時間:2023-09-14 17:42:20
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全防控體系,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:疾病預防控制中心;網絡安全管理;設計原則;維護
引言
疾病預防控制中心的信息管理系統中計算機網絡技術得到了廣泛的應用,為醫院龐大的管理工作帶來了很多方便,但同時也存在著一些隱患。一旦網絡癱瘓、系統數據丟失就會影響醫院的正常醫療工作的運轉,系統的安全性和穩定性就會受到嚴重的影響,進而直接影響到醫院和病人的切身利益。因此,對于醫院系統來講,網絡管理的安全問題相當重要。要做到能夠安全管理和維護,確保信息系統能夠安全、穩定、正常地運行,防止不法分子利用網絡和計算機犯罪、避免數據丟失和損壞。
1、網絡安全體系的設計原則
要確保疾病控制中心的網絡能夠進行安全的管理和維護,就應該對網絡安全體系進行有效的設計,在進行設計的時候要做到“注重安全、操作性強、投入合理、性能良好、高效運作”,并遵循以下幾點原則:
1.1 安全性
對于疾控部門、突發公共衛生事件應急中心來講網絡的安全和穩定性更顯得尤為重要,進行局域網絡的安全體系設計主要是為了對網絡系統的安全進行有效的保護,課件安全性成為設計的首要目標。而體系安全性的保證,必須以保證體系的完備性和體系的可擴展性為前提。
1.2 可行性
“千里之行始于足下”,單純從理論的角度來考慮網絡安全體系的設計而非考慮實際操縱因素只能是空談。網絡安全體系的設計使為了更好地指導實施,如果實施的難度過大或者無法實施,那么安全體系本身就沒有任何意義,因此,必須要堅持可行性的原則。
1.3 可承擔性
網絡安全體系的設計和實施以及后期的維護、培訓等方面都需要有一定的技術和經濟的支持。在操作的過程中要考慮到成本和利益的關系,如果付出的成本比從安全體系中得到的利益更多,那么這個體系就不能算是合理的方案。因此,在進行疾病預防控制中心網絡安全體系設計的時候應該充分考慮到本單位的特點以及實際的承擔能力來進行。
1.4 高效性
網絡安全體系建立的目的是保證系統能夠正常運行,如果安全體系的建立影響了系統的正常運行,那么就必須在安全和性能之間進行合適的權衡。網絡安全體系所包含的軟件和硬件都會不同程度地占用網絡系統的部分資源。因此,在網絡安全體系設計的時候要充分考慮到系統資源的問題,注重系統設計的高效性,避免系統本身對網絡系統正常運轉的妨礙。
2、網絡安全體系的管理與維護
疾病預防控制中心的安全威脅可能來自于外部,也有可能來自于內部。因此,在進行網絡系統安全策略的設計時,既要在局域網邊界采取一定的安全防范措施來抵御外部的侵襲和攻擊,又要對內部網絡設備的安全訪問進行控制,避免局域網內部因操作錯誤而造成對局域網破壞。進行網絡安全體系的構建與維護要從以下方面入手:
2.1 物理安全策略
物理安全策略制定的目的是保護局域網中的網絡服務器、計算機系統、物理鏈路等基礎的設施避免受到人為破壞、自然災害或搭線攻擊,并能夠建立起完善的安全管理的制度,確保網絡系統能夠在良好的電磁兼容的環境下工作。同時,也能夠有效地防止計算機控制室的非法操作和偷竊破壞活動。
2.2 訪問控制策略
訪問控制策略是為了保證網絡的資源不被一些非法用戶訪問和使用,它是局域網安全防護的主要策略,是網絡安全得以保證的核心策略之一。它包括網絡的權限控制、網絡訪問控制、文件屬性控制、目錄安全控制、服務器訪問控制、網絡監測控制、網絡鎖定控制、安全基礎設施控制、端口及節點安全控制等。對于疾病預防控制中心的網絡安全而言,應做好網絡服務器訪問控制、網絡訪問控制以及網絡的監測和鎖定控制三個方面。
2.2.1網絡服務器訪問控制
對于疾病預防控制中心而言,網絡服務器訪問的控制主要目的是控制用戶對系統服務器的非法訪問,防止網絡服務器上的數據被隨意修改、破壞或刪除。服務器訪問控制時,應制定相應的合理管理措施,防止非法用戶對服務器的控制臺進行直接操作;限制服務器的登錄時間;盡量減少服務器上所安裝的應用軟件的數量;禁止服務器上一些不必要的服務軟件運行;對服務器上進行的各種操作實行記錄制,并定期進行審查,以便及時發現問題;同時,要對服務器的數據及時進行備份等。
2.2.2網絡訪問控制
網絡訪問控制是網絡系統管理的重要環節之一。主要通過相應的技術手段對網絡用戶的身份進行識別和權限的分配,責權分明,既能有效地阻止非法用戶的非法訪問,又能減少網絡病毒和惡意軟件及代碼的危害。在網絡訪問控制中,可以通過防火墻進行控制。將防火墻置于不同信任度的網絡中并對網絡的通信進行相應的控制,強制實施安全策略起到安全保護的作用,防止重要資源的訪問和存取。防火墻通常位于外部的Internet網絡、內部使用網絡和其服務器DMZ區之間,當數據包通過時,數據包的信息即與防火墻的規則表進行相應的匹配,如果有相匹配的規則就直接按規則來執行,如果沒有匹配的規則就使用默認規則來執行。另外,還可以通過訪問控制列表來達到網絡訪問控制的目的。訪問控制列表(ACL)是一組包含了允許(permit)、拒絕(deny)語句的有序語句集,它將數據包的源端口、目的端口、源地址、目的地址、MAC地址等信息同訪問控制列表中的語句來進行匹配,根據匹配的結果決定數據包是否通過,以實現數據包的過濾。
2.2.3 網絡病毒的防治
在網絡中,病毒具有很多的傳播途徑及較大的破壞能力。它可通過電子郵件、局域網、網頁腳本、操作系統漏洞等進行傳播。病毒不僅對單臺計算機的軟件和硬件資源造成危害,而且有可能造成局域網甚至整個網絡的癱瘓,這樣會造成不可預測和估量的損失和危害。要實現網絡病毒的防治單靠計算機上的殺毒軟件是不能根除和實現的,必須安裝相應的網絡版殺毒軟件進行智能升級、遠程安裝與操作、集中管理、遠程報警、查殺病毒等功能。同時,要對加強管理,提高工作人員及使用人員的防毒意識和系統保護的意識和知識。
3、結論
隨著社會的進步和發展,信息安 全從以前的保密、保護到如今的保障階段,不斷地滿足人們對安全性能的需求。安全方案和安全體系也從原來的靜態向動態、被動想主動的防御和防護發展,要保證疾病預防控制中心核心系統的穩定高效運行,管理人員必須對系統進行有效的管理和維護,以保證系統的正常運行,促進醫療事業的高效發展。
【關鍵詞】計算機;病毒防治;發展趨勢;防控策略
隨著互聯網技術的不斷發展,計算機病毒也在不斷升級和變異,對互聯網系統安全造成了嚴重的威脅。我國常見的計算機病毒有TROJAN.DL.Agent木馬病毒,還有Gpogeon(灰鴿子)病毒以及Small及其變種的病毒文件等。這些病毒的危害性比較大,通過控制用戶電腦進行系統程序破壞,對用戶的個人利益造成侵害。一旦計算機系統中出現漏洞,很容易受到病毒的攻擊,并且在系統破壞下造成比較嚴重的后果。
1計算機病毒的感染途徑及發展趨勢分析
計算機感染病毒的途徑比較多,根據常見的病毒感染問題進行分析,才能夠阻絕病毒傳播的途徑。我們分析病毒傳播的主要途徑,發現網絡下載或者網頁瀏覽傳播的過程中,病毒傳播的概率最高,聯網狀態下用戶瀏覽網頁或者進行下載時,如果不小心點開了夾雜病毒的網頁,很容易被病毒攻擊。一些病毒文件依托某些非法網站存在,往往會偽裝成常見的網絡文件伺機發起攻擊。除此之外,用戶使用光盤、優盤等移動存儲介質進行文件拷貝、上傳時,病毒會隨著移動件的插拔進行傳播。病毒傳播的途徑還有電子郵件收發方面,黑客攻擊用戶好友獲取社交信息,并且采用群發含有病毒電子郵件的方式擴散計算機病毒。病毒擴散的另外一個重要途徑為局域網傳播,主要為單位、企事業機關共用局域網,在長期資源共享的模式下很容易受到病毒的交叉感染。計算機被病毒攻擊之后,往往會造成嚴重的破壞后果。最常見的破壞后果是系統(網絡)使用受限,計算機被黑客遠程操控成為了“肉雞”。在大量的病毒文件攻擊之下,用戶的瀏覽器配置被修改,個人隱私、社交軟件賬目密碼或者支付寶密碼、賬號被盜,用戶正常的網絡生活受到嚴重的影響。因此,在計算機病毒的防治活動中,用戶應該遠離不良網站的誘惑,并且在網絡下載和瀏覽時采用可被殺毒軟件信任的瀏覽器。用戶需要履行規范的安全上網操作流程,定期修補計算機系統中存在的漏洞。為了防范病毒的攻擊,用戶應該經常對殺毒系統進行升級,安裝新型的防火墻軟件抵御病毒入侵。
2應對計算機病毒的發展趨勢開展病毒防控的具體策略探究
2.1病毒查殺和危險應用隔離
在計算機病毒防控活動中,用戶應該對危險應用進行隔離,可以使用殺毒軟件對全部軟件進行檢測,對于殺毒軟件不信任的程序,應該采用危險應用沙箱隔離的方式,排除病毒傳播的安全隱患。建立可信免疫管理網絡安全平臺,對計算機病毒進行查殺和管理。其中,在系統管理安全性建設中,采取有效的防控策略確立可信任的主、客體,滿足用戶日常性的電腦操作需要。在計算機系統安全管理活動中,技術人員應該制定可信任的主、客體間的訪問規則,防止病毒程序附著于不明來源的計算機文件中對系統造成嚴重破壞。在計算機病毒防控的審計管理活動中,技術人員應該認真審計主、客體訪問的具體行為,并且要監控主客體運行時發生的狀態。當運行活動中出現異常現象時,應該及時地地病毒攻擊進行攔截。
2.2病毒滲透控制與拓撲結構優化
建立即時的病毒事件信息處理響應機制,強化風險跟蹤和滲透測試工作的開展。在病毒蔓延的趨勢分析活動中,通過優化網絡拓撲結構可以有效地提高網絡信息系統的安全性,防止計算機病毒的滲透性危害出現擴大化問題。采用雙向網絡冗余設計可以有效地消除網絡中的環網,在針對電腦內部網絡的優化過程中,通過檢查和有效比較,確定這些網絡數據源部分是否正確,并且及時將容易遭受故障的數據部分恢復過來,從而達到降低計算機網絡故障帶來的影響目的。在可信網絡方案架構建設中,采用二層交換機接入的方式,完善網絡終端接入的渠道。在可信標示網關功能性開發活動中,對所有網絡設備的可信任性進行全盤檢查。并且在網絡輸出窗口的病毒防護中,采用大數據分析的方法,對可信邊界網關的局域網絡進行邊界限制,防止病毒滲透的風險產生。
2.3系統云安全管理平臺的建立與高危病毒查殺
在計算機病毒安全防護活動中,建立系統云數據安全管理平臺,實現對于虛擬網絡防護的需要。采用高效率的安全審計方式,對個人隱私和數據進行保護。建立虛擬節點安全防護機制,實現云安全套件中的可信任數據存儲系統建設,滿足計算機正常穩定運行的需要。在企業日常經營性網絡的深度運營維護平臺建設中,用戶應該積極采用自動化運維管理的方式,防止手動病毒檢索造成的遺漏現象產生。建立一體化態勢感知系統,將計算機病毒的防控流程進行全息展現。在事件跟蹤流程建設活動中,堅持優先處理高危病毒文件的方式,對計算機病毒進行防治處理。積極開發計算機網絡安全服務平臺建設工作,在日常性的病毒防控活動中,開展深入的風險評估工作。通過采集事件關鍵數據信息的方式,進行病毒與可信任文件的關聯性分析,按照一定的病毒查殺和處理原則進行審計取證。
3結語
在網絡安全在線防護平臺安全建設活動中,技術人員應該做好網絡防護和數據防護工作。技術人員要從應用系統防護與移動網絡防護兩個方面進行功能開發,凸顯APT安全防護效果,維護WEB界面安全,顯著提升網絡系統的病毒防御能力。在計算機核心數據庫安全防護活動中,技術人員應該做好系統盤的安全加固工作,采用代碼審計的方式,對數據庫中存在的漏洞進行彌補,打造一體化的安全防護網絡體系。
參考文獻:
[1]楊波.淺論計算機病毒的發展趨勢及其防控對策[J].科技資訊,2011,24:130~131.
