前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全運營體系建設主題范文,僅供參考,歡迎閱讀并收藏。
(北京中油瑞飛信息技術有限責任公司北京100007)
摘要:通過對大中型跨國企業(yè)海外信息安全體系的研究,形成了一個完整的海外信息安全體系框架,包括安全策略、安全技術體系、安全管理體系、運行保障體系和建設實施規(guī)劃等。依照該框架,企業(yè)可以針對各部分進行具體實施,從而完成整個的海外信息安全建設。
關鍵詞 :大中型企業(yè);信息安全體系;框架;理論指導;安全模型
1海外信息安全體系建設原則
大中型企業(yè)海外信息安全體系的建設,涉及面廣、工作量大,整體設計必須堅持以下的原則,以保證建設和運營的效果。
1.1統(tǒng)一規(guī)劃管理
要對信息安全體系建設進行統(tǒng)一的規(guī)劃,制定信息安全體系框架,明確保障體系中所包含的內(nèi)容。同時,還要制定統(tǒng)一的信息安全建設標準和管理規(guī)范,使得信息安全體系建設遵循一致的標準、管理遵循一致的規(guī)范。
1.2分步有序?qū)嵤?/p>
信息安全體系建設的內(nèi)容龐雜,必須堅持分步有序的實施原則,循序漸進。
1.3技術管理并重
僅有全面的安全技術和機制是遠遠不夠的,安全管理也具有同樣的重要性。信息安全體系的建設,必須遵循安全技術和安全管理并重的原則,制定統(tǒng)一的安全建設管理規(guī)范,指導安全管理工作。
1.4突出安全保障
信息安全體系建設要突出安全保障的重要性,通過數(shù)據(jù)備份、冗余設計、應急響應、安全審計、災難恢復等安全保障機制,保障業(yè)務的持續(xù)性和數(shù)據(jù)的安全性。
2海外信息安全體系建設目標
大型跨國企業(yè)海外信息安全的建設目標是:基于安全基礎設施、以安全策略為指導,提供全面的安全服務內(nèi)容,覆蓋從物理、網(wǎng)絡、系統(tǒng)直至數(shù)據(jù)和應用平臺各個層面,以及保護、檢測、響應、恢復等各個環(huán)節(jié),構建全面、完整、高效的信息安全體系,從而提高企業(yè)信息系統(tǒng)的整體安全等級,為企業(yè)海外業(yè)務發(fā)展提供堅實的信息安全保障。
3海外信息安全體系框架
企業(yè)進行信息安全建設的目標是建立起一個全面、有效的信息安全體系,包括了安全技術、安全管理、人員組織、教育培訓、資金投入等關鍵因素,信息安全建設的內(nèi)容多,規(guī)模大,必須進行全面的統(tǒng)籌規(guī)劃,明確信息安全建設的工作內(nèi)容、技術標準、組織機構、管理規(guī)范、人員崗位配備、實施步驟、資金投入,才能夠保證信息安全建設有序可控地進行,使信息安全體系發(fā)揮最優(yōu)的保障效果。
同時還應該制定一系列的安全管理規(guī)范,指導信息安全建設和運營工作,使得信息安全建設能夠依據(jù)統(tǒng)一的標準開展,信息安全體系的運營和維護能夠遵循統(tǒng)一的規(guī)范進行。
3.1安全目標模型
根據(jù)大型跨國企業(yè)海外信息安全體系建設目標和總體安全策略,建立與之對應的目標模型,稱為WP2DRR安全模型。該模型由預警( Warning)、策略(Policy)、保護(Protectlon)、檢測(Detection)、響應(Response)、恢復(Recovery)6個要素環(huán)節(jié)構成了一個基于時間的、完整的、動態(tài)的信息安全體系。WP2DRR模型在P2DR模型的基礎上新增加了預警Warnlng和恢復Recover,增強了安全保障體系的事前預防和事后恢復能力,系統(tǒng)一旦發(fā)生安全事故,也能恢復系統(tǒng)功能和數(shù)據(jù),恢復系統(tǒng)的正常運行。
安全目標模型是信息安全體系框架的基礎,大型跨國企業(yè)的海外信息安全體系框架應該緊密圍繞安全模型的6個要素環(huán)節(jié)進行設計,每個要素環(huán)節(jié)的功能都在安全技術體系、安全組織和管理體系以及運行保障體系中體現(xiàn)出來。
3.2信息安全體系框架組成
通過對企業(yè)的網(wǎng)絡和應用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風險的分析,根據(jù)安全保障目標模型,制定了大型跨國企業(yè)海外信息安全體系框架。制定該框架的目的在于從宏觀上指導和管理信息安全體系的建設和運營。
該框架由一組相互關聯(lián)、相互作用、相互彌補、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中,以安全策略為指導,融會了安全技術、安全管理和運行保障3個層次的安全體系,以達到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標。大型跨國企業(yè)海外信息安全體系框架的總體結構如圖1所示。
3.2.1安全策略
在這個框架中,安全策略是指導,與安全技術體系、安全組織和管理體系以及運行保障體系這3大體系相互作用。一方面,3大體系是在安全策略的指導下構建的,主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術實現(xiàn)方法和管理、運行保障手段,全面實現(xiàn)安全策略中所制定的目標。另一方面,安全策略本身也有包括草案設計、評審、實施、培訓、部署、監(jiān)控、強化、重新評佶、修訂等步驟在內(nèi)的生命周期,需要采用一些技術方法和管理手段進行管理,保證安全策略的及時性和有效性。
按照要保障的資產(chǎn)對象的不同,總體策略劃分為物理安全、網(wǎng)絡安全、系統(tǒng)安全、病毒防治、身份認證、應用授權和訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份和災難恢復、應急響應、教育培訓等若干方面進行闡述。
隨著技術的發(fā)展以及系統(tǒng)的升級、調(diào)整,安全策略也應該進行重新評估和制定,隨時保持策略與安全目標的一致性。
3.2.2安全技術體系
安全技術體系是整個信息安全體系框架的基礎,包括了安全基礎設施平臺、安全應用系統(tǒng)平臺和安全綜合管理平臺這3個部分,以統(tǒng)一的信息安全基礎設施平臺為支撐,以統(tǒng)一的安全系統(tǒng)應用平臺為輔助,在統(tǒng)一的綜合安全管理平臺管理下的技術保障體系框架。
安全基礎設施平臺是以安全策略為指導,立足于現(xiàn)有的成熟安全技術和安全機制,從物理和通信安全防護、網(wǎng)絡安全防護、主機系統(tǒng)安全防護、應用安全防護等多個層次出發(fā),建立起的一個各個部分相互協(xié)同的完整的安全技術防護體系。
應用信息系統(tǒng)通過使用安全基礎設施平臺所提供的各類安全服務,提升自身的安全等級,以更加安全的方式,提供業(yè)務服務和內(nèi)部信息管理服務。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備,對這些安全機制和安全設備進行統(tǒng)一的管理和控制,負責管理和維護安全策略,配置管理相應的安全機制,確保這些安全技術與設施能夠按照設計的要求協(xié)同運作,可靠運行。它在傳統(tǒng)的信息系統(tǒng)應用體系與備類安全技術、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應用體系緊密的結合實現(xiàn)無縫連接,促成信息系統(tǒng)安全與信息系統(tǒng)應用的真正的一體化,使得傳統(tǒng)的信息系統(tǒng)應用體系逐步過渡向安全的信息系統(tǒng)應用體系。
統(tǒng)一的安全管理平臺有助于各種安全管理技術手段的相互補充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進行安全的監(jiān)控和管理,從而提高安全管理工作的效率,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術體系真正有效發(fā)揮保護作用的重要保障,安全管理體系的設計立足于總體安全策略,并與安全技術體系相互配合,增強技術防護體系的效率和效果,同時也彌補當前技術無法完全解決的安全缺陷。
