时间:2023-06-07 09:26:53
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全加固建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:等级保护;网络安全;信息安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03
随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。
1 网络信息安全等级保护
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。
图1 等级保护基本安全要求
1) 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
2) 主机安全
主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。
3) 网络安全
网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。
4) 应用安全
应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。
5) 数据安全
数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。
2 应用实例
近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。
图 2 医院网络信息系统安全区域划分图
2.1外网网络安全要求
系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。
2.2网络安全策略
根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略
1) 网络拓扑结构策略
要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2) 访问控制策略
访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3) 网络入侵检测策略
系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。
4) 网络安全审计策略
系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。
5) 运行安全策略
运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。
2.3网络安全设计
根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。
1) 网络访问控制
实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。
①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。
②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。
③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。
2) 网络入侵防护
外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。
①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。
②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。
3) 网络安全审计
信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。
由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。
①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;
②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;
③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;
④开启各区域服务器系统、网络设备和安全设备的日志审计功能。
4) 其他网络安全设计
其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。
①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;
②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。
③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。
3 结束语
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
参考文献:
[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).
[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术,2013(33).
路由器是局域网之中非常重要的一种网络设备,其主要在网络层实现子网之间以及内外数据的转发,是不同网络之间进行数据交换及通信的一个重要通道。当前,很多路由器可集成防火墙等安全模块,对网络起到安全加固的作用。所以,路由器往往是病毒入侵的第一道屏障。目前,各大小石油企业均使用Cisco(思科)路由器及交换机对该企业局域网进行安全加固,从而在很大程度上提高了石油企业的网络安全以及提高了企业的生产效益。
【关键词】Cisco路由器 交换机 安全加固
由“木桶”原理可以得知,一个木桶可以装多少水,受到该木桶最短的那块木板所决定。具体到信息系统的安全也是同样的道理,整个信息系统的安全程度也受到信息系统之中最薄弱的环节所决定,网络作为信息系统的主体,其安全需求的重要性是显而易见的。本文主要对石油企业Cisco路由器及交换机安全加固措施进行分析,旨在为石油企业的网络安全运行提供一定的参考依据。
1 概述
目前,很多石油企业局域网的建设全部或者部分采用Cisco(“思科”)的路由器与交换机,究其原因,笔者认为,这主要是由于该设备的功能非常强大,工作性能稳定性好,其互联网操作系统(IOS)在网络安全策略等方面均具有独特的考虑,使用IOS的安全策略功能,不需要单独地购置安全管理软件,就能够很好地实现绝大部分的安全功能,使得石油企业局域网运行于较安全的环境之中。
运用Cisco的路由器与交换机,构筑成为一个典型的基于第三层交换技术的高性能千兆石油企业局域网,其具体拓扑结构示意图如图1所示,以Catalyst-4006作为核心交换机,5台Catalyst-2950G构成汇聚层,20台Catalyst-2924与Catalyst-1924构成接入层,1台4500型路由器做边缘路由器,通过2MDDN线路与CERNET地区网络中心相连接,1台2511型做远程访问服务器,作用是提供拨号用户使用。
应用Cisco路由器与交换机,石油企业可实现如下几个方面的网络安全策略:路由器安全策略、用户主机安全策略、交换机安全策略、服务器安全策略以及网络访问安全策略等。
2 Cisco路由器安全加固策略
众所周知,对于一个网络而言,路由器是网络的核心部分,其实际配置情况对整个网络的正常工作与运行均具有十分重要的意义与价值,在实际过程中,应只允许授权的主机对路由器进行远程登录,而禁止未授权的主机进行登录。在路由器的全局配置条件下,设置标准访问控制表,且在全部的虚接口上进行应用,应用的方向为in,如此,就能够很好地保证只有授权的主机远程登录路由器且修改其配置,实际过程中,路由器的主要配置为:
access-list 1 permit 202.115.145.66 line vty 04
access-class 1 in
表示仅允许主机202.115.145.66远程登录至路由器。
3 Cisco交换机安全加固策略
3.1 Cisco交换机地址的配置
为了能够便于管理,可将交换机配置IP地址。例如可将IP地址进行配置,192.168.0.0,就能够禁止非本企业的主机对交换机进行访问。将企业内全部的交换机均应置于一个虚拟网络之中(常见的为VLAN-2)之中,在交换机之中可进行如下配置:
Interface vlan 2
in address 192.168.0.3 255.255.255.0
3.2 配置允许访问交换机的主机
经过上述的安全加固策略的实施,Cisco交换机的访问被限制于石油企业内部,而且还能够在石油企业内部网络的三层交换机4006上面,将访问控制表进行配置,将其用于Cisco交换机的虚拟网络之中,应用的方向属于in,仅仅允许石油企业内所指定的主机能够访问该交换机所在的虚拟网络,而其他主机(如其他石油企业的主机)不能对该虚拟网络进行访问,那么这就阻止了其对本石油企业Cisco交换机的访问,因此也就无法获取本企业Cisco交换机中的任何数据。在三层交换机4006型上进行如下的配置:
access-list 10 permit 202.115.145.66
interface vlan 2
in access-group 10 in
经过上述安全加固策略的实施,只有IP地址为202.115.145.66的配置能够访问本石油企业局域网网络交换机。
3.3 允许远程登录交换机主机的配置
允许访问交换机的主机,应该注意对远程登录该交换机的过程进行限制。只允许被授权的主机进行登录,从而对相关的配置参数加以修改。在交换机的全局配置条件下,设置标准的访问控制表,用于虚拟接口的0~15上面,应用的方向为in。交换机上面的具体配置如下:
access-list 1 permit 202.115.145.66
line vty 0 15
access-class 1 in
如此,仅仅允许主机202.115.145.66对交换机进行远程登录,从而能够修改交换机的具体配置。
4 结论
综上所述,本研究主要对Cisco路由器与交换机在石油企业网络之中的安全策略。若在石油企业网络构建过程中,采用本文所提出的网络安全解决策略,能够很好地满足石油企业的绝大多数安全需求,以最大程度地减少网络建设所需的各种费用。
参考文献
[1]张秀梅.网络入侵防御系统的分析与设计[J].信息与电脑,2009(07):1-2.
[2]马丽,袁建生,王雅超.基于行为的入侵防御系统研究[J].网络安全技术与应用,2010(06):33-35.
[3]郭翔,谢宇飞,李锐.校园网层次型网络安全设计[J].科技资讯,2010(9):26.
