時間:2023-09-25 18:02:02
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全保障方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:電信;網絡安全;技術防護
從20世紀90年代至今,我國電信行業取得了跨越式發展,電信固定網和移動網的規模均居世界第一,網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網絡安全及防護工作做了一些思考。
1電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻
論文關鍵詞:數據庫 存儲 網絡 安全
論文摘要:急救指揮中心所有的軟件和用戶數據都存儲在服務器硬盤這個核心的數據倉庫中,如何保證服務器數據的安全,并且保證服務器最大程度上的不間斷運作對每個指揮中心來說都是一個關鍵問題。針對急救通訊指揮系統的安全保障問題,從數據物理安全、網絡安全、應用系統安全、告警控制系統等方面論述了應采取的安全防范措施。對保障網絡指揮中心數據安全具有重要意義。
1數據的物理安全方法
1.1RAID技術
對每臺服務器的兩塊硬盤做RAID技術處理,把多塊獨立的硬盤(物理硬盤)按不同的方式組合起來形成一個硬盤組(邏輯硬盤),從而提供比單個硬盤更高的存儲性能和提供數據備份技術。數據備份的功能是在用戶數據一旦發生損壞后,利用備份信息可以使損壞數據得以恢復,從而保障了用戶數據的安全性,而且數據備份是自動的。在用戶看起來,組成的磁盤組就像是一個硬盤,用戶可以對它進行分區,格式化等等。總體來說,RAID技術的兩大特點是速度和安全。
1.2雙機熱備系統
從狹義上講,雙機熱備特指基于active/standby模式的服務器熱備。服務器數據包括數據庫數據同時往兩臺或多臺服務器寫,或者使用一個共享的存儲設備。在同一時間內只有一臺服務器運行。當其中運行著的一臺服務器出現故障無法啟動時,另一臺備份服務器會通過軟件診測(一般是通過心跳診斷)將standby機器激活,保證應用在短時間內完全恢復正常使用。雙機熱備的工作機制實際上是為整個網絡系統的中心服務器提供了一種故障自動恢復能力。
2、網絡安全保障體系
中心網絡由局域網、外部網兩大部分組成。因此,我們為了建立起強大、穩定、安全的網絡,可從兩大安全層次著手設計與管理:局域網安全和外部網安全,這兩大層次結合起來才能構成完善的網絡安全保障體系。
2.1應用系統安全
應用系統的安全主要是保護敏感數據數據不被未授權的用戶訪問。并制訂出安全策略。包括身份認證服務;權限控制服務;信息保密服務;數據完整;完善的操作日志。這些服務互相關聯、互相支持,共同為本系統提供整體安全保障體系。
2.2數據安全
數據的安全主要體現在兩個方面,首先,是數據不會被非授權用戶訪問或更該,其次,數據在遭到破壞時的恢復。
3應用安全系統
資料永久保存,磁帶回復時間無嚴格限制。數據存儲:磁盤陣列+磁帶庫;Tier1=4TB HDD存放線上經常使用的數據;備份帶庫:3TB定時定期備份所有數據。
3.1采用磁帶庫
磁帶庫具有如下優點:更高的價值;簡化IT;集成的解決方案;靈活的數據存儲和轉移;多種接口選擇;AES256位嵌入式硬件加密和壓縮功能;用戶可自行維護和更換的組件;廣泛的兼容性測試;久經考驗的可靠性。 轉貼于
3.2數據備份軟件
3.2.1基于LAN備份方案
LAN是一種結構簡單,易于實現的備份方案,廣泛的存在于各中小企業中LAN方案在企業發展壯大過程中所發揮的作用一直被客戶所認同。由于急救系統用戶數據量的巨大,基于LAN備份的弊端較突出:此方案對LAN的依賴非常強;因為內部LAN為企業內部辦公用網絡,而LAN方案依賴現有網絡進行備份恢復數據流的傳輸,所以必然會影響現有辦公網絡環境;基于LAN備份難于擴展,因為需要而添加存儲設備將導致繁忙的辦公網絡更加繁忙;管理困難是LAN備份的又一難題,因為設備分散于網絡各個環節,使管理員進行數據備份恢復及平時維護工作有一定難度。
3.2.2基于IPSAN的備份方案
基于IPSAN的備份方案,通過結合CBS備份管理軟件,將使備份恢復工作簡單而有效。
備份網絡與辦公網絡有效隔離開,備份數據不通過辦公網絡傳輸,而是直接通過IPSAN交換機與存儲設備進行連接。
系統具備良好的擴展性能,在現有基礎上,客戶能夠添加各種存儲設備(需支持ISCSI)。
根據客戶需要,可以實現D2D2T功能。將數據首先備份于速度較快的磁盤陣列上,加快備份的速度。再將數據從磁盤陣列備份到磁帶庫。
通過CBS備份管理軟件能夠集中管理其中各種設備,制定備份策略,安排備份時間,實現無人值守作業,減輕管理員的工作量。下圖為CBS備份框架。
備份服務器作為整個CBS備份架構的中心,實現管理功能。
4告警控制系統
通訊指揮系統出現故障時自動告警提示,確保系統安全運行。2M口通訊故障告警、網絡通訊故障告警、終端網絡斷開告警、電話到達告警、定時放音、擴音、報時控制,也可自動循環播放、電源出現故障可自動向受理臺告警。
警告系統整體性能:輸入:8-32通道,8通道遞增;電源輸入:AC 180V-250V 50Hz;控制通道輸入及輸出:AC
5總結
隨著數據管理與控制信息化綜合系統的不斷完善,對服務器數據的安全要求也越來越高,論文就如何保障急救指揮中心證服務器數據的安全,論文從數據物理安全、網絡安全、應用系統安全、告警控制系統等方面論述了應采取的安全防范措施。對保障網絡指揮中心數據安全具有指導性的作用。
參考文獻
[1]何全勝,姚國祥.網絡安全需求分析及安全策略研究.計算機工程,2000,(06).
