發(fā)布時間:2022-03-13 03:07:40
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇網(wǎng)絡(luò)信息安全論文,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
1企業(yè)辦公網(wǎng)絡(luò)關(guān)于安全方面的現(xiàn)狀
尤其是當(dāng)以下問題發(fā)生時,使得網(wǎng)絡(luò)在遭受安全攻擊時,顯得非常脆弱:上層應(yīng)用的安全收到Internet底層TCP/IP網(wǎng)絡(luò)協(xié)議安全性的影響,如果底層TCMP網(wǎng)絡(luò)協(xié)議受到攻擊,那么上層應(yīng)用也會存在安全隱患;黑客技術(shù)和解密工具在網(wǎng)絡(luò)上無序傳播,而給一些不法分子利用這些技術(shù)來攻擊網(wǎng)絡(luò);軟件的更新周期較長,而極有可能使得操作系統(tǒng)和應(yīng)用程序出現(xiàn)新的的攻擊漏洞;網(wǎng)絡(luò)管理中的法律法規(guī)不健全,各種條款的嚴(yán)謹(jǐn)性不足,而給管理工作帶來不便,對于法規(guī)的執(zhí)行力度不足,缺乏切實可行的措施。
2對企業(yè)辦公網(wǎng)絡(luò)安全造成威脅的因素
對辦公網(wǎng)絡(luò)的信息安全實施有效的保護有著非常重要的意義,但同時也存在著一定的難度。由于網(wǎng)絡(luò)技術(shù)自身存在很多不足,如系統(tǒng)安全性保障不足。沒有安全性的實踐等,而使得辦公網(wǎng)絡(luò)不堪一擊。除了自然災(zāi)害會給辦公網(wǎng)絡(luò)埋下巨大的安全隱患外,還有計算機犯罪、黑客攻擊等因素也是影響網(wǎng)絡(luò)信息安全的不穩(wěn)定因素。
2.1自然災(zāi)害造成的威脅
從本質(zhì)上來說,企業(yè)辦公網(wǎng)絡(luò)的信息系統(tǒng)就是一臺機器,根本不具備抵御自然災(zāi)害、溫度、濕度等環(huán)節(jié)因素影響的能力,再加上防護措施的欠缺,必然會加大自然災(zāi)害和環(huán)境對辦公網(wǎng)絡(luò)信息的威脅。最常見的就是斷電而造成的影響,會使得正處于運行狀態(tài)中的設(shè)備受到損害或者導(dǎo)致數(shù)據(jù)丟失等情況的發(fā)生。
2.2網(wǎng)絡(luò)軟件漏洞造成的威脅
一般來說,網(wǎng)絡(luò)軟件自身就存在著一些不可避免的漏洞,而給黑客攻擊提供了便利,黑客會利用這些軟件漏洞對網(wǎng)絡(luò)實施攻擊,在常見的案例中,網(wǎng)絡(luò)安全受到攻擊的主要原因就是由于網(wǎng)絡(luò)軟件不完善。還有一些軟件編程人員,為了自身使用方便而設(shè)置“后門”,一旦這些“后門”被不法分子找到,將會造成不可預(yù)料的后果。
2.3黑客造成的威脅
辦公網(wǎng)絡(luò)信息安全遭受黑客攻擊的案例數(shù)不勝數(shù),這些黑客利用各種計算機工具,對自己所掌握的系統(tǒng)和網(wǎng)絡(luò)缺陷下手,從而盜取、竊聽重要信息,或者攻擊系統(tǒng)中的重要信息,甚至篡改辦公網(wǎng)絡(luò)中的部分信息,而造成辦公網(wǎng)絡(luò)癱瘓,給企業(yè)造成嚴(yán)重的損失。
2.4計算機病毒造成的威脅
計算機病毒會以極快的速度蔓延,而且波及的范圍也非常廣,一旦爆發(fā)計算機病毒將會造成不可估計的損失。計算機病毒無影無形,以依附于其他程序的形式存在,隨著程序的運行進一步侵入系統(tǒng),并迅速擴散。一旦辦公網(wǎng)絡(luò)被病毒入侵,會降低工作效率,甚至導(dǎo)致系統(tǒng)死機,數(shù)據(jù)丟失等嚴(yán)重情況的發(fā)生。
3如何加強辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全
3.1數(shù)據(jù)加密
數(shù)據(jù)加密技術(shù)指的是通過加密鑰匙和加密函數(shù)轉(zhuǎn)化,將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數(shù),將密文還原成為明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。加密的原理就是改變數(shù)據(jù)的表現(xiàn)形式,而目的就是確保密文只能被特定的人所解讀。一個加密網(wǎng)絡(luò),不僅可以實現(xiàn)對非授權(quán)用戶的搭線竊聽和入網(wǎng)的阻攔,而且還能有效的防止惡意軟件的入侵。一般的數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn),分別是鏈路加密、節(jié)點加密和端到端加密。
3.2建立網(wǎng)絡(luò)管理平臺
現(xiàn)階段,隨著網(wǎng)絡(luò)系統(tǒng)的不斷擴大,越來越多的技術(shù)也應(yīng)用到網(wǎng)絡(luò)安全當(dāng)中,常見的技術(shù)主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統(tǒng)都處于獨立地工作狀態(tài),要保證網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源能夠被充分利用,應(yīng)當(dāng)為其提供一個經(jīng)濟安全、可靠高效、功能完善的網(wǎng)絡(luò)管理平臺來實現(xiàn)對這些網(wǎng)絡(luò)安全設(shè)備的綜合管理,使其能夠充分發(fā)揮應(yīng)有的功能。
3.3設(shè)置防火墻
防火墻是網(wǎng)絡(luò)安全的屏障,內(nèi)部網(wǎng)絡(luò)的安全性可以通過防火墻的設(shè)置而得以顯著提升,并通過不安全服務(wù)的過濾而大幅度降低風(fēng)險。互聯(lián)網(wǎng)上病毒、木馬、惡意試探等對網(wǎng)絡(luò)造成的惡性攻擊絡(luò)繹不絕,因此應(yīng)當(dāng)設(shè)置防火墻實現(xiàn)有效地阻擋。
作者:王松 單位:天津市長青集團有限公司
1云計算發(fā)展中的安全問題
隨著計算機技術(shù)的日益成熟,云計算技術(shù)已經(jīng)逐漸的成為了計算機傳送和存信息的重要手段,這主要是因為云計算的發(fā)展同網(wǎng)絡(luò)密不可分,因此網(wǎng)絡(luò)信息安全受計算機云計算安全的直接影響。網(wǎng)絡(luò)的發(fā)展,在使人們生活變得越來越便捷的同時,信息安全遭受到的威脅也在逐漸擴大。近年來,網(wǎng)絡(luò)信息泄密事件屢屢發(fā)生,泄密事件的頻繁發(fā)生使人們對網(wǎng)絡(luò)的安全性產(chǎn)生了嚴(yán)重的懷疑,而網(wǎng)絡(luò)的安全問題對云計算的發(fā)展有著重要的影響,信息的安全得不到保障,那么云計算的發(fā)展也就將會受到制約。控制云計算下的信息安全,是確保云計算技術(shù)能夠得到進一步發(fā)展的重要保障。
2安全防護措施
互聯(lián)網(wǎng)技術(shù)和計算機技術(shù)的高速發(fā)展促使了云計算技術(shù)的誕生,云計算技術(shù)越逐漸地成為了互聯(lián)網(wǎng)的新發(fā)展趨勢,受網(wǎng)絡(luò)的實效性和瞬時性的影響,云計算技術(shù)給安全管理帶來了許多困難,問題的出現(xiàn)同樣給信息安全的發(fā)展帶來機遇。本文依據(jù)云計算的理念,結(jié)合實際工作經(jīng)驗,就如何在云計算的基礎(chǔ)下,確保信息安全的幾種方法加以介紹。
2.1建立統(tǒng)一的信息平臺
我國互聯(lián)網(wǎng)行業(yè)多個運營商并存,因此之間存在著競爭關(guān)系,每個運營商都有各自的信息平臺,從而造成了不同的運營商無法對信息安全問題進行統(tǒng)一。進一步說,這種無法統(tǒng)一將會造成每個云端的資源無法得到充分的利用,導(dǎo)致了在云環(huán)境下資源的巨大浪費。目前信息的存儲和傳輸都處于快速發(fā)展階段,在互聯(lián)網(wǎng)中的存儲的信息要遠大于歷史各時代的信息量的總和,這足以說明,信息的存儲量和傳輸量巨大。在這種大環(huán)境之下,各個運營商如果還是各自為營,不僅會消耗大量的資金,而且也無法確保信息的安全。因此,在云計算逐漸發(fā)展的今天要想確保信息的安全性,運營商之間必須要放下成見,相互合作,共同建立一個統(tǒng)一的互聯(lián)網(wǎng)云環(huán)境下的信息管理平臺,只有這樣才能實現(xiàn)信息整合,發(fā)揮云環(huán)境下互聯(lián)網(wǎng)中信息安全保障的優(yōu)勢。同時,信息管理平臺的建立對云技術(shù)的發(fā)展也有著一定的促進作用,使互聯(lián)網(wǎng)的信息安全有了更多的信息支持。
2.2備份處理
在云環(huán)境下為了確保信息的安全,應(yīng)當(dāng)對信息內(nèi)容進行備份。數(shù)據(jù)的備份級別分為以下幾種,一個單獨的服務(wù)器對數(shù)據(jù)進行備份,多個數(shù)據(jù)服務(wù)對同一數(shù)據(jù)進行備份,多個數(shù)據(jù)中心對一數(shù)據(jù)進行備份,工作人員可以根據(jù)信息的重要性和實際需求為信息提供不同級別的信息備份,對信息加以保護。
2.3加密處理
加密一直是保護信息安全的一個重要措施,在云環(huán)境下對文件加密同樣是保護信息安全的一個重要手段。當(dāng)文件被加密后,任何人要想獲取信息中的內(nèi)容都需要輸入正確的指令,對文件進行加密后將及時將其發(fā)送到互聯(lián)網(wǎng)上,它也依然在控制者控制范圍之中。當(dāng)文件試圖脫離控制者的控制時,控制者可以利用PGP對信息內(nèi)容進行保護,利用此方式,就可以在文件傳輸過程中進行加密,確保了信息安全能夠得到保證。在云環(huán)境下互諒網(wǎng)信息在傳遞途中,控制者可對信息傳輸加密處理,確保信息在互網(wǎng)傳輸中的安全性達到最大化。非法人員可能通過技術(shù)手段對信息的API密匙入侵,此時作為控制者可以在文件傳輸過程中設(shè)置多種API密匙,這樣黑客入侵的難度就會大大提高,有效的阻止黑客入侵,確保了信息的安全性。
3結(jié)束語
綜上所述,為了在競爭中能夠站在巔峰,我國必須積極的參與進云計算技術(shù)、標(biāo)準(zhǔn)平臺的建設(shè)中,從而獲取相關(guān)產(chǎn)業(yè)的控制權(quán),同其它國家進行合作,加強安全管理體系的建設(shè)。雖然目前云計算還處以發(fā)展階段,但是隨著技術(shù)的不斷成熟,云計算也勢必會一步一步走向成熟,總之在這個過程中必須要做好安全信息保護工作。
作者:焦新勝 單位:中國聯(lián)合網(wǎng)絡(luò)通信有限公司運城市分公司
1當(dāng)前基層公安消防部隊網(wǎng)絡(luò)信息安全現(xiàn)狀
1.1網(wǎng)絡(luò)信息安全規(guī)章制度落實不力
《公安信息網(wǎng)“八條紀(jì)律”和“四個嚴(yán)禁”》、《禁止公安業(yè)務(wù)用計算機“一機兩用”的規(guī)定》、《公安網(wǎng)計算機使用管理規(guī)定》、網(wǎng)絡(luò)信息系統(tǒng)日巡檢、系統(tǒng)日志周檢查和數(shù)據(jù)庫備份制度等一系列網(wǎng)絡(luò)信息安全規(guī)章制度未有效落實在日常工作中,麻痹大意思想不同程度存在,造成了基層公安消防部隊網(wǎng)絡(luò)信息安全隱患事件。
1.2網(wǎng)絡(luò)安全教育組織不到位
大多數(shù)基層部隊官兵電腦、網(wǎng)絡(luò)方面的維護知識較少,對于查殺病毒、殺毒軟件升級、設(shè)置更改密碼等一些基本操作都不精通,工作中普遍存在只使用、不懂維護現(xiàn)象,這些因素致使網(wǎng)絡(luò)信息安全得不到保障有效。多數(shù)基層消防部隊開展網(wǎng)絡(luò)安全教育手段較為單一,多是照本宣科的傳達上級規(guī)章制度,不少單位甚至將士兵上網(wǎng)行為視作洪水猛獸,這種一味去“堵”“、防”的安全教育管理模式,顯然不能從根本上解決問題,也達不到提升官兵自身網(wǎng)絡(luò)安全意識的效果。另外基層消防部隊的合同制消防員和文職人員流動性大,也增加了消防部隊網(wǎng)絡(luò)安全教育的復(fù)雜因素。
1.3網(wǎng)絡(luò)安全技術(shù)防范措施和手段較為單一
基層公安消防部隊的網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)普遍不到位,網(wǎng)絡(luò)安全管理平臺、威脅管理(UTM)、防病毒、入侵偵測、安全審計、漏洞掃描、數(shù)據(jù)備份等安全設(shè)備缺口較大。受經(jīng)費制約,不少基層消防部隊在信息化項目建設(shè)時不能按照有關(guān)規(guī)定進行網(wǎng)絡(luò)安全設(shè)計,無法同步建設(shè)網(wǎng)絡(luò)信息安全系統(tǒng)。這種現(xiàn)象致使基層部隊網(wǎng)絡(luò)安全技術(shù)防范措施和手段較單一,不能及早發(fā)現(xiàn)、消除一些網(wǎng)絡(luò)安全隱患。
2加強基層公安消防部隊網(wǎng)絡(luò)信息安全的對策
2.1加強網(wǎng)絡(luò)信息安全教育
基層消防部隊要組織官兵經(jīng)常性地學(xué)習(xí)部隊網(wǎng)絡(luò)信息安全規(guī)章及禁令,積極開展反面警示及法制教育,從中汲取教訓(xùn),舉一反三,使官兵充分認(rèn)識到網(wǎng)上違紀(jì)違規(guī)行為的嚴(yán)重性和危害性。針對網(wǎng)絡(luò)違紀(jì)的傾向性問題,加強思想政治教育、革命人生觀教育和憂患意識教育,讓青年官兵做到正確認(rèn)識看待網(wǎng)絡(luò)技術(shù),正確把握自己的言行。可以邀請保密部門進行專題培訓(xùn)、組織案例剖析以及竊密攻防演示等多種形式,進一步強化官兵依法保護國家秘密的自覺性。要加強對文員和合同制隊員的崗前培訓(xùn)與安全保密教育工作,對于日常工作中經(jīng)常接觸公安網(wǎng)和內(nèi)部信息的人員要嚴(yán)格監(jiān)督和指導(dǎo),貫徹落實各項安全管理制度,杜絕違紀(jì)泄密事件發(fā)生,最大限度地消除隱患,確保網(wǎng)絡(luò)信息安全。
2.2規(guī)范日常網(wǎng)絡(luò)安全檢查
應(yīng)配責(zé)任心強、計算機素質(zhì)較高的官兵為單位網(wǎng)絡(luò)安全管理員,嚴(yán)格落實網(wǎng)絡(luò)信息系統(tǒng)日巡檢、系統(tǒng)日志周檢查和數(shù)據(jù)庫定期備份制度,并將設(shè)備運行參數(shù)、安全運行情況、故障處理信息等檢查、巡檢結(jié)果造冊登記。同時要定期組織開展計算機網(wǎng)絡(luò)安全自查,確保不漏一人、一機、一盤、一網(wǎng),對排查出來的問題要逐項登記,落實整改措施,消除隱患,堵塞漏洞。通過經(jīng)常性的檢查評比,在部隊內(nèi)部營造濃厚的網(wǎng)絡(luò)信息安全氛圍,不斷提升官兵做好網(wǎng)絡(luò)信息安全工作的自覺意識,杜絕各類網(wǎng)絡(luò)信息違紀(jì)泄密事件發(fā)生,把隱患消滅在萌芽狀態(tài),確保網(wǎng)絡(luò)信息安全穩(wěn)定。
2.3加強公安信息網(wǎng)接入邊界管理
每臺接入公安網(wǎng)的計算機必須安裝“一機兩用”監(jiān)控程序、防病毒軟件,及時更新操作系統(tǒng)補丁程序,堅決杜絕未注冊計算機接入公安網(wǎng)絡(luò)。涉密計算機、公安信息網(wǎng)、互聯(lián)網(wǎng)必須實行物理隔離。嚴(yán)禁具有WIFI、藍牙功能的3G手機連接公安網(wǎng)電腦。除移動接入應(yīng)用外,嚴(yán)禁筆記本電腦接入公安網(wǎng)。嚴(yán)格落實各類應(yīng)用系統(tǒng)和網(wǎng)站的登記、備案制度,嚴(yán)格上網(wǎng)內(nèi)容的審批,防止非網(wǎng)管人員隨意登錄服務(wù)器篡改業(yè)務(wù)系統(tǒng)程序、開設(shè)論壇、聊天室、架設(shè)游戲網(wǎng)站、非工作視頻下載等違規(guī)行為。
2.4加強網(wǎng)絡(luò)信息安全技術(shù)保障
基層消防部隊要依據(jù)《全國公安消防部隊安全保障系統(tǒng)建設(shè)技術(shù)指導(dǎo)意見》,在建設(shè)信息化項目時,制定切實可行的網(wǎng)絡(luò)安全保障規(guī)劃,加大投入,確保用于網(wǎng)絡(luò)安全與保密系統(tǒng)方面的投入不低于信息化建設(shè)項目投資總額的10%,逐步配備必要的網(wǎng)絡(luò)信息安全系統(tǒng),研究網(wǎng)絡(luò)安全防范技術(shù),建立網(wǎng)上巡查監(jiān)控機制,提高計算機網(wǎng)絡(luò)和信息系統(tǒng)的整體防范能力和水平。
2.5建立健全網(wǎng)絡(luò)信息責(zé)任機制
基層消防部隊要按照“誰主管、誰負(fù)責(zé)”的原則,嚴(yán)格落實公安網(wǎng)絡(luò)安全和保密工作軍政主官負(fù)責(zé)制,加強公安網(wǎng)絡(luò)安全和保密工作的組織領(lǐng)導(dǎo)和監(jiān)督檢查,及時研究解決網(wǎng)絡(luò)信息安全工作中遇到的問題和困難,督促工作措施落實。要嚴(yán)格落實定期網(wǎng)絡(luò)安全與保密形勢分析制度,在內(nèi)網(wǎng)網(wǎng)站建立網(wǎng)絡(luò)安全管理專欄,通報網(wǎng)絡(luò)運行情況和網(wǎng)絡(luò)安全管理情況。同時加大對網(wǎng)絡(luò)違規(guī)違紀(jì)的查處力度,將網(wǎng)絡(luò)信息安全防范工作全面貫徹到部隊日常安全管理工作中,逐步建立健全對網(wǎng)上違規(guī)行為的調(diào)查、取證、處罰、通報等查處工作聯(lián)動機制。凡因管理不善、措施不力、工作不落實,發(fā)生網(wǎng)絡(luò)違規(guī)違紀(jì)事件的,實行問責(zé)制和責(zé)任倒查制,對直接責(zé)任人進行嚴(yán)肅處理。
作者:梁藺譯 單位:河南省漯河市公安消防支隊司令部
1網(wǎng)絡(luò)環(huán)境下檔案信息的特征
檔案信息化以計算機技術(shù)為基礎(chǔ),與以往的紙質(zhì)檔案資料相比,具有以下特征:
1.1設(shè)備依賴性。
不同于過往的檔案記載,信息化的檔案資料再也不是一支筆、一份紙記錄的過程,從輸入到輸出都是經(jīng)由計算機與其輔助設(shè)備實現(xiàn),管理與傳輸也都依賴各種軟件與網(wǎng)絡(luò)資源共享,信息處理速度與質(zhì)量在某些程度上依賴于計算機的性能與軟件的適應(yīng)性。
1.2易控性和可變性。
信息化的檔案資料一般是以通用的文檔、圖片、視頻、音頻等形式儲存下來,這給信息共享帶來了便利,但也增加了檔案資料的易控性和可變性,對于文檔資料可以通過office工具刪除修改文字、對于圖片資料可以通過photoshop輕易地改變其原有的面貌、對于音頻和視頻資料可以通過adobeaudition和premiere工具的剪輯變成完全不同的模樣,這些都造成了檔案信息易丟失的現(xiàn)象。
1.3復(fù)雜性。
檔案信息量不斷增加、信息存儲形式也變得豐富多樣,不僅有前文所述的文檔、圖像、視頻、音頻等形式,不同格式之間的信息資料還可以相互轉(zhuǎn)換,如視頻與圖片、文字與圖片的轉(zhuǎn)換等等,進一步增加了檔案信息的復(fù)雜性。
2目前網(wǎng)絡(luò)環(huán)境下檔案信息安全管理存在的問題
