提高員工對病毒的警覺性,安裝人們比較認可的局域網(wǎng)殺毒軟件,并對未明的文件進行病毒查殺,定期更新病毒庫并能定期對整個電腦系統(tǒng)進行殺毒。其次要對用戶使用行為設(shè)置權(quán)限,及時下載安裝操作系統(tǒng)的補丁程序,并安裝局域網(wǎng)防火墻,降低病毒感染的可能性。另外要利用網(wǎng)絡(luò)管理軟件對整個的局域網(wǎng)進行監(jiān)控,及時的發(fā)現(xiàn)病毒并且能夠?qū)钟蚓W(wǎng)中的病毒進行徹底查殺。

(四)設(shè)置用戶的訪問權(quán)限,對數(shù)據(jù)進行備份。

一些中小企業(yè),管理不嚴格,沒有設(shè)置權(quán)限,一些員工在上班的時候可以隨意玩網(wǎng)絡(luò)游戲、看電影、下載軟件等等,這樣即浪費了公司資源,又不安全。所以網(wǎng)絡(luò)管理人員必須通過對路由器或一些專用軟件的設(shè)置設(shè)置來限制這些行為,使用權(quán)限,權(quán)限設(shè)置的主要作用有:(1)訪問控制,可以按照部門分組、員工、時間段等條件設(shè)置,來控制企業(yè)內(nèi)部網(wǎng)絡(luò)行為。既可以模糊或精確限制網(wǎng)站訪問,過濾端口、ip地址,限制上網(wǎng)時間,也可以封堵下載、聊天程序,讓員工無法在上班時間隨意聊天和下載電影。(2)內(nèi)容審計,按照ip/mac、目的ip、協(xié)議類型、時間等不同條件,可以進行單個或多個組合查詢,對不同的人員、部門設(shè)定文件下載、網(wǎng)絡(luò)聊天、郵件及附件內(nèi)容的規(guī)則,規(guī)則內(nèi)的才允許執(zhí)行,確保公司機密不被外泄,也方便公司掌握具體情況。(3)流量分析,根據(jù)網(wǎng)絡(luò)記錄中的統(tǒng)計結(jié)果,網(wǎng)絡(luò)管理人員可以對網(wǎng)絡(luò)中指定對象的歷史流量進行分析。通過分析可以幫助操作員更加全面、宏觀地了解企業(yè)整體流量情況和員工上網(wǎng)行為,也為管理人員提供考核依據(jù)。

如果局域網(wǎng)已經(jīng)被病毒、駭客入侵了,數(shù)據(jù)被無情破壞,或者因為員工操作不當,將企業(yè)重要的信息、資料刪除或格式化了,怎么做才能將恢復數(shù)據(jù)呢?恢復數(shù)據(jù)之前我們必須要做的就是事先對局域網(wǎng)內(nèi)的數(shù)據(jù)進行備份,這樣即使局域網(wǎng)的系統(tǒng)或信息遭到破壞,網(wǎng)絡(luò)管理人員也能夠很快重新恢復數(shù)據(jù)。使系統(tǒng)、數(shù)據(jù)恢復完全恢復或部分恢復到破壞前的狀態(tài),最大限度地減少企業(yè)損失。

(五)內(nèi)網(wǎng)安全管理系統(tǒng)軟件的應用。

為了幫助企業(yè)建立完善的信息管理機制,一些軟件開發(fā)了針對企業(yè)的內(nèi)網(wǎng)安全管理系統(tǒng),如“中軟防水壩數(shù)據(jù)加密防泄漏系統(tǒng)、ip-guard內(nèi)網(wǎng)安全管理系統(tǒng)、secdocx數(shù)據(jù)安全保護系統(tǒng)、等等,這些系統(tǒng)主要的功能是實現(xiàn)終端可控使用、安全使用,防止重要數(shù)據(jù)、信息被有意、無意的泄露,并對外來電腦、u盤等介質(zhì)的接入進行嚴格管理和安全審計,以達到整個局域網(wǎng)系統(tǒng)安全、可靠的需求。通過這些內(nèi)網(wǎng)安全管理系統(tǒng)能更好地管理、保護局域網(wǎng)內(nèi)部的重要信息資料,提高工作效率,限制員工玩游戲、上網(wǎng)聊天等非允許行為,協(xié)助信息管理者更方便、快捷地進行內(nèi)部信息的安全管理。如果一個企業(yè)對信息安全要求很高,一套合適的內(nèi)網(wǎng)管理軟件會有很大的幫助。

