公务员期刊网 精选范文 如何构建网络安全体系范文

如何构建网络安全体系精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的如何构建网络安全体系主题范文,仅供参考,欢迎阅读并收藏。

如何构建网络安全体系

第1篇:如何构建网络安全体系范文

今年4月份,PS3/PSP专用游戏网络PlayStation Network遭大面积入侵并导致数千万用户个人信息遭泄露的悲剧事件,不仅让大批用户受损,还影响到索尼公司在整个资本市场之上的诚信度。这一事件再次提醒我们,由防火墙、入侵检测系统和杀毒软件构建的互联网安全防线,正在因为移动互联网的安全漏洞而被网络攻击集团撕开了更多的口子。

让人“不安”的移动互联网

近期,一项全球移动威胁调查报告显示,企业及消费者的移动设备所面临的安全威胁创下了历史记录。其中,针对安卓(Android)系统的恶意软件数量增长了400%,针对性极强的Wi-Fi攻击也大幅增加。Infonetics Research安全部门首席分析师Jeff Wilson表示:“在过去18个月中,黑客们开始将视线转向移动设备。操作系统整合、数量庞大且不断增长的移动设备正吸引那些追逐利益的黑客们的目光。通过最近一项针对大型企业的调查,我们发现近40%的被访者认为智能手机正在成为最大的安全隐患。”

瞻博网络全球系统工程部技术副总裁Scott Stevens告诉记者,以窃取企业信息、个人信息为目标的攻击已成为互联网安全威胁的主力。同时,这些攻击的方式和模式也在发生变化。“过去黑客通常用木马病毒或者是一些僵尸网络进行网络攻击,现在虽然木马病毒和僵尸网络仍然存在,但攻击的模式和方法却多种多样,而且大多攻击成体系化地被实施。攻击者为了达成最终的目标,会通过一系列的攻击行为来威胁移动设备的安全。”据相关统计,当前意识到这种威胁并因此感到害怕和恐惧的移动设备的用户数量越来越多。在Scott Stevens看来,因为众多移动设备的加入,人们以往对构建网络安全体系的理解已不再完全适用。

以变应变的安全体系

移动设备的发展给信息安全和网络安全带来了巨大的挑战。过去,安全体系主要围绕应用程序和应用中心构建,安全的薄弱环节集中在承载核心应用的平台上。而在移动互联网时代,整个安全链条中最薄弱的环节则变成了终端。因为当这类设备受到安全威胁时,人们并不知道如何修复这些漏洞和隐患,按照传统思路构建的安全方案应用于其上又过于复杂。

第2篇:如何构建网络安全体系范文

关键词:课程体系;调研数据;职业岗位;工作任务;培养模式

0引言

目前在大数据得到广泛认可和应用的环境下,基于企业调研数据的人才养模式是职业教育正在进行研究的一项热门课题。市场调研是构建高效课程体系的重要环节,有利于解决专业的岗位定向问题[1]。调研旨在依托行业企业需求数据,校企共同探讨研究人才培养模式,培养适合企业需求的高质计算机网络技术人才。因此高职院校如何结合本地经济发展情况,人才需求结构,就业情况等培养出与时俱进的高质人才是专业的核心思想,同时也是专业必须面对的挑战。教育事业是培养人的社会活动,而人才的培养主要是通过课程和教学这一途径来实现的[2]。科学、合理的人才培养方案就显的尤为重要,它是我们培养职业技术人才,科学组织教学的重要依据。

