時間:2023-09-14 17:44:42
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全及等級保護,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡;安全等級保護;實施策略
1.1安全計算環境的建構
其中安全計算環境能夠實現相關等級系統的有效管理,在信息存儲以及處理,安全策略實施過程中,能夠對信息系統的重要情況全面掌控。安全計算環境在其有效區域邊界安全防護中,實現對外界網絡的各種攻擊行為有效防護,并能夠避免出現非授權訪問。針對這一問題,安全計算機環境整體安全防范,也就是針對網絡實施有計劃有標準的安全性改造,以能夠顯著提升系統整體性,以免系統本身出現安全漏洞及缺陷等,出現安全風險或者受到攻擊問題。另外,安全計算環境安全防護工作主要也就是有效防范和控制系統內部的攻擊和非授權訪問問題,以免內部人員因為自身操作方式問題出現破壞行為。
1.2安全網絡環境的建構
在信息系統中,通過網絡能夠有效實現不同計算機和計算域,用戶和用戶域的有效銜接,在不同系統間信息傳輸過程中網絡具有通道作用。網絡可以在系統內外應用,部分網絡信息流在傳輸過程中,都會不同程度的經過不穩定網絡環境。因此,在實際操作中,網絡安全防護工作首先也就需要提高網絡設備的整體安全性,針對網絡中的各個設備制定定期維護方案,以免出現網絡攻擊問題,基于此顯著提升網絡中的信息流總體安全性,在以上基礎上進一步提升通信架構的整體性、安全性以及保密性。在網絡自身安全保密中,可以采用網絡加密技術和本身結合方式,滿足網絡安全等級保護的不同要求。其中在網絡安全域建設中,需要制定相應的網絡結構安全范圍,并實現網絡不同訪問操作的有效控制,在實際工作中也需要重視網絡的安全審計工作,提高相應邊界完整性,以免在網絡運行中受到網絡入侵和攻擊,并可以有效防范出現惡性代碼問題,能夠對網絡設備的安全防護及信息起到有效的保護作用。
1.3安全管理中心的建構
在信息系統中,安全管理中心是重要的安全管理系統,直接影響整個系統的安全管理有效性。安全管理中心作為管理平臺,能夠實現對系統中不同信息安全機制的整合性管理,對于系統中存在的分散安全機制,安全管理中心可以對其實施系統化管理,實現集中管理有助于顯著提升安全防范效果。安全管理中心在應用中,可以系統性統籌管理系統的相關體系域的安全計算域、網絡安全域以及安全用戶域等,并對其實現統一調度和應用,可以實現對廣大用戶身份以及授權的管理,實現對用戶操作和審計過程的管理,實現對用戶訪問和控制,也就可以實現系統的整體風險防范,全面掌握通信架構運行情況,顯著提升網絡安全防護系統的整體效果。
2網絡安全等級保護的實施策略
一、學校網絡與信息安全工作情況
本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面,同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析,通過差距分析,明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。
從檢查情況看,我校網絡與信息安全總體運維情況良好,未出現任何一起重大網絡安全與信息安全事件(事故)。近幾年,學校領導重視學校網絡信息安全工作,始終把網絡信息安全作為信息化工作的重點內容;網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規范;管理制度較為完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(網站)系統管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實;加強對學生網絡宣傳引導教育,日常重視微信、微博、QQ群的管理,提倡爭當“綠色網民”;工作經費有一定保障,網絡安全工作經費納入年度預算,在最近一年學校信息化經費投入中,網絡建設與設備購置費用約占56、5%,數字資源與平臺開發費用約占40、6%,培訓費用約占0、6%,運行與維護費用約占1、04%,研究及其他費用約占1、23%,總計投入占學校同期教育總經費支出的比例約1、57%,基本保證了校園網信息系統(網站)持續安全穩定運行。
1、網絡信息安全組織管理
20xx年學校成立網絡與信息安全工作領導小組,校主要領導擔任組長,網絡與信息安全工作辦公室設在黨委工作部,領導小組全面負責學校網絡信息安全工作,教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作,對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年,由于人動,及時調整網絡安全和信息安全領導小組成員名單,依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,明確各部門負責人為部門網站的具體負責人,建立學校網絡信息員隊伍,同時,還組建網絡文明志愿者隊伍,對網絡出現的熱點問題,及時跟蹤、跟帖、匯報。
2、信息系統(含網站)日常安全管理
學校建有“校園網絡系統安全管理(暫行)條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例(試行)”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等,其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范,多數單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數據,定期查看安全日志等,隨時掌握系統(網站)狀態,保證正常運行。
3、信息系統(網站)技術防護
學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強校園網絡安全管理,購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備,20xx年二月中旬完成校園信息系統(含網站)等級保護的定級和備案,并上報xxx市網安支隊。同時,按二級等保要求,約投資110萬元,完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造(物理安全)”等網絡安全設備的采購工作,目前,方案已經通過專家論證。
20xx年4月-6月及20xx年3月對網站系統進行安全測評,特別對系統層和應用層漏洞掃描,發現(教務管理系統、教學資源庫)出現漏洞,及時整改,并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時,對各防火墻軟件7個庫進行升級,對服務器操作系統存在的漏洞及時補丁和修復,做好網站的備份工作等。
4、網絡信息安全應急管理
20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位,在重大節日及敏感時期,采用24小時值班制度,對網絡安全問題即知即改,確保網絡安全事件快速有效處置。
二、檢查發現的主要問題
對照《通知》中的具體檢查項目,我校在網絡與信息安全技術和安全管理建設上還存在一定的問題:
1、由于學校信息化建設尚處于起步階段,學院數據中心建設相對薄弱,未建成完善的數據中心共享體系,各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時,網絡安全保障平臺(校園網絡安全及信息安全等級保護)尚在建設中。
2、部分系統(網站)日常管理維護不夠規范,仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題;學校子網頁網管員為兼職,投入精力難以保證,而且未取得相應資格證書;由于經費問題,個別應用系統未能及時升級,容易發生安全事故。
