導(dǎo)言：作為寫作愛(ài)好者，不可錯(cuò)過(guò)為您精心挑選的10篇網(wǎng)絡(luò)安全總體規(guī)劃，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

隨著今年國(guó)家級(jí)信息安全政策又密集出臺(tái)——8月，《國(guó)務(wù)院關(guān)于促進(jìn)信息消費(fèi)擴(kuò)大內(nèi)需的若干意見(jiàn)》，隨后，國(guó)家發(fā)改委在網(wǎng)站又公布了《國(guó)家發(fā)展改革委辦公廳關(guān)于組織實(shí)施2013年國(guó)家信息安全專項(xiàng)有關(guān)事項(xiàng)的》通知，明確行業(yè)重點(diǎn)，信息安全頂層設(shè)計(jì)再度成為熱議話題，

那么，久為業(yè)界討論的信息安全頂層設(shè)計(jì)究竟究竟該如何成型？為此，本刊采訪了部分業(yè)內(nèi)專家，以饗讀者。

——國(guó)防大學(xué)戰(zhàn)略教研部 許蔓舒

隨著對(duì)網(wǎng)絡(luò)依賴度越來(lái)越高，網(wǎng)絡(luò)空間安全問(wèn)題超越了專業(yè)技術(shù)層面，構(gòu)成直接影響國(guó)家安全的綜合挑戰(zhàn)。因此，我國(guó)網(wǎng)絡(luò)安全防護(hù)也迫切需要走出技術(shù)維護(hù)和配合的低層次運(yùn)行水平，上升到統(tǒng)一籌劃、綜合防護(hù)的戰(zhàn)略高度。

首先，應(yīng)加快制定和頒布國(guó)家的網(wǎng)絡(luò)與信息安全戰(zhàn)略。趨勢(shì)表明，爭(zhēng)奪未來(lái)的焦點(diǎn)是戰(zhàn)略規(guī)劃之爭(zhēng)。誰(shuí)能先知先覺(jué)、搶得先機(jī)，誰(shuí)就有可能掌握戰(zhàn)略主動(dòng)權(quán)。目前世界上已有40多個(gè)國(guó)家公開(kāi)頒布國(guó)家級(jí)網(wǎng)絡(luò)空間安全戰(zhàn)略，并且隨著形勢(shì)的變化不斷出臺(tái)和調(diào)整相關(guān)政策。應(yīng)加快制定相關(guān)的國(guó)家安全戰(zhàn)略及其配套政策。

同時(shí)，把戰(zhàn)略管理的著力點(diǎn)放在“跨域融合”上。立足于國(guó)家安全和現(xiàn)代化建設(shè)的全局，平衡好利益沖突，融合好利益訴求，研究解決好信息化發(fā)展和管理中那些跨部門、跨領(lǐng)域、超越局部利益和短期利益的瓶頸問(wèn)題。

其次，在提高自身信息系統(tǒng)防御水平方面，多采取四條措施：成立國(guó)家級(jí)的協(xié)調(diào)管理機(jī)構(gòu)；加大投入；加強(qiáng)立法，授權(quán)和擴(kuò)大執(zhí)法部門的監(jiān)管；不斷更新技術(shù)手段。

篇2

(2)系統(tǒng)安全威脅嚴(yán)重。系統(tǒng)安全四項(xiàng)指標(biāo)中，采用了訪問(wèn)控制及備份與恢復(fù)措施的醫(yī)院分別達(dá)到138家與147家，但實(shí)地調(diào)查顯示非授權(quán)訪問(wèn)的情況還大量存在。進(jìn)行系統(tǒng)日志審計(jì)的醫(yī)院不足50家，說(shuō)明我國(guó)醫(yī)院系統(tǒng)日志還基本流于形式，缺乏深度安全審計(jì)，從而很難及時(shí)發(fā)現(xiàn)其中的安全隱患。進(jìn)行系統(tǒng)開(kāi)發(fā)與維護(hù)的醫(yī)院也僅54家，原因主要在于目前許多醫(yī)院由于受人員、設(shè)備、資金影響，或本身重視不夠，導(dǎo)致其信息系統(tǒng)缺乏運(yùn)營(yíng)維護(hù)或維護(hù)不及時(shí)，因此其安全性和可靠性多數(shù)處于較差狀態(tài)。

(3)網(wǎng)絡(luò)通信安全較為脆弱。網(wǎng)絡(luò)通信安全五項(xiàng)指標(biāo)中，網(wǎng)絡(luò)攻擊防護(hù)與業(yè)務(wù)文檔記錄方面，醫(yī)院相對(duì)比較重視，比例分別達(dá)到94%與84%，但實(shí)地調(diào)查發(fā)現(xiàn)其網(wǎng)絡(luò)攻擊防護(hù)還處于低水平狀態(tài)。實(shí)行網(wǎng)絡(luò)隔離與訪問(wèn)控制的醫(yī)院僅占30%，大多數(shù)醫(yī)院網(wǎng)絡(luò)訪問(wèn)隨意性大，醫(yī)院網(wǎng)絡(luò)可隨意互訪，信息流通和共享暢通無(wú)阻，這給醫(yī)院信息安全帶來(lái)極大的安全隱患。實(shí)行入侵檢測(cè)的醫(yī)院不到30%，說(shuō)明中國(guó)數(shù)字化醫(yī)院還處于被動(dòng)防御階段，遠(yuǎn)未達(dá)到主動(dòng)防御水平，同時(shí)信息系統(tǒng)的縱深防護(hù)水平不高，由此導(dǎo)致數(shù)字化醫(yī)院以計(jì)算機(jī)病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生。實(shí)行密鑰管理的醫(yī)院則僅13%，說(shuō)明醫(yī)院網(wǎng)絡(luò)密鑰其實(shí)幾乎還處于無(wú)人監(jiān)管狀態(tài)。

(4)人員安全隱患重重。人員安全四項(xiàng)指標(biāo)調(diào)查結(jié)果都不容樂(lè)觀，尤其是進(jìn)行第三方合作合同的控制和管理的醫(yī)院僅占10%，說(shuō)明中國(guó)數(shù)字化醫(yī)院在人員安全管理方面還遠(yuǎn)未重視，由此導(dǎo)致醫(yī)院內(nèi)部存在大量網(wǎng)絡(luò)操作違規(guī)現(xiàn)象。如，網(wǎng)絡(luò)操作人員隨意將自己的登錄賬號(hào)轉(zhuǎn)借他人，隨意將一些存儲(chǔ)介質(zhì)接入信息系統(tǒng)，未經(jīng)授權(quán)同時(shí)訪問(wèn)外網(wǎng)與內(nèi)網(wǎng)，一些人員為了謀取個(gè)人私利，非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)，竊取、偽造、篡改醫(yī)療數(shù)據(jù)等，這使得中國(guó)數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生。

(5)組織管理安全有待加強(qiáng)。組織管理安全四項(xiàng)指標(biāo)中，160家醫(yī)院都設(shè)置了安全管理組織機(jī)構(gòu)，說(shuō)明所有醫(yī)院都很重視信息安全管理工作，但安全管理制度完整的醫(yī)院僅114家，且多數(shù)在應(yīng)急管理制度制定方面較為欠缺，而安全管理制度實(shí)施情況調(diào)查顯示，只有40%的醫(yī)院安全管理制度得到實(shí)施，這意味著60%的醫(yī)院的安全管理制度形同虛設(shè)。在人力財(cái)力保障方面給予充分保障的醫(yī)院不到50%，由于缺乏人力財(cái)力的保障，目前許多醫(yī)院信息安全系統(tǒng)建設(shè)難以為繼。綜上所述，中國(guó)數(shù)字化醫(yī)院還存在著極大的信息安全隱患。因此，數(shù)字化醫(yī)院信息安全建設(shè)已迫在眉睫。

