導言：作為寫作愛好者，不可錯過為您精心挑選的10篇網(wǎng)絡安全總體規(guī)劃，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

隨著今年國家級信息安全政策又密集出臺——8月，《國務院關(guān)于促進信息消費擴大內(nèi)需的若干意見》，隨后，國家發(fā)改委在網(wǎng)站又公布了《國家發(fā)展改革委辦公廳關(guān)于組織實施2013年國家信息安全專項有關(guān)事項的》通知，明確行業(yè)重點，信息安全頂層設計再度成為熱議話題，

那么，久為業(yè)界討論的信息安全頂層設計究竟究竟該如何成型？為此，本刊采訪了部分業(yè)內(nèi)專家，以饗讀者。

——國防大學戰(zhàn)略教研部 許蔓舒

隨著對網(wǎng)絡依賴度越來越高，網(wǎng)絡空間安全問題超越了專業(yè)技術(shù)層面，構(gòu)成直接影響國家安全的綜合挑戰(zhàn)。因此，我國網(wǎng)絡安全防護也迫切需要走出技術(shù)維護和配合的低層次運行水平，上升到統(tǒng)一籌劃、綜合防護的戰(zhàn)略高度。

首先，應加快制定和頒布國家的網(wǎng)絡與信息安全戰(zhàn)略。趨勢表明，爭奪未來的焦點是戰(zhàn)略規(guī)劃之爭。誰能先知先覺、搶得先機，誰就有可能掌握戰(zhàn)略主動權(quán)。目前世界上已有40多個國家公開頒布國家級網(wǎng)絡空間安全戰(zhàn)略，并且隨著形勢的變化不斷出臺和調(diào)整相關(guān)政策。應加快制定相關(guān)的國家安全戰(zhàn)略及其配套政策。

同時，把戰(zhàn)略管理的著力點放在“跨域融合”上。立足于國家安全和現(xiàn)代化建設的全局，平衡好利益沖突，融合好利益訴求，研究解決好信息化發(fā)展和管理中那些跨部門、跨領域、超越局部利益和短期利益的瓶頸問題。

其次，在提高自身信息系統(tǒng)防御水平方面，多采取四條措施：成立國家級的協(xié)調(diào)管理機構(gòu)；加大投入；加強立法，授權(quán)和擴大執(zhí)法部門的監(jiān)管；不斷更新技術(shù)手段。

篇2

(2)系統(tǒng)安全威脅嚴重。系統(tǒng)安全四項指標中，采用了訪問控制及備份與恢復措施的醫(yī)院分別達到138家與147家，但實地調(diào)查顯示非授權(quán)訪問的情況還大量存在。進行系統(tǒng)日志審計的醫(yī)院不足50家，說明我國醫(yī)院系統(tǒng)日志還基本流于形式，缺乏深度安全審計，從而很難及時發(fā)現(xiàn)其中的安全隱患。進行系統(tǒng)開發(fā)與維護的醫(yī)院也僅54家，原因主要在于目前許多醫(yī)院由于受人員、設備、資金影響，或本身重視不夠，導致其信息系統(tǒng)缺乏運營維護或維護不及時，因此其安全性和可靠性多數(shù)處于較差狀態(tài)。

(3)網(wǎng)絡通信安全較為脆弱。網(wǎng)絡通信安全五項指標中，網(wǎng)絡攻擊防護與業(yè)務文檔記錄方面，醫(yī)院相對比較重視，比例分別達到94%與84%，但實地調(diào)查發(fā)現(xiàn)其網(wǎng)絡攻擊防護還處于低水平狀態(tài)。實行網(wǎng)絡隔離與訪問控制的醫(yī)院僅占30%，大多數(shù)醫(yī)院網(wǎng)絡訪問隨意性大，醫(yī)院網(wǎng)絡可隨意互訪，信息流通和共享暢通無阻，這給醫(yī)院信息安全帶來極大的安全隱患。實行入侵檢測的醫(yī)院不到30%，說明中國數(shù)字化醫(yī)院還處于被動防御階段，遠未達到主動防御水平，同時信息系統(tǒng)的縱深防護水平不高，由此導致數(shù)字化醫(yī)院以計算機病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生。實行密鑰管理的醫(yī)院則僅13%，說明醫(yī)院網(wǎng)絡密鑰其實幾乎還處于無人監(jiān)管狀態(tài)。

(4)人員安全隱患重重。人員安全四項指標調(diào)查結(jié)果都不容樂觀，尤其是進行第三方合作合同的控制和管理的醫(yī)院僅占10%，說明中國數(shù)字化醫(yī)院在人員安全管理方面還遠未重視，由此導致醫(yī)院內(nèi)部存在大量網(wǎng)絡操作違規(guī)現(xiàn)象。如，網(wǎng)絡操作人員隨意將自己的登錄賬號轉(zhuǎn)借他人，隨意將一些存儲介質(zhì)接入信息系統(tǒng)，未經(jīng)授權(quán)同時訪問外網(wǎng)與內(nèi)網(wǎng)，一些人員為了謀取個人私利，非法訪問內(nèi)部網(wǎng)絡，竊取、偽造、篡改醫(yī)療數(shù)據(jù)等，這使得中國數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生。

(5)組織管理安全有待加強。組織管理安全四項指標中，160家醫(yī)院都設置了安全管理組織機構(gòu)，說明所有醫(yī)院都很重視信息安全管理工作，但安全管理制度完整的醫(yī)院僅114家，且多數(shù)在應急管理制度制定方面較為欠缺，而安全管理制度實施情況調(diào)查顯示，只有40%的醫(yī)院安全管理制度得到實施，這意味著60%的醫(yī)院的安全管理制度形同虛設。在人力財力保障方面給予充分保障的醫(yī)院不到50%，由于缺乏人力財力的保障，目前許多醫(yī)院信息安全系統(tǒng)建設難以為繼。綜上所述，中國數(shù)字化醫(yī)院還存在著極大的信息安全隱患。因此，數(shù)字化醫(yī)院信息安全建設已迫在眉睫。

