时间:2023-09-12 17:10:55
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇加强网络安全建设的意义,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:信息安全安全属性安全建设
我国信息化安全建设任务非常艰巨,主要包括各种业务的社会公网、行业专网、互联网等信息基础设施运营、管理和服务的安全自主保障、安全监管、安全应急和打击信息犯罪为核心的威慑体系的建设,其内容包括网络系统安全建设、领域和企业的业务信息化安全建设、网络内容与行为的安全建设和用户关注的网络安全建设等方面。这些安全建设对于不同的领域和领导层面关注的内容、对象和程度各不相同。网络信息安全是一个完整的、系统的概念。它既是一个理论问题,同时又是一个工程实践问题。由于互联网的开发性、复杂性和多样性,使得网络安全系统需要有一个完整的、严谨的体系结构来保证网络中信息的安全。
1 信息安全的定义及目标
信息的定义,从广义上讲,信息是任何一个事物的运动状态以及运动状态形式的变化,它是一种客观存在。狭义的信息的含义是指信息接受主体所感觉到并能理解的东西。ISO 13335《信息技术安全管理指南》定义:信息是通过在数据上施加某此约定而赋予这此数据的特殊含义。信息是无形的,借助于信息媒体以多种形式存在和传播,同时。信息也是一种重要资产,具有价值,需要保护。信息安全的目标是信息资产被泄露意味着保密性受到影响,被更改意味着完整性受到影响,被破坏意味着可用性受到影响。而保密性、完整性和可用性三个基本属性是信息安全的最终目标。信息安全的保护对象包括了计算机硬件、软件和数据。就本质而言,信息安全所针对的均是“信息”这种资源的“安全”,对信息安全的理解应从信息化背景出发,最终落实在信息的安全属性上。
2 构建网络信息化安全的意义
能否有效地保护信息资源,保护信息化进程健康、有序、可持续发展,直接关乎国家安危,关乎民族兴亡,是国家、民族的头等大事。没有信息安全,就没有真正意义上的政治安全,就没有稳固的经济安全和军事安全,更没有完整意义上的国家安全。信息安全是信息技术发展过程之中提出的课题,在信息化的大背景下被推上了历史舞台。信息安全不是最终目的,它只是服务于信息化的一种手段,其针对的是信息化这种战略资源的安全,其主旨在于为信息化保驾护航。
3 网络信息化的安全属性
信息安全的概念与信息的本质属性有着必然的联系,它是信息的本质属性所体现的安全意义。说安全属性研究首先要从安全定义讲起,安全定义分很多的层次,为什么分层次,我们随着它的演变来看的,信息安全最初目标,叫数据安全,它关心的是数据自身,所以是一个狭义的数据安全,是保护信息自身的安全。
3.1 保密性(Confidentiality)
在传统信息环境中,普通人通过邮政系统发信件时,为了个人隐私要装上信封。可是到了信息化时代,信息在网上传播时,如果没有这个“信封”,那么所有的信息都是“明信片”,不再有秘密可言,这便是信息安全中的保密性需求。保密性是指信息不被泄露给非授权的用户、实体或进程,或被其利用的特性。保密性不但包括信息内容的保密,还包括信息状态的保密。
3.2 完整性(Integrality)
完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性与机密性不同,机密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。
3.3 易用性(Availability)
易用性是信息可被授权实体访问并按需求使用的特性。在授权用户或实体需要信息服务时,信息服务应该可以使用,或者是信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务。易用性一般用系统正常使用时间和整个工作时间之比来度量。
4 构建网络信息化安全管理体系
在面向网络信息的安全系统中,安全管理是应得到高度重视的。这是因为,据相关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员攻击造成的。简单归类,属于管理方面的原因比重高达70%以上,这正应了人们常说的“三分技术,七分管理”的笺言。因此,解决网络与信息安全问题,不仅应从技术方面着手,更应加强网络住所的管理工作。
好的网络信息化安全管理体现在以下几个方面:在组织内部建立全面的信息安全管理体系,强调信息安全是一个管理过程,而非技术过程;强调信息保密性、完整性、易用性三者在关键流程中运用的平衡;把信息提高到组织资产的高度,强调对组织信息资产进行价值及影响评估,对信息资产的脆弱性及其面临的威胁进行分析,运用风险评估、风险管理手段管理信息安全,使组织风险降低到可接受的水平;从法律和最好的实践经验角度,实施全面的控制措施,使组织信息安全威胁的方方面面置于严密控制之下;强调领导在信息安全管理中的作用;强调信息安全方针在管理体系中的作用;强调对信息技术及工具的实时和有效管理;强调组织运作的连续性及业务连续性的管理;强调信息安全管理水平的不断提高及对流程的策划、实施、检查和改进的过程;信息安全应该是一个以“价值”为基础的过程,即信息安全管理应是一个有附加价值,并讲究投入产出比的过程。
5 关注信息化安全服务的综合性、高技术性和对策性特点
信息安全产业有其鲜明的特点,虽然产生于信息化和信息系统,依然与通常的IT服务有许多区别。信息化安全的基本特征是服务性的。这种服务性与一般软件的服务性是不同的。一般应用系统或产品的服务主要是维护和培训,通常服务是非对策性的、非动态的和比较固定的。信息化安全服务是对策性的、动态性的、不断产生新内容的和似乎永远不能成熟等特性。信息化安全服务范畴几乎包括了整个信息化所包括的所有产品和系统,其服务的综合性和复杂性是显而易见的。信息化安全服务是最高技术的服务,无论从设计角度和使用的角度都要求深入、熟练和非常专业。我们可以骄傲地说,信息化安全服务是世界上最伟大的服务业,也是最困难的服务业。信息化安全服务的复杂性、高成本特性要求信息化安全企业必须在安全服务的远程化和化的推进方面做出不懈努力,不断降低服务成本。
6 结语
网络信息安全不仅仅是一个纯技术层面的问题,单靠技术因素不足以保证网络中信息的安全。网络信息安全还涉及到法律、管理、标准等多方面的问题。因此,信息安全是一个相当复杂的问题,只有协调好这些体系之间的关系,才能有效保证系统的安全。
参考文献
关键词:高校;图书馆;网络安全;设计与实现
中图分类号:TP393.08
随着网络阅读形式的普及,高校作为文化与技术资源的汇聚地,图书馆的运作逐渐走向网络化和数字化。高校图书馆的数据库系统具有资源覆盖范围广、学科与技术种类丰富、数字资源量大等特点,能够为广大的高校教师与学生提供全面的学术研究信息服务。然而同时高校图书馆也将面临着网络安全的问题。图书馆资源网络化是将图书馆资源面向更加广泛的受众用户群,而网络中存在着木马、病毒、黑客等安全隐患,同时环境因素、认为因素等也威胁着高校图书馆网络的安全,因此,在高校图书馆网络安全建设上采用完善的安全防护设计和制定相应的安全防护制度对于高校图书馆网络安全都具有非常重要的意义。
1 高校图书馆网络面临的安全威胁
1.1 运行环境安全威胁
计算机与联网设备属于高精度电子设备,其运行环境对于温度、湿度、供电稳定性、电磁干扰等具有一定的要求,而在这方面大多数高校图书馆并没有在机房建设时充分考虑到这些方面的因素,因此,对图书馆服务器、计算机设备的稳定性和安全性带来一定的隐患。同时,数字图书馆的建设要考虑到一些自然环境因素对图书馆网络安全的影响,譬如:雷电、火灾、地震、腐蚀性物质等,对于图书馆的网络安全都具有一定的威胁性。
1.2 硬件环境安全威胁
高校图书馆拥有强大的服务器和交换机,能够为近千台终端计算机提供服务,图书馆服务器的稳定是图书馆网络应用的关键。由于目前所使用的操作系统,无论是Windows、Linux还是UNIX都存在一定的系统漏洞,因此,在网络攻击上,对于图书馆服务器的攻击形式非常的多,譬如:DOS攻击、ARP入侵、SQL注入、木马植入等。此外,为了更好的服务于高校师生,大多数高校图书馆网络TCP/IP协议采用的是系统默认设置,方便多用户接入,但是这给图书馆服务器安全带来了较大的威胁。
1.3 软件环境安全威胁
数字图书馆的建设需要大量的软件应用,而目前很多病毒都集成在应用软件中,用户下载软件、安装软件过程中容易携带对图书馆服务器造成破坏的恶意程序,尤其是当图书馆与互联网相接入后,各种具有隐藏性、触发性、植入性、寄生性的病毒隐藏在互联网应用中,而高校图书馆网络互连很容易相互传染,最终导致整体瘫痪。
1.4 网络系统安全威胁
高校图书馆网络与互联网连接,给黑客攻击创造了条件,他们利用网路漏洞扫描、嗅探、欺骗、后门、口令破译等手段直接进入高校网络图书馆后台服务器管理系统中,删除重要文献资料、篡改信息、盗用资源等,给高校数字图书馆造成了严重的威胁。
2 高校图书馆网络安全建设的设计与实现
2.1 高校图书馆网络安全运行环境设计与实现
高校图书馆系统运行的安全是数字图书馆建设的首要环节,在建设运行环境方面要对图书馆服务器主机房的选址和环境布置进行科学的规划,并采用多种安全防护系统加以保护,譬如:建设稳定的供电系统、防火系统、通风系统和安保系统。
高校数字图书馆用电量大,对电压的稳定性要求高,因此,在供电系统设计上要采用具有功率大、耐用时间长、防雷电等性能的双机并联UPS系统。
高校图书馆服务器机房防火系统建设可以采用针对计算机等大用电量的电子设备专用灭火系统,譬如:采用七氟丙烷气体自动灭火系统,具有较好的清洁、绝缘、高效能等特点,同时该系统要具备自动火灾探测预警系统和火灾环境超标自动灭火机制。