按照文件要求,市委網信辦對照工作職責,認真排查梳理了我市網絡安全風險點,逐項建立完善工作機制,現匯報如下:
1.網絡安全風險研判工作:制定了《網絡安全事件應急預案》,明確了由于人為原因、軟硬件缺陷或故障、自然災害等對網絡和信息系統或其數據造成危害引發負面影響的事件的分析和處理。
2.網絡安全風險決策評估機制:成立了網絡安全和信息化領導小組,對全市網絡安全工作統籌指揮。制定了《網絡安全和信息化委員會工作規則》,明確網絡安全工作職責和工作制度。
3.網絡安全風險防控協同機制:組建了網絡安全專家小組,努力應對新形勢下網絡安全錯綜復雜的局面,提高網絡安全保障水平。實施網絡安全事件應急處置聯席會制度,對全市網絡安全事件的進行預防和應急處理。
4. 網絡安全風險防控責任機制:下發了《貫徹落實<黨委(黨組)網絡安全工作責任制實施辦法>責任分工方案》,明確責任主體和責任分工,提高網絡風險防范防控意識和能力。
(一)國家戰略機密信息的泄露。據初步統計,僅2009年上半年全國已發生網絡泄密案30多起,10多萬份文件被竊取境內與互聯網聯接的用戶有60%受到過來自境外的入侵攻擊,網絡泄密呈高發態勢。①隨著互聯網經濟的飛速發展,國家戰略機密信息包括國家秘密等重大情報日益處于危險狀態。由于國家秘密對網絡和信息系統高度依賴,而網絡和信息系統的潛在脆弱性和安全風險始終存在,一旦受到入侵、攻擊,將直接破壞整個網絡和信息系統,導致國家秘密安全受到嚴重損害。②國家政府官方網站時常受到攻擊,由于計算機網絡具有聯結形式多樣性、終端分布不均勻性、互連性和開放性等特征,致使網絡易受黑客、惡意軟件和其他不軌行為的攻擊,入侵者的技術水平和入侵效率在增加,攻擊、入侵工具和工具包的復雜性在增加。③
(二)國家銀行金融業安全隱患及危機1.資金用戶信息泄露危機。2011年,光大銀行北京、南京和上海等分行分別出現網上銀行客戶資金被盜事件。針對光大銀行信息系統的重大漏洞,銀監會專門委托了權威的國家信息安全測評機構對該行網上銀行和網站系統進行測試,發現光大銀行存在銀行內部信息泄露風險、釣魚網站攻擊風險、信息安全防護措施不嚴密等三方面重大漏洞,并責令其立即整改。2.手機銀行的應用危機。工信部近日公布的數據顯示,到2014年1月,移動互聯網用戶總數達到8.38億戶。
(三)國家公民隱私信息安全1.個人隱私權的侵犯。個人隱私權指“享有的私人生活安寧與私人信息依法受到保護,不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權”。2.個人信息安全引發的私有財產安全危機。在這個大數據基礎上的云計算時代,一旦公民的身份證號、手機號等重要個人信息被收集以后,公民的私有財產將處于十分危險的境地。因為當今的私有財產的安全已經與各類隱私信息相關。
(四)成為引發社會不安定因素之一,以不良網絡信息傳播為例。伴隨著著最近已經發生的十余起“網絡謠言”案件,比如“蛆橘事件”、“搶鹽風波”等國家網絡信息傳播安全危機事件的產生,當這些虛假的網絡言論一經發出,在互聯網的高速傳播下,當時就迅速引發了公共秩序的混亂,政府甚至來不及進行有效的控制,因此出現導致多個地方的公共安全危機產生。(五)引發國家政權動蕩危機———以“茉莉花革命”為視角。繼突尼斯“茉莉花革命”之后,北非中東地區持續動蕩,埃及、利比亞紛紛發生政權突變,敘利亞陷入內戰的泥潭中,巴林、沙特等國家民眾示威不斷。新的社交網站在此次“中東波”中扮演了重要角色。
二、在云計算背景下對國家風絡安全問題所提出的對策與建議
(一)保障信息基礎設施安全———國家網絡安全的基礎。從國務院公布的《“寬帶中國”戰略及實施方案》中不難發現,國家已將網絡信息基礎的建構提上了國家級建設工程中,國家對于網絡基礎設施安全的關注度使網絡安全問題重新成為網絡空間的焦點。
(二)云計算背景下的國家網絡信息采取監管新舉措———大數據處理技術。“云計算”成為當代網絡信息傳播的動力手段,其即代表著信息傳播的大量化、高速化、高效化以及準確化。在此背景下,我國互聯網中關于國家網絡信息傳播的監管也有了新內容。
(三)國家網絡安全信息基礎設施安全保障機制。根據國家的最新出臺的《“寬帶中國”戰略及實施方案》,繼續我國的網絡信息基礎設施安全的建設,同時也要建立相應的法律保障機制,為此基礎設施在將來的網絡安全保障作用中提供前提條件。
(四)國家網絡安全信息內容分類管理機制。對于當前構國網絡空間中的無限量信息內容應進行科學合理的管理分類,尤其是在國家政治與政權方面的信息內容進行特別分類,從而才能更好的監控突發事件,控制不法分子利用網絡高速空間威脅社會公共安全。
關鍵詞:電子政務外網 安全保障體系 計算區域 網絡基礎設施 計算區域邊界 安全域 等級保護 風險評估
一、前言
國家電子政務外網(以下簡稱政務外網)是中辦發[2002]17號文件明確規定要建設的政務網絡平臺。政務外網是政府的業務專網,主要為黨委、人大、政府、政協、法院和檢察院各級政務部門服務,運行各級政務部門面向社會的專業業務和不需要在內網上運行的業務。
為保證電子政務外網的安全運行,中辦發[2003]27號文和[2006]18號文明確提出,電子政務外網與政務內網之間采用物理隔離,政務外網與互聯網之間采用邏輯隔離。政務外網的建設要按照信息安全等級保護的有關要求,分別采用相應的保護措施,通過建立統一的密碼和密鑰管理體系、網絡信任體系和安全管理體系,分級、分層、分域保障信息安全。
二、政務外網(一期工程)安全需求
⒈政務外網安全防護對象
政務外網的基礎網絡環境如圖1所示。
依據政務外網的網絡環境,政務外網的安全防護對象分為如下三類:計算區域、網絡基礎設施和計算區域邊界。
⑴計算區域
政務外網所涉及的計算環境有:中央網絡管理中心計算區域、各省市節點的二級網絡管理中心計算區域、中央城域網接入單位計算區域以及外網骨干網接入的各省市節點的計算區域。
在各計算區域內主要防護如下對象:
①數據資源,主要包括各應用系統管理的數據資源;
②軟件資源,包括系統軟件、網絡軟件、支撐軟件和應用系統等;
③中心計算機;
④存儲介質,包括數據備份磁帶、軟盤、可讀寫光盤等;
⑤用戶,包括普通操作員、業務管理員、高級業務管理員以及系統(數據庫)管理員和網絡管理員等。
⑵網絡基礎設施
政務外網所要防護的網絡基礎設施主要有:各計算區域的網絡基礎設施,以及實現各計算區域相聯的網絡基礎設施。
⑶計算區域邊界
由于計算區域與其他外部實體相聯而產生區域邊界,區域邊界與計算區域直接相關,與計算區域相聯的外部實體的性質直接決定區域邊界的保護的策略。
政務外網中的計算區域邊界主要有:與中央城域網相聯的各計算區域因與中央城域網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界、各省市節點計算區域因與政務外網骨干網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界。
⒉安全需求
根據政務外網的特點,政務外網的安全需求體現在如下幾方面:
①建設政務外網安全信任體系,確保政務外網資源不能被非法用戶訪問;
②建設政務外網數據交換中心,確保不同安全域之間的安全數據交換;
③確保政務外網的安全保障體系具有高可靠性,并具有可審計、可監控性;