[2]葉曉夢,楊小帆.基于兩階段免疫接種的SIRS計算機病毒傳播模型[J].計算機應用,2013,03:739~742.
[3]楊國文.網絡病毒防治技術在計算機管理中的應用[J].網絡安全技術與應用,2011,09:172~174.
關鍵詞:病毒;氣象部門;網絡安全
由于計算機網絡技術的迅速發展,網絡信息交流是工作中必不可少的一個環節,但是因為網絡世界是虛擬的,具有很多的不確定因素,沒有良好的監管力度,這就使計算機的網絡安全受到威脅,與此相關的網絡安全事故比比發生,這在氣象部門也是一樣,主要表現在以下幾個方面:破壞已有數據的完整性,導致氣象數據不準確;非法訪問氣象網站,冒充氣象工作人員,導致系統難以運行;利用氣象網絡傳送病毒,導致接受信號的線路出現問題。這時就要對網絡安全問題予以足夠的重視,才能保證網絡和數據的安全性,保證日常工作能夠順利進行。氣象部門的數據是所有工作的核心,如果數據出現誤差,那么之后所有的工作都將是徒勞的,網絡系統要保證數據的完整性,讓工作人員的勞動成為一種價值。針對這些實際問題提出今后工作的努力方向,尤其是在網絡安全方面需要注意的一些問題[1]。
一、氣象部門網絡安全體系的構造
根據氣象部門的網絡系統的特點和發展需求,保證氣象網絡安全的設計和構建遵循實用性、規范性、先進性、可靠性、安全性以及高可用性等原則。在保證氣象部門網絡安全工作的基礎上,在已有的系統模型上提高網絡技術的安全性,保證網絡可以避開障礙點,有效地對病毒進行預防,保證網絡可以在較短時間內恢復。在安全體系構造的過程中,要考慮到設備的選擇以及關鍵設備之間的關聯度,最大限度地減少機器出現故障的頻率,保證氣象部門的高效工作。
1.硬件防御
(1)防火墻
在氣象部門內部網絡安全系統中,最重要的一道硬件防御系統就是防火墻,主要采用的原理是根據不同網絡區域之間的部件組合,將其作為網絡通道,根據氣象部門的業務需求進行安全措施的防控。在氣象信息中心,多個硬件防火墻都被部署在不同的互聯網內網和重要業務區域內,以此來保護業務中各個數據的安全運行。一旦發生了網絡安全問題,可以根據配置的防火墻日志對網絡訪問歷史進行查詢,以此來保證氣象部門的網絡安全問題[2]。
(2)網絡入侵檢測系統
氣象部門的網絡入侵檢測系統主要由硬件和軟件兩部分組成,功能就是用來檢測和防護網絡中可能存在的入侵或是遭到攻擊的系統,這樣的一個定時檢測,能夠檢查出系統的配置問題或是系統所出現的漏洞、攻擊模式、不同程序版本之間的誤差、用戶的行為模式之間的差別,這些都是網絡安全問題需要檢測的問題。在氣象信息中心網絡安全系統中,就有類似的一個檢測系統,能夠從氣象部門中收集資料,分析不同的網絡攻擊和系統中的異常資源和行為,對此作出響應[3]。
2.軟件防御
(1)防病毒軟件
防病毒軟件是用來預防網絡病毒,由單機和網絡殺毒兩種方式共同進行,以此來檢測病毒的種類。大部分氣象部門都安裝了計算機諾頓網絡殺毒軟件,此外普遍使用的是小型360殺毒軟件或是其它殺毒軟件,通過這些殺毒軟件的配合完成氣象部門的網絡安全預防工作。
(2)網絡管理軟件
氣象信息中心都已經安裝網絡管理軟件,通過服務器和核心交換機的鏈接,讓網絡管理人員可以使用網絡管理軟件,以此對網絡設備進行有效的監控管理。通過不定期的網絡設備流量監控,可以檢測網絡的異常狀況,對異常端口的檢測能夠預防網絡黑客或是病毒的襲擊,切實做好氣象部門的網絡安全工作。
二、氣象部門網絡安全問題的現狀
總體而言,氣象部門的網絡安全有以下的幾個共同點:在網絡中有大量的ARP攻擊;軟件的安全部署比較少,達不到系統的要求;中斷產品有豐富的類型和品牌;隨意篡改IP地址的現象較多;下載數量過多,導致在線視頻所要承載的流量過大,無法對一些網絡病毒進行防控;在升級病毒庫以及安裝系統補丁方面存在工作效率低的問題;氣象部門的計算機終端的安全意識和現有的知識水平不足;氣象部門的網絡安全存在超高速的現象。
現如今的氣象部門的網絡信息都通過CERNET和Internet進行連接,在享受現有資源的同時,面臨著網絡病毒攻擊的風險。因此各級氣象部門都建立了本地局域網,以此來連接上一級氣象部門和下一級氣象部門,而多用戶的鏈接導致網絡安全受到多方面的威脅,主要體現在以下幾個方面:第一,應用軟件和操作系統存在安全漏洞,雖然說任何一個軟件都不可能是完美無缺、毫無漏洞,尤其是操作系統方面,在通用的Windows操作系統中,網絡安全漏洞的問題最為突出。黑客的主要目標就是這些漏洞,病毒的傳播也依賴這些漏洞;第二,操作的失誤,由于操作的失誤會導致網絡安全出現問題,主要是來自網絡管理員和網絡用戶的。主要是誤用服務器系統和應用軟件,而網絡設備的設置會造成服務器端口出現重大錯誤以及網絡設備的設置不完整、將賬號隨意借用他人等問題;第三,出現惡意攻擊事件,大多數的安全問題都是由于一些惡意的攻擊導致傷人行為的出現,主要是主動攻擊和被動攻擊兩種。分別是通過破壞現有信息的完整性、有效性和對一些機密信息進行獲取和破譯來實現,但是他們都是在不影響網絡正常運行的情況下實施的,但無論哪一種攻擊都會對氣象部門的網絡安全造成一定的危害。
三、關于氣象部門網絡安全問題的思考
氣象部門網絡安全的特點是信息覆蓋面廣、傳播距離長、網絡結構復雜等,根據這些特點和氣象部門的網絡安全現狀,加強氣象網絡安全的防護能力,可以從技術、管理和用戶三個方面著手,建立完善的安全體系。
1.技術層面
木桶原理在氣象部門的網絡安全領域同樣適用,木桶壁上最短的木板就是網絡存在問題的地方,也是黑客最先進行攻擊的首選之地。氣象部門要綜合考慮解決方案,能夠應用虛擬專用網絡,考慮來自外部、內部網絡的威脅。首先,要在網絡的邊界部署防火墻,避免三個方面的風險,分別是機密性、數據完整性和可用性的風險。但是僅僅部署防火墻是不能夠達成預期目標的,還需要其他類型的產品來輔助;其次,在網絡內部可以設置入侵檢測系統,它可以實現網絡數據的傳輸,對一些可疑數據進行預報,找尋網絡安全設備。作為更加積極主動的安全防護技術,能夠從容應對自身的攻擊;再次,網絡防毒系統也是必不可少的,由于氣象部門的工作復雜性,導致計算機要進行文件傳送、信息交換等工作,這時就有可能攜帶計算機病毒。所以在日常使用計算機時,就要保持良好的習慣,預防計算機病毒,能夠及時清理病毒;最后,為保證氣象部門的工作效益,要有統一的網絡安全管理系統。不同類別的產品都會在不同的方面保護網絡系統,由于網絡安全產品的日益豐富,使得對這些產品進行統一的管理成為當前的首要工作職責。
2.管理層面
在通過技術手段建立氣象網絡的安全防護體系后,要想確保安全防護體系能夠發揮出真正的效益還要加強管理措施,這也就是“三分技術,七分管理”的具體實施手段。在日常的管理工作中,加強對安全產品的檢測,從保護系統的角度出發,做好氣象數據的備份,及時修復安全漏洞。最重要的是建立完善的行政管理制度,約束用戶對氣象部門的操作規范,形成一個可操作的用戶管理體系,對管理機制進行完善,進一步促進工作的標準化、流程化。
3.用戶層面
用戶更注重的是網絡使用的便利性,能否在網絡安全運行的過程中保證高效性,這就要加強氣象部門和網絡用戶的安全和計算機終端安全的防護意識。只有網絡安全意識提高了,氣象部門的網絡行為才能更加規范化。而用戶對終端安全的認知范圍也能夠發揮氣象部門網絡安全的實施效果,可以通過培訓、學習等方式加強網絡用戶的安全意識。
伴隨著氣象業務和信息技術的高速發展,網絡安全問題已經成為制約氣象部門發展的關鍵性因素,同時也是保證氣象部門業務正常運行的不可或缺的一部分,這就使得對網絡安全可靠性建設的要求越來越高。所以要針對現有的氣象部門網絡安全問題進行部署和更新,保證有合理的設計和構建,為之后的氣象部門的發展提供強有力的安全保障措施。
參考文獻
[1]熊雄,熊凌云,劉小剛等.江西省氣象局信息網絡安全探討[J].科技廣場,2010,(7):68-70.
