时间:2022-04-17 23:42:45
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全防范,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:信息安全 防范意识 调查 个人信息防护
安全意识指通过改变组织或机构的观点,让他们意识到安全的重要性和没有保证安全所带来的不利后果,并建立培训阶段和提醒后继者。安全意识的提升使用户在日常工作中首先想到的就是防护信息的安全,在控制和处理信息的员工之中慢慢地灌输责任感和目标意识,并引导员工更关心他们的工作环境。
1.个人信息安全防范意识
伴随互联网的发展,社交网站大量涌现,论坛花样日益翻新,人们在享受网上冲浪带来的方便的同时也越来越多的被要求填写复杂而详尽的注册信息。网络实名制的呼声也越来越高,在情况日益复杂多变的今天,人们对网上个人信息安全性的认识却没有随之提高。
调研数据显示,83.7%的经常上网的人群即使担心个人信息泄露还是会选择在网上如实的填写自己的注册资料,较2010年的78.2%有所提高。但和前一年相比,2011年网民对网上填写身份资料的信任呈现大幅下降的趋势,绝大部分的上网群体会担心个人资料被他人窃取,比上一年提高大约11个百分点。这种情况的出现部分是因为:当前社交、门户网站、论坛等在注册时都需要填写个人的真实身份,网民大多将自己的身份证号、姓名、常用移动通信方式等提交到网站,这就是个人信息极易被查到;目前网络安全技术设备的普及速度较慢,安全软件非常容易被规避,黑客技术的发展都对整个互联网的安全提出了较高挑战。
数据显示,随着年龄的增长,阅历的增加,年龄越大的人越谨慎。在网上进行浏览、注册时,往往采取比年轻人更谨慎的态度。各个不同的人群对网络信息公开有着截然不同的看法(见表1)。从下表1中可以看出,50岁以上的人群对非常担心网络安全,对互联网的信任度最低,绝不因为需要注册等原因在网络上填写或者透露自己的个人信息;而41-49岁年龄段的网民由于社交、工作日常联络大多通过网络进行,认为非常有必要在网上填写个人信息。即使对网络非法盗取个人信息非常警惕,也会有选择性的填写个人真实情况。30岁以下年轻人群信息安全防护意识最低,最容易被不法分子窃取到个人信息。最容易成为受害人群。
从职业的角度看,农民群体认为互联网最不安全,但同时有最缺乏预防措施,对潜在危险不知道如何处理也使得农民群体成为信息泄露的高危人群。这些都是由于农民知识结构不完善造成的。结合年龄及职业的特点分析,我们可以得到这样的结论:人生阅历的增加,年龄越大的人越谨慎,对信息安全的警惕性越高,在面对互联网时会采取更保守的方式。但与此不同的是,年轻人会采取更开放的方式和态度处理同样的问题。另外,职业习惯也成为影响人们互联网态度的一个因素。工作环境的不同也影响着人们对待网络的方式。开放的工作环境往往让人们采取更开放的态度,反之亦然。
2.个人计算机安全防范意识
2011年,中国互联网安全有史以来的最大的个人信息泄漏事件,超过有1亿人的个人信息被泄露。类似事件的发生,给依赖于网络工作和生活的人们造成了极大的安全隐患。同时,类似时间的发生也不断地给人们敲响了警钟,作为单独的个体我们应该如何对个人的信息安全进行防范引起了人们越来越多的思考。目前,个人信息安全的防护手段层出不穷。众多的信息安全产品给我们提供了众多选择。市面上几十种杀毒软件及安全防护产品让人眼花缭乱。他们大多标榜功能齐全,杀毒防护能力强大。然而并不是所有人都知道他们之间的区别。人们大多通过电视广告、专业网站评测来选择自己信赖的产品。但是个人信息安全防护产品统一标准规范的缺乏让互联网安全产品乱象丛生。
3.加强信息安全意识
好的安全意识提升项目应该是管理者以身作则,简单易懂并且为之付出持续努力。安全意识策略的本质是:安全意识针对不同的对象能够呈现出不同的形式。管理者适当的安全意识能够在建立组织安全观念时起到关键的作用。其他如系统程序员或者信息分析家的安全意识,一定要称职,因为这和他们的工作相关。在今天的系统环境中,几乎每个成员都可能接触系统资源,因此造成潜在的危害。
一个安全意识提升项目可使用很多方法宣传它的理念,包括录像带、通信、广告画、布告牌、基本情况介绍会、交谈或者演讲。安全意识经常被包含进基础安全培训并且能使用多种方法来改变员工的态度。有效的安全意识项目需要不断改进,例如,一幅安全广告画,不管设计得如何,早晚都将被忽视,因此,意识策略应该有创造性并且被经常改变。许多安全意识用较低的成本就可以获得,除了时间和精力之外,并不花费资金,安全意识表现手法包括多种,例如安全通信,是传播安全信息和消息的最为廉价的方法。安全通信能够使用纸质文件、电子邮件或者在内部网上发送。一些公司可能选择创建一个连接用户的HTML站点和电子邮件信箱,而不是传送纸质文件或者传送附件。一套安全广告画系列是让人们在头脑中保持安全意识的一种简单而廉价的方式。专业制作安全广告画可能十分昂贵,内部制作可能是最好的解决方案。信息安全意识站点,建立致力于促进信息安全意识的网页或者网站,如Kennesaw州立大学的网站infosec.Kennesaw.edu。这种方法的困难在于不断地更新信息以保证它们的实时性。
信息安全产品多种多样,信息窃取手段也花样翻新。信息安全最主要还是要依靠大家提高对信息资源的防护意识,在日常的工作生活中切实做到时时刻刻保持高度警惕。不给信息窃取者以可乘之机。只有人人提高意识,才能真正的创造一个安全和谐的网络环境。让互联网更好的为人们所用。
1.1加强服务器的安全服务和异地定时备份工作
服务器作为网络中心的根本,其重要性是无可替代的。一旦出现问题,整个业务将全面崩溃,所以服务器必须充分考虑其可靠性,并且向本地共享存储实时写入数据,确保数据的全面、一致和统一。不管是传统的双机热备,还是当前的虚拟云服务方式等,其目的都是当主服务器出现故障时,快速切换到备服务器上运行,以保证各业务系统24h不间断工作。此外,为确保数据万无一失,每天一般每隔2h左右,利用程序对网络信息数据库进行备份,定时上传到异地存储器中。
1.2合理设置数据库的权限
数据库的权限应该严格控制。在实际工作当中,如果数据库权限不明确,或者流出,就很有可能被网络黑客、非法人员钻空子,从而进入客户端,盗用、篡改数据。给医院网络信息安全造成了严重的威胁。很多医院在网络信息系统中,设置两级登陆保障系统,严格确保数据库登陆权限的安全性。一般,为了严格数据库的保存系统,将数据库分为管理与用户登陆两个系统。具体为:首先打开程序,在公用信息状态下进入数据权限管理中,然后通过权限的加密信心进入账户、密码登陆的渠道,之后在程序的自动运行中,进入整个用户数据库当中。这样做能使得黑客进入系统中,无法得到登陆的账户与密码。另外,对用户的信息实行加密,即便黑客可以进入系统权限当中,由于没有客户的密码,也不能对客户信息进行修改。最后,定期对这些密码进行修改,重设,使医院网络信息系统管理更加安全、可靠。设置密码的时候,不能太过简单,一般字符在8位以上,应该包含数字、特殊字符。在数据库管理中,管理人员可以对常用的和不常用的数据进行有效的设置,将不常用的数据隐藏起来,只显示出正常登陆的用户以及管理员登陆的账户。在密码管理中,应该注意的问题是,系统管理员的密码也应该定期修改、更换,时间一般为三个月之内。管理员的账户密码也不能设置的太简单,必须同时具备数字、特殊字符。
1.3加强工作站的保密工作
在医院工作站中,不要求配备光驱、软驱等设备。另外,医生如果达不到权限,不允许利用移动硬盘、U盘等设备。这样做有两个方面的好处。
①这些设备有可能存在病毒风险,在操作中很有可能引起系统的感染,所以医院工作站禁止配备这些设备,能够有效的防治、避免引起系统信息的损害,保证其安全、稳定。
②防治工作人员在操作中,利用移动设备对信息进行复制、拷贝,从而造成信息资源的外泄。在医院网络信息管理系统中,要求每个工作站的人员设置两个用户名。这两个用户名的权限不同,一个权限低,一个权限高。对于全院的普通医护工作人员,一般使用权限低的用户名进行登陆。在医院信息科中,单独设置权限高的超级用户,对医院网络信息进行管理、维护。对用户名进行分开设置的好处是:使医院网络信息管理更加方便、快捷,与此同时,又能提高信息的安全稳定性能。
1.4加强病毒防护
在计算机中安装防火墙以及杀毒软件,能有效的加强病毒的防护。在医院网络系统管理中,一般选择服务器能够集中管理,客户端自动安装、一次升级的杀毒软件。这种软件的好处是:病毒特征自动进入到工作站,方便管理人员控制。安装杀毒软件时,在安装成功以及后期的升级中,一般会要求系统重启,在这种情况下,应该把控制中心安装在别的服务器上,而不能安装在数据服务器中。当内网防病毒升级时,临时接入外网,升级之后再接入内网,整个过程花费的时间不到一分钟,最快的只需要几秒就可以完成。因为升级的时间很短,加上内、外网并没有真实的连接,所以整个操作是安全的,外网防病毒服务器也能够进行直接升级。
