前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全培訓技術主題范文,僅供參考,歡迎閱讀并收藏。
一、加強頂層設計,確立信息安全教育國家戰(zhàn)略
1.《網絡空間安全國家戰(zhàn)略》
布什政府在2003年2月了《網絡空間安全國家戰(zhàn)略》,其中首次從國家層面提出了“提高網絡安全意識與培訓計劃”,指出,“除了信息技術系統(tǒng)的脆弱性外,要提高網絡的安全性至少面臨著兩個障礙:缺乏對安全問題的了解和認識;無法找到足夠多的經過培訓或通過認證的人員來建立并管理安全系統(tǒng)。“為此,美國要開展全國性的增強安全意識活動,加強培訓和網絡安全專業(yè)人員資格認證。
2.《美國網絡安全評估》報告
2009年5月29日美國公布了《美國網絡安全評估》報告,評估了美國政府在網絡空間的安全戰(zhàn)略、策略和標準,指出了存在的問題,提出行動計戈IJ。所提議的優(yōu)先行動計劃之一就是“加強公眾網絡安全教育”。
3.《國家網絡安全綜合計劃》(CNCI)
2010年3月2日,奧巴馬政府對前布什政府在2007年制定的一份國家網絡安全綜合計劃的部分內容進行解密。CNCI計劃提出要實現(xiàn)重要目標之一就是:“為了有效地保證持續(xù)的技術優(yōu)勢和未來的網絡安全,必須制定一個技術熟練和精通網絡的勞動力和未來員工的有效渠道。擴大網絡教育,以加強未來的網絡安全環(huán)境。”
4.《國家網絡空間安全教育戰(zhàn)略計劃》
2011年8月11日,NIST授權《美國網絡
安全教育倡議戰(zhàn)略規(guī)劃:構建數字美國》草案,征求公眾意見。該規(guī)劃是美國網絡安全教育倡議(NICE)的首個戰(zhàn)略規(guī)劃,闡明了NICE的任務、遠景和目標。NICE旨在通過創(chuàng)新的網絡行為教育、培訓和加強相關意識,促進美國的經濟繁榮和保障國家安全,并通過以下三個目標實現(xiàn)這一愿景:增強公眾有關網上活動風險的意識;擴展能支持國家網絡安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網絡安全隊伍。
二、做好立法工作,完善法規(guī)標隹體系
1.《聯(lián)邦信息安全管理法案》(FISMA)
2002年7月,美國政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經認識到信息安全對美國經濟和國家安全利益的重要性,并從風險管理角度提出了一個有效的信息安全管理體系。信息安全教育與培訓是信息安全管理體系中一個重要環(huán)節(jié)。
FISMA法案明確要求:聯(lián)邦政府機構須為內外部相關人員提供信息安全風險的安全意識培訓,為此還提議了一個較為完善的國家安全意識及其培訓系統(tǒng)。
2.國防部(DoD)8570指令
2005年12月,為了更好地支持“全球信息網格計戈j”,美國國防部了8570指令。該指令涵蓋以下主要內容:建立技術基準,管理職員的信息保障技能;實現(xiàn)正規(guī)的信息保障勞動力技能培訓和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎教育和實驗教育中,持續(xù)的增加信息保障內容。
3.聯(lián)邦政府信息技術安全培訓標準(FIPS)
FISMA法案明確指定NIST負責制定聯(lián)邦政府(除國防、情報部門以外)所使用的信息安全技術、產品和培訓方面的國家標準。目前,NIST已制定和兩部權威的信息安全培訓標準:《信息技術安全培訓要求:基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓概念性的框架,依據這些框架,美國聯(lián)邦政府部門開展了很多綜合性的聯(lián)邦計算臟務(FSC)項目。
4.網絡安全法案
2010年3月24日,美國參議院商務、科學和運輸委員會全票通過了旨在加強美國網絡安全、幫助美國政府機構和企業(yè)有效應對網絡威脅的《網絡安全法案》。該法案要求政府機構和私營部門加強在網絡安全領域方面的信息共享,強調通過市場手段,鼓勵培養(yǎng)網絡安全人才,開發(fā)網絡安全產品和服務。
三、構建信息網絡安全組織機構,健全安全教育培訓管理體制
為了落實信息安全教育培訓相關政策和法律法規(guī),美國將協(xié)調、執(zhí)行、監(jiān)督、管理等權利分配給多個政府部門,依據最新的《國家網絡安全教育戰(zhàn)略計劃》的思路,國家標準技術研究所(NIST)為整個計劃的負責單位,協(xié)調其他部門參與計劃的實施;國土安全部(DHS)、國防部(DoD)、國務院、教育部和國家科學基金會(NSF)協(xié)力加強公眾的信息安全意識;DHS、海關總署、NSF和國家安全局(NSA)共同加強從業(yè)人員f支術能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負責建立高端網絡安全人才隊伍。
社會各界積極參與
行業(yè)協(xié)會已經站到了信息安全教育培訓的前沿,成為信息安全教育培訓的踐行者。其職責主要是協(xié)助有關部門制定信息安全教育與培訓的標準,組織持續(xù)的教育活動,并向內部成員單位實施培訓。行業(yè)協(xié)會自身作為提供教育和培訓的主體,一方面可以根據政府的引導和企業(yè)的需求來設置培訓內容;另一方面可以利用政府和產業(yè)界的資源,充分發(fā)揮其在信息安全領域內不可替代的社會職能。行業(yè)協(xié)會提供的培訓標準是政府制定的培訓標準的主要補充,為規(guī)范和完善美國信息安全培訓行業(yè)提供了切實可行的保障。
(1)國際信息系統(tǒng)審計協(xié)會(丨SACA)
國際信息系統(tǒng)審計協(xié)會(ISACA)是一個為信息管理、控制、安全和審計專業(yè)設定規(guī)范標準的全球性組織,會員遍布逾160個國家,總數超過86,000人。ISACA成立于1969年,除贊助舉辦國際會議外,還編輯出版《信息系統(tǒng)監(jiān)控期刊》,制定國際信息系統(tǒng)的審計與監(jiān)控標準,以及頒授國際廣泛認可的注冊信息系統(tǒng)審計師(CISA)專業(yè)資格認證。CISA認證體系已通過美國國家標準協(xié)會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定。同時,美國國防部也認可了CISA認證,并將其納入到國防系統(tǒng)信息技術人員技能商業(yè)資格認證體系當中。這產生了以下四方面的作用:認可CISA認證所提供的特有資格和專業(yè)知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國、跨行業(yè)的人才流動更加便利。
(2)美國系統(tǒng)網絡安全(SANS)研究院SANS是于1989年創(chuàng)立的美國非政府組織(NGO),是一所具有代表性的從事網絡安全研究教育的專業(yè)機構。1999年SANS首次推出了安全技術認證程序(GIAC)。
GIAC認證程序有以下幾個特點:
GIAC提供超過20種的信息安全認證,其大多數符合DOD8570指令。GIAC依據國家標準對安全專業(yè)人員及開發(fā)人員進行各方面技能認證。GIAC安全認證分為入門級信息安全基礎認證(GISF)和高級安全要素認證(GSEC)。兩種認證都重點考察安全基礎知識,保證揺正人員擁有必備的安全技能。其它GIAC安全認證包括:認證防火墻分析師(確認設計、配置和監(jiān)控路由器、防火墻和其它邊界設備所需的知識、技能和能力)、認證入侵分析師(評估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識)、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調查的能力。
