時間:2023-09-17 15:04:11
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全建設方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
廣州某醫院擁有專業技術人員1100余人、床位850張、專業學科43個,現已發展成為集醫療、教學、科研、預防、保健、康復功能于一體的、面向海內外開放的綜合性現代化醫院。隨著信息化的發展,該醫院的醫療系統也進入了數字化和信息化時代,大型的數字化醫療設備、各種醫院管理信息系統和醫療臨床信息系統在醫院中得到應用。數字化醫療建設,不但使醫院的工作流程發生了變化,同時也對醫院信息化建設提出了更高的要求。
目前,該醫院已應用了HIS、EMR、LIS、PACS等信息系統,涵蓋了醫院日常工作流程,比如掛號、診療、化驗、劃價、收費等,同時也覆蓋醫院各個角落,如病房、藥房、醫療設備等。隨著電子病歷、遠程醫療的不斷發展,病人在就醫過程中的信息將越來越多地以數字化的方式保存在醫院的醫療信息系統中。
如何保證這些醫療數據的安全性、有效性,是醫院信息系統所面臨的、不可回避的問題。
2011年底,該醫院新大樓建成,華僑醫院的信息網絡改造項目也同步啟動。這次改造不僅要提高網絡與信息系統基礎設施建設,而且還將信息系統安全建設納入其中。該醫院的信息安全主管人員清醒地認識到:醫院信息系統的正常運行,不僅包含網絡、主機設備的正常運行,還包括存儲在醫院應用系統中的各種數據的安全性和可靠性得到保障。
此前,該醫院的信息系統已部署了防火墻、入侵檢測系統和網絡防病毒系統等安全產品。為了此次新大樓的網絡安全改造建設,醫院邀請產品供應商和業界優秀的公司共同探討新信息系統的安全建設方案。該醫院希望其安全建設方案能夠實現以下功能:既要考慮現有系統的安全、有效運行,又要兼顧華僑醫院未來五年的信息化發展。
作為該醫院原有信息安全產品供應商,北京冠群金辰軟件有限公司(簡稱冠群金辰)也參與了新信息系統的安全建設,并提出針對該醫院的安全解決方案建議。
解決之道
冠群金辰認為,該醫院現有信息安全系統中的防火墻、防毒墻、IDS和防病毒的防護架構可以保留,但隨著醫院新大樓投入使用,網絡中的終端節點會增多,網絡流量將大幅增長,所以,需要對現有防火墻、IDS等系統進行升級,提升現有防護系統的處理能力,以適應網絡提速的要求,保障正常的網絡業務運行;同時,針對網絡中新增的客戶端節點,繼續部署防病毒系統和終端安全管理系統,以應對越來越復雜的終端安全防護問題。
針對目前醫院網站服務器保護的安全盲點,冠群金辰提出了針對Web網站安全建議:使用專業的網站防護系統采用層次化的Web主動防護技術,對醫院網站服務器進行有效防護。
實際上,冠群金辰為該醫院提出的網絡安全整體解決方案涵蓋了從邊界、網絡到主機,多層次的縱深防御體系。該方案在邊界通過防火墻、物理隔離設備將非法訪問、病毒、入侵攻擊等阻擋在網絡外部。在網絡層面,該解決方案對網絡中的流量進行檢測,查找正在發生或將要發生的網絡攻擊,并及時采取措施,比如報警、阻斷、記錄等。
對于網絡安全中常見的病毒、信息泄露等安全威脅,該方案中的防病毒軟件和終端安全管理系統為主機系統提供了基本的安全保障。
冠群金辰為此方案提供了KILL系列安全產品,即KILL防火墻、KILL入侵檢測系統、KILL上網行為管理系統、KILL防毒墻、KILL網絡防病毒系統、KILL終端安全管理系統和KILL Web安全網關,為該醫院的網絡構筑了一個多層次的安全防護體系。從網絡訪問控制、流量控制、入侵攻擊、病毒查殺、終端準入和Web防護等方面,該方案對該醫院的網絡提供全面的安全保護。
關鍵詞:區域醫療信息化;網絡安全防護;安全規范建設
隨著醫療單位的信息化發展,各地積極建設醫療服務信息共享平臺。區域醫療信息共享平臺具有節點多、應用復雜等特點,平臺中包含大量患者隱私信息數據,必須保證網絡運行安全,避免出現信息泄露事件。上海市級信息化共享建設項目為了保證醫療共享平臺的網絡運行安全,積極部署安全防護技術,實施安全防護策略,取得了良好效果,可以為其他地區的醫療信息平臺建設提供參考。
1區域醫療信息化建設項目及網絡安全建設要求
1.1上海市級信息化共享建設項目
上海市級信息化共享建設項目是國內覆蓋范圍較大、涵蓋大型醫療機構較多的區域醫療信息化建設項目。該項目工程覆蓋30多個網絡醫療節點,其中包含23家市三級醫院和6家市三級醫院分院,連接長寧、閔行和盧灣等眾多區縣級衛生數據中心。如此規模的醫療信息服務平臺對網絡數據安全有極高要求,任何一個節點出現問題,都會威脅到整個系統的網絡數據安全。所有聯網醫療機構都需要在信息化共享平臺中交換信息數據,其中包括患者個人信息、既往病史、醫療檢查報告等,涉及到大量個人隱私數據。各個節點或醫療數據中心在進行數據交互過程中,既要提高信息共享程度,又要保證各醫院網絡的相對獨立性,避免互相產生干擾。
1.2網絡安全建設要求
區域醫療信息化建設對系統平臺的網絡安全有極高要求,網絡安全框架的構建涉及到醫院行政管理、業務操作、技術部署等各個方面,要從整體上確保網絡運行安全,準確識別各種潛在安全風險,建立全方位的安全防護體系,并根據實際需要調整安全管理對策,適應網絡安全防護需要。此外,還要建立統一的安全管理規范,在系統內部的各網絡節點進行有效落實,加強網絡安全控制力度。總體來看,醫療信息共享系統的網絡安全建設要符合可靠性、開放性、可擴展性、安全性和易于管理等基本要求。
2區域醫療信息化建設中的網絡安全防護措施
2.1安全技術部署
在區域醫療信息化建設過程中,網絡安全防護技術的應用是網絡信息數據安全的基本保障。針對區域醫療信息共享平臺的復雜性,應綜合運用多種安全防護技術,建立立體化網絡安全框架。區域醫療信息共享平臺的安全技術主要包括:2.1.1防火墻技術在上述上海市級醫療信息共享系統中,分別在數據中心和外網接入口配置兩臺千兆防火墻,互為熱備,將數據中心的應用處理與外部網絡隔離開來,實現對內部信息數據的保護。在整個信息平臺中,對防火墻進行路由限制,使數據中心只接受系統內醫院網絡的訪問,醫院端則只接受數據中心的訪問,極大提高了系統的安全性。醫院節點的防火墻部署則分為三個區域,分別是醫院內網、聯網接入區和DMZ區。其中,內網可以訪問數據中心,但數據中心禁止訪問內網,最大程度保證各醫院信息系統的獨立運行和網絡安全。2.1.2入侵檢測技術在上海市級醫療信息共享平臺中,配置有一套完整的入侵檢測系統,采用兩臺千兆探測引擎布置在內網核心處,并在Web服務區配置兩臺百兆探測引擎,對所有探測引擎進行統一監管。在信息共享平臺中,內網核心區一級Web區的交換機是入侵檢測技術的主要應用部分,要將其網絡流量通過鏡像方式映射到入侵檢測系統中,實現對關鍵部分的網絡風險檢測,及時識別網絡攻擊行為。2.1.3漏洞掃描技術防火墻與入侵檢測技術均屬于被動防護手段,漏洞掃描技術則是一種主動的網絡安全防護措施,根據醫院信息共享系統的網絡安全要求,定期、不定期的對系統進行安全掃描,并作出安全等級評估,為系統安全提供保障。一旦在掃描過程中發現系統漏洞和安全隱患,及時采取措施進行修補,確保系統更新維護的及時性。
2.2安全防護對策
在綜合應用各種安全防護技術的基礎上,還要建立周全的安全防護對策,針對醫療信息共享系統的主要風險問題進行有效防范。醫療信息共享系統面臨的主要安全風險問題包括身份竊取、數據竊取、假冒、路由錯誤、拒絕服務和非授權存取等。上海市級醫療信息化共享系統主要采取以下幾點安全防護措施:2.2.1邏輯建網措施醫療信息共享網絡采用政務外網線路,將用戶接入到托管機房,與公務網進行物理隔離,與互聯網進行邏輯隔離,保持系統網絡的獨立性,禁止未授權單位訪問。2.2.2網段隔離措施整個平臺系統可以分為數據中心及網絡節點兩部分,網絡節點即各個醫院的端節點,數據中心又可以分為內網應用處理區與Web服務區。應用處理區負責數據采集、分析、匯總等工作,并與衛生局等關聯單位進行數據交換。Web服務區是醫院的對外門戶網站,用于重要信息,并根據功能進行子網劃分,加強子網之間的信息訪問控制。2.2.3網絡設備配置措施對醫療信息共享系統的網絡設備進行合理配置,布置好安全防護設備,為安全技術的應用提供設備保障。增加訪問控制列表,建立內部訪問控制措施,關閉一些不必要的服務功能,避免出現資源掠奪。強化過濾功能,防止非法訪問接入。采取權限管理措施,為內部人員設置不同級別的賬戶權限,避免越級操作。此外,還要確保設備配置文件的安全,避免安全防護方案泄露,對系統網絡安全造成威脅。
