信息安全管理论文6篇

时间:2022-06-25 03:38:29

信息安全管理论文6篇

第一篇:地市公司信息安全建设和应用

1建设目标

1.1信息安全技术保障体系建设理念

信息安全是企业安全运行的重要一环,而信息安全技术又是信息安全的关键。信息安全技术保障体系建设,应牢固树立“安全第一、预防为主、综合治理”的安全理念,着力构建起立足当前、着眼长远的目标理念。在信息安全技术保障体系的构建方面,应突出坚持以下四个原则。(1)“三同步”原则以信息安全贯穿于信息系统全生命周期的思路为指导,始终坚持信息安全建设与信息化建设同步规划、同步建设、同步运行的“三同步”原则,确保信息安全工作的主动防御性。(2)以人为本与精益化管理相结合原则工作中,突出“以人为本”的同时,应注重与“精益化管理”相融合,把认真负责的工作态度贯穿于工作始终,努力做到“精、细、实”。(3)全面防范与突出重点相结合原则全面防范是保障信息系统安全的关键。首先,可根据人员、管理、技术等情况,在预警、保护、检测、反应、恢复和跟踪等多个环节上实施全面防御,防患于未然。其次,在全面分析的基础上,找准事故“易发点”,实施重点防御。(4)系统性与动态性相结合原则信息安全管理是一项系统工程。要按照系统工程的要求,注意各方面、各层次、各时期的相互协调、匹配和衔接,体现出系统集成效果和前期投入的收益。同时,信息安全管理又是一种状态的动态反馈过程,应随着安全利益和系统脆弱性的时空分布的变化、威胁程度的提高、系统环境的演变以及管理人员对系统安全认识的不断深化等,及时将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升管理等级。

1.2信息安全技术保障体系建设范围和目标

1.2.1信息安全技术保障体系建设范围

信息安全技术保障体系,包括保护、检测、响应、审计等多种技术。防御领域覆盖地市供电公司信息内、外网网络边界、网络基础设施、终端计算环境以及支撑性基础设施建设。[1](1)网络边界防御体系建设。通过确定不同资产的安全等级和防护等级,以采用适合的边界防护技术。(2)网络基础设施防御体系建设。网络基础设施防御的主要目标包括提高网络拓扑的安全可靠性、提高网络设备特别是骨干设备的安全性、保证网络设备远程管理的安全性等。(3)终端计算环境防御体系建设。为了达到减少内部环境中存在的弱点和漏洞,防止计算机病毒及蠕虫在内部环境的传播,提高对网络攻击的发现能力以及在安全事件发生后的跟踪和追查,加强对内部用户的保护、管理、监控和审计能力的终端计算机环境安全目标,可以采用自动补丁管理、访问控制、防病毒、入侵防护、完整性检查和强制认证、网络准入控制等技术来实现。(4)支撑性基础设施建设。信息安全支撑设施是指为网络用户、设备、应用系统提供安全运作的基础设施,包括密钥管理设施、安全管理中心等。

1.2.2信息安全技术保障体系建设目标

(1)坚持“安全第一、预防为主、综合治理”方针,强化全员信息安全意识。(2)高度重视信息化建设中的安全问题,将网络与信息安全全面纳入公司安全管理体系,建立多层次的安全防御体系,实现信息安全的可控、能控、在控。(3)建立完善的信息安全技术保障体系,保护信息的保密性、完整性和可用性。(4)确保不发生重大系统停运事故。(5)确保不发生重大信息泄露事故。(6)确保不发生网站被篡改造成重大影响事故。(7)确保信息化有效支撑公司发展方式和电网发展方式转变。1.3信息安全技术保障体系建设的指标体系及目标值根据国网、省公司指标考核内容,信息安全技术保障体系建设的指标,主要包括内、外网VRV未注册情况,内、外网弱口令数等。具体如表1所示。

2主要做法

2.1信息安全技术保障体系建设管理工作流程图。信息安全技术保障体系建设管理分为风险评估、方案设计、方案落实、验收测评等4个节点。如图1所示。2.2主要节点说明2.2.1风险评估当前,影响信息安全的因素很多。一是日益复杂的网络系统和安全系统不断地增加运行维护的难度,以及工作量和人力成本,对于位置分散的、数目众多的各类主机、网络设备、安全设备等进行逐一管理耗时又耗力。传统意义上的安全防护措施只关注安全的某一方面,对这些分散独立的安全事件信息难以形成全面的风险抵御,导致了安全策略和配置难于统一协调,安全事件无法迅速响应。二是由于与安全相关的信息量越来越大,关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。三是由于新的安全威胁总是出现在安全应对措施之前,完全依赖安全技术的安全防护系统无法真正确保网络的安全和提高企业的安全防护能力。根据国网、省公司要求,确定地市公司的信息安全需求和可接受的残余风险,建立常态风险评估机制。开展信息安全风险评估工作,了解和评价公司的信息安全现状,提出信息系统的安全需求,公司领导层再依据评估报告,选择最佳的风险控制措施,确立有效的信息安全保障体系。2.2.2制定策略,设计方案[3]建立安全信息监管系统,将来自不同设备的事件记录(例如:防火墙、入侵检测系统、防毒软件、网络设备、操作系统、数据库及其它应用系统等),进行数据采集、关联分析、事件优先重要性分析及视觉图形化呈现。并自动地将杂乱无章的系统信息转换成有意义、且利于用户对安全事件做出响应的有用信息,最终完成从安全信息来源,到安全信息采集,再到安全信息处理,直至安全事件管理的全部监管过程。建立重要数据安全管理系统。采用高可用性冗灾技术、加密技术、数据检索技术,通过完善的人员组织建设和培训,以及周密的流程设计和测试演练,最大限度地降低突发性灾难对企业关键业务环境的影响,切实保障企业重要数据资料安全。开发IT运维监管平台。通过对桌面终端管理系统、IT综合管理系统等进行有效整合,集中监控管理网络、主机、软件的基本信息资料,通过运维流程管理,简化业务支撑系统的硬件、软件的多样性,降低系统管理维护的复杂性,从而达到“集中监控、集中维护、集中管理”的目标。同时,减少系统建设维护成本,节约投资和降低人力成本。2.2.3方案审查信息化领导小组负责审查相关信息化建设方案,负责公司信息安全重大事项决策和协调工作,全过程监督方案的落实和各个项目的建设。2.2.4组织实施各相关部门严格遵守公司下发的信息安全管理规章制度,执行各种信息安全管理办法,全面落实安全措施,加强对部门内部安全检查与改进,着力做好各项安全工作。公司与各单位签订《信息安全责任书》,把安全责任和安全措施落实到每个环节、每个岗位和每位员工身上,形成“大安全”管理局面,把“谁主管谁负责、谁运行谁负责、谁使用谁负责、谁督查谁负责”的原则落到实处。2.2.5检查验收公司对方案的落实情况、项目的实施情况采取验收测评、跟踪检查等手段,并查找问题,提出整改措施,形成整套完备有效的信息安全防护体系。

