導語：如何才能寫好一篇信息安全審計報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

    論文摘要：本文強調審計工作的安全、高效和信息化，從審計工作的現狀、發展瓶頸到信息化審計的制度健全、引入主機系統安全審計、業務系統安全審計等相關管理辦法、新技術或新理念和待解決的問題等方面，論述構建安全高效的審計信息化安全保障體系的措施。 

審計是客觀評價個人，組織、制度、程序、項目或產品。審計執行是以確定有效性和可靠性的信息，還提供了一個可內控的評估系統。審計的目標是表達人、組織、系統等的評估意見，審計人員在測試環境中進行評估工作。審計必須出示合理并基本無誤的報表，通常是利用統計抽樣來完成。審計也是用來考察和防止虛假數據及欺騙行為，檢查、考證目標的完整性、準確性，以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現審計的信息化，有利于管理層迅速準確的做出決定，對于政企業發展、社會經濟的進步都具有重要作用。目前，我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題，有待進一步加強和改進。 

審計的基礎工作是內部審計，內審是審計監督體系中不可或缺的重要組成部分，是全面經濟管理必不可少的手段，是加強任何機構內部管理的必要，推動經濟管理向科學化方向發展的重要環節也是審計。因此說審計部門是其他監督部門不能代替的，促進黨風廉政建設、加強對黨政領導干部及管理人員的監督都可以通過審計來完成。審計應用與高新技術機構中，在防范風險中發揮著重要作用，也有助于領導層做出正確決策。 

 

一、審計工作的現狀及存在的問題 

 

隨著我國經濟迅猛發展，審計監督力度不斷增強，審計范圍也不斷擴大。當前，審計方式已由財政財務審計向效益審計發展，由賬項基礎審計向制度基礎審計、風險基礎審計發展，由事后審計向事中、事前審計發展。審計管理上建立審計質量控制體系，要求審計機關把審計管理工作前移，把質量控制體系貫穿與審計工作中。在此趨勢下，傳統的審計方法暴露出其效率低、審計范圍小等劣勢，使得完成審計任務，達到審計目標越發缺乏及時性。 

(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下，基于加強經營管理的內在需要，也是內部審計賴以存在的客觀基礎。但是，現代內部審計的產生卻是一個行政命令產物，強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊，阻礙了內部審計的發展。內部審計很難融入經營管理中，審計工作很難正常開展，很難履行監督評價職能和開展保證咨詢活動，因此就不能充分發揮其應有的內向的作用。 

(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率，其職能是監督和服務。但是，我國內部審計工作的重心局限在財務收支的真實性及合規性審計。長久以來內部審計突出了監督職能，而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內審作用的有效發揮。原因有會計人員知識水平、業務素質不高，也有不重視法律、法規的因素，還有監管不力、查處不嚴的原因。目前內部審計尚處在查錯階段，停留在調賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進的審計理念，我國內部審計的作用尚待開發。審計人員的計算機知識匱乏，不適應電算化、信息化的迅速發展。目前多數審計人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統的安全性、效益性。由于計算機審計軟件開發標準不同，功能也不完整，因此全面推廣計算機輔助審計就有一定難度，導致審計人員的知識和審計手段滯后于信息化的發展。 

 

二、信息化審計體系的健全 

 

當前國家審計信息化發展的趨勢是建立審計信息資源的標準化、共享化、公開化，逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發展、和諧社會的推進，國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的，三個“公共”的主旨是：國家財政資金的使用更注重民生；使用重點更注重服務；使用效益更注重民意。 

信息安全審計是任何機構內控、信息系統治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統是否有效地做到保護資產、維護數據完整、完成目標，同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關，信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全，從而達到安全審計的目的，提高信息系統的安全性。由此，國際組織也制定了相關文件規范填補信息系統審計方面的某些空白。例如《信息安全管理業務規范》通過了國際標準化組織iso的認可，正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統開展審計工作有關的通知》等文件，基本規范了內部審計機制，健全了內部審計機構；強調機構應加強內審工作，機構內部要形成有權就有責、用權受監督的最佳氛圍；審計委員會直接對領導班子負責，其成員需具有相應的獨立性，委員會成員具良好的職業操守和能力，內審人員應當具備內審人員從業資格，其工作范圍不應受到人為限制。內部審計機構對審計過程中發現的重大問題，視具體情況，可以直接向審計委員會或者領導層報告。 

   　三、主機系統安全審計 

 

信息技術審計，或信息系統審計，是一個信息技術基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。 

以技術劃分，信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計，綜合審計。簡單的說獲取、記錄被審計主機的狀態信息和敏感操作就是主機審計，主機審計可以從已有的系統審計記錄中提取相關信息，并以審計規則為標準來分析判斷被審計主機是否存在違規行為。總之，為了在最大限度保障安全的基礎上找到最佳途徑使得業務正常工作的一切行為及手段，而對計算機信息系統的薄弱環節進行檢測、評估及分析，都可稱作安全審計。 

主機安全審計系統中事件產生器、分析器和響應單元已經分別以智能審計主機、系統中心、管理與報警處置控制臺來替代。實現主機安全系統的審計包括系統安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上，并按照設計思路監視用戶操作行為，同時智能分析事件安全。從面向防護的對象可將主機安全審計系統分為系統安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。 

 

四、待解決的若干問題 

 

計算機與信息系統廣泛使用，如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術體系。 

保護網絡設備、設施、介質，對操作系統、數據庫及服務系統進行漏洞修補和安全加固，對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理，形成一套比較完備的信息系統安全管理保障體系。 

防火墻是保證網絡安全的重要屏障，也是降低網絡安全風險的重要因素。vpn可以通過一個公用網絡建立一個臨時的、安壘的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。借助專業的防ddos系統，可以有效的阻止惡意攻擊。信息系統的安全需求是全方位的、系統的、整體的，需要從技術、管理等方面進行全面的安全設計和建設，有效提高信息系統的防護、檢側、響應、恢復能力，以抵御不斷出現的安全威脅與風險，保證系統長期穩定可靠的運行。嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定義，都可以在很大程度上減少網絡的安全隱患。 

