前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)信息安全預(yù)案主題范文,僅供參考,歡迎閱讀并收藏。
一、高度重視,迅速貫徹落實(shí)
通過召開專題會(huì)議、發(fā)送微信通知,及時(shí)將上級的文件精神傳達(dá)給每位干部職工,讓全體黨員干部充分認(rèn)識(shí)到做好當(dāng)前網(wǎng)絡(luò)信息安全保障工作的重要性和必要性,并作為當(dāng)前的一件頭等大事來抓,確保網(wǎng)絡(luò)安全。
二、強(qiáng)化管理,明確責(zé)任
為進(jìn)一步完善網(wǎng)絡(luò)信息安全管理機(jī)制,嚴(yán)格按照“誰主管誰負(fù)責(zé)、屬地管理”的原則,明確了第一責(zé)任人和直接責(zé)任人,加強(qiáng)對本單位的內(nèi)部辦公網(wǎng)及其它信息網(wǎng)站的監(jiān)督管理,防范黑客的入侵。嚴(yán)禁傳播、下載、發(fā)表一切不利于黨和國家的信息資料,堅(jiān)決制止違紀(jì)違規(guī)行為發(fā)生,確保網(wǎng)絡(luò)信息安全。按照上級要求,迅速成立了網(wǎng)絡(luò)安全工作小組,負(fù)責(zé)網(wǎng)絡(luò)安全應(yīng)急工作,組織單位有關(guān)方面做好應(yīng)急處置工作,組織開展局域網(wǎng)絡(luò)安全信息的匯集、研判,及時(shí)向縣網(wǎng)信辦報(bào)告。當(dāng)發(fā)生重大網(wǎng)絡(luò)安全事件時(shí),能及時(shí)做好應(yīng)急響應(yīng)相關(guān)工作。由辦公室負(fù)責(zé)本區(qū)域網(wǎng)絡(luò)安全事件的監(jiān)測預(yù)警和應(yīng)急處置工作,分管副局長為網(wǎng)絡(luò)安全工作小組的副組長,負(fù)責(zé)辦公室。建立了本單位計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制,明確主管領(lǐng)導(dǎo),落實(shí)責(zé)任部門,各盡其職,常抓不懈,并按照“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,切實(shí)履行好網(wǎng)絡(luò)信息安全保障職責(zé)。
三、信息報(bào)告與應(yīng)急支持
1.積極響應(yīng)上級領(lǐng)導(dǎo)的有關(guān)要求,實(shí)時(shí)觀測本區(qū)域網(wǎng)絡(luò)安全信息,努力做到有效應(yīng)對網(wǎng)絡(luò)安全事件,一旦發(fā)生重大安全網(wǎng)絡(luò)事件及時(shí)向縣網(wǎng)信辦報(bào)送網(wǎng)絡(luò)安全事件和風(fēng)險(xiǎn)信息,并及時(shí)上報(bào)相關(guān)部門,積極配合協(xié)同做好應(yīng)急準(zhǔn)備工作或處置。
2.積極建立健全本系統(tǒng)、本部門、本行業(yè)重大網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制。應(yīng)急處置時(shí),需要其他部門、行業(yè)或技術(shù)支撐隊(duì)伍支持的,一定及時(shí)報(bào)請縣網(wǎng)信辦協(xié)調(diào),同時(shí)配合其他部門盡快解決。
四、細(xì)化措施,排除隱患。
辦公室將對對全局的網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)進(jìn)行一次細(xì)致的排查。檢查安裝桌面終端安全管理系統(tǒng)和殺毒軟件,確保桌面終端安全管理系統(tǒng)注冊率和360殺毒軟件覆蓋率達(dá)百分之百。對于在檢查中發(fā)現(xiàn)的問題或可能存在的安全隱患、安全漏洞和薄弱環(huán)節(jié),立即進(jìn)行整改。進(jìn)一步完善相關(guān)應(yīng)急預(yù)案,落實(shí)應(yīng)急保障條件。杜絕出現(xiàn)違規(guī)“自選動(dòng)作”,遇重大突發(fā)敏感事件,一律按統(tǒng)一部署進(jìn)行報(bào)道。各科室要嚴(yán)把網(wǎng)上宣傳報(bào)道導(dǎo)向關(guān),嚴(yán)格規(guī)范稿源,不得違規(guī)自采,不得違規(guī)轉(zhuǎn)裁稿件,不得擅自篡改標(biāo)題。嚴(yán)格網(wǎng)上新聞報(bào)道審校制度,防止出現(xiàn)低級錯(cuò)誤,同時(shí)加大了對新聞跟帖的管理,組織本單位網(wǎng)評員積極跟帖。
五、應(yīng)急值守
1.單位網(wǎng)絡(luò)安全應(yīng)急負(fù)責(zé)人、聯(lián)系人要保持網(wǎng)絡(luò)暢通,及時(shí)接收風(fēng)險(xiǎn)提示、預(yù)警信息和任務(wù)要求,并按要求報(bào)告相關(guān)情況。負(fù)責(zé)人、聯(lián)系人名單或聯(lián)系方式有調(diào)整的,及時(shí)函告縣網(wǎng)信辦。
2.值班期間,實(shí)行每日“零報(bào)告”制度,每日下午17:00前,報(bào)送當(dāng)天本部門網(wǎng)絡(luò)安全運(yùn)行情況、受攻擊情況和事件情況,一旦發(fā)生網(wǎng)絡(luò)安全事件,立即啟動(dòng)應(yīng)急預(yù)案,迅速應(yīng)對,有效處置,并按規(guī)定程序及時(shí)報(bào)告有關(guān)情況。
六、工作要求
【關(guān)鍵詞】電力企業(yè) 信息網(wǎng)絡(luò)安全體系 隱患分析 防御策略
電力企業(yè)的信息安全不僅影響著其自身的網(wǎng)絡(luò)信息的化建設(shè)進(jìn)程,也關(guān)系著電力生產(chǎn)系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)運(yùn)行。所以,強(qiáng)化信息網(wǎng)絡(luò)安全管理,確保電力信息網(wǎng)絡(luò)的安全性,保證業(yè)務(wù)操作平臺(tái)能夠穩(wěn)定、可靠的運(yùn)行具有重要意義。
1 電力信息網(wǎng)絡(luò)安全體系
信息網(wǎng)絡(luò)安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。
2 電力信息網(wǎng)絡(luò)安全體系存在的隱患分析
2.1 系統(tǒng)漏洞。電力企業(yè)使用的都是微軟所開發(fā)的Windows操作系統(tǒng)。由于一個(gè)計(jì)算機(jī)操作系統(tǒng)過于龐大、復(fù)雜,所以它不可能第一次性地發(fā)現(xiàn)并解決所有存在的各種漏洞和安全問題,這需要在我們的使用當(dāng)中不斷地被完善。這些長久存在或是剛被披露的漏洞,易造成對企業(yè)信息網(wǎng)絡(luò)安全的威脅。
2.2 黑客的惡意攻擊。在這些攻擊行為當(dāng)中,一部分是主動(dòng)的進(jìn)行系統(tǒng)破壞或是更改、刪除重要的信息,另一部分是被動(dòng)的進(jìn)行監(jiān)聽,竊取電力企業(yè)內(nèi)部網(wǎng)絡(luò)交流信息,導(dǎo)致信息外泄。
2.3 網(wǎng)絡(luò)硬件系統(tǒng)不牢固。網(wǎng)絡(luò)硬件系統(tǒng)不牢固是一個(gè)普遍性的問題。盡管互聯(lián)網(wǎng)的硬件系統(tǒng)已經(jīng)具有了較高的穩(wěn)定性和安全性,但其仍然存在的脆弱性也不可忽視,比如雷電所引發(fā)的硬件故障,各種傳輸過程當(dāng)中受其他因素影響所出現(xiàn)的信息失真等。
2.4 員工的信息網(wǎng)絡(luò)安全意識(shí)不健全。電力企業(yè)中,許多員工多信息網(wǎng)絡(luò)的安全意識(shí)還不健全。比如用戶安全意識(shí)不強(qiáng),系統(tǒng)登錄口令過于簡單,或是將賬戶及密碼借給他人使用,盲目地進(jìn)行資源信息共享,這些帶全安全威脅性的操作都可能會(huì)對企業(yè)的信息網(wǎng)絡(luò)安全帶來隱患。還有的員工長時(shí)間占用網(wǎng)絡(luò),大量消耗了網(wǎng)絡(luò)資源,增加了企業(yè)的網(wǎng)絡(luò)通信負(fù)擔(dān),導(dǎo)致企業(yè)內(nèi)部的通信與生產(chǎn)效率較低。
2.5 管理人員技術(shù)水平低。電力企業(yè)作為重要的工業(yè)企業(yè),其“重建設(shè),輕管理”的思想是非常明顯的。安全管理體制不合理,導(dǎo)致企業(yè)疏于對管理人員的技術(shù)培養(yǎng),最終導(dǎo)致管理人員的技術(shù)水平低下,即使網(wǎng)絡(luò)安全出現(xiàn)問題,也不能及時(shí)修理。
3 加強(qiáng)電力信息網(wǎng)絡(luò)安全防御體系的策略
3.1設(shè)備安全策略
建立配套的績效管理機(jī)制,以促進(jìn)信息安全運(yùn)維人員樹立良好意識(shí),提高自身信息網(wǎng)絡(luò)管理能力。
建立電網(wǎng)信息安全事故應(yīng)急處理預(yù)案,例如“突況下某某大樓信息系統(tǒng)應(yīng)急處理預(yù)案”,預(yù)案所要求的各項(xiàng)信息設(shè)備必須作為信息安全重要物資交由信息應(yīng)急指揮人員保管,相關(guān)信息運(yùn)維人員必須在信息事故發(fā)生的第一時(shí)間到崗到位、信息預(yù)案操作流程必須準(zhǔn)確到位,各應(yīng)急單位要定期進(jìn)行應(yīng)急演練,保證在發(fā)生信息安全事故之時(shí)隊(duì)伍能夠拉得出、打得贏。
運(yùn)用國家電網(wǎng)公司統(tǒng)一的標(biāo)準(zhǔn)化信息安全管理模式,規(guī)范日常網(wǎng)絡(luò)處理流程,嚴(yán)格控制網(wǎng)絡(luò)接入程序,對新進(jìn)網(wǎng)絡(luò)施行過程化管理,例如:申請入網(wǎng)人員必須填寫“某公司入網(wǎng)申請單”,并對操作人員嚴(yán)格施行信息網(wǎng)絡(luò)處理“兩票三制”管理,即:操作票、工作票、交接班制、巡回檢查制、設(shè)備定期試驗(yàn)輪換制,從制度上保證信息網(wǎng)絡(luò)安全管理。
成立網(wǎng)絡(luò)信息安全組織機(jī)構(gòu),例如:成立某公司信息安全領(lǐng)導(dǎo)小組,小組成員包括:公司領(lǐng)導(dǎo)層人員、信息安全管理層人員、信息安全網(wǎng)絡(luò)技術(shù)實(shí)施保障人員等,并對各人員工作職責(zé)提出具體要求,尤其是必須明確技術(shù)實(shí)施保障人員的工作要求。
3.2安全技術(shù)策略
使用VPN(虛擬隧道)技術(shù)。按業(yè)務(wù)分別建立對應(yīng)的三層VPN,各VLAN段建立符合實(shí)際要求的網(wǎng)絡(luò)訪問控制列表,將網(wǎng)絡(luò)按部門(樓層)進(jìn)行分段,對各段網(wǎng)絡(luò)配置對應(yīng)的訪問控制,設(shè)置高強(qiáng)度的網(wǎng)絡(luò)登錄密碼,保證網(wǎng)絡(luò)的安全性。
運(yùn)用安全審計(jì)技術(shù)。隨著系統(tǒng)規(guī)模的擴(kuò)展與安全設(shè)施的完善,應(yīng)該引入集中智能的安全審計(jì)系統(tǒng),通過技術(shù)手段,實(shí)現(xiàn)自動(dòng)對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì)。及時(shí)自動(dòng)分析系統(tǒng)安全事件,實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。
病毒防護(hù)技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺(tái)PC機(jī)上安裝防病毒軟件客戶端,在服務(wù)器上安裝基于服務(wù)器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)父的防病毒軟件,必須在信息系統(tǒng)的各個(gè)環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計(jì)算機(jī)病毒預(yù)防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理。
啟用防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)。它通過單一集中的安全檢查點(diǎn),強(qiáng)制實(shí)操相應(yīng)的安全策略進(jìn)行檢查,防止對重要信息資源進(jìn)行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計(jì)量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進(jìn)行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。
擬局域網(wǎng)技術(shù)(VLAN技術(shù))。局域網(wǎng)技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有相同的屬性。由于它是邏輯而不是物理劃分,所以同一個(gè)LAN內(nèi)的各工作站無須放置在同一物理空LAN里,但這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
4 結(jié)語
總之,供電系統(tǒng)數(shù)據(jù)網(wǎng)的安全問題不容忽視,要保障其網(wǎng)絡(luò)的安全可靠運(yùn)行,不能僅僅依靠防火墻等單個(gè)的系統(tǒng),而需要仔細(xì)考慮系統(tǒng)的安全需求,并將各種安全技術(shù)結(jié)合在一起,方能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn):
[1] 鄺德昌.電力企業(yè)信息網(wǎng)絡(luò)安全探討[J].信息與電腦(理論版).2011(10).