2動(dòng)態(tài)網(wǎng)絡(luò)安全模型的比較分析

面對(duì)復(fù)雜多樣的信息安全風(fēng)險(xiǎn)以及日益嚴(yán)峻的信息安全局勢(shì)，動(dòng)態(tài)網(wǎng)絡(luò)安全模型為中國(guó)數(shù)字化醫(yī)院信息安全建設(shè)提供了理論基礎(chǔ)。典型的動(dòng)態(tài)網(wǎng)絡(luò)安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等，這些安全模型各有特點(diǎn)，各有側(cè)重，已廣泛應(yīng)用于多個(gè)領(lǐng)域的信息安全建設(shè)實(shí)踐。環(huán)節(jié)。它強(qiáng)調(diào)在安全策略的指導(dǎo)下，綜合采用防火墻、VPN等安全技術(shù)進(jìn)行防護(hù)的同時(shí)，利用入侵檢測(cè)系統(tǒng)等檢測(cè)工具，發(fā)現(xiàn)系統(tǒng)的異常情況，以及可能的攻擊行為，并通過(guò)關(guān)閉端口、中斷連接、中斷服務(wù)等響應(yīng)措施將系統(tǒng)調(diào)整到一個(gè)比較安全的狀態(tài)。其中，安全策略是核心，防護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)組成了一個(gè)完整、動(dòng)態(tài)的安全循環(huán)，它們共同保證網(wǎng)絡(luò)系統(tǒng)的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎(chǔ)上增加恢復(fù)(Recovery)環(huán)節(jié)發(fā)展而來(lái)，由防護(hù)(Protection)、檢測(cè)(Detection)、響應(yīng)(Re-sponse)和恢復(fù)(Recovery)四個(gè)環(huán)節(jié)組成(見(jiàn)圖2)。其核心思想是在安全策略的指導(dǎo)下，通過(guò)采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù)，并隨時(shí)進(jìn)行安全跟蹤和檢測(cè)以了解其安全狀態(tài)，一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患，則馬上采取響應(yīng)措施，直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)。與PPDR模型相比，PDRR模型更強(qiáng)調(diào)一種故障的自動(dòng)恢復(fù)能力，即系統(tǒng)在被入侵后，能迅速采取相應(yīng)措施將系統(tǒng)恢復(fù)到正常狀態(tài)，從而保障系統(tǒng)的信息安全。因此，PDRR模型中的安全概念已經(jīng)從信息安全擴(kuò)展到了信息保障，信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密，是防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)的有機(jī)結(jié)合。

3基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國(guó)數(shù)字化醫(yī)院信息安全體系構(gòu)建

結(jié)合動(dòng)態(tài)網(wǎng)絡(luò)安全模型，并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239—2008)、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070—2010)等標(biāo)準(zhǔn)規(guī)范，本文試構(gòu)建一個(gè)以信息安全組織機(jī)構(gòu)為核心，以信息安全策略、信息安全管理、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架。即，在進(jìn)行數(shù)字化醫(yī)院信息安全建設(shè)時(shí)，我們應(yīng)成立一個(gè)信息安全組織機(jī)構(gòu)，并以此為中心，通過(guò)制定信息安全總體策略、加強(qiáng)信息安全管理，利用各項(xiàng)信息安全技術(shù)，并將其貫徹在預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊6個(gè)環(huán)節(jié)中，針對(duì)不同的安全威脅，采用不同的安全措施，從而對(duì)系統(tǒng)物理設(shè)備、系統(tǒng)軟件、數(shù)據(jù)信息等受保護(hù)對(duì)象進(jìn)行全方位多層次保護(hù)。

(1)信息安全組織機(jī)構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素，在信息安全體系中處于核心地位。它由決策機(jī)構(gòu)、管理機(jī)構(gòu)與執(zhí)行機(jī)構(gòu)三部分組成。其中，決策機(jī)構(gòu)是醫(yī)院信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)對(duì)醫(yī)院信息安全工作進(jìn)行總體規(guī)劃與宏觀領(lǐng)導(dǎo)，其成員由醫(yī)院主要領(lǐng)導(dǎo)及其他相關(guān)職能部門主要負(fù)責(zé)人組成。管理機(jī)構(gòu)在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)信息安全體系建設(shè)規(guī)劃的制定，以及信息安全的日常管理工作，其成員主要來(lái)自于信息化工作部門，也包括行政、人事等部門相關(guān)人員參與。執(zhí)行機(jī)構(gòu)在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)的有效運(yùn)行及日常維護(hù)，其成員主要由信息化工作部門相關(guān)技術(shù)人員及其他相關(guān)職能部門的信息安全員組成。信息安全組織機(jī)構(gòu)應(yīng)對(duì)醫(yī)院信息安全工作進(jìn)行科學(xué)規(guī)劃，經(jīng)常進(jìn)行不定期的信息安全檢查、評(píng)估和應(yīng)急安全演練。其中對(duì)那些嚴(yán)重危及醫(yī)院信息安全的行為應(yīng)進(jìn)行重點(diǎn)管理和監(jiān)督，明確信息安全責(zé)任制，從而保證信息安全各項(xiàng)工作的有效貫徹與落實(shí)。

(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的基礎(chǔ)。其具體制定應(yīng)依據(jù)國(guó)家信息安全戰(zhàn)略的方針政策、法律法規(guī)，遵循指導(dǎo)性、原則性、可行性、動(dòng)態(tài)性等原則，按照醫(yī)療行業(yè)標(biāo)準(zhǔn)規(guī)范要求，并結(jié)合醫(yī)院自身的具體情況來(lái)進(jìn)行，由總體方針與分項(xiàng)策略兩個(gè)層次組成，內(nèi)容涵蓋技術(shù)層、管理層等各個(gè)層面的安全策略，最終實(shí)現(xiàn)“進(jìn)不來(lái)、拿不走、看不懂、改不了、逃不掉”的安全防御目的，即在訪問(wèn)控制機(jī)制方面做到“進(jìn)不來(lái)”、授權(quán)機(jī)制方面做到“拿不走”、加密機(jī)制方面做到“看不懂”、數(shù)據(jù)完整性機(jī)制方面做到“改不了”、審計(jì)/監(jiān)控/簽名機(jī)制方面做到“逃不掉”。

(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的保障。它包括人員管理、技術(shù)管理和操作管理等方面。當(dāng)前中國(guó)數(shù)字化醫(yī)院在信息安全管理中普遍存在的問(wèn)題:在安全管理中對(duì)人的因素重視不夠、缺乏懂得管理的信息安全技術(shù)人員、信息安全意識(shí)不強(qiáng)、員工接受的教育和培訓(xùn)不夠、安全管理中被動(dòng)應(yīng)付的較多等。因此，數(shù)字化醫(yī)院一方面應(yīng)加強(qiáng)全員信息安全意識(shí)，加大信息安全人員的引進(jìn)、教育與培訓(xùn)力度，提高信息安全管理水平;另一方面應(yīng)制定具體的信息安全管理制度，以規(guī)范與約束相關(guān)人員行為，保證信息安全總體策略的貫徹與信息安全技術(shù)的實(shí)施。