高校图书馆主机房由于设备散热量较大,应配备24小时运转的机房专用空调,机房专用空调具有上送、下回送风功能,能够保证高校图书馆主机房各个方向的温度均衡。同时,机房专用空调具有温度自动探测功能和温度超标预警功能,条件允许的状况下,可配置双空调系统,为出现故障时可备用。
由于高校图书馆主机房设备具有很高的价值,因此,对于防盗监控应专门设计安保系统。安保系统应具备机房各个角落全方位监控功能,并具备红外预警装置,当发生偷盗设备时,可及时发出警告,并通过校园网直接连入校园保安室。在管理上可采用专人专管,设置门禁系统。
2.2 高校图书馆网络安全硬件系统设计与实现
高校图书馆硬件配置要首先具备双机热备系统,可确保图书馆服务器安全运转。其次,要具备数字图书馆资源独立存储系统和独立应用系统,图书资源存放在存储系统中,不附加应用软件,降低被恶意攻击的威胁,应用系统在调用存储系统中资源时需要提供正确的密钥,确保资源调出安全。第三,数字图书馆与校园网络相连接要建立安全防护机制,譬如建立防火墙等。第四,硬件选择要具备国家认可的相关合格证明,同时设备要具备后续改造升级的能力,设备接口采用标准化接入,具有良好的兼容性,以降低升级改造费用。
2.3 高校图书馆网络安全软件系统设计与实现
高校图书馆网络安全软件系统包括系统软件和应用软件。在系统软件设计上采用稳定性、安全性高的操作系统,通常在UNIX系统环境下的操作系统抗威胁能力较Windows和Linux更强,尤其是UNIX所衍生出的针对于图书馆应用的操作系统,如:AIX、Solaris等。在操作系统安装过程中,选择自定义安装,根据需要设置较为安全的权限管理,同时为操作系统安装最新的安全补丁、杀毒软件、防火墙等。停止使用Guest用户登陆,设计较为复杂的管理员用户名及密码,将IIS访问权限设为高级。
在应用软件应用上,在应用系统中安装正版的应用软件,并根据用户级别设置数据库的访问权限,加强应用软件安装的安全检测能力,如检测到用户安装的应用软件携带病毒或者木马则强行停止安装。
2.4 高校图书馆网络安全网络系统设计与实现
目前,高校图书馆面向社会化开放,这就导致来自互联网的威胁给高校图书馆网络安全性面临着严峻的考验。高校图书馆与外部网络连接需要通过高端的防火墙和完善的用户认证,阻止外部用户直接访问高校图书馆数据库,并且对外隐藏IP、网关等信息。在高校图书馆内部网络建设上要建立独立的局域网络,采用VLAN技术对不同图书馆资源利用区域进行划分管理,设置自动软件升级、防火墙升级和定期杀毒。
3 高校图书馆网络安全防护对策
建设高校图书馆网络安全防护体系,需要对高校图书馆网络构建成为多层次、多方面监管的安全防护网络,在安全防护对策上应遵循以下几方面原则,确保高校图书馆网络安全运转。
3.1 安全防护的全面性
在构建高校图书馆网络安全体系时,要从软、硬件、环境等方面进行物理性安全防护,还要不断的提高安全技术能力和监管力度,确保图书馆机房的安全运转。同时,要做好突发问题应急处理机制,当出现故障时能够将损失降到最低。
3.2 安全防护的最小权限性
构建高校图书馆网络安全等级权限分类,以可提供最少服务权限为原则,建立最大安全防护措施,权限等级要分明,严格执行权限管理制度。将数据库系统与应用系统区分管理,数据库管理权限设置管理人数越少越好,尽量避免用户浏览非图书馆允许类网站,将恶意网站登记到应用数据库中,禁止访问。
3.3 安全防护的集中管理性
高校图书馆网络安全集中管理是将多种安全防护措施进行统一管理,由专业的网络安全管理专家进行监控。在管理上不仅要从技术上进行研究,而且需要在制度上进行严格管理,譬如:建立安全责任制度、日常维护制度、数字图书馆应用制度、资料备份制度、保密制度等。对于各项制度的落实要进行统一集中的管理,方便制度的执行与落实。
3.4安全防护的长期性
网络环境更新速度快,恶意攻击、病毒类型等不断演变,新型的攻击手段和木马病毒不断涌现,这就要求高校图书馆网络安全建设要具有可升级、可扩建能力,不仅要及时更近防火墙、杀毒软件,在硬件设备上要具备可扩展性,能够提高硬件安全,建立长期的安全防护机制,做到实时监管、实时控制。
4 结束语
高校图书馆是高校文化与技术资源聚集融汇的地方,在面对数字化图书馆的需求方面,高校图书馆不仅要建立丰富的资源网络,而且要确保高校数字图书馆的应用安全。在高校图书馆网络安全建设上,环境、设备、软件、管理要统一目标,科学建设、加强监管,利用先进的网络安全技术和完善的管理制度实现高校图书馆数字化安全运转。
参考文献:
[1]马敏,刘芳兰,宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报,2010(04):130-135.
[2]高琦.数字图书馆网络信息安全分析及对策研究[J].图书馆学刊,2012(06):132-133.
[3]王元.高校数字图书馆信息安全保障研究[J].图书情报工作(增刊),2010(02):327-331.
[4]颜昌茂,周吟剑,.高校图书馆网络安全系统的构建[J].情报探索,2014(01)108-111.
[5]金文新,高校图书馆计算机网络系统安全策略的设计与实现[J].图书馆论坛,2009(06)80-83.
1计算机网络安全问题
所谓大数据即是指需要新处理模式才能具有更强决策力、洞察力和流程优化能力的海量、高增长率和多样化的信息资产,其核心价值在于巨量资料中对有意义数据的专业化处理,代表着一个新时代最明显的特征。基于大数据的计算机网络安全环境触涉到的内容极其复杂,客户端、服务端等多元化系统集成,在为用户提供便捷的同时,亦带来了更加严峻的计算机网络安全问题。具体而言,基于大数据的计算机网络安全建设是一项复杂的系统工程,除了必要的日常维护管理之外,还需紧密关注计算机网络安全环境的动态变化,继而针对性地采取有效预防措施。但事实上,多数计算机网络管理员的安全意识匮乏,相关工作细化不足,导致数据信息泄露甚至被破坏,带来了不可估量的损失。同时,信息技术的高速发展亦加大了黑客攻击、病毒传播等风险,其高度的隐蔽性不易识别。另外,在计算机网络的使用过程中,账号密码及权限设置的缺失,造成了较为严重的安全风险,损害了用户权益。
2基于大数据的计算机网络安全构建策略
2.1强化主动意识
思想意识是行为实践的基础,对计算机网络安全体系建构至关重要,决定了此项工程实效。对此,应针对对象主体的差异化采取有效举措,主要包括管理员和用户。在具体的践行过程中,应依托互联网传播的便捷性、广泛性,加大对用户安全意识的宣传,提示网络安全风险,规范上网行为,禁止不良信息流通,尤其是对部分高技术用户而言,普及国家相关法律法规,严禁做违法犯罪的事情,净化网络环境,提高用户安全体验。同时,进一步强化网络管理员的主动安全意识,制定完善的工作制度流程,严格控制不同权限账号的知悉范围,要求紧密关注行业发展动态,及时更新计算机安全防护软件和杀毒软件等,针对计算机操作系统中存在的安全漏洞予以修复,不断提高防火墙的防火等级,确保安全的网络应用环境。对此,相关单位应加强内部培训教育工作,及时更新管理员学识构成,深度解析大数据环境下计算机网络安全因素,协同商定科学的防护方案,分享有效实践经验,提高他们的综合服务水平。
2.2完善管理机制
时至今日,计算机网络应用越发普范,改变了人们的生产生活方式,并为之带来了前所未有的服务体验,成为了当下社会创新发展的基础着力点,但基于大数据影响,其运行环境越发复杂多变,用户面临着越发严峻的安全问题。对此,英、美等发达国家已将个人数据保护纳入到宪法规制范畴,事实上对维护计算机网络安全发挥了重要作用。相比之下,我国的相关法制建设尚不健全,是基于大数据的计算机网络安全建设重点。建议国家立法部门结合实际情况,出台系列保护个人信息安全的法规制度,明确各种以数据信息为目标的违法性行为,严厉打击破坏、盗取他人计算机网络信息数据的行为,予以恰当的处罚,发挥强有力的威慑作用。在高成本的违法犯罪面前,人们的自我约束性将得到明显提升。同时,以政府为引导,加强企业、高校以及专家团队的进一步合作,给予必要的政策支持,并建立一个健全的管理体系,明确其彼此间的合作关系,保护好各方合法利益,从而产生强大的聚合力,最大限度地降低网络攻击危害。
2.3导入先进科技
知识经济时代,科技创新是社会发展的恒动力,更是解决计算机网络安全问题的利剑。近年来,基于大数据的计算机网络安全研究有了很多新的进展,并取得了显著成果,如云库、人工智能等,不仅有效降低了计算机网络安全威胁,还减少了相应的人力、物力等成本消耗。例如,基于大数据分析技术应用的计算机网络安全保障得到了大幅提升。在计算机网络的具体应用实践中,系统会伴有大量日志产生,针对此类数据的分析可依托大数据分析技术进行,实现统计、挖掘等使用需求,旨在全面搜索计算机网络浏览中的病毒攻击痕迹,继而做出有效防御方案。事实上,中国移动基于大数据技术现已成功建立了诈骗电话拦截系统-天盾,有效维护了用户信息安全。因此,应加大对计算机网络安全与大数据创新技术的导入,组织相关人员认真学习,激发更多创新思维。值得客观指出的是,在面对越发复杂的计算机网络应用环境下,单一的防护及管理技术已难满足需求,应在充分发挥各种技术优势的上促进融合。
3结语
总而言之,基于大数据的计算机网络安全建设十分重要和必要,其面临着越来越多的挑战,同时其作为一项系统化工程,需要从技术、管理等多个方面入手,结合实际情况,不断完善管理机制,及时导入先进技术。作者希望学术界大家持续关注此课题研究,结合实际情况,针对性地提出更多基于大数据的计算机网络安全发展建议,为用户带来更加便捷、安全的服务体验。
参考文献
[1]应振宇.基于大数据的计算机网络安全及对策[J].电子技术与软件工程,2019(03):172.