1.5加强信息管理人员的培训
由于医院信息管理中,管理人员的素质、信息安全意识不强,加大了医院网络信息的不安全因素,给医院网络信息造成了很大的损失。而且,这部分人为因素在很多医院的管理中得不到重视,在工作中的负面影响越来越大。所以,针对这种问题,应该加强相关信息管理人员的培训,提高其信息管理的安全意识,以及各种信息管理的技术,增强其业务能力,并不断加强其计算机网络系统知识,不断提高信息管理的水平。在培训结束之后,采取相应的考核,加强其技术能力的培养。
1.6建立安全责任体制
在医院信息管理系统中,建立有效的责任机制,提高管理人员的责任意识和主观能动性。在具体的信息管理中,进行分块管理,分人管理。在日常管理中,如果出现人为操作不规范、疏忽等,造成网络信息泄露,引起经济损失等,按照具体的规定,落实到责任人,对其进行教育,严重的还要进行处罚,以引起警戒。对工作成绩比较突出、认真负责人的管理人员,适当的给予表扬、奖励,提高工作的积极性,为医院网络信息管理做出更大的贡献。另外,在年度员工总结中,可以根据平时的考核,信息管理绩效纳入其中,绩效考核成绩高的员工颁发年终奖金,以资鼓励。对绩效考核差的员工,可以少发、甚至不发年终奖。通过日常管理与年终考核相结合的方式,能够有效的提高员工的综合素质,加强医院网络信息人为管理的质量。
2结束语
一、生机与准危机中的检察信息系统
我国检察机关
的信息化建设从2000年起步至今,经历了由点及面,由弱渐强的发展阶段,并在全国范围内初步形成了较为系统的信息一体化网络。随着“科技强检”进程的逐步深入,检察人的传统思维和工作模式势必会经历前所未有的变化。也正是在这种网络化日盛的趋势下,检察机关的信息化建设成为了检察事业发展的重要课题。
1、检察信息网络建设的现状
按照高检院“213”工程和全国检察机关信息化建设工作“统一规划、统一技术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一” 也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。部分基层检察院的内部局域网络已经能够将检察业务、办公事务、综合业务和全面检索等应用系统运用于实际的检察工作中,同时依靠较为成型的网络系统,并辅之以充足的数据库资源,保证了上下级院之间直接的视频、数据、语音的传输,并基本满足了与其他兄弟院之间进行广泛数据交换的互联要求。
2、检察信息系统的应用状况与面临的困惑
检察信息系统是检察业务工作同以计算机技术为核心的信息技术相结合的产物,是管理科学与系统科学在检察业务实践中的具体应用。检察信息化水平的高低是判断检察工作的重要标尺。目前在我国,检察机关已不同程度地将计算机作为办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。同时,相当一部分检察院已经开通了网站,并通过这一媒介,信息、收集反馈,形成了具有自身特色的网络工作平台。可以说,检察信息化的不断普及为全面建设和完善检察信息系统提供良好的契机,同时也奠定了应用与发展的必要基础。
当然,在肯定成绩的同时,我们也应清醒地认识到现阶段检察信息化建设中存在的诸多不足。首先,目前我国检察机关信息化建设还处于刚刚起步阶段,网络应用水平普遍不高,绝大多数的应用还仅局限于检察业务的某些小的领域,单项应用较为普遍,大而全、广而深的应用体系尚未成型。其次,检察信息技术主要仍以平民技术为主,专业化、职业化的应用并不理想,在缺乏相关专业人才的情势下,技术水平较为幼稚,系统的标准化、通用性和易用性都还处于较低的层面。再则,目前检察机关网络信息化建设与检察业务实际存在明显的脱节,检察业务软件的开发与维护还有许多不尽如人意之处,检察信息系统的网络互连效果以及安全保密功能还有待进一步加强。
客观地讲,当前的检察信息系统仍处于探索和成型阶段。做个不形象的比喻,如果将未来成熟的检察信息系统拟制为一个健康的成年个体的话,目前的检察信息网络则像一个处在哺乳期的婴儿,四肢俱全,生机无限,但未脱襁褓,需要给予更多的关注。
二、流行在检察信息系统中的sars――网络不安全因素。
网络中的不安全因素,之所以称其为sars,并非危言耸听。在当前的检察信息网络中,存在着种种高危的“致病”因素。这些因素往往显见的或潜在的、习惯的或不经意的影响着检察信息系统的稳定和安全。
1、病毒入侵与黑客攻击
网络病毒的入侵、感染与黑客的恶意攻击、破坏是影响当前检察信息网络安全的主要因素。目前,全球发现的病毒数以万计,并以每天十种以上的速度增长,可以说每时每刻网络都在经受着新的病毒或其变种的冲击。通过网络渠道传播的蠕虫病毒、木马程序以及脚本病毒,不管从传播速度、破坏性还是波及范围都让人不可小视。
而对于网络系统而言,黑客攻击较之病毒威胁则更加让人防不胜防。互联网20多万个黑客网站上,提供了大量的黑客技术资料,详细地介绍了黑客的攻击方法,并提供免费的攻击软件。在网络立法十分匮乏、跟踪防范手段有限的今天,面对网络黑客针对操作系统以及应用软件漏洞的频繁地、具有隐蔽性的攻击,我们所要承受的威胁往往是毁灭性的。
2、网络硬件、软件方面存在的缺陷与漏洞
在软件
方面,由于网络的基础协议tcp/ip本身缺乏相应的安全机制,所以基与此存在的任何网络都无法摆脱不安全因素的困扰。而目前
广泛运行在检察网络中的微软windows操作系统更是破绽百出,由于默认的情况下系统开放了绝大多数的端口,所以使得监听和攻击变得轻而易举、防不胜防。再加之相当数量的办公软件与网络软件自身开发的局限性,存在着这样或那样的bug,同时软件的后期服务又不可避免具有滞后性,所以形容当前的网络“风雨飘摇”一点也不为过。
3、使用人员的不良习惯与非法操作
如果将以上两点看作是病源和病毒的话,那么人的因素可能就要算作是将二者紧密结合,产生巨大破坏作用的主要媒介了。客观的讲,目前检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密意识,对硬件的维护缺少必要的常识,带来涉密数据在存储与传递环节不必要的隐患。同时,由于操作熟练程度的原因,网络中的误操作率相对较高,系统宕机的情况时有发生,一方面造成了网络资源的浪费,另一方面也给本地数据带来了一定的危险。
此外,由于检察机关的业务工作与实际应用的需要,所以局域网用户的权限相对较高,使用者的操作空间相对较大。部分具有较高计算机水平的用户,会利用授权非法地进行系统设置或通过黑客软件的帮助突破权限获取其他用户信息乃至涉密信息。这些恶意行为的出现,不仅扰乱了网络内部的正常秩序,同时也为更多“偷窥者”大开方便之门。
4、网络管理与相关制度的不足
网络信息系统三分靠建,七分靠管。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但是事实上,目前各级检察机关的信息系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准,大多数检察机关仍采取较为粗犷的管理模式。主要表现在:
第一,网络管理仅仅作为后勤保障工作的一部分,缺乏必要的领导机制,重视程度有待进一步加强。
第二,网络管理人员充当“消防员”,以“排险”代“管理”,缺乏全民“防火意识”,干警的信息安全责任感亟待提高。
第三,网络管理缺乏必要的程序性规则,在遇到突发事件时,往往容易造成网络系统的内部混乱。
第四,网络信息收集、整理工作不够细致,网络内部机器的跟踪机制还不尽如人意。在用户应用相对随意性的条件下,往往出现“用而不管,管却不能”的尴尬局面。
第五,与安全级别相适应的网络安全责任制度还没有完全建立,使用者的网络操作安全风险没有明确的承担主体,所以使用中缺少必要的注意。网络管理在“使用免责”的情况下,很难形成安全防护的有效底线。
三、构想中的检察信息系统安全防范体系
针对以上问题,笔者认为,要建立、健全检察信息系统的安全防护体系首先需要从检察机关信息安全性的要求出发,充分结合当前检察信息网络的建设现状,从整体上把握,重规划,抓落实。其次,要摒弃一劳永逸的短期行为,在网络项目投入、网络设施建设上做好长期的规划,同时应具有适当的超前性,从检察信息化长远的发展趋势着眼,保持投入的连续性,积极追求网络效能的最大化。其次,在信息化建设的过程中,检察机关还应充分重视制度化的建设,形成较为完善的保障体系,使得网络的运行与管理能够在正确的轨道上持续发展。当然,强调整体规划与设计的同时,我们还应认真做好网络应用技术的普及与网络安全意识的培养工作,将检察信息系统中源于技术局限以及使用者主观因素而产生的种种隐患和损失降到最低程度。
基于上述几点构想,下面笔者将从实际的应用出发,对检察信息安全防范体系的具体实现,作细化论述:
第一,做好检察信息系统整体的安全评估与规划,为安全防范体系的构建奠定基础。
