时间:2023-06-07 09:34:35
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全建设管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】大中型三甲医院;网络建设:建设方案:网络安全
【中图分类号】R197.324 【文献标识码】A 【文章编号】1672-5158(2013)04-0259-01
随着医院信息化应用的发展,需要建设一个支持现代化医院发展所需要的先进的基础网络平台,并保证基本能够满足医院信息化建设的中长期要求。网络方案的设计与实用直接影响到医院的正常运行,如何保护医院网络的安全成为管理者必须要考虑的重要问题。笔者结合自己几年来工作经验与大家共同探讨医院网络系统的设计与安全管理。
1、医院信息系统的基础网络建设
医院网络平台建设是一项大型系统工程,其设计方案对医院网络的未来发展和管理信息系统作用的发挥都起着极为重要的作用。一个经济实用的网络应该能够保证网络系统具有完善的功能、较高的可靠性和稳定安全性。
1.1 设计原则
根据医院管理信息系统一般采用服务器一客户端模式,医院网络平台建设必须要稳定、安全、可靠,且便于管理和维护的基础网络,实际应用中能支持与外部网络的兼容,在确保院内网络能互通互联的同时,保证医技、管理、检验等职能科室的相对独立,接入层支持百兆到桌面,核心层支持全千兆向万兆速率平滑扩容的能力,同时支持八里湖分院网络系统与浔阳区总院联合办公。根据这一要求,网络关键节点必须具备高宽带、高安全、高性能的特质,且能保障系统的连续稳定运行。
1.2 综合布线和机房建设
网络布线应能满足当前和一段时期内网络通讯技术发展的要求,同时确保医院影像(PACS)、检验数据(LIs)、电子病历等系统的彼此相连,并可与外部网络连接,确保远程会诊的需要。
1.3 划分子网
1.3.1 虚拟子网
根据医院不同职能部门处于不同的地理位置,医院网络系统可以使用虚拟局域网(vLAN),VLAN可以根据医院各职能部门、不同权限用户组或者将不同方位、不同楼层的网络用户划分为一个逻辑网段。大大减轻了网络管理和维护工作的负担,降低了网络维护费用。
1.3.2 应用子网
现在医院已建立自己的HIS系统,但是由于地域上的距离和网络发展的不平衡,医院与医保中心、卫生局、疾病控制中心等医疗卫生分支部门等网络之间缺少互联互通。网络间的资源不能共享,造成网络的割裂。可采用最常用的传输技术――VPN。充分利用公网资源,建立安全可靠,经济高效的传输链路。在VPN技术的支持下,位于不同地点的医疗部分只需联入当地互联网,就可以组成一个可靠高效的虚拟专用网络。便于门诊收费人员及时结账报销医疗费用,为医疗卫生行业提供一个高性能,高质量,高可靠性的信息访问的解决方案。
2、医院网络系统安全管理
随着医院信息化战略的推进,网络安全问题也被越来越多的医院所重视。如何让医院摆脱网络安全的威胁,是医院在信息化建设过程中首要解决的问题。
2.1 硬件系统的物理安全措施
硬件系统的安全措施是整个网络系统运行的物理基础。是指网络系统中各计算机通迅设备的物理保护,避免其受到外界和人为的破坏。硬件系统的主要安全隐患有中心机房的供电、网络和设备等几个方面的故障。
2.2 软件系统的安全措施
2.2.1 病毒安全防治
医院与医保中心、卫生局、疾病控制中心等医疗卫生分支部门采用VPN联,个别终端用户不可避免的与外界网络有了连接,也就有可能会遭受到病毒的攻击。由于医院网络实行集中式管理,可以采用各终端安装网络版杀毒软件,客户端自动分发安装,服务器定期实时升级,各终端病毒自动升级。建立计算机病毒防范措施,经常升级操作系统的安全补丁。
2.3 服务器及工作站管理
2.3.1 服务器管理
及时安装操作系统和服务器软件的最新版本和修补程序。加强登录过程的身份认证,设置不易猜测的登录口令,严密保护帐号口令并做到定期变更,防止非法用户轻易猜出口令,确保用户使用的合法性。
2.3.2 工作站管理
工作站是用户操作管理系统的直接平台,遵循“谁使用、谁负责”的原则进行,各工作站使用部门要定期检查电脑使用情况、密码管理、防病毒设置等。各工作站电脑一律只装入需要的程序。
2.4 网络用户的安全管理
由于医院网络用户涉及操作人员、医护人员、管理人员等诸多使用者,覆盖面大,给系统带来了不少的安全隐患。因此,对于网络用户的安全管理也成为网络安全管理中必不可少的一部分。
2.4.1 建立安全管理制度
通常应当建立的制度包括工作站管理维护日志、工作站系统操作规程、机房管理工作制度、机房计算机系统管理操作规范、机房数据安全保障工作制度、信息系统故障应急方案、信息系统保密制度、病毒防范制度等。
2.4.2 加大人员培训力度
人员培训是保证系统正常运行的关键。要由技术精湛的技术人员负责人员培训,以提高他们的操作水平,减少失误,并对其进行考核,把操作人员计算机知识考核纳入员工总体考核目标,只有考核合格的操作员才能上岗。
2.4.3 强化用户安全意识
定期举办网络安全讲座,经常强调网络安全关系到医院工作的正常运行,要使每个工作人员都意识到安全的重要性,要督促各操作人员严格执行规章和操作规范。
关键词: 县级供电企业;信息网络;安全体系;安全建设
中图分类号:C29 文献标识码:A 文章编号:
前言
随着电力信息网的互联和完全溶进Internet,电力信息网络面临日益突出的信息系统安全问题。国家电力产业体制开始向市场转变,各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。目前我国电力企业网络安全建设的发展很不平衡,总体来看,存在以下薄弱环节。因此,必须采取更加科学有效的方法和思路,加快县级供电企业网络建设及网络安全建设的步伐。
1 县级供电企业信息网络安全防范体系概述
1.1 安全策略
总的来说,其基本策略包括网络系统的防护策略、对主机的防护策略、对邮件系统的防护策略、对终端的防护策略、对数据安全的防护策略以及建立集中控制平台等。
1.2 安全技术
从技术的层面上,则是通过采用包括建设安全的主机系统和安全的网络系统,同时配备适当的安全产品的方法来实现,其包括了病毒防护、访问控制、入侵检测、漏洞扫描、数据加密、数据备份以及身份认证等这些方面。
1.3 安全培训
通过在线模拟考试功能和题库,实现对培训记录、培训师资队伍、培训资料以及考试成绩的电力化管理,并对培训结果进行在线统计分析。
2 县级供电企业信息网络整体安全建设
2.1 物理层安全建设
物理层安全建设主要保护的是通信线路、物理设备以及机房的安全等三大方面。从技术上,可以进行对设备的备份、防灾害和防干扰的能力、设备的运行环境的调配以及保持电源的正常使用等这些方面。
2.2 网络层安全建设
网络层安全建设所指的是网络方面的安全性建设,它可以通过实行身份认证、访问控制、数据的完整性和保密性、域名系统及路由系统的安全、入侵检测及防火墙等技术来实现。
2.3 系统层安全建设
系统层安全建设所指的是在进行网络使用时,关于操作系统安全的建设。对于系统自身而引起的系统漏洞可以通过身份认证、访问控制、系统漏洞修复等手段来进行。
2.4 用户层安全建设
用户层安全所指的是对用户使用的过程中所存在的安全建设。用户层安全技术包括分组管理、单口令的登录的方式及用户身份认证等主要方面。
2.5 管理层安全建设
管理层安全建设主要是通过供应商使用应用软件和数据的安全性的建设,包括对Web服务、电子邮件系统、DNS等方面进行优化。此外,还包括病毒对系统的威胁。
2.6 数据层安全建设
首先应考虑对应用系统和数据进行备份和恢复措施,应用系统的安全涉及到数据库系统的安全,数据库系统的安全性很大程度上依赖于数据库管理系统,如果数据管理系统安全机制非常强大,则数据库系统的安全性就较好。
在以上的各个层面上,每个层面都应该有不同的技术来达到相应的安全保护。如表1所示。
表1 根据安全层面技术来进行县级供电公司信息网络整体安全建设
3 县级供电企业如何有效进行信息网络安全体系建设
