時間:2023-06-07 09:26:53
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全加固建設,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:等級保護;網絡安全;信息安全;安全防范
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)19-4433-03
隨著我國國際地位的不斷提高和經濟的持續發展,我國的網絡信息和重要信息系統面臨越來越多的威脅,網絡違法犯罪持續大幅上升,計算機病毒傳播和網絡非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木馬間諜程序、網絡釣魚技術、黑客病毒技術等技術進行網絡詐騙、網絡盜竊、網絡賭博等違法犯罪,給用戶造成嚴重損失,因此,維護網絡信息安全的任務非常艱巨、繁重,加強網絡信息安全等級保護建設刻不容緩。
1 網絡信息安全等級保護
信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。網絡信息安全等級保護體系包括技術和管理兩大部分,如圖1所示,其中技術要求分為數據安全、應用安全、網絡安全、主機安全、物理安全五個方面進行建設。
圖1 等級保護基本安全要求
1) 物理安全
物理安全主要涉及的方面包括環境安全(防火、防水、防雷擊等)設備和介質的防盜竊防破壞等方面。
2) 主機安全
主機系統安全是計算機設備(包括服務器、終端/工作站等)在操作系統及數據庫系統層面的安全;通過部署終端安全管理系統(TSM),準入認證網關(SACG),以及專業主機安全加固服務,可以實現等級保護對主機安全防護要求。
3) 網絡安全
網絡是保障信息系統互聯互通基礎,網絡安全防護重點是確保網絡之間合法訪問,檢測,阻止內部,外部惡意攻擊;通過部署統一威脅管理網關USG系列,入侵檢測/防御系統NIP,Anti-DDoS等網絡安全產品,為合法的用戶提供合法網絡訪問,及時發現網絡內部惡意攻擊安全威脅。
4) 應用安全
應用安全就是保護系統的各種應用程序安全運行,包括各種基本應用,如:消息發送、web瀏覽等;業務應用,如:電子商務、電子政務等;部署的文檔安全管理系統(DSM),數據庫審計UMA-DB,防病毒網關AVE等產品。并且通過安全網關USG實現數據鏈路傳輸IPSec VPN加密,數據災備實現企業信息系統數據防護,降低數據因意外事故,或者丟失給造成危害。
5) 數據安全
數據安全主要是保護用戶數據、系統數據、業務數據的保護;通過對所有信息系統,網絡設備,安全設備,服務器,終端機的安全事件日志統一采集,分析,輸出各類法規要求安全事件審計報告,制定標準安全事件應急響應工單流程。
2 應用實例
近年來衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,某醫院的核心系統按照等級保護三級標準建設信息系統安全體系,全面保護醫院內網系統與外網系統的信息安全。
醫院網絡的安全建設核心內容是將網絡進行全方位的安全防護,不是對整個系統進行同一等級的保護,而是針對系統內部的不同業務區域進行不同等級的保護;通過安全域劃分,實現對不同系統的差異防護,并防止安全問題擴散。業務應用以及基礎網絡服務、日常辦公終端之間都存在一定差異,各自可能具有不同的安全防護需求,因此需要將不同特性的系統進行歸類劃分安全域,并明確各域邊界,分別考慮防護措施。經過梳理后的醫院網絡信息系統安全區域劃分如圖2所示,外網是一個星型的快速以太交換網,核心為一臺高性能三層交換機,下聯內網核心交換機,上聯外網服務器區域交換機和DMZ隔離區,外聯互聯網出口路由器,內網交換機向下連接信息點(終端計算機),外網核心交換機與內網核心交換機之間采用千兆光纖鏈路,內網交換機采用百兆雙絞線鏈路下聯終端計算機,外網的網絡安全設計至關重要,直接影響到等級保護系統的安全性能。
圖 2 醫院網絡信息系統安全區域劃分圖
2.1外網網絡安全要求
系統定級為3級,且等級保護要求選擇為S3A2G3,查找《信息系統安全等級保護基本要求》得到該系統的具體技術要求選擇,外網網絡安全要求必須滿足如下要求:邊界完整性檢查(S3) 、入侵防范(G3) 、結構安全(G3) 、訪問控制(G3) 、安全審計(G3) 、惡意代碼防范(G3) 和網絡設備防護(G3) 。
2.2網絡安全策略
根據對醫院外網機房區域安全保護等級達到安全等級保護3級的基本要求,制定相應的網絡安全策略
1) 網絡拓撲結構策略
要合理劃分網段,利用網絡中間設備的安全機制控制各網絡間的訪問。要采取一定的技術措施,監控網絡中存在的安全隱患、脆弱點。并利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
2) 訪問控制策略
訪問控制為網絡訪問提供了第一層訪問控制,它控制哪些用戶能夠連入內部網絡,那些用戶能夠通過哪種方式登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。
3) 網絡入侵檢測策略
系統中應該設置入侵檢測策略,動態地監測網絡內部活動并做出及時的響應。
4) 網絡安全審計策略
系統中應該設置安全審計策略,收集并分析網絡中的訪問數據,從而發現違反安全策略的行為。
5) 運行安全策略
運行安全策略包括:建立全網的運行安全評估流程,定期評估和加固網絡設備及安全設備。
2.3網絡安全設計
根據對醫院外網安全保護等級達到安全等級保護3級的基本要求,外網的網絡安全設計包括網絡訪問控制,網絡入侵防護,網絡安全審計和其他安全設計。
1) 網絡訪問控制
實現以上等級保護的最有效方法就是在外網中關鍵網絡位置部署防火墻類網關設備,采用一臺天融信網絡衛士獵豹防火墻、一臺CISCO公司的PIX515和一臺網絡衛士入侵防御系統TopIDP。
①外網互聯網邊界防火墻:在局域網與互聯網邊界之間部署CISCO公司的PIX515百兆防火墻,該防火墻通過雙絞線連接核心交換區域和互聯網接入區域,對外網的互聯網接入提供邊界防護和訪問控制。
②對外服務區域邊界防火墻:對外服務區域與安全管理區域邊界部署一臺千兆防火墻(天融信NGFW4000-UF),該防火墻通過光纖連接核心交換機和對外服務區域交換機,通過雙絞線連接區域內服務器,對其他區域向對外服務區域及安全管理區域的訪問行為進行控制,同時控制兩個區域內部各服務器之間的訪問行為。
③網絡入侵防御系統:在托管機房區域邊界部署一臺網絡入侵防御系統,該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機,為托管機房區域提供邊界防護和訪問控制。
2) 網絡入侵防護
外網局域網的對外服務區域,防護級別為S2A2G2,重點要實現區域邊界處入侵和攻擊行為的檢測,因此在局域網的內部區域邊界部署網絡入侵檢測系統(天融信網絡入侵防御系統TopIDP);對于外網托管機房的網站系統,防護級別為S3A2G3,由于其直接與互聯網相連,不僅要實現區域邊界處入侵和攻擊行為的檢測,還要能夠有效防護互聯網進來的攻擊行為,因此在托管機房區域邊界部署網絡入侵防御系統(啟明星辰天闐NS2200)。
①網絡入侵防御系統:在托管機房區域邊界部署一臺采用通明模式的網絡入侵防御系統,該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機,其主要用來防御來自互聯網的攻擊流量。
②網絡入侵檢測系統:在外網的核心交換機上部署一臺千兆IDS系統,IDS監聽端口類型需要和核心交換機對端的端口類型保持一致;在核心交換機上操作進行一對一監聽端口鏡像操作,將對外服務區域與核心交換區域之間鏈路,以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量,鏡像至IDS監聽端口;IDS用于對訪問對外服務區域的數據流量,訪問安全管理區域的數據流量,以及訪問互聯網的數據流量進行檢測。
3) 網絡安全審計
信息安全審計管理應該管理最重要的核心網絡邊界,在外網被審計對象不僅僅包括對外服務區域中的應用服務器和安全管理區域的服務器等的訪問流量,還要對終端的互聯網訪問行為進行審計;此外重要網絡設備和安全設備也需要列為審計和保護的對象。
