時間:2023-03-02 14:57:31
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全信息化范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
網絡信息安全是目前網絡建設的重要內容,主要原因是目前社會經濟的發展,需要網絡提供便利的條件,如果網絡安全存在嚴重問題,會直接導致社會經濟的受損。另外,現在無論是政府辦公,還是私人利用,網絡已經成為了一種不可缺少的工具,網絡環境的不安全一旦造成重要信息的泄露,那后果可想而知。所以為了經濟的更好發展,為了社會穩定的平穩運行,強化網絡安全,對網絡技術進行安全化管理成為了社會發展的必然訴求。
1網絡信息化進程安全技術和管理現狀
1.1技術安全風險比較高。目前的網絡技術,安全風險比較高。主要表現在三方面:首先是網絡軟件的純粹性比較低,而這種網絡軟件很容易附帶不安全因素,在網絡利用中,這種不安全因素隨時可能引發網絡安全事故。其次是在網絡運行環境中,部分技術達不到安全標準,而利用這些技術進行安全檢測的時候,不安全的因素也不能被識別出來,這就導致網絡運行安全受到嚴重威脅。最后是目前的網絡技術,專業性都比較弱。雖然目前網絡技術得到了普遍的發展,但是由于技術更新快,導致一些技術的安全性沒有得到充分的認定,而這些技術就是網絡安全的重大隱患。
1.2技術人員和管理人員素質較低。技術人員和管理人員的素質較低也是目前網絡信息化進程中安全技術和管理的普遍現狀。技術人員和管理人員素質較低主要體現在兩方面:首先是技術人員在技術方面缺少專業性。目前的技術人員,缺乏技術的獨創性和專業性,利用的大部分都是大眾化的技術,這樣的技術在應對網絡安全方面顯得力不從心。其次是管理人員在管理方面,缺乏系統的管理理念,在管理中應用的是哪里有問題即管那里的策略,這種管理方式缺乏嚴重的科學性,效果也不甚明顯。
1.3管理沒有明確的方向。在技術安全管理工作中,沒有明確的管理方向是目前的一大現狀。管理缺少方向有三方面的危害:首先是缺少管理方向的管理,沒有系統完善的管理體系,這樣的管理只能夠進行一些小修小補,要想實現徹底的管理革新,存在巨大的困難。其次是沒有方向的管理,管理理念不清楚,這就會導致管理工作走很多彎路,而且很有可能造成管理成本的增加。最后是沒有管理方向的管理,管理措施和方法缺乏全面性和系統性,在管理過程中無法做到精細。
2強化網絡安全的意義
2.1有利于打造安全平穩的網絡運行環境。現在的社會發展,對于網絡環境的依賴性越來越強,而強化網絡安全,有利于打造出安全平穩的網絡運行環境。安全平穩的網絡運行環境主要體現在兩個方面:首先是信息泄露比較少。目前的社會,個人或者是公眾信息泄露會產生諸多不利的影響,而網絡環境的安全平穩主要指此類安全事故的大幅度減少。其次是網絡監管能夠隔離到位。對于網絡信息的監管和掌控,需要利用必要的技術手段,通過技術革新使得網絡環境安全。
2.2促進互聯網經濟的安全運行。強化網絡安全的另一個重要意義就是可以促進網絡經濟的快速發展。目前,互聯網產業蓬勃發展,各行各業也開通了網絡渠道來進行經濟活動,網絡安全存在的隱患對于網絡經濟而言具有非常重要的影響,通過網絡環境的安全強化,網絡經濟的運行將會更加的順暢,網絡經濟的發展也會更加的迅速。
3網絡信息化進程安全技術和管理策略
3.1加強技術安全性研究。網絡信息化進程安全技術和管理的重要內容就是要加強技術安全性研究。由于目前的網絡信息化技術更新換代較快,所以在安全性的研究方面顯得相對不足,這也是網絡技術存在安全隱患的重要原因。為了克服此問題,進行網絡技術的安全性研究非常重要,安全性研究主要包括兩方面:首先是要進行網絡安全的問題研究,通過問題研究了解技術漏洞。其次就是要進行針對性的技術細節建設,通過細節建設完善技術問題,使得網絡信息技術更加的全面。除此之外,在技術安全性研究的同時還要進行獨創性建設,通過獨創擺脫一些附著軟件對技術的不安全影響。
3.2加強技術人員的專業性打造。加強技術人員的專業性打造也是進行網絡技術安全和管理的重要措施。在網絡安全實踐中,技術人員是維護網絡安全的忠誠衛士,他們的專業程度和標準化程度決定著網絡安全的專業化和標準化。所以在進行技術人員的打造時一方面要從專業性入手,另一方面要從標準化入手。專業性打造主要是要從技術人員的理論建設和技術研究兩方面進行,通過理論建設,使得技術人員對網絡技術安全的了解更加的深入和全面,而技術建設則是幫助技術人員深化技術利用,提高技術成熟度。標準化打造主要是從技術人員的操作來進行,在實踐中,操作失誤也會發生網絡安全事故,所以標準化的操作,可以減少有毒軟件對網絡系統的侵害。
3.3加強網絡安全監管。加強網絡安全管理監管也是保證網絡技術安全和管理的重要措施。加強網絡安全監管主要從三方面進行:首先是對于網絡軟件要進行安全檢測,主要目的是對軟件的純粹度進行檢測,避免一些附著病毒通過軟件進入到網絡環境中,威脅網絡安全。其次是要加強對網絡安全的技術監管。通過技術監管,保證網絡技術在利用過程中不會造成安全事故,通過監管,網絡技術的可信度會得到明顯的提升。最后是要強化網絡環境的監管。也就是說要對網絡環境中的不安全信息要做好及時的排查及清理,避免不安全的信息在網絡中流通,進而對網絡環境造成影響。
結束語
在網絡信息化越來越頻繁的今天,網絡安全不僅關系著個人信息的安全,對于社會信息和經濟也有著重要的影響。在這樣的環境中,為了保證網絡安全,必須一方面強化安全技術的研究,利用技術安全來實現網絡環境的安全,另一方面就是要進行科學有效的網絡管理,通過網絡監管,使得網絡運行能夠在安全的環境下進行。總之,強化網絡信息化進行中的安全技術和管理,是當今網絡工作中的重要任務。
參考文獻
[1]張學明.技術與管理共同保障網絡安全———淺談稅務信息化網絡安全系統的建設[J].每周電腦報,2008,31:29-30.
[2]王瑛,賈義敏,張晨婧仔,王文惠,焦建利.教育信息化管理實踐中的領導力研究[J].遠程教育雜志,2014,2:13-24.
[3]黃瑞,鄒霞,黃艷.高校信息化建設進程中信息安全問題成因及對策探析[J].現代教育技術,2014,3:57-63.
