網絡系統安全評估范文
時間:2023-09-18 17:58:52
導語:如何才能寫好一篇網絡系統安全評估,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:網絡系統;安全測試;安全評估
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)13-3019-04
1 網絡安全評估技術簡介
當前,隨著網絡技術和信息技術的發展與應用,人們對于網絡的安全性能越來越關注,網絡安全技術已從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻、防、測、控、管、評”等多方面的基礎理論和實施技術。信息安全是一個綜合、交叉學科領域,它要綜合利用數學、物理、通信和計算機諸多學科的長期知識積累和最新發展成果,進行自主創新研究、加強頂層設計,提出系統的、完整的解決方案。
網絡信息系統安全評估的目的是為了讓決策者進行風險處置,即運用綜合的策略來解決風險。信息系統可根據安全評估結果來定義安全需求,最終采用適當的安全控制策略來管理安全風險。
安全評估的結果就是對信息保護系統的某種程度上的確信,開展網絡安全系統評估技術研究,可以對國防軍工制造業數字化網絡系統、國家電子政務信息系統、各類信息安全系統等的規劃、設計、建設、運行等各階段進行系統級的測試評估,找出網絡系統的薄弱環節,發現并修正系統存在的弱點和漏洞,保證網絡系統的安全性,提出安全解決方案。
2 網絡安全評估理論體系和標準規范
2.1 網絡安全評估所要進行的工作是:
通過對實際網絡的半實物仿真,進行測試和安全評估技術的研究,參考國際相關技術標準,建立網絡安全評估模型,歸納安全評估指標,研制可操作性強的信息系統安全評測準則,并形成網絡信息安全的評估標準體系。
2.2 當前在網絡技術上主要的、通用的、主流的信息安全評估標準規范
2.2.1 歐美等西方國家的通用安全標準準則
1) 美國可信計算機安全評價標準(TCSEC)
2) 歐洲網絡安全評價標準(ITSEC)
3) 國際網絡安全通用準則(CC)
2.2.2 我國制定的網絡系統安全評估標準準則
1) 《國家信息技術安全性評估的通用準則》GB/T 18336標準
2) 公安部《信息網絡安全等級管理辦法》
3) BMZ1-2000《信息系統分級保護技術要求》
4) 《GJB 2646-96軍用計算機安全評估準則》
5) 《計算機信息系統安全保護等級劃分準則》等
3 安全評估過程模型
目前比較通用的對網絡信息系統進行安全評估的流程主要包括信息系統的資產(需保護的目標)識別、威脅識別、脆弱性識別、安全措施分析、安全事件影響分析以及綜合風險判定等。
對測評流程基本邏輯模型的構想如圖1所示。
在這個測試評估模型中,主要包括6方面的內容:
1) 系統分析:對信息系統的安全需求進行分析;
2) 識別關鍵資產:根據系統分析的結果識別出系統的重要資產;
3) 識別威脅:識別出系統主要的安全威脅以及威脅的途徑和方式;
4) 識別脆弱性:識別出系統在技術上的缺陷、漏洞、薄弱環節等;
5) 分析影響:分析安全事件對系統可能造成的影響;
6) 風險評估:綜合關鍵資產、威脅因素、脆弱性及控制措施,綜合事件影響,評估系統面臨的風險。
4 網絡系統安全態勢評估
安全態勢評估是進行網絡系統級安全評估的重要環節,合理的安全態勢評估方法可以有效地評定威脅級別不同的安全事件。對系統安全進行評估通常與攻擊給網絡帶來的損失是相對應的,造成的損失越大,說明攻擊越嚴重、網絡安全狀況越差。通過攻擊的損失可以評估攻擊的嚴重程度,從而評估網絡安全狀況。
結合網絡資產安全價值進行評估的具體算法如下:
設SERG為待評估安全事件關聯圖:
定義
IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}
其中,SERG表示安全事件關聯,SERGStatei表示攻擊者獲取的直接資源列表;ASV(a)表示對應資產a的資產安全價值;Ta表示可以接受的威脅閥值;HighImpactSet表示高風險事件集合。
常用的對一個網絡信息系統進行安全態勢評估的算法有如下幾種。
4.1 專家評估法(Delphi法)
專家法也稱專家征詢法(Delphi法),其基本步驟如下:
1) 選擇專家:這是很重要的一步,選的好與不好將直接影響到結果的準確性,一般情況下,應有網絡安全領域中既有實際工作經驗又有較深理論修養的專家10人以上參與評估,專家數目太少時則影響此方法的準確性;
2) 確定出與網絡系統安全相關的m個被評估指標,將這些指標以及統一的權數確定規則發給選定的各位專家,由他們各自獨立地給出自己所認為的對每一個指標的安全態勢評價(Xi)以及每一個評價指標在網絡系統整體安全態勢評估中所占有的比重權值(Wi);
3) 回收專家們的評估結果并計算各安全態勢指標及指標權數的均值和標準差:
計算估計值和平均估計值的偏差
4) 將計算結果及補充材料返還給各位專家,要求所有的專家在新的基礎上重新確定各指標安全態勢及所占有的安全評價權重;
5) 重復上面兩步,直至各指標權數與其均值的離差不超過預先給定的標準為止,也就是各專家的意見基本趨于一致,以此時對該指標的安全評價作為系統最終安全評價,并以此時各指標權數的均值作為該指標的權數。
歸納起來,專家法評估的核心思想就是采用匿名的方式,收集和征詢該領域專家們的意見,將其答復作統計分析,再將分析結果反饋給領域專家,同時進一步就同一問題再次征詢專家意見,如此反復多輪,使專家們的意見逐漸集中到某個有限的范圍內,然后將此結果用中位數和四分位數來表示。對各個征詢意見做統計分析和綜合歸納時,如果發現專家的評價意見離散度太大,很難取得一致意見時,可以再進行幾輪征詢,然后再按照上述方法進行統計分析,直至取得較為一致的意見為止。該方法適用于各種評價指標之間相互獨立的場合,各指標對綜合評價值的貢獻彼此沒有什么影響。若評價指標之間不互相獨立,專家們比較分析的結果必然導致信息的重復,就難以得到符合客觀實際的綜合評價值。
4.2 基于“熵”的網絡系統安全態勢評估
網絡安全性能評價指標選取后,用一定的方法對其進行量化,即可得到對網絡系統的安全性度量,而可把網絡系統受攻擊前后的安全性差值作為攻擊效果的一個測度??紤]到進行網絡攻擊效果評估時,我們關心的只是網絡系統遭受攻擊前后安全性能的變化,借鑒信息論中“熵”的概念,可以提出評價網絡性能的“網絡熵”理論?!熬W絡熵”是對網絡安全性能的一種描述,“網絡熵”值越小,表明該網絡系統的安全性越好。對于網絡系統的某一項性能指標來說,其熵值可以定義為:
Hi=-log2Vi
式中:Vi指網絡第i項指標的歸一化參數。
網絡信息系統受到攻擊后,其安全功能下降,系統穩定性變差,這些變化必然在某些網絡性能指標上有所體現,相應的網絡熵值也應該有所變化。因此,可以用攻擊前后網絡熵值的變化量對攻擊效果進行描述。
網絡熵的計算應該綜合考慮影響網絡安全性能的各項指標,其值為各單項指標熵的加權和:
式中:n-影響網絡性能的指標個數;
?Ai-第i項指標的權重;
Hi第i項指標的網絡熵。
在如何設定各網絡單項指標的權重以逼真地反映其對整個網絡熵的貢獻時,設定的普遍通用的原則是根據網絡防護的目的和網絡服務的類型確定?Ai的值,在實際應用中,?Ai值可以通過對各項指標建立判斷矩陣,采用層次分析法逐層計算得出。一般而言,對網絡熵的設定時主要考慮以下三項指標的網絡熵:
1) 網絡吞吐量:單位時間內網絡結點之間成功傳送的無差錯的數據量;
2) 網絡響應時間:網絡服務請求和響應該請求之間的時間間隔;
3) 網絡延遲抖動:指平均延遲變化的時間量。
設網絡攻擊發生前,系統各指標的網絡熵為H攻擊發生后,系統各指標的網絡熵為 ,則網絡攻擊的效果可以表示為:
EH=H'-H
則有:
利用上式,僅需測得攻擊前后網絡的各項性能指標參數(Vi,Vi'),并設定好各指標的權重(?Ai),即可計算出網絡系統性能的損失,評估網絡系統受攻擊后的結果。EH是對網絡攻擊效果的定量描述,其值越大,表明網絡遭受攻擊后安全性能下降的越厲害,也就是說網絡安全性能越差。
國際標準中較為通用的根據EH值對網絡安全性能進行評估的參考標準值如表1所示。
4.3模糊綜合評判法
模糊綜合評判法也是常用的一種對網絡系統的安全態勢進行綜合評判的方法,它是根據模糊數學的基本理論,先選定被評估網絡系統的各評估指標域,而后利用模糊關系合成原理,通過構造等級模糊子集把反映被評事物的模糊指標進行量化(即確定隸屬度),然后利用模糊變換原理對各指標進行綜合。
模糊綜合評判法一般按以下程序進行:
1) 確定評價對象的因素論域U
U={u1,u2,…,un}
也就是首先確定被評估網絡系統的n個網絡安全領域的評價指標。
這一步主要是確定評價指標體系,解決從哪些方面和用哪些因素來評價客觀對象的問題。
2) 確定評語等級論域V
V={v1,v2,…,vm}
也就是對確定的各個評價指標的等級評定程度,即等級集合,每一個等級可對應一個模糊子集。正是由于這一論域的確定,才使得模糊綜合評價得到一個模糊評判向量,被評價對象對評語等級隸屬度的信息通過這個模糊向量表示出來,體現出評判的模糊性。
從技術處理的角度來看,評語等級數m通常取3≤m≤7,若m過大會超過人的語義能力,不易判斷對象的等級歸屬;若m過小又可能不符合模糊綜合評判的質量要求,故其取值以適中為宜。 取奇數的情況較多,因為這樣可以有一個中間等級,便于判斷被評事物的等級歸屬,具體等級可以依據評價內容用適當的語言描述,比如評價數據管理制度,可取V={號,較好,一般,較差,差};評價防黑客入侵設施,可取V={強,中,弱}等。
3) 進行單因素評價,建立模糊關系矩陣R
在構造了等級模糊子集后,就要逐個對各被評價指標ui確定其對各等級模糊子集vi的隸屬程度。這樣,可得到一個ui與vi間的模糊關系數據矩陣:
R=|r21r22…r2m|
式中:
rij表示U中因素ui對應V中等級vi的隸屬關系,即因素ui隸屬于vi的等級程度。
4) 確定評判因素的模糊權向量集
一般說來,所確定的網絡安全的n個評價指標對于網絡整體的安全態勢評估作用是不同的,各方面因素的表現在整體中所占的比重是不同的。
因此,定義了一個所謂模糊權向量集A的概念,該要素權向量集就是反映被評價指標的各因素相對于整體評價指標的重要程度。權向量的確定與其他評估方法相同,可采用層次分析等方法獲得。權向量集A可表示為:
A=(a1,a2,…,an)
并滿足如下關系:
5) 將A與R合成,得到被評估網絡系統的模糊綜合評判向量B
B=A?R
B=A?R= (a1,a2,…,an) |r21r22…r2m|
式中:
rij表示的是模糊關系數據矩陣R經過與模糊權向量集A矩陣運算后,得到的修正關系向量。
這樣做的意義在于使用模糊權向量集A矩陣來對關系隸屬矩陣R進行修正,使得到的綜合評判向量更為客觀準確。
6) 對模糊綜合評判結果B的歸一化處理
根據上一步的計算,得到了對網絡各安全評價指標的評判結果向量集B=(b1,b2,…,bn)
由于對每個評價指標的評判結果都是一個模糊向量,不便于各評價指標間的排序評優,因而還需要進一步的分析處理。
對模糊綜合評判結果向量 進行歸一化處理:
bj'=bj/n
從而得到各安全評價指標的歸一化向量,從而對各歸一化向量進行相應。
5 結束語
本論文首先介紹了網絡安全評估技術的基本知識,然后對安全評估模型進行了分析計算,闡述了網絡安全技術措施的有效性;最后對網絡安全態勢的評估給出了具體的算法和公式。通過本文的技術研究,基本上對網絡信息系統的安全評估技術有了初步的了解,下一步還將對安全評估的風險、安全評估中相關聯的各項因素進行研究。
參考文獻:
[1] 逮昭義.計算機通信網信息量理論[M].北京:電子工業出版社,1997:57-58.
