前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全建設計劃主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:醫(yī)院;信息化;計算機網絡;管理;維護
在網絡技術快速發(fā)展的背景下,醫(yī)療行業(yè)信息化建設發(fā)展得到推動,醫(yī)院內的財務管理系統(tǒng)以及行政管理系統(tǒng)已經形成了較為明顯的信息化發(fā)展趨勢。現(xiàn)如今計算機網絡以在醫(yī)院各個部門全面應用,為醫(yī)院醫(yī)療工作的高效率開展提供技術支持。由于醫(yī)院業(yè)務工作的特殊性,因此對醫(yī)院的計算機網絡安全要求極高,為了確保醫(yī)院信息系統(tǒng)的正常運轉,需要探索計算機網絡安全管理工作,加強對醫(yī)院計算機網絡安全管理的重視程度,為醫(yī)院的信息化建設發(fā)展提供技術支持。
一、醫(yī)院計算機網絡安全管理及維護的重要性
在醫(yī)院信息化建設過程中,計算機網絡信息技術的應用對于醫(yī)院綜合管理水平的提升有著促進作用,因此需要針對計算機網絡信息技術制定網絡安全管理模式工作,繼而實現(xiàn)醫(yī)院的可持續(xù)發(fā)展目標。
(一)為醫(yī)院信息化建設提供技術支撐現(xiàn)如今信息化系統(tǒng)以廣泛應用于醫(yī)院管理系統(tǒng)之中,計算機網絡技術的應用能夠為醫(yī)護人員診療患者提供診療信息,同時也能為醫(yī)院行政管理工作的開展提供信息支持。若沒有計算機網絡技術的支持,醫(yī)院信息化系統(tǒng)內部各個模塊則無法實現(xiàn)互通,醫(yī)院業(yè)務功能無法有效開展。為此基于計算機網絡平臺開展的信息化建設,能夠為智慧醫(yī)院的建設提供技術支持。
(二)可提供高質量的醫(yī)療服務所有患者都希望能夠在醫(yī)院內獲得高質量的醫(yī)療服務,為此醫(yī)院需要對各項業(yè)務工作進行有效處理。計算機網絡安全管理工作的開展能夠保證醫(yī)院信息安全,為醫(yī)院現(xiàn)代化建設創(chuàng)造條件。為此醫(yī)院需要加強對計算機網絡信息安全管理維護的重視程度,有效提升醫(yī)院的信息技術應用成效。
(三)可提升醫(yī)院的業(yè)務工作效率在醫(yī)院信息化建設過程中,計算機網絡應用較為廣泛,計算機網絡信息管理主要分為信息傳遞以及信息處理。計算機網絡信息安全管理維護工作的開展,能夠幫助醫(yī)院構成高效、智能的信息系統(tǒng),可對信息系統(tǒng)上的醫(yī)療業(yè)務數據隨時進行查閱應用,全面提升醫(yī)院的診療效率。
(四)可確保醫(yī)院數據信息安全現(xiàn)階段醫(yī)院信息化系統(tǒng)的管理應用是依賴于計算機網絡,一旦醫(yī)院發(fā)生計算機網絡安全事故,將會導致醫(yī)院出現(xiàn)業(yè)務工作癱瘓問題,導致醫(yī)院診療患者的個人醫(yī)療信息被泄露。為此計算機網絡安全管理維護工作的有效開展,能夠推動醫(yī)院信息化建設工作,避免醫(yī)院診療患者個人隱私被侵犯。
二、信息化建設中醫(yī)院計算機網絡安全管理及維護的現(xiàn)狀
(一)醫(yī)院網絡系統(tǒng)外部環(huán)境有待優(yōu)化對于醫(yī)院管理者而言,信息化系統(tǒng)網絡安全建設離不開安全的外部工作環(huán)境。部分醫(yī)院管理者并不重視網絡安全信息化建設工作,因此對于網絡信息安全保護以及維護的關注程度不高。此外,醫(yī)院投放在網絡保護上的人力、物力相對較少,僅采用簡單的存儲設備開展數據存儲工作,也并不會聘請專業(yè)技術水平高的團隊進行網絡系統(tǒng)維護,不僅會影響醫(yī)院信息化建設集成,同時也會造成醫(yī)院關鍵數據信息的丟失。
(二)醫(yī)院信息系統(tǒng)存在系統(tǒng)安全問題醫(yī)院信息系統(tǒng)安全問題主要是指系統(tǒng)內部的應用程序安全問題,通過保證醫(yī)院操作系統(tǒng)應用的穩(wěn)定性,繼而保證醫(yī)院信息系統(tǒng)的應用安全。數據安全主要是指醫(yī)院各個科室的工作數據以及患者數據信息的安全。在網絡信息技術不斷更完善更新的背景下,醫(yī)院所應用的信息系統(tǒng)需要進行更新升級,但信息系統(tǒng)存在的網絡安全威脅問題未能得到妥善解決。此外雖然計算機網絡技術在醫(yī)院信息系統(tǒng)中廣泛應用,但由于網絡系統(tǒng)的網絡結構極為復雜,讓網絡結構極易成為病毒木馬攻擊的首選目標。不同設備開發(fā)應用的技術存在一定的差異性,也因此增加了信息系統(tǒng)出現(xiàn)系統(tǒng)漏洞的機率,導致計算機網絡系統(tǒng)運行不穩(wěn)定。
(三)醫(yī)院系統(tǒng)硬件問題計算機網絡作為連接醫(yī)院與客戶端的重要技術,計算機是推動醫(yī)院醫(yī)患信息共享系統(tǒng)建設的重要設備。部分醫(yī)院為了節(jié)約硬件資金投入問題,忽略計算機網絡基礎設備更新?lián)Q代的必要性,繼而導致醫(yī)院的信息化建設發(fā)生建設滯后的問題。長此以往,計算機在應用過程中極易出現(xiàn)死機、卡頓等情況,不僅會影響醫(yī)院信息系統(tǒng)的工作效率,同時也會影響共享系統(tǒng)終端用戶的應用體驗?,F(xiàn)階段醫(yī)院應用的操作系統(tǒng)為微軟Windows10,但是仍有部分醫(yī)院應用的操作系統(tǒng)為XP系統(tǒng)或是低版本操作系統(tǒng),繼而導致系統(tǒng)硬件漏洞相對較多。醫(yī)院業(yè)務工作的特殊性,要求信息系統(tǒng)需要二十四小時不間斷的運行,一旦發(fā)生電擊、高溫等問題時,極易導致計算機網絡設備發(fā)生運行故障,影響醫(yī)院診療業(yè)務的開展。
(四)人員個人問題醫(yī)院的信息化建設能夠提升工作人員的工作效率,實現(xiàn)醫(yī)院整體經濟效益的全方面優(yōu)化,是醫(yī)院可持續(xù)發(fā)展的重要支撐。雖然大多數醫(yī)院管理者能夠認可計算機網絡的應用優(yōu)勢,但仍舊存在醫(yī)護人員并不重視計算機網絡安全管理維護工作的問題。如用戶主體不能遵守電子信息系統(tǒng)的應用流程,對于涵蓋病毒的U盤任意拔取,將會導致整個計算機網絡系統(tǒng)發(fā)生癱瘓。此外醫(yī)院內部缺乏專業(yè)的網絡技術人員,其計算機網絡管理維護能力無法達到系統(tǒng)安全防御需求,進而導致醫(yī)院信息化建設無法進一步開展。
三、信息化建設中醫(yī)院計算機網絡安全管理及維護優(yōu)化的策略
(一)優(yōu)化醫(yī)院網絡系統(tǒng)的外部環(huán)境第一,為了優(yōu)化醫(yī)院信息機房的外部環(huán)境,醫(yī)院管理層需要配備基礎設施,合理安排信息機房在醫(yī)院的具置。第二,在信息機房內部以及室外配設無死角的監(jiān)控設備,同時為了確保信息機房的安全性需要設置完善的門禁系統(tǒng),避免外來無關人員進入信息機房。第三,為了確保網絡外部環(huán)境安全,管理人員需要對機房內部系統(tǒng)上的硬件設備進行全方面管理,避免機房受到靜電以及電磁的干擾,嚴格按照機房安全指南對信息機房進行有效管理。
(二)強化醫(yī)院網絡安全管理信息系統(tǒng)第一,醫(yī)院信息化系統(tǒng)所應用的系統(tǒng)軟件較為繁瑣,因此在開展信息系統(tǒng)殺毒處理過程中,需要對殺毒軟件應用進行規(guī)劃,避免惡意軟件對信息系統(tǒng)造成破壞。為此管理人員需要應用與信息系統(tǒng)相匹配的殺毒軟件,借助防火墻技術避免病毒木馬入侵信息系統(tǒng)。此外需要根據網絡系統(tǒng)軟件的更新升級情況升級系統(tǒng)殺毒軟件,確保網絡系統(tǒng)應用的安全性。第二,在計算機網絡系統(tǒng)運行過程中,需要對網絡信息進行管理和維護,對沒有應用價值的數據信息進行銷毀處理,確保計算機網絡信息數據的安全性。管理者需要對訪問計算機網絡系統(tǒng)的用戶身份信息進行保密,確保來訪用戶的個人信息不會被泄露,有效保護用戶個人隱私安全。此外需要定期開展系統(tǒng)安全監(jiān)測工作,對于常規(guī)程序進行系統(tǒng)掃描工作。如計算機網絡系統(tǒng)可利用PKI技術開展系統(tǒng)密碼設置工作,對用戶的私密數據進行隔離。第三,服務器作為計算機網絡安全維護的重要部件,服務器的高效運作能夠讓數據在不同主機之間快速傳輸。為此計算機網絡安全維護人員需要正確認識服務器應用的價值作用,對服務器進行優(yōu)化維護,避免外來入侵者對醫(yī)院內重要數據信息進行盜取應用。
