时间:2023-09-14 17:44:42
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全及等级保护,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络;安全等级保护;实施策略
1.1安全计算环境的建构
其中安全计算环境能够实现相关等级系统的有效管理,在信息存储以及处理,安全策略实施过程中,能够对信息系统的重要情况全面掌控。安全计算环境在其有效区域边界安全防护中,实现对外界网络的各种攻击行为有效防护,并能够避免出现非授权访问。针对这一问题,安全计算机环境整体安全防范,也就是针对网络实施有计划有标准的安全性改造,以能够显著提升系统整体性,以免系统本身出现安全漏洞及缺陷等,出现安全风险或者受到攻击问题。另外,安全计算环境安全防护工作主要也就是有效防范和控制系统内部的攻击和非授权访问问题,以免内部人员因为自身操作方式问题出现破坏行为。
1.2安全网络环境的建构
在信息系统中,通过网络能够有效实现不同计算机和计算域,用户和用户域的有效衔接,在不同系统间信息传输过程中网络具有通道作用。网络可以在系统内外应用,部分网络信息流在传输过程中,都会不同程度的经过不稳定网络环境。因此,在实际操作中,网络安全防护工作首先也就需要提高网络设备的整体安全性,针对网络中的各个设备制定定期维护方案,以免出现网络攻击问题,基于此显著提升网络中的信息流总体安全性,在以上基础上进一步提升通信架构的整体性、安全性以及保密性。在网络自身安全保密中,可以采用网络加密技术和本身结合方式,满足网络安全等级保护的不同要求。其中在网络安全域建设中,需要制定相应的网络结构安全范围,并实现网络不同访问操作的有效控制,在实际工作中也需要重视网络的安全审计工作,提高相应边界完整性,以免在网络运行中受到网络入侵和攻击,并可以有效防范出现恶性代码问题,能够对网络设备的安全防护及信息起到有效的保护作用。
1.3安全管理中心的建构
在信息系统中,安全管理中心是重要的安全管理系统,直接影响整个系统的安全管理有效性。安全管理中心作为管理平台,能够实现对系统中不同信息安全机制的整合性管理,对于系统中存在的分散安全机制,安全管理中心可以对其实施系统化管理,实现集中管理有助于显著提升安全防范效果。安全管理中心在应用中,可以系统性统筹管理系统的相关体系域的安全计算域、网络安全域以及安全用户域等,并对其实现统一调度和应用,可以实现对广大用户身份以及授权的管理,实现对用户操作和审计过程的管理,实现对用户访问和控制,也就可以实现系统的整体风险防范,全面掌握通信架构运行情况,显著提升网络安全防护系统的整体效果。
2网络安全等级保护的实施策略
一、学校网络与信息安全工作情况
本次检查内容主要包含网络与信息系统安全的管理机构、规章制度、设施设备、网站和信息运行情况、人技防护、队伍建设等5个方面,同时从物理安全差距、网络安全差距、主机安全差距、应用安全差距、数据安全及恢复差距等5个方面对主机房和14个信息系统、1个网站进行等级保护安全技术差距分析,通过差距分析,明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
从检查情况看,我校网络与信息安全总体运维情况良好,未出现任何一起重大网络安全与信息安全事件(事故)。近几年,学校领导重视学校网络信息安全工作,始终把网络信息安全作为信息化工作的重点内容;网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度较为完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统(网站)系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实;加强对学生网络宣传引导教育,日常重视微信、微博、QQ群的管理,提倡争当“绿色网民”;工作经费有一定保障,网络安全工作经费纳入年度预算,在最近一年学校信息化经费投入中,网络建设与设备购置费用约占56、5%,数字资源与平台开发费用约占40、6%,培训费用约占0、6%,运行与维护费用约占1、04%,研究及其他费用约占1、23%,总计投入占学校同期教育总经费支出的比例约1、57%,基本保证了校园网信息系统(网站)持续安全稳定运行。
1、网络信息安全组织管理
20xx年学校成立网络与信息安全工作领导小组,校主要领导担任组长,网络与信息安全工作办公室设在党委工作部,领导小组全面负责学校网络信息安全工作,教育技术与信息中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作,对全校网络信息安全工作进行安全管理和监督责任。各部门承担本单位信息系统和网站信息内容的直接安全责任。20xx年,由于人动,及时调整网络安全和信息安全领导小组成员名单,依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,明确各部门负责人为部门网站的具体负责人,建立学校网络信息员队伍,同时,还组建网络文明志愿者队伍,对网络出现的热点问题,及时跟踪、跟帖、汇报。
2、信息系统(含网站)日常安全管理
学校建有“校园网络系统安全管理(暂行)条例”、“学生上网管理办法“、“校园网络安全保密管理条例(试行)”、“校园网管理制度”、“网络与信息安全处理预案”、“网上信息监控制度”等系列规章制度。各系统(网站)使用单位基本能按要求,落实责任人,较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常监控对象包括主要网络设备、安全设备、应用服务器等,其中网络中的边界防火墙、网络核心交换机和路由器、学校站服务器均纳入重点监控。日常维护操作较规范,多数单位做到了杜绝弱口令并定期更改,严密防护个人电脑,定期备份数据,定期查看安全日志等,随时掌握系统(网站)状态,保证正常运行。
3、信息系统(网站)技术防护
学校网络信息安全前期的防控主要是基于山石防火墙、深信服防火墙及行为管理软件,20xx年为加强校园网络安全管理,购置了“网页防篡改、教师行为管理、负载均衡”等相关安全设备,20xx年二月中旬完成校园信息系统(含网站)等级保护的定级和备案,并上报xxx市网安支队。同时,按二级等保要求,约投资110万元,完成“网络入侵防御系统、网络安全审计系统、运维审计-堡垒机系统、服务及测评及机房改造(物理安全)”等网络安全设备的采购工作,目前,方案已经通过专家论证。
20xx年4月-6月及20xx年3月对网站系统进行安全测评,特别对系统层和应用层漏洞扫描,发现(教务管理系统、教学资源库)出现漏洞,及时整改,并将结果上报省教育厅、省网安大队、xxx市网安支队。同时,对各防火墙软件7个库进行升级,对服务器操作系统存在的漏洞及时补丁和修复,做好网站的备份工作等。
4、网络信息安全应急管理
20xx年学校制定了《xxx职业技术学校网络与信息安全处理预案》、《xxx职业技术学校网络安全和学生校内聚集事件应急处置预案》。教育技术与信息中心为应急技术支持单位,在重大节日及敏感时期,采用24小时值班制度,对网络安全问题即知即改,确保网络安全事件快速有效处置。
二、检查发现的主要问题
对照《通知》中的具体检查项目,我校在网络与信息安全技术和安全管理建设上还存在一定的问题:
1、由于学校信息化建设尚处于起步阶段,学院数据中心建设相对薄弱,未建成完善的数据中心共享体系,各应用系统的数据资源安全及灾备均由相关使用部门独自管理。同时,网络安全保障平台(校园网络安全及信息安全等级保护)尚在建设中。
2、部分系统(网站)日常管理维护不够规范,仍存在管理员弱口令、数据备份重视不够、信息保密意识较差等问题;学校子网页网管员为兼职,投入精力难以保证,而且未取得相应资格证书;由于经费问题,个别应用系统未能及时升级,容易发生安全事故。
