时间:2023-06-08 11:17:20
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇公共信息网络安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
本国际联网单位愿服从市公安局公共信息网络安全监察科的管理,同意并将遵守本协议:
第一条 本单位自觉接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
安全保护管理所需信息、资料及数据文件主要包括:(1)用户注册登记、使用与变更情况(含用户账号、ip与email地址等):(2)ip地址分配、使用及变更情况;(3)网页栏目设置与变更及栏目负责人情况:(4)网络服务功能设置情况;(5)与安全保护相关的其他信息。
第二条 本单位及其用户不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第三条 本单位及其用户不得利用国际联网制作、复制、查阅和传播有害信息。
第四条 本单位及其用户不得从事危害计算机信息网络安全的活动。
第五条 本单位及其用户应当履行《计算机信息网络国际联网安全保护管理办法》中规定的安全保护职责。
第六条 本单位发现计算机信息网络中发生的违法犯罪行为,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。
第七条 接入单位及使用计算机信息网络国际联网的法人和其他组织应当自网络正式联通之日起三十日内,依法到市公安局公共信息网络安全监察科办理备案手续。
如果本单位不遵守该协议,违反了相关法律、法规,依法接受公安机关处罚。
安全责任监督单位:
______市公安局公共信息网络安全监察科
日期:______________________________
计算机信息网络国际联网单位:________
近年来,电力企业不断发展,特别是水电企业,改变了以往一直以来封闭式的网络结构和业务系统,利用信息网络逐渐跟外界接口联系,许多企业都建立了自己的网络系统,如企业门户、办公自动化系统、财务系统、营销系统、生产管理系统等,极大提高了办公效率,实现数据实时传输及共享。信息化的发展、网络的普及,使办公地点不紧紧局限于办公室,远程移动办公成为了可能,办公效率也大大提高,突破了时间及空间的限制,但信息化高速发展的同时也给我们带来了严重的网络安全问题。对此国家也非常关注,特意成立中央网络安全和信息化领导小组,再次体现出过对保障网络安全、维护国家利益、推动信息化发展的决心。由此可见,网络安全已经到了不可小视,必须深入探讨研究的地步。
2广蓄电厂信息网络安全建设
2.1网络安全区域划分
划分安全区域是构建企业信息网络安全的基础,提高抗击风险能力,提高可靠性和可维护性。广蓄电厂内网划分为网络核心区、外联接入区、IDC业务区、终端接入区。网络核心区域是整个电厂信息网络安全的核心,它主要负责全网信息数据的传输及交换、不同区域的边界防护。这个区域一般包括核心交换机、核心路由器、防火墙及安全防护设备等。IDC业务区主要是各业务应用服务器设备所在区域,如企业门户、OA系统、生产管理系统等各信息系统服务器。终端接入区即为终端设备(如:台式机、笔记本电脑、打印机等)连入内网区域。
2.2二次安防体系建设
根据国家电监管委员会令第5号《电力二次系统安全防护规定》、34号《关于印发<电力二次系统安全防护总体方案>》的相关要求,电厂坚持按照二次安全防护体系原则建设:
(1)安全分区:根据安全等级的划分,将广蓄电厂网络划分为生产控制大区和管理信息大区,其中生产控制大区又划分为实时控制Ⅰ区和非实时控制Ⅱ区。
(2)网络专用:电力调度数据网在专用通道上使用独立的网络设备组网,采用SDH/PDH不同通道等方式跟调度、各电厂的生产业务相连接,在物理层面上与其他数据网及外部公共信息网安全隔离。对电厂的IP地址进行调整和统一互联网出口,将生活区网络和办公网络分离,加强对网络的统一管理和监控。
(3)横向隔离:在生产控制大区与管理信息大区之间部署经国家指定部门检测认证的电力专用正反向安全隔离装置。正向安全隔离装置采用非网络方式的单向数据传输,反向安全隔离装置接收管理信息大区发向生产控制大区的数据,采用签名认证、内容过滤等检查处理,提高系统安全防护能力。
(4)纵向认证:广蓄电厂生产控制大区与调度数据网的纵向连接进行了安全防护硬件的部署,包括纵向加密装置、纵向防火墙等,并配置了相应的安全策略,禁用了高风险的网络服务,实现双向身份认证、数据加密和访问控制。
2.3安全防护措施
(1)防火墙
在外联接入区域同内网网络之间设置了防火墙设备,并对防火墙制定了安全策略,对一些不安全的端口和协议进行限制。通过防火墙过滤进出网络的数据,对内网的访问行为进行控制和阻断,禁止外部用户进入内网网络,访问内部机器,使所有的服务器、工作站及网络设备都在防火墙的保护下。
(2)口令加密和访问控制
电厂对所有用户终端采用准入控制技术,每个用户都以实名注册,需通过部门账号申请获得IP地址才能上局域网,并通过PKI系统对用户访问企业门户、OA系统等业务系统进行访问控制管理。在核心交换机中对重要业务部门划分单独的虚拟子网(VLAN),并使其在局域网内隔离,限制其他VLAN成员访问,确保信息的保密安全。对电厂内部的网络设备交换机、防火墙等,采用专机专用配置,并赋予用户一定的访问存取权限、口令等安全保密措施,建立严格的网络安全日志和审查系统,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(3)上网行为管理
上网行为管理设备直接串行部署在内网边界区域,并制定了精细化的活动审计策略、应用软件监控管理策略,监控及记录用户非法操作信息,实时掌握互联网使用情况,防患于未然,通过上网行为管理设备进行互联网网关控制。
(4)防病毒系统
在电厂的局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行SymantecAntiVirus企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。
(5)建立虚拟专网(VPN)系统
为保证网络的安全,实现移动办公,在核心网络边界区域部署了1台VPN设备,并设置访问条件和身份认证授权策略,如通过PKI系统进行身份认证和访问授权后才能访问电厂企业门户系统、OA系统等。使用虚拟专网(VPN)系统,不仅满足了电厂用户远程办公需求,而且保证了电厂信息网络及信息系统数据安全传输。
3信息网络安全管理策略
俗话说:“三分技术,七分管理”,这在信息网络安全管理方面也是适用的。事实上95%以上的计算机、网络受到的攻击事件和病毒侵害都是由于管理不善造成的。广州蓄能水电厂作为国内一流的水力发电厂,头顶上始终悬着一把信息网络安全的达摩克利斯之剑。在推进信息化道路上,借鉴国内外企业对信息网络安全管理的经验,形成属于自身发展的网络安全管理策略。(1)建立完善的网络信息安全管理制度。在信息网络安全方面电厂成立专门的信息化安全小组,制定完善的信息安全规章制度,规范整个电厂对网络及信息系统的使用。(2)建立完备的网络与信息安全应急预案。电厂建立了一套应急预案体系,目的就是在发生紧急情况时,指导电厂的值班人员对突发事件及时响应并解决问题。(3)定期进行安全风险评估及加固。电厂每年进行安全风险评估分析,及时了解和掌握整个网络的安全现状,通过安全加固使得网络安全系统更加健全。
4结束语
关键词:信息安全;防御技术;网络措施
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 20-0000-01
虽然信息网络给我们的生活带来了极大的便利,但是由于信息网络环境是一个具有开放性、互联性、多终端性、多联结形式性等特殊属性,这就导致了信息网络非常容易遭受恶意软件侵染、网络黑客攻击等破坏性、窃取侵扰。如何维护信息网络的信息安全、通畅运行等安全问题,已经成为我们亟待解决的问题。
一、信息网络安全存在的问题
(一)网络结构安全。信息网络是一种网间网技术,它是由无数局域网络通过繁多的软硬件网格式连接而成的庞大的网络系统,网络因此也给我们提供了一个巨大的资源仓库,当我们通过个人信息在网络世界中与另一局域网络的主机进行信息互通时,信息要通过互联网设施设备各个节点层层转送、传输才能到达目标终端,在这个过程中,任何两个节点之间的信息数据包,不仅会在节点之间传输,还会被两端的网卡所接收,也存在被这两个节点间的以太网上的任何一个节点网卡所截获。如此一来,网络黑客就可以利用网络设施设备,随意接入以太网上的任何一个节点,劫取在这个以太网上传输的所有的数据包,然后再利用相关程序进行解码翻译,最终拿到关键的信息数据等。更何况,互联网上传输的信息包大多数都没有进行加密保护,有时根本不需要繁杂的工序就可以对所传输的命令、数据、电子邮件、文件等轻易截获解码,这也是互联网在提供便利的同时所存在的固有的安全隐患。[1]
(二)路由器等网络设备的安全问题。路由器的主要任务是数据传输通道和控制设备,也是实现局域网络与外界网络进行连接的必备设施,严格来说,所有的网络攻击的破坏都要最先通过路由器才能到达终端机器,只要做好路由器的控制设计就可以防患于未然了,但是在路由器的设计上还是存在若干的缺陷,一些破坏性典型的攻击就是利用路由器的设计缺陷来实现攻击破坏目的的,并且有些攻击更是在路由器上进行的。这给网络安全埋下了不可逾越的安全隐患。
(三)网络信息病毒攻击。网络信息病毒是信息网络中比较常见的一种安全攻击性程序,就有较高的设计技巧和隐秘隐藏性,它并不是独立存在的,而是以一种寄生生存的形式,依附于其他程序之中,当人们进行正常的信息搜索、下载、保存、解包的同时,病毒软件跟随侵入到了终端用户的主机系统之中,破坏主机的运行程序、攻击主机的安全屏障,造成主机的运行困难,更甚至是运行瘫痪、信息损坏、资料丢失等重大损失。病毒软件具有隐蔽性、潜伏性、传染性、形式多样性和巨大破坏性,是我们的信息网络环境中长期、普遍存在的不稳定、不安全因素[2]。信息病毒还存在破坏性、隐蔽性、传染性、繁殖性、潜伏性和可触发性。
(四)信息安全软件滞后及功能不齐。虽然网络安全已经受到了广泛的重视,在一定程度上也能取得较大的防护作用,但是相较于网络攻击手段变化速度而言,其更新的速度还是存在相对滞后的现象。目前,我们所常用的网络安全防护软件研制商已经非常注重软件的完善和更新速度的提升了,但是在新网络安全问题的应对方面仍然显得比较吃力。
二、信息网络安全防御技术