[2]李新碩.構造安全高效的氣象電子信息系統[J].廣東氣象,2010,(2).
[3]王其良.計算機網絡安全技術[M].北京:北京大學出版社,2011:12-34.
我國互聯網金融在近年來的發展勢頭迅猛,雖然取得了顯著成績,但由于缺乏相關發展經驗以及相應的安全保障體系,我國的互聯網金融仍處在發展的初期階段,面臨著許多挑戰,其中最緊要的問題便是金融信息安全問題。因此,要想實現互聯網金融的進一步發展,便要打下堅實的金融信息安全基礎,為消費者免去后顧之憂,只有這樣,互聯網金融的明天才會輝煌。下面,我們主要探討一下在互聯網金融時代金融信息安全面臨的主要挑戰以及相關對策研究,希望能為金融信息安全問題提供一些理論參考。
一、互聯網金融時代,金融信息安全面臨的主要挑戰
互聯網金融信息安全不僅面臨著互聯網自身存在的安全風險,還面臨著金融業務新技術與新形勢的挑戰,后者也為互聯網金融的發展提供了諸多發展障礙。1、互聯網金融信息安全保障體系的建設速度滯后于互聯網金融業務的發展速度。由于互聯網技術的不斷創新與發展,為金融業務提供了全新的發展平臺與端口,眾多理財、保險類互聯網金融業務乘著互聯網技術的發展態勢不斷涌出,在相關的金融信息安全保障體系尚未建立與完善之際,這種互聯網金融業務的發展無疑是一種如履薄冰的繁榮。網絡病毒的侵襲使得這種互聯網金融業務的安全運行成為了一種偶然,如果不能及時構建嚴密的金融信息安全保障體系,那么互聯網金融的發展則會變成無稽之談。2、層出不窮的互聯技術應用是當前金融信息安全面臨的最大挑戰。由于第三方支付平臺的出現以及大數據等新興分析技術的興起,打破了傳統金融業務的運行機制,也為消費者的金融信息安全增添了更多威脅。互聯技術應用已經成為互聯網金融發展的重要支撐,因此必須為其制定出相應的安全管理策略,來保證其安全運行。3、網絡安全防控是互聯網金融信息安全防范的難點。互聯網金融發展面臨的另一重要安全隱患便是互聯網自身存在的安全漏洞。互聯網由于其自身的開放性和匿名性特點,為許多網上金融犯罪提供了便利,這也是互聯網金融信息安全防范的重難點。要想依附互聯網這一平臺展開相關金融業務,必須在網絡安全防控方面有所作為。
二、相關對策建議
1、完善頂層設計,盡快構建適應互聯網金融發展需要的金融信息安全保障體系。互聯網金融的安全平穩運行離不開相關保障體系的保駕護航,我國當前已經存在的金融信息安全保障體系主要是根據傳統金融信息安全問題而建立的,這顯然已經不適應當前發展得日新月異的互聯網金融的信息安全需要。所以,國家必須做好相關頂層設計,在安全保障技術方面提供最嚴密、最尖端的技術支持,加快金融信息安全方面的人才建設,在對當前金融信息安全保障體系進行完善的前提下,時刻關注互聯網金融業務的整體發展態勢,以實現金融信息安全問題的有效預測與防范。2、加快安全網絡體系建設,最大限度提升金融網絡防御攻擊的水平。作為互聯網金融業務發展依附的主要平臺,互聯網有必要進一步減少自身存在的安全隱患,從而為金融網絡的自身防御提供高安全系數的保障。互聯網可基于大數據分析,對于不同的金融業務平臺進行相關數據分析,為互聯網金融業務所的平臺進行信用評估,從而為消費者進行選擇時提供相關參考性意見。3、加強對新生金融實體從事互聯網金融業務的信息安全保障。新生金融實體開通互聯網金融業務時,在很大程度上會存在信息安全保障不到位的現象,因此,國家需要對這些新生互聯網金融業務進行相關審批,制定出相關的考核檢驗標準,考核檢驗新生互聯網金融業務的整體發展實力以及相關安全保障體系的建設與投入,嚴格遵守為消費者負責的態度,為我國的互聯網金融發展的大環境保駕護航。4、積極探索適合監管互聯網金融的金融信息安全防范措施。由于我國互聯網金融的發展處在發展初期,因此缺乏相關管理經驗,所以,我國可以借助國外先進互聯網金融信息安全管理經驗,對我國的互聯網金融信息安全保障體系建設提供相應的支持。還可以展開國際互聯網金融信息安全管理合作,因為互聯網金融是面向世界各國的業務,單純依靠一個國家的力量無法對涉及國際金融信息安全的問題實現有效處理。
三、結語
互聯網金融業務的發展是金融業務發展的必然趨勢,但是互聯網金融信息安全由于存在諸多挑戰,因此需要國家在安全保障體系與相關技術方面提供有效的支持,在保證金融信息安全的前提下才能實現互聯網金融的可持續健康發展。
作者:陳強 單位:重慶市信息通信咨詢設計院有限公司
關鍵詞:信息安全管理;網絡安全;風險評估
中圖分類號:TP393.08
隨著信息化技術的高速發展和深入應用,企業對信息系統的依賴性越來越強,絕大部分的業務從紙面遷移到信息系統當中,如何建立穩固的信息安全管理體系已經成為各企業信息管理部門甚至管理層的重要課題。本文將通過對目前國際信息安全行業發展的分析,提出企業構建穩固的信息安全管理架構,提高信息安全水平的初步構想。
1企業信息安全政策
信息安全政策作為信息安全工作的重中之重,直接展現了企業的信息安全工作的思路。其應當由企業信息安全工作的使命和遠景,實施準則等幾部分組成。
1.1信息安全工作的使命
信息安全工作的核心意義是將企業所面臨的風險管理至一個可接受的水平。
當前主流的風險控制包含以下四個步驟:通過風險評估方法來評估風險;制定安全策略來降低風險;通過監控控制惡意未授權行為;有效地審計。
1.2信息安全工作的愿景
安全的企業信息化環境可以為任何企業用戶提供安全便捷的信息化服務,應用,基礎設施,并保護用戶的隱私。讓用戶有安全的身份驗證;能安全便捷的使用需要的數據和應用資源;保證通訊和數據的保密性;明確自身的角色,了解角色在企業中的信息安全責任;身邊出現的信息安全風險和威脅能得到迅速響應。
要達到上述目的,企業需要進行有效的風險管理。風險管理是一個識別風險、評估風險、降低風險的過程。在這個過程中,需要權衡降低風險的成本和業務的需求,確定風險的優先級別,為管理層的決策提供有效的支持。
1.3信息安全準則
信息安全準則是風險評估和制定最優解決方案的關鍵,優秀的信息安全準則包括:根據企業業務目標執行風險管理;有組織的確定員工角色和責任;對用戶和數據實行最小化權限管理;在應用和系統的計劃和開發過程中就考慮安全防護的問題;在應用中實施逐層防護;建立高度集成的安全防護框架;將監控、審計和快速反應結合為一體。
良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念,從而讓企業信息管理部門更好地對風險進行管控。
2企業信息安全管理的主要手段
2.1網絡安全
(1)保證安全的外部人員連接。在日常工作中,外部合作伙伴經常會提出聯入企業內網的需求,由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準,因此存在信息安全隱患。控制此類風險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網絡接入等。
(2)遠程接入控制。隨著VPN[2-3]技術的不斷發展,遠程接入的風險已降低到企業的可控范圍,而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USB KEY,動態口令牌等硬件認證方式的遠程接入要更加的安全。
(3)網絡劃分。在過去,企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟,非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec[4]技術有效提高企業網絡安全,實現對位于公司防火墻內部終端的完全管控。
(4)網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充,主要用于監控網絡傳輸,在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備,入侵檢測系統能有效防控企業外部的惡意攻擊行為,隨著信息技術的發展,各大安全廠商如賽門鐵克,思科等均研發出來成熟的入侵檢測系統產品。
(5)無線網絡安全。無線網絡現在已遍布企業的辦公區域,給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全,信息管理部門需要使用更新更安全的協議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網絡;利用802.1x和EAP技術加強對無線網絡的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解,而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害,企業必須制定密碼策略并利用技術手段保證執行。
(2)用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權限進行管理,需要企業具有完善的身份管理平臺,從而實現授權流程的自動化,并實現企業內應用的單點登陸。
(3)公鑰系統[5]。公鑰系統是訪問控制乃至信息安全架構的核心模塊,無線網絡訪問授權,VPN接入,文件加密系統等均可以通過公鑰系統提升安全水平,因此企業應當部署PKI/CA系統。
2.3監控與審計
(1)病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統,在終端定期更新病毒定義,進行病毒自掃描,自動更新操作系統補丁,以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端,或對終端進行定制,在終端接入企業內網時,終端管理系統會在隔離區域對該終端進行綜合評估打分,通過評估后方能接入內網。才能保證系統的安全策略被有效執行。
(2)惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成:防病毒系統;內容過濾網關;郵件過濾網關;惡意網頁過濾網關和入侵檢測軟件。
(3)安全事件記錄和審計。企業應當配置日志審計系統,收集信息安全事件,產生審計記錄,根據記錄進行安全事件分析,并采取相應的處理措施。
2.4培訓與宣傳
提高企業管理層和員工的信息安全意識,是信息安全管理工作的基礎。了解信息安全的必要性,管理層才會支持信息安全管理建設,用戶才會配合信息管理部門工作。利用定期培訓,宣傳海報,郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳,能有效提高企業信息安全管理水平。
3總結
當前,越來越多的企業已經把信息安全看做影響業務發展的核心因素之一,信息安全管理已經成為企業管理的重點。本文對信息安全政策,安全管理手段等方面進行了剖析,結合當前國際主流的信息安全解決辦法,為企業做好,做強信息安全管理體系給出了一些通用性的標準,對企業構建信息安全管理體系,消除信息安全隱患,避免信息安全事件造成的損失,確保信息系統安全、穩定運行具有探索意義。
參考文獻:
[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務的基礎設施[J].電訊技術,2011,51(9):100-105.
