第一篇:信息安全策略綱要
信息安全策略綱要
1范圍
信息系統是技術密集的大型復雜的網絡化人機系統,其面臨的安全問題非常突出。為了保障海南電網信息通信分公司(以下簡稱“公司”)信息系統的安全可靠運行,依據《信息系統安全等級保護基本要求》等相關標準法規制定本策略綱要。本綱要適用于公司信息系統。總體目標
總體目標:保護公司信息系統的硬件、軟件、業務信息和數據、通信網絡設備等資源的安全,有效防范各類安全事故,合法合規發展各類信息系統,確保為社會提供高效穩定的電力服務。規范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的引用文件,其隨后所有的修改單或修訂版均不適用于本標準(不包括勘誤、通知單),然而,鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標準
《信息安全技術 信息系統安全保障評估框架》(GB/T 20274.1-2006)《信息安全技術 信息系統安全管理要求》(GB/T 20269-2006)
《信息安全技術 信息系統安全等級保護基本要求》(GBT 22239-2008)本標準未涉及的管理內容,參照國家、電力行業、南方電網公司的有關標準和規定執行。總體方針
4.1組織與體制
構筑確保信息安全所必需的組織與體制,明確其責任與權限。
4.2 遵守法令法規
遵守與信息安全有關的法令法規,制定并遵守按基本方針所制定的信息安全相關的規定。
4.3信息資產的分類與管理
按照重要級別信息資產進行分類,并妥善管理。
4.4培訓與教育
為使相關人員全面了解信息安全的重要性,適當開展針對性培訓與教育教育活動。使他們充分認識信息安全的重要性以及掌握正確的管理方法。
4.5物理性保護
為避免非法入侵、干擾及破壞信息資產等事故的發生,對其保管場所與保管辦法加以明確。
4.6技術性保護
為切實保護信息資產不受來自外部的非法入侵,對信息系統的登錄方法、使用限制、網絡管理等采取適當的措施。
4.7運用
為確保基本方針的實際成效,在對遵守情況進行監督的同時,對違反基本方針時的處置辦法及針對來自外部的非法入侵等緊急事態采取的應對措施等加以規定。
4.8評價及復審
隨著社會環境的變化、技術的進步等,應定期對基本方針與運用方式進行評價與復審安全策略
5.1安全管理制度
在信息安全中,最活躍的因素是人,對人的管理包括法律、法規與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業文化的熏陶,這些功能的實現都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程。
安全管理制度重點關注管理制度、制定和發布、評審和修訂三方面。
目的是根據系統的安全等級,依照國家相關法律法規及政策標準,建立信息安全的各項管理規范和技術標準,規范基礎設施建設、系統和網絡平臺建設、應用系統開發、運行管理等重要環節,奠定信息安全的基礎。
5.2安全管理機構
建立組織管理體系是為了建立自上而下的信息安全工作管理體系,確定安全管理組織機構的職責,統籌規劃、專家決策,以推動信息安全工作的開展。
公司成立信息安全領導小組,是信息安全的最高決策機構,負責研究重大事件,落實方針政策,制定實施策略和原則,開展安全普及教育等。下設辦公室負責信息安全領導小組的日常事務。
信息安全領導小組下設兩個工作組:信息安全工作組、應急處理工作組。組長均由公司負責人擔任。
5.3人員安全管理
通過建立安全崗位責任制,最大限度降低人為失誤所造成的風險。人是決定性因素,人員安全管理的原則是:職責分離、有限授權、相互制約、任期審計。
人員安全管理的要素包括:安全管理人員配備、信息系統關鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。
信息安全人員的配備和變更情況,應向上一級單位報告、備案。
信息安全人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及公司業務核心技術的信息安全人員調離單位,必須進行離崗審計,并在規定的脫密期后,方可調離。
5.4系統建設管理
信息系統的安全管理貫穿系統的整個生命周期,系統建設管理主要關注的是生命周期中的前三個階段(初始、采購、實施)中各項安全管理活動。
系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮,具體包括系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇十一個控制點。
5.5系統運維管理
目的是保障信息系統日常運行的安全穩定,對運行環境、技術支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運行操作管理、運行維護管理、外包服務管理、有關安全機制保障、安全管理控制平臺等方面的管理要素。
對運行過程的任何變化,數據、軟件、物理設置等,都應實施技術監控和管理手段以確保其完整性,防止信息非法復制、篡改,任何查詢和變更操作需經過授權和合法性驗證。
應急管理也是運維的重要內容,目的是分析信息系統可能出現的緊急事件或災難,建立一整套應急措施,以保障核心業務的快速恢復和持續穩定運行。應急計劃包括應急處理和災難恢復策略、應急計劃、應急計劃的實施保障等管理要素。
在海南省電網公司統一的應急規劃下,針對信息系統面臨的各種應急場景編制相應的應急預案,并經過測試演練修訂,同時宣傳普及。
5.6物理安全
目的是保護計算機設備、設施(含網絡)以及信息系統免遭自然災害和其他形式的破壞,保證信息系統的實體安全。
有關物理環境的選址和設計應遵照相關標準,配備防火、防水、防雷擊、防靜電、防鼠害等機房措施,維持系統不間斷運行能力,確保信息系統運行的安全可靠。
