时间:2023-06-01 09:49:43
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全防护方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词]移动网络;网络安全;防护技术
引言
根据工信部提供的数据,截至2018年3月,我国移动互联网用户总数高达13.2亿,同比增加16.1%,移动网络用户数量的持续增加,不仅催生了新的经济业态,便捷了用户生活,也诱发了信息数据丢失、泄露等安全问题。为保持移动网络的安全性与稳定性,研究团队与技术人员需要从安全防护技术的角度出发,厘清设计需求,强化技术创新,逐步构建起完备的移动网络安全防护技术体系。
1移动通信网络安全防护技术概述
探讨移动通信网络安全防护技术构成与类型,有助于技术人员形成正确的观念认知,掌握移动通信网络安全防护的特点,梳理后续安全防护技术的设计需求,为安全防护技术的科学应用提供方向性引导。随着移动网络技术的日益成熟,移动通信网络安全防护技术逐步完善,可以充分满足不同场景下的网络安全防护基本要求。具体来看,现阶段移动网络安全机制较为健全、完善,形成了网络接入安全、网络域安全、用户域安全、应用安全等几个层级[1],实现了移动网络的传输层、服务层以及应用层的有效联动,强化了对移动网络入网用户的身份识别能力,以更好地提升移动通信网络的安全防护能力,相关技术构成如图1所示。网络接入安全保护技术的作用,使得用户可以通过身份识别等方式,快速接入到移动网络之中,从而规避无线链路攻击风险,保证网络运行的安全性,降低网络安全风险。通过构建网络安全域安全技术模块,对移动网络中的数据交互路径采取加密保护等相关举措,可以降低数据丢失或者泄露的风险。与其他网络不同,移动网络用户相对而言较为固定,用户群体较为明显,这种特性使得在移动通信网络安全防护应用过程中,可以通过签约用户识别模块,形成移动实体/通用签约用户识别模块(UniversalSubscriberIdentityModule,USIM)安全环境,实现移动网络安全防护的灵活化、有效化,依托移动网络安全防护技术,使得电信运营商的服务质量显著提升,更好地满足不同场景下、不同用户群体的移动网络使用需求[2]。随着5G网络的日益成熟,移动网络安全防护技术也需要做出相应的转变,通过形成移动通信网络安全平台,实现硬件系统与软件系统的联动,构建起平台式、生态化的移动通信网络安全防护机制,最大限度地保证用户信息的安全性与有效性。
2移动通信网络安全防护技术设计需求
移动通信网络安全防护技术涉及的技术类型较为多元,为有效整合安全防护技术资源,技术人员应当明确安全防护技术需求,在技术需求导向下,提升移动通信网络安全防护技术应用的有效性。
2.1移动通信网络面临的主要威胁
移动通信网络在使用过程中,受到病毒、木马、垃圾邮件等因素的威胁日益严重,用户个人信息数据丢失案例逐年上升,网络安全形势日益严峻。出现这种情况的主要原因在于,移动通信网络经过多年发展,其形成以网络应用服务为核心,以移动终端为平台的应用场景[3]。这种技术特性,使得越来越多的用户愿意通过移动通信网络进行数据的访问。数据访问的完成,固然提升了用户的使用体验,但是移动通信网络在通过空中接口传输数据的过程中,出现数据截流或者丢失的概率也相对较大。移动通信网络具有较强的开放性,用户可以根据自身的需要,进行网络资源的获取与访问,这种开放性,无形之中增加了安全事件的发生概率。这些移动通信网络安全威胁要素的存在,势必要求技术人员快速做出思路的转变,通过技术创新与优化,持续增强技术的安全性。
2.2移动通信网络安全防护技术设计基本要求
2.2.1基于体系安全的移动通信网络安全防护为改善移动通信网络安全防护能力,有效应对各类外部风险,避免数据窃取或者泄漏等情况的发生。在移动通信网络安全防护工中,需要以平台为基础,丰富安全防护的路径与场景,基于这种技术思路,我国相关安全技术团队提出了平台化的解决方案。将移动通信网络终端作为主要平台,对终端实体设备与网络之间的初始认证路径、认证频次等做出适当的调整,形成安全信息的交互,这种平台式的移动通信网络安全防护技术,不仅可以提升实际的防护能力,还在很大程度上降低了移动通信安全防护技术的应用成本,避免了额外费用的产生,稳步提升了移动通信网络安全防护的实用性与可行性[4]。
2.2.2基于终端安全的移动通信网络安全防护终端是移动通信网络数据存储、交互、使用的重要媒介,基于这种认知,技术人员需要将终端作为安全防护的重要领域,通过技术的创新,打造完备的终端安全防护机制体系。例如,目前较为成熟的第三代移动通信网络的认证与密钥协商协议(AuthenticationandKeyAgreement,AKA),其根据终端特性,设置了可信计算安全结构,这种安全结构以可信移动平台、公钥基础设施作为框架,将用户终端中嵌入敏感服务,形成鲁棒性终端安全平台,从实践效果来看,这种安全认证技术方案,不仅可以识别各类终端攻击行为,消除各类安全风险,其技术原理相对简单,实现难度较小,在实践环节,表现出明显的实践优势。
3移动网络安全防护技术体系的构建
移动通信网络安全防护技术的应用,要求技术人员从实际出发,在做好防护技术设计需求分析的基础上,依托现有的技术手段,建立起完备的移动通信网络安全防护技术应用体系,实现安全防护体系的健全与完善。
3.1应用可信服务安全防护技术方案
基于移动通信网络安全防护技术设计要求,技术人员应当将平台作为基础,形成以移动可信计算模块为核心的安全防护技术体系。从实际情况来看,移动可信计算模块具有较强的独立性,可以为用户提供可靠的信息安全通道,对于移动通信网络终端安装的各类操作软件进行合法性检测,对于没有获得授权的软件,禁止安装与运行。这种技术处理方案实用性较强,具备较高的使用价值。
3.2应用安全服务器防护技术方案
为降低移动通信网络安全防护技术的应用难度,技术人员将安全服务器纳入防护技术方案中,通过安全服务器,移动通信网络可以在较短的时间内完成移动端软件完整性评估与合法性查询,通过这种辅助功能,移动通信网络使用的各类硬件、软件保持在安全运行状态,实现对各类安全事件的评估与应对,以保证安全防护成效。在安全服务器防护技术设置上,技术人员需要针对性地做好查询功能的设置工作,为移动终端提供软件合法性查询服务。这种技术机制使得安全服务器可以对移动终端安装或者运行软件进行系统化查询。例如,根据需要,对安装或者运行软件的合法性进行审查。审查过程中,终端通过本地的MTM进行查询,如没有获得查询结果,则发出查询申请,安全服务器在接受申请后,进行系列安全查询,并将查询结果及时反馈给终端。在安全服务器使用过程中,还需要做好升级工作。例如,加强与软件提供商的技术沟通,通过技术沟通,做好软件安全性、合法性信息的生成,实现软件的备案。还要持续提升运营网络的接入网服务器交互功能,逐步强化移动终端完整性的整体性接入能力,保证移动终端的安全性与整体性。
3.3应用大数据下安全防护技术方案
大数据背景下,移动通信安全防护技术的应用,要求技术人员从安全监测、安全响应、系统恢复等层面出发,形成完备的安全防护机制。在安全监测模块设计环节,技术人员通过入侵监测技术、网络深度过滤技术、网络抓包技术得以对移动通信网络漏洞开展评估与分析,并根据评估结果,进行网络安全补丁的下载,从而避免病毒等非法入侵行为的发生[5]。相应安全技术研发过程中,依托杀毒软件、防火墙等现有的网络安全防护技术方案,确保移动通信网络在遭受攻击后,可以快速响应,实现对网络病毒的查杀,确保信息数据的安全性。要做好网络终端数据的备份,定期进行移动通信网络数据的备份,一旦出现信息泄露或者网络遭受攻击的情况,让技术人员可以通过备份技术,快速完成数据的恢复,将信息泄露的损失降到最低。
【关键词】计算机网络安全;防护策略;维护思路;安全管理工作
在信息时代及计算机技术广泛应用的当下,很多企业都注重信息化建设,石油企业同样如此。石油企业信息化建设经过多年发展取得了显著成绩,但是网络安全问题一种困扰着企业,特别是目前网络攻击手段日渐多样化,隐蔽性很高,成为影响企业网络安全运行的关键因素。为此,石油企业应根据自身业务经营与发展需要加强计算机网络安全管理,针对当前网络安全管理中的问题制定可行的维护方案,采取针对性的措施,为企业计算机网络安全运行提供基本保障。