1基于企业调研数据人才培养模式内涵

调研需了解珠江三角洲地区企业对计算机网络技术人才数量和规格的需求,掌握本专业毕业生的就业现状以及职业发展情况,实现人才培养与企业需求对接,保证人才培养质量,提高教学水平,为社会企业输送合格的人才。⑴调研对象:近三年接收我校毕业生到企业工作的珠江三角洲范围内的65家企业。学校派出了全体专业教师到企业实地调研,与企业部门负责人、技术总监、人力资源部经理、我校毕业生进行座谈、讨论,参观企业现状,现场提问并发放调研问卷。此次调研中,共发出65份调研问卷,回收有效问卷60份,有效率92%(以下数据分析限于有效问卷)。⑵调研目的:了解企业对信息与网络专业的需求数量、品学要求、招聘途径、内部人才培养途径以及与学校合作意向等问题;另一方面,要摸清本专业毕业生的就业情况、薪金水平、岗位职责、职业生涯发展情况等。通过对调研问卷的汇总和分析,得出了以下调研结论,为我校的计算机网络技术专业的课程设置和人才培养模式改革提供基础。⑶调研结论:我们在企业人才市场需求情况调研表中,列出了未来三年企业需要招聘的职业岗位以及岗位需要的知识、技能、素质,应届生毕业酬薪水平等,以下数据表示选择该选项的企业家数。未来三年主要招聘职业岗位:①网络运维52家;②系统集成44家;③售后服务24家;④售前技术支持20家;⑤信息安全8家;⑥项目管理8家;⑦云计算4家。网络运维,系统集成工作岗位未来三年需求旺盛,可作为本专业人才重点培养方向,售前和售后技术工程师也有一定的需求,其他需求相对较少的职位可作为未来继续跟踪调研方向来研究。招聘应届毕业生的薪酬水平:①2000元以下4家;②3000-4000元40家;③4000-5000元12家;④5000元以上4家。薪酬调研结果显示,多数企业给出的待遇在3000-4000元之间,作为应届大专毕业生,这个待遇算是比较合理的,与其他行业比较而言算是好的待遇,也说明网络专业毕业生是目前市场需要且相对紧俏的。胜任上述岗位所需要的知识:①操作系统60家;②硬件维修38家;③程序设计48家;④平面设计2家;⑤数据库59家;⑥网页设计51家;⑦电子商务8家;⑧网络协议48家;⑨网络互联60家;⑩网络安全44家;11网络管理60家;12网络优化48家;13专业英文6家;14云计算18家;15办公软件60家。如图1所示。以上知识点除平面设计,电子商务,专业英文等知识低于10家,别的都高于40家。我校计算机网络技术专业的课程体系涵盖了上述15个知识点,通过这次调研后平面设计方面课程将取消,电子商务,专业英文等知识将适当减少课时量,适当增加网络管理、网络互联、数据库等课程学时。对于企业提出的服务器虚拟化,存储系统知识等,我们将进一步研究,如果合适将放入明年调研的知识点。职业岗位所需要的技能:①网络联接配置60家;②撰写工程方案42家;③综合布线施工56家;④网络故障处理58家;⑤网络优化工作44家;⑥网络平台推广12家;⑦网站开发42家;⑧项目管理16家;⑨网络共享及安全55家。如图2所示。企业要求人才有比较强的技能在40家以上。对于企业提出的系统集成项目管理我们将进一步研究,如果合适将放入明年调研的知识点。小结:网络技术专业技能的培养方向主要技术技能的培养。

2基于企业调研数据人才培养模式课程体系构建

根据上述企业调研数据分析,与企业共同开展专业及课程体系的建设,总结出职业岗位的行动领域为网络建设、网络管理、网络应用、网页设计四大职业岗位群。在我校计算机网络技术专业原有的的基础上,从确定职业岗位、典型工作过程分析、基于工作过程的课程设计方案、课程体系四个方面探讨基于企业调研数据的课程体系的构建。⑴确定职业岗位计算机网络建网、管网、用网工作过程为导向,本专业的职业目标主要定位在职业岗位群中要求具有熟练专业技能及较高技术应用能力的中、低职位。与此同时,专业还因材施教,推行学生创新工程,鼓励学生参加各类技能大赛,争取获得CCIE、HCIE等高级乃至国际顶级IT职业资格证书,从而使得部分能力较强学生可以因此获得高级职位。⑵典型工作过程分析岗位工作任务分析是对某一职业或职业群中需要完成的任务进行分解的过程,其目的在于掌握具体的工作内容,以及完成该任务需要的理论知识和专业技能[3]。典型工作过程是指职业活动过程中具有代表性的职业工作行动,并能反映该职业最主要的本质特征工作过程,而且反映该职业典型工作内容,应包括完成至少一项工作任务计划,以及实施和评估等完整工作过程。对该职业工作过程进行准确地分析,并以此作为基础进行课程开发。本研究通过企业实际工作过程提炼出网络系统的规划设计、网络综合布线、常用网络设备安装和配置等12个典型工作过程。⑶基于工作过程的课程设计方案高职教育课程应不同于普通高等教育课程,课程内容有其独特的结构,理论知识和实践能力融合是高职教育课程改革与创新的关键[4]。高职教育学习领域的课程是以工作过程为导向的课程体系,它是根据专业对应工作岗位群及岗位的典型工作任务进行分析并归纳到行动领域,根据认知和职业成长的规律,把行动领域转换为学习领域,再根据学习领域为主题的学习单元进行学习情境设计,学习领域的表现形式为由若干个学习情境来构成,因此,设计学习情境是专业课程改革的重点和难点。学习领域的设置原则是:每个学习领域都是一个完整的工作过程;各个学习领域要遵循职业的成长规律排序;学习领域组成生产经营过程。⑷课程体系课程体系的构建彰显了以工作过程为导向的专业能力培养,体现教学与实践相结合的特征,围绕建网、管网、用网来设置课程。以项目为中心的学习,也是以问题为中心的学习,其实质就是一种基于建构主义学习理论的探究性学习模式[5]。在管网、用网模块中开设了网络安全技术、数据库应用、网络操作系统配置、网络安全综合实训等主干课程,使学生掌握网络管理及应用基本理论,具有比较强的网络操作技能,具有网络安全分析与实施等能力。教学课程体系设计在计算机网络教学体系中,其课程体系设计是一个不容忽视的重要环节,它直接关系到学生的计算机网络课程学习内容,并为他们实践能力的提高提供一个理论基础[6]。坚持课程教学体系必须基于职业岗位的理念,由职业岗位对网络人才的知识、能力、素质来构建相应的实践教学课程体系。课程体系架构构建如图3所示。综合布线技术、网络集成、网络工程管理、网络设备安装调试网络集成综合实训网络技术工程师实践项目体基础技能实验课程实训教学实习综合实训顶岗实习网络操作系统配置、网络设备配置管理、服务器技术安全审计与风险分析、操作系统安全、数据备份与灾难恢复静态网页设计、网络数据库、动态网页技术网络组建网络管理网络应用网站设计网络管理与综合实训网络安全综合实训网站综合项目实训图3课程体系构建架构

