網絡安全應急體系范文
時間:2023-11-15 17:56:42
導語:如何才能寫好一篇網絡安全應急體系,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞 二次系統;網絡;安全防護;預案
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2010)33-0228-02
Region Scheduling Data Network Security Assessment and Emergency System
CAO Jianfeng
AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.
KeyWordSecondary system;networking;security
0 引言
電力監控系統及調度數據網作為電力系統的重要基礎設施,不僅與電力系統生產、經營和服務相關,而且與電網調度、與控制系統的安全運行緊密關聯,是電力系統安全的重要組成部分。電力生產直接關系到國計民生,其安全問題一直是國家有關部門關注的重點之一。
隨著通信技術和網絡技術的發展,接入電力調度數據網的電力控制系統越來越多。電力系統一次設備的改善,其可控性已滿足閉環的要求。隨著變電集控所模式的建立、變電站減人增效,大量采用遠方控制,這對電力控制系統和數據網絡的安全性、可靠性、實時性提出了新的嚴峻挑戰。而另一方面,Internet技術和因特網已得到廣泛使用,使得病毒和黑客也日益猖獗。目前有一些調度中心、發電廠、變電站在規劃、設計、建設控制系統和數據網絡時,對網絡安全問題重視不夠,構成了對電網安全運行的嚴重隱患。除此之外,還存在黑客在調度數據網中采用“搭接”的手段對傳輸的電力控制信息進行“竊聽”和“篡改”,進而對電力一次設備進行非法破壞性操作的威脅。因此電力監控系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題。
1福州地區電網二次系統網絡安全評估概述
1.1 概況
福州地調二次系統安全評估包括:二次系統資產評估、網絡與業務構架評估、節點間通信關系分析、二次系統威脅評估、現有防護措施評估、主機安全性評估、網絡系統評估、安全管理評估、業務系統安全評估、二次系統風險計算和分析、安全建議等評估內容,評估之后針對系統的薄弱點進行安全加固,并制定《福州局電力調度自動化系統應急預案體系》,提高調度自動化系統運行的可靠性,安全性,有效預防和正確、快速處置電力調度自動化系統癱瘓事件,不斷提高福州電網預防和控制調度自動化事件的能力,最大限度地減少其影響和損失,保障電網的安全運行。安全評估的實施基本流程如圖1所示。
1.2 網絡安全評估的過程
1.2.1資產調查
資產調查作為信息收集的一個關鍵步驟,是開始安全評估工作的第一步,也是安全加固工作的基礎,其主要目的是準確全面的獲得被評估系統的信息資產清單。
因此,在進行評估項目實施時,我們很重視資產調查的過程和方法,以期收集到準確、全面的信息資產清單。對于每一個資產來說,都需要比較準確的收集各項屬性,因此我們計劃整個資產調查過程如下,以確保我們的資產調查目標的實現。
1.2.2采用了正向測試與逆向滲透相結合的漏洞深度檢測方法
在本項目中,安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內的系統和網絡進行安全掃描,從內網和外網兩個角度來查找網絡結構、網絡設備、服務器主機、數據和用戶賬號/口令等安全對象目標存在的安全風險、漏洞和威脅。應用正向測試與逆向滲透相結合的漏洞深度檢測方法,對電力二次系統主機信息安全進行分析。
1.2.3采用了遠程漏洞掃描與本地主機自動化腳本檢測相結合的脆弱性獲取方法
滲透測試主要依據安全專家已經掌握的安全漏洞,模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試。所有的測試將在授權和監督下進行。滲透測試和工具掃描可以很好的互相補充。工具掃描具有很好的效率和速度,但是存在一定的誤報率,不能發現高層次、復雜的安全問題;滲透測試需要投入的人力資源較大、對測試者的專業技能要求很高(滲透測試報告的價值直接依賴于測試者的專業機能),但是非常準確,可以發現邏輯性更強、更深層次的弱點。
1.2.險計算和分析
信息安全風險評估的風險計算部分主要以業務系統作為風險計算和分析的對象,以福州電業局本部為例,本次對福州電業局SCADA系統、電能量采集系統、OMS系統和DMIS網站共4個業務系統進行了評估和測試,各個業務系統的信息資產價值、威脅發生可能性和脆弱性嚴重程度的進行賦值,并通過風險計算,得出風險計算結果,確定各個系統的危險程度,找到業務系統的安全薄弱點。
1.2.5安全建議
根據計算出來的安全結果,通過管理和技術等兩方面來加強網絡設備和安全設備的安全性,對訪問重要設備的用戶應遵循一定規章制度,對網絡配置的更改、權限的分配要及時進行記錄備份歸檔。
對重要業務系統和服務器進行定期的漏洞病毒掃描,對掃描結果進行分析記錄并歸檔。對新系統上線前應進行掃描和加固,對掃描的日志及時進行安全審計并歸檔。
對網絡運行日志、操作系統運行日志、數據庫運行日志、業務系統運行日志進行定期的安全審計并提交安全審計記錄和報告,對報告中的非法行為應及時報告并處理。
對于網絡設備和安全設備的配置日志應另存儲在日志服務器中,而非存儲在本地路由器或是交換機上,并定期的進行備份歸檔。對于日志的種類應當包括所有用戶對網絡設備和安全設備的查看、更改等。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
2地區電網自動化系統整體應急預案體系建設
2.1應急預案體系的出現
現階段地區調度自動化各系統聯系緊密,單個系統的故障將連鎖影響多個其他系統運行,電力調度數據網建設向縣調及110kV變電站延伸,接入系統種類日趨復雜,二次安全防護木桶效應日趨明顯。由于系統風險主要來自于病毒及相關聯系統的故障,故障類型復雜并存在觸發或并況,應急預案的思路逐步擺脫了自動化單個系統預案的思路,慢慢向以自動化二次整體應急預案體系進行轉變。該思路面對系統出現嚴重故障時,整體地考慮恢復手段及措施,隔離故障區域,屏蔽受影響系統的部分功能,將日常人工或自動備份的硬件及軟件快速導入故障設備,恢復系統。在日常備份及演練過程中,綜合考慮各系統間的互補能力和約束條件,并切合地調實際,高效率低成本地實現該預案體系。該體系重視系統整體恢復的效率和日常投入成本的二維標準,兼收并蓄各種技術手段和管理手段的優勢。
2.2 應急預案體系的特點
該預案體系適應自動化系統日益聯系緊密的特點,擺脫之前針對某一系統制定預案的思路,采用“整體考慮,互為備用,分散管理,集中恢復”總體思路,避免出現系統孤島,綜合考慮,兼顧各個系統及全面事故預想,具有兼容性強,各子系統預案操作性強,入門要求低,恢復手段有效快速,投資成本低,日常維護工作量少,實用化推廣價值高的特點。
預案體系總體框架圖各子預案關聯關系圖
2.3 預案體系各個子預案之間的關系
2.3.1共存關系
各預案體系間存在互相引用,互為補充關系。簡化了對預案編寫的復雜程度,將復雜的系統問題轉化成為多個專項問題來解決。
集控系統資源成為EMS預案中的備用設備,將整體自動化系統一體化考慮,互為備用,充分利用資源,降低預案成本。
2.3.2互斥關系
預案體系中的電源子預案和其他預案間存在互斥關系,當涉及到整體電源異常時,就要考慮犧牲小系統,保全大系統的整體
3 結論
本項目對地區電網二次系統網絡安全防御體系開展了專題研究與實踐,研究結果有效提高了地區電網二次系統網絡的安全防御能力,對網省調度中心乃地市電業局的二次系統安全建設都起到了重要的指導意義。項目根據研究結果構建了調度自動化應急預案體系以及與之相配套開發的快速備份恢復系統,投資少,效益高,為電網的安全可靠運行提供堅強的技術支撐。該項目的開展促進了調度中心對現有二次系統安全現狀和存在的各種安全風險有了深入的了解 ,確保調度中心對二次系統中存在的各種安全風險采取相應的網絡安全手段和部署選用必要的安全產品 ,對今后全省乃至全國地區電網二次系統網絡安全建設具有重要的指導意義。
參考文獻
[1]張王俊,唐躍中,顧立新.上海電網調度二次系統安全防護策略分析.電網技術,2004(18).
[2]王治華.安全運營中心及其在調度中心二次系統中的應用.電力系統自動化,2007(22).
[3]陳文斌.電力二次系統網絡與信息安全技術研究.電工技術,2008(11).
[4]民,辛耀中,向力,盧長燕,鄒國輝,彭清卿.調度自動化系統及數據網絡的安全防護.電力系統自動化,2001(21).
[5]葛海慧,盧瀟,周振宇.網絡安全管理平臺中的數據融合技術 .電力系統自動化,2004(24).
[6]胡炎,辛耀中.韓英鐸 二次系統安全體系結構化設計方法.電工技術,2003(21).
[7]程碧祥,電力調度自動化系統中物理隔離技術的研究與應用.電工技術,2008(1).