(3)國際信息系統(tǒng)安全認證聯(lián)盟(ISC)2
國際信息系統(tǒng)安全核準聯(lián)盟(ISC)2成立于1989年,是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓和認證的國際領先非營利組織。在(ISC)2各種認證中,CISSP數量最多。截至2010年底,全球共有75000名CISSP獲證人員,其中,美國獲證人員數量超過70%^CISSP獲證人員中,約30%在政府部門工作,40%從事信息安全月服務行業(yè),30%從事用戶終端工作。
注冊信息系統(tǒng)安全專業(yè)人員通用知識體(CISSPCBK)提供了通用的信息安全術語和原理框架,使得全世界的信息安全專業(yè)人員能夠以相同的術語和理念,討論、辯論和解決信息安全相關問題。
關鍵詞:計算機;網絡;安全;結構;技術;完善
0 引言
網絡安全技術指致力于解決諸如如何有效進行介入控制以及如何保證數據傳輸的安全性的技術手段,在網絡技術高速發(fā)展的今天,它關系到小至個人的利益,大至國家的安全。對網絡安全技術的研究意義重大,對網絡安全技術的研究就是為了盡最大的努力為個人、國家創(chuàng)造一個良好的網絡環(huán)境,讓網絡安全技術更好地為廣大用戶服務。
1 計算機網絡安全體系結構
計算機網絡安全體系結構是由硬件網絡、通信軟件、防毒殺毒、防火墻以及操作系統(tǒng)構成的,對于一個系統(tǒng)而言,首先要以硬件電路等物理設備為載體,然后才能運行載體上的功能程序。對于小范圍的無線局域網而言,最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵,目前廣泛采用WPA2加密協(xié)議實現(xiàn)協(xié)議加密,通常可以將驅動程序看作為操作系統(tǒng)的一部分,經過注冊表注冊后,相應的網絡通信驅動接口才能被通信應用程序調用。
2 計算機網絡安全技術研究
2.1 安裝防病毒軟件和防火墻 在計算機主機上安裝可靠性高的防病毒軟件和防火墻,及時對主機的各個存儲空間進行安全保護,定時掃描、修補可能出現(xiàn)的技術漏洞,做到及時發(fā)現(xiàn)異常,及時處理;防火墻是通過軟、硬件組合,對企業(yè)內部網和外部網起到過濾網關的作用,從而嚴格控制外網用戶的非法訪問,并只打開允許的服務,防止外部網絡拓展服務的攻擊。
2.2 安裝入侵檢測系統(tǒng)和網絡誘騙系統(tǒng) 計算機安全防御體系是否完整有效的主要衡量因素為入侵檢測能力的高低,入侵檢測系統(tǒng)由軟件和硬件組成;網絡誘騙系統(tǒng)是通過構建虛假的計算機網絡系統(tǒng),誘騙入侵者對其進行攻擊,從而起到保護實際網絡系統(tǒng)的目的。
2.3 使用數據加密技術提高系統(tǒng)安全性 傳統(tǒng)的信息加密技術和新興的信息隱藏技術可為計算機信息的存儲及傳輸提供安全保障,用戶在進行絕密或重要信息的傳輸過程中,不僅要做好信息本身的加密,還可以利用隱藏技術對信息發(fā)送者、接收者及信息本身進行隱藏。常用的隱藏技術有隱藏術、數字嵌入、數據隱藏、數字水印和指紋技術。
2.4 做好重要信息的備份工作 計算機信息存儲工作要遵循多備份和及時更新的工作原則,數據信息可根據其重要性或數據量進行不同方式的存儲:對于不需修改的重要數據可直接刻錄光盤存儲;需要修改的數據可存儲在U盤或移動硬盤中;不重要的數據可存儲在本地計算機或局域服務器中;較小數據可存儲在郵箱中。
2.5 使用安全路由器 安全路由器的使用可將內部網絡及外部網絡進行安全隔離,互聯(lián),通過阻塞信息及不法地址的傳輸,保護企業(yè)內部信息及網絡的安全性。安全路由器是對其芯片進行密碼算法和加/解密技術,通過在路由器主板增加安全加密模件來實現(xiàn)路由器信息和IP包的加密、身份鑒別和數據完整性驗證、分布式密鑰管理等功能。
2.6 重視網絡信息安全人才的培養(yǎng) 加強計算機網絡人員的安全培訓,使網絡人員熟練通過計算機網絡實施正確有效的安全管理,保證計算機網絡信息安全。一方面要注意管理人員及操作人員的安全培訓,在培訓過程中提高專業(yè)能力、安全保密觀念、責任心;對內部人員更要加強人事管理,定期組織思想教育和安全業(yè)務培訓,不斷提高網絡人員的思想素質、技術素質和職業(yè)道德。
3 云計算安全技術的應用
云計算通過集中所需要計算的個體資源,通過需求而獲得企業(yè)所需要的資源,并且通過自動化管理與運行,從而將計算的需求傳達給網絡,使網絡能夠處理企業(yè)所需要的計算服務。云計算開創(chuàng)了一種資源共享的新模式,能夠改變當前用戶使用計算機的習慣,通過網絡計算,能夠大大節(jié)省企業(yè)所需要的空間以及實踐,從而節(jié)約企業(yè)運行成本,提升企業(yè)的工作效率。因此在云計算的過程中,必須考慮到信息安全的問題,避免商業(yè)機密泄露,給企業(yè)帶來重大的損失。
3.1 云計算的應用安全技術性分析 云計算應用安全性需要終端用戶及云服務商雙方共同采取保護措施。一方面,云計算的終端用戶應保證本人或本企業(yè)計算機的安全,利用安全軟件降低計算機被不法分子進行技術攻擊的可能。如反惡意軟件、防病毒、個人防火墻以及IPS類型的軟件等,可保護用戶瀏覽器免受攻擊,并能定期完成瀏覽器打補丁和更新工作,以保護云用戶數據信息的安全性。另一方面,用戶可使用客戶端設備訪問各種應用,但不能對云平臺基礎設備進行管理或者控制,因此,選擇云平臺供應商就顯得十分重要。評價供應商主要原則為依據保密協(xié)議,要求供應商提供有關安全實踐的信息,如設計、架構、開發(fā)、黑盒與白盒應用程序安全測試和管理。
3.2 數據安全技術性分析 云計算服務模式包括軟件即服務(SaaS)、平臺即服務(PaaS)和基礎設施即服務(laaS)三種,這三種服務模式面臨的主要問題是避免數據的丟失或被竊,因此,應在數據傳輸、隔離及殘留方面進行安全保護。
首先,在使用公共云時,傳輸數據應采取加密算法和傳輸協(xié)議,以保證數據的安全性和完整性。其次,云計算供應商為實現(xiàn)服務的可擴展性、提高數據計算效率及管理等優(yōu)勢。在安全技術未發(fā)展至可給任意數據進行安全加密的階段下,可采取的措施就是將重要或者敏感的數據與其他數據進行隔離,保障數據信息的安全性。最后,數據殘留是數據安全遭受威脅的另一因素,云計算環(huán)境下,數據殘留會無意泄露敏感信息,因此需要服務供應商能提供將用戶信息進行徹底清除的保障。
4 結語
綜上所述,加強計算機網絡安全就需要從多方面建立立體的計算機網絡安全結構體系提高對網絡風險的控制和預防,全面保障計算機網絡安全。
參考文獻:
1 局域網安全現(xiàn)狀分析
氣象信息局域網是氣象局日常辦公和業(yè)務運行所依托的平臺,通過氣象信息局域網把各個業(yè)務單位和職能處室相互連接在一起,但由于各個不同的網段間能互相訪問,且辦公用機的病毒感染率普遍比較高,所以會使業(yè)務系統(tǒng)用機遭受辦公用機(已感染病毒)攻擊的概率增大,另外,因沒有統(tǒng)一規(guī)劃防病毒措施,且各個網段的防病毒方式各不相同,所以會造成一定的漏洞,給流氓軟件及各種病毒以可乘之機?,F(xiàn)將局域網的網絡安全威脅分為以下幾類:
1.1服務器沒有獨立的安全防護
