時間:2023-09-19 16:27:41
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇構建網絡安全防護體系,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
本文闡述了國內煙草企業面對的網絡信息安全的主要威脅,分析其網絡安全防護體系建設的應用現狀,指出其中存在的問題,之后,從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面,提出加強煙草企業網絡安全防護體系建設的策略,希望對相關工作有所幫助。
關鍵詞:
煙草企業;網絡安全防護;體系建設
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4結語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
參考文獻:
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
[2]賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用[J].中國煙草學報,2016(4).
網絡科技的迅猛發展,給人們的生產、生活帶來了一定的便捷。但同時隨著網絡技術的不斷成熟,網絡安全問題日益凸顯,部分網絡黑客將計算機系統漏洞作為侵襲條件,對相關計算機用戶的網絡資源進行惡意攻擊,篡改數據,引發了不同程度的網絡安全問題。目前已成為了人們日益關注的話題。基于此,本文以在計算機防護中起到了顯著的作用的防火墻技術作為切入點,首先扼要分析了計算機網絡安全技術的研究進展,然后介紹了防火墻的不同功能及其分類,最后提出了防火墻的構建步驟及其防護措施。
【關鍵詞】計算機 防火墻 網絡安全 入侵 技術
網絡技術的發展,促進了計算機的普及,在一定程度上改變了人們的生產、生活與工作方式,將網絡作為途徑,人們能夠實現足不出戶而知曉天下事的功能,同時通過網絡亦能夠實現資源共享、信息分享及人與人之間的溝通與交流。網絡在給人們帶來便利的同時也凸顯了一些問題。部分黑客將計算機作為主要侵襲對象,竊取商業機密、進行惡意攻擊、盜取相關資源,無一不給網絡安全造成了嚴重的威脅,甚至少部分黑客程序,無需用戶操作,便可自動化地破壞整個系統網絡,嚴重阻礙了網絡環境的正常運作。目前,計算機網絡安全問題已成為了全球范圍內人們所關注的重點話題。以下則主要從計算機網絡安全技術發展的軌跡出發,研究了防火墻網絡安全體系的構建。
1 計算機網絡安全技術的發展概述
計算機網路技術主要是基于網絡數據存儲與傳輸的安全性考慮而衍生的安全防護技術。由于在開發初期,研究人員僅將開發重點放置于推廣與操作的方便性方面,進而導致了安全防護體系相對來說比較脆弱,并不具備較優的防護處理水平。因此,為解決計算機網絡安全防護的問題,國內外諸多相關的研究機構展開了大量的探索與分析,在網絡身份認證、數據資源加密、網絡防火墻及安全管理等方面展開了深入的研究,推動了入侵檢測技術的誕生。入侵技術推廣早期,檢測方法相對來說比較簡單,功能并不完善,同時并不具備較強的適用性。并隨著開發研究的不斷深入與普及,入侵檢測方法也處于不斷完善的過程中,許多新型的攻擊特征已被總結與歸納,入侵反應措施也趨向完善。
在計算機網絡安全技術中占據核心地位的安全防護技術便為密碼技術,研發至今發展已有20余年,部分高強度的網絡密鑰管理技術與密碼算法也在迅速涌現。開發重點同樣也由傳統的保密性轉移至兼顧保密、可控與真實等方面。并配合用戶的身份認證形成了數字化的網絡簽名技術。當前在保障計算機網絡信息傳遞的安全性方面,密碼技術有其重要的影響作用,而加密算法則是密碼技術中的關鍵與核心。不同性質的網絡密鑰同樣有其不同的密鑰體制。其主要決定因素在于網絡協議的安全性。此外,網絡漏洞掃描同樣也是計算機網絡安全技術發展的產物,由于任何計算機均有其不同的安全漏洞,而選取人工測試的方法耗時較長,且效率較低、準確度不高,而網絡漏洞掃描技術則能夠實現漏洞掃描的全自動操作,同時預控安全危險,保護整個計算機系統網絡,是安全防護系統中不可或缺的重要部分。
2 防火墻技術與其系統構建措施分析
2.1 防火墻技術的功能及其分類
防火墻主要是計算機防范措施的總括,它能夠隔離內外部網絡,采取限制網絡互訪的方式達到保護內部網路的目的,是十分高效的網絡安全防護措施。它能夠隔絕計算機安全與風險區域的網絡連接,同時能夠對適時網絡通信量進行監測,有效制止惡意網絡資源的入侵與進攻,能夠自動過濾非法用戶與不安全的網絡信息,隔離入侵者與防御設施,限制訪問點權限,防止資源濫用。防火墻同樣有其不同的類別,按照軟件形式可將其劃分為硬件防火墻與軟件防火墻,而按照技術類型則可將其分為包過濾型防火墻與應用型防火墻。此外,按照結構類型、部署部位、使用性能同樣也將其分為不同類型的防火墻。
2.2 防火墻的構建及其防護措施的制定
網絡防火墻的構建僅需遵守簡單的六個步驟,即規劃與制定安全計劃與協議、建立網絡安全體系、制作網絡規則程序、落實網絡規則集、調整控制準備、完善審計處理。當前較為成熟的防火墻體系架構為X86架構,將PCI與CPU總線作為通用接口,具備較優的可拓展性與靈活性,是大型企業防火墻開發的主要體系架構之一。而對于中小型企業來說,NP型架構的防火墻則為防護網絡侵襲的最優選擇。采取與之相匹配的軟件開發系統,有其強大的網絡編程能力。而對于對網絡防護要求十分高的企業、單位或個人,則可采用ASIC架構的防火墻手段,它不僅具備強大的數據處理能力,同時有其獨具優勢的防火墻性能。
網絡防火墻安全措施則主要是由檢測、防護及響應三個部分構成。在整個防火墻系統中,防御屬于一級防護措施,而檢測則是確立入侵的主要手段,響應則是做出系統反饋的控制要素。當前實現網絡入侵檢測與防火墻系統之間的互動一般有兩種方案。第一,將網絡入侵檢測系統嵌入防火墻中。第二,則是通過開發網絡接口的方式實現兩者之間的互動。同樣按照原始固定網絡協議來進行信息互通,并實現網絡安全事件的傳輸處理。一般第二種方式應用較為廣泛,它具備較強的靈活性,同時不會影響兩者的防護性能。在網絡安全防護體系中,通過將入侵檢測與防火墻技術相結合,能夠有效提高檢測速度,提高系統的適應能力與靈活性,為網絡的有效防護奠定了良好的基礎,大大提升了計算機系統的防御能力,保障了系統的安全性。
3 結束語
綜上所述,在網絡技術迅猛發展的背景下,要保障信息數據的安全性,保障網絡傳輸的穩定性,充分發揮其正面作用,必須以構建網絡防火墻為重點,并配合數據加密、身份認證等安全措施,提高網絡系統的抵御能力,防止惡意入侵,并提升網絡系統的安全性,全面保障信息數據存儲的穩定性。
參考文獻
[1]蘇孝青,盛志華.計算機網絡安全技術發展與防火墻技術探討[J].科技創新導報,2009,25:24.
[2]張鳴,高楊.計算機網絡安全與防火墻技術研究[J].黃河水利職業技術學院學報,2011,02:48-50.
[3]程博.我國目前計算機網絡安全與防火墻技術探討[J].改革與開放,2011,20:192.
【 關鍵詞 】 防火墻;網絡安全;主動性
【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks, viruses and worms, etc. But when we saw these news, maybe the system has already been attacked. In this article,we are trying to introduce a proactive network security model. In this model, even if we should find a new virus, we would not worry about the whole network system security of thehospital.