检察机关的网络信息化建设有别于其他应用网络的一个显著特征就是对于安全性有着更为严格的要求。在构造安全防范体系的过程中,我们需要全面地了解自身网络可能会面临怎样的安全状况,这就使得我们不得不对譬如网络会受到那些攻击,网络系统内部的数据安全级别是何等级,网络遭遇突发性安全问题时应如何反应,局域网络内部的域应怎样设定,用户的权限应给予哪些控制等问题进行初步地认定和判断。通过进行安全评估,确定相应的安全建设规划。
当然,在加大投入的同时,也应当正确处理安全成本与网络效能之间的辩证关系,切忌将安全问题绝对化,不能让安全设备和手段的使用降低网络应用的实际效果,寻求可用行与可靠性的平衡点。在安全建设中要注重网络安全的整体效果,尽量运用较为成熟、稳定的软、硬件及技术,同时,针对目前检察网络所采用的微软系统平台,借助于win2000操作系统的域控制功能,对网络的内部结构进行划分、管理,从而既满足了对内部用户的管理要求,同时又在双向信任关系的域-森林结构中实现同级、上下级院之间的安全信息交流。
第二,加强网络安全组织、管理的制度化建设,从制度的层面构造安全防范体系。
健全检察机关网络安全管理的关键在于将其上升到制度的层面,以制度化促进管理的规范化。网络安全管理的制度化建设需要做好两方面的工作,首先要建立明确的安全管理组织体系,设置相应的领导机构,机构以院主管领导、技术部门领导、网络管理人员、网络安全联络员组成,全面负责局域网的日常维护、管理工作。网络安全联络员由各科室选定,负责本部门网络应用过程中的信息上报和反馈工作。网络管理领导小组可以根据全院的实际情况,协调管理人员进行及时的维护,这样不仅有利于人员分工、整合,同时也保证了网络管理的有序进行。其次,要加快网络安全管理的规范性章程的制定,将网络管理的各项工作以制度化的形式确定下来。具体来讲,要尽快形成信息系统重要场所、设施的安全管理制度,例如服务器机房的管理制度;要尽快制定网络安全操作的管理制度,尤其是网络用户的软件使用与技术应用的规范化标准;同时,也要进一步研究网络遭遇突发事件时的安全策略,形成网络安全的应急保障制度,并针对网络安全责任
事故进行制度化约束,追究责任人的主观过错。
当然,制度化建设应当包含检察信息网络管理的各个方面,远非以上几点,它需要我们在补充、修订的过程中不断健全、完善。
第三,提高网络应用与管理的技术水平,弥补自身缺陷,减少外来风险。
在当前检察信息网络的安全威胁中,病毒及恶意攻击可能是其最主要的方面。但我们应清醒地认识到,任何的病毒与黑客技术都是针对网络系统的漏洞而发起的。而在网络应用过程中,大多数使用者对于病毒及外来攻击的恐惧往往要大于对自身系统漏洞的担心。要解决这一问题,首先要使网络用户对网络病毒及黑客攻击有必要的认识,并了解病毒感染的主要渠道,同时要加强网络应用的规范化培训,整体提高操作的技术水平,最大程度地减少人为因素造成的安全隐患。此外,在网络管理中,对操作系统的漏洞应及时的安装安全补丁,并留意微软定期的安全公告,关闭操作系统中并不常用的默认端口,防止为恶意攻击留下“后门”。同时,对网络中的应用软件进行全面检查,尽量避免使用来历不明的盗版软件,将软件的选择导向正版化、网络化的轨道,逐渐减少对于盗版软件、试用版软件以及共享版软件的依赖。
同时,充分利用win2000系统的域功能,严格控制网络客户端机器的超级用户帐号,设定所有用户必须登录域中进行网络操作,设定所有用户(预留guest帐号可以另外处理)的ip地址和网卡物理地址进行绑定、所有无需移动办公的用户帐号和ip地址绑定,实施严密的身份识别和访问控制。
第四,加强应急策略下的物理安全、数据保护与日志管理,健全安全保障体系。
硬盘的损失或失窃,就意味着所有原始信息的丢失或泄密;服务器的损坏或停机,就意味着网络服务的停顿;交换机的损坏,就意味着网络连通的中断。所以在信息安全的所有方面中,计算机的物理安全是最基本的问题,计算机物理安全得不到保障,其他的一切安全措施都是空谈。而计算机的物理安全的保护,除了要有必要的安全防护设备外,更重要的是必须建立完善的管理制度,以管理来保障安全。
地方财政计算机网络信息安全的影响因素有很多,包括网络漏洞、操作失误等等,归纳来说主要是人为因素以及非人为因素。
1.1地方财政计算机网络信息安全的人为威胁
根据对地方财政计算机网络调查分析可以看出,可以将地方财政计算机网络信息安全人为威胁主要包括以下几个方面:第一,财政内部人员造成的安全威胁。地方财政内部人员对于财政计算机网络信息系统都具有合法的访问权,而内部安全人员造成的安全威胁也包括非恶意性质的以及恶意性质的威胁。其中非恶意安全威胁主要指的是内部人员无意中给网络系统造成安全威胁,包括工作人员经验不足、操作失误、对员工的培训不足等等;恶意性质主要是一些内部人员带有目的的对计算机网络系统进行攻击,或恶意的更改地方财政计算机网络系统中的数据等;第二、随着国家对财政科学化精细化管理的要求,地方财政建设了一体化的“大平台”系统,庞大的信息系统通过政府购买外包服务的方式,有大量的外包人员驻场维护,他们了解财政的软、硬件,他的失误及恶意操作将会对网络系统造成灾难,并带来资金安全。第三,主动攻击。主动攻击主要指的是攻击者主动的对地方财政计算机网络信息系统进行攻击,包括引入恶意的代码、恶意避开安全保护、破坏系统的完整性。第四,临近攻击。所谓的临近攻击,主要指的是攻击者采用各种各样的手段,试图接近想要被攻击的网络系统,然后对系统进行破坏。同时临近攻击就是靠近地方财政计算机网络系统最容易受到攻击的地方,更加有利于破坏实施者的行为。目前,临近攻击主要包括窃取屏幕信息、收集系统生成的打印纸等等;第五,分发攻击。所谓的分发攻击,一般发生在硬件与软件开发、生产以及运行安装阶段中,攻击者利用各种手段对软硬件设计参数以及配置等行为进行恶意修改。地方财政是地方政务中关键的工作,其计算机网络系统选用的软件与硬件都必须具有合法性,严格通过政府采购从正规的硬件厂商进货,同时具有相关资质的集成商提供必要的外包服务。如若不然,在地方财政信息系统硬件与软件设备的采购过程中,包括在信息系统建设阶段,都会受到安全威胁。包括一些软件厂商对软件的参数进行修改、植入病毒等等。
1.2地方财政计算机网络信息安全的非人为威胁
非人为的安全威胁大致分为两大类。一方面是来自于自然灾害,存在很大的不可预见性和不可抵抗性;另一方面主要是信息技术局限性的直接造成的威胁,此类还包括了电磁干扰、电磁辐射、运行环境等造成的威胁。自然灾害(火灾、地震、水灾等)对地方财政信息系统的破坏是毁灭性的。同时,不管是哪种技术都存在局限性,计算机网络技术也并不是完美的,也会存在缺陷与漏洞,及时技术当时与系统十分吻合,但是由于地方财政工作改革与发展、信息技术发展等,都会使原本的信息系统受到安全威胁,主要安全威胁体现在新技术对旧技术带来的漏洞攻击等。
2加强地方财政计算机网络信息安全防范的对策
针对现阶段地方财政计算机网络信息安全现状,想要保证计算机网络信息技术在地方财政工作中的优势,必须加强地方财政计算机网络信息安全管理,做好安全防范工作,提高信息安全性,为地方财政工作打下坚实的基础。具体来说,做好地方财政计算机网络信息安全防范工作,需要从以下几个方面入手:
2.1采用有效的技术措施
大部分地方财政计算机网络信息系统安全体系建设都是采用ISSE体系设计的,同时利用一定的安全防范策略开展动态的安全保护。这种财政系统的安全模式下,在访问其内部的网络信息,通过下一代防火墙,根据防护系统预设的规则,发出访问请求,只有与访问规则相吻合才能进行访问,否则访问请求就会被阻挡。对于符合防火墙设置规则的信息就会进入到内部网中,然后就会由入侵检测系统对这些信息进行侦测,这些检测软件运行并不会占用网络宽带,通过和防火墙的联动将具有攻击行为的信息阻塞,然后利用防火墙中的新规则,对后续攻击起到阻断。利用防毒墙对全网存在的病毒进行查杀,通过漏扫软件定期对整个网络系统进行扫描,并对发现的漏洞进行修补。财政信息部门的网关人员需要根据安全产品日志,对防火墙的规则进行及时的维护与调整,确保其能够对财政计算机网络信息系统起到良好的动态性安全防护。建立独立、客观的第三方运维审计监管系统,有效侦测、记录和警示任何针对业务数据和软件程序、硬件配置的修改。另外,计算机网络信息安全技术如何设计方面并不是一个一劳永逸的做法,也不可能存在一劳永逸的做法,任何技术也都具有一定的生命周期,这就必须采用动态的安全防护技术,构建动态的计算机网络信息安全管理体系,对地方财政信息安全提供安全保障。
2.2做好管理措施