對重要安全設備的選擇,需符合國家相關標準規范,相關證書齊全。
嚴格確定設備的合法使用人,建立詳細運行日志和維護記錄。
5.7網絡安全
目的是有效防范網絡體系的安全風險,為業務應用系統提供安全、可靠、穩定的網絡管理和技術平臺。
對于依賴網絡架構安全的業務應用系統,需根據其安全級別,實施相應的訪問控制、身份認證、審計等安全服務機制;在網絡邊界處,需根據資源的保護等級,實施相應安全級別的防火墻、認證、審計、動態檢測等技術,防范信息資源的非法訪問、篡改和破壞。
5.8主機安全
主機安全包括服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。終端/工作站是帶外設的臺式機與筆記本計算機,服務器則包括應用程序、網絡、web、文件與通信等服務器。主機承載著各種應用,是保護信息安全的中堅力量。
主機安全需著重關注和加強身份鑒別、訪問控制、惡意代碼防范、安全審計、入侵防范幾個方面,同時定期或不定期的進行安全評估(含滲透性測試)和加固,實時確保主機的健壯性。
5.9應用安全
應用安全成是信息系統整體防御的最后一道防線,目的是保障業務應用系統開發過程及最終產品的安全性。
在應用層面運行著信息系統的基于網絡的應用以及特定業務應用。基于網絡的應用是形成其他應用的基礎,是基本的應用;業務應用采納基本應用的功能以滿足特定業務的要求;故最終是保護系統的各種業務應用程序的安全運行。
應用系統的總體需求計劃階段,應全面評估系統的安全風險,確定系統的訪問控制、身份認證、審計跟蹤等安全需求;總體架構設計階段,應實施安全需求設計,確立安全服務機制、開發人員技術要求和操作規程;應用系統的實現階段,應全程實施質量控制,防止程序后門,減少代碼漏洞;在上線運行之前,應充分進行局部功能、整體功能、壓力測試,以及系統安全性能、操作流程、應急方案的測試。5.10數據安全及備份恢復
信息系統處理的各種數據(用戶數據、系統數據、業務數據等)在維持系統正常運行上起著至關重要的作用。由于信息系統的各個層面(網絡、主機、應用等)都對各類數據進行傳輸、存儲和處理等,因此,對數據的保護需要物理環境、網絡、數據庫和操作系統、應用程序等提供支持。
數據備份也是防止數據被破壞后無法恢復的重要手段,而硬件備份等更是保證系統可用的重要內容。附 則
? 本標準由海南電網公司信息通信分公司負責解釋。
? 本標準自頒布之日起實行。
第二篇:信息安全策略
信息安全策略
是一個有效的信息安全項目的基礎。從信息安全領域中發生的事件來看,信息安全策略的核心地位變得越來越明顯。例如,沒有安全策略,系統管理員將不能安全的安裝防火墻。策略規定了所允許的訪問控制、協議以及怎樣記錄與安全有關的事件。盡管信息安全策略是廉價的實施控制方式,但它們也是最難實施的。策略花費的僅僅是創建、批準、交流所用的時間和精力,以及員工把策略整合形成日常行為規范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略,與其它控制方法(特別是技術控制)相比,其花費也是較小的。策略的制定需要達成下述目標:減少風險,遵從法律和規則,確保組織運作的連續性、信息完整性和機密性。
信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰略伙伴以及員工提供了內部信息系統,對信息系統中信息特性的理解,能為策略制定提供有用的依據。應當重視對信息系統了解深刻的員工,所提出的組織當前信息的主要特性,具體包括:什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。
在制定一整套信息安全策略時,應當參考一份近期的風險評估或信息審計,以便清楚了解組織當前的信息安全需求。對曾出現的安全事件的總結,也是一份有價值的資料。也需要召開相關人員會議,比如首席信息官、物理安全主管、信息安全主管、內部審計主管和人力資源主管等。
為了確定哪些部分需要進一步注意,應收集組織當前所有相關的策略文件,例如計算機操作策略、應用系統開發策略、人力資源策略、物理安全策略。也可以參考國際標準、行業標準來獲得指導。
資料收集階段的工作非常重要,很多時候因為工作量和實施難度被簡化操作。資料收集不全,調研不夠充分會導致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標相一致。如果提出一套與組織文化明顯不一致的策略,更是一件很尷尬的事情。
在制定策略之前,對現狀進行徹底調研的另一個作用是要弄清楚內部信息系統體系結構。信息安全策略應當與已有的信息系統結構相一致,并對其完全支持。這一點不是針對信息安全體系結構,而是針對信息系統體系結構。信息安全策略一般在信息系統體系結構確立以后制定,以保障信息安全體系實施、運行。例如,互聯網訪問控制策略可使安全體系結構具體化,也有利于選擇和實施恰當的防火墻產品。
收集完上面所提到的材料后,也就是調研階段完成后,開始根據前期的調研資料制定信息安全策略文檔初稿。初稿完成后,應當尋找直接相關人員對其進行小范圍的評審。對反饋意見進行修改后,逐漸的擴大評審的范圍。當所有的支持部門做出修改后,交由信息安全管理委員會評審。
信息安全策略的制定過程有很高的政策性和個性,反復的評審過程能夠讓策略更加清晰、簡潔,更容易落地,為此在評審的過程中需要調動參與積極性,而不是抵觸。
評審過程的最后一步一般由總經理、總裁、首席執行官簽名。在人員合同中應當表明能予遵守并且這是繼續雇傭的條件。也應當發放到內部服務器、網頁以及一些宣傳版面上的顯眼位置,并附有高層管理者的簽名,以表明信息安全策略文檔
得到高層領導強有力的支持。如果讓首席執行官簽名不現實,由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名,一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施,但經驗表明,高層的支持對策略的實施落地是非常重要的。