3結束語
綜上所述,網絡安全建設是區域醫療信息化建設的首要問題,采取有效的安全防護技術和措施,可以為醫療信息系統安全提供保障,從而最大化的發揮醫療信息共享系統的積極作用。通過綜合應用防火墻、入侵檢測等安全防護技術,可以建立立體化安全防護框架,為醫療信息系統提供全方位保護。在此基礎上,根據系統安全需要,采取有效的安全防護措施,可以進一步提高網絡安全管理水平。
參考文獻
電視臺給予網絡安全相當高的重視程度,是因為電視節目播出的安全性和信息的保密性是電視臺的追求和目標。電視臺的網絡信息極其關鍵,它掌控電視臺的存亡。要使電視節目安全播出,電視臺網絡安全不容忽視。廣播電視臺在傳播信息時,信息傳輸速度和質量的提高往往會依靠計算機技術,然而,計算機技術的網絡風險極大,信息容易外泄或遭受竊取。隨著時代的發展,電視臺網絡安全遇到了極大的挑戰和機遇,提高網絡的安全性義不容緩,網絡安全建設是一個龐大的建設。
2電視臺網絡安全的重要性以及網絡安全的問題
2.1電視臺網絡安全的重要性。在廣播電視臺的發展中,互聯網與信息技術是必不可少的。然而,互聯網的快速發展以及信息技術的迅速提升使之出現了網絡安全問題,隨之也成為廣播電視臺極其重視的問題。對于廣播電視臺來說,網絡安全是極為重要的,對其能否正常運行有著重大的意義。相應的工作人員都應給予網絡安全高度重視,了解其重要性。第一,電視臺網絡安全是數據信息傳輸時的保障,是處理信息時的安全保障,保障信息不外泄或被竊取。第二,提高電視臺處理信息的速度和提升其能力,都以網絡安全為基礎,提高互聯網應用能力也以網絡安全為保障。第三,網絡安全的穩定,電視臺的信息與數據才能得到保護并有效地處理。因此,為了保護電視臺信息不被竊取等外部攻擊,管理者必須采取相應措施來加強建設網絡安全,推動電視臺與廣播的發展。2.2電視臺網絡安全的問題。電視臺網絡安全的問題不容忽視,更是亟待解決的一大問題。首先,在網絡硬件系統中占有重要地位的信息系統硬件在保護網絡安全和信息安全的過程中起到了主要的作用。然而,現如今大多數信息系統硬件的安全系數較低,存在著極大的安全隱患。一些只為了追求網絡信息的數量,而忽略了信息建設是否安全,導致許多地方的網絡技術沒有人監管,而給病毒有了可乘之機,使得病毒在網絡上瘋狂繁殖。病毒可以控制電腦、破壞電腦,以及攻擊特定的服務器,導致局域網的總臺遭受癱瘓。無孔不入的病毒帶來的毀滅性是強大的,網絡安全受到嚴峻的挑戰。其次,物理運行環境的好壞也影響著網絡安全的問題。如果計算機在惡劣的物理環境下運行,比如在發生雷電、火災的情況下,計算機就不能正常運行,設備也會受到損壞而發生故障。
3電視臺網絡安全解決對策
3.1加強網絡安全技術。第一,設置防火墻。防火墻是保障網絡安全的重要渠道,它能防止黑客以及一些不良信息入侵電視臺的網絡,能提高電視臺網絡防御能力,確保電視臺信息數據得到安全的保障。第二,使用防毒軟件。使用防毒、殺毒軟件也是保障網絡安全的重要手段之一。防毒軟件能有效地阻擋病毒的入侵,具有較強的防毒功能。根據當地電視臺的實際情況安裝相適應的防毒軟件,能有效地加強網絡的安全性,防止病毒入侵摧毀網絡系統設備。第三,使用密碼技術。在如今信息傳輸和數據通信的時代下,密碼技術是不可缺少的。密碼技術能有效地防御信息外泄,保護網絡的安全。密碼技術對數據信息進行加密,運用信息解密和加密數據的方法來保障數據信息的安全。因此,廣播電視臺應對密碼技術重視起來,引進密碼技術并靈活地使用密碼技術于處理電視臺信息數據的過程中。3.2進行網絡安全檢測。在發送網絡信息之前,需對其進行檢測和檢查工作,并提前對信息進行監察以保障網絡系統的安全性,這就是安全檢測。廣播電視臺的信息之所以很復雜,是因為其數據來源范圍大,而這就會導致電視臺網絡安全受到威脅。為了數據信息能安全存放,這就需要引進安全檢測,防御信息處于危險的環境中,加強電視臺的網絡安全。3.3建立虛擬專有網絡。擁有優越的技術,促進虛擬專有網絡的發展。虛擬專有網絡在電視臺網絡安全發展中起到了一個重要的作用。現實網絡在虛擬專有網絡的掩護和保護之下,能夠有效地提高電視臺網絡的安全性,減少網絡攻擊電視臺的頻率。因此,廣播電視臺應把虛擬專有網絡投入應用當中。3.4加強安全管理,提高管理水平。電視臺網絡安全的管理工作非常重要,強大的安全管理能極大提高網絡的安全性。物理層面的安全管理是物理層面的網絡安全問題的必經之路,是因為物理層面既是獨特的,又是獨立的,而信息處理和交換的層面即指物理層。因此,廣播電視臺應高度重視物理層面的安全管理,根據不同的情況建立不同的物理層面,做好物理層面的隔離工作,符合網絡安全需求,使電視臺網絡安全得到提升。管理水平的高低也給廣播電視臺網絡安全帶來不同的影響。因此,建立一支高素質、懂技術、善于管理的員工隊伍是極其重要的。對外引進人才,對內加強崗位、員工培訓,適當激勵員工發展,這樣才能壯大隊伍,才能變得強大。擁有一支強大的員工隊伍,我們才能為新時代的電視臺提供更有效的網絡安全建設服務。3.5政策上的積極有力的支持。建設電視臺網絡安全不僅僅只是為了宣傳系統,還為造福百姓而努力著。但改造有線電視網絡安全以及整體轉換數字電視需要很多的財力、精力,需要政府部門的配合與支持。只有政府部門給予積極的支持,才能營造出一個良好的環境。轉換數字電視這項偉大的工程建設需要政府部門給予資金上的大力支持和理解,政府在政策和經濟上一并支持,才能有利于電視臺網絡安全的發展。
4總結
總而言之,新時代電視臺的網絡安全不容忽視。由于網絡信息數量增長迅速和快速的信息傳播速度,電視臺網絡安全受到威脅是不可避免的。電視臺的節目信息會遭到外泄,甚至被竊取,導致于電視臺無法進行正常運作。當信息傳輸渠道被破壞時,傳輸時間會增長,那么電視播放質量就會下降。而一些黑客還會篡改或者摧毀信息,使得電視臺網絡安全遭受嚴重的危害。因此,相關工作人員一定要認識到網絡安全的重要性和嚴峻性,加強網絡安全技術,采取相關的網絡安全解決對策,推動新時代電視臺網絡安全的發展。
作者:圖亞 單位:新疆博爾塔拉蒙古自治州精河縣電視臺
參考文獻:
[1]何雄彪.電視臺網絡安全解決方案的分析[J].決策與信息旬刊,2015(5):106.
[2]劉海蕓.廣播電視臺業務網絡網間安全方案設計[J].聲屏世界,2016(s1):45-47.
[3]楊璞.智能手機泄密風險分析及安全保密技術解決方案研究[J].網絡安全技術與應用,2015(4):138-139.
[4]程琦.計算機網絡信息安全影響因素與防范解析[J].網絡安全技術與應用,2016(2):6.
【論文摘要】計算機網絡的技術發展相當迅速。隨著互聯網上黑客病毒泛溢,網絡犯罪等威脅日益嚴重,網絡安全管理的任務將會越來越艱巨和復雜,抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。
0引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1電子商務的概念和特點
1)電子商務的概念:電子商務(ElectronicCommerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
[1]柯新生.網絡支付與結算[M].北京:電子工業出版社,2004.
