网络和信息安全论文：网络和信息安全体系的建设和完善.docVIP

网络和信息安全论文：网络和信息安全体系的建设和完善 摘要：中国移动通信网络是国家基础信息网络和重要信息系统的组成部分，更是中国移动赖以生存和发展的基本条件，随着网络IP化进程、终端智能化以及业务、服务多样化趋势的加快，移动通信网络面临的威胁和攻击也越来越多，网络与信息安全工作日趋重要。 关键词：网络和信息安全体系；建设；完善 为了确保网络安全，现在很多企业采用了防火墙、防病毒、入侵检测、漏洞扫描等一系列安全产品，提高了本企业的网络安全水平，但是这些改善仍没有达到理想的目标，病毒、黑客和计算机犯罪依然猖獗，这给信息安全的理论界、厂商和用户提出了一系列问题，促使人们开始对安全体系进行思考和研究。在网络安全建设时，不单单是考虑某一项安全技术或者某一种安全产品，而是从管理制度、流程、技术手段和措施、应急响应、风险评估等多方面构建一个良好的网络和信息安全体系，全面营造一个良好的网络安全运行环境。网络与信息安全体系概述一个完整的信息安全体系应该是安全管理和安全技术实施的结合，两者缺一不可。为了实现对信息系统的多层保护，真正达到信息安全保障的目标，国外安全保障理论也在不断的发展之中，美国国家安全局从1998年以来开展了信息安全保障技术框架（IATF）的研究工作，并在2000年10月发布了IATF 3.1版本，在IATF中提出信息安全保障的深度防御战略模型，将防御体系分为策略、组织、技术和操作4个要素，强调在安全体系中进行多层保护。安全机制的实现应具有以下相对固定的模式，即“组织（或人）在安全策略下借助于一定的安全技术手段进行持续的运作”。在建设中国移动通信集团西藏有限公司（以下简称为西藏移动）网络安全体系时，从横向主要包含安全管理和安全技术两个方面的要素，在采用各种安全技术控制措施的同时，制定层次化的安全策略，完善安全管理组织机构和安全管理人员配备，提高系统管理人员的安全意识和技术水平，完善各种安全策略和安全机制，利用多种安全技术实施和安全管理实现对网络和系统的多层保护，减小其受到攻击的可能性，防范安全事件的发生，提高对安全事件的应急响应能力，在发生安全事件时尽量减少因事件造成的损失。其次，为了使安全体系更具有针对性，在构建时还考虑了信息安全本身的特点：动态性、相对性和整体性。信息安全的动态性指的是信息系统中存在的各种安全风险处于不断的变化之中，从内因看，信息系统本身就在变化和发展之中，信息系统中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看，各种软硬件系统的安全漏洞不断被发现、各种攻击手段在不断发展，这些都可能使得今天还处于相对安全状态的信息系统在明天就出现了新的风险。信息系统安全的相对性指的是信息安全的目标实现总是相对的，由于成本以及实际业务需求的约束，任何安全解决方案都不可能解决所有的安全问题，百分之百安全的信息系统是不存在的，不管安全管理和安全技术实施多完善，安全问题总会在某个情况下发生。信息安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全保障体系中的重要环节。 信息安全的整体性指的是信息安全是一个整体的目标，正如木桶的装水容量取决于最短的木板一样，一个信息系统的安全水平也取决于防御最薄弱的环节，因此，均衡应该是信息安全保障体系的一个重要原则。这包括体系中安全管理、安全技术实施、各个安全环节及各个保护对象的防御措施等方面的均衡，以实现整体的信息安全目标。综上考虑，西藏移动构建了包含策略体系、组织体系、技术体系、运作体系在内的信息安全保障体系，策略体系：安全策略体系主要通过建立完整的信息安全策略体系，提高员工的安全意识和技术水平，完善各种安全策略和安全机制；利用多种安全技术措施和信息安全管理实现对网络的多层保护，防范信息安全事件的发生，减小网络受到攻击的可能性，提高对安全事件的反应处理能力。目前西藏移动已经从各个管理角度（物理安全、网络安全、系统安全、应用安全）制定了不同的安全策略，实现了多个层次的安全防护。例如在物理安全方面，通过对机房的改造、增加门禁系统、出入登记等方法，加强对机房的安全管理；在网络安全方面，采取V L A N、N A T等多种技术手段进行必要的网络隔离，对终端采取I P-M A C绑定的方式等；在系统安全方面通过账号口令管理、安全配置加固、安装防病毒软件等手段；在应用安全方面通过配置应用层网关、对系统开放的服务和端口进行核查、进行应用软件安全配置加固等手段。组织体系：主要包括安全组织和管理制度建设、安全管理人员的培训教育等。目前西藏移动已经建立起了网络与信息安全分级管理体系，成立了网络安全应急响应小组、安全审计组、风险评估组等专业化的安全服务组，今后还将在网络安全管理机构和专业人员配置方面进行有意义的研究，达成建立全方位的网