篇2
本文作者:王川作者單位:長沙學院教務處
文件過濾驅動技術對系統的保護
利用文件過濾驅動技術,可以開發專門用于教務系統的文件過濾驅動模塊,對教務系統服務器和重要的教務系統客戶端安裝該模塊增強安全性。在基于NT內核的Windows操作系統中,文件系統驅動程序是I/O子系統的一個重要的組件,它為用戶提供在磁盤等存儲介質上存取數據的服務。如圖1,NT的I/O管理器支持分層的內核模式驅動,I/O管理器根據應用程序的I/O請求生成一個IRP(I/O請求包),依次按照驅動創建的設備對象往下層設備對象傳遞,每一層設備對象對應的驅動程序一次處理該IRP,處理完畢后一次返回至應用程序。根據該模型,文件過濾驅動程序可以在應用程序讀寫數據的過程中先于文件系統驅動截獲所有數據處理相關的IRP,利用IRP就可以實現對文件進行加/解密操作,也可以對需要被保護的文件實施實時的訪問控制。在Web服務器端,文件過濾驅動技術可以對教務系統網站的各類網頁提供防篡改保護,可以是靜態文件,也可以是動態網頁,執行準確率和效率都非常高。基于文件過濾驅動的網頁防篡改技術的工作流程如圖2。在文件過濾驅動模塊中加入web服務器防篡改核心程序,對于服務器上的所有文件內容,防篡改核心程序經過內置單向散列函數快速生成文件屬性。防篡改核心程序然后通過事件觸發方式對網頁文件變動情況開始自動監測,收到一個網頁的訪問請求,先對比網頁文件屬性簽名的變化,如果簽名發生異常變化,立即刪除被篡改的網頁,停止Web服務,同時通過文件安全拷貝將備份服務器中備份網頁文件復制到檢測文件夾中,替換掉被篡改的文件。防篡改程序通過底層文件過濾驅動技術進行文件恢復的復制速度為毫秒級,使得網站用戶無法看到并使用被篡改的頁面,其運行性能和監測保護的實時性強、對防止網頁被惡意篡改十分有效。
數字認證技術對數據的保護
在教務管理系統的安全保護最終是要保護教務系統的數據安全。數據安全是教務系統的保護的重點,系統中的數據安全需求表現在下面幾個方向:信息的保密性、信息的完整性、信息的可重用性、信息的真實性、信息的不可否認性。PKI是一個遵循既定標準的密鑰管理平臺,為網絡應用提供加密和數字簽名等服務及服務所需的密鑰和證書管理功能,其通過第三方可信機構CA認證系統,把用戶公鑰和其它標識信息綁定在一起,在Internet上實現用戶身份的認證,并且該體系把公鑰密碼和對稱密碼相結合,實現密鑰的自動管理,保證數據傳輸和存儲的真實性、機密性、完整性和不可否認性。PKI是一個技術框架,其應用實現是CA認證系統。通過建立學校自己內部的CA認證系統,就可以在教務系統中使用數字簽名和加密服務,由此解決了公鑰在不安全網絡環境中的信任問題。校園CA認證的結構設計如圖3所示。根CA是學校的根認證中心,負責簽發和管理二級CA的證書、制定和審批總體策略,采用物理隔離的方法實現。二級CA是二級單位用來管轄范圍之內的證書生成、撤銷、更新、核發,根CA和二級CA通過SSL通道、端實體來進行互操作。注冊RA作為CA的注冊審核機構,完成證書注冊申請的審核、將二級CA生成的證書和密鑰以安全的方式發送給證書用戶。使用數字簽名技術后,在教務管理系統中,過去很多使用手寫簽字的地方都要改用數字簽名。根據簽名的信息是否能公開傳輸,可以有兩種簽名類型,一種是不需要機密的信息,先用單向散列函數(如MD5算法或SHA算法)生成消息摘要,為提高安全性引入時間戳,把生成的消息摘要和時間戳一起簽名,可以抵抗重放攻擊和代換攻擊;另一種是對信息加密后再按第一種方式后續步驟進行簽名,那么只有擁有密鑰的授權用戶才可以查看該信息。數字簽名和加密算法有很多種,比較典型的有RSA、DSA、ECC等。除了需要基本的數字簽名和加密外,教務系統中還會有大量的教學工作管理流程。對于這些教學工作管理流程,需要使用多重數字簽名或群簽名來對數據進行數字簽名。教務管理系統主要使用以下幾種代表性的數字簽名流程:1)成績管理:一般流程為:老師評定成績院系教學秘書核對教研室主任簽字主管教學的院系領導簽字教務處簽字。在這個流程環節中,強調簽名的順序和對簽名內容的控制,這樣的流程需要要使用有序多重數字簽名。2)公文簽收:在公文簽收中,統一部門的不同工作人員可以代表其所在部門完成諸如公文簽收類的事務性工作,系統只需要判斷部門內是否有人收到公文即可,不用管具體接收人員,如果出現爭議時,可以檢查出當時的簽收人。這樣的流程要使用群簽名,群簽名可以并行執行。管理中心判斷其簽名類型為群簽名時,系統將根據簽名要求確定參與簽名的群組成員,然后向群組成員發出簽名要求,在收到若干群組成員的簽名回復后,對這些簽名進行驗證,當確定至少有一個簽名有效時,管理中心將告訴簽名發起者成功信號,如果沒有一個簽名有效,則簽名失敗。3)學籍異動管理:以學生辦理休學手續為例,學生提出休學申請,教務處學籍科審批合格后,向學生發出通知單,學生按通知單上的所列項目,前往相關部門蓋章認可,學籍異動管理是一種無序多重簽名的例子。這樣的流程是一種無序多重簽名的實例,無序多重簽名是有序多重簽名的一種特例,由系統初始化時將無序多重簽名指定一個順序,從而轉成有序多重簽名進行處理。
篇3
關鍵詞:計算機 網絡安全 問題 措施
中圖分類號:TU2文獻標識碼:A文章編號:1672-3791(2012)03(a)-0000-00
隨著科學技術的不斷進步,計算機迅速進入大眾的各個生活領域,涉及到人們生活的方方面面,計算機網絡技術的不斷進步一方面豐富了人們的日常生活內容,提高了人們的生活質量,把人們帶入到全新的科技時代中,另一方面也隨之帶來了很多的問題,如病毒泛濫,黑客猖獗,青少年過早沉迷網絡等等,這些網絡問題的存在,不僅影響到人們的日常生活,也破壞了社會的穩定,影響到和諧社會的建設,因此解決計算機網絡安全問題迫在眉睫,必須引起大家的足夠重視。
1 計算機網絡安全面臨的隱患
計算機網絡安全發生頻率高,來源廣泛,自然因素和人為因素都有可能造成計算機的各種網絡安全問題的產生,在使用計算機的過程當中,很容易出現軟件漏洞、硬件故障等一系列的物理性安全威脅,人為因素包括操作失誤、黑客攻擊等,另外,在使用計算機的過程當中也有可能產生一些意外事故,比如自然災害對計算機也能夠造成一定的威脅,我們主要從計算機安全問題的物理威脅、技術隱患、用戶自身缺陷以及人為惡意攻擊四個方面來分析計算機網絡安全的常見問題。
(1)物理威脅。物理威脅能夠直接影響到計算機的設備安全,是保障計算機信息安全的基礎,主要分為三種類型,第一種類型主要包括計算機自身的設備故障,出現物理性的損壞以及自然災害等;第二種類型是指痕跡泄露和電磁輻射;第三種類型是指用戶在使用過程中操作不當以致出現的一系列操作失誤。
(2)技術隱患。計算機的技術隱患是引發計算機網絡安全問題的主要因素,也是對計算機網絡安全影響最為嚴重的問題,技術隱患能夠直接導致計算機網絡系統的崩潰,對計算機的安全問題產生很大的破壞影響。操作系統多自帶一些特定的應用程序,這些程序一方面便于用戶操作,一方面又存在一定的安全隱患,一旦系統自帶的操作系統存在安全隱患,就會使整個的系統處于危險狀態,因此用戶在使用計算機之初就必須對計算機操作系統做一個準確的認識和了解。其次,網絡協議也存在一定的安全隱患,我們現在使用的Internet系統使用的協議是TCP/IP協議,這項協議具有簡單、操作性強等特點,它的功能在于傳輸信息,這項協議在設計的時候由于沒有充分考慮到維護計算機網絡安全問題,因此其本身就存在著一定的缺陷,攻擊者通常會利用TCP/IP協議的缺陷來攻擊計算機網絡,造成嚴重的計算機安全隱患。另外,程序員在編程時如果不能充分考慮計算機應用軟件的存在缺陷,就會很容易造成計算機應用軟件的使用缺陷,比較鮮明的例子是黑客攻擊,黑客一旦使用錯誤程序進行非法操作,就有可能獲取用戶操作系統的用戶使用權限,其結果是相當危險的。
(3)用戶自身隱患。如果用戶對計算機的操作和網絡管理缺乏常識,不懂得如何保護自己的網絡安全,又沒有強烈的安全保護意識,在使用操作系統的過程中就很有可能無意識地給網絡攻擊者提供破壞網絡安全的機會,主要包括用戶的密碼可能被破解、網絡系統不完整備份等安全隱患。因此操作者在使用計算機網絡時,應該了解基本的計算機網絡安全保護的常識性知識,加強自己的防范意識,不給攻擊者破壞網絡安全的機會。
(4)人為的惡意攻擊。人為的惡意攻擊是計算機網絡安全問題面臨的最嚴重威脅,例如計算機犯罪就屬于人為惡意攻擊的一種主要形式,惡意攻擊以各種不同的方式破壞計算機網絡信息的完整性和有效性,在不影響計算機網絡正常運行的情況下,破譯或截取計算機用戶的各種重要信息,人為的惡意攻擊是當前計算機網絡面臨的最大敵人,對計算機的網絡安全造成了極大的威脅和危害,我們必須采取相應的措施嚴厲打擊計算機人為惡意攻擊的現象。
2 應對計算機網絡安全問題的具體策略
面對目前計算機網絡出現的大量問題,我們必須采取有效的措施進行抵制,不僅要保護網絡信息的安全性,同時要加強對整個信息系統和操作系統的保護,提高檢測系統入侵的能力以及被入侵后系統的快速恢復能力,加強對整個網絡系統安全的保障功能。
(1)國家制定相應的法律法規。國家必須在保護計算機網絡安全的問題上起到帶頭作用,制定相應的法律法規,以法律的形式約束不法分子的行為,制定相應的網絡安全管理辦法和標準,使社會對網絡不法分子的犯罪行為有法可依,規范網絡行為,保障用戶有一個安全可靠的網絡使用環境。
(2)企事業單位實行嚴格的網絡管理。企事業單位以及各個網絡使用機構必須制定有效的網絡安全管理條例,加強自身的內部管理,加強網絡安全隱患的防范意識,建立有效的網絡安全保護系統,保障用戶的信息安全。
3、加強技術支持。各個網絡使用機構必須增強網絡安全威脅的防范意識,加強用戶和系統管理員的技術含量,各級部門在使用計算機網絡時,做好對計算機的開機毒查,學會及時備份數據,掌握應用密碼技術、數據庫的備份和恢復等專業技術知識,提高網絡反病毒的能力和技術,建立安全的網絡操作環境。
結語:維護計算機的網絡安全意義重大,在這項復雜的工程當中,我們必須不斷地學習,不斷地深入研究,制定正確有效的防范措施和問題解決措施,做好計算機網絡的安全管理工作和技術指導工作,國家必須制定有效的法律法規,加強立法、執法的力度,強化對計算機網絡的安全保護。各個用戶必須認清計算機網絡系統的脆弱性,了解計算機網絡存在的潛在威脅,提高自己的安全防范意識,實施有力的安全措施,保障計算機網絡的安全性。