1)電子商務的概念:電子商務(ElectronicCommerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被****的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
關鍵詞:高校;圖書館;網絡安全;設計與實現
中圖分類號:TP393.08
隨著網絡閱讀形式的普及,高校作為文化與技術資源的匯聚地,圖書館的運作逐漸走向網絡化和數字化。高校圖書館的數據庫系統具有資源覆蓋范圍廣、學科與技術種類豐富、數字資源量大等特點,能夠為廣大的高校教師與學生提供全面的學術研究信息服務。然而同時高校圖書館也將面臨著網絡安全的問題。圖書館資源網絡化是將圖書館資源面向更加廣泛的受眾用戶群,而網絡中存在著木馬、病毒、黑客等安全隱患,同時環境因素、認為因素等也威脅著高校圖書館網絡的安全,因此,在高校圖書館網絡安全建設上采用完善的安全防護設計和制定相應的安全防護制度對于高校圖書館網絡安全都具有非常重要的意義。
1 高校圖書館網絡面臨的安全威脅
1.1 運行環境安全威脅
計算機與聯網設備屬于高精度電子設備,其運行環境對于溫度、濕度、供電穩定性、電磁干擾等具有一定的要求,而在這方面大多數高校圖書館并沒有在機房建設時充分考慮到這些方面的因素,因此,對圖書館服務器、計算機設備的穩定性和安全性帶來一定的隱患。同時,數字圖書館的建設要考慮到一些自然環境因素對圖書館網絡安全的影響,譬如:雷電、火災、地震、腐蝕性物質等,對于圖書館的網絡安全都具有一定的威脅性。
1.2 硬件環境安全威脅
高校圖書館擁有強大的服務器和交換機,能夠為近千臺終端計算機提供服務,圖書館服務器的穩定是圖書館網絡應用的關鍵。由于目前所使用的操作系統,無論是Windows、Linux還是UNIX都存在一定的系統漏洞,因此,在網絡攻擊上,對于圖書館服務器的攻擊形式非常的多,譬如:DOS攻擊、ARP入侵、SQL注入、木馬植入等。此外,為了更好的服務于高校師生,大多數高校圖書館網絡TCP/IP協議采用的是系統默認設置,方便多用戶接入,但是這給圖書館服務器安全帶來了較大的威脅。
1.3 軟件環境安全威脅
數字圖書館的建設需要大量的軟件應用,而目前很多病毒都集成在應用軟件中,用戶下載軟件、安裝軟件過程中容易攜帶對圖書館服務器造成破壞的惡意程序,尤其是當圖書館與互聯網相接入后,各種具有隱藏性、觸發性、植入性、寄生性的病毒隱藏在互聯網應用中,而高校圖書館網絡互連很容易相互傳染,最終導致整體癱瘓。
1.4 網絡系統安全威脅
高校圖書館網絡與互聯網連接,給黑客攻擊創造了條件,他們利用網路漏洞掃描、嗅探、欺騙、后門、口令破譯等手段直接進入高校網絡圖書館后臺服務器管理系統中,刪除重要文獻資料、篡改信息、盜用資源等,給高校數字圖書館造成了嚴重的威脅。
2 高校圖書館網絡安全建設的設計與實現
2.1 高校圖書館網絡安全運行環境設計與實現
高校圖書館系統運行的安全是數字圖書館建設的首要環節,在建設運行環境方面要對圖書館服務器主機房的選址和環境布置進行科學的規劃,并采用多種安全防護系統加以保護,譬如:建設穩定的供電系統、防火系統、通風系統和安保系統。
高校數字圖書館用電量大,對電壓的穩定性要求高,因此,在供電系統設計上要采用具有功率大、耐用時間長、防雷電等性能的雙機并聯UPS系統。
高校圖書館服務器機房防火系統建設可以采用針對計算機等大用電量的電子設備專用滅火系統,譬如:采用七氟丙烷氣體自動滅火系統,具有較好的清潔、絕緣、高效能等特點,同時該系統要具備自動火災探測預警系統和火災環境超標自動滅火機制。
高校圖書館主機房由于設備散熱量較大,應配備24小時運轉的機房專用空調,機房專用空調具有上送、下回送風功能,能夠保證高校圖書館主機房各個方向的溫度均衡。同時,機房專用空調具有溫度自動探測功能和溫度超標預警功能,條件允許的狀況下,可配置雙空調系統,為出現故障時可備用。
由于高校圖書館主機房設備具有很高的價值,因此,對于防盜監控應專門設計安保系統。安保系統應具備機房各個角落全方位監控功能,并具備紅外預警裝置,當發生偷盜設備時,可及時發出警告,并通過校園網直接連入校園保安室。在管理上可采用專人專管,設置門禁系統。
2.2 高校圖書館網絡安全硬件系統設計與實現
高校圖書館硬件配置要首先具備雙機熱備系統,可確保圖書館服務器安全運轉。其次,要具備數字圖書館資源獨立存儲系統和獨立應用系統,圖書資源存放在存儲系統中,不附加應用軟件,降低被惡意攻擊的威脅,應用系統在調用存儲系統中資源時需要提供正確的密鑰,確保資源調出安全。第三,數字圖書館與校園網絡相連接要建立安全防護機制,譬如建立防火墻等。第四,硬件選擇要具備國家認可的相關合格證明,同時設備要具備后續改造升級的能力,設備接口采用標準化接入,具有良好的兼容性,以降低升級改造費用。
2.3 高校圖書館網絡安全軟件系統設計與實現
高校圖書館網絡安全軟件系統包括系統軟件和應用軟件。在系統軟件設計上采用穩定性、安全性高的操作系統,通常在UNIX系統環境下的操作系統抗威脅能力較Windows和Linux更強,尤其是UNIX所衍生出的針對于圖書館應用的操作系統,如:AIX、Solaris等。在操作系統安裝過程中,選擇自定義安裝,根據需要設置較為安全的權限管理,同時為操作系統安裝最新的安全補丁、殺毒軟件、防火墻等。停止使用Guest用戶登陸,設計較為復雜的管理員用戶名及密碼,將IIS訪問權限設為高級。
在應用軟件應用上,在應用系統中安裝正版的應用軟件,并根據用戶級別設置數據庫的訪問權限,加強應用軟件安裝的安全檢測能力,如檢測到用戶安裝的應用軟件攜帶病毒或者木馬則強行停止安裝。
2.4 高校圖書館網絡安全網絡系統設計與實現
目前,高校圖書館面向社會化開放,這就導致來自互聯網的威脅給高校圖書館網絡安全性面臨著嚴峻的考驗。高校圖書館與外部網絡連接需要通過高端的防火墻和完善的用戶認證,阻止外部用戶直接訪問高校圖書館數據庫,并且對外隱藏IP、網關等信息。在高校圖書館內部網絡建設上要建立獨立的局域網絡,采用VLAN技術對不同圖書館資源利用區域進行劃分管理,設置自動軟件升級、防火墻升級和定期殺毒。
3 高校圖書館網絡安全防護對策
建設高校圖書館網絡安全防護體系,需要對高校圖書館網絡構建成為多層次、多方面監管的安全防護網絡,在安全防護對策上應遵循以下幾方面原則,確保高校圖書館網絡安全運轉。
3.1 安全防護的全面性
在構建高校圖書館網絡安全體系時,要從軟、硬件、環境等方面進行物理性安全防護,還要不斷的提高安全技術能力和監管力度,確保圖書館機房的安全運轉。同時,要做好突發問題應急處理機制,當出現故障時能夠將損失降到最低。
3.2 安全防護的最小權限性
構建高校圖書館網絡安全等級權限分類,以可提供最少服務權限為原則,建立最大安全防護措施,權限等級要分明,嚴格執行權限管理制度。將數據庫系統與應用系統區分管理,數據庫管理權限設置管理人數越少越好,盡量避免用戶瀏覽非圖書館允許類網站,將惡意網站登記到應用數據庫中,禁止訪問。
3.3 安全防護的集中管理性
高校圖書館網絡安全集中管理是將多種安全防護措施進行統一管理,由專業的網絡安全管理專家進行監控。在管理上不僅要從技術上進行研究,而且需要在制度上進行嚴格管理,譬如:建立安全責任制度、日常維護制度、數字圖書館應用制度、資料備份制度、保密制度等。對于各項制度的落實要進行統一集中的管理,方便制度的執行與落實。
3.4安全防護的長期性
網絡環境更新速度快,惡意攻擊、病毒類型等不斷演變,新型的攻擊手段和木馬病毒不斷涌現,這就要求高校圖書館網絡安全建設要具有可升級、可擴建能力,不僅要及時更近防火墻、殺毒軟件,在硬件設備上要具備可擴展性,能夠提高硬件安全,建立長期的安全防護機制,做到實時監管、實時控制。
4 結束語
高校圖書館是高校文化與技術資源聚集融匯的地方,在面對數字化圖書館的需求方面,高校圖書館不僅要建立豐富的資源網絡,而且要確保高校數字圖書館的應用安全。在高校圖書館網絡安全建設上,環境、設備、軟件、管理要統一目標,科學建設、加強監管,利用先進的網絡安全技術和完善的管理制度實現高校圖書館數字化安全運轉。
參考文獻:
[1]馬敏,劉芳蘭,寧嬌麗.高校數字圖書館網絡安全風險分析與策略[J].中國安全科學學報,2010(04):130-135.