由于終端的業務訪問和互聯網訪問都需要在網絡設備產生訪問流量,因此在外網的核心交換機上部署網絡行為審計系統(天融信網絡行為審計TopAudit),交換機必需映射一個多對一抓包端口,網絡審計引擎通過抓取網絡中的數據包,并對抓到的包進行分析、匹配、統計,從而實現網絡安全審計功能。
①在外網的核心交換機上部署一臺千兆網絡安全審計系統,監聽端口類型需要和核心交換機對端的端口類型保持一致,使用光纖接口;
②在核心交換機上操作進行一對一監聽端口鏡像操作,將對外服務區域與核心交換區域之間鏈路,以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量,鏡像至網絡安全審計系統的監聽端口;
③網絡安全審計系統用于對訪問對外服務區域的數據流量,訪問安全管理區域的數據流量,以及訪問互聯網的數據流量進行安全審計;
④開啟各區域服務器系統、網絡設備和安全設備的日志審計功能。
4) 其他網絡安全設計
其他網絡安全設計包括邊界完整性檢查,惡意代碼防范,網絡設備防護,邊界完整性檢查等。
①邊界完整性檢查:在托管機房的網絡設備上為托管區域服務器劃分獨立VLAN,并制定嚴格的策略,禁止其他VLAN的訪問,只允許來自網絡入侵防御系統外部接口的訪問行為;對服務器系統進行安全加固,提升系統自身的安全訪問控制能力;
②惡意代碼防范:通過互聯網邊界的入侵防御系統對木馬類、拒絕服務類、系統漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除;部署服務器防病毒系統,定期進行病毒庫升級和全面殺毒,確保服務器具有良好的防病毒能力。
③網絡設備防護:網絡設備為托管機房單位提供,由其提供網絡設備安全加固服務,應進行以下的安全加固:開啟樓層接入交換機的接口安全特性,并作MAC綁定; 關閉不必要的服務(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服務等), 登錄要求和帳號管理, 其它安全要求(如:禁止從網絡啟動和自動從網絡下載初始配置文件,禁止未使用或空閑的端口等)。
3 結束語
信息安全等級保護是實施國家信息安全戰略的重大舉措,也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據,在實行安全防護系統建設的過程中,應當按照等級保護的思想和基本要求進行建設,根據分級、分域、分系統進行安全建設的思路,針對一個特定的信息系統(醫院信息管理系統)為例,提出全面的等級保護技術建設方案,希望能夠為用戶的等級保護建設提出參考。
參考文獻:
[1] 徐寶海.市縣級國土資源系統信息網絡安全體系建設探討[J].中國管理信息化,2014(4).
[2] 李光輝.全臺網信息安全保障體系初探[J].電腦知識與技術,2013(33).
路由器是局域網之中非常重要的一種網絡設備,其主要在網絡層實現子網之間以及內外數據的轉發,是不同網絡之間進行數據交換及通信的一個重要通道。當前,很多路由器可集成防火墻等安全模塊,對網絡起到安全加固的作用。所以,路由器往往是病毒入侵的第一道屏障。目前,各大小石油企業均使用Cisco(思科)路由器及交換機對該企業局域網進行安全加固,從而在很大程度上提高了石油企業的網絡安全以及提高了企業的生產效益。
【關鍵詞】Cisco路由器 交換機 安全加固
由“木桶”原理可以得知,一個木桶可以裝多少水,受到該木桶最短的那塊木板所決定。具體到信息系統的安全也是同樣的道理,整個信息系統的安全程度也受到信息系統之中最薄弱的環節所決定,網絡作為信息系統的主體,其安全需求的重要性是顯而易見的。本文主要對石油企業Cisco路由器及交換機安全加固措施進行分析,旨在為石油企業的網絡安全運行提供一定的參考依據。
1 概述
目前,很多石油企業局域網的建設全部或者部分采用Cisco(“思科”)的路由器與交換機,究其原因,筆者認為,這主要是由于該設備的功能非常強大,工作性能穩定性好,其互聯網操作系統(IOS)在網絡安全策略等方面均具有獨特的考慮,使用IOS的安全策略功能,不需要單獨地購置安全管理軟件,就能夠很好地實現絕大部分的安全功能,使得石油企業局域網運行于較安全的環境之中。
運用Cisco的路由器與交換機,構筑成為一個典型的基于第三層交換技術的高性能千兆石油企業局域網,其具體拓撲結構示意圖如圖1所示,以Catalyst-4006作為核心交換機,5臺Catalyst-2950G構成匯聚層,20臺Catalyst-2924與Catalyst-1924構成接入層,1臺4500型路由器做邊緣路由器,通過2MDDN線路與CERNET地區網絡中心相連接,1臺2511型做遠程訪問服務器,作用是提供撥號用戶使用。
應用Cisco路由器與交換機,石油企業可實現如下幾個方面的網絡安全策略:路由器安全策略、用戶主機安全策略、交換機安全策略、服務器安全策略以及網絡訪問安全策略等。
2 Cisco路由器安全加固策略
眾所周知,對于一個網絡而言,路由器是網絡的核心部分,其實際配置情況對整個網絡的正常工作與運行均具有十分重要的意義與價值,在實際過程中,應只允許授權的主機對路由器進行遠程登錄,而禁止未授權的主機進行登錄。在路由器的全局配置條件下,設置標準訪問控制表,且在全部的虛接口上進行應用,應用的方向為in,如此,就能夠很好地保證只有授權的主機遠程登錄路由器且修改其配置,實際過程中,路由器的主要配置為:
access-list 1 permit 202.115.145.66 line vty 04
access-class 1 in
表示僅允許主機202.115.145.66遠程登錄至路由器。
3 Cisco交換機安全加固策略
3.1 Cisco交換機地址的配置
為了能夠便于管理,可將交換機配置IP地址。例如可將IP地址進行配置,192.168.0.0,就能夠禁止非本企業的主機對交換機進行訪問。將企業內全部的交換機均應置于一個虛擬網絡之中(常見的為VLAN-2)之中,在交換機之中可進行如下配置:
Interface vlan 2
in address 192.168.0.3 255.255.255.0
3.2 配置允許訪問交換機的主機
經過上述的安全加固策略的實施,Cisco交換機的訪問被限制于石油企業內部,而且還能夠在石油企業內部網絡的三層交換機4006上面,將訪問控制表進行配置,將其用于Cisco交換機的虛擬網絡之中,應用的方向屬于in,僅僅允許石油企業內所指定的主機能夠訪問該交換機所在的虛擬網絡,而其他主機(如其他石油企業的主機)不能對該虛擬網絡進行訪問,那么這就阻止了其對本石油企業Cisco交換機的訪問,因此也就無法獲取本企業Cisco交換機中的任何數據。在三層交換機4006型上進行如下的配置:
access-list 10 permit 202.115.145.66
interface vlan 2
in access-group 10 in
經過上述安全加固策略的實施,只有IP地址為202.115.145.66的配置能夠訪問本石油企業局域網網絡交換機。
3.3 允許遠程登錄交換機主機的配置
允許訪問交換機的主機,應該注意對遠程登錄該交換機的過程進行限制。只允許被授權的主機進行登錄,從而對相關的配置參數加以修改。在交換機的全局配置條件下,設置標準的訪問控制表,用于虛擬接口的0~15上面,應用的方向為in。交換機上面的具體配置如下:
access-list 1 permit 202.115.145.66
line vty 0 15
access-class 1 in
如此,僅僅允許主機202.115.145.66對交換機進行遠程登錄,從而能夠修改交換機的具體配置。
4 結論
綜上所述,本研究主要對Cisco路由器與交換機在石油企業網絡之中的安全策略。若在石油企業網絡構建過程中,采用本文所提出的網絡安全解決策略,能夠很好地滿足石油企業的絕大多數安全需求,以最大程度地減少網絡建設所需的各種費用。
參考文獻
[1]張秀梅.網絡入侵防御系統的分析與設計[J].信息與電腦,2009(07):1-2.
[2]馬麗,袁建生,王雅超.基于行為的入侵防御系統研究[J].網絡安全技術與應用,2010(06):33-35.
