时间:2023-06-08 10:57:14
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇有关网络安全的案例,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:小学信息技术;网络安全;思考
网络时代的到来给人们的生活带来了种种便利,但是在网络上也充斥着各式各样的网络陷阱,威胁人们的财产和人身安全,给人们的正常生活带来了一定的影响。小学生的年龄比较小,分辨是非能力比较弱,在使用网络的时候,安全意识较为缺乏。因此,在教学时,教师必须做好信息技术网络安全教学,帮助学生树立网络安全意识。
一、小学信息技术网络安全教学现状
1.教师在教学中不重视网络安全教学
近些年来,随着素质教育的全面发展和深入推进,信息技术在小学阶段的教学中也受到了前所未有的重视,而网络安全教学作为信息技术的重要组成部分,在指导学生正确地使用信息技术方面具有极为重要的影响,也被视为教学的重点。然而,在实际教学中,不少教师在进行信息技术教学时,更多的是将教学关注点放在了学生的技术学习上,过多地关心学生掌握了多少技术,而较少关心学生在遇到网络安全问题的时候,如何去解决这些问题。
2.学生的网络安全意识缺乏
科技的进步,给人们的日常生活带来了较多的便利,小学生的学习生活和学习中充满了各式各样的电子产品,学生对于电脑和手机等电子设备的使用也十分熟悉。但是网络诈骗、隐私泄露以及一些不健康信息在人们使用网络的时候可以说是防不胜防,小学生在课堂上所学习的网络知识,大部分都是与一些软件技术运用方面相关的,在网络安全方面的知识较为匮乏,学生在使用网络的时候很容易就会被网上一些不健康的信息所干扰,对于学生的学习和生活产生一些不良的影响。
二、信息技术网络安全教学的策略
1.转变教师的教学观念,开展网络安全教学
教师的教学观念对于学生的学习有着极为重要的影响,对于小学生来说,他们的知识较为薄弱,学习经验不足,因此,他们在学习知识的时候也更加依赖教师,在教学时教师向学生灌输什么样的教学理念,学生掌握的理念也基本上都是与之相关的。
对于小学信息技术教学来说,教师在教学时,首先必须要转变自己的教学观念,在教学信息技术知识的时候,要认识到信息技术的运用固然重要,如“图片处理”“电子邮件发送”等,但是在学习的过程中,网络安全问题也不容小觑,教师在教学的时候必须要重视这个问题,将安全问题渗透到不同的教学环节中,告诫学生不能登录一些不正规的网站,不能随意将自己的个人信息告诉网络上的一些陌生网友,帮助学生树立网络安全意识,促使学生科学合理地运用网络技术和相关的一些电子产品。
2.运用案例教学法,认识网络安全的重要性
案例教学法是在平时教学中常用的一种教学方法,通过这种教学方法可以让学生在较短的时间内,掌握教师所讲解的知识,也能使课堂教学更加生动活泼,在进行网络安全教学的时候,教师也可以将一些鲜活的案例引入教学中,激发学生的学习兴趣。
例如,教师可以将一些关于网络诈骗的案例引入课堂,以视频或者是其他的一些方式播放给学生观看,让他们能够通过具体的案例了解到网络上存在的一些安全问题,提升自己的安全防护意识,合理使用网络信息技术,维护自身安全。
3.运用情境教学法,感受网络安全
网络安全问题时时刻刻都在人的身边,对于人们的日常生活有着极为重要的影响。因此,教师在教学时,可以通过情境教学,模拟生活中的例子进行网络安全教学,帮助学生更好地认识网络安全教学的意义。
例如,教师可以在信息技术课上模仿某些案例,学生和教师分别扮演不同的对象,如教师扮演陌生网友,向学生索要电话、家庭住址、父母职业和自己所在地等信息,让学生思考自己在面对陌生网友提出来的这些要求的时候,该怎么办?是否要将自己的身份信息透露给对方,还是及时向身边的人求助,让他们帮助自己解决这些问题,这种情境教学法,能够让学生更直接地感受到网络安全的重要性,学习更多与网络安全有关的知识,提高安全警惕,促进教学发展。
总之,小学信息技术网络安全教学,有助于学生树立正确的观念认识信息技术,科学地运用计算机技术,可以帮助学生抵制网络诱惑,将信息技术运用到有需要的地方。因此,教师在教学时,要学会通过多种教学方法,将网络安全意识渗透到学生的脑海中,提高学生的自主安全防范意识,帮助他们正确使用网络信息技术,促进小学生全面发展。
参考文献:
[1]严建江.关于学校网络安全及上网行为管理的几点举措[J].学周刊,2012(9).
关键词 电力;信息;自动化;网络;安全
中图分类号TM6 文献标识码A 文章编号 1674-6708(2014)119-0214-02
0引言
电力信息自动化网络安全与实现一直是有关企业电力部门工作人员关注的重点。由于网络是一个相对开放的平台,因此在电力系统中应用网络技术不可避免的就会受到一些网络技术的负面影响,例如病毒袭击,黑客入侵等。因此我国有关电力工作人员针对电力信息自动化网络的安全进行了周密的研究,就如何实现电力信息自动化网络安全提出了诸多的有效的策略。
1加强设备管理,注重设备维护
将电力系统与网络技术相结合不仅需要网络技术的支持还需要一些计算机以及相关电子设备的辅助,而这些计算机以及相关电子设备在实际应用的过程中,经常会成为威胁网络安全的主要因素。因此有关管理人员在维护电力信息自动化网络安全的过程中应对相关设备产生一定的重视,具体来说有关管理人员应从以下几个方面入手对其进行管理:1)加强设备管理。加强设备管理最有效的办法之一就是将所有设备进行统一的管理,针对设备的种类,特征等进行有效的记录。并且构建起高效的设备管理体系,在进行设备管理的过程中,可以针对设备出现的问题进行及时的发现与解决;2)注重设备的维护。设备在进行使用的过程中经常会出现一定的耗损,而过度的耗损将对设备的使用效果以及设备的实际功能等产生影响。因此有关管理人员应加强对设备的维护工作,针对设备存在的故障进行及时的检修,同时要对设备的性能进行了解,针对性能下降或是需要更新的设备进行及时的淘汰,进行新设备的更换。
2强化技术应用,促进技术革新
网络平台最突出的安全问题就是病毒与黑客,因此在进行电力信息自动化网络安全的控制过程中有关人员应通过网络安全技术的应用对病毒与黑客进行一定的预防。具体来说有关人员应从以下几个方面入手:1)强化技术应用。网络安全技术的应用应侧重全面性与专业性。在进行杀毒软件选择的过程中应选取信誉有保障,有专业技术支持的杀毒软件品牌,例如:360,金山,瑞星等。另外,由于电力系统具有一定的特殊性,因此应在单位范围内建立局域网便于单位内部交流,避免病毒以及黑客从外部进行入侵。同时有关管理人员还应借助网络技术建立其有效的网络预警与保护系统,对整个电力信息自动化网络安全进行全方面的保障;2)促进技术革新。网络技术的发展具有着日新月异的特点,因此电力信息自动化网络安全管理人员应对网络安全技术的发展给予足够的关注,积极的对单位内部的网络安全技术进行更新。同时有关人员还应对病毒的发展以及升级产生重视,针对新兴的病毒提前制定出有效的预防措施,避免电力系统受到病毒的侵害。
3建立管理部门,施行全程监督
为了有效的对电力信息自动化网络安全进行保障,有关企业电力部门应对电力信息自动化网络安全管理产生重视,具体来说可以做到以下几个方面:1)建立管理部门。专门的管理部门可以让电力信息自动化网络安全管理更加的系统化,全面化,同时对于管理的目的与管理的职能也更加的明确。因此有关企业应积极的在单位内部针对电力信息自动化网络安全管理建立起专门的管理部门,并制定出条理清晰,内容具体的管理制度,对管理人员的工作进行详细的指导与规范,提升电力信息自动化网络安全的管理质量;2)施行全程监督。监督管理是减少系统运行问题的主要手段之一。因此在对电力信息自动化网络安全进行保障的过程中,管理人员应对网络安全问题进行全程的监督。具体来说这种全程的监督包括两个方面,一是通过建立网络预警系统的方式进行自动化的网络安全监督。二是加强对设备管理以及设备维修等方面的监督,这部分的监督一般应以人力为主,就工作中的问题进行及时的指出,强化安全管理的职能。
4完善物理环境,强化安全意识
物理环境一般是指设备放置的外在环境,在实际的工作过程中由于物理环境管理不善而造成网络安全事件出现的案例时有发生,例如,由于散热工作不到位,导致火灾的产生。因此有关人员在进行电力信息自动化网络安全保障的过程中,不仅要对网络技术本身进行考虑,同时还要对设备存放的环境进行一定的管理,具体来说包括选择合适存放空间,保持室内卫生,注重设备通风降温,准备备用电源避免断电引起网络瘫痪等。除此了要进行必要的工作之外有关管理人员还应培养起一定的安全意识,通过学习安全知识,了解安全常识的方式,强化管理人员在对物理环境进行管理过程中的管理质量,在最大的限度内减少物理环境问题的出现。
5招聘专业人员,提高操作规范
通过对我国电力信息自动化网络安全管理现状进行研究,我们发现我国大多数企业在进行网络安全管理与维护的过程中,其工作人员在专业性上存在着一定的不足,使得网络安全的管理难以得到有效的保障。因此在今后的工作过程中有关企业应从以下几个方面入手对问题进行解决:1)招聘专业人员。虽然计算机在我国已经得到了一定的普及,绝大多数的民众都可以对计算机进行基础性的操作。但是电力信息自动化系统其在进行应用的过程中对于操作人员网络技术的掌握水平有着更高的要求,因此非专业人员难以对其进行有效的维护。因此有关电力企业应对网络安全维护人员进行素质审查,将不具有专业资格的管理人员从网络安全管理部门剔除,并有针对性的招聘专业人士进行网络安全管理。只有这样才能对电力信息自动化网络安全质量起到一定的促进作用;2)提高操作规范。由于电力系统对社会生活有着密切的影响,因此电力企业应对有关人员具体的操作规范进行一定的提升,使得网络安全管理人员可以对自己的工作进行更加严格的要求,对网络安全的管理效率进行有效的提升。
6结论
综上所述,我国电力信息自动化网络安全应从加强专业性的角度入手,建立起专业的管理部门对其进行管理与维护,通过提升人员素质、加强技术应用、维护物理环境等方法,对电力信息自动化网络安全进行有效的实现。
参考文献
[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息,2010(3):34-36.