(1)整合现有系统,实现生产实时信息与管理信息的集成,建立电网信息一体化平台。看似简单的数据交换和信息共享,由于没有统一的信息平台,形成企业信息化发展的瓶颈。县级供电企业以后的重点工作是整合、集成现有的各子信息系统,搭建统一的运行平台,规范、整理、合并各种基础数据,逐步建立集中、统一、开放式中心数据库,实现各信息系统的无缝连接。对县级供电企业网络来讲,网络整体稳定性要求非常高,网络应该提供多种冗余备份的方式,确保业务的连续。在县局网络平台搭建好之后,这要考虑到未来系统的扩展性。县级供电企业的信息化建设是一项复杂的系统工程,只有以企业效益为核心,通过构建统一的信息化基础平台,部署企业一体化应用系统,才能适应县域经济发展,满足人民群众对电力的需要,才能提高企业的核心竞争力,才能信步于未来的信息化发展之路。并以信息化带动企业内部管理机制的改革,实现机制创新、管理创新、技术创新,努力发挥信息化对企业可持续发展的支撑作用。
(2)运用现代网络技术,构建技术先进、稳定可靠的信息化通道。网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平,都无法适应企业信息安全形势的需要。随着电力体制改革的不断深化,计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此,保障计算机网络信息系统安全、稳定运行至关重要,通常可以采取新的技术,如桌面安全管理系统等对终端行为进行管理,从而保证整个内网的可信任和可控制。目前,大部分病毒是通过计算机系统的漏洞来进行肆意的传播,为此,对于计算机系统的供应商而言,应该要对大部分的漏洞进行及时地提供相应的补丁系统,而对于使用者而言,则需要通过不断地更新服务的系统来进行对系统的更新。
(3)加强技术和应用培训,为发展县级供电企业信息化建设提供基础保障。先进的管理方式对员工素质提出了更高的要 求,推行信息化建设不但要有“科技兴企、人才先行”的观念,而且还需要既懂电力知识又懂信息技术的人才。管理信息系统的生命力很大程度上取决于应用。信息化建设既是阶段性工程又是一种长期行为,对待信息化建设要有长远眼光,动态地考虑和评价信息化建设问题,不能只看到眼前利益,急于求成。
(4)加强信息制度和信息化安全建设,为县级供电企业信息化的建设提供根本保证。信息安全不仅要考虑到从安全问题的角度来进行分析,从而提出各个层面的安全保障,为此,信息安全它包括的是策略、技术以及管理的安全体系。供电企业在实现网络信息安全的有效途径的时候,需要从技术的层面以及管理的良好配合才得以实现,从而才能为县级供电企业信息化的建设提供根本性的保证。
4、结束语
电力企业的各个业务对网络的依赖性越来越强,对信息网络安全性的要求也越来越高,电力系统信息网络安全已经成为电力企业生产、经营和管理的重要组成部分。电力企业必须运用现代网络技术,加强信息制度和信息化安全建设,确保信息系统的安全运行,为企业的安全生产提供有力的保证,从而打造更加稳固坚强的管理技术支撑平台。
参考文献:
[1]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2007
[2]王广河,县级供电公司信息网络的安全风险与防护策略[J].电力安全技术,2008
关键词:企业;网络安全;对策
一、企业网络安全的内涵
企业网络安全是指企业网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。企业网络安全从其本质上来讲就是企业网络上的信息安全。从广义来说,凡是涉及到企业网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
二、企业网络安全存在的问题
(一)安全意识淡薄
在企业网络系统中,每一台计算机的安全性都会影响整个系统的安全性能,网络安全与每个用户息息相关。内部员工了解公司的网络结构、数据存放方式和地点甚至掌握业务系统的密码。在具有严格访问权限的系统中,使用弱密码的用户有可能成为安全系统中的缺陷,甚至有些人随意改动系统注册表,使得整个网络安全系统失效。
(二)网络安全体系不健全
当前很多企业尽管采取了一些安全措施,但安全保护措施较为零散,缺乏整体性与系统性,对于企业网络信息安全保护缺乏统一的、明确的指导思想,没有建立一个完善的安全体系,这是引发安全问题的主要源头。
(三)网络黑客攻击
黑客肆意妄为,破坏的手段也越来越多样化。企业的内部资料对于整个企业经营来说相当重要,因为它关系到整个企业的生死存亡。企业存放信息会因网络黑客攻击而造成资料的泄密。
(四)来自企业外部的感染
来自企业外部的计算机病毒具有传播性、破坏性、隐蔽性、潜伏性和可触发性等特点,通过入侵网络系统和设备,对数据进行破坏,使网络瘫痪,不能正常运作。网络蠕虫由于不需要用户干预就能触发,因而其传播速度要远远大于计算机病毒,其对网络性能产生的影响也更为显著和严重。木马是指附着在应用程序中或者单独存在的一些恶意程序,它可以利用网络远程控制安装有服务端程序的主机,实现对主机的控制或者窃取主机上的机密信息。
(五)来自企业网络内部的攻击
企业防护重点是对外,往往忽视对内部防护的重视。利用企业内部计算机对企业局域网络进行攻击,企业局域网络也会受到严重攻击,当前企业内部攻击行为大大加强了企业网络安全的风险。
三、企业网络安全对策的思考
(一)强化信息安全意识
网络安全必须要靠企业全体人员的意识提高才能形成一种好的氛围。每个人在主观上有一种“我要安全”的意识才能不断提高网络的安全水平。要有专职部门负责管理企业网络安全,其它各部门服从专职部门的统一规划,统一部署。树立“网络安全无小事”的理念,落实建立健全各项各项规章制度。要把职责、标准、流程落实到实处,实现网络安全管理精细化。
(二)构建健全的网络安全体系
网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。企业力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念,是一个科学、系统、全面的网络安全结构体系。该网络安全体系的设计必须采用多层次、多维度的设计思路,才能有效地保障企业网络的安全。企业网络安全体系的构建目标是使在企业网络中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态,在网络传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(三)强化企业办公电脑的安全管理
经常删除垃圾文件,把木马和病毒消灭,以防止黑客攻击。防御黑客失败,可能会导致硬盘上的所有重要数据被破坏甚至删除。用恢复技术对硬盘数据进行恢复,如要恢复的数据涉及一些商业机密,准备新的空白硬盘作为数据恢复后的载体,千万不能将数据恢复到别人的机器上,因为他们既然能恢复您硬盘上的数据,也一定也能恢复暂存在他们的硬盘上的相关数据,恢复数据的过程最好有人全程监控,以避免泄密。及时进行入侵检测,如发现有被攻击的迹象,要迅速根据用户事先定义的动作做出相关反应,检查系统上存在的可能拒绝服务攻击检测系统中是不是被安装了某些窃听的程序,防火墙系统有没有存在配置错误和安全漏洞问题。
(四)加强企业外部网络和内部网络的管理
对企业的外部和内部网络进行相关的控制是必要的,尤其是访问控制,可以根据企业的实际情况和需要设置防火墙,加强必要的防护设施,把安全漏洞控制好。做好防护工作,关掉一些敏感端口和一些不必要的服务,那么一些想要入侵的人就会受到一定的限制,以阻挡外部网络不法分子的侵入,防止偷窃或起着破坏性作用的恶意攻击。同时企业还应在基础的防火墙体系上建立入侵检测系统,利用交换机处所布置的入侵检测系统实时监控企业内网的安全事件,以此为网络管理员的管理工作奠定基础,便于管理员及时针对情况做出反应。针对企业移动办公人员的移动需求,企业还应建立VPN加密系统。为移动办公人员通过互联网络访问企业内网奠定基础。通过科学的网络安全设置以及相应体系的建立提高企业网络安全防护性能。
四、结语
现代企业网络安全建设是现代企业经营与管理中的重要工作之一。网络安全建设关系到企业信息的安全,关系到企业信息化管理工作的开展,关系到企业管理工作的有效传达。通过网络安全建设能够保障企业信息流畅以及企业经营、财务等信息的安全。
参考文献:
[1]陈静.关于企业网络系统安全防护的探讨[J].企业信息化,2009,6
[2]柳叶,魏立国.企业信息化建设中网络安全建设的分析[J].计算机网络资讯,2010,07
作为一个大型的金融企业,中国长城资产管理公司(以下称长城资产管理公司)深知信息技术和网络技术对公司发展的重要性,公司总部与各省分支机构之间已经有2M链路相连,总部与各省分支机构均与Internet连接。