2.1網(wǎng)絡(luò)環(huán)境下檔案信息安全問題的特性。
檔案信息化有其顯著特征,在此基礎(chǔ)上的檔案信息安全問題屬性也發(fā)生了較大變化。首先表現(xiàn)在信息共享的無邊界性,發(fā)達的網(wǎng)絡(luò)技術(shù)使得整個世界變成一張巨大的網(wǎng),上傳的信息即使在大洋彼岸也能及時查看,一旦信息泄露,傳播的范圍廣、造成的危害難以估量。同時,在某種程度上檔案信息化系統(tǒng)也存在著脆弱性問題,計算機病毒可以入侵系統(tǒng)的眾多組成部分,而任何一部分被攻擊都可能造成整個系統(tǒng)的崩潰。此外,網(wǎng)絡(luò)安全問題還存在一定的隱蔽性,無需面對面交流,不用對話溝通,只需打開一個網(wǎng)頁或是鼠標(biāo)輕輕點擊,信息就會在極短時間內(nèi)被竊取,造成嚴(yán)重后果。
2.2網(wǎng)絡(luò)環(huán)境下檔案信息安全面臨的主要問題。
1)檔案信息化安全意識薄弱。很多情況下,檔案信息被竊取或損壞并不是因為入侵者手段高明,而是檔案信息管理系統(tǒng)自身安全漏洞過多,其本質(zhì)原因是檔案信息管理安全意識不夠。受傳統(tǒng)檔案管理觀念的桎梏、自身技術(shù)水平的限制,很多管理人員并未將檔案信息看作極為重要的資源,對相關(guān)資料處理的隨意性大,也無法覺察到潛在的風(fēng)險,日常操作管理不規(guī)范,增加了檔案安全危機發(fā)生的可能性。
2)檔案信息化安全資金投入不夠。現(xiàn)代信息環(huán)境復(fù)雜多變,數(shù)據(jù)量急劇增加,信息管理難度也越來越大,對各種硬件、軟件設(shè)備的要求也進一步提高,需要企業(yè)在檔案信息管理方面投入更多的人力、物力,定期檢查系統(tǒng)漏洞。而就目前情況而言,大部分企業(yè)在這方面投入的資源還遠遠達不到要求,檔案信息管理的安全性得不到有效保障。
3)檔案信息化安全技術(shù)問題。技術(shù)問題首先表現(xiàn)在互聯(lián)網(wǎng)自身的開放性特征中,互聯(lián)網(wǎng)的基石是TCP/IP協(xié)議,以效率和及時溝通性為第一追求目標(biāo),必然會導(dǎo)致安全性的犧牲,諸如E-mail口令與文件傳輸?shù)炔僮骱苋菀妆槐O(jiān)聽,甚至于不經(jīng)意間計算機就會被遠程操控,許多服務(wù)器都存在可被入侵者獲取最高控制權(quán)的致命漏洞。此外,網(wǎng)絡(luò)環(huán)境資源良莠不齊,許多看似無害的程序中夾雜著計算機病毒代碼片段,隱蔽性強、傳染性強、破壞力大,給檔案信息帶來了嚴(yán)重威脅。
3網(wǎng)絡(luò)環(huán)境下實現(xiàn)檔案信息安全保障原則
3.1檔案信息安全的絕對性與相對性。
檔案信息安全管理工作的重要性是無需置疑的,是任何企業(yè)特別是握有優(yōu)秀技術(shù)的大型企業(yè)必須注重的問題,然而,檔案信息管理并沒有一勞永逸的方法,與傳統(tǒng)檔案一樣,不存在絕對的安全保障,某一時期看起來再完善的系統(tǒng)也會存在不易發(fā)現(xiàn)的漏洞,隨著科技的不斷發(fā)展,會愈來愈明顯地暴露出來。同時,檔案信息安全維護技術(shù)也沒有絕對的優(yōu)劣之分,根據(jù)實際情況的需求,簡單的技術(shù)可能性價比更高。
3.2管理過程中的技術(shù)與非技術(shù)因素。
檔案信息管理工作不是單一的網(wǎng)絡(luò)技術(shù)維護人員工作,也不是管理人員的獨角戲,而需要技術(shù)與管理的有機結(jié)合。檔案管理人員可以不具備專業(yè)網(wǎng)絡(luò)技術(shù)人才的知識儲備量,但一定要具備發(fā)現(xiàn)安全問題的感知力與責(zé)任心,對于一些常見入侵跡象要了然于心,對于工作中出現(xiàn)的自身無法解決的可疑現(xiàn)象應(yīng)及時通知更專業(yè)的技術(shù)人員查看。可根據(jù)企業(yè)實際情況建立完善的檔案安全管理機制,充分調(diào)動各部門員工的力量,以系統(tǒng)性、全面性的理念去組織檔案信息管理工作。
4網(wǎng)絡(luò)環(huán)境下檔案信息安全管理具體保障方法
4.1建立制度屏障。
完善的制度是任何工作順利進行的前提與基礎(chǔ),對于復(fù)雜網(wǎng)絡(luò)環(huán)境下的檔案信息安全管理工作來說更是如此。在現(xiàn)今高度發(fā)達的信息背景下,檔案管理再不是鎖好一扇門、看好一臺計算機的簡單工作,而是眾多高新技術(shù)的集合體,因此,做好檔案信息安全管理工作首先要加強安全意識的宣傳,包括保密意識教育與信息安全基礎(chǔ)教育,加強檔案管理人員特別是技術(shù)操作人員的培訓(xùn)工作。同時,應(yīng)注重責(zé)任制度的落實,詳細規(guī)定庫房管理、檔案借閱、鑒定、銷毀等責(zé)任分配,詳細記錄檔案管理培訓(xùn)與考核工作、記錄進出檔案室的人員信息,具體工作落實到人。在實際操作中,應(yīng)嚴(yán)格記錄每一個操作步驟,將檔案接收、借閱、復(fù)制等過程完整、有條理地編入類目中,以便日后查閱。
4.2建立技術(shù)屏障。
網(wǎng)絡(luò)環(huán)境下的信息安全技術(shù)主要體現(xiàn)在通信安全技術(shù)和計算機安全技術(shù)兩個方面。
1)通信安全技術(shù)。通信安全技術(shù)應(yīng)用于檔案資料的傳輸共享過程中,可分為加密、確認(rèn)與網(wǎng)絡(luò)控制技術(shù)等幾大類。其中,信息加密技術(shù)是實現(xiàn)檔案信息安全管理的關(guān)鍵,通過各種不同的加密算法實現(xiàn)信息的抽象化與無序化,即使被劫持也很難辨認(rèn)出原有信息,這種技術(shù)性價比高,較小的投入便可獲得較高的防護效果。檔案信息確認(rèn)技術(shù)是通過限制共享范圍達到安全性要求,每一個用戶都掌握著識別檔案信息是否真實的方案,而不法接收者難以知曉方案的實際內(nèi)容,從而預(yù)防信息的偽造、篡改行為。
2)計算機安全技術(shù)。從計算機安全角度入手,可采用芯片卡識別制度,每一名合法使用者的芯片卡微處理機內(nèi)記錄特有編號,只有當(dāng)編號在數(shù)據(jù)庫范圍內(nèi)時方可通過認(rèn)證,防止檔案信息經(jīng)由計算機存儲器被竊的現(xiàn)象發(fā)生。同時,應(yīng)加強計算機系統(tǒng)的防火墻設(shè)計,注意查找系統(tǒng)漏洞。
4.3建立法律屏障。
面對如此復(fù)雜的網(wǎng)絡(luò)環(huán)境,法律條令是最為有力的防護武器,建立系統(tǒng)完備、結(jié)構(gòu)嚴(yán)謹(jǐn)?shù)姆审w系將極大地促進檔案信息安全管理工作的進行,應(yīng)從維護網(wǎng)絡(luò)資源、維護用戶正當(dāng)權(quán)益方面入手,以法律的強制力為檔案信息安全管理保駕護航。
作者:徐麗艷 單位:鶴崗市林業(yè)局
1網(wǎng)絡(luò)通信中存在的信息安全問題
信息安全的概念在20世紀(jì)90年代以來逐漸得到了深化,它建立在以密碼論作為理論基礎(chǔ)的計算機安全領(lǐng)域,并輔以計算機、通信網(wǎng)絡(luò)技術(shù)與編程等相關(guān)內(nèi)容,是指包含硬件、軟件、人、數(shù)據(jù)等在內(nèi)的信息系統(tǒng)受到保護,不受偶然或惡意原因受到破壞、泄露、更改,保證系統(tǒng)能夠連續(xù)可靠正常地運行以及信息服務(wù)不中斷,并實現(xiàn)網(wǎng)絡(luò)通信業(yè)務(wù)的連續(xù)性。信息安全主要包括對信息的保密性、完整性、真實性、未授權(quán)拷貝以及所寄生系統(tǒng)的安全性的保證。要做到網(wǎng)絡(luò)通信的安全,就要去除其中影響安全的因素,保證信息傳輸?shù)陌踩c穩(wěn)定。目前,網(wǎng)絡(luò)已融入到了社會、經(jīng)濟、生活等各個領(lǐng)域當(dāng)中,當(dāng)網(wǎng)絡(luò)通信安全出現(xiàn)問題時,不僅會造成個人隱私的泄露,對于社會的穩(wěn)定也會產(chǎn)生不利影響。目前網(wǎng)絡(luò)通信當(dāng)中存在的信息安全問題主要包括:
(1)個人信息的泄露。在網(wǎng)絡(luò)工程當(dāng)中,對于系統(tǒng)硬件、軟件的相關(guān)維護工作還不夠完善,同時網(wǎng)絡(luò)通信當(dāng)中的許多登錄系統(tǒng)需要借助遠程終端來完成,造成系統(tǒng)遠程終端和網(wǎng)絡(luò)用戶在用戶運用互聯(lián)網(wǎng)進入對應(yīng)系統(tǒng)時存在長遠的連接點,當(dāng)信息在進行傳輸時,這些連接點很容易引起黑客對用戶的入侵以及攻擊,使得用戶信息被泄露,個人信息安全得不到保障。
(2)網(wǎng)絡(luò)通信結(jié)構(gòu)不完善。網(wǎng)間網(wǎng)的技術(shù)給網(wǎng)絡(luò)通信提供了技術(shù)基礎(chǔ),用戶通過IP協(xié)議或TCP協(xié)議得到遠程授權(quán),登錄相關(guān)互聯(lián)網(wǎng)系統(tǒng),通過點與點連接的方式來進行信息的傳輸。然而,網(wǎng)絡(luò)結(jié)構(gòu)間卻是以樹狀形式進行連接的,當(dāng)用戶受到黑客入侵或攻擊時,樹狀結(jié)構(gòu)為黑客竊聽用戶信息提供了便利。
(3)相關(guān)網(wǎng)絡(luò)維護系統(tǒng)不夠完善。網(wǎng)絡(luò)維護系統(tǒng)的不完善主要表現(xiàn)軟件系統(tǒng)的安全性不足,我們現(xiàn)在所使用的計算機終端主要是依靠主流操作系統(tǒng),在長時間的使用下需下載一些補丁來對系統(tǒng)進行相關(guān)的維護,導(dǎo)致了軟件的程序被泄露。
2對于網(wǎng)絡(luò)通信中存在的信息安全問題的應(yīng)對方案
對于上述的種種網(wǎng)絡(luò)通信當(dāng)中存在的信息安全問題,我們應(yīng)當(dāng)盡快地采取有效的對策,目前主要可以從以下幾個方面入手:
(1)用戶應(yīng)當(dāng)保護好自己的IP地址。黑客入侵或攻擊互聯(lián)網(wǎng)用戶的最主要目標(biāo)。在用戶進行網(wǎng)絡(luò)信息傳輸時,交換機是進行信息傳遞的重要環(huán)節(jié),因此,用戶可以利用對網(wǎng)絡(luò)交換機安全的嚴(yán)格保護來保證信息的安全傳輸。除此之外,對所使用的路由器進行嚴(yán)格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。
(2)對信息進行加密。網(wǎng)絡(luò)通信中出現(xiàn)的信息安全問題主要包括信息的傳遞以及存儲過程當(dāng)中的安全問題。在這兩個過程當(dāng)中,黑客通過竊聽傳輸時的信息、盜取互聯(lián)網(wǎng)用戶的相關(guān)資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網(wǎng)絡(luò)通信當(dāng)中信息的安全做出威脅。互聯(lián)網(wǎng)用戶如果在進行信息傳遞與存儲時,能夠根據(jù)具體情況選用合理的方法來對信息進行嚴(yán)格的加密處理,那么便可以有效地防治這些信息安全問題的產(chǎn)生。
(3)完善身份驗證系統(tǒng)。身份驗證是互聯(lián)網(wǎng)用戶進行網(wǎng)絡(luò)通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當(dāng)中用戶需要注意的是要盡量將用戶名、密碼分開儲存,可以適當(dāng)?shù)厥褂靡淮涡悦艽a,同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發(fā)展,目前一些指紋驗證、視網(wǎng)膜驗證等先進生物檢測方法也慢慢得到了運用,這給網(wǎng)絡(luò)通信信息安全提供了極大的保障。
3總結(jié)
綜上所述,在互聯(lián)網(wǎng)越來越普及的當(dāng)今,網(wǎng)絡(luò)已經(jīng)逐步融入到人們的日常生活當(dāng)中并對人們的工作、生活、學(xué)習(xí)等產(chǎn)生了巨大的影響。在享受網(wǎng)絡(luò)帶給我們的便利之外,對于網(wǎng)絡(luò)通信當(dāng)中的信息安全問題也要加強重視。我們應(yīng)當(dāng)根據(jù)信息傳輸或存儲當(dāng)中產(chǎn)生的具體問題來進行具體的分析,并做到對癥下藥,找到最佳的解決對策,從而在保證個人信息安全的同時,維護整個互聯(lián)網(wǎng)乃至整個社會環(huán)境的穩(wěn)定。
作者:楊錦麗 單位:中南大學(xué)物理與電子學(xué)院
1當(dāng)前網(wǎng)絡(luò)通信信息安全存在的問題
1.1網(wǎng)絡(luò)通信結(jié)構(gòu)不合理網(wǎng)絡(luò)通信自身結(jié)構(gòu)的不合理是造成當(dāng)前我國網(wǎng)絡(luò)通信信息安全隱患的首要原因。互聯(lián)網(wǎng)通信技術(shù)是以網(wǎng)間網(wǎng)技術(shù)為主要依托的,用戶需要通過自身固定的IP協(xié)議或TCP協(xié)議在網(wǎng)上注冊賬號,從而在獲得網(wǎng)絡(luò)的遠程授權(quán)后開展網(wǎng)絡(luò)通信。由于網(wǎng)絡(luò)結(jié)構(gòu)是樹狀型,用戶在使用網(wǎng)絡(luò)通信功能時可能被黑客攻擊從而通過樹狀連接網(wǎng)絡(luò)竊取用戶的通信信息。
1.2網(wǎng)絡(luò)通信軟件存在安全隱患由于客戶在使用網(wǎng)絡(luò)通信軟件時需要通過下載補丁等方式讓軟件能夠符合計算機終端操作系統(tǒng)的要求,而這些被廣泛應(yīng)用并下載的軟件程序可能由于補丁程序等的引入而成為公開化的信息,這種公開化的軟件信息一旦被不法分子利用則會給人們的網(wǎng)絡(luò)通信帶來嚴(yán)重影響,這種影響甚至?xí)罢麄€計算機網(wǎng)絡(luò)系統(tǒng),造成整個網(wǎng)絡(luò)的通信安全隱患。
1.3人為的網(wǎng)絡(luò)系統(tǒng)攻擊在利益的驅(qū)使下,部分不法分子企圖通過不合法的網(wǎng)絡(luò)系統(tǒng)攻擊方式對網(wǎng)絡(luò)通信進行人為的攻擊從而獲取大量的網(wǎng)絡(luò)資源。這些“黑客”的攻擊不僅出現(xiàn)在商業(yè)管理終端等能夠獲取大量經(jīng)濟利益的領(lǐng)域,甚至還可能出現(xiàn)在個人的計算機中獲取個體用戶的信息,給用戶的信息安全造成重大隱患。應(yīng)該客觀認(rèn)識的是,我國網(wǎng)絡(luò)通信在人們生活水平不斷提升及通信方式變革的背景下發(fā)展速度一日千里,但是作為保障的信息安全維護工作卻與網(wǎng)絡(luò)通信的發(fā)展現(xiàn)狀存在較大差距。再加上網(wǎng)絡(luò)通信管理部門對于網(wǎng)絡(luò)通信信息安全認(rèn)識不足、網(wǎng)絡(luò)通信管理制度不健全等問題也加劇了網(wǎng)絡(luò)通信信息安全隱患,甚至給整個互聯(lián)網(wǎng)通信系統(tǒng)帶來安全隱患,給不法分子以利用的機會。正是基于當(dāng)前我國網(wǎng)絡(luò)通信中信息安全的嚴(yán)峻現(xiàn)狀及在這一過程中所出現(xiàn)問題的原因,筆者認(rèn)為,不斷加強網(wǎng)絡(luò)通信技術(shù)革新與網(wǎng)絡(luò)通信制度建設(shè),充分保障網(wǎng)絡(luò)通信信息安全是時展的必然要求。
2保障網(wǎng)絡(luò)通信信息安全的途徑
2.1充分保障用戶IP地址由于黑客對用戶網(wǎng)絡(luò)通信的侵入與攻擊大都是以獲取用戶IP地址為目的的,因此,充分保障用戶的IP地址安全是保護用戶網(wǎng)絡(luò)通信安全的重要途徑。用戶在使用互聯(lián)網(wǎng)時也要特別注意對自身IP地址的保護,通過對網(wǎng)絡(luò)交換機的嚴(yán)格控制,切斷用戶IP地址通過交換機信息樹狀網(wǎng)絡(luò)結(jié)構(gòu)傳遞被透露的路徑;通過對路由器進行有效的隔離控制,經(jīng)常關(guān)注路由器中的訪問地址,對非法訪問進行有效切斷。
2.2完善信息傳遞與儲存的秘密性信息傳遞與信息儲存的兩個過程是當(dāng)前給網(wǎng)絡(luò)通信信息安全造成隱患的兩個主要途徑,在網(wǎng)絡(luò)信息的存儲與傳遞過程中,黑客可能會對信息進行監(jiān)聽、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網(wǎng)絡(luò)通信技術(shù)時要對網(wǎng)絡(luò)信息的傳遞與儲存環(huán)節(jié)盡量進行加密處理,保證密碼的多元化與復(fù)雜性能夠有效甚至從根本上解決信息在傳遞與儲存環(huán)節(jié)被黑客攻擊利用的威脅。當(dāng)前在網(wǎng)絡(luò)通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理,而網(wǎng)絡(luò)維護工作者也要根據(jù)實際情況加強對信息的加密設(shè)置。
2.3完善用戶身份驗證對用戶的身份進行有效的驗證是保障網(wǎng)絡(luò)通信信息安全的另一條重要途徑。在進行網(wǎng)絡(luò)通信之前對用戶身份進行嚴(yán)格驗證,確保是本人操作從而對用戶的私人信息進行充分有效的保護。當(dāng)前,用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現(xiàn)的,只有二者配對成功才能獲得通信權(quán)限,這種傳統(tǒng)的驗證方法能夠滿意一般的通信安全需求,但是在網(wǎng)絡(luò)通信技術(shù)發(fā)展速度不斷加快的背景下,傳統(tǒng)的身份驗證方法需要新的變化,諸如借助安全令牌、指紋檢測、視網(wǎng)膜檢測等具有較高安全性的方法進一步提升網(wǎng)絡(luò)通信信息安全水平。此外,在保障網(wǎng)絡(luò)通信信息安全的過程中還可以通過完善防火墻設(shè)置,增強對數(shù)據(jù)源及訪問地址惡意更改的監(jiān)測與控制,從源頭上屏蔽來自外部網(wǎng)絡(luò)對用戶個人信息的竊取以及對計算機的攻擊。加強對殺毒軟件的學(xué)習(xí)與使用,定期對電腦進行安全監(jiān)測,從而確保用戶自身的信息安全。
3結(jié)語
完善網(wǎng)絡(luò)通信技術(shù)的安全保障是用戶在開展網(wǎng)絡(luò)通信時保護個人信息的必然要求,必須要通過完善對用戶IP地址的保護、完善對用戶信息傳遞與儲存的保護、完善對用戶身份驗證的途徑加強對網(wǎng)絡(luò)通信信息安全保障。
作者:劉佳單位:中國鐵通集團有限公司四平分公司
1電子政務(wù)中存在的問題
1.1電子政務(wù)早在上世紀(jì)九十年代開始,就開始流行電子政務(wù)。在本世紀(jì)初,國務(wù)院總理朱镕基在召開國家信息化小組的會議中將電子政務(wù)列為了重點建設(shè)項目,這是我國電子政務(wù)重點建設(shè)時期,同時這也確定了電子政務(wù)在日常政務(wù)的中重要性。在不同領(lǐng)域給電子政務(wù)的定義不同,電子政務(wù)最廣泛的理解是通過計算機網(wǎng)絡(luò)技術(shù),與通訊技術(shù)的結(jié)合,實現(xiàn)一些機構(gòu)組織對工作流程的優(yōu)化和重組,這種優(yōu)化和重組跨越了時間空間,甚至是部門的限制。這種運行模式以公正,高效著稱,主要的作用是全方位的向相應(yīng)的人群提供透明化,優(yōu)質(zhì)的服務(wù)和管理。但是這種運行方式最常見于政府和大型的商業(yè)機構(gòu)中,對信息安全的要求性要求很高。因為電子政務(wù)是一個政府或一個大型商業(yè)機構(gòu)的優(yōu)秀信息所在之處,也往往因為某些原因,這種實行電子政務(wù)的機構(gòu)很容易受到外界不法人員的攻擊,有的為的是政府的機密,有的為的是商業(yè)機密等,但是不管是出于什么目的,信息是絕對不允許被泄露的。
