時間:2022-04-17 23:42:45
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全防范,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
關(guān)鍵詞:信息安全 防范意識 調(diào)查 個人信息防護
安全意識指通過改變組織或機構(gòu)的觀點,讓他們意識到安全的重要性和沒有保證安全所帶來的不利后果,并建立培訓(xùn)階段和提醒后繼者。安全意識的提升使用戶在日常工作中首先想到的就是防護信息的安全,在控制和處理信息的員工之中慢慢地灌輸責(zé)任感和目標意識,并引導(dǎo)員工更關(guān)心他們的工作環(huán)境。
1.個人信息安全防范意識
伴隨互聯(lián)網(wǎng)的發(fā)展,社交網(wǎng)站大量涌現(xiàn),論壇花樣日益翻新,人們在享受網(wǎng)上沖浪帶來的方便的同時也越來越多的被要求填寫復(fù)雜而詳盡的注冊信息。網(wǎng)絡(luò)實名制的呼聲也越來越高,在情況日益復(fù)雜多變的今天,人們對網(wǎng)上個人信息安全性的認識卻沒有隨之提高。
調(diào)研數(shù)據(jù)顯示,83.7%的經(jīng)常上網(wǎng)的人群即使擔(dān)心個人信息泄露還是會選擇在網(wǎng)上如實的填寫自己的注冊資料,較2010年的78.2%有所提高。但和前一年相比,2011年網(wǎng)民對網(wǎng)上填寫身份資料的信任呈現(xiàn)大幅下降的趨勢,絕大部分的上網(wǎng)群體會擔(dān)心個人資料被他人竊取,比上一年提高大約11個百分點。這種情況的出現(xiàn)部分是因為:當(dāng)前社交、門戶網(wǎng)站、論壇等在注冊時都需要填寫個人的真實身份,網(wǎng)民大多將自己的身份證號、姓名、常用移動通信方式等提交到網(wǎng)站,這就是個人信息極易被查到;目前網(wǎng)絡(luò)安全技術(shù)設(shè)備的普及速度較慢,安全軟件非常容易被規(guī)避,黑客技術(shù)的發(fā)展都對整個互聯(lián)網(wǎng)的安全提出了較高挑戰(zhàn)。
數(shù)據(jù)顯示,隨著年齡的增長,閱歷的增加,年齡越大的人越謹慎。在網(wǎng)上進行瀏覽、注冊時,往往采取比年輕人更謹慎的態(tài)度。各個不同的人群對網(wǎng)絡(luò)信息公開有著截然不同的看法(見表1)。從下表1中可以看出,50歲以上的人群對非常擔(dān)心網(wǎng)絡(luò)安全,對互聯(lián)網(wǎng)的信任度最低,絕不因為需要注冊等原因在網(wǎng)絡(luò)上填寫或者透露自己的個人信息;而41-49歲年齡段的網(wǎng)民由于社交、工作日常聯(lián)絡(luò)大多通過網(wǎng)絡(luò)進行,認為非常有必要在網(wǎng)上填寫個人信息。即使對網(wǎng)絡(luò)非法盜取個人信息非常警惕,也會有選擇性的填寫個人真實情況。30歲以下年輕人群信息安全防護意識最低,最容易被不法分子竊取到個人信息。最容易成為受害人群。
從職業(yè)的角度看,農(nóng)民群體認為互聯(lián)網(wǎng)最不安全,但同時有最缺乏預(yù)防措施,對潛在危險不知道如何處理也使得農(nóng)民群體成為信息泄露的高危人群。這些都是由于農(nóng)民知識結(jié)構(gòu)不完善造成的。結(jié)合年齡及職業(yè)的特點分析,我們可以得到這樣的結(jié)論:人生閱歷的增加,年齡越大的人越謹慎,對信息安全的警惕性越高,在面對互聯(lián)網(wǎng)時會采取更保守的方式。但與此不同的是,年輕人會采取更開放的方式和態(tài)度處理同樣的問題。另外,職業(yè)習(xí)慣也成為影響人們互聯(lián)網(wǎng)態(tài)度的一個因素。工作環(huán)境的不同也影響著人們對待網(wǎng)絡(luò)的方式。開放的工作環(huán)境往往讓人們采取更開放的態(tài)度,反之亦然。
2.個人計算機安全防范意識
2011年,中國互聯(lián)網(wǎng)安全有史以來的最大的個人信息泄漏事件,超過有1億人的個人信息被泄露。類似事件的發(fā)生,給依賴于網(wǎng)絡(luò)工作和生活的人們造成了極大的安全隱患。同時,類似時間的發(fā)生也不斷地給人們敲響了警鐘,作為單獨的個體我們應(yīng)該如何對個人的信息安全進行防范引起了人們越來越多的思考。目前,個人信息安全的防護手段層出不窮。眾多的信息安全產(chǎn)品給我們提供了眾多選擇。市面上幾十種殺毒軟件及安全防護產(chǎn)品讓人眼花繚亂。他們大多標榜功能齊全,殺毒防護能力強大。然而并不是所有人都知道他們之間的區(qū)別。人們大多通過電視廣告、專業(yè)網(wǎng)站評測來選擇自己信賴的產(chǎn)品。但是個人信息安全防護產(chǎn)品統(tǒng)一標準規(guī)范的缺乏讓互聯(lián)網(wǎng)安全產(chǎn)品亂象叢生。
3.加強信息安全意識
好的安全意識提升項目應(yīng)該是管理者以身作則,簡單易懂并且為之付出持續(xù)努力。安全意識策略的本質(zhì)是:安全意識針對不同的對象能夠呈現(xiàn)出不同的形式。管理者適當(dāng)?shù)陌踩庾R能夠在建立組織安全觀念時起到關(guān)鍵的作用。其他如系統(tǒng)程序員或者信息分析家的安全意識,一定要稱職,因為這和他們的工作相關(guān)。在今天的系統(tǒng)環(huán)境中,幾乎每個成員都可能接觸系統(tǒng)資源,因此造成潛在的危害。
一個安全意識提升項目可使用很多方法宣傳它的理念,包括錄像帶、通信、廣告畫、布告牌、基本情況介紹會、交談或者演講。安全意識經(jīng)常被包含進基礎(chǔ)安全培訓(xùn)并且能使用多種方法來改變員工的態(tài)度。有效的安全意識項目需要不斷改進,例如,一幅安全廣告畫,不管設(shè)計得如何,早晚都將被忽視,因此,意識策略應(yīng)該有創(chuàng)造性并且被經(jīng)常改變。許多安全意識用較低的成本就可以獲得,除了時間和精力之外,并不花費資金,安全意識表現(xiàn)手法包括多種,例如安全通信,是傳播安全信息和消息的最為廉價的方法。安全通信能夠使用紙質(zhì)文件、電子郵件或者在內(nèi)部網(wǎng)上發(fā)送。一些公司可能選擇創(chuàng)建一個連接用戶的HTML站點和電子郵件信箱,而不是傳送紙質(zhì)文件或者傳送附件。一套安全廣告畫系列是讓人們在頭腦中保持安全意識的一種簡單而廉價的方式。專業(yè)制作安全廣告畫可能十分昂貴,內(nèi)部制作可能是最好的解決方案。信息安全意識站點,建立致力于促進信息安全意識的網(wǎng)頁或者網(wǎng)站,如Kennesaw州立大學(xué)的網(wǎng)站infosec.Kennesaw.edu。這種方法的困難在于不斷地更新信息以保證它們的實時性。
信息安全產(chǎn)品多種多樣,信息竊取手段也花樣翻新。信息安全最主要還是要依靠大家提高對信息資源的防護意識,在日常的工作生活中切實做到時時刻刻保持高度警惕。不給信息竊取者以可乘之機。只有人人提高意識,才能真正的創(chuàng)造一個安全和諧的網(wǎng)絡(luò)環(huán)境。讓互聯(lián)網(wǎng)更好的為人們所用。
1.1加強服務(wù)器的安全服務(wù)和異地定時備份工作
服務(wù)器作為網(wǎng)絡(luò)中心的根本,其重要性是無可替代的。一旦出現(xiàn)問題,整個業(yè)務(wù)將全面崩潰,所以服務(wù)器必須充分考慮其可靠性,并且向本地共享存儲實時寫入數(shù)據(jù),確保數(shù)據(jù)的全面、一致和統(tǒng)一。不管是傳統(tǒng)的雙機熱備,還是當(dāng)前的虛擬云服務(wù)方式等,其目的都是當(dāng)主服務(wù)器出現(xiàn)故障時,快速切換到備服務(wù)器上運行,以保證各業(yè)務(wù)系統(tǒng)24h不間斷工作。此外,為確保數(shù)據(jù)萬無一失,每天一般每隔2h左右,利用程序?qū)W(wǎng)絡(luò)信息數(shù)據(jù)庫進行備份,定時上傳到異地存儲器中。
1.2合理設(shè)置數(shù)據(jù)庫的權(quán)限
數(shù)據(jù)庫的權(quán)限應(yīng)該嚴格控制。在實際工作當(dāng)中,如果數(shù)據(jù)庫權(quán)限不明確,或者流出,就很有可能被網(wǎng)絡(luò)黑客、非法人員鉆空子,從而進入客戶端,盜用、篡改數(shù)據(jù)。給醫(yī)院網(wǎng)絡(luò)信息安全造成了嚴重的威脅。很多醫(yī)院在網(wǎng)絡(luò)信息系統(tǒng)中,設(shè)置兩級登陸保障系統(tǒng),嚴格確保數(shù)據(jù)庫登陸權(quán)限的安全性。一般,為了嚴格數(shù)據(jù)庫的保存系統(tǒng),將數(shù)據(jù)庫分為管理與用戶登陸兩個系統(tǒng)。具體為:首先打開程序,在公用信息狀態(tài)下進入數(shù)據(jù)權(quán)限管理中,然后通過權(quán)限的加密信心進入賬戶、密碼登陸的渠道,之后在程序的自動運行中,進入整個用戶數(shù)據(jù)庫當(dāng)中。這樣做能使得黑客進入系統(tǒng)中,無法得到登陸的賬戶與密碼。另外,對用戶的信息實行加密,即便黑客可以進入系統(tǒng)權(quán)限當(dāng)中,由于沒有客戶的密碼,也不能對客戶信息進行修改。最后,定期對這些密碼進行修改,重設(shè),使醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)管理更加安全、可靠。設(shè)置密碼的時候,不能太過簡單,一般字符在8位以上,應(yīng)該包含數(shù)字、特殊字符。在數(shù)據(jù)庫管理中,管理人員可以對常用的和不常用的數(shù)據(jù)進行有效的設(shè)置,將不常用的數(shù)據(jù)隱藏起來,只顯示出正常登陸的用戶以及管理員登陸的賬戶。在密碼管理中,應(yīng)該注意的問題是,系統(tǒng)管理員的密碼也應(yīng)該定期修改、更換,時間一般為三個月之內(nèi)。管理員的賬戶密碼也不能設(shè)置的太簡單,必須同時具備數(shù)字、特殊字符。
1.3加強工作站的保密工作
在醫(yī)院工作站中,不要求配備光驅(qū)、軟驅(qū)等設(shè)備。另外,醫(yī)生如果達不到權(quán)限,不允許利用移動硬盤、U盤等設(shè)備。這樣做有兩個方面的好處。
①這些設(shè)備有可能存在病毒風(fēng)險,在操作中很有可能引起系統(tǒng)的感染,所以醫(yī)院工作站禁止配備這些設(shè)備,能夠有效的防治、避免引起系統(tǒng)信息的損害,保證其安全、穩(wěn)定。
②防治工作人員在操作中,利用移動設(shè)備對信息進行復(fù)制、拷貝,從而造成信息資源的外泄。在醫(yī)院網(wǎng)絡(luò)信息管理系統(tǒng)中,要求每個工作站的人員設(shè)置兩個用戶名。這兩個用戶名的權(quán)限不同,一個權(quán)限低,一個權(quán)限高。對于全院的普通醫(yī)護工作人員,一般使用權(quán)限低的用戶名進行登陸。在醫(yī)院信息科中,單獨設(shè)置權(quán)限高的超級用戶,對醫(yī)院網(wǎng)絡(luò)信息進行管理、維護。對用戶名進行分開設(shè)置的好處是:使醫(yī)院網(wǎng)絡(luò)信息管理更加方便、快捷,與此同時,又能提高信息的安全穩(wěn)定性能。
1.4加強病毒防護
在計算機中安裝防火墻以及殺毒軟件,能有效的加強病毒的防護。在醫(yī)院網(wǎng)絡(luò)系統(tǒng)管理中,一般選擇服務(wù)器能夠集中管理,客戶端自動安裝、一次升級的殺毒軟件。這種軟件的好處是:病毒特征自動進入到工作站,方便管理人員控制。安裝殺毒軟件時,在安裝成功以及后期的升級中,一般會要求系統(tǒng)重啟,在這種情況下,應(yīng)該把控制中心安裝在別的服務(wù)器上,而不能安裝在數(shù)據(jù)服務(wù)器中。當(dāng)內(nèi)網(wǎng)防病毒升級時,臨時接入外網(wǎng),升級之后再接入內(nèi)網(wǎng),整個過程花費的時間不到一分鐘,最快的只需要幾秒就可以完成。因為升級的時間很短,加上內(nèi)、外網(wǎng)并沒有真實的連接,所以整個操作是安全的,外網(wǎng)防病毒服務(wù)器也能夠進行直接升級。
1.5加強信息管理人員的培訓(xùn)
由于醫(yī)院信息管理中,管理人員的素質(zhì)、信息安全意識不強,加大了醫(yī)院網(wǎng)絡(luò)信息的不安全因素,給醫(yī)院網(wǎng)絡(luò)信息造成了很大的損失。而且,這部分人為因素在很多醫(yī)院的管理中得不到重視,在工作中的負面影響越來越大。所以,針對這種問題,應(yīng)該加強相關(guān)信息管理人員的培訓(xùn),提高其信息管理的安全意識,以及各種信息管理的技術(shù),增強其業(yè)務(wù)能力,并不斷加強其計算機網(wǎng)絡(luò)系統(tǒng)知識,不斷提高信息管理的水平。在培訓(xùn)結(jié)束之后,采取相應(yīng)的考核,加強其技術(shù)能力的培養(yǎng)。
1.6建立安全責(zé)任體制
在醫(yī)院信息管理系統(tǒng)中,建立有效的責(zé)任機制,提高管理人員的責(zé)任意識和主觀能動性。在具體的信息管理中,進行分塊管理,分人管理。在日常管理中,如果出現(xiàn)人為操作不規(guī)范、疏忽等,造成網(wǎng)絡(luò)信息泄露,引起經(jīng)濟損失等,按照具體的規(guī)定,落實到責(zé)任人,對其進行教育,嚴重的還要進行處罰,以引起警戒。對工作成績比較突出、認真負責(zé)人的管理人員,適當(dāng)?shù)慕o予表揚、獎勵,提高工作的積極性,為醫(yī)院網(wǎng)絡(luò)信息管理做出更大的貢獻。另外,在年度員工總結(jié)中,可以根據(jù)平時的考核,信息管理績效納入其中,績效考核成績高的員工頒發(fā)年終獎金,以資鼓勵。對績效考核差的員工,可以少發(fā)、甚至不發(fā)年終獎。通過日常管理與年終考核相結(jié)合的方式,能夠有效的提高員工的綜合素質(zhì),加強醫(yī)院網(wǎng)絡(luò)信息人為管理的質(zhì)量。
2結(jié)束語
一、生機與準危機中的檢察信息系統(tǒng)
我國檢察機關(guān)
的信息化建設(shè)從2000年起步至今,經(jīng)歷了由點及面,由弱漸強的發(fā)展階段,并在全國范圍內(nèi)初步形成了較為系統(tǒng)的信息一體化網(wǎng)絡(luò)。隨著“科技強檢”進程的逐步深入,檢察人的傳統(tǒng)思維和工作模式勢必會經(jīng)歷前所未有的變化。也正是在這種網(wǎng)絡(luò)化日盛的趨勢下,檢察機關(guān)的信息化建設(shè)成為了檢察事業(yè)發(fā)展的重要課題。
1、檢察信息網(wǎng)絡(luò)建設(shè)的現(xiàn)狀