[2]胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004.
[3]戴宗坤,唐三平.VPN與網絡安全[M].北京:電子工業出版社,2002.
1醫院信息化管理過程中暴露的各種網絡安全隱患
以C/S為架構基礎的醫院信息系統網絡,已經實現了對醫院各個部門的廣泛覆蓋,大量聯網的計算機在相同的時間段內同時運行,已經與患者在醫院就診的眾多環節相聯系,導致各類業務空前依賴網絡。各大醫院,依靠互聯網實現了聯接,并實現了和醫保之間的聯網,促進了醫院網絡越來越開放,這樣就使得發生網絡攻擊、感染病毒的幾率顯著提高,要是網絡信息系統出現故障,勢必會使得醫院上下的管理與醫療工作遭受影響,使患者、醫院均蒙受無法估計的損失。醫院信息化管理過程中,暴露的安全隱患大部分集中在系統安全、數據安全、網絡安全三大方面。就系統安全來說,具體涉及操作系統安全與物理安全、還有應用程序安全;數據安全涉及數據防護的安全、數據本身的安全;在網絡攻防手段與技術等顯著發展的影響下,網絡安全越來越復雜、多樣,新舊安全威脅同時存在。通常而言,網絡安全問題涉及四大方面,即技術、物理、應用服務、產品。受人為操作出現錯誤或失誤、自然災害、各類計算機攻擊行為影響,造成的計算機網絡無法正常運行,都屬于物理方面;研發設計的信息產品有一定的缺陷存在,或者引進使用、日常維護信息技術,受某些非自主、非可控性影響,產生的安全隱患,都屬于技術方面的;軟件操作系統、硬件設備、應用程序中,被植入惡意代碼或隱藏后門等帶形成的安全威脅都屬于產品方面的;網絡終端與網絡實現連接以后,面對的各種安全問題,像非法入侵、病毒感染,黑客攻擊、違規操作、間諜軟件等,導致主機遭遇劫持、系統網絡中斷、數據被破壞或直接、醫療信息被竊取泄露、病人賬戶隱私遭到盜竊等,均屬于應用服務方面。
2新形勢背景下應對醫院網絡安全問題基本策略
醫院網絡安全會直接影響到醫療業務能否正常開展,構建一個能夠穩定、安全運行的要想實現信息網絡環境安全、穩定地運行,一定要把握安全策略、管理制度、技術手段三大方面之間的有效結合。
2.1安全策略
為了保障服務器能夠高效、可靠、穩定地正常運行,實施雙機熱備、雙機容錯的處理方案非常有必要,關于非常重要的設備,對主機系統供電盡可能使用UPS,一方面有利于供電電壓保持穩定,同時對于突發事件防控具有顯著的作用;針對主干網絡鏈路,網絡架構設計,構建冗余模式非常必要,在主干網絡某條線路出現故障的時候,通過冗余線路,依然可以正常傳輸網絡的信息數據;同時要對業務內網和網絡外網實施物理隔離,防止互聯網同醫療業務網之間出現混搭,有效控制醫療業務數據利用互聯網這個途徑對外泄漏,防止外部網成為非法用戶利用的工具,進入到醫院信息系統或服務器,展開非法操作;為了防止醫院的業務信息發生丟失或遭到破壞,非常有必要構建數據與系統備份容災系統,這樣即便存儲設備或機房發生故障,也能保證信息系統運行較快恢復正常運行;在權限方面實行分級管理,防止發生越權訪問的情況、防止數據被修改,針對數據庫建立專項的審計日志,實時審計關鍵數據,能夠實現跟蹤預警。
2.2技術手段
網絡安全問題日益多樣化,而且越來越復雜,所以依靠技術手段對網絡安全防范,也要注意防御措施的多層次性與多樣性,對以往被動防護的局面轉換,提高預防的主動性。因為醫院在網絡架構上實行外網與內網相隔離,內網上對在安全要求上,內網的要求相對而言更高,安裝的殺毒軟件最好為網絡版,并成立管理控制中心,能夠修復漏洞、對整個網絡進行體檢、修復危險項、查殺病毒等;將防火墻網關設立在外網和內網之間,對非法用戶、不安全的服務予以過濾,能夠及時探測、報警網絡攻擊行為等,對惡意入侵有效防控;還可以通過對專業的入侵檢測系統部署,對防火墻存在的缺陷有效彌補,將眾多關鍵點在網絡中設置,利用檢測安全日志、行為、審計數據或別的網絡信息,對網絡安全問題及時掌握,并做好應對;也可以對安全掃描技術,掃描網絡中存在的不安全因素。
3結語
保障網絡環境的安全性與穩定性是醫院信息化管理的要求,因此必須重視從安全策略、管理制度,技術手段等角度,對醫院信息系統安全全面加強。但是醫院的網絡安全實際上只是相對來說的,絕對的安全是不存在的,所以要立足于自身的實際特點,在實踐過程中持續完善優化,這樣才會保障網絡安全防護體系行之有效,提升醫院信息化管理效率。
作者:李冠宏 單位:徐州醫學院附屬第三醫院
關鍵詞:計算機;網絡安全;防范措施
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 11-0000-01
Discussion on the Computer Network Information Security and Protection Effective Measures
Dong Guangmin,Wang Hongxu
(Dalian 91550 Troops Forces Command,Dalian116023,China)
Abstract:For the current computer network information security,the main problems and the types of network attacks,viruses conducted a systematic analysis and to develop an effective security strategy,computer network systems to enhance security,build a harmonious,stable and fast network operating environment has a positive and effective role in promoting.
Keyword:Computer;Network security;Precautions
一、前言
計算機網絡所向披靡的高度共享性與廣泛服務功能使一些不法分子、網絡黑客看準了其中蘊含的巨大潛在經濟資源和信息資源而展開了對網絡攻擊的非法研究。目前針對網絡漏洞的黑客攻擊、木馬攻擊、病毒侵襲、惡意軟件攻擊比比皆是,其攻擊手段也逐步演變、攻擊性及反查殺能力越來越強,對計算機網絡信息安全造成了極大的威脅,嚴重影響了全社會各項事業的正常開展。
二、計算機網絡信息安全存在的主要問題
影響計算機網絡信息安全的因素主要來自于通信設施設置的不完備及網絡信息系統構建的脆弱性,黑客攻擊是針對計算機網絡信息安全進行的最主要攻擊手段,黑客通常會利用網絡系統自身存在的安全隱患、漏洞進行密碼探測并完成系統入侵的攻擊過程。當入侵到網絡系統后便展開對機密數據的竊取、密碼的盜用、重要數據的破壞,并最終導致整個系統失靈、相應防護功能無法發揮作用的癱瘓狀態。一般來講黑客攻擊的主要手段包括針對口令的攻擊、利用網絡實施監聽、盜取、利用緩沖區溢出攻擊、過載攻擊、利用程序嵌入木馬進行攻擊、利用網頁篡改進行偽裝欺騙攻擊、利用電子郵件進行破壞攻擊等。另外還有一種網絡攻擊來自于病毒的侵襲,病毒可以通過軟件、硬件、網絡、第三方存儲工具等任何方式傳播,其傳播范圍之廣、速度之快是我們無法估量的,輕則會使網絡系統運行速度下降,導致某些軟件無法正常運行,重則會導致整個網絡系統崩塌、重要文件數據丟。
三、計算機網絡信息安全的科學防護策略
(一)實施訪問控制及入侵檢測,將非法訪問拒之門外
大力加強計算機網絡系統的訪問控制環節,能有效的杜絕非法訪問的侵入,從而達到保護網絡系統信息的安全性,提高合理網絡訪問操作效率的科學目標。因此在訪問控制中我們應強化安全防范意識,通過廣泛收集網絡操作系統、程序應用、數據包等相關信息,分析可能帶有入侵性質的訪問,并通過報警、切斷等組織行為切實保護網絡資源不被非法占用、調用及訪問。科學的訪問控制技術主要涵蓋入網階段的訪問控制、網絡權限使用的控制、目錄級別的安全防范控制、網絡屬性的安全控制、網絡系統服務器環節的安全控制、宏觀網絡監測控制、鎖定控制、針對網絡端口及節點的安全控制等。而網絡入侵檢測屬于一種主動性的防控保護行為,該技術對網絡數據信息實施監聽,并采取數據過濾的方式達到防止非法入侵的目的。
(二)生物識別技術的拓展應用