在局域網內數據傳輸的特性是快速、便捷和高效,如果局域網內的服務器未做病毒防護,其使病毒也會的直接、快速的感染。如果局域網中服務器區(qū)域不進行獨立保護,網內任一臺電腦感染病毒,在與服務器進行信息傳遞后,就會感染服務器,這樣局域網中任何一臺通過服務器進行信息傳遞的電腦,就有可能會感染病毒。局域網內部的攻擊才是難以防范的死角。
1.2計算機病毒和流氓軟件威脅
由于計算機病毒的層出不窮,局域網計算機的病毒感染率不斷上升,其中不及時安裝防病毒軟件和操作系統(tǒng)補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵是主要因素。絕大多數的病毒和惡意代碼攻擊,正是利用了這個漏洞?,F(xiàn)如今許多的病毒和流氓軟件已經成為網絡犯罪的載體,由此犯罪軟件被提出。一般網絡管理都極其重視與外部網絡連接的安全防護,而忽視了來自局域網內部的威脅,這就造成了計算機病毒和惡意代碼更加容易從內部逐漸滲透的局面。
1.3釣魚軟件的威脅
局域網是一個用于資源共享的平臺,而正是由于資源共享的“開放性”,所導致信息被更改、刪除,數據的安全可靠性較低,易被植入盜取用戶各種信息的木馬和病毒,其中釣魚軟件就是典型代表。“釣魚軟件”和“釣魚網頁”功能類似,都是通過大量發(fā)送一些虛假的信息或郵件,聲稱自己來自某些知名機構,以此騙取用戶的信任來得到他們的諸如:用戶名、口令、銀行賬戶、信用卡賬戶和各類密碼等各種敏感信息的一種方式。因大型網絡公司的安全性能日趨完善,所以網絡釣魚者的目標逐漸向一些安全意識薄弱的小型網站或企事業(yè)單位的內網用戶發(fā)展,所以防釣也是我們刻不容緩的一項安全內容。
2 氣象信息局域網安全防護策略
2.1對局域網用戶進行必要的安全培訓
網絡安全不是僅僅針對計算機或其它網絡設備而言,更多的是人使用網絡的安全。在安全中,集中了使用者、軟件、硬件和網絡。所有在網絡上的數據交互、資料交互等的操作最根本都是人為實現(xiàn)的,所以對局域網內用戶的安全培訓師必須的。首先要使大家明白網絡安全的重要性,和他們在網絡安全中所處的地位及起到的作用,從思想上加強對網絡安全的認識,以便更有效地對網絡進行安全管理。對局域網用戶應進行的安全培訓可以從以下幾方面開展:
1) 對局域網用戶進行加強安全意識的培訓,使其明白數據安全和信息安全的重要性,并自發(fā)積極地共同維護信息和數據安全。
2) 普及安全知識的培訓,使每個網內用戶掌握一定的安全知識,使其具備如何備份本地的數據,保證本地數據信息的安全可靠等基本安全技能。
3) 進行基本的網絡知識培訓,使各個用戶掌握一定的網絡知識,熟悉IP地址的配置和如何共享及取消共享文件的操作,并具有一定的網絡排查能力。
2.2對局域網進行必要的安全策略配置
氣象信息網絡中最需安全防護的一塊是數據安全,在對氣象數據要求必要保密的今天,內部網絡的信息安全就是必要的前提,再堅固的堡壘最薄弱的地方都是內部,只有通過各種安全定制,使局域網絡內部安全達到一定的標準,才能最大程度的消除安全隱患,其中包括:本地設置、防火墻技術、IP安全和密碼保護等內容。利用現(xiàn)有的安全管理軟件,再加上本身對系統(tǒng)的安全設置時解決局域網安全的基本方法。
2.2.1使用Windows NT正版操作系統(tǒng)(Windows2000及以上)對用戶的強大控制機制
可以分別限制各個用戶的權限,指定其何時入網并使其只能對指定的目錄、文件或其它資源進行一定限度的操作(如復制、上傳)。使用密碼策略,及時檢測不符合規(guī)定的密碼,對不符合要求的口令進行多次警告,無效后斷網。通過以上對用戶和口令的強制控制,可在一定程度上提高系統(tǒng)的安全性。
2.2.2在核心節(jié)點和各個主要節(jié)點處使用硬件防火墻
防火墻可以對流經它的網絡通信進行掃描,從而過濾掉一些攻擊。防火墻可以關閉不使用的端口,而且它還能禁止特定端口的輸出信息。防火墻可以禁止來自特殊用戶的訪問,從而可以防止來自不明入侵者的所有通信,過濾掉不安全的服務和控制非法用戶對網絡的訪問。防火墻可作為網絡通信的阻塞點。所有進出網絡的信息都必須通過防火墻。防火墻承擔風險的范圍從整個內部網絡縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結構上形成了一個控制中心,極大地加強了網絡安全,并簡化了網絡管理。
2.2.3屬性安全控制
它能控制以下幾個方面的權限:防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件。
2.2.4 IP地址中央集權管理
對所有的IP地址,無論是各個直屬單位,還是各地市縣局都要統(tǒng)一歸信息中心管理,尤其是核心網絡的IP地址絕對不能私用。信息中心統(tǒng)一規(guī)劃和安排IP地址的歸屬問題,各個網段的網絡管理人員要報備IP地址的使用情況,并及時更新,上報信息中心。對于IP地址 要做到唯一性,必須與指定的MAC地址進行綁定,力求一機一地址,有效地防止因IP地址沖突而造成的網絡中斷和非法用戶接入網絡而造成的病毒傳播。
2.2.5 強制安裝網絡版殺毒軟件
因氣象信息局域網是一個龐大的網絡,擁有眾多的網段,所以必須每個網段內都需要有一臺網絡殺毒軟件中控機,用以調配和控制局域網用戶殺毒軟件的安裝和升級。殺毒軟件需要強制安裝執(zhí)行,即入網用戶必須安裝,對無防毒軟件的計算機要及時阻斷其與網絡的鏈接。
2.3局域網病毒的防治措施
計算機病毒依靠網絡而不斷的發(fā)展,隨著新技術的出現(xiàn),新型的病毒也在不斷的被制造出來,由于局域網的快速讀取、互相訪問等特性使得病毒更加容易傳播。病毒通過計算機的傳播,可在很短的時間內使整個網絡陷入癱瘓狀態(tài),因此防毒是首要措施,防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防毒系統(tǒng)是需要逐級建立的,所以主要通過以下幾個途徑來制定有針對性的防毒策略:
2.3.1 增加安全意識
杜絕病毒,主觀能動性起到很重要的作用。病毒的蔓延,經常是由于企業(yè)內部員工對病毒的傳播方式不夠了解,病毒傳的渠道有很多種,可通過網絡、物理介質等。查殺病毒,首先要知道病毒到底是什么,它的危害是怎么樣的,知道了病毒危害性,提高了安全意識,杜絕毒瘤的戰(zhàn)役就已經成功了一半。平時,企業(yè)要從加強安全意識著手,對日常工作中隱藏的病毒危害增加警覺性,如安裝一種大眾認可的網絡版殺毒軟件,定時更新病毒定義,對來歷不明的文件運行前進行查殺,每周查殺一次病毒,減少共享文件夾的數量,文件共享的時候盡量控制權限和增加密碼等,都可以很好地防止病毒在網絡中的傳播。
2.3.2 有效防止移動存儲設備病毒
如何有效地防止移動存儲設備的病毒,是防止局域網病毒傳播的重要手段,所以在使用移動存儲設備的時候,首先要進行病毒掃描和查殺,有效把病毒拒之門外。
2.3.3網絡版殺毒軟件的選擇。
常規(guī)來講,殺毒軟件的選擇,遵循以下原則:查殺是否徹底;界面是否友好、方便;能否實現(xiàn)遠程控制、集中管理等。瑞星殺毒軟件在這些方面都相當不錯,能夠熟練掌握瑞星殺毒軟件使用,及時升級殺毒軟件病毒庫,有效使用殺毒軟件是防毒殺毒的關鍵。
通過以上策略的設置,能夠及時發(fā)現(xiàn)網絡運行中存在的問題,快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點,及時、準確的切斷安全事件發(fā)生點和網絡。
3 結束語
氣象信息網絡的安全控制與病毒防治是一項長期且艱巨的任務,要在不斷探索、完善的基礎上,及時應對隨著網絡應用發(fā)展的各種計算機病毒和新的病毒傳播途徑,以及日益復雜的安全問題,需要建立全方位、立體式的網絡防護體系,要具備完善的管理機制用以維護和設置網絡安全策略。
參考文獻:
[1] 吳鈺鋒,劉泉,李方敏.網絡安全中的密碼技術研究及其應用[J].真空電子技術,2004:34-36.