(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的關(guān)鍵。數(shù)字化醫(yī)院信息安全建設(shè)涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災(zāi)、數(shù)據(jù)加密、安全加固和緊急響應(yīng)等技術(shù)手段，它們貫穿于信息安全預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)與反擊六個(gè)環(huán)節(jié)。數(shù)字化醫(yī)院應(yīng)切實(shí)加強(qiáng)這六個(gè)環(huán)節(jié)的技術(shù)力量，確保其信息安全得以實(shí)現(xiàn)，具體體現(xiàn)在:①預(yù)警。醫(yī)院應(yīng)通過(guò)部署系統(tǒng)監(jiān)控平臺(tái)，實(shí)現(xiàn)對(duì)路由器、交換機(jī)、服務(wù)器、存儲(chǔ)、加密機(jī)等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件以及各種應(yīng)用軟件的監(jiān)控和預(yù)警，實(shí)現(xiàn)設(shè)備和應(yīng)用監(jiān)控預(yù)警;或采用入侵防御系統(tǒng)，分析各種安全報(bào)警、日志信息，結(jié)合使用網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)，實(shí)現(xiàn)對(duì)各種安全威脅與安全事件的預(yù)警;并將這些不同層面的預(yù)警，統(tǒng)一到一套集中的監(jiān)控預(yù)警平臺(tái)或運(yùn)維管理平臺(tái)，實(shí)現(xiàn)統(tǒng)一展現(xiàn)和集中預(yù)警。②保護(hù)。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡(luò)通信安全等方面的安全保護(hù)。對(duì)于中心機(jī)房、交換機(jī)、工作站、服務(wù)器等物理設(shè)備的安全防護(hù)，主要注意防水、防雷、防靜電以及雙機(jī)熱備等安全防護(hù)工作。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)等的安全防護(hù)。操作系統(tǒng)的主要風(fēng)險(xiǎn)在于系統(tǒng)漏洞和文件病毒等。為此，醫(yī)院需運(yùn)用防火墻技術(shù)控制和管理用戶訪問(wèn)權(quán)限，并定期做好監(jiān)視、審計(jì)和事件日志記錄和分析。所有工作站應(yīng)取消光驅(qū)軟驅(qū)，屏蔽USB接口，同時(shí)為各個(gè)客戶端安裝殺毒軟件，并及時(shí)更新，從源頭上預(yù)防系統(tǒng)感染病毒。數(shù)據(jù)庫(kù)安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等。為此，需對(duì)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限設(shè)置。對(duì)于關(guān)鍵數(shù)據(jù)，應(yīng)進(jìn)行加密存儲(chǔ)。對(duì)于重要數(shù)據(jù)庫(kù)應(yīng)做好多種形式的備份工作，如本地備份與異地備份、全量備份與增量備份等，以保證數(shù)據(jù)萬(wàn)無(wú)一失。對(duì)于網(wǎng)絡(luò)通信安全防護(hù)，醫(yī)院網(wǎng)絡(luò)應(yīng)采用物理隔離的雙網(wǎng)架構(gòu)，如果內(nèi)網(wǎng)確需開(kāi)展對(duì)外的WWW等服務(wù)，應(yīng)單獨(dú)設(shè)置VLAN，結(jié)合防火墻設(shè)備，通過(guò)設(shè)置DMZ的方式實(shí)現(xiàn)與外界的安全相連。同時(shí)，醫(yī)院應(yīng)合理的設(shè)置網(wǎng)絡(luò)使用權(quán)限，嚴(yán)格進(jìn)行用戶網(wǎng)絡(luò)密碼管理，防止越權(quán)操作。③檢測(cè)。檢測(cè)是從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度，發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊、破壞活動(dòng)，提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御。前述防護(hù)系統(tǒng)能阻止大部分入侵事件的發(fā)生，但是它不能阻止所有的入侵。因此安全策略的另一個(gè)重要屏障就是檢測(cè)。常用工具是入侵檢測(cè)系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測(cè)系統(tǒng)(IDS)對(duì)醫(yī)院系統(tǒng)信息安全狀況進(jìn)行實(shí)時(shí)監(jiān)控，并定期查看入侵檢測(cè)系統(tǒng)生成的報(bào)警日志，可及時(shí)發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊。而通過(guò)漏洞掃描工具，可及時(shí)檢測(cè)信息系統(tǒng)中關(guān)鍵設(shè)備是否存在各種安全漏洞，并針對(duì)漏洞掃描結(jié)果，對(duì)重要信息系統(tǒng)及時(shí)進(jìn)行安全加固。④響應(yīng)。主要包括審計(jì)跟蹤、事件報(bào)警、事件處理等。醫(yī)院應(yīng)在信息系統(tǒng)中部署安全監(jiān)控與審計(jì)設(shè)備以及帶有自動(dòng)響應(yīng)機(jī)制的安全技術(shù)或設(shè)備，當(dāng)系統(tǒng)受到安全攻擊時(shí)能及時(shí)發(fā)出安全事故告警，并自動(dòng)終止信息系統(tǒng)中發(fā)生的安全事件。為了確保醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序，提高醫(yī)院應(yīng)對(duì)突發(fā)事件的能力，醫(yī)院還應(yīng)成立信息安全應(yīng)急響應(yīng)小組，專門負(fù)責(zé)突發(fā)事件的處理，當(dāng)醫(yī)院信息系統(tǒng)出現(xiàn)故障時(shí)，能迅速做出響應(yīng)，從而將各種損失和社會(huì)影響降到最低。其他事件處理則可通過(guò)咨詢、培訓(xùn)和技術(shù)支持等得到妥善解決。⑤恢復(fù)。主要包括系統(tǒng)恢復(fù)和信息恢復(fù)兩個(gè)方面。系統(tǒng)恢復(fù)可通過(guò)系統(tǒng)重裝、系統(tǒng)升級(jí)、軟件升級(jí)和打補(bǔ)丁等方式得以實(shí)現(xiàn)。信息恢復(fù)主要針對(duì)丟失數(shù)據(jù)的恢復(fù)。數(shù)據(jù)丟失可能來(lái)自于硬件故障、應(yīng)用程序或數(shù)據(jù)庫(kù)損壞、黑客攻擊、病毒感染、自然災(zāi)害或人為錯(cuò)誤。信息恢復(fù)跟數(shù)據(jù)備份工作密切相關(guān)，數(shù)據(jù)備份做得是否充分影響到信息恢復(fù)的程度。在信息恢復(fù)過(guò)程中要注意信息恢復(fù)的優(yōu)先級(jí)別。直接影響日常生活和工作的信息必須先恢復(fù)，這樣可提高信息恢復(fù)的效率。另外，恢復(fù)工作中如果涉及機(jī)密數(shù)據(jù)，需遵照機(jī)密系統(tǒng)的恢復(fù)要求。⑥反擊。醫(yī)院可采用入侵防御技術(shù)、黑客追蹤技術(shù)、日志自動(dòng)備份技術(shù)、安全審計(jì)技術(shù)、計(jì)算機(jī)在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)等手段，進(jìn)行證據(jù)收集、追本溯源，實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)遭遇不法侵害時(shí)對(duì)各種安全威脅源的反擊。

篇3

一、2015年工控安全漏洞與安全事件依然突出

 

通過(guò)對(duì)國(guó)家信息安全漏洞庫(kù)(CNNVD)的數(shù)據(jù)進(jìn)行分析，2015年工控安全漏洞呈現(xiàn)以下幾個(gè)特點(diǎn)：

 

1.工控安全漏洞披露數(shù)量居高不下，總體呈遞增趨勢(shì)。受2010年“震網(wǎng)病毒”事件影響，工控信息安全迅速成為安全領(lǐng)域的焦點(diǎn)。國(guó)內(nèi)外掀起針對(duì)工控安全漏洞的研究熱潮，因此自2010年以后工控漏洞披露數(shù)量激增，占全部數(shù)量的96%以上。隨著國(guó)內(nèi)外對(duì)工控安全的研究逐漸深入，以及工控漏洞的公開(kāi)披露開(kāi)始逐漸制度化、規(guī)范化，近幾年漏洞披露數(shù)量趨于穩(wěn)定。

 

2.工控核心硬件漏洞數(shù)量增長(zhǎng)明顯。盡管在當(dāng)前已披露的工控系統(tǒng)漏洞中軟件漏洞數(shù)量仍高居首位，但近幾年工控硬件漏洞數(shù)量增長(zhǎng)明顯，所占比例有顯著提高。例如，2010年工控硬件漏洞占比不足10%，但是2015年其占比高達(dá)37.5%。其中，工控硬件包括可編程邏輯控制器(PLC)、遠(yuǎn)程終端單元(RTU)、智能儀表設(shè)備(IED)及離散控制系統(tǒng)(DCS)等。

 

3.漏洞已覆蓋工控系統(tǒng)主要組件，主流工控廠商無(wú)一幸免。無(wú)論是國(guó)外工控廠商(如西門子、施耐德、羅克韋爾等)還是國(guó)內(nèi)工控廠商(研華)，其產(chǎn)品普遍存在安全漏洞，且許多漏洞很難修補(bǔ)。在2015年新披露的工控漏洞中，西門子、施耐德、羅克韋爾、霍尼韋爾產(chǎn)品的漏洞數(shù)量分列前四位。

 

二、工控信息安全標(biāo)準(zhǔn)需求強(qiáng)烈，標(biāo)準(zhǔn)制定工作正全面推進(jìn)

 

盡管工控信息安全問(wèn)題已得到世界各國(guó)普遍重視，但在工業(yè)生產(chǎn)環(huán)境中如何落實(shí)信息安全管理和技術(shù)卻沒(méi)有切實(shí)可行的方法，工控信息安全防護(hù)面臨著“無(wú)章可循”，工控信息安全標(biāo)準(zhǔn)已迫在眉睫。當(dāng)前，無(wú)論是國(guó)外還是國(guó)內(nèi)，工控信息安全標(biāo)準(zhǔn)的需求非常強(qiáng)烈，標(biāo)準(zhǔn)制定工作也如火如荼在開(kāi)展，但工控系統(tǒng)的特殊性導(dǎo)致目前工控安全技術(shù)和管理仍處探索階段，目前絕大多數(shù)標(biāo)準(zhǔn)正處于草案或征求意見(jiàn)階段，而且在設(shè)計(jì)思路上存在較為明顯的差異，這充分反映了目前不同人員對(duì)工控信息安全標(biāo)準(zhǔn)認(rèn)識(shí)的不同，因此工控信息安全標(biāo)準(zhǔn)的制定與落地任重道遠(yuǎn)。