关键词:信息安全;安全风险;风险防控
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-03
随着大型企业信息化建设的逐步深入,对信息系统的依赖程度不断提高,信息系统的稳定运行直接关系到社会秩序与国计民生。企业伴随着各信息系统的建成,信息化水平不断提高,信息系统对业务的支撑作用更加明显,迫切需要提高信息安全保障能力,保证网络基础设施与信息系统的安全、可靠运行。
为了加强大型企业信息系统的安全防护,按照《国家信息化领导小组关于加强信息安全保障工作的意见》文中明确提出的“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估"的指导建议,本文对信息系统进行风险评估,确定系统缺陷和安全需求,提出整改建议,为大型企业整体信息安全解决方案提供基础资料和有力依据;结合国家关于信息系统安全等级保护的相关要求,评价已有信息安全建设的适当性、合规性,分析所面临的威胁、影响和脆弱性及其发生的可能性,最终得出所面临的风险,并提出整改建议,为大型企业信息安全战略发展提供参考。
一、大型企业信息安全面临的风险
(一)风险概述
安全风险是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全风险是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全风险的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。这将导致对安全风险的认识出现偏差。
(二)威胁类别
分析存在哪些威胁种类,首先要考虑威胁的来源,信息系统的安全风险来源如下。
对安全风险进行分类的方式有多种多样,针对上表威胁来源,可以将威胁分为以下种类。
二、信息安全风险防控
(一)信息安全风险防控思路
根据大型企业目前信息安全工作的现状,为了充分的利用现有资源、节约成本,并能够有效的对信息资产进行充分保障,我们提出“集中管控、纵深防御”二点方针:
1.集中管控:减少攻防界面是成本较低、成效显著的防御方法。随着网络设备、服务器主机、安全设备的不断增加,网络拓扑日益复杂,如能对安全设施进行集中管理,控制安全边界将能够有效地降低安全成本;
2.纵深防御:现有的任何防护措施都不能完全保证信息系统不发生安全事件,通过多级的安全防御部署,能够在出现未知漏洞外层防御措施失效后,控制安全事件造成的影响,减少损失。
基于以上两个观点,结合大型企业信息安全的现状,制定如下思路:
由于大型企业的网络复杂庞大,在未来的网络安全建设上建议采取大面上封堵,重点防御的策略。大面上封堵即阻断传统终端--网络—服务器—存储的访问方式;重点防御是指采用用户集中通过统一平台访问的方式实现业务应用,然后重点做好统一平台的安全防御工作;
在上述大思路的指导下,未来的网络安全建设还需要重点做好数据中心的网络安全防护工作,即不仅要防止由于服务端口开放带来安全风险,还应该重点防御深度注入web应用类型病毒所带来的安全风险,因为目前集团绝大多数的应用系统为B/S架构下通过web访问方式实现访问。
(二)信息安全风险防控蓝图
本文针对信息安全风险防控的蓝图拟从网络、主机、应用和数据4个方面来对大型企业的信息安全建设提出建议,如图所示:
大型企业信息安全建设规划蓝图
(三)信息安全风险防控措施
信息安全风险防控措施的基础工作是访问控制的细化。建议倾向于安全域的划分的思想,但不强调必须要进行安全域划分的表现形式。与网络相关的控制措施主要有以下3个方面:
1.单点故障:核心链路的各种网络设备往往为单台设备运行,诸如核心交换机、路由器以及防火墙等,一旦出现故障,将对网络的可用性造成严重影响,直接影响内外网间的访问,建议增加核心链路的设备数量,考虑进行双机热备。
2.边界控制:从网络整体来看,如果互联网出口数量较多,一旦发生来自网络外部的安全事件,判断和溯源难度大,管理分析成本较高,需要对企业网络的互联网边界适当管控,关闭或对互联网出口增加监管;
3.VLAN隔离:在服务器机房中存放的服务器主机的资产重要程度是不同的,部分主机所有互联网用户可以访问(如:门户网站),部分主机只有内部人员或内部部分人员可以访问(如:OA、ERP等)如果这些主机都划分在同一VLAN中,一旦任意主机出现安全事件,很容易影响到统一VLAN中的其他主机。需要对业务重要程度不同,系统应用耦合度小的主机间进行网段或其他方式的隔离,降低影响。同时通过隔离,一旦出现病毒、蠕虫等恶意代码,也能够方便管理人员排错和修复,提高网络管理效率。
三、结论和建议
(一)建立事前预警机制
【 关键词 】 医院;网络安全;防护体系
0 引言
网络安全是一项动态的系统工程,它需要集中多种安全手段,相辅相成。浙江省人民医院信息与网络系统经过多年的建设,已经具备了一定的网络规模,包括医院HIS系统及远程门诊的互联等都具备了一定的基础。随着信息化系统的建设,医院在网络信息化方面投入了很大的精力,并且在网络及应用基础架构方面具备了一定的基础。
但随着业务系统的逐步扩展应用,给网络管理带来更多的复杂性,加之网络恶意软件技术的逐步发展,给医院信息系统造成了一定的潜在威胁。如何保障医院信息化网络系统正常运行,已经成为当前信息化健康发展所要考虑的重要事情之一。因此,参照国家相关法律法规和行业标准对信息化安全的要求,着重从风险的角度来分析医院的网络安全需求。
1 网络层安全风险
由于浙江省人民医院的医疗信息系统与互联网系统均在同一网络之中,自然存在着被黑客攻击的可能。同时,对于维系到我院的网络安全风险来说,通过Internet 传播的病毒、蠕虫也是一个重要方面。在网络内部,没有部署专业的入侵检测与防御设备,而医院的诸多业务是通过Internet 提供服务的(如远程拨号VPN)。一旦在网络边界处出现安全问题,包括黑客攻击、病毒及蠕虫的破坏导致的系统不可用,将会给网络带来重大影响。
2 系统层安全风险
一般来说,对于系统层安全来说,主要指的是网络操作系统方面的安全问题,当操作系统和应用程序则是黑客要进行攻击的重要方面,也是黑客得手的主要方式。由于目前各式各样的操作系统漏洞存在各种操作系统中,从微软的Windows 系统到其他的各种商用Unix操作系统都是一样,这就意味着存在着大量的安全隐患。针对医院网络业务开展情况来说,都采用Windows系统,对于此操作系统的漏洞来说,其发现时间和被利用时间越来越短,所以更有必要对于操作系统漏洞问题进行有效的准备和积极下载更新各种漏洞补丁。
3 应用层安全风险
由于动态和不断变化的特点则是应用系统的主要特点,这样医院的应用系统来说也是存在很多方面的内容,需要我们对于不同的应用程序进行不同的安全漏洞检测,这样才能有效对于应用的安全性进行保证。对于应用系统的安全性问题,主要包括以下几个方面:合法用户访问在其权限之外的系统资源,非法用户假冒合法用户的身份访问应用资源的用户身份假冒问题等。
4 管理层安全风险
信息系统离不开人的管理,再好的安全策略最终要靠人来制定和执行,因此管理既是安全保障体系的核心,又是安全保障体系可靠运行的基石。对于信息系统的安全风险来说,重要的管理方面的影响因素为管理混乱、责权不明,以及安全管理制度不健全等方面,都可能给信息系统的安全带来风险。当网络中出现攻击行为或网络受到安全威胁时(如内部人员的违规操作等),无法进行有效的检测、监控,及时报告与预警。当事故发生后,也无法提供攻击行为的追踪线索及破案依据。因此,缺乏对网络控制和审查的管理手段,缺乏必要的安全管理制度和安全管理解决方案,将会给系统带来很严重的安全隐患。
5 防御体系
基于医院面临的种种网络安全风险,为了更为有效地保证医院信息化网络和医疗业务信息系统的安全,应用了比较先进的信息安全建设理念,建立一个统一的立体安全防护体系,并通过对安全体系的建设来达到更加完善的安全。
5.1 制定安全防护策略,建立健全网络安全防护管理体系
一个完整的安全防护体系应包括安全策略、组织管理、技术防范体系等几个方面。其中,安全策略是从整个网络安全角度出发编写的管理性项目文件。安全策略由人和系统行为的规范和要求组成,它的意义在于执行后所产生的效果。组织管理体系依据或遵照一定的法规和标准(法规标准体系),通过技术手段(技术防护体系),保证安全策略的正确实施。同时,伴随网络攻防的技术和网络应用的发展,应不断改进技术防护手段,完善法规标准,合理调整组织机构和职责分工,保证计算机网络安全防护体系的可持续发展。
我们知道,网络安全建设有“三分技术,七分管理”的说法。从这个角度上讲,计算机网络安全不仅是技术问题,更主要是管理问题,技术是网络安全的保证,管理是网络安全的核心,技术只能起到增强网络安全防范能力的作用,只有管理到位,才能保障技术措施充分发挥作用。
5.2 加强网络边界系统综合防护能力
对外网以及内部网之间通过访问控制权限,实现安全集中管理.改进和升级现有的网络防护措施,加强网络安全域的划分与安全域边界的访问控制,隔离来自于互联网及外部网络的安全威胁与安全风险,保障医院网络系统与业务系统的安全。
5.3 通过探测网络安全漏洞,加固网络安全评估
安全扫描时一种重要的网络安全技术,它利用网络安全性评估分析工具,用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施,以确保系统和网络的安全。
网络的安全配置和运行服务问题可以通过对于网络的扫描而及时得到,这样就能更有有效预防网络安全漏洞,以及相关的网络风险等级也能被客观评价,这样的主动防范措施的安全扫描,对于黑客来说能够有效避免可入侵。