按照高檢院“213”工程和全國檢察機關(guān)信息化建設(shè)工作“統(tǒng)一規(guī)劃、統(tǒng)一技術(shù)、統(tǒng)一規(guī)范、統(tǒng)一應(yīng)用軟件和統(tǒng)一歸口管理”的原則,目前全國省市級檢察機關(guān)的二級專線網(wǎng)絡(luò)已經(jīng)逐步進入應(yīng)用階段,市級院與省級院以及省級院與高檢院之間的專線電話、視頻會議和計算機數(shù)據(jù)傳輸?shù)摹叭W(wǎng)合一” 也基本能夠?qū)崿F(xiàn),而且一些技術(shù)較為先進的地區(qū)也率先完成了三級專線網(wǎng)絡(luò)的搭建。部分基層檢察院的內(nèi)部局域網(wǎng)絡(luò)已經(jīng)能夠?qū)z察業(yè)務(wù)、辦公事務(wù)、綜合業(yè)務(wù)和全面檢索等應(yīng)用系統(tǒng)運用于實際的檢察工作中,同時依靠較為成型的網(wǎng)絡(luò)系統(tǒng),并輔之以充足的數(shù)據(jù)庫資源,保證了上下級院之間直接的視頻、數(shù)據(jù)、語音的傳輸,并基本滿足了與其他兄弟院之間進行廣泛數(shù)據(jù)交換的互聯(lián)要求。
2、檢察信息系統(tǒng)的應(yīng)用狀況與面臨的困惑
檢察信息系統(tǒng)是檢察業(yè)務(wù)工作同以計算機技術(shù)為核心的信息技術(shù)相結(jié)合的產(chǎn)物,是管理科學(xué)與系統(tǒng)科學(xué)在檢察業(yè)務(wù)實踐中的具體應(yīng)用。檢察信息化水平的高低是判斷檢察工作的重要標尺。目前在我國,檢察機關(guān)已不同程度地將計算機作為辦公、辦案的必要輔助工具,檢察人員的計算機應(yīng)用能力較之幾年前有了相當(dāng)程度的提高,檢察業(yè)務(wù)軟件、網(wǎng)絡(luò)辦公軟件以及其他的輔助處理軟件也普遍地應(yīng)用于日常的工作之中。同時,相當(dāng)一部分檢察院已經(jīng)開通了網(wǎng)站,并通過這一媒介,信息、收集反饋,形成了具有自身特色的網(wǎng)絡(luò)工作平臺。可以說,檢察信息化的不斷普及為全面建設(shè)和完善檢察信息系統(tǒng)提供良好的契機,同時也奠定了應(yīng)用與發(fā)展的必要基礎(chǔ)。
當(dāng)然,在肯定成績的同時,我們也應(yīng)清醒地認識到現(xiàn)階段檢察信息化建設(shè)中存在的諸多不足。首先,目前我國檢察機關(guān)信息化建設(shè)還處于剛剛起步階段,網(wǎng)絡(luò)應(yīng)用水平普遍不高,絕大多數(shù)的應(yīng)用還僅局限于檢察業(yè)務(wù)的某些小的領(lǐng)域,單項應(yīng)用較為普遍,大而全、廣而深的應(yīng)用體系尚未成型。其次,檢察信息技術(shù)主要仍以平民技術(shù)為主,專業(yè)化、職業(yè)化的應(yīng)用并不理想,在缺乏相關(guān)專業(yè)人才的情勢下,技術(shù)水平較為幼稚,系統(tǒng)的標準化、通用性和易用性都還處于較低的層面。再則,目前檢察機關(guān)網(wǎng)絡(luò)信息化建設(shè)與檢察業(yè)務(wù)實際存在明顯的脫節(jié),檢察業(yè)務(wù)軟件的開發(fā)與維護還有許多不盡如人意之處,檢察信息系統(tǒng)的網(wǎng)絡(luò)互連效果以及安全保密功能還有待進一步加強。
客觀地講,當(dāng)前的檢察信息系統(tǒng)仍處于探索和成型階段。做個不形象的比喻,如果將未來成熟的檢察信息系統(tǒng)擬制為一個健康的成年個體的話,目前的檢察信息網(wǎng)絡(luò)則像一個處在哺乳期的嬰兒,四肢俱全,生機無限,但未脫襁褓,需要給予更多的關(guān)注。
二、流行在檢察信息系統(tǒng)中的sars――網(wǎng)絡(luò)不安全因素。
網(wǎng)絡(luò)中的不安全因素,之所以稱其為sars,并非危言聳聽。在當(dāng)前的檢察信息網(wǎng)絡(luò)中,存在著種種高危的“致病”因素。這些因素往往顯見的或潛在的、習(xí)慣的或不經(jīng)意的影響著檢察信息系統(tǒng)的穩(wěn)定和安全。
1、病毒入侵與黑客攻擊
網(wǎng)絡(luò)病毒的入侵、感染與黑客的惡意攻擊、破壞是影響當(dāng)前檢察信息網(wǎng)絡(luò)安全的主要因素。目前,全球發(fā)現(xiàn)的病毒數(shù)以萬計,并以每天十種以上的速度增長,可以說每時每刻網(wǎng)絡(luò)都在經(jīng)受著新的病毒或其變種的沖擊。通過網(wǎng)絡(luò)渠道傳播的蠕蟲病毒、木馬程序以及腳本病毒,不管從傳播速度、破壞性還是波及范圍都讓人不可小視。
而對于網(wǎng)絡(luò)系統(tǒng)而言,黑客攻擊較之病毒威脅則更加讓人防不勝防。互聯(lián)網(wǎng)20多萬個黑客網(wǎng)站上,提供了大量的黑客技術(shù)資料,詳細地介紹了黑客的攻擊方法,并提供免費的攻擊軟件。在網(wǎng)絡(luò)立法十分匱乏、跟蹤防范手段有限的今天,面對網(wǎng)絡(luò)黑客針對操作系統(tǒng)以及應(yīng)用軟件漏洞的頻繁地、具有隱蔽性的攻擊,我們所要承受的威脅往往是毀滅性的。
2、網(wǎng)絡(luò)硬件、軟件方面存在的缺陷與漏洞
在軟件
方面,由于網(wǎng)絡(luò)的基礎(chǔ)協(xié)議tcp/ip本身缺乏相應(yīng)的安全機制,所以基與此存在的任何網(wǎng)絡(luò)都無法擺脫不安全因素的困擾。而目前
廣泛運行在檢察網(wǎng)絡(luò)中的微軟windows操作系統(tǒng)更是破綻百出,由于默認的情況下系統(tǒng)開放了絕大多數(shù)的端口,所以使得監(jiān)聽和攻擊變得輕而易舉、防不勝防。再加之相當(dāng)數(shù)量的辦公軟件與網(wǎng)絡(luò)軟件自身開發(fā)的局限性,存在著這樣或那樣的bug,同時軟件的后期服務(wù)又不可避免具有滯后性,所以形容當(dāng)前的網(wǎng)絡(luò)“風(fēng)雨飄搖”一點也不為過。
3、使用人員的不良習(xí)慣與非法操作
如果將以上兩點看作是病源和病毒的話,那么人的因素可能就要算作是將二者緊密結(jié)合,產(chǎn)生巨大破壞作用的主要媒介了。客觀的講,目前檢察機關(guān)的網(wǎng)絡(luò)操作水平仍處在相對較低的水平,網(wǎng)絡(luò)使用者中普遍存在著操作不規(guī)范和軟件盲目應(yīng)用的現(xiàn)象。相當(dāng)一部分檢察網(wǎng)絡(luò)用戶對于網(wǎng)絡(luò)存儲介質(zhì)的使用缺乏安全和保密意識,對硬件的維護缺少必要的常識,帶來涉密數(shù)據(jù)在存儲與傳遞環(huán)節(jié)不必要的隱患。同時,由于操作熟練程度的原因,網(wǎng)絡(luò)中的誤操作率相對較高,系統(tǒng)宕機的情況時有發(fā)生,一方面造成了網(wǎng)絡(luò)資源的浪費,另一方面也給本地數(shù)據(jù)帶來了一定的危險。
此外,由于檢察機關(guān)的業(yè)務(wù)工作與實際應(yīng)用的需要,所以局域網(wǎng)用戶的權(quán)限相對較高,使用者的操作空間相對較大。部分具有較高計算機水平的用戶,會利用授權(quán)非法地進行系統(tǒng)設(shè)置或通過黑客軟件的幫助突破權(quán)限獲取其他用戶信息乃至涉密信息。這些惡意行為的出現(xiàn),不僅擾亂了網(wǎng)絡(luò)內(nèi)部的正常秩序,同時也為更多“偷窺者”大開方便之門。
4、網(wǎng)絡(luò)管理與相關(guān)制度的不足
網(wǎng)絡(luò)信息系統(tǒng)三分靠建,七分靠管。嚴格的管理與健全的制度是保障檢察信息系統(tǒng)安全的主要手段。但是事實上,目前各級檢察機關(guān)的信息系統(tǒng)并沒有建立起較為健全、完善的管理制度,網(wǎng)絡(luò)管理缺乏嚴格的標準,大多數(shù)檢察機關(guān)仍采取較為粗獷的管理模式。主要表現(xiàn)在:
第一,網(wǎng)絡(luò)管理僅僅作為后勤保障工作的一部分,缺乏必要的領(lǐng)導(dǎo)機制,重視程度有待進一步加強。
第二,網(wǎng)絡(luò)管理人員充當(dāng)“消防員”,以“排險”代“管理”,缺乏全民“防火意識”,干警的信息安全責(zé)任感亟待提高。
第三,網(wǎng)絡(luò)管理缺乏必要的程序性規(guī)則,在遇到突發(fā)事件時,往往容易造成網(wǎng)絡(luò)系統(tǒng)的內(nèi)部混亂。
第四,網(wǎng)絡(luò)信息收集、整理工作不夠細致,網(wǎng)絡(luò)內(nèi)部機器的跟蹤機制還不盡如人意。在用戶應(yīng)用相對隨意性的條件下,往往出現(xiàn)“用而不管,管卻不能”的尷尬局面。
第五,與安全級別相適應(yīng)的網(wǎng)絡(luò)安全責(zé)任制度還沒有完全建立,使用者的網(wǎng)絡(luò)操作安全風(fēng)險沒有明確的承擔(dān)主體,所以使用中缺少必要的注意。網(wǎng)絡(luò)管理在“使用免責(zé)”的情況下,很難形成安全防護的有效底線。
三、構(gòu)想中的檢察信息系統(tǒng)安全防范體系
針對以上問題,筆者認為,要建立、健全檢察信息系統(tǒng)的安全防護體系首先需要從檢察機關(guān)信息安全性的要求出發(fā),充分結(jié)合當(dāng)前檢察信息網(wǎng)絡(luò)的建設(shè)現(xiàn)狀,從整體上把握,重規(guī)劃,抓落實。其次,要摒棄一勞永逸的短期行為,在網(wǎng)絡(luò)項目投入、網(wǎng)絡(luò)設(shè)施建設(shè)上做好長期的規(guī)劃,同時應(yīng)具有適當(dāng)?shù)某靶裕瑥臋z察信息化長遠的發(fā)展趨勢著眼,保持投入的連續(xù)性,積極追求網(wǎng)絡(luò)效能的最大化。其次,在信息化建設(shè)的過程中,檢察機關(guān)還應(yīng)充分重視制度化的建設(shè),形成較為完善的保障體系,使得網(wǎng)絡(luò)的運行與管理能夠在正確的軌道上持續(xù)發(fā)展。當(dāng)然,強調(diào)整體規(guī)劃與設(shè)計的同時,我們還應(yīng)認真做好網(wǎng)絡(luò)應(yīng)用技術(shù)的普及與網(wǎng)絡(luò)安全意識的培養(yǎng)工作,將檢察信息系統(tǒng)中源于技術(shù)局限以及使用者主觀因素而產(chǎn)生的種種隱患和損失降到最低程度。
基于上述幾點構(gòu)想,下面筆者將從實際的應(yīng)用出發(fā),對檢察信息安全防范體系的具體實現(xiàn),作細化論述:
第一,做好檢察信息系統(tǒng)整體的安全評估與規(guī)劃,為安全防范體系的構(gòu)建奠定基礎(chǔ)。
檢察機關(guān)的網(wǎng)絡(luò)信息化建設(shè)有別于其他應(yīng)用網(wǎng)絡(luò)的一個顯著特征就是對于安全性有著更為嚴格的要求。在構(gòu)造安全防范體系的過程中,我們需要全面地了解自身網(wǎng)絡(luò)可能會面臨怎樣的安全狀況,這就使得我們不得不對譬如網(wǎng)絡(luò)會受到那些攻擊,網(wǎng)絡(luò)系統(tǒng)內(nèi)部的數(shù)據(jù)安全級別是何等級,網(wǎng)絡(luò)遭遇突發(fā)性安全問題時應(yīng)如何反應(yīng),局域網(wǎng)絡(luò)內(nèi)部的域應(yīng)怎樣設(shè)定,用戶的權(quán)限應(yīng)給予哪些控制等問題進行初步地認定和判斷。通過進行安全評估,確定相應(yīng)的安全建設(shè)規(guī)劃。
當(dāng)然,在加大投入的同時,也應(yīng)當(dāng)正確處理安全成本與網(wǎng)絡(luò)效能之間的辯證關(guān)系,切忌將安全問題絕對化,不能讓安全設(shè)備和手段的使用降低網(wǎng)絡(luò)應(yīng)用的實際效果,尋求可用行與可靠性的平衡點。在安全建設(shè)中要注重網(wǎng)絡(luò)安全的整體效果,盡量運用較為成熟、穩(wěn)定的軟、硬件及技術(shù),同時,針對目前檢察網(wǎng)絡(luò)所采用的微軟系統(tǒng)平臺,借助于win2000操作系統(tǒng)的域控制功能,對網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)進行劃分、管理,從而既滿足了對內(nèi)部用戶的管理要求,同時又在雙向信任關(guān)系的域-森林結(jié)構(gòu)中實現(xiàn)同級、上下級院之間的安全信息交流。
第二,加強網(wǎng)絡(luò)安全組織、管理的制度化建設(shè),從制度的層面構(gòu)造安全防范體系。
健全檢察機關(guān)網(wǎng)絡(luò)安全管理的關(guān)鍵在于將其上升到制度的層面,以制度化促進管理的規(guī)范化。網(wǎng)絡(luò)安全管理的制度化建設(shè)需要做好兩方面的工作,首先要建立明確的安全管理組織體系,設(shè)置相應(yīng)的領(lǐng)導(dǎo)機構(gòu),機構(gòu)以院主管領(lǐng)導(dǎo)、技術(shù)部門領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員、網(wǎng)絡(luò)安全聯(lián)絡(luò)員組成,全面負責(zé)局域網(wǎng)的日常維護、管理工作。網(wǎng)絡(luò)安全聯(lián)絡(luò)員由各科室選定,負責(zé)本部門網(wǎng)絡(luò)應(yīng)用過程中的信息上報和反饋工作。網(wǎng)絡(luò)管理領(lǐng)導(dǎo)小組可以根據(jù)全院的實際情況,協(xié)調(diào)管理人員進行及時的維護,這樣不僅有利于人員分工、整合,同時也保證了網(wǎng)絡(luò)管理的有序進行。其次,要加快網(wǎng)絡(luò)安全管理的規(guī)范性章程的制定,將網(wǎng)絡(luò)管理的各項工作以制度化的形式確定下來。具體來講,要盡快形成信息系統(tǒng)重要場所、設(shè)施的安全管理制度,例如服務(wù)器機房的管理制度;要盡快制定網(wǎng)絡(luò)安全操作的管理制度,尤其是網(wǎng)絡(luò)用戶的軟件使用與技術(shù)應(yīng)用的規(guī)范化標準;同時,也要進一步研究網(wǎng)絡(luò)遭遇突發(fā)事件時的安全策略,形成網(wǎng)絡(luò)安全的應(yīng)急保障制度,并針對網(wǎng)絡(luò)安全責(zé)任
事故進行制度化約束,追究責(zé)任人的主觀過錯。
當(dāng)然,制度化建設(shè)應(yīng)當(dāng)包含檢察信息網(wǎng)絡(luò)管理的各個方面,遠非以上幾點,它需要我們在補充、修訂的過程中不斷健全、完善。
第三,提高網(wǎng)絡(luò)應(yīng)用與管理的技術(shù)水平,彌補自身缺陷,減少外來風(fēng)險。