3、目前尚未開展網絡安全預案演練,還未真正組建一支校內外聯合的網絡安全專家隊伍,未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。
三、整改措施
針對存在的問題,學校網絡與信息安全工作領導小組專門進行了研究部署。
1、全面開展信息系統等級保護工作。按照相關《通知》要求,20xx年8月底全面完成網絡安全保障平臺建設,根據系統在不同階段的需求、業務特性及應用重點,采用等級化與體系化相結合的安全體系設計方案,形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障信息系統整體的安全。
2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等,保障信息系統整體安全。
隨著媒體融合的發展,新媒體和傳統媒體在經營渠道和內容管理方面已經進一步深入融合起來,在傳播模式方面,向多終端、交互式的傳播方式轉變,在運營模式方面,跨媒體、跨區域、跨行業的合作運營成為趨勢。如此多的融合發展導致了傳統廣電行業也面臨了信息安全問題。因此,對我們來說,網絡安全的研究和網絡安全技術的應用,是必須加以重視和認真貫徹執行的。廣電網絡安全中最核心的莫過于安全播出。在有線電視網或者互聯網中向觀眾播出內容健康、導向正確的節目,并且保證信號不中斷,內容不被篡改,節目質量良好,保證所有的用戶都能觀看正常的電視節目,是安全播出的重要條件。由于廣電的政治屬性,所以廣電的播出安全不僅是廣電的問題,還涉及到社會公共安全問題。
2關于廣播電視播控系統網絡安全方面的法律法規和行業等保規范
廣播電視播控系統是廣播電視信息系統中最核心的部分,因為它承載了安全播出大部分的工作。根據《廣播電視相關信息系統安全等級保護定級指南》中的要求,我臺廣播電視播控系統的安全保護等級是三級。在《廣播電視相關信息系統安全等級保護基本要求》(簡稱《基本要求》)中,明確規定了安全保護等級三級的廣電播控系統的網絡安全工作要求。《基本要求》中指出,各播出單位要建立縱深防御體系,采取互補的防御措施,進行集中的安全管理。安全保護等級三級及以上的信息安全系統要求建立有統一的安全策略、統一的安全管理制度下的安全管理中心,它負責管理信息系統中的各個安全控制組件(即基本防護要求)的連接、交互、協調、協同工作,使之提高整體的網絡安全防護水平。播控系統位于縱深防御體系的最內層,電視播控系統的網絡安全建設文/馬文麗本文通過對我臺電視播控系統的網絡安全現狀的分析,結合廣播電視信息安全等級保護工作的要求,提出使用入防火墻、入侵檢測、審計服務器等技術措施,登錄訪問控制、數據安全管理等管理措施,更好的保證廣播電視網絡安全。摘要網絡防御措施級別要求相對較高,安全管理中心應將與播控有聯系的各個部門網絡邊界的安全策略,提升到播控系統的安全等級。以保證播控系統的網絡安全?!痘疽蟆分刑岢隽藦奈锢砩稀⒓夹g上、管理上,三個方面出發采取由點到面的各種安全措施,其中包括結構安全、邊界安全、終端系統安全、服務器端系統安全、應用安全、數據備份與恢復六個具體方面,保證信息系統的整體安全防護能力。
3技術措施
基于《基本要求》提出的具體安全防御措施,結合我臺播控系統的網絡現狀,本文以山西衛視高清頻道網絡為例(網絡拓撲圖見圖1),提出使用防火墻、入侵檢測和審計服務器相結合的技術措施,能有效的防范來自于廣電傳輸網OTN中的威脅源所帶來的損害,進而能保證播控系統的邊界安全,與外網的數據交換安全。
3.1防火墻
防火墻是設置在被保護內網和外網之間的一道屏障,它可以控制被保護網絡的非法訪問,檢查網絡入口點信息交換,根據設定的安全規則,對通過防火墻的數據進行監測、限制和修改,過濾掉特定網絡攻擊和不明站點的訪問。防火墻可以提供對系統的訪問控制,僅允許外網訪問某些內網主機和某些端口及服務;它可以過濾不安全的服務,僅允許HTTP、FTP、TELNET、SSH等信息系統使用的協議通過;它可以設置IP與MAC地址綁定策略,綁定后只有特定地址的網絡主機才能訪問防火墻,有效防止網絡地址欺騙;它可以使用有效的數字證書來區分網絡用戶,并可以給予不同級別用戶不同的訪問權限;它可以提供對流量的識別和控制功能,限制網絡連接的數量以保證重要業務的正常運轉。
3.2入侵檢測
入侵檢測通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測可以監視、分析網絡及用戶的活動,審計用戶和網絡中的異常模式進行統計分析,識別已知的網絡攻擊活動模式并向用戶報警;當一個入侵正在發生或試圖發生時,入侵檢測系統會立即記錄并向用戶發動預警,而且它還能自動抵御這些攻擊,如切斷網絡連接或者配置防火墻使之能拒絕這些地址的連接;它可以對重要程序進行完整性分析,一旦這個程序被攻擊,立即從備份文件中提取相應的原始文件,恢復重要程序中被攻擊的部分,恢復程序原有功能。
3.3安全審計服務器
安全審計是指按照一定的安全策略,利用記錄、系統活動和用戶活動等信息,檢查、審查和檢驗操作事件的環境及活動,從而發現系統漏洞、入侵行為或改善系統性能的過程。在此基礎上使用審計服務器能實現日志的集中管理,各設備、服務器內的安全事件收集,建立應急預警體系。審計服務器可以收集和記錄各個系統、應用和網絡活動的日志,完成事件的格式化和標準化工作;它可以集中長期存儲收集的日志,以及所有的管理配置信息,保證記錄的可靠性、安全性、完整性,同時還提供快速檢索和統計報表;它對收集的風險信息進行定期分析和監控,并提供資產分析、風險展示、事故響應等功能;它提供C/S管理方式,安全管理中心可以實時監控數據,并實施安全策略調整方案。審計服務器監聽口不配置IP地址,使原有的網絡不發生改變,使部署變得更加靈活。綜上所述,使用防火墻、入侵檢測和審計服務器相結合的技術措施,能按照《基本要求》提出的安全策略進行部署,滿足播控網絡的安全防護功能。
4管理措施
廣播電視播控網絡安全是一個系統的工程,不能單靠某些技術措施,還需要依靠全面的管理措施才能穩固的提高播控網絡的安全?!痘疽蟆分羞€對網絡安全管理提出了更為全面的建議和要求。結合我臺網絡管理的現狀,本文提出了要加強登錄訪問控制和數據安全管理兩個方面的管理措施。
4.1登錄訪問控制
登錄訪問控制是指對登錄網絡設備的用戶進行身份鑒別。本文建議應對播控系統的所有用戶(包括上載編單和系統管理員)都要實施單人單密碼制度,對所有登錄訪問的用戶名和密碼都要制定復雜度及定期更換制度;對關鍵設備的登錄操作要有兩人及以上系統管理員在場,并聯合操作;啟用系統或應用中的登錄超時和登錄失敗功能,失敗后要求更高權限的系統管理員才能恢復登錄;實行業務和系統管理分散授權的制度,分離網絡安全風險;制定統一的上載介質制度,禁止使用U盤,關閉不必要的服務和端口,制定定期系統升級和病毒庫升級方案,系統漏洞補丁定期維護方案等,保證播控系統的網絡安全。
4.2數據安全管理
數據安全管理是指可以檢測數據的完整性,并及時進行數據備份,在數據完整性遭到破壞時的數據恢復方案。本文建議使用備用機房對重要節目和業務信息進行異地備份,并通過網絡實時傳輸,如果本地業務遭到攻擊或發生火災等重大自然災害,可以啟用備用機房應急播出,保證播出安全。
5總結
廣播電視播控系統的網絡安全是廣播電視信息系統網絡安全的最重要一環,我們要切實做好這方面的工作。通過技術和管理各項舉措,建立和完善播控系統的網絡安全規范。在網絡攻擊日新月異的現在,網絡安全防護體系不是一成不變的,網絡安全規范建立了也不是永恒不變的,是需要持續改進的。這些技術和管理措施在運行過程中需要定期進行網絡安全評估,遇到不符合安全等級標準要求的就要立即整改。只要我們的網絡安全意識加強了,操作網絡設備時使用安全行為,把安全責任落實到位,與就能有效的保證網絡安全。
參考文獻
[1]張瑞芝.智能廣電大潮中信息安全工作的思考[J].廣播與電視技術,2015.
[2]孫明美.防火墻技術研究[J].軟件,2013,34(7):119-120.