对于网络安全分析评估系统,作为一种安全扫描的软件工具。第一,能够基于综合审计功能前提下,而做到发现网络中的漏斗,保证网络的完整性;第二,能够准确全面报告网络存在的弱点和漏洞,报告被扫描对象的相关信息和所提供的服务,以及详细地描述对象的安全性,发现存在的弱点和漏洞,并提出修补的建议和应采取的措施。
5.4 应用入侵检测系统,保护网络与主机资源
防火墙技术能够有效防止内外网攻击 ,从而使得网络的安全风险降低。在防火墙基础上,利用入侵检测技术,能够实时的入侵检测能力,这样利用此技术,可以对于网络中的可疑通信数据流进行分析和判断,及时发现网络中的安全问题,同时进行一定的报警和处理,提供详细的网络安全审计报告。可以这么说,网络安全四个层面上的非法攻击问题可以通过入侵检测系统有效解决,保证网络不安全威胁不再攻击主机,同时也弥补了网络防火墙的不足而产生的安全漏洞。
5.5 应用主机安全监控系统,实现对用户上网行为的实时监控
在日常工作中,网络发挥着越来越重要的作用,成为人们重要的资料的信息来源的渠道,但在网络为人们提供种种便利的同时,网络同时也提供与工作无关甚至影响工作的内容,降低了工作的效率,在一定程度上也为恶意破坏者的非法入侵提供了通道。这种现实就要求网管人员利用主机安全监控系统,实现对用户上网行为的实时监控,从而让网管人员及时了解和控制局域网用户的的上网行为,加强安全防护,同时也可以提高工作效率。主机安全监控系统可以记录用户终端的异常行为,包括网络访问、网站限制、网站过滤,并形成详细的日志记录并上报备案。
6 结束语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的,只有制定和实施一个较为完善的网络安全体系,采取管理、技术相结合的综合手段,进一步增强网络安全事件的主动发现能力和防范控制能力,积极防范安全网络事件的发生,这样才能有效地维护网络的安全,提高医院业务系统的整体信息化水平及网络系统的安全保障能力。
参考文献
[1] 吴亮.基于策略管理的医院网络安全信息系统[J].中国数字医学, 2011,6(7).
[2] 杨洋,胡冰,李巧兰.浅析医院网络安全建设工作[J].中国数字医学,2010,5(12).
一、我国电子金融领域信息安全的现状
全国相关的金融机构陆续成立了专门的安全防范机构,并重点加强对系统需求设计、投产、推广和软件开发等重点程序的监管和保护以及风险防范;在系统设计开发、防火墙选用、认证密码等方面加大了投入。但是,当前的金融电子行业仍然存在着一些隐患,具体是传递信息的安全隐患和业务系统维护的风险防范隐患。
二、信息安全防护措施
(一)行业自律
行业或是客户自身的信息包括最敏感机密部分对金融机构而言往往是公开的,金融机构可以轻松的获取这部分信息,其中有部分信息具有相当的经济价值。对信息保护,行业的自律有着相当重要的意义,政府的监管只是被动的行为,防患于未然更多的在于金融结构的自律行为。电子金融行业需制定一个有效的行业自律规范,从行业内部规范从事人员的行为总则,争取将非法信息来源斩断。国外大多数国家在立法上对行业自律机制给予较高的肯定,我国其实也可以借鉴,进一步发挥行业自律在信息安全上的作用。
(二)金融信息监管
完善的信息安全法律法规是做好信息安全工作的基础。我国在信息安全法律法规建设方面已经做了很多工作,如今与信息安全有关的法律法规包括法律、行政法规、部门规章及规范性文件三个层面。但是,我国的信息安全法律法规仍然不够完善,管理机构存在多头管理,要求从金融信息监督开始为信息安全做好第一步。同时,中国人民银行对网上银行业务的监管尚处于起步阶段,应在《人民银行法》等相关法规中将网上银行明确纳入中国人民银行、银监会监管的对象。其次,金融服务业消费者安全保障的投诉与受理机制欠缺,监管机构中缺乏专门负责金融消费者安全保障方面事务的部门,对于投诉问题没有从自律或者强制性法律机制角度进行规范。建议在我国因成立一个独立的电子金融监管机构,它独立于各个行政体系,采用直接负责制,这是由于电子金融领域如出现信息安全事故,它所牵扯的相关行政部门较多,地域范围较广,现有职能部门无法对它进行有效的监管,该机构应对电子金融机构信息可审查,可回溯并构建一个评价体系,将其评价结果对外公示,对于那些信息安全保护不当的机构应给予惩罚,改变我国对信息泄露或是保护不当的金融机构只罚不惩的局面。
(三)信息安全体系
电子金融主要的运行手段是基于计算机网络或是通信网络,必须要技术层面上保护其安全,传统的金融交易手段是基于柜台式、盘点式,早期电子金融只是较为粗犷的将原有的业务照搬于网络环境中,又由于网络是个开放的平台,所以造成了较多的信息安全事故,在近几年的发展中有了迅猛的进步,但还存在诸多问题:用户认证手段单一、支付手段繁杂、内网权限过大、设备更新过于频繁、客户端保护不够、异常行为监管不到位、标准不统一等问题。现应构建一个统一标准网络信息安全体系。将用户权限分割,将用户不常用或是对其信息保护有隐患的功能部分需转为传统的柜台办理,用户可对其权限进行缩减,提供用户常用功能及其权限。用户认证需多层次的,一般的安全层次认证简单快捷,高层次需提供较多有效凭证方可使用。网络模型要做到有效的内外分离,对外网要设置多层安全防范,不能以单一的防火墙形式存在,应具有动态更新、行为分析、危害恢复等功能。对内网必须将权限分割,无单一权限,在很多核心内容上应采用多人协同开启权限功能,防止某一个体权限过大造成过多损失等。客户端应该附加对客户端安全的监察,如发现客户端存在隐患则尽到提醒义务,保护客户信息安全。
三、结束语
安全建设的研究一定要考虑到多方面,找到多种技术和管理方法,而不能只局限到某一种策略。单一的安全技术和产品已满足不了行业用户保障网络安全的需求,防火墙、隔离卡、防病毒技术、信息加密技术、入侵检测技术、安全评估技术、等级管理体系、安全认证技术、漏洞扫描等相互配合,构成网络安全整体解决方案,并能在稳定性及协同性整体配合上加强。信息的安全建设如今不仅仅只是技术的问题,更需要管理与技术相融合而发挥作用的一项系统工程。当然,不断完善的规章制度、科学系统的管理以及高素质、高执行力的团队也是安全建设所必不可少的。
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
随着现代智能感应、物联网、移动互联网、大数据、云计算等现代技术的飞速发展,高校传统校园和智慧校园已越来越不可分割,师生教育活动已经置身于现代智慧校园中,这不仅是信息技术不断进步的结果,更是信息化深入高校发展、融入高等教育后的一种回应。
1智慧校园内涵
目前,iot、aiot和ai等互联网教育技术在国内已逐步得到广泛应用和有效普及,在国家互联网+智慧教育创新理念的强大影响下,国内高校出现了多所学校的教育跨专业领域教育理念智慧教育,学校的教育信息化专业教育已由传统数字化教育走向专业信息化和智慧教育化。在宏观政策层面上,构建高校校园信息化体育教学管理体系,可以为促进学校的自身发展和推进校园教育改革建设提供有力支撑,可以为高校不断寻找自身发展的新方向。实际上在教学管理改革过程中,积极探索构建一所智慧素质校园,是直接促进高校师生综合素质不断提高的有利驱动因素,可以做到实现高校不断创新管理机制,不断加强高校的教育组织管理机构,为广大学生家长提供优质全方位的素质教育,主要包括教育学习、研究、教育、服务、管理教育文化和信息科技等领域内容。“智慧校园”是指运用“互联网+”的思维方式,结合物联网、云计算、大数据、人工智能等新一代信息技术,将分散的、各自为政的学校信息化系统与资源整合为一个有机整体,构建具有高度感知、协作和服务能力的新型信息化校园环境,提供网络化、智能化、一体化的教学、科研、管理和服务支撑平台,推动教育教学体制改革,提高教育教学质量和教学效益,促进师生成长和发展。“互联网+”信息时代,伴随着现代物联网、云计算、大数据、移动互联网、人工智能等各种新一代校园信息基础技术的不断出现及在专业校园教育中的广泛应用,高校专业校园教育信息化建设发展已经进入了一个全新的发展阶段,智能自动感知的校园网络学习环境、云端服务平台上的支持信息服务、大规模数据中心的智能建设、业务管理系统的智能集成化与整合、一站式校园信息服务入口、可视化信息展示等,使我国校园教育信息化从数字化发展阶段逐步进入智慧化发展阶段。
2新时代背景下高校智慧校园网络安全问题
在“智慧校园”的时代背景下,校园一卡通、校园安全无线网络、网络安全检测设备等被广泛地深入应用于大学校园环境安全建设宣传活动中,在取得促进大学校园环境安全建设成效的同时,也给大学校园文化环境建设工作带来了安全隐患。
2.1校园一卡通系统中的安全问题
校园管理网络服务是我国现代化大学校园服务建设的一个重要组成部分,教师和在校学生可随时通过各级校园服务网络直接开展学校图书管理借阅、成绩管理查询、信息管理登记、饮食娱乐消费等服务活动。校园网络一卡通通信系统能否安全稳定运行,会直接影响到全体师生的正常学习生活,是学校网络通信系统安全规范建设重要的技术出发点和落脚点。一般而言,如果学校计算机在个人信息的收集记录、统计、处理、归档等操作过程中一旦出现安全漏洞,教师和在校学生一卡通就很有可能被不法分子利用网络病毒进行攻击。计算机病毒因其具有场域性和空间联动性,一旦学校计算机电脑控制器和系统硬件受到严重破坏,整个大学校园的网络计算机安全系统就可能会因此受到严重影响,最终可能导致整个校园内的网络安全系统瘫痪。与此同时,校园一卡通也是一种学生电子货币,一旦受到黑客攻击,不仅可能会直接泄露整个校园的管理系统信息,包括教师和学生的个人信息,还可能直接给整个校园师生造成不同程度的生命财产安全威胁。
2.2校园无线网的网络安全问题