[4]杨森.浅谈思科路由器使用安全对策[J].房地产导刊,2013(7):371-372.
[5]王均.杨善林.VLAN技术在网络中的应用[J].电脑与信息技术,2000,(2).
作者单位
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
【关键词】组织机构代码;数据安全;体系建设
Research of the Xinjiang Organization Code Data Security System Build
Ke Junfan
(Xinjiang Studio of Standardization, Urumqi 830000, China)
Abstract:Protection organization code data from malicious attacks and sabotage, Xinjiang organization code management departments must be considered and resolved the problem. The article describes the Xinjiang organization code data security system construction, and all levels to play in this system.
Keywords:Organization Code; Data Security; System Build
1、绪论
1.1组织机构代码系统面临的问题
网络的普及使计算机系统所处的环境变得日益复杂,为了提供完善的功能,大量的应用软件、服务软件安装到计算机系统中,软件本身的瑕疵和软件之间可能的冲突都成为威胁计算机安全的隐患。通过公共网络,计算机系统暴露在潜在的、形形的用户之前,非法用户的恶意攻击、合法用户的误操作都可能给计算机系统带来安全威胁。组织机构代码建设与应用系统也是如此,越来越开放的系统将面对更加复杂的工作环境,为了保障系统在新的网络环境中安全、稳定、可靠的运行,必须通过不断提高自身的安全防护技术水平,引入科学高效的安全管理,强调全面准确的安全评估等措施来实现系统整体的安全性。
1.2新疆组织机构代码安全体系建设的目标
组织机构代码的数据安全体系的研究通过部署安全系统,投入技术力量,加强网络安全管理等方式确保组织机构代码数据信息的机密性、完整性、可用性、可控性与可审查性,最终达到如下目标:
1)合理管理和分配网络资源,防止滥用网络资源导致网络瘫痪;
2)抵御病毒、恶意代码等对信息系统发起的恶意破坏和攻击,保障网络系统硬件、软件稳定运行;
3)保护重要数据的存储与传输安全,防止和防范数据被篡改,建立数据备份机制和提高容灾能力;
4)加强对重要敏感数据信息的保护,确保数据的机密性;
5)构建统一的安全管理与监控机制,统一配置、调控整个网络多层面、分布式的安全问题,提高安全预警能力,加强安全应急事件的处理能力,实现网络与信息安全的可控性;
6)建立认证体系保障网络行为的真实可信以及可审查性,并建立基于角色的访问控制机制。
2、代码数据安全体系建设中面临的风险
2.1互联网攻击
组织机构代码各类业务系统基于B/S架构开发,是面向互联网的开放式业务平台,同时对互联网用户提供公开的信息查询服务,因此很容易受到黑客的攻击,针对互联网的常见的攻击行为有:主页篡改、拒绝服务攻击、网络假冒、黑客渗透。
2.2内部破坏
与外部攻击不同,内部破坏往往由内部合法人员造成,他们具有对内部系统更多的访问权限,因此内部人员的恶意或无意破坏,对代码系统的安全、可靠运行将造成更大的影响,如:内部恶意破坏、内部无意破坏、技术缺陷。
2.3管理风险
随着组织机构代码数据库应用推广工作的开展,为社会提供更全面服务的目的,代码各类业务系统的不断增加,网络结构也在日益复杂,安全防范技术与管理方式逐渐不能适应越来越复杂的应用需求。主要表现在缺乏整体安全策略,没有统一规范的安全体系建设标准,安全职责划分不明确,各业务系统的安全防护程度不高、人员安全意识不强、缺乏统一的安全管理平台、操作流程和指导手册等。
3、代码数据安全体系建设研究的路线
新疆维吾尔自治区组织机构代码系统将现在和将来的安全建立一个安全体系框架。参考照国家信息安全等级保护相关政策与技术标准,从安全技术和安全管理两个方面进行比较,有针对性的提出现有机房基础环境、网络架构、安全保护设施和管理制度等方面的基本差距、安全漏洞和隐患。
按照体系化的设计思想从全局性策略出发,以互联互通的安全技术为保障,以平台化的管理工具为支撑,以长期可靠的安全运维保障和规范化的安全管理为辅助,结合现有管理制度,制定信息安全管理策略和制度。建立科学的安全运维服务体系,做到系统故障“三早方针”,早发现、早报告、早解决,确保系统、网络和应用的连续性、可靠性和安全运行,降低发生故障的可能性,提高整体的系统运行维护管理水平和服务保障能力,来为保障组织机构代码数据安全,搭建出真正能够有效对抗威胁的安全体系建设为目标。
4、代码数据安全体系建设
4.1物理环境安全
物理环境安全就是为组织机构代码系统提供机房、电力环境保障以及设备、设施和介质防灾、防盗、防破坏等防护措施的基础环境安全。因此物理环境安全是整个安全体系的根本。
因此代码系统数据中心机房设计应严格按照GB9361《计算机场地安全要求》、GB50173《电子信息系统机房设计规范》、GB2887《计算站场地技术条件》中的A类机房的指标进行设计、建设和实施,来符合物理环境安全的要求。物理环境安全应考虑的主要因素有环境安全防护、设备安全保护、线路安全防护和媒体介质的安全保护等四个方面。
4.2链路及网络安全
对网络集成结构规划采取满足最高使用率设计的同时全面考虑网络链路使用时的通信安全,是链路及网络安全防范工作的最终任务。链路及网络结构根据网络安全域划分方式进行网络集成方法,是提高链路及网络安全防范能力的最佳选择。新疆维吾尔自治区组织机构代码系统用户,从业务相似性、数据资源相似性、安全需求相似性、地域环境相似性等特点,分为省、地、县三级业务办理终端用户、数据安全管理用户和覆盖全疆的申报、查询等用户类型。将网络系统根据业务访问关系划分为多个安全区域,然后根据各个安全区域的特点分别有针对性地设计保护措施和安全策略,将大大提升防护的有效性,同时也能体现出数据资源的重点防范功能。因此采用基于安全域的安全设计方法是非常有效的。