2動態(tài)網(wǎng)絡安全模型的比較分析

面對復雜多樣的信息安全風險以及日益嚴峻的信息安全局勢，動態(tài)網(wǎng)絡安全模型為中國數(shù)字化醫(yī)院信息安全建設提供了理論基礎。典型的動態(tài)網(wǎng)絡安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等，這些安全模型各有特點，各有側(cè)重，已廣泛應用于多個領域的信息安全建設實踐。環(huán)節(jié)。它強調(diào)在安全策略的指導下，綜合采用防火墻、VPN等安全技術(shù)進行防護的同時，利用入侵檢測系統(tǒng)等檢測工具，發(fā)現(xiàn)系統(tǒng)的異常情況，以及可能的攻擊行為，并通過關(guān)閉端口、中斷連接、中斷服務等響應措施將系統(tǒng)調(diào)整到一個比較安全的狀態(tài)。其中，安全策略是核心，防護、檢測和響應環(huán)節(jié)組成了一個完整、動態(tài)的安全循環(huán)，它們共同保證網(wǎng)絡系統(tǒng)的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎上增加恢復(Recovery)環(huán)節(jié)發(fā)展而來，由防護(Protection)、檢測(Detection)、響應(Re-sponse)和恢復(Recovery)四個環(huán)節(jié)組成(見圖2)。其核心思想是在安全策略的指導下，通過采取各種措施對需要保護的對象進行安全防護，并隨時進行安全跟蹤和檢測以了解其安全狀態(tài)，一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患，則馬上采取響應措施，直至恢復安全保護對象的安全狀態(tài)。與PPDR模型相比，PDRR模型更強調(diào)一種故障的自動恢復能力，即系統(tǒng)在被入侵后，能迅速采取相應措施將系統(tǒng)恢復到正常狀態(tài)，從而保障系統(tǒng)的信息安全。因此，PDRR模型中的安全概念已經(jīng)從信息安全擴展到了信息保障，信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密，是防護、檢測、響應、恢復的有機結(jié)合。

3基于動態(tài)網(wǎng)絡安全模型的中國數(shù)字化醫(yī)院信息安全體系構(gòu)建

結(jié)合動態(tài)網(wǎng)絡安全模型，并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T22239—2008)、《信息安全技術(shù)信息系統(tǒng)等級保護安全設計技術(shù)要求》(GB/T25070—2010)等標準規(guī)范，本文試構(gòu)建一個以信息安全組織機構(gòu)為核心，以信息安全策略、信息安全管理、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架。即，在進行數(shù)字化醫(yī)院信息安全建設時，我們應成立一個信息安全組織機構(gòu)，并以此為中心，通過制定信息安全總體策略、加強信息安全管理，利用各項信息安全技術(shù)，并將其貫徹在預警、保護、檢測、響應、恢復和反擊6個環(huán)節(jié)中，針對不同的安全威脅，采用不同的安全措施，從而對系統(tǒng)物理設備、系統(tǒng)軟件、數(shù)據(jù)信息等受保護對象進行全方位多層次保護。

(1)信息安全組織機構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素，在信息安全體系中處于核心地位。它由決策機構(gòu)、管理機構(gòu)與執(zhí)行機構(gòu)三部分組成。其中，決策機構(gòu)是醫(yī)院信息安全工作的最高領導機構(gòu)，負責對醫(yī)院信息安全工作進行總體規(guī)劃與宏觀領導，其成員由醫(yī)院主要領導及其他相關(guān)職能部門主要負責人組成。管理機構(gòu)在決策機構(gòu)的領導下，負責信息安全體系建設規(guī)劃的制定，以及信息安全的日常管理工作，其成員主要來自于信息化工作部門，也包括行政、人事等部門相關(guān)人員參與。執(zhí)行機構(gòu)在管理機構(gòu)的領導下，負責保證信息安全技術(shù)的有效運行及日常維護，其成員主要由信息化工作部門相關(guān)技術(shù)人員及其他相關(guān)職能部門的信息安全員組成。信息安全組織機構(gòu)應對醫(yī)院信息安全工作進行科學規(guī)劃，經(jīng)常進行不定期的信息安全檢查、評估和應急安全演練。其中對那些嚴重危及醫(yī)院信息安全的行為應進行重點管理和監(jiān)督，明確信息安全責任制，從而保證信息安全各項工作的有效貫徹與落實。

(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的基礎。其具體制定應依據(jù)國家信息安全戰(zhàn)略的方針政策、法律法規(guī)，遵循指導性、原則性、可行性、動態(tài)性等原則，按照醫(yī)療行業(yè)標準規(guī)范要求，并結(jié)合醫(yī)院自身的具體情況來進行，由總體方針與分項策略兩個層次組成，內(nèi)容涵蓋技術(shù)層、管理層等各個層面的安全策略，最終實現(xiàn)“進不來、拿不走、看不懂、改不了、逃不掉”的安全防御目的，即在訪問控制機制方面做到“進不來”、授權(quán)機制方面做到“拿不走”、加密機制方面做到“看不懂”、數(shù)據(jù)完整性機制方面做到“改不了”、審計/監(jiān)控/簽名機制方面做到“逃不掉”。

(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的保障。它包括人員管理、技術(shù)管理和操作管理等方面。當前中國數(shù)字化醫(yī)院在信息安全管理中普遍存在的問題:在安全管理中對人的因素重視不夠、缺乏懂得管理的信息安全技術(shù)人員、信息安全意識不強、員工接受的教育和培訓不夠、安全管理中被動應付的較多等。因此，數(shù)字化醫(yī)院一方面應加強全員信息安全意識，加大信息安全人員的引進、教育與培訓力度，提高信息安全管理水平;另一方面應制定具體的信息安全管理制度，以規(guī)范與約束相關(guān)人員行為，保證信息安全總體策略的貫徹與信息安全技術(shù)的實施。

