前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)急預(yù)案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:醫(yī)院信息網(wǎng)絡(luò)系統(tǒng);安全管理;設(shè)計(jì);應(yīng)用
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2017)05-0041-02
無(wú)論是醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、運(yùn)行、還是更新與完善,均需要做好安全管理,否則將使得系統(tǒng)可能面臨巨大的安全隱患,甚至造成系統(tǒng)“崩潰”等情況,進(jìn)而嚴(yán)重影響整個(gè)醫(yī)院正常醫(yī)療及管理工作的有序開展。因此需要醫(yī)院盡快為信息網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)出一套科學(xué)、完善的安全管理體系,用于維護(hù)該系統(tǒng)的安全使其得以正常平穩(wěn)運(yùn)行。本文將通過(guò)從制度、技術(shù)等方面出發(fā),嘗試為落實(shí)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全管理提供相關(guān)參考建議。
1 醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全管理的關(guān)鍵內(nèi)容
1.1 建設(shè)安全管理制度
在醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)的當(dāng)中涉及眾多數(shù)據(jù)、資料,其不僅與醫(yī)院日常醫(yī)療工作和管理工作有著十分緊密的關(guān)聯(lián),同時(shí)還與患者的生命安全息息相關(guān),因此醫(yī)院有義務(wù)、有責(zé)任確保信息網(wǎng)絡(luò)系統(tǒng)的安全性、可靠性[1]。為此,醫(yī)院需要結(jié)合自身實(shí)際情況制定出科學(xué)合理的安全管理制度,并對(duì)醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的運(yùn)行、維護(hù)管理等進(jìn)行統(tǒng)一明確的規(guī)范,同時(shí)還需要制定出條例明細(xì)的獎(jiǎng)懲規(guī)定,對(duì)違規(guī)操作醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的行為及相關(guān)人員予以相應(yīng)的懲處并依法追究其法律責(zé)任。
1.2 明確工作人員職責(zé)
醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)主要由管理信息系統(tǒng)和臨床醫(yī)療信息系統(tǒng)構(gòu)成,并具體分為臨床診療、藥品管理、經(jīng)費(fèi)管理、綜合管理和統(tǒng)計(jì)分析五部分。醫(yī)院需要分別對(duì)各類相關(guān)工作人員的職責(zé)進(jìn)行明確,同時(shí)積極組織工作人員參加計(jì)算機(jī)網(wǎng)絡(luò)安全方面的培訓(xùn)教育,掌握基本的安全管理技能并樹立起較高的安全管理意識(shí),從而為做好醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全管理奠定堅(jiān)實(shí)良好的基礎(chǔ)。比如說(shuō)對(duì)于醫(yī)院收費(fèi)管理人員,要求其按照相關(guān)標(biāo)準(zhǔn)要求統(tǒng)一使用網(wǎng)絡(luò)信息系統(tǒng)完成病人掛號(hào)、醫(yī)藥費(fèi)繳納以及出入院手續(xù)辦理、盤查清點(diǎn)醫(yī)院資產(chǎn)等各項(xiàng)工作;而醫(yī)院綜合管理人員也同樣需要按照自身工作需要,嚴(yán)格按照系統(tǒng)的規(guī)范使用標(biāo)準(zhǔn)要求,統(tǒng)一采用網(wǎng)絡(luò)信息管理系統(tǒng)負(fù)責(zé)做好病人電子病歷、醫(yī)療檔案的建立與妥善保管工作,從而為日后醫(yī)護(hù)人員或是患者分析、檢測(cè)治療方案與全過(guò)程提供完善、真實(shí)的參考依據(jù)。
1.3 管理服務(wù)器日志
在醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)當(dāng)中,最為核心和關(guān)鍵的便是網(wǎng)絡(luò)服務(wù)器,一旦網(wǎng)絡(luò)服務(wù)器出現(xiàn)故障或是無(wú)法正常運(yùn)行,將極有可能導(dǎo)致醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)出現(xiàn)“癱瘓”,影響醫(yī)院各項(xiàng)工作的順利開展進(jìn)行,甚至嚴(yán)重時(shí)會(huì)為患者造成身體與經(jīng)濟(jì)上的雙重?fù)p害[2]。因此,醫(yī)院需要對(duì)服務(wù)器日志管理給予高度的重視,每日對(duì)服務(wù)器中的各項(xiàng)操作進(jìn)行仔細(xì)檢查和認(rèn)真記錄,尤其是需要在信息網(wǎng)絡(luò)系統(tǒng)中做好檢查機(jī)房設(shè)備、維護(hù)數(shù)據(jù)庫(kù)、服務(wù)器運(yùn)行或是啟動(dòng)、暫停等相關(guān)方面的信息記錄工作。
1.4 維護(hù)系統(tǒng)安全
在維護(hù)醫(yī)院網(wǎng)絡(luò)信息管理系統(tǒng)安全的過(guò)程當(dāng)中,做好相關(guān)設(shè)施以及軟件的準(zhǔn)備工作顯得尤為重要,醫(yī)院除了需要定期對(duì)包括計(jì)算機(jī)、打印C等各相關(guān)硬件設(shè)備進(jìn)行維修檢查或是更新?lián)Q代之外,還需要通過(guò)為操作系統(tǒng)設(shè)置密碼并進(jìn)行不定期更換的方式以有效保護(hù)系統(tǒng)的安全性,在此過(guò)程中統(tǒng)一由專人負(fù)責(zé)修改、更換各子系統(tǒng)的程序,確保系統(tǒng)程序具有較好的完整、一致性。
1.5 用戶管理
用戶管理同樣也是醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全管理中的一項(xiàng)關(guān)鍵內(nèi)容,為此,醫(yī)院可以采用通過(guò)為系統(tǒng)設(shè)置賬號(hào)、密碼和權(quán)限的方式,要求所有用戶實(shí)名,而依據(jù)使用醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)用戶的實(shí)際職能與決策,系統(tǒng)將自動(dòng)為用戶分配賬號(hào)并進(jìn)行訪問(wèn)等級(jí)劃分,用以有效防止其他外部人員對(duì)系統(tǒng)的非法入侵,進(jìn)而大大提升系統(tǒng)的安全性。
2 醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全管理的設(shè)計(jì)與應(yīng)用
2.1 內(nèi)部網(wǎng)絡(luò)安全系統(tǒng)
為做好信息網(wǎng)絡(luò)系統(tǒng)安全管理,醫(yī)院可以使用具有軟件和硬件一體化特點(diǎn)的功能中央控制器的方式,在B/S結(jié)構(gòu)基礎(chǔ)之上設(shè)計(jì)信息網(wǎng)絡(luò)系統(tǒng)。通過(guò)將一臺(tái)中央控制器部署在網(wǎng)絡(luò)中心當(dāng)中,并將相應(yīng)客戶端程序安裝在醫(yī)院內(nèi)部網(wǎng)絡(luò)中負(fù)責(zé)安全管理的各計(jì)算機(jī)當(dāng)中,此過(guò)程可以利用瀏覽器使得中央控制器與各客戶機(jī)相連的方式完成下載和安裝客戶端程序[3]。中央控制器系統(tǒng)支持在線升級(jí)服務(wù),在其完成升級(jí)之后可以根據(jù)自身的最新配置情況統(tǒng)一對(duì)客戶端程序進(jìn)行升級(jí)。在醫(yī)院內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)當(dāng)中又被細(xì)分為IP地址、客戶端、網(wǎng)絡(luò)拓?fù)洹⒎?wù)監(jiān)督與端口以及系統(tǒng)管理五個(gè)子系統(tǒng)。其中IP地址管理子系統(tǒng)主要是通過(guò)掃描、對(duì)比網(wǎng)絡(luò)中計(jì)算機(jī)的IP地址與信息,用于控制節(jié)點(diǎn)接入以及驗(yàn)證工作,將其與網(wǎng)絡(luò)相隔離。網(wǎng)絡(luò)拓?fù)涔芾韯t通過(guò)掃描網(wǎng)絡(luò)設(shè)備的狀態(tài)、性能以及拓?fù)浣Y(jié)構(gòu)信息等,將其上傳至數(shù)據(jù)庫(kù)當(dāng)中進(jìn)行及時(shí)保存處理,且可以完成遠(yuǎn)程修改和查看網(wǎng)絡(luò)設(shè)備參數(shù)。而服務(wù)器監(jiān)視與端口掃描子系統(tǒng)則通過(guò)監(jiān)視和掃描計(jì)算機(jī)端口、服務(wù)器及其運(yùn)行情況,從而及時(shí)發(fā)現(xiàn)問(wèn)題并進(jìn)行報(bào)警處理。在客戶端管理當(dāng)中則通過(guò)管理資產(chǎn)信息功能、監(jiān)控客戶端和非法外聯(lián)的功能完成及時(shí)搜集和管理控制各客戶機(jī)信息的任務(wù);系統(tǒng)管理子系統(tǒng)則能夠完成對(duì)包括監(jiān)控系統(tǒng)在內(nèi)的整個(gè)系統(tǒng)的安全管理。
2.2 服務(wù)器數(shù)據(jù)的備份
某醫(yī)院通過(guò)分別選用DELL與HPLH數(shù)據(jù)庫(kù)服務(wù)器作為主用以及備用,使用Windows最新的服務(wù)系統(tǒng)作為操作系統(tǒng),并在數(shù)據(jù)庫(kù)服務(wù)器端安裝Veritas模塊,并選用同系列的備份軟件,以有效提升醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的可靠性。其中,一份日志文件被存放在服務(wù)器磁盤列陣上,而另外一份備份文件則存放在服務(wù)器獨(dú)立的SCSI硬盤當(dāng)中,一旦服務(wù)器出現(xiàn)意外無(wú)法正常運(yùn)行時(shí)只需要啟動(dòng)異地備份待用服務(wù)器即可,從而使得數(shù)據(jù)庫(kù)可以全天候不間斷使用,并有效避免因意外使得數(shù)據(jù)丟失的情況發(fā)生。
2.3 按時(shí)進(jìn)行離線備份
考慮到信息系統(tǒng)網(wǎng)絡(luò)始終與異地備份備用服務(wù)器相連接,這也意味著在備用服務(wù)器當(dāng)中備份的數(shù)據(jù)極有可能受到黑客、惡意程序以及病毒的攻擊,因此為確保服務(wù)器中備份數(shù)據(jù)的安全性,醫(yī)院可以通過(guò)使用專業(yè)的備份軟件,每一周對(duì)醫(yī)院當(dāng)中各項(xiàng)重要內(nèi)容譬如說(shuō)操作系統(tǒng)、數(shù)據(jù)庫(kù)等等進(jìn)行全部備份,每一天都在已備份的基礎(chǔ)上進(jìn)行增量備份,并注意將備份的磁帶放置其他地方以備不時(shí)之需。
2.4 構(gòu)建病毒防御體系
醫(yī)院需要為醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)安裝正規(guī)、專業(yè)的病毒查殺軟件或者防火墻,避免醫(yī)院網(wǎng)絡(luò)信息管理系統(tǒng)受到惡意軟件以及木馬病毒的攻擊而導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行[4]。醫(yī)院在每次啟動(dòng)使用系統(tǒng)前都需要對(duì)其進(jìn)行殺毒和病毒掃描處理,與此同時(shí),定期更新殺毒軟件并清理系統(tǒng)內(nèi)存和殘余垃圾,取消所有內(nèi)網(wǎng)應(yīng)用終端機(jī)中的外設(shè)接口,以有效維護(hù)網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性與安全性。
3 結(jié)束語(yǔ)
總而言之,醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的出現(xiàn)大大優(yōu)化了醫(yī)院的管理工作,對(duì)醫(yī)院提升管理質(zhì)量與效率有著極為重要的幫助作用。因此做好其安全管理十分重要,但考慮到醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)面臨的安全問(wèn)題除了來(lái)自于黑客、木馬病毒等外部的攻擊,同時(shí)系統(tǒng)自身也存在一定缺陷,因此在設(shè)計(jì)和應(yīng)用醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全管理體系時(shí)應(yīng)當(dāng)從內(nèi)部和外部?jī)煞矫嫒胧郑嬲龅骄C合管理,以消除影響系統(tǒng)安全的各種因素提升系統(tǒng)整體的安全性。
參考文獻(xiàn):
[1] 黃正東,王光華,肖飛,等. 醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全管理的設(shè)計(jì)與應(yīng)用[J]. 醫(yī)療設(shè)備信息, 2014(2).