為了有效避免人為惡意冒充、侵入導致的計算機網絡信息安全威脅,我們利用根據人體特征完成身份驗證的生物識別技術強化網絡訪問的不可復制與不可仿冒性,從而切實從源頭上控制計算機網絡系統的安全。該技術由于采用了與人體特征相關聯的認證機制,因此對安全訪問控制的級別系數較傳統的身份驗證法高出許多。該方式中生物特征的驗證主要包括指紋驗證、視網膜驗證、聲音識別、掌紋驗證等,其中以指紋識別的唯一性與易操作性最能適應計算機網絡系統的安全防控需求。
(三)利用掃描技術嚴防網絡漏洞
網絡系統漏洞的掃描原理主要依據網絡環境的錯誤注入手段進行,用模擬攻擊行為的方式,通過探測系統中的合法數據及不合法的信息的回應達到發現漏洞的目的。因此我們可以利用信息獲取及模擬攻擊的方式分析網絡漏洞,從而達到檢測入侵攻擊的目的。首先可通過在主機端口建立連接的方式對服務展開請求申請,同時觀察主機的應答方式,并實時收集主機信息系統的變化,從而依據不同的信息反映結果達到檢測漏洞的目的。模擬攻擊的檢測方式則是通過模擬攻擊者的攻擊行為,對檢測系統可能隱含的現實漏洞進行逐項、逐條的檢查,從而使網絡漏洞暴漏無疑,主要的方法包括緩沖區溢出、DOS攻擊等。
(四)提高計算機網絡層次、合理完善網絡的體系結構
可靠的計算機網絡離不開先進、多功能網絡設備的完善支持,同時更需要具有先進、科學的網絡系統層次及體系結構。因此基于網絡技術的快速更新趨勢及網絡承載量的高效增加現狀,我們應采用一種全新的結構構建思想,即多層網絡模塊的設計理念,從而充分適應新時期大規模、高速化網絡的分層設計需求。在實踐管理中我們應切實抓住模塊化特點,主力構建多層次的網絡結構,使日益增多的網絡結點實現高效的分層式、秩序化、模塊化管理,并使逐步擴張的網絡運行系統的故障維護、可靠性強化等日常管理工作的便利性、快捷性實現同步提升。
四、結語
21世紀是一個嶄新的互聯網絡時代、是一個全面數字化、信息化的共享交流時代,也是一個全球可持續發展的重要轉型時期。因此面對互聯網絡的高度開放性、信息資源含量的豐富多樣性、聯結形式的高度廣泛性及信息價值的高取向我們只有正視現狀、加強認識,制定科學的計算機網絡信息安全防范措施并實施高效的普及傳播,才能真正為全社會構建一個安全、有序、良好、健康的網絡運行環境。
參考文獻:
[1]張曉薇.淺談計算機網絡安全的影啊響因索與保證措施[J].黑龍江科技信息,2009,36:101-102
關鍵詞:新一代;銀行;計算機網絡;規劃
中圖分類號:TP311.13 文獻標識碼:A 文章編號:1007-9599(2013)01-0146-02
1 引言
我國金融電子化經過“六五”時期的準備和“七五”時期的基礎建設,從無到有,獲得了長足的發展。經過20多年的努力,我國已建成金融數據通信網絡的基本框架并已開始運行各類金融業務。中國人民銀行建設的全國金融衛星通信網是金融系統信息的主干線,目前已建成1個中央衛星地面站和幾百個遠程地面衛星小站。中國人民銀行已在175個城市建立了同城資金清算系統,并陸續建成并運行了十幾個以中心城市為依托的區域網。我國各專業銀行和商業銀行均建立了從總行到基層行的基于分組交換網、電傳電報、電話專線等多種通信方式的系統內全國遠程通信網絡系統。電子化營業網點發展迅速,金融電子化已從大城市擴展到中小城市、縣和鄉鎮。現代化支付系統、新型電子化服務等均取得了較大的進展。
然而,限于技術條件,我國金融電子化還有很長的路要走。具體到銀行計算機網絡領域,當前還面臨四個方面的問題:一是網絡架構問題,網絡架構難以適應業務融合發展的趨勢;二是網絡安全問題,缺乏總體的安全策略、關鍵區域的安全防護措施不夠、多層面的協同安全防控不夠;三是網絡管理問題,網絡管理手段不夠先進、管理體系尚不健全;四是網絡服務問題,對服務融合、應用承載變化等支持不夠。
新一代銀行計算機網絡系統規劃原則,應從全局、長遠的角度出發,充分考慮網絡的安全性、易用性、可靠性、擴展性和經濟性等因素,要符合“更安全、更高效、更集約、更方便”的綠色智能發展趨勢。
2 新一代銀行計算機網絡架構規劃
2.1 網絡架構總體規劃
新一代銀行計算機網絡應建設以總行為核心的樹型網絡結構;將目前分離的各網進行融合;各類服務集中上收到總行和一級分行;提升一級骨干網的鏈路帶寬及綜合利用率;提升全行網絡的安全性、可靠性。在網絡路由規劃方面,應充分考慮各地的情況,因地制宜地采用OSPF路由協議、BGP路由協議或靜態路由協議。
2.2 數據中心局域網規劃
新一代銀行數據中心局域網應遵循水平分區、垂直分層的原則進行建設。水平分區是將承載相似業務、具有相似安全級別的網絡設備歸集為一個網絡分區,便于實施安全策略和最優數據交互。分區是根據安全性、可擴展性原則進行的,包括主機區、開放平臺區、開發測試區、運行管理區、Internet區、Extranet區、用戶接入區、城域/廣域區等,各分區均支持系統和業務的平滑、靈活擴展。由于每個分區內部仍然有不同業務,可繼續通過VLAN和IP地址再細分,進而實現不同安全細微差別控制和傳輸保障。垂直分層是將不同網絡功能界定清楚,獨立成為一個層面,包括核心層、分布層、接入層。其中核心層與分布層緊耦合,高效可靠;分布層與接入層松耦合,可以很好的支撐虛擬化資源池技術。
2.3 廣域網規劃
新一代銀行廣域網規劃,核心網可概括為高速轉發、業務分離、降低耦合、控制風險;一級骨干網可概括為就近接入、提高效率、縮短距離、節省投資;二、三級廣域網可概括為層次化、扁平化、按需配置、帶寬動態擴展多業務承載。
3 新一代銀行計算機網絡安全規劃
3.1 信息安全體系架構
信息安全體系架構,從技術維度上講,包括安全技術體系,具體有應用安全、系統安全、網絡安全、物理安全。從管理維度上講,包括安全組織與制度體系,具體有安全流程相關制度、安全策略相關制度、人員安全、安全培訓、安全組織與職責等。從運行維度上講,包括安全運行體系, 具體有安全運維服務機制、長期安全監督檢查機制、安全運行學習改進機制等。
具體到新一代銀行計算機網絡安全體系,依據國家信息安全等級保護的標準、銀監會和人民銀行的監管要求以及行業特點,應從以下方面進行規劃:安全域劃分、網絡訪問控制、防火墻、訪問控制列表、防拒絕服務攻擊系統、虛擬專用網、網絡設備自身安全、身份鑒別、特權用戶權限分離、邊界完整檢查/入網檢測、網絡入侵檢測系統、網絡入侵防御系統、異常流量監測和網絡審計系統等。
3.2 網絡安全策略
新一代銀行計算機網絡安全策略,概括講主要包括四個方面:一是網絡安全域的劃分,根據信息資產的安全屬性及安全防護需求的不同,劃分成不同的安全層次(即安全域),安全域內可以根據安全等級再劃分安全子域;二是網絡安全技術部署,根據要保護的信息資產重要性,在各個安全域中部署多方面的網絡安全防護措施,實現多方面協同防護、縱深防護;三是網絡安全管理,對整個安全防護體系的所有安全措施實施有效的監控管理;四是多層面協同工作,與其他技術條線協同工作,共建網絡安全體系,實現對信息資產的全方位的安全防護。
4 新一代銀行計算機網絡管理規劃
新一代銀行計算機網絡管理體系,應具備網絡管理平臺(包括網絡性能管理、業務影響管理、網絡事件管理等);網絡服務平臺(包括服務支持流程、服務提供流程等);網絡操作自動化平臺(包括網絡操作管控、網絡配置管控、網絡授權管控等);網絡運行質量分析平臺(包括服務水平、網絡可用性、網絡連續性、網絡容量規劃等)。
5 新一代銀行計算機網絡服務規劃
新一代銀行計算機網絡服務體系,應具備IP地址管理(包括IP地址管理規劃等);應用交付(包括內容分發平臺和應用等);網絡應用規劃(包括視頻、語音、監控系統;無線網接入;Internet接入等)。其中,互聯網與內部網有互聯的應用系統(如網上銀行),應用須在DMZ區落地;高安全等級接入用戶(如境外機構接入),須增加VPN加密隧道等安全措施;外網郵件系統與內網嚴格物理隔離;嚴格執行網絡準入策略,做好聯網終端與信息點綁定等管理工作,保證聯網終端的安全性。
6 結論
篇幅所限,本文僅闡述新一代銀行計算機網絡系統的宏觀規劃,具體的實施細節就不贅述了。在“科技創新、精細管理、持續改進、科學發展”的基礎上,新一代銀行計算機網絡系統規劃將為我國金融電子化的長期可持續發展打下堅實的基礎,為我國銀行業信息化建設作出新的貢獻。
參考文獻:
[1]黃杜英等.銀行計算機系統[M].清華大學出版社.2011(2).
[2]帥青紅.銀行信息系統管理概論[M].中國金融出版社.2010(7).
[3]屈延文等.銀行行為監管---銀行監管信息化[M].電子工業出版社.2004(11).