[2] 楊義先.網絡安全理論與技術[M].北京:人民郵電出版社,2003:76-89.
[3] 李學詩.計算機系統(tǒng)安全技術[M].武漢:華中理工大學出版社,2003:73-79.
[4] 胡偉建.網絡安全與保密[M].西安:西安電子科技大學,2003.
1數據信息安全威脅信息數據
面臨的安全威脅來自于多個方面,有通過病毒、非授權竊取來破壞數據保密性的安全威脅,有因為操作系統(tǒng)故障、應用系統(tǒng)故障等導致的破壞數據完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅,還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅,這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取,給公共衛(wèi)生行業(yè)帶來無法彌補的損失。
2安全管理缺失公共衛(wèi)生行業(yè)
在信息化建設工作中,如果存在重應用、輕安全的現(xiàn)象,在IT系統(tǒng)建設過程中沒有充分考慮信息安全的科學規(guī)劃,將導致后期信息安全建設和管理工作比較被動,業(yè)務的發(fā)展及信息系統(tǒng)的建設與信息安全管理建設不對稱;或由于重視信息安全技術,輕視安全管理,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現(xiàn)象普遍存在,很有可能會導致本不應該發(fā)生的信息安全事件發(fā)生。
二分析問題產生的主要原因
1經費投入不足導致的安全防范技術
薄弱許多公共衛(wèi)生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發(fā)以后國家投入建設的,運行至今,很多省級以下的公共衛(wèi)生單位由于領導認識不足或經費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛(wèi)生信息化的投入,很少將經費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術比較薄弱,因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數據丟失、竊取的現(xiàn)象時有發(fā)生,嚴重影響了重要信息數據的保密性、完整性和安全性,一旦發(fā)生信息安全事件后果將不堪設想。
2專業(yè)技術人才缺乏
建設信息化、發(fā)展信息化最大的動力資源是掌握信息化的專業(yè)技術人才,人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎,然而,公共衛(wèi)生行業(yè)的人才梯隊主要以疾病控制、醫(yī)學檢驗專業(yè)為主,信息化、信息安全專業(yè)技術人才缺乏,隊伍力量薄弱,不能很好地利用現(xiàn)有的計算機軟硬件設備,也很難對本單位現(xiàn)有的信息化、信息安全現(xiàn)狀進行有效的評估,缺乏制定本行業(yè)長期、可持續(xù)信息化建設發(fā)展規(guī)劃的能力,這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因素。
3信息安全培訓不足
職工安全保密意識不強信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛(wèi)生行業(yè)的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網絡安全不夠重視,缺乏網絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經常有意無意的傳播病毒,使得單位網絡系統(tǒng)經常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網絡的安全穩(wěn)定運行;同時,許多職工對于單位的移動介質缺乏規(guī)范化管理意識,隨意將拷貝有信息的移動硬盤、優(yōu)盤等介質帶出單位,在其他聯(lián)網的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。
三如何促進公共衛(wèi)生行業(yè)計算機網絡安全性提升
1強化管理
建立行業(yè)計算機網絡安全管理制度為了確保整個計算機網絡的安全有效運行,建立出一套既符合本行業(yè)工作實際的,又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容:
1.1成立信息安全管理機構
引進信息安全專業(yè)技術人才,結合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統(tǒng)管全局的網絡安全管理規(guī)定。
1.2制定信息安全知識培訓制度
定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網絡安全知識最新動態(tài),結合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術人員進行專業(yè)知識和操作技能的培訓,培養(yǎng)一支具有安全管理意識的隊伍,提高應對各種網絡安全攻擊破壞的能力。
1.3建立信息安全監(jiān)督檢查機制
開展定期或不定期內部信息安全監(jiān)督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結果直接與科室和個人的獎勵績效工資、評先評優(yōu)掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
2開展信息安全等級保護
建設開展信息安全等級保護建設,通過對公共衛(wèi)生行業(yè)處理、存儲重要信息數據的信息系統(tǒng)實行分等級安全保護,對信息系統(tǒng)中使用的信息安全產品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統(tǒng)安全等級保護建設情況進行測評,存在問題及時整改,從制度落實、安全技術防護、應急處置管理等各個方面,進一步提高公共衛(wèi)生行業(yè)信息安全的防護能力、應急處置能力和安全隱患發(fā)現(xiàn)能力。
3加強網絡安全技術防范
隨著信息技術的高速發(fā)展,信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網絡安全技術特點,建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系,全面增強網絡系統(tǒng)的安全性和可靠性。
3.1防火墻技術
防火墻技術在公共衛(wèi)生行業(yè)網絡安全建設體系中發(fā)揮著重要的作用,按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態(tài)檢測防火墻三種類型,一般部署在核心網絡的邊緣,將內部網絡與Internet之間或者與其他外部網絡互相隔離,有效地記錄Internet上的活動,將網絡中不安全的服務進行有效的過濾,并嚴格限制網絡之間的互相訪問,從而提高網絡的防毒能力和抗攻擊能力,確保內部網絡安全穩(wěn)定運行。
3.2入侵檢測
入侵檢測是防火墻的合理補充,是一種對網絡傳輸進行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備,檢測方法包括基于專家系統(tǒng)入侵檢測方法和基于神經網絡的入侵檢測方法兩種,利用入侵檢測系統(tǒng),能夠迅速及時地發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?,F(xiàn)象,幫助系統(tǒng)對付內部攻擊和外部網絡攻擊,在網絡系統(tǒng)受到危害之前攔截和響應入侵,在安全審計、監(jiān)視、進攻識別等方面進一步擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎結構的完整性。
3.3虛擬專用網絡(VPN)技術
VPN技術因為低成本、高度靈活的特點,在很多行業(yè)信息化建設中被廣泛應用,公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進行數據傳輸的,如中國疾病預防控制信息系統(tǒng)等,通過在公用網絡上建立VPN,利用VPN網關將數據包進行加密和目標地址轉換,以實現(xiàn)遠程訪問。VPN技術實現(xiàn)方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統(tǒng)VPN鏈路網絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現(xiàn)國家到省、市、縣四級的互聯(lián)互通和數據傳輸共享。VPN通過使用點到點協(xié)議用戶級身份驗證的方法進行驗證,將高度敏感的數據地址進行物理分隔,只有授權用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權用戶接觸或竊取重要數據,為用戶信息提供了很高的安全性保護。