“双刃剑”困扰公司发展
随着金融科技的发展,现代金融企业的业务开展越来越依赖于网络。但网络是一柄双刃剑,在帮助公司发展业务的同时也带来了一系列的安全问题。长城资产管理公司意识到网络安全的重要性,并决定建立网络安全体系。
长城资产管理公司总部的安全建设已经部署了防火墙FW、防病毒AV、入侵检测IDS和补丁管理系统。但各省分支机构在安全建设方面几乎是一片空白,技术力量弱,IT技术人员缺乏。
关注“短板”的建设
长城资产管理公司信息技术部安全处处长曾德超表示,长城资产管理公司的关键和核心数据存储在总部,分支机构的服务器没有存储重要数据。针对目前的这个现状,把总部的安全建设作为工作重点的做法是比较可取的,也是比较经济的。但是分支机构的安全建设与总部之间存在着严重的不平衡,这种不平衡会使总部的安全建设的成果和效果大打折扣。因为信息安全建设的总体效果不是取决于最坚固的环节,相反是取决于最薄弱的链条,这就是著名的“木桶原理”。因此,分支机构的基本安全保障建设就显得尤为重要。
细粒度的访问控制、病毒和蠕虫的防护以及总部与分支机构之间数据的加密传输和身份认证等等,都是来自分支机构的安全需求,因此对于分支机构来讲,选择一种包含防火墙、VPN和病毒防护等多种功能的安全产品,即UTM(统一威胁管理)是满足上述要求的最佳解决方案。
长城资产管理公司总部与分支机构之间通过单一链路很容易出现单点故障,因此,需要增加冗余链路作为备份。另外,就当前网络现状和应用功能,该公司的安全建设和管理,比较适合采用总部统一安全管理策略,对分支机构进行集中管理的方式。
经过仔细的调研和分析之后,长城资产管理公司决定实施如下的安全战略:采用集中管理策略,并使用UTM产品 ,在公司总部和各个分支机构进行统一部署。
一方面,集中管理可以从最大程度上节约公司的安全成本,特别是安全管理成本。同时利于总部及时掌握各个分支机构的安全状况,对整个公司的安全状况了然于心,也便于进行安全检查和安全审计。
另一方面,选择UTM产品进行统一实施,可顺利解决分支机构的基本安全保障问题,在所有的分支机构全部部署UTM产品,一揽子解决所有分支机构的安全问题。此外,UTM产品具有如下功能上和管理上的优势:支持点对点VPN连接,实现集中式管理;建立总部与各省分支机构之间的VPN连接,作为现有专线的备份链路;保护各省分支机构免受来自Internet的恶意攻击或者蠕虫/病毒感染;实现移动用户的安全接入;实现统一威胁管理,构成立体防御体系,避免多种安全产品各自为政,条块分割等。
择UTM铸造网络长城
“长城资产管理公司对市场上的多功能安全网关产品进行逐一比较和分析后,最终选择了天清汉马多功能安全网关,它集成了多种强大的功能,不仅提供防火墙、病毒过滤功能,还提供TCP技术防范拒绝服务攻击、连接数限制、灵活的策略路由、AAA认证、准确的BT封锁功能及完备的NAT功能等,能够很好地满足长城资产管理公司的安全需求。” 曾德超如是说。
该项目实施后,长城资产管理公司总部与各分支机构IT系统的安全性得到大大加强,公司运营效率和管理效率也得到了很大的提高。
编辑点评:现代金融企业的业务开展越来越依赖于网络已是不争的事实,而与之相应的安全问题亦越来越突出。对金融行业来说,安全问题往往是致命的,网络安全的建设任重而道远!
・业界动态・
McAfee发现第20万个恶意威胁
McAfee 近期宣布McAfee Avert实验室把第10万个威胁添加到其2004年9月份的数据库当中,并已经发现第20万个恶意威胁。 (李)
SONICWALL公布UTM设备市场报告
7月25日,SonicWALL宣布连续第五季度保持全球统一威胁管理(UTM)安全设备市场领导地位。根据今年7月IDC的全球安全设备跟踪报告,于第一季度SonicWALL在销售数量和工厂营收方面处于总体领导地位。 (刚)
联想网御开启全国技术巡礼
近日,联想网御正式在广州开启主题为“蓝海”的“2006年联想网御全国技术巡礼”。本次巡礼历时3个多月,覆盖了包括华东、华南、西北等在内的全国上百个城市,是目前业界覆盖范围最大的一次信息安全技术巡礼。 (何)
关键词:高校;图书馆;网络安全;设计与实现
中图分类号:TP393.08
随着网络阅读形式的普及,高校作为文化与技术资源的汇聚地,图书馆的运作逐渐走向网络化和数字化。高校图书馆的数据库系统具有资源覆盖范围广、学科与技术种类丰富、数字资源量大等特点,能够为广大的高校教师与学生提供全面的学术研究信息服务。然而同时高校图书馆也将面临着网络安全的问题。图书馆资源网络化是将图书馆资源面向更加广泛的受众用户群,而网络中存在着木马、病毒、黑客等安全隐患,同时环境因素、认为因素等也威胁着高校图书馆网络的安全,因此,在高校图书馆网络安全建设上采用完善的安全防护设计和制定相应的安全防护制度对于高校图书馆网络安全都具有非常重要的意义。
1 高校图书馆网络面临的安全威胁
1.1 运行环境安全威胁
计算机与联网设备属于高精度电子设备,其运行环境对于温度、湿度、供电稳定性、电磁干扰等具有一定的要求,而在这方面大多数高校图书馆并没有在机房建设时充分考虑到这些方面的因素,因此,对图书馆服务器、计算机设备的稳定性和安全性带来一定的隐患。同时,数字图书馆的建设要考虑到一些自然环境因素对图书馆网络安全的影响,譬如:雷电、火灾、地震、腐蚀性物质等,对于图书馆的网络安全都具有一定的威胁性。
1.2 硬件环境安全威胁
高校图书馆拥有强大的服务器和交换机,能够为近千台终端计算机提供服务,图书馆服务器的稳定是图书馆网络应用的关键。由于目前所使用的操作系统,无论是Windows、Linux还是UNIX都存在一定的系统漏洞,因此,在网络攻击上,对于图书馆服务器的攻击形式非常的多,譬如:DOS攻击、ARP入侵、SQL注入、木马植入等。此外,为了更好的服务于高校师生,大多数高校图书馆网络TCP/IP协议采用的是系统默认设置,方便多用户接入,但是这给图书馆服务器安全带来了较大的威胁。
1.3 软件环境安全威胁
数字图书馆的建设需要大量的软件应用,而目前很多病毒都集成在应用软件中,用户下载软件、安装软件过程中容易携带对图书馆服务器造成破坏的恶意程序,尤其是当图书馆与互联网相接入后,各种具有隐藏性、触发性、植入性、寄生性的病毒隐藏在互联网应用中,而高校图书馆网络互连很容易相互传染,最终导致整体瘫痪。
1.4 网络系统安全威胁
高校图书馆网络与互联网连接,给黑客攻击创造了条件,他们利用网路漏洞扫描、嗅探、欺骗、后门、口令破译等手段直接进入高校网络图书馆后台服务器管理系统中,删除重要文献资料、篡改信息、盗用资源等,给高校数字图书馆造成了严重的威胁。
2 高校图书馆网络安全建设的设计与实现
2.1 高校图书馆网络安全运行环境设计与实现
高校图书馆系统运行的安全是数字图书馆建设的首要环节,在建设运行环境方面要对图书馆服务器主机房的选址和环境布置进行科学的规划,并采用多种安全防护系统加以保护,譬如:建设稳定的供电系统、防火系统、通风系统和安保系统。
高校数字图书馆用电量大,对电压的稳定性要求高,因此,在供电系统设计上要采用具有功率大、耐用时间长、防雷电等性能的双机并联UPS系统。
高校图书馆服务器机房防火系统建设可以采用针对计算机等大用电量的电子设备专用灭火系统,譬如:采用七氟丙烷气体自动灭火系统,具有较好的清洁、绝缘、高效能等特点,同时该系统要具备自动火灾探测预警系统和火灾环境超标自动灭火机制。
高校图书馆主机房由于设备散热量较大,应配备24小时运转的机房专用空调,机房专用空调具有上送、下回送风功能,能够保证高校图书馆主机房各个方向的温度均衡。同时,机房专用空调具有温度自动探测功能和温度超标预警功能,条件允许的状况下,可配置双空调系统,为出现故障时可备用。
由于高校图书馆主机房设备具有很高的价值,因此,对于防盗监控应专门设计安保系统。安保系统应具备机房各个角落全方位监控功能,并具备红外预警装置,当发生偷盗设备时,可及时发出警告,并通过校园网直接连入校园保安室。在管理上可采用专人专管,设置门禁系统。
2.2 高校图书馆网络安全硬件系统设计与实现
高校图书馆硬件配置要首先具备双机热备系统,可确保图书馆服务器安全运转。其次,要具备数字图书馆资源独立存储系统和独立应用系统,图书资源存放在存储系统中,不附加应用软件,降低被恶意攻击的威胁,应用系统在调用存储系统中资源时需要提供正确的密钥,确保资源调出安全。第三,数字图书馆与校园网络相连接要建立安全防护机制,譬如建立防火墙等。第四,硬件选择要具备国家认可的相关合格证明,同时设备要具备后续改造升级的能力,设备接口采用标准化接入,具有良好的兼容性,以降低升级改造费用。