(三)加強對計算機硬件設備的安全管理第一,為了推動醫(yī)院信息化建設,需要確保計算機硬件應用的安全性,避免由于硬件問題導致計算機網絡系統(tǒng)發(fā)生故障,確保醫(yī)院信息網絡系統(tǒng)能夠正常運行。為此醫(yī)院管理人員需要對計算機主板進行定期檢查,對計算機內部的灰塵雜物進行定期清理,同時還要做好計算機接口的防氧化問題。第二,管理人員需要做好硬件設備的CPU散熱工作,及時更換硬件設備的散熱器,同時還要定期維護管理應用的計算機硬盤,對于已經發(fā)生故障的計算機硬盤進行處理換新,對計算機硬盤的醫(yī)務信息定期進行備份。此外需要對顯示器、信號源以及顯卡等硬件進行有效維護,確保計算機安全系統(tǒng)能夠正常運行,避免醫(yī)院內重要的信息文件丟失。第三,需要保證應用網絡布線的安全性,通過應用優(yōu)質的網絡布線材料,提升信息系統(tǒng)的應用安全性,避免線路在安置過程中出現(xiàn)纏繞問題。通過將強電流線路距離保持在30cm以上,繼而解決線路之間的電流干擾問題。
(四)做好相關人員的培訓工作第一,為了確保計算機網絡安全管理維護工作能夠高效開展,需要對相關醫(yī)護人員進行定期培訓,夯實相關醫(yī)護人員的計算機基礎知識,降低計算機安全網絡隱患。第二,對相關醫(yī)護人員的知識技能操作進行考核,有效提升計算機應用人員的個人操作水平,避免個人因素導致計算機網絡安全事故的發(fā)生,繼而提升醫(yī)護人員的工作效率。第三,加強醫(yī)院工作人員的計算機網絡安全管理維護意識,讓其正確看待計算機網絡安全問題,采取必要手段預防并解決計算機網絡安全問題。
關鍵詞:民航 信息網絡 系統(tǒng)安
一、民航信息網絡系統(tǒng)安全問題分析
近年來,隨著我國經濟水平的不斷提升,大幅度推動民航領域的發(fā)展,在這一背景下,民航的信息網絡系統(tǒng)隨之進入建設高峰期,該系統(tǒng)除與飛機的飛行安全有關之外,還與空防和運行安全有著極為密切的關聯(lián),一旦系統(tǒng)出現(xiàn)問題,輕則會影響民航的正常運營,嚴重時將會危及到飛機的飛行安全,極有可能造成巨大的經濟損失。如某機場的空管飛行數據處理系統(tǒng)發(fā)生故障,致使機場的空管雷達無法提供正常的數據,直接導致70余架航班不能按時起落降,數千名乘客的出行受到影響;又如,某航空公司的電子客票系統(tǒng)被黑客入侵,導致多名乘客的機票信息泄露,媒體報道后,造成嚴重的社會影響,諸如此類事件不勝枚舉。
通過對國內一些航空公司進行調查后發(fā)現(xiàn),絕大部分都曾經發(fā)生過信息網絡安全事件,在誘發(fā)安全事件的原因中,計算機病毒、木馬、電腦蠕蟲等所占的比例較大,約為70-80%左右,網頁被惡意篡改、端口掃描等網絡攻擊約為20-30%左右。上述安全事件之所以會頻繁發(fā)生,主要是因為民航信息網絡系統(tǒng)的安全防護水平不高,給惡意入侵、黑客攻擊提供了可能。鑒于此,必須從管理和技術兩個方面著手,加強民航信息網絡安全建設。
二、民航信息網絡安全建設策略
為確保民航信息網絡系統(tǒng)安全,必須建立起一套科學合理、切實可行的安全管理制度,并采取先進的技術措施,提高系統(tǒng)的安全等級。
(一)加強安全管理
1.構建完善的制度體系。民航信息網絡系統(tǒng)的安全離不開管理,而想要使管理發(fā)揮出應有的成效,就必須構建起一套較為完整的制度體系。各大航空公司應當結合自身的實際情況,并總結以往的經驗教訓,量身定制安全計劃和方案,如網絡信息安全等級保護與分級保護、安全通報制度等等,確保所有的安全管理工作都能有制度可依。與此同時,還應不斷加強對相關人員的管理,提高他們的安全意識,從根本上保證信息網絡系統(tǒng)的安全性。
2.做好管理維護工作。民航信息網絡系統(tǒng)是由諸多設備組成,想要保證系統(tǒng)的安全,就必須做好運行設備的維護管理。鑒于民航信息網絡系統(tǒng)的特點,即啟動后不能隨意關閉,因此,可從如下幾個方面保證系統(tǒng)安全、穩(wěn)定運行:①控制主機溫度??稍谛畔⒕W絡系統(tǒng)建設時,為相關的硬件設施配備一套雙機熱備加磁盤陣列,這樣能夠確保網絡信息系統(tǒng)的安全性,同時可以選用小型機作為民航運營數據庫或是離港系統(tǒng)的服務器,該服務器采用的是分布式架構,其能夠在確保安全的基礎上,提高系統(tǒng)的可用性。②定期檢查。民航信息網絡系統(tǒng)中,有一些軟件的可靠性相對較低,若是大量用戶同時上線可能會導致系統(tǒng)死機的問題發(fā)生,通過定期的檢查,能及時發(fā)現(xiàn)問題,并進行升級維護,由此不但能夠提高系統(tǒng)運行效率,而且還能確保\行安全。
(二)安全技術措施
民航在進行信息網絡系統(tǒng)安全建設的過程中,要采取合理可行的技術措施,為信息網絡系統(tǒng)的安全保駕護航。
1.入侵檢測技術。該技術是近年來興起的一種網絡信息安全防范技術,其能夠通過對網絡信息系統(tǒng)的審計數據、安全日志等進行檢測,找出入侵以及入侵企圖,這種技術最為主要的作用是對網絡信息系統(tǒng)的入侵和攻擊進行監(jiān)控,進而采取相應的措施加以應對,從而確保系統(tǒng)的安全。民航可基于該技術構建一套相對完善的IDS系統(tǒng),運用該系統(tǒng)對外部的非法入侵以及內部用戶的非授權行為進行檢測,發(fā)現(xiàn)并報告網絡信息系統(tǒng)中的異常現(xiàn)象,對針對信息網絡系統(tǒng)安全的行為做出及時有效地應對。
2.身份認證技術。該技術具體是對系統(tǒng)操作者身份的確認,其能夠借助網絡防火墻、安全網關等,對信息網絡系統(tǒng)的用戶身份權限進行管理,民航的信息網絡系統(tǒng)一般只能對操作者的數字身份信息進行識別,而通過身份認證技術的應用,則可有效解決系統(tǒng)操作者物理與數字身份的對應問題,由此為系統(tǒng)的權限管理提供了可靠依據。民航在進行信息網絡系統(tǒng)建設時,可以采用以下幾種方式對系統(tǒng)操作者的身份進行認證:用戶名+密碼;用戶基本信息驗證,如證件號碼、信用卡號等;特征識別,如視網膜、指紋、聲音等。此外,還可以采用USB key,這樣可以進一步提升系統(tǒng)的安全性能。
3.加密與數字簽名。這是目前保障網絡信息系統(tǒng)及數據安全最為常用的一種技術,它能夠有效防止各種機密數據被外部竊取、更改,對于信息安全具有極強的保證。具體應用時,可對一些重要的文件進行加密,這樣即便有非法用戶入侵到系統(tǒng)當中也無法查看加密文件的內容,加密后等于給文件上鎖,其安全性自然會獲得保證。而數字簽名則可確保用戶收到的郵件均為所需用戶發(fā)送而來,可有效防止垃圾郵件。民航在信息網絡系統(tǒng)安全建設時,可合理運用加密和數字簽名技術,為各類重要信息提供安全保障。
4.網路防火墻。民航在進行信息網絡安全建設時,應當選用高端的防火墻產品,除要具備防火墻的基本功能之外,還應兼具VPN網關功能,建議采用分組過濾式防火墻或是雙穴網關防火墻,同時要考慮不同接入方式的適應性。需要注意的是,防火墻要選用正版的,并定期進行升級,這樣才能使其作用得以最大限度地發(fā)揮。
三、結語
綜上所述,民航信息網絡安全的重要性不言而喻,因此,必須做好信息網絡系統(tǒng)的安全建設工作,民航企業(yè)可以結合自身的實際情況,制定科學的管理制度,并采取先進的技術措施,提高系統(tǒng)的安全性,這樣不但能減少或是杜絕各類安全事件的發(fā)生,而且還有利于促進我國民航事業(yè)的持續(xù)發(fā)展。
參考文獻:
[1]余焰,余凱.以空管信息為核心,建立民航信息集成共享系統(tǒng)空管系統(tǒng)信息網絡建設需求分析[J].黑龍江科技信息,2015,(04).
[2]梁有程.分組交換技術在民航數據通信網絡中的應用探析[J].電信網技術,2015,(07).
[3]趙航.以安全保障為前提的民航空管信息系統(tǒng)安全體系的研究[J].科技經濟市場,2014,(07).
