網(wǎng)絡(luò)安全建設(shè)的背景大全11篇
時(shí)間:2023-11-17 09:41:08緒論:寫作既是個(gè)人情感的抒發(fā),也是對學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇網(wǎng)絡(luò)安全建設(shè)的背景范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
在我國互聯(lián)網(wǎng)事業(yè)不斷壯大的背景下,網(wǎng)絡(luò)安全工作逐漸引起人們的重視。要想進(jìn)一步提升網(wǎng)絡(luò)安全建設(shè)工作,就要以數(shù)據(jù)加密技術(shù)為重要手段,從而提升數(shù)據(jù)保密性和安全性,使網(wǎng)絡(luò)環(huán)境呈現(xiàn)出安全性高、嚴(yán)謹(jǐn)性強(qiáng)及綠色網(wǎng)絡(luò)的狀態(tài)。對于網(wǎng)絡(luò)安全管理工作要進(jìn)一步加大整合力度,提升對風(fēng)險(xiǎn)威脅的安全防護(hù)工作和計(jì)算機(jī)數(shù)據(jù)保密和管理工作。下面就以網(wǎng)絡(luò)安全為切入點(diǎn),探討在網(wǎng)絡(luò)安全建設(shè)工作中如何更好地利用數(shù)據(jù)加密技術(shù),進(jìn)一步增強(qiáng)計(jì)算機(jī)數(shù)據(jù)的安全性,從而構(gòu)建符合社會(huì)主義社會(huì)和諧發(fā)展的綠色互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境,提升網(wǎng)絡(luò)安全程度,保障人們的數(shù)據(jù)信息安全。
1.網(wǎng)絡(luò)安全與數(shù)據(jù)加密技術(shù)
1.1網(wǎng)絡(luò)安全的概述
網(wǎng)絡(luò)安全指的是在網(wǎng)絡(luò)系統(tǒng)的支配下,計(jì)算機(jī)中的硬件、軟件以及內(nèi)含的所有數(shù)據(jù)信息在安全的環(huán)境中生存和作業(yè),被不同形式的保護(hù)方式所保護(hù),以免受到惡意病毒程序的攻擊與干擾,從而防止自有數(shù)據(jù)出現(xiàn)被破壞、被篡改、被竊取及被泄露等情況。網(wǎng)絡(luò)安全的維護(hù)和安全程度的保證是依靠網(wǎng)絡(luò)安全管理獲得的。
1.2數(shù)據(jù)加密技術(shù)的介紹
數(shù)據(jù)加密技術(shù)是以網(wǎng)絡(luò)信息數(shù)據(jù)為對象進(jìn)行保障性質(zhì)的計(jì)算機(jī)技術(shù),目的就是維護(hù)計(jì)算機(jī)數(shù)據(jù)安全和信息管理系統(tǒng)的正常、穩(wěn)定運(yùn)行。數(shù)據(jù)加密技術(shù)是以密碼學(xué)為基礎(chǔ),通過對信息數(shù)據(jù)進(jìn)行加密算法的綁定和加密秘鑰的維護(hù),實(shí)現(xiàn)數(shù)據(jù)的不可窺視和隨意調(diào)動(dòng),起到了數(shù)據(jù)信息的保護(hù)和隱蔽功能。從數(shù)據(jù)流角度來說,數(shù)據(jù)加密技術(shù)是利用有線路加密方式對信息源頭的終端進(jìn)行密碼維護(hù),不考慮信號(hào)源和數(shù)據(jù)的只讀性,實(shí)現(xiàn)任意數(shù)據(jù)形式的密鑰產(chǎn)生、分配、保存、更換與銷毀的―系列環(huán)節(jié)。
2.威脅計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)信息安全的原因
2.1計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)被入侵
據(jù)相關(guān)數(shù)據(jù)統(tǒng)訛黑客通過非法入侵程序攻破對方互聯(lián)網(wǎng)防火墻,使計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)遭受任意窺視和數(shù)據(jù)竊取等,對數(shù)據(jù)安全和信息保密工作產(chǎn)生了很大程度的破壞,導(dǎo)致的后果非常嚴(yán)重。伴隨互聯(lián)網(wǎng)平臺(tái)功能多元化發(fā)展,在日常生活中,人們的個(gè)人隱私及信息數(shù)據(jù)等在網(wǎng)絡(luò)中的安全性相對來說低了很多。所以,在網(wǎng)絡(luò)安全中,針對計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)的防護(hù)工作非常重要,要進(jìn)一步保障數(shù)據(jù)的安全性和保密性。如果計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)遭到了破壞,不僅對人們的信息保密帶來消極影響,更對人們的人身安全、財(cái)產(chǎn)安全等帶來非常重大的影響。
2.2計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)被破壞
當(dāng)惡意破壞計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)時(shí),主要是針對信息庫中的信息數(shù)據(jù)進(jìn)行盜取和篡改。不法分子會(huì)進(jìn)一步利用破壞程序?qū)ν旰玫木W(wǎng)絡(luò)系統(tǒng)進(jìn)行惡意破壞,讓程序無法正常運(yùn)轉(zhuǎn),并且自動(dòng)擾亂正常作業(yè)程序。系統(tǒng)中的所有信息數(shù)據(jù)都處于解綁邊緣,只要黑客對數(shù)據(jù)進(jìn)行二次復(fù)制,眾多數(shù)據(jù)就會(huì)流傳到互聯(lián)網(wǎng)中的任意一個(gè)角落,使得網(wǎng)絡(luò)安全被置于很低的位置。當(dāng)計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)被破壞之后,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的服務(wù)器就會(huì)被不法分子占領(lǐng),其中服務(wù)器的密碼、網(wǎng)關(guān)掩碼及相關(guān)網(wǎng)絡(luò)程序的密碼和口令等都已經(jīng)被對方控制和竊取,不法分子通過盜取密碼或者重新編制密碼之后,對整個(gè)計(jì)算機(jī)實(shí)現(xiàn)遠(yuǎn)程控制,那么用戶所有的秘密就不再是秘密,會(huì)造成不可估量的損失。
3.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用價(jià)值
3.1嚴(yán)格把控計(jì)算機(jī)數(shù)據(jù)信息管理
從網(wǎng)絡(luò)安全角度而言,要想提升網(wǎng)絡(luò)安全程度,最關(guān)鍵的就是從計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)入手。而計(jì)算機(jī)數(shù)據(jù)加密技術(shù)對于加強(qiáng)計(jì)算機(jī)數(shù)據(jù)信息管理系統(tǒng)的穩(wěn)定性和防護(hù)性都具有非常關(guān)鍵的作用。通常情況下,計(jì)算機(jī)數(shù)據(jù)加密技術(shù)包括對計(jì)算機(jī)內(nèi)部的數(shù)據(jù)維護(hù)、數(shù)據(jù)加密、權(quán)限設(shè)置、數(shù)據(jù)流量實(shí)時(shí)監(jiān)控技術(shù)等。在此基礎(chǔ)上,計(jì)算機(jī)數(shù)據(jù)加密技術(shù)的數(shù)據(jù)備份功能能夠嚴(yán)格把握和監(jiān)控?cái)?shù)據(jù)庫的數(shù)據(jù)信息資源走向和狀態(tài),將全能性宗旨放在首位,能進(jìn)一步增強(qiáng)計(jì)算機(jī)數(shù)據(jù)管理性能。
3.2維護(hù)計(jì)算機(jī)信息安全
計(jì)算機(jī)數(shù)據(jù)加密技術(shù)在網(wǎng)絡(luò)安全管理體系中占據(jù)著非常重要的角色,因此,要科學(xué)合理地設(shè)計(jì)計(jì)算機(jī)數(shù)據(jù)加密技術(shù),提升網(wǎng)絡(luò)安全工作效率,加強(qiáng)網(wǎng)絡(luò)安全性能。比如,通過計(jì)算機(jī)數(shù)據(jù)加密技術(shù),使網(wǎng)絡(luò)安全中心大大提升對外來信息的審查度和監(jiān)測度,對本地信息庫中的所有信息都實(shí)現(xiàn)了雙重保護(hù)功能,在防火墻的下,需要利用數(shù)據(jù)加密技術(shù)對數(shù)據(jù)信息管理系統(tǒng)中的每個(gè)文件進(jìn)行解鎖,才有可能獲得信息資源。
3.3在電子商務(wù)中的加密功能
篇(2)
1前言
隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實(shí)踐,制造業(yè)工業(yè)控制系統(tǒng)的應(yīng)用越來越多,隨之而來的網(wǎng)絡(luò)安全威脅的問題日益突出。特別是國家重點(diǎn)行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個(gè)國家經(jīng)濟(jì)命脈,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)一旦出現(xiàn)特殊情況可能會(huì)引發(fā)直接的人員傷亡和財(cái)產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務(wù)的安全建設(shè)為例介紹工業(yè)信息安全防護(hù)思路,系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性,以網(wǎng)絡(luò)安全法和工業(yè)基礎(chǔ)設(shè)施的相關(guān)法規(guī)和要求等為依據(jù),并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀,從技術(shù)設(shè)計(jì)和管理系統(tǒng)建設(shè)兩個(gè)方面來構(gòu)建工控系統(tǒng)網(wǎng)絡(luò)安全。
2工業(yè)信息安全概述
2.1工控網(wǎng)絡(luò)的特點(diǎn)
工業(yè)控制系統(tǒng)是指各種自動(dòng)化組件、過程監(jiān)控組件共同構(gòu)成的以完成實(shí)時(shí)數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測控制的管控系統(tǒng),也可以說工業(yè)控制系統(tǒng)是控制技術(shù)(Control)、計(jì)算機(jī)技術(shù)(Computer)、通信技術(shù)(Communication)、圖形顯示技術(shù)(CRT)和網(wǎng)絡(luò)技術(shù)(Network)相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡(luò)安全是指工業(yè)自動(dòng)控制系統(tǒng)網(wǎng)絡(luò)安全,涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領(lǐng)域,其中超過60%的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施(如公路、軌道交通等)都依靠工控系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè)。
2.2國內(nèi)外工業(yè)安全典型事件
眾所周知,工業(yè)控制系統(tǒng)是國家工業(yè)基礎(chǔ)設(shè)施的重要組成部分,近年來由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展,使得工控系統(tǒng)正逐漸成為網(wǎng)絡(luò)戰(zhàn)的重點(diǎn)攻擊目標(biāo),不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡(luò)安全正面臨著嚴(yán)峻的挑戰(zhàn)。(1)美國列車信號(hào)燈宕機(jī)事件2003年發(fā)生在美國佛羅里達(dá)州鐵路服務(wù)公司的計(jì)算機(jī)遭遇震網(wǎng)病毒感染,導(dǎo)致美國東部海岸的列車信號(hào)燈系統(tǒng)瞬間宕機(jī),部分地區(qū)的高速環(huán)線停運(yùn)。這次事件主要是由于感染震網(wǎng)病毒引起的,而這種病毒常被用來定向攻擊基礎(chǔ)(能源)設(shè)施,比如國家電網(wǎng)、水壩、核電站等。(2)烏克蘭電網(wǎng)攻擊事件2015年,烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電,調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站,在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓?jiān)斐赏k娛鹿省#?)舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年,黑客攻擊美國舊金山輕軌系統(tǒng),造成上千臺(tái)服務(wù)器和工作站感染勒索病毒,數(shù)據(jù)全部被加密,售票系統(tǒng)全面癱瘓。其實(shí)國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件,主要也是因?yàn)楦腥纠账鞑《疽鸬摹@账鞑《靖腥玖酥匾獦I(yè)務(wù)系統(tǒng)里面的一些工作站,例如在軌道交通行業(yè)里的典型系統(tǒng):綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號(hào)系統(tǒng)等,其中大部分是由于移動(dòng)接入設(shè)備的不合規(guī)使用而帶來的風(fēng)險(xiǎn)。從以上事件可以看出,攻擊者要發(fā)動(dòng)網(wǎng)絡(luò)攻擊只需發(fā)送一個(gè)普通的病毒就可以達(dá)到目的,隨著網(wǎng)絡(luò)攻擊事件的頻發(fā)和各種復(fù)雜病毒的出現(xiàn),讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財(cái)產(chǎn)安全正遭受著嚴(yán)重的威脅。
2.3工控安全參考標(biāo)準(zhǔn)、規(guī)范
作為國家基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng),正面臨著來自網(wǎng)絡(luò)攻擊等的威脅,為此針對工控網(wǎng)絡(luò)安全,我國制定和了相關(guān)法律法規(guī)來指導(dǎo)網(wǎng)絡(luò)安全建設(shè)防護(hù)工作。其中有國家標(biāo)準(zhǔn)委在2016年10月的《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序》《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC)第1部分:系統(tǒng)要求》等多項(xiàng)國家標(biāo)準(zhǔn)[2]。同年,工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,該標(biāo)準(zhǔn)以當(dāng)前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點(diǎn),分別從技術(shù)防護(hù)和管理設(shè)計(jì)兩方面來對工業(yè)控制系統(tǒng)的安全防護(hù)提出建設(shè)防護(hù)要求。2017年6月,《網(wǎng)絡(luò)安全法》開始實(shí)施,網(wǎng)安法從不同的網(wǎng)絡(luò)層次規(guī)定了網(wǎng)絡(luò)安全的檢測、評估以及防護(hù)和管理等要求,促進(jìn)了我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展。