參考文獻
[1]. 余偉. 計算機網絡安全問題剖析[J]. 電腦知識與技術. 2009.(21)
[2]. 萬松. 計算機網絡安全問題剖析[J]. 華章. 2010.(33)
[3]. 王健. 計算機網絡安全問題剖析[J]. 數學學習與研究(教研版). 2009.(14)
[4]. 段新穎. 淺談計算機網絡安全問題[J]. 科技致富向導. 2010.(12)
[5]. 李樹田. 計算機中數據備份與恢復之我見[J]. 電腦知識與技術. 2010.(05)
篇4
隨著信息技術的不斷發展,互聯網和信息化應用日益普及,但在享受網絡應用的同時,網絡的安全問題也顯得尤為突出。面對信息易泄露、網絡易受攻擊的安全態勢,我們必須積極防備,全面及時發現網絡安全漏洞,盡量避免非法操作,實時阻斷各種惡意攻擊,確保網絡信息安全。
1 網絡信息的傳輸方式和優勢
網絡信息安全,就是網絡中的計算機能夠正常的工作,網絡保持通暢并能夠正常連續運行,數據的傳輸準確、完整、通暢,及時到達目標地點。無論是事發偶然或者遭到惡意攻擊,網絡信息都能保持完整、真實、可用、保密和可控,確保數據不丟失,不被更改、不發生泄露、不遭到破壞。網絡以交換數據包的方式傳輸信息。信息傳輸必須遵從標準化的網絡規則TCP/IP協議,該協議對安全傳輸數據考慮不夠,數據包經過各個網絡節點,大多需要路由器轉發,途經各個子網的交換機,最后到達目標計算機。這個過程基本不采取加密措施,傳輸比較透明,而許多如Telnet、FTP和Email郵件系統等網絡應用程序,絕大多數都存在這樣的安全問題,使用明文傳輸數據。所以,網絡信息的傳輸,安全不可忽視。網絡傳遞信息與原始傳遞方式相比,優勢明顯,網絡傳遞信息及時、效率高、質量保證,對于社會各行業各領域,信息化、網絡化已變得不可或缺。對于企業來說時間就是金錢,信息就是生命;對于現代國防來說,信息是制勝的關鍵,現代戰爭實際上就是網絡戰、信息戰;對于教育來說,互聯網環境下的MOOC、微課等新型教學模式給人們帶來隨時隨地極速的學習體驗;因此通過網絡及時實時傳輸信息的具有無可比擬的優勢。
2 網絡信息面臨的安全問題
飛速發展的互聯網應用在給社會和人們帶來方便的同時,其系統的漏洞和網絡的開放性也給社會生活帶來了負面影響,病毒侵襲、網絡欺詐、信息泄露、黑客攻擊等問題更是給用戶了帶來困擾和危害。
2.1 自然災害
計算機網絡基本上都是由服務器、交換機、路由器、計算機等電子器件組成,電子產品的運行極易受到溫度、濕度、雷電沖擊等環境因素的影響。目前,各單位網絡機房大都采取了防止外界環境干擾的舉措,配置了防火、防潮、防雷、抗干擾等設備,但對突況防備的能力還不盡如人意,經常因環境因素導致物理設備損毀、存儲數據丟失的現象。另外,由于電磁輻射和噪聲的干擾,網絡信噪比下降,信號傳輸的誤碼率增加,也對網絡信息的完整性與可用性造成一定威脅。
2.2 計算機病毒
計算機病毒是人為編制的一組計算機指令或者程序代碼,計算機病毒發作后,會破壞計算機功能或數據,影響計算機使用并且能夠自我復制。計算機如果被病毒感染,病毒一旦發作,輕則造成系統運行遲緩、數據損壞或文件被刪除,重則會導致計算機系統癱瘓或存儲的全部數據丟失,更有甚者計算機系統硬件會遭到破壞。計算機病毒一般有傳染性、潛伏性、隱蔽性、寄生性、破壞性、和可觸發性等幾個明顯的特點。
2.3 特洛伊木馬
木馬(Trojan),是指通過特定的程序來控制另一臺計算機。其來源于古希臘傳說中木馬計攻城的故事。“木馬”程序實際上也是病毒文件,但它與常規病毒又有區別,不進行自我繁殖,一般不感染計算機上的文件。木馬程序極其狡猾,隱蔽性強,普通用戶在被植入木馬后很難發覺。木馬病毒對用戶數據的安全越來越具有威脅,它往往偽裝成實用程序吸引用戶下載安裝,木馬服務一旦運行,目標計算機就會向施種木馬者打開開放的端口,目標計算機的數據就會遭到任意破壞、竊取,遠程操控被種計算機也將變得輕而易舉。現在木馬病毒的泛濫嚴重影響著各級網絡的安全。
2.4 軟件漏洞
計算機操作系統和各類網絡系統、服務軟件本身由于其開放性難免會存在漏洞,編程語言也具有局限性,另外由于編程人員開發軟件時的疏忽,或者是開發軟件時為便于修改、調試程序而創建的后門程序等原因,都會有漏洞存在,計算機病毒和木馬等惡意程序很容易利用這些漏洞,對計算機和網絡系統安全帶來威脅。
2.5 黑客攻擊
計算機信息網絡成為黑客的溫床,黑客熟知各類計算機系統的安全漏洞,對系統軟件、應用軟件都比較熟悉,信息網絡本身的弊端和缺陷成為黑客攻擊的突破口,他們編寫出大量具有強大破壞力的木馬或病毒程序,非法進入目標主機,竊聽、篡改、截取賬戶口令、密碼等敏感性信息,網絡系統遭到攻擊,網絡信息參數被修改,重要數據庫被越權進入,導致系統崩潰或數據丟失,網絡用戶遭受巨大損失。
3 網絡信息安全的應對策略
為了確保網絡信息安全,就需要依靠信息安全系統來加以保障。安全防護、安全檢測和安全恢復是信息安全系統的必備機制。根據各類安全威脅,采取相應的防護措施,避免非法攻擊,這是安全防護機制的作用;利用安全檢測機制,定期檢測系統的運行情況,及時發現系統漏洞和攻擊情況,經常對系統進行更新和升級,及時制止各類攻擊和預謀;系統萬一遭受攻擊而使信息遭到破壞時,安全恢復機制將起到很好的事后補救作用,系統能夠快速進行應急響應并及時的恢復數據,確保網絡第一時間提供服務,減少攻擊帶來的影響。
3.1 訪問控制策略
利用訪問控制策略起到對網絡用戶分級訪問的作用。用戶根據級別對服務器、終端、數據等網絡資源的訪問得到有效控制。網絡系統管理員定期檢查是否有越權用戶存在,尤其是排查那些具有較高權限的用戶,判斷其是否合法。為了避免黑客通過訪問Guest賬戶控制計算機,計算機默認的Guest賬戶應該被禁止訪問。另外,為了避免非法入侵,系統Administrator賬戶應當更改名稱并設置強密碼和驗證口令,對系統防護具有非常好的效果。采用訪問控制策略,網絡系統的保密性、完整性、可用性等安全目標可以得到有力的保障。
3.2 防火墻策略
網絡防火墻包含硬件設備和軟件兩部分,在局域網和互聯網之間加載的保護屏障。所有網絡通信和數據包都要通過防火墻到達內網計算機,達到內網免受非法用戶侵入的目的。防火墻具有很好的保護作用。非法用戶在實施入侵行為時,必須首先穿越防火墻這道安全防線,才能接近到目標計算機。通常網絡管理員根據不同的安全需要對防火墻進行配置,參數設置不同,保護級別也有區別,高級別的保護勢必會禁止一些常規服務,如視頻流、媒體流等,這是不得已的安全選擇。防火墻對流經各網絡環節的數據通信進行掃描,一些陌生的需求和通信被過濾掉,目標計算機接收不到可疑的訪問請求,避免運行攻擊程序。防火墻還能根據系統運行情況關閉不經常使用的端口,禁止某些特定端口的流出通信,封鎖入侵程序。防火墻還能購禁止來自特殊站點的訪問和請求,防止入侵者的數據攻擊。對于專網或涉密等非公用網絡,這都是必要的保護選擇。
3.3 數據加密策略
數據加密技術相比于其他防護策略,是主動的安全防御策略。其利用密碼技術進行數據加密,實現信息加密傳輸,對保護數據安全較為可靠。根據加密類別主要包括傳輸加密、存儲加密和數據完整性鑒別等三項技術。數據傳輸加密技術包含有線路加密與端口到端口加密,其作用主要是對傳輸中的數據流進行加密。防止存儲的數據失密是數據存儲加密技術的主要目的,密文存儲和存取控制是數據存儲加密的兩種典型技術,密文存儲是通過加密算法轉換、附加密碼、加密模塊等方法實現;而存取控制技術是對用戶資格、權限進行審查,根據審查進行分級限制,防止重要數據被非法用戶盜取,同時還可以限制合法用戶越權使用數據。數據完整性鑒別技術對進行數據處理的用戶的身份和數據內容進行驗證,對網絡用戶的身份、密碼、口令等內容進行鑒別,驗證輸入的特征值和預定的參數是否相符,實現可信賬戶對數據的安全訪問。
3.4 安全掃描策略
安全掃描就是對計算機系統或者其它網絡設備進行安全相關的檢測,以找出網絡和主機存在的對外開放的端口、提供的服務、某些系統信息、錯誤的配置、已知的安全漏洞。網絡管理人員要積極運用安全掃描技術,及時升級操作系統并更新應用程序,嚴防黑客利用系統漏洞進行入侵。
3.5 備份與恢復策略
數據的備份與恢復是確保信息安全最重要也是最終的手段,是遭到入侵后的被動防御技術。網絡數據的定期備份是我們安全使用計算機的良好習慣,計算機網絡時刻充滿著安全威脅,即使做好防范入侵和攻擊的技術措施,也難免會發生不可預知的問題。定期對系統、數據進行備份非常重要,如果一旦遭受攻擊,系統被破壞出現故障時,系統恢復機制能夠快速響應,數據能很快得到補救,盡可能地減少損失。
4 結語
網絡信息安全是一項復雜的系統工程,隨著計算機技術飛速發展和網絡的廣泛使用,面對侵襲網絡信息安全的各種威脅,我們應加強對計算機網絡信息安全面臨的現實問題進行不斷地探索與研究,積極應對網絡出現的新情況,防止各種可能的入侵和攻擊行為,確保網絡信息安全。
篇5
關鍵詞:醫院信息標準化建設;網絡安全;管理體系
由于信息化技術的日益發展,很多醫療信息系統都在發展過程中進行了優化,大大推動了醫療診斷技術水平的提升,使診斷工作更為精細化,有效提升了員工績效水平和醫療工作的整體品質。與此同時,其復雜性也在日益提高,使得醫院安全問題凸顯,同時面臨多種惡意軟件入侵,對醫院網絡產生了重大的負面影響。因此,在技術水平達標的同時,還需要人工操作來確保網絡的安全。2018年4月,國務院印發《國務院關于推進“推進互聯網在線醫藥衛生”發展的意見》,提出各類醫療機構今年要逐步完善和繼續完善“互聯網醫療衛生體系”,發展在線醫療,提高醫院管理水平。通過《國務院關于推進“推進互聯網在線醫藥衛生”發展的意見》宣告了“互聯網醫療健康”安全時代的正式到來。以國家標準2.0級網絡防護工程為指導,遵循“一個中心、三個防護”防護工程的基本理念,從安全信息管理服務中心體系建設工作開始,并初步構建了醫院網絡安全三級防護管理體系,以有效迎接新網絡時代的安全管理挑戰,確保“互聯網健康”,醫院安全信息化體系建設穩步健康有序發展。
1醫院信息標準化建設中網絡安全管理體系建設的重要原因探析