從戰略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關組織、機構和職責，建立集中統一、分工協作、各司其職的安全管理責任機制。為了確保突發重大安全事件時，能得到及時的響應和支援，信息系統必須建立和逐步完善應急響應支援體系，確保整個信息系統的安全穩定運行。 

 

 

參考文獻： 

[1]宋新月，內部審計在經濟管理中的重要作用淺析[j]，知識經濟，2009 

篇2

關鍵詞：等級保護；網絡安全；信息安全；安全防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）19-4433-03

隨著我國國際地位的不斷提高和經濟的持續發展，我國的網絡信息和重要信息系統面臨越來越多的威脅，網絡違法犯罪持續大幅上升，計算機病毒傳播和網絡非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網絡釣魚技術、黑客病毒技術等技術進行網絡詐騙、網絡盜竊、網絡賭博等違法犯罪，給用戶造成嚴重損失，因此，維護網絡信息安全的任務非常艱巨、繁重，加強網絡信息安全等級保護建設刻不容緩。

1 網絡信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。網絡信息安全等級保護體系包括技術和管理兩大部分，如圖1所示，其中技術要求分為數據安全、應用安全、網絡安全、主機安全、物理安全五個方面進行建設。

圖1 等級保護基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環境安全（防火、防水、防雷擊等）設備和介質的防盜竊防破壞等方面。

2） 主機安全

主機系統安全是計算機設備（包括服務器、終端/工作站等）在操作系統及數據庫系統層面的安全；通過部署終端安全管理系統（TSM），準入認證網關（SACG），以及專業主機安全加固服務，可以實現等級保護對主機安全防護要求。

3） 網絡安全

網絡是保障信息系統互聯互通基礎，網絡安全防護重點是確保網絡之間合法訪問，檢測，阻止內部，外部惡意攻擊；通過部署統一威脅管理網關USG系列，入侵檢測/防御系統NIP，Anti-DDoS等網絡安全產品，為合法的用戶提供合法網絡訪問，及時發現網絡內部惡意攻擊安全威脅。

4） 應用安全

應用安全就是保護系統的各種應用程序安全運行，包括各種基本應用，如：消息發送、web瀏覽等；業務應用，如：電子商務、電子政務等；部署的文檔安全管理系統（DSM），數據庫審計UMA-DB，防病毒網關AVE等產品。并且通過安全網關USG實現數據鏈路傳輸IPSec VPN加密，數據災備實現企業信息系統數據防護，降低數據因意外事故，或者丟失給造成危害。

5） 數據安全

數據安全主要是保護用戶數據、系統數據、業務數據的保護；通過對所有信息系統，網絡設備，安全設備，服務器，終端機的安全事件日志統一采集，分析，輸出各類法規要求安全事件審計報告，制定標準安全事件應急響應工單流程。

2 應用實例

近年來衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，某醫院的核心系統按照等級保護三級標準建設信息系統安全體系，全面保護醫院內網系統與外網系統的信息安全。

醫院網絡的安全建設核心內容是將網絡進行全方位的安全防護，不是對整個系統進行同一等級的保護，而是針對系統內部的不同業務區域進行不同等級的保護；通過安全域劃分，實現對不同系統的差異防護，并防止安全問題擴散。業務應用以及基礎網絡服務、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護需求，因此需要將不同特性的系統進行歸類劃分安全域，并明確各域邊界，分別考慮防護措施。經過梳理后的醫院網絡信息系統安全區域劃分如圖2所示，外網是一個星型的快速以太交換網，核心為一臺高性能三層交換機，下聯內網核心交換機，上聯外網服務器區域交換機和DMZ隔離區，外聯互聯網出口路由器，內網交換機向下連接信息點（終端計算機），外網核心交換機與內網核心交換機之間采用千兆光纖鏈路，內網交換機采用百兆雙絞線鏈路下聯終端計算機，外網的網絡安全設計至關重要，直接影響到等級保護系統的安全性能。

圖 2 醫院網絡信息系統安全區域劃分圖

2.1外網網絡安全要求

系統定級為3級，且等級保護要求選擇為S3A2G3，查找《信息系統安全等級保護基本要求》得到該系統的具體技術要求選擇，外網網絡安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結構安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網絡設備防護（G3） 。

2.2網絡安全策略

根據對醫院外網機房區域安全保護等級達到安全等級保護3級的基本要求，制定相應的網絡安全策略

1） 網絡拓撲結構策略

要合理劃分網段，利用網絡中間設備的安全機制控制各網絡間的訪問。要采取一定的技術措施，監控網絡中存在的安全隱患、脆弱點。并利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網絡訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內部網絡，那些用戶能夠通過哪種方式登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

3） 網絡入侵檢測策略

系統中應該設置入侵檢測策略，動態地監測網絡內部活動并做出及時的響應。

4） 網絡安全審計策略

系統中應該設置安全審計策略，收集并分析網絡中的訪問數據，從而發現違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網的運行安全評估流程，定期評估和加固網絡設備及安全設備。

2.3網絡安全設計

根據對醫院外網安全保護等級達到安全等級保護3級的基本要求，外網的網絡安全設計包括網絡訪問控制，網絡入侵防護，網絡安全審計和其他安全設計。

1） 網絡訪問控制

實現以上等級保護的最有效方法就是在外網中關鍵網絡位置部署防火墻類網關設備，采用一臺天融信網絡衛士獵豹防火墻、一臺CISCO公司的PIX515和一臺網絡衛士入侵防御系統TopIDP。

①外網互聯網邊界防火墻：在局域網與互聯網邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區域和互聯網接入區域，對外網的互聯網接入提供邊界防護和訪問控制。

②對外服務區域邊界防火墻：對外服務區域與安全管理區域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機和對外服務區域交換機，通過雙絞線連接區域內服務器，對其他區域向對外服務區域及安全管理區域的訪問行為進行控制，同時控制兩個區域內部各服務器之間的訪問行為。

③網絡入侵防御系統：在托管機房區域邊界部署一臺網絡入侵防御系統，該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機，為托管機房區域提供邊界防護和訪問控制。