關鍵詞 邊防部隊 網絡安全 信息技術
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)71-0166-02
當今社會是一個信息技術高度發(fā)達的社會,其各種信息技術已經不斷的應用在各個發(fā)展領域之中。網絡信息技術在部隊之中,已成為其各個管理和控制的重點。極大地提高了作戰(zhàn)指揮、教育訓練、管理工作和在工作中科學研究水平和效益的有效提高。但是隨著社會發(fā)展中,由于各種核心器件的依賴心不斷增加,對各種國外技術的需求日益提高,使得其各種安全性能和管理措施逐步與各個發(fā)達國家脫節(jié),信息安全保密問題確實令人擔憂, 各種病毒、黑客攻擊已成為當前信息安全的主要隱患和面臨的主要形式。面對這種嚴峻形勢,如何做好信息安全與信息保密技術已成為當前各個科研機構和邊防部隊探討的重點。著力解決信息安全保密之策,積極的鑄造出各種信息安全的保護措施和保護構建是當前現(xiàn)代化軍隊組建和發(fā)展的主要措施和前提基礎。
1?在信息爭奪日趨激烈條件下,強化維護網絡信息安全的緊迫意識
在當前社會不斷發(fā)展過程中,各種信息技術要求不斷提高,信息技術已成為當前各個行業(yè)發(fā)展所不可缺少的一部分。所謂信息安全,是指信息本身的安全、信息處理系統(tǒng)的安全和信息在傳輸過程中傳輸的快捷和準確以及其保密系能。在當前網絡信息的安全性主要是體現(xiàn)在信息的機密、安全、可用和可靠性能。
網絡信息安全隨著社會發(fā)展已成為一個關系國家命運和安全的重大問題,更是當前各個國家所追求和探索的重點,在當前各個國家的競爭中,網絡信息技術的競爭已成為各個國家追求和探索的重點,更是其在發(fā)展中追求的主要問題所在。針對網絡的突然襲擊將成為國家安全的最嚴重威脅之一。在當前信息資源開發(fā)和利用日益擴大,各個行業(yè)之間都不可缺少的對信息資源進行充分的利用和探討,它在加速推進人類社會整體進步的同時,更是為當前各個國家之間的信息交流帶來便捷,同歲也為國家的敵人提供了便利的信息索取平臺。因此在當前提高網絡信息安全已成為國家發(fā)展的當務之急,更是邊防部隊建設中的重中之重。
2?在信息破壞逐漸增多的條件下,強化網絡信息安全面臨的挑戰(zhàn)意識
隨著近年來社會不斷發(fā)展中,人為的網上惡意攻擊已成為當前網絡信息安全面臨的最大威脅。在信息化條件下,網絡的快速普及給世界各國的網絡信息帶來了前所未有的挑戰(zhàn),其網絡信息安全已成為世界性的話題,更是世界探討的關鍵。
目前,邊防軍網絡化建設尚處于起步階段,在其對網絡技術應用的過程中還存在著諸多的缺陷和問題,各個問題都需要當前的良好建設。在我國邊防軍網絡信息安全主要存在的缺陷和因素主要有以下幾點:
一是安全網絡意識淡薄,缺乏網絡安全保密知識。隨著互聯(lián)網技術在當前社會中的不斷應用,全球性互聯(lián)網技術的廣泛連接,使得信息通用化的到了良好的發(fā)展,但是其安全防范意識卻是一直不夠,造成在網絡信息安全技術中的不足和不夠。
二是信息網絡安全技術落后,由于我國過去國情的影響,使得我國截止現(xiàn)在對國外的各種硬件和軟件設備依賴性較高,造成在使用的過程中存在著嚴重的不足和缺陷,以至于造成各種網絡信息技術的丟失。
三是我軍網絡系統(tǒng)重使用、輕防護的現(xiàn)象比較突出,安全防范能力較低,在邊防軍信息網絡建設中只顧著重視各種網絡信息的傳遞效率和準確性,而忽視對其機密和保密性的保管和探討。網絡信息安全的法規(guī)標準不完善,組織管理未跟上,缺乏宏觀規(guī)劃,各種規(guī)章制度不夠完善和健全。
四是維護網絡信息安全工作缺乏系統(tǒng)性,整體功效發(fā)揮不夠。
3?邊防軍信息安全意識建設
在當前社會發(fā)展過程中最為注重的還是對其意識的培養(yǎng)和建設。新軍革方興未艾,信息技術日新月異,由于我國邊防軍網絡安全信息系統(tǒng)剛剛起步,其在發(fā)展中要培養(yǎng)良好的安全防范意識,樹立全面的安全防范措施是當前的當務之急,更是保證網絡建設中做到其安全防范保護的關鍵。
3.1技術領域
為了避免其他國家在電腦硬件和軟件制造中留下個中隱藏后手,應當采用先進的技術對各種硬件和軟件進行分析,大力的投入去鉆研自主開發(fā)的硬件和軟件設備,是保證日后網絡信息戰(zhàn)爭過程中不受制于人的關鍵。開發(fā)自己的安全產品,研制自己的信息作戰(zhàn)武器在當前信息技術應用和發(fā)展中是其主要的關鍵。
3.2素質培養(yǎng)領域
未來信息條件下的網絡戰(zhàn)將不僅是技術的較量,更是各個國家之間人才交流和較量的前提和關鍵。必須把網絡人才的培訓納入全軍人才發(fā)展戰(zhàn)略規(guī)劃,制定出合理、科學的培養(yǎng)計劃,保證邊防建設中各個工作人員素質的要求。確保對人才培養(yǎng)中各種管理制度的完善是保證信息網絡安全的前提關鍵。
4 防火墻的構建
隨著當前社會和科學技術的不斷發(fā)展和應用,網絡信息技術在當前邊防部隊建設中有著不可替代的作用,防火墻作為當前現(xiàn)代化建設中不可缺少的一部分,是保證網絡信息安全的主要基礎關鍵。在當前科學技術飛速發(fā)展中,網絡技術可以說是已成為當前各個國家,各個部隊進行分析和研究的重點。防火墻是一個保護裝置,是當前信息網絡技術安全的主要保證基礎,是當前計算機網絡使用過程中的主要防護措施和防御工具,更是面對各種安全隱患和惡意攻擊進行良好的抵擋和保證的基礎關鍵。通常是指運行特別編寫或更改過操作系統(tǒng)的計算機,是以保護計算機使用中內部網絡安全和各種網絡訪問暢通的主要措施和方法。
為了確定防火墻設計策略,在邊防部隊網絡信息安全建設過程中,防火墻是不可缺少的一部分,應從最安全的防火墻設計策略開始,即除非明確允許,否則禁止某種服務。其在設計的過程中要以各種先進的技術措施為基礎,在必要的時候寧可采用中斷服務器的方式也要保證信息的安全性與保密性。因此在防火墻的設計中是一項不可忽視的過程。
為了保障企業(yè)的信息安全,必須建立一個企業(yè)信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術和信息安全建設與運行四部分內容(如圖1所示),四者既有機結合、又相互支撐。企業(yè)的信息安全體系運作就是企業(yè)根據安全策略,由安全組織(或人員)以安全技術作為工具和手段進行操作,來維持企業(yè)網絡的安全運行,從而使網絡安全可靠。
安全體系的普遍問題
當前大多數企業(yè)的信息安全體系普遍存在以下四方面的問題:
信息安全策略方面:許多企業(yè)沒有統(tǒng)一的安全運行體系;公司的安全策略沒有正式的審批和過程,沒有公司的行政力度進行保障,使得安全策略在企業(yè)內的執(zhí)行缺乏保障;缺乏規(guī)范的機制定期對信息安全策略、標準制度進行評審和修訂。
信息安全組織方面:缺乏完整、有效、責權統(tǒng)一的專門的信息安全組織,只是配有少量的兼職安全人員。信息安全工作沒有明確的責任歸屬,工作的開展與落實有困難;缺少信息安全專業(yè)人員,缺乏相應的安全知識和技能,安全培訓不足;缺乏對于全員的信息安全意識教育,桌面系統(tǒng)用戶的安全意識薄弱。
信息安全技術方面:用戶認證強度不夠;應用系統(tǒng)安全功能與強度不足;缺乏有效的信息系統(tǒng)安全監(jiān)控與審計手段;系統(tǒng)配置存在安全隱患;網絡安全域劃分不夠清晰,網絡安全技術的采用缺乏一致性。
信息安全建設與運行方面:沒有建立起完善的IT項目建設過程的安全管理機制,應用系統(tǒng)的開發(fā)沒有同步考慮信息安全的要求,存在信息安全方面的缺陷;日常的安全運維工作常處于被動防御狀態(tài);缺乏明確的檢查和處罰機制,多數企業(yè)在運維管理方面缺乏統(tǒng)一的安全要求和檢查;缺乏應急響應機制;對已有安全設施的維護、升級和管理不到位。
面對以上種種問題,企業(yè)必須認真考慮下列問題: 企業(yè)如何建立信息安全策略體系?企業(yè)信息安全組織如何建立?企業(yè)信息安全技術是否有效可靠?企業(yè)信息安全建設與運行是否有完整的制度保障?要解決這些問題,企業(yè)應充分利用成熟的信息安全理論成果,設計出兼顧整體性、具有可操作性,并且融策略、組織、運行和技術為一體的信息安全保障體系,保障企業(yè)信息系統(tǒng)的安全。
信息安全策略體系
信息安全策略體系規(guī)劃為三層架構,包括信息安全策略、信息安全標準及規(guī)范、信息安全操作流程和細則(如圖2所示),涉及的要素包括信息管理和技術兩個方面,覆蓋信息系統(tǒng)的物理層、網絡層、系統(tǒng)層、應用層四個層面。
技術安全體系
在IAARC信息系統(tǒng)安全技術模型中,包含了身份認證、內容安全、訪問控制、響應恢復和審核跟蹤五個部分,當前主要的信息安全技術或產品都可以歸結到上述五類安全技術要素(如圖3所示)。
充分利用信息安全的技術手段(包括身份認證、訪問管理、內容安全、審核跟蹤和響應恢復等五種保護措施),同時,結合信息安全所保護的對象層次,以及目前主流的信息安全產品和信息安全技術,完善企業(yè)信息安全技術體系框架。
整個企業(yè)信息安全技術體系的總體框架如圖4所示:
物理層安全
主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等。
網絡層安全
要建立注重安全域劃分和安全架構的設計。可以根據信任程度、受威脅的級別、需要保護的級別和安全需求,將網絡從總體上分成四個安全域,即公共區(qū)、半安全區(qū)、普通安全區(qū)和核心安全區(qū)。針對不同的安全區(qū)域采用不同的安全防范手段。