【 Keywords 】 firewall; network security; initiative
1 引言
類似于防火墻或者反病毒類軟件,都是屬于被動型或者說是反應型安全措施。在攻擊到來時,這類軟件都會產生相應的對抗動作,它們可以作為整個安全體系的一部分,但是,還需要建立一種具有主動性的網絡安全模式,防護任何未知的攻擊,保護醫院的網絡安全。
2 實現主動性網絡安全防護體系的四項安全措施
在實現一個具有主動性的網絡安全架構前,需要對現有的主流網絡安全體系有一個大概的了解。防護方法包括四個方面:防火墻、VPN、反病毒軟件以及入侵檢測系統(IDS)。防火墻可以檢測數據包并試圖阻止有問題的數據包,但是它并不能識別入侵,而且有時候會將有用的數據包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道,但是它并不能保護網絡中的資料。反病毒軟件是與其自身的規則密不可分的,而且面對黑客攻擊,基本沒有什么反抗能力。同樣,入侵檢測系統也是一個純粹的受激反應系統,在入侵發生后才會有所動作。
雖然這四項基本的安全措施對醫院信息化來說至關重要,但是實際上,一個醫院也許花費了上百萬購買和建立防火墻、VPN、反病毒軟件以及IDS系統,但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質上說是應用程序內部的漏洞,它可以被黑客利用,用來攻擊網絡、竊取信息,并使網絡癱瘓。這就更加需要一種具有主動性的網絡安全模式來綜合管理這四項基本安全措施。
3 四項安全措施的綜合管理具體實施的步驟
3.1 實現主動性的網絡安全模式
作為醫院的信息化技術人員,要保護醫院的網絡首先需要開發一套安全策略,并要求所有科室人員遵守這一規則。同時,需要屏蔽所有的移動設備,并開啟無線網絡的加密功能以增強網絡的安全級別。為無線路由器打好補丁并確保防火墻可以正常工作是非常重要的,之后檢查系統漏洞,如果發現漏洞就立即用補丁或其它方法將其保護起來,這樣可以防止黑客利用這些漏洞竊取醫院的資料和導致網絡癱瘓。
3.2 開發一個安全策略
良好的網絡環境總是以一個能夠起到作用的安全策略為開始實現的,大家都必須按照這個策略來執行。基本的規則包括從指導操作員如何建立可靠的密碼到業務連續計劃以及災難恢復計劃(BCP和DRP)。比如應該有針對醫院收費項目和患者費用信息的備份策略;又如一個鏡象系統,以便在災難發生后可以迅速恢復數據。執行一個共同的安全策略也就意味著向具有主動性安全網絡邁出了第一步。
3.3 減少對安全策略的破壞
不論是有線網絡,還是無線網絡,都很有可能出現破壞安全策略的情況。很多系統沒有裝防病毒軟件、防火墻軟件,同時卻安裝了很多點對點的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟件等,它們都是網絡安全漏洞的根源。因此,必須強制所有的終端安裝反病毒軟件,并開啟Windows XP內建的防火墻,或者安裝商業級的桌面防火墻軟件,同時卸載點對點共享程序以及聊天軟件。
3.4 封鎖移動設備
對于醫院的網絡來說,最大的威脅可能就是來自那些隨處移動的筆記本電腦或其它移動終端,它們具有網絡的接入權限,可以隨時接入醫院的網絡,具有最大的安全隱患。
據Forrester Research調查,到2005年,世界總共將有3500萬移動設備用戶,而到2010年,這個數字將增加到150億。這些數字讓我們了解這將是醫院網絡安全所面臨的巨大考驗。通過安全策略,可以讓網絡針對無線終端具有更多的審核,比如快速檢測到無線終端的接入,然后驗證這些終端是否符合安全策略,是否是經過認證的用戶,是否有明顯的系統漏洞等。
3.5 設置防火墻
雖然防火墻并沒有特別強的安全主動性,但是它可以很好地完成自己該做的那份工作。防火墻要設置智能化的規則,以便關閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口,因此需要為防火墻建立規則,屏蔽所有系統上的1045端口。另外,當筆記本電腦或其它無線設備連接到網絡中時,防火墻也應該具有動態的規則來屏蔽這些移動終端的危險端口。
3.6 下載安裝商業級的安全工具
目前與安全有關的商業軟件相當豐富,可以從網上下載相應的產品來幫助保護醫院網絡。這類產品從安全策略模板到反病毒、反垃圾郵件程序等,應有盡有。微軟也針對系統的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網絡的安全等級,因此應該充分利用它們。
3.7 禁止潛在的可被黑客利用的對象
“瀏覽器助手(BHO)”是最常見的可被黑客利用的對象。它一般用來監測用戶的頁面導航情況以及監控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統中的,由于它可以將外界的信息存入你的系統,因此對網絡安全來說是一個威脅。BHO是通過ADODB流對象在IE中運行的,通過禁止ADODB流對象,就可以防止BHO寫入文件、運行程序以及在系統上進行其它一些動作。
3.8 留意最新的威脅
據計算機安全協會 (CSI)表示,2002 CSI/FBI計算機犯罪和安全調查顯示,“計算機犯罪和信息安全的威脅仍然不衰退,并且趨向于金融領域”。因此,需要時刻留意網絡上的最新安全信息,以便保護醫院網絡。
3.9 彌補已知的漏洞
系統上已知的漏洞被稱為“通用漏洞批露”(CVE),它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施,可以將網絡中所有系統的CVE漏洞彌補好。
4 結束語
雖然安全性永遠都不是百分之百的,但是搭建好具有主動性的網絡安全模式就可以使醫院的網絡安全處于優勢地位。
參考文獻
[1] 鄧素平.構建網絡安全防護體系[J].山東通信技術,2001,2:17-19.
[2] 劉曉瑩等.網絡安全防護體系中網絡管理技術的研究與應用[J].應用與開發,2001,2001,3:30-31.
[3] 江振宇.建立防火墻的主動性網絡安全防護體系[J].計算機與信息技術,2007,23:56.
【 關鍵詞 】 “互聯網+”時代;網絡安全;管理策略;安全體系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
當今社會已經進入到了“互聯網+”時代,網絡安全與我們的生活息息相關,密不可分。網絡信息安全對于國家、社會、企業、生活的各個領域以及個人都有十分重要的作用和意義。目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新。防火墻、VNP、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在互聯網絡中得到了廣泛應用。隨著大規模網絡的部署和應用領域的迅速拓展,網絡安全的重要性越來越受到人們的關注,但同時網絡安全的脆弱性也引起了人們的重視,網絡安全問題隨時隨地都有可能發生。近年來,國外一些組織曾多次對中國企業、政府等網站進行過大規模的網絡攻擊,網絡安全已滲入到社會生活的各個方面,提高網絡安全防護能力,研究網絡安全管理策略是一項十分緊迫而有意義的課題。
2 “互聯網+”時代網絡安全
互聯網本身在軟硬件方面存在著“先天”的漏洞,“互聯網+”時代的到來讓這只大網的規模急劇擴大,盡管在網絡安全防護方面采取了很多有效性措施,然而網絡信息所具有的高無形價值、低復制成本、低傳播成本和強時效性的特點造成了各種各樣的安全隱患,安全成為了互聯網絡的重要屬性。
2.1 內涵
“互聯網+”是指依托互聯網基礎平臺,利用移動互聯網、 云計算、大數據技術等新一代信息技術與各行業的跨界融合,發揮互聯網在生產要素配置中的優化和集成作用,實現產業轉型、業務拓展和產品創新的新模式。互聯網對其他行業的深入影響和滲透,正改變著人們的生成、生活方式,互聯網+傳統集市造就了淘寶,互聯網+傳統百貨公司造就了京東,互聯網+傳統銀行造就了支付寶,互聯網+傳統交通造就了快的、滴滴。隨著“互聯網+”時代的到來,迫切需要“網絡安全+”的保護,否則,互聯網發展的越快遭遇重大損失的風險越大,失去了安全,“互聯網+”就會成為沙中之塔。在國家戰略的推動下,互聯網產業規模的成長空間還很巨大,網絡安全,刻不容緩。
2.2 主要內容
“互聯網+”不僅僅是互聯網移動了、泛在了、與傳統行業對接了,更加入了無所不在的計算、數據、知識,給網絡安全帶來了巨大的挑戰和風險。網絡安全泛指網絡系統的硬件、軟件及其系統上的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不被中斷。從內容上看,“互聯網+時代”的網絡安全大致包括四個方面:(1)網絡實體安全主要是以網絡機房的物理條件、物理環境及設施、計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等為主;(2)軟件安全主要是保護網絡系統不被非法侵入,系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數據安全主要是保護數據不被非法存取,確保其完整性、一致性、機密性等;(4)管理安全主要是網絡運行過程中對突發事件的安全處理等,包括采取安全分析技術、建立安全管理制度、開展安全審計、進行風險分析等。
2.3 基本要求
網絡安全包括五個基本要求:機密性、完整性、可用性、可控性與可審查性。(1)機密性是指保證網絡信息不被非授權用戶得到,即使得到也無法知曉信息內容,通過訪問控制、加密變換等方式阻止非授權用戶獲知信息內容;(2)完整性是指網絡在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,以及網絡安全處理方法的正確性;(3)可用性是指網絡中的各類資源在授權人需要的時候,可以立即獲得;(4)可控性是指能夠對網絡系統實施安全監控,做到能夠控制授權范圍內的信息流向、傳播及行為方式,控制網絡資源的使用方式;(5)可審查性是指對出現的安全問題能夠提供調查的依據和手段,使系統內發生的與安全有關的行為均有說明性記錄可查。