技術和管理是相互結合的。一方面,安全防護技術措施需要安全管理措施來加強,另一方面技術也是對管理措施貫徹執(zhí)行的監(jiān)督手段。在大型跨國企業(yè)海外信息安全體系框架中,安全管理體系的設計充分參考和借鑒了國際信息安全管理標準《BS7799 (IS017799)》的建議。
大型跨國企業(yè)海外信息安全管理體系由若干信息安全管理類組成,每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應,這些安全控制是為了達成相應安全目標的管理工作和要求。
3.2.4運行保障體系
運行與保障體系由安全技術和安全管理緊密結合的內(nèi)容所組成,包括了系統(tǒng)可靠性設計、系統(tǒng)數(shù)據(jù)的備份計劃、安全事件的應急響應計劃、安全審計、災難恢復計劃等,運行和保障體系對于企業(yè)網(wǎng)絡和信息系統(tǒng)的可持續(xù)性運營提供了重要的保障手段。
3.2.5建設實施規(guī)劃
建設實施規(guī)劃是在安全管理體系、安全技術體系、運行保障體系設計的基礎上進一步制定的建設步驟和實施方案。在建設實施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。
任何信息安全建設都需要人員負責管理和實施,因此,首先應該建立信息安全工作監(jiān)管組織機構,明確各級管理機構的人員配備,職能和責任。其中信息安全管理機構負責信息安全策略的審核與頒布、統(tǒng)一技術標準和管理規(guī)范的制定、指導和監(jiān)督信息安全建設工作、對信息安全系統(tǒng)進行監(jiān)控與審計管理。
信息安全體系建設,應該首先從物理環(huán)境安全建設入手,確保機房建設按照的統(tǒng)一標準進行建設,并且按照統(tǒng)一的管理規(guī)范進行管理。
在接下來的網(wǎng)絡安全建設中,應對計算機網(wǎng)絡的安全域進行劃分,對網(wǎng)絡結構進行調(diào)整,以確保內(nèi)部網(wǎng)絡與外部網(wǎng)絡、業(yè)務網(wǎng)絡與辦公網(wǎng)絡邊界清晰;在各安全域的邊界處部署防火墻、網(wǎng)絡入侵檢測等安全產(chǎn)品,形成立體的區(qū)域邊界保護機制,對各安全域進行邏輯安全隔離,禁止未授權的網(wǎng)絡訪問;在內(nèi)部網(wǎng)絡中部署網(wǎng)絡脆弱性分析工具,定期對內(nèi)部網(wǎng)絡進行檢查,并采取措施及時彌補新發(fā)現(xiàn)的安全漏洞。
在進行網(wǎng)絡安全建設的同時,還可以進行系統(tǒng)安全建設,在內(nèi)部網(wǎng)絡中全面部署網(wǎng)絡病毒查殺系統(tǒng),有效抑制計算機病毒在內(nèi)部網(wǎng)絡中傳播,避免對系統(tǒng)和數(shù)據(jù)造成損害。另外,主機系統(tǒng)管理員還應該按照主機系統(tǒng)管理規(guī)范的要求,借助主機脆弱性分析和安全加固工具,定期對主機系統(tǒng)進行檢查,更新安全漏洞補丁的級別,修正不當?shù)南到y(tǒng)和服務配置,查看和分析系統(tǒng)審計日志,控制和保證主機系統(tǒng)的良好安全狀態(tài)。
應用安全建設包括建立身份認證系統(tǒng)、應用授權和訪問控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等,對專業(yè)業(yè)務應用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務。
按照統(tǒng)一標準,建立安全審計與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計劃、安全事件應急響應計劃、災難恢復計劃等安全保障機制,重在保護業(yè)務數(shù)據(jù)等信息資產(chǎn),保證內(nèi)外應用服務的持續(xù)可用性。
對所有員工進行基本安全教育,為信息安全系統(tǒng)相關技術人員提供專門的安全理論和安全技能培訓,提高全員的安全意識,打造一支高素質(zhì)的專業(yè)技術和管理隊伍。
4結論
海外信息安全體系是一個全方位的體系,從技術到管理、從網(wǎng)絡到設備再到人。任何一個方面都要考慮周全,只有每一個部分的安全才是整體的安全。
參考文獻
醫(yī)院網(wǎng)絡信息安全與醫(yī)療衛(wèi)生服務質(zhì)量、效率息息相關,因此做好網(wǎng)絡信息安全防護體系建設有助于確保醫(yī)療信息安全與信息服務平臺應用,對于進一步提升醫(yī)療服務質(zhì)量至關重要。文章分析了我國醫(yī)院網(wǎng)絡信息安全防護體系現(xiàn)狀,并對醫(yī)院網(wǎng)絡信息安全防護體系的設計與應用進行了探討,希望能為醫(yī)療信息服務改革與創(chuàng)新提供參考。
關鍵詞:
醫(yī)院;信息安全;防護體系;設計
0引言
醫(yī)院作為提供醫(yī)療衛(wèi)生服務的主體,本身的發(fā)展關鍵在于做好綜合管理,信息平臺作為進行醫(yī)療服務、醫(yī)學研究、教學、對外交流宣傳等工作的主要陣地,建設與服務情況直接關系到醫(yī)院工作質(zhì)量與效率,因此建立完善的信息安全防護體系不僅可有效保障信息平臺運作的有效性,同時也可及時消除信息服務過程中出現(xiàn)的各類故障與問題,確保醫(yī)院工作順利進行。
1我國醫(yī)院網(wǎng)絡信息安全防護體系現(xiàn)狀分析
(1)安全需求。
醫(yī)院信息網(wǎng)絡安全防護涉及計算機、通信安全、信息安全、密碼、信息論、數(shù)論等多種專業(yè)知識與技術,計算機信息系統(tǒng)平臺的防護要做好到不因偶然或者故意的外界因素影響系統(tǒng)運行,保障信息的安全,減少信息丟失、受損、更改、泄露等,確保信息提供服務醫(yī)療工作的延續(xù)性、長期性、可用性與高效性,提升系統(tǒng)運行安全性與可靠性。結合我國信息安全防護規(guī)范與醫(yī)院醫(yī)療信息工作防護需求來看,技術層面上醫(yī)院網(wǎng)絡信息安全主要分為三個層次,一是硬件設施安全,包括計算機、網(wǎng)絡交換機、機房、線路、電源等物理設備在內(nèi)的設備安全,二是數(shù)據(jù)或應用安全,即軟件安全,保證信息系統(tǒng)相關軟件、程序、數(shù)據(jù)庫等操作的訪問安全,三是網(wǎng)絡與系統(tǒng)安全,即包括網(wǎng)絡通信、信息交換、信息應用、信息備份、計算機系統(tǒng)等在內(nèi)的系統(tǒng)平臺免受系統(tǒng)入侵、攻擊等影響。
(2)安全防護現(xiàn)狀。
目前國內(nèi)經(jīng)濟發(fā)達地區(qū)的二級醫(yī)院與三級醫(yī)院基本上已經(jīng)建立起了HIS系統(tǒng)與局域網(wǎng),通過與因特網(wǎng)連接構建服務院內(nèi)醫(yī)療工作的信息平臺,信息網(wǎng)絡運行遵照內(nèi)外網(wǎng)物理隔離形式,因此相對而言運行風險減小,在安全防護方面投入比例相對較低,不過面對越來越進步的醫(yī)療需求,實現(xiàn)內(nèi)外網(wǎng)合一成為必然,有助于構建更為高效的醫(yī)療信息共享模式、預防傳染疾病、建立大范圍醫(yī)療服務體系等,但是內(nèi)外網(wǎng)合一將會面臨更多的安全風險與漏洞,因此加強安全防護體系建設迫在眉睫,是保證醫(yī)療信息安全與高效管理的必然舉措。醫(yī)院信息安全防護體系的建設面臨著來自安全管理、硬件軟件等多方面的風險,目前防護體系建設主要是通過升級硬件、軟件防護確保信息安全,通過加強人員管理與安全管理降低安全風險威脅,對于醫(yī)院醫(yī)療系統(tǒng)而言,隨著越來越多的信息化醫(yī)療設備、儀器、就醫(yī)人員等介入信息平臺,安全防護體系建設所面臨的風險與需求也將會越來越大,因此針對醫(yī)療信息安全需求做好防護體系的建設與推廣應用是目前進步發(fā)展的關鍵。