4.3系统层安全
1)操作系统安全加固。主要通过对操作系统人工方式进行安全加固来实现系统层安全防护,实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制、三权分立的管理、管理员登录的强身份认证、文件完整性监测等功能。
2)漏洞扫描系统。在组织机构代码数据安全网络系统核心交换区旁路部署一套漏洞扫描系统实现全网网络设备、服务器及安全设备的漏洞扫描。并提供安全建议和改进措施等功能,帮助安全管理人员控制可能发生的安全事件,最大可能的消除安全隐患。
4.4应用层安全
病毒防护是在代码数据安全架构应用层进行防护措施的关键部分,所以需要在组织机构代码数据安全系统网络核心服务器区域部署网络版防病毒中心,来实现网络安全核心服务器和终端用户计算机防病毒统一集中管理,在服务器与终端上有效查杀,威胁正常运行的木马、蠕虫病毒等恶意代码。
4.5数据安全
数据安全是实现组织机构代码数据安全体系架构的最终目的,根据所使用的SQL数据库可采用人工方式实现数据库网络加密、数据库加密和强身份验证等安全策略,并可通过数据库审计系统进一步强化数据库资源的安全管理和使用。
1)数据库人工安全加固。通过强身份验证、网络加密策略、网络传输数据完整性、存储数据完整性校验完成。
2)数据库审计系统。组织机构代码数据安全网络系统核心交换区旁路部署一套数据库安全审计系统,对代码应用系统和数据存储区域流经交换机的所有数据库操作信息进行审计,通过记录、分析所有数据库的操作、应用信息,及时、有效分析出数据库系统中发生的安全事件。
4.6安全管理
安全管理是通过全面有效的管理方式及制度,来制约在每一个安全环节中人为因素对安全架构造成的威胁及危害,安全管理主要在管理制度方面分为:中心机房管理制度、网络运维管理办法、信息系统运维管理办法、业务系统应用管理办法、数据安全事故处理应急预案等。组织机构代码数据安全体系架构中,各项管理制度的建立并实施,在安全体系建设以及运作过程中至关重要,可以说安全管理也是整个安全体系的总制度。
5、总结与展望
5.1总结
织机构代码的数据安全体系的研究通过部署安全系统,投入技术力量,加强网络安全管理等方式确保组织机构代码数据信息的机密性、完整性、可用性、可控性与可审查性,建设新疆维吾尔自治区组织机构代码数据安全系统,按照数据安全体系的设计目标,完成了物理环境安全、链路及网络安全、系统层安全、应用层安全、数据安全和安全管理等六个层面的设计内容,确保组织机构代码数据信息的机密性、完整性、可用性、可控性与可审查性的研究。
5.2展望
各类代码业务系统稳定运作,代码数据的安全、可靠的使用,实现代码数据安全体系的整体安全性,是为全区的电子政务建设提供规范、完整、实效的组织机构基础信息资源,为政府部门全面、快速、准确的掌握组织机构的社会和经济行为信息,增强宏观调控和决策能力的技术支撑,是企业、个体在社会经济行为中准确把握机遇,促进产业发展的信息源泉。
参考文献
[1]全国组织机构代码中心.组织机构代码管理信息系统建设与维护相关法规和文件选编[M].北京:中国计量出版社.2009.
1 网络信息安全的定义与基本内容
网络安全的基本定义是利用相关技术进行数据处理系统的建立与维护,保证计算机硬件、软件不遭到毁坏,对数据进行有效的保护,防止其通过恶意手段遭到破坏,保持网络的完整性、保密性、可用与可控性。
硬件安全指的是网络硬件媒体设备的安全,包括主机系统、终端设备以及防火墙、服务器等的安全[1];软件安全指的是保证计算机网络中软件功能的完整性与准确性;数据安全指的是保证网络中储存与传输数据的安全,避免非法篡改、解密等,是网络安全的核心。
2 信息化校园网络面临的安全问题
校园网涵盖了教学、管理、通讯等方面的功能,教师可以通过网络进行教学工作,方便与学生的远程学习,校园网学习信息资源管理系统的建立有效的实现了学校与学生之间信息的透明化与共享化,学生可以通过校园网进行信息综合管理与数据交换。
随着校园网络的快速普及,相关的安全问题也日益增加,由于技术资金的落后,在高职院信息化校园网络的建设中没有完善的防范措施,硬件设施薄弱,软件系统的安全建设不够完善;网络管理缺乏安全机制,专业管理人员少,无论是自身的网络管理还是对设备管理都缺乏经验与技术,导致对网络安全问题不能进行及时的监控与反馈,使网络安全缺乏可控性。
3 信息化校园网络安全的技术保护措施
3.1网络多出口的规范
校园安全体系与架构的建设是信息化校园网络的基本管理措施,近几年高职校园网网络架构的多出口特点给网络安全带了严重的影响,多出口不利用整体网络的规范化管理。校园网络管理机构应对现有的网络架构进行合理的优化与改造,对出口进行规范与监制,出口的统一化、专业化的管理为校园网络安全体系的构建奠定基础。
3.2配备完整的系统的网络安全设备
校园网络结构庞大而复杂,但是从架构特点分析,它是属于局域网技术领域。控制局域网的独立性,保证其与外部连接的安全为网络安全的管理与规范提供了思路,具体的方法是在局域网与外部网络接口的连接处设置硬件与软件的监理设备,保持对连接处网络安全的控制与管理[2]。当代社会的校园网络都是基于高速层面的网络,我们必须降低一切硬、软件设备对网络性能不同程度的影响,因此使用了以下设备进行网络安全防护:
(1)高性能的硬件防火墙:防火墙是本地网络与外界网络之间的防御系统,它是可以实现隔离风险的网络安全模型,高性能的防火墙有过滤、链路级网关和应用级网关等方面的性能,为网络防御提供了更好的安全性。
(2)入侵检测系统与防病毒、漏洞扫描系统:入侵检测系统为网络黑客的检测与反馈提供了很好的措施;建立完备的防病毒与漏洞扫描系统为非法访问提供了解决方法,有助于抑制网络不良因子的扩散与影响。
(3)网络故障检测系统:利用故障检测系统科实现对校园网络进行实时的诊断,有利于及早发现故障,进行系统的清理与优化。
3.3 建立全校统一的身份认证系统