[3]郭翔,謝宇飛,李銳.校園網層次型網絡安全設計[J].科技資訊,2010(9):26.
[4]楊森.淺談思科路由器使用安全對策[J].房地產導刊,2013(7):371-372.
[5]王均.楊善林.VLAN技術在網絡中的應用[J].電腦與信息技術,2000,(2).
作者單位
【論文摘要】計算機網絡的技術發展相當迅速。隨著互聯網上黑客病毒泛溢,網絡犯罪等威脅日益嚴重,網絡安全管理的任務將會越來越艱巨和復雜,抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。
0引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1電子商務的概念和特點
1)電子商務的概念:電子商務(Electronic Commerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
[1]柯新生.網絡支付與結算[M].北京:電子工業出版社,2004.
【關鍵詞】組織機構代碼;數據安全;體系建設
Research of the Xinjiang Organization Code Data Security System Build
Ke Junfan
(Xinjiang Studio of Standardization, Urumqi 830000, China)
Abstract:Protection organization code data from malicious attacks and sabotage, Xinjiang organization code management departments must be considered and resolved the problem. The article describes the Xinjiang organization code data security system construction, and all levels to play in this system.
Keywords:Organization Code; Data Security; System Build
1、緒論
1.1組織機構代碼系統面臨的問題
網絡的普及使計算機系統所處的環境變得日益復雜,為了提供完善的功能,大量的應用軟件、服務軟件安裝到計算機系統中,軟件本身的瑕疵和軟件之間可能的沖突都成為威脅計算機安全的隱患。通過公共網絡,計算機系統暴露在潛在的、形形的用戶之前,非法用戶的惡意攻擊、合法用戶的誤操作都可能給計算機系統帶來安全威脅。組織機構代碼建設與應用系統也是如此,越來越開放的系統將面對更加復雜的工作環境,為了保障系統在新的網絡環境中安全、穩定、可靠的運行,必須通過不斷提高自身的安全防護技術水平,引入科學高效的安全管理,強調全面準確的安全評估等措施來實現系統整體的安全性。
1.2新疆組織機構代碼安全體系建設的目標
組織機構代碼的數據安全體系的研究通過部署安全系統,投入技術力量,加強網絡安全管理等方式確保組織機構代碼數據信息的機密性、完整性、可用性、可控性與可審查性,最終達到如下目標:
1)合理管理和分配網絡資源,防止濫用網絡資源導致網絡癱瘓;
2)抵御病毒、惡意代碼等對信息系統發起的惡意破壞和攻擊,保障網絡系統硬件、軟件穩定運行;
3)保護重要數據的存儲與傳輸安全,防止和防范數據被篡改,建立數據備份機制和提高容災能力;
4)加強對重要敏感數據信息的保護,確保數據的機密性;
5)構建統一的安全管理與監控機制,統一配置、調控整個網絡多層面、分布式的安全問題,提高安全預警能力,加強安全應急事件的處理能力,實現網絡與信息安全的可控性;
6)建立認證體系保障網絡行為的真實可信以及可審查性,并建立基于角色的訪問控制機制。
2、代碼數據安全體系建設中面臨的風險
2.1互聯網攻擊
組織機構代碼各類業務系統基于B/S架構開發,是面向互聯網的開放式業務平臺,同時對互聯網用戶提供公開的信息查詢服務,因此很容易受到黑客的攻擊,針對互聯網的常見的攻擊行為有:主頁篡改、拒絕服務攻擊、網絡假冒、黑客滲透。
2.2內部破壞
與外部攻擊不同,內部破壞往往由內部合法人員造成,他們具有對內部系統更多的訪問權限,因此內部人員的惡意或無意破壞,對代碼系統的安全、可靠運行將造成更大的影響,如:內部惡意破壞、內部無意破壞、技術缺陷。
2.3管理風險
隨著組織機構代碼數據庫應用推廣工作的開展,為社會提供更全面服務的目的,代碼各類業務系統的不斷增加,網絡結構也在日益復雜,安全防范技術與管理方式逐漸不能適應越來越復雜的應用需求。主要表現在缺乏整體安全策略,沒有統一規范的安全體系建設標準,安全職責劃分不明確,各業務系統的安全防護程度不高、人員安全意識不強、缺乏統一的安全管理平臺、操作流程和指導手冊等。
3、代碼數據安全體系建設研究的路線
新疆維吾爾自治區組織機構代碼系統將現在和將來的安全建立一個安全體系框架。參考照國家信息安全等級保護相關政策與技術標準,從安全技術和安全管理兩個方面進行比較,有針對性的提出現有機房基礎環境、網絡架構、安全保護設施和管理制度等方面的基本差距、安全漏洞和隱患。
按照體系化的設計思想從全局性策略出發,以互聯互通的安全技術為保障,以平臺化的管理工具為支撐,以長期可靠的安全運維保障和規范化的安全管理為輔助,結合現有管理制度,制定信息安全管理策略和制度。建立科學的安全運維服務體系,做到系統故障“三早方針”,早發現、早報告、早解決,確保系統、網絡和應用的連續性、可靠性和安全運行,降低發生故障的可能性,提高整體的系統運行維護管理水平和服務保障能力,來為保障組織機構代碼數據安全,搭建出真正能夠有效對抗威脅的安全體系建設為目標。
4、代碼數據安全體系建設
4.1物理環境安全
物理環境安全就是為組織機構代碼系統提供機房、電力環境保障以及設備、設施和介質防災、防盜、防破壞等防護措施的基礎環境安全。因此物理環境安全是整個安全體系的根本。
因此代碼系統數據中心機房設計應嚴格按照GB9361《計算機場地安全要求》、GB50173《電子信息系統機房設計規范》、GB2887《計算站場地技術條件》中的A類機房的指標進行設計、建設和實施,來符合物理環境安全的要求。物理環境安全應考慮的主要因素有環境安全防護、設備安全保護、線路安全防護和媒體介質的安全保護等四個方面。
4.2鏈路及網絡安全
對網絡集成結構規劃采取滿足最高使用率設計的同時全面考慮網絡鏈路使用時的通信安全,是鏈路及網絡安全防范工作的最終任務。鏈路及網絡結構根據網絡安全域劃分方式進行網絡集成方法,是提高鏈路及網絡安全防范能力的最佳選擇。新疆維吾爾自治區組織機構代碼系統用戶,從業務相似性、數據資源相似性、安全需求相似性、地域環境相似性等特點,分為省、地、縣三級業務辦理終端用戶、數據安全管理用戶和覆蓋全疆的申報、查詢等用戶類型。將網絡系統根據業務訪問關系劃分為多個安全區域,然后根據各個安全區域的特點分別有針對性地設計保護措施和安全策略,將大大提升防護的有效性,同時也能體現出數據資源的重點防范功能。因此采用基于安全域的安全設計方法是非常有效的。
4.3系統層安全
1)操作系統安全加固。主要通過對操作系統人工方式進行安全加固來實現系統層安全防護,實現文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制、服務強制訪問控制、三權分立的管理、管理員登錄的強身份認證、文件完整性監測等功能。
2)漏洞掃描系統。在組織機構代碼數據安全網絡系統核心交換區旁路部署一套漏洞掃描系統實現全網網絡設備、服務器及安全設備的漏洞掃描。并提供安全建議和改進措施等功能,幫助安全管理人員控制可能發生的安全事件,最大可能的消除安全隱患。
4.4應用層安全
病毒防護是在代碼數據安全架構應用層進行防護措施的關鍵部分,所以需要在組織機構代碼數據安全系統網絡核心服務器區域部署網絡版防病毒中心,來實現網絡安全核心服務器和終端用戶計算機防病毒統一集中管理,在服務器與終端上有效查殺,威脅正常運行的木馬、蠕蟲病毒等惡意代碼。
4.5數據安全
數據安全是實現組織機構代碼數據安全體系架構的最終目的,根據所使用的SQL數據庫可采用人工方式實現數據庫網絡加密、數據庫加密和強身份驗證等安全策略,并可通過數據庫審計系統進一步強化數據庫資源的安全管理和使用。
1)數據庫人工安全加固。通過強身份驗證、網絡加密策略、網絡傳輸數據完整性、存儲數據完整性校驗完成。
2)數據庫審計系統。組織機構代碼數據安全網絡系統核心交換區旁路部署一套數據庫安全審計系統,對代碼應用系統和數據存儲區域流經交換機的所有數據庫操作信息進行審計,通過記錄、分析所有數據庫的操作、應用信息,及時、有效分析出數據庫系統中發生的安全事件。
4.6安全管理
安全管理是通過全面有效的管理方式及制度,來制約在每一個安全環節中人為因素對安全架構造成的威脅及危害,安全管理主要在管理制度方面分為:中心機房管理制度、網絡運維管理辦法、信息系統運維管理辦法、業務系統應用管理辦法、數據安全事故處理應急預案等。組織機構代碼數據安全體系架構中,各項管理制度的建立并實施,在安全體系建設以及運作過程中至關重要,可以說安全管理也是整個安全體系的總制度。
5、總結與展望
5.1總結
織機構代碼的數據安全體系的研究通過部署安全系統,投入技術力量,加強網絡安全管理等方式確保組織機構代碼數據信息的機密性、完整性、可用性、可控性與可審查性,建設新疆維吾爾自治區組織機構代碼數據安全系統,按照數據安全體系的設計目標,完成了物理環境安全、鏈路及網絡安全、系統層安全、應用層安全、數據安全和安全管理等六個層面的設計內容,確保組織機構代碼數據信息的機密性、完整性、可用性、可控性與可審查性的研究。
5.2展望
各類代碼業務系統穩定運作,代碼數據的安全、可靠的使用,實現代碼數據安全體系的整體安全性,是為全區的電子政務建設提供規范、完整、實效的組織機構基礎信息資源,為政府部門全面、快速、準確的掌握組織機構的社會和經濟行為信息,增強宏觀調控和決策能力的技術支撐,是企業、個體在社會經濟行為中準確把握機遇,促進產業發展的信息源泉。
參考文獻
[1]全國組織機構代碼中心.組織機構代碼管理信息系統建設與維護相關法規和文件選編[M].北京:中國計量出版社.2009.