(3)信息安全建設問題。
當前醫(yī)院網(wǎng)絡信息安全問題已經(jīng)成為困擾信息系統(tǒng)平臺運行、應用的瓶頸,為了應對信息網(wǎng)絡時代頻繁的網(wǎng)絡攻擊與信息安全威脅,殺毒軟件、防火墻、入侵檢測技術、信息備份技術、數(shù)據(jù)庫安全技術等廣泛應用于醫(yī)院網(wǎng)絡信息安全建設。上述技術雖然在確保網(wǎng)絡信息安全方面發(fā)揮了一定作用,但是同時也存在不足之處,就目前來看,我國醫(yī)院網(wǎng)絡信息安全防護體系還存在不少問題。醫(yī)院網(wǎng)絡信息安全防護系統(tǒng)使用的硬件、軟件產(chǎn)品因不屬于同一企業(yè),在整合、規(guī)劃、管理中容易存在漏洞導致重復建設或者潛在安全風險等問題,影響信息系統(tǒng)安全。信息平臺的構造與使用專業(yè)性要求較高,并且設備、軟件需進行專業(yè)整合,院內(nèi)桌面終端的分散與多邊、醫(yī)護人員水平高低、使用情況等都直接增加了信息安全防護的難度。目前醫(yī)院網(wǎng)絡信息安全防護系統(tǒng)的建設與應用缺乏統(tǒng)一的技術標準與規(guī)范,不利于信息技術的整合和信息平臺潛力的挖掘,一定程度上增加安全防護系統(tǒng)構建與應用的難度。網(wǎng)絡信息技術的發(fā)展與安全防護本身處于此消彼長的態(tài)勢,在制定安全防護策略、構建防護體系時必須做好與時俱進,最大限度的在降低經(jīng)濟成本的同時提升技術應用效率與效益。
2醫(yī)院網(wǎng)絡信息安全防護體系的設計與應用
(1)硬件設施建設。
醫(yī)院安全防護系統(tǒng)硬件設施建設關鍵要做好核心服務器、交換機、應用計算機、網(wǎng)絡設備等建設,硬件建設優(yōu)劣直接決定信息服務效果與質(zhì)量,是確保醫(yī)院信息平臺順利運行的關鍵物質(zhì)基礎,因此為提升防護穩(wěn)定性與可靠性,加強硬件設施建設勢在必行。硬件設施建設要從設備型號、性能等入手,配合網(wǎng)絡布局規(guī)劃、服務需求制定最佳建設方案。以機房設計為例,作為安全防護信息系統(tǒng)的神經(jīng)中樞,醫(yī)院至少要建立兩個A級標準機房作為主機房與備用機房,并對監(jiān)控間、設備間、空調(diào)電源間做好設計,比如空調(diào)電源間要做好精密控溫、恒溫恒濕、備用UPS電源等建設,并留有充足的后續(xù)設備空間,另外要著重做好消防安全工作。監(jiān)控間要應用專業(yè)的設備環(huán)境監(jiān)控系統(tǒng)及時掌握主機房環(huán)境變化,以便在意外發(fā)生時做到準確應對。硬件配備方面為滿足醫(yī)院工作網(wǎng)絡信息安全防護需求,要配備優(yōu)質(zhì)的設備以保證數(shù)據(jù)訪問效率,利用HIS服務器、PACS服務器等為實現(xiàn)辦公自動化、電子病歷、信息安全管理提供強勁動力;應用混合光纖磁盤陣列、近線存儲等完成海量數(shù)據(jù)的存儲、交換與備份,并采用核心交換機、光纖寬帶等構件高性能網(wǎng)絡平臺,并在醫(yī)院內(nèi)部配備優(yōu)質(zhì)計算機服務終端。網(wǎng)絡布局方面,根據(jù)醫(yī)院性質(zhì)做好軍網(wǎng)、醫(yī)保專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)的聯(lián)合建設,內(nèi)網(wǎng)建設是關鍵部分,要著重加強安全防護建設,并留有網(wǎng)站備份與未來拓展空間,為醫(yī)院信息安全管理提供支持與保障。
(2)網(wǎng)絡系統(tǒng)安全建設。
醫(yī)院信息網(wǎng)絡系統(tǒng)安全威脅主要來自于外部攻擊入侵或者網(wǎng)絡本身缺陷所導致的運行失誤、效率下降、系統(tǒng)崩潰等問題,攻擊入侵包括木馬病毒攻擊、系統(tǒng)漏洞等,因此要著重做好網(wǎng)絡安全防護與系統(tǒng)安全防護。網(wǎng)絡安全防護要根據(jù)醫(yī)院網(wǎng)絡性質(zhì)做好內(nèi)外網(wǎng)融合與統(tǒng)一,保證專網(wǎng)、軍網(wǎng)等介入內(nèi)網(wǎng)時受到物理防火墻、網(wǎng)閘的有效保護,屏蔽內(nèi)網(wǎng)信息、運行情況及結構,有效預防、制止非法入侵及破壞行為,并且為了提升防護效果,要盡量配合網(wǎng)絡運行監(jiān)控系統(tǒng)以達到理想防護效果。系統(tǒng)安全防護需要建立完善的病毒防護體系,處理好系統(tǒng)終端計算機內(nèi)的病毒、木馬等,建立有效權限制度以達到保護信息、防護內(nèi)外入侵等行為,可通過采購企業(yè)版病毒防護軟件定期更新病毒庫達到自動殺毒維護安全效果;系統(tǒng)內(nèi)部防護安全與計算機個人網(wǎng)絡終端關系密切,因此要在院內(nèi)移動終端上增加桌面控制軟件以實施全面安全管理,通過系統(tǒng)補丁分發(fā)、端口訪問、安全準入等機制實現(xiàn)防護。
(3)數(shù)據(jù)應用安全。
數(shù)據(jù)應用安全關鍵要做好數(shù)據(jù)存儲、訪問、應用安全及信息系統(tǒng)軟件運行安全。數(shù)據(jù)存儲安全與系統(tǒng)環(huán)境、硬件設備、數(shù)據(jù)庫安全密切相關,因系統(tǒng)漏洞、硬件損毀、數(shù)據(jù)庫錯誤等造成數(shù)據(jù)毀壞要通過采取備份、恢復、數(shù)據(jù)容錯等舉措解決。為保證數(shù)據(jù)安全性與完整性,要建立數(shù)據(jù)庫本機與多機備份機制,尤其是核心數(shù)據(jù)庫要分別建立主、備用服務器,一旦其中之一發(fā)生意外立即采取補救措施實現(xiàn)自動切換,尤其是電子病歷要進行專業(yè)備份及歸檔,確保數(shù)據(jù)完整性與可用性。數(shù)據(jù)訪問安全問題主要以非法用戶訪問、非法篡改數(shù)據(jù)為主要表現(xiàn),要完善醫(yī)院內(nèi)部訪問權限與身份準入系統(tǒng),實現(xiàn)統(tǒng)一授權管理,以減少信息丟失、錯誤等情況。要對數(shù)據(jù)庫安全環(huán)境建設、應用軟件環(huán)境建設倍加關注,如lP±IE址的設置、數(shù)據(jù)庫配置、環(huán)境變量設置等,實現(xiàn)統(tǒng)一運行環(huán)境與地址綁定,降低安全運行風險。
(4)安全管理制度。
醫(yī)院內(nèi)部要做好信息安全管理制度的完善與執(zhí)行,根據(jù)國家政策、行業(yè)法規(guī)、院內(nèi)需求積極完善系統(tǒng)及數(shù)據(jù)應用,確保網(wǎng)絡信息安全防護系統(tǒng)始終維持良性運行狀態(tài),為醫(yī)院安全建設奠定基石。要加強網(wǎng)絡安全值班制度建設,配備專業(yè)人員監(jiān)督網(wǎng)絡系統(tǒng)運行,并配備專業(yè)監(jiān)控系統(tǒng)及時處理各類問題與意外,對于問題嚴重者要及時通報技術科室進行維修養(yǎng)護,確保醫(yī)院信息系統(tǒng)始終處于24小時監(jiān)控維護下。值班管理中,要做好系統(tǒng)運行情況記錄,并進行數(shù)據(jù)備份,確保值班日記連貫、完整,為安全管理提供幫助。院內(nèi)用戶管理是安全管理另一重點,權限管理中要嚴格管理員權限準入機制,做好院內(nèi)計算機終端設備的改造,做好院內(nèi)工作人員專業(yè)培訓,以便實現(xiàn)用戶合法、合規(guī)訪問系統(tǒng),減少系統(tǒng)運行與訪問風險,保證信息數(shù)據(jù)的安全性。
(5)應用實踐。