④實現政務外網統一的安全管理體系;
⑤確保政務外網與互聯網的安全互連。
三、政務外網安全保障體系框架
政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務。從政務外網的實際出發,政務外網的安全保障體系設計應重點針對政務外網的如下特點:
①政務外網必須與互聯網邏輯隔離;
②政務外網主要運行面向社會的專業業務,這些業務所涉及的業務信息具有面向公眾的特性,所以保護業務信息的完整性、可鑒別性以及抗抵賴性十分重要;
③政務外網是國家電子政務的基礎性網絡環境,支持電子政務系統互聯互通、數據交換、信息共享、業務互動、便民服務的需求,所以政務外網要滿足公用網絡安全可信的需求;
根據以上分析,政務外網(一期工程)安全保障體系由網絡防護體系、網絡信任體系、安全管理體系、安全服務體系等構成,邏輯模型如圖2所示。
⒈網絡安全防護體系
網絡安全防護系統是政務外網安全保障體系中最重要的安全設施,主要保護電子政務外網的各子網網絡節點及整個電子政務外網,保證整個政務外網及相關業務系統的可用性、完整性、可控性等。網絡安全防護系統重點要考慮防火墻系統、入侵防御系統、防病毒系統、遠程安全接入系統、流量監測系統等的配置和建設。
政務外網的網絡安全防護體系將涵蓋以下幾個方面:
⑴物理安全
保證政務外網中各種骨干設備的物理安全是整個政務外網安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
⑵網絡安全
網絡安全主要考慮VPN、防火墻、入侵檢測系統、非法外聯監控系統、PKI接入認證網關等安全設備在政務外網中的配置與部署。
⑶系統層安全
系統層安全主要包括漏洞掃描、操作系統安全加固、數據庫安全加固。
⑷應用層安全
應用層安全主要考慮應用系統的鑒別、授權和訪問控制等安全機制。
⒉網絡信任體系
網絡信任體系是為網絡用戶、設備提供信息安全服務的具有普適性的信息安全基礎設施。該體系在統一的安全認證標準和規范基礎上提供在線身份認證、授權管理和責任認定。其核心是要解決信息網絡空間中的信任問題,確定信息網絡空間中各種經濟和管理行為主體(包括組織和個人)身份的唯一性、真實性和合法性,保護信息網絡空間中各種主體的安全利益。政務外網網絡信任體系的建設與政務外網的安全運營息息相關,是電子政務安全運行的支撐基礎設施。
政務外網(一期工程)的網絡信任體系,主要是在國家主管部門的指導下,建設政務外網身份認證系統,組建政務外網身份認證管理協調機構和技術保障隊伍,制定有關政務外網身份認證的相關標準體系、管理運行規章制度和規范,逐步形成統一的政務外網網絡信任體系。
⒊安全服務體系
政務外網安全服務體系主要由安全評估和安全培訓組成。安全評估主要是對政務外網及其處理的傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學識別和掃描評估的過程。安全評估的主要目的是定期對網絡系統進行安全性分析,及時發現并修正動態運行的網絡系統中存在的弱點和漏洞,認清信息安全環境、信息安全狀況,明確責任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續性。
⒋安全管理體系
安全并非只是一個技術問題,它也是一個關于人和管理的問題。安全不是個產品,它是一個完整的過程。作為一個過程,它有人、技術、流程這3個組成部分,這些組成部分匹配得越好,過程進展得就越順利。
安全管理在政務外網的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術措施,如果管理的力度不夠,將會造成很大的安全隱患。因此,必須加強安全保密管理,設置安全保密管理機構,制定嚴格的安全保密管理制度,采用適當的安全保密管理技術將政務外網中各種安全保密產品進行集成,并加強對人員的管理。
安全管理體系的建設包括安全保密管理機構的建立、安全保密制度的制定、安全保密管理技術的使用以及人員的管理等幾方面內容,這里不再予以贅述。只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態的安全過程,才能為政務外網提供制度上的保證。
四、幾個重要問題
在整個政務外網(一期工程)安全保障體系的規劃和建設當中,有幾個重要問題需要特別說明。
⒈安全域劃分
政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務,要滿足政府公用網絡安全可信的需求。所以,在政務外網內有必要劃分不同的安全域,定義每個安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權威定義和執行的公共安全策略的安全要素的集合,有利于每個安全域共享相似的安全策略。
政務外網具有數據量龐大、業務復雜多樣、安全等級各異的特點,因此安全域的劃分遵循以下原則:
①根據信任等級劃分安全域。在政務外網中,要為政務信息資源和國家基礎信息資源的登記、備案、、交換和共享提供服務,同時相關的業務系統也要有連接到互聯網和有需求的其它單位,不同的系統由于處理的數據和交互的實體不同,需要在不同的位置或業務流程中,劃分不同的安全域。
②根據業務節點類型,對不同的節點劃分相應的安全域,并配置和節點業務量相匹配的安全措施和安全設備。在政務外網中,政務外網要連接不同類型的網絡節點,網絡節點的安全等級決定了安全域的劃分和安全設施的投資建設規模。
③依據數據的安全等級,在存儲和傳輸的不同區域,劃分安全域,并采用不同的安全策略,體現數據的分等級保護。
根據以上原則,在政務外網中,網絡各節點的局域網構成相對獨立的安全域,并在各節點內部進行安全域細化。政務外網中,按節點所劃分的安全域有中央網絡管理中心局域網、中央城域網接入節點單位、各省市節點的二級網絡管理中心局域網和各省市節點的各自的接入網絡。
⒉等級保護
根據公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室2007年聯合頒布的43號文件《信息安全等級保護管理辦法》的相關規定,為保障電子政務外網的網絡安全,對電子政務外網需采用等級保護機制。等級保護以網絡安全域劃分為基礎,電子政務外網包括網絡基礎設施,包括眾多接入網絡,各個子網絡又包括不同的應用系統。只有根據這些資產的重要性以及它們面臨的安全威脅的不同,結構化地劃分為安全域,才能有效地進行安全保護。
根據政務外網的邏輯結構、安全域劃分情況、面向對象及應用模式,中央網絡管理中心局域網、中央城域網接入節點單位二級網絡管理中心局域網和各省區市接入節點二級網絡管理中心局域網,至少要達到第三級(監督保護級)的要求。對于這類的安全域,將依照國家管理規范和技術標準進行自主保護,并接受信息安全監管職能部門的監督、檢查。
中央城域網接入節點單位接入網絡和各省區市接入節點單位接入網絡至少要達到第二級(指導保護級)的要求。對于這類安全域,將在信息安全監管職能部門的指導下,依照國家管理規范和技術標準進行自主保護。
⒊風險評估
