時間:2023-03-24 15:22:11
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇網頁安全論文范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
1.1實行分級和分區防護的原則商業銀行的計算機網絡絕大多數是分層次的,即總行中心、省級中心、網點終端,計算機網絡安全防護對應實行分級防護的原則,實現對不同層次網絡的分層防護。防火墻也根據訪問需求被分為不同的安全區域:內部核心的TRUST區域,外部不可信的Untrust區域,第三方受限訪問的DMZ區域。
1.2風險威脅與安全防護相適應原則商業銀行面對的是極其復雜的金融環境,要面臨多種風險和威脅,然而商業銀行計算機網絡不容易實現完全的安全。需要對網絡及所處層次的機密性及被攻擊的風險性程度開展評估和研究,制定與之匹配的安全解決方式。
1.3系統性原則商業銀行計算機網絡的安全防御必須合理使用系統工程的理論進而全面分析網絡的安全及必須使用的具體方法。第一,系統性原則表現在各類管理制度的制定、落實和補充和專業方法的落實。第二,要充分為綜合性能、安全性和影響等考慮。第三,關注每個鏈路和節點的安全性,建立系統安防體系。
2計算機網絡安全采取的措施
商業銀行需要依據銀監會的《銀行業金融機構信息系統風險管理指引》,引進系統審計專家進行評估,結合計算機網絡系統安全的解決原則,建立綜合計算機網絡防護措施。
2.1加強外部安全管理網絡管理人員需要認真思考各類外部進攻的形式,研究貼近實際情況的網絡安全方法,防止黑客發起的攻擊行為,特別是針對于金融安全的商業銀行網絡系統。通過防火墻、入侵檢測系統,組成多層次網絡安全系統,確保金融網絡安全。入侵檢測技術是網絡安全技術和信息技術結合的新方法。通過入侵檢測技術能夠實時監視網絡系統的相關方位,當這些位置受到進攻時,可以馬上檢測和立即響應。構建入侵檢測系統,可以馬上發現商業銀行金融網絡的非法入侵和對信息系統的進攻,可以實時監控、自動識別網絡違規行為并馬上自動響應,實現對網絡上敏感數據的保護。
2.2加強內部安全管理內部安全管理可以利用802.1X準入控制技術、內部訪問控制技術、內部漏洞掃描技術相結合,構建多層次的內部網絡安全體系。基于802.1x協議的準入控制設計強調了對于交換機端口的接入控制。在內部用戶使用客戶端接入局域網時,客戶端會先向接入交換機設備發送接入請求,并將相關身份認證信息發送給接入交換機,接入交換機將客戶端身份認證信息轉發給認證服務器,如果認證成功該客戶端將被允許接入局域網內。如認證失敗客戶端將被禁止接入局域網或被限制在隔離VLAN中。[4]內部訪問控制技術可以使用防火墻將核心服務器區域與內部客戶端區域隔離,保證服務器區域不被非法訪問。同時結合訪問控制列表(ACL)方式,限制內部客戶端允許訪問的區域或應用,保證重要服務器或應用不被串訪。同時結合內部漏洞掃描技術,通過在內部網絡搭建漏洞掃描服務器,通過對計算機網絡設備進行相關安全掃描收集收集網絡系統信息,查找安全隱患和可能被攻擊者利用的漏洞,并針對發現的漏洞加以防范。
2.3加強鏈路安全管理對于數據鏈路的安全管理目前常用方法是對傳輸中的數據流進行加密。對于有特殊安全要求的敏感數據需要在傳輸過程中進行必要的加密處理。常用的加密方式有針對線路的加密和服務器端對端的加密兩種。前者側重在線路上而不考慮信源與信宿,通過在線路兩端設置加密機,通過加密算法對線路上傳輸的所有數據進行加密和解密。后者則指交易數據在服務器端通過調用加密軟件,采用加密算法對所發送的信息進行加密,把相應的敏感信息加密成密文,然后再在局域網或專線上傳輸,當這些信息一旦到達目的地,將由對端服務器調用相應的解密算法解密數據信息。隨著加密技術的不斷運用,針對加密數據的破解也越來越猖獗,對數據加密算法的要求也越來越高,目前根據國家規定越來越多的商業銀行開始使用國密算法。
2化工企業網絡安全防御措施
2.1應用層安全防御措施
在化工企業網絡中,應用層與網絡用戶直接接觸,因此為了保護應用層安全,需要強化第一道安全屏障,可以采取的措施包括設置用戶/組角色,實行單一角色登陸及認證,為用戶分配固定的安全控制權限標識,限制用戶的訪問權限,并且建立動態配置機制,以便更好地控制網絡資源,避免病毒、木馬和黑客攻擊核心數據資源,確保用戶實現有效控制訪問。
2.2接入層安全防御措施
接入層可以根據不同的IP組,分類控制訪問網絡資源的模式,并且能夠強化遠程接入的防御能力。由于化工企業員工眾多,需要根據其所在的不同部門,設置不同的訪問權限,僅僅依賴角色控制難以實現訪問資源的合理管理,因為角色管理是人為的,無法更好地從根本上進行控制,因此根據客戶機的IP地址、MAC地址、交換機端口地址劃分VPN,可以有效地實現遠程訪問VPN、IntranetVPN或ExtranetVPN,共同構建良好的VPN模式,并且在實現遠程接入過程中,可以采用隧道加密協議,將VPN根據不同的訪問權限和重要程度劃分為PPTPPN、L2TPPN、IPSecPN和MPLSPN等,以便能夠對傳輸的數據進行不同層次的加密,更好保護化工企業網絡的數據傳輸有效性、安全性、準確性。
