时间:2023-05-30 10:08:44
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全审计,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
目前,给企业造成的严重攻击中70%是来自于组织中的内部人员,只要攻击者发现了业务系统的漏洞,往往业务系统网络就会被攻破。而随着攻击手段的演变,传统方式对保障业务系统的安全越来越力不从心。因此,针对业务系统的信息安全治理成为业务安全防护的重点。
但是,决策部门如何寻找治理业务系统的决策依据呢?决策部门如何定夺治理业务系统的先后顺序、重要紧急程度呢?决策部门如何寻找制定内部合规性的依据呢?针对信息系统的审计报告就承载着这些重要的职能!审计报告正是业务审计系统价值的具体体现,它起到为制定决策提供重要依据的作用。
针对业务的审计需要报告的细粒度
从用户需求角度看,需要报告细粒,度事实上,一项针对业务系统的审计产品的评价手段有很多。理论上讲,有从审计精度入手做评价的,也有从审计行为的广度入手做评价的。但无论怎样,我们认为用审计行为的结果――报告来评价是比较科学的。以银行的业务为例,银行的业务主要有银行传统业务、银行中间业务、电子银行业务三大类业务。第一类业务是银行传统业务,主要包括会计业务,即主要受理对公业务、面向工商客户、以转账业务为主(比如各种票证)等; 出纳业务,包括受理现金业务等; 对私业务(储蓄) 业务以及授信(信贷)业务等,包括工商客户和个人客户贷款的发放和收回,逾期、呆账、呆滞账务的处理和追溯等。第二类是银行的中间业务,包括代收电信公司的各类费用; 代付企业的工资、基金购买、银行承兑等; 第三类是电子银行业务,主要包括网上银行、电话银行等。他们都是将银行作为资金结算的中心,作为电子商务中资金流的一方。所有的这些业务都有大量的后台IT信息系统作为支撑,需要有强有力的审计报告进行业务审计。
再比如,能源行业主要的业务系统包括: 综合管理信息系统、办公自动化系统、电力营销管理系统、生产监控管理信息系统、资产管理系统、电力地理信息系统、企业资源计划管理系统等。同样,这些业务的IT系统十分复杂和重要。为此,用户存在着对这些业务系统审计的需求。如果一项针对业务的审计系统能够对这些业务有充分的理解,并且通过对这些业务的理解,能以科学合理的方式呈现到审计行为的结果――报告当中来,我们才有理由相信,针对业务的审计系统是“值得信赖”的,这样的报告才能达到管理业务的目的,这个审计系统在纷繁复杂的业务系统才算发挥了审计的作用。
从技术角度看,需要报告细粒度
业务网络审计系统是基于应用层内容识别技术衍生出的一种强化IT风险管理的应用模式,它需要对应用层的协议、网络行为等信息进行解析、识别、判断、纪录和呈现,以达到监控违规网络行为、降低IT操作风险的目的。显然,一个针对业务系统的审计必须承担鉴证、保护和证明三个方面的作用。从技术角度看,审计系统需要审计的信息量大,采集的数据量多,比如对基本网络应用协议审计,如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等进行详细的实时监控、审计,并可以对操作过程进行回放,对各类如Oracle、DB2、Sybase、Informix、MS SQL Server等数据库操作也需要审计; 同时,对一些OA操作进行审计。在这些庞杂的信息量下,如果系统呈现的信息缺失、失真或错误,往往会给用户轻则带来决策失误,重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据,报告应该越细越好。
从审计政策角度看,需要报告细粒度
随着中国国际化程度的日益提高,国内许多规范正在朝着国际化方向发展。以SOX法案为例,在美上市的中资企业如中国移动集团公司及其下属分公司等,就面临着该法案的合规性要求; 而商业银行同样也面临Basel协议的合规性要求; 政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求,等等。实际上,从2001年起,政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规,比如: 国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引 》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引 》等。这些文件的出台,是IT合规性建设的必然发展趋势,让面向业务的审计系统也不得不向“合规性要求”方向发展,这些也促成了报告在审计系统中扮演着越来越重要的角色。
如何实现
报告细粒度
好的网络安全审计系统应该可通过对被授权人员和系统的网络行为进行解析、记录、汇报,可帮助用户事前规划预防、事中实时监控、对违规行为响应、事后做合规报告、事故追踪回放,加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。
此外,一套完善的审计报告查询、输出机制――数据分析模块必不可少,应该满足对审计日志查询、审计事件统计分析、审计报告输出等各种应用的不同使用要求。日志分析与审计报表组件能够对审计事件、会话日志、流量、用户操作日志、SOX报表等5类审计事件进行统计和查询,围绕审计策略设定审计输出报告,使得审计工作人员能迅速精确地获得自己所关注的审计事件信息,将管理人员从繁杂、枯燥的IT内审中解放出来,最大程度上降低IT内审工作的工作量。
以金融机构为例,在银行系统中经常需要对一个应用系统(如存贷系统)业务操作发生的事件进行后台数据调整。这时,为了保证调整过程可以被审计记录以及事后审核,就引发了部署审计系统和数据分析模块的需求。
关键词:计算机;网络安全;安全审计系统;设计;应用
0 引言
自人类发明第一台计算机以来,计算机技术以飞快的速度发展,并在短时间内在各行各业中得到普及。计算机技术的普及,在很大程度上推动了人类文明前进的步伐。计算机网络已经成为我们生活不可或缺的工具之一,正因为计算机网络的存在,使得我们生活更加方便快捷。但是计算机网络是一把双刃剑,它在给我们生活带来巨大便利的同时,也给我们的信息安全构成了巨大威胁。正因为这些威胁的存在,使得人们对网络安全审计系统的正常功能产生了质疑。针对这种情况,本文在阐述网络安全审计系统特点及功能的基础上,对网络安全审计系统的设计进行了研究。希望本文的提出,能为提高网络安全管理提供强有力的参考依据。
1 安全审计系统的功能应用研究
1.1 系统的实际应用情况
一般来讲,只要安全审计系统投入使用,该系统便能非常准确的、全面的将用户在网上的各项操作以及数据库服务器的运行状况记录下来。如果出现以下类型事件如企业员工利用电子邮箱或网络共享的方式进行文件传递时,遇到文件信息泄露情况;企业员工借助论坛平台,发表一些对社会可能造成不良影响的言论时;网络维护人员在对计算机网络进行维护的过程中,使用违规炒作对系统数据库进行操作,致使业务系统的安全性得不到有效维护。只要出现上述类型的事件,安全审计系统都能实行快速定位功能,找出事件的主要负责人,从而为网络违规事件的处理善后工作提供便利条件。除此之外,网络安全审计系统还能实时掌控网络的运行状况,防止那些重要的机密性信息的泄漏,通过对内部网络数据信息进行实时的监控,以智能化的手段对信息进行分析、预估及检测,准确定位那些可能影响系统安全运行的因素,为营造一个更加健康、更加和谐、更加稳定的网络信息环境提供保障。
1.2 安全审计系统的运行方式及部署
不可否认,安全审计系统主要致力于审计网络安全行为,因此,旁路无疑是一种非常可行的部署策略。通常来讲,安全审计系统都必须具备一定数量的以太网接口,而且网络传输速度应保证大于200Mbps,其中一个以太网接口用作设备控管,其它的以太网接口用作数据收集、分析、处理、回收接口。就目前来讲,应用最普遍的以太网接口主要有两个,它们分别用于接入局域网服务器的交换机及关键部位的交换机中。通过局域网服务器的操作行为以及审计数据库的运行状况,对互联网用户的上网信息进行实时审计。通常来讲,安全审计系统的指挥中心都设置在同一台服务器上,它的主要功能是对安全审计系统的日志进行接收及存放。