3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析
軌道交通信號(hào)系統(tǒng)(CBTC)是基于通信技術(shù)的列車控制系統(tǒng),該系統(tǒng)依靠通信技術(shù)實(shí)現(xiàn)“車地通信”并且實(shí)時(shí)地傳遞“列車定位”信息[3]。目前CBTC安全建設(shè)存在以下問題:(1)網(wǎng)絡(luò)邊界無隔離隨著CBTC的集成度越來越高,各個(gè)子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切,根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場,根據(jù)業(yè)務(wù)又劃分為ATO、ATS、CI、DCS等多個(gè)子系統(tǒng),各區(qū)域之間沒有做好訪問控制措施,缺失入侵防范和監(jiān)測的舉措。各個(gè)子系統(tǒng)之間一般都是互聯(lián)互通的,不同的子系統(tǒng)由于承載的業(yè)務(wù)的重要等級不同也是需要對其邊界進(jìn)行防護(hù)的,還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。(2)網(wǎng)絡(luò)異常查不到針對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵行為一般隱蔽性很強(qiáng),沒有專門的設(shè)備去檢測的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計(jì)記錄和追溯的手段,等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進(jìn)行實(shí)時(shí)監(jiān)測和記錄,不能及時(shí)發(fā)現(xiàn)高級持續(xù)威脅、不能有效應(yīng)對攻擊、不能及時(shí)發(fā)現(xiàn)各種異常操作。(3)工作站、服務(wù)器無防護(hù)CBTC系統(tǒng)工作站、服務(wù)器的大部分采用Windows系列的操作系統(tǒng),還有一部分Linux系列的操作系統(tǒng),系統(tǒng)建設(shè)之初基本不會(huì)對工作站和服務(wù)器的操作系統(tǒng)進(jìn)行升級,操作系統(tǒng)在使用過程中不斷暴露漏洞,而系統(tǒng)漏洞又無法得到及時(shí)的修復(fù),這都會(huì)導(dǎo)致工作站和服務(wù)器面臨風(fēng)險(xiǎn)。沒有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務(wù),沒有加強(qiáng)系統(tǒng)的密碼策略。除此之外,運(yùn)維人員可以在調(diào)試過程中在操作站和服務(wù)器上安裝與業(yè)務(wù)無關(guān)的軟件,也可能會(huì)開啟操作系統(tǒng)的遠(yuǎn)程功能,上線后也不會(huì)關(guān)閉此功能,這些操作都會(huì)使得系統(tǒng)配置簡單,更容易受到攻擊。目前在CBTC系統(tǒng)各個(gè)區(qū)域部分尚未部署桌管軟件和殺毒軟件,無法對USB等外接設(shè)備的接入行為進(jìn)行管控,隨意使用移動(dòng)存儲(chǔ)介質(zhì)的現(xiàn)象非常普遍,這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。(4)運(yùn)維管理不完善單位內(nèi)安全組織機(jī)構(gòu)人員職責(zé)不完善,缺乏專業(yè)的人員。沒有針對信號(hào)系統(tǒng)成立專門的安全管理部門,未明確相關(guān)業(yè)務(wù)部門的安全職責(zé)和職員的技能要求,也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡(luò)安全管理制度政策來規(guī)劃安全建設(shè)和設(shè)計(jì)工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運(yùn)維工作外包給第三方人員后并無相關(guān)的審計(jì)和監(jiān)控措施,當(dāng)?shù)谌竭\(yùn)維人員進(jìn)行設(shè)備維護(hù)時(shí),業(yè)務(wù)系統(tǒng)的運(yùn)營人員不能及時(shí)了解第三方運(yùn)維人員是否存在誤操作行為,一旦發(fā)生事故無法及時(shí)準(zhǔn)確定位問題原因、影響范圍和責(zé)任追究。目前CBTC系統(tǒng)的網(wǎng)絡(luò)采用物理隔離,基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡(luò)后,工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全防護(hù)措施無法有效抵御來自外部的攻擊和威脅,而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡(luò)邊界實(shí)現(xiàn),因此做好邊界保護(hù)尤為重要。
4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系
工控系統(tǒng)信息化建設(shè)必須符合國家有關(guān)規(guī)定,從安全層面來看要符合國家級防護(hù)的相關(guān)要求,全面規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)安全保障體系,使得工控體系符合相關(guān)安全標(biāo)準(zhǔn),確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護(hù)體系,通過管理和技術(shù)實(shí)現(xiàn)主被動(dòng)安全相結(jié)合,有效提升了工控業(yè)務(wù)系統(tǒng)的安全防護(hù)能力。根據(jù)業(yè)務(wù)流量和業(yè)務(wù)功能特點(diǎn)以及工控系統(tǒng)網(wǎng)絡(luò)安全的基本要求來設(shè)計(jì)不同的項(xiàng)目技術(shù)方案,從技術(shù)角度來識(shí)別系統(tǒng)的安全風(fēng)險(xiǎn),依據(jù)系統(tǒng)架構(gòu)來設(shè)計(jì)安全加固措施,同時(shí)還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡(luò)安全管理制度體系,來確保整體業(yè)務(wù)系統(tǒng)的安全有效運(yùn)行。
4.1邊界訪問控制
考慮到資產(chǎn)的價(jià)值、重要性、部署位置、系統(tǒng)功能、控制對象等要素,我們將軌道交通信號(hào)系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)劃分為多個(gè)子安全域,根據(jù)CBTC業(yè)務(wù)的重要性、實(shí)時(shí)性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對現(xiàn)場受控設(shè)備的影響程度等,將工控網(wǎng)絡(luò)劃分成不同的安全防護(hù)區(qū)域,所有業(yè)務(wù)子系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權(quán)限分配、訪問控制等安全措施來實(shí)現(xiàn)工業(yè)現(xiàn)場中的設(shè)備登錄控制、應(yīng)用服務(wù)資源訪問的身份認(rèn)證管理,使得只有獲得授權(quán)的用戶才能對現(xiàn)場設(shè)備進(jìn)行數(shù)據(jù)更新、參數(shù)設(shè)定,在控制設(shè)備及監(jiān)控設(shè)備上運(yùn)行程序、標(biāo)識(shí)相應(yīng)的數(shù)據(jù)集合等操作,防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測與審計(jì)網(wǎng)絡(luò)入侵檢測主要用于檢測網(wǎng)絡(luò)中的惡意探測和惡意攻擊行為,常見有網(wǎng)絡(luò)蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設(shè)備掃描探測操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡(luò)資產(chǎn)和應(yīng)用,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的安全漏洞,提出修復(fù)和整改建議來保障系統(tǒng)和設(shè)備自身的安全性。惡意代碼防護(hù)可以檢測、查殺和抵御各種病毒,如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設(shè)備來及時(shí)發(fā)現(xiàn)識(shí)別系統(tǒng)設(shè)備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強(qiáng)安全審計(jì)管理,通常包括日常運(yùn)維操作安全審計(jì)、數(shù)據(jù)庫訪問審計(jì)以及所有設(shè)備和系統(tǒng)的日志審計(jì),主要體現(xiàn)在對各類用戶的操作行為進(jìn)行審計(jì)和對重要安全事件進(jìn)行記錄和審計(jì),審計(jì)日志的內(nèi)容需要包括事件發(fā)生的確切時(shí)間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。
4.3建立統(tǒng)一監(jiān)測管理平臺(tái)
根據(jù)等級保護(hù)制度要求規(guī)定,重要等級在第二級以上的信息系統(tǒng)需要在網(wǎng)絡(luò)中建立統(tǒng)一集中管理中心,通過統(tǒng)一安全管理平臺(tái)能夠?qū)W(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)等的運(yùn)行狀況、安全日志、配置策略進(jìn)行集中監(jiān)測、采集、日志范化和歸并處理,平臺(tái)可以呈現(xiàn)CBTC系統(tǒng)中各類設(shè)備間的訪問關(guān)系,形成基于網(wǎng)絡(luò)訪問關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單,從而可以及時(shí)識(shí)別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務(wù)操作指令的異常行為。可以設(shè)置監(jiān)控指標(biāo)告警閾值,觸發(fā)告警并記錄,對各類報(bào)警和日志信息進(jìn)行關(guān)聯(lián)分析和預(yù)警通報(bào)。
4.4編制網(wǎng)絡(luò)安全管理制度
設(shè)立安全專屬職能的管理部門和領(lǐng)導(dǎo)者及管理成員的崗位,制定總體安全方針,指明組織機(jī)構(gòu)的總體目標(biāo)和工作原則。對于安全管理成員的角色設(shè)計(jì)需按三權(quán)分立的原則來規(guī)劃并落實(shí),必須配備專職的安全成員來指導(dǎo)和管理安全的各方面工作。指派專人來制定安全管理制度,而且制度要經(jīng)過上層組織機(jī)構(gòu)評審和正式,保持對下發(fā)制度的定期評審和落實(shí)情況的核查。由專人來負(fù)責(zé)單位內(nèi)人員的招聘錄用工作,對人員的專業(yè)能力、背景及任職資格進(jìn)行審核和考察,人員錄用時(shí)需要跟被錄用人簽訂保密協(xié)議和崗位責(zé)任書。編制完善的制度規(guī)范,編制范圍應(yīng)涵蓋信息系統(tǒng)在規(guī)劃和建設(shè)、安全定級與備案、方案設(shè)計(jì)、開發(fā)與實(shí)施、驗(yàn)收與測試以及完成系統(tǒng)交付的整個(gè)生命周期。針對不同系統(tǒng)建設(shè)階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗(yàn)收制度,在測試和交付階段記錄和收集各類表單、清單。加強(qiáng)安全運(yùn)維建設(shè),制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設(shè)備介質(zhì)管理以及漏洞風(fēng)險(xiǎn)管理等方面的規(guī)范要求,對于機(jī)房等辦公區(qū)域的人員進(jìn)出、設(shè)備進(jìn)出進(jìn)行記錄和控制,建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為,保存相關(guān)的資產(chǎn)清單,對各種軟硬件資產(chǎn)做好定期維護(hù),對資產(chǎn)采購、領(lǐng)用和發(fā)放制定嚴(yán)格的審批流程。針對漏洞做好風(fēng)險(xiǎn)管理,針對發(fā)現(xiàn)的安全問題采取相關(guān)的應(yīng)對措施,形成書面記錄和總結(jié)報(bào)告。在第三方外包人員管理方面應(yīng)該與外包運(yùn)維服務(wù)商簽訂第三方運(yùn)維服務(wù)協(xié)議,協(xié)議中應(yīng)明確外包工作范圍和具體職責(zé)。
5結(jié)束語
由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡(luò)安全攻擊的趨勢,近年來我國將網(wǎng)絡(luò)安全建設(shè)提升到了國家安全戰(zhàn)略的高度,并且制定了相關(guān)的標(biāo)準(zhǔn)、政策、技術(shù)、程序等來積極應(yīng)對安全風(fēng)險(xiǎn),業(yè)務(wù)主管部門還應(yīng)進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全意識(shí),開展網(wǎng)絡(luò)安全評估,制定網(wǎng)絡(luò)安全策略,提高工控網(wǎng)絡(luò)安全水平,確保業(yè)務(wù)的安全穩(wěn)定運(yùn)行。
參考文獻(xiàn):
[1]石勇,劉巍偉,劉博.工業(yè)控制系統(tǒng)(ICS)的安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4).
篇(3)
我國信息化安全建設(shè)任務(wù)非常艱巨,主要包括各種業(yè)務(wù)的社會(huì)公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施運(yùn)營、管理和服務(wù)的安全自主保障、安全監(jiān)管、安全應(yīng)急和打擊信息犯罪為核心的威懾體系的建設(shè),其內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)安全建設(shè)、領(lǐng)域和企業(yè)的業(yè)務(wù)信息化安全建設(shè)、網(wǎng)絡(luò)內(nèi)容與行為的安全建設(shè)和用戶關(guān)注的網(wǎng)絡(luò)安全建設(shè)等方面。這些安全建設(shè)對于不同的領(lǐng)域和領(lǐng)導(dǎo)層面關(guān)注的內(nèi)容、對象和程度各不相同。網(wǎng)絡(luò)信息安全是一個(gè)完整的、系統(tǒng)的概念。它既是一個(gè)理論問題,同時(shí)又是一個(gè)工程實(shí)踐問題。由于互聯(lián)網(wǎng)的開發(fā)性、復(fù)雜性和多樣性,使得網(wǎng)絡(luò)安全系統(tǒng)需要有一個(gè)完整的、嚴(yán)謹(jǐn)?shù)捏w系結(jié)構(gòu)來保證網(wǎng)絡(luò)中信息的安全。