[2]高琦.數字圖書館網絡信息安全分析及對策研究[J].圖書館學刊,2012(06):132-133.
[3]王元.高校數字圖書館信息安全保障研究[J].圖書情報工作(增刊),2010(02):327-331.
[4]顏昌茂,周吟劍,.高校圖書館網絡安全系統的構建[J].情報探索,2014(01)108-111.
[5]金文新,高校圖書館計算機網絡系統安全策略的設計與實現[J].圖書館論壇,2009(06)80-83.
關鍵詞: BOSS系統;風險評估;廣電
中圖分類號:F49 文獻標識碼:A 文章編號:1671-7597(2012)0210099-01
1 項目背景
隨著公司整體融資上市,陜西廣電確立了“管理架構集團化、產業發展多元化、經營運作市場化”的“三化”戰略構想,并在全國率先完成網絡整合,實現有線電視業務和數據多業務等全業務運營,公司從傳統的有線電視運營商向綜合信息服務供應商轉型。2010年,伴隨三網融合的逐步推進,陜西廣電將加大全業務運營的步伐,有線電視數字化、數據業務、高清、互動業務等蓬勃發展。為適應企業業務的轉型和業務的飛速發展,陜西廣電于08年開始建設自己的運營支撐平臺BOSS系統,這是陜西廣電業務運營上臺階、管理上品質的一次里程碑式的重要舉措,將全面優化陜西廣電的業務運營,全面提升企業運營效率,因此,BOSS系統建設的成敗、是否安全穩定的運行對于陜西廣電至關重要。
根據信息安全與信息系統“同步規劃、同步建設、同步運營”的三同步原則,陜西廣電決定同步著手構建BOSS系統的信息安全體系。從風險控制以及安全經濟效益的角度,“以安全保發展、在發展中求安全”,避免來自信息安全方面的風險,實現BOSS系統安全可管理、可運營,增強企業可持續發展的能力,最大限度實現間接的安全經濟效益的提升。
那么,BOSS系統的信息安全如何建設、如何運營管理,依據是什么?信息安全風險評估是企業信息安全建設中關鍵的第一步,它將明確告訴我們BOSS系統有哪些信息資產,信息資產存在的漏洞、所面臨的威脅以及主要的信息安全風險點在哪里,從而為企業的信息安全規劃和建設提供最直接的決策依據,使得企業的信息安全建設能夠有目標、有重點、有計劃、有步驟進行。
2 項目實施
2.1 項目實施范圍
本項目屬于企業信息化中信息安全領域,陜西廣電網絡BOSS系統風險評估項目的重點是對BOSS系統的核心區域進行信息安全風險評估,同時,鑒于地市分公司之間在信息安全方面具有較強的共性,因此以抽樣的方式,抽取了3個節點進行風險評估。
項目主要內容包括:
1)信息資產的清理和重要性賦值
2)安全技術漏洞和威脅的調研評估
3)安全管理漏洞和威脅的調研評估
4)全面分析BOSS系統存在的信息安全風險
5)提出BOSS系統信息安全管理體系改進建議
6)提出合理的安全技術解決方案建議
7)提出若干重要的信息安全管理制度和規范
2.2 項目實施內容
2.2.1 系統業務調研。業務調研的目的是使評估活動業務密切結合,安全建議能夠與企業的業務發展戰略相一致,通過調查BOSS系統上運行的所有業務和應用,了解主要業務流程,清楚的掌握支持業務運行的網絡系統基本結構和安全現狀,收集評估所需的資產屬性信息。調研范圍包括:評估的業務或應用、信息資產、人員、環境、活動、IP地址信息。
2.2.2 資產識別與估價。在BOSS系統的評估范圍內,按照網絡安全拓撲結構圖的業務系統為主線,列出所有網絡上的物理資產、軟件資產和數據資產,并為每項資產賦予價值。首先根據調查結果對資產屬性進行權值定義,然后對進行影響分析。主要從以下幾方面來考慮:違反了有關法律或(和)規章制度、影響了業務執行、造成了信譽、聲譽損失、侵犯了個人隱私、造成了人身傷害、對法律實施造成了負面影響、侵犯了商業機密、違反了社會公共準則、造成了經濟損失、破壞了業務活動、危害了公共安全。
2.2.3 威脅評估。BOSS系統威脅評估過程中,首先要對組織需要保護的每一項關鍵資產進行威脅識別。用于威脅評估的信息能夠從信息安全管理的有關人員,以及相關的商業過程中獲得。
接著要做的是對每種威脅的嚴重性和發生的可能性進行分析,最終為其賦予相對等級值。評估確定威脅發生的可能性是這一階段的重要工作。其中,威脅發生的可能性受下列因素影響:資產的吸引力、資產轉化成報酬的容易程度、威脅的技術力量、脆弱性被利用的難易程度。
2.2.4 脆弱性評估。針對BOSS系統需要保護的信息資產,找出威脅所能利用的脆弱性,并對脆弱性的嚴重程度進行評估。脆弱性評估主要從技術、管理和策略三個方面進行。其中在技術方面主要是通過遠程和本地兩種方式進行系統掃描、對網絡設備和主機等進行適當的人工抽查、對關鍵外網服務主機進行遠程滲透測試;管理脆弱性評估方面主要是按照ISO27001的安全管理要求對現有的安全管理制度及其執行情況進行檢查;策略脆弱性評估方面主要是從整體網絡安全的角度對現有的網絡安全策略進行全局性的評估。脆弱性評估所采用的方法主要為:問卷調查、顧問訪談、工具掃描、人工檢查、文檔審查、滲透測試等。
2.2.5 已有安全措施的確認。BOSS系統安全措施可以分為預防性安全措施和保護性安全措施兩種,預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性,如入侵檢測系統;保護性安全措施可以減少因安全事件發生對資產造成的影響。已有安全措施的確認是對已采取的安全措施的有效性進行確認,防止安全措施的重復實施。對于確認為不適當的安全措施應核實是否應被取消,或者用更合適的安全措施替代。
2.2.6 現狀與風險的分析管理。首先是對各種數據的匯總和分析,從物理、網絡、系統、應用、管理等方面全面分析,得出系統的整體安全現狀,輸出安全現狀和風險報告。根據評估結果進一步完成相關的安全建設方案,明確保護哪些資產,防止哪些威脅,如何才能保證系統達到某一安全級別;所提出的安全方案需要多少技術和費用的消耗等。
3 項目推廣情況及前景
3.1 貫徹“同步規劃、同步建設、同步運行”原則
關鍵詞:中小企業;信息安全;防火墻;VPN
1背景目前
我國很多中小企業都開始廣泛使用信息化手段提升自身的競爭力,借助信息化,企業可以更有效地管理資源,優化組合,提高企業運營效率,幫助企業更快的了解市場行情,促進企業發展。但與此同時信息安全問題也日益突出,每年企業因信息系統的安全問題而遭受經濟損失難以估量。本文針對太倉中小企業網絡信息安全現狀進行深入調研,走訪企業了解企業網絡信息安全的配置情況,可能存在的問題,然后根據現有的網絡安全技術和手段幫助企業解決問題,以滿足企業需求、投入資金少、專業技術管理人員投入少為需求給出解決策略,避免因信息安全問題造成的經濟損失。
2中小企業網絡信息安全現狀研究