四結語
關鍵詞:計算機;安全保密;網絡安全;
文章編號:1674-3520(2015)-09-00-01
一、前言
隨著網絡通信技術的不斷發(fā)展,計算機普及范圍越來越廣,企業(yè)辦公、生產生活、商務活動、國防建設、政治金融等各項活動的展開,均對計算機產生不同程度的依賴。當今社會最重要的資源已經變?yōu)樾畔?,計算機信息系統(tǒng)的安全保密問題由此也成為社會各界人士關注的熱點。
二、計算機安全保密管理工作的重要性
計算機安全保密工作既是國際問題,也是我國面臨的重要問題。從國際角度看,電腦黑客無孔不入,可隨意窺探各國政府、軍隊、企業(yè)的絕密文件,甚至是公民的個人隱私;更有甚者可能利用信息技術制造危害國家和個人的危險事件,從而對受害國造成政治、經濟上的恐慌;從國內角度看,計算機及網絡系統(tǒng)已經成為我國國民經濟和社會發(fā)展的重要組成部分,政府上網工程和企業(yè)信息化建設速度不斷加快,計算機作為最主要的辦公工具之一,其安全性若遭受損害,必然對我國政治建設和經濟發(fā)展造成重大負面影響。
三、計算機安全問題產生原因
(一)客觀原因。1、計算機安全管理存在的問題。計算機技術飛速發(fā)展的同時,其安全管理并未得到同等程度的發(fā)展。一方面,關于計算機安全的法律建設不夠健全,在法律約束力極度缺失的情況下,會造成計算機愛好者在無意識情況下犯下嚴重錯誤,從而造成極大的損失;另一方面計算機及網絡技術在發(fā)展過程中,其應用性研究工作遠遠領先于安全研究工作,計算機安全管理研究工作的滯后性影響了計算機的安全使用。2、計算機安全技術問題。計算機及網絡技術本身的特性,給計算機安全帶來威脅。隨著信息技術的發(fā)展,信息全球范圍共享、信息存儲、消除及恢復技術都使計算機成為不法分子犯罪的主要工具。如,信息共享及計算機系統(tǒng)的不穩(wěn)定性,給犯罪者提供了作案環(huán)境,信息消除技術可將其作案痕跡進行消除,增強了犯罪行為的隱蔽性。
(二)人為原因。利用計算機進行范圍的人群主要分為三類,一類受利益驅使,在金錢及利益的誘惑下做出了犯罪行為;一類為報復社會,利用計算機及網絡技術傳播不良信息或負面信息,從而發(fā)泄自身對社會或企業(yè)的不滿;最后一類為向社會或企業(yè)展示其計算機技術領域才華的人,希望利用犯罪行為引起他人關注。
四、計算機安全保密管理應采取的對策
(一)加強計算機安全保密管理
1、完善計算機信息安全的法律體系。國家及各級政府應加強計算機信息安全方面的法律建設,不斷完善各項法律法規(guī),為企業(yè)及個人提供詳實的法律依據,防止由于法律約束力的限制,造成犯罪行為的發(fā)生,給國家或個人帶來損失;另一方面應加強計算機安全保密意識的教育及宣傳工作,定期組織相關人員學習有關法規(guī)文件和安全教材,更新安全保密觀念,增強安全保密意識,增長網絡安全保密知識,提高網絡保密素質,改善網絡安全保密環(huán)境。
2、制定嚴格的信息安全管理制度。企業(yè)應設立專門的計算機安全管理機構,其組成人員包括企業(yè)領導和專業(yè)技術人員,并根據各自的職能安排不同的分工。其中領導及管理人員主要負責安全措施的制定,如安全方針、政策等,并對安全措施的實施進行協(xié)調及監(jiān)督管理;技術人員則負責具體的安全管理工作,主要包括計算機安全管理、信息保密管理、計算機系統(tǒng)管理等。為加強安全管理工作的有效性,在進行安全管理組織過程中,應注意按照多人負責原則、任期有限原則及職責分離原則進行計算機及網絡系統(tǒng)的安全管理。
(二)加強計算機安全技術的使用。1、使用數據加密技術提高系統(tǒng)安全性。傳統(tǒng)的信息加密技術和新興的信息隱藏技術可為計算機信息的存儲及傳輸提供安全保障,用戶在進行絕密或重要信息的傳輸過程中,不僅要做好信息本身的加密,還可以利用隱藏技術對信息發(fā)送者、接受者及信息本身進行隱藏。常用的隱藏技術有隱藏術、數字嵌入、數據隱藏、數字水印和指紋技術。2、安裝防病毒軟件和防火墻。在計算機主機上安裝可靠性高的防病毒軟件和防火墻,及時對主機的各個存儲空間進行安全保護,定時掃描、修補可能出現(xiàn)的技術漏洞,做到及時發(fā)現(xiàn)異常,及時處理;防火墻是通過軟、硬件組合,對企業(yè)內部網和外部網起到過濾網關的作用,從而嚴格控制外網用戶的非法訪問,并只打開允許的服務,防止外部網絡拓展服務的攻擊。3、使用安全路由器。安全路由器的使用可將內部網絡及外部網絡進行安全隔離,互聯(lián),通過阻塞信息及不法地址的傳輸,保護企業(yè)內部信息及網絡的安全性。安全路由器是對其芯片進行密碼算法和加/解密技術,通過在路由器主板增加安全加密模件來實現(xiàn)路由器信息和IP包的加密、身份鑒別和數據完整性驗證、分布式密鑰管理等功能。4、安裝入侵檢測系統(tǒng)和網絡誘騙系統(tǒng)。計算機全防御體系是否完整有效的主要衡量因素為入侵檢測能力的高低,入侵檢測系統(tǒng)由軟件和硬件組成;網絡誘騙系統(tǒng)是通過構建虛假的計算機網絡系統(tǒng),誘騙入侵者對其進行攻擊,從而起到保護實際網絡系統(tǒng)的目的。5、做好重要信息的備份工作。計算機信息存儲工作要注意多備份和及時更新的工作原則,數據信息可根據其重要性或數據量進行不同方式的存儲:對于不需修改的重要數據可直接刻錄光盤存儲;需要修稿的數據可存儲在U盤或移動硬盤中;不重要的數據可存儲在本地計算機或局域服務器中;較小數據可存儲在郵箱中。
(三)重視網絡信息安全人才的培養(yǎng)。加強計算機網絡人員的安全培訓,使網絡人員熟練通過計算機網絡實施正確有效的安全管理,保證計算機網絡信息安全。一方面要注意管人員及操作人員的安全培訓,在培訓過程中提高專業(yè)能力、安全保密觀念、責任心;對內部人員更要加強人事管理,定期組織思想教育和安全業(yè)務培訓,不斷提高人員的思想素質、技術素質和職業(yè)道德。
五、總結
計算機網絡安全已經成為關系國家安全、經濟建設和政治建設的重要組成部分,國家、企業(yè)、個人應共同努力,做好計算機及網絡的安全管理工作,防止由于計算機安全問題給國家和個人帶來巨大經濟損失。
參考文獻:
[1]韓濤,常峰. 當前計算機安全危害的特點及對策分析[J]. 電子技術與軟件工程,2015,08:220.
一、我院信息網絡安全工作開展情況
(一)概況:我院信息化建設起步晚,基礎薄弱。在院領導的重視支持下,自2013年開始信息化建設得以快速發(fā)展。目前醫(yī)院設立單獨中心機房,配備有服務器、存儲、核心交換機、防火墻、UPS、VPN、IPS等專用設備。工作人員為4人,負責全院信息網絡建設,信息系統(tǒng)維護、軟硬件設備維護等工作。相繼建設運行的系統(tǒng)有:HIS系統(tǒng)、LIS系統(tǒng)、體檢系統(tǒng)、電子病歷等業(yè)務。
(二)關鍵信息基礎設施情況:我院關鍵信息基礎設施主要是業(yè)務類系統(tǒng),負責全院醫(yī)療業(yè)務流程管理和質量管理、醫(yī)院日常辦公管理。醫(yī)院網站為托管模式,與我院內網完全分離,制定較為嚴格的管理及訪問規(guī)則,保證網站安全運行。
(三)醫(yī)院網絡安全主要工作情況:
(1)加強制度建設和培訓宣傳。我院近兩年完善了信息網絡管理及安全建設相關的管理制度、應急預案,制定了網絡及安全管理崗位職責、工作流程,開展了全員參與的信息網絡安全培訓,通過不斷的宣傳和督促,讓員工樹立信息網絡安全意識,主動參與網絡安全防護、防止信息泄露,確保醫(yī)院信息網絡運行安全。
(2)健全組織,強化責任。信息管理作為醫(yī)院管理的重要工作之一,院領導十分重視。醫(yī)院調整了信息化建設領導小組,由院長任組長,相關人員為成員。領導小組下設工作小組,由相關職能科室負責人、信息技術專業(yè)人員為成員。明確了包括醫(yī)院信息規(guī)劃、信息網絡建設、信息網絡安全、網絡應急、人員培訓等方面的職能職責。為了進一步落實各級主管部門強調加強網絡安全建設的要求,醫(yī)院成立了醫(yī)院網絡安全管理小組并明確責任。對照國家及上級有關部門的要求,不斷完善醫(yī)院信息網絡系統(tǒng)功能,不斷提升信息系統(tǒng)安全性與穩(wěn)定性,滿足日益增加的信息網絡技術服務需求。
(3)加強信息科管理??剖覂冉洺P詫π畔⒕W絡安全工作加以強調,盡量安排人員參加每一次信息網絡安全知識培訓。落實機房中心設備定期巡查制度,及時排除隱患。信息科組織專人到科室開展信息網絡安全巡查,提醒和糾正員工在日常操作中不規(guī)范行為,減少隱患。對醫(yī)院重要數據庫數據采用每日備份,和定期拷貝備份的方式,確保數據安全。
