時間:2023-06-07 09:34:35
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全建設管理,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】大中型三甲醫院;網絡建設:建設方案:網絡安全
【中圖分類號】R197.324 【文獻標識碼】A 【文章編號】1672-5158(2013)04-0259-01
隨著醫院信息化應用的發展,需要建設一個支持現代化醫院發展所需要的先進的基礎網絡平臺,并保證基本能夠滿足醫院信息化建設的中長期要求。網絡方案的設計與實用直接影響到醫院的正常運行,如何保護醫院網絡的安全成為管理者必須要考慮的重要問題。筆者結合自己幾年來工作經驗與大家共同探討醫院網絡系統的設計與安全管理。
1、醫院信息系統的基礎網絡建設
醫院網絡平臺建設是一項大型系統工程,其設計方案對醫院網絡的未來發展和管理信息系統作用的發揮都起著極為重要的作用。一個經濟實用的網絡應該能夠保證網絡系統具有完善的功能、較高的可靠性和穩定安全性。
1.1 設計原則
根據醫院管理信息系統一般采用服務器一客戶端模式,醫院網絡平臺建設必須要穩定、安全、可靠,且便于管理和維護的基礎網絡,實際應用中能支持與外部網絡的兼容,在確保院內網絡能互通互聯的同時,保證醫技、管理、檢驗等職能科室的相對獨立,接入層支持百兆到桌面,核心層支持全千兆向萬兆速率平滑擴容的能力,同時支持八里湖分院網絡系統與潯陽區總院聯合辦公。根據這一要求,網絡關鍵節點必須具備高寬帶、高安全、高性能的特質,且能保障系統的連續穩定運行。
1.2 綜合布線和機房建設
網絡布線應能滿足當前和一段時期內網絡通訊技術發展的要求,同時確保醫院影像(PACS)、檢驗數據(LIs)、電子病歷等系統的彼此相連,并可與外部網絡連接,確保遠程會診的需要。
1.3 劃分子網
1.3.1 虛擬子網
根據醫院不同職能部門處于不同的地理位置,醫院網絡系統可以使用虛擬局域網(vLAN),VLAN可以根據醫院各職能部門、不同權限用戶組或者將不同方位、不同樓層的網絡用戶劃分為一個邏輯網段。大大減輕了網絡管理和維護工作的負擔,降低了網絡維護費用。
1.3.2 應用子網
現在醫院已建立自己的HIS系統,但是由于地域上的距離和網絡發展的不平衡,醫院與醫保中心、衛生局、疾病控制中心等醫療衛生分支部門等網絡之間缺少互聯互通。網絡間的資源不能共享,造成網絡的割裂。可采用最常用的傳輸技術――VPN。充分利用公網資源,建立安全可靠,經濟高效的傳輸鏈路。在VPN技術的支持下,位于不同地點的醫療部分只需聯入當地互聯網,就可以組成一個可靠高效的虛擬專用網絡。便于門診收費人員及時結賬報銷醫療費用,為醫療衛生行業提供一個高性能,高質量,高可靠性的信息訪問的解決方案。
2、醫院網絡系統安全管理
隨著醫院信息化戰略的推進,網絡安全問題也被越來越多的醫院所重視。如何讓醫院擺脫網絡安全的威脅,是醫院在信息化建設過程中首要解決的問題。
2.1 硬件系統的物理安全措施
硬件系統的安全措施是整個網絡系統運行的物理基礎。是指網絡系統中各計算機通迅設備的物理保護,避免其受到外界和人為的破壞。硬件系統的主要安全隱患有中心機房的供電、網絡和設備等幾個方面的故障。
2.2 軟件系統的安全措施
2.2.1 病毒安全防治
醫院與醫保中心、衛生局、疾病控制中心等醫療衛生分支部門采用VPN聯,個別終端用戶不可避免的與外界網絡有了連接,也就有可能會遭受到病毒的攻擊。由于醫院網絡實行集中式管理,可以采用各終端安裝網絡版殺毒軟件,客戶端自動分發安裝,服務器定期實時升級,各終端病毒自動升級。建立計算機病毒防范措施,經常升級操作系統的安全補丁。
2.3 服務器及工作站管理
2.3.1 服務器管理
及時安裝操作系統和服務器軟件的最新版本和修補程序。加強登錄過程的身份認證,設置不易猜測的登錄口令,嚴密保護帳號口令并做到定期變更,防止非法用戶輕易猜出口令,確保用戶使用的合法性。
2.3.2 工作站管理
工作站是用戶操作管理系統的直接平臺,遵循“誰使用、誰負責”的原則進行,各工作站使用部門要定期檢查電腦使用情況、密碼管理、防病毒設置等。各工作站電腦一律只裝入需要的程序。
2.4 網絡用戶的安全管理
由于醫院網絡用戶涉及操作人員、醫護人員、管理人員等諸多使用者,覆蓋面大,給系統帶來了不少的安全隱患。因此,對于網絡用戶的安全管理也成為網絡安全管理中必不可少的一部分。
2.4.1 建立安全管理制度
通常應當建立的制度包括工作站管理維護日志、工作站系統操作規程、機房管理工作制度、機房計算機系統管理操作規范、機房數據安全保障工作制度、信息系統故障應急方案、信息系統保密制度、病毒防范制度等。
2.4.2 加大人員培訓力度
人員培訓是保證系統正常運行的關鍵。要由技術精湛的技術人員負責人員培訓,以提高他們的操作水平,減少失誤,并對其進行考核,把操作人員計算機知識考核納入員工總體考核目標,只有考核合格的操作員才能上崗。
2.4.3 強化用戶安全意識
定期舉辦網絡安全講座,經常強調網絡安全關系到醫院工作的正常運行,要使每個工作人員都意識到安全的重要性,要督促各操作人員嚴格執行規章和操作規范。
關鍵詞: 縣級供電企業;信息網絡;安全體系;安全建設
中圖分類號:C29 文獻標識碼:A 文章編號:
前言
隨著電力信息網的互聯和完全溶進Internet,電力信息網絡面臨日益突出的信息系統安全問題。國家電力產業體制開始向市場轉變,各級供電企業紛紛建立信息系統和基于Internet的管理應用,以提高勞動生產率,提高管理水平,加強信息反饋,提高決策的科學性和準確性,提高企業的綜合競爭力。目前我國電力企業網絡安全建設的發展很不平衡,總體來看,存在以下薄弱環節。因此,必須采取更加科學有效的方法和思路,加快縣級供電企業網絡建設及網絡安全建設的步伐。
1 縣級供電企業信息網絡安全防范體系概述
1.1 安全策略
總的來說,其基本策略包括網絡系統的防護策略、對主機的防護策略、對郵件系統的防護策略、對終端的防護策略、對數據安全的防護策略以及建立集中控制平臺等。
1.2 安全技術
從技術的層面上,則是通過采用包括建設安全的主機系統和安全的網絡系統,同時配備適當的安全產品的方法來實現,其包括了病毒防護、訪問控制、入侵檢測、漏洞掃描、數據加密、數據備份以及身份認證等這些方面。
1.3 安全培訓
通過在線模擬考試功能和題庫,實現對培訓記錄、培訓師資隊伍、培訓資料以及考試成績的電力化管理,并對培訓結果進行在線統計分析。
2 縣級供電企業信息網絡整體安全建設
2.1 物理層安全建設
物理層安全建設主要保護的是通信線路、物理設備以及機房的安全等三大方面。從技術上,可以進行對設備的備份、防災害和防干擾的能力、設備的運行環境的調配以及保持電源的正常使用等這些方面。
2.2 網絡層安全建設
網絡層安全建設所指的是網絡方面的安全性建設,它可以通過實行身份認證、訪問控制、數據的完整性和保密性、域名系統及路由系統的安全、入侵檢測及防火墻等技術來實現。
2.3 系統層安全建設
系統層安全建設所指的是在進行網絡使用時,關于操作系統安全的建設。對于系統自身而引起的系統漏洞可以通過身份認證、訪問控制、系統漏洞修復等手段來進行。
2.4 用戶層安全建設
用戶層安全所指的是對用戶使用的過程中所存在的安全建設。用戶層安全技術包括分組管理、單口令的登錄的方式及用戶身份認證等主要方面。
2.5 管理層安全建設
管理層安全建設主要是通過供應商使用應用軟件和數據的安全性的建設,包括對Web服務、電子郵件系統、DNS等方面進行優化。此外,還包括病毒對系統的威脅。
2.6 數據層安全建設
首先應考慮對應用系統和數據進行備份和恢復措施,應用系統的安全涉及到數據庫系統的安全,數據庫系統的安全性很大程度上依賴于數據庫管理系統,如果數據管理系統安全機制非常強大,則數據庫系統的安全性就較好。
在以上的各個層面上,每個層面都應該有不同的技術來達到相應的安全保護。如表1所示。
表1 根據安全層面技術來進行縣級供電公司信息網絡整體安全建設
3 縣級供電企業如何有效進行信息網絡安全體系建設