一、石油企业计算机网络安全管理中的不足
随着计算机技术及互联网的普遍应用,网络安全已经得到改进,但是在多种因素共同影响下,石油企业计算机网络安全管理依然出现问题,主要为网络安全管理力度不足,具体体现在结构本身、系统设备及信息上。石油企业的业务范围较广,内网系统结构越来越复杂,造成系统本身存在一些漏洞。如果这些漏洞不能及时补丁,很容易成为网络攻击的主要对象,造成木马、病毒等恶意插件在内网中传播,降低石油企业计算机网络安全性能。此外,石油企业对计算机网络安全管理缺乏足够重视,没有制定完善的信息安全管理制度,岗位分工不明确等,使网路安全管理不够制度化、规范化。而且,石油企业办公环境相对恶劣一些,在温度、湿度等条件不适宜情况下工作很容易降低系统设备的性能,造成设备损坏、系统内部信息丢失、篡改等问题。
石油企业为方便工作往来,往往允许员工上网,网络上不安全的信息极容易影响企业内网,降低信息传输速度,影响系统性能,为网络安全带来严重的隐患。针对这些,必须站在企业战略目标高度上明确维护思路,编制可行、有效的维护方案,促进石油企业计算机网络安全管理工作水平的提高。
二、石油企业计算机网络方案维护思路与具体方案
(一)维护思路
由于石油企业计算机网络安全管理缺乏健全的管理制度,相关人员素质普遍不高,且系统存在漏洞,易受网络攻击,计算机等身背性能受工作环境影响大,严重降低了计算机网络安全性能。对此,一方面要完善计算机网络安全管理制度,制定系统设备维护制度,加强计算机系统安全管理,另一方面要采取网络安全防护技术,如防火墙技术、漏洞扫描技术、数字加密技术等,保护计算机系统信息安全,防止被恶意篡改与删除。通过以上两个方面,双管齐下、多策略的进行石油企业计算机网络安全管理,把网络安全管理上升到战略目标实现的高度上,纳入石油企业日常工作范围之内,使网路安全管理满足石油企业日常工作和业务往来需要。
(二)具体方案
1、完善计算机网络安全管理制度和网络设备维护检修制度
计算机网络安全管理及维护工作是由信息部门员工负责的,若没有完善的管理制度,就难以用制度对人员进行约束,造成相关管理、维护工作落实不到位。所以,石油企业应完善计算机网络安全管理制度和网络设备维护检修制度,为有关人员的管理、维护工作提供准则,约束并规范其工作行为。同时,不允许计算机使用者浏览要求以来的网页,擅自安装一些网络程序,规范计算机使用。如发现员工做出违反计算机网络安全管理制度的行为,要给予严厉处罚。此外,要求管理人员定期检查计算机设备性能,定期清理设备,根据使用者反馈立即检修设备,使设备始终保持良好的工作状态,避免出现运行故障。
2、应用计算机网络安全防护技术
目前,计算机网络安全防护技术是较多的,如防火墙技术、漏洞扫描技术、数字加密技术、杀毒软件等。第一,防火墙技术。一般计算机网络防火墙设置在计算机的系统中,可以采用安全性能相对比较高的Linux系统,并保留计算机基本功能,如SMIP协议,及时阻拦恶意侵入系统的木马程序、病毒软件,保护内网办公安全;第二,漏洞扫描技术。采用自动扫描技术,自动进行系统漏洞扫描并修补漏洞,及时进行系统补丁,既能降低网络攻击的概率,又可以提高系统运行性能;第三,数字加密技术。对重要的信息利用数字加密技术进行保护,然后再进行存储与传输,可以有效防止信息被攻击、被篡改,维护计算机系统信息的安全。当然,在不同网络环境下密码保护性存在一定差异,并选采用最先进的算法进行密码设计;第四,采用杀毒软件,及时查找出系统内病毒软件并及时清理,以加强系统的维护管理;第五,采用警告技术,并设置多样化的警告方式。针对不同的网络安全危害及系统故障可以设置不同的警告方式。比如,不同的问题用不同的声音,给管理人员自动发送邮件、手机短信等,以便管理人员实施网络安全维护。以上技术的应用能有效的提高石油企业网络安全管理工作水平,提高网络安全维护能力,保护日常工作的正常运行。
三、结束语
综上所述,面对石油企业计算机安全管理中存在的一些不足,应建立完善的计算机网络安全管理制度与设备维护检修制度,同时科学应用计算机网络安全防护技术,多层面、多策略的进行计算机网络安全管理,让石油企业计算机网络安全管理在明确的维护思路和有效的策略下有序、高效的进行,进而提高石油企业计算机网络安全管理工作实效。随着计算机技术的革新变更,计算机网络安全防护技术水平会不断提高,石油企业在今后的计算机网络安全管理中应注重先进防护技术的引用,这是提高石油企业计算机网络安全管理工作水平的根本。
参考文献:
[1]李伟.计算机网络安全管理工作的维护思路及具体方案研究[J].电脑知识与技术,2015,20:22-23.
关键词:区域医疗信息化;网络安全防护;安全规范建设
随着医疗单位的信息化发展,各地积极建设医疗服务信息共享平台。区域医疗信息共享平台具有节点多、应用复杂等特点,平台中包含大量患者隐私信息数据,必须保证网络运行安全,避免出现信息泄露事件。上海市级信息化共享建设项目为了保证医疗共享平台的网络运行安全,积极部署安全防护技术,实施安全防护策略,取得了良好效果,可以为其他地区的医疗信息平台建设提供参考。
1区域医疗信息化建设项目及网络安全建设要求
1.1上海市级信息化共享建设项目
上海市级信息化共享建设项目是国内覆盖范围较大、涵盖大型医疗机构较多的区域医疗信息化建设项目。该项目工程覆盖30多个网络医疗节点,其中包含23家市三级医院和6家市三级医院分院,连接长宁、闵行和卢湾等众多区县级卫生数据中心。如此规模的医疗信息服务平台对网络数据安全有极高要求,任何一个节点出现问题,都会威胁到整个系统的网络数据安全。所有联网医疗机构都需要在信息化共享平台中交换信息数据,其中包括患者个人信息、既往病史、医疗检查报告等,涉及到大量个人隐私数据。各个节点或医疗数据中心在进行数据交互过程中,既要提高信息共享程度,又要保证各医院网络的相对独立性,避免互相产生干扰。
1.2网络安全建设要求
区域医疗信息化建设对系统平台的网络安全有极高要求,网络安全框架的构建涉及到医院行政管理、业务操作、技术部署等各个方面,要从整体上确保网络运行安全,准确识别各种潜在安全风险,建立全方位的安全防护体系,并根据实际需要调整安全管理对策,适应网络安全防护需要。此外,还要建立统一的安全管理规范,在系统内部的各网络节点进行有效落实,加强网络安全控制力度。总体来看,医疗信息共享系统的网络安全建设要符合可靠性、开放性、可扩展性、安全性和易于管理等基本要求。
2区域医疗信息化建设中的网络安全防护措施
2.1安全技术部署
在区域医疗信息化建设过程中,网络安全防护技术的应用是网络信息数据安全的基本保障。针对区域医疗信息共享平台的复杂性,应综合运用多种安全防护技术,建立立体化网络安全框架。区域医疗信息共享平台的安全技术主要包括:2.1.1防火墙技术在上述上海市级医疗信息共享系统中,分别在数据中心和外网接入口配置两台千兆防火墙,互为热备,将数据中心的应用处理与外部网络隔离开来,实现对内部信息数据的保护。在整个信息平台中,对防火墙进行路由限制,使数据中心只接受系统内医院网络的访问,医院端则只接受数据中心的访问,极大提高了系统的安全性。医院节点的防火墙部署则分为三个区域,分别是医院内网、联网接入区和DMZ区。其中,内网可以访问数据中心,但数据中心禁止访问内网,最大程度保证各医院信息系统的独立运行和网络安全。2.1.2入侵检测技术在上海市级医疗信息共享平台中,配置有一套完整的入侵检测系统,采用两台千兆探测引擎布置在内网核心处,并在Web服务区配置两台百兆探测引擎,对所有探测引擎进行统一监管。在信息共享平台中,内网核心区一级Web区的交换机是入侵检测技术的主要应用部分,要将其网络流量通过镜像方式映射到入侵检测系统中,实现对关键部分的网络风险检测,及时识别网络攻击行为。2.1.3漏洞扫描技术防火墙与入侵检测技术均属于被动防护手段,漏洞扫描技术则是一种主动的网络安全防护措施,根据医院信息共享系统的网络安全要求,定期、不定期的对系统进行安全扫描,并作出安全等级评估,为系统安全提供保障。一旦在扫描过程中发现系统漏洞和安全隐患,及时采取措施进行修补,确保系统更新维护的及时性。
2.2安全防护对策