突发公共事件按影响范围可分为国家级、地区级、行业级和社区级。突发公共事件具有不确定性、突发性和破坏性等基本特征。随着信息化、工业化进程的不断推进和城市的数量及规模的迅速扩大,突发公共事件又表现出连动性、并发性和综合性等特点,从而显著地放大了破坏力,增加了应对的难度。建立健全突发公共事件的应急体系已成为一个世界性的课题,受到了各国政府的高度重视。网络和信息安全的策略制定经历了由“静”到“动”的转变,安全应急响应机制正是信息安全保护向动态转换的标志。直接推动此机制建立的是20世纪80年代末期发生在西方的两起重大信息安全事件。其一是“莫里斯蠕虫”入侵互联网。在短短12小时内,6200台工作站和小型机陷入瘫痪或半瘫痪状态,不计其数的数据和资料毁于一夜之间,造成一场损失近亿美元的大劫难。其二是美国和西德联手破获了前苏联收买西德大学生黑客,渗入欧美十余个国家的计算机,获取了大量敏感信息的计算机间谍案。因此,建立一种全新的安全防护及管理机制以应对日益严峻的网络安全状况成为共识。于是,1989年,世界上第一个计算机紧急响应小组——美国计算机紧急事件响应小组及其协调中心(简称CERT/CC)建立,由美国国防部资助,信息安全进入了以动态防护机制为主的时代。在互联网不断发展、虚拟社会逐渐成型的当下,政府进行治理模式的转型迫在眉睫,对国家网络安全应急体系的建设与完善提出了更高更新的要求。
二、中国网络安全应急体系存在的问题
(一)整体网络安全应急响应组织和应急体系不完备
中国网络安全应急体系主要分为网络基础设施、公共基础设施信息系统、网络内容管理应急几个部分,其应急管理部门是由国务院应急管理办公室、国家互联网信息管理办公室、工业和信息化部、公安部、国家保密局(机要局)、国家安全部、总参三部等部门共同组成,其应急响应分别由这些不同部门来指导、协调和督促管理,其中,国务院应急办只是在形式上对其他部门进行应急协调,没有统一的顶层领导体系,形成职责不清和应急响应不及时的格局,对于同时涉及跨网络、网络基础设施、公共基础设施信息系统、网络内容管理等方面的应急响应难以形成统一应对措施。地方网络安全应急部门机构的设置更是五花八门,有的地方设有专门的应急办,有的地方设在经信局、科技局、政府办、信息中心、公安局、安全厅等不同部门,没有统一的管理机构,从上到下的整体应急响应效率较差。
(二)网络安全风险形势研判能力不足
当前,网络信息安全态势处于一个新的形势之下,从信息技术发展的角度来说,随着物联网、云计算、大数据和移动互联网等新技术的大规模应用,业务与信息技术的融合程度不断提高,网络和信息安全的风险点不断增加;从信息安全威胁的角度来说,随着高级持续性威胁的案例层出不穷,攻击者已经从攻击信息系统本身,转向攻击其背后的业务目标和政治目标。网络安全应急作为网络信息安全风险应对的重要过程和方法,不同于其他常规行业应急,我们当前还是局限于传统的应急角度,没有将防御和应急救助结合起来,对中国各类信息系统的运行状态、网络攻击行为、网络攻击目的等方面的形势研判能力不足。对中国目前面临的网络和信息安全威胁缺少精准案例和证据,首先是数量不清,很多部门对有没有受到攻击不清楚,国家多大范围的网络和信息产业受到威胁不清楚;其次是问题不清楚,到底入侵渗透到什么程度不清楚,对于真正的攻击源头不清楚。
(三)重大网络安全应急预案不完备
在网络安全应急预案制定方面,国务院应急管理办公室已经制定涉及网络基础设施的国家通信保障应急预案,国家互联网信息管理办公室对于网络舆情的应急也有一定的预案,有些部门和地方也都不同程度制定了一些网络安全应急预案。不过,各地、各部门的工作不平衡,预案操作性较差,存在一些缺陷。对于涉及到国家安全、民生和经济等重大基础设施信息系统的安全应急没有整体完备的预案。
(四)网络安全应急响应措施缺乏
中国的网络安全技术装备市场大部分被国外公司占据,从网络设备到网络之上的软硬件设备,大多采用国外装备和技术,一旦发生涉及国家利益的突发事件,在国外技术装备被攻击的情况下,我们很难找到可替代的应急设备。例如,2014年4月8日微软停止了对WindowsXP的服务,据不完全统计,中国当前使用WindowsXP的用户占到70%-80%份额,这些用户有半数没有升级到更高操作系统的打算,针对这种情况,我们到目前还没有具体的应急措施。如果一旦出现更严重的国际争端甚至发生战争,我们受制于人的这些网络技术装备难以采取必要的应急措施。
(五)核心信息技术装备的自主化水平较低
网络信息安全与核心信息技术装备的自主化息息相关,核心信息技术装备的自主化是网络安全应急体系的战略性产业基础。目前,虽然中国的信息技术产业规模不断扩大,产业体系逐渐完善,但是整体来看,国产核心信息技术装备的市场占有率不高,与国外的技术差距也比较大。在市场占有率方面,国内浪潮、曙光、华为和联想等高性能服务器企业的整体市场占有率不足三分之一;虽有服务器和客户端相关的研发产品,但并未走向市场化。国内计算机、通信和消费电子等主要应用领域的芯片企业的市场占有率低。在技术差距方面,中国高性能计算机的关键元器件特别是中央处理器芯片目前仍依赖国外厂商,数据库的发展水平和成熟度与国际标准也存在较大差距。由于市场占有率、技术差距等因素,直接导致了中国自主可控的安全技术装备不足,存在数据泄漏风险和情报监控风险。目前,国外企业已广泛参与了中国所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等重要行业,长此以往,中国的社会、经济、军事等方面将存在严重的战略风险。有数据显示,中国主要金融机构的信息化设备国产化率不足2%,面向复杂业务处理的中高端服务器几乎全部采用了国外产品。如大中型主机、高端服务器产品基本上以IBM、HP、SUN为主,而这样的选择也直接导致了处理器、部件甚至操作系统和应用软件相互之间并不兼容,用户一旦采用某厂家的小型机后,就很难摆脱高额投资与服务追加的恶性循环,更为严重的是它直接导致了被境外控制的威胁,对设备带有的“漏洞”和“后门”抵抗力、免疫力减弱。不能预先检测到间谍软件和隐蔽通道,就无法有效遏制数据窃取。据统计,2013年前8个月,境外有2.2万个IP地址通过植入后门对中国境内4.6万个网络实施控制。中国关键信息系统对国外主机的长期依赖,使得信息安全不可控的问题日益突出。WindowsXP停止服务的事件也是冲击国内2亿用户的重要信息安全事件。对国外信息产品的严重依赖导致中国信息化建设的安全底数不清,国外垄断信息产品对中国而言是一个“黑盒子”,无法准确判断其安全隐患的严重程度。
三、加强中国网络安全应急体系建设的建议
(一)建设完备网络安全应急体系
网络安全应急体系关系国计民生,这个系统性的体系是否完备、运转是否得当,会对网络安全应急工作产生重大直接影响。因而,理顺网络安全应急机制、清晰地明确权责是统筹完善网络安全应急体系的首要工作。可以从两个层面进行顶层设计:一是成立网络安全应急中心,由中央网络安全和信息化领导小组直接领导。该中心作为中央政府应对特别重大突发公共事件的应急指挥机构,统一指导、协调和督促网络基础设施应急、公共基础设施信息系统应急、网络内容管理应急等网络安全应急工作,建立不同网络、系统、部门之间应急处理的联动机制。如果在短时间内难以实现,可以考虑另行成立相关的指挥协调机构,由中央网络安全和信息化领导小组领导,也可以在一定程度上发挥有效的作用。二是把仍然分散在各部门的网络安全应急管理职能适当加以整合。同时,根据突发公共事件分类的特点及管理的重点,从中央到地方统一网络安全应急管理机构。将不同业务部门所涉及到的不同类型的网络安全应急机制与系统有机地统筹、结合在一个子体系中,以提升网络安全应急体系与系统的应急指挥、协同部署的效率与效能。
(二)加快网络应急法制建设
当前,国家对于自然灾害类、事故灾难类、公共卫生事件类、社会安全事件类应急管理已制订了相关的法律法规和制度条例,来保障此类事件发生时的有效应急管理,而对于网络安全应急尚缺少相应的法律法规和制度条例。相关管理部门应该尽快出台有关业务流程和相关业务标准,进一步加强有关信息安全的标准规范、管理办法,并进一步细化相关配套措施。与此同时,全国立法机关也应该从战略全局的高度,尽量加快有关国家网络安全、网络安全应急体系与应急机制的相关法律法规的规划、制定工作,将网络应急工作全面纳入系统化的法制建设轨道中来。
(三)健全应急情报共享机制
任何应急响应的效果主要取决于两个环节。一是未雨绸缪,即在事件发生前的充分准备,包括风险评估、制定安全计划、安全意识的培训,以安全通告的方式进行的预警及各种防范措施等;二是亡羊补牢,即在事件发生后采取的措施,以期把事件造成的损失降到最低。在这里,措施的执行者可能是人,也可能是系统。这些措施包括:系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。可见,对相关信息的及时掌控是预警和采取科学性措施的关键,必须建立应急情报共享机制。通过可信的信息共享,实现网络安全信息情报的及时、有效沟通,能够为网络安全应急提供充足的预警、决策、反应时间。在条件允许的情况下,可以考虑由中央网络安全和信息化领导小组直接领导的网络安全应急中心负责协调关键基础设施拥有者和经营者,保障在业务连续性、危害管理、信息系统攻击、网络犯罪、保护关键场所免受破坏等方面的信息共享,并与中国情报分析相关部门建立密切联系,共享网络威胁情报,提高网络安全风险形势研判能力。要充分利用目前相关政府部门推进电子政务业务协同、信息共享这一有利契机,在做好顶层设计的前提下,积极推进社会各方在网络安全方面的共建、共享。建立有效的应急管理机构,保证政令畅通。建立完善的预警检测、通报机制,分析安全信息,警报信息和制订预警预案,做到有备无患。
(四)强化网络安全应急演练
应急预案最早始于军队,是将平时制定和执行决策的科学性、严谨性与战时的灵活性结合起来的一种有效形式。应急预案基于对潜在危险源可能导致的突发公共事件的预测,将应对的全过程进行全方位的合理规划,落实应对过程中预测、预警、报警、接警、处置、结束、善后和灾后重建等相关环节的责任部门和具体职责,是实现“反应及时、措施果断”的有效途径。由于应急预案是在平时研制的,时间上比较从容,因此可以采用科学的方法,并在较大的范围内征求意见、深入论证,从而提高其科学性、可行性、有效性。通过应急预案的研制,可以增强政府及有关部门的风险意识,加强对危险源的分析,研究和制定有针对性的防范措施;也有利于对应急资源的需求和现状进行系统评估与论证,提高应急资源的使用效率。基于网络安全的应急演练工作需要各有关单位根据各自的网络安全应急预案定期组织应急演练,网络安全应急中心应根据重大网络安全应急预案,定期组织网络基础营运部门、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国互联网络信息中心(CNNIC)和相关网络应急部门开展网络安全事件演练,以网络安全保障为场景,采用实战方式,通过演练有效检验各单位的网络安全应急工作水平,及时发现和改进存在的问题和不足,提高网络安全保障能力。可以考虑建立由网络基础运营部门、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国互联网络信息中心(CNNIC)和相关网络应急的一级部门以及涉及安全保密的科研机构、民族企业共同参与的“网络安全应急演练”联盟,在应急演练方面形成国家级的权威标准,定期进行不同业务部门的网络安全应急演练与评测,以“应急演练”的方式促进网络安全应急工作的发展完善。
(五)加强人才队伍的建设和培训