(1)整合現有系統,實現生產實時信息與管理信息的集成,建立電網信息一體化平臺。看似簡單的數據交換和信息共享,由于沒有統一的信息平臺,形成企業信息化發展的瓶頸。縣級供電企業以后的重點工作是整合、集成現有的各子信息系統,搭建統一的運行平臺,規范、整理、合并各種基礎數據,逐步建立集中、統一、開放式中心數據庫,實現各信息系統的無縫連接。對縣級供電企業網絡來講,網絡整體穩定性要求非常高,網絡應該提供多種冗余備份的方式,確保業務的連續。在縣局網絡平臺搭建好之后,這要考慮到未來系統的擴展性。縣級供電企業的信息化建設是一項復雜的系統工程,只有以企業效益為核心,通過構建統一的信息化基礎平臺,部署企業一體化應用系統,才能適應縣域經濟發展,滿足人民群眾對電力的需要,才能提高企業的核心競爭力,才能信步于未來的信息化發展之路。并以信息化帶動企業內部管理機制的改革,實現機制創新、管理創新、技術創新,努力發揮信息化對企業可持續發展的支撐作用。
(2)運用現代網絡技術,構建技術先進、穩定可靠的信息化通道。網絡安全裝置、服務器、PC機等不同種類配置不斷出新的發展。信息安全技術管理方面的人才無論是數量還是水平,都無法適應企業信息安全形勢的需要。隨著電力體制改革的不斷深化,計算機網絡系統網絡上將承載著大量的企業生產和經營的重要數據。因此,保障計算機網絡信息系統安全、穩定運行至關重要,通常可以采取新的技術,如桌面安全管理系統等對終端行為進行管理,從而保證整個內網的可信任和可控制。目前,大部分病毒是通過計算機系統的漏洞來進行肆意的傳播,為此,對于計算機系統的供應商而言,應該要對大部分的漏洞進行及時地提供相應的補丁系統,而對于使用者而言,則需要通過不斷地更新服務的系統來進行對系統的更新。
(3)加強技術和應用培訓,為發展縣級供電企業信息化建設提供基礎保障。先進的管理方式對員工素質提出了更高的要 求,推行信息化建設不但要有“科技興企、人才先行”的觀念,而且還需要既懂電力知識又懂信息技術的人才。管理信息系統的生命力很大程度上取決于應用。信息化建設既是階段性工程又是一種長期行為,對待信息化建設要有長遠眼光,動態地考慮和評價信息化建設問題,不能只看到眼前利益,急于求成。
(4)加強信息制度和信息化安全建設,為縣級供電企業信息化的建設提供根本保證。信息安全不僅要考慮到從安全問題的角度來進行分析,從而提出各個層面的安全保障,為此,信息安全它包括的是策略、技術以及管理的安全體系。供電企業在實現網絡信息安全的有效途徑的時候,需要從技術的層面以及管理的良好配合才得以實現,從而才能為縣級供電企業信息化的建設提供根本性的保證。
4、結束語
電力企業的各個業務對網絡的依賴性越來越強,對信息網絡安全性的要求也越來越高,電力系統信息網絡安全已經成為電力企業生產、經營和管理的重要組成部分。電力企業必須運用現代網絡技術,加強信息制度和信息化安全建設,確保信息系統的安全運行,為企業的安全生產提供有力的保證,從而打造更加穩固堅強的管理技術支撐平臺。
參考文獻:
[1]徐偉鋒、張虹、李莉.構建電力企業的網絡信息安全[J].陜西電力,2007
[2]王廣河,縣級供電公司信息網絡的安全風險與防護策略[J].電力安全技術,2008
關鍵詞:企業;網絡安全;對策
一、企業網絡安全的內涵
企業網絡安全是指企業網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。企業網絡安全從其本質上來講就是企業網絡上的信息安全。從廣義來說,凡是涉及到企業網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
二、企業網絡安全存在的問題
(一)安全意識淡薄
在企業網絡系統中,每一臺計算機的安全性都會影響整個系統的安全性能,網絡安全與每個用戶息息相關。內部員工了解公司的網絡結構、數據存放方式和地點甚至掌握業務系統的密碼。在具有嚴格訪問權限的系統中,使用弱密碼的用戶有可能成為安全系統中的缺陷,甚至有些人隨意改動系統注冊表,使得整個網絡安全系統失效。
(二)網絡安全體系不健全
當前很多企業盡管采取了一些安全措施,但安全保護措施較為零散,缺乏整體性與系統性,對于企業網絡信息安全保護缺乏統一的、明確的指導思想,沒有建立一個完善的安全體系,這是引發安全問題的主要源頭。
(三)網絡黑客攻擊
黑客肆意妄為,破壞的手段也越來越多樣化。企業的內部資料對于整個企業經營來說相當重要,因為它關系到整個企業的生死存亡。企業存放信息會因網絡黑客攻擊而造成資料的泄密。
(四)來自企業外部的感染
來自企業外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發性等特點,通過入侵網絡系統和設備,對數據進行破壞,使網絡癱瘓,不能正常運作。網絡蠕蟲由于不需要用戶干預就能觸發,因而其傳播速度要遠遠大于計算機病毒,其對網絡性能產生的影響也更為顯著和嚴重。木馬是指附著在應用程序中或者單獨存在的一些惡意程序,它可以利用網絡遠程控制安裝有服務端程序的主機,實現對主機的控制或者竊取主機上的機密信息。
(五)來自企業網絡內部的攻擊
企業防護重點是對外,往往忽視對內部防護的重視。利用企業內部計算機對企業局域網絡進行攻擊,企業局域網絡也會受到嚴重攻擊,當前企業內部攻擊行為大大加強了企業網絡安全的風險。
三、企業網絡安全對策的思考
(一)強化信息安全意識
網絡安全必須要靠企業全體人員的意識提高才能形成一種好的氛圍。每個人在主觀上有一種“我要安全”的意識才能不斷提高網絡的安全水平。要有專職部門負責管理企業網絡安全,其它各部門服從專職部門的統一規劃,統一部署。樹立“網絡安全無小事”的理念,落實建立健全各項各項規章制度。要把職責、標準、流程落實到實處,實現網絡安全管理精細化。
(二)構建健全的網絡安全體系
網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。企業力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念,是一個科學、系統、全面的網絡安全結構體系。該網絡安全體系的設計必須采用多層次、多維度的設計思路,才能有效地保障企業網絡的安全。企業網絡安全體系的構建目標是使在企業網絡中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態,在網絡傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。
(三)強化企業辦公電腦的安全管理
經常刪除垃圾文件,把木馬和病毒消滅,以防止黑客攻擊。防御黑客失敗,可能會導致硬盤上的所有重要數據被破壞甚至刪除。用恢復技術對硬盤數據進行恢復,如要恢復的數據涉及一些商業機密,準備新的空白硬盤作為數據恢復后的載體,千萬不能將數據恢復到別人的機器上,因為他們既然能恢復您硬盤上的數據,也一定也能恢復暫存在他們的硬盤上的相關數據,恢復數據的過程最好有人全程監控,以避免泄密。及時進行入侵檢測,如發現有被攻擊的跡象,要迅速根據用戶事先定義的動作做出相關反應,檢查系統上存在的可能拒絕服務攻擊檢測系統中是不是被安裝了某些竊聽的程序,防火墻系統有沒有存在配置錯誤和安全漏洞問題。
(四)加強企業外部網絡和內部網絡的管理
對企業的外部和內部網絡進行相關的控制是必要的,尤其是訪問控制,可以根據企業的實際情況和需要設置防火墻,加強必要的防護設施,把安全漏洞控制好。做好防護工作,關掉一些敏感端口和一些不必要的服務,那么一些想要入侵的人就會受到一定的限制,以阻擋外部網絡不法分子的侵入,防止偷竊或起著破壞性作用的惡意攻擊。同時企業還應在基礎的防火墻體系上建立入侵檢測系統,利用交換機處所布置的入侵檢測系統實時監控企業內網的安全事件,以此為網絡管理員的管理工作奠定基礎,便于管理員及時針對情況做出反應。針對企業移動辦公人員的移動需求,企業還應建立VPN加密系統。為移動辦公人員通過互聯網絡訪問企業內網奠定基礎。通過科學的網絡安全設置以及相應體系的建立提高企業網絡安全防護性能。
四、結語
現代企業網絡安全建設是現代企業經營與管理中的重要工作之一。網絡安全建設關系到企業信息的安全,關系到企業信息化管理工作的開展,關系到企業管理工作的有效傳達。通過網絡安全建設能夠保障企業信息流暢以及企業經營、財務等信息的安全。
參考文獻:
[1]陳靜.關于企業網絡系統安全防護的探討[J].企業信息化,2009,6
[2]柳葉,魏立國.企業信息化建設中網絡安全建設的分析[J].計算機網絡資訊,2010,07
作為一個大型的金融企業,中國長城資產管理公司(以下稱長城資產管理公司)深知信息技術和網絡技術對公司發展的重要性,公司總部與各省分支機構之間已經有2M鏈路相連,總部與各省分支機構均與Internet連接。
