您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 网络安全建设的必要性
1[网络安全建设的必要性][项目名称:XXXX][申请单位:XXXX][申请人员:XXXX][联系电话:XXXX]2020年4月29日1随着信息技术日新月异的发展,各行业在信息化应用和要求方面逐步提高,信息网络覆盖面也越来越大,网络的利用率稳步提高。利用计算机网络技术与业务系统相结合,可有效地提高工作效率。然而信息化技术给我们带来便利的同时,各种网络与信息系统安全问题也逐渐暴露出来。由于计算机网络所具有多样性、开放性、互连性等的特点,造成网络易受攻击。有来自黑客,也有其他诸如计算机病毒等形式的攻击,具体的攻击是多方面的。所以,网络的安全措施也就显得尤为重要,只有针对各种不同的威胁或者攻击采取必要的措施,才能够确保信息系统的安全性、保密性及可靠性。1.1网络安全建设政策指导从国家层面上来看,中国在现代化发展的过程中,一直非常重视网络安全的建设。2014年2月27日,中央网络安全与信息化领导小组正式成立,由习近平任组长、李克强、刘云山任副组长。伴随着中央网络安全与信息化领导小组成立,相继也制定了相应的工作规范制度,习主席也在419讲话中强调“没有网络安全就没有国家安全”。网络安全建设的设计依据主要有以下一些国家关于信息安全规定的标准:2003年9月,中共中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号文件),提出要在5年内建设中国信息安全保障体系;2004年9月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合颁布了《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件),明确了信息安全等级保护的基本原则、基本内容、职责分工和实施计划;2007年6月,《信息安全等级保护管理办法》(公通字【2007】43号文件)正式出台,文件对国家关于信息安全等级化的相关政策、标准和规范作了详细说明,这些文件呈现以下结构分布:22017年6月《中华人民共和国网络安全法》颁布,明确要求各业务系统需要按照信息安全等级保护标准建设。《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家电子政务外网安全等级保护基本要求》(GW0103-2004)《信息安全技术云计算服务安全指南》GB/T31167-2014交通运输部办公厅《关于进一步开展交通运输行业信息安全等级保护工作的通知》(厅科技字〔2012〕120号)要求2011年11月,卫生部正式提出《卫生行业信息安全等级保护工作的指导意见》并颁发至各省市卫生厅,文件明确定义区域医疗平台数据中心和三级医院的核心应用系统参照等级保护第三级要求执行。1.2网络安全建设的必要性传统的信息化网络系统都是基于不同的行业进行细分,各个行业都有相关的指导文件;但这些都没有进行体系化的归类,也没有什么强制性的措施对网络安全进行责任划分,这就导致了各行业在网络安全的建设力度上层次不齐。随着近年来,各类安全事件(如“棱镜门事件”、“永恒之蓝”等)层出不穷,相关行业都收到了不小的冲击,不管是行业内部还是国家层面,都意识到了网络安全建设的必要性。全国人民代表大会常务委员会于2016年11月7日发布《中华人民共和国3网络安全法》,自2017年6月1日起正式施行。将网络安全的防护措施、责任划分和处罚措施细化,旨在维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。《中华人民共和国网络安全法》共7章,79条中,其中第三十一条明确规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。《中华人民共和国网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。《中华人民共和国网络安全法》第六章,明确了相关的法律责任。第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,4对直接负责的主管人员处一万元以上十万元以下罚款。第六十条:违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:(一)设置恶意程序的;(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;(三)擅自终止为其产品、服务提供安全维护的。1.3网络安全建设需求网络信息系统安全是一个涉及多维度的综合性问题,涵盖物理、系统、信息安全等方面,目前信息系统安全建设需求主要包括:安全制度可用性:由计算机病毒或者其他人为原因所可能造成的信息被滥用、拒绝服务等情况。