1 網絡信息安全的定義與基本內容
網絡安全的基本定義是利用相關技術進行數據處理系統的建立與維護,保證計算機硬件、軟件不遭到毀壞,對數據進行有效的保護,防止其通過惡意手段遭到破壞,保持網絡的完整性、保密性、可用與可控性。
硬件安全指的是網絡硬件媒體設備的安全,包括主機系統、終端設備以及防火墻、服務器等的安全[1];軟件安全指的是保證計算機網絡中軟件功能的完整性與準確性;數據安全指的是保證網絡中儲存與傳輸數據的安全,避免非法篡改、解密等,是網絡安全的核心。
2 信息化校園網絡面臨的安全問題
校園網涵蓋了教學、管理、通訊等方面的功能,教師可以通過網絡進行教學工作,方便與學生的遠程學習,校園網學習信息資源管理系統的建立有效的實現了學校與學生之間信息的透明化與共享化,學生可以通過校園網進行信息綜合管理與數據交換。
隨著校園網絡的快速普及,相關的安全問題也日益增加,由于技術資金的落后,在高職院信息化校園網絡的建設中沒有完善的防范措施,硬件設施薄弱,軟件系統的安全建設不夠完善;網絡管理缺乏安全機制,專業管理人員少,無論是自身的網絡管理還是對設備管理都缺乏經驗與技術,導致對網絡安全問題不能進行及時的監控與反饋,使網絡安全缺乏可控性。
3 信息化校園網絡安全的技術保護措施
3.1網絡多出口的規范
校園安全體系與架構的建設是信息化校園網絡的基本管理措施,近幾年高職校園網網絡架構的多出口特點給網絡安全帶了嚴重的影響,多出口不利用整體網絡的規范化管理。校園網絡管理機構應對現有的網絡架構進行合理的優化與改造,對出口進行規范與監制,出口的統一化、專業化的管理為校園網絡安全體系的構建奠定基礎。
3.2配備完整的系統的網絡安全設備
校園網絡結構龐大而復雜,但是從架構特點分析,它是屬于局域網技術領域。控制局域網的獨立性,保證其與外部連接的安全為網絡安全的管理與規范提供了思路,具體的方法是在局域網與外部網絡接口的連接處設置硬件與軟件的監理設備,保持對連接處網絡安全的控制與管理[2]。當代社會的校園網絡都是基于高速層面的網絡,我們必須降低一切硬、軟件設備對網絡性能不同程度的影響,因此使用了以下設備進行網絡安全防護:
(1)高性能的硬件防火墻:防火墻是本地網絡與外界網絡之間的防御系統,它是可以實現隔離風險的網絡安全模型,高性能的防火墻有過濾、鏈路級網關和應用級網關等方面的性能,為網絡防御提供了更好的安全性。
(2)入侵檢測系統與防病毒、漏洞掃描系統:入侵檢測系統為網絡黑客的檢測與反饋提供了很好的措施;建立完備的防病毒與漏洞掃描系統為非法訪問提供了解決方法,有助于抑制網絡不良因子的擴散與影響。
(3)網絡故障檢測系統:利用故障檢測系統科實現對校園網絡進行實時的診斷,有利于及早發現故障,進行系統的清理與優化。
3.3 建立全校統一的身份認證系統
身份認證系統是解決校園網絡安全問題的基本方法,用身份證與有效的ID信息進行網絡認證與使用有利于對網絡安全的監管,若發現不良的網絡問題,可以通過身份認證的方式進行有效的處理,有利于減少信息監控的成本,并對個人良好的網絡素質與信用的提高起到了很大的作用。
雖然近幾年各高職校園網絡管理機構進行了身份認證系統的建設與完善,但是應用系統在通用性、權威性與安全性上還有一定的不足與差距,因此在校園網絡的規范建設中還存在危險漏洞。在高職校園網絡建設中應實現全校統一的身份認證系統,使非合法用戶無法使用校園網絡,避免再認證中出現缺口與問題,這有利于校園網絡由于上網身份出現的安全隱患的徹底解決。
3.4對上網場所集中進行規范和監控
高職校園應該鼓勵廣大師生在公眾場所使用網絡,不僅對網絡教學的普及有作用,還有助于實行網絡統一的管理與監控。在公眾場所必須進行身份認證,使用機房固有的安全學習軟件,有利于有效的保證網絡安全。
但是現在高職校園的網絡管理系統處于孤島的狀態,學生上網的地點分散,很多身份難以識別與認證,對于分散的網絡行為的監管也難上加難。“還原卡”的普及更降低了很多高職校園信息化網絡的管理能力,因此要盡快實現網絡的集中認證,利用中心監控服務器進行網絡行為的監管,通過日志備查保證信息化網絡的安全性。
3.5改造電子郵件系統,建立完善的恢復機制
高職院校免費的電子郵件系統已經明顯不適用于現代網絡系統的功能,這成為現在校園網絡安全的主要隱患。因此應該對電子郵件系統進行改造,提高其過濾有害信息的能力和及時的反饋能力;增加數據傳輸的設備,為校外教師或外出人員通過提供隧道連接,使他們安全進入校網電子郵件系統;建立完善、成熟的
備份軟件與恢復機制,減小由于數據損壞與信息泄露造成的損失,也有助于整個網絡系統的穩定運行。
3.6 校園網絡的系統層安全設計與管理
充分宣傳校園網絡自動更新服務,引導師生們深入了解防病毒軟件的使用,及時安裝補丁,加固操作系統;加強師生們對用戶信息與賬戶安全的設置,利用系統服務設置更好的保證私人以公共計算機網絡的運營,定期做網絡巡檢與監控。
1.1電力調度自動化系統和網絡結構缺乏規范由于電力調度自動化系統的建設處于不同時期,在管理方面沒有進行統一的規劃,使得網絡結構混亂,如安全管理、崗位授權和賬號口令等環節的設置都形同虛設,遠沒有達到安全管理方面的要求。
1.2物理安全管理方面隱患多多電力調度自動化的物理安全隱患主要存在于兩個方面:自然因素和人為因素帶來的安全隱患。自然因素主要是指雷擊、洪水、臺風和滑坡等自然災害所導致的通電線路損壞,使得電力調度自動化系統無法對重要場站進行監控;人為因素主要指通信器材與自動化的設備被偷竊,以及通信線路被野蠻施工破壞,從而導致電力調度系統出現障礙。
1.3安全管理人員素質有待提高很多電力自動化的管理人員缺乏網絡安全意識。一方面管理人員隨意拷貝或者泄露系統信息,使得電力調度自動化系統的數據失去有效監控;另一方面管理人員缺乏職業素養,沒有按照規定流程實施安全技術方面的操作,從而為電力調度自動化系統的安全埋下隱患。
1.4缺乏有效的網絡安全管理措施部分電力企業對網絡安全的管理的力度不夠,沒有對企業內網網絡進行安全分區和隔離。當企業網絡遭到不法分子的惡意攻擊時,會因為缺乏有效防御措施,而使電力調度自動化的網絡系統出現運行障礙。
2電力調度自動化網絡安全管理需要遵循的原則