(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的關(guān)鍵。數(shù)字化醫(yī)院信息安全建設涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災、數(shù)據(jù)加密、安全加固和緊急響應等技術(shù)手段，它們貫穿于信息安全預警、保護、檢測、響應、恢復與反擊六個環(huán)節(jié)。數(shù)字化醫(yī)院應切實加強這六個環(huán)節(jié)的技術(shù)力量，確保其信息安全得以實現(xiàn)，具體體現(xiàn)在:①預警。醫(yī)院應通過部署系統(tǒng)監(jiān)控平臺，實現(xiàn)對路由器、交換機、服務器、存儲、加密機等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件以及各種應用軟件的監(jiān)控和預警，實現(xiàn)設備和應用監(jiān)控預警;或采用入侵防御系統(tǒng)，分析各種安全報警、日志信息，結(jié)合使用網(wǎng)絡運維管理系統(tǒng)，實現(xiàn)對各種安全威脅與安全事件的預警;并將這些不同層面的預警，統(tǒng)一到一套集中的監(jiān)控預警平臺或運維管理平臺，實現(xiàn)統(tǒng)一展現(xiàn)和集中預警。②保護。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡通信安全等方面的安全保護。對于中心機房、交換機、工作站、服務器等物理設備的安全防護，主要注意防水、防雷、防靜電以及雙機熱備等安全防護工作。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)等的安全防護。操作系統(tǒng)的主要風險在于系統(tǒng)漏洞和文件病毒等。為此，醫(yī)院需運用防火墻技術(shù)控制和管理用戶訪問權(quán)限，并定期做好監(jiān)視、審計和事件日志記錄和分析。所有工作站應取消光驅(qū)軟驅(qū)，屏蔽USB接口，同時為各個客戶端安裝殺毒軟件，并及時更新，從源頭上預防系統(tǒng)感染病毒。數(shù)據(jù)庫安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等。為此，需對數(shù)據(jù)庫進行權(quán)限設置。對于關(guān)鍵數(shù)據(jù)，應進行加密存儲。對于重要數(shù)據(jù)庫應做好多種形式的備份工作，如本地備份與異地備份、全量備份與增量備份等，以保證數(shù)據(jù)萬無一失。對于網(wǎng)絡通信安全防護，醫(yī)院網(wǎng)絡應采用物理隔離的雙網(wǎng)架構(gòu)，如果內(nèi)網(wǎng)確需開展對外的WWW等服務，應單獨設置VLAN，結(jié)合防火墻設備，通過設置DMZ的方式實現(xiàn)與外界的安全相連。同時，醫(yī)院應合理的設置網(wǎng)絡使用權(quán)限，嚴格進行用戶網(wǎng)絡密碼管理，防止越權(quán)操作。③檢測。檢測是從監(jiān)視、分析、審計信息網(wǎng)絡活動的角度，發(fā)現(xiàn)對于信息網(wǎng)絡的攻擊、破壞活動，提供預警、實時響應、事后分析和系統(tǒng)恢復等方面的支持，使安全防護從單純的被動防護演進到積極的主動防御。前述防護系統(tǒng)能阻止大部分入侵事件的發(fā)生，但是它不能阻止所有的入侵。因此安全策略的另一個重要屏障就是檢測。常用工具是入侵檢測系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測系統(tǒng)(IDS)對醫(yī)院系統(tǒng)信息安全狀況進行實時監(jiān)控，并定期查看入侵檢測系統(tǒng)生成的報警日志，可及時發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊。而通過漏洞掃描工具，可及時檢測信息系統(tǒng)中關(guān)鍵設備是否存在各種安全漏洞，并針對漏洞掃描結(jié)果，對重要信息系統(tǒng)及時進行安全加固。④響應。主要包括審計跟蹤、事件報警、事件處理等。醫(yī)院應在信息系統(tǒng)中部署安全監(jiān)控與審計設備以及帶有自動響應機制的安全技術(shù)或設備，當系統(tǒng)受到安全攻擊時能及時發(fā)出安全事故告警，并自動終止信息系統(tǒng)中發(fā)生的安全事件。為了確保醫(yī)院正常的醫(yī)療服務和就醫(yī)秩序，提高醫(yī)院應對突發(fā)事件的能力，醫(yī)院還應成立信息安全應急響應小組，專門負責突發(fā)事件的處理，當醫(yī)院信息系統(tǒng)出現(xiàn)故障時，能迅速做出響應，從而將各種損失和社會影響降到最低。其他事件處理則可通過咨詢、培訓和技術(shù)支持等得到妥善解決。⑤恢復。主要包括系統(tǒng)恢復和信息恢復兩個方面。系統(tǒng)恢復可通過系統(tǒng)重裝、系統(tǒng)升級、軟件升級和打補丁等方式得以實現(xiàn)。信息恢復主要針對丟失數(shù)據(jù)的恢復。數(shù)據(jù)丟失可能來自于硬件故障、應用程序或數(shù)據(jù)庫損壞、黑客攻擊、病毒感染、自然災害或人為錯誤。信息恢復跟數(shù)據(jù)備份工作密切相關(guān)，數(shù)據(jù)備份做得是否充分影響到信息恢復的程度。在信息恢復過程中要注意信息恢復的優(yōu)先級別。直接影響日常生活和工作的信息必須先恢復，這樣可提高信息恢復的效率。另外，恢復工作中如果涉及機密數(shù)據(jù)，需遵照機密系統(tǒng)的恢復要求。⑥反擊。醫(yī)院可采用入侵防御技術(shù)、黑客追蹤技術(shù)、日志自動備份技術(shù)、安全審計技術(shù)、計算機在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡運維管理系統(tǒng)等手段，進行證據(jù)收集、追本溯源，實現(xiàn)醫(yī)院網(wǎng)絡安全系統(tǒng)遭遇不法侵害時對各種安全威脅源的反擊。

篇3

一、2015年工控安全漏洞與安全事件依然突出

 

通過對國家信息安全漏洞庫(CNNVD)的數(shù)據(jù)進行分析，2015年工控安全漏洞呈現(xiàn)以下幾個特點：

 

1.工控安全漏洞披露數(shù)量居高不下，總體呈遞增趨勢。受2010年“震網(wǎng)病毒”事件影響，工控信息安全迅速成為安全領域的焦點。國內(nèi)外掀起針對工控安全漏洞的研究熱潮，因此自2010年以后工控漏洞披露數(shù)量激增，占全部數(shù)量的96%以上。隨著國內(nèi)外對工控安全的研究逐漸深入，以及工控漏洞的公開披露開始逐漸制度化、規(guī)范化，近幾年漏洞披露數(shù)量趨于穩(wěn)定。

 

2.工控核心硬件漏洞數(shù)量增長明顯。盡管在當前已披露的工控系統(tǒng)漏洞中軟件漏洞數(shù)量仍高居首位，但近幾年工控硬件漏洞數(shù)量增長明顯，所占比例有顯著提高。例如，2010年工控硬件漏洞占比不足10%，但是2015年其占比高達37.5%。其中，工控硬件包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)、智能儀表設備(IED)及離散控制系統(tǒng)(DCS)等。

 

3.漏洞已覆蓋工控系統(tǒng)主要組件，主流工控廠商無一幸免。無論是國外工控廠商(如西門子、施耐德、羅克韋爾等)還是國內(nèi)工控廠商(研華)，其產(chǎn)品普遍存在安全漏洞，且許多漏洞很難修補。在2015年新披露的工控漏洞中，西門子、施耐德、羅克韋爾、霍尼韋爾產(chǎn)品的漏洞數(shù)量分列前四位。

 

二、工控信息安全標準需求強烈，標準制定工作正全面推進

 

盡管工控信息安全問題已得到世界各國普遍重視，但在工業(yè)生產(chǎn)環(huán)境中如何落實信息安全管理和技術(shù)卻沒有切實可行的方法，工控信息安全防護面臨著“無章可循”，工控信息安全標準已迫在眉睫。當前，無論是國外還是國內(nèi)，工控信息安全標準的需求非常強烈，標準制定工作也如火如荼在開展，但工控系統(tǒng)的特殊性導致目前工控安全技術(shù)和管理仍處探索階段，目前絕大多數(shù)標準正處于草案或征求意見階段，而且在設計思路上存在較為明顯的差異，這充分反映了目前不同人員對工控信息安全標準認識的不同，因此工控信息安全標準的制定與落地任重道遠。