完整性与非否认性:在网络的虚拟环境中所确认信息的真实性,以及真实的发送者与接受者、确保在信息传输的过程中未被伪造、篡改等。保密性与可控性:在网络上发布与接受信息,往往会涉及到隐私问题。同时,所有的网络应用环境也保护个人的隐私。1.4网络安全问题分析从网络运行的实际的情况来看,目前主流的网络安全问题包括以下几个方面:(1)计算机网络本身所存在的系统漏洞:尽管当前计算机网络技术得到飞速发展,但是其自身的完善程度还是十分的不足,各种网络软件、支持系统都存在或多或少的漏洞与缺陷。正是由于这些漏洞的存在,给黑客的攻击提供了途径。此外,很多软件都存在“后门”(back—door),这原本应是编程人员为了方便以后对软件进行维护而设置的,但是却经常会被黑客利用而使得网络系统受到极大的安全威胁。同时,因为计算机网络也需要相关硬件的支持,但是这些硬件设施本5身所存在的问题也常常会给网络安全带来隐患。(2)网络系统运行人员的失误给计算机网络安全带来的威胁:尽管随着当前信息技术的不断发展,使得很多网络运行实现了高度的自动化,但是其运行过程仍然脱离不开人的操作和控制。因此,如若网络运行人员在操作过程中出现疏忽或失误,则会给网络安全带来影响。例如,操作人员在网络安全配置方面的失当行为会给系统留下漏洞,成为方便黑客攻击的捷径;网络用户的安全意识不足,将账号、密码等重要信息转借他人或泄漏,都可能成为网络安全的严重威胁。(3)计算机病毒的攻击:当前,计算机网络运行所面临的头号威胁来自于计算机病毒。计算机病毒是一种特殊的程序,它可以通过网络、光盘、移动储存设备等途径进行复制和传播,并给受到病毒感染的计算机系统带来严重破坏。最早的计算机病毒于20世纪80年代首次被发现,直至今天全世界已经发现的计算机病毒已多达数万种,并且还在以极高的速度不断增加。随着网络化程度的加深,计算机病毒的扩散速度也大大加快了,其破坏程度和破坏规模都有不断提高的趋势。1.5网络安全防护对策随着网络的发展,计算机网络信息安全受到多因素的威胁,但是若采取适当的防护措施也能够有效的地保护网络信息的安全。1.5.1加强用户的安全意识现在计算机系统通常使用口令或者密码来控制对系统资源的访问,这是最容易、经济的方法之一。网络运营者与使用者根据自己的职责权限,可以选择不同的口令,对应用程序的数据进行合法的操作,从而防止用户使用网络资源、越权访问数据。1.5.2加强系统安全性防护技术根据《网络安全法》的指导,实行网络安全等级保护制度。网络运营者按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或6者未经授权的访问,防止网络数据泄露或者被窃取、篡改。1.5.3加强网络信息安全管理体系调查研究表明,网络信息安全的漏洞主要是管理不善所造成的。首先,应当建立一个科学的合理的网络信息安全管理与监督机构,明确网络信息安全的原则,构建网络信息安全的策略,从而实现网络信息安全制度化;其次,正确认识当前的入侵检测技术、防病毒技术、防火强技术、加解密技术、数据恢复技术的重要性、局限性,采用当前最先进的技术以确保网络信息的安全。1.5.4加强网络信息安全法律规范确保网络信息安全根本保障就是立法保护和与支持。只有对网络上危害网络信息安全的所有行为通过法律进行严厉的打击与制裁,才能从本质上解决网络信息受黑客无谓的入侵、病毒的泛滥、流氓软件的破坏等无约束现状。1.6结语不断提升自我、行业两个层面的防患意识,积极的学习同网络安全相关的知识,掌握网络安全的发展趋势,加大网络安全的建设力度,做好物理、及精神层面的防御工作,才能保障网络系统正常、安全的运行。11.7附件1.7.1附件1:等级保护基本要求结构文档-1.021.7.2附件2:等级保护基本要求结构文档-2.01.7.3附件3:《中华人民共和国网络安全法》第一章总则第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。第四条国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。第五条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的3网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。第六条国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。第九条网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。第十一条网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业
本文标题:网络安全建设的必要性
链接地址:https://www.777doc.com/doc-5131226 .html