【 關(guān)鍵詞 】 醫(yī)院;網(wǎng)絡(luò)安全;安全防護(hù)
Network Security Analysis and Protection in the Construction of Hospital Informatization
Han Hui
(People's Hospital of Pei County,Jiangsu Province JiangsuPeixian 221600)
【 Abstract 】 Due to the development of modern medical technology, the hospital of dependence on the network and system has been enhanced, hospital network security directly related to the normal conduct of business. In this paper, through the analysis of internal, external security risks of hospital network that may exist, to solve the security problem through the security technology and management system, forming a system, the associated security architecture, provides a feasible solution for network security protection of hospital.
【 Keywords 】 hospital; network security; security protection
1 前言
隨著醫(yī)院信息化的不斷發(fā)展,醫(yī)院的HIS、CIS、RIS、LIS等信息系統(tǒng)大大提高了醫(yī)療水平與診斷準(zhǔn)確性及效率,但是隨著業(yè)務(wù)系統(tǒng)的逐漸擴(kuò)展,對于網(wǎng)絡(luò)的管理越來越復(fù)雜,而惡意軟件的猖獗,對醫(yī)院的網(wǎng)絡(luò)造成了更多安全威脅,網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)工程,既需要技術(shù)手段,更需要人為配合,如何保障醫(yī)院網(wǎng)絡(luò)的健康運(yùn)轉(zhuǎn)行,已成為當(dāng)前醫(yī)院信息化建設(shè)過程中所需關(guān)注的重要事項(xiàng)之一。
2 醫(yī)院信息化建設(shè)中存在的安全隱患
2.1 影響醫(yī)院網(wǎng)絡(luò)安全的技術(shù)因素
醫(yī)院在進(jìn)行信息化建設(shè)過程中,與其它局域網(wǎng)相同,涉及到基礎(chǔ)鏈路、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、服務(wù)器、客戶端、業(yè)務(wù)系統(tǒng)等多種元素。醫(yī)院信息化水平的不斷發(fā)展大大提高醫(yī)院的治療、服務(wù)水平,但是其網(wǎng)絡(luò)安全問題也日益突出,如物理環(huán)境的安全性、操作系統(tǒng)的安全性、數(shù)據(jù)備份的安全性等問題,采取傳統(tǒng)的防火墻與防病毒等被動(dòng)式的防御措施已無法解決各個(gè)層面可能產(chǎn)生的安全問題,由此導(dǎo)致的重要數(shù)據(jù)損壞、丟失等問題,不僅影響了醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn),同時(shí)也威脅到了患者的隱私數(shù)據(jù)甚至生命安全,需要更全面的安全解決方案。
安全設(shè)備簡單羅列,未規(guī)劃一個(gè)整體的安全防御體系。醫(yī)院在進(jìn)行安全防范時(shí),存在一定的思維誤區(qū),認(rèn)為有了防火墻就可高枕無憂,關(guān)于網(wǎng)絡(luò)的管理可做可不做,實(shí)際上防火墻僅是安全類產(chǎn)品中的之一,其功能存在一定的局限性,對于基于網(wǎng)絡(luò)內(nèi)部或旁路的攻擊無法抵御,對基于內(nèi)容的攻擊也無法防范。IDS設(shè)備也是如此,僅可對存在的安全問題提供報(bào)警信息,并不能有效防御;數(shù)據(jù)庫審計(jì),雖可以記錄到登錄到數(shù)據(jù)庫的用戶所做的操作,可定位到操作的源IP地址,但是無法防止對數(shù)據(jù)的惡意操作者,如竊取、篡改等操作的具體醫(yī)務(wù)人員,也即無法追究到最終的責(zé)任人。
安全措施操作復(fù)雜,且無關(guān)聯(lián)性。如IP與MAC地址綁定,產(chǎn)生的問題之一是管理人員需要單獨(dú)操作每臺(tái)交換機(jī),對其綁定信息進(jìn)行逐條輸入,工作量非常大,操作不便。問題之二是擁有網(wǎng)絡(luò)基礎(chǔ)知識(shí)的內(nèi)部人員可輕松更改IP地址與MAC地址,導(dǎo)致綁定失效。再如醫(yī)院主機(jī)上安全了殺毒軟件,但是由于數(shù)量之多,且對各個(gè)主機(jī)的殺毒軟件缺乏統(tǒng)一管理,對于病毒庫是否更新、主機(jī)是否開啟了殺毒軟件都不得而知,操作系統(tǒng)的補(bǔ)丁更新也存在同樣的問題。醫(yī)院可能花費(fèi)大量的人力、物力制定了大量的安全措施與手段,但是對其可操作性,相互之間的關(guān)聯(lián)性未做評估,造成形同虛設(shè)。
2.2 影響醫(yī)院網(wǎng)絡(luò)安全的人為因素
無專門的網(wǎng)絡(luò)管理部門,無法在出現(xiàn)問題時(shí)責(zé)任到人;未制定統(tǒng)一的醫(yī)院信息系統(tǒng)建設(shè)的安全規(guī)范或標(biāo)準(zhǔn);無強(qiáng)制性的安全檢查、監(jiān)督機(jī)制,且無第三方專業(yè)機(jī)構(gòu)介入;無網(wǎng)絡(luò)安全上崗人員資質(zhì)認(rèn)定標(biāo)準(zhǔn),無定期的網(wǎng)絡(luò)安全知識(shí)培訓(xùn)、宣傳、考核制度。
由以上因素可能造成嚴(yán)重的安全問題,如醫(yī)院內(nèi)部的人員將個(gè)人電腦接入醫(yī)院內(nèi)部網(wǎng)絡(luò),可能會(huì)將攜帶的病毒感染至醫(yī)院內(nèi)網(wǎng),影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行;或醫(yī)院內(nèi)部人員將業(yè)務(wù)網(wǎng)絡(luò)的電腦接入至互聯(lián)網(wǎng),也可能將互聯(lián)網(wǎng)上的木馬、病毒傳播至醫(yī)院內(nèi)網(wǎng);醫(yī)院內(nèi)部人員利用職務(wù)之便,直接訪問數(shù)據(jù)庫竊取重要數(shù)據(jù)、篡改醫(yī)患的數(shù)據(jù)數(shù)據(jù),造成醫(yī)院的重大經(jīng)濟(jì)損失。此外,黑客可利用電腦,非法接入醫(yī)院的業(yè)務(wù)網(wǎng)絡(luò),發(fā)動(dòng)攻擊,由于醫(yī)院與醫(yī)保等社保網(wǎng)絡(luò)是必須相聯(lián)進(jìn)行相應(yīng)的數(shù)據(jù)驗(yàn)證,因此一旦被攻擊,其后果可想而知。
3 醫(yī)院信息化建設(shè)中的安全防護(hù)策略
醫(yī)院網(wǎng)絡(luò)安全構(gòu)架見圖1所示,通過管理與技術(shù)兩方面對其安全性進(jìn)行保障。
3.1 網(wǎng)絡(luò)安全技術(shù)手段
3.1.1運(yùn)行環(huán)境安全
物理環(huán)境是所有設(shè)備、業(yè)務(wù)系統(tǒng)運(yùn)行的基礎(chǔ),因此它的安全性也是整個(gè)網(wǎng)絡(luò)安全的基礎(chǔ)。機(jī)房中旋轉(zhuǎn)服務(wù)器或網(wǎng)絡(luò)設(shè)備的機(jī)柜均上鎖,并設(shè)專人保管鑰匙。機(jī)房內(nèi)安裝專業(yè)視頻監(jiān)控設(shè)備,配備防雷、防靜電、防塵裝置。重要的網(wǎng)絡(luò)設(shè)備安裝UPS或提供雙路供電;部分重要科室的匯聚層交換機(jī)應(yīng)設(shè)計(jì)為互相冗余,避免因單點(diǎn)傳輸故障造成的業(yè)務(wù)中斷,確保醫(yī)院重要業(yè)務(wù)的不間斷運(yùn)行。醫(yī)院網(wǎng)絡(luò)基礎(chǔ)建設(shè)中應(yīng)采取VPN技術(shù),防止外部網(wǎng)絡(luò)未授權(quán)用戶的非法訪問。
3.1.2網(wǎng)絡(luò)邊界安全
安全隔離設(shè)備:用于實(shí)現(xiàn)醫(yī)院內(nèi)網(wǎng)與互聯(lián)網(wǎng)的安全物理隔離,為各類威脅進(jìn)入醫(yī)院內(nèi)網(wǎng)設(shè)置第一道屏障,同時(shí)可根據(jù)配置實(shí)現(xiàn)相應(yīng)的安全數(shù)據(jù)交換。
下一代防火墻:用于對醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信內(nèi)容的掃描,過濾來自互聯(lián)網(wǎng)的攻擊,如DOS攻擊、Java、JavaScript侵入等,還可用于通過關(guān)閉不必要的端口增強(qiáng)安全性,禁止來自非法站點(diǎn)的訪問,用以抵御不明通信,除了傳統(tǒng)防火墻功能外,下一代防火墻還具備應(yīng)用識(shí)別功能,包括識(shí)別普通應(yīng)用與移動(dòng)應(yīng)用中包含的風(fēng)險(xiǎn),識(shí)別應(yīng)用中的用戶信息,并具備主動(dòng)防御功能。
