亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        個(gè)人信息的網(wǎng)絡(luò)安全保護(hù)

        2012-04-29 00:44:03郭玉梅
        軟件工程 2012年5期
        關(guān)鍵詞:系統(tǒng)安全個(gè)人信息信息安全

        郭玉梅

        隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,擁有大量個(gè)人信息的公共事業(yè)部門對(duì)個(gè)人信息的處理與傳遞更加方便和快捷了,這類系統(tǒng)注①需要在互聯(lián)網(wǎng)環(huán)境下實(shí)時(shí)地進(jìn)行數(shù)據(jù)傳遞以實(shí)現(xiàn)為用戶提供服務(wù)的目的。在為用戶提供可查詢的信息服務(wù)和數(shù)據(jù)交流的同時(shí),大量的個(gè)人信息隨時(shí)面臨著被泄露或被篡改的危險(xiǎn)。就當(dāng)今的個(gè)人信息管理者注②而言,這種以計(jì)算機(jī)網(wǎng)絡(luò)為載體、以電子介質(zhì)為存儲(chǔ)方式管理的個(gè)人信息比傳統(tǒng)的無(wú)網(wǎng)絡(luò)載體、以紙介質(zhì)為存儲(chǔ)方式具有更大的挑戰(zhàn)性,面臨著更大的個(gè)人信息安全風(fēng)險(xiǎn)。近年來(lái),國(guó)內(nèi)外不斷發(fā)生的個(gè)人信息泄露事件,對(duì)公民的個(gè)人隱私安全造成了極大的威脅甚至使其蒙受了巨大的財(cái)產(chǎn)損失,引發(fā)了公民對(duì)個(gè)人信息安全的擔(dān)憂以及對(duì)個(gè)人信息管理者的質(zhì)疑,代表公民愿望的新聞媒體對(duì)個(gè)人信息保護(hù)的要求和呼聲也愈加強(qiáng)烈。因此,建設(shè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境以保證公民個(gè)人信息的安全已成為個(gè)人信息管理者當(dāng)前亟待解決的問(wèn)題。

        確系統(tǒng)的安全隱患

        通常,這類系統(tǒng)是由內(nèi)網(wǎng)和外網(wǎng)構(gòu)成的,內(nèi)網(wǎng)構(gòu)造了一個(gè)完整的業(yè)務(wù)處理環(huán)境,運(yùn)行和處理個(gè)人信息核心業(yè)務(wù);外網(wǎng)則為利用互聯(lián)網(wǎng)登錄的用戶提供了聯(lián)接、使用本系統(tǒng)的服務(wù)窗口。由于互聯(lián)網(wǎng)使用的自由性、廣泛性以及黑客攻擊的頻繁性,組織內(nèi)部注③保管的個(gè)人信息隨時(shí)面臨著非正常用戶的非授權(quán)訪問(wèn)。信息被篡改、泄漏甚至丟失等安全威脅,要達(dá)到系統(tǒng)安全、可靠、穩(wěn)定的目標(biāo),首先應(yīng)通過(guò)風(fēng)險(xiǎn)分析明確系統(tǒng)的安全隱患,為最終規(guī)劃系統(tǒng)的網(wǎng)絡(luò)安全解決方案提供可靠的依據(jù)。

        由于這類系統(tǒng)構(gòu)造的龐大性和復(fù)雜性,為便于分析,我們一般采用系統(tǒng)工程的方法將系統(tǒng)劃分為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理五個(gè)部分來(lái)進(jìn)行分析,各部分存在的主要安全隱患是:

        物理層安全隱患:物理層的安全隱患主要是網(wǎng)絡(luò)周邊環(huán)境和物理特性導(dǎo)致的網(wǎng)絡(luò)、線路和設(shè)備的不可用(如設(shè)備被盜、被毀壞、意外故障等),進(jìn)而造成網(wǎng)絡(luò)系統(tǒng)的癱瘓,它是網(wǎng)絡(luò)安全的前提。

        網(wǎng)絡(luò)層安全隱患:網(wǎng)絡(luò)層的安全隱患主要是數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)(如:信息的泄漏、丟失、偽造、篡改等攻擊)、網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)、服務(wù)器安全風(fēng)險(xiǎn)、用戶安全風(fēng)險(xiǎn)等。

        系統(tǒng)層安全隱患:系統(tǒng)層的安全隱患主要是來(lái)自于信息系統(tǒng)采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅。

        應(yīng)用層安全隱患:應(yīng)用層的安全隱患主要是身份認(rèn)證漏洞和非授權(quán)訪問(wèn),提供信息數(shù)據(jù)服務(wù)的服務(wù)器因缺乏安全保護(hù),可能會(huì)被非法用戶直接訪問(wèn)網(wǎng)絡(luò)資源,造成信息外泄。