[2] 張義榮.計算機網絡攻擊效果評估技術研究[J].國防科技大學學報,2002(5).
篇2
關鍵詞:企業信息系統安全
引言
信息系統安全是指信息系統包含的所有硬件、軟件和數據受到保護,不因偶然和惡意的原因而遭到破壞、更改和泄漏,信息系統連續正常運行。
信息系統本身存在著來自人文環境、技術環境和物理自然環境的安全風險,其安全威脅無時無處不在。對于大型企業信息系統的安全問題而言,不可能試圖單憑利用一些集成了信息安全技術的安全產品來解決,而必須考慮技術、管理和制度的因素,全方位地、綜合解決系統安全問題,建立企業的信息系統安全保障體系。
1 企業管理信息系統安全存在的普遍問題分析
隨著信息科技的發展,計算機技術越來越普遍地被應用于企業,而企業的信息系統普遍都經歷了由點及面,由弱漸強的發展過程,并在企業內形成了較為系統的信息一體化應用。隨著企業信息系統建設的全面開展以及各種業務系統的逐步深入,企業的經營管理等對信息系統的依賴也越來越強,甚至成了企業生存發展的基礎和保證。因此企業信息系統的安全可靠性越來越重要,信息系統安全成為企業迫切需要解決的問題。因為信息專業人員面對的是一個復雜多變的系統環境,如:設備分布物理范圍大,設備種類繁多;大部分終用戶信息安全意識貧乏;系統管理員對用戶的行為缺乏有效的監管手段;少數用戶惡意或非惡意濫用系統資源;基于系統性的缺陷或漏洞無法避免;各種計算機病毒層出不窮等等,一系列的問題都嚴重威脅著信息系統的安全。因此,如何構建完善的信息系統安全防范體系,以保障企業信息系統的安全運行成為企業信息化建設過程中發展必須面對并急需解決的課題。
2 企業信息安全解決方案的模型分析
2.1 從關于對信息系統安全的幾個認識上的問題:
2.1.1 解決信息系統的安全問題要有系統的觀念。解決信息系統的安全問題必須是系統性的不能指望只從任何一方面來解決。從系統的角度來看信息系統由計算機系統和用戶組成,因此信息系統安全包括人和技術的因素;
2.1.2 信息系統的安全問題是動態的、變化的;
2.1.3 信息系統的安全的相對的;
2.1.4 信息安全是一項目長期的工作,需制定長效的機制來保障,不能期望一勞永逸。
2.2 近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
2.2.1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2.2.2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
2.2.3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
2.2.4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
2.2.5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
3 信息安全管理中管理因素的應用
在安全保障體系中,“風險評估+安全策略”體現了管理因素
3.1 為保障企業信息系統的安全,企業必須成立專門的信息系統安全管理組織。由企業主要領導負責,通過信息安全領導小組對企業的信息安全實行總體規劃及管理。具體的實施由企業的信息主管部門負責。
3.2 企業應該出臺關于保證信息系統安全管理標準。標準中應該規定信息系統各類型用戶的權限和職責、用戶在操作系統過程中必須遵守的規范、信息安全事件的報告和處理流程、信息保密;系統的帳號和密碼管理、信息安全工作檢查與評估、數據的管理、中心機房管理等信息安全的相關的標準,而且在系統運行管理過程中應該根根據發展的需要不斷地補充及完善。
3.3 積極開展信息風險評估工作。定期對系統進行安全評估工作,主動發現系統的安全問題。
3.3.1 信息網的網絡基礎設施(拓撲、網絡設備、安全設備等)
3.3.2 信息網網絡中的關鍵主機、應用系統及安全管理
3.3.3 當前的威脅形勢和控制措施。
通過對企業信息網內支撐主要應用系統的IT資產進行調查,對存在的技術和管理弱點進行識別,全面評估企業的信息安全現狀,得出企業當前的全面風險視圖,為下一步的安全建設提供參考和指導方向。為企業信息安全建設打下了扎實的基礎。
3.4 加強信息系統(設備)的運維管理,包括如下幾方面的措施:
3.4.1 建立完善的設備、系統的電子臺帳,包括設備的軟、硬件配置以及其它相關的技術文檔;
3.4.2 規范系統管理的日常各項工作,包括設備安裝、系統安裝以及各項操作都進行閉環管理;
3.4.3 建立完善的工作日志,日常的各項操作、系統運行等都必須有記錄;
3.4.4 規范普通用戶的行為,只分配給各種用戶足夠應用需要的資源、權限。
4 信息安全管理系統技術應用
在安全保障體系中,“防御體系+實時檢測+數據恢復” 體現了技術因素。在信息安全保障體系統建設過程中,需從多個方面,多個角度綜合考慮。采用了分步實施,逐步實現的方法。結合多年來在信息安全方面采取的技術手段覺得可以采取的技術手段如下:
4.1 關鍵的系統采取冗余的配置,以提高系統的安全性。如對核心交換機、中心數據庫系統、數據中心的存儲系統、關鍵應用系統的服務器,可以采取雙機甚至群集的配置以避免重要系統的單點故障。加強對網絡系統的管理。網絡系統是企業信息系統安全的最核心內容之一,也是影響系統安全因素最多的,很多系統安全的風險都首先是由于網絡系統的不安全引起的。在此重點談一下在網絡安全方面需采取的技術手段。
4.1.1 加強網絡的接入管理。這是網絡安全的最基礎工作,與公用網絡系統不同,企業的網絡系統是企業專有的網絡,系統只允許規定的用戶接入,因此必須實現接入管理。在實際的工作中采取邊緣認證的方式。在筆者的實際工作中是通過對所在公司的網絡系統進行改造后實現了支持基于MAC地址或802.1X兩種方式的安全認證,實現企業內網絡系統的安全接入管理。使所有的工作站設備從網絡端口接入網絡系統時必須經過安全認證,從而保證只有授權的、登記在冊的設備才能接入企業的網絡系統以保證系統的安全。
4.1.2 利用VLAN技術根據物理分布及應用情況適當劃分系統子網。這樣有多方面的好處:首先對網絡廣播流量進行了隔離,避免人為或系統故障引起的網絡風暴影響整個系統;其次是提高系統的可管理性。通過子網的劃分可以實現對不同的子網采取不同的安全策略、將故障定位在更小的范圍內等;再次是可以根據應用的需要實現某些應用系統的相對隔離。
4.1.3 加強對網絡出口的管理。如在企業內部網絡與Internet(或其它不可信任的網絡)連接的邊界架設防火墻作安全網關,并制定了安全的訪問策略;架設了防病毒網關,盡可能將計算機病毒堵在企業內部網絡之外。
4.1.4 采用網絡運維管理網管平臺,實現對企業網絡系統監控、IP地址與服務分布查詢定位、網絡數據流異動報警功能。
4.1.5 在系統上部署網絡入侵和安全審計系統,如采用旁路方式接入網絡,對網絡內部和外部的用戶活動進行監控,偵察系統中存在的現有和潛在的安全威脅,對與安全有關的活動信息進行識別、記錄、存儲和分析。
4.2 通過桌面管理系統等實現對企業的PC等以及終端用戶的行為進行集中的管理。數據表明企業的系統安全事件大部分來自于企業內部網絡。如何實現對內部用戶的有效管理,防止用戶有意或無意的濫用系統資源而對整個信息系統造成危害是企業系統信息系統安全需解決的重要問題。根據筆者的經驗在邊緣認證系統的支持下對PC等設備進行集中的監控和管理、對用戶行為能有效管理、跟蹤是最有效的方法。而桌面管理系統能幫助系統管理人員實現這些目標。通過該系統對企業的IT資源進行動態的跟蹤收集,動態生成最新的IT資源清單;對設備異動進行報告。實現硬件、軟件資源的遠程維護及管理。主動的基于系統的安全漏洞的掃描功能。實現快速的系統安全評估及系統補丁的自動分發,提高IT資源的有效使用率。
4.3 選擇合適的防病毒產品,部署安全而有適用的防病毒系統。計算機病毒近年來是威脅信息系統安全的重要因素,層出不窮的計算機病毒嚴重威脅著企業的信息系統。根據應用的不同選擇合適的防病毒產品來部署企業的防病毒系統是非常重要的。根據筆者的經驗可以根據應用系統的安全等級要求不同可以采取多種防病毒產品、對不同的應用系統采取不同的查、殺、攔截策略。如對服務器、重要的系統就應當采取以保護系統的數據安全、系統運行的穩定性為前提的病毒防護策略,而對PC等終端設備則要采取以不能因它而威脅整個系統安全為原則的病毒防護策略;相反一臺工作站的連續運行能力就不是要重點考慮的,如最好能實現PC等工作站的防病毒產中是否安全使用與邊緣認證結合起來,不安全的工作站不能接入系統從而保證系的安全。
篇3
【關鍵詞】OA系統 安全評估 安全策略
信息化建設作為國家戰略發展的重要內容,保障信息安全是發揮網絡系統優勢的必然條件。OA系統作為協同辦公平臺,承擔著系統內部信息流的互聯互通,而加強對網絡系統安全體系的評估是制定安全保障策略的重中之重。
1 OA系統組成及防護設計
從當前互聯網發展現狀來看,OA系統已經不再局限于某地的協同辦公網絡,而是基于不同地域下,從企業及下屬各機構之間的全局化管理需求上,搭建滿足日常辦公、業務處理、事務管理等活動的,涵蓋公文收發、文件查詢、簽報處理、會議管理等在內的多元化信息交互平臺,從而實現企業辦公無紙化、信息化、網絡化目標。如圖1所示。
從圖1所示的OA系統結構來看,主要有基礎層、數據庫層、業務邏輯層、表示層等四部分組成,并通過各級接口單元來實現不同用戶、不用業務的互聯互通。
從OA系統管理來看,安全性是運行的關鍵,而加強對OA系統數據的安全防范,主要從防范破壞、竊聽、篡改、偽造等方面,來構建多層級安全防護體系。依據木桶原理,一個應用系統的安全等級是由最低的短板來決定,同樣,對于OA系統安全來說,如果存在某一弱項,就會降低系統的整體安全性。為此,在設計OA系統安全防護時,要統籌考慮,要將物理安全、主機安全、應用安排進行綜合,來共同制定完善的安全管理保障體系。如在物理安全防護上,要對OA系統內的各類網絡硬件設備與其他媒介設施進行有效隔離,減少和降低可能存在的安全風險。利用網絡防火墻、網絡病毒監測數據庫、網絡入侵系統等設備來實現有效監控;在對主機系統進行防護上,通過設置漏洞掃描系統等保障其安全性;在對應用系統進行安全防護時,利用證書管理系統來通過證書管理、授權管理等實現安全保障。
2 OA系統安排評估及保障策略構建
提升OA系統的安全防護等級,必然需要從OA系統安全評估中來構建防范策略。隨著OA系統應用的不斷拓展,面對安全防護體系建設要求也越來越高,各類防范安全攻擊手段也不斷增強。作為一種動態的防護保障體系,通常需要經歷安全策略制定、安全風險評估、系統配置調整和應急預案編制、應急響應和系統數據恢復等流程。
2.1 制定安全策略
安全策略的制定是保障OA系統的基礎,也是首項任務。從不同OA系統管理安全目標來說,在制定安全策略上,要確保安全設備、主機設備、服務器系統的連續性和可擴展性。
2.2 做好安全風險評估
風險評估是制定安全策略的前提,也是圍繞可能存在的安全威脅,對可能存在的網絡攻擊行為、網絡安全漏洞等進行專門防范的基礎。隨著OA系統功能的不斷拓展,面臨的安全風險也更加多樣。因此需要從安全風險評估中通過技術手段來進行安全檢測。具體評估方法有兩種。一種是對單一安全因素進行評估。如對于網絡設備、服務器、安全設備、計算機本身進行安全性評估,并從網絡設備的使用數量、型號、性能等信息上進行合理部署和優化,利用操作系統安裝相應的安全軟件,并從補丁庫、漏洞庫及時更新上來做好各項風險源的檢測和控制。針對網絡上流行的病毒、木馬等惡意代碼,可以通過定期升級、備份來進行防范。另一種是整體安全評估,通過綜合性安全防范分析軟件,從系統安全性等級、系統安全趨勢分析、系統安全缺陷等方面進行綜合評估,并發現和鎖定可能風險源,為下一步構建安全防護體系提供參考。
2.3 優化安全配置數據
通過安全評估,針對可能存在的安全隱患,需要從具體的安全策略制定上來加以優化,來改進系統安全等級。如對于某類風險源,利用設置防范參數來進行過濾和截獲。同時,針對病毒庫、事件庫、安全補丁更新問題,可以從自動升級、人工升級模式設置上來優化;對于各類網絡共享端口,通過設置安全口令來進行授權管理;對于系統服務器及其他安全設備,不必要的端口要進行關閉。
2.4 制定安全應急預案
應急預案是在可能存在的安全攻擊或自然災害時所采取的系統化解決防范思路和方法。如對于常見的網絡攻擊行為,通過應急預案來進行處置,來減少和避免損失,提升網絡管理系統安全性。以某意外斷電為例,在應急措施編制上,應該對主機系統進行有序斷電,在UPS電池耗盡前完成服務器、存儲設備、網絡設備等系統的關閉;在電力恢復時,應該遵循打開總開關、啟動UPS,逐次打開分支開關,啟動核心路由器、交換機和網絡安全設備,再依次打開各個服務器,對各服務器工作狀態進行檢查,確保正常啟動相應服務。
2.5 應急響應及數據恢復
應急響應是對存在的安全風險及事件進行響應的過程,通常在發生網絡異?;蚋婢瘯r,需要對根據預案來進行應急處置。如對于某次網絡病毒攻擊事件,在應急預案設計上,應該遵循六點:
(1)首先對被感染計算機進行網絡隔離;
(2)對該系統硬盤數據進行備份;
(3)判嗖《糾嘈汀⑽:Γ涉及到那些網絡端口,并啟動殺毒軟件對該計算機系統進行全面殺毒處理;
(4)為保障安全,需要對其他服務器系統進行病毒掃描和清除;
(5)對于殺毒軟件無法清除的病毒應立即報告,并聯系廠商協助解決,針對事態危重問題,要告知相關部門給予協同處理,并病毒語境;
(6)清除完病毒后,重新啟動計算機并接入網絡系統。應急恢復是在完成安全防范事件后,對原有系統進行啟動,并將系統恢復至正常狀態。
3 結語
OA系統安全評估及策略的制定,重點在于對可能存在的應急風險進行預案設計和應急響應,并從異常事件處置中總結經驗,優化安全策略,確保OA系統處于良好運行狀態。
參考文獻
[1]陳建新,王金玉,陳禹,程渙青,胡韜.OA網絡信息系統的頂層設計方略[J].辦公自動化,2014(10).
[2]陳燕,魏鵬飛.辦公自動化系統安全控制策略[J].技術與市場,2016(06).