3、目前尚未开展网络安全预案演练,还未真正组建一支校内外联合的网络安全专家队伍,未与社会企业签订应急支持协议和完成应急队伍建设规划。
三、整改措施
针对存在的问题,学校网络与信息安全工作领导小组专门进行了研究部署。
1、全面开展信息系统等级保护工作。按照相关《通知》要求,20xx年8月底全面完成网络安全保障平台建设,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方案,形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障信息系统整体的安全。
2、完善网络安全管理制度。根据等级保护要求,进行信息安全策略总纲设计、信息安全各项管理制度设计、信息安全技术规范设计等,保障信息系统整体安全。
随着媒体融合的发展,新媒体和传统媒体在经营渠道和内容管理方面已经进一步深入融合起来,在传播模式方面,向多终端、交互式的传播方式转变,在运营模式方面,跨媒体、跨区域、跨行业的合作运营成为趋势。如此多的融合发展导致了传统广电行业也面临了信息安全问题。因此,对我们来说,网络安全的研究和网络安全技术的应用,是必须加以重视和认真贯彻执行的。广电网络安全中最核心的莫过于安全播出。在有线电视网或者互联网中向观众播出内容健康、导向正确的节目,并且保证信号不中断,内容不被篡改,节目质量良好,保证所有的用户都能观看正常的电视节目,是安全播出的重要条件。由于广电的政治属性,所以广电的播出安全不仅是广电的问题,还涉及到社会公共安全问题。
2关于广播电视播控系统网络安全方面的法律法规和行业等保规范
广播电视播控系统是广播电视信息系统中最核心的部分,因为它承载了安全播出大部分的工作。根据《广播电视相关信息系统安全等级保护定级指南》中的要求,我台广播电视播控系统的安全保护等级是三级。在《广播电视相关信息系统安全等级保护基本要求》(简称《基本要求》)中,明确规定了安全保护等级三级的广电播控系统的网络安全工作要求。《基本要求》中指出,各播出单位要建立纵深防御体系,采取互补的防御措施,进行集中的安全管理。安全保护等级三级及以上的信息安全系统要求建立有统一的安全策略、统一的安全管理制度下的安全管理中心,它负责管理信息系统中的各个安全控制组件(即基本防护要求)的连接、交互、协调、协同工作,使之提高整体的网络安全防护水平。播控系统位于纵深防御体系的最内层,电视播控系统的网络安全建设文/马文丽本文通过对我台电视播控系统的网络安全现状的分析,结合广播电视信息安全等级保护工作的要求,提出使用入防火墙、入侵检测、审计服务器等技术措施,登录访问控制、数据安全管理等管理措施,更好的保证广播电视网络安全。摘要网络防御措施级别要求相对较高,安全管理中心应将与播控有联系的各个部门网络边界的安全策略,提升到播控系统的安全等级。以保证播控系统的网络安全。《基本要求》中提出了从物理上、技术上、管理上,三个方面出发采取由点到面的各种安全措施,其中包括结构安全、边界安全、终端系统安全、服务器端系统安全、应用安全、数据备份与恢复六个具体方面,保证信息系统的整体安全防护能力。
3技术措施
基于《基本要求》提出的具体安全防御措施,结合我台播控系统的网络现状,本文以山西卫视高清频道网络为例(网络拓扑图见图1),提出使用防火墙、入侵检测和审计服务器相结合的技术措施,能有效的防范来自于广电传输网OTN中的威胁源所带来的损害,进而能保证播控系统的边界安全,与外网的数据交换安全。
3.1防火墙
防火墙是设置在被保护内网和外网之间的一道屏障,它可以控制被保护网络的非法访问,检查网络入口点信息交换,根据设定的安全规则,对通过防火墙的数据进行监测、限制和修改,过滤掉特定网络攻击和不明站点的访问。防火墙可以提供对系统的访问控制,仅允许外网访问某些内网主机和某些端口及服务;它可以过滤不安全的服务,仅允许HTTP、FTP、TELNET、SSH等信息系统使用的协议通过;它可以设置IP与MAC地址绑定策略,绑定后只有特定地址的网络主机才能访问防火墙,有效防止网络地址欺骗;它可以使用有效的数字证书来区分网络用户,并可以给予不同级别用户不同的访问权限;它可以提供对流量的识别和控制功能,限制网络连接的数量以保证重要业务的正常运转。
3.2入侵检测
入侵检测通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测可以监视、分析网络及用户的活动,审计用户和网络中的异常模式进行统计分析,识别已知的网络攻击活动模式并向用户报警;当一个入侵正在发生或试图发生时,入侵检测系统会立即记录并向用户发动预警,而且它还能自动抵御这些攻击,如切断网络连接或者配置防火墙使之能拒绝这些地址的连接;它可以对重要程序进行完整性分析,一旦这个程序被攻击,立即从备份文件中提取相应的原始文件,恢复重要程序中被攻击的部分,恢复程序原有功能。
3.3安全审计服务器
安全审计是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。在此基础上使用审计服务器能实现日志的集中管理,各设备、服务器内的安全事件收集,建立应急预警体系。审计服务器可以收集和记录各个系统、应用和网络活动的日志,完成事件的格式化和标准化工作;它可以集中长期存储收集的日志,以及所有的管理配置信息,保证记录的可靠性、安全性、完整性,同时还提供快速检索和统计报表;它对收集的风险信息进行定期分析和监控,并提供资产分析、风险展示、事故响应等功能;它提供C/S管理方式,安全管理中心可以实时监控数据,并实施安全策略调整方案。审计服务器监听口不配置IP地址,使原有的网络不发生改变,使部署变得更加灵活。综上所述,使用防火墙、入侵检测和审计服务器相结合的技术措施,能按照《基本要求》提出的安全策略进行部署,满足播控网络的安全防护功能。
4管理措施
广播电视播控网络安全是一个系统的工程,不能单靠某些技术措施,还需要依靠全面的管理措施才能稳固的提高播控网络的安全。《基本要求》中还对网络安全管理提出了更为全面的建议和要求。结合我台网络管理的现状,本文提出了要加强登录访问控制和数据安全管理两个方面的管理措施。
4.1登录访问控制
登录访问控制是指对登录网络设备的用户进行身份鉴别。本文建议应对播控系统的所有用户(包括上载编单和系统管理员)都要实施单人单密码制度,对所有登录访问的用户名和密码都要制定复杂度及定期更换制度;对关键设备的登录操作要有两人及以上系统管理员在场,并联合操作;启用系统或应用中的登录超时和登录失败功能,失败后要求更高权限的系统管理员才能恢复登录;实行业务和系统管理分散授权的制度,分离网络安全风险;制定统一的上载介质制度,禁止使用U盘,关闭不必要的服务和端口,制定定期系统升级和病毒库升级方案,系统漏洞补丁定期维护方案等,保证播控系统的网络安全。
4.2数据安全管理
数据安全管理是指可以检测数据的完整性,并及时进行数据备份,在数据完整性遭到破坏时的数据恢复方案。本文建议使用备用机房对重要节目和业务信息进行异地备份,并通过网络实时传输,如果本地业务遭到攻击或发生火灾等重大自然灾害,可以启用备用机房应急播出,保证播出安全。
5总结
广播电视播控系统的网络安全是广播电视信息系统网络安全的最重要一环,我们要切实做好这方面的工作。通过技术和管理各项举措,建立和完善播控系统的网络安全规范。在网络攻击日新月异的现在,网络安全防护体系不是一成不变的,网络安全规范建立了也不是永恒不变的,是需要持续改进的。这些技术和管理措施在运行过程中需要定期进行网络安全评估,遇到不符合安全等级标准要求的就要立即整改。只要我们的网络安全意识加强了,操作网络设备时使用安全行为,把安全责任落实到位,与就能有效的保证网络安全。
参考文献
[1]张瑞芝.智能广电大潮中信息安全工作的思考[J].广播与电视技术,2015.
