1. 如何構建一個安全的網路信息安全體系
網路信息安全體系
計算機網路信息安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路信息安全體系如圖1所示。
圖1 網路信息安全體系
其中,網路信息系統安全風險評估是一個識別、控制、降低或消除可能影響系統安全風險的過程。是明確安全現狀、規劃安全工作、制訂安全策略,並形成安全解決方案的基礎,通過對網路系統的風險評估可以掌控各種潛在風險,並制定出相應的應對措施和應急預案。通過安全控制極大地降低風險,並對殘留風險進行及時監控和分析,應急預案及計劃可在突發事件發生時做出應急響應和災難恢復,以確保網路信息系統及業務數據的安全。
詳見 網路安全技術與實踐 高等教育出版社 賈鐵軍主編2014.8。
2. 國家推進網路安全什麼建設鼓勵有關企業機構開展網路安全認證檢測和風險評估等
網路安全社會化服務體系建設
促進的支持措施有:
一是,國家推進網路安全社會化服務體系建設,鼓勵企業、機構開展網路安全認證、檢測和風險評估等服務。
二是,國家鼓勵開發網路數據安全保護和利用技術,促進公共數據資源開放,推動技術創新和經濟社會發展;支持創新網路安全管理方式,運用網路新技術,提升網路安全保護水平。
三是,增加大數據應用必須對公民個人信息進行匿名化處理的規定,進一步明確公民個人信息使用規則。
網路安全的主要類型
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下幾種:
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
(2)網路信息安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
(3)信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上自由傳輸的信息失控。
(4)信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
3. 簡要概述網路安全保障體系的總體框架
網路安全保障體系的總體框架
1.網路安全整體保障體系
計算機網路安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。
圖4 網路安全保障體系框架結構
【拓展閱讀】:風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中包括信息安全風險。
實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
(1)網路安全策略。以風險管理為核心理念,從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個不同層面,在每一層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,以保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整相互適應,反之,安全政策和標准也會影響管理、運作和技術。
(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
(4)網路安全管理。網路安全管理是體系框架的上層基礎,對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9
4. 國家推進網路安全,什麼服務體系建設
《中華人民共和國網路安全法》第十七條,國家推進網路安全社會化服務體系建設,鼓勵有關企業、機構開展網路安全認證、檢測和風險評估等安全服務。
5. 網路安全的市場需求
5G作為新一代移動通信技術體系,採用了很多新業務、新架構、新技術,將在提升移動互聯網用戶業務體驗的基礎上,進一步滿足未來物聯網應用的海量需求,與工業、醫療、交通、傳媒等行業深度融合,實現真正的「萬物互聯」,推動產業互聯網發展,但5G的虛擬化和軟體定義能力也引入了新的安全挑戰,將催生更大的網路安全市場。根據最新發布的《IDC全球網路安全支出指南》(Worldwide Security Spending Guide, 2020V2),IDC預測,在新冠肺炎疫情的影響與推動下,2020年全球網路安全相關硬體、軟體、服務市場的總投資將達到1252.1億美元,較2019年同比增長6.0%,與上期預測保持了較高的一致性。