3 “互聯網+”時代網絡安全分析
3.1 特征分析
近年來,無論是在軍事還是在民用信息領域中都出現了一個趨勢:以網絡為中心,各行各業與互聯網緊密相關,即進入了“互聯網+”時代。各類組織、機構的行為對網絡的依賴程度越來越大,以網絡為中心的趨勢導致了兩個顯著的特征:一是互聯網絡的重要性;二是互聯網絡的脆弱性。
網絡的重要性體現在現代人類社會中的諸多要素對互聯網絡的依賴。就像人們離不開水、電、電話一樣,人們也越來越離不開網絡,而且越是發達的地區,對網絡的依賴程度就越大。尤其是隨著重要基礎設施的高度信息化,直接影響國家利益及安全的許多關鍵基礎設施已實現網絡化,與此同時,這些社會的“命脈”和“核心”控制系統也面臨著更大的威脅,一旦上述基礎設施的網絡系統遭受攻擊而失靈,可能造成一個地區,甚至是一個國家社會功能的部分或者是完全癱瘓。
網絡的脆弱性體現在這些重要的網絡中,每時每刻都會面臨惡意攻擊、病毒傳播、錯誤操作、隨機失效等安全威脅,而且這些威脅所導致的損失,也隨著人們對網絡依賴程度的日益增高而變得越來越難以控制。互聯網最初基本上是一個不設防的網絡空間,其采用的TCP/IP、SNMP等協議的安全性很脆弱。它強調開放性和共享性,本身并不為用戶提供高度的安全保護。互聯網絡系統的脆弱性,使其容易受到致命的攻擊。事實上,目前我國與互聯網相連的大部分網絡管理中心都遭受過境內外黑客的攻擊或入侵,其中銀行、金融和證券機構是黑客攻擊的重點。
3.2 現狀分析
《2013年中國網民信息安全狀況研究報告》指出:整體上,我國網絡安全環境不容客觀,手機短信安全、應用軟件安全、計算機終端安全和各類服務器安全狀況不盡人意。
從數量規模上看,中國已是網絡大國,但從防護和管理能力上看,還不是網絡強國,網絡安全形勢十分嚴峻復雜。2015年2月,中國互聯網信息中心《第35次中國互聯網絡發展狀況統計報告》顯示,隨著“互聯網+”時代的到來,2014年中國網民規模6.49億,手機網民數量5.57億,網站總數3350000,國際出口帶寬達4118G,中國大陸31個省、直轄市、自治區中網民數量超過千萬規模的達25個。
從應用范圍上,“互聯網+”時代的到來使得龐大的網絡群體帶領中國進入了“低頭閱讀”時代,“微博客賬號12 億,微信日均發送160 億條,QQ 日均發送60 億條,新浪微博、騰訊微博日均發帖2.3 億條,手機客戶端日均啟動20 億次”的數據體現了中國網民的特征。
從網絡安全發展趨勢上看,網絡規模急劇擴大,增加了網絡安全漏洞的可能性;多個行業領域加入互聯網,增加了網絡安全控制的難度和風險;移動智能互聯設備作為互聯網的末端延伸,增加了網絡攻擊的新目標;互聯網經濟規模的躍升,增加了網絡管理的復雜性。
3.3 威脅分析
互聯網絡安全威脅主要來自于幾個方面:一是計算機網絡系統遭受病毒感染和破壞。計算機網絡病毒呈現出異常活躍的態勢,我國約73%的計算機用戶曾感染病毒,且病毒的破壞性較大;二是電腦黑客活動猖獗。網絡系統具有致命的脆弱性、易受攻擊性和開放性,我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入;三是網絡基礎設施自身的缺陷。各類硬件設施本身存在漏洞和安全隱患,各類網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。國內與網絡有關的各類違法行為以每年30%的速度遞增,來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續不斷。
從網絡安全威脅對象上看,主要是應用軟件、新型智能終端、移動互聯設備、路由器和各類網站。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示,新增病毒的總體數量依然呈上漲趨勢,掛馬網站及釣魚網站屢禁不止。新增手機病毒上漲迅速,路由器安全、NFC支付安全、智能可穿戴設備等是當前網絡安全最為薄弱的環節。
從網絡安全狀態上看,僅2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。2015年2月境內感染網絡病毒的終端數為2210000,境內被篡改網站數量近10000個,3月電信網內遭受DDOS攻擊流量近18000TB。2015年5月底短短幾天,就有支付寶、網易、Uber等互聯網龍頭接連出現故障,這是海外黑客針對中國APT攻擊的冰山一角。
從網絡安全防護技術上看,一方面,安全問題層出不窮,技術日趨復雜。另一方面,安全問題的迅速發展和網絡規模的迅速擴大,給安全解決方案帶來極大的挑戰,方案本身的研發周期和用戶部署周期的影響,導致安全解決方案在處理實際問題時普遍存在強滯后性、弱通用性和弱有效性的特點。更為重要的是現有安全解決方案通常只能針對特定的安全問題,用戶需要不斷增加部署新的安全解決方案以應對網絡安全的發展。
4 “互聯網+”時代網絡安全管理體系
安全是“互聯網+”時展的核心問題,網絡安全管理至關重要,在“互聯網+”模式提出之后,如何守衛網絡安全將成其發展的關鍵。“互聯網+”時代更需要建立一個完整的網絡安全防護體系,提高各網絡設備、系統之間的協同性和關聯性,使網絡安全防護體系由靜態到動態,由被動到主動,提高網絡安全處置的自適應性和實時反應能力,增強入侵檢測的阻斷能力,從而達到全面系統安全管控的效果。
4.1 基于監測預警建立網絡安全態勢感知體系
在現有基礎上,通過互聯網安全態勢評價指標,分級分層部料數據采集和感知分析系統,構建互聯網安全態勢感知體系。評價指標包括網絡運行基礎型指標,網絡脆弱性指標、網絡威脅指標三類。其中運行基礎指標包括基礎網絡性能、基礎網絡流量和網絡設備負載等;網絡脆弱性指標包括關鍵網絡設備性能指數、重要系統的狀態參數、終端服務器運行狀態等;網絡威脅指標包括攻擊事件、攻擊類型、病毒傳播速度、染毒終端數量等。為了有效地獲取各類統計分析數據,需要在重要的節點和核心區域部署數據采集和感知分析系統,對網絡中的應用終端、大型核心服務器等關鍵數據進行采集,如網絡運行狀態數據、病毒感染數據、骨干網絡流量數據、服務器病毒攻擊數據等,通過對采集數據的分析,形成分類、分級的網絡安全態勢,通過對數據的實時關聯分析動態獲取網絡安全態勢,構建一體聯動的態勢感知體系。
4.2 基于主動防御建立網絡安全入侵檢測體系
在現有入侵防御能力基礎上,重點建設主動防御、網絡蜜罐、流量清洗等系統,構建網絡安全入侵檢測體系。一是建設主動防御系統。利用啟發式檢測和入侵行為分析技術構建主動防御系統,部署于各類各級網絡管理終端和核心服務器上,通過對未知網絡威脅、病毒木馬進行檢測和查殺,主動檢測系統漏洞和安全配置,形成上下聯動、多級一體的安全防護能力。二是建設網絡蜜罐系統。利用虛擬化和仿真等技術拓展和豐富網絡蜜罐系統,實現攻擊誘捕和蜜罐數據管理,在重要節點、網站和業務專網以上節點部署攻擊誘捕系統,有針對性地設置虛假目標,誘騙實施方對其攻擊,并記錄詳細的攻擊行為、方法和訪問目標等數據,通過對誘捕攻擊數據分析,形成聯動防御體系。三是建設流量清洗系統,包括流量監測和過濾分系統。在核心交換區域和網絡管理中心部署流量檢測分系統,及時發現網絡中的攻擊流量和惡意流量。在核心骨干節點部署流量過濾分系統,在網絡攻擊發生時,按照設置的過濾規則,自動過濾惡意攻擊流量,確保正常的數據流量,從數據鏈路層阻止惡意攻擊對網絡的破壞。
4.3 基于實時響應建立網絡安全應急管控體系
在現有應急響應機制基礎上,通過進一步加強廣域網絡、系統設備和各類用戶終端的控制,構建應急管控體系。一是加強多級、多類核心網絡的控制。依托網絡管理系統、流量監測系統以及流量清洗系統對骨干網絡進行實時監控,實時掌控不同方向、不同區域、不同領域的網絡流量分布情況、網絡帶寬占用情況,便于有效應對各類突況。二是加強網絡安全事件的控制。特別是對影響網絡運行的病毒傳播擴散、惡意攻擊導致網絡癱瘓以及對各類網絡的非法攻擊等行為,要能在第一時間進行預警和處置。三是建立健全應急管控機制。對于不同類型的網絡安全威脅,明確相關的職能部門及必要的防范措施,避免出現網絡安全問題時“無人問津”的情況,確保網絡安全處理的時效性。
5 結束語
時代賦予了互聯網新的職能,互聯網在給我們的生活帶來便利的同時也威脅著人們的安全,必須著重研究和建立新的網絡安全管理體制并制定相應的應對策略。網絡安全策略不能停留在被動的封堵漏洞狀態,也遠遠不是防毒軟件和防火墻等安全產品的簡單堆砌就能夠解決的,網絡安全需要形成一套主動防范、積極應對的可信、可控網絡體系,從根本上提高網絡與信息安全的監管、恢復和抗擊、防護、響應等能力,對于個人、企業、社會甚至國家利益和安全都具有十分重要的現實意義。
參考文獻
[1] 吳賀君.我國互聯網安全現狀及發展趨勢[J].長春師范學院學報,2011(12).
[2] 陳君.互聯網信息安全的“中國設計”[J].今日中國(中文版),2014(06).
[3] 周潛之.加強網絡安全管理刻不容緩[N].光明日報,2014(01).
[4] 羅佳妮.完善互聯網信息安全保障機制的思考[J].新聞傳播,2013(09).
[5] 胡凌.網絡安全、隱私與互聯網的未來[J].中外法學,2012(02).
[6] 中國互聯網信息中心.2013年中國網民信息安全狀況研究報告[R].2013(09).
[7] 娜,劉鵬飛.2015中國互聯網展望[J].新媒在線,2015(03).
[8] 熊勵,王國正.移動互聯網安全,一道繞不過去的坎[J].社會觀察,2014(05).
[9] 喻國明.移動互聯網時代的網絡安全:趨勢與對策[J].國明視點,2015(02).
[10] 蔡志偉.融合網絡行為監測與控制技術研究[D].理工大學碩士論文,2011(06).
[11] 周鵬.大數據時代網絡安全的防護[J].網絡安全技術與應用,2015(04).