校园无线网以利用电磁波传播作为学校信息网络传播的主要载体,不法分子通过借助一些专业通信设备和其他专业通信技术,可以对校园无线网络连接造成一定的网络干扰,从而容易产生非法窃听他人信息、盗窃他人信息、篡改他人信息等不法行为;有的学校市场营销工作人员还可以利用一些个人电脑设备或者虚拟电脑处理一些校园无线网络中的热点,创建网络钓鱼软件网站,窃取网络用户的电子账户登录信息、密码验证信息等。
2.3校内设备的网络安全问题
校园网络安全技术设备配置是有效解决当前校园网络安全问题的重要技术手段,是引导学校深入开展校园网络安全建设的关键。但就目前校园网络安全管理设备的实际应用而言,由于长期受到网络硬件管理设备运行质量、软件管理系统工作性能及其他网络相关设备配置软件属性等诸多因素的双重影响,其实际使用时的安全性相对较低,工作效率不高,在整个设备运行使用过程中,容易受到各种不法分子的恶意攻击。
2.4校园网络系统漏洞的安全问题
“网络系统漏洞”安全泛指一个网络安全系统在日常设计使用过程中所不能忽视的或固有的主要缺陷,这些主要缺陷很有可能是由于网络技术不断发展却不及时更新所导致的安全问题。理论上讲,随着网络系统的不断升级和网络技术的不断改进,网络安全系统可能会不断出现各种形式的安全漏洞。网络安全漏洞的不断产生,会不断加大网络病毒和其他网络攻击对系统的直接危害,因此,必须不断提高系统的安全故障保护意识,把网络安全系统保障维护作为一个长期的重要工作目标去抓。当前最常见的一种计算机操作系统就是Windows,在实际系统设计中也同样可能存在一些缺陷,而且大多数勒索病毒都不只是针对一个Windows系统而设计的。例如2006年,我国第一个专门用于恶意敲诈其他用户系统数据的恶意木马病毒被警方发现并进行拦截,称其代码为“敲诈者”,该木马病毒软件可以在用户系统文件遭到恶意攻击并隐藏其他用户系统数据后,以恶意修复系统文件的加密名义向其他用户进行敲诈。在勒索病毒被警方截获后的几天内,国内成千上万的个人计算机受到了严重危害,大部分的个人和事业单位也都遭受了严重损失。
3新时代背景下高校智慧校园网络安全问题的解决策略
3.1接入层安全优化
高校需要建立一个智慧大学校园系统网络安全监控平台,实现接入层对整个智慧校园系统的安全进行全面监控优化。为了有效优化学校接入到基层学校设备的网络安全性,需要从整个学校正常办公或其他教学使用区域中自动抽取学校静态i和ip,以有效保证学校静态i和ip的地址唯一性,同时也要保证整个智慧校园在正常使用网络过程中完全不会因学校地址的自动变化而产生一系列复杂的学校网络安全问题。总体而言,相关端口管理人员通常可以利用端口提取器输出的一个静态端口ip值来过滤出一些不可靠的端口信息,配置不可靠的配置端口,将旧的配置端口设备与新的mac端口绑定。同时,相关网络管理者也希望可以通过网络端口配置设计来不断提高网络安全性,主要就是依靠学校相关网络管理者在配置交换机网络端口、mac通讯地址等方面的综合能力合理设计,并从具体网络通讯地址配置入手,不断完善优化整个大学校园网络,最终真正达到网络整体安全的效果。
3.2数据信息安全优化
网络环境下校园数据安全保护问题还需要从访问控制、数据安全隔离、数据安全加密等多个方面对其进行深入探讨,以有效保证我国校园网络数据的信息完整性和数据有效性。实施虚拟数据资源隔离处理技术时,需要考虑建立一个新的虚拟数据资源库,即系统用户可将数据通过这种虚拟资源技术直接导入并将其存储到一个数据共享式的物理资源数据库中。这样的虚拟存储应用环境仍然存在许多数据安全隐患,需要根据高校应用发展需求及时采取安全隔离保护措施,对相关学校现有数据资源进行实时分类采集处理,以有效提高学校数据的使用安全性。并且它还要特别重视访问控制,采用系统数据远程加密技术,明确不同级别用户的系统访问权限,用户每次输入新的用户名、密码后,就已经可以实时查询整个系统的相关信息。为了有效顺利进行手机数据安全访问,建立手机身份信息认证管理平台,加强手机用户端的身份认证管理,是保证数据安全访问有序顺利进行的关键。对于出现多用户访问情况,一般建议采用数字签名、双重访问登录身份认证等多种技术手段来同时实现多个用户的同时访问登录权限和用户身份信息认证实时管理,使多个用户能够同时对整个数据库的信息安全进行实时查询。另外,还逐步加强了对敏感数据安全加密的高度重视,可以通过数据加密技术提高手机用户及其个人敏感数据的安全,尤其是可以保证用户敏感数据的安全私密性,在现有数据被非法恶意窃取的危险情况下,保证数据的商业机密不被恶意泄露。目前我国有很多不同类型的校园数据信息加密传输算法,需要根据我国校园加密网络使用规模和各种数据加密传输方式分别选择合适的加密算法,为数据的加密传输和数据存储处理提供可靠的网络外部环境。
3.3云安全技术优化
云安全技术的应用,可以把平面变成立体。在智能校园建设中,传统的杀毒软件只对安装在本地硬盘上的软件程序进行杀毒,通过对病毒信息的对比分析,实现杀毒效果。但这种杀毒方法不能对恶意程序进行拦截处理,同时国内还有许多手机木马程序不能正常检测。利用云安全识别技术,可以对多个病毒节点进行快速自动识别,在整个中国智慧大学校园网络结构中对病毒传感器中的节点群病毒进行全方位、立体化的病毒查杀。云安全管理技术把整个智慧型的校园病毒网络系统看作一个庞大的自动杀毒管理软件,几乎可以在多个病毒传感器中的节点上同时进行自动定位,实时跟踪采集和分析整理恶意病毒信息,防止恶意病毒在快速查杀文件过程中被漏杀。
3.4网络设备安全优化
在研究构建现有智慧智能校园设备网络管理系统时,要有计划地定期对现有智能校园设备系统进行日常维护和更新,以有效保证校园网络中智能硬件和软件设备的正常运行,保证所有网络通信设备的安全。通常用户可考虑采取下列软件设备安全应急保护措施:有效减少室内地震、火灾、洪水等自然灾害对软件资源和相关硬件基础设备的直接破坏;有效减少室内温度、湿度、电磁干扰和空气灰尘对系统正常运行的直接影响。网络设备的供电选型系统应尽量选择可靠性强、扩展性好的智能服务器,采用vvups方式供电,保证系统正常工作运行时也能稳定正常供电;对于校园通信网络数据中心智能交换机的系统设计,应优先综合考虑系统采用三层智能交换机的技术,既能实现校园网络间的有效相互连接,又能有效解决校园局域网空间划分的问题,避免由于校园路由器运行速度过低而造成的校园通信网络障碍中断现象。该支持技术在我国校园网络的建设中已经得到广泛应用,其支持系统实现了校园网络信息系统的实时数据共享、传输管理等功能;在数据存储设备的方式选择上,应尽量选用稳定性高、性能好的存储设备,以有效保证数据实时存储的可靠性和完整性。
关键词:疾病预防与控制;计算机网络;信息;安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 04-0000-02
计算机网络技术在疾病预防控制中心的信息管理系统中得到了广泛的应用,为疾病预防控制庞大的管理工作带来了很多方便,但同时也存在着一些隐患。计算机操作系统大多数都存在各式各样的安全漏洞,正是这些漏洞才使病毒有可乘之机进行传染,如不及时更新操作系统,这些漏洞都是安全隐患。计算机病毒将影响疾控系统的正常运行、网络速度下降,甚至造成疾控系统的瘫痪。计算机病毒一般具有破坏性、隐蔽性、潜伏性、传染性等特点。
一、目前疾控系统网络安全存在的问题
(一)网络攻击:网络攻击可分为内部与外部攻击。内部攻击一般情况都是由于疾控中心内部人员浏览一些非法网站或下载非法软件引起计算机中毒,从而感染整个内部网络系统。而外部攻击则来自互联网,由于疾控中心网络与互联网相连,信息共享的同时也面临着遭遇攻击的风险。因为在互联网上可以任意下载很多攻击工具,这类攻击工具设置简单、使用方便,破坏力大,这意味着攻击所需要的技术门槛大大降低。因此,就算是一个很普通的上网者也会对疾控系统造成很大的危害。
(二)网络安全监管缺失:随着我县疾控中心计算机网络的大范围普及,单位计算机网络日益增多,如果不加强管理,采取措施,随时有可能造成病毒传播泛滥、网络被攻击、数据损坏、系统瘫痪等严重后果。由于一部分人利用中心网络的资源进行一些软件资源下载服务,导致大量垃圾邮件出现,占用了的带宽资源,致使网络资源严重被浪费,造成流量堵塞、上网速度减慢等问题。
疾控系统网络建设普遍存在重硬件、忽软件,重运行、轻管理的现象。其表现为对网络安全的认识不足,网络系统作为一项大工程为实施运行,没有一套完善的安全管理方案是不行的,对于IP地址的申请分配和开通、账户的维护、服务器上应用系统、管理系统的审查和网络规范的设计及调整上,缺少防范措施。
(三)计算机设备老化与损坏:我县疾控中心网络分布在整个单位及乡镇医院,管理起来有一定的难度,涉及硬件的设备暴露在外面的设施,都有可能遭到有意或无意地损坏,这样可能会造成网络系统全部或部分瘫痪的后果。
二、分析问题产生的主要原因
(一)单位职工的网络安全意识薄弱:许多职工对网络系统安全不够重视,不顾及病毒任意下载,通过网络下载或对于外来的带毒移动存储介质都没有杀毒的意识,经常有意无意进行病毒的传播,攻击疾控中心网络系统,干扰疾控网络的安全运行。
(二)经费投入不足:单位上基本上都不是专业人士,对其都是一知半解,对于网络安全认知不足。认为只要系统能够运行就行,投入的经费相对少,而有限的投资也往往用在网络设备购置上。对于网络系统安全建设问题的建设不够重视,存在的各种安全隐患,一旦爆发后果将不堪设想。
(三)非法软件的使用:由于非法软件在网络系统中普遍使用,这些软件的传播一方面占用了大量的网络带宽资源,另一方面也给网络安全带来了很大的隐患。例如前段时间盗版XP操作系统自动更新补丁引起的电脑黑屏事件,就是因为微软公司对盗版的XP操作系统的更新做了限制。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多疾病上报系统也因此被攻击者侵入和利用。