1 信息安全的定義及目標(biāo)
信息的定義,從廣義上講,信息是任何一個(gè)事物的運(yùn)動(dòng)狀態(tài)以及運(yùn)動(dòng)狀態(tài)形式的變化,它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術(shù)安全管理指南》定義:信息是通過在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無形的,借助于信息媒體以多種形式存在和傳播,同時(shí)。信息也是一種重要資產(chǎn),具有價(jià)值,需要保護(hù)。信息安全的目標(biāo)是信息資產(chǎn)被泄露意味著保密性受到影響,被更改意味著完整性受到影響,被破壞意味著可用性受到影響。而保密性、完整性和可用性三個(gè)基本屬性是信息安全的最終目標(biāo)。信息安全的保護(hù)對象包括了計(jì)算機(jī)硬件、軟件和數(shù)據(jù)。就本質(zhì)而言,信息安全所針對的均是“信息”這種資源的“安全”,對信息安全的理解應(yīng)從信息化背景出發(fā),最終落實(shí)在信息的安全屬性上。
2 構(gòu)建網(wǎng)絡(luò)信息化安全的意義
能否有效地保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展,直接關(guān)乎國家安危,關(guān)乎民族興亡,是國家、民族的頭等大事。沒有信息安全,就沒有真正意義上的政治安全,就沒有穩(wěn)固的經(jīng)濟(jì)安全和軍事安全,更沒有完整意義上的國家安全。信息安全是信息技術(shù)發(fā)展過程之中提出的課題,在信息化的大背景下被推上了歷史舞臺(tái)。信息安全不是最終目的,它只是服務(wù)于信息化的一種手段,其針對的是信息化這種戰(zhàn)略資源的安全,其主旨在于為信息化保駕護(hù)航。
3 網(wǎng)絡(luò)信息化的安全屬性
信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系,它是信息的本質(zhì)屬性所體現(xiàn)的安全意義。說安全屬性研究首先要從安全定義講起,安全定義分很多的層次,為什么分層次,我們隨著它的演變來看的,信息安全最初目標(biāo),叫數(shù)據(jù)安全,它關(guān)心的是數(shù)據(jù)自身,所以是一個(gè)狹義的數(shù)據(jù)安全,是保護(hù)信息自身的安全。
3.1 保密性(Confidentiality)
在傳統(tǒng)信息環(huán)境中,普通人通過郵政系統(tǒng)發(fā)信件時(shí),為了個(gè)人隱私要裝上信封。可是到了信息化時(shí)代,信息在網(wǎng)上傳播時(shí),如果沒有這個(gè)“信封”,那么所有的信息都是“明信片”,不再有秘密可言,這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權(quán)的用戶、實(shí)體或進(jìn)程,或被其利用的特性。保密性不但包括信息內(nèi)容的保密,還包括信息狀態(tài)的保密。
3.2 完整性(Integrality)
完整性是指信息未經(jīng)授權(quán)不能進(jìn)行更改的特性。即信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機(jī)密性不同,機(jī)密性要求信息不被泄露給未授權(quán)的人,而完整性則要求信息不致受到各種原因的破壞。
3.3 易用性(Availability)
易用性是信息可被授權(quán)實(shí)體訪問并按需求使用的特性。在授權(quán)用戶或?qū)嶓w需要信息服務(wù)時(shí),信息服務(wù)應(yīng)該可以使用,或者是信息系統(tǒng)部分受損或需要降級使用時(shí),仍能為授權(quán)用戶提供有效服務(wù)。易用性一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來度量。
4 構(gòu)建網(wǎng)絡(luò)信息化安全管理體系
在面向網(wǎng)絡(luò)信息的安全系統(tǒng)中,安全管理是應(yīng)得到高度重視的。這是因?yàn)椋瑩?jù)相關(guān)部門統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,約有52%是人為因素造成的,25%是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的,技術(shù)錯(cuò)誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員攻擊造成的。簡單歸類,屬于管理方面的原因比重高達(dá)70%以上,這正應(yīng)了人們常說的“三分技術(shù),七分管理”的箋言。因此,解決網(wǎng)絡(luò)與信息安全問題,不僅應(yīng)從技術(shù)方面著手,更應(yīng)加強(qiáng)網(wǎng)絡(luò)住所的管理工作。
好的網(wǎng)絡(luò)信息化安全管理體現(xiàn)在以下幾個(gè)方面:在組織內(nèi)部建立全面的信息安全管理體系,強(qiáng)調(diào)信息安全是一個(gè)管理過程,而非技術(shù)過程;強(qiáng)調(diào)信息保密性、完整性、易用性三者在關(guān)鍵流程中運(yùn)用的平衡;把信息提高到組織資產(chǎn)的高度,強(qiáng)調(diào)對組織信息資產(chǎn)進(jìn)行價(jià)值及影響評估,對信息資產(chǎn)的脆弱性及其面臨的威脅進(jìn)行分析,運(yùn)用風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理手段管理信息安全,使組織風(fēng)險(xiǎn)降低到可接受的水平;從法律和最好的實(shí)踐經(jīng)驗(yàn)角度,實(shí)施全面的控制措施,使組織信息安全威脅的方方面面置于嚴(yán)密控制之下;強(qiáng)調(diào)領(lǐng)導(dǎo)在信息安全管理中的作用;強(qiáng)調(diào)信息安全方針在管理體系中的作用;強(qiáng)調(diào)對信息技術(shù)及工具的實(shí)時(shí)和有效管理;強(qiáng)調(diào)組織運(yùn)作的連續(xù)性及業(yè)務(wù)連續(xù)性的管理;強(qiáng)調(diào)信息安全管理水平的不斷提高及對流程的策劃、實(shí)施、檢查和改進(jìn)的過程;信息安全應(yīng)該是一個(gè)以“價(jià)值”為基礎(chǔ)的過程,即信息安全管理應(yīng)是一個(gè)有附加價(jià)值,并講究投入產(chǎn)出比的過程。
5 關(guān)注信息化安全服務(wù)的綜合性、高技術(shù)性和對策性特點(diǎn)
信息安全產(chǎn)業(yè)有其鮮明的特點(diǎn),雖然產(chǎn)生于信息化和信息系統(tǒng),依然與通常的IT服務(wù)有許多區(qū)別。信息化安全的基本特征是服務(wù)性的。這種服務(wù)性與一般軟件的服務(wù)性是不同的。一般應(yīng)用系統(tǒng)或產(chǎn)品的服務(wù)主要是維護(hù)和培訓(xùn),通常服務(wù)是非對策性的、非動(dòng)態(tài)的和比較固定的。信息化安全服務(wù)是對策性的、動(dòng)態(tài)性的、不斷產(chǎn)生新內(nèi)容的和似乎永遠(yuǎn)不能成熟等特性。信息化安全服務(wù)范疇幾乎包括了整個(gè)信息化所包括的所有產(chǎn)品和系統(tǒng),其服務(wù)的綜合性和復(fù)雜性是顯而易見的。信息化安全服務(wù)是最高技術(shù)的服務(wù),無論從設(shè)計(jì)角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說,信息化安全服務(wù)是世界上最偉大的服務(wù)業(yè),也是最困難的服務(wù)業(yè)。信息化安全服務(wù)的復(fù)雜性、高成本特性要求信息化安全企業(yè)必須在安全服務(wù)的遠(yuǎn)程化和化的推進(jìn)方面做出不懈努力,不斷降低服務(wù)成本。
6 結(jié)語
網(wǎng)絡(luò)信息安全不僅僅是一個(gè)純技術(shù)層面的問題,單靠技術(shù)因素不足以保證網(wǎng)絡(luò)中信息的安全。網(wǎng)絡(luò)信息安全還涉及到法律、管理、標(biāo)準(zhǔn)等多方面的問題。因此,信息安全是一個(gè)相當(dāng)復(fù)雜的問題,只有協(xié)調(diào)好這些體系之間的關(guān)系,才能有效保證系統(tǒng)的安全。
篇(4)
在網(wǎng)絡(luò)技術(shù)快速發(fā)展的背景下,醫(yī)療行業(yè)信息化建設(shè)發(fā)展得到推動(dòng),醫(yī)院內(nèi)的財(cái)務(wù)管理系統(tǒng)以及行政管理系統(tǒng)已經(jīng)形成了較為明顯的信息化發(fā)展趨勢。現(xiàn)如今計(jì)算機(jī)網(wǎng)絡(luò)以在醫(yī)院各個(gè)部門全面應(yīng)用,為醫(yī)院醫(yī)療工作的高效率開展提供技術(shù)支持。由于醫(yī)院業(yè)務(wù)工作的特殊性,因此對醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)安全要求極高,為了確保醫(yī)院信息系統(tǒng)的正常運(yùn)轉(zhuǎn),需要探索計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作,加強(qiáng)對醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理的重視程度,為醫(yī)院的信息化建設(shè)發(fā)展提供技術(shù)支持。
一、醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理及維護(hù)的重要性
在醫(yī)院信息化建設(shè)過程中,計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的應(yīng)用對于醫(yī)院綜合管理水平的提升有著促進(jìn)作用,因此需要針對計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)制定網(wǎng)絡(luò)安全管理模式工作,繼而實(shí)現(xiàn)醫(yī)院的可持續(xù)發(fā)展目標(biāo)。
(一)為醫(yī)院信息化建設(shè)提供技術(shù)支撐現(xiàn)如今信息化系統(tǒng)以廣泛應(yīng)用于醫(yī)院管理系統(tǒng)之中,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用能夠?yàn)獒t(yī)護(hù)人員診療患者提供診療信息,同時(shí)也能為醫(yī)院行政管理工作的開展提供信息支持。若沒有計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的支持,醫(yī)院信息化系統(tǒng)內(nèi)部各個(gè)模塊則無法實(shí)現(xiàn)互通,醫(yī)院業(yè)務(wù)功能無法有效開展。為此基于計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)開展的信息化建設(shè),能夠?yàn)橹腔坩t(yī)院的建設(shè)提供技術(shù)支持。
(二)可提供高質(zhì)量的醫(yī)療服務(wù)所有患者都希望能夠在醫(yī)院內(nèi)獲得高質(zhì)量的醫(yī)療服務(wù),為此醫(yī)院需要對各項(xiàng)業(yè)務(wù)工作進(jìn)行有效處理。計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的開展能夠保證醫(yī)院信息安全,為醫(yī)院現(xiàn)代化建設(shè)創(chuàng)造條件。為此醫(yī)院需要加強(qiáng)對計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理維護(hù)的重視程度,有效提升醫(yī)院的信息技術(shù)應(yīng)用成效。
(三)可提升醫(yī)院的業(yè)務(wù)工作效率在醫(yī)院信息化建設(shè)過程中,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用較為廣泛,計(jì)算機(jī)網(wǎng)絡(luò)信息管理主要分為信息傳遞以及信息處理。計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理維護(hù)工作的開展,能夠幫助醫(yī)院構(gòu)成高效、智能的信息系統(tǒng),可對信息系統(tǒng)上的醫(yī)療業(yè)務(wù)數(shù)據(jù)隨時(shí)進(jìn)行查閱應(yīng)用,全面提升醫(yī)院的診療效率。
(四)可確保醫(yī)院數(shù)據(jù)信息安全現(xiàn)階段醫(yī)院信息化系統(tǒng)的管理應(yīng)用是依賴于計(jì)算機(jī)網(wǎng)絡(luò),一旦醫(yī)院發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)安全事故,將會(huì)導(dǎo)致醫(yī)院出現(xiàn)業(yè)務(wù)工作癱瘓問題,導(dǎo)致醫(yī)院診療患者的個(gè)人醫(yī)療信息被泄露。為此計(jì)算機(jī)網(wǎng)絡(luò)安全管理維護(hù)工作的有效開展,能夠推動(dòng)醫(yī)院信息化建設(shè)工作,避免醫(yī)院診療患者個(gè)人隱私被侵犯。
二、信息化建設(shè)中醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理及維護(hù)的現(xiàn)狀
(一)醫(yī)院網(wǎng)絡(luò)系統(tǒng)外部環(huán)境有待優(yōu)化對于醫(yī)院管理者而言,信息化系統(tǒng)網(wǎng)絡(luò)安全建設(shè)離不開安全的外部工作環(huán)境。部分醫(yī)院管理者并不重視網(wǎng)絡(luò)安全信息化建設(shè)工作,因此對于網(wǎng)絡(luò)信息安全保護(hù)以及維護(hù)的關(guān)注程度不高。此外,醫(yī)院投放在網(wǎng)絡(luò)保護(hù)上的人力、物力相對較少,僅采用簡單的存儲(chǔ)設(shè)備開展數(shù)據(jù)存儲(chǔ)工作,也并不會(huì)聘請專業(yè)技術(shù)水平高的團(tuán)隊(duì)進(jìn)行網(wǎng)絡(luò)系統(tǒng)維護(hù),不僅會(huì)影響醫(yī)院信息化建設(shè)集成,同時(shí)也會(huì)造成醫(yī)院關(guān)鍵數(shù)據(jù)信息的丟失。
(二)醫(yī)院信息系統(tǒng)存在系統(tǒng)安全問題醫(yī)院信息系統(tǒng)安全問題主要是指系統(tǒng)內(nèi)部的應(yīng)用程序安全問題,通過保證醫(yī)院操作系統(tǒng)應(yīng)用的穩(wěn)定性,繼而保證醫(yī)院信息系統(tǒng)的應(yīng)用安全。數(shù)據(jù)安全主要是指醫(yī)院各個(gè)科室的工作數(shù)據(jù)以及患者數(shù)據(jù)信息的安全。在網(wǎng)絡(luò)信息技術(shù)不斷更完善更新的背景下,醫(yī)院所應(yīng)用的信息系統(tǒng)需要進(jìn)行更新升級,但信息系統(tǒng)存在的網(wǎng)絡(luò)安全威脅問題未能得到妥善解決。此外雖然計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在醫(yī)院信息系統(tǒng)中廣泛應(yīng)用,但由于網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)極為復(fù)雜,讓網(wǎng)絡(luò)結(jié)構(gòu)極易成為病毒木馬攻擊的首選目標(biāo)。不同設(shè)備開發(fā)應(yīng)用的技術(shù)存在一定的差異性,也因此增加了信息系統(tǒng)出現(xiàn)系統(tǒng)漏洞的機(jī)率,導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行不穩(wěn)定。