一般來說,在信息安全策略文件評審過程中,會得到組織內部各方多次評審和修訂,其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成,參與者一般包括以下部門的成員:信息安全、內部審計、物理安全、信息系統、人力資源、法律、財政和會計部。這樣一個委員會本質上是監督信息安全部門的工作,負責篩選提煉已提交的策略,以便在整個組織內更好的實施落地。如果組織內還沒有信息安全管理委員會,在制定信息安全策略的時候正是建立管理委員會的好時機,或由組織內已存在的同職能部門擔任職責。
雖然制定了新的安全策略,還必須有一個適當的實施過程,如果這些策略不能得到實施,將起不到任何作用,不能得到執行的策略,可能比完全沒有策略更糟糕,因為這樣會教會員工作假和質疑組織內部執行力,這也可能麻痹管理者認為信息安全為題已經處理雖然現實是另外一回事。
管理層常以為員工行為當然以組織利益為重,這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀,但管理層可以運用策略給員工提供機會,引導他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。
新策略發布前,應在內部信息技術部門或審計部門內討論如果具體實施。新策略的執行可能會遇到多樣化的問題。可以通過績效評估和相應獎懲制度來保證策略的執行有效性。發現和懲罰違反策略的員工并不是目的。如果大量的人都不遵守,這就表明策略和相關的意識提升是無效的。在此情形下,需要尋找更有效的方式實施,或修改策略,以便更好的反映組織文化。
另有一些策略實施的建議:
在組織內部網站或一些媒體發布策略—新策略應發布在組織內部網站上,加入相關鏈接讓用戶能很快定位感興趣的材料。
制定自我評估調查表—在新的策略實施時,制定評估表,填寫實施情況,就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。
制定遵守信息安全策略的員工協議表——應當編輯一個反映員工該如何遵守信息安全策略的法律協議表,或直接體現在員工合同中。
建立考察機制檢查員工是否理解策略——調查員工是否理解安全策略文檔中的重點。通過考試確定是否要增加培訓和通告。
基礎信息安全培訓課程——培訓課程通過錄像或培訓軟件存檔。不同策略對象可能要不同的培訓課程。
分配策略落實負責人——按部門或實際情況分配負責人,落實責任。
第三篇:稅務系統信息安全策略
論文編號:6G21112101
稅務系統信息安全策略
劉宏斌 李懷永
內容題要:
隨著稅收信息化程度不斷提高,稅收工作對信息系統的依賴性不斷增大,稅務信息安全顯得更加重要。本文主要通過分析稅務信息化的網絡安全的重要性和內部網網絡信息存在的安全問題來提出稅務信息化的網絡安全實施方案。
關鍵詞:稅務信息化、信息安全、安全策略
計算機軟硬件技術的發展和互聯網技術的普及,為電子稅務的發展奠定了基礎。尤其是國家金稅工程的建設和應用,使稅務部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務可以最大限度地確保國家的稅收收入,但卻面臨著系統安全性的難題。雖然我國稅務信息化建設自開始金稅工程以來,取得了長足進步,極大提高了稅務工作效率和質量。但稅務系統本身也暴露出了一系列要改進的問題,各種應用軟件自成體系、重復開發、信息集中程度低。隨著信息化水平的不斷提高,基于信息網絡及計算機的犯罪事件也日益增加。稅務系統所面臨的信息網絡安全威脅不容忽視。建立稅務管理信息化網絡安全體系,要求人們必須提高對網絡安全重要性的認識,增強防范意識,加強網絡安全管理,采取先進有效的技術防范措施。本文主要通過分析稅務信息化的網絡安全威脅和內部網網絡信息管理的安全策略和技術來提出稅務信息化的網絡安全實施方案。
一、稅務機關信息安全的重要性
稅收是國家財政收入的重要途徑,相關的稅務系統業務要求其具有準確性、公證性和完整性的特點,隨著稅收信息化程度不斷提高,稅收工作對信息系統的依賴性不斷增大,稅務信息安全顯得更加重要。稅務信息系統已經覆蓋到全國鄉鎮,點多面廣,信息安全防范難度加大,稅務機關信息系統安全基礎條件不足、管理力量薄弱,成為稅務信息安全的重點和難點。因此保證稅務信息系統的安全性意義重大。稅務系統作為電子政務系統的一部分,屬國家基礎信息建設,其基本特點是:網絡地域廣、信息系統服務對象復雜;稅務信息具有數據集中、安全性要求高;應用系統的種類較多,網絡系統安全設備數量大,種類多,管理難度大。稅務系統是一個及其龐大復雜的系統,從業務上有國稅、地稅之分,從地域來說通過總局、省局、市局數據中心的三層數據分布和總局、省局、市局及縣/區級、分局/所五層網絡管理結構。網絡結點眾多、網絡設備和網絡出口不計其數、操作系統種類繁多、應用系統五花八門、網絡機構極其復雜。面對如此復雜的系統,其內部安全隱患隨處可見,經過不斷的研究和探索,目前已經積累了大量解決稅務系統信息基礎設施安全的方法和經驗,形成一整套稅務系統的安全保障方法,相關安全保障的體系也在不斷完善和發展中。
二、稅務系統內部網存在的安全問題
稅務信息化的網絡為計算機內部網,內部網是獨立于其他任何網絡的獨立網絡,這里所謂的獨立是指的物理上的獨立,因此保證保密內部網的網絡與信息安全也具有特有的要求。稅務內網安全的問題主要表現為:
1、物理地域廣。內網設備地理位置分散,內網用戶水平參差不齊,承載業務不同,安全需求各異,從而決定了內網安全建設的復雜性和多元性;
2、網絡邊界的擴大。遠程撥號用戶、移動辦公用戶、VPN 用戶、分支機構、合作伙伴、供應商、無線局域網等等已經大大地擴展了網絡的邊界,使得邊界保護更加困難;稅務分局、稅務所等分支機構的局域網與上級稅務骨干網的連接,無論采用ADSL、XDSL寬帶,還是采用DDN、SDH專線,基本沒有路由安全和防止入侵的技術措施。