3结束语

基于企业人才需求调研数据的高职网络技术专业人才培养模式的改革,能够解决高职网络专业学生培养与企业岗位需求脱节的问题。通过企业调研数据分析岗位需求以及岗位所需的知识和技能,并根据岗位所需的知识和技能进行课程设置,来培养学生的职业岗位能力,能较大的提高学生的职业技能以及职业素养,从而提升学生的专业就业能力,具有较强的应用价值,较易获得好的教学效益。由于经费和时间的问题,我们所获得数据仅来自于珠江三角洲的60家接收我校网络技术专业毕业生就业的企业,这些数据未能反映更广泛区域的需求。未来我们将进一步获取研究珠江三角洲更多的企业人才需求数据,以及跨区域、跨国界的企业人才需求数据,为培养符合悉尼协议按国际性工程技术人才做好准备。

作者:吴国立 单位:广东南华工商职业学院信息工程与商务管理学院

参考文献(Reference):

[1]王玉健.基于工作过程的高职计算机网络技术专业课程体系构建[J].信息化建设,2015.204(12):203

[2]龙春阳.课程群建设:高校课程教学改革的路径选择[J].现代教育科学,2010.56(2):139

[3]苗晓锋.“校企共建,岗位导向”的高职课程体系改革与创新[J].陕西广播电视大学学报,2015.17(2):35

[4]丁金昌.实践导向的高职教育课程改革与创新[J].高等工程教育研究,2015.193(1):119-120

第3篇:如何构建网络安全体系范文

关键词:网络安全;防火墙;入侵检测;数据加密

中图分类号:TP273文献标识码:A文章编号:1007-9599 (2011) 03-0000-01

The Device Itself Safety Study of Access Ring Ethernet

Si Yanfang,Zhang Hong,Lai Xiaojun

(No.713 Research Institute,Zhengzhou450015,China)

Abstract:In this paper,the characteristics of ship and use the ethernet ring network security situation is now more difficult to construct a firewall,intrusion detection systems,port management,data encryption,vulnerability management,disaster recovery and other security policy of security and defense systems,effective protection of ethernet ring network security,ethernet connection for the ships safety equipment.

