|
行业标准政策文件
云存储服务在电子政务网络的应用
一、信息技术和信息服务模式的新热点
随着国家电子政务网络建设和应用的不断推进,电子政务网络在减少重复建设、节约投资上取得的效益已经初步显现,在促进网络互联互通、资源共享、业务协同等方面发挥的作用也越来越重要。
云存储是一种数据存储的服务,云存储是在云计算技术上延伸和发展出来的一个新的存储及服务提供方式。云存储系统中的设备可能是由成百上千台存储节点设备构成,但它对用户来讲是完全透明的,任何经过授权的用户都可以通过网络与云存储连接。云存储具备了弹性扩展、动态分配和资源共享等特点,在云存储模式下,软件、硬件、平台等IT资源将作为基础设施,以服务的方式提供给使用者。
云存储将加速政府在信息产业和信息基础设施的服务化进程,开展和承载云存储业务,不仅是体现和发挥电子政务网络作为公共设施的作用和效能,而且通过承载云存储业务,进一步完善政务网络相关的跨部门、跨地区的业务应用,吸引更多的厅局单位使用电子政务网络,提升政务网络的服务能力、创新和转变服务模式,以满足各级政务部门的多样化数据业务应用需求。
二、云存储服务在政务网业务的应用
云存储服务在政务网业务的应用
基于电子政务网络,开展云存储服务,可以为政府部门各单位办公人员提供个人在线云存储(网盘)服务,从而将个人办公重要文件数据保存在云存储服务数据中心,保证数据的安全备份。云存储服务为政府部门各单位信息系统提供云存储备份服务,保证数据的安全可靠,同时达到对重要文件数据容灾备份和恢复的目的。
电子政务网络连接各厅局,可以根据自己的实际需求向政务信息中心申请其所需的服务,不用再购买所需要的软硬件也不需要专门的维护和管理人员,所有存储类资源由信息中心统一提供,以此满足各厅局日常活动中所需的业务系统和员工数据安全性要求,大幅度降低了政府各单位和部门IT建设的门槛与风险。
1、个人在线云存储(网盘)服务
随着政府部门办公人员对于数据存储安全性和可靠性的要求越来越高,使用传统的存储模式,如移动硬盘、U盘、刻录光盘等方式,都存在着使用不方便管理麻烦等诸多问题,特别软硬件故障可能导致本地存储信息的大量丢失或损坏。
基于电子政务网络,承载政府各厅级部门及市局级工作人员在线云存储(网盘)服务应用,带来以下优势:
• 满足各厅局和市局级工作人员日常工作中对办公数据安全性的要求,将个人办公重要文件数据保存在政府云存储服务中心
• 各厅局不用再购买所需要的软硬件,不需要专门的维护和管理人员,所有资源由政府云存储服务中心提供
• 帮助各厅局保障工作人员重要数据安全,提升电子政务网络的服务能力和创新服务模式的转变
各厅局和市局级工作人员使用云存储在线(网盘)服务,可以通过在本地安装客户端软件以及通过web页面访问实现。
其基本功能包括:
• 支持文件的上传与下载
• 支持文件目录的浏览
• 支持文件多版本的管理与历史版本的查看、下载
• 支持文件和文件夹的移动、重命名与删除
• 支持资料的共享与共享资料的获取,可设置共享文件的所有版本或只共享文件的最新版本,并将文件共享给他人并设定读/写权限,设置为只读的文件不能下载
• 支持文件外发与地址薄管理
• 支持对不同的文件进行分类展示与操作
• 支持文件级的断点续传
• 支持好友的信息管理及群组管理
• 支持数据同步,可以设置同步周期及同步策略;支持同步文件的自动加密功能
• 文件上传加密,默认支持DES加密,可选高级加密功能支持AES和3DES算法加密
2、政府各厅级及市局级云存储备份容灾服务
随着政府各级政务部门的信息化程度不断提高,数据的集中趋势日益明显,同时面临着信息系统数据存储安全性和可靠性的要求,基于电子政务网络,承载云存储备份服务, 为各级政务部门,提供信息系统的基础数据保护,保证了政府各单位数据的安全可靠,同时达到了对重要数据容灾备份的目的,充分体现了政府IT系统数据存储和备份向资源集中化和服务化转变的发展趋势。
基于电子政务网络,承载政府各厅级部门及市局级信息系统的数据备份容灾服务应用,具备以下优势:
• 各级政府部门无需再配备灾备方面的专业技术人员,同时又能得到最新的技术应用,满足其对信息数据安全的需求
• 通过政府信息中心搭建的电子政务外网和云存储备份和容灾服务平台,进行业务的申请和使用、数据备份容灾的快速上线和部署
各级政府部门申请开通了备份服务后,在需要数据备份和容灾的应用服务器上安装云存储在线备份客户端,配置和制定备份计划后,即可进行数据的云存储备份。当数据需要恢复时,云存储在线备份客户端从远程云存储空间中将指定备份时间点的备份数据下载到本地进行还原恢复。
