第一篇:G 第十六章 推荐的信息安全策略大全
第十六章 推荐的信息安全策略
由FBI主导的调查结果显示,超过90%的大企业和政府机构遭受过计算机入侵者的攻击,美联社在2002年4月对其进行了报导。有趣的是,只有大约三分之一的公司报导或公开了这些攻击,沉默意味着他们学到了很多东西,为了避免失去客户的信任,为了防止更多入侵者的出现,大部分的商业公司不会公开报导计算机安全事件。
似乎没有任何社会工程学攻击的统计,就算有,数据也很不可靠,在大部分情况下一家公司永远也不会知道社会工程师已经“偷走了”信息,因此许多攻击都没有记录。
有效的策略能针对大多数的社会工程学攻击类型进行防范,但是让我们现实——除非企业里每一个人都认识到安全的重要性并把它作为他(或她)的职责(遵守公司的安全策略),否则社会工程学攻击将永远是企业面临的严重威胁之一。
事实上,针对安全攻击的技术手段一直在进步,通过社会工程学途径获取私有的公司信息或渗透企业网络,这种攻击将越来越频繁并引起信息窃贼的关注。商业间谍通常会选择使用最简单同时也是最隐蔽的方法来达到他(或她)的目标。事实上,那些使用了最先进的安全技术保护计算机系统和网络的公司,可能会面对更多来自于使用社会工程学策略和方法的攻击。
本章介绍了防范社会工程学攻击的详细策略,这些策略除了针对基于技术漏洞的攻击,还涉及到几种引导信任的员工提供信息或执行操作的骗局,阻止攻击者访问敏感商业信息或企业计算机系统与网络。
什么是安全策略?
安全策略是指导员工行为、保护信息安全的明确指南,是安全体系中防范潜在威胁的重要组成部分,这些策略在察觉并防范社会工程学攻击时尤其有效。
有效的安全管理需要培训员工精心设计的策略和程序,然而,即使每一个员工都严格地遵守了安全策略,也无法保证防御所有的社会工程学攻击。相反,合理的目标总是能用可接受的标准减小威胁。
在这里介绍的这些策略包括了一些与社会工程学攻击无关的防范措施,之所以放在这里,是因为它们涉及到了一些攻击者常用的技术。例如,email附件攻击——可以安装特洛伊木马软件让攻击者控制受害者的电脑——就被定义为计算机入侵者频繁使用的方法。
制定程序的步骤
一个全面的信息安全程序通常从威胁评估开始:
需要保护哪些企业信息资产?
有哪些针对这些资产的具体威胁?
如果这些潜在的威胁成为现实会对企业造成哪些损失?
威胁评估的主要目标是对需要立即保护的信息资产按优先次序排列,而不是对安全措施进行成本效益分析。首先想一想,哪些资产需要首先保护,保护这些资产需要花多少钱。高级管理人员的支出和对安全策略和信息安全程序的大力支持非常重要。正如其它的企业程序一样,如果一个安全程序成功了,管理层可以对其进行推广,前提是要有个人案例证明其有效性。员工们需要意识到信息安全和保护公司商业信息的重要性,每一个员工的工作都依赖于这一程序的成功。
设计信息安全策略蓝图的人需要以非技术员工也能轻松理解的通俗方式书写安全策略,并解释为什么这些是重要的,否则员工可能会认为一些策略是在浪费时间而对其忽略。策略书写者应当创建一份介绍这些策略的文档,并把它们分开来,因为这些策略可能会在执行的时候有小范围的修改。
另外,策略的书写者应当了解哪些安全技术能被用来进行信息安全培训。例如,大部分的操作系统都能用指定的规则(比如长度)限制用户密码。在一些公司,可以通过操作系统的本地或全局策略阻止用户下载程序。在允许的情况下,策略应当要求使用安全技术代替人为的判断。
必须忠告员工不遵守安全策略与程序的后果,应当制定并宣传违反策略的处罚。同样,要对表现优异或者发现并报告了安全事件的员工进行奖励。当一名员工受到奖励时,应当在公司范围内广泛地宣传,比如在公司时讯中写一篇文章。
安全培训程序的一个目标是传达安全策略的重要性和不遵守这些规则的后果。拜人性所赐,员工们有时候会忽略或绕过那些看上去不合理或者太费时间的策略。管理层有责任让员工们了解其重要性与制定这些策略的原因,而不是简单地告诉他们绕过策略是不允许的。
值得注意的是,信息安全策略不是固定不变的,就像商业需要变化一样,新的安全技术和新的安全漏洞使得策略在不断的修改或补充。应当加入常规的评估与更新程序,可以通过企业内网或公共文件夹让企业安全策略与程序不断更新,这增加了对策略与程序频繁审核的可能性,并且员工可以从中找到任何与信息安全有关的问题和答案。
最后,使用社会工程学方法与策略进行的周期性渗透测试与安全评估应当暴露出培训或公司策略和程序的不足。对于之前使用的任何欺骗渗透测试策略,应当告知员工有时候可能会进行这种测试。
怎样使用这些策略
本章中介绍的详细策略是我认为对减轻所有安全威胁非常重要的信息安全策略子集,因此,这些策略并不是一个完整的列表,更确切的说,它们是创建合适的安全策略的基础。
企业的策略书写者可以基于他们公司的独特环境和商业目的选择适合的策略。每一家有不同安全需求(基于商业需要、法律规定、企业文化和信息系统)的企业都能在这些介绍找到所需的策略,而忽略其它的内容。
每一种策略都会提供不同的安全等级选择。大部分员工都互相认识的小型公司不需要担心攻击者会通过电话冒充员工(当然攻击者还可以伪装成厂商)。同样,一家企业文化轻松休闲的公司可能会希望只用这些策略中的一部分来达到它的安全目标,虽然这样做会增加风险。