【關鍵詞】信息安全等級保護 測評實施
1 引言
醫院信息化建設快速發展,信息系統應用深入到各個環節,信息業務系統承載了門診收費、門診藥房、住院收費、住院藥房、醫保、財務、門急診醫生護士站、住院醫生護士站、電子病歷、病案首頁、檢驗LIS系統、檢查PACS系統、體檢系統等。保障重點信息系統的安全,規范信息安全等級保護,完善信息保護機制,提高信息系統的防護能力和應急水平,有效遏制重大網絡與信息安全事件的發生,創造良好的信息系統安全運營環境勢在必要。根據衛生部印發的《衛生行業信息安全等級保護工作的指導意見》,衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作,對于促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會秩序和國家安全具有重要意義。
2 確定測評對象與等級
我院是一所二級甲等綜合醫院,日門診人次1000人左右,住院日人次400余人。醫院信息系統HIS、LIS、PACS、電子病歷、體檢等50余個系統無縫結合,信息雙向交流。按照《信息系統安全等級保護定級指南》定級原理,確定醫院信息業務系統的安全保護等級為第2級,其中業務信息安全保護等級為2級,系統服務安全保護等級為2級。
2.1 招標比選測評公司
醫院通過四川警察網了解到四川省獲得信息安全等級保護測評有資質的5家公司。醫院電話通知該5家公司,簡單介紹醫院信息化情況,其中有3家公司到現場進行調查,掌握了信息系統情況。然后通過招標比選確定一家公司為我院測評安全等級保護。
2.2 測評實施
2.2.1 準備階段
醫院填報《安全等級保護備案申報表》、《安全等級保護定級報告》,確定安全主管人員、系統管理員、數據庫管理員、審計管理員、安全管理員。醫院組織相關人員到市級計算機安全學會進行安全培訓學習。確定醫院信息安全主管人員協助測評公司人員就醫院信息業務系統做調研,提交準備資料。調研內容涉及網絡拓撲結構圖、線路鏈接情況、中心機房位置分布情況、應用系統組成情況、服務器操作系統、數據庫系統以及相應的IP地址、網絡互連設備的配置、網絡安全設備的配置、安全文檔等。
2.2.2 測評主要內容
主要針對醫院信息系統技術安全和安全管理兩方面實施測評,其中技術安全包括物理安全、網絡安全、主機安全、應用系統安全、數據安全及備份恢復進行5;安全管理包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。
2.2.3 測評方式與測評范圍
測評公司綜合采用了現場測評與風險分析方法測評、單元測評與整體測評。單元測評實施過程中采用現場訪談、檢查和測試等測評方法。就各類崗位人員進行訪談,了解醫院業務運作以及網絡運行狀況;查看主機房、應用系統軟件、主機操作系統及安全相關軟件、數據庫管理系統、安全設備管理系統、安全文檔、網絡分布鏈接情況。檢查物理安全、主機安全、網絡安全、應用安全和數據安全及備份恢復等技術類測評任務,以及安全管理類測評任務;查閱分析文檔、核查安全配置、監聽與分析網絡等檢查方法查證防火墻、路由器、交換機部署及其配置情況、端口開放情況等;測評人員采用手工驗證和工具測試進行漏洞掃描、系統滲透測試,檢查系統的安全有效性。
整體測評主要應用于安全控制間、層面間和區域間等三個方面。主要就是針對同一區域內、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區域間的互連互通時的安全性。
醫院信息系統運用了身份鑒別措施、軟件容錯機制、用戶權限分組管理、密碼賬戶登錄、數據庫表中記錄用戶操作、對重要事件進行審計并留存記錄。網絡邊界處部署防火墻防御入侵,終端使用了趨勢網絡版本防病毒產品,抵御惡意代碼。開啟系統審計日志,制定和實施有效安全管理制度,加強安全管理,降低系統安全風險。網絡進行了有效的區域劃分,區域之間通過訪問控制列表實現安全控制,與社保局、醫管辦等第三方外聯區之間通過防火墻嚴格限制訪問端口。
2.2.5 差距分析與測評整改
通過測評,測評公司寫出測評報告,提出整改建議。按照《信息系統安全等級保護基本要求》要求6,測評公司人員根據醫院當前安全管理需要和管理特點,針對等級保護所要求的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理,從人員、制度、運作、規范等角度,進行全面的建設7,提供技術建設措施,落實等級保護制度的各項要求,就各類人員進行安全培訓,提升醫院信息系統管理的能力。醫院分期逐步投入防網絡入侵系統、數據庫審計系統等。
2.2.6 編制報告,成功備案
測評公司編制報告,上報市公安局備案成功,獲得二級信息系統備案證書。二級信息系統,每兩年進行一次信息安全等級測評。實施安全等級保護測評備案使醫院信息系統安全管理水平提高,安全保護能力增強,有效保障信息化健康發展。
3 結語
網絡安全問題是一個集技術、管理和法規于一體的長期系統工程,始終有其動態性,醫院需要不斷進行完善,加強管理,持續增加安全設備以保障醫院數據安全有效,保障信息系統安全穩定運行。醫院信息安全建設要切合自身條件特點,分期分批循序建設,保證醫院各系統長期穩定安全運行,以適應醫院不斷擴展的業務應用和管理需求8。
參考文獻
[1]衛辦發.〔2011〕85號,衛生部關于印發“衛生行業信息安全等級保護工作的指導意見”的通知,2011.
[2]尚邦治.做好信息安全等級保護工作[J].中國衛生信息管理雜志,2005.
[3]王建英,陳文霞,胡雯,張鵬.醫院信息安全分析及措施[J].中國病案,2013.
[4]王俊.醫院信息安全等級保護管理體系的構建[J].醫學信息,2013.
[5]韓作為.醫院信息安全等級保護三級建設流程與要點[J].中國數字醫學,2006.
在省、市局領導正確指導下,計算站全面完成了2018年各項工作任務。統籌規劃網絡工程,保證各級經濟網絡傳輸通暢;加強硬件基礎建設,提高了經濟信息處理能力;領會貫徹省局數管中心部署與技術指導,精心維護全市“企業一套表”平臺,經濟內網、外網網站內容不斷更新;完成了三農普數據處理工作;做好各類小型調查數據處理與后期技術服務;維護“數據城市”管理平臺、經濟客戶端安全管理平臺、視頻會議系統維護、VPN系統管理,網絡安全等級保護建設任務、做好經濟信息化報表任務及其他各項非常規性任務,做好市政府政務公開辦及有關部門布置的各項任務。
2018年主要成績、經驗與做法
一、加快機房硬件更新與管理,網絡運行持續穩定
1、網絡運行高效穩定。按照機房功能區域合理布置網絡設備和各服務器。建立網絡設備資產清單,全年主機運行健康安全。
2、定期檢查設備,應急突發事件。檢查機房溫度、濕度、空調運行,對突發火災、水災、雷擊、電力系統、不間斷電源系統故障的應急處理,對故障出現原因進行定位,找出問題根源,避免故障再次發生。
二、網絡安全保障與網站建設
為了強化對網絡的安全管理,我們時刻保持著高度警惕,隨時跟蹤查找網絡安全隱患,采取各種措施加強監管。
1、 每工作日對設備狀況檢查一次,一旦發現設備故障報警及時查找問題及時處理排除,處理不了及時將網絡故障有關信息上報單位領導并通知相關網絡運營服務商提供服務支持。
2、網站建設美觀實用,信息內容更新及時。經濟內網網站頁面設計簡潔、美觀,突出主要信息。信息更新及時,信息采編人員對送來的各類信息按照規定認真把關,及時;網站安全性高。經濟外網功能設置完善、內容信息充實。
三、加強視頻會議管理、保障省市正常互動
定期檢查音視頻設備,保證會議使用。為防止會議過程中信號中斷,我們定期檢查網絡視頻設備運行狀況、在每次視頻會議前做好調試準備,消除故障隱患,保證了會議期間視頻清晰、聲音流暢。
四、完成各項信息化報表任務。完成了省數管中心布置的信息化年報、網絡安全月報及目,關鍵敏感時期信息安全上報任務等。
五、經濟用戶網絡安全管理。遵照國家和省局對經濟內網網絡安全管理客戶端的要求,及時為各科室安裝經濟內網用小型交換機、各級經濟機構的上網計算機完成用戶安全認證與注冊。
六、完成城市市政務公開辦布置的相關任務。
1、為市目標辦設計群眾滿意度調查問卷,按要求對三區和濉溪縣分類匯總,整理各類匯總數據,以經濟數據和圖表展示的方式,及時提交匯總報表。2、穩步推進“互聯網+政務服務”。創新網上服務模式,引入社會力量,利用第三方平臺,強化數據資源共享交換;積極推動網上服務向移動端、自助服務終端等延伸;通過政府網站、微信、微博、移動客戶端、推進線上線下政務服務融合發展。
3、針對“2018度城市市經濟局網站績效評估簡報”提出的整改建議認真整改,增設相關欄目,包括在線辦事、服務效能投訴,增設公眾參與平臺、站點地圖、網站幫助等功能,及時更新網站信息內容。
七、充分發揮系統管理員在企業一套表中的重要角色
嚴格按照省局要求,有效行使市級系統管理員的全部職能,確保企業能正常登陸填報平臺,確保各專業能正常審核驗收使用;認真熱情的為各專業提供業務咨詢解答和技術支持,任務定制和權限修改等。