网络属于高新技术领域,不断加强能力建设是有效提升网络安全应急管理的关键。要牢固树立人才是第一资源的观念,加快网络信息安全人才培养和队伍建设的步伐,建立健全合理的选人、用人机制和高效的人才培训机制,以及广泛的人才交流机制。要发挥科学研究部门和高等院校的优势,积极支持网络安全学科专业和培训机构建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型人才队伍,为加强网络安全应急管理提供坚实的人才保障和智力支持。同时,要密切跟踪网络信息安全领域新技术、新应用的发展,加强相关技术特别是关键核心技术的攻关力度,着力开展新的网络框架下网络安全问题的研究,推动网络信息安全产业的发展,以有效应对网络信息安全面临的各种挑战。同时,应不断提高网络安全应急人才队伍素质,定期组织对网络安全应急人员的能力培训,强化和补充新的网络安全威胁知识,进一步加强对有关网络安全应急一线工作人员、科研人员的有关政治素养和技术业务培训。网络安全应急工作与互联网技术密切相关,新技术新思想的发展日新月异,相关领域一线的工作人员与科研人员只有不断地学习新知识、探索新问题、发现新矛盾、寻求新方法,才能有力地促进网络安全应急工作的不断发展;只有培养和储备足够的网络安全应急专业人才,我们的网络安全最后一道屏障才能得到保障。
(六)加速基础技术与相关标准的研究
与网络安全应急相关的业务部门、科研机构、民族企业等有关单位应进一步组织有关专家和科研力量,开展面向全局、着眼未来的网络安全应急运作机制、网络安全应急处理技术、网络安全预警和控制等研究,组织参加相关培训,推广和普及新的网络安全应急技术。在充分研究论证的基础上,尽快制定具有高度概括性与实际可操作性,又能在短时间内部署测试的,能够与不同地方、不同业务部门相适应的网络安全应急相关标准,建立包括技术标准、业务标准、流程标准、配套设施标准在内的网络安全应急标准体系。
(七)加快核心信息技术装备国产化逐步替代的步伐
为实现核心信息技术装备国产化逐步替代的良好局面,需要有短期和长期目标。在短期内,确保中国网络空间和数据信息运行的安全可靠;从长期看,要确保中国网络和信息的自主可控和网络空间的长治久安。为实现自主可控的长期目标,在信息技术产业自主创新方面肩负重大责任,事关国家信息安全的大事应该由国家来推动。在过去的几年中,政府在推动使用国产信息产品方面的力度很大,希望国家今后更加注重基础研究和核心产品的研发,有效汇聚国家重要资源,在影响产业发展的安全芯片、操作系统、应用软件、安全终端等核心技术和关键产品上加大科研资源和优势要素的投入,实现信息安全中关键技术和产品的技术突破。整合国家科研资源,通过多部委合作,加强安全芯片、安全操作系统、安全数据库等基础信息安全技术的攻关。促进上下游应用产品的开发,完善自主技术产品应用环境,提高相关技术产品的可用性。为实现安全可靠的短期目标,可依托高校、研究机构、民族企业和特定行业用户打造自主创新的大平台,加大核心信息技术的投入,在严格管理的同时相互搭桥,推动研究成果的转化速度。当今世界大项目的运作多采用“团队制”,信息安全技术攻关和成果向产品的转化应进行机制创新。为实现以上目标,需要从科技攻关、重点企业培育和政府采购等方面下大力气。一是调动各方积极性和主动性,依托核高基重大专项,及时跟踪新兴信息技术发展趋势,引入风险投资机制,建立广泛的政产学研用结合的创新体系;二是重点培育若干具有较强信息安全实力的企业,专门为政府、军队等提供整体架构设计和集成解决方案,形成解决国家级信息安全问题的承包商;三是加快立法,促进政府采购自主产品工作有序开展。在一些涉及国计民生的信息枢纽和关键网络系统的采购中,禁止具有重大安全隐患的公司介入。军事国防、政府办公、海关、金融等重要的部门或行业在采购网络信息安全设备时,要坚持采用自主可控产品优先原则。
(八)开展网络安全应急多方合作
关键词:信息时代图书馆网络安全
高校图书馆计算机网络上保存着图书馆的书目信息数据、读者信息、光盘检索系统、各类大型数据库、文献管理集成系统等重要电子数据,一旦受到破坏,很可能会造成整个图书馆系统瘫痪,并且很难恢复。因此,图书馆计算机网络安全问题,越来越受到高度关注。本文作者结合自身工作实际,从软硬件、系统管理、人力资源管理等方面提出有效的图书馆网络安全的防范措施。
一、信息时代图书馆网络面临的主要威胁
从近年来,从发生在高校图书馆网络、数据安全事故的案例来看,高校图书馆计算机网络安全的威胁既有设备和技术方面的因素,也有系统管理和人员素质方面的因素,还有基础网络信息资源本身的因素。归结起来,主要因素包括以下几个方面:
(一)管理制度不完善。主要表现在单位对网络不够重视,造成单位网络管理制度、防毒制度与措施形同虚设,或是不够健全完善,或是直接危及计算机网络安全的重要因素。
(二)人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户口令过于简单,用户将自己的账号随意转借他人等都会对网络安全带来威胁。
(三)黑客的恶意攻击。此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(四)计算机病毒的传播。这是图书馆计算机网络所面临的最大威胁,计算机病毒是人为制造的具有潜伏性,干扰计算机系统的正常运行,而且以极强的传染力传播、扩散有害信息,一旦发作,就会破坏系统和数据,造成严重损失和不良后果。
(五)硬件设备的隐患。尤其是图书馆中心机房环境对计算机网络的安全运行有更重要的影响。如UPS容量不足造成的机房整体掉电设备配置丢失,温度过高、较多灰尘等都是造成设备提前老化,数据丢失的原因。
(六)软件的安全缺陷。图书馆计算机网络系统所使用的操作系统、数据库本身以及数据传输技术的漏洞都会危及数据的安全。
二、图书馆计算机网络安全策略
为了高校图书馆计算机网络系统随时为高校师生科研学习提供及时完整可靠的服务,并保证相关用户的私有信息及图书馆内部资源不被恶意使用,实现图书馆计算机网络的安全,笔者认为应该从以下几个方面着手。
(一)强化高校图书馆信息安全制度。
由于网络安全事件绝大多数是因为人的因素所引发的,所以必须制定一系列完善的安全管理制度,有针对性地培训人员并建立完善的安全责任制度,才能保证安全防范措施有效地发挥其效能,从而确保数字图书馆数据库的安全。因此,建立健全安全管理体系和安全管理制度是网络安全的首要任务。
1.制定网络安全管理制度,规范各项计算机操作活动。网络安全管理制度包括制定网络系统的管理维护制度、设备保养制度、故障处理制度和系统监控制度;制定有关工作人员管理制度、操作技术管理制度、病毒防护制度和机房出入管理制度;制定读者上机规则、读者操作规程和违规处理制度等。
2.定期进行安全审核。安全审核的首要任务是审核制订的安全策略、管理制度是否被有效地、正确地执行。其次,由于网络安全是一个动态过程,图书馆的网络系统配置可能经常变化,网络系统的管理人员也可能会有所变动,所以图书馆的计算机安全策略需要不断进行适当的调整。
3.加强图书馆各部门的协调。网络安全是一个系统过程,它不单单是技术部门的工作。在实际工作中,常发现图书馆内部有些工作人员不按规程操作计算机,随意安装外来软件、使用外来盘,造成病毒感染整个网络。
4.引导本校师生信息安全意识。治理学校网络信息的安全环境必须以人为本,不断提高学校师生的素质。培养他们对网络信息的安全防护意识,引导学校师生树立自我约束的网络价值准则。学校师生既是信息的产生者,又是信息的接受者,他们的双重身份决定了一旦因为信息不安全对其产生错误影响,他们很可能成为新的传播源、对网络信息的安全环境产生新的破坏,形成恶性循环。提倡学校师生的自我约束,从源头上可以大大减少学校不安全的网络信息的产生。
(二)注重系统管理员、操作员的安全操作。
图书馆的系统管理员具有最高权限,他们的错误操作对系统的危害是巨大的,甚至是无法挽救的,系统管理员的每一次操作都要小心谨慎,避免错误出现。如果对系统进行重大更改,应先在备用机上进行;试验成功后,再到主控制机上进行;必要时还要先对系统进行备份,以防不测。系统管理员应正确设置密码,使密码不易被识破;使用密码时防止泄漏,并在必要时更换密码,避免其他人通过系统管理员账号对管理系统造成危害。操作员按照程序设定谨慎操作,尽量避免失误。在自己的权限范围内进行操作,发现自己的权限不够或超越工作范围,应及时汇报;正确设置自己的用户密码并防止泄漏,在必要时更改密码;在离开工作机时,要及时退出系统,避免别人使用自己的账号。加强操作员的教育,明确未经允许不得将本馆计算机网络内的信息泄漏给他人
(三)强化高校图书馆信息安全建设“硬件”建设。
1.数据备份。数据是图书馆资源建设和信息服务的“元件”,建立必要的数据备份与恢复制度是保障信息系统安全的基本要求。图书馆信息系统中数据量多而集中,数据实时变化、更新,具有较大的风险性,因此数据库中的数据应及时、准确、完整地建立备份。一般可根据实际情况采用不同的数据备份,同时对备份后的数据应定期进行恢复测试,保证备份数据的完整性和可用性。
2.完善防火墙。防火墙是在受保护的图书馆内部网和外部网之间建立的网络通信安全监控系统,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有包过滤防火墙、防火墙和双穴主机防火墙3种类型。其中应用最广泛的防火墙为防火墙又称应用层网关级防火墙,它是由服务器和过滤路由器组成。过滤路由器负责网络互联,并对数据严格选择,然后将筛选过的数据传送给服务器。服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向图书馆内部网络申请某种网络服务时,服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求,从而保护了内部网络不被非法访问。
3.入侵检测技术。入侵检测是对防火墙的补充,用于对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。概括起来,入侵检测实现以下任务:监视、分析用户及系统活动;系统构造和弱点的审计;识别已知进攻的活动模式并向有关人员报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
4.数据加密。这是一种基本的安全技术,是所有数据通信安全的基石,保证信息在网络传输中不被非法查看、篡改、窃取和复制。数据加密过程由众多的、具体的加密算法实现,常用的有对称密钥加密算法和公共密钥算法。数据加密主要分为数据传输、数据存储、数据完整性鉴别及密钥管理等几方面。
5.病毒技术。对于数字图书馆网络来说,计算机病毒具有不可估量的威胁性和破坏性,对计算机病毒的防范需从完善管理和安装反病毒产品两个方面来考虑。在管理方面:不使用盗版软件,不随意复制、下载、上传和使用未经安全检验的软件。对新购置的软件和接收到的外来文件尤其是电子邮件,需先进行病毒检查。对计算机上的重要目录和文件设置访问权限,对某些可执行程序进行加密。采取必要的病毒检测和监察措施,制定完善的管理准则。
实现高校图书馆计算机网络安全是一项复杂而不断更新的系统工作,不能一蹴而就、一劳永逸,需要我们时时刻刻重视这项工作,不断学习、研究新技术,对症下药,标本兼治。我们只有跟踪最新的网络安全技术,及时调整防范策略,全面、协调地应用多种防范措施,添加相应的网络安全产品,才能使我们的高校图书馆网络得到最大限度的保护,更好地服务于读者和社会。
参考文献:
[1] 伏琰:高校图书馆计算机网络安全策略研究[J],光盘技术,2008(3);
关键词:网络安全;网络攻击;建设原则
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 12-0114-01
计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,防火墙应用等,重点针对企业网络中出现的网络安全问题,作了个介绍。对有关安全问题方面模块的划分,解决的方案与具体实现等部分.