堅持科學發展觀,充分發揮學校網絡的技術指導的管理職能,強化服務意識、責任意識、發展意識,鞏固我校教育信息化成果,不斷完善信息化建設水平,大力推進教育現代化進程,科學、規范、高效抓管理,求真、務實、優質育人才,努力爭創教學示范學校,辦優質教育,特制訂以下計劃:
一、網絡管理與建設
1、采取切實可行的措施,加強對校園網的管理,繼續完善相關規章制度,落實各項管理措施,確保學校網絡安全暢通。學校要繼續完善相關的網絡制度,杜絕網絡信息安全事故的發生,確保網絡暢通,更好的服務與教育教學工作。采取積極可行的措施,在保證網絡暢通的情況下,杜絕教師上網聊天、打撲克、玩游戲等不良現象的發生。管理員及全體教師都要深入研究網絡應用問題,充分發揮網絡的作用,提高教育教學質量。
2、網絡防毒。加強對教師信息技術的培訓力度,使教師學會使用殺毒軟件進行計算機病毒的查殺,確保學校網絡暢通。基本上解決網絡病毒在我校計算機上的傳播,保證網絡不因病毒而導致堵塞、停網等現象的發生。
二、網站建設
加強學校校園網網站建設和應用力度,使其服務于教學、服務于德育、服務于管理;服務于學生、服務于教師、服務于社會。管理員要不斷學習相關業務知識,不斷提高自己的業務能力,樹立服務于教學的思想,管好用好學校網絡。
三、信息技術使用與培訓工作
加強信息技術知識的培訓與應用。學校將組織專人進行不同層次的培訓班,加強培訓指導,教師要將學習走在前頭,自覺地學。
網絡信息安全工作計劃(二)
為加強本單位網絡與信息安全保障工作,經局領導班子研究,制定**縣工業商務和信息化局20**年網絡與信息安全工作計劃。
一、加強考核,落實責任
結合質量管理體系建設,建立健全信息化管理和考核制度,進一步優化流程,明確責任,與各部門重點涉密崗位簽訂《網絡與信息安全及保密責任書》。加大考核力度,將計算機應用及運維情況列入年度考核中,通過考核尋找信息安全工作存在的問題和不足,認真分析原因,制定切實可行的預防和糾正措施,嚴格落實各項措施,持續改進信息安全工作。
二、做好信息安全保障體系建設
進一步完善信息安全管理制度,重點加強用戶管理、變更管理、網絡安全檢查等運行控制制度和數據安全管理、病責防護管理等日常網絡應用制度;加強入侵檢測系統應用,通過桌管系統、瑞星控制臺密切關注各移動存儲介質(移動硬盤、U盤、CD光驅)等設備運行情況;在業務分析需求的基礎上,合理設置安全策略,充分利用局域網優勢,進一步發揮技術防范措施的作用,從源頭上杜絕木馬、病毒的感染和傳播,提高信息網絡安全管理實效;
進一步完善應急預案,通過應急預案演練檢驗預案的科學性、有效性,提高應對突發事件的應變能力。
三、加強各應用系統管理
進一步作好政府信息公開網站后臺管理系統、OA等業務系統應用管理。加強與各部門勾通,收集使用過程中存在的問題,定期檢查系統內各模塊使用情況及時反饋給相關部門,充分發揮系統功能;完善系統基礎資料,加大操作人員指導力度,確保系統有效運行,切實提高信息安全水平。
四、加強信息安全宣傳教育培訓
利用局域網、OA系統,通過宣傳欄等形式,加大信息安全宣傳力度,不斷提高員工對信息安全重要性的認識,努力形成“廣泛宣傳動員、人人積極參與”的良好氣氛;著力加強信息化工作人員的責任意識,切實增強做好信息化工作的責任感和使命感,不斷提高服務的有效性和服務效率。
網絡信息安全工作計劃(三)
各鄉鎮黨委、縣直各部門單位:
根據自治區、地區有關要求,按照《XXX新聞宣傳報道管理辦法》有關內容,為進一步加強我縣網絡和信息安全管理工作,現就有關事項通知如下。
一、建立健全網絡和信息安全管理制度
各單位要按照網絡與信息安全的有關法律、法規規定和工作要求,制定并組織實施本單位網絡與信息安全管理規章制度。要明確網絡與信息安全工作中的各種責任,規范計算機信息網絡系統內部控制及管理制度,切實做好本單位網絡與信息安全保障工作。
二、切實加強網絡和信息安全管理
各單位要設立計算機信息網絡系統應用管理領導小組,負責對計算機信息網絡系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網絡系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,并按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網絡使用管理規定
各單位要提高計算機網絡使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網絡,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網絡實行物理隔離,并強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平臺信息審查監管
各單位通過門戶網站、微信公眾平臺在互聯網上公開信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外是否適宜;信息中的文字、數據、圖表、圖像是否準確等。未經本單位領導許可嚴禁以單位的名義在網上信息,嚴禁交流傳播涉密信息。堅持先審查、后公開,一事一審、全面審查。各單位網絡信息審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意后,方可按照宣傳內容做到統一口徑、統一,確保信息的時效性和嚴肅性。
Network Security Analysis and Protection in the Construction of Hospital Informatization
Han Hui
(People's Hospital of Pei County,Jiangsu Province JiangsuPeixian 221600)
【 Abstract 】 Due to the development of modern medical technology, the hospital of dependence on the network and system has been enhanced, hospital network security directly related to the normal conduct of business. In this paper, through the analysis of internal, external security risks of hospital network that may exist, to solve the security problem through the security technology and management system, forming a system, the associated security architecture, provides a feasible solution for network security protection of hospital.
【 Keywords 】 hospital; network security; security protection
1 前言
隨著醫院信息化的不斷發展,醫院的HIS、CIS、RIS、LIS等信息系統大大提高了醫療水平與診斷準確性及效率,但是隨著業務系統的逐漸擴展,對于網絡的管理越來越復雜,而惡意軟件的猖獗,對醫院的網絡造成了更多安全威脅,網絡安全是一項動態工程,既需要技術手段,更需要人為配合,如何保障醫院網絡的健康運轉行,已成為當前醫院信息化建設過程中所需關注的重要事項之一。
2 醫院信息化建設中存在的安全隱患
2.1 影響醫院網絡安全的技術因素
醫院在進行信息化建設過程中,與其它局域網相同,涉及到基礎鏈路、網絡設備、存儲設備、服務器、客戶端、業務系統等多種元素。醫院信息化水平的不斷發展大大提高醫院的治療、服務水平,但是其網絡安全問題也日益突出,如物理環境的安全性、操作系統的安全性、數據備份的安全性等問題,采取傳統的防火墻與防病毒等被動式的防御措施已無法解決各個層面可能產生的安全問題,由此導致的重要數據損壞、丟失等問題,不僅影響了醫院業務網絡的正常運轉,同時也威脅到了患者的隱私數據甚至生命安全,需要更全面的安全解決方案。
安全設備簡單羅列,未規劃一個整體的安全防御體系。醫院在進行安全防范時,存在一定的思維誤區,認為有了防火墻就可高枕無憂,關于網絡的管理可做可不做,實際上防火墻僅是安全類產品中的之一,其功能存在一定的局限性,對于基于網絡內部或旁路的攻擊無法抵御,對基于內容的攻擊也無法防范。IDS設備也是如此,僅可對存在的安全問題提供報警信息,并不能有效防御;數據庫審計,雖可以記錄到登錄到數據庫的用戶所做的操作,可定位到操作的源IP地址,但是無法防止對數據的惡意操作者,如竊取、篡改等操作的具體醫務人員,也即無法追究到最終的責任人。
安全措施操作復雜,且無關聯性。如IP與MAC地址綁定,產生的問題之一是管理人員需要單獨操作每臺交換機,對其綁定信息進行逐條輸入,工作量非常大,操作不便。問題之二是擁有網絡基礎知識的內部人員可輕松更改IP地址與MAC地址,導致綁定失效。再如醫院主機上安全了殺毒軟件,但是由于數量之多,且對各個主機的殺毒軟件缺乏統一管理,對于病毒庫是否更新、主機是否開啟了殺毒軟件都不得而知,操作系統的補丁更新也存在同樣的問題。醫院可能花費大量的人力、物力制定了大量的安全措施與手段,但是對其可操作性,相互之間的關聯性未做評估,造成形同虛設。
2.2 影響醫院網絡安全的人為因素
無專門的網絡管理部門,無法在出現問題時責任到人;未制定統一的醫院信息系統建設的安全規范或標準;無強制性的安全檢查、監督機制,且無第三方專業機構介入;無網絡安全上崗人員資質認定標準,無定期的網絡安全知識培訓、宣傳、考核制度。