與全球相比,中國網路安全市場近幾年在國家政策法規、數字經濟、威脅態勢等多方需求驅動下,整體的市場規模持續呈現快速發展態勢,中國網路安全投資在整體IT投資中的佔比日益提升。但從IT安全投資、IT安全技術與服務成熟性等幾方面來看,中國網路安全產業的發展相較於全球仍存在較大差距,這也充分體現了未來中國網路安全市場的發展潛力與發展空間。
5G催生更大網路安全市場
5G實現萬物互聯,推動產業互聯網發展,但5G的虛擬化和軟體定義能力也引入了新的安全挑戰,將催生更大的網路安全市場。
「5G時代,通信變成一張IT網路,IT、OT和CT三網融合,標準的封閉通信協議和通信網路開放成軟體定義的網路後,數據的入口和各種接入發生了天翻地覆的變化,從只有通信設備廠能參與的產業變成了所有IT人都能參與的藍海市場。」亞信安全總裁陸光明表示,除了電信運營商,5G進入行業應用還將對安全產生刺激性需求,將會帶動數萬億行業應用投資。
一方面,隨著5G網路規劃和建設逐步落地,現有網路架構的雲化升級以及核心網的SDN化將引入數千億的IT化投資。
另一方面,5G作為新基建,將加速產業互聯網的發展。5G的切片網路在各行業應用過程中也會遇到大量新的網路安全挑戰,甚至會出現基於這些垂直行業應用的運營商,這些行業運營商對網路以及網路安全防護的需求是7×24小時,需要有強大的網路和網路安全復合能力的廠商。
近幾年來,網路安全態勢變得越來越復雜,數據泄露、APT攻擊、勒索病毒等事件愈演愈烈,例如2017年美國核電站持續遭遇黑客滲透攻擊,2018年韓國平昌奧運會開幕式期間官網受攻擊。
對網路安全的重視將推動這一行業快速發展。根據IDC最新預測,2020年中國網路安全市場總體支出將達到78.9億美元,較2019年同比增長11.0%,增幅繼續領跑全球網路安全市場。2020年,安全硬體在中國整體網路安全支出中將繼續占據主導地位,佔比高達53.5%;安全軟體和安全服務支出比例分別為18.3%和28.2%。在2020-2024年的預測期間內,中國網路安全相關支出將實現18.7%的CAGR(年均復合增長率),預計2024年將達到167.2億美元。
除了增速快,中國網路安全市場與其他國家相比硬體佔比更大,軟體和服務的比例偏低。IDC預測,2020年安全硬體在中國整體網路安全支出中將繼續占據絕對主導地位,佔比高達59.1%;軟體和服務支出比例分別為18.4%和22.5%。
5G網路應用領域安全需求多
5G網路應用領域涉及多個應用領域,應用場景和范圍不同,其安全需求也不盡相同。
對於智慧醫療來說,智慧醫療系統主要通過網路切片技術建立端到端的邏輯專網,在患者和醫院、醫院和醫院之間,實現遠程醫療、醫療信息共享等多種定製化網路服務。目前,行業內已成功實現了異地遠程會診、醫療數據快速傳輸和同步調閱等應用成果。但醫療切片網路中的病人,希望自己的信息只接入本切片網路中的醫生,而不希望被其他切片網路中的人訪問。因此,目前,智慧醫療的核心安全需求是亟須建立網路切片之間的有效隔離機制。
6. 網路及信息系統需要構建什麼樣的網路安全防護體系
網路安全保障體系的構建
網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等,便於有效地預防、保護、響應和恢復,確保系統安全運行。
圖4 網路安全保障體系框架
網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心,其中的風險分為信用風險、市場風險和操作風險,包括網路信息安全風險。實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
1) 網路安全策略。屬於整個體系架構的頂層設計,起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念,從長遠發展規劃和戰略角度整體策劃網路安全建設。
2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個層面,各層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整並相互適應,反之,安全政策和標准也會影響管理、運作和技術。
3) 網路安全運作。基於日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
4) 網路安全管理。對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
摘自-拓展:網路安全技術及應用(第3版)賈鐵軍主編,機械工業出版社,2017
7. 信息安全如何進行體系化建設