為了確保醫(yī)院網(wǎng)絡安全信息防護系統(tǒng)得到有效運行,在實際運營中要增加相應的運維管理系統(tǒng)與安全防護系統(tǒng)達到理想防護效果。比如在主機房設置機房動力與環(huán)境監(jiān)控系統(tǒng),對機房準入權限、電源供應、通風、控溫、消防等情況進行監(jiān)控,確保機房始終維持在理想的恒溫、恒濕現(xiàn)狀,電壓、電流、頻率滿足需求,并將變化做好數(shù)據(jù)記錄監(jiān)控,為機房高效管理提供保障;在醫(yī)院內(nèi)網(wǎng)設置專門的安全防護系統(tǒng),以規(guī)范約束院內(nèi)終端用戶操作與應用,避免非法訪問與數(shù)據(jù)篡改,該系統(tǒng)與院內(nèi)身份認證系統(tǒng)合作,通過靈活的安全策略實現(xiàn)對內(nèi)網(wǎng)用戶、終端計算機的安全管理,充分踐行事前預防、事中控制、事后審計的原則,實現(xiàn)安全行為管理;針對電子病歷管理,要建立專門的VERITAS存儲管理系統(tǒng)對病例數(shù)據(jù)進行存儲、備份與恢復,并根據(jù)備份策略做好病程文件的保護與恢復,以確保醫(yī)療工作的順利進行。
3結語
綜上所述,醫(yī)院網(wǎng)絡安全防護體系的建設與應用有助于降低醫(yī)院信息安全風險,提升信息系統(tǒng)可靠性、可用性與安全性,對于提升醫(yī)院醫(yī)療服務質(zhì)量與效果有積極意義,可有效減少院內(nèi)信息系統(tǒng)安全故障、降低安全運行風險,提升系統(tǒng)運行服務質(zhì)量,對于國內(nèi)醫(yī)療改革進步、創(chuàng)新有重要實用價值。
作者:朱凌峰 單位:湖南省衡陽市南華大學附屬第二醫(yī)院
參考文獻:
[1]胡祎.醫(yī)院信息網(wǎng)絡建設中的安全技術體系[J].網(wǎng)絡安全技術與應用,2013(10):59
關鍵詞:交通運輸;安全保障;解決方案
引言
電子政務信息安全問題 電子政務是一個基于現(xiàn)代信息技術的綜合性政務信息系統(tǒng),涉及政府機關、各團體、企業(yè)和社會公眾,其基本框架一般來說主要包括政府辦公政務網(wǎng)、辦公政務資源網(wǎng)、公眾信息網(wǎng)和辦公政務信息資源數(shù)據(jù)庫四個部分,即“三網(wǎng)一庫”。我國早在2002年7月《關于我國電子政務建設指導意見》中,明確“把電子政務建設作為今后一個時期我國信息化工作的重點,政府先行,帶動國民經(jīng)濟和社會發(fā)展信息化”,2006年進一步在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中明確“電子政務”作為我國信息化發(fā)展的重點戰(zhàn)略,實現(xiàn)政府“改善公共服務,加強社會管理,強化綜合監(jiān)管和完善宏觀調(diào)控”。
1.我國交通運輸電子政務平臺發(fā)展現(xiàn)
2004年2月,交通部在其制定的《中國交通電子政務建設總體方案》中,提出了“交通政務內(nèi)網(wǎng)、交通政務外網(wǎng)和電子信息資源庫”的交通電子政務建設總體架構,同年12月又出臺了《交通運輸電子政務網(wǎng)絡及業(yè)務應用系統(tǒng)建設技術指南(試行)》。在政策的指導下,我國交通電子政務平臺的發(fā)展速度加快,交通電子政務平臺的基礎架構已經(jīng)凸顯規(guī)模,部(交通運輸部)?。ǜ魇〉缆愤\輸管理部門)道路運輸管理信息系統(tǒng)建設,已實現(xiàn)了20多個?。▍^(qū)、市)運政系統(tǒng)與部聯(lián)網(wǎng),縱向業(yè)務系統(tǒng)互聯(lián)互通、資源共享、整合利用的模式已初步建立。與此同時,交通電子政務平臺的信息化標準規(guī)范體系也得到進一步完善。目前,網(wǎng)絡“開放性”與政務“安全性”、網(wǎng)絡“可訪問性”與政務“穩(wěn)定性”是我國交通電子政務實施過程的兩大矛盾。
1.1安全性與開放性的矛盾
即電子政務的安全要求與電子政務平臺的開放性要求成為交通電子政務實施過程中最難以平衡的一對矛盾。如何把握政務“安全”與網(wǎng)絡“開放”的平衡,一方面要把握住哪些信息是交通政府部門的機密,哪些是開放;另一方面,在電子政務平臺的建設過程中如何擺脫“安全絕對化”傾向,否則電子政務服務的公眾性就會失去落腳點,以政務信息化帶動社會信息化、企業(yè)信息化的戰(zhàn)略意圖也將難以實現(xiàn)。
1.2安全性與可訪問性的矛盾
電子政務的安全性要求與電子政務平臺的可訪問性要求成為交通電子政務實施過程中另一對矛盾。電子政務平臺應重視其信息安全問題,其另一層含義還應注意保持網(wǎng)絡安全性與可訪問性之間的平衡。交通電子政務平臺必須易于訪問,這樣才能激勵公眾去使用它。而在提供了更好的可訪問性的同時,也將交通運輸?shù)臄?shù)據(jù)暴露在不斷增長的病毒及未授權訪問的威脅之下,導致政務平臺的不安全性。
2.我國交通運輸電子信息安全保障體系的構建
當前我國交通電子政務實施過程的兩大矛盾的解決,依賴于安全、穩(wěn)定、可靠的交通運輸電子政務平臺信息安全保障體系。對于電子政務平臺實施過程中所面臨的信息安全保障問題,我國早在2003年9月頒發(fā)的《關于加強信息安全保障工作的意見》中明確提出了建立等級保護制度和風險管理體系的要求。2004年11月,公安部等國家四部委聯(lián)合推出信息安全等級保護要求、測評準則和實施指南,為政務領域進一步建立政務信息系統(tǒng)風險管理體系提供了技術基礎和指導。交通運輸部也于2008年12月頒布的《交通運輸電子政務網(wǎng)絡及業(yè)務應用系統(tǒng)建設技術指南》中對交通電子政務平臺的安全保障體系作了詳細的技術規(guī)范。
2.1信息安全保障體系及其基本要求。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個方面:
保密性。主要體現(xiàn)在誰能擁有信息,如何保證秘密和敏感信息僅為授權者享有。
完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實的信源發(fā)往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換。
可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時可為授權者提供服務而不被非授權者濫用。
可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權認證和監(jiān)控管理。
不可否認性。主要體現(xiàn)在信息行為人為信息行為承擔責任,保證信息行為人不能否認其信息行為。
2.2安全組織體系。政府高度重視交通運輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優(yōu)先位置,首先要求成立專門的信息安全領導小組。信息安全領導小組可由交通主管領導擔任領導小組組長主管信息安全工作,下設信息安全工作組,各管理部門負責人、業(yè)務部門負責人為成員。
2.3 安全技術體系。交通電子政務平臺的安全技術體系可搭建專業(yè)的安全管理運營中心,并從基礎設施安全和應用安全兩個方面去搭建安全技術支撐體系。
2.4安全運營體系。安全運營體系是一個完整的過程體系,在交通電子政務平臺的整個過程中,正常的運作流程,其信息流遵循自上而下的流程,即交通上級部門根據(jù)電子政務平臺信息安全需求的目標、規(guī)劃和控制要求做計劃,下級交通部門根據(jù)計劃進行執(zhí)行、檢查和改進。而若交通電子政務平臺其安全性出現(xiàn)威脅,影響正常的運作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據(jù)其安全事件進行分析、總結和改進。
2.5 安全策略體系。網(wǎng)絡安全策略是為了保護網(wǎng)絡不受來自網(wǎng)絡內(nèi)外的各種危害而采取的防范措施的總和,因此信息安全策略是信息安全保障體系建設和實施的指導和依據(jù),全面科學的安全策略體系應貫穿信息安全保障體系建設的始終。安全策略體系,主要包含安全政策體系、安全組織體系、安全技術體系和安全運行體系四個方面的要素,在采用各種安全技術控制措施的同時,必須制訂層次化的安全策略,完善安全管理組織機構和人員配備,提高安全管理人員的安全意識和技術水平,完善各種安全策略和安全機制,利用多種安全技術實施和網(wǎng)絡安全管理實現(xiàn)對網(wǎng)絡的多層保護。
