网络信息安全监理

第 1 页 共 5 页网络信息安全监理2012 年 12 月 20 日摘要：在当今社会，信息、物质、能源一起构成三大支柱资源，而其中的信息资源，对人们来说已不再陌生。随着社会的发展，信息越来越显得重要，信息是一种财富，对经济的繁荣、科技的进步，社会的发展都起着非常重要的作用。同样，对信息的保护也是一件很重要的工作。关键词：信息资源；信息安全信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护，以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁，必须考虑信息的安全这个至关重要的问题。 网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件；运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。1 网络信息安全的内容 硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害，能够正常工作。 软件安全。即计算机及其网络中各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效。不被非法复制。 运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测，发现不安全因素能及时报警并采取措施改变不安全状态，保障网络系统正常运行。 数据安全。即网络中存储及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。第 2 页 共 5 页2 网络信息安全的目标 保密性。保密性是指信息不泄露给非授权人，或供其使用的特性。 完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插入、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。 可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性，即保证合法用户在需要时可以访问到信息。 可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性，可以控制授权范围内的信息流向以及方式。 可审查性。在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。 .我国信息化中的信息安全问题 近年来，随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素，我国在信息安全管理上的进展是迅速的。但是，由于我国的信息化建设起步较晚，相关体系不完善，法律法规不健全等诸多因素，我国的信息化仍然存在不安全问题。 信息与网络安全的防护能力较弱。我国的信息化建设发展迅速，各个企业纷纷设立自己的网站，特别是“政府上网工程”全面启动后，各级政府已陆续设立了自己的网站。但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备，整个系统存在着相当大的信息安全隐患。根据有关报告称，在网络黑客攻击的国家中，中国是最大的受害国。 我国基础信息产业薄弱，核心技术严重依赖国外，缺乏自主创新产品，尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外，这使我国的网络安全性能大大减弱。被认为是易窥视和易打击的“玻璃网” 。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。 信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击，国内也有部分人利用系统漏洞进行网络犯罪，例如传播病毒、窃取他人网络银第 3 页 共 5 页行账号密码等。 在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。 由于我国的经济基础薄弱，在信息产业上的投入还是不足，特别是在核心技术及安全产品的开发生产上缺少有力的资金支持和自主创新意识。其次，全民信息安全意识淡薄，警惕性不高。大多数计算机用户都曾被病毒感染过，并且病毒的重复感染率相当高。 除此之外，我国目前信息技术领域的不安全局面，也与西方发达国家对我国的技术输出进行控制有关。很多项目最关心的信息安全问题，是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵，避免非法泄露。信息安全管理应是本项目的一个重点,故应选派经验丰富的信息安全工程师来负责本项目的信息安全管理工作。监理单位在安全管理方面有很多有用的管理经验和处理方法，例如：每一位监理人员，在开始从事项目监理工作时，均签定了保密协议和职业道德承诺。安全工作，由公司总经理直接负责，公司办公室直管。一、公司制定的信息安全工程师的岗位职责：保证建设单位在信息系统工程建设过程中，信息系统的安全在可用性、保密性、完整性与信息系统工程的可维护性技术环节上没有冲突；在成本控制的前提下，确保信息系统安全设计上没有漏洞；督促承建单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理，建立安全意识；监督承建单位按照技术标准和建设方案施工，检查承建单位是否存在设计过程中的非安全隐患行为或现象等，确保整个项目建设过程中的安全建设和安全应用；督促业主和承建单位进行信息安全管理的培训和教育；协助业主方进行信息安全规划，建立信息安全制度体系；出现重大安全事故或发现安全隐患时，及时向总监和公司办公室汇报；参加公司办公室和专家组组织的安全隐患或事故分析评定会；监督承建单位执行安全处理方案。第 4 页 共 5 页二、系统建设过程安全管理工作的主要职责确保机房实体安全，主要包括机房环境、温度、湿度的控制，电磁、电涌、噪声、静电、震动和灰尘的防护，防火、防雷、监控、门禁等安全措施的合理和到位。确保设备、设施安全，主要包括设备的可靠性，通信电线在使用中的安全性，电力供应的稳定与可靠性，对灾难的预防，灾难出现后紧急恢复的措施与能力。确保平台安全，主要包括网络基础设施漏洞检测与修复、操作系统漏洞检测与修复、通用基础应用程序漏洞检测与修复、各种防预软、硬件的设置有效。确保数据安全。主要包括介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储和备份安全等。确保通信安全。应采取通信线路和网络基础设施安全性测试与优化，安装网络加密设施，设置通信加密软件，设置身份鉴别机制，设置并测试安全通道，测试各项网络协议运行漏洞。确保应用安全。应用安全是保障相关业务在计算机网络系统上安全运行，应用安全脆弱性是可能给信息化系统带来最大损失的致命威胁。主要的保证措施有：程序安全性测试、访问控制性测试、身份鉴别检测、备份与恢复机制检查、防冲突检测等。确保运行安全。主要措施有：应急处置机制和配套服务，网络系统安全性监测，网络安全产品运行监测，定期检查和评估，系统升级和补丁提供，跟踪最新安全漏洞，灾难恢复机制与预防，系统改造管理，网络安全专业技术咨询等。确保管理安全。监理人员要以用户网络系统的特点、实际条件和管理要求为依据，利用各种安全管理机制，为用户综合控制风险、降低损失和消耗，促进安全生产，提高综合效益。做好管理安全工作，为以上各方面建立安全策略，形成安全制度，并通过培训和促进措施，保障各项管理制