八、完成等級保護階段性任務。城市經濟主干網和“數據城市”等級保護這兩個項目已被市公安局確定為二級等級保護系統,與多家專業公司商討研究制定科學合理的等保建設方案
九、完成了第四次全國經濟普查單位清查任務。緊跟省局普查中心、數據管理中心,及時深入領會最新操作方法與要求,上下聯動,指導各縣區普查工作,咨詢解答、PDA數據采集,平臺數據分析匯總。指導各區縣做好經濟普查培訓、PAD操作和清查比對平臺的數據處理任務。
十、增強服務意識,提供日常技術支持與咨詢。為本局各專業提供日常計算機應用支持、聯網故障與計算機硬件維護,為縣區用戶提供技術咨詢與遠程協助。
存在的問題與不足
一、辦公網出口只有1臺防火墻,數據城市”服務器系統無任何防護措施,為安裝防火墻。
二、網站服務器通過交換機連接到核心交換機且無任何防護措施。
三、缺少防病毒攻擊硬件設備。web服務器面對木馬、蠕蟲等非法攻擊缺少必要的防護措施;缺少應用層數據的安全防護和病毒防護功能的設備。
四、缺少整網安全檢測產品。急需定期對全網機器和web掃描,對設備的登錄、權限、經濟沒有集中管理措施,存在較大安全隱患,缺日志經濟設備,按要求需要留存半年以上的日志數據,目前無法滿足要求。
五、機房制度管理尚不完善。需進一步規范機房各項管理措施與規章制度,杜絕不規范操作,需要加強學習網絡安全知識,提高防范技能。
2019年工作思路及重點任務
一、盡快完成網絡安全二級等保建設。以現有基礎設施,保證今年上半年建設并完成滿足等級保護二級系統基本要求的網絡信息系統。
二、增設下一代防火墻。在辦公網出口部署下一代防火墻(含AV、IPS模塊),將現有的深信服AF-1210防火墻移至“數據城市”服務器前端。
三、在專網的安全運維區旁路部署日志經濟設備、運維堡壘機。設備部署完畢后,日志經濟設備可高效統一管理資產日志并為安全事件的事后取證提供依據。堡壘機可集中賬號管理和運維經濟。
四、機房改造與裝飾。建設配電柜系統、電源防雷接地系統、消防報警系統、網絡綜合布線、機柜設備重整、抗靜電活動地板等。
五、完善安全管理制度。建立一個完善的網絡安全管理制度,完善機房各項安全管理規章制度、加強計算機安全知識培訓,提高各級經濟人員安全意識。
六、管好“企業一套表”平臺。嚴格按照省局要求,有效行使市級系統管理員的全部職能,確保填報企業能正常登陸填報平臺,確保各專業能正常審核驗收使用;認真熱情的為各專業提供業務咨詢解答和技術支持。
七、完善網站功能、網站信息及時更新。對送來的各類信息按照規定認真把關,及時到各制定網站;按照市政務公開辦的要求,做好本單位門戶網站集約化建設和政務公開后臺管理,加強對城市經濟微訊、城市經濟微博的信息更新與信息安全監控。
八、管好系統內客戶端安全管理。深入學習、領會上級精神,按照國家局要求,做到各級經濟機構的上網計算機用戶100%與注冊;做好數據安全及備份恢復,對重要信息進行備份,網站后臺安全維護。
九、管好“數字城市”系統平臺。大膽創新、牢記使命、積極采取措施充實完善“數據城市”移動終端信息與終端展示,充分體現現代信息技術、提升經濟服務能力、改進服務方式。
十、繼續做好第四次全國經濟普查數據處理各項具體任務。
及時傳達上級經普辦最新文件精神、指導意見和具體操作辦法,為四經普提供PDA操作咨詢服務、做好普查區電子地圖導出、清查比對平臺底冊導出、MDM平臺的遠程推送與遠程監控,做好四經普非一套表平臺數據審核、匯總、分析及對縣區的任務部署與指導。
關鍵詞:信息安全;入侵檢測;控制策略;日志系統
隨著氣象業務的不斷發展,氣象設備的數量不斷增加,氣網絡面臨較大的運行壓力,同時由于業務需求,部分氣象系統連接到互聯網,通過無線網絡接入到運行網絡中,給運行業務帶來比較大的安全風險。近年來,網絡安全越來越受到重視,信息系統安全等級三級[1,2]更是對網絡結構安全[3-5]、安全審計、訪問控制[6-8]等方面提出了進一步的要求。在這種背景下,同時結合氣象網絡安全三級等保要求,制定合理的安全策略,使用NAT[9,10]技術,隱藏內部真實地址,建立合法登錄用戶檔案,拒絕非法登錄,構建一個具有較強防護能力的防御系統。
1基于信息安全的網絡整體規劃
1.1防火墻設計
本次設計目標根據氣象業務需求,對不同安全等級的網絡進行隔離,在網絡層進行安全防護部署,設置不同安全區域,每個安全區域根據安全等級進行相應的防護設置,提高網絡安全性,設計具體目標如下:(1)對氣象數據庫系統進行分層隔離保護,數據庫服務器區域設置為安全級別較高的trust區域,其他數據流根據等級設置成dmz、untrust區域。外部終端獲取數據庫數據是通過防火墻映射地址進行訪問,防火墻安全策略中設置控制策略,禁止非法用戶訪問,網絡拓撲圖如圖1所示:防火墻安全區域設置,服務器設置區域為trust區域,內網設置為dmz區域,互聯網網段為untrust區域,根據氣象網絡不同系統業務接口規劃安全區域,并設置各個區域間訪問控制策略。訪問控制設置,默認下防火墻所有區域間的安全策略動作設置為拒絕,僅允許通過策略設置放行的流量,其余均拒絕;根據業務運行變化,定期更新訪問控制策略,對控制策略進行調整優化;配置防火墻訪問控制策略,實現流量控制。升級最新的防病毒模塊和入侵檢測模塊,檢測惡意代碼。安全審計模塊,連接審計系統,對訪問服務器的用戶行為進行安全審計和監控;日志系統,連接日志系統,對訪問服務器的設備信息、用戶信息進行記錄,具體設計見表1:(2)配置思路及配置命令對防火墻USG6000進行配置,設置接口IP地址和安全區域,根據業務運行配置安全策略,放行可信用戶,禁止非法用戶。配置內部服務器,映射服務器訪問地址。配置路由器接口地址和OSPF動態協議,配置核心交換機端口鏡像以進行流量審計,配置日志輸出功能,具體配置如下:
1.2日志系統配置
(1)LINUX系統和AIX系統系統對/etc/syslog.conf文件進行編輯,在文件后面添加:@172.25.40.250,則日志發送到172.25.40.250日志采集服務器,配置完成后需要重啟syslog服務才能生效:#servicesyslogrestart(2)交換機日志開啟#loggon#logg192.168.19.115#loggservice-interfacef0/21(3)開啟端口鏡像#monitorsession1sourceintf0/1-5#monitorsession1destintf0/9(4)規則配置:通過Web方式登錄日志系統的配置界面,使用系統賬號admin完成相關配置,具體如下:導入許可配置:在系統維護界面點擊導入許可,完成配置;開放端口,用于接收syslog日志和告警信息,添加開放的端口:514,162,443;添加設備:在資產對象組中添加設備,填寫設備的名稱、管理IP地址和子網掩碼;時間統計:點擊事件統計按鈕,對網絡中的安全事件進行設置,屬性設置為嚴重、重要、一般、輕微、信息、總數。
1.3數據庫審計配置
(1)基本配置,使用系統用戶sysadmin進行基本配置。管理口配置:設置IP地址、子網掩碼、網關等,配置完成后測試ip是否可用,網關是否連通。部署方式配置:配置默認旁路鏡像,確定部署方式,點擊下方保存按鈕。旁路鏡像用于端口鏡像,agent引流用于云上審計環境或者沒有做端口鏡像。(2)功能配置,使用系統賬號sysadmin進行配置,配置審計對象:設置數據庫服務器IP、詳細版本及端口號,配置對應審計對象。策略管理:默認按規則審計,界面中依次點擊:策略管理,審計策略,默認策略。全部審計表示所有訪問數據庫服務器的數據均審計入庫,在前臺可以查看所有操作的審計記錄。按規則審計:只審計匹配規則的訪問數據庫服務器信息,未匹配規則的數據不審計入庫,前臺查詢記錄中只有匹配規則的數據。(3)規則設置,使用secadmin帳號設置規則,制定風險的級別、何種操作類型以及針對的對象如操作系統主機名、子對象、客戶端地址集、客戶端進程集、關鍵字等。針對數據庫的操作:選擇操作命令,如查詢、插入、刪除、更新等,在審計結果中出現對應的操作時,出現告警信息。風險級別:設置訪問行為高風險、中風險、低風險、關注行為、一般行為、不審計。
2網絡配置與驗證
2.1trunk技術
trunk技術用于在交換機之間互連,使不同VLAN通過共享鏈路與其它交換機中的相同VLAN通信。交換機之間互連的端口就稱為trunk端口,trunk是基于OSI第二層數據鏈路層(DataLinkLayer)的技術。將互連的交換機兩個端口mode設置為trunk模式,實現交換機上所有VLAN共享這條線路,不同交換機相同vlan相互通信,配置命令:[LSW]group-membere0/0/1toe0/0/4[LSW]portlinktrunk[LSW]porttrunkallowvlanall
2.2單臂路由技術