2.3 高校图书馆网络安全软件系统设计与实现
高校图书馆网络安全软件系统包括系统软件和应用软件。在系统软件设计上采用稳定性、安全性高的操作系统,通常在UNIX系统环境下的操作系统抗威胁能力较Windows和Linux更强,尤其是UNIX所衍生出的针对于图书馆应用的操作系统,如:AIX、Solaris等。在操作系统安装过程中,选择自定义安装,根据需要设置较为安全的权限管理,同时为操作系统安装最新的安全补丁、杀毒软件、防火墙等。停止使用Guest用户登陆,设计较为复杂的管理员用户名及密码,将IIS访问权限设为高级。
在应用软件应用上,在应用系统中安装正版的应用软件,并根据用户级别设置数据库的访问权限,加强应用软件安装的安全检测能力,如检测到用户安装的应用软件携带病毒或者木马则强行停止安装。
2.4 高校图书馆网络安全网络系统设计与实现
目前,高校图书馆面向社会化开放,这就导致来自互联网的威胁给高校图书馆网络安全性面临着严峻的考验。高校图书馆与外部网络连接需要通过高端的防火墙和完善的用户认证,阻止外部用户直接访问高校图书馆数据库,并且对外隐藏IP、网关等信息。在高校图书馆内部网络建设上要建立独立的局域网络,采用VLAN技术对不同图书馆资源利用区域进行划分管理,设置自动软件升级、防火墙升级和定期杀毒。
3 高校图书馆网络安全防护对策
建设高校图书馆网络安全防护体系,需要对高校图书馆网络构建成为多层次、多方面监管的安全防护网络,在安全防护对策上应遵循以下几方面原则,确保高校图书馆网络安全运转。
3.1 安全防护的全面性
在构建高校图书馆网络安全体系时,要从软、硬件、环境等方面进行物理性安全防护,还要不断的提高安全技术能力和监管力度,确保图书馆机房的安全运转。同时,要做好突发问题应急处理机制,当出现故障时能够将损失降到最低。
3.2 安全防护的最小权限性
构建高校图书馆网络安全等级权限分类,以可提供最少服务权限为原则,建立最大安全防护措施,权限等级要分明,严格执行权限管理制度。将数据库系统与应用系统区分管理,数据库管理权限设置管理人数越少越好,尽量避免用户浏览非图书馆允许类网站,将恶意网站登记到应用数据库中,禁止访问。
3.3 安全防护的集中管理性
高校图书馆网络安全集中管理是将多种安全防护措施进行统一管理,由专业的网络安全管理专家进行监控。在管理上不仅要从技术上进行研究,而且需要在制度上进行严格管理,譬如:建立安全责任制度、日常维护制度、数字图书馆应用制度、资料备份制度、保密制度等。对于各项制度的落实要进行统一集中的管理,方便制度的执行与落实。
3.4安全防护的长期性
网络环境更新速度快,恶意攻击、病毒类型等不断演变,新型的攻击手段和木马病毒不断涌现,这就要求高校图书馆网络安全建设要具有可升级、可扩建能力,不仅要及时更近防火墙、杀毒软件,在硬件设备上要具备可扩展性,能够提高硬件安全,建立长期的安全防护机制,做到实时监管、实时控制。
4 结束语
高校图书馆是高校文化与技术资源聚集融汇的地方,在面对数字化图书馆的需求方面,高校图书馆不仅要建立丰富的资源网络,而且要确保高校数字图书馆的应用安全。在高校图书馆网络安全建设上,环境、设备、软件、管理要统一目标,科学建设、加强监管,利用先进的网络安全技术和完善的管理制度实现高校图书馆数字化安全运转。
参考文献:
[1]马敏,刘芳兰,宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报,2010(04):130-135.
[2]高琦.数字图书馆网络信息安全分析及对策研究[J].图书馆学刊,2012(06):132-133.
[3]王元.高校数字图书馆信息安全保障研究[J].图书情报工作(增刊),2010(02):327-331.
[4]颜昌茂,周吟剑,.高校图书馆网络安全系统的构建[J].情报探索,2014(01)108-111.
[5]金文新,高校图书馆计算机网络系统安全策略的设计与实现[J].图书馆论坛,2009(06)80-83.
关键词:计算机;局域网;安全建设
计算机局域网平台为人们提供了信息化、电子化的工作模式,局域网已经逐步被人们所利用。由于局域网自身开放、广泛的特点,提升了局域网应用的安全隐患。所以建设安全的局域网络,降低风险影响,是维护局域网管理的关键所在。
1 计算机局域网络的理念及意义
所谓的计算机局域网络就是指在一定空间范畴内,将多个计算机集成互联的网络系统。局域网的区域界定较为自由广泛,可以是单独的办公室或者建筑物,还可以是社区或者学校。由于不同地方的不同设备,计算机局域网络系统高达数千米范围。计算机局域网的出现,可以实现各项工作日程的高效统一以及数据文件的良好同步共享等。
2 计算机局域网存在的安全隐患
2.1 局域网用户缺乏安全意识
局域网用户对局域网安全意识的缺乏是局域网网络安全的脆弱环节之一,主要体现在以下几方面:1.用户对自己账号的管理不够谨慎,随意转借他人或与他人共享,或者是选择简单易被破解的用户密码等,这些无意识的行为就给局域网造成了安全隐患。2.在使用移动硬盘时,给局域网带进了病毒,严重时会造成网络瘫痪。
2.2 各种病毒的入侵
在现代社会,计算机频繁受到病毒、木马的侵害,加上使用不当,如果不及时安装杀毒软件或者更新病毒库,使计算机感染病毒。在计算机局域网内,数据不断的传递,病毒就经一台电脑传到另一个电脑,这样如此反复的传播,局域网中的凡是接收服务器发出信息的电脑,都有可能受到病毒的感染。虽说这些服务器都有防火墙在出口处阻挡病毒,但是抵挡不了局域网内部的病毒入侵。这种内部的病毒入侵分为两种,一种是主动入侵,它们通过局域网中出现的各种漏洞,有选择性的来破坏信息的完整性。另一种就是被动入侵,通过截获、破译或者窃取信息来入侵局域网,但并不影响网络的正常运行。
2.3 制造恶意软件来破坏数据的安全性
所谓的恶意软件就是指未经用户同意或者没有明确提示而在电脑上运行的软件。经常会有人通过这些软件对局域网内部的服务器和用户电脑进行扫描和攻击,导致局域网无法正常工作,会造成信息的泄露。
3 计算机局域网的安全建设方法
3.1 完善计算机局域网的安全管理制度
加强用户账号的安全管理,管理员可以通过对入网权限、属性安全、局域网服务器安全等方面的控制,对用户使用局域网的行为进行规范。
3.2 利用局域网服务器的防火墙技术
防火墙不仅可以阻止外部网络的入侵,也可以在局域网内部的各分支网络使用防火墙,可以限制外部网络入侵造成的损失,保护局域网的安全。
3.3 利用入侵检测系统
在防火墙的基础上,设置强大而完整的入侵检测系统可以弥补防火墙产生的漏洞。入侵检测系统通过识别不希望产生的活动对这些活动进行限制,从而建立安全的网络服务系统。
3.4 防毒杀毒软件的安装
局域网的每台计算机必须安装防毒杀毒软件,可以对外来的病毒以及错误信息进行监控并查杀病毒,并且要对软件随时升级,定期更新病毒库。
3.5 谨慎选择安装的软件
随着计算机局域网的快速发展,市面上出现大量各式各样的软件,例如聊天工具、游戏软件以及各种的杀毒软件等,在使用一些软件时一定要谨慎,也许这些软件会存在一个危险的后台,会入侵你的网络,带来一些病毒,所以在使用安装时一定要谨慎地选择,确保网络的安全。
3.6 给局域网进行加密
给局域网加密是指通过对网络数据信息进行加密设置来对网络进行实时保护。具体的加密方法分为三类:不可逆加密、对称性加密以及不对称加密。加密技术是通过多种样式的加密算法来达成的,按照接受信息双方信息是否相同来划分,分为常规密码算法和公钥密码算法。所谓的常规密码算法是指信息接受双方密码是相同的,有解密密码和加密密码。常规加密保密性很强,能经受住时间的考验,但密码的传递必须是利用安全的途径传递的。所谓的公钥密码是指传递信息方与接受信息方使用的密码不同,并且不能利用加密密码来获得解密密码。这种方法可以满足局域网的开放性要求,且容易管理。
4 总结
局域网的安全建设是势在必行的事情,通过加强局域网用户的安全意识,通过各种安全建设手段来实现局域网的安全建设。网络安全并不是依靠一种安全技术就能保障整套系统的安全,所以需要不断开发安全可靠的技术来对局域网整个系统来进行保护,才能使局域网一直处于安全的环境中。
[参考文献]
[1苏佳,郝岩君,刘文瑾.浅谈计算机局域网网络的安全建设[J].计算机光盘软件与应用,2010(13).