1.2電子政務(wù)中存在的信息安全隱患有人說過安全是相對的,因此是沒有的安全,總會在一些地方存在一些潛在安全問題。在行政中電子政務(wù)的應(yīng)用,安全問題值得注意,在發(fā)現(xiàn)問題后應(yīng)該及時去解決問題,所以在問題出現(xiàn)前,首先要客觀的去評價電子政務(wù)建設(shè)的質(zhì)量問題和技術(shù)問題,再就是根據(jù)問題所在地來想出相應(yīng)的應(yīng)對策略。常見的影響信息安全的因素有以下四類,一是使用者的操作方式不安全,二是在電子政務(wù)建設(shè)中存在的問題,關(guān)于提高電子政務(wù)網(wǎng)絡(luò)信息安全的探討文/通拉嘎現(xiàn)在是信息高速發(fā)展的時代,網(wǎng)絡(luò)信息時代,信息多而雜。在現(xiàn)在的網(wǎng)絡(luò)信息中含有大量的木馬等病毒,這是需要上網(wǎng)人員自己去識別,排除的信息安全問題。而且我國也早就開始使用電子政務(wù),這就更需要注意網(wǎng)絡(luò)信息安全問題,除了需要好的網(wǎng)站維護的后勤組織,好的病毒防火墻,還需要使用者在操作過程中注意好的安全意識,只有這樣才能盡量的減少電子政務(wù)信息的泄露。摘要三是技術(shù)層面上的不足,四是相關(guān)工作人員的泄露。
2網(wǎng)絡(luò)信息安全
良好的網(wǎng)絡(luò)環(huán)境是需要很長時間的建設(shè),但是網(wǎng)絡(luò)環(huán)境在理論上來說,是沒有絕對的優(yōu)質(zhì),只有相對較好,所以在多數(shù)時候,基礎(chǔ)干部的網(wǎng)絡(luò)工作環(huán)境是并不是很好,這就需要培養(yǎng)基礎(chǔ)干部的信息安全意識。
3電子政務(wù)中安全問題的應(yīng)對策略
3.1安全意識的培養(yǎng)安全意識需要從基礎(chǔ)開始培養(yǎng)的,因此對相關(guān)的基層人員進行相應(yīng)的知識培訓(xùn)。一般的電子政務(wù)的是一個政府機構(gòu)的官方網(wǎng)站,而且這些網(wǎng)站的后臺都需要登錄域名和密碼,還有就是網(wǎng)站的信息等需要登錄后臺或者是需要用戶名才可以,這些就存在入侵空間了,類似的還有很多,因此要對基層人員培養(yǎng)安全意識,最有用的方法就是向基層人員講解那些方面存在安全隱患,并實時對這些基層進行抽查,避免他們進行危險操作。這些都是簡單的從表面上解決問題,但這并不能根除所有的安全隱患,因此要提高安全性,還要從另外幾個方向上解決根本的問題。
3.2規(guī)范操作方式對安全意識的培養(yǎng),只是在理論上對基層人員進行了一定程度上的培養(yǎng),但是還需要在實際操作上進行培養(yǎng)。這主要包括安全瀏覽,安全登錄,安全。安全瀏覽主要是指日常工作在網(wǎng)頁上的安全使用,要求在使用前進行殺毒處理,檢查是否開啟防火墻,不要在非官網(wǎng)上填寫登錄名等;安全登錄是指在安全的網(wǎng)絡(luò)環(huán)境中登錄賬號,主要操作為先檢查網(wǎng)絡(luò)環(huán)境是否安全,在進行防火墻設(shè)置,最重要的是在登錄賬號之前進行病毒查殺,在進行相關(guān)的內(nèi)容,或信息瀏覽等,在做完所有的事項之后退出賬號。這非常重要的一步,有很多基層人員做好了所有的事,但是最后忘了退出了,就導(dǎo)致賬號信息的泄露,這也是很常見的基礎(chǔ)錯誤,還有一種就是很多人喜歡保存登錄號密碼,這會在別人用你的電腦時,可以很輕松的登錄進入相關(guān)頁面,并進行違法操作等。
3.3提高電子政務(wù)建設(shè)中的技術(shù)支持很多時候不是電子政務(wù)的建設(shè)上的問題,而是后臺的維護技術(shù)不足,再遇到病毒時,安全維護工具和防火墻技術(shù)不足,導(dǎo)致網(wǎng)站被病毒感染,使不法分子利用,從而獲取民眾的信息,這在一定程度上這也是地方政府的失誤。在防火墻的技術(shù)方面的突破,是需要政府進行招聘的高技術(shù)人員,進行防火墻技術(shù)升級,網(wǎng)站優(yōu)化等技術(shù)方面的改善。
3.4加強相關(guān)人員的保密工作有的地方政府會把很簡單把電子政務(wù)建設(shè)的工作簡簡單單的交給一個網(wǎng)絡(luò)公司來完成,在這個過程中就會存在很多的問題。因為網(wǎng)站的第一設(shè)計者并不是政府人員,這個在一定程度上就存在很大的安全隱患,畢竟網(wǎng)站設(shè)計過程存在的bug只有網(wǎng)站設(shè)計者最為清楚,如果網(wǎng)站設(shè)計者將這個網(wǎng)站的設(shè)計腳本泄露了,那么就給了那些不法分子利用的機會,可以通過網(wǎng)站設(shè)計的源代碼來找出設(shè)計上的bug,借此來來尋找機會攻擊網(wǎng)站,嚴(yán)重的會導(dǎo)致所有的信息泄露。因此為了杜絕這些事項的發(fā)生,地方政府在建設(shè)網(wǎng)站時,可以將網(wǎng)站設(shè)計的任務(wù)交給網(wǎng)絡(luò)設(shè)計公司,但是同時也要和他們簽訂相應(yīng)的協(xié)議,一是為防止他們泄露網(wǎng)站設(shè)計思路和源代碼,二是在防止他們私自登錄網(wǎng)站的后臺。還有就是利用政府的網(wǎng)絡(luò)技術(shù)人員對網(wǎng)站進行修改,在一定程度上完善網(wǎng)站設(shè)計,減少bug,以減少信息泄露的風(fēng)險。
4結(jié)語
信息安全在電子政務(wù)應(yīng)用十分重要,影響信息安全的因素有很多,主要有四類,這四個方面在不同的角度介紹了影響信息安全的因素,但是在一定程度上尋找相應(yīng)的措施,可以有效的提高信息安全性。雖然只是在分析影響信息安全的因素,但是這卻在根本上是在介紹如何去提高信息的安全性。提高信息安全意識和信息保護意識,是在根本上提高電子政務(wù)網(wǎng)絡(luò)信息安全。
作者:通拉嘎單位:內(nèi)蒙古興安盟科右前旗烏蘭毛都蘇木
作者:謝樂天劉利成單位:巢湖供電公司
由于EPON系統(tǒng)包含三層路由設(shè)備,可以天然隔離廣播風(fēng)暴和ARP攻擊,即使發(fā)生異常,也可以把負(fù)面影響控制在其相應(yīng)的VLAN區(qū)域內(nèi),避免對整網(wǎng)產(chǎn)生影響。所以,從后續(xù)實際運行維護的角度考慮,用戶用電信息采集系統(tǒng)采用分布式三層架構(gòu)比較合適。
網(wǎng)絡(luò)物理規(guī)劃。巢湖供電公司電力用戶用電信息采集系統(tǒng)的通信方式,對公用配變用戶信息的采集,采集主站到集中器使用光纖通信,集中器到采集器采用電力線載波通信的方式。對專用配變用戶信息的采集,采集主站到專變采集終端采用的光纖通信的方式。根據(jù)巢湖市配網(wǎng)的結(jié)構(gòu)和城市道路的走向,電力用戶用電信息采集系統(tǒng)現(xiàn)期的光纖網(wǎng)絡(luò)分為三個主環(huán),然后采用分支到集中器和專變采集終端的方式。由于采集系統(tǒng)主站到采集終端是點到多點結(jié)構(gòu),故采用無源光纖以太網(wǎng),簡稱EPON,網(wǎng)絡(luò)的拓?fù)鋱D如圖一。EPON網(wǎng)絡(luò)的主要優(yōu)點是點到多點結(jié)構(gòu),且光纖的分支點使用的光分配器ODN是無源的,不需要電源,施工方便,運行安全可靠。由于只在集中器和專變采集終端設(shè)置IP地址,采集器不設(shè)置IP地址。巢湖電網(wǎng)集中器和專變采集終端數(shù)量按1萬臺考慮,網(wǎng)絡(luò)按中規(guī)模網(wǎng)絡(luò)進行規(guī)劃。三個環(huán)網(wǎng)的局端設(shè)備OLT設(shè)備通過光纖網(wǎng)絡(luò)匯聚到一臺H3CS-7502的光交換機上之后,再通過綜合數(shù)據(jù)網(wǎng)NE40的VPN通道,接入省電力公司的電力用戶用電信息采集系統(tǒng)主站。
網(wǎng)絡(luò)物理保護。由于EPON網(wǎng)絡(luò)不支持環(huán)網(wǎng)結(jié)構(gòu),為對采集系統(tǒng)網(wǎng)絡(luò)進行保護,我們采用雙局端設(shè)備OLT,光纖用“手拉手”方式進入用戶端設(shè)備ONU。ONU配備一主一備雙光口,當(dāng)光纖故障造成主光口無信號時,設(shè)備自動啟用備用光口,ONU與采集設(shè)備采用雙絞線連接。由于只在采集終端配置IP地址,ONU不需配置IP地址,故ONU在主、備光口切換時不需要重新配置IP地址,從而實現(xiàn)了信道的自動切換。“手拉手”的兩根芯可以使用同一根光纖以節(jié)省投資,網(wǎng)絡(luò)保護結(jié)構(gòu)如圖二。二、電力用戶用電信息采集系統(tǒng)網(wǎng)絡(luò)邏輯安全措施用電信息采集系統(tǒng)的邏輯安全采取四項措施。措施一為終端認(rèn)證,ONU通過對集中器進行MAC認(rèn)證以及IP對MAC綁定,實現(xiàn)對終端的安全識別,同時限制用戶接入的速率,避免對上層網(wǎng)絡(luò)和系統(tǒng)的流量沖擊。
此外OLT還可以對ONU進行接入的安全認(rèn)證,避免非法ONU的接入。措施二為ONU與采集終端的隔離。網(wǎng)絡(luò)的IP地址只設(shè)置在采集終端上,ONU統(tǒng)一不設(shè)置IP地址,ONU采用廠家提供的網(wǎng)管系統(tǒng)管理,使用非IP協(xié)議,避免遭受IP類網(wǎng)絡(luò)攻擊。措施三為安全檢測與防御。在OLT設(shè)備處部署業(yè)務(wù)識別系統(tǒng),對終端業(yè)務(wù)的合法性進行實時檢查,一旦發(fā)現(xiàn)非法操作或入侵操作立刻告警甚至切斷該業(yè)務(wù)。為了方便管理和維護,應(yīng)及時對業(yè)務(wù)特征庫進行集中更新。措施四為業(yè)務(wù)隔離,通過ONUUNI的端口隔離、OLT的PON端口隔離和網(wǎng)關(guān)的網(wǎng)段隔離,實現(xiàn)各終端間的業(yè)務(wù)隔離,避免相互干擾和控制;同時ONU與OLT之間采用加密方式進行通信,確保信息傳輸?shù)陌踩浴Mㄟ^以上四項措施的實施,確保了合法終端和合法業(yè)務(wù)的接入,有效避免黑客對用電信息采集系統(tǒng)和周邊系統(tǒng)的入侵,確保用電信息采集系統(tǒng)網(wǎng)絡(luò)安全。
目前,巢湖電網(wǎng)電力用戶用電信息采集系統(tǒng)光纖網(wǎng)絡(luò)建設(shè)已經(jīng)按上述規(guī)劃完成,投入運行后的網(wǎng)絡(luò)數(shù)據(jù)通信穩(wěn)定,安全性能符合要求。根據(jù)采集系統(tǒng)運行情況統(tǒng)計,系統(tǒng)的一次采集成功率達到99.2%,周期采集成功率達到100%,未發(fā)現(xiàn)系統(tǒng)被入侵的現(xiàn)象。故網(wǎng)絡(luò)規(guī)劃是安全的,可供其它單位在系統(tǒng)網(wǎng)絡(luò)建設(shè)時作為參考。
1加強網(wǎng)絡(luò)信息安全工作的對策
1.1提高對網(wǎng)絡(luò)信息安全的重視度
首先,維護網(wǎng)絡(luò)信息安全是需要所有使用網(wǎng)絡(luò)信息技術(shù)的人員共同承擔(dān)的責(zé)任。網(wǎng)絡(luò)信息安全得到了保障,才能夠使存儲的信息不被破壞,減少日常工作與生活中出現(xiàn)不必要的麻煩。其次,提高對網(wǎng)絡(luò)信息安全的重視度是國家經(jīng)濟建設(shè)的重要內(nèi)容。在一些國家直屬機關(guān),做好國家機密信息的保護是減少敵對勢力入侵的前提,更是維護國家尊嚴(yán)的體現(xiàn)。
1.1.1開展必要的保密教育工作相關(guān)部門要針對上述出現(xiàn)的信息泄露等問題定期對人員進行培訓(xùn)教育,不斷提高人員的保密安全觀念與意識,使其具有保密自覺性。還要定期開展科學(xué)性強、有教育意義的宣傳活動,對國內(nèi)典型的信息外泄事件進行分析,結(jié)合具體的信息安全保密方法,提高人們對網(wǎng)絡(luò)信息安全的關(guān)注度。
1.1.2不斷對技術(shù)進行研究與開發(fā)隨著現(xiàn)代科技的飛速發(fā)展,應(yīng)用在網(wǎng)絡(luò)信息安全保障中的技術(shù)要能夠不斷進行更新,借助現(xiàn)代化手段對網(wǎng)絡(luò)安全技術(shù)進行改進與創(chuàng)新。要將研究出來網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)中,使其從形式轉(zhuǎn)變?yōu)榉椒ǎ嬲l(fā)揮其在整個網(wǎng)絡(luò)系統(tǒng)中的重要作用。
1.2網(wǎng)絡(luò)安全保障措施
1.2.1采用先進技術(shù)支持網(wǎng)絡(luò)安全關(guān)系到每一個單位的發(fā)展與經(jīng)營,為此,要在技術(shù)上做好監(jiān)管,其網(wǎng)絡(luò)性能要從內(nèi)置軟件到傳輸硬件等多個方面進行加強,運用先進的技術(shù)手段落實各項操作。通常來說,防火墻技術(shù)加密處理是最常見的應(yīng)用方法,能夠為整個系統(tǒng)網(wǎng)絡(luò)提供必要的技術(shù)支持。
1.2.2保障系統(tǒng)穩(wěn)定運行要能夠從多個角度分析網(wǎng)絡(luò)安全,必要時對系統(tǒng)穩(wěn)定性進行檢測,對整個網(wǎng)絡(luò)系統(tǒng)進行維護與創(chuàng)新,確保整個網(wǎng)絡(luò)系統(tǒng)各項程序能夠安全運行。還要對系統(tǒng)冗余進行防護,在分析多個角度的運行安全效果以后,提高網(wǎng)絡(luò)安全運用水平。做好防火墻的技術(shù)加密處理,從而為系統(tǒng)提供一個安全、穩(wěn)定的平臺。
1.2.3重視外部網(wǎng)絡(luò)可靠性外部網(wǎng)絡(luò)能夠為企業(yè)提供必要、穩(wěn)定的系統(tǒng)支持,這個方面的安全問題是不容小覷的,無論是外部還是內(nèi)部都能夠體現(xiàn)出外網(wǎng)的時效性與穩(wěn)定性。為此,要能夠適當(dāng)?shù)膶⑼饩W(wǎng)的故障降到最低,并要提供連續(xù)性的服務(wù)。
1.2.4重視開放性監(jiān)督一般來說,網(wǎng)絡(luò)安全系統(tǒng)的開放程度非常強,正是因為這種開放性,在網(wǎng)絡(luò)中加強對其的監(jiān)督非常有必要,在數(shù)據(jù)傳輸中,其安全性也能夠有效體現(xiàn)出來。
1.3系統(tǒng)硬件及軟件上的保障對策
計算機一般都是以CPU為主進行設(shè)置的,其設(shè)置標(biāo)準(zhǔn)是33位。為此,其服務(wù)器具有非常強的穩(wěn)定性,隨著科技進步,當(dāng)前的CPU已經(jīng)擴充到了65位,其有效處理器最高能夠達到百分之七十,如果內(nèi)存增大,內(nèi)部配置量也會隨之增加。由此,借助硬件設(shè)備的改進提高網(wǎng)絡(luò)安全性能是非常有效的。軟件技術(shù)對網(wǎng)絡(luò)信息安全也有非常重要的保障作用,因為硬件系統(tǒng)在可靠性與安全性上有非常強大的處理功能,能夠為軟件性能創(chuàng)造足夠的空間。比如,可以將槽位進行擴充,這樣能夠使計算機的信息存儲能力增強,還可以在網(wǎng)絡(luò)系統(tǒng)的外部增添一些功能全面的輔助設(shè)備,這些軟硬件設(shè)備共同運行更能夠保障系統(tǒng)安全運行。此外,在信息安全保障方面,還要做好日常保密管理工作,要對網(wǎng)站進行定期維護檢測,定期對存在的系統(tǒng)垃圾進行刪除,使系統(tǒng)的運行能夠更加輕松,更有效的防止病毒入侵。
2結(jié)語
在此主要對網(wǎng)絡(luò)信息安全技術(shù)保障面臨的挑戰(zhàn)進行了分析,并針對網(wǎng)絡(luò)信息安全技術(shù)發(fā)展存在的問題提出了幾點技術(shù)保障對策。并指出,要想使網(wǎng)絡(luò)信息安全得到技術(shù)上的保障,首先要提高人們對網(wǎng)絡(luò)信息安全的重視度,在軟件及硬件方面做好技術(shù)研發(fā),依靠先進的技術(shù)與規(guī)范的制度保障網(wǎng)絡(luò)信息安全。
作者:李飛 單位:中國原子能科學(xué)研究院
1計算機網(wǎng)絡(luò)信息安全及其現(xiàn)狀
1.1來自惡意程序的威脅
該類程序主要有計算機病毒、木馬,通過網(wǎng)絡(luò)及可移動介質(zhì)進行傳播.由于網(wǎng)絡(luò)應(yīng)用的普及,社區(qū)軟件應(yīng)用的流行為其傳播提供了有效的途徑,人們在接收有效信息的同時也可能接收到惡意程序而被“掛馬”或感染病毒,導(dǎo)致計算機中的信息遭到破壞或被竊取.人為點擊錯誤的鏈接導(dǎo)致打開下載未知的惡意程序也是遭受信息欺詐的形式之一.木馬(Trojan),也被稱為木馬病毒,是指通過特定的程序(木馬程序)來控制另一臺計算機.其通常有兩個可執(zhí)行程序:控制端與被控制端.木馬這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的特洛伊木馬本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)“.木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也并不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種主機的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種主機.木馬病毒的產(chǎn)生嚴(yán)重危害著現(xiàn)代網(wǎng)絡(luò)的安全運行.常見的木馬程序有:網(wǎng)游木馬、網(wǎng)銀木馬、下載類、類、FTP木馬、通訊軟件類、網(wǎng)頁點擊類等.計算機木馬程序雖然沒有病毒程序那樣的傳染能力,但是其破壞性非常大,對個人信息、隱私,對國家安全、機密的威脅都非常大.計算機病毒是人為編制的具有破壞作用的計算機程序.任何程序和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使殺毒軟件更難檢測.現(xiàn)在操作系統(tǒng)很多,因此,病毒也瞄準(zhǔn)了很多其它平臺,不再僅僅局限于MicrosoftWindows平臺了.一些新病毒變得越來越隱蔽,同時新型電腦病毒也越來越多,更多的病毒采用復(fù)雜的密碼技術(shù),在感染宿主程序時,病毒用隨機的算法對病毒程序加密,然后放入宿主程序中,由于隨機數(shù)算法的結(jié)果多達天文數(shù)字,所以,放入宿主程序中的病毒程序每次都不相同.這樣,同一種病毒,具有多種形態(tài),每一次感染,病毒的面貌都不相同,猶如一個人能夠“變臉”一樣,檢測和殺除這種病毒非常困難.同時,制造病毒和查殺病毒永遠是一對矛盾,既然殺毒軟件是殺病毒的,而就有人卻在搞專門破壞殺病毒軟件的病毒,一是可以避過殺病毒軟件,二是可以修改殺病毒軟件,使其殺毒功能改變.病毒的傳播性極強,而且有多重傳播介質(zhì),對于用戶的個人信息和企業(yè)的機密信息都是一個較大的威脅,無論是木馬還是病毒程序,都需要進行有針對性的研究,并且及時采取應(yīng)對措施,保證計算機網(wǎng)絡(luò)信息安全.