 

1.國外工控信息安全標準建設概況

 

IEC 62443(工業(yè)自動化控制系統(tǒng)信息安全)標準是當前國際最主要的工控信息安全標準，起始于2005年，但至今標準制定工作仍未結(jié)束，特別是在涉及到系統(tǒng)及產(chǎn)品的具體技術(shù)要求方面尚有一段時日。

 

此外，美國在工控信息安全標準方面也在不斷推進。其國家標準技術(shù)研究院NIST早在2010年了《工業(yè)控制系統(tǒng)安全指南》(NIST SP800-82)，并2014年了修訂版2，對其控制和控制基線進行了調(diào)整，增加了專門針對工控系統(tǒng)的補充指南。在奧巴馬政府美國總統(tǒng)第13636號行政令《提高關(guān)鍵基礎設計網(wǎng)絡安全》后，NIST也隨即了《關(guān)鍵基礎設施網(wǎng)絡安全框架》，提出“識別保護檢測響應恢復”的總體框架。

 

2.國內(nèi)工控信息安全標準建設概況

 

在國內(nèi)，兩個標準化技術(shù)委員會都在制定工控信息安全標準工作，分別是：全國信息安全標準化技術(shù)委員會(SAC/TC260)，以及全國工業(yè)過程測量與控制標準化技術(shù)委員會(SAC/TC 124)。

 

其中，由TC260委員會組織制定的《工業(yè)控制系統(tǒng)現(xiàn)場測控設備安全功能要求》和《工業(yè)控制系統(tǒng)安全控制應用指南》處于報批稿階段，《工業(yè)控制系統(tǒng)安全管理基本要求》、《工業(yè)控制系統(tǒng)安全檢查指南》、《工業(yè)控制系統(tǒng)風險影響等級劃分規(guī)范》、《工業(yè)控制系統(tǒng)安全防護技術(shù)要求和測試評價方法》和《安全可控信息系統(tǒng)(電力系統(tǒng))安全指標體系》正在制定過程中，并且在2015年新啟動了《工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準則》、《工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡監(jiān)測安全技術(shù)要求和測試評價方法》、《工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術(shù)要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品安全技術(shù)要求》、《工業(yè)控制系統(tǒng)風險評估實施指南》等標準研制工作。

 

TC124委員會組織制定的工控信息安全標準工作也在如火如荼進行。2014年12月，TC124委員會了《工業(yè)控制系統(tǒng)信息安全》(GB/T 30976-2014)，包括兩個部分內(nèi)容：評估規(guī)范和驗收規(guī)范。另外，TC124委員會等同采用了IEC 62443中的部分標準，包括《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全術(shù)語、概念和模型》(JB/T 11961-2014，等同采用IEC/TS 62443-1-1：2009)、《工業(yè)過程測量和控制安全網(wǎng)絡和系統(tǒng)安全》(JB/T 11960-2014，等同采用IEC PAS 62443-3：2008)、《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)工業(yè)自動化和控制系統(tǒng)信息安全技術(shù)》(JB/T 11962-2014，等同采用IEC/TR 62443-3-1：2009)，此外對IEC62443-2-1：2010標準轉(zhuǎn)標工作已經(jīng)進入報批稿階段，并正在計劃對IEC 62443-3-3：2013進行轉(zhuǎn)標工作。除此之外，TC124委員會組織制定的集散控制系統(tǒng)(DCS)安全系列標準和可編程控制器(PLC)安全要求標準也已經(jīng)進入征求意見稿后期階段。

 

由于不同行業(yè)的工業(yè)控制系統(tǒng)差異很大，因此我國部分行業(yè)已經(jīng)制定或正在研究制定適合自身行業(yè)特點的工控信息安全標準。2014年，國家發(fā)改委了第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，取代原先的《電力二次系統(tǒng)安全防護規(guī)定》(電監(jiān)會[2005]5號)，以此作為電力監(jiān)控系統(tǒng)信息安全防護的指導依據(jù)，同時原有配套的防護方案也進行了相應的更新。在城市軌道交通領域，上海申通地鐵集團有限公司2013年了《上海軌道交通信息安全技術(shù)架構(gòu)》(滬地鐵信[2013]222號文)，并在2015年以222號文為指導文件了企業(yè)標準《軌道交通信息安全技術(shù)建設指導意見》(2015，試行)。同時，北京市軌道交通設計研究院有限公司于2015年牽頭擬制國家標準草案《城市軌道交通工業(yè)控制系統(tǒng)信息安全要求》。在石油化工領域，2015年由石化盈科牽頭擬制《中石化工業(yè)控制系統(tǒng)信息安全要求》等。

 

三、工控安全防護技術(shù)正迅速發(fā)展并在局部開始試點，但離大規(guī)模部署和應用有一定差距

 

當前許多信息安全廠商和工控自動化廠商紛紛研究工業(yè)控制系統(tǒng)的信息安全防護技術(shù)并開發(fā)相應產(chǎn)品，近幾年出現(xiàn)了一系列諸如工控防火墻、工控異常監(jiān)測系統(tǒng)、主機防護軟件等產(chǎn)品并在部分企業(yè)進行試點應用。比較有代表性的工控安全防護產(chǎn)品及特點如下：

 

1.工控防火墻 防火墻是目前網(wǎng)絡邊界上最常用的一種安全防護設備，主要功能包括訪問控制、地址轉(zhuǎn)換、應用、帶寬和流量控制等。相對于傳統(tǒng)的IT防火墻，工控防火墻不但需要對TCP/IP協(xié)議進行安全過濾，更需要對工控應用層協(xié)議進行深度解析和安全過濾，如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應用層協(xié)議的深度檢測，包括控制指令識別、操作地址和操作參數(shù)提取等，才能真正阻止那些不安全的控制指令及數(shù)據(jù)。

 

2.工控安全監(jiān)測系統(tǒng)我國現(xiàn)有工業(yè)控制系統(tǒng)網(wǎng)絡普遍呈現(xiàn)出“無縱深”、“無監(jiān)測”、“無防護”特點，工控安全監(jiān)測系統(tǒng)正是針對上述問題而快速發(fā)展起來的技術(shù)。它通過數(shù)據(jù)鏡像方式采集大量工控網(wǎng)絡數(shù)據(jù)并進行分析，最終發(fā)現(xiàn)各種網(wǎng)絡異常行為、黑客攻擊線索等。利用該系統(tǒng)，相關(guān)人員能夠了解工控網(wǎng)絡實時通信狀況，及時發(fā)現(xiàn)潛在的攻擊前兆、病毒傳播痕跡以及各類網(wǎng)絡異常情況，同時，由于該系統(tǒng)是以“旁路”方式接入工控網(wǎng)絡中，不會對生產(chǎn)運行造成不良影響，因此更容易在工控系統(tǒng)這種特殊環(huán)境下進行部署和推廣。