[2]孙明美.防火墙技术研究[J].软件,2013,34(7):119-120.
【关键词】信息安全等级保护 测评实施
1 引言
医院信息化建设快速发展,信息系统应用深入到各个环节,信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全,规范信息安全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》,卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
2 确定测评对象与等级
我院是一所二级甲等综合医院,日门诊人次1000人左右,住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合,信息双向交流。按照《信息系统安全等级保护定级指南》定级原理,确定医院信息业务系统的安全保护等级为第2级,其中业务信息安全保护等级为2级,系统服务安全保护等级为2级。
2.1 招标比选测评公司
医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司,简单介绍医院信息化情况,其中有3家公司到现场进行调查,掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。
2.2 测评实施
2.2.1 准备阶段
医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》,确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研,提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。
2.2.2 测评主要内容
主要针对医院信息系统技术安全和安全管理两方面实施测评,其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
2.2.3 测评方式与测评范围
测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈,了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试,检查系统的安全有效性。
整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。
医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵,终端使用了趋势网络版本防病毒产品,抵御恶意代码。开启系统审计日志,制定和实施有效安全管理制度,加强安全管理,降低系统安全风险。网络进行了有效的区域划分,区域之间通过访问控制列表实现安全控制,与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。
2.2.5 差距分析与测评整改
通过测评,测评公司写出测评报告,提出整改建议。按照《信息系统安全等级保护基本要求》要求6,测评公司人员根据医院当前安全管理需要和管理特点,针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,从人员、制度、运作、规范等角度,进行全面的建设7,提供技术建设措施,落实等级保护制度的各项要求,就各类人员进行安全培训,提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。
2.2.6 编制报告,成功备案
测评公司编制报告,上报市公安局备案成功,获得二级信息系统备案证书。二级信息系统,每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高,安全保护能力增强,有效保障信息化健康发展。
3 结语
网络安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性,医院需要不断进行完善,加强管理,持续增加安全设备以保障医院数据安全有效,保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点,分期分批循序建设,保证医院各系统长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求8。
参考文献
[1]卫办发.〔2011〕85号,卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知,2011.
[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志,2005.
[3]王建英,陈文霞,胡雯,张鹏.医院信息安全分析及措施[J].中国病案,2013.
[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息,2013.
[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2006.
在省、市局领导正确指导下,计算站全面完成了2018年各项工作任务。统筹规划网络工程,保证各级经济网络传输通畅;加强硬件基础建设,提高了经济信息处理能力;领会贯彻省局数管中心部署与技术指导,精心维护全市“企业一套表”平台,经济内网、外网网站内容不断更新;完成了三农普数据处理工作;做好各类小型调查数据处理与后期技术服务;维护“数据城市”管理平台、经济客户端安全管理平台、视频会议系统维护、VPN系统管理,网络安全等级保护建设任务、做好经济信息化报表任务及其他各项非常规性任务,做好市政府政务公开办及有关部门布置的各项任务。
2018年主要成绩、经验与做法
一、加快机房硬件更新与管理,网络运行持续稳定
1、网络运行高效稳定。按照机房功能区域合理布置网络设备和各服务器。建立网络设备资产清单,全年主机运行健康安全。
2、定期检查设备,应急突发事件。检查机房温度、湿度、空调运行,对突发火灾、水灾、雷击、电力系统、不间断电源系统故障的应急处理,对故障出现原因进行定位,找出问题根源,避免故障再次发生。
二、网络安全保障与网站建设
为了强化对网络的安全管理,我们时刻保持着高度警惕,随时跟踪查找网络安全隐患,采取各种措施加强监管。
1、 每工作日对设备状况检查一次,一旦发现设备故障报警及时查找问题及时处理排除,处理不了及时将网络故障有关信息上报单位领导并通知相关网络运营服务商提供服务支持。
2、网站建设美观实用,信息内容更新及时。经济内网网站页面设计简洁、美观,突出主要信息。信息更新及时,信息采编人员对送来的各类信息按照规定认真把关,及时;网站安全性高。经济外网功能设置完善、内容信息充实。
三、加强视频会议管理、保障省市正常互动
定期检查音视频设备,保证会议使用。为防止会议过程中信号中断,我们定期检查网络视频设备运行状况、在每次视频会议前做好调试准备,消除故障隐患,保证了会议期间视频清晰、声音流畅。
四、完成各项信息化报表任务。完成了省数管中心布置的信息化年报、网络安全月报及目,关键敏感时期信息安全上报任务等。
五、经济用户网络安全管理。遵照国家和省局对经济内网网络安全管理客户端的要求,及时为各科室安装经济内网用小型交换机、各级经济机构的上网计算机完成用户安全认证与注册。
六、完成城市市政务公开办布置的相关任务。