2 网络安全审计系统的设计
本文在CC标准体系的指导下,设计了一套较为完整的网络安全审计系统,该系统具有多层次的结构特点,现将系统结构及设计方案分析如下。
2.1 系统结构
在某种程度上可以将网络安全审计系统看作是一种多层次上的审计,它既能满足低层次网络通信的审计要求,又能满足高层次网络应用服务的审计要求。因此,网络安全审计系统的目标是实现多层次的审计,其结构图如图1所示。
不同层次的审计结构完成不同层次的审计要求,对于那些数量较多且比较分散的大规模网络,整个网络系统都应覆盖安全审计系统,即实现安全审计系统的全方位审计,只有这样,才能保证网络的整体安全性。从这方面来讲,网络安全审计系统是一种全面审计的系统。
通过在网络上建立一支有效的“巡警队伍”,该“巡警队伍”能够对整个网络系统进行审计。网络安全审计系统主要由网络审计设备、网络审计软件以及网络审计中心三部分构成。网络审计设备的主要作用是将网络上传送的信息进行还原,并分析其入侵性,即所谓的低层次审计环节,网络审计设备能以旁路的方式接入系统中;网络审计软件则以嵌入的方式计入主机操作系统中,它的主要功能是收集异常事件,完成中层审计环节,此外网络审计软件还配备高层应用接口,因此具备一定的高层审计功能;网络审计设备及软件通常安置在所需监视网络的关键节点上,起到数据信息接收及发送的作用。网络审计中心则能够分析处理数据,起到控制管理网络审计设备、软件的作用。
2.2 功能的设计
网络安全设计系统主要由探测器及审计主机构成,首先,它既不用作网络串联设备;其次,它也不影响网络结构构成;最后,它不会妨碍业务的正常运行。本文以下内容就对网络安全审计系统的设计问题进行分析。
2.2.1 数据库管理及审计模块
在该模块中,通过对数据库的关键性操作行为进行审计,现对信息系统中每一位用户的访问状况进行跟踪、分析,对这些用户的登陆及退出操作进行审计,从而实现准确回顾SQL语句的作用,从根本上保证数据库运行状况的安全可靠性。
2.2.2 主机审计模块
主机审计模块主要用户对关键区域内的客户机进行审计访问,它的主要工作内容是设定必要的计算机终端访问权限,提高终端访问门槛。此外,该模块还会对那些安全系数较低的软件进行审计,为配置审计对策以及网络的安全运行提供保障。
2.2.3 网络审计模板
该模板能够起到加强系统的控制及审计能力,在强化系统信息控制管理方面发挥着重要作用。网络审计模板的正常运行,能够有效地防止非法内外连接现象,实现对网络信息的实时监控,通过采取雄厚的技术力量防止信息泄露事故的出现。
2.2.4 运行维护审计模板
运行维护审计模板的主要作用是对第三方的运行维护员工进行监控,它的工作重点在于对系统各项操作行为进行科学细腻的审计。另外,针对于所有远程访问设备的会话连接,从而实现同步过程监控的目标,在系统监控画面上,系统运行维护员工执行的每一项操作都会清楚的显示出来。系统管理员能够根据系统实际情况,及时阻断那些违反操作规定的操作会话,并把访问者以及被访问人员的访问时间段以及与之相对应的 IP/MAC 地址记录下来。
3 结束语
安全问题随着计算机的问世而随着产生,尤其是在网络盛行的今天,许多部门及企业更是将网络安全问题提到了议事日程。因此,构建一个科学合理的计算机网络安全审计系统,对于银行、大型企业、证券公司以及科研院校等对网络安全有较高要求的地方显得尤为重要。本文在阐述网络安全审计系统功能应用的基础上,设计出了一套较为完整的网络安全审计系统。实践证明,该系统能够对网络运行状态进行实时监视,极大地提高了计算机网络的安全防范能力。但是需要指出的是,由于笔者水平有限,希望本文能够起到抛砖引玉的作用,相关研究人员继续深化这方面的研究,为设计出更加高效的网络安全审计系统而不懈努力[4]。
参考文献
[1] 吴承荣,谬健,张世永. 网络安全审计系统的设计和实现[J].计算机工程,1999, (25):171-174.
[2] 石 彪, 胡华平,刘利枚. 网络环境下的日志监控与安全审计系统设计与实现[J].福建电脑,2004,(12):43-44.
1利用网络及安全治理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、治理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和治理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判定作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据详细的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,非凡是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业治理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判定。
二、网络安全审计的程序安全
审计程序是安全监督活动的详细规程,它规定安全审计工作的详细内容、时间安排、详细的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计预备阶段、实施阶段以及终结阶段。
安全审计预备阶段需要了解审计对象的详细情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出详细的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及治理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户常常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。详细说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥治理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不正确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾害恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
【 关键词 】 管控;校园网;信息安全;安全策略;安全审计
Research on Campus Network Management and Control of Information Security
Wu Shao-jia Liao Li
(Zhaoqing Radio & Television University Guangdong Zhaoqing 526060)
【 Abstract 】 Protection of campus network security is the focus and key points on the information work, As the ongoing in-depth information security management and monitoring processes, The problems of Potential Network Information Security is exposed, You can construction out the strategy of security applies to campus Information Network System, and take effective measures solution its security problem, Improves the network operation level , Supply the information and data protection with safety measure of reached the security requirements and construction target for campus network.
