時間:2023-06-11 09:32:29
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇維護網絡安全措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡安全 技術 管理
隨著網絡技術的發展,尤其是因特網的發展,信息技術產業也取得了很大的發展,信息交流更加方便快捷,然而這也給網絡信息安全提出了較高的要求。鑒于此,筆者分析了網絡安全風險,并對加強網絡安全技術進行了探討。
一、網絡安全風險分析
1.1 系統的漏洞及“后門”
編程人員為了方便軟件公司查找盜版信息,就會在軟件中設置“后門”,如果“漏洞”和“后門”被他人得知,網絡系統就會缺乏安全保障,許多黑客就是從系統的“漏洞”和“后門”進人計算機并對其進行攻擊。
1.2 網絡內部的攻擊
在局域網內部,部分非法用戶會想方設法地竊取合法用戶的賬戶和密碼,并用其賬號和密碼登陸網站,剽竊絕密信息,篡改信息內容,干擾網絡系統的正常運作。
1.3 網絡外部的攻擊
在局域網外部,非法用戶會對網絡進行惡意攻擊;冒充合法用戶登陸網站并阻止其他用戶訪問網站;有選擇地毀壞網絡信息的完整性和有效性;在服務器端和用戶端之間設置關卡,阻攔和閱讀機密信息。
1.4 病毒感染
由于網絡具有開放性,病毒可以通過網絡迅速地傳播,并能輕而易舉地通過驗證,郵件接收和軟件下載等都很容易攜帶病毒,在打開郵件和運行軟件時,病毒就會趁機攻擊網絡,破壞網絡的正常運行。
1.5 用戶操作不合法
一些非法行為,例如,隨便允許用戶訪問網站、管理員安全配置不當、訪問不合法的信息資源、丟失口令等,都為網絡埋下了安全隱患。
二、網絡安全技術管理探討
2.1 構建多級網絡安全管理
所謂“多級”包括人員、進程和數據的分類和安全等級,在用戶登錄網站查閱信息時要依據這些分類和等級進行處理。信息和人員的安全標識主要包括兩部分:(1)用“類型”表示不同類型的信息,“類型”與等級關系無關。(2)用“密級”表示不同數據類型的等級陛,將數據按照等級分為無密、機密、秘密、絕密級。如果要維護網絡安全,就要構建多級網絡安全管理,其主要包括以下四個方面:
(1) VPN網關。它可以保證數據在傳輸過程中不受外界干擾,確保數據的完整性和真實性。它還可以擴展網絡,采取先進的網絡連接方式連接多個網絡,不再采用外接硬件加密設備連接來多個網絡。
(2)訪問控制網關和單安全等級服務器。訪問控制網關對維護網絡安全有著重要的作用,它可以迅速地識別用戶安全等級,使服務器端和用戶端之間的信息流得到控制。如果服務器端的安全等級大于用戶的等級,就只允許信息從用戶流向服務器,反之,則只允許信息從服務器流向用戶,如果兩者的安全等級相等,則允許服務器和用戶間信息的雙向流動。
(3)多級安全服務器。此服務器上需要安裝具有強大功能的操作系統,保證該系統能對用戶訪問進行嚴格地控制,快速將用戶分為不同的安全等級,并為其提供相關的訪問信息或資源。同時,該操作系統提供的信息必須是真實、可靠的[1]。
(4)可信終端。可信終端設備是一種先進的終端設備,它能夠通過系統軟硬件的驗證、得到系統允許進入系統。網絡安全架構中的終端有兩個,分別為當前安全等級和最高安全等級,前者表示當前使用該終端用戶的安全等級,后者則表示可以使用該終端的用戶的最高安全等級。
2.2 傳統網絡安全技術
(1)加密技術。此技術是面向網絡的技術,能夠加密通信協議。它可以對通信協議的數據進行加密,包括數字簽名、完整性檢測等,這些協議都是具有安全保障的,它們絕大多數采用了Hash函數、MD系列、DES分組密碼以及RAS公鑰密碼算法來保證信息安全,可以防止黑客入侵網絡,修改、假冒和偽造信息,從而保證網絡系統的正常運行。
(2)基于主機的安全措施。經常利用主機操作系統來控制用戶訪問,保護主機資源,此安全措施只能保證主機自身的安全,而無法保證整個網絡的安全。
(3)防火墻技術。該技術是一種較為先進的技術性措施,它可以對外部網和內部網進行控制,有效維護計算機網絡安全。
(4)其他安全措施。它包括多種技術,例如備份和恢復技術、防病毒技術、審計監控、入侵檢測技術、數字簽名技術和鑒別技術等。
三、結語
【關鍵詞】企業 計算機網絡 安全
當前,計算機網絡環境非常復雜,各種計算機病毒層出不窮,網絡黑客攻擊計算機網絡的手段越來越先進,導致企業計算機網絡安全問題頻發,嚴重影響了企業的安全穩定運行。因此結合當前企業計算機網絡中存在的安全隱患,積極采取有效措施,提高企業計算機網絡的安全性,促進企業的正常運行。
1 企業計算機網絡面臨的威脅
1.1 來自外部的安全威脅
隨著現代化企業各項業務的不斷拓展,企業計算機網絡中有很多的服務需要和互聯網相連,導致每天都會有網絡黑客試圖入侵企業的局域網竊取企業業務部、研發部、財務以及人事等多種機密的信息資源,例如,企業的一些重要的客戶資料、新產品資料、公司賬目、職員信息等,同時,在復雜的互聯網環境下,木馬病毒的傳播、變化以及發展迅速,使企業計算機網絡防不勝防,企業局域網一旦感染計算機病毒,有可能會引起整個網絡的癱瘓,給企業帶來不可估量的經濟損失。
1.2 介質泄露
由于計算機在日常的工作中會輻射電磁波,企業局域網在沒有防護的條件下,任何人可以利用無線電接收設備在一定范圍內截取網絡信息,造成企業信息資源的泄露。另外,計算機的磁介質如用來存儲和記錄的磁盤、磁帶等設備,具有復制容易、存儲量大等特點,如果這些磁介質沒有進行良好的處理和保存,會導致磁介質的信息被刪除或者復制,影響企業局域網的信息安全。
1.3 計算機病毒泛濫
互聯網系統模式和單機系統模式相比,通訊能力更強,計算機病毒的種類更多,并且傳播和感染速度更快,極大地增加了計算機網絡管理和維護的難度。通常情況下,計算機病毒主要是通過固化軟件系統中的程序、網絡環境下的文件傳輸、移動存儲設備等方式攻擊計算機網絡。計算機病毒可以沖破企業局域網的安全設置,入侵到網絡的服務器中,破壞企業計算機網絡的信息資源,甚至導致整個企業局域網癱瘓,泄露企業的一些機密核心信息。
1.4 系統配置不當
如果企業計算機網絡中的路由器或者操作系統配置錯誤,無線網絡缺少密碼設置、終端保護命令不合理、口令文件沒有設置安全保護、存在匿名的Telnet、FTP的開放等,使得企業的局域網自身存在多個安全漏洞,嚴重影響了企業計算機的網絡安全。
2 企業計算機網絡安全的有效策略
2.1 網絡實體安全策略
企業計算機網絡實體安全主要是對計算機網絡管理人員、網絡設備以及網絡環境等采取相應的安全措施,企業的網絡管理人員要積極評估企業局域網可能存在的風險,在企業局域網運行和設計過程中,設置安全措施。企業的計算機網絡實體安全要充分考慮硬件防護、網絡軟件、防火防盜、接地系統設計、電源、場地安全措施等,例如要加強對企業局域網系統中設備以及傳輸路線的保護,盡量遠離輻射源,最大程度地避免電磁干擾,對局域網一些重要的網絡設備要安裝防輻射裝置,優化網絡布線設計,禁止企業局域網外連,在日常使用過程中,定期更新計算機的殺毒軟件,升級補丁包,用先進的工具軟件掃描企業局域網系統端口狀態,一旦發生問題,及時進行處理。
2.2 網絡訪問控制安全策略
為了有效地提高企業計算機網絡的安全性,必須積極采取各種安全策略,其中訪問控制就是一種非常重要的安全策略。利用訪問控制,可以驗證并識別企業計算機網絡用戶,將用戶的訪問權限限制在授權的資源和活動之內,確保企業的局域網系統不被非法訪問和使用,保護企業的網絡資源,維護企業的網絡系統安全性。企業采用訪問控制技術要結合自身局域網的實際運行情況,充分考慮企業局域網的跟蹤和審計、網絡安全監測、資源安全控制、數字控制、權限控制、口令控制等。
2.3 加強內部管理
2.3.1 加強企業機房服務器的控制
企業計算機網絡管理人員要加強對機房服務器的控制,減少企業局域網的感染計算機病毒的機會,全面監視和控制局域網內部每一臺計算機下載或者上傳的文件資料,嚴格控制網絡聊天和危險信息的擴散傳播,加強企業局域網的密碼管理。
2.3.2 制定嚴格企業計算機網絡安全規則
企業要高度重視計算機網絡安全問題,制定嚴格的企業計算機網絡安全規則,嚴格限定進出企業局域網的信息資源,阻止網絡黑客對局域網的攻擊和非法訪問。
2.3.4 控制和互聯網的互通權限
企業計算機網絡要盡可能的減少和互聯網系統的互通權限,由于互聯網環境非常復雜,一次計算機病毒很可能隱藏在訪問的網頁或者電子郵件中,企業通過局域網訪問互聯網中的一些操作,很可能會使企業局域網感染上計算機病毒,因此要嚴格控制企業局域網和互聯網之間建立的服務數量。
2.3.5 加強職業道德教育
企業要加強對計算機網絡管理人員和技術人員的職業道德教育,提高其計算機網絡安全意識,加強計算機網絡安全知識和企業法制內容教育,鼓勵計算機網絡管理人員和技術人員積極學習現代化的科學技術,不斷提高自身的專業技能,全面監控企業局域網的運行過程,研究和觀察企業局域網絡中是否存在非法措施和不法攻擊,進行全面的評估,不斷地改建和完善,構建科學合理的企業局域網運行機制,不斷提高企業局域網的安全穩定性。
3 結束語
計算機網絡安全是一項復雜的綜合工程,是企業計算機網絡信息化發展需要面臨和解決的關鍵問題,因此要結合當前企業計算機網絡面臨的威脅,積極采取相應的安全措施,加大對企業計算機網絡安全的投入,健全企業網絡管理隊伍和體制,不斷提高企業計算機網絡的安全性。
參考文獻
[1]沈娜,劉冬梅.企業計算機網絡中存在的安全隱患和對策[J].新疆石油科技,2009(03).