在當(dāng)前檢察信息網(wǎng)絡(luò)的安全威脅中,病毒及惡意攻擊可能是其最主要的方面。但我們應(yīng)清醒地認識到,任何的病毒與黑客技術(shù)都是針對網(wǎng)絡(luò)系統(tǒng)的漏洞而發(fā)起的。而在網(wǎng)絡(luò)應(yīng)用過程中,大多數(shù)使用者對于病毒及外來攻擊的恐懼往往要大于對自身系統(tǒng)漏洞的擔(dān)心。要解決這一問題,首先要使網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)病毒及黑客攻擊有必要的認識,并了解病毒感染的主要渠道,同時要加強網(wǎng)絡(luò)應(yīng)用的規(guī)范化培訓(xùn),整體提高操作的技術(shù)水平,最大程度地減少人為因素造成的安全隱患。此外,在網(wǎng)絡(luò)管理中,對操作系統(tǒng)的漏洞應(yīng)及時的安裝安全補丁,并留意微軟定期的安全公告,關(guān)閉操作系統(tǒng)中并不常用的默認端口,防止為惡意攻擊留下“后門”。同時,對網(wǎng)絡(luò)中的應(yīng)用軟件進行全面檢查,盡量避免使用來歷不明的盜版軟件,將軟件的選擇導(dǎo)向正版化、網(wǎng)絡(luò)化的軌道,逐漸減少對于盜版軟件、試用版軟件以及共享版軟件的依賴。
同時,充分利用win2000系統(tǒng)的域功能,嚴格控制網(wǎng)絡(luò)客戶端機器的超級用戶帳號,設(shè)定所有用戶必須登錄域中進行網(wǎng)絡(luò)操作,設(shè)定所有用戶(預(yù)留guest帳號可以另外處理)的ip地址和網(wǎng)卡物理地址進行綁定、所有無需移動辦公的用戶帳號和ip地址綁定,實施嚴密的身份識別和訪問控制。
第四,加強應(yīng)急策略下的物理安全、數(shù)據(jù)保護與日志管理,健全安全保障體系。
硬盤的損失或失竊,就意味著所有原始信息的丟失或泄密;服務(wù)器的損壞或停機,就意味著網(wǎng)絡(luò)服務(wù)的停頓;交換機的損壞,就意味著網(wǎng)絡(luò)連通的中斷。所以在信息安全的所有方面中,計算機的物理安全是最基本的問題,計算機物理安全得不到保障,其他的一切安全措施都是空談。而計算機的物理安全的保護,除了要有必要的安全防護設(shè)備外,更重要的是必須建立完善的管理制度,以管理來保障安全。
地方財政計算機網(wǎng)絡(luò)信息安全的影響因素有很多,包括網(wǎng)絡(luò)漏洞、操作失誤等等,歸納來說主要是人為因素以及非人為因素。
1.1地方財政計算機網(wǎng)絡(luò)信息安全的人為威脅
根據(jù)對地方財政計算機網(wǎng)絡(luò)調(diào)查分析可以看出,可以將地方財政計算機網(wǎng)絡(luò)信息安全人為威脅主要包括以下幾個方面:第一,財政內(nèi)部人員造成的安全威脅。地方財政內(nèi)部人員對于財政計算機網(wǎng)絡(luò)信息系統(tǒng)都具有合法的訪問權(quán),而內(nèi)部安全人員造成的安全威脅也包括非惡意性質(zhì)的以及惡意性質(zhì)的威脅。其中非惡意安全威脅主要指的是內(nèi)部人員無意中給網(wǎng)絡(luò)系統(tǒng)造成安全威脅,包括工作人員經(jīng)驗不足、操作失誤、對員工的培訓(xùn)不足等等;惡意性質(zhì)主要是一些內(nèi)部人員帶有目的的對計算機網(wǎng)絡(luò)系統(tǒng)進行攻擊,或惡意的更改地方財政計算機網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)等;第二、隨著國家對財政科學(xué)化精細化管理的要求,地方財政建設(shè)了一體化的“大平臺”系統(tǒng),龐大的信息系統(tǒng)通過政府購買外包服務(wù)的方式,有大量的外包人員駐場維護,他們了解財政的軟、硬件,他的失誤及惡意操作將會對網(wǎng)絡(luò)系統(tǒng)造成災(zāi)難,并帶來資金安全。第三,主動攻擊。主動攻擊主要指的是攻擊者主動的對地方財政計算機網(wǎng)絡(luò)信息系統(tǒng)進行攻擊,包括引入惡意的代碼、惡意避開安全保護、破壞系統(tǒng)的完整性。第四,臨近攻擊。所謂的臨近攻擊,主要指的是攻擊者采用各種各樣的手段,試圖接近想要被攻擊的網(wǎng)絡(luò)系統(tǒng),然后對系統(tǒng)進行破壞。同時臨近攻擊就是靠近地方財政計算機網(wǎng)絡(luò)系統(tǒng)最容易受到攻擊的地方,更加有利于破壞實施者的行為。目前,臨近攻擊主要包括竊取屏幕信息、收集系統(tǒng)生成的打印紙等等;第五,分發(fā)攻擊。所謂的分發(fā)攻擊,一般發(fā)生在硬件與軟件開發(fā)、生產(chǎn)以及運行安裝階段中,攻擊者利用各種手段對軟硬件設(shè)計參數(shù)以及配置等行為進行惡意修改。地方財政是地方政務(wù)中關(guān)鍵的工作,其計算機網(wǎng)絡(luò)系統(tǒng)選用的軟件與硬件都必須具有合法性,嚴格通過政府采購從正規(guī)的硬件廠商進貨,同時具有相關(guān)資質(zhì)的集成商提供必要的外包服務(wù)。如若不然,在地方財政信息系統(tǒng)硬件與軟件設(shè)備的采購過程中,包括在信息系統(tǒng)建設(shè)階段,都會受到安全威脅。包括一些軟件廠商對軟件的參數(shù)進行修改、植入病毒等等。
1.2地方財政計算機網(wǎng)絡(luò)信息安全的非人為威脅
非人為的安全威脅大致分為兩大類。一方面是來自于自然災(zāi)害,存在很大的不可預(yù)見性和不可抵抗性;另一方面主要是信息技術(shù)局限性的直接造成的威脅,此類還包括了電磁干擾、電磁輻射、運行環(huán)境等造成的威脅。自然災(zāi)害(火災(zāi)、地震、水災(zāi)等)對地方財政信息系統(tǒng)的破壞是毀滅性的。同時,不管是哪種技術(shù)都存在局限性,計算機網(wǎng)絡(luò)技術(shù)也并不是完美的,也會存在缺陷與漏洞,及時技術(shù)當(dāng)時與系統(tǒng)十分吻合,但是由于地方財政工作改革與發(fā)展、信息技術(shù)發(fā)展等,都會使原本的信息系統(tǒng)受到安全威脅,主要安全威脅體現(xiàn)在新技術(shù)對舊技術(shù)帶來的漏洞攻擊等。
2加強地方財政計算機網(wǎng)絡(luò)信息安全防范的對策
針對現(xiàn)階段地方財政計算機網(wǎng)絡(luò)信息安全現(xiàn)狀,想要保證計算機網(wǎng)絡(luò)信息技術(shù)在地方財政工作中的優(yōu)勢,必須加強地方財政計算機網(wǎng)絡(luò)信息安全管理,做好安全防范工作,提高信息安全性,為地方財政工作打下堅實的基礎(chǔ)。具體來說,做好地方財政計算機網(wǎng)絡(luò)信息安全防范工作,需要從以下幾個方面入手:
2.1采用有效的技術(shù)措施
大部分地方財政計算機網(wǎng)絡(luò)信息系統(tǒng)安全體系建設(shè)都是采用ISSE體系設(shè)計的,同時利用一定的安全防范策略開展動態(tài)的安全保護。這種財政系統(tǒng)的安全模式下,在訪問其內(nèi)部的網(wǎng)絡(luò)信息,通過下一代防火墻,根據(jù)防護系統(tǒng)預(yù)設(shè)的規(guī)則,發(fā)出訪問請求,只有與訪問規(guī)則相吻合才能進行訪問,否則訪問請求就會被阻擋。對于符合防火墻設(shè)置規(guī)則的信息就會進入到內(nèi)部網(wǎng)中,然后就會由入侵檢測系統(tǒng)對這些信息進行偵測,這些檢測軟件運行并不會占用網(wǎng)絡(luò)寬帶,通過和防火墻的聯(lián)動將具有攻擊行為的信息阻塞,然后利用防火墻中的新規(guī)則,對后續(xù)攻擊起到阻斷。利用防毒墻對全網(wǎng)存在的病毒進行查殺,通過漏掃軟件定期對整個網(wǎng)絡(luò)系統(tǒng)進行掃描,并對發(fā)現(xiàn)的漏洞進行修補。財政信息部門的網(wǎng)關(guān)人員需要根據(jù)安全產(chǎn)品日志,對防火墻的規(guī)則進行及時的維護與調(diào)整,確保其能夠?qū)ω斦嬎銠C網(wǎng)絡(luò)信息系統(tǒng)起到良好的動態(tài)性安全防護。建立獨立、客觀的第三方運維審計監(jiān)管系統(tǒng),有效偵測、記錄和警示任何針對業(yè)務(wù)數(shù)據(jù)和軟件程序、硬件配置的修改。另外,計算機網(wǎng)絡(luò)信息安全技術(shù)如何設(shè)計方面并不是一個一勞永逸的做法,也不可能存在一勞永逸的做法,任何技術(shù)也都具有一定的生命周期,這就必須采用動態(tài)的安全防護技術(shù),構(gòu)建動態(tài)的計算機網(wǎng)絡(luò)信息安全管理體系,對地方財政信息安全提供安全保障。
2.2做好管理措施
做好地方財政計算機網(wǎng)絡(luò)信息安全防范工作,單靠先進的科學(xué)技術(shù)是不行的,先進的科學(xué)技術(shù)彌補不了人為威脅對信息系統(tǒng)帶來的危害。技術(shù)屬于信息安全防范體系中的一分子,是信息安全防范的一種技術(shù),也是一種輔的手段。如果沒有對信息系統(tǒng)的使用人員進行專業(yè)的培訓(xùn),也沒有進行相應(yīng)的指導(dǎo),信息安全防護技術(shù)就是一紙空談。信息系統(tǒng)的使用者,是最直接接觸到網(wǎng)絡(luò)系統(tǒng)的人員,也是網(wǎng)絡(luò)系統(tǒng)安全中最不穩(wěn)定的因素所在。根據(jù)不完全統(tǒng)計的結(jié)果顯示,每年地方財政計算機網(wǎng)絡(luò)信息安全事故,絕大多數(shù)事故原因都是由于使用人員操作失誤或由于對系統(tǒng)不夠了解造成的,而黑客等外部因素造成的安全事故僅僅占10%左右。因此,可以說明內(nèi)部人為威脅是地方財政信息系統(tǒng)安全的主要威脅因素。這就需要加強信息安全管理工作,將人為因素控制作為安全管理工作的核心,堅持以人為本的管理理念,為地方財政計算機網(wǎng)絡(luò)信息系統(tǒng)提供最安全的防線。
同時,加強安全管理,制定完善的安全管理措施,還能保證安全技術(shù)以及安全設(shè)備發(fā)揮其應(yīng)有的作用,彌補程序性的安全措施存在的不足,降低地方財政信息泄露的幾率,確保地方財政信息安全。同時,在信息安全系統(tǒng)安全防護工作中,地方財政部門需要建立與完善相關(guān)的安全規(guī)章制度,加強對內(nèi)部人員的技術(shù)培訓(xùn),讓每一位內(nèi)部人員都能夠?qū)π畔⑾到y(tǒng)有足夠的認識,同時加強思想政治教育,提高每一位員工的責(zé)任心,使其能在操作中嚴格按照相關(guān)的安全操作規(guī)范進行,降低人為事故發(fā)生的幾率。此外,必須加強信息安全管理,將地方財政信息分為信息和非信息,嚴格按照國家規(guī)定對信息進行安全管理。同時對于相關(guān)的數(shù)據(jù)信息采用專業(yè)的加密技術(shù),在整個數(shù)據(jù)傳輸與使用的過程中,都采用與機密程度相適應(yīng)的安全防范措施,避免信息泄露,對地方財政工作造成影響。配合第三方運維審計系統(tǒng),建立信息系統(tǒng)運行維護操作制度,制定標準的系統(tǒng)安全運行流程。配備專職系統(tǒng)安全管理員,定期對業(yè)務(wù)辦理、電子憑證管理、日志記錄等進行檢查,確保對相關(guān)系統(tǒng)操作人員、管理人員、開發(fā)商等有合理的授權(quán)控制,強化運維管理、規(guī)范運維人員操作流程、防控事故隱患,實現(xiàn)財政信息系統(tǒng)規(guī)范、高效、安全地運行。
2.3完善計算機網(wǎng)絡(luò)信息系統(tǒng)物理安全措施
物理安全管理主要包括對地方財務(wù)計算機網(wǎng)絡(luò)系統(tǒng)計算環(huán)境設(shè)備、網(wǎng)絡(luò)設(shè)施、支持性設(shè)備等安全的管理,屬于系統(tǒng)安全管理中重要的組成部分。通過物理安全措施,能夠有效地避免沒有被授權(quán)的人員登錄訪問地方財政信息系統(tǒng),避免惡意攻擊者非法接近地方財政信息系統(tǒng)的相關(guān)設(shè)施,排除采用物理手段對地方財政信息造成的威脅,有效地避免地方財政信息數(shù)據(jù)設(shè)備,包括硬盤、優(yōu)盤或一些應(yīng)用軟件被竊取,防治攻擊者直接獲得相關(guān)數(shù)據(jù)。采用物理安全管理,需要采取以下幾點措施:第一,合理的劃分信息安全區(qū)。對于員工工作區(qū)域進行合理劃分,劃分為系統(tǒng)保護區(qū)域、系統(tǒng)測試區(qū)域、辦公區(qū)域,同時對于每一個區(qū)域都限定出入的制度,對于信息機房應(yīng)該采用門禁系統(tǒng),只有出示相關(guān)的身份證明,才能出入計算機機房,同時還需要登記出入的原因以及進入的時間等;第二,增設(shè)機房設(shè)備管理人員,專門對機房中各種設(shè)備的安全負責(zé),加強日常巡檢。列出機房設(shè)備清單,并對每一臺設(shè)備進行標注,并記錄設(shè)備的配置與接線情況,及時地對設(shè)備運行狀態(tài)進行檢查;第三,增設(shè)信息數(shù)據(jù)載體安全管理員崗位,對于光盤、優(yōu)盤、電腦硬盤等數(shù)據(jù)載體進行專門的管理,負責(zé)對這些載體的清理、銷毀以及保存。同時制定完善的保密制度以及責(zé)任制度,實行一對一的物理保護,切實提高地方財政信息安全。
3總結(jié)
為做好外部非法因素的防范工作,確保電力通信系統(tǒng)信息安全,電力企業(yè)開發(fā)實施了電網(wǎng)通信安全防護體系建設(shè)工作。它以電網(wǎng)安全防護工程為主體,實現(xiàn)了科學(xué)的電力工程實施流程、管理技術(shù)和現(xiàn)階段最先進的技術(shù)的高度結(jié)合,構(gòu)建起一整套全方位的電力系統(tǒng)通信安全防護機制。它涉及信息安全工程學(xué)相關(guān)知識,以信息安全工程能力成熟度模型(SSE-CMM)為規(guī)范,指導(dǎo)實施電力通信安全工程的全過程,從具體的安全設(shè)備設(shè)置,到安全工程的管理、組織和設(shè)計、實施、驗證各個環(huán)節(jié),包含了電力系統(tǒng)信息安全防范體系的所有環(huán)節(jié)。具體來說,電力系統(tǒng)通信安全防護體系包括三個主要因素,即策略、管理和技術(shù)。
2電力通信系統(tǒng)信息安全相關(guān)要求
電力通信所面臨的環(huán)境比較復(fù)雜,給信息安全防范帶來較大困難。不同的數(shù)據(jù)傳輸方式,信息安全防范的要求也不一樣。當(dāng)前電力自動化管理系統(tǒng)無線網(wǎng)絡(luò)傳輸數(shù)據(jù)的類型分為實時數(shù)據(jù)和非實時數(shù)據(jù)兩種,下面我們逐一對這兩種數(shù)據(jù)的安全防范要求做出說明。
2.1實時數(shù)據(jù)安全防范要求