3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規模泛濫、新的蠕蟲不斷出現,給內網用戶帶來損失,以及網絡出現病毒、蠕蟲攻擊等安全問題后,不能做到及時地阻斷、隔離;一般是以尋找后門、竊取密碼和重要文件為主,還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作,具有很強的隱蔽性、突發性和攻擊性。由于具有很強的隱蔽性,用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。部分內部網絡終端缺少有效的安全防護,業務資料和私人信息混存,不設開機口令,沒有讀寫控制,業務系統登錄口令簡單且長期不變,移動存儲設備不按規定使用,病毒和垃圾信息充斥。
4、身份欺騙。內網安全防范措施相對脆弱,不能有效抵御來自內外部的入侵和攻擊的問題,安全策略不能得到及時地分發和執行,最終導致安全策略形同虛設;主要方式有:IP欺騙、ARP欺騙、DNS 欺騙、Web欺騙、電子郵件欺騙、源路由欺騙(通過指定路由,以假冒身份與其他主機進行合法通信或發送假報文,使受攻擊主機出現錯誤動作)、地址欺騙(包括偽造源地址和偽造中間站點)等。
5、內網非法主機外聯。非法主機的接入、內部網非法通過 Modem、無線網卡非法外聯等的安全防范不足從而引入安全風險。有的終端在內部網和互聯網之間來回換用,一些只應在內部網上運行的操作系統、應用軟件和業務數據沒有與互聯網實行“隔離”,存在潛在風險。
6、缺乏上網行為管理監控。缺乏對內網用戶行為(收發郵件,Web 頁面訪問,文件上傳下載等等)進行監控的手段,導致組織機密信息和隱私泄漏。內部網上設備和信息共享范圍廣,信息發布和公開比較隨意,不少重要或敏感信息只有發布沒有管理,缺少防止惡意攻擊信息系統和竊取保密信息的技術手段和措施。內外網間的安全解決方案和選購的設備等,不少沒有經過權威部門的檢測和認定,系統運行中缺少嚴格的跟蹤監控,存在安全隱患。
7、其他安全威脅緩沖區溢出。緩沖區溢出是指當計算機程序向緩沖區內填充的數據位數超過了緩沖區本身的容量。溢出的數據覆蓋在合法數據上,一小部分數據或者一套指令的溢出就可能導致一個程序或者操作系統崩潰。
三、稅務信息化的網絡安全實施方案
1、做好信息安全風險評估
為確保稅務信息資產的安全,應定期組織業務、技術和管理等專業人員進行信息安全風險評估,制定科學的安全預算。
信息安全評估應著重于以下問題:
(1)確定可能對信息資產造成危害的威脅,包括計算機病毒、黑客和自然災害等。
(2)通過歷史資料和專家的經驗確定威脅實施的可能性。(3)對可能受到威脅影響的信息資產確定其價值、敏感性和嚴重性,以及相應的級別,確定所有信息資產的重要程度。
(4)對最重要的、最敏感的信息資產,確定一旦威脅發生其潛在的損失或破壞。
(5)準確了解網絡和系統的安全現狀。(6)明晰網絡和系統的安全需求。(7)確定網絡和系統的安全策略。(8)制定網絡和系統的安全解決方案。
(9)向上級提交安全保障體系建設的意見和建議。
(10)通過項目實施和培訓,培養自己的安全技術骨干及隊伍。
2、加強信息安全管理
信息安全“三分技術,七分管理”,安全管理是信息安全的核心,建立健全安全管理制度是安全管理的關鍵。規范化的安全管理,能夠最大限度地遏制或避免各種危害,是保障計算機信息安全的最重要環節。
(1)建立健全信息安全管理組織,明確領導體制和工作機制。(2)建立健全信息安全管理制度, 落實安全防范責任制。(3)廣泛開展計算機信息安全宣傳,提高全員信息安全意識,建立信息安全培訓機制,組織開展多層次、多方位的信息安全培訓,提高全員信息安全防范技能。
(4)開展經常性的安全檢查,切實整改安全隱患,不斷改進信息安全管理工作。
(5)科學評定信息系統及信息資產的重要級別,確定信息安全工作重點,制定近、中、遠期信息安全工作規劃。
3、完善信息安全技術手段
信息安全離不開安全技術的實施和安全技術防范體系的建立。基層單位要以協助和配合總局、省局統一的信息安全體系建設為主,自主建設為輔,且以內網和內部的防范為重點。
(1)病毒防范:建立嚴密的、全方位的、統一的網絡病毒防范系統,實行統一的殺毒組件分發、維護、更新和報警等,重點防控網絡終端、移動存儲設備的病毒入侵和傳染。
(2)身份鑒別與訪問控制:嚴格設定所有應用系統用戶的崗位和權限,改變傳統的用戶名加口令的辦法,使用基于密碼技術、生物統計技術等新型的、可靠的電子身份鑒別技術,把好進入系統的第一道關卡,防止非授權用戶進入各級信息系統。
(3)安全審計:對網絡的Web瀏覽、Web發布、郵件、即時通信、FTP和遠程登錄等行為進行全面審計,對重要數據庫的訪問對象、訪問時間、訪問類型和訪問內容進行嚴密跟蹤,及時掌握整個網絡動態,發現網絡入侵和違規行為,記錄網上一切行為,為安全事件的處置和查證提供全面依據和確鑿證據。
(4)入侵檢測:對內部網中主要的網段進行實時入侵監測,動態地監測網絡內部活動并做出及時的響應,及時發現網上攻擊行為并作出得當的處置。
(5)信息加密:對重要信息資料、數據進行加密存儲和傳輸,防止重要信息被篡改、偽造、竊取和泄漏。
稅務機關要立足實際,切實解決好人員、資金、技術問題,把信息安全管理工作放在應有位置,逐步實現信息安全的規范化、制度化管理,不斷建立和完善信息安全技術防范體系,為稅收征管信息化提供有力的安全保障。
結束語
解決信息系統的安全不是一個獨立的項目問題,安全策略包括各種安全方案、法律法規、規章制度、技術標準、管理規范等,是整個信息系統安全建設的依據。現有的安全保障體系一般基于深度防御技術框架,若能進一步利用現代信息處理技術中的人工智能技術、嵌入式技術、主動技術、實時技術等,將形成更加完善的信息安全管理體系。稅務信息安全直接關系到稅收信息化建設的成敗,必須引起稅務機關和每一位稅務人的重視。科學技術的發展不一定能對任何事物的本質和現象都產生影響,技術只有與先進的管理思想、管理體制相結合,才能產生巨大的效益。