检察机关信息网络安全自主可控的策略分析
(一)完善检察机关信息网络安全自主可控的规范化。检察机关的信息技术具有保密的特点,检察信息化管理中许多管理都应在安全有序的状态下进行信息网络安全自主可控的运作。应将信息网络安全的的自主化管理模式纳入到整个管理的格局之中,如果不及时的使用自主化管理模式,就会使总体的检察机关信息网络在运行时出现紧张的局面,必将会导致检察机关总体管理工作的堵塞。
当网络信息化技术发展到一定阶段的时候,就会暴露出许多信息网络安全管理的问题。与此同时,与其相互配合使用的许多信息管理软件也会出现相应的操作上的问题。建立检察信息网络安全自主保障系统是解决问题的最有效的方法,它使原本由静态的管理模式向动态的信息安全管理模式转变。由此可见,完善的检察信息网络安全自主保障系统通过规范信息安全管理机制,改进检察信息网络安全自主保障系统,促进了队伍更好地建设与发展。
而且对信息网络安全自主可控机制的健康运行起到了很好的促进作用,使检察机关信息网络安全自主可控的管理机制能够快速的、科学的发展。为加强制度的管理和落实,有必要完善检察机关信息系统运行的操作规范,并且定期的总结规章制度的执行落实情况,及时发现漏洞并进行整改。还有必要规范电子论坛、挂网内容等的制度,既鼓励了干警学习网络安全知识,又提升了检察机关的整体素质,还保证了检察机关信息网络运行的畅通和安全。
网络信息化建设的基础性工作是检察机关网络信息技术的开发,而最关键的则是对网络信息的具体运行和安全管理。检察机关网络信息化建设中存在着很多的问题,对网络信息安全自主可控机制多少都会有一些影响。对此,规范网络信息管理是非常有必要的,检察机关对于各类案件、各种工作以及信息安排都必须在网络信息系统上进行传达,使各个部门都能准时、安全的接受。
(二)完善检察机关信息网络安全自主可控的科学化。检察工作的开展与检察机关掌握信息量的多少、优劣和信息技术程度的高低有着直接的关系。随着信息时代的快速发展,大部分的干警对信息化了解越来越少,连最基本的打字、上网都不精通就别说利用信息技术了。这些问题严重的阻碍了信息网络安全建设的步伐。
要想建立新型的工作机制,必须先从思想观念开始更新,将现代化的信息管理理论融入到检察工作之中。必须大力引进精通网络知识的技术型人才,以促进检察干警更新观念,主动学习钻研。如过有必要可以实行全员培训。例如:在各科室开设小的学习环境,发挥本部门骨干的作用,边做边学;或者是在全体部门开设学习环境,定期的邀请专业技术人员来讲解在操作过程中所遇到的疑难问题。在此基础上,还要组织本院的技术骨干走出去,才能引进来更好的创新观念。
在检察机关干警信息网络安全自主可控的工作能力不断提高的基础上,检察机关还必须加大完善基础设施的建设,才能更好地适应信息网络安全工作快速发展的需要。检察机关对信息网络安全的技术投入不能松懈,而且为了满足检察机关自主可控的需求,还应对信息网络安全保障的各项设备进行改造与升级。只有配置先进的局域网设备,才能有效的防止非法技术的入侵。应用了高标准的信息系统以后,使新型的信息管理模式的安全含量更高、更强。
(三)完善检察机关信息网络安全自主可控的高效化。为保证检察工作能够高效的发展,就必须不断的更新办案系统以及信息安全建设。提高信息安全监督,变结果监督为过程监督,变静态监督为动态监督。为有效地预防办案人员在办案过程中不规范的使用信息网络,可以通过局域网进行信息安全自动监督。办公行政管理部门可以在内网上公开信息网络安全督察事项,并对落实、执行不彻底的个人或部门给予相应的告诫或处罚,这样既提高了信息的质量与安全系数,又使检察机关信息网络安全内部监督机制向着良性的方向发展。为了确保检察业务信息的安全,必须研发新的办案软件,使局域网内部也实现联网办公。
与此同时,还要对侦查指挥、讯问监控系统进行开发和升级,以防止秘密的泄露。还应该实现对举报自动受理,探索出一条新的、快速的、安全的、保密的举报受理系统,防止举报信息被外部的非法网络技术入侵、窃取。
关键词:检察机关;信息网络安全;完善措施
中图分类号:TP309.2 文献标识码:A 文章编号:1674-7712 (2012) 10-0127-01
检察机关的信息化建设于2000年,发展至今,经历了一系列的发展与改变才初步的形成了较为系统的信息一体化网络。但是随着检察机关信息网络化建设步伐的日益加快,信息网络安全越来越被人们所重视,检察机关信息网络安全自主可控的管理模式也就应运而生。
一、检察机关信息网络安全存在哪些问题
(一)病毒的入侵与黑客的攻击。网络的普及使病毒肆意的入侵,严重影响和破坏了检察机关信息网络的安全。到目前为止,全球发现的病毒数目数以万计,并且还在迅速的增长着,可见网络每时每刻都要受到病毒不同程度的冲击。相对于网络而言,在网络系统中黑客的攻击更是让人防不胜防。并且还有大量的黑客网站专门提供技术资料、攻击方法以及攻击软件等,使网络立法十分匮乏的信息网络不断地遭到黑客隐蔽性的强烈攻击。
(二)网络软件与硬件方面的缺陷。检察信息网络是依照各各不同的检察机关构成的一个个的局域网。从软件上来说,由于网络本身就缺少安全机制,使其它在此基础上存在的网络相应的安全也得不到安全保障。
(三)网络管理与制度的欠缺。严格的管理与完善的制度是检察机关信息系统安全的最主要手段。但目前的各级检察机关信息网络系统的管理制度并不健全,标准也不够严格,对网络管理缺少领导机制和重视程度,仍然采用比较粗犷的管理模式,以及网络管理缺少程序性规则,而且制度也不够完善,许多方面都存在着缺陷和执行上的不严格不彻底。因此,对于网络管理人员来说责任感还有待加强。
(四)使用人员的不良习惯与非法操作。现在的检察机关工作人员对于网络的操作水平比较低,而且在网络使用者中大量的存在着操作不规范以及软件的盲目使用。使得信息网络安全得不到最初的保障。
二、检察机关信息网络安全自主可控的策略分析
(一)完善检察机关信息网络安全自主可控的规范化。检察机关的信息技术具有保密的特点,检察信息化管理中许多管理都应在安全有序的状态下进行信息网络安全自主可控的运作。应将信息网络安全的的自主化管理模式纳入到整个管理的格局之中,如果不及时的使用自主化管理模式,就会使总体的检察机关信息网络在运行时出现紧张的局面,必将会导致检察机关总体管理工作的堵塞。当网络信息化技术发展到一定阶段的时候,就会暴露出许多信息网络安全管理的问题。与此同时,与其相互配合使用的许多信息管理软件也会出现相应的操作上的问题。建立检察信息网络安全自主保障系统是解决问题的最有效的方法,它使原本由静态的管理模式向动态的信息安全管理模式转变。由此可见,完善的检察信息网络安全自主保障系统通过规范信息安全管理机制,改进检察信息网络安全自主保障系统,促进了队伍更好地建设与发展。而且对信息网络安全自主可控机制的健康运行起到了很好的促进作用,使检察机关信息网络安全自主可控的管理机制能够快速的、科学的发展。为加强制度的管理和落实,有必要完善检察机关信息系统运行的操作规范,并且定期的总结规章制度的执行落实情况,及时发现漏洞并进行整改。还有必要规范电子论坛、挂网内容等的制度,既鼓励了干警学习网络安全知识,又提升了检察机关的整体素质,还保证了检察机关信息网络运行的畅通和安全。网络信息化建设的基础性工作是检察机关网络信息技术的开发,而最关键的则是对网络信息的具体运行和安全管理。检察机关网络信息化建设中存在着很多的问题,对网络信息安全自主可控机制多少都会有一些影响。对此,规范网络信息管理是非常有必要的,检察机关对于各类案件、各种工作以及信息安排都必须在网络信息系统上进行传达,使各个部门都能准时、安全的接受。
(二)完善检察机关信息网络安全自主可控的科学化。检察工作的开展与检察机关掌握信息量的多少、优劣和信息技术程度的高低有着直接的关系。随着信息时代的快速发展,大部分的干警对信息化了解越来越少,连最基本的打字、上网都不精通就别说利用信息技术了。这些问题严重的阻碍了信息网络安全建设的步伐。要想建立新型的工作机制,必须先从思想观念开始更新,将现代化的信息管理理论融入到检察工作之中。必须大力引进精通网络知识的技术型人才,以促进检察干警更新观念,主动学习钻研。如过有必要可以实行全员培训。例如:在各科室开设小的学习环境,发挥本部门骨干的作用,边做边学;或者是在全体部门开设学习环境,定期的邀请专业技术人员来讲解在操作过程中所遇到的疑难问题。在此基础上,还要组织本院的技术骨干走出去,才能引进来更好的创新观念。在检察机关干警信息网络安全自主可控的工作能力不断提高的基础上,检察机关还必须加大完善基础设施的建设,才能更好地适应信息网络安全工作快速发展的需要。检察机关对信息网络安全的技术投入不能松懈,而且为了满足检察机关自主可控的需求,还应对信息网络安全保障的各项设备进行改造与升级。只有配置先进的局域网设备,才能有效的防止非法技术的入侵。应用了高标准的信息系统以后,使新型的信息管理模式的安全含量更高、更强。