1.2駭客(Cracker)與黑客(Hacker)攻擊行為
駭客指那些利用現(xiàn)有程序進行計算機系統(tǒng)入侵,專門進行破壞計算機或影響計算機安全的人.他們未必具有高超的技術(shù),而是利用自己的技術(shù)進行網(wǎng)絡(luò)犯罪.黑客是指在計算機界中那些“用巧妙的方式解決問題的人”,他們熱衷于挑戰(zhàn),崇尚自由并主張信息共享.網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)優(yōu)秀(網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)),所不同的是如何使用這些技術(shù).其主要的威脅有兩種,一種是對網(wǎng)絡(luò)信息的,另一種是對網(wǎng)絡(luò)設(shè)備的.黑客的攻擊原理通常是,第一步收集網(wǎng)絡(luò)系統(tǒng)中的信息,第二步檢測出目標(biāo)網(wǎng)絡(luò)存在的安全漏洞,第三步建立一個虛擬的環(huán)境,進行模擬攻擊,最后進行實際的網(wǎng)絡(luò)攻擊.黑客攻擊大體有兩種,一種是誘騙式的攻擊方法,這種方式黑客通過交流軟件(QQ,MSN,OISQ等)、電子郵件、網(wǎng)頁信息、軟件下載等來進行病毒和木馬的傳播,通常這種方法較為被動,但是傳播速度較快.另一種是頂點式攻擊方法,這種攻擊方法的使用者大多數(shù)以獲取攻擊對象機密信息或者資料為目的,需采集服務(wù)端口、IP地址等信息;然后得知漏洞并利用其攻擊口令文件實施破解以得到對被攻擊對象的控制權(quán)限;第三植入后門程序;第四步訪問其它主機獲取文件等信息.從黑客的攻擊方式和原理中我們不難看出,這些黑客對個人、企業(yè)甚至國家計算機的攻擊都可能會造成較大的損失,對整個計算機網(wǎng)絡(luò)信息安全也是一個重要的威脅,對這種行為進行防治我們要從計算機網(wǎng)絡(luò)和軟件開發(fā)等方面入手,使計算機網(wǎng)絡(luò)自身的漏洞盡量減少,一旦發(fā)現(xiàn)漏洞及時進行補丁的研究.
1.3人為無意失誤與各種誤操作或計算網(wǎng)絡(luò)系統(tǒng)故障
網(wǎng)絡(luò)中大量盜鏈與釣魚軟件的存在使得缺乏操作知識與安全意識的人,很容易點擊錯誤的鏈接,下載并打開安裝了未知程序致使計算機中毒、被掛本馬或是在網(wǎng)上交流過程中受騙,毫無防范意識地將信息提供給他人,這些都是造成信息丟失或信息受侵的原因.而且計算機網(wǎng)絡(luò)本身已不是一個非常穩(wěn)定、可靠的系統(tǒng),無論是由于目前的技術(shù)缺陷還是設(shè)備問題,都是導(dǎo)致計算機網(wǎng)絡(luò)自身穩(wěn)定性和可靠性存在不足的原因,但是計算機用戶可以說是一個較為穩(wěn)定并且在逐漸擴大的群體,用戶需要一個穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境使自己的信息安全受到保護,這就與計算機網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀產(chǎn)生了沖突.一旦計算機網(wǎng)絡(luò)系統(tǒng)產(chǎn)生故障或者工作過程中產(chǎn)生波動,很可能導(dǎo)致用戶和系統(tǒng)信息丟失或者泄露,而且計算機網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)是ip協(xié)議,協(xié)議的自身運行會增加許多代碼和程序的應(yīng)用,而這些代碼和程序的本身就存在一些漏洞,存在安全問題.另一方面,計算機網(wǎng)絡(luò)系統(tǒng)硬件故障、自然災(zāi)害及人為對通信線路與設(shè)施進行破壞與竊聽都會給信息安全造成威脅.
2計算機網(wǎng)絡(luò)信息安全防護策略
2.1增強對木馬、病毒的檢測和防御
首先,安裝反病毒程序、防火墻并開啟實時防護與檢測,以直觀的方式對已知病毒木馬進行查殺,對未知病毒進行隔離,做到實時防范與定期查檢.通過防火墻有效對內(nèi)網(wǎng)與外網(wǎng)信息進行隔離過濾,對外封鎖或隱藏掉內(nèi)網(wǎng)信息,屏蔽掉大量的有害外網(wǎng)應(yīng)用保障內(nèi)網(wǎng)信息不受威脅.使防范具有主動性與前瞻性.其次,對系統(tǒng)進行及時的軟硬件的升級與漏洞修復(fù).開啟軟件的定期自動更新功能與安裝新軟件后的漏洞即時檢測功能,將系統(tǒng)修復(fù)自動化,減少病毒偵查漏洞入侵系統(tǒng)的機會,預(yù)防用戶信息與數(shù)據(jù)免遭篡改攻擊或破壞.對操作系統(tǒng)也要及時更新修補漏洞,打補丁是修復(fù)漏洞的有效方法.最后,增強法律、法規(guī)意識,通過正確途徑獲得正版軟件與有效真實信息.很多用戶由于對某一軟件的急切需求,導(dǎo)致軟件來源不明,又無法斷定軟件的安全性就貿(mào)然安裝使用致使軟件中惡意攜帶的有害程序被植入本地計算機系統(tǒng).因此不非法拷貝與使用來源不明的軟件,是有效防預(yù)的措施之一.
2.2規(guī)范上網(wǎng)行為,養(yǎng)成良好的上網(wǎng)習(xí)慣
網(wǎng)上信息良莠不一,真實與虛假并存,通過注冊套取登記用戶個人信息的行為大量存在.因此上網(wǎng)應(yīng)提高警覺性、訪問官方有保障的網(wǎng)站獲取有效資訊.拒絕訪問有害信息與網(wǎng)站,完善用戶信息保密手段、提高程序自身數(shù)據(jù)的安全性.更新完善網(wǎng)絡(luò)設(shè)備、選擇有保障的廠商產(chǎn)品并及時升級網(wǎng)絡(luò)硬件是構(gòu)建網(wǎng)路的基礎(chǔ)設(shè)備,一旦路由與交換等優(yōu)秀設(shè)備遭受入侵,就會有效截獲網(wǎng)絡(luò)中的所有信息.因此對計算機網(wǎng)絡(luò)系統(tǒng)硬件也要不斷進行更新和維護,減少硬件自身漏洞的出現(xiàn),不給一些非法分子以可乘之機.設(shè)備的選購盡量采用國產(chǎn)且擁有自主知識產(chǎn)權(quán)的大廠商設(shè)備.而且要進一步完善某些涉及到設(shè)備賬號、密碼的登陸程序,通過加強秘鑰使用方法和驗證等形式保障合法用戶登錄使用。
作者:陳斌 單位:遼寧師范大學(xué)鐵嶺分校區(qū)
1.計算機網(wǎng)絡(luò)的信息安全防護策略
1.1網(wǎng)絡(luò)安全管理防范策略
法律和管理制度是維護網(wǎng)絡(luò)安全的最強有力的保障。建立完善的法律制度,頒布與保護計算機網(wǎng)絡(luò)信息安全相關(guān)的法律法規(guī)可以為打擊各種網(wǎng)絡(luò)犯罪提供有力的武器。而有效的管理是將法律訴諸于實際的手段,通過建立完善的計算機網(wǎng)絡(luò)信息安全的管理制度,制定相關(guān)的規(guī)章要求,對計算機使用人員、系統(tǒng)軟件、設(shè)備以及信息、介質(zhì)等進行制度化的管理,將網(wǎng)絡(luò)行為規(guī)范化,將對營造網(wǎng)絡(luò)安全環(huán)境,保障網(wǎng)絡(luò)的安全運行起著至關(guān)重要的作用。在進行網(wǎng)絡(luò)安全管理時,應(yīng)該任期有限原則、最小權(quán)限原則、職責(zé)分離原則和多人負(fù)責(zé)制原則。具體的講,需要建立的管理制度包括安全漏洞檢測升級制度;信息登記、審查、清除、保存和備份制度;操作權(quán)限管理制度;安全責(zé)任制度;通報聯(lián)系制度;計算機機房和設(shè)備安全管理制度;用戶登記制度;網(wǎng)絡(luò)地址管理制度以及應(yīng)急措施和預(yù)案、保密制度等。除了在法律與管理制度層面進行安全防范之外,還很有必要對計算機的使用人員進行宣傳教育,讓他們了解并掌握具體的修復(fù)網(wǎng)絡(luò)安全漏洞,規(guī)避安全風(fēng)險的技能,并努力使新型安全技術(shù)得到應(yīng)用和普及。另外要加強對計算機使用者在職業(yè)道德修養(yǎng)方面的教育,規(guī)范他們的職業(yè)行為,鼓勵他們積極勇敢的同利用計算機網(wǎng)絡(luò)進行破壞行為的犯罪行為作斗爭。
1.2網(wǎng)絡(luò)安全技術(shù)防護策略
1.2.1安裝殺毒軟件和主機防火墻殺毒軟件最初主要是對計算機病毒進行查殺,隨著殺毒軟件技術(shù)的更新與升級,如今的殺毒軟件還可以對特洛伊木馬和其他一些惡意程序進行預(yù)防。在正式開始使用計算機前,需要對其進行殺毒軟件的安裝,通過殺毒軟件對計算機的安全漏洞進行檢測、對存在的病毒進行掃描與清除,另外還有定期的及時對殺毒軟件自身進行更新和升級,以便能夠更早的發(fā)現(xiàn)問題,將安全隱患消滅在起始位置。而防火墻相當(dāng)于一個過濾系統(tǒng),像一堵墻一樣可以將網(wǎng)絡(luò)安全攻擊阻擋在安全范圍之外。它可以對進出網(wǎng)絡(luò)的信息流向進行控制,還可以為網(wǎng)絡(luò)提供一部分使用細節(jié)。在網(wǎng)路通訊過程中,防火墻會指向訪問控制尺度,可以通過的只有被防火墻同意訪問的數(shù)據(jù)或人,而那些帶有攻擊破壞性質(zhì)的數(shù)據(jù)或人就會被拒絕通過。在計算機中安裝防火墻,可以在一定程度上降低由于網(wǎng)絡(luò)黑客或其他攻擊者的惡意來訪而造成的信息泄露、更改或刪除等風(fēng)險的發(fā)生概率,并且還能利用防火墻對內(nèi)網(wǎng)的不良行為進行屏蔽和過濾,可以使網(wǎng)絡(luò)環(huán)境得到凈化,保障網(wǎng)路信息的正常運行。
1.2.2隱藏IP地址如果IP地址泄露被黑客掌握的話,那么他們常常將攻擊的目標(biāo)定位在IP地址上,展開對這個IP的惡意攻擊,例如Floop溢出攻擊和DoS攻擊,就是在黑客們通過對網(wǎng)絡(luò)探測技術(shù)尋求到主機的IP地址之后展開的惡性攻擊。因此將IP地址隱藏是規(guī)避安全風(fēng)險,防止黑客入侵的一個重要舉措。隱藏IP地址最有效的做法是使用服務(wù)器,因為計算機用戶使用服務(wù)器的話,即使黑客利用網(wǎng)絡(luò)探測技術(shù)來探測主機的IP地址,他們探測到的也只是服務(wù)器的IP地址,對于用戶真正的IP地址是探測不到的,這樣一來就可以很有效的防止黑客的攻擊,保障用戶的上網(wǎng)安全。
1.2.3防止黑客入侵黑客的攻擊活動不僅僅只是對用戶的IP地址進行入侵,他們的攻擊活動幾乎無處不在,為防止網(wǎng)絡(luò)黑客的惡意入侵還需要做好一下幾點防范措施。第一,不要隨意對陌生郵件進行回復(fù)。有些網(wǎng)絡(luò)黑客會通過釣魚網(wǎng)站冒充別人的身份向計算機使用者發(fā)送一些看上去很正規(guī)的郵件,在郵件中會常常會要求用戶填寫用戶名、密碼等個人信息。由于有些計算機用戶自身的網(wǎng)路安全意識較為淡薄,對郵件發(fā)出者的身份深信不疑就會將個人信息輸入到郵件之中并進行回復(fù),這樣一來網(wǎng)絡(luò)黑客就可以隨意進入這些計算機使用者的郵箱開展破壞性活動,因此對于陌生的郵件不要輕信和回復(fù)。第二,黑客入侵的另一個常用手段就是利用字典攻擊技術(shù)獲取Administrator帳戶的密碼,因此計算機用戶要注意將Administrator帳戶進行重新配置,可以選擇比較復(fù)雜的密碼對Administrator帳戶進行密碼保護,并且進行重命名,之后再創(chuàng)建一個新的普通權(quán)限的Administrator帳戶用來迷惑網(wǎng)絡(luò)黑客。這樣一來,網(wǎng)路黑客同樣不能確定哪個才是真正的擁有管理員權(quán)限的Administrator帳戶,從而減少他們的侵入破壞。
2.小結(jié)
計算機網(wǎng)絡(luò)已經(jīng)成為如今人們生活、學(xué)習(xí)、工作中十分重要的組成部分,發(fā)揮著舉足輕重的作用,但是其自身存在的安全隱患會對人們甚至整個社會帶來較大的破壞,維護干凈安全的網(wǎng)絡(luò)環(huán)境是每個計算機工作者共同努力的方向。針對計算機網(wǎng)絡(luò)存在的信息安全問題進行全面具體的了解,制定切實有效的防范策略則是提高網(wǎng)絡(luò)信息安全性的關(guān)鍵所在。
作者:邱川 單位:廈門特力通信心技術(shù)有限公司
一、信息異化、信息安全與可信網(wǎng)絡(luò)的概念
目前,對信息異化概念有不同的說法,多是處于人的視角,認(rèn)為信息異化是人類創(chuàng)造了信息,信息在生產(chǎn)、傳播和利用等活動過程中有各種的阻礙,使得信息喪失其初衷,反客為主演變成外在的異化力量,反過來支配、統(tǒng)治和控制人的力量。其意針對的是人們創(chuàng)造的那部分信息,研究的是信息所擁有的社會屬性,說到底是研究人造成的異化問題,只是使用了限定詞的一個信息而已,疑似把“信息異化”當(dāng)作“信息過程中人的異化”同一個歸類。這樣,使得異化的被動內(nèi)涵被隱藏起來,結(jié)果造就了“信息對人的異化”方面的研究,疏忽對信息自然屬性及“信息被異化”的研究,最后使信息異化研究具有片面性。筆者最后選擇一個信息異化概念。“信息異化”是指信息在實踐活動(包括信息的生產(chǎn)、制造,傳播及接收等)過程中,在信息不自由的狀態(tài)下變?yōu)楫愒谟谄浔菊婊顒咏Y(jié)果的現(xiàn)象。關(guān)于信息安全,部分專家對信息安全的定義為:“一個國家的社會信息化狀態(tài)不受外來的威脅與侵害;一個國家的信息技術(shù)體系不受外來的威脅與侵害。”這個定義,包含現(xiàn)有對信息安全的先進認(rèn)識,又包含了更加廣泛的信息安全領(lǐng)域,是目前較為全面且被認(rèn)可的定義。信息安全本身包括的范圍極大,其中包括如何防范企業(yè)商機泄露、防范未成年人對不良信息的瀏覽、個人信息的泄露損失等。所以網(wǎng)絡(luò)信息安全體系的建立是保證信息安全的重要關(guān)鍵,其中包含計算機安全操作系統(tǒng)、各種的安全協(xié)議、安全機制(數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等),直至安全系統(tǒng),只要一環(huán)出現(xiàn)漏洞便會產(chǎn)生危險危害。如今,網(wǎng)絡(luò)安全技術(shù)雜亂零散且繁多,實現(xiàn)成本相應(yīng)增加,對網(wǎng)絡(luò)性能的影響逐漸增大。其復(fù)雜性使得它的臃腫的弊端慢慢顯現(xiàn)出來,業(yè)界需要相應(yīng)的創(chuàng)新的理念和戰(zhàn)略去解決網(wǎng)絡(luò)安全問題以及它的性能問題,在這種背景下可信網(wǎng)絡(luò)開始出現(xiàn)在世人的眼中。現(xiàn)在大眾可信網(wǎng)絡(luò)有不同理解與觀點,有的認(rèn)為可信應(yīng)該以認(rèn)證為基礎(chǔ),有的認(rèn)為是以現(xiàn)有安全技術(shù)的整合為基石;有的認(rèn)為是網(wǎng)絡(luò)的內(nèi)容可信化,有的認(rèn)為可信是網(wǎng)絡(luò)是基于自身的可信,有的認(rèn)為是網(wǎng)絡(luò)上提供服務(wù)的可信等,雖說眾說紛紜,但其目的是一致的:提升網(wǎng)絡(luò)以及服務(wù)的安全性,使人類在信息社會中受益。可信網(wǎng)絡(luò)可提升并改進網(wǎng)絡(luò)的性能,減少因為不信任帶來的監(jiān)視、不信任等系統(tǒng)的成本,提高系統(tǒng)的整體性能。
二、可信網(wǎng)絡(luò)國內(nèi)外研究
(一)可信網(wǎng)絡(luò)國外研究
在可信網(wǎng)絡(luò)的研究中,Clark等學(xué)者在NewArch項目的研究中提出了“信任調(diào)節(jié)透明性”(trust-modulatedtransparency)原則,他們期望在現(xiàn)實社會的互相信任關(guān)系能夠反映在網(wǎng)絡(luò)上。基于雙方用戶的信任需求,網(wǎng)絡(luò)可以提供一定范圍的服務(wù),如果雙方彼此完全信任,則他們的交流將是透明化、沒有約束的,如果不是則需要被檢查甚至是被約束。美國高級研究計劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項目研究了在指定條件下運行如何開發(fā)出可快速配置的高可信系統(tǒng)及網(wǎng)絡(luò)來滿足關(guān)鍵的需求,其中包含了安全性、可生存性、可靠性、性能和其他相關(guān)因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項目研究了以策略為中心的入校檢測模型,他們利用模型去提高網(wǎng)絡(luò)系統(tǒng)的可信性。但因為網(wǎng)絡(luò)有著復(fù)雜基于信息異化下的信息安全中可信網(wǎng)絡(luò)分析研究柳世豫,郭東強摘要:互聯(lián)網(wǎng)逐漸成為我們生活中不可或缺的同時,其弊端也開始出現(xiàn)。未來網(wǎng)絡(luò)應(yīng)該是可信的,這一觀點已成為業(yè)界共性的特點,如何構(gòu)建可信網(wǎng)絡(luò)是需要研究的。因此TCG先進行較為簡單的可信網(wǎng)絡(luò)連接問題。它將可信計算機制延伸到網(wǎng)絡(luò)的技術(shù),在終端連入網(wǎng)絡(luò)前,開始進行用戶的身份認(rèn)證;若用戶認(rèn)證通過,再進行終端平臺的身份認(rèn)證;若終端平臺的身份認(rèn)證也通過,最后進行終端平臺的可信狀態(tài)度量,若度量結(jié)果滿足網(wǎng)絡(luò)連入的安全策略,將允許終端連入網(wǎng)絡(luò),失敗則將終端連入相應(yīng)隔離區(qū)域,對它進行安全性補丁和升級。TNC是網(wǎng)絡(luò)接入控制的一種實現(xiàn)方式,是相對主動的一種網(wǎng)絡(luò)防御技術(shù),它能夠防御大部分的潛在攻擊并且在他們攻擊前就進行防御。2004年5月TCG成立了可信網(wǎng)絡(luò)連接分組(trustednetworkconnectionsubgroup),主要負(fù)責(zé)研究及制定可信網(wǎng)絡(luò)連接TNC(trustednetworkconnection)框架及相關(guān)的標(biāo)準(zhǔn)。2009年5月,TNC了TNC1.4版本的架構(gòu)規(guī)范,實現(xiàn)以TNC架構(gòu)為優(yōu)秀、多種組件之間交互接口為支撐的規(guī)范體系結(jié)構(gòu),實現(xiàn)了與Microsoft的網(wǎng)絡(luò)訪問保護(networkaccessprotection,NAP)之間的互操作,他們將相關(guān)規(guī)范起草到互聯(lián)網(wǎng)工程任務(wù)組(internationalengineertaskforce,IETF)的網(wǎng)絡(luò)訪問控制(networkaccesscontrol,NAC)規(guī)范中。如今已有許多企業(yè)的產(chǎn)品使用TNC體系結(jié)構(gòu),如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信網(wǎng)絡(luò)國內(nèi)研究