Keywords:Network security;Firewall;Intrusion detection;Data encryption

一、概述

环形以太网是由一组IEEE 802.1兼容的以太网节点组成的环形拓扑,随着环形以太网的普及和网络技术的飞速发展,人们在充分享受信息共享带来的便利时,也被网络病毒和网络攻击问题所困扰,网络安全问题被提上日程,并有了快速的发展。

二、常用的安全技术

鉴于越来越严峻的网络安全形势,对网络安全技术的研究也越来越深入,常用的网络安全技术有:防火墙,入侵监测系统以及数据加密技术等。

(一)防火墙。防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备,是安装了防火墙软件的主机、路由器或多机系统。防火墙还包括了整个网络的安全策略和安全行为,是一整套保障网络安全的手段。已有的防火墙系统是一个静态的网络防御系统,它对新协议和新服务不能进行动态支持,所以很难提供个性化的服务。

传统防火墙的不足和弱点逐渐暴露出来:

1.不能阻止来自网络内部的袭击;

2.不能提供实时的入侵检测能力;

3.对病毒也束手无策。

(二)入侵检测技术。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它可以主动实时检测来自被保护系统内部与外部的未授权活动。

(三)数据加密技术。数据加密技术是指对被保护数据采用加密密钥进行加密形成密文,只有被授予解密密钥的用户才能在接收到数据之后用解密密钥对数据进行解密形成原始的明文进行阅读。数据加密技术作为一种被动的安全防御机制,是在数据被窃取的情况下对数据最后的保护,是保护数据安全的一种有效手段。

三、安全防御系统的构建

根据环形以太网传播模式多样、传输数据量大的特点及常见的网络安全技术的分析,本文构建了由防火墙、入侵监测系统、端口管理、漏洞管理、安全策略组成的完整的安全防御系统。

(一)使用防火墙。防火墙设置在受保护的系统和不受保护的系统之间,通过监控网络通信来隔离内部和外部系统,以阻挡来自被保护网络外部的安全威胁。当被保护系统接收到外部发来的服务申请时,防火墙根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果该服务符合防火墙设定的安全策略,就判定该服务为安全服务,继而向内部系统转发这项请求,反之拒绝,从而保护内部系统不被非法访问。

(二)选用合适的入侵检测系统。本文提出的安全防御系统主要是为了保护环形以太网中的各个结点免受网络威胁的入侵,所以选择基于主机的入侵检测系统,既可以更好的保护主机信息,又方便与防火墙结合。入侵检测系统与防火墙采用将入侵监测系统嵌入到防火墙中的方式结合,如图1所示。

该结构处理步骤如下:

1.防火墙把不符合安全策略的数据首先拒绝其进入系统内部,把符合安全策略的数据传递给入侵检测系统做进一步检测;

2.入侵检测系统对防火墙放行的数据做进一步分析,对含有安全威胁的数据直接丢弃,反之放行使其进入系统内部;

3.入侵检测系统定期对系统内部的系统日志等系统数据进行分析检测,从而发现来自系统内部的威胁。

将防火墙这种静态安全技术与入侵检测系统这种动态安全技术结合使用,可以在被动检测的基础上通过入侵检测系统进行主动检测,同时检测来自系统内部与外部的安全威胁。

(三)端口管理。只开放环形以太网中的特定的少数机器的端口,允许其与外部存储设备进行数据交换,然后在其它节点需要该交换数据时,使其与开放端口的节点进行通信,并且对这几台机器的安全系统进行及时升级更新,从而有效保护环形以太网的内部安全。

(四)漏洞管理。加强软件管理,及时发现系统软件、应用软件尤其是系统安全防御软件的漏洞,并下载补丁,尽量避免漏洞被入侵者利用,从而提高系统整体的安全性。同时,要注意人为管理漏洞的防御,提高网络操作员的网络安全意识,制订严格的计算机操作规章制度,使网络安全管理有章可循。

四、结论

本文根据环形以太网的特点和现在严峻的网络安全形势,构建了一个针对环形以太网的安全防御系统,在实际应用中可以根据被保护环形以太网的实际需要进行合理的选择和增减。

参考文献:

[1]刘长松.具有入侵检测功能的防火墙系统的设计与实现[J].四川:电子科技大学,2003

[2]王峰.如何制定网络安全策略[J].电脑知识与技术,2007,2,1:64-65,73

第4篇:如何构建网络安全体系范文

关键词:企业;计算机;内部网络;安全

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 07-0000-02

在计算机网技术快速发展的今天,企业计算机网络平台在其经营生产活动中做出了巨大贡献。越来越多的企业利用Internet 开拓国内外市场,实施产品展示、网络营销等新业务。电子商务不仅在大中型企业广泛开展,而且中小企业的应用也在不断的延伸。但是,随着企业内部网络规模的日益扩大,安全隐患层出不穷。近年来,每年都有一些企业因安全问题遭受极大损失,如2011年的京东商城、CSDN网站等国内知名站点账号被盗,令人触目惊心。