2.1整體化原則電力企業想要電力調度自動化的網絡系統免受惡意攻擊的破壞,就需要加大網絡系統的管理力度,建立和完善系統化的安全保障機制,如做好網絡系統的安全防護、安全監測和安全恢復等方面的機制建設。這些安全機制的職能各不相同,安全防護機制側重于分析威脅系統安全的因素,負責網絡系統的防護;安全監測機制側重于監測系統運行狀況,并依據檢測結果發現與阻止外部力量對系統的入侵;安全恢復機制側重于防護機制失效后,最大化地恢復系統信息,將系統被破壞的程度降到最低。這些安全機制彼此相互協作,保證電力調度自動化網絡系統的安全。
2.2等級性原則電力調度自動化的網絡系統需要分成不同的等級,這樣既有利于管理人員對信息進行層次化的管理,也有利于管理人員選擇安全的算法和機制,以滿足電力調度自動化網絡中不同層次的多種需求,從而確保電力調度自動化網絡系統的安全平穩運轉。
2.3一致性原則管理人員在安全管理的過程中需要保持電力調度自動化網絡系統的安全需求與安全結構相一致,這有利于電力企業依據實際情況開展系統安全的維護工作。因此,電力企業在建立電力調度自動化網絡的時候,就需要做好相應的安全對策工作,建立系統的安全措施。
3加強電力調度自動化網絡安全管理的措施
3.1加強物理安全隱患的防治工作在預防雷擊和洪水等自然因素對電力調度自動化網絡安全的破壞方面,電力企業的工作人員需要及時對室外設備進行加固和整治存在的安全隱患,而在處理靜電問題時,技術人員需要做好主板和內存條拆裝過程中的靜電預防工作,以面因電腦軟硬件的損壞而影響電力調度自動化系統的安全運行。在治理盜竊和野蠻施工等人為因素對電力調度自動化網絡安全造成的破壞方面,電力企業既要加強對電力網絡安全重要性的宣傳,以減少盜竊通信器材和自動化設備等犯罪行為的發生幾率,又要做好與公安系統的協作,對偷竊行為進行嚴懲,對不法分子起到震懾的作用。
3.2提高自動化管理人員的綜合素質電力企業需要加強對自動化管理人員的網絡安全教育和職業素質培訓。電力企業可以定期組織管理人員進行網絡安全知識培訓。同時,電力企業需要加強對管理人員的專業技能培訓,掌握全面的網絡安全管理和維護技術。
關鍵詞:信息安全;安全風險;風險防控
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 11-0000-03
隨著大型企業信息化建設的逐步深入,對信息系統的依賴程度不斷提高,信息系統的穩定運行直接關系到社會秩序與國計民生。企業伴隨著各信息系統的建成,信息化水平不斷提高,信息系統對業務的支撐作用更加明顯,迫切需要提高信息安全保障能力,保證網絡基礎設施與信息系統的安全、可靠運行。
為了加強大型企業信息系統的安全防護,按照《國家信息化領導小組關于加強信息安全保障工作的意見》文中明確提出的“要重視信息安全風險評估工作,對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估"的指導建議,本文對信息系統進行風險評估,確定系統缺陷和安全需求,提出整改建議,為大型企業整體信息安全解決方案提供基礎資料和有力依據;結合國家關于信息系統安全等級保護的相關要求,評價已有信息安全建設的適當性、合規性,分析所面臨的威脅、影響和脆弱性及其發生的可能性,最終得出所面臨的風險,并提出整改建議,為大型企業信息安全戰略發展提供參考。
一、大型企業信息安全面臨的風險
(一)風險概述
安全風險是一種對機構及其資產構成潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統,安全風險是一個客觀存在的事物,它是風險評估的重要因素之一。
產生安全風險的主要因素可以分為人為因素和環境因素。人為因素又可區分為有意和無意兩種。一般來說,威脅總是要利用網絡、系統、應用或數據的弱點才可能成功地對資產造成傷害。安全事件及其后果是分析威脅的重要依據。但是有相當一部分威脅發生時,由于未能造成后果,或者沒有意識到,而被安全管理人員忽略。這將導致對安全風險的認識出現偏差。
(二)威脅類別
分析存在哪些威脅種類,首先要考慮威脅的來源,信息系統的安全風險來源如下。
對安全風險進行分類的方式有多種多樣,針對上表威脅來源,可以將威脅分為以下種類。
二、信息安全風險防控
(一)信息安全風險防控思路
根據大型企業目前信息安全工作的現狀,為了充分的利用現有資源、節約成本,并能夠有效的對信息資產進行充分保障,我們提出“集中管控、縱深防御”二點方針:
1.集中管控:減少攻防界面是成本較低、成效顯著的防御方法。隨著網絡設備、服務器主機、安全設備的不斷增加,網絡拓撲日益復雜,如能對安全設施進行集中管理,控制安全邊界將能夠有效地降低安全成本;
2.縱深防御:現有的任何防護措施都不能完全保證信息系統不發生安全事件,通過多級的安全防御部署,能夠在出現未知漏洞外層防御措施失效后,控制安全事件造成的影響,減少損失。
基于以上兩個觀點,結合大型企業信息安全的現狀,制定如下思路:
由于大型企業的網絡復雜龐大,在未來的網絡安全建設上建議采取大面上封堵,重點防御的策略。大面上封堵即阻斷傳統終端--網絡—服務器—存儲的訪問方式;重點防御是指采用用戶集中通過統一平臺訪問的方式實現業務應用,然后重點做好統一平臺的安全防御工作;
在上述大思路的指導下,未來的網絡安全建設還需要重點做好數據中心的網絡安全防護工作,即不僅要防止由于服務端口開放帶來安全風險,還應該重點防御深度注入web應用類型病毒所帶來的安全風險,因為目前集團絕大多數的應用系統為B/S架構下通過web訪問方式實現訪問。
(二)信息安全風險防控藍圖
本文針對信息安全風險防控的藍圖擬從網絡、主機、應用和數據4個方面來對大型企業的信息安全建設提出建議,如圖所示:
大型企業信息安全建設規劃藍圖
(三)信息安全風險防控措施
信息安全風險防控措施的基礎工作是訪問控制的細化。建議傾向于安全域的劃分的思想,但不強調必須要進行安全域劃分的表現形式。與網絡相關的控制措施主要有以下3個方面:
1.單點故障:核心鏈路的各種網絡設備往往為單臺設備運行,諸如核心交換機、路由器以及防火墻等,一旦出現故障,將對網絡的可用性造成嚴重影響,直接影響內外網間的訪問,建議增加核心鏈路的設備數量,考慮進行雙機熱備。
2.邊界控制:從網絡整體來看,如果互聯網出口數量較多,一旦發生來自網絡外部的安全事件,判斷和溯源難度大,管理分析成本較高,需要對企業網絡的互聯網邊界適當管控,關閉或對互聯網出口增加監管;