我國也有學(xué)者進行了可信網(wǎng)絡(luò)的研究。林闖等進行了可信網(wǎng)絡(luò)概念研究以及建立相關(guān)模型,提出網(wǎng)絡(luò)可信屬性的定量計算方法。期望基于網(wǎng)絡(luò)體系結(jié)構(gòu)自身來改善信息安全的方式來解決網(wǎng)絡(luò)脆弱性問題,通過保護網(wǎng)絡(luò)信息中的完整性、可用性、秘密性和真實性來保護網(wǎng)絡(luò)的安全性、可控性以及可生存性。利用在網(wǎng)絡(luò)體系結(jié)構(gòu)中的信任機制集成,使安全機制增強,在架構(gòu)上對可信網(wǎng)絡(luò)提出了相關(guān)設(shè)計原則。閔應(yīng)驊認(rèn)為能夠提供可信服務(wù)的網(wǎng)絡(luò)是可信網(wǎng)絡(luò),并且服務(wù)是可信賴和可驗證的。這里的可信性包括健壯性、安全性、可維護性、可靠性、可測試性與可用性等。TNC進行設(shè)計過程中需要考慮架構(gòu)的安全性,同時也要考慮其兼容性,在一定程度上配合現(xiàn)有技術(shù),因此TNC在優(yōu)點以外也有著局限性。TNC的突出優(yōu)點是安全性和開放性。TNC架構(gòu)是針對互操作的,向公眾開放所有規(guī)范,用戶能夠無償獲得規(guī)范文檔。此外,它使用了很多現(xiàn)有的標(biāo)準(zhǔn)規(guī)范,如EAP、802.1X等,使得TNC可以適應(yīng)不同環(huán)境的需要,它沒有與某個具體的產(chǎn)品進行綁定。TNC與NAC架構(gòu)、NAP架構(gòu)的互操作也說明了該架構(gòu)的開放性。NC的擴展是傳統(tǒng)網(wǎng)絡(luò)接入控制技術(shù)用戶身份認(rèn)證的基礎(chǔ)上增加的平臺身份認(rèn)證以及完整性驗證。這使得連入網(wǎng)絡(luò)的終端需要更高的要求,但同時提升了提供接入的網(wǎng)絡(luò)安全性。雖然TNC具有上述的優(yōu)點,但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性為基礎(chǔ)面對終端的可信驗證。但這種可信驗證只能保證軟件的靜態(tài)可信,動態(tài)可信的內(nèi)容還處于研究中。因此TNC接入終端的可信還處于未完善的階段。
2.可信評估的單向性。TNC的初衷是確保網(wǎng)絡(luò)安全,在保護終端的安全上缺乏考慮。終端在接入網(wǎng)絡(luò)之前,在提供自身的平臺可信性證據(jù)的基礎(chǔ)上,還需要對接入的網(wǎng)絡(luò)進行可信性評估,否則不能確保從網(wǎng)絡(luò)中獲取的服務(wù)可信。
3.網(wǎng)絡(luò)接入后的安全保護。TNC只在終端接入網(wǎng)絡(luò)的過程中對終端進行了平臺認(rèn)證與完整性驗證,在終端接入網(wǎng)絡(luò)之后就不再對網(wǎng)絡(luò)和終端進行保護。終端平臺有可能在接入之后發(fā)生意外的轉(zhuǎn)變,因此需要構(gòu)建并加強接入后的控制機制。在TNC1.3架構(gòu)中增加了安全信息動態(tài)共享,在一定程度上增強了動態(tài)控制功能。
4.安全協(xié)議支持。TNC架構(gòu)中,多個實體需要進行信息交互,如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV,都需要進行繁多的信息交互,但TNC架構(gòu)并沒有給出相對應(yīng)的安全協(xié)議。
5.范圍的局限性。TNC應(yīng)用目前局限在企業(yè)內(nèi)部網(wǎng)絡(luò),難以提供多層次、分布式、電信級、跨網(wǎng)絡(luò)域的網(wǎng)絡(luò)訪問控制架構(gòu)。在TNC1.4架構(gòu)中增加了對跨網(wǎng)絡(luò)域認(rèn)證的支持,以及對無TNC客戶端場景的支持,在一定程度上改善了應(yīng)用的局限性。我國學(xué)者在研究分析TNC的優(yōu)缺點的同時結(jié)合中國的實際情況,對TNC進行了一些改進,形成了中國的可信網(wǎng)絡(luò)連接架構(gòu)。我國的可信網(wǎng)絡(luò)架構(gòu)使用了集中管理、對等、三元、二層的結(jié)構(gòu)模式。策略管理器作為可信的第三方,它可以集中管理訪問請求者和訪問控制器,網(wǎng)絡(luò)訪問控制層和可信平臺評估層執(zhí)行以策略管理器為基礎(chǔ)的可信第三方的三元對等鑒別協(xié)議,實現(xiàn)訪問請求者和訪問控制器之間的雙向用戶身份認(rèn)證和雙向平臺可信性評估。該架構(gòu)采用國家自主知識產(chǎn)權(quán)的鑒別協(xié)議,將訪問控制器以及訪問請求者作為對等實體,通過策可信第三方的略管理器,簡化了身份管理、策略管理和證書管理機制,同時進行終端與網(wǎng)絡(luò)的雙向認(rèn)證,提供了一種新思路。在國家“863”計劃項目的支持下,取得了如下成果:
(1)在對TNC在網(wǎng)絡(luò)訪問控制機制方面的局限性進行研究分析后,同時考慮可信網(wǎng)絡(luò)連接的基本要求,提出了一種融合網(wǎng)絡(luò)訪問控制機制、系統(tǒng)訪問控制機制和網(wǎng)絡(luò)安全機制的統(tǒng)一網(wǎng)絡(luò)訪問控制LTNAC模型,對BLP模型進行動態(tài)可信性擴展,建立了TE-BLP模型,期望把可信度與統(tǒng)一網(wǎng)絡(luò)訪問控制模型結(jié)合起來。
(2)通過研究獲得了一個完整的可信網(wǎng)絡(luò)連接原型系統(tǒng)。該系統(tǒng)支持多樣認(rèn)證方式和基于完整性挑戰(zhàn)與完整性驗證協(xié)議的遠程證明,來實現(xiàn)系統(tǒng)平臺間雙向證明和以遠程證明為基礎(chǔ)的完整性度量器和驗證器,最后完成可信網(wǎng)絡(luò)連接的整體流程。
三、可信網(wǎng)絡(luò)模型分析
(一)網(wǎng)絡(luò)與用戶行為的可信模型
可信是在傳統(tǒng)網(wǎng)絡(luò)安全的基礎(chǔ)上的拓展:安全是外在的表現(xiàn)形式,可信則是進行行為過程分析所得到的可度量的一種屬性。如何構(gòu)建高效分析刻畫網(wǎng)絡(luò)和用戶行為的可信模型是理解和研究可信網(wǎng)絡(luò)的關(guān)鍵。這是目前網(wǎng)絡(luò)安全研究領(lǐng)域的一個新共識。構(gòu)建網(wǎng)絡(luò)和用戶的可信模型的重要性體現(xiàn)于:它只準(zhǔn)確而抽象地說明了系統(tǒng)的可信需求卻不涉及到其他相關(guān)實現(xiàn)細節(jié),這使得我們能通過數(shù)學(xué)模型分析方法去發(fā)現(xiàn)系統(tǒng)在安全上的漏洞。可信模型同時也是系統(tǒng)進行研發(fā)的關(guān)鍵步驟,在美國國防部的“可信計算機系統(tǒng)的評價標(biāo)準(zhǔn)(TCSEC)”中,從B級階段就需要對全模型進行形式化描述和驗證,以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗證和利用能夠提高網(wǎng)絡(luò)系統(tǒng)安全的可信度。最后,構(gòu)建理論來說明網(wǎng)絡(luò)的脆弱性評估和用戶遭受攻擊行為描述等的可信評估,這是實現(xiàn)系統(tǒng)可信監(jiān)測、預(yù)測和干預(yù)的前提,是可信網(wǎng)絡(luò)研究的理論所有基礎(chǔ)。完全安全的網(wǎng)絡(luò)系統(tǒng)目前還無法實現(xiàn),因此網(wǎng)絡(luò)脆弱性評估的最終目的不是完全消除脆弱性,而是找到一個解決方案,讓系統(tǒng)管理員在“提供服務(wù)”和“保證安全”之間找到平衡,主動檢測在攻擊發(fā)生之前,如建立攻擊行為的設(shè)定描述,通過在用戶中區(qū)分隱藏的威脅,以可信評估為基礎(chǔ)上進行主機的接入控制。傳統(tǒng)檢測多為以規(guī)則為基礎(chǔ)的局部檢測,它很難進行整體檢測。但我們現(xiàn)有的脆弱性評估工具卻絕大多數(shù)都是傳統(tǒng)基于規(guī)則的檢測工具,頂多對單一的主機的多種服務(wù)進行簡陋的檢查,對多終端構(gòu)建的網(wǎng)絡(luò)進行有效評估還只能依靠大量人力。以模型為基礎(chǔ)的模式為整個系統(tǒng)建立一個模型,通過模型可取得系統(tǒng)所有可能發(fā)生的行為和狀態(tài),利用模型分析工具測試,對整個系統(tǒng)的可信性評估。圖2說明了可信性分析的元素。網(wǎng)絡(luò)行為的信任評估包括行為和身份的信任,而行為可信又建立在防護能力、信任推薦、行為記錄、服務(wù)能力等基礎(chǔ)之上。
(二)可信網(wǎng)絡(luò)的體系結(jié)構(gòu)
互聯(lián)網(wǎng)因技術(shù)和理論的不足在建立時無法考量其安全周全,這是網(wǎng)絡(luò)脆弱性的一個重要產(chǎn)生因素。但是如今很多網(wǎng)絡(luò)安全設(shè)計卻常常忽略網(wǎng)絡(luò)體系的優(yōu)秀內(nèi)容,大多是單一的防御、單一的信息安全和補丁補充機制,遵從“堵漏洞、作高墻、防外攻”的建設(shè)樣式,通過共享信息資源為中心把非法侵入者拒之門外,被動的達到防止外部攻擊的目的。在黑客技術(shù)日漸復(fù)雜多元的情況下,冗長的單一防御技術(shù)讓系統(tǒng)規(guī)模龐大,卻降低了網(wǎng)絡(luò)性能,甚至破壞了系統(tǒng)設(shè)計的開放性、簡單性的原則。因此這些被動防御的網(wǎng)絡(luò)安全是不可信的,所以從結(jié)構(gòu)設(shè)計的角度減少系統(tǒng)脆弱性且提供系統(tǒng)的安全服務(wù)特別重要。盡管在開放式系統(tǒng)互連參考模型的擴展部分增加了有關(guān)安全體系結(jié)構(gòu)的描述,但那只是不完善的概念性框架。網(wǎng)絡(luò)安全不再只是信息的可用性、機密性和完整性,服務(wù)的安全作為一個整體屬性被用戶所需求,因此研究人員在重新設(shè)計網(wǎng)絡(luò)體系時需考慮從整合多種安全技術(shù)并使其在多個層面上相互協(xié)同運作。傳統(tǒng)的補丁而補充到網(wǎng)絡(luò)系統(tǒng)上的安全機制已經(jīng)因為單個安全技術(shù)或者安全產(chǎn)品的功能和性能使得它有著極大地局限性,它只能滿足單一的需求而不是整體需求,這使得安全系統(tǒng)無法防御多種類的不同攻擊,嚴(yán)重威脅這些防御設(shè)施功效的發(fā)揮。如入侵檢測不能對抗電腦病毒,防火墻對術(shù)馬攻擊也無法防范。因為如此,網(wǎng)絡(luò)安全研究的方向開始從被動防御轉(zhuǎn)向了主動防御,不再只是對信息外圍的非法封堵,更需要從訪問源端就進行安全分析,盡量將不信任的訪問操作控制在源端達到攻擊前的防范。因此我們非常需要為網(wǎng)絡(luò)提供可信的體系結(jié)構(gòu),從被動轉(zhuǎn)向主動,單一轉(zhuǎn)向整體。可信網(wǎng)絡(luò)結(jié)構(gòu)研究必須充分認(rèn)識到網(wǎng)絡(luò)的復(fù)雜異構(gòu)性,從系統(tǒng)的角度確保安全服務(wù)的一致性。新體系結(jié)構(gòu)如圖3所示,監(jiān)控信息(分發(fā)和監(jiān)測)以及業(yè)務(wù)數(shù)據(jù)的傳輸通過相同的物理鏈路,控制信息路徑和數(shù)據(jù)路徑相互獨立,這樣監(jiān)控信息路徑的管理不再只依賴于數(shù)據(jù)平面對路徑的配置管理,從而可以建立高可靠的控制路徑。其形成的強烈對比是對現(xiàn)有網(wǎng)絡(luò)的控制和管理信息的傳輸,必須依賴由協(xié)議事先成功設(shè)置的傳輸路徑。
(三)服務(wù)的可生存性
可生存性在特定領(lǐng)域中是一種資源調(diào)度問題,也就是通過合理地調(diào)度策略來進行服務(wù)關(guān)聯(lián)的冗余資源設(shè)計,通過實時監(jiān)測機制來監(jiān)視調(diào)控這些資源的性能、機密性、完整性等。但網(wǎng)絡(luò)系統(tǒng)的脆弱性、客觀存在的破壞行為和人為的失誤,在網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)性作用逐漸增強的現(xiàn)實,確保網(wǎng)絡(luò)的可生存性就有著重要的現(xiàn)實意義。由于當(dāng)時技術(shù)與理論的不足,使得網(wǎng)絡(luò)存在著脆弱性表現(xiàn)在設(shè)計、實現(xiàn)、運行管理的各個環(huán)節(jié)。網(wǎng)絡(luò)上的計算機需要提供某些服務(wù)才能與其他計算機相互通信,其脆弱性在復(fù)雜的系統(tǒng)中更加體現(xiàn)出來。除了人為疏忽的編程錯誤,其脆弱性還應(yīng)該包含網(wǎng)絡(luò)節(jié)點的服務(wù)失誤和軟件的不當(dāng)使用和網(wǎng)絡(luò)協(xié)議的缺陷。協(xié)議定義了網(wǎng)絡(luò)上計算機會話和通信的規(guī)則,若協(xié)議本身就有問題,無論實現(xiàn)該協(xié)議的方法多么完美,它都存在漏洞。安全服務(wù)是網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵服務(wù),它的某個部分失去效用就代表系統(tǒng)會更加危險,就會導(dǎo)致更多服務(wù)的失控甚至是系統(tǒng)自身癱瘓。因此必須將這些關(guān)鍵服務(wù)的失效控制在用戶許可的范圍內(nèi)。可生存性的研究必須在獨立于具體破壞行為的可生存性的基本特征上進行理論拓展,提升系統(tǒng)的容錯率來減少系統(tǒng)脆弱性,將失控的系統(tǒng)控制在可接受范圍內(nèi),通過容侵設(shè)計使脆弱性被非法入侵者侵入時,盡可能減少破壞帶來的影響,替恢復(fù)的可能性創(chuàng)造機會。
(四)網(wǎng)絡(luò)的可管理性
目前網(wǎng)絡(luò)已成為一個復(fù)雜巨大的非線性系統(tǒng),具有規(guī)模龐大、用戶數(shù)量持續(xù)增加、業(yè)務(wù)種類繁多、協(xié)議體系復(fù)雜等特點。這已遠超設(shè)計的初衷,這讓網(wǎng)絡(luò)管理難度加大。網(wǎng)絡(luò)的可管理性是指在內(nèi)外干擾的網(wǎng)絡(luò)環(huán)境情況下,對用戶行為和網(wǎng)絡(luò)環(huán)境持續(xù)的監(jiān)測、分析和決策,然后對設(shè)備、協(xié)議和機制的控制參數(shù)進行自適應(yīng)優(yōu)化配置,使網(wǎng)絡(luò)的數(shù)據(jù)傳輸、用戶服務(wù)和資源分配達到期望的目標(biāo)。現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)的基礎(chǔ)上添加網(wǎng)絡(luò)管理功能,它無法實現(xiàn)網(wǎng)絡(luò)的有效管理,這是因為現(xiàn)有的網(wǎng)絡(luò)體系與管理協(xié)議不兼容。可信網(wǎng)絡(luò)必須是可管理的網(wǎng)絡(luò),網(wǎng)絡(luò)的可管理性對于網(wǎng)絡(luò)的其他本質(zhì)屬性,如安全性、普適性、魯棒性等也都有著重要的支撐作用。“網(wǎng)絡(luò)管理”是指對網(wǎng)絡(luò)情況持續(xù)進行監(jiān)測,優(yōu)化網(wǎng)絡(luò)設(shè)備配置并運行參數(shù)的過程,包括優(yōu)化決策和網(wǎng)絡(luò)掃描兩個重要方面。研究管理性是通過改善網(wǎng)絡(luò)體系中會導(dǎo)致可管理性不足的設(shè)計,達到網(wǎng)絡(luò)可管理性,實現(xiàn)網(wǎng)絡(luò)行為的可信姓,再解決網(wǎng)絡(luò)本質(zhì)問題如安全性、魯棒性、普適性、QoS保障等,提供支撐,使網(wǎng)絡(luò)的適應(yīng)能力加強。
四、結(jié)論
綜上所述,互聯(lián)網(wǎng)有著復(fù)雜性和脆弱性等特征,當(dāng)前孤立分散、單一性的防御、系統(tǒng)補充的網(wǎng)絡(luò)安全系統(tǒng)己經(jīng)無法應(yīng)對具有隱蔽多樣可傳播特點的破壞行為,我們不可避免系統(tǒng)的脆弱性,可以說網(wǎng)絡(luò)正面臨重要的挑戰(zhàn)。我國網(wǎng)絡(luò)系統(tǒng)的可信網(wǎng)絡(luò)研究從理論技術(shù)上來說還處于初級階段,缺乏統(tǒng)一的標(biāo)準(zhǔn),但是它己經(jīng)明確成為國內(nèi)外信息安全研究的新方向。隨著大數(shù)據(jù)的到來,全球的頭腦風(fēng)暴讓信息技術(shù)日新月異,新技術(shù)帶來的不只有繁榮,同時也帶來異化。昨日的技術(shù)已經(jīng)無法適應(yīng)今日的需求,從以往的例子中可以得知信息安全的災(zāi)難是廣泛的、破壞性巨大、持續(xù)的,我們必須未雨綢繆并且不停地發(fā)展信息安全的技術(shù)與制度來阻止悲劇的發(fā)生。信息異化帶來的信息安全問題是必不可免的,它是網(wǎng)絡(luò)世界一個嚴(yán)峻的挑戰(zhàn),對于可信網(wǎng)絡(luò)的未來我們可以從安全性、可控性、可生存性來創(chuàng)新發(fā)展,新的防御系統(tǒng)將通過冗余、異構(gòu)、入侵檢測、自動入侵響應(yīng)、入侵容忍等多種技術(shù)手段提高系統(tǒng)抵抗攻擊、識別攻擊、修復(fù)系統(tǒng)及自適應(yīng)的能力,從而達到我們所需的實用系統(tǒng)。可以通過下述研究方向來發(fā)展可信網(wǎng)絡(luò):
(一)網(wǎng)絡(luò)系統(tǒng)區(qū)別于一般系統(tǒng)的基本屬性
之一是復(fù)雜性,網(wǎng)絡(luò)可信性研究需要通過宏觀與微觀上對網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)屬性的定性,定量刻畫,深入探索網(wǎng)絡(luò)系統(tǒng)可靠性的影響,這樣才能為網(wǎng)絡(luò)可信設(shè)計、改進、控制等提供支持。因此,以復(fù)雜網(wǎng)絡(luò)為基礎(chǔ)的可信網(wǎng)絡(luò)會成為一個基礎(chǔ)研究方向。
(二)網(wǎng)絡(luò)系統(tǒng)區(qū)別于一般系統(tǒng)的第二個重要屬性
是動態(tài)性,其包含網(wǎng)絡(luò)系統(tǒng)歷經(jīng)時間的演化動態(tài)性和網(wǎng)絡(luò)失去效用行為的級聯(lián)動態(tài)性。如今,學(xué)術(shù)上對可信網(wǎng)絡(luò)靜態(tài)性研究較多,而動態(tài)性研究較少,這無疑是未來可信網(wǎng)絡(luò)研究的一大方向。
(三)網(wǎng)絡(luò)系統(tǒng)的范圍與規(guī)模日漸龐大
節(jié)點數(shù)量最多以百萬計算,在可信網(wǎng)絡(luò)研究中我們需要去解決復(fù)雜性問題計算,這是一個可信網(wǎng)絡(luò)研究需要解決的問題。如今重中之重是研究構(gòu)建可靠地可信模型與相應(yīng)的算法,而近似算法、仿真算法將成為主要解決途徑。
作者:柳世豫 郭東強
1財務(wù)信息安全的因素分析
1.1互聯(lián)網(wǎng)安全風(fēng)險
首先,外面互聯(lián)網(wǎng)安全隱患。為了滿足在多個地區(qū)處理事情的需求,公司財務(wù)軟件大部分與外部網(wǎng)絡(luò)連接,運用非常先進的互聯(lián)網(wǎng)來達成對財務(wù)信息軟件的不同區(qū)域的低花費、高效率地查詢和利用。可是也隨之產(chǎn)生很多安全隱憂:
①不具有權(quán)限的訪問:比如財務(wù)工作者運用的電腦安全級別太低,被黑客運用,冒充身份攻破公司財務(wù)信息軟件實施不當(dāng)操作或者謀取秘密材料。例如,從美國國防部網(wǎng)站被改頭換面到我國163網(wǎng)站的崩潰,從微軟公司的開發(fā)藍圖被竊取到美國總統(tǒng)克林頓的信用卡信息被盜,這些都可以看出黑客對于互聯(lián)網(wǎng)系統(tǒng)旳危害。
②信息安全性無法保證:財務(wù)工作者在利用外部互聯(lián)網(wǎng)登錄財務(wù)信息軟件時,信息在互聯(lián)網(wǎng)傳送過程中被違法分子截留,進而造成重要信息的泄露,例如,工作人員在對企業(yè)的信用卡賬號進行網(wǎng)上輸入時,信用卡信息則可能會被不法分子從網(wǎng)上將其攔截,了解了該信用卡信息之后,他便可以利用此號碼在網(wǎng)上進行各類支付以及違法交易。③惡意代碼:電腦病毒是造成互聯(lián)網(wǎng)數(shù)據(jù)存在安全隱患的關(guān)鍵要素,病毒利用客戶段計算機傳遞到公司局域網(wǎng),可導(dǎo)致財務(wù)信息軟件的無法正常使用、信息丟失等諸多不良結(jié)果。
1.2企業(yè)運用的財務(wù)軟件存在的問題
企業(yè)財務(wù)軟件是財務(wù)信息化運作的基礎(chǔ),不同的財務(wù)軟件有不同的操作方法,有些操作的功能相同,但操作過程卻有區(qū)別。一個設(shè)計合理、功能優(yōu)越的財務(wù)軟件可以從功能和內(nèi)容讓使用人員相互牽制、互相監(jiān)督,這樣有利于加強人員管理,起到最基礎(chǔ)的堵塞漏洞的作用。在應(yīng)用軟件的研制過程中,對容易出現(xiàn)問題的軟件功能、細節(jié)等地方,全靠研究人員的多方面思量,如果考慮不周就有可能使得實際工作中出現(xiàn)與預(yù)想不同的結(jié)果,進一步導(dǎo)致整個結(jié)果有差錯。如果有這種問題存在的話,在實際處理中,當(dāng)輸人原始資料,在軟件程序的控制下就會出現(xiàn)多個結(jié)果,這樣的問題直接影響到數(shù)據(jù)的真實、安全。在財務(wù)信息化深入企業(yè)之后,財務(wù)軟件成為了財務(wù)信息化的運行平臺,我國常用的財務(wù)軟件就是用友軟件和金蝶軟件。在這兩個軟件中也有不足之處。比如,用友軟件中,在填制采購及銷售訂單時,系統(tǒng)不要求輸入采購或銷售人員等相關(guān)經(jīng)手人員。這樣的問題對多數(shù)要求按業(yè)務(wù)員進行訂單匯總的企業(yè)來說,不輸人采購或銷售人員信息,不便于匯總管理,而且如果日后出現(xiàn)問題,也對落實責(zé)任非常不利。而在金蝶軟件中,相比用友軟件的能夠增加、刪除、修改等功能,金蝶K3中只有查詢權(quán)和管理權(quán),對用戶的職能設(shè)置不夠完美,安全性不高。
1.3企業(yè)內(nèi)部控制存在失效的可能性
在企業(yè)中,財務(wù)的目標(biāo)、技術(shù)手段、財務(wù)的職能、功能范圍以及系統(tǒng)層次等都會由于財務(wù)信息系統(tǒng)的特征而發(fā)生較大的改變,企業(yè)的內(nèi)部控制也在逐漸的與財務(wù)信息系統(tǒng)的變化相適應(yīng),但是,其適應(yīng)的過程是一個不斷完善的過程,目前的企業(yè)內(nèi)部控制并不健全,內(nèi)部控制存在失效的可能性。例如,企業(yè)財務(wù)人員在對數(shù)字字段進行錄人的過程中由于疏忽大意輸錯了字段,利用鍵盤輸人時按錯了鍵盤,對數(shù)據(jù)進行了顛倒,使用無序的代碼或者是從錯誤的憑單上轉(zhuǎn)錄數(shù)據(jù)等,這些問題實質(zhì)的發(fā)生了卻無人察覺,從而使得財務(wù)信息系統(tǒng)的數(shù)據(jù)出現(xiàn)失真的問題。
2預(yù)防與解決財務(wù)信息安全方法
2.1完善企業(yè)財務(wù)軟件的幵發(fā),做好系統(tǒng)維護工作
財務(wù)軟件是財務(wù)人員實際工作中自己操作的,也是財務(wù)信息錄人后處理的重要部分,軟件的好壞、是否適合本企業(yè)的財務(wù)操作,功能是否完善都會影響到財務(wù)信息的安全。因此,完善企業(yè)財務(wù)軟件的開發(fā)要在日常做好軟件的升級、更新、系統(tǒng)維護等,配備功能完善的財務(wù)電算化軟件,齡門的軟件研發(fā)人員定期對系統(tǒng)進行檢查,以確保財務(wù)軟件處于正常、良好的運行狀態(tài)。
2.2提高安全管理意識和能力
不斷加強對財務(wù)信息系統(tǒng)控制管理人員的安全管理教育,提高財務(wù)信息系統(tǒng)操作過程中的安全意識。向工作人員介紹現(xiàn)代網(wǎng)絡(luò)環(huán)境對財務(wù)信息網(wǎng)絡(luò)造成的重要安全威脅,加深系統(tǒng)操作管理人員對加強安全管理的認(rèn)識,提高工作人員對系統(tǒng)內(nèi)部控制的風(fēng)險防范意識。注意培養(yǎng)財會人員和管理人員的綜合業(yè)務(wù)素質(zhì),聘請專業(yè)財會管理人員對企業(yè)財務(wù)部門的工作人員進行指導(dǎo)培訓(xùn),加強計算機信息網(wǎng)絡(luò)知識的教育,提高工作人員計算機網(wǎng)絡(luò)技術(shù)理論水平和操作實踐水平,保證財務(wù)信息系統(tǒng)操作管理人員能夠熟練掌握計算機網(wǎng)絡(luò)信息技術(shù),不斷適應(yīng)廣闊多變的外部網(wǎng)絡(luò)環(huán)境。另外,相關(guān)財務(wù)從業(yè)人員在進行財務(wù)信息系統(tǒng)相關(guān)活動中存在道德風(fēng)險,開放的網(wǎng)絡(luò)需要更為嚴(yán)格、嚴(yán)謹(jǐn)?shù)陌踩煞ㄒ?guī),因此兩絡(luò)財務(wù)信息系統(tǒng)需要有特別針對性的安全控制制度,這需要在將來的探索實踐中逐步實現(xiàn)。
2.3加強對財務(wù)信息系統(tǒng)控制管理的監(jiān)督
在財務(wù)信息系統(tǒng)運行過程中加強安全管理監(jiān)督對于保障經(jīng)濟工作的順利有效進展具有重要作用。監(jiān)督活動要滲透到每一個操作管理環(huán)節(jié),監(jiān)督人員不斷總結(jié)財務(wù)信息系統(tǒng)操作管理失誤的原因,研究探討解決對策,使財務(wù)信息系統(tǒng)的安全性能逐漸提升。建立財務(wù)信息安全管理責(zé)任制度,對信息系統(tǒng)控制管理的每個工作環(huán)節(jié)進行責(zé)任分工,嚴(yán)格確立交接班制度手續(xù),為工作人員制定安全管理指標(biāo),對于出現(xiàn)的財務(wù)信息安全問題,及時查找負(fù)責(zé)人和原因,進行及時處理。
作者:朱貝貝 單位:河南省機場集團有限公司
1建立完善的圖書館網(wǎng)絡(luò)信息安全體系防范策略
1.1架構(gòu)安全
合理的架構(gòu)是圖書館業(yè)務(wù)服務(wù)網(wǎng)絡(luò)安全的前提,網(wǎng)絡(luò)在總體結(jié)構(gòu)上要減少相互間的依賴和影響。任何一個模塊出現(xiàn)故障后,對上/下工序流程不產(chǎn)生嚴(yán)重影響。各子系統(tǒng)可獨立運作,各子系統(tǒng)單一升級而不影響到其他子系統(tǒng)的功能。
1.2設(shè)備安全
主干網(wǎng)采用光纖雙路備份,采用雙機冗余式主干交換機,網(wǎng)絡(luò)優(yōu)秀設(shè)備(交換機、服務(wù)器等)需采用模塊化、支持熱插拔設(shè)計。主業(yè)務(wù)應(yīng)用服務(wù)器要雙機熱備,并采用雙網(wǎng)卡接入、服務(wù)器集群、RAID等措施。主存儲系統(tǒng)需要極高的安全穩(wěn)定性,具有合理的存儲構(gòu)架和數(shù)據(jù)重新快速分配能力。在設(shè)備的分配上,避免在同一臺服務(wù)器上部署多種應(yīng)用。在各樓層設(shè)立交換機柜,對重要接入層設(shè)備,應(yīng)考慮必要的網(wǎng)絡(luò)設(shè)備和接入端口的備份手段。中心機房配有24小時雙路電源,并配備大功率的UPS電源。另外,為防止外部的攻擊和病毒的侵襲,解決業(yè)務(wù)網(wǎng)與辦公網(wǎng)的信息交互問題,要設(shè)置高安全區(qū)網(wǎng)段,須將業(yè)務(wù)內(nèi)部網(wǎng)絡(luò)與外網(wǎng)分開,在物理上隔離網(wǎng)絡(luò),業(yè)務(wù)終端用戶計算機屏蔽USB接口,不配置光驅(qū),并安裝網(wǎng)絡(luò)版的防病毒軟件。
1.3軟件安全
主要有:①操作系統(tǒng)安全。為確保圖書館的安全,主要服務(wù)器盡可能采用企業(yè)版Linux操作系統(tǒng)。②數(shù)據(jù)安全。為保障關(guān)鍵運行數(shù)據(jù)的存儲、管理和備份,要求采用集中與分布方式相結(jié)合的數(shù)據(jù)庫系統(tǒng)設(shè)計。③應(yīng)用軟件安全。應(yīng)用軟件應(yīng)具有完善的備份措施,系統(tǒng)故障后,要求及時恢復(fù),確保圖書分編數(shù)據(jù)不丟失,圖書借還信息不丟失。④數(shù)據(jù)庫系統(tǒng)安全。主要應(yīng)用系統(tǒng)中的數(shù)據(jù)庫均采用雙機熱備共享RAID盤陣的方式,實現(xiàn)雙主機同時對外提供服務(wù),盤陣采用了最高等級的RAID5技術(shù),任何一個硬盤故障也不會影響系統(tǒng),對于優(yōu)秀數(shù)據(jù)庫要求采用本地備份和遠程備份相結(jié)合的方式。
1.4運維安全
在提高技術(shù)系統(tǒng)安全性的同時,還必須提供良好的運行維護,防范由于操作不當(dāng)、網(wǎng)絡(luò)管理漏洞、運維措施不完備所造成的網(wǎng)絡(luò)信息系統(tǒng)異常。在網(wǎng)絡(luò)信息系統(tǒng)運行中,應(yīng)對設(shè)備、服務(wù)、業(yè)務(wù)等方面的監(jiān)控和故障報警。通常情況下,設(shè)備運用指示燈變成黃色,表示出現(xiàn)故障,應(yīng)盡快進行檢查。
1.5外網(wǎng)文件交互安全
為隔離來自辦公外網(wǎng)等的安全風(fēng)險,圖書館自動化主業(yè)務(wù)系統(tǒng)專門設(shè)置高安全區(qū)網(wǎng)段,高安全區(qū)網(wǎng)段的文件拷貝通過私有協(xié)議或網(wǎng)閘實現(xiàn),主要用于與辦公網(wǎng)絡(luò)以及其他網(wǎng)絡(luò)的數(shù)據(jù)交互的病毒防御。
2制定出一套操作性強、目的明確的應(yīng)急處理預(yù)案
為了及時應(yīng)對圖書館網(wǎng)絡(luò)信息系統(tǒng)突發(fā)故障和事件,在完善網(wǎng)絡(luò)信息安全體系建立策略上,在技術(shù)上應(yīng)做好各種預(yù)防措施的同時,制定出一套操作性強,在突發(fā)事件發(fā)生時,能迅速做出響應(yīng)并快速處理,積極恢復(fù)圖書館網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等全方位的應(yīng)急體系,即網(wǎng)絡(luò)信息系統(tǒng)故障應(yīng)急預(yù)案。著名的墨菲定律指出:凡事只要有可能出錯,那就一定會出錯。因此對圖書館主信息應(yīng)用系統(tǒng),對其部署的機房環(huán)境、人員、網(wǎng)絡(luò)、數(shù)據(jù)存儲、應(yīng)用系統(tǒng)的主機及數(shù)據(jù)庫情況以及所使用的中間件環(huán)境等因素進行全面分析,預(yù)測網(wǎng)絡(luò)信息故障風(fēng)險點和故障可能造成的危害,確定應(yīng)急預(yù)案,選擇處理故障的有效手段。
3.1預(yù)案適用情形
圖書館網(wǎng)絡(luò)信息安全涉及管理與信息技術(shù)等方面,圖書館平時要從網(wǎng)絡(luò)、計算機操作系統(tǒng)、應(yīng)用業(yè)務(wù)系統(tǒng)等安全管理規(guī)范以及計算機使用人員安全意識等幾個方面,做好以下幾項工作:①制定系統(tǒng)規(guī)章。②制訂培訓(xùn)計劃。③加強人員管理。④成立事故應(yīng)急處理小組。針對圖書館網(wǎng)絡(luò)故障對系統(tǒng)的影響程度,當(dāng)出現(xiàn)以下所列情形之一時,事故處理小組確認(rèn)已達到預(yù)案應(yīng)急情況,應(yīng)迅速啟動相應(yīng)的應(yīng)急處理程序:①網(wǎng)絡(luò)遭受災(zāi)害或病毒大面積攻擊而造成圖書館整個業(yè)務(wù)系統(tǒng)的癱瘓。②網(wǎng)絡(luò)服務(wù)器不明原因宕機,對圖書館業(yè)務(wù)造成影響范圍大,且持續(xù)時間長。③網(wǎng)站內(nèi)容被惡意篡改。④供電系統(tǒng)故障。⑤機房火災(zāi)。⑥空調(diào)系統(tǒng)及供水系統(tǒng)故障。
2.2預(yù)案制定及啟動
預(yù)案是由圖書館信息安全管理應(yīng)急處理小組負(fù)責(zé)制定及審核。小組職責(zé)是對圖書館信息網(wǎng)絡(luò)安全的整體規(guī)劃、安全應(yīng)急預(yù)案演練及網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件的處理,小組組長負(fù)責(zé)啟動應(yīng)急預(yù)案。針對上述情形,在圖書館網(wǎng)絡(luò)信息系統(tǒng)運行中可能存在以下問題,技術(shù)人員應(yīng)立即啟動以下應(yīng)急預(yù)案。
2.2.1遇到網(wǎng)絡(luò)遭受病毒大面積攻擊而造成圖書館整個業(yè)務(wù)系統(tǒng)的癱瘓,立即啟動以下應(yīng)急預(yù)案。查找受病毒攻擊的計算機,并及時從網(wǎng)絡(luò)上隔離出來,判斷病毒的性質(zhì),關(guān)閉相應(yīng)的端口;對該機進行數(shù)據(jù)備份;啟用防病毒軟件對該機進行殺毒處理,同時對其他機器進行病毒檢測軟件掃描和清除工作;對被病毒感染的終端電腦進行全面殺毒之后再恢復(fù)使用;及時最新病毒攻擊信息以及防御方法。
2.2.2遇到網(wǎng)絡(luò)服務(wù)器不明原因宕機,對圖書館業(yè)務(wù)造成影響范圍大,且持續(xù)時間長的情況,立即啟動以下應(yīng)急預(yù)案:①服務(wù)器宕機應(yīng)急處置措施。圖書館關(guān)鍵應(yīng)用系統(tǒng)所用的服務(wù)器宕機,應(yīng)立即將網(wǎng)絡(luò)線路切換到備用服務(wù)器上,并立即恢復(fù)應(yīng)用系統(tǒng)正常使用;對宕機服務(wù)器進行全面檢查,分析是硬件還是軟件故障;立即與設(shè)備提供商聯(lián)系,請求派維修人員前來維修;在確實解決問題之后,切換回主服務(wù)器,給主機加電;系統(tǒng)啟動完畢,檢查系統(tǒng)及雙機狀態(tài);啟動數(shù)據(jù)庫;啟動應(yīng)用程序可以正常啟動和運行。②網(wǎng)絡(luò)不明原因中斷。屬局域網(wǎng)出故障斷網(wǎng)后,網(wǎng)絡(luò)維護人員應(yīng)立即判斷故障節(jié)點,及時向信息部負(fù)責(zé)人報告,查明故障原因,立即恢復(fù)。如遇無法恢復(fù),立即進行備件更換或向有關(guān)廠商請求支援。屬光纖主干出故障,立即向上級報告,并通知維護公司對光纖進行融接,盡快恢復(fù)網(wǎng)絡(luò)功能;屬與樓層的上聯(lián)網(wǎng)線故障,應(yīng)使用備用或更換新的雙絞線連接至故障設(shè)備。屬網(wǎng)絡(luò)設(shè)備(光模塊)故障如路由器、交換機等,應(yīng)立即用相關(guān)備件替換,或與設(shè)備提供商聯(lián)系更換設(shè)備,并調(diào)試暢通。屬網(wǎng)絡(luò)設(shè)備配置文件破壞如路由器、交換機,應(yīng)迅速用備份配置文件重新復(fù)制配置,并調(diào)試暢通;如遇無法解決的技術(shù)問題,立即向有關(guān)廠商請求支援。屬運營商管轄范圍,立即與運營商維護部門申報故障,請求修復(fù)。
2.2.3遇到網(wǎng)站內(nèi)容被惡意篡改,應(yīng)參照以下應(yīng)急預(yù)案。切斷服務(wù)器的網(wǎng)絡(luò)連接;從備份數(shù)據(jù)中恢復(fù)正確的數(shù)據(jù);檢查網(wǎng)站源碼漏洞,安裝網(wǎng)站源碼的最新補丁;安裝最新的系統(tǒng)補丁并重新配置防火墻,修改管理員密碼;查看網(wǎng)絡(luò)訪問日志,分析事件發(fā)生原因、源IP地址和操作時間,并做好記錄;重新恢復(fù)服務(wù)器網(wǎng)絡(luò)連接;向保衛(wèi)科備案,如造成重大損失或影響惡劣的,通知司法機關(guān)尋求法律途徑解決。
2.2.4遇到供電系統(tǒng)故障,應(yīng)參照以下應(yīng)急預(yù)案。當(dāng)供電系統(tǒng)出現(xiàn)故障,中心機房UPS在尚能維持供電一段時間時,應(yīng)通知各業(yè)務(wù)相關(guān)部門,迅速將所有運行中的服務(wù)器、存儲及網(wǎng)絡(luò)設(shè)備等安全關(guān)機,防止數(shù)據(jù)損失。關(guān)閉所有服務(wù)器時,應(yīng)遵循如下步驟:先關(guān)閉所有應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器,再關(guān)閉存儲設(shè)備。啟動所有服務(wù)器時,應(yīng)先打開存儲設(shè)備,再打開數(shù)據(jù)庫服務(wù)器,最后打開應(yīng)用服務(wù)器;確認(rèn)機房中所有設(shè)備安全關(guān)機之后,將UPS電源關(guān)閉;恢復(fù)供電后,重新啟動所有設(shè)備運行,并把UPS電源打開。
3.2.5遇到機房火災(zāi),應(yīng)參照以下應(yīng)急預(yù)案。確保人員安全;保護關(guān)鍵設(shè)備、數(shù)據(jù)安全;保護一般設(shè)備;機房工作人員立即按響火警警報,不參與滅火的人員迅速從機房離開;人員滅火時要切斷所有電源,從消防工具箱中取出消防設(shè)備進行滅火。
2.2.6遇到空調(diào)系統(tǒng)及供水系統(tǒng)故障,應(yīng)參照以下應(yīng)急預(yù)案。空調(diào)系統(tǒng)及供水系統(tǒng)如有報警信息,應(yīng)及時查找故障原因,對于不能自行排除的問題,應(yīng)及時與設(shè)備提供商進行聯(lián)系。如發(fā)現(xiàn)有漏水現(xiàn)象應(yīng)馬上關(guān)閉進水閥,并對漏水進行處理。當(dāng)中心機房主空調(diào)因故障無法制冷,致使機房內(nèi)環(huán)境溫度超過攝氏40度時,打開機房房門,及時報告信息部相關(guān)領(lǐng)導(dǎo)請示,獲得授權(quán)后應(yīng)按順序關(guān)閉所有服務(wù)器及網(wǎng)絡(luò)設(shè)備。
2.3重大事件應(yīng)急預(yù)案