        管理的安全隱患:管理是網(wǎng)絡(luò)安全中最重要的一環(huán),管理制度不健全或缺乏可操作性、各崗位責(zé)權(quán)不明或管理混亂等都可能造成安全隱患,這些缺陷使得系統(tǒng)在受到安全威脅的情況下不能實(shí)時(shí)地檢測(cè)、監(jiān)控、報(bào)告、預(yù)警,并可能導(dǎo)致事故發(fā)生后,缺乏對(duì)系統(tǒng)運(yùn)行的可控性和可審計(jì)性。

        建系統(tǒng)的安全保障體系

        從個(gè)人信息安全隱患的分析中可以看出:系統(tǒng)面臨著多層次、多形態(tài)的安全隱患,解決系統(tǒng)的安全問(wèn)題,只依靠某個(gè)單一的或孤立的安全技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的,不僅需要有完善的技術(shù)和可靠的設(shè)備做支撐,同樣需要有與之配套的安全管理制度作保障。因此,組織內(nèi)部應(yīng)對(duì)系統(tǒng)的過(guò)程、策略、標(biāo)準(zhǔn)、監(jiān)督、法規(guī)、技術(shù)進(jìn)行綜合后,構(gòu)建一套完整可行的系統(tǒng)安全保障體系,如下圖所示的《系統(tǒng)安全保障體系框架》。

        “基礎(chǔ)安全服務(wù)設(shè)施”、“內(nèi)部安全管理保障機(jī)制”、“安全技術(shù)支撐平臺(tái)”、“緊急事件處理與恢復(fù)機(jī)制”等組成了《系統(tǒng)安全保障體系框架》,各組成部分是相互制約的?!断到y(tǒng)安全保障體系框架》表明:完善的“內(nèi)部安全管理保障機(jī)制”是實(shí)現(xiàn)系統(tǒng)安全之根本;而“基礎(chǔ)安全服務(wù)設(shè)施”、“安全技術(shù)支撐平臺(tái)”是相互依賴的,只有實(shí)現(xiàn)了下層的安全,才能在真正意義上保證上層的安全;“緊急事件處理與恢復(fù)機(jī)制”是當(dāng)系統(tǒng)一旦發(fā)生緊急事件時(shí),為保障系統(tǒng)盡快恢復(fù)運(yùn)行并將事故損失降到最低的保障預(yù)案。

        劃系統(tǒng)的安全保護(hù)策略

        從以上的分析中我們知道,控制、管理網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過(guò)程是實(shí)現(xiàn)系統(tǒng)安全的重要途徑,任何組織內(nèi)部的系統(tǒng)安全都是制度和技術(shù)的結(jié)合,要保證系統(tǒng)的個(gè)人信息安全,必須根據(jù)安全風(fēng)險(xiǎn)分析的結(jié)果,從安全管理、安全技術(shù)兩大方面規(guī)劃系統(tǒng)的安全保護(hù)策略,以實(shí)現(xiàn)個(gè)人信息在網(wǎng)絡(luò)環(huán)境下的可靠性、保密性、完整性、可用性、可核查性和可控性。

        (一)安全管理

        安全管理制度是各類安全保障措施的前提,也是其它安全保障措施實(shí)施的基礎(chǔ)。安全管理保障體系是以文檔化的方式管理系統(tǒng)中各種角色的活動(dòng),以組織內(nèi)部的政策和制度為準(zhǔn)則,規(guī)范操作流程,以工作日志等手段記錄和審計(jì)操作過(guò)程。它主要包括:

        1組織管理

        應(yīng)識(shí)別組織內(nèi)部的安全風(fēng)險(xiǎn),制定對(duì)應(yīng)的安全制度,明確信息安全事故報(bào)告流程,確保使用持續(xù)有效的方法管理信息安全事故,建立信息安全監(jiān)查工作制度,發(fā)現(xiàn)問(wèn)題及時(shí)改進(jìn)。

        2員工管理

        員工是系統(tǒng)安全的操作者,因而是系統(tǒng)安全的管理對(duì)象,要提高員工的信息安全意識(shí),落實(shí)安全管理責(zé)任,責(zé)任分離以減少潛在的損失,定期進(jìn)行信息安全知識(shí)培訓(xùn)。

        (二)安全技術(shù)

        安全技術(shù)是通過(guò)在系統(tǒng)中正確地部署軟、硬件,利用各類安全產(chǎn)品和技術(shù)手段達(dá)到無(wú)偏差地實(shí)現(xiàn)既定的安全策略和安全目標(biāo),為整個(gè)網(wǎng)絡(luò)構(gòu)筑起一個(gè)真實(shí)的安全環(huán)境。這里重點(diǎn)介紹:

        1物理安全要點(diǎn)

        物理安全是保證系統(tǒng)所涉及場(chǎng)所的環(huán)境、設(shè)備、線路的實(shí)體安全,防止基礎(chǔ)設(shè)施的非法使用或遭受破壞。應(yīng)建立完善的電力保障系統(tǒng)及適宜的溫度、濕度等物理運(yùn)行環(huán)境;具有良好的防雷擊、抗電磁干擾等基本保障設(shè)施;具備抵御地震、洪澇災(zāi)害等抗自然災(zāi)害能力;等等。

        重要工作區(qū)域應(yīng)設(shè)置物理安全控制區(qū),建立視頻監(jiān)控系統(tǒng)和防盜設(shè)施,鑒別進(jìn)入人員的身份并登記在案,將準(zhǔn)入重要工作區(qū)域的人員限制在可監(jiān)控的范圍內(nèi)。

        2主要技術(shù)手段

        由于網(wǎng)絡(luò)安全存在很多問(wèn)題,抵御網(wǎng)絡(luò)攻擊,防止信息泄密,預(yù)防信息破壞,控制用戶訪問(wèn)范圍和權(quán)限是規(guī)劃網(wǎng)絡(luò)安全的重要內(nèi)容,通常采用的主要技術(shù)手段是:

        (1)身份認(rèn)證,識(shí)別技術(shù)

        身份認(rèn)證,識(shí)別技術(shù)是通過(guò)物理級(jí)、網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)等多種手段,對(duì)網(wǎng)絡(luò)中用戶的訪問(wèn)權(quán)限進(jìn)行控制,是判斷和確認(rèn)用戶真實(shí)身份的重要環(huán)節(jié)。它通過(guò)識(shí)別用戶的身份決定是否執(zhí)行其提出的訪問(wèn)要求,可信的身份服務(wù)為驗(yàn)證提供準(zhǔn)確的用戶身份確認(rèn)信息,沒(méi)有可信的身份驗(yàn)證服務(wù),防火墻就可能根據(jù)偽造的合法用戶身份做出錯(cuò)誤的判斷。

        (2)網(wǎng)絡(luò)反病毒及安全漏洞掃描技術(shù)

        反病毒及安全漏洞掃描技術(shù)是防御網(wǎng)絡(luò)病毒和惡意代碼侵害的主要手段,反病毒技術(shù)可通過(guò)預(yù)防、查殺等技術(shù)手段實(shí)現(xiàn)對(duì)侵入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的病毒實(shí)施安全地防御;而安全漏洞掃描技術(shù)則是通過(guò)對(duì)系統(tǒng)的工作狀態(tài)進(jìn)行檢測(cè)、掃描并加以分析,找出可能威脅系統(tǒng)的異常系統(tǒng)配置,并及時(shí)做出反應(yīng)。

        (3)訪問(wèn)控制技術(shù)

        訪問(wèn)控制技術(shù)可用于防止非法用戶的侵入并控制合法用戶對(duì)系統(tǒng)資源的非法使用行為,阻斷攻擊者從任何一個(gè)終端利用現(xiàn)有的大量攻擊工具發(fā)起對(duì)主機(jī)的攻擊、控制并進(jìn)行非法操作或修改數(shù)據(jù)。

        (4)防火墻技術(shù)

        防火墻是保護(hù)網(wǎng)絡(luò)系統(tǒng)不受另一個(gè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備,它能夠隔離安全區(qū)域,根據(jù)制定的安全策略控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包,提供使用和流量的日志和審計(jì),隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié),防止內(nèi)部信息的外泄。

        (5)入侵檢測(cè)技術(shù)

        入侵檢測(cè)是能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的網(wǎng)絡(luò)安全設(shè)備,能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為,完成對(duì)網(wǎng)絡(luò)攻擊的決策分析,可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)。

        (6)設(shè)備/數(shù)據(jù)備份技術(shù)

        設(shè)備/數(shù)據(jù)備份技術(shù)是保證系統(tǒng)持續(xù)運(yùn)行的一項(xiàng)重要技術(shù)。設(shè)備備份是在網(wǎng)絡(luò)構(gòu)建時(shí),對(duì)重要的連接點(diǎn)考慮鏈路及設(shè)備的冗余和備份,確保網(wǎng)絡(luò)的高可用性;數(shù)據(jù)備份是對(duì)重要信息進(jìn)行備份,并提供恢復(fù)重要信息的功能。

        (7)數(shù)據(jù)加密技術(shù)