[2]魯林鑫.企業計算機網絡安全防護措施和對策研究[J].科技創新導報,2010(04).
[3]孫興超.談企業計算機的網絡安全問題[J].中國新技術新產品,2008(17).
關鍵詞:內部信息網絡;信息安全;管理
中圖分類號:F270.7 文獻標志碼:A 文章編號:1674-9324(2014)21-0018-02
做好企業信息安全管控工作,首先要結合所在企業的實際情況,了解來自內部和外部環境的主要威脅,抓住工作重點,發現解決難點問題。下面就信息安全管控的一些重點和難點問題,談一點看法。
一、信息安全管控的重點
我們常說,“信息安全控制三分靠技術、七分靠管理”,尤其是對非IT行業來說,它首先是信息系統的使用者,其次才是運行和維護者。它的內部信息網絡運行人員,可能僅占到總人數的1%甚至更低。所以技術措施主要是作為管理人員的手段來發揮作用,維持信息網絡安全穩定運行,最重要的還是明確管理制度、細化安全職責、加強監督考核。大部分企業的內部網絡出口,都裝有防火墻和入侵檢測系統,理論上說一個外界的入侵者想繞過防火墻和入侵檢測系統進入到企業內部網絡進行非法操作,難度很大。
二、信息安全管控的難點
隨著企業各項業務的信息化,其信息資產的價值也在迅速提升,這勢必會吸引一些有目的性的內部或外部威脅,從而帶來信息安全性的下降。信息系統可用性已經不再是信息安全管控的唯一目標,系統數據的保密性和完整性也已經成為了信息安全工作的重要內容。在信息網絡運行工作中,這就需要我們關注更廣的范圍,監控更多的節點,進入更多的層面。
同時我們必須認識到,在某些方面,信息安全性的提高是以降低應用的便利性為代價的。例如:一些員工為了避免一系列限制,不使用企業統一的外網出口,而是自己利用3G上網,雖然有很強的自由性,也能提高訪問速度,但是這樣就打開了一個不經過防火墻和入侵檢測系統的外網接口,一旦外部有影響惡劣的新型病毒爆發,病毒就可以在信息管理人員做好準備之前入侵內部網絡,造成較大的安全事故。安全性和便利性的這種沖突,需要我們針對網絡和信息系統重要程度,劃分級別,尋找一個兩者之間的平衡,在達到安全標準的前提下,提高應用的便利性。
三、安全管控的實施原則
基于以上理解,在企業內部信息網絡中進行安全管控措施規劃、實施時,可以遵循以下原則。
1.整體性原則。從應用系統的視角,分析信息網絡的安全的具體措施。安全措施主要包括各種管理制度以及專業技術措施等。一個較好的安全措施往往是多種方法適當綜合的應用結果,只有從系統綜合整體的角度去看待、分析,才能選取有效可行的措施,著重加以落實。
2.平衡性原則。對于一個計算機網絡,絕對的安全很難達到,也不一定非要達到不可。應結合企業實際,對其內部網絡的性能結構進行研究,并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后選取急需落實執行的規范和措施,確定當前一個時間段的重點安全策略。
3.一致性原則。一致性原則主要是指網絡安全措施應與整個網絡的生命周期同時存在,制定的安全體系結構必須與網絡的安全需求相一致。實際上,在網絡建設的開始就有前瞻性的考慮到網絡安全問題,比在網絡建設好后再考慮安全措施,不但容易,且花費也小得多。
4.容易性原則。安全制度需要人去遵守,安全措施需要人去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。
5.動態性原則。企業信息系統的應用范圍將越來越廣闊,隨著網絡規模的擴大及應用的增加,網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。應該隨著企業信息化的發展,不斷完善現有網絡安全體系結構,適時增加或減少應該重點落實的安全措施。
6.多重性原則。任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,采取多項安全措施進行多層防護,各層防護相互補充,當一層保護出現漏洞時,其他層仍可保護信息網絡的安全。
四、安全管控的重點措施
信息安全的保障,還要靠制度細則的執行,具體措施的落實。近幾年來,在電力行業內部,各級單位制定了一系列的安全管理措施,來保障內部信息網絡的安全可靠。
1.“不上網、上網不”,切實避免將的計算機、存儲設備與信息網絡連接,避免在接入外部網絡或互聯網的計算機設備上存儲、處理、傳遞信息或內部辦公信息。
2.計算機接入信息內網必須嚴格執行審批登記制度,使用規范的計算機名稱,實現IP和MAC綁定。必須納入企業統一的域安全管理,接受統一的監管。
3.執行統一的互聯網出口策略,禁止單位和個人私自設置互聯網出口。
4.接入企業信息內網的計算機設備,應嚴禁配置、使用無線上網卡等無線設備,嚴禁通過電話撥號、無線技術等各種方式與互聯網互聯。信息內網應避免使用無線網絡組網方式。
5.在計算機的運行使用中,所涉及到的用戶帳戶應執行口令強度的要求與定期更換的規定,采取有效措施監控、發現、并及時修改弱口令,防止被他人利用。應禁止內部員工未經授權侵犯他人通信秘密,擅自利用他人業務系統權限獲取企業電子商密信息。
6.應使用企業集中統一的內外網郵件系統,接受統一的內容審計管理。對于在外部網絡和互聯網上傳輸的內容,也要采用加密壓縮方式進行傳輸。
7.連接內網的傳真、打印、復印一體機,應切斷電話線連接,取消智能存儲功能。應禁止將普通移動存儲介質和掃描儀、打印機等計算機外設在信息內網和外部網絡上交叉使用。
關鍵詞:網絡安全,用戶意識,解決方案
1、網絡安全的重要性
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用書序、數論、信息論等多種學科。網絡安全是指網絡系統等硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不中斷。具體而言,網絡安全要:保護個人隱私;控制對網絡資源的訪問;保證用戶秘密信息在網絡上傳輸的保密性、完整性、真實性及不可抵賴;控制不健康的內容或危害社會穩定的言論;避免國家及企業機密泄漏等。
隨著企業信息化建設的飛速發展,網絡數據量的迅速增長,網絡安全問題已經越來越受到人們廣泛的關注,各種病毒花樣繁多、層出不窮;系統、程序、軟件的安全漏洞越來越多;黑客們通過不正當的手段侵入他人電腦,非法獲得信息資料,給正常使用網絡的用戶帶來不可估計的損失。很多企業及用戶就曾深受其害。
2、 破壞網絡安全的因素
破壞網絡安全的因素主要包括物理上的、技術上的、管理上的及用戶意識幾個方面。
從物理上講,我網絡安全是脆弱的。就如通信領域所面臨的問題一樣,網絡涉及的設備分布極為廣泛,任何個人或組織都不可能時刻對這些設備進行全面的監控。任何安置在不能上鎖的地方的設施,包括有線通訊線,電話線,局域網,遠程網等都有可能遭到破壞,從而引起業務中斷,如果是包含數據的軟盤,光盤,主機等被盜,更會引起數據的丟失和泄漏。
從技術上講,首先,系統必須提供一定的途徑以許可外系統的訪問;其次,系統必須有足夠的能力對這些訪問進行控制。如果控制技術本身有缺陷,就有可能被攻擊者利用。如在網絡上廣泛應用的Windows2000、WindowsXP等系統都存在自身的缺陷。最后,即使控制技術本身并無缺陷,在選用控制系統時還有一個平衡的問題;控制太嚴,合法用戶的正常使用將受到影響;控制太松,就會有漏洞。要做到恰到好處的控制并不是一件容易的事。
從管理上說,沒有一只高效的網絡安全管理隊伍,沒有一套網絡安全技術培訓和用戶安全意識教育機制,也是造成網絡不安全的一個重要因素。上百個用戶的網絡就靠一兩個網絡管理員來維護,勢必造成頭痛醫頭、腳痛醫腳的局面。
下面就重點分析一下用戶意識因素:
大多數系統是以用戶為中心的。一個合法的用戶在系統內可以執行各種操作。管理人員可以通過對用戶的權限分配,限定用戶的某些行為,以避免故意的或非故意的某些破壞。然而,更多的安全措施必須由用戶自己來完成,比如:
2.1碼控制
一個合理的要求是,由用戶來管理自己的登錄密碼。系統管理員可以更改用戶的密碼,但不能讀取用戶的密碼。用戶必須對自己密碼的安全性、保密性負責。一個不好的(或不安全的)密碼事實上不能起到密碼的作用。在下面的分析中,將進行具體的分析。同樣,如果不能保證密碼的保密性,自然密碼也是虛設。
2.2文件管理
用戶對自己的文件必須負責。對于一般的系統和應用,文件的創建者擁有對文件的全部權限,包括將權限分配給他人的權限。如果缺省設置是文件創建后,僅有文件創建者擁有對文件的權限,其他人必須顯示得到權限分配,問題會小些。然而,多數系統(Microsoft、Windows)對文件權限的設置是:只要沒有顯示的限制,都是可以訪問的。這樣,對文件訪問的安全問題實際上是交給了用戶自己管理。
2.3運行安全的程序
目前在系統一級上,尚無對病毒的有效控制。什么程序是安全的,什么程序是可能包含病毒的,只能由用戶自己判斷。一個用戶只要有寫文件、運行文件的權利,就有可能無意中給系統裝上木馬程序。
2.4保持警惕
這兩年,電子郵件病毒日益猖獗。同前一個問題一樣,電子郵件的安全也只能由用戶自己控制。在瀏覽網頁時,也可能遇上陷阱,這些都要求用戶保持警惕。
3、網絡安全的解決方案
網絡的安全不是單純的技術問題,他和系統的管理維護制度方面密切相關。要實現完整的企業網絡安全性,首先要制定一個完整的企業安全策略。一個完整的企業網絡安全策略涵蓋的內容很多,整個網絡系統的安全性也不僅依賴于安全可靠的網絡操作、應用系統、網絡設備的安全性。
3.1需求、風險、代價平衡分析的原則
對一個網絡要進行實際分析,對網絡面臨的威脅及可能承擔的風險進行定性和定量的分析,然后制定規范和措施,確定本系統的安全策略、保護成本、被保護信息的價值必須平衡。
3.2授權、認證原則