2.6安全保障對象。交通電子政務平臺,其保障對象應該以由交通運輸政務內(nèi)網(wǎng)所承擔著的政務信息傳輸作為其重中之重,包括交通運輸系統(tǒng)內(nèi)部日常辦公業(yè)務和公文流轉(zhuǎn)系統(tǒng)、政務信息報送系統(tǒng)、部長辦公系統(tǒng)、內(nèi)部數(shù)據(jù)共享平臺,與全國政府系統(tǒng)業(yè)務網(wǎng)絡連接等。
關鍵詞:醫(yī)院 信息系統(tǒng) 醫(yī)療管理 網(wǎng)絡安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2016)11-0201-01
網(wǎng)絡資源是醫(yī)院業(yè)務運營的經(jīng)濟命脈,是醫(yī)院工作不可缺少的重要組成部分。醫(yī)院信息系統(tǒng)是指運用先進的信息化手段以及多媒體技術,對醫(yī)院的人流、物流、財務等進行綜合性管理,從而提高醫(yī)院運行的效率,將醫(yī)院的整體運作統(tǒng)籌為現(xiàn)代化管理系統(tǒng)。因此強化醫(yī)院信息系統(tǒng)的網(wǎng)絡安全,不僅能夠提高醫(yī)院的業(yè)務水平,還能有效的提高醫(yī)療隊伍的服務質(zhì)量。本文將立足于影響醫(yī)院信息網(wǎng)絡安全的因素,提出具有參考價值的建議。
1 醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理現(xiàn)存問題
1.1 殺毒軟件更新不及時
所謂信息系統(tǒng)網(wǎng)絡安全的第一道屏障,殺毒軟件在保護醫(yī)院信息安全方面發(fā)揮著重要的作用,因此對殺毒軟件及時更新,是保證醫(yī)院信息系統(tǒng)網(wǎng)絡安全的重要途徑。[1]然而在現(xiàn)實的工作中,由于相關工作技術人員對殺毒軟件的重要性的認識不足,因此在系統(tǒng)補丁更新以及殺毒軟件更新上疏于管理,在一定程度上影響了醫(yī)院信息系統(tǒng)網(wǎng)絡的安全性。同時,醫(yī)院的主機數(shù)量較多,因此維護難度也隨之增加,這就給醫(yī)院信息系統(tǒng)的網(wǎng)絡安全管理埋下了安全隱患。
1.2 網(wǎng)絡安全技術不完善
網(wǎng)絡安全技術是醫(yī)院信息系統(tǒng)安全的最大保障,但相比國外發(fā)達國家的信息系統(tǒng)網(wǎng)絡安全技術,我國的信息系統(tǒng)網(wǎng)絡安全技術起步較晚,發(fā)展也相對落后,針對這個情況,制定符合我國的網(wǎng)絡安全技術發(fā)展戰(zhàn)略才是解決醫(yī)院信息系統(tǒng)根本問題的途徑。但就目前情況而言,落后的網(wǎng)絡安全技術制約了我國醫(yī)院信息系統(tǒng)的發(fā)展,從而影響醫(yī)院系統(tǒng)的運作,給我國醫(yī)療體系帶來嚴重的影響。[2]
1.3 應急反映體系僵化
醫(yī)院網(wǎng)絡信息系統(tǒng)的應急反映是保證醫(yī)療工作正常運轉(zhuǎn)的重要環(huán)節(jié),但就目前的醫(yī)院網(wǎng)絡信息體系的發(fā)展情況而言,還不容樂觀,應急反映體系僵化主要是缺少經(jīng)驗導致的,缺少應急反應機制也是醫(yī)院應急反映體系僵化的主要原因,造成相關醫(yī)療人員的操作規(guī)范性得不到制度上的保證,給我國的醫(yī)療工作的運轉(zhuǎn)帶來不利的影響,建議定期做應急演練。
1.4 單位信息安全標準滯后
單位信息安全標準滯后會給醫(yī)療工作的開展帶來一定的安全隱患,比如在用人方面,沒有經(jīng)過專業(yè)培訓導致的醫(yī)院信息安全問題,由于醫(yī)院信息系統(tǒng)的操作人員的工作具有一定的特殊性,因此必須要經(jīng)過嚴格的網(wǎng)絡信息安全技術培訓才能上崗。但在日常的工作中,出現(xiàn)操作人員的由于缺乏專業(yè)素質(zhì)而導致應急反映落后,要求對相關的操作人員進行一定的審核與培訓,并定期開展相關醫(yī)院信息系統(tǒng)網(wǎng)絡安全方面的講座,全面提高從事醫(yī)療相關工作的人員對醫(yī)院信息系統(tǒng)網(wǎng)絡安全性的重視程度。
2 醫(yī)院信息系統(tǒng)網(wǎng)絡安全建設的有效措施
2.1 設施設備的安全管理
中心機房是醫(yī)院信息系統(tǒng)的核心,與醫(yī)院信息系統(tǒng)網(wǎng)絡的穩(wěn)定運行息息相關。因此加強機房的安全工作能從一定程度上保證醫(yī)院整體信息系統(tǒng)的流暢運行,因此對于機房的安全管理十分重要,需要派遣專門的管理人員進行直接負責,能夠有效的減少由于機房的管理不到位而產(chǎn)生的醫(yī)院信息系統(tǒng)的安全問題。制定建立一系列的規(guī)章制度并嚴格執(zhí)行,如出入機房登記制度,每日做服務器設備安全檢查并記錄,同時機房內(nèi)部還需要進行電子監(jiān)控,加強中心機房的抗風險建設,在電力上做到雙路供電,保證中心機房正常運行,還要注意防火,安裝專業(yè)級別的防火設備,還要安裝防雷系統(tǒng)等。此外,完善機房的管理系統(tǒng)也是完善醫(yī)院信息系統(tǒng)網(wǎng)絡安全的重要途徑,需要定期安排相關技術人員對機房進行維護,保證信息系統(tǒng)網(wǎng)絡的穩(wěn)定性。[3]
2.2 完善網(wǎng)絡安全技術
安裝網(wǎng)絡防毒軟件,對整個系統(tǒng)進行自動監(jiān)控,防止新病毒的出現(xiàn)和傳播,是保障網(wǎng)絡正常運行的有效方法。各工作站要安裝防病毒軟件,網(wǎng)絡中心要及時上網(wǎng)更新病毒庫,以防止病毒入侵,減少安全隱患。當然一些查殺病毒的軟件占用機器內(nèi)存較大,影響機器的運行速度,這也給網(wǎng)絡中心提出要求,以后對新機器的購置要給出更加合理的配置。此外做好醫(yī)院信息系統(tǒng)網(wǎng)站的維護工作也是面對網(wǎng)絡黑客的一種有效的方式,要求相關網(wǎng)站維護人員能夠?qū)θ缃窬W(wǎng)絡的發(fā)展水平有一定的認識,能夠?qū)蚀_的評估醫(yī)院信息系統(tǒng)的運行狀態(tài),從而有針對性的開展醫(yī)院信息系統(tǒng)網(wǎng)站的維護工作,減少由網(wǎng)絡黑客攻擊或者病毒造成的風險。此外增加一些桌面管理軟件也可以起到監(jiān)督及管理網(wǎng)絡終端機的作用。
2.3 訪問控制的相關措施
醫(yī)院信息系統(tǒng)實質(zhì)上是人與計算機共同協(xié)作的系統(tǒng),是由人指揮計算機完成工作的系統(tǒng),所以人為的因素是數(shù)據(jù)庫安全最主要最直接的因素之一。對操作計算機的人進行管理,就是對前臺最有效的管理。目前由于對內(nèi)部網(wǎng)絡安全的重視程度不夠,安全意識差,操作員對用戶名及口令的不重視, 使得黑客的口令破解程序更易奏效。針對以上情況我們要加強個人口令管理,尤其權限較高的人員更要重視密碼保護。同時也需要人事科、醫(yī)務科、護理部配合,對每一位操作員給予合適的權限。
3 結語
綜上所述,醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理中,存在著許多潛在的風險。因此針對醫(yī)院信息系統(tǒng)的網(wǎng)絡安全隱患,制定有效的策略,能夠有效的提高醫(yī)院信息系統(tǒng)網(wǎng)絡的安全等級。這需要從設施設備、網(wǎng)絡安全技術入手,促進醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理不斷完善。
參考文獻
[1]張蓮萍,陳琦.基于動態(tài)網(wǎng)絡安全模型的中國數(shù)字化醫(yī)院信息安全體系建設[J].中國科技論壇,2015,03:48-53.