實時通訊對網(wǎng)絡(luò)的傳輸速度與質(zhì)量要求很高,通信規(guī)約在時間方面相對苛刻,允許的傳輸延遲范圍很小。同時,實時傳輸?shù)臄?shù)據(jù)量一般不大,流量長期保持在一定水平,波動幅度較小。現(xiàn)階段電力通信系統(tǒng)中常見的實時傳輸數(shù)據(jù)包括以下幾種:(1)下行數(shù)據(jù)。包括遙控、遙調(diào)和保護裝置及其他自動裝置的整定值信息等。這類數(shù)據(jù)受設(shè)備狀態(tài)影響,直接關(guān)系到電力系統(tǒng)能否安全穩(wěn)定運行。在實時傳輸和安全防范方面的要求都比較高。(2)上行數(shù)據(jù)。包括遙信、重要遙測、事件順序記錄(SOE)信息等。這些數(shù)據(jù)是電網(wǎng)運行狀的直接反映,是電力調(diào)度運行的重要參考依據(jù),具有一定的保密性要求。從上面可以看出,電力通信實時數(shù)據(jù)具有流量穩(wěn)定、時效性的特點,對于數(shù)據(jù)傳輸?shù)膶崟r性、可靠性、保密性與完整性方面有著加高的要求。所以,在進行實時數(shù)據(jù)傳輸時要切實做好加密工作。
2.2非實時數(shù)據(jù)安全防范要求
和實時傳輸數(shù)據(jù)相比,非實時傳輸?shù)臄?shù)據(jù)具有數(shù)據(jù)傳輸量大,時效性低的特點,對于傳輸延遲的要求也較為寬泛。這類數(shù)據(jù)主要包括電力設(shè)備的維護日志、電力用戶的電能質(zhì)量信息等。非實時數(shù)據(jù)對于數(shù)據(jù)傳輸?shù)耐暾院捅C苄砸灿幸欢ㄒ螅ぷ髦幸鶕?jù)具體情況選擇正確的加密算法。
3電力通信系統(tǒng)自動化信息安全核查
3.1建立核查庫
由于實際工作需要,信息安全基線核查系統(tǒng)要能夠辨識不同種類的業(yè)務(wù),并在基線安全模塊內(nèi)部完成業(yè)務(wù)系統(tǒng)的分析工作,以實現(xiàn)對不同業(yè)務(wù)的安全核查。為實現(xiàn)這個目的,基線系統(tǒng)中要含有針對不同業(yè)務(wù)的安全模型功能框架,并將這些框架細化分解到系統(tǒng)的各個模塊中。根據(jù)不同業(yè)務(wù)所具有的特點,信息安全基線核查系統(tǒng)對其可能存在的安全風(fēng)險進行針對性的分析核查,并提出相應(yīng)的處置措施,進而在系統(tǒng)實現(xiàn)層實現(xiàn)這些功能。除此之外,安全基線還負責(zé)對系統(tǒng)實現(xiàn)層進行安全漏洞和安全配置相關(guān)信息的核查。核查覆蓋范圍的大小對于該項核查工作的完成質(zhì)量具有關(guān)鍵性影響。基線核查庫是信息安全核查工具的基礎(chǔ),同時也是安全核查工具的參考標準。當(dāng)前我國已經(jīng)了電力企業(yè)通信安全配置核查檢查規(guī)范,并根據(jù)這項規(guī)范設(shè)計了電力企業(yè)信息安全基線庫,成為電力企業(yè)信息安全管理工作的堅實技術(shù)基礎(chǔ)。基線庫涉及操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備等的相關(guān)研究。其中,操作系統(tǒng)包括Win-dows2000、Windows2003、WindowsXP、WindowsVista、UNIX操作系統(tǒng)系列等;數(shù)據(jù)庫包括Oracle、SQLServer、Informix等,網(wǎng)絡(luò)設(shè)備包括Hua-wei/Cisco設(shè)備,安全設(shè)備包括Juniper、Cisco防火墻等。賬號、口令、授權(quán)、日志、IP地址以及一些其他方面都屬于基線庫的研究內(nèi)容。它們對系統(tǒng)安全有著直接影響,是安全檢查的必選項目。在核查設(shè)備安全配置相關(guān)信息時,必須對設(shè)備的基本安全配置要求有著清晰的掌握,并提供相應(yīng)的安全標準,以保障設(shè)備的入網(wǎng)測試、工程驗收和運行維護的正常開展。
3.2信息安全核查系統(tǒng)架構(gòu)設(shè)計
電力通信系統(tǒng)信息安全核查采用網(wǎng)頁方式進行系統(tǒng)管理。用戶和系統(tǒng)模塊以網(wǎng)頁為交互界面,通過瀏覽器進行數(shù)據(jù)傳遞,從而大幅降低了用戶使用管理的難度,提高了工作效率。核查系統(tǒng)結(jié)構(gòu)復(fù)雜,為提高設(shè)計效率,采用模塊化的設(shè)計方式,在系統(tǒng)多個不同功能的模塊中,掃描中心的作用最為重要。該模塊負責(zé)對已經(jīng)完成的目標進行探測和評估。具體工作內(nèi)容包括對主機存活狀態(tài)、操作系統(tǒng)的設(shè)別以及相關(guān)規(guī)則的解析及匹配。安全基線配置知識庫是系統(tǒng)正常運行的基礎(chǔ),負責(zé)為掃描調(diào)度模塊和Web管理模塊提高基礎(chǔ)數(shù)據(jù),該知識庫主要包括已知系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用、中間件、數(shù)據(jù)庫等的安全配置指導(dǎo)參數(shù)檢查列表等。系統(tǒng)掃描任務(wù)完成后,各相關(guān)數(shù)據(jù)匯總到掃描結(jié)果庫,形成掃描結(jié)果報告,以此作為用戶查詢和分析的數(shù)據(jù)基礎(chǔ)。系統(tǒng)內(nèi)各個模塊的版本升級工作由數(shù)據(jù)同步模塊復(fù)雜,同時,該模塊還負責(zé)系統(tǒng)與外部數(shù)據(jù)匯總服務(wù)器的數(shù)據(jù)同步工作。Web界面模塊是用戶與系統(tǒng)交互的重要渠道,用戶通過Web界面模塊實現(xiàn)系統(tǒng)各項應(yīng)用功能。根據(jù)用戶要求的不同,Web界面模塊具有多個子模塊與之相對應(yīng)。配置核查系統(tǒng)負責(zé)本地執(zhí)行工作,為受查設(shè)備編制結(jié)果報表,報表隨后匯總至系統(tǒng)進行分析。在Web界面的輔助下,用戶可以進行掃描、數(shù)據(jù)輸出、報告生成等多種操作。
3.3統(tǒng)計分析設(shè)計
安全基線核查具有宏觀和微觀雙重風(fēng)險分析功能。一方面,它能夠全方位地反映通信網(wǎng)絡(luò)安全整體水平,從問題分布、危害、主機信息等多方面對系統(tǒng)安全進行細粒度統(tǒng)計分析,并使用形象生動的圖例進行說明。另一方面,系統(tǒng)針對核查結(jié)果提出切實可行的安全配置解決方案,此外,系統(tǒng)還具備關(guān)鍵詞查詢功能,允許客戶利用自己設(shè)計的關(guān)鍵詞進行相關(guān)信息的搜索,從而幫助用戶更方便地了解指定設(shè)備的詳細配置信息。
4結(jié)束語
摘 要 隨著信息化技術(shù)的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強,計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終。 關(guān)鍵詞 信息安全;pki;ca;vpn 1 引言 隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。 隨著信息化技術(shù)的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用pki技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。 在下面的描述中,以某公司為例進行說明。 2 信息系統(tǒng)現(xiàn)狀 2.1 信息化整體狀況 1)計算機網(wǎng)絡(luò) 某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計算機在同一網(wǎng)段,通過交換機連接。
圖1 2)應(yīng)用系統(tǒng) 經(jīng)過多年的積累,某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡(luò)的進一步完善,計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。 2.2 信息安全現(xiàn)狀 為保障計算機網(wǎng)絡(luò)的安全,某公司實施了計算機網(wǎng)絡(luò)安全項目,基于當(dāng)時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。 3 風(fēng)險與需求分析 3.1 風(fēng)險分析 通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論: (1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強,計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。 (2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術(shù)手段,提高數(shù)據(jù)的機密性、完整性和可用性。 通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在: (1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。 目前實施的安全方案是基于當(dāng)時的認識進行的,主要工作集中于網(wǎng)絡(luò)安全,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證,對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。 當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。 針對外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。 美國聯(lián)邦調(diào)查局(fbi)和計算機安全機構(gòu)(csi)等權(quán)威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。 信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。 (2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。 已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。 網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運用風(fēng)險評估、風(fēng)險管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費。 3.2 需求分析 如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險,信息安全的需求主要體現(xiàn)在如下幾點: (1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。 (2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。 (3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項工作都能夠有序、規(guī)范地進行。 (4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。 4 設(shè)計原則 安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。 4.1 標準化原則 本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定,使安全技術(shù)體系的建設(shè)達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。 4.2 系統(tǒng)化原則 信息安全是一個復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。 4.3 規(guī)避風(fēng)險原則 安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。 4.4 保護投資原則 由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。 4.5 多重保護原則 任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當(dāng)一層保護被攻破時,其它層保護仍可保護信息的安全。 4.6 分步實施原則 由于某公司應(yīng)用擴展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風(fēng)險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5 設(shè)計思路及安全產(chǎn)品的選擇和部署 信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終,如圖2所示。 圖2 網(wǎng)絡(luò)與信息安全防范體系模型 信息安全又是相對的,需要在風(fēng)險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。 5.1 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施 證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用pki/ca數(shù)字認證服務(wù)。pki(public key infrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的pki/ca數(shù)字認證服務(wù)。通過建設(shè)證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標: 身份認證(authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。 數(shù)據(jù)的機密性(confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。 數(shù)據(jù)的完整性(integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。 不可抵賴性(non-repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。 5.2 邊界防護和網(wǎng)絡(luò)的隔離 vpn(virtual private network)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴? 