 

1.國(guó)外工控信息安全標(biāo)準(zhǔn)建設(shè)概況

 

IEC 62443(工業(yè)自動(dòng)化控制系統(tǒng)信息安全)標(biāo)準(zhǔn)是當(dāng)前國(guó)際最主要的工控信息安全標(biāo)準(zhǔn)，起始于2005年，但至今標(biāo)準(zhǔn)制定工作仍未結(jié)束，特別是在涉及到系統(tǒng)及產(chǎn)品的具體技術(shù)要求方面尚有一段時(shí)日。

 

此外，美國(guó)在工控信息安全標(biāo)準(zhǔn)方面也在不斷推進(jìn)。其國(guó)家標(biāo)準(zhǔn)技術(shù)研究院NIST早在2010年了《工業(yè)控制系統(tǒng)安全指南》(NIST SP800-82)，并2014年了修訂版2，對(duì)其控制和控制基線進(jìn)行了調(diào)整，增加了專門針對(duì)工控系統(tǒng)的補(bǔ)充指南。在奧巴馬政府美國(guó)總統(tǒng)第13636號(hào)行政令《提高關(guān)鍵基礎(chǔ)設(shè)計(jì)網(wǎng)絡(luò)安全》后，NIST也隨即了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，提出“識(shí)別保護(hù)檢測(cè)響應(yīng)恢復(fù)”的總體框架。

 

2.國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)建設(shè)概況

 

在國(guó)內(nèi)，兩個(gè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)都在制定工控信息安全標(biāo)準(zhǔn)工作，分別是：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)，以及全國(guó)工業(yè)過(guò)程測(cè)量與控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC 124)。

 

其中，由TC260委員會(huì)組織制定的《工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備安全功能要求》和《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》處于報(bào)批稿階段，《工業(yè)控制系統(tǒng)安全管理基本要求》、《工業(yè)控制系統(tǒng)安全檢查指南》、《工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)影響等級(jí)劃分規(guī)范》、《工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測(cè)試評(píng)價(jià)方法》和《安全可控信息系統(tǒng)(電力系統(tǒng))安全指標(biāo)體系》正在制定過(guò)程中，并且在2015年新啟動(dòng)了《工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評(píng)估準(zhǔn)則》、《工業(yè)控制系統(tǒng)漏洞檢測(cè)技術(shù)要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)監(jiān)測(cè)安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》、《工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》、《工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》等標(biāo)準(zhǔn)研制工作。

 

TC124委員會(huì)組織制定的工控信息安全標(biāo)準(zhǔn)工作也在如火如荼進(jìn)行。2014年12月，TC124委員會(huì)了《工業(yè)控制系統(tǒng)信息安全》(GB/T 30976-2014)，包括兩個(gè)部分內(nèi)容：評(píng)估規(guī)范和驗(yàn)收規(guī)范。另外，TC124委員會(huì)等同采用了IEC 62443中的部分標(biāo)準(zhǔn)，包括《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全術(shù)語(yǔ)、概念和模型》(JB/T 11961-2014，等同采用IEC/TS 62443-1-1：2009)、《工業(yè)過(guò)程測(cè)量和控制安全網(wǎng)絡(luò)和系統(tǒng)安全》(JB/T 11960-2014，等同采用IEC PAS 62443-3：2008)、《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)》(JB/T 11962-2014，等同采用IEC/TR 62443-3-1：2009)，此外對(duì)IEC62443-2-1：2010標(biāo)準(zhǔn)轉(zhuǎn)標(biāo)工作已經(jīng)進(jìn)入報(bào)批稿階段，并正在計(jì)劃對(duì)IEC 62443-3-3：2013進(jìn)行轉(zhuǎn)標(biāo)工作。除此之外，TC124委員會(huì)組織制定的集散控制系統(tǒng)(DCS)安全系列標(biāo)準(zhǔn)和可編程控制器(PLC)安全要求標(biāo)準(zhǔn)也已經(jīng)進(jìn)入征求意見(jiàn)稿后期階段。

 

由于不同行業(yè)的工業(yè)控制系統(tǒng)差異很大，因此我國(guó)部分行業(yè)已經(jīng)制定或正在研究制定適合自身行業(yè)特點(diǎn)的工控信息安全標(biāo)準(zhǔn)。2014年，國(guó)家發(fā)改委了第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，取代原先的《電力二次系統(tǒng)安全防護(hù)規(guī)定》(電監(jiān)會(huì)[2005]5號(hào))，以此作為電力監(jiān)控系統(tǒng)信息安全防護(hù)的指導(dǎo)依據(jù)，同時(shí)原有配套的防護(hù)方案也進(jìn)行了相應(yīng)的更新。在城市軌道交通領(lǐng)域，上海申通地鐵集團(tuán)有限公司2013年了《上海軌道交通信息安全技術(shù)架構(gòu)》(滬地鐵信[2013]222號(hào)文)，并在2015年以222號(hào)文為指導(dǎo)文件了企業(yè)標(biāo)準(zhǔn)《軌道交通信息安全技術(shù)建設(shè)指導(dǎo)意見(jiàn)》(2015，試行)。同時(shí)，北京市軌道交通設(shè)計(jì)研究院有限公司于2015年?duì)款^擬制國(guó)家標(biāo)準(zhǔn)草案《城市軌道交通工業(yè)控制系統(tǒng)信息安全要求》。在石油化工領(lǐng)域，2015年由石化盈科牽頭擬制《中石化工業(yè)控制系統(tǒng)信息安全要求》等。

 

三、工控安全防護(hù)技術(shù)正迅速發(fā)展并在局部開(kāi)始試點(diǎn)，但離大規(guī)模部署和應(yīng)用有一定差距

 

當(dāng)前許多信息安全廠商和工控自動(dòng)化廠商紛紛研究工業(yè)控制系統(tǒng)的信息安全防護(hù)技術(shù)并開(kāi)發(fā)相應(yīng)產(chǎn)品，近幾年出現(xiàn)了一系列諸如工控防火墻、工控異常監(jiān)測(cè)系統(tǒng)、主機(jī)防護(hù)軟件等產(chǎn)品并在部分企業(yè)進(jìn)行試點(diǎn)應(yīng)用。比較有代表性的工控安全防護(hù)產(chǎn)品及特點(diǎn)如下：

 

1.工控防火墻 防火墻是目前網(wǎng)絡(luò)邊界上最常用的一種安全防護(hù)設(shè)備，主要功能包括訪問(wèn)控制、地址轉(zhuǎn)換、應(yīng)用、帶寬和流量控制等。相對(duì)于傳統(tǒng)的IT防火墻，工控防火墻不但需要對(duì)TCP/IP協(xié)議進(jìn)行安全過(guò)濾，更需要對(duì)工控應(yīng)用層協(xié)議進(jìn)行深度解析和安全過(guò)濾，如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應(yīng)用層協(xié)議的深度檢測(cè)，包括控制指令識(shí)別、操作地址和操作參數(shù)提取等，才能真正阻止那些不安全的控制指令及數(shù)據(jù)。

 

2.工控安全監(jiān)測(cè)系統(tǒng)我國(guó)現(xiàn)有工業(yè)控制系統(tǒng)網(wǎng)絡(luò)普遍呈現(xiàn)出“無(wú)縱深”、“無(wú)監(jiān)測(cè)”、“無(wú)防護(hù)”特點(diǎn)，工控安全監(jiān)測(cè)系統(tǒng)正是針對(duì)上述問(wèn)題而快速發(fā)展起來(lái)的技術(shù)。它通過(guò)數(shù)據(jù)鏡像方式采集大量工控網(wǎng)絡(luò)數(shù)據(jù)并進(jìn)行分析，最終發(fā)現(xiàn)各種網(wǎng)絡(luò)異常行為、黑客攻擊線索等。利用該系統(tǒng)，相關(guān)人員能夠了解工控網(wǎng)絡(luò)實(shí)時(shí)通信狀況，及時(shí)發(fā)現(xiàn)潛在的攻擊前兆、病毒傳播痕跡以及各類網(wǎng)絡(luò)異常情況，同時(shí)，由于該系統(tǒng)是以“旁路”方式接入工控網(wǎng)絡(luò)中，不會(huì)對(duì)生產(chǎn)運(yùn)行造成不良影響，因此更容易在工控系統(tǒng)這種特殊環(huán)境下進(jìn)行部署和推廣。