1、为市目标办设计群众满意度调查问卷,按要求对三区和濉溪县分类汇总,整理各类汇总数据,以经济数据和图表展示的方式,及时提交汇总报表。2、稳步推进“互联网+政务服务”。创新网上服务模式,引入社会力量,利用第三方平台,强化数据资源共享交换;积极推动网上服务向移动端、自助服务终端等延伸;通过政府网站、微信、微博、移动客户端、推进线上线下政务服务融合发展。
3、针对“2018度城市市经济局网站绩效评估简报”提出的整改建议认真整改,增设相关栏目,包括在线办事、服务效能投诉,增设公众参与平台、站点地图、网站帮助等功能,及时更新网站信息内容。
七、充分发挥系统管理员在企业一套表中的重要角色
严格按照省局要求,有效行使市级系统管理员的全部职能,确保企业能正常登陆填报平台,确保各专业能正常审核验收使用;认真热情的为各专业提供业务咨询解答和技术支持,任务定制和权限修改等。
八、完成等级保护阶段性任务。城市经济主干网和“数据城市”等级保护这两个项目已被市公安局确定为二级等级保护系统,与多家专业公司商讨研究制定科学合理的等保建设方案
九、完成了第四次全国经济普查单位清查任务。紧跟省局普查中心、数据管理中心,及时深入领会最新操作方法与要求,上下联动,指导各县区普查工作,咨询解答、PDA数据采集,平台数据分析汇总。指导各区县做好经济普查培训、PAD操作和清查比对平台的数据处理任务。
十、增强服务意识,提供日常技术支持与咨询。为本局各专业提供日常计算机应用支持、联网故障与计算机硬件维护,为县区用户提供技术咨询与远程协助。
存在的问题与不足
一、办公网出口只有1台防火墙,数据城市”服务器系统无任何防护措施,为安装防火墙。
二、网站服务器通过交换机连接到核心交换机且无任何防护措施。
三、缺少防病毒攻击硬件设备。web服务器面对木马、蠕虫等非法攻击缺少必要的防护措施;缺少应用层数据的安全防护和病毒防护功能的设备。
四、缺少整网安全检测产品。急需定期对全网机器和web扫描,对设备的登录、权限、经济没有集中管理措施,存在较大安全隐患,缺日志经济设备,按要求需要留存半年以上的日志数据,目前无法满足要求。
五、机房制度管理尚不完善。需进一步规范机房各项管理措施与规章制度,杜绝不规范操作,需要加强学习网络安全知识,提高防范技能。
2019年工作思路及重点任务
一、尽快完成网络安全二级等保建设。以现有基础设施,保证今年上半年建设并完成满足等级保护二级系统基本要求的网络信息系统。
二、增设下一代防火墙。在办公网出口部署下一代防火墙(含AV、IPS模块),将现有的深信服AF-1210防火墙移至“数据城市”服务器前端。
三、在专网的安全运维区旁路部署日志经济设备、运维堡垒机。设备部署完毕后,日志经济设备可高效统一管理资产日志并为安全事件的事后取证提供依据。堡垒机可集中账号管理和运维经济。
四、机房改造与装饰。建设配电柜系统、电源防雷接地系统、消防报警系统、网络综合布线、机柜设备重整、抗静电活动地板等。
五、完善安全管理制度。建立一个完善的网络安全管理制度,完善机房各项安全管理规章制度、加强计算机安全知识培训,提高各级经济人员安全意识。
六、管好“企业一套表”平台。严格按照省局要求,有效行使市级系统管理员的全部职能,确保填报企业能正常登陆填报平台,确保各专业能正常审核验收使用;认真热情的为各专业提供业务咨询解答和技术支持。
七、完善网站功能、网站信息及时更新。对送来的各类信息按照规定认真把关,及时到各制定网站;按照市政务公开办的要求,做好本单位门户网站集约化建设和政务公开后台管理,加强对城市经济微讯、城市经济微博的信息更新与信息安全监控。
八、管好系统内客户端安全管理。深入学习、领会上级精神,按照国家局要求,做到各级经济机构的上网计算机用户100%与注册;做好数据安全及备份恢复,对重要信息进行备份,网站后台安全维护。
九、管好“数字城市”系统平台。大胆创新、牢记使命、积极采取措施充实完善“数据城市”移动终端信息与终端展示,充分体现现代信息技术、提升经济服务能力、改进服务方式。
十、继续做好第四次全国经济普查数据处理各项具体任务。
及时传达上级经普办最新文件精神、指导意见和具体操作办法,为四经普提供PDA操作咨询服务、做好普查区电子地图导出、清查比对平台底册导出、MDM平台的远程推送与远程监控,做好四经普非一套表平台数据审核、汇总、分析及对县区的任务部署与指导。
关键词:信息安全;入侵检测;控制策略;日志系统
随着气象业务的不断发展,气象设备的数量不断增加,气网络面临较大的运行压力,同时由于业务需求,部分气象系统连接到互联网,通过无线网络接入到运行网络中,给运行业务带来比较大的安全风险。近年来,网络安全越来越受到重视,信息系统安全等级三级[1,2]更是对网络结构安全[3-5]、安全审计、访问控制[6-8]等方面提出了进一步的要求。在这种背景下,同时结合气象网络安全三级等保要求,制定合理的安全策略,使用NAT[9,10]技术,隐藏内部真实地址,建立合法登录用户档案,拒绝非法登录,构建一个具有较强防护能力的防御系统。
1基于信息安全的网络整体规划
1.1防火墙设计
本次设计目标根据气象业务需求,对不同安全等级的网络进行隔离,在网络层进行安全防护部署,设置不同安全区域,每个安全区域根据安全等级进行相应的防护设置,提高网络安全性,设计具体目标如下:(1)对气象数据库系统进行分层隔离保护,数据库服务器区域设置为安全级别较高的trust区域,其他数据流根据等级设置成dmz、untrust区域。外部终端获取数据库数据是通过防火墙映射地址进行访问,防火墙安全策略中设置控制策略,禁止非法用户访问,网络拓扑图如图1所示:防火墙安全区域设置,服务器设置区域为trust区域,内网设置为dmz区域,互联网网段为untrust区域,根据气象网络不同系统业务接口规划安全区域,并设置各个区域间访问控制策略。访问控制设置,默认下防火墙所有区域间的安全策略动作设置为拒绝,仅允许通过策略设置放行的流量,其余均拒绝;根据业务运行变化,定期更新访问控制策略,对控制策略进行调整优化;配置防火墙访问控制策略,实现流量控制。升级最新的防病毒模块和入侵检测模块,检测恶意代码。安全审计模块,连接审计系统,对访问服务器的用户行为进行安全审计和监控;日志系统,连接日志系统,对访问服务器的设备信息、用户信息进行记录,具体设计见表1:(2)配置思路及配置命令对防火墙USG6000进行配置,设置接口IP地址和安全区域,根据业务运行配置安全策略,放行可信用户,禁止非法用户。配置内部服务器,映射服务器访问地址。配置路由器接口地址和OSPF动态协议,配置核心交换机端口镜像以进行流量审计,配置日志输出功能,具体配置如下:
1.2日志系统配置
(1)LINUX系统和AIX系统系统对/etc/syslog.conf文件进行编辑,在文件后面添加:@172.25.40.250,则日志发送到172.25.40.250日志采集服务器,配置完成后需要重启syslog服务才能生效:#servicesyslogrestart(2)交换机日志开启#loggon#logg192.168.19.115#loggservice-interfacef0/21(3)开启端口镜像#monitorsession1sourceintf0/1-5#monitorsession1destintf0/9(4)规则配置:通过Web方式登录日志系统的配置界面,使用系统账号admin完成相关配置,具体如下:导入许可配置:在系统维护界面点击导入许可,完成配置;开放端口,用于接收syslog日志和告警信息,添加开放的端口:514,162,443;添加设备:在资产对象组中添加设备,填写设备的名称、管理IP地址和子网掩码;时间统计:点击事件统计按钮,对网络中的安全事件进行设置,属性设置为严重、重要、一般、轻微、信息、总数。