默認情況下,不同網段之間是不能相互通信的。但是在實際中,不同網段之間又要相互通信,這種情況下可以使用單臂路由技術,單臂路由(router-on-a-stick)是指在路由器的一個接口上通過配置子接口(或“邏輯接口”,并不存在真正物理接口)的方式,實現原來相互隔離的不同VLAN(虛擬局域網)之間的互聯互通,配置命令:[R1-G0/0/0.10]ipaddr172.25.32.25424[R1-G0/0/0.10]dot1qterminationvid10[R1-G0/0/0.10]arpbroadcastenable
2.3訪問控制和NAT映射技術
訪問控制是網絡安全防范和保護的主要策略,保證網絡資源不被非法使用和訪問,它是保證網絡安全重要的核心策略之一。NAT(NetAddressTranslation),它是負責網絡地址轉換的一個協議,負責把私網內的的IP和端口轉換成公網的IP和端口,即IP地址映射,外部網絡通過映射的IP地址訪問內部服務器,起到保護內部設備的作用,配置命令:[USG]natserverprotocoltcpglobal192.5.202.2501521inside172.25.32.11521[USG]source-zoneuntrust[USG]destination-zonetrust[USG]actionpermit其他網段設備通過NAT映射地址訪問氣象數據庫系統,如綜合顯示系統終端若訪問氣象數據庫服務器,在華為USG6000防火墻中進行地址映射和訪問控制,對服務器進行保護,通過映射地址192.5.202.250訪問氣象數據庫系統服務器允許的sql檢索服務。
3結束語
(一)信息科始終以維護HIS系統、LIS系統、體檢系統、三智能監管平臺系統、病案系統安全穩定運行為重點,及時響應各部門的故障維護,努力減少故障發生率、降低故障等級和故障持續時間,全年累計完成軟硬件維護1000余次,有效提高了工作效率。
(二)檢查出一次網絡安全隱患。我院官網所掛的oa辦公系統存在安全漏洞。
針對上傳任意文件漏洞,因為產品集成了2009的金格控件,在(officeserverservlet)中沒有對filetype參數進行過濾,可以上傳任意文件。信息科對服務端和客戶端的上傳文件進行了限制,只能上傳office相關格式的文件。
(三)完成第dip上傳接口,配合病案室醫??七M行dip數據的上傳,完成了發熱門診醫療服務監測數據上傳的接口,完善了衛統表病案信息上傳的接口。
(四)完成新醫保的接口工作,配合收費室,醫??仆瓿尚箩t保系統的轉換,配合完成收費項目、藥品、耗材、病案診斷、手術診斷的對碼工作,完成了兩個院區醫生護士的賦碼工作。
二、存在的主要困難和問題
網路安全保護相對薄弱,服務器端只有一臺上網行為管理粗框架的過濾掉一些風險網站,缺乏主動防御的功能,終端各電腦也沒有專業的企業級殺毒軟件的防護,被動被感染的風險較大。
三、2022年主要工作安排
工作思路:在院領導的帶領下以“鞏固、完善、創新”為重點,創建良好的醫院網絡氛圍,,加強信息技術工作,建設及完善現在所運行的系統,充分運用現代網絡技術服務好患者和臨床一線的醫護人員。
目標任務:完善網絡安全,完善his、lis、體檢病案等系統。
工作措施:
(一)在醫共體的計劃下,待醫院his、lis、電子病歷系統完成升級改造,醫院常規流程趨于穩定后,開展互聯網醫院的建設。
1、打造醫院公眾號,做到集醫院宣傳、預約就診、分級診療、診間支付于一體的快捷自助平臺。進一步方便患者的就診流程,減少排隊等待的時間。
2、積極聯系銀行、his廠家這兩家平臺,在醫院上線自助機系統,實現自助掛號、繳費、清單查詢、檢驗影像結果查詢等功能。
(二)網絡安全始終是最重要的,沒有網絡安全,就沒有醫院的安全。針對日益嚴重的網絡安全問題,將從以下幾個方面做好應對防御。
1、邀請網絡安全公司開展一次等級保護測評,找出安全問題漏洞、降低信息安全風險,提高信息系統的安全防護能力。
2、購買一些網絡安全產品,加固網絡安全防護能力。
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管;②對信息系統中使用的信息安全產品實行按等級管理;③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據信息系統安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統一建設的應用系統進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》,加強桌面安全、網絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統的等級測評和安全建設整改工作,進一步提高信息系統的安全防御能力,提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后,聘請專業測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統持續安全穩定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網絡安全、容災等相關技術相互結合,建立統一的安全監控平臺和安全運行中心,實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍;采用集中管理、分級維護的管理模式,網絡與安全運維人員采用授權方式,持證上崗,建立網絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區公司的網絡安全風險評估工作。
(3)建立重要信息系統應急處置預案,完善災難恢復機制。2008 年,中國石油了《網絡與信息安全突發事件專項應急預案》,所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統,保障業務系統在遭遇突發事件時,能快速反應并恢復業務系統可用性。通過災難恢復項目研究,形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統災難恢復等級,完善了災難恢復機制。
(4)規劃信息安全運行中心,建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合,實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合,實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制,形成中國石油統一的應急指揮與協調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面,重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件,20余個重要行業出臺了40余份行業等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規劃;14個行業重要信息系統底數不清、安全保護狀況不明;12個行業未組織全行業信息安全專門業務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統規劃過程中,沒有認真制定安全策略和安全體系規劃,導致安全策略不得當;22%的信息系統網絡結構劃分不合理,核心業務區域部署位置不當,業務應用不合理,容易導致黑客入侵攻擊,造成網絡癱瘓,數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統安全加固和整改經費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面,有34.9%的信息系統沒有保護主機審計記錄,34.8%的信息系統沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統沒有采取監測重要服務器入侵行為的技術措施,容易使內部網絡感染病毒,對攻擊行為無法進行有效監測和處置。
(3)我國信息技術與國外存在一定差距,安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高,依賴國外產品的情況還比較普遍;國內信息安全專業化服務力量薄弱,安全服務能力不強,部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商,給重要信息系統安全留下了隱患。
為了有效提高我國企業信息安全水平,增加等級保護的可行性及執行力,建議:①各企業開展以信息安全等級保護為核心的安全防范工作,提高網絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產品化,重視產品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全,2012(1).