做好地方财政计算机网络信息安全防范工作,单靠先进的科学技术是不行的,先进的科学技术弥补不了人为威胁对信息系统带来的危害。技术属于信息安全防范体系中的一分子,是信息安全防范的一种技术,也是一种辅的手段。如果没有对信息系统的使用人员进行专业的培训,也没有进行相应的指导,信息安全防护技术就是一纸空谈。信息系统的使用者,是最直接接触到网络系统的人员,也是网络系统安全中最不稳定的因素所在。根据不完全统计的结果显示,每年地方财政计算机网络信息安全事故,绝大多数事故原因都是由于使用人员操作失误或由于对系统不够了解造成的,而黑客等外部因素造成的安全事故仅仅占10%左右。因此,可以说明内部人为威胁是地方财政信息系统安全的主要威胁因素。这就需要加强信息安全管理工作,将人为因素控制作为安全管理工作的核心,坚持以人为本的管理理念,为地方财政计算机网络信息系统提供最安全的防线。
同时,加强安全管理,制定完善的安全管理措施,还能保证安全技术以及安全设备发挥其应有的作用,弥补程序性的安全措施存在的不足,降低地方财政信息泄露的几率,确保地方财政信息安全。同时,在信息安全系统安全防护工作中,地方财政部门需要建立与完善相关的安全规章制度,加强对内部人员的技术培训,让每一位内部人员都能够对信息系统有足够的认识,同时加强思想政治教育,提高每一位员工的责任心,使其能在操作中严格按照相关的安全操作规范进行,降低人为事故发生的几率。此外,必须加强信息安全管理,将地方财政信息分为信息和非信息,严格按照国家规定对信息进行安全管理。同时对于相关的数据信息采用专业的加密技术,在整个数据传输与使用的过程中,都采用与机密程度相适应的安全防范措施,避免信息泄露,对地方财政工作造成影响。配合第三方运维审计系统,建立信息系统运行维护操作制度,制定标准的系统安全运行流程。配备专职系统安全管理员,定期对业务办理、电子凭证管理、日志记录等进行检查,确保对相关系统操作人员、管理人员、开发商等有合理的授权控制,强化运维管理、规范运维人员操作流程、防控事故隐患,实现财政信息系统规范、高效、安全地运行。
2.3完善计算机网络信息系统物理安全措施
物理安全管理主要包括对地方财务计算机网络系统计算环境设备、网络设施、支持性设备等安全的管理,属于系统安全管理中重要的组成部分。通过物理安全措施,能够有效地避免没有被授权的人员登录访问地方财政信息系统,避免恶意攻击者非法接近地方财政信息系统的相关设施,排除采用物理手段对地方财政信息造成的威胁,有效地避免地方财政信息数据设备,包括硬盘、优盘或一些应用软件被窃取,防治攻击者直接获得相关数据。采用物理安全管理,需要采取以下几点措施:第一,合理的划分信息安全区。对于员工工作区域进行合理划分,划分为系统保护区域、系统测试区域、办公区域,同时对于每一个区域都限定出入的制度,对于信息机房应该采用门禁系统,只有出示相关的身份证明,才能出入计算机机房,同时还需要登记出入的原因以及进入的时间等;第二,增设机房设备管理人员,专门对机房中各种设备的安全负责,加强日常巡检。列出机房设备清单,并对每一台设备进行标注,并记录设备的配置与接线情况,及时地对设备运行状态进行检查;第三,增设信息数据载体安全管理员岗位,对于光盘、优盘、电脑硬盘等数据载体进行专门的管理,负责对这些载体的清理、销毁以及保存。同时制定完善的保密制度以及责任制度,实行一对一的物理保护,切实提高地方财政信息安全。
3总结
为做好外部非法因素的防范工作,确保电力通信系统信息安全,电力企业开发实施了电网通信安全防护体系建设工作。它以电网安全防护工程为主体,实现了科学的电力工程实施流程、管理技术和现阶段最先进的技术的高度结合,构建起一整套全方位的电力系统通信安全防护机制。它涉及信息安全工程学相关知识,以信息安全工程能力成熟度模型(SSE-CMM)为规范,指导实施电力通信安全工程的全过程,从具体的安全设备设置,到安全工程的管理、组织和设计、实施、验证各个环节,包含了电力系统信息安全防范体系的所有环节。具体来说,电力系统通信安全防护体系包括三个主要因素,即策略、管理和技术。
2电力通信系统信息安全相关要求
电力通信所面临的环境比较复杂,给信息安全防范带来较大困难。不同的数据传输方式,信息安全防范的要求也不一样。当前电力自动化管理系统无线网络传输数据的类型分为实时数据和非实时数据两种,下面我们逐一对这两种数据的安全防范要求做出说明。
2.1实时数据安全防范要求
实时通讯对网络的传输速度与质量要求很高,通信规约在时间方面相对苛刻,允许的传输延迟范围很小。同时,实时传输的数据量一般不大,流量长期保持在一定水平,波动幅度较小。现阶段电力通信系统中常见的实时传输数据包括以下几种:(1)下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据受设备状态影响,直接关系到电力系统能否安全稳定运行。在实时传输和安全防范方面的要求都比较高。(2)上行数据。包括遥信、重要遥测、事件顺序记录(SOE)信息等。这些数据是电网运行状的直接反映,是电力调度运行的重要参考依据,具有一定的保密性要求。从上面可以看出,电力通信实时数据具有流量稳定、时效性的特点,对于数据传输的实时性、可靠性、保密性与完整性方面有着加高的要求。所以,在进行实时数据传输时要切实做好加密工作。
2.2非实时数据安全防范要求
和实时传输数据相比,非实时传输的数据具有数据传输量大,时效性低的特点,对于传输延迟的要求也较为宽泛。这类数据主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据对于数据传输的完整性和保密性也有一定要求,工作中要根据具体情况选择正确的加密算法。
3电力通信系统自动化信息安全核查
3.1建立核查库
由于实际工作需要,信息安全基线核查系统要能够辨识不同种类的业务,并在基线安全模块内部完成业务系统的分析工作,以实现对不同业务的安全核查。为实现这个目的,基线系统中要含有针对不同业务的安全模型功能框架,并将这些框架细化分解到系统的各个模块中。根据不同业务所具有的特点,信息安全基线核查系统对其可能存在的安全风险进行针对性的分析核查,并提出相应的处置措施,进而在系统实现层实现这些功能。除此之外,安全基线还负责对系统实现层进行安全漏洞和安全配置相关信息的核查。核查覆盖范围的大小对于该项核查工作的完成质量具有关键性影响。基线核查库是信息安全核查工具的基础,同时也是安全核查工具的参考标准。当前我国已经了电力企业通信安全配置核查检查规范,并根据这项规范设计了电力企业信息安全基线库,成为电力企业信息安全管理工作的坚实技术基础。基线库涉及操作系统、数据库、网络设备以及安全设备等的相关研究。其中,操作系统包括Win-dows2000、Windows2003、WindowsXP、WindowsVista、UNIX操作系统系列等;数据库包括Oracle、SQLServer、Informix等,网络设备包括Hua-wei/Cisco设备,安全设备包括Juniper、Cisco防火墙等。账号、口令、授权、日志、IP地址以及一些其他方面都属于基线库的研究内容。它们对系统安全有着直接影响,是安全检查的必选项目。在核查设备安全配置相关信息时,必须对设备的基本安全配置要求有着清晰的掌握,并提供相应的安全标准,以保障设备的入网测试、工程验收和运行维护的正常开展。
3.2信息安全核查系统架构设计
电力通信系统信息安全核查采用网页方式进行系统管理。用户和系统模块以网页为交互界面,通过浏览器进行数据传递,从而大幅降低了用户使用管理的难度,提高了工作效率。核查系统结构复杂,为提高设计效率,采用模块化的设计方式,在系统多个不同功能的模块中,扫描中心的作用最为重要。该模块负责对已经完成的目标进行探测和评估。具体工作内容包括对主机存活状态、操作系统的设别以及相关规则的解析及匹配。安全基线配置知识库是系统正常运行的基础,负责为扫描调度模块和Web管理模块提高基础数据,该知识库主要包括已知系统、网络设备、应用、中间件、数据库等的安全配置指导参数检查列表等。系统扫描任务完成后,各相关数据汇总到扫描结果库,形成扫描结果报告,以此作为用户查询和分析的数据基础。系统内各个模块的版本升级工作由数据同步模块复杂,同时,该模块还负责系统与外部数据汇总服务器的数据同步工作。Web界面模块是用户与系统交互的重要渠道,用户通过Web界面模块实现系统各项应用功能。根据用户要求的不同,Web界面模块具有多个子模块与之相对应。配置核查系统负责本地执行工作,为受查设备编制结果报表,报表随后汇总至系统进行分析。在Web界面的辅助下,用户可以进行扫描、数据输出、报告生成等多种操作。
3.3统计分析设计
安全基线核查具有宏观和微观双重风险分析功能。一方面,它能够全方位地反映通信网络安全整体水平,从问题分布、危害、主机信息等多方面对系统安全进行细粒度统计分析,并使用形象生动的图例进行说明。另一方面,系统针对核查结果提出切实可行的安全配置解决方案,此外,系统还具备关键词查询功能,允许客户利用自己设计的关键词进行相关信息的搜索,从而帮助用户更方便地了解指定设备的详细配置信息。
4结束语
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
关键词:计算机网络;网络信息安全;防范对策