由以上因素可能造成嚴重的安全問題,如醫院內部的人員將個人電腦接入醫院內部網絡,可能會將攜帶的病毒感染至醫院內網,影響業務系統的正常運行;或醫院內部人員將業務網絡的電腦接入至互聯網,也可能將互聯網上的木馬、病毒傳播至醫院內網;醫院內部人員利用職務之便,直接訪問數據庫竊取重要數據、篡改醫患的數據數據,造成醫院的重大經濟損失。此外,黑客可利用電腦,非法接入醫院的業務網絡,發動攻擊,由于醫院與醫保等社保網絡是必須相聯進行相應的數據驗證,因此一旦被攻擊,其后果可想而知。
3 醫院信息化建設中的安全防護策略
醫院網絡安全構架見圖1所示,通過管理與技術兩方面對其安全性進行保障。
3.1 網絡安全技術手段
3.1.1運行環境安全
物理環境是所有設備、業務系統運行的基礎,因此它的安全性也是整個網絡安全的基礎。機房中旋轉服務器或網絡設備的機柜均上鎖,并設專人保管鑰匙。機房內安裝專業視頻監控設備,配備防雷、防靜電、防塵裝置。重要的網絡設備安裝UPS或提供雙路供電;部分重要科室的匯聚層交換機應設計為互相冗余,避免因單點傳輸故障造成的業務中斷,確保醫院重要業務的不間斷運行。醫院網絡基礎建設中應采取VPN技術,防止外部網絡未授權用戶的非法訪問。
3.1.2網絡邊界安全
安全隔離設備:用于實現醫院內網與互聯網的安全物理隔離,為各類威脅進入醫院內網設置第一道屏障,同時可根據配置實現相應的安全數據交換。
下一代防火墻:用于對醫院內部網絡與外部網絡通信內容的掃描,過濾來自互聯網的攻擊,如DOS攻擊、Java、JavaScript侵入等,還可用于通過關閉不必要的端口增強安全性,禁止來自非法站點的訪問,用以抵御不明通信,除了傳統防火墻功能外,下一代防火墻還具備應用識別功能,包括識別普通應用與移動應用中包含的風險,識別應用中的用戶信息,并具備主動防御功能。
入侵檢測系統IDS:依照相應的安全策略庫,監測網絡與業務系統的通信情況,對不符合安全策略的可能入侵情況進行告警,并可與防火墻進行聯動,阻斷攻擊事件,抵御主機資源免受來自內部或外部網絡的攻擊。
劃分VLAN劃分:用于劃分不同科室的用戶可訪問的信息資源,避免醫院內部網絡遭受廣播風暴,同時可降低工作人員的管理與維護負擔。
3.1.3重要信息系統安全
流量監測系統:此處的流量監測系統是針對醫院的重要信息系統,一般旁路部署于三層交換機,通過鏡像端口進行各個應用系統流量的分流,分別可對其訪問流量、訪問用戶、停留時間等進行全面監測與分析,通過用戶自行設置的閥值進行判斷,一旦發現異常則告警。
SAN存儲系統:對數據存儲設備進行集中管理與整合,可實現存儲的冗余,并利用數據的權限設置、數據備份、容災等技術保障數據的安全性。
3.1.4桌面終端安全
防病毒軟件:建立可自動下載、統一分發、同步更新、集中管理的防病毒中心,無論是最新病毒,還是流行病毒,無論是基于Windows,還是Linux,一旦發現其入侵到任意系統,便可即刻清除。
終端管理:主要用于對終端使用USB、移動硬盤等外接設備的控制,安裝和使用互聯網非法軟件的控制,訪問非法網站的控制等功能,將安全風險降到最低。
軟件升級:主要用于進行系統補丁的即時更新與分發,修復全網的安全漏洞。
3.1.5全網安全監測與管理
安全監測平臺:通過與其它安全設備的聯動,實現對醫院內部全網的所有基礎設備與安全設備進行全面監測,包括業務的運行情況、性能、配置的分析與預警、風險分析并生成量化報告、將安全運維的流程進行標準化等功能,將單點的安全防范提升為整體的安全把控。
云安全管理平臺:一般借助虛擬化平臺,將各類安全措施進行集中管理,如數據防丟失(DLP)、安全信息與事件管理(SIEM)與終端保護方案等,用于提供相應的云服務,以虛擬化降低維護成本,同時高效地解決醫院內部網絡安全問題,例如,通過防病毒廠商與VMware vSphere 5結合實現服務器的安全檢測,實時地識別網絡通信和阻止虛擬架構的配置更改,可有效停止用戶的未授權操作,并在不影響系統正常運行的前提下抵御0day攻擊。
3.2 網絡安全管理制度
一方面,需要建立套較為完善,且操作性較強的管理制度,如業務系統管理制度、病毒防范制度、安全管理登記制度、日常維護記錄查看制度等,對于未遵守相關規章制度的人員有相應的懲罰措施。另一方面,需要制度詳盡的應急預案,并成立常年的應急小組,根據事件的嚴重事件進行適時采用,當發生災難時盡快恢復,將醫院中斷時間、故障損失與社會影響降到最低,并形成問題整改的長效機制。此外,需要對醫院網絡的所有使用人員進行安全意識培訓,尤其是對于網絡管理人員,需定期對其進行考核,以確認其崗位勝任與否。
4 結束語
網絡發展越智能,其伴隨而來的安全問題越復雜,醫院在進行病患病情分析、診斷、治療等多個環節都需要借助信息系統,醫院網絡的正常運轉直接影響到其業務與服務的開展,因此醫院網絡的安全性與醫院利益息息相關,需要從技術方面、管理方面,上至領導,下至工作中的每個員工共同來維護其安全性,共同鑄造一道牢不可破的安全防線。
參考文獻
[1] 管麗瑩,黃小蓉.醫院計算機網絡及信息安全管理[J].現代醫院,2006,6(8):144.
[2] 王瑋,魯萬鵬,牟鑫.醫院信息系統中的安全運行保障[J].中國醫療設備,2008,23(1):63-65.
[3] 雷震甲.網絡工程師教程[M].北京:清華大學出版社,2006:320.
[4] 王輝.淺議網絡信息安全[J].農業圖書情報學刊,2008,20(6):112-115.
[5] 陳克霞,袁耀嵐,李平.計算機網絡信息安全策略探討[J].數字石油和化工,2008,4:38-40.
[6] 肖敏.穩定與高速兼顧 安全與管理并重――珠江醫院網絡改造紀實[J].中國醫藥導報,2007,4(25):11.
1當前數字化圖書館網絡信息安全面臨的問題
1.1我國網絡信息安全的總體態勢
根據中國互聯網絡信息中心(CNNIC)的第35次“中國互聯網絡發展狀況統計報告”,截至2014年12月,我國網民規模達6.49億,全年共計新增網民3117萬人。互聯網普及率為47.9%,較2013年底提升了2.1個百分點。到2014年12月,我國手機網民規模達5.57億,較2013年增加5672萬人。網民中使用手機上網的人群提升至85.8%。2014年3月21日,中國互聯網協會、國家互聯網應急中心在京“中國互聯網站發展狀況及其安全報告(2014年)”中指出,中國網站安全問題形勢嚴峻,受境外攻擊、控制明顯增多,是網絡安全問題的受害者。在篡改問題上,2013年被篡改的中國網站數量為24034個,增長了46.7%;其中被篡改的政府網站數量為2430個,大幅增長了34.9%。在植入后門問題上,2013年76160個中國網站被植入網站后門,其中政府網站有2425個。“中國互聯網絡發展狀況統計報告”指出:2014年,總體網民中有46.3%的網民遭遇過網絡安全問題。本次調查顯示,49.0%的網民表示互聯網不太安全或非常不安全。我國互聯網使用的安全狀況不容樂觀。今天,圖書館尤其是高校圖書館在不斷引進數字資源,豐富圖書館的館藏數字資源的同時,數字化、網絡化的圖書館在網絡信息安全方面的問題日益突出,受到的各種安全威脅越來越多。
1.2數字化圖書館網絡信息安全的涵義
網絡信息安全是指防止信息網絡本身的安全,包括采集、加工、存儲、傳輸的信息數據被故意或偶然的非授權泄露、更改、破壞或使信息被非法辨認、控制,即保障信息的可用性、機密性、完整性、可控性、不可抵賴性。具體到數字圖書館網絡信息安全是指數字化圖書館網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然和惡意因素而遭到破壞、更改、泄露,系統連續正常運行,網絡服務不中斷。
1.3圖書館網絡信息安全面臨的威脅
數字化圖書館系統受到安全威脅,總的來看,主要來自外部和內部兩個方面。1.3.1外部安全威脅(1)病毒破壞。病毒威脅同樣也是數字化圖書館所面臨的安全問題,數字圖書館大多由內、外網構成,一旦內網中的服務器感染病毒就有可能危及整個圖書館信息的安全。(2)后門木馬。它的危害大多是隱形的,由于后門木馬是以竊取信息同時還能對服務器時行操控,可在管理者不知情的情況下竊取信息,對數字化圖書館有較大的威脅。(3)黑客攻擊和信息間諜。這是人為的一種形式,對系統進行入侵、網絡竊聽、密文破譯、流量分析、密鑰破解等活動,因為數字化圖書館有大量的資源,其又以破壞或盜竊資源為目的,因此具有很大的威脅性。(4)信息恐怖活動和信息戰爭。主要是國與國層面的信息戰爭,這種威脅雖然不是經常出現,但它的危害不容小視。(5)自然災害。因溫度、濕度、灰塵、雷擊、靜電、地震等因素引起的設備損壞,這種危害發生的幾率較小,但一旦發生,后果往往是災難性的。1.3.2圖書館數字化的內部安全威脅(1)安全意識不強。主要體現在系統管理員和大多數的內部使用者身上,導致信息保護弱化。(2)惡意破壞。主要是內部安全管理人員對內部服務器和網絡設備進行的破壞,甚至人為設置故障活動等。(3)內外勾結。主要是內部人員為了金錢等個人利益,給外部人員出賣信息情報資源、透露口令、入侵系統、破壞數據、盜竊資源、破壞系統等。(4)。非職責者,非職權者使用系統等。(5)管理疏漏和操作不當。體現在管理上制度不完善、人員組織不合理、缺乏監控措施及權責不清等。
2圖書館數字化網絡安全的保障策略