入侵檢測系統(tǒng)IDS:依照相應(yīng)的安全策略庫,監(jiān)測網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)的通信情況,對不符合安全策略的可能入侵情況進(jìn)行告警,并可與防火墻進(jìn)行聯(lián)動(dòng),阻斷攻擊事件,抵御主機(jī)資源免受來自內(nèi)部或外部網(wǎng)絡(luò)的攻擊。
劃分VLAN劃分:用于劃分不同科室的用戶可訪問的信息資源,避免醫(yī)院內(nèi)部網(wǎng)絡(luò)遭受廣播風(fēng)暴,同時(shí)可降低工作人員的管理與維護(hù)負(fù)擔(dān)。
3.1.3重要信息系統(tǒng)安全
流量監(jiān)測系統(tǒng):此處的流量監(jiān)測系統(tǒng)是針對醫(yī)院的重要信息系統(tǒng),一般旁路部署于三層交換機(jī),通過鏡像端口進(jìn)行各個(gè)應(yīng)用系統(tǒng)流量的分流,分別可對其訪問流量、訪問用戶、停留時(shí)間等進(jìn)行全面監(jiān)測與分析,通過用戶自行設(shè)置的閥值進(jìn)行判斷,一旦發(fā)現(xiàn)異常則告警。
SAN存儲(chǔ)系統(tǒng):對數(shù)據(jù)存儲(chǔ)設(shè)備進(jìn)行集中管理與整合,可實(shí)現(xiàn)存儲(chǔ)的冗余,并利用數(shù)據(jù)的權(quán)限設(shè)置、數(shù)據(jù)備份、容災(zāi)等技術(shù)保障數(shù)據(jù)的安全性。
3.1.4桌面終端安全
防病毒軟件:建立可自動(dòng)下載、統(tǒng)一分發(fā)、同步更新、集中管理的防病毒中心,無論是最新病毒,還是流行病毒,無論是基于Windows,還是Linux,一旦發(fā)現(xiàn)其入侵到任意系統(tǒng),便可即刻清除。
終端管理:主要用于對終端使用USB、移動(dòng)硬盤等外接設(shè)備的控制,安裝和使用互聯(lián)網(wǎng)非法軟件的控制,訪問非法網(wǎng)站的控制等功能,將安全風(fēng)險(xiǎn)降到最低。
軟件升級:主要用于進(jìn)行系統(tǒng)補(bǔ)丁的即時(shí)更新與分發(fā),修復(fù)全網(wǎng)的安全漏洞。
3.1.5全網(wǎng)安全監(jiān)測與管理
安全監(jiān)測平臺(tái):通過與其它安全設(shè)備的聯(lián)動(dòng),實(shí)現(xiàn)對醫(yī)院內(nèi)部全網(wǎng)的所有基礎(chǔ)設(shè)備與安全設(shè)備進(jìn)行全面監(jiān)測,包括業(yè)務(wù)的運(yùn)行情況、性能、配置的分析與預(yù)警、風(fēng)險(xiǎn)分析并生成量化報(bào)告、將安全運(yùn)維的流程進(jìn)行標(biāo)準(zhǔn)化等功能,將單點(diǎn)的安全防范提升為整體的安全把控。
云安全管理平臺(tái):一般借助虛擬化平臺(tái),將各類安全措施進(jìn)行集中管理,如數(shù)據(jù)防丟失(DLP)、安全信息與事件管理(SIEM)與終端保護(hù)方案等,用于提供相應(yīng)的云服務(wù),以虛擬化降低維護(hù)成本,同時(shí)高效地解決醫(yī)院內(nèi)部網(wǎng)絡(luò)安全問題,例如,通過防病毒廠商與VMware vSphere 5結(jié)合實(shí)現(xiàn)服務(wù)器的安全檢測,實(shí)時(shí)地識(shí)別網(wǎng)絡(luò)通信和阻止虛擬架構(gòu)的配置更改,可有效停止用戶的未授權(quán)操作,并在不影響系統(tǒng)正常運(yùn)行的前提下抵御0day攻擊。
3.2 網(wǎng)絡(luò)安全管理制度
一方面,需要建立套較為完善,且操作性較強(qiáng)的管理制度,如業(yè)務(wù)系統(tǒng)管理制度、病毒防范制度、安全管理登記制度、日常維護(hù)記錄查看制度等,對于未遵守相關(guān)規(guī)章制度的人員有相應(yīng)的懲罰措施。另一方面,需要制度詳盡的應(yīng)急預(yù)案,并成立常年的應(yīng)急小組,根據(jù)事件的嚴(yán)重事件進(jìn)行適時(shí)采用,當(dāng)發(fā)生災(zāi)難時(shí)盡快恢復(fù),將醫(yī)院中斷時(shí)間、故障損失與社會(huì)影響降到最低,并形成問題整改的長效機(jī)制。此外,需要對醫(yī)院網(wǎng)絡(luò)的所有使用人員進(jìn)行安全意識(shí)培訓(xùn),尤其是對于網(wǎng)絡(luò)管理人員,需定期對其進(jìn)行考核,以確認(rèn)其崗位勝任與否。
4 結(jié)束語
網(wǎng)絡(luò)發(fā)展越智能,其伴隨而來的安全問題越復(fù)雜,醫(yī)院在進(jìn)行病患病情分析、診斷、治療等多個(gè)環(huán)節(jié)都需要借助信息系統(tǒng),醫(yī)院網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)直接影響到其業(yè)務(wù)與服務(wù)的開展,因此醫(yī)院網(wǎng)絡(luò)的安全性與醫(yī)院利益息息相關(guān),需要從技術(shù)方面、管理方面,上至領(lǐng)導(dǎo),下至工作中的每個(gè)員工共同來維護(hù)其安全性,共同鑄造一道牢不可破的安全防線。
參考文獻(xiàn)
[1] 管麗瑩,黃小蓉.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)及信息安全管理[J].現(xiàn)代醫(yī)院,2006,6(8):144.
[2] 王瑋,魯萬鵬,牟鑫.醫(yī)院信息系統(tǒng)中的安全運(yùn)行保障[J].中國醫(yī)療設(shè)備,2008,23(1):63-65.
[3] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2006:320.
[4] 王輝.淺議網(wǎng)絡(luò)信息安全[J].農(nóng)業(yè)圖書情報(bào)學(xué)刊,2008,20(6):112-115.
[5] 陳克霞,袁耀嵐,李平.計(jì)算機(jī)網(wǎng)絡(luò)信息安全策略探討[J].數(shù)字石油和化工,2008,4:38-40.
[6] 肖敏.穩(wěn)定與高速兼顧 安全與管理并重――珠江醫(yī)院網(wǎng)絡(luò)改造紀(jì)實(shí)[J].中國醫(yī)藥導(dǎo)報(bào),2007,4(25):11.
[7] 宋穎杰,于明臻.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理與維護(hù)[J].中國現(xiàn)代醫(yī)生,2007,45(17):104.
關(guān)鍵詞:電力二次系統(tǒng);網(wǎng)絡(luò)信息;安全技術(shù)
中圖分類號(hào): TM73 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1673-1069(2016)18-160-2
0 引言
隨著近年來社會(huì)經(jīng)濟(jì)的發(fā)展,電力也走上了快速的快車道,它作為國民經(jīng)濟(jì)的基礎(chǔ)支柱性產(chǎn)業(yè),安全生產(chǎn)關(guān)系到國家經(jīng)濟(jì)、社會(huì)發(fā)展的大局,關(guān)系到民生的千家萬戶。由于網(wǎng)絡(luò)犯罪和信息竊密事件的不斷發(fā)生,作為電力生產(chǎn)重要防護(hù)措施的二次系統(tǒng)安全技術(shù)顯得非常的重要。電力二次系統(tǒng)網(wǎng)絡(luò)主要是電力調(diào)度系統(tǒng)、電力監(jiān)控系統(tǒng)、測量設(shè)備,保護(hù),測量和電力數(shù)據(jù)網(wǎng)絡(luò)通信系統(tǒng)等組成。電力二次系統(tǒng)作為綜合自動(dòng)化系統(tǒng)的一部分,具有比電力一次系統(tǒng)使用范圍廣,專業(yè)融合度高的特點(diǎn)。
1 電力一次系統(tǒng)與二次系統(tǒng)
電力一次系統(tǒng)是指由發(fā)電機(jī)、變壓器、送電線路、斷路器、隔離開關(guān)等發(fā)電、配電、輸電、變電等設(shè)備構(gòu)成的整個(gè)發(fā)、配、變、用電網(wǎng)絡(luò)體系。
電力二次系統(tǒng)是由地理上分布在不同地域的各級調(diào)度中心、發(fā)電廠、變電站的業(yè)務(wù)系統(tǒng)通過綜合自動(dòng)化網(wǎng)絡(luò)通信連接起來對一次系統(tǒng)進(jìn)行保護(hù)、監(jiān)控、傳輸數(shù)據(jù)的復(fù)合體系。
2 電力二次系統(tǒng)安全防護(hù)總體方案
2.1 電力二次系統(tǒng)安全防護(hù)的總體策略
通過定義安全風(fēng)險(xiǎn),提出技術(shù)路線和解決辦法以及相對應(yīng)的管理措施是電力安全設(shè)計(jì)策略。安全策略是制定系統(tǒng)管理體系與安全技術(shù)體系的依據(jù),是安全防護(hù)體系的核心部分和安全工程的重中之重。安全策略根據(jù)功能的不同可以劃分為總體策略和面向每個(gè)安全目標(biāo)的具體策略兩個(gè)層次。
電力二次系統(tǒng)的安全防護(hù)策略為:
①分區(qū)防護(hù)、突出重點(diǎn)。所有一次、二次系統(tǒng)都一定要置于相對應(yīng)的安全保護(hù)區(qū)里,將系統(tǒng)中對一次系統(tǒng)的影響程度和對業(yè)務(wù)的重要性進(jìn)行相應(yīng)的分區(qū),對實(shí)時(shí)控制系統(tǒng)等重要的業(yè)務(wù)和數(shù)據(jù)信息通過加密、認(rèn)證或者物理隔離等技術(shù)措施采取重點(diǎn)保護(hù)。
②安全區(qū)隔離。使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)是安全區(qū)隔離的基本功能,隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離的效果,安全區(qū)隔離措施是通過實(shí)時(shí)監(jiān)控系統(tǒng)與辦公自動(dòng)化系統(tǒng)等實(shí)行的有效安全隔離措施。
③縱向防護(hù):電力二次系統(tǒng)通過使用加密、認(rèn)證、物理隔離等網(wǎng)絡(luò)安全手段達(dá)到數(shù)據(jù)向遠(yuǎn)方安全傳輸?shù)哪康摹?/p>
④網(wǎng)絡(luò)隔離是在專用通道上通過采用MPLS-VPNI或Psec―VPN在專網(wǎng)上形成多個(gè)相互邏輯隔離的VPN建立調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò),不僅在安全區(qū)的縱向互聯(lián)的低水平避免安全帶縱向交叉在同一安全區(qū)域和網(wǎng)絡(luò)物理隔離之間的其他數(shù)據(jù)的實(shí)現(xiàn)。
2.2 電力數(shù)據(jù)通信網(wǎng)絡(luò)業(yè)務(wù)關(guān)系
二次系統(tǒng)總體方案是直接適用于電力生產(chǎn)、輸送、使用的整個(gè)過程,并直接關(guān)系到調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和計(jì)算機(jī)監(jiān)控系統(tǒng),它也適用于二次電源系統(tǒng)的各方面和網(wǎng)絡(luò)系統(tǒng)是二次系統(tǒng)安全保護(hù)方案的保護(hù)原理。電力通信系統(tǒng),電力信息系統(tǒng)可以參照電力二次系統(tǒng)安全保護(hù)的總體方案,研究出具體的安全解決方案,包括數(shù)據(jù)網(wǎng)絡(luò),包括遠(yuǎn)程維護(hù)和電力的撥號(hào)網(wǎng)絡(luò),所有級別的電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò),計(jì)算機(jī)監(jiān)控系統(tǒng)的內(nèi)部局域等設(shè)備監(jiān)控系統(tǒng),還包括各級電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)、電廠、計(jì)算機(jī)監(jiān)控系統(tǒng)、變電站自動(dòng)化系統(tǒng)、微機(jī)保護(hù)和安全自動(dòng)化設(shè)備、配電網(wǎng)自動(dòng)化系統(tǒng)、調(diào)度自動(dòng)化系統(tǒng)、電能計(jì)量計(jì)費(fèi)系統(tǒng)、梯級水電調(diào)度自動(dòng)化系統(tǒng)、電力市場交易系統(tǒng)等。
二次系統(tǒng)安全防護(hù)中涵蓋的范圍非常廣泛,既包括DCS系統(tǒng)、水電廠AGC系統(tǒng)、自動(dòng)保護(hù)系統(tǒng),還包括電廠的生產(chǎn)管理系統(tǒng)、電量采集裝置、安全穩(wěn)定控制系統(tǒng)、故障錄波系統(tǒng)、協(xié)同辦公系統(tǒng)等。
3 安全防護(hù)的技術(shù)措施
3.1 橫向隔離
通過隔離裝置在不同的安全領(lǐng)域?qū)崿F(xiàn)了邏輯或物理的橫向隔離,實(shí)現(xiàn)了安全區(qū)域之間的橫向安全保護(hù)。
3.2 縱向認(rèn)證
在現(xiàn)場應(yīng)用中,電力專用縱向加密認(rèn)證裝置位于電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間主要使用的是安全區(qū)I/II的廣域網(wǎng)周邊保護(hù),可以作為本地安全區(qū)I/II的一個(gè)網(wǎng)絡(luò)保護(hù)壁壘,而且為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證與加密服務(wù),使數(shù)據(jù)傳輸達(dá)到機(jī)密性、完整性保護(hù)的目的。
3.3 網(wǎng)絡(luò)專用
電力調(diào)度數(shù)據(jù)網(wǎng)是一個(gè)渠道,通過建立一個(gè)專用的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的專用通道,與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離,并利用MPLS VPN形成多個(gè)相互邏輯隔離的VPN,實(shí)現(xiàn)多級保護(hù)網(wǎng)絡(luò)安全和有效的與其他網(wǎng)絡(luò)建立私人網(wǎng)絡(luò)隔離,它可作為電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)客戶端。其網(wǎng)絡(luò)是比較固定的,可以滿足網(wǎng)絡(luò)傳輸?shù)陌踩院涂煽啃裕瑵M足自動(dòng)化系統(tǒng)調(diào)度自動(dòng)化系統(tǒng)的實(shí)時(shí)性要求,以提供端到端的服務(wù)。
3.4 縱向認(rèn)證
所有系統(tǒng)必須放置在適當(dāng)?shù)陌踩珔^(qū)域,成為一個(gè)統(tǒng)一的安全保護(hù)程序,重點(diǎn)保護(hù)實(shí)時(shí)控制系統(tǒng)和生產(chǎn)業(yè)務(wù)系統(tǒng)。根據(jù)對系統(tǒng)的影響程度和對系統(tǒng)的整體影響分為實(shí)時(shí)控制區(qū)、非控制區(qū)、調(diào)度生產(chǎn)管理區(qū)、管理信息區(qū)等4個(gè)方面。
在垂直保護(hù)系統(tǒng)中,通過撥號(hào)服務(wù)器進(jìn)行數(shù)據(jù)傳輸?shù)拿荑€保護(hù)方法是對遠(yuǎn)程撥號(hào)接入用戶進(jìn)行身份驗(yàn)證和加密。通過身份認(rèn)證技術(shù)、防火墻和VPN的加密和數(shù)字簽名信息的傳輸,并設(shè)置訪問用戶的安全策略的訪問范圍和資源約束的條件下,安全區(qū)I和II的撥號(hào)遠(yuǎn)程訪問用戶的身份認(rèn)證,以提高電力二次系統(tǒng)安全防護(hù)強(qiáng)度,確保問責(zé)和撥號(hào)用戶操作可追溯性。
4 電力二次系統(tǒng)安全防護(hù)的重點(diǎn)
隨著網(wǎng)絡(luò)安全的不斷發(fā)展,電力安全防護(hù)解決方案也有很多種,比如通過加密和認(rèn)證技術(shù),防火墻技術(shù),入侵檢測和網(wǎng)絡(luò)防病毒技術(shù)等都可以實(shí)現(xiàn),但是在在實(shí)際的安全設(shè)計(jì)中,經(jīng)常依據(jù)整個(gè)網(wǎng)絡(luò)采用多種的網(wǎng)絡(luò)隔離技術(shù)進(jìn)行組合或者采取不同的技術(shù)和產(chǎn)品的方法進(jìn)行組合以提高防護(hù)水平。
為了保證數(shù)據(jù)的安全傳輸,電力二次系統(tǒng)網(wǎng)絡(luò)與信息安全除了技術(shù)硬件方面的不斷提高、完善,還要認(rèn)真做好電力二次防護(hù)體系的維護(hù)和建設(shè)工作,不但要建立相應(yīng)的管理制度還要制定相應(yīng)的應(yīng)急預(yù)案并設(shè)定專人進(jìn)行負(fù)責(zé),上級主管部門要經(jīng)常進(jìn)行檢查、監(jiān)督實(shí)施的效果,確保防護(hù)到位。對內(nèi)強(qiáng)化工作人員管理,限制計(jì)算機(jī)的外部輸入和輸出使用,保證系統(tǒng)的對外接觸造成泄密或者防護(hù)措施的被動(dòng)攻擊、損壞的電力系統(tǒng)造成的損失,對維護(hù)及運(yùn)行人員設(shè)定使用權(quán)限,盡可能地從根本上切斷內(nèi)部的網(wǎng)絡(luò)病毒科利用的傳播途徑。
5 結(jié)語
在信息技術(shù)的迅猛發(fā)展的今天,安全防護(hù)措施和網(wǎng)絡(luò)技術(shù)創(chuàng)新后不斷被應(yīng)用于各種電氣控制系統(tǒng),同時(shí)提高了國家電力系統(tǒng)的通過遠(yuǎn)程控制的整體效率。作為用于電力系統(tǒng)的網(wǎng)絡(luò)應(yīng)用的需求,它也對電力系統(tǒng)的安全性提出了更高的要求。為了促進(jìn)電力體制改革,建立和完善電力市場,對以上電力二次系統(tǒng)網(wǎng)絡(luò)和信息安全技術(shù)進(jìn)行了分析,對電力系統(tǒng)的安全運(yùn)行,確保國家創(chuàng)造更大的效益具有重要意義。
參 考 文 獻(xiàn)
[1] 李鳳霞,梁榮斌.電力二次系統(tǒng)安全防護(hù)方案的實(shí)施[J].內(nèi)蒙古石油化工,2009(22).
[2] 張王俊,唐躍中.顧立新上海電網(wǎng)調(diào)度二次系統(tǒng)安全防護(hù)策略分析[J].電網(wǎng)技術(shù),2004,28(18).
