引論:我們為您整理了13篇信息安全調查報告范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
調查的內容主要包括被調查單位自然狀況、網絡應用狀況、網絡信息安全的軟硬件(包括規章制度)、緊急情況及應對措施和政府政策的支持等五個方面。
由此可見,本次調查的結果具有一定的代表性。
一、網絡安全問題不容樂觀
Internet技術的高速發展帶動了單位及政府各部門的上網工程,他們紛紛采用先進的互聯網技術建立自己的內部辦公網(Intranet)。在被訪的單位中,“已經建立”單位內部網(Intranet)的單位達82.3%,“正在規劃”的單位占15.0%,只有2.7%的單位還未考慮單位內部網的建設。在Intranet已建成的單位中,平均每單位擁有1.3臺服務器及28.4臺客戶終端。
當問及被訪者對于信息系統安全的認識時,92.2%的被訪者認為信息系統的安全事關單位運行,其余認為不很重要的被訪單位均還未建立單位內部網。由此看來,享受到信息共享的單位已充分意識到網絡安全的重要性。在信息安全的六個領域,被訪者對其重要性的認知不一,90.3%的被訪者認為病毒防護最重要,81.7%的被訪者認為防止來自Internet的惡意入侵的重要性次之,排名第三重要的為服務器及數據庫應用的訪問控制和內部用戶口令管理、安全審計(均為75.9%),第四、五位為數據加密和虛擬單位網(59.4%)和身份鑒別、電子簽名(58.8%)。
在已建立單位內部網的單位中,其信息安全領域亟待解決的問題分別有病毒防護、防止來自Internet的惡意入侵、服務器及數據庫應用的訪問控制、內部用戶口令管理、安全審計、身份鑒別、電子簽名、數據加密和虛擬單位網。電腦主管對以上問題處理的緊急程度可以體現出其問題的重要性。在以上單位中,68.2%的被訪單位已感受到網絡安全的威脅,其中35.8%的被訪者認為威脅主要來自于單位外部,另外32.4%的被訪者認為威脅主要源于內部。
二、安全投入有待提高
從技術層面來看,網絡安全現在已經有了各種各樣的解決方案,但在實際應用過程中,真正重視網絡安全的單位并不是很多。在國外單位的IT投資中,網絡安全投資將占20~30%,而在中國,單位對網絡安全的投資在整個IT系統投資中的比例不到10%。本次調查結果驗證了這一說法,高達75.5%的被訪單位能夠接受網絡安全產品投資在信息化建設總投資中的比例都在五個百分點以下。
“服務是增值商品”的概念在中國還不普及。在問及被訪者是否愿意接受免費或低價但需為此支付服務費用的網絡安全產品時,53.8%被訪者愿意,29.5%的被訪者認為無所謂,16.7%被訪者明確表示不愿意。在愿意接受服務費用的被訪者中,比例也不高,通常都在3%以下。
三、曾遇到的網絡安全問題及其處理
在問及被訪單位遭受病毒侵害的悲慘遭遇時,有18.0%的被訪單位很慶幸地回答“從沒有”遭受過病毒的侵害。在遭受侵害的單位中,頻率多為一年或更長(21.3%)、一個季度(21.0%)、半年(18.3%)和一個月(16.2%)。為免遭病毒和黑客的侵擾造成損失,14.8%的單位時時備份數據,25.3%的單位每天備份一次數據,28.2%的單位每周做一次備份,23.0%的被訪單位的備份頻率較為稀疏,為8天或更長時間。從以上數據中我們發現,單位備份數據的周期通常為時時備份、當天、一周。在從不備份的單位中,多是從未嘗試到病毒威力或長時間未遭受侵害的單位。在單位備份數據和文件時使用最多的介質是可擦寫光盤(48.8%)、軟盤(44.2%)和磁帶機(37.8%)。
隨著互聯網的日益普及,計算機安全問題不再僅僅局限于單機安全。由于病毒不僅可以通過軟盤,而且能通過網絡傳播,隨著聯入因特網的用戶不斷增加,受國際病毒傳播的機率大大增加,所以,使得計算機病毒防范、防治范圍也不斷擴大,加之計算機犯罪的手段近年來出現日趨新穎化、多樣化和隱蔽化的發展態勢。據被訪者對于不同類別的安全防護產品的市場潛力預測顯示,網絡防病毒產品的市場潛力最大,為54.3%,其次為網絡監測產品(20.1%),再次為端到端安全通道及認證(13.8%),網絡安全評估審計產品和VPN產品的潛力較小,分別為7.9%和3.9%,由此可見病毒給單位帶來的巨大壓力。
調查顯示,所有單位遇到的首要網絡安全問題是病毒襲擊,其他安全問題依次是:未授權的信息存取、網站內容遭破壞、未授權的數據或配置的更改。從規模來看,50~100人的單位遇到的安全問題最多;
對于網絡安全產品,目前使用最多的是防病毒軟件,在200個被訪用戶中,有191個正在使用防病毒產品,占總數的95.5%;其次是防火墻產品,使用者占45.0%。
在問及遭到攻擊后是否向政府相關法律部門報告時,65%的單位選擇不會,其中70%認為報告會引發消極影響(例如客戶對其保護其私人信息安全的能力的懷疑),12%的人為不知道向哪個部門報告,還有8%的認為采取內部補救措施比報告來得更好。
四、最迫切需要的網絡安全產品和服務