在综合应用各种安全防护技术的基础上,还要建立周全的安全防护对策,针对医疗信息共享系统的主要风险问题进行有效防范。医疗信息共享系统面临的主要安全风险问题包括身份窃取、数据窃取、假冒、路由错误、拒绝服务和非授权存取等。上海市级医疗信息化共享系统主要采取以下几点安全防护措施:2.2.1逻辑建网措施医疗信息共享网络采用政务外网线路,将用户接入到托管机房,与公务网进行物理隔离,与互联网进行逻辑隔离,保持系统网络的独立性,禁止未授权单位访问。2.2.2网段隔离措施整个平台系统可以分为数据中心及网络节点两部分,网络节点即各个医院的端节点,数据中心又可以分为内网应用处理区与Web服务区。应用处理区负责数据采集、分析、汇总等工作,并与卫生局等关联单位进行数据交换。Web服务区是医院的对外门户网站,用于重要信息,并根据功能进行子网划分,加强子网之间的信息访问控制。2.2.3网络设备配置措施对医疗信息共享系统的网络设备进行合理配置,布置好安全防护设备,为安全技术的应用提供设备保障。增加访问控制列表,建立内部访问控制措施,关闭一些不必要的服务功能,避免出现资源掠夺。强化过滤功能,防止非法访问接入。采取权限管理措施,为内部人员设置不同级别的账户权限,避免越级操作。此外,还要确保设备配置文件的安全,避免安全防护方案泄露,对系统网络安全造成威胁。
3结束语
综上所述,网络安全建设是区域医疗信息化建设的首要问题,采取有效的安全防护技术和措施,可以为医疗信息系统安全提供保障,从而最大化的发挥医疗信息共享系统的积极作用。通过综合应用防火墙、入侵检测等安全防护技术,可以建立立体化安全防护框架,为医疗信息系统提供全方位保护。在此基础上,根据系统安全需要,采取有效的安全防护措施,可以进一步提高网络安全管理水平。
参考文献
1.1系统不稳定和容易被利用漏洞破坏
网络的安全漏洞一般而言不容易完全避免,在设计之初并不能做到尽善尽美。就现在的情况而言,漏洞的蔓延往往防不胜防,很难及时发现漏洞侵袭,导致真正需要应对时早已损失惨重。一旦重要部分如操作系统遭到漏洞攻击,其造成的损害也非常巨大。安全技术防护面临的节点数不胜数,但攻击者只需要突破其中一点,就可以造成大片的损失,这是由网络本身的结构所决定的。
1.2网络管理制度缺位
就管理制度而言,现阶段网络管理缺少一套整体适用的系统方案,在标准方面往往各自为政,大多数情况下都是根据各自需要选择相应的安全手段,从而形成一个配合并不密切的整体。这样如同临时七拼八凑起来的结构,自然无法面对无处不在无从预防的网络侵袭。虽然部分企业从全局出发进行安全技术设计,但是软件和硬件本身的隔离,以及国家在系统软件方面的力不从心,导致其自身的努力并不能完全实现。要完全改变现状,就要从整体上重新设计架构,尽量明确管理,确定责任,并完善自身的防御功能,以缓解危机。
1.3网络对应安全策略缺乏
现阶段已正式建立了计算机网络安全体系,但其应变不及时,在安全体系遭到破坏之后,恢复和修复工作不甚理想。而事先预防的难度又太大,难以完全做到防患未然。因此,企图依靠预防来进行完全控制并不现实,而完全依靠恢复和补救的方式又比较被动。应急性的方案并不多,可以操作的临时安全系统也缺乏实用性。“第二道防线”的建立,还需要付出更多的努力。对应的安全策略缺乏,还体现在面对各类不同的网络侵袭行为时,由于相关的安全防护手段有其特定的安全防护范围,不得不依靠多种安全技术互相堆叠,而这些技术可能会互相冲突,或者导致其中一部分失效,从而影响安全技术的整体应用和各个部分的有效发挥。
1.4局域网的开放性漏洞
局域网是建立在资源共享的基础上的,因此其安全防护并没有互联网那样严密,但是由于准入机制过于疏松,导致内部数据很容易被混进来的操作混乱和遗失。如局域网很容易被网络钓鱼者接入,然后窃取和篡改其资料,造成巨大的损失。总体来说,要在建设局域网的时候加强其端口的准入设计,对于连接外网的情况,要有足够的审核方式来进行筛选和控制。
2网络安全技术的发展前景
当前网络技术存在的缺陷是“道高一尺魔高一丈”的状况的体现,被动的安全技术对主动的破解技术而言是处于劣势状态的。但这并不会影响到网络安全技术的发展前景,正因为面临着更多安全威胁,才会刺激网络安全技术的进一步发展,从而实现更高的飞跃。
2.1安全防护模式进入智能控制阶段
网络安全技术的发展是在收集数据、分析防御方式、寻找问题的过程中逐步发展起来的,现阶段由于仅限于归纳已有的问题,而陷入被动的窘境之中。随着网络的进一步优化,相信计算机的智能化会带动安全技术的智能化,从而自动的进行最优选择。而随着未来完善的NGN网络的建立,相信这样的控制并非虚妄之言。
2.2网络容量的扩展和安全技术覆盖的扩大
【关键词】计算机网络;网络信息;网络安全;策略
随着社会的发展进步,移动互联网络已经是被广泛应用,涉及人们生产生活的多个领域。虽然近年来我国加大了对网络安全的管理力度,但是计算机网络信息和网络安全问题是我国信息化社会进程中存在的较为严重的问题,就计算机网络信息和网络安全问题提出安全防护策略,对我国当前网络信息和网络安全问题的解决具有重要意义。
一、计算机网络信息和网络安全概述
计算机网络信息是借助移动互联网进行信息传递的传播模式,网络是以虚拟形式存在的,是信息交流、存放的重要枢纽。计算机网络安全是指通过各种手段保护网络信息不受到威胁和破坏,保障网络信息的正常使用,将安全系数降到最低,实现收益的最大化。
二、计算机网络信息和网络安全保护的重要意义
从国家安全的角度讲来看,做好计算机网络信息和网络安全保护是保障国家安全和实现社会稳定的重要环节,国务院办公厅在2001年颁布了《增值电信业务网络信息安全保障基本要求》,要求各行各业在发展过程中都应该遵守网络信息安全条例,以保障国家的网络信息安全。
从企业发展的角度来看,网络信息和网络安全是企业发展的前提条件,企业若想实现发展壮大,就必须实现向信息化企业的转变,在这个过程中网络信息和网络安全就成为影响公司发展重要因素。所以企业只有做好网络信息和网络安全才能在市场竞争中生存发展,避免不必要的经济损失。
对于计算机用户而言,加强网络信息和网络安全的防护,是对用户自身的有效保护,这样可以保护用户的个人隐私和信息安全。
三、威胁计算机网络信息和网络安全的因素
(一)网络系统最容易被攻击的位置是缓冲区溢出造成的网络漏洞。目前,许多网络系统没有根据缓冲区缓冲区间的容量,就任意进行数据的接收,导致数据信息出现溢出的情况,系统由于没有设置提示装置会继续运行指令。破坏着这是根据这一安全问题,向网络系统发送专门设置的攻击数据,导致网络系统的不稳定,从而借机查看访问系统的统根目录。
(二)对网络系统固有的漏洞不正确的维护也会导致破坏者的攻击,确切的说不恰当的网络信息安全管理也是造成安全隐患的因素。当用户发现网络系统出现漏洞是,应该找专业人员检查危险系数,通过专业的技术手段实施补救。虽然网络系统在不断地更新和维护,但是受到其他网络硬件设备的影响,系统会不断的出现新问题、新漏洞,我们必须有效的进行网络信息安全管理,降低系统所承担的风险。
(三)在网络信息和网络安全的防护中,存在网络系统设计效率低和检测能力差的情况,也就是说网络信息防护系统本身就很不安全,无法实现对问题的解决。建立网络信息和网络安全防护系统,必须从整个构架的最底层入手。这个构架可以为网络信息提供有效的安全服务,并实现对网络系统的妥善管理。对服务器的代码在设计过程中也要实行有效的管理。目前,有很多网络漏洞问题指出,在输人检查不完全时,系统的防护功能十分的脆弱,破坏者会利用这个弱点进行拒绝服务攻击,这样会导致网络系统处在非常危险的境地,破坏了网络信息的有效传输,也影响了信息的真实性和准确性。
四、加强计算机网络信息和网络安全保护的具体措施
(一)首先要加强对计算机网络信息和网络安全保护的重视。在计算机网络信息和网络安全保护的过程中,要把网络信息安全问题做为工作的重点,高度重视网络安全与应急管理策略。不断完善网络信息和网络安全防治体系,满足网络信息安全管理的技术要求;加大对网络信息安全的预警和执行力度,建立完善的网络信息安全管理体系。
(二)在生产生活中,重视计算机网络信息和网络安全保护技术的使用。当前,计算机网络信息和网络安全防护技术很多,这些技术的应用对网路信息和网络安全具有重要作用。主要包括以下几种防护技术:
1.防火墙技术的使用,网络防火墙是一种网络信息访问控制设备,是维护网络安全的重要部件,防火墙技术与网络安全域不在同一个通道内,能够对通道内的信息进行监控和记录,实现对网络信息安全的保护作用。
2.病毒入侵检测系统,英文名为Intrusion detection system,简称IDS。这种检测系统能够监控网络信息系统受到威胁的征兆,一旦病毒入侵检测系统发现可疑问题会立刻显示,通知有关人员进行处理。病毒入侵检测系统是对病毒进行监控和识别的解决方案,病毒入侵检测系统是整个网络系统的监控系统,是网络信息安全防护的重要组成部分。
3.病毒及恶意代码防护技术,这种技术主要分为主机型和网关型两种形态,主要是通过自身的病毒模式设定,对匹配模式的信息进行拦截,由于信息技术的发展速度较快,病毒和恶意代码的更新速度也非常迅速,这就需要不断调整网关和主机的模式,以满足防护病毒和恶意代码的需求。
(三)计算机网络信息和网络安全防护工作必须由全部用户一同参与,因为只有实现全民参与,才能实现层层落实网络信息和网络安全维护责任,提高每位用户的网络安全防护意识和能力。
随着科学技术的迅速发展,计算机信息安全问题会逐渐的受到人们的重视,网络信息和网络安全存在的根本原因是,网络自身的存在安全问题,用户能做的是不断提高计算机网络信息和网络安全防护意识,加强对计算机网络信息和网络安全防护技术的研究,这样才能有效的的保障网络信息安全,更好的维护计算机网络信息和网络安全。
参考文献:
[1]吴斌.浅谈计算机网络信息和网络安全防护策略[J].信息安全与技术,2012,06(03):1020-1022.
[关键词] 网络;安全威胁;中国石油;网络安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中图分类号] TP343.08 [文献标识码] A [文章编号] 1673 - 0194(2012)10- 0062- 02
1 引 言
随着市场竞争的日益加剧,业务灵活性、成本控制成为企业经营者最关心的问题,弹性灵活的业务流程需求日益加强,办公自动化、生产上网、业务上网、远程办公等业务模式不断出现,促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网,一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理,国家监管部门对企业的内控管理提出了多项规范要求,包括 IT 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。
然而信息网络面临的安全威胁与日俱增,安全攻击渐渐向有组织、有目的、趋利化方向发展,网络病毒、漏洞依然泛滥,同时信息技术的不断更新,信息安全面临的挑战不断增加。特别是云的应用,云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系,满足业务发展的需要,已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。
2 大型企业网络面临的安全威胁
赛门铁克的《2011 安全状况调查报告》显示:29%的企业定期遭受网络攻击,71% 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大,信息系统多,受攻击面广等特点,更是成为被攻击的首选目标。
大型企业网络应用存在的安全威胁主要包括:(1)内网应用不规范。企业网络行为不加限制,P2P下载等信息占据大量的网络带宽,同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网,对内网应用系统安全构成威胁。(2)网络接入控制不严。网络准入设施及制度的缺失,任何人都可以随时、随地插线上网,极易带来病毒、木马等,也很容易造成身份假冒、信息窃取、信息丢失等事件。(3)VPN系统安全措施不全。企业中的VPN系统,特别是二级单位自建的VPN系统,安全防护与审计能力不高,存在管理和控制不完善,且存在非系统员工用户,行为难以监管和约束。(4)卫星信号易泄密。卫星通信方便灵活,通信范围广,不受距离和地域限制,许多在僻远地区作业的一线生产单位,通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输,容易被截获。(5)无线网络安全风险较大。无线接入由于灵活方便,常在局域网络中使用,但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。(6)生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范,大多数二级单位采用防火墙逻辑隔离,有些单位防护策略制定不严格,导致生产网被来自管理网络的病毒感染。
3 大型企业网络安全防护体系建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,将企业信息安全保障体系建设列为信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。中国石油网络安全域建设是其重要建设内容。
中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统,是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路,承载对内服务业务信息系统的网络,与外网逻辑隔离。外网是实现对外提供服务和应用的网络,与互联网相连(见图1)。
为了构建安全可靠的中国石油网络安全架构,中国石油通过划分中国石油网络安全域,明确安全责任和防护标准,采取分层的防护措施来提高整体网络的安全性,同时,为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想,将项目分为:广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。
广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时,还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善16个互联网出口的安全防护,所有单位均通过16个互联网出口对外联系,规划DMZ,制定统一的策略,对外服务应用统一部署DMZ,内网与外网逻辑隔离,内网员工能正常收发邮件、浏览网页,部分功能受限。
域间防护方案主要遵循 “纵深防护,保护核心”主体思想,安全防护针对各专网与内网接入点进行部署,并根据其在网络层面由下至上的分布,保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况,将数据中心划分为4个安全区域,分别是核心网络、二级系统区、三级系统区、网络管理区;通过完善数据中心核心网络与广域网边界,二级系统、三级系统、网络管理区与核心区边界,二、三级系统区内部各信息系统间的边界防护,构成数据中心纵深防御的体系,提升整体安全防护水平。
域内防护是指分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准,实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础,并通过完善现有SSL VPN系统、增加IPSEC远程接入方式,为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础,实现用户互联网访问、安全设备管理准入及授权控制、实名审计;以部署设备证书为基础,实现数据中心对外提供服务的信息系统服务器网络身份真实可靠,从而确保区域网络中心、数据中心互联网接入的安全性。
4 结束语
一个稳定安全的企业信息网络已成为企业正常运营的基本条件,然而信息网络的安全威胁日益加剧,企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设,系统地解决网络安全问题,供其他企业参考。
主要参考文献
[1]王拥军. 浅谈企业网络安全防护体系的建设 [J]. 信息安全与通信保密,2011(12).