關鍵詞:醫院信息標準化建設;網絡安全;管理體系
由于信息化技術的日益發展,很多醫療信息系統都在發展過程中進行了優化,大大推動了醫療診斷技術水平的提升,使診斷工作更為精細化,有效提升了員工績效水平和醫療工作的整體品質。與此同時,其復雜性也在日益提高,使得醫院安全問題凸顯,同時面臨多種惡意軟件入侵,對醫院網絡產生了重大的負面影響。因此,在技術水平達標的同時,還需要人工操作來確保網絡的安全。2018年4月,國務院印發《國務院關于推進“推進互聯網在線醫藥衛生”發展的意見》,提出各類醫療機構今年要逐步完善和繼續完善“互聯網醫療衛生體系”,發展在線醫療,提高醫院管理水平。通過《國務院關于推進“推進互聯網在線醫藥衛生”發展的意見》宣告了“互聯網醫療健康”安全時代的正式到來。以國家標準2.0級網絡防護工程為指導,遵循“一個中心、三個防護”防護工程的基本理念,從安全信息管理服務中心體系建設工作開始,并初步構建了醫院網絡安全三級防護管理體系,以有效迎接新網絡時代的安全管理挑戰,確保“互聯網健康”,醫院安全信息化體系建設穩步健康有序發展。
1醫院信息標準化建設中網絡安全管理體系建設的重要原因探析
患者只需在線注冊、就診、付款、入住和離開醫院即可完成醫療流程。此外,信息化體系建設還可以有效提高醫務人員的日常工作效率,降低醫務人員的勞動強度,為患者及時提供便捷高質量的基本醫療健康服務。從各級醫院的財務角度看,醫院財務信息化體系建設不僅可以有效提高各級醫院財務管理水平,密切各直屬科室之間的協作關系,為加強醫院醫務檔案管理進行信息化、財務管理和物資管理工作創造條件,降低醫院的商業保險和運營成本,提高醫院的整體效益。網絡安全管理體系主要是廣泛指負責管理網絡系統安全管理策略、安全動態計算網絡環境、安全網絡區域活動限制和安全網絡通信等網絡安全防護機制的管理平臺或服務區域。過去,醫院率先采取了“被動防御”安全戰略,并針對安全網絡威脅不斷采取了安全防護控制措施,缺乏安全統一規劃和安全集中管理。安全信息資源綜合使用管理效率低,對安全威脅的監測反應慢,難以建立形成有效的安全威脅防護管理體系。隨著我國醫院安全信息化體系建設的不斷發展,各種新信息技術的不斷推廣和醫院互聯網服務的不斷普及,醫院必然需要自主開發一套能夠適應當前網絡健康管理時代的網絡安全管理系統。
2醫院信息標準化建設中網絡安全管理體系建設遇到的問題
2.1缺乏統一標準和依據
醫院信息化建設具有高度的系統性和復雜性,需要各部門密切配合,對醫院進行統一規劃,明確每一步的建設目標。但是,從醫院信息化建設的現狀來看,對醫院的實際發展缺乏重視,在投入之前沒有充分考慮到醫院的長遠發展目標。另外,信息化建設沒有統一的規則,影響了信息化建設的工作,對新項目的實施也有一定的影響,造成了資源的浪費。
2.2網絡安全性較低
醫院的網絡安全的問題往往是高度復雜動態的,將對醫院領導和安全系統運營人員產生重要直接影響。此外,還有一些新型網絡安全病毒和一些黑客在網絡安全應用方面的潛在問題。雖然很多大型醫院都已經采取了一些相應的技術措施手段來徹底解決這些安全問題,但由于醫療軟件技術能力較差、技術水平不過關等因素,并沒有有效地解決這些網絡安全上的問題。
3網絡安全管理體系建設原則
從醫院建設安全網絡管理信息中心的總體目標要求出發,在國家標準2.0級網絡防護的技術指導下,結合自身醫院網絡安全管理工作實踐經驗,醫院首先明確了以下網絡安全管理原則:①安全管理與網絡技術支持并重,同時合理規劃醫院建設安全管理體系和網絡技術支持能力,用安全管理體系建設指導網絡技術支持能力體系建設,用網絡技術支持能力建設確保安全管理體系的有效實施。②集中控制安全能力和分散安全管理權限,整合安全人力資源,提高安全管理效率,注重員工建立準確識別和有效消除快速安全網絡威脅的管理能力;通過集中的人力資源綜合管理和權力控制,分散對上級行政部門權力的管理限制,以及通過依靠集中審計行政能力控制來有效降低醫院員工違法越權的安全風險。基于上述安全原則,醫院已已經開始對公司現有的醫院網絡安全保障管理能力系統和網絡技術支持管理能力體系進行不斷改造和升級完善。
4網絡安全管理體系建設標準
建立安全管理中心的前提是醫院應有一套合法、兼容、可行的安全管理體系。通過驗證基本2.0級防護要求,結合醫院自身的安全管理經驗,并將實施能力作為重要標準考慮在內,建立2.0級安全管理體系框架,以確保管理體系的管理方向和可行性。為便于實施,醫院將管理體系文件分為4個層次。一級安全文件根據有關國家安全法律法規、相關安全行業政策法規和公立醫院安全管理要求,確定醫院總體上的網絡安全保障政策和發展策略,在此基礎上研究構建公立醫院第三級安全網絡管理體系,定義全球安全要求,并在安保管理、人員管理、資產管理、安保大樓管理和維護以及應急支持管理的組織中建立安全標準。輔助文檔中的信息總量,更新和調整物理安全要求、政策和政策,以應用于特定領域。二級安全操作和維護系統,規定了適用于文件安全系統維護和維護管理第一級操作和操作的安全要求,并規定了操作和禁止規則。三級規范文件要求是具體的企業工作人員操作管理規范,以便于確保操作人員的實際操作管理效果能夠滿足您的預期,并減少故障和其他行為造成的潛在安全風險。例如,確定您的服務器安全技術增強(windowsserversecuritymanual)的項目操作步驟和項目實施經驗效果,并及時制定技術要求以便于確保您的服務器安全滿足特定項目安全要求,并制定安全增強管理體系安全增強基礎的各項相關技術要求。四級文件是用于數據篩選、跟蹤和分析的安全操作管理記錄,為了減少操作和維護人員的工作量,提高時尚管理的效率,節省紙張,醫院開始嘗試非常規檢查表。四層文件管理體系四級文件管理體系有效提高了人民醫院安全生產管理體系的工作靈活性和市場適應性:第一層體系決定了整體網絡安全政策和策略以及其他體系制定的方向。二級管理體系手冊側重于對個別具體管理問題的有效管理,根據實際需要進行制定,具有較強的基本相關性和實際適用性,確保一級管理體系的基本靈活性和實際適應性;第三方操作手冊特別注重管理細節和長期實施,可根據長期實施管理效果反復迭替換代,這些都是我們確保一級管理體系長期實施管理效果的最終重要目的;四級注冊表格針對醫院在建立管理體系時,特別注重對人員安全風險的管理和控制,建立持續改進管理體系的能力。成立了“網絡和信息安全委員會”,作為主要決策機構。根據網絡標準2.0要求,管理員職位分為3個職能:系統管理員、審核管理員和安全管理員。醫院和外部員工通過一系列系統文件進行標準化。合同檢查員工的安全日常行為,并初步確定合同員工的安全和財產保密管理責任;同時提出關于修訂企業管理體系目標評審和上層建筑管理要求的具體要求,建立促進管理體系建設持續完善改進的長效機制,確保穩定性,實施安全管理體系的靈活性和能力,并明確各級修訂和審查體系文件的要求。
5網絡安全技術能力建設
在安全維護管理體系中心建設的基礎上,醫院已經開始研究建設安全技術管理能力,以便于滿足安全維護管理系統中心的要求。醫院作為一個安全系統管理區域,安全維護管理系統中心負責系統的安全管理操作、維護和監督管理。因此,建立安全維護管理體系中心的主要目標是建立一個完全具有高度完善集中控制管理能力的安全維護管理域。安全維護管理區域主應負責執行包括收集和管理綜合安全管理數據、運行安全設備以及安全維護和監督管理整個醫院網絡的安全任務,為整個醫院網絡過程提供必要的醫院網絡安全基礎硬件設施和安全維護服務,以及足夠的自我保護能力,以確保自身在網絡中的安全,避免對重要的安全、審計和管理服務造成損害。由于原有醫院網管區域具有一定的集中控制能力,醫院在現有網管區域的基礎上,采用以下方式完成安全管理建設技術能力。
5.1終端網絡保護
前端計算機通信系統的網絡終端擔保是整個網絡敏感區域的一個核心。其終端主要是連接內聯網和連接外聯網之間的網絡連接,負責從敏感區的核心節點發送數據,僅易受攻擊。因此,通常可以為每個主機66學術論壇/AcademicForum系統部署一個安全網絡管理文件系統。為了提高主機服務器系統的網絡安全級別。可以從根本上對來自網絡連接終端的安全攻擊進行免疫,并在它們已經進入安全下一階段之前預先阻止。
5.2區域網絡運維安全設計
(1)建立檢測網絡安全漏洞的系統。通過自動部署互聯網絡檢測安全漏洞,檢測中心系統人員可以24h時間掃描和自動檢測指定區域內的互聯網。對系統性能進行安全特性評估,實現技術、管理、安全防護的有效集成。為全球用戶同時使用各種區域性的網絡服務降低安全風險,并提供強有力的網絡技術支持。(2)創建審核和運維系統。通過對網絡安全管理設備、網絡安全管理設備、應用管理系統、安全事件等網絡日志相關信息數據進行全面的網絡日志相關信息分析收集和日志相關性信息分析,管理者不僅可以通過搜索和實時分析日常網絡使用中的記錄,正確維護日志數據,定義日志審核設備,方便員工隨時查看,并隨時跨平臺監控整個數據中心的安全狀態。(3)建立完整的微觀分析和深度流量跟蹤系統。通過自動建立完整的用戶微觀數據分析和用戶深度風險流量檢測跟蹤分析系統,可以實時部署專門的高標準風險流量檢測分析平臺,準確快速收集用戶流量,進行深度恢復和全面分析。為了在大量會話流量中快速發現這些隱藏的整個會話進程行為,挖掘這些可能使其隱藏的潛在危險,提供會話進程的所有數據審計處理能力,并不斷提高其進程追蹤和對攻擊源的預測能力。
5.3整合現有安全資源
醫院將在保障自身安全和區域安全管理的基礎上,轉移現有的保障功能,包括資源,非病毒系統、維持和平行動管理系統和安全系統納入安全管理領域。此外,通過研究在服務區內設立專用安全通道和具體的基礎設施安全設施,優化全市安全設施功能整合,注重安全設施綜合利用,減少不必要的安全設備,提高安全設備維護和安全系統運行效率,完成對全市現有安全防護體系的綜合優化。
5.4優化集中控制
在完善現行安全監管制度的基礎上,該院先后研發了航站樓和門診部的安全監控和安全管理系統,為彌補醫院現有綜合門診終端保障體系的不足,對醫院基礎設施進行集中控制和建設,以及醫院管理系統的現有背景操作和系統維護,抗病毒防御系統與醫院客戶犯罪風險檢查系統密切配合。因此,集中審計和宣傳系統完成了建立集中管理和維護系統進行審計和宣傳的任務。預防和控制覆蓋整個醫院網絡的信息資源。
6醫院構建網絡安全管理體系
為有效適應未來最嚴峻的網絡安全發展形勢,醫院還對各級應急保障體系進行了修訂。新的應急支持系統由兩部分組成:綜合計劃和專項計劃。總體實施計劃詳細規定了醫院應急救援支持的主要組織職能結構,確定了醫院事件預警分類管理標準,并詳細規定了事件預警和應急響應工作程序、物資供應支持、培訓和其他一般工作規定:為特定類型的緊急情況和醫院系統的關鍵系統制定詳細的應急和應急方案服務按照“目標選擇、非目標選擇、綜合規劃”的醫院應急救援管理機制可以確保,使醫院應急系統人員在統一系統的技術指導下,能夠有效應對網絡上的各種突發事件。以安全網絡管理中心為工作起點,對信息網絡保護系統進行了升級,提高了風險信息的準確性,與公立醫院安全信息網絡資源管理、網絡資源安全風險管理及威脅有關,建立安全網絡。然后,在發展安全管理能力的基礎上,圍繞“響應性”完善安全運行體系建設,提高響應速度和應對網絡安全威脅的能力。在技術上,嘗試將連接機制引入安全體系,開發建設“主動防護、動態防護、全局防護、精確防護”的網絡安全防護體系,緊跟醫院信息“醫療衛生互聯網”建設步伐在網絡時代,促進了醫院網絡安全建設的發展。
參考文獻:
[1]胡列倫,李倩.醫院信息化建設中網絡安全保護研究[J].中國寬帶,2021(07):31.