3评估与改进

评估与改进是安全保障体系中的重要环节。真正的安全保障体系,不是一次性完备的架构,而是一个由安全评估与改进-安全防护-安全评估与改进-安全防护……的循环发展、动态完善的系统工程。可以说,没有安全评估与改进的安全保障体系不具备真正的安全性。如图2所示,反馈式的评估和检查能加强网络安全防护,能够通过评估和改进达到自我调整和完善,是检验网络安全与否的动态标准。

3.1评估

3.1.1评估的方法

(1)委托信息安全专家对公司信息安全项目评估、验收。(2)开展各种信息安全反违章、专项治理活动进行检查、评估。(3)通过技术手段进行安全检查、评估。

3.1.2评估的内容

(1)贯彻、落实各级安全管理制度、规范情况。(2)保护定级方案执行情况。(3)重点项目的实施情况。

3.2信息安全技术保障体系建设中存在的问题

3.2.1信息安全技术标准规范体系不够完善

(1)信息安全技术标准数量少,尤其缺乏信息安全风险评估标准,导致信息化建设缺乏统一的评估规范。(2)在实施过程中,缺乏必要的监督管理,致使标准未能得到有效实施。

3.2.2全员信息安全意识较淡薄

(1)很多用户对信息安全问题认识不足,在系统缺乏保护的情况下就接入互联网,致使系统频频受到病毒、木马、黑客的攻击,经常处于被动修补状态。(2)由于信息安全法律意识淡薄,一些员工将不该的信息到了网上,导致不良信息的影响日益突出。(3)重“硬”轻“软”现象突出,把信息安全防护希望全部寄托在信息安全产品和技术解决方案上,而忽视信息安全管理和信息安全人才的培养。

3.2.3信息安全管理和技术人才缺乏

(1)信息安全技术人才缺乏,导致信息安全技术保障功能得不到充分发挥。(2)信息安全管理人才不足,难以对信息系统、信息安全产品进行有效管理、配置,增加了信息安全事件的发生概率。

3.3改进的方向和对策

(1)加快推进信息安全标准化工作。加强信息安全标准的制定和实施,不断完善信息安全标准体系建设,不断增强信息安全标准的创新,提高自主开发的比重;加大宣传培训力度,有效推进标准的实施工作。(2)持续开展安全服务管理各项活动。信息安全管理是一个动态、持续的过程。信息安全生命周期是各种活动的不断循环,包括完善策略体系,改进各项信息安全计划,加强人才培养和意识教育,定期进行信息安全评估与检查,长期的信息安全系统运维与支持,不间断的安全功能改进和实施等内容。(3)提高全员的信息安全防范意识。开展信息安全教育,增强信息安全意识。要提高信息安全意识,真正认识到信息安全防护的重要性,消除“无所谓”的错误思想;加大信息安全防护知识的普及教育工作,加强人员的培训和管理,推广信息安全技术和产品应用,提高企业用户和个人用户的信息安全知识水平,从技术上和管理上切实提高公司信息安全保障能力。[4]

4结语

信息安全技术保障体系建设是一个复杂的系统工程,同时也是一个不断完善的过程,从无到有,从不完善到完善,贯穿信息系统的整个生命期。实践告诉我们,随着网络信息的发展和规模的扩大,网络的安全缺陷也会加大。同时,不断变化的信息安全需求和环境也要求有不断改进的信息安全体系与之相适应。我们必须清醒地认识到,安全是一个过程,世界上没有一劳永逸的安全。信息安全技术保障体系建设,要以用户身份认证为基础,以信息安全保密为核心,以网络边界防护和信息安全管理为辅助,建立起全面有机的安全整体,从而建立起真正有效的、能够为信息化建设提供安全保障的可靠平台,最终才能够为电网的安全稳定运行保驾护航。