(三)醫(yī)院系統(tǒng)硬件問題計(jì)算機(jī)網(wǎng)絡(luò)作為連接醫(yī)院與客戶端的重要技術(shù),計(jì)算機(jī)是推動(dòng)醫(yī)院醫(yī)患信息共享系統(tǒng)建設(shè)的重要設(shè)備。部分醫(yī)院為了節(jié)約硬件資金投入問題,忽略計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)備更新?lián)Q代的必要性,繼而導(dǎo)致醫(yī)院的信息化建設(shè)發(fā)生建設(shè)滯后的問題。長此以往,計(jì)算機(jī)在應(yīng)用過程中極易出現(xiàn)死機(jī)、卡頓等情況,不僅會(huì)影響醫(yī)院信息系統(tǒng)的工作效率,同時(shí)也會(huì)影響共享系統(tǒng)終端用戶的應(yīng)用體驗(yàn)。現(xiàn)階段醫(yī)院應(yīng)用的操作系統(tǒng)為微軟Windows10,但是仍有部分醫(yī)院應(yīng)用的操作系統(tǒng)為XP系統(tǒng)或是低版本操作系統(tǒng),繼而導(dǎo)致系統(tǒng)硬件漏洞相對較多。醫(yī)院業(yè)務(wù)工作的特殊性,要求信息系統(tǒng)需要二十四小時(shí)不間斷的運(yùn)行,一旦發(fā)生電擊、高溫等問題時(shí),極易導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備發(fā)生運(yùn)行故障,影響醫(yī)院診療業(yè)務(wù)的開展。
(四)人員個(gè)人問題醫(yī)院的信息化建設(shè)能夠提升工作人員的工作效率,實(shí)現(xiàn)醫(yī)院整體經(jīng)濟(jì)效益的全方面優(yōu)化,是醫(yī)院可持續(xù)發(fā)展的重要支撐。雖然大多數(shù)醫(yī)院管理者能夠認(rèn)可計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用優(yōu)勢,但仍舊存在醫(yī)護(hù)人員并不重視計(jì)算機(jī)網(wǎng)絡(luò)安全管理維護(hù)工作的問題。如用戶主體不能遵守電子信息系統(tǒng)的應(yīng)用流程,對于涵蓋病毒的U盤任意拔取,將會(huì)導(dǎo)致整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)生癱瘓。此外醫(yī)院內(nèi)部缺乏專業(yè)的網(wǎng)絡(luò)技術(shù)人員,其計(jì)算機(jī)網(wǎng)絡(luò)管理維護(hù)能力無法達(dá)到系統(tǒng)安全防御需求,進(jìn)而導(dǎo)致醫(yī)院信息化建設(shè)無法進(jìn)一步開展。
三、信息化建設(shè)中醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理及維護(hù)優(yōu)化的策略
(一)優(yōu)化醫(yī)院網(wǎng)絡(luò)系統(tǒng)的外部環(huán)境第一,為了優(yōu)化醫(yī)院信息機(jī)房的外部環(huán)境,醫(yī)院管理層需要配備基礎(chǔ)設(shè)施,合理安排信息機(jī)房在醫(yī)院的具置。第二,在信息機(jī)房內(nèi)部以及室外配設(shè)無死角的監(jiān)控設(shè)備,同時(shí)為了確保信息機(jī)房的安全性需要設(shè)置完善的門禁系統(tǒng),避免外來無關(guān)人員進(jìn)入信息機(jī)房。第三,為了確保網(wǎng)絡(luò)外部環(huán)境安全,管理人員需要對機(jī)房內(nèi)部系統(tǒng)上的硬件設(shè)備進(jìn)行全方面管理,避免機(jī)房受到靜電以及電磁的干擾,嚴(yán)格按照機(jī)房安全指南對信息機(jī)房進(jìn)行有效管理。
(二)強(qiáng)化醫(yī)院網(wǎng)絡(luò)安全管理信息系統(tǒng)第一,醫(yī)院信息化系統(tǒng)所應(yīng)用的系統(tǒng)軟件較為繁瑣,因此在開展信息系統(tǒng)殺毒處理過程中,需要對殺毒軟件應(yīng)用進(jìn)行規(guī)劃,避免惡意軟件對信息系統(tǒng)造成破壞。為此管理人員需要應(yīng)用與信息系統(tǒng)相匹配的殺毒軟件,借助防火墻技術(shù)避免病毒木馬入侵信息系統(tǒng)。此外需要根據(jù)網(wǎng)絡(luò)系統(tǒng)軟件的更新升級情況升級系統(tǒng)殺毒軟件,確保網(wǎng)絡(luò)系統(tǒng)應(yīng)用的安全性。第二,在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中,需要對網(wǎng)絡(luò)信息進(jìn)行管理和維護(hù),對沒有應(yīng)用價(jià)值的數(shù)據(jù)信息進(jìn)行銷毀處理,確保計(jì)算機(jī)網(wǎng)絡(luò)信息數(shù)據(jù)的安全性。管理者需要對訪問計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶身份信息進(jìn)行保密,確保來訪用戶的個(gè)人信息不會(huì)被泄露,有效保護(hù)用戶個(gè)人隱私安全。此外需要定期開展系統(tǒng)安全監(jiān)測工作,對于常規(guī)程序進(jìn)行系統(tǒng)掃描工作。如計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可利用PKI技術(shù)開展系統(tǒng)密碼設(shè)置工作,對用戶的私密數(shù)據(jù)進(jìn)行隔離。第三,服務(wù)器作為計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)的重要部件,服務(wù)器的高效運(yùn)作能夠讓數(shù)據(jù)在不同主機(jī)之間快速傳輸。為此計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)人員需要正確認(rèn)識(shí)服務(wù)器應(yīng)用的價(jià)值作用,對服務(wù)器進(jìn)行優(yōu)化維護(hù),避免外來入侵者對醫(yī)院內(nèi)重要數(shù)據(jù)信息進(jìn)行盜取應(yīng)用。
(三)加強(qiáng)對計(jì)算機(jī)硬件設(shè)備的安全管理第一,為了推動(dòng)醫(yī)院信息化建設(shè),需要確保計(jì)算機(jī)硬件應(yīng)用的安全性,避免由于硬件問題導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)生故障,確保醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)能夠正常運(yùn)行。為此醫(yī)院管理人員需要對計(jì)算機(jī)主板進(jìn)行定期檢查,對計(jì)算機(jī)內(nèi)部的灰塵雜物進(jìn)行定期清理,同時(shí)還要做好計(jì)算機(jī)接口的防氧化問題。第二,管理人員需要做好硬件設(shè)備的CPU散熱工作,及時(shí)更換硬件設(shè)備的散熱器,同時(shí)還要定期維護(hù)管理應(yīng)用的計(jì)算機(jī)硬盤,對于已經(jīng)發(fā)生故障的計(jì)算機(jī)硬盤進(jìn)行處理換新,對計(jì)算機(jī)硬盤的醫(yī)務(wù)信息定期進(jìn)行備份。此外需要對顯示器、信號(hào)源以及顯卡等硬件進(jìn)行有效維護(hù),確保計(jì)算機(jī)安全系統(tǒng)能夠正常運(yùn)行,避免醫(yī)院內(nèi)重要的信息文件丟失。第三,需要保證應(yīng)用網(wǎng)絡(luò)布線的安全性,通過應(yīng)用優(yōu)質(zhì)的網(wǎng)絡(luò)布線材料,提升信息系統(tǒng)的應(yīng)用安全性,避免線路在安置過程中出現(xiàn)纏繞問題。通過將強(qiáng)電流線路距離保持在30cm以上,繼而解決線路之間的電流干擾問題。
篇(5)
1.1 運(yùn)行環(huán)境的安全威脅
互聯(lián)網(wǎng)和計(jì)算機(jī)等設(shè)備都是高精度的電子設(shè)備,他們在運(yùn)行過程中對溫度、供電的穩(wěn)定性以及電磁干擾等都提出了要求,但是這幾點(diǎn)要求我國多數(shù)高校圖書館都沒有達(dá)到要求,也沒有在機(jī)房建設(shè)過程中考慮到這些因素。由于外在因素的不齊全也就給高校圖書館的服務(wù)器、計(jì)算機(jī)設(shè)備的安全和穩(wěn)定等帶來了一定的安全隱患。此外,高校數(shù)字化圖書館在建設(shè)過程中還需要考慮到自然環(huán)境給圖書館網(wǎng)絡(luò)信息安全可能產(chǎn)生了影響,例如,地震、火災(zāi)、雷電等一些不可控制因素,都可能傷害到高校圖書館的信息安全,所以需要高校在建設(shè)數(shù)字化圖書館時(shí)做好這方面的工作,最大程度的降低給高校圖書館帶來的傷害。
1.2 硬件環(huán)境的安全威脅
強(qiáng)大的服務(wù)器、交換機(jī)以及計(jì)算機(jī)是高校圖書館網(wǎng)絡(luò)建設(shè)的必備設(shè)備,只有這三者齊全了才能更好為高校廣大師生提供便利和優(yōu)質(zhì)服務(wù),確保高校圖書館網(wǎng)絡(luò)應(yīng)用的順利進(jìn)行,首先要做到的就是確保高校圖書館服務(wù)器的穩(wěn)定。當(dāng)前高校圖書館內(nèi)部始終的操作系統(tǒng)如,Windows, Linux等,這些系統(tǒng)本身存在一定漏洞,這些漏洞的存在就給外界攻擊高校圖書館服務(wù)器提供了便利,要確保高校圖書館為廣大師生提供服務(wù)工作,高校圖書館網(wǎng)絡(luò)的TCP/IP協(xié)議都選取系統(tǒng)默認(rèn)的設(shè)置,為更多用戶的接入提供了較大的便利,但卻給高校圖書館內(nèi)部服務(wù)器的安全形成了巨大的威脅和傷害。
1.3 軟件環(huán)境安全威脅
高校數(shù)字化圖書館的建立本身需要較多數(shù)量的軟件應(yīng)用,而現(xiàn)階段較多的病毒都是潛在于眾多應(yīng)用軟件中,一旦用戶進(jìn)行軟件的下載,在整個(gè)軟件安裝過程中很容易將病毒傳入到圖書館服務(wù)器內(nèi),給高校圖書館程度的運(yùn)行造成威脅,特別是在圖書館和互聯(lián)網(wǎng)相接入的狀況下,存在互聯(lián)網(wǎng)內(nèi)部隱藏的、植入和寄生的病毒很容易感染高校圖書館,造成高校圖書館的整體癱瘓。
1.4 網(wǎng)絡(luò)系統(tǒng)安全威脅
高校圖書館網(wǎng)絡(luò)本身是與互聯(lián)網(wǎng)相結(jié)合的,這也給黑客攻擊高校圖書館提供了較大的便利,這些黑客可以直接利用網(wǎng)絡(luò)中存在的漏洞,進(jìn)行口令破譯、漏洞掃描以及欺騙等多種方式進(jìn)入高校網(wǎng)絡(luò)圖書館的后臺(tái)服務(wù)器系統(tǒng)中,將重要的文獻(xiàn)資料刪除,或者是進(jìn)行信息的篡改和盜用等,給高校圖書館的內(nèi)部資源產(chǎn)生嚴(yán)重的威脅和迫害。
1.5 網(wǎng)絡(luò)信息安全意識(shí)薄弱
在整個(gè)高校圖書館網(wǎng)絡(luò)信息安全建設(shè)的過程中,多數(shù)高校圖書館為了提升自身的數(shù)字化建設(shè)工作,盡快的實(shí)現(xiàn)高校圖書館數(shù)字化, 大量的進(jìn)行電子資源的引進(jìn),并存在著“重建設(shè),輕維護(hù)”的思想,在這種思想的引導(dǎo)和指揮下,造成了高校圖書館網(wǎng)絡(luò)信息安全問題不斷出現(xiàn),高校圖書館管理人員對于如何保護(hù)高校圖書館信息安全,降低圖書館內(nèi)信息安全隱患沒有一個(gè)明確的方向,更不知道如何正確的選擇和使用現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品,對于高校圖書館內(nèi)部出現(xiàn)的系統(tǒng)不能及時(shí)解決。而且據(jù)調(diào)查了解得知,高校圖書館網(wǎng)絡(luò)信息安全建設(shè)中存在的多項(xiàng)問題多數(shù)是由內(nèi)部管理不得位導(dǎo)致的。高校圖書館在網(wǎng)絡(luò)安全管理制度上沒有全面的完善和健全,在制度的執(zhí)行上更是存在很多不到位的狀況,使得高校圖書館內(nèi)部存在的各類管理機(jī)制和采取的安全措施都如同虛設(shè)。根本起不到任何作用,也無法確保高校圖書館網(wǎng)絡(luò)信息的安全。事實(shí)上信息數(shù)據(jù)的完整性與否和一些更深層次的問題并沒有引起高校圖書館內(nèi)部網(wǎng)絡(luò)管理人員的充分重視,這也是為高校圖書館信息網(wǎng)絡(luò)安全建設(shè)構(gòu)成威脅的一個(gè)重要原因。
3 高校圖書館的網(wǎng)絡(luò)信息安全建設(shè)方案
結(jié)合現(xiàn)階段高校圖書館網(wǎng)絡(luò)信息面臨的各種隱患,需要采用更具有科學(xué)性、專業(yè)性和高效性的方式進(jìn)行工作的開展,這樣能夠大大降低圖書館網(wǎng)絡(luò)信息的危險(xiǎn)性,確保整個(gè)高校圖書館網(wǎng)絡(luò)系統(tǒng)的順利運(yùn)行。
3.1 確保高校圖書館內(nèi)部軟硬件設(shè)備的安全
強(qiáng)化各網(wǎng)絡(luò)軟件硬件設(shè)備,加大硬件設(shè)備的投入工作,在軟件應(yīng)用時(shí)一定要購買正版軟件,做好更新工作,從而彌補(bǔ)軟件自身存在的不足和漏洞。還需要確保高校圖書館服務(wù)器、存儲(chǔ)設(shè)備以及工作用機(jī)等硬件的穩(wěn)定性,及時(shí)解決發(fā)展的問題。還有就是要提升對主機(jī)房環(huán)境的重視,做好圖書館內(nèi)配電系統(tǒng)、空調(diào)設(shè)施和消防系統(tǒng)等工作,避免出現(xiàn)一切不可能的安全隱患。例如,中國民航飛行學(xué)院圖書館內(nèi)部就是安裝了煙霧感應(yīng)消防系統(tǒng),并將主機(jī)房的位置設(shè)在了二樓,在整體機(jī)房內(nèi)安裝了ups不間斷電源,圖書館內(nèi)部的管理人員則每天進(jìn)行空調(diào)的切換以及圖書館內(nèi)部設(shè)備的檢查和運(yùn)行狀況,確保高校圖書館網(wǎng)絡(luò)信息系統(tǒng)的高校運(yùn)行。
3.2 做好高校圖書館網(wǎng)絡(luò)管理人員的培養(yǎng)和制度的完善
好的軟件系統(tǒng)和硬件設(shè)備需要專業(yè)的技術(shù)人員操作,才能最大程度的發(fā)揮其作用。高校圖書館網(wǎng)絡(luò)信息安全的建設(shè)中的一項(xiàng)重要任務(wù)就是要做好人才的培養(yǎng)和控制工作,高校要讓更多的圖書館網(wǎng)絡(luò)管理人員參加專業(yè)的培訓(xùn)工作,甚至可以安排他們到網(wǎng)絡(luò)信息建設(shè)較為優(yōu)秀的行業(yè)去學(xué)習(xí),從而不斷提升自身的網(wǎng)絡(luò)專業(yè)能力。此外,還需要高校建立健全有關(guān)的管理制度,成立專業(yè)的安全管理小組進(jìn)行圖書館網(wǎng)絡(luò)信息安全問題處理。同時(shí)還需要做好用戶賬號(hào)和權(quán)限的分級工作,尤其是系統(tǒng)管理員的賬號(hào)和密碼,需要進(jìn)行特別的設(shè)定,并做到定期更改工作。更是要結(jié)合不同崗位用戶的需求進(jìn)行權(quán)限的設(shè)計(jì)。提升高校圖書館網(wǎng)絡(luò)管理員的責(zé)任意識(shí)和安全意識(shí),并嚴(yán)格遵照有關(guān)規(guī)定進(jìn)行操作,確保高校網(wǎng)絡(luò)信息的安全。