通過安裝部署vpn系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程lan的安全連接。 集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護。 集中的安全策略管理可以對整個vpn網(wǎng)絡(luò)的安全策略進行集中管理和配置。 5.3 安全電子郵件 電子郵件是internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。 目前廣泛應(yīng)用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標準 ) 發(fā)展而來的。首先,它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu),所有下一級的組織和個人的證書由上一級的組織負責(zé)認證,而最上一級的組織 ( 根證書 ) 之間相互認證,整個信任關(guān)系基本是樹狀的。其次, s/mime 將信件內(nèi)容加密簽名后作為特殊的附件傳送。 保證了信件內(nèi)容的安全性。 5.4 桌面安全防護 對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。 桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。 1)電子簽章系統(tǒng) 利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入office系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。 2) 安全登錄系統(tǒng) 安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。 3)文件加密系統(tǒng) 文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。 5.5 身份認證 身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。基于pki的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設(shè)備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用usb key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。 基于pki的usb key的解決方案不僅可以提供身份認證的功能,還可構(gòu)建用戶集中管理與認證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實現(xiàn)上述身份認證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。 6 方案的組織與實施方式 網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。 圖3 因此在本方案的組織和實施中,除了工程的實施外,還應(yīng)重視以下各項工作: (1)在初步進行風(fēng)險分析基礎(chǔ)上,方案實施方應(yīng)進行進一步的風(fēng)險評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報。 (2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。 (3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。 (4)在方案實施的同時,加強規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進一步制度化、規(guī)范化。 7 結(jié)論 本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。 也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險降到最低水平。 參考文獻 [1] 國家信息安全基礎(chǔ)設(shè)施研究中心、國家信息安全工程技術(shù)研究中心.《電子政務(wù)總體設(shè)計與技術(shù)實現(xiàn)》
關(guān)鍵詞:計算機網(wǎng)絡(luò);網(wǎng)絡(luò)信息安全;防范對策
由于網(wǎng)絡(luò)的快速發(fā)展和計算機的普及,讓我們的生活和工作都發(fā)生了巨變。但是網(wǎng)絡(luò)的高速發(fā)展,也會產(chǎn)生各種網(wǎng)絡(luò)信息技術(shù)安全問題,從而影響計算機日常的使用和運行。因此在平常的使用和運行中,我們需要了解和認識到計算機網(wǎng)絡(luò)信息技術(shù)安全防范和管理的必要性,并對計算機網(wǎng)絡(luò)信息安全問題制定相應(yīng)合理的防范和管理應(yīng)用措施,才能讓我們在生活和工作中安心的享受網(wǎng)絡(luò)所帶來的便利性。
一、計算機網(wǎng)絡(luò)信息安全面臨著的問題分析
(一)計算機病毒
計算機病毒可以使計算機的數(shù)據(jù)丟失或損壞,從而使計算機無法正常運行文件。它具有隱蔽性高,破壞性強,傳播性高等一系列較為突出的特點。具體的特點如下:1)隱蔽性高,大部分地計算機病毒在侵襲計算機成功之后,立刻就會被激活,但也有小部分地計算機病毒在侵襲計算機成功之后會馬上隱藏起來,需要在相關(guān)操作或特殊設(shè)定時間的條件下被動激活,令計算機不能及時發(fā)現(xiàn)計算機病毒,令計算機網(wǎng)絡(luò)始終處于危境當(dāng)中。2)破壞性強,計算機病毒在侵襲計算機成功后,會對計算機中的文件程序進行破壞,使文件程序遭到破壞,從而無法正常運行,令計算機陷入癱瘓。3)傳播性高,計算機病毒在成功侵襲計算機后,無視任何限制,會直接傳染計算機系統(tǒng)中的重要文件,即使我們使用殺毒軟件進行全面的清理,也不能保證計算機中的病毒是否已經(jīng)清理干凈,甚至還會將被傳染的重要文件直接清除,導(dǎo)致重要文件丟失和損壞,而未被清理干凈的計算機病毒則會繼續(xù)傳染其他文件,進行循環(huán)傳染。[1]
(二)計算機木馬
1)植入性強,一般情況下計算機木馬都是依附在文件或程序軟件中,直到被人為下載啟動之后,計算機木馬才會被立刻激活。2)頑固性高,計算機一旦被計算機木馬侵襲到,就會出現(xiàn)難清理的現(xiàn)象,即使我們用殺毒軟件進行了清理,還是會發(fā)現(xiàn)計算機木馬依然在運行。[2]
(三)人為操作不當(dāng)
從目前情況來看,雖然計算機用戶已經(jīng)逐漸了解到計算機使用過程中,網(wǎng)絡(luò)信息安全所占有的重要性,但仍然還有大部分的人,不能及時的做出合理有效的網(wǎng)絡(luò)信息安全防范及管理措施,致使在使用計算機的過程中會頻頻出現(xiàn)一系列的不恰當(dāng)操作。如:現(xiàn)在有許多的非法分子經(jīng)常會注冊大量郵箱,并冒充官方郵箱名稱海量散布郵件,這些郵件無論是賬戶名還是內(nèi)容信息,一眼看上去都具有較高的正規(guī)性,如果不能有效地辨別郵件,且按照郵件中的要求回復(fù)了對方就會泄漏個人信息和賬戶信息,稍不留神就會被非法入侵分子乘機而入。[3]
二、計算機網(wǎng)絡(luò)信息安全的防護對策
(一)制定計算機病毒及木馬的防護措施
1)安裝正版殺毒軟件。使用計算機必須要安裝正版的殺毒軟件,定期對計算機進行計算機病毒和木馬的查殺,及時有效發(fā)現(xiàn)并清除計算機病毒和木馬。2)使用防火墻技術(shù)。防火墻主要功能就是防止非計算機使用者未經(jīng)計算機使用者授權(quán),私自進入到計算機內(nèi)部網(wǎng)絡(luò)進行訪問或獲取資源,因此使用者在計算機使用過程中,必須使防火墻處于開啟狀態(tài),用來規(guī)避不必要的傷害。3)及時修復(fù)系統(tǒng)漏洞。不管是計算機的操作系統(tǒng),還是其它應(yīng)用軟件都會存在自身漏洞,技術(shù)超高的黑客會利用他們自身的技術(shù)特長,對這些漏洞進行網(wǎng)絡(luò)信息安全問題攻擊,在這種情況下,那我們自身在使用過程中必須使用正版操作系統(tǒng)及軟件外,還要及時地進行對操作系統(tǒng)的更新和升級,降低黑客對計算機進行網(wǎng)絡(luò)信息安全問題攻擊的風(fēng)險。4)設(shè)置訪問權(quán)限。設(shè)置用戶訪問權(quán)限,給予用戶訪問的權(quán)利和限制,用戶只可以訪問權(quán)限設(shè)置范圍內(nèi)的相應(yīng)資源和文件,將一些非法入侵分子阻擋在訪問權(quán)限大門之外,降低計算機被入侵的可能性,增強網(wǎng)絡(luò)信息的安全性。
(二)增強用戶的網(wǎng)絡(luò)信息安全意識
1)增強安全防范意識。計算機的使用是以人為來操控的,所以計算機網(wǎng)絡(luò)信息安全防范措施當(dāng)然以人為主導(dǎo)的,若想保證計算機網(wǎng)絡(luò)信息的安全,使用者不僅需要了解和制定相關(guān)防范和管理措施,還需要增強使用者自身的網(wǎng)絡(luò)信息安全防范意識,保證在計算機使用過程中不會出現(xiàn)任何的錯誤人為操作,規(guī)避個人、家庭以及單位信息的泄露。在條件允許的情況下,可以組織網(wǎng)絡(luò)信息安全意識培訓(xùn)和安全防范技術(shù)學(xué)習(xí)。2)及時進行備份。及時進行系統(tǒng)備份,可以避免在系統(tǒng)出現(xiàn)錯誤或被計算機病毒和木馬侵襲的情況下,可以選擇進行恢復(fù),使系統(tǒng)處于最佳運行狀態(tài)。
根據(jù)最新的國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的報告,目前網(wǎng)絡(luò)攻擊的動機逐漸從技術(shù)炫耀型轉(zhuǎn)向利益驅(qū)動型,網(wǎng)絡(luò)攻擊的組織性、趨利性、專業(yè)性和定向性繼續(xù)加強,從而導(dǎo)致為獲得經(jīng)濟利益的惡意代碼和在線身份竊取成為網(wǎng)絡(luò)攻擊的主流,瞄準特定用戶群體的定向化信息竊取和勒索成為網(wǎng)絡(luò)攻擊的新趨勢。此外我國被篡改的網(wǎng)站數(shù)量居高不下,尤其是政府網(wǎng)站被篡改的比例呈現(xiàn)上升趨勢。圖1顯示了我國僅在2006上半年統(tǒng)計的網(wǎng)絡(luò)安全事件數(shù); 圖2則顯示了當(dāng)前我們所面對的網(wǎng)絡(luò)安全威脅種類的復(fù)雜性和多樣性。由此可見,我國的信息安全面臨嚴峻考驗。
從圖1和圖2我們不難看出,當(dāng)前的網(wǎng)絡(luò)攻擊和威脅的最大特點是趨利化,那么對于企業(yè)來說,如果沒有一套較好的安全防范架構(gòu),那就不可避免地會在紛繁復(fù)雜的網(wǎng)絡(luò)中遭受大量的乃至致命的打擊。因此,建立企業(yè)安全防范架構(gòu)勢在必行。
安全架構(gòu)模型
從當(dāng)前的理論研究以及實踐經(jīng)驗來看,面向企業(yè)安全的防范架構(gòu)并未有一個成型的模型,各企業(yè)均按照自身的經(jīng)驗和組織管理體系來進行企業(yè)網(wǎng)絡(luò)安全的防范工作。然而,在實踐中急需有一套具有指導(dǎo)性意義的方法和手段來對其工作進行指導(dǎo),才能做到有備無患。我們看到,關(guān)于網(wǎng)絡(luò)安全的相關(guān)標準及模型的研究已經(jīng)日趨成熟和理論化,并在實踐中廣泛應(yīng)用。因此,我們不妨借用這些模型和標準來構(gòu)建一套較為有效和具有普遍意義的企業(yè)安全防范體系。
ITU-T X.800 Security architecture標準將我們常說的“網(wǎng)絡(luò)安全(Network Security)”進行邏輯上的分別定義,即安全攻擊(Security Attack)是指損害機構(gòu)所擁有信息的安全的任何行為;安全機制(Security Mechanism)是指設(shè)計用于檢測、預(yù)防安全攻擊或者恢復(fù)系統(tǒng)的機制; 安全服務(wù)(Security Service)是指采用一種或多種安全機制以抵御安全攻擊、提高機構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務(wù)。三者之間的關(guān)系如表1所示。
為了能夠有效了解用戶的安全需求,選擇各種安全產(chǎn)品和策略,有必要建立一些系統(tǒng)的方法來進行網(wǎng)絡(luò)安全防范。網(wǎng)絡(luò)安全防范體系的科學(xué)性、可行性是其可順利實施的保障。圖3給出了DISSP安全框架三維模型。第一維是安全服務(wù),給出了八種安全屬性。第二維是系統(tǒng)單元,給出了信息網(wǎng)絡(luò)系統(tǒng)的組成。第三維是結(jié)構(gòu)層次,給出并擴展了國際標準化組織ISO的七層開放系統(tǒng)互聯(lián)(OSI)模型。
框架結(jié)構(gòu)中的每一個系統(tǒng)單元都對應(yīng)于某一個協(xié)議層次,需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺需要有網(wǎng)絡(luò)節(jié)點之間的認證、訪問控制,應(yīng)用平臺需要有針對用戶的認證、訪問控制,需要保證數(shù)據(jù)傳輸?shù)耐暾浴⒈C苄裕枰锌沟仲嚭蛯徲嫷墓δ埽枰WC應(yīng)用系統(tǒng)的可用性和可靠性。針對一個信息網(wǎng)絡(luò)系統(tǒng),如果在各個系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求,則我們認為該信息網(wǎng)絡(luò)是安全的。
安全架構(gòu)的層次結(jié)構(gòu)
作為全方位的、整體的網(wǎng)絡(luò)安全防范架構(gòu)是分層次的,不同層次反映了不同的安全問題。我們可以將企業(yè)安全防范架構(gòu)的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理(如圖3)。由于層次的不同,我們也需要采用不同的安全技術(shù)來針對每層的安全問題進行應(yīng)對和防護,因而也就產(chǎn)生了如圖4中所列的種類繁多的安全技術(shù)。
物理層
保證計算機信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。該層次的安全包括通信線路的安全、物理設(shè)備的安全、機房的安全等。因此,該層的安全防護技術(shù)具體體現(xiàn)在設(shè)備和系統(tǒng)的管理層面和電氣工程相關(guān)技術(shù)的層面上。
網(wǎng)絡(luò)層