(一)防火墙技术。防火墙技术是目前信息网络安全运行中较为常用的防护措施。防火墙技术是指综合应用适当技术在用户网络周围组建用于分隔被保护网络与外界网络之间的系统。在一定意义上,防火墙等于在被保护网络与外界网络之间,建设了一堵不可轻易逾越的保护层,是由软件和硬件设备组合而成、在内部网络和外界网络之间、公共网络和专用网络之间的界面上建立的保护措施。防火墙主要包括服务访问政策、验证工具、数据包过滤和应用网关四部分组成,任何的访问操作都要经过保护层的验证、过滤、许可才能进行,只有被防火墙验证授权的信息交流才能获得允许通过进行操作,同时将不被允许的访问行为拒之门外,防止篡改、移动和删除相关信息的发生。[2]
(二)防病毒技术。信息网络给我们的工作、生活带来便利的同时,也遭受着信息病毒的侵扰,信息技术发展也使得信息病毒变化的速度非常之快,朝着多样化、隐蔽化、高级化的发展趋势演变,对信息网络造成了极大的威胁,防病毒技术无疑是解决这一威胁的必要措施,也是信息安全防御技术较为常用的保障要素。防病毒软件从功能上可以分为网络防病毒软件和单机防病毒软件两大类。网络防病毒软件故名此意主要是针对网络安全运行的应用软件,主要注重网络防病毒,一旦病毒入侵网络或通过网络侵染其他资源终端,防病毒软件会立刻进行检测并删除阻止操作,防止其行为的进行,减少侵染区域,保护信息资源安全。单机防病毒软件主要是信息生产商在信息CPU等硬件上植入的安全防护措施,他们主要针对的是单台CPU或相关局域工作台领域的所谓防病毒安全防护。
(三)数据加密技术。信息安全成为了社会各界网络建设的基础架构,但是传统的安全防护技术已经远远不能满足用户的安全需求,新型的安全防护手段逐步成为了信息安全发展的主力军。数据加密技术就是在这一背景下产生并发展起来的较为新兴的信息安全防护技术。数据加密技术又称为密码学,它是一门具有着悠久发展史的应用型技术,是通过加密算法和加密密钥将明文转换成密文的技术。数据加密是目前信息技术中进行信息保护的最为有效的一种防护措施。数据加密技术可以利用密码技术,将重要的信息进行加密处理,使信息隐藏屏蔽,达到保护信息安全的目的。
三、结语
所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。我们要不断加强信息网络安全措施的研发、推广和应用,为维护网络安全、社会稳定、生活便利贡献力量。
参考文献:
摘要:虚拟社会因其独特的隐蔽性、瞬时性和跨地域性等特点给政府管理带来了新挑战,虚拟社会管理滞后引发的网络虚拟社会违法犯罪案件也随之与日俱增,日趋严重。有效管理虚拟社会管理、打击网络违法犯罪,促进虚拟社会的安全、稳定与和谐,不仅是当前政府及公共安全管理部门所面临的问题,也是培养预备役警官的公安院校应当重点思考和抓紧研究的课题。
关键词:虚拟社会;有效管理;警校角度
一、前言
信息网络技术的发展使得数字化的网络世界与现实世界日渐交融,继而形成了独特的虚拟社会,随着虚拟社会的进一步发展,由虚拟社会管理滞后引发的网络虚拟社会违法犯罪案件也随之与日俱增,且日趋严重。同时,互联网犯罪本身具有瞬时性、广域性、专业性时空分离等高科技犯罪特点造成了打击互联网违法犯罪中存在着管理滞后、技术手段滞后等问题。因此,发现虚拟社会特点,研究如何有效加强虚拟社会管理、打击网络违法犯罪,促进虚拟社会的安全、稳定与和谐,不仅成为当前政府及公共安全管理部门所面临的期待解决的问题,也无疑成为培养预备役警官的公安院校应当重点思考和抓紧研究的课题。
二、当前虚拟社会管理中存在的问题
(一)思想认识不足
虚拟社会管理思想认识不足包括两方面。第一,存在由于网络虚拟社会的虚拟性和匿名性(大部分国家没有实行实名制),网民对网络虚拟社会的认识有较大的偏差,潜意识认为在网络中的不法行为不会被追究,导致网民在网络虚拟社会中缺少在现实社会的约束力,从而容易使网民做出过激行为,甚至违法犯罪。另一方面,许多网民的防范意识不强,而网络违法犯罪的手段跟随网络技术的发展不断翻新,造成违法犯罪分子的违法犯罪行为屡屡得手。第二,部分政府管理者不能从思想行为上迅速适应网络虚拟社会的发展。网络已深入渗透进政治、经济生活的各个领域是一个不争的无可回避的现实了,回避解决不了问题,。只有思想行为迅速适应网络发展,积极改进工作,自觉接受监督,政府管理工作才不会陷入被动局面。
(二)法律、法规滞后
互联网发展的迅捷与我国虚拟社会管理中可行的全国性法律法规的缺乏成为鲜明对比。目前,我国关于虚拟社会管理的全国性法律法规无论数量还是质量,抑或是可操作性都远远不能满足当前的虚拟社会管理需要,在对虚拟社会的管理中,经常找不到形影的法律依据,难以做到“有法可依”。
(三)技术手段不能充分利用
网络自身存在着技术限制和安全漏洞,尤其是我国网络系统高端核心技术取钱缺乏自主,造成信息网络安全可控能力不强,互联网技术却日新月异地发展, P2P技术、无线网络技术的发展,QQ群、网络视频、微博等网络新服务不断产生并迅速普及,都给虚拟社会的的管理增大了难度,社会迫切需要管控技术手段的及时更新跟进。
而与之对应的是我国起步较晚的信息安全监管,其技术手段滞后于形势发展的现象相当突出。打击网络违法犯罪的实质是网络技术之间的较量和对抗,虚拟社会违法犯罪从侦查到取证均有较高的技术要求,目前我国的公安机关的专职执法队伍组建时间不长, 缺乏实践经验、技术力量也相对薄弱,较难对虚拟社会实行全方位的有效管控。
三、从警校角度论加强虚拟社会管理
(一)虚拟社会管理的需求
虚拟网络社会的安全保障工作事关国计民生,加强网络虚拟社会管理,切实维护和保障虚拟社会的安全对国家长治久安和确保经济社会秩序稳定等具有特殊重要的意义。近年来,许多公安院校开设了网络安全监察专业,信息安全监察专业人才培养工作取得了一定的成就,逐步加强了我国虚拟社会管理的综合实力,对维护和保障虚拟社会的稳定和和谐输送和储备了一定的人才基础,具有重要的战略意义。
然而,从当前我国虚拟社会发展看,这支专业化队伍在数量和适用性等方面还远远不能满足网络虚拟社会管理和信息网络安全社会防控体系建设的需求。尤其是在网络虚拟社会的主管机构公安机关存在严重的专业人员不足、专业人员不专的情况,因此必须进一步加强对信息网络安全监察专业技术人员的教育培养。
由于信息安全监察工作的特殊重要性,其在政府管理和行业应用方面起着基础性作用,在网络虚拟社会管理和信息网络安全社会防控体系建设中占据着主体地位。其信息安全素质、能力和水平将会直接关系到我国虚拟社会的信息安全整体实力,影响到网络虚拟社会管理和国家信息安全保障工作。因此,信息网络安全监察人才队伍的职业化建设和培养就成为一项必然的社会需求。
(二)虚拟社会管理人才的培养。
根据职业要求,网络警察必须具备相当高的计算机技术,计算机犯罪与反计算机犯罪,除了法律的对抗,同时还是技术的对抗。加强警校网络监察专业学生虚拟社会管理能力的培养,培养出符合社会管理要求的网络安全监察人员,是警校为适应社会管理和公安业务发展而应当跟进的工作。
1.培养重点
根据虚拟网络管理存在的问题,虚拟社会管理人才须的培养液需从三个方面着手重点培养。第一,依托技术。计算机犯罪案件的侦查必须依托技术,培养警校学生突破传统侦查技术的限制、提高侦查技术以适应和解决计算机犯罪侦查中遇到的技术难题。第二,熟悉法律,网监工作本身是一种法律过程,仅靠提高技术并不能解决网监和计算机犯罪侦查中的所有难题。虚拟社会管理和计算机犯罪侦查当中存在着诸多法律上的问题,所以必须培养学生的法律意识和法律运用水平,不仅要了解刑法当中明确规定的计罪条例,而且,对于我国立法当中存在的如电子证据的搜查扣押制度存在着的法律缺陷也要有所了解。第三,只有提高网监人员的科技素质,才能保障网络监察工作能顺利进行,任何虚拟社会的管理工作及案件的侦查都与侦查人员的侦查意识和水平有关,计算机犯罪案件对侦查人员提出了更高的要求,因此,着力培养网监专业学生的科技素质是增强其虚拟社会管理能力的一个重要方面。
2.培养模式的选择
基于信息网络安全监察警察这一职业的能力要求出发,根据前互联网飞速发展阶段网络警察职业的主要职责,认为其所要求的职业能力除了必要的技术、法律相关知识和技能,更重要的是如何促使这些技能转化为学生自身的素质,并能自觉将其运用的网络监察工作中。因此,为了培养网监专业学生的综合技术和能力,更好地进行虚拟社会管理,可采用多种模式和途径来进行培养。
四、结束语
虚拟社会的社会管理是一项复杂的系统工程,同样包括协调社会关系、规范社会行为、解决社会问题、化解社会矛盾、促进社会公正、应对社会风险、保持社会稳定等基本任务。这些任务既各不相同、各有侧重,又相互联系、相互制约,呈现交织互动、有机统一的辩证关系。为了解决好虚拟社会中的突出问题,有效提高虚拟社会社会管理科学化水平,信息网络安全监察人才队伍建设的内涵相当丰富,标准和要求很高,其在工作性质、工作要求和工作职责等方面具有政治化、专门化和法治化的特点,警察院校只有充分了解和顺应这种需求特点,才能更好的开展信息网络安全监察从业人员的培养工作,从而为网络虚拟社会管理和信息安全保障工作提供更全面、更有力的人才支持与保障。
参考文献:
2009年,我坚持以“三个代表”重要思想和科学发展观为指导,认真学习十七大、十七届三中全会精神,在局领导和处领导的带领下,以公共信息网络安全监察工作的方针引领工作,认真完成了各项工作任务。现总结如下:
一、自觉加强党性锻炼,党性修养和政治思想觉悟进一步提高。一年来,我始终坚持科学发展观,以正确的世界观、人生观、价值观,指导自己的学习、工作和生活实践,在思想上积极构筑抵御资产阶级民主和自由化、拜金主义、自由主义等一切腐朽思想侵蚀的坚固防线。认真贯彻执行党的路线、方针、政策,工作积极主动,不畏艰难,尽职尽责,在工作岗位上作出力所能及的贡献。
二、强化理论和业务学习,不断提高自身综合素质。 重视加强理论和业务知识学习,在工作中,坚持一边工作一边学习,不断提高自身综合素质水平。一是认真学习科学发展观,深刻领会其科学内涵,增强自己实践科学发展观的自觉性和坚定性;认真学习党的十七大及十七届三中全会精神,自觉坚持以党的十七大精神为指导。二是认真学习工作业务知识。在学习方法上做到在重点中找重点,抓住重点,并结合自己不足之处,有针对性地进行学习,不断提高自己业务工作能力。三是认真学习法律知识,结合自己工作实际特点,选择性地开展学习,进一步增强法制意识和法制观念。
三、努力工作,按时完成工作任务。始终坚持严格要求自己,勤奋努力,努力实践“三个代表”重要思想和科学发展观。在保障信息网络安全的工作中,坚持贯彻谁主管谁负责的原则,加强对信息网络使用及管理单位安全管理工作的监督、监察和指导。将预防为主的根本指导思想贯穿于信息网络安全监察工作的始终。进一步保障关系到国家事务、经济建设、国防建设、尖端科学技术等领域的部门和单位的计算机信息系统的安全。依法对危害计算机信息系统安全的事故和违法犯罪活动及时进行查处。在同志们的关心、支持和帮助下,工作得到领导和群众的肯定。
回顾一年来的工作,我在思想上、学习上、工作上取得了新的进步,但我也认识到自己的不足之处,理论知识水平还比较低,业务技能还不强。今后,我一定认真克服缺点,发扬成绩,刻苦学习、勤奋工作,做一名合格的人民警察,为实现我市安全发展、转型发展、和谐发展的要求作出了自己的贡献!