作为一家新生代网络安全公司,北京赛博兴安科技有限公司(简称赛博兴安)的网络安全管理与监察系统凭借其在某行业的体系化、规模化、常态化应用,得到业界广泛的认可。
赛博兴安的网络安全管理与监察系统的应用情况到底如何?为客户带来了怎样的价值?产品具有哪些特点和优势?赛博兴安副总裁胡托任对这些问题进行了回答。
胡托任介绍,赛博兴安成立于2009年,是国家高新技术企业、软件企业,主要从事信息系统安全体系结构规划与设计、信息安全技术研究与核心产品开发、信息系统集成和信息安全服务等业务,在不同安全域网络互联、接入控制、网络安管、授权认证、信息加密、互联网大流量数据监控及数据挖掘等方面具有相当优势,在大型信息网络安全防护和整体解决方案和产品研制方面积累了丰富的经验。
赛博兴安业务主要面向大型行业用户,是国内某行业用户的网络安防技术总体单位。公司坚持以自主研发为核心,始终把产品研发能力作为核心竞争力。公司通过了国标和国军标质量管理体系认证,获得了国家二级保密资质及多项专有技术和软件著作权。2014年,赛博兴安完成了对北京赛搏长城信息科技有限公司的收购与整合,使公司的产品领域进一步拓展,技术能力进一步增强。目前,公司与北京邮电大学国家重点实验室建立了长期战略合作伙伴关系,与北方工业大学建立了信息安全联合实验室。
据悉,赛博兴安的研发技术人员人数占公司总人数的70%。胡托任说,这与赛博兴安成立的背景相关,因为公司的创始人都有很资深的技术背景,均具有15年以上的网络安全从业经验。赛博兴安自成立以来,始终把培养研发团队、积累核心技术作为立足之本。
胡托任指出,这几年赛博兴安的业绩取得持续、快速增长,一方面,得益于客户方对于赛博兴安的产品和服务的认可;另一方面,得益于公司注重研发团队的建设和技术的积累。着眼未来,国家对网络安全越来越重视,赛博兴安将把握这一良好机遇,持续加大研发投入,吸纳技术人才,不断推动技术创新。
“我们相信实实在在做技术、本本分分搞研发的企业会越来越得到市场的认可。”胡托任说。
网络安全管理平台是近年来信息安全领域的一个热点,市场上涌现出各种网络安全管理平台类的产品,赛博兴安的网络安全管理与监察系统就是其一。
胡托任介绍,赛博兴安的网络安全管理与监察系统立足于特定行业需求,为该行业构建了从上级到下级纵向级联贯通,最高达到5级级联的多级安防体系,为行业用户解决实实在在的安全问题。通过系统部署应用,用户在一级系统上能够实时监控所有下级系统的工作状态,包括所有下级节点所部署的网络安全设备的工作状态和安全防护策略应用情况。比如说,下级单位的防火墙设备是否正常工作,业务是否跳开防火墙进行网络访问,防火墙策略配置是否合理,防病毒系统的病毒库是否更新到最新。
胡托任指出,赛博兴安的产品带给客户的核心价值,是紧密围绕客户的实际需求,通过网络安全管理与监察系统的开发和广泛应用,帮助客户建立起一套完整的适应业务工作实际的网络安全防护体系。赛博兴安一方面在产品开发过程中,重视行业用户的实际需求,从产品设计、技术开发、功能实现上与该业务管理深度耦合,让整个安全管理平台在应用中取得实实在在的效果;另一方面,为行业用户提供7×24小时全天候的技术支持,随时针对产品使用中出现的问题提供免费的升级服务,从而赢得客户充分的信任。
胡托任总结说,赛博兴安网络安全管理与监察系统产品具有如下四个特点。一是支持系统级联。赛博兴安在业界率先提出安管平台系统级联的理念,并且真正做到了全面的级联管理,实现了安全资产、安全防护策略、安全告警事件的多级级联管理,为用户实现全网安全设备的集中统一监控提供了数据基础。二是安全防护策略全面管理。系统可以全面监控安全设备所配置的安全防护策略,并结合安全防护策略模板实现策略的合规性检查,方便用户实时发现全网内策略配置违规的系统和设备。三是与终端安全管理产品深度融合,将网络安全管理的对象从网络安全设备、网络安全软件扩展到终端主机,实现对终端主机资产和终端安全防护策略的深度管理。四是实现独创性的安全检查考核。“我们认为网络安全管理是制度和技术的融合,任何好的产品没有安全管理制度的约束都难以产生价值,好的产品应该为管理制度的实施提供技术手段。”胡托任说,“我们独创性的提出安全检查考核的理念,通过对每个系统的安全设备运行状态、安全策略配置情况、规则库更新情况以及安全告警处置响应能力进行安全评估,形成安全检查考核成绩,以此来实现对各个单位安全运维管理执行情况的检查督促。”
关键词:等级保护分级管理;中小型网络;安全建设
中图分类号:TP309文献标识码:A文章编号:1007-9599 (2011) 24-0000-01
SMs Network Security Building Analysis in Level Protection Hierarchical Management
Xu Aihua,Lv Yun
(Nanjing Institute of Science& Technology Information,Nanjing 210018)
Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.
Keywords:Level protection classification management;Small network;
Security building
一、工信部关于等级保护分级管理的要求
如何利用等级保护中分级管理制度,确定不同的系统不同的安全策略,消除内部网向公网传送的信息可能被他人窃听或篡改等等安全隐患,对中小网络而言至关重要。为此,自2010年3月1日起,工业和信息化部了《通信网络安全防护管理办法》(以下简称《办法》)开始施行。《办法》要求通信网络运行单位应按照各通信网络单元遭到破坏后可能造成的危害程度,将本单位已正式投入运行的通信网络单元由低到高分别划分为一级、二级、三级、四级、五级。《办法》要求,通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照有关规定向电信管理机构备案。电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。
二、中小型网络基本情况与应用特点
中小型计算机网络主要应用于办公自动化系统、信息查询系统、邮件服务、财务、人事、计划系统等实际工作和WWW应用中。根据中小型计算机网络的应用特点,需要保证网络中的数据具有可用性、可靠性、保密性、完整性、安全性等。又由于计算机网络跨越公共网络及与Internet网互联,这就给计算机网络带来严峻的安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。这些安全问题如果得不到解决,那将会给计算机网络带来严重的安全隐患。所谓可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。可靠性是指网络系统硬件和软件无故障运行的性能,是网络系统安全最基本的要求;保密性是指网络信息不被泄露的特性,保密性是保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容;完整性即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,是指网络信息未经授权不能进行改变的特性,也称作不可否认性。从技术角度看,网络安全的内容大体包括四个方面,即:网络实体安全、软件安全网络数据安全和网络安全管理。由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全。因此实施网络安全保护方案,目的是以保证算机网络自身的安全。
三、中小型网络安全解决方案
随着网络威胁越来越普遍、破坏性越来越严重,网络入侵者攻击来源广泛,形式多样。通常采用信息收集、探测分析系统的安全弱点和实施攻击有步骤地进行入侵。如在目标系统安装木马程序用来窥探目标,网络所熟悉的病毒,如红色代码、冲击波,口令蠕虫等对网络造成了巨大损失。本文按照安全风险、需求分析结果、安全目标及安全设计原则,为中小型计算机网络解决网络安全问题,力求构建一个适合于中小型计算机网络的安全体系。
(一)外网安全设计
1.防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。
2.入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。
3.病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。
4.垃圾邮件过滤系统:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。
(二)内网安全设计
采用访问控制策略,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。对内部采用:网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。
具体可采用Juniper的整合式安全设备+三层交换机的配置方案。Juniper的整合式安全设备专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IP sec VPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体,可以通过内置的Web UI、命令行界面或中央管理方案进行统一管理。
三层交换机具用于日志审计及监控。根据不同用户安全级别或者根据不同部门的安全访问需求,网络利用三层交换机来划分虚拟子网(VLAN)。因为三层交换机具有路由功能,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问,同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制。
四、结束语
总之,我们必须不断强化信息安全观念,加强网络与信息系统安全保障工作的检查和监督,充分利用《通信网络安全防护管理办法》关于安全等级划分的要求制定具体的信息安全防护策略,全面落实各项制度、预案,加强技术积累,定期进行网络漏洞扫描等安全有效措施,切实加强网络与信息系统安全保障工作,确保中小型网络信息系统的安全稳定运行。
参考文献:
关键词:医院;信息化建设;网络安全;防护