在政務外網(一期工程)安全保障體系規劃和設計時,國家信息中心網絡安全部將風險管理的思想引入到政務外網的建設中,獲取規劃和設計階段的政務外網的安全風險,提出并確定外網安全建設的要求,改進規劃中的不合理因素,為后續的網絡建設的實施提供安全建設依據。此次事前評估范圍主要是政務外網一期工程第一階段工程初步設計規劃方案,評估著重考慮外網規劃中系統平臺的安全性。為支持整個風險評估過程的推進,國家信息中心網絡安全部成立了由領導層、相關業務骨干、外網相關人員等組成的風險評估小組。評估結束后,針對不可接受的風險,風險評估小組對規劃和設計做了相應的修改,很好地兼顧了風險與成本的平衡。
五、結語
根據政務外網(一期工程)安全保障體系整體規劃和一期工程建設進度安排,政務外網中央節點安全保障體系已初步建成。通過幾個月的試運行,整個政務外網安全保障體系運轉良好,初步達到了預期的設計目標。下一步的工作重點將是:進一步完善政務外網安全保障體系,建立健全政務外網安全管理機制,明確各級網管部門安全管理責任;開展信息安全風險評估工作,按照信息安全等級保護的要求,對全網分級、分層、分域確定信息安全等級;從技術和管理兩方面入手,不斷完善信息安全保障體系,初步建成統一的政務外網信任體系,形成面向外網用戶的服務能力。
作者簡介:
王勇,男,漢族,1977年生,山東鄄城人,國家信息中心網絡安全部工程師;研究方向:網絡安全。
電視臺給予網絡安全相當高的重視程度,是因為電視節目播出的安全性和信息的保密性是電視臺的追求和目標。電視臺的網絡信息極其關鍵,它掌控電視臺的存亡。要使電視節目安全播出,電視臺網絡安全不容忽視。廣播電視臺在傳播信息時,信息傳輸速度和質量的提高往往會依靠計算機技術,然而,計算機技術的網絡風險極大,信息容易外泄或遭受竊取。隨著時代的發展,電視臺網絡安全遇到了極大的挑戰和機遇,提高網絡的安全性義不容緩,網絡安全建設是一個龐大的建設。
2電視臺網絡安全的重要性以及網絡安全的問題
2.1電視臺網絡安全的重要性。在廣播電視臺的發展中,互聯網與信息技術是必不可少的。然而,互聯網的快速發展以及信息技術的迅速提升使之出現了網絡安全問題,隨之也成為廣播電視臺極其重視的問題。對于廣播電視臺來說,網絡安全是極為重要的,對其能否正常運行有著重大的意義。相應的工作人員都應給予網絡安全高度重視,了解其重要性。第一,電視臺網絡安全是數據信息傳輸時的保障,是處理信息時的安全保障,保障信息不外泄或被竊取。第二,提高電視臺處理信息的速度和提升其能力,都以網絡安全為基礎,提高互聯網應用能力也以網絡安全為保障。第三,網絡安全的穩定,電視臺的信息與數據才能得到保護并有效地處理。因此,為了保護電視臺信息不被竊取等外部攻擊,管理者必須采取相應措施來加強建設網絡安全,推動電視臺與廣播的發展。2.2電視臺網絡安全的問題。電視臺網絡安全的問題不容忽視,更是亟待解決的一大問題。首先,在網絡硬件系統中占有重要地位的信息系統硬件在保護網絡安全和信息安全的過程中起到了主要的作用。然而,現如今大多數信息系統硬件的安全系數較低,存在著極大的安全隱患。一些只為了追求網絡信息的數量,而忽略了信息建設是否安全,導致許多地方的網絡技術沒有人監管,而給病毒有了可乘之機,使得病毒在網絡上瘋狂繁殖。病毒可以控制電腦、破壞電腦,以及攻擊特定的服務器,導致局域網的總臺遭受癱瘓。無孔不入的病毒帶來的毀滅性是強大的,網絡安全受到嚴峻的挑戰。其次,物理運行環境的好壞也影響著網絡安全的問題。如果計算機在惡劣的物理環境下運行,比如在發生雷電、火災的情況下,計算機就不能正常運行,設備也會受到損壞而發生故障。
3電視臺網絡安全解決對策
3.1加強網絡安全技術。第一,設置防火墻。防火墻是保障網絡安全的重要渠道,它能防止黑客以及一些不良信息入侵電視臺的網絡,能提高電視臺網絡防御能力,確保電視臺信息數據得到安全的保障。第二,使用防毒軟件。使用防毒、殺毒軟件也是保障網絡安全的重要手段之一。防毒軟件能有效地阻擋病毒的入侵,具有較強的防毒功能。根據當地電視臺的實際情況安裝相適應的防毒軟件,能有效地加強網絡的安全性,防止病毒入侵摧毀網絡系統設備。第三,使用密碼技術。在如今信息傳輸和數據通信的時代下,密碼技術是不可缺少的。密碼技術能有效地防御信息外泄,保護網絡的安全。密碼技術對數據信息進行加密,運用信息解密和加密數據的方法來保障數據信息的安全。因此,廣播電視臺應對密碼技術重視起來,引進密碼技術并靈活地使用密碼技術于處理電視臺信息數據的過程中。3.2進行網絡安全檢測。在發送網絡信息之前,需對其進行檢測和檢查工作,并提前對信息進行監察以保障網絡系統的安全性,這就是安全檢測。廣播電視臺的信息之所以很復雜,是因為其數據來源范圍大,而這就會導致電視臺網絡安全受到威脅。為了數據信息能安全存放,這就需要引進安全檢測,防御信息處于危險的環境中,加強電視臺的網絡安全。3.3建立虛擬專有網絡。擁有優越的技術,促進虛擬專有網絡的發展。虛擬專有網絡在電視臺網絡安全發展中起到了一個重要的作用。現實網絡在虛擬專有網絡的掩護和保護之下,能夠有效地提高電視臺網絡的安全性,減少網絡攻擊電視臺的頻率。因此,廣播電視臺應把虛擬專有網絡投入應用當中。3.4加強安全管理,提高管理水平。電視臺網絡安全的管理工作非常重要,強大的安全管理能極大提高網絡的安全性。物理層面的安全管理是物理層面的網絡安全問題的必經之路,是因為物理層面既是獨特的,又是獨立的,而信息處理和交換的層面即指物理層。因此,廣播電視臺應高度重視物理層面的安全管理,根據不同的情況建立不同的物理層面,做好物理層面的隔離工作,符合網絡安全需求,使電視臺網絡安全得到提升。管理水平的高低也給廣播電視臺網絡安全帶來不同的影響。因此,建立一支高素質、懂技術、善于管理的員工隊伍是極其重要的。對外引進人才,對內加強崗位、員工培訓,適當激勵員工發展,這樣才能壯大隊伍,才能變得強大。擁有一支強大的員工隊伍,我們才能為新時代的電視臺提供更有效的網絡安全建設服務。3.5政策上的積極有力的支持。建設電視臺網絡安全不僅僅只是為了宣傳系統,還為造福百姓而努力著。但改造有線電視網絡安全以及整體轉換數字電視需要很多的財力、精力,需要政府部門的配合與支持。只有政府部門給予積極的支持,才能營造出一個良好的環境。轉換數字電視這項偉大的工程建設需要政府部門給予資金上的大力支持和理解,政府在政策和經濟上一并支持,才能有利于電視臺網絡安全的發展。
4總結
總而言之,新時代電視臺的網絡安全不容忽視。由于網絡信息數量增長迅速和快速的信息傳播速度,電視臺網絡安全受到威脅是不可避免的。電視臺的節目信息會遭到外泄,甚至被竊取,導致于電視臺無法進行正常運作。當信息傳輸渠道被破壞時,傳輸時間會增長,那么電視播放質量就會下降。而一些黑客還會篡改或者摧毀信息,使得電視臺網絡安全遭受嚴重的危害。因此,相關工作人員一定要認識到網絡安全的重要性和嚴峻性,加強網絡安全技術,采取相關的網絡安全解決對策,推動新時代電視臺網絡安全的發展。
作者:圖亞 單位:新疆博爾塔拉蒙古自治州精河縣電視臺
參考文獻:
[1]何雄彪.電視臺網絡安全解決方案的分析[J].決策與信息旬刊,2015(5):106.
[2]劉海蕓.廣播電視臺業務網絡網間安全方案設計[J].聲屏世界,2016(s1):45-47.
[3]楊璞.智能手機泄密風險分析及安全保密技術解決方案研究[J].網絡安全技術與應用,2015(4):138-139.
[4]程琦.計算機網絡信息安全影響因素與防范解析[J].網絡安全技術與應用,2016(2):6.
