登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
近年来,随着市场竞争的激烈化与网络攻击技术的飞速发展,CSDN数据泄露等安全事件爆发的频率越来越高,国内外信息安全形势变得日益严峻。在信息攻防战中,信息系统内部的重要数据通常是攻击者发动攻击行为的驱动力和重要目标,同时也是用户着力保护的对象,围绕数据机密性与完整性展开的安全保护工作逐渐成为信息安全建设的重心,同时也是横亘在用户面前的一道重要命题,引起了用户、专家、信息安全产品与服务提供商等业界各方的广泛关注。
数据机密性与完整性难以两全?
信息安全建设是一项复杂的系统工程,内容涵盖物理安全、系统安全、网络安全等等,数据安全是其中较为重要的一个环节。国家标准《信息安全技术-信息系统安全等级保护基本要求》(GB/T22239-2008)明确指出,在基本安全要求中,技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。根据保护侧重点的不同,技术类安全要求细分为数据保护、系统服务功能保护、通用安全保护三大类,其中数据保护是信息安全建设的重要目标和核心内容。
“保护数据,要保护数据的什么?我们必须清楚,保护数据就是要保护数据的安全属性不被破坏,也就是保护数据的机密性(C)、完整性(I)和数据的可用性(A)。”信息安全专家陆宝华指出,由于数据的可用性是建立在数据的机密性、完整性及系统的可用性基础上,而系统的可用性实际上是对系统服务功能的保护,所以,“从保护数据的角度看,我们只要注重保护数据的机密性和完整性就足够了。”
从安全策略的角度看,数据机密性保护和完整性保护是相互矛盾的:数据机密性是指信息不能被非授权者、实体或进程利用或泄露的特性,可以通过禁止“向上读、向下写”的策略,确保数据不会被泄露;而数据完整性是指数据没有受到非授权方式所做的篡改,同时也没有出现未经授权的使用情况,如果充许“向上写、向下读”,那么高安全等级的数据就有可能被低安全等级的用户、进程等主体篡改,数据完整性将没有任何安全保障可言。
那么,在安全风险变化难测的信息化应用环境下,如何兼顾数据的机密性与完整性保护,最大限度地提升数据的安全水平?
“问题”系统难以承载安全构想
在IT系统架构中,操作系统是计算机资源的直接管理者,承载着大量重要的数据信息和关键的业务应用,在数据保护中占据着非常重要的地位。为了提升数据的安全性,国家标准《信息安全技术-操作系统安全技术要求》(GB/T20272-2006)对数据机密性和完整性制定了详细的规范,例如在三级操作系统的数据机密性保护方面,要求“非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容”;数据完整性方面,GB/T20272-2006建议为主体和客体设置完整性标签,并建立完整性保护策略模型,保护用户数据在存储、传输和处理过程中的完整性。此外,GB/T20272-2006还从磁盘扫描、逻辑隔离等方面制定规范,增强三级操作系统对数据机密性和完整性的保护力度。
然而,在实际应用中,国内普遍使用的操作系统大多数来自国外,根据TCSEC标准安全等级为C2级,低于国标GB/T20272-2006第二、三级操作系统的安全水平,存在超级管理员(root/Administrator)权力过度集中的问题,攻击者一旦通过非法手段获得管理员权限,就可以对数据机密性和完整性进行破坏。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
为切实提升网络信息安全防护技能,全力做好集团公司网络安全攻防实战演练防守工作,5月15日,国能龙岩发电公司加强组织领导,从提高思想意识着手,严格遵守演练注意事项,做好应急管理等措施,不断强化网络信息安全。该公司要求全员切实提高政治站位,加强组织领导,按照谁主管谁负责,谁运营谁负贵,
3月26日,国网天津电科院以“查隐患、控风险、抓落实、保安全”为主线开展春季信息安全大检查,全面排查信息设备、信息系统、网络专线、科技产出系统等信息安全,保障企业网络设备安全稳定运行,提升公司整体网络安全防护水平。本次工作中,电科院以现场排查、梳理自查、专项督查等多种形式相结合,结
3月27日,国网光山县供电公司2名信息专业工作人员正在认真梳理公司信息网络设备地址,确保省市公司关于IP地址资源管理提升工作的相关要求落实落地落细,为企业网络安全、稳定、可靠、高效运行夯实基础。IP地址资源管理是网络安全和性能管理的关键组成部分,有效的IP地址管理可以帮助企业确保网络的可用
为进一步加强和规范网络信息安全管理,切实提升员工网络与信息安全的主观防护意识,今年以来,国能晋江热电公司从安全自查、公司排查和规范管理三方面行动,构筑网络信息安全防护墙。根据网络信息安全管理要求,该公司要求所有员工对所使用电脑进行自查,确保所有办公电脑全部安装集团360软件,提高安