關(guān)鍵詞 應(yīng)急響應(yīng);保障措施;網(wǎng)絡(luò)安全;安全事件
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2014)15-0196-01
迄今為止,網(wǎng)絡(luò)信息安全問題不斷變更,給社會(huì)的發(fā)展帶來了嚴(yán)重的影響,在經(jīng)歷了通訊安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全和內(nèi)容安全四個(gè)過程后,重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施及信息的保護(hù)已經(jīng)受到國家的高度關(guān)注,并成為國家安全戰(zhàn)略的重要組成部分,目前,網(wǎng)絡(luò)信息安全問題備受人們關(guān)注,面對網(wǎng)絡(luò)和系統(tǒng)日趨復(fù)雜,解決網(wǎng)絡(luò)安全事件成為應(yīng)急響應(yīng)體系建設(shè)的重點(diǎn)工作。
1 應(yīng)急響應(yīng)的基本內(nèi)容
當(dāng)前,應(yīng)急響應(yīng)主要包括應(yīng)急響應(yīng)、信息安全事件和應(yīng)急響應(yīng)體系的總體架構(gòu)三個(gè)方面的內(nèi)容。
1)應(yīng)急響應(yīng)是指一個(gè)組織在各種安全事件發(fā)生前后所采取的準(zhǔn)備工作及相應(yīng)的緊急措施,應(yīng)急響應(yīng)主要是為了保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性,降低網(wǎng)絡(luò)的脆弱性和縮短網(wǎng)絡(luò)攻擊事件發(fā)生后對相關(guān)信息的破壞時(shí)間和恢復(fù)時(shí)間。
2)信息安全事件,即信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的某種不安全狀態(tài)。而信息安全事件就是導(dǎo)致信息資產(chǎn)丟失或損壞的一種信息安全事故,且其損壞的發(fā)生具有一定的特殊性。當(dāng)然,信息安全事件的發(fā)生也具有因果性、必然性、偶然性、規(guī)律性等特點(diǎn),因此也就是說信息安全事件的發(fā)生是可以通過相應(yīng)的措施進(jìn)行相關(guān)事件的預(yù)防,而應(yīng)急響應(yīng)則是事件發(fā)生后減少損失的一個(gè)重要手段。
3)應(yīng)急響應(yīng)體系的總體架構(gòu),而應(yīng)急響應(yīng)體系由兩個(gè)中心和兩個(gè)組組合而成。而兩個(gè)中心只要是指信息共享與分析中心和應(yīng)急響應(yīng)中心,其兩個(gè)組則由應(yīng)急管理組和專業(yè)應(yīng)急組組成。其中,作為處于系統(tǒng)最高層的應(yīng)急響應(yīng)指揮協(xié)調(diào)中心,主要負(fù)責(zé)協(xié)調(diào)體系、維護(hù)信息共享與分析中心平臺(tái)、管理協(xié)調(diào)各個(gè)應(yīng)急響應(yīng)組,并且也是系統(tǒng)聯(lián)動(dòng)的控制中心。而信息共享主要負(fù)責(zé)與組織進(jìn)行信息共享和交換,它是整個(gè)架構(gòu)的核心。應(yīng)急響應(yīng)中心包含了整個(gè)體系的核心任務(wù),即信息安全事件的分類、預(yù)案管理及應(yīng)急響應(yīng)等。作為整個(gè)體系和聯(lián)動(dòng)運(yùn)作的總協(xié)調(diào)機(jī)構(gòu)應(yīng)急管理組,其主要包括:技術(shù)研發(fā)與策略制定組和專家咨詢組等。專業(yè)應(yīng)急組直接對安全事件實(shí)施響應(yīng)的聯(lián)動(dòng)措施。
2 應(yīng)急響應(yīng)體系的層次結(jié)構(gòu)
對與應(yīng)急響應(yīng)體系的層次結(jié)構(gòu),主要是針對在具體的應(yīng)急響應(yīng)工作中,相關(guān)應(yīng)急響應(yīng)體系的層次結(jié)構(gòu)對安全事件的處理,以此體現(xiàn)層次結(jié)構(gòu)在應(yīng)急響應(yīng)體系中的作用,對此,基于動(dòng)態(tài)對等網(wǎng)層次結(jié)構(gòu)中的網(wǎng)絡(luò)預(yù)警模型展開相應(yīng)的研究。這里主要以DPOH模型為例,這種DPOH模型廣泛分布于受保護(hù)網(wǎng)絡(luò)中,由自治節(jié)點(diǎn)構(gòu)建而成的層次化對等覆蓋網(wǎng)體系。DPOH模型主要是提供底層的分布式協(xié)作和數(shù)據(jù)共享框架,從而使得各類異構(gòu)防護(hù)設(shè)施能夠接入到一個(gè)自適應(yīng)的全局安全防護(hù)體系中,因此具有跨安全域的數(shù)據(jù)共享和相應(yīng)的對等協(xié)作能力,為此,可以有效地執(zhí)行協(xié)同檢測和防護(hù)任務(wù)。
DPOH模型主要是為了保護(hù)規(guī)模較大的網(wǎng)絡(luò)環(huán)境的安全而構(gòu)建的,其重點(diǎn)是對惡意代碼實(shí)施協(xié)同檢測和防護(hù)而構(gòu)建的。其包括層次化對等結(jié)構(gòu)、數(shù)據(jù)分布式共享和動(dòng)態(tài)自適應(yīng)協(xié)作等
特點(diǎn)。
其層次化對等結(jié)構(gòu)具有魯棒性、可拓展性和可管理性優(yōu)點(diǎn)。在DPOH模型中具有控制中心、任務(wù)協(xié)調(diào)中心和安全三類核心節(jié)點(diǎn)角色,然而三種角色又有各自不同的權(quán)限,自上而下形成控制中心群體和任務(wù)組兩層對等覆蓋網(wǎng)體系,使得層次化和對等有機(jī)結(jié)合在一起。
而對于數(shù)據(jù)分布式共享,DPOH模型將NIDS、防火墻安全網(wǎng)關(guān)等設(shè)施通過協(xié)議注冊到相關(guān)的安全節(jié)點(diǎn),將異構(gòu)報(bào)警源生成的報(bào)警數(shù)據(jù)通過XML技術(shù)進(jìn)行一致化處理,然后再由DHT分布式消息共享機(jī)制發(fā)到整個(gè)網(wǎng)絡(luò)安全防護(hù)體系中。對此,DPOH模型還可以整合各類異構(gòu)網(wǎng)絡(luò)安全防護(hù)設(shè)施的數(shù)據(jù)資源,從而實(shí)現(xiàn)了安全報(bào)警消息的分析式存儲(chǔ)和查詢機(jī)制,并對分布式網(wǎng)絡(luò)入侵和攻擊行為進(jìn)行關(guān)聯(lián)分析和協(xié)調(diào)檢測,從而明確入侵意圖,為深層次信息提供了基本的支撐。
針對動(dòng)態(tài)適應(yīng)協(xié)作,DPOH模型提供了其機(jī)制的底層支持,主要體現(xiàn)在以下兩點(diǎn)。
1)預(yù)警模型可以完全擺脫節(jié)點(diǎn)物理拓?fù)涞募s束對網(wǎng)絡(luò)安全資源進(jìn)行調(diào)整分配。
2)當(dāng)安全節(jié)點(diǎn)處于模型底層,并由控制中心根據(jù)所需資源,然后動(dòng)態(tài)地組織任務(wù)組覆蓋網(wǎng),在任務(wù)組只占必要的資源的同時(shí)實(shí)現(xiàn)多任務(wù)并行處理。
3 應(yīng)急響應(yīng)體系的聯(lián)動(dòng)
應(yīng)急響應(yīng)體系的聯(lián)動(dòng)包含技術(shù)防御層的聯(lián)動(dòng)、組織保障層的聯(lián)動(dòng)、響應(yīng)實(shí)施層的聯(lián)動(dòng)和以事件為中心的層間聯(lián)動(dòng)。對此,應(yīng)急響應(yīng)體系的聯(lián)動(dòng)主要體現(xiàn)于各層內(nèi)實(shí)體和層間實(shí)體的聯(lián)動(dòng),若沒有實(shí)體間的聯(lián)動(dòng),其功能就無法進(jìn)行發(fā)揮。所以,實(shí)體間的聯(lián)動(dòng)是十分重要的。而層級結(jié)構(gòu)圖越園,表明其實(shí)體間的聯(lián)系就越緊密,其活躍度就更高。由外而內(nèi),區(qū)域逐漸變小,而其功能越來越復(fù)雜,各層間的聯(lián)動(dòng)活躍度也就越高。
對于無大規(guī)模的網(wǎng)絡(luò)攻擊或者網(wǎng)絡(luò)戰(zhàn)爭的發(fā)生,其聯(lián)動(dòng)是最少的。在技術(shù)防御層中的六個(gè)實(shí)體間的聯(lián)動(dòng)是通過彼此間的因果關(guān)系傳遞的,而組織保障層中的四個(gè)實(shí)體間的聯(lián)動(dòng)在同種形式下是十分緊密的,其信息的傳遞可通過雙向傳遞或者點(diǎn)與點(diǎn)直接傳遞,對于響應(yīng)實(shí)施層內(nèi)的六個(gè)功能在通常情況下實(shí)體聯(lián)動(dòng)可表現(xiàn)為一體。
4 結(jié)束語
在目前網(wǎng)絡(luò)飛速的發(fā)展中,由于各種因素的影響所造成的網(wǎng)絡(luò)漏洞較多,網(wǎng)絡(luò)信息安全事件的發(fā)生給人們,尤其是事業(yè)單位造成了很大的困擾,而應(yīng)急響應(yīng)防御體系中的一道重要的防線,是網(wǎng)絡(luò)信息安全的可靠保障。急響應(yīng)體系的建立其工程十分復(fù)雜,應(yīng)該為此加強(qiáng)安全措施的聯(lián)動(dòng),并全面了解層次結(jié)構(gòu),才能解決主要的問題,才能進(jìn)一步完善應(yīng)急響應(yīng)體系。保證各類信息的安全。
參考文獻(xiàn)
[1]王瑞剛.網(wǎng)絡(luò)與信息安全事件應(yīng)急響應(yīng)體系層次結(jié)構(gòu)與聯(lián)動(dòng)研究[J].計(jì)算機(jī)應(yīng)用與軟件,2011,28(10):117-119.
[2]王茹.安全信息管理(SIM)風(fēng)險(xiǎn)管理的研究與實(shí)現(xiàn)[D].北京郵電大學(xué),2010.
[3]胡文龍.蜜網(wǎng)的數(shù)據(jù)融合與關(guān)聯(lián)分析的研究與實(shí)現(xiàn)[D].北京郵電大學(xué),2009.