【 Keywords 】 management and control; campus network; information security ; security strategy; security audit
0 引言
数字校园是推进实现我国教育信息化的重点建设目标之一,数字信息化应用在我国教育现代化的进程中起到了强大的推动力。校园网是学校数字信息化建设重要的基础设施,是学校实现数字信息化的重要组成平台,在教学支持服务、教学教务管理、科学研究、行政管理和校内外信息交流等许多方面都起到了重大作用。许多学校的工作已经完全通过信息网络系统来运转,随着信息化建设规模的扩大深入以及计算机信息网络技术的不断扩展和增强,在校园网中潜在威胁安全问题暴露无遗,校园网络安全的形势日益严峻。如何保障学校内部重要信息的安全,使得重要数据信息不被窃取,是学校信息安全工作当前要面临的首要挑战。
1 校园网信息安全需求
随着校园网应用的深入,校园网上各种信息数据急剧增加,结构性不断提高,用户对网络性能要求的不断提高,网络信息安全成为网络技术发展中一个极其关键的任务。校园网信息安全的需求概括有四个方面。
(1)用户安全:用户安全分成管理员用户安全和业务用户安全。
(2)网络硬环境安全 :网络连接安全,校园网中的子网与其他网络连接的网络安全,各个专用的业务子网的安全。
(3)网络软环境安全:即校园网的应用环境安全。
(4)传输安全:数据的传输安全,主要是指校园网内部的传输安全、校园网与公网(教科网)之间的数据传输安全以及校园网与分校区之间的数据传输安全。
校园网络系统通常只是在校内使用的教学办公网络,是一个相对封闭的局域网系统,可不考虑外来的入侵行为,所面临的风险大多始于内部,包括来自学校内部人员的威胁、非授权访问、冒充合法用户、破坏数据的完整性、数据篡改、泄漏与丢失等。众多不同的安全技术和产品,在技术上缺乏完善的综合管理平台进行统一协调管理;而在管理上则欠缺良好的安全管理体制和策略,这就直接导致了整个安全体系的薄弱,造成网络整体安全防御能力下降,无法真正达到安全要求和建设目标。因此,使用访问控制及内外网的隔离,使用内部网不同网络安全域的隔离及访问控制,使用网络安全检测。解决校园网信息安全问题的重要方法,是在校园内网中采用不同的安全产品和技术构建多层次的安全防范体系,并在这个体系中部署信息安全审计措施以监督信息系统,发现和追查信息系统中潜在的安全问题,弥补其它安全产品对信息安全管控的不足。
2 管控信息安全的策略
信息安全是高技术的对抗,信息安全问题是要通过大力发展信息安全高技术来解决。但同时必须清醒地认识到,要高效地解决信息系统的安全问题,除了从技术上下功夫外,还得依靠配套的安全管理措施来实现。一定要部署校园网安全审计与监控体系配套管理措施,对信息安全审计工作必须要坚持管理与技术并重的原则,建立和完善信息安全配套管理制度和规范,加强管理落实责任,注重通过加强管理弥补技术上的不足。
首先要建立相对独立的学校信息安全审计机构,明确管理组织内各个角色所承担的具体审计职能。在一个审计机构中具体应当包括几种角色。
(1)系统管理员:系统管理员主要负责对审计系统的配置和系统运行状况的维护。
1计算机网络安全检查
计算机在搜集信息的同时,加强对计算机信息检查工作力度是确保信息安全输入和输出的有效手段,是做好重要信息安全保密工作重要途径。加强计算机网络检查工作要做好以下几个方面。首先,要建立相关制度,有规可循。在严格遵循制度下,对计算机网络信息安全保密进行检查的部分要严格管理,通过使用技术保障信息安全。检查部门要建立相关管理程序。关于计算机网络信息的检查要严格按照制度进行,对于犯罪分子要严惩不贷。检查部门要定期检查计算机信息设备,对于网络场所要严格规定其做好保密措施,督促用户下载正规的软件,使用正规网站。其次,检查部门要提高技术,壮大力量,这是做好检查工作的关键。目前,我国对计算机网络安全信息检查的专业人员较少,力量不够。因此,在提高技术加强信息保密工作的同时壮大队伍,吸引更多的人才对于检查工作顺利进行和取得好的效果有重要作用。另外,配全措施。为了保证信息安全,配全措施是保证。计算机网络信息共享性使得信息很容易被恶意盗取,因此在计算机网络中加强权限管理,不随意透露用户信息,能够有效防止信息盗取。计算机网络安全检查部门要对计算机中心的设备进行加密,由于我国计算机组件多数进口其他国家,因此对这些进口的组件要进行详细的检测,在网络中心安装防火墙,确保外带的病毒侵入网络。对于黑客对计算机网络的安全,检查部门要根据其特征,建立检测系统,对需要保密的数据实施指纹或者脸部认证。除此之外,作为计算机安全检查部门的工作人员要定期对保密信息做好记录,对有问题的系统要及时检查并加以处理。
2计算机网络安全防范关键技术
除了人为的对计算机网络完全进行管理和检查外,使用技术维护网络安全也是有效的手段。计算机网络安全防范技术这里介绍以下几种:入侵预防技术:如果只是对计算机设备进行检测还不足以完全保证计算机网络的安全。入侵预防技术就是防患于未然,对病毒进行拦截。入侵预防技术能够对网络行为进行辨别,处理正当和不正当网络行为。一旦发现有恶意侵入计算机网络系统的程序或软件就会进行消除。计算机网络安全审计技术:这种技术是通过检查和监控完成工作。计算机网络安全审计工作包括入侵检测系统,漏洞扫描心痛,安全审计系统等等,入侵检测系统是防火墙技术的补充,能够保证信息完整。这种技术的运行是主动的,能够有效地减少病毒给计算机安全带来的损失。数据加密技术:很显然,这种技术是对计算机内信息和数据加密来维护计算机信息安全的。数据加密技术是通过设置密文而不被恶意截取。数据加密算法是数据加密技术普遍使用的,这种技术算法快速,但是管理复杂,还有一种算法是公开密钥算法,这种算法速度比较慢但是管理比较简单。无论使用何种算法对数据进行加密,只要使用恰当,这些算法在计算机网络安全工作中都有利于保证信息安全。漏洞扫描技术:漏洞扫描包括终端扫描和黑客模拟攻击。扫描计算机终端主要是为了检查漏洞是否存在。黑客模拟攻击是通过模拟黑客对计算机攻击,测试计算机安全漏洞。漏洞扫描技术能够有效保证数据库完整和安全,同时用户也能自己对漏洞库进行配置更新。
3结论
计算机网络安全问题危害了国家和个人的安全,因此要及时地加以处理。计算机网络安全问题的处理需要技术支持和管理支持。在处理问题时要综合考虑各种问题,确保问题能够有效得到处理。
关键词:信息系统;审计;安全;计算机技术
中图分类号:F239 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01
Information system Audit Content Study Research
Wang Huilin,Wang Zenghui,Guan Ning
(School of Information Science,Jilin Agricultural University,Changchun 130118,China)
Abstract:Information Systems Audit and Control in China despite the late start,but its importance is increasingly apparent.Clear that the Auditor General Liu Jiayi,information systems audit to seize three key points,namely,safety,effectiveness(reliability)and the economy.Therefore,
the content of information systems audit has become a concern of auditors,this paper will analyze the information systems auditing concepts and objectives,summed up the information systems audit institutions to audit the main content.
Keywords:Information system;Audit;Security;Computer technology
一、我国信息系统审计发展现状
2005年大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。2006年许霆因利用银行取款机漏洞窃取银行17.5万元现金的落网。特别近两年以来时有地方政府网站被恶意篡改,2008年荆州市商务局的网站被“黑”,据国内信息安全机构报道,整个2009年,全国平均每天有1%的政府网站被“黑”,其中主要原因是口令过于简单和文件漏洞太多。
以上种种案件表明,所有案件均是在事后,都是已经对国家人民财产造成了危害损失后发现的,怎样才能避免这类情况的发生,信息系统安全防范工作已经成为信息时代的主要问题,对信息系统开展安全审计已经成为审计机关保护国家财政财务安全,充分发挥审计“免疫系统”功能的重要措施。
二、信息系统审计概念与目标
到底信息系统审计应如何定义呢?美国信息系统审计学科的领跑者Ron Weber给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
根据信息系统审计的概念,我们可以总结出审计机关开展信息系统审计的目标是:确认资产安全性、保证数据完整性、认定系统合规性。
三、审计机关开展信息系统审计的内容
(一)信息系统资产安全性审计
那么信息系统审计需要做那些事情才能有效控制资产安全呢?我们要从以下几个方面着手:1.对系统基础设施及环境的审计。审计范畴为:硬件环境与防灾、主机硬件安全、底层支撑系统安全、通信线路安全、数据存储/IO安全、物理访问控制。2.网络安全审计。目前的网络安全审计的解决方案有以下几类:
日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。
主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。
网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。
(二)信息系统数据完整性审计
根据上述对数据完整性的定义,我们可以确定数据完整性审计应包括以下几个内容:1.应用控制审计。应用控制审计是直接针对业务系统根据用户反馈、用例测试结果、实际业务数据、代码分析结果发现系统风险及其对业务的直接影响。2.输入输出控制审计:输入控制审计要点:CONTROL TOTALS、多点录入、终端访问控制、Session窗口控制。输出控制审计要点:访问控制、缓冲区安全、派发路径安全。3.数据审计。通过直接获取数据库数据,对实体完整性、用户定义完整性、参照完整性、域完整性的验证,来确认信息应用系统设计和获取的完整性。
(三)信息系统合规性审计
合规性审查主要包含技术合规性。技术合规性是指被审计对象开发技术是否符合软件工程国家标准,包括基础标准(ISO 9000标准族)以及开发标准、文档标准、管理标准(GB标准族)。
系统合规性的主要审计内容就是进行代码审计辅以数据审计,简单的说就是审计代码规范性,代码安全性(例如,在对某商业银行进行审计过程中发现,由于代码员的经验问题,在撰写计算还款利息时的公式时发生错误,导致每笔还款利息多计算1分钱),关键处理流程正确性(此处旨在检查业务逻辑是否符合相关的法律法规以及规章制度),后门、调试与逻辑炸弹,以此来保证系统的正确性和合规性。
四、总结
本文通过对国内信息系统审计发展现状及相关理论政策研究,推理出审计机关信息系统审计的概念及目标,根据信息系统审计目标总结了在我国审计机关开展信息系统审计的主要内容,即信息系统资产安全性审计、数据完整性审计、合规性审计,并详细阐述了这三方面审计的具体内容。
参考文献:
[1]Ron Weber主编.Information Systems Control and Audit.2001
[2]王智玉.信息系统审计是做什么的.