圖書館數字化網絡安全需要進行全面詳細的考慮。對于常規如有線網絡,主要從物理安全、網絡安全、軟件平臺安全和應用安全幾個方面相融合考慮安全策略。首先,建立一個全面立體的安全防護墻,以保證圖書館數字化系統其它層的安全。其次,防范病毒也是圖書館數字化系統需要考慮的問題,通過對圖書館數字化網絡中服務器和客戶端的防護以及在網關處對病毒進行攔截,可以有效預防病毒侵入。針對圖書館數字化網絡安全要解決來自外部和內部的各種非法入侵和攻擊、非授權的訪問、信息泄露和被竊取等行為,在建立有線圖書館數字化網絡安全體系時,要根據圖書館數字化所提供服務路徑特征,結合各種網絡信息安全防護技術,進行綜合保護。如圖1所示,給出根據開放式系統互聯OSI(OpenSystemInterconnection)模型的常規網絡安全結構防護方式。(1)應用層。主要研究事故原因,評估事故的破壞程度。涉及到網絡管理,網絡監控和系統管理。(2)網絡層。一旦發現在任何時間發生意外事故及危險,立即終止該進程,最大限度地減少運行時間的事故,將事故損害降到最低。技術手段的使用包括應用訪問控制,安全過濾,入侵檢測,病毒防護。(3)物理層。使網絡系統從通信開始最大限度地降低風險。包括網絡分析和規劃設計,同時使用網絡安全漏洞掃描技術,及時發現事故征兆,并加以控制。可進行預防性安全檢查,找到網絡安全系統中存在的最大的風險,進行有效糾正。對于一個可提供完整數字化服務的數字圖書館網絡系統來說,一般由單位內網、外部網絡和門戶網站構成。可在內部網絡和外網間設置物理隔離;由于還需要進行數據交換,在外網與門戶網站間可采用網閘定時交換所需數據信息,實現邏輯隔離,強化保護。結構如圖2所示。
3基于圖書館數字化服務的移動網絡安全保護
3.1圖書館數字化移動服務概述
圖書館數字化移動服務實際上是依托國際互聯網、無線移動通訊技術以及多媒體技術,通過使用智能手機、掌上電腦、筆記本電腦等便攜式移動設備,自由訪問數字圖書館系統,方便靈活地進行圖書館文獻信息咨詢、瀏覽、檢索及獲取的一種新型文獻信息服務方式。數字化圖書館為讀者提供移動、交互、便捷、自由服務。但同時數字化移動圖書館所面臨的安全問題也越來越嚴峻。只有建立一個綜合、安全、可靠的移動圖書館信息平臺,才能為用戶提供長久安全的服務。
3.2完善數字化圖書館移動安全系統總體結構設計
上面主要分析了基于有線網絡路徑提供數字化服務網絡信息安全的保護方式。在以數字化圖書館以移動路徑方式提供數字化服務時,由于其服務更加靈活和開發,其安全保障體系更顯得十分重要。其移動安全系統應進一步完善,應當由安全信息服務平臺和移動終端設備組成,總體架構如圖3所示。數字化圖書館安全信息服務平臺應具有身份認證、密鑰管理、用戶權限管理、數據加解密、信息查詢、數據存儲管理、網絡狀態監視和日志管理等功能融為一體;安全信息服務平臺能對移動設備用戶進行身份認證、加解密與移動設備用之同傳輸的信息,要根據移動設備用戶提供的關鍵字,從后臺數據庫中查詢相應的數據,并返回給用戶,對移動設備用戶上傳的文件進行統一存儲管理;信息服務平臺的日志管理模塊實時記錄不同用戶所執行的操作,包括所進行的查詢、上傳的文件和系統異常,日志中所記錄的字段可由系統管理員自由設定。
3.3完善數字化圖書館移動安全技術保障
就目前來看,圖書館數字化環境常用的移動網絡安全架構還不夠完善,對其進行改進完善是數字化圖書館移動服務快速發展的必然要求,可考慮采用如下兩個技術措施進一步完善移動網絡體系安全:(1)在移動終端增加安全措施。這樣不至于因使用者出現安全問題而禍及圖書館數字化環境。因此,可在移動終端增加具有移動可信計算功能的獨立模塊。該模塊使其具有安全計算和識別能力,能計算出移動終端中所有軟件的完整性,檢查所安裝和所執行軟件的合法性,如果沒有授權,就不能安裝和執行,但它可與安全服務提供者實現安全通信,并把計算發現的情況隨時報告給安全服務提供者。(2)在移動網絡中再添加安全服務提供者角色。在互聯網中,軟件提供商向移動用戶提供的軟件讓其必須持有安全服務提供者簽發的數字證書,只有這樣該軟件才能被安裝和運行使用。因此增加安全服務提供者角色后,可通過其為移動終端提供軟件合法性證明,從而避免對圖書館數字化安全體系所造成的威脅和破壞。如圖4所示,給出了加上可信服務的移動網絡安全結構。在如圖4的安全結構中,安全服務提供者的服務器是直接接入網絡服務器的,因此對已經有的移動網絡安全系統結構不會造成大的改動。如果安全服務提供者檢查發現軟件完整性遭到破壞,則說明終端可能已經染毒了,為了避免終端將病毒擴散到數字化圖書館環境中,就主動不允許其進一步接入圖書館網絡系統,以保障數字化圖書館移動服務功能的安全。
4圖字化圖書館基于IPSecVPN訪問方式實現移動服務的安全保障
使用移動通訊終端設備尤其是智能手機可隨時隨地接人因特網,但接入Internet不等于不受限制地訪問獲取圖書館所有資源。比如高校數字化圖書館服務對象主要是本校教職工,是有身份限制的,為了識別訪問者身份和信息的安全傳輸,大多采用了VPN技術。4.1IPSecVPN分析虛擬專用網VPN(VirtualPrivateNetwork)實現不同網絡組件和資源之問的相互連接,同時對用戶提供透明的服務,利用Internet或其他公共互聯網絡設施為用戶創建一個傳輸的邏輯隧道,在一個公共網上傳輸信息時,其它用戶不能進入此隧道,這樣就為使用者提供一個專用網絡信息通道,起到了對資源提供者和訪問者的安全保障。IPSecVPN即指采用IPSec(InternetProtocolSecurity)協議來實現遠程接入的一種VPN技術。在VPN技術中可提供公用和專用網絡的端對端加密和驗證服務。IPsec提供IP層上的安全服務,這樣系統就可以選擇所要求的安全協議,以決定服務所使用的算法、配置所需要的密鑰,實現數據傳輸的機密性和完整性。4.2完善IPSecVPN接入安全布置為通過IPSecVPN實現移動用戶和數字圖書館的端到端的加密傳輸。在移動終端可安裝安全卡和安全軟件;在移動公網部署二層隧道協議訪問集中器LAC(1ayer2tunnelprotocolaccessconcentrator)、二層隧道協議訪問服務器LNS(1ayer2tunnelprotocolnetworkserver)和驗證授權以及帳戶AAA(authentication、authorization、accounting)提供虛擬專用撥號網服務;對移動安全接入部署防火墻、VPN網關、身份認證鑒別管理、安全策略和評估、監控審計和應用隔離系統進行完善,具體如圖5所示。(1)為了使移動終端系統對移動用戶的身份識別更加準確,可采用開機密碼或硬件雙要素的認證方式;(2)針對無線虛擬專用撥號網,在撥號過程中加強網絡運營商對撥號終端身份認證采用“用戶名@域名/口令”的方式;(3)在移動終端接入IPSecVPN網關時,要對移動終端接入采用數字簽名認證。采用通過三次握手周期性對端的身份進行校驗,同時在初始鏈路建立完成時,以及在鏈路建立之后重復進行。改善審計記錄的關聯性,以增強安全強度。
5系統認證方式
在數字化圖書館基于局域網、有線網絡以及無線網絡針對特定對象提供多路徑數字化服務這一特點,如何識別服務對象、發現非服務對象甚至惡意侵入者,對保護圖書館數字化環境體系安全具有十分重要的作用。數字化圖書館雖然大多都有認證功能,但總的來說認證方式比較單一,不能完全適應多路徑數字化服務的發展要求。建立一個統一的,各種認證方式相融合、互為補充的身份認證系統迫在眉睫,可考慮將以下認證方式進行融合使用。5.1系統接入虛擬專用網的認證現在數字化圖書館大多采用以VPN的方式進行訪問接入,IPSec基于證書認證的方式非常適合大型VPN,這也符合數字化圖書館用戶不斷增加的趨勢。它所采用的PKI(PublicKeyInfrastructure)安全體系架構,保證了VPN的安全性,并可在必要時,重新頒發證書來增加用戶數量。5.2SD擴展卡與終端之間的認證增加安全數碼SD(SecureDigita)擴展卡與終端之間的認證,分別針對擴展卡和讀寫設備的合法性認證。一是可驗證終端卡的合法性,杜絕偽造卡使用的可能;二是可用卡來驗證終端的合法性,以判定此終端是否具有讀寫卡的權限。5.3對持卡人的身份認證SD擴展卡需要持有人使用PIN(PersonalIdentificationNumber)碼,即SIM卡的個人識別密碼,證明它的身份。當用戶將SD擴展卡插入移動終端,在使用之前,系統要求用戶要輸入只有其本人知道的PIN碼,若輸入正確,則表明用戶為該SD擴展卡的合法擁有者,系統也才能進行SD讀寫操作,反之就拒絕。
6用好其它常規安全技術和安全管理措施
(1)其它常規安全技術保護措施。比如設置防火墻,安裝使用網絡管理軟件,本地與在線殺毒等,這里不作過多敘述。(2)加強管理體系的建設①堅持功能規劃、建設與網絡信息安全建設同步的思想,確保安全的基礎條件達標。②加快建立圖書館數字化安全機制。完善組織機構,加快建立完善圖書館數字化各項安全制度。加大使用安全宣傳,共建數字化圖書館網絡安全環境。③對圖書館工作人員進行網絡信息安全知識、技能的培訓,提高基于數字化服務的安全能力。
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)09-2102-02
Information-based Network Security Applications
ZHU Wei-xiong
(Zhaoqing Yingyi Information Technology Co., Ltd. Zhaoqing 526040, China)
Abstract: This paper from the analysis of information network security status and threats, are given to solve the problem of response measures, and to make recommendations to improve safety for the information-based network security applications to provide reference.