2.3傳輸層防御措施
目前,化工企業網絡傳輸層的防御措施也有很多個,比如構建入侵檢測、防火墻和審計分析體系,因此可以使用殺毒防毒軟件、防火墻、虛擬局域網和ACL等具體的措施進行實現,可以為化工企業網絡構建一個完善的網絡防火墻體系,確保網絡用戶的認證信息是完整的,保證網絡用戶不受到病毒、木馬侵襲和黑客的攻擊。
2.4主動防御體系
為了更好地面對網絡安全面臨的威脅,化工企業除了在接入層和傳輸層采用傳統的安全防御措施之外,同時構建主動的安全防御體系,采用主動安全防御措施,以便能夠確保網絡的正常使用。構建主動安全防御體系時,網絡主動預警技術主要包括網絡主動預警、響應、檢測、保護、恢復和反擊六個方面,其中核心內容是網絡主動預警技術和主動響應技術,其也是與傳統的防御技術具有較大區別的方面。在網絡主動預警過程中,首先可以通過遺傳算法、支持量機、BP神經網絡等技術進行入侵檢測,以便能夠有效地確定網絡中是否存在非法數據流等信息,掃描網絡操作系統是否存在漏洞,以便能夠根據數據庫、知識庫中保存的經驗數據,判斷網絡信息流中是否存在非法的內容及相關的特征,及時主動地采取漏洞預警、攻擊預警、行為預警、情報采集預警等技術,進行網絡主動預警。
2.5網絡主動響應技術
網絡主動預警技術可以發現即將或者已經發生的網絡攻擊行為,網絡主動響應技術可以對相關的攻擊行為進行防御,以便能夠最大化地降低網絡攻擊行為帶來的影響。目前,網絡主動響應技術可以搜集攻擊數據,對其進行實時的分析,判斷攻擊源所在的位置,以便能夠采用網絡防火墻等阻斷攻擊源,或者可以采用網絡攻擊誘騙技術或者僚機技術,將網絡中已經或正在發生的攻擊行為引誘到一個無關緊要的主機上,降低網絡攻擊造成的危害。
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程?;赑KI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
信息安全管理涉及油田生產、數據保存、辦公區域保護等多個層面,在信息化時代,油田企業需要加強信息化網絡安全管理?,F階段,油田企業信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏細化、具體化的網絡安全措施,針對員工不合理使用信息設備、網絡的懲罰機制不健全。②部分管理人員和員工信息素養較低,如他們不能全面掌握部分軟件的功能,不重視企業網絡使用規范,且存在隨意訪問網站,隨意下載文件的現象,增加企業網絡負擔,影響網絡安全。③信息系統管理員缺乏嚴格的管理理念。石油企業信息網絡系統都設有管理員崗位,負責企業內部網絡軟硬件的配備與管理,但現階段,該職位員工缺乏嚴格的管理理念,不能及時發現和解決信息安全隱患。④為方便員工使用移動終端設備辦公上網,石油企業辦公區域也設置了無線路由器。但是,員工自身的手機等設備存在很多不安全因素,會影響企業網絡安全性。
1.2病毒入侵與軟件漏洞
網絡病毒入侵通常是通過訪問網站、下載文件和使用等途徑傳播,員工如果訪問不法鏈接或下載來源不明的文件,可能會導致病毒入侵,危害信息安全。病毒入侵的原因主要有兩方面,一方面,員工的不良行為帶來病毒;另一方面,系統自身的漏洞導致病毒入侵。由此看來,油田企業信息化軟件自身存在的漏洞也具有安全隱患。其中,主要包括基礎軟件操作系統,也包括基于操作系統運行的應用軟件,如Office辦公軟件、CAD制圖軟件、社交軟件、油田監控信息系統、油田企業內部郵箱、財務管理軟件、人事管理軟件等。
1.3網絡設備的安全隱患
現階段,油田企業網絡設備也存在不安全因素,主要表現在兩方面:第一,油田企業無論是辦公區還是作業區,環境都較為惡劣,部分重要企業信息網絡設備放置環境的溫度、濕度不合理,嚴重影響硬件的使用壽命和性能,存在信息數據丟失的危險;第二,企業內部網絡的一些關鍵環節尚未引入備份機制,如服務器硬盤,若單個硬盤損壞缺乏備份機制,會導致數據永久性丟失。
2提高油田企業網絡安全策略
2.1加強信息安全管理
基于現階段油田企業信息網絡安全管理現狀,首先,油田企業要重新制定管理機制,對各個安全隱患進行具體化、細化規范,包括員工對信息應用的日常操作規范,禁止訪問不明網站和打開不明鏈接。其次,油田企業要強化執行力,摒除企業管理弊端,對違規操作的個人進行嚴厲處罰,使員工意識到信息安全的重要性,提高其防范意識和能力。再次,油田企業要招聘能力強、素質高的信息系統管理員,使其能及時發現和整改系統安全隱患。最后,對員工使用智能終端上網的現象,則建議辦公區配備無線路由器的寬帶與企業信息網絡要完全隔離,以避免對其產生負面影響。