医院信息化建设不断加快与成熟,促使整体的医疗诊治水平提升,保证了诊疗工作的准确与效率。但是随着信息化的普遍性,相关网络管理工作也日益复杂,尤其是我国恶意软件与不良网络攻击情况严重,导致医院网络安全管理存在较大的威胁。网络安全是医院信息化建设中的重要工作,是保证信息化工作开展的基本保障。
1医院信息化建设中的常见安全隐患
1.1技术因素
医院信息化建设中,会广泛的涉及到服务器、客户端、链路、软件系统、存储与网络设备等多种构成元素。医院信息化建设有效的提升了整体的诊疗水平,提高工作效率与便捷性,但是网络安全问题也日益突出,相关信息资源的泄露或者系统攻击都极大的威胁了信息化建设的有序开展。在安全管理中,物理性环境安全、操作系统安全、数据备份安全等都是网络系统建设的常见安全问题。而常规性的运用防火墙以及其他防病毒操作都无法有效的保证信息化平台的安全性,容易引发数据泄露、损坏与丢失,进而干扰了医院正常工作运转,甚至也对患者个人信息构成泄露,急需要通过更强的防护技术来做保障。对于部分医院而言,会简单的认为设置一定安全防火墙就可以保障系统的安全性,甚至认为不需要其他安全防护来做安全保障,这主要是安全防护工作中缺乏与时俱进的先进意识,认识误区较为明显。而防火墙只是防护手段中的一种,能够防御性的安全问题较为局限,对网络内部与旁路攻击都无法达到理想的防护效果,同时针对内容攻击的问题也无法处理。部分设备中只是对攻击行为进行警告,但是并不具备攻击行为的防控能力。在数据库升级中,可以到数据库做用户操作登录记录,可以达到操作源IP地址的定位,但是缺乏无法阻止其做恶性操作,例如对数据信息做恶意的窃取与篡改,甚至无法认定操作人员最终责任,因为账户登录只需要账户与密码就可以进行,但是这种登录操作任何掌握信息的人都可以进行,无法达到全面的管控。此外,安全防护措施工作量大,操作复杂。在做IP与MAC地址绑定中,需要管理人员针对每台交换机做操作,对绑定信息做逐条的输入,工作负荷相对更大,操作缺乏高效便捷性。其次,如果有人懂得相关网络基础技术,可以轻易的做到IP与MAC地址的变更,从而引发绑定操作失效。此外,医院主机装备了杀毒软件,然而由于数量较多,不能有效的对每个主机做杀毒软件的统一性管控,对于病毒库的更新以及软件的开启等情况都无法做有效确定,相应的系统补丁也不能及时有效更新,进而导致安全防护效果不能确定。虽然医院投入大量的财力与人力做好安全防护措施处理,但是实际上缺乏可执行性,同时由于各设备间缺乏关联性,从而对于实际效果无法做有效评估与管控,安全防护措施与手段的运用则流于形式。
1.2人为因素
医院信息化建设更多的操作需要人为进行,因此人为因素是网络安全管理的重要因素。医院没有将网络安全明确到人,缺乏责任制管理,无论是安全管理人员还是普通工作人员,缺乏足够的安全管理意识。没有形成规范合理的信息系统建设制度规范,导致实际操作无章可循。没有强效的安全检查与监督机制,同时也没有专业的第三方机构做安全性介入管理。相关工作人员缺乏专业资质认定,对于网络安全没有展开合宜的宣传教育,同时也缺乏对应工作与行为考核,导致工作人员缺乏应有的安全责任观念。因为工作人员缺乏安全意识与专业的安全能力,会出现将个人电脑接入医院内部网络,从而导致病毒携带入网,导致相关信息化系统运行故障。或则将医疗业务网络电脑与互联网、外网连通,导致相关网络中的病毒、木马程序进入到医院的内部网络,导致网络病毒蔓延。工作人员会因为有职务的便利性,会访问医院有关数据库,从而得到数据资料的窃取与篡改,进而导致相关经济损失。同时黑客会通过技术手段接入到医院内部网络中,进行直接性的网络攻击,医院与医保网络系统处于连通数据验证操作所需,如果被攻击则容易导致严重后果。
2医院信息化建设中的网络安全防护
2.1完善管理制度
医院网络运行保持安全性效果的基础在于完善健全的制度管理,可以通过对医院实际情况的了解,设置针对性安全管理操作制度、监督制度、用人制度、激励制度等多种内容。确保所有有关工作的开展有章可循,提升操作的标准性、可执行性。要不断的强化制度的权威性,让工作人员对此保持谨慎态度,避免安全疏忽。
2.2安全管理细节措施
医院网络管理需要多方面的细节措施来保证。例如为了保证服务器能够可靠稳定的持续工作,需要运用双机容错与双机热备对应方案,对于关键性设备需要运用UPS来达到对主备机系统的有效供电,确保供电电压持续稳定供应,同时避免突发事件。网络架构方面,需要将主干网络链路采用冗余模式,这样如果出现部分线路故障,其余的冗余线路可以有效继续支持整个网络的运转。需要运用物理隔离处理来对相关信息数据传输设备保持一定的安全防护,避免其他非专业人员或者恶意破坏人员对设备进行破坏,需要做好业务内网与外网连通的隔离,避免网络混合后导致的攻击影响或者信息泄露。对于医院内部的信息内容,需要做好数据与系统信息的备份容灾体系构建,这样可以有效的在机房失火或者系统运行受到破坏时快速的恢复系统运行。要展开网络系统的权限设置,避免违规越权操作导致系统信息数据的修改有着窃取,要做好数据库审计日志,对于相关数据做动态性的跟踪观察与预警。
2.3技术手段升级
在网络安全防护措施上需要保持多样化与多层次的防护管理,积极主动的寻找管理漏洞,有效及时的修补管理不足。对网络设备做好杀毒软件的有效管控,建立内外网间的防火墙,限制网络访问权限,做好网络攻击预警与防护处理。对于网络系统各操作做有效记录跟踪,最安全漏洞做到及时发现并修复。要投入足够人力与财力,优化工作人员技术水平,从而有效的保证技术手段的专业完善性。
结束语
医院信息化建设中网络安全需要医院所有人员的配合,提升安全意识,规范安全管理制度与行为,确保网络安全的有序进行。
参考文献
[1]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(9):43,45.
[2]雷震宇.医院信息化建设中网络安全维护讨论[J].信息通信,2016(6):153-153,154.
1三级安全系统模型的构建
1.1安全计算环境的具体实施
安全计算环境就是对相关等级系统进行详细的管理,通过对相关信息的存储、处理以及安全策略的实施,掌握信息系统的核心情况。安全计算环境在其有效的区域边界安全防护之下,可以有针对性的避免各种外界网络攻击行为以及一些非授权的访问。对此,安全计算机环境的整体安全防范工作就是有计划有标准的提升系统整体安全性改造,避免出现系统因为自身的安全漏洞、系统缺陷等原因导致的攻击问题。同时,安全计算环境自身安全防护工作的开展,主要是实现对系统内部产生的相关攻击以及非授权访问的各种各样行为进行防范与控制,避免内部人员因自身的数据以及信息处理方式导致的各种破坏行为的产生。
1.2安全网络环境的具体实施
信息系统中的各个计算机与计算域、用户与用户域主要是通过网络进行系统的衔接,网络对不同系统之间的相关信息传输有着承载通道的主要作用。网络在应用中可以位于系统之内也可以位于系统之外,其中一些网络数据信息流,或多或少会通过或者经过一些不稳定的网络环境进行传输。对此,网络安全防护工作在实际操作过程中,首先要保障整个网络设备自身的安全性,要对设备进行定期的维护,避免其受到各种网络攻击,进而在最大程度上提升网络中信息流的整体安全健壮性,之后在此基础上逐步提升其整体通信架构的实用性,完整性以及保密性。基于网络自身的保密要求,在应用中要使用网络加密技术与应用本身进行融合,进而实现三级保护中的相关要求。网络安全域要具有自身的网络结构安全范围,同时可以对相关网络的具体访问操作进行系统的控制,进一步提升对安全审计工作的重视,保障相关边界的完整性,避免各种网络入侵以及网络攻击问题的出现,杜绝恶意代码问题的产生,进而实现整体网络设备的有效防护与相关网络信息保护功能。
1.3安全区域边界的具体实施
边界安全防护是指在相关信息安全系统的各种业务流程上对其进行区分与划分,是不同应用与数据内容的安全域的系统边界。一般状况之下,边界安全的防护边界与相关防御工作的开展就是通过依托于相关隔离设备与防护技术进行完成的,并且将其作为安全保护的切入点,边界防护主要实现网络隔离、地址绑定以及访问控制管理等相关功能。其主要目标是对相关边界内外部的各种攻击进行检测、告警与防御,可以有效的避免内部相关工作人员出现恶意或者无意的跨越边界造成攻击与泄露行为隐患。相关管理人员通过对相关日志的审核,可对一些违规事件进行详细的审计追踪。
1.4安全管理中心的具体实施
安全管理中心是整个信息系统的核心安全管理系统,对于整个系统的安全机制管理有着重要的作用,作为信息系统的核心安全管理平台,是对相关信息系统不同的安全机制进行有效高效的管理,安全管理中心将相关系统中的较为分散的安全机制进行系统化的管理后,通过集中管理模式提升其整体效能与作用。安全管理中心可以将其作为整个信息系统中与相关体系域中的整体安全计算域、相关安全用户域以及各个网络安全域等流程进行系统的进行统筹记录与分析管理,进而对其进行整体的统一调度,有效实现相关用户身份与授权、用户访问与控制、用户操作与审计的过程管理,最终达到对其存在的风险进行控制、通信架构运行情况得到实施展现于掌握,充分地凸显整体安全防护系统的内在效能与作用。
2信息安全系统的有效实现
2.1系统定级实现
系统定级在操作中主要涵盖了系统识别与相关描述,利用风险评估,基于相关标准对整个信息系统的实际等级标准进行确定,在通过相关部门批准之后形成一个定级报告,在此基础上最后完成相关信息系统的等级划分与具体的定级工作。
2.2总体的安全建设规划
总体的安全建设规划主要是基于相关信息系统,承载相关业务的状况,根据风险评估数据,明确其具体结构,综合实践中存在的安全风险,结合相关系统的具体安全要求,并制定出一个具体的安全实施计划,为今后的信息系统安全建设工程的相关内容实施提供参考依据与指导。对处于一些已经开展的信息系统,要对其具体的需求进行分析,判断其整体状况与要求,明确差距后再开展工作。
2.3安全实施
安全实施的过程就是根据信息系统的整体方案的相关要求,综合信息系统的项目建设计划与目的,分期分步的落实各项安全措施,同时将根据具体的等级需求,制定符合其对应等级的安全需求方案,对整个系统进行评估,使其满足各种不同等级的保护需求。
2.4运行与维护工作
在系统的整体运行期间,需对全网整体的安全风险进行监控,对其变化进行分析,进而对其安全运行状况进行系统化的评估。基于具体的评估结果对整个系统中存在安全隐患的架构部分进行优化设计与改造,进而制定相应的安全措施。
3结束语
信息安全系统的实施对于网络安全等级的优化有着重要的意义,对此要提升对其工作的重视度,全面践行相关等级保护与实施方案中的各项措施,提升整体的网络安全性。
参考文献
[1]陈华智,张闻,张华磊.网络安全等级保护实施方案的实施及应用实践[J].浙江电力,2011(03):54-57.