 

3.主機防護產(chǎn)品在工業(yè)生產(chǎn)過程中，人員能夠通過工程師站或操作員站對PLC、DCS控制器等設備進行控制，從而實現(xiàn)閥門關(guān)閉、執(zhí)行過程改變等操作。這些工程師站、操作員站等主機系統(tǒng)就變得十分重要，一旦出現(xiàn)問題，比如感染計算機病毒等，就會對正常生產(chǎn)造成較大影響。近年來發(fā)生的由于工程師站或操作員站感染計算機病毒最終導致控制通信中斷從而影響生產(chǎn)的報道屢見不鮮。加強這些重要主機系統(tǒng)的安全防護，尤其是病毒防護至關(guān)重要。但是，傳統(tǒng)的基于殺毒軟件的防護機制在工控系統(tǒng)中面臨著很多挑戰(zhàn)，其中最嚴重的就是在工控網(wǎng)絡這樣一個封閉的網(wǎng)絡環(huán)境中，殺毒軟件無法在線升級。另外，殺毒軟件對未知病毒、變異病毒也無能為力。在此情況下，基于白名單的防護技術(shù)開始出現(xiàn)。由于工控系統(tǒng)在建設完成投入運行后，其系統(tǒng)將基本保持穩(wěn)定不變，應用單一、規(guī)律性強，因而很容易獲得系統(tǒng)合法的“白名單”。通過這種方式就能夠發(fā)現(xiàn)由于感染病毒或者攻擊而產(chǎn)生的各種異常狀況。

 

4.移動介質(zhì)管控技術(shù)在工控網(wǎng)絡中，由于工控系統(tǒng)故障進行維修，或者由于工藝生產(chǎn)邏輯變更導致的工程邏輯控制程序的變更，需要在上位機插入U盤等外來移動介質(zhì)，這必然成為工控網(wǎng)絡的一個攻擊點。例如，伊朗“震網(wǎng)”病毒就是采用U盤擺渡方式，對上位機(即WinCC主機)進行了滲透攻擊，從而最終控制了西門子PLC，造成了伊朗核設施損壞的嚴重危害后果。針對上述情況，一些針對U盤管控的技術(shù)和原型產(chǎn)品開始出現(xiàn)，包括專用U盤安全防護工具、USB漏洞檢測工具等。

 

總之，針對工控系統(tǒng)安全防護需求及工控環(huán)境特點，許多防護技術(shù)和產(chǎn)品正在快速研發(fā)中，甚至在部分企業(yè)進行試點應用。但是，由于這些技術(shù)和產(chǎn)品在穩(wěn)定性、可靠性等方面還未經(jīng)嚴格考驗，能否適用于工業(yè)環(huán)境的高溫、高濕、粉塵情況還未可知，再加上工控系統(tǒng)作為生產(chǎn)系統(tǒng)，一旦出現(xiàn)故障將會造成不可估量的財產(chǎn)損失甚至人員傷亡，用戶不敢冒然部署安全防護設備，因此目前還沒有行業(yè)大規(guī)模使用上述防護技術(shù)和產(chǎn)品。

 

四、主要對策建議

 

針對2015年工控信息安全總體情況，提出以下對策建議：

 

1.進一步強化工控信息安全領導機構(gòu)，充分發(fā)揮組織管理職能。

 

2.對工控新建系統(tǒng)和存量系統(tǒng)進行區(qū)別對待。對于工控新建系統(tǒng)而言，要將信息安全納入總體規(guī)劃中，從安全管理和安全技術(shù)兩方面著手提升新建系統(tǒng)的安全保障能力，對關(guān)鍵設備進行安全選型，在系統(tǒng)上線運行前進行風險評估和滲透測試，及時發(fā)現(xiàn)安全漏洞并進行修補，避免系統(tǒng)投入生產(chǎn)后無法“打補丁”的情況。對于大量存量系統(tǒng)而言，應在不影響生產(chǎn)運行的情況下，通過旁路安全監(jiān)測、外邊界保護等方式，形成基本的工控安全狀況監(jiān)測和取證分析能力，徹底扭轉(zhuǎn)現(xiàn)階段對工控網(wǎng)絡內(nèi)部狀況一無所知、面對工控病毒攻擊束手無策的局面。

 

3.大力推進工控安全防護技術(shù)在實際應用中“落地”，鼓勵主要工控行業(yè)用戶進行試點應用，并對那些實踐證明已經(jīng)成熟的技術(shù)和產(chǎn)品在全行業(yè)進行推廣。

 

篇4

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設的推進，我校信息化建設初具規(guī)模，軟硬件設備配備完成，運行保障的基礎技術(shù)手段基本具備。網(wǎng)絡中心技術(shù)力量雄厚，承擔網(wǎng)絡系統(tǒng)管理和應用支持的專業(yè)技術(shù)人員達20余人;針對重要應用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護手段，保障了核心業(yè)務系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護能力|6];日常運行管理規(guī)范，按照信息基礎設施運行操作流程和管理對象的不同，確定了網(wǎng)絡系統(tǒng)運行保障管理的角色和崗位，初步建立了問題處理的應急響應機制。由網(wǎng)絡中心進行日常管理的主要有六大業(yè)務應用系統(tǒng)，即網(wǎng)絡通信平臺、認證計費系統(tǒng)、校園一卡通、電子校務系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡通信平臺是大學各大業(yè)務平臺的基礎核心，是整個校園網(wǎng)的基礎，其他應用系統(tǒng)都運行在高校的基礎網(wǎng)絡環(huán)境上;認證計費系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認證計費的管理方式;校園一卡通系統(tǒng)建設在物理專網(wǎng)上，主要實現(xiàn)學生校園卡消費管理，校園卡與大學網(wǎng)絡有3個物理接口;電子校務系統(tǒng)是大學最重要的業(yè)務應用系統(tǒng)，系統(tǒng)中存儲著重要的教務工作數(shù)據(jù)、學生考試信息、財務數(shù)據(jù)等重要數(shù)據(jù)信息;大學主頁網(wǎng)站系統(tǒng)為大學校園的互聯(lián)網(wǎng)窗口起到學校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學教師與學生提供郵件收發(fā)服務，目前郵件系統(tǒng)注冊用1.2面臨的主要問題

 

通過等級保護差距分析和風險評估，目前大學所面臨的信息安全風險和主要問題如下：

 

(1)高校領域沒有總體安全標準指引，方向不明確，缺少主線。

 

(2)對國際國內(nèi)信息安全法律法規(guī)缺乏深刻意識和認識。

 

(3)信息安全機構(gòu)不完善，缺乏總體安全方針與策略，職責不夠明確。

 