数据分类
数据分类策略是保护企业信息资产、管理敏感信息存取的基础。这一策略能让所有员工了解每一种信息的敏感等级,从而提供了保护企业信息的框架。
没有数据分类策略的操作——几乎所有公司的现状——使得的大部分的控制权掌握在少数员工手里。可想而知,员工的决定在很大程度上依赖于主观判断,而不是信息的敏感性、关键程度和价值。如果员工不了解被请求信息的潜在价值,他们可能会把它交到一名攻击者手里。
数据分类策略详细说明了信息的贵重程度。有了数据分类,员工就可以通过一套数据处理程序保护公司安全,避免因疏忽而泄漏敏感信息,这些程序降低了员工将敏感信息交给未授权者的可能性。
每一个员工都必须接受企业数据分类策略培训,包括那些并不经常使用计算机或企业通信系统的人。因为企业中的每一个人——包括清洁工、门卫、复印室职员、顾问和承包人,甚至是实习医生——都有可能访问敏感信息,任何人都能成为攻击的目标。
管理层必须指定一个信息所有者负责公司目前正在使用的任何信息,信息所有者的职责之一就是保护信息资产。通常,所有者负责确定基于信息保护需要的分类等级,周期性地评估分类等级,并在必要的时候对其进行修改,信息所有者可能还会负责指定管理人员或其他人员来保护数据。
分类类别与定义
应当基于敏感程度将信息分成不同的分类等级。一旦建立了详细的分类系统,重新分类信息将十分昂贵和费时。在我们的策略范例中,我选择了4个适合几乎所有大中型企业的分类等级。依靠敏感信息的编号和分类,商业公司可以选择增加更多分类以适应将来的特殊类型。在小型商业公司,三个等级的分类方案可能就够了。记住——分类方案越复杂,企业培训员工和执行方案的费用就越高。
机密是最敏感的信息分类,机密信息只能在企业内部使用。在大多数情况下,机密信息只能让少数有必要知道的人访问。机密信息的泄漏会严重影响到公司(股东、商业伙伴和(或)客户)。机密信息通常包括以下内容:
商业机密信息、私有源代码、技术或规格说明书、能被竞争者利用的产品信息。并不公开的销售和财政信息。
关系到公司运转的其它任何信息,比如商业战略前景。
私有是仅在企业内部使用的个人信息分类。如果未授权的人(尤其是社会工程师)获得了私有信息,员工和公司都将受到严重影响。私有信息内容包括:员工病历、健康补助、银行帐户、加薪历史,和其它任何没有公共存档的个人识别信息。
注释:
内部信息分类通常由安全人员设定,我使用了“内部”这个词,因为这是分类使用的范围。我列出的这些敏感分类并不是详细的安全等级,而是查阅机密、私有和内部信息的快捷方式,用另一句话说,敏感程度涉及到了任何没有指定为公共权限的公司信息。
内部信息分类能提供给任何受雇于企业的员工。通常,内部信息的泄漏不会对公司(股东、商业伙伴、客户或员工)造成严重影响,但是,熟悉社会工程学技能的人能用这些信息伪装成一个已授权的员工、承包人或者厂商,从没有丝毫怀疑的员工那里获得更多敏感信息突破企业计算机系统的访问限制。
必须在传递内部信息给第三方(提供商、承包人、合作公司等等)之前与其签署一份保密协议。内部信息通常包括任何在日常工作中使用的、不能让外部人员知道的信息,比如企业机构图、网络拨号号码、内部系统名、远程访问程序、核心代码成本、等等。
公共信息被明确规定为公共可用。这种信息类型,比如新闻稿、客服联系信息或者产品手册,能自由地提供给任何人。需要注意的是,任何为指定为公共可用的信息都应当视为敏感信息。
数据分类术语
基于其分类,数据应当由不同的人负责。本章中的许多策略都提到过不允许身份未验证的人访问信息,在这些策略中,未验证的人指的是员工并不亲自认识的人和不能确定是否有访问权限的员工,还有无法保证可信的第三方。
在这些策略中,可信的人是指你亲自见过的、有访问权限的公司员工、客户或者顾问,也可以是与你的公司有合作关系的人(比如,客户、厂商或者签署了保密协议的战略合作伙伴)。
在第三方的保证中,可信的人可以验证一个人的职业或身份,和这个人请求信息或操作的权限。注意,在某些情况下,这些策略会要求你在响应信息或操作请求之前确认保证者仍然受雇于公司。
特权帐户是指需要超越基本用户帐户权限的计算机(或其它)帐户,比如系统管理员帐户。有特权帐户的员工通常能更改用户权限或执行系统操作。
常规部门信箱是指回答一般问题的语音信箱,用来保护在特殊部门工作的员工的名字和分机号码。
验证与授权程序
信息窃贼通常会伪装成合法的员工、承包人、厂商或商业伙伴,使用欺骗策略访问机密商业信息。为了保护信息安全,员工在接受操作请求或提供敏感信息之前,必须确认呼叫者的身份并验证他的权限。
本章中推荐的程序能帮助一名收到请求(通过任何通讯方式,比如电话、email或传真)的员工判断其是否合法。
可信者的请求
针对可信者的信息或操作请求:
确认其是否当前受雇于公司或者有权访问这一信息分类,这能阻止离职员工、厂商、承包人、和其他不再与公司有关系的人冒充可信的职员。
验证此人是否有权访问信息或请求操作。
未核实者的请求
当遇到未核实者的请求时,必须使用一个合理的验证程序确认请求者是否有权接收请求的信息,尤其是当请求涉及到任何计算机或计算机相关的设备时。这一程序成功防范社会工程学攻击的关键:只要实施了这些验证程序,社会工程学攻击成功的可能性将大大减小。
