重要科技信息系统在云平台上安全问题研究.docVIP

重要科技信息系统在云平台上安全问题研究 　　【 摘 要 】 重要科技信息系统在科技主管部门的应用日益深入，并逐步迁移到云平台上，面临着新的安全性问题。论文描述了系统的特点、安全目标和相关法规的要求，分析和探讨重要科技信息系统在云平台上面临的安全风险，从管理措施、本地网络安全、内部审计、数据安全等几个方面，介绍了具有一些针对性的技术和方法作为对策。 　　【 关键词 】 重要科技信息系统；云平台；信息安全；网络安全 　　【 中图分类号 】 TP309.2 　　【 文献标识码 】 A 　　【 Abstract 】 The application of Important scientific and technological information systems（ISTIS） are getting deeper in the science and technology management departments ，and gradually migrated to the cloud platform，they are facing with new security issues. This paper describes the characteristics of the system，the requirements of the safety objectives and relevant regulations，analyzes and discusses the security risks faced by the ISTIS in the cloud platform，and introduces the management measures，local network security，internal audit，data security and so on，suggest with some targeted technologies and methods as a countermeasure. 　　【 Keywords 】 important scientific and technological information system；cloud platform；information security；network security 　　1 引言 　　目前我国大多数省市科技主管部门已经建立了各类科技管理信息系统，由此简化了科技行政管理的中间环节和程序，提高了机关工作效率，增强了科技政策与科技信息传递的实效性、准确性。其中的一些信息系统如科技计划项目管理系统、科技奖励管理系统、各类科技人才系统、各类科技机构管理系统等相对而言比较重要，如果系统安全性被破坏后，会严重影响社会秩序、公众利益。 　　因此，按国家信息系统等级保护体系的规定，这些系统应划入安全等级三级或更高安全等级，即称为重要科技信息系统。 　　2 概述 　　2.1 重要科技信息系统的特点 　　科技管理的业务事项办理部门多，流程环节复杂，例如一个科技项目从申报到最终验收可能耗时数年，涉及多个单位，因此其信息系统和一般的商业型信息系统有很大的区别，对网络和信息安全方面的要求很高。一般而言，此类重要科技信息系统具有四个特?c。 　　2.1.1重要用户是可控的 　　科技管理用户通常是科技行政主管部门的公职人员，申报用户一般是参与科技活动的企事业单位人员，这些重要用户的网络位置在很多场景下是比较固定的，比如绝大多数科技项目的审批流程在科技主管部门的固定办公场所的网络上完成。 　　2.1.2应用边界较为明确 　　不同的用户所需要的应用功能模块是有限的、有边界的，如评审专家只能看到评审模块，申报用户只能看到申报等模块。 　　2.1.3应用流程基本固定 　　一般这些应用的流程都是预先设定固化的，应用逻辑可靠，只要相关组件未被篡改，则系统内的行为都可预测。 　　2.1.4专用网络和公共网络的界限比较明确 　　出于安全的考虑，有些重要科技信息系统设置了专用网络，将其与公共网络进行逻辑甚至物理隔离。 　　2.2 重要科技信息系统的安全目标 　　在建设一个重要科技信息系统时，基于信息化安全技术的特点，我们必须在系统中实现三个目标。 　　（1）构建多层次的安全防护体系，实现不同安全域之间的隔离。隔离可分为物理隔离和逻辑隔离，如有必要，重要科技信息系统中涉及敏感数据的模块或子系统可以建立专网进行隔离，在此专网中采用更高规格的网络防护策略以构建安全、稳定的网络环境。 　　（2）构建强有力的身份认证、授权和审计模块。重要科技信息系统中的许多信息十分敏感，因此要建设完整的责任认定体系和健全授权管理体系，从技术