一、企业内部计算机网络安全现状

我国计算机违法犯罪行为不断增长,在信息安全方面的发展,我国和发达国家的水平有着很大差距,与此同时企业计算机网络安全的防护技术也远远落后,所以我国企业计算机网络信息安全现状有以下几个特点:首先网络安全人才素质低下,虽然我国网络安全人才培养工作起步比较晚,但是其发展日益加快,仍然远远不能够满足社会需求;其次信息安全意识比较淡薄,我国很多个人或者企业对网络安全的认识相当浅显,自我防护能力相当低下,严重缺少相关严格的信息安全管理对策,同时没有足够认识信息安全事故的后果严重性;最后基础信息产业比较薄弱,硬件方面的很多核心技术与核心部件严重依靠于外国,在软件方面上,国际市场价格与垄断对其构成威胁 。

二、内部计算机网络安全隐患

(一)操作系统及软件不能及时升级、修补

企业内网一般自成一个体系,相对于外网,它无法做到系统自动升级,需要操作人员定期进行,这样才可以有效防控一些系统的漏洞和缺陷,因此,各种操作系统的升级尤为重要,一旦升级工作不到位,很容易造成内网安全性降低。另外,内网毫不例外的要使用一些软件程序,如果在选择供应商或应用程序上不够谨慎,在使用软件时监控不足,也会对内网造成威胁,比如,有的应用软件在编程中就忽视安全性,造成黑客可以利用其中的权限、解码漏洞,远程溢出漏洞、数据库的注入式漏洞等,还有的程序员为一己私利或操作员日后管理便利,在软件中故意设置后门等。

(二)计算机系统安全存在缺陷

计算机在网络硬件配置上一旦出现缺陷,也会影响计算机系统的安全,通常有表现为以下几种:1.文件服务器运行的稳定性、功能完善性将直接影响网络系统的质量,是因为其是网络的中枢。网络的可靠性、扩充性和升级换代受设计和选型的影响,再加上网络应用的需求得不到足够的重视,最终限制网络功能发挥。2.网络不稳定可能是网卡选配不当或者安全策略漏洞引起。3.系统和操作软件的漏洞:任何完美的操作系统、网络软件难以避免存在安全缺陷和漏洞。具有安全漏洞得计算机一旦连接入网,就会给计算机病毒和木马可乘之机。

(三)网络安全意识不强及管理制度不完善

目前,一部分企业进行的内网的建设,但在建设过程中,对于内网安全均认识不足,首先,内网管理制度的制定比较滞后,有的单位虽然制定了相关制度,但并不是专业人员制定,内容就显得极不全面。其次,一些企业建网时间较短,没有配之以专业的技术人员,对素质较差的非专业员工也没有及时开展岗位培训,使操作人员在内网安全上没有建立防范意识,在技术上没有防范手段,最后,企业领导没有重视内网安全工作,管理制度执行不力,使内网的各种信息、文件安全时常受到破坏、丢失的威胁,严重的就会影响企业的竞争力和战略决策的实施。

(四)病毒入侵、黑客攻击

企业内部网络中黑客的攻击可以致使网络瘫痪,信息泄露、公司资金安全等给企业造成难以估量的损失。黑客之所以可以轻松入侵,原因就在与他们使用了非常先进的、安全的工具,一旦他们发现没有防御功能,或者对方使用的安全工具很陈旧,就会趁隙而入。因此,计算机安装的安全工具是否安全、先进,对于防范黑客、病毒入侵非常重要。如果工具更新缓慢,就会出现对一些新的安全漏洞无法及时响应,或者需要人为干预才能消除的问题。使计算机的安全受到威胁。

计算机病毒是一些违法黑客、程序员利用自己的技术在计算机程序中植入一些指令或代码,它们可以疯狂破坏计算机的原有程序、功能、数据,造成计算机的软硬件无法正常工作或错误工作。同时,它还具有自我复制、繁殖功能,一些加壳病毒甚至可以隐藏在计算机程序中逃过杀毒软件的搜索。因此,病毒是计算机安全,尤其是数据安全的重大隐患。

三、企业内部计算机网络安全控制措施

(一)物理安全策略

物理性安全策略主要针对于计算机硬件设备提供保护,例如打印机、网络服以及通信链路等。物理性安全策略能保障计算机的安全工作环境,即保障电磁环境的兼容性。另外,这种策略还包括设定用户使用权限范围,制定计算机安全使用制度,防止越权使用、非法盗窃、破坏等行为的发生。由于计算机及其配套设备均有电磁泄漏的可能威胁,因此,物理安全策略还涵盖着应对传导、辐射的防护的各种措施实施和研究。