需要注意的是,如果你把程序设置得过于复杂,将超过成本限制并被员工忽略。
下面列出了详细的验证程序步骤:
验证请求者是他(或她)所声称的那个人。
确认请求者当前受雇于公司或者与公司有须知关系。
确认请求者已被授权接收指定信息或请求操作。
第一步:验证身份
以下列出的推荐步骤按有效性从低到高排列,每一条中还加入了社会工程师行骗的详细说明。
1、来电显示(假设这一功能已经包括在了公司的电话系统之中)。用来电显示确认电话是来自公司内部还是公司外部,显示的名字和电话号码是否符合呼叫者提供的身份。
弱点:外部来电显示信息可以被任何能用PBX或者电话交换机连接到数字电话服务的人伪造。
2、回拨。在公司的目录中查询请求者的名字,并通过列出的分机号码回拨确认请求者的身份。
弱点:当员工回拨电话时,准备充分的攻击者可以将其呼叫转移到一个外部的电话号码。
3、担保。由一个可信的人为请求者的身份担保。
弱点:攻击者可以伪装成一个可信员工,让另一个员工为他担保。
4、接头暗号。在企业范围内使用接头暗号,比如每日密码。
弱点:如果有很多人知道这个接头暗号,攻击者也可以轻易地知道。
5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
弱点:如果请求者提供了他(或她)的上司的电话号码,员工联系上的也许是攻击者的同谋。
6、安全Email。请求数字签名信息。
弱点:如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码,他便可以像普通员工一样发送数字签名email。
7、个人语音识别。通过声音判断请求者的身份。
弱点:这是相当安全的方法,攻击者无法轻易突破,但是如果没有见过请求者(或者和请求者说过话),这一方法就没有任何用处。
8、动态密码方案。请求者通过一个动态的密码方案(比如安全ID)识别自身。
弱点:攻击者可以获取其中的动态密码设备和相应的员工PIN码,或者欺骗员工读出PIN设备上显示的信息。
9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
弱点:攻击者可以偷窃员工证件,或者直接伪造一张。然而,攻击者通常会避免这样做,以减小被发现的可能性。
第二步:验证员工身份
最大的信息安全威胁并不是专业的社会工程师,也不是熟练的计算机入侵者,而是刚刚解雇想要报复或者偷窃公司商业信息的员工。(注意,这一步骤的另一个版本可用于和你的公司有另一种商业关系的人,比如厂商、顾问或契约工人)
在提供敏感信息给另一个人或者接受计算机或计算机相关的设备指示操作之前,使用下面这些方法验证请求者是否仍是公司的员工:
查看员工目录。如果公司有一份活动员工目录,可以查看请求者是否仍在列表中。请求者的上司核对。用公司目录上列出的电话号码打电话给请求者的上司,而不是使用请求者提供的号码。
请求者的部门或工作组验证。打电话给请求者的部门或工作组,从该部门或工作组的任何人那里确认请求者仍是公司的员工。
第三步:验证权限
除了验证请求者是否为活动员工或者与公司有关联之外,仍然有必要确认确认请求者已被授权访问所请求的信息,或者已被授权指导指定的计算机或计算机相关的设备操作。
可以使用以下这些方法进行验证:
职位/工作组/职责列表。企业可以使用一张列表说明指定的员工可以访问哪些指定信息,并通过员工的职位、部门、工作组、职责或者综合这些进行分类。这一列表需要不断更新并提供授权信息的快捷访问方式。通常,信息所有者应当负责创建并维护这一列表,监控信息的访问。
注释
值得注意的是,维护这种列表是在邀请社会工程师,试想一下,如果攻击者将一家公司作为目标,就会知道这一列表的存在,并有足够的兴趣获取一份,这一列表能为攻击者打开方便之门,使公司陷入严重的危机之中。
获得上司授权。员工联系他(或她)自己的上司,或者请求者的上司,请求授权同意这一请求。
获得信息所有者或指定人员的授权。信息所有者可以决定是否允许访问,基于计算机的访问控制程序可以让员工联系他(或她)的顶头上司申请访问基于工作任务的信息,如果这一任务不存在,管理人员有责任联系相关的数据所有者请求许可。这一管理系统的实施应当保证信息所有者不会拒绝常用信息的请求。
获得专业软件程序授权。对于高竞争性产业的大公司,可以使用专业软件程序进行授权。这种软件的数据库中存储了员工的姓名和机密信息访问权限,用户无法查看每个人的访问权限,但可以输入请求者的名字,并找到相关的权限信息。这种软件提供了响应标志,可以判断员工是否已被授权访问这一信息,并用独立的权限信息消除了创建个人列表的危险性。
第二篇:信息安全策略
信息安全策略
是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。尽管信息安全策略是廉价的实施控制方式,但它们也是最难实施的。策略花费的仅仅是创建、批准、交流所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。即使是雇佣外部顾问来辅助制定策略,与其它控制方法(特别是技术控制)相比,其花费也是较小的。策略的制定需要达成下述目标:减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。