2012年4月25日,任子行正式在深交所创业板挂牌上市,证券简称“任子行”,证券代码“300311”。通过十多年的技术和品牌积累,任子行已取得了国家级、省部级网络信息安全领域一百多项重要资质和两百多项重大荣誉,客户数量达到了7万多家,现已发展成为国家信息安全支撑性单位,并已被业界盛誉为“网络应用审计专家”。
自主创新 不断跨越
任子行从最早的保护青少年健康成长的信息技术服务提供商发展成为国家信息安全领域的支撑性单位,目前它拥有网络内容与行为审计、监管最全面的产品线,产品可以覆盖PC端、云端、数据中心端,为各类企事业单位提供全方位的网络审计和监管产品。
目前,任子行拥有六大业务线,包括公安、网络安全、广电、舆情、运营商以及信息安全工程等。其中囊括了NET110安全审计、互联网安全审计、无线网络审计、任天行网络安全管理系统(RT/RAG)、任子行下一代防火墙(NGSA)、任子行Web防护系统(WAF)、任子行运维安全审计系统(堡垒机SAS)、任子行数据库审计系统(DBA)、互联网视音频审计、互联网舆情监测系统、运营商信息安全管理系统、IP域名资源管理系统、IDC信息安全审计管理、ICP域名备案管理系统等诸多系列的全面产品线和解决方案。
任子行主要从事网络内容与行为审计和监管产品的研发、生产、销售,并提供安全集成和安全审计相关服务,它非常重视在研发和技术领域的投入。在各类业务线的产品和解决方案中,其中完全自主知识产权产品有30多项。在底层技术方面,任子行拥有40多项核心技术,包括智能爬虫技术、海量数据分析技术、精准协议分析技术和并行协议栈FPGA捕包技术。
自2001年起,任子行先后承担国家各类逾30个科研课题的研发,具有行业领先的前瞻性技术积累。在技术研发方面,任子行目前的技术和研发人员比例占60%以上。2012年,随着公司上市成功,围绕“网络内容与行为审计产品升级优化项目”、“网络信息安全监管平台建设项目”、“研发中心扩建项目”三个募投项目展开创新研发,并加大了研发投入,比上年同期增长25%。
同时,任子行通过引进软件能力成熟度模型认证,理顺了研发体系,完善了产品中心和技术中心的运转机制,研发活动与业务线联系更加紧密,以便为用户提供更高质量的产品和服务。
拼搏奋进 发展强大
任子行网络技术股份有限公司有两个全资子公司:任网游科技发展有限公司和任子行科技开发有限公司;一个控股子公司:深圳市博海通讯技术有限公司;一个参股子公司:北京中天信安科技有限责任公司。目前,公司在深圳南山、深圳龙岗、北京和武汉设有4个研发中心、7家分公司和20多个驻外机构,并在主要大中城市设置了营销网点和技术支持中心,形成了覆盖华中、华南、西南、西北、东北、华东和华北等区域的市场销售和服务体系。任子行团队中90%的员工拥有本科、硕士、博士以上学历,73%都在30岁以下, 形成了年轻化、知识化和创新化的人才梯队,为任子行产品的研发、生产、销售奠定了坚实的人才基础。
励精图治 铸就辉煌
凭借在网络信息安全领域的不懈创新和辛勤耕耘,现在任子行网络技术股份有限公司是“国家布局内重点软件企业”和“国家计算机重点实验室”,并先后被国家发改委认定为“国家高技术产业化示范工程单位”,被国家密码管理局认定为“商用密码产品生产定点单位”,被国家保密局认定具有“涉及国家秘密的计算机信息系统集成资质(软件开发)”,通过中国信息安全认证中心“信息安全应急服务资质认证(贰级)”,被工业和信息化部认定为具有“计算机信息系统集成资质(贰级)”;拥有“广东省计算机信息系统安全服务资质(壹级)”、“省级网络安全应急服务支撑单位”、首批“深圳市自主创新行业龙头企业”、深圳市首批“国家级高新技术企业”、“广东省著名商标”、“十网络安保红盾专项工作先进单位”等重要资质和重大荣誉,同时公司率先在行业内通过ISO9001:2008质量管理体系认证,并于2012年成功导入CMMI3。
在国家和行业重大科技攻坚项目方面,任子行承担了国家863计划、国家发改委信息安全专项、金盾工程、国家242等信息安全专项、国家创新基金项目等30余项课题的研发,并参与了公安部、工业和信息化部等5项国家、行业信息安全技术标准的制订。任子行研发项目多次被科技部列入国家级火炬计划和重点新产品计划,产品分别荣获教育部科技进步一等奖、北京市科学技术一等奖、广东省科学技术三等奖、深圳市科学技术进步一等奖、深圳市科技创新奖等重大奖项。
全力以赴 坚定不移
作为中国最早涉足网络信息安全领域的企业之一,任子行成立十余年来,秉承“诚信、敬业、协同、创新”的企业精神,以铸造最具竞争力的网络信息和行为管理产品民族品牌作为公司发展的原动力,致力于“绿色、高效和安全网络”技术和产品的研发。“诚信”即做人之道、立身之本,一个人、一个家庭、一个企业、一个国家都一样;“敬业”即敬业乐群、忠于职守,是基于对一件事情、一种职业的热爱而产生的一种全身心投入的精神,是社会对人们工作态度的一种道德要求;“创新”即革故鼎新、立于不败,特别是对于网络信息安全领域,威胁、需求、技术更新换代快,更需要创新;“协同”即和谐合作、志同道合,一个个体的能力和资源是有限的,围绕同一个目标协同合作,才能发挥1+1>2的效应。
工业控制领域网络危机四伏
2010年,伊朗核电站遭受“Stuxnet(震网)”蠕虫病毒攻击,打开了网络攻击瘫痪实体空间的大门,关键性基础设施的安全成为全世界关注的焦点。2015年,乌克兰电网系统遭“Black Energy(黑暗力量)”的攻击。业内人士指出,支撑能源、通信、电力、金融、交通等重要行业运行的关键信息基础设施成为网络战的首选目标。工厂使用的控制电脑的软件一般都是特别定制版,而且不与外部互联网联通。但在黑客面前,物理隔绝并非不可逾越的天堑,通过局域网和USB接口进行传播,定点干扰工业控制软件的病毒早已产生,甚至通过发热量、辐射、风扇噪声等入侵物理隔离网络的案例也已出现。工业控制领域网络安全成为焦点,各国均加大了在该领域的投资。
工业控制领域网络安全隐患尤为突出
我国信息网络关键基础设施网络安全防护能力薄弱。“震网”病毒事件后,据权威部门统计,我国工业系统100%使用西门子工业控制系统,这意味着我国的工业控制系统存在网络安全隐患。尤其是随着工业化与信息化进程的不断交叉融合,以及物联网的快速发展,越来越多的信息技术应用到工业领域。我国已经将数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于电力、工业、能源、交通、水利、市政等领域,甚至直接用于控制生产设备的运行。“中国制造2025”战略的提出,使得国内工业控制领域正在发生重大的变革。同时,由于我国大规模使用国外的网络信息关键产品,在短期内很难完全替代它们,工业控制领域网络安全成为事关国家安全、社会稳定、经济发展的大问题。
先进工控安全领域创业公司涌现,发展模式引人注目
近两年,一些有识之士充分认识到,工业控制领域网络安全的需求日益凸显,因此必须整合信息安全与自动化方面的人才,专注工控安全领域网络安全产品的研发。这类典型厂商包括北京网藤科技有限公司、北京威努特技术有限公司、北京匡恩网络科技有限公司等。这类公司的特点是100%的业务都是工控安全,全力投入到工控安全行业。
其中,网藤科技是工控安全领域的一匹黑马,成立于2016年3月,团队均来自工控安全领域顶尖的企业。公司的组织结构具有包容、开放、共享的特色,业务以工业控制网络安全为核心,深耕石化、电力、冶金、轨道交通、烟草、测评中心等国家重点行业,提供覆盖设备检测、安全服务、威胁管理、安全数据库、智能保护、检测审计的自主、可控、安全的生命全周期解决方案。公司旗下的主打产品工控安全防护系统为针对工业网络安全的入侵检测系统,通过公安部权威检测,达到NIPS国标一级;工控安全审计系统为针对工业网络安全的信息审计系统,通过公安部权威检测,达到网络通信安全审计行标增强级。
工控领域网络安全厂商任重道远