對那些確實需要保護的企業網絡資源(包括設備、軟件、數據等),保證在對這些資源訪問前,用戶必須經過授權和認證,符合身份驗證和授權的用戶才能夠獲得相應的訪問權限。
3.3一致性原則
主要指只有應該具備訪問權的人才能夠獲得相應的訪問資源的賬號。這里要特別注意因為員工更換部門或者離開公司,其相應的權限和賬號也要相應取消。
3.4綜合性、完整性原則
運用系統工具的觀點、方法分析網絡安全的問題,并制定具體措施。一個較好的安全措施往往是多種方法綜合應用的結果。
3.5建立安全監控、報警手段或者機制
可對網絡的安全策略是否得到正確的實施,以及對違反安全策略的行為予以報警,有助于確保整個網絡系統的安全性。
3.6易操作性原則
如果措施過于復雜,對人的要求過高,本身就降低來安全性。
3.7適應性、靈活性原則
安全措施必須能隨網絡性能及安全需求的變化而變化,要容易、適應修改。
關鍵詞:信息安全;防御技術;網絡措施
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 20-0000-01
雖然信息網絡給我們的生活帶來了極大的便利,但是由于信息網絡環境是一個具有開放性、互聯性、多終端性、多聯結形式性等特殊屬性,這就導致了信息網絡非常容易遭受惡意軟件侵染、網絡黑客攻擊等破壞性、竊取侵擾。如何維護信息網絡的信息安全、通暢運行等安全問題,已經成為我們亟待解決的問題。
一、信息網絡安全存在的問題
(一)網絡結構安全。信息網絡是一種網間網技術,它是由無數局域網絡通過繁多的軟硬件網格式連接而成的龐大的網絡系統,網絡因此也給我們提供了一個巨大的資源倉庫,當我們通過個人信息在網絡世界中與另一局域網絡的主機進行信息互通時,信息要通過互聯網設施設備各個節點層層轉送、傳輸才能到達目標終端,在這個過程中,任何兩個節點之間的信息數據包,不僅會在節點之間傳輸,還會被兩端的網卡所接收,也存在被這兩個節點間的以太網上的任何一個節點網卡所截獲。如此一來,網絡黑客就可以利用網絡設施設備,隨意接入以太網上的任何一個節點,劫取在這個以太網上傳輸的所有的數據包,然后再利用相關程序進行解碼翻譯,最終拿到關鍵的信息數據等。更何況,互聯網上傳輸的信息包大多數都沒有進行加密保護,有時根本不需要繁雜的工序就可以對所傳輸的命令、數據、電子郵件、文件等輕易截獲解碼,這也是互聯網在提供便利的同時所存在的固有的安全隱患。[1]
(二)路由器等網絡設備的安全問題。路由器的主要任務是數據傳輸通道和控制設備,也是實現局域網絡與外界網絡進行連接的必備設施,嚴格來說,所有的網絡攻擊的破壞都要最先通過路由器才能到達終端機器,只要做好路由器的控制設計就可以防患于未然了,但是在路由器的設計上還是存在若干的缺陷,一些破壞性典型的攻擊就是利用路由器的設計缺陷來實現攻擊破壞目的的,并且有些攻擊更是在路由器上進行的。這給網絡安全埋下了不可逾越的安全隱患。
(三)網絡信息病毒攻擊。網絡信息病毒是信息網絡中比較常見的一種安全攻擊性程序,就有較高的設計技巧和隱秘隱藏性,它并不是獨立存在的,而是以一種寄生生存的形式,依附于其他程序之中,當人們進行正常的信息搜索、下載、保存、解包的同時,病毒軟件跟隨侵入到了終端用戶的主機系統之中,破壞主機的運行程序、攻擊主機的安全屏障,造成主機的運行困難,更甚至是運行癱瘓、信息損壞、資料丟失等重大損失。病毒軟件具有隱蔽性、潛伏性、傳染性、形式多樣性和巨大破壞性,是我們的信息網絡環境中長期、普遍存在的不穩定、不安全因素[2]。信息病毒還存在破壞性、隱蔽性、傳染性、繁殖性、潛伏性和可觸發性。
(四)信息安全軟件滯后及功能不齊。雖然網絡安全已經受到了廣泛的重視,在一定程度上也能取得較大的防護作用,但是相較于網絡攻擊手段變化速度而言,其更新的速度還是存在相對滯后的現象。目前,我們所常用的網絡安全防護軟件研制商已經非常注重軟件的完善和更新速度的提升了,但是在新網絡安全問題的應對方面仍然顯得比較吃力。
二、信息網絡安全防御技術
(一)防火墻技術。防火墻技術是目前信息網絡安全運行中較為常用的防護措施。防火墻技術是指綜合應用適當技術在用戶網絡周圍組建用于分隔被保護網絡與外界網絡之間的系統。在一定意義上,防火墻等于在被保護網絡與外界網絡之間,建設了一堵不可輕易逾越的保護層,是由軟件和硬件設備組合而成、在內部網絡和外界網絡之間、公共網絡和專用網絡之間的界面上建立的保護措施。防火墻主要包括服務訪問政策、驗證工具、數據包過濾和應用網關四部分組成,任何的訪問操作都要經過保護層的驗證、過濾、許可才能進行,只有被防火墻驗證授權的信息交流才能獲得允許通過進行操作,同時將不被允許的訪問行為拒之門外,防止篡改、移動和刪除相關信息的發生。[2]
(二)防病毒技術。信息網絡給我們的工作、生活帶來便利的同時,也遭受著信息病毒的侵擾,信息技術發展也使得信息病毒變化的速度非常之快,朝著多樣化、隱蔽化、高級化的發展趨勢演變,對信息網絡造成了極大的威脅,防病毒技術無疑是解決這一威脅的必要措施,也是信息安全防御技術較為常用的保障要素。防病毒軟件從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。網絡防病毒軟件故名此意主要是針對網絡安全運行的應用軟件,主要注重網絡防病毒,一旦病毒入侵網絡或通過網絡侵染其他資源終端,防病毒軟件會立刻進行檢測并刪除阻止操作,防止其行為的進行,減少侵染區域,保護信息資源安全。單機防病毒軟件主要是信息生產商在信息CPU等硬件上植入的安全防護措施,他們主要針對的是單臺CPU或相關局域工作臺領域的所謂防病毒安全防護。
(三)數據加密技術。信息安全成為了社會各界網絡建設的基礎架構,但是傳統的安全防護技術已經遠遠不能滿足用戶的安全需求,新型的安全防護手段逐步成為了信息安全發展的主力軍。數據加密技術就是在這一背景下產生并發展起來的較為新興的信息安全防護技術。數據加密技術又稱為密碼學,它是一門具有著悠久發展史的應用型技術,是通過加密算法和加密密鑰將明文轉換成密文的技術。數據加密是目前信息技術中進行信息保護的最為有效的一種防護措施。數據加密技術可以利用密碼技術,將重要的信息進行加密處理,使信息隱藏屏蔽,達到保護信息安全的目的。
三、結語
所有的信息安全技術都是為了達到一定的安全目標,其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。我們要不斷加強信息網絡安全措施的研發、推廣和應用,為維護網絡安全、社會穩定、生活便利貢獻力量。
參考文獻:
關鍵詞:金融信息,網絡安全,保障體系,服務
1金融信息系統安全保障體系的總體構架
金融信息系統安全保障體系的總體構架有系統安全、物理安全、應用安全、網絡安全、和管理安全。畢業論文,網絡安全。
1.1金融信息系統的安全
系統安全指的就是網絡結構的安全和操作系統的安全,應用系統安全等等。畢業論文,網絡安全。網絡結構的安全就是指網絡拓撲沒有冗余的環路產生,線路比較暢通,結構合理。操作系統的安全就是指要采用較高的網絡操作系統,刪除一些不常用卻存在安全隱患的應用,對一些用戶的信息和口令要進行嚴格的把關和限制。應用系統的安全就是指只保留一些常用的端口號和協議,要嚴格的控制使用者的操作權限。在系統中要對系統有一些必要的備份和恢復,它是為了保護金融系統出現問題時,能夠快速的恢復,在金融系統在運行的過程中要對其內容進行備份。
1.2金融信息系統的物理安全
物理安全就是要保證整個網絡體系與信息結構都是安全的。物理安全主要涉及的就是環境的安全和設備的安全,環境安全主要就是防雷、防火、防水、等等,而設備的安全指的就是防盜、放干擾等等。
1.3金融信息系統的應用安全
金融信息系統的應用安全主要就是指金融信息系統訪問控制的需要,對訪問的控制采用不同的級別,對用戶級別的訪問授權也是不同。收集驗證數據和安全傳輸的數據都是對目前使用者的身份識別和驗證的重要步驟。而對于金融系統中數據資源的備份和恢復的機制也要采取相應的保護措施,在故障發生后第一時間恢復系統。
1.4金融信息系統的網絡安全
金融信息都是通過才能向外界的,而通過采取數據鏈路層和網絡層的加密來實現通信的保護,對網絡中重要信息進行保護。而對網絡進行入侵檢測也是必要的,通過信息代碼對進出的網段進行監控,來確保信息的安全性。畢業論文,網絡安全。對系統也要進行不定期的部件檢測,所是發現有漏洞要及時的進行補救。
1.5金融信息系統的安全管理
金融系統是一個涵蓋多方面的網絡,也運行著很多的網絡,對金融系統進行信息管理,就應該設置安全的管理中心,要集中的管理,嚴格的規定和確定明確的責任和控制,確保金融系統可靠的運行。
2金融信息系統安全保障的措施
2.1設置安全保障的措施
對于任何未經允許的策略都嚴格的禁止,系統允許訪問的都要經過眼的認證才能進入下一步,重要的金融信息要經加密的措施進行傳輸。要通過網絡安全策略對金融信息系統的網絡設置防火墻,用來保護各個金融節點的信息安全,允許授權用戶訪問局域網,允許授權用戶訪問該局域網內的特定資源;按業務和行政歸屬,在橫向和縱向網絡上通過采用MPLSVPN技術進行VPN劃分。
2.2使用安全技術和安全產品的措施
為了金融系統有個安全可靠運行環境,遵循金融系統的安全保障體系策略,要在金融信息系統中安裝一些安全技術和安全的產品。將金融信息系統劃分為不同的安全區域,每個區域都不同的責任和任務,對不同的區域要有不同的保護措施,即方便又增強了安全性。在金融想嘔吐中安裝一道防火墻,用來防止不可預見的事故,若是有潛在的破壞性的攻擊者,防火墻會起到一定的作用,對外部屏蔽內部的消息,以實現網絡的安全防護。應該在金融信息系統中設置入侵檢測系統,要對網絡的安全狀態進行定期的檢測,對入侵的事件進行檢測,對網絡進行全方位的保護。在金融信息系統中安裝防病毒的系統,對有可能產生的病源或是路徑進行相對應的配置防病毒的軟件,對金融信息系統提供一個集中式的管理,對反病毒的程序進行安裝、掃描、更新和共享等,將日常的金融信息系統的維護工作簡單化,對有可能侵入金融信息系統的病毒進行24小時監控,使得網絡免遭病毒的危害。定期的對金融信息系統進行安全評估,對系統中的工作站、服務器、交換機、數據庫一一的進行檢測評估,根據評估的結果,向系統提供報告。安全的評估與防火墻的入侵檢測是相互配合的,夠使網絡提供更高性能的服務。畢業論文,網絡安全。