(4)教職員工和學生數(shù)量龐大，管理復雜，人員安全意識相對薄弱，日常安全問題多。

 

()建設投資和投入有限，運維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對松散，缺乏安全監(jiān)管及檢查機制，無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預警、響應、恢復的集中運行管理手段，無法提高安全運維能力。

 

2建設思路

 

2.1建設原則和工作路線

 

學校信息安全建設的總體原則是:總體規(guī)劃、適度防護，分級分域、強化控制，保障核心、提升管理，支撐應用、規(guī)范運維。

 

依據(jù)這一總體原則，我們的信息安全體系建設工作以風險評估為起點，以安全體系為核心，通過對安全工作生命周期的理解從風險評估、安全體系規(guī)劃著手，并以解決方案和策略設計落實安全體系的各個環(huán)節(jié)，在建設過程中逐步完善安全體系，以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求，最終達到全面、持續(xù)、突出重點的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GBT22239-2008、《信息系統(tǒng)等級保護安全建設技術(shù)方案設計要求》(征求意見稿)，并吸納了IATF模型[7]中“深度防護戰(zhàn)略，，理論，強調(diào)安全策略、安全技術(shù)、安全組織和安全運行4個核心原則，重點關(guān)注計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡等多個層次的安全防護，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過安全運維服務和itsm[8]集中運維管理(基于IT服務管理標準的最佳實踐)，形成了集風險評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預警、應急響應、系統(tǒng)恢復、安全審計和違規(guī)取證于一體的安全運維體系架構(gòu)(見圖2)，從而實現(xiàn)并覆蓋了等級保護基本要求中對網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和管理安全的防護要求，以滿足信息系統(tǒng)全方位的安全保護需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設目標、信息安全管理目標等，是信息安全各個方面所應遵守的原則方法和指導性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級組織間的工作職責，覆蓋安全管理制度、安全管理機構(gòu)和人員安全管理3個部分。

 

(3)安全運行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應用過程和人員的操作執(zhí)行，該部分以國家等級保護制度為依據(jù)，覆蓋系統(tǒng)建設管理、系統(tǒng)運維管理2個部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā)，落實學校組織機構(gòu)的總體安全策略及管理的具體技術(shù)措施的實現(xiàn)，是對各個防護對象進行有效地技術(shù)措施保護。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對未授權(quán)的訪問或誤用提供自動保護，發(fā)現(xiàn)違背安全策略的行為，并滿足應用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡、計算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據(jù)，覆蓋物理層、網(wǎng)絡層、主機層、應用層和數(shù)據(jù)層5個部分。

 

()安全運維:安全運維服務體系架構(gòu)共分兩層，實現(xiàn)人員、技術(shù)、流程三者的完美整合，通過基于ITIL[9]的運維管理方法，保障基礎設施和生產(chǎn)環(huán)境的正常運轉(zhuǎn)，提升業(yè)務的可持續(xù)性，從而也體現(xiàn)了安全運3重點建設工作

 

3.1安全滲透測試

 

2009年4月，學校對38個網(wǎng)站、2個關(guān)鍵系統(tǒng)和6臺主機系統(tǒng)進行遠程滲透測評。通過測評，全面、完整地了解了當前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個高危漏洞，并針對高危漏洞分析了系統(tǒng)所面臨的各種風險，根據(jù)測評結(jié)果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患。滲透測試主要任務包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測評、提升權(quán)限測評、獲取代碼、滲透測評報告。

 

3.2風險評估和安全加固

 

2009年5月，依據(jù)安全滲透測試結(jié)果，對大學的六大信息系統(tǒng)進行了安全測評。根據(jù)評估結(jié)果得出系統(tǒng)存在的安全問題，并對嚴重的問題提出相應的風險控制策略。主要工作任務包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風險分析。通過風險評估最終得出了威脅的數(shù)量和等級，表1、表2為威脅的數(shù)量和等級統(tǒng)計。2009年6月和9月，基于風險評估結(jié)果，對涉及到的網(wǎng)絡設備(4臺)和主機設備(14臺)進行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對全校的網(wǎng)絡、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學實際的安全需求，并結(jié)合實際業(yè)務要求，對學校整體信息系統(tǒng)的安全工作進行規(guī)劃和設計，并通過未來3年的逐步安全建設，滿足學校的信息安全目標及國家相關(guān)政策和標準學校依據(jù)國際國內(nèi)規(guī)范及標準，參考業(yè)界的最佳實踐ISMS[10](信息安全管理體系)，結(jié)合我校目前的實際情況，制定了一套完整、科學、實際的信息安全管理體系，制定并描述了網(wǎng)絡與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立，使學校的組織結(jié)構(gòu)布局更加合理，人員安全意識也明顯提高，從而保證了網(wǎng)絡暢通和業(yè)務正常運行，提高了IT服務質(zhì)量。通過制度、流程、標準及規(guī)范，加強了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護體系

 

根據(jù)網(wǎng)絡與信息系統(tǒng)各節(jié)點的網(wǎng)絡結(jié)構(gòu)、具體的應用以及安全等級的需求，可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個學校的網(wǎng)絡系統(tǒng)劃分為3個層次的安全域：第一層次安全域包括整個學校網(wǎng)絡信息系統(tǒng);第二層次安全域?qū)⒏鲬孟到y(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應用系統(tǒng)內(nèi)部根據(jù)應用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎設施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫、加密機、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機等;RA注冊區(qū):主要承載各院所的RA注冊服務器，為各院所的師生管理提供數(shù)字證書注冊服務。

 

應用安全支撐平臺為各信息系統(tǒng)提供應用支撐服務、安全支撐服務以及安全管理策略，使得信息系統(tǒng)建立在一個穩(wěn)定和高效的應用框架上，封裝復雜的業(yè)務支撐服務、基礎安全服務、管理服務，并平滑支持業(yè)務系統(tǒng)的擴展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計管理、數(shù)據(jù)安全引擎、單點登錄等功能。

 

4.2安全運維體系

 

ITSM集中運維管理解決方案面對學校日益復雜的IT環(huán)境，整合以往對各類設備、服務器、終端和業(yè)務系統(tǒng)等的分割管理，實現(xiàn)了對IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運維管理理念，達到了技術(shù)、功能、服務三方面的完全整合，實現(xiàn)了IT服務支持過程的標準化、流程化、規(guī)范化，極大地提高了故障應急處理能力，提升了信息部門的管理效率和服務水平。

 

根據(jù)終端安全的需求，系統(tǒng)應建設一套完整的技術(shù)平臺，以實現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略，對網(wǎng)內(nèi)所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理。實現(xiàn)將以網(wǎng)絡為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強制實施、終端用戶安全狀態(tài)的集中審計;對用戶事前身份和安全級別的認證、事中安全狀態(tài)定期安全檢測，內(nèi)容包括定期的安全風險評估、安全加固、安全應急響應和安全巡檢。