安全邊界的防護。邊界是不同網絡安全區(qū)域之間的分界線,是不同網絡安全區(qū)域間數據流動的必經之路。安全區(qū)域的邊界防護是根據不同安全區(qū)域的安全需要,采取相應的安全技術防護手段,制定合理的安全訪問控制策略,控制低安全區(qū)域的數據向高安全區(qū)域流動。
針對VPN的接入安全控制。用戶遠程VPN接入主要用于員工出差時訪問內部網絡的需求和各企業(yè)小規(guī)模分支機構訪問內部網的需求。VPN(虛擬專用網)是為通過一個公用網絡(通常是互聯(lián)網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。
網絡準入控制。網絡準入控制系統(tǒng)是通過對網絡用戶合法身份的驗證以及對網絡終端計算機安全狀態(tài)的檢測和評估,決定是否允許這臺網絡終端計算機接入企業(yè)網絡中。若不符合制定的準入策略,將其放入隔離區(qū)以修復,或僅允許其有限地訪問資源。降低非法用戶隨意接入企業(yè)網和不安全的計算機終端接入企業(yè)網對網絡安全帶來的潛在威脅。
做好網絡設備登錄認證。建立集中的網絡設備登錄認證系統(tǒng),用于對網絡設備維護用戶的集中管理,認證用戶的身份,決定其是否可以登錄到網絡設備;通過定義不同級別的用戶,授權他們能執(zhí)行的不同操作,記錄并審計用戶的登錄和操作。
系統(tǒng)層安全
做好系統(tǒng)主機的入侵檢測,針對系統(tǒng)主機的網絡訪問進行監(jiān)測,及時發(fā)現(xiàn)外來入侵和系統(tǒng)級用戶的非法操作行為;要做好系統(tǒng)主機的訪問控制,系統(tǒng)主機訪問控制提供給系統(tǒng)安全管理員最有效的方法,從用戶登錄安全、訪問控制安全、系統(tǒng)日志安全等方面加入安全機制;要做好系統(tǒng)主機的安全加固,定期對服務器操作系統(tǒng)和數據庫系統(tǒng)進行安全配置和加固,在不影響業(yè)務處理能力的前提下對系統(tǒng)的配置進行安全優(yōu)化,以提高系統(tǒng)自身的抗攻擊性,消除安全漏洞,降低安全風險;做好主機的安全審計工作,提供全面的安全審計日志和數據,提升主機審計保護能力,對審計數據的訪問進行嚴格控制,加強對審計數據的完整性保護。
應用層安全
隨著各種各樣的系統(tǒng)應用不斷深化和普及,一些應用系統(tǒng)安全問題不斷凸現(xiàn)出來。為了最大限度及時規(guī)避因應用安全問題帶來的威脅,應著力抓好六個方面的工作:建立應用安全基礎設施;健全應用安全相關規(guī)范;改進應用開發(fā)過程;組織關鍵應用安全性測試;加強應用安全相關人員管理;制定應用安全文檔及應急預案。
終端層安全
加強終端電腦的安全管理。終端安全指對接入企業(yè)網絡的終端設備(主要是臺式計算機、筆記本電腦和其他移動設備等)進行的安全管理。內容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產管理、終端補丁管理、終端配置管理、終端準入控制以及法規(guī)遵從等內容。
備份與恢復
備份與恢復是基于安全事件發(fā)生后保證災難所造成的損失在一個可以接受的范圍內、并使災難得到有效恢復的安全機制,包括數據級、應用級和業(yè)務級三個層次。參照國際標準Share78中定義的容災系統(tǒng)層次劃分,對不同等級的信息系統(tǒng)建立不同的備份與恢復機制。主要工作包括:開發(fā)容災計劃,通過對不同等級的信息系統(tǒng)容災需求分析,確定容災等級、RTO\RPO等容災指標、備份策略、恢復性測試要求等,設計容災方案;備份與恢復基礎設施的建設,包括建立異地災難恢復系統(tǒng)和重要數據的本地備份設施。
信息安全組織
信息安全組織的角色與職責要界定清晰。信息管理層進行適當的職責劃分,能合理阻止關鍵流程的破壞。同時應加強全員的信息安全意識教育,提高員工整體信息安全意識。建立安全組織與定義安全職責是密不可分的兩項工作,組織與職責的清晰定義可以有效地促進信息安全各項工作的進行,包括信息安全教育與培訓以及人員安全。企業(yè)要建立的信息安全組織要包含決策、管理、執(zhí)行與監(jiān)管四個層面。
信息安全教育與培訓要覆蓋公司各個層面的人員,提升整個企業(yè)人員安全的水平,同時人員安全的相關工作在制度和機制方面為教育與培訓提供有效保障。
關鍵詞:智能電網 信息安全 可信平臺 云計算
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-3973(2013)012-215-02
1 引言
以“自動化、信息化、互動化”為主要特征的智能電網,必將引入更多的智能基礎設施,這些設備組成的龐大網絡所產生的數據量是傳統(tǒng)電網無法比擬的,智能電網也被稱為“電網2.0”。如何有效應用電網產生的龐大數據量,是未來智能電網領域的研究人員面臨的一大挑戰(zhàn)。因此,將云計算方法與智能電網的屬性特征相結合,可以提供嶄新的解決思路。隨著智能電網建設步伐的推進,更多的設備和用戶接入電力系統(tǒng),例如,智能電表、分布式電源、數字化保護裝置、先進網絡等,它們在提升電網監(jiān)測與管理的同時也給數據與信息的安全帶來了隱患。因此,如何使眾多的用戶能在一個安全的環(huán)境下使用電網的服務,成了當前電網信息安全建設的重要內容之一。
云計算是在分布式計算、網格計算、并行計算等基礎上發(fā)展出的一種新型計算模型,云計算的出現(xiàn)使得人們可以直接通過網絡應用獲取軟件和計算能力。IBM公司在2007年末的云計算計劃中將其定義為:按用戶的需求進行動態(tài)部署、配置、重配置以及取消服務等伸縮性平臺。在云計算平臺中的服務必須是可伸縮的,屬于元(Meta)計算系統(tǒng),可以是具體的物理的服務器機群,也可以另外一個云計算平臺;通常一個通用的云計算平臺包含強大的計算資源、存儲區(qū)域網絡(SANS)、網絡設備、安全設備等。
2 電力企業(yè)的云計算需求
智能電網的信息化特征實質上是電力企業(yè)的信息化,包括電力生產、調度自動化和管理信息化等。目前調度自動化的各個系統(tǒng),如SCADA、AGE以及EMS等已經成熟應用,省級電力調度機構全部建成了以EMS/SCADA為基礎的三級調度自動化系統(tǒng)。但這些系統(tǒng)之間缺乏暢通的聯(lián)系:信息不能共享,業(yè)務不能協(xié)同發(fā)展,對企業(yè)管理決策的作用十分有限,形成了大量的“信息孤島”。未來電力信息系統(tǒng)需要對大量的信息資源進行共享,構筑一體化企業(yè)級信息集成平臺,即電力企業(yè)的云平臺。
云計算技術在電力企業(yè)的業(yè)務管理中已經逐步得到應用,另外,隨著技術的成熟和商業(yè)成本的降低,基于可信計算平臺的網絡應用獲得了迅猛發(fā)展。如果在電網業(yè)務管理體系中將可信計算與云計算結合起來,將會使電網的管理水平如虎添翼。圖1所示為電力營銷系統(tǒng)的云模型。
在可信計算環(huán)境下,每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內置密鑰,在模塊間能夠構成一個天然的安全通信信道。因此,可以將廣播的內容放在可信平臺模塊中,通過安全通信信道來進行廣播,這樣可以極大地節(jié)約通信開銷。智能電網的體系架構從設備功能上可以分為基礎硬件層、感知測量層、信息通信層和調度運維層四個層次。那么,智能電網的信息安全就必須包括物理安全、網絡安全、數據安全及備份恢復等方面。因此,其涉及到的關鍵問題可從CA體系建設、桌面安全部署、等級防護方案等方面入手。
3 智能電網中可信云的構造
未來接入智能電網的客戶,不是傳統(tǒng)意義上的單向服務接受者,而是具有與電網互動能力的雙向參與者,客戶的信息不但關系到隱私保護的問題,也同樣會影響到電網安全,亟待構建一個可信的智能電網云計算環(huán)境。目前,計算技術與密碼技術相結合,推動信息安全研究進入了可信計算(Trusted Computing, TC)階段。隨著技術的成熟和商業(yè)成本的降低,基于可信計算平臺的網絡應用獲得了迅猛發(fā)展。
因此,需要借鑒可信計算平臺的特點,研究如何設計高效的電力企業(yè)可信云計算平臺,以解決電力信息化建設過程中的“信息孤島”與信息安全問題,具有重要的現(xiàn)實意義和應用價值。
根據國家關于《信息系統(tǒng)等級保護基本要求》中關于信息安全管理的內容,針對電網業(yè)務應用系統(tǒng)的不同等級,設計了各應用系統(tǒng)的安全技術規(guī)劃,內容包括物理安全、網絡安全、系統(tǒng)安全、應用安全和數據安全等,如圖2所示。
在該實驗平臺中,采用PGP(pretty Good privaey)加密算法對不同模塊中的信息進行加密處理,如對保存文件進行加密、對電子郵件進行加密等,做到系統(tǒng)間信息的安全傳輸。
4 結束語
未來智能電網的安全保障不但要與信息安全技術相結合,還要融合先進的計算技術,如云計算、可信計算等,而不僅僅是簡單的集成,智能電網將會發(fā)展成基于可信計算的可信網絡平臺。本文以電力企業(yè)營銷系統(tǒng)的實驗平臺與可信計算結合起來,設計了面向智能電網的可信云計算環(huán)境。但信息安全是一個沒有盡頭的工作,需要及時在最新的案例中找到改進方法,不斷完善信息安全方案,智能電網的信息化建設也將充分吸收新技術的優(yōu)勢,爭取做到真正的智能、堅強。
(基金項目:中央高?;究蒲袠I(yè)務費專項資金項目(11MG50);河北省高等學??茖W研究項目(Z2013007))
參考文獻:
[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網技術綜述[J].電網技術,2009,33(8):1-7.
[2] 陳康,鄭緯民.云計算:系統(tǒng)實例與研究現(xiàn)狀[J].軟件學報,2009(5):1337-1348.