一、网络威胁、风险分析
随着通讯技术和计算机技术的飞速发展,网络正逐步成为当今社会发展的一个主题,其改变着人们的工作方式和生活方式。网络的互连性,开放性,共享性程度的扩大,然而网络的重要性和对社会的影响也越来越大主要是Internet的出现。随着数字货币,电子现金,电子商务和政府上网以及网络银行等网络行为的出现,网络安全的问题变得越来越重要。
(一)其他网络的攻击
据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:
当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。
近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。
计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。
(二)管理及操作人员缺乏安全知识
我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。
现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。
二、网络安全总体设计
据统计,在英国50%的用户口令都是宠物名称,而在全世界销售的150,000套防火墙中有85%的防火墙没有正确的配置,60%的防火墙按缺省设置安装。然而对于系统安全的维护和管理需要各种层次的系统和安全专家才能完成。如果没有专业人员的介入,根据实际情况对安全管理产品进行详细地配置,对于企业的策略进行设计和安全管理规范,就算功能再强大的安全产品也会达不到非常好的安全防护作用。
三、安全系统的建设原则
“使入侵者花费不可接受的金钱与时间,并且承受非常高的风险才可以闯入的系统叫做安全系统。我们认为,绝对安全与可靠的信息系统并不存在。然而安全性的增加通常会导致企业费用的增长,这些费用包括系统复杂性增加、系统性能下降、操作与维护成本增加和系统可用性降低等等。安全不是目的而是一个过程。威胁与弱点会随时间变化。然而安全的努力依赖于许多因素,例如新业务应用的实施、职员的调整、安全漏洞和新攻击技术与工具的导入。
参考文献:
[1]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003
[2]高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003
关键词: 社会工程学;网络安全;网络入侵
中图分类号:TP18 文献标识码:A 文章编号:1671-7597(2012)0310131-01
随着网络安全技术的发展,各种攻击手段和安全防范手段千变万化,然而仍然有许多信息安全工作者没有对非技术类的攻击手段给予足够的重视,如社会工程学在网络安全方面的应用。社会工程学(Social Engineering)是一种用人们顺从你的意愿、满足你的欲望的一门艺术与学问[1]。美国的黑客凯文.米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。”[2]。
1 常见的社会工程学攻击方法
计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节,社会工程学中基于人的攻击可以利用复杂的人际关系和人的感情疏忽来进行欺骗;利用对人的奉承、威胁、劝导、权威等心理因素来获取访问网络所需的某种信息,赵宇轩[3]在浅析社会工程入侵与防御一文中探讨了七种类型的劝导。我们时常看到某某网站被黑,某某邮箱、qq被盗,一系列的入侵行动在人们不知道不觉中进行。社会工程学攻击之所以成功就是利用人的弱点,每个人都有弱点而且一旦被利用造成的损失将不可估量。常用的社会工程攻击方法主要有以下几种:
1)环境渗透:攻击者大多采取各种手段(如伪造身份证、ID卡)进入目标工作区,然后进行观察或窃听,得到自己所需的信息,或者与相关人员进行侧面沟通,逐步取得信任,从而获取情报;如随意翻动员工桌面的文档资料,偷看员工的登陆帐号及密码,偷听员工登陆击键的声音,约谈离职的员工(该员工可能还有未失效的帐号及密码)等等。2)电话冒名:冒名电话其实是一种身份欺骗,一般情况下,攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过电话从目标处获取信息。相对来说,冒名上司或高级官员等权威人士的电话容易对接听者造成心理上的胁迫而就范。如冒充网络技术人员因排除故障需要而询问上网的帐号和密码;冒充银行工作人员帮忙查询有关帐户信息。3)电子信件伪造:电子邮件的应用非常普遍,信件伪造也变得容易起来。例如伪造“中奖”信件,“被授予某某荣誉”信件,“邀请参加大型活动”信件,这些信件部分因要求填写详细的个人信息而造成泄密,部分是因感染病毒或被悄悄地种入木马而泄密。4)窗口欺骗:攻击者利用伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
在实战入侵中,在各种手段尝试过后,社会工程学便是最重要也是最能达到目的的手段,所以社会工程学的攻击方法也不拘一格,攻击者会根据不同的环境不同的目的而制定相应的社工方法。
2 利用社会工程学入侵攻击
社会工程学入侵的前奏就是收集重要信息。收集入侵目标的所有信息,如管理员的一切个人信息,包括姓名、生日、户名、用户id、身份证号码、居住地名称、电话、邮箱、兴趣爱好、身边好友和同事、常用邮箱和常用密码等。举个例子:假设我们对某网站进行渗透时,其他方法都尝试失败了,这时我们就可以用社会工程学的方法。通过域名查找域名注册名字和邮箱,然后通过搜索引擎来搜索与姓名和邮箱相关的信息,或者通过曝光的大型数据库来查询相应的id及常用密码;又或者可以通过idc商来社工,这里就要知道详细的个人信息。
当攻击者收集到信息后就要进行甄别和筛选。收集到许多的信息后,要从中比较、筛选,去伪存真,提炼出有价值的个人或公司信息。
最后是对目标选取相应的社工手段方法实施攻击。例如知道某管理员的常用密码和id,这时我们就要通过各种组合和猜测去尝试我们想要的密码。因为人都有偷懒的时候,在设置密码的时候也不例外,这就给攻击者有机可乘;如通过迷惑性的qq号码去交流套取更有用的信息,或者更进一步的是骗取对方信用种马。一系列的行动取决于目标防范思想的觉悟程度和对欺骗敏感性。
比较普遍的一种社会工程学在网络中的应用就是利用邮箱这一个人们常用于交流的工具。考虑到人们通常将重要的信息放在邮箱里面,比如ftp的密码、后台管理密码、个人的详细信息、好友等信息。而邮箱通常提供密码的找回功能,在设置密码找回需回答的问题时通常过于简单且过于普通,如提问父母的姓名、职业和出生日期;个人毕业的学校、爱好等等。攻击者如果收集到的信息非常详细,那么就容易回答这些问题从而获得邮箱的密码,进而获得其它诸多的私密信息。在这里没有什么穷举法等所谓破解需要的技术,有的只是对人的普遍的心理陷阱的利用。
3 防范措施
利用社会工程学入侵主要对象是人,而“人”是在整个网络安全体系中最薄弱的一个环节。我国从事专业安全的技术人员不多,很多企业高管对安全方面的知识本身懂的不多,加之安全教育以及安全防范措施都需要成本,这样留下许多安全隐患。网络安全要立足于积极防御,将风险降到最低,网络安全防范重在安全意识,只有安全的意识,才能防范于未然。
1)网络安全意识的培训。不管是管理者或者技术人员都要对网络安全有足够的重视,培养员工的保密意识,增强安全责任意识,通过各种社工案例的分析来加强这方面的安全意识。2)网络安全技术的培训。搞技术开发的也许不懂安全,只是一味的追求效益却忽略了开发人员的安全技术,这不仅对开发是种威胁,对公司也是种隐患。一旦出现问题便可能致命,所以可以对员工进行一些简单有效的安全技术培训,降低网络安全风险。3)安全审核。安全审核工作是社会工程学攻击防范主要手段之一,是对网络攻击有力保障措施。安全审核重在执行,采取切实可行的管理措施来防范社会工程学入侵。
4 结语
网络安全是把双刃剑,利用好能够创造出效益,反之便是损失。不管是技术上的还是人员管理方面的漏洞,需要有很好的防范措施和处理紧急事故的机制,尽可能的将损失降低到最少。技术无论有多发达,人都是在起关键性作用。人作为整个安全体系中最重要也最薄弱的一环,任何一个小小的疏忽都可能对信息系统工程造成潜在的安全风险和威胁。而社会工程学就是与人打交道,通过入侵“人”来达到入侵网络的目的。社会工程学在网络安全中的重要性将日渐重要,社会工程学攻击防范是网络安全工作者不可忽略的技术。
参考文献:
[1]李匀,网络渗透测试-保护网络安全的技术、工具和过程[M].北京:电子工业出版社,2007.
关键词 网络安全;技术;网络信息
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)14-0086-02
互联网技术高速发展,在显著提高了人们的生活质量的同时,正逐步改变着人们的生活方式。与此同时,互联网安全问题也日益凸显,成为影响用户体验的主要因素受到各界人士的广泛关且已达成普遍的共识。信息资源的安全防范涉及到硬件和软件两方面内容,因此应采取系统性的保障措施,防止信息传递过程中泄露、破坏和更改,保证网络系统正常、安全、稳定的运行。
1 信息安全管理存在的问题
1.1 操作系统漏洞
计算机软件系统中操作系统是最基本、最重要的系统,为用户正常使用计算机或安装其他程序提供可运行的平台。另外,操作系统还具备对计算机资源的管理功能,例如,可以通过相应的操作查看计算硬件和相关软件存在的问题并对其进行管理。管理过程中会涉及系统某个模块或程序的安全运行问题,这些模块如果存在一些缺陷可能造成整个系统崩溃,影响计算机的正常使用。操作系统对信息传输、程序加载提供支持,尤其通过ftp传输的某些文件。这些文件中如果包含可执行文件也会带来不安全因素。众所周知,这些文件都是程序员编写而成其中难免出现较多漏洞,这些漏洞不但会威胁计算机资源的安全,而且还可能引起整个操作系统的崩溃。本质上来看计算机操作系统出现问题的原因在于其允许用户创建进程,能够对其进行远程激活,一旦被不法分子利用创建一些非法进程就能实现对计算机的控制威胁计算机安全。同时计算机还能通过操作系统实现对远程硬、软件的调用,在互联网上传递调用信息是会经过很多网络节点,这些网络节点被别人窃听就会造成相关信息的泄露,带来巨大的经济损失。
1.2 网络开放性存在的漏洞
开放性是计算机网络的显著特点,该特点在促进网络技术快速发展的同时,也给网络安全带来较大安全隐患。首先,互联网的开放性使接入网络的门槛降低,不同地区的不同人群纷纷接入网络,他们相互交流互联网的学术问题,不断提出新的思想和方法,为互联网技术的发展奠定坚实的基础。其次,接入的这些用户难免存在图谋不轨的人,他们中的多数人要么为某个非法组织效力,要么为了炫耀网络技术,进而对互联网进行攻击,这些攻击有的是针对计算机软件漏洞发起攻击行为,有的对网络层中的传输协议进行攻击。从发起攻击的范围来看,大多数网路攻击来源于本地用户,部分来源于其它国家,尤其发生在国家之间的攻击案例屡见不鲜,这些攻击者拥有较强的网络技能,进行的攻击行为往往会给某个国家带来严重的损失。因此,互联网安全问题是世界性的问题,应引起人们的高度重视。
2 网络安全技术介绍
2.1 入侵检测
入侵检测指通过收集审计数据,分析安全日志和网络行为,判断计算机系统中是否出现被攻击或者违法安全策略行为。入侵检测能够使系统在入侵之前进行拦截,因此是一种积极主动的安全防御技术,被人们称为除防火墙外的第一道安全防护闸门。入侵检测的优点不仅体现在保护计算机安全上,还体现在入侵检测时不会对网络性能产生影响上。检测入侵能够时时监控来自外部攻击、内部攻击行为,提高计算机资源的安全系数。目前来看计算机检测入侵主要分为混合入侵检测、基于主机和网络入侵检测三种,在保障网络安全运行中基于网络入侵检测技术应用较为广泛。
2.2 可视化
在入侵检测、防火墙以及漏洞扫描的基础上,为了提高网络安全的可视操作延伸出了网络安全可视化技术,该技术可以说是上述安全技术的补充。网络安全可视化技术将网络中的系统数据和较为抽象的网络结构以图像化的形式展现在人们面前,并能时时反映网络中出现的特殊信息,监控整个网络的运行状态,最终较为人性的提示用户网络中可能存在的安全风险,为网络安全技术员分析网络潜在的安全问题提供便利。网络安全技术人员利用高维信息展开网络具体状况,从而能够及时有效的发现网络入侵行为,并对网络安全事件的未来发展趋势进行估计和评定,以此采取针对性措施进行处理,保证网络安全防护更为便捷、智能和有效。
2.3 防火墙
防火墙是人们较为熟悉的网络安全防范技术,是一种根据事先定义好的安全规则,对内外网之间的通信行为进行强制性检查的防范措施,其主要作用是隐藏内部网络结构,加强内外网通信之间的访问控制。即根据实际情况设定外网访问权限限制不符合访问规则的行为,从而防止外网非法行为的入侵,保证内部网络资源的安全。同时规范内网之间的访问行为进一步提高网络资源的安全级别。目前防火墙主要包含网络层防火墙和应用层防火墙两种类型,其中可将网络层防火墙看做是IP封包过滤器,在底层的TCP/IP协议上运作。网络管理员设置时可以只允许符合要求的封包通过,剩余的禁止穿过防火墙,不过注意一点防火墙并不能防止病毒的入侵。另外,网络管理员也可以用较为宽松的角度设置防火墙,例如只要封装包不符合任一“否定规则”就允许通过,目前很多网络设备已实现内置防火墙功能;应用层防火墙主要在TCP/IP堆栈上的“应用层”上运作,一般通过浏览器或使用FTP上传数据产生的数据流就属于这一层。应用层防火墙可以拦截所有进出某应用程序的封包,通常情况将封包直接丢弃以达到拦截的目的。理论上来讲这种防火墙能够防止所有外界数据流入侵到受保护的机器中。
2.4 漏洞扫描
漏洞扫描通过漏洞扫描程序对本地主机或远程设备进行安全扫描,从而及时发现系统中存在的安全漏洞,通过打补丁等方式保证系统的安全。工作过程中漏洞扫描程序通过扫描TCP/IP相关服务端口监控主机系统,并通过模拟网络攻击记录目标主机的响应情况从而收集有用的数据信息,通过漏洞扫描能够及时的发现和掌握计算机网络系统存在安全漏洞,以此准确反映网络运行的安全状况,为网络安全的审计创造良好的条件。从而能够根据反馈的信息制定有效的应对措,例如下载相关的漏洞补丁或优化系统等及时的修补漏洞,减少有漏洞引起的网络安全风险。
2.5 数据加密
数据加密是现在常用的安全技术即通过一定的规则将明文进行重新编码,翻译成别人无法识别的数据,当编码后的数据传输过程中即便被不法人员截获,但是没有密钥就不能破解加密后的信息,就无法知道信息的具体内容。数据加密技术主要应用在信息和动态数据的保护上,在当今电子商务发展迅速的时代,该项技术应用较为广阔。数据加密系统主要有密钥集合、明文集合、密文集合以及相关的加密算法构成,其中算法和数据是数据加密系统基本组成元素,算法主要有相关的计算法则和一些公式组成,它是实现数据加密的核心部分。密钥则可看做算法的相关参数。数据加密技术的应用确保了数据在互联网开放环境中的安全,它既不违背互联网开放性特点,又保证了信息传递的安全性。
3 加强网络信息资源管理措施
3.1 注重管理人员业务技能的提升
网络信息资源管理面临的最大威胁是人为攻击,其中黑客攻击就是人为攻击的一种。目前可将网络信息资源的攻击行为分为主动攻击和被动攻击两种,其中主动攻击指利用非法手段破坏传输信息的完整性,即更改截获来的数据包中的相关内容,以此达到误导接收者的目的,或者进入系统占用大量系统资源,使系统不能提供正常的服务影响合法用户的正常使用。被动攻击在不影响数据信息传递的前提下,截取、破解传递的信息,这种攻击手段通常不容易被人发觉,容易造成较大经济损失。因此,针对这种情况应定期举行相关的技术培训,提高管理人员的专业技能水平,加强安全网络的监测力度,并针对不同的攻击方式制定有效的防御措施,同时在总结之前常见的网络攻击手段的研究,加强与国外先进技术的交流合作,共同探讨防止网络攻击的新技术、新思路。
3.2 加强计算机软件、硬件管理
软件管理在保证网络资源安全方面起着至关重要的作用,因此平时应注重软件的管理。威胁软件安全的主要因素是计算机病毒,所以管理员应定期利用杀毒软件查杀病毒,并注重更新下载相关的补丁及时修补软件漏洞。
加强计算机硬件管理应从两方面入手,首先应为计算机的运行创造良好的外部环境,尤其应注重防火、防潮等工作,从而降低硬件损坏给网络带来的影响;其次,制定严格的管理制度,未经管理员允许不能打开机箱更换硬件,同时平时还应注重对硬件性能的检测,发现问题应及时通知管理员进行排除。
4 总结
网络为人们提供了新的信息共享方式,同时其安全性也面临着严峻的考验,面对当前互联网安全存在的问题我国应加强这方面的技术研究,采用多种网络安全技术保证信息传递的安全性。同时国家相关部门应制定详细的法律法规,严厉打击网络攻击和犯罪行为,以此营造良好的互联网运营秩序。
参考文献
[1]张泉龙.对网络安全技术管理的探讨[J].科技资讯,2011(18).