參考文獻:
(1)戴宗坤,羅萬伯等.信息系統安全[M].電子工業出版社,2002.(2)黃章勇.信息安全概論.2005年第1版.出版社:北京郵電大學出版社, 2005:7-58(3)孫銳,王純.信息安全原理及應用.2003年7月第1版.清華大學出版社,2003:17-21(4)王聰生.信息與網絡安全中的若干問題.電力信息化[J],2004(7).(5)白巖, 甄真, 倫志軍, 周芮.計算機網絡信息管理及其安全.現代情報[J],2006,8(8).(6)王純斌.淺議計算機網絡信息安全管理.哈爾濱市委黨校學報[J],2006(9).(7)趙月霞.信息網絡安全設計與應用.寧夏電力[J],2004(1).(8)陳月波.網絡信息安全[M].武漢:武漢理工大學出版社,2005.(9)鐘樂海,王朝斌,李艷梅.網絡安全技術[M].北京:電子工業出版社,2003.(10)張千里.網絡安全基礎與應用[M].北京:人民郵電出版社,2007.(11)吳金龍,蔡燦輝,王晉隆.網絡安全[M].北京:高等教育出版社,2004.(12)熊心志.計算機網絡信息安全初探.計算機科學.2006, 33卷.B12 期:60-62(13)網絡信息安全及防范技術分析.中國科技信息.2006,16期:149-151
(作者單位:盤錦市大洼縣國稅局)
第四篇:企業網絡信息安全策略
企業網絡信息安全策略
隨著計算機技術和網絡的快速發展,網絡管理也越來越受到人們的重視,企業的發展更離不開網絡,但是網絡的質量又直接影響著企業的信息安全管理,因此,企業需要制定一種網絡和數據安全策略,提高網絡管理員的信息掌控能力,為了把企業網絡管理做到安全合理,翔羚科技給廣大企業做出以下幾點建議。
評估企業網絡完整性
評估網絡的完整性。“了解自己 IT 基礎架構的起點和終點,但仍有為數眾多的企業不清楚其網絡的整體性。還要了解自己的?正常狀態?是什么,這樣能夠便于你快速確定問題并作出響應。”重新評估您的可接受使用策略和商業行為準則。“拋棄那種冗長的安全政策清單的做法,只將焦點放在那些您知道自己必須實施且能夠實施的政策上。”
做好企業內部人員數據管理
確定必須保護哪些數據。“如果不知道必須保護企業內部的哪些信息,您就無法構建有效的 DLP 計劃。您還必須確定企業內部哪些人有權訪問這些信息,以及必須采用什么方式。”了解數據所在位置,目前采用什么方式進行保護(以及是否正進行保護)。“確定哪些第三方有權存儲您公司的數據(從云服務提供商到電郵營銷企業),確保您的信息正得到適當的保護。合規要求,以及當前網絡犯罪領域?牽一發而動全身?的發展趨勢都表明,企業絕對不能假設自己的數據是安全的,即便是這些我要走了,今天就早!你給我的工資太高了我受不起啊,我每天都遲到自己感到十分的內疚,不過每天都是我來最早的!合同我已經撕了,你的那份我也幫你偷偷的撕了。我不會怪你的老板,要怪就怪那個寶寶,她怎么就在貴州了呢?我決定了去貴州了解我的下半輩子了!還有你把工資打我卡上吧。信息掌握在可信任的人手里。”
合理采用監控
采用出口監控。“這是一項基本要求,但是很多企業都不夠重視,出口監控是一種監控重心的轉變,而不是僅側重于阻止?壞人?進來。您應該監控那些由內向外發送的內容,包括發送者是誰、發往何處,并攔截那些不允許外泄的內容。”準備迎接必然到來的 BYOD。“企業不要再去想何時轉變到 BYOD 模式,而是要開始思考如何轉變。”
做好企業應變決策
制定事件響應計劃。“IT 方面的風險應該像任何其他業務風險一樣對待。這意味著企業需要預先制定明確的計劃,以便對任何類型的安全事件迅速作出適當的反應,無論這些事件屬于有針對性攻擊所造成的數據泄露、員工疏忽導致的違規還是黑客行動主義事件。”實施安全措施幫助彌補對社交網絡控制的不足。“不要低估技術控制的強大力量,比如用于抵御網絡威脅的入侵防御系統。聲譽過濾系統也是一種用于檢測可疑活動和內容的基本工具。”監控風險形勢的動態變化,及時向用戶通報。“企業及其安全團隊需要對范圍更廣的風險來源保持警惕,包括移動設備、云和社交網絡,以及未來新技術可能伴隨的任何威脅。他們應該采用雙管齊下的方法:對安全漏洞泄露作出反應,同時主動教育員工如何保護自身和企業抵御持久、嚴重的網絡威脅。”
第五篇:G 第十六章 推薦的信息安全策略
第十六章 推薦的信息安全策略
由FBI主導的調查結果顯示,超過90%的大企業和政府機構遭受過計算機入侵者的攻擊,美聯社在2002年4月對其進行了報導。有趣的是,只有大約三分之一的公司報導或公開了這些攻擊,沉默意味著他們學到了很多東西,為了避免失去客戶的信任,為了防止更多入侵者的出現,大部分的商業公司不會公開報導計算機安全事件。
似乎沒有任何社會工程學攻擊的統計,就算有,數據也很不可靠,在大部分情況下一家公司永遠也不會知道社會工程師已經“偷走了”信息,因此許多攻擊都沒有記錄。
有效的策略能針對大多數的社會工程學攻擊類型進行防范,但是讓我們現實——除非企業里每一個人都認識到安全的重要性并把它作為他(或她)的職責(遵守公司的安全策略),否則社會工程學攻擊將永遠是企業面臨的嚴重威脅之一。
事實上,針對安全攻擊的技術手段一直在進步,通過社會工程學途徑獲取私有的公司信息或滲透企業網絡,這種攻擊將越來越頻繁并引起信息竊賊的關注。商業間諜通常會選擇使用最簡單同時也是最隱蔽的方法來達到他(或她)的目標。事實上,那些使用了最先進的安全技術保護計算機系統和網絡的公司,可能會面對更多來自于使用社會工程學策略和方法的攻擊。
本章介紹了防范社會工程學攻擊的詳細策略,這些策略除了針對基于技術漏洞的攻擊,還涉及到幾種引導信任的員工提供信息或執行操作的騙局,阻止攻擊者訪問敏感商業信息或企業計算機系統與網絡。
什么是安全策略?