一、概述
信息中心(通信公司)成立于1989年,是油田范圍內(nèi)唯一一家經(jīng)營通信服務(wù)的公司。上世紀(jì)90年代末,網(wǎng)絡(luò)技術(shù)的開始在油田發(fā)展,信息中心開始搭建公司內(nèi)部使用的局域網(wǎng)絡(luò),由于當(dāng)時(shí)技術(shù)的局限性,對網(wǎng)絡(luò)的擴(kuò)展性和延伸性未進(jìn)行很好的規(guī)劃。隨著信息化時(shí)代的來臨,中心的各項(xiàng)業(yè)務(wù)流程及應(yīng)用服務(wù)都逐漸移植到網(wǎng)絡(luò)服務(wù)上。在中心內(nèi)部逐漸形成了運(yùn)行生產(chǎn)報(bào)表匯總的生產(chǎn)運(yùn)行網(wǎng),運(yùn)行電信業(yè)務(wù)營收及業(yè)務(wù)辦理的計(jì)費(fèi)網(wǎng),與集團(tuán)公司進(jìn)行公文收發(fā)的信息網(wǎng),還有大部分計(jì)算機(jī)還要外部互聯(lián)網(wǎng)進(jìn)行聯(lián)系,滿足工作學(xué)習(xí)的需要。由于不同的需求跨越不同的網(wǎng)段,占用不同的物理鏈路,且各個(gè)部門的需求又不盡相同,所以造成公司內(nèi)部網(wǎng)絡(luò)異常混亂,各類應(yīng)用無法暢通的運(yùn)行。不但加大了對網(wǎng)絡(luò)的維護(hù)的難度,而且網(wǎng)絡(luò)的安全性也無從保障。
二、現(xiàn)有網(wǎng)絡(luò)改造
改造后網(wǎng)絡(luò)系統(tǒng)采用星型結(jié)構(gòu),以寬帶機(jī)房為中心,連接應(yīng)用服務(wù)器群,機(jī)關(guān)樓,中心機(jī)房大樓、還有地處各個(gè)礦區(qū)的通信站,綜合服務(wù)公司。涉及聯(lián)網(wǎng)的機(jī)器約有300余臺(tái),20余個(gè)部門。網(wǎng)絡(luò)出口部署中網(wǎng)黑客愁防火墻,3個(gè)百兆端口分別連接到互聯(lián)網(wǎng)、信息網(wǎng)和內(nèi)部網(wǎng),利用防火墻的NAT功能,抵御來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊,管理,限制內(nèi)部用戶的互聯(lián)網(wǎng)訪問。核心層采用Cisco3548-EMI三層交換機(jī),該交換機(jī)能夠?qū)崿F(xiàn)數(shù)據(jù)保的路由及數(shù)據(jù)快速轉(zhuǎn)發(fā)交換。接入層采用Cisco2948二層交換機(jī),實(shí)現(xiàn)各終端的接入。全網(wǎng)按照部門和物理位置劃分出了20個(gè)VLAN,利用Cisco3548實(shí)現(xiàn)三層交換,有效的抑制了廣播風(fēng)暴的影響。各接入層交換機(jī)與Cisco3548之間采用TRUNK方式連接,不同交換機(jī)的端口可以規(guī)劃到相同的Vlan中。
三、網(wǎng)絡(luò)規(guī)劃整體規(guī)劃與設(shè)計(jì)
1.Vlan劃分:按照公司不同部門位置和地域的情況,結(jié)合管理需要,劃分為16個(gè)VLAN,每個(gè)VLAN的電腦可以進(jìn)行交換數(shù)據(jù),不通VLAN內(nèi)的電腦通過Cisco3548三層交換機(jī)進(jìn)行數(shù)據(jù)交換,這樣可以有效的降低網(wǎng)絡(luò)內(nèi)的廣播風(fēng)暴,減少病毒傳播。
2.計(jì)費(fèi)數(shù)據(jù)中心的構(gòu)成:將計(jì)費(fèi)核心數(shù)據(jù)庫用CiscoPix525防火墻隔離,通過防火墻的端口重定功能開放營收客戶端的訪問功能。保證核心數(shù)據(jù)庫的安全穩(wěn)定。
3.各單位的網(wǎng)絡(luò)接入:南部通信站和團(tuán)泊洼站通過E1/Ethernet協(xié)議轉(zhuǎn)換器接入到內(nèi)部核心交換機(jī)。港東站、港西站、幸福里站通過傳輸網(wǎng)絡(luò)的Ethernet接口接入到內(nèi)部核心交換機(jī)。中心西院通過光收發(fā)器接入到內(nèi)部網(wǎng)絡(luò)核心交換機(jī)。
4.IP地址規(guī)劃:鑒于中心內(nèi)部網(wǎng)絡(luò)規(guī)模中等,所以啟用B類保留地址,172.16.0.0/16,按照不同VLAN分配不同網(wǎng)段。
四、網(wǎng)絡(luò)安全規(guī)劃與建設(shè)
中心內(nèi)部網(wǎng)絡(luò)承載各種不同功能的應(yīng)用系統(tǒng),如辦公自動(dòng)化系統(tǒng)、營收管理系統(tǒng)、監(jiān)控保安系統(tǒng)等。網(wǎng)絡(luò)中存在的病毒與黑客等信息安全威脅,都會(huì)影響到各類系統(tǒng)得穩(wěn)定使用。因此制定防毒反黑、安全隔離等網(wǎng)絡(luò)安全策略,是內(nèi)部網(wǎng)絡(luò)建設(shè)不可或缺的部分。根據(jù)中心內(nèi)部網(wǎng)絡(luò)的安全需求,通過防火墻把整個(gè)網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)、DMZ區(qū),外部網(wǎng)絡(luò)(包括公網(wǎng)與信息網(wǎng))實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。首先,利用防火墻的網(wǎng)絡(luò)級包過濾進(jìn)行反黑與有效的安全隔離。其中,運(yùn)用防火墻的多極過濾、動(dòng)態(tài)過濾技術(shù)、通過數(shù)據(jù)包監(jiān)測,保護(hù)內(nèi)部網(wǎng)絡(luò)不被破壞,并且保護(hù)網(wǎng)絡(luò)服務(wù)和重要的私人數(shù)據(jù)。運(yùn)用NAT技術(shù),一方面節(jié)約有限的公網(wǎng)地址,另一方面也隱藏了內(nèi)部網(wǎng)的IP地址,有效的保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部的攻擊。另外,防火墻具有基于WEB的全中文圖形用戶界面,允許通過HTTPS加密方式進(jìn)行防火墻的配置和管理,包括安全策略的執(zhí)行。本方案采用賽門鐵克的網(wǎng)絡(luò)版殺毒軟件,作為一個(gè)符合網(wǎng)絡(luò)版殺毒軟件新標(biāo)準(zhǔn)的產(chǎn)品,賽門鐵克網(wǎng)絡(luò)版殺毒軟件通過可移動(dòng)集中控制管理帶來的高效率,不但增強(qiáng)了防病毒的安全性,更讓整個(gè)網(wǎng)絡(luò)的管理更輕松,無需投入巨大人力、物力財(cái)力的防病毒安全解決方案。
五、結(jié)束語
關(guān)鍵詞 校園網(wǎng) 信息安全 安全管理
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A
0前言
校園網(wǎng)是高校中,師生獲取信息和交流想法觀點(diǎn)的重要途徑,在高校的建設(shè)中占據(jù)著舉足輕重的地位。但在建立校園網(wǎng)的過程中,它自身存在的問題也逐漸暴露出來,隨著網(wǎng)絡(luò)的不斷發(fā)展和深化,信息安全方面的問題得到了人們越來越高的重視。為了保障校園網(wǎng)的信息安全,應(yīng)該從管理方面著手,分析出校園網(wǎng)信息安全得不到保障的原因,以及在今后的建設(shè)中,應(yīng)該如何加強(qiáng)對校園網(wǎng)的管理,建立起一個(gè)網(wǎng)絡(luò)信息安全的長效機(jī)制,從根本上還原一個(gè)安全的網(wǎng)絡(luò)環(huán)境。
1校園網(wǎng)信息安全的研究思路
校園網(wǎng)是指在各高校間被廣泛應(yīng)用的開放式網(wǎng)絡(luò),給學(xué)生和老師的上網(wǎng)環(huán)境提供了便利,但由于校園網(wǎng)的用戶層次具有差異性,致使信息安全方面出現(xiàn)了很多問題。
1.1校園網(wǎng)的邊界安全
校園網(wǎng)的邊界安全是指校園網(wǎng)和外界網(wǎng)絡(luò)之間實(shí)現(xiàn)的信息交換是安全的,建設(shè)校園網(wǎng)的邊界安全,要求既能保證校園網(wǎng)和外界網(wǎng)絡(luò)能夠正常實(shí)行信息通訊活動(dòng),又能抵御來自互聯(lián)網(wǎng)的病毒、端口掃描等一系列惡意攻擊。
1.2系統(tǒng)漏洞的修補(bǔ)
校園網(wǎng)的用戶主要是高校學(xué)生,每個(gè)學(xué)校里都有數(shù)量眾多的學(xué)生,使得校園網(wǎng)的網(wǎng)絡(luò)運(yùn)行環(huán)境成了多用戶、多系統(tǒng)、多應(yīng)用的網(wǎng)絡(luò),數(shù)量龐大的網(wǎng)絡(luò)設(shè)備和操作系統(tǒng),讓應(yīng)用軟件無可避免地存在許多安全漏洞,如果這些漏洞得不到及時(shí)的清理,將會(huì)帶來大量的病毒、木馬和黑客入侵。
1.3校園網(wǎng)計(jì)算機(jī)與存儲(chǔ)設(shè)備的安全
校園網(wǎng)的終端計(jì)算機(jī)中存儲(chǔ)了大量的文檔信息,其中包含了學(xué)生檔案、教師的教學(xué)設(shè)計(jì)、學(xué)生作業(yè)以及考試題目,這些信息非常重要,但是由于數(shù)量巨大,致使在應(yīng)用和管理上這些信息存在著許多安全隱患,比如設(shè)備的無分級管理、操作人員沒有安全信息方面的意識(shí)等。
1.4校園網(wǎng)維護(hù)管理
校園網(wǎng)建設(shè)完成后,想要保障信息的安全,就必要加強(qiáng)日常的維護(hù)管理。具體實(shí)施體現(xiàn)在網(wǎng)絡(luò)的安全運(yùn)行要有一個(gè)校園網(wǎng)的安全運(yùn)營中心,通過對安全管理工作的重視和強(qiáng)化,對校園網(wǎng)的硬件設(shè)備、系統(tǒng)應(yīng)用方面實(shí)時(shí)監(jiān)控,對其情況進(jìn)行匯總和分析,隨時(shí)能夠提出緊急的應(yīng)急措施,確保校園網(wǎng)的信息安全。
2校園網(wǎng)中安全信息出現(xiàn)的問題
2.1安全管理制度的不完善和安全意識(shí)淡薄
對校園網(wǎng)的安全信息保障離不開管理力度的投入,但在實(shí)際情況中,很多高校存在著重建設(shè)、輕管理的現(xiàn)象。隨著時(shí)間的流逝,表明了安全管理如果不被重視,會(huì)導(dǎo)致大量的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在大部分高校中,對校園網(wǎng)的建設(shè)也不夠成熟,在這個(gè)階段中,工作人員缺乏安全管理的意識(shí),不能及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞并予以修復(fù),同時(shí)還缺乏一個(gè)安全預(yù)警和監(jiān)管的體系制度,不能夠有效做好安全信息的預(yù)防工作。
2.2病毒的侵害
近幾年的發(fā)展中,校園網(wǎng)的網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,性能也逐漸提高,但這也給病毒的傳播提供了一個(gè)溫床,造成了越來越嚴(yán)重的后果。比如曾經(jīng)有新聞報(bào)道,某高校的校園網(wǎng)出現(xiàn)了“ARP病毒”,讓校園網(wǎng)中的大部分用戶無法上網(wǎng),一時(shí)間,計(jì)算機(jī)的病毒成了校園網(wǎng)中威脅信息安全的頭號(hào)殺手。