【關鍵詞】計算機通信網絡;網絡安全;防護體系
doi:10.3969/j.issn.1006-1959.2010.05.285文章編號:1006-1959(2010)-05-1286-02
隨著信息化發展速度加快,中小型醫院網絡開始逐步向規范化,一體化方向發展,這使得整個醫療系統對網絡的依賴程序不斷加強,而且網絡投入運行后,要求24小時不間斷運行,醫院每天產生大量數據如看病,住院、交費等,其安全問題就顯得越來越重要。雖然有專門人員在負責醫院網絡安全,但是依然存在諸多安全方面的隱患,怎樣加強醫院網絡安全正受到各大醫院的重視。本文通過對醫院網絡安全做出全面分析之后,提出通過外網和內網有防護方案,力爭建全醫院防護體系。
1.醫院網絡存在的安全問題
各大醫院各種應用服務器正向著一體化方向發展,使整個醫院網絡成為一個整體,更加有效利用現有醫療資源,醫院內的收費服器器、WEB服務器、PACS服務器所儲存的數據對安全性要求很高,醫院網絡存在安全問題:有大量來自外部網絡的攻擊和破壞,如病毒、木馬及黑客程序;數據安全丟失;軟件方面存在的安全缺陷,內外網用戶產生破壞等,一旦網絡癱瘓,會造成難以估計的損失,根據醫院網絡安全性特點,具體分為外網和內網分別進行實施。
2.外網安全措施
因為醫院每天會產生大量數據,如每天都會產生大量病人費用、各種檢查、臨床醫囑、護理費及電子病歷等重要數據,自從全國實行醫療保險以后,醫院網絡還要負責和各單位和社保局發生數據交談,其數據重要性更是對網絡安全提出了更高的要求。因此要保護數據安全第一就是要保證服務器免受來自醫院網絡外部的攻擊和破壞。通常情況下,內網和外網之間需要配備防火墻、防病毒墻等網絡安全設備以保障醫院內網的相對安全性,對于一些大型醫院甚至要求與外網物理隔斷。這就對防火墻的位置及功能有嚴格要求。一般情況下,有些醫院只對外網進行防火墻設置,但實事證明,對于大量攻擊都來自醫院網絡內部。所以在設置防火墻時,要分別對外網出口和內網出口都要做設置,使核心路由器處在一個"真空"地帶,內網與外網之間需要傳遞的數據通過核心路由器進行審查,由于兩個獨立的防火墻之間,不存在非法的邏輯連接、信息傳輸命令、信息傳輸協議,可有效保護醫院數據主服務器、web服務器及PACS服務器等重要服務器的安全,實現隔離,防止外網黑客的攻擊。配合病毒防護軟件、對于防護外網安全有非常好的效果。
3.內網存在的問題及安全措施
3.1 前面提到通過設置雙防火墻技術來防止來自于網絡的攻擊,但在實現情況中,有些醫院科室人員私自使用撥號、寬帶等方式接入外網,使內網與外網間開出新的沒有防火墻檢測審查連接通道,這樣就使的外網的黑客攻擊或者系統病毒就能夠繞過雙防火墻設置直接侵入醫院內網的計算機,盜取醫院網絡中的重要信息和機密數據,造成信息外露,有些甚至會利用已經入侵的計算機做為"肉雞",去攻擊、破壞醫院內部網張的重要服務器如數據庫服務器、PACS服務器等,而且會留下"后門",為下次入侵留下通道,一般這種入口不易被網絡管理員和防火墻發現,從而使攻擊者下次可以很輕松進入內網。這對醫院網絡安全來講是極為不得的,甚至會導致整個內網工作癱瘓,而查不出原因。
3.2 有些醫療人員會在計算機上使用盜版軟件,或從一些不可信的網絡下載來的軟件,這樣會引入潛在木馬、蠕蟲病毒等,大大降低醫院網絡的安全級別。這種方式所產生的破壞力巨大。甚至有些科室不及時升級殺毒軟件,也給病毒留下了可乘之機。對于最好不允許使用Guest賬號。不要在Everyone組增加任何權限,因為Guest也屬于該組;新增用戶時分配一個口令,并控制用戶"首次登錄必須更改口令",最好進一步設置成口令的不低于6個字符,杜絕安全漏洞;利用端口掃描工具,定期在防火墻外對網絡內所有的服務器和客戶進行端口掃描;禁止自動啟動telnet服務。限制對外開放一些易攻擊的端口,如端口號為20、21、25、80,136、137等;對一些保存有用戶信息及其口令的關鍵數據的使用權限進行嚴格限制,如可以使用強口令:增加口令復雜程度、不使用自己的生日、家中的電話號碼等容易猜測的信息來作為口令,加強登錄身份論證并最大限度使登錄者在較小的范圍內。通過操作系統和應用程序每次記錄的日志來排查易出現問題的操作或訪問,及時處理存在的安全隱患。
3.3 于以述醫院網絡安全現狀及對數據的要求,結合醫院網絡特點,采取五個方面措施,利用網絡安全技術,內外網安全都要兼顧,通過網絡安全軟硬件設備配合嚴格網絡安全管理規范,保證醫院網絡安全,建立可信可控安全網絡。具體如下:
3.3.1 制定嚴格的醫院內部網絡安全管理規范,嚴禁醫務人員非法互聯外網、私自安裝軟件、拔插存儲介質。
3.3.2 制定醫院重要信息數據及文檔保密操作規范,并嚴格管理復印機使用登記制度。
3.3.3 制定嚴密的本地安全策略和域安全策略。要求設定開機口令、建立強口令機制,禁用注冊表編輯,安裝個人防火墻、禁絕ping指令對局域網的掃描、防范LAN中ARP攻擊等一系列安全措施。
3.3.4 安裝病毒防護等軟硬件網絡安全產品,對所有網絡用戶實行權限分級管理,以確保重要數據對外露。
3.3.5 安裝新一代IDS,使整個安全防御體系更趨完善。以便動態的、全方位的監控醫院網絡用戶每一步操作和訪問過的數據。確保醫院網絡系統安全。
4.小結
總之,醫院網絡安全面臨著各方面的威脅,本文通過對當前存在安全問題分析,提出了以內網和外網雙重防護的思想,通過安裝IDS并配合防火墻及網絡安全產品,全方位,立體化監控防護醫院網絡,確保醫院網絡高效、安全的運行。
參考文獻
[1] 劉東.內網安全行業發展現狀及趨勢[J].網絡安全技術與應用.2008.
[2] 楊濤,楊曉支,(美)安瑞斯,譯.計算機安全原理[M].北京:機械工業出版社,2002:121~136.
【關鍵詞】網絡安全;網絡管理;防范措施
計算機網絡安全是通過網絡管理控制與技術措施使數據在網絡環境中的保密性,完整性和可使用性受到保護。在網絡技術帶給我們益處的同時,網絡安全的形式日益嚴峻。由于網絡具有開放性,國際性和自由性,易受到惡意軟件,黑客和其它不利的攻擊,致使網絡安全受到極大的威脅。因此,處理好網絡安全的問題,對計算機網絡的正常運作具有極大的價值。
1、計算機網絡安全
計算機網絡安全就是計算機網絡信息的安全。計算機網絡安全的內容包括管理與技術兩個方面。計算機安全管理包括計算機硬件軟件的維護和網絡系統的安全性維護,確保硬軟件的數據和信息不被破壞,保障計算機網絡系統中的數據信息不被隨意更改和泄露。而計算機網絡安全技術主要是指對外部非法用戶的攻擊進行防范,確保計算機網絡使其不被偶然和惡意攻擊破壞,保證計算機網絡安全有序的運行。計算機網絡安全管理和網絡安全技術相結合,構建計算機網絡安全體系,保證計算機網絡系統能夠連續正常的運行。
2、計算機網絡安全環境的狀況
隨著計算機技術的發展。目前,多樣的信息化網絡資源在帶給我們方便的同時,其自身也同樣的存在一定的網絡安全隱患。這是因為,網絡是開放性和自由性的,在網絡中有時會出現人為惡意侵犯信息和破壞數據等的不法的行為,由此,網絡信息環境的安全性受到了社會各界廣泛人士的關注,并予以重視,影響網絡安全的因素有以下幾點:
2.1 計算機網絡資源共享 計算機應用的主要體現就是網絡資源的共享,共享計算機網絡資源可以將同樣的信息共享給多個用戶和需求者,但是資源共享同樣也給不法分子提供了可乘之機,他們通過計算機網絡共享的性質,對網絡結構系統進行惡意攻擊,通過網絡的共享性,導致了更多的計算機用戶受到了不法分子的惡意攻擊,因為外部服務請求根本不可能做到完全隔離,攻擊者就可能從用戶的服務請求中,尋找機會,從而利用計算機高端黑客技術獲取網絡數據包等行為對用戶的網絡安全系統環境做出攻擊。
2.2 網絡的公開性 網絡中任何一個用戶都可以很方便的訪問到互聯網上的信息資源,從而獲得企業、部隊以及個人的多樣化信息。
2.3 網絡操作系統的漏洞 網絡操作系統指的是網絡間的協議和服務的實現有效載體,系統漏洞主要是對于網絡硬件設備的接口管理,另外還提供網絡通訊需求的多種協議實現與服務相關的程序。因為,網絡協議的繁瑣化,導致了其結構復雜以及相關程序創新較快,這樣就決定了計算機系統勢必存在各種協議與服務相關的程序所帶來的很多缺陷和漏洞。
2.4 網絡系統設計存在缺陷 網絡設計的主要結構是拓撲結構的設計和各種網絡設備功能篩選,網絡設施、網絡服務協議、以及計算機操作系統都會在一定意義上對計算機網絡安全環境造成一定的安全隱患。計算機網絡技術在不斷的發展,有的網絡系統設計程序不能夠做到及時的更新,這樣就會給計算機網絡技術的網絡系統設計上帶來一定的難度,所以網絡系統設計一定要在設計上多加考慮,完善自身的不足,確保網絡系統的安全性。
2.5 惡意攻擊 惡意攻擊就是指人們經常說的黑客攻擊和網絡病毒,它是最難防范的網絡安全威脅,伴隨著電腦的大眾化,這樣的攻擊也是不斷加大,對網絡安全的影響也越來越大。
3、網絡安全的設計方案
在網絡環境中人為因素比較多,這樣給網路環境帶來了一定風險,所以我們必須及時的解決相關的網絡安全問題,因此我們需要設計合理、安全網絡方案,在設計中一定要保證系統安全的完整性、可行性、可控性、可審查性、機密性。
可行性:授權計算機實體服務權的訪問數據。
機密性:系統內部的信息、數據、資源等不暴露給未授權實體或進程。
完整性:保證數據不被未授權修改。
可控性:控制授權范疇內的信息流向及對其的操作實現形式。
機密性:需要由防火墻將計算機網絡的內、外環境中未添加信任的網絡屏蔽防控隔離設置。系統在與外部交換信息的網關設置及其主機交換的信息、數據進行阻擋的訪問控制。另外,由于計算機網絡環境的不同指令業務以及不同的安全等級,也會對防火墻施行不同的LAN或網段展開隔離控制需求,并加以實現相互訪問控制。
數據加密:是指內部之間數據的傳遞,在存檔過程中實現及時的防控非法竊取,篡改數據的有效辦法。