[2]龔克.分析醫院信息化建設中網絡安全保護方案設計[J].數碼設計(上),2021,10(06):18.
[3]詹振坤.醫院信息化建設中計算機網絡安全管理與維護工作思考[J].無線互聯科技,2021,18(10):25-26.
[4]巫新玲,李文俠.人工智能下醫院網絡安全信息化的建設路徑探索[J].大眾標準化,2021(11):182-184.
[5]廖文韜.醫院信息化建設中的網絡安全體系建構[J].電腦編程技巧與維護,2021(07):163-164.
[6]劉小洲,黃桂新,張武軍,等.現代醫院管理制度下的醫院信息化建設推進機制探討[J].現代醫院,2018,18(03):368-371.
[7]姜濤.寧夏醫科大學總醫院醫院集團信息化建設優化[D].銀川:寧夏大學,2014.
[8]謝言.國家扶貧開發工作重點縣中醫醫院信息化建設現狀調查及影響因素分析[D].武漢:湖北中醫藥大學,2013.
[9]張宇.醫院信息化建設改革實證研究[D].南昌:南昌大學,2012.
(一)軟件漏洞
我們使用的軟件主要有三類:第一類,操作系統;第二類,商用軟件;第三類,自主開發的應用軟件。這些軟件都不可能毫無缺陷和漏洞。尤其是第三類軟件,是我們根據本單位需求而自行研發的,在設計上存在一定的缺陷,這些正是網絡黑客進行攻擊的目標。
(二)惡意攻擊
惡意的攻擊分為主動攻擊和被動攻擊。主動攻擊是以各種方式有目的地破壞信息的有效性和完整性;被動攻擊是在不影響網絡正常工作的情況下進行截獲、竊取、破譯從而獲得重要機密信息。
(三)受制于人
目前我國信息化建設中的核心技術缺乏技術支撐,依賴國外進口,比如CPU芯片、操作系統、數據庫、網絡設備等,這樣就存在許多安全隱患,容易留下嵌入式病毒、隱性通道和可恢復的密碼等漏洞。
二、網絡安全防范措施
解決網絡安全問題的關鍵在于建立和完善計算機網絡信息安全防護體系。一般常用的網絡安全技術主要有防火墻技術、入侵檢測技術、訪問控制技術和數據加密技術。
(一)安裝防火墻
防火墻是軟件和硬件的組合,它在內網和外網之間建立起一個安全的網關,從而保護內部網絡免受非法用戶的侵入,作為一個分離器、控制器和分析器,用于執行兩個網絡之間的訪問控制策略,有效地監控了內部網絡和外部網絡之間的活動。防火墻是目前使用最廣泛的網絡安全技術,對于非法訪問具有預防作用。
(二)設置訪問控制
訪問控制的主要任務是保證網絡資源不被非法使用和訪問,它是針對網絡非法操作而采取的一種安全保護措施。實施中需要對用戶賦予一定的權限,不同權限的用戶享有不同的權力。用戶要實現對網絡的訪問一般經過三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的限制與檢查。這三個步驟中任何一關沒有通過,用戶都無法進入網絡。因此,通過設置訪問控制可有效地保證網絡的安全運行。
(三)采用數據加密
數據加密技術是為防止秘密數據被外部破解,以提高網絡傳輸中信息的安全性、完整性所采用的技術手段,其關鍵技術在于密鑰的管理、存儲、分發等環節。一般采用密碼管理系統、密碼防護設備、終端加密設備、數據庫加密設備、網間密碼加密設備、撥號上網加密設備、遠程撥號終端加密設備等技術。加密常用的辦法有鏈路加密、端點加密和節點加密。
(四)加強入侵檢測
入侵檢測技術是為保證計算機系統的安全而配置的一種能及時發現并報告系統中未授權或異常現象的技術,是檢測網絡中違反安全策略行為的技術。系統日志就是操作系統自身附帶的一種安全監測系統。我們可以定期生成報表,通過對報表進行分析,了解整個網絡的運行情況,及時發現異常現象。
(五)阻斷傳播途徑
由于網絡是建立在公開、共享的基礎上,因此各類的計算機網絡系統不得直接或間接與互聯網或其它公共信息網絡相連接,必須實現物理隔離。對于級別很高的計算機,應該建立單獨機房,指定專人操作,這樣可以最大程度減少泄密的可能性。另一方面,對相關網絡中的傳輸線路、終端設備也要進行安全處理。對于計算機要使用專用的工具軟件把不需要的文件徹底刪除,對于廢棄的已格式化的硬盤,有時仍會留下可讀信息的痕跡,一定要對硬盤進行物理銷毀,這樣才能把硬盤上的秘密完全清除。因此,對計算機的存儲設備必須謹慎、規范處理,杜絕一切安全隱患。
(六)提高人員素質
隨著我國通信業和信息化的發展,通信網絡作為傳遞信息的一種重要載體為大家所熟知。在全球信息化進程中,通信網絡的普及和演進也潛移默化地改變著企業的信息溝通方式。因此,通信網絡在企業發展中起到至關重要的作用,而電力企業作為我國經濟發展的領跑者,通信網絡技術的發展也勢在必行。但是,電力企業在發展的過程中也面臨著巨大的潛在危險—企業信息安全問題。通信網絡安全是指最大限度地減少數據和資源被攻擊的可能性。對于電力企業來說,這些數據和資源是企業的命脈,通信網絡一旦發生中斷、癱瘓或擁塞,或者數據信息丟失、泄露或被非法篡改,將對企業和社會的經濟生活造成嚴重影響。因此,通信網絡的信息安全是電力企業發展的重中之重,如何做到通信網絡與信息安全有效的結合、共同發展是我們需要考慮的問題。
二、通信網絡與信息安全息息相關
電力企業信息安全與通信網路的安全息息相關,也是國家信息安全的重要組成部分。在電力工業信息化進程中,通信網絡承擔著三種角色:
1.信息通信網絡公共平臺提供者,對不同性質的計算機應用系統可以提供不同的網絡服務質量和優先等級。
2.與業務管理有關的計算機應用系統的建設、管理和使用者,其中的計算機應用系統包括通信監控與網管系統、網絡規劃與企業管理系統和客戶服務系統等。
3.與通信技術相關的信息資源的開發、維護和使用者。
因此,通信網絡承載著電力企業生產、運行、管理、經營業務系統,內聯著電力調度數據網絡,對外與Internet連接,它的安全是電力企業信息安全的第一道技術防線,電力企業信息安全直接關系著電力企業的運行與管理,也直接或間接地影響著電力生產控制系統的安全。電網企業應全面開展綠色通信網絡安全防護體系建設,統籌部署等級保護、風險評估和災難備份工作;著力提升通信網絡安全保障水平和應對突發事件的能力;要通過通信網絡與信息安全管理能力的增強,更好地為電網企業的發展提供有力的技術支撐,為促進社會和諧與穩定做出積極的貢獻。
三、新形勢下的綠色電力通信網絡
目前,大部分企業部門間依靠普通的網絡來完成信息傳輸,雖然也具有一定的防護措施和技術,但還是容易被竊取信息。這是由以下三個方面原因共同決定的:
1.計算機系統及網絡固有的開放性、共享性等特點;
2.通信系統大量使用商用軟件,其源代碼、源程序完全或部分公開化,使企業存在安全問題;
3.計算機病毒的層出不窮及其大范圍的惡意傳播。
這三方面原因都對當今企業和社會網絡通信安全產生不可估量的威脅。由于當今通信網絡功能越來越強大,我們采取何種有效措施,最大限度地化解這種潛在危險,把網絡風險降到最低限度是電力企業需要面對的重大問題。
在電力企業發展的新形勢下,構建綠色通信網絡成為解決電力企業信息安全的重要手段。綠色通信網絡構建主要包括,一方面要建立健全企業的安全機制,強化安全管理;另一方面,技術創新也是當務之急。
在技術層方面,首先是建立一個層次化的安全管控體系。為了從技術上提高通信網絡的安全性,電力企業應整合現有資源,提高企業通信網絡的預防水平、網絡的修復能力和備份能力。具體內容包括:網絡安全漏洞的自動發現與治愈、全網聯動的事件監控和分析、網絡安全配置的集中化和管控、安全態勢的綜合分析以及高效運作網絡安全管理等方面。這是一個涉及體系架構設計、資源配置和局部解決方案在內的系統解決方案,需要建立相應的安全技術體系;其次是對電力企業的IP承載網進行安全的設計和優化,然后通過安全管理中心的建設來完善綠色通信網絡的安全能力。
在管理層方面,針對計算機系統及網絡固有的開放性、易損性等特點,我們應加強網絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低。在通信網絡管理和使用中,要大力加強管理人員的安全保密意識。在管理層面上主要包括安全組織的建設和人員的保障,各種安全策略制度和流程的配套建設,以及完善安全評估、應急響應等安全保障機制。其中在應急響應方面,需要建立健全信息安全應急處理的協調機制,進一步完善各類突發事件的應急預案,健全應急指揮體系,落實應急隊伍和保障條件。尤其是高度重視基礎信息網絡,包括電信網絡和重要信息系統的應急處理工作和備份建設,充分做到了事件有預案、處置有流程、應急有措施,最大限度地化解信息安全風險。