患者只需在線注冊、就診、付款、入住和離開醫院即可完成醫療流程。此外,信息化體系建設還可以有效提高醫務人員的日常工作效率,降低醫務人員的勞動強度,為患者及時提供便捷高質量的基本醫療健康服務。從各級醫院的財務角度看,醫院財務信息化體系建設不僅可以有效提高各級醫院財務管理水平,密切各直屬科室之間的協作關系,為加強醫院醫務檔案管理進行信息化、財務管理和物資管理工作創造條件,降低醫院的商業保險和運營成本,提高醫院的整體效益。網絡安全管理體系主要是廣泛指負責管理網絡系統安全管理策略、安全動態計算網絡環境、安全網絡區域活動限制和安全網絡通信等網絡安全防護機制的管理平臺或服務區域。過去,醫院率先采取了“被動防御”安全戰略,并針對安全網絡威脅不斷采取了安全防護控制措施,缺乏安全統一規劃和安全集中管理。安全信息資源綜合使用管理效率低,對安全威脅的監測反應慢,難以建立形成有效的安全威脅防護管理體系。隨著我國醫院安全信息化體系建設的不斷發展,各種新信息技術的不斷推廣和醫院互聯網服務的不斷普及,醫院必然需要自主開發一套能夠適應當前網絡健康管理時代的網絡安全管理系統。
2醫院信息標準化建設中網絡安全管理體系建設遇到的問題
2.1缺乏統一標準和依據
醫院信息化建設具有高度的系統性和復雜性,需要各部門密切配合,對醫院進行統一規劃,明確每一步的建設目標。但是,從醫院信息化建設的現狀來看,對醫院的實際發展缺乏重視,在投入之前沒有充分考慮到醫院的長遠發展目標。另外,信息化建設沒有統一的規則,影響了信息化建設的工作,對新項目的實施也有一定的影響,造成了資源的浪費。
2.2網絡安全性較低
醫院的網絡安全的問題往往是高度復雜動態的,將對醫院領導和安全系統運營人員產生重要直接影響。此外,還有一些新型網絡安全病毒和一些黑客在網絡安全應用方面的潛在問題。雖然很多大型醫院都已經采取了一些相應的技術措施手段來徹底解決這些安全問題,但由于醫療軟件技術能力較差、技術水平不過關等因素,并沒有有效地解決這些網絡安全上的問題。
3網絡安全管理體系建設原則
從醫院建設安全網絡管理信息中心的總體目標要求出發,在國家標準2.0級網絡防護的技術指導下,結合自身醫院網絡安全管理工作實踐經驗,醫院首先明確了以下網絡安全管理原則:①安全管理與網絡技術支持并重,同時合理規劃醫院建設安全管理體系和網絡技術支持能力,用安全管理體系建設指導網絡技術支持能力體系建設,用網絡技術支持能力建設確保安全管理體系的有效實施。②集中控制安全能力和分散安全管理權限,整合安全人力資源,提高安全管理效率,注重員工建立準確識別和有效消除快速安全網絡威脅的管理能力;通過集中的人力資源綜合管理和權力控制,分散對上級行政部門權力的管理限制,以及通過依靠集中審計行政能力控制來有效降低醫院員工違法越權的安全風險。基于上述安全原則,醫院已已經開始對公司現有的醫院網絡安全保障管理能力系統和網絡技術支持管理能力體系進行不斷改造和升級完善。
4網絡安全管理體系建設標準
建立安全管理中心的前提是醫院應有一套合法、兼容、可行的安全管理體系。通過驗證基本2.0級防護要求,結合醫院自身的安全管理經驗,并將實施能力作為重要標準考慮在內,建立2.0級安全管理體系框架,以確保管理體系的管理方向和可行性。為便于實施,醫院將管理體系文件分為4個層次。一級安全文件根據有關國家安全法律法規、相關安全行業政策法規和公立醫院安全管理要求,確定醫院總體上的網絡安全保障政策和發展策略,在此基礎上研究構建公立醫院第三級安全網絡管理體系,定義全球安全要求,并在安保管理、人員管理、資產管理、安保大樓管理和維護以及應急支持管理的組織中建立安全標準。輔助文檔中的信息總量,更新和調整物理安全要求、政策和政策,以應用于特定領域。二級安全操作和維護系統,規定了適用于文件安全系統維護和維護管理第一級操作和操作的安全要求,并規定了操作和禁止規則。三級規范文件要求是具體的企業工作人員操作管理規范,以便于確保操作人員的實際操作管理效果能夠滿足您的預期,并減少故障和其他行為造成的潛在安全風險。例如,確定您的服務器安全技術增強(windowsserversecuritymanual)的項目操作步驟和項目實施經驗效果,并及時制定技術要求以便于確保您的服務器安全滿足特定項目安全要求,并制定安全增強管理體系安全增強基礎的各項相關技術要求。四級文件是用于數據篩選、跟蹤和分析的安全操作管理記錄,為了減少操作和維護人員的工作量,提高時尚管理的效率,節省紙張,醫院開始嘗試非常規檢查表。四層文件管理體系四級文件管理體系有效提高了人民醫院安全生產管理體系的工作靈活性和市場適應性:第一層體系決定了整體網絡安全政策和策略以及其他體系制定的方向。二級管理體系手冊側重于對個別具體管理問題的有效管理,根據實際需要進行制定,具有較強的基本相關性和實際適用性,確保一級管理體系的基本靈活性和實際適應性;第三方操作手冊特別注重管理細節和長期實施,可根據長期實施管理效果反復迭替換代,這些都是我們確保一級管理體系長期實施管理效果的最終重要目的;四級注冊表格針對醫院在建立管理體系時,特別注重對人員安全風險的管理和控制,建立持續改進管理體系的能力。成立了“網絡和信息安全委員會”,作為主要決策機構。根據網絡標準2.0要求,管理員職位分為3個職能:系統管理員、審核管理員和安全管理員。醫院和外部員工通過一系列系統文件進行標準化。合同檢查員工的安全日常行為,并初步確定合同員工的安全和財產保密管理責任;同時提出關于修訂企業管理體系目標評審和上層建筑管理要求的具體要求,建立促進管理體系建設持續完善改進的長效機制,確保穩定性,實施安全管理體系的靈活性和能力,并明確各級修訂和審查體系文件的要求。
5網絡安全技術能力建設
在安全維護管理體系中心建設的基礎上,醫院已經開始研究建設安全技術管理能力,以便于滿足安全維護管理系統中心的要求。醫院作為一個安全系統管理區域,安全維護管理系統中心負責系統的安全管理操作、維護和監督管理。因此,建立安全維護管理體系中心的主要目標是建立一個完全具有高度完善集中控制管理能力的安全維護管理域。安全維護管理區域主應負責執行包括收集和管理綜合安全管理數據、運行安全設備以及安全維護和監督管理整個醫院網絡的安全任務,為整個醫院網絡過程提供必要的醫院網絡安全基礎硬件設施和安全維護服務,以及足夠的自我保護能力,以確保自身在網絡中的安全,避免對重要的安全、審計和管理服務造成損害。由于原有醫院網管區域具有一定的集中控制能力,醫院在現有網管區域的基礎上,采用以下方式完成安全管理建設技術能力。
5.1終端網絡保護
前端計算機通信系統的網絡終端擔保是整個網絡敏感區域的一個核心。其終端主要是連接內聯網和連接外聯網之間的網絡連接,負責從敏感區的核心節點發送數據,僅易受攻擊。因此,通常可以為每個主機66學術論壇/AcademicForum系統部署一個安全網絡管理文件系統。為了提高主機服務器系統的網絡安全級別。可以從根本上對來自網絡連接終端的安全攻擊進行免疫,并在它們已經進入安全下一階段之前預先阻止。
5.2區域網絡運維安全設計
(1)建立檢測網絡安全漏洞的系統。通過自動部署互聯網絡檢測安全漏洞,檢測中心系統人員可以24h時間掃描和自動檢測指定區域內的互聯網。對系統性能進行安全特性評估,實現技術、管理、安全防護的有效集成。為全球用戶同時使用各種區域性的網絡服務降低安全風險,并提供強有力的網絡技術支持。(2)創建審核和運維系統。通過對網絡安全管理設備、網絡安全管理設備、應用管理系統、安全事件等網絡日志相關信息數據進行全面的網絡日志相關信息分析收集和日志相關性信息分析,管理者不僅可以通過搜索和實時分析日常網絡使用中的記錄,正確維護日志數據,定義日志審核設備,方便員工隨時查看,并隨時跨平臺監控整個數據中心的安全狀態。(3)建立完整的微觀分析和深度流量跟蹤系統。通過自動建立完整的用戶微觀數據分析和用戶深度風險流量檢測跟蹤分析系統,可以實時部署專門的高標準風險流量檢測分析平臺,準確快速收集用戶流量,進行深度恢復和全面分析。為了在大量會話流量中快速發現這些隱藏的整個會話進程行為,挖掘這些可能使其隱藏的潛在危險,提供會話進程的所有數據審計處理能力,并不斷提高其進程追蹤和對攻擊源的預測能力。
5.3整合現有安全資源
醫院將在保障自身安全和區域安全管理的基礎上,轉移現有的保障功能,包括資源,非病毒系統、維持和平行動管理系統和安全系統納入安全管理領域。此外,通過研究在服務區內設立專用安全通道和具體的基礎設施安全設施,優化全市安全設施功能整合,注重安全設施綜合利用,減少不必要的安全設備,提高安全設備維護和安全系統運行效率,完成對全市現有安全防護體系的綜合優化。
5.4優化集中控制
在完善現行安全監管制度的基礎上,該院先后研發了航站樓和門診部的安全監控和安全管理系統,為彌補醫院現有綜合門診終端保障體系的不足,對醫院基礎設施進行集中控制和建設,以及醫院管理系統的現有背景操作和系統維護,抗病毒防御系統與醫院客戶犯罪風險檢查系統密切配合。因此,集中審計和宣傳系統完成了建立集中管理和維護系統進行審計和宣傳的任務。預防和控制覆蓋整個醫院網絡的信息資源。
6醫院構建網絡安全管理體系
為有效適應未來最嚴峻的網絡安全發展形勢,醫院還對各級應急保障體系進行了修訂。新的應急支持系統由兩部分組成:綜合計劃和專項計劃。總體實施計劃詳細規定了醫院應急救援支持的主要組織職能結構,確定了醫院事件預警分類管理標準,并詳細規定了事件預警和應急響應工作程序、物資供應支持、培訓和其他一般工作規定:為特定類型的緊急情況和醫院系統的關鍵系統制定詳細的應急和應急方案服務按照“目標選擇、非目標選擇、綜合規劃”的醫院應急救援管理機制可以確保,使醫院應急系統人員在統一系統的技術指導下,能夠有效應對網絡上的各種突發事件。以安全網絡管理中心為工作起點,對信息網絡保護系統進行了升級,提高了風險信息的準確性,與公立醫院安全信息網絡資源管理、網絡資源安全風險管理及威脅有關,建立安全網絡。然后,在發展安全管理能力的基礎上,圍繞“響應性”完善安全運行體系建設,提高響應速度和應對網絡安全威脅的能力。在技術上,嘗試將連接機制引入安全體系,開發建設“主動防護、動態防護、全局防護、精確防護”的網絡安全防護體系,緊跟醫院信息“醫療衛生互聯網”建設步伐在網絡時代,促進了醫院網絡安全建設的發展。
參考文獻:
[1]胡列倫,李倩.醫院信息化建設中網絡安全保護研究[J].中國寬帶,2021(07):31.