經調研分析,目前中小企業大致可以分為兩類,一類是國內企業,一類是外企也就是總部在國外,國內有分公司或者工廠。總的來說,所有的中小企業都有自己的計算機網絡、典型應用系統如辦公自動化系統、信息查詢系統、web應用、郵件服務、財務和人事系統等。根據中小企業計算機網絡應用特點,一般需要保證數據具有實時性、機密性、安全性、完整性、可用性和不可抵賴性。太倉中小企業眾多,光德資企業就有200多家。企業的產品信息、業務數據、銷售訂單都需要利用信息化系統進行處理,有的甚至需要大數據平臺分析處理,那么信息系統的安全性也是尤為突出的一個問題。對太倉中小企業而言,構建一個安全、可靠的IT系統是關系到企業能否適合時代新技術,健康良好快速發展的關鍵因素之一。太倉眾多外企總部都在國外,因此總公司和分公司之間需要經常傳輸大量的數據,其中包括很多重要甚至機密的數據,對于數據傳輸的保密性、完整性要求更高。針對這些特點目前中小型企業網絡存在的主要安全問題有:
1)弱口令造成信息泄露威脅目前中小企業使用的各類系統較多,包括郵件、ERP、內部OA系統、電子商務系統等。面對眾多的系統,員工要設置各類密碼,非常麻煩,所以基本都會設置簡單的便于記憶的弱口令,而且很多系統都設置相同的密碼,長期不對密碼進行更改,這樣就很容易造成密碼泄露,一旦成功入侵企業內部網絡,就很容易竊取到密碼非法進入系統獲取資料。
2)網絡病毒威脅中小型企業員工一般都是單獨使用計算機,并且所有計算機都可以訪問互聯網,員工根據自己的情況自行安裝防病毒系統,由于員工對病毒預防知識和防病毒軟件的使用方法掌握情況不同,如果不能正確安裝使用防病毒軟件,一臺計算機感染病毒很快就傳播到企業內部的多臺計算機,甚至導致企業內部網絡癱瘓。
3)企業主干網絡沒有劃分VLAN中小型企業網絡系統中,由于網絡規模小,沒有專業網絡設計維護人員,為了省事和方便,很多企業的系統沒有劃分VLAN或者沒有按要求細化,造成同一廣播域中計算機數量過多,容易造成廣播風暴和網絡帶寬嚴重浪費。
4)無線網絡密碼泄露無線網絡的方便快捷使得它在企業中的應用快速發展起來,一般企業公司都在工作區域安裝無線路由器等無線設備,方便公司員工及外來人員進入公司內部網絡或者互聯網。但由于無線密碼設置簡單,很容易被破譯。互聯網上的攻擊者可以通過破譯無線密碼,輕松進入到公司內部網絡,從而造成公司信息泄露。
5)移動終端安全隱患隨著3G時代的到來,公司企業員工使用移動設備連接公司網絡,因此由移動終端設備帶來的安全隱患也不可避免。對于企業IT部門而言,移動設備已成為網絡安全的一個致命弱點,因為通過電子郵件、彩信、藍牙等方式傳播的病毒很容易對企業內網安全造成危害。
3中小企業網絡信息安全解決策略研究
中小企業對信息安全的需求主要是保障公司網站穩定運行、避免商業機密被竊取、企業信息被惡意篡改,因此網絡安全解決方案的可用性是中小企業首要考慮的問題,只有網絡安全設備正常可用,才能保護企業網絡安全。其次,中小企業規模小,資金不足,網絡安全管理人才缺乏,安全解決方案的易用性也是企業必須考慮的因素,使用簡單有效的方法提高企業網絡安全,減少企業在資金、專業管理人才的投入同時又能保障公司網絡信息安全。移動互聯、大數據、云計算環境下,針對企業各類服務和后臺系統建議找專業網絡公司托管,這類公司有專業的網關、防火墻、入侵檢測系統,能夠為企業各類服務提供安全保障,這樣中小企業也無需在花大量的資金自己購買這類安全設備、專業人員培訓等,大大減輕了公司服務器管理和維護壓力。針對目前存在的安全問題,給出以下安全策略:
1)加強企業員工網絡安全管理中小企業所有的系統口令包括員工設置登陸口令必須按照操作系統密碼復雜性要求設置,至少8位字符,其中要包括字母大寫、小寫、數字、特殊符號中三種情況以上,由企業系統管理員或者網絡管理員設置密碼失效時間,規定在一定時間內必須更新密碼,用簡單切實可行的方法建立第一道安全大門。
2)加強企業網絡入侵防范中小企業可以利用防火墻加強企業網絡入侵防范,實現企業內外網隔離,主要設置網絡邊界出口鏈路帶寬要求、數量等情況,IP地址規劃對防火墻地址轉換的需求。通過防火墻的認證機制,過濾訪問網絡數據。通過防火墻權限設置,嚴格審核外網用戶的非法登錄,定期查看防火墻日志文件,對有攻擊性的網絡訪問行為進行警告。
3)VPN策略一般公司都需要連接互聯網,特別是針對太倉德資外企來說與德國總部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSLVPN使用瀏覽器內建的安全通道封包處理功能,用瀏覽器連回公司內部SSLVPN服務器,然后透過網絡封包轉向的方式,讓使用者可以在遠程計算機執行應用程序,讀取公司內部服務器數據。中小企業的遠程訪問環境變化較大,SSLVPN不需要安裝客戶端軟件遠程用戶,遠程用戶只需借助標準的瀏覽器連接Internet,即可訪問企業的網絡資源。企業可在較短時間內部署完SSLVPN,因此其部署和實施成本較低,其次SSLVPN還提高了平臺的靈活性方便擴展應用和增強性能,對中小企業而言可以降低使用成本,最有效地保護投資。
4)無線網絡安全策略對于中小企業,建議選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件,同時還要做到如下幾點:修改設備的默認值,指定專用于無線網絡的IP協議;在AP上使用速度最快的、能夠支持的安全功能。在網絡上,針對全部用戶使用一致的授權規則,在不會被輕易損壞的位置部署硬件。正確全面使用WEP機制來實現保密目標與共享密鑰認證功能,通過在每幀中加入一個校驗和的做法來保證數據的完整性,防止有的攻擊在數據流中插入已知文本來試圖破解密鑰流。其次必須在每個客戶端和每個AP上實現WEP才能起作用,不使用預先定義的WEP密鑰,避免使用缺省選項。密鑰由用戶來設定,并且能夠經常更改,最后要使用最堅固的WEP版本,并與標準的最新更新版本保持同步。
5)移動終端安全策略為了避免移動終端攜帶病毒連接到企業內網中,確保移動終端如智能手機、ipad、移動筆記本安裝殺毒軟件、防火墻并定期對移動設備進行系統漏洞補丁和更新,定期掃描殺毒,特別不要隨意打開、下載不確定的郵件、鏈接和彩信,以免中木馬病毒。如果一旦中毒,應該立刻斷網,進行殺毒或者更新系統,以免木馬病毒通過無線網絡傳播企業內部網絡。
4結束語
通過深入太倉中小企業調研,了解企業的網絡信息安全現狀及存在問題,結合網絡信息安全建設方案,從物理安全、計算機硬件軟件安全、網絡體系結構安全、病毒防范、入侵檢查、防火墻配置、信息系統運行維護等方面給出切實可行的網絡信息安全建設方案,有針對性對太倉中小企業網絡信息安全建設策略研究。參考文獻:[1]馮運仿.基于防水墻系統的中小企業信息安全策略[J].安防科技,2006(9):57-58.
[2]周偉.電子商務信息安全技術淺議[J].農業網絡信息,2007(4):95-96.
[3]項菲,林山.中小企業信息安全策略研究[J].電腦知識與技術,2009(5):325-326.
[4]趙向梅,杜曉春,侯亞玲.中小企業網絡安全問題和策略研究[J].電子測試,2014(6):134-135.
[5]邵琳,劉源.淺談企業網絡安全問題及其對策[J].科技傳播,2010(10):207-208.
[6]王鋒.關于企業網絡安全問題的探討[J].電腦知識與技術,2010(19):207-208.
[7]劉建偉.企業網絡安全問題探討[J].甘肅科技,2006(5):62-63.