 

3.主機(jī)防護(hù)產(chǎn)品在工業(yè)生產(chǎn)過(guò)程中，人員能夠通過(guò)工程師站或操作員站對(duì)PLC、DCS控制器等設(shè)備進(jìn)行控制，從而實(shí)現(xiàn)閥門關(guān)閉、執(zhí)行過(guò)程改變等操作。這些工程師站、操作員站等主機(jī)系統(tǒng)就變得十分重要，一旦出現(xiàn)問(wèn)題，比如感染計(jì)算機(jī)病毒等，就會(huì)對(duì)正常生產(chǎn)造成較大影響。近年來(lái)發(fā)生的由于工程師站或操作員站感染計(jì)算機(jī)病毒最終導(dǎo)致控制通信中斷從而影響生產(chǎn)的報(bào)道屢見(jiàn)不鮮。加強(qiáng)這些重要主機(jī)系統(tǒng)的安全防護(hù)，尤其是病毒防護(hù)至關(guān)重要。但是，傳統(tǒng)的基于殺毒軟件的防護(hù)機(jī)制在工控系統(tǒng)中面臨著很多挑戰(zhàn)，其中最嚴(yán)重的就是在工控網(wǎng)絡(luò)這樣一個(gè)封閉的網(wǎng)絡(luò)環(huán)境中，殺毒軟件無(wú)法在線升級(jí)。另外，殺毒軟件對(duì)未知病毒、變異病毒也無(wú)能為力。在此情況下，基于白名單的防護(hù)技術(shù)開(kāi)始出現(xiàn)。由于工控系統(tǒng)在建設(shè)完成投入運(yùn)行后，其系統(tǒng)將基本保持穩(wěn)定不變，應(yīng)用單一、規(guī)律性強(qiáng)，因而很容易獲得系統(tǒng)合法的“白名單”。通過(guò)這種方式就能夠發(fā)現(xiàn)由于感染病毒或者攻擊而產(chǎn)生的各種異常狀況。

 

4.移動(dòng)介質(zhì)管控技術(shù)在工控網(wǎng)絡(luò)中，由于工控系統(tǒng)故障進(jìn)行維修，或者由于工藝生產(chǎn)邏輯變更導(dǎo)致的工程邏輯控制程序的變更，需要在上位機(jī)插入U(xiǎn)盤等外來(lái)移動(dòng)介質(zhì)，這必然成為工控網(wǎng)絡(luò)的一個(gè)攻擊點(diǎn)。例如，伊朗“震網(wǎng)”病毒就是采用U盤擺渡方式，對(duì)上位機(jī)(即WinCC主機(jī))進(jìn)行了滲透攻擊，從而最終控制了西門子PLC，造成了伊朗核設(shè)施損壞的嚴(yán)重危害后果。針對(duì)上述情況，一些針對(duì)U盤管控的技術(shù)和原型產(chǎn)品開(kāi)始出現(xiàn)，包括專用U盤安全防護(hù)工具、USB漏洞檢測(cè)工具等。

 

總之，針對(duì)工控系統(tǒng)安全防護(hù)需求及工控環(huán)境特點(diǎn)，許多防護(hù)技術(shù)和產(chǎn)品正在快速研發(fā)中，甚至在部分企業(yè)進(jìn)行試點(diǎn)應(yīng)用。但是，由于這些技術(shù)和產(chǎn)品在穩(wěn)定性、可靠性等方面還未經(jīng)嚴(yán)格考驗(yàn)，能否適用于工業(yè)環(huán)境的高溫、高濕、粉塵情況還未可知，再加上工控系統(tǒng)作為生產(chǎn)系統(tǒng)，一旦出現(xiàn)故障將會(huì)造成不可估量的財(cái)產(chǎn)損失甚至人員傷亡，用戶不敢冒然部署安全防護(hù)設(shè)備，因此目前還沒(méi)有行業(yè)大規(guī)模使用上述防護(hù)技術(shù)和產(chǎn)品。

 

四、主要對(duì)策建議

 

針對(duì)2015年工控信息安全總體情況，提出以下對(duì)策建議：

 

1.進(jìn)一步強(qiáng)化工控信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，充分發(fā)揮組織管理職能。

 

2.對(duì)工控新建系統(tǒng)和存量系統(tǒng)進(jìn)行區(qū)別對(duì)待。對(duì)于工控新建系統(tǒng)而言，要將信息安全納入總體規(guī)劃中，從安全管理和安全技術(shù)兩方面著手提升新建系統(tǒng)的安全保障能力，對(duì)關(guān)鍵設(shè)備進(jìn)行安全選型，在系統(tǒng)上線運(yùn)行前進(jìn)行風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試，及時(shí)發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，避免系統(tǒng)投入生產(chǎn)后無(wú)法“打補(bǔ)丁”的情況。對(duì)于大量存量系統(tǒng)而言，應(yīng)在不影響生產(chǎn)運(yùn)行的情況下，通過(guò)旁路安全監(jiān)測(cè)、外邊界保護(hù)等方式，形成基本的工控安全狀況監(jiān)測(cè)和取證分析能力，徹底扭轉(zhuǎn)現(xiàn)階段對(duì)工控網(wǎng)絡(luò)內(nèi)部狀況一無(wú)所知、面對(duì)工控病毒攻擊束手無(wú)策的局面。

 

3.大力推進(jìn)工控安全防護(hù)技術(shù)在實(shí)際應(yīng)用中“落地”，鼓勵(lì)主要工控行業(yè)用戶進(jìn)行試點(diǎn)應(yīng)用，并對(duì)那些實(shí)踐證明已經(jīng)成熟的技術(shù)和產(chǎn)品在全行業(yè)進(jìn)行推廣。

 

篇4

1現(xiàn)狀與問(wèn)題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進(jìn)，我校信息化建設(shè)初具規(guī)模，軟硬件設(shè)備配備完成，運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚，承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達(dá)20余人;針對(duì)重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段，保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行，具備了基本的安全防護(hù)能力|6];日常運(yùn)行管理規(guī)范，按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對(duì)象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位，初步建立了問(wèn)題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng)，即網(wǎng)絡(luò)通信平臺(tái)、認(rèn)證計(jì)費(fèi)系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺(tái)是大學(xué)各大業(yè)務(wù)平臺(tái)的基礎(chǔ)核心，是整個(gè)校園網(wǎng)的基礎(chǔ)，其他應(yīng)用系統(tǒng)都運(yùn)行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計(jì)費(fèi)系統(tǒng)是針對(duì)用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上，主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理，校園卡與大學(xué)網(wǎng)絡(luò)有3個(gè)物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲(chǔ)著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁(yè)網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對(duì)外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)注冊(cè)用1.2面臨的主要問(wèn)題

 

通過(guò)等級(jí)保護(hù)差距分析和風(fēng)險(xiǎn)評(píng)估，目前大學(xué)所面臨的信息安全風(fēng)險(xiǎn)和主要問(wèn)題如下：

 

(1)高校領(lǐng)域沒(méi)有總體安全標(biāo)準(zhǔn)指引，方向不明確，缺少主線。

 

(2)對(duì)國(guó)際國(guó)內(nèi)信息安全法律法規(guī)缺乏深刻意識(shí)和認(rèn)識(shí)。

 

(3)信息安全機(jī)構(gòu)不完善，缺乏總體安全方針與策略，職責(zé)不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大，管理復(fù)雜，人員安全意識(shí)相對(duì)薄弱，日常安全問(wèn)題多。

 

()建設(shè)投資和投入有限，運(yùn)維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對(duì)松散，缺乏安全監(jiān)管及檢查機(jī)制，無(wú)法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運(yùn)行管理手段，無(wú)法提高安全運(yùn)維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù)，分級(jí)分域、強(qiáng)化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運(yùn)維。

 