第一条为加强对计算机信息系统的安全保护,维护公共秩序和社会稳定,促进信息化的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定,结合本市实际,制定本办法。
第二条本办法所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含有线、无线等网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括互联网、局域网、移动网等。
第三条*市行政区域范围内计算机信息系统的安全保护管理,适用本办法。
第四条*市公安局主管全市计算机信息系统安全保护管理工作。
*市公安局公共信息网络安全监察分局具体负责市区范围内(萧山区、余杭区除外)计算机信息系统安全保护管理工作。
各县(市)公安局和萧山区、余杭区公安分局负责本行政区域范围内计算机信息系统安全保护管理工作。
国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息系统安全保护管理的有关工作。
第五条公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,应当建立协调合作管理机制,共同做好计算机信息系统安全保护管理工作。
第六条公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门在履行管理职责过程中,应当保护计算机信息系统使用单位和个人的合法权益,保守其秘密。
计算机信息系统使用单位和个人应当协助公安机关等有关职能部门做好计算机信息系统的安全保护管理工作。在公安机关等有关职能部门依法履行管理职责时,使用单位和个人应当如实提供本单位计算机信息系统的技术资料。
第七条计算机信息系统的安全保护工作,重点维护下列涉及国家事务、公共利益、经济建设、尖端科学技术等重要领域和单位(以下简称重点安全保护单位)的计算机信息系统的安全:
(一)各级国家机关;
(二)金融、证券、保险、期货、能源、交通、社会保障、邮电通信及其他公用事业单位;
(三)重点科研、教育单位;
(四)有关国计民生的企业;
(五)从事国际联网的互联单位、接入单位及重点政务、商务、新闻网站;
(六)向公众提供上网服务的单位;
(七)互联网络游戏、手机短信转发、各类聊天室等互动栏目的开发、运营和维护单位;
(八)其他对社会公共利益有重大影响的计算机信息系统使用单位。
第二章计算机信息系统使用单位的安全管理
第八条计算机信息系统使用单位应当建立人员管理、机房管理、设备设施管理、数据管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体系,保障本单位计算机信息系统安全。
第九条计算机信息系统使用单位应当确定本单位的计算机信息系统安全管理责任人。安全管理责任人应履行下列职责:
(一)组织宣传计算机信息系统安全保护管理方面的法律、法规、规章和有关政策;
(二)组织实施本单位计算机信息系统安全保护管理制度和安全保护技术措施;
(三)组织本单位计算机从业人员的安全教育和培训;
(四)定期组织检查计算机信息系统的安全运行情况,及时排除安全隐患。
第十条计算机信息系统使用单位应当配备本单位的计算机信息系统安全技术人员。安全技术人员应履行下列职责:
(一)严格执行本单位计算机信息系统安全保护技术措施;
(二)对计算机信息系统安全运行情况进行检查测试,及时排除安全隐患;
(三)计算机信息系统发生安全事故或违法犯罪案件时,应立即向本单位报告,并采取妥善措施保护现场,避免危害的扩大;
(四)负责收集本单位的网络拓扑结构图及信息系统的其他相关技术资料。
第十一条重点安全保护单位应当建立并执行以下安全保护管理制度:
(一)计算机机房安全管理制度;
(二)安全管理责任人、安全技术人员的安全责任制度;
(三)网络安全漏洞检测和系统升级管理制度;
(四)操作权限管理制度;
(五)用户登记制度;
(六)信息审查、登记、保存、清除和备份制度;
(七)信息保密制度;
(八)信息系统安全应急处置制度;
(九)其他相关安全保护管理制度。
第十二条重点安全保护单位应当落实以下安全保护技术措施:
(一)系统重要部分的冗余措施;
(二)重要信息的异地备份措施和保密措施;
(三)计算机病毒和有害数据防治措施;
(四)网络攻击防范和追踪措施;
(五)安全审计和预警措施;
(六)信息群发限制措施;
(七)其他相关安全保护技术措施。
第十三条重点安全保护单位的安全管理责任人和安全技术人员,应当经过计算机信息系统安全知识培训。
第十四条重点安全保护单位应当对其主服务器输入输出数据进行24小时监控,发现异常数据应注意保护现场,并同时报告公安机关等有关职能部门。
第十五条使用和销售计算机信息系统安全专用产品,必须是依法取得计算机信息系统安全专用产品销售许可证的产品。
进入本市销售计算机信息系统安全专用产品的销售单位,其销售产品目录应报市公安局备案。
市公安局应定期通告,公布合格的计算机信息系统安全专用产品目录。
保密技术专用产品的管理,按照国家和省、市的有关规定执行。
第十六条计算机信息系统使用单位发现计算机信息系统中发生安全事故和违法犯罪案件时,应在24小时内向当地公安机关报告,并做好运行日志等原始记录的现场保留工作。涉及重大安全事故和违法犯罪案件的,未经公安机关查勘或同意,使用单位不得擅自恢复、删除现场。涉及其他管理部门法定职权的,公安机关应当在接到报告后及时通知有关部门。
第十七条计算机信息系统发生突发性事件或存在安全隐患,可能危及公共安全或损害公共利益时,公安机关等有关职能部门应当及时通知计算机信息系统使用单位采取安全保护措施,并有权对使用单位采取暂停联网、停机检查、备份数据等应急措施,计算机信息系统使用单位应当予以配合。
突发性事件或安全隐患消除之后,公安机关等有关职能部门应立即解除暂停联网或停机检查措施,恢复计算机信息系统的正常工作。
第三章计算机信息系统安全检测
第十八条重点安全保护单位的计算机信息系统进行新建、改建、扩建的,其安全保护设计方案应报公安机关备案。
系统建成后,重点安全保护单位应进行1至6个月的试运行,并委托符合条件的检测机构对其系统进行安全保障体系检测,检测合格的,系统方能投入正式运行。重点安全保护单位应将检测合格报告书报公安机关备案。
计算机信息系统的建设、检测等按照国家和省、市的有关规定执行。
第十九条计算机信息系统安全保障体系检测包括以下内容:
(一)安全保护管理制度和安全保护技术措施的制定和执行情况;
(二)计算机硬件性能和机房环境;
(三)计算机系统软件和应用软件的可靠性;
(四)技术测试情况和其他相关情况。
市公安局应当根据计算机信息系统安全保护的行业特点,会同有关部门制定并公布重点行业计算机信息系统安全保障体系的安全要求规范。
第二十条重点安全保护单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当委托符合条件的检测机构对受影响的部分进行检测,确保其符合该行业计算机信息系统安全保障体系的安全要求规范。
第二十一条重点安全保护单位应加强对计算机信息系统的安全保护,定期委托符合条件的检测机构对计算机信息系统进行安全保障体系检测,并将检测合格报告书报公安机关备案。对检测不合格的,重点安全保护单位应当按照该行业计算机信息系统安全保障体系的安全要求规范进行整改,整改后达到要求的,系统方能继续运行。
第二十二条公安机关应当会同有关部门,按照国家有关规定和相关行业安全要求规范,对重点安全保护单位的计算机信息系统安全保障体系进行检查。检查内容包括:
(一)安全保护管理制度和安全保护技术措施的落实情况;
(二)计算机信息系统实体的安全;
(三)计算机网络通讯和数据传输的安全;
(四)计算机软件和数据库的安全;
(五)计算机信息系统安全审计状况和安全事故应急措施的执行情况;
(六)其他计算机信息系统的安全情况。
第二十三条公安机关等有关职能部门发现重点安全保护单位的计算机信息系统存在安全隐患、可能危及公共安全或损害公共利益的,可委托符合条件的检测机构对其安全保障体系进行检测。经检测发现存在安全问题的,重点安全保护单位应当立即予以整改。
第二十四条检测机构进行计算机信息系统安全检测时,应保障被检测单位各种活动的正常进行,并不得泄露其秘密。
检测机构应当严格按照国家有关规定和相关规范进行检测,并对其出具的检测报告承担法律责任。
第四章计算机信息网络公共秩序管理
第二十五条互联网络接入单位以及申请从事互联网信息服务的单位和个人,除应当按照国家有关规定办理相关手续外,还应当自网络正式联通之日起30日内到公安机关办理安全备案手续。
第二十六条用户在接入单位办理入网手续时,应当填写用户备案表。接入单位应当定期将接入本网络的用户情况报当地公安机关备案。
第二十七条设立互联网上网服务营业场所,应当按照《互联网上网服务营业场所管理条例》的规定向公安机关申请信息网络安全审核。经公安机关审核合格,发给互联网上网服务营业场所信息网络安全许可证明后,再向文化、工商部门办理有关审批手续。
互联网上网服务营业场所经营单位变更营业场所地址或者对营业场所进行改建、扩建,变更计算机数量或者其他重要事项的,应当经原审核机关同意。
互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的,应当依法到工商行政管理部门办理变更登记或者注销登记,并到文化行政部门、公安机关办理相关手续。
第二十八条互联网上网服务营业场所经营单位必须使用固定的IP地址联网,并按规定落实安全保护技术措施。
互联网上网服务营业场所经营单位应按规定对上网人员进行电子实名登记,登记内容包括姓名、身份证号码、上网起止时间,并应记录上网信息。登记内容和记录备份保存时间不得少于60日,在保存期内不得修改或者删除。
第二十九条任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经授权查阅他人电子邮箱,或者以赢利和非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
(二)故意向他人发送垃圾邮件,或者冒用他人名义发送电子邮件;(三)利用计算机信息网络传播有害手机短信;
(四)侵犯他人隐私、窃取他人帐号、进行网上诈骗活动;
(五)未经计算机信息网络所有者同意,扫描他人信息网络漏洞;