安全審計:是對網絡系統結構中的攻擊行為進行認知與防控,追蹤查明網絡間泄密行為。主要內容有兩個方面,一種是運用網絡監管防控的手段與入侵防范系統,能夠判定網絡中違規操作與攻擊行為,并實時做出響應(如報警),加以阻斷;另一種是對信息、數據的程序內容加以審計,實現防止內部機密或敏感信息的違規泄漏。
4、網絡安全防范的作用及具體措施
為了做好計算機網絡安全的防范工作,我們通過以下幾點具體措施進行計算機網絡安全的防范。
4.1 設置防火墻 網絡安全結構中防火墻主要是指對于網絡內、外活動可進行有效的阻擋和屏蔽,設置防火墻主要是保證系統安全,讓系統可以得到有效的保障,防火墻設置是實現網絡安全最基本的和最實用的安全防范方法之一,主要是由計算的軟件和硬件設備共同組成的,防火墻的構
建可以讓用戶群體在內、外部相互訪問以及管理中建立一定的網絡權限,連接Internet之后網絡安全系統除了考慮計算機病毒、系統的強硬性之外,最主要的是防范非法入侵的侵犯行為,防火墻在一定程度上可以提高系統內部網絡的安全性,通過及時的阻擋,過濾病毒降低網絡風險。
4.2 加密技術的運用 網絡加密技術,主要是對網絡傳輸地址進行封裝和加密,實現信息傳輸的保密性、真實性。通過加密技術可以解決網絡在公網數據傳輸安全性問題,與防火墻相比較,加密技術在授權訪問控制方面相對比較靈活,非常適合用于開放性的網絡,加密技術可以在一定程度上讓其他用戶權限受限制,還可以保護靜態信息的安全。
4.3 網絡的實時監測 實用入侵檢測防范方式,主要的目的就是通過對主機與網絡之間的行為活動,進行預警和管理,這樣可以增強系統的防護能力,面對外來的攻擊者可以進一步的有效阻擋,入侵檢測系統(簡稱IDS)是指從多種渠道收集計算機網絡的信息資源,然后通過收集的數據特征分析入侵特征的網絡結構,對于分析過的入侵病毒,系統具有記憶的能力,避免系統再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持,從而增強系統的防范能力。
4.4 多層安全級別防護病毒系統 使用多層安全級別防護病毒系統,可以有效地防止病毒的入侵,防范病毒的方式可以從性質上大致分為網絡防護病毒和單機防護病毒,單機防護病毒系統是針對于本地和本地工作站連接的遠程資源采用分析掃描的方式檢測病毒,實現對病毒的清理,網絡防護病毒系統則是主要防范網絡上的入侵病毒,當病毒通過網絡的形式進行傳播時,網絡防范病毒系統可以做到及時檢測并確認病毒,給予及時的清理。
4.5 完善安全管理機制 完善安全管理機制,可以提高對網絡破壞行為實現及時的預警和防護的功能,計算機網絡環境中,保證安全的形式是根本不存在的,不斷的完善安全管理機制可以在一定程度上保護網絡的運行安全,也是防控網絡安全隱患的重要保障之一,但是前提條件必須是用戶與網絡系統管理員,遵守安全管理機制規范時的限定和運用安全管理機制,共同做到及時的防范措施,盡量減少非法行為的發生,盡量做到全面性的防范效果。
5、結束語
綜上所述,構建強大的網絡安全保障系統是如今計算機網絡發展的一個重要方向。因此,實現這一目標,應加強網絡技術進一步發展,定期對網絡進行監控,及時處理好對網絡安全構成威脅的問題。只有加強了網絡全的管理,才能使人們更好地利用網絡資源和擁有健康的網絡環境。
參考文獻
關鍵詞 電力企業;信息安全;防護措施
中圖分類號TM7 文獻標識碼A 文章編號 1674-6708(2012)65-0022-03
信息化是社會生產力與生產方式發展的一個必然趨勢,是我國顯得文明建設的一項重要標志。信息化建設能夠帶動企業管理水平與生產效能的提高,信息資源作為一種重要的資源,其重要性逐漸被人們所認識。電力企業屬于技術密集型產業,對于生產自動化與集約化都有著較高的要求,因此也是較早的進行信息化建設的一批企業,并且也取得了一些顯著的成效,但是也正是因為起步較早,缺乏經驗,因此在信息化網絡的建設中總是存在著很多問題,而這些問題已經逐漸成為了電力企業網絡信息安全的隱患,因此,加強網絡信息安全已經成為了電力企業發展的重要組成部分。
1 電力企業網絡信息安全現狀分析
各級電力企業因為生產經營與管理的需要,都在不同程度上建成了自己的自動化系統,變電站基本也實現了“四遙”和無人值守。并且也建立起了企業自己的管理系統來對生產、營銷、財務、行政辦公等工作進行覆蓋,并已經進行了實用化具有較高安全等級的調度自動化系統已經通過WEB網關與MIS之間進行相互的信息訪問,部分地方已經安裝了正向隔離器,進而實現了物理隔離與數據的安全訪問。
各個電力企業已經制定了安全策略,并實施了一部分,同時實現了互聯網的安全接入。
將營銷支持網絡與呼叫接入系統和MIS網絡進行了整合,并且已經與用戶、銀行等企業實現了信息的安全共享,對自身的服務手段進行了優化。
邊遠地區的班站基本都通過VPN技術來實現了遠程班組聯網的要求,并能夠實現大范圍的信息共享,而且應用范圍也變得更加的廣泛。利用VPN的高級應用能夠構建起基于互聯網的各種遠程服務。
2 電力企業網絡信息安全方面存在的問題
2.1不同的網絡之間沒有嚴格的進行等級劃分
根據《全國電力二次系統安全防護總體方案》,電力企業對于不同安全等級的網絡必須要進行安全等級的劃分。在縱向上,電力企業需要實現實時監控系統之間的互聯。各個自動化系統與低調系統之間都是通過載波進行單向數據轉發,而部分基層電力企業都沒有實現網絡化的數據傳輸,同時在主站與廠站之間也沒有實現光纖載波雙通道。在橫向上,要求能夠實現實時監控系統與非實時監控系統之間的相互連接。根據當前的互聯網現狀與通信現狀,主要還存在著這些問題:1)單向數據的傳輸難以實現真正意義上的數據共享,同時在與非實時系統之間的接口上也沒有進行標準數據接口的建設;2)部分電力企業沒有利用MPLS VPN技術組建數據調度網,沒有滿足相關的安全要求;3)上下級的調度之間沒有部署必須的認證加密裝置。
2.2隨著技術的發展與電力企業的業務發展,現有的網絡安全防護能力難以滿足要求
隨著信息技術的發展與電力企業自身業務的發展要求,網絡安全越來越受到重視,但是現有的網絡安全防護能力明顯不足,缺乏有效的管控手段,同時管理水平也急需要提高。如今的電力企業還缺少一套完善的服務器病毒防護系統,有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件,有的甚至還采用的是單機版的瑞星、江民、卡巴斯基等防病毒軟件,相對而言,防護能力還有所不足。當受到攻擊時,容易出現系統癱瘓。同時還沒有能夠建立起一套完善的數據備份恢復機制,如果數據受到破壞,那么所受到的損失將難以估量。沒有一套完善的網管軟件,難以對一些內部用戶的過激行為進行有效的監管,例如IP盜用、沖突,濫用網絡資源(BT下載等),等等。還沒有能夠建立起一套完善的評測和風險評估制度,對于當前電力企業的網絡安全現狀難以進行有效的評估。同時,我國也缺乏專業的評測機構,這就使得電力企業網絡安全風險與隱患都難以被及時發現和進行有效的防范,使得電力企業的防范能力難以得到持續增強。
2.3電力企業服務器存在的安全隱患
在電力系統中有著十分眾多的服務器。隨著網絡攻擊手段與攻擊技術的不斷更新,服務器攻擊愈演愈烈,因此擁有眾多服務器的電力系統成為了攻擊的首選對象。在電力企業中的服務器主要包括了數據庫服務器、應用服務器、Web服務器、算費服務器、銀電聯網服務器等多種服務器,眾多的服務器也使得其存在著嚴重的安全隱患:1)電力企業的網絡中,每一個服務器都擁有自己獨立的認證系統,但是這些服務器卻缺乏統一的權限管理策略,管理員難以進行統一的有效管理;2)Web服務器和流媒體服務器長期遭受到來自于互聯網的DDoS以及各種病毒的侵襲;3)讓郵件服務器中受到大量的垃圾郵件的干擾,并且也難以進行有效的信息監管,經常會發生企業員工通過電子郵件來傳遞企業的機密信息的安全事件;4)權限劃分不明確,容易受到來自外部黑客的攻擊,例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數據庫中的機密數據;5)與總公司服務器通信過程中有些機密信息由于沒有采取加密措施,很容易被竊聽而泄密。
2.4各種惡意網頁所帶來的網絡安全威脅
電力企業擁有自己的主題網站,并通過互聯網與外網相連。每一個電腦使用者都會通過對網頁的點擊來尋找對自己有用的信息,電力企業內網與外網相連,因此,電力企業中的員工也會通過與外網的鏈接,從互聯網中搜索對自己有用的信息,但是并不是所有的網頁都是安全的,有一些網站的開發者或者是黑客會為了能夠達到某種目的對網頁進行修改,進而達到某種目的,當電力企業的內部員工通過電力企業內部的網絡進行訪問時,就會受到來自這些惡意網頁的攻擊。
2.5設備本身與系統軟件存在漏洞
由于電力企業的信息化建設較早,這就導致了很多設備與軟件都出現了各種安全漏洞,這些都導致了不良安全后果的程度增加。信息網絡自身在操作系統、數據庫以及通信協議等存在安全漏洞和隱蔽信道等不安全因素;存儲介質損壞造成大量信息的丟失,殘留信息泄密,計算機設備工作時產生的輻射電磁波造成的信息泄密。信息網絡使用單位未及時修補或防范軟件漏洞、采用弱口令設置、缺少訪問控制以及攻擊者利用軟件默認設置進行攻擊,是導致安全事件發生的主要原因。
3 電力企業網絡信息安全防護措施
3.1進行網絡安全風險評估
電力企業要解決網絡安全問題并不能夠僅僅是從技術上進行考慮,技術是安全的主體,但是卻不能成為安全的靈魂,而管理才是安全的靈魂。網絡安全離不開各種安全技術的具體實施以及各種安全產品的部署,但是現在在市面上出現的安全技術、安全產品實在是讓人感覺眼花繚亂,難以進行選擇,這時就需要進行風險分析,可行性分析等,對電力企業當前所面臨的網絡風險進行分析,并分析解決問題或最大程度降低風險的可行性,對收益與付出進行比較,并分析有哪一些產品能夠讓電力企業用自己最小的代價滿足其對網絡安全的需要,同時還需要考慮到安全與效率的權衡等。對于電力企業來說,搞清楚信息系統現有以及潛在的風險,充分評估這些風險可能帶來的威脅和影響,將是電力企業實施安全建設必,須首先解決的問題,也是制定安全策略的基礎與依據。
3.2構建防火墻