本文作者:刘立亮王军徐畅工作单位:安徽省宣城供电公司

第二篇:IT项目信息安全管理方法

一、前言

业务应用的不断拓展,信息系统已全面渗透到企业的运营中,而随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁[1];病毒和黑客攻击越来越多,安全事件爆发越来越频繁,直接影响企业正常业务运作。特别是对于移动通信运营商而言,信息安全尤为重要,为了保障客户利益,加强对信息系统的信息安全管理工作刻不容缓。新建项目中容易忽视信息安全问题,如果安全管理工作不到位,安全风险就得不到控制,而对安全风险进行控制所需的成本则随着安全管理工作介入项目的时间越晚而越高(如图1所示);因此,为降本增效,在IT项目的建设过程中,越早引入信息安全管理,安全风险控制的成本就越低,达到的安全水平也越高。对IT项目进行全生命周期的安全管理,满足集团安全管理“三同步”的要求,即在系统的设计、建设和运行过程中,做到同步规划、同步建设、同步运行[1]。

二、IT项目全生命周期安全管理要求

对IT项目进行安全管理,一方面是要求项目能应达到与其承载业务相符的安全特性,如认证、账户管理、操作审计等功能;另一方面,对项目进行全生命周期的安全管理,在项目的不同阶段进行评审和验证,确保项目满足规定的安全方案。结合ISO27000标准体系、国家信息安全标准以及萨班斯法案(SOX)的要求,制定IT项目建设全生命周期的项目安全管理工作流程。在项目全生命周期各阶段加入安全管控点(如图2所示),制定各阶段安全管控点的安全控制措施和人员职责,充分考虑信息安全方面的要求,确保开发出来的系统可以满足公司的安全方针、国家法律法规及萨班斯法案(SOX)的要求。安全要求是通过对安全风险的系统评估予以识别的[2],因所承载的业务的差异,每个系统的安全要求有所不同,每个系统都必须根据其业务流程评估安全风险,确定其对信息完整性、安全性、可用性的要求,从而采取适当的安全控制措施。如涉及客户资料、经营信息的系统安全级别较高,而用于辅助办公的系统安全级别则较低,需要采取不同的安全控制措施,才能将信息安全落到实处;不恰当的安全级别划分,会导致敏感数据的访问控制不严,甚至敏感数据在防护之外。

三、IT项目建设各阶段安全管理实施方法

3.1项目规划阶段安全管理

项目规划阶段,定义业务需求,并进行可行性研究;在定义业务需求时,应注重对信息安全方面的需求制定。在业务需求书中,应明确对系统安全的详细要求,并由项目各相关方(含信息安全人员)进行评审,评审通过才能进行项目立项。业务需求制定完成,任何对系统安全需求的修改,也应视为对业务需求书的修改,需经过正式的系统变更流程。

3.2项目设计阶段安全管理

通过对业务流程的分析,对系统进行整体设计和详细设计,考虑数据传输、处理、存储等各个过程中的安全要求,确保实现所有过程中对数据的全面保护,特别是对关键业务的敏感数据的保护,如客户资料、经营数据等,对重要数据的存储和传输设置权限和校验,并进行加密。在系统应用安全层面应至少进行以下安全控制设计:(1)身份认证。对用户进行身份识别,并根据安全策略配置相关参数,如限制非法登录次数、超时自动退出等,确保系统不被非法用户进入。(2)访问控制。遵循最小权限原则控制用户对文件、数据库表等客体的访问。(3)日志与审计。对应用程序中的重要事件进行日志记录,并进行审计,以便对系统的重要操作和安全事件进行追踪审查。(4)通信安全。对通信过程中的敏感信息字段进行加密,确保重要的业务数据和敏感的系统信息(如口令)的传输不能被窃取和篡改。对于支撑公司业务运营的系统,必须设计与公司4A系统的接口。4A系统是融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素的安全管理平台解决方案,与萨班斯法案(SOX)内控需求一致。支撑公司业务运营的系统必须接入4A系统进行统一管理,以保证认证、授权和审计安全策略的一致实施。

3.3项目实施阶段安全管理

开发人员应参照规范编写代码;严禁不安全的实施方法,如将用户名或密码编写在程序中、使用未经安全评估的第三方产品等。对源代码的访问和修改必须严格控制,建议使用配置管理工具进行代码访问及代码版本控制。开发平台上如需使用来自生产环境的敏感数据,必须是过期并经过模糊化处理后的数据,并保留数据导入的处理记录。

3.4项目验收阶段安全管理

验收测试前,需要制定相应的安全验收标准,验收要求和标准应定义清楚,并经信息安全人员评审通过。在测试过程中,需通过技术手段,如漏洞扫描等,对系统的安全性进行测试,并验证达到要求的管理水平。安全验收测试的结果应由信息安全人员进行评审,以确认测试结果符合系统设计及公司整体的信息安全需要,或已经授权采取了充分、恰当的补偿性措施。对于测试中产生的信息和结果应注意保密,以免泄漏影响系统安全性。

3.5系统上线部署阶段安全管理

系统上线部署前,通过开展安全漏洞检查、安全防护配套设施检查、基线配置检查等核查手段,确认安全方面的缺陷已被充分确认及记录,所有与系统相关的补丁或更新已经实施,所有测试数据已清理,软/硬件符合集团安全基线配置规范。此外,系统如需对互联网开放,在系统上线前应经过对互联网开放的审批,并对提供WEB服务的网站部署网站页面防篡改系统。系统上线后,系统运行一段时间后对系统进行评估,评价系统对信息安全要求的符合情况、信息安全控制措施的运行效果和效率,以及潜在的需要改进的信息安全措施。