[2]龔克.分析醫院信息化建設中網絡安全保護方案設計[J].數碼設計(上),2021,10(06):18.
[3]詹振坤.醫院信息化建設中計算機網絡安全管理與維護工作思考[J].無線互聯科技,2021,18(10):25-26.
[4]巫新玲,李文俠.人工智能下醫院網絡安全信息化的建設路徑探索[J].大眾標準化,2021(11):182-184.
[5]廖文韜.醫院信息化建設中的網絡安全體系建構[J].電腦編程技巧與維護,2021(07):163-164.
[6]劉小洲,黃桂新,張武軍,等.現代醫院管理制度下的醫院信息化建設推進機制探討[J].現代醫院,2018,18(03):368-371.
[7]姜濤.寧夏醫科大學總醫院醫院集團信息化建設優化[D].銀川:寧夏大學,2014.
[8]謝言.國家扶貧開發工作重點縣中醫醫院信息化建設現狀調查及影響因素分析[D].武漢:湖北中醫藥大學,2013.
[9]張宇.醫院信息化建設改革實證研究[D].南昌:南昌大學,2012.
篇6
關鍵詞:應急相應;網絡安全;安全時間;分類;應急相應體系
一、網絡安全事件的相關概念闡述
安全事件囊括的范圍是比較大的,將事件的起因或者用意作為出發點的話,計算機安全事件一般情況下是能夠被劃分為兩個類型的。假如說一個事件完全是處于意外或者是一種無意識的行為的話,比方說自然災害、電力中斷等事件致使系統受到一定程度的破壞,是能夠劃分到第一個類別當中的;假如說事件是處于有意識的、有目的的對系統的安全性造成破壞的一種行為,是可以被劃分到第二個類別當中的,上文中所提及到的這個類型的安全事件一般情況下也是能夠被稱為攻擊事件的。
應急相應:在安全事件發生了以后采取的與之相對應的補救措施或者行動,以便于能夠使得事件對系統安全性造成的影響變得相對來說比較的小。應急相應主要所針對的就是有目的的、有惡意的對網絡系統安全性造成破壞的攻擊性事件;對于和自然災害以及能源之間有著一定程度相互聯系的問題,一般情況下都是被叫做“可持續性”或者“可持續性計劃”的。
二、對應急相應過程進行分析
應急相應其實就是在網絡安全事件發生之后采用的與之相對應的補救措施及行動,以便于能夠使得各種類型的網絡安全事件對網絡系統安全性造成的影響變得相對來說比較的小。依據事件相應的六階段方法學,響應流程包含的是:準備,檢測,抑制,根除,恢復以及跟蹤六個階段。在這里面起到相對來說比較的重要的作用的相應步驟是抑制、根除以及恢復。
抑制是一種過渡性或者暫時性相對來說比較的強的措施,從根本的層面上進行分析,相應其實應當是根除和恢復,并且是需要將引起安全事件的系統漏洞找尋出來的,以免相似的事情再次發生。而系統恢復,則是需要站在事件產生的結果的層面之上對系統受到的影響的程度展開分析的,進而就能夠將受到影響和破壞的系統恢復到以往的運行狀態。
從上文中進行的相關分析,我們所能夠得知的是,從應急響應的過程中這個層面上進行分析,安全事件所涉及到的各個要素當中,系統漏洞以及事件結果這兩個層面的相關信息在做出響應決策的過程中起到的作用是相對來說比較的重要的。
三、面對相應的分類方法
時間。分類模型的第一個維度是依據時間發生的時間進行分類的,從時間的層面上進行分析的話,所需要達成的目標就是選擇出來正確的相應策略。依據相應的六階段方法,在事件發生之前實際上是應當進行預期性準備工作的,在事件進行的過程中主要使用到的就是抑制措施,使得攻擊的延續性變得相對來說比較的差,使得潛在的威脅受到限制,最大限度的減小系統受到的影響和破壞;在事件發生完畢之后,則是應當展開系統恢復和損失評估等相關的工作的。
事件主體。模型的第二個維度是站在事件主體的層面之上對安全事件進行分類的,在這個維度之上,安全事件又是能夠進一步的從事件源數量、事件源未知以及事件源性質這三個層面上展開詳細的劃分工作的。將事件源數量作為出發點的話,事件是能夠劃分為單供給源事件和多供給源事件的;將事件源未知作為出發點的話,事件一般情況下是能夠劃分為內部供給和外部供給這兩個類型的;將事件源的性質作為出發點的話,其實也就是對攻擊者的性質進行分析,以便于能夠確定事件是由普通的抱著惡作劇心態的人員發起的,還是由經濟層面之上的對手或者軍方組織發起的。
攻擊技術。模型的第三個維度是站在攻擊技術的層面上對時間進行分類的。Lindqvist在對攻擊技術進行分類的過程中使用到的方法是可以在這里進行使用的。對發生的事件所使用到的攻擊技術進行分類,是能夠在選擇抑制措施的過程中提供依據的
四、結語
針對網絡安全事件進行分類層面上的研究,是能夠為后續的應急相應體系的構建工作的順利開展奠定堅實的基礎的。本文提出了一種面對應急相應體系的網絡安全事件分類相關工作進行的過程中所能夠使用到的方法,但是這僅僅是工作的第一步。在此基礎之上,各種類型的相關工作是可能從以下幾個層面之上展開的:對各種類型的事件的報告格式做統一規范的處理,逐步的在實踐的過程中構建出準確且及時的安全事件上報體系;在對網絡安全事件進行分類的基礎之上,找出適應性較強的各種類型的安全事件的應對方法,從而就能夠構建出一個較為完善的應急相應決策數據庫;應當在實踐的過程中逐漸的構建起網絡安全事件數據庫,這一項工作在事件相應流程當中的最后一個階段(跟蹤)所能夠起到的作用是相對來說比較的重要的。
參考文獻:
篇7
關鍵詞:一體化;安全域;信息安全
1.引言:
隨著全國信息化建設的發展和消防信息化的深入,消防業務應用系統數量和提供服務的用戶數不斷增加,同時,公安部消防局統一開發的一體化消防業務信息系統逐步在各總隊深入推廣應用,因此,為保障總隊信息系統的穩定可靠運行,總隊在部局規劃指導下,開展一體化信息系統信息安全保障項目建設,構建設計動態積極安全防御體系,保障全局一體化業務系統穩定可靠地運行。
2.系統特點
一體化消防業務信息系統是公安部消防局根據十一五期間信息化建設項目總體實施方案統一規劃設計,根據整體業務進行需求分析研發的信息系統,系統實現了縱貫部局,總隊,支隊,大隊,中隊各級,橫跨各業務部門的信息資源共享,互聯互通。系統以基礎數據及公眾服務兩大平臺為建設核心,包含滅火救援指揮系統,消防監督管理系統,部隊管理系統,公眾服務平臺,綜合統計分析信息系統五大業務系統。并針對一體化業務平臺,提供二次開發接口,保證和其他業務信息系統的銜接。系統采用面向服務的SOA的設計理念,最終實現音頻,視頻,數據的綜合集成,使一體化業務系統能實現互聯互通互操作。
系統建設主要依托“金盾工程”,利用“金盾工程”的現有公安網基礎網絡和信息資源,按照網絡應用環境不同,分為公安信息網(以下簡稱“公安網”)應用系統、互聯網應用系統、公安網與互聯網同步應用系統。公安網應用系統是指僅在公安網上運行的消防業務信息系統,互聯網應用系統是指在非公安網運行的消防業務信息系統。公安網與互聯網同步應用系統是指同時在公安網和非公安網開展業務應用、并且相互間有數據交換要求的消防業務信息系統。
根據部局的一體化系統建設指導方案和系統設計架構,總隊結合當前實際情況,對一體化消防業務信息系統暫采用混合部署模式,即整個總隊的一體化業務系統的應用及服務均部署于總隊信息中心,由總隊統一規劃,統一管理,開展一體化消防業務信息系統體系建設。
3. 系統信息安全管理體系設計
為保證一體化消防業務信息系統的高可用性和高可控性,總隊按照武警消防部隊信息化建設總體方案的要求,對全總隊網絡信息安全設備配備及部署進行統一規劃、設計,購買相應設備,利用信息安全基礎設施和信息系統防護手段,構建與基礎網絡相適應的信息安全管理體系。
3.1總隊信息安全管理體系安全域劃分
由于總隊內部計算機數量眾多,并涉及到公安網,互聯網以及政務網多個網絡的應用,為便于管理和控制網絡廣播風暴的發生,應根據計算機所屬部門、物理位置、重要性的不同,把局域網劃分為多個虛擬子網(VLAN1…VLANn)。根據各VLAN間的安全訪問級別不同,實現各VLAN間的安全訪問控制。
根據各類軟硬件設備提供應用的范圍、面向的用戶群以及影響面、重要性的不同,站在全局的高度,合理劃分安全域,確定安全需求和訪問控制策略、安全硬件部署策略。
總隊安全域劃分:
(1)核心業務處理區:涉及一體化消防業務信息系統中的部分業務系統。該安全域中的業務系統支持本地內網的業務應用,無需與外部實體進行數據或業務的交互。
(2)119接處警系統區:涉及119接處警系統所有應用服務器、數據庫服務器、數字錄音儀、接處警終端以及其它附屬設備。本區域設備支撐119報警的受理、處置、調度、反饋以及災后數據分析等全流程業務應用,為全內網應用。總隊119接處警系統將與一體化消防業務信息系統的滅火救援系統開發數據接口。
(3)特殊業務受理區:涉及一體化消防業務信息系統中部分業務系統,主要是面向移動終端的業務接入,包括滅火救援、消防監督的業務受理系統,特殊業務受理區的受理服務器可以將受理的業務數據“擺渡”到業務處理區進行處理,在得到處理區服務器的反饋后,再將反饋信息回傳到移動終端上,完成整個業務處理流程。
(4)特殊業務處理區:涉及滅火救援指揮、消防監督的業務處理系統,實時處理由業務受理平臺“擺渡”過來的數據,在處理后反饋給特殊業務受理區的受理服務器。
(5)內網終端區:由內網中的辦公終端組成,內網終端區用戶可以訪問網絡中授權訪問的業務系統。
(6)內網管理區:將內網中的各類管理服務器置于內網管理中,集中進行安全策略的定制、下發,集中監控各類系統運行狀態。主要包括設備管理、終端管理、防病毒管理等。內網管理區由內網中具備相應管理權限的管理員來訪問。
3.2信息安全保障體系構成
總隊信息系統安全保障技術體系由物理安全、通信網絡安全、計算環境安全、數據安全、安全基礎支撐和安全管理構成。其中,安全基礎支撐為物理安全、網絡安全、計算環境安全和數據安全提供支持,安全管理為整個安全保障體系提供全面的管理。