三、创建完全可靠的网络系统是实现不了的
网络系统安全是一个大工程。在目前的情况下,需要全面考虑综合运用多种工具来抵御病毒的入侵,使用杀毒软件等多项技术,互相配合、加强管理,提高网络系统的安全性。为更好的完善疾控网络系统提出以下几点解决方法。
(一)病毒的防范:计算机病毒危害固然很大,但是只要掌握了一些防病毒的常识就能很好的进行防范。我作为单位网络管理员应经常向同事讲解一些防毒常识,这样单位整体的安全意识就会大大提高。
1.用生活中的基本常识来进行辨别。不打开来历不明邮件及所带附件,对可疑的邮件要进行删除。
2.安装防病毒产品并保证更新最新的病毒库。应该在重要的计算机上安装实时病毒监控软件,并且至少每周更新一次病毒库,最好是每天更新、升级,达到防病毒的效果。
3.不要从任何不可靠的渠道下载任何软件。最好不要使用重要的计算机去浏览一些个人网站,特别是一些黑客类或黄色网站,不要随意在小网站上下载软件。如果非得下载,应该对下载的软件在安装或运行前进行病毒扫描。
4.减少使用网络下载Microsoft Office的程序,这些文件类型的会提高感染病毒的几率。
5.不用他人的磁盘安装软件或者是复制共享的磁盘,因为这是导致病毒传播的重要途径。在网络环境下,要尽量使用无盘工作站,不用或少用有软驱的工作站。只要把好这一关,就能有效地防止病毒入侵。
6.使用基于客户端的防火墙或过滤措施。如果计算机需要经常挂在互联网上,就需要使用个人防火墙来保护文档或个人隐私,并可防止黑客来访问系统。否则个人信息甚至信用卡号码和其他密码都有可能被窃取。
7.及时更新操作系统,安装各种补丁程序非常重要的。使用常用的软件来预防病毒的入侵,及时发现安全隐患,如360安全卫士、卡卡安全助手等软件。
(二)防火墙隔离技术:防火墙作为一种将内外网隔离的技术,普遍运用于网络安全建设中。防火墙隔离技术又可分为物理隔离和逻辑隔离两种,物理隔离比较彻底,但开销比较大。逻辑隔离即是软件隔离,比较普遍,现在有很多都是免费的,如360安全卫士,金山卫士等。
(三)加强网络系统的监管:在不影响网络正常运行的情况下,加强内部网络监管机制,可以最大限度地保护网络系统资源。如:配备入侵检测系统IDS、入侵防御系统IPS、网络监听系统等。通过各种监管手段,增强网络安全的自我适应性和反应能力,及时发现不良因素,从而保证网络系统服务的正常运行。通过使用网络软件、日志分析软件等工具,形成一个功能完整、覆盖全面的监控管理系统,保证疾控各系统的运行。
(四)重要数据的维护:数据是计算机系统中最重要的部分。用户数据不要与系统共用一个分区,这是因为系统出现问题时,避免数据丢失,造成不必要的麻烦。重要的数据要及时备份,备份前要进行病毒查杀,数据备份可采取多样备份,如异地备份、光盘备份、U盘备份等多种方式,并且做好分区表、注册表等备份工作,这样在系统维护和修复时可以提高其工作效率。
(五)建立网络安全管理制度:为了确保整个单位网络系统安全有效的运行,必须要对网络进行全面的安全性分析和研究,建立出一套切实可行的安全管理制度。具体主要包括以下几个方面的内容:
1.建立一个专业的信息安全管理科室,制定统管全局的网络信息安全规定。
2.对单位从事网络的人员进行专业知识和技能的培训,培养一支具有安全管理意识的网管队伍,从技术上提高应地各种攻击破坏方法。
3.对疾控系统全体职工进行网骆安全知识培训。
4.在疾控中心内部设立网络安全信息栏,网络规章制度、网络病毒公告、操作系统更新公告等,并提供常用软件的补丁下载。
四、网络安全系统建设对疾控系统工作发挥着重要作用
我县疾病预防控制中心有一个安全的网络系统,它可以实现传染病监测、防治信息个案报告及管理,实现疾病监测信息的一体化管理和文件共享。目前,疾控系统已构建疾病预防控制基本信息系统、疾病监测信息报告管理系统、突发公共卫生事件报告管理系统、疫苗管理系统以及结核病防治管理信息系统、艾滋病防治管理信息系统等,实现传染病疫情网上直报。一个安全的网络系统,可以极大提高疫情报告工作的准确性和完整性。实现疫情信息共享,对传染病疫情报告工作的起着重要意义和作用。
五、总结
我单位疾控系统的网络安全问题是一个复杂而长远的工程,需要整体统一防范,这不仅仅是被动的,更要主动进行。在网络系统安全日益会影响到疾控事业运行的情况下,要加强网络管理制度,对职工进行网络道德的教育,全单位的网络知识;安装最新的防病毒软件和下载补丁更新系统漏洞,对重要文件要进行多种备份,只有这样网络安全才能得到保障,疾控事业的工作才能在良好的环境中开展。
参考文献:
[1]郭秋萍.计算机网络技术[M].北京:清华大学出版社,2008
[2]中国疾病预防控制中心.传染病监测信息网络直报工作与技术指南2005试行版[M].北京:人民卫生出版社,2005,10
[3徐敬东.计算机网络[M].北京:清华大学出版社,2009
关键词:网络信息安全;防火墙;数据加密;对策
由于计算机网络的开放性和自由性,这种高度的依赖性是使得国家的经济和国防安全变得十分脆弱,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就有可能陷入到危机当中。由于网络本身的脆弱性,目前网络信息安全面临很大的威胁和挑战。
1. 网络信息安全现状
目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋向公司称,像Sobig、Slammer等网络病毒和蠕虫造成的网络大塞车,去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络平安新问题带来的损失由此可见一斑。
当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因:
(1)Internet所用底层TCP/IP网络协议本身就很容易受到攻击,该协议本身的安全问题极大地影响到上层应用的安全。
(2)软件的升级导致出现操作系统和应用程序存在新的攻击漏洞。
(3)管理制度与体系不完善。目前我国针对信息安全的体系不完善,网上保密的法规制度不健全。
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,网络结构日益复杂。计算机网络正常运行对网络信息安全提出挑战。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能满足进一步提高信息安全的要求,存在网络安全隐患,产品亟待升级。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
2.计算机网络面临的威胁
计算机信息系统的安全威胁主要来自于以下几个方面:
(1)黑客的威胁和攻击。黑客通常采用非法侵入重要信息系统,获取、攻击侵网络重要信息 ,造成数据丢失或系统瘫痪,带来经济损失和信息泄漏;
(2)计算机木马。计算机木马,轻则使系统上作效率下降,重则造成系统死机或毁坏,造成文件或数据丢失。
(3)信息战的严重威胁。信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。信息技术从根本上改变了进行战争的方法,其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统。可以说,未来国与国之间的对抗首先将是信息技术的较量。
(4)计算机犯罪。不法分子采用攻击网络手段非法侵人计算机信息系统,,破坏电脑系统,盗取账号,实施盗窃、诈骗、篡改数据、散布有害信息等活动。
3.计算机网络安全防范策略
信息安全建设是一个系统工程、是一个社会工程,计算机网络安全防范策略可从以下几个方面着手。
(1)计算机网络技术
计算机网络安全从技术上来说,涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络平安的重要防线。以下就此几项技术分别进行分析。
1)防火墙技术。防火墙是网络访问控制设备,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是由软件或和硬件设备组合而成,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术,它们的平安级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑平安兼顾网络连接能力。
2)认证与用户授权访问控制技术。认证与用户授权访问控制主要用于对静态信息的保护,一般在操作系统中实现。
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。主要包括身份认证、报文认证、访问授权以及数字签名等技术。
3)入侵检测技术。入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。I其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。入侵检测技术将朝着分布式入侵检测、智能化入侵检测和全面的平安防御方案发展。
4)数据加密
加密就是通过一种方式将信息保密,未被授权的人无法知道。主要存在两种主要的加密类型摘要:私匙加密和公匙加密。
5)防病毒技术。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
(2)网络信息设计
网络信息安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。网络信息设计应该按照标准化原则,系统化原则,规避风险原则, 多重保护原则,分步实施等原则设计。