 

篇5

20世紀70年代以來，以信息技術(shù)為核心的高技術(shù)群的迅猛發(fā)展及其在社會各領域中的廣泛應用，將人類社會推進到了信息社會。在信息社會里，信息網(wǎng)絡系統(tǒng)的建立已逐漸成為不可或缺的基礎設施，信息已成為社會發(fā)展的重要戰(zhàn)略資源、決策資源和控制戰(zhàn)場的靈魂，信息安全已成為國家安全的核心因素。無論是在平時還是戰(zhàn)時，信息安全問題都將是一個戰(zhàn)略性、全局性的重要問題。謀求國家安全，必須高度重視信息安全防護問題。

一、搞好信息安全防護是確保國家安全的重要前提

眾所周知，未來信息化戰(zhàn)爭將在陸、海、空、天、電多維空間展開，網(wǎng)絡空間的爭奪尤其激烈。如果信息安全防護工作跟不上，在戰(zhàn)爭中就可能造成信息被竊、網(wǎng)絡被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴重后果。因此，信息安全防護不僅是贏得未來戰(zhàn)爭勝利的重要保障，而且將作為交戰(zhàn)雙方信息攻防的重要手段，貫穿戰(zhàn)爭的全過程。據(jù)有關(guān)報道披露，海灣戰(zhàn)爭前，美國特工曾在伊拉克從法國購買的打印機的引導程序中預埋了病毒，海灣戰(zhàn)爭一開始，美國就通過衛(wèi)星激活病毒，導致后來伊軍防空指揮通信系統(tǒng)陷入癱瘓。戰(zhàn)爭和軍事領域是這樣，政治、經(jīng)濟、文化、科技等領域也不例外。根據(jù)美國加利弗尼亞州銀行協(xié)會的一份報告，如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡“黑客”的破壞，3天就會影響加州的經(jīng)濟，5天就能波及全美經(jīng)濟，7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要，美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調(diào)：執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年6月討論通過的《國家信息安全學說》，首次把信息安全正式作為一種戰(zhàn)略問題加以考慮，并從理論上和實踐上加強準備。

二、我國信息安全面臨的形勢十分嚴峻

信息安全是國家安全的重要組成部分，它不僅體現(xiàn)在軍事信息安全上，同時也涉及到政治、經(jīng)濟、文化等各方面。當今社會，由于國家活動對信息和信息網(wǎng)絡的依賴性越來越大，所以一旦信息系統(tǒng)遭到破壞，就可能導致整個國家能源供應的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂，其后果不堪設想。而令人擔憂的是，由于我國信息化起步較晚，目前信息化系統(tǒng)大多數(shù)還處在“不設防”的狀態(tài)下，國防信息安全的形勢十分嚴峻。具體體現(xiàn)在以下幾個方面：首先，全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解，對因忽視信息安全而可能造成的重大危害還認識不足，信息安全觀念還十分淡薄。因此，在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視，許多應用系統(tǒng)處在不設防狀態(tài)，具有極大的風險性和危險性。其次，我國的信息化系統(tǒng)還嚴重依賴進口，大量進口的信息技術(shù)及設備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上，還是在計算機軟件上，我國信息化系統(tǒng)的國產(chǎn)率還較低，而在引進國外技術(shù)和設備的過程中，又缺乏必要的信息安全檢測和改造。再次，在軍事領域，通過網(wǎng)絡泄密的事故屢有發(fā)生，敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后，我國國家信息安全防護管理機構(gòu)缺乏權(quán)威，協(xié)調(diào)不夠，對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離，管理混亂，缺乏與信息化進程相一致的國家信息安全總體規(guī)劃，妨礙了信息安全管理的方針、原則和國家有關(guān)法規(guī)的貫徹執(zhí)行。

三、積極采取措施加強信息安全防護

為了應付信息安全所面臨的嚴峻挑戰(zhàn)，我們有必要從以下幾個方面著手，加強國防信息安全建設。

第一，要加強宣傳教育，切實增強全民的國防信息安全意識。在全社會范圍內(nèi)普及信息安全知識，樹立敵情觀念、紀律觀念和法制觀念，強化社會各界的信息安全意識，營造一個良好的信息安全防護環(huán)境。各級領導要充分認識自己在信息安全防護工作中的重大責任，一方面要經(jīng)常分析新形勢下信息安全工作形勢，自覺針對存在的薄弱環(huán)節(jié)，采取各種措施，把這項工作做好；另一方面要結(jié)合工作實際，進行以安全防護知識、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學習和教育。

第二，要建立完備的信息安全法律法規(guī)。信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來，我國先后制定和頒布了《關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)，但從整體上看，我國信息安全法規(guī)建設尚處在起步階段，層次不高，具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此，我們應當加快信息安全有關(guān)法律法規(guī)的研究，及早建立我國信息安全法律法規(guī)體系。

第三，要加強信息管理。要成立國家信息安全機構(gòu)，研究確立國家信息安全的重大決策，制定和國家信息安全政策。在此基礎上，成立地方各部門的信息安全管理機構(gòu)，建立相應的信息安全管理制度，對其所屬地區(qū)和部門內(nèi)的信息安全實行統(tǒng)一管理。

第四，要加強信息安全技術(shù)開發(fā)，提高信息安全防護技術(shù)水平。沒有先進、有效的信息安全技術(shù)，國家信息安全就是一句空話。因此，我們必須借鑒國外先進技術(shù)，自主進行信息安全關(guān)鍵技術(shù)的研發(fā)和運用。大力發(fā)展防火墻技術(shù)，開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡化的國產(chǎn)自主知識產(chǎn)權(quán)的防火墻。積極發(fā)展計算機網(wǎng)絡病毒防治技術(shù)，加強計算機網(wǎng)絡安全管理，為保護國家信息安全打下一個良好的基礎。

參考文獻：

1、俞曉秋.信息革命與國際關(guān)系[M].時事出版社,2002.