調查顯示,目前有36.5%的用戶對網絡安全產品無需求,無需求主要有兩種情況:一是已有網絡安全產品,暫無需求(70%);二是目前未遇到安全問題,購買安全產品還未納入議事日程(30%)。接下來,需要的網絡安全產品是防火墻、防病毒、黑客入侵監測,分別占被訪者的31.5%、26.0%和18.5%。前兩種產品又是目前使用最多的產品,對于防病毒產品,單機版占近一半。黑客入侵監測、漏洞掃描等也有許多用戶迫切需求,這說明一些用戶的總體網絡安全意識已經提高。
在問及希望政府的支持方面,76.3%的單位認為政府相關部門應開通企業信息化管理咨詢熱線提供對口技術支持,20%希望政府開設信息安全方面的免費講座。96%的認為應該加強相關法律建設。
調查報告最后認為,我國國內企業的信息化基礎建設整體還比較落后,投入較少,對網絡信息安全缺乏足夠的重視,網絡信息安全前景不容樂觀。
篇2
(一)安全制度落實情況
1、成立了安全小組。明確了信息安全的主管領導和具體負責管護人員,安全小組為管理機構。
2、建立了信息安全責任制。按責任規定:保密小組對信息安全負首責,主管領導負總責,具體管理人負主責。
3、制定了計算機及網絡的保密管理制度。鎮網站的信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權,計算機的用戶名和開機密碼為其專有,且規定嚴禁外泄。
(二)安全防范措施落實情況
1、計算機經過了保密技術檢查,并安裝了防火墻。同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、計算機都設有開機密碼,由專人保管負責。同時,計算機相互共享之間沒有嚴格的身份認證和訪問控制。
3、網絡終端沒有違規上國際互聯網及其他的信息網的現象,沒有安裝無線網絡等。
4、安裝了針對移動存儲設備的專業殺毒軟件。
(三)應急響應機制建設情況
1、制定了初步應急預案,并隨著信息化程度的深入,結合我鎮實際,處于不斷完善階段。
2、堅持和計算機系統定點維修單位聯系機關計算機維修事宜,并商定其給予鎮應急技術以最大程度的支持。
3、嚴格文件的收發,完善了清點、修理、編號、簽收制度,并要求信息管理員每天下班前進行系統備份。
(四)信息技術產品和服務國產化情況
1、終端計算機的保密系統和防火墻、殺毒軟件等,皆為國產產品。
2、公文處理軟件具體使用金山軟件的wps系統。
3、工資系統、年報系統等皆為市政府、市委統一指定產品系統。
(五)安全教育培訓情況
1、派專人參加了市政府組織的網絡系統安全知識培訓,并專門負責我鎮的網絡安全管理和信息安全工作。
2、安全小組組織了一次對基本的信息安全常識的學習活動。
二、自查中發現的不足和整改意見
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合我鎮實際,今后要在以下幾個方面進行整改。
1、安全意識不夠。要繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
篇3
從這次由北京谷安天下科技有限公司的《2010企業員工信息安全意識調查報告》中我們可以看到,很多看起來并不起眼的問題,卻隱藏著巨大的安全隱患。
例如,很多員工工作胸卡保管、物品保管存在疏忽,對于出差時物理環境安全、工作區域的陌生訪客等較為忽視,個人信息經常會在不經意間在網上,個人密碼也沒有定期更換,此外,像對數據備份、敏感數據、工作資料的保護,對不明郵件、熟悉發件人發的鏈接和動畫的處理方式,電腦設置屏保和密碼以及系統升級等都存在著或大或小的漏洞。
由于受訪者普遍信息安全意識的薄弱,平時的辦公與生活中較多錯誤的信息安全操作,導致超過半數(58.8%)的受訪者遇到過1~2次或者經常遇到惡意插件和病毒的攻擊,并有所損失。
調查結果還顯示,在受訪者信息安全意識普遍薄弱的情況下,而提高信息安全意識的培訓和宣貫等工作卻做的很少。接受定期的信息安全培訓受訪者僅占15.8%。
同時,受訪者在信息安全隱患的認知和有效保護信息安全面臨的最大障礙的認知方面,42.8%的受訪者認為所有的安全隱患中,個人信息安全意識不足是最大的安全隱患,然后依次是沒有安全制度或制度未落實、投入或人員不足或缺乏信息安全培訓、安全產品功能不足和其他。而對于目前有效保護信息安全面臨的最大的障礙,受訪者認為最大的障礙是普遍缺乏信息安全意識,其他依次是管理水平落后、技術不過關、法律不健全、信息安全人才不夠和其他障礙。
應對風險 先建“人力防火墻”
篇4
為保障XX市醫療保障局網絡和信息安全,提高應對網絡安全事件的能力,預防和減少網絡安全事件造成的損失和危害,進一步完善網絡安全事件應急處置機制,制定本預案。
1.2編制依據
《中華人民共和國網絡安全法》、《國家網絡安全事件應急預案》、《信息安全技術信息安全事件分類分級指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《應急預案編制導則》(GBA29639-2013)、《信息技術服務運行維護第3部分:應急響應規范》(GBA28827.3-2012)等相關規定。
1.3工作原則
強化監測,主動防御。強化網絡和信息安全防護意識,加強日常安全檢測,積極主動防御,做到安全風險早發現。
明確分工,落實責任。加強網絡和信息安全組織體系建設,明確網絡安全應急工作權責,健全安全信息通報機制,做到安全風險早通報。