Key words: information technology; networking; security
信息化網絡正高速發展,人們越來越多利用網絡進行一些如銀行事務,電子郵件、電子商務和自動化辦公等應用,給社會、企業、個人帶來方便,但網絡特別是互聯網的開放性、互聯性、匿名性也給網絡應用帶來了安全隱患。
1 網絡的安全威脅
國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。網絡安全面臨威脅來自多方面,并隨著時間變化而更新著,網絡的威脅主要有:
1) 由于在廣播網絡系統中,每個結點都可以讀取網上傳送的數據,網絡體系結構允許監視器接受網上傳送的所有數據,使得竊取網上的數據或非授權訪問變得很容易。
2) 利用重放數據幀的方法,產生被授權的效果,假冒另一實體進行網絡非授權活動。
3) 網絡資源的非授權使用,與所定義的安全策略使用不一致,非法越權使用網絡資源。
4) 破壞數據完整性,包括設備故障或人為有意無意破壞修改系統信息。
5) 受到網絡攻擊使網絡設備或數據遭到破壞,并可能產生拒絕某種網絡服務功能的后果。
2 信息化網絡安全應用
信息化網絡應用既有保密性和穩定要求較高信息系統子網,又有互聯網接入易遭攻擊的資源共享子網,需要對信息系統均衡、全面的保護。充分、全面、完整地對系統的安全漏洞和安全威脅進行分析強調安全防護、監測和應急恢復,目前網絡安全檢查措施有數據備份、防火墻、數據加密、數字簽名、身份認證、入侵檢測、病毒防護等提供多層次全方位防護。
1) 數據備份與數據恢復能最大限度地降低系統風險不僅備份系統中數據,還備份網絡中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息,及時迅速恢復整個網絡。硬件備份方案有磁盤鏡像、磁盤陣列(RAID),雙機容錯等,可以防止部分物理故障。磁盤鏡像在每次向文件服務器的主磁盤寫入數據采用寫后讀校驗,將數據再同樣寫到備份磁盤上,但未能使服務器的磁盤I/O速度提高,一般應用在分支機構作數據備份。磁盤雙工應用二級容錯技術,在磁盤控制器出現故障時,起到數據保護作用,數據庫服務器一般采用磁盤冗余陣列, RAID5技術磁盤數據I/O、效率、容量利用率較高,其中RAID6和RAID7是RAID5的改進版有條件可考慮使用。
2) 防火墻硬件將網絡分為內網和外網,能有效地監視內部網絡和Internet之間活動,保證內部網絡的安全,只有內部訪問策略授權的通信才能被允許通過。在物理實現上,防火墻是一組硬件設備,路由器、計算機或其他特定的硬件設備。防火墻有包過濾防火墻、應用防火墻,工作層次越高,則工作效率越低,安全性越高,較小的分支機構可以使用基于路由器的防火墻,公司內部使用具有安全操作系統的防火墻,由內到外,由外到內業務均經過防火墻,嚴格限制外部網絡用戶進入內部具有抗穿透攻擊能力。
3) 數據加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私鑰加密和公鑰加密。VPN和IPsec用于各分支機構的互聯傳輸方面,通過信息重新組合使得只有通信雙方才能解碼并還原信息,一般采用DES和RAS技術,通信雙方通過加/解密函數和密鑰對通訊信息加密解密而使信息得以保護不被監聽。
4) 數字簽名與手寫簽名一樣,使得收信人可以確認消息來自發信者,收信者不能編造或改變信息,發信者也不能否認,多應用在電子商務方面,較多使用報文摘要算法(MD5)和安全散列算法(SHA),SHA算法速度比MD5較慢但安全性較高。
5) 身份認證要求用戶使用一項網絡服務前需輸入用戶名及密碼,實現用戶的身份認證,并給用戶一定的使用權限。可給硬件如虛擬專用網(VPN)、服務器、路由器等,軟件操作系統、應用軟件進行加密保護,權限外用戶將無法使用功能。
6) 反病毒軟件是最常用安全保護措施之一,較常見的病毒有寄生病毒、存儲器駐留病毒、引導區病毒、隱形病毒、多形病毒等。可采用較先進的類屬解密對多形病毒進行激活解密自身結構,使得反病毒程序可以容易檢出甚至復雜的多形病毒,同時保持較快的掃描速度。數字免疫當病毒進入系統,免疫系統立刻能識別來,對它進行分析隔離,并將這個病毒信息傳遞到其他地方,使它運行前能被檢測出來。
7) 入侵檢測是一種積極主動的安全防護技術,提供了對內部入侵、外部入侵和誤操作的實時保護,在監視或者可能的情況下,對可能損害系統的機密性、完整性或可用性等行為進行檢測,通過監視受保護系統的狀態和活動,阻止入侵或者試圖控制網絡系統或資源,采用異常檢測或誤用檢測的方式,監視限制非授權或惡意的系統及網絡行為,為防止入侵行為提供有效的方法。隨著時代的發展,入侵檢測技術將朝著三個方向發展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。
8) 虛擬專用網(VPN)就是在公用網上建立分支機構或項目部互連的專用虛擬網絡。VPN之外用戶無法訪問VPN內部網絡資源,VPN內部用戶之間可以實現安全安全通信。在Internet上建立隧道技術可以在不同協議層如數據鏈路層、網絡層實現。利用點對點協議(PPP),可傳送多種上層隧道協議(PPTP、L2TP),創建隧道就地址分配、加密、認證和壓縮等參數進行溝通,也可利用SSL VPN、IPsec VPN協議建立秘密隧道,使用預加密、數據完整性和身份認證技術。
3 信息化網絡安全建議
1) 信息安全不僅是技術問題,也是管理問題,要高度重視信息安全管理,在加強信息系統的軟硬件建設的同時,對信息安全管理工作也不能松懈和忽視。企業的信息安全政策不應再單單是信息部門的責任,企業對于組織安全的認知,應通過整體安全分析與定期安全檢查獲得提升。
2) 嚴格執行信息安全標準,減少內部的弱點和威脅,使安全隱患不再有機可乘。對于安全事件的處置,提倡強制實施應變作業流程,并針對特定目標提供安全訓練,協助建立必要的作業程序,經常性對網絡進行檢測,掃描網絡系統的安全漏洞,以及時發現安全隱患、及時打上補丁,降低并控制安全事件的損害。
3) 信息安全技術的日新月異,使得安全管理有著很大的不確定性。再嚴密的安保措施也不能保證網絡安全的萬無一失,因此必須增強信息安全管理的危機處理能力,將危機處理程序標準化,在危機來臨之際,采取有效措施,積極將損失減少到最小程度。同時針對各種安全事件擬定一套順暢且有效的應變措施,如為了封堵某一網絡蠕蟲病毒的傳播,自動配置防火墻,阻塞已中病毒主機的IP地址或者該病毒傳播所利用的TCP/UDP端口等等。
4) 網絡安全和信息安全是信息資源共享的前提,發展信息化必須高度重視信息網絡安全體系的建設。安全體系的建立并不是單一技術的堆疊,而應是整體預防體系,積極爭取網絡安全認證機構的合作和支持,同時加強信息安全技術平臺的建設,加強企業內部的安全技術建設和監察管理工作,保障信息網絡安全。
4 結束語
隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。只有重視信息化網絡安全工作,才能使網絡穩定運行,實現安全訪問可控性,數據儲存完整性,數據傳送保密性,商務活動認證性等目標,從而更好地為計算機網絡增值服務。
參考文獻:
0 引言
在信息化社會建設的進程中,網絡的應用和開發已成為衡量一個國家政治、經濟和軍事綜合能力水平的重要標志,網絡的作用和地位越來越重要。網絡為信息交換、存儲和處理提供了極大的便利。計算機網絡因其開放性、互聯性的體系結構使網絡擴展更加便利,信息利用更加快捷高效,網絡的服務性和需求日益提高,社會、經濟、軍事等領域對網絡信息作用的依賴日益增強。然而,也正是網絡開放、互聯等特點增加了網絡的復雜性和脆弱性,網絡信息遭受來自網絡內部和外部的各種安全威脅。因此,網絡安全問題已成為信息時代人類共同面臨的挑戰,越來越被重視。就其本質而言,網絡安全就是信息安全。網絡安全是指通過各種技術和管理措施,使網絡系統正常運行,保護網絡數據(信息)的可用性、完整性、私密性和可控性。網絡安全是一個完整的體系,其防護主要包含技術方面和管理方面,二者相互補充,缺一不可。加強網絡安全不僅要從技術防護著手,更要注重網絡安全管理工作。本文試對網絡安全管理存在的問題簡要分析,并就加強網絡安全管理提出幾點措施。