篇4
【關鍵詞】內網建設 疾控中心 信息安全
隨著計算機技術的快速發展,信息網絡系統在疾控系統中得到良好應用,為疾控系統的發展提供了良好的外部展示和溝通平臺,提高了工作效率,奠定了疾控現代化的基礎。計算機技術在給人帶來便利的同時也存在不少隱患,計算機硬件故障、網絡癱瘓、網絡運行故障等都為網絡帶來了巨大的風險,同時由于互聯網的開放性、自由性、國際性等特點,一旦出現數據丟失、數據破壞等現象,就會帶來不可估量的損失。因此,要推進內網安全保障體系建設并將其更好地應用于疾控系統中就需要有效實施內網建設和為信息化安全技術提供安全保障。
1 網絡系統安全技術的風險分析
1.1 技術風險
技術風險是指在網絡運行安全方面的風險,主要包括網絡結構風險、操作系統風險、應用安全風險和管理安全風險。目前疾控系統中存在著網絡建設體系不完善、拓撲結構搭建不合理、關鍵設備未考慮冗余、機密電腦直接與因特網連接、網絡資源配置不科學合理、未將網絡系統按應用劃分不同網段、硬件設備使用維護不當、操作系統本身存在的漏洞、業務軟件不夠完善存在重大缺陷或漏洞、技術人員綜合素質較低等問題,使信息安全得不到應有的保障。其中,網絡安全風險主要表現在非授權訪問、冒充合法用戶、數據完整性被破壞、系統正常運行擾、病毒與惡意攻擊、線路被竊聽等方面。由于疾控中心網絡需要與Internet連接以進行業務活動,在信息共享的同時也存在被攻擊的危險。Internet的基本協議時TCP/IP協議,該協議強調開放性和便利性,存在安全隱患,TCP協議運用三次握手建立連接,其中第三次握手報文僅僅只是應答,攻擊者可以通過監聽前兩次響應方報文,再假冒連接方發送報文,得到響應方響應后再假冒響應方向連接方發送響應方發硬報文,如此一來,攻擊者便可借此插入有害數據,對網絡安全造成極大破壞。
2 內網信息安全保障體系建設探討
2.1 服務器方面的安全策略
服務器必須安置在標準化機房中,機房應采取雙路供電,有條件可配備監控管理系統以便于對電量、電壓、溫度、濕度等環境信息和進出人員進行實時監控,及時掌控相關信息以備不時之需,同時要定期對機房環境進行評估,評估標準包括溫度、濕度、噪音控制、電磁強度、防塵埃、防雷與接地、防火、防盜等,防患于未然。對于服務器本身也需要樹立評估制度并定期進行安全評估,對服務器的評估內容應包括硬件和操作系統的定期檢測和升級,對于不必要的服務和端口可禁用、殺毒軟件狀況和病毒庫版本、定期查看系統日志等。對于服務器中的數據要進行多次備份,包括但不限于多介質備份、異地備份等,從而為數據安全提供保障。
2.2 網絡設備方面的安全策略
根據設備的重要程度定期對網絡設備硬件進行檢查和維護,軟件需要定期進行升級,重要網絡配置需要定期進行備份,對網絡拓撲圖、各信息接入點位置等重要信息做好記錄,以保證在出現故障時快速定位以排除故障。要對整個網絡的運行情況進行實時監測,根據制定的規則跟蹤記錄網絡活動,定期對各活動記錄進行查詢和分析,檢查是否存在非法利用網絡資源、網絡資源配置不合理、泄密、信息系統破壞等安全問題,及時解決問題以保障網絡信息安全性。
2.3 終端用戶方面的安全策略
信息網絡系統管理的重點之一是終端用戶,由于工作人員個人操作水平、設備配置等各方面情況不一,因此需要對用戶配置固定IP地址,根據業務內容和范圍劃分不同網絡時段并分配相應的網絡訪問權限,所有用戶必須登記在案,新用戶需要在提交申請通過后才能獲得網絡訪問權限,定期對工作人員展開技術和安全培訓,提高工作人員技術水平和安全意識,進一步確保信息網絡安全性。
2.4 業務系統方面的安全策略
業務系統的安全策略應以系統級安全、程序資源訪問控制、功能性安全和數據域安全四個方面為切入點,制定業務系統管理和使用辦法。由于疾控中心涉及業務種類繁雜,各部門工作職能和職責范圍不盡相同,因此系統管理員要根據具體的崗位和職責分配權限,該權限只能用于相應的模塊和功能。所有應用軟件必須通過相應的軟件測試,對軟件認證部分的數據進行加密,軟件投入使用后定期使用殺毒軟件進行檢查,例如金山、瑞星、卡巴斯基等,及時發現軟件漏洞并進行更新,同時對軟件使用者信息進行檢測,記錄軟件使用者的具體信息,保留使用痕跡。同時應用防火墻和入侵檢測系統,安裝在內部受保護的網絡連接到外部Internet節點上,從內部網或者互聯網上進行的活動,比如文件傳輸、收發電子郵件、搜索等必須通過防火墻,過濾經過的數據信息的攻擊行為,避免各類攻擊行為通過互聯網活動到達目標設備。
2.5 內外網物理隔開
根據國家保密局頒布的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條規定,為了保證內部網不會受到來自外部公共網絡的惡意攻擊,內部網與公共網必須實行物理隔離。物理隔離技術的工作原理是明確定義正常業務傳輸和交換的合法數據,將合法數據列入“白名單”,在兩方網絡邊界僅允許“白名單”上的數據通過,未列入“白名單”的數據無法通過。這一機制可通過專用硬件固化形成專門的物理隔離裝置,改善傳統物理隔離技術的被動性,從消極仿佛變為主動防御。
3 結束語
信息系統安全工作貫是疾控系統現代化建設的重要內容,任重而道遠,需要給予足夠的重視,時刻關注各類新技術發展情況并不斷學習,完善各項管理制度以更好地應對隨著新技術的發展而涌現出的新的安全隱患,以將內網建設更好地運用于集控系統中。
參考文獻
[1]周瑩,王磊,聶武等.內網建設信息安全的保障及在疾控系統中的應用[J].中國工業醫學雜志,2012,02:157-158.
[2]丁焰.內網信息安全保障體系建設探討[J].硅谷,2013,16:129+121.
[3]張靳冬,錢建東,潘明珠.疾控中心信息網絡系統安全建設策略探討[J].現代預防醫學,2013,16:3054-3055+3058.
篇5
在社會經濟和科技的不斷發展下,我國社會進入到計算機網絡信息時代。計算機網絡信息系統以其自身強大的信息功能得到了人們的青睞。但在人們對計算機網絡信息應用增多的情況下也出現了一些計算機網絡信息安全問題。本文根據計算機網絡信息安全體系結構特點,針對現階段計算機網絡信息安全存在的風險問題,為如何構建計算機網絡信息安全體系結構進行策略研究。
關鍵詞:
計算機網絡信息;信息安全;安全體系結構;構建
0引言
如今世界發展步入了信息化時代,網絡信息系統在國家的各個領域中得到了普遍應用,人們的生活生產充分認識到了計算機網絡信息的重要性,很多企業組織發展加強了對信息的依賴。但在計算機網絡信息類型增多和人們使用需求提升以及計算機網絡系統自身存在的風險,計算機網絡信息系統安全管理成為有關人員關注的重點。為了避免計算機使用用戶信息泄露、信息資源的應用浪費、計算機信息系統軟硬件故障對信息準確性的不利影響,需要有關人員構建有效的計算機網絡信息安全結構體系,通過該結構體系的構建保證計算機網絡信息系統運行的安全。
1計算機網絡信息系統安全概述
1.1計算機網絡信息系統安全內涵和發展目標
計算機網絡信息系統安全是指計算機信息系統結構安全,計算機信息系統有關元素的安全,以及計算機信息系統有關安全技術、安全服務以及安全管理的總和。計算機網絡信息系統安全從系統應用和控制角度上看,主要是指信息的存儲、處理、傳輸過程中體現其機密性、完整性、可用性的系統辨識、控制、策略以及過程。計算機網絡信息系統安全管理的目標是實現信息在安全環境中的運行。實現這一目標需要可靠操作技術的支持、相關的操作規范、計算機網絡系統、計算機數據系統等。
1.2計算機網絡信息系統安全體系結構概述
在計算機網絡技術的不斷發展下,基于經典模型的計算機網絡信息安全體系結構不再適用,為了研究解決多個平臺計算機網絡安全服務和安全機制問題,在1989年的時候有關人員提出了開放性的計算機網絡信息安全全體系結構標準,確定了計算機三維框架網絡安全體系結構。
2計算機網絡信息安全體系結構特點
2.1保密性和完整性特點
計算機網絡信息的重要特征是保密性和完整性,能夠保證計算機網絡信息應用的安全。保密性主要是指保證計算機網絡系統在應用的過程中機密信息不泄露給非法用戶。完整性是指計算機信息網絡在運營的過程中信息不能被隨意篡改。
2.2真實性和可靠性特點
真實性主要是指計算機網絡信息用戶身份的真實,從而避免計算機網絡信息應用中冒名頂替制造虛假信息現象的出現??煽啃允侵赣嬎銠C信息網絡系統在規定的時間內完成指定任務。