安全基礎支撐主要涉及總隊一體化系統中的身份認證與授權系統,包括服務器計算機硬件設備以及安全認證網關設備。通過部署身份認證與授權系統及安全認證網關于核心業務處理區,確保總隊認證服務及CA系統正常運行,利用數字證書登錄訪問一體化消防業務信息系統的模式,加強一體化系統的訪問控制安全,提高一體化系統的安全級別,是整個系統的基礎和支撐,是實現總隊信息系統安全保障的共性設施。
數據安全包括數據庫入侵檢測系統、數據庫訪問控制系統、數據庫審計系統、數據容災備份系統等,用于保障消防信息系統中的所有數據庫安全。
總隊通過在涉及到一體化消防業務信息系統的業務區對一體化業務系統數據庫部署磁盤陣列以及硬盤自備份和移動存儲備份方式,設置全量備份,增量備份策略,執行方式為日備份,周備份,月備份以及臨時應急備份,確保一體化系統的數據安全可靠。同時通過部署數據庫入侵監測及審計系統,加強系統的數據庫安全,確保數據庫無故障和穩定運行 。在核心業務信息系統和需要重點保護的信息系統中部署數據審計系統,實時監控數據庫各種賬戶的數據庫操作行為(如插入、刪除、更新、用戶自定義操作等),從而降低數據庫安全風險,保護數據庫安全。
網絡安全包括隔離防火墻、網絡入侵檢測設備、信息內容審計監控等設備,主要在各級區域網絡互連的邊界位置進行安全防護和訪問控制,對進出網絡的數據進行實時的檢測與訪問控制,以發現異常流量,并進行分析、阻斷和報告。
根據安全域劃分,總隊在各安全域間部署防火墻,并在防火墻上設置相應策略,實現安全域間的訪問控制。在核心交換機上部署網絡安全審計系統,在網絡邊界部署一臺入侵防護系統,實現對外部流入數據的監測,一旦發現入侵行為及時報警并依據策略進行阻斷。同時利用IPS系統的惡意代碼防護模塊對網絡出口處的數據進行惡意代碼防護。在核心交換機上利用入侵檢測系統針對所要監控流量端口做鏡像,實現對流經核心交換機的流量進行監測,一旦發現入侵行為或惡意行為,及時進行報警。
計算環境安全:通過公安網一機兩用監控系統以及互聯網一機兩用監控兩套終端安全管理監測系統對安全域內的終端設備進行監測管理及系統補丁集中分發工作,結合部署在公安網和互聯網上的防病毒軟件系統服務器進行集中控制和病毒防控升級工作,對部署在總隊局域網的計算機終端、服務器、及其運行的應用系統進行安全防護。
物理安全包含環境安全,設備安全,介質安全三個方面。通過信息中心機房的門禁系統、防雷設施、防火設施、穩壓UPS電源,機房溫、濕度監控系統及LED顯示,聲光報警等多種手段及措施,構筑我總隊一體化消防業務信息系統的物理安全防護體系。
安全管理主要指綜合安全管理中心,通過集中的安全管理,保障整個安全系統在統一的安全策略指導下運作,通過制定統一的安全管理協議、安全管理接口規范和安全管理數據格式,實現對用戶、設備、事件的統一集中管理,實現信息系統中各類安全設備的統一管理,安全服務的實時監控和安全審計,并提供安全策略的實施和維護。
目前,總隊通過部署NCC網絡監控和BCC業務系監控平臺,對安全域的網絡設備以及各業務服務器應用,數據庫等設置閥值和策略,進行集中管理,通過NCC和BCC進行每日巡檢。下一步將通過COSS管理平臺并平臺的二次開發接口,擬對一體化系統的深入推廣應用進行全方位監控管理。
3.3信息安全管理體系應急預案制定演練
信息安全管理體系建設的最終目標是保障一體化業務的正常穩定運行,各類防護措施的應用最大程度的降低了安全風險,但由于各種新的病毒、黑客技術層出不窮,制訂完善的應急預案,確保系統遭受安全攻擊后的可恢復性就成了系統防御的最后保障。
在應急預案中,應明確從單機故障到全網絡癱瘓、從影響個人辦公到全單位業務乃至造成重大社會影響的不同級別網絡安全事件的定義,逐一制訂對應的技術措施和管理、處置、上報機制,明確每一個步驟的責任人、責任單位。在應急預案制訂完成后,必須通過至少兩到三次的不同級別、層級安全事件應急處置演練進行檢驗,查找缺陷,完善不足,同時根據單位信息系統建設、應用的發展和網絡設備的更新不斷進行調整,確保應急預案的最后保障作用。
4.結束語
通過安全技術措施及各類軟硬件設備組合構筑一體化消防業務信息系統信息安全管理體系,確保系統穩定運行。但安全事故很多時候不是因為技術原因造成的,二是人們沒有認識到信息安全,以至于忽視了安全流程或者躲避技術控制措施,對于各類與外網邏輯隔離或物理隔離的專用網絡(如公安網)來說,其源自于內部的網絡安全威脅比例更高。因此,建立健全單位內部網絡安全管理制度,加強網絡安全教育,提升內部人員的信息安全意識就成為了增強內部網絡安全管理水平的首選措施。
總隊在加強信息化建設過程中必須加強安全保密管理,設置安全保密管理機構,制定嚴格的安全保密管理制度,采用適當的安全保密管理技術將消防信息系統中的各種安全保密產品進行集成,并加強對涉密人員的管理,形成完整的安全管理體系。同時將各類網路安全技術手段和硬件設備進行有機組合,充分發揮各自的技術特長,以物理安全、通信網絡安全、計算環境安全、數據安全、安全基礎支撐和安全管理六大模塊構成一體化信息安全保障管理體系,并輔之以具有高度可行性和可操作性的應急預案和規范的運維機制,做到網絡不斷,業務不癱,數據不丟。
參考文獻:
篇8
此次大會由杭州市人民政府、中國網絡空間安全協會、浙江省網信辦、浙江省公安廳、浙江省經信委、云棲大會組委會指導,中國信息產業商會信息安全產業分會、阿里云計算有限公司、杭州安恒信息技術有限公司主辦,浙江省計算機信息系統安全協會、杭州市網絡安全協會、北京洋浦偉業科技發展有限公司、飛塔信息科技(北京)有限公司、北京元支點信息安全技術有限公司、北京珊瑚靈御科技有限公司協辦。
本屆大會以“安若磐石,云之所棲”為主題,以全新的國際視野,洞悉全球云安全發展趨勢;圍繞“中國網絡安全創新分享”這一主題,共同研討探索適應我國國情的網絡安全發展的道路,共商凝聚共識,整合資源的網絡安全創新新模式。
大會由公安部第一研究所原所長、計算機安全專委會主任嚴明主持,并宣讀了杭州市委副書記、市政府黨組書記、市長張鴻銘對大會發來的賀信。參加本次大會的致辭和重要演講的嘉賓有,中央網信辦網絡安全協調局副局長胡嘯,浙江省公安廳副廳長石小忠,浙江省經信委總工程師厲敏,中國信息產業商會信息安全產業分會理事長朱勝濤,公安部網絡安全保衛局總工程師郭啟全,國家信息中心專家委員會副主任、國家信息化專家咨詢委員會委員寧家駿等領導和專家。另外,來自全國各地政府機構、公安部門、信息安全科研單位、央企、金融、運營商、互聯網、軍工各行業信息安全決策人員、信息安全主管、CIO、媒體等1500余人出席了本次大會。
專家論道產業安全
郭啟全總工在演講“加強創新和能力協同 全力保衛國家關鍵信息基礎設施安全”中提到,國家對網絡安全提出了新的要求,首先就是要健全和完善國家信息安全等級保護制度,強化關鍵信息基礎設施保護。《網絡安全法(草案)》中也提出明確要求,國家實施網絡安全等級保護制度。
等級保護在網絡安全保障、網絡強國建設方面起著至關重要的作用。基礎信息網絡與重要信息系統面臨著日益嚴峻的威脅與挑戰。
為適應新技術的發展,解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,從2014年3月開始,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入了2.0時代。
全新的《網絡安全等級保護基本要求》涵蓋了6個部分的內容:安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求以及大數據安全擴展要求。
寧家駿指出,開展關鍵信息基礎設施網絡安全檢查至關重要,安全檢查是從涉及國計民生的關鍵業務入手,理清可能影響關鍵業務運轉的信息系統和工業控制系統,準確掌握關鍵信息基礎設施的安全狀況,科學評估面臨的網絡安全風險,以查促管、以查促防、以查促改、以查促建,同時為構建關鍵信息基礎設施安全保障體系提供基礎性數據和參考。
他建議,充分借鑒國外關鍵基礎設施網絡安全保護相關法律,分析我國現有立法的不足和主要問題,抓緊建立我國關鍵基礎設施網絡安全法律體系,從法律層面明確關鍵基礎設施的定義和范圍、界定政府部門的職責、規范運營者何所有者的運營資質要求。同時通過關鍵基礎設施網絡安全態勢感知、積極穩妥推動關鍵基礎設施相關產品的國產替代、開展安全檢查評測督促關鍵基礎設施運營單位加強管理等方案促進我國關鍵基礎設施網絡安全與信息化的大發展。
聚焦G20杭州峰會安保
安恒信息CSO劉志樂在演講中表示,杭州安恒信息技術有限公司作為本次大會網絡安保和應急支撐工作的主要技術支撐單位,歷經近360天精心準備、投入309位技術骨干參與到G20峰會網絡安保任務。通過企業自主知識產權的最新大數據態勢感知系統及應急處置工具箱、工控檢查工具箱等二十多種產品平臺,為G20峰會網絡安保構建了全網全程網絡安保和應急支撐監測體系、防御體系和服務體系,經過G20峰會全程考驗,安恒信息圓滿完成為本次峰會相關重要信息系統、關鍵基礎設施、省市兩級重要信息系統提供網絡安全保障的安保任務。
安恒信息網絡安保團隊以遠程和現場人員安全檢測,結合部署基于云與大數據技術的遠程安全監測、大會系統現場各重要駐點安全值守、會議安保指揮中心四方互聯,多地支撐的形式,為大會召開保駕護航。他以本次峰會核心信息系統為例介紹道,安恒信息安保團隊共發現高危以上漏洞438個,共攔截3300萬次攻擊。經風暴中心分析,攻擊來自于41個國家和地區。
DT時代的云計算安全
阿里云安全資深總監肖力表示,云計算時代所面臨的安全挑戰并不比傳統安全所面臨的問題要少,甚至于相較之下更加復雜。通過10多年在安全領域的積累,阿里云建立了一支全球頂級的云計算安全團隊,有完善的基礎設施,并且有更快的安全應急時間,能及時發現高危的安全漏洞信息,用最短時間修復,幫助用戶應對安全問題。