2） 網絡入侵防護

外網局域網的對外服務區域，防護級別為S2A2G2，重點要實現區域邊界處入侵和攻擊行為的檢測，因此在局域網的內部區域邊界部署網絡入侵檢測系統（天融信網絡入侵防御系統TopIDP）；對于外網托管機房的網站系統，防護級別為S3A2G3，由于其直接與互聯網相連，不僅要實現區域邊界處入侵和攻擊行為的檢測，還要能夠有效防護互聯網進來的攻擊行為，因此在托管機房區域邊界部署網絡入侵防御系統（啟明星辰天闐NS2200）。

①網絡入侵防御系統：在托管機房區域邊界部署一臺采用通明模式的網絡入侵防御系統，該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機，其主要用來防御來自互聯網的攻擊流量。

②網絡入侵檢測系統：在外網的核心交換機上部署一臺千兆IDS系統，IDS監聽端口類型需要和核心交換機對端的端口類型保持一致；在核心交換機上操作進行一對一監聽端口鏡像操作，將對外服務區域與核心交換區域之間鏈路，以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量，鏡像至IDS監聽端口；IDS用于對訪問對外服務區域的數據流量，訪問安全管理區域的數據流量，以及訪問互聯網的數據流量進行檢測。

3） 網絡安全審計

信息安全審計管理應該管理最重要的核心網絡邊界，在外網被審計對象不僅僅包括對外服務區域中的應用服務器和安全管理區域的服務器等的訪問流量，還要對終端的互聯網訪問行為進行審計；此外重要網絡設備和安全設備也需要列為審計和保護的對象。

由于終端的業務訪問和互聯網訪問都需要在網絡設備產生訪問流量，因此在外網的核心交換機上部署網絡行為審計系統（天融信網絡行為審計TopAudit），交換機必需映射一個多對一抓包端口，網絡審計引擎通過抓取網絡中的數據包，并對抓到的包進行分析、匹配、統計，從而實現網絡安全審計功能。

①在外網的核心交換機上部署一臺千兆網絡安全審計系統，監聽端口類型需要和核心交換機對端的端口類型保持一致，使用光纖接口；

②在核心交換機上操作進行一對一監聽端口鏡像操作，將對外服務區域與核心交換區域之間鏈路，以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量，鏡像至網絡安全審計系統的監聽端口；

③網絡安全審計系統用于對訪問對外服務區域的數據流量，訪問安全管理區域的數據流量，以及訪問互聯網的數據流量進行安全審計；

④開啟各區域服務器系統、網絡設備和安全設備的日志審計功能。

4） 其他網絡安全設計

其他網絡安全設計包括邊界完整性檢查，惡意代碼防范，網絡設備防護，邊界完整性檢查等。

①邊界完整性檢查：在托管機房的網絡設備上為托管區域服務器劃分獨立VLAN，并制定嚴格的策略，禁止其他VLAN的訪問，只允許來自網絡入侵防御系統外部接口的訪問行為；對服務器系統進行安全加固，提升系統自身的安全訪問控制能力；

②惡意代碼防范：通過互聯網邊界的入侵防御系統對木馬類、拒絕服務類、系統漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除；部署服務器防病毒系統，定期進行病毒庫升級和全面殺毒，確保服務器具有良好的防病毒能力。

③網絡設備防護：網絡設備為托管機房單位提供，由其提供網絡設備安全加固服務，應進行以下的安全加固：開啟樓層接入交換機的接口安全特性，并作MAC綁定； 關閉不必要的服務（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網絡啟動和自動從網絡下載初始配置文件，禁止未使用或空閑的端口等）。

3 結束語

信息安全等級保護是實施國家信息安全戰略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據，在實行安全防護系統建設的過程中，應當按照等級保護的思想和基本要求進行建設，根據分級、分域、分系統進行安全建設的思路，針對一個特定的信息系統（醫院信息管理系統）為例，提出全面的等級保護技術建設方案，希望能夠為用戶的等級保護建設提出參考。

參考文獻：

[1] 徐寶海.市縣級國土資源系統信息網絡安全體系建設探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網信息安全保障體系初探[J].電腦知識與技術，2013（33）.

篇3

作為我國電子政務重要基礎設施的電子政務外網，為了實現服務各級黨政部門，滿足各級政務部門社會管理、公共服務等方面需要的重要功能，要求具有互聯網出口，并且與互聯網邏輯隔離。因此，電子政務外網面臨來自互聯網和內部網用戶兩大急需解決的安全難題。

二、設計思路

本方案按照《國家電子政務外網安全保障體系總體規劃建議》進行設計，規劃范圍以市級電子政務外網為主，以市級電子政務外網運維中心為重點，覆蓋市委、市政府、市人大、市政協和多個委辦局單位以及市屬各個縣區，根據國家電子政務外網安全保障體系的規劃，市級電子政務外網安全體系包括如下三個方面的內容:

(一)安全管理體系。主要包括:按照國家安全保障體系建設標準，建設市級安全管理中心(SOC);以《國家電子政務外網安全標準指南》為標準貫徹執行國家已有安全法規標準，同時制訂符合本市電子政務外網自身特點和要求的有關規定和技術規范。

(二)網絡安全基礎防護體系。主要包括:網絡防護與隔離系統、入侵防御系統、接入認證系統、業務隔離和加密傳輸系統、防病毒、漏洞掃描系統等。

(三)網絡信任體系。主要包括:PKI/CA系統、權限管理系統和認證授權審計系統。

三、方案設計

(一)安全管理中心。市級安全管理中心是市級電子政務外網安全的規劃、實施、協調和管理機構，上聯省級電子政務外網安全管理中心，把各類安全事件以標準格式上報到省中心，同時對縣區管理中心下發安全策略，并接收縣區的日志、事件。縣級安全管理中心在市中心的授權下，具有一定的管理權限，并對縣級安全策略及日志、事件進行采集和上報。市級安全管理中心也是市級網絡安全設施的管理維護機構，為使安全設施能夠最大限度地發揮其安全保障功能，需要建立一個良好的安全綜合管理平臺，以實現業務流程分析，并對業務系統在安全監控、安全審計、健康性評估等方面的運行進行有效的管控，從全局角度進行安全策略的管理，對各類安全事件作出實時的監控及響應，為管理者提供及時的運行情況報告、問題報告、事件報告、安全審計報告、健康性報告和風險分析報告，從而使決策者能及時調整安全防護策略，恰當地進行網絡優化，及時地部署安全措施，消除各類安全隱患。