快速響應,有效處置。加強日常監管和運維,強化人力、物資、技術等基礎資源儲備,增強應急響應能力,做到安全問題早處置。
1.4適用范圍
本預案適用于市醫療保障局網絡和信息安全事件應急工作。
2事件分級與監測預警
2.1事件分類
網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件。
(1)有害程序事件。包括:計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。
(2)網絡攻擊事件。包括:拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。
(3)信息破壞事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
(4)信息內容安全事件。指通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。
(5)設備設施故障。包括:軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。
(6)災害性事件。指由自然災害等其他突發事件導致的網絡安全事件。
(7)其他事件。指除以上所列事件之外的網絡安全事件。
2.2事件分級
按照事件性質、嚴重程度、可控性和影響范圍等因素,將市醫療保障局網絡和信息安全事件劃分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別對應特別重大、重大、較大和一般安全應急事件。
(1)Ⅰ級(特別重大)。局網絡和信息系統發生全局性癱瘓,事態發展超出控制能力,產生特別嚴重的社會影響或損害的安全事件。
(2)Ⅱ級(重大)。局網絡與信息系統發生大規模癱瘓,對社會造成嚴重損害,需要局各科室(單位)協同處置應對的安全事件。
(3)Ⅲ級(較大)。局部分網絡和信息系統癱瘓,對社會造成一定損害,事態發展在掌控之中的安全事件。
(4)Ⅳ級(一般)。局網絡與信息系統受到一定程度的損壞,對社會不構成影響的安全事件。
2.3預警監測
有關科室(單位)應加強日常預警和監測,必要時應啟動應急預案,同時向局網絡安全和信息化領導小組(以下簡稱“領導小組”)通報情況。收到或發現預警信息,須及時進行技術分析、研判,根據問題的性質、危害程度,提出安全預警級別。
(1)對發生或可能發生的Ⅳ級安全事件,及時消除隱患避免產生更為嚴重的后果。
(2)對發生或可能發生的Ⅲ級安全事件,迅速組織技術力量,研判風險,消除影響,并將處置情況和結果報領導小組,由領導小組預警信息。
(3)對發生和可能發生的Ⅱ級安全事件,應迅速啟動應急預案,召開應急工作會議,研究確定事件等級,研判事件產生的影響和發展趨勢,組織技術力量進行應急處置,并將處置情況報領導小組,由領導小組預警信息。
(4)對于發生和可能發生的Ⅰ級安全事件,迅速啟動應急預案,由領導小組向省醫療保障局、市委網絡安全和信息化委員會辦公室、市公安局通報,并在省級有關部門的指揮下開展應急處置工作,預警信息由省級有關部門。
3應急處置
3.1網頁被篡改時處置流程
(1)網頁由主辦網站的科室(單位)負責隨時密切監視顯示內容。
(2)發現非法篡改時,通知技術單位派專人處理,并作好必要記錄,確認清除非法信息后,重新恢復網站訪問。
(3)保存有關記錄及日志,排查非法信息來源。
(4)向領導小組匯報處理情況。
(5)情節嚴重時向公安部門報警。
3.2遭受攻擊時處置流程
(1)發現網絡被攻擊時,立即將被攻擊的服務器等設備斷網隔離,并及時向領導小組通報情況。
(2)進行系統恢復或重建。
(3)保持日志記錄,排查攻擊來源和攻擊路徑。
(4)如果不能自行處理或屬嚴重事件的,應保留記錄資料并立即向公安部門報警。
3.3病毒感染處置流程
(1)發現計算機被感染上病毒后,將該機從網絡上隔離。
(2)對該設備的硬盤進行數據備份。
(3)啟用殺病毒軟件對該機器進行殺毒處理工作。
(4)必要時重新安裝操作系統。
3.4軟件系統遭受攻擊時處置流程
(1)重要的軟件系統應做異地存儲備份。
(2)遭受攻擊時,應及時采取相應措施減少或降低損害,必要時關停服務,斷網隔離,并立即向領導小組報告。
(3)網絡安全人員排查問題,確保安全后重新部署系統。
(4)檢查日志等資料,確定攻擊來源。
(5)情況嚴重時,應保留記錄資料并立即向公安部門報警。
3.5數據庫安全緊急處置流程
(1)主要數據庫系統應做雙機熱備,并存于異地。
(2)發生數據庫崩潰時,立即啟動備用系統。
(3)在備用系統運行的同時,盡快對故障系統進行修復。
(4)若兩主備系統同時崩潰,應立即向領導小組報告,并向軟硬件廠商請求支援。
(5)系統恢復后,排查原因,出具調查報告。
3.6網絡中斷處置流程
(1)網絡中斷后,立即安排人員排查原因,尋找故障點。
(2)如屬線路故障,重新修復線路。
(3)如是路由器、交換機配置問題,應迅速重新導入備份配置。
(4)如是路由器、交換機等網絡設備硬件故障,應立即使用備用設備,并調試通暢。
(5)如故障節點屬電信部門管轄范圍,立即與電信維護部門聯系,要求修復。
3.7發生火災處置流程