據普華永道統計,目前69%的企業正在使用基于云的安全服務,阿里云保護云上37%的數百萬的網站,每天防御8億次各類攻擊,每天識別并防御35000個惡意IP,每天防御2000次DDoS攻擊。安全從來就不是云平臺、用戶或者安全廠商某一方的單打獨斗。云計算廠商需要建立強大的生態讓用戶個性化的安全需求能夠快速有效的解決,云上客戶需要與SaaS服務商和安全廠商的虛擬化產品協同作戰,目前阿里云安全生態市場已有包括安恒信息在內的79家生態廠商、168款安全產品。
阿里云首席安全研究員、云盾負責人吳翰清在大會上首次了“阿里云云盾混合云解決方案”,混合云解決方案由阿里云安全團隊與數夢工場聯合開發、交付,支持公共云、專有云、線下IDC全場景覆蓋,讓企業擁有與阿里云一樣的世界級安全能力與體驗效果:包括安全態勢感知大屏、海量寬帶和快速擴容、大數據安全分析、威脅情報支持和0DAY快速反應能力。
模塊化是混合云云盾解決方案的一大體驗亮點。阿里云云盾的安全能力和服務,用“可插拔”的模式,模塊化輸入。用戶可以按需購買,按需啟用,解決以往線下解決方案不靈活、投入大的缺點。
安恒密盾2.0
安恒密盾安全產品經理楊錦峰做題為“打造你的釘釘移動應用安全之路(密盾2.0)”的演講。
篇9
隨著網絡時代的發展,人們已經進入了一個全新的信息世界,世界連成了一個整體,實現了“雙腳不出門,盡知天下事”的時展目標。計算機技術的快速發展以及網絡安全所具有的保密性、完整性、可用性、可控性和可審查性等特征使得網絡安全愈發成為各界關注焦點。網絡安全能夠做到防范于未然,將潛在的網絡安全隱患扼殺在搖籃中,以使各自的利益得到保障。不同應用環境有不同的網絡安全類型,最常見的網絡安全類型有系統安全,網絡的安全、網絡傳播安全和信息內容安全等。計算機技術的快速發展使得網絡安全技術相關工作不斷面臨挑戰,網絡安全隱患大大增多。因此,利用網絡安全技術,解決相關問題,減少安全隱患,提升網絡安全性迫在眉睫。
1網絡安全問題簡析
現階段的網絡安全問題主要體現在存在較多網絡隱患上,具體表現為以下六個方面。(1)Internet作為一個沒有控制機構的開放網絡,其計算機系統很容易遭到黑客入侵,最終導致特權被盜用、重要數據被破壞、機密數據被竊取甚至是系統癱瘓的后果。(2)TCP/IP是一種沒有信息安全措施的通信協議,而Internet所有的數據傳輸都是在此基礎上進行的,所以存在一定安全隱患。(3)Unix是一種安全性較弱的操作系統,而Internet中大部分的通信業務都是由該系統支持完成的,因此仍舊存在一定安全隱患。(4)由計算機存儲、傳輸及處理的電子信息的真實性和可靠性還不能保證,其在應用層中的相關服務協議全靠彼此間的君子協定維系,安全性有待加強。(5)電子郵件被誤投、拆看以及偽造的情況大量存在,用其傳輸機密性的信息文件時,安全系數將會大大降低。(6)Internet在傳播過程中容易帶來計算機病毒,進而導致數據文件丟失、系統癱瘓等較為嚴重的后果。
2網絡安全技術簡介
2.1防火墻
防火墻通常被放置在網絡邊界地帶,用于隔離網絡內外兩部,發揮安全隔離作用,以此監控審核通信信息,確保網絡安全。防火墻結合相關安全策略,對網絡傳輸數據進行檢測分析,改變所檢測到的較為機密的數據,將內部的數據結構以及運行狀態等隱藏起來,進而使網絡安全得以保障。包過濾技術、技術、狀態檢測技術以及地址轉換技術是最為常見的四種防火墻技術,是依據其所采用的技術標準劃分的。防火墻是網絡安全的屏障,能夠阻止與安全策略不相符合的較為危險的網絡信息的傳播,進而提高網絡安全防護能力。防火墻對用戶權限的訪問以及數據內容的控制也是其的重要功能。除此之外,防火墻還具有網絡訪問審計和地址轉換的功能,作為連接網絡內外兩部的唯一通道,防火墻能夠記錄有關網絡的所有訪問記錄,再對其進行了較為仔細的審計和分析,并以日志信息的形式呈現出來。在此過程中,NAT服務協助防火墻實現內外部網絡的地址交換,共享資源,提高其安全性能。
2.2入侵檢測
與防火墻不同的是,入侵檢測技術在安全防御這個過程中顯得更為主動,其實質是一種自我防御技術。入侵檢測技術通過“整理收集分析”這一流程對網絡中那些較為關鍵的節點信息進行處理,再判斷其是否被人入侵或者攻擊。此外,該技術還能監督系統的運轉狀況,發覺各種各樣的進攻計劃、行為或者后果,進而保障系統的完整性、機密性以及可用性。入侵檢測技術主要有使用主機入侵的檢測和使用網絡入侵的檢測兩種方式。前者是以主機為檢測對象,將入侵檢測設置于系統之上,以避免因網絡遭到外部攻擊而造成系統不能正常運行的狀況發生。后者是以網絡為檢測對象,又可以稱是硬件檢測,該檢測是將網絡中的數據包安插在相對重要的地方,再對其進行分析和配置,一旦發現有攻擊行為存在,系統便根據有之前配置的相關安全策略阻斷網絡,以保證網絡安全。
2.3VPN
VPN是一種利用公用網絡架設虛擬專用網絡的遠程訪問技術,其實質通過共享網絡建立一個能夠連接內部網絡的隧道。對遠程用戶來說,VPN非常實用,不僅成本較低,還能夠通過其獲取可靠安全的資源,并且在此過程中傳輸數據時的安全性也能夠得到相應保障。隧道技術、加密和解密技術、密鑰管理技術以及身份認證技術是VPN中最主要的四種安全技術。VPN技術最主要的特點有兩個,一是能夠保障安全性,二是能夠保證QoS的服務質量。前者主要體現在VPN能夠保證網絡傳輸中所傳輸數據的可靠性和保密性。而后者主要體現在能夠預測網絡在高峰期的使用情況,并建立一定策略機制,設置相關權限以控制執行先后順序,避免出現擁塞現象。
3網絡安全解決方案
3.1構建網絡安全體系
網絡服務的保密性、完整性和持續性是網絡安全體系的最主要體現,現階段的網絡應用中存在不少安全隱患,這在一定程度上影響了網絡服務的質量。所以,要提升網絡安全系數,保證網絡安全質量就不得不首先從構建網絡安全體系著手。例如,要構建一個圖書館的網絡安全體系,其具體操作流程如下。第一,對具體的業務、系統、網絡等實際應用情況做一個全面具體的分析,建立一個初步的、具有一定整體性的安全體系結構框架。圖書館的網絡安全體系結構框架可以從存儲系統、網絡結構和自動化系統這三個方面設計。第二,再對以上三個方面進行詳細分點設計,整理出每一方面需要設計的內容。具體如下。(1)存儲系統方面,DAS系統的技術相對而言更具成熟性和穩定性,故而該圖書館的存儲系統可采用該系統。(2)網絡結構方面,為免受設備物理位置的限制,可采用VLAN劃分技術,實現每一個職能部門計算機的邏輯劃分。(3)自動化系統方面,服務器對應用訪問的熱備份需求日益增加,為滿足這一需求,圖書館在自動化系統方面可以采用雙機熱備技術。
3.2技術與管理相結合
技術和管理的有機結合能夠更好地實現網絡安全,控制網絡內部的不安全因素的產生。此處仍以圖書館為例,具體操作如下所示。(1)使用防火墻。DDoS和DoS的攻擊可能會使得PC機和關鍵服務器受到損害,這個時候就需要設置防火墻,并制定相關的限制訪問策略,以響應各種網絡攻擊。圖書館可以根據自身實際情況配置防火墻,以防止外部非法用戶在該圖書館網絡中自由出入,獲取資源。另外,為了保證計算機網絡系統安全,圖書館還應該隨時對系統進行升級。(2)安裝防毒軟件。安裝防毒軟件防止病毒入侵的重要方式之一,桌面、服務器、郵件以及網關等隨時都有可能遭病毒入侵,所以設置防病毒軟件尤為必要。在選擇時,一定要選擇公認的質量較好的、升級服務較為及時的、響應和跟蹤新病毒速度較快的防病毒軟件。(3)多重加密技術。網絡安全的威脅途徑主要來源于數據的內部傳送、中轉過程以及線路竊聽,采用多重加密技術,可以有效地提高信息數據及系統的保密性和安全性。多重加密技術主要分為幾個過程,首先是傳輸數據的加密,這是保證傳輸過程的嚴密,主要有端口加密和線路加密兩種方式。其次是數據儲存的加密,目的是為了防范數據在儲存中失密,主要方式是儲存密碼控制。最后是數據的鑒別和驗證,這包括了對信息傳輸、儲存、提取等多過程的鑒別,是一種以密鑰、口令為鑒別方式的綜合數據驗證。日常的網絡生活中,加密技術也常能看見。比如各大社交軟件、游戲賬號、郵箱等,都設有個人密碼,只不過多重加密技術是一種更高級的滲透入網絡數據傳輸各環節的一種加密形式,有效地采用多重加密技術將極大促進網絡重要數據的安全性。
3.3制定安全問題應急策略
網絡安全事故在所難免,但是可以通過一定的措施控制其發生的頻率。制定應急措施便是不錯的方法之一。應急策略包括緊急響應計劃和災難恢復計劃。前者主要是指出在事故發生之時系統和網絡可能遭到的破壞和故障有哪些,而后者主要是指明如何及時地應對這些破壞和故障,使其恢復到正常狀態。
3.4注重相關人員技術培訓
培訓不能僅僅只針對相關技術人員,非技術管理人員的培訓也尤為重要。現階段,無論是技術性還是非技術性員工,對網絡安全的重視程度仍舊不夠。所以,加強其網絡安全意識勢在必行。對非技術人員的培訓而言,主要是使其了解基本安全技術、能夠分辨網絡或系統中存在的安全隱患等。而對于技術人員而言,要求則相對較高,必須使其掌握相關的黑客攻擊技術,找到應對方法,并將其應用于實際工作中,以保證網絡安全等。
4結束語
篇10
關鍵詞:地市煙草;網絡安全;技術;管理
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2014) 02-0000-02