1.3数据库审计配置
(1)基本配置,使用系统用户sysadmin进行基本配置。管理口配置:设置IP地址、子网掩码、网关等,配置完成后测试ip是否可用,网关是否连通。部署方式配置:配置默认旁路镜像,确定部署方式,点击下方保存按钮。旁路镜像用于端口镜像,agent引流用于云上审计环境或者没有做端口镜像。(2)功能配置,使用系统账号sysadmin进行配置,配置审计对象:设置数据库服务器IP、详细版本及端口号,配置对应审计对象。策略管理:默认按规则审计,界面中依次点击:策略管理,审计策略,默认策略。全部审计表示所有访问数据库服务器的数据均审计入库,在前台可以查看所有操作的审计记录。按规则审计:只审计匹配规则的访问数据库服务器信息,未匹配规则的数据不审计入库,前台查询记录中只有匹配规则的数据。(3)规则设置,使用secadmin帐号设置规则,制定风险的级别、何种操作类型以及针对的对象如操作系统主机名、子对象、客户端地址集、客户端进程集、关键字等。针对数据库的操作:选择操作命令,如查询、插入、删除、更新等,在审计结果中出现对应的操作时,出现告警信息。风险级别:设置访问行为高风险、中风险、低风险、关注行为、一般行为、不审计。
2网络配置与验证
2.1trunk技术
trunk技术用于在交换机之间互连,使不同VLAN通过共享链路与其它交换机中的相同VLAN通信。交换机之间互连的端口就称为trunk端口,trunk是基于OSI第二层数据链路层(DataLinkLayer)的技术。将互连的交换机两个端口mode设置为trunk模式,实现交换机上所有VLAN共享这条线路,不同交换机相同vlan相互通信,配置命令:[LSW]group-membere0/0/1toe0/0/4[LSW]portlinktrunk[LSW]porttrunkallowvlanall
2.2单臂路由技术
默认情况下,不同网段之间是不能相互通信的。但是在实际中,不同网段之间又要相互通信,这种情况下可以使用单臂路由技术,单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通,配置命令:[R1-G0/0/0.10]ipaddr172.25.32.25424[R1-G0/0/0.10]dot1qterminationvid10[R1-G0/0/0.10]arpbroadcastenable
2.3访问控制和NAT映射技术
访问控制是网络安全防范和保护的主要策略,保证网络资源不被非法使用和访问,它是保证网络安全重要的核心策略之一。NAT(NetAddressTranslation),它是负责网络地址转换的一个协议,负责把私网内的的IP和端口转换成公网的IP和端口,即IP地址映射,外部网络通过映射的IP地址访问内部服务器,起到保护内部设备的作用,配置命令:[USG]natserverprotocoltcpglobal192.5.202.2501521inside172.25.32.11521[USG]source-zoneuntrust[USG]destination-zonetrust[USG]actionpermit其他网段设备通过NAT映射地址访问气象数据库系统,如综合显示系统终端若访问气象数据库服务器,在华为USG6000防火墙中进行地址映射和访问控制,对服务器进行保护,通过映射地址192.5.202.250访问气象数据库系统服务器允许的sql检索服务。
3结束语
(一)信息科始终以维护HIS系统、LIS系统、体检系统、三智能监管平台系统、病案系统安全稳定运行为重点,及时响应各部门的故障维护,努力减少故障发生率、降低故障等级和故障持续时间,全年累计完成软硬件维护1000余次,有效提高了工作效率。
(二)检查出一次网络安全隐患。我院官网所挂的oa办公系统存在安全漏洞。
针对上传任意文件漏洞,因为产品集成了2009的金格控件,在(officeserverservlet)中没有对filetype参数进行过滤,可以上传任意文件。信息科对服务端和客户端的上传文件进行了限制,只能上传office相关格式的文件。
(三)完成第dip上传接口,配合病案室医保科进行dip数据的上传,完成了发热门诊医疗服务监测数据上传的接口,完善了卫统表病案信息上传的接口。
(四)完成新医保的接口工作,配合收费室,医保科完成新医保系统的转换,配合完成收费项目、药品、耗材、病案诊断、手术诊断的对码工作,完成了两个院区医生护士的赋码工作。
二、存在的主要困难和问题
网路安全保护相对薄弱,服务器端只有一台上网行为管理粗框架的过滤掉一些风险网站,缺乏主动防御的功能,终端各电脑也没有专业的企业级杀毒软件的防护,被动被感染的风险较大。
三、2022年主要工作安排
工作思路:在院领导的带领下以“巩固、完善、创新”为重点,创建良好的医院网络氛围,,加强信息技术工作,建设及完善现在所运行的系统,充分运用现代网络技术服务好患者和临床一线的医护人员。
目标任务:完善网络安全,完善his、lis、体检病案等系统。
工作措施:
(一)在医共体的计划下,待医院his、lis、电子病历系统完成升级改造,医院常规流程趋于稳定后,开展互联网医院的建设。
1、打造医院公众号,做到集医院宣传、预约就诊、分级诊疗、诊间支付于一体的快捷自助平台。进一步方便患者的就诊流程,减少排队等待的时间。
2、积极联系银行、his厂家这两家平台,在医院上线自助机系统,实现自助挂号、缴费、清单查询、检验影像结果查询等功能。
(二)网络安全始终是最重要的,没有网络安全,就没有医院的安全。针对日益严重的网络安全问题,将从以下几个方面做好应对防御。
1、邀请网络安全公司开展一次等级保护测评,找出安全问题漏洞、降低信息安全风险,提高信息系统的安全防护能力。
2、购买一些网络安全产品,加固网络安全防护能力。
[关键词] 信息等级保护概述;中国石油;等级保护建设
[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02
1 信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。
定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:
(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。
(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。
(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。
(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:
(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。
(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。
(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。
主要参考文献
[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).