一、加強領導
為進一步加強全委網絡信息系統安全管理工作,我委成立了網絡和信息安全督查自查領導小組,由主任任組長,副主任任副組長,綜合股張俊為成員。做到分工明確,責任具體到人。制定了自查方案,嚴格按照自查目錄情況表進行了自查。
二、我委網絡安全現狀
1、網絡安全方面。我委配備了防病毒軟件,采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。
2、信息系統安全方面。實行領導審查簽字制度,凡上傳網站的信息,須經有關領導審查簽字后方可上傳。
3、日常管理方面。切實抓好外網、網站和應用軟件“五層管理”,確保“計算機不上網,上網計算機不”,嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。
4、硬件設備情況。硬件設備使用合理,軟件設置規范,設備運行狀況良好。我委每臺終端機都安裝了防病毒軟件,系統相關設備的應用一直采取規范化管理,硬件設備的使用符合國家相關產品質量安全規定,單位硬件的運行環境符合要求,打印機配件、色帶架等基本使用設備原裝產品。
5、通訊設備運轉正常。我委網絡系統的組成結構及其配置合理,并符合有關的安全規定;網絡使用的各種硬件設備、軟件和網絡接口也是通過安全檢驗、鑒定合格后才投入使用的,自安裝以來運轉基本正常。
6、嚴格管理、規范設備維護。我委對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高員工計算機技能。同時在委開展網絡安全知識宣傳,使全體職工意識到計算機安全保護是“三防一保”工作的有機組成部分,而且在新形勢下,計算機犯罪還將成為安全保衛工作的重要內容。
三、網絡安全存在的不足及整改措施
我們在自查過程中發現了一些管理方面存在的薄弱環節,今后還要在以下幾個方面進行改進:
1、對于線路不整齊、暴露的,立即對線路進行限期整改,并做好防鼠、防火安全工作。
2、加強設備維護,及時更換和維護好故障設備。
關鍵詞:網絡安全技術 企業網絡 解決方案
中圖分類號:TN711文獻標識碼: A 文章編號:
隨著計算機網絡技術的飛速發展,自由的、開放的、國際化的Internet給政府機構、企事業單位帶來了前所未有的變革,使得企事業單位能夠利用Internet提高辦事效率和市場反應能力,進而提高競爭力。另外,網絡安全問題也隨著網絡技術的發展而真多,凡是有網絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經濟論壇上,與會者首次觸及了互聯網安全問題,表明網絡安全已經成為影響互聯網發展的重要問題。由于因特網所具有的開放性、國際性和自由性在增加應用自由度的同時,網絡安全隱患也越來越大,如何針對企業的具體網絡結構設計出先進的安全方案并選配合理的網絡安全產品,以及搭建有效的企業網絡安全防護體系是擺在計算機工作者面前的巨大課題。
一、企業網絡安全隱患分析 企事業單位可以通過Internet獲取重要數據,同時又要面對Internet開放性帶來的數據安全問題。公安部網絡安全狀況調查結果顯示:2009年,被調查的企業有49%發生過網絡信息安全事件。在發生過安全事件的企業中,83%的企業感染了計算機病毒、蠕蟲和木馬程序,36%的企業受到垃圾電子郵件干擾和影響。59%的企業發生網絡端口掃描,拒絕服務攻擊和網頁篡改等安全危機。如何保護企業的機密信息不受黑客和工業間諜的攻擊,已成為政府機構、企事業單位信息化健康發展所要解決的一項重要工作。隨著信息技術的發展,網絡病毒和黑客工具軟件具有技術先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現在: 1.網絡安全所面臨的是一個國際化的挑戰,網絡的攻擊不僅僅來自本地網絡的用戶,而是可以來自Internet上的任何一個終端機器。2.由于網絡技術是全開放的,任何一個團體組織或者個人都可能獲得,開放性的網絡導致網絡所面臨的破壞和攻擊往往是多方面的,例如:對網絡通信協議的攻擊,對物理傳輸線路的攻擊,對硬件的攻擊,也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網絡服務器,因為網絡最初對用戶的使用并沒有提供任何的技術約束。
二、企業網絡安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網絡上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協議、沒有TCP/IP連接,沒有應用連接、沒有包轉發,只有文件“擺渡”,對固態介質只有讀和寫兩個命令。其結果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網絡信息安全隔離網閘。
(二)網絡系統安全解決方案。網絡應用服務器的操作系統選擇是一個很重要的部分,網絡操作系統的穩定性和安全性能決定了服務器的性能。網絡操作系統的系統軟件,管理并控制著計算機軟硬件資源,并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設置保障其基本安全
1.關閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權限。4.科學的安全配置和分析。 (三)入侵檢測解決方案。在現有的企業網絡安全防護體系中,大部分企業都部署了防火墻對企業進行保護。但是傳統防火墻設備有其自身的缺點。如果操作系統由于自身的漏洞也有可能帶來較大的安全風險。根據企業網絡的實際應用情況,對網絡環境安全狀況進行詳細的分析研究認為,對外提供應用服務的服務器應該受到重點的監控和防護。在這一區域部署入侵檢測系統,這樣可以充分發揮IDS的優勢,形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動功能優勢,則可以大大提升動態防護的效果。
(四)安全管理解決方案。信息系統安全管理機構是負責信息安全日常事務工作的,應按照國家信息系統安全的有關法律、法規、制度、規范建立和健全有關的安全策略和安全目標,結合自身信息系統的安全需求建立安全實施細則,并負責貫徹實施。 單位安全網(即內網)系統安全管理機構主要實現以下職能:
1.建立和健全本系統的系統安全操作規程。
2.確定信息安全各崗位人員的職責和權限,實行相互授權、相互牽連,建立崗位責任制。
3.審議并通過安全規劃,年度安全報告,有關安全的宣傳、教育、培訓計劃。
關鍵詞:機場管理;信息化;運行效率;網絡安全
中圖分類號:F270 文獻標識碼:A 文章編號:1009-2374(2013)15-0146-02
1 概述
進入21世紀,信息化程度越來越高,網絡越來越普及,特別是網絡的接入,讓我們重新對網絡安全問題的可靠度和安全性能方面進行一定的考慮,其中機場信息化程度在我國航天航空領域應用越來越廣泛,如何廣泛地、實時地、準確地應用機載電子產品的信息化程度,而且充分地保證其安全性能,信息的準確性,我們需要從全面而系統地認知其產品的穩定性,加強機場的安全監察,機場的信息化程度帶來的各種弊端以及漏洞。例如機載產品的耐環境影響能力,產品的穩定性和安全性能都是重中之重的安全考慮角度,設備的安全性,使得設備的可操作性更強,故障水平也相應降低,其可靠度增強,現行機場網絡安全存在一定的漏洞,常常出現出票機出不來票,出票有誤,飛機起飛時間和到終點時間,飛機中途故障、加油等等,這些使得機場信息不能及時傳給乘客,造成一定的人員擁擠,顧客存在一定的抱怨,因此也影響機場的效率,加強機場網絡安全,促進機場行業信息化發展,是現行機場的當務之急,有必要提升機場的信息化程度。本文將系統的研究機場的網絡安全性,全面地促進機場信息化程度的發展。
2 機場網絡信息化設計
機場網絡的安全是保證飛機正常運行的保障,也是保證顧客的利益所在,網絡的安全如今越來越重視,網絡的安全性讓顧客更加全面地了解該個機場的境況,更加透明化,使得機場的體制更加健全。機場的信息化程度在我國主要應用在航空航天領域,航空航天領域對機場信息化的要求很高,要求其可靠度、安全性能極限值度均需滿足我國航空航天相關要求,保證信息的及時、準確無誤。如何保證機場的信息化程度較高,機場的網絡安全性指數較高,使其在惡劣環境條件下依然能夠保持良好的性能指標,抗外界環境因素影響的能力,就需要對機場信息化系統進行全面而系統的設計和研究,從設計加工源頭出發。其機場信息化安全設計見表1:
機場的網絡安全保障了機場信息化程度的發展,對于網絡信息化的安全性分析方法包括功能危險性分析(對功能進行系統、綜合的檢查,識別這些功能的失效狀態,并根據嚴重程度對失效狀態進行分類)、初步安全性分析(用于完成失效狀態清單以及相應安全性要求)、故障樹分析(是自上而下的分析技術)。這些分析通過依次展開更詳細(即更低層次)的設計層次向下進行。通過這些安全性驗證方法,全面而系統地保證系統的安全可靠性、安全性能、穩定性能。
3 機場信息化建設
機場企業是需要密切和外部進行聯系的企業,機場企業需要支持與客戶、合作伙伴和員工的信息共享和業務運作,將企業的各業務系統逐步整合進來,自動將信息給相關管理者和內部成員企業并實現互動,并在業務條件成熟時,和客戶、供應商以及其他合作伙伴建立聯系,其具體建設內容包括見表2:
一、信息化組織建設 包括組織標準化制定,集中管理模式建設、聯邦式管理模式建設。
二、基礎設施標準化建設 包括建立技術標準、完善PDS和機房建設、網絡建設、數據中心建設、系統管理平臺建設、安全體系建設、數據整合等。
三、業務支持系統建設 存儲和交換標準、辦公自動化系統、企業信息門戶一期、財務系統一體化、
人力資源管理、設備管理系統。
四、擴展支持系統建設 商務智能、知識管理系統、客戶關系管理系統、項目管理系統、采購管理系統、企業信息門戶二期。
加強機場網絡安全建設,促進機場行業信息化程度的提高,需要一個階段、一個階段的相互促進相互協調,不斷的完善,達到設計的要求,機場安全信息化程度的提高是機場設計中的重中之重,有必要提升機場的信息化
程度。
4 結語
通過對我國機場行業的調查和研究,發現提高管理水平是機場行業一個普遍的發展目標,但我國目前機場的信息化程度相對較差,而從未來機場運營的發展來看,又迫切需要借助信息化手段提高機場的整體運行效率。機場信息化包括運營信息化和管理信息化。運營信息化主要以飛機從起飛到降落和旅客從出發到到達為主導的運營信息化。這些決定了機場行業的信息化目前建設的重點是管理信息化。現行機場網絡安全存在一定的漏洞,常常出現出票機出不來票,出票有誤,飛機起飛時間和到終點時間不能保證,飛機中途故障、加油等等,這些使得機場信息不能及時傳給乘客,造成一定的人員擁擠,顧客存在一定的抱怨,因此也影響機場的效率,加強機場網絡安全,促進機場行業信息化發展,是現行機場的當務之急,有必要提升機場的信息化程度。
參考文獻
[1]吳文釗.企業信息化行動綱領——中國企業信息化方法論[M].北京:機械工業出版社,2003.
[2]朱戰備,孟凡強,范曉虹.IT規劃[M].北京:機械工業出版社,2004.
[3]周偉.企業信息系統規劃步驟及方法探討[D].西南財經大學,2003.