目前,工业控制信息安全建设还处于初级阶段,各个厂商的安全产品进入市场存在诸多现实困难,亟待国家政策支持。工业控制系统网络安全产品缺乏统一检测认证标准,亟待颁发自主可控的“准生证”。国家坚定“自主可控”导向,为国内网络安全厂商的发展带来重大机遇。但存在的现实问题是,国家权威测评认证机构普遍缺乏针对“自主可控”网络安全产品的测评认证标准。尤其在工业控制领域,由于涉及范围广,跨越领域多,实际操作起来难度更大。因此,在加紧推动网络安全产品自主研发的同时,亟待国家层面的统筹,加速推动自主可控网络安全产品的落地生根。
[关键词]数据库;安全技术;问题探讨
在数据库系统中,数据库系统应用安全十分重要,由于其数据大量集中存放,一旦出现操作失误、病毒感染、黑客攻击以及软件故障等现象都会影响计算机数据库的正常运行。由此可见,数据库安全防范技术的应用具有极其重要的作用。为了更好地分析和研究数据库安全技术,本文将从数据库及其安全出发,对计算机数据库安全技术以及加强数据库安全防范的应对策略进行简单分析。
1数据库及其安全性
数据库是计算机存储和使用的最基本方式,所有的计算机语言表达和应用都是在数据库的基础上运行的。随着数据库技术的应用和发展,也提高了计算机技术水平,而计算机技术的创新发展也必将给数据库安全带来更高的要求。数据库是一个大概念、大系统,也是计算机网络运行的重要基础。数据库系统中一般存储的是保障计算机运行的重要信息以及用户的基本资料等,因此如果数据库的安全不能得到保障,那么就会给计算机安全带来风险。所谓数据库安全主要包含数据访问和数据恢复两个方面的内容,保证数据访问的安全性可以使用户直接获取自己权限范围内可以访问到的数据。数据恢复的安全性是指在系统发生错误或者崩溃的情况下,仍可以准确、安全地恢复受损数据。
2计算机数据库安全技术
从数据库产生的过程看,数据库的安全问题是一直存在的,而且在计算机技术不断发展的过程中,数据库安全问题的危害性也在增强,基于数据库安全问题的增多也使得数据库安全防范的形势更加严峻。当前的数据库安全防范主要通过相关技术对一系列的访问进行限制、控制、审计,再加上运用一定的计算机加密技术保障信息安全,这些也是目前计算机数据库安全技术的重要方面。
2.1访问控制和存取管理技术
计算机技术实现了主体和用户之间的联系,并在相互联系的过程中实现了信息数据的互动和传递,在这个过程中就会涉及数据库安全问题,因此计算机数据库安全问题可以理解为用户和主体之间的问题。在用户向主体申请信息访问的时候,只有通过主体的验证和授权,才可以访问基本的数据和程序。因此,数据库需要加强用户访问控制,管理和控制一切的违法行为,制定特定的审核程序,进而保证数据库的安全性和使用性。数据库安全的重要方面就是在于信息存储和访问,很多安全问题都是从恶意访问和入侵开始的,网络工程师要能够在访问控制以及存取管理方面进行完善并制定有效的防范措施,才能够有效保障系统的安全性。
2.2安全审计
安全审计是数据库安全防范的重要环节之一,正常情况下只有方案通过了系统评估才会对数据库进行安全应用,而由于安全审计自身的特点也决定了安全审计工作的连续性。审计追踪是安全审计的重要方法之一,由于通过人工审计追踪具有一定的复杂性,因此通常都是采用系统进行评估和审计,通过在数据库安全防范系统内增加数据库审计功能模块,收集、整理和归纳各类行为信息,进而为最终的审计决策提供支持。安全审计人员也正是根据各类数据分析结果完成对数据库系统的安全检测,进而及时发现系统是否存在受攻击行为或者漏洞。同时数据库系统也可以通过系统自检,然后对攻击行为和漏洞进行控制分析。
2.3数据库加密
数据库加密技术是目前计算机安全防护的重要技术之一,用户通过数据库加密以及系统文件加密保证用户信息安全是目前安全管理的重要措施。用户通过安全加密可以更好地保证信息安全,减少信息泄露的风险以及可能性,进而减少各类损失。在数据库进行加密处理之后,只有用户才可以通过计算机系统的验证并实现数据的应用,而不能通过验证或者不是指定的用户则会被数据库自动拒绝使用。正常情况下,用户只要完成解码就可以获取数据库,这种数据库安全技术在实践中也收到了良好的效果,并被很多用户接受。这对于用户的要求也是很低的,用户只需要借助一定的工具或者软件就可以对数据库进行加密处理,不仅高效、便捷,而且安全系数也较高。
2.4数据安全传输常用协议
2.4.1SSL协议此类协议一般应用于确定用户身份方面,并且能够根据用户信息建立相应的加密标准,目前,SSL协议多应用于浏览器以及服务器等方面,但在应用过程中需要安装相应的数字证书才可以实现自身的功能。从SSL协议的功能来看,一方面可以提供一种数据传输方式,另一方面还可以对于数据以及服务器进行必要的验证,保证安全性。首先,SSL协议可以核实发送者的身份,防止其他冒名用户进行数据传输;其次,SSL协议可以验证信息接收者的信息和身份,保证能够准确、安全地将信息传递给真正的接收者;最后,SSL协议可以保证数据在传输过程中不被侵害或者篡改,保证数据传输的顺利进行。2.4.2IPSee协议此类协议是基于IETF定义的安全标准框架,能加密和验证网络端。IPSec协议能定义可选网络安全服务,其他功能必须根据自身安全策略与此类服务进行匹配,在安全标准框架中建立详细的安全解决策略,从本质上增加数据传输的保密性和可靠性。
3数据库系统安全防范策略
3.1物理安全防护策略
物理防护策略是一种通过物理设备或者装备实现数据库安全防范的策略,是应对一系列外部环境影响的安全防范,如自然灾害、电磁辐射等。这些方面都会给数据传输和设备安全带来危害和风险,在这种环境下人们必须加强资源保护,并能在第一时间内恢复受损资源。物理安全防护会根据不同的外部环境进行不断变化,但目前最常见的物理安全防护手段有抗干扰系统、防火防电保护、数据备份等。
3.2网络安全防护策略
数据库是随着计算机技术的不断发展而发展起来的,数据库种类也代表了信息网络资源的丰富内容。用户可以通过网络上传信息资源,以实现资源共享,而用户要浏览这些共享资源也必须借助网络这个媒介,在这个过程中就涉及一系列的安全问题。本文将从两个方面分析网络安全防护。3.2.1防火墙技术网络安全维护的方法有很多,其中应用最广泛的就是防火墙技术,这项技术主要是由软硬件组成的,主要是在内网和外网之间运行,能够做好网络监控工作,而且能够拦截大部分的非法入侵,提高数据库安全。防火墙技术具有操作简单、高透明度的优点,且不需要修改网络的应用程序就可以达到满足数据库安全的要求。不过防火墙技术也有局限性,一些网络入侵者采取一些非法技术就可以破解。3.2.2网络防病毒技术所谓病毒就是在网络运行系统中出现的漏洞或者是错误,不法分子会通过一些技术手段利用这些漏洞或错误来窃取信息。漏洞或者错误在网络程序运行当中是不可避免的,病毒对数据库安全具有很大影响,所以应该做好防范工作。用户应该加强对服务器操作管理,并在计算机中安装杀毒软件、设置防火墙。对病毒来说,重在预防,网络工程师对发现的病毒进行分析,并研究出相应的杀毒软件,避免病毒对数据库造成威胁。
4结语
数据库安全是网络安全应用的重要基础和重要保障,网络安全问题一直都是人们关注的焦点,通过安全防范可以为人们应用计算机创造一个良好的环境。目前,随着计算机技术的发展,网络安全影响因素和问题也在不断变化,这也给安全防护带来了更大的挑战,为了减少这些方面的威胁,网络工程师必须创新和发展数据库安全技术,在原有的数据库安全防护技术的基础上创新新技术,逐步提高计算机自身的安全管理能力,在新安全理念的指导下提高各种系统和软件的安全性,从多方面共同保证数据库的安全性。
主要参考文献
[1]霍峥,孟小峰,徐建良.云计算中面向隐私保护的查询处理技术研究[J].计算机科学与探索,2012(5).
[2]斯特凡诺,加略兹,张进京.全息网格云存储——下一代的天文学存储技术[J].中国信息界,2012(9).
[3]杨立国,吴蕾,陆敏峰,等.仪器设备网络信息系统开发中的若干技术问题[J].实验室研究与探索,2000(1).