由于网络的快速发展和计算机的普及,让我们的生活和工作都发生了巨变。但是网络的高速发展,也会产生各种网络信息技术安全问题,从而影响计算机日常的使用和运行。因此在平常的使用和运行中,我们需要了解和认识到计算机网络信息技术安全防范和管理的必要性,并对计算机网络信息安全问题制定相应合理的防范和管理应用措施,才能让我们在生活和工作中安心的享受网络所带来的便利性。
一、计算机网络信息安全面临着的问题分析
(一)计算机病毒
计算机病毒可以使计算机的数据丢失或损坏,从而使计算机无法正常运行文件。它具有隐蔽性高,破坏性强,传播性高等一系列较为突出的特点。具体的特点如下:1)隐蔽性高,大部分地计算机病毒在侵袭计算机成功之后,立刻就会被激活,但也有小部分地计算机病毒在侵袭计算机成功之后会马上隐藏起来,需要在相关操作或特殊设定时间的条件下被动激活,令计算机不能及时发现计算机病毒,令计算机网络始终处于危境当中。2)破坏性强,计算机病毒在侵袭计算机成功后,会对计算机中的文件程序进行破坏,使文件程序遭到破坏,从而无法正常运行,令计算机陷入瘫痪。3)传播性高,计算机病毒在成功侵袭计算机后,无视任何限制,会直接传染计算机系统中的重要文件,即使我们使用杀毒软件进行全面的清理,也不能保证计算机中的病毒是否已经清理干净,甚至还会将被传染的重要文件直接清除,导致重要文件丢失和损坏,而未被清理干净的计算机病毒则会继续传染其他文件,进行循环传染。[1]
(二)计算机木马
1)植入性强,一般情况下计算机木马都是依附在文件或程序软件中,直到被人为下载启动之后,计算机木马才会被立刻激活。2)顽固性高,计算机一旦被计算机木马侵袭到,就会出现难清理的现象,即使我们用杀毒软件进行了清理,还是会发现计算机木马依然在运行。[2]
(三)人为操作不当
从目前情况来看,虽然计算机用户已经逐渐了解到计算机使用过程中,网络信息安全所占有的重要性,但仍然还有大部分的人,不能及时的做出合理有效的网络信息安全防范及管理措施,致使在使用计算机的过程中会频频出现一系列的不恰当操作。如:现在有许多的非法分子经常会注册大量邮箱,并冒充官方邮箱名称海量散布邮件,这些邮件无论是账户名还是内容信息,一眼看上去都具有较高的正规性,如果不能有效地辨别邮件,且按照邮件中的要求回复了对方就会泄漏个人信息和账户信息,稍不留神就会被非法入侵分子乘机而入。[3]
二、计算机网络信息安全的防护对策
(一)制定计算机病毒及木马的防护措施
1)安装正版杀毒软件。使用计算机必须要安装正版的杀毒软件,定期对计算机进行计算机病毒和木马的查杀,及时有效发现并清除计算机病毒和木马。2)使用防火墙技术。防火墙主要功能就是防止非计算机使用者未经计算机使用者授权,私自进入到计算机内部网络进行访问或获取资源,因此使用者在计算机使用过程中,必须使防火墙处于开启状态,用来规避不必要的伤害。3)及时修复系统漏洞。不管是计算机的操作系统,还是其它应用软件都会存在自身漏洞,技术超高的黑客会利用他们自身的技术特长,对这些漏洞进行网络信息安全问题攻击,在这种情况下,那我们自身在使用过程中必须使用正版操作系统及软件外,还要及时地进行对操作系统的更新和升级,降低黑客对计算机进行网络信息安全问题攻击的风险。4)设置访问权限。设置用户访问权限,给予用户访问的权利和限制,用户只可以访问权限设置范围内的相应资源和文件,将一些非法入侵分子阻挡在访问权限大门之外,降低计算机被入侵的可能性,增强网络信息的安全性。
(二)增强用户的网络信息安全意识
1)增强安全防范意识。计算机的使用是以人为来操控的,所以计算机网络信息安全防范措施当然以人为主导的,若想保证计算机网络信息的安全,使用者不仅需要了解和制定相关防范和管理措施,还需要增强使用者自身的网络信息安全防范意识,保证在计算机使用过程中不会出现任何的错误人为操作,规避个人、家庭以及单位信息的泄露。在条件允许的情况下,可以组织网络信息安全意识培训和安全防范技术学习。2)及时进行备份。及时进行系统备份,可以避免在系统出现错误或被计算机病毒和木马侵袭的情况下,可以选择进行恢复,使系统处于最佳运行状态。
根据最新的国家计算机网络应急技术处理协调中心的报告,目前网络攻击的动机逐渐从技术炫耀型转向利益驱动型,网络攻击的组织性、趋利性、专业性和定向性继续加强,从而导致为获得经济利益的恶意代码和在线身份窃取成为网络攻击的主流,瞄准特定用户群体的定向化信息窃取和勒索成为网络攻击的新趋势。此外我国被篡改的网站数量居高不下,尤其是政府网站被篡改的比例呈现上升趋势。图1显示了我国仅在2006上半年统计的网络安全事件数; 图2则显示了当前我们所面对的网络安全威胁种类的复杂性和多样性。由此可见,我国的信息安全面临严峻考验。
从图1和图2我们不难看出,当前的网络攻击和威胁的最大特点是趋利化,那么对于企业来说,如果没有一套较好的安全防范架构,那就不可避免地会在纷繁复杂的网络中遭受大量的乃至致命的打击。因此,建立企业安全防范架构势在必行。
安全架构模型
从当前的理论研究以及实践经验来看,面向企业安全的防范架构并未有一个成型的模型,各企业均按照自身的经验和组织管理体系来进行企业网络安全的防范工作。然而,在实践中急需有一套具有指导性意义的方法和手段来对其工作进行指导,才能做到有备无患。我们看到,关于网络安全的相关标准及模型的研究已经日趋成熟和理论化,并在实践中广泛应用。因此,我们不妨借用这些模型和标准来构建一套较为有效和具有普遍意义的企业安全防范体系。
ITU-T X.800 Security architecture标准将我们常说的“网络安全(Network Security)”进行逻辑上的分别定义,即安全攻击(Security Attack)是指损害机构所拥有信息的安全的任何行为;安全机制(Security Mechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制; 安全服务(Security Service)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。
为了能够有效了解用户的安全需求,选择各种安全产品和策略,有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图3给出了DISSP安全框架三维模型。第一维是安全服务,给出了八种安全属性。第二维是系统单元,给出了信息网络系统的组成。第三维是结构层次,给出并扩展了国际标准化组织ISO的七层开放系统互联(OSI)模型。
框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制,应用平台需要有针对用户的认证、访问控制,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则我们认为该信息网络是安全的。
安全架构的层次结构
作为全方位的、整体的网络安全防范架构是分层次的,不同层次反映了不同的安全问题。我们可以将企业安全防范架构的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理(如图3)。由于层次的不同,我们也需要采用不同的安全技术来针对每层的安全问题进行应对和防护,因而也就产生了如图4中所列的种类繁多的安全技术。
物理层
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。因此,该层的安全防护技术具体体现在设备和系统的管理层面和电气工程相关技术的层面上。
网络层
该层的安全及安全技术问题是当前企业面临的最大问题,其安全防护技术主要是针对各种类型的DoS和DDoS攻击进行防护和抑制。
管理层
管理层安全是最重要而且最容易被忽视的一个问题。它直接关系到上述安全问题和安全技术是否能够收到较好的成效,也是贯穿整个企业安全防范架构的一条重要主线。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。
网络防护两大趋势
随着攻击技术的不断发展和演化,我们需要对企业网络防护技术的未来发展趋势进行把握,可以做出如下两个层面的归纳和预测。
首先是在网络应用层中,风险分析的重点将放在安全测评评估技术上。它的战略目标是掌握网络、信息系统安全测试及风险评估技术,建立完整的、面向等级保护的测评流程及风险评估体系。这一点和过去不一样,过去做测评是没有强调等级保护的。
此外,网络应用层的网络安全事件监控技术的战略目标应重点放在整个企业的层面进行考虑,要掌握保障基础信息网络与重要信息系统安全运行的能力,提高网络安全危机处理的能力。响应的重点应该放在恶意代码防范与应急响应技术上,其战略目标是掌握有效的恶意代码防范与反击策略。一旦发现恶意代码,要迅速提出针对这个恶意代码的遏制手段,要提供国家层面的网络安全事件应急响应支撑技术。其主要创新点在于,提出对蠕虫、病毒、木马、僵尸网络、垃圾邮件等恶意代码的控制机理。