(三)完善检察机关信息网络安全自主可控的高效化。为保证检察工作能够高效的发展,就必须不断的更新办案系统以及信息安全建设。提高信息安全监督,变结果监督为过程监督,变静态监督为动态监督。为有效地预防办案人员在办案过程中不规范的使用信息网络,可以通过局域网进行信息安全自动监督。办公行政管理部门可以在内网上公开信息网络安全督察事项,并对落实、执行不彻底的个人或部门给予相应的告诫或处罚,这样既提高了信息的质量与安全系数,又使检察机关信息网络安全内部监督机制向着良性的方向发展。为了确保检察业务信息的安全,必须研发新的办案软件,使局域网内部也实现联网办公。与此同时,还要对侦查指挥、讯问监控系统进行开发和升级,以防止秘密的泄露。还应该实现对举报自动受理,探索出一条新的、快速的、安全的、保密的举报受理系统,防止举报信息被外部的非法网络技术入侵、窃取。
三、总结:
信息网络的安全建设关系到了检察机关的未来走势,面对飞速发展的科学技术,只有不断地完善检察机关信息网络安全自主可控的规范化、科学化和高效化,才能使检察事业在新形势下更快的朝着目标迈进。
参考文献:
当前,企业信息安全尚在起步阶段,发展不够成熟健全,还有更多需要解决的问题。随着网络技术的发展,经济信息量的大幅度上涨,处理信息必须依靠计算机才能完成,但计算机存在一定的弱点,例如计算机病毒、人员素质低下、黑客入侵等因素,以及移动4G、WIFI互联等多边界企业网络环境下,由于内外部网络是直接连接,其互通性和网络访问无限制性易形成黑客或恶意份子入侵的切入口,若是没有设置任何的网络边界安全机制,将造成企业信息受到潜在的安全威胁。企业要想持续发展,信息安全是基本保障。企业信息化程度越高,企业数据也就越安全。企业发展的基础即信息安全,企业管理者要正确认识信息安全工作的长期性和紧迫性。从保护企业利益,促进经济发展,保证企业稳定与安全的角度来看,只有做好基础性工作和设施建设,建立信息安全保障,以及建设安全健康的网络环境,才能有助于信息化安全建设。其实不管科技如何发达,技术如何高超,都是人类智慧的结晶体,所以信息安全已无法离开人类。不少企业信息被泄露,多是人为因素导致,员工滥用企业信息将会给企业带来极大的损失。
2企业信息化安全建设
当今社会已经步入信息知识经济时代,信息对企业良性长久的发展尤为关键,但目前企业信息系统安全问题无疑是企业发展阶段所面临的重点难点。所谓的企业信息安全就是对企业信息资产采取保护措施,使其不受恶意或偶然侵犯而被破坏、篡改及泄露,确保信息系统可靠正常并连续的运行,最小化安全事件对业务的影响,实现业务运行的连续性。因此笔者认为以下几方面是关键。
2.1做好网络保护
其实要保证外网安全需要企业加大硬件设备的投入,信息安全产品在网络经济发展下正面临着新的挑战,传统防火墙、信息加密、防病毒等已无法有效的抵御外部入侵;同时由于内部操作不当,导致内网感染病毒造成信息泄露的现状也是信息安全的焦点问题。针对以上情况,建立事前有效防御,事后追究机制是企业信息化安全建设的当务之急。根据现代企业的特点,笔者认为从下面这几点入手,有助于保护网络的安全:
(1)身份认证技术。
企业内网操作时,可采用身份认证技术,借助PKI、PKM等工具,控制网络应用程序的访问,以及进行身份认证,实现有效资源合法应用和访问的目的。
(2)审计跟踪技术。
通过审计跟踪技术监控和审计网络,控制外设备如MSN、QQ、端口、打印、光驱、软驱等,从而实现禁止使用指定程序,并促进员工操作行为及日志审计规范的目的。
(3)企业还应组建自身网络拓扑结构。
利用严格密钥机制和加密算法,有机的结合加密、认证、授权、审计等功能,保护最底层不同密集评定和授权方式的核心数据,而非限制应用网络和控制网络,进而真正实现合理保护,确保企业信息数据资源的安全。
2.2安全边界的界定和管理
安全边界的界定通过分析现有网络边界安全的需求,笔者认为有几方面:首先,内部网段。即企业网内网,是防火墙的重点保护对象,安全级别和授信级别更高,主要承载对象是企业所有人员的计算机。其次,外部网段。即边界路由器以外的网络,比如移动4G、WIFI互联等多边界网络,安全级别和授信级别最低,是企业信息数据泄露最大的安全隐患,需要严格禁止或控制。最后,DMZ网段。即对外服务器,安全级别和授信级别介于内外网络之间,其资源运行外部网络访问。
(1)由于外部用户访问DMZ区域中服务器的方式较为特殊,在系统默认情况下是不被允许的。
可实际应用中是需要外部用户对其进行访问,所以防火墙上必须增加相应允许外部用户访问DMZ区域的访问控制列表,通过对列表的控制允许用户行为,并对进行很好的监控管理,保证企业信息的安全性。
(2)内部用户对外部网络以及DMZ区域中服务器的访问。
按照ASA自适应安全算法,在系统默认情况下是允许高安全等级接口流向低安全等级接口流量的,外部网络安全级别远没企业内部网络安全级别高,所以在默认情况下这种访问方式是被允许的,不过实际应用过程中,需要限制对外访问流量。
(3)外部用户对内部网络的访问。
在系统默认情况下这种情况是不被允许的,是对外部用户非法访问的有效抵御,能有效的保证企业信息的安全,促进企业信息化的安全建设。
2.3强化系统管理
由于任何安全软件都有被攻击或破解的可能性,单纯依靠软件技术来保障企业信息安全是不现实的,只有强化企业内部信息系统的管理才行之有效。所以,企业内部信息管理体制要完善,尽可能促进管理系统规范性和可靠性的提高,才能为企业内部信息的安全提供更高保障。同时,要进行安全风险评估工作。因为各个信息系统使用的都是不同的技术手段和组成方式,其自身优势及安全漏洞也具有较大的差异,由此在选择企业所需的信息系统时,一定要先做各个系统的安全风险评估工作,信息安全系统的选择要针对企业自身特点,降低信息安全问题出现的概率。最后,就是加强系统管理。在实际生活中信息窃取和系统攻击大多是在网络上完成的,企业必须要强化网络管理工作,以便促进企业的运行更安全政策。
2.4加强企业信息安全管理团队建设
当前,企业信息安全体系的建设中已完全渗透“七分管理,三分技术”的意识,强化企业员工信息安全知识培训,制定完善合理的信息安全管理制度,是企业信息安全建设顺利实施的关键保障。企业信息安全建设时要另立专门管理信息安全的部门,负责企业内部的信息安全防护工作,加强对企业内部计算机网络系统的维护及常规检查。企业信息安全管理团队的职责主要包括:工作人员安全操作规范、工作人员守则以及管理制度的制定,再交由上级主管部门审批后监督制度规范的执行;定期组织安全运行和信息网络建设的检查监测,掌握公司全面的第一手安全资料,根据资料研究相关的安全对策和措施;负责常规的信息网络安全管理维护工作;定期制订安全工作总结,且要接受国家相关信息安全职能部门对信息安全的工作指导。
2.5入侵检测系统(IDS)与入侵防护系统(IPS)
IDS即入侵检测系统能够弥补防火墙的缺陷,能实时的提供给网络安全入侵检测,并采取一定的防护手段保护网络。良好的入侵检测系统不但可有助于系统管理员随时了解网络系统的变更,还能提高可靠的网络安全策略制订依据。因此,入侵检测系统的管理应配置简单,随时根据系统构造、网络规模、安全需求改变。IDS必须布置在能够监控局域网和Internet之间所有流量的地方,才能第一时间检测到入侵时,做出及时的响应,比如记录时间、切断网络连接等。
3总结
5月9日,国务院召开常务会议,研究部署推进信息化发展、保障信息安全工作。健全安全防护和管理和加快安全能力建设成为本次国务院会议颁布的《关于大力推进信息化发展和切实保障信息安全的若干意见》(下称《意见》)的工作重点。
《意见》强调,要健全重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力;加强地理、人口、法人、统计等基础信息资源的保护和管理,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任;完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患发现、监测预警和突发事件处置能力;加大信息安全技术研发力度,支持信息安全产业
发展。
英国政府高度重视信息安全,在近三年之内连续两次出台了国家网络安全战略,2011年11月25日的《英国网络安全战略》对英国信息安全建设做出了战略部署和具体安排,英国推进信息安全建设的做法对我国有哪些借鉴意义?