3.3 提高高校圖書館網(wǎng)絡(luò)的防火墻技術(shù)
防火墻技術(shù)和殺毒軟件,這兩者對黑客的阻止和病毒的抵制上都發(fā)揮著巨大的作用。現(xiàn)階段較為普通的網(wǎng)絡(luò)安全防火墻只能是對網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)層進(jìn)行把控和管理,但在網(wǎng)絡(luò)用戶的審核和管理上卻不能發(fā)揮其重要作用,更是很難適應(yīng)現(xiàn)階段網(wǎng)絡(luò)安全和管理的復(fù)雜性。所以在這種網(wǎng)絡(luò)安全背景下,需要提升防火墻技術(shù),采用最新的防火墻技術(shù)(NGFW),并確保其是基于網(wǎng)絡(luò)ISO7層模式的最高層。該防火墻技術(shù)具有幾點(diǎn)突出的特征,一是可以識(shí)別和有效控制網(wǎng)絡(luò)應(yīng)用層面的網(wǎng)絡(luò)數(shù)據(jù);二是可以對網(wǎng)絡(luò)內(nèi)部存在的病毒和黑客的攻擊進(jìn)行防范和抵制;三是能夠?qū)尤刖W(wǎng)絡(luò)的人員和數(shù)據(jù)進(jìn)行身份的準(zhǔn)確識(shí)別、授權(quán)以及審計(jì);四是也是最重要的一點(diǎn)就是能夠?qū)赡艹霈F(xiàn)的威脅進(jìn)行有效防范。所以需要高校圖書館不斷提升自身的防火墻技術(shù),采用最新的防火墻技術(shù),這樣能夠避免管理系統(tǒng)和病毒的入侵,確保高校圖書館網(wǎng)絡(luò)信息系統(tǒng)的安全。
3.4 做好高校網(wǎng)絡(luò)信息的備份工作
篇(6)
2企業(yè)信息化安全建設(shè)
當(dāng)今社會(huì)已經(jīng)步入信息知識(shí)經(jīng)濟(jì)時(shí)代,信息對企業(yè)良性長久的發(fā)展尤為關(guān)鍵,但目前企業(yè)信息系統(tǒng)安全問題無疑是企業(yè)發(fā)展階段所面臨的重點(diǎn)難點(diǎn)。所謂的企業(yè)信息安全就是對企業(yè)信息資產(chǎn)采取保護(hù)措施,使其不受惡意或偶然侵犯而被破壞、篡改及泄露,確保信息系統(tǒng)可靠正常并連續(xù)的運(yùn)行,最小化安全事件對業(yè)務(wù)的影響,實(shí)現(xiàn)業(yè)務(wù)運(yùn)行的連續(xù)性。因此筆者認(rèn)為以下幾方面是關(guān)鍵。
2.1做好網(wǎng)絡(luò)保護(hù)
其實(shí)要保證外網(wǎng)安全需要企業(yè)加大硬件設(shè)備的投入,信息安全產(chǎn)品在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展下正面臨著新的挑戰(zhàn),傳統(tǒng)防火墻、信息加密、防病毒等已無法有效的抵御外部入侵;同時(shí)由于內(nèi)部操作不當(dāng),導(dǎo)致內(nèi)網(wǎng)感染病毒造成信息泄露的現(xiàn)狀也是信息安全的焦點(diǎn)問題。針對以上情況,建立事前有效防御,事后追究機(jī)制是企業(yè)信息化安全建設(shè)的當(dāng)務(wù)之急。根據(jù)現(xiàn)代企業(yè)的特點(diǎn),筆者認(rèn)為從下面這幾點(diǎn)入手,有助于保護(hù)網(wǎng)絡(luò)的安全:
(1)身份認(rèn)證技術(shù)。
企業(yè)內(nèi)網(wǎng)操作時(shí),可采用身份認(rèn)證技術(shù),借助PKI、PKM等工具,控制網(wǎng)絡(luò)應(yīng)用程序的訪問,以及進(jìn)行身份認(rèn)證,實(shí)現(xiàn)有效資源合法應(yīng)用和訪問的目的。
(2)審計(jì)跟蹤技術(shù)。
通過審計(jì)跟蹤技術(shù)監(jiān)控和審計(jì)網(wǎng)絡(luò),控制外設(shè)備如MSN、QQ、端口、打印、光驅(qū)、軟驅(qū)等,從而實(shí)現(xiàn)禁止使用指定程序,并促進(jìn)員工操作行為及日志審計(jì)規(guī)范的目的。
(3)企業(yè)還應(yīng)組建自身網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
利用嚴(yán)格密鑰機(jī)制和加密算法,有機(jī)的結(jié)合加密、認(rèn)證、授權(quán)、審計(jì)等功能,保護(hù)最底層不同密集評定和授權(quán)方式的核心數(shù)據(jù),而非限制應(yīng)用網(wǎng)絡(luò)和控制網(wǎng)絡(luò),進(jìn)而真正實(shí)現(xiàn)合理保護(hù),確保企業(yè)信息數(shù)據(jù)資源的安全。
2.2安全邊界的界定和管理
安全邊界的界定通過分析現(xiàn)有網(wǎng)絡(luò)邊界安全的需求,筆者認(rèn)為有幾方面:首先,內(nèi)部網(wǎng)段。即企業(yè)網(wǎng)內(nèi)網(wǎng),是防火墻的重點(diǎn)保護(hù)對象,安全級別和授信級別更高,主要承載對象是企業(yè)所有人員的計(jì)算機(jī)。其次,外部網(wǎng)段。即邊界路由器以外的網(wǎng)絡(luò),比如移動(dòng)4G、WIFI互聯(lián)等多邊界網(wǎng)絡(luò),安全級別和授信級別最低,是企業(yè)信息數(shù)據(jù)泄露最大的安全隱患,需要嚴(yán)格禁止或控制。最后,DMZ網(wǎng)段。即對外服務(wù)器,安全級別和授信級別介于內(nèi)外網(wǎng)絡(luò)之間,其資源運(yùn)行外部網(wǎng)絡(luò)訪問。
(1)由于外部用戶訪問DMZ區(qū)域中服務(wù)器的方式較為特殊,在系統(tǒng)默認(rèn)情況下是不被允許的。
可實(shí)際應(yīng)用中是需要外部用戶對其進(jìn)行訪問,所以防火墻上必須增加相應(yīng)允許外部用戶訪問DMZ區(qū)域的訪問控制列表,通過對列表的控制允許用戶行為,并對進(jìn)行很好的監(jiān)控管理,保證企業(yè)信息的安全性。
(2)內(nèi)部用戶對外部網(wǎng)絡(luò)以及DMZ區(qū)域中服務(wù)器的訪問。
按照ASA自適應(yīng)安全算法,在系統(tǒng)默認(rèn)情況下是允許高安全等級接口流向低安全等級接口流量的,外部網(wǎng)絡(luò)安全級別遠(yuǎn)沒企業(yè)內(nèi)部網(wǎng)絡(luò)安全級別高,所以在默認(rèn)情況下這種訪問方式是被允許的,不過實(shí)際應(yīng)用過程中,需要限制對外訪問流量。
(3)外部用戶對內(nèi)部網(wǎng)絡(luò)的訪問。
在系統(tǒng)默認(rèn)情況下這種情況是不被允許的,是對外部用戶非法訪問的有效抵御,能有效的保證企業(yè)信息的安全,促進(jìn)企業(yè)信息化的安全建設(shè)。
2.3強(qiáng)化系統(tǒng)管理
由于任何安全軟件都有被攻擊或破解的可能性,單純依靠軟件技術(shù)來保障企業(yè)信息安全是不現(xiàn)實(shí)的,只有強(qiáng)化企業(yè)內(nèi)部信息系統(tǒng)的管理才行之有效。所以,企業(yè)內(nèi)部信息管理體制要完善,盡可能促進(jìn)管理系統(tǒng)規(guī)范性和可靠性的提高,才能為企業(yè)內(nèi)部信息的安全提供更高保障。同時(shí),要進(jìn)行安全風(fēng)險(xiǎn)評估工作。因?yàn)楦鱾€(gè)信息系統(tǒng)使用的都是不同的技術(shù)手段和組成方式,其自身優(yōu)勢及安全漏洞也具有較大的差異,由此在選擇企業(yè)所需的信息系統(tǒng)時(shí),一定要先做各個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)評估工作,信息安全系統(tǒng)的選擇要針對企業(yè)自身特點(diǎn),降低信息安全問題出現(xiàn)的概率。最后,就是加強(qiáng)系統(tǒng)管理。在實(shí)際生活中信息竊取和系統(tǒng)攻擊大多是在網(wǎng)絡(luò)上完成的,企業(yè)必須要強(qiáng)化網(wǎng)絡(luò)管理工作,以便促進(jìn)企業(yè)的運(yùn)行更安全政策。
2.4加強(qiáng)企業(yè)信息安全管理團(tuán)隊(duì)建設(shè)
當(dāng)前,企業(yè)信息安全體系的建設(shè)中已完全滲透“七分管理,三分技術(shù)”的意識(shí),強(qiáng)化企業(yè)員工信息安全知識(shí)培訓(xùn),制定完善合理的信息安全管理制度,是企業(yè)信息安全建設(shè)順利實(shí)施的關(guān)鍵保障。企業(yè)信息安全建設(shè)時(shí)要另立專門管理信息安全的部門,負(fù)責(zé)企業(yè)內(nèi)部的信息安全防護(hù)工作,加強(qiáng)對企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的維護(hù)及常規(guī)檢查。企業(yè)信息安全管理團(tuán)隊(duì)的職責(zé)主要包括:工作人員安全操作規(guī)范、工作人員守則以及管理制度的制定,再交由上級主管部門審批后監(jiān)督制度規(guī)范的執(zhí)行;定期組織安全運(yùn)行和信息網(wǎng)絡(luò)建設(shè)的檢查監(jiān)測,掌握公司全面的第一手安全資料,根據(jù)資料研究相關(guān)的安全對策和措施;負(fù)責(zé)常規(guī)的信息網(wǎng)絡(luò)安全管理維護(hù)工作;定期制訂安全工作總結(jié),且要接受國家相關(guān)信息安全職能部門對信息安全的工作指導(dǎo)。
2.5入侵檢測系統(tǒng)(IDS)與入侵防護(hù)系統(tǒng)(IPS)
IDS即入侵檢測系統(tǒng)能夠彌補(bǔ)防火墻的缺陷,能實(shí)時(shí)的提供給網(wǎng)絡(luò)安全入侵檢測,并采取一定的防護(hù)手段保護(hù)網(wǎng)絡(luò)。良好的入侵檢測系統(tǒng)不但可有助于系統(tǒng)管理員隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)的變更,還能提高可靠的網(wǎng)絡(luò)安全策略制訂依據(jù)。因此,入侵檢測系統(tǒng)的管理應(yīng)配置簡單,隨時(shí)根據(jù)系統(tǒng)構(gòu)造、網(wǎng)絡(luò)規(guī)模、安全需求改變。IDS必須布置在能夠監(jiān)控局域網(wǎng)和Internet之間所有流量的地方,才能第一時(shí)間檢測到入侵時(shí),做出及時(shí)的響應(yīng),比如記錄時(shí)間、切斷網(wǎng)絡(luò)連接等。
篇(7)
隨著信息技術(shù)的發(fā)展,社會(huì)的信息化程度提高了,為了適應(yīng)金融業(yè)的需要,各家銀行都投資建網(wǎng)。但是,由于各種因素的制約,網(wǎng)絡(luò)的安全體系不完善,安全措施不完備,存在嚴(yán)重的安全漏洞和安全隱患。因此,必須采取強(qiáng)有力的措施,解決銀行網(wǎng)絡(luò)的安全問題。
我國銀行網(wǎng)絡(luò)系統(tǒng)監(jiān)管現(xiàn)狀
網(wǎng)絡(luò)銀行由于開辦時(shí)間較短,所以存在著很多的問題和不足,特別是在對網(wǎng)絡(luò)銀行的立法仍然不夠健全,甚至沒有專門的立法,當(dāng)網(wǎng)絡(luò)銀行的交易雙方出現(xiàn)糾紛的時(shí)候,不能得到有效的處理,沒有法律來進(jìn)行調(diào)節(jié)。如果網(wǎng)絡(luò)銀行作為跨國界的業(yè)務(wù)交易平臺(tái),網(wǎng)絡(luò)銀行容易產(chǎn)生管轄權(quán)、法律適用性、知識(shí)產(chǎn)權(quán)等法律界定問題,但目前尚無專門法規(guī)來規(guī)范黑客問題深深困擾著網(wǎng)絡(luò)銀行。在我國的一些商業(yè)法律中的規(guī)定,對于黑客問題也是不夠詳盡,不作為故意犯罪,這樣的話,就給網(wǎng)絡(luò)銀行內(nèi)部的工作人員有更大的影響,但是由于一些原因這些都不能得到有效的解決,不能夠用法律來制裁。
我國網(wǎng)絡(luò)銀行面臨的主要風(fēng)險(xiǎn)
(1)銀行網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)
由于金融信息系統(tǒng)中處理、傳輸、存貯的都是金融信息,對其進(jìn)行攻擊將獲得巨額的金錢,而且,對金融信息系統(tǒng)的攻擊,可能造成國家經(jīng)濟(jì)命脈的癱瘓和國家經(jīng)濟(jì)的崩潰,因此金融信息系統(tǒng)面臨著巨大的風(fēng)險(xiǎn)和威脅。銀行網(wǎng)絡(luò)系統(tǒng)面臨的攻擊手段較多,既有來自外部的,也有來自內(nèi)部的。由于對銀行網(wǎng)絡(luò)系統(tǒng)的攻擊可以獲得較大的經(jīng)濟(jì)、政治、軍事利益,因此銀行網(wǎng)絡(luò)系統(tǒng)成為敵對國家、犯罪集團(tuán)、高智商犯罪分子的首選攻擊目標(biāo)。 在80年代以前,對信息的攻擊主要依賴信號(hào)的截獲與破譯,這是一種被動(dòng)攻擊手段。對于金融信息系統(tǒng),更嚴(yán)重的威脅來自各種主動(dòng)攻擊手段。主動(dòng)攻擊手段較多,如偽造票據(jù)、假冒客戶、交易信息篡改與重放、交易信息銷毀、交易信息欺詐與抵賴、非授權(quán)訪問、網(wǎng)絡(luò)間諜、“黑客”人侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈等。這些攻擊完全能造成金融信息系統(tǒng)癱瘓、資金流失或失蹤。這些攻擊可能來自內(nèi)部,也可能來自外部。
(2)操作風(fēng)險(xiǎn)。
網(wǎng)絡(luò)銀行的操作風(fēng)險(xiǎn)主要是指系統(tǒng)中存在不利于可靠性、穩(wěn)定性和安全性要求的重大缺陷而導(dǎo)致?lián)p失的可能性。網(wǎng)絡(luò)銀行與技術(shù)有著直接或間接的關(guān)系,因此,操作風(fēng)險(xiǎn)來源于網(wǎng)絡(luò)系統(tǒng)在可靠性和完整性方面的重大缺陷。
(3)市場風(fēng)險(xiǎn)。
市場風(fēng)險(xiǎn),是指由于網(wǎng)絡(luò)銀行所提供的金融產(chǎn)品需求隨利率或匯率等市場因素變化所引起的風(fēng)險(xiǎn)。影響網(wǎng)絡(luò)銀行市場風(fēng)險(xiǎn)的主要因素有經(jīng)濟(jì)因素,主要包括相關(guān)金融資產(chǎn)價(jià)格(包括匯率、利率)等的變動(dòng),社會(huì)經(jīng)濟(jì)周期,國家的經(jīng)濟(jì)制度變革情況等許多方面;政治因素,如國家政治體制的變革、政權(quán)的變遷、民族情緒的抵觸、及武裝沖突等;其他因素,包括社會(huì)因素、自然因素及技術(shù)因素等。
網(wǎng)絡(luò)銀行風(fēng)險(xiǎn)監(jiān)管的意義
對于新興的網(wǎng)絡(luò)銀行發(fā)展而言,基于全球化的信息和虛擬的金融活動(dòng)等一些特征,網(wǎng)絡(luò)銀行所存在的風(fēng)險(xiǎn),不僅包括傳統(tǒng)銀行所具有的流動(dòng)性風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)等,更包括喲與自身特點(diǎn)的業(yè)務(wù)風(fēng)險(xiǎn),比如市場信號(hào)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)等。由于這些銀行的風(fēng)險(xiǎn)的存在,它嚴(yán)重影響著網(wǎng)絡(luò)銀行的健康發(fā)展,同時(shí)也對于商業(yè)銀行的金融體系的安全、消費(fèi)者利益等也夠成了極大的威脅。由于網(wǎng)上銀行的發(fā)展嚴(yán)重收到自身因素的影響而阻礙其發(fā)展,風(fēng)險(xiǎn)和安全問題首當(dāng)其沖,所以對網(wǎng)絡(luò)銀行的風(fēng)險(xiǎn)監(jiān)管有著不可替代的作用和意義。網(wǎng)上銀行的風(fēng)險(xiǎn)監(jiān)管能夠確保金融體系的安全和穩(wěn)定。因?yàn)楦鱾€(gè)國家和地區(qū)的歷史、經(jīng)濟(jì)和文化的背景不同,因此對網(wǎng)絡(luò)銀行的風(fēng)險(xiǎn)監(jiān)管的意義和作用也不盡相同,總體來說,網(wǎng)絡(luò)銀行的風(fēng)險(xiǎn)監(jiān)管對網(wǎng)絡(luò)銀行的發(fā)展有著非常重要的意義。