依據(jù)這一總體原則，我們的信息安全體系建設(shè)工作以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)，以安全體系為核心，通過(guò)對(duì)安全工作生命周期的理解從風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃著手，并以解決方案和策略設(shè)計(jì)落實(shí)安全體系的各個(gè)環(huán)節(jié)，在建設(shè)過(guò)程中逐步完善安全體系，以安全體系運(yùn)行維護(hù)和管理的過(guò)程等全面滿足安全工作各個(gè)層面的安全需求，最終達(dá)到全面、持續(xù)、突出重點(diǎn)的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見(jiàn)稿)，并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略，，理論，強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個(gè)核心原則，重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù)，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過(guò)安全運(yùn)維服務(wù)和itsm[8]集中運(yùn)維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐)，形成了集風(fēng)險(xiǎn)評(píng)估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)(見(jiàn)圖2)，從而實(shí)現(xiàn)并覆蓋了等級(jí)保護(hù)基本要求中對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求，以滿足信息系統(tǒng)全方位的安全保護(hù)需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等，是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級(jí)組織間的工作職責(zé)，覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個(gè)部分。

 

(3)安全運(yùn)行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過(guò)程和人員的操作執(zhí)行，該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù)，覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理2個(gè)部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā)，落實(shí)學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實(shí)現(xiàn)，是對(duì)各個(gè)防護(hù)對(duì)象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對(duì)未授權(quán)的訪問(wèn)或誤用提供自動(dòng)保護(hù)，發(fā)現(xiàn)違背安全策略的行為，并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺(tái)。該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù)，覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個(gè)部分。

 

()安全運(yùn)維:安全運(yùn)維服務(wù)體系架構(gòu)共分兩層，實(shí)現(xiàn)人員、技術(shù)、流程三者的完美整合，通過(guò)基于ITIL[9]的運(yùn)維管理方法，保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運(yùn)轉(zhuǎn)，提升業(yè)務(wù)的可持續(xù)性，從而也體現(xiàn)了安全運(yùn)3重點(diǎn)建設(shè)工作

 

3.1安全滲透測(cè)試

 

2009年4月，學(xué)校對(duì)38個(gè)網(wǎng)站、2個(gè)關(guān)鍵系統(tǒng)和6臺(tái)主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測(cè)評(píng)。通過(guò)測(cè)評(píng)，全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個(gè)高危漏洞，并針對(duì)高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)被測(cè)系統(tǒng)存在的安全隱患。滲透測(cè)試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測(cè)評(píng)、提升權(quán)限測(cè)評(píng)、獲取代碼、滲透測(cè)評(píng)報(bào)告。

 

3.2風(fēng)險(xiǎn)評(píng)估和安全加固

 

2009年5月，依據(jù)安全滲透測(cè)試結(jié)果，對(duì)大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測(cè)評(píng)。根據(jù)評(píng)估結(jié)果得出系統(tǒng)存在的安全問(wèn)題，并對(duì)嚴(yán)重的問(wèn)題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場(chǎng)檢測(cè)、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。通過(guò)風(fēng)險(xiǎn)評(píng)估最終得出了威脅的數(shù)量和等級(jí)，表1、表2為威脅的數(shù)量和等級(jí)統(tǒng)計(jì)。2009年6月和9月，基于風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)涉及到的網(wǎng)絡(luò)設(shè)備(4臺(tái))和主機(jī)設(shè)備(14臺(tái))進(jìn)行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對(duì)全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評(píng)估和了解整理出符合大學(xué)實(shí)際的安全需求，并結(jié)合實(shí)際業(yè)務(wù)要求，對(duì)學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計(jì)，并通過(guò)未來(lái)3年的逐步安全建設(shè)，滿足學(xué)校的信息安全目標(biāo)及國(guó)家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國(guó)際國(guó)內(nèi)規(guī)范及標(biāo)準(zhǔn)，參考業(yè)界的最佳實(shí)踐ISMS[10](信息安全管理體系)，結(jié)合我校目前的實(shí)際情況，制定了一套完整、科學(xué)、實(shí)際的信息安全管理體系，制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過(guò)信息安全管理體系的建立，使學(xué)校的組織結(jié)構(gòu)布局更加合理，人員安全意識(shí)也明顯提高，從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運(yùn)行，提高了IT服務(wù)質(zhì)量。通過(guò)制度、流程、標(biāo)準(zhǔn)及規(guī)范，加強(qiáng)了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來(lái)展望和下一步工作

 

4.1安全防護(hù)體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求，可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個(gè)層次的安全域：第一層次安全域包括整個(gè)學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫(kù)、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊(cè)區(qū):主要承載各院所的RA注冊(cè)服務(wù)器，為各院所的師生管理提供數(shù)字證書注冊(cè)服務(wù)。

 

應(yīng)用安全支撐平臺(tái)為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略，使得信息系統(tǒng)建立在一個(gè)穩(wěn)定和高效的應(yīng)用框架上，封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù)，并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問(wèn)授權(quán)、統(tǒng)一審計(jì)管理、數(shù)據(jù)安全引擎、單點(diǎn)登錄等功能。

 

4.2安全運(yùn)維體系

 

ITSM集中運(yùn)維管理解決方案面對(duì)學(xué)校日益復(fù)雜的IT環(huán)境，整合以往對(duì)各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理，實(shí)現(xiàn)了對(duì)IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過(guò)融入ITIL等運(yùn)維管理理念，達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合，實(shí)現(xiàn)了IT服務(wù)支持過(guò)程的標(biāo)準(zhǔn)化、流程化、規(guī)范化，極大地提高了故障應(yīng)急處理能力，提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求，系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺(tái)，以實(shí)現(xiàn)由管理員根據(jù)管理制度來(lái)制定各種詳盡的安全管理策略，對(duì)網(wǎng)內(nèi)所有終端計(jì)算機(jī)上的軟硬件資源、以及計(jì)算機(jī)上的操作行為進(jìn)行有效管理。實(shí)現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對(duì)終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強(qiáng)制實(shí)施、終端用戶安全狀態(tài)的集中審計(jì);對(duì)用戶事前身份和安全級(jí)別的認(rèn)證、事中安全狀態(tài)定期安全檢測(cè)，內(nèi)容包括定期的安全風(fēng)險(xiǎn)評(píng)估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

篇5

20世紀(jì)70年代以來(lái)，以信息技術(shù)為核心的高技術(shù)群的迅猛發(fā)展及其在社會(huì)各領(lǐng)域中的廣泛應(yīng)用，將人類社會(huì)推進(jìn)到了信息社會(huì)。在信息社會(huì)里，信息網(wǎng)絡(luò)系統(tǒng)的建立已逐漸成為不可或缺的基礎(chǔ)設(shè)施，信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源、決策資源和控制戰(zhàn)場(chǎng)的靈魂，信息安全已成為國(guó)家安全的核心因素。無(wú)論是在平時(shí)還是戰(zhàn)時(shí)，信息安全問(wèn)題都將是一個(gè)戰(zhàn)略性、全局性的重要問(wèn)題。謀求國(guó)家安全，必須高度重視信息安全防護(hù)問(wèn)題。

一、搞好信息安全防護(hù)是確保國(guó)家安全的重要前提

眾所周知，未來(lái)信息化戰(zhàn)爭(zhēng)將在陸、海、空、天、電多維空間展開(kāi)，網(wǎng)絡(luò)空間的爭(zhēng)奪尤其激烈。如果信息安全防護(hù)工作跟不上，在戰(zhàn)爭(zhēng)中就可能造成信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴(yán)重后果。因此，信息安全防護(hù)不僅是贏得未來(lái)戰(zhàn)爭(zhēng)勝利的重要保障，而且將作為交戰(zhàn)雙方信息攻防的重要手段，貫穿戰(zhàn)爭(zhēng)的全過(guò)程。據(jù)有關(guān)報(bào)道披露，海灣戰(zhàn)爭(zhēng)前，美國(guó)特工曾在伊拉克從法國(guó)購(gòu)買的打印機(jī)的引導(dǎo)程序中預(yù)埋了病毒，海灣戰(zhàn)爭(zhēng)一開(kāi)始，美國(guó)就通過(guò)衛(wèi)星激活病毒，導(dǎo)致后來(lái)伊軍防空指揮通信系統(tǒng)陷入癱瘓。戰(zhàn)爭(zhēng)和軍事領(lǐng)域是這樣，政治、經(jīng)濟(jì)、文化、科技等領(lǐng)域也不例外。根據(jù)美國(guó)加利弗尼亞州銀行協(xié)會(huì)的一份報(bào)告，如果該銀行的數(shù)據(jù)庫(kù)系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞，3天就會(huì)影響加州的經(jīng)濟(jì)，5天就能波及全美經(jīng)濟(jì)，7天會(huì)使全世界經(jīng)濟(jì)遭受損失。鑒于信息安全如此重要，美國(guó)國(guó)家委員會(huì)早在2000年初的《國(guó)家安全戰(zhàn)備報(bào)告》里就強(qiáng)調(diào)：執(zhí)行國(guó)家安全政策時(shí)把信息安全放在重要位置。俄羅斯于2000年6月討論通過(guò)的《國(guó)家信息安全學(xué)說(shuō)》，首次把信息安全正式作為一種戰(zhàn)略問(wèn)題加以考慮，并從理論上和實(shí)踐上加強(qiáng)準(zhǔn)備。