(1)首先確保人員安全,其次確保核心信息資產的安全,條件允許的情況下再確保一般信息資產的安全。
(2)及時疏散無關人員,撥打119報警電話。
(3)現場緊急切斷電源,啟動滅火裝置。
(4)向領導小組報告火災情況。
4調查與評估
(1)網絡和信息安全事件應急處置結束后,由相關科室(單位)自行組織調查的,科室(單位)對事件產生的原因、影響以及責任認定進行調查,調查報告報領導小組。
(2)網絡和信息安全事件應急處置結束后,對按照規定需要成立調查組的事件,由領導小組組織成立調查組,對事件產生的原因、影響及責任認定進行調查。
(3)網絡和信息安全事件應急處置結束后,對產生社會影響且由省級有關部門進行調查的,按照省級有關部門的要求配合進行事件調查。
篇5
超互聯環境下,信息安全建設是一個巨大的系統工程,需要整體調研、布局、部署、實施與維護,步步為營,方能將威脅與漏洞拒之于外。而在這個巨大的系統工程中,軟件資產管理(SAM)占據著極其重要地位。
但實際上,不少企業并沒有高度重視這自我檢查和管理的過程,導致企業信息系統面臨病毒和網絡攻擊等各種安全隱患。據BSA|軟件聯盟今年5月的一個軟件調查報告顯示,在全球所有已經安裝的軟件當中,39%的軟件沒有經過授權,而在金融、證券、保險等關鍵行業中,高達25%的軟件未經過授權;全球49%的CIO意識到安全威脅來自于未經許可的軟件,但是僅35%的企業制定了相關的書面政策。
對于金融證券業來說,如果不能合理有效的管理軟件資產,不能確保網絡中運行的軟件100%合法或已經得到充分授權,無疑于是“引狼入室”般的行為――雖然金融證券業的正版軟件使用率一直領先于各行業,但25%的缺漏仍是讓人觸目驚心:這25%的背后更代表著軟件資產管理的巨大缺失與不足。當企業無法對與自身核心業務水融的軟件資產實現100%正版化時,這說明企業未能完全了解自身所面臨的各種安全風險,更未從軟件的采購、授權、部署、維護到回收的全生命周期管理著手,未雨綢繆,未能將這種風險防范于未然。
如何筑就網絡安全的重要防線
一般來說,僅需四步即可初步創建一個有效的軟件資產管理體系:
首先,需要對企業現有軟件資產進行審計,對所有的軟件及其合法性了然在胸,并確認這些軟件是否應該安裝,所有用戶是否都擁有適當許可。
第二步即是確定企業需要什么樣的軟件資產,這是對未來軟件資產布局的一個瞻望與部署。在了解企業已擁有什么樣的軟件資產之后,需要預測未來的需求,從這樣的執行步驟中,或能發現可能的成本節約途徑,并更好地利用軟件許可協議中的維護條款。
第三步是制定健全的軟件政策和管理流程,涵蓋企業的IT前沿與核心部分,從采購流程開始,管理軟件資產的全生命周期。
篇6
目前,一個必須承認的現實是,當企業CIO們將敏感數據、處理器和其他信息融入“云”端,新的安全防護措施卻仍然沒有建立起來。云計算這一發展趨勢讓安全從業者不得不轉變思路,安全產業也由此面臨著新的機遇和挑戰。一場圍繞“云”端的安全戰役已拉開序幕。
篇7
當然,要贏得主動,對于相關安全軟件提出的要求也更高,其不僅要具備關聯分析能力,而且性能應足夠強大,能夠及時預測威脅而不僅是事后的報告。據悉,惠普通過一系列收購進入這一領域,其中包括收購ArcSight和3Com。惠普通過整合ArcSight和其他一些安全技術,于9月份推出了最新一代的風險管理軟件HP ArcSight Enterprise Security Manager (ESM) 6.0c。ESM 6.0c采用CORR引擎,其事件處理能力比之前的版本提高了5倍,從而確保能應用復雜的智能關聯分析技術來更精確、迅速地識別IT基礎設施所面臨的安全威脅。
篇8
安全風險長尾
2011年工信部的《“十二五”中小企業的成長規劃》中表明,到2010年末我國的中小企業數量是1100萬家,如果再加上個體工商戶,總共會達到4500萬家,這些中小企業在國家的國民生產總值,包括就業崗位累計起來已經超過了大型企業。另據CNNIC的調查報告,中小企業使用計算機的比例在90%以上,使用互聯網的比例在85%以上。而這些中小企業目前的信息安全防范手段非常薄弱。國內曾經有一家公司做過調查,問中小企業安裝企業級殺毒軟件的比例有多少?調查結果是只有20%的中小企業用了企業級的殺毒軟件。而企業殺毒軟件僅僅是企業安全防御最基本的一種,由此可見國內中小企業的安全防范水平非常低下,導致了廣泛存在的安全風險。
簡單講,中小企業面臨的風險有三種:第一、顯性風險,指安全問題會導致這個企業發生的直接損失,包括經濟損失、名譽受損等。第二、隱性風險,指由于產業鏈條上不同企業具有的安全問題給鏈條之上其它企業帶來的安全風險。第三、社會風險,是指由于中小企業自身的計算機等設備被黑客控制后可能對社會造成的潛在風險。如果我們按照風險大小作為縱軸,將企業按照規模大小排列在橫軸上,因為在中國的中小企業數量非常巨大,所以橫軸就會非常長,并且形成了一個風險的長尾。中小企業數量和信息化的程度越高,尾巴就越長;針對中小企業的攻擊越多,尾巴的厚度也就越大,而這些就是目前的趨勢。我們有理由相信,位于長尾部分的中小企業的安全風險隨著目前這種趨勢會越來越大,甚至累加起來的總和會超過大型企業的累積風險。如果針對這部分安全風險長尾我們沒有進行適當的控制,它對我們整個國家的社會環境和經濟環境就可能會造成直接影響。