該層的安全及安全技術(shù)問題是當(dāng)前企業(yè)面臨的最大問題,其安全防護技術(shù)主要是針對各種類型的DoS和DDoS攻擊進行防護和抑制。
管理層
管理層安全是最重要而且最容易被忽視的一個問題。它直接關(guān)系到上述安全問題和安全技術(shù)是否能夠收到較好的成效,也是貫穿整個企業(yè)安全防范架構(gòu)的一條重要主線。安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。
網(wǎng)絡(luò)防護兩大趨勢
隨著攻擊技術(shù)的不斷發(fā)展和演化,我們需要對企業(yè)網(wǎng)絡(luò)防護技術(shù)的未來發(fā)展趨勢進行把握,可以做出如下兩個層面的歸納和預(yù)測。
首先是在網(wǎng)絡(luò)應(yīng)用層中,風(fēng)險分析的重點將放在安全測評評估技術(shù)上。它的戰(zhàn)略目標是掌握網(wǎng)絡(luò)、信息系統(tǒng)安全測試及風(fēng)險評估技術(shù),建立完整的、面向等級保護的測評流程及風(fēng)險評估體系。這一點和過去不一樣,過去做測評是沒有強調(diào)等級保護的。
此外,網(wǎng)絡(luò)應(yīng)用層的網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)的戰(zhàn)略目標應(yīng)重點放在整個企業(yè)的層面進行考慮,要掌握保障基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)安全運行的能力,提高網(wǎng)絡(luò)安全危機處理的能力。響應(yīng)的重點應(yīng)該放在惡意代碼防范與應(yīng)急響應(yīng)技術(shù)上,其戰(zhàn)略目標是掌握有效的惡意代碼防范與反擊策略。一旦發(fā)現(xiàn)惡意代碼,要迅速提出針對這個惡意代碼的遏制手段,要提供國家層面的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)支撐技術(shù)。其主要創(chuàng)新點在于,提出對蠕蟲、病毒、木馬、僵尸網(wǎng)絡(luò)、垃圾郵件等惡意代碼的控制機理。
此外國際產(chǎn)業(yè)界還提出了UTM。它的目標主要針對安全防護技術(shù)一體化、集成化的趨勢,提出了UTM與網(wǎng)絡(luò)安全管理的有效模型、關(guān)鍵算法,提出了相應(yīng)的行業(yè)標準及其實現(xiàn)方式。UTM可以提高效果、降低投資,通過綜合管理提高防護能力。
有明顯發(fā)展新趨勢的第二個層面是系統(tǒng)與物理層,在這一層安全存儲系統(tǒng)產(chǎn)品很多,從安全角度來看,它的發(fā)展趨勢有兩點: 一個是機密性,企業(yè)要掌握海量數(shù)據(jù)的加密存儲和檢索技術(shù),保障存儲數(shù)據(jù)的機密性和安全訪問能力; 另一個是安全存儲系統(tǒng)自身要可靠,企業(yè)要掌握高可靠海量存儲技術(shù),保障海量存儲系統(tǒng)中數(shù)據(jù)的可靠性。創(chuàng)新點在于,應(yīng)提出海量分布式數(shù)據(jù)存儲設(shè)備的高性能加密與存儲訪問方法,提出數(shù)據(jù)自毀機理數(shù)據(jù)備份與可生存性技術(shù)是圍繞災(zāi)難恢復(fù)來做的。這主要是用于第三方實施數(shù)據(jù)災(zāi)難備份的模型與方法,為建設(shè)通用災(zāi)難備份中心提供理論依據(jù)與技術(shù)手段,建立網(wǎng)絡(luò)與信息系統(tǒng)生存性和抗毀性,提高網(wǎng)絡(luò)與信息系統(tǒng)的可靠性。對網(wǎng)絡(luò)安全模型提出一個技術(shù)性模型,應(yīng)該要有一個可信計算平臺做整體的支撐。業(yè)界的戰(zhàn)略目標是掌握基于自主專利與標準的可信平臺模塊、硬件、軟件支撐、應(yīng)用安全軟件、測評等一批核心技術(shù),主導(dǎo)我國可信計算平臺的跨越式發(fā)展,為可信的企業(yè)計算提供操作平臺和可靠保障。
鏈接
企業(yè)安全防范架構(gòu)設(shè)計準則
根據(jù)安全防范架構(gòu)的多個層面的問題,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面,企業(yè)網(wǎng)絡(luò)安全防范架構(gòu)在整體設(shè)計過程中需要遵循以下幾項準則,以切實全面地做好企業(yè)安全防范工作:
1.做好整體規(guī)劃
企業(yè)信息安全系統(tǒng)應(yīng)該包括安全防護機制、安全檢測機制和安全響應(yīng)機制和安全策略。這主要來源于經(jīng)典的信息安全領(lǐng)域的P2DR模型(見右下圖)。P2DR模型包含四個主要部分: Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應(yīng))。
06
具體到企業(yè)安全防范架構(gòu)上,我們也要很好地考慮這些要點,而不能光為了防范而防范,要整體規(guī)劃和部署。也就是說,安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)防護措施,避免非法攻擊。安全檢測機制是檢測系統(tǒng)的運行情況,及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊。安全響應(yīng)機制是在安全防護機制失效的情況下,進行應(yīng)急處理和盡量、及時地恢復(fù)信息,減少供給的破壞程度。
2.做好層次性防范
層次性防范是指安全層次和安全級別。良好的信息安全系統(tǒng)必然是分為不同等級的,包括對信息保密程度分級,對用戶操作權(quán)限分級,對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全算法和安全體制,以滿足網(wǎng)絡(luò)中不同層次的各種實際需求。
3.突出重點,合理平衡
網(wǎng)絡(luò)信息安全的木桶原理是指對信息均衡、全面地進行保護。網(wǎng)絡(luò)信息系統(tǒng)是一個復(fù)雜的計算機系統(tǒng),它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性,尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護防不勝防。攻擊者使用的“最易滲透原則”,必然在系統(tǒng)中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析,評估和檢測(包括模擬攻擊)是設(shè)計信息安全系統(tǒng)的必要前提條件。
4.技術(shù)與管理,兩手都要硬
安全體系是一個復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此,必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。切忌只重視其中一種而忽視另一種的情況出現(xiàn),要明白好的技術(shù)是管理的基礎(chǔ),而高效地管理則是技術(shù)強有力的保證。
隨著計算機技術(shù)的快速發(fā)展,以計算機網(wǎng)絡(luò)系統(tǒng)為主的現(xiàn)代信息系統(tǒng)發(fā)展迅猛,人們對于數(shù)據(jù)庫信息系統(tǒng)的安全防范越來越重視,本文主要闡述了當(dāng)前數(shù)據(jù)庫信息系統(tǒng)安全方面的現(xiàn)狀以及提出了針對數(shù)據(jù)庫信息系統(tǒng)的安全防范的有效措施。
【關(guān)鍵詞】數(shù)據(jù)庫信息系統(tǒng) 安全防范 探究
隨著信息產(chǎn)業(yè)的快速發(fā)展,數(shù)據(jù)庫信息系統(tǒng)在各行各業(yè)之間都得到了很好的利用。但目前,我國數(shù)據(jù)庫的系統(tǒng)安全技術(shù)還不完善,這給數(shù)據(jù)庫信息系統(tǒng)帶來了隱患,因此,要想更好的杜絕病毒污染、黑客襲擊等狀況,就必須加強數(shù)據(jù)庫信息系統(tǒng)的安全防范工作。
1 數(shù)據(jù)庫信息系統(tǒng)的安全現(xiàn)狀分析
1.1 信息系統(tǒng)的安全范疇
所謂的信息系統(tǒng)安全范疇是指建立者在國家和行業(yè)的法律法規(guī)的限定下,制定出符合組織的安全管理政策,并且通過學(xué)習(xí)、培訓(xùn)等形式來提高內(nèi)部人員的安全意識、防范意識,使其遵守規(guī)章制度,嚴格執(zhí)行安全政策。對于所制定的安全管理政策還要制定相關(guān)的審計制度,用來評價安全政策的效果,并監(jiān)督安全政策的實施狀態(tài),通過高超的技術(shù)手段才能保證信息和信息系統(tǒng)的安全,像病毒檢測、加密技術(shù)等技術(shù)手段就是用來提高組織系統(tǒng)的安全性的技術(shù)。
1.2 信息系統(tǒng)的安全管理水平較低
當(dāng)今社會是信息化的時代,人們對于信息安全的重視度也越來越高,尤其在政府機關(guān)、企業(yè)中,一些信息、文件等都是非常機密,因此,就需要提高安全技術(shù)來保證信息系統(tǒng)的安全性。但是,如今的信息系統(tǒng)的安全管理還存在很多問題,首先,對于信息系統(tǒng)的安全技術(shù)保障體系還不完善,雖然很多企業(yè)購買了信息安全設(shè)備,但是由于技術(shù)保障不成體系,仍然達不到保障信息安全的效果。
1.3 信息安全面臨的威脅不容小覷
信息安全面臨的威脅主要體現(xiàn)在以下三點:
1.3.1 人員威脅
隨著科技的發(fā)展,信息化時代的到來,自動化設(shè)備的提高,人員在信息處理過程中的參與度逐漸減少,另外由于人員的安全意識不高,對于設(shè)備的操作容易造成失誤,還有的人甚至故意破壞,這些行為都給信息安全帶來了極大的隱患。
1.3.2 技術(shù)威脅
技術(shù)威脅主要包括四個方面:
(1)物理方面的威脅:主要指的是信息在存儲和產(chǎn)生以及處理、傳輸、使用的過程當(dāng)中涉及到的物理設(shè)備所處環(huán)境的安全,如果最基本的物理設(shè)備受到了破壞,那么信息安全問題也就無從談起了。(2)系統(tǒng)方面的威脅:主要是指系統(tǒng)受到了病毒、木馬的侵犯導(dǎo)致的系統(tǒng)崩潰,系統(tǒng)的威脅主要來自于安全技術(shù)的滯后。(3)應(yīng)用方面的威脅:主要指應(yīng)用程序帶來的威脅,其本身的誤用、濫用都會帶來安全隱患問題。(4)是數(shù)據(jù)面臨的威脅:信息系統(tǒng)的數(shù)據(jù)是精確的、詳細的,如果遭到了竊取、篡改、偽造,會造成信息系統(tǒng)中數(shù)據(jù)的泄漏和失效,其后果不言而喻。
1.3.3 信息安全組織不完善
信息安全組織負責(zé)管理系統(tǒng)的制定以及規(guī)劃和部署、維護等,推動和領(lǐng)導(dǎo)組織的信息建設(shè),一旦管理不善,勢必會造成信息安全組織體系的混亂,缺乏領(lǐng)導(dǎo)核心,不能協(xié)調(diào)各方面的資源,不能有效監(jiān)督,這些漏洞都會對信息安全造成很大的危害。
2 加強數(shù)據(jù)庫信息系統(tǒng)安全的策略
2.1 用戶認證和鑒別
為了確保數(shù)據(jù)庫的系統(tǒng)安全,對于訪問數(shù)據(jù)庫的用戶必須要進行認證,可以對用戶進行ID、密碼的確認來檢查其身份是否合法,通過用戶認證還可以進行授權(quán)訪問、審計等相應(yīng)的跟蹤。
2.2 數(shù)據(jù)加密
數(shù)據(jù)是數(shù)據(jù)庫系統(tǒng)中重要的信息,因此,對于數(shù)據(jù)的保護格外重要,為了避免不法用戶的盜取、惡意篡改數(shù)據(jù)庫信息數(shù)據(jù),可以通過對數(shù)據(jù)加密來保證其安全,主要有三種加密方式:
(1)字段加密。這種加密模式是直接對數(shù)據(jù)庫當(dāng)中的最小單位進行加密(MD5是目前應(yīng)用最多的密碼字段保護方法)。
(2)文件加密。把重要的信息和文件一起進行加密,在使用文件時對其進行解密,不使用時進行加密。
(3)記錄加密。這種加密模式和文件加密相似,但是加密的單位主要是記錄不是文件,我們訪問數(shù)據(jù)庫時,都是以二維表方式進行的,二維表的每一行就是數(shù)據(jù)庫的一條記錄,以記錄為單位進行加密的話,每讀寫一條記錄,只需進行一次加解密的操作,對于不需要訪問的記錄,完全不需要進行操作,所以使用起來效率會高一些。
2.3 數(shù)據(jù)庫的備份、恢復(fù)
為了避免數(shù)據(jù)庫的丟失,對數(shù)據(jù)庫的備份和恢復(fù)工作要充分、及時,以增強系統(tǒng)的可靠性,最大限度的減少軟件、硬件的故障。
2.4 檢查入侵技術(shù)
檢查入侵技術(shù)顧名思義就是檢查數(shù)據(jù)庫系統(tǒng)是否遭到入侵的技術(shù),根據(jù)IETF,其技術(shù)體系包含四個組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件,事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果,響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應(yīng),也可以只是簡單的報警,事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡單的文本文件。
2.5 防火墻技術(shù)
防火墻技術(shù)可以說是保護數(shù)據(jù)庫系統(tǒng)安全的最重要也是最通用的一項技術(shù),防火墻是不同網(wǎng)絡(luò)安全域間信息唯一的進出口,具有較強的抗攻擊性,能根據(jù)安全政策來允許、監(jiān)測、拒絕進出網(wǎng)絡(luò)的信息,不僅能夠保證網(wǎng)絡(luò)環(huán)境的安全、控制終端信息的外泄,還可以監(jiān)控審計對網(wǎng)絡(luò)的訪問、存取,極大的提高了對數(shù)據(jù)庫信息系統(tǒng)安全防范工作的水平。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger,DNS等服務(wù)。
3 結(jié)束語
數(shù)據(jù)庫信息系統(tǒng)作為重要的信息交換手段、各個企業(yè)良好合作的平臺,它的安全保障措施十分重要,因此,要加強研制新的安全技術(shù),完善數(shù)據(jù)庫信息系統(tǒng)的安全防范,為數(shù)據(jù)庫信息系統(tǒng)提供全面的安全保障。
參考文獻
[1]張華桁,宋立群,柯科峰,王虹菲,宋志成.構(gòu)架信息系統(tǒng)的安全策略研究與開發(fā)[J].計算機工程與應(yīng)用,2010(03):22-26.