2.3可控性和占有性特點
可控性是指計算機網絡信息全系統對網絡信息傳播和運行的控制能力,能夠杜絕不良信息對計算機網絡信息系統的影響。占有性是指經過授權的用戶擁有享受網絡信息服務的權利。
3計算機網絡信息安全體系存在的風險
3.1物理安全風險
計算機網絡信息物理安全風險包含物理層中可能導致計算機網絡系統平臺內部數據受損的物理因素,主要包括由于自然災害帶來的意外事故造成的計算機系統破壞、電源故障導致的計算機設備損壞和數據丟失、設備失竊帶來的計算機數據丟失、電磁輻射帶來的計算機信息數據丟失等。
3.2網絡系統安全風險
計算機信息網絡系統安全風險包括計算機數據鏈路層和計算機網絡層中能夠導致計算機系統平臺或者內部數據信息丟失、損壞的因素。網絡系統安全風險包括網絡信息傳輸的安全風險、網絡邊界的安全風險、網絡出現的病毒安全風險、黑客攻擊安全風險。
3.3系統應用安全風險
計算機信息網絡系統的應用安全風險包括系統應用層中能夠導致系統平臺和內部數據損壞的因素,包括用戶的非法訪問、數據存儲安全問題、信息輸出問題、系統安全預警機制不完善、審計跟蹤問題。
4計算機網絡信息安全體系結構構建分析
4.1計算機網絡信息安全體系結構
計算機網絡信息安全結構是一個動態化概念,具體結構不僅體現在保證計算機信息的完整、安全、真實、保密等,而且還需要有關操作人員在應用的過程中積極轉變思維,根據不同的安全保護因素加快構建一個更科學、有效、嚴謹的綜合性計算機網絡信息安全保護屏障,具體的計算機網絡信息安全體系結構模式需要包括以下幾個環節:(1)預警預警機制在計算機網絡信息安全體系結構中具有重要的意義,也是實施網絡信息安全體系的重要依據,在對整個計算機網絡環境、網絡安全進行分析和判斷之后為計算機信息系統安全保護體系提供更為精確的預測和評估。(2)保護保護是提升計算機網絡安全性能,減少惡意入侵計算機系統的重要防御手段,主要是指經過建立一種機制來對計算機網絡系統的安全設置進行檢查,及時發展系統自身的漏洞并予以及時彌補。(3)檢測檢測是及時發現入侵計算機信息系統行為的重要手段,主要是指通過對計算機網絡信息安全系統實施隱蔽技術,從而減少入侵者發現計算機系統防護措施并進行破壞系統的一種主動性反擊行為。檢測能夠為計算機信息安全系統的響應提供有效的時間,在操作應用的過程中減少不必要的損失。檢測能夠和計算機系統的防火墻進行聯動作用,從而形成一個整體性的策略,設立相應的計算機信息系統安全監控中心,及時掌握計算機信息系統的安全運行情況。(4)響應如果計算機網絡信息安全體系結構出現入侵行為,需要有關人員對計算機網絡進行凍結處理,切斷黑客的入侵途徑,并做出相應的防入侵措施。(5)恢復三維框架網絡安全體系結構中的恢復是指在計算機系統遇到黑客供給和入侵威脅之后,對被攻擊和損壞的數據進行恢復的過程?;謴偷膶崿F需要三維框架網絡安全體系結構體系對計算機網絡文件和數據信息資源進行備份處理。(6)反擊三維框架網絡安全體系結構中的反擊是技術性能高的一種模塊,主要反擊行為是標記跟蹤,即對黑客進行標記,之后應用偵查系統分析黑客的入侵方式,尋找黑客的地址。
4.2基于三維框架網絡安全體系結構計算機安全統平臺的構建
(1)硬件密碼處理安全平臺該平臺的構建面向整個計算機業務網絡,具有標準規范的API接口,通過該接口能夠讓整個計算機系統網絡所需的身份認證、信息資料保密、信息資料完整、密鑰管理等具有相應的規范標準。(2)網絡級安全平臺該平臺需要解決計算機網絡信息系統互聯、撥號網絡用戶身份認證、數據傳輸、信息傳輸通道的安全保密、網絡入侵檢測、系統預警系統等問題。在各個業務進行互聯的時候需要應用硬件防火墻實現隔閡處理。在計算機網絡層需要應用SVPN技術建立系統安全虛擬加密隧道,從而保證計算機系統重要信息傳輸的安全可靠。(3)應用安全平臺該平臺的構建需要從兩個方面實現:第一,應用計算機網絡自身的安全機制進行應用安全平臺的構建。第二,應用通用的安全應用平臺實現對計算機網絡上各種應用系統信息的安全防護。(4)安全管理平臺該平臺能夠根據計算機網絡自身應用情況采用單獨的安全管理中心、多個安全管理中心模式。該平臺的主要功能是實現對計算機系統密鑰管理、完善計算機系統安全設備的管理配置、加強對計算機系統運行狀態的監督控制等。(5)安全測評認證中心安全測評認證中心是大型計算機信息網絡系統必須要建立的。安全測評認證中心的主要功能是通過建立完善的網絡風險評估分析系統,及時發現計算機網絡中可能存在的系統安全漏洞,針對漏洞指定計算機系統安全管理方案、安全策略。
4.3計算機網絡信息安全體系的實現分析
(1)計算機信息安全體系結構在攻擊中的防護措施如果計算機網絡信息受到了病毒或者非法入侵,計算機網絡信息安全體系結構則是能夠及時組織病毒或者非法入侵進入電腦系統。三維框架網絡安全體系結構在對計算機網絡信息系統進行綜合分析的過程中,能夠對攻擊行為進行全面的分析,及時感知到計算機系統存在的安全隱患。(2)計算機信息安全體系結構在攻擊之前的防護措施計算機網絡信息支持下各種文件的使用也存在差異,越高使用頻率的文件就越容易得到黑客的攻擊。為此,需要在文件被攻擊之前做好計算機網絡信息安全防護工作,一般對使用頻率較高文件的保護方式是設置防火墻和網絡訪問權限。同時還可以應用三維框架網絡安全體系結構來分析計算機系統應用潛在的威脅因素。(3)加強對計算機信息網絡的安全管理對計算機信息網絡的安全管理是計算機系統數據安全的重要保證,具體需要做到以下幾點:①拓展計算機信息網絡安全管理范圍。針對黑客在計算機數據使用之前對數據進行攻擊的情況,有關人員可以在事先做好相應的預防工作,通過對計算機系統的預防管理保證計算機信息技術得到充分應用。②加強對計算機信息網絡安全管理力度。具體表現為根據計算機系統,對計算機用戶信息情況全面掌握,在判斷用戶身份的情況下做好加密工作,保證用戶數據信息安全。(4)實現對入侵檢測和計算機數據的加密入侵檢測技術是在防火墻技術基礎上發展起來的一種補充性技術,是一種主動防御技術。計算機信息系統入侵檢測技術工作包含對用戶活動進行分析和監聽、對計算機系統自身弱點進行審計、對計算機系統中的異常行為進行辨別分析、對入侵模式進行分析等。入侵檢測工作需要按照網絡安全要求進行,基于入侵檢測是從外部環境入手,很容易受到外來信息的破壞,為此需要有關人員加強對計算機數據的加密處理。
5結束語
綜上所述,在現代科技的發展下,人們對計算機網絡信息安全體系結構提出了更高的要求,需要應用最新技術完善計算機網絡信息安全體系結構,從而有效防止非法用戶對計算機信息安全系統的入侵、減少計算機網絡信息的泄漏、實現對網絡用戶個人利益的維護,從而保證計算機網絡信息安全系統的有效應用。
作者:黎斌 單位:廣西職業技術學院
參考文獻:
[1]唐俊,趙曉娟,賈逸龍.企業信息系統安全體系結構的研究[J].微計算機信息,2010.
篇6
關鍵詞:電子政務,信息安全,網絡安全,安全模型,信息安全體系結構
一、電子政務安全體系概述 網絡安全遵循“木桶原理”,即一個木桶的容積決定于它最短的一塊木板,一個系統的安全強度等于它最薄弱環節的安全強度。因此,電子政務必須建立在一個完整的多層次的安全體系之上,任何環節的薄弱都將導致整個安全體系的崩潰。 同時,由于電子政務的特殊性,也要求電子政務安全環境中重要的加密/密鑰交換算法等安全核心技術必須采用具有自主知識產權或原碼開放的產品。
一個完整的電子政務安全體系可由四部分構成,即:基礎安全設施、安全技術平臺、容災與恢復系統和安全管理,如圖:
基礎安全設施是一個為整個安全體系提供安全服務的基礎性平臺,為應用系統和網絡系統提供包括數據完整性、真實性、可用性、不可抵賴性、機密性在內的安全服務。有了這一基礎設施,整個電子政務的安全策略便有了實現的保證。這一平臺的實現主要包括CA/PKI。
網絡系統安全是一個組合現有安全產品和技術實現網絡安全策略的平臺。網絡系統安全的優劣取決與安全策略的合理性,電子政務的網絡安全策略是:劃分網絡安全域建立多層次的動態防御體系。
電子政務系統用戶類型復雜,劃分網絡安全域將具有相似權限的用戶劃分成獨立的管理域,管理域之間通過物理隔離與認證/加密技術實現有限可控的互連互通,有利于降低整個系統訪問權限控制的復雜性,降低系統性風險。
