行业垂直门户网站

设为首页 | 加入收藏

您当前的位置:北极星电力软件网 > 技术文章 > 正文

浅谈等级保护与政府终端安全管理(1)

实行信息系统安全等级划分制度,并逐级制定管理规范,成为政府部门保障信息化建设的工作重点。

中国IDC产业联盟讯近年来,随着计算机网络的迅速发展,政府部门信息化建设已成为一种趋势,但由于政府办公网络环境中终端分布存在地域差异,安全需求各不相同,使得政府业务系统极易出现安全问题,影响政府部门正常工作,甚至危害公民及国家安全。为此,实行信息系统安全等级划分制度,并逐级制定管理规范,成为政府部门保障信息化建设的工作重点。

2003年,中办颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》。随后,为进一步推动信息安全建设,国家先后于2004年和2007年颁布了《信息安全等级保护工作实施意见》及《信息安全等级保护管理办法》。规定指出,信息系统划分成五个安全等级,且在维护信息终端安全稳定方面需做到逐级的身份认证、访问控制、数据加密、病毒防护、系统加固、安全审计等要求,以确保信息系统保密性、完整性和可用性。

然而由于等级保护工作监管措施存在问题,一些部门在业务系统发生变化后未能及时进行重新定级,导致系统安全等级划分不明确,安全策略制定不到位,非法访问、数据泄漏、威胁入侵等问题在政府网络中依然存在。为进一步提高信息终端安全管理水平,保障信息化健康发展,减少安全隐患和事故发生,信息安全等级保护工作进入全面整改阶段。为尽快完成等级保护整改工作目标,当前电子政务终端安全管理急需解决以下问题:

1)访问管理、身份认证机制存在弊端:虽然目前网络环境中已经对访问管理、身份控制有了一定的防护措施,但由于运用虚假CA证书欺骗手段,或基于漏洞绕过访问控制机制入侵网络环境的案例频繁发生,现阶段网络终端仍然存在众多安全隐患。

2)漏洞发现不及时:由于漏洞本身的发现存在滞后性,可能导致一些第三方应用及系统本身漏洞存在于网络环境中,如果检测和分发安全策略不全面及时,将会给病毒、恶意软件、木马等威胁可乘之机,甚至造成严重危害。

3)漏洞补丁和现有系统的兼容性:由于某些专用的业务系统需要针对特定的操作系统软件环境。新出现的漏洞补丁和原有应用系统之间的兼容性问题,需要耗费大量的人力、物力进行验证,而这项工作往往被忽视。某些网络中,特别是专用业务网络中,为了避免该问题,索性采取不打任何补丁的策略,埋下了信息安全隐患。

4)定向攻击手段层出不穷:当APT等极具针对性的定向攻击案例一次又一次的被曝光时,政府部门越来越意识到,仅仅依靠传统的终端安全解决方案,已经无法对其进行及时防范,被动响应,或者单纯依靠简单的黑/白名单逻辑的安全防御模式,已经明显的滞后于安全防范的新要求。

5)缺乏安全意识:虽然安全管理设备已经置备齐全,但由于用户在操作习惯上的随意性,仍然会出现对于终端安全等级及策略制定不明确,或发生在非涉密终端上处理涉密或敏感信息等情况,给专用业务IT环境埋下极大的安全隐患。

来源:中国IDC产业联盟
投稿联系:陈女士  13693626116  邮箱:chenchen#bjxmail.com(请将#换成@)
《浅谈等级保护与政府终端安全管理 - 北极星电力软件网》的相关文章
浅谈等级保护与政府终端安全管理 - 北极星电力软件网的相关新闻
最新新闻
相关专题