(六)利用计算机信息网络鼓动公众恶意评论他人或公开他人隐私,或者暗示、影射对他人进行人身攻击;
(七)其他危害计算机信息网络安全的行为。
第三十条从事信息网络经营、服务的单位和个人应当遵守下列规定:
(一)制订安全保护管理制度,对本网络用户进行安全教育;
(二)落实安全保护技术措施,保障本网络的运行安全和其的信息安全;
(三)建立电子公告系统的信息审核制度,设立信息审核员,发现有害信息的,应在做好数据保存工作后及时删除;
(四)发现本办法第二十九条中各类情况时应保留有关稽核记录,并立即向公安机关报告;
(五)落实信息群发限制、匿名转发限制和有害数据防治措施;
(六)落实系统运行和上网用户使用日志记录措施;
(七)按公安机关要求报送各类接入状况及基础数据。
第三十一条发现计算机信息网络传播病毒、转发垃圾邮件、转发有害手机短信或传播有害信息的,信息网络的经营、服务单位和个人应当采取技术措施予以防护和制止,并在24小时内向公安机关报告。
对不采取技术措施予以防护和制止的信息网络经营、服务单位和个人,公安机关有权责令其采取技术措施,或主动采取有关技术措施予以防护和制止。
第三十二条公安机关应对计算机信息网络的安全状况、公共秩序状况进行经常性监测,发现危害信息安全和危害公共秩序的事件应及时进行处理,并及时通知有关单位和个人予以整改。
第五章法律责任
第三十三条违反本办法规定,有下列行为之一的,给予警告,责令限期改正,并可处以1000元以上10000元以下罚款;情节严重的,可以给予6个月以内停机整顿的处罚:
(一)计算机信息系统使用单位未建立安全保护管理制度或未落实安全保护技术措施,危害计算机信息系统安全的;
(二)计算机信息系统使用单位不按照规定时间报告计算机信息系统中发生的安全事故和违法犯罪案件,造成危害的;
(三)重点安全保护单位的计算机信息系统未经检测或检测不合格即投入正式运行的。
第三十四条违反本办法规定,销售计算机信息系统安全专用产品未向公安机关备案的,给予警告,责令限期改正,并可处以200元以上2000元以下罚款。
第三十五条违反本办法规定,接入单位或从事互联网信息服务的单位和个人不办理安全备案手续的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十六条违反本办法规定,未取得互联网上网服务营业场所信息网络安全许可证明从事互联网上网服务经营活动的,责令限期补办手续,并可处以1000元以上10000元以下的罚款。
第三十七条有本办法第二十九条规定行为之一的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十八条违反本办法第三十条和第三十一条第一款规定的,给予警告,责令限期改正,并可处以1000元以上10000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十九条计算机信息系统使用单位的安全管理责任人和安全技术人员不履行本办法规定的职责,造成安全事故或重大损害的,给予警告,并可建议其所在单位按照相关规定给予其行政处分。
第四十条对本办法规定的行政处罚,市区范围内(萧山区、余杭区除外)由市公安局公共信息网络安全监察分局负责;各县(市)和萧山区、余杭区范围内由各县(市)公安局和萧山区、余杭区公安分局负责。
第四十一条对违反本办法规定的行为,涉及其他有关法律法规的,由有关部门依法予以处罚。对违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的规定给予处罚;构成犯罪的,依法追究刑事责任。
第四十二条行政机关工作人员违反本办法规定,、、的,由其所在单位或有关部门按照有关规定给予其行政处分;构成犯罪的,由司法机关依法追究刑事责任。
第六章附则
第四十三条计算机信息系统的保密管理,按照国家有关规定执行。
一、指导思想
坚持以党的十七大、十七届五中全会精神为指导,认真贯彻全国、全省档案信息化工作会议精神,深入学习实践科学发展观,立足于经济社会发展需求,以科学发展、加快发展、率先发展、和谐发展为主题,大力实施“信息化带动”战略,努力在推进“三网一库”建设上取得新成效,实现档案信息化发展迈上新台阶,为市经济社会又好又快发展发挥档案部门强有力的作用。
二、主要任务
(一)实施一个战略
大力实施“信息化带动”战略。发挥市档案信息化后发优势,应用先进的信息化技术和网络,增强档案服务社会功能,推动和支撑我市工业化、城镇化、农业产业化发展,加快推进全市各单位档案信息化建设与应用,提升档案管理与服务水平,促进我市档案事业健康持续快速发展。
(二)坚持一个核心
以“三网一库”(内部局域网、档案信息网、电子政务网和档案信息资源数据库)建设为核心,大力提升档案信息化水平,增强档案政务服务能力。加快档案信息资源数据库建设,围绕建设档案信息资源数据库,加快推进信息化建设各项工作。不断完善市档案局内部局域网功能,升级改版档案门户网站,完善内网平台,拓展外网平台,建设全市统一的档案信息资源目录系统和共享服务系统。
(三)实现一个突破
努力在档案信息资源整合共享方面实现新突破。加强档案资源的整合与信息共享,实行集约化建设模式,构建全市统一的档案信息网络平台、数据中心、基础数据库和共享平台等基础性、公共性档案信息化平台,建立统一的档案信息资源目录体系和数据共享机制。编制市档案信息资源目录,出台信息资源共享管理办法,明确信息资源共享的种类、条件、期限、来源和责任单位等,制定相关的信息资源共享协调工作程序、管理制度及相应的行政责任追究制度,扩大信息共享范围和信息提供种类,推动全市各机关单位按需及时响应和提供信息共享,大力推行电子政务,以信息技术推动档案服务的数字化、智能化和网络化水平,提高档案管理与服务能力。
三、具体措施
(一)加快档案信息资源体系建设
“十二五”期间初步形成较完整配套的档案信息资源体系。在加快传统档案数字化步伐的同时,加大对新生电子文件规范化的监督、管理与接收,逐步建设可共享的档案目录数据库、纸质档案全文数据库和多媒体档案数据库。加大档案信息资源的整合,一方面加强各档案馆(室)之间的档案信息资源的纵向整合,另一方面加大与其他相关信息系统之间的横向整合,建立电子文件归档及电子档案接收应用系统,推进电子文件归档、接收、保管与利用,加快档案目录中心及档案信息资源数据库的建设。
——2011年市馆完成馆藏档案目录数据库建设(案卷级目录数据库和文件级目录数据库),部分重点档案全文数据库建设,县(区)档案馆及市直和驻市单位档案馆(室)启动目录数据库建设。
——2012年市馆继续加大全文数据库建设、启动多媒体档案数据库建设、探索电子文件归档与在线接收,县(区)档案馆及市直和驻市单位档案馆(室)进一步完善目录数据库建设。
——2013年市馆继续完善全文数据库、多媒体档案数据库,启动电子文件归档与在线接收,县(区)档案馆及市直和驻市单位档案馆(室)继续完善机读目录数据库,完成本单位馆(室)藏档案目录数据库建设。
——2014年市馆完成馆藏重点档案、珍贵档案的全文数据库建设,不断充实多媒体数据库,电子文件归档与在线接收平稳运行,逐步实现全市档案目录资源的有效整合,县(区)档案馆及市直和驻市单位档案馆(室)启动全文数据库建设、电子文件归档与在线接收。
——2015年全市各级档案馆(室)有计划、分重点地开展开放档案的全文数字化工作,进一步整合档案信息资源,实现馆(室)藏档案目录资源的共享,逐步形成全市档案目录和全文信息中心,在全市建立比较完善的档案信息资源数据库。
(二)加快档案信息服务体系建设
“十二五”期间全市档案系统要建立档案信息共享通道和服务平台,拓展档案信息服务社会的渠道方式,强化档案信息的资源共享机制,逐步减少“信息孤岛”,加快档案信息资源的开发利用,创造档案信息的社会效益和经济效益,建立高效、优质、快捷的新型档案服务体系。
一是构建档案信息共享与交换平台,解决因应用系统环境、数据库环境、数据格式、应用系统连接、数据传递不一致等造成的“信息孤岛”问题,实现跨部门的档案信息共享和交换,推动全市档案信息资源有效整合利用。
二是构建一站式档案信息网站服务平台。加快内部局域网、档案信息网、电子政务网建设,实现三网平稳运行;扩大服务范围,创新服务方式,提高网上服务办事能力,增加事项办理中的状态情况查询,提供更多的在线服务项目,提供更多、更方便的表格下载和现行文件、档案资料的在线查询,使网站更新升级常态化;加强档案信息网站服务功能建设,加快县区档案网站建设进程,推进网站管理体制创新,建立档案网站建设、维护长效机制。逐步实现以市局档案信息网站为基础,以市直和驻市单位各档案馆(室)网站为拓展,以县区档案网站为延伸,构建新的一站式档案信息服务平台。
三是根据市委、市政府的要求,继续推进政务信息公开工作。对本单位的政务信息公开内容进行不断的更新和完善,对新增的公开内容进行收集、整理并上传到门户网站,使政务信息公开成为一项长期而规范的工作,打造阳光政府网上服务窗口,促进服务型政府建设。
(三)加快档案信息安全体系建设
“十二五”期间,全市各级档案部门要全面落实杨冬权局长在全国档案安全体系建设工作会议上“必须始终坚持把档案信息安全与档案实体安全放在同等重要位置,通过各种有效措施保证档案信息安全,确保数字档案和电子文件内容真实、长久可读和有效利用”的要求,通过提高认识强化管理,依靠先进技术保障信息安全。全市各级档案部门在加强档案信息化建设的同时,应把档案信息安全放在突出位置,确保管理系统和数据的安全、可靠,防止档案信息失密、泄密和丢失。
必须加强数据库管理,采取脱机备份等有效措施,确保档案数据安全。建立健全信息网络安全机制,加强信息网络安全预警和保障能力。研究和制定市档案信息网络安全总体规划,建立信息网络安全监控、信息网络安全管理和应急响应体系。加强档案网上利用的身份认证和密钥管理,确保档案信息网络传输和利用的安全。所有上网信息的都必须按规定程序和要求进行审查。建设信息网络安全预警系统,使档案信息网络具备主动实时发现的多维协同防护机制和能力。大力推广以数字认证为核心的网络信任体系在电子政务、数字档案等档案信息化中的应用,推进数据异地备份和灾难恢复中心建设,切实抓好电子政务网、档案信息网、内部局域网的安全运行和安全管理工作,确保全市档案信息网络的安全、稳定、高效运行。
(四)加快档案信息化长效机制建设
一是建立档案信息化协同推进工作机制。进一步建立和完善档案信息化工作领导小组的工作机制,增强对全市档案信息化工作的领导,加强市、县(区)两级档案信息化工作的协调和联系,理顺与市信息化管理部门的职能,提高统筹协调和规范管理能力。加强对档案信息化工作的调研和检查指导,推动全市档案信息化平衡发展,形成市县(区)协同发展新局面。