[2] 郭雪清,王光華,黃正東. 醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)運(yùn)行中的安全管理[J]. 醫(yī)療設(shè)備信息, 2015(4).
措施
信息化應(yīng)急預(yù)案齊備,應(yīng)急演練全面落實(shí)。5月31日之前,市局和各分局共制定奧運(yùn)信息安全總體預(yù)案20個(gè),機(jī)房、網(wǎng)絡(luò)、網(wǎng)站、重要應(yīng)用系統(tǒng)等專項(xiàng)預(yù)案78個(gè)。奧運(yùn)會(huì)之前,市局及各區(qū)縣分局都組織了信息安全應(yīng)急演練,提升了全系統(tǒng)處置突發(fā)事件的能力。
嚴(yán)防死守,24小時(shí)值班。自7月20日起,市區(qū)兩級(jí)信息化部門進(jìn)入奧運(yùn)實(shí)戰(zhàn)狀態(tài),每日投入24小時(shí)值守人員超過(guò)40人。截至9月20日,累計(jì)值守超過(guò)2300人日,形成了一支7×24小時(shí)在崗值守的應(yīng)急隊(duì)伍,快速處理網(wǎng)絡(luò)事故4次,突發(fā)事件3次。
加強(qiáng)巡檢,保證設(shè)備設(shè)施運(yùn)行狀態(tài)良好。7月20日至9月20日,各級(jí)信息化部門完成機(jī)房巡檢1900余次,完成重要設(shè)備設(shè)施巡檢140余次,維修維護(hù)服務(wù)器設(shè)備21臺(tái)次,維修維護(hù)PC機(jī)及打印機(jī)1973臺(tái)次。
加大信息安全投入,信息安全整體水平全面提高。據(jù)不完全統(tǒng)計(jì),今年以來(lái),全系統(tǒng)在信息安全專項(xiàng)建設(shè)方面投入超過(guò)210萬(wàn)元,其中市局投入近120萬(wàn)元,全面加強(qiáng)了中心機(jī)房、IDC托管機(jī)房、核心網(wǎng)絡(luò)、“北京工商”網(wǎng)站、防病毒和客戶端設(shè)備安全防范水平。
經(jīng)驗(yàn)
奧運(yùn)期間信息安全保障的成功經(jīng)驗(yàn),主要體現(xiàn)在以下三個(gè)方面:
(一)立足全面,核心是健全和落實(shí)各項(xiàng)制度。雖然,這幾年,在口令管理、數(shù)據(jù)管理、設(shè)備管理、網(wǎng)站安全等各方面先后制定了相應(yīng)的制度。但是08北京奧運(yùn)會(huì)給今年的信息安全保障工作提出了更高的要求,針對(duì)這一特殊情況,市局及時(shí)采取相應(yīng)措施,健全和完善各項(xiàng)信息安全管理制度。一是下發(fā)了《北京市工商局關(guān)于加強(qiáng)信息安全保密工作的通知》,結(jié)合各分局實(shí)際情況進(jìn)一步細(xì)化了相關(guān)制度要求。二是制定市局及各分局的奧運(yùn)信息安全總體預(yù)案和專項(xiàng)預(yù)案。三是實(shí)行奧運(yùn)期間24小時(shí)值守制度。
(二)突出重點(diǎn),根本上控制風(fēng)險(xiǎn)。在信息風(fēng)險(xiǎn)控制上,提出了“重點(diǎn)先行,控制風(fēng)險(xiǎn)”的信息安全保障原則,將機(jī)房、網(wǎng)絡(luò)、網(wǎng)站、重要應(yīng)用系統(tǒng)(登記注冊(cè)、食品安全、食品追溯、企業(yè)信用)列入重點(diǎn)保障范圍,對(duì)市局中心機(jī)房和IDC托管機(jī)房進(jìn)行了專項(xiàng)改造,提高其環(huán)境運(yùn)行水平和網(wǎng)絡(luò)保障能力。加強(qiáng)網(wǎng)絡(luò)的安全監(jiān)管。完成重要業(yè)務(wù)系統(tǒng)的安全定級(jí)、風(fēng)險(xiǎn)評(píng)估和整改加固?!捌吖芷湎隆奔訌?qiáng)“北京工商”網(wǎng)站和“首都食品安全”網(wǎng)站的安全防護(hù)能力。在奧運(yùn)前“北京工商”網(wǎng)站全面改版,網(wǎng)站安全具備堅(jiān)實(shí)的底層環(huán)境。整合分局二級(jí)站點(diǎn),納入市局整體監(jiān)控。部署多項(xiàng)主動(dòng)安全防護(hù)產(chǎn)品。首次使用網(wǎng)頁(yè)防篡改產(chǎn)品。后臺(tái)登錄集成CA電子證書認(rèn)證。我們?cè)诤笈_(tái)集成了CA電子證書(USB Key)登錄驗(yàn)證技術(shù),給每個(gè)內(nèi)容維護(hù)人員都配發(fā)一個(gè)硬件KEY,通過(guò)CA電子證書的硬件唯一性以及不可抵賴性,提高了信息安全,即使出現(xiàn)問(wèn)題,也能夠準(zhǔn)確定位信息者。主動(dòng)掃描網(wǎng)站漏洞并進(jìn)行修補(bǔ)。在奧運(yùn)期間,中心實(shí)行7x24小時(shí)值守制度,檢查外網(wǎng)是否正常運(yùn)行是值守的重要內(nèi)容。同時(shí)還聘請(qǐng)第三方公司,由三名專人分三班,人工監(jiān)控網(wǎng)站,每30分鐘訪問(wèn)一次首頁(yè)面和三十多個(gè)二級(jí)頁(yè)面(包括整合后的分局頁(yè)面)。如果發(fā)現(xiàn)無(wú)法訪問(wèn)或延遲訪問(wèn)或頁(yè)面信息異常增減的情況,將立刻通過(guò)電話、短信和郵件的方式通知中心。
(三)注重細(xì)節(jié),關(guān)鍵是嚴(yán)格程序,不留死角。信息安全工作是不允許有一絲馬虎的。提高巡檢頻率,保證信息化設(shè)備始終處于良好的工作狀態(tài)。加強(qiáng)信息安全演練,針對(duì)可能發(fā)生的信息安全事件進(jìn)行反復(fù)推演,對(duì)每一個(gè)環(huán)節(jié)、細(xì)節(jié)進(jìn)行測(cè)試,既驗(yàn)證了應(yīng)急預(yù)案的可操作性,也提高了信息化隊(duì)伍的實(shí)戰(zhàn)水平。細(xì)化了對(duì)區(qū)縣分局的業(yè)務(wù)指導(dǎo)。
啟示
在全系統(tǒng)信息化部門的共同努力下,北京市的奧運(yùn)信息安全保障工作圓滿完成,實(shí)現(xiàn)了奧運(yùn)和殘奧期間零事故的目標(biāo)。這得益于各項(xiàng)技術(shù)手段的實(shí)施,更得益于各項(xiàng)管理制度的落實(shí)。第一:“發(fā)展和安全并重”是搞好政府信息化建設(shè)的重要原則。對(duì)于現(xiàn)代化的首都工商來(lái)講,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是生命線,保護(hù)工商業(yè)務(wù)和政務(wù)管理數(shù)據(jù)以及網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行,才能使工商行政管理工作得以持續(xù)不斷地開展,因此信息和網(wǎng)絡(luò)安全防范是信息化建設(shè)發(fā)展到一定階段后的一個(gè)重要任務(wù),要繼續(xù)堅(jiān)持“一手抓發(fā)展,一手抓安全”的電子政務(wù)建設(shè)思路。第二:加強(qiáng)信息安全預(yù)案和演練是做好信息安全工作的重要法寶。信息安全應(yīng)急預(yù)案和演練制度要根據(jù)實(shí)際情況不斷調(diào)整,實(shí)現(xiàn)常態(tài)化,作到更細(xì)、更實(shí)、更具操作性。第三:“大安全”是解決網(wǎng)絡(luò)安全問(wèn)題的根本手段。網(wǎng)絡(luò)和信息安全涉及方方面面。不僅有技術(shù)因素,還包含管理因素;不僅包括硬件安全,還涉及軟件安全;不僅要做好單一系統(tǒng)的安全,更重要的是實(shí)現(xiàn)整體安全。建設(shè)“大安全”,就是統(tǒng)一籌劃全系統(tǒng)網(wǎng)絡(luò)安全架構(gòu),建立包含網(wǎng)絡(luò)物理安全、訪問(wèn)控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全在內(nèi)的整體安全體系。第四:引進(jìn)外智,是提高信息安全水平的重要措施。這次奧運(yùn)信息安全保障,通過(guò)與專業(yè)信息安全公司的合作,及時(shí)發(fā)現(xiàn)問(wèn)題,彌補(bǔ)漏洞,極大地提高了工商系統(tǒng)信息安全防范和處置能力。今后,將繼續(xù)探索這一方式,建立信息安全戰(zhàn)略合作機(jī)制,引入專業(yè)信息安全機(jī)構(gòu)通過(guò)咨詢、建議、規(guī)劃和方案實(shí)施等多種方式為工商系統(tǒng)信息安全工作提供長(zhǎng)期、完整、全面、高效的技術(shù)和智力資源支持,在等級(jí)保護(hù)安全評(píng)估、安全加固、人才培養(yǎng)和日常維護(hù)等方面進(jìn)行合作。
(作者:北京工商經(jīng)濟(jì)信息中心主任)
校園網(wǎng)安全系統(tǒng)的建設(shè)是一個(gè)龐大而復(fù)雜的工程,不可能在短時(shí)間內(nèi)完成,也不能有一個(gè)完整而周全的解決方案。我們只能是想方設(shè)法使學(xué)校的網(wǎng)絡(luò)更加安全,盡量減少因?yàn)榫W(wǎng)絡(luò)安全帶來(lái)的損失。在WPDRRC模型中,連接的依次是預(yù)警(Warning)、保護(hù)(Protect)、檢測(cè)(Detect)、響應(yīng)(Respond)、恢復(fù)(Restore)、反擊(Counterattack)六個(gè)環(huán)節(jié),內(nèi)層是人、策略、技術(shù)三個(gè)逐步擴(kuò)展的同心六邊形(如上圖)。將安全策略變?yōu)榘踩F(xiàn)實(shí),人是核心,策略是橋梁,技術(shù)是保證。下面,我們主要從技術(shù)保障、安全策略、人員素質(zhì)等三個(gè)方面,談?wù)剬?duì)學(xué)校網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的一些建議和做法。
第一道關(guān)――硬件技術(shù)保障是防線