此外国际产业界还提出了UTM。它的目标主要针对安全防护技术一体化、集成化的趋势,提出了UTM与网络安全管理的有效模型、关键算法,提出了相应的行业标准及其实现方式。UTM可以提高效果、降低投资,通过综合管理提高防护能力。
有明显发展新趋势的第二个层面是系统与物理层,在这一层安全存储系统产品很多,从安全角度来看,它的发展趋势有两点: 一个是机密性,企业要掌握海量数据的加密存储和检索技术,保障存储数据的机密性和安全访问能力; 另一个是安全存储系统自身要可靠,企业要掌握高可靠海量存储技术,保障海量存储系统中数据的可靠性。创新点在于,应提出海量分布式数据存储设备的高性能加密与存储访问方法,提出数据自毁机理数据备份与可生存性技术是围绕灾难恢复来做的。这主要是用于第三方实施数据灾难备份的模型与方法,为建设通用灾难备份中心提供理论依据与技术手段,建立网络与信息系统生存性和抗毁性,提高网络与信息系统的可靠性。对网络安全模型提出一个技术性模型,应该要有一个可信计算平台做整体的支撑。业界的战略目标是掌握基于自主专利与标准的可信平台模块、硬件、软件支撑、应用安全软件、测评等一批核心技术,主导我国可信计算平台的跨越式发展,为可信的企业计算提供操作平台和可靠保障。
链接
企业安全防范架构设计准则
根据安全防范架构的多个层面的问题,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,企业网络安全防范架构在整体设计过程中需要遵循以下几项准则,以切实全面地做好企业安全防范工作:
1.做好整体规划
企业信息安全系统应该包括安全防护机制、安全检测机制和安全响应机制和安全策略。这主要来源于经典的信息安全领域的P2DR模型(见右下图)。P2DR模型包含四个主要部分: Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
06
具体到企业安全防范架构上,我们也要很好地考虑这些要点,而不能光为了防范而防范,要整体规划和部署。也就是说,安全防护机制是根据具体系统存在的各种安全威胁采取的相应防护措施,避免非法攻击。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全响应机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。
2.做好层次性防范
层次性防范是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
3.突出重点,合理平衡
网络信息安全的木桶原理是指对信息均衡、全面地进行保护。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。
4.技术与管理,两手都要硬
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。切忌只重视其中一种而忽视另一种的情况出现,要明白好的技术是管理的基础,而高效地管理则是技术强有力的保证。
随着计算机技术的快速发展,以计算机网络系统为主的现代信息系统发展迅猛,人们对于数据库信息系统的安全防范越来越重视,本文主要阐述了当前数据库信息系统安全方面的现状以及提出了针对数据库信息系统的安全防范的有效措施。
【关键词】数据库信息系统 安全防范 探究
随着信息产业的快速发展,数据库信息系统在各行各业之间都得到了很好的利用。但目前,我国数据库的系统安全技术还不完善,这给数据库信息系统带来了隐患,因此,要想更好的杜绝病毒污染、黑客袭击等状况,就必须加强数据库信息系统的安全防范工作。
1 数据库信息系统的安全现状分析
1.1 信息系统的安全范畴
所谓的信息系统安全范畴是指建立者在国家和行业的法律法规的限定下,制定出符合组织的安全管理政策,并且通过学习、培训等形式来提高内部人员的安全意识、防范意识,使其遵守规章制度,严格执行安全政策。对于所制定的安全管理政策还要制定相关的审计制度,用来评价安全政策的效果,并监督安全政策的实施状态,通过高超的技术手段才能保证信息和信息系统的安全,像病毒检测、加密技术等技术手段就是用来提高组织系统的安全性的技术。
1.2 信息系统的安全管理水平较低
当今社会是信息化的时代,人们对于信息安全的重视度也越来越高,尤其在政府机关、企业中,一些信息、文件等都是非常机密,因此,就需要提高安全技术来保证信息系统的安全性。但是,如今的信息系统的安全管理还存在很多问题,首先,对于信息系统的安全技术保障体系还不完善,虽然很多企业购买了信息安全设备,但是由于技术保障不成体系,仍然达不到保障信息安全的效果。
1.3 信息安全面临的威胁不容小觑
信息安全面临的威胁主要体现在以下三点:
1.3.1 人员威胁
随着科技的发展,信息化时代的到来,自动化设备的提高,人员在信息处理过程中的参与度逐渐减少,另外由于人员的安全意识不高,对于设备的操作容易造成失误,还有的人甚至故意破坏,这些行为都给信息安全带来了极大的隐患。
1.3.2 技术威胁
技术威胁主要包括四个方面:
(1)物理方面的威胁:主要指的是信息在存储和产生以及处理、传输、使用的过程当中涉及到的物理设备所处环境的安全,如果最基本的物理设备受到了破坏,那么信息安全问题也就无从谈起了。(2)系统方面的威胁:主要是指系统受到了病毒、木马的侵犯导致的系统崩溃,系统的威胁主要来自于安全技术的滞后。(3)应用方面的威胁:主要指应用程序带来的威胁,其本身的误用、滥用都会带来安全隐患问题。(4)是数据面临的威胁:信息系统的数据是精确的、详细的,如果遭到了窃取、篡改、伪造,会造成信息系统中数据的泄漏和失效,其后果不言而喻。
1.3.3 信息安全组织不完善
信息安全组织负责管理系统的制定以及规划和部署、维护等,推动和领导组织的信息建设,一旦管理不善,势必会造成信息安全组织体系的混乱,缺乏领导核心,不能协调各方面的资源,不能有效监督,这些漏洞都会对信息安全造成很大的危害。
2 加强数据库信息系统安全的策略
2.1 用户认证和鉴别
为了确保数据库的系统安全,对于访问数据库的用户必须要进行认证,可以对用户进行ID、密码的确认来检查其身份是否合法,通过用户认证还可以进行授权访问、审计等相应的跟踪。
2.2 数据加密
数据是数据库系统中重要的信息,因此,对于数据的保护格外重要,为了避免不法用户的盗取、恶意篡改数据库信息数据,可以通过对数据加密来保证其安全,主要有三种加密方式:
(1)字段加密。这种加密模式是直接对数据库当中的最小单位进行加密(MD5是目前应用最多的密码字段保护方法)。
(2)文件加密。把重要的信息和文件一起进行加密,在使用文件时对其进行解密,不使用时进行加密。
(3)记录加密。这种加密模式和文件加密相似,但是加密的单位主要是记录不是文件,我们访问数据库时,都是以二维表方式进行的,二维表的每一行就是数据库的一条记录,以记录为单位进行加密的话,每读写一条记录,只需进行一次加解密的操作,对于不需要访问的记录,完全不需要进行操作,所以使用起来效率会高一些。
2.3 数据库的备份、恢复
为了避免数据库的丢失,对数据库的备份和恢复工作要充分、及时,以增强系统的可靠性,最大限度的减少软件、硬件的故障。
2.4 检查入侵技术
检查入侵技术顾名思义就是检查数据库系统是否遭到入侵的技术,根据IETF,其技术体系包含四个组件:事件产生器、事件分析器、响应单元、事件数据库。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件,事件分析器分析得到的数据,并产生分析结果,响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警,事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
2.5 防火墙技术
防火墙技术可以说是保护数据库系统安全的最重要也是最通用的一项技术,防火墙是不同网络安全域间信息唯一的进出口,具有较强的抗攻击性,能根据安全政策来允许、监测、拒绝进出网络的信息,不仅能够保证网络环境的安全、控制终端信息的外泄,还可以监控审计对网络的访问、存取,极大的提高了对数据库信息系统安全防范工作的水平。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
3 结束语
数据库信息系统作为重要的信息交换手段、各个企业良好合作的平台,它的安全保障措施十分重要,因此,要加强研制新的安全技术,完善数据库信息系统的安全防范,为数据库信息系统提供全面的安全保障。
参考文献
[1]张华桁,宋立群,柯科峰,王虹菲,宋志成.构架信息系统的安全策略研究与开发[J].计算机工程与应用,2010(03):22-26.
[2]刘青.管理信息系统数据库的现状与安全策略[J].广东科技,2011(05):11-12.
[3]张呈宇.浅谈数据库信息安全问题[J].硅谷,2010(01):33-36.