1 網絡安全現狀及存在的原因
1.1 現狀
經過長期的努力,我國在信息安全管理上取得了一些成就,制定了一系列信息安全的制度法規,建立了專門的加強法制信息安全管理機構,出臺了一系列信息安全技術標準。從國家互聯網應急中心(CNCERT)的2011年互聯網網絡安全態勢報告,顯示我國基礎網絡防護水平明顯提升,政府網站安全事件顯著減少。其中,2011年我國大陸被篡改的政府網站數量較2010年下降39.4%。但由于缺乏自己的計算機網絡及信息安全核心技術,互聯網新技術和新應用快速發展而網絡安全法規建設相對滯后,加之人們對網絡信息安全的認識存有誤區,網絡信息安全事件頻繁發生。數據泄露事件層出不窮,釣魚網站數量持續增加,虛假信息和垃圾信息泛濫,用戶信息安全保障難度加大;病毒、木馬、蠕蟲變化多、更專業,其破壞性和危害性更強。有數據表明,我國2011年遭受境外網絡攻擊持續增多,網上銀行面臨的釣魚威脅、手機惡意程序、應用軟件漏洞、工業控制系統安全事件等也呈增長態勢。其中,2011年CNCERT捕獲移動互聯網惡意程序6249個,較2010年增加超過兩倍。為此這些將成為網絡安全管理工作的主要難點。
1.2 主要原因
1.2.1 網絡安全意識淡薄。
網絡安全實質就是要保障網絡信息安全。影響網絡安全的因素有許多,既有網絡硬件、軟件或系統等問題造成;也有人為因素造成。但是一些企事業單位機關對網絡安全的認識存在誤區,過度依賴網絡設備和技術方面的防御,把防范的重點放在外部,忽視從內外結合上,技術和管理上構建網絡信息系統的安全防范體系;對網絡管理制度、管理隊伍建設重視不夠;網絡工作人員和用戶安全意識淡薄,導致疏于安全管理的網絡安全問題時有發生。大量的調查表明,因人為因素或自然災害所造成的計算機信息系統的損失事件中,至少有70%是因為管理措施不得力或管理不善所致,而其中95%是可以通過正確的信息安全配置管理來消除的。增強網絡安全管理意識,強化管理措施是做好網絡信息系統安全保護工作不可缺少的保障。
1.2.2 網絡信息安全管理體系建設滯后于網絡技術的發展。
網絡安全是以安全技術為支撐,以安全管理為手段。雖然隨著網絡信息技術運用的不斷深入,網絡信息安全管理工作有所改進,但是由于沒有及早認識到網絡信息安全管理的重要性,網絡信息安全管理工作還存在諸多不足。一是我國安全管理法規制度建設不健全。相對網絡信息發展,我們在網絡立法方面明顯落后于信息技術的發展,難于滿足網絡信息發展的需要,不能有效地適應各類網絡非法行為。二是網絡建設處于分散管理狀態。信息安全管理條塊分割,各管理部門之間缺乏有效的溝通和聯系,網絡信息安全的多頭領導,極易引起信息安全管理的混亂。三是網絡信息管理隊伍建設發展不平衡。從整體而言,網絡信息管理隊伍重視程度遠低于網絡硬件建設,網絡安全管理的人才無論是數量還是質量都達不到信息發展及信息安全管理的需要。
2 加強網絡安全管理幾點建議
2.1 重視管理在網絡安全的作用
加強網絡信息安全必須從管理上著手,有人提出“網絡信息安全的工作是三分技術、七分管理”。諸多事實證明,僅從防火墻、密碼機單一設備加強信息安全已不能適應當今網絡安全的需要,盡管目前已經有成百上千種的安全產品,但人們仍然越來越感覺不安全。網絡的規模、復雜性、日趨增多的應用等,是造成這種狀況的主要原因之一。要保證真正的意義安全,必須從管理上著手,加強對網絡安全的防范意識、法規制度建設,加強網絡技術、市場和人員等管理。
2.2 完善網絡管理的法規制度
法規制度建設是管理運行的基本依據和最有效手段。經過長期的努力,我國在信息安全管理取得了一些成就,制定了一系列信息安全的制度法規,建立了專門的加強法制信息安全管理機構,出臺了一系列信息安全技術標準。但是,與信息技術發展比較,我們的信息安全管理工作相對落后,加之網絡發展速度迅速導致了法制的滯后性,使有關部門在打擊網絡犯罪的過程中面臨無法可依的尷尬局面。所以法制建設應該不斷健全,做到規范網絡運行商、企事業單位和用戶的行為,規范網絡信息與資源的管理制度,切實做到有法可依、有法必依、違法必究。
2.3 加大輿論宣傳
加強思想上網絡安全意識建設,文化和法制等部門在社會主要加大基本網絡安全知識的普及。同時加強網絡用戶的安全意識的宣傳,要求網絡用戶在思想上要引起高度重視,既要他們認識到網絡犯罪的概念與危害,增強法律意識;也要增進他們的自我安全意識,主動規避風險,最大限度地預防與減少網絡犯罪的發生。
2.4 制定切實可行的網絡安全管理策略
網絡的安全是保證網絡使用安全為前提,安全策略的制定應是建立在信息使用足夠方便的基礎上,尋求最有效的安全措施。第一,明確本網絡的開放性要求和安全性要求,尋求二者的均衡點,對兩者間有矛盾的根據實際情況決定取舍。第二,對本網絡拓撲結構和能夠承受的安全風險進行評估,從網絡安全技術方面為保證信息基礎的安全性提供了一個支撐。第三,要建立全網統一、有效的身份識別系統。遵循最小特權、最小泄露和多級管理的授權原則,未經授權相關信息和資源不允許訪問、引用和使用。第四,建立網絡信息監控機制。對信息、傳輸和使用等,需要有較全面的審計、記錄的機制,以便于事后的調查和處理。第五,制定各種網絡安全事件的應急預案,一旦網絡安全事故發生,能在第一時間予以控制,防止事態的擴大,減少損失。
參考文獻:
中圖分類號:G271 文獻標識碼:A 文章編號:1674-3520(2015)-04-00-01
二十一世紀,是一個網絡的時代。打開計算機,網上瀏覽一圈,就知天下事。這是信息網絡時代的突出特點。人們在小小的電腦前,可以快捷、準確、高效,遠距離地實現自己的愿望,真是方便又明了。這就是信息網絡時代對檔案利用者帶來的優越,也是檔案工作的一種變革,更是一種挑戰。隨著科學技術的迅猛發展,信息網絡的連通,檔案工作者只有隨時代的發展而提高自己,實現網上辦公、網上用檔,才能準確、高效地為利用者服務,才能讓檔案信息體現出真正的有效價值。
一、實現檔案信息網絡化的對策
隨著網上辦公、網上用檔的普及,檔案部門還有許多工作要做,針對網上用檔的條件,我們還必須做好以下幾方面工作,為檔案實現信息網絡化奠定堅實的基礎。
(一)加強網上用檔管理理論研究。為了更好地開展網上工作,保證提供系統、完整、真實的電子文件信息給利用者,我們必須加強歸檔電子文件的理論研究,其探討的理論主要包括:1、用文字處理技術形成的電子文件,歸檔時應有文字存儲格式、屬性和文字處理平臺的說明材料。2、用掃描儀等設備獲得的圖像電子文件,用計算機輔助設計或繪圖等獲得的圖形電子文件等如何歸檔的理論研究。3、檔案信息上網后信息如何管理、利用的理論研究。4、檔案信息源如何系統編輯上網的理論研究等等。
(二)加強檔案部門網上辦公先進設備的配置。現階段檔案部門設備十分落后,現代化程度不高。因此,我們要加強宣傳,爭取社會的支持,爭取政府加大對檔案事業的投入。再就是要把檔案事業推向市場,讓檔案體現其經濟價值,把檔案信息作為一種特殊商品經營,增加社會對檔案事業的投入。總之,要采取多種方式來解決檔案資金的不足,以便檔案界配置先進的管理設備。
(三)加強檔案管理人才的培養。人才決定事業成敗,檔案事業發展與否,關鍵在人才。網絡時代,檔案管理人才必須重新更新自己的知識,爭做檔案信息網絡管理軟件的編輯開發人才,爭做網絡檔案信息管理人才,爭做網絡檔案信息源組織編研人才和其它載體形式的管理人才。