        數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)技術(shù)安全的基礎(chǔ),是用加密密約和加密函數(shù)的方式偽裝需要保護(hù)的數(shù)據(jù),使網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)采用加密的方式實(shí)現(xiàn)存儲(chǔ)和傳輸過(guò)程中的完整性、保密性和安全性。

        (8)日志、審計(jì)技術(shù)

        日志、審計(jì)技術(shù)可用于檢測(cè)系統(tǒng)重要的安全相關(guān)事件,包括重要的用戶行為和重要系統(tǒng)功能的執(zhí)行等操作,經(jīng)對(duì)檢測(cè)數(shù)據(jù)分析后,盡早地發(fā)現(xiàn)可疑事件或行為,給出報(bào)警或?qū)勾胧?注意:審計(jì)記錄應(yīng)受到保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。)

        處理個(gè)人信息的公共服務(wù)系統(tǒng),與公民的切身利益息息相關(guān),選擇最優(yōu)的網(wǎng)絡(luò)安全解決方案,是保證個(gè)人信息安全、防止公民隱私泄漏的關(guān)鍵環(huán)節(jié)。因此,個(gè)人信息管理者在系統(tǒng)的建設(shè)初期,應(yīng)根據(jù)所建設(shè)系統(tǒng)的應(yīng)用環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)需求等特點(diǎn),從可能導(dǎo)致個(gè)人信息安全的風(fēng)險(xiǎn)隱患分析人手,面向需求,構(gòu)建一個(gè)能夠規(guī)避系統(tǒng)風(fēng)險(xiǎn)的、符合本部門業(yè)務(wù)需要的個(gè)人信息安全之網(wǎng)絡(luò)解決方案。

        注①系統(tǒng):本文泛指公共事業(yè)部門擁有的利用互聯(lián)網(wǎng)提供用戶服務(wù)(含用戶個(gè)人信息)的信息服務(wù)系統(tǒng)。

        注②個(gè)人信息管理者:本文指“獲個(gè)人信息主體授權(quán),基于特定、明確、合法目的,管理個(gè)人信息的機(jī)關(guān)、企業(yè)、事業(yè)、社會(huì)團(tuán)體等組織及個(gè)人”。參見(jiàn)《個(gè)人信息保護(hù)規(guī)范》(DB21/T1628.1-2012)

        注③組織內(nèi)部:本文指?jìng)€(gè)人信息管理者組織內(nèi)部。

        猜你喜歡
        系統(tǒng)安全個(gè)人信息信息安全
        如何保護(hù)勞動(dòng)者的個(gè)人信息?
        新型電力系統(tǒng)安全穩(wěn)定運(yùn)行分析
        湖南電力(2022年3期)2022-07-07 08:56:26
        個(gè)人信息保護(hù)進(jìn)入“法時(shí)代”
        高郵市創(chuàng)新衛(wèi)生系統(tǒng)安全管理模式
        警惕個(gè)人信息泄露
        保護(hù)信息安全要滴水不漏
        高校信息安全防護(hù)
        保護(hù)個(gè)人信息安全刻不容緩
        戶用光伏系統(tǒng)安全防護(hù)問(wèn)題的研究
        信息安全
        江蘇年鑒(2014年0期)2014-03-11 17:10:07
        中文人妻熟女乱又乱精品| 日韩精品中文字幕免费人妻| 中文文精品字幕一区二区| 亚洲av永久无码精品一福利 | 国产suv精品一区二人妻| 国产免费人成视频在线播放播| 中文字幕人妻乱码在线| 亚洲中文字幕久久精品品| 中文字幕乱码熟女人妻水蜜桃| 国产成人一区二区三中文| 亚洲av乱码一区二区三区观影| 亚洲精品一品区二品区三区| 亚洲精品熟女国产| 日子2020一区二区免费视频| 中文字幕人妻少妇久久| 蜜桃av在线免费网站| 免费无码一区二区三区蜜桃大| 91久久精品无码人妻系列 | 日本高清视频xxxxx| 色丁香久久| 亚洲国产线茬精品成av| 97色伦图片97综合影院| 丰满少妇被猛男猛烈进入久久| 99久久久精品免费| 国产精品一区二区三区在线观看| 国产激情无码一区二区三区| 国产普通话对白视频二区| 日本中出熟女一区二区| 国产一区二区自拍刺激在线观看| 久久夜色精品国产噜噜亚洲av | 国产成人8x视频网站入口| 麻豆精品国产免费av影片| 欧美激情在线播放| 大地资源中文第三页| 男女性搞视频网站免费| 国产自拍精品一区在线观看 | 久久国产精品二区99| 中文字幕被公侵犯的丰满人妻| 国产精品亚洲а∨无码播放| 日本不卡在线视频二区三区| 蜜臀aⅴ永久无码一区二区|