信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。组织为高层主管、董事会成员、战略伙伴以及员工提供了内部信息系统,对信息系统中信息特性的理解,能为策略制定提供有用的依据。应当重视对信息系统了解深刻的员工,所提出的组织当前信息的主要特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。
在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结,也是一份有价值的资料。也需要召开相关人员会议,比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等。
为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件,例如计算机操作策略、应用系统开发策略、人力资源策略、物理安全策略。也可以参考国际标准、行业标准来获得指导。
资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。资料收集不全,调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。也无法确保策略中的要求与管理目标相一致。如果提出一套与组织文化明显不一致的策略,更是一件很尴尬的事情。
在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。例如,互联网访问控制策略可使安全体系结构具体化,也有利于选择和实施恰当的防火墙产品。
收集完上面所提到的材料后,也就是调研阶段完成后,开始根据前期的调研资料制定信息安全策略文档初稿。初稿完成后,应当寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后,逐渐的扩大评审的范围。当所有的支持部门做出修改后,交由信息安全管理委员会评审。
信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。
评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置,并附有高层管理者的签名,以表明信息安全策略文档
得到高层领导强有力的支持。如果让首席执行官签名不现实,由首席信息官签名也可以。要注意仅有信息安全部门主管或同级的部门主管签名,一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意很难实施,但经验表明,高层的支持对策略的实施落地是非常重要的。
一般来说,在信息安全策略文件评审过程中,会得到组织内部各方多次评审和修订,其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成,参与者一般包括以下部门的成员:信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼已提交的策略,以便在整个组织内更好的实施落地。如果组织内还没有信息安全管理委员会,在制定信息安全策略的时候正是建立管理委员会的好时机,或由组织内已存在的同职能部门担任职责。
虽然制定了新的安全策略,还必须有一个适当的实施过程,如果这些策略不能得到实施,将起不到任何作用,不能得到执行的策略,可能比完全没有策略更糟糕,因为这样会教会员工作假和质疑组织内部执行力,这也可能麻痹管理者认为信息安全为题已经处理虽然现实是另外一回事。
管理层常以为员工行为当然以组织利益为重,这是一个欠考虑的想法。虽然策略不可能影响员工的个人价值观,但管理层可以运用策略给员工提供机会,引导他们和组织的利益一致。策略告诉员工组织对他们的期望是什么。
新策略发布前,应在内部信息技术部门或审计部门内讨论如果具体实施。新策略的执行可能会遇到多样化的问题。可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。发现和惩罚违反策略的员工并不是目的。如果大量的人都不遵守,这就表明策略和相关的意识提升是无效的。在此情形下,需要寻找更有效的方式实施,或修改策略,以便更好的反映组织文化。
另有一些策略实施的建议:
在组织内部网站或一些媒体发布策略—新策略应发布在组织内部网站上,加入相关链接让用户能很快定位感兴趣的材料。
制定自我评估调查表—在新的策略实施时,制定评估表,填写实施情况,就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。
制定遵守信息安全策略的员工协议表——应当编辑一个反映员工该如何遵守信息安全策略的法律协议表,或直接体现在员工合同中。
建立考察机制检查员工是否理解策略——调查员工是否理解安全策略文档中的重点。通过考试确定是否要增加培训和通告。
基础信息安全培训课程——培训课程通过录像或培训软件存档。不同策略对象可能要不同的培训课程。
分配策略落实负责人——按部门或实际情况分配负责人,落实责任。