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2012)04-0000-00
1、校園網安全問題分析
1.1 校園網接入安全建設的煩惱
(1)整網安全狀況無法掌控;(2)內部病毒泛濫;(3)用戶接入隨意;(4)事故屢禁不止。
1.2 校園網出口安全建設的煩惱
(1)來自外部網絡的DoS攻擊、病毒、惡意掃描防不勝防;(2)P2P應用大行其道,蠶食出口帶寬,上網速度不堪忍受,師生怨聲載道;(3)出口鏈路眾多,多鏈路負載均衡和策略路由充滿挑戰(zhàn);(4)帶寬擴容,原有的路由器、防火墻超負荷運行;(5)并發(fā)連接回話激增,NAT網關頻繁死機;(6)出口日志記錄不詳,檢索復雜;(7)IPv6網絡出口缺乏安全防護手段,跨棧攻擊一觸即發(fā)。
2、校園網絡安全策略
制定安全有效的校園網安全策略,可以最大可能降低校園網受故意或無意的攻擊而造成的性能下降、失效、數據丟失或泄密。好的安全策略要從環(huán)境、用戶、產品、意識等方面來進行綜合分析,安全策略包括嚴格的管理、先進的技術和行之有效的規(guī)章制度。
2.1 物理安全策略
物理安全策略的目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。
2.2 防火墻控制策略
防火墻是一種網絡安全設備,它可以防止某些數據的出入。防火墻最基本的功能是確保網絡流量的合法性,并在此前提下將網絡的流量快速的從一條鏈路轉發(fā)到另外的鏈路上去。防火墻處于網絡邊緣,它就像一個邊界衛(wèi)士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵,只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。其次就是防火墻自身具有非常低的服務功能,除了專門的防火墻嵌入系統(tǒng)外,再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。
2.3 訪問控制策略
訪問控制策略是網絡安全防范和保護的主要策略,其任務是保證網絡資源不被非法使用和非法訪問。它是保證網絡安全最重要的核心策略之一,各種網絡安全策略必須相互配合才能真正起到保護作用。禁止無關的對外訪問,減少不必要的對外訪問,從而節(jié)省帶寬,降低風險,嚴格控制核查外來的訪問,最大限度地阻止黑客的攻擊破壞。
2.3.1 入網訪問控制
入網訪問控制是網絡訪問的第1層安全機制。它控制哪些用戶能夠登錄到服務器并獲準使用網絡資源,控制準許用戶入網的時間和位置。用戶的入網訪問控制通常分為三步執(zhí)行:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬戶的默認權限檢查,三道控制關卡中只要任何一關未過,該用戶便不能進入網絡。
用戶登錄時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。用戶的口令是用戶入網的關鍵所在,口令必須經過加密,最好是數字、字母和其他字符的組合,長度應不少于6個字符。用戶名和口令通過驗證之后,系統(tǒng)需要進一步對賬戶權限進行檢查??刂朴脩舻卿浫刖W的位置、限制用戶登錄入網的時間、入網的主機數量等等。
2.3.2 操作權限控制策略
操作權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶被賦予一定的權限,網絡管理員通過設置,可以控制用戶資源訪問的范圍,可以指定用戶對這些資源能夠執(zhí)行哪些操作。系統(tǒng)通常將操作權限控制策略,通過訪問控制表來描述用戶對網絡資源的操作權限。
2.3.3 網絡監(jiān)測控制
網絡管理員可以對網絡實施監(jiān)控, 服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問, 服務器應以圖形、文字或聲音等形式報警,以引起網絡管理員的注意。對于非法試圖進入網絡的, 網絡服務器應能夠自動記錄這種活動的次數,當次數達到設定數值,如果非法訪問的次數達到設定數值, 那么該賬戶將被自動鎖定。
2.4 網絡入侵檢測技術
入侵檢測指對入侵行為的發(fā)現(xiàn)。它不僅檢測來自外部的入侵行為,同時也檢測來自內部用戶的未授權活動。它通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對它們進行分析,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,以提高系統(tǒng)管理員的安全管理能力,及時對系統(tǒng)進行安全防范。
入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統(tǒng)的活動;檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞、統(tǒng)計分析異常行為等等。在校園網絡中采用入侵檢測技術最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統(tǒng)則會構架成一套完整立體的主動防御體系。
2.5 加強網絡安全管理
網絡安全技術的解決方案必須依賴安全管理規(guī)范的支持。首先應對學生進行法制教育,加強學生的法制觀念,約束自身的行為;第二,加強網絡的安全管理,應制定有關的規(guī)章制度, 這對于確保網絡安全、可靠地運行將起到十分有效的作用;第三,積極支持網絡管理員的工作,妥善處理好網絡安全問題。
3、校園網網絡安全結構設計
校園網絡結構設計主要是進行網絡的物理設計和邏輯設計,在完成結構設計后才能對網絡設備進行選型。網絡結構設計對于整個網絡系統(tǒng)來說是十分重要的,它設計的成功與否都直接影響網絡的使用功能的實現(xiàn)以及網絡是否能滿足網絡的需求。
3.1 物理設計
根據需求分析,可以知道整個校園網信息點的總數、分布情況。當我們確定網絡控制中心的位置后,就應該考慮如何把信息點連到網絡控制中心以及各種設備的連接速率和網絡使用的拓撲結構等,同時傳輸介質也是需要考慮的問題。
3.2 邏輯設計
網絡的邏輯設計主要考慮校園網的IP子網網段的劃分,通過實際的網絡物理連接,依據實際需求來實現(xiàn)虛擬網絡(VLAN)的設置。無論從網絡的安全性和IP地址的可管理性來考慮,還是從有效利用IP地址資源的角度來考慮,將整個校園網劃分為多個子網網段并對IP地址資源進行有效管理都是十分必要的。
3.3 組網技術
組網技術就是在把不同的網絡設備按設計方案的要求連接起來所用到的各種技術。它直接關系到建設出來的網絡系統(tǒng)能否達到設計要求,能不能投入使用這樣嚴重的問題,如在組網中有不按規(guī)范和標準來施工的話,建出的網絡系統(tǒng)的質量是達不到設計要求,是不能滿足用戶需求的。
3.3.1布線系統(tǒng)設計
校園內布線一般是在建筑物內、建筑群之間,這就要求布線系統(tǒng)均采用符合國際標準的綜合布線系統(tǒng),園區(qū)采用光纖、雙絞線的混合布線方式。
在結構化布線完工后,必須對整個系統(tǒng)進行測試后才能投入使用,以保證系統(tǒng)能達到設計要求一次性布線,可保證在十五到二十年之內,其系統(tǒng)性能不會下降,功能也不會落后,真正達到一次投資,長期受益。
3.3.2網絡系統(tǒng)平臺選擇
在網絡系統(tǒng)平臺的選擇上,要根據用戶需要以及實際情況選擇合適網絡系統(tǒng)。例如UNIX在支持應用服務器方面功能最強。在眾多局域網的情況下整合構建數字校園網可靠性最好、可以長時間提供服務、安全性強、幾乎不染毒。缺點是版本多、系統(tǒng)命令多、管理復雜。Windows 2008 server也是一款非常不錯的服務器操作系。界面簡單、容易上手、管理方便,目前使用者眾多。
3.3.3Internet接入技術
目前校園網接入Internet的方式主要有:光纖、DDN、ISDN、ADSL等。
(1)光纖:光纖是一種在校園網建設中普遍使用的一種技術,它是通過構建專用的Internet服務器來實現(xiàn)的,是速度最快的Internet接入方式,光纖接入的優(yōu)點是可提供比較高的網絡帶寬和穩(wěn)定性,但它的連接較為復雜,當然它的技術要求和成本也是最高的。
(2)DDN :DDN是目前校園網接入Internet的主要方式,速度最高可達2Mbit/s。它性能穩(wěn)定,成本適中,比較適合中型校園網。
(3)ISDN:對于終端較少的小型校園網,可選用ISDN接入Internet。ISDN接入Internet的標準速度是64Kbit/s(1B+D)。ISDN配置簡單,雖然像Modem一樣利用電話線路,但可以在上網的同時打電話。
(4)ADSL:ADSL是 Asymmetric Digital Subscriber Line的縮寫,中文意思是非對稱數字用戶線路,它的一個明顯優(yōu)勢是經濟上實用。ADSL的使用費和維護費用遠遠低于DDN,而速度卻高于DDN,是校園網接入 Internet的理想選擇。 ADSL寬帶線路通過ADSL Modem接入Internet服務器的網卡上的,不過ADSL專線的接入是用傳統(tǒng)的模擬電話雙絞線線路布線不很規(guī)范,線路質量不夠好,達不到高速傳輸的要求,目前它只用在一些中小型網絡。
3.3.4防火墻控制
防火墻也是校園網中非常重要的一個部分,它使內部網絡與外部網絡互相隔離、限制網絡互訪,用來保護內部網絡,是內網和外網之間的一道安全屏障。設置防火墻的目的都是為了在內部網與外部網之間設立惟一的通道來自簡化網絡的安全管理,用于保護內網中信息不受外網的非法侵犯。它的原理是根據報文的源IP地址、目的IP地址、源端口、目的端口報文信息來判斷是否允許報文通過,簡單的可以用路由器完成,復雜的則可以用主機甚至一個子網來實現(xiàn)。防火墻可以經濟、有效的保證網絡安全。
3.4 防病毒措施和信息保密技術
3.4.1防病毒措施
計算機病毒是引起計算機故障、破壞計算機數據的程序。它能夠傳染其它程序,并進行自我復制,特別是在網絡環(huán)境下,計算機病毒有著不可估量的威脅性和破壞力。
因此對計算機病毒的防范是校園網絡安全建設的一個重要環(huán)節(jié),應該在學校培養(yǎng)起集體防病毒意識,制定出防病毒管理機制??梢允褂梅啦《拒浖Ψ掌髦械奈募M行頻繁掃描和監(jiān)測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。
3.4.2信息保密技術
信息保密技術是研究對信息進行變換,以防止第三方對信息進行竊取、破壞其機密性的技術。保密重要從以下幾個方面入手:
第一,采用密碼技術對信息加密。這是最常用、有效的安全保護手段。使用密碼技術的核心目的是實現(xiàn)信息或數據的安全應用與安全傳輸,從密碼技術本身所提供的基礎功能上講,可實現(xiàn)數據機密性、數據完整性驗證及數據不可抵賴性驗證。
第二,身份認證。身份認證即用戶身份的確認技術,要求參與安全通信的雙方在進行安全通信前,必須互相鑒別對方的身份。它是網絡安全的第一道防線,也是最重要的一道防線。身份認證保證系統(tǒng)中的數據只能被有權限的人訪問,未經授權的人則無法訪問到數據。
第三,數字簽名。數字簽名技術就是根據某種協(xié)議來產生一個反映被簽署文件的特征以及簽署人的特性的數字化簽名,以保證文件的真實性和有效性。數字簽名是實現(xiàn)認證的重要工具,其根本目的在于驗證消息的完整性以及數據在傳輸和存儲過程中是否會被篡改重放或延遲等。
4、安全措施的實現(xiàn)
4.1 服務器的安全
校園網服務器的安全可以從以下幾方面考慮;
第一,硬件系統(tǒng)的安全防護
硬件穩(wěn)定的安全運轉,是網絡系統(tǒng)良好運行的首要保證。我們對放置服務器的機房應切實做好防雷、防火、防水、防電、防高溫等工作。應配備不間斷電源或采用雙電源系統(tǒng)保證服務器時刻處于工作狀態(tài)。禁止無關人員隨意進入機房,防止人為的蓄意破壞和盜竊事件發(fā)生。
第二,軟件系統(tǒng)的安全防護