[2]王贤秋.浅议计算机网络的信息资源管理[J].内江科技,2009(07).
[3]崔蓉.计算机信息网络安全技术及发展方向[J].信息与电脑(理论版),2010(10).
关键词:中小型企业;信息网络安全;网络安全架构
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
1、中小型企业网络安全问题的研究背景
随着企业信息化的推广和计算机网络的成熟和扩大,企业的发展越来越离不开网络,而伴随着企业对网络的依赖性与日俱增,企业网络的安全性问题越来越严重,大量的入侵、蠕虫、木马、后门、拒绝服务、垃圾邮件、系统漏洞、间谍软件等花样繁多的安全隐患开始一一呈现在企业面前。近些年来频繁出现在媒体报道中的网络安全案例无疑是为我们敲响了警钟,在信息网络越来越发达的今天,企业要发展就必须重视自身网络的安全问题。网络安全不仅关系到企业的发展,甚至关乎到了企业的存亡。
2 、中小型企业网络安全的主要问题
2.1什么是网络安全
网络安全的一个通用定义:网络安全是指网络系统中的软、硬件设施及其系统中的数据受到保护,不会由于偶然的或是恶意的原因而遭受到破坏、更改和泄露。系统能够连续、可靠地正常运行,网络服务不被中断。网络安全从本质上说就是网络上的信息安全。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性的相关技术和理论,都是网络安全主要研究的领域。
2.2网络安全架构的基本功能
网络信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性又被称为网络安全目标,对于任何一个企业网络来讲,都应该实现这五个网络安全基本目标,这就需要企业的网络应用架构具备防御、监测、应急、恢复等基本功能。
2.3中小型企业的主要网络安全问题
中小型企业主要的网络安全问题主要体现在3个方面.
1、木马和病毒
计算机木马和病毒是最常见的一类安全问题。木马和病毒会严重破坏企业业务的连续性和有效性,某些木马和病毒甚至能在片刻之间感染整个办公场所从而导致企业业务彻底瘫痪。与此同时,公司员工也可能通过访问恶意网站、下载未知的资料或者打开含有病毒代码的电子邮件附件等方式,在不经意间将病毒和木马带入企业网络并进行传播,进而给企业造成巨大的经济损失。由此可见,网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。这里提到的每一点,包括网络的边界位置以及内部网络环境。
2、信息窃取
信息窃取是企业面临的一个重大问题,也可以说是企业最急需解决的问题。网络黑客通过入侵企业网络盗取企业信息和企业的客户信息而牟利。解决这一问题,仅仅靠在网络边缘位置加强防范还远远不够,因为黑客可能会伙同公司内部人员(如员工或承包商)一起作案。信息窃取会对中小型企业的发展造成严重影响,它不仅会破坏中小型企业赖以生存的企业商誉和客户关系。还会令企业陷入面临负面报道、政府罚金和法律诉讼等问题的困境。
3、业务有效性
计算机木马和病毒并不是威胁业务有效性的唯一因素。随着企业发展与网络越来越密不可分,网络开始以破坏公司网站和电子商务运行为威胁条件,对企业进行敲诈勒索。其中,以DoS(拒绝服务)攻击为代表的网络攻击占用企业网络的大量带宽,使其无法正常处理用户的服务请求。而这一现象的结果是灾难性的:数据和订单丢失,客户请求被拒绝……同时,当被攻击的消息公之于众后,企业的声誉也会随之受到影响。
3如何打造安全的中小型企业网络架构
通过对中小型企业网络存在的安全问题的分析,同时考虑到中小型企业资金有限的情况,我认为打造一个安全的中小型企业网络架构应遵循以下的过程:首先要建立企业自己的网络安全策略;其次根据企业现有网络环境对企业可能存在的网络隐患进行网络安全风险评估,确定企业需要保护的重点;最后选择合适的设备。
3.1建立网络安全策略
一个企业的网络绝不能简简单单的就定义为安全或者是不安全,每个企业在建立网络安全体系的第一步应该是定义安全策略,该策略不会去指导如何获得安全,而是将企业需要的应用清单罗列出来,再针对不同的信息级别给予安全等级定义。针对不同的信息安全级别和信息流的走向来给予不同的安全策略,企业需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。对关键数据的防护要采取包括“进不来、出不去、读不懂、改不了、走不脱”的五不原则。
“五不原则”:
1.“进不来”——可用性: 授权实体有权访问数据,让非法的用户不能够进入企业网。
2.“出不去”——可控性: 控制授权范围内的信息流向及操作方式,让企业网内的商业机密不被泄密。
3.“读不懂”——机密性: 信息不暴露给未授权实体或进程,让未被授权的人拿到信息也看不懂。
4.“改不了”——完整性: 保证数据不被未授权修改。
5.“走不脱”——可审查性:对出现的安全问题提供依据与手段。
在“五不原则”的基础上,再针对企业网络内的不同环节采取不同的策略。
3.2 信息安全等级划分
根据我国《信息安全等级保护管理办法》,我国所有的企业都必须对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。具体划分情况如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
因此,中小型企业在构建企业信息网络安全架构之前,都应该根据《信息安全等级保护管理办法》,经由相关部门确定企业的信息安全等级,并依据界定的企业信息安全等级对企业可能存在的网络安全问题进行网络安全风险评估。
3.3 网络安全风险评估
根据国家信息安全保护管理办法,网络安全风险是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整想、可控性和可用性等安全属性进行科学评价的过程。
网络安全风险评估对企业的网络安全意义重大。首先,网络安全风险评估是网络安全的基础工作,它有利于网络安全的规划和设计以及明确网络安全的保障需求;另外,网络安全风险评估有利于网络的安全防护,使得企业能够对自己的网络做到突出防护重点,分级保护。
3.4确定企业需要保护的重点
针对不同的企业,其需要保护的网络设备和节点是不同的。但是企业信息网络中需要保护的重点在大体上是相同的,我认为主要包括以下几点:
1.要着重保护服务器、存储的安全,较轻保护单机安全。
企业的运作中,信息是灵魂,一般来说,大量有用的信息都保存在服务器或者存储设备上。在实际工作中,企业应该要求员工把相关的资料存储在企业服务器中。企业可以对服务器采取统一的安全策略,如果管理策略定义的好的话,在服务器上文件的安全性比单机上要高的多。所以在安全管理中,企业应该把管理的重心放到这些服务器中,要采用一切必要的措施,让员工把信息存储在文件服务器上。在投资上也应着重考虑企业服务器的防护。
2.边界防护是重点。
当然着重保护服务器、存储设备的安全并不是说整体的防护并不需要,相反的边界防护是网络防护的重点。网络边界是企业网络与其他网络的分界线,对网络边界进行安全防护,首先必须明确到底哪些网络边界需要防护,这可以通过网络安全风险评估来确定。网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,VPN技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。
3.“”保护。
企业还要注意到,对于某些极其重要的部门,要将其划为,例如一些研发部门。类似的部门一旦发生网络安全事件,往往很难估量损失。在这些区域可以采用虚拟局域网技术或者干脆做到物理隔离。
4.终端计算机的防护。
最后作者还是要提到终端计算机的防护,虽然对比服务器、存储和边界防护,终端计算机的安全级别相对较低,但最基本的病毒防护,和策略审计是必不可少的。
3.5选择合适的网络安全设备
企业应该根据自身的需求和实际情况选择适合的网络安全设备,并不是越贵越好,或者是越先进越好。在这里作者重点介绍一下边界防护产品——防火墙的性能参数的实际应用。
作为网络安全重要的一环,防火墙是在任何整体网络安全建设中都是不能缺少的主角之一,并且几乎所有的网络安全公司都会推出自己品牌的防火墙。在防火墙的参数中,最常看到的是并发连接数、网络吞吐量两个指标.
并发连接数:是指防火墙或服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。由于计算机用户访问页面中有可能包含较多的其他页面的连接,按每个台计算机发生20个并发连接数计算(很多文章中提到一个经验数据是15,但这个数值在集中办公的地方往往会出现不足),假设企业中的计算机用户为500人,这个企业需要的防火墙的并发连接数是:20*500*3/4=7500,也就是说在其他指标符合的情况下,购买一台并发连接数在10000~15000之间的防火墙就已经足够了,如果再规范了终端用户的浏览限制,甚至可以更低。
网络吞吐量:是指在没有帧丢失的情况下,设备能够接受的最大速率。随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于企业更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,才是真正的100M防火墙。
从实际情况来看,中小型企业由于企业规模和人数的原因,一般选择百兆防火墙就已经足够了。
3.6投资回报率
在之前作者曾提到的中小企业的网络特点中资金少是最重要的一个问题。不论企业如何做安全策略以及划分保护重点,最终都要落实到一个实际问题上——企业网络安全的投资资金。这里就涉及到了一个名词——投资回报率。在网络安全的投资上,是看不到任何产出的,那么网络安全的投资回报率该如何计算呢?