关键词:民航企业;信息化建设;信息安全技术
0引言
互联网时代的到来,信息技术与网络技术已然成为人们生产生活的重要技术支撑,在民航领域中,信息化建设的进程也得以高效发展。与此同时,民航企业信息系统的安全隐患及安全防护问题也逐渐暴露,成为信息化建设过程中亟须应对与解决的问题。
1网络信息安全制度的建设
1.1建设网络信息安全制度
据调查,民航信息系统安全事件的发生,问题的主要成因在于未充分明确相关责任以确保网络信息安全管理工作的全面落实。基于此,民航企业需要充分结合自身的是情况,对网络信息安全管理责任制的健全及完善,充分明确人员相关责任,促进民航信息化建设水平的提升,促进民航的健康发展。民航企业应当搭建内部网络信息安全规范体系,以之为基础开展企业网络信息安全管理及部署工作,确保民航信息安全水平的有效提升。民航企业应当时刻紧随时展步伐,对网络信息安全保障体系加以完善,建立网络信息安全防范体系,采取合理的等级保护与分级保护措施,维护网络信息安全。民航企业应当将网络信息安全作为信息化建设的发展方向,积极配合并响应国防部、网络安全部门、公安机关等行政机关部门的规定与要求,实时更新并优化安全防护措施,实现网络安全整体覆盖范围的扩大。
1.2细分网络安全保障体系
对于民航企业而言,其信息网络安全保障体系的建设,主要包括三个方面,即信息网络安全技术体系、信息网络安全管理体系及信息网络安全运行维护体系。这三个安全防护体系是相互依存与相互促进的。信息网络安全管理体系的搭建,应当作为信息安全技术体系保障的重要方向,技术体系也是保障信息网络安全的技术设施与基础服务的重要支持。信息网络安全管理体系的建设也要求网络信息安全技术应用水平不断提升。民航企业的网络信息安全体系的建设,可以充分参考美国国家安全局所提出的IATF框架的网络安全纵深战略防御理念、美国ISS公司所提出的P2DR动态网络安全模型等相应信息网络安全防护体系,搭建“打击、预防、管理、控制”于一体的网络通信安全综合防护体系理念,是当前国际上最为先进、最为有效的安全保障框架体系,对重要体系采取有效的安全防护措施,搭建民航企业的信息安全防护与控制中心,实现对于信息网络体系的安全监控、安全终端、安全平台、主机安全、数据安全、应用安全相互结合、相互统一的信息安全平台建设,信息安全防护应当涵盖物理层面、终端层面、网络层面、主机层面、数据层面及应用层面,保证安全防护的全面性及全方位性[1]。
1.3发展民航网络信息安全产业
随着时代的发展,民航企业开始更多地强调民航网络信息安全事业的发展。在开展民航企业网络信息安全产业建设时,应及时跟踪和了解国际网络信息安全产业发展动向,了解信息安全防护技术水平的提升渠道,积极谋求与其他发达国家之间的技术合作,大力引进先进的管理技术与管理手段,大力培养并教育网络信息安全技术人才。民航企业要大力引进技术水平与管理理念较为先进的人才,并对所引进的人才采用科学合理的技术培训与安全教育措施,不断增强相关人员对于网络信息安全防护的意识与理解能力,安全理念先进、技术水平高超、应急处置及时的网络信息安全管理人才队伍。民航企业要搭建科学完善的网络信息安全管理体系,充分保证信息网络安全组织、网络信息安全流程、网络信息安全制度相互结合,搭建科学合理的安全管理体系。
2民航信息安全保障体系的建设
2.1国家信息系统安全等级保护
以ISO27001信息安全管理要求为基础,结合国家信息系统安全等级防护管理方面,对信息系统安全防护安全管理基本要求加以明确,开展民航企业网络安全防护及管理体系的建设工作。网络信息安全管理体系的设计,应当涵盖安全组织架构、安全管理人员、安全防护制度及安全管理流程等多个方面,结合自身实际需求,设计科学合理的网络信息安全管理体系等。对于网络系统安全组织架构的建设与完善,组建涵盖安全管理、安全决策、安全监督及安全执行等层次的管理架构,设置相应职责岗位,对安全管理责任进行分解与落实,做好人员录用、人员调动、人员考核及人员培训等相关方面的人员管理工作。民航企业在制定安全管理制度时,应建立网络信息安全目标、安全策略、安全管理制度及安全防护技术规范等多个层次,搭建安全管理制度体系。在建立安全管理流程方面,通过建立科学合理的组织内部安全监督检查与优化体系,保证网络信息安全管理工作的顺利开展。将内部人员与第三方访问人员、系统建设、系统运维、物理环境的日常管理规范化,将日常的变更管理、问题管理、事件管理、配置管理、管理等电子化、流程化与标准化[2]。
2.2合理运用先进安全防护技术
2.2.1入侵检测技术
目前,对信息安全防护技术手段研发与应用也愈发普遍,其中入侵检测技术的应用可以取得较好的技术效果。入侵检测技术的应用主要是通过对网络行为、网络安全日志、网络安全审计信息等技术手段,有效检测网络系统非法入侵行为,判断网络入侵企图,通过网络入侵检测以实现网络安全的实时监控,有效避免网络非法攻击的可能。通过应用入侵检测技术,民航企业可以构建入侵检测系统,能够对系统内部、外部的非授权行为进行同步检测,及时发现和处理网络信息系统中的未授权和异常现象,尽可能减少网络入侵所造成的损耗与安全威胁。为此,可采取NetEye入侵检测系统,该系统通过深度分析技术,实现对于网络环境的全过程监控,及时了解、分析并明确网络内部安全隐患及外部入侵风险,作出安全示警,及时响应并采取有效的安全防范技术,实现网络安全防护层次进行有效延伸。同时,该入侵检测系统具备较为强悍的网络信息审计功能,就可以实时监控、记录、审计并就重演网络安全运行及使用情况,用户能够更好地了解网络运行情况。
2.2.2文件加密技术
对称加密技术是常见的文件加密技术之一,所采用的密钥能够用以加密与解密,在技术应用时,以块为单位进行数据加密。这一方法在实际应用过程中,一次能够加密一个数据块。对对称加密技术的优化与改进,主要可采用密码块链的模式加以实现,即通过私钥及初始化向量进行文件加密[3]。如上所述,随着网络信息安全受到更多重视,民航企业信息化建设水平在进一步提升其网络建设水平的同时,也更多地意识到网络信息安全的重要性与必要性,不仅需要构建行业信息安全防御体系,还应当建立健全网络信息安全制度,构建网络安全防护人才团队。在此基础上,民航企业还可以充分利用文件加密和数字签名技术,通过该技术,可以合理避免相关数据信息受到窃取、篡改或遭到损坏而导致网络信息安全受到影响。文件加密和数字签名技术应用过程中,可以更好地对网络信息安全提供保证、维护相关信息数据的安全性。
关键词:网络安全;信息安全;计算机安全;信息管理
随着交通行业的科技信息化发展,交通行业各应用系统及计算机遭受病毒攻击、垃圾邮件泛滥等问题威胁着行业信息安全。由于缺乏安全意识,出现了数据丢失、信息被盗等安全问题,给整个行业造成重大损失。保证行业内计算机及网络信息系统的安全运行,不受病毒、黑客的侵扰极为重要。
1交通行业计算机信息安全存在的问题