安全策略是指導員工行為、保護信息安全的明確指南,是安全體系中防范潛在威脅的重要組成部分,這些策略在察覺并防范社會工程學攻擊時尤其有效。
有效的安全管理需要培訓員工精心設計的策略和程序,然而,即使每一個員工都嚴格地遵守了安全策略,也無法保證防御所有的社會工程學攻擊。相反,合理的目標總是能用可接受的標準減小威脅。
在這里介紹的這些策略包括了一些與社會工程學攻擊無關的防范措施,之所以放在這里,是因為它們涉及到了一些攻擊者常用的技術。例如,email附件攻擊——可以安裝特洛伊木馬軟件讓攻擊者控制受害者的電腦——就被定義為計算機入侵者頻繁使用的方法。
制定程序的步驟
一個全面的信息安全程序通常從威脅評估開始:
需要保護哪些企業信息資產?
有哪些針對這些資產的具體威脅?
如果這些潛在的威脅成為現實會對企業造成哪些損失?
威脅評估的主要目標是對需要立即保護的信息資產按優先次序排列,而不是對安全措施進行成本效益分析。首先想一想,哪些資產需要首先保護,保護這些資產需要花多少錢。高級管理人員的支出和對安全策略和信息安全程序的大力支持非常重要。正如其它的企業程序一樣,如果一個安全程序成功了,管理層可以對其進行推廣,前提是要有個人案例證明其有效性。員工們需要意識到信息安全和保護公司商業信息的重要性,每一個員工的工作都依賴于這一程序的成功。
設計信息安全策略藍圖的人需要以非技術員工也能輕松理解的通俗方式書寫安全策略,并解釋為什么這些是重要的,否則員工可能會認為一些策略是在浪費時間而對其忽略。策略書寫者應當創建一份介紹這些策略的文檔,并把它們分開來,因為這些策略可能會在執行的時候有小范圍的修改。
另外,策略的書寫者應當了解哪些安全技術能被用來進行信息安全培訓。例如,大部分的操作系統都能用指定的規則(比如長度)限制用戶密碼。在一些公司,可以通過操作系統的本地或全局策略阻止用戶下載程序。在允許的情況下,策略應當要求使用安全技術代替人為的判斷。
必須忠告員工不遵守安全策略與程序的后果,應當制定并宣傳違反策略的處罰。同樣,要對表現優異或者發現并報告了安全事件的員工進行獎勵。當一名員工受到獎勵時,應當在公司范圍內廣泛地宣傳,比如在公司時訊中寫一篇文章。
安全培訓程序的一個目標是傳達安全策略的重要性和不遵守這些規則的后果。拜人性所賜,員工們有時候會忽略或繞過那些看上去不合理或者太費時間的策略。管理層有責任讓員工們了解其重要性與制定這些策略的原因,而不是簡單地告訴他們繞過策略是不允許的。
值得注意的是,信息安全策略不是固定不變的,就像商業需要變化一樣,新的安全技術和新的安全漏洞使得策略在不斷的修改或補充。應當加入常規的評估與更新程序,可以通過企業內網或公共文件夾讓企業安全策略與程序不斷更新,這增加了對策略與程序頻繁審核的可能性,并且員工可以從中找到任何與信息安全有關的問題和答案。
最后,使用社會工程學方法與策略進行的周期性滲透測試與安全評估應當暴露出培訓或公司策略和程序的不足。對于之前使用的任何欺騙滲透測試策略,應當告知員工有時候可能會進行這種測試。
怎樣使用這些策略
本章中介紹的詳細策略是我認為對減輕所有安全威脅非常重要的信息安全策略子集,因此,這些策略并不是一個完整的列表,更確切的說,它們是創建合適的安全策略的基礎。
企業的策略書寫者可以基于他們公司的獨特環境和商業目的選擇適合的策略。每一家有不同安全需求(基于商業需要、法律規定、企業文化和信息系統)的企業都能在這些介紹找到所需的策略,而忽略其它的內容。
每一種策略都會提供不同的安全等級選擇。大部分員工都互相認識的小型公司不需要擔心攻擊者會通過電話冒充員工(當然攻擊者還可以偽裝成廠商)。同樣,一家企業文化輕松休閑的公司可能會希望只用這些策略中的一部分來達到它的安全目標,雖然這樣做會增加風險。
數據分類
數據分類策略是保護企業信息資產、管理敏感信息存取的基礎。這一策略能讓所有員工了解每一種信息的敏感等級,從而提供了保護企業信息的框架。
沒有數據分類策略的操作——幾乎所有公司的現狀——使得的大部分的控制權掌握在少數員工手里。可想而知,員工的決定在很大程度上依賴于主觀判斷,而不是信息的敏感性、關鍵程度和價值。如果員工不了解被請求信息的潛在價值,他們可能會把它交到一名攻擊者手里。
數據分類策略詳細說明了信息的貴重程度。有了數據分類,員工就可以通過一套數據處理程序保護公司安全,避免因疏忽而泄漏敏感信息,這些程序降低了員工將敏感信息交給未授權者的可能性。