信息安全建設是電子政務建設不可缺少的重要組成部分。電子政務信息系統承載著大量事關國家政治安全、經濟安全、國防安全和社會穩定的數據和信息;網路與信息安全不僅關繫到電子政務的健康發展,而且已經成為國家安全保障體系的重要組成部分。缺乏安全保障的電子政務信息系統,不可能實現真正意義上的電子政務。
一、強化安全保密意識,高度重視信息安全,是確保政務網路信息系統安全運行的前提條件
目前,電子政務信息系統大都是採用開放式的操作系統和網路協議,存在著先天的安全隱患。網路攻擊、黑客入侵、病毒泛濫、系統故障、自然災害、網路竊密和內部人員違規操作等都對電子政務的安全構成極大威脅。因此,信息安全保障工作是一項關系國民經濟和社會信息化全局的長期性任務。
我們必須認真貫徹「一手抓電子政務建設,一手抓網路和信息安全」的精神和中辦發[2003]27號文件關於信息安全保障工作的總體要求,充分認識加強信息安全體系建設的重要性和緊迫性,高度重視網路和信息安全。這是做好信息安全保障工作的前提條件。「高度重視」首先要領導重視;只有領導重視才能把信息安全工作列入議事日程,放到重要的位置,才能及時協調解決信息安全工作所面臨的諸多難題。其次,要通過加強網路保密知識的普及教育,特別是對縣處級以上幹部進行網路安全知識培訓,大力強化公務員隊伍的安全保密意識,使網路信息安全宣傳教育工作不留死角,為網路信息系統安全運行創造條件。
二、加強法制建設,建立完善的制度規范,是做好信息安全保障工作的重要基礎
確保政務網路信息安全,必須加強信息安全法制建設和標准化建設,嚴格按照規章制度和工作規范辦事。俗話說,沒有規矩不成方圓,信息安全工作尤其如此。如果我們能夠堅持建立法制和標准,完善制度和規范並很好地執行,就會把不安全因素和失誤降到最低限度,使政務信息安全工作不斷登上新的台階。
為此,一要嚴格按照現行的法律法規規范網路行為,維護網路秩序,同時逐步建立和完善信息安全法律制度。要加強信息安全標准化工作,抓緊制定急需的信息安全和技術標准,形成與國際標准相銜接的具有中國特色的信息安全標准體系。
二要建立健全各項規章制度和日常工作規范。要根據網路和信息安全面臨的新情況、新問題,緊密聯系本單位信息安全保密工作的實際,本著「堵漏、補缺、管用」的原則,抓緊修訂、完善和新建信息安全工作的各項規章制度及操作規程,切實增強制度的科學性、有用性和可操作性,使信息安全工作有據可依、有章可循。
三要重視安全標准和規章制度的貫徹落實。有了制度,不能把它束之高閣。不按制度辦事,是造成工作失誤和安全隱患的重要原因。很多不安全因素和工作漏洞都是由於沒有按程序辦事所造成的。因此,要組織信息化工作人員反復學習有關制度和規范,使他們熟悉和掌握各項制度的基本內容,明白信息安全工作的規矩和方法,自覺用制度約束自己,規范工作。
四要建立完善對制度落實情況的監督檢查和激勵機制。工作程序、規章制度建立後,必須做到行必循之,把規章制度的每一條、每一款落到實處。執行制度主要靠自覺,但必須有嚴格的監督檢查。要通過監督檢查建立信息安全工作的激勵機制,把信息安全工作與年度考核評比及「爭先創優」工作緊密結合起來,激勵先進,鞭策後進,確保各項信息安全工作制度落到實處。各地、各部門要不定期地對本地和本系統的制度落實情況進行自查自糾,發現問題及早解決。
三、建立信息安全組織體系,落實安全管理責任制,是做好政務信息安全保障工作的關鍵
調查顯示,在實際的網路安全問題中,約有80%是由於管理問題造成的。因此,建立信息安全管理機構,加強組織協調,發揮其統籌規劃、科學管理、宏觀調控和決策的作用,強化信息安全管理,形成全方位的信息安全管理組織體系至關重要。
一方面,要逐步建立和完善信息安全組織體系。該體系應包括各地、各部門成立的保密工作領導小組;有本部門主管領導參加的政務網路與信息安全協調小組;聘請國內外安全專家組成的安全咨詢專家小組。根據建設和應用情況需要,還可建立相應的信息安全管理執行機構(如「政府安全中心」),負責整個政務信息系統中的安全保密工作,包括提供相關服務。
另一方面,要在健全信息安全組織體系的基礎上,切實落實安全管理責任制。明確各級、各部門行政一把手(或主管領導同志)作為信息安全保障工作的第一責任人;技術部門主管或項目負責人作為信息安全保障工作直接責任人,強化對網路管理人員和操作人員的管理。切實把好用人關,對關鍵崗位實行A、B角色管理;對網路管理人員和涉密操作人員要簽訂保密協議,明確保密職責,實行持證上崗制度。要培養一批具有信息安全管理經驗的復合人才,充實到關鍵崗位,為政務信息化把好安全關。
四、結合實際注重實效,正確處理信息安全「五大關系」,是確保信息安全投資效益的最佳選擇