2.2加強對軟件安全隱患和病毒的防范
(1)利用好防火墻防范技術。現階段,油田企業的網絡建設雖然引入防火墻設備,但沒有合理利用。因此,油田企業要全面監管和控制外部數據,防止不法攻擊,防止病毒入侵。同時,定期更新防火墻安全策略。(2)對企業數據進行有效加密與備份。對油田企業來說,大部分數據具有保密性,不可對外泄密。因此,企業不僅要做好內部權限管理,還應要求掌握關鍵數據的員工對數據做好加密和備份工作。在傳輸和保存中利用加密工具進行加密,數據的保存則需要通過物理硬盤等工具進行備份。有條件的企業,可在不同地區進行備份,以防止不可抗拒外力作用下的數據丟失。(3)合理使用殺毒軟件。企業要對內部計算機和移動終端安裝殺毒軟件,并高效運行,以加強對病毒的防范。
2.3提升網絡設備安全
(1)由于油田企業內部信息網絡規模較大,設備較多且部署復雜。因此,要及時解決硬件面臨的問題,定期檢查維修,提高硬件設備安全性。定期檢修能準確掌握網絡設備的運行狀況,并能及時發現潛在隱患。(2)對處于惡劣環境中的網絡設備,包括防火墻、服務器、交換機、路由器等,盡量為其提供獨立封閉的空間,以確保溫濕度合理。
2網絡層的安全
網絡層處于數據鏈層和傳輸層之間,是網絡體系結構中的第三層,TCP/IP協議族中最核心的IP協議就在網絡層,廣泛應用的TCP、UDP、IGMP及ICMP數據包,都以IP數據報文形式傳輸。網絡層封裝IP數據包,并路由轉發,解決機器之間的通信問題。網絡層常見安全問題有:明文傳輸面臨的威脅、IP地址欺騙、源路由欺騙和ICMP攻擊。
3傳輸層的安全
傳輸層在OSI模型中起著關鍵作用,負責端到端可靠的交換數據傳輸和數據控制。在傳輸層使用最廣泛的有兩種協議:傳輸控制協議和用戶數據報協議。傳輸層常見安全問題有:TCP"SYN"攻擊、Land攻擊、TCP會話劫持和端口掃描攻擊。
4操作系統的安全
目前在職業院校,除了服務器是使用UNIX、Linux外,其它工作站基本是使用微軟操作系統,存在以下風險。(1)安全隱患的產生,主要是操作系統配置不合理,例如:沒有管理員口令,用戶弱口令,未刪除和禁用不必要的帳號,設置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制,資源共享的訪問權限配置不當等。(2)操作系統的正常運行需要很多系統服務支撐,這些系統服務向用戶和應用程序提供功能接口,有些是操作系統正常運行必需的,有些則是不必要的。不必要的服務不僅會占用系統資源,還會給操作系統帶來安全威脅。如果用戶不知道自已的操作系統,哪些服務是可以訪問網絡的,就容易被入侵者利用。
5業務應用的安全
職業院校為了滿足科研、教學、辦公的需要,校園網搭建了很多網絡應用系統,如:信息、教務管理、辦公自動化、圖書管理等。這些應用系統很重要,但也存在風險如下:(1)身份認證:操作系統和應用系統為了保證安全,采取了身份認證措施,這些機制各有特點,但是入侵者仍可以利用網絡竊聽、非法數據庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識淡薄,使用系統默認或者弱密碼,并且長期不改動,形同虛設。(2)WEB服務:WEB服務是學校用于對外宣傳、開展網絡遠程教學的重要手段,應用極其普遍,使得Web服務經常成為非法攻擊的首選目標。存在的安全隱患較多,網頁代碼本身就存在后門和一些缺陷,比如IIS漏洞、ASP的上傳漏洞、SQL注入、緩沖區溢出等。入侵者一旦攻陷WEB服務器,可以把WEB服務器作為跳板,通過中間件或數據庫連接部件,非法訪問學校內部應用系統和數據庫,并可利用網頁腳本訪問本地文件系統和網絡系統中其它資源。(3)數據庫:數據庫是信息系統的核心,校園網內的業務應用依賴于各種數據庫系統,保證數據的安全和完整,正確配置數據庫系統顯得至關重要。數據庫是個復雜的系統。非專業人員是無法正確配置數據庫系統的。關系型數據庫是可從端口尋址的,通過查詢工具就可建立與數據庫的連接,例如通過TCP1521和1526端口,就能侵入一個弱防護的數據庫;數據庫運行過程中,出現的錯誤信息,可以泄漏數據庫結構,分析這些信息就能實施攻擊。(4)網絡資源共享:為了工作方便,內部人員經常會使用網絡共享,如果沒有對資源共享,作必要的訪問控制策略,重要的數據信息,就無防護地暴露在網絡中。
6網絡管理的安全
安全管理對于有一定規模的職業院校網絡來說是極其重要的。如果沒有相應制度約束,就會帶來風險:網絡管理人員把校園網絡結構、系統的一些重要信息傳播給外人,會造成信息泄漏;密碼和密鑰管理風險,管理員賬戶及密碼被外人竊?。辉诩s束缺失的情況下,利用網絡和系統的弱點,實施入侵、修改、刪除數據等非法行為;審計不力或無審計,當網絡受到攻擊或其它威脅時,沒有相應的檢測、監控、報告與預警機制。事件發生后,不能提供任何記錄,無法追蹤線索,缺乏對網絡的可控和可審查性。