銀行網(wǎng)絡(luò)安全建設(shè)的措施
(1)建立完善的組織機(jī)構(gòu)、管理制度
為確保網(wǎng)絡(luò)正常運(yùn)行,應(yīng)建立并逐步健全一套自上而下的安全組織機(jī)構(gòu)和有關(guān)管理的規(guī)章制度。機(jī)構(gòu)的設(shè)置盡量與行政隸屬關(guān)系一致,借助行政手段確保網(wǎng)絡(luò)安全政策的順利實(shí)施。遵循國家安全保密部門有關(guān)的法規(guī)、法則和管理辦法,制定嚴(yán)格的內(nèi)部安全保密制度,明確安全管理的職責(zé)和責(zé)任人。
(2)加強(qiáng)網(wǎng)絡(luò)安全體系的研究
采用信息系統(tǒng)安全工程方法,形成完善的安全體系,才不會(huì)遺漏任何威脅因素,不會(huì)形成安全漏洞和隱患。安全體系需要研究以下內(nèi)容:威脅和風(fēng)險(xiǎn)分析、安全策略、組織和管理策略、安全技術(shù)和機(jī)制、安全產(chǎn)品系列和配置、安全支援措施。
(3)配備反病毒的安全措施。
在總行、分行、支行建立三級反病毒掃描、殺滅的監(jiān)管系統(tǒng)。對通信中的信息病毒、電子郵件中的病毒進(jìn)行過濾,對網(wǎng)絡(luò)及網(wǎng)絡(luò)上的設(shè)備系統(tǒng)進(jìn)行反病毒掃描。
(4)在銀行內(nèi)部配置層層設(shè)防的防火墻
在銀行內(nèi)部配置相應(yīng)的防火墻、安全服務(wù)器等產(chǎn)品。根據(jù)對安全性需求的不同,配置相應(yīng)的產(chǎn)品。 防火墻通過過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)在網(wǎng)絡(luò)中設(shè)置一隔離網(wǎng)段,隔離網(wǎng)段內(nèi)服務(wù)器上的服務(wù)開放受到極為嚴(yán)格的控制,并定期進(jìn)行安全性檢查,以確保該網(wǎng)段的安全。防火墻的基本類型有過濾型(網(wǎng)絡(luò)層)和型(應(yīng)用層)兩種。
(5)建立網(wǎng)絡(luò)安全防預(yù)中心
篇(8)
【關(guān)鍵詞】APPDRR 風(fēng)險(xiǎn)分析
1 引言
在國家實(shí)施科教興國戰(zhàn)略的背景下,校園網(wǎng)絡(luò)已經(jīng)成為職業(yè)院校的必備硬件基礎(chǔ),是衡量職業(yè)院校教育現(xiàn)代化、信息化的重要標(biāo)志。目前,大多數(shù)有條件的職業(yè)院校在校園網(wǎng)硬件工程建設(shè)投入巨資。校園網(wǎng)為職業(yè)院校的教學(xué)、科研、行政辦公搭建了一個(gè)信息平臺(tái),并產(chǎn)生了明顯的效果。
2 APPDRR網(wǎng)絡(luò)安全模型
APPDRR(全網(wǎng)動(dòng)態(tài)安全理論)網(wǎng)絡(luò)安全模型是一種動(dòng)態(tài),自適應(yīng)的現(xiàn)代網(wǎng)絡(luò)安全模型,[1]即:網(wǎng)絡(luò)安全= 風(fēng)險(xiǎn)分析+ 制定策略+ 系統(tǒng)防護(hù)+ 實(shí)時(shí)監(jiān)測+ 實(shí)時(shí)響應(yīng)+ 災(zāi)難恢復(fù),本文是基于APPDRR模型的風(fēng)險(xiǎn)分析指導(dǎo)下展開的。
風(fēng)險(xiǎn)分析是APPDRR模型的重要組成部分,通過對資產(chǎn)、脆弱性和威脅,綜合評估分析網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn),對所發(fā)現(xiàn)的風(fēng)險(xiǎn)提出相應(yīng)的處理意見和安全建議,并指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)。
3 職業(yè)院校網(wǎng)絡(luò)風(fēng)險(xiǎn)分析
職業(yè)院校網(wǎng)絡(luò)面臨著諸多的問題,首先是規(guī)劃建設(shè)并不是一步到位的,是經(jīng)過不斷升級改造后才形成的規(guī)模。安全設(shè)備品牌種類不一,在功能和處理能力上存差別,有的職業(yè)院校管理的重點(diǎn)側(cè)重于網(wǎng)絡(luò)邊界和主機(jī)安全等方面,但是在校園網(wǎng)絡(luò)的運(yùn)行過程中,所出現(xiàn)的的威脅,大量集中在應(yīng)用層攻擊、網(wǎng)絡(luò)資源濫用和基于二層的網(wǎng)絡(luò)攻擊。
本文從鏈路層、網(wǎng)絡(luò)層、操作系統(tǒng)、應(yīng)用層和網(wǎng)絡(luò)管理等6個(gè)方面,對職業(yè)院校網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)作一個(gè)粗略的分析。
3.1 數(shù)據(jù)鏈層的安全
數(shù)據(jù)鏈層位于物理層和網(wǎng)絡(luò)層之間,數(shù)據(jù)鏈層受到的破壞會(huì)直接作用到其他各層。數(shù)據(jù)鏈層的安全隱患又容易被忽略,數(shù)據(jù)鏈層的安全問題有: MAC 地址泛洪攻擊、ARP攻擊、存取控制地址欺騙、VLAN 攻擊、VTP 攻擊和VLAN 跳躍攻擊。
3.2 網(wǎng)絡(luò)層的安全
網(wǎng)絡(luò)層處于數(shù)據(jù)鏈層和傳輸層之間,是網(wǎng)絡(luò)體系結(jié)構(gòu)中的第三層,TCP/IP 協(xié)議族中最核心的IP協(xié)議就在網(wǎng)絡(luò)層,廣泛應(yīng)用的TCP、UDP、IGMP及ICMP 數(shù)據(jù)包,都以 IP 數(shù)據(jù)報(bào)文形式傳輸。網(wǎng)絡(luò)層封裝 IP 數(shù)據(jù)包,并路由轉(zhuǎn)發(fā),解決機(jī)器之間的通信問題。網(wǎng)絡(luò)層常見安全問題有:明文傳輸面臨的威脅、IP 地址欺騙、源路由欺騙和ICMP 攻擊。
3.3 傳輸層的安全
傳輸層在 OSI 模型中起著關(guān)鍵作用,負(fù)責(zé)端到端可靠的交換數(shù)據(jù)傳輸和數(shù)據(jù)控制。在傳輸層使用最廣泛的有兩種協(xié)議:傳輸控制協(xié)議和用戶數(shù)據(jù)報(bào)協(xié)議。傳輸層常見安全問題有:TCP"SYN"攻擊、Land 攻擊、TCP 會(huì)話劫持和端口掃描攻擊。
3.4 操作系統(tǒng)的安全
目前在職業(yè)院校,除了服務(wù)器是使用UNIX、Linux外,其它工作站基本是使用微軟操作系統(tǒng),存在以下風(fēng)險(xiǎn)。
(1)安全隱患的產(chǎn)生,主要是操作系統(tǒng)配置不合理,例如:沒有管理員口令,用戶弱口令,未刪除和禁用不必要的帳號(hào),設(shè)置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制,資源共享的訪問權(quán)限配置不當(dāng)?shù)取?/p>
(2)操作系統(tǒng)的正常運(yùn)行需要很多系統(tǒng)服務(wù)支撐,這些系統(tǒng)服務(wù)向用戶和應(yīng)用程序提供功能接口,有些是操作系統(tǒng)正常運(yùn)行必需的,有些則是不必要的。不必要的服務(wù)不僅會(huì)占用系統(tǒng)資源,還會(huì)給操作系統(tǒng)帶來安全威脅。如果用戶不知道自已的操作系統(tǒng),哪些服務(wù)是可以訪問網(wǎng)絡(luò)的,就容易被入侵者利用。
3.5 業(yè)務(wù)應(yīng)用的安全
職業(yè)院校為了滿足科研、教學(xué)、辦公的需要,校園網(wǎng)搭建了很多網(wǎng)絡(luò)應(yīng)用系統(tǒng),如:信息、教務(wù)管理、辦公自動(dòng)化、圖書管理等。這些應(yīng)用系統(tǒng)很重要,但也存在風(fēng)險(xiǎn)如下:
(1)身份認(rèn)證:操作系統(tǒng)和應(yīng)用系統(tǒng)為了保證安全,采取了身份認(rèn)證措施,這些機(jī)制各有特點(diǎn),但是入侵者仍可以利用網(wǎng)絡(luò)竊聽、非法數(shù)據(jù)庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識(shí)淡薄,使用系統(tǒng)默認(rèn)或者弱密碼,并且長期不改動(dòng),形同虛設(shè)。
(2)WEB 服務(wù):WEB 服務(wù)是學(xué)校用于對外宣傳、開展網(wǎng)絡(luò)遠(yuǎn)程教學(xué)的重要手段,應(yīng)用極其普遍,使得 Web 服務(wù)經(jīng)常成為非法攻擊的首選目標(biāo)。存在的安全隱患較多,網(wǎng)頁代碼本身就存在后門和一些缺陷,比如 IIS 漏洞、ASP 的上傳漏洞、SQL 注入、緩沖區(qū)溢出等。入侵者一旦攻陷WEB 服務(wù)器,可以把WEB 服務(wù)器作為跳板,通過中間件或數(shù)據(jù)庫連接部件,非法訪問學(xué)校內(nèi)部應(yīng)用系統(tǒng)和數(shù)據(jù)庫,并可利用網(wǎng)頁腳本訪問本地文件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中其它資源。
(3)數(shù)據(jù)庫:數(shù)據(jù)庫是信息系統(tǒng)的核心,校園網(wǎng)內(nèi)的業(yè)務(wù)應(yīng)用依賴于各種數(shù)據(jù)庫系統(tǒng),保證數(shù)據(jù)的安全和完整,正確配置數(shù)據(jù)庫系統(tǒng)顯得至關(guān)重要。數(shù)據(jù)庫是個(gè)復(fù)雜的系統(tǒng)。非專業(yè)人員是無法正確配置數(shù)據(jù)庫系統(tǒng)的。關(guān)系型數(shù)據(jù)庫是可從端口尋址的,通過查詢工具就可建立與數(shù)據(jù)庫的連接,例如通過 TCP1521 和 1526端口,就能侵入一個(gè)弱防護(hù)的數(shù)據(jù)庫;數(shù)據(jù)庫運(yùn)行過程中,出現(xiàn)的錯(cuò)誤信息,可以泄漏數(shù)據(jù)庫結(jié)構(gòu),分析這些信息就能實(shí)施攻擊。
(4)網(wǎng)絡(luò)資源共享:為了工作方便,內(nèi)部人員經(jīng)常會(huì)使用網(wǎng)絡(luò)共享,如果沒有對資源共享,作必要的訪問控制策略,重要的數(shù)據(jù)信息,就無防護(hù)地暴露在網(wǎng)絡(luò)中。
3.6 網(wǎng)絡(luò)管理的安全
安全管理對于有一定規(guī)模的職業(yè)院校網(wǎng)絡(luò)來說是極其重要的。如果沒有相應(yīng)制度約束,就會(huì)帶來風(fēng)險(xiǎn):網(wǎng)絡(luò)管理人員把校園網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的一些重要信息傳播給外人,會(huì)造成信息泄漏;密碼和密鑰管理風(fēng)險(xiǎn),管理員賬戶及密碼被外人竊取;在約束缺失的情況下,利用網(wǎng)絡(luò)和系統(tǒng)的弱點(diǎn),實(shí)施入侵、修改、刪除數(shù)據(jù)等非法行為;審計(jì)不力或無審計(jì),當(dāng)網(wǎng)絡(luò)受到攻擊或其它威脅時(shí),沒有相應(yīng)的檢測、監(jiān)控、報(bào)告與預(yù)警機(jī)制。事件發(fā)生后,不能提供任何記錄,無法追蹤線索,缺乏對網(wǎng)絡(luò)的可控和可審查性。
4 結(jié)束語
綜上, 為了把職業(yè)院校網(wǎng)絡(luò)建成一個(gè)全方位、多層次的網(wǎng)絡(luò)安全防范體系,從根本上解決校園網(wǎng)絡(luò)內(nèi)外部對網(wǎng)絡(luò)安全造成的威脅,首先我們得作風(fēng)險(xiǎn)分析,發(fā)現(xiàn)風(fēng)險(xiǎn),并提出相應(yīng)的意見和建議,并指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)。
參考文獻(xiàn)
篇(9)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2017)02-0229-01
隨著我國經(jīng)濟(jì)建設(shè)和網(wǎng)絡(luò)的不斷發(fā)展,計(jì)算機(jī)在生活中得到廣泛應(yīng)用。但是在計(jì)算機(jī)發(fā)展過程中,局域環(huán)境背景下的網(wǎng)絡(luò)信息安全問題逐漸受到許多人的關(guān)注。計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的有效應(yīng)用,保證了網(wǎng)絡(luò)信息的安全性。因此,應(yīng)有效地將計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用到局域網(wǎng)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)中。下文就局域網(wǎng)環(huán)境背景下計(jì)算機(jī)網(wǎng)絡(luò)安全存在的威脅和網(wǎng)絡(luò)安全技術(shù)的應(yīng)用提出幾點(diǎn)建議。
1 局域網(wǎng)環(huán)境背景下的計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀
目前,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,全球已經(jīng)進(jìn)入到信息化和數(shù)字化時(shí)代。但在普及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的過程中,出現(xiàn)了一些問題,尤其用戶隱私和機(jī)密文件等相關(guān)網(wǎng)絡(luò)信息的安全問題。隨著廣域網(wǎng)的建立,計(jì)算機(jī)的安全防御體系也逐漸建立起來,并且在不斷發(fā)展和完善中,同時(shí)在網(wǎng)絡(luò)入口端創(chuàng)建許多的安全監(jiān)控措施,降低外來的網(wǎng)絡(luò)威脅。但相對局域網(wǎng)來說,局域網(wǎng)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全受到人們的關(guān)注,但由于局域網(wǎng)環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)條件的一些限制,許多用于廣域網(wǎng)的監(jiān)控安全管理手段在局域網(wǎng)環(huán)境中并不能完全發(fā)揮其作用[1]。
2 局域網(wǎng)環(huán)境背景下計(jì)算機(jī)網(wǎng)絡(luò)安全存在的潛在威脅
2.1 計(jì)算機(jī)病毒