四、綠色通信網絡規劃助力電力企業信息化安全
規劃綠色通信網絡是電力企業通信建設的基礎和安全保障,具有十分重要的作用。綠色電力通信網絡的規劃除了要遵從電力系統的有關規定之外,還必須遵循通信專業規劃的技術方法。因此,綠色通信網絡應該包括傳送網絡層和業務網絡層等,而電力企業中綠色通信網絡的規劃和構建大致包括以下三個步驟:
第一步:業務網絡規劃。業務網絡規劃主要是對提供不同信息服務的,包括數據網、計算機網和移動通信網等類型豐富的網絡進行規劃,它與具體的業務有關。在電力企業中,業務網絡規劃尤為重要,而如何構建綠色移動通信網絡也是企業發展的重中之重。電力企業在原有業務系統的基礎上,構建網絡安全體系,通過宣傳和培訓等手段,對網絡管理人員進行安全操作和管理知識的培訓,提高各業務系統的安全意識,使各業務系統能夠正常穩定的運行。
第二步:傳送網絡規劃。傳送網絡規劃是為業務網絡提供支撐的涵蓋交換機、服務器、數據傳輸的無線和移動網絡等進行規劃。在“十二五”規劃中強調了電力企業信息系統的安全管理和網絡安全傳輸問題,其中電力企業信息系統的網絡安全更是被提上日程,如何更好的規范和規劃傳輸網絡層是我們研究的重點問題之一。按照信息系統網絡數據傳輸過程中安全性和保密性的要求,完善監控設施做到實時監控,并確保管理人員不將保密文件傳到外網,不能利用內網機器上外網進行查資料等操作,確保信息系統在數據傳輸過程中的安全性。
第三步:基礎設施規劃。基礎設施規劃主要是對信息系統中計算機、服務器等硬件基礎設施進行規劃管理,而這部分是保障信息系統正常運行的基礎。在電力企業中,服務器的承載量是相當大的,在信息傳輸的過程中數據的提取和錄入也是呈倍增長的,只有實時監控路由器的異常情況,定期更新路由器設備,完善基礎設施,才能保證整個系統和網絡的穩定性。
綠色通信網絡規劃中還需要考慮網絡綜合化與安全防護、災難預防等問題,在滿足通信網絡規劃中多需求的前提下,采取災難預防措施,做好企業信息安全防護,保障電力企業綠色通信網絡的順利構建,實現綠色電網企業的發展要求。
關鍵詞: 網絡安全 信息安全 防護策略
0 引言
網絡給我們提供極大的方便的同時也帶來了諸多的網絡安全威脅問題,這些問題一直在困擾著我們,諸如網絡數據竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。為 了有效防止網絡安全問題的侵害,計算機廣泛地推廣使用了各種復雜的軟件技術,如入侵檢測、防火墻技術、通道控制機制、服務器,然后盡管如此,計算機信息安全和網絡安全問題還是頻發。網絡HACKER活動日益猖獗,他們攻擊網絡服務器,竊取網絡機密,進行非法入侵,對社會安全造成了嚴重的危害。本文就如何確保網絡信息安全特別是網絡數據安全進行了安全威脅分析并且提出了實現網絡安全的具體策略。
1 目前網絡中存在的主要安全威脅種類
1.1 計算機病毒
計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它具有寄生性、傳染性、破壞性、潛伏性和可觸發性等特點。計算機病毒主要是通過復制、傳送數據包以及運行程序等操作進行傳播,在日常的生活中,閃存盤、移動硬盤、硬盤、光盤和網絡等都是傳播計算機病毒的主要途經。計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。
1.2 特洛伊木馬
利用計算機程序漏洞侵入后竊取文件的程序程序被稱為木馬。它是一種具有隱藏性的、自發性的可被用來進行惡意行為的程序,多不會直接對電腦產生危害,而是以控制為主。
1.3 拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬于拒絕服務攻擊。
1.4 邏輯炸彈
邏輯炸彈引發時的癥狀與某些病毒的作用結果相似,并會對社會引發連帶性的災難。與病毒相比,它強調破壞作用本身,而實施破壞的程序不具有傳染性。邏輯炸彈是一種程序,或任何部分的程序,這是冬眠,直到一個具體作品的程序邏輯被激活。
1.5 內部、外部泄密
由于黑客的目的一般都是竊取機密數據或破壞系統運行,外部黑客也可能入侵Web或其他文件服務器刪除或篡改數據,致使系統癱瘓甚至完全崩潰。
1.6 黑客攻擊
這是計算機網絡所面臨的最大威脅。些類攻擊又可以分為兩種,一種是網絡攻擊。即以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網絡偵察,它是在不影響網絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網絡造成極大的危害
1.7 軟件漏洞
操作系統和各類軟件都是認為編寫和調試的,其自身的設計和結構始終會出現問題,不可能無缺陷或者無漏洞,而這些漏洞會被計算機病毒和惡意程序所利用,這就使計算機處于非常危險的境地,一旦連接入互聯網,危險就悄然而至。
2 網絡信息與網絡安全的防護對策
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全。
2.1 技術層面上的安全防護對策
1)升級操作系統補丁
關鍵詞:園區網; 網絡教學; 探索; 實踐
一、理論探索研究的主要內容
在學院網絡化環境建設完成的情況下,探索實施以信息技術為支撐的網絡化教學模式,重點研究運用現代教育技術、發展網絡教學手段,及其與之相適應的教學方法和教學組織形式。
網絡教學的設計理論體系教學目標設計、建構性學習環境設計、學習情境設計、學習資源設計、學生自主學習活動設計、學生協作學習活動設計、教師指導性活動設計、學習評價工具設計等;
網絡教學的教學策略―教學內容組織策略、教學情景營造策略、教學對話組織策略、課堂管理策略等;
網絡教學的教學模式項目化學習模式、探索性學習模式、研究性學習模式等;
網絡教學的評價網絡教學評價的內容體系、方法、步驟與模型等;
網絡教學應用系統和信息資源建設網絡教學資源的開發、網絡教學設計與教學評價系統的開發、網絡教學課程的教學過程設計及支持系統的開發。
二、實踐活動的主要內容
著力從環境、標準、平臺建設入手,組織開發教學信息資源,強化教學應用,搞好服務保障,不斷提高教學的現代化水平。
1.實施園區網升級工程
實施園區網升級改造工程,構建了萬兆以太園區網。網絡升級著眼我院園區網性能的整體提升、網絡運行的安全可靠,為構建信息化校園創設了網絡支撐環境。
2.構建網絡安全防護體系
園區網千兆升級萬兆工程完成后,在提高帶寬、增加信息資源的同時,構建了園區網安全防護體系。實現了網上信息訪問和的權限控制、有害信息的目標追蹤、上網情況的統計分析等功能,從而為構建安全、穩定的數字校園打下了堅實基礎。
3.出臺資源建設標準規范
為實現資源的充分共享和教學功能的相對統一,我們依據《現代遠程教育信息資源建設規范》,在充分論證的基礎上,擬制下發了學院《網絡教學課程建設與應用規范》、《學科專業網站建設與應用規范》,從而統一了網絡教學系統功能、信息資源建設要素和網絡教學課程建設標準,為網絡教學規范、標準的實施創造了條件。
4.研發網絡教學支撐平臺
學院采取集中組織技術力量,結合網絡技術的發展,統一開發支撐平臺,在全院范圍組織集訓進行推廣,而后組織評比驗收的辦法,組織建成了一大批學科專業網站及網絡課程。
5.拓展網絡教育教學功能
隨著網絡教學課程建設和應用的不斷深入,我院網絡教學系統已基本具備了遠程教育所需要的全部功能。主要包括:一是學員利用網絡教學系統進行自主學習,學員可以在網上學習、完成作業等;二是將傳統的按計劃播放錄像改為網上視頻點播,教學時可隨時插播電視教材;三是召開重要教學會議、專家教授講學、組織大型教學活動時,利用園區網進行現場直播;四是教學多媒體課件網上實時點播,教員授課時可在任一網絡多媒體教室,通過計算機終端直接調用自制或上級下發的多媒體課件;五是實施網上考試和自測,部分室內課程考試實施計算機隨機組卷,學員機上答題,計算機自動閱卷評分,并建成了豐富的試題庫和試卷庫;六是提供自動答疑和滯后式答疑,通過建設課程答疑庫,系統自動分析學員提出問題的關鍵詞句,選擇答案回答問題,遇到計算機無法自動回答的問題時反饋給相應教員,由教員回答并更新答疑資料庫;七是提供師生交流工具,實時教學模式下提供基于文本、圖像的實時交談功能(聊天室),非實時教學模式下提供教員信箱(電子郵件,E-Mail)和教學論壇(BBS)功能;八是提供教學信息智能搜索引擎,能夠在所有資料庫或某課程素材數據庫中進行全文檢索和多條件模糊查詢;九是提供大量的教學工具,實現教員網上備課,建立自己私用的教學資源;十是提供對學員網上學習情況的跟蹤和管理功能。