2.3金融信息管理的安全措施
在管理的技術手段上,也要提高安全管理的水平。金融信息系統是相對比較封閉的,金融信息系統的安全是最重要的,業務邏輯與操作規范的嚴密是重中之重。因此對于金融信息系統的內部管理,加強領導班子對安全管理的體系,強化日常的管理制度嗎、,提升根本的管理層次。
2.3.1建立完善的組織機構
如今我國更加重視信息安全的發展,它可以促進經濟發展和維護社會的穩定。在金融信息系統的內部要建立安全管理小組,安全管理小組的任務就是要制定出符合金融發展的安全策略。管理小組由責任和義務維護好系統的安全和穩定。
2.3.2制定一系列的安全管理辦法和法規,主要就是抓住內網的管理,行為、應用等管理,進行內容控制和存儲管理。對每個設施都要有一套預案,并定期進行測試。畢業論文,網絡安全。
2.3.3 加強嚴格管理,加強登陸身份的認證,嚴格控制用戶的使用權限,對每個用戶都要進行信息跟蹤,為系統的審核提供保障。畢業論文,網絡安全。
2.3.4加強重視信息保護的等級,對金融信息系統中信息重點保護,對重要信息實施強制保護和強制性認證,以確保金融業務信息的安全。也要不斷的加強信息管理人才與安全隊伍的建設,加大對復合型人才的培養力度,通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。
3結語
隨著金融信息化的快速發展,金融信息系統的規模逐步擴大,金融信息資產的數量急劇增加,對網絡與信息系統實施安全保護已勢在必行。目前互聯網的應用還缺乏一定的安全措施,這樣就嚴重的影響和限制了金融系統通過網絡向外界提供服務的質量和種類。因此,各個金融信息系統都必須要采取一定的安全防護措施,構建一個安全的合理的金融信息系統。
參考文獻:
[1]盧新德.構建信息安全保障新體系:全球信息戰的新形勢與我國的信息安全戰略[M].北京:中國經濟出版社,2007.
[2]李改成.金融信息安全工程[M].北京:機械工業出版社,2010.
[3]方德英,黃飛鳴.金融業信息化戰略——理論與實踐[M].北京:電子工業出版社,2009.4.
關鍵詞:稅務系統;信息化;網絡安全;互聯網
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2012) 07-0000-02
隨著網絡技術的飛速發展,互聯網日益普及,稅務系統開始探索實現信息化,建立自己的局域網系統,這不但提高了工作效率,而且減輕了勞動強度,實現了資源共享。不過,伴隨著方便快捷的同時,網絡安全問題也開始出現,阻礙了稅務系統信息化進程。為了保證稅務系統的信息安全,應該重點分析網絡安全問題出現的成因,并采用有效的措施進行防范,確保稅務系統的網絡安全管理。
一、稅務系統網絡安全的內涵
網絡安全本質上就是指網絡上的信息安全,是指網絡系統的固有硬件、軟件及其相關數據受到一定的保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,保證系統的正常運行,避免網絡服務的中斷。
對于網絡中的不同接入者,其所要求的安全權限并不相同。對于用戶來說,他們不希望個人信息被不合法用戶利用,個人信息屬于機密信息,在網絡上應該受到保護,防止合法利益受到損害和侵犯。對于網絡運營商和管理者而言,他們希望網絡信息收到嚴格的控制和保護,以免出現病毒、拒絕服務等的威脅,保證網絡的安全性。
二、稅務系統網絡安全的特征
網絡安全是在信息化過程中,逐漸凸顯出來的,它的特征不可避免的和信息化有所關聯。根據我們對網絡安全內涵的理解,其應該具有以下特征。
(一)保密性
網絡安全的保密性是指信息不泄露給非授權的個人、實體和過程,或供其利用的特性。網絡系統的不同層次因機密性程度不同而防范措施不同,特別是系統運行層面,要保障系統不管在任何條件下都不能被非授權用戶使用,使授權用戶的個人信息受到保密性的保護,能夠拒絕任何非法權限,真正保障用戶的合法權益。
(二)完整性
網絡安全的完整性是指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。對于用戶來說,我們都不想信息在傳輸過程中發生改變,導致信息傳輸出現障礙,阻礙我們在網絡中的交流。我們使用網絡就是為了方便的傳輸信息,如果信息在傳輸過程中出現改變,就背離了我們交流的目的。而且某些未授權用戶為了自己的利益,經常會非法獲得某些信息,使用戶得到很大的麻煩,這都是我們應該避免的。
(三)可用性
網絡安全的可用性是指可被授權實體訪問并按需求使用的特性,即當需要時應能存取所需的信息。網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。網絡的便利性就是讓我們可以隨時隨地的獲取網絡信息,實現信息的共享交流,這就要求網絡安全必須提高網絡的可用性,使授權用戶能夠獲得所需信息。并且阻止非法用戶攻擊網絡,造成網絡的不可用,甚至癱瘓,影響用戶的合法使用。
(四)可控性
網絡安全的可控性是指對信息的傳播及內容具有控制能力。這樣可以限制某些非法信息的傳播,控制不良信息造成更大的影響,保證授權用戶可以獲得健康有益的信息,促進社會更加的和諧。
(五)可審查性
網絡安全的可審查性是指在網絡中出現安全問題時能夠提供依據與手段。不論是稅務系統,還是其它的系統,雖然我們在硬件以及軟件方面都設置了一定的安全手段,限制某些非授權用戶的入侵,不過由于網絡的開放性和系統的不完善性,總有很多的漏洞會不斷出現,仍然會造成不少非授權用戶去攻擊系統獲得相關信息。對于網絡的安全性來說,這是很不利的。這就要求當網絡中出現問題時,網絡安全措施能夠記錄非法用戶的操作,保證授權用戶在必要時利用法律武器保護自己的合法權益。
三、稅務系統網絡安全現狀以及問題
隨著信息社會的不斷推進,通信技術深入發展,計算機技術不斷進步,網絡信息的安全成了最為關鍵的問題,要求急需解決信息的保密性。計算機網絡以其開放性、共享性等特征才得以廣泛發展,使其規模日益擴大,人們選擇網絡的最初原因無不是方便快捷高效,不過這些優點恰恰成為了網絡的致命缺陷。計算機網絡暴露出的安全漏洞使網絡飽受攻擊,造成信息被非授權用戶獲得,使授權用戶的合法權益受到侵害。稅務系統作為特殊的系統,更不能讓其受到非授權用戶的攻擊,否則會給國家造成很大的損失,為了保證稅務系統的網絡安全性,應該從各個方面采取措施保證稅務系統不能受到威脅,從而使稅務系統能夠保證信息的安全性。不過由于稅務系統網絡安全的不完善性,在運行管理和稅務系統等的很多方面,都暴露出了一些問題,必須引起我們的重視。
(一)稅務系統網絡安全人才配備不足
由于網絡通信的發展較快,新的客戶服務器不斷升級并投入到新的系統中,而且由于種類不同,配置也各不相同,技術應用的發展很快,不過相應的技術管理并沒有增加,系統管理人員的技能達不到要求,致使系統在運行期間,管理維護都不到位,增加了系統被攻擊的風險,使系統的危險系數增加,不能適應信息安全形勢的發展。
(二)稅務系統網絡安全措施落實不到位
網絡安全的開放性使網絡技術的發展迅速,不過也造成了網絡的不安全因素存在。對于稅務系統的某些授權用戶,并沒有對其清醒認識,沒有采取相應的安全措施,使敏感數據暴露于網絡中,增加了系統的風險,留下了被某些非授權用戶利用的隱患。雖然系統會經常升級來保障其安全性,不過有些用戶并沒有意識到這個問題,及時給系統打補丁,使系統的問題沒有得到解決,加大了網絡的不安全風險。
(三)稅務系統網絡安全綜合方案不完善
網絡安全技術發展太快,而且技術復雜,大部分的用戶無法跟上技術的發展,只能依賴硬件防護和軟件加密等技術,并且認為這些措施可以保障系統的網絡安全,使他們產生了安全感。可是這種防范措施雖然起到一定的防范作用,并不能真正的保障系統的絕對安全,網絡安全問題也并不是這么就能簡單解決,這也暴露出了目前系統網絡安全方案的不完善,應該采取多種措施綜合防范才能有效解決目前的困境。
四、稅務系統網絡安全管理
稅務系統網絡安全管理是對系統中的設備和安全技術進行統一的管理和系統,從而全面的保證系統的安全,提高網絡的防御能力,增加網絡的安全系數,保證稅務系統的安全性,使國家的利益不遭受到侵犯。
現在網絡的防御已經從分散的單點式管理向集中的綜合性發展,這是網絡技術發展的需要,也是對于網絡安全的綜合考慮后提出的一種更加安全的防范方法。現在的設備繁多,造成系統的復雜性,而且缺乏互通性的管理工具,造成了管理的難度,為了從全局綜合考慮網絡安全的安全策略,管理員應該從整體考慮,對設備進行綜合管理,從各個層面保證系統的安全性。
(一)加強稅務系統網絡安全管理
對于稅務人員,應該對其加強安全教育,使其認識到網絡安全的不穩定性,提高他們在日常管理工作中的保密性措施,能夠不斷提高業務操作技能,從管理層面保證網絡安全性能。而且,對于網絡的各種硬件,應該保證其物理安全性能,最好能夠定期檢測,防止出現破壞行為。
(二)加強稅務系統終端管理
稅務系統的終端管理包括對終端系統的運行檢測、軟件使用等方面的使用管理,維護好系統,保證終端系統的使用,并能對終端系統的信息進行保護,出現問題時,能夠起到監管作用。
(三)加強稅務系統防火墻技術
防火墻技術是解決網絡安全問題的最主要手段之一,為了應對現代通信網絡技術的安全問題,防火墻技術最早應用于互聯網技術中,并得到廣泛使用。防火墻能夠檢測、限制通過的信息,并組織一定的攻擊行為。同時,可以監控網絡中的任何活動,保證稅務系統的網絡安全。