(3)安全管理队伍的建设。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,强化使用人员和管理人员的安全防范意识。 网络平安的保障从组织体系角度看,要尽快建立完善的网络平安组织体系,明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系,和认证认可各级结构,保证信息平安技术、信息平安工程、信息平安产品,信息平安管理工作的组织体系。
最后,加强网络立法,倡导上网,增强网络安全意识,创造绿色健康安全的网络环境。
4.结论
由于网络本身的脆弱性和目前网络信息安全面临的威胁。本文根据目前的网络信息安全的现状,简单分析了网络信息安全理论,详细介绍了技术与管理等方面应对措施,为推动网络信息安全技术的发展具有重要的意义。
参考文献:
[1]张千里,陈光英.网络平安新技术[M].北京摘要:人民邮电出版社,2003
关键词:高校;信息化建设;无线网络安全;运维对策;
进入21世纪之后,互联网技术迎来了飞速发展的时期,越来越多的互联网技术应用到了生产生活的各行各业中,可以说新时代的信息化建设改变着我们的生产和生活。而随着我国"网络强国"战略的不断推进,"互联网+"模式与各个行业间的融合度越来越高。
高校信息化建设对于现代教育发展的意义重大,在课堂上,老师可以使用信息化手段进行授课;在业余时间,学生们还能够在互联网上浏览各种各样的学习资源;甚至于很多的高校还提出了线上直播课程,信息化建设带来了更加多元化的教学手段。但是,在高校信息化建设中,在安全上仍然会存在一些问题和漏洞,因为网络具有公开、共享、实时的特点,因此网络安全问题必然需要引起足够的重视,近些年,无线技术在多个场景下得到普及,在高校场景下无线技术的应用一样非常重要。无线终端设备比如手机、笔记本等已经成为高校生活里的必不可少的学习生活设备,传统的有线网络接入受制约性明显的情况下,在特定的场景下比如图书馆,自习室,食堂等地方通过无线网络的形式进行网络覆盖,对于提升高校信息化建设至关重要。然而,在高校信息化建立中无线网络服务的安全问题不容忽视,一方面,需要提高无线网络的服务质量,保障无线网络的全时段通畅,并满足全校师生的无线网使用需求;另一方面,无线网络要重视相关的网络安全建设,切实保障高校网络的安全,并为高校信息化建设提供网线网络安全保障。基于此在累积高校信息化建设经验基础上,探析无线网络安全问题及运维策略显得尤为重要。
1 高校信息化建设中无线网络安全问题
在高校信息化建设中,通过对无线网络的建设,最主要的目的是解决了有线网络接入的一些限制问题及异常问题。高校无线网络具有开放性的特点,在多个场景下甚至校园全域均需要具备无线网络的接收能力。在无线网络建设初期,网络的覆盖范围为工作的重心,在校园内存在信号弱的地域内,进行重新预设,实现对信号的补充,保障校园各个区域都能够接入网络。而随着高校无线网络建设规模的不断扩大,用户的不断增加,结合实际建设的情况,将高校无线网络的安全管理逐步调整成为高校无线网络建设的工作重点。高校无线网络安全管理是一个系统的工作,需要结合高校的无线网络设计形式以及网络模式等进行有序的安全管理工作。下面对目前高校信息化建设里无线网络常见的安全问题进行分析:
(1)非法用户侵入。开放性是无线网络设计的主要特点之一,但是在日常的实际安全管理中经常出现非法用户侵入的问题。非法用户侵入之后,对高校无线网络用户的用户信息甚至账号、账户信息都会构成威胁,很有可能导致教师或者学生的信息泄露。另外,由于在非法操作下会占用大量的无线网络资源,就可能导致高校现有的内部系统稳定性受到影响。
(2)数据泄露。在大数据时代,高校教学管理体系中各类的教学数据是不可或缺的重要资源。为此,在无线网络建设中需要规避利用无线网络漏洞盗取高校教学数据资源的问题,这项工作是高校信息化建设的重要环节。然而,全国各地众多的高校均发生过个人信息、教学资源、管理资源等外泄的事故,造成这种问题的主要原因一方面是数据结构不稳定,另一方面在于无线网络漏洞,不法分子利用网络漏洞将这些数据传送至系统之外,给高校带来了巨大损失。
(3)系统瘫痪。无线网络的在使用中会有一定的限额,一旦同时使用的用户过多,超过了能够承载的限额,高校无线网络可能会出现瘫痪的问题,而造成这种现象的原因主要是因为无线网络在建设中设备配置存在问题,通常是在无线网络建设时没有对区域内的网络运行及网络服务需求有全面的考量,再加上高校内无线网络使用的频率存在高峰期和低谷期,一旦在高峰期出现大量用户同时使用,就可能存在上述瘫痪的问题,并严重的影响我国高校信息化建设的效果。
(4)网络监听。很多不法分子利用无线网络开放性的特点,通过不法手段窃听重要信息内容后,对高校用户进行恶意敲诈和勒索。如此一来,对高校的声誉会造成不良的影响,同时对高校教师和学生的个人隐私信息的保护带来隐患,甚至影响到用户的安全问题。
(5)其他安全隐患。网络安全管理本身是一项对于高校信息化建设里具有积极意义的工作,结合高校的无线网络设计模式,可以发现其实很多高校存在安全性低的现象,有些无线接入点的设置就没有考虑安全问题,在网络认证形式上一样存在缺陷问题,只有具备MAC认证,才能达到信息普及的效果。目前,国内高校配置高级的802.1x认证协议的并不多见,因此,对于一般校园无线网络来讲,还需要一套更加完善的安全体系。
2 高校信息化建设中无线网络运维对策
通过对高校信息化建设过程中无线网络安全问题的分析,我们可以知道非法侵入、数据泄露、系统瘫痪、网络监听等是当前常见的无线网络安全问题,那么我们需要从这些问题的实际情况出发,寻求解决问题的相关运维对策,达到提升高校无线网络安全的目的。
(1)合理应用无线入侵检测技术。近些年来,无线网络技术对于入侵技术有一定的要求,要求无线网络的安全管理人员要能够掌握检测技术的种类,并通过对无线网络进行检测和分析,对非法侵入的类型进行判断。为了保障高校网络的安全和稳定,在日常加强监控和分析的工作之外,需要以无线入侵检测系统为基础,了解MAC地址概况,找到伪装的WAP无线上网用户,不断强化防御系统的管理。
在高校信息化无线网络建设中,要建立起完善的认证访问控制形式,通常高校无线网络用户分为两种一种是固定用户,另外一种是流动用户,结合实际的需求和用户分析,以安全界定为基础,采用802.1x认证方式对用户进行认证,针对现有认证管理的注意事项,需要做好协议分析工作。
(2)加强数据安全管理,制定信息化安全制度。为了保障高校信息化建设中老师和学生个人信息安全问题,避免个人用户信息外泄事故的发生,并保障高校教育教学数据资源的安全和稳定,必须在高校信息化建设中加强对数据安全的管理工作,大力推行信息化安全管理制度。在无线网络使用频率不断增加的背景下,数据传输的安全是必须要全力保障的,并要时刻关注数据传输动态,并配置相关的安全管理机制,全面阻挡数据流通外泄的问题。在进行数据安全管理的制度里,要实行责任机制,从制度上完善监管机制,加大监管力度,营造良好的无线网络安全的环境。
(3)做好系统运维,制定应急预案。高校信息化建设要以无线网络为中心制定相应的系统运维计划,要不断优化系统承载能力,定期分析用户使用需求和系统服务能力的关系,一旦发生系统瘫痪隐患,要快速拓展无线网络的系统服务能力,同时要避免同一区域内网络共频的问题,避免多种网络的相互干扰,造成系统稳定性降低的问题。在做好日常系统服务能力运维监控的同时,为了进一步降低无线网络系统服务瘫痪的风险,提升无线网络服务质量,结合各个高校的实际使用情况,要制定相应的应急措施,以前瞻性的措施对可能存在的潜在风险进行提前预防,保障高校无线网络系统的安全稳定运行。
(4)完善现有虚拟专用网络技术。虚拟专用网络技术指的是在开放性的公用网络上建立专用网络的模式,以加密系统和隧道的形式的应用安全为基础,保障无线网络使用的安全性。虚拟专用网络形式具有突然性的特点,能够有效保障网络的整体安全性。具体实施阶段需要在VPN建设完成后,提供计费以及用户认证的服务,以此来保障无线网络的安全性提升。
(5)提高网络安全管理技术水平。在无线网络建设和后续的安全管理中,提升安全管理人员的安全技术水平及安全意识是重点工作。不仅要求安全管理工作人员能够掌握安全管理的类型以及注意事项,还需要掌握足够的故障维修及突发事件处理的能力。对于无线网络的安全管理工作人员来说,安全意识和技术水平一样重要,要不断提升工作人员对无线网络安全问题的重视程度,明确责任人制度,切实保障高校信息化建设无线网络的安全运作。
(6)优化高校信息化建设无线网络安全管理制度。根据高校信息化建设无线网络安全管理的需求,要制定相应的规章制度,以制度来约束个人使用无线网络的行为。具体规章制度包含《无线网络升级管理制度》、《软件更新准则》、《网络数据资源管理办法》等,同时依托高校各个教育管理部门,定期组织相应的无线网络安全培训,提升高校广大师生的安全用网意识,并规范自身的用网行为,加强网络安全管理自主性,发挥师生无线网络安全管理主体能动性,削减无线网络安全管理阻力,为解决各类无线网络安全问题铺平道路。
3 结束语
综上所述,当前在高校信息化建设的过程中,对校园无线网络安全管理有更高的要求,结合实际要求可知,在无线网络安全管理中要明确注意事项及运维策略。可以说无线网络的问题频繁出现已经成为影响信息化高校建设的重要障碍。针对文中一系列的无线网络安全性问题,需要广大高校信息化工作者们加强数据安全管理,防侵入系统建设,信息化安全制度的优化,无线网络系统的优化等多种运维对策加以应对,提高无线网络安全稳定性,继而推动高校信息化建设健康发展。
参考文献
[1]陈亨坦。浅谈无线网络安全防范措施在高校网络中的应用[J]中国科技信息, 2008(17):90+94.