3.6系统运营阶段安全管理

(1)操作管理和控制。制定不相容职责矩阵,对用户最小化授权,并制定操作规程。(2)变更管理和控制。实施变更前,详细的变更方案必须获得审批,确保变更不会对系统的安全性和完整性造成不良影响;开发测试人员不能访问生产系统,以防止未经测试或未经审批的变更上线到生产系统。(3)安全状态监控。对系统的安全运行状态进行监控,确保系统运行安全。(4)业务连续性管理。制定安全事件应急处置预案,应急预案应明确组织机构及工作职责,并定期进行应急演练。(5)安全测评与改进。定期进行漏洞扫描、渗透测试等安全评估手段,挖掘系统存在的安全漏洞并进行改进。

3.7系统下线阶段安全管理

系统由于生命周期管理需要退出服务,进入系统消亡环节,应对受到保护的数据信息进行妥善转移、转存、销毁,确保不发生信息安全事件;涉及到信息转移、暂存和清除、设备迁移或废弃、介质清除或销毁,以及相应资产清单的更新。

四、结语

通过在IT项目生命周期的各个阶段中实施信息安全管理,确保安全需求在IT项目中进行了充分实施,项目满足公司整体安全策略的要求;建立以管理手段为抓手,以技术手段为支撑的IT项目安全管理体系。

本文作者:杜衡工作单位:中国移动(深圳)有限公司

第三篇:单位网站信息安全的重要性

一、网站信息安全被入侵的两种主要形式

(一)SQL注入攻击

互联网中的许多Web应用都采用数据库来存储信息。使用SQL命令可以方便的将前台Web页面的应用数据和后台数据库中数据进行传递。这些Web站点的页面可以根据用户输入的相关参数拼接成合法的SQL查询语句,再将这些语句传递至服务器端对数据库进行查询。而别有用心者可以通过直接在URL地址栏或者表单域中直接输入SQL命令,以此绕过web页面的数据检查改变查询属性,可以获取对数据库更高权限的操作。

(二)DDOS攻击

DDoS攻击发源于传统的DoS(DenialofService)拒绝服务攻击基础之上,DoS往往是指黑客通过单一的IP地址向某一目标主机发出“合法”的访问请求,而耗尽目标主机的网络带宽和硬件资源(CPU、内存等)的攻击方式。这种攻击方式在当今网络技术和硬件技术飞速发展的情况下,已基本无用武之地。于是,分布式拒绝服务DDoS攻击方式应运而生。所谓分布式拒绝服务攻击,就是黑客利用互联网的优势,利用操作系统或软件漏洞同时联合众多傀儡机对某一目标主机展开更大规模、更高强度的攻击,使目标主机的大量网络和硬件资源被占用,而无法对正常用户提供服务。

二、防范黑客攻击,维护网站信息安全的具体方法

SQL注入产生的原因的是程序员在应用开发过程中的编程不严谨,忽视了对用户数据的检查而造成的,SQL注入问题的解决根本途径就是编制完善的程序。具体需要注意以下几点:1.敏感字符直接过滤;2.参数化用户输入数据;3.使用ApacheWeb服务的安全检测模块。Apache的mod_security模块是一个集入侵检测和防御功能的开源的web应用安全检测程序。它基于ApacheWeb服务器运行,目标是增强web应用程序的安全性,防止web应用程序受到已知或未知的攻击。如果要使用此安全模块,需要在/download/下载mod_security安全模块并安装,DDoS攻击的最终目的是要耗尽服务器的网络和硬件资源,因此,从这个角度上来讲,哪怕有足够多的正常访问请求也同样可以造成服务器的“拒绝服务”的情况出现。所以,从根本上解决拒绝服务攻击,还需要做好以下几点工作:1.保证服务器有足够的网络带宽。2.适时升级服务器硬件。3.采用较新的服务器操作系统。4.及时打补丁修复系统漏洞。4.提前做好针对性预防工作。5.准确判断攻击方式。发生攻击时,应通过软件抓取数据包进行分析,根据不同的攻击方式采取不同的解决方法。6.保留详细系统日志,方便追查元凶。采用的安全手段越多.所带来的运行成本就越高.系统的运行效率就越低.要在运行成本运行效率中间进行平衡。同时,也应该认识到安全防范手段是一个持久更新渐进的过程.所以需要不断改进.优化采用的技术方法和安全策略。因此没有绝对安全而只有相对的安全即在风险和运行成本、效率可以接受前提条件下的安全。通过采用上述安全体系架构,再结合相关的软件和硬件安全措施,基本上保证了系统的安全性要求在具体技术措施的选取上,也可根据实际情况,在保证安全性的前提下进行适当的调整和修改。此外,解决网站安全问题,除了要有好的安全防护技术措施外,还要增强内部工作人员防范意识,以确保网站安全稳定运行、健康发展。

本文作者:翟松青工作单位:泰州市高新技术创业服务中心

第四篇:运营商客户信息安全防护

1背景

随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。通信运营商作为提供基础通信服务的企业,在为更多的客户(为描述方便,本文中不严格区别客户与用户的概念,文中客户既指客户也指用户)提供通信服务的同时,也在企业内存储了大量与客户相关的信息,包括客户身份、住址、银行账号、通信位置、通信行为、通信内容等信息。这些信息与通信服务使用者日常的生产生活息息相关,包含了属于客户自己的隐私信息。便捷的通信方式为人们生活带来方便的同时也给不法分子带来了可乘之机。近年来,利用通信工具的犯罪越来越多。为遏制通信犯罪,国家工业和信息化部对通信运营商提出了用户实名登记的要求。根据工业和信息化部颁布的《电话用户真实身份信息登记规定》,从2013年9月1日起,我国电信业务经营者为用户办理固定电话装机、移机,移动电话(含无线上网卡)开户、过户等入网手续时,需要如实登记用户提供的真实身份信息。通信运营商所记录和存储的客户信息将更为真实完整。这些信息一旦被泄露或被不正当的使用,重则可能引发重大群体性事件,轻则造成客户个人信息的泄露,给个人带来不利的影响。为保护个人信息安全,国家在2009年刑法修正案第二百五十三条增加了对“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人”刑事犯罪行为的描述条款。保证客户信息的安全,避免被非法滥用,是通信运营商必须承担的重要社会责任和义务。同时,对客户信息的安全防护能力也是通信企业市场核心竞争力的重要基础。