第三篇:税务系统信息安全策略
论文编号:6G21112101
税务系统信息安全策略
刘宏斌 李怀永
内容题要:
随着税收信息化程度不断提高,税收工作对信息系统的依赖性不断增大,税务信息安全显得更加重要。本文主要通过分析税务信息化的网络安全的重要性和内部网网络信息存在的安全问题来提出税务信息化的网络安全实施方案。
关键词:税务信息化、信息安全、安全策略
计算机软硬件技术的发展和互联网技术的普及,为电子税务的发展奠定了基础。尤其是国家金税工程的建设和应用,使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入,但却面临着系统安全性的难题。虽然我国税务信息化建设自开始金税工程以来,取得了长足进步,极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题,各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高,基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络安全威胁不容忽视。建立税务管理信息化网络安全体系,要求人们必须提高对网络安全重要性的认识,增强防范意识,加强网络安全管理,采取先进有效的技术防范措施。本文主要通过分析税务信息化的网络安全威胁和内部网网络信息管理的安全策略和技术来提出税务信息化的网络安全实施方案。
一、税务机关信息安全的重要性
税收是国家财政收入的重要途径,相关的税务系统业务要求其具有准确性、公证性和完整性的特点,随着税收信息化程度不断提高,税收工作对信息系统的依赖性不断增大,税务信息安全显得更加重要。税务信息系统已经覆盖到全国乡镇,点多面广,信息安全防范难度加大,税务机关信息系统安全基础条件不足、管理力量薄弱,成为税务信息安全的重点和难点。因此保证税务信息系统的安全性意义重大。税务系统作为电子政务系统的一部分,属国家基础信息建设,其基本特点是:网络地域广、信息系统服务对象复杂;税务信息具有数据集中、安全性要求高;应用系统的种类较多,网络系统安全设备数量大,种类多,管理难度大。税务系统是一个及其庞大复杂的系统,从业务上有国税、地税之分,从地域来说通过总局、省局、市局数据中心的三层数据分布和总局、省局、市局及县/区级、分局/所五层网络管理结构。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统,其内部安全隐患随处可见,经过不断的研究和探索,目前已经积累了大量解决税务系统信息基础设施安全的方法和经验,形成一整套税务系统的安全保障方法,相关安全保障的体系也在不断完善和发展中。
二、税务系统内部网存在的安全问题
税务信息化的网络为计算机内部网,内部网是独立于其他任何网络的独立网络,这里所谓的独立是指的物理上的独立,因此保证保密内部网的网络与信息安全也具有特有的要求。税务内网安全的问题主要表现为:
1、物理地域广。内网设备地理位置分散,内网用户水平参差不齐,承载业务不同,安全需求各异,从而决定了内网安全建设的复杂性和多元性;
2、网络边界的扩大。远程拨号用户、移动办公用户、VPN 用户、分支机构、合作伙伴、供应商、无线局域网等等已经大大地扩展了网络的边界,使得边界保护更加困难;税务分局、税务所等分支机构的局域网与上级税务骨干网的连接,无论采用ADSL、XDSL宽带,还是采用DDN、SDH专线,基本没有路由安全和防止入侵的技术措施。
3、病毒/蠕虫/特洛伊木马。病毒蠕虫大规模泛滥、新的蠕虫不断出现,给内网用户带来损失,以及网络出现病毒、蠕虫攻击等安全问题后,不能做到及时地阻断、隔离;一般是以寻找后门、窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性。由于具有很强的隐蔽性,用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。部分内部网络终端缺少有效的安全防护,业务资料和私人信息混存,不设开机口令,没有读写控制,业务系统登录口令简单且长期不变,移动存储设备不按规定使用,病毒和垃圾信息充斥。
4、身份欺骗。内网安全防范措施相对脆弱,不能有效抵御来自内外部的入侵和攻击的问题,安全策略不能得到及时地分发和执行,最终导致安全策略形同虚设;主要方式有:IP欺骗、ARP欺骗、DNS 欺骗、Web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
5、内网非法主机外联。非法主机的接入、内部网非法通过 Modem、无线网卡非法外联等的安全防范不足从而引入安全风险。有的终端在内部网和互联网之间来回换用,一些只应在内部网上运行的操作系统、应用软件和业务数据没有与互联网实行“隔离”,存在潜在风险。
6、缺乏上网行为管理监控。缺乏对内网用户行为(收发邮件,Web 页面访问,文件上传下载等等)进行监控的手段,导致组织机密信息和隐私泄漏。内部网上设备和信息共享范围广,信息发布和公开比较随意,不少重要或敏感信息只有发布没有管理,缺少防止恶意攻击信息系统和窃取保密信息的技术手段和措施。内外网间的安全解决方案和选购的设备等,不少没有经过权威部门的检测和认定,系统运行中缺少严格的跟踪监控,存在安全隐患。