“雙刃劍”困擾公司發展
隨著金融科技的發展,現代金融企業的業務開展越來越依賴于網絡。但網絡是一柄雙刃劍,在幫助公司發展業務的同時也帶來了一系列的安全問題。長城資產管理公司意識到網絡安全的重要性,并決定建立網絡安全體系。
長城資產管理公司總部的安全建設已經部署了防火墻FW、防病毒AV、入侵檢測IDS和補丁管理系統。但各省分支機構在安全建設方面幾乎是一片空白,技術力量弱,IT技術人員缺乏。
關注“短板”的建設
長城資產管理公司信息技術部安全處處長曾德超表示,長城資產管理公司的關鍵和核心數據存儲在總部,分支機構的服務器沒有存儲重要數據。針對目前的這個現狀,把總部的安全建設作為工作重點的做法是比較可取的,也是比較經濟的。但是分支機構的安全建設與總部之間存在著嚴重的不平衡,這種不平衡會使總部的安全建設的成果和效果大打折扣。因為信息安全建設的總體效果不是取決于最堅固的環節,相反是取決于最薄弱的鏈條,這就是著名的“木桶原理”。因此,分支機構的基本安全保障建設就顯得尤為重要。
細粒度的訪問控制、病毒和蠕蟲的防護以及總部與分支機構之間數據的加密傳輸和身份認證等等,都是來自分支機構的安全需求,因此對于分支機構來講,選擇一種包含防火墻、VPN和病毒防護等多種功能的安全產品,即UTM(統一威脅管理)是滿足上述要求的最佳解決方案。
長城資產管理公司總部與分支機構之間通過單一鏈路很容易出現單點故障,因此,需要增加冗余鏈路作為備份。另外,就當前網絡現狀和應用功能,該公司的安全建設和管理,比較適合采用總部統一安全管理策略,對分支機構進行集中管理的方式。
經過仔細的調研和分析之后,長城資產管理公司決定實施如下的安全戰略:采用集中管理策略,并使用UTM產品 ,在公司總部和各個分支機構進行統一部署。
一方面,集中管理可以從最大程度上節約公司的安全成本,特別是安全管理成本。同時利于總部及時掌握各個分支機構的安全狀況,對整個公司的安全狀況了然于心,也便于進行安全檢查和安全審計。
另一方面,選擇UTM產品進行統一實施,可順利解決分支機構的基本安全保障問題,在所有的分支機構全部部署UTM產品,一攬子解決所有分支機構的安全問題。此外,UTM產品具有如下功能上和管理上的優勢:支持點對點VPN連接,實現集中式管理;建立總部與各省分支機構之間的VPN連接,作為現有專線的備份鏈路;保護各省分支機構免受來自Internet的惡意攻擊或者蠕蟲/病毒感染;實現移動用戶的安全接入;實現統一威脅管理,構成立體防御體系,避免多種安全產品各自為政,條塊分割等。
擇UTM鑄造網絡長城
“長城資產管理公司對市場上的多功能安全網關產品進行逐一比較和分析后,最終選擇了天清漢馬多功能安全網關,它集成了多種強大的功能,不僅提供防火墻、病毒過濾功能,還提供TCP技術防范拒絕服務攻擊、連接數限制、靈活的策略路由、AAA認證、準確的BT封鎖功能及完備的NAT功能等,能夠很好地滿足長城資產管理公司的安全需求。” 曾德超如是說。
該項目實施后,長城資產管理公司總部與各分支機構IT系統的安全性得到大大加強,公司運營效率和管理效率也得到了很大的提高。
編輯點評:現代金融企業的業務開展越來越依賴于網絡已是不爭的事實,而與之相應的安全問題亦越來越突出。對金融行業來說,安全問題往往是致命的,網絡安全的建設任重而道遠!
?業界動態?
McAfee發現第20萬個惡意威脅
McAfee 近期宣布McAfee Avert實驗室把第10萬個威脅添加到其2004年9月份的數據庫當中,并已經發現第20萬個惡意威脅。 (李)
SONICWALL公布UTM設備市場報告
7月25日,SonicWALL宣布連續第五季度保持全球統一威脅管理(UTM)安全設備市場領導地位。根據今年7月IDC的全球安全設備跟蹤報告,于第一季度SonicWALL在銷售數量和工廠營收方面處于總體領導地位。 (剛)
聯想網御開啟全國技術巡禮
近日,聯想網御正式在廣州開啟主題為“藍海”的“2006年聯想網御全國技術巡禮”。本次巡禮歷時3個多月,覆蓋了包括華東、華南、西北等在內的全國上百個城市,是目前業界覆蓋范圍最大的一次信息安全技術巡禮。 (何)
關鍵詞:高校;圖書館;網絡安全;設計與實現
中圖分類號:TP393.08
隨著網絡閱讀形式的普及,高校作為文化與技術資源的匯聚地,圖書館的運作逐漸走向網絡化和數字化。高校圖書館的數據庫系統具有資源覆蓋范圍廣、學科與技術種類豐富、數字資源量大等特點,能夠為廣大的高校教師與學生提供全面的學術研究信息服務。然而同時高校圖書館也將面臨著網絡安全的問題。圖書館資源網絡化是將圖書館資源面向更加廣泛的受眾用戶群,而網絡中存在著木馬、病毒、黑客等安全隱患,同時環境因素、認為因素等也威脅著高校圖書館網絡的安全,因此,在高校圖書館網絡安全建設上采用完善的安全防護設計和制定相應的安全防護制度對于高校圖書館網絡安全都具有非常重要的意義。
1 高校圖書館網絡面臨的安全威脅
1.1 運行環境安全威脅
計算機與聯網設備屬于高精度電子設備,其運行環境對于溫度、濕度、供電穩定性、電磁干擾等具有一定的要求,而在這方面大多數高校圖書館并沒有在機房建設時充分考慮到這些方面的因素,因此,對圖書館服務器、計算機設備的穩定性和安全性帶來一定的隱患。同時,數字圖書館的建設要考慮到一些自然環境因素對圖書館網絡安全的影響,譬如:雷電、火災、地震、腐蝕性物質等,對于圖書館的網絡安全都具有一定的威脅性。
1.2 硬件環境安全威脅
高校圖書館擁有強大的服務器和交換機,能夠為近千臺終端計算機提供服務,圖書館服務器的穩定是圖書館網絡應用的關鍵。由于目前所使用的操作系統,無論是Windows、Linux還是UNIX都存在一定的系統漏洞,因此,在網絡攻擊上,對于圖書館服務器的攻擊形式非常的多,譬如:DOS攻擊、ARP入侵、SQL注入、木馬植入等。此外,為了更好的服務于高校師生,大多數高校圖書館網絡TCP/IP協議采用的是系統默認設置,方便多用戶接入,但是這給圖書館服務器安全帶來了較大的威脅。
1.3 軟件環境安全威脅
數字圖書館的建設需要大量的軟件應用,而目前很多病毒都集成在應用軟件中,用戶下載軟件、安裝軟件過程中容易攜帶對圖書館服務器造成破壞的惡意程序,尤其是當圖書館與互聯網相接入后,各種具有隱藏性、觸發性、植入性、寄生性的病毒隱藏在互聯網應用中,而高校圖書館網絡互連很容易相互傳染,最終導致整體癱瘓。
1.4 網絡系統安全威脅
高校圖書館網絡與互聯網連接,給黑客攻擊創造了條件,他們利用網路漏洞掃描、嗅探、欺騙、后門、口令破譯等手段直接進入高校網絡圖書館后臺服務器管理系統中,刪除重要文獻資料、篡改信息、盜用資源等,給高校數字圖書館造成了嚴重的威脅。
2 高校圖書館網絡安全建設的設計與實現
2.1 高校圖書館網絡安全運行環境設計與實現
高校圖書館系統運行的安全是數字圖書館建設的首要環節,在建設運行環境方面要對圖書館服務器主機房的選址和環境布置進行科學的規劃,并采用多種安全防護系統加以保護,譬如:建設穩定的供電系統、防火系統、通風系統和安保系統。
高校數字圖書館用電量大,對電壓的穩定性要求高,因此,在供電系統設計上要采用具有功率大、耐用時間長、防雷電等性能的雙機并聯UPS系統。
高校圖書館服務器機房防火系統建設可以采用針對計算機等大用電量的電子設備專用滅火系統,譬如:采用七氟丙烷氣體自動滅火系統,具有較好的清潔、絕緣、高效能等特點,同時該系統要具備自動火災探測預警系統和火災環境超標自動滅火機制。
高校圖書館主機房由于設備散熱量較大,應配備24小時運轉的機房專用空調,機房專用空調具有上送、下回送風功能,能夠保證高校圖書館主機房各個方向的溫度均衡。同時,機房專用空調具有溫度自動探測功能和溫度超標預警功能,條件允許的狀況下,可配置雙空調系統,為出現故障時可備用。
由于高校圖書館主機房設備具有很高的價值,因此,對于防盜監控應專門設計安保系統。安保系統應具備機房各個角落全方位監控功能,并具備紅外預警裝置,當發生偷盜設備時,可及時發出警告,并通過校園網直接連入校園保安室。在管理上可采用專人專管,設置門禁系統。
2.2 高校圖書館網絡安全硬件系統設計與實現
高校圖書館硬件配置要首先具備雙機熱備系統,可確保圖書館服務器安全運轉。其次,要具備數字圖書館資源獨立存儲系統和獨立應用系統,圖書資源存放在存儲系統中,不附加應用軟件,降低被惡意攻擊的威脅,應用系統在調用存儲系統中資源時需要提供正確的密鑰,確保資源調出安全。第三,數字圖書館與校園網絡相連接要建立安全防護機制,譬如建立防火墻等。第四,硬件選擇要具備國家認可的相關合格證明,同時設備要具備后續改造升級的能力,設備接口采用標準化接入,具有良好的兼容性,以降低升級改造費用。