(四)加強網上用檔的法律、制度的制定。必須加強網上用檔工作立法和制度的建設,用法律和制度來保障檔案資源的齊全完整。為此,需要從以下幾方面進行規范:1、加強網上用檔的立法規定,對那些非授權訪問,冒充合法用戶破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、線路竊聽等形式的犯罪分子,要以法律為武器進行堅決的打擊。2、制定應急計劃,進行安全檢查和審計,撰寫安全情況匯報的規定;3、嚴格進行權限管理,包括授予完成工作所需最小特權、回收特權的規定。4、網上查閱檔案信息目錄的規定。5、定期進行安全評估,不斷改進、優化系統的規定。
二、檔案信息網絡安全管理與防護措施
隨著計算機技術的不斷發展,在網絡環境下,各種破壞手段、病毒及黑客攻擊等無時無刻都在威脅著電子檔案信息的安全管理。因此,檔案信息網絡安全管理需要管理的網絡、存儲設備、主機服務器、系統軟件等都應該有相對較高的安全管理及安全防護措施。以下粗淺的談幾點網絡安全管理與防護的措施,僅供參考:
(一)做好網關病毒入侵的防御工作
如今,計算機病毒通過互聯網進行傳播,因此,做好網關病毒入侵的防御工作,可以起到防患于未然的作用,這樣可以將病毒防御工作做在開頭,而非等到病毒入侵之后造成一定破壞才去做亡羊補牢的殺毒工作。其具體措施為:首先,阻截來自互聯網的文件病毒入侵內部網絡,對進出的數據信息全部進行殺毒;其次,阻截來自互聯網的黑客對應用服務器的破壞及入侵;另外,阻截來自互聯網的病毒對終端操作系統的入侵及破壞,并禁止病毒在內部網絡之間相互傳播。
(二)提升檔案信息管理人員的專業素質和網絡安全意識
在檔案信息的安全管理過程中,檔案管理人員的專業素質及網絡安全意識在很大程度上決定著檔案信息管理的安全與否。因為,在檔案管理過程中,存在的安全隱患并非完全來自計算機軟硬件方面,另外還涉及到檔案信息管理人員的安全意識及安全防護措施,因此,在檔案信息管理過程中,管理人員必須做到杜絕用檔案管理專用機訪問外網;堅決不在檔案管理專用機上隨意安裝軟件;盡量不要利用U盤移交檔案信息,在迫不得已的情況下,也一定要對U盤進行徹底殺毒;另外,互聯網上每時每刻都在傳送各種各樣、形形的文件,而這些文件,或多或少都帶著一定的病毒,甚至有些文件根本就是黑客和病毒入侵的一種媒介,因此,對于一些無法搞清楚來路以及內容的文件,千萬不要打開,也不要接受陌生人發的文件,只有做好這些防范工作,才能做到在最大限度內對病毒、黑客等入侵的防范工作,以確保檔案信息的網絡安全管理工作。
(三)做好防火墻的訪問防范工作
防火墻處于網絡安全的最底層,不但為網絡應用提供安全服務,也承擔著網絡病毒、垃圾等的過濾任務,是內網與外網之間的重要防護屏。因此,做好防火墻的訪問權限及防范工作,力爭將網絡病毒、垃圾等侵害網絡安全的因素阻擋在防火墻之外,這一環節對于檔案信息網絡安全管理與防護有著直接而至關重要的作用;另外,在檔案信息管理系統和每個地區的服務點之間,還有安全等級不相同的系統之間的互聯邊界處,也應該利用防火墻做好訪問防范工作,還以利用劃分虛擬局域網來增強網絡安全防護效果。
三、結語
檔案信息網絡化管理讓檔案信息快速、及時、準確地為用戶提供相應的檔案信息服務的同時,相比傳統的紙質檔案,也在安全管理與防護方面存在著較大隱患。因此,做好檔案信息網絡安全管理與防護體系并為其提供安全的網絡環境及管理人員顯得尤為重要,才能更大程度地發揮檔案信息的效益,才能保證檔案信息在網絡環境下的完整及安全。
參考文獻:
一、引言
由于計算機的普及和網絡技術的發展,使得國家間的聯系得以加強。由于網絡開放性和互聯性的特點,它在給用戶帶來便利的同時,也對信息安全帶來極大的隱患,當今社會不斷出現個人信息、軍事信息甚至是國家重要信息在網上被盜取、破壞等事件,極大的威脅國家的安全和社會穩定。因此,信息網絡安全的保障是各個國家研究的重要課題之一。
二、信息安全的意義
2.1以信息化網絡為基礎的信息化技術已成為國家經濟安全的重要組成部分
經濟安全是指在經濟全球化的環境下,一個國家保持其經濟系統運行和國民經濟發展不受外來勢力根本威脅,國家經濟不受分割的狀態和能力。其構成主要包括資源安全、金融安全、產業安全、財政安全和信息安全等。
2.2信息網絡安全是構成國家經濟安全的基礎
由于信息化飛速發展和網絡技術的迅速普及,經濟信息也與網絡緊密結合起來,信息化與經濟的關系越來越親密,經濟信息化的程度越來越深。當前我國的互聯網涉及到了社會經濟的各個領域,并直接與世界各國連接。因此互聯網既是政治關口,也是國家的經濟命脈。而如今,我國各行各業對信息網絡系統的依賴程度越來越高,這種高依賴性勢必使得社會經濟十分脆弱,一旦受到外來勢力的打擊和破壞,信息網絡無法正常運行或陷入癱瘓,隨之整個社會陷入動蕩甚至崩潰。因此從信息網絡安全角度看,信息化程度越高,國家安全、社會安全面臨的風險越大。信息的網絡安全保護問題已經成為制約我國經濟社會發展的關鍵問題之一,也是構成國家經濟安全的基礎。
三、信息網絡化的安全問題
3.1信息安全產品出現的安全隱患
信息產業已成為社會經濟發展的巨大推動力,但由信息產業產生的信息安全產品也給經濟安全帶來了一些問題。首先,目前我國大部分的網絡硬、軟件和技術都從國外引進,如果這些設備設計有缺陷或故意留有漏洞,在非和平時期被產品提供國加以利用,則我國的經濟安全甚至是國家安全遭到嚴重的破壞。其次,我國自主研發的防火墻技術、殺毒軟件等信息安全產品本身也存在一定的滯后性。一些制造商本身信譽很差,只追求片面和短期的經濟利益,而忽視法律法規,自己制作病毒再推出相關產品以取得利益,罔顧人們的利益和國家的信息安全。造成網絡經濟的混亂,使社會對網絡化的信息產生不信任感。
3.2安全意識不高,現行法律制度不完善
計算機網絡安全的首要威脅是計算機病毒,當今計算機病毒技術發展非常迅猛,每年出現的病毒數越來越多,危害也越來越大。而我國部分政府網站、商業網站由于缺乏相關專業技術人才,安全防范意識不強,防火墻技術及防病毒技術的使用跟不上,造成信息的泄露,數據的完整性遭到毀滅性的破壞,嚴重影響信息網絡的安全。另一方面,由于法律和道德的約束不力,越來越多的人突破道德底線,利用計算機和網絡技術進行經濟犯罪,也給國家的經濟安全帶來極大的危害。
四、加強網絡安全,建立信息安全體系
信息安全體系的建立,不是僅僅依靠幾種安全設備的簡單堆砌,或者一兩個人的技術就能夠實現的,還要設計管理制度、人員素質的意識、操作流程的規范、組織結構的健全性等眾多因素。一套良好的信息安全體系需要綜合“人+技術/產品+管理+維護”運用,從而才能建立起一套完備的、高保障的信息安全體系。
4.1強化自主創新意識,開發和使用有自主知識產權的信息安全產品
國家要重視強化自主創新意識的重要性,加大力度做好信息安全標準化建設規劃、推動工作,設立專項資金,發揮產學研結合,實現校企合作,及早確立全面的信息安全技術標準、管理規范,同時通過實施信息安全研發、產業化重大專項,增加對信息安全保障體系關鍵技術研究的資金投入,鼓勵企業開創自主開發意識,生產出擁有自主知識產權的信息安全技術和產品,特別是服務器、主機、交換機等主要設備及相關操作系統、數據庫軟件、安全服務器技術等方面迅速形成突破,提高我國信息安全技術產品水平,以此減低對國外產品和技術的依賴,降低國外對我國經濟安全的威脅。
4.2加大專業技術人員培養力度,完善信息安全管理制度
信息安全體系的建立,需要專業技術人才的支持。我國應著重培養具有經濟知識的信息安全專業的技術人才,使之在網絡信息的維護發揮重要作用。可喜的是現今國內很多高校已經設立了信息安全專業,信息安全學科和人才培養進入熱潮階段。同時,我們也要不斷的強化專業技術人才安全意識和提高專業素質,規范和完善信息安全管理制度,保障和維護信息安全,防范內部人員出現信息破壞和犯罪現象發生。