信息安全管理不只是技術(shù)的問題,有了好的內(nèi)網(wǎng)安全管理軟件,如果沒有對應的管理力量推動實施,或者在執(zhí)行的過程中執(zhí)行力不足,都不能發(fā)揮完美的效果。內(nèi)部員工的反對、不認真配合、敷衍了事,都可能讓信息安全管理方案半途而廢,所以網(wǎng)絡(luò)安全領(lǐng)域有一句至理名言,“三分技術(shù),七分管理”說的就是網(wǎng)絡(luò)安全中計算機系統(tǒng)信息安全設(shè)備和技術(shù)保障很重要,但更重要的是依靠用戶安全管理意識的提高以及管理模式的更新。

五、結(jié)束語。

隨著社會信息技術(shù)的不斷發(fā)展,中小型企業(yè)為適應時代的潮流必需更有效地利用局域網(wǎng),但是局域網(wǎng)給中小型的企業(yè)帶來極大的便利同時也使中小型企業(yè)時刻面臨著網(wǎng)絡(luò)上的威脅,更重要的是面對著企業(yè)中內(nèi)部存在的威脅,我們要做的一是加強企業(yè)局域的安全性建設(shè),建設(shè)完整的局域網(wǎng)安全系統(tǒng)和防毒系統(tǒng),但更重要的是加強企業(yè)信息安全管理制度和加強中小型企業(yè)內(nèi)員工的網(wǎng)絡(luò)安全意識,培養(yǎng)員工對企業(yè)忠誠意識,這樣才能夠真正的解決中小型企業(yè)的局域網(wǎng)的信息安全問題。

信息安全等級保護的分析論文篇十七

建立等級保護制度是實現(xiàn)網(wǎng)絡(luò)安全的保障。結(jié)合網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)組成、服務模式等基本情況,建立等級保護制度實施的規(guī)范和標準。制定安全區(qū)域邊界和內(nèi)部實施相應的安全防護的策略,科學進行框架結(jié)構(gòu)、系統(tǒng)部署等內(nèi)容設(shè)計,建立一個適應性和可行性較強的網(wǎng)絡(luò)安全防護體系。通過科學的建模分析方法,結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)模型和對應的技術(shù)進行細致分析及思考。筆者針對如何建立適應性較強的網(wǎng)絡(luò)安全體系提出一些思路,并構(gòu)建出了具體的框架,提出具體的建模分析方法。

1當前等級保護制度研究的現(xiàn)狀。

我國網(wǎng)絡(luò)技術(shù)迅猛發(fā)展,網(wǎng)絡(luò)技術(shù)的應用已經(jīng)滲透到各行各業(yè)中。由于網(wǎng)絡(luò)信息系統(tǒng)的類型很多,因此各國實施的系統(tǒng)建設(shè)標準各有不同,同時系統(tǒng)針對應用場景適應性也各有差異,還有其他一些的因素都是造成網(wǎng)絡(luò)安全等級保護制度難以進行推廣的原因。針對基于等級保護的網(wǎng)絡(luò)安全體系的建立和實施過程中的困難,有很多專家學者對信息安全等級保護制度進行了探討和研究。針對基于安全等級保護的網(wǎng)絡(luò)安全體系的研究,是從信息安全等級保護相關(guān)要求和標準角度,參考全球信息安全領(lǐng)域的安全保護原則與評估方法,進行科學的對比分析,常用的方法包括統(tǒng)計分析、系統(tǒng)建模等。信息安全等級保護制度的探索應用主要是在一些特定的對信息收集、處理標準較高的信息系統(tǒng)上,常見的比如,電子商務、媒體與信息服務、企業(yè)信息管理系統(tǒng)等。在特定領(lǐng)域的信息安全等級保護制度研究,要求結(jié)合行業(yè)領(lǐng)域的特點進行分析,還有一些相關(guān)的規(guī)范性文件要求。

2等級保護制度的內(nèi)容和要求。

所謂基于等級保護的網(wǎng)絡(luò)安全體系是指處理信息和其載體,需要結(jié)合信息的重要性,進行等級的分級別,提高信息安全保護的效率的一種體系制度。要求是對一些專有的重要信息或者公開信息進行專項的存儲、處理時,按照信息系統(tǒng)中內(nèi)容的等級實施對應的安全保護措施,實現(xiàn)對安全體系下的信息安全事件進行分等級的處置工作。實現(xiàn)系統(tǒng)的安全的相應要求不同于一般的技術(shù)安全要求標準。從物理、網(wǎng)絡(luò)、應用等層面,制定對不同等級的信息系統(tǒng)的建設(shè)標準。再根據(jù)實現(xiàn)方式的差異,提出基本的安全要求,分技術(shù)和管理要求兩個基本的類別。安全技術(shù)要求要對應安全層面的內(nèi)容,一些安全技術(shù)的實施標準的要求是能夠與特定層面相適應,例如防雷、防火等這些物理層面的安全要求。而一些安全要求是對應多個層面進行實施的,如進行身份的鑒別、系統(tǒng)訪問的控制等。