關鍵詞:電力營銷;網絡安全;安全建設;安全管理
1 引言
營銷業務作為“SG186”工程的業務系統之一,應用上涵蓋了新裝增容及變更用電、資產管理、計量點管理、抄表管理、核算管理、電費收繳、帳務管理、用電檢查管理、95598業務等領域,需要7×24小時不間斷、安全可靠運行的保障[1]。因此在遵循國家電網公司“SG186”工程的建設標準和信息網絡等級保護要求的基礎上,結合營銷關鍵業務應用,加強信息安全防護,保障營銷系統網絡的安全運行。本文針對新疆電力營銷系統的現狀,給出了一種多層次的安全防護方案,對保障營銷系統網絡穩定運行,保護用戶信息安全,傳輸安全、存儲安全和有效安全管理方面給出了建設意見。
2 新疆營銷網絡系統現狀
新疆電力營銷業務應用經過了多年的建設,目前大部分地區在業擴報裝、電費計算、客戶服務等方面的營銷信息化都基本達到實用化程度,在客戶服務層、業務處理層、管理監控層三個層次上實現了相應的基本功能。結合新疆電力公司的實際情況,主要分析了管理現狀和網絡現狀。
2.1 管理現狀
根據公司總部提出的“集團化運作、集約化發展、精細化管理”的工作思路,從管理的需求上來說,數據越集中,管理的力度越細,越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現狀、IT現狀、人員現狀等制約因素的限制,不可能使各地市公司的管理都能夠一步到位,尤其是邊遠地區。因此,營銷業務應用管理在基于現狀的基礎上逐步推進。根據對當前各地市公司的營銷管理現狀和管理目標需求的分析,管理現狀可分為如下三類:實時化、精細化管理;準實時、可控的管理;非實時、粗放式管理。目前大部分管理集中在第二類和第三類。
2.2 網絡現狀
網絡建設水平將直接影響營銷業務應用的系統架構部署,目前新疆公司信息網已經形成,實現了公司總部到網省公司、網省公司本部到下屬地市公司的信息網絡互連互通,但是各地市公司在地市公司到下屬基層供電單位的之間的信息網絡建設情況差別較大,部分地市公司已經全部建成光纖網絡,并且有相應的備用通道,能夠滿足實時通信的要求,部分地市公司通過租用專線方式等實現連接,還有一些地市公司由于受地域條件的限制,尚存在一些信息網絡無法到達的地方,對大批量、實時的數據傳輸要求無法有效保證,通道的可靠性相對較差。
2.3 需求分析
營銷業務系統通常部署在國家電網公司內部信息網絡的核心機房,為國家電網公司內部信息網絡和國家電網公司外部信息網絡的用戶提供相關業務支持。該網絡涉及業務工作和業務應用環境復雜,與外部/內部單位之間存在大量敏感數據交換,使用人員涵蓋國家電網公司內部人員,外部廠商人員,公網用戶等。因此,在網絡身份認證、數據存儲、網絡邊界防護與管理等層面上都有很高的安全需求。[2]
3 關鍵技術和架構
3.1 安全防護體系架構
營銷網絡系統安全防護體系的總體目標是保障營銷系統安全有序的運行,規范國家電網公司內部信息網員工和外部信息網用戶的行為,對違規行為進行報警和處理。營銷網絡系統安全防護體系由3個系統(3維度)接入終端安全、數據傳輸安全和應用系統安全三個方面內容,以及其多個子系統組成,其體系結構如圖1所示。
圖1 營銷系統安全防護總體防護架構
3.2 接入終端安全
接入營銷網的智能終端形式多樣,包括PC終端、智能電表和移動售電終端等。面臨協議不統一,更新換代快,網絡攻擊日新月異,黑客利用安全漏洞的速度越來越快,形式越來越隱蔽等安全問題。傳統的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監管,建立完善的認證、準入和監管機制,對違規行為及時報警、處理和備案,減小終端接入給系統帶來的安全隱患。
3.3 數據傳輸安全
傳統的數據傳輸未采取加密和完整性校驗等保護措施,電力營銷數據涉及國家電網公司和用戶信息,安全等級較高,需要更有效的手段消除數據泄露、非法篡改信息等風險。
市場上常見的安全網關、防火墻、漏洞檢測設備等,都具有數據加密傳輸的功能,能夠有效保證數據傳輸的安全性。但僅僅依靠安全設備來保證數據通道的安全也是不夠的。一旦設備被穿透,將可能造成營銷系統數據和用戶信息的泄露。除此之外,還需要采用更加安全可靠的協議和通信通道保證數據通信的安全。
3.4 應用系統安全
目前營銷系統已經具有針對應用層的基于對象權限和用戶角色概念的認證和授權機制,但是這種機制還不能在網絡層及以下層對接入用戶進行細粒度的身份認證和訪問控制,營銷系統仍然面臨著安全風險。增強網絡層及以下層,比如接入層、鏈路層等的細粒度訪問控制,從而提高應用系統的安全性。
4 安全建設
營銷系統安全建設涉及安全網絡安全、主機操作系統安全、數據庫安全、應用安全以及終端安全幾個層面的安全防護方案,用以解決營銷系統網絡安全目前存在的主要問題。
4.1 終端安全加固
終端作為營銷系統使用操作的發起設備,其安全性直接關系到數據傳輸的安全,乃至內網應用系統的安全。終端不僅是創建和存放重要數據的源頭,而且是攻擊事件、數據泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定,定期檢測被攻擊的風險,對安全漏洞甚至病毒及時處理。對終端設備進行完善的身份認證和權限管理,限制和阻止非授權訪問、濫用、破壞行為。
目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設備、應急指揮車等。由于不同終端采用的操作系統不同,安全防護要求和措施也不同,甚至需要根據不同的終端定制相應的安全模塊和安全策略,主要包括:針對不同終端(定制)的操作系統底層改造加固;終端接入前下載安裝可信任插件;采用兩種以上認證技術驗證用戶身份;嚴格按權限限制用戶的訪問;安裝安全通信模塊,保障加密通訊及連接;安裝監控系統,監控終端操作行為;安裝加密卡/認證卡,如USBKEY/PCMCIA/ TF卡等。
4.2 網絡環境安全
網絡環境安全防護是針對網絡的軟硬件環境、網絡內的信息傳輸情況以及網絡自身邊界的安全狀況進行安全防護。確保軟硬件設備整體在營銷網絡系統中安全有效工作。
4.2.1 網絡設備安全
網絡設備安全包括國家電網公司信息內、外網營銷管理系統域中的網絡基礎設施的安全防護。主要防護措施包括,對網絡設備進行加固,及時安裝殺毒軟件和補丁,定期更新弱點掃描系統,并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設備的接入安全,采用較為安全的SSH、HTTPS等進行遠程管理。對網絡設備配置文件進行備份。對網絡設備安全事件進行定期或實時審計。采用硬件雙機、冗余備份等方式保證關鍵網絡及設備正常安全工作,保證營銷管理系統域中的關鍵網絡鏈路冗余。
4.2.2 網絡傳輸安全
營銷系統數據經由網絡傳輸時可能會被截獲、篡改、刪除,因此應當建立安全的通信傳輸網絡以保證網絡信息的安全傳輸。
在非邊遠地方建立專用的電力通信網絡方便營銷系統的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業所的地方,采用建立GPRS、GSM,3G專線或租用運營商ADSL、ISDN網絡專網專用的方式,保障電力通信安全。
電力營銷技術系統與各個銀行網上銀行、郵政儲蓄網點、電費代繳機構進行合作繳費,極大方便電力客戶繳費。為了提高通道的安全性,形成了營銷系統信息內網、銀行郵政等儲蓄系統、internet公網、供電中心網絡的一個封閉環路,利用專網或VPN、加密隧道等技術提高數據傳輸的安全性和可靠性。
在數據傳輸之前需要進行設備間的身份認證,在認證過程中網絡傳輸的口令信息禁止明文傳送,可通過哈希(HASH)單向運算、SSL加密、Secure Shell(SSH)加密、公鑰基礎設施(Public Key Infrastructure 簡稱PKI)等方式實現。
此外,為保證所傳輸數據的完整性需要對傳輸數據加密處理。系統可采用校驗碼等技術以檢測和管理數據、鑒別數據在傳輸過程中完整性是否受到破壞。在檢測到數據完整性被破壞時,采取有效的恢復措施。
4.2.3 網絡邊界防護
網絡邊界防護主要基于根據不同安全等級網絡的要求劃分安全區域的安全防護思想。營銷系統安全域邊界,分為同一安全域內部各個子系統之間的內部邊界,和跨不同安全域之間的網絡外部邊界兩類。依據安全防護等級、邊界防護和深度防護標準,具有相同安全保護需求的網絡或系統,相互信任,具有相同的訪問和控制策略,安全等級相同,被劃分在同一安全域內[3],采用相同的安全防護措施。
加強外部網絡邊界安全,可以采用部署堡壘機、入侵檢測、審計管理系統等硬件加強邊界防護,同時規范系統操作行為,分區域分級別加強系統保護,減少系統漏洞,提高系統內部的安全等級,從根本上提高系統的抗攻擊性。