2011年CNCERT中國網絡安全狀況報告,表示經抽樣調查發現在中國網絡中有890萬臺計算機是僵尸計算機,就是已經被人惡意控制了。2012年,CDN廠商Akamai全球互聯網狀況分析報告,表示全球網絡攻擊來源地區第一名是中國。來源于中國的攻擊未必是中國人在背后操控,但是這樣會給人一種印象,認為中國的互聯網環境是不安全的。
安全市場長尾
既然中小企業數量這么大、風險這么高,那么為什么他們沒有實現有效的信息安全防護呢?其主要原因非常簡單,第一是沒有錢,第二是沒有人。即使企業規模很小,按照傳統的建設方式,企業也往往要一次性投入幾萬、幾十萬才可能建立相對完備的信息安全體系。此外,信息安全維護需要緊跟安全威脅的趨勢,但是中小企業很難有合適的安全技術人才對這些安全產品進行維護。中小企業自身沒有條件,那么安全廠商為什么不把這個目標瞄準這幾千萬家中小企業這個非常巨大的市場呢?作為一個安全廠商或安全集成商,給企業提供安全的產品和服務是有成本曲線的,包括推廣成本、銷售成本、運營成本。這些成本不隨著中小企業服務對象規模的縮小而降低為零,這個成本是相對固定的,而且在一定程度下會超過目標企業的預算。成本曲線和企業的預算曲線有一個交叉點,這個交叉點右側這部分對于安全從業者來講就無利可圖了。
下面,我們分析為什么我們可以利用云安全服務這種新興的安全建設方式來解決這個問題,將眾多中小企業原來由于成本問題而制約的需求釋放出來,形成一個新的安全長尾市場。首先從用戶投資角度分析,他們只需要按需租用云安全服務,而且可以根據公司規模進行彈性地租用。從用戶維護來講,是不需要企業客戶來費心的,基本所有維護都是由云安全服務商進行,這樣,困擾中小企業的錢和人的問題就解決了。從云安全服務商來講,采用SaaS這種模式的安全服務非常類似于互聯網產品,它的渠道建設、銷售、服務等都可以采用在線的方式,因此成本曲線會下降,從而降低到了中小企業客戶可以承擔的程度,這樣就形成了一個巨大的新的安全市場。
目前越來越多的安全廠商和服務商開始在云安全服務市場發力。McAfee在全球聯合很多運營商和服務合作伙伴企業提供多種類型的云安全服務,在這個領域具有超過十年的經驗,在中國也聯合國內的合作伙伴落地了部分云安全服務。之前數月內,中國電信安全服務中心了網站保護“安全云服務”,進入了這個廣闊的市場。安全行業先驅、原Netscreen創始人鄧峰先生投資了云安全服務企業安全寶,為這個市場添加了濃墨重彩的一筆。
篇9
篇10
[6] 崔耀.對在線收集未成年人個人信息行為的法律規制[J].法制博覽,2013(9):35-38.
[7] 劉春泉. 電信詐騙猖獗暴露了對個人信息保護不力[N].第一財經日報/2016年/8月/30 日/第A11版.
[8] 陳箐.我國未成年人網絡隱私權保護[J].民族學院學報(哲學社會科學版), 2013(7):110-113.
[9] 2015青少年上網安全數據分析報告出爐[OL]. [2016-03-16]. http:///2015-06/05/c_1115530392.htm.
[10]《我國公眾網絡安全意識調查報告(2015)》首次[OL]. [2016-03-16]. http:///16/fe/c671a5886/page.htm.
[11] 國務院辦公廳關于轉發教育部中小學公共安全教育指導綱要的通知[OL]. [2016-04-16]. http:///zwgk/2007-02/25/content_533489.htm.
[12] 大公司請注意,歐盟終極版“數據保護法案”將生效[OL]. [2016-04-16]. http://.cn/roll/2016-04-14/doc-ifxriqqx2409099.shtml.
[13] Amended Act on the Protection of Personal Information[OL]. http://ppc.go.jp/files/pdf/280222_amendedlaw.pdf
[14] 吳用.未成年人網絡保護條例的立法[J]. 中國青年社會科學,2015(2):75-79
[15] 唐亮.隱私保護:教育數據硬幣的另一面――互聯網時代美國教育數據隱私保護的啟示[J].中國信息安全,2016(2):103-106
篇11
自2006年谷歌公司提出云、云計算概念、理論及推出的“云計劃”,世界上各大IT公司陸續推出自己的“云計劃”。由于云計算,以其低成本 、高度自動化、無限存儲擴展性、高度靈活性、無需基建投資等等的巨大優勢,迅速成為IT行業發展的方向,并成為各國最優先發展的技術之一。隨著云計算技術的發展,各種云計算應用,諸如:云辦公、云安全、云存儲、云打印、云通訊等等相繼推出。特別是在大眾消費電子、信息技術產品上諸如:“云手機”、“云電視”、“云殺毒”、“云游戲”……各種“云概念”產品和服務急劇增加,似乎世界一下進入到“云計算時代”。
然而,在人們享用云計算的好處的同時,云的安全和風險日益成為阻礙云計算發展的現實問題。也就是說,云安全日益成為阻礙云計算產業發展的瓶頸。進而影響到整個信息產業的發展。
1 在我們探討云安全之前,我們先來了解下,什么是云?什么是云計算?