3網(wǎng)絡(luò)安全體系的框架構(gòu)建分析。

構(gòu)建科學的網(wǎng)絡(luò)安全體系,需要考慮諸多方面的內(nèi)容,比如安全組織、技術(shù)、和具體的實施等一系列的情況。在網(wǎng)絡(luò)安全體系中的內(nèi)容,必須符合我國當前的網(wǎng)絡(luò)方面的相關(guān)法律和標準,能夠適應各類的場景和應用環(huán)境來實現(xiàn)框架的構(gòu)建思路,科學的安全體系應當具備適用于各種應用場景的特點,進行安全場景的建模分析?;诘燃壉Wo的網(wǎng)絡(luò)安全體系,先要從需求角度進行分析,著重對體系建立的相關(guān)內(nèi)容進行思考,網(wǎng)絡(luò)安全體系框架的'構(gòu)建要求重點對網(wǎng)絡(luò)安全體系和安全目標、安全邊界多方面,通過建模方法進行分析,然后用具體明白的表述做好跟安全管理工作的對接。對安全目標的建模方法具體分析,要結(jié)合安全體系建立的需求,建立有針對性的安全目標。設(shè)立安全目標的內(nèi)容,通常會包括了業(yè)務的范圍、功能以及業(yè)務實施流程等方面的內(nèi)容。業(yè)務功能是指在網(wǎng)絡(luò)平臺上進行的特定相關(guān)業(yè)務的能力。通常業(yè)務功能可以按照模塊進行分解,目標的不同可能導致描述粒度要求的不同。針對安全目標的建立模型進行分析,由于業(yè)務需求與安全需求的內(nèi)容上存在很多類似的地方,因此,需要設(shè)定相同的分析對象再進行建模,運用的建模方法為:進行業(yè)務功能方面的建模,要結(jié)合網(wǎng)絡(luò)安全體系中的特定業(yè)務目標,深入分析業(yè)務的功能內(nèi)容,進行相關(guān)描述時,要結(jié)合具體的目標和特定的需要,同時還要針對對業(yè)務功能的內(nèi)容方面進行探討,對名稱的標識描述要突出,控制描述內(nèi)容的質(zhì)量,可以使用一些可視性例圖進行描述,這樣能起到幫助用戶更深入理解系統(tǒng)功能的目的。分析業(yè)務開展的范圍要結(jié)合相關(guān)的業(yè)務功能,在業(yè)務覆蓋的范圍內(nèi)闡述網(wǎng)絡(luò)覆蓋的業(yè)務實施和各個環(huán)節(jié)的相關(guān)性,可以借助類圖法對相關(guān)業(yè)務范圍進行刻畫。

4基于等級保護網(wǎng)絡(luò)安全體系中的安全邊界建模方法分析。

利用網(wǎng)絡(luò)安全邊界理論進行安全界定時,要服從于網(wǎng)絡(luò)安全體系可以涵蓋所有范圍的基本設(shè)立目標。利用sb=來對安全邊界模型的相關(guān)要素進行表示,在模型構(gòu)建的元素中以lnb表示邊界的連通,以smb表示安全措施邊界。應用lnb對聯(lián)通的邊界進行相關(guān)的分析,通過網(wǎng)絡(luò)上的軟件和硬件進行結(jié)合的內(nèi)容,進行的連通邊界的描述,同時還需要結(jié)合組件的運行和通信,對模型進行詳細的補充。

4.1針對安全體系要素的建模。

對安全體系的要素進行建模分析要求結(jié)合安全機制和安全威脅進行建模分析,對安全機制的相關(guān)要素和安全威脅的相關(guān)內(nèi)容要進行科學全面的思考,提高建模分析的準確性和科學性。要應用模態(tài)邏輯對安全體系的要素進行分析,包括了必然和可能等相關(guān)的概念邏輯。

4.2安全措施分析。

對網(wǎng)絡(luò)信息技術(shù)進行分析制定,防止網(wǎng)絡(luò)信息系統(tǒng)受到侵害,及時對一些安全事故進行分析處理,這是安全技術(shù)措施的主要內(nèi)容,安全管理措施是對網(wǎng)絡(luò)信息系統(tǒng)的檢查和分析,實施對機構(gòu)體制和系統(tǒng)操作人員的相關(guān)管理,還包括了對于提高系統(tǒng)的安全系數(shù)的工作內(nèi)容。