在電子政務建設中,信息安全方面的投資往往涉及很大金額。各地、各部門應緊密結合自身實際,正確處理和把握與信息安全相關的「五大關系」,使有限的資金發揮出最大的社會效益。
1、要正確處理發展與安全的關系。發展與安全是信息安全關系中最基本、最重要的一對關系,由此可以派生出其他一些關系。發展與安全的關系是辯證統一、相輔相成的,其中發展是目的,安全是保證。二者關系處理得好,安全會有保障並能促進發展;處理不好,安全就會制約並牽制發展。正確處理發展與安全的關系就是要加快發展,確保安全。具體講,就是在加快發展過程中確保安全;在確保安全的條件下加快發展。這里要注意克服兩種傾向:一是過分強調發展而忽視安全;二是追求絕對安全而制約發展。為此,要堅持電子政務發展和網路信息安全「兩手抓」。要在電子政務建設和發展過程中不斷加強安全管理,完善安全措施,切實保障安全;同時要在適度安全、基本安全的前提下,培育業務需求,加大工作力度,促進電子政務事業加快發展。
2、處理好安全成本與效益的關系。成本與效益的關系是由信息安全基本關系派生出來的,二者的關系是對立統一、相反相成的。成本與效益的關系處理得好,安全成本就會下降同時效益提高;處理不好,安全成本就會上升同時效益下降。正確處理好安全成本與效益的關系,必須堅持綜合平衡。要根據中辦發[2003]27號文件中關於「信息化發展的不同階段和不同信息系統不同的安全需求,必須從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置,確保重點」的要求,一方面千方百計降低安全投入成本,另一方面努力提高安全措施的實際效果,確保滿足重點項目、重點部位的安全需求,使有限的安全保障資金充分發揮出良好的使用效益。
3、處理好信息安全與共享(信息公開和保密)的關系。這也是從信息安全基本關系中派生出來的。開放和發展需要信息資源共享,而網路互聯為信息共享提供了條件。但信息公開和信息保護是一對不可迴避的矛盾。推進信息化建設既要強調資源共享,還要保證信息安全。我們應立足於電子政務建設的大系統,整體地、動態地看待信息安全與資源共享問題,用發展的眼光和辯證的觀點去處理問題。在這對矛盾中,目前資源共享是矛盾的主要方面。當前我國各地方、各行業的信息資源建設普遍存在「數字鴻溝」、「信息孤島」現象。針對這種情況,我們在處理兩者之間關系時,應當緊緊圍繞矛盾的主要方面,在確保國家安全和尊重個人隱私的前提下,把當前工作的重點放在最大限度地促進信息資源共享方面,消除數字鴻溝和信息孤島,提高信息資源共享程度,使政務信息資源發揮更大的社會效益。
4、處理好安全管理與技術的關系。安全管理與技術的關系也是信息安全體系中的基本關系之一。在信息安全保障體系中,安全管理和安全技術是一個不可分割的統一體,是一個事物的兩個方面。管理離不開技術,技術離不開管理;兩者緊密相連、相互滲透、互為補充。因此,在信息安全工作中,我們要堅持管理和技術並重,做到管理手段和技術手段相結合,也就是在加強管理的前提下,採用先進的安全技術,在提升技術的基礎上強化管理。信息安全問題的解決需要技術手段,但又不能單純依賴技術。信息化的過程其實是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。在這方面,我們要同時注意防止和克服「重管理、輕技術」和「單純技術觀點」兩種傾向,既要高度重視信息安全技術的重要作用,又要避免陷入唯技術論的怪圈。從理論上看,不存在絕對安全的技術;技術固然重要,但管理更不容忽視。雖然「三分技術,七分管理」的說法不一定準確,但從另一個角度說明了安全管理工作的重要性。因此,我們應以業務為主導,從全局的高度部署安全策略,採用先進技術,加強安全管理,把採取安全技術手段與加強日常管理和健全體制機制緊密結合起來,堅持一手抓安全技術手段開發,一手抓安全規章制度的建立與完善,提高政務網路信息系統的安全性和可靠性。
5、處理好信息安全工作中應急事件處理與建立長效機制的關系。要保證政務網路與信息系統的「長治久安」,必須著手建立一套長期有效的安全機制。但信息安全問題在信息化進程中廣泛存在且突發性強,所以又必須強調和重視應急事件的處理。一旦出現影響到國家利益的網路安全與信息安全事件,必須能夠立即採取有效措施,控制危機的發展,把損失減少到最低限度。
為此,首先要建立和完善信息安全監控體系,及時發現和處置突發事件,提高對網路攻擊、病毒入侵、網路失竊密的防範能力,防治有害信息傳播,增強對政務網路和信息系統的監控、管理和保護。其次,要重視信息安全應急處理工作,建立健全應急管理協調機制、指揮調度機制和信息安全通報制度。要制定完善信息安全處置預案,加強信息安全應急支援服務隊伍建設,提高信息安全應急響應能力。
希望可以幫到您,謝謝!