2.3 高校圖書館網絡安全軟件系統設計與實現
高校圖書館網絡安全軟件系統包括系統軟件和應用軟件。在系統軟件設計上采用穩定性、安全性高的操作系統,通常在UNIX系統環境下的操作系統抗威脅能力較Windows和Linux更強,尤其是UNIX所衍生出的針對于圖書館應用的操作系統,如:AIX、Solaris等。在操作系統安裝過程中,選擇自定義安裝,根據需要設置較為安全的權限管理,同時為操作系統安裝最新的安全補丁、殺毒軟件、防火墻等。停止使用Guest用戶登陸,設計較為復雜的管理員用戶名及密碼,將IIS訪問權限設為高級。
在應用軟件應用上,在應用系統中安裝正版的應用軟件,并根據用戶級別設置數據庫的訪問權限,加強應用軟件安裝的安全檢測能力,如檢測到用戶安裝的應用軟件攜帶病毒或者木馬則強行停止安裝。
2.4 高校圖書館網絡安全網絡系統設計與實現
目前,高校圖書館面向社會化開放,這就導致來自互聯網的威脅給高校圖書館網絡安全性面臨著嚴峻的考驗。高校圖書館與外部網絡連接需要通過高端的防火墻和完善的用戶認證,阻止外部用戶直接訪問高校圖書館數據庫,并且對外隱藏IP、網關等信息。在高校圖書館內部網絡建設上要建立獨立的局域網絡,采用VLAN技術對不同圖書館資源利用區域進行劃分管理,設置自動軟件升級、防火墻升級和定期殺毒。
3 高校圖書館網絡安全防護對策
建設高校圖書館網絡安全防護體系,需要對高校圖書館網絡構建成為多層次、多方面監管的安全防護網絡,在安全防護對策上應遵循以下幾方面原則,確保高校圖書館網絡安全運轉。
3.1 安全防護的全面性
在構建高校圖書館網絡安全體系時,要從軟、硬件、環境等方面進行物理性安全防護,還要不斷的提高安全技術能力和監管力度,確保圖書館機房的安全運轉。同時,要做好突發問題應急處理機制,當出現故障時能夠將損失降到最低。
3.2 安全防護的最小權限性
構建高校圖書館網絡安全等級權限分類,以可提供最少服務權限為原則,建立最大安全防護措施,權限等級要分明,嚴格執行權限管理制度。將數據庫系統與應用系統區分管理,數據庫管理權限設置管理人數越少越好,盡量避免用戶瀏覽非圖書館允許類網站,將惡意網站登記到應用數據庫中,禁止訪問。
3.3 安全防護的集中管理性
高校圖書館網絡安全集中管理是將多種安全防護措施進行統一管理,由專業的網絡安全管理專家進行監控。在管理上不僅要從技術上進行研究,而且需要在制度上進行嚴格管理,譬如:建立安全責任制度、日常維護制度、數字圖書館應用制度、資料備份制度、保密制度等。對于各項制度的落實要進行統一集中的管理,方便制度的執行與落實。
3.4安全防護的長期性
網絡環境更新速度快,惡意攻擊、病毒類型等不斷演變,新型的攻擊手段和木馬病毒不斷涌現,這就要求高校圖書館網絡安全建設要具有可升級、可擴建能力,不僅要及時更近防火墻、殺毒軟件,在硬件設備上要具備可擴展性,能夠提高硬件安全,建立長期的安全防護機制,做到實時監管、實時控制。
4 結束語
高校圖書館是高校文化與技術資源聚集融匯的地方,在面對數字化圖書館的需求方面,高校圖書館不僅要建立豐富的資源網絡,而且要確保高校數字圖書館的應用安全。在高校圖書館網絡安全建設上,環境、設備、軟件、管理要統一目標,科學建設、加強監管,利用先進的網絡安全技術和完善的管理制度實現高校圖書館數字化安全運轉。
參考文獻:
[1]馬敏,劉芳蘭,寧嬌麗.高校數字圖書館網絡安全風險分析與策略[J].中國安全科學學報,2010(04):130-135.
[2]高琦.數字圖書館網絡信息安全分析及對策研究[J].圖書館學刊,2012(06):132-133.
[3]王元.高校數字圖書館信息安全保障研究[J].圖書情報工作(增刊),2010(02):327-331.
[4]顏昌茂,周吟劍,.高校圖書館網絡安全系統的構建[J].情報探索,2014(01)108-111.
[5]金文新,高校圖書館計算機網絡系統安全策略的設計與實現[J].圖書館論壇,2009(06)80-83.
關鍵詞:計算機;局域網;安全建設
計算機局域網平臺為人們提供了信息化、電子化的工作模式,局域網已經逐步被人們所利用。由于局域網自身開放、廣泛的特點,提升了局域網應用的安全隱患。所以建設安全的局域網絡,降低風險影響,是維護局域網管理的關鍵所在。
1 計算機局域網絡的理念及意義
所謂的計算機局域網絡就是指在一定空間范疇內,將多個計算機集成互聯的網絡系統。局域網的區域界定較為自由廣泛,可以是單獨的辦公室或者建筑物,還可以是社區或者學校。由于不同地方的不同設備,計算機局域網絡系統高達數千米范圍。計算機局域網的出現,可以實現各項工作日程的高效統一以及數據文件的良好同步共享等。
2 計算機局域網存在的安全隱患
2.1 局域網用戶缺乏安全意識
局域網用戶對局域網安全意識的缺乏是局域網網絡安全的脆弱環節之一,主要體現在以下幾方面:1.用戶對自己賬號的管理不夠謹慎,隨意轉借他人或與他人共享,或者是選擇簡單易被破解的用戶密碼等,這些無意識的行為就給局域網造成了安全隱患。2.在使用移動硬盤時,給局域網帶進了病毒,嚴重時會造成網絡癱瘓。
2.2 各種病毒的入侵
在現代社會,計算機頻繁受到病毒、木馬的侵害,加上使用不當,如果不及時安裝殺毒軟件或者更新病毒庫,使計算機感染病毒。在計算機局域網內,數據不斷的傳遞,病毒就經一臺電腦傳到另一個電腦,這樣如此反復的傳播,局域網中的凡是接收服務器發出信息的電腦,都有可能受到病毒的感染。雖說這些服務器都有防火墻在出口處阻擋病毒,但是抵擋不了局域網內部的病毒入侵。這種內部的病毒入侵分為兩種,一種是主動入侵,它們通過局域網中出現的各種漏洞,有選擇性的來破壞信息的完整性。另一種就是被動入侵,通過截獲、破譯或者竊取信息來入侵局域網,但并不影響網絡的正常運行。
2.3 制造惡意軟件來破壞數據的安全性
所謂的惡意軟件就是指未經用戶同意或者沒有明確提示而在電腦上運行的軟件。經常會有人通過這些軟件對局域網內部的服務器和用戶電腦進行掃描和攻擊,導致局域網無法正常工作,會造成信息的泄露。
3 計算機局域網的安全建設方法
3.1 完善計算機局域網的安全管理制度
加強用戶賬號的安全管理,管理員可以通過對入網權限、屬性安全、局域網服務器安全等方面的控制,對用戶使用局域網的行為進行規范。
3.2 利用局域網服務器的防火墻技術
防火墻不僅可以阻止外部網絡的入侵,也可以在局域網內部的各分支網絡使用防火墻,可以限制外部網絡入侵造成的損失,保護局域網的安全。
3.3 利用入侵檢測系統
在防火墻的基礎上,設置強大而完整的入侵檢測系統可以彌補防火墻產生的漏洞。入侵檢測系統通過識別不希望產生的活動對這些活動進行限制,從而建立安全的網絡服務系統。
3.4 防毒殺毒軟件的安裝
局域網的每臺計算機必須安裝防毒殺毒軟件,可以對外來的病毒以及錯誤信息進行監控并查殺病毒,并且要對軟件隨時升級,定期更新病毒庫。
3.5 謹慎選擇安裝的軟件
隨著計算機局域網的快速發展,市面上出現大量各式各樣的軟件,例如聊天工具、游戲軟件以及各種的殺毒軟件等,在使用一些軟件時一定要謹慎,也許這些軟件會存在一個危險的后臺,會入侵你的網絡,帶來一些病毒,所以在使用安裝時一定要謹慎地選擇,確保網絡的安全。
3.6 給局域網進行加密
給局域網加密是指通過對網絡數據信息進行加密設置來對網絡進行實時保護。具體的加密方法分為三類:不可逆加密、對稱性加密以及不對稱加密。加密技術是通過多種樣式的加密算法來達成的,按照接受信息雙方信息是否相同來劃分,分為常規密碼算法和公鑰密碼算法。所謂的常規密碼算法是指信息接受雙方密碼是相同的,有解密密碼和加密密碼。常規加密保密性很強,能經受住時間的考驗,但密碼的傳遞必須是利用安全的途徑傳遞的。所謂的公鑰密碼是指傳遞信息方與接受信息方使用的密碼不同,并且不能利用加密密碼來獲得解密密碼。這種方法可以滿足局域網的開放性要求,且容易管理。
4 總結
局域網的安全建設是勢在必行的事情,通過加強局域網用戶的安全意識,通過各種安全建設手段來實現局域網的安全建設。網絡安全并不是依靠一種安全技術就能保障整套系統的安全,所以需要不斷開發安全可靠的技術來對局域網整個系統來進行保護,才能使局域網一直處于安全的環境中。
[參考文獻]
[1蘇佳,郝巖君,劉文瑾.淺談計算機局域網網絡的安全建設[J].計算機光盤軟件與應用,2010(13).
