热线电话
  • 010-88558925010-88558943
  • 010-88558955010-88558948
CMIC专家更多

中国半导体行业协会副

3月21日,SEMI产业创新投资论坛在上...更多>>

赛迪研究院未来产业研

近日,工业和信息化部、科技部、交通运输部...更多>>

中国市场情报中心 > CMIC研究 > 管理研究
CMIC:至关重要——浅谈网络信息安全与保障

发布时间:2017-11-17 14:53:28

来源:赛迪-中国软件评测中心

作者:吴进云

【打印】 【进入博客】 【推荐给朋友】

  【CMIC讯】一、网络信息安全概述
 
  随着现代信息产业的发展及科技的进步,网络在社会各个领域都有着广泛而深刻的应用,因此当今网络信息的安全就显得至关重要。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改和泄露,系统连续可靠正常的运行,网络服务不中断。网络安全的目标是保护网络系统中信息的机密性、完整性、可用性、不可抵赖性和可控性,其中机密性、完整性和可用性也称为信息安全的三要素。
 
  为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,2017年6月1日《网络安全法》正式生效。《网络安全法》的颁布,意味着将已有的网络安全实践上升为法律制度,网络安全有法可依,信息安全行业将由合规性驱动过渡到合规性和强制性驱动并重,通过立法织牢网络安全网,为网络强国战略提供了制度保障。
 
  二、网络信息安全存在的主要问题
 
  1、物理安全问题。物理安全是整个网络信息系统安全的基石,其目标是保护设备、通信链路和其它介质免遭自然灾害、环境事故、人为失误及各种计算机犯罪行为导致的破坏。物理安全主要涉及到机房物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水防潮、防静电、电力供应和电磁防护等方面。
 
  2、技术安全问题。技术方面安全问题主要有:网络黑客入侵、网络传播计算机病毒、操作系统和数据库漏洞、应用系统漏洞、网路木马程序和网络诈骗行为等。网络攻击者利用多种手段进行网络攻击,如监听网络、传播恶意病毒、提供虚假信息、拒绝服务攻击等方式对个人用户和企业乃至国家机关的网络进行信息窃取和破坏。
 

图

 
  3、管理安全问题。网络安全管理在安全技术基础之上,主要包含安全管理制度、安全管理机构、人员安全管理、系统建设管理和运维管理等方面,信息安全管理存在的问题主要表现为以下几点: 缺乏信息安全意识与明确的信息安全方针;缺乏完整的信息安全管理制度;缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训;现有的安全规章组织未能严格实施;系统的运行、维护和开发等岗位不清,职责不分,存在—人身兼数职现象。据统计大约70%以上的信息安全问题是由管理方面的原因造成的,也就是说解决信息安全不仅应从技术方面着手,同时更应加强信息安全的管理工作。
 
  三、网络信息安全的防范措施
 
  1、进行信息安全等级保护认证。中国软件评测建议网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施;采取数据分类、重要数据备份和加密等措施。
 
  2、聘请专业的第三方安全评测机构进行信息安全风险评估、源代码审计和渗透测试。
 
  信息安全风险评估
 
  信息安全风险评估是对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
 
  信息安全风险评估内容主要涉及组织管理、业务及技术风险评估、投产及变更控制、物理安全、主机安全、应用安全、数据安全、日志管理、客户信息保护和外包管理等方面。
 
  源代码审计
 
  源代码审计的主要内容包含审查代码中的XSS脚本漏洞、SQL 注入漏洞、潜在缓冲区溢出、敏感信息泄露、路径篡改漏洞、空指针、返回值异常、变量赋值异常、允许恶意用户启动攻击的不良代码技术和其他软件编写错误及漏洞的寻找及审查。
 
  渗透测试
 
  渗透测试是根据已知可利用的安全漏洞,去发现是否存在相应的信息资产,通常评估方法对评估结果更具有全面性,渗透测试则更注重安全漏洞的严重性。渗透测试一方面可以从攻击者的角度,检验业务系统的安全防护措施是否有效,各项安全策略是否得到贯彻落实;另一方面可以将潜在的安全风险以真实事件的方式凸现出来,从而有助于提高相关人员对安全问题的认识水平。渗透测试结束后,立即进行安全加固,解决测试发现的安全问题,从而有效地防止真实安全事件的发生。
 
  四、总结
 
  在互联网时代,没有网络安全就没有国家安全。中国软件评测中心认为维护网络信息安全是全社会共同责任,加强网络信息安全保障工作,特别是要针对网络关键基础设施、重要数据、重点信息系统等,应及时落实信息安全等级保护要求,同时聘请专业的第三方安全评测机构进行安全风险评估、源代码审计和渗透测试,提高网络信息系统安全防护能力。(通讯员:雷蕾)

实习编辑:言笑晏晏

相关报道
  • --

联系我们:8610-8855 8955 zhouhl@staff.ccidnet.com

广告发布: 8610-88558925

方案、案例展示: 8610-88558925

Copyright 2000-2011 CCIDnet.All rights reserved.

京ICP000080号 网站-3