為了深入貫徹學習關于網絡安全系列重要講話精神,積極響應中央網信辦、工業和信息化部、公安部等六部門聯合的《關于印刷國家網絡安全宣傳周活動方案的通知》的要求,9月24日,由杭州市政府、中國信息化推進聯盟、浙江經濟理事會主辦,杭州市拱墅區政府、中國信息化推進聯盟協同創新專委會、浙江乾冠信息安全研究院承辦的2016第二屆中國網絡安全協同創新高峰論壇?杭州峰會在美麗的西子湖畔召開。
峰會上,來自中央網信辦、公安部、中科院及國家有關部門的領導、專家就如何學習貫徹關于網絡安全和信息化的系列講話精神、網絡安全面臨的嚴峻復雜形勢、網絡安全管理的方針政策、網絡安全體系建設的策略建議和實踐案例等進行了研討交流。
本刊摘取部分專家精彩觀點,以饗讀者。
建設整體信息安全保密體系
楊國勛認為,當前的信息安全問題不容小覷,特別是政府及金融、能源等關鍵信息基礎設施的安全保障問題。應該強化關鍵信息基礎設施安全,進而大力推動重要領域整體信息安保體系建設。
但是,信息安全既沒有絕對的安全,也沒有永久的安全,因此,整體信息的安全防護也不可能一勞永逸,徹底管住。所以,在實際操作中,我們應該是在有效安全的前提下,以發展促安全。
那么,如何做到有效防護?第一,要明確消除可預見的整體安防的薄弱點和空白點。要按照對雙方的重要性及損害的嚴重程度分類評估,來判定做還是不做。如果是有可預見的薄弱點,就不能做。第二,要創新安防的思路、方法、路線圖。現實中,我們經常會遇到“又要馬兒跑、又要馬兒不吃草”的問題,信息安全也是這樣的問題,又要安全,又要擴大應用。在這種情況下,我們需要創新,需要從另外的角度來分析和思考。比如風險管理,不僅要分析對自己的重要性,也要分析對敵方的重要性;出了事情,要分析對自己的影響,也要分析對敵方的影響;比如法制管理,用法制的威懾力,使他不敢造次,不敢隨便地對你進行攻擊。第三,要有科學、合理、可持續的實施方案。
互聯網+下的工業安全技術
在演講中,何積豐提及了工業控制系統的三個安全目標:一是通信可控,要能直觀觀察、監控、管理通信數據,僅能保證專有協議的數據傳輸,禁止其他通信;二是區域隔離,要能防止局部控制網絡問題擴散導致全局癱瘓,要在關鍵數據通道上部署網絡隔離;三是報警追蹤,要能及時發現網絡安全問題,確定故障點,記錄報警事件,為故障分析提供依據。
對于工業控制系統的安全防御策略,何積豐提出了五道防線,分別是:第三方商用防火墻,聯合安全網關,工業PC安全防護,現場設備控制防護,安全可靠的現場設備。可以采取的具體措施也有五條:去中心化、智能下移、異構冗余,分布協同、蜜罐技術。
何積豐認為,未來幾年,工業控制系統安全發展趨勢將朝著以下幾方面發展:一是隨著硬件元器件的可靠性越來越高及冗余技術的使用,安全問題的矛盾主要集中于軟件,軟件安全性面臨嚴峻形勢;二是工控信息安全標準需求強烈,標準制定工作亟需全面推進;三是隨著自動化系統IT化,傳統邊界防護難以滿足工業控制環境;四是行業內尚未形成氣候,需要整合自動化與信息安全公司優勢,帶動產業全面發展;五是工控安全防護技術迅速發展并在局部開始試點,距離大規模部署和應用有一定差距。
深化國家網絡安全等級保護制度,全力保衛關鍵信息基礎設施安全
陳廣勇除匯報了公安部在網絡安全方面的一些工作情況和應對措施之外,還給重要行業部門開展網絡安全工作和信息安全企業提出了一些建議。
他建議,重要行業部門開展網絡安全工作要統籌規劃行業安全工作,以網絡安全等級保護工作為抓手,以信息通報為平臺,以全面加強安全管理和技術防范為重點,以提高網絡安全保障能力為目標,全力構建本行業網絡安全綜合防御體系。
針對信息安全企業,他建議,第一是要緊密圍繞國家網絡安全重大舉措來開展經營活動,包括及時跟蹤了解國家法律、政策、標準和重大舉措;有針對性地制定具有行業特點的產品研發戰略、技術創新,著重解決云、大、物、移以及工業控制系統的安全風險,制定相應的整體解決方案;第二是要積極參與和跟進信息安全標準的規范研究工作;第三是要全力支撐國家網絡安全重點工作,做好技術儲備和技術創新,信息安全企業要積極參與網絡安全信息通報預警、智慧城市的網絡安全管理、新技術、新應用推廣等國家有較大投入的方面;第四是要加強規劃、科學布局,企業要做好長遠的戰略規劃,努力成為既能提供整體的網絡安全解決方案,也能提供高質量的咨詢服務能力的綜合服務提供商。
擬態防御,協同眾測促進網絡安全創新
演講中,葛培勤指出了當今網絡安全的五個特點:一是網絡安全是整體的不是割裂的,二是網絡安全是動態的不是靜態的,三是網絡安全是開放的而不是封閉的,四是網絡安全是相對的而不是絕對的,五是網絡安全是共同的而不是孤立的。他進而指出:網絡防護需要靠大家共同協防,網絡檢測需要靠大家一起發現問題,網絡管理需要大家齊抓共管,網絡應急需要靠大家一起處置/恢復,網絡演練需要靠大家共同參與,網絡安全需要靠廣大人民。
他講到,近年來,針對傳統13類產品以外的信息安全產品層出不窮,如APT網絡監控類、工控安全類、生物識別類、認證類、安全芯片類、大數據分析類、物聯網安全等等,而創新產品測評與統一認證,將加快這些創新產品進入實際應用。國家信息技術安全研究中心與中國信息安全中心協商一致,最近將與多家測評機構進一步溝通協商,一是在測評規范上采取一定的措施,如鼓勵采用未國標開展試點示范,采用參考行標擴大使用范圍,采用多家眾測形成測試用例,同時借鑒國外相關技術標準等方法,加快形成創新產品的基本測評用例和增強測試用例,采取結果導向、問題導向、目標導向理念,開展基于漏洞分析挖掘的產品測評,并對相對成熟的創新類產品、專家評審和審批后發放統一的認證證書。眾測活動需要嚴格的管理措施來保證測評中的“7性”,組織方必須周密組織,公開公平公正地開展工作,保證測評的嚴肅性、嚴謹性。
跨維―深度聚焦網安生態
徐平說,在整個網絡信息化發展過程中,乾冠信息安全研究院主要解決網絡安全中第一公里和最后一公里的問題,其中的第一公里小到一個單位,大到國家互聯網的出入口。乾冠信息安全研究院致力于通過時空跨維和深度聚焦,來形成一個比較完整的針對安全威脅的體系化的解決方案。
如何發現并分析處理數據安全,需要業界廠家形成合力,利用大數據驅動構建一個安全管理的平臺。這也是研究院積極參與構建中國網絡安全協同創新共同體、網絡安全態勢感知生態矩陣的初衷,即借助平臺化的方式,用平臺+服務、平臺+產品、平臺+合作伙伴等模式,來為用戶提供整體的服務。平臺矩陣將從三個層面提供防御保護:遠程防御、云防御和安全設備。
他坦言,對安全威脅的一些未來的預測,是乾冠信息安全研究院下一步要重點突破的方向。
安全理念更新引領網絡安全創新
演講伊始,邵國安就指出:現在很多層面對于網絡安全的本質和核心的理解是比較模糊的。理念決定行動,但是若理念都錯了,談何正確的行動?
他講道,網絡安全要從以下五個方面來加以考慮:一是網絡邊界的安全,二是網絡防護,三是終端安全,四是應用安全,五是數據安全,每個層面都有不同的安全要求,是一個扇型的安全保障體系。
交通運輸網絡安全風險與策略
李璐瑤認為,不管是從事信息化還是從事信息安全的,都必須先了解它的業態,才能來進行風險權重的評價。交通行業,很好地體現了大數據的強大特征:廣泛性、海量性、有價性。也正因此,交通領域成為了可能遭到重點攻擊的目標,一定要采取有效措施,加強安全防護。
此外,她也認為就各級政府而言,要集中對政府網站、政務郵箱、重要業務、公務終端、互聯網出口這五類系統進行安全防護。
提升風險自主發現處置能力的探索實踐
關鍵詞:等級保護分級管理;中小型網絡;安全建設
中圖分類號:TP309文獻標識碼:A文章編號:1007-9599 (2011) 24-0000-01
SMs Network Security Building Analysis in Level Protection Hierarchical Management
Xu Aihua,Lv Yun
(Nanjing Institute of Science& Technology Information,Nanjing 210018)
Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.