2月7日,国网天津电科院开展春节前网络信息安全专项检查,筑牢节日期间信息网络安全防线,严防信息安全事故发生,多措并举确保信息网络安全运行可靠。电科院信息安全分管领导和科技管理部门负责人带队,有序组织信息专责及运维人员成立专项排查小组,结合信息设备和办公区域实际运行情况,分别前往东丽
为进一步推动网络信息安全建设,强化各级人员网络安全辨识能力,规范网络及终端安全办公,最近,盐城供电公司营销部组织员工进行网络信息安全专项培训,主要针对场所防护、终端防护以及互联网资产三方面进行宣贯学习,通过网络安全宣传教育专项工作,为公司网络信息安全筑起一道坚实的防线。盐城供电公
近日,广东燃料电池汽车示范应用城市群综合监管平台(简称“广东燃料电池汽车监管平台”)获得了国家公安部核准颁发的“信息系统安全等级保护二级备案证明”(简称“等保二级”)。据悉,国家等级保护认证是中国最权威的信息产品安全等级资格认证,认证由国家信息安全监管部门进行监督、检查,要求非常严
6月26日,国家能源局在京召开电力行业网络与信息安全联席会议全体会议,会议总结“十四五”以来电力网络安全工作,分析研判电力网络安全面临的形势和风险,部署“十四五”后半期和2023年电力网络安全重点工作。国家能源局党组成员、副局长余兵出席会议并讲话。会上,中央网信办、国家发展改革委、公安
国家能源局综合司关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知国能综通安全〔2023〕69号电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。召集人:余兵国家能源局党组成员、副局
北极星电力网获悉,国家能源局综合司发布关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知,国能综通安全〔2023〕69号,详情如下:电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。
10月11日,中电联党委书记、常务副理事长杨昆在中电联本部会见三六零安全科技股份有限公司(以下简称“360集团”)创始人、董事长兼CEO周鸿祎一行。双方就当前国内外信息安全形势和电力企业数字安全工作开展深入交流和探讨。杨昆在会谈中指出,多年来,电力行业高度重视信息化建设,持续开展信息化战略
6月11日,工信部发布《电动汽车传导充电系统安全要求》(征求意见稿)(下称《要求》),该标准由工信部、国家能源局牵头制定,旨在通过电动汽车传导安全要求强制性国家标准的制定,提高充电系统的设计、制造和运维质量,降低事故发生率,进而促进电动汽车的普及和发展。本标准适用于电动汽车交流(AC)
北极星氢能网获悉,根据北京市地方标准制修订项目计划,由北京市经信局组织制定的北京市地方标准《燃料电池汽车车载液氢供气系统安全技术规范》的征求意见稿已完成。按照《北京市地方标准管理办法》的要求,现公开征求意见。
能源保障和安全事关国计民生,是不可忽视的“国之大者”。中共中央政治局2月29日下午就新能源技术与我国的能源安全进行第十二次集体学习。中共中央总书记习近平在主持学习时强调,能源安全事关经济社会发展全局。能源安全之下,电力安全是核心。近日,国家能源局召开2024年全国电力系统运行方式汇报分
北极星氢能网获悉,3月21日,北京市市场监督管理局发布北京市地方标准《燃料电池汽车车载液氢供气系统安全技术规范(征求意见稿)》。该文件规定了燃料电池电动汽车车载液氢系统的一般要求、系统安全、部件安全、布置、安装及防护、运行安全和试验方法。适用于燃料电池电动汽车的车载液氢系统。原文如
2月1日以来,华中区域受寒潮天气影响,华中地区气温骤降导致各地出现雨雪天气,输电线路出现不同程度的覆冰,电力安全保供工作面临严峻考验。华中能源监管局深入贯彻落实习近平总书记关于低温雨雪冰冻灾害天气防范应对工作的重要指示精神,第一时间组织研判当前能源安全保供形势,分析当前电力安全生产
为进一步加强电力二次系统安全管理,确保湖南电力系统安全稳定运行和电力可靠供应,根据国家能源局统一部署,湖南能源监管办认真组织开展并顺利完成了2023年湖南省电力二次系统安全专项监管工作。本次专项监管自2023年4月开始,共分为安排部署、相关企业自查整改、组织调度机构现场督查、监管机构抽查
极端天气条件下电力系统安全及应对措施研究中标候选人公示(招标编号:CG0000022001586973)公示开始时间:2023-12-06公示结束时间:2023-12-11
三峡资产河南区域光伏电站电力监控自动化系统安全运维网关配备项目公告1.竞争性谈判条件根据有关计划安排,我单位对三峡资产河南区域光伏电站电力监控自动化系统安全运维网关配备项目进行竞争性谈判采购。本项目已具备采购条件,现邀请你单位参加本项目报价。2.采购范围三峡资产所辖河南区域6个光伏项
储能系统三个市场准入标准,第一个标准是莱茵标准2PfG2698。第二个标准是德国标准VDE-AR-E2510-50,适用于小型以及户用储能。最后一个标准是IEC62933-5系列。——德国莱茵TV集团技术专家陈明2023年10月31日至11月2日,SNEC第八届(2023)国际储能技术和装备及应用(上海)大会在上海举行。会上,德国莱茵TV