2通信运营商客户信息存储及使用情况分析

通信运营商为做好客户信息安全防护工作,首先需要全面分析客户信息在自身内部的生成、存储、使用、封存及销毁的情况。需要从客户信息在企业内流转的全过程来考虑与之相关的安全防护工作。总体上来看,客户信息在通信运营商内部的流转情况如图1所示。

2.1客户信息的生成

通信运营商客户信息的生成来源于如下几个渠道:(1)客户到营业场所(包括运营商自有营业厅和社会代办点)办理业务,客户向业务人员提供自身身份信息,这些信息连同所办理的业务信息被录入运营商内部信息管理系统。根据前台业务办理要求,作为业务办理凭证,相关信息还会被打印生成(2)客户通过运营商的客户服务电话办理业务,或是运营商的客户服务经理上门为客户办理业务,客服人员核查记录客户的身份信息和所办理的业务信息,录入内部信息管理系统。其中,客户经理在上门服务过程中会生成相关信息的纸质存档。(3)客户通过运营商提供的自助服务平台,提供自身身份信息,提交需要办理的业务信息,这些信息通过自助服务平台会传递到内部信息管理系统。(4)客户使用运营商的通信网络服务,网元平台产生对客户的通信服务记录信息。这些信息最后也会传递到内部信息管理系统进行集中处理。(5)运营商在派单给外线装维施工人员上门安装和处理故障的时候,会产生所服务客户信息的纸质存档。

2.2客户信息的使用

在通信运营商内,如下人员在特定的工作场合需要访问使用相关的客户信息:(1)营业人员和客户经理在为客户办理业务时,营业稽核人员在进行业务稽核时,需要核查当前客户信息及其已有的业务订购信息、消费信息等。(2)客服人员在为客户提供服务时,需要核查当前客户信息及其已有的业务订购信息、消费信息等。(3)客户经理在日常客户维系工作中,需要查阅所维系客户群客户信息及业务订购信息、消费信息等。(4)装维人员(或施工派单人员)在派单上门服务前,需要查询上门服务的客户信息及业务订购信息、线路信息等。(5)经营分析、营销策划人员在进行企业运营情况分析、策划营销活动的时候,需要查询统计与客户相关的信息。(6)信息管理系统的运营支撑人员在日常系统问题核查处理、提供临时数据处理服务时,需要查询处理与客户相关的信息。在通信运营商外部,还存在如下人员在特定的场合需要访问使用相关的客户信息的情况:(1)外部业务商在代办通信业务时,需要核查当前客户信息及其已有的业务订购信息、消费信息等。(2)客户通过自助服务平台需要查询与自己相关的客户信息、业务订购信息、通信行为信息、消费信息等。(3)部分运营商应用平台或与运营商合作的外部应用平台在为客户提供通信增值服务时,需查询校验客户信息。

2.3客户信息的归档与销毁

不同类型的客户信息有不同的生命周期。通信运营商对自身存储的各类客户信息的保存和封存期限有不同的内部规定。比如通话及短信详单保存3个月、客户的通信账单保存6个月、业务资料保存10年等等。超过规定保存期限不再使用的客户信息会逐月归档封存,最后在封存期过后按要求被销毁。

3通信运营商的客户信息安全防护策略

通信运营商具有客户数量大、客户信息数据多、数据变更频繁且增长迅速、内外部可能接触到相关信息的人员多、日常业务运营面对激烈的市场竞争需要能及时便捷的获取需要的信息、自身信息安全防护水平要求高等特点,在这样的环境下,客户信息安全防护工作具有一定的难度,但也不是无章可循。总体而言,需要从如下几个方面采取相应的安全防护措施:

3.1内外部人员安全意识宣贯及常态运营体系建设

通信运营商日常各项生产运营工作繁杂,要做好客户信息安全防护,首先需要对这项工作有充分的重视。通过在运营商内外加强对这项工作的重要性及安全管理要求的宣贯,培养和增强可能接触到客户信息的人员对相关信息的安全防范意识。形成具有高度客户信息安全防范意识的企业文化,使得各级人员在日常工作中能自觉地考虑到客户信息安全风险,在安全管理制度要求与工作便捷性有矛盾的时候,能辨别轻重缓急。各级人员敏锐的客户信息安全防范意识,能为相关安全防护工作创建良好的内外部环境和奠定坚实的基础。客户信息安全防护工作与日常各项生产活动息息相关,需要结合日常工作进行常态化的运营管控。在运营商内部需要建立客户信息安全运营管控团队,负责建立和完善内部相关的管理制度并监督执行,时时关注相关安全防护设施运行情况,监测排查可能存在的风险和漏洞。运作良好的运营管控团队是高水准客户信息安全防护的必要保障。