通過(guò)添加硬件防火墻或者“計(jì)算機(jī)+軟件”式的防火墻,在內(nèi)部網(wǎng)與外部網(wǎng)之間、專用網(wǎng)與公用網(wǎng)之間構(gòu)造起第一道保護(hù)屏障,最大限度地阻止網(wǎng)絡(luò)中的黑客入侵網(wǎng)絡(luò)。防火墻對(duì)通過(guò)的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過(guò)濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口,而且還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn),從而防止來(lái)自不明入侵者的所有通信。防火墻是一個(gè)安全策略的檢查站,所有進(jìn)出的信息都必須通過(guò)防火墻,使可疑的訪問(wèn)被拒絕于門外。
現(xiàn)在筆者所在區(qū)域大部分學(xué)校都采用“海蜘蛛”作為路由器,目前使用的是“海蜘蛛”V6.1.0,此版特別適用于校園等對(duì)網(wǎng)絡(luò)應(yīng)用高要求的環(huán)境。專門解決校園網(wǎng)電腦中毒、相互攻擊、上網(wǎng)緩慢等現(xiàn)象。此設(shè)備能夠輕松實(shí)現(xiàn)以下功能。
用戶安全管理:支持各種防火墻策略。提供DNS/IP/網(wǎng)址/關(guān)鍵字過(guò)濾功能。支持“PPPoE認(rèn)證+Web認(rèn)證+驗(yàn)證碼”的三重防護(hù),有效地防止ARP、DoS類攻擊。
安全隔離每個(gè)用戶:采用一戶一線,杜絕用戶間互相攻擊的現(xiàn)象,即使個(gè)別電腦中毒也不會(huì)對(duì)周圍用戶產(chǎn)生任何影響。
智能QoS功能:能對(duì)P2P下載、在線視頻等高帶寬應(yīng)用采用智能化QoS流量控制,有效防止了這些應(yīng)用對(duì)其他用戶網(wǎng)絡(luò)的影響。方便對(duì)小區(qū)內(nèi)用戶提供高質(zhì)量的網(wǎng)絡(luò)服務(wù)。
長(zhǎng)期穩(wěn)定運(yùn)行:路由系統(tǒng)基于linux內(nèi)核,能在長(zhǎng)時(shí)間不間斷的情況下穩(wěn)定運(yùn)作。
完善的備份支持:支持定時(shí)關(guān)機(jī)重啟,遠(yuǎn)程備份路由配置文件,簡(jiǎn)化了管理員的工作任務(wù)。
日常網(wǎng)絡(luò)的監(jiān)管采用《傲科天藍(lán)藍(lán)安全設(shè)備》,可以輕松實(shí)現(xiàn):日志審計(jì)、信息過(guò)濾、行為管理、內(nèi)容監(jiān)控、P2P下載控制、流量管理、策略管理、數(shù)據(jù)安全管理等功能。
通過(guò)采用各種防火墻技術(shù)和網(wǎng)絡(luò)監(jiān)管設(shè)備的防護(hù),為校園網(wǎng)的安全建立起第一道安全防線,為學(xué)校網(wǎng)絡(luò)安全提供有力的技術(shù)保障。當(dāng)然,各所學(xué)校的具體情況和網(wǎng)絡(luò)規(guī)模有所不同,采用的校園網(wǎng)安全系統(tǒng)也應(yīng)有所差別,不可能按照同樣的方法,但是可以采用同樣的模式。
第二道關(guān)――網(wǎng)絡(luò)安全策略是橋梁
校園網(wǎng)使用者或者說(shuō)接入點(diǎn)越來(lái)越多,隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也會(huì)越來(lái)越多,合理的、優(yōu)化的網(wǎng)絡(luò)安全策略可以有效地降低安全風(fēng)險(xiǎn),在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理,制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度,確保網(wǎng)絡(luò)系統(tǒng)安全、可靠地運(yùn)行。網(wǎng)絡(luò)安全策略主要涉及以下幾個(gè)方面。
物理安全策略:主要包括機(jī)房網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的物理隔離、機(jī)房環(huán)境的建設(shè)、防火防盜、電磁干擾、非法用戶入侵等。
訪問(wèn)控制策略:主要包括重要數(shù)據(jù)的加密、服務(wù)器密碼的安全性、密碼定期更新、用戶權(quán)限的控制、對(duì)于目錄的訪問(wèn)權(quán)限、敏感數(shù)據(jù)的控制、用戶驗(yàn)證機(jī)制等。
VLAN劃分策略:當(dāng)學(xué)校網(wǎng)絡(luò)規(guī)模較大時(shí),建議對(duì)學(xué)校的網(wǎng)絡(luò)進(jìn)行合理地劃分VLAN,劃分可以按照基于端口、基于MAC地址、基于網(wǎng)絡(luò)層協(xié)議、根據(jù)IP組播、按策略、按用戶定義、非用戶授權(quán)劃分VLAN等多種劃分方式。劃分VLAN的目的主要是避免用戶之間的相互干擾,根據(jù)學(xué)校用戶的特點(diǎn),可以根據(jù)學(xué)科進(jìn)行劃分、根據(jù)課程表進(jìn)行劃分,可以有效地隔離用戶干擾和進(jìn)行流量控制。
網(wǎng)絡(luò)安全管理策略:為保障校園網(wǎng)的正常運(yùn)行,規(guī)范各項(xiàng)操作,通過(guò)建立各項(xiàng)規(guī)章制度、規(guī)范用戶操作、安全等級(jí)管理、管理范圍、有關(guān)人員的操作流程、機(jī)房管理制度、定期維護(hù)制度及應(yīng)急預(yù)案等措施,以起到明確職責(zé),責(zé)任到人、有理有據(jù)、保障有力,將網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)降到最低,從內(nèi)部管理上防范網(wǎng)絡(luò)安全事故的發(fā)生。
第三道關(guān)――人員素質(zhì)提升是核心
人員素質(zhì)的提升對(duì)校園網(wǎng)的安全起著非常關(guān)鍵的作用,我們這里講的人員主要包括兩個(gè)方面:一是網(wǎng)絡(luò)管理人員,簡(jiǎn)單來(lái)講就是學(xué)校的網(wǎng)管員;二是網(wǎng)絡(luò)使用人員,主要是指教師,還包括使用校園網(wǎng)的學(xué)生。
網(wǎng)絡(luò)管理員技術(shù)水平的高低對(duì)于保障學(xué)校網(wǎng)絡(luò)的安全運(yùn)行起著至關(guān)重要的作用,但由于現(xiàn)在很多學(xué)校的網(wǎng)管員都是兼職的,沒有接受過(guò)專門的培訓(xùn),水平參差不齊,短時(shí)間內(nèi)很難提升。網(wǎng)管員要通過(guò)多種途徑,學(xué)習(xí)和掌握足夠的信息安全知識(shí),充分理解相關(guān)的安全技術(shù)、操作系統(tǒng)和應(yīng)用軟件的安全性能,不斷跟蹤安全新聞動(dòng)態(tài)、安全技術(shù)發(fā)展,養(yǎng)成良好的信息安全習(xí)慣,成為學(xué)校網(wǎng)絡(luò)安全管理的主力軍。
對(duì)于普通網(wǎng)絡(luò)用戶來(lái)說(shuō),網(wǎng)絡(luò)安全威脅來(lái)自兩個(gè)方面:一方面是被動(dòng)的,來(lái)自病毒、木馬、惡意腳本和插件以及黑客的攻擊等;另一方面卻是主動(dòng)的,比如瀏覽掛有木馬的非法網(wǎng)站、釣魚網(wǎng)站、含有病毒的垃圾郵件、含有非法鏈接的聊天信息等。根據(jù)調(diào)查顯示,由于自己無(wú)意識(shí)地點(diǎn)擊惡意網(wǎng)站而導(dǎo)致中毒木馬的竟然占到了絕大部分。半年內(nèi)有40.5%的用戶沒有遭遇過(guò)病毒和木馬的攻擊,這部分網(wǎng)絡(luò)用戶有一個(gè)共同點(diǎn):普遍具有良好的網(wǎng)絡(luò)安全意識(shí)。由此可見,教師網(wǎng)絡(luò)安全意識(shí)的提升是整個(gè)學(xué)校網(wǎng)絡(luò)安全系統(tǒng)的核心所在。教師網(wǎng)絡(luò)安全意識(shí)的提升需要經(jīng)常組織相關(guān)的網(wǎng)絡(luò)安全知識(shí)的培訓(xùn),使得某些網(wǎng)絡(luò)安全隱患被消除在萌芽狀態(tài)。
我局對(duì)網(wǎng)絡(luò)信息安全系統(tǒng)工作一直十分重視,成立了專門的領(lǐng)導(dǎo)小組,建立了網(wǎng)絡(luò)安全保密責(zé)任制和有關(guān)規(guī)章制度,由局信息中心統(tǒng)一管理,各股室配合網(wǎng)絡(luò)信息安全工作。嚴(yán)格落實(shí)有關(guān)網(wǎng)絡(luò)信息安全保密方面的各項(xiàng)規(guī)定,采取了多種措施防范安全保密有關(guān)事件的發(fā)生,總體上看,我局網(wǎng)絡(luò)信息安全保密工作做得比較扎實(shí),效果也比較好,近年來(lái)未發(fā)現(xiàn)網(wǎng)絡(luò)安全事故。根據(jù)文件精神,我局開始了信息安全自查工作,結(jié)合工作實(shí)際,現(xiàn)匯報(bào)如下:
一、信息安全自查工作開展情況
1、健全組織機(jī)構(gòu)。根據(jù)工作要求和部署,我局高度重視,立即成立信息安全工作機(jī)構(gòu),組織開展全局重點(diǎn)領(lǐng)域網(wǎng)絡(luò)和信息安全大檢查,局主要領(lǐng)導(dǎo)為第一責(zé)任人,局辦公室統(tǒng)一協(xié)調(diào),監(jiān)督指導(dǎo)信息安全工作,各科室主要負(fù)責(zé)人負(fù)責(zé)落實(shí)本部門的信息安全工作,指定專人定期檢查網(wǎng)絡(luò)信息安全,認(rèn)真填寫排查記錄,建立排查臺(tái)帳,做到專人維護(hù),專人管理,確保網(wǎng)絡(luò)信息安全。