云,這個概念由谷歌公司提出。因其無邊的擴展性而形象的取名。實際上,云指的是一些可以自我維護和管理的虛擬計算資源,通常為一些大型服務器集群,包括計算服務器、存儲服務器、寬帶資源等等。
云計算,也由谷歌公司提出。是將所有的計算資源(云)集中起來,并由軟件實現自動管理。是一種基于互聯網的計算方式,通過這種方式,共享的軟硬件資源和信息可以按需提供給計算機和其他設備。具體說,是指建立功能強大的數據中心,用戶最大程度簡化個人客戶端,接入數據中心進行存儲和運算。就像過去打井取水,現在則從自來水公司購買水喝。簡單說,云計算,就是非本地計算。
對于用戶而言,云安全問題的解決是關系到云服務能否得到認可的關鍵因素。對于云計算的應用而言,云安全也是云計算應用的主要障礙之一。比如:計算資源的系統發生故障,缺乏統一的安全標準、安全法規,以及隱私保護、數據屬權、遷移、傳輸、安全、災備等問題如何有效的解決。
2 目前,云安全主要體現在用戶數據的隱私保護和傳統互聯網、硬件設備的安全這兩方面
(1)用戶數據的隱私保護。在云計算出來之前,用戶信息存儲于自己的電腦中,是受法律保護的,任何人不經許可是不能查看、使用這些信息的。
但是當用戶信息成為云計算的資源儲存在云上時,任何人使用這些信息,導致隱私泄漏,尚沒有法律依據如何進行處罰。
另外云服務提供商對登記注冊管理不嚴格,也極有可能造成不良分子注冊成功并對云服務進行攻擊,造成云的濫用、惡用以及對云服務的破壞。
(2)互聯網、硬件設備的安全。云中可能存在不安全的接口和API,且用戶數據集中在此,更容易受到黑客攻擊和病毒感染。當遇到重大事故時,云系統將可能面臨崩潰的危險。
2.1 那么如何才能實現云安全?
必須解決以下幾個問題:首先,健全法律法規,保障云計算用戶象相信銀行一樣,相信云服務提供商,樹立云服務提供商的公信力,使用戶象在銀行存錢一樣,把數據存在云服務提供商那里。其次,保障不同用戶之間相互隔離,互不影響,防治用戶“串門”。第三,租用第三方的云平臺,必須考慮解決云服務提供商管理人員權限的問題。第四,傳統互聯網服務為避免單點故障,使用了雙機備份:主服務器停止服務,備用服務器隨即啟動提供服務。但是在云環境下,一旦云服務提供商的服務停止了,將會影響到一大片用戶,其損失很可能是巨大的。因此必須解決云服務突然終止所帶來的風險問題。
2.2 那么如何實施應用具體的云安全技術解決云安全問題?
云中數據安全:目前,云中數據安全防護技術主要有:增強加密技術、密鑰管理、數據隔離、數據殘留等,用這些技術來解決用戶數據在云端計算、存儲及數據的歸屬權、管理權相分離,帶來的數據安全問題。
云計算的虛擬化安全:云計算的特征之一是虛擬化。虛擬化的安全直接關系到云計算的安全。虛擬化技術雖然加強了基礎設施、軟件平臺、業務系統的擴展能力,但卻使傳統物理安全邊界逐漸缺失,使基于以往的安全域/安全邊界的防護機制不能滿足虛擬化環境下的多租戶應用模式。
云環境中存在著虛擬化軟件安全和虛擬服務器安全兩方面問題。虛擬環境中的安全機制與傳統物理環境中的安全措施相比,仍有差距。因此,在云計算環境下,用戶需要了解用戶及云服務提供商雙方所要承擔的安全責任,只有用戶與云服務提供商共同承擔安全責任,才能保證云計算環境的安全。
云終端的安全:目前可以從云終端的基礎設施、硬件芯片可信技術、操作系統安全機制、應用安全更新機制等四個方面進行云終端安全防護。
云計算的應用安全:由于云環境的靈活性、開放性以及公眾可用性等特性,給應用安全帶來很大挑戰。云服務提供商在部署應用程序時應當充分考慮可能引發的安全風險。對于使用云服務的用戶而言,應提高安全意識,采取必要措施,保證云終端的安全。如用戶在處理敏感數據的應用程序與服務器之間通信時采用加密技術。用戶應建立定期更新機制,及時為使用云服務的應用打補丁或更新版本。
云計算產業發展的核心是服務,因此,為保證云計算服務的可靠性、易用性、可操作性、安全性和穩定性,必須在數據遷移、備份、加密以及位置控制方面深入探索、研究。同時,要不斷完善云計算相關的法律法規,讓用戶象在銀行存錢那樣對使用云計算有信心。但無可否認,除了不斷探索、研究、推廣成熟的云計算安全技術之外,用戶的自我防護意識也需要加強。
當然,在相關云計算技術和標準尚未成熟的今天。若想解決云計算的安全問題,需要政府大力支持和業界的廣泛聯合,組成一個完整的生態系統,共同實現云計算的安全。
附錄一:《2010中國云計算調查報告》關于云安全在中國應用狀況調查的主要結論:
(1)針對云安全的三種說法,都有相當的用戶認可(三種提法:1、云安全是利用云計算技術提升信息安全;2、云安全是安全即服務;3、云安全是解決云計算技術本身安全的問題)。
(2)在安全即服務廠商認知度調查中,奇虎360、瑞星、卡巴斯基等廠商表現較突出。
(3)企業用戶對數據安全與隱私關注度最高。
(4)不同規模企業對于云殺毒的價值訂可度存在差異。
(5)用戶對云安全的發展趨勢持樂觀態度。
附錄二:《2012年中國云計算安全調查報告》調查結果:
(1)在云計算部署模型中,企業認為私有云是最安全的,其次為基礎設施即服務(IaaS),平臺即服務(PaaS)位居第三。
(2)在云計算部署模型中,企業認為軟件即服務(SaaS)是最不安全的,其次為混合式(有的是內部管理資源,有的是來自于IaaS/PaaS/SaaS廠商)。
(3)企業表示永遠不會遷移到云端的特殊類型數據依次為信用卡數據、商業或者合作伙伴的財務數據和客戶身份信息。
(4)對于云計算/云服務,企業最關心的三個主要的安全問題是賬戶劫持、云數據訪問以及特定云攻擊/威脅(非目標性的)。
參考文獻:
[1]薄明霞.淺談云計算的安全隱患及防護策略[J].信息安全與技術,2011,9.