[4]喻浩,潘薇.世界农业信息与技术发展及其对策——参加世界农业信息与技术大会的若干思考[J].农业网络信息,2008(12).
关键词:网络安全;网络隔离;访问控制;网络管理;安全审计
中图分类号:TP393.098 文献标识码:A文章编号:1007-9599(2012)01-0000-02
The Security Design of Computer Network for Enterprise
Yang Yan
(China Railway No.5 Engineering Group Co.,Ltd,Mechanization Engineering Co., Ltd.,Hengyang421002,China)
Abstract:Network security ensure the normal operation of the enterprise network premise,enterprise network security is receiving more and more attention.This paper,from the network security separate, network security access and access control,host and system platform security, network security monitoring and audit,enterprise network security management system protection aspects,and puts forward how to make full use of the limited funds,mature technology,weigh the safety and efficiency,network all directions and meticulous planning design,make enterprise network safety effectively strengthen and improve.
Keywords:Network security;Isolation;Access control;Network management;
Security audit
21世纪以来,随着计算机网络技术的飞速发展,我们迈入了以网络为核心的信息时代。许多企业都构建了企业网络运营平台,企业经营、生产与管理对计算机网络的依赖性日益增强。网络规模的不断增大,网络结构的日益复杂都对网络安全提出了更高的要求。网络安全应从整体上考虑,全面覆盖网络系统的各个方面,针对网络、系统、应用、数据做全面的防范。
目前,大多数企业都建设了以办公系统(OA)为中心,集成公文流转、即时消息、门户网站、业务应用的办公系统,这些系统均以网络平台为支撑,采用B/S模式运行,并且各系统对于安全性要求不同。安全可靠性不同的多种应用,运行在同一个网络中,给黑客、病毒攻击提供了方便之门,给企业的网络安全造成了极大的威胁。
在一定的资金支持下,网络管理都要在网络安全程度和建设成本之间作出取舍,充分使用现有的成熟技术,并且尽可能地发挥管理的功效,提高企业网络安全,为业务系统的安全、稳定运行保驾护航。我们可以采用了以下技术和策略提高网络的安全性。
一、网络安全隔离
网络隔离有两种方式:物理隔离和逻辑隔离。将网络进行隔离后,为了能够满足网络内授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间应采取不同的访问策略。
物理隔离是最安全的网络隔离方式,但是它的建设成本非常大,要求在网络设备、计算机终端、网络线路上都进行重复性投资,花费很大,除的计算机信息系统必须实行物理隔离外,其它系统以逻辑隔离方式为主。
考虑企业的应用情况,针对不同业务的不同需求,划分不同的虚拟子网(VLAN)进行逻辑隔离。例如:为财务、人力、工程各部门的客户端划分单独的VLAN,通过将不同用户或资源划分到不同的VLAN中,利用路由器或者防火墙对VLAN间的访问进行控制。
二、网络安全准入与访问控制
企业在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问,访问控制的目的是为了保护企业在信息系统中存储和处理信息的安全,它是计算机网络信息安全最重要的核心策略之一,是通过准入策略准许或限制用户、组、角色对信息资源的访问能力和范围的一种方法。
(一)网络边界安全设计。企业一般有大量业务数据流运行于Internet网络,在企业内外网络的边界处,部署网络防火墙,实现私有地址和公有地址的相互映射和转换,屏蔽内部网络结构,并按照最小需求原则配置访问策略,以防范来自外部的威胁与攻击。
(二)内部网络用户准入。采用DHCP服务器做地址绑定,用户IP地址与MAC地址做一对一保留,防止网络接入的随意性,并在交换机设置DHCP Snooping、动态ARP检测防止用户任意修改IP,保证地址获取的合法性。对于重要的业务系统服务器,还可以在交换机上采取MAC地址+IP地址+交换机端口进行绑定,可以有效的阻止ARP等病毒的攻击。
(三)分支机构及移动办公用户的准入。外部用户访问企业内网,应在基于VPN的拨号接入之上,建立AAA认证服务器,一方面方便用户经常更换口令,另一方面可以实施更加严格的安全策略,并且对这些策略的实施予以监视。
为了方便用户对资源的访问和管理网络,有必要建立一个统一的安全认证及授权系统,统一的帐号管理有助于确保安全策略的实施及管理。
三、主机与系统平台安全
网络是病毒传播最好最快的途径之一。在网络环境下,计算机病毒有不可估量的威胁性和破坏力,它使得网络瘫痪、机密信息泄漏、重要业务系统不能提供正常服务,严重影响网络安全,造成不良的社会影响。计算机病毒的防范是网络安全性建设中重要的一环,在企业网中应建立一套网络版的防病毒系统,它能构造全网统一的防病毒体系,支持对网络、服务器、工作站的实时病毒监控;能够在中心控制台向多个目标分及安装新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,支持广泛的病毒处理选项;支持病毒主机隔离;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。
其次,为了弥补防病毒软件被动防范的不足,可采用两种策略提高网络主动防范的能力。
(一)在网络边界防火墙上配置严格的安全策略,强制关闭常见病毒攻击的服务端口,防止病毒入侵。在核心层和汇聚层交换机上,依据业务数据流流向建立一系列的访问控制列表,服务器只向必须访问它的客户端开放,其它客户端一概被策略拒绝访问。
(二)由于企业中大多数计算机安装Windows系列的操作系统,所以在网络中建设一套Windows补丁分发系统,利用微软的WSUS服务器进行强联动,辅以行之有效的用户端保护措施,帮助客户机高效、安全的完成Windows补丁更新,解决为Windows系统自动安装系统补丁程序的问题,进一步提高了计算机安全性,当然也提高了网络的安全性。
四、网络安全监测与审计
(一)网络管理系统。利用网络管理系统软件,实现对网络管理信息的收集、整理、预警,以视图方式实时监控各种网络设备运行状态。网络管理一般包括网络性能管理,配置管理,安全管理,计费管理和故障管理等五大管理功能。建立针对全网络的管理平台,对网络、计算机系统、数据库、应用程序等进行统一监管理,把网络系统平台由原先的被动管理转向主动监控,被动处理故障变为主动故障预警。
(二)网络入侵检测。作为防火墙功能的有效补充,入侵检测/防御系统(IDS/IPS)可实时监控网络传输,主动检测可疑行为,分析网络外部入侵信号和内部非法活动,在系统遭受危害前发出报警,对攻击作出及时的响应,并提供相应的补救措施,最大限度地保障网络安全。