每一個員工都必須接受企業數據分類策略培訓,包括那些并不經常使用計算機或企業通信系統的人。因為企業中的每一個人——包括清潔工、門衛、復印室職員、顧問和承包人,甚至是實習醫生——都有可能訪問敏感信息,任何人都能成為攻擊的目標。
管理層必須指定一個信息所有者負責公司目前正在使用的任何信息,信息所有者的職責之一就是保護信息資產。通常,所有者負責確定基于信息保護需要的分類等級,周期性地評估分類等級,并在必要的時候對其進行修改,信息所有者可能還會負責指定管理人員或其他人員來保護數據。
分類類別與定義
應當基于敏感程度將信息分成不同的分類等級。一旦建立了詳細的分類系統,重新分類信息將十分昂貴和費時。在我們的策略范例中,我選擇了4個適合幾乎所有大中型企業的分類等級。依靠敏感信息的編號和分類,商業公司可以選擇增加更多分類以適應將來的特殊類型。在小型商業公司,三個等級的分類方案可能就夠了。記住——分類方案越復雜,企業培訓員工和執行方案的費用就越高。
機密是最敏感的信息分類,機密信息只能在企業內部使用。在大多數情況下,機密信息只能讓少數有必要知道的人訪問。機密信息的泄漏會嚴重影響到公司(股東、商業伙伴和(或)客戶)。機密信息通常包括以下內容:
商業機密信息、私有源代碼、技術或規格說明書、能被競爭者利用的產品信息。并不公開的銷售和財政信息。
關系到公司運轉的其它任何信息,比如商業戰略前景。
私有是僅在企業內部使用的個人信息分類。如果未授權的人(尤其是社會工程師)獲得了私有信息,員工和公司都將受到嚴重影響。私有信息內容包括:員工病歷、健康補助、銀行帳戶、加薪歷史,和其它任何沒有公共存檔的個人識別信息。
注釋:
內部信息分類通常由安全人員設定,我使用了“內部”這個詞,因為這是分類使用的范圍。我列出的這些敏感分類并不是詳細的安全等級,而是查閱機密、私有和內部信息的快捷方式,用另一句話說,敏感程度涉及到了任何沒有指定為公共權限的公司信息。
內部信息分類能提供給任何受雇于企業的員工。通常,內部信息的泄漏不會對公司(股東、商業伙伴、客戶或員工)造成嚴重影響,但是,熟悉社會工程學技能的人能用這些信息偽裝成一個已授權的員工、承包人或者廠商,從沒有絲毫懷疑的員工那里獲得更多敏感信息突破企業計算機系統的訪問限制。
必須在傳遞內部信息給第三方(提供商、承包人、合作公司等等)之前與其簽署一份保密協議。內部信息通常包括任何在日常工作中使用的、不能讓外部人員知道的信息,比如企業機構圖、網絡撥號號碼、內部系統名、遠程訪問程序、核心代碼成本、等等。
公共信息被明確規定為公共可用。這種信息類型,比如新聞稿、客服聯系信息或者產品手冊,能自由地提供給任何人。需要注意的是,任何為指定為公共可用的信息都應當視為敏感信息。
數據分類術語
基于其分類,數據應當由不同的人負責。本章中的許多策略都提到過不允許身份未驗證的人訪問信息,在這些策略中,未驗證的人指的是員工并不親自認識的人和不能確定是否有訪問權限的員工,還有無法保證可信的第三方。
在這些策略中,可信的人是指你親自見過的、有訪問權限的公司員工、客戶或者顧問,也可以是與你的公司有合作關系的人(比如,客戶、廠商或者簽署了保密協議的戰略合作伙伴)。
在第三方的保證中,可信的人可以驗證一個人的職業或身份,和這個人請求信息或操作的權限。注意,在某些情況下,這些策略會要求你在響應信息或操作請求之前確認保證者仍然受雇于公司。
特權帳戶是指需要超越基本用戶帳戶權限的計算機(或其它)帳戶,比如系統管理員帳戶。有特權帳戶的員工通常能更改用戶權限或執行系統操作。
常規部門信箱是指回答一般問題的語音信箱,用來保護在特殊部門工作的員工的名字和分機號碼。
驗證與授權程序
信息竊賊通常會偽裝成合法的員工、承包人、廠商或商業伙伴,使用欺騙策略訪問機密商業信息。為了保護信息安全,員工在接受操作請求或提供敏感信息之前,必須確認呼叫者的身份并驗證他的權限。
本章中推薦的程序能幫助一名收到請求(通過任何通訊方式,比如電話、email或傳真)的員工判斷其是否合法。
可信者的請求
針對可信者的信息或操作請求:
確認其是否當前受雇于公司或者有權訪問這一信息分類,這能阻止離職員工、廠商、承包人、和其他不再與公司有關系的人冒充可信的職員。
驗證此人是否有權訪問信息或請求操作。
未核實者的請求
當遇到未核實者的請求時,必須使用一個合理的驗證程序確認請求者是否有權接收請求的信息,尤其是當請求涉及到任何計算機或計算機相關的設備時。這一程序成功防范社會工程學攻擊的關鍵:只要實施了這些驗證程序,社會工程學攻擊成功的可能性將大大減小。