跨安全域傳輸的數據傳輸需要進行加密處理。實現數據加密,啟動系統的加密功能或增加相應模塊實現數據加密,也可采用第三方VPN等措施實現數據加密。
4.3 主機安全
從增強主機安全的層面來增強營銷系統安全,采用虛擬專用網絡(Virtual Private Network 簡稱VPN)等技術,在用戶網頁(WEB)瀏覽器和服務器之間進行安全數據通信,提高主機自身安全性,監管主機行,減小用戶錯誤操作對系統的影響。
首先,掃描主機操作系統評估出配置錯誤項,按照系統廠商或安全組織提供的加固列表對操作系統進行安全加固,以達到相關系統安全標準。安裝第三方安全組件加強主機系統安全防護。采用主機防火墻系統、入侵檢測/防御系統(IDS/IPS)、監控軟件等。在服務器和客戶端上部署專用版或網絡版防病毒軟件系統或病毒防護系統等。
此外,還需要制定用戶安全策略,系統用戶管理策略,定義用戶口令管理策略[4]。根據管理用戶角色分配用戶權限,限制管理員使用權限,實現不同管理用戶的權限分離。對資源訪問進行權限控制。依據安全策略對敏感信息資源設置敏感標記,制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。
4.4 數據庫安全
數據庫安全首要是數據存儲安全,包括敏感口令數據非明文存儲,對關鍵敏感業務數據加密存儲,本地數據備份與恢復,關鍵數據定期備份,備份介質場外存放和異地備份。當環境發生變更時,定期進行備份恢復測試,以保證所備份數據安全可靠。
數據安全管理用于數據庫管理用戶的身份認證,制定用戶安全策略,數據庫系統用戶管理策略,口令管理的相關安全策略,用戶管理策略、用戶訪問控制策略,合理分配用戶權限。
數據庫安全審計采用數據庫內部審計機制或第三方數據庫審計系統進行安全審計,并定期對審計結果進行分析處理。對較敏感的存儲過程加以管理,限制對敏感存儲過程的使用。及時更新數據庫程序補丁。經過安全測試后加載數據庫系統補丁,提升數據庫安全。
數據庫安全控制、在數據庫安裝前,必須創建數據庫的管理員組,服務器進行訪問限制,制定監控方案的具體步驟。工具配置參數,實現同遠程數據庫之間的連接[5]。
數據庫安全恢復,在數據庫導入時,和數據庫發生故障時,數據庫數據冷備份恢復和數據庫熱備份恢復。
4.5 應用安全
應用安全是用戶對營銷系統應用的安全問題。包括應用系統安全和系統的用戶接口和數據接口的安全防護。
4.5.1 應用系統安全防護
應用系統安全防護首先要對應用系統進行安全測評、安全加固,提供系統資源控制功能以保證業務正常運行。定期對應用程序軟件進行弱點掃描,掃描之前應更新掃描器特征代碼;弱點掃描應在非核心業務時段進行,并制定回退計劃。依據掃描結果,及時修復所發現的漏洞,確保系統安全運行。
4.5.2 用戶接口安全防護
對于用戶訪問應用系統的用戶接口需采取必要的安全控制措施,包括對同一用戶采用兩種以上的鑒別技術鑒別用戶身份,如采用用戶名/口令、動態口令、物理識別設備、生物識別技術、數字證書身份鑒別技術等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時,應當對口令長度、復雜度、生存周期進行強制要求。
同時,為保證用戶訪問重要業務數據過程的安全保密,用戶通過客戶端或WEB方式訪問應用系統重要數據應當考慮進行加密傳輸,如網上營業廳等通過Internet等外部公共網絡進行業務系統訪問必須采用SSL等方式對業務數據進行加密傳輸。杜絕經網絡傳輸的用戶名、口令等認證信息應當明文傳輸和用戶口令在應用系統中明文存儲。
4.5.3 數據接口安全防護
數據接口的安全防護分為安全域內數據接口的安全防護和安全域間數據接口的安全防護。安全域內數據接口在同一安全域內部不同應用系統之間,需要通過網絡交換或共享數據而設置的數據接口;安全域間數據接口是跨不同安全域的不同應用系統間,需要交互或共享數據而設置的數據接口。
5 安全管理
安全管理是安全建設的各項技術和措施得以實現不可缺少的保障,從制度和組織機構到安全運行、安全服務和應急安全管理,是一套標準化系統的流程規范,主要包括以下方面。
5.1 安全組織機構
建立營銷業務應用安全防護的組織機構,并將安全防護的責任落實到人,安全防護組織機構可以由專職人員負責,也可由運維人員兼職。
5.2 安全規章制度
建立安全規章制度,加強安全防護策略管理,軟件系統安全生命周期的管理,系統安全運維管理,安全審計與安全監控管理,以及口令管理、權限管理等。確保安全規章制度能夠有效落實執行。
5.3 安全運行管理
在系統上線運行過程中,遵守國家電網公司的安全管理規定,嚴格遵守業務數據安全保密、網絡資源使用、辦公環境等的安全規定。
首先,系統正式上線前應進行專門的系統安全防護測試,應確認軟件系統安全配置項目準確,以使得已經設計、開發的安全防護功能正常工作。
在上線運行維護階段,應定期對系統運行情況進行全面審計,包括網絡審計、主機審計、數據庫審計,業務應用審計等。每次審計應記入審計報告,發現問題應進入問題處理流程。建立集中日志服務器對營銷交易安全域中網絡及安全設備日志進行集中收集存儲和管理。
軟件升級改造可能會對原來的系統做出調整或更改,此時也應從需求、分析、設計、實施上線等的整個生命周期對運行執行新的安全管理。
5.4 安全服務
安全服務的目的是保障系統建設過程中的各個階段的有效執行,問題、變更和偏差有效反饋,及時解決和糾正。從項目層面進行推進和監控系統建設的進展,確保項目建設質量和實現各項指標。
從項目立項、調研、開發到實施、驗收、運維等各個不同階段,可以階段性開展不同的安全服務,包括安全管理、安全評審、安全運維、安全訪談、安全培訓、安全測試、安全認證等安全服務。
5.5 安全評估
安全評估是對營銷系統潛在的風險進行評估(Risk Assessment),在風險尚未發生或產生嚴重后果之前對其造成后果的危險程度進行分析,制定相應的策略減少或杜絕風險的發生概率。
營銷系統的安全評估主要是針對第三方使用人員,評估內容涵蓋,終端安全和接入網絡安全。根據國家電網公司安全等級標準,對核心業務系統接入網絡安全等級進行測評,并給出測評報告和定期加固改造辦法,如安裝終端加固軟件/硬件,安裝監控軟件、增加網絡安全設備、增加安全策略,包括禁止違規操作、禁止越權操作等。
5.6 應急管理
為了營銷系統7×24小時安全運行,必須建立健全快速保障體系,在系統出現突發事件時,有效處理和解決問題,最大限度減小不良影響和損失,制定合理可行的應急預案,主要內容包括:明確目標或要求,設立具有專門的部門或工作小組對突發事件能夠及時反應和處理。加強規范的應急流程管理,明確應急處理的期限和責任人。對于一定安全等級的事件,要及時或上報。
6 實施部署
營銷系統為多級部署系統。根據國家電網信息網絡分區域安全防護的指導思想原則,結合新疆多地市不同安全級別需求的實際情況,營銷系統網絡整體安全部署如圖2所示。
在營銷系統部署中,對安全需求不同的地市子網劃分不同的安全域,網省管控平臺部署在網省信息內網,負責對所有安全防護措施的管控和策略的下發,它是不同安全級別地市子系統信息的管理控制中心,也是聯接總部展示平臺的橋梁,向國網總公司提交營銷系統安全運行的數據和報表等信息。
7 結束語
電力營銷網絡安全技術的發展伴隨電力營銷技術的發展而不斷更新,伴隨安全技術的不斷進步而不斷進步。電力營銷網絡的安全不僅僅屬于業務系統的安全范疇,也屬于網絡信息化建設范疇,其安全工作是一個系統化,多元化的工作,立足于信息內網安全,覆蓋信息外網安全和其他網絡。
本文基于新疆電力營銷系統網絡安全的現狀,結合現有安全技術和安全管理手段來提高營銷系統整體安全水平,為提升原有網絡的安全性,構造一個安全可靠的電力營銷網絡提供了一套安全解決方案,對國家電網其他具有類似需求的網省公司營銷系統網絡安全問題解決提供參考和借鑒。
參考文獻
[1]趙宏斌,陳超.電力營銷數據安全防護體系及其關鍵技術研究[J].電力信息化,2008年6卷7期:135-139.
[2]呂萍萍.當前電力企業電力營銷的現狀與安全防護保障系統構建[J].華東科技:學術版,2012年11期:282.
[3]蔣明,吳斌.電力營銷系統信息安全等級保護的研究與實踐[J].電力信息化,2009年3期:25-27.
[4]朱芳,肖忠良,趙建梅.淺析電力營銷業務應用系統的安全風險[J].黑龍江科技信息,2010年35期:153-154.
[5]李紅文.論加強電力營銷信息系統安全[J].信息通信,2012年1月:115-116.
作者簡介:劉陶(1983-),男,漢族,四川樂山,本科,技師,電力營銷稽查與實施調度。
陳曉云(1974-),女,大專,技師,新疆烏魯木齊,電力營銷稽查。