[2]TechTarget中國.2012年中國云計算安全調查報告.
篇12
0引言
伴隨著網絡化對于社會的影響,電力系統管理中自動化技術安全管理的系統建設工作重要性不斷提高,同時也是優化與改進電力系統信息安全技術的多項措施,電力信息的安全管理標準屬于信息的安全管理基本標準、需求以及準則,是提高管理效果的基本措施,其中最為重要的便是構建一個關于電力系統的自動化技術安全管理。對此,探討電力系統自動化技術安全管理具備顯著現實意義。
1電力系統信息安全管理目標
強化與規范電力系統的網路安全行以及自動化管理效果,并保障自動化管理系統的整體穩定性、持續性、可靠性以及保障信息內容的完整性、可用性以及機密性,預防因為自動化管理系統本身的漏洞、故障而導致自動化管理系統無法正常的運行,在病毒、黑客以及多種惡意代碼的影響攻擊時及時起到行之有效的管理保護,對自動化管理系統內部的信息安全性實現較高的管理效果,預防信息內容和數據的丟失,預防有害信息在網絡當中的傳播,從而提高企業信息的整體管理效果[1]。
2自動化技術安全管理建設內容
2.1管理系統安全監測與風險評估管理
信息管理系統的建設必然需要管理部門的高度重視,要求管理部門以年度作為單位,對信息化的項目實行全面性、綜合性的管理,并在每一年的綜合計劃實行之后,制定這一整年在相關工作方面的創新計劃,保障系統在正式上線之前便可以有效的滿足整個系統在安全方面的需求[2]。采用的系統在建設完成之后的1個月之內,必須根據相應的“上下線管理辦法”實行申請,并通過信息管理部門專職人員進行上線申請,組織應用的系統專職和業務主管部門根據相應的標準或指南對系統進行安全性的評估,同時需要將評估的結果博鰲高發放到業務部門中。對于系統中存在的不足,業務部門在接收到報告之后需要在短時間內進行改進,并在改進之后進行復查,確保其可以滿足上線要求。
2.2信息安全專項檢查與治理
信息管理部門在管理方面的具體實施必然是借助專職人員而實現,在每一年的年初均需要根據企業的實際情況具體的檢查計劃以及年度性的檢查目標,檢查的具體內容必須按照企業中每一個部門的工作特性而決定,例如網絡設備的安全性、終端設備的穩定性以及系統版本的及時更新等[3]。對于重大隱患而言,信息安全管理人員需要及時錄入到系統當中,并組織制定重大隱患的安全防治計劃,各個部門需要在接收到反饋之后及時對問題提出整治方案,并在限期內處理。信息管理部門的安全專職人員需要對隱患庫當中所存在的隱患進行跟蹤性治理,并組織相應人員進行復查,對于沒有及時按期整改的部門,信息安全專職人員需要在短時間內上報給信息負責人,并由人力資源部門對其進行績效考核。每一個部門的信息安全專職人員需要根據計劃組織該部門的人員制定相應預案,每一份預案在制定之后需要在5天之內交到本部門負責人審批,并在審批通過之后上報信息管理部門。
2.3安全事件統計、調查及組裝整改
信息管理部門的安全專職人員必須在每一個月月初時對基層部門的信息安全事件進行統計分析。每一個系統的安全管理人員需要根據部門所發生的安全事件實行記錄記錄,并根據發生問題的原因進行針對性的分析,每一個月以書面的形式將所記錄的內容提供給管理部門,由管理部門實現工作狀況的改進與完善。如果后續查出存在漏報現象,則需要由人力資源部門進行績效考核。在發生安全事件之后,需要在5個工作日之內對事件進行分析、統計并上報,調查過程中必須根據事故調查和統計的相關規定執行,及時分析問題發生的主要原因,并堅持“四不放”的基本原則,在調查之后編制事件的調查報告,調查與分析完成之后需要組織相關人員落實具體的整改改進措施,信息安全事件的每一項調查任務都必須嚴格根據電力企業的通報制度進行,務必保障每一個行為的合理性。
3評估與改進
借助開展提高管理與標準理念以及管理標準,明確每一項工作的5W1H,在目的、對象、地點、時間、人員、方法等方面實行管理系統,促使信息管理部門與各個部門之間的接口、職責劃分清晰,達到協調性的分工合作,并借助ITMIS系統實行流程化的固定管理,嚴格執行企業各項安全管理標準,構建信息化的安全管理建設工作,實現信息化的安全管理系統建設,在標準的PDCA階段循環周期借助管理目標、職責分工、管理方法、管理流程、文檔記錄、考核要求等多個方面的管理提高整體安全性,在信息安全管理的建設中確保基礎結構的搭建效果,借助行之有效的評估方式,對自動化管理系統安全檢測與風險評估管理等多個方面進行評估,并逐漸完善自動化技術安全管理的建設任務,保障安全管理系統的持續改進。
4結語
綜上所述,信息安全工作是系統性的工程,“防范”與“攻擊”、“脆弱”與“威脅”是相互成長不斷發展的。對此,在新時代之下,電力系統的自動化技術安全管理,務必從管理與技術兩個角度著手,確保網絡安全、系統安全、應用安全、物理安全、數據安全,從而實行多種管理措施,達到多層面、多角度的安全管理保障,提高電力系統自動化技術安全管理系統的整體建設效益,從而提高電網安全性。
參考文獻:
[1]魏勇軍,黎煉,張弛等.電力系統自動化運行狀態監控云平臺研究[J].現代電子技術,2017,40(15):153-158.