(二)基礎防護平臺建設。基礎防護平臺主要是以確定的安全防護模型框架為依據，結合政府業務的實際安全需求，在原有互聯網安全設施基礎上進行安全基礎防護體系的新建或擴充、延伸與擴展。包括邊界隔離與控制、身份鑒別、認證與授權、入侵檢測與防御、安全審計與記錄、流量監測與清洗、數據加密傳輸、病毒監測與防護、安全掃描與評估、安全策略集中管理、安全監控管理和安全審計管理等基礎安全防護措施。最終達到提升系統的整體抗攻擊能力，確保電子政務外網能夠更好地支撐各類政務應用系統的運轉。

(三)邊界隔離與控制。防火墻是實現網絡邊界隔離的首選設備，防火墻是運行于軟件和硬件上的，安裝在特定網絡邊界的，實施網間訪問控制的一組組件的集合。它在內部網絡與外部網絡之間形成一道安全保護屏障，防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部信息，同時也防止這類非法和惡意的網絡行為破壞內部網絡。它可以讓用戶在一個安全屏障后接入互聯網，還可以把單位的公共網絡服務器和企業內部網絡隔開，同時也可以通過防火墻將網絡中的服務器與網絡邏輯分離，進行重點防護。部署防火墻能夠保護一個網絡不受來自另外網絡的攻擊。

(四)入侵檢測與防御。在整體的網絡安全中，依靠安全策略的指導，對信息系統防護有積極的意義。但是，無論網絡防護得多么牢固，依舊不能說“網絡是安全的”。因為隨著技術的發展，任何防護措施都不能保證網絡不出現新的安全事件，不被手段高超的人員成功入侵。在攻擊與防御的較量中，實時監測處在一個核心的地位。

(五)安全審計與記錄。安全審計系統記錄了網絡使用者的全部上網行為，是支撐網絡安全事件調查的基礎，是審計信息的重要來源，在電子政務外網的建設中，應當盡量延伸安全審計系統部署的范圍，并采用多種的安全審計系統類型(如網絡審計、主機審計、數據庫審計等)擴展安全審計的層面。

(六)流量檢測與清洗。流量檢測與清洗服務是針對網絡傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監控、告警和防護的一種網絡安全服務。該服務對進出內部網絡的業務數據流量進行實時監控，及時發現包括DOS攻擊在內的異常流量。在不影響正常業務的前提下，清洗掉異常流量。有效滿足各業務系統運作連續性的要求。同時該服務通過時間通告、分析報表等服務內容提升客戶網絡流量的可見性和安全狀況的清晰性。

(七)統一病毒防護平臺。根據電子政務外網省、市、縣三級分布的特點，可采用多級、多種的方式進行病毒防護系統的綜合部署，包括在網絡邊界安裝硬件防病毒網關、針對特定應用布署網絡防病毒系統、針對多數工作終端布署單機版病毒查殺軟件等方式。

(八)終端管理。利用桌面終端管理系統，對于終端電腦從以下四方面進行進行標準化管理:

1．網絡準入。通過網絡邊界部署的防火墻設備、網絡交換機設備與終端管理服務器配合，實現終端用戶的802．1x準入認證，使得所有終端用戶接入電子政務外網網絡必須提出申請，并對接入機器做防病毒等安全審核，在安裝了準入客戶端軟件(Agent)并分配了用戶名/密碼后，才能合法接入網絡并使用信息資源，開展業務工作，實現了對終端用戶的有效管理。

2．網絡切換。通過實現終端用戶訪問互聯網和電子政務外網兩網切換使用功能，實現對兩網資源使用的嚴格管理，避免安全隱患的發生。

3．文件保險箱。利用“文件保險箱”功能，在終端用戶處于“政務外網”訪問狀態時可以使用“文件保險箱”功能，并創建、修改、使用加密文件或文件夾，在終端用戶處于“互聯網”狀態時無法使用此功能，不能創建、修改、使用加密文件或文件夾，從而保證工作文件的安全。

4．補丁管理。利用桌面系統補丁管理的功能，幫助管理員對網內基于Windows平臺的系統快速部署最新的安全更新和重要功能更新。系統能檢測用戶已安裝的補丁和需要安裝的補丁，管理員能通過管理平臺對桌面系統下發安裝補丁的命令。補丁服務器可自動從微軟網站更新補丁庫，管理員負責審核是否允許補丁在終端系統安裝。通過策略定制，終端系統可以自動檢測、下載和安裝已審核的補丁。

(九)采用2+N的業務模式。對于利用互聯網接入的業務系統，必須采用VPN接入，建設互聯網接入區，隔離互聯網與政務外網的數據包，將互聯網業務進行封裝，確保互聯網業務在專網的VPN通道內進行傳輸，對于需要與互聯網聯接的為公眾服務的業務，通過邏輯隔離的安全防范措施，采用防火墻系統、入侵防御系統和網絡防病毒系統，對互聯網接入業務提供必要安全防護，保障電子政務外網的信息安全。

(十)信任體系設計。建立了基于PKI/CA公鑰基礎設施的數字證書認證體系。完善、推廣、促進數字證書體系的發展和根據業務需要建立相應CA機構，并實現某些應用和管理需要的單點登錄要求。

篇4

[關鍵詞]信息系統 安全防范 對策

信息系統(Information System, IS)是基于計算機技術、網絡互聯技術、現代通訊技術和各種軟件技術,各種理論和方法于一體,提供信息服務的人機系統。信息系統在企業事業單位運用的越來越廣泛,在信息化的進程中扮演著越來越重要的角色,所以,信息系統的安全性越來越受到重視。本文針對信息系統的安全影響因素做了分析,并提出了化解相應風險的對策。

一、信息系統安全性的主要影響因素

1.系統硬件環境風險。信息系統的運用,依賴于特定的硬件環境,例如服務器、網絡等等,這些環境依賴大量的硬件設備,這些設備自身都存在一定的故障率,這類故障發生時必然影響信息系統正常運行。這類故障比較常見,大多數人也都能理解。