3.VLAN隔離:在服務器機房中存放的服務器主機的資產重要程度是不同的,部分主機所有互聯網用戶可以訪問(如:門戶網站),部分主機只有內部人員或內部部分人員可以訪問(如:OA、ERP等)如果這些主機都劃分在同一VLAN中,一旦任意主機出現安全事件,很容易影響到統一VLAN中的其他主機。需要對業務重要程度不同,系統應用耦合度小的主機間進行網段或其他方式的隔離,降低影響。同時通過隔離,一旦出現病毒、蠕蟲等惡意代碼,也能夠方便管理人員排錯和修復,提高網絡管理效率。
三、結論和建議
(一)建立事前預警機制
一、我省財政系統網絡安全建設基本情況
遼寧省財政廳的辦公局域網系統建于1996年,經過幾坎改造升級后,現在已經做到全廳800多節點速度全部為100M。安全建設方面,我們除了將廳辦公局域網與其他物理網絡隔離開之外,在廳局域網核心交換機和核心路由器之間,我們使用了1臺東軟防火墻,用以保障廳內各應用服務器避免受到來自外聯單位的攻擊。同時還在核心交換機上部署了IDS入侵檢測設備和“天鏡漏洞掃描系統”軟件,以及“局域網綜合網絡管理平臺”和“局域網流量管理”兩套軟件。用以保護廳內辦公人員的終端系統安全。病毒防范方面我們統一采購了“趨勢防毒墻”防病毒軟件。在數據存儲方面,我們將“國庫集中支付”、“非稅收入管理”、“辦公自動化”等重要應用系統的數據集中遷移到可靠性更高的HP EVA5000存儲設備上,并通過veritas備份軟件每天將重要應用系統的數據集中備份到HP6030磁帶庫設備上,為各應用系統的數據安全提供一定的保障。各市財政系統在網絡安全建設方面也都大體與省廳類似,基本上都在自己的辦公局域網絡邊界配置了各種品牌的防火墻設備用以保障本地辦公網絡的安全,以及部署了“趨勢”、“瑞星”等網絡版殺毒軟件用以防范網絡病毒。
二、財政系統網絡信息安全面臨的問題
1 網絡黑客攻擊。黑客是網絡的天敵,根據我國財政信息化網絡建設的現狀。黑客攻擊又分為來自內部的隱性攻擊與來自外部的顯性攻擊。黑客通常具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具非法侵人重要信息系統,竊聽、獲取、攻擊有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。
2 網絡病毒破壞。20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進人到系統中進行擴散。計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。
3 信息傳輸中的隱患。信息傳輸過程中的信息損耗、被竊取越來越威脅到財政信息的安全。為了防止在通信傳輸過程中對信息的竊取和篡改,可采用VPN加密、IDS監控等安全手段,以保證網絡傳輸協議中網絡層的安全。不斷進行系統安全加固處理,將財政安全隱患扼殺在傳輸過程中。
4 缺乏嚴格的安全管理制度。財政信息化改革才剛剛起步,有很多規章制度還不成熟,沒有嚴格的安全管理機制,缺乏整體安全方案,還沒有可以借鑒的經驗,機房、網絡的混亂管理造成了財政信息網絡安全的隱患,一旦出現問題,造成的損失將是無法估量的。
5 各方面防范措旋不到位。財政信息網絡是復雜而龐大的,財政信息網需要承擔的任務有很多:web網站、辦公自動化、各業務軟件的正常運行、實現與上級的聯網、保障各縣區網絡暢通等等,這樣,不可避免地要面對來自各個方面的攻擊。例如,web站點遭受的惡意代碼攻擊等。
三、保障財政系統網絡信息安全的對策
1 轉變觀念,增強網絡安全憂患意識。現在,財政系統信息化建設剛剛開始,仍處于探索階段,許多部門和個人的安全憂患意識還尚未形成,對計算機網絡安全技術還未能給予足夠的重視。對于這種情況。僅僅依靠信息部門的努力還不夠,也要有領導和管理部門來搭臺。然后由信息部門唱戲。讓業務部門和應用人員從思想上認識到網絡安全的重要性,然后才能在實際工作中處處注意安全防范,對的財政信息,處理時真正做到“如臨深淵,如履薄冰”。
2 培植系統健壯性,提高系統自身防范能力。選擇安全性能良好的系統作為財政網絡的信息平臺,才能從根本上保證信息網絡的安全。及時升級、更新操作與應用系統。選用網絡版的殺毒軟件,通過控制中心對整個財政內部網絡進行監控,把病毒扼殺在搖籃中。購買了反病毒軟件、防火墻軟件,只是實現網絡安全的第一步,是否充分發揮了安全產品的作用。是否定期去升級最新病毒代碼,定期檢查網絡的每個終端配置是否正確,運行是否正常等等,這些才是防范病毒、黑客,保證網絡安全暢通的關鍵所在。采取對用戶口令、指紋的識別等手段來識別合法的用戶。采用用戶身份認證機制,確保對系統資源的合法使用。采用具有安全機制的數據庫系統和其它系統軟件,加強對使用事件的審計記錄的管理,以保證財政信息在網絡協議系統層的安全。
實施“1+3”安全管理模式 提升統計信息“五防”能力
隨著科技發展水平的不斷提高,目前我國已經全面進入信息化社會,而統計數據作為信息的主要載體,其安全問題至關重要,一旦數據被竊取、破壞或非法使用,將對國家安全造成嚴重危害。
今年以來,**縣統計局以加強統計網絡信息系統安全為抓手,推行“1+3”工作模式,提升安全防護水平,增強防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。
“1”是專門成立了統計信息中心,核定編制4名,負責維護全縣四上企業聯網直報系統和縣級統計門戶網站。信息中心以“防控結合,預防為先”的工作思路出發,提高網絡信息安全能力,強化工作人員在網絡化辦公過程中的信息安全意識。最大限度地預防和減少了網絡安全事故的發生,維護統計信息安全。
“3”是**縣統計局對信息安全管理高度重視,明確“誰主管誰負責、誰使用誰負責”的網絡安全責任制,對網絡安全隱患、苗頭早發現,快上報、早掐斷、快處置,保證人員到位,責任到位,處理到位。具體做到“三個強化” :
強化基礎建設。完成了縣局內外網物理隔離改造,增添了網絡機柜、路由器、防火墻、交換機等機房設備用于互聯網,為每間辦公房增加網絡布線,增添購置電腦、打印機等設備,實現了統計網與互聯網的雙布線雙終端,提高了工作效率。
強化制度保障。實行領導審查簽字制度,凡上傳網站的信息,須經有關領導審查簽字后方可上傳;實行定期安全檢查制度,重點抓好硬件安全、網絡安全、應用安全“三大安全”排查;實行專機上網制度,確保“涉密計算機不上網,上網計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、u盤、移動硬盤等管理、維修和銷毀工作。