2、認(rèn)真開展排查。組織專業(yè)人員加大計(jì)算機(jī)管理系統(tǒng)的排查,對(duì)管理系統(tǒng)軟件和硬件進(jìn)行了逐項(xiàng)安全排查,認(rèn)真仔細(xì)檢查了服務(wù)器、路由器、交換機(jī),以及政務(wù)QQ群、微信公眾號(hào)、移動(dòng)U盤等,通過(guò)檢查,我局所有管理系統(tǒng)和計(jì)算機(jī)全部安裝了國(guó)產(chǎn)專業(yè)殺毒軟件、防火墻等,沒有安全風(fēng)險(xiǎn)存在,同時(shí)每臺(tái)計(jì)算機(jī)管理系統(tǒng)都指定了熟悉業(yè)務(wù)的工作人員操作,提高安全防護(hù)能力,有效預(yù)防和減少重大信息安全事件的發(fā)生。
二、信息安全工作情況
1、在安全管理上,建立信息網(wǎng)絡(luò)安全責(zé)任制,按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,加強(qiáng)督促開展信息安全檢查與專項(xiàng)整治,及時(shí)上報(bào)開展情況與檢查結(jié)果,建立完善信息安全各項(xiàng)規(guī)章制度,與信息安全員簽訂保密協(xié)議,把安全責(zé)任制落實(shí)到每一個(gè)崗位,責(zé)任到人。
2、在防護(hù)技術(shù)上,加大了網(wǎng)絡(luò)防護(hù)措施,檢查了互聯(lián)網(wǎng)的連接情況,對(duì)外聯(lián)的出口進(jìn)行了安全控制,分別設(shè)置了安全密碼進(jìn)行傳輸,確保計(jì)算機(jī)的正常運(yùn)行。
3、應(yīng)急處置與災(zāi)備情況,制定了信息安全事件應(yīng)急預(yù)案,對(duì)重要系統(tǒng)重要數(shù)據(jù)全部進(jìn)行備份,確保重要數(shù)據(jù)的信息不丟失。
三、自查發(fā)現(xiàn)的主要問(wèn)題
1、安全意識(shí)不夠,需要繼續(xù)加強(qiáng)對(duì)單位職工的信息安全意識(shí)教育,提高做好安全工作的主動(dòng)性和自覺性。
2、規(guī)章制度體系初步建立,但還不完善,未能覆蓋到信息系統(tǒng)安全的所有方面。
3、設(shè)備維護(hù)、更新還不夠及時(shí)。
四、整改措施
根據(jù)自查過(guò)程中發(fā)現(xiàn)的不足,同時(shí)結(jié)合我單位實(shí)際,將著重對(duì)以下幾個(gè)方面進(jìn)行整改:
1、加強(qiáng)單位在崗職工信息安全教育培訓(xùn)工作,增強(qiáng)信息安全防范和保密意識(shí)。
關(guān)鍵詞:電力信息網(wǎng);安全;信息化;風(fēng)險(xiǎn)
中圖分類號(hào):TM73
文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1009-2374(2012)24-0010-03
1 我國(guó)電力信息化應(yīng)用和發(fā)展的現(xiàn)狀
當(dāng)前我國(guó)電力企業(yè)信息化建設(shè)所需要的硬件環(huán)境已經(jīng)基本完成,有著比較良好的網(wǎng)絡(luò)建設(shè)現(xiàn)況和硬件設(shè)備數(shù)量,信息化已經(jīng)應(yīng)用在電力系統(tǒng)的生產(chǎn)、調(diào)度和營(yíng)業(yè)等部門中。在網(wǎng)絡(luò)硬件建設(shè)上,千兆骨干網(wǎng)已經(jīng)基本得以實(shí)現(xiàn),普遍使用VLAN、MPLS等技術(shù)。而在軟件上,已經(jīng)對(duì)生產(chǎn)管理信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)、調(diào)度自動(dòng)化系統(tǒng)、營(yíng)銷信息系統(tǒng)等相關(guān)的子系統(tǒng)進(jìn)行應(yīng)用。在電力生產(chǎn)、經(jīng)營(yíng)、科研、建設(shè)、管理以及設(shè)計(jì)等各個(gè)領(lǐng)域中廣泛應(yīng)用計(jì)算機(jī)及信息網(wǎng)絡(luò)技術(shù),在降低成本、安全生產(chǎn)、縮短工期、節(jié)能消耗、勞動(dòng)生產(chǎn)率的提高等方面,有著明顯的經(jīng)濟(jì)和社會(huì)效應(yīng)。在管理上,已經(jīng)建立了較為完善的信息化管理機(jī)制,并且培養(yǎng)了一支強(qiáng)有力的技術(shù)隊(duì)伍,對(duì)電力工業(yè)的發(fā)展起到很好的促進(jìn)作用。
2 我國(guó)電力信息網(wǎng)安全現(xiàn)狀
安全體系目前已經(jīng)逐步在電力信息系統(tǒng)中建立起來(lái):電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)和電力信息網(wǎng)絡(luò)兩者之間有防火墻隔離;及時(shí)購(gòu)買和更新網(wǎng)絡(luò)防病毒軟件;系統(tǒng)在運(yùn)行中有數(shù)據(jù)備份設(shè)備。但是,在現(xiàn)實(shí)中,網(wǎng)絡(luò)防火墻僅僅是在小部分單位配備,仍有相當(dāng)數(shù)量的單位沒有配備防火墻,網(wǎng)絡(luò)中存在薄弱環(huán)節(jié);在網(wǎng)絡(luò)安全上缺乏長(zhǎng)遠(yuǎn)和統(tǒng)一的規(guī)劃,安全管理存在不少真空地帶,仍有很多的安全隱患存在于網(wǎng)絡(luò)中。例如,潮州市供電局對(duì)省公司的要求嚴(yán)格執(zhí)行,對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù),通過(guò)使用備份系統(tǒng)、安裝網(wǎng)管軟件、安全防病毒軟件、安裝防火墻等措施,使得信息的安全得到有效保障,并且能夠?qū)﹄娏I(yíng)業(yè)和生產(chǎn)提供有效地技術(shù)支持??墒悄壳罢w來(lái)說(shuō)還不夠完善,仍存在不少風(fēng)險(xiǎn),給網(wǎng)絡(luò)安全埋下隱患。
3 當(dāng)前我國(guó)電力信息網(wǎng)安全風(fēng)險(xiǎn)
3.1 計(jì)算機(jī)和信息網(wǎng)絡(luò)的安全意識(shí)亟待提高
電力部門對(duì)應(yīng)用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)所帶來(lái)的信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)不足,未能充分預(yù)測(cè)評(píng)估各種可能的風(fēng)險(xiǎn)并制訂相應(yīng)的應(yīng)急預(yù)案,一旦發(fā)生安全事故,可能會(huì)擴(kuò)大損失。
3.2 信息安全管理規(guī)范缺乏統(tǒng)一性
雖然電力部門長(zhǎng)期以來(lái)都十分重視計(jì)算機(jī)安全,可是由于各地區(qū)實(shí)際情況差異較大,使得在整個(gè)電力系統(tǒng)中對(duì)于計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行還缺乏一整套完善和統(tǒng)一的管理規(guī)范。
3.3 計(jì)算機(jī)信息安全系統(tǒng)與電力行業(yè)特點(diǎn)結(jié)合得不夠緊密
由于電力部門在計(jì)算機(jī)的安全措施、技術(shù)和策略方面投入不足,為了使電力部門能夠保持穩(wěn)定、安全和高效的運(yùn)行,應(yīng)該建立一套與電力計(jì)算機(jī)應(yīng)用的特點(diǎn)相結(jié)合的計(jì)算機(jī)信息安全體系。
3.4 面臨的外部安全沖擊比較大
由于電力部門所運(yùn)行的計(jì)算機(jī)系統(tǒng)早期以來(lái)都是內(nèi)部的局域網(wǎng),在這樣的封閉網(wǎng)絡(luò)中沒有連接互聯(lián)網(wǎng),所以早期的計(jì)算機(jī)安全防護(hù)只需要防止外部物理破壞或者是安全控制內(nèi)部人員即可,而如今的網(wǎng)絡(luò)則必須面對(duì)黑客、病毒以及木馬等各種國(guó)際互聯(lián)網(wǎng)上的安全攻擊。
4 當(dāng)前電力信息網(wǎng)絡(luò)安全防護(hù)對(duì)策
4.1 劃分不同層次,有針對(duì)性地進(jìn)行電力信息網(wǎng)的安全教育
在企業(yè)安全管理中,重要的內(nèi)容就是安全意識(shí)和相關(guān)技能的教育,對(duì)這些教育的實(shí)施力度直接影響企業(yè)安全策略被理解的程度和現(xiàn)實(shí)過(guò)程中被執(zhí)行的效果。為使安全策略的執(zhí)行得到有效保證,電力企業(yè)的相關(guān)管理部門應(yīng)該對(duì)企業(yè)內(nèi)部的所有人員進(jìn)行相關(guān)的安全培訓(xùn),企業(yè)所有的人員必須對(duì)企業(yè)的安全策略有充分的了解并且嚴(yán)格地執(zhí)行,在進(jìn)行安全教育的具體過(guò)程中還應(yīng)該對(duì)層次性和普遍性進(jìn)行把握。一是對(duì)于信息安全工作管理部門的負(fù)責(zé)人,對(duì)其教育的重點(diǎn)則應(yīng)該放在建立安全管理部門、制定安全管理制度、構(gòu)成信息安全系統(tǒng)、信息安全整體策略和目標(biāo)等。二是對(duì)信息安全運(yùn)行管理和維護(hù)負(fù)責(zé)的技術(shù)人員,則應(yīng)該將重點(diǎn)放在信息安全管理策略的充分了解、對(duì)安全評(píng)估基本方法的掌握以及合理運(yùn)用安全操作和維護(hù)技術(shù)等上面。三是對(duì)信息用戶,其重點(diǎn)就是對(duì)各種安全操作流程進(jìn)行學(xué)習(xí),對(duì)相關(guān)的安全策略充分的了解和掌握,當(dāng)然還應(yīng)該包括用戶自身所必須承擔(dān)的安全職責(zé)等。同時(shí),對(duì)特定崗位的人員要做到進(jìn)行特定的安全培訓(xùn),定期和持續(xù)性地進(jìn)行相關(guān)的安全教育,最根本的解決辦法就是將安全文化在納入整個(gè)企業(yè)的文化體系建