• 各厅级部门及市局级用户登录信息中心业务门户配置云存储备份策略,包括备份执行时间、待备份文件路径等
• 同步备份策略到云存储备份和容灾业务平台
• 云存储备份和容灾业务平台接收处理备份策略
• 应用服务器返回备份策略接收结果
• 如果备份策略同步失败,在云存储备份客户端可以重新发起备份策略同步
• 如果备份策略同步成功,云存储备份客户端定时或者实时将备份策略配置的备份文件备份到云存储系统
• 各厅级部门及市局级用户查询到备份执行情况后,可以选择已备份文件进行恢复,并且可以查询恢复日志。
• 各厅级部门及市局级用户登录云存储备份客户端,查看备份执行情况,选择需要恢复的备份文件进行恢复
• 系统发送恢复请求到云存储业务平台
• 云存储业务平台返回接收结果
• 云存储系统恢复备份文件到云存储备份客户端
• 各厅级部门及市局级用户可以在云存储备份客户端查询到备份恢复日志
三、云存储服务安全维度设计
省厅和市局级个人和业务系统备份容灾数据不仅要求传输过程和数据存储不能泄密,并且不同省厅和市局级间的数据也要求相互隔离。因此云存储服务中心的安全规划至关重要。云存储服务的安全从接入控制、认证、不可否认性、数据机密性、通信安全、数据一致性、可用性和隐私这八个维度进行设计。
1、接入控制: 防止对资源的非授权使用。访问控制确保只有经过授权的人员或设备才能访问云存储网络内的各种网元、存储的信息、信息流、服务和应用。可以采用基于角色的访问控制来提供不同的访问资源,保证人员和设备只能按权限访问或操作网元、信息和信息流。
2、认证: 认证用来确认云存储业务使用者的身份。认证保证了参与云存储业务交互的实体(如人、设备、服务或应用)所声称的身份是有效的,并保证实体不能伪装身份或非授权地重放以前的通信过程。
3、不可否认性:可防止个人或实体掩藏或销毁各种网络操作证据,这些证据可以提供给第三方并用来证明某类事件或操作确实曾经发生过。
4、数据机密性:云存储的各类数据不会被未经授权的人所访问。数据保密性保护数据不被非授权泄露,数据内容不被非授权实体所理解。在多租户场景下,通过物理隔离和逻辑隔离来保障每个用户数据的机密性。
5、通信安全:通信安全保障信息只能在授权的云存储节点之间流动,信息在这些端点间流动时不会被非法分流或截获。
6、数据一致性:保证数据的正确性和准确性,防止数据被非授权修改、删除、创建或复制。
7、可用性: 保证云存储应用和系统的持续可用。当危及云存储正常应用的各类事件发生时,对网元、存储信息、信息流、服务和应用的合理授权访问不会失效。并通过SLA为各级用户提供相应的可用性保障。
8、隐私: 隐私性保证无法通过对网络行为的非授权观察以非法获得信息,这些信息包括用户曾经访问过的web站点、用户的IP地址等,我们将通过在云端进行数据加密等手段来防范隐私数据泄露。
全国工业和信息化会议:网络与信息安全放在更加突出的位置
工信部指出,互联网发展迅速,创新活跃,应用广泛,已成为现代社会重要的信息基础设施。但同时,网络与信息安全问题也日益突出,对国家经济安全、政治安全、社会安全、文化安全带来新的挑战。要深刻认识维护网络与信息安全的重要性、艰巨性,认真落实中央决策部署,明确工作定位,坚持发展与管理并重,以安全保发展、在发展中求安全。
抓好四个方面重点工作。一是全面贯彻落实国务院关于加强新时期网络与信息安全工作的意见,协调推进法制建设、基础信息网络和重要信息系统安全保障。二是加强保障手段和技术能力建设。三是督促企业严格落实网络信息安全责任,用一年左右的时间集中开展依法打击手机淫秽色情专项行动。四是完成上海世博会、广州亚运会等重点活动通信、无线电和网络信息安全保障任务。
专家解读:2010年,信息技术将全面融入中国工业发展的方方面面,成为推动中国工业可持续发展、抢占全球制高点的关键环节。在转变经济发展方式成主旋律的背景下,信息技术将成为流淌在工业肌体中的血液。
注:转载新闻或评论并不代表本站观点。
证监会新监管规定 信息安全重要指标
近期,中国证监会于5月31日发布了《证券公司分类监管规定》,根据评分的高低将证券公司分为5大类11个级别,其中第二章第四条明确规定,信息安全作为重要的评价指标。政策性规范的陆续推出,表明我国证券行业安全建设步伐正处于 “加速跑”阶段,这不但有利于提升整体信息安全产业的水平,同时也极大刺激了证券企业对信息安全产品升级换代的市场需求。
证券行业中的信息安全遵从
实际上对于普通投资者和证券行业企业来说,缺少的就是“规范”。如今,我国通过网上进行交易的证券期货公司达到90%以上。这与传统交易方式相比,最大的缺点是容易产生安全隐患,例如,遭受恶意程序攻击、交易信息在网上泄露、资金盗取等都可能造成无法挽回的损失。