關鍵詞:民航企業;信息化建設;信息安全技術
0引言
互聯網時代的到來,信息技術與網絡技術已然成為人們生產生活的重要技術支撐,在民航領域中,信息化建設的進程也得以高效發展。與此同時,民航企業信息系統的安全隱患及安全防護問題也逐漸暴露,成為信息化建設過程中亟須應對與解決的問題。
1網絡信息安全制度的建設
1.1建設網絡信息安全制度
據調查,民航信息系統安全事件的發生,問題的主要成因在于未充分明確相關責任以確保網絡信息安全管理工作的全面落實?;诖耍窈狡髽I需要充分結合自身的是情況,對網絡信息安全管理責任制的健全及完善,充分明確人員相關責任,促進民航信息化建設水平的提升,促進民航的健康發展。民航企業應當搭建內部網絡信息安全規范體系,以之為基礎開展企業網絡信息安全管理及部署工作,確保民航信息安全水平的有效提升。民航企業應當時刻緊隨時展步伐,對網絡信息安全保障體系加以完善,建立網絡信息安全防范體系,采取合理的等級保護與分級保護措施,維護網絡信息安全。民航企業應當將網絡信息安全作為信息化建設的發展方向,積極配合并響應國防部、網絡安全部門、公安機關等行政機關部門的規定與要求,實時更新并優化安全防護措施,實現網絡安全整體覆蓋范圍的擴大。
1.2細分網絡安全保障體系
對于民航企業而言,其信息網絡安全保障體系的建設,主要包括三個方面,即信息網絡安全技術體系、信息網絡安全管理體系及信息網絡安全運行維護體系。這三個安全防護體系是相互依存與相互促進的。信息網絡安全管理體系的搭建,應當作為信息安全技術體系保障的重要方向,技術體系也是保障信息網絡安全的技術設施與基礎服務的重要支持。信息網絡安全管理體系的建設也要求網絡信息安全技術應用水平不斷提升。民航企業的網絡信息安全體系的建設,可以充分參考美國國家安全局所提出的IATF框架的網絡安全縱深戰略防御理念、美國ISS公司所提出的P2DR動態網絡安全模型等相應信息網絡安全防護體系,搭建“打擊、預防、管理、控制”于一體的網絡通信安全綜合防護體系理念,是當前國際上最為先進、最為有效的安全保障框架體系,對重要體系采取有效的安全防護措施,搭建民航企業的信息安全防護與控制中心,實現對于信息網絡體系的安全監控、安全終端、安全平臺、主機安全、數據安全、應用安全相互結合、相互統一的信息安全平臺建設,信息安全防護應當涵蓋物理層面、終端層面、網絡層面、主機層面、數據層面及應用層面,保證安全防護的全面性及全方位性[1]。
1.3發展民航網絡信息安全產業
隨著時代的發展,民航企業開始更多地強調民航網絡信息安全事業的發展。在開展民航企業網絡信息安全產業建設時,應及時跟蹤和了解國際網絡信息安全產業發展動向,了解信息安全防護技術水平的提升渠道,積極謀求與其他發達國家之間的技術合作,大力引進先進的管理技術與管理手段,大力培養并教育網絡信息安全技術人才。民航企業要大力引進技術水平與管理理念較為先進的人才,并對所引進的人才采用科學合理的技術培訓與安全教育措施,不斷增強相關人員對于網絡信息安全防護的意識與理解能力,安全理念先進、技術水平高超、應急處置及時的網絡信息安全管理人才隊伍。民航企業要搭建科學完善的網絡信息安全管理體系,充分保證信息網絡安全組織、網絡信息安全流程、網絡信息安全制度相互結合,搭建科學合理的安全管理體系。
2民航信息安全保障體系的建設
2.1國家信息系統安全等級保護
以ISO27001信息安全管理要求為基礎,結合國家信息系統安全等級防護管理方面,對信息系統安全防護安全管理基本要求加以明確,開展民航企業網絡安全防護及管理體系的建設工作。網絡信息安全管理體系的設計,應當涵蓋安全組織架構、安全管理人員、安全防護制度及安全管理流程等多個方面,結合自身實際需求,設計科學合理的網絡信息安全管理體系等。對于網絡系統安全組織架構的建設與完善,組建涵蓋安全管理、安全決策、安全監督及安全執行等層次的管理架構,設置相應職責崗位,對安全管理責任進行分解與落實,做好人員錄用、人員調動、人員考核及人員培訓等相關方面的人員管理工作。民航企業在制定安全管理制度時,應建立網絡信息安全目標、安全策略、安全管理制度及安全防護技術規范等多個層次,搭建安全管理制度體系。在建立安全管理流程方面,通過建立科學合理的組織內部安全監督檢查與優化體系,保證網絡信息安全管理工作的順利開展。將內部人員與第三方訪問人員、系統建設、系統運維、物理環境的日常管理規范化,將日常的變更管理、問題管理、事件管理、配置管理、管理等電子化、流程化與標準化[2]。
2.2合理運用先進安全防護技術
2.2.1入侵檢測技術
目前,對信息安全防護技術手段研發與應用也愈發普遍,其中入侵檢測技術的應用可以取得較好的技術效果。入侵檢測技術的應用主要是通過對網絡行為、網絡安全日志、網絡安全審計信息等技術手段,有效檢測網絡系統非法入侵行為,判斷網絡入侵企圖,通過網絡入侵檢測以實現網絡安全的實時監控,有效避免網絡非法攻擊的可能。通過應用入侵檢測技術,民航企業可以構建入侵檢測系統,能夠對系統內部、外部的非授權行為進行同步檢測,及時發現和處理網絡信息系統中的未授權和異?,F象,盡可能減少網絡入侵所造成的損耗與安全威脅。為此,可采取NetEye入侵檢測系統,該系統通過深度分析技術,實現對于網絡環境的全過程監控,及時了解、分析并明確網絡內部安全隱患及外部入侵風險,作出安全示警,及時響應并采取有效的安全防范技術,實現網絡安全防護層次進行有效延伸。同時,該入侵檢測系統具備較為強悍的網絡信息審計功能,就可以實時監控、記錄、審計并就重演網絡安全運行及使用情況,用戶能夠更好地了解網絡運行情況。
2.2.2文件加密技術
對稱加密技術是常見的文件加密技術之一,所采用的密鑰能夠用以加密與解密,在技術應用時,以塊為單位進行數據加密。這一方法在實際應用過程中,一次能夠加密一個數據塊。對對稱加密技術的優化與改進,主要可采用密碼塊鏈的模式加以實現,即通過私鑰及初始化向量進行文件加密[3]。如上所述,隨著網絡信息安全受到更多重視,民航企業信息化建設水平在進一步提升其網絡建設水平的同時,也更多地意識到網絡信息安全的重要性與必要性,不僅需要構建行業信息安全防御體系,還應當建立健全網絡信息安全制度,構建網絡安全防護人才團隊。在此基礎上,民航企業還可以充分利用文件加密和數字簽名技術,通過該技術,可以合理避免相關數據信息受到竊取、篡改或遭到損壞而導致網絡信息安全受到影響。文件加密和數字簽名技術應用過程中,可以更好地對網絡信息安全提供保證、維護相關信息數據的安全性。
關鍵詞:網絡安全;信息安全;計算機安全;信息管理
隨著交通行業的科技信息化發展,交通行業各應用系統及計算機遭受病毒攻擊、垃圾郵件泛濫等問題威脅著行業信息安全。由于缺乏安全意識,出現了數據丟失、信息被盜等安全問題,給整個行業造成重大損失。保證行業內計算機及網絡信息系統的安全運行,不受病毒、黑客的侵擾極為重要。
1交通行業計算機信息安全存在的問題