防火墻是一種能有效保護計算機網絡安全的技術性措施,有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網絡中的各種非法訪問以及構建起起一道安全的屏障,對于信息的輸入、輸出都能夠進行有效的控制。可以在網絡邊界上通過硬件防火墻的構建,對電力企業內網與外網之間的通信進行監控,并能夠有效的對內網和外網進行隔離,從而能夠阻檔外部網絡的侵人。對于電力企業可以通過“防火墻+殺毒軟件”的配置來對內部的服務器與計算機進行安全保護。同時還需要定期的進行升級。為了防止各種意外的發生,需要對各種數據進行定期的備份。需要定期的對個硬件以及各種備份的有效性進行檢驗。電力企業防火墻體系構建如下:
訪問控制列表構建防火墻控制體系。通過對訪問控制列表的調節能夠有效的實現路由器對數據包的選擇。通過對訪問控制列表的增刪,能有效的對網絡進行控制,對流入和流出路由器接口的數據包進行過濾,達到部分網絡防火墻的效果。
配置硬件防火墻。在電力企業中硬件防火墻的使用較多,但是能夠真正發揮作用的就不多了。在使用硬件防火墻前,需要將防火墻與企業的整個網絡配置好。首先需要對防火墻的工作模式進行選擇,例如WatchGuard這款防火墻具有兩種工作模式,一種是Drop-In Mode,另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區”或者是沒有內網的網絡環節中,因此,電力企業中就應該選擇Routed Mode這種模式。然后將其中的外接網口、內部接口、“非軍事區”等選項添好,當對網絡設置完成之后,就可以利用相應的GUI 程序與硬件防火墻進行連接,并對應將防火墻進行進一步的配置。在電力企業中有很多部門,每一個部門對網絡安全的具體需求都不相同。因此,在設置時需要考慮到部門的具體情況。
3.3加強對計算機病毒的預防控制
計算機病毒的防治是網絡安全的主要組成部分,而對電力企業的網絡安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態病毒對企業的威脅,就必須從監控、強制、防止及恢復等四個階段對新型態病毒進行管理。
控制計算機病毒爆發次數,降低病毒對業務所產生的影響。我們知道,病毒從感染單臺客戶機?擴散?爆發,均需要一段空窗期。很多時候,管理人員都是在病毒爆發之后才能夠發現問題,但是這時已經太晚。因此需要能夠在病毒擴散期就發現問題根源,才能夠有效的降低病毒爆發的概率。
網絡層防毒將能夠有效的對病毒進行預防。在電力企業中,需要將網絡病毒的防范作為最重要的防范對象,通過在網絡接口和重要安全區域部署網絡病毒墻,在網絡層全面消除外來病毒的威脅,使得網絡病毒不能再肆意傳播,同時結合病毒所利用的傳播途徑,對整個安全策略進行貫徹。
預防病毒并不能夠完全的依靠病毒的特征碼,還必須要實現對病毒發作的整個生命周期進行管理。必須要建立起一套完善的預警機制、清除機制、修復機制,通過這些機制來保障病毒能夠被高效處理,防毒系統需要在病毒代碼到來之前,就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等各種手段來對病毒進行有效控制,使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在清除與修復階段又可以對這些病毒高效清除,快速恢復系統至正常狀態。
3.4開展電力企業內部的全員信息安全教育和培訓活動
安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。
開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。
4 結論
網絡安全是一個綜合系統,不僅僅涉及到技術層面的問題同時還會涉及到管理上面的問題。網絡上,無論是硬件還是軟件出現問題都會對整個網絡安全形成威脅,產生出網絡安全問題。我們需要通過系統工程的觀點、方法對當前電力企業中的網絡安全現狀進行分析,并提出提高網絡安全性的措施。在電力企業的網絡中,包括了個人、硬件設備、軟件、數據等多個環節,這些環節在網絡中所具有的地位與影響都需要從整個電力企業的網絡系統去進行整體的看待和分析。電力企業的網絡安全必須要進行風險評估才能夠制定出合理的計劃。
參考文獻
[1]余志榮.淺析電力企業網絡安全[J].福建電腦,2011(7).
[2]周偉.計算機網絡安全技術的影響因素與防范措施[J].網友世界,2012(1).
[3]張鵬宇.電力行業網絡安全技術研究[J].信息與電腦(理論版),2011(1).
【關鍵詞】廣電系統 信息安全 對策分析
數字化、網絡化時代下,信息安全成為人們普遍關注的問題。廣電網絡是我們國家的基礎性的信息設施,直接關系著國家的利益和廣大人民群眾的利益。在時代下互聯網是開放性的,雖然廣電系統中的信息安全技術在不斷地更新和發展,但是各種非法攻擊破壞系統還是對國家的廣電信息系統造成了重大的損失。這對廣電系統的信息安全技術無疑又提出了巨大的挑戰。
1 廣電系統中信息安全技術體系存在的問題
1.1 互聯網絡信息的威脅
隨著廣電信息網絡的數據業務的不斷發展,廣電網絡會提供電子郵件、視頻下載等服務,而這些服務會引入大量的系統病毒、木馬病毒等不同性質的病毒,輕則會使廣電系統中的一臺服務器喪失工作能力,重則會使整個廣電系統中心癱瘓。
再者就是,對電子信息業的使用和管理我國尚未形成完整而規范的法律法規制度,這使得信息在可靠性、完整性和真實性等方面缺乏有利的保障。網絡信息安全不能得到及時有效的防控,那么廣電的安全也就無從談起。
1.2 網絡基礎設備的安全威脅
從計算機自身系統來看,其自身的安全和保護功能較為脆弱,來自網絡的攻擊隨時可能產生,計算機病毒的破壞性、傳染性和潛伏性等,這些問題讓廣電信息安全有了較大的困難。
網絡擁塞問題,地域網、入戶網等如何建立拓撲關系到整個網絡的安全、順利運行。網絡設備的性能問題,雙向化上下行頻率分配問題,接入控制問題,網絡協議接入標準問題……這一系列的問題都會影響廣播電視系統信息的安全問題。這些作為人為可以控制和管理的問題是可以避免的,但是如果不加強管理和整治終究會影響到廣電系統的信息安全。所以說相關部門需要做好本職工作,防患于未然。
1.3 技術管理人員的技術落后
在現在的廣電系統中大多數的管理人員都是兼職人員,在技術管理上明顯存在不足,特別是對一些新型的網絡病毒更是不知所措。這就使得一些網絡病毒乘機而入,對廣電系統環境進行破壞,導致系統癱瘓,無法正常運轉。最終影響廣電系統信息的傳輸與接收。所以,對于廣播電視行業而言,培養一批專業的管理技術人員,加強對這些專業技術管理人員的培訓是很有必要的。
2 加強廣電系統中信息安全技術體系措施與建議
2.1 大力推動技術創新,加強網絡信息技術開發
不斷加強網絡技術的研究與開發,形成高效的技術防范體系,進一步提升對危害網絡信息安全的不良信息的發現與管理控制能力。采用加密技術、水印技術等對用戶的身份進行標識,防止不良信息的上傳。同時,對于關鍵性的網絡設施和網絡信息,可以對行業內部的技術人員開展授權和身份驗證工作,確保工作的有序無誤的開展。
2.2 制定網絡信息安全保障體系與措施,健全網絡信息安全法律制度保障體系
應該說,法律的保護是廣電系統信息安全的有利防控線。所以在新的廣播電視行業形勢下,需要制定相應的法律法規。我們要充分發揮法律法規的制度保障作用,嚴格規范不法的行為,使得廣電系統的信息安全得到法律的有效保障,維護廣電系統的網絡信息安全,使得整個廣電系統有章可循。
2.3 加強對技術人員的管理
對于技術人員的管理,我們首先要做的是要設定專職的專業技術管理人員,這樣才能在技術上得到保障。其次,要不斷加強對信息技術管理人員的信息安全教育,尤其是保密的教育。只有在技術管理人員具有高度的可靠性的情況下,廣電信息的管理才能得到安全的保障。再者就是要確保檔案信息的安全性,這主要是還得從制度上進行管理。在對庫房管理、檔案借閱等方面要做到有制度、有規范;其次,在操作上要做到信息管理工作的嚴格、細化,管理人員應有嚴格的操作規范,做到對廣播電視系統信息的安全負責。這樣可以在一定程度上解決一些不利于信息安全的因素。
2.4 建立信息安全技術體系
信息技術安全體系的建立涉及到了行業領域的各個環節,因此必須建立完整的安全防護體系保證信息系統的安全、穩定運行。建立信息安全技術體系的前提是要合理劃分安全域,然后是針對安全域的邊界安全及內部進行重點安全防護,最終形成完整的信息安全技術體系,維護廣電系統的信息安全。
安全域的合理劃分。安全域的劃分是對系統實施分級安全保護的前提條件,是對安全域進行等級劃分的安全保護。通過對安全域的合理劃分,可以明確網絡邊界,便于實現對物理區域和網絡區域之間的有效隔離和訪問控制。信息安全技術體系利用各種安全技術作為安全管理和運行落實的重要手段,最終支撐信息安全體系的建設。所以,在對安全域進行合理劃分的基礎,要實現安全域防護技術的有效設計,使信息安全技術體系得到完善。
3 結束語
信息化、網絡化、數字化時代下信息的開放性與日俱增,一方面它為人們的工作和生活提供了較大的便利,但是,也使得信息的傳播存在著不安全性。計算機病毒、木馬等通過互聯網嚴重影響和威脅著信息的傳播。廣電信息在社會中起到了促進交流、方便協作的作用。因此,我們要對廣電系統的信息安全給予高度的重視。通過我們上述對廣電系統的信息安全的討論,對問題的研究和對策的提出,來增強廣電系統信息的安全,推動廣電事業的快速發展。
參考文獻
[1]張增嶸.信息安全監控平臺的研究與實現[D].浙江工業大學,2009.
[2]李迅.網絡環境下的文檔管理系統[D].大連理工大學,2000.
[3]郝文江,馬曉明.三網融合背景下信息安全問題與保障體系研究[J].信息網絡安全,2010(9).
[4]楊狀振.從網絡信息安全角度看三網融合[J].信息網絡安全,2010(9).
[5]梁煒瑩.數字電視信息安全研究[D].華南理工大學,2009(12).