軟件系統(tǒng)的安全防護一般可以從以下幾方面著手:
(1)建立服務器檔案:包括服務器的硬件配置、型號、操作系統(tǒng)、維修記錄等進行記錄,以便出現(xiàn)故障時能進行對照。
(2)操作系統(tǒng)及時升級安裝補丁程序。
(3)加強操作系統(tǒng)權限管理和口令管理:檢查用戶和組里是否有非法用戶, 開啟審核策略,修改終端管理端口,以及配置MS-SQL刪除危險的存儲過程。
(4)安裝防火墻與殺毒軟件:安裝病毒防火墻和網絡防火墻,定期對病毒庫進行更新,按計劃查毒殺毒;定期用對服務器開放的端口進行檢測;用進程檢測軟件監(jiān)測服務器所開的進程,并和以往的進程列表作比較;服務器盡可能不要設置文件共享,不要打開寫文件的權限,即使開啟共享,也應設置相應密碼。
(5)定期對服務器進行備份與維護:為防止意外的系統(tǒng)故障或用戶非法操作,系統(tǒng)管理員需要定期備份服務器上的重要系統(tǒng)文件。文件資料可以用RAID方式進行備份,重要的資料還應用保存在存儲中。
4.2 校園網絡的管理安全
任何先進的系統(tǒng)都是為人服務的,因此想使計算機網絡的各種故障減少到最低,網絡管理員就要在平時做好網絡的預防性維護以及重要數據的備份、計算機病毒的防護,記錄網絡事件等工作,建立起一整套完善的現(xiàn)代化網絡運行、使用、管理規(guī)范永遠是保證其發(fā)揮出最大效益的重要保障。
加強網絡的安全管理, 制定有關的規(guī)章制度,對于確保網絡安全、可靠地運行將起到十分有效的作用。包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規(guī)程和人員出入機房管理制度;制定網絡系統(tǒng)的維護制度和應急措施等。
預防性維護也是非常重要的,預防性維護可以為系統(tǒng)管理員減少很多的麻煩,例如:清理污垢和其他一些污染,如果灰塵污垢太多的話就會造成設備散熱不良,嚴重的還會引起電子器件間的短路。
檢查各種網絡設備的連接情況,每隔一段日期就檢查一下局域網中所有計算機系統(tǒng)的連線是否松動,查看一下電源線、顯示器、網絡,串行和并行電纜以及各種配件等。
系統(tǒng)、數據的備份工作是必需的。在安裝了服務器或者對系統(tǒng)進行了重大的修改之后,一定要把整個系統(tǒng)備份下來。在備份之后還要進行測試,以保證備份的系統(tǒng)能夠正常工作。
校園網絡的安全問題,不僅是設備、技術的問題,更是管理的問題。對于校園網絡的管理人員來講,一定要提高網絡安全意識,加強網絡安全技術的掌握,注重對學生教工的網絡安全知識培訓,而且更需要制定一套完整的規(guī)章制度來規(guī)范上網人員的行為。
5、結語
總之,校園網的安全問題是一個較為復雜的系統(tǒng)工程。隨著計算機技術的飛速發(fā)展,網絡的安全有待于在實踐中進一步研究和探索。在目前的情況下,我們應當全面考慮綜合運用防火墻、加密技術、防毒軟件等多項措施,互相配合,加強管理,從中尋找確保網絡安全與網絡效率的平衡點,綜合提高校園網絡的安全性,從而建立起一套真正適合學校計算機網絡的安全體系,以確保校園網正常安全運行和朝著健康有序方向發(fā)展。
參考文獻
[1] 覃肖云.基于校園網分布式入侵檢測系統(tǒng)的研究與實現(xiàn).《大眾科技》,2009.4.
[2] 張惠平.淺談高校校園網絡安全分析及防護策略.《網絡安全》,2008.9.
[3] 網管員必備寶典――網絡安全出版社:清華大學出版社.
網絡安全 LTE網絡安全域劃分 EPC網絡安全部署 IP承載網安全部署 LTE網絡邊界安全部署
1 引言
隨著移動通信技術的發(fā)展,3GPP標準組織啟動了面向無線網絡演進計劃的長期演進(Long Term Evolution,LTE)以及面向核心網絡演進計劃的系統(tǒng)框架演進(System Architecture Evolution,SAE)項目,以滿足高用戶數據速率、大系統(tǒng)容量、無縫覆蓋的網絡演進需求。
LTE網絡架構變化為移動通信發(fā)展帶來新的契機。與此同時,扁平的網絡結構、全IP化的網絡等特征也為LTE網絡帶來一定的安全威脅。
為適應LTE/EPC網絡的引入,解決LTE/EPC網絡建設和演進中存在的安全問題,本文將從LTE網絡演進特點及LTE網絡安全威脅分析入手,通過分析LTE網絡面臨的安全威脅,探索并提出LTE網絡安全部署解決方案。
2 LTE網絡安全威脅分析
LTE/SAE的關鍵特性主要表現(xiàn)為:
(1)網絡架構全面分組化:網絡全IP化,只有分組域,語音業(yè)務由分組域配合IMS域提供,提升網絡效率和性能。
(2)網絡架構扁平化:網絡結構趨于簡單,通過S-GW和P-GW的可選合設達到網絡扁平化的目的,簡化網絡部署,縮短時延。
(3)支持多接入技術:支持與現(xiàn)有3GPP系統(tǒng)的互通,同時支持非3GPP網絡的接入,支持用戶在3GPP及非3GPP網絡間的漫游和切換。
(4)高速率:峰值速率可以達到下行100Mbit/s,上行50Mbit/s。
(5)部署快:由于網絡的簡單化,可以快速部署網絡,以適應業(yè)務不斷豐富化發(fā)展的趨勢。
LTE網絡結構和業(yè)務的特征如圖1所示。
由于LTE網絡架構和業(yè)務特征的變化,使得LTE網絡面臨特定的安全威脅,主要表現(xiàn)在以下幾個方面:
(1)扁平的網絡結構
缺少對在回傳網上的數據的保護,數據存在泄漏風險;來自終端和eNB的攻擊可直達EPC。
(2)全IP化
無連接及開放的IP網絡使攻擊更容易;IP網絡的安全問題將被引入LTE網絡。
(3)高帶寬與終端智能化
高帶寬使得攻擊移動終端成為可能,移動終端面臨成為DDoS的攻擊工具的風險;終端的智能化及應用的多樣化,使得信令風暴愈演愈烈,針對SCTP和GTP的攻擊增多。
3 LTE網絡安全部署方案
針對LTE網絡安全威脅,需要全面考慮LTE網絡安全問題,設計LTE網絡安全部署方案。根據LTE網絡安全建設需求,構建涵蓋LTE網絡安全域劃分、EPC網絡安全部署、IP承載網安全部署、LTE網絡邊界安全部署的整體網絡安全部署方案,如圖2所示。
3.1 LTE網絡安全域
通過劃分安全域,能夠在一定程度上隔離/減輕各安全域之間安全威脅的擴散或相互影響,從而提高全網的安全性、可靠性和可控性。
安全域劃分的原則為,劃分在同一安全域內的網絡設備需要具有相同的安全保護需求、安全保護等級、安全訪問控制策略、邊界控制策略,各網絡設備之間能相互信任。
據此,可將LTE網絡劃分為6個安全域:
(1)E-UTRAN安全域,包括eNB、PTN、CE、SEG。
(2)核心網安全域,包括MME、S-GW、P-GW、BG、CE、DNS。
(3)計費安全域,包括CG、計費服務器。
(4)用戶信息安全域,包括HSS、BOSS前置機。
(5)互聯(lián)網安全域,包括互聯(lián)網接入路由器。
(6)OMC安全域,包括LTE網管服務器、工作終端、安全管理設備、防火墻以及組成本域網絡的數據通信設備等。
3.2 LTE網絡邊界安全
LTE網絡邊界安全包括LTE核心網與OMC之間、LTE核心網與互聯(lián)網之間、LTE核心網與其他PLMN之間的安全3個部分。
(1)LTE核心網與OMC之間
LTE核心網與OMC之間網元需要配置單獨的物理接口,與其它業(yè)務流量獨立;為防止對核心網設備的攻擊,需要在OMC接口配置嚴格的授權訪問機制,同時在核心網端進行狀態(tài)檢測和設置ACL包過濾機制。
(2)LTE核心網與互聯(lián)網之間
LTE核心網與互聯(lián)網邊界配置防火墻,防火墻及安全策略為:在防火墻安全區(qū),配置包過濾,建議采用狀態(tài)防火墻;針對外網對內網的攻擊,配置針對典型攻擊的安全策略;在核心網與出口路由器之間進行路由控制,防止泄漏核心網的內部拓撲信息。
(3)LTE核心網與其他PLMN之間
LTE核心網與其他PLMN之間的安全涉及S8、S9和S10等接口,在邊界部署B(yǎng)G、防火墻等設備,控制GTP、DNS、路由數據的傳輸,防止來自其它PLMN的安全問題。
邊界防護策略主要有ACL包過濾(可用防火墻實現(xiàn));IP攻擊防護(可用防火墻實現(xiàn));支持GTP協(xié)議解析功能的防火墻;采用加密的動態(tài)路由協(xié)議等。
3.3 EPC網絡安全
EPC網絡安全包括業(yè)務安全機制和設備安全這2個方面。
(1)業(yè)務安全機制
NAS層、IRAT互操作的安全機制符合3GPP TS 33.401要求。接入控制:NAS信令完整性和機密性保護、AKA、GUTI分配、IMEI識別等;EUTRAN內和EUTRAN和GERAN/UTRAN之間切換場景下的安全機制;支持UE IP地址反盜用功能(Anti-spoofing)。
(2)設備安全機制
設備安全機制涵蓋管理面、控制面以及用戶面。管理面的安全保護主要是安全的網管連接,特別是遠程連接,同時管理用戶的認證、授權和審計;控制面的安全保護主要為設備防火墻,關閉不必要的端口,開啟路由協(xié)議的安全認證;用戶面的安全保護主要為采用訪問控制列表(ACL),對攻擊流量進行有效限制和跟蹤。
3.4 IP承載網安全
IP承載網安全主要包括業(yè)務接入安全策略和協(xié)議保護2個方面。
(1)業(yè)務接入安全策略
采取措施以充分保證業(yè)務系統(tǒng)接入IP承載網的安全。業(yè)務之間通過MPLS VPN進行隔離;應用系統(tǒng)配置防病毒軟件,關鍵業(yè)務節(jié)點應通過防火墻保護;IP承載網應采取路由過濾、路由限制、流量過濾、uRPF相關的安全措施控制流量沖擊帶來的安全風險,以保證PE的安全。
(2)協(xié)議保護措施
BGP保護
限定合法PEER路由器IP地址和所在AS號;在Access端口上采用嚴格反向路徑查找技術,過濾來自其他網絡的偽造源地址的BGP攻擊包,對不能支持嚴格反向路徑查找的設備,通過ACL過濾源地址實現(xiàn)類似功能;在所有Access端口上采用分組過濾策略拒絕非法的EBGP協(xié)議數據包[1]。
NTP保護
IP承載網通過分組過濾限制從外網進入承載網的NTP數據包,同時在NTP會話上進行MD5認證[2]。
組播保護
Access端口上利用分組過濾技術缺省禁止組播數據流,對MSDP進行MD5認證,在RP上對SA消息進行過濾。
SNMP
實施MD5認證和DES加密,通過MIB View限制對包含大數據量的表類型變量的訪問(路由表和CEF表)[2]。
3.5 網絡操作安全管理
網絡操作安全管理涵蓋對網絡管理員、網絡口令、網絡功能端口的管理和安全策略。
(1)網絡管理員
對網絡管理員進行分權和分級制,對網絡訪問的權限進行嚴格控制,避免由內部管理員誤操作帶來的安全隱患;高級網管員可以修改配置、刪除賬號;低級管理員只能察看網管界面,不能做任何改動。
(2)網絡口令管理
對設備的訪問實施AAA集中管理控制,避免采用設備本身的認證;采用TACACS+等加密的認證方式,保證用戶名和密碼在網上的傳遞是經過加密的[1],采用One-Time密碼,防止密碼強制攻擊等手段;同時網絡口令需要有審計的功能,防止密碼被盜用的現(xiàn)象發(fā)生。
(3)網絡功能和端口
根據應用的不同,關閉不必要的端口和功能(如ICMP Redirect、Direct Broadcast、Proxy ARP),防止利用這些功能攻擊網絡系統(tǒng)。
4 結束語
LTE網絡架構變化為移動通信發(fā)展帶來新的契機,與此同時,扁平的網絡結構、全IP化的網絡等特征也為LTE網絡帶來一定的安全威脅。為適應LTE/EPC網絡的引入,解決LTE/EPC網絡建設和演進中存在的安全問題,分析了LTE網絡面臨的安全威脅,在此基礎上提出并構建涵蓋LTE網絡安全域劃分、EPC網絡安全部署、IP承載網安全部署、LTE網絡邊界安全部署的整體網絡安全部署方案。網絡安全攻防技術動態(tài)演進發(fā)展,因此網絡安全部署需要不斷升級改造,隨著LTE網絡的建設運營及移動網絡攻擊技術的變化,未來可能出現(xiàn)新的安全問題,因此需要不斷跟進和進一步深入研究網絡安全部署方案。
參考文獻:
[1] 林秋輝. 城域網設計方案研究[D]. 北京: 北京郵電大學, 2010.