7、其他安全威胁缓冲区溢出。缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上,一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。
三、税务信息化的网络安全实施方案
1、做好信息安全风险评估
为确保税务信息资产的安全,应定期组织业务、技术和管理等专业人员进行信息安全风险评估,制定科学的安全预算。
信息安全评估应着重于以下问题:
(1)确定可能对信息资产造成危害的威胁,包括计算机病毒、黑客和自然灾害等。
(2)通过历史资料和专家的经验确定威胁实施的可能性。(3)对可能受到威胁影响的信息资产确定其价值、敏感性和严重性,以及相应的级别,确定所有信息资产的重要程度。
(4)对最重要的、最敏感的信息资产,确定一旦威胁发生其潜在的损失或破坏。
(5)准确了解网络和系统的安全现状。(6)明晰网络和系统的安全需求。(7)确定网络和系统的安全策略。(8)制定网络和系统的安全解决方案。
(9)向上级提交安全保障体系建设的意见和建议。
(10)通过项目实施和培训,培养自己的安全技术骨干及队伍。
2、加强信息安全管理
信息安全“三分技术,七分管理”,安全管理是信息安全的核心,建立健全安全管理制度是安全管理的关键。规范化的安全管理,能够最大限度地遏制或避免各种危害,是保障计算机信息安全的最重要环节。
(1)建立健全信息安全管理组织,明确领导体制和工作机制。(2)建立健全信息安全管理制度, 落实安全防范责任制。(3)广泛开展计算机信息安全宣传,提高全员信息安全意识,建立信息安全培训机制,组织开展多层次、多方位的信息安全培训,提高全员信息安全防范技能。
(4)开展经常性的安全检查,切实整改安全隐患,不断改进信息安全管理工作。
(5)科学评定信息系统及信息资产的重要级别,确定信息安全工作重点,制定近、中、远期信息安全工作规划。
3、完善信息安全技术手段
信息安全离不开安全技术的实施和安全技术防范体系的建立。基层单位要以协助和配合总局、省局统一的信息安全体系建设为主,自主建设为辅,且以内网和内部的防范为重点。
(1)病毒防范:建立严密的、全方位的、统一的网络病毒防范系统,实行统一的杀毒组件分发、维护、更新和报警等,重点防控网络终端、移动存储设备的病毒入侵和传染。
(2)身份鉴别与访问控制:严格设定所有应用系统用户的岗位和权限,改变传统的用户名加口令的办法,使用基于密码技术、生物统计技术等新型的、可靠的电子身份鉴别技术,把好进入系统的第一道关卡,防止非授权用户进入各级信息系统。
(3)安全审计:对网络的Web浏览、Web发布、邮件、即时通信、FTP和远程登录等行为进行全面审计,对重要数据库的访问对象、访问时间、访问类型和访问内容进行严密跟踪,及时掌握整个网络动态,发现网络入侵和违规行为,记录网上一切行为,为安全事件的处置和查证提供全面依据和确凿证据。
(4)入侵检测:对内部网中主要的网段进行实时入侵监测,动态地监测网络内部活动并做出及时的响应,及时发现网上攻击行为并作出得当的处置。
(5)信息加密:对重要信息资料、数据进行加密存储和传输,防止重要信息被篡改、伪造、窃取和泄漏。
税务机关要立足实际,切实解决好人员、资金、技术问题,把信息安全管理工作放在应有位置,逐步实现信息安全的规范化、制度化管理,不断建立和完善信息安全技术防范体系,为税收征管信息化提供有力的安全保障。
结束语
解决信息系统的安全不是一个独立的项目问题,安全策略包括各种安全方案、法律法规、规章制度、技术标准、管理规范等,是整个信息系统安全建设的依据。现有的安全保障体系一般基于深度防御技术框架,若能进一步利用现代信息处理技术中的人工智能技术、嵌入式技术、主动技术、实时技术等,将形成更加完善的信息安全管理体系。税务信息安全直接关系到税收信息化建设的成败,必须引起税务机关和每一位税务人的重视。科学技术的发展不一定能对任何事物的本质和现象都产生影响,技术只有与先进的管理思想、管理体制相结合,才能产生巨大的效益。
参考文献:
(1)戴宗坤,罗万伯等.信息系统安全[M].电子工业出版社,2002.(2)黄章勇.信息安全概论.2005年第1版.出版社:北京邮电大学出版社, 2005:7-58(3)孙锐,王纯.信息安全原理及应用.2003年7月第1版.清华大学出版社,2003:17-21(4)王聪生.信息与网络安全中的若干问题.电力信息化[J],2004(7).(5)白岩, 甄真, 伦志军, 周芮.计算机网络信息管理及其安全.现代情报[J],2006,8(8).(6)王纯斌.浅议计算机网络信息安全管理.哈尔滨市委党校学报[J],2006(9).(7)赵月霞.信息网络安全设计与应用.宁夏电力[J],2004(1).(8)陈月波.网络信息安全[M].武汉:武汉理工大学出版社,2005.(9)钟乐海,王朝斌,李艳梅.网络安全技术[M].北京:电子工业出版社,2003.(10)张千里.网络安全基础与应用[M].北京:人民邮电出版社,2007.(11)吴金龙,蔡灿辉,王晋隆.网络安全[M].北京:高等教育出版社,2004.(12)熊心志.计算机网络信息安全初探.计算机科学.2006, 33卷.B12 期:60-62(13)网络信息安全及防范技术分析.中国科技信息.2006,16期:149-151