作者简介
张瑞浩(1991-),男,安徽省宿州市人。现为辽宁大学信息学院硕士研究生。研究方向为计算机系统结构。
本文首先分析了行政事业单位计算机网络安全问题,其次,深入探讨了行政事业单位计算机网络安全防范措施,其中包括加强计算机网络与信息安全工作,不断引入和更新网络应用技术,深入源头检查、强化安全管理,加强计算机网络的实时监测,建立起安全性控制的恢复与备份机制,具有一定的参考价值。
【关键词】计算机 网络 安全问题 防范
计算机网络技术的迅猛发展给广大人民群众的工作、生活都带来了较大的便利性,已经成为了生活中的重要组成部分,但是计算机网络也存在着开放性、共享性等特点,易受到恶意软件、病毒等的侵害,导致系统受损或者数据信息外泄,对于计算机网络安全性造成了较大的危害。本文就行政事业单位计算机网络安全问题及其防范措施进行探讨。
1 行政事业单位计算机网络安全问题分析
1.1 计算机网络系统内部
1.1.1 系统漏洞
计算机网络系统漏洞是行政事业单位计算机网络最为主要的安全隐患,主要体现在协议层面、软件层面、硬件层面,若不能及时做好计算机网络系统漏洞监测工作和防护工作,那么必然会出现计算机网络安全问题。
1.1.2 移动存储介质
移动存储介质(如移动硬盘、U 盘等)由于具有易携带、小巧方便、通用性强、存储量大等特点,而被人们广泛应用。但是这些移动存储介质较易染上病毒,易成为信息数据窃取者、网络病毒携带者,严重威胁到行政事业单位计算机网络安全。
1.2 计算机网络系统外部
1.2.1 网络病毒的传播
虽然很多行政事业单位的计算机网络系统都安杀毒软件、防火墙等安全防范措施,但网络病毒的传播仍然严重威胁到计算机网络安全。网络病毒的传播是指黑客人员在计算机网络系统中恶意添加各种非法程序指令和程序代码,有可能会导致计算机系统在短时间之内处于瘫痪,进而窃取资源数据和信息数据。
1.2.2 无授权条件下的非法访问
有相当数量的计算机用户基于各种目的而对未被授权的网站予以非法访问,甚至在出现防火墙危险警告时,仍然置若罔闻。无授权条件下的非法访问很容易会导致黑客人员将用户银行账户、通讯账户、电子邮件账户及密码盗走。
1.2.3 木马入侵
木马入侵主要是指在计算机网络系统中有病毒以木马程序的形式来予以潜伏,在适当的时候会将计算机系统中的资源数据和信息数据用远程控制手段来窃取。
2 如何加强行政事业单位计算机网络安全防范
2.1 加强计算机网络与信息安全工作
(1)在职工大会上及时传达学习上级下发的网络与信息安全工作文件精神,进一步强化安全观念,增强安全意识。牢固树立“信息安全,人人有责”的理念,提高计算机安全管理水平和网络信息安全意识。 制定完善《计算机设备管理办法》、《信息系统安全运维管理办法》等内部管理制度,建立了以各单位负责人为第一责任人的安全管理责任制,并制订安全管理细则,实行安全责任层级管理,全面落实网络及信息安全责任。
(2)结合当前开展的标准化试点工作和绩效考评的相关规定,进一步健全完善网络安全制度建设。规范管理、规范操作,统一制作内外网识别标签,在内外网设备和接口的醒目位置分别张贴,杜绝因误插网线出现违规外联。严禁在内网网络上接入无线路由器等无线设备,杜绝内网及其终端违规外联行为发生。
(3)加强对行政事业单位计算机信息网络的日常管理,加大日常宣传和网络安全检查力度,让安全防范意识固化职工头脑。不定期组织人员对计算机网络管理进行定期与不定期安全检查,实时监控网络的运行状况,按时升级系统补丁,增强对病毒攻击的防御力,及时发现处理网络运行中出现的问题,确保计算机信息网络安全。
2.2 不断引入和更新网络应用技术
行政事业单位可以积极引入信息加密技术、防病毒技术、防火墙技术、漏洞扫描技术等网络应用技术。为了能够增强安全防护力度,可同时采用网络版病毒防护软件和单机版病毒防护软件,将单机版病毒防护软件安装在各个计算机单机上,将网络版病毒防护软件安装在工作站,以便能够远程扫描数据资源,提高病毒清除效果和系统检测效果。此外,有条件的单位还可以采取“生物识别技术”,生物识别技术包括人的面孔、骨架、指纹等人体特征,属于加强版的身份验证方式。
2.3 加强计算机硬件技术防范
电源故障、线路截获以及报警系统等其他计算机硬件系统故障的发生很容易对计算机网络的安全性造成影响,因此,要加强计算机硬件的日常维护,笔者认为,行政事业单位的计算机硬件技术防范方式适宜采取主动(预防)方式,主动(预防)方式属于基于月份、季节或者年份而开展的计划性检修,提前安排专业维护人员来对行政事业单位的计算机硬件进行维护活动。同时,严格按信息安全等级保护的有关工作要求,对操作人员的计算机及应用软件的登录账号及密码,不定期进行风险评估,实施跟踪管理;强化对信息系统重要数据的安全管理,并定期进行数据备份,确保数据不泄露、不丢失。
2.4 加强计算机网络的实时监测
网络检测是指对网络对象的安全性进行信息反馈、信息监控,一旦网络中存在着数据传输的情况,那么可通过神经网络数据分析、数据挖掘、入侵检测等多种措施来对数据的正常与否予以判断,进而预测是否存在着异常数据流、非法数据流。此外,还可以采取相应的安全防范技术来将异常数据流、非法数据流诱导到伪服务器、伪主机上,最大限度地避免出现计算机网络安全问题。
2.5 建立起安全性控制的恢复与备份机制
安全控制是指在连接各个网络服务设备之后所采取的安全保障措施,能够有效地限制某些不合理控制。建立起安全性控制的恢复与备份机制,能够有效地防止出现误删重要文件、恶意篡改重要文件等情况、值得注意的是,虽然恢复与备份机制能够取得较好的效果,但是操作复杂,仍然存在着漏洞,还需要在未来的时间内予以有效完善,提高成功率。
参考文献
[1]刘乔佳,李受到,张敏答.试论计算机网络安全防范技术的研究和应用[J].计算机光盘软件与应用,2012,24(17):134-136.
[2]黄滔.数字签名技术在校园网办公自动化中的应用[J].科技信息(科学教研),2014,17(25):109-113.
[3]张微微.浅谈机房的管理方案部署与实施[J].湖北广播电视大学学报,2009,26(03):120-124.