2.信息系統建設過程中隱藏的風險。信息系統建設,無論是自建還是采購,都必然經歷需求調研分析、系統規劃設計、系統開發測試、系統實施等幾個過程,這些過程中都存在導致日后系統出現錯誤而造成損失的風險。例如:調研階段,技術人員對需求認識的局限性,會造成未來系統的局限性。在日后系統應用過程中,當這種局限性的條件滿足時,可能對系統的使用產生影響;開發測試階段,每一項功能都是由技術人員編寫程序代碼實現,此項工作繁瑣且復雜,人非機器,錯誤是不可避免,開發的質量需要測試工作來保證。測試工作只是模擬未來的使用方式來驗證系統,不可能對系統進行全方位的驗證,系統出錯的可能性永遠存在。另外,作為這項工作主要的參與者,人的責任心這樣的道德風險也不能小視。

3.信息系統使用、維護過程中“人”的風險。信息系統的最終價值是通過人的使用發揮出來的,在系統的使用中,操作人員不當操作可能造成錯誤;系統維護中,維護人員的能力、經驗的欠缺,可能對系統引入新的錯誤,這些都是導致損失發生的風險。

4.網絡風險。信息技術發展到今天,網絡是最偉大的技術創新,目前企業幾乎所有的應有系統都基于網絡進行構建,從內部辦公網到電子商務、從財務系統到網上結算,網絡也成為保險公司提升服務質量、擴寬營銷渠道的一個重要的手段。網絡的大量應用,也帶來了大量的風險,例如黑客、病毒等等。

二、信息系統安全風險防范對策

1.加強信息系統建設過程的風險管理。企業的信息化系統建設,即使是通過采購買入,企業作為甲方首先要對自己負責,需要主動承擔主持、規劃、協調、監控等關鍵職責,相應的信息系統風險管理措施應首先從自身進行強化。否則,項目最終失敗后,企業即使從供應商處得到補償,也是兩敗的結果。

系統的建設從立項到最終的投入使用,包含了大量的過程活動,從質量監控的角度,需求整理、項目采購、項目計劃、系統規劃、應用測試、客戶培訓六項工作是管理的重心。信息系統自身的特殊性,不同于傳統的實物產品,可度量性差,其過程表現的是人的行為和思想活動,因此建立工作過程文檔實屬必要,這構成進行質量管理、控制風險的基礎。

2. 加強信息系統存續階段的風險控制。信息系統猶如一輛汽車,在其使用過程中需要進行日常保養(糾錯性維護),必要時可能還需進行改造(改進性維護),以便能夠適應業務發展的要求。信息系統維護工作是個很有挑戰性的工作,難點不是某個錯誤多么隱蔽,多么難改,而是在這樣長期的變化環境中,怎樣保持系統的可靠和穩定。在對行業調研中,時常聽到IT人員抱怨某某系統又要改了,業務人員抱怨系統改正了老問題又帶來新問題,或者是曾經修正了的問題又出現了,這幾乎成了維護工作的常見病。

在專業IT公司長期從事軟件產品的管理工作人員,發現IT公司軟件產品管理和企業維護信息系統的工作面臨的挑戰是相同的,產品管理同樣面臨怎樣保證產品適應市場的變化、客戶的需求,同時還要在長期的應用中保持穩定。要達到這樣的要求,從本質上講,規劃是根本,但從日常管理上講,完備的配置管理是保障。

軟件配置管理的目的是在軟件系統的整個生存周期過程中建立和維護軟件項目產品的完整性和一致性。具體講,涉及三個方面:版本管理、變更管理和過程支持,有效地版本管理要能夠的標示系統的變化,變化要可追溯;變更管理要記錄每次變化的原因,或是Bug,或是需求,建立變更和系統版本之間的聯系,保證系統的變更是受控的。

3. 信息系統建設中應規劃風險控制支持功能。企業在引入信息系統時,應將信息系統作為一個風險源,對業務流程規劃時,應考慮其影響,根據效益原則進行風險控制。在建設信息系統時,需明確提出建立必要的風險控制措施,或從制度、或從信息系統自身。例如:系統對外報出的數據,在報出前完成和原始數據的核對;自動處理的業務,階段性的進行核查。相應的信息系統要提供合適的功能支持完成此類工作。

有了這樣的手段,在各部門崗位中再輔以恰當的崗位職責認定,業務崗位工作職責中納入風險控制要求,業務部門對業務執行結果負責。信息系統建設和業務部門日常工作之間建立責任推動機制,相互配合,相互促進,實現信息系統風險控制工作的良性發展。

4.建立企業信息安全審計制度。上面討論的方法僅僅是一些針對性的辦法、措施,上升到整個企業的高度,依然無法有效地保證企業的信息安全。因為這些辦法都體現為部門的行為,行為的選擇具有主觀性、靈活性的特征,只有通過企業的制度建設來約束行為,才能夠保證行為方向的一致和有效,因此企業的信息安全保障需要通過建立一套有效的控制制度來實現。

在制度建設上,企業信息系統審計制度是個比較好的選擇,其中就包括了信息安全的審計。企業可在適當的時機,逐步引入審計制度,通過第三方或內部獨立的審計機構對企業的信息安全工作周期性的進行審計,出具審計報告,形成對信息安全的客觀評價,根據評價來指導、監督信息安全的建設。

三、小結

信息化是企業改革的一把利器,可以制敵,同樣也可能傷己。企業事業單位在引入信息系統同時,迫切需要加強自身能力的建設,唯此才可達到信息化建設的目的――推動企業發展。

參考文獻:

篇5

關鍵詞：安全；Orade；數據；審計

中圖分類號：TP392　文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2012.01.022

1前言

伴隨著我國經濟社會的飛速發展，計算機和網絡在經濟、政治、科技等方面的應用也迅猛普及，而隨著這些信息化辦公的普及度的提升，辦公所涉及到的相關數據的安全性也越來越受到人們的重視。事實上，數據安全事故頻頻發生，甚至有愈來愈烈的趨勢，這在一定程度上阻礙電子信息化的進程。就整個國際社會的數據安全的現狀也是不盡樂觀，而我國正處于電子信息化高速公路之上，數據信息安全情況尤其嚴峻。