英式样本
《英国网络安全战略》全文共43页,文件正文由“网络空间驱动经济增长和增强社会稳定”、“变化中的威胁”、“网络安全2015年愿景”和“行动方案”四个部分组成,介绍了战略的背景和动机,并提出了未来四年的战略计划以及切实的行动方案。该战略继承了2009年英国的网络安全战略,并继续在高度重视网络安全基础上进一步提出了切实可行的计划和方案。
《英国网络安全战略》的一个总体愿景是在包括自由、公平、透明和法治等核心价值观基础上,构建一个充满活力和恢复力的安全网络空间,并以此来促成经济大规模增长以及产生社会价值,通过切实行动促进经济繁荣、国家安全以及社会稳定。
在此愿景下,其设立的四个战略目标分别为应对网络犯罪,使英国成为世界上商业环境最安全的网络空间之一;使英国面对网络攻击的恢复力更强,并保护其在网络空间中的利益;帮助塑造一个可供英国大众安全使用的、开放的、稳定的、充满活力的网络空间,并进一步支撑社会开放;构建英国跨层面的知识和技能体系,以便对所有的网络安全目标提供基础支持。
为实现上述目标,英国政府配套出台了三个行动原则。第一是风险驱动的原则:针对网络安全的脆弱性和不确定性,在充分考虑风险的基础上建立响应机制。第二是广泛合作的原则:在国内加强政府与私营部门以及个人的合作,在国际上加强与其他国家和组织的合作。第三是平衡安全与自由私密的原则:在加强网络安全的同时充分考虑公民隐私权、自由权和其它基础自由权利。
与此同时,《英国网络安全战略》还规定了个人、私营机构和政府的规范和责任。它要求个人在网络空间应做到基本的自我保护,懂得基本的安全操作知识,也要为各自在网络空间中的行为承担责任;私营机构在网络空间不仅要做到主动的安全防御,还要与政府机构和执法机关等互相合作来面对挑战,另外还要抓住网络安全产业发展带来的机遇;政府在网络空间要在降低政府系统本身风险的同时,发挥其在网络安全构建方面的主导作用。
在具体实施细则方面,《英国网络安全战略》配套制定了八个行动方案支撑点,分别是:
明确战略资金在各机构的分配方式。该战略明确了未来四年中投入的6.5亿英镑的分配方式,以确保英国以一种更积极的方法来应对网络威胁。在英国国家通信总局的支持下,一半左右的资金将被用于加强英国检测和对抗网络攻击的核心功能。
加强网络安全国际合作。英国将积极与其他国家和国际组织展开合作,以共同开发网络空间行为的国际规范或“交通规则”。
降低政府系统和关键基础设施的风险。英国将结合本国国情,与掌控关键基础设施的私营机构展开合作,开发严格的网络安全标准,推动建设威胁信息共享的“网络交换机”。
建立网络安全专业人才队伍。英国将采取认证培训、学科教育、资金支持以及继续举行网络安全挑战赛等方式建立核心专业人才队伍,并鼓励有“道德感的”黑客参与进来。
构建网络犯罪法律体系。英国将在鼓励举报网络犯罪的同时,针对网络犯罪行为构建强力的法律框架,以支持执法机构应对网络犯罪。英国还将致力于建立应对跨国网络犯罪的合作机制,以杜绝“避风港”的存在。
提高公众网络安全意识。英国将运用媒体宣传来帮助大众了解和应对网络威胁,普及不同层次的网络安全教育,与互联网提供商合作以帮助个人确认是否受到网络侵害,将为所有人提供明确的网络安全建议。
增强商业网络安全功能。英国认为商业领域是网络空间犯罪和经济间谍活动的最大受害者,政府应与消费者和私营结构一起增强商业网络安全功能,包括建立信息共享的网络“交换机”、制定相关标准以及重点确保在线消费安全等。
培育网络安全商业机会。英国将在国家通信总局等部门的技术支持下,化威胁为机遇,在网络空间中树立网络安全竞争优势,以促进经济增长,最终将之转化为英国的竞争力优势之一。
战略背后
无疑,《英国网络安全战略》旨在提升网络安全产业国际竞争力,确保英国拥有一个安全的网络环境。《英国网络安全战略》中不止一次提到要确保英国在网络安全产业处于国际领先地位。
与美国的《网络空间国际战略》相比,英国政府并不谋求网络空间的主导地位,而是将注意力集中在维护本国网络安全、加强本国网络安全产业竞争力、创造网络安全商业机遇等方面。作为该战略核心的“英国2015年愿景”中,在短短的60余字中分别两次提到“促进经济大规模增长”和“促进经济繁荣”,充分表明英国政府通过网络安全促进经济发展的
决心。
当前包括英国在内的欧洲依然处于金融危机导致的困境,例如经济发展低迷、政府赤字居高不下、失业率持续增加等。英国政府敏锐的意识到了网络安全行业带来的经济机遇,不惜斥资6.5亿英镑改善网络安全环境,增加网络安全竞争力,以抢占网络安全行业市场,确保其“先行者优势”。
此外,战略中明确提出了要建立相应的法律体系和执法队伍,利用英国先进的相关技术支持网络安全部门的发展,健全网络安全国家响应机制,提高在线公共服务水平,分享网络安全信息,以及杜绝网络犯罪国际“避风港”等。这些措施的目的是确保英国拥有安全的网络环境,并在网络安全领域处于优势地位。
我们注意到,《英国网络安全战略》细化了战略实施方案,强调多方合作机制。英国推进信息安全建设非常注重战略等文件的可操作性,如其更加强调战略的实施细节,并在附录中详细阐述了针对四个战略目标的具体实施方案。战略实施方案分别从政策导向、执法体系、机构合作、技术培训、人才培养、市场培育以及国际合作等各方面提出了实施细则,具有很强的可操作性。
针对网络空间结构的复杂性,英国政府认识到网络安全需要网络空间构成各方的广泛参与,该战略从多维度提出建设多方合作机制,包括在英国国内增强政府与私营机构、政府与个人、私营机构与个人之间的合作,以确保三方在构建安全网络空间发挥各自的角色;在国际上加强本国政府与他国政府、本国政府与国际组织之间的合作,以确保英国在网络安全领域的国际主导地位。
再造
英国在重视网络安全的基础上,提出将网络安全作为新的经济增长点,以便刺激经济增长、摆脱当前的经济困境。英国针对网络安全的具体做法对我国有着重要的借鉴意义。
一是加快制定我国的网络安全战略。近年来,各个国家愈发重视网络空间安全问题,将网络安全提升到国家战略高度。例如美国了《网络空间国际战略》,印度推出了《国家网络安全策略草案》等。我国虽然对网络安全发展也非常重视,但是尚停留在安全保障、被动防御的阶段,还没有形成推进网络安全的战略体系,还没有出台过国家网络安全战略。因此,国家应立足国家层面,加快制定并出台我国网络安全战略,明确网络空间是我国的新疆域,并将保障网络空间安全作为新时期维护国家利益的重要任务,确定我国网络安全发展战略目标、战略重点和主要主张,全方位指导我国网络安全建设。
二是制定切实可行的战略实施方案。网络安全战略的实施任务多、涉及面广,必须由各部门联合制定切实可行的实施方案,协作推进,确保战略实施。《英国网络安全战略》非常注重战略的可实施性,可操作性。这一点对我国具有非常大的参考价值。我们应进一步加强网络与信息安全领导小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力。同时,在网络与信息安全领导小组统一领导和协调下,各职能部门要相互配合,针对战略目标从政策导向、执法体系、机构合作、技术培训、人才培养、市场培育、以及国际合作等方面制定切实可行的实施方案,确保我国网络安全战略的顺利实施。