針對發(fā)生重大事件導(dǎo)致圖書館網(wǎng)絡(luò)癱瘓,信息系統(tǒng)無法正常運行,相關(guān)服務(wù)部門應(yīng)立即啟動以下應(yīng)急預(yù)案:①各部門對讀者服務(wù)窗口,立即恢復(fù)手工操作模式。②網(wǎng)絡(luò)部門負(fù)責(zé)立即啟動應(yīng)急服務(wù)器系統(tǒng)。③應(yīng)急系統(tǒng)使用期間,辦證處不可對讀者進行辦理或辦退讀者借閱證。待系統(tǒng)正常恢復(fù)后才可辦證或退證。④應(yīng)急系統(tǒng)使用期間,各圖書閱覽室對讀者只提供圖書閱覽、還書服務(wù),并采用手工登記服務(wù)信息;暫停圖書借書服務(wù),待系統(tǒng)正常恢復(fù)后才可進行各項業(yè)務(wù)服務(wù)。⑤系統(tǒng)恢復(fù)后,網(wǎng)絡(luò)部門應(yīng)及時安排人員對讀者還書期限信息進行延期處理。
3預(yù)案培訓(xùn)、演練及改進
圖書館網(wǎng)絡(luò)信息系統(tǒng)應(yīng)急預(yù)案確定后,應(yīng)對與預(yù)案處置相關(guān)的所有人員進行培訓(xùn),了解安全故障或事件風(fēng)險點和危害程度,掌握預(yù)案應(yīng)急處置辦法,明確預(yù)案處理流程預(yù)警。圖書館每年要擬訂年度應(yīng)急演練計劃,應(yīng)定期或不定期開展網(wǎng)絡(luò)信息安全預(yù)案演練,明確應(yīng)急響應(yīng)相關(guān)責(zé)任部門和人員的責(zé)任,模擬完成安全故障發(fā)現(xiàn)、判斷、通報、處置、解除等各重要環(huán)節(jié)應(yīng)急措施的演練,總結(jié)演練情況書面報告。圖書館網(wǎng)絡(luò)信息系統(tǒng)每年至少應(yīng)進行1次應(yīng)急預(yù)案文檔的分析、評審,根據(jù)演練總結(jié)和實際情況,進一步對預(yù)案中存在的問題和不足及時補充、完善。
4結(jié)語
隨著信息技術(shù)與圖書館工作結(jié)合日益緊密,圖書館業(yè)務(wù)和服務(wù)對信息網(wǎng)絡(luò)的依賴性越來越高。制定圖書館網(wǎng)絡(luò)信息應(yīng)急預(yù)案能提高網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件的處理能力和速度,建立科學(xué)有效的應(yīng)急工作機制,確保圖書館業(yè)務(wù)系統(tǒng)安全運行,盡可能減少各種突發(fā)事件的危害,保障圖書館網(wǎng)絡(luò)及信息系統(tǒng)安全穩(wěn)定地運行。
作者:侯勇 單位:安徽省圖書館
1我國衛(wèi)生信息化發(fā)展概述
1.1衛(wèi)生行業(yè)信息化建設(shè)的方向性為進一步加快我國衛(wèi)生信息化整體的建設(shè)步伐,推進信息技術(shù)在全國醫(yī)療衛(wèi)生領(lǐng)域的廣泛應(yīng)用,改善我國衛(wèi)生防疫、公眾醫(yī)療、基層衛(wèi)生等狀況,提高公共衛(wèi)生健康水平,國家鼓勵地方政府建設(shè)全國聯(lián)網(wǎng)五級數(shù)字衛(wèi)生信息平臺。即:建設(shè)覆蓋全國“省—市—縣(市、區(qū))—鄉(xiāng)—村”五級數(shù)字衛(wèi)生體系,并通過租用營運商提供的網(wǎng)絡(luò),實現(xiàn)對全國衛(wèi)生信息以及公眾健康信息的收集、處理、查詢、傳輸和共享,完成面向公眾基于個人健康檔案服務(wù)和遠程醫(yī)療會診。
1.2加強衛(wèi)生信息收集整理的重要性加強衛(wèi)生信息的收集整理是改善和提高衛(wèi)生系統(tǒng)質(zhì)量的前提條件。盡管及時可靠的衛(wèi)生信息是改善公共衛(wèi)生狀況的基礎(chǔ),但是,由于各級衛(wèi)生行政管理機關(guān)在數(shù)據(jù)采集、分析、和使用方面的投入不足等原因,常常無法實現(xiàn)及時的跟蹤以達到完全鏈接和反映現(xiàn)實醫(yī)療衛(wèi)生狀況,導(dǎo)致決策者無法正確發(fā)現(xiàn)問題、了解現(xiàn)實需求、跟蹤最新進展、評估所采取措施產(chǎn)生的影響,干擾了行政管理部門在衛(wèi)生政策制定、項目設(shè)計以及資源分配等方面做出正確決策。所以,加強衛(wèi)生信息收集整理對改善和提高衛(wèi)生系統(tǒng)的服務(wù)質(zhì)量就顯得尤為重要。
1.3加強信息安全保障和管理的必要性安全管理是一個可持續(xù)的安全防護過程。信息安全建設(shè)是我國衛(wèi)生行業(yè)信息化建設(shè)不可缺少的重要組成部分。醫(yī)療衛(wèi)生信息系統(tǒng)承載著大量事關(guān)國家政治安全、經(jīng)濟安全和社會穩(wěn)定的信息數(shù)據(jù),網(wǎng)絡(luò)與信息安全不僅關(guān)系到衛(wèi)生信息化的健康發(fā)展,而且已經(jīng)成為國家安全保障體系的重要組成部分。因此,開展衛(wèi)生行業(yè)信息化必須重視建立健全信息安全保障和管理體系建設(shè)。一是強化安全保密意識,高度重視信息安全,是確保衛(wèi)生行業(yè)信息系統(tǒng)安全運行的前提條件;二是加強法制建設(shè),建立完善規(guī)范的制度,是做好衛(wèi)生行業(yè)信息安全保障工作的重要基礎(chǔ);三是建立信息安全組織體系,落實安全管理責(zé)任制,是做好衛(wèi)生行業(yè)信息安全保障工作的關(guān)鍵;四是結(jié)合實際注重實效,正確處理“五級數(shù)字衛(wèi)生體系”安全,是確保信息安全投資效益的最佳選擇。
2衛(wèi)生信息安全的風(fēng)險與需求分析
隨著網(wǎng)絡(luò)社會發(fā)展程度的不斷提高,網(wǎng)絡(luò)與信息安全事件是信息化發(fā)展進程中不可避免的副產(chǎn)品。當(dāng)今社會已進入互聯(lián)網(wǎng)時代,信息傳播的方式、廣度、速度都是過去任何一個時代無法比擬的。隨著網(wǎng)絡(luò)應(yīng)用的日益普及,黑客攻擊成指數(shù)級增長,利用互聯(lián)網(wǎng)傳播有害信息的手段層出不窮。網(wǎng)絡(luò)在給人們帶來便利的同時,也帶來不可忽視的安全風(fēng)險。所以,可靠的衛(wèi)生信息就需要一個安全的數(shù)據(jù)運行環(huán)境,只有這樣,才能實現(xiàn)向衛(wèi)生行政管理部門或社會提供有效的、高質(zhì)量的、安全的數(shù)據(jù)保障。
2.1安全風(fēng)險分析目前衛(wèi)生系統(tǒng)所面臨的風(fēng)險主要包括應(yīng)用系統(tǒng)風(fēng)險和網(wǎng)絡(luò)風(fēng)險。應(yīng)用系統(tǒng)風(fēng)險主要體現(xiàn)在身份認(rèn)證、數(shù)據(jù)的機密性、完整性、授權(quán)管理控制等,此類風(fēng)險可以通過應(yīng)用系統(tǒng)的改造提升得到控制。網(wǎng)絡(luò)風(fēng)險主要體現(xiàn)在網(wǎng)絡(luò)結(jié)構(gòu)不夠清晰、區(qū)域劃分不合理、區(qū)域邊界防護措施缺失、接入網(wǎng)絡(luò)缺少相應(yīng)的防護措施、安全管理不到位等,容易造成可用帶寬損耗、網(wǎng)絡(luò)整體布局被獲得、網(wǎng)絡(luò)設(shè)備路由錯誤、網(wǎng)絡(luò)設(shè)備配置錯誤、網(wǎng)絡(luò)設(shè)備被非授權(quán)訪問、網(wǎng)絡(luò)管理通信受到干擾、網(wǎng)絡(luò)管理通信被中斷、傳輸中的網(wǎng)絡(luò)管理信息被修改和替換、網(wǎng)絡(luò)管理中心受到攻擊、外部單位接入風(fēng)險、本地用戶接入威脅、惡意代碼傳播和破壞風(fēng)險、安全操作風(fēng)險、安全管理風(fēng)險等等。系統(tǒng)和網(wǎng)絡(luò)出現(xiàn)問題,將會造成網(wǎng)絡(luò)信息丟失和網(wǎng)絡(luò)癱瘓,無法實現(xiàn)網(wǎng)絡(luò)功能和滿足服務(wù)對象的需求。
2.2網(wǎng)絡(luò)安全需求分析保證網(wǎng)絡(luò)相關(guān)設(shè)備安全、穩(wěn)定、可靠地為業(yè)務(wù)活動提供優(yōu)質(zhì)服務(wù)的前提是網(wǎng)絡(luò)要安全、設(shè)備運行要正常。為此,必須要保證網(wǎng)絡(luò)體系結(jié)構(gòu)安全,采用各種安全措施有效防止衛(wèi)生網(wǎng)絡(luò)系統(tǒng)遭到非法入侵、未經(jīng)授權(quán)的存取或破壞可能造成的數(shù)據(jù)丟失、系統(tǒng)崩潰等事故發(fā)生;采用靈活的網(wǎng)絡(luò)拓?fù)浜腿哂嗯c備份,保證網(wǎng)絡(luò)結(jié)構(gòu)不因單點故障造成網(wǎng)絡(luò)業(yè)務(wù)活動的中斷;采用可信的網(wǎng)絡(luò)管理手段,保證結(jié)構(gòu)的完整性。網(wǎng)絡(luò)系統(tǒng)遭到有意攻擊、設(shè)備故障、網(wǎng)絡(luò)管理出現(xiàn)漏洞等是網(wǎng)絡(luò)安全防范的重點。
2.3邊界安全需求分析清晰、規(guī)范地界定、標(biāo)識網(wǎng)絡(luò)邊界,是網(wǎng)絡(luò)邊界設(shè)備和安全網(wǎng)關(guān)實施防護的有效措施。采用具有多層訪問控制功能的防火墻對接入實施控制;使用基于網(wǎng)絡(luò)的IDS有效偵測來自內(nèi)部、外部對網(wǎng)絡(luò)邊界的攻擊,嚴(yán)格記錄網(wǎng)絡(luò)安全事件,配備網(wǎng)絡(luò)邊界設(shè)備脆弱性評估工具,有效監(jiān)控網(wǎng)絡(luò)邊界設(shè)備的配置、運行狀態(tài)和負(fù)載;配置網(wǎng)絡(luò)穿透性測試工具,定期或不定期對網(wǎng)絡(luò)邊界安全有效性進行檢查。邊界安全是網(wǎng)絡(luò)安全的門戶,提升網(wǎng)絡(luò)邊界安全設(shè)備管理服務(wù)功能,是保證安全策略設(shè)計、配置、部署等管理工作的有效途徑。
2.4網(wǎng)絡(luò)管理安全需求分析對于衛(wèi)生網(wǎng)絡(luò)系統(tǒng)而言,網(wǎng)絡(luò)與信息的安全時常受到威脅,最常見的就是拒絕服務(wù)攻擊、網(wǎng)頁篡改、惡意程序等。為保證網(wǎng)絡(luò)與信息的安全,需要構(gòu)造科學(xué)、有效的網(wǎng)絡(luò)安全管理平臺。以業(yè)務(wù)為中心,面向衛(wèi)生系統(tǒng),將不同的網(wǎng)絡(luò)進行整合,基于應(yīng)用環(huán)境來管理網(wǎng)絡(luò)及其設(shè)備的正常運行。當(dāng)網(wǎng)絡(luò)異常時,基于事先制訂的策略(主要是應(yīng)急方案)和網(wǎng)絡(luò)管理系統(tǒng),實現(xiàn)主動采取行動(如:終止、切斷相關(guān)連接;停止部分非關(guān)鍵業(yè)務(wù)等),達到主動保證衛(wèi)生系統(tǒng)網(wǎng)絡(luò)安全和正常運行的目的。
3衛(wèi)生信息安全的防御體系與網(wǎng)絡(luò)的維護
3.1衛(wèi)生信息安全的防御體系衛(wèi)生信息安全防御體系是一個動態(tài)的過程,攻防雙方都是與時俱進的。防護的目的在于阻止入侵或者延遲入侵所需要的時間,以便為檢測和響應(yīng)爭取主動。一旦防護失效,通過檢測和響應(yīng),可以及時修復(fù)漏洞,杜絕威脅,防止損失擴大,確保業(yè)務(wù)運行的持續(xù)性。從技術(shù)發(fā)展的角度來考慮,攻擊和防御構(gòu)成了一種動態(tài)平衡的體系。一段時間內(nèi),安全防御發(fā)揮著有效的作用,此時的安全體系就具有一定的平衡性,但這種平衡是相對穩(wěn)定的,一旦攻擊技術(shù)有所突破,防御也需要隨之更新,安全防御體系就是在這種由此及彼的相互牽制中動態(tài)發(fā)展的。
3.2網(wǎng)絡(luò)的維護隨著信息系統(tǒng)在衛(wèi)生行業(yè)的應(yīng)用,網(wǎng)絡(luò)安全問題日漸凸顯。一旦網(wǎng)絡(luò)出現(xiàn)故障,小到造成單機信息丟失、被竊取、操作系統(tǒng)癱瘓;大到全網(wǎng)網(wǎng)絡(luò)服務(wù)中斷,業(yè)務(wù)被迫停滯,甚至是重要數(shù)據(jù)丟失等一系列嚴(yán)重后果。在新醫(yī)改大背景下,對醫(yī)療服務(wù)質(zhì)量的要求越來越高,如何構(gòu)建堅固的網(wǎng)絡(luò)環(huán)境,是每一個醫(yī)療單位的責(zé)任,同時也是挑戰(zhàn)。在網(wǎng)絡(luò)正常運行的情況下,對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的維護主要包括:確保網(wǎng)絡(luò)傳輸?shù)恼#徽莆招l(wèi)生系統(tǒng)主干設(shè)備的配置及配置參數(shù)變更情況,備份各個設(shè)備的配置文件。這里的設(shè)備主要是指交換機和路由器、服務(wù)器等。主要任務(wù)是:負(fù)責(zé)網(wǎng)絡(luò)布線配線架的管理,確保配線的合理有序;掌握內(nèi)部網(wǎng)絡(luò)連接情況,以便發(fā)現(xiàn)問題迅速定位;掌握與外部網(wǎng)絡(luò)的連接配置,監(jiān)督網(wǎng)絡(luò)通信情況,發(fā)現(xiàn)問題后與有關(guān)機構(gòu)及時聯(lián)系;實時監(jiān)控整個衛(wèi)生行業(yè)內(nèi)部網(wǎng)絡(luò)的運轉(zhuǎn)和通信流量情況。
3.3信息安全風(fēng)險控制策略面對復(fù)雜的大規(guī)模網(wǎng)絡(luò)環(huán)境,無論采取多么完美的安全保護措施,信息系統(tǒng)的安全風(fēng)險都在所難免。因此,在對信息系統(tǒng)進行安全風(fēng)險評估的基礎(chǔ)上,有針對性的提出其安全風(fēng)險控制策略,利用相關(guān)技術(shù)及管理措施降低或化解風(fēng)險,如物理安全策略、軟件安全策略、管理安全策略、數(shù)據(jù)安全策略等,可以將系統(tǒng)安全風(fēng)險控制在一個可控的范圍之內(nèi)。
3.4數(shù)據(jù)的保存與備份計算機系統(tǒng)中最重要的就是數(shù)據(jù),數(shù)據(jù)一旦丟失,導(dǎo)致衛(wèi)生行業(yè)的損失是巨大的。針對各類型的危機事件,應(yīng)該制定完善的備份方案,防患于未然,做到數(shù)據(jù)丟失后能及時處理,減少損失帶來的巨大后果。網(wǎng)絡(luò)環(huán)境具有復(fù)雜性、多變性、脆弱性。它們共同決定著網(wǎng)絡(luò)安全威脅的存在。在我國,衛(wèi)生網(wǎng)絡(luò)與信息逐漸擴大,加強網(wǎng)絡(luò)安全管理和建立完善信息安全的屏障已成為網(wǎng)絡(luò)建設(shè)中不可或缺的重要組成部分。我們應(yīng)充分認(rèn)識網(wǎng)絡(luò)信息安全的重要性,在網(wǎng)絡(luò)維護過程中加強網(wǎng)絡(luò)信息安全,做到事前預(yù)防、事中監(jiān)控、事后彌補,不斷完善安全技術(shù)與安全策略,提高衛(wèi)生網(wǎng)絡(luò)信息的安全性。
作者:李楠單位:云南省醫(yī)學(xué)信息研究所
1網(wǎng)絡(luò)安全檢測系統(tǒng)設(shè)計構(gòu)思
1.1設(shè)計目標(biāo)網(wǎng)絡(luò)安全檢測系統(tǒng)需要對網(wǎng)絡(luò)中的用戶計算機和網(wǎng)絡(luò)訪問行為進行審計,檢測系統(tǒng)具有自動響應(yīng)、自動分析功能。自動相應(yīng)是指當(dāng)系統(tǒng)發(fā)現(xiàn)有用戶非法訪問網(wǎng)絡(luò)資源,系統(tǒng)將自動阻止,向管理員發(fā)出警示信息,并記錄非法訪問來源;自動分析是根據(jù)用戶網(wǎng)絡(luò)應(yīng)用時應(yīng)用的軟件或者網(wǎng)址進行分析,通過建立黑名單功能將疑似威脅的程序或者方式過濾掉。此外,系統(tǒng)還具有審計數(shù)據(jù)自動生成、查詢和系統(tǒng)維護功能等。
1.2網(wǎng)絡(luò)安全檢測系統(tǒng)架構(gòu)網(wǎng)絡(luò)安全檢測系統(tǒng)架構(gòu)采用分級式設(shè)計,架構(gòu)圖如。分級設(shè)計網(wǎng)絡(luò)安全檢測系統(tǒng)具有降低單點失效的風(fēng)險,同時還可以降低服務(wù)器負(fù)荷,在系統(tǒng)的擴容性、容錯性和處理速度上都具有更大的能力。
2系統(tǒng)功能設(shè)計
網(wǎng)絡(luò)安全檢測系統(tǒng)功能模塊化設(shè)計將系統(tǒng)劃分為用戶身份管理功能模塊、實時監(jiān)控功能模塊、軟件管理模塊、硬件管理模塊、網(wǎng)絡(luò)管理和文件管理。用戶身份管理功能模塊是實現(xiàn)對網(wǎng)絡(luò)用戶的身份識別和管理,根據(jù)用戶等級控制使用權(quán)限;實時監(jiān)控模塊對在線主機進行管理,采用UDP方式在網(wǎng)絡(luò)主機上的檢測程序發(fā)送監(jiān)控指令,檢測程序?qū)Ρ镜剡M行列表進行讀取,實時向服務(wù)器反饋信息;軟件管理模塊是將已知有威脅的軟件名稱、參數(shù)等納入管理數(shù)據(jù)庫,當(dāng)用戶試圖應(yīng)用此軟件時,檢測系統(tǒng)會發(fā)出警告或者是拒絕應(yīng)用;硬件管理模塊對網(wǎng)絡(luò)中的應(yīng)用硬件進行登記,當(dāng)硬件非法變更,系統(tǒng)將發(fā)出警告;網(wǎng)絡(luò)管理模塊將已知有威脅網(wǎng)絡(luò)IP地址納入管理數(shù)據(jù)庫,當(dāng)此IP訪問網(wǎng)絡(luò)系統(tǒng)時,檢測系統(tǒng)會屏蔽此IP并發(fā)出警告;文件管理模塊,對被控計算機上運行的文件進行實時審計,當(dāng)用戶應(yīng)用的文件與系統(tǒng)數(shù)據(jù)庫中非法文件記錄匹配,則對該文件進行自動刪除,或者提示用戶文件存在風(fēng)險。
3數(shù)據(jù)庫設(shè)計
本文所設(shè)計的網(wǎng)絡(luò)安全檢測系統(tǒng)采用SQLServer作為數(shù)據(jù)庫,數(shù)據(jù)庫中建立主體表,其描述網(wǎng)絡(luò)中被控主機的各項參數(shù),譬如編號、名稱、IP等;建立用戶表,用戶表中記錄用戶編號、用戶名稱、用戶等級等;建立網(wǎng)絡(luò)運行狀態(tài)表,其保存網(wǎng)絡(luò)運行狀態(tài)結(jié)果、運行狀態(tài)實際內(nèi)容等,建立軟件、硬件、信息表,表中包含軟件的名稱、版本信息、容量大小和硬件的配置信息等;建立軟件、網(wǎng)址黑名單,對現(xiàn)已發(fā)現(xiàn)的對網(wǎng)絡(luò)及主機具有威脅性的非法程序和IP地址進行記錄。
4系統(tǒng)實現(xiàn)