需要注意的是,如果你把程序設置得過于復雜,將超過成本限制并被員工忽略。
下面列出了詳細的驗證程序步驟:
驗證請求者是他(或她)所聲稱的那個人。
確認請求者當前受雇于公司或者與公司有須知關系。
確認請求者已被授權接收指定信息或請求操作。
第一步:驗證身份
以下列出的推薦步驟按有效性從低到高排列,每一條中還加入了社會工程師行騙的詳細說明。
1、來電顯示(假設這一功能已經包括在了公司的電話系統之中)。用來電顯示確認電話是來自公司內部還是公司外部,顯示的名字和電話號碼是否符合呼叫者提供的身份。
弱點:外部來電顯示信息可以被任何能用PBX或者電話交換機連接到數字電話服務的人偽造。
2、回撥。在公司的目錄中查詢請求者的名字,并通過列出的分機號碼回撥確認請求者的身份。
弱點:當員工回撥電話時,準備充分的攻擊者可以將其呼叫轉移到一個外部的電話號碼。
3、擔保。由一個可信的人為請求者的身份擔保。
弱點:攻擊者可以偽裝成一個可信員工,讓另一個員工為他擔保。
4、接頭暗號。在企業范圍內使用接頭暗號,比如每日密碼。
弱點:如果有很多人知道這個接頭暗號,攻擊者也可以輕易地知道。
5、員工管理員/經理。打電話給員工的頂頭上司并請求驗證。
弱點:如果請求者提供了他(或她)的上司的電話號碼,員工聯系上的也許是攻擊者的同謀。
6、安全Email。請求數字簽名信息。
弱點:如果攻擊者入侵了員工的計算機并通過鍵盤記錄程序獲取了密碼,他便可以像普通員工一樣發送數字簽名email。
7、個人語音識別。通過聲音判斷請求者的身份。
弱點:這是相當安全的方法,攻擊者無法輕易突破,但是如果沒有見過請求者(或者和請求者說過話),這一方法就沒有任何用處。
8、動態密碼方案。請求者通過一個動態的密碼方案(比如安全ID)識別自身。
弱點:攻擊者可以獲取其中的動態密碼設備和相應的員工PIN碼,或者欺騙員工讀出PIN設備上顯示的信息。
9、佩戴ID。請求者佩戴員工證件或其它合適的照片ID。
弱點:攻擊者可以偷竊員工證件,或者直接偽造一張。然而,攻擊者通常會避免這樣做,以減小被發現的可能性。
第二步:驗證員工身份
最大的信息安全威脅并不是專業的社會工程師,也不是熟練的計算機入侵者,而是剛剛解雇想要報復或者偷竊公司商業信息的員工。(注意,這一步驟的另一個版本可用于和你的公司有另一種商業關系的人,比如廠商、顧問或契約工人)
在提供敏感信息給另一個人或者接受計算機或計算機相關的設備指示操作之前,使用下面這些方法驗證請求者是否仍是公司的員工:
查看員工目錄。如果公司有一份活動員工目錄,可以查看請求者是否仍在列表中。請求者的上司核對。用公司目錄上列出的電話號碼打電話給請求者的上司,而不是使用請求者提供的號碼。
請求者的部門或工作組驗證。打電話給請求者的部門或工作組,從該部門或工作組的任何人那里確認請求者仍是公司的員工。
第三步:驗證權限
除了驗證請求者是否為活動員工或者與公司有關聯之外,仍然有必要確認確認請求者已被授權訪問所請求的信息,或者已被授權指導指定的計算機或計算機相關的設備操作。
可以使用以下這些方法進行驗證:
職位/工作組/職責列表。企業可以使用一張列表說明指定的員工可以訪問哪些指定信息,并通過員工的職位、部門、工作組、職責或者綜合這些進行分類。這一列表需要不斷更新并提供授權信息的快捷訪問方式。通常,信息所有者應當負責創建并維護這一列表,監控信息的訪問。
注釋
值得注意的是,維護這種列表是在邀請社會工程師,試想一下,如果攻擊者將一家公司作為目標,就會知道這一列表的存在,并有足夠的興趣獲取一份,這一列表能為攻擊者打開方便之門,使公司陷入嚴重的危機之中。
獲得上司授權。員工聯系他(或她)自己的上司,或者請求者的上司,請求授權同意這一請求。
獲得信息所有者或指定人員的授權。信息所有者可以決定是否允許訪問,基于計算機的訪問控制程序可以讓員工聯系他(或她)的頂頭上司申請訪問基于工作任務的信息,如果這一任務不存在,管理人員有責任聯系相關的數據所有者請求許可。這一管理系統的實施應當保證信息所有者不會拒絕常用信息的請求。
獲得專業軟件程序授權。對于高競爭性產業的大公司,可以使用專業軟件程序進行授權。這種軟件的數據庫中存儲了員工的姓名和機密信息訪問權限,用戶無法查看每個人的訪問權限,但可以輸入請求者的名字,并找到相關的權限信息。這種軟件提供了響應標志,可以判斷員工是否已被授權訪問這一信息,并用獨立的權限信息消除了創建個人列表的危險性。
點擊咨詢 