首先,企业要确定公司内部员工在使用电子邮件和进行WEB浏览时,可能会违反公司网络行为规范的概率。可以将这个概率称为暴光值(exposure value (EV))。根据一些机构对中小企业做的调查报告可知,通常有25%—30%的员工会违反企业的使用策略,作者在此选择25%作为计算安全投资回报率的暴光值。那么,一个拥有100名员工的企业就有100x 25% = 25名违反者。
下一步,必需确定一个因素——当发现单一事件时将损失多少人民币。可以将它称为预期单一损失(single loss expectancy (SLE))。由于公司中的100个员工都有可能会违反公司的使用规定,因此,可以用这100个员工的平均小时工资作为每小时造成工作站停机的预期单一最小损失值。例如,作者在此可以用每小时10元人民币作为预期单一最小损失值。然后,企业需要确定在一周的工作时间之内,处理25名违规员工带来的影响需要花费多少时间。这个时间可以用每周总工作量40小时乘以暴光值25%可以得出为10小时。这样,就可以按下列公式来计算单一预期损失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企业要确定这样的事情在一年中可能会发生多少次。可以叫它为预期年均损失(annualized loss expectancy (ALE))。这样的损失事件可能每一个星期都会发生,一年有52周,如果除去我国的春节和十一黄金周的两个假期,这意味着一个企业在一年中可能会发生50次这样的事件,可以将它称之为年发生率(annual rate of occurrence (ARO))。预期的年均损失(ALE)就等于年发生率(ARO)乘以预期单一损失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
这就是说,该公司在没有使用安全技术防范措施的情况下,内部员工的违规网络操作行为可能会给公司每年造成12.5万元人民币的损失。从这里就可以知道,如果公司只需要花费10000元人民币来实施一个具体的网络行为监控解决方案,就可能让企业每年减少12.5万元人民币的损失,这个安全防范方案当然是值得去做的。
当然,事实却并不是这么简单的。这是由于安全并不是某种安全技术就可以解决的,安全防范是一个持续过程,其中必然会牵扯到人力和管理成本等因素。而且,任何一种安全技术或安全解决方案并不能保证绝对的安全,因为这是不可能完成的任务。
就拿本例来说,实施这个网络行为监控方案之后,能够将企业内部员工的违规行为,也就是暴光值(EV)降低到2%就已经相当不错了。而这,需要在此安全防范方案实施一段时间之后,例如半年或一年,企业才可能知道实施此安全方案后的最终效果,也就是此次安全投资的具体投资回报率是多少。
有数据表明在国外,安全投入一般占企业基础投入的5%~20%,在国内一般很少超过2%,而网络安全事件不论在国内外都层出不穷,企业可能在安全方面投入了很多,但是仍然频频发生网络安全事故。很多企业的高层管理者对于这个问题都比较头疼。其实网络安全理论中著名的木桶理论,很好的解释了这种现象。企业在信息安全方面的预算不够进而导致了投资报酬不成比例,另外很多企业每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素。缺乏系统的、科学的管理体系的支持,也是导致这种结果产生的原因。
论文关键词:医院信息系统 安全体系 网络安 全数据安全
论文摘要:分析了目前威胁医院网络信息安全的各种因素结合网络安全与管理工作的实践,探讨了构建医院信息安全防御体系的措施。
中国医院信息化建设经过20多年的发展历程目前已经进入了一个高速发展时期。据2007年卫生部统计信息中心对全国3765所医院(其中:三级以上663家:三级以下31o2家)进行信息化现状调查显示,超过80%的医院建立了信息系统…。随着信息网络规模的不断扩大,医疗和管理工作对信息系统的依赖性会越来越强。信息系统所承载的信息和服务安全性越发显得重要。
1医院信息安全现状分析
随着我们对信息安全的认识不断深入,目前医院信息安全建设存在诸多问题。
1.1信息安全策略不明确
医院信息化工作的特殊性,对医院信息安全提出了很高的要求。医院信息安全建设是一个复杂的系统工程。有些医院只注重各种网络安全产品的采购没有制定信息安全的中、长期规划,没有根据自己的信息安全目标制定符合医院实际的安全管理策略,或者没有根据网络信息安全出现的一些新问题,及时调整医院的信息安全策略。这些现象的出现,使医院信息安全产品不能得到合理的配置和适当的优化,不能起到应有的作用。
1.2以计算机病毒、黑客攻击等为代表的安全事件频繁发生,危害日益严重
病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。
1.3安全孤岛现象严重
目前,在医院网络安全建设中网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
1.4信息安全意识不强,安全制度不健全
从许多安全案例来看,很多医院要么未制定安全管理制度,要么制定后却得不到实施。医院内部员工计算机知识特别是信息安全知识和意识的缺乏是医院信息化的一大隐患。加强对员工安全知识的培训刻不容缓。
2医院信息安全防范措施
医院信息安全的任务是多方面的,根据当前信息安全的现状,医院信息安全应该是安全策略、安全技术和安全管理的完美结合。
2.1安全策略
医院信息系统~旦投入运行,其数据安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统,一些大中型医院要求每天二十四小时不问断运行,如门诊挂号、收费、检验等系统,不能有太长时间的中断,也绝对不允许数据丢失,稍有不慎就会造成灾难性后果和巨大损失医院信息系统在医院各部门的应用,使得各类信息越来越集中,构成医院的数据、信息中心,如何合理分配访问权限,控制信息泄露以及恶意的破坏等信息的访问控制尤其重要:pacs系统的应用以及电子病历的应用,使得医学数据量急剧膨胀,数据多样化,以及数据安全性、实时性的要求越来越高,要求医院信息系统(his)必须具有高可用性,完备可靠的数据存储、备份。医院要根据自身网络的实际情况确定安全管理等级和安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等,建立适合自身的网络安全管理策略。网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。
2.2安全管理
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,加强安全培训,增强医务人员的安全防范意识以及制定网络安全应急方案等。
2.2.1安全机构建设。设立专门的信息安全领导小组,明确主要领导、分管领导和信息科的相应责任职责,严格落实信息管理责任l。领导小组应不定期的组织信息安全检查和应急安全演练。
2.2.2安全队伍建设。通过引进、培训等渠道,建设一支高水平、稳定的安全管理队伍,是医院信息系统能够正常运行的保证。
2.2.3安全制度建设。建立一整套切实可行的安全制度,包括:物理安全、系统与数据安全、网络安全、应用安全、运行安全和信息安全等各方面的规章制度,确保医疗工作有序进行。
2.2.4应急预案的制定与应急演练
依据医院业务特点,以病人的容忍时间为衡量指标,建立不同层面、不同深度的应急演练。定期人为制造“故障点”,进行在线的技术性的分段应急演练和集中应急演练。同时信息科定期召开“系统安全分析会”。从技术层面上通过数据挖掘等手段,分析信息系统的历史性能数据,预测信息系统的运转趋势,提前优化系统结构,从而降低信息系统出现故障的概率;另一方面,不断总结信息系统既往故障和处理经验,不断调整技术安全策略和团队应急处理能力,确保应急流程的时效性和可用性。不断人为制造“故障点”不仅是对技术架构成熟度的考验,而且还促进全员熟悉应急流程,提高应急处理能力,实现了技术和非技术的完美结合。
2.3安全技术
从安全技术实施上,要进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案。
2.3.1冗余技术
医院信息网络由于运行整个医院的业务系统,需要保证网络的正常运行,不因网络的故障或变化引起医院业务的瞬间质量恶化甚至内部业务系统的中断。网络作为数据处理及转发中心,应充分考虑可靠性。网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。
2.3.2建立安全的数据中心
医疗系统的数据类型丰富,在不断的对数据进行读取和存储的同时,也带来了数据丢失,数据被非法调用,数据遭恶意破坏等安全隐患。为了保证系统数据的安全,建立安全可靠的数据中心,能够很有效的杜绝安全隐患,加强医疗系统的数据安全等级,保证各个医疗系统的健康运转,确保病患的及时信息交互。融合的医疗系统数据中心包括了数据交换、安全防护、数据库、存储、服务器集群、灾难备份/恢复,远程优化等各个组件。
2.3.3加强客户机管理
医院信息的特点是分散处理、高度共享,用户涉及医生、护士、医技人员和行政管理人员,因此需要制定一套统一且便于管理的客户机管理方案。通过设定不同的访问权限,加强网络访问控制的安全措施,控制用户对特定数据的访问,使每个用户在整个系统中具有唯一的帐号,限定各用户一定级别的访问权限,如对系统盘符读写、光驱访问、usb口的访问、更改注册表和控制面板的限制等。同时捆绑客户机的ip与mac地址以防用户随意更改ip地址和随意更换网络插口等恶意行为,检查用户终端是否安装了信息安全部门规定的安全软件、防病毒软件以及漏洞补丁等,从而阻止非法用户和非法软件入网以确保只有符合安全策略规定的终端才能连入医疗网络。
2.3.4安装安全监控系统
安全监控系统可充分利用医院现有的网络和安全投资,随时监控和记录各个终端以及网络设备的运行情况,识别、隔离被攻击的组件。与此同时,它可以强化行为管理,对各种网络行为和操作进行实施监控,保持医院内部安全策略的符合性。
2.3.5物理隔离
根据物理位置、功能区域、业务应用或者管理策略等划分安全区域,不同的区域之间进行物理隔离。封闭医疗网络中所有对外的接口,防止黑客、外部攻击、避免病毒的侵入。
关键词:慕课;信息安全;大数据;校企合作;教学改革
基金项目:本文系上海高校智库内涵建设项目“人工智能与大数据背景下上海布局的新思维与新举措”;2019年上海高校大学计算机课程教学改革项目“信息安全原理”进阶课程建设。
引言
在大数据时代,获取信息,利用信息,把握信息成为各国提高综合竞争力的一个关注点。信息安全影响着国家政治、经济、文化、军事和社会生活的方方面面,信息安全领域的人才数量不足,而社会对信息安全领域人才需求近年来持续增长。对高校信息安全课程的教育教学提出挑战。
高校信息安全课程往往过于注重理论知识的传授,学生在面对实际网络安全问题时,没有合适的技术手段设计合理的解决方案;信息发展给信息安全带来的变化日新月异,课程中所使用的教材版本过于陈旧,学生会面临所学习的知识与社会所需要的知识差距过大的问题;针对课堂上的教育模式,普遍还是教师主导的教学模式,学生参与积极性不高,在面对疑难问题时,也没有有效的手段能及时解决存在的问题,久而久之,导致学生学习兴趣下降。
因此,针对已经开设的信息安全原理课程,更要在大数据时代背景下,结合翻转课堂和慕课的混合型教学互动方式,慕课(MOOC,MassiveOpenOnlineCourse)是大型开放式网络课程的缩写,它是一种基于互联网的在线学习平台。它利用了现代的信息安全网络技术,打破了传统教学所受的时间和空间限制,整合了多种数字化教学资源,形成了多元化的学习工具和教学资源。慕课自从美国起源后,全球各大高校纷纷加入慕课的學习浪潮中。现在,慕课已经是教育方法中的重要工具。因此,研究如何利用慕课这样新型互联网教学平台,改进传统信息安全课程的教学方式,是尤为重要的。