现阶段,交通行业内的计算机用户群体复杂,存在的信息安全问题也很复杂。主要存在以下几个方面的问题。(1)计算机软硬件核心技术大多依赖进口目前,中国的软硬件核心技术欠缺,例如美国的CPU芯片、美国微软公司的WINDOWS操作系统、美国微软公司的日常办公通用软件OPFICE、各大数据库等软硬件大多依赖国外。国外的系统固然会不定期更新,但肯定会存在大量的安全漏洞,留下隐藏性病毒、后门等隐患。这些漏洞使得计算机的安全性能大大降低,同时使网络处于极脆弱的状态。(2)缺乏安全有效的防护措施很多计算机用户不设置系统登录密码,即便是设置了密码但是密码策略低,有的甚至设置成电话号码、连续数字等。用户虽然安装了杀毒软件,但缺乏安全意识,有的用户的杀毒软件根本没有升级病毒库,相当于是在裸机的状态下使用,一旦感染病毒,再加上黑客攻击,很可能直接造成网络瘫痪,从而导致存储在计算机中的大量敏感文件和工作文件信息被窃取,极易造成泄密事件。(3)重要数据缺少备份行业用户的操作水平不高或者操作习惯不好,会导致经常误删一些重要文件。此外,各种自然灾害、病毒、黑客攻击、计算机硬件设备损坏等都会导致文件及数据遭遇毁灭性的损坏。如果用户未对重要数据进行备份,一旦文件遭到破坏将很难恢复,对个人甚至国家都会造成严重后果,所以数据备份不容忽视。(4)电子邮箱密码设置过于简单某些单位的电子邮箱没有相关管理制度,网络管理者在分配邮箱的时候一般会设置一个较简单的默认密码,用户在使用过程中很少有修改密码的习惯。完全把邮箱变成一个网络存储空间使用,往来邮件长时间不清理。一旦电子邮箱被黑客攻破,后果不堪设想。(5)计算机网络信息安全缺乏严格的管理制度行业内大部分单位虽然有信息安全管理制度,也明确了岗位职责及规范,但在实际工作中却并未严格按照规范执行,有很多制度一成不变,已经跟不上时代的发展,与现阶段国家的相关规定也存在很大差距,导致极大的信息安全隐患。此外,对于特定的账户密码和管理员权限没有监管,缺乏安全保障制度和预防措施。(6)对于计算机信息安全事故缺乏有效的应对措施防患于未然极其重要。一些行业内单位对于信息安全缺少防范措施,一旦出现重大网络安全故障后,缺乏快速补救的措施和应急方案,不能及时排除安全故障和隐患,势必会给单位和个人造成重大损失。(7)计算机信息使用和管理人员安全意识淡薄有的计算机信息使用和管理人员在日常生活和工作中缺乏安全保密意识,不能严格执行交通运输部保密办的“计算机不上网,上网计算机不”的保密要求,往往把U盘混用,接收资料也不杀毒处理,操作系统、杀毒软件不及时升级,这些行为都会导致计算机感染病毒。外出时,个人手机和笔记本电脑经常会连接到各种无线网络中,这对行业信息安全都有极大的风险。
2交通行业计算机信息安全管理对策
(1)推广国内自主研发的核心设备和技术的应用按照国家相关要求和规范进行网络信息安全和计算机信息化设备的采购和配置。涉及到重要的信息,尽量使用国内自主研发的经过国家保密局、安全局、公安部评测通过的计算机网络安全设备。(2)对内部网络及系统进行分级保护对行业内的计算机信息网络,一定要按照国家有关要求和交通运输部保密办的要求,进行分级保护管理。对单位内网络中的所有网络终端进行系统加固,安装安全登录、主机审计、身份认证、主机监控、黑白名单、违规外联、补丁分发、文件分发系统。对网络内的终端计算机实行关闭刻录、USB使用功能,禁止使用无线及蓝牙等外设设备,采用红黑电源插座。计算机只可进数据,严禁出数据。出数据必须要逐级审批,方可开通权限进行刻录和打印。对网络线路加装线路保护仪,网络设备和系统要放置在屏蔽机房和屏蔽机柜内。(3)对内部非的网络和政务外网进行等级保护按照国家有关要求和标准规范,进行等级保护测评。全面安装计算机安全登录终端、主机审计和监控系统。对等级级别高的网路和系统要间隔不长时间再次测评。《中华人民共和国网络安全法》现已实施,为了避免在国家重大活动信息安全保障中出现信息安全责任事故,尽量使用软硬件设备关闭单位大楼内的无线信号。(4)安装防病毒软件、防火墙、入侵检测系统对行业内的网络计算机,要逐台安装防病毒软件和木马查杀软件,要求对病毒进行定时或实时的扫描及漏洞检测。对文件、邮件、内存、网页进行全面实时监控,一旦发现异常情况,及时定位处理。要使用补丁分发系统及时针对系统和常用软件漏洞进行分发安装。网络层一定要软硬结合,使用防火墙和入侵检测系统,对安全策略及过滤规则按照最高等级设置,以防御外部恶意攻击。对网络中的IP地址加装ACK地址管理系统。为了安全起见,全部设置静态IP地址,然后与MAC地址绑定,这样可以有效预防IP地址欺骗。同时利用上网行为管理系统,屏蔽非法访问的不良行为,禁止把内部敏感信息和数据传播至公共网络。使用网络监控和预警平台对网络进行监测,及时有效地保护网络安全。(5)完善行业计算机网络安全管理体系为了加强网络安全管理,将信息安全管理工作落到实处,必须对网络中的每个管理环节进行监管,实现网络信息安全的最终目标。为了提前发现网络风险,将风险降至最小,避免黑客利用漏洞破坏网络信息安全,必须从顶层设计入手,针对网络信息安全制定全面的管理体系和网络信息风险评估体系,这对建设安全的网络环境十分重要,可以对网络信息起到监管作用,更加有利于网络信息安全管理。(6)提高思想认识,加强制度落实信息安全管理工作的首要基础是通过加强思想教育、制度学习和落实,提高全员的网络安全意识。认真学习各类信息安全法规和保密教材,尤其是要深入学习《中华人民共和国网络安全法》,强化安全保密观念,提高安全保密意识和素质,增强网络安全保密知识,改善网络安全保密环境。(7)制定严格的信息安全管理制度为了维护行业信息安全,每个行业单位应结合实际情况,完善内部网络信息安全管理制度,确保信息处理、存储、传播的安全。对于的计算机应安排专人负责。文件应单独保存在介质中。对于机房、计算机软硬件、信息系统建设与运维、邮件服务器系统,也应制定不同的安全策略和管理制度,并在实际工作中严格执行落实。(8)制定网络安全应急管理措施为了能够及时快速地处置网络安全事故,行业各单位需结合实际情况,制定本单位网络安全应急管理措施,明确岗位职责和处置权限,并定期开展安全应急预演,提高技术人员的应急处理能力。网络安全事故突发应急处置过程中,一旦发现问题要及时上报,规定报送流程、时间要求等,采取措施降低损害。每次的处理都要记录并保存,以便追溯。按照应急处置程序,一旦发生信息安全事件,要立即向有关部门报告。(9)重视网络信息安全人才的培养各单位应重视网络信息安全人才的培养,建立一支信息安全管理技术过硬的团队。每年制定不同的年度培训计划,通过每季度不少于一次的专业培训来提高网络信息安全人才的专业技术能力。
3结语
总之,交通运输行业对计算机及各种网络的依赖性越来越强,遭受各种病毒侵扰、黑客攻击也是不可避免的。交通行业计算机及网络信息安全问题,必须引起各单位高度重视。人人都应从自我做起,提高个人的信息安全意识,养成良好的计算机使用习惯。只有完善制度、严格落实执行、提高监管力度,才能从根本上解决网络信息安全问题,建立稳定、和谐、安全的网络信息环境。
作者:郭俊杰 单位:中国交通通信信息中心
参考文献:
[1]赵辉,樊杰,徐京渝.分布式行业电子政务网络信息安全问题及对策[J].中国交通信息化,2013(2):36-38.