(三)网络安全审计。将网络安全审计系统布署在企业网络中,能够监控、审查、追溯内部人员操作行为,防止企业机密资料泄露,统计网络系统的实际使用状况,帮助管理者及时发现潜在的漏洞和威胁,为企业的网络提供保障,使企业的网络资源发挥应有的经济效益。
五、企业网络安全管理制度保障
管理是企业网络安全的核心,技术是企业安全管理的保证。网络安全系统必须包括技术和管理两方面。只有完整的规章制度、行为准则并和安全技术手段结合,网络系统的安全才会得到最大限度的保障。只有制定合理有效的网络管理制度来约束员工,这样才能最大限度的保证企业网络平稳正常的运转,例如禁止员工滥用计算机,禁止利用工作时间随意下载软件,随意执行安装操作,禁止使用IM工具聊天等。最终制度通过网络管理平台得以具体体现,管理平台使得制度被严格的执行起来。
六、结束语
本文从分析企业网络安全形势入手,指出当前网络安全存在的问题,然后提出了一套较详细的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全审计。本文从技术手段上、可操作性上都易于实现、易于部署,为企业提供了实用的网络安全性设计。
参考文献:
关键词:医院信息系统;HIS安全体系;内网
引论
医院信息系统(HospitaI Information Svstem,HIS)是利用计算机网络和通信设备,为医院各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和交换能力,并满足授权用户功能需求的管理信息系统。医院是信息流高度密集的单位;医院的组织管理结构非常严谨。对其中任何一部分业务流程的改变,都可能引起连锁反应,牵一发而动全身;不同体制的医院的管理模式也有很大不同。因此,HIS是当今世界企业级信息系统中处理逻辑最为复杂的一类。
广义的HIS的网络拓扑一般分为内网(医保系统)、专网(行政系统)和外网(医院网站)三个部分,形成了内网核心数据层、内网办公业务层、外网公众服务层和网间信息交换层四个相对独立的网络安全管理域,信息安全与管理的技术手段相当复杂。
以作者所在单位上海市普陀区中心医院为例,HIS、RIS、PACS等系统投入运营多年,每天成百上千台计算机同时运行,成为医院提供医疗服务的业务平台。随着医院HIS应用的不断深入,网络安全形势日益严峻。现有的安全技术手段逐渐暴露出局限性,需要从规章制度、技术和管理等层面加强HIS的信息安全保障。
我院信息系统和网络的维护由医院信息科实施。信息科是医院的行政职能科室,下设病案室、计算中心、图书馆三个部门。计算中心现有技术人员10人,拥有软件自主研发能力,学术氛围浓厚。根据医院授权已制订《普陀区中心医院HIS系统管理安全操作规范》、《普陀区中心医院医保前置机管理规范》、《普陀区中心医院应急预案制度》、《中心机房管理制度》等规章制度,建立了定期安全检测、口令管理、人员培训与管理、策略管理、备份管理、日志管理等一系列管理方法和长效机制。
1 HIS安全威胁
HIS面临的安全攻击指危及医院信息安全的任何行为。HIS安全机制指设计用于检测、防止或从安全攻击中恢复的一种机制。Hls安全服务指加强医院各部门数据处理和信息传送安全性的一种服务,目标是对抗安全攻击。它们利用一种或多种安全机制来提供该服务。本文的工作在于提出HIS安全体系结构和部署策略,并在网络层面上介绍了HIS安全体系的技术实现。
就安全攻击方法而言,根据信息安全层次分析HIS的安全威胁。可以从机房环境和物理层、网络层、操作系统和数据库层、应用层及管理层五个层面着手。
(1)机房环境和物理层
我院机房分布在住院部、住院二部、门诊楼、急诊楼四处。机房网络设备、硬件设施可能遭受地震、水灾、火灾等自然灾害以及人为操作失误和各种针对计算机的破坏行为。
(2)网络层
作为事实标准的TCP/IP协议并非专为安全通信设计,这一先天不足致使网络通信存在大量安全隐患。协议漏洞造成预攻击探测、窃听、篡改、IP欺骗、重放、拒绝服务攻击(包括同步潮水攻击SYN FLOOD和PING FLOOD)、分布式拒绝服务攻击(DOS)和堆栈溢出等。
网络环境下病毒、蠕虫、木马和流氓软件的传播快速、隐蔽,严重威胁系统安全。病毒的传播破坏文件和系统可用性;木马潜伏在系统内并截获用户输入的密码、键盘动作等重要信息,并将这些信息发送出去。2008年末ARP木马爆发曾导致我院局域网性能显著下降。
(3)操作系统和数据库层
操作系统设计时疏漏或预留的安全漏洞、用户配置不当、多余的系统服务、脆弱的基于口令的身份鉴别机制,都使恶意用户的攻击变得轻而易举。医院医保前置机和数据库服务器采用Windows2000/XP/2003操作系统,健壮性、安全性较差。医院使用的Or-acle数据库系统可以从端口寻址。院内联网的计算机,任何人只要有合适的SQL查询工具,就能和数据库系统直接连接,并能绕开操作系统的安全机制,如果误用就会严重危及数据安全。
(4)应用层
应用层的安全风险有:来自内部和外界对业务系统的非授权访问、由于用户名和口令等身份标志泄漏造成的系统管理权限丧失、用户提交的业务信息被监听或修改、用户对成功提交的事务进行事后抵赖、伪装成系统服务以骗取用户口令、操作不当或外界攻击引起的系统崩溃、网络病毒的传播或其他软硬件原因造成的系统损坏、HIS程序开发遗留的安全漏洞等。
(5)管理层
责权不明、管理混乱、人员管理和安全管理制度不健全及缺乏可操作性都可能引起管理层安全风险。
2 HIS安全体系结构
网络安全遵循“木桶原理”,系统的安全强度等于它最薄弱环节的安全强度。据统计,在所有的HIS信息安全事件中。超过70%发生在内网。因此,HIS系统必须建立在一个完备的多层次的网络安全体系之上,消除瓶颈。
完整的HIS安全体系由五部分构成:可信的基础安全设施、安全技术支撑平台、容错与恢复系统、安全管理保障体系和信息安全系统。如图1所示。
3 HIS安全体系的部署和安全审计
根据HIS网络安全要求设计的HIS安全模型如图2:
HIS网络安全模型给出了HIS安全体系部署的逻辑框架,部署的过程是一个复杂的系统工程。是整个HIS应用得以实现的前提保证。
HIS安全审计是在医院网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵和破坏,而运用各种技术手段实时监控网络环境中每一个组成部分的系统状态、收集安全事件,以便集中报警、分析、处理。安全审计方案主要有:
(1)日志审计。通过SNMP、SYSLOG、OPSEC或其他日志接口从路由器、交换机、服务器、医保前置机应用系统和网络安全设备中收集日志,进行统一管理、分析和报警;
(2)主机审计。在服务器、医保前置机安装“威盾”客户端,审计安全漏洞、合法或非法操作,监控联网行为;
(3)网络审计。通过旁路和串接的方式捕获网络数据包,进行协议分析和还原。网络审计包括了网络漏洞扫描产品、防火墙和IDS/IPS安全审计、互联网行为监控等类型的产品。
4 HIS安全体系的技术实现
(1)内网与外网的物理隔离
内网涉及医保、财务和电子病历信息。必须与外网实现完全的网络隔离和设备隔离。内网与外网的隔离采用物理隔离网闸。物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。这两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在基于协议的 数据包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令,因而从物理上隔离、阻断了具有潜在攻击可能的一切连接。
(2)内网中划分VLAN
虚拟局域网(VLAN)是一种采用交换机将局域网内的主机逻辑地而不是物理地划分为一个个网段。从而实现虚拟工作组的技术。在一个交换网络中,VLAN提供了网段和部门科室的弹性组合机制。医院可根据不同的业务性质将各部门划分成不同的VLAN。