身份认证系统是解决校园网络安全问题的基本方法,用身份证与有效的ID信息进行网络认证与使用有利于对网络安全的监管,若发现不良的网络问题,可以通过身份认证的方式进行有效的处理,有利于减少信息监控的成本,并对个人良好的网络素质与信用的提高起到了很大的作用。
虽然近几年各高职校园网络管理机构进行了身份认证系统的建设与完善,但是应用系统在通用性、权威性与安全性上还有一定的不足与差距,因此在校园网络的规范建设中还存在危险漏洞。在高职校园网络建设中应实现全校统一的身份认证系统,使非合法用户无法使用校园网络,避免再认证中出现缺口与问题,这有利于校园网络由于上网身份出现的安全隐患的彻底解决。
3.4对上网场所集中进行规范和监控
高职校园应该鼓励广大师生在公众场所使用网络,不仅对网络教学的普及有作用,还有助于实行网络统一的管理与监控。在公众场所必须进行身份认证,使用机房固有的安全学习软件,有利于有效的保证网络安全。
但是现在高职校园的网络管理系统处于孤岛的状态,学生上网的地点分散,很多身份难以识别与认证,对于分散的网络行为的监管也难上加难。“还原卡”的普及更降低了很多高职校园信息化网络的管理能力,因此要尽快实现网络的集中认证,利用中心监控服务器进行网络行为的监管,通过日志备查保证信息化网络的安全性。
3.5改造电子邮件系统,建立完善的恢复机制
高职院校免费的电子邮件系统已经明显不适用于现代网络系统的功能,这成为现在校园网络安全的主要隐患。因此应该对电子邮件系统进行改造,提高其过滤有害信息的能力和及时的反馈能力;增加数据传输的设备,为校外教师或外出人员通过提供隧道连接,使他们安全进入校网电子邮件系统;建立完善、成熟的
备份软件与恢复机制,减小由于数据损坏与信息泄露造成的损失,也有助于整个网络系统的稳定运行。
3.6 校园网络的系统层安全设计与管理
充分宣传校园网络自动更新服务,引导师生们深入了解防病毒软件的使用,及时安装补丁,加固操作系统;加强师生们对用户信息与账户安全的设置,利用系统服务设置更好的保证私人以公共计算机网络的运营,定期做网络巡检与监控。
1.1电力调度自动化系统和网络结构缺乏规范由于电力调度自动化系统的建设处于不同时期,在管理方面没有进行统一的规划,使得网络结构混乱,如安全管理、岗位授权和账号口令等环节的设置都形同虚设,远没有达到安全管理方面的要求。
1.2物理安全管理方面隐患多多电力调度自动化的物理安全隐患主要存在于两个方面:自然因素和人为因素带来的安全隐患。自然因素主要是指雷击、洪水、台风和滑坡等自然灾害所导致的通电线路损坏,使得电力调度自动化系统无法对重要场站进行监控;人为因素主要指通信器材与自动化的设备被偷窃,以及通信线路被野蛮施工破坏,从而导致电力调度系统出现障碍。
1.3安全管理人员素质有待提高很多电力自动化的管理人员缺乏网络安全意识。一方面管理人员随意拷贝或者泄露系统信息,使得电力调度自动化系统的数据失去有效监控;另一方面管理人员缺乏职业素养,没有按照规定流程实施安全技术方面的操作,从而为电力调度自动化系统的安全埋下隐患。
1.4缺乏有效的网络安全管理措施部分电力企业对网络安全的管理的力度不够,没有对企业内网网络进行安全分区和隔离。当企业网络遭到不法分子的恶意攻击时,会因为缺乏有效防御措施,而使电力调度自动化的网络系统出现运行障碍。
2电力调度自动化网络安全管理需要遵循的原则
2.1整体化原则电力企业想要电力调度自动化的网络系统免受恶意攻击的破坏,就需要加大网络系统的管理力度,建立和完善系统化的安全保障机制,如做好网络系统的安全防护、安全监测和安全恢复等方面的机制建设。这些安全机制的职能各不相同,安全防护机制侧重于分析威胁系统安全的因素,负责网络系统的防护;安全监测机制侧重于监测系统运行状况,并依据检测结果发现与阻止外部力量对系统的入侵;安全恢复机制侧重于防护机制失效后,最大化地恢复系统信息,将系统被破坏的程度降到最低。这些安全机制彼此相互协作,保证电力调度自动化网络系统的安全。
2.2等级性原则电力调度自动化的网络系统需要分成不同的等级,这样既有利于管理人员对信息进行层次化的管理,也有利于管理人员选择安全的算法和机制,以满足电力调度自动化网络中不同层次的多种需求,从而确保电力调度自动化网络系统的安全平稳运转。
2.3一致性原则管理人员在安全管理的过程中需要保持电力调度自动化网络系统的安全需求与安全结构相一致,这有利于电力企业依据实际情况开展系统安全的维护工作。因此,电力企业在建立电力调度自动化网络的时候,就需要做好相应的安全对策工作,建立系统的安全措施。
3加强电力调度自动化网络安全管理的措施
3.1加强物理安全隐患的防治工作在预防雷击和洪水等自然因素对电力调度自动化网络安全的破坏方面,电力企业的工作人员需要及时对室外设备进行加固和整治存在的安全隐患,而在处理静电问题时,技术人员需要做好主板和内存条拆装过程中的静电预防工作,以面因电脑软硬件的损坏而影响电力调度自动化系统的安全运行。在治理盗窃和野蛮施工等人为因素对电力调度自动化网络安全造成的破坏方面,电力企业既要加强对电力网络安全重要性的宣传,以减少盗窃通信器材和自动化设备等犯罪行为的发生几率,又要做好与公安系统的协作,对偷窃行为进行严惩,对不法分子起到震慑的作用。
3.2提高自动化管理人员的综合素质电力企业需要加强对自动化管理人员的网络安全教育和职业素质培训。电力企业可以定期组织管理人员进行网络安全知识培训。同时,电力企业需要加强对管理人员的专业技能培训,掌握全面的网络安全管理和维护技术。
关键词:信息安全;安全风险;风险防控
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-03
随着大型企业信息化建设的逐步深入,对信息系统的依赖程度不断提高,信息系统的稳定运行直接关系到社会秩序与国计民生。企业伴随着各信息系统的建成,信息化水平不断提高,信息系统对业务的支撑作用更加明显,迫切需要提高信息安全保障能力,保证网络基础设施与信息系统的安全、可靠运行。
为了加强大型企业信息系统的安全防护,按照《国家信息化领导小组关于加强信息安全保障工作的意见》文中明确提出的“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估"的指导建议,本文对信息系统进行风险评估,确定系统缺陷和安全需求,提出整改建议,为大型企业整体信息安全解决方案提供基础资料和有力依据;结合国家关于信息系统安全等级保护的相关要求,评价已有信息安全建设的适当性、合规性,分析所面临的威胁、影响和脆弱性及其发生的可能性,最终得出所面临的风险,并提出整改建议,为大型企业信息安全战略发展提供参考。