[2]杨川。高校无线网络安全问题及防范措施[J].计算机光盘软件与应用, 2014, 17(15):207+209.
[3]杨。基于大数据环境下的高校档案信息化建设分析[J].兰台内外, 2021(5):7-9.
随着社会经济和科学技术的深入发展,互联网已深入到社会生活的各个方面,我国进入网络经济时代。在企业为主体的市场经济中,网络营销更加适应于社会经济的发展,网络营销改变了传统的营销理念与营销方法,成为新世纪企业营销的主要方式。本文从企业网络营销创新改革的重要性入手,着重分析了我国企业网络营销存在的问题,并提出了相关策略,以促进我国企业网络营销创新改革发展。
关键词:
互联网;网络营销;改革创新
网络营销作为企业营销的新形式,通过互联网等媒体形式,对用户进行营销活动。网络营销是传统营销方式在当今网络时代的新发展,在社会主义市场经济中发挥着巨大作用。我国企业积极运用网络营销,探索企业网络营销的科学方法,改进传统企业营销方式,促进商品的销售。研究我国企业网络营销创新改革不仅有利于完善企业的营销方式,而且对企业经济利益的获得具有直接的现实意义。
一、我国企业网络营销创新改革的重要性
(一)科学技术发展的必然结果。随着科学技术的发展,互联网已深入到人们生活的各个领域。互联网在经济发展中的巨大作用受到社会各界的高度重视。在社会主义市场经济中,营销手段直接影响企业的发展与经济利益的获得。在互联网时代,网络营销成为新的营销方式,受到企业的高度重视。网络营销利用网络平台和先进的科学技术,改进了传统的营销模式,使企业营销变得方便快捷。网络营销是科学技术发展的必然结果。
(二)经济发展的要求。在我国社会主义市场经济体制下,企业作为市场经济的主体在经济发展中发挥着巨大作用。企业运营的目的是获得巨大经济利益。在市场经济下,企业营销方式和营销手段与企业经济利益的获得有着密切联系。随着经济的发展,网络技术在经济中的作用越来越明显,电子商务与网络营销使买卖双方的交易变得简单、方便。各企业积极重视网络在经济发展中的作用,运用先进的网络技术,改进企业运营管理方式,促进企业发展。网络营销是我国经济发展的要求。
二、我国企业网络营销存在的问题
(一)互联网基础设施薄弱。随着我国互联网通信技术的发展,互联网建设已取得巨大成就,尤其是通信网的发展为我国经济信息化提供了网络基础。但是,在经济快速发展的趋势下,互联网建设无法满足经济发展的需求,互联网基础设施薄弱严重阻碍了我国经济信息化的发展步伐。网络基础设施具体体现在网络带宽、ISP的入速率和网费这三方面。现阶段,网络带宽速度较低,网络运行不稳定及电信费用较高是网络基础设施的主要问题。互联网基础设施薄弱与高额的网络费用极大地限制了互联网用户的上网规模,阻碍了互联网市场的健康发展,为企业网络营销带来很多负面影响。
(二)观念错误。目前,我国一些企业缺乏对网络营销的充分认识,存在着观念上的错误。有些企业认为网络营销就是设立一个官方网站就可以进行营销了,缺乏科学合理的操作。这种做法导致企业盲目依赖网络,必然造成企业网络营销的失败。同时,还有一些企业对网络营销的前期工作十分认真,但是却缺乏对客户和市场的了解分析,在网络营销过程中,忽视市场资源和网络顾客,市场营销难以取得成效。此外,消费者的观念也会影响企业网络营销的发展。在传统的销售模式中,消费者能够近距离接触真实的商品,通过视觉和触觉等方式进行商品的筛选。而在网络营销的过程中,消费者无法接触真实的商品,只能通过观察商品的样式,依据其他消费者的消费评价来筛选自己所中意的商品。但是这种方式无法使消费者感受到企业的规模、服务态度等状况,增加了消费者选择商品的难度。另外,有些消费者认为,网络营销缺乏质量和安全保障。消费者对网络商品的质量不放心,在买到不合适的商品时,退、换货程序复杂。因此,一些消费者宁愿去商店买实体商品,也不会选择网上购物。
(三)缺乏专业人才。网络营销专业人才在企业网络营销运营过程中发挥着巨大作用。企业开展网络营销需要各类相关的高素质人才,尤其是具有新媒体技能和网络营销技能的人才。而现阶段,我国正缺乏知识与技能相结合的高素质、综合型专业人才。大部分企业只是选择人才来开展业务,缺乏培养人才的观念。同时,企业内部缺乏健全的激励机制,人才流失严重。专业人才的缺乏严重阻碍了企业网络营销的开展。
三、我国企业网络营销创新改革的策略
(一)政府方面。网络营销作为企业经济发展的新趋势,需要我国政府和企业的高度重视。由于网络营销在我国的发展历史较短,因此,我国政府应重视企业网络营销,为企业网络营销提供政策和财政支持,以促进企业网络营销的发展。1.应加强政府的宏观调控,对企业的网络营销进行规划和指导。网络营销作为新的营销方式具有强大的生命力和较高的发展速度,对我国经济发展具有重要意义。因此,政府要对国民经济中的网络营销进行宏观规划,发挥政府对企业经济的指导作用。政府通过规划和指导企业宏观经济,制定出企业网络营销的相关策略,提高企业网络营销的规范性,促进网络营销的健康发展。2.政府应做好网络营销的宣传工作,加强对企业网络营销的培养和示范推广。政府要大力宣传网络营销的作用,提高企业开展网络营销的积极性。同时,政府要积极普及网络营销的相关知识,使企业和消费者全面了解网络营销,消除消费者对网络营销的陌生和怀疑,加强消费者对网络营销的信任。政府在宣传网络营销的同时,要加强对企业网络营销的教育,确保企业网络营销的规范性和合法性,促进企业网络营销的健康发展。
(二)企业方面。在当今网络时代,网络营销作为企业新型营销手段,具有方便、快捷的特点,能够为企业带来巨大的经济效益。而网站是企业开展网络营销的重要基地,因此,企业应积极重视网站的建设。一是企业要在互联网上注册公司的域名,建立企业的官方网站。网站的建立是企业进行网络营销的开端,因为只有企业建立属于自己的网络,才能在网络上拥有本公司的落脚点,相当于企业的网络店面;二是企业网站是网络营销的重要组成部分,对企业网络营销的开展有着重要意义。因此,企业应重视网站的运行和维护,在市场调查的基础上,将网络营销的商品信息引入到企业网站中,及时更新商品的信息,定期开展优惠活动,提高商品的吸引力,从而促进企业网络营销的健康发展。
(三)网络安全建设。网络安全对企业网络营销产生重要影响,尤其是网络营销中的支付问题。在企业网络营销的过程中存在着买家信息和支付密码泄露的危险。在网络营销的过程中,由于网络黑客及网络病毒的传播,网络安全问题给企业网络营销带来严重威胁。为此,政府和企业应加强网络安全建设。政府应积极完善我国的网络建设,提高网络营销的安全性。同时,企业应重视网络营销中的安全问题,积极引进先进的网络技术人才对企业网络营销进行定期检查和网络维护,确保企业网络营销的安全性。
四、结语
网络营销作为当今网络时代新型营销模式,具有经济性、实效性、广泛性等特征,对企业经济的发展具有重要的促进作用。现阶段网络营销作为新的销售方式受到社会各界的普遍关注。我国企业网络营销创新改革既是科技发展的要求,也是我国经济发展的必要条件。但是由于我国企业网络营销发展时间较短,缺乏充足的实践经验,企业网络营销仍存在一系列问题亟待解决,因此要积极探索我国企业网络营销创新改革的科学方法,以促进我国企业网络营销的发展。完善企业网络营销策略不仅有利于企业经济利益的获得,而且对我国经济社会的发展具有重要意义。
参考文献:
[1]李细建.跨国企业的当地化营销策略及其启示———可口可乐的当地化营销探析[J].发展研究,2010,2
[2]刘向阳,廖新媛.处于不同发展阶段的企业网络营销模式分析[J].中国高新技术企业,2009,21