(4)多種防護措施保證信息網絡安全。一是業(yè)務用局域網與互聯(lián)網物理隔離。同時連接的有醫(yī)保專網、新農和專網,與互聯(lián)網一樣通過防火墻設備進入。二是訪問公網的計算機均為固定IP,并綁定計算機,且與內網隔離。防止外來計算機的進入,帶來安全隱患。財務管理軟件系統(tǒng)的計算機連接財政專網與內網完全隔離。三是今年購置了一臺新IPS設備,嚴把入口,局域內網分區(qū)域分段管理,限制訪問權限,避免病毒全網傳播。四是院內局域網中客戶端均實行域控管理,對客戶端系統(tǒng)安裝均為本科專人管理預防病毒感染和威脅。五是重點部位重點管理,機房不準無關人員進入,系統(tǒng)數據庫均設置復雜密碼,專人保管。六是定期監(jiān)控局域網內計算機是否異常,通過限制局域網內計算機使用U盤來防止病毒在網內傳播。七是服務器區(qū)關閉非必須端口,提升防護能力。八是對辦公使用的外網計算機,安裝了免費防病毒軟件。
二、主要存在的問題
盡管采取了一定的防范措施和手段,我們依然感覺到網絡發(fā)展之快,和現(xiàn)實工作對網絡的依賴程度之高,給我們的網絡管理帶來了很大壓力,特別是隨著業(yè)務的擴展和增加,以及上級各部門的工作通過互聯(lián)網完成的趨勢要求,網絡及數據安全問題的壓力陡增。通過自查及整改后防護有所好轉,但仍然存在一些問題,主要表現(xiàn)在:
(一)隨著互聯(lián)網+醫(yī)療的推進,未來將會多系統(tǒng)通過互聯(lián)網進入,對醫(yī)院局域網將帶來很大威脅,存在一定的安全隱患。醫(yī)院的業(yè)務系統(tǒng)獨成一體,在醫(yī)院內部應用,通過內部局域網的管理和控制,基本可以保證安全與穩(wěn)定。但隨著各部門要求醫(yī)院實時上報相關數據,雖然大部分專線來完成數據傳輸,但也有通過公共互聯(lián)網進行上報如網上預約、線上線下支付等,對醫(yī)院的管理和安全防護帶來壓力。醫(yī)院目前的安全防護設備相對較少,僅靠人力被動處理,抵御能力有限。
(二)信息安全需要一定經費投入,對醫(yī)院來說有壓力。醫(yī)院也通過購置相關設備對醫(yī)院的信息安全進行一定的管理,但這些設備需要不斷的更新,需要費用不斷投入,而且因為價格過高而沒有單獨購置主要系統(tǒng)(操作系統(tǒng)、數據庫系統(tǒng)、網絡殺毒)的正版軟件,對安全來說沒有保障。
(三)安全防護本身就是一個難題,涉及的點面較多,普通應用人員對網絡威脅的辨別能力和防范意識不高,也容易產生隱患。而目前醫(yī)院網絡管理專業(yè)技術人員缺乏也是安全防護隱患存在的一個因素。
三、下一步工作措施及建議
通過本次的自查,我們將進行下一步整改,通過對制度的完善,加強培訓,增購設備等,使我院信息網絡安全進一步強化。下一步我們仍然會對照各級部門對信息網絡安全的要求,利用有限的資金做好安全防護,逐步達到信息安全管理工作的各項要求。
(一)加強信息安全組織管理。完善信息管理組織的職能,堅持定期開展專題工作會議,安排部署信息網絡建設及安全等各項工作。巡查常態(tài)化,通過督促檢查,提升員工安全防護意識。
(二)根據實際落實和變化情況,修訂完善細化各類規(guī)章制度,通過網絡宣傳、現(xiàn)場指導培訓、集中培訓等多種方式提高大家在網絡環(huán)境中的安全意識。辨識虛擬環(huán)境中的不安全因素。
(三)進行嚴格的訪問權限設置,降低安全風險,嚴令禁止內網用戶使用移動介質訪問,杜絕病毒網內傳播蔓延。
[關鍵詞]網絡安全;信息化;數據信息
1企業(yè)信息化建設集成的重要性
首先,在企業(yè)管理上具有重要現(xiàn)實意義。在企業(yè)的經營和發(fā)展過程中經營的業(yè)務越來越多,區(qū)域越來越廣泛,導致企業(yè)管理任務越來越復雜和多樣,企業(yè)內部的組織結構和流程控制體系越來越完善,這都是因為信息化建設集成發(fā)揮了重要作用,其還促進管理服務和觀念朝著信息化的方向發(fā)展。其次,企業(yè)信息化建設符合時展的潮流。如果想讓集成化效率達到最高水平,就需要對傳統(tǒng)的管理模式進行創(chuàng)新和發(fā)展,避免在集成化效率提高的同時帶來一些嚴重的問題和風險,例如:現(xiàn)場安全管理和對管理人員的裁減等,企業(yè)必須在網絡信息技術和計算機技術發(fā)展飛速的今天,對內部管理體系進行創(chuàng)新和改革,挖掘各組織和員工內在潛能和上升空間,在激烈的市場競爭中提升企業(yè)自身的活力與優(yōu)勢,從而將企業(yè)的經濟收益上升到最高峰。第三,信息化建設集成具有自身獨特的優(yōu)勢。大型公司集團會運用最新的互聯(lián)網數據和先進的計算機技術創(chuàng)建一個管理信息平臺,通過這個平臺將在生產和管理方面的數據信息進行共享和聯(lián)動,利用相關軟件和系統(tǒng)將公司管理朝著集成化、信息化方向發(fā)展,有效地為公司的管理層提供決策理論支持,避免公司集團內部組織結構和人員冗雜,有效提高運營各環(huán)節(jié)的工作效率,以提供高質量、高效的服務。
2企業(yè)信息化建設集成中存在的網絡安全問題
在利用現(xiàn)代網絡信息平臺對企業(yè)相關數據進行優(yōu)化整合時,網絡安全方面還存在一定的問題,企業(yè)相關信息和資料很容易受到網絡攻擊,系統(tǒng)很容易被黑客入侵,導致數據和信息被竊取或者丟失,這些問題都不利于企業(yè)的現(xiàn)代信息化建設集成和正常的運營發(fā)展。從外部環(huán)境來看,日益競爭的市場環(huán)境是造成網絡安全管理的大環(huán)境因素,隨著時代快速的發(fā)展和科學技術的進步,一些不法分子會利用黑客技術和網絡病毒竊取企業(yè)內部的數據資料,并通過出售來牟取巨額利潤,這種情況若得不到有效控制和整改,會導致企業(yè)網絡安全環(huán)境日益惡化。其次,從企業(yè)的內部因素出發(fā),企業(yè)信息化建設集成出現(xiàn)網絡安全問題是因為企業(yè)自身沒具備成熟的網絡信息安全理念,沒有采取相關的措施保證自身的網絡信息安全,所以企業(yè)相關意識的缺乏使黑客有機可乘,他們簡單操作就能獲得企業(yè)內部的數據信息。總之,缺乏一定的網絡信息防護手段和對員工的網絡信息安全培訓,會導致企業(yè)在信息化建設集成中受到更大的網絡信息安全威脅。
3保障企業(yè)信息化建設集成中網絡安全的措施
3.1創(chuàng)建企業(yè)信息安全標準
針對企業(yè)信息化建設集成中可能會出現(xiàn)的病毒入侵、非法訪問和信息竊取等問題,筆者提出了一些加強網絡安全的措施。首先,要建設一個信息化安全相關標準。當企業(yè)應用現(xiàn)代計算機網絡技術,尤其是計算機集成制造系統(tǒng)時,要創(chuàng)建一個高效、高質量的企業(yè)信息化機制和信息安全標準,保證所有信息工作都具備標準流程,例如:我國現(xiàn)已存在的信息安全管理度量機制和測量措施,能夠促使企業(yè)在運用網絡信息平臺時,提高自身的信息管理水平,從而保證企業(yè)在日常運用中能夠順利、安全地開展相關信息交流和信息傳遞工作。
3.2運用先進的網絡安全技術
要引入現(xiàn)代網絡安全技術,包括防火墻技術、入侵檢測技術信息加密技術、訪問控制技術等。防火墻技術是指將計算機與外部建立一道隔墻,防火墻技術包括網絡級防火墻與應用級防火墻兩種,網絡級能夠有效防止網絡中的非法入侵,應用級防火墻技術是全方位地防護相關應用程序,使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護能力與防護范圍不同,因此在使用過程中需要將兩者融合發(fā)揮作用,在動態(tài)防護、屏蔽路由和包過濾的基礎上,更好地發(fā)揮防火墻防護技術。入侵檢測技術是一種辨別網絡系統(tǒng)的使用是否是惡意行為的技術,其在動態(tài)中對網絡進行相關檢測,及時發(fā)現(xiàn)非法訪問行為和未授權的活動并反映給計算機用戶,將軟件與硬件融合起來共同對數據進行分析和作用,在瑣碎和繁雜的數據處理方面不再需要人工操作,減少人力和資源的浪費和管理成本。但從整體來看,效果不如防火墻技術,也不能夠完全代替防火墻技術。信息加密技術包括對稱加密與非對成加密兩種,且隨著時代的發(fā)展不斷優(yōu)化升級。該技術主要是為了避免數據被非法竊取,對相關重要的信息資料進行加密處理,降低數據資料丟失和泄露的概率,從而在數據傳遞和資料存儲中保證數據資料的完整性和安全性。訪問控制技術是指通過檢測訪問者的信息在網絡中保證網絡資源的安全,包括高層和底層訪問控制兩種訪問模式,前者是檢測資源種類、用戶權限和用戶口令,后者是指通過通信協(xié)議中的信息判斷訪問者是否合法,并作出相關反應。
3.3提高企業(yè)網絡安全管理水平