(二)信息加密策略

企业内部与外部及企业内部之间的大量机密信息,绝大部分是通过计算机网络进行访问。在网络技术高度发达的时代,企业高层与各个部门间的联系都是通过内部邮件、网络设施服务实现的。而在企业信息在内部网络中相互传递的过程中,信息的泄露常有发生,能够给企业造成灾难的后果,甚至关乎企业的存亡。因此,信息加密策略,一直被企业高度重视。目前信息加密有三种较为常用的方法:即节点加密、链路加密、端点加密,这些加密法主要的作用是为计算机内存贮的,以及在网络中进行传输的各种口令、文件、数据等提供安全性。这种技术可以保证信息在传输过程中的安全,保证明文在密钥的解密下才可以显现。至于如何选择,用户完全可以根据自身条件和计算机、网络等情况进行自由选择。

(三)访问控制策略

近年来,在企业内部网络安全方面策略中,访问控制策略是比较有效的安全防范措施。访问控制策略是保障网络安全的最为关键、最为有效的手段之一,它主要被应用于防范非法访问和使用网络资源这一部分,通常有几种常用措施:第一,属性安全控制,这种控制是在计算机网络服务器存贮的文件和目录与网络设备之间架起一座专属桥梁,可以较为有效的保证信息的安全性。第二,防火墙控制,主要有三种:过滤防火墙,防火墙、双穴主机防火墙。这是近几年比较流行,也是比较有效的防范黑客入侵的一种网络安全防护手段,被称之为控制进出口两个方向通信的门槛。第三,入网访问控制,这种控制比较表浅,主要控制分发用户进入和使用某些网络资源,最大限度控制非法访问。

(四)安全检测技术策略

对于企业内部网络安全的检测策略十分重要。安全的检测技术不仅可以对一些安全隐患及时发现,并采取有效措施避免了企业内部网络遭受严重的破坏。不仅如此,还能够检测企业计算机的非法插件、病毒感染、木马危害,从而构建一道安全保障,确保了企业信息安全。从目前的使用情况来看安全检测技术策略主要包括以下方面:1.应用端口安全检测法可以及时检测和发现计算机端口被非法占用的问题,并可及时采取补救措施。2.利用专业软件进行网络系统,如站点、网页扫描,可以随时监测系统的安全指标,防御性能,还可以进行模拟攻击测试,在发现漏洞及时采取措施。3.运用网络安全检测法可随时监督网络系统的异常情况,一旦发生,立刻可以报告,使相关人员及时应对,防止入侵的成功。

四、总结

随着计算机网络安全防范水平的不断提高和安全应对策略的完善,未来的计算机网络将会有更广泛的应用前景。网络安全涵盖范围很宽泛,涉及的技术、理论、方法非常多,是业界一项复杂的科技研究课题,在这一过程中,不仅要进行技术革新,建设整体的安全体系,还要构建人们的安全意识。目前,作为企业,应认识到这种现实,对于网络安全工作要给予足够的重视,应用现有的技术,采用多层次,多样化的手段建立企业自身内网统一的安全体系,最大限度的保证信息的通畅安全。

参考文献

[1]杨晶.论计算机网络安全问题及防范措施[J].科技创新导报,2011(08)

[2]刘昕.企业局域网的安全分析及防范措施[J].信息系统工程,2011(09)

[3]杨晶.论计算机网络安全问题及防范措施[J].科技创新导报,2011(08)

第5篇:如何构建网络安全体系范文

[关键词] 石油企业 信息安全 安全策略 解决方案

石油企业要提高竞争力,信息化水平是一个重要因素。而信息安全的风险随着企业信息化水平的不断提高而增加。没有可靠的信息安全保障,就没有企业的安全生产运营,就会极大地降低企业在石油行业内的竞争优势和生存空间。要保证信息安全,就必须首先制定相应的安全策略,然后依据该策略结合企业的实际需要选定具体的解决方案,全面构筑企业的信息安全体系,防止各种不安全因素带来的信息安全隐患,做到防患于未然。