一、大型企业信息安全面临的风险
(一)风险概述
安全风险是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全风险是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全风险的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。这将导致对安全风险的认识出现偏差。
(二)威胁类别
分析存在哪些威胁种类,首先要考虑威胁的来源,信息系统的安全风险来源如下。
对安全风险进行分类的方式有多种多样,针对上表威胁来源,可以将威胁分为以下种类。
二、信息安全风险防控
(一)信息安全风险防控思路
根据大型企业目前信息安全工作的现状,为了充分的利用现有资源、节约成本,并能够有效的对信息资产进行充分保障,我们提出“集中管控、纵深防御”二点方针:
1.集中管控:减少攻防界面是成本较低、成效显著的防御方法。随着网络设备、服务器主机、安全设备的不断增加,网络拓扑日益复杂,如能对安全设施进行集中管理,控制安全边界将能够有效地降低安全成本;
2.纵深防御:现有的任何防护措施都不能完全保证信息系统不发生安全事件,通过多级的安全防御部署,能够在出现未知漏洞外层防御措施失效后,控制安全事件造成的影响,减少损失。
基于以上两个观点,结合大型企业信息安全的现状,制定如下思路:
由于大型企业的网络复杂庞大,在未来的网络安全建设上建议采取大面上封堵,重点防御的策略。大面上封堵即阻断传统终端--网络—服务器—存储的访问方式;重点防御是指采用用户集中通过统一平台访问的方式实现业务应用,然后重点做好统一平台的安全防御工作;
在上述大思路的指导下,未来的网络安全建设还需要重点做好数据中心的网络安全防护工作,即不仅要防止由于服务端口开放带来安全风险,还应该重点防御深度注入web应用类型病毒所带来的安全风险,因为目前集团绝大多数的应用系统为B/S架构下通过web访问方式实现访问。
(二)信息安全风险防控蓝图
本文针对信息安全风险防控的蓝图拟从网络、主机、应用和数据4个方面来对大型企业的信息安全建设提出建议,如图所示:
大型企业信息安全建设规划蓝图
(三)信息安全风险防控措施
信息安全风险防控措施的基础工作是访问控制的细化。建议倾向于安全域的划分的思想,但不强调必须要进行安全域划分的表现形式。与网络相关的控制措施主要有以下3个方面:
1.单点故障:核心链路的各种网络设备往往为单台设备运行,诸如核心交换机、路由器以及防火墙等,一旦出现故障,将对网络的可用性造成严重影响,直接影响内外网间的访问,建议增加核心链路的设备数量,考虑进行双机热备。
2.边界控制:从网络整体来看,如果互联网出口数量较多,一旦发生来自网络外部的安全事件,判断和溯源难度大,管理分析成本较高,需要对企业网络的互联网边界适当管控,关闭或对互联网出口增加监管;
3.VLAN隔离:在服务器机房中存放的服务器主机的资产重要程度是不同的,部分主机所有互联网用户可以访问(如:门户网站),部分主机只有内部人员或内部部分人员可以访问(如:OA、ERP等)如果这些主机都划分在同一VLAN中,一旦任意主机出现安全事件,很容易影响到统一VLAN中的其他主机。需要对业务重要程度不同,系统应用耦合度小的主机间进行网段或其他方式的隔离,降低影响。同时通过隔离,一旦出现病毒、蠕虫等恶意代码,也能够方便管理人员排错和修复,提高网络管理效率。
三、结论和建议
(一)建立事前预警机制
一、我省财政系统网络安全建设基本情况
辽宁省财政厅的办公局域网系统建于1996年,经过几坎改造升级后,现在已经做到全厅800多节点速度全部为100M。安全建设方面,我们除了将厅办公局域网与其他物理网络隔离开之外,在厅局域网核心交换机和核心路由器之间,我们使用了1台东软防火墙,用以保障厅内各应用服务器避免受到来自外联单位的攻击。同时还在核心交换机上部署了IDS入侵检测设备和“天镜漏洞扫描系统”软件,以及“局域网综合网络管理平台”和“局域网流量管理”两套软件。用以保护厅内办公人员的终端系统安全。病毒防范方面我们统一采购了“趋势防毒墙”防病毒软件。在数据存储方面,我们将“国库集中支付”、“非税收入管理”、“办公自动化”等重要应用系统的数据集中迁移到可靠性更高的HP EVA5000存储设备上,并通过veritas备份软件每天将重要应用系统的数据集中备份到HP6030磁带库设备上,为各应用系统的数据安全提供一定的保障。各市财政系统在网络安全建设方面也都大体与省厅类似,基本上都在自己的办公局域网络边界配置了各种品牌的防火墙设备用以保障本地办公网络的安全,以及部署了“趋势”、“瑞星”等网络版杀毒软件用以防范网络病毒。
二、财政系统网络信息安全面临的问题
1 网络黑客攻击。黑客是网络的天敌,根据我国财政信息化网络建设的现状。黑客攻击又分为来自内部的隐性攻击与来自外部的显性攻击。黑客通常具有计算机系统和网络脆弱性的知识,能使用各种计算机工具非法侵人重要信息系统,窃听、获取、攻击有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。
2 网络病毒破坏。20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
3 信息传输中的隐患。信息传输过程中的信息损耗、被窃取越来越威胁到财政信息的安全。为了防止在通信传输过程中对信息的窃取和篡改,可采用VPN加密、IDS监控等安全手段,以保证网络传输协议中网络层的安全。不断进行系统安全加固处理,将财政安全隐患扼杀在传输过程中。
4 缺乏严格的安全管理制度。财政信息化改革才刚刚起步,有很多规章制度还不成熟,没有严格的安全管理机制,缺乏整体安全方案,还没有可以借鉴的经验,机房、网络的混乱管理造成了财政信息网络安全的隐患,一旦出现问题,造成的损失将是无法估量的。