立中。
4.2 將最先進(jìn)的安全防護(hù)技術(shù)措施應(yīng)用到電力信息網(wǎng)中
4.2.1 嚴(yán)格配置防火墻過(guò)濾規(guī)則。在企業(yè)局域網(wǎng)和外網(wǎng)之間唯一的出口是防火墻,防火墻作為內(nèi)、外網(wǎng)互相訪問(wèn)所必須通過(guò)的一道墻,絕對(duì)不允許出現(xiàn)內(nèi)部繞過(guò)防火墻直接連接外網(wǎng)。在DMZ區(qū)域內(nèi)對(duì)企業(yè)對(duì)外提供各種服務(wù)的服務(wù)器的放置,能夠使得服務(wù)器不受攻擊,得到有效保護(hù)。在進(jìn)行防火墻的訪問(wèn)策略設(shè)置的時(shí)候,必須遵循的原則是缺省全部關(guān)閉,按照需求進(jìn)行開通,這樣就可以對(duì)明確拒絕許可證之外的任何服務(wù)。
甘肅建筑職業(yè)技術(shù)學(xué)院甘肅蘭州730050
摘要:目前高校教學(xué)管理信息中安全問(wèn)題頻發(fā),暴露出了諸多安全管理問(wèn)題,文章對(duì)高校教學(xué)管理信息安全中存在的問(wèn)題進(jìn)行了仔細(xì)分析,并提出了相應(yīng)的解決措施。
關(guān)鍵詞 :信息安全;問(wèn)題;措施
隨著信息化建設(shè)進(jìn)程的加快,信息安全問(wèn)題逐步成為各高校所面臨的難題。高校經(jīng)過(guò)多年的不斷努力,通過(guò)物理、技術(shù)、管理等方面的各種措施,來(lái)保障整個(gè)校園信息的安全,通過(guò)近年來(lái)的管理,也取得了一定的成效,但是高校網(wǎng)絡(luò)信息安全的管理不單單是技術(shù)上的問(wèn)題,也不單單是出臺(tái)幾個(gè)管理?xiàng)l例就能解決的事情。根據(jù)信息安全管理體系理論對(duì)高校信息安全管理的基本要求,高校要建成相對(duì)比較完善的信息安全管理制度體系、管理措施等。而通過(guò)對(duì)高校目前的信息安全管理現(xiàn)狀分析來(lái)看,仍然存在多方面的不足。
1 高校信息安全管理存在的問(wèn)題
1.1 信息安全意識(shí)淡薄。目前,高校在信息系統(tǒng)防御能力方面薄弱,網(wǎng)絡(luò)硬件、軟件、協(xié)議和安全防護(hù)存在較多缺陷和錯(cuò)誤,且無(wú)法及時(shí)、定期修復(fù),嚴(yán)重滯后于信息技術(shù)的發(fā)展。部分高校教師缺乏安全知識(shí)和信息技術(shù)水平,對(duì)防護(hù)措施漠不關(guān)心,片面認(rèn)為學(xué)校信息安全是屬于專業(yè)技術(shù)人員的工作。有些學(xué)校也不重視高校信息安全管理,導(dǎo)致缺乏安全管理人才及專業(yè)指導(dǎo),同時(shí)缺少信息安全系統(tǒng)規(guī)劃和合理整體布局,風(fēng)險(xiǎn)分析不徹底,制定保障策略存在漏洞。
1.2 過(guò)分依賴軟硬件技術(shù)保護(hù)。投入信息安全產(chǎn)品,如專業(yè)防火墻、專業(yè)的VPN 通道設(shè)置等之后,軟件和設(shè)備防護(hù)能力提高,起到信息安全保護(hù)與防范作用。但是仍然存在“重技術(shù)、輕管理”的思想,管理的意識(shí)不夠,觀念沒有徹底轉(zhuǎn)變。信息安全不僅是技術(shù)層面的工作,還需考慮物理、技術(shù)、管理安全方面的因素。目前,高校在技術(shù)措施上投入大量經(jīng)費(fèi),購(gòu)買安全產(chǎn)品,卻在管理措施上投入較少,過(guò)分依賴于硬件技術(shù)的保護(hù)。信息安全事件主要是人為的管理不善,管理意識(shí)的淡薄、條例的不健全、操作過(guò)程不當(dāng)?shù)仍斐傻摹?/p>
1.3 信息安全管理人員配備不足。做好信息安全管理工作,需要有一支高素質(zhì)的管理隊(duì)伍,但高校在信息化辦公室人員配置上數(shù)量較少,專業(yè)結(jié)構(gòu)不合理,信息技術(shù)部門的工作人員只是購(gòu)買安全軟件裝在服務(wù)器上。在服務(wù)器的管理和維護(hù)工作上,通常采用與校外公司簽訂維護(hù)服務(wù)協(xié)議解決人員緊缺及技術(shù)問(wèn)題,但因不是本校員工,難免出現(xiàn)因事務(wù)繁雜而導(dǎo)致責(zé)任心不強(qiáng)的問(wèn)題,有所疏忽將造成重大的損失。還有一種不能忽視的問(wèn)題,在各個(gè)高校普遍存在,就是有部分信息安全管理人員不是計(jì)算機(jī)或者網(wǎng)絡(luò)安全專業(yè)出身,不能勝任專業(yè)的信息安全管理工作,從一定意義上來(lái)說(shuō),這部分人員不是信息安全管理的專業(yè)人員。
1.4 管理制度體系不夠完善。目前,很多高校沒有成立信息安全組織機(jī)構(gòu),未配備專門人員,盡管部分高校制定了管理辦法和規(guī)章制度,但達(dá)不到信息安全的管理要求。根據(jù)信息安全現(xiàn)狀和管理要求,各高校都應(yīng)成立相應(yīng)的安全組織、管理和技術(shù)機(jī)構(gòu),形成系統(tǒng)的信息安全管理機(jī)制。同時(shí),還有部分高校在信息安全管理方面,幾乎沒有應(yīng)急預(yù)案,一旦出現(xiàn)信息安全問(wèn)題,后果不堪設(shè)想,一些高校雖然制定了《大學(xué)網(wǎng)絡(luò)與信息安全報(bào)告管理辦法》,但沒有真正發(fā)揮作用,未能起到預(yù)防信息安全事件發(fā)生和消除事件影響的作用。因此,完善高校信息安全管理體系還有很多工作要做。
1.5 信息安全管理和技術(shù)有待提高。高校信息安全管理規(guī)章制度權(quán)威性不足,沒有形成長(zhǎng)效機(jī)制,是目前普遍存在的問(wèn)題。任何管理措施都需要執(zhí)行力,盡管目前高校在教學(xué)、管理、服務(wù)等方面都普及了數(shù)字化,但由于信息安全風(fēng)險(xiǎn)的不確定性,致使信息安全不被充分重視,信息安全管理和保障設(shè)備投入有限,設(shè)施陳舊,組織框架混亂,安全管理工作的分工不明,導(dǎo)致不能預(yù)防和及時(shí)處理信息安全方面的問(wèn)題。信息安全管理制度的落實(shí)是高校的重點(diǎn)工作,各高校要高度重視,加強(qiáng)軟硬件建設(shè),提高管理人員技術(shù)水平,保證高校信息的安全性和可恢復(fù)性。
2 高校信息安全防護(hù)措施
2.1 建立有效的信息安全防護(hù)系統(tǒng)。合理配置操作系統(tǒng)端口,詳細(xì)設(shè)置防火墻,開放必須利用的端口,關(guān)閉其他不必要的端口;免費(fèi)提供正版殺毒軟件,供全校師生免費(fèi)下載使用,定期修復(fù)系統(tǒng)漏洞,發(fā)送錯(cuò)誤報(bào)告并進(jìn)行分析處理,升級(jí)防毒軟件,保障校內(nèi)所有計(jì)算機(jī)的安全運(yùn)行;安裝與配置IDS 入侵檢測(cè)系統(tǒng),檢測(cè)防火墻過(guò)濾后的隱匿攻擊,安裝漏洞掃描系統(tǒng),內(nèi)外兼防確保信息終端的可信賴性。
2.2 建立安全管理體系。在了解高校當(dāng)前信息安全管理面臨的威脅和風(fēng)險(xiǎn),分析原因的基礎(chǔ)上,結(jié)合現(xiàn)有信息安全管理現(xiàn)狀,整體規(guī)劃設(shè)計(jì)信息安全管理體系。制定相應(yīng)的安全管理工作機(jī)制,明確各管理部門責(zé)權(quán),對(duì)重點(diǎn)部門、重點(diǎn)節(jié)點(diǎn)重點(diǎn)進(jìn)行安全風(fēng)險(xiǎn)的防控,有效確保整個(gè)信息安全管理工作的高效落實(shí)。
2.3 加強(qiáng)信息安全管理人員的配備和管理。成立學(xué)校信息安全管理機(jī)構(gòu),采取激勵(lì)政策,引進(jìn)培養(yǎng)素質(zhì)高、數(shù)量足的高水平網(wǎng)絡(luò)、數(shù)據(jù)管理人才隊(duì)伍,并培養(yǎng)部門信息安全管理員,充分調(diào)動(dòng)他們的積極性和主動(dòng)性,為學(xué)校信息安全保駕護(hù)航。對(duì)全體師生進(jìn)行信息安全技術(shù)培訓(xùn),使廣大師生熟練掌握日常的安全操作和系統(tǒng)維護(hù),針對(duì)性的加強(qiáng)部門、學(xué)生內(nèi)部安全意識(shí)和技術(shù)人才的培養(yǎng),使教師學(xué)生掌握基本的網(wǎng)絡(luò)防御技能和安全保密素質(zhì)。
2.4 提高高校信息安全管理應(yīng)急處理能力。信息安全事件具有隱蔽性、突發(fā)性的特征,甚至是具有災(zāi)難性和傳播性的惡性事件。因此,要充分考慮信息安全事件發(fā)生時(shí)的影響度、損壞度,并進(jìn)行風(fēng)險(xiǎn)評(píng)估,建立和完善信息安全預(yù)警與應(yīng)急處理機(jī)制。各校要成立網(wǎng)絡(luò)信息安全應(yīng)急處理小組,明確應(yīng)急處置流程、落實(shí)相關(guān)處置人員職責(zé),以加強(qiáng)預(yù)防為主,在網(wǎng)絡(luò)信息安全應(yīng)急事件發(fā)生時(shí),迅速實(shí)施應(yīng)急預(yù)案,有效控制突發(fā)事件,妥善處理問(wèn)題。在處理信息安全突發(fā)事件時(shí),要兼顧高校正常工作中對(duì)網(wǎng)絡(luò)的需求,在有效控制校園網(wǎng)絡(luò)信息安全突發(fā)事件后盡快恢復(fù)校園網(wǎng)絡(luò),避免影響正常辦公。
3 結(jié)語(yǔ)
總體來(lái)講,高校目前在信息安全管理方面還存在很多缺陷,已有的安全管理規(guī)章和制度只是一種局部的、事后糾正式的安全管理方式,要從根本上避免和降低信息安全事件發(fā)生的概率,就必須要根據(jù)自身的實(shí)際情況,借鑒其他高校的相關(guān)經(jīng)驗(yàn),制定一套適合本校的安全管理策略和措施體系。
參考文獻(xiàn):
[1]聶磊,劉小玲.淺談校園網(wǎng)絡(luò)信息安全管理[J].教育教學(xué)論壇,2010(21).