所谓信息安全是指信息的保密性、完整性、实用性和可靠性,即在信息的使用和存储过程中,防止因偶然事件或人为因素造成信息被破坏或泄露,也就是要保障信息的有效性。

一、石油企业预防人为因素的方案

企业信息安全的防范不单纯是一个技术问题,而是一个综合性的问题,其中最重要的因素就是人的因素。在人的因素中,有些是无意的:如信息管理员、操作员安全配置不当造成的安全漏洞;企业内部终端用户安全意识不强,用户口令选择不慎,或是将自己的帐号随意转借他人或与别人共享等;也有些是黑客的恶意攻击,如以各种方式破坏信息的有效性和完整性;或在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息等。这些攻击均可对信息安全造成极大的危害。对于这类人为因素,必须首先建立石油信息安全领导小组,设立安全领导小组办公室,由企业负责人直接担任组长,并逐级确立信息安全责任人,并且对信息中心的管理员、操作员,进行必要的定期的信息安全教育,明确岗位职责、权限,签订岗前责任状,以提高全员信息安全防范意识。同时制定信息安全制度,并采取相应的措施以防止信息安全漏洞。

二、石油企业内部技术防范的方案

从技术角度看,信息安全的防范包括:

(一)设备及环境安全

设备和环境的安全主要涉及到由于自然灾害、人为因素造成的数据丢失,比如地震、电力故障、火灾、洪水、盗窃等。它们给企业的数据带来潜在的威胁,因此对于信息安全级别较高的企业,应建设完善的容灾备份系统。容灾备份系统一般由两个数据中心构成:主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。这种在线备份出现故障后系统数据恢复时间短,安全性好,但对资源的占用率比较高,投入成本也大;还有一种离线备份,即把数据定期备份到移动存储器或光盘上,然后异地保存,离线备份方式恢复时间比较长,但投资较少。企业应根据自身信息化建设的程度及企业对信息安全的要求以及资金投入情况,决定容灾备份系统的规模和等级。

(二)系统运行安全

随着企业信息化的发展,信息系统的连续稳定运行越来越重要。一旦系统中断,将会给企业的工作带来混乱,而数据一旦丢失,后果将是灾难性的。为保证信息系统的连续稳定运行,应采用双机热备解决方案。这种系统有两个服务器组成:主服务器和从服务器。主服务器将从服务器的硬盘视为自己的一个外部磁盘设备,由专用数据链路担负着传输镜像数据的任务,同时也为从服务器监视主服务器提供了途径。主服务器系统可以象对本地硬盘一样访问从服务器上的硬盘。从服务器不仅镜像着主服务器的硬盘数据,而且还实时监测主服务器,一旦发现主服务器故障,会自动接替主服务器工作。

(三)数据库安全

在数据库系统中,由于数据大量集中存放,且为众多用户共享,安全性问题更为突出。解决数据库安全的措施要从数据库软件本身和数据备份两个方面考虑。

1、利用软件本身所具有的性能进行安全保护大型数据库为开发者提供了有效的安全性控制策略,一般会在数据访问的安全性和监督用户的登录进行有效的控制,同时又兼顾用户在使用数据时对速度的要求。大型数据库中的安全性是依靠分层解决的,它的安全措施是级级层层设置的,做到层层设防。第一层是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。

2、利用硬件备份系统进行安全保护备份系统不仅是保证数据库安全,同时也是保证网络系统安全的一种重要手段,为了保证数据安全,需要对数据库进行及时快速的备份。备份系统的服务器的应用较为简单,配置不要求很高,甚至可以和其他一些应用共用一台服务器,而备份软件和磁带库是备份系统的关键。

三、石油企业网络运行安全的方案

网络安全问题是信息安全问题的核心,应采取全方位的、动态和静态相结合的方案解决网络安全问题。影响网络安全的要素包括:网络边界安全,操作系统安全,应用服务器安全,内部网安全,网络防病毒。影响网络安全的因素可以通过以下安全产品来防范:

(一)防火墙的应用

防火墙在企业内部网和外网之间设置了一道有效屏障,保护网络边界并防止黑客入侵。防火墙作为单一的关口,在此关口能检查、审核、加解密和认证进入网络的数据。

(二)漏洞检测系统的应用

漏洞检测系统又称系统扫描、风险评估。漏洞检测就是模拟黑客的攻击手段对被检测系统(包括各种操作系统、网络和应用服务器)进行扫描,然后提交安全漏洞报告,并给出解决漏洞的方法,从而保证网络边界安全、操作系统安全、应用服务器安全和内部网安全。