6.豐富信息資源建設形勢
網絡教學的展開除了要有網絡教學系統的支撐外,教學信息資源的豐富是系統運行的基礎。網絡教學課程建設的過程是信息資源不斷豐富的過程,采取自主開發、擇優引進、優化整合、分類管理的方法,著力加強信息資源建設。
7.強化教學應用成果推廣
網絡課程建設的目的是應用。為使建設成果在教學中廣泛應用,我們從四個方面入手強化系統應用和成果推廣:一是著眼提高教員、學員信息化素養,組織計算機及網絡操作基礎知識和基本技能的培訓;二是著眼平臺和系統推廣,組織應用系統和支撐平臺操作集訓;三是著眼推動和鼓勵教學單位建設和應用網絡課程,組織評比驗收;四是著眼建設在領先的網絡環境和網絡課程,在各類網絡課程評比中均獲得優異成績。
三、在教學中的運用情況
目前所有建成的網絡課程已全面推廣應用。建設過程中,對課程的章節目錄、知識點、討論、答疑、自測、作業等教學環節進行了精心設計,教學應用過程中,每個環節都能得到充分運用。學員利用網絡教學系統進行自主化、協作化學習,完成作業,提出問題或自測等,滿足了學員課余時間利用網絡進行學習的需要;教員在利用系統講課的同時,學員可進行同步學習。
[關鍵詞] 網絡安全 信息安全 訪問控制 身份認證
伴隨著我國國民經濟信息化進程的推進和信息技術的普及,各種網絡信息系統已成為國家的基礎設施,支撐著電子政務、電子商務、電子金融、科學研究、網絡教育和社會保障等方方面面。由于網絡具有的開放性和共享性,人們在利用互聯網獲取信息的同時,其安全問題也日益突出。據統計,美國每年因為網絡安全造成的經濟損失超過170億美元,在全球平均每20秒鐘就發生一次網上入侵事件。2000年的“2月黑客事件”中,世界著名的雅虎、亞馬遜、微軟等網絡遭黑客攻擊而幾乎全面癱瘓,直接經濟損失高達數十億美元。這些例子說明網絡信息安全已威脅到一個國家的政治、經濟、軍事、文化、意識形態等領域。因此,有必要對網絡環境下信息存在的安全隱患及防護做深入的研究和探討。
一、網絡信息安全中常見的隱患
網絡信息安全中常見的隱患有惡意攻擊、竊取機密攻擊、計算機病毒、非法訪問等四種。
惡意攻擊主要包括緩沖溢出攻擊、拒絕服務攻擊(Denial of Service,DoS)、分布式拒絕服務攻擊(Distributed Denial of Serivice,DDoS)、硬件設備破壞型攻擊、網頁篡改攻擊等。
竊取機密攻擊是指未經授權的攻擊者(黑客)非法訪問網絡、竊取信息。常見的形式有網絡踩點、協議棧指紋鑒別、信息流監視、會話劫持等。
計算機病毒是指為了某種目的而蓄意編制的計算機程序,它能在實際系統中生存、自我復制和傳播,并且給計算機系統造成嚴重的損壞。
非法訪問包括口令破解、IP欺騙、特洛伊木馬等。
二、網絡信息安全防護技術
網絡信息安全是一個非常關鍵而又復雜的問題,它涉及技術、管理等方面的安全措施和相應的政策法律。在這里僅從技術的角度來研究對信息安全的保護,包括身份認證、訪問控制、內容安全、審計和跟蹤、響應和恢復幾個部分。
1.網絡安全的訪問控制技術
訪問控制的主要任務是采取各種措施保證網絡信息系統不被非法使用和訪問。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網絡簽證等技術來實現。訪問控制所包括的典型技術有:防火墻、虛擬專用網(VPN)、授權管理基礎設施(PMI)等。
防火墻(firewall)是指設置在不同網絡或網絡安全域之間的一系列部件的組合,它是不同網絡或網絡安全域之間信息的惟一出入口。防火墻技術分為網絡層與應用層兩類,分別是包過濾防火墻與應用層網關。
虛擬專網(VPN)技術是采用密碼技術,使用IP隧道封裝加密數據,進行信息加密傳輸,保證信息完整,并結合網絡訪問控制技術,抵抗各種外來攻擊。在IP層實現了認證、數據加密、防止DOS攻擊、訪問控制以及審計等安全機制,從而使其成為安全可靠的網絡信息安全傳輸工具。
PMI(Privilege Management Infrastructure)是屬性機構、屬性證書、屬性證書注冊申請中心、屬性庫、策略庫等部件的集合體,用來實現權限和證書的產生、管理、存儲、分發和撤銷功能。PMI可以向應用系統提供對實體(人、服務器、程序等)的權限管理和授權服務,實現實體身份到應用權限的映射,提供與實際應用處理模式相應的、與具體應用系統開發和管理無關的授權和訪問控制機制,簡化具體應用系統的開發與維護。
2.網絡安全的身份認證技術
身份認證是對網絡中的主體和客體的身份進行驗證的過程,所包括的典型技術有:口令認證機制、公開密鑰基礎設施(PKI)強認證機制、基于生物特征的認證等。
口令認證,是最常用的一種認證方式。通常情況下,用戶先輸入某種標志信息,然后系統詢問用戶口令,如果口令相匹配,用戶即可進入系統訪問。
PKI認證,PKI(Public Key Infrastructure)技術是通過公鑰密碼體制中用戶私鑰的機密性來提供用戶身份的惟一性驗證,并通過數字證書的方式為每個合法用戶的公鑰提供一個合法性的證明,建立了用戶公鑰到證書ID號之間的惟一映射關系。PKI的認證是一種強認證機制,綜合采用了摘要算法、非對稱加密、對稱加密、數字簽名等技術很好地將安全性和高效性結合起來。這種認證方法目前廣泛應用在電子郵件、應用服務器訪問、客戶端認證、防火墻認證等領域。
基于生物特征的認證,是一項正處于研究開發階段的技術,常見的有指紋、聲音、視網膜或虹膜、手掌幾何學等。這種利用個人生理特征進行鑒別的方式具有很高的安全性。
3.網絡安全的內容安全技術
內容安全主要是直接保護系統中傳輸和存儲的數據。主要是通過對信息和內容本身進行變形和變換,或者對具體的內容進行檢查來實現。內容安全所包括的典型技術有:加密、防病毒、內容過濾等。
加密是信息安全領域的一種基本、實用且非常重要的技術。主要分為對稱加密、非對稱加密兩類。對稱加密使用單個密鑰對數據進行加密或解密,其特點是計算量小、加密效率高,但是此類算法在分布式系統上使用較為困難,主要是密鑰管理困難;非對稱加密算法也稱公開密鑰加密算法,其特點是有兩個密鑰(即公用密鑰和私有密鑰),只有二者搭配使用才能完成加密和解密的全過程。由于非對稱算法擁有兩個密鑰,它特別適用于分布式系統中的數據加密,因此在Internet中得到廣泛應用。在實際應用中,通常將對稱加密和非對稱加密結合起來,同時保證了加密的高效性(對稱密鑰的快速加密)和高強度性(公鑰的強加密)。
防病毒,病毒是一種進行自我復制、廣泛傳播、對計算機及其數據進行嚴重破壞的程序。由于病毒具有隱蔽性與隨機性的特點,使用戶防不勝防,因此,防范病毒必須建立多層的網絡級病毒防治系統,綜合運用預防病毒、檢測病毒和殺除病毒技術。
內容過濾,內容過濾就是采取適當的技術措施,對網絡上的不良信息進行過濾,既阻止不良信息對人們的侵害,又可以通過規范用戶的上網行為,提高工作效率,合理利用網絡資源。
4.網絡安全的審計和跟蹤技術
審計和跟蹤這種機制一般情況下并不干涉和直接影響主業務流程,而是通過對主業務進行記錄、檢查、監控等來完成以審計、完整性等要求為主的安全功能。審計和跟蹤所包括的典型技術有:入侵檢測系統(IDS)、漏洞掃描系統、安全審計系統等。
IDS,是作為防火墻的合理補充,能夠幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。入侵檢測是一種主動保護網絡和系統安全的技術,它從計算機系統或網絡中采集、分析數據,查看網絡或主機系統中是否有違反安全策略的行為和遭到攻擊的跡象,并采取適當的響應措施來阻擋攻擊,降低可能的損失。它能提供對內部攻擊、外部攻擊和誤操作的保護。入侵檢測系統可分為基于主機的入侵檢測系統和基于網絡的入侵檢測系統兩類。
漏洞掃描系統,是自動檢測網絡或主機安全漏洞的技術,通過執行一些腳本文件對系統進行攻擊并記錄它的反應,從而發現其中的漏洞并采取補救措施。不管攻擊者是從外部還是從內部攻擊某一網絡系統,攻擊機會來自已經知道的漏洞。對于系統管理員來說,漏洞掃描系統是最好的助手,它能夠主動發現系統的漏洞,及時修補漏洞。漏洞掃描系統分為網絡掃描系統、主機掃描系統和數據庫掃描系統三種。