近年來,很多現代化企業加大信息建設,一些下屬公司的網絡接入企業總網絡,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
1.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.構建企業網絡安全防護體系
2.1企業網絡安全防護體系構建目標
結合企業網絡的安全目標、使用主體、性質等因素,合理劃分企業邏輯子網,對不同的邏輯子網設置不同的安全防護體系,加強網絡邊界控制和安全訪問控制,保持區域之間的信任關系,構建企業網絡安全防護體系,實現網絡安全目標:第一,將大型的、復雜的企業網絡安全問題轉化為小區域的、簡單的安全防護問題,有效控制企業網絡系統風險,提高網絡安全;第二,合理劃分企業網絡安全域,優化網絡架構,實現企業網絡安全設計、規劃和入網;第三,明確企業網絡各個區域的安全防護難點和重點,加大安全設備投入量,提高企業網絡安全設備的利用率;第四,加強企業網絡運行維護,合理部署企業網絡的審計設備,提供全面的網絡審核和檢查依據,為企業構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域?;A保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
2.3基于入侵檢測的動態防護
隨著網絡技術的快速發展,企業網絡面臨的安全威脅也不斷發生變化,網絡攻擊手段日益多樣化,新病毒不斷涌現,因此企業網絡安全防護體系構建應適應網絡發展和變化,綜合考慮工作人員、防護策略、防護技術等多方面的因素,實現基于入侵檢測的動態防護?;谌肭謾z測的動態防護主要包括備份恢復、風險分析、應急機制、入侵檢測和安全防護,以入侵檢測為基礎,一旦檢測到企業網絡的入侵威脅,網絡系統立即啟動應急機制,如果檢測到企業網絡系統已經受到損壞,可利用備份恢復機制,及時恢復企業網絡設置,確保企業網絡的安全運行。通過動態安全防護策略,利用動態反饋機制,提高企業網絡的風險評估分析能力和主動防御能力。
2.4分層縱深安全防護策略
企業網絡安全防護最常見的是設置防火墻,但是網絡安全風險可能存在于企業網絡的各個層次,防火墻的安全防護作用比較有限。企業網絡可采用分層縱深安全防護策略,保障網絡安全防護的深度和廣度,構建高效、綜合、全面的安全防護體系,對于企業網絡中的應用層、數據層、系統層、網絡層和物理層分別采用信息保護、應用系統安全防護、數據庫安全防護、操作系統安全防護、網絡保護、物理安全保護等防護手段,根據不同網絡系統的特點,有針對性地進行安全防護,例如,在網絡層可利用資源控制模塊和訪問控制模塊,加強對網絡節點的訪問控制,在企業網絡的應用層和數據層設置身份授權和認證系統,避免用戶的違規操作和越權操作。又例如,由于網絡環境比較復雜,可在企業網絡的應用層、數據層和系統層,設置網絡監控和檢測模塊,保護企業網絡的服務器,防止權限濫用和誤操作。
論文關鍵詞:配電網安全防護帶電作業防護用具
提高供電可靠性已成為供電企業一項重要任務,供電企業開展配電網帶電作業,盡可能的用帶電作業方式對配電網進行檢修和維護工作,以提高供電可靠性,同時也為自身在電力市場中獲得更多的經濟效益和社會效益。如何使配電網帶電作業健康、安全、穩定和科學的發展,是我們面前一個新課題。
一、配電網帶電作業的特點
在超高壓輸電線路的帶電作業中,空間電場強度高、作業距離大,作業人員穿屏蔽服進入高電位并采用等電位方法進行搶修和維護是一種安全、便利的作業方法。但在配電線路的帶電作業中,由于配電網絡的電壓低,三相導線之間的空間距離小,而且配電設施密集,使作業范圍窄小,在人體活動范圍內很容易觸及不同電位的電力設施。因此,作業人員身穿屏蔽服、直接接觸帶電體的等電位作業方式在配電網的帶電作業中不宜采用。盡管不少單位在應用這種方式進行作業時并沒有出現事故,但嚴格地說確實存在著安全隱患。
二、安全防護措施
(一)安全防護用具的選用。安全防護措施是配電網帶電作業中保證生產作業人員安全的重要措施之一,那么安全防護用具的選用是至關重要的。配電線路帶電作業安全防護用具不僅應具有高電氣絕緣強度,而且應具有良好的防潮性能和服用性能,在保證安全的前提下便于作業人員的工作。
(1)安全防護用具的選購。選購時必須與銷售商針對工具的電氣性能、物理特征了解清楚,根據生產開展的項目及設備的需要進行選購,避免盲目購買而造成資金的浪費。必須注意的是當前國外產品絕緣服及工器具滿足不了我國《電業安全工作規程》要求。對于科學分析驗證認定是生產的確必不可少的工器具,應采用制定企業標準進行約束為妥。同時針對進口絕緣服及絕緣遮蔽罩等防護用具,要認真組織接收、驗收、檢驗(主要是物質部門與經銷商完成提供進貨合格證),并應按照《電業安全工作規程》制訂企業的管理標準(未制定)進行嚴格的電氣試驗及物理特性檢查,只有全部合格后方可移交生產班組使用。