一、網(wǎng)絡(luò)安全管理現(xiàn)狀及分析
(一)網(wǎng)絡(luò)安全管理現(xiàn)狀
1. 雖然許多企業(yè)網(wǎng)絡(luò)設(shè)置了VLAN 的隔離,但不同的VLAN 之間沒有設(shè)置必要的訪問(wèn)控制,任何一個(gè)用戶在網(wǎng)內(nèi)嗅探都可以輕松地得到全部網(wǎng)段計(jì)算機(jī)的 IP 地址和MAC 地址的對(duì)應(yīng)信息。
2. 網(wǎng)絡(luò)沒有按照安全域的保護(hù)等級(jí)劃分和進(jìn)行訪問(wèn)控制限制, 對(duì)于關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有限制特定的網(wǎng)段和計(jì)算機(jī)才能控制, 而僅僅依靠登陸的用戶名和密碼進(jìn)行保護(hù)。
3. 針對(duì)路由配置、沒有屏蔽不需要的服務(wù)及進(jìn)行安全配置, 如ARP- PROXY, OSPF 認(rèn)證, SNMP控制等, 沒有抵御協(xié)議欺騙和 DDOS 攻擊等的處理。
4. SNMP 協(xié)議設(shè)置不當(dāng), 導(dǎo)致黑客可以下載和上傳 IOS配置文件, 并通過(guò)查看配置文件, 用專業(yè)軟件, 瞬間就可以破解 TYPE- 7 的加密, 得到超級(jí)管理的明文密碼, 從而完全控制網(wǎng)絡(luò)設(shè)備; 即使拿到加密后的密碼串無(wú)法破解, 黑客也可以把下載來(lái)的 IOS 文件內(nèi)的密碼清空, 再上傳后, 依然可以不用密碼登陸設(shè)備。
5. 網(wǎng)絡(luò)上的 HTTP 認(rèn)證信息是明文傳輸?shù)模?導(dǎo)致它的驗(yàn)證請(qǐng)求能輕松的被嗅探用戶截取, 包括什么時(shí)間, 什么 IP地址, 通過(guò)哪個(gè) WEB 服務(wù)器, 用的哪個(gè)用戶名和密碼, 訪問(wèn)了哪些具體的網(wǎng)站, 而且可以回溯對(duì)方瀏覽過(guò)的具體網(wǎng)站信息。
6. 審計(jì)和日志分析等策略沒有啟用, 導(dǎo)致無(wú)法審查什么時(shí)間什么人登錄過(guò)服務(wù)器, 做了什么操作; 服務(wù)器的補(bǔ)丁打得不夠及時(shí), 存在被溢出攻擊可能性; 為了管理方便, 服務(wù)器開啟終端服務(wù),但是默認(rèn)安裝, 沒有進(jìn)行任何的加固措施, 一旦被人利用, 對(duì)服務(wù)器是極大的危險(xiǎn)。
7. 為了記憶方便, 用戶密碼過(guò)于簡(jiǎn)單, 很容易就可以猜測(cè)出來(lái)或者暴力破解。雖然是普通用戶, 但可以通過(guò)本地權(quán)限提升得到超級(jí)用戶的權(quán)限。
8. 對(duì)于注冊(cè)表和關(guān)鍵的系統(tǒng)文件, 沒有進(jìn)行特別的保護(hù)和基準(zhǔn)線的建立。一旦發(fā)現(xiàn)異常, 也無(wú)法快速的找出增加和減少的項(xiàng)目。
9. 對(duì)安全記錄未做訪問(wèn)授權(quán)控制, 一旦被攻擊, 日志和必要的回溯信息會(huì)被刪除或者修改。
10. 對(duì)于超級(jí)帳號(hào)沒有進(jìn)行分權(quán)和修改默認(rèn)名字, 可能會(huì)導(dǎo)致暴力破解密碼以及高級(jí)權(quán)力濫用的隱患。
11. 對(duì)于不需要的系統(tǒng)服務(wù)和啟動(dòng)服務(wù)沒有做禁止和分權(quán)。
(二)信息安全形勢(shì)分析
1. 內(nèi)部信息安全威脅:主要是來(lái)自于惡意軟件下載,有54%的企業(yè)發(fā)生過(guò)由 于惡意軟件下載造成的信息安全事件。其次是有47%的企 業(yè)存在由于內(nèi)部員工造成的安全漏洞。其它主要威脅包括軟硬件漏洞、員工的不良信息處理行為引發(fā)的問(wèn)題。
2. 外部信息安全威脅:從權(quán)威調(diào)查結(jié)果來(lái)看,目前主要來(lái)自于惡意軟件,有 68%的企業(yè)發(fā)生過(guò)惡意軟件攻擊。其次是有54%的企業(yè)遭 受過(guò)網(wǎng)絡(luò)釣魚。其它主要威脅包括高級(jí)持續(xù)性威脅(APT)、 拒絕服務(wù)攻擊(DDOS)、暴力攻擊、零日(0day)攻擊等。
(三)信息安全事件
烏克蘭電網(wǎng)遭黑客攻擊事件: 2015年12月3日,烏克蘭伊萬(wàn)諾-弗蘭科夫斯克地區(qū)持續(xù)停電數(shù)小時(shí)之久。黑客使用后門程序 BlackEnergy(黑暗力量)攻擊了在發(fā)電站和多家能源公司。攻擊者在微軟Office文件中嵌入了惡意宏文件,并以此作為感染載體來(lái)對(duì)目標(biāo)系統(tǒng)進(jìn)行感染。烏克蘭電網(wǎng)系統(tǒng)遭黑客攻擊,數(shù)百戶家庭供電被迫中斷,這是有 史以來(lái)首次導(dǎo)致停電的網(wǎng)絡(luò)攻擊,此次針對(duì)工控系統(tǒng)的攻擊無(wú)疑具有里程碑意義。
二、如何構(gòu)建網(wǎng)絡(luò)信息安全系統(tǒng)
(一)從制度方面
網(wǎng)絡(luò)信息安全管理體系從實(shí)質(zhì)上來(lái)說(shuō),是一種信息安全管理模式,其目的是 為了提高企業(yè)的管理水平,促進(jìn)企業(yè) 良性發(fā)展,保證企業(yè)各種信息資源的 安全,不給企業(yè)造成負(fù)面影響。信息 安全管理體系借助諸多標(biāo)準(zhǔn),參考標(biāo)準(zhǔn)實(shí)現(xiàn)企業(yè)信息安全管理規(guī)范有序, 使企業(yè)信息安全向科學(xué)合理的方向發(fā) 展。信息安全管理是伴隨著信息技術(shù) 的發(fā)展而發(fā)展的,在信息社會(huì),信息資源已經(jīng)成為一種十足珍貴的資源,具有極高的經(jīng)濟(jì)價(jià)值。信息安全工作的有效開展與持續(xù)化深入依賴完善的信息安全保障體系。為保護(hù)信息系統(tǒng)安全、平穩(wěn)運(yùn)行,根據(jù)國(guó)家和各單位有關(guān)要求以及信息系統(tǒng)現(xiàn)狀,結(jié)合先進(jìn)的安全技術(shù)與管理理念,在信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上,需制定網(wǎng)絡(luò)信息安全整體解決方案。
(二)從技術(shù)方面
1. 定期開展信息安全與合規(guī)性檢查
通過(guò)檢查,集梳理本單位網(wǎng)絡(luò)安全工作,排查高危安全漏洞;識(shí)別工控系統(tǒng)安全風(fēng)險(xiǎn);核查信息系統(tǒng)定級(jí)備案情況等,結(jié)合石油化工企業(yè)實(shí)際可組織開展:
(1)信息系統(tǒng)常規(guī)安全檢查;
(2)工業(yè)控制系統(tǒng)安全檢查;
(3)信息系統(tǒng)等級(jí)保護(hù)合規(guī)性檢查。
2. 開展網(wǎng)絡(luò)安全域建設(shè)
完成本單位的網(wǎng)絡(luò)安全域劃分,將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、專網(wǎng)、專線等部分,設(shè)置不同的訪規(guī)則,并進(jìn)行分區(qū)防護(hù)。建成統(tǒng)一互聯(lián)網(wǎng)出口,部署安全防護(hù)設(shè)備,為各單位內(nèi)部用戶及業(yè)務(wù)系統(tǒng)提供安全可靠的互聯(lián)網(wǎng)訪問(wèn)服務(wù)。
3. 網(wǎng)絡(luò)安全新技術(shù)應(yīng)用
網(wǎng)絡(luò)安全設(shè)備的開放化將逐步實(shí)現(xiàn)。在傳統(tǒng)的信息安全時(shí)代主要采用隔離作為安全的手段,具體分為物理隔離、內(nèi)外網(wǎng)隔離、加密隔離,實(shí)踐證明這種隔離手段針對(duì) 傳統(tǒng)IT架構(gòu)能起到有效的防護(hù)。同時(shí)這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司,例如各種防火墻、入侵檢測(cè)系 統(tǒng)/入侵防御系統(tǒng)、Web應(yīng)用防火墻、統(tǒng)一威脅管理、SSL網(wǎng)關(guān)、加 密機(jī)等。 在這種隔離思想下,并不需要應(yīng)用提供商參與較多信息安全工 作,在典型場(chǎng)景下是由總集成商負(fù)責(zé)應(yīng)用和信息安全之間的集成, 而這導(dǎo)致了長(zhǎng)久以來(lái)信息安全和應(yīng)用相對(duì)獨(dú)立的發(fā)展,尤其在國(guó)內(nèi) 這兩個(gè)領(lǐng)域的圈子交集并不大。結(jié)果,傳統(tǒng)信息安全表現(xiàn)出分散割據(jù)化、對(duì)應(yīng)用的封閉化、硬件盒子化的三個(gè)特征。 封閉化的安全設(shè)備從某種意義上維護(hù)了傳統(tǒng)安全廠商的利益, 但是卻損害了用戶的利益。而從用戶的角度來(lái)看,未來(lái)安全設(shè)備的 開放化、可編程化是個(gè)需要用戶推動(dòng)的趨勢(shì)。
三、結(jié)論
關(guān)于網(wǎng)絡(luò)信息系統(tǒng)安全的課題, 涉及的層面較為廣泛,復(fù)雜程度較高。網(wǎng)絡(luò)安全作為支網(wǎng)絡(luò)及信息系統(tǒng)的重要基礎(chǔ),需要堅(jiān)實(shí)有力的服務(wù)來(lái)支持。要求企業(yè)網(wǎng)絡(luò)技術(shù)人員在掌握網(wǎng)絡(luò)技術(shù)的同時(shí)掌握全面網(wǎng)絡(luò)信息安全是不現(xiàn)實(shí)的。因此做好企業(yè)的網(wǎng)絡(luò)安全工作,選擇由網(wǎng)絡(luò)安全專家、專業(yè)的網(wǎng)絡(luò)安全工具和安全管理策略組成的安全服務(wù)是必須的。
網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的管理過(guò)程,它只能保障網(wǎng)絡(luò)系統(tǒng)受到攻擊時(shí),能夠提供無(wú)漏洞防御的相對(duì)安全。網(wǎng)絡(luò)信息系統(tǒng)安全不僅需要?jiǎng)討B(tài)的工具和產(chǎn)品, 而且需要持續(xù)跟進(jìn)的安全服務(wù)。
【摘要】網(wǎng)絡(luò)金融安全問(wèn)題是特定歷史發(fā)展階段的問(wèn)題,是應(yīng)對(duì)金融全球化負(fù)面影響的產(chǎn)物。網(wǎng)上銀行的安全既是用戶最關(guān)心的問(wèn)題,也是輿論長(zhǎng)期關(guān)注的焦點(diǎn)。文章首先探討網(wǎng)絡(luò)金融概念特點(diǎn),繼而分析我國(guó)網(wǎng)絡(luò)金融安全現(xiàn)狀,最后提出改善我國(guó)網(wǎng)絡(luò)金融安全幾點(diǎn)對(duì)策。
【關(guān)鍵詞】網(wǎng)絡(luò)金融;風(fēng)險(xiǎn);電子貨幣;對(duì)策 網(wǎng)絡(luò)金融安全
是一項(xiàng)系統(tǒng)工程,涉及硬件、軟件、防火墻、網(wǎng)絡(luò)監(jiān)控、身份認(rèn)證、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全要素。而網(wǎng)絡(luò)金融安全問(wèn)題關(guān)乎我國(guó)的經(jīng)濟(jì)安全甚至國(guó)家安全。因此,必須站在更高的層面審視網(wǎng)絡(luò)金融安全問(wèn)題。
一、網(wǎng)絡(luò)金融概念特點(diǎn)
(一)概念
網(wǎng)絡(luò)金融,又稱電子金融(e-finance),是一種通過(guò)個(gè)人電腦、通信終端或其他智能設(shè)備,借助國(guó)際互聯(lián)網(wǎng)和通信技術(shù)無(wú)境域限制的聯(lián)結(jié)客戶與金融機(jī)構(gòu),以實(shí)現(xiàn)及時(shí)獲取經(jīng)濟(jì)金融信息、享受網(wǎng)上金融服務(wù)、開展網(wǎng)上金融交易的金融活動(dòng)。網(wǎng)絡(luò)金融包括在線銀行、網(wǎng)上保險(xiǎn)、網(wǎng)上證券、網(wǎng)上期貨、網(wǎng)上支付、網(wǎng)上結(jié)算等金融業(yè)務(wù)。