4.3完善相關的法律法規,保障網絡信息安全
法律是網絡信息安全的重要保障,只有健全的法律法規制度的建立,才能有效保證網絡系統安全運行、信息安全傳遞。隨著國家的高度重視和宏觀管理,我國關于信息安全的法律日益趨于完善。但是我們必須清楚的認識到,由于信息化產業發展過于迅速以及網絡和計算機技術的成熟,目前的法律法規已經不能滿足于現實需求,各種利用計算機進行的經濟犯罪層出不窮,方式與手段不斷變化,甚至達到無孔不入的地步,讓人防不勝防,大量的政府信息、軍事信息、經濟信息等被泄露甚至破壞,嚴重威脅著國家安全和社會穩定。因此我國應根據信息網絡化迅猛犯罪的特點,結合現今存在的現實問題,補充和完善現行的法律法規,日益健全法律體系,進一步維護網絡信息系統的安全。
總之,網絡化的飛速發展和計算機技術普及的推動,我國的信息化產業顯現出蓬勃發展的良好勢頭。但是,隨之而來的信息安全保護問題變得更加嚴峻。為此,我們應不斷研究和探索,建立起一套完善的信息安全保護體系,以擁有自主知識產權的軟硬件為基礎,培養專業技術人才為關鍵,進一步完善法律法規和管理制度,努力維護網絡信息安全,進而保障我國的經濟安全和國家安定。
參考文獻
[1]郭秦.試論信息網絡安全在國家經濟安全中重要性及其維護[J].理論導刊,2007.9
[2]陳愛玲.淺析煤炭營銷信息網絡安全[J].山東煤炭科技,2006(3)
2醫院信息化建設網絡安全的防護措施
2.1對醫院的網絡進行安全隔離
醫院的財務部門、人事部門及領導用戶等重要計算機中往往保存這非常重要的文件、數據等,這些文件與數據都直接關系著醫院的生產與發展。在醫院信息化建設的過程中,一方面要讓這些部門充分享受到網絡所帶來的便利性,另一方面也要重視這些部門的網絡安全。因此,要對醫院中的重要部門及關鍵用戶進行安全隔離工作,排除一些不允許訪問的用戶。醫院網絡的安全隔離工作主要包括三個方面的網絡技術解決方案:第一,運用網絡掩碼或者VLAN技術對網絡進行劃分,形成子網絡;第二,對醫院的重要部門與關鍵用戶進行單獨劃分,將其歸到特定的子網絡中;第三,對醫院的重要部門與關鍵用戶進行網絡隔離工作。
2.2對醫院的網絡進行殺毒軟件部署
當前,計算機病毒在不斷的發展中呈現出混合型的特征,能夠通過各種途徑進行傳播,具有破壞性較強、欺騙性較大等特點。在計算機病毒傳播的過程中,最為有力的方式為系統漏洞傳播。
2.2.1殺毒軟件的常規部署工作
針對計算機病毒呈現出的新特點,醫院應該采用殺毒能力較強的防病毒軟件,例如SymantecEndpointProtection等,首先需要具備最為基本的防病毒功能,其次需要具備管理控制客戶端應用程序的功能。醫院信息化建設過程中,通過殺毒軟件能夠對病毒進行查殺,對文件進行監控,同時能夠實時監控客戶端,不給病毒以可乘之機。醫院中包括多個子系統模塊,每個子系統模塊都具有特定的功能,要依據子系統模塊的特點選擇不同的殺毒軟件部署工作,例如藥房組、醫技組等可以部署普通殺毒軟件,非受管組具有一定的獨立性,需要增加擴展功能、更新功能等。
2.2.2惡意軟件的深度防護工作
最新版本的防病毒軟件在理論上是可以對最新病毒進行查殺的,但是實際上殺毒軟件病毒庫的更新總是滯后于病毒產生,存在部分病毒無法得到及時的預防與查殺。此外,服務系統中存在著較多的安全漏洞,而且呈現出不斷增加的狀態,需要通過大量的補丁程序對其進行修復。因此,需要對惡意軟件進行深度防護。首先,對客戶端進行防護工作,主要的措施包括:第一,將計算機中不需要的應用程序、服務等進行及時的刪除或者禁止,降低計算機的受攻擊面;第二,要對應用及時地進行安全更新工作;第三,在客戶端使用的過程中要啟用防火墻;第四,在客戶端中進行防病毒軟件的安裝與更新;第五,對漏洞掃描程序進行測試,確保不存在安全漏洞;第六,在登錄系統中要采用最小特權策略,將管理員用戶與普通用戶進行劃分。其次,對服務器端進行防護,服務器端的防護措施與客戶端防護措施基本相同,除上述的幾種措施之外,還需要注重的就是對軟件總體服務器進行防護工作。
2.2.3對醫院網絡系統中的數據實現備份與恢復
數據備份指的是將計算機網絡中的數據進行復制并存儲到安全區域,當計算機出現問題并恢復系統之后,數據備份能夠將計算機中丟失、破壞、損毀的數據進行恢復。在數據備份工作進行的過程中,要依據醫院信息化建設的安全數據保護級別選擇備份工作的類型,同時要對備份文件進行有效的保護工作,為醫院信息系統的數據恢復提供保障。當前,數據備份較為常用的方法為多層次冗余備份法,主要的功能包括結構本身的數據備份、本地磁盤定時備份、異地備份、備份庫定時刻盤等。
2.2.4對操作系統進行安全管理
在醫院信息網絡中,終端、服務器等都安裝了操作系統,操作系統的穩定性與安全性對信息網絡具有非常重要的意義。在對信息系統進行管理的過程中,最為核心的任務就是對應用系統依賴的IT基礎設施進行日常運行維護與監控管理,確保信息系統在運行的過程中能夠實現穩定與流暢。針對信息系統要部署運行維護管理軟件,對信息系統管理人員提供綜合網絡管理,對信息系統進行全方位的管理工作。
2.2.5對信息系統的用戶賬戶安全策略進行管理
在醫院的信息網絡中,最為重要的就是要確保服務器系統的安全。在整個網絡運行的過程中,服務器系統發揮著源頭與動力的作用。入侵者在進攻網絡過程中的第一步為破譯用戶口令,因此需要對用戶賬號進行有效的安全性配置。在用戶口令設置的過程中要盡可能的長,最好選擇字母與數字組合的方式,同時口令最好是沒有規律的、定時更換的,不同的系統要采用不同的用戶口令。醫院信息中心的服務器應該有專人進行管理,只有管理人員能夠擁有密碼口令。
1.1消防信息化的范疇
消防信息化是利用先進可靠、實用有效的現代計算機、網絡及通信技術對消防信息進行采集、儲存、處理、分析和挖掘,以實現消防信息資源和基礎設施高程度、高效率、高效益的共享與共用的過程。
消防信息化建設的范疇包括通信網絡基礎設施建設、信息系統建設及應用、安全保障體系建設、運行管理體系建設和標準規范體系建設等內容。
全國消防通信網絡從邏輯上分為三級:一級網是從部消防局到各省(區、市)消防總隊以及相關的消防科研機構和消防院校;二級網是各省(區、市)消防總隊到市(地、州)消防支隊;三級網是各市(地、州)消防支隊到基層消防大隊及中隊。對北京、上海、天津、重慶等直轄市,二級網和三級網可合并考慮。每一級網絡所在機關均應建設本級局域網。
1.3安全保障體系建設
安全保障體系是實現公安消防機構信息共享、快速反應和高效運行的重要保證。安全保障體系首先應保證網絡的安全、可靠運行,在此基礎上保證應用系統和業務的保密性、完整性和高度的可用性,同時為將來的應用提供可擴展的空間。安全保障體系建設的基本要求是:
(1)保障網絡安全、可靠、持續運行,能夠防止來自外部的惡意攻擊和內部的惡意破壞;
(2)保障信息的完整性、機密性和信息訪問的不可否認性,要求采取必要的信息加密、信息訪問控制、訪問權限認證等措施;
(3)提供容災、容錯等風險保障;
(4)在確保安全的條件下盡量為網絡應用提供方便,實行全網統一的身份認證和基于角色的訪問控制;
(5)建立完備的安全管理制度。
2.消防信息化建設中面I臨的網絡安全問題
2.1計算機網絡安全的定義
從狹義的保護角度來看,計算機網絡安全是指計算機及其網絡系統資源和信息資源不受自然和人為有害因素的威脅和危害;從其本質上來講就是系統上的信息安全。
從廣義來說,凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。
2.2網絡系統的脆弱性
2.2.1操作系統安全的脆弱性
操作系統不安全,是計算機不安全的根本原因。主要表現在:
(1)操作系統結構體制本身的缺陷;