(2)安全防護用具的維護。安全防護用具的維護工作應尤其重視,作業者在生產使用后,對這此絕緣防護用具組織檢查,發現這類產品都是容易受傷的塑料或橡膠制品,使用時因現場的各種金屬設備、構件,極易被劃破或損傷,所以應強調在作業前后仔細檢查及時發現問題,預防因絕緣防護損壞而引發事故發生。對于這些工具都有不透氣的特點,使用時會使人體感到不適而引發排泄量的汗水,特別是夏天,它就會受到人體排泄汗水的浸泡,所以要求使用后應立即用干的凈手巾擦,避免由于汗水的污穢,降低絕緣性(如沿面閃絡及表面泄漏電流)和汗水中所含的鹽、堿與塑料、橡膠服的化學反應而降低工具的使用壽命。
(二)絕緣遮蔽罩的選用??梢酝ㄟ^國內科研單位(中國電力科學研究院、國電武漢高壓研究所)了解國內在配電網帶電作業絕緣遮蔽制造處于領先廠商,對這此在國內制造水平處于領先的廠商生產的絕緣遮蔽工具的制造工藝、工藝質量等進行比較,貨比三家中造出制造水平較高,價格便宜的廠家,根據生產現場所需求的工具型號、尺寸,對所需的絕緣遮蔽罩?“量體裁衣”長期與廠家合作,利用現有的國家標準及行業標準和企業標準、漳州配電網施工工藝要求特點,來制約生產廠家的選材、生產技術管理、工藝要求等,使生產出來的遮蔽罩在現場作業能更“順手”,避免購買的器具因廠家設計不符合我局配電網實際安裝工藝要求情況,而造成浪費。同時加強絕緣防護工具在運輸過程中存在的危險點防范,應配置經改造的專用的汽車進行運輸工器具。
(三)絕緣斗臂車的維護。絕緣斗臂車大多是國外進口或是引進國外技術進行生產組裝,目前行業及國家標準未出臺,我們只能根據IEC/TC78相關標準來制定企業標準來約束和規范使用。鑒于目前我們絕緣斗臂車在使用中日常試驗檢查做的機械試驗是參照高空作業車標準進行試驗,試驗方法及試驗方式是否會對其造成損傷或是試驗強度認識不夠,這都使我們在使用過程中存在著一定的安全隱患(絕緣斗臂車的斗及臂為玻璃纖維環氧樹脂材料做成的,其材料延伸率小于5%是為脆性材料)。我們應當加強與帶電標委會的聯系及溝通,及時了解當今國內配電網帶電作業發展動向及先進技術,同時與帶電標會建立合作關系,這將對我局的帶電作業發展和安全生產有很大的促進,也使我們開展配電網帶電作業少走彎路。
三、人才隊伍的培養建設
(一)建立用人培養機制。為適應配電網從停電檢修維護向不停電作業發展的趨勢,加大我局帶電作業人員隊伍的建設和培養,可對新進廠工作的線路專業人員都進行配電線路帶電作業,建立配電帶電人員動態管理制度,建立完整的用人培養機制。以高技能人才隊伍建設為龍頭,以職業資格證書制度為導向,帶動整個帶電職業培訓工作,逐步完善職業資格培訓體系,為帶電作業人員鋪設一條通過終身教育培訓從初級工、中級工、高級工,再到技師、高級技師的成長通道,為帶電人才的健康成長和在安全生產建設實踐中充分發揮作用創造良好條件,促進配電網帶電作業的健康發展。
1.2安全審計功能通過在網絡旁路掛載的方式,對網絡進行監聽,捕獲并分析網絡數據包,還原出完整的協議原始信息,并準確記錄網絡訪問的關鍵信息,從而實現網絡訪問記錄、郵件訪問記錄、上網時間控制、不良站點訪問禁止等功能。審計設備安裝后不能影響原有網絡,并需具有提供內容安全控制的功能,使網絡維護人員能夠及時發現系統漏洞和入侵行為等,從而使網絡系統性能能夠得到有效改善。通常的做法就是安裝安全運行維護系統SOC(SecurityOperationsCente)r,網管員定時查看日志來分析網絡狀況,并制定相應的策略來維護穩定網絡的安全運行。
1.3外網用戶訪問內部網絡公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內網獲取相關數據資料,出于安全和便捷等因素考慮,需要借助虛擬專用網絡技術VPN(VirtualPrivateNetwork)來實現。通常的做法是安裝VPN設備(應用網關)來實現。
2網絡安全設備的部署與應用
通過企業網絡安全分析,結合中小企業網絡的實際需求進行設計,網絡拓撲如圖1所示。從拓撲圖1可以看出,該網絡中的核心網絡設備為UTM綜合安全網關。它集成了防病毒、入侵檢測和防火墻等多種網絡安全防護功能,從而成為統一威脅管理UTM(UnifiedThreatManagement)綜合安全網關。它是一種由專用硬件、專用軟件和網絡技術組成的具有專門用途的設備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設備,構成一個標準的統一管理平臺[2]。通常,UTM設備應該具備的基本功能有網絡防火墻、網絡入侵檢測(防御)和網關防病毒等功能。為使這些功能能夠協同運作,有效降低操作管理難度,研發人員會從易于操作使用的角度對系統進行優化,提升產品的易用性并降低用戶誤操作的可能性。對于沒有專業信息安全知識的人員或者技術力量相對薄弱的中小企業來說,使用UTM產品可以很方便地提高這些企業應用信息安全設施的質量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網絡接入和路由轉發功能也可由UTM設備來實現。因其具有多個接口(即多個網卡),可通過設定接口組把辦公區、車間、服務器組等不同區域劃分成不同的網段;通過對不同網段設定不同的訪問規則,制定不同的訪問策略,來實現非軍事化區DMZ(demilitarizedzone)、可信任區以及非信任區的劃分,從而有效增強網絡的安全性和穩定性。