2.3系統(tǒng)的安全風(fēng)險(xiǎn)
系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)最重要的組成部分,系統(tǒng)的安全風(fēng)險(xiǎn)主要是指操作系統(tǒng)、數(shù)據(jù)系統(tǒng)以及各種應(yīng)用系統(tǒng)在運(yùn)行過程中出現(xiàn)的安全風(fēng)險(xiǎn)。就目前的形勢來看,校園網(wǎng)所使用的系統(tǒng)大多數(shù)都是微軟系統(tǒng),而這些系統(tǒng)和網(wǎng)絡(luò)軟件并不能保證沒有漏洞和缺陷,有些漏洞可以直接獲得管理員的權(quán)限,對服務(wù)器進(jìn)行攻擊,這也給校園網(wǎng)的信息安全帶來了巨大的隱患。
2.4人為因素的影響
除了校園網(wǎng)本身的設(shè)備會(huì)對信息安全造成威脅外,還有一個(gè)最不確定的因素就是人為因素的影響。根據(jù)實(shí)踐表明,人為因素破壞信息安全主要分為兩類,一類是無意間造成的,是指操作軟件的過程中,操作人員的技能不夠熟練,在使用過程中出現(xiàn)了失誤而致使了系統(tǒng)的故障;另一類就是故意的行為,主要是網(wǎng)絡(luò)黑客為了竊取校園網(wǎng)中的數(shù)據(jù)而發(fā)起的蓄意攻擊,非法使用網(wǎng)絡(luò)資源,嚴(yán)重破壞了網(wǎng)絡(luò)的信息安全。
3如何加強(qiáng)對校園網(wǎng)信息安全地管理
3.1建立健全校園網(wǎng)的規(guī)章制度
一個(gè)完善的制度可以引領(lǐng)行動(dòng),建立一個(gè)健全的校園網(wǎng)管理制度,就可以讓管理工作做到有章可循。在現(xiàn)在的高校中,想要實(shí)現(xiàn)現(xiàn)代化的教學(xué)條件,就必須加強(qiáng)對校園網(wǎng)的建設(shè),針對信息安全得不到保障的問題,可以建立一些相關(guān)的規(guī)章制度。而在建立規(guī)章制度的過程中,必須要從生活實(shí)際出發(fā),讓這些規(guī)章制度符合校園網(wǎng)的實(shí)際情況,能夠做到全面、具體,當(dāng)制度建完之后,則要規(guī)定師生都能夠嚴(yán)格執(zhí)行,只有這樣才能讓規(guī)章制度達(dá)到良好的效果。
3.2做好軟件設(shè)備維護(hù),定期進(jìn)行殺毒
軟件設(shè)備決定了校園網(wǎng)能夠高效運(yùn)行,要想讓軟件設(shè)備發(fā)揮出最大化的優(yōu)勢,就要定期對軟件進(jìn)行殺毒,加強(qiáng)軟件設(shè)備的維護(hù)工作,只有這樣,才能保障校園網(wǎng)的正常運(yùn)行。在實(shí)際的工作中,軟件設(shè)備的維護(hù)工作看似簡單,但實(shí)際上非常繁瑣,這就要求了工作人員要具備專業(yè)的知識(shí),并不斷學(xué)習(xí)新技術(shù)、新知識(shí),從技術(shù)上保障軟件設(shè)備的維護(hù)工作。網(wǎng)絡(luò)中的病毒無處不在,一旦這些病毒入侵了校園網(wǎng)的服務(wù)器,就會(huì)讓系統(tǒng)出現(xiàn)癱瘓的狀態(tài),因此要經(jīng)常對病毒進(jìn)行掃描,升級殺毒軟件。除此之外,學(xué)校還應(yīng)該對重要的數(shù)據(jù)進(jìn)行備份,避免病毒入侵,數(shù)據(jù)丟失所帶來的重大損失。
3.3做好硬件設(shè)備的維護(hù)
校園網(wǎng)的硬件設(shè)備主要是指服務(wù)器,它是網(wǎng)絡(luò)能夠正常運(yùn)轉(zhuǎn)的基本條件,也是整個(gè)校園網(wǎng)的核心。如果說軟件設(shè)備維護(hù)不當(dāng)會(huì)影響校園網(wǎng)的高效運(yùn)行,那么硬件設(shè)備如果維護(hù)不當(dāng),則會(huì)讓校園網(wǎng)根本無法運(yùn)行,這會(huì)讓老師無法開展教學(xué)工作,學(xué)生的學(xué)習(xí)也會(huì)受到影響。因此,在硬件設(shè)備的維護(hù)中,要求工作人員全面掌握計(jì)算機(jī)的工作原理,定期給硬件設(shè)備清灰除塵,保持機(jī)房的溫度和濕度,保持在良好的自然條件中,一旦校園網(wǎng)的硬件設(shè)備出現(xiàn)了問題,工作人員能及實(shí)地維護(hù)和更換。
4結(jié)論
現(xiàn)代化科技的發(fā)展,讓高校的教育越來越多地應(yīng)用到了網(wǎng)絡(luò)多媒體,因此建立一個(gè)校園網(wǎng)是尤為必要的,它能加強(qiáng)老師和學(xué)生之間的溝通交流。但在實(shí)際生活中,校園網(wǎng)的信息安全一直存在著許多問題,想要從根本上保證信息安全,就必須要加強(qiáng)管理工作。常言道:三分靠設(shè)備,七分靠管理,把管理的效率提高,自然會(huì)保障信息的安全。在實(shí)際工作中,管理人員一定要樹立安全意識(shí),提高對網(wǎng)絡(luò)安全的技術(shù)掌握。另外,學(xué)校也需要建立相關(guān)的規(guī)章制度,有效控制校園網(wǎng)內(nèi)部的安全隱患,讓校園網(wǎng)能夠健康平穩(wěn)地發(fā)展。
參考文獻(xiàn)
[1] 李小許,李杰.校園網(wǎng)信息安全與網(wǎng)絡(luò)管理探討[J].數(shù)字化用戶,2013,(09):115.
[2] 牟文杰.探索校園網(wǎng)信息安全管理工作的長效機(jī)制[J].思想理論教育導(dǎo)刊,2005,(08):62-67.
[3] 左靖.校園網(wǎng)信息安全與網(wǎng)絡(luò)管理[J].硅谷,2009,(01):56-66.
關(guān)鍵詞:稅務(wù)系統(tǒng);網(wǎng)絡(luò);信息;安全
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 11-0000-02
目前,全國各級稅務(wù)機(jī)關(guān)已形成以計(jì)算機(jī)網(wǎng)絡(luò)為依托的征管格局,隨著稅務(wù)信息化建設(shè)的不斷蓬勃發(fā)展,網(wǎng)絡(luò)與信息安全的風(fēng)險(xiǎn)也逐漸顯露。隨著電子信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)與信息安全面臨越來越嚴(yán)峻和復(fù)雜的形勢,各種安全事件層出不窮,病毒破壞和黑客入侵等安全隱患會(huì)使我們丟失數(shù)據(jù),會(huì)造成機(jī)密數(shù)據(jù)泄漏,會(huì)使我們的業(yè)務(wù)癱瘓,危害極大。無論是外部有意的攻擊,還是內(nèi)部無意的誤操作,任何安全問題都可能導(dǎo)致安全事故,由此所帶來的損失與嚴(yán)重后果都將無法估量。因此,加強(qiáng)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)安全顯得尤為重要。
一、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)分析
隨著我國各行業(yè)信息化程度的不斷提高,利用計(jì)算機(jī)系統(tǒng)進(jìn)行各類犯罪活動(dòng)的案件每年以較大的速度遞增,在稅務(wù)系統(tǒng)也出現(xiàn)了利用稅收管理系統(tǒng)進(jìn)行犯罪的案件。例如,2003年原國稅局干部吳芝剛虛開增值稅專用發(fā)票的“京城第一稅案”,就是吳芝剛利用操作員安全意識(shí)不強(qiáng),盜用其密碼進(jìn)入系統(tǒng)篡改發(fā)票發(fā)售權(quán)限,將增值稅專用發(fā)票非法賣給犯罪團(tuán)伙。盡管目前在稅務(wù)系統(tǒng)計(jì)算機(jī)犯罪案件發(fā)生率很小,但不能因此放松警惕,防微杜漸做好網(wǎng)絡(luò)與信息安全工作至關(guān)重要。根據(jù)對稅務(wù)系統(tǒng)網(wǎng)絡(luò)和信息安全的研究分析,威脅稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全的因素主要有以下方面:
(一)網(wǎng)絡(luò)與信息安全意識(shí)淡薄
目前稅務(wù)系統(tǒng)相當(dāng)部分工作人員缺乏網(wǎng)絡(luò)信息安全意識(shí)。很多人以為自己計(jì)算機(jī)上安裝有殺毒軟件,就不會(huì)存在安全問題,總覺得信息安全工作離自己很遙遠(yuǎn),和自己沒關(guān)系。缺乏網(wǎng)絡(luò)信息安全知識(shí),如不按規(guī)定使用移動(dòng)存儲(chǔ)介質(zhì)甚至內(nèi)外網(wǎng)混用等等,都可能導(dǎo)致計(jì)算機(jī)病毒入侵或“黑客”攻擊,對網(wǎng)絡(luò)與信息安全構(gòu)成威脅。
(二)計(jì)算機(jī)病毒的危害
計(jì)算機(jī)病毒是對稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全最為常見、影響最為廣泛的威脅。幾乎沒有計(jì)算機(jī)沒有感染過病毒,計(jì)算機(jī)病毒通常通過移動(dòng)存儲(chǔ)介質(zhì)等感染計(jì)算機(jī),并能通過網(wǎng)絡(luò)迅速傳播。稅務(wù)系統(tǒng)一臺(tái)計(jì)算機(jī)感染病毒,就可能造成病毒在整個(gè)辦公內(nèi)網(wǎng)計(jì)算機(jī)中迅速傳播,輕則堵塞網(wǎng)絡(luò),影響稅務(wù)信息系統(tǒng)的正常運(yùn)行,重則破壞系統(tǒng),造成無法估量的直接和間接損失。
(三)計(jì)算機(jī)犯罪的危害
計(jì)算機(jī)犯罪對網(wǎng)絡(luò)和信息安全的威脅顯而易見,危害極大。常見的計(jì)算機(jī)犯罪有內(nèi)部人員泄露信息、竊取他人密碼、越權(quán)訪問和外部“黑客”攻擊等。比如“黑客”通過某種方式侵入稅務(wù)系統(tǒng)辦公內(nèi)網(wǎng),就可能破壞稅務(wù)信息系統(tǒng)或竊取機(jī)密數(shù)據(jù),造成極大的危害。
(四)移動(dòng)存儲(chǔ)介質(zhì)使用的風(fēng)險(xiǎn)
目前光盤、優(yōu)盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)使用非常普遍,大量內(nèi)部信息通過移動(dòng)介質(zhì)存儲(chǔ)傳播。一方面移動(dòng)介質(zhì)如果不受控,會(huì)形成泄密隱患;另一方面納稅人報(bào)送涉稅信息帶來的移動(dòng)存儲(chǔ)介質(zhì)需要接入辦公內(nèi)網(wǎng),如果疏忽了病毒和木馬的查殺,就存在著將計(jì)算機(jī)病毒和木馬等惡意程序傳入辦公內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。
(五)網(wǎng)絡(luò)技術(shù)本身的缺陷
網(wǎng)絡(luò)技術(shù)本身存在的技術(shù)缺陷,使網(wǎng)絡(luò)容易成為受攻擊的目標(biāo),從而對稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全形成威脅。目前各級稅務(wù)機(jī)關(guān)組建廣域網(wǎng)通常租用電信或聯(lián)通的網(wǎng)絡(luò)線路,不法分子就可能通過公共網(wǎng)侵入稅務(wù)系統(tǒng)網(wǎng)絡(luò)或者通過公共網(wǎng)對稅務(wù)系統(tǒng)網(wǎng)絡(luò)進(jìn)行竊聽、攻擊。
(六)自然災(zāi)害襲擊