2數據庫安全的重要性

隨著基礎網絡建設和應用系統開發的日益成熟與完善，尤其是企業信息化建設的前景和風險共存的事實，安全問題逐步成為企業信息化部門關注和討論的焦點。對于企業來說，信息系統最重要的資源并不是網絡和設備，而是有價值的數據和存儲這些關鍵數據數據庫。

要成功的保護企業相關數據，首先得了解數據庫安全策略，然后根據所需要保護的數據進行有針對性的設置相關權限、做穩妥的審計等工作來應對各類可能出現的威脅。下面結合企業實際安全審計等工作進行數據安全性的探討。

3企業數據庫系統的安全防護

3.1身份認證和分類分批管理

在數據庫的數據安全保障方面，可以有很多方式來實現，其中安全機制中尤為重要的一個環節是身份認證。數據庫用戶身份是每個數據庫合法使用者所必須持有的標識符，用來登錄數據庫所需要進行驗證身份的符號，通常還會有一個相關的密碼。身份認證包括用戶標識和鑒定，通過核對用戶的名字或身份，決定該用戶對系統的使用權。數據庫系統不允許一個未經授權的用戶對數據庫進行操作。以防止未經授權的存取，這是保護數據庫系統安全最重要的基本手段。Oracle數據庫系統一般可以設置3種權限：

(1)0bject對象級權限

(2)System系統級權限

(3)Role角色級權限

建立角色使用CREATE ROLE語句，他的語法如下：

CREATE ROLE role_name IDENTIFIED BY Dass―word

CREATE ROLE role_name IDENTIFIED EXTER-NALLY

CREATE ROLE role_name IDENTIFIED GLOBALLY

對于那些用戶很多，應用程序和數據對象很豐富的數據庫，應充分利用角色對權限進行有效管理。對于復雜的系統環境，角色能大大地簡化權限的管理。要特別提及的是，用戶通過角色獲取的權限，在過程和包中是無法使用的，也就是說，在過程和包中涉及的所有權限都需要直接授予用戶，不能通過角色間接授予。

在實際的應用中，管理數據庫的權限方法如下：

(1)定義相應的應用系統角色；

(2)根據實際情況，分配相應的權限給上述的應用系統角色；

(3)根據實際情況，定義相應的用戶角色，分配合適的應用系統角色給用戶角色；

(4)分配合適的用戶角色給數據庫用戶。

同時，對數據庫所包含敏感信息的分類是任何數據庫安全策略提出的基本要求。企業應該實時更新數據庫以保持對數據庫的完整性，包括數據庫產品與非數據庫產品，然后將其歸類到應該遵循相同安全策略的不同目錄。所有數據庫，特別是保存有隱私數據的數據庫系統必須具備強大的驗證，授權和訪問控制功能。便是應用層也要進行驗證和授權。以提供強大的安全基礎。

3.2數據掩碼和加密保護

建立完成一個穩定的基礎數據庫安全策略后，可以采取防御性措施保護關鍵數據庫。這要求為產品和非產品數據庫添加新的保護層。數據隱私不僅指產品系統。我們應該同時擴展非產品環境，包括測試，開發，質量保證，分段傳輸和訓練實例，特別是存儲隱私數據的地方。數據庫安全專家應該評估數據掩碼(數據掩碼就是將真正的客戶數據轉換成其他人都不能使用的完全偽造的數據，但是那些數據仍可以被用于應用程序測試。這樣，即使數據失竊，對于身份盜竊犯罪分子或商業間諜來說，那些數據也是無用的。)的使用情況以及測試數據生成的完整性和安全性，以便在測試環境中或者外包應用開發的時候保護隱私數據。

可考慮用網絡加密和對靜態數據加密來防止數據泄漏。在處理不同威脅的過程中，兩種加密方法可以相互獨立使用。通常，二者都不會對應用程序的功能產生影響。數據庫存儲數據加密的主要步驟為：

(1)創建一個數據表用于存放DES加密算法使用的加密密鑰，數據加密密鑰將由dbms－obfuscation toolkit.DESGetKey或者dbms－obfuscation－toolkit.DES3GetKey在數據插入時動態產生；

(2)創建一個加密包，定義相應的加密/解密函數，在該加密包中調用dbms_obfuscation_toolkit.DES3Decrypt和dbms-obfuscation_toolkit.DES3Decrypt使用上述動態產生的加密密鑰對相應的數據加密和解密；

(3)創建一個After Insert的觸發器，調用上述加密包對新插入的數據進行加密后保存；

(4)使用sqlplus測試數據庫加密的效果，確認數據是以加密格式存放；

(5)調用上述解密函數，聯合相應的加密密鑰。對上述加密格式存放的數據進行解密。

我們還可以對管理進程進行規范化的修改以便保護重要的數據庫系統。過去，生產環境中系統架構或數據庫的更改需要先停止數據庫的運行，而新的DBMS允許在聯機的數據庫上進行修改操作，而這也帶來了新的安全威脅。對管理進程進行規范化的更改，以確保管理員只在管理被核準后才能更改產品數據庫，同時數據庫管理員可以跟蹤所有更改。企業應該更新自己的恢復和可用計劃以解決這類更改所帶來的數據或元數據事故。

3.3系統安全策略

系統安全策略面向的是數據庫系統自身的安全，具體來說就是指數據庫的備份與恢復。數據庫的備份與恢復是數據安全的預防和補救機制。備份是預防由介質、操作系統、軟件和其他因素導致重要數據庫文件嚴重損壞的惟一安全措施。確保當數據庫系統崩潰時，當數據庫數據存儲介質被破壞時以及當數據庫用戶誤操作時，數據庫數據信息不至于丟失。

ORACLE數據庫的備份分為兩種：

(1)物理備份：是實際物理數據庫文件從一處拷貝到另一處的備份。操作系統備份、使用恢復管理器的備份、冷備份和熱備份都是物理備份。

(2)邏輯備份：是利用SQL從數據庫中提取數據，并將其存入二進制文件中。這些數據可以重新導入原來的數據庫，或者以后導入其他數據庫。邏輯備份工具：Expor t/Import。export實用工具利用SOL從對象中讀取數據并將其存入二進制文件，import實用工具利用該文件把這些特定數據庫對象恢復到數據庫中。