作者简介
陈绍国(1973-),男,哈尼族,云南省元阳县人。大学本科学历。现为元阳县电子政务网络管理中心工程师。负责实施全县电子政务建设工作。
关键词:安全防范工程 创新型人才培养模式 公安技术学科
中图分类号:G642 文献标识码:B 1
项目资助:甘肃省教育科学“十二五”规划课题GS[2011]GHBG027, 甘肃政法学院2012校级教改项目 GZJG2012-B17
一、安全防范工程专业的现状
2011年3月,国务院学位委员和教育部批准在工学门类下增列“公安技术学”一级学科。2011年12月,在原公安分院和计算机科学学院的基础上成立了公安技术学院,是目前省内唯一、国内最早的,以公安技术一级学科为专业支撑的工科院系。目前,我院公安技术一级学科下设刑事科学技术、信息安全、安全防范工程三个专业。目前我校是国内较早的开设安全防范工程专业的本科学校之一,该专业目标是培养入行业、精技术、懂管理的专门人才,在搞好基础建设的同时,探索工程化培养模式,为我校进入“卓越工程师人才培养计划”奠定良好的基础。
二、特色专业建设
1、专业建设及课程改革
我院的公安技术学科建设主体思路为打造以刑事科学技术专业为支撑平台,以安全防范工程专业为工程基地,信息安全专业为交叉应用的专业发展模式,使各专业间交叉融合、相互支撑、协调发展,形成优势稳定的专业群,并为后续新专业的申请留出接口,计划新增专业消防工程、公安视听技术专业的申报和规划建设工作,为刑事科学技术二级学科硕士学位点的建设创造条件。公安技术学科教学体系建设需要积极和兄弟院校的交流沟通,大量走访公安、安全信息部门等部门,广泛征求意见的基础上,并后,确定了教学大纲、课程体系规划、教与学的实践、以及目标评价。教学体系每过两年定期进行课程的建设和改革。
1)教学大纲的构建
教学大纲中一系列教学目标由5部分内容构成,包括“大学生基础课程”、“警察刑警”、“专业基础课”、“专业选修课”和“基本技能”为模块进行设计。大纲具体描述了学生在工程教学项目结束后掌握了什么、会做什么。
2)课程体系构建
(1)以实现为主导课程体系
学院基于工程人才培养模式,根据公安类院校人才培养目标,确定了以实现为主导的课程体系,即能满足民用企业实用的技术,又能针对公安部门的专业特色。重点具有懂刑事办案,到刑警部门他们有计算机专业特色,懂得安全防范工程体系的优势。同时培养学生的工程实践能力、工程施工能力和技术创新能力,同时兼顾工程的构思、设计和运作,培养具有工程创新能力和团队协作能力的高应用人才。
(2)公安技术课程体系建设
课程体系建设是教学的核心内容之一,是围绕建设以公安特色专业为支撑来系统地培养学生掌握刑事科学技术、信息安全、安全防范工程专业技能。教学改革加强各门课程之间的联系与互相支撑,注重学生的自身能力、团队合作能力、知识的获取与创新能力以及终生学习能力。鼓励以项目工程开发方式促进学生和老师技能和动手能力的培养,将基础课系统和专业实验,实验训练,实习既成系统又相互融合。
这种课程结构会促进专业知识的学习,同时设计有灵活的集成项目,提高学生设计实施经验和实施运作经验,也鼓励老师对自己的课程进行教学改革,添加实践能力培养。鼓励老师对外承接项目和申报课题,以项目带动促进学习。
2. 教材及著作建设
公安技术学科教材和著作是开展教学活动、实现既定培养目标的基本工具,因此教材建设工作是公安技术学科发展的一项基本工作。针对当前公安技术学科教材建设中存在的问题进行分析,指出公安技术学科教材建设必须以完善的公安技术学科课程体系作指导,材建设规划,并采取措施鼓励高水平的教师参加教材编写.保证教材质量,以提高公安技术学科教材建设的整体水平。
3.精品课程建设
学院非常重视公安技术学科课程建设,对每门课程都有经费投入,优先保证精品课程建设经费投入。经费按建设任务书分步、及时足额投入。对省级精品课程建设项目再给配套,并在课程负责人培养、课程团队建设、实训条件建设、课程资源建设等方面给予政策倾斜。
三、实验室建设
根据安全防范工程专业教学计划及专业特色,安全防范工程专业拟建设实验室9个,其中专业基础实验室5个,分别是电路分析与模拟电子技术实验室、数字电子技术与EDA实验室、系统仿真实验室、非线性电子线路与通信原理实验室、单片机实验室;专业实验室4个,分别是入侵报警实验室、视频安防监控实验室、出入口控制实验室、安防运营模式实验室。逐步建设安全防范系统仿真实验室、DSP开发研究实验室、实战综合指挥中心、公安计算机网络实验室等专项实验室,在有条件的基础上,将以模拟实验街区作为安全防范警务实训和系统检测的场所。随着以上实验室的建设,设置创新实验平台,可为本科生课程提供的实践教学基地,还可为相应的课程设计和毕业设计提供支持。同时,也能为等相关研究领域提供科研实践支持。
在此基础上,继续完成专业实践教学基地的建设,同时配合试验管理中心、国资委等部门完成省财政资金省重点实验室的建设工作。
四、专业实践教学
1.实训基地建设
建立新型的实训基地,把学生轮岗实训、教师技术开发和产品融为一体。营造公安实际办案需求和现代企业环境和文化氛围,具有的小型化、多样化、实战化实践场所。以此为依托,建设教学、科研、技术开发、服务、培训相结合的多功能综合技术开发中心。中心既要拥有现有实战技术,又要着眼未来新技术,发挥高新技术孵化器的作用。并通过技术合作、优势互补,加强校外实训基地建设。
2.校企、校局合作及对外交流
校企、校局合作是公安技术专业谋求自身发展、实现与一线实践部门接轨、大力提高育人质量、有针对性地为公安及企事业单位培养一线实用型技术人才的重要举措,让学生把在校所学与实际业务有机结合,让学校和单位的设备、技术实现优势互补、资源共享,以切实提高育人的针对性和实效性,提高技能型人才的培养质量。重点建设实训基地有刑事科学技术实训基地、网络安全监察实训基地、安全防范工程实训基地、网络攻防和信息安全实训基地等。
3.公安特色专业技能竞赛
通过公安特色专业技能竞赛竞赛,促进公安技术类专业面向行业应用进一步优化课程设置、改善教学方法、创新培养模式、深化校企合作。通过竞赛提高学生的面向应用实践能力,促进学生对相关岗位的了解,提高公安特色专业的社会认可度,提高学生的就业质量和就业水平。考虑到公安技术学科的专业特色,提前组织学生,参与赛前的集训。参赛项目包括全国信息安全大赛,全国网络对抗大赛,全国安全防范技术类大赛,全国电子设计大赛和校内公安技术比武竞赛。
五、师资队伍建设
公安技术学科的教师在日常的授课内容中多以理论知识为主,而实践应用能力较弱。实施“走出去”的战略,让教师根据课程内容的需要,到重点大学进修加强理论基础,学习教学模式;到公安实战部门锻炼和听专业系的课程,了解公安一线需要,并学习涉计算机案件的办案方法。实施“引进来”的战略,聘请经验丰富的教师担任荣誉教授、客座教授对专业建设和科研进行指导,请有经验的工程师、办案人员走进校园贴近教学,让学生了解实际应用。
参考文献
关键词:信息安全;网络安全;安全对策
在校园网中信息系统的安全问题成为一个摆在我们这些IT人面前的一个课题。根据多年的信息化工作实践,总结分析了如下的安全威胁及应对策略。
1网络信息面临安全威胁
网络系统安全包括网络安全和信息安全,网络安全指基于网络运作和网络间的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全等几个方面。1.1信息安全指数据的保密性、完整性、真实性、可用性、不可否认性及可控性等安全。1.2病毒和木马的威胁。病毒分为传统病毒和蠕虫病毒,蠕虫病毒对网络的危害性更大。木马是一段隐藏在宿主合法程序系统中的非法程序段,进行侦查窃听、信息窃取或进行破坏活动。1.3黑客攻击。一是利用系统的漏洞或后门进行网络攻击,攻击对象信息系统及数据导致信息系统瘫痪。再就是间谍行为,进行截获、窃取、破译对方重要的机密信息。1.4网站注入代码和挂马。利用操作系统漏洞对网站进行SQL代码注入和挂马。1.5来自内部的威胁。由于内部工作人员安全防范意识比较的薄弱,可能会造成无意的信息泄露,会给恶意的攻击者提供了可乘之机。另外高校的学生多好奇心极强,也会尝试着利用各类黑客攻击工具进行对内和对外的攻击。
2应对安全威胁的策略
那么来自方方面面的这些威胁我们应该如何应对呢?面对这些威胁我们应该从以下几方面来应对。2.1采用防火墙等设备将校园网与互联网隔离开,防止外界的非法侵入,配置访问策略确保校园网内网的安全。2.2加强网络间访问控制,将校园网划分为若干子网,通过ACL控制,可以禁止非法访问,同时也可以避免类似ARP等蠕虫病毒的传播和泛滥。2.3操作系统的漏洞及时进行修补,避免被黑客等利用,对重要的信息系统还要做系统强化,甚至需要做堡垒机。2.4加强病毒防护,包括在服务器安装企业版病毒防火墙、用户终端安装病毒防护查杀软件等。2.5由于传统防火墙是基于网络层的防御,而现在的入侵攻击多是基于应用层的攻击如:黑客攻击、网站注入代码和挂马等攻击。因此在数据中心等重要部位还需要增加应用层的防护设备如WAF或下一代防火墙以及入侵防御等防护设备,加强网站、数据库服务器等防护。2.6针对重点数据信息,需要采用加密的方式进行数据的处理。2.7对需要登陆内部信息系统的用户,可以采用VPN技术,以保证通讯不被侦听和窃取。2.8加强内部人员的安全培训教育,提高人们的安全防范意识,建立安全管理制度,规范内部人员的上网行为,避免来自内部的安全威胁。对学生的教育和监管,必要时可以使用上网行为管理器对内部人员的上网行为进行规范。2.9制定预案,一旦信息系统遭到攻击,我们应该第一时间做出反应,按照预案采取措施,以最大限度的减少损失。
3结论
针对网络信息安全,没有绝对的安全,道高一尺魔高一丈,我们除了应该加强技术防范还应该加强网络信息安全制度建设管理,使技术防范与制度管理相辅相成相互促进。要严格按照国家相关部门要求对校园网中运行的信息系统进行系统等级保护的相关处理。
总之,校园网络信息安全管理是一个长期的过程,是重要的也是很难的任务,我们应该尽可能的提高校园网络的安全性,保护重要的数据不被恶意的窃取,重要的信息系统不被攻击,并在发生安全问题时能及时的处理好,降低危险的破坏程度,使损失和影响减少到最低程度。
作者:李学强 单位:沈阳体育学院网络中心
参考文献
[1]程雪松,赵慧.校园计算机网络安全与防范策略分析[J].电子技术与软件工程,2014(7).
[2]陈强.网络安全管理综合分析[J].电子技术与软件工程,2014(7).
[3]晋泳江.浅谈网络安全防范体系与设计原则[J].电子技术与软件工程,2014(7).