對于上網行為的管理,可以通過內置UTM設備的功能來實現管控,并可以實現Web過濾以及安全審計功能.1可以訪問互聯網,而車間2不能訪問互聯網。在辦公區和部分車間安裝無線AP,可方便人員隨時接入網絡。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網絡的權限進行區分管控。市場上還有一些專用的上網行為管理設備,有條件的單位可進行安裝,用以實現對員工上網行為進行更為精準的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業內部網絡,實現高效安全的網絡應用。
現階段,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網網絡系統。但隨著各類信息系統不斷上線投運,財務、營銷、生產各專業都有相關的信息系統投入應用,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多。
目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發展極不平衡。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業信息網絡安全帶來了一定的保障。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足。隨著在企業內被廣泛使用的XP操作系統停止更新,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件,篡改供電系統相關數據,對國家供電系統進行毀滅性的攻擊,甚至致使整個供電系統出現大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網絡信息的安全,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強,水平參差不齊,多數為年輕職員,實際操作的能力較低,缺少應對突發事件應對措施知識的積累。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態,與新型網絡技術相脫軌。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多?,F階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系,及時更新網絡防病毒軟件,針對性地引進遠程協助設備,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的,根據信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業信息技術的操控,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略、安全服務和安全機制的相結合,大力開發信息網絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
面臨的安全威脅來自于多個方面,有通過病毒、非授權竊取來破壞數據保密性的安全威脅,有因為操作系統故障、應用系統故障等導致的破壞數據完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅,還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅,這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取,給公共衛生行業帶來無法彌補的損失。
2安全管理缺失公共衛生行業
在信息化建設工作中,如果存在重應用、輕安全的現象,在IT系統建設過程中沒有充分考慮信息安全的科學規劃,將導致后期信息安全建設和管理工作比較被動,業務的發展及信息系統的建設與信息安全管理建設不對稱;或由于重視信息安全技術,輕視安全管理,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現象普遍存在,很有可能會導致本不應該發生的信息安全事件發生。