綜合利用各種方法，制定切實可行的備份策略，可以達到保護數據的目的。

3.4審計監控

數據庫審計是指對審計和事務日志進行審查，從而跟蹤數據和數據庫結構的變化。其結構關系如圖1所示。

數據庫可以這樣進行設置：捕捉數據和元數據的改變，以及存儲這些資料的數據庫所做的修改。典型的審計報告應該包括以下內容：完成的數據庫操作、改變的數據值、執行該項操作的人，以及其他幾項屬性。這些審計功能被植入到所有的關系數據庫平臺中，并確保生成的記錄文件具有較高的準確性和完整性，就好像在數據庫中存儲的數據一樣。此外，審計跟蹤還能把一系列的語句轉化為合理的事務，并提供業務流程取證(forensic)分析所需的業務環境。

不過，審計功能也存在限制，例如不能對數據訪問語句(通常稱之為SELECT語句)進行審計。另外，本地數據庫審計很難捕捉到用戶認可的原始查詢(query)和變量(variables)，只能從綜合的角度對事件做出記錄，而日志則可以捕捉到改變前后的數據值。這也使得審計跟蹤在檢測已改變的內容時，比檢測已訪問的內容更為有效。

數據庫審計功能在數據的安全和隱私比以上所述的幾點因素重要得多。捕捉失敗的登入、查詢，以及管理功能的誤用是對系統探查能力進行檢測的一種途徑。對能夠暴露數據的視窗(views)插件進行監控、使用系統功能的公共許可、為普通用戶提供管理能力的權限更改，這些都是很常見的使用案例。對誰在何時、何地進行了何種操作等屬性進行取證分析，能夠提供非常不錯的提示信息，以顯示數據庫的使用是否合法，或是否有可能受到潛在的攻擊。為防止數據庫被篡改，審計跟蹤提供了足夠的信息以確定更改的類型，并幫助用戶理解必需的糾正措施。通常情況下，審計跟蹤用于輔助SIEM(安全信息和事件管理)以及日志管理等安全工具，進行相關性和安全事件的通知。

數據庫漏洞評估報告可用來識別數據庫環境中的安全缺陷，如較弱的密碼，過量的訪問優先權，補充型DBA和安全組監測。

3.5安全策略的制定

數據庫安全策略即包括審計和監控，還涉及端對端的進程設置，這些設置側重于最小化風險，并符合安全規范以防御內部和外部攻擊。數據庫安全需要更廣泛深入的研究，要彌補數據庫安全方面的不足，需要設計制定符合通用策略以及安全規范安全策略。由于，數據庫安全策略主要是維護數據信息的完整性、保密性和可用性。因此，數據庫的安全策略將主要圍繞系統安全性、數據庫安全性、數據庫管理者安全性、用戶安全性和應用程序開發者安全性等方面制定安全策略。當起草安全策略的時候，要協調數據庫安全策略與信息安全策略間的關系，將重心放在行業安全標準上，促使角色分離，將數據恢復和數據可用性進程順利連接起來。

4結束語

隨著信息技術的飛速發展，各類企業信息系統中的相關數據的安全性問題會變得越發

復雜，對數據的安全保護工作會越來越有挑戰性。特別是現在逐步由傳統的C/S結構的集中式數據庫應用系統向B/S結構的分布式開放系統發展的情況下，對數據進行保護越發困難。

數據庫安全問題涉及企業的重大利益，數據庫安全策略研究，除了上述內容外，還涉及黑客技術、防火墻技術、入侵檢測技術、病毒防護技術、漏洞評估技術等。文中結合企業實際，對數據庫系統的數據進行有效的保護進行了實踐探索，取得了較為理想的安全效果。數據的安全性工作任重而道遠，需要我們付出更大的努力去進行數據的安全保護。

參考文獻

[1]劉啟源，劉怡.數據庫與信息系統的安全[M].北京：科學出版社，2000.

[2](美)Jeffrey A.Holler，Mary B.Prescott，Fred R.Mc2Fadden著，現代數據庫管理[M].北京：電子工業出版社，2004.

[3]王健.Oracle數據庫的備份與恢復策略研究[J].計算機安全，2007(2)

[4]竹勇.葉水生.Oracle9i數據庫的安全管理機制[J].計算機技術與發展，2006(6)

[5]孔冬艷.基于對象關系型空間數據庫理論的GIS實現[D].北京：中國地質大學，2006.

篇6

【 關鍵詞 】 醫院；網絡安全；防護體系

0 引言

網絡安全是一項動態的系統工程，它需要集中多種安全手段，相輔相成。浙江省人民醫院信息與網絡系統經過多年的建設，已經具備了一定的網絡規模，包括醫院HIS系統及遠程門診的互聯等都具備了一定的基礎。隨著信息化系統的建設，醫院在網絡信息化方面投入了很大的精力，并且在網絡及應用基礎架構方面具備了一定的基礎。

但隨著業務系統的逐步擴展應用，給網絡管理帶來更多的復雜性，加之網絡惡意軟件技術的逐步發展，給醫院信息系統造成了一定的潛在威脅。如何保障醫院信息化網絡系統正常運行，已經成為當前信息化健康發展所要考慮的重要事情之一。因此，參照國家相關法律法規和行業標準對信息化安全的要求，著重從風險的角度來分析醫院的網絡安全需求。

1 網絡層安全風險

由于浙江省人民醫院的醫療信息系統與互聯網系統均在同一網絡之中，自然存在著被黑客攻擊的可能。同時，對于維系到我院的網絡安全風險來說，通過Internet 傳播的病毒、蠕蟲也是一個重要方面。在網絡內部，沒有部署專業的入侵檢測與防御設備，而醫院的諸多業務是通過Internet 提供服務的（如遠程撥號VPN）。一旦在網絡邊界處出現安全問題，包括黑客攻擊、病毒及蠕蟲的破壞導致的系統不可用，將會給網絡帶來重大影響。

2 系統層安全風險

一般來說，對于系統層安全來說，主要指的是網絡操作系統方面的安全問題，當操作系統和應用程序則是黑客要進行攻擊的重要方面，也是黑客得手的主要方式。由于目前各式各樣的操作系統漏洞存在各種操作系統中，從微軟的Windows 系統到其他的各種商用Unix操作系統都是一樣，這就意味著存在著大量的安全隱患。針對醫院網絡業務開展情況來說，都采用Windows系統，對于此操作系統的漏洞來說，其發現時間和被利用時間越來越短，所以更有必要對于操作系統漏洞問題進行有效的準備和積極下載更新各種漏洞補丁。