二是建立档案信息化项目建设管理机制。进一步创新我市档案信息化项目建设管理体制和机制,采取集约化的统一建设和管理的模式,建立一套基于科学化、标准化、规范化的项目建设监管体系,规范全市档案信息化项目建设各环节的管理,保证信息化项目建设的质量和投资效益,促进档案信息化项目建设的科学性、规范性,确保全市档案信息化建设按统一规划的要求进行,实现资源整合。
三是建立档案信息化绩效考核评估机制。加快制定完善县区、部门年度档案信息化考核目标体系,加大档案信息化绩效考核力度,将档案信息化建设列入全市各档案馆(室)的年度工作考核内容,进一步规范档案信息化绩效考核评估机制,确保全市档案信息化建设取得成效。
四是建立档案信息化经费保障机制。全市各级档案部门要围绕“三网一库”建设,争取将档案信息化纳入本地区、本部门、本单位信息化建设总体格局。积极争取财政部门的支持,将档案信息化建设所需经费纳入本级财政经费预算并保持适当增长比例,以缓解档案信息化建设资金不足、供需矛盾突出的问题。
1.1对象
贵阳市各级医疗卫生机构,50家,其中医疗机构26家(三级9家,二级10家,一级7家),公共卫生机构8家(省级1家,市级1家,区县级6家);卫生管理机构6家(省级1家,市级1家,区县级4家),社区卫生服务机构10家。
1.2调查方法
采用由“中心城市向周边地区网络辐射式”的研究方法。以贵阳全市为中心,按网络辐射式(东、南、西、北)的研究方法随机抽取样本地区,再从样本地区中随机抽取不同的调查机构进行调查。采用自编问卷调查的方式进行,正式调查前认真进行预调查,并咨询相关部门领导及有关专家后对问卷进行修改完善。主要内容包括:信息机构基本情况(机构级别、信息部门设置),信息网络人员基本情况(人员比例、学历层次、编制情况、专业分布、职能分工、岗位性质、年龄分布),信息网络基础建设(设备、资金、安全措施,规章制度)及应用情况等。
1.3统计分析
数据采用SPSS190统计软件包进行数据录入和统计分析,录入结果经一致性检验和逻辑性核查,对有疑问的数据提取原问卷进行核实。采用相对数(构成比)对定性资料进行统计描述。
2结果
2.1医疗卫生机构信息网络建设基本情况
50家医疗卫生机构中,7200%的机构设置了专业的信息网络部门,5400%信息网络部门由专职领导分管;2800%机构未设置信息网络部门,主要原因是人员不足,占5714%,其次是资金不足和领导不重视等问题,各占2143%。未设置信息网络部门的机构中4286%的机构不打算组建信息部门。
2.2医疗卫生机构信息网络人员基本情况
本次调查的机构中从事信息网络工作人员207人,20~35岁年轻人占6522%,本科毕业占6377%,专业为计算机、信息类占5169%,以有编制人员为主,占4541%,主要从事日常基本维护工作(占5314%),见表2。5500%的机构人员不能满足现在工作的需要,3500%的机构人员基本满足现在工作需要,1000%的医疗机构人员完全满足现在工作需要。
2.3医疗卫生机构信息网络基础设施建设及应用情况
调查的机构中有6600%机构信息化建设水平不高,卫生信息化建设所涵盖业务窄,系统不统一、集成度低、共享性差;所有机构均有信息网络硬件设备,6600%的设备在全单位正常运行使用,600%的设备在全单位试运行,2800%的设备仅有部分功能得到利用或在部分科室使用;信息化建设的资金来源5000%以自筹为主,政府投入占2800%,自筹加政府投入占2200%。大部分机构较重视信息网络安全问题,8600%的机构有数据安全及备份措施,6200%的机构设置了相应的规章制度来维护数据信息安全;有局域网建设的单位以三级医院为代表的医疗机构为主,建设较好。
3讨论
本次调查表明,贵阳市大部分医疗卫生机构的信息化建设水平参差不齐,整体水平不高。医疗机构建设相对较好,处于医疗卫生信息化建设第一阶段(医院管理信息化阶段)向第二阶段(临床管理信息化阶段)的过渡;公共卫生机构、卫生管理机构和社区卫生服务机构建设发展相对缓慢,与国内其它研究报道类似[1]。其主要问题有以下几个方面。
人才问题。卫生信息化人才应具有医学专业知识、信息科学基础知识、计算机专业知识、现代管理学理论知识以及现代化信息技术研究应用的知识和技能,而目前我国高等教育尚不能系统、规模地培养上述复合型人才。国内有研究报道,我国医学信息相关专业的主干课程不集中、与需求仍存在差距[3]。贵阳市医疗卫生信息化从业人员以年轻的拥有本科学历的计算机类相关专业人员为主,但5500%的机构仍反映现有人员不能满足日益增长的医疗卫生信息化发展需要,其原因可能是,医疗卫生机构的信息化发展已进入新的阶段,而现有人员中大部分专业人员仅能从事日常基本维护工作;非专业的从业人员所占比例又相对较高,在工作中难以处理专业性问题;因此,对同时具有医学、信息学、管理学等学科的复合型人才需求量较大,尤其是卫生信息管理类人才紧缺。
资金不足、领导重视不够、管理缺陷等问题。卫生部提出,各单位应按总收入的1%~3%的比例投入到信息化建设[4]。以医院为代表的机构信息化建设情况相对较好,而以社区卫生服务机构为代表的基层机构建设水平相对较差。医疗机构信息化发展速度较快、需求量大,需要大量的资金投入,而资金的安排取决于医院本身,所以以三级医院自筹为主的医疗机构建设相对较好。政府资金投入支持的重心是公共卫生机构、卫生管理机构、社区卫生服务中心3类机构,但是此3类机构信息化建设发展却较差,部分机构无专业管理部门和领导,且不打算组建信息网络部门,可能与资金投入不连续、配套设施不完善、从业人员待遇过低、人才引进跟不上等因素有关。也可能与机构领导缺乏长远规划,并且对信息化建设的深远意义认识不深,缺乏大局观念等因素有关。
信息安全及资源共享问题。大部分机构都比较重视信息安全建设,可能与信息安全技术发展相对比较成熟,从业人员信息网络安全意识较强有关。但系统不统一、集成度低、共享性较差;有局域网建设的机构以医疗机构为主,建设较好的大型三级医疗机构目前仍在使用之前自行购买或开发的系统,各机构间系统不兼容、信息无法共享。公共卫生信息系统与医疗机构信息系统间也存在不能互联互通和信息共享不足等问题。
校园网安全保障黑客攻击防火墙VLAN设置随着因特网的日益普及,普通中小学建设自己的校园网已成为大势所趋。应发展需要,我校建设了自己的校园网。可学校没有专业网络安全保障团队,如何保证校园网的安全已成为校园网建设与使用中的难题。在建网之初,我接过了规划与维护校园网的重任,通过着自己不断地学习、探索与实践,使学校网络运行保持安全稳定。现将探索与实践的收获总结出来与各位同仁探讨,以求抛砖引玉。
一、校园网安全面临的威胁
校园网建成后,特别是接入因特网后,面临多方面的威胁,概括起来主要有:网络设备的威胁、人为的无意失误、恶意攻击的威胁和软件漏洞的威胁。
具体威胁有:网络中的路由器、防火墙等设备本身是否预留后门或安装窃听装置,其是否可靠对网络的威胁;地震、雷击等自然灾难对网络设备的威胁;操作员安全配置不当造成的安全漏洞;操作员安全意识不强,不慎重地选择用户口令,或将自己的账号随意告诉他人或与他人共享等都会对网络安全带来威胁;恶意攻击是计算机网络所面临的最大威胁;网络自身在操作系统、数据库以及通信协议等方面存在着安全漏洞和隐蔽信道等不安全因素;网络软件也不可能百分之百的无缺陷和无漏洞。而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客侵入网络内部的事件,大部分就是安全措施不完善招致的苦果。
二、校园网安全策略探索与实践
要保证校园网安全,首先应确定网络安全保护工作的目标和对象,即校园网安全策略。网络安全应包括:设备安全、用户安全、数据安全和软件系统安全。即保证网络设备运行可靠,在发生自然灾难或遭到硬摧毁时仍能不间断运行,具有容灾抗毁和备份恢复能力;保证接入网络的用户是可信的,用户接入网络应严格受控,上网必须登记并许可,防止恶意用户对网络系统的攻击破坏;保证在网络上传输、处理、存储的数据是可信的,防止搭线窃听、非授权访问或恶意篡改;保证软件系统安全可信,没有预留后门或逻辑炸弹。
校园安全是校园网安全的前提与保障。确保校园安全,就要先做好校园防盗、防雷和用电安全。重要网络设备还要安装不间断电源和稳压设备,做到不间断稳定运行。校园网接入因特网后,黑客泛滥问题是校园网安全面临的最大难题。为了消除隐患,保证校园网的安全,我主要进行了以下探索与实践:
1.严格规范的接入管理
保证校园网安全首先要保证接入网络的用户是可信的,这包括校园网内部用户和访问校园网的用户。校园网内部用户接入网络应严格受控,上网必须登记并许可,防止恶意用户对网络系统的攻击破坏;对从因特网访问校园网的用户,要验证用户的身份和权限、防止用户越权操作,以保证网络资源不被非法使用和访问,防止恶意用户对网络系统进行攻击破坏。在实践中,我们执行入网登记制度,给每台入网计算机分配固定IP地址,并在路由器上做好IP地址与MAC地址绑定,然后再配合账号认证对接入用户进行实名登记,确保每个入网用户都是可信的。
2.部署防火墙和上网行为管理路由器
首先在校园网最前端部署防火墙,用来在校园内网和公网的通信通道上建立一个访问控制点,限制和控制校园网和外网之间的相互访问。其次在办公区、教学区和生活区的网络连接处各部署上网行为管理路由器来认证接入用户和控制访问权限,确保访问安全通畅。
3.设置VLAN划分IP子网
除了防止外来黑客攻击之外,校园网内部的访问控制也极为重要,特别是办公区、教学区和生活区网络间的访问控制。设置VLAN划分IP子网是解决内部安全问题的一个有效方法。
IP子网一般基于VLAN划分,即一个VLAN分配一个IP子网。我将整个校园网划分成教学、生活和办公三个子网,即三个VLAN。从网络角度看各个子网内部可以实现无控制的资源共享,子网间通信必须通过第三IP包的源地址和目的地址及端口号、协议等决定转发或丢弃该包,从而达到控制子网间访问的目的。
4.确保计算机系统安全
入网的每台计算机都要安装杀毒软件,做好病毒防治工作。该项工作首先由入网用户选择安装高安全性能的杀毒软件,如360杀毒、金山毒霸等,并对该软件进行及时地升级与更新,使用最新的病毒库定期对系统进行扫描,以防范和在第一时间内消灭病毒。其次要安装漏洞修复软件,定期扫描系统,及时封堵操作系统和应用软件的安全漏洞。我校现主要通过单机病毒防治与漏洞修复来保证各计算机系统安全,有条件时将会考虑使用网络版软件统一管理,对整个网络安全进行全面防御。