[2]劉青.管理信息系統(tǒng)數(shù)據(jù)庫的現(xiàn)狀與安全策略[J].廣東科技,2011(05):11-12.
[3]張呈宇.淺談數(shù)據(jù)庫信息安全問題[J].硅谷,2010(01):33-36.
作者簡介
張瑞浩(1991-),男,安徽省宿州市人。現(xiàn)為遼寧大學(xué)信息學(xué)院碩士研究生。研究方向為計算機系統(tǒng)結(jié)構(gòu)。
本文首先分析了行政事業(yè)單位計算機網(wǎng)絡(luò)安全問題,其次,深入探討了行政事業(yè)單位計算機網(wǎng)絡(luò)安全防范措施,其中包括加強計算機網(wǎng)絡(luò)與信息安全工作,不斷引入和更新網(wǎng)絡(luò)應(yīng)用技術(shù),深入源頭檢查、強化安全管理,加強計算機網(wǎng)絡(luò)的實時監(jiān)測,建立起安全性控制的恢復(fù)與備份機制,具有一定的參考價值。
【關(guān)鍵詞】計算機 網(wǎng)絡(luò) 安全問題 防范
計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展給廣大人民群眾的工作、生活都帶來了較大的便利性,已經(jīng)成為了生活中的重要組成部分,但是計算機網(wǎng)絡(luò)也存在著開放性、共享性等特點,易受到惡意軟件、病毒等的侵害,導(dǎo)致系統(tǒng)受損或者數(shù)據(jù)信息外泄,對于計算機網(wǎng)絡(luò)安全性造成了較大的危害。本文就行政事業(yè)單位計算機網(wǎng)絡(luò)安全問題及其防范措施進行探討。
1 行政事業(yè)單位計算機網(wǎng)絡(luò)安全問題分析
1.1 計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部
1.1.1 系統(tǒng)漏洞
計算機網(wǎng)絡(luò)系統(tǒng)漏洞是行政事業(yè)單位計算機網(wǎng)絡(luò)最為主要的安全隱患,主要體現(xiàn)在協(xié)議層面、軟件層面、硬件層面,若不能及時做好計算機網(wǎng)絡(luò)系統(tǒng)漏洞監(jiān)測工作和防護工作,那么必然會出現(xiàn)計算機網(wǎng)絡(luò)安全問題。
1.1.2 移動存儲介質(zhì)
移動存儲介質(zhì)(如移動硬盤、U 盤等)由于具有易攜帶、小巧方便、通用性強、存儲量大等特點,而被人們廣泛應(yīng)用。但是這些移動存儲介質(zhì)較易染上病毒,易成為信息數(shù)據(jù)竊取者、網(wǎng)絡(luò)病毒攜帶者,嚴重威脅到行政事業(yè)單位計算機網(wǎng)絡(luò)安全。
1.2 計算機網(wǎng)絡(luò)系統(tǒng)外部
1.2.1 網(wǎng)絡(luò)病毒的傳播
雖然很多行政事業(yè)單位的計算機網(wǎng)絡(luò)系統(tǒng)都安殺毒軟件、防火墻等安全防范措施,但網(wǎng)絡(luò)病毒的傳播仍然嚴重威脅到計算機網(wǎng)絡(luò)安全。網(wǎng)絡(luò)病毒的傳播是指黑客人員在計算機網(wǎng)絡(luò)系統(tǒng)中惡意添加各種非法程序指令和程序代碼,有可能會導(dǎo)致計算機系統(tǒng)在短時間之內(nèi)處于癱瘓,進而竊取資源數(shù)據(jù)和信息數(shù)據(jù)。
1.2.2 無授權(quán)條件下的非法訪問
有相當(dāng)數(shù)量的計算機用戶基于各種目的而對未被授權(quán)的網(wǎng)站予以非法訪問,甚至在出現(xiàn)防火墻危險警告時,仍然置若罔聞。無授權(quán)條件下的非法訪問很容易會導(dǎo)致黑客人員將用戶銀行賬戶、通訊賬戶、電子郵件賬戶及密碼盜走。
1.2.3 木馬入侵
木馬入侵主要是指在計算機網(wǎng)絡(luò)系統(tǒng)中有病毒以木馬程序的形式來予以潛伏,在適當(dāng)?shù)臅r候會將計算機系統(tǒng)中的資源數(shù)據(jù)和信息數(shù)據(jù)用遠程控制手段來竊取。
2 如何加強行政事業(yè)單位計算機網(wǎng)絡(luò)安全防范
2.1 加強計算機網(wǎng)絡(luò)與信息安全工作
(1)在職工大會上及時傳達學(xué)習(xí)上級下發(fā)的網(wǎng)絡(luò)與信息安全工作文件精神,進一步強化安全觀念,增強安全意識。牢固樹立“信息安全,人人有責(zé)”的理念,提高計算機安全管理水平和網(wǎng)絡(luò)信息安全意識。 制定完善《計算機設(shè)備管理辦法》、《信息系統(tǒng)安全運維管理辦法》等內(nèi)部管理制度,建立了以各單位負責(zé)人為第一責(zé)任人的安全管理責(zé)任制,并制訂安全管理細則,實行安全責(zé)任層級管理,全面落實網(wǎng)絡(luò)及信息安全責(zé)任。
(2)結(jié)合當(dāng)前開展的標準化試點工作和績效考評的相關(guān)規(guī)定,進一步健全完善網(wǎng)絡(luò)安全制度建設(shè)。規(guī)范管理、規(guī)范操作,統(tǒng)一制作內(nèi)外網(wǎng)識別標簽,在內(nèi)外網(wǎng)設(shè)備和接口的醒目位置分別張貼,杜絕因誤插網(wǎng)線出現(xiàn)違規(guī)外聯(lián)。嚴禁在內(nèi)網(wǎng)網(wǎng)絡(luò)上接入無線路由器等無線設(shè)備,杜絕內(nèi)網(wǎng)及其終端違規(guī)外聯(lián)行為發(fā)生。
(3)加強對行政事業(yè)單位計算機信息網(wǎng)絡(luò)的日常管理,加大日常宣傳和網(wǎng)絡(luò)安全檢查力度,讓安全防范意識固化職工頭腦。不定期組織人員對計算機網(wǎng)絡(luò)管理進行定期與不定期安全檢查,實時監(jiān)控網(wǎng)絡(luò)的運行狀況,按時升級系統(tǒng)補丁,增強對病毒攻擊的防御力,及時發(fā)現(xiàn)處理網(wǎng)絡(luò)運行中出現(xiàn)的問題,確保計算機信息網(wǎng)絡(luò)安全。
2.2 不斷引入和更新網(wǎng)絡(luò)應(yīng)用技術(shù)
行政事業(yè)單位可以積極引入信息加密技術(shù)、防病毒技術(shù)、防火墻技術(shù)、漏洞掃描技術(shù)等網(wǎng)絡(luò)應(yīng)用技術(shù)。為了能夠增強安全防護力度,可同時采用網(wǎng)絡(luò)版病毒防護軟件和單機版病毒防護軟件,將單機版病毒防護軟件安裝在各個計算機單機上,將網(wǎng)絡(luò)版病毒防護軟件安裝在工作站,以便能夠遠程掃描數(shù)據(jù)資源,提高病毒清除效果和系統(tǒng)檢測效果。此外,有條件的單位還可以采取“生物識別技術(shù)”,生物識別技術(shù)包括人的面孔、骨架、指紋等人體特征,屬于加強版的身份驗證方式。
2.3 加強計算機硬件技術(shù)防范
電源故障、線路截獲以及報警系統(tǒng)等其他計算機硬件系統(tǒng)故障的發(fā)生很容易對計算機網(wǎng)絡(luò)的安全性造成影響,因此,要加強計算機硬件的日常維護,筆者認為,行政事業(yè)單位的計算機硬件技術(shù)防范方式適宜采取主動(預(yù)防)方式,主動(預(yù)防)方式屬于基于月份、季節(jié)或者年份而開展的計劃性檢修,提前安排專業(yè)維護人員來對行政事業(yè)單位的計算機硬件進行維護活動。同時,嚴格按信息安全等級保護的有關(guān)工作要求,對操作人員的計算機及應(yīng)用軟件的登錄賬號及密碼,不定期進行風(fēng)險評估,實施跟蹤管理;強化對信息系統(tǒng)重要數(shù)據(jù)的安全管理,并定期進行數(shù)據(jù)備份,確保數(shù)據(jù)不泄露、不丟失。
2.4 加強計算機網(wǎng)絡(luò)的實時監(jiān)測
網(wǎng)絡(luò)檢測是指對網(wǎng)絡(luò)對象的安全性進行信息反饋、信息監(jiān)控,一旦網(wǎng)絡(luò)中存在著數(shù)據(jù)傳輸?shù)那闆r,那么可通過神經(jīng)網(wǎng)絡(luò)數(shù)據(jù)分析、數(shù)據(jù)挖掘、入侵檢測等多種措施來對數(shù)據(jù)的正常與否予以判斷,進而預(yù)測是否存在著異常數(shù)據(jù)流、非法數(shù)據(jù)流。此外,還可以采取相應(yīng)的安全防范技術(shù)來將異常數(shù)據(jù)流、非法數(shù)據(jù)流誘導(dǎo)到偽服務(wù)器、偽主機上,最大限度地避免出現(xiàn)計算機網(wǎng)絡(luò)安全問題。
2.5 建立起安全性控制的恢復(fù)與備份機制
安全控制是指在連接各個網(wǎng)絡(luò)服務(wù)設(shè)備之后所采取的安全保障措施,能夠有效地限制某些不合理控制。建立起安全性控制的恢復(fù)與備份機制,能夠有效地防止出現(xiàn)誤刪重要文件、惡意篡改重要文件等情況、值得注意的是,雖然恢復(fù)與備份機制能夠取得較好的效果,但是操作復(fù)雜,仍然存在著漏洞,還需要在未來的時間內(nèi)予以有效完善,提高成功率。
參考文獻
[1]劉喬佳,李受到,張敏答.試論計算機網(wǎng)絡(luò)安全防范技術(shù)的研究和應(yīng)用[J].計算機光盤軟件與應(yīng)用,2012,24(17):134-136.
[2]黃滔.數(shù)字簽名技術(shù)在校園網(wǎng)辦公自動化中的應(yīng)用[J].科技信息(科學(xué)教研),2014,17(25):109-113.
[3]張微微.淺談機房的管理方案部署與實施[J].湖北廣播電視大學(xué)學(xué)報,2009,26(03):120-124.