(四)加強稅務系統網絡控制
為了防止非授權用戶的非法接入,對于稅務系統而言,網絡能夠對訪問進行一定的控制,保證資源的合理應用,防止遭受非法使用和非法訪問。主要通過限制網絡權限、網絡端口和節點等進行控制網絡訪問,設置訪問控制的權限,從而有效防護網絡安全問題。
五、結束語
由于網絡本身的弱點,不管技術如何發展,網絡安全威脅依然存在。隨著經濟全球化的不斷深化,信息化的不斷發展,信息時代的信息安全問題涉及到人們生活的各個方面。對于稅務管理系統來說,更是涉及到納稅用戶和國家的利益,我們必須不斷加強監管,切實采用多種綜合性措施,保障稅務系統的網絡安全,推動我國信息化安全的進程。
參考文獻:
[1]吳鈺鋒,劉泉,李方敏.網絡安全中的密碼技術研究及其應用[J].真空電子技術,2004
關鍵詞:電力企業;計算機網絡安全;保密管理
隨著二十世紀九十年代電力企業的高速發展計算機開始廣泛應用,電力操作的相關系統先后建立,電力系統所傳輸敏感數據的計算機網絡信息安全保密相當重要。電力企業計算機網絡須有強有力的安全措施,才能保障信息網絡安全。但電力局域網和廣域網都存在諸多的脆弱性和潛在威脅。因此,加強計算機網絡安全措施才能確保網絡信息的保密、完整和可用。
一、電力企業計算機網絡安全保密管理存在的問題
計算機網絡通常都受三類脆弱性危害:行為管理、網絡配置和技術脆弱性。計算機網絡威脅一是來源于網絡信息;二是來自于網絡設備。影響計算機網絡的因素可歸納為三點:
(一)人為無惡意失誤
不當的安全配置導致的系統安全漏洞、用戶薄弱的安全意識、用戶不慎選擇口令、用戶轉借或共享帳號常在企業計算機網絡使用初期多發。隨著網絡管理制度的建立和操作人員的培訓,人為無惡心失誤已不是主要的網絡安全威脅。
(二)人為的惡意攻擊
計算機網絡面臨的最大威脅就是人為的惡意攻擊,這類攻擊包括對手的攻擊及計算機犯罪。惡意攻擊一是以各種方式選擇性地破壞信息的有效性、完整性的主動攻擊;一是在網絡正常工作不受影響的情況下,為獲取重要機密信息截獲、竊取、破譯的被動攻擊。計算機網絡由于他們的攻擊會帶來很大危害,并泄漏機密數據。網絡的迅猛發展,網絡黑客及計算機病毒嚴重威脅了網絡安全,因此,電力企業網絡安全工作的重點是防范人為惡意攻擊。
(三)網絡軟件漏洞
黑客攻擊網絡的首選目標是網絡軟件漏洞和缺陷,黑客攻入內網大多是因安全措施不完善和編程設計人員為方便而設置的軟件“后門”被洞開。獲取軟件補丁程序不及時,漏洞和“后門”未被堵死,易招致黑客攻擊,同時使用盜版軟件,網絡系統在環境不干凈,也容易出現問題,一旦發生問題,損失會是慘重的。
二、解決電力企業計算機網絡安全保密管理的若干措施
計算機網絡信息保密一是要依靠先進設備和技術手段,二是需要依靠嚴格的內部管理及員工的自主保密意識來加強和完善,通過事實內部具體管理措施以達到計算機網絡信息安全保密的目的。
(一)保密意識的加強
部分單位和用戶在認識和理解涉密計算機保密問題上仍存在不小的誤區,因此常常保密意識薄弱,無密可保,有密難保的麻痹意識、畏難情緒無處不在。部分單位雖有涉密系統,但單位級別低,涉密層級不高,非重點單位,信息系統無所謂保密;有的認為本單位的涉密信息在局域網中傳輸,瀏覽對象屬于內部人員,無密可保;還有的認為在信息技術高度發達的今天,電腦黑客無處不在,防不勝防,有密難保等。這些錯誤認識也是導致當前涉密計算機信息系統存在漏洞和泄密隱患的一個主觀因素。
(二)提高員工計算機應用水平
計算機網絡相對而言技術含量高,不掌握相關科學技術,則難以抵御網絡的技術破壞和技術泄密。高素質的人才隊伍是計算機網絡信息安全保障體系的智力支撐,沒有一批網絡安全保密管理系統的規劃設計人才、應用軟件的研制開發人才、終端用戶的操作使用人才、硬件設備的維修保養人才、系統性能的監測評估人才,網絡信息安全保密就無從談起。因此,保密工作應把人才問題擺在安全保密建設的戰略位置,普及計算機網絡信息安全保密知識,提高大家安全保密意識,努力建設一支專業精深、善于管理的高素質信息安全保密人才隊伍。
(三)建立網絡終端入網審批制度
控制上網范圍,尤其是涉密系統在投入運行之前要有保密的主管部門審核。保密工作部門經過初審、現場測試、性能評估,確認符合安全保密要求后,方能批準同意接入網絡,投入使用。只有滿足開放利用條件且不涉及重要機密的用戶才能成為考慮對象,真正做到從根本上杜絕泄密。在技術方面可以采用準入+終端管理的組合方式進行嚴格的限制。
(四)建立嚴格的安全保密檢查制度
要結合本單位實際,建立起嚴格的安全保密檢查制度,依靠安全技術定期與不定期地分析和維護網絡系統的安全保密性,避免其技術漏洞和泄密隱患,有效促進和規范網絡信息安全保密管理。在技術方面可以采用封堵USB接口+防數據丟失+數據加密的組合方式,不允許終端用戶將數據拷出本機,或者即使非法拷貝走了文件,也會因為是加密文件而無法打開。
三、結束語
電力系統隨信息時代的到來加速進入信息網絡時代。計算機作為高科技、高效率和高水平的標志使用工具,已滲透到電力系統日常工作,為企業創新發展做出了突出貢獻。隨著電力市場的建立和網絡技術的發展,計算機網絡的安全保密問題越發嚴重,電力企業應結合自身情況結合各種措施,發揮網絡的最大效益。
參考文獻:
[1]汪勝利.魏敬宏.電力企業計算機網絡安全保密管理探析[J].電力信息化.2006.
[2]向繼東.黃天戍.孫東.電力企業信息網絡安全管理系統設計與實現[J].電力系統自動化.2003.
關鍵詞:計算機;信息系統;網絡安全
1、計算機網絡安全的概述
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護,不受其它外界惡意的原因而遭到破壞、更改、泄露,系統能夠正常地運行,網絡服務不中斷。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。
不同的網絡使用者,對網絡安全的具體含義也會有不同的理解:首先,從用戶的角度來說,他們希望涉及個人隱私或者個人利益方面的信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;其次,從網絡運行和管理者角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“木馬”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅,制止和防御網絡黑客的攻擊。最后,從社會教育和意識形態角度來說,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,也會對未成年人的心理健康造成影響,必須對其進行控制。
而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付其它外界因素對網絡硬件的破壞,例如突發的自然災害、軍事打擊等。以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的不間斷性。網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。
2、當前計算機信息系統的網絡安全存在的主要威脅
2.1人為的疏忽失誤。如個人的程序密碼設置不慎造成的安全漏洞。安全密碼應采用復雜密碼,大小寫、數字、特殊字符混合的密碼,并定期更換密碼。用戶將自己的帳號轉借他人或與別人共享等都會對網絡安全帶來威脅。安全的使用電腦和良好的上網習慣,加上適合自己電腦的殺毒防毒軟件,才可以保證你的電腦高效安全運行。
2.2網絡協議的局限性。在網絡的各層中存在著許多的協議,接收方和發送方同層的協議必須一致,否則一方將無法識別另一方發出的信息。Internet的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而缺乏在安全因素方面的考慮,因為那樣將增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP在設計上就存在安全隱患。
2.3黑客的威脅和攻擊。這是計算機網絡所面臨的最大威脅,網絡應用越復雜,遭受攻擊的可能性就越大。系統和常用第三方軟件出現的漏洞安全問題是導致病毒爆發、大型網絡攻擊或網絡犯罪事件頻發的主因之一。其次,病毒傳播的途徑發生變化——由文件感染方式已經發展為目前通過網頁“掛馬”等網絡攻擊形式。再次,一些中小企業、政府部門安全部署混亂、網絡安全管理能力差,導致企業和政府機關頻繁遭受黑客攻擊。最后,網民安全意識薄弱,在面臨真正網絡威脅的時候,他們往往力不從心。
3、計算機網絡安全的防范措施
3.1加強內部網絡管理人員以及使用人員的安全意識
計算機網絡系統是一個人機系統,安全保護的對象是計算機,而安全保護的主體則是個人,應注意樹立人的計算機安全意識,才能把可能出現的風險降到最小,才能生成一個高效、安全的網絡系統。大多數計算機系統常用口令來控制對系統資源的訪問,這是防病毒進程中,最基礎和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限,選擇不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。
在網絡上,軟件的安裝和管理方式是十分關鍵的,它不僅關系到網絡維護管理的效率和質量,而且涉及到網絡的安全性。好的殺毒軟件能在幾分鐘內輕松地安裝到組織里的每一個NT服務器上,并可下載和散布到所有的目的機器上,由網絡管理員集中設置和管理,它會與操作系統及其它安全措施緊密地結合在一起,成為網絡安全管理的一部分,并且自動提供最佳的網絡病毒防御措施。