基于多層次的防御體系在各個層次上部署相關的網絡安全產品以增加攻擊都侵入時所需花費的時間、成本和資源,從而有效地降低被攻擊的危險,達到安全防護的目標。如訪問控制可部署在網絡層的接入路由器/VLAN交換機和應用層的身份認證系統兩層之上。
網絡信息安全具有動態性的特點:網絡和應用程序的未知漏洞具有動態產生的特點;電子政務的應用也會動態變化、網絡升級優化將導致系統配置動態更新。這些都要求我們的防御系統必須具有動態適應能力,包括建立入侵監測(IDS)系統,漏洞掃描系統和安全配置審計系統,并將它們與防火墻等設備結合成連動系統,以適應網絡環境的變化。
災難恢復系統在發生重大自然及人為災難時能迅速恢復數據資料,保證系統的正常運行并保護了政務歷史資料。電子政務的容災與恢復系統應該采用磁帶靜態備份與磁盤同步備份相結合的方式。磁帶靜態方式用于離線保存歷史記錄,保證了歷史信息的完整,而磁盤同步方式則用于災難數據恢復,保護了當前系統的所有數據。
安全管理也是電子政務安全體系的重要組成部分。網絡安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制定的制度包括:日常系統操作及維護制度、審計制度、文檔管理制度、應急響應制度等。
二、電子政務安全體系的設計電子政務系統是一個復雜的多層次應用系統,根據不同的應用環境和安全要求一般可分為三個不同的網段:內網、專網、外網。免費論文。
內網包括內網的數據層、內網的業務層;內網數據層是政府信息的集中存儲與處理的域,該域必須具有極其嚴格的安全控制策略,信息必須通過中間處理才能獲得。內網的業務層是政府內部的電子辦公環境,該區域內的信息只能在內部流動。
專網連接政府不同的部門和不同部門的上下級部門。它把部分需要各部門交換的信息進行交換。該區域負責將信息從一個內網傳送到另一個內網區域,它不與外網域有任何信息交換。免費論文。
外網是政府部門的公共信息的場所,它實現政府與公眾的互操作。該 域應與內網和專網隔離。
不同的網絡連接示意圖如下:
根據不同網絡的不同安全需求,設計了如下一個電子政務的安全模型:
三、電子政務安全體系的部署
電子政務安全體系的部署應遵循確定安全需求、安全狀態評估、安全策略制定(含管理制度)、安全方案設計、安全方案實施、安全制度培訓的順序進行。免費論文。前期的確定安全需求和安全狀態評估是整個安全體系部署中最重要的兩個步驟,它們是后續制定安全策略和方案設計的依據,決定了整個安全體系的可靠性。
全面的安全需求調查包括兩個方面:系統安全的功能需求和安全置信度需求。系統安全的功能需求包括安全審計需求、安全連接需求、身份認證、信息機密需求、數據保護需求以及安全管理需求。安全置信度需求包括安全保護輪廓評估(PP)、安全目標(ST)評估、系統配置維護管理、用戶手冊規范、產品生命周期支持以及測試等內容。
安全狀態評估通常采用五種方式來了解安全漏洞:1) 對現有安全策略和制度進行分析;2) 參照一些通用的安全基線來考察系統安全狀態;3) 利用安全掃描工具來發現一些技術性的常見漏洞;4) 允許一些有經驗的人在監管之下對特定的機密信息和區域做模擬入侵系統,以確定特定區域和信息的安全等級;5) 對該系統的安全管理人員和使用者進行訪談,以確定安全管理制度的執行情況和漏洞。
同時應注意的是,安全體系的部署并非一勞永逸的事情,隨著系統安全狀態的動態變化,應定期對系統進行安全評估和審計,搜尋潛在的安全漏洞并修正錯誤安全配置。
總之,電子政務的安全系統是個容復雜組織和先進IT技術于一體的復合體,必須從管理和技術兩方面來加強安全性,以動態的眼光來管理安全,在嚴謹的安全需求分析和安全評估的基礎上運用合理的安全技術來實現電子政務的整體安全。
·參考文獻:
1. 電子政務總體設計與技術實現 《北京:電子工業出版社》 國家信息安全工程技術研究中心 2003
2.《國家信息化領導小組關于推進國家電子政務網絡建設的意見》國信辦 2006
3.電子政務安全解決方案要解決的主要問題 《信息安全與通信保密》 譚興烈 2004
4.電子政務安全體系 《信息安全與通信保密》 鄔賀銓 2003
篇7
管理信息系統的安全,是指為管理信息系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄漏,以保證系統連續正常運行。管理信息系統的安全策略是為、管理和保護敏感的信息資源而制定的一級法律、法規和措施的總和,是對信息資源使用、管理規則的正式描述,是企業內所有成員都必須遵守的規則。管理信息系統的受到的安全威脅有:操作系統的不安全性、防火墻的不安全性、來自內部用戶的安全威脅、缺乏有效的監督機制和評估網絡系統的安全性手段、系統不能對病毒有效控制等。
一、機房設備的物理安全
硬件設備事故對管理信息系統危害極大,如電源事故引起的火災,機房通風散熱不好引起燒毀硬件等,嚴重的可使系統業務停頓,造成不可估量的損失;輕的也會使相應業務混亂,無法正常運轉。如沈陽鐵路局計算機控制系統曾遭雷擊,損壞了設備,嚴重影響了鐵路運輸秩序。對系統的管理、看護不善,可使一些不法分子盜竊計算機及網絡硬件設備,從中牟利,使企業和國家財產遭受損失,還破壞了系統的正常運行。
因此,管理信息系統安全首先要保證機房和硬件設備的安全。要制定嚴格的機房管理制度和保衛制度,注意防火、防盜、防雷擊等突發事件和自然災害,采用隔離、防輻射措施實現系統安全運行。
二、管理制度
在制定安全策略的同時,要制定相關的信息與網絡安全的技術標準與規范。技術標準著重從技術方面規定與規范實現安全策略的技術、機制與安全產品的功能指標要求。管理規范是從政策組織、人力與流程方面對安全策略的實施進行規劃。這些標準與規范是安全策略的技術保障與管理基礎,沒有一定政策法規制度保障的安全策略形同一堆廢紙。
要備好國家有關法規,如:《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《計算機信息網絡國際聯網安全保護管理辦法》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定實施辦法》、《商用密碼管理條例》等,做到有據可查。同時,要制定管理信息系統及其環境安全管理的規則,規則應包含下列內容:
1、崗位職責:包括門衛在內的值班制度與職責,管理人員和工程技術人員的職責;
2、管理信息系統的使用規則,包括各用戶的使用權限,建立與維護完整的網絡用戶數據庫,嚴格對系統日志進行管理,對公共機房實行精確到人、到機位的登記制度,實現對網絡客戶、IP地址、MAC地址、服務帳號的精確管理;
3、軟件管理制度;
4、機房設備(包括電源、空調)管理制度;
5、網絡運行管理制度;
6、硬件維護制度;
7、軟件維護制度;
8、定期安全檢查與教育制度;
9、下屬單位入網行為規范和安全協議。
三、網絡安全
按照網絡OSI七層模型,網絡系統的安全貫穿與整個七層模型。針對網絡系統實際運行的TCP/IP協議,網絡安全貫穿于信息系統的以下層次:
1、物理層安全:主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊(干擾等)。
2、鏈路層安全:需要保證網絡鏈路傳送的數據不被竊聽。主要采用劃分VLAN、加密通訊(遠程網)等手段。
3、網絡層安全:需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監聽。
4、操作系統安全:保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統的應用進行審計。
5、應用平臺安全:應用平臺之建立在網絡系統上的應用軟件服務器,如數據服務器、電子郵件服務器、WEB服務器等。其安全通常采用多種技術(如SSL等)來增強應用平臺的安全系統。
6、應用系統安全:使用應用平臺提供的安全服務來保證基本安全,如通過通訊雙方的認證、審計等手段。
系統安全體系應具備以下功能:建立對特等網段、服務的訪問控制體系;檢查安全漏洞;建立入侵性攻擊監控體系;主動進行加密通訊;建立良好的認證體系;進行良好的備份和恢復機制;進行多層防御,隱藏內部信息并建立安全監控中心等。
網絡安全防范是每一個系統設計人員和管理人員的重要任務和職責。網絡應采用保種控制技術保證安全訪問而絕對禁止非法者進入,已經成為網絡建設及安全的重大決策問題。
篇8
【關鍵詞】計算機 網絡安全技術 特點 因素 問題 對策