現階段,交通行業內的計算機用戶群體復雜,存在的信息安全問題也很復雜。主要存在以下幾個方面的問題。(1)計算機軟硬件核心技術大多依賴進口目前,中國的軟硬件核心技術欠缺,例如美國的CPU芯片、美國微軟公司的WINDOWS操作系統、美國微軟公司的日常辦公通用軟件OPFICE、各大數據庫等軟硬件大多依賴國外。國外的系統固然會不定期更新,但肯定會存在大量的安全漏洞,留下隱藏性病毒、后門等隱患。這些漏洞使得計算機的安全性能大大降低,同時使網絡處于極脆弱的狀態。(2)缺乏安全有效的防護措施很多計算機用戶不設置系統登錄密碼,即便是設置了密碼但是密碼策略低,有的甚至設置成電話號碼、連續數字等。用戶雖然安裝了殺毒軟件,但缺乏安全意識,有的用戶的殺毒軟件根本沒有升級病毒庫,相當于是在裸機的狀態下使用,一旦感染病毒,再加上黑客攻擊,很可能直接造成網絡癱瘓,從而導致存儲在計算機中的大量敏感文件和工作文件信息被竊取,極易造成泄密事件。(3)重要數據缺少備份行業用戶的操作水平不高或者操作習慣不好,會導致經常誤刪一些重要文件。此外,各種自然災害、病毒、黑客攻擊、計算機硬件設備損壞等都會導致文件及數據遭遇毀滅性的損壞。如果用戶未對重要數據進行備份,一旦文件遭到破壞將很難恢復,對個人甚至國家都會造成嚴重后果,所以數據備份不容忽視。(4)電子郵箱密碼設置過于簡單某些單位的電子郵箱沒有相關管理制度,網絡管理者在分配郵箱的時候一般會設置一個較簡單的默認密碼,用戶在使用過程中很少有修改密碼的習慣。完全把郵箱變成一個網絡存儲空間使用,往來郵件長時間不清理。一旦電子郵箱被黑客攻破,后果不堪設想。(5)計算機網絡信息安全缺乏嚴格的管理制度行業內大部分單位雖然有信息安全管理制度,也明確了崗位職責及規范,但在實際工作中卻并未嚴格按照規范執行,有很多制度一成不變,已經跟不上時代的發展,與現階段國家的相關規定也存在很大差距,導致極大的信息安全隱患。此外,對于特定的賬戶密碼和管理員權限沒有監管,缺乏安全保障制度和預防措施。(6)對于計算機信息安全事故缺乏有效的應對措施防患于未然極其重要。一些行業內單位對于信息安全缺少防范措施,一旦出現重大網絡安全故障后,缺乏快速補救的措施和應急方案,不能及時排除安全故障和隱患,勢必會給單位和個人造成重大損失。(7)計算機信息使用和管理人員安全意識淡薄有的計算機信息使用和管理人員在日常生活和工作中缺乏安全保密意識,不能嚴格執行交通運輸部保密辦的“計算機不上網,上網計算機不”的保密要求,往往把U盤混用,接收資料也不殺毒處理,操作系統、殺毒軟件不及時升級,這些行為都會導致計算機感染病毒。外出時,個人手機和筆記本電腦經常會連接到各種無線網絡中,這對行業信息安全都有極大的風險。
2交通行業計算機信息安全管理對策
(1)推廣國內自主研發的核心設備和技術的應用按照國家相關要求和規范進行網絡信息安全和計算機信息化設備的采購和配置。涉及到重要的信息,盡量使用國內自主研發的經過國家保密局、安全局、公安部評測通過的計算機網絡安全設備。(2)對內部網絡及系統進行分級保護對行業內的計算機信息網絡,一定要按照國家有關要求和交通運輸部保密辦的要求,進行分級保護管理。對單位內網絡中的所有網絡終端進行系統加固,安裝安全登錄、主機審計、身份認證、主機監控、黑白名單、違規外聯、補丁分發、文件分發系統。對網絡內的終端計算機實行關閉刻錄、USB使用功能,禁止使用無線及藍牙等外設設備,采用紅黑電源插座。計算機只可進數據,嚴禁出數據。出數據必須要逐級審批,方可開通權限進行刻錄和打印。對網絡線路加裝線路保護儀,網絡設備和系統要放置在屏蔽機房和屏蔽機柜內。(3)對內部非的網絡和政務外網進行等級保護按照國家有關要求和標準規范,進行等級保護測評。全面安裝計算機安全登錄終端、主機審計和監控系統。對等級級別高的網路和系統要間隔不長時間再次測評?!吨腥A人民共和國網絡安全法》現已實施,為了避免在國家重大活動信息安全保障中出現信息安全責任事故,盡量使用軟硬件設備關閉單位大樓內的無線信號。(4)安裝防病毒軟件、防火墻、入侵檢測系統對行業內的網絡計算機,要逐臺安裝防病毒軟件和木馬查殺軟件,要求對病毒進行定時或實時的掃描及漏洞檢測。對文件、郵件、內存、網頁進行全面實時監控,一旦發現異常情況,及時定位處理。要使用補丁分發系統及時針對系統和常用軟件漏洞進行分發安裝。網絡層一定要軟硬結合,使用防火墻和入侵檢測系統,對安全策略及過濾規則按照最高等級設置,以防御外部惡意攻擊。對網絡中的IP地址加裝ACK地址管理系統。為了安全起見,全部設置靜態IP地址,然后與MAC地址綁定,這樣可以有效預防IP地址欺騙。同時利用上網行為管理系統,屏蔽非法訪問的不良行為,禁止把內部敏感信息和數據傳播至公共網絡。使用網絡監控和預警平臺對網絡進行監測,及時有效地保護網絡安全。(5)完善行業計算機網絡安全管理體系為了加強網絡安全管理,將信息安全管理工作落到實處,必須對網絡中的每個管理環節進行監管,實現網絡信息安全的最終目標。為了提前發現網絡風險,將風險降至最小,避免黑客利用漏洞破壞網絡信息安全,必須從頂層設計入手,針對網絡信息安全制定全面的管理體系和網絡信息風險評估體系,這對建設安全的網絡環境十分重要,可以對網絡信息起到監管作用,更加有利于網絡信息安全管理。(6)提高思想認識,加強制度落實信息安全管理工作的首要基礎是通過加強思想教育、制度學習和落實,提高全員的網絡安全意識。認真學習各類信息安全法規和保密教材,尤其是要深入學習《中華人民共和國網絡安全法》,強化安全保密觀念,提高安全保密意識和素質,增強網絡安全保密知識,改善網絡安全保密環境。(7)制定嚴格的信息安全管理制度為了維護行業信息安全,每個行業單位應結合實際情況,完善內部網絡信息安全管理制度,確保信息處理、存儲、傳播的安全。對于的計算機應安排專人負責。文件應單獨保存在介質中。對于機房、計算機軟硬件、信息系統建設與運維、郵件服務器系統,也應制定不同的安全策略和管理制度,并在實際工作中嚴格執行落實。(8)制定網絡安全應急管理措施為了能夠及時快速地處置網絡安全事故,行業各單位需結合實際情況,制定本單位網絡安全應急管理措施,明確崗位職責和處置權限,并定期開展安全應急預演,提高技術人員的應急處理能力。網絡安全事故突發應急處置過程中,一旦發現問題要及時上報,規定報送流程、時間要求等,采取措施降低損害。每次的處理都要記錄并保存,以便追溯。按照應急處置程序,一旦發生信息安全事件,要立即向有關部門報告。(9)重視網絡信息安全人才的培養各單位應重視網絡信息安全人才的培養,建立一支信息安全管理技術過硬的團隊。每年制定不同的年度培訓計劃,通過每季度不少于一次的專業培訓來提高網絡信息安全人才的專業技術能力。
3結語
總之,交通運輸行業對計算機及各種網絡的依賴性越來越強,遭受各種病毒侵擾、黑客攻擊也是不可避免的。交通行業計算機及網絡信息安全問題,必須引起各單位高度重視。人人都應從自我做起,提高個人的信息安全意識,養成良好的計算機使用習慣。只有完善制度、嚴格落實執行、提高監管力度,才能從根本上解決網絡信息安全問題,建立穩定、和諧、安全的網絡信息環境。
作者:郭俊杰 單位:中國交通通信信息中心
參考文獻:
[1]趙輝,樊杰,徐京渝.分布式行業電子政務網絡信息安全問題及對策[J].中國交通信息化,2013(2):36-38.