[2]李治国.浅析计算机网络信息安全存在的问题及对策[J].计算机光盘软件与应用,2012(21):47-48.
由于电力企业以发电、经营电力为主,信息网络安全问题并没有得到足够重视,管理方面存在重技术轻管理的问题,未建立完善的信息安全管理制度,面对上级检查,简单应付,脑子里轻视信息安全,信息安全观念淡薄,这都会增加企业信息系统的安全风险。例如,缺少对企业职工的信息安全教育培训、缺少定期对信息运维人员的安全技能的培训等等,都会严重威胁企业信息网络的安全。电力企业在针对信息系统的应用和信息网络安全两个方面时,更加注重的是前者。以此同时,可能部分职工还存在侥幸心理,忽视了网络安全问题的重要性。
2电力企业网络信息安全管理的有效策略
2.1注重建设基础设施和管理运行环境
需要严格的管理配电室、信息、通信机房等关键性的基础设施,对防水、防火、防盗装置进行合理配备;对电力二次设备安全防护要做到,安全分区、网络专用、横向隔离、纵向认证,生产控制大区与信息管理大区要做好物理强隔离;机房需要安装监控报警设备和动环监测系统;对桌面终端和主机等设备要做好补丁更新,控制权限;在网络安全设备上要做好安全策略;做好流量监测和行为监测;此外,建立设备运行日志,对设备的运行状况进行记录,并且建立操作规程,从而保证信息系统运行的稳定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,确保根据安全管理制度进行操作;做好安全防护记录、制定应急响应预案、系统操作规程、用户应用手册、网络安全规范、管理好口令、落实安全保密要求、人员分工、管理机房建设方案等制度,确保信息系统运行的稳定性和安全性。由内至外,全面的贯彻,实施动态性地管理,持续提高信息安全、优化网络拓扑结构。
2.3注重信息安全反违章督察工作的开展
建立信息安全督察队伍,明确职责,按照信息安全要求,开展定期的督察,发现问题,限期整改。电力企业要对企业信息系统软硬件设施、容灾系统、桌面终端、防护策略等进行定期督查,实现信息安全设备加固和更新,培养信息安全督查专家队伍,交叉互查、发现并解决问题,提高信息系统的安全性。
2.4积极探索电力企业信息安全等级保护
信息安全等级保护指的是,对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全。针对电力企业信息系统,应建立相应的信息安全等级保护机制。技术上分级落实物理安全、网络安全、主机安全、应用安全、数据安全;管理上要建立对应的安全管理制度、设置安全管理机构、做好人员安全管理、系统建设、运维管理。
2.5明确员工信息安全责任,实现企业信息安全文化建设
针对企业的所有员工,关键是明确自己需要担负的安全责任、熟悉有关的安全策略,理解一系列的信息安全要求。针对信息运维人员,需要对信息安全的管理策略进行有效地把握,明确安全评估的策略,准确使用维护技术安全操作;针对管理电力企业信息网络安全的管理人员,关键在于对企业的信息安全管理制度、信息安全体系的组成、信息安全目标的把握和熟悉。以上述作为基础,实现企业信息安全文化的建设。
2.6提升人员的信息安全意识
针对电力企业信息安全而言,员工信息安全意识的提高十分关键。企业需要组织一系列有关的信息安全知识培训,培养员工应用电脑的良好习惯,比如不允许在企业的电脑上使用未加密的存储介质,不应当将无关软件或者是游戏软件安装在终端上,对桌面终端进行强口令设置,以及启用安全组策略,备份关键性的文件等,从而使员工的信息安全意识逐步提高。
3结语
【关键词】计算机;安全;防范
中图分类号:TP39 文献标识码:A 文章编号:1006-0278(2014)03-177-01
一、计算机安全的定义
计算机安全通常指的是一种机制:即只有被授权的人才能使用相应的资源。安全通常包括的5个属性:可用性:得到授权的实体在需要时能访问资源和得到服务;可靠性:系统在规定条件下和规定时间内完成规定的功能完整性:信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性;保密性:确保信息不暴露给未经授权的实体不可抵赖性(也称不可否认性):通信双方对其收、发过的信息均不可抵赖。
计算机网络安全信息系统的其它安全属性还包括:可控性、可审查性、认证、访问控制等。
从技术上讲,计算机安全主要包括以下几种:1.实体安全。又称物理安全,主要指因为主机、计算机网络的硬件设备、各种通信线路和信息存储设备等物理介质造成的信息泄漏、丢失或服务中断等不安全因素。其产生的主要原因包括:电磁辐射与搭线窃听、盗用、偷窃、硬件故障、超负荷、火灾及自然灾害等。2.系统安全。是指主机操作系统本身的安全,如系统中用户账户和口令的设置、文件和目录存取权限设置、系统安全管理设置、服务程序使用管理等保障安全的措施。3.信息安全。是指保障信息不被非法阅读、修改和泄露。信息安全主要包括软件安全和数据安全。TCSEC系统评价准则是计算机系统安全评估的第一个正式标准,第一版于1983年。该标准将计算机安全从低到高顺序分为四等八级:最低保护等级(D)、自主保护等级(c1、C2)、强制保护等级(B1、B2、B3)和验证保护等级(A1,超A1),TCSEC为信息安全产品的测评提供准则和方法,指导信息安全产品的制造的应用。
二、计算机安全面对的挑战
由于计算机网络计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络容易受到来自黑客、恶意软件和其它种种攻击。
(一)常见的计算机网络安全威胁主要有:信息泄露、完整性破坏、拒绝服务、网络滥用
信息泄露:信息泄露破坏了系统的保密性,他是指信息被透漏给非授权的实体。常见的,能够导致信息泄露的威胁有:网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒,木马,漏洞来等方式实现。拒绝服务攻击:对信息或资源可以合法的访问却被非法的拒绝或者推迟与时间密切相关的操作。网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
(二)常见的计算机网络络安全威胁的表现形式主要有:窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒
窃听:攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。
重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。
拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
行为否认:通讯实体否认已经发生的行为。
电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。
传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
三、计算机网络安全防范措施