煙草行業自1985年有了第一臺計算機以來,經過20多年行業信息化工作者孜孜不倦的努力,行業的信息化建設工作取得了長足的發展,建立了涵蓋行業各個方面工作的完備的信息網絡,為行業工作的便捷開展提供了可靠的信息化助力,為“卷煙上水平”做出了應有的貢獻。但不可否認的是,在信息化建設之初,由于經驗的缺乏及技術的限制,沒有形成一個具有遠見性及科學性,能與行業整體業務發展戰略緊密融合的信息網絡安全建設戰略,導致多年來行業信息網絡安全建設工作缺乏統一的導向和組織,雖然各省煙草公司都制定并出臺了計算機網絡建設與管理規范,指導各地市的信息網絡建設,但因為制度出臺時間較短,及網絡改造需要流程與時間,可以說目前各地市網絡安全建設水平仍不夠理想,信息網絡安全建設發展至今,越來越多的困難與矛盾開始逐漸凸顯。
一、地市煙草公司信息網絡安全建設現狀
地市煙草信息網絡是構成全省煙草信息網絡的個體,因此地市信息網絡安全建設水平便直接關系全省信息網絡建設水平,是構成全省信息網絡安全建設的一環,就像構成木桶的一板,依據管理學上“木桶效應”的短板理論,木桶的盛水量由構成木桶的最短的一板決定,當有一個地市信息網絡安全建設水平大大低于平均水平,就將大大拉低全省煙草信息網絡整體安全防護水平。可以說全省煙草的信息網路安全建設必將是環環相扣的,一環均不得松懈,一環均不得落后。
地市信息網絡安全建設關系到全行業主干的網絡的安全與穩定,而信息網絡環境的復雜性、多變性以及系統的脆弱性、開放性和易受攻擊性,決定了信息網絡安全威脅的客觀存在。當行業人員在享受著信息網絡給日常辦公帶來便利性的同時,信息網絡安全問題也日漸突出,信息網絡安全建設形勢日益嚴峻。結合地市煙草實際情況分析總結(某地市煙草信息網絡安全結構圖如下),以及筆者日常的實際工作體會,主要可以總結出當前地市煙草信息網絡安全建設還主要存在著以下幾方面問題:
(一)將信息網絡安全建設理解為單純的安全設備采購
經過多年的信息化網絡安全建設投入,一種簡單的理念容易令一些行業信息化工作從業者產生誤解,即所謂的信息網絡安全建設就是網絡安全設備的采購,只要網絡安全設備采購部署到位,信息網絡安全便高枕無憂,從一定角度來說,這種觀點并沒有錯誤,隨著信息技術的發展,日益先進強大的網絡安全設備層出不窮,人性化的操作界面也使得設備使用與配置變得不再困難,對信息網絡安全起到很好的保障。各地市煙草公司也在逐年增加著安全設備的采購數量,網絡安全隨著安全設備的增加看起來已經不再是問題。但實際情況是這樣嗎?在實際情況中我們仍然會發現,地市煙草在重視網絡安全設備采購的時卻較為忽視對網絡安全設備采購的前期規劃,導致亟需網絡設備沒有得到采購,或者采購的安全設備沒有得到很好的實施。造成重復投資及資產浪費的局面,同時設備上線實施后期的運行維護及更新升級,隨著時間的流逝,人為的懈怠與忽視,都導致購買的安全設備沒有起到最大的作用。
(二)信網絡安全建設偏重技術鉆研,忽略日常管理
信息網絡安全不能完全依賴技術手段來解決,更多的需要從信息安全日常管理上入手,畢竟信息網絡的使用者是人,只有對人的管理到位,才能保證在技術手段搭建的網絡安全保障平臺下不出現人為操作引發的漏洞。當前地市信息化工作從業者在對信息安全技術鉆研方面投以了很大的熱情,但對信息網絡安全日常管理方面卻顯得無能為力,或者說掌控能力還不夠,雖然制定并頒布了涵蓋網絡安全各方面的信息化制度,但相關制度卻沒有得到很好的貫徹執行,很多制度名存實亡,而行業各級員工良好信息網絡安全使用習慣始終沒有得到養成,信息安全問責機制得不到很好實施,同時而信息中心作為相關信息安全管理制度的制定者,受限于部門職能及自身管理水平所限,導致對制度執行的監督管理能力低下。而在信息網絡安全管理不力的情況下,致使再強大的技術防護都無法避免管理缺失形成的隱患。
(三)信息網絡安全建設重視對外防護,忽視對內防護
當前網絡安全建設更多的針對外來攻擊的防護,而忽視對內的安全防護,更多的是在網絡邊界搭設安全設備抵御從外部而來的非法入侵及非法訪問,而針對內部終端用戶的審計及跟蹤則較為缺失。根據統計結果標明,99.9%的網絡安全事件來源于網絡內部,而只有0.1%安全事件來自于外部,絕大多網絡安全事件來自于以內部客戶端為跳板進行的網絡攻擊。當企業內部存在有惡意的攻擊者,他們就能較好的規避防火墻等安全設備的安全策略,并把安全策略轉向對于他們有利的一面,對內部網絡進行攻擊。同時外部的黑客,也能通過木馬,能讓內部用戶運行他們指定的程序,操縱主機,竊取數據,這些都源于當前的信息網絡建設對來自網絡內部攻擊防護較為薄弱,同時對內部網絡準入控制把控力度做得較為不足,雖部署有桌面終端管理系統,但在相應策略部署上,沒有及時到位,而該系統特殊的技術阻斷方式,也在一定程度容易導致其阻斷率無法達到100%。
(四)網絡安全建設應急機制不健全
目前地市信息網絡安全建設更多的是重視的日常安全巡檢等日常檢查工作,但是對網絡突發事件的應急處置則較為欠缺,地市網絡安全建設應急機制建立不健全,缺乏相應網絡事故應急預案及相關演練,對突況的應變不熟練,導致出現突發的網絡安全事故時則會變得手忙腳亂,無法很好應對突發事件帶來的異常,促使事故造成的損失愈發嚴重,同時沒有良好的容災備份機制,一旦信息安全事故發生,是否能快速有效的恢復關鍵數據成為疑問。
二、針對當前網絡安全建設現狀的一些建議
針對當前地市煙草信息網絡安全建設過程中存在的問題,通過一定的分析總結,參照最新的技術規范及管理理念,以及上級的制度規定,我們試提出以下幾條改進建議,以達到全面提升信息網絡安全建設實用性、科學性、全面性、穩定性的效果,具體如下:
(一)加強網絡安全設備采購的前期規劃及合理配置實用
網絡安全設備的采購應加強前期規劃及需求分析工作,不能無目的,無原則的一味追求高新設備,當前的現狀是各地市對網絡安全的設備采購均存在著檔次及匹配性問題,存在過大及追高的弊病,形成投資浪費,同時由于項目管控能力較弱,前期規劃不足,購置的設備在配置實施后等不到很好的使用,或起不到原先預想的效果。因此要加強項目前期規劃,做好需求調研與需求分析工作,對網絡安全設備應起到的效果及采購設備級別有準確的預估,加強采購項目的整體實施管控,并重點關注設備采購后的實施上線工作,做好安全策略的制定和部署,要充分利用設備、活用設備,充分達到應起的效用,在設備正式上線運行后,要做好安全防護策略的及時更新與修訂,作好安全設備的日常巡檢工作,保證安全設備始終發揮作用,而不是上線運行一段時間后就閑置不管。通過對購置網絡安全設備活用、善用,提升資產投資價值,搭建堅固穩妥信息網絡安全環境,促進信息網絡安全建設的實用性。
(二)建立完善的信息網絡安全日常管理體系
加強網絡安全建設的日常管理工作,應以培養員工的良好的網絡安全習慣為工作重點。所謂信息網絡安全建設“三分技術,七分管理”,管理到位,信息網絡安全建設也將事半功倍。一味單純的依靠技術進行網絡安全防護,而管理上存在漏洞,再強大的技術也將一無所用。好的技術,加上完善嚴密的管理,才能確保信息網絡安全、堅固、穩妥。因此要注重建立完善信息安全管理保障體系,加強安全監管和信息安全等級保護工作,要對網絡設備的安全性和信息安全專用產品實行強制認證。同時在加強對員工日常信息安全理念培訓的同時,要與接入網內的計算機終端使用者簽訂信息安全責任狀,樹立“誰使用、誰負責”、“誰管理、誰負責”的信息安全理念,嚴格落實信息安全責任制,確保員工不敢輕易觸碰信息安全底限,養成良好信息網路安全使用習慣。通過建立全面多級信息網絡安全管理體系,增進信息網絡建設的科學性。
(三)加強信息網絡安全建設對內防護工作
地市公司目前均在互聯網出口及邊界架設了硬件防火墻等安全設備,但由于防火墻的特殊技術架構,其對內部通過防火墻外部的數據是不進行檢測的,這就導致黑客可以利用內網主機上的后門程序,建立隱蔽信道,攻破防火墻,因此其在抵御外部攻擊上起到較好作用,但面對來自網絡內部的攻擊就顯得束手無策,針對這一情況,在進行信息網絡安全建設的同時,應重點加強信息網絡安全的內部防護工作,而加強對客戶端的上網行為審計及網絡準入控制,就成了加強信息網絡內部安全建設的必然選擇。客戶端接入網絡的同時,通過對其安全狀況及授權情況進行檢測,只有安全狀況符合要求,得到合理授權的客戶端才能正常接入辦公網絡。應在互聯網出口處,防火墻之前,部署上網行為管理設備,對客戶端出互聯網的數據進行檢測及篩選,降低客戶端進行危險的互聯網訪問,感染病毒,遭受攻擊的分險。通過加強信息網絡安全建設的內部防護,提升信息網絡安全的全面性。
(四)加強信息網路安全建設應急機制建設及演練
要加強信息網絡安全建設的應急機制建設,加強應急預案的實施演練,增強對網絡安全突發事件的應急處理能力。每年應進行定期仿真度高的應急方案演練,模擬網絡安全事故發生時可能發生的情況,進行針對性演習。在方案演練前,要做好演練前期的方案策劃,演練過程的完全記錄,演練過后的總結分析工作。并以此來不斷改進現有的應急預案。同時應做好容災備份工作,進行關鍵網絡設備的冗余配置及重要數據庫的備份工作,確保發生突發事件后,能夠及時進行網絡及數據恢復工作,將突發事件帶來的影響降到最低,不過多的影響正常辦公業務的開展,確保信息網絡安全的穩定性。
四、結束語
煙草是個比較特殊的行業,在專賣體制下實行“統一領導?垂直管理?壟斷經營”,處于一種行政限產型的壟斷狀態。行業的特殊性要求我們必須克服特殊體制帶來的缺陷,高效的開展行業信息化建設工作。地市信息網絡安絡,作為全省信息網絡的組成部分,其信息安全建設水平決定了全省信息網絡安全性與穩定性,其重要性不言而喻,只有重視信息網絡安全建設,重視當前信息網絡安全建設過程中發現的問題,通過科學的規劃,合理的布局,周密的實施,去逐漸改變當前的不利局面,才能確保信息網絡安全建設的科學性、全面性、穩定性與實用性,確保日常信息網絡的平穩運轉,為全行業的快速發展提供穩定強大的信息化助力!
參考文獻:
[1]福建省煙草公司.計算機網絡建設與管理規范[Z].2012.
[2]盧昱,王宇.信息網絡安全控制[M].北京:國防工業出版社,2011.