篇6

2009年遷入新址以來，中國疾控中心重構(gòu)了新數(shù)據(jù)中心，以原址數(shù)據(jù)中心為基礎改建容災中心，扎實推進信息系統(tǒng)建設相關(guān)工作，信息安全等級保護工作由此展開新的篇章。

根據(jù)原衛(wèi)生部的相關(guān)文件精神，中國疾控中心按規(guī)定進行信息安全等級備案，作為衛(wèi)生計生領域的重要系統(tǒng)，及時開展系統(tǒng)備案、漏洞掃描、風險評估、安全整改與測評，每年接受國家公安機關(guān)組織的信息安全檢查，是多次代表衛(wèi)生行業(yè)接受公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室等部門檢查的唯一受檢國家級醫(yī)療衛(wèi)生單位。目前昌平園區(qū)網(wǎng)絡和數(shù)據(jù)中心建設已初具規(guī)模，各業(yè)務系統(tǒng)運行安全穩(wěn)定。

開展信息安全建設工作的主要方法

1.統(tǒng)籌規(guī)劃

在信息化建設過程中，中國疾控中心始終堅持數(shù)據(jù)安全與規(guī)劃同步、與系統(tǒng)建設同步、與運行管理同步的“三同步”原則。在原衛(wèi)生部關(guān)于信息安全等級保護相關(guān)文件出臺后，國家疾控中心重新修訂了信息系統(tǒng)安全總體規(guī)劃。經(jīng)過各級疾控人員的共同努力，以及多年信息化建設工作的不斷推進，中國疾控中心的防攻擊、防篡改、防病毒、防癱瘓能力不斷提升。

2.組建機構(gòu)與招聘人員

信息系統(tǒng)安全等級保護內(nèi)容覆蓋管理與技術(shù)兩方面工作，涉及信息系統(tǒng)規(guī)劃、建設、運維全過程?！盎疖嚺艿每?，全靠車頭帶”，中國疾控中心對信息安全工作高度重視，成立了以主要領導為組長、各相關(guān)部門主要負責人組成的信息安全領導小組。信息中心成立專門的網(wǎng)絡與安全管理室，公開招聘有經(jīng)驗的技術(shù)骨干牽頭負責并組織實施，不斷加強管理，逐漸完善技術(shù)措施。另外，在全國各省疾控機構(gòu)內(nèi)部設立“信息安全員”，并要求逐級負責，初步形成了全國疾控的信息安全組織機構(gòu)體系。

3.完善信息安全管理制度

近些年來，中國疾控中心共制定或頒布了覆蓋系統(tǒng)建設、系統(tǒng)管理、系統(tǒng)運維、系統(tǒng)使用等方面的一系列制度近30個，大大加強了內(nèi)部安全管理的規(guī)章制度的落實。每年年初按照信息安全等級保護相關(guān)要求開展自查，有針對性地整改加固，不斷完善信息化規(guī)章制度，為信息系統(tǒng)的建設、管理、運維、安全監(jiān)管等各方面工作有條不紊、有章可循地進行提供了保障。

4.強化安全責任管理

以“誰主管、誰負責，誰運營、誰負責，誰使用、誰負責”為原則，通過下發(fā)相關(guān)的網(wǎng)絡安全管理、用戶與權(quán)限管理規(guī)范，并不斷修訂完善，進一步夯實信息中心與業(yè)務部門、國家與地方在網(wǎng)絡技術(shù)管理與業(yè)務信息管理上的分級管理工作職責。針對單個的系統(tǒng)，還初步實現(xiàn)了信息系統(tǒng)網(wǎng)絡與業(yè)務管理、系統(tǒng)管理和安全審計的三權(quán)分離，并逐步推進系統(tǒng)建設方、系統(tǒng)運維方與系統(tǒng)安全審計的主體剝離。

5.落實信息安全技術(shù)措施

完善基礎網(wǎng)絡設施 中國疾控中心在昌平新址重新構(gòu)建了標準機房、基礎網(wǎng)絡、門禁、消防、供配電、監(jiān)控及綜合運維系統(tǒng)、統(tǒng)一安全管理平臺等。

優(yōu)化網(wǎng)絡安全結(jié)構(gòu) 信息中心技術(shù)人員通過一年多的分析和調(diào)研，明確各類信息系統(tǒng)對網(wǎng)絡的需求，組織召開內(nèi)部、外部的專家會議，充分研究實施方案。特別是邀請具有多年安全網(wǎng)絡實施經(jīng)驗的技術(shù)人員，與信息中心技術(shù)人員一起實施。優(yōu)化后的網(wǎng)絡在的穩(wěn)定性、安全性和實際用戶體驗上都大大提升。

完善雙因素認證的用戶準入 以用戶電子認證服務系統(tǒng)（CA）的雙因素認證體系已能在國家本級全覆蓋。

完善安全專網(wǎng)建設 截止目前，以VPN、SDH等虛擬專網(wǎng)和專網(wǎng)組成的安全專網(wǎng)，已在全國各省、市、縣級疾控機構(gòu)實現(xiàn)100%全覆蓋。

綜合實施應用系統(tǒng)安全加固 對各類網(wǎng)站服務器、應用服務器和數(shù)據(jù)庫服務器進行漏洞掃描、風險評估和安全加固，一步步降低安全風險。

加強安全運維技術(shù)監(jiān)測 引入業(yè)界相關(guān)安全技術(shù)和設備，安排專門的人員，通過周期性的漏洞掃描、入侵檢測，系統(tǒng)日志分析，及時發(fā)現(xiàn)、修補系統(tǒng)漏洞，持續(xù)提升系統(tǒng)抗風險能力。

6.開展整改與測評

2010年投入使用后，第三方安全等級保護測評工作緊接著就開展起來了。一方面將整改內(nèi)容納入項目建設，由專業(yè)信息安全公司提供技術(shù)支持；另一方面對照整改內(nèi)容，組織力量完成整改。實現(xiàn)了“整改-自測測評-再整改-再第三方測評”的良性循環(huán)。通過不斷的學習和實踐，提升自測評能力和信息系統(tǒng)安全保障能力。

7.積極推動行業(yè)內(nèi)信息安全等級保護進展

制訂并向全國各省級疾控中心下發(fā)了相關(guān)指導文件。每年組織多期行業(yè)內(nèi)培訓，采取“送出去，請進來”的辦法，多次派員參加國家信息安全部門組織的培訓和考試。目前，中國疾控信息中心有多人獲得國家公安部、工信委等權(quán)威機構(gòu)頒發(fā)的信息安全相關(guān)資質(zhì)證書。此外，還邀請國內(nèi)信息安全行業(yè)專家學者授課，舉辦全國范圍內(nèi)疾控行業(yè)網(wǎng)絡信息安全專項培訓班。

開展信息安全建設工作體會

以往一談到信息安全，大家總認為是技術(shù)部門的事，其實不然。

信息安全等級保護標準體系對此給出了明確的要求，比如在第三級等級保護的指標體系中，涉及管理的指標占比達到近三分之二，足見管理的規(guī)范化對信息安全的重要性?！叭旨夹g(shù)、七分管理、十二分運維”對信息安全一樣適用。但是在信息安全工作上“重技術(shù)建設、輕管理建設、不知道運維建設”的現(xiàn)象卻大量存在，目前還難以從根本上改變。在信息技術(shù)持續(xù)發(fā)展的時代，談信息安全的各種投入是個無底洞一點都不為過。因為，信息安全建設只有進行時，沒有完成時。