安全審計,是對網絡或主機的活動軌跡進行記錄形成日志,并對日志進行審計,從而發現可疑行為。
響應和恢復,從過程上看,響應和恢復是對異常、故障、事故、入侵等事件發生后做出的反應,但從根本的實現上看,事前的準備才是該技術的關鍵。一般的數據備份策略有全備份、增量備份和差分備份三種。全備備份系統中所有的數據;增量備份只備份上次備份以后有變化的數據;而差分備份則備份上次完全備份以后有變化的數據。恢復措施在整個備份機制中占有相當重要的地位。恢復操作通常分為全盤恢復、個別文件恢復。
三、總結
網絡信息安全是一項復雜的長期性的系統工程。只有融合各種安全技術,構建綜合的動態網絡來最大化安全防護的效果;同時開展網絡信息安全和防范技術教育,從法律法規、管理、技術這三個層次上采取有效措施,加強防范,避免黑客人侵、信息被竊,以保證信息網絡的正常運行。
參考文獻:
[1]張小斌:黑客分析與防范技術[M].北京:清華大學出版社,1999
[2]周慧:網絡的信息安全技術[J].山東:煙臺教育學院學報,2003(3)
[3]宋玲呂立堅蔣華:基于PKI實現網絡通信安全性的研究[J].計算機工程與應用,2002(13)
【關鍵詞】 公安部門;計算機;信息網絡;安全管理
作為全國性大網,公安計算機信息網絡不斷完善和發展,形成了包括省廳、公安部、派出所等不同層次的網絡系統,對公安工作有非常大的幫助。然而由于網絡眾多的用戶和范圍過于大,給公安計算機網絡帶來了許多不穩定的因素,存在安全隱患,急需要加強研究及安全管理。
一、公安部門計算機信息網絡存在的安全問題
1、信息系統保密性差
應用軟件安全、數據庫安全及操作系統安全都屬于信息系統安全的范疇,應用軟件安全性低主要是指一些網上免費下載的軟件可能帶有病毒,使公安信息系統安全性不高;以ORACLE數據庫為主的公安業務信息系統,因為缺乏加密保護措施和身份認證體系,信息很容易被泄露,存在較大的安全問題;作為應用服務的一種公共平臺,操作系統的安全審計和訪問權限設置不完善,存在許多安全漏洞,導致公安部門操作軟件的系統安全性能低[1]。
2、網絡系統本身安全性較低
網絡通信設備安全及通信傳輸信道安全是網絡系統安全的主要內容,其中交換機和路由器等具有遠程訪問及維護功能的設備都屬于網絡通信設備,很可能被非法用戶操控。而網絡系統通信傳輸信道包括幀中繼、郵電專線及DDN等,也有少數是微波信道或自建光纖,這些傳輸信道普遍存在線路不穩定、中間環節多和質量較差的缺點,如果出現問題的話就需要占用大量時間進行檢測和維修,導致網絡不能正常工作[2]。對于通過電話撥號上網的地區,用戶越多越有利于非法用戶的攻擊,給公安計算機信息網絡帶來巨大的安全隱患。
3、管理能力較差
一些公安部門的網絡管理忽視日志審計的作用,加上管理能力較差,不能正確的檢測出運行故障,缺乏應變和處理問題的能力。面對“黑客”的攻擊,在無法檢測的情況下不能做到及時上報,使非法人員得不到應有懲治。
4、管理人員缺乏安全意識
管理人員應正確的認識到公安計算機信息網絡與互聯網有很大的關系,同樣存在安全問題,應加強管理。網絡中任何一個環節受到破壞都會影響整個公安網絡的正常運行,因此要加強自身的安全意識,將信息網絡的安全管理工作作為重心,避免非法人員的攻擊。此外還要對內部網絡進行完善和改進,及時的修補內部安全漏洞,從內、外部兩方面入手來進行安全管理工作。
二、加大安全管理的措施
1、加強信息系統的安全管理
網絡安全隔離、應用系統的安全管理以及數據安全管理都屬于信息安全管理的范圍。具體措施如下:一是網絡安全隔離。可以采取在網絡出入口設置防火墻的方式來達到隱蔽內部網絡、強化和集中控制安全措施以及對網上非法活動進行記錄的目的。其中將內部網絡屏蔽的操作是將地址進行轉換來實現內外網絡的隔離,從而確保內部網絡信息不會被外部用戶獲取;強化和集中控制安全措施主要是指通過復雜的安全管理策略來實現不同用戶對不同安全性的要求;而對網上非法活動進行記錄的過程能審計非法用戶的入侵并自動報警,維護了網絡系統的安全[3]。二是應用系統的安全管理。首先,要保證數據庫系統結構的完整和安全,可以通過對重要數據的讀取和保存過程進行解密及加密等密碼機制來強化軟件系統的管理,配備專門的網絡信息管理人員進行操作,規范軟件應用的范圍和相關條例;其次,在應用網上下載軟件前必須進行檢測,防止病毒入侵;最后,對于安全性能強的操作系統時要做到審核用戶的訪問權限,記錄操作內容和流程。三是數據安全管理。利用計算機安全產品對數據進行安全管理,參考密級評判標準來決定信息是否傳到網上,從根本上提高數據的安全性。
2、加強網絡系統的安全管理
網絡設備和網絡信道的安全管理是保障網絡系統安全的基礎,可以通過以下幾種措施來實現:一是嚴格管理遠程訪問和維護功能。一方面要在信息中心設置統一的遠程撥號入口,逐漸減少入口的數量,加強對賬號的管理,通過回撥認證等服務系統的方式來完成一個賬號只能由一人登錄的身份認證,避免非公安人員隨意登錄的現象發生;另一方面加強遠程維護的抗破解性能,采取設置安全性高的密碼來強化安全管理工作,提高網絡的安全性[4]。二是通過鏈路層連接認證的方式完成網絡設備的互聯。因為網絡中存在一些虛假的設備,因此可以設置PPP協議認證來確保互聯設備的安全性。其三,線路加密。在網絡信道的線路上配備能夠進行抗流量分析及對數據進行保密的加密設備,這樣能使數據更加完整,不易受到外界入侵。其四,由公安部門自建信道。由于租用信道存在線路不穩定和質量較差的弊端,可以利用保密性強、質量保證和抗干擾能力強的光纖線路自建信道,從而提高網絡傳輸的安全性能[5]。
3、完善行政管理制度
有效的技術是保障信息網絡安全的一方面,另一方面還要加強行政管理和保障機制,通過規范的管理制度不僅可以避免外部非法人員的入侵,還能防止內部人為破壞,完善的行政管理制度對公安計算機信息網絡的安全管理具有重要意義。
(1)對信息管理及網絡運行設置嚴格的規章管理制度。公安機關可以通過嚴格的規章制度來規范信息的管理和網絡的運行,這樣不僅方便管理,還能提高信息網絡的安全性,具體可以采取加強指導、強化監督和明確管理條例的方法來加強信息網絡安全管理工作。
(2)培養專業的安全管理人員。由于公安計算機信息網絡的特殊性和重要性,對安全管理人員的要求也較高,其中信息管理員必須做到對信息系統的運行進行定期的檢測,嚴格的審核網絡信息的安全保密性,針對網絡安全的現狀提出意見和改進方案,網絡安全員除了要定期檢測網絡和分析網絡安全性能外,還要對管理工作進行設計和規劃[6]。公安機關必須加強對管理人員能力和專業素質的培養,建立一個專業的安全管理團隊來維護信息和網絡的安全。
(3)創建信息網絡管理部門。通過創建信息網絡管理部門來對公安計算機信息網絡的安全進行專門的管理,其工作內容主要有:第一,管理應用系統的安全。在保證應用系統正常工作的基礎上,定期維護系統的安全和用戶授權工作。第二,監測和安全管理。監控網絡的運行狀況,及時發現和處理網絡漏洞,預防和終止非法人員的破壞,此外合理的配置網絡系統設備,使信息網絡更加安全可靠。第三,管理密鑰及認證中心。對網絡密鑰、密碼的計算以及網絡系統設備的管理做到規范,統一發放警察及服務器的認證證書。
三、結語
公安計算機信息網絡作為公安信息化工作中一個重要部分,許多公安機關通過加大網絡安全管理的投入資金來提高信息網絡系統的安全保密性,可以看出信息網絡的安全管理工作已經成為目前的工作重心。公安部門可以通過有效的技術和行政管理制度來強化信息網絡的安全管理工作,從根本上加強管理人員的安全管理意識,認識到網絡安全的重要性,配備必要的信息網絡安全管理人員,建立專門的信息網絡管理機構等措施來提高公安計算機信息網絡的安全管理水平。
【參考文獻】
[1] 王偉.公安計算機信息網絡的安全與管理[J].警察技術,2011(04).
[2] 梁光晨.計算機信息網絡安全管理法立法芻議[J].成都行政學院學報(哲學社會科學),2009(06).
[3] 田瑞峰,滕旭.公安基層計算機信息網絡安全工程建設.警察技術,2010(03).
[4] 楊震.全市公安信息網絡安全管理工作的現狀和下一步工作對策[J].泰州科技,2012(01).
[5] 公安專網系統安全解決方案[J].計算機安全,2011(03).
[6] 熊松韞,張志平.構建網絡信息的安全防護體系[J].情報學報,2009(01).
【作者簡介】