4.1用戶管理功能實現(xiàn)用戶管理功能是提供網(wǎng)絡(luò)中的用戶注冊、修改和刪除,當(dāng)用戶登錄時輸出錯誤信息,則提示無此用戶信息。當(dāng)創(chuàng)建用戶時,系統(tǒng)自動檢測注冊用戶是否出現(xiàn)同名,如出現(xiàn)同名則提示更改,新用戶加入網(wǎng)絡(luò)應(yīng)用后,網(wǎng)絡(luò)安全檢測系統(tǒng)會對該用戶進行系統(tǒng)審核,并將其納入監(jiān)管對象。系統(tǒng)對網(wǎng)絡(luò)中的用戶進行監(jiān)控,主要是對用戶的硬件資源、軟件資源、網(wǎng)絡(luò)資源等進行管控,有效保護注冊用戶的網(wǎng)絡(luò)應(yīng)用安全。
4.2實時監(jiān)控功能實現(xiàn)系統(tǒng)實時監(jiān)控功能需要能夠?qū)崟r獲取主機軟硬件信息,對網(wǎng)絡(luò)中用戶的軟件應(yīng)用、網(wǎng)站訪問、文件操作進行檢測,并與數(shù)據(jù)庫中的危險數(shù)據(jù)記錄進行匹配,如發(fā)現(xiàn)危險則提出警告,或者直接屏蔽危險。
4.3網(wǎng)絡(luò)主機及硬件信息監(jiān)控功能實現(xiàn)網(wǎng)絡(luò)主機及硬件信息監(jiān)控是對網(wǎng)絡(luò)中的被控計算機系統(tǒng)信息、硬件信息進行登記記錄,當(dāng)硬件設(shè)備發(fā)生變更或者網(wǎng)絡(luò)主機系統(tǒng)發(fā)生變化,則安全檢測系統(tǒng)會啟動,告知網(wǎng)絡(luò)管理人員,同時系統(tǒng)會對網(wǎng)絡(luò)主機及硬件變更的安全性進行判定,如發(fā)現(xiàn)非法接入則進行警告并阻止連接網(wǎng)絡(luò)。
5結(jié)束語
本文對網(wǎng)絡(luò)安全檢測系統(tǒng)進行了設(shè)計介紹,明確設(shè)計目標(biāo)和設(shè)計架構(gòu),對系統(tǒng)各功能模塊進行設(shè)計說明,分別對用戶管理功能、實時監(jiān)控功能、網(wǎng)絡(luò)主機及硬件信息監(jiān)控功能的實現(xiàn)進行論述,完成基本的網(wǎng)絡(luò)安全檢測功能,滿足網(wǎng)絡(luò)安全檢測需要。
作者:徐寶海單位:泰州市高等教育園區(qū)管理委員會
1校園網(wǎng)絡(luò)現(xiàn)狀分析
1.1校園網(wǎng)絡(luò)現(xiàn)狀
隨著電腦的普及,計算機技術(shù)已并沒有向早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識,對于生活在高校的學(xué)生們就更不用說了。幾乎每所高校都有其自身的網(wǎng)絡(luò)體系,無論是無線網(wǎng)絡(luò)還是有線網(wǎng)絡(luò)。有了網(wǎng)絡(luò)的幫助后老師可以提高課堂內(nèi)容的豐富度,不必拘匿與灌輸死板的概念內(nèi)容,而是靈活的動態(tài)模式,這樣才能更好的激發(fā)學(xué)生的學(xué)習(xí)興趣。在大家看來每所高校所關(guān)心的安全領(lǐng)域問題是大致相同的,無論是在哪方面,無疑就是網(wǎng)絡(luò)是否暢通,上網(wǎng)是否安全,網(wǎng)絡(luò)是否可以抵御黑客攻擊,上網(wǎng)是我們的賬號是否存在風(fēng)險等問題。
1.2校園網(wǎng)絡(luò)架構(gòu)分析
學(xué)校校園網(wǎng)跟隨著信息化建設(shè)的步伐,已經(jīng)逐步走上正軌。許多高校都配備了無線、有線網(wǎng)絡(luò),使學(xué)生和老師的生活和教學(xué)就更加方便,XX學(xué)校網(wǎng)絡(luò)的拓?fù)鋱D(圖1)。根據(jù)圖片可知XX學(xué)校將Internet匯總通過防火墻,總的路由器分配至每個教學(xué)樓路由器,再由交換機分到各個房間,這樣每個房間就能有其自己的端口號。這樣如果遇到電路、網(wǎng)絡(luò)中斷的話就可以就可以根據(jù)端口直接檢查出問題所在的地方以及進行及時的修理,例如在一個教學(xué)樓的房間,網(wǎng)路連接不上,我們可以通過以下步驟來找到問題所在,首先用測線器來測試下網(wǎng)線是否正常,若不正常首先判斷是交叉線還是直通線,換一根網(wǎng)線繼續(xù)使用;若網(wǎng)線正常在看下網(wǎng)線插口里的芯片是否有接觸,可以用小的鉗子給它擺正再插上網(wǎng)線試下;若還是不行將模塊拆下檢查下銅導(dǎo)線與模塊是否是接觸不良同時可以將銅導(dǎo)線頭接觸處剝下一點講他們捏在一起,在交換機上觀察是否通,通的話將銅導(dǎo)線重新裝回至模塊內(nèi),正常使用。我們可以從圖中得知,這樣的架構(gòu)可以幫助我們盡快查到問題的出處,防止更加難以控制的局面的發(fā)生。
1.3校園網(wǎng)絡(luò)面臨的威脅
學(xué)校網(wǎng)絡(luò)大多都使用TCP/IP協(xié)議,而該協(xié)議的網(wǎng)絡(luò)所提供的網(wǎng)絡(luò)服務(wù)都包含許多不安全的因素,存在許多漏洞。同時網(wǎng)絡(luò)的普及是信息共享達到了一個新的層次,信息被暴露的機會大大增加,特別是internet,他就是一個開放大系統(tǒng)。另外,數(shù)據(jù)處理的可訪問性和資源共享的目的性之間的一對矛盾,這些都給校園網(wǎng)絡(luò)帶來了威脅。計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩種:一是,對網(wǎng)絡(luò)中信息的威脅,即所謂的軟威脅;二是,對網(wǎng)絡(luò)中設(shè)備的威脅,即所謂的硬威脅。影響計算機網(wǎng)絡(luò)的安全因素很多,有意的、無意的、人為的、自然的以及外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用等,歸結(jié)起來,針對網(wǎng)絡(luò)安全的威脅主要有以下幾種:第一,入侵者:入侵者包括黑客、破壞者和其他從外部試圖非法訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)用戶。這些訪問者或者有特定的目的,或者只是基于興趣和好奇心,都會對校網(wǎng)信息形成威肋。并且,由于互聯(lián)網(wǎng)的廣泛應(yīng)用,更多的黑客工具和破壞程序被共享,許多青少年對此興趣極高,形成了一大批潛在的攻擊者。第二,病毒和有害代碼:便利的網(wǎng)絡(luò)環(huán)境使病毒成為網(wǎng)絡(luò)信息安全的另一個重要威脅,病毒不僅破壞程序和數(shù)據(jù),還會嚴(yán)重影響網(wǎng)絡(luò)效率,甚至破壞設(shè)備;特洛伊木馬為入侵者所利用進行網(wǎng)絡(luò)攻擊和刺探,操作系統(tǒng)或應(yīng)用軟件的后門也被開發(fā)者利用進行攻擊和破壞。目前病毒與黑客技術(shù)的結(jié)合,使得病毒的危害更進一層,不僅僅針對計算機,同時也針對網(wǎng)絡(luò),近幾年的一次利用SQLServer漏洞的“蠕蟲王”病毒就幾乎使得全國計算機網(wǎng)絡(luò)癱瘓。第三,內(nèi)部教職員工與學(xué)生:其實更為重要的安全威脅來自網(wǎng)絡(luò)內(nèi)部,由于誤操作、好奇或泄憤,內(nèi)部教職員工和學(xué)生會對校園網(wǎng)中關(guān)鍵信息安全和完整性構(gòu)成威脅。尤其是學(xué)生,極強烈的好奇心和爭勝欲望,為了炫耀或者學(xué)習(xí)實踐,對網(wǎng)絡(luò)有比較大的攻擊性。第四,系統(tǒng)和應(yīng)用的安全漏洞:網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和應(yīng)用軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo)。除此之外,軟件和硬件的配置/設(shè)置不當(dāng)同樣會造成相當(dāng)嚴(yán)重的安全問題。第五,用戶安全意識:用戶對信息安全認(rèn)識不足,對安全的簡單理解和關(guān)注不足,對安全設(shè)備的利用和投入不足、不及時,都會構(gòu)成校網(wǎng)信息安全缺陷。第六,其他安全威脅:包括自然災(zāi)害、物理設(shè)備故障以及其他破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施和數(shù)據(jù)的意外事故。
2校園網(wǎng)絡(luò)信息安全策略
2.1信息安全含義及策略概述信息安全是指采取措施保護信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù),使之不因偶然的或者惡意的原因而遭受破壞、更改、泄露,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行。信息安全是一門涉及網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)、密碼技術(shù)、信息安全技術(shù)、通信技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多種學(xué)科的綜合性學(xué)科。信息安全本身包括的范圍很廣,大到國家軍事政治等機密安全,小到防范青少年對不良信息的瀏覽以及個人信息的泄露等。而信息安全策略是一個有效的信息安全項目的基礎(chǔ)。信息安全策略可以劃分為兩個部分,問題策略和功能策略。問題策略描述了一個組織所關(guān)心的安全領(lǐng)域和對這些領(lǐng)域內(nèi)安全問題的基本態(tài)度。功能策略描述如何解決所關(guān)心的問題,包括制定具體的硬件和軟件配置規(guī)格說明、使用策略以及雇員行為策略。從信息安全領(lǐng)域中發(fā)生的事件來看,信息安全策略的優(yōu)秀地位變得越來越明顯。例如,沒有安全策略,系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。策略的制定需要達成下述目標(biāo):減少風(fēng)險,遵從法律和規(guī)則,確保組織運作的連續(xù)性、信息完整性和機密性。信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定。同時應(yīng)當(dāng)重視對信息系統(tǒng)了解深刻的員工所提出的組織當(dāng)前信息的主要特性,具體包括:什么信息是敏感的、什么信息是有價值的以及什么信息是關(guān)鍵的。在制定一整套信息安全策略時,應(yīng)當(dāng)參考一份近期的風(fēng)險評估,以便清楚了解組織當(dāng)前的信息安全需所要面臨的風(fēng)險管理。對曾出現(xiàn)的安全事件的總結(jié),也是一份有價值的資料。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致,并對其完全支持。這一點不是針對信息安全體系結(jié)構(gòu),而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定,以保障信息安全體系實施、運行。例如,互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化,也有利于選擇和實施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。關(guān)于風(fēng)險評估,我們可以根據(jù)每一項任務(wù)來進行一個風(fēng)險評估具體流程(如圖2),做好一個風(fēng)險評估能很大程度上的提高信息安全度,也便于今后的管理。
2.2防范校園網(wǎng)絡(luò)安全措施
在校園網(wǎng)絡(luò)日漸普及的今天,關(guān)于如何應(yīng)對和防范校園網(wǎng)絡(luò)安全這一塊也存在著許多不足和漏洞,所以各個學(xué)校都要從各個方面來保障校園網(wǎng)路的安全運行。首先是管理層面,通過申請在校園網(wǎng)絡(luò)中各種功能的開通和使用,來實現(xiàn)從源頭抓問題,學(xué)校也應(yīng)該制定出明確的計劃與流程,使得一些行為可以按照流程一步步完成,這樣就能更加安全了。以學(xué)生寬帶申請為例,學(xué)校規(guī)定從學(xué)校網(wǎng)站上統(tǒng)一下載,統(tǒng)一領(lǐng)導(dǎo)簽字,統(tǒng)一分發(fā),統(tǒng)一管理。這種模式能提高管理和工作的效率,正是因為這樣的管理和工作模式,讓學(xué)校的工作井井有條的開展。通過對申請信息的填寫,當(dāng)遇到網(wǎng)絡(luò)安全威脅時,可以通過信息查詢到有問題的主機,然后及時解決問題,不至于拖延很長時間。再次是技術(shù)方面,學(xué)校配備有上網(wǎng)認(rèn)證控制器,可以保證在教學(xué)樓范圍內(nèi)上網(wǎng)都是有認(rèn)證的,每個人的上網(wǎng)記錄都是可以查詢的,以及還有流量控制器,可以保證基本上網(wǎng)的暢通,VPN認(rèn)證可以保證在校外訪問校內(nèi)網(wǎng)有跡可循,同時學(xué)校還配有負(fù)載均衡器以擴展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強網(wǎng)絡(luò)數(shù)據(jù)處理能力,提高網(wǎng)絡(luò)的靈活性和可用性。同時這些設(shè)備也是信息安全策略中功能策略的反映。
3結(jié)語
隨著校園網(wǎng)絡(luò)設(shè)備的不斷完善,網(wǎng)絡(luò)的安全已成為學(xué)校正常運營的基石。校園網(wǎng)安全是一個檢測、監(jiān)視、安全響應(yīng)的循環(huán)過程,確定安全技術(shù)、安全策略和安全管理只是一個良好的開端,校園網(wǎng)絡(luò)自身的情況也在不斷的變化,新的安全問題也會不斷涌現(xiàn),必須不斷對此體系進行及時的維護和更新,保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,確保他的有效性和先進性。構(gòu)筑一個安全的校園網(wǎng)是一項任重而道遠的系統(tǒng)工程。
作者:錢彩麗工作單位:浙江警官職業(yè)學(xué)院實訓(xùn)中心
摘要:網(wǎng)絡(luò)信息安全問題自網(wǎng)絡(luò)誕生之初,就一直是一個困擾網(wǎng)絡(luò)的建設(shè)者和使用者的難題。隨著網(wǎng)絡(luò)的普及與發(fā)展,以及新興網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)信息安全已經(jīng)越來越成為網(wǎng)絡(luò)社會中的關(guān)鍵問題。
關(guān)鍵詞:網(wǎng)絡(luò)信息安全
計算機具有驚人的存貯功能,使它成為信息保管、管理的重要工具。但是存貯在內(nèi)存貯器的秘密信息可通過電磁輻射或聯(lián)網(wǎng)交換被泄露或被竊取,而大量使用磁盤、磁帶、光盤的外存貯器很容易被非法篡改或復(fù)制。由于磁盤經(jīng)消磁十余次后,仍有辦法恢復(fù)原來記錄的信息,存有秘密信息的磁盤被重新使用時,很可能被非法利用磁盤剩磁提取原記錄的信息。計算機出故障時,存有秘密信息的硬盤不經(jīng)處理或無人監(jiān)督就帶出修理,也能造成泄密。如何在保證網(wǎng)絡(luò)信息暢通的同時,實現(xiàn)信息的保密,我認(rèn)為應(yīng)從以下幾個方面做起:
1建立完善的網(wǎng)絡(luò)保管制度
1.1建立嚴(yán)格的機房管理制度,禁止無關(guān)人員隨便進出機房,網(wǎng)絡(luò)系統(tǒng)的中心控制室更應(yīng)該有嚴(yán)格的出人制度。同時機房選址要可靠,重要部門的機房要有必要的保安措施。
1.2規(guī)定分級使用權(quán)限。首先,對計算機中心和計算機數(shù)據(jù)劃分密級,采取不同的管理措施,秘密信息不能在公開的計算機中心處理,密級高的數(shù)據(jù)不能在密級低的機中心處理;其次,根據(jù)使用者的不同情況,規(guī)定不同使用級別,低級別的機房不能進行高級別的操作;在系統(tǒng)開發(fā)中,系統(tǒng)分析員、程序員和操作員應(yīng)職責(zé)分離,使知悉全局的人盡可能少。
1.3加強對媒體的管理。錄有秘密文件的媒體,應(yīng)按照等密級文件進行管理,對其復(fù)制、打印、借閱、存放、銷毀等均應(yīng)遵守有關(guān)規(guī)定。同一片軟盤中不要棍錄秘密文件和公開文件,如果同時錄有不同密級的文件,應(yīng)按密級最高的管理。還應(yīng)對操作過程中臨時存放過秘密文件的磁盤以及調(diào)試運行中打印的廢紙作好妥善處理。
2從技術(shù)上保證網(wǎng)絡(luò)檔案信息的安全
2.1使用低輻射計算機設(shè)備。這是防止計算機輻射泄密的根本措施,這些設(shè)備在設(shè)計和生產(chǎn)時,已對可能產(chǎn)生信息輻射的元器件、集成電路、連接線和等采取了防輻射措施,把設(shè)備的信息輻射抑制到最低限度。
2.2屏蔽。根據(jù)輻射量的大小和客觀環(huán)境,對計算機機房或主機內(nèi)部件加以屏蔽,檢測合格后,再開機上作。將計算機和輔助設(shè)備用金周屏蔽籠(法拉第籠)封閉起來,并將全局屏蔽籠接地,能有效地防止計算機和輔助設(shè)備的電磁波輻射。不具備上述條件的,可將計算機輻射信號的區(qū)域控制起來,不許外部人員接近。
2.3干擾。根據(jù)電子對抗原理,采用一定的技術(shù)措施,利用干擾器產(chǎn)生噪聲與if調(diào):機設(shè)備產(chǎn)生的信息輻射一起向外輻射。對計算機的輻射信號進行一于擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。不具備上述條件的,也可將處理重要信息的計算機放在中間,四周置放處理一般信息的計算機。這種方法可降低輻射信息被接收還原的可能性。
2.4對聯(lián)網(wǎng)泄密的技術(shù)防范措施:一是身份鑒別。計算機對用戶的識別,主要是核查用戶輸人的口令,網(wǎng)內(nèi)合法用戶使用資源信息也有使用權(quán)限問題,因此,對口令的使用要嚴(yán)格管理。二是監(jiān)視報警。對網(wǎng)絡(luò)內(nèi)合法用戶工作情況作詳細記錄,對非法用戶,計算機將其闖人網(wǎng)絡(luò)的嘗試次數(shù)、時間。電話號碼等記錄下來,并發(fā)出報警,依此追尋非法用戶的下落。三是加密。將信息加密后存貯在計算機里,并注上特殊調(diào)用口令。
3加強對工作人員的管理教育
3.1要牢固樹立網(wǎng)絡(luò)信息工作人員保密觀念。網(wǎng)絡(luò)信息工作人員要不斷加強自身學(xué)習(xí),了解新形勢,適應(yīng)新變化。充分認(rèn)識到新時期保密問題的重要性、緊迫性,不斷增強保守國家秘密的意識。
3.2加強對網(wǎng)絡(luò)信息工作人員的業(yè)務(wù)培訓(xùn)。網(wǎng)絡(luò)信息工作人員要不斷提高計算機網(wǎng)絡(luò)安全保密知識水平,真正了解所有設(shè)備的性能,掌握防止泄密的知識和防范措施;管理部門要利用和創(chuàng)造機會擴展他們的知識面,增強主動性,減少盲目性,以防因無知而泄密。努力構(gòu)建以計算機基礎(chǔ)知識為根基,保密專業(yè)知識為主干,相關(guān)知識為補充的知識結(jié)構(gòu),使網(wǎng)絡(luò)信息管理工作人員向復(fù)合型人才轉(zhuǎn)化。