二分析問題產生的主要原因
1經費投入不足導致的安全防范技術
薄弱許多公共衛生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發以后國家投入建設的,運行至今,很多省級以下的公共衛生單位由于領導認識不足或經費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛生信息化的投入,很少將經費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術比較薄弱,因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數據丟失、竊取的現象時有發生,嚴重影響了重要信息數據的保密性、完整性和安全性,一旦發生信息安全事件后果將不堪設想。
2專業技術人才缺乏
建設信息化、發展信息化最大的動力資源是掌握信息化的專業技術人才,人才的培養是行業信息化高速發展的基礎,然而,公共衛生行業的人才梯隊主要以疾病控制、醫學檢驗專業為主,信息化、信息安全專業技術人才缺乏,隊伍力量薄弱,不能很好地利用現有的計算機軟硬件設備,也很難對本單位現有的信息化、信息安全現狀進行有效的評估,缺乏制定本行業長期、可持續信息化建設發展規劃的能力,這也是制約公共衛生行業信息化發展的重要因素。
3信息安全培訓不足
職工安全保密意識不強信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛生行業的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網絡安全不夠重視,缺乏網絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經常有意無意的傳播病毒,使得單位網絡系統經常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網絡的安全穩定運行;同時,許多職工對于單位的移動介質缺乏規范化管理意識,隨意將拷貝有信息的移動硬盤、優盤等介質帶出單位,在其他聯網的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。
三如何促進公共衛生行業計算機網絡安全性提升
1強化管理
建立行業計算機網絡安全管理制度為了確保整個計算機網絡的安全有效運行,建立出一套既符合本行業工作實際的,又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容:
1.1成立信息安全管理機構
引進信息安全專業技術人才,結合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統管全局的網絡安全管理規定。
1.2制定信息安全知識培訓制度
定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網絡安全知識最新動態,結合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術人員進行專業知識和操作技能的培訓,培養一支具有安全管理意識的隊伍,提高應對各種網絡安全攻擊破壞的能力。
1.3建立信息安全監督檢查機制
開展定期或不定期內部信息安全監督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結果直接與科室和個人的獎勵績效工資、評先評優掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
2開展信息安全等級保護
建設開展信息安全等級保護建設,通過對公共衛生行業處理、存儲重要信息數據的信息系統實行分等級安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統安全等級保護建設情況進行測評,存在問題及時整改,從制度落實、安全技術防護、應急處置管理等各個方面,進一步提高公共衛生行業信息安全的防護能力、應急處置能力和安全隱患發現能力。
3加強網絡安全技術防范
隨著信息技術的高速發展,信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網絡安全技術特點,建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系,全面增強網絡系統的安全性和可靠性。
3.1防火墻技術