1.網(wǎng)上交易的信用體系還沒有建立。在網(wǎng)絡交易中,信息傳遞、支付結算等都在虛擬的網(wǎng)絡世界中進行,交易雙方對對方的身份、信用等都不了解,雖然在支付過程中有第三方平臺,但有些網(wǎng)店的交易信譽、評價等都存在虛假交易或刷單等行為,消費者無法掌握對方的真實情況,給交易帶來風險。另外,由于我國整個社會信用體系還不完善,社會公眾對信用評價的重視程度還不高,這也影響了網(wǎng)上銀行的快速發(fā)展。
2.消費者觀念落后。一是使用還不廣泛。一方面體現(xiàn)在使用人群上,一些發(fā)達城市和城市中的年輕人是使用的主體。但是中小城市,網(wǎng)銀的普及率還很低,很多顧客還不愿接受網(wǎng)上交易。另一方面,在網(wǎng)銀使用項目上還比較單一,主要體現(xiàn)在網(wǎng)上購物、交費、信用卡支付等方面的交易,網(wǎng)銀的很多功能和項目沒有得到普及。
3.網(wǎng)上銀行發(fā)展的基礎服務還不到位。主要體現(xiàn)在:一是宣傳不到位。由于缺少全面的宣傳,很多人對網(wǎng)上交易還是心存疑慮。特別是近年來媒體上經(jīng)常披露的電信以及網(wǎng)絡詐騙等案例,更加深了消費者的恐懼心理。二是設備受限。因網(wǎng)上交易既需要網(wǎng)絡終端設備的普及,又需要對網(wǎng)絡技術的運用和掌握,這樣限制了很大一部分人群的使用。
4.運營模式有待轉(zhuǎn)變。目前,網(wǎng)上銀行基本都是采用傳統(tǒng)銀行加網(wǎng)上銀行的綜合模式。它利用傳統(tǒng)銀行的品牌影響力和號召力來提升網(wǎng)上銀行的形象,推出配套的產(chǎn)品。但由于受外在因素的影響,網(wǎng)上銀行更多的是提供一種服務,交易量和交易類型還很少,盈利能力還很弱,需要進一步研究網(wǎng)上銀行的交易項目、交易流程和經(jīng)營模式等。
二、加強網(wǎng)上銀行經(jīng)營管理的對策
1.完善市場準入制度。對消費者和商家都要有嚴格的準入審查,這是保證安全交易的基礎。要通過建立嚴格的審查程序,對準入單位和個人的身份信息、信用情況等進行詳細摸底調(diào)查,把好網(wǎng)上安全交易的入口關。同時,要定期進行客戶信用、資產(chǎn)等的跟進,防范各類風險。
2.完善相關法律法規(guī)。目前我國針對網(wǎng)上銀行交易也出臺了相關的法律措施來保證其安全性,但隨著網(wǎng)上銀行的發(fā)展,新的問題也將會隨之出現(xiàn)。要加強網(wǎng)上銀行的立法,在市場準入、網(wǎng)絡安全等方面進行規(guī)定;要積極借鑒國外先進的經(jīng)驗,在產(chǎn)品設計、交易流程、經(jīng)營管理等方面加強改革,不斷完善網(wǎng)上銀行法律法規(guī)體系,以保障消費者的合法權益。
3.加強網(wǎng)上銀行業(yè)務和安全交易的宣傳。銀行要加大網(wǎng)上交易安全知識的宣傳普及。一方面要加強基本網(wǎng)絡安全知識的宣傳,讓社會公眾不斷了解網(wǎng)絡,掌握網(wǎng)絡安全的知識和技能。另一方面,在網(wǎng)上銀行使用過程中,通過業(yè)務提醒、風險提示和使用說明等,全面告知消費者各類風險防范知識,打消消費者使用疑慮。
4.加強社會信用體系建設。一個健全的社會信用體系能夠有效減少金融風險,促進金融業(yè)規(guī)范發(fā)展。特別是網(wǎng)上銀行,消費者在網(wǎng)絡交易中只有確定了信用或安全的預期,才可能放心交易。當然,社會信用體系建設是一個復雜的工程,需要政府牽頭,相關職能部門共同協(xié)作,并能夠?qū)崿F(xiàn)信息共享。
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統(tǒng)現(xiàn)狀
2.1信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡中,各計算機在同一網(wǎng)段,通過交換機連接。
圖1
2)應用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機應用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡的進一步完善,計算機應用也由數(shù)據(jù)分散的應用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全,某公司實施了計算機網(wǎng)絡安全項目,基于當時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡安全,部署了防火墻、防病毒服務器等網(wǎng)絡安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡的安全性,這些產(chǎn)品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結論:
(1)經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡安全,系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網(wǎng)絡安全,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡內(nèi)部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡信息系統(tǒng)的。
針對外部網(wǎng)絡安全,人們提出了內(nèi)部網(wǎng)絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡訪問服務器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關的規(guī)章制度、技術規(guī)范,也沒有選用有關的安全服務。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢,存在一定的網(wǎng)絡安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上,這是信息化建設的內(nèi)在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡,也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定,使安全技術體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。
4.2系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風險原則
安全技術體系的建設涉及網(wǎng)絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng),配置了相應的設施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5設計思路及安全產(chǎn)品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡安全基礎設施
證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上。目前,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術,可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控,為網(wǎng)絡提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?;赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系,從而實現(xiàn)上述身份認證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。