網絡時代逐漸發展促使社會信息傳遞速度以及傳遞方式都呈現出飛速進步,這就使得社會溝通能力逐漸加強。互聯網規模逐漸擴大使得信息資源逐漸豐富,同時也造成了一定的安全隱患,計算機網絡安全技術問題具有越來越重要的作用。網絡技術逐漸發展促使安全維護工作中出現大量不可預知性漏洞,這對人們信息安全造成了巨大的威脅。
1 計算機網絡安全特點
1.1 潛伏性
考慮到計算機網絡攻擊隱蔽性,網絡攻擊過程所消耗時間非常短,往往使得使用者不僅疏于防范,還是防不勝防。在計算機攻擊之后,產生效果也需要非常場地的時間,這就使得網絡攻擊往往潛伏計算機程序,一旦滿足攻擊效果就會攻擊計算機程序,這就使得計算機運行受到非常大的影響。
1.2 擴散性
往往破壞計算機網絡系統都是毫無征兆,但是網絡破壞結果卻是能夠迅速擴散。無論是個體,還是群體,計算機網絡攻擊對象由于互聯網擴散性而造成連環破壞,同時對網絡規模的干擾也非常大。
1.3 危害性
網絡公共會對計算機系統造成非常嚴重破壞,嚴重的會使得計算機處于癱瘓的狀態,一旦攻擊能夠成功,會對計算機用戶帶來巨大經濟損失,嚴重的,對國家安全以及社會安全具有非常大的影響。
2 計算機網絡安全因素分析
2.1 系統漏洞因素
從計算機網絡角度分析,作為保障網絡運行以及軟件程序運行的基礎平臺,操作系統對網絡安全具有非常重要的影響。科技信息技術不斷發展使得任何系統都可能存在著漏洞,利用系統更新能夠有效處理和填補漏洞。由于系統存在漏洞促使計算機病毒以及計算機網絡黑客攻擊計算機系統提供便利。諸如,Windows系統應用范圍愈加廣泛,但是曾經出現過ani鼠標漏洞,黑客利用Windows系統中的鼠標系統漏洞來制造畸形的圖標文件,促使用戶不知情情況下啟動惡意代碼??紤]到網絡自身安全性,由于系統自身日期處理方面漏洞存在“千年蟲”漏洞,一旦進行跨世紀時期日期運算,往往出現錯誤結果,這就容易造成計算機系統陷入紊亂甚至是崩潰。
2.2 黑客因素
所謂黑客,實際上就是利用計算機網絡漏洞以及計算機技術方面漏洞,一些不法分子對計算機網絡、計算機終端破壞。在進行利用性攻擊過程中,利用病毒程序能夠有效控制用戶電腦,竊取用戶數據或者是破壞用戶信息;黑客在利用拒絕服務攻擊過程中,往往利用網絡向用戶傳送大量數據包或者是一些自我復制能力較強病毒,不僅占用了網絡流量,還可能使網絡陷入癱瘓;黑客利用虛假信息攻擊過程中,黑客劫持郵件發送者,利用信息來源偽裝來通過身份認證,將病毒植入到用戶系統;黑客從頁面角度著手,利用網頁中腳本漏洞劫持用戶網絡,或者是彈出垃圾窗口,這就算計算機系統正常工作受到非常大的影響,嚴重的容易造成計算機崩潰。
2.3 網絡病毒
作為人為編制特殊程序,網絡病毒具有非常強自我復制能力,具有一定潛伏性、極強傳染性和破壞性,同時還具有觸發性,對計算機網絡具有非常大的影響。從目前發展來看,網絡病毒主要包含了蠕蟲病毒、腳本病毒、木馬病毒、間諜病毒四中,網絡并不結合設備特點以及程序特點進行攻擊,對系統安全具有非常重要的影響。諸如,前幾年影響比較大的“熊貓燒香”病毒,屬于蠕蟲病毒中的一種,主要是感染和刪除系統文件,破壞用戶系統數據。木馬病毒則在一定程度上與計算機遠程控制具有一定相似性,病毒制造者能夠利用電腦病毒來遠程控制電腦,這樣能夠在不得到允許條件下竊取用戶信息。
3 計算機網絡安全技術存在的問題
3.1 外界因素威脅
外界威脅包含了自然威脅、黑客攻擊、病毒入侵以及非法訪問四方面內容。自然環境對計算機網絡安全具有非常大的影響,但是由于不可抗拒性災害以及毫油獠炕肪車鵲榷醞絡安全造成直接或者是間接威脅。計算機發展速度逐漸加快促使黑客利用計算機技術、計算機安全技術之間空白,及時發現系統漏洞,做好網絡系統安全預防工作,有效減輕人為惡意攻擊對計算機網絡安全威脅。由于計算機網絡病毒的潛伏性、隱蔽性以及破壞性等等,計算機網絡安全受到非常大的影響。隨著計算機病毒摧毀力度逐漸加大促使計算機病毒抗壓性以及隱蔽性逐漸增強,這就在一定程度上影響到計算機網絡安全。在未經過同意下就越過權限,利用計算機程序來突破計算機網絡訪問權限,利用非法訪問侵入他人電腦并且進行違規操作。
3.2 缺乏有效評估手段以及監控手段
為了能夠有效防范黑客對計算機系統攻擊,需要重視安全評估工作,為網路安全提供保障。由于公司各個工作部門缺乏較為有效評估制度以及監控制度,這就為黑客入侵提供了機會。在進行計算機網絡維護工作過程中,維護工作人員往往更加關注事前預防以及事后補救,但是卻并沒有重視安全評估工作以及安全監控工作。安全評估工作的全面性、準確性能夠有效預防黑客入侵,進而結合網絡安全防護工作來提升評估科學性以及準確性,進而為網絡安全提供技術以及經濟方面的保障。從現實角度分析,由于缺乏事中評估以及事中監控工作,這就使得計算機網絡安全穩定性受到影響。
3.3 網絡系統自身問題
作為計算機運行重要支撐,操作系統安全性在其中具有決定性作用。只有計算機系統安全才能夠為系統程序正常運行提供保障。計算機操作系統自身存在問題使得計算機自身存在著安全隱患,網絡系統安全漏洞是不可避免的問題,一旦發現了系統漏洞,需要做好漏洞修復工作。一旦攻擊者掌握計算機系統存在的漏洞,那么就可以利用漏洞來控制計算機,攻擊計算機系統,竊取計算機系統內用戶信息。網絡處于無組織、無政府管理狀態下,安全性存在著非常大的隱患。任何一個用戶都能夠利用瀏覽器上網瀏覽信息,可以訪問企業信息、單位信息以及個人敏感信息等等,這就使得保密工作受到了非常大的影響。目前計算機操作系統存在著非常大的漏洞,黑客在網絡攻擊中往往利用攻擊弱點著手,這是由于系統軟件、系統硬件、系統程序或者是系統功能設計等方面問題造成的,一旦黑客入侵,那么就會利用漏洞來破壞系統。在網絡安全中,TCP/IP在計算機運行中具有非常重要的作用,這就可以利用數據流來實現明碼傳輸,由于無法控制傳輸過程,這就為竊聽信息以及截取信息提歐共了機會,在設計協議過程中,主要采用蔟結構,這就使得IP地址成為了唯一的網絡節點標識,IP地址不固定并且也并不需要身份認知,這就為黑客提供了機會,黑客往往利用修改他人IP或者是冒充他人IP的方式來攔截信息、竊取信息和篡改信息。
4 計算機網絡安全防范對策分析
4.1 重視安全意識管理工作
為計算機網絡安全性提供保障,需要更加注重提升計算機網絡用戶安全防范工作意識,重視計算機安全管理工作。為了能夠不斷提升用戶安全意識,可以利用安全實例來引導用戶,派遣宣傳工作人員專門講解網絡安全重要性,在實例分析過程中總結攻擊計算機原因,提升計算機用戶防范意識,構建更加完善的用戶安全意識。為了能夠強化安全管理,需要從訪問權限、設置密碼著手來有效管理計算機系統以及計算機文件,利用密碼來設置訪問,盡量選擇較為復雜并且較長秘法。在設置訪問權限過程中,往往是路由器權限管理和IP地址權限管理,只有可以信任的IP地址才能夠獲得訪問權限,如果陌生IP或者是非法IP則是需要拒絕訪問,這樣才能夠避免計算機被入侵。在設置路由器過程中,計算機用戶可以結合自身意愿來設置權限,管理員則是可以對固定計算機進行授權,為計算機網絡技術安全提供保障。為了能夠有效控制安全屬性,需要將給定屬性、網絡服務器有效關聯,從權限安全角度著手,為網絡安全提供保障。網絡屬性不僅能夠控制數據、刪除信息等等,還需要保護目錄和文件,這樣能夠有效避免惡意刪除、惡意執行、惡意修改目錄文件等等,利用備份系統來避免存儲設備出現損壞,這就需要做好數據庫恢復工作,有效恢復數據。
4.2 培養計算機管理工作人員安全素養
計算機用戶需要重視提升自身網絡安全意識,結合自身職責權限來選擇不同口令,結合應用程序數據進行合法操作,這樣能夠有效避免用戶出現訪問數據、網絡資源使用等越權,在計算機使用過程中需要重視病毒預防工作,重視更新殺毒軟件,特別是網絡前端殺毒工作。網絡管理工作人員需要注重提升自身安全意識、責任心以及職業道德等等,構建更加完善安全管理工作體制,加強計算機信息網絡安全的規范化管理工作力度,重視安全建設工作,為計算機網絡安全可靠性提供保障。在計算機信息安全中,密碼技術在其中具有核心地位,利用設置密碼能夠為信息安全提供保障。從目前發展來看,為了能夠有效保證信息完整性,其中最為有效的方式就是構建數字簽名技術以及身份認證技術,有效整合古典密碼體制、數字簽名體制、單鑰密碼體制以及密鑰管理等等,從訪問控制左手做好網絡安全防范工作以及保護工作,避免出現非法使用或者是非法訪問網絡資源。先進軟件防御工作對維護網絡安全具有非常重要的作用,這就需要利用網絡評估工作人員以及監控工作人員,有效預防黑客攻擊,有效監視網絡運行過程,有效避免不法攻擊,提升評估有效性,為網絡運行機制有效性提供保障。