檢察機關信息網絡安全自主可控的策略分析
(一)完善檢察機關信息網絡安全自主可控的規范化。檢察機關的信息技術具有保密的特點,檢察信息化管理中許多管理都應在安全有序的狀態下進行信息網絡安全自主可控的運作。應將信息網絡安全的的自主化管理模式納入到整個管理的格局之中,如果不及時的使用自主化管理模式,就會使總體的檢察機關信息網絡在運行時出現緊張的局面,必將會導致檢察機關總體管理工作的堵塞。
當網絡信息化技術發展到一定階段的時候,就會暴露出許多信息網絡安全管理的問題。與此同時,與其相互配合使用的許多信息管理軟件也會出現相應的操作上的問題。建立檢察信息網絡安全自主保障系統是解決問題的最有效的方法,它使原本由靜態的管理模式向動態的信息安全管理模式轉變。由此可見,完善的檢察信息網絡安全自主保障系統通過規范信息安全管理機制,改進檢察信息網絡安全自主保障系統,促進了隊伍更好地建設與發展。
而且對信息網絡安全自主可控機制的健康運行起到了很好的促進作用,使檢察機關信息網絡安全自主可控的管理機制能夠快速的、科學的發展。為加強制度的管理和落實,有必要完善檢察機關信息系統運行的操作規范,并且定期的總結規章制度的執行落實情況,及時發現漏洞并進行整改。還有必要規范電子論壇、掛網內容等的制度,既鼓勵了干警學習網絡安全知識,又提升了檢察機關的整體素質,還保證了檢察機關信息網絡運行的暢通和安全。
網絡信息化建設的基礎性工作是檢察機關網絡信息技術的開發,而最關鍵的則是對網絡信息的具體運行和安全管理。檢察機關網絡信息化建設中存在著很多的問題,對網絡信息安全自主可控機制多少都會有一些影響。對此,規范網絡信息管理是非常有必要的,檢察機關對于各類案件、各種工作以及信息安排都必須在網絡信息系統上進行傳達,使各個部門都能準時、安全的接受。
(二)完善檢察機關信息網絡安全自主可控的科學化。檢察工作的開展與檢察機關掌握信息量的多少、優劣和信息技術程度的高低有著直接的關系。隨著信息時代的快速發展,大部分的干警對信息化了解越來越少,連最基本的打字、上網都不精通就別說利用信息技術了。這些問題嚴重的阻礙了信息網絡安全建設的步伐。
要想建立新型的工作機制,必須先從思想觀念開始更新,將現代化的信息管理理論融入到檢察工作之中。必須大力引進精通網絡知識的技術型人才,以促進檢察干警更新觀念,主動學習鉆研。如過有必要可以實行全員培訓。例如:在各科室開設小的學習環境,發揮本部門骨干的作用,邊做邊學;或者是在全體部門開設學習環境,定期的邀請專業技術人員來講解在操作過程中所遇到的疑難問題。在此基礎上,還要組織本院的技術骨干走出去,才能引進來更好的創新觀念。
在檢察機關干警信息網絡安全自主可控的工作能力不斷提高的基礎上,檢察機關還必須加大完善基礎設施的建設,才能更好地適應信息網絡安全工作快速發展的需要。檢察機關對信息網絡安全的技術投入不能松懈,而且為了滿足檢察機關自主可控的需求,還應對信息網絡安全保障的各項設備進行改造與升級。只有配置先進的局域網設備,才能有效的防止非法技術的入侵。應用了高標準的信息系統以后,使新型的信息管理模式的安全含量更高、更強。
(三)完善檢察機關信息網絡安全自主可控的高效化。為保證檢察工作能夠高效的發展,就必須不斷的更新辦案系統以及信息安全建設。提高信息安全監督,變結果監督為過程監督,變靜態監督為動態監督。為有效地預防辦案人員在辦案過程中不規范的使用信息網絡,可以通過局域網進行信息安全自動監督。辦公行政管理部門可以在內網上公開信息網絡安全督察事項,并對落實、執行不徹底的個人或部門給予相應的告誡或處罰,這樣既提高了信息的質量與安全系數,又使檢察機關信息網絡安全內部監督機制向著良性的方向發展。為了確保檢察業務信息的安全,必須研發新的辦案軟件,使局域網內部也實現聯網辦公。
與此同時,還要對偵查指揮、訊問監控系統進行開發和升級,以防止秘密的泄露。還應該實現對舉報自動受理,探索出一條新的、快速的、安全的、保密的舉報受理系統,防止舉報信息被外部的非法網絡技術入侵、竊取。
關鍵詞:檢察機關;信息網絡安全;完善措施
中圖分類號:TP309.2 文獻標識碼:A 文章編號:1674-7712 (2012) 10-0127-01
檢察機關的信息化建設于2000年,發展至今,經歷了一系列的發展與改變才初步的形成了較為系統的信息一體化網絡。但是隨著檢察機關信息網絡化建設步伐的日益加快,信息網絡安全越來越被人們所重視,檢察機關信息網絡安全自主可控的管理模式也就應運而生。
一、檢察機關信息網絡安全存在哪些問題
(一)病毒的入侵與黑客的攻擊。網絡的普及使病毒肆意的入侵,嚴重影響和破壞了檢察機關信息網絡的安全。到目前為止,全球發現的病毒數目數以萬計,并且還在迅速的增長著,可見網絡每時每刻都要受到病毒不同程度的沖擊。相對于網絡而言,在網絡系統中黑客的攻擊更是讓人防不勝防。并且還有大量的黑客網站專門提供技術資料、攻擊方法以及攻擊軟件等,使網絡立法十分匱乏的信息網絡不斷地遭到黑客隱蔽性的強烈攻擊。
(二)網絡軟件與硬件方面的缺陷。檢察信息網絡是依照各各不同的檢察機關構成的一個個的局域網。從軟件上來說,由于網絡本身就缺少安全機制,使其它在此基礎上存在的網絡相應的安全也得不到安全保障。
(三)網絡管理與制度的欠缺。嚴格的管理與完善的制度是檢察機關信息系統安全的最主要手段。但目前的各級檢察機關信息網絡系統的管理制度并不健全,標準也不夠嚴格,對網絡管理缺少領導機制和重視程度,仍然采用比較粗獷的管理模式,以及網絡管理缺少程序性規則,而且制度也不夠完善,許多方面都存在著缺陷和執行上的不嚴格不徹底。因此,對于網絡管理人員來說責任感還有待加強。
(四)使用人員的不良習慣與非法操作。現在的檢察機關工作人員對于網絡的操作水平比較低,而且在網絡使用者中大量的存在著操作不規范以及軟件的盲目使用。使得信息網絡安全得不到最初的保障。
二、檢察機關信息網絡安全自主可控的策略分析
(一)完善檢察機關信息網絡安全自主可控的規范化。檢察機關的信息技術具有保密的特點,檢察信息化管理中許多管理都應在安全有序的狀態下進行信息網絡安全自主可控的運作。應將信息網絡安全的的自主化管理模式納入到整個管理的格局之中,如果不及時的使用自主化管理模式,就會使總體的檢察機關信息網絡在運行時出現緊張的局面,必將會導致檢察機關總體管理工作的堵塞。當網絡信息化技術發展到一定階段的時候,就會暴露出許多信息網絡安全管理的問題。與此同時,與其相互配合使用的許多信息管理軟件也會出現相應的操作上的問題。建立檢察信息網絡安全自主保障系統是解決問題的最有效的方法,它使原本由靜態的管理模式向動態的信息安全管理模式轉變。由此可見,完善的檢察信息網絡安全自主保障系統通過規范信息安全管理機制,改進檢察信息網絡安全自主保障系統,促進了隊伍更好地建設與發展。而且對信息網絡安全自主可控機制的健康運行起到了很好的促進作用,使檢察機關信息網絡安全自主可控的管理機制能夠快速的、科學的發展。為加強制度的管理和落實,有必要完善檢察機關信息系統運行的操作規范,并且定期的總結規章制度的執行落實情況,及時發現漏洞并進行整改。還有必要規范電子論壇、掛網內容等的制度,既鼓勵了干警學習網絡安全知識,又提升了檢察機關的整體素質,還保證了檢察機關信息網絡運行的暢通和安全。網絡信息化建設的基礎性工作是檢察機關網絡信息技術的開發,而最關鍵的則是對網絡信息的具體運行和安全管理。檢察機關網絡信息化建設中存在著很多的問題,對網絡信息安全自主可控機制多少都會有一些影響。對此,規范網絡信息管理是非常有必要的,檢察機關對于各類案件、各種工作以及信息安排都必須在網絡信息系統上進行傳達,使各個部門都能準時、安全的接受。
(二)完善檢察機關信息網絡安全自主可控的科學化。檢察工作的開展與檢察機關掌握信息量的多少、優劣和信息技術程度的高低有著直接的關系。隨著信息時代的快速發展,大部分的干警對信息化了解越來越少,連最基本的打字、上網都不精通就別說利用信息技術了。這些問題嚴重的阻礙了信息網絡安全建設的步伐。要想建立新型的工作機制,必須先從思想觀念開始更新,將現代化的信息管理理論融入到檢察工作之中。必須大力引進精通網絡知識的技術型人才,以促進檢察干警更新觀念,主動學習鉆研。如過有必要可以實行全員培訓。例如:在各科室開設小的學習環境,發揮本部門骨干的作用,邊做邊學;或者是在全體部門開設學習環境,定期的邀請專業技術人員來講解在操作過程中所遇到的疑難問題。在此基礎上,還要組織本院的技術骨干走出去,才能引進來更好的創新觀念。在檢察機關干警信息網絡安全自主可控的工作能力不斷提高的基礎上,檢察機關還必須加大完善基礎設施的建設,才能更好地適應信息網絡安全工作快速發展的需要。檢察機關對信息網絡安全的技術投入不能松懈,而且為了滿足檢察機關自主可控的需求,還應對信息網絡安全保障的各項設備進行改造與升級。只有配置先進的局域網設備,才能有效的防止非法技術的入侵。應用了高標準的信息系統以后,使新型的信息管理模式的安全含量更高、更強。