Keywords:Level protection classification management;Small network;
Security building
一、工信部關于等級保護分級管理的要求
如何利用等級保護中分級管理制度,確定不同的系統不同的安全策略,消除內部網向公網傳送的信息可能被他人竊聽或篡改等等安全隱患,對中小網絡而言至關重要。為此,自2010年3月1日起,工業和信息化部了《通信網絡安全防護管理辦法》(以下簡稱《辦法》)開始施行。《辦法》要求通信網絡運行單位應按照各通信網絡單元遭到破壞后可能造成的危害程度,將本單位已正式投入運行的通信網絡單元由低到高分別劃分為一級、二級、三級、四級、五級。《辦法》要求,通信網絡運行單位應當在通信網絡定級評審通過后三十日內,將通信網絡單元的劃分和定級情況按照有關規定向電信管理機構備案。電信管理機構對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查。
二、中小型網絡基本情況與應用特點
中小型計算機網絡主要應用于辦公自動化系統、信息查詢系統、郵件服務、財務、人事、計劃系統等實際工作和WWW應用中。根據中小型計算機網絡的應用特點,需要保證網絡中的數據具有可用性、可靠性、保密性、完整性、安全性等。又由于計算機網絡跨越公共網絡及與Internet網互聯,這就給計算機網絡帶來嚴峻的安全問題,如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決,那將會給計算機網絡帶來嚴重的安全隱患。所謂可用性是指網絡信息可被授權用戶訪問的特性,即網絡信息服務在需要時,能夠保證授權用戶使用。可靠性是指網絡系統硬件和軟件無故障運行的性能,是網絡系統安全最基本的要求;保密性是指網絡信息不被泄露的特性,保密性是保證信息即使泄露,非授權用戶在有限的時間內也不能識別真正的信息內容;完整性即網絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作,是指網絡信息未經授權不能進行改變的特性,也稱作不可否認性。從技術角度看,網絡安全的內容大體包括四個方面,即:網絡實體安全、軟件安全網絡數據安全和網絡安全管理。由此可見,計算機網絡安全不僅要保護計算機網絡設備安全,還要保護數據安全。因此實施網絡安全保護方案,目的是以保證算機網絡自身的安全。
三、中小型網絡安全解決方案
隨著網絡威脅越來越普遍、破壞性越來越嚴重,網絡入侵者攻擊來源廣泛,形式多樣。通常采用信息收集、探測分析系統的安全弱點和實施攻擊有步驟地進行入侵。如在目標系統安裝木馬程序用來窺探目標,網絡所熟悉的病毒,如紅色代碼、沖擊波,口令蠕蟲等對網絡造成了巨大損失。本文按照安全風險、需求分析結果、安全目標及安全設計原則,為中小型計算機網絡解決網絡安全問題,力求構建一個適合于中小型計算機網絡的安全體系。
(一)外網安全設計
1.防火墻系統:采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行保護。
2.入侵檢測系統:采用入侵檢測設備,作為防火墻的功能互補,提供對監控網段的攻擊的實時報警和積極響應。
3.病毒防護系統:強化病毒防護系統的應用策略和管理策略,增強病毒防護有效性。
4.垃圾郵件過濾系統:過濾郵件,阻止垃圾郵件及病毒郵件的入侵。
(二)內網安全設計
采用訪問控制策略,通過密碼、口令(不定期修改、定期保存密碼與口令)等禁止非授權用戶對服務器的訪問,以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、審計記錄、防病毒入侵。對內部采用:網絡管理軟件系統:使網管人員對網絡中的實時數據流量情況能夠清晰了解。掌握整個網絡使用流量的平均標準,定位網絡流量的基線,及時發現網絡是否出現異常流量并控制帶寬。
具體可采用Juniper的整合式安全設備+三層交換機的配置方案。Juniper的整合式安全設備專為互聯網網絡安全而設,將硬件狀態防火墻、虛擬專用網(IP sec VPN)、入侵防護(IPS)和流量管理等多種安全功能集于一體,可以通過內置的Web UI、命令行界面或中央管理方案進行統一管理。
三層交換機具用于日志審計及監控。根據不同用戶安全級別或者根據不同部門的安全訪問需求,網絡利用三層交換機來劃分虛擬子網(VLAN)。因為三層交換機具有路由功能,在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問,同時通過在不同VLAN間做限制來實現不同資源的訪問控制。通過虛擬子網的劃分,既方便局域網絡的互聯,又能夠實現訪問控制。
四、結束語
總之,我們必須不斷強化信息安全觀念,加強網絡與信息系統安全保障工作的檢查和監督,充分利用《通信網絡安全防護管理辦法》關于安全等級劃分的要求制定具體的信息安全防護策略,全面落實各項制度、預案,加強技術積累,定期進行網絡漏洞掃描等安全有效措施,切實加強網絡與信息系統安全保障工作,確保中小型網絡信息系統的安全穩定運行。
參考文獻:
引言
人類文明發展有文字之后,檔案便開始了漫長的保存與利用過程。?檔案,是整個人類的寶貴財富。
檔案的開放和安全保障是信息保存和開展相關工作的重要保障。目前檔案的開放和信息的保護遭到多方面的干擾,電子檔案的興起更對信息安全提出了更高的要求。因此,加強檔案安全利用是檔案部門需要重點研究和建設的項目。
一、檔案開放與信息安全的必要性
檔案開放是順應市場經濟發展的必然,是政府實施“信息公開”制度和“政務上網工程”的要求。
檔案開放能夠推動民主政治的實現,并能推動其發展。總之,它推動著社會各項文明建設。
檔案信息必須附著于不同的載體上,在保存過程中,遇到破壞在所難免,而因此造成的信息的丟失對社會的影響非常大。
另外,隨著信息時代的發展,檔案管理電子化,即電子檔案的應用普遍開來。網絡巨大開放性更是威脅著檔案信息的安全使用。
無論是從自然環境還是社會人文環境來看,加強檔案信息安全的研究和保護刻不容緩。
二、檔案開放利用的現狀
目前,已經有大量的檔案公開給社會公眾利用。但是,由于種種原因,我國檔案信息資源的開放程度仍然較低,開放的檔案僅占國家檔案保存總量的28%。
首先,外部環境的巨大變動嚴重威脅保存檔案的硬件設備。
其次,網絡安全直接影響著電子檔案的安全。在虛擬的網絡環境里,黑客、病毒等的惡意篡改和攻擊嚴重毀壞了檔案的完整性和準確性。
網絡一旦癱瘓,所有的信息可能會消失殆盡。另外,信息安全的相關法規存在漏洞、執行能力差,安全管理上工作細致性不足,風險評估體系和水平不足。
三、檔案開放與信息安全的辯證關系
作為檔案工作的核心和最終目的,檔案開放必須有嚴格的工作標準和規定。
檔案工作者利用多種渠道獲得相關信息,進行統一的加工整理形成檔案,交給檔案使用人員同時加以保存。
非保密檔案可以依法向社會和人民大眾公開,提供給民眾參與社會化服務與政策的機會,保障知情權的行使。檔案的開放極大的促進了信息的共享和資源的高效利用,能有效的促進相關工作的順利進行。在檔案的開放過程中,信息的安全保護相當關鍵。
檔案信息必須附著于不同的載體上,在保存過程中,遇到破壞在所難免,而因此造成的信息的丟失對社會的影響非常大。
另外,隨著信息時代的發展,檔案管理電子化,即電子檔案的應用普遍開來。網絡巨大開放性更是威脅著檔案信息的安全使用。
無論是從自然環境還是社會人文環境來看,加強檔案信息安全的研究和保護刻不容緩。
檔案的開放極大的促進了信息的共享和資源的高效利用,能有效的促進相關工作的順利進行。但是,在檔案的開放過程中,信息安全保障是現階段高校檔案不容忽視的一項工作。
檔案具有歷史性,真實性和唯一性,一旦損毀,勢必給社會造成難以挽回的重大損失,影響檔案工作的發展。因此,如何健康安全地開放檔案是檔案工作的關鍵。
四、檔案安全保障措施及防范體系