(作者单位:盘锦市大洼县国税局)
第四篇:信息安全策略纲要
信息安全策略纲要
1范围
信息系统是技术密集的大型复杂的网络化人机系统,其面临的安全问题非常突出。为了保障海南电网信息通信分公司(以下简称“公司”)信息系统的安全可靠运行,依据《信息系统安全等级保护基本要求》等相关标准法规制定本策略纲要。本纲要适用于公司信息系统。总体目标
总体目标:保护公司信息系统的硬件、软件、业务信息和数据、通信网络设备等资源的安全,有效防范各类安全事故,合法合规发展各类信息系统,确保为社会提供高效稳定的电力服务。规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准
《信息安全技术 信息系统安全保障评估框架》(GB/T 20274.1-2006)《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008)本标准未涉及的管理内容,参照国家、电力行业、南方电网公司的有关标准和规定执行。总体方针
4.1组织与体制
构筑确保信息安全所必需的组织与体制,明确其责任与权限。
4.2 遵守法令法规
遵守与信息安全有关的法令法规,制定并遵守按基本方针所制定的信息安全相关的规定。
4.3信息资产的分类与管理
按照重要级别信息资产进行分类,并妥善管理。
4.4培训与教育
为使相关人员全面了解信息安全的重要性,适当开展针对性培训与教育教育活动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。
4.5物理性保护
为避免非法入侵、干扰及破坏信息资产等事故的发生,对其保管场所与保管办法加以明确。
4.6技术性保护
为切实保护信息资产不受来自外部的非法入侵,对信息系统的登录方法、使用限制、网络管理等采取适当的措施。
4.7运用
为确保基本方针的实际成效,在对遵守情况进行监督的同时,对违反基本方针时的处置办法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。
4.8评价及复审
随着社会环境的变化、技术的进步等,应定期对基本方针与运用方式进行评价与复审安全策略
5.1安全管理制度
在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
安全管理制度重点关注管理制度、制定和发布、评审和修订三方面。
目的是根据系统的安全等级,依照国家相关法律法规及政策标准,建立信息安全的各项管理规范和技术标准,规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,奠定信息安全的基础。
5.2安全管理机构
建立组织管理体系是为了建立自上而下的信息安全工作管理体系,确定安全管理组织机构的职责,统筹规划、专家决策,以推动信息安全工作的开展。
公司成立信息安全领导小组,是信息安全的最高决策机构,负责研究重大事件,落实方针政策,制定实施策略和原则,开展安全普及教育等。下设办公室负责信息安全领导小组的日常事务。
信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。
5.3人员安全管理
通过建立安全岗位责任制,最大限度降低人为失误所造成的风险。人是决定性因素,人员安全管理的原则是:职责分离、有限授权、相互制约、任期审计。
人员安全管理的要素包括:安全管理人员配备、信息系统关键岗位、人员录用、人员离岗、人员考核与审查、第三方人员管理等。
信息安全人员的配备和变更情况,应向上一级单位报告、备案。
信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
5.4系统建设管理
信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(初始、采购、实施)中各项安全管理活动。
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。
5.5系统运维管理
目的是保障信息系统日常运行的安全稳定,对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。
对运行过程的任何变化,数据、软件、物理设置等,都应实施技术监控和管理手段以确保其完整性,防止信息非法复制、篡改,任何查询和变更操作需经过授权和合法性验证。
应急管理也是运维的重要内容,目的是分析信息系统可能出现的紧急事件或灾难,建立一整套应急措施,以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。
在海南省电网公司统一的应急规划下,针对信息系统面临的各种应急场景编制相应的应急预案,并经过测试演练修订,同时宣传普及。
5.6物理安全
目的是保护计算机设备、设施(含网络)以及信息系统免遭自然灾害和其他形式的破坏,保证信息系统的实体安全。