(三)完善檢察機關信息網絡安全自主可控的高效化。為保證檢察工作能夠高效的發展,就必須不斷的更新辦案系統以及信息安全建設。提高信息安全監督,變結果監督為過程監督,變靜態監督為動態監督。為有效地預防辦案人員在辦案過程中不規范的使用信息網絡,可以通過局域網進行信息安全自動監督。辦公行政管理部門可以在內網上公開信息網絡安全督察事項,并對落實、執行不徹底的個人或部門給予相應的告誡或處罰,這樣既提高了信息的質量與安全系數,又使檢察機關信息網絡安全內部監督機制向著良性的方向發展。為了確保檢察業務信息的安全,必須研發新的辦案軟件,使局域網內部也實現聯網辦公。與此同時,還要對偵查指揮、訊問監控系統進行開發和升級,以防止秘密的泄露。還應該實現對舉報自動受理,探索出一條新的、快速的、安全的、保密的舉報受理系統,防止舉報信息被外部的非法網絡技術入侵、竊取。
三、總結:
信息網絡的安全建設關系到了檢察機關的未來走勢,面對飛速發展的科學技術,只有不斷地完善檢察機關信息網絡安全自主可控的規范化、科學化和高效化,才能使檢察事業在新形勢下更快的朝著目標邁進。
參考文獻:
當前,企業信息安全尚在起步階段,發展不夠成熟健全,還有更多需要解決的問題。隨著網絡技術的發展,經濟信息量的大幅度上漲,處理信息必須依靠計算機才能完成,但計算機存在一定的弱點,例如計算機病毒、人員素質低下、黑客入侵等因素,以及移動4G、WIFI互聯等多邊界企業網絡環境下,由于內外部網絡是直接連接,其互通性和網絡訪問無限制性易形成黑客或惡意份子入侵的切入口,若是沒有設置任何的網絡邊界安全機制,將造成企業信息受到潛在的安全威脅。企業要想持續發展,信息安全是基本保障。企業信息化程度越高,企業數據也就越安全。企業發展的基礎即信息安全,企業管理者要正確認識信息安全工作的長期性和緊迫性。從保護企業利益,促進經濟發展,保證企業穩定與安全的角度來看,只有做好基礎性工作和設施建設,建立信息安全保障,以及建設安全健康的網絡環境,才能有助于信息化安全建設。其實不管科技如何發達,技術如何高超,都是人類智慧的結晶體,所以信息安全已無法離開人類。不少企業信息被泄露,多是人為因素導致,員工濫用企業信息將會給企業帶來極大的損失。
2企業信息化安全建設
當今社會已經步入信息知識經濟時代,信息對企業良性長久的發展尤為關鍵,但目前企業信息系統安全問題無疑是企業發展階段所面臨的重點難點。所謂的企業信息安全就是對企業信息資產采取保護措施,使其不受惡意或偶然侵犯而被破壞、篡改及泄露,確保信息系統可靠正常并連續的運行,最小化安全事件對業務的影響,實現業務運行的連續性。因此筆者認為以下幾方面是關鍵。
2.1做好網絡保護
其實要保證外網安全需要企業加大硬件設備的投入,信息安全產品在網絡經濟發展下正面臨著新的挑戰,傳統防火墻、信息加密、防病毒等已無法有效的抵御外部入侵;同時由于內部操作不當,導致內網感染病毒造成信息泄露的現狀也是信息安全的焦點問題。針對以上情況,建立事前有效防御,事后追究機制是企業信息化安全建設的當務之急。根據現代企業的特點,筆者認為從下面這幾點入手,有助于保護網絡的安全:
(1)身份認證技術。
企業內網操作時,可采用身份認證技術,借助PKI、PKM等工具,控制網絡應用程序的訪問,以及進行身份認證,實現有效資源合法應用和訪問的目的。
(2)審計跟蹤技術。
通過審計跟蹤技術監控和審計網絡,控制外設備如MSN、QQ、端口、打印、光驅、軟驅等,從而實現禁止使用指定程序,并促進員工操作行為及日志審計規范的目的。
(3)企業還應組建自身網絡拓撲結構。
利用嚴格密鑰機制和加密算法,有機的結合加密、認證、授權、審計等功能,保護最底層不同密集評定和授權方式的核心數據,而非限制應用網絡和控制網絡,進而真正實現合理保護,確保企業信息數據資源的安全。
2.2安全邊界的界定和管理
安全邊界的界定通過分析現有網絡邊界安全的需求,筆者認為有幾方面:首先,內部網段。即企業網內網,是防火墻的重點保護對象,安全級別和授信級別更高,主要承載對象是企業所有人員的計算機。其次,外部網段。即邊界路由器以外的網絡,比如移動4G、WIFI互聯等多邊界網絡,安全級別和授信級別最低,是企業信息數據泄露最大的安全隱患,需要嚴格禁止或控制。最后,DMZ網段。即對外服務器,安全級別和授信級別介于內外網絡之間,其資源運行外部網絡訪問。
(1)由于外部用戶訪問DMZ區域中服務器的方式較為特殊,在系統默認情況下是不被允許的。
可實際應用中是需要外部用戶對其進行訪問,所以防火墻上必須增加相應允許外部用戶訪問DMZ區域的訪問控制列表,通過對列表的控制允許用戶行為,并對進行很好的監控管理,保證企業信息的安全性。
(2)內部用戶對外部網絡以及DMZ區域中服務器的訪問。
按照ASA自適應安全算法,在系統默認情況下是允許高安全等級接口流向低安全等級接口流量的,外部網絡安全級別遠沒企業內部網絡安全級別高,所以在默認情況下這種訪問方式是被允許的,不過實際應用過程中,需要限制對外訪問流量。
(3)外部用戶對內部網絡的訪問。
在系統默認情況下這種情況是不被允許的,是對外部用戶非法訪問的有效抵御,能有效的保證企業信息的安全,促進企業信息化的安全建設。
2.3強化系統管理
由于任何安全軟件都有被攻擊或破解的可能性,單純依靠軟件技術來保障企業信息安全是不現實的,只有強化企業內部信息系統的管理才行之有效。所以,企業內部信息管理體制要完善,盡可能促進管理系統規范性和可靠性的提高,才能為企業內部信息的安全提供更高保障。同時,要進行安全風險評估工作。因為各個信息系統使用的都是不同的技術手段和組成方式,其自身優勢及安全漏洞也具有較大的差異,由此在選擇企業所需的信息系統時,一定要先做各個系統的安全風險評估工作,信息安全系統的選擇要針對企業自身特點,降低信息安全問題出現的概率。最后,就是加強系統管理。在實際生活中信息竊取和系統攻擊大多是在網絡上完成的,企業必須要強化網絡管理工作,以便促進企業的運行更安全政策。
2.4加強企業信息安全管理團隊建設
當前,企業信息安全體系的建設中已完全滲透“七分管理,三分技術”的意識,強化企業員工信息安全知識培訓,制定完善合理的信息安全管理制度,是企業信息安全建設順利實施的關鍵保障。企業信息安全建設時要另立專門管理信息安全的部門,負責企業內部的信息安全防護工作,加強對企業內部計算機網絡系統的維護及常規檢查。企業信息安全管理團隊的職責主要包括:工作人員安全操作規范、工作人員守則以及管理制度的制定,再交由上級主管部門審批后監督制度規范的執行;定期組織安全運行和信息網絡建設的檢查監測,掌握公司全面的第一手安全資料,根據資料研究相關的安全對策和措施;負責常規的信息網絡安全管理維護工作;定期制訂安全工作總結,且要接受國家相關信息安全職能部門對信息安全的工作指導。
2.5入侵檢測系統(IDS)與入侵防護系統(IPS)
IDS即入侵檢測系統能夠彌補防火墻的缺陷,能實時的提供給網絡安全入侵檢測,并采取一定的防護手段保護網絡。良好的入侵檢測系統不但可有助于系統管理員隨時了解網絡系統的變更,還能提高可靠的網絡安全策略制訂依據。因此,入侵檢測系統的管理應配置簡單,隨時根據系統構造、網絡規模、安全需求改變。IDS必須布置在能夠監控局域網和Internet之間所有流量的地方,才能第一時間檢測到入侵時,做出及時的響應,比如記錄時間、切斷網絡連接等。
3總結
5月9日,國務院召開常務會議,研究部署推進信息化發展、保障信息安全工作。健全安全防護和管理和加快安全能力建設成為本次國務院會議頒布的《關于大力推進信息化發展和切實保障信息安全的若干意見》(下稱《意見》)的工作重點。
《意見》強調,要健全重要信息系統和基礎信息網絡要與安全防護設施同步規劃、同步建設、同步運行,強化技術防范,嚴格安全管理,切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力;加強地理、人口、法人、統計等基礎信息資源的保護和管理,強化企業、機構在網絡經濟活動中保護用戶數據和國家基礎數據的責任;完善網絡與信息安全基礎設施,加強信息安全應急等基礎性工作,提高風險隱患發現、監測預警和突發事件處置能力;加大信息安全技術研發力度,支持信息安全產業
發展。
英國政府高度重視信息安全,在近三年之內連續兩次出臺了國家網絡安全戰略,2011年11月25日的《英國網絡安全戰略》對英國信息安全建設做出了戰略部署和具體安排,英國推進信息安全建設的做法對我國有哪些借鑒意義?