現(xiàn)代化企業(yè)集團在發(fā)展信息化建設集成過程中還存在很多網絡安全隱患,但是傳統(tǒng)管理模式已經明顯不適用于目前的發(fā)展情況,網絡安全受到了更大的威脅,造成的經濟損失也較多,所以必須提高企業(yè)的網絡安全管理水平。首先,要提高企業(yè)網絡信息化系統(tǒng)管理水平和管理效率,要讓企業(yè)內部包括員工和管理層都建立起網絡安全管理的觀念,創(chuàng)建一個成熟、完善的網絡安全管理平臺,樹立現(xiàn)代化的網絡安全管理意識,從而能夠及時解決企業(yè)運營和發(fā)展過程中存在的問題,將企業(yè)發(fā)展中重要的資料信息利用網絡技術實行集中性存儲。另外,要對所有員工進行網絡安全培訓和再教育,提高員工的綜合素質水平,以規(guī)范員工對信息化系統(tǒng)的具體操作,將企業(yè)重要數據信息進行加密處理和備份處理,企業(yè)要營造一個安全、穩(wěn)定的網絡安全環(huán)境,防止網絡病毒和黑客的入侵。其次,企業(yè)要使用有效、實用的安全防護軟件,例如,目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用,企業(yè)要根據自身具體情況選擇一個有效的防護軟件抵制外部非法入侵,設置好相關的安全管理權限,創(chuàng)建一個完善、嚴密、分層的安全管理權限體系,在用戶登錄和用戶訪問環(huán)節(jié)都要設置權限和密碼,從而保證企業(yè)的信息安全。最后,要對企業(yè)信息化建設集成中的防火墻系統(tǒng)和訪問控制模式進行完善的配置,安排一個較為專業(yè)的訪問控制模式,避免網絡環(huán)境中出現(xiàn)各種意外或者病毒入侵的情況,保證企業(yè)內部局域網絡信息的安全,選擇信息隱藏模式提高網絡信息安全性。這種信息隱藏模式一般是運用高效的編碼將數據修改方法嵌入,包括擴頻嵌入和矩陣編碼,將編碼過程變得更加專業(yè)和復雜,網絡黑客一般破譯不了,有利于企業(yè)抵御網絡黑客入侵和系統(tǒng)漏洞,保證企業(yè)信息化建設集成的健康發(fā)展,提高企業(yè)的經濟收益。
4運用虛擬化的云計算平臺創(chuàng)建相關安全機制
在運用虛擬化的云計算平臺時,要具備更加安全和穩(wěn)定的機制和系統(tǒng),如行為約束機制、CHAOS系統(tǒng)和Shepherd系統(tǒng),及時監(jiān)控計算機中的相關進程、避免用戶錯誤操作,防止非法進程對云計算平臺的破壞,將異常進程進行數據安全隔離,從而保證企業(yè)信息化建設集成中的網絡安全。
主要參考文獻
[1]王然.企業(yè)信息化建設集成與網絡安全措施探究[J].數字技術與應用,2017(1).
關鍵詞:電力系統(tǒng);計算機網絡安全;安全策略
一、安全風險分析
電力系統(tǒng)計算機網絡一般都會將生產控制系統(tǒng)和管理信息系統(tǒng)絕對分隔開來,以避免外來因素對生產系統(tǒng)造成損害,在生產控制系統(tǒng)中常見的風險一般為生產設備和控制系統(tǒng)的故障。管理網絡中常見的風險種類比較多,通常可以劃分為系統(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風險有操作系統(tǒng)和數據庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權)、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數據丟失或數據錯誤,使數據可用性大大降低。網絡中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言淪等風險,會使數據完整性和保密性大大降低。鑒于管理網絡中風險的種類多、受到攻擊的可能性較大,因此生產控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接,當需要數據傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或專用隔離裝置(一般稱做網閘)。
二、安全需求分析
一般電力系統(tǒng)的安全系統(tǒng)規(guī)劃主要從安全產品、安全策略、安全的人 3 方面著手,其中安全策略是安全系統(tǒng)的核心,直接影響安全產品效能的發(fā)揮和人員的安全性(包括教育培訓和管理制度),定置好的安全策略將成為系統(tǒng)打造網絡安全最重要的環(huán)節(jié),必須引起發(fā)電系統(tǒng)高度重視。安全產品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網絡信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業(yè)務系統(tǒng)之間不產生消極影響的技術手段和工具,是確保業(yè)務和業(yè)務數據的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是系統(tǒng)經營鏈中的細胞,既可以成為良性資產又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強教育和制度約束。
三、安全思想和原則
電力系統(tǒng)信息安全的主要目標一般可以綜述為:注重“電力生產”的系統(tǒng)使命,一切為生產經營服務;服從“集約化管理”的系統(tǒng)戰(zhàn)略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證系統(tǒng)生產控制系統(tǒng)不受干擾,保證系統(tǒng)安全事件(計算機病毒、篡改網頁、網絡攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時響應與及時恢復,數據不丟失。
(1)先進的網絡安全技術是網絡安全的根本保證。影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素,它們是設計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術實現(xiàn)的基礎。要選擇相應的安全機制,集成先進的安全技術,形成全方位的安全系統(tǒng)。
(2)嚴格的安全管理是確保安全策略落實的基礎。計算機網絡使用機構、系統(tǒng)、單位應建立相應的網絡管理辦法,加強內部管理,建立適合的網絡安全管理系統(tǒng)和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網絡安全意識。
(3)嚴格的法律法規(guī)是網絡安全保障堅強的后盾。建立健全與網絡安全相關的法律法規(guī),加強安全教育和宣傳,嚴肅網絡規(guī)章制度和紀律,對網絡犯罪嚴懲不貸。
四、安全策略與方法
1.物理安全策略和方法。物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路的設計,包括建設符合標準的中心機房,提供冗余電力供應和防靜電、防火等設施,免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料;要建立設備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權限,防止和控制越權操作。
2.訪問控制策略和方法。網絡安全的目的是將系統(tǒng)信息資源分層次和等級進行保護,主要是根據業(yè)務功能、信息保密級別、安全等級等要求的差異將網絡進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網內,提高網絡的整體安全水平,目前路由器、虛擬局域網 VLAN、防火墻是當前主要的網絡分段的主要手段。而訪問管理控制是限制系統(tǒng)內資源的分等級和層次使用,是防止非法訪問的第一道防線。
訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術和安全管理中心結合起來,實現(xiàn)多重防護體系,防止內容非法泄漏,保證應用環(huán)境安全、應用區(qū)域邊界安全和網絡通信安全。
3.開放的網絡服務策略和方法。Internet 安全策略是既利用廣泛、快捷的網絡信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術,利用防火墻來構建堅固的大門,同時對 Web 服務和 FTP 服務采取積極審查的態(tài)度,更要強化內部網絡用戶的責任感和守約,必要時增加審計手段。
4.電子郵件安全策略和方法。電子郵件策略主要是針對郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術快速發(fā)展,電力系統(tǒng)可以在電子郵件安全方案加大投入或委托專業(yè)公司進行。
5.網絡反病毒策略和方法。每個電力系統(tǒng)為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發(fā)展到了到實時監(jiān)控,并且針對特殊的應用服務還出現(xiàn)了相應的防毒系統(tǒng),如網關型病毒防火墻以及郵件反病毒系統(tǒng)等。
6.加密策略和方法。信息加密的目的是保護網內的數據、文件、密碼和控制信息,保護網絡會話的完整性。其方法有虛擬私有網、公共密鑰體系、密鑰管理系統(tǒng)、加密機和身份認證鑰匙手段等。