強化節點管理。縣統計局在做好全縣統計信息系統網絡安全監測的同時,加強對重要節點時期網絡信息系統監測、排查和加固,全縣統計信息系統全面適時進行升級掃描和各類應用系統補丁更新,適時添加防火墻阻斷策略,關閉不必要的應用服務進程和通訊端口,做好各類應用系統的弱口令監測并強制更新強化,確保重要節點、時期統計網絡信息系統安全。
關鍵詞 說課 信息安全 教學 課程
中圖分類號:G424 文獻標識碼:A
0 引言
本課程為信息安全專業職業崗位課程,服務于高職高專人才培養規劃,堅持以行動任務為導向,工學結合培養為主線的人才培養模式。培養學生從事網絡安全方案設計、網絡操作系統安全部署、網絡維護、信息安全管理等相關工作。本文從課程定位與目標、課程設計、教學內容和組織、教學組織與實施、實踐條件與教學效果、教學隊伍、教學改革與特色創新七個方面對課程進行詳細的闡述,對教學理念進行符合高職教學規律的深層次的梳理。
1 課程定位與目標
1.1 崗位需求(如圖1)
1.2 課程定位
信息安全基礎是高職高專3年制信息安全專業的一門必修職業基礎課程,一般安排在第一學期開設,在專業課程體系中起著引領專業課程體系的作用,其后續課程為安全防護工具、服務器安全防護和防火墻配置應用。
1.3 課程學習目標
(1)學習能力目標。通過本課程的學習,進一步培養學生的自主學習能力,掌握網絡安全防護的基本過程和方法。
(2)職業能力目標。了解我國網絡安全狀況和相應的政策和法律法規,熟悉網絡安全防護項目的實施過程和要領,能夠熟練進行客戶機和服務器加固操作,能夠設計和實施中小型網絡的安全防護方案,了解大型網絡安全防護方案的設計與實施要領。
(3)職業素養目標。通過項目設計培養學生的統籌規劃能力和工程文檔編寫能力,通過項目合作培養學生的團隊合作意識和能力。
2 課程設計
以培養學生從事網絡構建、網絡管理與維護工作崗位所需的知識與技能為中心來組織教學。信息安全基礎的課程開發流程:市場調研與召開實踐專家研討會 確定相關職業崗位群的典型工作任務 歸納行動領域 行動領域轉換為學習領域 學習情境設計 學習子情境設計 課程教學資料建設 實際教學檢驗。為了保障課程與技術發展相一致,建議完成每個教學周期后,課程組均要依據以上課程開發流程對課程標準和課程內容進行修訂。
3 教學內容和組織
3.1 教學內容選取
根據當前網絡安全項目的規模,可將網絡安全防護客戶劃分為普通網絡用戶(ADSL接入)、中小型網絡和大型網絡,由此根據教學單元設計內容涉及信息安全基礎知識、信息系統安全體系、信息加密技術和網絡安全實用技術方面來確定網絡安全防護學習領域的學習情景如圖2。
3.2 教學內容子情境設計組織
(1)普通網絡用戶安全防護學習子情境設計如表1。
(2)中小型網絡安全防護學習子情境設計如表2。
(3)典型校園網全防護學習子情境設計如表3。
4 教學組織實施與重點難點
4.1 教學組織實施
在整個教學過程中,學生一般以小組的形式進行工作學習。在任務工作過程系統化設計情境學習中,要求每個小組選出一名同學擔當組長,組長的職責是負責全隊的組織協調,分配任務,組織討論,提交實踐報告,成果演示錄像呈現,給其他組員評分等。
在具體實施教學過程中,本課程組把基于工作過程教學模式中的六步行動過程總結為教學中的四個環節:任務明確、教師示范、學生實踐、展示評價。在這四個環節中,分別把握學生應該掌握的知識和任務,順利完成教學和對學生的訓練。
4.2 教學重點
普通網絡用戶安全防護方案的制定與實施:由教師首先講解并演示Windows XP的安全防護操作,學生先學后做;教師指導學生進行Vista安全防護方案的設計與實施,學生邊學邊做;教師組織學生自主進行Windows 7安全防護方案的設計與實施。
中小型典型網絡的安全防護方案的制定與實施:由教師講解典型網站安全防護方案的設計與實施,學生先學后做;教師指導學生進行典型網吧安全防護方案的設計與實施,學生邊學邊做;教師組織學生自主進行典型企業網絡安全防護方案的設計與實施。
4.3 教學難點
網絡安全防護工程方案的設計與實施:通過Windows XP、Vista、Windows 7、典型網站、典型網吧和典型企業網絡安全防護方案的設計與實施,掌握一般網絡安全防護方案的設計與實施。
5 課程考核標準與教學效果
6 教學隊伍
本課程教學團隊現授課教師有7人,專業學術帶頭1人,專職教師中副教授2人,講師3人,助教1人;其中具有碩士學位2人,在讀碩士3人,“雙師素質”教師達100%以上;網絡架構工程師1人共同實施;達到理論實踐的緊密結合,理論支撐實踐操作的提高,實踐技能驗證理論的指導。在教學活動中,教師和學生相互學習,共同提高。本課程在建設過程當中逐步形成了一支學歷、職稱結構合理、師資配置完善、梯隊建設良好、結構比例相對穩定的教學隊伍。
7 教學改革創新與努力方向
7.1 教學改革創新
本課程采用校企合作、“教-學-做”一體化的教學模式。由本院與藍盾股份有限公司緊密合作,組建藍盾信息安全實驗室,為“教-學-做”一體化教學提供了非常好的條件。
教學內容改革:教學內容與崗位工作內容的一致性。
本課程采用:模塊課程模式項目(任務)課程模式活動課程模式工作過程系統化課程模式。
考核方式的改革創新
評價依據:過程技能考核+筆試 摒棄了傳統的一卷考核方式,更加關注于學生的職業能力和職業素質的評價,創新性地采用了專業交流的方式,通過師生對專業問題面對面的探討來增強學生的學習動力,同時考查學生專業能力。
7.2 努力方向
完善教學課程內容,探索新的教學手段;建立題庫迎合學生考取認證;豐富項目案例資源不斷改進教學方法;進一步完善師資隊伍結構,培養并形成一支教學水平高、專兼結合的高素質教學隊伍。
8 結語
目前,職業教育正處于日新月異的課程改革過程中,努力提升高職教育教學理念,創新體制機制,突出實踐教學,深化課程改革,更新教學手段,課程說課作為現代高職教學改革的新課題、教學研究工作的新形式進一步彰顯實踐教學特色,必將成為推動我國高等職業教育發展的新動力。
參考文獻
[1] 穆惠英.高職《環境監測》課程說課設計.中國科教創新導刊,2008.11.
[2] 秦毅,齊欣.《平面處理技術》課程說課設計案例.電大理工,2011.3.
[3] 陳麗,伍善廣.高職高專《藥劑學》.海峽藥學,2011.23(8).
[4] 秦愛梅.高職院校《3dsmax》課程說課設計.計算機光盤軟件與應用,2012(12).