4.3 構建更加完善網絡安全系統
在網絡安全工作中,防火墻在其中具有非常重要的作用。利用網絡,防火墻能夠有效監控計算機,對各個管理工作系統提供保障,在進入系統之后,需要做好防火墻檢查工作,只有得到許可之后才能夠進入到系統中。用戶在使用計算機過程中,對于不明身份,需要有效利用防火墻做好攔截工作,有效驗證其身份,在得到許可之后,防火墻才能夠允許數據包進入到系統中,如果并未得到防火墻許可,那么就會發出警報。對于并不是非常了解程序,需要利用搜索引擎、防火墻等進行軟件性質檢查工作,有效避免不安全因素擴張,計算機用戶需要有效利用防火墻來維護網絡安全信息。在進行計算機網絡安全維護過程中,需要做好網絡系統設計全面分析,認真研究計算機網絡系統弱點,不斷完善網絡系統的設計工作。入網訪問的控制功能在其中具有非常重要的作用。在網絡安全維護過程中,入網訪問控制在其中具有非常重要的作用,其能夠規定網絡服務器登錄條件并且能夠有效獲取網絡資源用戶條件,有效控制用戶入網時間以及入網工作站。用戶在進行入網訪問控制過程中,需要撓沒識別驗證、用戶口令識別認知、用戶賬號三個角度進行檢查,如果經過檢查仍然屬于非法用戶,那么網絡訪問權利受到限制。在進行操作系統實際操作過程中,需要重視檢測以及更新及時性,為操作系統安全性、完整性提供保障。系統軟件需要構建更加完善的存取控制功能、存儲保護功能、管理能力等等,有效防止出現越權存儲以及存儲區域外讀寫工作,這樣能夠有效記錄系統運行情況,為數據文件存取提供監測保障。
5 結語
計算機網絡技術飛速發展促使計算機成為人們日常生活中不可或缺的便捷工作。在日常生活、日常學習以及日常工作中,網絡具有非常重要的作用,網絡安全重要性至關重要。網絡安全維護工作不僅是技術問題,更是安全管理方面的問題,這就需要從技術和管理兩個角度著手,為用戶安全性提供保障,構建更加安全、更加健康計算機網絡環境,提升網絡安全的防范意識,為網絡傳輸安全性、可靠性、完整性提供保障。作為復雜系統,計算機網絡安全不僅涉及到殺毒軟件、漏洞等硬件防護工作,還需要重視防護系統工作,構建更加完善的計算機網絡安全系統,培養人的計算機應用安全意識,實現溝通參與,從事前、事中、事后等著手,提高安全意識以及安全技術,制定更加完善安全對策,為計算機網絡安全提供保障。
參考文獻
[1]張東生.計算機網絡安全技術與防范策略探析[J].電腦編程技巧與維護, 2011(02):103-105.
[2]趙旨忠.計算機網絡安全技術與防范策略探析[J].中國電子商務,2012(13):17-17.
[3]尤駿杰.芻議計算機網絡安全技術與防范策略[J].數字技術與應用, 2016(04):214-214.
[4]徐軍.淺析計算機網絡安全技術與防范策略[J]. 科技促進發展, 2010(S1):100+107.
[5]張沖杰.計算機網絡安全策略及其技術防范措施[J].數字技術與應用, 2013(17):122-123.
[6]王啟.計算機網絡安全技術分析及防范策略研究[J].科技廣場,2011(07):111-114.
篇9
【關鍵詞】網絡安全;數字化圖書館;計算機系統
隨著網絡技術、數字化技術的普及與應用,高校圖書館越來越意識到了網絡安全的重要性。圖書館已經從書刊借閱機構過渡到向讀者提供廣泛信息服務的機構。而數字圖書館網絡系統分布的廣域性、體系結構的開放性、資源共享性的特點,使數字化圖書館不得不面臨網絡安全這一嚴峻挑戰。[1]
1.數字化圖書館網絡的特點
數字化圖書館作為知識信息的存儲場所,其網絡具有信息資源的多樣性、開放性和共享性等優勢。作為數字化圖書館擁有著大量的數據資源,這些資源在高校的教學與科研中都起到重要的作用,如果這些數據遭到破壞其損失將難以估量。因此要保護好館藏的電子數據信息和網絡的暢通與安全是至關重要的。
2.影響數字化圖書館網絡安全的主要因素
2.1 硬件設備的物理安全及軟件系統安全
計算機硬件系統是數字化圖書館網絡正常運行基礎,也是建設安全網絡的基礎設備。其物理安全主要取決于系統本身的硬件,這是網絡安全的最基本要求,如果網絡系統的物理安全都無法保證也就不用奢談其他的安全問題了。影響網絡系統的硬件因素主要包括兩個方面:一是配置是否達到要求;二是元器件是否有接觸不良、老化等現象。[2]
無論是操作系統軟件還是應用軟件,都存在安全漏洞,容易受到計算機病毒侵害和人為因素的破壞。如果沒有基本的計算機應用能力,也會造成網絡系統安全隱患。軟件系統因素主要是病毒和木馬對其攻擊和破壞的情況,數字圖書館軟件主要有操作系統軟件、數據庫系統軟件和應用軟件三個方面。
2.2 管理因素
管理因素主要包括網絡安全管理制度是否規范、健全,責任是否明確、詳細。軟件、硬件是基礎,但沒有合適的規章制度、管理跟不上,工作人員松松散散,再加上監督力度不夠,很容易出現漏洞,同樣使網絡系統安全失去保障。
2.3 人員因素
指網絡系統的設計者、管理者和使用者的安全意識、素質、技術、操作等方面對安全的影響。主要表現在:網絡安全意識淡薄、重視不夠,尤其在規劃設計系統時,通常首先強調性能,而忽視安全;敬業精神不夠、責任心不強,注意力松散;系統和軟件的設計配置錯誤或操作不當。
3.數字化圖書館網絡安全措施
圖書館網絡信息安全是一個多層面、多因素、綜合的、動態的過程,單一的防御措施往往難以奏效,必須采用多層次的交叉安全防御體系。圖書館網絡安全管理的防范技術主要包括防火墻技術、入侵檢測系統、虛擬局域網技術。
3.1 防火墻技術
防火墻是指放置在不同網絡或者網絡安全域之間的系列部件的組合。它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外界屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。
3.2 入侵檢測系統
入侵檢測就是通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象。從網絡系統的若干關鍵點收集信息,并加以分析。[3]檢查是否有違反安全策略的行為。這是一種主動性很強的網絡安全技術?;竟δ馨ǎ簷z測分析用戶及系統活動;審計系統配置和脆弱性;識別反應已知進攻的活動模式并報警;異常行為模式的統計分析;評估重要系統和數據的安全性;系統審計跟蹤管理,識別違反安全策略的行為。因此,入侵檢測系統是立體安全防御體系中日益被普遍采用的成分,它將有效地提升黑客進入網絡系統的門檻。
3.3 虛擬局域網技術
虛擬局域網(VLAN)技術。VLAN的劃分方法分為基于MAC地址的VLAN、基于端口MAC地址、基于IP地址的VLAN和基于策略的VLAN等幾種??梢愿鶕D書館的具體業務需要,采用VLAN技術,將位于不同地理位置的相應的服務器、用戶和其他網絡對象進行分組,并設定相應的安全和訪問權限,然后由計算機根據自動配置形成相應的虛擬網絡工作組,這樣不僅能夠大大提高網絡的數據傳輸能力,增加系統的安全性,而且易于管理,充分發揮出交換網絡的優勢,體現出交換網絡高速、靈活、易于管理的特性。
3.4 及時更新和備份計算機系統
及時更新圖書館服務器系統安全補丁、病毒庫、木馬特征庫等,通過不斷更新系統補丁和系統版本來修復系統的安全隱患。及時備份高校圖書館中的關鍵數據。高校圖書館中的關鍵數據就是館藏書目數據,如果館藏書目數據丟失或破壞,這將給高校圖書館工作帶來災難性的后果。數據備份是數據恢復的前提,只有進行了數據備份,才能在意外發生后利用備份數據來恢復數據,從而更好地保障高校圖書館重要數據的安全。
4.結束語
在網絡環境下高校圖書館的網絡管理機構能否有效的防范影響網絡安全運行的各種隱患,保證圖書館網絡的正常運行,是關系到現階段高校圖書館的各項業務工作能否正常開展的重大問題。只要我們能夠高度重視,認真學習,深人研究,采取積極有效的措施,查清影響圖書館網絡安全運行的種種隱患,建立一整套完整、完善的圖書館網絡安全系統,就可以做到既能方便地為讀者提供服務,又能有效地保護圖書館網絡的安全運行。
參考文獻:
[1]衛凡.淺談高校圖書館網絡安全問題[J].內蒙古科技與經濟,2008.