去年6月,各地证监局就发出了《关于开展证券期货经营行业信息系统安全检查》通知,在一系列的检查之后,威胁与漏洞逐渐浮出水面,多位信息安全领域的专家也对证券行业网络的安全问题提出了尖锐的批评。随后发布的《证券公司分类监管规定》将信息安全列为分类的主要指标之一,在加之细节更加清晰的《证券公司风险管理能力评价指标与标准》和《证券期货业务信息系统安全检查贯彻落实指引》,以上这政策面的内容规定都将确保“安全”成为整个行业今后信息化工作的重中之重。
安全防御滞后现象明显
证券期货是一个对网络稳定、安全要求都非常苛刻的行业。但随着网络交易的迅猛发展,据证监会的调查结果表示:绝大多数的证券公司对于信息安全管理往往各自为营,整体安全防护水平参差不齐;但核心交易系统、网上交易安全、电力通信保障等重要环节,存在薄弱的地方;另外,在内部网络安全管理上也是存在着大量的漏洞,尤其是在恶意程序防御手段、威胁评估方法、应急响应保障等方面,与企业中的实际需求都有明显的滞后现象。
至今为止,“工作人员无意的病毒带入或是网络交叉感染”等仍然是证券公司安全管理人员最为头疼的问题。之前,“将交易网和非交易网进行物理性隔离”是证券行业保证交易网不被病毒感染最通用的做法,但也并不能绝对性的保证病毒不会进入到网内。但如今Web威胁攻击铺天盖地的袭来,即使有众多的法定授权确保这些病毒不被有意的带入交易网,但仍然无法百分之百的控制恶意程序攻击事件的出现。
证券企业如何进行“合规”操作
前不久,上海一家证券公司采购了趋势科技的一套组合解决方案,其中包括了最新的威胁发现系统TDA。证券行业中很多属于交易系统的服务器或计算机是不可以实时更新病毒码或安装病毒软件的,所以在终端的管理上就会有一个很大的隐患,同时对于证券交易网中,网络的稳定度是最需要考虑的因素,计算机设备不可以影响到交易网的网络性能。TDA 在证券行业中主要是帮助建立一个恶意程序预警机制,基于强大的云安全技术,TDA的五个核心引擎中的恶意程序行为分技术,不仅可以有效防止未知病毒和潜在威胁的侵入,还可以侦测到当前流行的Worm.downad和微软ActiveX控件中存在安全漏洞。
TDA作为一个旁路设备,也可以避免证券企业修改网络或影响网络稳定度的担忧,从威胁管理的角度配合客户的终端管理,真正达到保护企业内网安全的要求。
中国信息安全标准概述
文章来源: 中国计算机安全 2009-12-17 19:00:58
2009年5月4日至5月12日,国际信息技术标准化委员(ISO/IEC JTC1)下属信息安全分技术委员会(SC27)各工作组会议及全体会议在北京召开。
本次会议代表团包括:澳大利亚、比利时、巴西、加拿大、丹麦、爱沙尼亚、芬兰、法国、德国、日本、韩国、卢森堡、新西兰、波兰、新加坡、南非、西班牙、瑞典、瑞士、英国、美国、荷兰、俄罗斯、斯洛伐克、挪威、越南、意大利、奥地利、中国、马来西亚等三十个国家,代表团成员约二百多人。
这是中国自2004年以来,第6次组团参加SC27工作组及全体会议。这次会议上,中国代表团围绕本国提出的《信息安全管理体系 审核指南》、《引入可信第三方的鉴别机制》项目提案和《访问控制机制》研究项目,积极加强沟通交流,取得了较好的工作成果。同时,与他国代表一起进了新项目讨论、标准制修订、工作项目审议等工作。大会决定2010的工作组及全体会议于4月下旬在马来西亚召开。
信息安全标准的意义
信息安全标准化工作是国家信息安全保障体系建设的重要组成部分,标准的研究和制定为管理信息安全设备、设施、产品提供了坚定有效的技术依据,从而保证我国国民经济和社会管理等各个领域中计算机网络系统的运行安全。“没有完善的信息安全标准体系,就不能构造出一个自主可控的信息安全保障体系,就难以保障国家信息安全和国家利益。”
国际信息安全标准组织――ISO/IEC JTC1 SC27 介绍
ISO(国际标准化组织)是世界上最大的开发和发布国际标准的非政府机构。自1947年成立以来,已发布包括信息技术等各个领域一万六千五百多项国际标准,成员国达一百六十一家。
IEC(国际电工委员会)成立于1906年,是世界上成立最早的标准化国际机构。
ISO/IEC JTC1 是ISO和IEC成立的专门从事信息技术领域标准化的联合技术委员会,其下属分技术委员会SC27专门从事信息安全的一般方法和技术的标准化工作。
ISO/IEC JTC1 SC27工作领域和范围包括:确定信息系统安全服务的一般需求(包括识别需求的方法);开发安全技术和机制(包括安全部件间的相互关系);开发安全指南;开发管理支持文档和标准;开发用于完整性、鉴别和抗抵赖服务的密码算法标准,同时开发用于保密性服务的密码算法标准。