3.2網絡防火墻技術
一個有效的防火墻應該能夠確保所有從因特網流入或流向因特網的信息都將經過防火墻,所有流經防火墻的信息都應接受檢查。通過防火墻可以定義一個關鍵點以防止外來入侵;監控網絡的安全并在異常情況下給出報警提示,尤其對于重大的信息量通過時除進行檢查外,還應做日志登記;提供網絡地址轉換功能,有助于緩解IP地址資源緊張的問題;防火墻是為客戶提供服務的理想位置,即在其上可以配置相應的WWW和FTP服務等。盡管利用防火墻可以保護內部網免受外部黑客的攻擊,但其只能提高網絡的安全性,不可能保證網絡的絕對安全。事實上仍然存在著一些防火墻不能防范的安全威脅,如防火墻不能防范不經過防火墻的攻擊。
3.3安全加密技術
加密技術的出現為全球電子商務提供了保證,不言而寓,密鑰就是在各種傳送機構中發揮他的作用,確保在傳送的過程中信息的安全。由于密碼算法是公開的,網絡的安全性就完全基于密鑰的安全保護上。雖然所使用的方式方法不同,但密鑰體制本身是相同的。主要有數字簽名、報文鑒別、電子郵件加密幾種應用。因此在密碼學中就出先了一個重要的分支——密鑰管理。密鑰管理包括:密鑰的產生,分配,注入,驗證和使用。它的基本任務是滿足用戶之間的秘密通信。
3.4網絡主機的操作系統安全和物理安全措施
操作系統是計算機資源的直接管理者,是計算機軟件的基礎和核心,一切應用軟件都是建立在操作系統之上的,如果沒有操作系統的安全,就談不上主機和網絡系統的安全,更談不上其他應用軟件的安全。因此,操作系統的安全是整個計算機系統安全的基礎。防火墻作為網絡的第一道防線并不能完全保護內部網絡,必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高,分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全。
網絡是信息的高速公路,是計算機技術和通信技術的產物,正因為網絡應用的如此廣泛,又在生活中扮演很重要的角色,所以其安全性是不容忽視的。只有我們加強去網絡安全的防范意識,在網絡時代的今天,我們能層層鏟除我們前進 步伐的障礙,為信息時代打造出新一片天地,給我們一個安全放心的網絡環境。
參考文獻:
[關鍵詞] 醫院信息系統;日常維護;網絡安全doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 10. 024
[中圖分類號] TP393.1;R197.32 [文獻標識碼] A [文章編號] 1673 - 0194(2013)10- 0046- 02
隨著網絡的迅猛發展,網絡安全已經成為最迫切需要解決的問題之一。應用醫院管理信息系統在為醫院帶來這些便利的同時,也給自己帶來了一個很嚴峻的考驗,那就是系統的安全問題。醫院管理信息系統的安全應從技術保護和管理機制入手,只有做好安全防范,才能確保整個信息系統的安全、高效、可靠。所以信息系統的網絡安全問題不容忽視。
1 概述
要實現醫院綜合信息網在全院各部門的廣泛應用,目標是在保證具有足夠開放性的前提下提供信息資源的保密性、完整性和可靠性。①保密性:防止非法侵入未審查的信息;②完整性:對信息數據的準確性和完整性有保護的能力;③可靠性:保證信息和其他重要資源在需要時能供用戶使用。
目前,絕大多數醫院均采用樹型和星型的混合拓撲,利用標準五類或超五類雙絞線綜合布線,樓棟間采用光纖進行中長距離連接。 將寬帶或專線接入網絡中的路由器,從而與外網進行信息交換。
醫院信息系統網絡不僅要保護計算機網絡設備安全和計算機網絡系統安全,同時還要保護系統數據庫數據安全等。所以醫院信息系統網絡安全防范的重點主要包括醫院內部威脅和醫院外部威脅。
內部威脅主要有:醫院內部工作人員將攜帶病毒的個人電腦或移動存儲介質接入醫院信息系統網絡,使醫院信息系統網絡計算機感染病毒,對網絡造成破壞,導致業務中斷,其次是醫院內部個別非法人員利用權限之便,非法訪問數據庫,從而對有價值的數據產生威脅并有可能篡改病人就診數據,為醫患糾紛埋下隱患,使醫院蒙受巨大損失。
外部威脅主要有:外來人員利用非授權電腦,私自接入醫院信息系統網絡,有意或無意發動攻擊、傳播病毒、竊取或篡改數據;醫院業務系統需要與醫保中心、新農合等社保網絡相連,進行數據傳輸,由此也會為醫院帶來安全的威脅。
2 安全維護技術要點
2.1 備份技術
無論信息系統設計、維護得多嚴格、科學、合理,故障的發生都是不可避免的。因此任何計算機系統在設計時都應考慮容災解決方案,即建立備份系統。
備份技術是在醫院信息系統發生故障數據庫無法使用時,能夠保障信息系統在很短的時間內完全恢復系統運行。數據備份是由備份軟件和備份設備共同完成的。醫院信息系統管理員設計合理的備份策略,確定備份頻度、備份時間、恢復時間等。備份策略主要有3種:只備份數據庫、備份數據庫和事務日志、增量備份。根據時間情況選擇合適的備份策略。
2.2 冗余技術
醫院信息網絡由于運行整個醫院的業務系統,需要保證網絡的正常運行,不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心,應充分考慮可靠性。網絡的可靠性通過冗余技術實現,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余、以太網冗余等技術。
2.3 防火墻技術
防火墻是屏蔽黑客入侵、保證系統安全的主要手段。防火墻是負責管理風險區域和內部網絡之間的訪問,在內部網和外部網之間的界面上構造保護層,所有的內部網和外部網之間的連接必須經過此保護層,從而使內部網和外部網在一定意義下隔離,防止非法入侵和破壞行為。
2.4 加密技術
信息交換加密技術分為2類,即對稱加密和非對稱加密,具體如下所述:在對稱加密技術中,通常是用的一把鑰匙開把鎖,對信息的加密和解密都使用相同的密鑰。 這樣有利于簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法,這樣更省心。
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。 這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。
2.5 身份驗證
根據角色級別、用戶類型及其對信息系統的重要性來選擇是否進行身份認證,對不同用戶選擇恰當的身份認證手段。訪問控制策略要有具體的時間和空間條件限制,保證具有訪問權限的用戶,只有在職權范圍內的時間、空間方位,才有權限訪問信息系統。具體地,需要將用戶對信息系統進行操作的時間進行分類,對不同時間條件下的用戶權限分別進行定義;而且用戶在信息系統中的操作權限必須在限定的設備、網絡接口來行使。同時對不同類型角色的用戶權限進行合理的分配,權限分配遵守最小權限原則、權限分離原則。授權機制要適應分布式環境的特點,采用動態授權。
3 安全管理方案
醫院信息系統的建立和實施增強了醫院的信息化建設和管理,同時也使醫院的整體運作過程中,完全依賴于計算機信息化、網絡化管理。這就使得醫院網絡信息安全變得越來越重要,一旦信息系統安全受到威脅或破壞,整個醫院將受到巨大的損失和直接的社會影響。因此,網絡便成了整個醫院信息系統的運行的核心保障,全醫院日常工作能否正常進行,便取決于網絡是否暢通無阻,可見網絡安全是醫院日常工作正常進行的保證和支持。
3.1 網絡硬件的安全
網絡安全問題涉及的因素諸多,但最重要的莫過于網絡中硬件的安全。網絡硬件安全主要指是網絡硬件設備和網絡線路的安全,因為它們構成了整個網絡安全的基礎,例如:數據庫服務器、中心交換機、二級交換機、UPS電源以及HUB等構成了整個網絡中的關鍵設備,因此它們性能的好壞,能否正常工作直接影響到整個系統的運行。建議醫院應根據實際情況選擇合理的網絡設備,同時要制定一系列的應急方法措施和嚴格的值班考勤規章制度,要做到定期對網絡硬件設備進行維護和檢修,真正做到防患于未然。例如,對醫院中心機房的供電設備一定要措施到位,設備充足,要考慮到應該有足夠的UPS在醫院突發停電的情況下對主機系統供電,同時也保證來電壓的穩定。
3.2 網絡設計
關于安全網絡設計的問題,應特別注意網絡設計缺陷和網絡設備選型缺陷對網絡安全的影響問題。 網絡總體設計應以高性能、高可靠性、高安全性、良好的可擴展性、可管理性為原則,并采用模塊化的設計方法。 網絡采用三層架構模式,即核心層、匯聚層和接入層。
3.3 客戶端的安全措施
目前,醫院客戶端大多使用的是Windows 操作系統,由于網絡用戶可以修改其中的網絡配置,這樣無形中為醫院網絡安全帶來一定的隱患。所以應根據醫院的現況,應該將與網絡安全有關的設置運用到實際中去,應該進行相應的修改防護措施,這樣可以保證網絡的安全性。
4 結 論
醫院的各級領導、組織和部門工作人員不僅僅需要從思想上重視醫院信息系統網絡安全這一問題,更需要從行動上加以重視,體現在醫院的領導以及相關的工作人員應該定期學習相關知識,醫院可以舉辦相關講座、培訓、考試、考核等等內容,這樣既可以使工作人員學到更多的網絡安全知識,維護醫院的網絡安全,又可以豐富大家的生活,增強單位人員的集體責任心和安全感。
同時,人員的管理和培訓應該制定具體的細則,通過對每一個操作員工安排網前培訓,不僅可以讓他們熟悉入網的操作流程和相關的規章制度,同時還能夠增強操作人員的網絡安全知識和網絡安全的意識。
此外,醫院應建立起日常操作規章制度、網絡安全的保密制度等等。 醫院的網絡化管理已經是現代化管理不能夠缺少的系統工程,而且醫院的網絡化管理在醫院的日常工作中起著十分重要的作用,一定不能無視,網絡安全管理對醫院的日常正常運行起著越來越重要的作用。
主要參考文獻
[1]傅征,任連仲.醫院管理信息系統建設與應用[M].北京:人民軍醫出版社,2002.