5.做好服务器安全管理
校园网中的各类服务器是学校资源中心,必须保证其安全稳定可靠。我在学校的各类服务器上安装了服务器安全狗,定期进行服务器体检、漏洞修复、账号优化、目录权限优化、系统服务优化、注册表优化和垃圾清理等操作,随时进行最全面、最便捷的服务器系统优化。服务器安全狗还可以进行文件目录守护、账号保护和远程桌面保护,有效防止黑客提权和登录服务器远程桌面。
学校网站是学校在因特网上的名片,为保证网站内容安全可靠,我在网站服务器上安装了网站安全狗,它可以对网站进行全方位一体化防护,查杀网页木马、网页挂马、网页黑链与畸形文件,保护网站免受注入、网马、危险组件、恶意程序执行等一系列攻击侵害。
三、结束语
随着信息社会的迅速发展,网络和信息的安全问题将越来越受到人们的重视。各类中小学应增强安全意识,多花点精力和资金投入到校园网的安全建设中,防止黑客进出我们的校园网。我们相信,通过各种政策法规和防范策略的制定与实施,因特网定将健康发展和不断完善,必将给中小学的校园网建设和运行带来安全的曙光。
参考文献:
1
总则
1.1
目的
为提高XXXXXX处理突发信息网络事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发公共事件的危害,保护公众利益
,特制定本预案。
1.2
适用范围
本预案适用于XXXXXX发生和可能发生的网络与信息安全突发事件。
1.3
工作原则
(
1)预防为主。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,采取多种措施,共同构筑网络与信息安全保障体系。
(
2)快速反应。在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。
(
3)以人为本。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
(
4)分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
1.4
编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》及《XXXXXX突发公共事件总体应急预案》及XXXXXX相关管理规定等,制定《XXXXXX突发信息网络事故应急预案》(以下简称预案)。
2
组织机构及职责
2.1
组织机构
成立XXXXXX突发信息网络事故应急领导小组(以下简称“信息网络事故应急领导小组”)。
组
长:XXXXXX
副组长:XXXXXX
成
员:XXXXXX
2.2
信息网络事故应急领导小组职责
(
1)负责编制、修订所辖范围内突发信息网络事件应急预案。
(
2)通过本系统局域网络中心及国内外安全网络信息组织交流等手段获取安全预警信息,周期性或即时性地向局域网和用户网络管理部门;对异常流量来源进行监控,并妥善处理各种异常情况。
(
3)及时组织专业技术人员对所辖范围内突发信息网络事件进行应急处置;负责调查和处置突发信息网络事件,
及时上报并按照相关规定作好善后工作。
(
4)负责组建信息网络安全应急救援队伍并组织培训和演练。
3
预警及预警机制
突发信息网络事件安全预防措施包括分析安全风险,准备应急处置措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。
3.1
突发信息网络事故分类
关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;电脑病毒等恶意代码危害;人为的恶意攻击等。
3.2
应急准备
XXXXXX信息中心和各单位信息系统管理员明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。
3.3
具体措施
(
1)建立安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。
(
2)实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
(
3)重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎;加强对局域网内所有用户和信息系统管理员的安全技术培训。
(
4)安装反入侵检测系统,监
测恶意攻击、病毒等非法侵入技术的发展,控制有害信息经过网
络的传播,建立网关控制、内容过滤等控制手段。
4
有关应急预案
4.1
机房漏水应急预案
(
1)发生机房漏水时,第一目击者应立即通知经济信息中心,并及时报告信息网络事件应急领导小组。
(
2)若空调系统出现渗漏水,经济信息中心负责人应立即安排停用故障空调,清除机房积水,并及时联系设备供应方处理,同时启动备用空调,必要情况下可临时用电扇对服务器进行降温。
(
3)若为墙体或窗户渗漏水,经济信息中心负责人应立即采取有效措施确保机房安全,同时安排通知办公室
,及时清除积水,维修墙体或窗户,消除
渗漏水隐患。
4.2
设备发生被盗或人为损害事件应急预案
(
1)发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告信息网络事件应急领导小组,同时保护好现场。
(
2)信息网络事件应急领导小组接报后,通知安保科、经济信息中心及公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。
(
3)事发单位和当事人应当积极配合公安部门进行调查,
并将有关情况向信息网络事件应急领导小组汇报。
(
4)信息网络事件应急领导小组安排经济信息中心、事发单位及时恢复网络正常运行,并对事件进行调查。经济信息中心和事发单位应在调查结束后一日内书面报告信息网络事件应急领导小组。事
态或后果严重的,应向XXXXX应急指挥领导小组办公室报告。必要时,XXXX应急指挥领导小组及时上报XXXXXX应急指挥部办公室和相关业务部门。
4.3
机房长时间停电应急预案
(
1)接到长时间停电通知后,
信息网络事件
应急领导小组应及时通过办公系统
、电话等相关信息,部署应对具体措施,要求用户在停电前
停止业务、保存数据。
(
2)停电时间
过长的,
信息网络事件
应急领导小组应
报告XXXXXX应急指挥领导小组办公室,及时通知办公室,启动备用电源,保证经济信息中心正常运转。
如有必要,XXXXXX应急指挥领导小组及时上报nnnnnn应急指挥部办公室和相关业务部门。
4.4
通信网络故障应急预案
(
1)发生通信线路中断、路由故
障、流量异常、域名系统故障后,操作员应及时通知本单位信息系统管理员,经初步判断后及时上报信息网络事件应急领导小组和经济信息中心。
(
2)
经济信息中心接报告后,应及
时查清通信网络故障位置,隔离故障区域,并将事态及时报告信息网络事件应急领导小组,
通知相关通信网络运营商查清原因;同时及时
组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。
(
3)
事态或后果严重的,
信息网络事件应急领导小组应
及时报告XXXXXX应急指挥领导小组。必要时,及时上报XXXXXX应急指挥部办公室和相关业务部门。
(
4)应急处置结束后,经济信息中心和事发单位应将故障分析报告,在调查结束后一日内书面报告信息网络事件应急领导小组。
4.5
不良信息和网络病毒事件应急预案
(
1)发现不良信息或网络病毒时,
信息系统管理员
应立即断开网线,终止不良信息或网络病毒传播,并报告信息网络事件应急领导小组和经济信息中心。
(
2)经济信息中心应根据信息网络事件应急领导小组指令,采取隔离网络等措施,及时杀毒或清除不良信息,并
追查不良信息来源。
(
3)
事态或后果严重的,信息网络事件应急领导小组应及时报告XXXXXX应急指挥领导小组。如有必要,及时上报nnnnnn应急指挥部办公室和相关业务部门。
(
4)处置结束后
,
经济信息中心和事发单位应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告
信息网络事件应急领导小组。
4.6
服务器软件系统故障应急预案
(
1)发生服务器软件系统故障后,经济信息中心负责人应立即组织启动备份服务器系统,由备份服务器接管业务应用,并及时报告信息网络事件应急领导小组;同时安排相关责任人将故障服务器脱离网络,保存系统状态不变,取出系统镜像备份磁盘,保持原始数据。
(
2)经济信息中心应根据信息网络事件应急领导小组指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商和上级单位,请求技术支援,作好技
术处理。
(
3)
事态或后果严重的,及时报告XXXXXX应急指挥领导小组。如有必要,及时上报nnnnnn应急指挥部办公室和相关业务部门。
(
4)处置结束后
,
经济信息中心应将事发经过、处置结果等在调查工作结束后一日内报告
信息网络事件应急领导小组。
4.7
黑客攻击事件应急预案
(
1)当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告信息网络事件应急领导小组。
(
2)接报告后,信息网络事件应急领导小组应立即指令经济信息中心核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道。
(
3)经济信息中心应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,应
上报XXXXXX应急指挥领导小组,并请求支援。必要时,及时上报nnnnnn应急指挥部办公室和相关业务部门。
(
4)处置结束后
,
经济信息中心应将事发经过、处置结果等在调查工作结束后一日内报告
信息网络事件应急领导小组。
4.8
核心设备硬件故障应急预案
(
1)
发生核心设备硬件故障
后,经济信息中心应及时报告信息网络事件应急领导小组,
并组织查找、确
定故障设备及故障原因,进行先期处置。
(
2)
若故障设备在短时间内无法修复,
经济信息中心应
启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(
3)