3.2信息分级与脱敏

通信运营商保存有数量庞大的客户信息,不同信息有不同的敏感程度。比如客户姓名、住址、联系方式等信息通常有比客户订购了何种通信服务、当前有多少的预付费余额信息更敏感,而客户在何时何地与何人有过何种通信联系则具有更高的敏感级别。不加区分地对这些信息进行安全防护会严重干扰和影响其他运营工作的效率,也会增加企业不必要的成本投入。为提高安全防护效率,需要根据相关信息的重要性及被滥用可能带来的影响及风险,对需要被防护的客户信息进行分级。对不同等级的客户信息采取不同的安全管控措施。基于对客户相关信息的分级,可以梳理不同级别的客户信息在哪些场合能够被哪些人员访问和使用,划分不同级别客户信息的访问权限,制定对应的访问管理制度,搭建起客户信息安全的防范体系框架。对于高敏感性的信息,可以通过模糊处理进行脱敏以降低相关信息的敏感性水平,比如对运营商内外部大多数人员,都无需知道用户完整的身份证号码,可以对特定位数的身份证号码显示特定的模糊信息,而不影响日常相关信息的访问效率。

3.3权限管控

对客户信息特别是信息管理系统内存贮的信息数据,访问处理权限的管控是日常安全防护工作的重心和主要内容。根据运营商内外不同角色人员及日常主要工作的特点,按照所需权限最小化的原则,划定与之相匹配的信息访问权限,限定只能访问特定级别的客户信息。通过对不同系统账号授予的权限情况进行管控,建立账号创建和权限变更的审批机制,定期审计相关系统账号权限授予情况,确保所授予的权限满足其使用者日常工作需要且不存在超越工作权限范围的信息访问权限。针对特定场合下,具有普通权限的人员可能需要临时访问高安全风险级别信息的情况,建立内部审批机制及信息流转程序。最大限度的控制信息管理系统账号的权限范围,监管对高级别客户信息的访问权限。同时,还需要对相关系统内账号的安全性进行管控,避免账号权限的泄露。对高权限等级的账号,需要限定严格的使用条件,建立配套的管理机制,防止被滥用。另外,还需要对存储客户信息的信息管理系统对外部系统平台提供的接口进行权限管控,确认应用系统对外部系统平台提供的访问接口所传输的数据在允许范围内,定期核查审计接口日志及行为,降低通过系统的外部接口泄露客户信息的风险。

3.4信息安全基础设施建设

对于大多数以电子形式存贮的客户信息,需要建立完善的安全防护基础设施,从技术手段上监控、管理、封堵各种可能导致信息泄露的途径。通过信息安全基础设施建设,可以从如下各方面加强信息安全防护:(1)通过终端准入认证、统一认证、合规性检查、数据泄露防护、漏洞扫描等设施,管控访问客户信息的终端,避免外来终端随意接入内部网络,同时限定访问信息数据的终端必须达到预设的安全条件。(2)通过前置堡垒机系统、漏洞扫描、配置管理、日志审计等基础设施,管控提供客户信息数据服务的主机,防止开放不必要的端口和服务,防止存在可被利用的后门和漏洞,保障日常的主机操作置于可监控、可审计范围,提高主机安全水平。(3)通过网络防火墙、网络行为审计、网络入侵检测等基础设施,管控客户信息传输的网络,限定信息数据只能在特定的网络内传输、遵循特定的网络访问策略,保障信息数据在网络传输过程中不能被非法监听、截获。(4)通过应用日志审计、应用漏洞扫描和应用防火墙等基础设施,管控提供客户信息数据的应用系统,降低应用系统因为存在设计编写不良的程序代码和被不恰当的部署、配置而带来的信息数据泄露风险。(5)通过数据库漏洞扫描、数据库操作审计等基础设施,管控存储客户信息的信息系统数据库,降低后台数据库系统被非法访问操作带来的数据泄露风险。(6)通过应用系统、数据库系统、文件系统的加密设施,使敏感信息能以密文方式存储,可以从信息数据源头管控安全风险。(7)通过机房、库房安全监控等基础设施,管控存储和可访问客户信息数据的机房和库房物理环境的安全,防止经由外部物理环境的安全入侵带来信息数据泄露风险。不同的安全基础设施各有侧重,但不是相互独立的,需要通过体系化的规划建设将它们有效地整合起来,使其相互衔接、互为补充,形成完善的安全防护设施体系。

3.5存储介质管理

加强对信息存储介质的管理是一项重要的客户信息安全防护策略。关注并限定信息可能存储的介质,不允许信息扩散到允许的存储介质范围之外,降低经由存储介质导致信息泄露的风险。信息存储介质管理涉及如下内容:(1)存储介质范围的管理:确定并管控允许各类客户信息存在的存储介质范围。通过管理和技术手段降低通过未经许可的存储设备转存、带走敏感信息的可能性。(2)存储介质变更及销毁管理:在存储有客户信息的存储介质的使用目的和范围发生变更或存储介质过期需要做报废销毁处理的情况下,确认其上的信息不能被重新恢复和获取。(3)存储介质环境管理:限定存储各类客户信息存储介质的存放和访问环境,及时归档管理存储有客户信息的新增存储介质。加强存储介质存放环境的安全管理。

4结束语

客户信息安全防护是通信运营商在日常运营中面临的重大课题,随着国家通信用户实名制的推进和公民对自身权益保护意识的提高,这项工作的成效受到来自社会公众越来越多的关注与监督。在新的社会环境、业务环境和网络环境下,通信运营商的客户信息安全防护工作将会日益重要与复杂,需要持之以恒、长抓不懈并根据内外部环境的变化情况不断的优化完善,才能实现客户信息的有效防护。