7.攻擊和入侵應急處理流程和災難恢復策略和方法。主要方法是配備必要的安全產品,例如網絡掃描器、防火墻、入侵檢測系統(tǒng),進行實時網絡監(jiān)控和分析,及時找到攻擊對象采取響應的措施,并利用備份系統(tǒng)和應急預案以備緊急情況下恢復系統(tǒng)。
8.安全服務的策略。再好的安全策略和方法都要通過技術和服務來實現(xiàn),安全產品和安全服務同樣重要,只有把兩者很好地結合起來,才能真正貫徹安全策略。需要注意的是“最小的成本和以能接受的風險獲得 IT 投資的最大效益”。一個“大而全”的安全管理系統(tǒng)是不現(xiàn)實的,只有符合系統(tǒng)信息網絡架構和安全防護體系要求的產品,才能真正達到網絡的防護,一方面避免有漏洞的產品對系統(tǒng)安全造成更大的危害;另一方面避免造成成本上的浪費。目前承包商可以提供的安全服務主要有:安全需求分析、安全策略制定、系統(tǒng)漏洞審計、系統(tǒng)安全加固、緊急事件響應、網絡安全培訓。承包商還可以提供對資產管理保護類的產品,主要有實時監(jiān)控的網管軟件、集中式安全管理平臺、安全監(jiān)控和防御產品、內網安全管理、防止內部信息泄漏的安全管理、網絡訪問行為與通信內容審計等。目前,計算機網絡與信息安全已經被納入電力系統(tǒng)的安全生產管理體系中,并根據“誰主管、誰負責、聯(lián)合保護、協(xié)調處置”的原則,與電力系統(tǒng)主業(yè)一樣實行“安全第一、預防為主、管理與技術并重、綜合防范”的方針,在建立健全系統(tǒng)內部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓體系,根據科學的網絡安全策略,定期進行風險評估/分析和審計,采用適合的安全產品,確保各項電力應用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運行,為電力系統(tǒng)創(chuàng)造新業(yè)績鋪路架橋。
關鍵詞:電力制造企業(yè);計算機網絡;安全
一、安全風險分析
電力制造企業(yè)計算機網絡一般都會將生產控制系統(tǒng)和管理信息系統(tǒng)絕對分隔開來,以避免外來因素對生產系統(tǒng)造成損害,在生產控制系統(tǒng)中常見的風險一般為生產設備和控制系統(tǒng)的故障。管理網絡中常見的風險種類比較多,通常可以劃分為系統(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風險有操作系統(tǒng)和數據庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權)、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數據丟失或數據錯誤,使數據可用性大大降低。網絡中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言論等風險,會使數據完整性和保密性大大降低。鑒于管理網絡中風險的種類多、受到攻擊的可能性較大,因此生產控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。當需要數據傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或專用隔離裝置。
二、安全需求分析
一般電力制造企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產品、安全策略、安全的人三方面著手,其中安全策略足安全系統(tǒng)的核心,直接影響安全產品效能的發(fā)揮和人員的安全性(包括教育培訓和管理制度),定置好的安全策略將成為企業(yè)打造網絡安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網絡信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業(yè)務系統(tǒng)之間不產生消極影響的技術手段和工具,是確保業(yè)務和業(yè)務數據的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業(yè)經營鏈中的細胞,既可以成為良性資產又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強教育和制度約束。
三、安全思想和原則
電力制造企業(yè)信息安全的主要目標一般可以綜述為:注重“電力生產”的企業(yè)使命,一切為生產經營服務;服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業(yè)生產控制系統(tǒng)不受干擾。保證系統(tǒng)安全事件(計算機病毒、篡改網頁、網絡攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時響應與及時恢復,數據不丟失。(1)先進的網絡安全技術是網絡安全的根本保證。影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素,它們是設計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術實現(xiàn)的基礎。要選擇相應的安全機制,集成先進的安全技術,形成全方位的安全系統(tǒng)。(2)嚴格的安全管理是確保安全策略落實的基礎。計算機網絡使用機構、企業(yè)、單位應建立相應的網絡管理辦法,加強內部管理,建立適合的網絡安全管理系統(tǒng)和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網絡安全意識。(3)嚴格的法律法規(guī)是網絡安全保障堅強的后盾。建立健全與網絡安全相關的法律法規(guī),加強安全教育和宣傳,嚴肅網絡規(guī)章制度和紀律。對網絡犯罪嚴懲不貸。
四、安全策略與方法
1、物理安全策略和方法。
物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路的設計,包括建設符合標準的中心機房,提供冗余電力供應和防靜電、防火等設施,免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料:要建立設備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權限,防止和控制越權操作。
2、訪問控制策略和方法。
網絡安全的目的是將企業(yè)信息資源分層次和等級進行保護,主要是根據業(yè)務功能、信息保密級別、安全等級等要求的差異將網絡進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網內,提高網絡的整體安全水平,目前路由器、虛擬局域網VL心、防火墻是當前主要的網絡分段的主要手段。而訪問管理控制是限制系統(tǒng)內資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術和安全管理中心結合起來,實現(xiàn)多重防護體系,防止內容非法泄漏,保證應用環(huán)境安全、應用區(qū)域邊界安全和網絡通信安全。
3、開放的網絡服務策略和方法。
Internet安全策略是既利用廣泛、快捷的網絡信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術,利用防火墻來構建堅固的大門,同時對Web服務和FTP服務采取積極審查的態(tài)度,更要強化內部網絡用戶的責任感和守約,必要時增加審計手段。
4、電子郵件安全策略和方法。
電子郵件策略主要是針對郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術快速發(fā)展,電力制造企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進行。
5、網絡反病毒策略和方法。
每個電力制造企業(yè)為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發(fā)展到了到實時監(jiān)控,并且針對特殊的應用服務還出現(xiàn)了相應的防毒系統(tǒng),如網關型病毒防火墻以及郵件反病毒系統(tǒng)等。
目前,計算機網絡與信息安全已經被納入電力制造企業(yè)的安全生產管理體系中,并根據“誰主管、誰負責、聯(lián)合保護、協(xié)調處置”的原則,實行“安全第一、預防為主、管理與技術并重、綜合防范”的方針,在建立健全電力制造企業(yè)內部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓體系,根據科學的網絡安全策略,采用適合的安全產品,確保各項電力應用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運行,為電力制造企業(yè)創(chuàng)造新業(yè)績鋪路架橋。
參考文獻