经济信息中心应在
故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(
4)事态或后果严重的,及时报告XXXXXX应急指挥领导小组。如有必要,及时上报nnnnnn应急指挥部办公室和相关业务部门。
4.9
业务数据损坏应急预案
(
1)
发生业务数据损坏
时,经济信息中心应及时报告信息
网络事件应急领导小组,检查、备份业务系统当前数据。
(
2)经济信息中心负责
调用备份服务器备份数据,若备份数据损坏,则调用磁带机中历史备份数据,若磁带机数据仍不可用,则调用异地备份数据。
(
3)
业务数据损坏事件超过
2小时后,
经济信息中心应及时报告
信息网络事件应急领导小组,及时通知业务部门以手工方式开展业务。
(
4)经济信息中心应
待业务数据系统恢复后,检查历史数据和当前数据的差别,由相关系统业务员补录数据;重新备份数据,并写出故障分析报告,在调查工作结束后一日内报告信息网络事件应急领导小组。
4.10
雷击事故应急预案
(
1)
遇雷暴天气或接上级部门雷暴气象预警,经济信息中心应及时报告信息网络事件应急领导小组,经请示同意后关闭所有服务器,切断电源,暂停内部计算机网络工作,并及时通知市局
(公司)
机关、各直属单位关闭一切网络设备及计算机等,并切断电源。
(
2)
雷暴天气结束后,经济信息中心报经信息网络事件应急领导小组同意,及时开通服务器,恢复内部计算机网络工作,并通知市局
(公司)
机关、各指数单位及时恢复设备正常工作,对设备和数据进行检查。出现故障的,事发单位应将故障情况及时报告经济信息中心。
(
3)
因雷击造成损失的,经济信息中心应会同相关部门进行核实、报损,并在调查工作结束后一日内书面报告信息网络事件应急领导小组。必要时,报告XXXXXX应急指挥领导小组。
5
应急处置
发生信息网络突发事件后,相关人员应在
5分钟内向信息网络事件应急领
导小组报告,
信息网络事件应急领导小组组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
发生重大事故(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,并立即向XXXXXX应急指挥领导小组报告。
如有必要,及时上报nnnnnn应急指挥部办公室和相关业务部门。
6
善后处置
应急处置工作结束后,信息网络事件应急领导小组组织有关人员和技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
7
应急保障
7.1
通信保障
经济信息中心负责收集、建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息。信息网络事件应急领导小组应在重要部位醒目位置公布报警电话,信息网络事件应急领导小组全体人员保证全天
24小时通讯畅通。
7.2
装备保障
经济信息中心负责建立并保持电力、空调、机房等网络安全运行基本
环境,预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。
7.3
数据保障
重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。
7.4
队伍保障
建立符合要求的网络与信息安全保障技术支持力量,对网络接入单位的网络与信息安全保障工作人员提供技术支持和培训服务。
8
监督管理
8.1
宣传、教育和培训
将突发信息网络事件的应急管理、工作流程等列为培训内容,增强应急处置能力。加强对突发信息网络事件的技术准备培训,提高技术人员的防范意识及技能。信息网络事件应急领导小组每年至少开展一次全市系统范围内的信息网络安全教育,提高信息安全防范意识和能力。
8.2
预案演练
信息网络事件应急领导小组每年不定期安排演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
8.3
责任与奖惩
信息网络事件应急领导小组不定
期组织对各
项制度、计划、方案、人员及物资等进行检查,对在突发信息网络事件应急处置中做出突出贡献的集体和个人,提出表彰奖励建议;对玩忽职守,造成不良影响或严重后果的,依法依规提出处理意见,追究其责任。
9
附则
9.1
预案更新
结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。
9.2
制定与解释部门
本预案由XXXXXX制定并负责解释。
9.3
关键词:气象信息;防火墙技术;安全互通
中图分类号:TP311.52
随着计算机网络技术和应用的迅猛发展,湖北省地市级气象网络系统呈现出多样性、复杂性、开放性、分散性等特点,使气象信息网络存在很多安全隐患。为了保证气象信息传输和处理的高可靠性和高安全性,应用重要的网络安全设备(防火墙设备)来加强气象信息网络安全是一个行之有效方案。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
1 防火墙的功能与应用架构
防火墙是设置在不同网络(如Internet和内部网)之间的部件,是不同网络之间信息的安全出入口,用户可以根据安全需要设定安全规则,并通过防火墙来实现安全规划以控制出入网络的信息流。它是提供信息安全服务,实现网络和信息安全的基础设施。
以湖北省地市气象信息网络系统中应用的北京天融信公司的网络卫士防火墙为实例,介绍防火墙的基本配置,该产品采用了目前流行的多种网络安全机制,如多端口结构、NAT、端口和地址映射、用户认证、过滤策略、应用程序识别、入侵防御、VPN接入等等。本实际案例仅介绍多端口结构、NAT、端口和地址映射等应用。
防火墙将业务网络划分为局域网、DMZ区、电子政务外网三个分区,三个分区之间需实施严格的访问控制,同时为满足系统通信需要,需开通相关访问权限。
2 防火墙的应用配置
该防火墙的基本配置有两种方式,即串口管理和Web管理;串口管理可完成最基本的接口、路由等配置任务;Web管理是利用防火墙提供的WEB服务方式来配置访问规则、安全政策等,天融信防火墙的默认管理地址为https://192.168.1.254。
2.1 业务应用策略要求
应用策略要求描述如下:
防火墙共使用三个接口分别连接局域网(内网口)、电子政务外网(外网口)、DMZ区,其中防火墙内网口、DMZ区默认安全策略必须配置为禁止;服务器A01(局域网)要求能够主动访问服务器B01(DMZ区)进行通信;预警用户A02(局域网)要求能够对服务器B01(DMZ区)进行系统登录。市政务用户A03(局域网内)要求能够对市政务服务器C01(电子政务外网)进行系统登录;服务器B01(DMZ区)要求能与NTP服务器D01进行NTP校时服务;市预警用户C02(市级电子政务外网)要求能访问服务器B01(DMZ区);VPN用户E01(基于INTERNET)要求能访问服务器B01(DMZ区))。
总的业务应用策略整理如表1实例应用策略要求表
表1
2.2 防火墙资源管理
在网络卫士防火墙中,用户可定义的资源的类型包括:地址资源、属性资源、区域资源、时间资源、服务资源等。地址资源:包括主机资源、地址范围资源、子网资源和地址组。根据业务实际的逻辑要求,对防火墙资源进行初始化设置。
其中地址管理中的主机资源主要定义了服务器A01、服务器B01、Dnat_Map、NTP服务器D01、市政务服务器C01等等,具体设置为:1)主机资源设置:服务器A01(172.20.X..X);服务器B01(192.168.2.X);Dnat_Map(A1.B1.C1.62);NTP服务器D01(10.104.2.X);市政务服务器C01(A1.B1.C1.195)。(为了安全,IP地址作了相关处理)2)地址管理中的地址范围资源主要定义了市政务用户A03群和Any用户群,具体设置:Any(起始地址:0.0.0.0;终止地址:255.255.255.255);市政务用户A03(起始地址:172.20.26.X;终止地址:172.20.26.Y)。3)地址管理中的子网资源设置主要定义了局域网(设置值为:IP地址:172.20.X.0)和VPN客户(设置值为:IP地址:172.20.Y.0)等网段。
在服务管理的自定义服务中将端口Port01-04组中的所有业务需要端口进行了定义,再通过服务管理的服务组管理功能将定义的各端口划分Ca服务、应用服务、业务服务三个端口组,便于在策略应用中引用。
另外还在区域定义中,定义了area_eth0、area_政务外网、area_ DMZ、area_局域网四个区域,并绑定防火墙对应的eth端口(每个eth端口对应不同的子网地址),且权限为允许,便于在策略应用和地址转换中引用。
2.3 防火墙配置安全策略
在各类资源定义完毕后,根据应用策略要求(如2.1业务应用策略要求),通过防火墙的访问控制功能对应用策略进行了设置。其中策略ID(8097)完成策略号为6的策略,策略ID(8102)完成策略号为4的策略,策略ID(8103)完成策略号为1的策略,策略ID(8104)完成策略号为2的策略,策略ID(8108)为默认的安全禁止策略;策略ID(8107)完成策略号为3的策略等等,其它不一一阐述了。
2.4 防火墙地址转换配置
为了实现市政务用户A03(局域网内)对市政务服务器C01(电子政务外网)的访问和市预警用户C02(市级电子政务外网)对服务器B01(DMZ区)的访问。在资源定义的基础上,通过地址转换的目的转换完成市预警用户C02对服务器B01的访问(“类型”为目的转换;“源”为区域:area_政务外网,“目的”为地址:dnat_map,“服务”为业务服务,“转换”为目的:服务器B01),通过地址转换的源转换实现市政务用户A03对市政务服务器C01的访问(“类型”为源转换;“源”为区域:area_局域网,“目的”为区域:area_政务外网,转换”为源:dnat_map)。
2.5 路由设置
为了保证该应用实例网络的互连互通,还需参照防火墙在市气象信息网络中的结构图中所示的路由表,分别在防火墙和核心交换机设备上设置相关的互连路由。
3 防火墙的实际应用效果
通过设置和检测,只有应用策略定义的服务访问才可通过防火墙,达到了应用策略安全要求,并有效地防御的网络攻击,确保了整个网络业务系统正常运行,大大提高了网络的安全性。
参考文献:
[1]柏枫.网络防火墙在气象信息网络系统中的应用[J].气象与减灾,2011.