計(jì)算機(jī)病毒不僅侵?jǐn)_計(jì)算機(jī)內(nèi)部的數(shù)據(jù)編制程序、內(nèi)部核心數(shù)據(jù)理系統(tǒng),還會(huì)破壞計(jì)算機(jī)指令和程序代碼等,是威脅計(jì)算機(jī)安全的來源之一。并且隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各種新型的計(jì)算機(jī)病毒層出不窮,不僅具有破壞性,而且還有復(fù)制功能和傳染性,這給計(jì)算機(jī)網(wǎng)絡(luò)安全造成非常大的影響,影響到局域網(wǎng)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全。
2.2 缺乏計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)
隨著通訊技術(shù)的發(fā)展,應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)的人群和行業(yè)越來越多,但是人們普遍缺乏計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)。許多用戶在應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)不使用密碼,而且沒有內(nèi)外網(wǎng)切換安全意識(shí),并且在使用計(jì)算機(jī)過程中沒有安裝殺毒軟件,進(jìn)入不健康的網(wǎng)站等,這些操作都屬于不規(guī)范的上網(wǎng)行為,給計(jì)算機(jī)病毒創(chuàng)造入侵的條件,從而導(dǎo)致數(shù)據(jù)丟失和信息泄密等,嚴(yán)重影響了用戶使用計(jì)算機(jī)的安全,同時(shí)在很大程度上影響網(wǎng)絡(luò)正常秩序[2]。
2.3 沒有完善的局域網(wǎng)管理制度
由于我國計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)起步較晚,相對局域網(wǎng)的管理方面還不夠完善,無法保障計(jì)算機(jī)網(wǎng)絡(luò)安全,也給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來威脅。另外,由于我國局域網(wǎng)建設(shè)處于起步階段,很多技術(shù)建設(shè)不足,缺乏先進(jìn)的硬件設(shè)施和監(jiān)控技術(shù)等。此外,由于我國沒有完善的局域網(wǎng)管理制度,局域網(wǎng)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)存在很大的安全威脅。
3 局域網(wǎng)環(huán)境背景下的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用
3.1 應(yīng)用計(jì)算機(jī)防毒技術(shù)
首先通過計(jì)算機(jī)對未知病毒進(jìn)行查殺,借助人工智能和網(wǎng)絡(luò)虛擬技術(shù)有效地查殺未知的病毒;其次,通過搜索引擎技術(shù)加快掃描病毒的速度,及時(shí)有效查找計(jì)算機(jī)病毒,降低對信息的破壞度;同時(shí)還可以通過壓縮智能還原技術(shù),在還原解壓文件時(shí)快速查找計(jì)算機(jī)病毒來源。通過運(yùn)用計(jì)算機(jī)防毒技術(shù)能夠有效預(yù)防計(jì)算機(jī)病毒的入侵和及時(shí)查找已入侵的計(jì)算機(jī)病毒等。
3.2 應(yīng)用數(shù)據(jù)加密技術(shù)
首先,在使用計(jì)算機(jī)的過程中,應(yīng)該對用戶的個(gè)人信息以及機(jī)密文件等進(jìn)行加密設(shè)置,從而保證網(wǎng)絡(luò)數(shù)據(jù)下傳輸過程中的安全,在一定程度上避免數(shù)據(jù)受到他人惡意騷擾、偷聽竊取等;其次,在使用計(jì)算機(jī)過程中應(yīng)該運(yùn)用加密機(jī)制的雙重密鑰,能夠有效增加數(shù)字傳輸?shù)陌踩裕WC用戶隱私不外漏。
3.3 強(qiáng)化人們網(wǎng)絡(luò)安全意識(shí)
人們在使用計(jì)算機(jī)訪問網(wǎng)絡(luò)過程中,許多人都缺乏網(wǎng)絡(luò)安全意識(shí)。因此,在局域網(wǎng)環(huán)境下強(qiáng)化人們的網(wǎng)絡(luò)安全意識(shí),定期對一些單位和個(gè)人進(jìn)行網(wǎng)絡(luò)安全技術(shù)培訓(xùn),使人們及時(shí)安裝計(jì)算機(jī)殺毒軟件,培養(yǎng)人們防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的意識(shí)。
3.4 構(gòu)建完善的局域網(wǎng)管理制度
為了保障計(jì)算機(jī)網(wǎng)絡(luò)安全,應(yīng)該構(gòu)建完善的局域網(wǎng)管理制度。因此,這就要求相關(guān)部門應(yīng)該制定嚴(yán)格的計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度,規(guī)范外網(wǎng)與內(nèi)網(wǎng)的訪問,規(guī)范網(wǎng)上行為,建立網(wǎng)絡(luò)監(jiān)管機(jī)制,避免不規(guī)范網(wǎng)上行為將病毒帶入破壞局域網(wǎng)的網(wǎng)絡(luò)安全,從而保障局域網(wǎng)環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)的安全。
4 結(jié)語
網(wǎng)絡(luò)信息安全關(guān)乎著每個(gè)人的信息安全。因此,針對在局域網(wǎng)環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)存在的病毒入侵、安全意識(shí)差、沒有完善的局域網(wǎng)管理制度等潛在威脅,相關(guān)部門應(yīng)該運(yùn)用相應(yīng)的網(wǎng)絡(luò)安全技術(shù),減少數(shù)據(jù)信息的外漏。通過運(yùn)用計(jì)算機(jī)防毒技術(shù)、信息加密技術(shù)、構(gòu)建完善的局域網(wǎng)管理制度等網(wǎng)絡(luò)安全技術(shù)措施,能夠有效地保證網(wǎng)絡(luò)信息的安全,給人們營造安全、舒心的上網(wǎng)環(huán)境。
篇(10)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2016)04-0000-00
隨著我國社會(huì)經(jīng)濟(jì)以及計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)已經(jīng)成為人們生活與工作中不可或缺的一部分。但是針對計(jì)算機(jī)網(wǎng)絡(luò)方面的安全問題,也引起了人們的普遍關(guān)注。尤其是關(guān)于局域網(wǎng)的網(wǎng)絡(luò)安全,因此應(yīng)該對網(wǎng)絡(luò)中的各種威脅與問題進(jìn)行針對性的解決,從而促進(jìn)我國局域網(wǎng)環(huán)境的計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展。
1局域網(wǎng)環(huán)境背景下的計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀分析
當(dāng)前,全球范圍內(nèi)的信息化與數(shù)字化的利用已經(jīng)越來越廣泛。然而,在對計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用過程中,也出現(xiàn)了一定的問題,特別是關(guān)于網(wǎng)絡(luò)安全方面的問題,涉及到用戶與使用單位的隱私與機(jī)密性文件。當(dāng)前,隨著廣域網(wǎng)的積極建立,計(jì)算機(jī)的安全防御體系已經(jīng)逐步建立起來,如對漏洞的掃描、防火墻以及網(wǎng)絡(luò)邊界等,并且也在不斷地發(fā)展與完善中,而且在網(wǎng)絡(luò)入口中也集中了許多重要的安全設(shè)施,借助監(jiān)控設(shè)施等手段,能夠使來自外網(wǎng)的安全威脅得到極大地降低。相對來說,局域網(wǎng)背景下的安全問題則引起了人們的高度重視,而且在管理手段的作用發(fā)揮上也起不到實(shí)質(zhì)性效果[1]。
2局域網(wǎng)環(huán)境背景下的計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅
2.1常見的計(jì)算機(jī)病毒
當(dāng)前影響局域網(wǎng)計(jì)算安全的最普遍的就是計(jì)算機(jī)病毒。作為一種能夠?qū)τ?jì)算機(jī)各個(gè)功能與數(shù)據(jù)造成破壞的病毒,能夠侵?jǐn)_計(jì)算機(jī)內(nèi)部的數(shù)據(jù)編制程序,破壞計(jì)算機(jī)指令以及程序代碼等。由于存在著種類復(fù)雜的計(jì)算機(jī)病毒,而且具有較強(qiáng)的破壞性,自身還具有一定的復(fù)制功能,能夠形成一定的轉(zhuǎn)染性,這對計(jì)算機(jī)的網(wǎng)絡(luò)安全會(huì)造成極大的影響。例如,在1988年出現(xiàn)的蠕蟲病毒,將數(shù)萬臺(tái)電腦造成癱瘓,而當(dāng)前科學(xué)技術(shù)的不斷發(fā)展,應(yīng)對計(jì)算機(jī)的病毒攻克正在進(jìn)行研究與探討,但當(dāng)前計(jì)算機(jī)病毒對網(wǎng)絡(luò)安全的威脅仍然比較突出。
2.2計(jì)算機(jī)的安全意識(shí)有待增強(qiáng)
盡管當(dāng)今社會(huì)計(jì)算機(jī)得到非常迅猛的發(fā)展,而且計(jì)算機(jī)的用戶人群也越來越廣泛,但是從目前來看,計(jì)算機(jī)用戶的安全意識(shí)卻比較薄弱。普遍情況下,大部分的網(wǎng)絡(luò)用戶不能運(yùn)用密碼進(jìn)行上網(wǎng),而且頻繁切換內(nèi)外網(wǎng)的現(xiàn)象比較突出,而且一些用戶不能事先檢查殺毒軟件就進(jìn)行上傳與下載,這些都屬于不規(guī)范的上網(wǎng)行為,也會(huì)為計(jì)算機(jī)病毒的入侵創(chuàng)造條件,嚴(yán)重的會(huì)造成丟失數(shù)據(jù),以及信息的泄密等,因此應(yīng)該增強(qiáng)計(jì)算機(jī)用戶的網(wǎng)絡(luò)安全意識(shí)。
2.3局域網(wǎng)自身的問題
由于計(jì)算機(jī)的局域網(wǎng)建設(shè)還處于初級發(fā)展階段,而且局域網(wǎng)的管理方面的建設(shè)還不夠完善,而這些都是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保障。然而不完善的網(wǎng)絡(luò)安全管理也會(huì)為計(jì)算機(jī)的安全帶來威脅;另外,我國的局域網(wǎng)建設(shè)的經(jīng)濟(jì)保障還不夠,缺乏先進(jìn)的硬件設(shè)施與技術(shù)輸出等,這會(huì)影響局域網(wǎng)絡(luò)管理制度的發(fā)展。而對于一種核心問題,計(jì)算機(jī)的網(wǎng)絡(luò)安全應(yīng)該加強(qiáng)局域網(wǎng)管理制度的完善,使計(jì)算機(jī)網(wǎng)絡(luò)用戶能夠安全、舒心地上網(wǎng)。
3局域網(wǎng)環(huán)境背景下應(yīng)對計(jì)算機(jī)網(wǎng)絡(luò)安全的合理舉措
3.1運(yùn)用病毒防護(hù)技術(shù)
首先,要對未知病毒進(jìn)行查殺,這種技術(shù)主要與人工智能技術(shù)與虛擬技術(shù)進(jìn)行結(jié)合,可以查殺未曾出現(xiàn)過的病毒;其次,可以借助智能引擎技術(shù)的作用,可以有效提升病毒的掃描速度,以此實(shí)現(xiàn)對病毒的快速查找,使損害信息大大減少;再有,可以運(yùn)用壓縮智能的還原技術(shù)[2]。這種技術(shù)手段可以主要是對內(nèi)存中的壓縮文件而言的,可以還原被解壓的文件,以此實(shí)現(xiàn)對病毒來源的快速查找。
3.2數(shù)據(jù)加密技術(shù)的積極運(yùn)用
在使用計(jì)算機(jī)網(wǎng)絡(luò)過程中,應(yīng)該進(jìn)行對個(gè)人信息的加密設(shè)置,保證網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中的安全,避免受到他人的惡意破壞、篡改以及竊聽等,因此加密操作是非常必要的。只有通過加密操作,才能防止信息被惡意竊取時(shí)間的發(fā)生。對于他人來說,如果沒有相應(yīng)的密鑰就不能還原原來的數(shù)據(jù),以此使傳輸數(shù)據(jù)的安全性與穩(wěn)定性得到一定的增強(qiáng)。在設(shè)置密鑰過程中,應(yīng)該運(yùn)用對稱與不對稱相結(jié)合的加密機(jī)制,能夠有效增加傳輸數(shù)據(jù)的安全性。除此以外,用戶還要進(jìn)行兩種密鑰的設(shè)置,秘密密鑰與公開密鑰。秘密密鑰只是用戶自身擁有。兩種密鑰可以為信息安全設(shè)置雙重保險(xiǎn),從而保證用戶密鑰不致丟失,以此出現(xiàn)信息泄露事件等。
3.3加強(qiáng)對操作人員的網(wǎng)絡(luò)安全培訓(xùn)
操作人員在計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)中發(fā)揮著重要作用,各種入侵攻擊的積極發(fā)現(xiàn)以及防護(hù)措施的實(shí)施等。因此,應(yīng)該加強(qiáng)操作人員的培訓(xùn)工作,才能保證信息安全。努力提升操作人員的安全意識(shí),提升管理人員的總體素質(zhì)與能力。
3.4構(gòu)建嚴(yán)格的局域網(wǎng)絡(luò)管理制度
為了積極保證計(jì)算機(jī)的網(wǎng)絡(luò)安全,應(yīng)該對局域網(wǎng)絡(luò)的安全管理制度進(jìn)行健全與完善。所以,對于相關(guān)部門來說,應(yīng)該進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度的嚴(yán)格制定,嚴(yán)格限制對內(nèi)外網(wǎng)的訪問,以免在內(nèi)外網(wǎng)進(jìn)行切換過程中帶入病毒到內(nèi)網(wǎng)中,以此造成對局域網(wǎng)的破壞。
3.5入侵檢測技術(shù)的合理運(yùn)用
作為入侵檢測技術(shù)來說,可以對計(jì)算機(jī)系統(tǒng)中的異常現(xiàn)象進(jìn)行快速發(fā)現(xiàn),還能察覺未經(jīng)授權(quán)的現(xiàn)象等。與此同時(shí),關(guān)于對網(wǎng)絡(luò)安全策略的違反行為,入侵檢測技術(shù)也能進(jìn)行檢測與預(yù)防。在使用過程中,可以在計(jì)算機(jī)系統(tǒng)受到侵害之前,察覺到攻擊者的行為,并借助一定的防護(hù)手段加以防護(hù),再向報(bào)警系統(tǒng)通知,避免攻擊現(xiàn)象繼續(xù)進(jìn)行[3]。此外,入侵檢測系統(tǒng)還具有異常檢測與誤用檢測等,其中的機(jī)器學(xué)習(xí)與統(tǒng)計(jì)分析比較普遍。
4結(jié)語
綜上,要想促進(jìn)我國局域網(wǎng)網(wǎng)絡(luò)的發(fā)展,保障網(wǎng)絡(luò)安全只借助殺毒軟件與防火墻是遠(yuǎn)遠(yuǎn)不夠的。應(yīng)該將內(nèi)外部的防護(hù)工作合理配合,提升操作人員的安全意識(shí)與知識(shí)技能等,為保障局域網(wǎng)的網(wǎng)絡(luò)安全作出積極貢獻(xiàn)。
參考文獻(xiàn)
[1]沈宇.計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)的探討[J].科技傳播,2012,(24):45-46.
[2]陳秀君.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)探究[J].軟件導(dǎo)刊,2011,(10):41-42.