二、我國(guó)信息安全面臨的形勢(shì)十分嚴(yán)峻

信息安全是國(guó)家安全的重要組成部分，它不僅體現(xiàn)在軍事信息安全上，同時(shí)也涉及到政治、經(jīng)濟(jì)、文化等各方面。當(dāng)今社會(huì)，由于國(guó)家活動(dòng)對(duì)信息和信息網(wǎng)絡(luò)的依賴性越來(lái)越大，所以一旦信息系統(tǒng)遭到破壞，就可能導(dǎo)致整個(gè)國(guó)家能源供應(yīng)的中斷、經(jīng)濟(jì)活動(dòng)的癱瘓、國(guó)防力量的削弱和社會(huì)秩序的混亂，其后果不堪設(shè)想。而令人擔(dān)憂的是，由于我國(guó)信息化起步較晚，目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防”的狀態(tài)下，國(guó)防信息安全的形勢(shì)十分嚴(yán)峻。具體體現(xiàn)在以下幾個(gè)方面：首先，全社會(huì)對(duì)信息安全的認(rèn)識(shí)還比較模糊。很多人對(duì)信息安全缺乏足夠的了解，對(duì)因忽視信息安全而可能造成的重大危害還認(rèn)識(shí)不足，信息安全觀念還十分淡薄。因此，在研究開(kāi)發(fā)信息系統(tǒng)過(guò)程中對(duì)信息安全問(wèn)題不夠重視，許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài)，具有極大的風(fēng)險(xiǎn)性和危險(xiǎn)性。其次，我國(guó)的信息化系統(tǒng)還嚴(yán)重依賴進(jìn)口，大量進(jìn)口的信息技術(shù)及設(shè)備極有可能對(duì)我國(guó)信息系統(tǒng)埋下不安全的隱患。無(wú)論是在計(jì)算機(jī)硬件上，還是在計(jì)算機(jī)軟件上，我國(guó)信息化系統(tǒng)的國(guó)產(chǎn)率還較低，而在引進(jìn)國(guó)外技術(shù)和設(shè)備的過(guò)程中，又缺乏必要的信息安全檢測(cè)和改造。再次，在軍事領(lǐng)域，通過(guò)網(wǎng)絡(luò)泄密的事故屢有發(fā)生，敵對(duì)勢(shì)力“黑客”攻擊對(duì)我軍事信息安全危害極大。最后，我國(guó)國(guó)家信息安全防護(hù)管理機(jī)構(gòu)缺乏權(quán)威，協(xié)調(diào)不夠，對(duì)信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離，管理混亂，缺乏與信息化進(jìn)程相一致的國(guó)家信息安全總體規(guī)劃，妨礙了信息安全管理的方針、原則和國(guó)家有關(guān)法規(guī)的貫徹執(zhí)行。

三、積極采取措施加強(qiáng)信息安全防護(hù)

為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn)，我們有必要從以下幾個(gè)方面著手，加強(qiáng)國(guó)防信息安全建設(shè)。

第一，要加強(qiáng)宣傳教育，切實(shí)增強(qiáng)全民的國(guó)防信息安全意識(shí)。在全社會(huì)范圍內(nèi)普及信息安全知識(shí)，樹(shù)立敵情觀念、紀(jì)律觀念和法制觀念，強(qiáng)化社會(huì)各界的信息安全意識(shí)，營(yíng)造一個(gè)良好的信息安全防護(hù)環(huán)境。各級(jí)領(lǐng)導(dǎo)要充分認(rèn)識(shí)自己在信息安全防護(hù)工作中的重大責(zé)任，一方面要經(jīng)常分析新形勢(shì)下信息安全工作形勢(shì)，自覺(jué)針對(duì)存在的薄弱環(huán)節(jié)，采取各種措施，把這項(xiàng)工作做好；另一方面要結(jié)合工作實(shí)際，進(jìn)行以安全防護(hù)知識(shí)、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。

第二，要建立完備的信息安全法律法規(guī)。信息安全需要建立完備的法律法規(guī)保護(hù)。自國(guó)家《保密法》頒布實(shí)施以來(lái)，我國(guó)先后制定和頒布了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)，但從整體上看，我國(guó)信息安全法規(guī)建設(shè)尚處在起步階段，層次不高，具備完整性、適用性和針對(duì)性的信息安全法律體系尚未完全形成。因此，我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究，及早建立我國(guó)信息安全法律法規(guī)體系。

第三，要加強(qiáng)信息管理。要成立國(guó)家信息安全機(jī)構(gòu)，研究確立國(guó)家信息安全的重大決策，制定和國(guó)家信息安全政策。在此基礎(chǔ)上，成立地方各部門的信息安全管理機(jī)構(gòu)，建立相應(yīng)的信息安全管理制度，對(duì)其所屬地區(qū)和部門內(nèi)的信息安全實(shí)行統(tǒng)一管理。

第四，要加強(qiáng)信息安全技術(shù)開(kāi)發(fā)，提高信息安全防護(hù)技術(shù)水平。沒(méi)有先進(jìn)、有效的信息安全技術(shù)，國(guó)家信息安全就是一句空話。因此，我們必須借鑒國(guó)外先進(jìn)技術(shù)，自主進(jìn)行信息安全關(guān)鍵技術(shù)的研發(fā)和運(yùn)用。大力發(fā)展防火墻技術(shù)，開(kāi)發(fā)出高度安全性、高度透明性和高度網(wǎng)絡(luò)化的國(guó)產(chǎn)自主知識(shí)產(chǎn)權(quán)的防火墻。積極發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)病毒防治技術(shù)，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理，為保護(hù)國(guó)家信息安全打下一個(gè)良好的基礎(chǔ)。

參考文獻(xiàn)：

1、俞曉秋.信息革命與國(guó)際關(guān)系[M].時(shí)事出版社,2002.

篇6

2009年遷入新址以來(lái)，中國(guó)疾控中心重構(gòu)了新數(shù)據(jù)中心，以原址數(shù)據(jù)中心為基礎(chǔ)改建容災(zāi)中心，扎實(shí)推進(jìn)信息系統(tǒng)建設(shè)相關(guān)工作，信息安全等級(jí)保護(hù)工作由此展開(kāi)新的篇章。

根據(jù)原衛(wèi)生部的相關(guān)文件精神，中國(guó)疾控中心按規(guī)定進(jìn)行信息安全等級(jí)備案，作為衛(wèi)生計(jì)生領(lǐng)域的重要系統(tǒng)，及時(shí)開(kāi)展系統(tǒng)備案、漏洞掃描、風(fēng)險(xiǎn)評(píng)估、安全整改與測(cè)評(píng)，每年接受國(guó)家公安機(jī)關(guān)組織的信息安全檢查，是多次代表衛(wèi)生行業(yè)接受公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室等部門檢查的唯一受檢國(guó)家級(jí)醫(yī)療衛(wèi)生單位。目前昌平園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心建設(shè)已初具規(guī)模，各業(yè)務(wù)系統(tǒng)運(yùn)行安全穩(wěn)定。