2013年,寧夏黃河農村商業銀行(以下簡稱黃河農商行)圍繞“以客戶為中心、風險控管、量化考核、科學決策”的主線,加快信息化建設步伐,在確保信息系統總體平穩運行的同時,從客戶、產品、渠道三個維度延伸,從業務、流程、技術三個層面逐步展開,構建安全高效的信息科技系統,建立豐富的電子化服務渠道,鋪開了自身金融電子化的“九宮格”。
第一格:應用新技術,提升客戶服務水平。2013年,黃河農商行率先在寧夏地區使用智能叫號預填單系統,項目二期大堂助手及后臺管理系統也于2014年開發完成后上線。同時,該行通過優化前臺圖形界面系統,大大提高了系統的性能及穩定性,增加柜面交易聯動聯網核查功能,積極推動基于圖形界面的遠程集中授權系統在全行范圍的應用。目前,黃河農商行圖形界面使用率達到98%。另外,該行還借力移動互聯網技術發展,完成了微信銀行、移動營銷系統建設。
第二格:加快應用系統建設,提升產品創新能力。2013年5月,黃河農商行首張借記IC卡正式發行,標志著黃河農商行卡正式邁向“芯時代”。而后,黃河貸記卡、黃河富民卡等特色產品,在經過充分的調研與測試后也相繼發放。該行還建立了全行級客戶關系管理系統,統一客戶視圖,實現了基本客戶信息數據統一管理、信息共享。該行二代農信銀系統、二代支付系統已于2014年正式上線。
第三格:加強與第三方互聯互通,推動外聯渠道服務。金融便民服務自助終端平臺、二期交易平成了開發測試工作后上線。黃河農商行第一臺“萬村千鄉”終端正式開通,實現了刷卡消費、轉賬匯款、小額取現、支付繳費等金融服務。通過“數字社區”與“萬村千鄉”工程的開展,架起了現代金融服務群眾的“直通車”,縮短了客戶與金融機構間的距離。該行加強與人社廳業務合作,積極推進社保一卡通平臺建設,完成了與醫療和養老系統、醫院、藥店前端結算系統聯調測試并上線。
第四格:積極推進管理系統建設,提升內部管理水平。2013年啟動了審計管理系統項目建設,經過需求討論、開發建設、測試運行、優化調整、培訓推廣等多個環節,系統于2014年正式上線運行。評級授信系統建設項目于2014年1月正式上線,結束了黃河農商行系統長期以來利用手工進行貸款評級、額度測算及統計的階段,實現了對單一客戶、集團客戶進行統一授信和限額管理。
第五格:推進基礎平臺建設,規范數據標準,加強項目管控。一是建立了新資本監管統一數據報送平臺,以實現信息交互、數據共享和統一風險管理;二是構建了全行統一的業務數據管理平臺――ODS數據平臺,實現信息和產品的整合,提供靈活的數據及報表訪問機制;三是建設統一項目管理平臺,規范項目從需求受理到投產上線的整個工作機制,保證項目管理規范化、執行透明化、監控精細化。
第六格:加強新技術的應用,提升基礎設施服務保障能力。通過引入運維堡壘機項目,進一步規范運維用戶管理、操作審核、實施監督、留檔備審等多方面的管理需求;通過對刀片服務器、VMWARE虛擬化、卡業務小型機等基礎設施進行改造升級,采用高可用或虛擬化等技術手段保障系統設備運行的安全性和可靠性,在提升硬件性能,滿足后續業務擴展對硬件設備的需求的前提下,進一步增強了系統安全性能。
第七格:推進災備中心、二路市電項目建設,保障業務持續發展。為進一步滿足監管要求,提升業務連續性管理水平,2013年,該行啟動了同城災備、二路市電項目建設工作,重點加強電力、通信和消防等基礎保障性工作,通過建立對供電、通訊與主要設備的冗余備份機制,不斷加強容災能力,更好地保障了數據安全及系統穩定運行。
第八格:加強運維安全管理,全面提升基礎設施安全水平。一是實施了互聯網絡安全加固。2013年,黃河農商行部署了負載均衡設備、網頁防篡改、NTP服務器等設備,分離互聯網出口通道,將生產網絡與辦公互聯網絡進行了嚴格的隔離,既滿足了監管標準的要求,又提升了黃河農商行網絡安全運行能力。二是梳理基礎硬件設施風險點。通過對主機、網絡、機房設備等基礎設施進行深層次“體檢”,積極進行整改加固,在一定程度上降低了系統運行風險。
1影響計算機網絡安全的因素
1.1自然原因
計算機網絡安全會受到自然環境的影響。如果在計算機放置和應用區域,出現了非常嚴重的自然災害,就會對計算機的硬件設施產生干擾,甚至出現損毀現象,那么自然會對計算機的網絡安全造成極大威脅。
1.2系統自身存在問題
計算機當中最重要的軟件就是計算機的操作系統,這是實現計算機正常使用的關鍵性技術。但是,計算機操作系統并不是全能的,在其使用過程中,還存在一些安全漏洞,會增加計算機網絡風險,使病毒或黑客擁有可乘之機。
1.3軟件與安全配置的漏洞
人們利用各種軟件實現對計算機的使用,所以軟件安全是影響計算機網絡安全的重要因素。用戶在使用計算機時,會根據自己的需求下載和安裝各種軟件,但是許多軟件自身帶有電腦病毒,在下載或安裝后會對系統造成極大威脅。計算機的安全配置是維護計算機網絡安全的重要方法,如果計算機安全配置工作質量不高或未達到標準則會造成非常嚴重的安全隱患。
1.4病毒與黑客
對于計算機網絡安全而言,最大的威脅來自于黑客與計算機病毒。黑客會入侵他人的計算機,盜取或破壞其系統中保存的各項信息使得人們的因素暴露,甚至會對用戶的人身安全造成影響。而病毒更是會導致大面積的計算機功能受損,而且傳染性極強,對于計算機網絡安全的威脅極大。
2加強計算機網絡安全的防范措施
2.1加強基礎設施建設
為了提升計算機網絡安全,讓其免受自然因素影響。就必須加強基礎設施建設,讓暴露在自然環境中的各項基礎設備都能夠得到妥善的安置和處理。相關工作人員需要加強材料選擇,加強設備穩定性與運行安全性,能夠為計算機網絡安全提供基本的設備運行保障。
2.2加強防火墻設置
防火墻是保護計算機網絡安全的重要裝置。通過防火墻,可以在一定程度上隔絕危險的入侵;而且通過防火墻技術,可以控制計算機的軟件和硬件之間的交流,擁有隨時切斷二者之間聯系的能力。防火墻技術的應用,就是實現互聯網與計算機運行所處的網絡之間的隔斷,并通過專業的技術判斷識別兩個網絡之間所進行的數據信息交流;根據用戶的具體需要進行相關設置,攔截不合理或不良信息,避免計算機被黑客入侵或被計算機病毒危害。所以,防火墻的設置至關重要,是保護計算機用戶信息不受損的良好方式。所以,在設置防火墻時,需要充分考慮用戶的需求。根據用戶的具體要求攔截互聯網中的訪問和入侵,利用有針對性的防火墻設計方案,讓防火墻真正實現對計算機網絡的保護。路由器網關是比較常見的防火墻設置方法。計算機用戶在使用網絡時必然會有其專屬的網絡路由器,而對路由器進行檢查,識別路由器傳輸的各種信息,并主動攔截不良信息就是路由器網關防火墻技術的重點。這種方法可以幫助計算機用戶阻擋一部分的網絡風險,但是不能準確判斷IP端口,所以這種方法還存在一定的局限性。
2.3加強計算機防毒、殺毒能力
計算機經常會被病毒入侵,導致計算機故障或癱瘓。所以,提升計算機的防毒與殺毒能力,是維護計算機網絡安全的重要方法。計算機用戶可以通過安裝殺毒軟件的方式提高計算機對病毒的防御能力。比如,某計算機用戶在自己的電腦中,安裝了360殺毒軟件,定期地對自己的電腦進行病毒查殺。同時還下載了配套組建,對自己的計算機進行了全方位地掃描,自動查找并修復了系統當中的漏洞,加固了計算機的防火墻;并通過定期查殺、檢測新文件等方式將感染病毒的機會降到最低。計算機用戶可以利用市面上的各種殺毒軟件,定期地檢測自己的計算機,對其中的病毒進行查殺。當然,相關技術人員也應該設計一款通用的查殺病毒地軟件,實現病毒樣本的實時更新,讓受到計算機病毒侵害的用戶們可以找到一個自行解決病毒的方法。同時,計算機的殺毒軟件還應該做到“防范于未然”。當計算機已經感染病毒時,可能立刻出現計算機系統癱瘓的問題,無法使用殺毒軟件,會加劇病毒對計算機網絡安全的傷害。但是,如果計算機帶有病毒排查和追蹤能力就可以在病毒造成危害前進行攔截;阻止病毒進入,降低其對計算機用戶的網絡安全的威脅。此外,計算機用戶也應該提高警惕,不要隨意點擊不明來源的鏈接、郵件以免感染計算機病毒,再次發生如“熊貓燒香”那般的發規模網絡病毒入侵事件。
2.4加強網絡環境管理
猖獗的黑客是導致計算機網絡安全問題遲遲得不到解決的元兇。所以相關工作人員必須加強對網絡環境的治理,并提高對黑客的防范。計算機內部應該安裝保密程序,這樣就可以避免因黑客入侵而產生的各種損失。計算機用戶在設置自己的賬號和密碼時,也應該盡量選擇難度大、關聯性不強的信息,否則就會為黑客提供可乘之機。黑客在入侵用戶電腦時,通常是在確定對方IP地址后才行動,所以,用戶在上網時可以隱藏自己的IP地址,這樣可以避免黑客的追蹤和入侵。此外,網絡安全管理部門需要制定相關管理制度與法規,嚴厲打擊黑客違法入侵他人計算機的行為。一旦發現必須追求其法律責任,以“重典”震懾不法分子,為計算機用戶提供一個安全的計算機網絡運行和使用環境。
3結論
計算機網絡安全問題得到了人們的廣泛關注,在得到重視后相關技術人員快速地加強了對防范。通過增強計算機網絡設備的運行穩定性,提升系統對計算機病毒的防范能力以及打擊黑客等行為,從自然、人為、技術等多角度進行防范,為計算機網絡安全提供助力。
參考文獻