防火墻技術在公共衛生行業網絡安全建設體系中發揮著重要的作用,按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態檢測防火墻三種類型,一般部署在核心網絡的邊緣,將內部網絡與Internet之間或者與其他外部網絡互相隔離,有效地記錄Internet上的活動,將網絡中不安全的服務進行有效的過濾,并嚴格限制網絡之間的互相訪問,從而提高網絡的防毒能力和抗攻擊能力,確保內部網絡安全穩定運行。
3.2入侵檢測
入侵檢測是防火墻的合理補充,是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備,檢測方法包括基于專家系統入侵檢測方法和基于神經網絡的入侵檢測方法兩種,利用入侵檢測系統,能夠迅速及時地發現并報告系統中未授權或異?,F象,幫助系統對付內部攻擊和外部網絡攻擊,在網絡系統受到危害之前攔截和響應入侵,在安全審計、監視、進攻識別等方面進一步擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。
3.3虛擬專用網絡(VPN)技術
VPN技術因為低成本、高度靈活的特點,在很多行業信息化建設中被廣泛應用,公共衛生行業也有很多信息系統都是基于VPN進行數據傳輸的,如中國疾病預防控制信息系統等,通過在公用網絡上建立VPN,利用VPN網關將數據包進行加密和目標地址轉換,以實現遠程訪問。VPN技術實現方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統VPN鏈路網絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現國家到省、市、縣四級的互聯互通和數據傳輸共享。VPN通過使用點到點協議用戶級身份驗證的方法進行驗證,將高度敏感的數據地址進行物理分隔,只有授權用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權用戶接觸或竊取重要數據,為用戶信息提供了很高的安全性保護。
當前,大多數企業都實現了辦公自動化、網絡化,這是提高辦公效率、擴大企業經營范圍的重要手段。但也正是因為對計算機網絡的過分依賴,容易因為一些主客觀因素對計算機網絡造成妨礙,并給企業造成無法估計的損失。
1網絡管理制度不完善
網絡管理制度不完善是妨礙企業網絡安全諸多因素中破壞力最強的?!皼]有規矩,不成方圓。”制度就是規矩。當前,一些企業的網絡管理制度不完善,尚未形成規范的管理體系,存在著網絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題,使企業相關人員不能采取有效措施防范網絡威脅,也給一些攻擊者接觸并獲取企業信息提供很大的便利。
2網絡建設規劃不合理
網絡建設規劃不合理是企業網絡安全中存在的普遍問題。企業在成立初期對網絡建設并不是十分重視,但隨著企業的發展與擴大,對網絡應用的日益頻繁與依賴,企業未能對網絡建設進行合理規劃的弊端也就會日益凸顯,如,企業所接入的網絡寬帶的承載能力不足,企業內部網絡計算機的聯接方式不夠科學,等等。
3網絡設施設備的落后
網絡設施設備與時展相比始終是落后。這是因為計算機和網絡技術是發展更新最為迅速的科學技術,即便企業在網絡設施設備方面投入了大筆資金,在一定時間之后,企業的網絡設施設備仍是落后或相對落后的,尤其是一些企業對于設施設備的更新和維護不夠重視,這一問題會更加突出。
4網絡操作系統自身存在漏洞
操作系統是將用戶界面、計算機軟件和硬件三者進行有機結合的應用體系。網絡環境中的操作系統不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術問題而存在的安全隱患,一旦這些為網絡黑客所了解,就會給其進行網絡攻擊提供便利。
網絡安全防護體系的構建策略
如前所述,企業網絡安全問題所面臨的形勢十分嚴峻,構建企業網絡安全防護體系已經刻不容緩。要結合企業計算機網絡的具體情況,構建具有監測、預警、防御和維護功能的安全防護體系,切實保障企業的信息安全。
1完善企業計算機網絡制度
制度的建立和完善是企業網絡安全體系的重要前提。要結合企業網絡使用要求制定合理的管理流程和使用制度,強化企業人員的網絡安全意識,明確網絡安全管護責任,及時更新并維護網絡設施設備,提高網絡設施的應用水平。如果有必要,企業應聘請專門的信息技術人才,并為其提供學習和培訓的機會,同時,還要為企業員工提供網絡安全的講座和培訓,引導企業人員在使用網絡時主動維護網絡安全,避免網絡安全問題的出現。
2配置有效的防火墻
防火墻是用于保障網絡信息安全的設備或軟件,防火墻技術是網絡安全防御體系的重要構成。防火墻技術主要通過既定的網絡安全規則,監視計算機網絡的運行狀態,對網絡間傳輸的數據包進行安全檢查并實施強制性控制,屏蔽一些含有危險信息的網站或個人登錄或訪問企業計算機,從而防止計算機網絡信息泄露,保護計算機網絡安全。
3采用有效的病毒檢測技術