《网络安全建设必要性》由会员分享,可在线阅读,更多相关《网络安全建设必要性(23页珍藏版)》请在金锄头文库上搜索。
1、1 网络安全建设的必要性网络安全建设的必要性 项目名称:项目名称:XXXX申请单位:申请单位:XXXX申请人员:申请人员:XXXX联系电话:联系电话:XXXX2018 年年 9 月月 25 日日1随着信息技术日新月异的发展,各行业在信息化应用和要求方面逐步提高,信息网络覆盖面也越来越大,网络的利用率稳步提高。利用计算机网络技术与业务系统相结合,可有效地提高工作效率。然而信息化技术给我们带来便利的同时,各种网络与信息系统安全问题也逐渐暴露出来。由于计算机网络所具有多样性、开放性、互连性等的特点,造成网络易受攻击。有来自黑客,也有其他诸如计算机病毒等形式的攻击,具体的攻击是多方面的。所以,网络的安
2、全措施也就显得尤为重要,只有针对各种不同的威胁或者攻击采取必要的措施,才能够确保信息系统的安全性、保密性及可靠性。1.1网络安全建设政策指导网络安全建设政策指导从国家层面上来看,中国在现代化发展的过程中,一直非常重视网络安全的建设。20142014 年年 2 2 月月 2727 日日,中央网络安全与信息化领导小组中央网络安全与信息化领导小组正式成立,由习近平任组长、李克强、刘云山任副组长。伴随着中央网络安全与信息化领导小组成立,相继也制定了相应的工作规范制度,也在 419419 讲话讲话中强调“没没有网络安全就没有国家安全有网络安全就没有国家安全”。网络安全建设的设计依据主要有以下一些国家关于
3、信息安全规定的标准:2003 年 9 月,中共中央颁布了国家信息化领导小组关于加强信息安全保障工作的意见(中办发【2003】27 号文件),提出要在 5 年内建设中国信息安全保障体系;2004 年 9 月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合颁布了关于信息安全等级保护工作的实施关于信息安全等级保护工作的实施意见意见(公通字(公通字【2004】66 号文件)号文件),明确了信息安全等级保护的基本原则、基本内容、职责分工和实施计划;2007 年 6 月,信息安全等级保护管理办法(公通字【2007】43号文件)正式出台,文件对国家关于信息安全等级化的相关政策、标准
4、和规范作了详细说明,这些文件呈现以下结构分布:22017 年 6 月中华人民共和国网络安全法中华人民共和国网络安全法颁布,明确要求各业务系统需要按照信息安全等级保护标准建设。中华人民共和国计算机信息系统安全保护条例(国务院 147 号令)国家电子政务外网安全等级保护基本要求(GW0103-2004)信息安全技术云计算服务安全指南GB/T 31167-2014交通运输部办公厅关于进一步开展交通运输行业信息安全等级保护工作的通知(厅科技字2012120 号)要求2011 年 11 月,卫生部正式提出卫生行业信息安全等级保护工作的指导意见并颁发至各省市卫生厅,文件明确定义区域医疗平台数据中心和三级医
5、院的核心应用系统参照等级保护第三级要求执行。 1.2网络安全建设的必要性网络安全建设的必要性传统的信息化网络系统都是基于不同的行业进行细分,各个行业都有相关的指导文件;但这些都没有进行体系化的归类,也没有什么强制性的措施对网络安全进行责任划分,这就导致了各行业在网络安全的建设力度上层次不齐。随着近年来,各类安全事件(如“棱镜门事件”、“永恒之蓝”等)层出不穷,3相关行业都收到了不小的冲击,不管是行业内部还是国家层面,都意识到了网络安全建设的必要性。全国人民代表大会常务委员全国人民代表大会常务委员会于 2016 年 11 月 7 日发布中华人民共和国中华人民共和国网络安全法网络安全法,自 201
6、7 年 6 月 1 日起正式施行。将网络安全的防护措施、责任划分和处罚措施细化,旨在维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。中华人民共和国中华人民共和国网络安全法网络安全法共共 7 章,章,79 条中,其中条中,其中第三十一条第三十一条明确规定:国家对公共通信国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在在网络安全网络安全等级保护制度等级保护制度的基础上,实行重点保护的基
7、础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。中华人民共和国中华人民共和国网络安全法网络安全法第二十一条第二十一条:国家实行网络安全等级保护国家实行网络安全等级保护制度制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
8、(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。中华人民共和国中华人民共和国网络安全法网络安全法第六章,明确了相关的法律责任。第六章,明确了相关的法律责任。4第五十九条第五十九条:网络运营者网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危导致危害网络安全等后果的害网络安全等后果的,处一万元以上十万元以下处一万元以上十万元以下罚款,对直接负责的主管人员直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保