網(wǎng)絡(luò)金融安全,是指金融網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)暢通快捷。網(wǎng)絡(luò)金融安全包括系統(tǒng)安全和信息安全兩個(gè)部分,系統(tǒng)安全主要指網(wǎng)絡(luò)設(shè)備的硬件、操作系統(tǒng)以及應(yīng)用軟件的安全,信息安全主要指各種信息的存儲(chǔ)、傳輸和訪問(wèn)的安全。
(二)特點(diǎn)
世界第一家網(wǎng)絡(luò)銀行——美國(guó)安全第一網(wǎng)絡(luò)銀行(SFNB)自1995年10月18日開業(yè)以來(lái),國(guó)際金融界掀起了一股網(wǎng)絡(luò)銀行浪潮。這一金融創(chuàng)新正徹底顛覆了金融業(yè)和金融市場(chǎng)的業(yè)態(tài),銀行由實(shí)體化向虛擬化發(fā)展,金融服務(wù)的時(shí)空界限不再明顯。與傳統(tǒng)金融相比,網(wǎng)絡(luò)金融具有以下一些特點(diǎn):
無(wú)界性。網(wǎng)絡(luò)金融的無(wú)界性主要是指金融活動(dòng)無(wú)時(shí)空局限,打破傳統(tǒng)的金融服務(wù)時(shí)間、境域、空間、方式等限制。網(wǎng)絡(luò)經(jīng)營(yíng)企業(yè)只要開通網(wǎng)絡(luò)金融業(yè)務(wù),世界各地的上網(wǎng)用戶皆可能在任一時(shí)間、任一地點(diǎn)、以任一方式成為其客戶,并以商家愿意接受的任一電子貨幣支付,交易地域模糊性給計(jì)量造成困難。
3、低成本。虛擬形態(tài)的網(wǎng)絡(luò)銀行交易成本遠(yuǎn)小于物理形態(tài)的金融機(jī)構(gòu)經(jīng)營(yíng)成本,而且服務(wù)效率得到提高、服務(wù)質(zhì)量沒有降低。這是網(wǎng)絡(luò)金融得以出現(xiàn)并迅速發(fā)展的最主要原因。
4、加密性。傳統(tǒng)金融下交易過(guò)程依賴于物理設(shè)置和現(xiàn)場(chǎng)辦公,而網(wǎng)絡(luò)金融下交易過(guò)程采取技術(shù)上加密算法或認(rèn)證系統(tǒng)的變更或認(rèn)證來(lái)實(shí)現(xiàn)。
5、信用性。電子貨幣和網(wǎng)絡(luò)金融的發(fā)展,使得一些電子商務(wù)公司等非金融機(jī)構(gòu)涉足短期電子商業(yè)信貸、中介支付、投資理財(cái)顧問(wèn)等金融或準(zhǔn)金融業(yè)務(wù),而金融交易信息傳輸保存的安全性、客戶個(gè)人信息、交易信息和財(cái)務(wù)信息的保護(hù)日益受到公眾的關(guān)注。無(wú)疑,人的信用價(jià)值以及游戲規(guī)則的固化是網(wǎng)絡(luò)金融快速發(fā)展基石。
二、網(wǎng)絡(luò)金融安全現(xiàn)狀
網(wǎng)絡(luò)金融安全伴隨著網(wǎng)上交易的整個(gè)過(guò)程。主要有兩個(gè)方面:一是來(lái)自金融機(jī)構(gòu)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)自身的安全以及自身的管理水平和內(nèi)控能力。如由于軟硬件配置不匹配、系統(tǒng)設(shè)計(jì)不合理、運(yùn)行不穩(wěn)定等形成的安全隱患;二是來(lái)自于金融機(jī)構(gòu)外部,取決于選擇的開發(fā)商、供應(yīng)商、咨詢或評(píng)估公司的水平,以及其他各種外來(lái)因素如黑客攻擊、自然災(zāi)害侵襲等所造成的安全問(wèn)題。
有關(guān)調(diào)查表明,目前國(guó)內(nèi)80%的網(wǎng)站都存在安全隱患,其中有20%網(wǎng)站的安全問(wèn)題還十分嚴(yán)重。安全問(wèn)題已日益成為困擾網(wǎng)上金融交易的最大問(wèn)題,影響我國(guó)網(wǎng)上金融業(yè)務(wù)的健康發(fā)展。網(wǎng)絡(luò)金融活動(dòng)中的安全隱患,主要表現(xiàn)在:
網(wǎng)絡(luò)系統(tǒng)漏洞?;ヂ?lián)網(wǎng)本身固有的技術(shù)體制存在缺陷。基于遠(yuǎn)程通信的便利,互聯(lián)網(wǎng)并未考慮安全性問(wèn)題,因而基于信任主機(jī)之間的通信而設(shè)計(jì)的TCP/IP協(xié)議缺乏安全機(jī)制,建立在互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)的金融網(wǎng)絡(luò)系統(tǒng)存在安全漏洞,防毒軟件功能不強(qiáng),造成網(wǎng)絡(luò)運(yùn)行不穩(wěn)定,被病毒入侵、被黑客攻擊,輕者數(shù)據(jù)毀壞丟失,重者燒毀硬件。目前全球的黑
客攻擊事件,40%是針對(duì)金融系統(tǒng)的,我國(guó)則高達(dá)60%以上。
3、交易系統(tǒng)缺陷。按照我國(guó)有關(guān)規(guī)定,金融機(jī)構(gòu)的網(wǎng)上業(yè)務(wù)要達(dá)到三級(jí)安全標(biāo)準(zhǔn),但目前大多數(shù)金融機(jī)構(gòu)的安全狀況都未達(dá)到這一要求,其自行開發(fā)、應(yīng)用的網(wǎng)上交易系統(tǒng)大多未經(jīng)過(guò)權(quán)威部門的檢測(cè)認(rèn)證,存在安全控制技術(shù)落后、安全防范措施不到位、抗攻擊能力不強(qiáng)、響應(yīng)滯后、訪問(wèn)授權(quán)混亂、客戶地址及郵箱等資源保護(hù)不力等情況。出現(xiàn)系統(tǒng)虛假信息泛濫;賬戶密碼被黑客破譯,數(shù)據(jù)資料、交易指令被篡改,資金被盜取,股票、債券、基金等金融資產(chǎn)被盜賣;信息傳遞的私密性、真實(shí)性、完整性、不可否認(rèn)性缺乏保障等等現(xiàn)象。
4、交易監(jiān)管滯后。由于網(wǎng)絡(luò)金融交易的不透明、虛擬性、開放性,增大了交易者之間身份確認(rèn)、交易真實(shí)性驗(yàn)證、信用評(píng)價(jià)方面的信息不對(duì)稱,決定了網(wǎng)上支付和結(jié)算系統(tǒng)全球化,提高了信用風(fēng)險(xiǎn)程度。目前,我國(guó)網(wǎng)絡(luò)金融運(yùn)作監(jiān)管經(jīng)驗(yàn)不足、手段不全、技術(shù)落后、分業(yè)網(wǎng)上監(jiān)管職責(zé)界定不清、內(nèi)控制度不健全、網(wǎng)上業(yè)務(wù)定期內(nèi)部審計(jì)流于形式,出現(xiàn)了網(wǎng)上業(yè)務(wù)運(yùn)作中密碼控制不嚴(yán)、軟件控制功能薄弱、授權(quán)機(jī)制執(zhí)行不力等問(wèn)題。
5、協(xié)同機(jī)制缺乏。各銀行網(wǎng)絡(luò)系統(tǒng)各自為政,各行間信息隔絕,缺乏溝通協(xié)作。有的商業(yè)銀行將其銀行網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)、建設(shè)實(shí)施方案等作為絕密材料被保存,行業(yè)間數(shù)據(jù)資源共享是一道屏障,造成資源資金浪費(fèi),延誤了整個(gè)金融業(yè)的發(fā)展。 6、應(yīng)急預(yù)案缺失。除上述種種因素外,金融機(jī)構(gòu)未對(duì)停電、暴力犯罪等人為因素以及地震等自然災(zāi)害等突發(fā)性不確定事件的發(fā)生制定切實(shí)可行的應(yīng)急預(yù)案,在一定程度上影響著網(wǎng)絡(luò)金融的運(yùn)行安全。
三、網(wǎng)絡(luò)金融安全對(duì)策
強(qiáng)化技術(shù)防范。網(wǎng)絡(luò)金融安全防范中,技術(shù)防范是關(guān)鍵。金融企業(yè)應(yīng)制定全面周密的軟硬件裝備升級(jí)換代方案,即時(shí)引進(jìn)和應(yīng)用符合國(guó)家安全標(biāo)準(zhǔn)具有較高安全系數(shù)的金融電子化軟件平臺(tái)和金融電子設(shè)備核心技術(shù),保證計(jì)算機(jī)應(yīng)用軟件的不斷升級(jí),維護(hù)網(wǎng)絡(luò)系統(tǒng)健康運(yùn)行。要配備性能良好的內(nèi)外網(wǎng)絡(luò)防火墻、病毒防御與殺毒軟件,定期升級(jí),嚴(yán)格網(wǎng)絡(luò)登錄口(下轉(zhuǎn)第235頁(yè))(上接第233頁(yè))令管理等。要采用數(shù)字證書等較高級(jí)別的網(wǎng)絡(luò)加密技術(shù),設(shè)置交易中的客戶身份認(rèn)證和交易密碼。此外,要進(jìn)一步加大投入,網(wǎng)絡(luò)信息安全產(chǎn)品,研發(fā)網(wǎng)絡(luò)安全系統(tǒng)、語(yǔ)音鑒別系統(tǒng)、電子轉(zhuǎn)賬系統(tǒng)、智能卡識(shí)別系統(tǒng)、管理信息系統(tǒng)等,提高金融裝備國(guó)產(chǎn)化水平,夯實(shí)金融安全基礎(chǔ)。
3、加緊人才培養(yǎng)。網(wǎng)絡(luò)金融機(jī)構(gòu)要培養(yǎng)一批既掌握計(jì)算機(jī)枝術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù),又掌握金融實(shí)務(wù)和管理知識(shí)的復(fù)合型高級(jí)技術(shù)人才和管理人才。從國(guó)家層面講,要積極培養(yǎng)政治過(guò)硬、技術(shù)全面、業(yè)務(wù)精湛、作風(fēng)扎實(shí)的金融執(zhí)法隊(duì)伍,提高金融執(zhí)法人員素質(zhì),嚴(yán)厲懲治金融犯罪和違法、違規(guī)活動(dòng)。從企業(yè)層面講,要通過(guò)不間斷的全員培訓(xùn)培養(yǎng)教育,讓全體從業(yè)人員全面了解網(wǎng)絡(luò)技術(shù)安全缺陷,充分認(rèn)識(shí)潛在的網(wǎng)絡(luò)安全隱患危害性,掌握必要的軟件系統(tǒng)安全技術(shù)、數(shù)據(jù)信息安全技術(shù)、病毒防治技術(shù)等。要通過(guò)改善硬件設(shè)施和辦公條件,提高從業(yè)人員素質(zhì),提高員工業(yè)務(wù)水平,盡可能減少操作失誤帶來(lái)的麻煩,保證網(wǎng)絡(luò)金融企業(yè)的經(jīng)濟(jì)穩(wěn)定運(yùn)行和持續(xù)發(fā)展。
4、加強(qiáng)內(nèi)部控制。網(wǎng)絡(luò)金融機(jī)構(gòu)要參照相關(guān)的法規(guī)條例,制定各項(xiàng)安全管理制度,包括業(yè)務(wù)操作規(guī)程、計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、病毒防治、密鑰等安全管理制度。要加強(qiáng)人員變動(dòng)管理,及時(shí)注銷、移交和變更原有的密鑰等信息資料。要建立數(shù)據(jù)備份中心,實(shí)現(xiàn)數(shù)據(jù)可追溯性。
5、加強(qiáng)預(yù)警監(jiān)控。掌控網(wǎng)絡(luò)金融風(fēng)險(xiǎn)重在預(yù)警評(píng)估與防范。網(wǎng)絡(luò)金融機(jī)構(gòu),要建立網(wǎng)絡(luò)金融風(fēng)險(xiǎn)預(yù)警機(jī)制,專人監(jiān)控業(yè)務(wù)運(yùn)行,加工處理數(shù)據(jù),研究數(shù)據(jù)指標(biāo),制定網(wǎng)絡(luò)金融風(fēng)險(xiǎn)應(yīng)急處理預(yù)案,發(fā)現(xiàn)指標(biāo)逼近預(yù)警線,果斷采取風(fēng)險(xiǎn)防范措施以應(yīng)對(duì)。
6、加強(qiáng)監(jiān)管合作。面對(duì)網(wǎng)絡(luò)金融市場(chǎng)高度國(guó)際化,大部分金融交易依賴于電子網(wǎng)絡(luò),網(wǎng)絡(luò)銀行資金日趨龐大和資金流動(dòng)速度加快,但由于網(wǎng)絡(luò)技術(shù)發(fā)展存在先天性缺陷——技術(shù)漏洞,使得網(wǎng)絡(luò)安全成為制約網(wǎng)絡(luò)金融發(fā)展的最大障礙。我國(guó)金融管理機(jī)構(gòu)有必要適時(shí)同外國(guó)金融監(jiān)管當(dāng)局開展廣泛的國(guó)際合作,溝通信息,打擊犯罪,規(guī)范業(yè)務(wù)合作的程序,交換網(wǎng)絡(luò)監(jiān)管措施,創(chuàng)造網(wǎng)絡(luò)金融活動(dòng)的準(zhǔn)則。
[2]熊建宇.網(wǎng)絡(luò)金融的特點(diǎn)及安全體系構(gòu)建[J].科技信息,2010(31).