計算機信息系統安全是一個動態過程。美國國際互聯網安全系統公司(ISS)對此提出P2DR模型,其關鍵是Policy(策略)、Protection(防護)、Detection(檢測)和Response(響應)四方面。按照P2DR的觀點,完整的動態安全體系需要防護措施(如網絡或單機防火墻、文件加密、身份認證、操作系統訪問控制、數據庫系統訪問控制等)、動態檢測機制(入侵檢測、漏洞掃描等)、先進的資源管理系統(及時發現問題并做出響應)。
中國石油按照信息安全P2DR模型制定的信息安全系統體系結構包括安全運行中心、網絡邊界管理系統、網絡準入控制、網絡管理系統、病毒監控與升級管理系統、系統加固與監控管理系統、CA認證中心、密鑰管理與分發系統、數據庫防護系統、容災系統、內容訪問監控系統和電子郵件監控系統。
中國石油廣域網安全基礎設施
防火墻系統
中國石油廣域網十分龐大,下屬單位很多,遍布全國,連通世界上很多國家的分支企業。因此需要在網絡各個相連處部署強力防火墻,確保網絡的安全性。另外,在區域網絡中心的服務器群前,加兩臺防火墻,以負載均衡方式,用千兆光纖連接到區域網絡中心路由器上。在兩臺防火墻都正常工作情況下,可以提供約兩倍于單臺設備的性能,即約4Gbps的防火墻吞吐量,當一臺防火墻出現故障時,另一臺防火墻保證網絡不間斷運行,保障服務器群的高可用性。
利用防火墻技術,能在內外網之間提供安全保護; 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進行襲擊; 網絡結構改變有時會造成防火墻安全策略失效,攻擊者可以繞防火墻實施攻擊; 入侵者可能來自防火墻內部; 防火墻可能不能提供實時入侵檢測。
入侵檢測系統
入侵檢測系統分為基于網絡和基于主機兩種類型。基于網絡的入侵檢測系統對所在網段的IP數據包進行分析監測,實時發現和跟蹤有威脅或隱患的網絡行為。基于主機的入侵檢測系統安裝在需要保護的主機上,為關鍵服務提供實時保護。通過監視來自網絡的攻擊、非法闖入和異常進程,能實時檢測出攻擊,并做出切斷服務、重啟服務器進程、發出警報、記錄入侵過程等動作。
入侵檢測在網絡中設置關鍵點,收集信息,并加以分析,查找違反安全策略的行為和遭到襲擊的跡象。它是第二道安全閘門,對內外攻擊和誤操作提供實時保護,又不影響網絡性能。其具體功能如下: 監視、分析用戶及系統活動; 系統構造和弱點審計; 識別已知進攻的活動模式并向相關人員報警; 異常行為模式的統計分析; 評估重要系統和數據文件的完整性; 操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
中國石油12個區域網絡中心,均配備入侵檢測系統,監控內外網入侵行為。
漏洞掃描系統
漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP端口,并記錄目標的響應,收集關于某些特定項目的有用信息,例如正在進行的服務、擁有這些服務的用戶是否支持不記名登錄、是否有某些網絡服務需要鑒別等。
漏洞掃描系統可安裝在便攜機中,在網絡比較空閑時檢測。檢測方式可本地可遠程; 可臨時檢測某網段,也可固定檢測某網段,但是檢測范圍不可跨越防火墻。
查殺病毒系統
中國石油網絡上各個局域網普遍設立查殺病毒軟件服務器,不斷更新殺毒軟件,及時向用戶機下推最新版本殺毒軟件。大大減輕了病毒泛濫和造成的損失。
網絡安全策略管理
中國石油全網提供統一安全策略,各級分別部署,從而提高全網整體安全。
企業網絡安全策略分為四個方面:檢測評估、體系結構、管理措施和網絡標準,并構成動態循環系統(圖1)。安全檢測與評估隨著安全標準的提高而改進,評估結果是網絡體系結構的完善的依據,安全策略管理必須隨之改進與增強; 技術的進步和網絡安全要求的提高,促使網絡標準的完善與改進。
網絡安全檢測與評估涉及網絡設備、網絡操作系統、應用軟件、專業軟件、數據庫、電子商務、Web網站、電子郵件等。安全體系結構涉及物理、場地、環境、訪問控制、數據傳輸與保存、路由控制。安全管理措施涉及網絡設備、軟件、密鑰。
路由器和交換機策略管理是上述安全管理措施中的重要方面。它們的策略維護通過訪問控制列表(ACL)實現。這種工作容易出錯,因而應采用專用工具軟件集中管理。所采用的管理軟件有管理設備ACL的WEB接口,通過這個接口對IP過濾列表進行編輯及下載,簡化了管理工作量,實現了大型網絡路由器和交換機上策略參數的集中管理。
分系統設計
除了上述基礎設施外,還必須有屬于“上層建筑”安全措施。這便是分系統設計。
安全運行中心
中國石油信息系統地域分散、規模龐大,與多個業務系統耦合性很強,如何將現有安全系統納入統一管理平臺,實現安全事件全局分析和動態監控,是中國石油廣域網面臨的主要問題。
建立安全運行中心,實現對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件,并處理各種安全突發事件。安全運行中心不僅可以將不同類型安全產品實現統一管理,還可以將網絡中不同位置、不同系統中單一安全事件進行收集、過濾、關聯分析,得出網絡全局風險事件集,提供安全趨勢報告,并通過遠程狀態監控、遠程分發、實現快速響應,有效控制風險事件。
安全運行中心功能模塊包括安全配置模塊、網絡監控模塊、內容監管模塊、安全事件與預警模塊以及應急響應模塊,具體功能模塊如圖2所示。下邊介紹幾種主要功能。
(1)安全配置管理
包括防火墻、入侵檢測、VPN等安全系統的安全規則、選項和配置,各種操作系統、數據庫、應用等系統配置的安全設置、加固和優化措施。可實現策略創建、更新、、學習和查詢。
(2)網絡監控
模塊可提供對網絡設備、網絡安全設備、網絡拓撲、服務器、應用系統運行情況的可視化監控,確定某個安全事件是否會發生,事件類型、影響程度和范圍。預警: 對網絡設備、安全設備、主機系統、服務器、數據庫系統日志信息的收集、集中存儲、分析、管理,及時發現安全事件,并做出相應預警。
(3)內容監管
內容監控、內容訪問監控以及內容傳播監控。
中國石油信息安全系統安全運行中心由總部、區域中心、地區公司三級結構組成。
總部級: 制定統一安全配置,收集所有匯總上來的數據,并對其進行統一分析、管理。通過這種逐級逐層多級化模式管理,達到對信息安全全方位防御的目的。
區域中心級: 執行對管轄范圍內所有地區公司安全運行中心的監控,也可監控區域內的網絡安全、主機安全、數據庫安全、應用系統安全等,并向總部安全運行中心上報相關數據。
地區公司級: 部署總部的統一安全配置,監控地區公司內部網絡、主機、數據庫、應用系統安全等,收集分析安全事件并做出及時響應,生成分析報告,定期向區域中心匯總。
網絡邊界管理系統
中國石油網絡按照其應用性質的不同和安全要求的不同,劃分為不同的安全域。整個網絡安全符合木桶原則: 最低木板決定木桶裝水量; 網絡安全最薄弱環節決定整個網絡的安全性。
由于網絡中不可控制的接入點比較多,導致全網受攻擊點明顯增多。通過網絡邊界管理系統可以最大限度保護內部業務數據的安全,其中重點保護與Internet直接連接的區域。
按照業務不同的安全程度要求,中國石油各個企業網絡劃分若干安全區域:
(1)業務區域: 企業重要信息集中在此,這里有核心數據庫,可與相關單位交換信息。
(2)生產區域: 主要指各煉化企業的生產網絡,實現生產在線監控和管理信息的傳遞。
(3)辦公區域: 各單位的辦公網,用戶訪問企業業務系統與互聯網、收發電子郵件等。
(4)對外服務區: 通過因特網對外信息和進行電子商務的區域,該區域日趨重要。
(5)因特網接入區: 因特網瀏覽信息、對外交流的窗口,最易受攻擊,要重點保護。
通過邊界管理系統在中國石油各局域網邊界實施邊界管理,在內部部署入侵檢測系統實施全面安全保護,并在對外連接處和必要的部位部署防火墻進行隔離。
通過入侵檢測系統和防火墻聯動,可以對攻擊行為實時阻斷,提高安全防護的有效性。
網絡準入控制系統
中國石油網絡準入控制系統分四部分: 策略服務器、客戶端平臺、聯動設備和第三方服務器(圖3)。
(1)安全策略服務器: 它是網絡準入控制系統的管理與控制中心,實現用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。
(2)安全客戶端平臺: 它是安裝在用戶終端系統上的軟件,可集成各種安全產品插件,對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略。
(3)安全聯動設備: 它是企業網絡中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。安全管理系統管理平臺作為安全策略服務器,提供標準協議接口,支持同交換機、路由器等各類網絡設備的安全聯動。
(4)第三方服務器: 為病毒服務器、補丁服務器等第三方網絡安全產品,通過安全策略的設置實施,實現安全產品功能的整合。
鏈接
中國石油廣域網安全設計原則
在中石油廣域網絡安全系統的設計中應遵循以下設計原則:
高度安全與良好性能兼顧: 安全與性能相互矛盾,安全程度越高,性能越受影響。任何事物沒有絕對安全,也不總是越安全越好。安全以投資、性能、效率的付出為代價。在安全系統設計中,對不同安全程度要求,采用不同安全措施,從而保證系統既有高度安全保障,又有良好系統性能。所謂高度安全,指實現的安全措施達到信息安全級別的要求,對關鍵信息可以再高一個級別。
全方位、均衡性和層次性: 全方位、均衡性安全設計保證消除網絡中的漏洞、后門或薄弱環節; 層次性設計保證當網絡中某個安全屏障(如防火墻)被突破后,網絡仍受到其他安全措施(如第二道防火墻)的保護。
主動和被動相結合: 主動對系統中安全漏洞進行檢測,及時消除安全隱患; 被動實施安全策略,如防火墻措施、ACL措施等等。兩者完美結合,有效實現安全。
切合實際: 有的放矢、行之有效,避免措施過度導致性能不應有的下降。
易于實施、管理與維護。
關鍵詞:OA系統;安全威脅;安全原則;安全措施
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)18-4883-03
Discussion on Security Design of Office Automation System in College and Universities
AO Zhuo-mian
(Yangjiang Vocational and Technological College, Yangjiang 529500, China)
Abstract: This essay gives a detailed analysis to the security issues of office automation system in colleges and universities, as well as the office automation system safety design principles, then put forward some practical security measures.