7結論
本文以某公司為例,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡的安全管理。本方案從技術手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平。
關鍵詞:網(wǎng)絡設備 拓撲結構 網(wǎng)點
一、銀行系統(tǒng)中網(wǎng)點網(wǎng)絡的基本情況
在銀行系統(tǒng)網(wǎng)點的所有對外服務(柜員終端、ATM機、自助終端等)和業(yè)務、辦公使用的各類計算機設備,這些設備均是通過路由器、交換機等網(wǎng)絡設備連接想成了銀行網(wǎng)點的局域網(wǎng)絡。而這些局域網(wǎng)絡均通過租用電信運營商電路連接到分行中心機房。一般有電信、連通、移動鄧運營商,各分行根據(jù)當?shù)厍闆r選擇額運營商會有所不同,目前,網(wǎng)點基本上有主用和備用兩條線路,帶寬基本為2M或2M以上。
按照網(wǎng)點建設規(guī)范,網(wǎng)點內(nèi)部均采用綜合布線,一般應設計有杜麗麗的空間作為網(wǎng)點專用節(jié)點間,用于防止機柜、UPS及各類網(wǎng)絡設備。通常根據(jù)網(wǎng)點通信設備的數(shù)量設計放置一個或多個機柜。機柜上通常部署了光端機、路由器、交換機、路由交換一體機等網(wǎng)絡設備以及綜合布線模塊。
二、網(wǎng)絡設備的維護
在日常的網(wǎng)絡設備維護中,應重點關注一下內(nèi)容:
(一)網(wǎng)絡設備的供電:供電不穩(wěn)定(如電壓不穩(wěn)、接地不良、跳閘等)會對整個營業(yè)網(wǎng)點的網(wǎng)絡造成很大影響,所以網(wǎng)絡設備應用UPS 電源供電,并確保UPS電源正常工作。
(二)網(wǎng)絡設備的運行環(huán)境:網(wǎng)絡設備的使用環(huán)境溫度為15――30度,過高或者過低環(huán)境溫度均會對網(wǎng)絡設備的正常使用造成影響。網(wǎng)點專用節(jié)點間原則上應處于空調(diào)環(huán)境,若條件有限,應注意網(wǎng)點專用節(jié)點間的通風、散熱,保證設備在事宜的環(huán)境溫度下運行。
(三)設備指示燈:設備指示燈表明了設備的工作狀態(tài),應熟悉設備正常工作時顯示的指示燈,并依此來判斷設備是否損壞。
(四)線路中斷:在正常工作狀態(tài)下,網(wǎng)點線路突然中斷,應首先查看網(wǎng)點專用節(jié)點間設備的供電,若正常則查看網(wǎng)絡設備狀態(tài)是否正常;若均正常,則可能是電信運營商的線路有問題,此時應及時按照上報故障流程進行處理。對于有主備線路的網(wǎng)點,其中一條線路出現(xiàn)故障,也應按上述流程盡早排除故障,以防另外一條線路出現(xiàn)故障時導致網(wǎng)點不能正常營業(yè)。
三、網(wǎng)點網(wǎng)絡拓撲圖
電信運行商光纜到達網(wǎng)點后通過光纖接線盒,分出一對光纖鏈接到光端機;然后從光端機上接出一個RJ45以太網(wǎng)接口的線鏈接到路由器FAST以太口上;最后通過路由器的以太口連接到交換機上。通常營業(yè)網(wǎng)點的辦公PC、業(yè)務終端、自助終端、ATM機等都連接在交換機的以太口上。
下面列出的是各分行的支行或網(wǎng)點幾種主要的網(wǎng)點網(wǎng)絡拓撲圖:
圖一.電線路路由交換一體機
圖二. 雙線路路由交換一體機
四、內(nèi)外網(wǎng)的管理
隨著通信和網(wǎng)絡技術的發(fā)展,出現(xiàn)了使用各種設備的便捷上網(wǎng)方式,這些設備給用戶上網(wǎng)帶來了便利的同時,也對銀行系統(tǒng)的網(wǎng)絡安全造成了威脅。為防止外網(wǎng)病毒向內(nèi)網(wǎng)傳播,防止內(nèi)網(wǎng)數(shù)據(jù)的泄密,故必須統(tǒng)一使用互聯(lián)網(wǎng)出口,不得使用其他外網(wǎng)設備連接外網(wǎng)。對于業(yè)務用機指網(wǎng)點的網(wǎng)銀自助服務機和網(wǎng)點因生產(chǎn)業(yè)務需要訪問互聯(lián)網(wǎng)的PC機,業(yè)務用機統(tǒng)一通過集中Internet出口進行互聯(lián)網(wǎng)訪問。各單位不得自行向運營商申請外網(wǎng)和購置上網(wǎng)設備,辦公用機統(tǒng)一通過各分行集中Internet出口進行互聯(lián)網(wǎng)訪問。
五、結束語
總之,通過對銀行系統(tǒng)網(wǎng)絡設備的維護和管理,能夠防止網(wǎng)絡安全對銀行系統(tǒng)的威脅,防止外網(wǎng)病毒向內(nèi)網(wǎng)的傳播和內(nèi)網(wǎng)數(shù)據(jù)的泄密。
參考文獻:
1 花建國 ;淺析銀行網(wǎng)絡安全體系;硅谷;2008(9)
三年以上工作經(jīng)驗|男|26歲(1987年7月6日)
居住地:上海
電 話:139********(手機)
E-mail:
最近工作 [ 1年6個月]
公 司:XX網(wǎng)絡有限公司
行 業(yè):通信/電信/網(wǎng)絡設備
職 位:網(wǎng)絡信息安全工程師
最高學歷
學 歷:本科
?!I(yè): 信息安全
學 校: 北京工業(yè)大學
自我評價
本人畢業(yè)于信息安全專業(yè),有多年的網(wǎng)絡安全方面的從業(yè)經(jīng)驗,熟悉風險評估和計算機等級保護。有扎實計算機知識和應用能力,熟悉各項網(wǎng)絡安全技術,如防火墻、病毒防范、備份技術等。性格開朗、穩(wěn)重、有活力,待人熱情、真誠。工作認真負責,積極主動,能吃苦耐勞。喜歡思考,虛心與人交流,以取長補短。有較強的組織能力、實際動手能力和團體協(xié)作精神,能迅速的適應各種環(huán)境。
求職意向
到崗時間:一個月之內(nèi)
工作性質(zhì):全職
希望行業(yè):計算機服務(系統(tǒng)、數(shù)據(jù)服務、維修)
目標地點:北京
期望月薪:面議/月
目標職能: 系統(tǒng)工程師
工作經(jīng)驗
2012/8—至今:XX網(wǎng)絡有限公司[1年6個月]
所屬行業(yè): 通信/電信/網(wǎng)絡設備
技術部 網(wǎng)絡信息安全工程師
1、負責分析公司網(wǎng)絡的安全架構及應用開發(fā)需求;
2、負責根據(jù)網(wǎng)絡的安全管理需求進行測試計劃分析及測試方案設計;
3、負責對網(wǎng)絡管理系統(tǒng)進行功能測試及穩(wěn)定性測試;
4、負責對企業(yè)賬號管理系統(tǒng)進行安全性測試及可用性測試;
5、負責根據(jù)測試結果,對軟件開發(fā)及流程進行改進,以保證軟件的質(zhì)量。
2011/7—2012 /7:XX計算機服務公司[1年]
所屬行業(yè): 計算機服務(系統(tǒng)、數(shù)據(jù)服務、維修)
技術部 系統(tǒng)工程師
1、負責服務器的管理維護;
2、負責為公司內(nèi)部員工帳號的創(chuàng)建和管理;
3、負責創(chuàng)建備份策略,監(jiān)控備份進度,確保達到公司安全策略標準;
4、負責日常服務器運營報告的創(chuàng)建和更新;
5、負責定期為服務器進行安全性升級,確保安全策略符合公司及客戶要求。
2010/6—2011 /6:XX科研公司[1年]
所屬行業(yè):學術/科研
技術部 信息安全分析師
1、負責信息系統(tǒng)等級保護、信息安全管理體系建設等信息安全服務業(yè)務的市場推廣;
2、負責信息安全規(guī)劃及建設方案的設計與編寫工作;
3、負責專業(yè)技術人員的培養(yǎng)、培訓等技術團隊的建設和管理工作;
4、負責信息安全服務資質(zhì)的申請、審核、續(xù)評、維持等工作;
5、負責信息安全領域和涉及信息安全的其它領域科研課題申報與研究工作;