篇13
1信息安全體系概況
信息安全體系的構建在于其通過計算機技術在內部形成有效的防火墻和鞏固的內部系統來預防和阻止因非法入侵、攻擊、盜用而造成的信息遺失安全問題,信息安全管理主要包括系統安全管理、安全服務管理和安全機制管理。要確保信息安全體系的有效運行,就要確保安全有效的信息安全保護機制。
1.1信息安全保護機制
信息安全保護機制的形成是由內而外的逐級形成,其形成的基礎在于現階段全民對于信息資源安全問題的高度重視,從而形成了全體信息資源安全意識,建立起了鞏固的心理屏障;其次,國家通過相關法律法規對信息安全管理進行了規范和約束,嚴厲打擊非法入侵和盜用信息資源,為信息安全體系的構建提供了法律保障。
1.2安全服務
安全服務通過對服務過程中的數據和服務對象的鑒定來規范訪問權限,以確保未授權情況下的信息資源的完整性和保密性,在服務過程中對相關信息數據的接收和發生備檔,防止事后對方抵賴事件的發生。
1.3信息安全體系的框架
完整的信息安全體系的構建是由技術體系、組織機構體系、管理體系三者共同組建的。在技術體系層面通過技術機制來實現運行環境及系統安全技術、OSI安全技術,以確保系統的安全和實現OSI安全管理;技術管理在于制定安全策略和服務,通過加密對信息進行保密設定,此外以先進的技術對運行的體系進行審核,以保證現有狀態監測的安全和對入侵的有效監控。
2信息安全體系構建
2.1信息安全體系構建步驟
信息安全體系隸屬于風險管理范疇,其構建需要基于系統、全面、科學的安全風險評估基礎之上,是一個系統化、程序化、文件化的安全管理體系,并在具體構建過程中選擇科學合理的監控方式來保障信息的完整性、保密性和可用性,并嚴格按照國家相關法律法規進行系統構建和維護,切實保障信息安全。信息安全體系的構建需要全員的參與,要明確分工、正確部署,通過有效的部署來實現低成本控制下的高效信息保障體系構建,其具體構建步驟主要有以下幾點。
(1)通過前期培訓讓員工們了解信息安全系統的相關知識和其構建的必要性,強化員工們的信息安全意識,并通過動態的、系統化的、制度化的預控信息安全管理模式來嚴格規范內部組織信息安全行為,要求員工們以高素質和高服務的心態及理念切實維護客戶的私人信息安全,要與客戶達成保密協議。
(2)組織內部事先做到信息安全的強化,通過對關鍵重要的信息進行全面系統的保護,要求切實做到信息備案、信息保護、安全系統更新和維護、安全訪問、風險評估和防控,并在信息資源受到侵害的時候及時進行補救,確保將損失降到最低程度,保障業務的持續展開。
(3)要與客戶建立起信息保密協議,獲得客戶的信任,并通過不斷完善自身信息安全體系以獲得相關標準認證,以此證明自身有較強的信息安全保障能力,以提高自身的知名度來不斷獲得客戶的滿意與信任,以及社會的認可。
3信息安全體系構建的基本操作
信息安全體系的構建需要掌握信息安全風險的狀態及其分布變化的規律,并在現場調查和風險評估之后結合企業自身的特點,以構建起具有自適應能力的信息安全模型,保證信息安全風險能夠被控制在可接受的最小范圍內,并接近于零。其構建的具體操作如下:
3.1前期策劃與準備
前期的策劃與準備是對信息安全體系的構建打好基礎,主要包括對員工的教育培訓、初步制定體系構建的目標和整體計劃,并以建立相關內部安全管理機制和系統構建組織來切實推動項目的開展運行,在人力資源的管理和配置上要做到統籌規劃,確保構建的每個環節都有人員參與。
3.2確認適用范圍
根據自身實際情況來確定信息安全管理系統的適用范圍,注重關鍵安全領域的構建和管理保護,在管理上可以通過劃分管理區域來進行管理,并通過責任制將責任落實在每個管理者的身上,依據信息安全等級的不同來規范管理者的管理權限,以實現適當的不同級別的信息安全管理。
3.3風險評估
對構建的信息安全體系進行風險評估可以從內部和外部兩個方面來進行,以內部自身設定的安全管理制度和對信息資產等級重要程度的分化來逐級評估風險,在檢查審核系統能否有效保障信息安全的同時,要對可能出現的安全隱患進行評估和預測,并提出相關方案來對此進行預控和將損失降到最小。
3.4建立體系框架
科學合理的安全體系框架的構建要從全局的角度去考慮,通過對內部整體資源進行整合和劃分,對不同等級信息采取不同層次的框架建立,如根據業務性質、信息狀況、技術條件、組織特征等來進行信息框架構建,并依次對其進行風險評估,制定預控方案和盡可能地更新完善。
3.5文件編寫
文件編寫的主要內容為:前期策劃制定的總方針、風險評估報告、現場調查報告、適用范圍文檔、適用性申明等文件來作為信息安全管理體系構建的基礎工作,要求其符合相關標準的總體要求,儲存以便后期的改進和完善。
3.6 運行及更新維護
前期工作的完盡之后系統便可進入運行階段,運行階段是對前期工作的驗證和檢查,通過發行系統的漏洞來對系統進行改進,并在運行過程中不斷完善信息資源數據庫,使得安全系統的安全程度更高。后期的更新維護還需要技術人員自身素質和技能的不斷提高,這也需要從組織內部去加強培訓。