慕课具有学习灵活、教学资源丰富等特点。教师可以将在课堂上难以表述的程序命令或者实验操作融入视频中,让学生能够快速理解。另外,慕课的课程具有可重复的特点,对于复杂难懂的知识点,学生不会局限于课堂的时间,在课余的任何时间,只要能够通过自己的手机、电脑等就可以进行反复学习,从而更好的巩固知识。
基于这些优势,结合在线资源和传统教学,将学习的主动权移交给学生自己,刺激学生主动学习,积极思考,从而加深理解。课程不光要注重课堂内理论知识,还要面向实际问题,进行课堂拓展实践,以及和社会中的优质企业开展交流合作,培养进入社会后能够满足信息安全岗位需求的学生。解决信息安全领域的人才缺失,研究拓展高校信息安全课程的培养对象,快速提升高校信息安全原理课程教学方法和教学水平,具有重要的现实意义。
1、传统信息安全课程的基本现状
1.1教材未与时俱进
由于互联网时代的来临,以及大数据和云计算的兴起,我们生活在一个信息爆炸的时代。计算机技术发展在给我们带来便利性的同时,却也引发了一系列的安全隐患。但是由于当今时代信息更新迅速,传统的信息安全教材未能囊括前沿的相关知识,导致学生所学习的相关理论知识未能很好地解决目前所发生的相关网络安全问题。例如在数字出版方面,利用最新的区块链技术中的身份验证和公式机制与知识产权的确权、授权和维权等环节结合起来。能够使用基于区块链的新型互联网技术,管理数字出版和知识产权,从而能够降低管理成本,提高管理效率。
1.2授课方式重理论
信息安全课程理论上包含了编码技术、防火墙技术、VPN技术、数据库加密技术等,但是学生只是对相关算法理论有了初步了解,并未很好结合这些算法的实践操作,尤其如防火墙的基本配置、以及利用Internet密钥交换技术进行相关的加密解密等涉及信息安全的基本操作,所以学生普遍课堂积极性有所欠缺、课后思考有限。
1.3学习方式被动化
到目前为止,国内大多数院校授课的主流方式仍然是以传统的“老师站上讲台教、学生坐在台下学”的方式进行,导致学生被动地汲取相关知识,自主性、积极性和接受度都有限。而且教学任务固定,每节课学生和老师之间无法进行充分的有效互动。而且受到上课时间、地点的限制,未能很好地应用移动互联网平台的便捷性、共享化的优势,存在学生疑虑解决滞后的缺陷。
1.4考核方式单一化
该课程多采用课堂考勤和期末考相结合的这种单一化的考勤方式,但是由于该课程教学内容综合了计算机、数学、管理等学科,所以对学生的实践操作能力较高要求。且当前的考核方式在提高学生的发现问题、思考问题、解决问题能力方面有所不足,未能通过构建系统化的考核体系,比如引入实践考核以及小组分工合作的方式,培养学生的思考习惯以及创新能力。
1.5培养人才供不应求
由于计算机技术发展,网络空间成为人们生活的主要空间,同时网络安全成了人们面临的又一主要问题,近年来国家对网络安全人才的培养也愈加重视,正如《2019网络安全人才现状白皮书》指出,2016至2018这三年期间,在全国范围内网络安全及相关专业开设院校新增数量达到98所,如图1所示,其中华东地区院校新增相关专业的数量最多,达到21所。与此同时,社会对网络信息安全人才的需求也越来越大,但是由于这一方面的人才却远远供不应求。即使目前很多人可以自学成才,“网络空间安全”也成为一级学科,但目前该领域人才缺口重大。正如智联招聘的《2018网络安全人才市场状况研究报告》指出,如图2所示,安全大数据分析师将会在未来几年内成为最为稀缺的人才资源,且每年需求仍在不断大幅上升,2018年上半年增长率接近10%。
2、信息安全原理课程建设方法
从以上可以看出,大数据时代的信息安全课程不能拘泥于旧的课程体系,必须创新教学模式,充分利用互联网资源,创新教学方法,促进学生和老师之间的有效互动,培养新型的信息安全人才。
如图3,在MOOC背景下,信息安全原理课程教学体系分为“教学基础建设”、“核心教学方法”和“拓展教学内容”三大层次。“教学基础建设”是整个教学体系结构的基础和保证,“核心教学方法”是教学过程中运用的多元化教学手段,以保证学生的学习效果,“拓展教学内容”是教学之后的延伸。
2.1教学基础建设2.1.1理论教材建设
由上一节分析可以看出,现有的信息安全原理教材相对落后,读者在阅读信息安全原理教材的过程中,往往只能了解到过时的知识,而无法学习到最新的信息安全技术。基于对“信息安全原理”课程六年的总结和发展,以及对最新时代信息安全课程的要求,结合最新的大数据技术、信息安全理论及案例和相關试验知识,设计如下的教材建设方案。
第一点,结合最新技术发展的章节实验。在教材中的重点知识章节,设立大数据、区块链体系等最前沿的安全应用相关的章节实验,读者可以通过完成章节实验,检验学习成果,并牢固掌握章节知识点。第二点,强调理论知识与实际应用相结合。在原理理论部分的章节中,添加多种多样的真实案例,范围可以涉及政府治理、经济发展、文化民生等等方面的社会应用问题。读者可以充分运用所学知识,组成小组互相讨论,并提出相应的解决方案或思路,从而更有助于知识的理解。第三点,强调书籍内容的新颖性。教材既要保留经典的信息安全理论知识点,也要在此基础上,增加了十三五期间的新观点、新理念,如网络安全法的实施、勒索蠕虫病毒的防范、电子签名法的实施、新型计算机犯罪的特征、数字水印等。读者不仅可以在教材中学习到信息安全理论的基础知识,还能从教材中了解到目前世界信息安全发展的趋势和我国信息安全建设的方向。
2.1.2MOOC网站建设
在课程前期,搭建信息安全原理这一课程的一个线上教学平台,线上教学资源可由学校和企业双方提供。对于该课程所涉及的一些基础理论知识的传授,可由学校老师提前进行相关视频的录制,然后再提交至该在线课程平台;对课程于内容相关的实践操作知识、该知识在社会工作中的相关应用以及社会对相关人才的技能考查侧重哪方面的知识,都可以由企业的有关专业人士进行提前录制,后再上传至MOOC平台。对于提高学生MOOC完成率,可以通过课程个性化定制、提高远程实现技术的应用,以丰富学生的知识点学习,也有助于学生尽早树立正确的择业观以及明确自己的职业目标,进一步培养了学生的解决实际问题的能力,为社会培养技能型人才,进而弥补社会在信息安全领域这一方面的人才空缺。
2.2核心教学方法
2.2.1MOOC教学
利用MOOC学习不受时间和空间约束的特点,学生可以根据自己的课余时间,利用碎片化的时间进行反复学习,反复思考,从而能更好地促进学生对于知识的吸收。同时,利用MOOC平台中的强大互联网技术,教师可以制作相应的练习题,让学生在课程视频观看完毕后进行自测,教师从后台可以对每一位学生的学习效果进行有效的掌握。
如图4,教师和企业紧密合作,搭建基于理论知识和实现项目的MOOC平台,形成校企强强联手的知名MOOC资源。学生通过MOOC平台进行课程学习与课后练习。
例如对于密码学、加密技术、数字签名等概念性的知识,就可以通过制作MOOC课程,视频以轻松有趣的动画或者是案例来阐述复杂难懂的概念,从而激发学生的学习兴趣。在视频课程之后,学生可以在MOOC网页上进行简单的加密解密题目的解答,就能更好地理解知识点,提升专业知识的能力。
2.2.2基于MOOC平台的实验教学
课程实验是对教学成果和学生知识掌握情况的重要检测方式,也是提升学生技能水平的重要手段。我们不能拘泥于传统实训中基于硬件实体和老旧的密码技术的实验和实践课程。应该着眼于最新的互联网发展趋势,结合目前新的教学实验平台,对区块链、数字版权、用户隐私等方面进行实践训练。通过与时展最紧密的知识和实践,提升学生对信息安全知识的掌握能力。MOOC平台不仅仅能作为一个视频学习平台,更能成为一个基于先进互联网技术的虚拟实验平台。基于MOOC平台的实验,不仅没有传统实验平台搭建难、维护贵、易损耗的缺点,还有便捷、快速、高效等优点。
例如在网络攻击与防御的专业知识课程之后,利用计算机虚拟技术在MOOC平台上搭建一个信息攻防实验平台,让学生分为两组对于OSI七层协议或人工智能病毒互相攻防,体验不同的角色。通过情景模拟,让学生真实体验到信息安全的攻防原理的操作,加深学生对信息安全知识的理解,提高学生心中对于信息安全的重要性。
2.3拓展教学内容
高校培养信息安全人才,是为了更好地为社会的人才需求进行服务,课程建设的过程也是高校对社会服务能力的一种提升方法。学生在完成信息安全相关的知识课程后,掌握了基本的理论知识和基本技能,但并不意味着学生已经成为一个信息安全行业的专业人才,还缺乏许多实战项目经验。同时,在企业中也缺乏高校的先进理论知识。因此,在课程建设的过程中,增强高校与企业之间的联系,拓宽高校与企业之间的合作是必然的。
例如,高校可以与奇虎360公司进行合作。奇虎360公司作为我国在计算机安全和网络安全方面的重要民营企业,可以充分将奇虎360公司和高校资源互补,解决信息安全课程中的痛点问题。一方面可以邀请奇虎360公司的工程师来为学生讲解最新的信息安全技术,如云安全的原理与案例教学、大数据的病毒防范技术、企业信息安全的软硬件基础设置等等;另一方面,教师可以带领学生走入企业,把教师、学生和企业结合起来,共同参与一个真实的项目,让学生带着所学到的知识和技能,按照真实的项目工程要求,完成项目的各项任务。通过实际项目的训练和培养,让学生能够更加具备实战操作经验和能力。
一、“微信”犯罪中的主要犯罪类型和罪名
信息技术时代人与人之间的交流和互动往往以信息的传播为基础。尤其在虚拟的网络社交环境中,信息传播速度快,频率高、传播范围广、传播的内容更是多样复杂。很多不法分子亦是利用网络社交软件,或传播一些虚假的、非法的信息,或从事犯罪活动。微信社交软件就是其中之一,今年来已经有多起利用微信实施犯罪的案例,主要犯罪可以归纳以下几类:
(一)侵犯财产类犯罪,如盗窃、抢劫、敲诈勒索、诈骗等。利用微信实施财产类犯罪活动已经屡见不鲜,广州市在2013年一年就接连发生多起利用微信诱骗受害人见面、约会实施抢劫、抢夺等犯罪行为。此类案件中,嫌疑人均通过微信搭讪、结识事主,通过手机聊天逐渐骗取事主的好感和信任后,将事主约至指定地点见面,伺机进行抢劫、抢夺等违法犯罪活动①。
1、利用微信实施盗窃罪。根据实践中案例,利用微信实施盗窃罪常见的主要存在三种方式:第一,利用微信绑卡转账功能,实施盗窃。例如,11月19日上午10时,湖南省怀化市沅陵县法院对首例微信红包盗窃案的审理判决,对被告人李某以盗窃罪定罪处罚②。第二,以木马程序伪装成红包,套取用户银行账户、身份等信息,实施盗窃。第三,利用微信搭讪,在取得被害人信任后,借见面、约会等方式,实施盗窃。
2、利用微信红包实施诈骗罪,其中最典型的是网购诈骗。常见的有一下三类诈骗:第一,骗取受害人邮费。犯罪嫌疑人利用微信扫码“赠送”或者集“赞”赠送商品等信息,诱使微信用户扫码、集“赞”,后采用邮费自付的方式骗取邮费。③第二,利用微信平台“打折”、“优惠”或者一些市场上稀缺的二手产品信息或者网址链接,并以包邮等方式诱惑用户购买,让受害人选择“即时到账”的方式支付货款,支付完成后,却迟迟收不到产品,而交易流程也早已关闭。第三,不法分子仿造一些知名的企业、电商或者信誉较高的购物网站,创建微信“公众号”,不实信息,诱导微信用户,实施诈骗。
(二)利用微信实施抢劫罪。该类犯罪最常见的和上述利用微信实施盗窃罪的第三种方式类似,只是犯罪的方式和手段有所不同,主要是利用约会、见面,实施抢劫犯罪。
(三)侵犯人身权利类犯罪,如罪、猥亵妇女罪等。近年来微信实施案在各地已经发生多起,如发生在浙江“高帅富”利用微信约会7名女大学生一案④,以及在厦门同安一个月内连续发生3起陌生男子以微信诱到女性,假借见面、约会对其实施的案件。
二、“微信”犯罪中刑法规制存在的缺陷