6、 負責協(xié)助市場部門進行信息安全服務和產(chǎn)品的宣傳策劃工作。
教育經(jīng)歷
2006 /9—2010 /6 北京工業(yè)大學 信息安全 本科
證 書
2007/12 大學英語六級
2007 /6 大學英語四級
根據(jù)國家發(fā)展改革委、財政部《關于加快推進國家電子政務外網(wǎng)建設工作的通知》(發(fā)改高技〔〕988號)、省政府辦公廳《關于加快推進電子政務外網(wǎng)建設工作的通知》(政辦〔〕233號)、省信息中心《關于做好電子政務外網(wǎng)建設工作的函》(信字〔〕9號)文件精神,結合《州年電子政務工作要點》,現(xiàn)就加快推進我州電子政務網(wǎng)絡建設通知如下:
一、充分認識加快電子政務網(wǎng)絡建設的重要性和緊迫性
電子政務網(wǎng)絡是電子政務穩(wěn)步推進和可持續(xù)發(fā)展的基石,是電子公文傳輸、電視電話會議、黨政協(xié)同OA等電子政務重點業(yè)務系統(tǒng)普及應用的支撐平臺,也是各級政府履行職能,打造效能政府、陽光政府、透明政府的有效手段。我州電子政務網(wǎng)絡按照統(tǒng)一規(guī)劃、分級負責的原則進行建設,經(jīng)過幾年的持續(xù)快速發(fā)展,電子政務內(nèi)、外網(wǎng)絡建設取得了顯著成效。電子政務內(nèi)網(wǎng)基本實現(xiàn)了“縱向到底、橫向到邊”的建設目標,電子政務外網(wǎng)已完成州電子政務技術中心至州級各主要職能部門的橫向城域網(wǎng)建設。根據(jù)國家電子政務發(fā)展規(guī)劃,電子政務內(nèi)、外網(wǎng)絡將成為自上而下、縱橫融合的兩大基礎網(wǎng)絡平臺,為避免重復投資、重復建設,充分利用好已建電子政務公共設施,國家發(fā)改委今后原則上不再批準建設新的部門專用業(yè)務網(wǎng)絡。各地區(qū)要充分認識加快電子政務網(wǎng)絡建設的重要性和緊迫性,認清形勢、把握機遇,緊緊抓住全州電子政務網(wǎng)絡建設整體推進、給予設備和技術支持的有利契機,加強組織領導,著力推進本地電子政務基礎網(wǎng)絡建設。
二、全州電子政務網(wǎng)絡建設的基本原則及標準要求
全州電子政務網(wǎng)絡建設要在州政府電子政務技術中心的規(guī)劃指導下,按照統(tǒng)一標準和規(guī)范有序推進。各地區(qū)在規(guī)劃建設本地區(qū)電子政務網(wǎng)絡時,要按照全州電子政務網(wǎng)絡建設標準(每棟入網(wǎng)行政辦公樓的每間辦公室要設置2個以上完全物理隔離的內(nèi)、外網(wǎng)信息節(jié)點),對本地區(qū)電子政務內(nèi)、外網(wǎng)絡進行同步規(guī)劃、同步建設。
1、縱向骨干電路建設。根據(jù)全州電子政務外網(wǎng)建設總體規(guī)劃,州至各地區(qū)縱向骨干電路由電信、移動兩家運營商共同承建,形成高效、安全的雙回路網(wǎng)。在月25日前完成電路建設、調(diào)通測試電路。
2、地區(qū)橫向網(wǎng)絡建設。各地區(qū)橫向城域網(wǎng)絡建設及本地區(qū)互聯(lián)網(wǎng)出口電路租賃等工作,由各地區(qū)政府與當?shù)仉娦?、移動、?lián)通等運營商自主洽談確定,可根據(jù)實際洽談情況,綜合當?shù)剡\營商合作意向、承建能力、線路品質(zhì)、技術力量、租賃費用及本地區(qū)電子政務長遠發(fā)展等因素合理選擇一家或多家運營商的互聯(lián)網(wǎng)資源作為本地區(qū)電子政務外網(wǎng)的互聯(lián)網(wǎng)出口電路(出口電路帶寬可根據(jù)本地區(qū)入網(wǎng)單位數(shù)量、上網(wǎng)速率要求等實際需要科學確定),按照“以租代建”(通過本地互聯(lián)網(wǎng)出口電路租費來帶動橫向網(wǎng)絡建設)的原則,由選定的運營商按照全州電子政務網(wǎng)絡建設標準于年底前完成本地區(qū)橫向城域網(wǎng)絡建設。
3、現(xiàn)場指導建設。州政府電子政務技術中心近期將會同省信息中心、電信公司、移動公司等相關單位,成立電子政務外網(wǎng)建設工作組赴各地區(qū)對縱向骨干測試電路、地區(qū)首批13家橫向電路進行現(xiàn)場指導建設,請各地區(qū)安排得力技術人員進行全程配合、學習。今后,地區(qū)橫向電子政務網(wǎng)絡由各地區(qū)政府按統(tǒng)一標準和規(guī)范自行規(guī)劃建設,州政府電子政務技術中給予必要的遠程協(xié)助和電話指導,原則上不再專門組織安排人員進行現(xiàn)場指導。
三、加強電子政務網(wǎng)絡安全體系建設的統(tǒng)一規(guī)劃和管理
各地區(qū)要根據(jù)全州電子政務網(wǎng)絡安全等級保護的有關規(guī)定,配合州政府電子政務技術中心同步規(guī)劃、建設本地區(qū)電子政務網(wǎng)絡安全防御體系,合理劃分安全域,采取相應的信息安全等級保護措施,實現(xiàn)州、縣級網(wǎng)絡中心與各級入網(wǎng)單位的分級、分域保護,實現(xiàn)不同網(wǎng)絡安全域之間的可信接入,保障各自業(yè)務系統(tǒng)的信息安全。按照統(tǒng)一規(guī)劃、統(tǒng)一管理的原則合理分配本地區(qū)IP地址資源,對接入電子政務網(wǎng)絡的所有計算機進行MAC地址、IP地址、交換機端口的有效綁定,以減少局域網(wǎng)內(nèi)IP地址沖突,防止ARP攻擊,提高網(wǎng)絡的安全性。加強網(wǎng)絡安全保障制度建設,落實信息安全保障責任,明確政務網(wǎng)絡安全主管領導和工作部門責任人,對入網(wǎng)計算機進行登記備案,定期檢測網(wǎng)絡運行狀況,及時排解安全隱患,確保全州電子政務網(wǎng)絡安全穩(wěn)定運行。
四、落實項目配套資金確保電子政務網(wǎng)絡建設順利進行
電子政務建設所需財政性資金采取分級負擔的方式予以解決,各地區(qū)要統(tǒng)籌財力,加大對電子政務網(wǎng)絡建設和運行維護的資金投入力度,根據(jù)項目建設要求,抓緊落實地區(qū)配套資金,確保必要的項目建設經(jīng)費,推動地區(qū)電子政務健康持續(xù)發(fā)展。
1、州級專項經(jīng)費。州至各地區(qū)電子政務外網(wǎng)縱向骨干電路租賃費用由州級財政統(tǒng)一安排解決;各地區(qū)電子政務外網(wǎng)建設所需核心路由器、核心交換、網(wǎng)管交換、網(wǎng)管計算機、網(wǎng)絡機柜、首批13家部門接入路由器等設備由州政府統(tǒng)一配送;各地區(qū)首批13家接入單位橫向網(wǎng)絡電路、辦公局域網(wǎng)綜合布線由州政府按照“以租代建”原則(通過州至各地區(qū)縱向電路專用租費帶動項目建設),協(xié)調(diào)電信或移動公司按照統(tǒng)一標準和要求建設;州政府電子政務技術中心對各地區(qū)網(wǎng)絡規(guī)劃設計、建設實施給予必要的技術支持和業(yè)務指導,對重視程度高、配套資金落實好、規(guī)劃建設進度快的地區(qū)在后期橫向網(wǎng)絡建設時給予一定數(shù)量的部門接入路由器、交換機等設備支持。
2、地區(qū)配套資金。各地區(qū)電子政務外網(wǎng)橫向網(wǎng)絡(不含首批13家接入單位)建設、本地互聯(lián)網(wǎng)出口電路租賃等費用由各地區(qū)政府統(tǒng)籌安排解決;地區(qū)電子政務橫向內(nèi)網(wǎng)節(jié)點租費由各地區(qū)政府與當?shù)仉娦殴厩⒄劥_定,通過降低每個節(jié)點租費或參照州本級財政供養(yǎng)單位整體打包租賃等方式有效降低電子政務內(nèi)網(wǎng)年租費。整體打包方式即將本地區(qū)所屬財政供養(yǎng)單位(含事業(yè)單位、二級局)作為一個整體,進行商談確定電子政務內(nèi)網(wǎng)年租費,合同期內(nèi)租費不因機構改革、辦公樓搬遷等新增節(jié)點而增加。