[2]张都乐,何淼,张洋,王照付.信息系统等级保护实施方案研究与分析[J].网络安全技术与应用,2012(08):5-7.
关键词:网络安全 问题 对策
1 什么是计算机网络安全问题
国际标准化组织将计算机安全定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。完整性,即保证非授权操作不能修改数据。有效性,即保证非授权操作不能破坏信息或计算机数资源。网络系统安全包括网络安全和信息安全。那么网络安全指基于网络运作和网络间的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全等几个方面。信息安全指数据的保密性、完整性、真实性、可用性、不可否认性及可控性等安全。
2 计算机网络安全的现状
网络安全问题不容忽视,诸如有意或无意地修改或破坏系统,或者在非授权和不能监测的方式下对数据进行修改的数据完整性破坏行为;利用计算机信息系统的广泛互联性和匿名性,散步错误的信息以诋毁某个对象的形象和知名度的诽谤行为;以及在网络系统中,读取网上传输的数据,安装通信监视器和读取网上的信息等,不得不让人们引起足够重视。
2.1互联网犯罪行为严重
互联网进入人们生活的各个角落,人们很多事情都需要通过网络来完成。正因为这样,网络犯罪也越来越普遍。人们利用网络盗取别人的信息,对用户的保密信息、财产等造成严重损失。
2.2用户安全意识不强
对于互联网用户应该加强安全意识,所有用户要有自身网络保护意识,还要注意自身的网络行为是否给他人造成危害意识,有时用户的不经意行为就会造成其他用户的安全威胁。
2.3黑客技术发展迅速
互联网不断发展,商业活动越来越多,现在出现的很多病毒都是带有商业利益的,病毒的方式有木马、蠕虫、间谍程序等,导致网络中的信息和数据被盗取。黑客之所以能给用户数据带来威胁,因为它能使病毒进行伪装和隐藏,以致于一般的杀毒软件无法检查并查杀病毒。计算机网络安全的防范对策网络安全与网络系统息息相关,要想确保计算机网络能够安全稳定运行,应从以下几方面着手。
3 对计算机网络安全问题采取的几点防范措施
3.1管理安全对策
作为计算机安全运行的重中之重,管理问题尤为重要。人是操作计算机系统的主体,因此人为操作失误也是影响网络安全运行的主要因素之一。基于此,必须建立健全网络管理机制,只有实现人为操作规范化管理,才能够有效避免人为操作失误安全隐患。此外,还应采取有效措施提高计算机管理人员的安全防护意识,并制定一套行之有效的网络安全应急防护方案。
3.2计算机系统的安全对策
随着网络时代的到来,计算机信息技术也得到了飞速发展,不过随之而来的是计算机病毒的传播也呈现出多样化趋势,要想确保计算机网络运行的安全可靠性,不仅仅要进一步提升广大计算机用户的安全防护意识,更为重要的是加大对计算机病毒的防护力度。常见的计算机系统安全防护手段主要有以下几方面:计算机用户不要随意打开或进入具有欺骗性的邮件或网站;加强对计算机病毒防护知识的学习,及时发现并解决计算机异常问题,以便有效预防计算机病毒攻击,确保计算机系统安全稳定运行。另外,对于一旦遭受病毒攻击就会造成巨大经济损失或其它损失的网络用户而言,应及时做好系统备份工作。
3.3计算机实体的物理防护对策
计算机物理安全很容易被人们所忽视,事实上,包括计算机硬件以及通信线路等在内的一些实体设备的安全防护也会对计算机系统安全运行产生直接影响,如果这些实体设备出现不同程度的故障,很可能会导致网络安全隐患。为有效预防雷电和强电对网络系统的干扰,技术人员往往通过增设避雷设备解决该问题,并利用电磁屏蔽技术有效避免电磁泄漏现象的出现,与此同时,还应做好对计算机设备的日常维护工作,确保防火、防震、防静电以及防尘等措施全部落实到位,为计算机系统安全可靠运行提供有力保障。
3.4网络控制对策
加强对网络的有效控制是确保网络安全的主要手段。(1)对网络设置访问权限。为有效解决因人为非法操作所造成的网络安全隐患问题,应对网络设置访问权限。加强入网控制是目前较为常见的网络控制手段,例如用户实名制登录、身份验证、口令验证等等。另外,还应对用户以及用户组的访问权限进行合理设置。(2)加强网络防火墙的控制。防火墙技术是保障网络安全的重要技术手段。该技术主要是通过对内网和外网进行有效隔离,并对这两个网络通信时的访问尺度进行有效控制来确保网络安全。过滤防火墙和防火墙是当前常见的防火墙技术:①过滤防火墙:利用路由器来阻挡外网对内网的非法入侵是过滤防火墙的主要作用。②防火墙:服务器技术是防火墙的最核心技术,服务器会对外部网络向内网发送的数据和请求进行过滤,只有符合过滤规则的数据才会被传递至真实的服务器,这样能够有效预防非法数据的传输。虽然防火墙技术能够进一步增强网络的安全可靠性,但该技术也无法确保网络的绝对安全,其自身也会面临被计算机病毒入侵的安全隐患,基于此,我们应将防火墙技术与其它安全防护技术有机结合在一起,从而使计算机网络安全得到进一步提升。
4 结语
据相关机构调查结果表明,未对自己网络制定专门的安全防护对策,仅仅通过较为简单的安全防护手段来确保网络安全的企业比例高达 55%,并且这些简单的安全防护措施之间很容易出现相互矛盾或相互重叠等方面问题,这样既导致网络的服务性能大打折扣,又无法确保网络安全可靠运行,因此,我们应加大网络安全管理力度,提高网络管理人员的安全意识,并加强网络安全技术的研发与应用,只有如此才能确保计算机网络安全可靠运行。
参考文献
[1]杨国文.网络病毒防治技术在计算机管理中的应用[J].网络安全技术与应用,2011(9)
关键词:计算机网络;信息管理;安全防护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)18-4389-02
1概述
互联网技术给我们带来很大的方便,同时也带来了许多的网络安全隐患,诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。为了确保计算机网络信息安全,特别是计算机数据安全,目前已经采用了诸如服务器、通道控制机制、防火墙技术、入侵检测之类的技术来防护计算机网络信息安全管理,即便如此,仍然存在着很多的问题,严重危害了社会安全。计算机网络信息管理工作面临着巨大的挑战,如何在计算机网络这个大环境之下,确保其安全运行,完善安全防护策略,已经成为了相关工作人员最亟待解决的问题之一。
2计算机网络信息管理工作中的安全问题分析
计算机网络的共享性、开放性的特性给互联网用户带来了较为便捷的信息服务,但是也使得计算机网络出现了一些安全问题。在开展计算机网络信息管理工作时,应该将管理工作的重点放在网络信息的和访问方面,确保计算机网络系统免受干扰和非法攻击。
2.1安全指标分析
(1)保密性
通过加密技术,能够使得计算机网络系统自动筛选掉那些没有经过授权的终端操作用户的访问请求,只能够允许那些已经授权的用户来利用和访问计算机网络信息数据。
(2)授权性
用户授权的大小与其能够在计算机网络系统中能够利用和访问的范围息息相关,我们一般都是采取策略标签或者控制列表的形式来进行访问,这样做的目的就在于能够有效确保计算机网络系统授权的正确性和合理性。
(3)完整性
可以通过散列函数或者加密的方法来防治非法信息进入计算机网络信息系统,以此来确保所储存数据的完整性。
(4)可用性
在计算机网络信息系统的设计环节,应该要确保信息资源具有可用性,在突然遇到攻击的时候,能够及时使得各类信息资源恢复到正常运行的状态。