(一)对“微信”犯罪的构成和罪名的成立上存在一定的问题。对于侵犯财产类的犯罪中涉及到数额的问题,如抢夺罪、敲诈勒索罪、盗窃罪、诈骗罪等,对这类罪进行犯罪构成或者罪名认定时,涉案金额既可能成为定罪标准,又可能成为量刑的是一个重要的依据。例如就盗窃罪而言,“盗窃罪是以非法占有为目的,窃取他人占有的数额较大的财物……”,根据我国有关司法解释,盗窃公私财物数额较大以一千元至三千元为起点,如果数额达不到,犯罪嫌疑人顶多受到行政处罚。而在“微信”犯罪中涉及到财产犯罪一种常见的现象是:受害人多,损失金额分散,单个受害者的损失金额可能都不够立案标准,更不用谈定罪处罚。诈骗罪亦是如此,利用微信实施的诈骗罪,根据我国刑法的相关规定,诈骗公私财物数额较大,才构成犯罪。根据“两高”关于诈骗罪解释,“数额较大”的认定为:诈骗公私财物3000元至1万元。但是如上文中提到的利用微信骗取受害人邮费和话费的情况,单个受害人的邮费损失不过二、三十元,如何对该种行为进行刑法评价存在漏洞。虽然司法解释也规定了在数额难以查证的情况下,对诈骗行为的相关规定,“利用发送短信、拨打电话、互联网等电信技术手段对不特定的人实施诈骗,在诈骗数额难以查证,但有下列情形之一的,应当认定为刑法第266条规定的‘其他严重情节’,以诈骗罪(未遂)定罪处罚:(1)发送信息五千条以上。
(二)对利用微信实施的违法犯罪行为如何处罚,如何进行社会危害性评价,缺乏统一的标准。从目前的几起“微信”犯罪的判决来看,轻刑化比较明显,大部分对犯罪分子的处罚拘役、管制或2年以下有期徒刑,缓刑执行。在实务中目前还是完全依靠法官自由裁量或者是依靠我国的刑事政策进行处罚。这样难免会出现轻判或者重罚、出现同案不同判的现象,有失公允、有损刑法的公信力。例如,关于网络谣言的刑法修正案(九)中在现行刑法第291条中增加了一款:“编造虚假的险情、疫情、灾情、警情,在信息网络或者其他媒体上传播,或者明知是上述虚假信息,故意在信息网络或者其他媒体上传播,严重扰乱社会秩序的,处3年以下有期徒刑、拘役或者管制;造成严重后果的,处3年以上7年以下有期徒刑。”也就是说在网上传播谣言或者虚假信息最高可以获刑7年。那么在何种情况下以最高刑判决,却没有具体的标准。
(三)微信安全的保护链条不全面。相关法律之间还未有效地衔接,未形成合力对抗或者保障微信安全。从目前我国的《网络安全法》草案中并没有设置附属刑法的条款,仅在草案第六十四条规定“违反本法规定,构成犯罪的,依法追究刑事责任”。在这种情况下,仅仅依靠刑法修正案(九)中几条,以及《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播电子信息刑事案件具体应用法律若干问题的解释(二)》相关规定,仍然无法涵盖“微信”犯罪中全面行为和特定主体的对接,造成立法上的漏洞。
三、对“微信”犯罪的刑法应对之完善
对利用微信实施的各类犯罪行为中,大都是在传统的犯罪基础上,利用微信作为犯罪平台或者犯罪工具,其犯罪的构成并未发生多大的变化,例如利用微信进行开设赌场、实施盗窃、诈骗行为等罪名,定罪争议不大,但是对于责任的承担着、处罚的标准以及社会危害程度就目前的立法和司法解释中还存在一定的缺陷。对于像微信这类多功能半封闭的社交软件,其中主体涉及到软件应用的开发商、运营商和用户(群聊中群主和成员),例如在利用微信实施的危害公共安全或者市场交易安全等犯罪行为中,如何对各个主体进行刑法上的评价,又如何把握上述行为的社会危害程度目前还没有统一的标准,在实务中如果一味依靠法官主观评价或者是依赖我国的刑事政策,难免会出现轻判或者重打现象,影响刑法的权威性和公信力。为更好地打击和惩治“微信”犯罪,净化网络环境,保障信息传播有序健康发展,有必要运用刑罚手段进行合理科学的规制。
(一)完善对“微信”犯罪的法定刑,实现罪责刑相适应的刑法原则。法定刑是国家对犯罪行为的否定评价和对罪犯的惩罚,也是国家对犯罪行为危害性程度的评价。一方面,就目前我国刑法对诸如“微信”犯罪的网络犯罪偏向于轻刑化,尤其对于妨害社会管理的开设赌场、组织赌博、编造、故意传播虚假恐怖信息等犯罪行为以及破坏社会主义市场经济秩序的犯罪行为,此类犯罪可能没有具体的受害人而趋于轻型,但是其社会危害性仍然不容忽视,对该类行为应该加大惩处力度。对此,应该加大对“微信”犯罪的惩罚力度,提高犯罪的预期成本,突出刑罚的威慑力。根据波斯纳的观点:“刑罚的功能是对犯罪行为科以额外的成本,因为对于犯罪分子而言,只要犯罪的预期利润超过预期成本,他才会实施该犯罪”。另一方面,应提高对利用微信实施犯罪的罚金刑。鉴于“微信”犯罪的成本低、获利高,风险小促使罪犯敢于铤而走险实施犯罪。对于“微信”犯罪中涉及金额的行为,法官可以根据涉案金额适当提高刑罚金。
(二)完善“微信”犯罪中刑事责任承担分配制度。对于日益猖狂的“微信”犯罪,应该搭建严密的刑事责任网,充分发挥刑法的规制作用。第一,完善网络行业中,社交软件开发商、运营商的刑事责任分担。在网络行业,社交软件的服务运营商属于网络平台服务的提供者,微信的开发商属于腾讯。无论是开发商还是服务运营商应该在现行对用户或者违法信息赋有合理监管的义务。当然鉴于运营服务商的技术限制和“无主观恶意”(其所开发的社交软件并非主要用于犯罪活动,也并未使用户的法益处于危险的状态),对其在责任承担时应该谨慎考量,但是不能绝对免责,如可以参考域外司法经验:“服务商如对于使用人之不法使用负责,必须限于其知悉或应当知悉时,始赋予服务商相应的提示义务,去防止该不法行为之继续使用。”第二,合理界定虚假、诈骗信息的原始者和转发者的刑事责任。当下微信应用既是人与人交流和沟通的重要工具也是一个资源信息共享的方便平台。在信息量如此庞大的微信中,对于微信用户来说,很难区分、辨别一些广告信息的真伪,也不会刻意去辨别。例如对于运用微信平台一些“集赞”赠送产品、“打折”等诈骗信息,对于普通的微信用户而言,难免会有这样的心理:“如此好事,怎能独享”,随即会进行转发,或转发“朋友圈”,或转发至微信群。就算是转发一些虚假的灾情、警情、地震等信息,也可能是对自己微信好友的善意提醒和安全提示。这笔者认为,对与诸如利用微信虚假诈骗信息、谣言进行犯罪时,对于所有“犯罪嫌疑人”不应该都“一棍子打死”,应该区分这些“犯罪嫌疑人”中的始作俑者和“无意犯罪者”。刑法的目的固然是打击、惩治、预防犯罪,但最终还是服务于社会、经济、技术的发展。
(三)完善《网络安全法》与《刑法》之间的有效衔接。就目前我国《网络安全法》还只是公布草案,并未正式施行,但究其草案而言,本法的调整对象重点放在行为上,与行为主体缺乏有效的结合。再者草案中对违法网络安全的刑事责任有关规定,仅在草案第六十四条“违反本法规定,构成犯罪的,依法追究刑事责任”。该规定比较笼统模糊。对此《网络安全法》中应该设置一些附属于刑法的具体条款,对违反网络安全的不当行为以及该行为中各个主体的责任加以明确规定。健全和完善《网络安全法》,实现刑法规制与《网络安全法》行政规制的有效衔接。
1中小企业网络安全需求分析
1.1病毒木马的防护一般情况下,需在客户机上安装杀毒软件等安全防护措施,并通过因特网及时更新病毒库,从而能够快速发现并消灭病毒,有效制止危害和防止其扩散。有条件的企业也可以安装防病毒墙(应用网关),防止病毒进入内部网络,有效提升内部网络的安全防护能力。
1.2对外部网络攻击的防护因连接到因特网,不可避免地会受到外部网络的攻击,通常的做法是安装部署网络防火墙进行防护。通过设置防护策略防止外部网络的扫描和攻击,通过网络地址转换技术NAT(NetworkAddressTranslation)等方式隐藏内部网络的细节,防止其窥探,从而加强网络的安全性。1.3员工上网行为的管控对于在办公区内的员工,要禁止其在工作期间做无关工作的网络行为,如QQ聊天、论坛发帖子、炒股等,尤其禁止其玩征途等各类网络游戏。常用做法就是安装网络行为管理设备(应用网关),也有些企业会出于成本考虑安装一些网络管理类软件,但若操作不当,很容易会造成网络拥塞,出现莫名其妙的故障。
1.4对不同接入者权限的区分企业网络中的接入者应用目的是不相同的,有些必须接入互联网,而有些设备不能接入互联网;有些是一定时间能接入,一定时间不能接入等等,出于成本等因素考虑,不可能也没必要铺设多套网络。通常的做法是通过3层交换机划分虚拟局域网VLAN(VirtualLocalAreaNetwork)来区分不同的网段,与防火墙等网络控制设备配合来实现有关功能。
1.5安全审计功能通过在网络旁路挂载的方式,对网络进行监听,捕获并分析网络数据包,还原出完整的协议原始信息,并准确记录网络访问的关键信息,从而实现网络访问记录、邮件访问记录、上网时间控制、不良站点访问禁止等功能。审计设备安装后不能影响原有网络,并需具有提供内容安全控制的功能,使网络维护人员能够及时发现系统漏洞和入侵行为等,从而使网络系统性能能够得到有效改善。通常的做法就是安装安全运行维护系统SOC(SecurityOperationsCente)r,网管员定时查看日志来分析网络状况,并制定相应的策略来维护稳定网络的安全运行。
.6外网用户访问内部网络公司会有一些出差在外地的人员以及居家办公人员SOHO(SmallOfficeHomeOffice),因办公需要,会到公司内网获取相关数据资料,出于安全和便捷等因素考虑,需要借助虚拟专用网络技术VPN(VirtualPrivateNetwork)来实现。通常的做法是安装VPN设备(应用网关)来实现。
2网络安全设备的部署与应用
通过企业网络安全分析,结合中小企业网络的实际需求进行设计。该网络中的核心网络设备为UTM综合安全网关。它集成了防病毒、入侵检测和防火墙等多种网络安全防护功能,从而成为统一威胁管理UTM(UnifiedThreatManagement)综合安全网关。它是一种由专用硬件、专用软件和网络技术组成的具有专门用途的设备,通过提供一项或多项安全功能,将多种安全特性集成于一个硬件设备,构成一个标准的统一管理平台[2]。通常,UTM设备应该具备的基本功能有网络防火墙、网络入侵检测(防御)和网关防病毒等功能。为使这些功能能够协同运作,有效降低操作管理难度,研发人员会从易于操作使用的角度对系统进行优化,提升产品的易用性并降低用户误操作的可能性。对于没有专业信息安全知识的人员或者技术力量相对薄弱的中小企业来说,使用UTM产品可以很方便地提高这些企业应用信息安全设施的质量。在本案例中主要使用的功能有防火墙、防病毒、VPN、流量控制、访问控制、入侵检测盒日志审计等。网络接入和路由转发功能也可由UTM设备来实现。因其具有多个接口(即多个网卡),可通过设定接口组把办公区、车间、服务器组等不同区域划分成不同的网段;通过对不同网段设定不同的访问规则,制定不同的访问策略,来实现非军事化区DMZ(demilitarizedzone)、可信任区以及非信任区的划分,从而有效增强网络的安全性和稳定性。对于上网行为的管理,可以通过内置UTM设备的功能来实现管控,并可以实现Web过滤以及安全审计功能。,设定了办公区和车间1可以访问互联网,而车间2不能访问互联网。在办公区和部分车间安装无线AP,可方便人员随时接入网络。通过访问密码和身份认证等手段,可对接入者进行身份识别,对其访问网络的权限进行区分管控。市场上还有一些专用的上网行为管理设备,有条件的单位可进行安装,用以实现对员工上网行为进行更为精准的管控。对于出差在外地的人员和SOHO人员可在任何时间通过VPN客户端,用事先分配好的VPN账户,借助UTM设备的VPN功能,与总部建立VPN隧道,从而保证相互间通信的保密性,安全访问企业内部网络,实现高效安全的网络应用。
3结束语
通过某中小企业计算机网络安全设备的部署,UTM产品为中小规模计算机网络的安全防护提供了一种更加实用也更加易用的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,保证企业网络安全稳定运行。要实现企业网络安全建设的可持续性发展,还需要立足实际,从意识、制度、管理、资金、人员、设备、技术等方面进行不断的改进和提高,这样才能保障网络快速、稳定、畅通地运行。
作者:陈俊祺谷大丰单位:武警山西省总队网管中心国网山西省电力公司电力科学研究院