5 各方面防范措旋不到位。财政信息网络是复杂而庞大的,财政信息网需要承担的任务有很多:web网站、办公自动化、各业务软件的正常运行、实现与上级的联网、保障各县区网络畅通等等,这样,不可避免地要面对来自各个方面的攻击。例如,web站点遭受的恶意代码攻击等。
三、保障财政系统网络信息安全的对策
1 转变观念,增强网络安全忧患意识。现在,财政系统信息化建设刚刚开始,仍处于探索阶段,许多部门和个人的安全忧患意识还尚未形成,对计算机网络安全技术还未能给予足够的重视。对于这种情况。仅仅依靠信息部门的努力还不够,也要有领导和管理部门来搭台。然后由信息部门唱戏。让业务部门和应用人员从思想上认识到网络安全的重要性,然后才能在实际工作中处处注意安全防范,对的财政信息,处理时真正做到“如临深渊,如履薄冰”。
2 培植系统健壮性,提高系统自身防范能力。选择安全性能良好的系统作为财政网络的信息平台,才能从根本上保证信息网络的安全。及时升级、更新操作与应用系统。选用网络版的杀毒软件,通过控制中心对整个财政内部网络进行监控,把病毒扼杀在摇篮中。购买了反病毒软件、防火墙软件,只是实现网络安全的第一步,是否充分发挥了安全产品的作用。是否定期去升级最新病毒代码,定期检查网络的每个终端配置是否正确,运行是否正常等等,这些才是防范病毒、黑客,保证网络安全畅通的关键所在。采取对用户口令、指纹的识别等手段来识别合法的用户。采用用户身份认证机制,确保对系统资源的合法使用。采用具有安全机制的数据库系统和其它系统软件,加强对使用事件的审计记录的管理,以保证财政信息在网络协议系统层的安全。
实施“1+3”安全管理模式 提升统计信息“五防”能力
随着科技发展水平的不断提高,目前我国已经全面进入信息化社会,而统计数据作为信息的主要载体,其安全问题至关重要,一旦数据被窃取、破坏或非法使用,将对国家安全造成严重危害。
今年以来,**县统计局以加强统计网络信息系统安全为抓手,推行“1+3”工作模式,提升安全防护水平,增强防攻击、防篡改、防病毒、防瘫痪、防窃密能力。
“1”是专门成立了统计信息中心,核定编制4名,负责维护全县四上企业联网直报系统和县级统计门户网站。信息中心以“防控结合,预防为先”的工作思路出发,提高网络信息安全能力,强化工作人员在网络化办公过程中的信息安全意识。最大限度地预防和减少了网络安全事故的发生,维护统计信息安全。
“3”是**县统计局对信息安全管理高度重视,明确“谁主管谁负责、谁使用谁负责”的网络安全责任制,对网络安全隐患、苗头早发现,快上报、早掐断、快处置,保证人员到位,责任到位,处理到位。具体做到“三个强化” :
强化基础建设。完成了县局内外网物理隔离改造,增添了网络机柜、路由器、防火墙、交换机等机房设备用于互联网,为每间办公房增加网络布线,增添购置电脑、打印机等设备,实现了统计网与互联网的双布线双终端,提高了工作效率。
强化制度保障。实行领导审查签字制度,凡上传网站的信息,须经有关领导审查签字后方可上传;实行定期安全检查制度,重点抓好硬件安全、网络安全、应用安全“三大安全”排查;实行专机上网制度,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、u盘、移动硬盘等管理、维修和销毁工作。
强化节点管理。县统计局在做好全县统计信息系统网络安全监测的同时,加强对重要节点时期网络信息系统监测、排查和加固,全县统计信息系统全面适时进行升级扫描和各类应用系统补丁更新,适时添加防火墙阻断策略,关闭不必要的应用服务进程和通讯端口,做好各类应用系统的弱口令监测并强制更新强化,确保重要节点、时期统计网络信息系统安全。
关键词 说课 信息安全 教学 课程
中图分类号:G424 文献标识码:A
0 引言
本课程为信息安全专业职业岗位课程,服务于高职高专人才培养规划,坚持以行动任务为导向,工学结合培养为主线的人才培养模式。培养学生从事网络安全方案设计、网络操作系统安全部署、网络维护、信息安全管理等相关工作。本文从课程定位与目标、课程设计、教学内容和组织、教学组织与实施、实践条件与教学效果、教学队伍、教学改革与特色创新七个方面对课程进行详细的阐述,对教学理念进行符合高职教学规律的深层次的梳理。
1 课程定位与目标
1.1 岗位需求(如图1)
1.2 课程定位
信息安全基础是高职高专3年制信息安全专业的一门必修职业基础课程,一般安排在第一学期开设,在专业课程体系中起着引领专业课程体系的作用,其后续课程为安全防护工具、服务器安全防护和防火墙配置应用。
1.3 课程学习目标
(1)学习能力目标。通过本课程的学习,进一步培养学生的自主学习能力,掌握网络安全防护的基本过程和方法。
(2)职业能力目标。了解我国网络安全状况和相应的政策和法律法规,熟悉网络安全防护项目的实施过程和要领,能够熟练进行客户机和服务器加固操作,能够设计和实施中小型网络的安全防护方案,了解大型网络安全防护方案的设计与实施要领。
(3)职业素养目标。通过项目设计培养学生的统筹规划能力和工程文档编写能力,通过项目合作培养学生的团队合作意识和能力。
2 课程设计
以培养学生从事网络构建、网络管理与维护工作岗位所需的知识与技能为中心来组织教学。信息安全基础的课程开发流程:市场调研与召开实践专家研讨会 确定相关职业岗位群的典型工作任务 归纳行动领域 行动领域转换为学习领域 学习情境设计 学习子情境设计 课程教学资料建设 实际教学检验。为了保障课程与技术发展相一致,建议完成每个教学周期后,课程组均要依据以上课程开发流程对课程标准和课程内容进行修订。
3 教学内容和组织
3.1 教学内容选取
根据当前网络安全项目的规模,可将网络安全防护客户划分为普通网络用户(ADSL接入)、中小型网络和大型网络,由此根据教学单元设计内容涉及信息安全基础知识、信息系统安全体系、信息加密技术和网络安全实用技术方面来确定网络安全防护学习领域的学习情景如图2。
3.2 教学内容子情境设计组织
(1)普通网络用户安全防护学习子情境设计如表1。
(2)中小型网络安全防护学习子情境设计如表2。
(3)典型校园网全防护学习子情境设计如表3。
4 教学组织实施与重点难点
4.1 教学组织实施
在整个教学过程中,学生一般以小组的形式进行工作学习。在任务工作过程系统化设计情境学习中,要求每个小组选出一名同学担当组长,组长的职责是负责全队的组织协调,分配任务,组织讨论,提交实践报告,成果演示录像呈现,给其他组员评分等。
