返回首页

设为首页加入收藏企业邮箱

新闻动态

首页 >> 新闻动态 >> 行业资讯

政务信息安全面临挑战发布时间:2011-05-11   编辑:

政务信息安全喜忧参半 
    互联网已经为商务与政务活动开辟了新的纪元。随着用户接入Internet后,互联网的开放性也使不少企业和政府的珍贵数据面临各种恶意的攻击,网络安全成为突出问题。国家计算机网络应急技术处理协调中心2004年共收到网络安全事件报告64686件,为2003年的近5倍。其中对使用自动化程序与对服务器操作系统主动攻击占绝大多数。调查数据显示,2004年面临的网络安全威胁最高的是使用自动化网络攻击工具,例如主动攻击并且传播恶意代码的蠕虫攻击,占67.3%;其次是有熟练攻击经验的攻击者成功绕过网络安全防护措施,占15.4%。这表明有意识的主动攻击已经替代了小打小闹的“恶作剧”,我们的网络安全正面临严峻的挑战。

脆弱的身份鉴别机制,自主访问控制机制(DAC),层出不穷的操作系统/应用系统漏洞,使得网络安全领域面临日益严峻的挑战。如何有效地组织安全服务体系,并确保其完整性和适用性成为摆在政府与专业安全厂家面前的问题。

我国近期出台了多部相关法律法规,作为建设“数字边疆”的法理依据,如:4月1日实施的《电子签名法》,以及进入实质推广阶段的《国家计算机信息系统安全等级》标准等文件,充分体现了国家与社会对计算机信息系统安全的高度关注。这个标准的推广与实施将大大增加电子政务系统对主动攻击的“免疫”能力。

独创技术保证执行
《国家计算机信息系统安全等级》是中华人民共和国国家级标准。广泛适用于政府、军队、企业的信息安全建设与管理。标准规定了计算机系统安全保护能力的五个等级。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。随着安全保护等级的增高,信息系统安全保护能力也逐渐增强。

国家信息化领导小组也对贯彻《国家计算机信息安全等级保护》标准提出了具体指导意见。并指出,不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险。抓紧贯彻实施信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。

像“首都之窗”这样的政府网站和一些窗口单位已经意识到这个标准的重要性。定期举行网络安全的专题讲座,并且集中学习了《中华人民共和国计算机信息系统安全保护条例》。广电总局也非常重视网络安全管理,2004年广电总局,对全国各省市级监测台的总工程师,进行了网络安全及相关国家标准的培训。培训结束以后,广电总局北京某监测台等一批机要单位,率先实施了符合国家信息安全标准的TSOC解决方案。

操作系统是电子政务和企业信息安全的基础。所有的政务应用和安全措施(包括防火墙、防病毒、入侵检测等)都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。在国家标准里面,对服务器有一个新的定义。服务器必须能够提供应用功能,并加载相应的系统软件。所以服务器的安全是多层次的,它可以分为物理层、系统层、应用层和管理层。TSOC作为可信服务器安全平台。在融合了国家信息安全等级保护三级标准的同时,针对服务器操作系统的内核进行安全增强形成安全内核,就像为人体注入了抗病毒的基因疫苗,从而达到了对恶意攻击“免疫”的效果。

有专家认为,在电子政务建设中,对操作系统的潜在安全隐患应予以高度重视。我们无法保证国外厂家的操作系统产品不存在后门。所以在选购操作系统安全产品时,有两点是值得考虑的:一是采用具有自主知识产权且源代码对政府公开的产品,二是能够从根本上解决问题的完整的解决方案。因为项目处于动态变化之中,这就要求我们的安全产品供应商能够提供更加灵活可用解决方案。

根据国家等级保护标准和可信级要求,可以把系统分成几个等级来管理,然后对每一个项目适合的等级进行安全评估和安全防护,这样就可以在集中有限的资金,确保重要信息的安全性。同时,也应兼顾安全与应用。对于政府和企业来说对关键信息的安全保护需求是绝对的,而应用却是相对的。因此为了保证关键信息的安全,可以牺牲一些次要的应用。目前TSOC方案做到了安全性与应用功能最大的匹配。中航嘉信的技术总监艾奇伟认为,“网络安全决不是防火墙、IDS等产品的堆砌,而是一个产品链的延伸。在实际应用只有每一层都达到安全,并且层层之间有可信接口,进行互联、互通、互操作,才能实现安全与应用的平衡”。在保证信息安全的前提下,最大限度地保护客户的利益。这也是服务器安全未来发展的方向。

随着信息网络发展和应用的加快,我们每天都面临着信息安全问题带来的严峻挑战。我们需要大力研究开发具有自主知识产权和信息安全核心技术和产品,以独创性的技术手段,有效贯彻落实国家相关信息等级保护标准和规定,切实保障网络与信息安全。国家近期推出执行的各种法律法规,从根本上为政务与企业的信息安全提供了保驾护航的法律依据,我们希望通过这些法律法规的落实,促进电子政务、电子商务的顺利发展。加快国内信息安全的产业化步伐。

上一篇: “物联网”“云计算” IT业新概念风起云涌 下一篇: 美国联合数据在线营销被黑客窃取资料

公司地址:江苏省无锡市新区菱湖大道清源路530创业大厦B栋8楼 电话:0510-68788918 传真:0510-68788921


版权所有© 2010 江苏意源科技有限公司  苏ICP备-05004748