[2] 左爽. 聯(lián)通IP承載網規(guī)劃與設計[D]. 天津: 天津大學, 2007.
[3] 3GPP TS 23.401. Evolved Universal Terrestrial Radio Access Network (E-UTRAN) Access[S]. 2013.
[4] 3GPP TS 33.401. 3GPP System Architecture Evolution (SAE); Security Architecture[S]. 2013.
[5] 3GPP TS 33.310. Network Domain Security (NDS)[S]. 2013.
[6] 3GPP TS 33.210. 3G Security Network Domain Security IP Network Layer Security[S]. 2013.
基礎設施安全隱患自查報告范文(一)
根據《關于轉發(fā)<關于開展2019年六安市網絡安全檢查工作的通知>的通知》(區(qū)宣字〔2019〕23號)的要求,椿樹鎮(zhèn)黨委、政府高度重視并迅速開展檢查工作,現(xiàn)將檢查情況總結報告如下:
一、成立領導小組
為進一步加強網絡信息系統(tǒng)安全管理工作,我鎮(zhèn)成立了網絡信息工作領導小組,由鎮(zhèn)長任組長,分管副書記任副組長,下設辦公室,做到分工明確,責任具體到人,確保網絡信息安全工作順利實施。
二、網絡安全現(xiàn)狀
目前我鎮(zhèn)共有電腦32臺,均采用防火墻對網絡進行保護,并安裝了殺毒軟件對全鎮(zhèn)計算機進行病毒防治。
三、網絡安全管理措施
為了做好信息化建設,規(guī)范政府信息化管理,我鎮(zhèn)專門制訂了《椿樹鎮(zhèn)網絡安全管理制度》、《椿樹鎮(zhèn)網絡信息安全保障工作方案》、《椿樹鎮(zhèn)病毒檢測和網絡安全漏洞檢測制度》等多項制度,對信息化工作管理、內部電腦安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規(guī)定,進一步規(guī)范了我鎮(zhèn)信息安全管理工作。
針對計算機保密工作,我鎮(zhèn)制定了《椿樹鎮(zhèn)鎮(zhèn)信息審核、登記制度》、《椿樹鎮(zhèn)突發(fā)信息網絡事件應急預案》等相關制度,并定期對網站上的所有信息進行整理,未發(fā)現(xiàn)涉及到安全保密內容的信息;與網絡安全小組成員簽訂了《椿樹鎮(zhèn)網絡信息安全管理責任書》,確保計算機使用做到“誰使用、誰負責”;對我鎮(zhèn)內網產生的數據信息進行嚴格、規(guī)范管理,并及時存檔備份;此外,在全鎮(zhèn)范圍內組織相關計算機安全技術培訓,并開展有針對性的“網絡信息安全”教育及演練,積極參加其他計算機安全技術培訓,提高了網絡維護以及安全防護技能和意識,有力地保障我鎮(zhèn)政府信息網絡正常運行。
四、網絡安全存在的不足及整改措施
目前,我鎮(zhèn)網絡安全仍然存在以下幾點不足:
一是安全防范意識較為薄弱;二是病毒監(jiān)控能力有待提高;三是對移動存儲介質的使用管理還不夠規(guī)范;四是遇到惡意攻擊、計算機病毒侵襲等突發(fā)事件處理能力不夠。
針對目前我鎮(zhèn)網絡安全方面存在的不足,提出以下幾點整改意見:
1、進一步加強網絡安全小組成員計算機操作技術、網絡安全技術方面的培訓,強化計算機操作人員對網絡病毒、信息安全威脅的防范意識,做到早發(fā)現(xiàn),早報告、早處理。
2、加強干部職工在計算機技術、網絡技術方面的學習,不斷提高機關干部的計算機技術水平。
基礎設施安全隱患自查報告范文(二)
按照《XX市交通局關于開展全市重大交通基礎設施安全隱患排查工作的通知》文件的安排部署,10月25日至11月2日,市公路處副處長劉大倫、劉志斌帶隊赴各縣、區(qū)(市),采取檢查組重點抽查與各縣、區(qū)(市)自查結合的方式,檢查了全市管養(yǎng)的縣公路、鄉(xiāng)公路和部分村公路XX縣鄉(xiāng)公路橋梁情況?,F(xiàn)將綜合檢查情況報告如下:
一、公路檢查情況
全面檢查了縣公路68條,抽查和自查了鄉(xiāng)公路692條、村公路310條。查出存在安全隱患的線路有958條,需處治隱患4521處,處治隱患里程1587.464公里,需總投資4307.23萬元。沒有發(fā)現(xiàn)重大安全隱患。檢查資料已上報省公路局。
二、橋梁檢查情況
抽查農村公路管理養(yǎng)護橋梁211座(不含村道中小橋),自查管理養(yǎng)護農村公路橋梁499座(不含村道中小橋)。大部分橋梁存在不同類型安全隱患的橋梁。已查出存在安全隱患的管理養(yǎng)護橋梁:二郎小橋、二郎大橋、兩河口二橋、兩蔑路一橋、梁蔑路二橋、官渡大橋、人仁路孔灘橋、官渡魚灣大橋、河閃渡大橋、戲子灘大橋、龍?zhí)翗?、半坎橋、樂莊橋、鹽津河大橋、兩河口大橋等,存在的隱患類型主要是超荷、地質災害、水毀等,隱患程度不一,有的僅需少量人財物即可恢復,有的需列入危橋改造工程維修加固。針對隱患的不同類型和程度,分別采取了設置超載限速標志、落實專人監(jiān)管、向省公路局上報檢查資料等措施。
募溪河橋(XX縣)、青杠塘橋(XX縣)、進化新橋(XX縣)等在建橋梁、危橋維修加固橋梁未發(fā)現(xiàn)安全隱患。列入抽查的通村公路橋梁,以及各縣、區(qū)(市)自查通村公路橋梁,檢查中沒有發(fā)現(xiàn)重大安全隱患。
三、安保工程實施情況
根據省公路局“關于XX市農村公路安全保障工程設計方案的批復”(黔路復〔2019〕169號文),我市今年18個項目的安保工程計劃,中央車購稅投資827萬元,項目涉及習水、務川、湄潭、仁懷、綏陽、余慶、桐梓、正安、XX縣及習赤公司等十個縣、區(qū)(市),12月底完成鋼筋砼護欄14808米,波型護欄74698米,警示墩3589個,禁令和警告標志898套,地名和指路標志18套,標線4194㎡,處治隱患670處,處治隱患里程309k,完成投資827萬元。
四、水毀恢復情況
據統(tǒng)計,進入雨季以來,我市有41條農村公路發(fā)生水毀,工程量:損毀路基13906 m3/2365m,沖毀路面砂路87000 m2/4428m,砼或瀝青路面14261 m2/4428m;橋梁局部毀20米/1座;涵洞全毀18道,局部毀6道;擋墻15908 m3/193處,坍方259342 m3/620處,需恢復資金810.682萬元。今年共安排水毀搶險資金320萬元,主要修復路基缺口、山體滑坡造成改移線路段截12月底共完成擋墻修復23500m3, 177處,改線3.2公里,恢復水毀線路37條。
檢查表明:我市列入管理養(yǎng)護的農村公路及橋梁,安全形勢穩(wěn)定,無安全事故,
五、下步工作安排
(一)進一步全面了解本轄區(qū)內事故事易發(fā)路段,建立安保工程數據庫。
(二)逐年安排資金消除存在安全隱患的線路。
六、存在問題及建議
(一)我市農村公路點多、線長、面廣,公路建設中未考慮安保設施,安全隱患治理資金投入少,急需治理隱患較多,為保障公路安全運行,需各級籌措資金治理現(xiàn)有農村安全隱患。建議今后公路改建安全設施應納入設計。
(二)汛期水毀災害有突發(fā)性和季節(jié)性特征。由于無水毀預備資金,發(fā)生災害后不能及時安排資金處治,計劃報送后,往往投資不足,造成水毀工程修復不徹底,部分路段只能設置簡易警示標志,建議安排水毀預備金。
基礎設施安全隱患自查報告范文(三)
根據南信聯(lián)發(fā)[XX]4號文件《關于開展**市電子政務網信息安全與網絡管理專項檢查的通知》文件精神,我局積極組織落實,認真對照,對網絡安全基礎設施建設情況、網絡安全防范技術情況及網絡信息安全保密管理情況進行了自查,對我局的網絡信息安全建設進行了深刻的剖析,現(xiàn)將自查情況報告如下:
一、加強領導,成立了網絡與信息安全工作領導小組
為進一步加強全局網絡信息系統(tǒng)安全管理工作,我局成立了網絡與信息系統(tǒng)安全保密工作領導小組,由局長任組長,下設辦公室,做到分工明確,責任具體到人。確保網絡信息安全工作順利實施。
二、我局網絡安全現(xiàn)狀