(待续)
中华人民共和国计算机信息安全保护条例
第一章 总 则
第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。
第六条 公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章 安全保护制度
第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条 计算机信息系统实行安全等级保护。安全等级的划分标准的安全等级保护的具体办法,由公安部会同有关部门制定。
第十条 计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条 进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条 运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
第十三条 计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
第十五条 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。
第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。
第三章 安全监督
第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)履行计算机信息系统安全保护工作的其他监督职责。
第十八条 公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措 施。
第十九条 公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。
第四章 法律责任
第二十条 违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:
(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
(二)违反计算机信息系统国际联网备案制度的;
(三)不按照规定时间报告计算机信息系统中发生的案件的;
(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
(五)有危害计算机信息系统安全的其他行为的。
第二十一条 计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信 息系统安全的,由公安机关会同有关单位进行处理。
第二十二条 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和本条例以及其他有关法律、法规的规定处理。
第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统系统安全的,或未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的除予以没收外,可以处以违法所得1至3倍的罚款。
第二十四条 违反本条例的规定,椹违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。
第二十五条 任何组织或个违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。
第二十六条 当事人对倾家荡产依照本条例所作出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。
第二十七条 执行本条例的国家公务员利用职权、索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。
第二十八条 本条例下列用语的含义:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件或软件产品。
第二十九条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
第三十条 公安部可以根据本条例制定实施办法。
第三十一条 本条例自发布之日起施。
|
|
.png)
新公网安备65010202000297号