本文作者:陈兴华工作单位:中国电信广西公司

第五篇:通信网信息安全的应用

1.通信网信息安全的现状

1.1对通信网络实行加密的技术

将加密技术引进到通信网络当中,通信网络的终端客户需要凭借密码才能够进行操作,也就是说如果要想获取通信网络当中的信息,使用者就必须要输入正确的密码才能够获取到,才能够使用到通信网络,才能够获取到通信网络当中的资源以及服务,例如移动运营商通过在通信网络的终端加密保护好通信资源以及内容,然后才能够向客户提供密码操作的服务。

1.2对访问者进行访问控制的技术

审查与控制通信网络信息资源的访问权限,就能够有效地防范通信网络的信息资源,这种防范机制不仅将访问客体的身份限制进行了规定,同时还控制住了访问客体的访问权限以及访问资源。

1.3将硬件做好防护技术

要想做好对通信网络信息安全的防护工作,利用硬件防护技术是主要的手段之一,防火墙以及相对应的监测设备等硬件设施是硬件防护技术的主要方法,同时利用物理隔离以及主机加密等等一些措施也是能够起到对通信网络基础设施的信息安全进行有效地防范的。

1.4设置专门的软件进行防护技术

要想有效地实现对通信信息网络的安全的防护,还可以通过设置专门的软件进行防护,例如通过日志审计以及关键字侦查这些措施也是能够起到一定的作用的。

2.通信网络信息安全的应用研究

伴随着信息技术的飞速发展,通信网络也在不断地向前发展着,通信网络慢慢地从2G发展到了3G。3G网络系统的安全是可以分为应用层、服务层和传输层这三个层面的,因此要想针对3G通信网络实现信息的安全保护,可以通过如下几个方面对其来进行技术革新和安全保护。

2.1接入网的安全技术

要想对3G通信网络的信息安全进行防范首先就必须考虑接入网的安全技术。接入网是什么?接入网是指由用户与网络接口(UNI)到业务节点接口(SNI)之间的一系列传送实体所组成的全部设施。把电信业务透明传送到用户手中就是接入网的主要职责,具体一点来说就是将本地交换机与用户之间的连接部分相连接起来。同时在3G信息网络系统当中,由于3G网络所提供的业务准入机制和接口规范相比较而言是更为规范与全面的,因此在接入网方面就可以做到让GMS网络向3G网络过渡的过程比较的平滑与安全,最终实现进入到3G网络的目的。

2.2网络传输层的安全

要想对3G通信网络的信息安全进行防范除了要考虑接入网的安全技术之外,其次应该考虑的就是网络传输层的安全。当信息在网络传输层之中进行传输的时候,因为每隔一个部分就会存在着一个网络节点,或者是交换器,又或者是路由器,因此当信息在网络传输层当中进行传输的时候,信息就会遭受着被窃取的风险,所以目前对于在网络传输层当中信息传输的安全问题也是社会上所关注的焦点问题之一。根据目前的信息安全保障措施来看,对于网络传输层的信息进行风险防范的主要手段是物理隔离。然而,还有一个重大的问题需要考虑和解决的就是该怎么样做才能够保证在保证网络传输层的信息安全的同时让用户终端信息传输的安全也得到实现。

2.3代码安全技术

在3G通信网络当中,利用代码来保证信息传输的安全性是其最大的特点。在整个通信网络当中对信息的安全的保护是有一套完整的代码来控制的,从信息的源头也就是制造商开始,到信息的运营商,最后再到信息的终端也就是信息的接受方这整个过程都是受其的保护的,并且在信息的终端,为了确保信息的安全性,对其的代码保密也会大大的加强。

3.网络通信信息安全的防范机制的进一步的完善

要想使网络通信系统当中的信息安全得到保证,不仅需要从信息的流向渠道方面做文章,同时也还要注意从信息安全的角度来进行防范。以我国的移动通信网络运营商为例,我国的移动、联通和电信等等,都在将GSM网络进行着IP化的演进,这样做除了能够让通信网络的业务服务内容和服务范围进一步的得到扩宽之外,更重要的是能够保护通信网络信息的安全,并且这样做是符合时代的潮流的,因为目前国内的大部分的移动通信网络都是基于IP网络来实现信息安全保护的。为了构建IP化的通信网络,让网络通信当中的信息安全得到加强,可以从以下几个方面来加强管理。(1)从管理人员方面来看,要想保证网络通信之中的信息安全,就必须要让管理人员首先就能够从思想上认识到网络信息安全的重要性,因此就需要技术人员和管理人员能够具备专业的知识,对通信网络设备的管理和技术服务能够加强。(2)从网络通信设备方面来看,要想让网络通信的信息安全得到保证,也需要防护网络通信设备的安全,例如交换器和路由器中的网络节点也需要对其进行定期的升级,预防在信息传输过程当中信息遭受到安全威胁。(3)从网络通信的架设与结构方面来看,对网络通信的结构设计也会影响网络通信之中的信息的安全性的,因此就需要从结构设计方面就要加强对其安全性的防范,通过日志检测和病毒查杀等等几个方面让网络通信的安全机制能够得到全方位的防范,同时对于网络通信的备份能力以及故障自己诊断的能力也要提高,要通过这种方式让网络通信的信息安全的应用水平得到提升。综上所述,每一种网络都无一例外会存在着不同程度的信息安全问题和安全风险,因此保证网络通信的信息安全就显得尤为重要了,而要想将网络通信的信息安全性能提高,首先就需要从信息的传输流向方面入手,从信息的源头到信息的接受这一系列的过程,建立一个完整的安全信息的传输机制。