(一)建立完善的法律法規
當前我國涉及檔案安全的法規主要是信息安全和保密管理。它可以幫助檔案開放工作的健康、科學的發展。但針對信息安全重點建設的等級保護、風險評估、應急響應等內容在法規里仍是空白。這阻礙著檔案信息安全系統的完善和對信息的保護。
因此,建設完整的法律法規體系,加強檔案部門工作人員的法律意識和責任感,保障法規的執行力度。同時,針對電子檔案的法規也需建設和完善起來,以指導和規范電子檔案的安全使用。
(二)加強檔案基礎環境建設
對于實體檔案,如紙質、膠片、磁帶檔案要嚴格控制材料的選擇,并根據不同的環境需求分開保存,分別配備相應的庫房設備。?電子檔案的保存硬件設備即服務器、終端、存儲設備和網絡設備。這需要保證設備的物理條件,相關單位需定期檢修保障設備的正常運行。
電子檔案安全更重要的環節是網絡的安全保障,網絡的安全管理、漏洞檢測和病毒查殺都需要網絡安全技術的保障。
(三)加強安全技術能力建設
1、實體檔案信息安全保障技術。主要有保存技術和修復技術。保存技術重點對庫房的環境建設和裝幀技術展開。修復技術用于解決在檔案的保存、利用過程中受不可抗外力作用,如紙張老化、膠片斷折、光盤磨損等。加固技術、去酸去污技術,修裱技術都是常用的修復技術。
電子檔案安全保障技術就是從系統安全,數據安全,網絡安全,用戶安全等角度進行安全保護。
2、檔案信息安全保障手段。通過安全審計保障系統安全;利用數據加密技術、備份技術、應急響應技術保障數據安全;利用防病毒技術、防火墻技術、漏洞掃描技術保障網絡安全;利用身份認證、權限控制技術保障用戶安全。
3、檔案信息安全保障措施。對檔案員工進行安全教育是保障信息安全的重要措施。首先,應該大力推廣信息安全觀。將個人電腦設定防毒措施,加強資料備份觀念。防止在檔案信息公開的過程中無意帶入電腦病毒。
檔案部門需要在檔案服務器上安裝殺毒工具,建立起基本的的防毒安全環境。在工作過程中,養成重要資料備份的習慣,將檔案信息備份到服務器中,并備份到光盤或磁盤中。另外,制定文件信息安全防護和應急計劃,定期進行修訂。
(四)完善檔案安全管理體系建設
檔案的管理工作是真正實現檔案安全的重要部分。好的管理思想和制度,負責的管理人員和到位的工作程序是保障檔案信息安全的靈魂。建立起檔案信息安全組織體系,設立信息安全管理部門,規劃組織,明確職責。制定檔案信息安全保障工作的整體規劃確立明確的目標,擬定長期規劃。同時加強管理制度的執行力度,成立安全工作領導小組,定期對檔案信息進行檢查。
(五)大力推廣應用電子檔案
從安全角度來看,電子檔案較傳統紙質檔案有較大的安全性。首先電子文件對環境條件、氣候條件耐受性較高,不易被破壞,因此較安全。第二在文件保管使用的整個環節都可以憑借高科技手段加以安全保護。第三影響電子文件信息安全所需智力、技術、設備、環境等條件較高。
第四我們一直在不懈努力大幅提高電子文件的安全技術研發功效,努力杜絕文件信息泄露的可能性。
一、貫徹落實疫情防控工作要求
(一)提高政治站位。高度重視疫情防控工作,及時傳達貫徹中央及人社部、省委省政府、省人社廳、市委市政府及局黨組關于疫情防控工作的部署要求,進一步抓細抓實抓緊各項工作,統籌做好疫情防控和復工復產。
(二)做好信息支撐。切實保障各類應用系統安全穩定運行,通過網站、移動應用、12333等渠道,確保人社各項政策的宣傳、落地。加強視頻會議的聯調測試、技術保障、運行管理和設備維護工作,保障疫情防控期間緊急任務的有效傳達落實。
(三)抓住發展機遇。深入分析疫情防控給信息化發展提出的要求及帶來的機遇,進一步發揮優勢,推進經辦大廳、網上服務、移動應用、自助終端、12333等服務方式的有序銜接,加快實現線上線下服務聯動。
二、加快社會保障卡應用建設
(一)完成發行任務。大力推進電子社保卡簽發工作,確保完成2020年發卡和電子社保卡簽發目標任務。穩步推進第三代社會保障卡發行工作,制定發行計劃和工作方案,做好國產密鑰服務系統建設,確保第二代社會保障卡向第三代社會保障卡平穩過渡。
(二)提升服務能力。完成省政務服務網、皖事通上社會保障卡服務事項的對接,實現社會保障卡網上申領、郵寄發卡、即時補換、線上啟用等服務的一網通辦。繼續協調合作銀行推進“一站式”服務網點建設,快速發卡網點覆蓋所有縣區和縣區全部合作銀行,每個縣區至少設立2個快速發卡網點。開展“清卡行動”,摸清超期未發、死亡未注銷等卡片數量,建立回收處理機制,確保應發盡發、應銷盡銷。
(三)加大應用拓展。開展人社領域待遇用卡專項提升行動,加大各類就業補貼、農民工工資等待遇進卡覆蓋面,拓展社會保障卡在職業培訓、人事考試等領域應用。推進全市惠民惠農財政補貼資金通過社會保障卡發放。貫通實體卡與電子社保卡應用,依托電子社保卡集成人社各類“線上”應用,推進社會保險“線上”繳費,完善養老保險待遇資格“線上”認證,加大醫院門診和住院電子社保卡掃碼支付結算宣傳,推進電子社保卡與“安康碼”互聯互通互認。
三、深入推進信息化項目建設
(一)做好“省集中”建設。按照省廳統一部署,做好智慧就業、社會保險、勞動監察、人事人才、基金財務等“省集中”信息系統推廣實施,配合做好社會保險數據整理、數據上報、需求調研、開發測試、數據轉換、系統切換、風險防控及使用操作等方面工作,提高信息系統建設成效。
(二)完善公共服務平臺建設。繼續拓展網上服務、移動應用、自助終端、12333咨詢服務電話等多渠道便捷服務,整合統一全市人社“線上”服務平臺建設及公共服務應用接口標準,加大信息化協同和數據共享,加強與省政務服務網、皖事通、省人社公共服務平臺等系統對接,積極推進各類業務“網上辦”和“掌上辦”。
(三)加強軟硬件平臺運維。繼續完善社保核心平臺系統,完成電子社保卡掃碼登錄及疫情防控期間各項政策落地系統改造工作。加強數據中心機房規范化管理,做好軟硬件設備和環境設備運維,完善信息化固定資產臺賬,確保各類軟硬件基礎平臺穩定運行。
四、穩步提升公共服務水平
(一)深入推進“互聯網+人社”建設。強化上下聯動,部門協作,落實2020年“互聯網+人社”重點任務計劃。著力完善一體化應用服務建設,探索“大數據”信息資源開發,切實增強基層服務平臺建設,優化服務方式,提升服務效能,努力提升人社公共服務能力。
(二)提升12333電話服務能力。推進12333電話咨詢服務事業發展,舉辦好2020年“全國12333統一咨詢日”活動。推動12333電話咨詢業務購買第三方服務建設,確保綜合接通率達到80%以上。加快12333電話查詢和業務辦理功能建設,探索12333智能服務應用。強化業務政策培訓,充實完善知識庫內容,努力提升12333電話咨詢服務水平。
五、不斷強化網絡安全保障
(一)提高網絡安全意識。進一步提高站位,落實網絡安全主體責任,增強維護網絡安全的責任感和使命感,切實履行“守土有責、守土擔責、守土盡責”的網絡信息安全擔當。加強網絡安全宣傳,定期開展網絡安全相關法律法規集中學習。
(二)提升安全保障能力。完成網絡安全等級保護測評和整改,加快推進縣區業務專網安全等級保護工作。加強數據庫審計和運維管理及網絡安全監測技術手段,做好業務終端準入控制和操作人員權限管理,提高基礎安全防護能力,防范安全事件發生。
(三)完善安全通報機制。建立完善市縣(區)兩級網絡安全通報反饋、應急處置機制,形成“通報、整改、督查、反饋”閉環,上下聯動,共同提高安全應急處置能力。
六、繼續加強網信基礎建設
(一)加強宏觀規劃。對標“十三五”人社網信目標任務,逐一清點落實。謀劃“十四五”期間人社網信工作思路,開展“十四五”人社信息化課題研究。
(二)加強工作宣傳。將宣傳工作放在重要位置抓實抓好,以社會保障卡宣傳工作為重點,把宣傳工作貫穿到卡服務的每個環節,提高群眾的知曉度和認同感。
關鍵詞:證券行業 信息安全 網絡安全體系