作者簡介
陳紹國(1973-),男,哈尼族,云南省元陽縣人。大學(xué)本科學(xué)歷。現(xiàn)為元陽縣電子政務(wù)網(wǎng)絡(luò)管理中心工程師。負責(zé)實施全縣電子政務(wù)建設(shè)工作。
關(guān)鍵詞:安全防范工程 創(chuàng)新型人才培養(yǎng)模式 公安技術(shù)學(xué)科
中圖分類號:G642 文獻標識碼:B 1
項目資助:甘肅省教育科學(xué)“十二五”規(guī)劃課題GS[2011]GHBG027, 甘肅政法學(xué)院2012校級教改項目 GZJG2012-B17
一、安全防范工程專業(yè)的現(xiàn)狀
2011年3月,國務(wù)院學(xué)位委員和教育部批準在工學(xué)門類下增列“公安技術(shù)學(xué)”一級學(xué)科。2011年12月,在原公安分院和計算機科學(xué)學(xué)院的基礎(chǔ)上成立了公安技術(shù)學(xué)院,是目前省內(nèi)唯一、國內(nèi)最早的,以公安技術(shù)一級學(xué)科為專業(yè)支撐的工科院系。目前,我院公安技術(shù)一級學(xué)科下設(shè)刑事科學(xué)技術(shù)、信息安全、安全防范工程三個專業(yè)。目前我校是國內(nèi)較早的開設(shè)安全防范工程專業(yè)的本科學(xué)校之一,該專業(yè)目標是培養(yǎng)入行業(yè)、精技術(shù)、懂管理的專門人才,在搞好基礎(chǔ)建設(shè)的同時,探索工程化培養(yǎng)模式,為我校進入“卓越工程師人才培養(yǎng)計劃”奠定良好的基礎(chǔ)。
二、特色專業(yè)建設(shè)
1、專業(yè)建設(shè)及課程改革
我院的公安技術(shù)學(xué)科建設(shè)主體思路為打造以刑事科學(xué)技術(shù)專業(yè)為支撐平臺,以安全防范工程專業(yè)為工程基地,信息安全專業(yè)為交叉應(yīng)用的專業(yè)發(fā)展模式,使各專業(yè)間交叉融合、相互支撐、協(xié)調(diào)發(fā)展,形成優(yōu)勢穩(wěn)定的專業(yè)群,并為后續(xù)新專業(yè)的申請留出接口,計劃新增專業(yè)消防工程、公安視聽技術(shù)專業(yè)的申報和規(guī)劃建設(shè)工作,為刑事科學(xué)技術(shù)二級學(xué)科碩士學(xué)位點的建設(shè)創(chuàng)造條件。公安技術(shù)學(xué)科教學(xué)體系建設(shè)需要積極和兄弟院校的交流溝通,大量走訪公安、安全信息部門等部門,廣泛征求意見的基礎(chǔ)上,并后,確定了教學(xué)大綱、課程體系規(guī)劃、教與學(xué)的實踐、以及目標評價。教學(xué)體系每過兩年定期進行課程的建設(shè)和改革。
1)教學(xué)大綱的構(gòu)建
教學(xué)大綱中一系列教學(xué)目標由5部分內(nèi)容構(gòu)成,包括“大學(xué)生基礎(chǔ)課程”、“警察刑警”、“專業(yè)基礎(chǔ)課”、“專業(yè)選修課”和“基本技能”為模塊進行設(shè)計。大綱具體描述了學(xué)生在工程教學(xué)項目結(jié)束后掌握了什么、會做什么。
2)課程體系構(gòu)建
(1)以實現(xiàn)為主導(dǎo)課程體系
學(xué)院基于工程人才培養(yǎng)模式,根據(jù)公安類院校人才培養(yǎng)目標,確定了以實現(xiàn)為主導(dǎo)的課程體系,即能滿足民用企業(yè)實用的技術(shù),又能針對公安部門的專業(yè)特色。重點具有懂刑事辦案,到刑警部門他們有計算機專業(yè)特色,懂得安全防范工程體系的優(yōu)勢。同時培養(yǎng)學(xué)生的工程實踐能力、工程施工能力和技術(shù)創(chuàng)新能力,同時兼顧工程的構(gòu)思、設(shè)計和運作,培養(yǎng)具有工程創(chuàng)新能力和團隊協(xié)作能力的高應(yīng)用人才。
(2)公安技術(shù)課程體系建設(shè)
課程體系建設(shè)是教學(xué)的核心內(nèi)容之一,是圍繞建設(shè)以公安特色專業(yè)為支撐來系統(tǒng)地培養(yǎng)學(xué)生掌握刑事科學(xué)技術(shù)、信息安全、安全防范工程專業(yè)技能。教學(xué)改革加強各門課程之間的聯(lián)系與互相支撐,注重學(xué)生的自身能力、團隊合作能力、知識的獲取與創(chuàng)新能力以及終生學(xué)習(xí)能力。鼓勵以項目工程開發(fā)方式促進學(xué)生和老師技能和動手能力的培養(yǎng),將基礎(chǔ)課系統(tǒng)和專業(yè)實驗,實驗訓(xùn)練,實習(xí)既成系統(tǒng)又相互融合。
這種課程結(jié)構(gòu)會促進專業(yè)知識的學(xué)習(xí),同時設(shè)計有靈活的集成項目,提高學(xué)生設(shè)計實施經(jīng)驗和實施運作經(jīng)驗,也鼓勵老師對自己的課程進行教學(xué)改革,添加實踐能力培養(yǎng)。鼓勵老師對外承接項目和申報課題,以項目帶動促進學(xué)習(xí)。
2. 教材及著作建設(shè)
公安技術(shù)學(xué)科教材和著作是開展教學(xué)活動、實現(xiàn)既定培養(yǎng)目標的基本工具,因此教材建設(shè)工作是公安技術(shù)學(xué)科發(fā)展的一項基本工作。針對當(dāng)前公安技術(shù)學(xué)科教材建設(shè)中存在的問題進行分析,指出公安技術(shù)學(xué)科教材建設(shè)必須以完善的公安技術(shù)學(xué)科課程體系作指導(dǎo),材建設(shè)規(guī)劃,并采取措施鼓勵高水平的教師參加教材編寫.保證教材質(zhì)量,以提高公安技術(shù)學(xué)科教材建設(shè)的整體水平。
3.精品課程建設(shè)
學(xué)院非常重視公安技術(shù)學(xué)科課程建設(shè),對每門課程都有經(jīng)費投入,優(yōu)先保證精品課程建設(shè)經(jīng)費投入。經(jīng)費按建設(shè)任務(wù)書分步、及時足額投入。對省級精品課程建設(shè)項目再給配套,并在課程負責(zé)人培養(yǎng)、課程團隊建設(shè)、實訓(xùn)條件建設(shè)、課程資源建設(shè)等方面給予政策傾斜。
三、實驗室建設(shè)
根據(jù)安全防范工程專業(yè)教學(xué)計劃及專業(yè)特色,安全防范工程專業(yè)擬建設(shè)實驗室9個,其中專業(yè)基礎(chǔ)實驗室5個,分別是電路分析與模擬電子技術(shù)實驗室、數(shù)字電子技術(shù)與EDA實驗室、系統(tǒng)仿真實驗室、非線性電子線路與通信原理實驗室、單片機實驗室;專業(yè)實驗室4個,分別是入侵報警實驗室、視頻安防監(jiān)控實驗室、出入口控制實驗室、安防運營模式實驗室。逐步建設(shè)安全防范系統(tǒng)仿真實驗室、DSP開發(fā)研究實驗室、實戰(zhàn)綜合指揮中心、公安計算機網(wǎng)絡(luò)實驗室等專項實驗室,在有條件的基礎(chǔ)上,將以模擬實驗街區(qū)作為安全防范警務(wù)實訓(xùn)和系統(tǒng)檢測的場所。隨著以上實驗室的建設(shè),設(shè)置創(chuàng)新實驗平臺,可為本科生課程提供的實踐教學(xué)基地,還可為相應(yīng)的課程設(shè)計和畢業(yè)設(shè)計提供支持。同時,也能為等相關(guān)研究領(lǐng)域提供科研實踐支持。
在此基礎(chǔ)上,繼續(xù)完成專業(yè)實踐教學(xué)基地的建設(shè),同時配合試驗管理中心、國資委等部門完成省財政資金省重點實驗室的建設(shè)工作。
四、專業(yè)實踐教學(xué)
1.實訓(xùn)基地建設(shè)
建立新型的實訓(xùn)基地,把學(xué)生輪崗實訓(xùn)、教師技術(shù)開發(fā)和產(chǎn)品融為一體。營造公安實際辦案需求和現(xiàn)代企業(yè)環(huán)境和文化氛圍,具有的小型化、多樣化、實戰(zhàn)化實踐場所。以此為依托,建設(shè)教學(xué)、科研、技術(shù)開發(fā)、服務(wù)、培訓(xùn)相結(jié)合的多功能綜合技術(shù)開發(fā)中心。中心既要擁有現(xiàn)有實戰(zhàn)技術(shù),又要著眼未來新技術(shù),發(fā)揮高新技術(shù)孵化器的作用。并通過技術(shù)合作、優(yōu)勢互補,加強校外實訓(xùn)基地建設(shè)。
2.校企、校局合作及對外交流
校企、校局合作是公安技術(shù)專業(yè)謀求自身發(fā)展、實現(xiàn)與一線實踐部門接軌、大力提高育人質(zhì)量、有針對性地為公安及企事業(yè)單位培養(yǎng)一線實用型技術(shù)人才的重要舉措,讓學(xué)生把在校所學(xué)與實際業(yè)務(wù)有機結(jié)合,讓學(xué)校和單位的設(shè)備、技術(shù)實現(xiàn)優(yōu)勢互補、資源共享,以切實提高育人的針對性和實效性,提高技能型人才的培養(yǎng)質(zhì)量。重點建設(shè)實訓(xùn)基地有刑事科學(xué)技術(shù)實訓(xùn)基地、網(wǎng)絡(luò)安全監(jiān)察實訓(xùn)基地、安全防范工程實訓(xùn)基地、網(wǎng)絡(luò)攻防和信息安全實訓(xùn)基地等。
3.公安特色專業(yè)技能競賽
通過公安特色專業(yè)技能競賽競賽,促進公安技術(shù)類專業(yè)面向行業(yè)應(yīng)用進一步優(yōu)化課程設(shè)置、改善教學(xué)方法、創(chuàng)新培養(yǎng)模式、深化校企合作。通過競賽提高學(xué)生的面向應(yīng)用實踐能力,促進學(xué)生對相關(guān)崗位的了解,提高公安特色專業(yè)的社會認可度,提高學(xué)生的就業(yè)質(zhì)量和就業(yè)水平。考慮到公安技術(shù)學(xué)科的專業(yè)特色,提前組織學(xué)生,參與賽前的集訓(xùn)。參賽項目包括全國信息安全大賽,全國網(wǎng)絡(luò)對抗大賽,全國安全防范技術(shù)類大賽,全國電子設(shè)計大賽和校內(nèi)公安技術(shù)比武競賽。
五、師資隊伍建設(shè)
公安技術(shù)學(xué)科的教師在日常的授課內(nèi)容中多以理論知識為主,而實踐應(yīng)用能力較弱。實施“走出去”的戰(zhàn)略,讓教師根據(jù)課程內(nèi)容的需要,到重點大學(xué)進修加強理論基礎(chǔ),學(xué)習(xí)教學(xué)模式;到公安實戰(zhàn)部門鍛煉和聽專業(yè)系的課程,了解公安一線需要,并學(xué)習(xí)涉計算機案件的辦案方法。實施“引進來”的戰(zhàn)略,聘請經(jīng)驗豐富的教師擔(dān)任榮譽教授、客座教授對專業(yè)建設(shè)和科研進行指導(dǎo),請有經(jīng)驗的工程師、辦案人員走進校園貼近教學(xué),讓學(xué)生了解實際應(yīng)用。
參考文獻
關(guān)鍵詞:信息安全;網(wǎng)絡(luò)安全;安全對策
在校園網(wǎng)中信息系統(tǒng)的安全問題成為一個擺在我們這些IT人面前的一個課題。根據(jù)多年的信息化工作實踐,總結(jié)分析了如下的安全威脅及應(yīng)對策略。
1網(wǎng)絡(luò)信息面臨安全威脅
網(wǎng)絡(luò)系統(tǒng)安全包括網(wǎng)絡(luò)安全和信息安全,網(wǎng)絡(luò)安全指基于網(wǎng)絡(luò)運作和網(wǎng)絡(luò)間的互聯(lián)互通造成的物理線路和連接的安全、網(wǎng)絡(luò)系統(tǒng)安全、操作系統(tǒng)安全、應(yīng)用服務(wù)安全、人員管理安全等幾個方面。1.1信息安全指數(shù)據(jù)的保密性、完整性、真實性、可用性、不可否認性及可控性等安全。1.2病毒和木馬的威脅。病毒分為傳統(tǒng)病毒和蠕蟲病毒,蠕蟲病毒對網(wǎng)絡(luò)的危害性更大。木馬是一段隱藏在宿主合法程序系統(tǒng)中的非法程序段,進行偵查竊聽、信息竊取或進行破壞活動。1.3黑客攻擊。一是利用系統(tǒng)的漏洞或后門進行網(wǎng)絡(luò)攻擊,攻擊對象信息系統(tǒng)及數(shù)據(jù)導(dǎo)致信息系統(tǒng)癱瘓。再就是間諜行為,進行截獲、竊取、破譯對方重要的機密信息。1.4網(wǎng)站注入代碼和掛馬。利用操作系統(tǒng)漏洞對網(wǎng)站進行SQL代碼注入和掛馬。1.5來自內(nèi)部的威脅。由于內(nèi)部工作人員安全防范意識比較的薄弱,可能會造成無意的信息泄露,會給惡意的攻擊者提供了可乘之機。另外高校的學(xué)生多好奇心極強,也會嘗試著利用各類黑客攻擊工具進行對內(nèi)和對外的攻擊。
2應(yīng)對安全威脅的策略
那么來自方方面面的這些威脅我們應(yīng)該如何應(yīng)對呢?面對這些威脅我們應(yīng)該從以下幾方面來應(yīng)對。2.1采用防火墻等設(shè)備將校園網(wǎng)與互聯(lián)網(wǎng)隔離開,防止外界的非法侵入,配置訪問策略確保校園網(wǎng)內(nèi)網(wǎng)的安全。2.2加強網(wǎng)絡(luò)間訪問控制,將校園網(wǎng)劃分為若干子網(wǎng),通過ACL控制,可以禁止非法訪問,同時也可以避免類似ARP等蠕蟲病毒的傳播和泛濫。2.3操作系統(tǒng)的漏洞及時進行修補,避免被黑客等利用,對重要的信息系統(tǒng)還要做系統(tǒng)強化,甚至需要做堡壘機。2.4加強病毒防護,包括在服務(wù)器安裝企業(yè)版病毒防火墻、用戶終端安裝病毒防護查殺軟件等。2.5由于傳統(tǒng)防火墻是基于網(wǎng)絡(luò)層的防御,而現(xiàn)在的入侵攻擊多是基于應(yīng)用層的攻擊如:黑客攻擊、網(wǎng)站注入代碼和掛馬等攻擊。因此在數(shù)據(jù)中心等重要部位還需要增加應(yīng)用層的防護設(shè)備如WAF或下一代防火墻以及入侵防御等防護設(shè)備,加強網(wǎng)站、數(shù)據(jù)庫服務(wù)器等防護。2.6針對重點數(shù)據(jù)信息,需要采用加密的方式進行數(shù)據(jù)的處理。2.7對需要登陸內(nèi)部信息系統(tǒng)的用戶,可以采用VPN技術(shù),以保證通訊不被偵聽和竊取。2.8加強內(nèi)部人員的安全培訓(xùn)教育,提高人們的安全防范意識,建立安全管理制度,規(guī)范內(nèi)部人員的上網(wǎng)行為,避免來自內(nèi)部的安全威脅。對學(xué)生的教育和監(jiān)管,必要時可以使用上網(wǎng)行為管理器對內(nèi)部人員的上網(wǎng)行為進行規(guī)范。2.9制定預(yù)案,一旦信息系統(tǒng)遭到攻擊,我們應(yīng)該第一時間做出反應(yīng),按照預(yù)案采取措施,以最大限度的減少損失。
3結(jié)論
針對網(wǎng)絡(luò)信息安全,沒有絕對的安全,道高一尺魔高一丈,我們除了應(yīng)該加強技術(shù)防范還應(yīng)該加強網(wǎng)絡(luò)信息安全制度建設(shè)管理,使技術(shù)防范與制度管理相輔相成相互促進。要嚴格按照國家相關(guān)部門要求對校園網(wǎng)中運行的信息系統(tǒng)進行系統(tǒng)等級保護的相關(guān)處理。
總之,校園網(wǎng)絡(luò)信息安全管理是一個長期的過程,是重要的也是很難的任務(wù),我們應(yīng)該盡可能的提高校園網(wǎng)絡(luò)的安全性,保護重要的數(shù)據(jù)不被惡意的竊取,重要的信息系統(tǒng)不被攻擊,并在發(fā)生安全問題時能及時的處理好,降低危險的破壞程度,使損失和影響減少到最低程度。
作者:李學(xué)強 單位:沈陽體育學(xué)院網(wǎng)絡(luò)中心
參考文獻
[1]程雪松,趙慧.校園計算機網(wǎng)絡(luò)安全與防范策略分析[J].電子技術(shù)與軟件工程,2014(7).
[2]陳強.網(wǎng)絡(luò)安全管理綜合分析[J].電子技術(shù)與軟件工程,2014(7).
[3]晉泳江.淺談網(wǎng)絡(luò)安全防范體系與設(shè)計原則[J].電子技術(shù)與軟件工程,2014(7).