開(kāi)展信息安全建設(shè)工作的主要方法

1.統(tǒng)籌規(guī)劃

在信息化建設(shè)過(guò)程中，中國(guó)疾控中心始終堅(jiān)持?jǐn)?shù)據(jù)安全與規(guī)劃同步、與系統(tǒng)建設(shè)同步、與運(yùn)行管理同步的“三同步”原則。在原衛(wèi)生部關(guān)于信息安全等級(jí)保護(hù)相關(guān)文件出臺(tái)后，國(guó)家疾控中心重新修訂了信息系統(tǒng)安全總體規(guī)劃。經(jīng)過(guò)各級(jí)疾控人員的共同努力，以及多年信息化建設(shè)工作的不斷推進(jìn)，中國(guó)疾控中心的防攻擊、防篡改、防病毒、防癱瘓能力不斷提升。

2.組建機(jī)構(gòu)與招聘人員

信息系統(tǒng)安全等級(jí)保護(hù)內(nèi)容覆蓋管理與技術(shù)兩方面工作，涉及信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維全過(guò)程。“火車跑得快，全靠車頭帶”，中國(guó)疾控中心對(duì)信息安全工作高度重視，成立了以主要領(lǐng)導(dǎo)為組長(zhǎng)、各相關(guān)部門主要負(fù)責(zé)人組成的信息安全領(lǐng)導(dǎo)小組。信息中心成立專門的網(wǎng)絡(luò)與安全管理室，公開(kāi)招聘有經(jīng)驗(yàn)的技術(shù)骨干牽頭負(fù)責(zé)并組織實(shí)施，不斷加強(qiáng)管理，逐漸完善技術(shù)措施。另外，在全國(guó)各省疾控機(jī)構(gòu)內(nèi)部設(shè)立“信息安全員”，并要求逐級(jí)負(fù)責(zé)，初步形成了全國(guó)疾控的信息安全組織機(jī)構(gòu)體系。

3.完善信息安全管理制度

近些年來(lái)，中國(guó)疾控中心共制定或頒布了覆蓋系統(tǒng)建設(shè)、系統(tǒng)管理、系統(tǒng)運(yùn)維、系統(tǒng)使用等方面的一系列制度近30個(gè)，大大加強(qiáng)了內(nèi)部安全管理的規(guī)章制度的落實(shí)。每年年初按照信息安全等級(jí)保護(hù)相關(guān)要求開(kāi)展自查，有針對(duì)性地整改加固，不斷完善信息化規(guī)章制度，為信息系統(tǒng)的建設(shè)、管理、運(yùn)維、安全監(jiān)管等各方面工作有條不紊、有章可循地進(jìn)行提供了保障。

4.強(qiáng)化安全責(zé)任管理

以“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)，誰(shuí)使用、誰(shuí)負(fù)責(zé)”為原則，通過(guò)下發(fā)相關(guān)的網(wǎng)絡(luò)安全管理、用戶與權(quán)限管理規(guī)范，并不斷修訂完善，進(jìn)一步夯實(shí)信息中心與業(yè)務(wù)部門、國(guó)家與地方在網(wǎng)絡(luò)技術(shù)管理與業(yè)務(wù)信息管理上的分級(jí)管理工作職責(zé)。針對(duì)單個(gè)的系統(tǒng)，還初步實(shí)現(xiàn)了信息系統(tǒng)網(wǎng)絡(luò)與業(yè)務(wù)管理、系統(tǒng)管理和安全審計(jì)的三權(quán)分離，并逐步推進(jìn)系統(tǒng)建設(shè)方、系統(tǒng)運(yùn)維方與系統(tǒng)安全審計(jì)的主體剝離。

5.落實(shí)信息安全技術(shù)措施

完善基礎(chǔ)網(wǎng)絡(luò)設(shè)施 中國(guó)疾控中心在昌平新址重新構(gòu)建了標(biāo)準(zhǔn)機(jī)房、基礎(chǔ)網(wǎng)絡(luò)、門禁、消防、供配電、監(jiān)控及綜合運(yùn)維系統(tǒng)、統(tǒng)一安全管理平臺(tái)等。

優(yōu)化網(wǎng)絡(luò)安全結(jié)構(gòu) 信息中心技術(shù)人員通過(guò)一年多的分析和調(diào)研，明確各類信息系統(tǒng)對(duì)網(wǎng)絡(luò)的需求，組織召開(kāi)內(nèi)部、外部的專家會(huì)議，充分研究實(shí)施方案。特別是邀請(qǐng)具有多年安全網(wǎng)絡(luò)實(shí)施經(jīng)驗(yàn)的技術(shù)人員，與信息中心技術(shù)人員一起實(shí)施。優(yōu)化后的網(wǎng)絡(luò)在的穩(wěn)定性、安全性和實(shí)際用戶體驗(yàn)上都大大提升。

完善雙因素認(rèn)證的用戶準(zhǔn)入 以用戶電子認(rèn)證服務(wù)系統(tǒng)（CA）的雙因素認(rèn)證體系已能在國(guó)家本級(jí)全覆蓋。

完善安全專網(wǎng)建設(shè) 截止目前，以VPN、SDH等虛擬專網(wǎng)和專網(wǎng)組成的安全專網(wǎng)，已在全國(guó)各省、市、縣級(jí)疾控機(jī)構(gòu)實(shí)現(xiàn)100%全覆蓋。

綜合實(shí)施應(yīng)用系統(tǒng)安全加固 對(duì)各類網(wǎng)站服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行漏洞掃描、風(fēng)險(xiǎn)評(píng)估和安全加固，一步步降低安全風(fēng)險(xiǎn)。

加強(qiáng)安全運(yùn)維技術(shù)監(jiān)測(cè) 引入業(yè)界相關(guān)安全技術(shù)和設(shè)備，安排專門的人員，通過(guò)周期性的漏洞掃描、入侵檢測(cè)，系統(tǒng)日志分析，及時(shí)發(fā)現(xiàn)、修補(bǔ)系統(tǒng)漏洞，持續(xù)提升系統(tǒng)抗風(fēng)險(xiǎn)能力。

6.開(kāi)展整改與測(cè)評(píng)

2010年投入使用后，第三方安全等級(jí)保護(hù)測(cè)評(píng)工作緊接著就開(kāi)展起來(lái)了。一方面將整改內(nèi)容納入項(xiàng)目建設(shè)，由專業(yè)信息安全公司提供技術(shù)支持；另一方面對(duì)照整改內(nèi)容，組織力量完成整改。實(shí)現(xiàn)了“整改-自測(cè)測(cè)評(píng)-再整改-再第三方測(cè)評(píng)”的良性循環(huán)。通過(guò)不斷的學(xué)習(xí)和實(shí)踐，提升自測(cè)評(píng)能力和信息系統(tǒng)安全保障能力。

7.積極推動(dòng)行業(yè)內(nèi)信息安全等級(jí)保護(hù)進(jìn)展

制訂并向全國(guó)各省級(jí)疾控中心下發(fā)了相關(guān)指導(dǎo)文件。每年組織多期行業(yè)內(nèi)培訓(xùn)，采取“送出去，請(qǐng)進(jìn)來(lái)”的辦法，多次派員參加國(guó)家信息安全部門組織的培訓(xùn)和考試。目前，中國(guó)疾控信息中心有多人獲得國(guó)家公安部、工信委等權(quán)威機(jī)構(gòu)頒發(fā)的信息安全相關(guān)資質(zhì)證書。此外，還邀請(qǐng)國(guó)內(nèi)信息安全行業(yè)專家學(xué)者授課，舉辦全國(guó)范圍內(nèi)疾控行業(yè)網(wǎng)絡(luò)信息安全專項(xiàng)培訓(xùn)班。

開(kāi)展信息安全建設(shè)工作體會(huì)

以往一談到信息安全，大家總認(rèn)為是技術(shù)部門的事，其實(shí)不然。

信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系對(duì)此給出了明確的要求，比如在第三級(jí)等級(jí)保護(hù)的指標(biāo)體系中，涉及管理的指標(biāo)占比達(dá)到近三分之二，足見(jiàn)管理的規(guī)范化對(duì)信息安全的重要性。“三分技術(shù)、七分管理、十二分運(yùn)維”對(duì)信息安全一樣適用。但是在信息安全工作上“重技術(shù)建設(shè)、輕管理建設(shè)、不知道運(yùn)維建設(shè)”的現(xiàn)象卻大量存在，目前還難以從根本上改變。在信息技術(shù)持續(xù)發(fā)展的時(shí)代，談信息安全的各種投入是個(gè)無(wú)底洞一點(diǎn)都不為過(guò)。因?yàn)?，信息安全建設(shè)只有進(jìn)行時(shí)，沒(méi)有完成時(shí)。