有关物理环境的选址和设计应遵照相关标准,配备防火、防水、防雷击、防静电、防鼠害等机房措施,维持系统不间断运行能力,确保信息系统运行的安全可靠。
对重要安全设备的选择,需符合国家相关标准规范,相关证书齐全。
严格确定设备的合法使用人,建立详细运行日志和维护记录。
5.7网络安全
目的是有效防范网络体系的安全风险,为业务应用系统提供安全、可靠、稳定的网络管理和技术平台。
对于依赖网络架构安全的业务应用系统,需根据其安全级别,实施相应的访问控制、身份认证、审计等安全服务机制;在网络边界处,需根据资源的保护等级,实施相应安全级别的防火墙、认证、审计、动态检测等技术,防范信息资源的非法访问、篡改和破坏。
5.8主机安全
主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用,是保护信息安全的中坚力量。
主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、入侵防范几个方面,同时定期或不定期的进行安全评估(含渗透性测试)和加固,实时确保主机的健壮性。
5.9应用安全
应用安全成是信息系统整体防御的最后一道防线,目的是保障业务应用系统开发过程及最终产品的安全性。
在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础,是基本的应用;业务应用采纳基本应用的功能以满足特定业务的要求;故最终是保护系统的各种业务应用程序的安全运行。
应用系统的总体需求计划阶段,应全面评估系统的安全风险,确定系统的访问控制、身份认证、审计跟踪等安全需求;总体架构设计阶段,应实施安全需求设计,确立安全服务机制、开发人员技术要求和操作规程;应用系统的实现阶段,应全程实施质量控制,防止程序后门,减少代码漏洞;在上线运行之前,应充分进行局部功能、整体功能、压力测试,以及系统安全性能、操作流程、应急方案的测试。5.10数据安全及备份恢复
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。
数据备份也是防止数据被破坏后无法恢复的重要手段,而硬件备份等更是保证系统可用的重要内容。附 则
本标准由海南电网公司信息通信分公司负责解释。
本标准自颁布之日起实行。
第五篇:企业网络信息安全策略
企业网络信息安全策略
随着计算机技术和网络的快速发展,网络管理也越来越受到人们的重视,企业的发展更离不开网络,但是网络的质量又直接影响着企业的信息安全管理,因此,企业需要制定一种网络和数据安全策略,提高网络管理员的信息掌控能力,为了把企业网络管理做到安全合理,翔羚科技给广大企业做出以下几点建议。
评估企业网络完整性
评估网络的完整性。“了解自己 IT 基础架构的起点和终点,但仍有为数众多的企业不清楚其网络的整体性。还要了解自己的„正常状态‟是什么,这样能够便于你快速确定问题并作出响应。”重新评估您的可接受使用策略和商业行为准则。“抛弃那种冗长的安全政策清单的做法,只将焦点放在那些您知道自己必须实施且能够实施的政策上。”
做好企业内部人员数据管理
确定必须保护哪些数据。“如果不知道必须保护企业内部的哪些信息,您就无法构建有效的 DLP 计划。您还必须确定企业内部哪些人有权访问这些信息,以及必须采用什么方式。”了解数据所在位置,目前采用什么方式进行保护(以及是否正进行保护)。“确定哪些第三方有权存储您公司的数据(从云服务提供商到电邮营销企业),确保您的信息正得到适当的保护。合规要求,以及当前网络犯罪领域„牵一发而动全身‟的发展趋势都表明,企业绝对不能假设自己的数据是安全的,即便是这些我要走了,今天就早!你给我的工资太高了我受不起啊,我每天都迟到自己感到十分的内疚,不过每天都是我来最早的!合同我已经撕了,你的那份我也帮你偷偷的撕了。我不会怪你的老板,要怪就怪那个宝宝,她怎么就在贵州了呢?我决定了去贵州了解我的下半辈子了!还有你把工资打我卡上吧。信息掌握在可信任的人手里。”
合理采用监控
采用出口监控。“这是一项基本要求,但是很多企业都不够重视,出口监控是一种监控重心的转变,而不是仅侧重于阻止„坏人‟进来。您应该监控那些由内向外发送的内容,包括发送者是谁、发往何处,并拦截那些不允许外泄的内容。”准备迎接必然到来的 BYOD。“企业不要再去想何时转变到 BYOD 模式,而是要开始思考如何转变。”
做好企业应变决策
制定事件响应计划。“IT 方面的风险应该像任何其他业务风险一样对待。这意味着企业需要预先制定明确的计划,以便对任何类型的安全事件迅速作出适当的反应,无论这些事件属于有针对性攻击所造成的数据泄露、员工疏忽导致的违规还是黑客行动主义事件。”实施安全措施帮助弥补对社交网络控制的不足。“不要低估技术控制的强大力量,比如用于抵御网络威胁的入侵防御系统。声誉过滤系统也是一种用于检测可疑活动和内容的基本工具。”监控风险形势的动态变化,及时向用户通报。“企业及其安全团队需要对范围更广的风险来源保持警惕,包括移动设备、云和社交网络,以及未来新技术可能伴随的任何威胁。他们应该采用双管齐下的方法:对安全漏洞泄露作出反应,同时主动教育员工如何保护自身和企业抵御持久、严重的网络威胁。”
点击咨询 