篇10
關鍵詞:信息系統,網絡安全,對策措施
1.建立一套較完善的、操作性強的管理制度
根據實際情況,對不同類型、不同敏感度的信息,規定合適的管理制度和使用方法,制定詳細的安全管理制度,保證信息系統安全風險規避管理有章可循,有法可依,促使每個系統管理人員和使用人員將系統安全風險規避管理形成一種習慣。制定系統安全獎懲制度,對于違反制度者視情節輕重給予相應的經濟懲罰或行政處分,情節特別惡劣的可提起法律訴訟,對違規制度者進行舉報的人員給予適當的獎勵。院內每人都有義務和責任舉報任何系統不安全現象和行為。
安全管理制度包括中心機房安全管理制度、子系統使用人員安全管理制度、系統設備安全管理制度、網絡安全管理制度、病毒防范安全管理制度、安全管理登記制度、應答制度、考核制度等。做好設備的運行情況記錄,檢查記錄,日常維護記錄及用戶的監控記錄等。
2.制定詳細而周密的應急預案
充分考慮各種系統故障,設計與各管理崗位相符的系統安全風險規避管理常規處理預案和緊急處理預案,根據安全事件的嚴重程度適時采用,以保證正常的服務和秩序,提高應對突發事件的能力。在信息系統出現故障時,將系統中斷時間、故障損失和社會影響降到最低。由分管院長、相應科室及計算機中心組成故障排除小組,當災難發生時應用應急預案進行恢復。應定期進行應急預案的演練,查找問題,加以整改,提高其針對性和實用性。
應急預案包括服務器、硬件、軟件、網絡等方面的系統安全風險應急措施、具體的協調部門及相應的工作、常用的應急電話等。應急預案須明顯張貼,使應急操作人員方便地看到。
3.建立系統安全監控體系
設立安全管理人員,對那些給信息系統安全帶來嚴重隱患的行為和人員進行重點管理和監督。建立數據質量監控體系和數據操作員、職能科室、部門領導三個層次的數據質量監控層,對信息系統數據安全具有重要意義。建立信息系統數據質量考評和反饋制度。建立合理的系統安全風險規避管理的組織結構,成立信息系統安全領導小組,在硬件、軟件、數據、網絡等各個方面合理配置系統安全管理人員,選擇適當學歷和專業的人員擔任并讓其明確各自的責任,根據實際情況,制定合理的管理制度和使用方法。論文參考網。系統安全管理人員在工作上要求責任心強,業務熟悉。系統安全培訓工作也是保證系統正常運行的關鍵。應合理配備技術人員,保證維護力量。同時,專業人員應對每個操作人員進行培訓,使其熟悉操作規程,熟練系統操作。目前員工的安全意識相對淡薄,在實際工作中,存在利用業務系統登錄口令過于簡單的漏洞,私自訪問不安全網站,下載并安裝與工作無關的軟件,私自接入不安全設備等問題,這些都給信息系統造成了極大的安全隱患和威脅。因此,要下大力氣做好員工信息系統安全知識的宣傳教育和培訓工作,使員工自覺遵守信息管理的各項規定,增強其系統安全意識,保證信息系統安全。對系統安全培訓不太重視的,今后應豐富培訓內容和方式,注重培訓時間和頻率的選擇,適當增加培訓投入,做好相關方面的改進以提高培訓效果,加強系統安全風險規避管理。領導轉變觀念,充分認識到系統安全風險規避管理的重要性,根據的實際情況每年編制合理的系統安全預算,避免投入的盲目性。加大對重要設備如服務器等的投入,提高其可靠性,防止因設備檔次低而引起的可靠性問題,避免設備的核心部件為偽劣品最終導致系統不能正常運行。
4.建立健全風險評估和檢測機制
可采取與專業安全服務公司建立長期合作的策略實現安全風險評估機制的建立,加強多部門之間的安全信息溝通與共享,積極利用其在安全風險評估技術、方法等方面的優勢,結合信息系統安全實際,建立符合信息安全要求的風險評估與管理機制,不斷研究和發現信息系統存在的漏洞、缺陷以及面臨的風險與威脅,并積極尋找相應的補救方法,力求做到防范于未然。
應制定安全檢測計劃和方案并組織實施,組成專門的檢測小組,在領導和系統運行維護部門的積極配合下,對系統的基礎設施、網絡結構、信息保護、安全管理以及應急預案等方面進行認真測試與核查。
做好硬件設備的預防性維護。論文參考網。定期對主機、顯示器、打印機等設備內部除塵,更換老化的零部件。定期運行磁盤碎片整理程序、磁盤清理程序,優化硬盤設置,優化每個工作站子系統,確保系統運行環境的安全。
5.加強系統重要信息和文檔的管理
完整的系統文檔是分析故障、排除故障的基礎,是系統正常運行的保證,因此,應加強系統文檔的管理。論文參考網。系統文檔包括計算機資料、驅動軟件、系統軟件、應用軟件安裝盤、應用軟件安裝說明書、程序使用說明書、源程序代碼及詳細說明、各計算機的IP地址、計算機名、服務器配置說明書。
6.完善系統功能,提高應用程序級的安全性
根據各級操作員的操作范圍,合理設置系統軟件的權限,慎重考慮系統功能,如在財務收費報表中及時反映收費票據號碼,退費、退藥票據號碼,以便核查,禁止票據重打功能。
根據備份原則,不能只有一個人能進行系統管理或數據庫管理。嚴格限制超級用戶數,系統超級用戶只能由系統管理人員掌握,并定期更換口令。系統管理員嚴格按照“審批單”為各工作站子系統用戶分配適當的權限。嚴禁帳號及密碼外借他人,防止非法用戶入侵系統。
7. 強化信息系統安全技術保障
硬件方面的信息系統安全技術主要包括:物理隔離。對內部信息系統和外部互聯網實行物理隔離;同時,對內部局域網中的醫療網絡系統和辦公網絡系統進行物理分割,封閉醫療網絡系統中所有對外的接口;保證存有重要數據的子系統只能使用內網而不能使用外網。建立一套完整的數據備份策略,預防硬盤損壞等風險,保證服務器長期可靠地運行。數據安全是整個信息系統安全的核心,數據備份是保證數據安全避免損失的最佳途徑。不同的數據備份方法如雙機熱備份、異地備份、磁帶備份等有各自的優缺點,應根據的實際情況適當采用。
軟件方面的信息系統安全技術主要包括:選擇符合系統安全要求的操作系統并及時更新??蛻舳税惭b遠程監控軟件,幫助系統管理員實時監控和記錄系統各個終端的運行情況,防止非法用戶侵入系統。同時,強化行為管理,對各種網絡和操作行為進行實時監控和分類管理,規定行為的范圍和期限,及時發現并去掉一些設備共享或文件夾共享,盡可能地制止一切與信息管理無關的現象和行為,減少網絡的安全隱患。購置網絡版殺毒軟件,在服務器及每個客戶端都安裝相應的防病毒軟件,定時更新病毒庫,周期性地對系統中的程序進行檢查,利用病毒防火墻對系統進行實時監控。選擇和使用更為安全的數據庫系統,并嚴格規范使用制度及方式。采用適宜技術與設備保證鏈路安全。強化桌面系統安全管理。
參考文獻:
[1]劉臣. 略論信息系統建設[J]現代管理, 2007, (05) .
[2]李華才. 信息化建設存在的問題與發展對策[J]華北國防醫藥, 2002, (02) .
[3]袁永林. 軍隊衛生信息化的建設與發展[J]解放軍管理雜志, 2003, (01) .
相關期刊
精品范文
10網絡監督管理辦法