3 應用層安全風險

由于動態和不斷變化的特點則是應用系統的主要特點，這樣醫院的應用系統來說也是存在很多方面的內容，需要我們對于不同的應用程序進行不同的安全漏洞檢測，這樣才能有效對于應用的安全性進行保證。對于應用系統的安全性問題，主要包括以下幾個方面：合法用戶訪問在其權限之外的系統資源，非法用戶假冒合法用戶的身份訪問應用資源的用戶身份假冒問題等。

4 管理層安全風險

信息系統離不開人的管理，再好的安全策略最終要靠人來制定和執行，因此管理既是安全保障體系的核心，又是安全保障體系可靠運行的基石。對于信息系統的安全風險來說，重要的管理方面的影響因素為管理混亂、責權不明，以及安全管理制度不健全等方面，都可能給信息系統的安全帶來風險。當網絡中出現攻擊行為或網絡受到安全威脅時（如內部人員的違規操作等），無法進行有效的檢測、監控，及時報告與預警。當事故發生后，也無法提供攻擊行為的追蹤線索及破案依據。因此，缺乏對網絡控制和審查的管理手段，缺乏必要的安全管理制度和安全管理解決方案，將會給系統帶來很嚴重的安全隱患。

5 防御體系

基于醫院面臨的種種網絡安全風險，為了更為有效地保證醫院信息化網絡和醫療業務信息系統的安全，應用了比較先進的信息安全建設理念，建立一個統一的立體安全防護體系，并通過對安全體系的建設來達到更加完善的安全。

5.1 制定安全防護策略，建立健全網絡安全防護管理體系

一個完整的安全防護體系應包括安全策略、組織管理、技術防范體系等幾個方面。其中，安全策略是從整個網絡安全角度出發編寫的管理性項目文件。安全策略由人和系統行為的規范和要求組成，它的意義在于執行后所產生的效果。組織管理體系依據或遵照一定的法規和標準（法規標準體系），通過技術手段（技術防護體系），保證安全策略的正確實施。同時，伴隨網絡攻防的技術和網絡應用的發展，應不斷改進技術防護手段，完善法規標準，合理調整組織機構和職責分工，保證計算機網絡安全防護體系的可持續發展。

我們知道，網絡安全建設有“三分技術，七分管理”的說法。從這個角度上講，計算機網絡安全不僅是技術問題，更主要是管理問題，技術是網絡安全的保證，管理是網絡安全的核心，技術只能起到增強網絡安全防范能力的作用，只有管理到位，才能保障技術措施充分發揮作用。

5.2 加強網絡邊界系統綜合防護能力

對外網以及內部網之間通過訪問控制權限，實現安全集中管理.改進和升級現有的網絡防護措施，加強網絡安全域的劃分與安全域邊界的訪問控制，隔離來自于互聯網及外部網絡的安全威脅與安全風險，保障醫院網絡系統與業務系統的安全。

5.3 通過探測網絡安全漏洞，加固網絡安全評估

安全掃描時一種重要的網絡安全技術，它利用網絡安全性評估分析工具，用實踐性的方法掃描分析網絡系統，檢查報告系統存在的弱點和漏洞，建議補救措施，以確保系統和網絡的安全。

網絡的安全配置和運行服務問題可以通過對于網絡的掃描而及時得到，這樣就能更有有效預防網絡安全漏洞，以及相關的網絡風險等級也能被客觀評價，這樣的主動防范措施的安全掃描，對于黑客來說能夠有效避免可入侵。

對于網絡安全分析評估系統，作為一種安全掃描的軟件工具。第一，能夠基于綜合審計功能前提下，而做到發現網絡中的漏斗，保證網絡的完整性；第二，能夠準確全面報告網絡存在的弱點和漏洞，報告被掃描對象的相關信息和所提供的服務，以及詳細地描述對象的安全性，發現存在的弱點和漏洞，并提出修補的建議和應采取的措施。

5.4 應用入侵檢測系統，保護網絡與主機資源

防火墻技術能夠有效防止內外網攻擊 ，從而使得網絡的安全風險降低。在防火墻基礎上，利用入侵檢測技術，能夠實時的入侵檢測能力，這樣利用此技術，可以對于網絡中的可疑通信數據流進行分析和判斷，及時發現網絡中的安全問題，同時進行一定的報警和處理，提供詳細的網絡安全審計報告。可以這么說，網絡安全四個層面上的非法攻擊問題可以通過入侵檢測系統有效解決，保證網絡不安全威脅不再攻擊主機，同時也彌補了網絡防火墻的不足而產生的安全漏洞。

5.5 應用主機安全監控系統，實現對用戶上網行為的實時監控

在日常工作中，網絡發揮著越來越重要的作用，成為人們重要的資料的信息來源的渠道，但在網絡為人們提供種種便利的同時，網絡同時也提供與工作無關甚至影響工作的內容，降低了工作的效率，在一定程度上也為惡意破壞者的非法入侵提供了通道。這種現實就要求網管人員利用主機安全監控系統，實現對用戶上網行為的實時監控，從而讓網管人員及時了解和控制局域網用戶的的上網行為，加強安全防護，同時也可以提高工作效率。主機安全監控系統可以記錄用戶終端的異常行為，包括網絡訪問、網站限制、網站過濾，并形成詳細的日志記錄并上報備案。

6 結束語

總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的，只有制定和實施一個較為完善的網絡安全體系，采取管理、技術相結合的綜合手段，進一步增強網絡安全事件的主動發現能力和防范控制能力，積極防范安全網絡事件的發生，這樣才能有效地維護網絡的安全，提高醫院業務系統的整體信息化水平及網絡系統的安全保障能力。

參考文獻

[1] 吳亮.基于策略管理的醫院網絡安全信息系統[J].中國數字醫學, 2011,6(7).

[2] 楊洋,胡冰,李巧蘭.淺析醫院網絡安全建設工作[J].中國數字醫學,2010,5(12).