在具体实施教学过程中,本课程组把基于工作过程教学模式中的六步行动过程总结为教学中的四个环节:任务明确、教师示范、学生实践、展示评价。在这四个环节中,分别把握学生应该掌握的知识和任务,顺利完成教学和对学生的训练。
4.2 教学重点
普通网络用户安全防护方案的制定与实施:由教师首先讲解并演示Windows XP的安全防护操作,学生先学后做;教师指导学生进行Vista安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行Windows 7安全防护方案的设计与实施。
中小型典型网络的安全防护方案的制定与实施:由教师讲解典型网站安全防护方案的设计与实施,学生先学后做;教师指导学生进行典型网吧安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行典型企业网络安全防护方案的设计与实施。
4.3 教学难点
网络安全防护工程方案的设计与实施:通过Windows XP、Vista、Windows 7、典型网站、典型网吧和典型企业网络安全防护方案的设计与实施,掌握一般网络安全防护方案的设计与实施。
5 课程考核标准与教学效果
6 教学队伍
本课程教学团队现授课教师有7人,专业学术带头1人,专职教师中副教授2人,讲师3人,助教1人;其中具有硕士学位2人,在读硕士3人,“双师素质”教师达100%以上;网络架构工程师1人共同实施;达到理论实践的紧密结合,理论支撑实践操作的提高,实践技能验证理论的指导。在教学活动中,教师和学生相互学习,共同提高。本课程在建设过程当中逐步形成了一支学历、职称结构合理、师资配置完善、梯队建设良好、结构比例相对稳定的教学队伍。
7 教学改革创新与努力方向
7.1 教学改革创新
本课程采用校企合作、“教-学-做”一体化的教学模式。由本院与蓝盾股份有限公司紧密合作,组建蓝盾信息安全实验室,为“教-学-做”一体化教学提供了非常好的条件。
教学内容改革:教学内容与岗位工作内容的一致性。
本课程采用:模块课程模式项目(任务)课程模式活动课程模式工作过程系统化课程模式。
考核方式的改革创新
评价依据:过程技能考核+笔试 摒弃了传统的一卷考核方式,更加关注于学生的职业能力和职业素质的评价,创新性地采用了专业交流的方式,通过师生对专业问题面对面的探讨来增强学生的学习动力,同时考查学生专业能力。
7.2 努力方向
完善教学课程内容,探索新的教学手段;建立题库迎合学生考取认证;丰富项目案例资源不断改进教学方法;进一步完善师资队伍结构,培养并形成一支教学水平高、专兼结合的高素质教学队伍。
8 结语
目前,职业教育正处于日新月异的课程改革过程中,努力提升高职教育教学理念,创新体制机制,突出实践教学,深化课程改革,更新教学手段,课程说课作为现代高职教学改革的新课题、教学研究工作的新形式进一步彰显实践教学特色,必将成为推动我国高等职业教育发展的新动力。
参考文献
[1] 穆惠英.高职《环境监测》课程说课设计.中国科教创新导刊,2008.11.
[2] 秦毅,齐欣.《平面处理技术》课程说课设计案例.电大理工,2011.3.
[3] 陈丽,伍善广.高职高专《药剂学》.海峡药学,2011.23(8).
[4] 秦爱梅.高职院校《3dsmax》课程说课设计.计算机光盘软件与应用,2012(12).
2013年,宁夏黄河农村商业银行(以下简称黄河农商行)围绕“以客户为中心、风险控管、量化考核、科学决策”的主线,加快信息化建设步伐,在确保信息系统总体平稳运行的同时,从客户、产品、渠道三个维度延伸,从业务、流程、技术三个层面逐步展开,构建安全高效的信息科技系统,建立丰富的电子化服务渠道,铺开了自身金融电子化的“九宫格”。
第一格:应用新技术,提升客户服务水平。2013年,黄河农商行率先在宁夏地区使用智能叫号预填单系统,项目二期大堂助手及后台管理系统也于2014年开发完成后上线。同时,该行通过优化前台图形界面系统,大大提高了系统的性能及稳定性,增加柜面交易联动联网核查功能,积极推动基于图形界面的远程集中授权系统在全行范围的应用。目前,黄河农商行图形界面使用率达到98%。另外,该行还借力移动互联网技术发展,完成了微信银行、移动营销系统建设。
第二格:加快应用系统建设,提升产品创新能力。2013年5月,黄河农商行首张借记IC卡正式发行,标志着黄河农商行卡正式迈向“芯时代”。而后,黄河贷记卡、黄河富民卡等特色产品,在经过充分的调研与测试后也相继发放。该行还建立了全行级客户关系管理系统,统一客户视图,实现了基本客户信息数据统一管理、信息共享。该行二代农信银系统、二代支付系统已于2014年正式上线。
第三格:加强与第三方互联互通,推动外联渠道服务。金融便民服务自助终端平台、二期交易平成了开发测试工作后上线。黄河农商行第一台“万村千乡”终端正式开通,实现了刷卡消费、转账汇款、小额取现、支付缴费等金融服务。通过“数字社区”与“万村千乡”工程的开展,架起了现代金融服务群众的“直通车”,缩短了客户与金融机构间的距离。该行加强与人社厅业务合作,积极推进社保一卡通平台建设,完成了与医疗和养老系统、医院、药店前端结算系统联调测试并上线。
第四格:积极推进管理系统建设,提升内部管理水平。2013年启动了审计管理系统项目建设,经过需求讨论、开发建设、测试运行、优化调整、培训推广等多个环节,系统于2014年正式上线运行。评级授信系统建设项目于2014年1月正式上线,结束了黄河农商行系统长期以来利用手工进行贷款评级、额度测算及统计的阶段,实现了对单一客户、集团客户进行统一授信和限额管理。
第五格:推进基础平台建设,规范数据标准,加强项目管控。一是建立了新资本监管统一数据报送平台,以实现信息交互、数据共享和统一风险管理;二是构建了全行统一的业务数据管理平台――ODS数据平台,实现信息和产品的整合,提供灵活的数据及报表访问机制;三是建设统一项目管理平台,规范项目从需求受理到投产上线的整个工作机制,保证项目管理规范化、执行透明化、监控精细化。