本文作者:郑威工作单位:华中科技大学文华学院

第六篇:央行信息安全内涵和策略

一、人民银行信息安全内涵

人民银行信息安全内涵非常广泛,基本上可包括9个方面。一是物理安全,包括环境、硬件、数据、媒介、人员所面临的威胁及其对策。二是灾害重建计划,包括面对潜在的安全风险时事先应作的评估。计算和应对风险的预案,以及一旦灾害发生后应如何尽快恢复正常生产,是一个短期的、在非常时期的应急计划。三是安全结构和模式,包括计算机和网络的原理、结构、安全模式及其安全行为的准则。四是应用和系统开发,主要包括在数据库、分布式环境、操作系统中的安全组件和软件开发周期和控制。五是通信和网络安全,包括内联网及因特网上公开和隐秘的通信、网络结构、网络协议、远距访问和管理。六是访问控制领域,包括合法用户的身份识别,允许获取什么样的网络资源,能执行什么样的操作,以及辨识、鉴别、授权、监视和审计活动。七是安全管理实践,主要包括如何正确保护人民银行资产,如何制定正确、有效的安全政策、标准、指导大纲和实施步骤。八是操作安全,尽管人民银行制定了许多政策、规章制度,应用了许多先进技术,但是在实际操作、运行中,总会发生许多偏差,或是人员不遵章守纪,或是设备偏离预设参数,因此,有必要对人、硬件、系统的实际运行进行控制,强制遵守标准和规范,而“操作安全”则是对“安全管理实践”的具体落实。九是法规和道德规范,主要包括规章操作、计算机犯罪和适用的法律、条例,以及对违规操作、玩忽职守、计算机犯罪的调查、取证、犯罪证据保管等。

二、人民银行信息安全策略

安全策略是指在一个特定的环境中,为保证信息系统达到一定级别的安全保护而制定的规划、规则和所采取的措施。制定安全策略的目的是保证信息安全保护工作的整体、计划性及规范性,保证各项措施和管理手段的正确实施,使信息系统数据的机密性、完整性及可使用性受到全面、可靠的保护。信息安全的成败取决于技术和管理这2个因素。安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。实现安全策略,不但要依靠先进的技术,而且要靠严格的安全管理、规章制度的约束和安全教育。

(一)先进的安全技术是实现网络信息安全的根本保障

人民银行应对各种信息安全威胁进行风险评估,决定选择何种安全产品和服务,确定相应的安全机制,之后集成先进的安全技术,形成一个全方位的安全体系。

(二)严格的安全管理是保障网络信息安全的有效手段

大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于真正实现信息安全目标来说尤其重要。信息安全管理作为组织完整的管理体系中一个重要环节,它构成信息安全能动性的部分,是指导和控制组织关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。人民银行应加强内部管理、用户管理和授权管理,建立安全审计和跟踪体系,不断提高整体安全意识。

(三)完善的法规制度是保证人民银行网络信息

安全的重要武器对于规章操作、计算机犯罪、黑客攻击、计算机病毒、计算机经济间谍和计算机欺诈等不良行为要制定相应的法规制度;对信息资源安全管理要有相应的制度规范;对计算机知识产权保护和隐私保护,也应有相应的法规约束。只有不断增强广大职工和系统操作人员的安全意识和法制观念,才能保证网络信息安全落到实处。

(四)重视安全管理建设

人民银行各级机构应成立计算机信息安全组织机构,建立切实可行的规章制度;人民银行各级机构领导要高度重视,牢固树立群防群治意识,以保证信息安全。

三、人民银行信息安全解决方案

第一,应确立人民银行网络系统安全的建设目标和策略;第二,应根据实际需要选择切实可行的技术方案,以“整体优化”的原则构架多层次、全方位的安全防御体系;第三,认真实施方案,加强系统管理,制定培训计划和提出网络安全管理措施。总之,完整的安全解决方案应该覆盖网络的各个层面,并与日常管理相结合。确定人民银行网络及应用系统安全解决方案则需从系统不同层次着手。

(一)物理层安全防护

主要通过制定物理层面的管理规范和措施加以实施,如人民银行机房环境管理规定,设备运行管理规定等。

(二)链路层安全防护

主要通过链路加密设备对所有用户数据统一加密保护,用户数据经由通信线路送到另一节点解密,如建立人民银行保密专用网络,配置专用加解密通信软件。

(三)网络层安全防护

主要采用防火墙技术作为安全防护手段,实施初级的安全防护。同时,可根据一些协议实施加密保护,还可结合入侵检测进行系统集成,以构建人民银行主动式防火墙综合防护体系。

(四)传输层安全防护

传输层处于通信子网与资源子网之间,起着承上启下的作用。传输层可支持各种安全服务,即访问控制服务、数据加密服务、数据完整性服务、数据源认证服务等。

(五)应用层安全防护

原则上,所有的安全服务都要在应用层提供。在应用层可以实施基于用户的身份认证,它也是实施数据加密、访问控制的理想位置。在应用层还可采取加强数据备份和信息恢复措施,同时对资源(各种数据和服务)的有效性进行控制。由于应用层的安装防护面向用户和应用程序,因此可实施精细的安全控制。

四、结语

人民银行网络信息安全问题是一个系统工程,涉及技术管理和立法等方方面面,同时,它又是一个不断发展的动态过程。因此,我们一定要以“信息安全就是国家安全”的意识,用系统集成的“整体优化”观念,构架多层次、全方位的安全防御体系。只有这样,才能为人民银行业务及金融事业的发展保驾护航,进而为国家社会经济快速发展提供有力保障。

本文作者:陈永义工作单位:中国人民银行淮北市中心支行