(3)网络边界安装防火墙
防火墙是一类防范措施的总称。它使内网与Internet之间或者内网与其他外部网络之间互相隔离、限制网络互访来保护内部网络。由于防火墙划定了网络边界和服务,因此更适合于相对独立的网络。任何关键性的服务器,都建议放在防火墙之后。
(4)专网用户采用VPN技术访问内网
虚拟专网技术(VPN)目前主要采用IPSec协议,有比较成熟的产品。例如与路由器或防火墙集成的硬件VPN模块,组建方便快捷。内网与卫生局、医保局的信息往来。彼此间应该采用VPN技术相连,以保证通信安全。
(5)入侵监测
防火墙虽然能抵御网络外部安全威胁,但对从网络内部发起的攻击无能为力。实时入侵监测技术动态地监测网络内部活动并做出及时响应:能监控网络的数据流,从中检测出攻击行为并给予相应处理;还能检测到绕过防火墙的攻击。
(6)漏洞扫描
解决网络层安全问题,首先要弄清网络中存在哪些安全隐患和薄弱环节。面对医院大型网络的复杂性,仅仅依靠技术人员的经验是不现实的。解决方案是获取一种能自动探测网络安全漏洞、并提出评估和建议的网络安全扫描工具。
(7)数据库服务器和医保前置机的安全设置
现有的网络设备以及操作系统、数据库系统都有一套自身的安全机制。路由器、交换机应配置好协议和访问控制列表:数据库服务器应关闭无关的系统服务和端口,并采用服务器分片备份网络数据。如门诊部用一台服务器、住院部用一台服务器、影像系统用一台服务器,按时定期做好数据备份。发生系统故障,能尽快回滚事务、恢复系统。
每台医保前置机都安装了“威盾”远程控制软件客户端。USB端口和光驱被自动禁用。通过设定对应账户权限(管理员账户和来宾账户),控制用户访问特定数据。每个用户(医生、护士、管理人员等)在整个系统中具有唯一的账号。禁止用户对无关文件进行读写,以防非法用户侵入网络。
关键词: 计算机 网络技术 安全策略 防范技术
计算机技术和网络技术的高速发展,对整个社会的科学技术、经济与文化带来巨大的推动和冲击,尤其近十几年来,计算机网络在社会生活各方面应用广泛,已经成为人们生活中不可或缺的部分,但同时也给我们带来许多挑战。随着我们对网络信息资源的开放与共享的需求日益增强,随之而来的信息安全问题也越来越突出,并且随着网络规模的不断扩大,网络安全事故的数量,以及其造成的损失也在成倍地增长,病毒、黑客、网络犯罪等给我们的信息安全带来很大威胁。因此计算机网络安全是一个综合的系统工程,需要我们做长期的探索和规划。
一、计算机网络安全的概念与现状
1.计算机网络安全的基本概念。
计算机网络安全是指“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
2.计算机网络安全的基本组成。
(1)网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等;(2)软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全:如保护网络信息的数据安全,不被非法存取,保护其完整、一致等;(4)网络安全管理:如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析等内容。
3.计算机网络安全现状。
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界。这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DoS(Denial of Services)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次,从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
二、当前可提高计算机网络安全的技术
1.网络安全的审计和跟踪技术。
审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有:入侵检测系统(IDS)、漏洞扫描系统、安全审计系统,等等。我们以IDS为例,IDS是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。
2.运用防火墙技术。
防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。不仅如此,防火墙作为网络安全的监视点,它还可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。防火墙的体系结构有三种:(1)双重宿主主机体系结构。它是围绕具有双重宿主功能的主机而构筑的,是最基本的防火墙结构。主机充当路由器,是内外网络的接口,能够从一个网络向另一个网络发送IP数据包。这种类型的防火墙完全依赖于主机,因此该主机的负载一般较大,容易成为网络瓶颈。对于只进行IP层过滤的安全要求来说,只需在两块网卡之间转发的模块上插入对IP包的ACL控制即可。但是如果要对应用层进行控制,其就要设置到这台双宿主主机上,所有的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号,增加了联网的复杂性。(2)屏蔽主机体系结构,又称主机过滤结构,它使用一个单独的路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构,这种结构允许数据包从Internet上进入内部网络,因此对路由器的配置要求较高。(3)屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全层,并通过添加周边网络更进一步把内部网络和Internet隔离开。为此这种结构需要两个路由器,一个位于周边网络和内部网络之间,另一个在周边网络和外部网络之间,这样黑客即使攻破了堡垒主机,也不能直接入侵内部网络,因为他还需要攻破另外一个路由器。
3.数据加密技术。
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
4.网络病毒的防范。
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。
5.提高网络工作人员的素质,强化网络安全责任。
为了强化网络安全的责任,还有一项重要任务――提高网络工作人员的管理素质。要结合数据、软件、硬件等网络系统各方面对工作人员进行安全教育,提高责任心,并通过相关业务技术培训,提高工作人员的操作技能,网络系统的安全管理要加以重视,避免人为事故的发生。由于网络研究在我国起步较晚,因此网络安全技术还有待提高和发展。此外,为了保障网络能够安全运行,我们还应该制定完善的管理措施,建立严格的管理制度,完善法规、法律,提高人们对网络安全的认识,加大对计算机犯罪的法律制裁。
随着计算机网络技术的迅速发展和进步,信息和计算机网络系统已经成为社会发展的重要保证。由于计算机网络系统应用范围的不断扩大,人们对网络系统依赖的程度增大,对网络系统的破坏造成的损失和混乱就会比以往任何时候都大。这使我们对计算机网络系统信息的安全保护提出了更高的要求,也使得计算机网络系统信息安全学科的地位显得更加重要。现在,计算机网络系统的安全已经成为关系到国家安全和、社会的稳定、民族文化的继承和发扬的重要问题。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全防范,对于保障网络的安全性将变得十分重要。
参考文献:
[1]严有日.论计算机网络安全问题及防范措施.赤峰学院学报(自然科学版),2010.3.
[2]王华.浅谈计算机网络安全技术应用.科技经济市场,2010.9.