近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1 證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3 it治理方面
整個證券業處于高度信息化的背景下,it治理已直接影響到行業各公司實現戰略目標的可能性,良好的it治理有助于增強公司靈活性和創新能力,規避it風險。通過建立it治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理it問題,自我評估it管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lt治理理念引入到我國證券行業,當前我國證券業企業的it治理存在的問題:一是it資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數指標;是lt治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細
追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5 it人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業it隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有it人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的it治理工作指引中“it工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的it隊伍肩負著信息系統安全、平穩、高效運行的重任,it隊伍建設是行業信息安全it作的根本保障。但是,it人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2 采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業it治理工作
2.2.1提高it治理意識
中國證券業協會要進一步加強it治理理念的教育宣傳工作,特別是對會員單位高層領導的it治理培訓,將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的it治理意識,提高他們it治理的積極性。
2.2.2通過設立it治理試點形成以點帶面的示范效應
根據it治理模型的不同特點,建議證券公司在決策層使用cisr模型,通過成立lt治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以cobit模型、itfl模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lt試點單位,進行it治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施it治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的it公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
證券行業要采取切實可行的措施,建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來,加強lt人員的崗位技能培訓和業務培訓,注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念,行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系,對信息技術人員進行科學有效的考評,提升行業人才資源的優化配置和使用效率,促進技術人才結構的涮整和完善。
1網絡防病毒方案
醫院的信息管理需要在網絡的環境下運行,而網絡中現在計算機病毒較為猖獗,醫院的網絡必須具備較強的防病毒能力。在醫院網絡中需要設置專門的病毒防治系統,能有效防止病毒的入侵。防病毒系統主要部署在服務器、PC終端和電子郵件系統中。服務器是整個醫院網絡中最為核心的硬件。如果服務器感染了病毒,會對整個醫院網絡造成非常大的威脅,病毒就很有可能通過服務器對醫院信息管理中的重要用戶信息和診治信息進行竊取或破壞。醫院網絡的PC終端是很多的,不同的終端用戶的安全意識水平不同,技術能力也有很大差別,這樣就會使得PC終端成為病毒最容易感染的設備。如果PC終端發生病毒感染,終端的病毒就會利用網絡向醫院網絡發送病毒植入程序,然后通過植入的病毒程序將系統的重要文件進行破獲或盜取。,醫院網絡的所有的PC終端都需要安裝防病毒軟件。另外,需要設置防病毒軟件的是醫院中的郵件系統。系統的郵件系統主要由兩種:第一種是系統的專網使用的公務郵件系統,在這種郵件系統中需要設置專門的垃圾郵件處理系統和病毒掃描的引擎。另一種是系統的終端用戶自己使用的郵件收發系統,這些郵件系統的收發方式可能是POP3或SMTP。,需要在系統的終端設置防病毒軟件來防止郵件被竊取或惡意篡改。
2終端安全方案
醫院網絡中的終端數量眾多,終端的安全直接關系到系統的安全性。它直接關系系統是否能正常運轉,一個設計良好的終端安全方案不僅能保證終端的安全,還能提高整個系統的安全保障能力。終端安全方案包括很多內容,主要包括終端安全防護、終端審計和終端應用監管等。終端安全防護主要是在終端安裝防火墻和設置文件保護上,控制可能影響終端安全的威脅。終端審計是通過審計手段來分析是否在系統中設置了安全策略和其他安全保障手段,是否得到了有效執行。終端審計在終端安全方案中的作用非常大,它可保證系統的所有的終端始終在系統的有效監管下。終端審計工作是由專人負責的,如果發現終端的安全性不符合安全策略的規定,要對其立即糾正。終端應用監管是對終端用戶的行為進行監控,例如,終端用戶需要進行身份信息的驗證才能登錄系統,將終端的很多可濫用網絡應用的端口進行封閉管理等。
3數據加密方案
醫院網絡的安全性還體現在數據的機密性上,其具體體現在兩個方面。一是信息源的加密。系統中的信息源主要有文字、聲音、圖像等,這些信息源的存儲是通過文件或數據庫的形式實現的,而系統可選擇加密這些文件或數據庫信息,進一步提高系統的數據再存儲方面的安全性。二是信息傳輸通道的加密。在系統中,可設置一個專門用于加密傳輸通道的安全子系統,該系統的作用就是可根據信息傳輸的情況分別的不同的網絡層進行加密,然后專門再對傳輸通道加密,加密的方式可直接加密,也可調用其他的加密API來實現加密。醫院網絡中采用的加密體制包含了對稱密鑰的體制,也包含了基于公鑰的體制,這樣做的主要目的是為了在不同的系統應用中來使用不同的手段來進行加密,這樣以來,不僅能最大限度的保證系統的安全,也在很大程度上提高系統的效率。
4系統授權和訪問機制
醫院的信息一般都是采取集中式管理的,系統就相應的需要采用集中的授權訪問控制模式。該模式下的授權訪問可對用戶的屬性集中管理,然后通過屬性值為用戶發生授權證書。授權中心的業務管理人員具體管理用戶的授權屬性的信息,各個應用系統對用戶的授權和身份證書同時進行驗證,這樣才能確定用戶具備什么權限,從而為具體的用戶進行授權的訪問控制。授權證書中包括用戶的多種屬性信息,這些信息能確定用戶的權限。例如,基于用戶角色、用戶標識、用戶資源級別等訪問控制,而對訪問控制的粒度而言,也是可靈活變化的,從基于IP的控制到對數據庫字段的控制,訪問控制粒度從粗到細,可根據不同的應用系統進行靈活選擇。
5結語
醫院管理系統中的信息直接關系到患者的就診情況和醫院的日常管理。醫院需要一個綜合性的網絡安全解決方案來保障醫院網絡系統的安全。本文從網絡防病毒、終端數據安全、數據加密、系統授權和訪問機制等方面綜合論述了醫院網絡安全解決方案。
作者:蔣戰濤 陳沛 單位:麗水市中心醫院