英式樣本
《英國網絡安全戰略》全文共43頁,文件正文由“網絡空間驅動經濟增長和增強社會穩定”、“變化中的威脅”、“網絡安全2015年愿景”和“行動方案”四個部分組成,介紹了戰略的背景和動機,并提出了未來四年的戰略計劃以及切實的行動方案。該戰略繼承了2009年英國的網絡安全戰略,并繼續在高度重視網絡安全基礎上進一步提出了切實可行的計劃和方案。
《英國網絡安全戰略》的一個總體愿景是在包括自由、公平、透明和法治等核心價值觀基礎上,構建一個充滿活力和恢復力的安全網絡空間,并以此來促成經濟大規模增長以及產生社會價值,通過切實行動促進經濟繁榮、國家安全以及社會穩定。
在此愿景下,其設立的四個戰略目標分別為應對網絡犯罪,使英國成為世界上商業環境最安全的網絡空間之一;使英國面對網絡攻擊的恢復力更強,并保護其在網絡空間中的利益;幫助塑造一個可供英國大眾安全使用的、開放的、穩定的、充滿活力的網絡空間,并進一步支撐社會開放;構建英國跨層面的知識和技能體系,以便對所有的網絡安全目標提供基礎支持。
為實現上述目標,英國政府配套出臺了三個行動原則。第一是風險驅動的原則:針對網絡安全的脆弱性和不確定性,在充分考慮風險的基礎上建立響應機制。第二是廣泛合作的原則:在國內加強政府與私營部門以及個人的合作,在國際上加強與其他國家和組織的合作。第三是平衡安全與自由私密的原則:在加強網絡安全的同時充分考慮公民隱私權、自由權和其它基礎自由權利。
與此同時,《英國網絡安全戰略》還規定了個人、私營機構和政府的規范和責任。它要求個人在網絡空間應做到基本的自我保護,懂得基本的安全操作知識,也要為各自在網絡空間中的行為承擔責任;私營機構在網絡空間不僅要做到主動的安全防御,還要與政府機構和執法機關等互相合作來面對挑戰,另外還要抓住網絡安全產業發展帶來的機遇;政府在網絡空間要在降低政府系統本身風險的同時,發揮其在網絡安全構建方面的主導作用。
在具體實施細則方面,《英國網絡安全戰略》配套制定了八個行動方案支撐點,分別是:
明確戰略資金在各機構的分配方式。該戰略明確了未來四年中投入的6.5億英鎊的分配方式,以確保英國以一種更積極的方法來應對網絡威脅。在英國國家通信總局的支持下,一半左右的資金將被用于加強英國檢測和對抗網絡攻擊的核心功能。
加強網絡安全國際合作。英國將積極與其他國家和國際組織展開合作,以共同開發網絡空間行為的國際規范或“交通規則”。
降低政府系統和關鍵基礎設施的風險。英國將結合本國國情,與掌控關鍵基礎設施的私營機構展開合作,開發嚴格的網絡安全標準,推動建設威脅信息共享的“網絡交換機”。
建立網絡安全專業人才隊伍。英國將采取認證培訓、學科教育、資金支持以及繼續舉行網絡安全挑戰賽等方式建立核心專業人才隊伍,并鼓勵有“道德感的”黑客參與進來。
構建網絡犯罪法律體系。英國將在鼓勵舉報網絡犯罪的同時,針對網絡犯罪行為構建強力的法律框架,以支持執法機構應對網絡犯罪。英國還將致力于建立應對跨國網絡犯罪的合作機制,以杜絕“避風港”的存在。
提高公眾網絡安全意識。英國將運用媒體宣傳來幫助大眾了解和應對網絡威脅,普及不同層次的網絡安全教育,與互聯網提供商合作以幫助個人確認是否受到網絡侵害,將為所有人提供明確的網絡安全建議。
增強商業網絡安全功能。英國認為商業領域是網絡空間犯罪和經濟間諜活動的最大受害者,政府應與消費者和私營結構一起增強商業網絡安全功能,包括建立信息共享的網絡“交換機”、制定相關標準以及重點確保在線消費安全等。
培育網絡安全商業機會。英國將在國家通信總局等部門的技術支持下,化威脅為機遇,在網絡空間中樹立網絡安全競爭優勢,以促進經濟增長,最終將之轉化為英國的競爭力優勢之一。
戰略背后
無疑,《英國網絡安全戰略》旨在提升網絡安全產業國際競爭力,確保英國擁有一個安全的網絡環境。《英國網絡安全戰略》中不止一次提到要確保英國在網絡安全產業處于國際領先地位。
與美國的《網絡空間國際戰略》相比,英國政府并不謀求網絡空間的主導地位,而是將注意力集中在維護本國網絡安全、加強本國網絡安全產業競爭力、創造網絡安全商業機遇等方面。作為該戰略核心的“英國2015年愿景”中,在短短的60余字中分別兩次提到“促進經濟大規模增長”和“促進經濟繁榮”,充分表明英國政府通過網絡安全促進經濟發展的
決心。
當前包括英國在內的歐洲依然處于金融危機導致的困境,例如經濟發展低迷、政府赤字居高不下、失業率持續增加等。英國政府敏銳的意識到了網絡安全行業帶來的經濟機遇,不惜斥資6.5億英鎊改善網絡安全環境,增加網絡安全競爭力,以搶占網絡安全行業市場,確保其“先行者優勢”。
此外,戰略中明確提出了要建立相應的法律體系和執法隊伍,利用英國先進的相關技術支持網絡安全部門的發展,健全網絡安全國家響應機制,提高在線公共服務水平,分享網絡安全信息,以及杜絕網絡犯罪國際“避風港”等。這些措施的目的是確保英國擁有安全的網絡環境,并在網絡安全領域處于優勢地位。
我們注意到,《英國網絡安全戰略》細化了戰略實施方案,強調多方合作機制。英國推進信息安全建設非常注重戰略等文件的可操作性,如其更加強調戰略的實施細節,并在附錄中詳細闡述了針對四個戰略目標的具體實施方案。戰略實施方案分別從政策導向、執法體系、機構合作、技術培訓、人才培養、市場培育以及國際合作等各方面提出了實施細則,具有很強的可操作性。
針對網絡空間結構的復雜性,英國政府認識到網絡安全需要網絡空間構成各方的廣泛參與,該戰略從多維度提出建設多方合作機制,包括在英國國內增強政府與私營機構、政府與個人、私營機構與個人之間的合作,以確保三方在構建安全網絡空間發揮各自的角色;在國際上加強本國政府與他國政府、本國政府與國際組織之間的合作,以確保英國在網絡安全領域的國際主導地位。
再造
英國在重視網絡安全的基礎上,提出將網絡安全作為新的經濟增長點,以便刺激經濟增長、擺脫當前的經濟困境。英國針對網絡安全的具體做法對我國有著重要的借鑒意義。
一是加快制定我國的網絡安全戰略。近年來,各個國家愈發重視網絡空間安全問題,將網絡安全提升到國家戰略高度。例如美國了《網絡空間國際戰略》,印度推出了《國家網絡安全策略草案》等。我國雖然對網絡安全發展也非常重視,但是尚停留在安全保障、被動防御的階段,還沒有形成推進網絡安全的戰略體系,還沒有出臺過國家網絡安全戰略。因此,國家應立足國家層面,加快制定并出臺我國網絡安全戰略,明確網絡空間是我國的新疆域,并將保障網絡空間安全作為新時期維護國家利益的重要任務,確定我國網絡安全發展戰略目標、戰略重點和主要主張,全方位指導我國網絡安全建設。
二是制定切實可行的戰略實施方案。網絡安全戰略的實施任務多、涉及面廣,必須由各部門聯合制定切實可行的實施方案,協作推進,確保戰略實施。《英國網絡安全戰略》非常注重戰略的可實施性,可操作性。這一點對我國具有非常大的參考價值。我們應進一步加強網絡與信息安全領導小組對我國網絡安全的統一領導和協調職責,提高保障網絡安全、應對網絡犯罪、推動網絡應用和宣傳推廣等工作的協調能力。同時,在網絡與信息安全領導小組統一領導和協調下,各職能部門要相互配合,針對戰略目標從政策導向、執法體系、機構合作、技術培訓、人才培養、市場培育、以及國際合作等方面制定切實可行的實施方案,確保我國網絡安全戰略的順利實施。
三是重視網絡安全產業,促進經濟發展。英國網絡安全戰略地亮點之一是英國政府不僅敏銳地意識到了網絡安全行業帶來的經濟機遇,而且將網絡安全產業作為英國新經濟增長點。《英國網絡安全戰略》明確提出未來四年將斥資6.5億英鎊改善英國網絡安全環境,充分表明英國政府通過網絡安全促進經濟發展的決心。這一點對我國制定網絡安全戰略也有重要的啟示作用。我國制定網絡安全戰略不僅應著眼于構建安全的網絡空間,還應該高度重視網絡安全行業帶來的經濟增長。在制定國家戰略時,應明確提出鼓勵網絡安全產業發展的政策、資金、法律等方面措施,推動我國網絡安全企業做大做強和安全產業快速發展,充分發揮網絡安全產業在我國經濟增長中的帶動作用。
一、我省財政系統網絡安全建設基本情況