Key words: OA systems; security threats; security principles; security measures
辦公自動化(Office Automation,簡稱OA)是二十世紀七十年代在發達國家迅速發展起來的一門綜合性技術,它以系統科學為理論基礎,行為科學為主導,綜合運用信息技術完成各種辦公業務,充分有效地利用信息資源,促進辦公活動規范化和制度化,以達到既定的目標和獲得更好的效果。通過網絡組織,機構內部的人員可跨越時間和地點協同工作,使信息的傳遞更加方便和快捷,從而極大地擴展辦公手段,實現辦公的高效率。
高校的辦公自動化不僅關系到高校自身的管理水平,也影響數字化校園的整體建設。因此,高校辦公自動化系統需要解決以下問題。
1) 創建一個集成化的辦公平臺和統一風格的用戶界面,為工作人員提供統一的辦公環境。
2) 支持信息的自動傳遞,即解決由人工傳送紙介質或磁介質信息的問題,實現工作效率和可靠性的有效提高。
3) 提供具有工作流性質的處理過程和跟蹤功能,完善辦公過程中的重要環節,解決多部門協作問題,推動部門間的高效率運作。
4) 提供集信息處理與為一體的工作平臺,解決信息收集、處理和過程相分割的問題,減少不必要的交接環節,提高工作便利性。
5) 具備及時消息提醒功能,有效避免某個部門工作延誤情況的發生,保證各項工作及時完成。
1 高校辦公自動化系統的網絡安全威脅
1.1 內網的安全威脅
1) 使用人員的安全隱患
高校辦公自動化系統覆蓋面大,使用人員混雜,管理水平各異,且有些人專門在網絡上從事信息破壞活動,這些給辦公自動化系統構成極大的安全隱患,造成信息不能在網絡上安全傳輸和管理。
2) 應用系統自身的安全隱患
辦公自動化系統及其它軟件系統本身存在缺陷,工作不可靠,出現運行故障。
3) 繞開應用系統對數據進行直接訪問
內部入侵者越權直接對數據文件或數據庫操作,造成數據泄露或損壞。
4) 病毒對辦公自動化系統數據攻擊
計算機病毒破壞應用系統、刪除數據或把數據發送到非法目的地。
1.2 外網的安全威脅
1) 探測式攻擊
入侵者通過這種攻擊搜集辦公自動化系統網站的技術數據,為進一步攻擊作準備。
2) 訪問攻擊
入侵者通過這種攻擊發現辦公自動化系統外網服務器的身份認證服務、文件傳輸協議等網絡漏洞,非法登錄服務器訪問電子郵件賬號、數據庫和其它保密信息,甚至篡改網站的主網頁文件和相關數據。
3) 拒絕服務攻擊
向網絡服務器發送大量雜亂的數據,導致服務器拒絕對它進行的正常訪問,嚴重情況下導致服務網站的癱瘓。
因此,加強網絡安全,防止信息被泄露、修改和非法竊取成為當前高校辦公自動化普及與應用迫切需要解決的問題。
2 安全設計原則
對于整個辦公自動化系統的安全設計,應遵循以下原則[1]:
2.1 需求、風險、代價平衡原則
對任何網絡,絕對安全難以達到,也不需要一定要達到。對一個網絡進行實際的研究,包括任務、性能、結構、可靠性、可維護性等,并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定辦公自動化系統的安全策略。
2.2 綜合性、整體性原則
計算機網絡系統的安全應從物理上、技術上、管理制度(如安全操作乃至計算機病毒的防范等)上以及安全教育上全面采取措施,相互彌補和完善,盡可能地排除安全漏洞。
2.3 可用性原則
由于安全性和網絡性能是一對矛盾,兩者不能兼得,應盡可能選擇前者,以犧牲網絡性能來換取安全性的增強,但采取的措施應讓用戶感覺不到網絡性能受到影響。
2.4 多層次、多重保護原則
任何安全保護措施都可能被攻破,應建立一個多重保護系統。各重保護相互補充,當一重保護被攻破時,其它重保護仍可保障信息系統的安全。
3 安全措施
保障高校辦公自動化系統安全是一個涉及面很廣的問題。要想實現辦公自動化系統安全的目標,必須同時從政策法規、管理和技術上采取有效措施。
3.1 制定安全措施
安全措施是為了支持安全管理制度而采取的配套管理方案,應從總體上加強辦公自動化系統的安全管理,保證高校辦公自動化系統的安全。
1) 建立安全資源管理中心
安全資源管理中心對辦公自動化系統所涉及的所有安全技術和手段進行管理,負責所有信息安全設備、軟件的配置,安全事件的記錄和管理,設備故障的發現和處置,負責所有安全策略、參數、數據的自動升級、維護和。
2) 建立應急響應中心
該中心作為辦公自動化系統的應急處理中心,負責運行、維護配套的應急響應平臺,用于對辦公自動化系統運行過程中發生的安全事件做出及時的響應和處理。
3) 建立系統安全評估體系
系統安全評估體系為辦公自動化系統定期進行安全性評估提供基礎設施和操作層面的支持。
3.2 安全設置
一個高校辦公自動化系統由終端用戶、互聯網傳輸、服務器、數據備份系統四個基本部分構成。對于整個系統的安全來說,就是要保證數據在任何情況下都不能丟失和泄漏,這是一個系統工程,任何一個環節均不能出現紕漏。對系統的四個基本方面可以從以下要點來防范可能出現的不安全的隱患。
1) 終端用戶身份識別技術。保證操作者的物理身份與數字身份相對應,允許授權用戶使用系統。
2) 傳輸層面的安全。防止黑客使用嗅探器等黑客技術完成對數據的攔截、處理。
3) 構建基本的安全措施。根據數據的重要程度,從設備角度方面提供安全防范,可采用防火墻、VPN等先進的硬件設備來保證信息安全。
4) 服務器級別的安全防范。從服務器安裝的結構、管理的規章制度等方面保障服務器不被黑客攻擊。
5) 數據備份系統。保障數據在硬件損壞的情況下不丟失。
對整個辦公自動化系統安全的具體設置為:
1) 終端用戶部分
終端用戶部分是對用戶進行身份識別,對于合法用戶識別盡可能的簡單和方便,對于非法用戶,能夠限制、拒絕登錄。同時防止黑客利用現有的用戶及密碼進入系統獲取數據或破壞數據。
2) 網絡傳輸部分
網絡傳輸部分可根據高校的具體需要,采用比較流行的互聯網傳輸模式,防止嗅探器進行檢測。
3) 鏈路部分
鏈路部分的安全保護措施主要是鏈路加密,它對所有用戶數據一起加密,用戶數據通過通信線路送到另一節點后立即解密[2]。必須保證加密后的數據不能進行路由交換,以防止數據在通信線路上被竊聽、泄漏、篡改和破壞。
4) 服務器部分
應采取以下措施和制度保證服務器的安全。
① 關閉服務器的不必要的服務,減少漏洞隱患。
② 更改系統管理員帳號。
③ 開啟密碼策略和帳戶策略。
④ 定期檢測、安裝服務器補丁程序。
⑤ 嚴禁在服務器上運行其它軟件。
⑥ 嚴禁使用服務器收取郵件。
⑦ 禁止使用服務器瀏覽其它網站。
⑧ 服務器的程序與配置文件必須加密,不使用明碼,確保數據庫密碼不會在Web服務器攻破之后泄漏。
⑨ 打開審核策略。
⑩ 創建活動目錄。
3.3 數據備份與災難恢復
高校辦公自動化系統處于廣泛應用階段,為保證系統和數據的完整與安全,制定一個完善的安全措施、備份和恢復方案是非常必要的。為此,應采用先進的技術手段、合理的備份方法和備份策略、嚴格的管理制度,為系統運行提供多層次的安全保障[3]。
1) 數據備份
備份不僅在網絡系統發生硬件故障或人為失誤時起到保護作用,也在入侵者進行非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用。備份是系統災難恢復的前提之一,同時亦是維護網絡安全的技術手段之一。備份的最終目的是保障網絡系統的順利運行,在網絡出現故障甚至損壞時,能夠迅速地恢復網絡系統和數據,把損失降到最低。
備份技術是最常用的提高數據完整性的措施,是指對需要保護的數據在另一個地方制作一個備份,一旦失去原件還能使用備份數據。備份的主要內容是服務器端操作系統的日志文檔、數據庫信息、資源庫服務器數據信息等。具體分為系統備份和數據備份兩方面。
① 系統備份。對于服務器系統,要做雙機備份,保證一臺服務器出現故障,另一臺服務器能在最短的時間內切換使用。
② 數據備份。做好服務器內所有系統數據和應用數據的定期自動備份,同時要求定期做人工備份,確保數據的安全。
2) 備份方式
① 完全備份:備份計算機或文件系統上的所有文件。
② 增量備份:備份在上一次備份后增加、改動的部分數據。
③ 差異備份:備份在上一次完全備份后有變化的部分數據。
當然,在實際使用過程中,可以將這三種備份方式結合使用。如完全備份、完全備份加增量備份、完全備份加差異備份。
3) 備份策略
① 經常、有規律做備份。設置好完全備份的時間,增量備份和差異備份的時間間隔等;數據有修改或有更新時要及時備份,保證恢復的是最新數據。
② 數據備份后工作。數據備份后要將具體情況記錄在數據備份檔案中,方便以后系統維護和數據恢復。
③ 至少保存兩份最新的備份。
4) 數據備份制度
① 備份的時間規定。應用系統每次修改或更新備份一次,并保留最新的版本,每周備份服務器上的相關文檔和信息。
② 每月將主要數據刻錄成光盤作為歷史數據保存。
5) 災難恢復
如遇服務器遭受攻擊或網絡病毒,造成數據丟失或系統崩潰,需要將備份的數據進行恢復,保證系統的正常運行。數據恢復以實時應用為目標,必須盡可能地保持數據的一致性,保證數據快速恢復到最新的一個備份。同時將具體情況記錄在數據備份及恢復檔案中。
4 結束語
只要采取相應的安全技術,安全策略和管理制度,就能打造安全的高校辦公自動化系統。這樣,才能讓高校辦公自動化系統建設得到迅速發展,才會促進高校改變傳統辦公模式,實現無紙化辦公,提高辦公效率和質量。
參考文獻:
[1] 曹棟.辦公自動化網絡系統安全防護及設計原則[J].計算機光盤軟件與應用,2010(2):12.