8. 國家建立和完善網路安全標准體系什麼和國務院其他有關部門根據各自的職責
國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
2017年6月1日,《網路安全法》將正式施行,標志著網路空間治理、網路信息傳播秩序規范、網路犯罪懲治等方面即將翻開嶄新的一頁,國家網路安全將擁有更為完善的法律基礎和保障。網路安全標准化是網路安全保障體系建設的重要組成部分,在維護網路空間安全、推動網路空間治理體系變革方面發揮著基礎性、規范性、引領性作用。《網路安全法》對於網路安全標准化工作也提出了更明確的要求。
(8)新冠網路安全體系建設擴展閱讀:
進一步加強網路安全標准體系建設。《網路安全法》第十五條規定,國家建立和完善網路安全標准體系。根據國家標准委授予的職責范圍,全國信息安全標准化技術委員會(TC260)承擔著組織制定標准和持續完善國家信息安全標准體系的職責,多年來推動國家網路安全保障體系建設所需標準的制修訂工作,初步形成了國家網路安全標准體系。
中央網信辦、國家質檢總局、國家標准委聯合印發的《關於加強國家網路安全標准化工作的若干意見》指出,建立統一權威的國家標准工作機制,全國信息安全標准化技術委員會在國家標准委的領導下,在中央網信辦的統籌協調和有關網路安全主管部門的支持下,對網路安全國家標准進行統一技術歸口,統一組織申報、送審和報批。
因此,需要加強網路安全標准戰略性、方向性、基礎性的研究,既要突出重點,也要拓展覆蓋面;既要統籌推進國家標准和行業標准制修訂工作,也要適時引進國外有關標准,進而逐步建立起與《網路安全法》相配套的國家網路安全標准體系,以適應新形勢對網路安全標准化工作的更高要求。
9. 如何構建企業的網路安全體系
應重點加強對產品研發的信息安全保障,提升企業信息安全防護意識。信息安全保障如下:網路安全、終端安全、數據安全、文檔安全管理等幾個方面。上網行為管理網關、終端安全(列印機、U盤、上網行為管控、移動設備訪問)、數據安全(文件加密、U盤加密等加密類產品)、文檔安全管理(雲文檔存儲、文件外發安全),全方位保護企業信息安全……防患於未然
產品代表天銳綠盾、賽門鐵克,但鐵克做備份和殺毒,天銳綠盾做企業信息安全
10. 國家推進網路安全什麼化服務體系建設
國家推進網路安全社會化服務體系建設,鼓勵有關企業、機構開展網路安全認證、檢測和風險評估等安全服務。
社會化(socialization)是個體在特定的社會文化環境中,學習和掌握知識、技能、語言、規范、價值觀等社會行為方式和人格特徵,適應社會並積極作用於社會、創造新文化的過程。它是人和社會相互作用的結果。通過社會化,個體學習社會中的標准、規范,價值和所期望的行為。個體的社會化是一種持續終身的經驗。