[2]李治國.淺析計算機網絡信息安全存在的問題及對策[J].計算機光盤軟件與應用,2012(21):47-48.
由于電力企業以發電、經營電力為主,信息網絡安全問題并沒有得到足夠重視,管理方面存在重技術輕管理的問題,未建立完善的信息安全管理制度,面對上級檢查,簡單應付,腦子里輕視信息安全,信息安全觀念淡薄,這都會增加企業信息系統的安全風險。例如,缺少對企業職工的信息安全教育培訓、缺少定期對信息運維人員的安全技能的培訓等等,都會嚴重威脅企業信息網絡的安全。電力企業在針對信息系統的應用和信息網絡安全兩個方面時,更加注重的是前者。以此同時,可能部分職工還存在僥幸心理,忽視了網絡安全問題的重要性。
2電力企業網絡信息安全管理的有效策略
2.1注重建設基礎設施和管理運行環境
需要嚴格的管理配電室、信息、通信機房等關鍵性的基礎設施,對防水、防火、防盜裝置進行合理配備;對電力二次設備安全防護要做到,安全分區、網絡專用、橫向隔離、縱向認證,生產控制大區與信息管理大區要做好物理強隔離;機房需要安裝監控報警設備和動環監測系統;對桌面終端和主機等設備要做好補丁更新,控制權限;在網絡安全設備上要做好安全策略;做好流量監測和行為監測;此外,建立設備運行日志,對設備的運行狀況進行記錄,并且建立操作規程,從而保證信息系統運行的穩定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,確保根據安全管理制度進行操作;做好安全防護記錄、制定應急響應預案、系統操作規程、用戶應用手冊、網絡安全規范、管理好口令、落實安全保密要求、人員分工、管理機房建設方案等制度,確保信息系統運行的穩定性和安全性。由內至外,全面的貫徹,實施動態性地管理,持續提高信息安全、優化網絡拓撲結構。
2.3注重信息安全反違章督察工作的開展
建立信息安全督察隊伍,明確職責,按照信息安全要求,開展定期的督察,發現問題,限期整改。電力企業要對企業信息系統軟硬件設施、容災系統、桌面終端、防護策略等進行定期督查,實現信息安全設備加固和更新,培養信息安全督查專家隊伍,交叉互查、發現并解決問題,提高信息系統的安全性。
2.4積極探索電力企業信息安全等級保護
信息安全等級保護指的是,對涉及國計民生的基礎信息網絡和重要信息系統按照其重要程度及實際安全需求,合理投入,分級進行保護,分類指導,分階段實施,保障信息系統安全。針對電力企業信息系統,應建立相應的信息安全等級保護機制。技術上分級落實物理安全、網絡安全、主機安全、應用安全、數據安全;管理上要建立對應的安全管理制度、設置安全管理機構、做好人員安全管理、系統建設、運維管理。
2.5明確員工信息安全責任,實現企業信息安全文化建設
針對企業的所有員工,關鍵是明確自己需要擔負的安全責任、熟悉有關的安全策略,理解一系列的信息安全要求。針對信息運維人員,需要對信息安全的管理策略進行有效地把握,明確安全評估的策略,準確使用維護技術安全操作;針對管理電力企業信息網絡安全的管理人員,關鍵在于對企業的信息安全管理制度、信息安全體系的組成、信息安全目標的把握和熟悉。以上述作為基礎,實現企業信息安全文化的建設。
2.6提升人員的信息安全意識
針對電力企業信息安全而言,員工信息安全意識的提高十分關鍵。企業需要組織一系列有關的信息安全知識培訓,培養員工應用電腦的良好習慣,比如不允許在企業的電腦上使用未加密的存儲介質,不應當將無關軟件或者是游戲軟件安裝在終端上,對桌面終端進行強口令設置,以及啟用安全組策略,備份關鍵性的文件等,從而使員工的信息安全意識逐步提高。
3結語
【關鍵詞】計算機;安全;防范
中圖分類號:TP39 文獻標識碼:A 文章編號:1006-0278(2014)03-177-01
一、計算機安全的定義
計算機安全通常指的是一種機制:即只有被授權的人才能使用相應的資源。安全通常包括的5個屬性:可用性:得到授權的實體在需要時能訪問資源和得到服務;可靠性:系統在規定條件下和規定時間內完成規定的功能完整性:信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性;保密性:確保信息不暴露給未經授權的實體不可抵賴性(也稱不可否認性):通信雙方對其收、發過的信息均不可抵賴。
計算機網絡安全信息系統的其它安全屬性還包括:可控性、可審查性、認證、訪問控制等。
從技術上講,計算機安全主要包括以下幾種:1.實體安全。又稱物理安全,主要指因為主機、計算機網絡的硬件設備、各種通信線路和信息存儲設備等物理介質造成的信息泄漏、丟失或服務中斷等不安全因素。其產生的主要原因包括:電磁輻射與搭線竊聽、盜用、偷竊、硬件故障、超負荷、火災及自然災害等。2.系統安全。是指主機操作系統本身的安全,如系統中用戶賬戶和口令的設置、文件和目錄存取權限設置、系統安全管理設置、服務程序使用管理等保障安全的措施。3.信息安全。是指保障信息不被非法閱讀、修改和泄露。信息安全主要包括軟件安全和數據安全。TCSEC系統評價準則是計算機系統安全評估的第一個正式標準,第一版于1983年。該標準將計算機安全從低到高順序分為四等八級:最低保護等級(D)、自主保護等級(c1、C2)、強制保護等級(B1、B2、B3)和驗證保護等級(A1,超A1),TCSEC為信息安全產品的測評提供準則和方法,指導信息安全產品的制造的應用。
二、計算機安全面對的挑戰
由于計算機網絡計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征,致使網絡容易受到來自黑客、惡意軟件和其它種種攻擊。
(一)常見的計算機網絡安全威脅主要有:信息泄露、完整性破壞、拒絕服務、網絡濫用
信息泄露:信息泄露破壞了系統的保密性,他是指信息被透漏給非授權的實體。常見的,能夠導致信息泄露的威脅有:網絡監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵犯、物理侵入、病毒、木馬、后門、流氓軟件、網絡釣魚。完整性破壞:可以通過漏洞利用、物理侵犯、授權侵犯、病毒,木馬,漏洞來等方式實現。拒絕服務攻擊:對信息或資源可以合法的訪問卻被非法的拒絕或者推遲與時間密切相關的操作。網絡濫用:合法的用戶濫用網絡,引入不必要的安全威脅,包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
(二)常見的計算機網絡絡安全威脅的表現形式主要有:竊聽、重傳、偽造、篡改、拒絕服務攻擊、行為否認、電子欺騙、非授權訪問、傳播病毒
竊聽:攻擊者通過監視網絡數據的手段獲得重要的信息,從而導致網絡信息的泄密。
重傳:攻擊者事先獲得部分或全部信息,以后將此信息發送給接收者。
篡改:攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網絡侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。
拒絕服務攻擊:攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
行為否認:通訊實體否認已經發生的行為。
電子欺騙:通過假冒合法用戶的身份來進行網絡攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的.
非授權訪問:沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問。
傳播病毒:通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防范。
三、計算機網絡安全防范措施