第六格:加强新技术的应用,提升基础设施服务保障能力。通过引入运维堡垒机项目,进一步规范运维用户管理、操作审核、实施监督、留档备审等多方面的管理需求;通过对刀片服务器、VMWARE虚拟化、卡业务小型机等基础设施进行改造升级,采用高可用或虚拟化等技术手段保障系统设备运行的安全性和可靠性,在提升硬件性能,满足后续业务扩展对硬件设备的需求的前提下,进一步增强了系统安全性能。
第七格:推进灾备中心、二路市电项目建设,保障业务持续发展。为进一步满足监管要求,提升业务连续性管理水平,2013年,该行启动了同城灾备、二路市电项目建设工作,重点加强电力、通信和消防等基础保障性工作,通过建立对供电、通讯与主要设备的冗余备份机制,不断加强容灾能力,更好地保障了数据安全及系统稳定运行。
第八格:加强运维安全管理,全面提升基础设施安全水平。一是实施了互联网络安全加固。2013年,黄河农商行部署了负载均衡设备、网页防篡改、NTP服务器等设备,分离互联网出口通道,将生产网络与办公互联网络进行了严格的隔离,既满足了监管标准的要求,又提升了黄河农商行网络安全运行能力。二是梳理基础硬件设施风险点。通过对主机、网络、机房设备等基础设施进行深层次“体检”,积极进行整改加固,在一定程度上降低了系统运行风险。
1影响计算机网络安全的因素
1.1自然原因
计算机网络安全会受到自然环境的影响。如果在计算机放置和应用区域,出现了非常严重的自然灾害,就会对计算机的硬件设施产生干扰,甚至出现损毁现象,那么自然会对计算机的网络安全造成极大威胁。
1.2系统自身存在问题
计算机当中最重要的软件就是计算机的操作系统,这是实现计算机正常使用的关键性技术。但是,计算机操作系统并不是全能的,在其使用过程中,还存在一些安全漏洞,会增加计算机网络风险,使病毒或黑客拥有可乘之机。
1.3软件与安全配置的漏洞
人们利用各种软件实现对计算机的使用,所以软件安全是影响计算机网络安全的重要因素。用户在使用计算机时,会根据自己的需求下载和安装各种软件,但是许多软件自身带有电脑病毒,在下载或安装后会对系统造成极大威胁。计算机的安全配置是维护计算机网络安全的重要方法,如果计算机安全配置工作质量不高或未达到标准则会造成非常严重的安全隐患。
1.4病毒与黑客
对于计算机网络安全而言,最大的威胁来自于黑客与计算机病毒。黑客会入侵他人的计算机,盗取或破坏其系统中保存的各项信息使得人们的因素暴露,甚至会对用户的人身安全造成影响。而病毒更是会导致大面积的计算机功能受损,而且传染性极强,对于计算机网络安全的威胁极大。
2加强计算机网络安全的防范措施
2.1加强基础设施建设
为了提升计算机网络安全,让其免受自然因素影响。就必须加强基础设施建设,让暴露在自然环境中的各项基础设备都能够得到妥善的安置和处理。相关工作人员需要加强材料选择,加强设备稳定性与运行安全性,能够为计算机网络安全提供基本的设备运行保障。
2.2加强防火墙设置
防火墙是保护计算机网络安全的重要装置。通过防火墙,可以在一定程度上隔绝危险的入侵;而且通过防火墙技术,可以控制计算机的软件和硬件之间的交流,拥有随时切断二者之间联系的能力。防火墙技术的应用,就是实现互联网与计算机运行所处的网络之间的隔断,并通过专业的技术判断识别两个网络之间所进行的数据信息交流;根据用户的具体需要进行相关设置,拦截不合理或不良信息,避免计算机被黑客入侵或被计算机病毒危害。所以,防火墙的设置至关重要,是保护计算机用户信息不受损的良好方式。所以,在设置防火墙时,需要充分考虑用户的需求。根据用户的具体要求拦截互联网中的访问和入侵,利用有针对性的防火墙设计方案,让防火墙真正实现对计算机网络的保护。路由器网关是比较常见的防火墙设置方法。计算机用户在使用网络时必然会有其专属的网络路由器,而对路由器进行检查,识别路由器传输的各种信息,并主动拦截不良信息就是路由器网关防火墙技术的重点。这种方法可以帮助计算机用户阻挡一部分的网络风险,但是不能准确判断IP端口,所以这种方法还存在一定的局限性。
2.3加强计算机防毒、杀毒能力
计算机经常会被病毒入侵,导致计算机故障或瘫痪。所以,提升计算机的防毒与杀毒能力,是维护计算机网络安全的重要方法。计算机用户可以通过安装杀毒软件的方式提高计算机对病毒的防御能力。比如,某计算机用户在自己的电脑中,安装了360杀毒软件,定期地对自己的电脑进行病毒查杀。同时还下载了配套组建,对自己的计算机进行了全方位地扫描,自动查找并修复了系统当中的漏洞,加固了计算机的防火墙;并通过定期查杀、检测新文件等方式将感染病毒的机会降到最低。计算机用户可以利用市面上的各种杀毒软件,定期地检测自己的计算机,对其中的病毒进行查杀。当然,相关技术人员也应该设计一款通用的查杀病毒地软件,实现病毒样本的实时更新,让受到计算机病毒侵害的用户们可以找到一个自行解决病毒的方法。同时,计算机的杀毒软件还应该做到“防范于未然”。当计算机已经感染病毒时,可能立刻出现计算机系统瘫痪的问题,无法使用杀毒软件,会加剧病毒对计算机网络安全的伤害。但是,如果计算机带有病毒排查和追踪能力就可以在病毒造成危害前进行拦截;阻止病毒进入,降低其对计算机用户的网络安全的威胁。此外,计算机用户也应该提高警惕,不要随意点击不明来源的链接、邮件以免感染计算机病毒,再次发生如“熊猫烧香”那般的发规模网络病毒入侵事件。
2.4加强网络环境管理
猖獗的黑客是导致计算机网络安全问题迟迟得不到解决的元凶。所以相关工作人员必须加强对网络环境的治理,并提高对黑客的防范。计算机内部应该安装保密程序,这样就可以避免因黑客入侵而产生的各种损失。计算机用户在设置自己的账号和密码时,也应该尽量选择难度大、关联性不强的信息,否则就会为黑客提供可乘之机。黑客在入侵用户电脑时,通常是在确定对方IP地址后才行动,所以,用户在上网时可以隐藏自己的IP地址,这样可以避免黑客的追踪和入侵。此外,网络安全管理部门需要制定相关管理制度与法规,严厉打击黑客违法入侵他人计算机的行为。一旦发现必须追求其法律责任,以“重典”震慑不法分子,为计算机用户提供一个安全的计算机网络运行和使用环境。
3结论
计算机网络安全问题得到了人们的广泛关注,在得到重视后相关技术人员快速地加强了对防范。通过增强计算机网络设备的运行稳定性,提升系统对计算机病毒的防范能力以及打击黑客等行为,从自然、人为、技术等多角度进行防范,为计算机网络安全提供助力。
参考文献