三是重视网络安全产业,促进经济发展。英国网络安全战略地亮点之一是英国政府不仅敏锐地意识到了网络安全行业带来的经济机遇,而且将网络安全产业作为英国新经济增长点。《英国网络安全战略》明确提出未来四年将斥资6.5亿英镑改善英国网络安全环境,充分表明英国政府通过网络安全促进经济发展的决心。这一点对我国制定网络安全战略也有重要的启示作用。我国制定网络安全战略不仅应着眼于构建安全的网络空间,还应该高度重视网络安全行业带来的经济增长。在制定国家战略时,应明确提出鼓励网络安全产业发展的政策、资金、法律等方面措施,推动我国网络安全企业做大做强和安全产业快速发展,充分发挥网络安全产业在我国经济增长中的带动作用。
一、我省财政系统网络安全建设基本情况
辽宁省财政厅的办公局域网系统建于1996年,经过几坎改造升级后,现在已经做到全厅800多节点速度全部为100M。安全建设方面,我们除了将厅办公局域网与其他物理网络隔离开之外,在厅局域网核心交换机和核心路由器之间,我们使用了1台东软防火墙,用以保障厅内各应用服务器避免受到来自外联单位的攻击。同时还在核心交换机上部署了IDS入侵检测设备和“天镜漏洞扫描系统”软件,以及“局域网综合网络管理平台”和“局域网流量管理”两套软件。用以保护厅内办公人员的终端系统安全。病毒防范方面我们统一采购了“趋势防毒墙”防病毒软件。在数据存储方面,我们将“国库集中支付”、“非税收入管理”、“办公自动化”等重要应用系统的数据集中迁移到可靠性更高的HP EVA5000存储设备上,并通过veritas备份软件每天将重要应用系统的数据集中备份到HP6030磁带库设备上,为各应用系统的数据安全提供一定的保障。各市财政系统在网络安全建设方面也都大体与省厅类似,基本上都在自己的办公局域网络边界配置了各种品牌的防火墙设备用以保障本地办公网络的安全,以及部署了“趋势”、“瑞星”等网络版杀毒软件用以防范网络病毒。
二、财政系统网络信息安全面临的问题
1 网络黑客攻击。黑客是网络的天敌,根据我国财政信息化网络建设的现状。黑客攻击又分为来自内部的隐性攻击与来自外部的显性攻击。黑客通常具有计算机系统和网络脆弱性的知识,能使用各种计算机工具非法侵人重要信息系统,窃听、获取、攻击有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。
2 网络病毒破坏。20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
3 信息传输中的隐患。信息传输过程中的信息损耗、被窃取越来越威胁到财政信息的安全。为了防止在通信传输过程中对信息的窃取和篡改,可采用VPN加密、IDS监控等安全手段,以保证网络传输协议中网络层的安全。不断进行系统安全加固处理,将财政安全隐患扼杀在传输过程中。
4 缺乏严格的安全管理制度。财政信息化改革才刚刚起步,有很多规章制度还不成熟,没有严格的安全管理机制,缺乏整体安全方案,还没有可以借鉴的经验,机房、网络的混乱管理造成了财政信息网络安全的隐患,一旦出现问题,造成的损失将是无法估量的。
5 各方面防范措旋不到位。财政信息网络是复杂而庞大的,财政信息网需要承担的任务有很多:web网站、办公自动化、各业务软件的正常运行、实现与上级的联网、保障各县区网络畅通等等,这样,不可避免地要面对来自各个方面的攻击。例如,web站点遭受的恶意代码攻击等。
三、保障财政系统网络信息安全的对策
1 转变观念,增强网络安全忧患意识。现在,财政系统信息化建设刚刚开始,仍处于探索阶段,许多部门和个人的安全忧患意识还尚未形成,对计算机网络安全技术还未能给予足够的重视。对于这种情况。仅仅依靠信息部门的努力还不够,也要有领导和管理部门来搭台。然后由信息部门唱戏。让业务部门和应用人员从思想上认识到网络安全的重要性,然后才能在实际工作中处处注意安全防范,对的财政信息,处理时真正做到“如临深渊,如履薄冰”。
2 培植系统健壮性,提高系统自身防范能力。选择安全性能良好的系统作为财政网络的信息平台,才能从根本上保证信息网络的安全。及时升级、更新操作与应用系统。选用网络版的杀毒软件,通过控制中心对整个财政内部网络进行监控,把病毒扼杀在摇篮中。购买了反病毒软件、防火墙软件,只是实现网络安全的第一步,是否充分发挥了安全产品的作用。是否定期去升级最新病毒代码,定期检查网络的每个终端配置是否正确,运行是否正常等等,这些才是防范病毒、黑客,保证网络安全畅通的关键所在。采取对用户口令、指纹的识别等手段来识别合法的用户。采用用户身份认证机制,确保对系统资源的合法使用。采用具有安全机制的数据库系统和其它系统软件,加强对使用事件的审计记录的管理,以保证财政信息在网络协议系统层的安全。
随着企业信息化的深入发展,企业业务系统对信息技术的高度依赖,网络信息安全问题也变得日益严重,新的安全威胁不断涌现,并且成为黑客攻击的重要对象。
面对越来越严重的威胁,企业需要建设主动的、深层的、立体的信息安全保障体系,保障业务系统的正常运转,保障企业经营使命的顺利实现。
在面对不断发展的安全威胁时,许多企业不断地扩充自己的安全体系,希望通过不断地部署安全产品,来确保网络的安全。在企业部署安全体系的时候,遇到了一个相同的问题,即防范恶意攻击、降低安全风险,应该用入侵检测产品还是入侵防护产品?
实际上,几年前,很多企业都利用入侵检测监控风险,了解网络中的脆弱点。随着近几年入侵防护技术的出现,企业在建立安全架构的时候,面对入侵检测和入侵防护,不知何去何从?
从2003年Gartner公司副总裁Richard・Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。
可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?启明星辰公司产品管理中心总工程师万卿表示,“在入侵防护产品刚出来的时候,有些用户对于选择入侵防护还是入侵检测拿不定主意,不知何去何从?实际上,入侵检测和入侵防护根本就不是同类的产品。两者不是互相取代或升级的关系。企业需要根据自身的网络环境和系统环境,选择合适的产品。”具体的两种产品的选型上来讲,需要从产品的价值和产品的应用角度出发,就能够明确自己的需求了。
从产品价值角度讲,入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。
在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况,了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设,才能根据安全状况及时调整安全策略,减少信息系统被破坏的可能。
入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲,为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施―对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
明确了入侵检测和入侵防护的区别之后,万卿提出了三种不同的应用环境:若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。若用户计划分布实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。
合理的选择产品类型之后,下一个问题就是选择什么样的入侵检测系统或者入侵防御系统才能最有效的发挥作用呢?
万卿表示,任何产品的开发应该围绕着核心产品价值展开,产品的各种能力都应该为核心产品价值服务。