4.3安全管理措施和安全技術(shù)措施的分析比較。

安全管理措施和安全技術(shù)措施兩者十分類似,但在措施的實施方面有實際的差異。前者針對的管理的相關(guān)規(guī)則,而后者卻是針對技術(shù)制定相應的規(guī)則。進行模態(tài)邏輯的應用的時候,建立安全體系的模型,實現(xiàn)模擬邏輯的應用推導,利用安全體系中的有效性進行科學的推導和相應的分析,同時,利用強推理和弱推理的相關(guān)的規(guī)則進行對比分析,可以發(fā)現(xiàn)其中存在的一些關(guān)系。

5對網(wǎng)絡(luò)安全體系建模方法的驗證分析。

用科學的方法建立模型,從安全目標和安全邊界角度以及安全要素等進行了模型的分析。下面就結(jié)合模型的驗證結(jié)果,分析安全目標的實現(xiàn)程度。主要針對安全要素計算法進行具體的分析如下:把特定的業(yè)務相關(guān)狀態(tài)的內(nèi)容進行模型的輸入和輸出操作,設(shè)定特定業(yè)務流程內(nèi)業(yè)務狀態(tài)的相應安全要素集,所謂安全要素集,是指若系統(tǒng)承載業(yè)務操作資產(chǎn)也成為了是安全威脅目標,那么該安全威脅就應該在此業(yè)務狀態(tài)下需要應對的安全威脅攻擊的集內(nèi)。通過測定安全要素是否在安全邊界中,實現(xiàn)對業(yè)務操作的性質(zhì)的區(qū)分,定性是屬于安全性還是威脅性的。其中有2個主要步驟:

(1)界定安全威脅攻擊目標是否在物理連通的邊界范圍中;

(2)對安全技術(shù)措施和安全管理中制定的相關(guān)措施狀態(tài),對比該安全措施邊界的模型定義和狀態(tài)的情況是否一致。

若業(yè)務操作中有安全威脅,但沒有解決該安全威脅的安全技術(shù)措施,那么這個業(yè)務操作就形成了一定程度的存在安全風險;再對這一安全威脅的安全技術(shù)措施的模態(tài)進行判斷,若發(fā)現(xiàn)“可能”針對這一模態(tài)的相應安全措施,根據(jù)弱推理規(guī)則對安全措施的科學性和可行性進行推導判斷,否則就根據(jù)強推理規(guī)則進行推導,結(jié)合最終的結(jié)果,進行安全風險的處置。制定科學的安全技術(shù)和安全管理方面的保護措施,需要界定安全要素是否包含在相應的安全邊界內(nèi),同時要求對安群威脅進行分析,根據(jù)最終系統(tǒng)是否受到攻擊的實際情況,結(jié)合安全管理的對象和相應的技術(shù)規(guī)范的時,檢測物理連接是否有效,連接的狀態(tài)是否發(fā)生了改變以及是否滿足要求,按照安全等級進行建模分析。結(jié)合上述的相關(guān)建模分析方法,安全管理部門可以細致的了解網(wǎng)絡(luò)安全的相關(guān)內(nèi)容,加深對網(wǎng)絡(luò)安全風險狀態(tài)的科學認知,并制定有針對性的標準和流程,保證業(yè)務操作的安全性和效率。

6結(jié)語。

本文對網(wǎng)絡(luò)安全體系建模分析的相關(guān)方法進行了詳細的介紹,并進行了驗證方法的闡述,滿足了網(wǎng)絡(luò)安全體系建模的方法的科學性和可行性要求。在具體的基于等級保護制度建立的網(wǎng)絡(luò)安全體系框架內(nèi),對于建模上的規(guī)范性和功能提出了較高的要求,結(jié)合對網(wǎng)絡(luò)安全體系建模分析,討論了對此類網(wǎng)絡(luò)安全建模分析方法科學性進行驗證的方法。

作者:馬榮華單位:鄭州鐵路職業(yè)技術(shù)學院。

引用:

[1]布寧,劉玉嶺,連一峰,黃亮.一種基于uml的網(wǎng)絡(luò)安全體系建模分析方法[j].計算機研究與發(fā)展,.

[2]范一樂.基于uml的網(wǎng)絡(luò)安全體系建模分析方法[j].信息通信,.

【本文地址:http://aiweibaby.com/zuowen/16171195.html】

全文閱讀已結(jié)束,如果需要下載本文請點擊

下載此文檔