篇(11)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):2095-1302(2016)11-0-03
0 引 言
隨著電子政務(wù)外網(wǎng)的發(fā)展,各省市電子政務(wù)外網(wǎng)平臺(tái)的建設(shè)均已成熟,多數(shù)省市電子政務(wù)外網(wǎng)平臺(tái)建設(shè)之初采用的是物理機(jī)傳統(tǒng)架構(gòu)部署方式。隨著信息技術(shù)的發(fā)展,云計(jì)算技術(shù)應(yīng)運(yùn)而生,電子政務(wù)云平臺(tái)的建設(shè)風(fēng)生水起。然而無論是傳統(tǒng)架構(gòu)還是在云計(jì)算環(huán)境下,電子政務(wù)外網(wǎng)平臺(tái)面臨的風(fēng)險(xiǎn)越來越多,本文就這兩種架構(gòu)下電子政務(wù)外網(wǎng)平臺(tái)的安全如何建設(shè)進(jìn)行分析,提出相應(yīng)的解決方案。
1 建設(shè)方案
電子政務(wù)外網(wǎng)平臺(tái)的安全建設(shè)應(yīng)根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)及平臺(tái)架構(gòu)層特性,應(yīng)用入侵檢測、入侵防御、防病毒網(wǎng)關(guān)、數(shù)據(jù)加密、身份認(rèn)證、安全存儲(chǔ)等安全技術(shù),構(gòu)建面向應(yīng)用的縱深安全防御體系。電子政務(wù)外網(wǎng)平臺(tái)安全建設(shè)可從分析確定定級對象及安全等級、構(gòu)建安全保障體系、明確安全邊界、安全技術(shù)保障、安全運(yùn)維保障、安全制度保障、云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)平臺(tái)安全保障幾方面考慮。
1.1 分析確定定級對象及安全等級
信息系統(tǒng)安全等級共分為五級,根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國國家標(biāo)準(zhǔn)化管理委員會(huì)”的《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南(GB/T 22240-2008)》,結(jié)合國家相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范,分析確定定級對象及安全等級。本文以構(gòu)建信息系統(tǒng)安全等級第三級標(biāo)準(zhǔn)安全建設(shè)進(jìn)行探討。
1.2 構(gòu)建安全保障體系
電子政務(wù)外網(wǎng)平臺(tái)安全保障可從安全技術(shù)保障、安全運(yùn)維保障、安全制度保障三個(gè)方面著手考慮,根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國國家標(biāo)準(zhǔn)化管理委員會(huì)”的《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級基本要求(GB/T 22239-2008)》進(jìn)行建設(shè)。物理機(jī)傳統(tǒng)架構(gòu)下的電子政務(wù)外網(wǎng)平臺(tái)安全保障體系架構(gòu)如圖1所示。
1.3 明確安全邊界
1.3.1 安全邊界劃分原則
安全邊界劃分原則[1]如下所示:
(1)以保障電子政務(wù)外網(wǎng)平臺(tái)信息系統(tǒng)的業(yè)務(wù)、管理、控制數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)流的安全為根本出發(fā)點(diǎn),保障平臺(tái)安全;
(2)每個(gè)安全域的信息資產(chǎn)價(jià)值相近,具有相同或相近的安全等級、安全環(huán)境、安全策略等;
(3)根據(jù)“信息安全等保”要求,網(wǎng)絡(luò)規(guī)劃時(shí)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;
(4)根據(jù)《國家電子政務(wù)外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求與實(shí)施指南》,部署數(shù)據(jù)安全交換隔離系統(tǒng),保障數(shù)據(jù)交換安全;
(5)對接入邊界進(jìn)行安全防護(hù)。
1.3.2 安全邊界劃分
電子政務(wù)外網(wǎng)平臺(tái)可劃分為DMZ區(qū)、內(nèi)部數(shù)據(jù)中心、互聯(lián)網(wǎng)出口區(qū)、安全及運(yùn)維管理區(qū)、邊界接入?yún)^(qū)五大區(qū)域。電子政務(wù)外網(wǎng)安全邊界劃分圖如圖2所示。
(1)DMZ區(qū)
DMZ區(qū)部署面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng),包括門戶網(wǎng)站、郵件服務(wù)等,應(yīng)根據(jù)實(shí)際需求部署相應(yīng)的安全策略。
(2)內(nèi)部數(shù)據(jù)中心
內(nèi)部數(shù)據(jù)中心區(qū)部署協(xié)同辦公等內(nèi)部應(yīng)用系統(tǒng),可根據(jù)實(shí)際需求分為多個(gè)邏輯區(qū)域,如辦公業(yè)務(wù)區(qū)、測試區(qū)等,應(yīng)根據(jù)實(shí)際需求部署相應(yīng)安全策略。
(3)互聯(lián)網(wǎng)出口區(qū)
互聯(lián)網(wǎng)出口區(qū)為電子政務(wù)外網(wǎng)平臺(tái)互聯(lián)網(wǎng)接入邊界,與運(yùn)營商網(wǎng)絡(luò)直連。該區(qū)域直接面向互聯(lián)網(wǎng)出口區(qū)域,易被不法分子利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)硬件、軟件進(jìn)行攻擊,可在該區(qū)部署相應(yīng)的防火墻策略,并結(jié)合入侵防御、安全審計(jì)等技術(shù)提供立體的、全面的、有效的安全防護(hù),允許合法用戶通過互聯(lián)網(wǎng)訪問電子政務(wù)外網(wǎng)。
(4)安全及運(yùn)維管理區(qū)
提供安全管理運(yùn)維服務(wù),保障電子政務(wù)外網(wǎng)平臺(tái)的安全。提供統(tǒng)一網(wǎng)絡(luò)管控運(yùn)維服務(wù),保障整網(wǎng)設(shè)備及業(yè)務(wù)系統(tǒng)信息正常運(yùn)行。
(5)邊界接入?yún)^(qū)
根據(jù)國家相關(guān)規(guī)范,對專網(wǎng)、企事業(yè)接入單位或其它系統(tǒng)接入電子政務(wù)外網(wǎng)時(shí),應(yīng)在訪問邊界部署防火墻、入侵防御系統(tǒng),與“政務(wù)云”實(shí)現(xiàn)物理邏輯隔離,進(jìn)行安全防護(hù)。
1.4 安全技術(shù)保障
采用傳統(tǒng)架構(gòu)的電子政務(wù)外網(wǎng)平臺(tái)技術(shù)安全保障可從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行考慮,可通過部署相應(yīng)產(chǎn)品或配置服務(wù)進(jìn)行安全保障。
1.4.1 物理安全
物理安全主要涉及環(huán)境安全(防火、防水、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面。該部分主要體現(xiàn)為機(jī)房及弱電的建設(shè)標(biāo)準(zhǔn)、規(guī)范,技術(shù)環(huán)節(jié)應(yīng)符合相關(guān)等級保護(hù)要求。
1.4.2 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等,具體包括結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)七個(gè)方面,關(guān)鍵安全技術(shù)保障措施如下所示:
(1)劃分安全域,根據(jù)各安全域安全建設(shè)需求采用相應(yīng)的安全策略。
(2)通過合理部署IPS、防火墻對網(wǎng)絡(luò)進(jìn)行邊界隔離和訪問控制,并實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的實(shí)時(shí)監(jiān)測,即時(shí)中斷、調(diào)整或隔離一些不正常或具有傷害性的網(wǎng)絡(luò)行為。
(3)部署防DDoS攻擊設(shè)備,及時(shí)發(fā)現(xiàn)背景流量中各種類型的攻擊流量,針對攻擊類型迅速對攻擊流量進(jìn)行攔截,保證正常流量通過。
(4)可在互聯(lián)網(wǎng)出口處部署鏈路負(fù)載均衡設(shè)備,加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。
(5)采用上網(wǎng)行為管理、流量控制等設(shè)備,對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控管理,實(shí)現(xiàn)員工對終端計(jì)算機(jī)的管理和控制,規(guī)范員工上網(wǎng)行為,提高工作效率,實(shí)現(xiàn)流量控制和帶寬管理,優(yōu)化網(wǎng)絡(luò)。
(6)對關(guān)鍵設(shè)備采用冗余設(shè)計(jì),并在重要網(wǎng)段配置ACL策略以保障帶寬優(yōu)先級。
(7)采用安全審計(jì)技術(shù),按照一定的安全策略,利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息,檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng),從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。
1.4.3 主機(jī)、應(yīng)用安全
主機(jī)安全主要包括訪問控制、安全審計(jì)、剩余信息保護(hù)、惡意代碼防護(hù)等幾個(gè)方面。應(yīng)用安全主要包括身份鑒別、訪問控制、安全審計(jì)、抗抵賴性等幾方面,關(guān)鍵安全技術(shù)保障措施如下所示:
(1)惡意代碼可直接利用操作系統(tǒng)或應(yīng)用程序的漏洞進(jìn)行傳播,可部署惡意代碼監(jiān)測、病毒防護(hù)系統(tǒng)及漏洞掃描等系統(tǒng),通過主動(dòng)防御可有效阻止病毒的傳播,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)、主機(jī)、應(yīng)用及數(shù)據(jù)庫漏洞并修復(fù),保障電子政務(wù)外網(wǎng)平臺(tái)安全。
(2)利用身份認(rèn)證技術(shù)及訪問控制策略等技術(shù)保障主機(jī)應(yīng)用安全,不允許非預(yù)期客戶訪問。
(3)運(yùn)用審計(jì)技術(shù)保障主機(jī)應(yīng)用安全,實(shí)時(shí)收集和監(jiān)控信息系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng),以便進(jìn)行集中報(bào)警、記錄、分析、處理。
(4)采用應(yīng)用負(fù)載均衡技術(shù)、操作系統(tǒng)用戶登錄等技術(shù)實(shí)現(xiàn)資源的優(yōu)化控制。
(5)可部署Web應(yīng)用防火墻、網(wǎng)頁防篡改等系統(tǒng),做到事前主動(dòng)防御,智能分析、屏蔽或阻斷對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等類型文件的非法篡改和破壞,保障系統(tǒng)業(yè)務(wù)的正常運(yùn)營,全方位保護(hù)Web應(yīng)用安全。
1.4.4 數(shù)據(jù)安全
數(shù)據(jù)安全主要包括數(shù)據(jù)的保密性、完整性及備份和恢復(fù),關(guān)鍵安全技術(shù)保障措施如下所示:
(1)可對不同類型業(yè)務(wù)數(shù)據(jù)進(jìn)行物理上或邏輯上隔離,并建設(shè)數(shù)據(jù)交換與隔離系統(tǒng)以保障不同安全等級的網(wǎng)絡(luò)間的數(shù)據(jù)交換安全。
(2)采用雙因素認(rèn)證進(jìn)行數(shù)據(jù)訪問控制,不允許非預(yù)期客戶訪問,對違規(guī)操作實(shí)時(shí)審計(jì)報(bào)警。
(3)采用VPN、數(shù)據(jù)加密、消息數(shù)據(jù)簽名、摘要等技術(shù)對數(shù)據(jù)傳輸進(jìn)行加密,防止越權(quán)訪問機(jī)密信息或惡意篡改。
(4)采用數(shù)據(jù)庫冗余部署,防范數(shù)據(jù)丟失風(fēng)險(xiǎn),為業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行提供保障,可考慮建設(shè)同城或異地容災(zāi)。
(5)部署數(shù)據(jù)庫審計(jì)設(shè)備可在不影響被保護(hù)數(shù)據(jù)庫性能的情況下,對數(shù)據(jù)庫的操作實(shí)現(xiàn)跟蹤記錄、定位,實(shí)現(xiàn)數(shù)據(jù)庫的在線監(jiān)控,為數(shù)據(jù)庫系統(tǒng)的安全運(yùn)行提供了有力保障。
1.5 安全運(yùn)維保障
安全運(yùn)維保障可通過安全管理平臺(tái),建立與安全工作相配套的集中管理手段,提供統(tǒng)一展現(xiàn)、統(tǒng)一告警、統(tǒng)一運(yùn)維流程處理等服務(wù),可使管理人員快速準(zhǔn)確的掌握網(wǎng)絡(luò)整體運(yùn)行狀況,整體反映電子政務(wù)外網(wǎng)平臺(tái)安全問題,體現(xiàn)安全投資的價(jià)值,提高安全運(yùn)維管理水平。安全運(yùn)維管理平臺(tái)需考慮與安全各專項(xiàng)系統(tǒng)、網(wǎng)管系統(tǒng)和運(yùn)管系統(tǒng)之間以及上下級系統(tǒng)之間的接口。
1.6 安全制度保障
面對形形的安全解決方案,“三分技術(shù)、七分管理”。若僅有安全技術(shù)防護(hù),而無嚴(yán)格的安全管理相配合,則難以保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全。系統(tǒng)必須有嚴(yán)密的安全管理體制來保證系統(tǒng)安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮,建立完善的應(yīng)急體制。
1.7 云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)平臺(tái)的安全保障
云技術(shù)是基于云計(jì)算商業(yè)模式應(yīng)用的網(wǎng)絡(luò)技術(shù)、信息技術(shù)、整合技術(shù)、管理平臺(tái)技術(shù)、應(yīng)用技術(shù)等的總稱,可以組成資源池,按需所用,靈活便利。隨著時(shí)代的發(fā)展,云計(jì)算技術(shù)已變成信息系統(tǒng)主流基礎(chǔ)架構(gòu)支撐。由于云計(jì)算平臺(tái)重要支撐技術(shù)是采用虛擬化實(shí)現(xiàn)資源的邏輯抽象和統(tǒng)一表示,因此在云計(jì)算環(huán)境下進(jìn)行電子政務(wù)外網(wǎng)云平臺(tái)安全保障體系建設(shè),僅僅采用傳統(tǒng)的安全技術(shù)是不夠的,除滿足上述物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全技術(shù)保障,運(yùn)維安全保障,安全制度保障需求之外,還應(yīng)考慮虛擬化帶來的新的安全風(fēng)險(xiǎn)。云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)云平臺(tái)安全保障體系如圖3所示。
1.8 虛擬化安全
當(dāng)前,云計(jì)算虛擬化安全技術(shù)還不成熟,對虛擬化的安全防護(hù)和保障技術(shù)測評則成為云環(huán)境等級保護(hù)的一大難題,主要涉及的安全包括虛擬機(jī)逃逸防范、虛擬機(jī)通信風(fēng)險(xiǎn)、虛擬機(jī)管理平臺(tái)安全等方面。可采取如下安全保障措施[2]:
(1)將可信計(jì)算技術(shù)與虛擬化技術(shù)相結(jié)合,構(gòu)建可信的虛擬化平臺(tái),形成完整的信任鏈;
(2)可建設(shè)分級訪問控制機(jī)制,根據(jù)分層分級原則制定訪問控制策略,實(shí)現(xiàn)對平臺(tái)中所有虛擬機(jī)的監(jiān)控管理,為數(shù)據(jù)的安全使用和訪問建立一道屏障;
(3)可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網(wǎng)關(guān)等技術(shù)實(shí)現(xiàn)虛擬機(jī)間的安全隔離。
2 SDS安全保障技術(shù)簡介
軟件定義安全(Software Defined Security,SDS)是從軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)延伸而來,將安全資源進(jìn)行池化,通過軟件進(jìn)行統(tǒng)一調(diào)度,以完成相應(yīng)的安全功能,實(shí)現(xiàn)靈活的安全防護(hù)。簡單來說,傳統(tǒng)的安全設(shè)備是單一防護(hù)軟件架構(gòu)在一臺(tái)硬件設(shè)備之上,通常串接或旁掛于網(wǎng)絡(luò)中,不僅將網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化,對不同廠家的安全設(shè)備進(jìn)行統(tǒng)一管理的復(fù)雜度也較高,需單獨(dú)的物理安裝空間。而SDS可以將其看作一個(gè)軟件,靈活調(diào)配安全設(shè)備資源,實(shí)現(xiàn)靈活的網(wǎng)絡(luò)安全防護(hù)框架,方便調(diào)整。
3 結(jié) 語
在大數(shù)據(jù)時(shí)代下,SDS是順應(yīng)時(shí)展趨勢、簡化安全管理的訴求,但由于SDS應(yīng)用尚未完全成熟,仍需經(jīng)過實(shí)踐的檢驗(yàn)。