[2]郭晓佳.NetEye FW4016防火墙在气象网络安全上的应用[J].网络安全技术与应用,2009(10).
关键词:电力企业;信息网络技术;虚拟网络技术;应用实践
0前言
随着互联网信息技术的不断发展,使得原本分散、孤立的电力行业开始逐渐朝着集约化、智能化、统一化的发现发展,大大的提高了电力企业的工作效率。各级省市地级县的电力企业开始先后在企业内部建立起了现代化的信息网络[1]。但是信息化网络的发展却远远不如预期,存在众多的问题。而虚拟网络技术的出现则为解决电力企业中的信息化网络建设问题带来了新的机遇和可能,成为了电力企业信息网络建设中新的趋势。
1电力企业信息网络建设发展现状
就目前我国的电力企业信息网络技术的建设发展现状来看,还存在着一些不足,信息网络建设技术落后是主要问题。这一问题的根源是电力企业的建设重点放在实体电网建设,这就直接导致了电力企业没有对信息网络建设投入足够的人力、物力、财力资源,建设资源不充足是导致信息网络建设跟不上现代化建设步伐的主要原因[2]。此外,由于电力行业自身的特殊性,为了更好的满足人们对电力资源的需求,就不得不在一些偏远山区等地进行电网建设工作,这些地区受到自身经济条件以及技术条件等限制,信息网络建设工作也就迟迟得不到较大的推进。且信息网络的建设需要专业化的技术人员耗费较长的时间周期去进行,没有专业化的信息网络建设技术人员,缺乏足够的资金支持,这些都是导致电力企业无法迅速建立起完善的网络信息技术的主要原因,电力企业信息网络技术建设工作任重而道远。
2虚拟网络技术
2.1基本含义
电力企业中的虚拟网络是指在整个企业中的公共网络平台上搭建属于各部门、各单位的专属网络。虚拟网络技术(VirtualPrivateNetwork)是指在公共网络平台上,利用相关的技术手段,在这个公共平台上建立属于自己的专用网络的一种技术[3]。
2.2工作原理
虚拟网络技术在信息网络平台中的基本工作原理为,企业借助相关的隧道等技术,以公共网络这一平台为基础,而不再需要企业自身去搭建其他的建设平台,就可以从中搭建出电力企业自身的专属平台。这样,不仅为企业节省了信息平台建设的成本,而且还大大提高了网络管理的便捷性,此外借助公共网络安全性能高的优势还能够极大的提高企业虚拟网络的安全性。正是由于虚拟网络技术的这些优势,因此被越来越多的电力企业所青睐,而将其运用到自身的信息网络建设工作中去。
2.3相关技术
(1)身份认证和安保技术
一般的公共网络平台为了满足公众的使用需求,因此都缺乏对使用人员身份认证的安保技术,这一技术漏洞容易让一些不法分子乘虚而入,用不正当的方式和手段来获取电力企业中的重要信息资源,使得电力企业中存在信息泄露的风险和漏洞。而虚拟网络技术是公网中的私网,它为了提升自身的安全性能,加大对内部信息的保护力度,而在系统内设置了身份认证等相关安保技术。用户在访问电力企业的网络时必须要进行相关的身份认证,只有具备访问权限的工作人员才能够通过认证,进入到虚拟网络中,获取到相关的信息。而不具备访问权限的外部人员则就无法进入到其中去,大大提高了数据的安全性。如拨号连接、IP分配等都是常见的用户身份认证方式[4]。
(2)加密解密技术
加密解密技术是提高虚拟网络安全性的一个重要技术手段,可以使用隧道技术,在两个设备之间搭建一个专属的信息通道,两个信息端口也可以依据实际需求在自身的设备上添加加密解密选项,只有知道使用密码的相关工作人员才能够进入到信息网络中去,而将一些不法分子隔绝之外。如IPSec等就是常见的加密解密技术。
(3)隧道技术
虚拟网络技术中的关键核心技术是隧道技术,它既可以帮助两个端口之间建立起专属的信息数据通道,同时还能够对建立好的通道进行拆除,所以在虚拟网络技术中发挥着重要的作用。隧道及时可以根据使用用途的不同而分为端口到端口和点到点这两种,端口到端口主要是对已有的两个局域网进行连接,实现两个局域网之间的信息沟通;而点到点主要是用于两个电脑主机之间,在两个设备之间搭建安全通道。
3电力企业信息网络中虚拟网技术的应用
3.1虚拟网络技术的应用需要以电力企业控制软件为基础
虚拟网络技术在电力企业信息网络中的应用需要以企业原有的控制软件为基础,因此各电力企业在引进相关的虚拟网络技术的时候,应该要充分的从自身的信息网络建设实际出发,然后再结合虚拟网络的相关特性,引入合适的虚拟网络技术。如果不能够依照电力企业原有的控制软件基础,那么就很有可能会导致引入的虚拟网络不能够很好的实现与原有网络的相互融合,导致其不能够很好的发挥出自身的作用,同时还给企业增加了不必要的经济负担,造成电力企业成本的增加。
3.2虚拟网络技术的应用需要以电力企业当前的信息网络建设现状为依据
不同电力企业的信息网络建设和发展进程是大不相同的,大中型的电力企业由于其自身的资金等各方面的势力较强大,因此其信息网络建设就优于许多中小型的电力企业。所以各个电力企业在进行虚拟网络技术在信息网络中的建设工作时必须要从自身的发展建设实际出发,尽可能选择适合自身发展的虚拟网络技术,而不能够为了图先进而引入不适合自身发展的技术。此外,由于电力企业中部门较繁杂,有许多的分支机构,各部门、单位、机构的工作内容也各不相同,因此对信息的需求也就有所差异。鉴于此,在进行虚拟技术网络平台建设的时候,可以根据不同部门、机构和单位的工作特点,设置相互独立的信息虚拟网络平台,这样就可以极大的提高信息提供的针对性,为信息获取人员大大的节省了时间成本,同时还有效的提高了工作效率。
3.3虚拟网络技术的应用需要得到相关部门的认证
为了进一步提升电力企业的安全性和虚拟网络技术使用的规范性,有必要在电力企业内部设置规范的安全认证策略,将虚拟网络技术的使用步骤以条款的形式确认下来,以提高工作人员使用时的规范性,同时在设置加密和秘钥功能时也要符合企业实际,不能太过简单或复杂而影响到电力企业的工作效率[5]。此外,各部门、机构应该加强对虚拟网络技术使用的监督,一旦发现违规使用虚拟技术的现象必须要严加惩治,以提高工作人员的使用规范性。
3.4其他注意事项
由于不同的虚拟技术生产的虚拟网络技术性能各不相同,因此电力企业在使用的过程中会出现虚拟技术与企业的原有设备之前接触不良的问题出现,这就需要企业在购买的过程中提前对虚拟网络技术的特性进行了解,之后购买合适的产品,以提高产品的适用性。
4结语
虚拟网络技术因其便捷性等优势而被广泛的应用于各行各业中,而其在电力企业信息网络中的应用,为各实体电力企业之间相互联系提供了重要的连接纽带,推动了各电力企业之间的信息共享和流通。一方面,可以帮助电力企业更好的调配内部的资源,实现资源的合理优化配置,从而大大节省了企业成本;另一方面,虚拟网络技术有为电力企业规范化、集约化管理提供了技术支持,可以加快推动企业朝着现代化的发现发展。
参考文献:
[1]刘晓翠,王晨臣,闫娟,张晓宇.安全隔离技术在电力信息网络安全防护中的应用[J].通讯世界,2016.
[2]关兆雄,刘胜强,庞维欣.虚拟化技术在电力企业的移动生产应用研究[J].自动化与仪器仪表,2016.
[3]明星.电力信息通信中网络技术的应用剖析[J].科技经济市场,2015.
[4]李海锋.基于EPON的虚拟局域网技术在电力信息网络中的应用[J].通信电源技术,2015.