我局的統(tǒng)計信息自動化建設從一九九七年開始,經過不斷發(fā)展,逐漸由原來的小型局域網發(fā)展成為目前與國家局、自治區(qū)局以及縣區(qū)局實現(xiàn)四級互聯(lián)互通網絡。網絡核心采用思科7600和3600交換機,數據中心采用3com4226交換機,匯集層采用3com4226交換機、思科2924交換機和聯(lián)想天工ispirit 1208e交換機,總共可提供150多個有線接入點,目前為止已使用80個左右。數據中心骨干為千兆交換式,百兆交換到桌面。因特網出口統(tǒng)一由市信息辦提供,為雙百兆光纖;與自治區(qū)統(tǒng)計局采用2兆光纖直聯(lián),各縣區(qū)統(tǒng)計局及三個開發(fā)區(qū)統(tǒng)計局采用天融信vpn虛擬專用網絡軟件從互聯(lián)網上連接進入到自治區(qū)統(tǒng)計局的網絡,vpn入口總帶寬為4兆,然后再連接到我局。橫向方面,積極推進市統(tǒng)計局與政府網互聯(lián),目前已經實現(xiàn)與100多家市級黨政部門和12個縣區(qū)政府的光纖連接。我局采用天融信硬件防火墻對網絡進行保護,采用偉思網絡隔離卡和文件防彈衣軟件對重點計算機進行單機保護,安裝正版金山毒霸網絡版殺毒軟件,對全局計算機進行病毒防治。
三、我局網絡信息化安全管理
為了做好信息化建設,規(guī)范統(tǒng)計信息化管理,我局專門制訂了《**市統(tǒng)計局信息化規(guī)章制度》,對信息化工作管理、內部電腦安全管理、機房管理、機房環(huán)境安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規(guī)定,進一步規(guī)范了我局信息安全管理工作。
針對計算機保密工作,我局制定了《涉密計算機管理制度》,并由計算機使用人員簽訂了《**市統(tǒng)計局計算機保密工作崗位責任書》,對計算機使用做到“誰使用誰負責”;對我局內網產生的數據信息進行嚴格、規(guī)范管理。
此外,我局在全局范圍內每年都組織相關計算機安全技術培訓,計算站的同志還積極參加市信息辦及其他計算機安全技術培訓,提高了網絡維護以及安全防護技能和意識,有力地保障我局統(tǒng)計信息網絡正常運行。
四、網絡安全存在的不足及整改措施
目前,我局網絡安全仍然存在以下幾點不足:一是安全防范意識較為薄弱;二是病毒監(jiān)控能力有待提高;三是遇到惡意攻擊、計算機病毒侵襲等突發(fā)事件處理不夠及時。
針對目前我局網絡安全方面存在的不足,提出以下幾點整改辦法:
【 關鍵詞 】 數字化;數字化校園;安全;風險;安全策略
Risk Analysis of the Network Security for the Digital Campus and the Countermeasures
Lei Yan-rui
(Hainan College of Software Technology HainanQionghai 571400)
【 Abstract 】 The continuous advancement in making digital campus has achieved enormously improved management efficiency. But it has also inflicted risks to the security of the campus network because of its open nature. In this paper, we provide several pieces of advice on the security of the campus network.
【 Keywords 】 digitization; digital campus; security; risk; security policy
1 引言
1998年,因美國前副總統(tǒng)戈爾最先提出“數字化地球”的概念而引出“數字化城市”和“數字化校園”的定義。數字化校園是指通過計算機相關技術、網絡通訊的相關技術對學校的教學、管理和生活等都進行全面的數字化信息系統(tǒng)管理,在一定程度上最大限度地存儲、整合、利用和共享這些數據,實現(xiàn)統(tǒng)一的身份認證、數據采集平臺和信息管理平臺,從而簡化傳統(tǒng)的工作流程,最終實現(xiàn)高效率、高競爭力、數字化管理的校園平臺。
近十年來,國內各本科院校對于數字化校園的建設都比較重視,大中專院校也緊隨其后,進行了數字化校園建設的思考和行動。大家建設的目標都以教學、管理、消費和身份認證等服務為一體的新型的工作、學習和生活環(huán)境為中心,并且在建設上已經取得了一定的成效。
2 現(xiàn)狀
隨著信息化的進一步發(fā)展和學校業(yè)務的不斷深化,海南軟件職業(yè)技術學院也開始數字化校園建設的步伐。1996年即開始使用食堂一卡通,隨著后來考勤系統(tǒng)、教務系統(tǒng)、財產管理系統(tǒng)的開發(fā)使用,使用過程中暴露出的安全隱患問題越來越多,而這些安全問題在數字化校園的建設中值得我們深思。如表1所示。
3 初步解決方案
3.1 自然災害
自然災害是無法避免和預防的,對于天災造成的任何風險我們都不可避免,也就無法通過任何技術降低風險,只能在災難發(fā)生后想辦法恢復或者提前備份等。
那么對于自然災害發(fā)生之后的安全問題,管理者需提前制定一套完整可行的事件救援、災難恢復計劃及方案,做好計算機系統(tǒng)、網絡、應用軟件及各種資料數據的備份,建立備份數據庫系統(tǒng)。
3.2 軟、硬件環(huán)境故障
校園網絡設備的正常工作對網絡安全的影響巨大,如果電力設備、UPS、空調等設備規(guī)劃設計出錯、參數設置不當、維護不及時或者維護方法不對等,都可能間接影響校園網絡的信息安全。
對于硬件故障,應確保不超負荷運行、建立完善完備的管理制度并且嚴格執(zhí)行,保證溫度、濕度、設備的參數設置等處于可監(jiān)管的狀態(tài),平時需定時審計,以保證制度的執(zhí)行力度。軟件故障中的設計缺陷,一經發(fā)現(xiàn)應立即修正;安裝新軟件時,充分考慮兼容性的要求,提前保護已經存在的被共享使用的DLL文件,防止安裝過程中被其他文件覆蓋;出現(xiàn)非法操作提示或者藍屏等信息時,仔細研究其原因并糾錯;對于系統(tǒng)的資源占用情況,及時監(jiān)察并進行有效清理。
3.3 學校網站面臨的安全威脅
網站是學校對外信息交流的主要工作平臺,但因其共享性較高,也易成為黑客的攻擊對象。部分學校的官方網站被惡意掛馬時有發(fā)生,經調查掛馬率甚至達到3.15%。主要原因是服務程序本身存在漏洞,如Apache 或 IIS 的漏洞;也存在網頁程序編寫不完善導致的安全漏洞,如 SQL 注入、緩沖區(qū)溢出等;同時也存在因管理缺失而導致的服務器感染病毒。
對于數字化校園網站安全面對的威脅,除了定期查殺分析原因,且需定期檢查訪問流量,對于流量高峰要得隨時監(jiān)視處理,還有完善管理制度避免類似問題再次發(fā)生,用以保證網站安全。
3.4 應用系統(tǒng)數據信息面臨的威脅
海南軟件職業(yè)技術學院的教務、人事、財務、一卡通等應用系統(tǒng)的重要數據是數字化校園信息安全防護的重中之重。這些重要數據一旦被篡改甚至丟失,其后果是不堪設想。目前應用系統(tǒng)數據信息面臨的主要風險有數據庫弱口令及默認用戶名易被破解;DBA 的權限沒有嚴格的限制;有些權限控制功能嵌套在應用程序中,攻擊者很可能利用程序編寫的漏洞將普通用戶的權限轉化為管理員的權限;數據庫管理方式和管理流程編制不得當,造成數據不準和修改錯誤等。
對于這些系統(tǒng)數據面臨的威脅,我們所能處理的就是進行數據訪問控制、提醒用戶進行密碼強口令、權限設置一定要合理合法,并且及時檢查日志,統(tǒng)計因操作不當、密碼輸入錯誤等原因引起的錯誤,對錯誤進行及時統(tǒng)計分析,查清原因,從制度上杜絕此類事件發(fā)生。
3.5 校園網內部用戶的安全隱患
校園網內部用戶的安全威脅不容忽視。一方面,校園網終端用戶的木馬、蠕蟲、病毒等是校園網絡安全威脅之一;另一方面,校園網絡出口帶寬受限,有P2P應用占用資源嚴重,可能造成正常工作時段網絡擁堵,影響了教學、科研、管理工作的正常運行。
對于巨大流量問題只能通過辦公時間限制端口等問題進行解決,而網絡擁堵則可通過限制網絡訪問人數等解決,當然這些都應該形成正常的監(jiān)測程序和制度,不能因工作人員的變換等影響其執(zhí)行。
4 結束語
總之,校園網絡安全的保障應從小做起,從細節(jié)做起,時刻保障校園網絡的正常進行以為教學提供優(yōu)質服務。
參考文獻
[1] 凌冠華.高校數字化校園的數據建設和安全管理研究[J].價值工程,2010(29):202-203.
[2] 王陽.高校數字化校園信息安全策略探討[J].中國教育信息化.2011(3):29-61.
[3] 皇甫斌.淺談數字化校園的網絡安全建設[J].信息科技,2009(18):96-103.
[4] 張升平. 高校數字化校園體系結構研究及實踐[D]. 長沙:湖南大學,2008.32-38.
[5] 章晟.拒絕服務攻擊和自相似網絡流量研究[D]. 杭州:浙江大學,2010.18-29.