在不斷發(fā)展計(jì)算機(jī)和多媒體技術(shù)實(shí)現(xiàn)企業(yè)信息現(xiàn)代化以及提升自身競(jìng)爭(zhēng)力的今天,任何企業(yè)和組織一定不能忽略了強(qiáng)化信息系統(tǒng)安全管理,要意識(shí)到在企業(yè)正常運(yùn)行的情況下,信息系統(tǒng)隨時(shí)會(huì)遇到的安全故障,一定要做好信息系統(tǒng)的安全管理,并要做到在信息系統(tǒng)出現(xiàn)問(wèn)題的時(shí)候能夠做到及時(shí)有效的進(jìn)行處理,最大限度的保證信息系統(tǒng)的順利進(jìn)行。
【關(guān)鍵詞】信息系統(tǒng) 安全 管理 技術(shù) 設(shè)備
只要有信息系統(tǒng)的使用,難免會(huì)出現(xiàn)故障,這就需要我們有關(guān)工作人員的精心維護(hù),一旦發(fā)現(xiàn)有故障出現(xiàn),要及時(shí)有效的進(jìn)行處理。若要在信息系統(tǒng)出現(xiàn)問(wèn)題的時(shí)候能夠做到及時(shí)有效的解決,就必須在技術(shù)設(shè)備以及人員管理上擁有一套更好的網(wǎng)絡(luò)系統(tǒng)安全應(yīng)急預(yù)案。文中筆者根據(jù)自己的工作經(jīng)驗(yàn)對(duì)信息系統(tǒng)的安全管理作出簡(jiǎn)要論述,愿與讀者共同探討。
1 信息系統(tǒng)安全管理的必要性
只要涉及到信息系統(tǒng)的設(shè)計(jì)和運(yùn)行,都不可能做到百分百的安全,所謂信息系統(tǒng)安全就是指能夠解除不必要的危害,使得工作可以正常運(yùn)行,使企業(yè)及用戶的損失能夠降到最低。信息系統(tǒng)安全管理是對(duì)一個(gè)企業(yè)及組織內(nèi)的信息系統(tǒng)的生命周期全過(guò)程進(jìn)行合理的安全任務(wù)需要的有效管理,其中主要是落實(shí)安全組織和安全管理人員,分清職務(wù)和責(zé)任,做好安全防范工作,以保證工作能夠順利完整的進(jìn)行,并能夠確保一旦出現(xiàn)任何問(wèn)題能夠把風(fēng)險(xiǎn)及損失降到最低。若要在信息系統(tǒng)出現(xiàn)問(wèn)題的時(shí)候能夠做到及時(shí)有效的解決,就必須在技術(shù)設(shè)備以及人員管理上擁有一套更好的網(wǎng)絡(luò)系統(tǒng)安全應(yīng)急預(yù)案。信息系統(tǒng)安全已經(jīng)逐漸成為企業(yè)以及組織、機(jī)構(gòu)最重要的一部分,只要能夠?qū)⑿畔⑾到y(tǒng)安全管理工作做好,就能夠在相應(yīng)的時(shí)間段內(nèi)保證安全防范工作,由此便可以避免造成不必要的損失。所以,做好信息系統(tǒng)安全管理工作是非常有必要的。
2 信息系統(tǒng)安全技術(shù)以及不安全因素的來(lái)源
信息系統(tǒng)安全技術(shù)主要包括訪問(wèn)身份識(shí)別技術(shù)、訪問(wèn)控制技術(shù)、防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和數(shù)字簽名技術(shù)。身份識(shí)別技術(shù)是通過(guò)用戶身份、口令、秘鑰等方法對(duì)用戶進(jìn)行身份識(shí)別,可以通過(guò)對(duì)用戶的外貌以及指紋和用戶的相關(guān)證件來(lái)達(dá)到識(shí)別效果。訪問(wèn)控制技術(shù)的好處就是能夠給用戶免去不必要的麻煩,強(qiáng)制訪問(wèn)控制則通過(guò)無(wú)法回避的訪問(wèn)限制來(lái)防止對(duì)系統(tǒng)的不法侵入。防火墻可以說(shuō)是網(wǎng)絡(luò)相互間的安全接口,它的用處就是保障網(wǎng)絡(luò)安全運(yùn)行,不但保證了網(wǎng)絡(luò)信息的安全,而且可以預(yù)防內(nèi)部消息外漏。數(shù)據(jù)加密技術(shù)是當(dāng)前達(dá)到身份認(rèn)證、系統(tǒng)鑒別和信息交換的有效方法。認(rèn)證技術(shù)的作用就是核對(duì)信息來(lái)源的身份以及保證信息的真實(shí)性。數(shù)字簽名技術(shù)是為了避免網(wǎng)絡(luò)通信中出現(xiàn)否認(rèn)、偽造、冒充以及篡改等問(wèn)題的安全技術(shù)。
不安全因素的來(lái)源:信息系統(tǒng)的安全管理的實(shí)施對(duì)企業(yè)以及組織、機(jī)構(gòu)都有著非常重要的作用,所以必須要全面分析影響信息系統(tǒng)安全管理的來(lái)源后,才能夠有針對(duì)性的建立更好的信息系統(tǒng)安全管理體系。信息系統(tǒng)安全不僅是一個(gè)復(fù)雜的技術(shù)問(wèn)題,更能涉及到的是社會(huì)經(jīng)濟(jì)問(wèn)題。信息系統(tǒng)的有效運(yùn)行必須有一套完整的管理措施,方可確保人民及企業(yè)的經(jīng)濟(jì)不受損害。據(jù)統(tǒng)計(jì),信息系統(tǒng)不安全因素的主要來(lái)源不外乎以下幾種,首先是軟件的因素,主要是操作系統(tǒng)安全與數(shù)據(jù)庫(kù)系統(tǒng)安全方面。其次是網(wǎng)絡(luò)的因素,其主要是內(nèi)部網(wǎng)的因素與外部網(wǎng)的連接安全方面。再次是機(jī)房不達(dá)標(biāo)因素以及設(shè)備存在安全管理漏洞因素。最后是信息安全因素,主要包括信息傳輸線路不安全、存儲(chǔ)保護(hù)技術(shù)有弱點(diǎn)及使用管理不嚴(yán)格等因素。
3 信息系統(tǒng)的安全管理具體實(shí)施
企業(yè)在不斷發(fā)展計(jì)算機(jī)和多媒體技術(shù)實(shí)現(xiàn)企業(yè)信息現(xiàn)代化以及提升自身競(jìng)爭(zhēng)力的同時(shí),一定不能忽略了強(qiáng)化信息系統(tǒng)安全管理,要意識(shí)到在企業(yè)正常運(yùn)行的情況下,信息系統(tǒng)隨時(shí)會(huì)遇到的安全故障,一定要切實(shí)采取有效的應(yīng)對(duì)辦法。信息系統(tǒng)安全管理是一個(gè)全方位的工作,必須要做到多方面的考慮,做到有效的管理和對(duì)應(yīng)的安全技術(shù)、制度、政策法規(guī)的合理完善,只要從多方面的建立起綜合性的信息系統(tǒng)安全防范體系,才能使企業(yè)的損失降到最低,信息系統(tǒng)才能更安全、更有效的發(fā)揮其應(yīng)有的作用。第一,要根據(jù)企業(yè)及機(jī)構(gòu)不同職位的不同需求,制定出不同的訪問(wèn)權(quán)限認(rèn)證系統(tǒng)。跟蹤密碼技術(shù)、系統(tǒng)掃描安全檢查技術(shù)、網(wǎng)絡(luò)攻擊監(jiān)控技術(shù)、信息內(nèi)容監(jiān)控技術(shù)、審計(jì)跟蹤技術(shù)及證據(jù)搜集、認(rèn)定等安全技術(shù)的順利研究,保證系統(tǒng)的技術(shù)控制體系。第二,技術(shù)控制模型一定要建立在保護(hù)計(jì)算機(jī)系統(tǒng)與彌補(bǔ)技術(shù)漏洞的原則上。計(jì)算機(jī)系統(tǒng)提出分為物理環(huán)境、軟件程序、網(wǎng)絡(luò)通信和信息數(shù)據(jù)幾部分組成,所以研究技術(shù)控制模型一定要圍繞這幾部分來(lái)完成,而且要制定出和其相對(duì)應(yīng)的物理環(huán)境技術(shù)控制模型、軟件程序控制模型、網(wǎng)絡(luò)通信控制模型以及信息安全控制模型。第三,信息系統(tǒng)的安全稽核是系統(tǒng)安全工程的重要部分,通常會(huì)以安全稽核來(lái)驗(yàn)證系統(tǒng)的安全性,以及統(tǒng)計(jì)風(fēng)險(xiǎn)性,以此得出的結(jié)果來(lái)制定相應(yīng)的安全措施。第四,若要信息系統(tǒng)能夠順利的阻擋外來(lái)入侵、病毒破壞,確保信息的完整性、可靠性和保密性,就要合理的實(shí)施安全技術(shù),不論是何種故障,都有其相應(yīng)的過(guò)程,抓住此過(guò)程的重要環(huán)節(jié),便能夠采取相應(yīng)的對(duì)應(yīng)方法給予制止。所以,要根據(jù)信息系統(tǒng)的安全要求制定保障信息系統(tǒng)安全運(yùn)行的相關(guān)制度。系統(tǒng)安全運(yùn)行包括機(jī)房管理,系統(tǒng)網(wǎng)絡(luò)運(yùn)行管理,信息介質(zhì)管理,查詢登記與結(jié)果返回,系統(tǒng)故障與安全事故報(bào)告、安全審計(jì)等方面。
4 總結(jié)
只要涉及到信息系統(tǒng)的設(shè)計(jì)和運(yùn)行,都不可能做到百分百的安全,信息系統(tǒng)的安全最有效的措施還是離不開相關(guān)管理策略,企業(yè)及組織的正常運(yùn)行都要圍繞這一策略來(lái)實(shí)行,假如在安全管理策略上出現(xiàn)問(wèn)題,就等于是零安全系統(tǒng)。然而要制定有效的信息系統(tǒng)安全管理措施,就必須要分清信息系統(tǒng)安全技術(shù)以及不安全因素的來(lái)源,并要做到在信息系統(tǒng)出現(xiàn)問(wèn)題的時(shí)候能夠做到及時(shí)有效的進(jìn)行處理,最大限度的保證信息系統(tǒng)的順利進(jìn)行。
參考文獻(xiàn)
[1]李思雨,馬倩倩.網(wǎng)絡(luò)信息安全的常見問(wèn)題.電子測(cè)試,2013(11).
[2]吳春麗,于正成.信息技術(shù)安全管理的主要設(shè)施[J].中國(guó)電子商務(wù),2014(02).
[3]高澤,謝燕將.信息系統(tǒng)的日常保護(hù)[J].消費(fèi)電子,2014(03).
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)