构建新型电力系统,首先要保证能源供应,保证能源安全,一个健康而可靠的电力系统对于国家经济和社会的运转至关重要。随着新型电力系统建设的不断深入,电气消费新模式不断涌现,终端用能领域电气化水平不断提升,用户侧低碳化、电气化、灵活化、智能化变革方兴未艾,全社会各领域电能替代广泛普及,电
11月1日,新形势下全国电力系统安全稳定工作会议在北京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,深入落实“四个革命、一个合作”能源安全新战略,围绕碳达峰碳中和目标任务,全面总结电力系统安全稳定工作经验,持续深化对电力系统发展规律的认识,指明新形势下
近日,国家发展改革委发布关于建立全国政府和社会资本合作项目信息系统的通知。建立全国政府和社会资本合作项目信息系统,有利于做好项目信息统计,强化政府和社会资本合作项目监测分析;有利于加强社会监督,提升公共产品质量和公共服务水平;有利于引导各参与方切实提升项目执行质量,将政府和社会资
6月12日,国家发改委发布《关于建立全国政府和社会资本合作项目信息系统的通知》,明确全国政府和社会资本合作项目信息系统指标体系。详情如下:国家发展改革委办公厅关于建立全国政府和社会资本合作项目信息系统的通知发改办投资〔2024〕151号各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展
#tabs1.swiper-container{height:500px;overflow:hidden;}#tabs2.swiper-container{height:450px;overflow:hidden;}#tabs3.swiper-slide{float:left!important;}.lmNav{width:100%;height:100px;box-shadow:05px15px0rgba(10,76,181,0.20);text-align:center;border-bottom:1pxsolid#D6DFEA;}.lmNavu
近日,国网信通产业集团所属北京中电飞华通信有限公司应用信息系统零差错完成2万份物资相关单据处理。该公司通过信息系统整合了合同管理、支付审查等环节,智能化管理物资采购全流程,实现发票数字化录入审核、合同线上监测审批。年初以来,该公司以物资采购为试点,推动数字技术与物资业务深度融合,
据交通运输部12月4日消息,近日,交通运输部发布关于加快智慧港口和智慧航道建设的意见。其中指出,发展目标为,到2027年全国港口和航道基础设施数字化、生产运营管理和对外服务智慧化水平全面提升,建成一批世界一流的智慧港口和智慧航道。国际枢纽海港10万吨级及以上集装箱、散货码头和长江干线、西
6月28日,国网陕西省电力有限公司业务全链路监测工具正式上线运行。该工具能够主动监测、实时预警、精准定位、智能防控信息系统运行风险,像哨兵一样24小时不间断值守,提升了信息系统运维保障水平。运行风险感知预警是信息系统运维的难点问题之一。传统的基于故障监测的运维方式存在技术架构复杂、事
6月29日,国家电网有限公司2023年信息系统迎峰度夏电力保供暨防汛应急演练举行。本次演练由国网数字化部牵头,国网信通公司负责组织,各省级电力公司、国网客服中心参与。演练设置“演”与“练”两个环节,“演”环节有国网上海、江苏、湖北、辽宁、陕西电力及国网信通公司等单位参与。参演单位通过有
6月5日,华北电力调度控制中心结合调度生产工作实际,组织开展信息系统迎峰度夏无脚本应急演练,检验数字化应急支撑能力建设成效。本次演练以突出实战为原则。考虑到通信管理系统小概率故障事件可能对电网通信业务及安全运行产生的影响,华北电力调度控制中心在演练中设置了通信管理系统双机机制失效的
6月5日,国网华北分部调控中心组织开展信息系统迎峰度夏无脚本应急演练,检验数字化应急支撑能力建设成效,切实提高数字化应急支撑水平。演练突出实战原则,设置了国网统推二级部署通信管理系统双机机制失效的极端故障场景。故障发生后,信息值班员第一时间通过监控系统发现异常告警、定位故障源、分析
北极星电力软件网获悉,2月28日,国家能源局发布关于印发《水电站大坝安全提升专项行动方案》(以下简称《方案》)的通知。《方案》指出,加强大坝安全信息化建设,纳入企业信息化建设整体规划,统筹推进,实现大坝信息系统与本企业其他相关系统互联互通。及时录入大坝设计施工基础数据、运行管理资料
近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),并发出通知,要求各地区各部门结合实际认真贯彻落实。《规划》指出,建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。加快数字中国建设,对全面建设社会主义现代化国家、全面推进
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!