9、护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。第六十条第六十条:违反本法第二十二条第一款违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:(一)设置恶意程序的;(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;(三)擅自终止为其产品、服务提供安全
10、维护的。1.3网络安全建设需求网络安全建设需求网络信息系统安全是一个涉及多维度的综合性问题,涵盖物理、系统、信息安全等方面,目前信息系统安全建设需求主要包括:安全制度可用性:安全制度可用性:由计算机病毒或者其他人为原因所可能造成的信息被滥用、拒绝服务等情况。完整性与非否认性:完整性与非否认性:在网络的虚拟环境中所确认信息的真实性,以及真实的发送者与接受者、确保在信息传输的过程中未被伪造、篡改等。保密性与可控性:保密性与可控性:在网络上发布与接受信息,往往会涉及到隐私问题。同时,所有的网络应用环境也保护个人的隐私。51.4网络安全问题分析网络安全问题分析从网络运行的实际的情况来看,目前主流的网络
11、安全问题包括以下几个方面:(1)计算机网络本身所存在的系统漏洞)计算机网络本身所存在的系统漏洞:尽管当前计算机网络技术得到飞速发展,但是其自身的完善程度还是十分的不足,各种网络软件、支持系统都存在或多或少的漏洞与缺陷。正是由于这些漏洞的存在,给黑客的攻击提供了途径。此外,很多软件都存在“后门”(backdoor),这原本应是编程人员为了方便以后对软件进行维护而设置的,但是却经常会被黑客利用而使得网络系统受到极大的安全威胁。同时,因为计算机网络也需要相关硬件的支持,但是这些硬件设施本身所存在的问题也常常会给网络安全带来隐患。(2)网络系统运行人员的失误给计算机网络安全带来的威胁)网络系统运行人员
12、的失误给计算机网络安全带来的威胁:尽管随着当前信息技术的不断发展,使得很多网络运行实现了高度的自动化,但是其运行过程仍然脱离不开人的操作和控制。因此,如若网络运行人员在操作过程中出现疏忽或失误,则会给网络安全带来影响。例如,操作人员在网络安全配置方面的失当行为会给系统留下漏洞,成为方便黑客攻击的捷径;网络用户的安全意识不足,将账号、密码等重要信息转借他人或泄漏,都可能成为网络安全的严重威胁。(3)计算机病毒的攻击)计算机病毒的攻击:当前,计算机网络运行所面临的头号威胁来自于计算机病毒。计算机病毒是一种特殊的程序,它可以通过网络、光盘、移动储存设备等途径进行复制和传播,并给受到病毒感染的计算机系
13、统带来严重破坏。最早的计算机病毒于 20 世纪 80 年代首次被发现,直至今天全世界已经发现的计算机病毒已多达数万种,并且还在以极高的速度不断增加。随着网络化程度的加深,计算机病毒的扩散速度也大大加快了,其破坏程度和破坏规模都有不断提高的趋势。1.5网络安全防护对策网络安全防护对策随着网络的发展,计算机网络信息安全受到多因素的威胁,但是若采取适6当的防护措施也能够有效的地保护网络信息的安全。1.5.1 加强用户的安全意识加强用户的安全意识现在计算机系统通常使用口令或者密码来控制对系统资源的访问,这是最容易、经济的方法之一。网络运营者与使用者根据自己的职责权限,可以选择不同的口令,对应用程序的数
14、据进行合法的操作,从而防止用户使用网络资源、越权访问数据。1.5.2 加强系统安全性防护技术加强系统安全性防护技术根据网络安全法的指导,实行网络安全等级保护制度实行网络安全等级保护制度。网络运营者按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。1.5.3 加强网络信息安全管理体系加强网络信息安全管理体系调查研究表明,网络信息安全的漏洞主要是管理不善所造成的。首先,应当建立一个科学的合理的网络信息安全管理与监督机构,明确网络信息安全的原则,构建网络信息安全的策略,从而实现网络信息安全制度化;其次,正确认识当前的入侵检测
15、技术、防病毒技术、防火强技术、加解密技术、数据恢复技术的重要性、局限性,采用当前最先进的技术以确保网络信息的安全。1.5.4 加强网络信息安全法律规范加强网络信息安全法律规范确保网络信息安全根本保障就是立法保护和与支持。只有对网络上危害网络信息安全的所有行为通过法律进行严厉的打击与制裁,才能从本质上解决网络信息受黑客无谓的入侵、病毒的泛滥、流氓软件的破坏等无约束现状。1.6结语结语不断提升自我、行业两个层面的防患意识,积极的学习同网络安全相关的7知识,掌握网络安全的发展趋势,加大网络安全的建设力度,做好物理、及精神层面的防御工作,才能保障网络系统正常、安全的运行。11.7附件附件1.7.1 附
16、件附件 1:等级保护基本要求结构文档:等级保护基本要求结构文档-1.021.7.2 附件附件 2:等级保护基本要求结构文档:等级保护基本要求结构文档-2.01.7.3 附件附件 3:中华人民共和国网络安全法中华人民共和国网络安全法第一章 总 则第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。第四条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求3和主要目标,提出重点领域的网络安全政策、工作任务和措施。第五条 国家采取措