例如火災(zāi)、地震、雷擊等自然災(zāi)害都可能使計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備遭到破壞,影響系統(tǒng)正常運(yùn)行。
(七)人為無意失誤
工作人員防范意識(shí)不強(qiáng),工作中“圖方便”,如操作員安全配置不當(dāng),不按要求設(shè)置口令,隨意把自己的用戶給他人使用等等問題,雖然不是主觀故意,但可能造成較大危害,對網(wǎng)絡(luò)與信息安全帶來威脅。
二、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)的防范對策
網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn),需要從人、管理、技術(shù)等以下幾個(gè)方面進(jìn)行防范:
(一)必須加強(qiáng)信息安全教育
“人是網(wǎng)絡(luò)信息安全系統(tǒng)的重要組成部分”,要保障網(wǎng)絡(luò)與信息系統(tǒng)的安全,需要全體稅務(wù)干部的參與。通過在稅務(wù)機(jī)關(guān)全體工作人員中開展信息安全普及教育,對信息化專業(yè)人員加強(qiáng)信息安全專業(yè)培訓(xùn),提高各級人員的信息安全意識(shí),共同防范網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)。
(二)強(qiáng)化安全管理
要加強(qiáng)稅務(wù)機(jī)關(guān)內(nèi)部控制,改進(jìn)網(wǎng)絡(luò)信息安全管理中的薄弱環(huán)節(jié),防范內(nèi)部人員有意犯罪或無意失誤造成的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。各級稅務(wù)機(jī)關(guān)要建立健全網(wǎng)絡(luò)與信息安全組織機(jī)構(gòu),逐步建立健全各種網(wǎng)絡(luò)與信息安全制度,明確崗位責(zé)任與分工,把各項(xiàng)工作及責(zé)任落實(shí)到人。要把強(qiáng)化管理與技術(shù)手段相結(jié)合來防止內(nèi)部人員有意犯罪和無意失誤,從內(nèi)部嚴(yán)防各類安全事件的發(fā)生。
(三)強(qiáng)化安全技術(shù)
1.科學(xué)使用計(jì)算機(jī)防病毒軟件防范計(jì)算機(jī)病毒
各級稅務(wù)機(jī)關(guān)的計(jì)算機(jī)設(shè)備,要使用統(tǒng)一的正版計(jì)算機(jī)防病毒軟件,指派專人進(jìn)行計(jì)算機(jī)防病毒監(jiān)控,及時(shí)處理計(jì)算機(jī)病毒威脅。其中,移動(dòng)存儲(chǔ)介質(zhì)管理是計(jì)算機(jī)病毒防范的重點(diǎn)和難點(diǎn)。光盤、優(yōu)盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)是病毒和木馬的重要傳播途徑,不管好移動(dòng)存儲(chǔ)介質(zhì),就不可能做到病毒和木馬的有效防控。必須加強(qiáng)管理,對所有的外來軟件或盤片,必須先查殺病毒、木馬,才能接入辦公內(nèi)網(wǎng)進(jìn)行安裝和使用。
2.做好辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)的完全隔離
隨著互聯(lián)網(wǎng)的高速發(fā)展,人們對于網(wǎng)絡(luò)通信的方式要求也越來越高,既希望它靈活開放,同時(shí)還要求能夠方便快捷。現(xiàn)代數(shù)字信息技術(shù)的發(fā)展給人們的生產(chǎn)生活帶來了極大的便利,能夠?qū)崟r(shí)通訊的網(wǎng)絡(luò)使得人與人之間的交流更加方便快捷,但是隨著網(wǎng)絡(luò)通信普及的速度加快,相對應(yīng)的硬件和軟件的維護(hù)系統(tǒng)存在著一定的缺陷給人們的網(wǎng)絡(luò)通信安全帶來了一些安全隱患,眾多的軟件登陸系統(tǒng)結(jié)構(gòu)存在著缺陷,軟件不完善,病毒的傳播以及網(wǎng)絡(luò)黑客的惡意攻擊給人們造成了極大的困擾,危機(jī)到了人們的通信信息,使得人們的日常通信安全受到極大的威脅。網(wǎng)絡(luò)通信的安全主要就是能夠在數(shù)據(jù)進(jìn)行傳遞以及儲(chǔ)存的過程中保證其安全穩(wěn)定性,要想使得通信過程中的安全問題得到有效解決,不僅僅需要網(wǎng)絡(luò)維護(hù)部門相關(guān)技術(shù)人員的努力,也需要用戶個(gè)人增強(qiáng)自己的安全防范意識(shí)。因?yàn)檫@事關(guān)商業(yè)信息的安全,政府工作安全以及社會(huì)的穩(wěn)定發(fā)展。盡管維護(hù)網(wǎng)絡(luò)安全性不會(huì)使得經(jīng)濟(jì)取得明顯的效益,但是卻能夠讓個(gè)人,企業(yè),政府的網(wǎng)絡(luò)通信信息得到良好的保障,讓各個(gè)行業(yè)或者是企業(yè)內(nèi)部的信息交流傳遞更加放心安全,進(jìn)而促進(jìn)社會(huì)的穩(wěn)定發(fā)展,給人們的生活工作帶來一個(gè)良好的通信環(huán)境,使得企業(yè)能夠展開良好的運(yùn)營發(fā)展,使得商業(yè)競爭中的不公平手段得到有效合理的制約,對于一些利用網(wǎng)絡(luò)進(jìn)行犯罪的不法分子行為得到良好的遏制。
二、加強(qiáng)網(wǎng)絡(luò)通信信息安全的對策與建議
隨著互聯(lián)網(wǎng)信息技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)和人們的日常生活也建立起了越來越緊密的聯(lián)系,為了保證政府工作的正常開展,企業(yè)的良好運(yùn)營,以及個(gè)人信息資金的安全,促進(jìn)網(wǎng)絡(luò)通信的更好發(fā)展,相關(guān)部門應(yīng)該積極采取措施,保證網(wǎng)絡(luò)通信中的信息安全。
(1)對使用的IP地址采取有效措施進(jìn)行保護(hù)
要對IP地址進(jìn)行有效保護(hù),需要注意以下幾個(gè)方面的問題:首先就是要嚴(yán)格的控制網(wǎng)絡(luò)交換機(jī),因?yàn)樵诰W(wǎng)絡(luò)通信系統(tǒng)中,信息的傳遞必由之路就是交換機(jī),它處于TCP/IP網(wǎng)絡(luò)協(xié)議的第二層,對交換機(jī)的保護(hù)措施做好,就能夠從很大的程度上來保護(hù)IP地址的安全;其次,保護(hù)IP地址另一種有效辦法就是對路由器進(jìn)行隔離控制,采用科學(xué)的方式對已經(jīng)訪問過的地址合理監(jiān)控,這樣就能夠制止發(fā)生那些非法訪問的情況,進(jìn)而可以從根源上來對網(wǎng)絡(luò)黑客的竊取行為及時(shí)中斷制止。對IP地址進(jìn)行惡意攻擊的數(shù)據(jù)包采取如下措施進(jìn)行檢測:http(端口80)和TCP建立起一種連接,盡管3次的握手工作已經(jīng)完成,但是不能夠立刻結(jié)束客戶端的連接情況,這樣便可以對Web服務(wù)器的連接資源形成一種消耗,使得正常的使用者無法訪問這個(gè)網(wǎng)站。一些惡意攻擊的地址,分布大都比較分散,沒有一個(gè)確定的區(qū)域特征,每秒建立起來大概有2000次左右的連接。對防火墻的日志采取過濾措施,一旦發(fā)現(xiàn)有GET/HTTP1.1url的記錄,就可以表明有掃描程序在對WebServer掃描判斷用戶類型。
(2)對重要信息的傳遞和儲(chǔ)存進(jìn)行加密處理
網(wǎng)絡(luò)通信中的信息安全問題主要包括2個(gè)方面的環(huán)節(jié),其一就是信息在傳遞過程中的安全;另外就是信息在存儲(chǔ)后的安全。對網(wǎng)絡(luò)通信中信息傳遞構(gòu)成威脅的主要因素有在信息傳遞過程中對其監(jiān)聽竊取,盜取使用互聯(lián)網(wǎng)用戶的私人信息,甚至還能夠在中途進(jìn)行攔截,將主要信息進(jìn)行惡意篡改。因此面對種種威脅,就需要用戶自身做好安全防范措施,在信息傳遞與儲(chǔ)存的過程中采取加密的辦法進(jìn)行處理,從根本上來對這些威脅進(jìn)行及時(shí)的消除。在當(dāng)前的網(wǎng)絡(luò)通信過程中經(jīng)常使用的信息加密方式有很多,例如秘鑰等,當(dāng)然,個(gè)人可以根據(jù)自身的實(shí)際情況來選擇適合自己的加密處理技術(shù)辦法。
(3)修補(bǔ)完善網(wǎng)絡(luò)通信中的防護(hù)墻保護(hù)系統(tǒng)
為了能夠更加有效的保護(hù)網(wǎng)絡(luò)通信中的信息安全,建立起一個(gè)非常成熟完善的防護(hù)墻技術(shù)是非常有必要的,同時(shí)還要及時(shí)更新反病毒的插件,讓這些軟件防御病毒的能力得到實(shí)時(shí)更新,可以精準(zhǔn)的對病毒進(jìn)行查殺,這種方式無論是對個(gè)人用戶還是對企業(yè)網(wǎng)絡(luò)都比較適用。調(diào)整防火墻的策略從以下幾個(gè)方面進(jìn)行:按照總體寬帶以及資源流量的限制來確定IP地址的syn連接次數(shù),通常情況下的策略,都是先延遲處理源地址的連接數(shù)據(jù),這樣可以有效縮短時(shí)間。一旦發(fā)現(xiàn)源地址的時(shí)間頻率加大的,則可以立即將這個(gè)地址拉黑處理,一次性的對其進(jìn)行限制。開啟關(guān)于syn驗(yàn)證方式,這樣便可以有效避免synflooding進(jìn)行偽造的前端源地址的攻擊。同時(shí)還可以在內(nèi)容上開啟關(guān)于過濾的功能,主要就是對head關(guān)鍵詞進(jìn)行有效限制,大部分的掃描器都能夠?qū)崿F(xiàn)本功能,甚至還能夠用head代替GET。在連接的時(shí)間上也可以根據(jù)網(wǎng)絡(luò)的負(fù)載以及應(yīng)用的情況進(jìn)行合理化的設(shè)置。例如可以盡可能多的使用像http這類的應(yīng)用協(xié)議,因?yàn)槠錇槎踢B接,所以可以從很大的程度上將攻擊的頻率降下來。
(4)不斷完善用戶的身份驗(yàn)證系統(tǒng)
通常在用戶利用互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)通信之前,都需要對使用者的個(gè)人信息身份等進(jìn)行驗(yàn)證確認(rèn),不斷完善用戶的身份驗(yàn)證系統(tǒng),可以對用戶的私人相關(guān)信息進(jìn)行合理的保護(hù),防止被他人所竊取。最為傳統(tǒng)的身份驗(yàn)證系統(tǒng)就是采取用戶名和密碼相匹配的方式,只有當(dāng)這二者共同具備匹配后,用戶才能夠得到相應(yīng)的通信權(quán)限,相對而言,具有非常高的安全性。通常情況下,為了避免身份丟失,用戶需要將用戶名和密碼分開進(jìn)行保存。同時(shí),隨著網(wǎng)絡(luò)通信的發(fā)展,一次性密碼也開始出現(xiàn)發(fā)展,這種密碼因?yàn)橹荒軌蛟谝欢ǖ臅r(shí)間內(nèi)才可以使用,使用也具有一定的安全性,但是也會(huì)出現(xiàn)在密碼傳輸?shù)闹虚g環(huán)節(jié)被截用或者是受到攻擊的情形。同時(shí)另外也出現(xiàn)了一種輔助的驗(yàn)證身份的辦法,就是由網(wǎng)絡(luò)系統(tǒng)的安全管理員發(fā)放的安全令牌,這種令牌具有唯一性,同時(shí)也能夠和傳統(tǒng)的用戶名密碼一起使用。目前又新興出來的識(shí)別身份信息的檢測方法主要以生物科技為主,例如指紋掌紋檢測措施以及視網(wǎng)膜檢測辦法,因?yàn)檫@種生物科技辦法模仿偽造的難度較高,所以其安全性也非常高。
三、結(jié)語