(5)认证性
为了确保权限所有者和权限提供者都是同一用户,目前应用较为广泛的计算机网络信息系统认证方式一般有两种,分别是数据源认证和实体性认证两种,这两种方式都能够得到在当前技术条件支持。
2.2计算机网络信息管理中的安全性问题
大量的实践证明,计算机网络信息管理中存在的安全性问题主要有两种类型,第一种主要针对计算机网络信息管理工作的可用性和完整性,属于信息安全监测问题;第二种主要针对计算机网络信息管理工作的抗抵赖性、认证性、授权性、保密性,属于信息访问控制问题。
(1)信息安全监测
有效地实施信息安全监测工作,可以在最大程度上有效消除网络系统脆弱性与网络信息资源开放性二者之间的矛盾,能够使得网络信息安全的管理人员及时发现安全隐患源,及时预警处理遭受攻击的对象,然后再确保计算机网络信息系统中的关键数据能够得以恢复。
(2)信息访问控制问题
整个计算机网络信息管理的核心和基础就是信息访问控制问题。信息资源使用方和拥有方在网络信息通信的过程都应该有一定的访问控制要求。换而言之,整个网络信息安全防护的对象应该放在资源信息的和个人信息的储存。
3如何有效加强计算机网络信息安全防护
(1)高度重视,完善制度
根据单位环境与特点制定、完善相关管理制度。如计算机应用管理规范、保密信息管理规定、定期安全检查与上报等制度。成立领导小组和工作专班,完善《计算机安全管理制度》、《网络安全应急预案》和《计算机安全保密管理规定》等制度,为规范管理夯实了基础。同时,明确责任,强化监督。严格按照保密规定,明确涉密信息录入及流程,定期进行安全保密检查,及时消除保密隐患,对检查中发现的问题,提出整改时限和具体要求,确保工作不出差错。此外,加强培训,广泛宣传。有针对性组织开展计算机操作系统和应用软件、网络知识、数据传输安全和病毒防护等基本技能培训,利用每周学习日集中收看网络信息安全知识讲座,使信息安全意识深入人心。
(2)合理配置,注重防范
第一,加强病毒防护。单位中心机房服务器和各基层单位工作端均部署防毒、杀毒软件,并及时在线升级。严格区分访问内、外网客户端,对机房设备实行双人双查,定期做好网络维护及各项数据备份工作,对重要数据实时备份,异地储存。同时,严格病毒扫描。针对网络传输、邮件附件或移动介质的方式接收的文件,有可能携带病毒的情况,要求接收它们之前使用杀毒软件进行病毒扫描。第二,加强强弱电保护。在所有服务器和网络设备接入端安装弱电防雷设备,在所有弱电机房安装强电防雷保护器,保障雷雨季节主要设备的安全运行。第三,加强应急管理。建立应急管理机制,完善应急事件出现时的事件上报、初步处理、查实处理、责任追究等措施,并定期开展进行预演,确保事件发生时能够从容应对。第四,加强“两个隔离”管理。即内、外网物理彻底隔离和通过防火墙进行“边界隔离”,通过隔离实现有效防护外来攻击,防止内、外网串联。第五,严格移动存储介质应用管理。对单位所有的移动存储介质进行登记,要求使用人员严格执行《移动存储介质管理制度》,杜绝外来病毒的入侵和泄密事件的发生。同时,严格安全密码管理。所有工作用机设置开机密码,且密码长度不得少于8位,定期更换密码。第六,严格使用桌面安全防护系统。每台内网计算机都安装了桌面安全防护系统,实现了对计算机设备软、硬件变动情况的适时监控。第七,严格数据备份管理。除了信息中心对全局数据定期备份外,要求个人对重要数据也定期备份,把备份数据保存在安全介质上。
(3)坚持以信息安全等级保护工作为核心
把等级保护的相关政策和技术标准与自身的安全需求深度融合,采取一系列有效措施,使等级保护制度在全局得到有效落实,有效的保障业务信息系统安全。
第一,领导高度重视,组织保障有力。单位领导应该高度重视信息化和信息安全工作,成立专门的信息中心,具体负责等级保护相关工作,统筹全局的信息安全工作。建立可靠的信息安全基础设施,重点强化第二级信息系统的合规建设,加强了信息系统的运维管理,对重要信息系统建立了灾难备份及应急预案,有效提高了系统的安全防护水平。
第二,完善措施,保障经费。一是认真组织开展信息系统定级备案工作。二是组织开展信息系统等级测评和安全建设整改。三是开展了信息安全检查活动。对信息安全、等级保护落实情况进行了检查。
第三,建立完善各项安全保护技术措施和管理制度,有效保障重要信息系统安全。一是对网络和系统进行安全区域划分。按照《信息系统安全等级保护基本要求》,提出了“纵向分层、水平分区、区内细分”的网络安全区域划分原则,对网络进行了认真梳理、合理规划、有效调整。二是持续推进病毒治理和桌面安全管理。三是加强制度建设和信息安全管理。本着“预防为主,建章立制,加强管理,重在治本”的原则,坚持管理与技术并重的原则,对信息安全工作的有效开展起到了很好的指导和规范作用。
(4)采用专业性解决方案保护网络信息安全
大型的单位,如政府、高校、大型企业由于网络信息资源庞大,可以采用专业性解决方案来保护网络信息安全,诸如锐捷网络门户网站保护解决方案。锐捷网络门户网站保护解决方案能提供从网络层、应用层到Web层的全面防护;其中防火墙、IDS分别提供网络层和应用层防护,ACE对Web服务提供带宽保障;而方案的主体产品锐捷WebGuard(WG)进行Web攻击防御,方案能给客户带来的价值:
防网页篡改、挂马
许多大型的单位作为公共信息提供者,网页被篡改、挂马将造成不良社会影响,降低单位声誉。目前客户常用的防火墙、IDS/ IPS、网页防篡改,无法解决通过80端口、无特征库、针对动态页面的Web攻击。WebGuard DDSE深度解码检测引擎有效防御SQL注入、跨站脚本等。
高性能,一站式保护各院系网站
对于大型单位客户,往往拥有众多部门,而并非所有大型单位都将各部门网站统一管理。各部门网站技术运维能力相对较弱,经常成为攻击重点。WebGuard利用高性能多核架构,提供并行处理。支持在网络出口部署,一站式保护各部门网站。
“零配置”运行,简化部署
WebGuard针对用户,集成默认配置模板,支持“零配置”运行。一旦上线,即可防护绝大多数攻击。后续用户可以根据网络情况,进行优化策略。避免同类产品常见繁琐配置,毋须客户具备专业的安全技能,即可拥有良好的体验。
满足合规性检查要求
继08年北京奥运、09年国庆60周年后,10年上海世博会、广州亚运会先后举行。在重大活动前后,各级主管单位和公安部门,纷纷发文,要求针对网站安全采取措施。WebGuard恰好能很好的满足合规性检查的需求,帮助用户顺利通过检查。
4结束语
新时期的计算机网络信息管理工作正向着系统化、集成化、多元化的方向发展,但是网络信息安全问题日益突出,值得我们大力关注,有效加强计算机网络信息安全防护是极为重要的,具有较大的经济价值和社会效益。
参考文献:
[1]段盛.企业计算机网络信息管理系统可靠性探讨[J].湖南农业大学学报:自然科学版,2000(26):134-136.
[2]李晓琴.张卓容.医院计算机网络信息管理的设计与应用[J].医疗装备,2003.(16):109-113.
[3]李晓红.妇幼保健信息计算机网络管理系统的建立与应用[J].中国妇幼保健,2010(25):156-158.
[4]罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[J].交通科技,2009.(1):120-125.
[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.