遼寧省財政廳的辦公局域網系統建于1996年,經過幾坎改造升級后,現在已經做到全廳800多節點速度全部為100M。安全建設方面,我們除了將廳辦公局域網與其他物理網絡隔離開之外,在廳局域網核心交換機和核心路由器之間,我們使用了1臺東軟防火墻,用以保障廳內各應用服務器避免受到來自外聯單位的攻擊。同時還在核心交換機上部署了IDS入侵檢測設備和“天鏡漏洞掃描系統”軟件,以及“局域網綜合網絡管理平臺”和“局域網流量管理”兩套軟件。用以保護廳內辦公人員的終端系統安全。病毒防范方面我們統一采購了“趨勢防毒墻”防病毒軟件。在數據存儲方面,我們將“國庫集中支付”、“非稅收入管理”、“辦公自動化”等重要應用系統的數據集中遷移到可靠性更高的HP EVA5000存儲設備上,并通過veritas備份軟件每天將重要應用系統的數據集中備份到HP6030磁帶庫設備上,為各應用系統的數據安全提供一定的保障。各市財政系統在網絡安全建設方面也都大體與省廳類似,基本上都在自己的辦公局域網絡邊界配置了各種品牌的防火墻設備用以保障本地辦公網絡的安全,以及部署了“趨勢”、“瑞星”等網絡版殺毒軟件用以防范網絡病毒。
二、財政系統網絡信息安全面臨的問題
1 網絡黑客攻擊。黑客是網絡的天敵,根據我國財政信息化網絡建設的現狀。黑客攻擊又分為來自內部的隱性攻擊與來自外部的顯性攻擊。黑客通常具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具非法侵人重要信息系統,竊聽、獲取、攻擊有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。
2 網絡病毒破壞。20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進人到系統中進行擴散。計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。
3 信息傳輸中的隱患。信息傳輸過程中的信息損耗、被竊取越來越威脅到財政信息的安全。為了防止在通信傳輸過程中對信息的竊取和篡改,可采用VPN加密、IDS監控等安全手段,以保證網絡傳輸協議中網絡層的安全。不斷進行系統安全加固處理,將財政安全隱患扼殺在傳輸過程中。
4 缺乏嚴格的安全管理制度。財政信息化改革才剛剛起步,有很多規章制度還不成熟,沒有嚴格的安全管理機制,缺乏整體安全方案,還沒有可以借鑒的經驗,機房、網絡的混亂管理造成了財政信息網絡安全的隱患,一旦出現問題,造成的損失將是無法估量的。
5 各方面防范措旋不到位。財政信息網絡是復雜而龐大的,財政信息網需要承擔的任務有很多:web網站、辦公自動化、各業務軟件的正常運行、實現與上級的聯網、保障各縣區網絡暢通等等,這樣,不可避免地要面對來自各個方面的攻擊。例如,web站點遭受的惡意代碼攻擊等。
三、保障財政系統網絡信息安全的對策
1 轉變觀念,增強網絡安全憂患意識。現在,財政系統信息化建設剛剛開始,仍處于探索階段,許多部門和個人的安全憂患意識還尚未形成,對計算機網絡安全技術還未能給予足夠的重視。對于這種情況。僅僅依靠信息部門的努力還不夠,也要有領導和管理部門來搭臺。然后由信息部門唱戲。讓業務部門和應用人員從思想上認識到網絡安全的重要性,然后才能在實際工作中處處注意安全防范,對的財政信息,處理時真正做到“如臨深淵,如履薄冰”。
2 培植系統健壯性,提高系統自身防范能力。選擇安全性能良好的系統作為財政網絡的信息平臺,才能從根本上保證信息網絡的安全。及時升級、更新操作與應用系統。選用網絡版的殺毒軟件,通過控制中心對整個財政內部網絡進行監控,把病毒扼殺在搖籃中。購買了反病毒軟件、防火墻軟件,只是實現網絡安全的第一步,是否充分發揮了安全產品的作用。是否定期去升級最新病毒代碼,定期檢查網絡的每個終端配置是否正確,運行是否正常等等,這些才是防范病毒、黑客,保證網絡安全暢通的關鍵所在。采取對用戶口令、指紋的識別等手段來識別合法的用戶。采用用戶身份認證機制,確保對系統資源的合法使用。采用具有安全機制的數據庫系統和其它系統軟件,加強對使用事件的審計記錄的管理,以保證財政信息在網絡協議系統層的安全。
隨著企業信息化的深入發展,企業業務系統對信息技術的高度依賴,網絡信息安全問題也變得日益嚴重,新的安全威脅不斷涌現,并且成為黑客攻擊的重要對象。
面對越來越嚴重的威脅,企業需要建設主動的、深層的、立體的信息安全保障體系,保障業務系統的正常運轉,保障企業經營使命的順利實現。
在面對不斷發展的安全威脅時,許多企業不斷地擴充自己的安全體系,希望通過不斷地部署安全產品,來確保網絡的安全。在企業部署安全體系的時候,遇到了一個相同的問題,即防范惡意攻擊、降低安全風險,應該用入侵檢測產品還是入侵防護產品?
實際上,幾年前,很多企業都利用入侵檢測監控風險,了解網絡中的脆弱點。隨著近幾年入侵防護技術的出現,企業在建立安全架構的時候,面對入侵檢測和入侵防護,不知何去何從?
從2003年Gartner公司副總裁Richard?Stiennon發表的《入侵檢測已壽終正寢,入侵防御將萬古長青》報告引發的安全業界震動至今,關于入侵檢測系統與入侵防御系統之間關系的討論已經趨于平淡,2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防御系統是兩個獨立的市場,給這個討論畫上了一個句號。
可以說,目前無論是從業于信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防御系統是兩類產品,并不存在入侵防御系統要替代入侵檢測系統的可能。但由于入侵防御產品的出現,給用戶帶來新的困惑:到底什么情況下該選擇入侵檢測產品,什么時候該選擇入侵防御產品呢?啟明星辰公司產品管理中心總工程師萬卿表示,“在入侵防護產品剛出來的時候,有些用戶對于選擇入侵防護還是入侵檢測拿不定主意,不知何去何從?實際上,入侵檢測和入侵防護根本就不是同類的產品。兩者不是互相取代或升級的關系。企業需要根據自身的網絡環境和系統環境,選擇合適的產品。”具體的兩種產品的選型上來講,需要從產品的價值和產品的應用角度出發,就能夠明確自己的需求了。
從產品價值角度講,入侵檢測系統注重的是網絡安全狀況的監管。用戶進行網絡安全建設之前,通常要考慮信息系統面臨哪些威脅;這些威脅的來源以及進入信息系統的途徑;信息系統對這些威脅的抵御能力如何等方面的信息。
在信息系統安全建設中以及實施后也要不斷的觀察信息系統中的安全狀況,了解網絡威脅發展趨勢。只有這樣才能有的放矢的進行信息系統的安全建設,才能根據安全狀況及時調整安全策略,減少信息系統被破壞的可能。
入侵防御系統關注的是對入侵行為的控制。當用戶明確信息系統安全建設方案和策略之后,可以在入侵防御系統中實施邊界防護安全策略。與防火墻類產品可以實施的安全策略不同,入侵防御系統可以實施深層防御安全策略,即可以在應用層檢測出攻擊并予以阻斷,這是防火墻所做不到的,當然也是入侵檢測產品所做不到的。
從產品應用角度來講,為了達到可以全面檢測網絡安全狀況的目的,入侵檢測系統需要部署在網絡內部的中心點,需要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,即每子網部署一個入侵檢測分析引擎,并統一進行引擎的策略管理以及事件分析,以達到掌控整個信息系統安全狀況的目的。
而為了實現對外部攻擊的防御,入侵防御系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防御系統,入侵防御系統即可實時分析網絡數據,發現攻擊行為立即予以阻斷,保證來自外部的攻擊數據不能通過網絡邊界進入網絡。
入侵檢測系統的核心價值在于通過對全網信息的分析,了解信息系統的安全狀況,進而指導信息系統安全建設目標以及安全策略的確立和調整,而入侵防御系統的核心價值在于安全策略的實施―對黑客行為的阻擊;入侵檢測系統需要部署在網絡內部,監控范圍可以覆蓋整個子網,包括來自外部的數據以及內部終端之間傳輸的數據,入侵防御系統則必須部署在網絡邊界,抵御來自外部的入侵,對內部攻擊行為無能為力。
明確了入侵檢測和入侵防護的區別之后,萬卿提出了三種不同的應用環境:若用戶計劃在一次項目中實施較為完整的安全解決方案,則應同時選擇和部署入侵檢測系統和入侵防御系統兩類產品。在全網部署入侵檢測系統,在網絡的邊界點部署入侵防御系統。若用戶計劃分布實施安全解決方案,可以考慮先部署入侵檢測系統進行網絡安全狀況監控,后期再部署入侵防御系統。若用戶僅僅關注網絡安全狀況的監控(如金融監管部門,電信監管部門等),則可在目標信息系統中部署入侵檢測系統即可。
合理的選擇產品類型之后,下一個問題就是選擇什么樣的入侵檢測系統或者入侵防御系統才能最有效的發揮作用呢?
萬卿表示,任何產品的開發應該圍繞著核心產品價值展開,產品的各種能力都應該為核心產品價值服務。