(三)网络防病毒产品的应用

随着网络的不断发展,信息共享、信息交换越来越多,因此感染病毒的机会更大。在企业网络内一旦有一台主机感染病毒很快就会传播到整个网络,甚至对企业造成很大的经济损失。因此防病毒已成为网络安全的重要课题。对于可以登录外网的终端计算机可以采用购买网络版杀毒软件,提前预防、实时监控和杀毒。对于仅能登录内网的终端计算机,企业应当购买专业单机版杀毒软件,并在内网定期单机版杀毒软件的离线更新包。

以上是动态的网络安全策略,对于静态的网络安全策略,可以从网络的结构设计方面提高网络的安全性。对于一些安全要求比较高的部门,如财务部门,可以建立专门的局域网与互联网及企业内部网进行物理隔离;还可以通过冗余设计来提高网络的可靠性,例如:链路冗余、模块冗余、设备冗余及路由冗余。

(四)访问控制安全的应用

访问控制功能是对企业综合信息系统的内容进行访问权限的限制。对于有些只对企业内部或合作单位开放的信息,应该设置访问控制,只有得到用户名和密码的用户才能访问这些内容。可以通过配置路由器来实现这部分的功能。

另一方面,是企业不同部门对网络权限要求不同的问题。各应用系统设计和选购时应该考虑如何保障各部门的安全,保证安全保密性级别高的部门在网络上运行的各类业务不受未授权员工的损害。在构建网络时应用VLAN技术和第三层交换技术,可在同一个基础物理网络上实现员工网络、财务网络、领导网络和部门网络的逻辑分隔,从而提高整个信息系统的安全性。

(五)信息存储安全

网络的发展,加上多媒体应用,使得数据呈几何级数激增。传统的以服务器为中心的存储网络架构面对源源不断的数据流已显得力不从心,严重的会导致数据崩溃。为了存储安全,以服务器为中心的数据存储模式必须向以数据为中心的数据存储模式转化。为了解决这个实际问题,可以采用网络存储技术,网络存储技术是一种特殊的专用数据存储服务器,内嵌系统软件,可提供跨平台文件共享功能,完全以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而有效释放带宽,大大提高了网络整体性能,也可有效降低成本,保护企业的投入,将数据崩溃降低到最低限度。

第6篇:如何构建网络安全体系范文

关键词:网络伦理 伦理挑战 伦理原则 伦理建设

网络时代的到来,不仅使网络成为社会生产、社会管理和社会服务的主要手段、广泛的运用在金融、教育、娱乐等社会活动中,并逐步成为日常生活中重要的沟通方式,也使得人们的生活方式和思维方式发生了变革。网络为人类创造了一个虚拟的空间和新的生存方式,使人类可以在信息化、数字化的世界中自由的交流信息,沟通世界。网络主要特征是信息的传递快捷、获取方便、其内容丰富、交往全球性,并因此为人们广泛运用。网络时代改变了社会各阶层群体的活动空间和生存生活方式,也改变了建立在生活和生存方式基础上的伦理道德观念.

网络在为人类生活提供信息资源共享、便捷的同时,也使当今现实的价值观念和道德观念受到了新挑战。因此,如何适应网络虚拟社会的需要,建立与之相适应的道德准则,就成为网络时代给我们提出的新课题。

网络伦理道德,是以现实社会道德规范为基础,是对社会道德规范的延伸与拓展,是人们在进行网络活动时要遵循必要的道德规范。它是针对网上行为的特殊性,针对网络虚拟空间生活自身的特点的基础上建立起来的一种新的伦理道德规范,并且借鉴传统现实社会道德成果与经验,建立起适应网络伦理关系要求的新的伦理观。

一、网络的伦理挑战

随着互联网个人使用数量的急剧增长,全球性的网络社会已形成,网络生活已经成为公众的一种生存环境和生活方式。网络如同“双刃剑”在促进经济迅猛发展的同时,也带来一系列现实社会难以应付的伦理问题。

网络是开放的空间,由于目前尚未建立和形成有效的管理机制和模式,使得一些西方的有害的思想充斥其中,甚至出现一些不道德的现象;人们在网络中的安全感和信任度降低,网络交往没有了人与人面对面的交流,也没有了直接的监督和约束,更容易使人们忘掉自己的社会角色和社会责任,这些都是对现有道德规范的冲击。

网络伦理问题的产生,根源主要是由于网络本身的特点所造成的。网络社会没有绝对的监管与准则,造成了管理与控制的困难,也因此从根本上导致了网络社会整体的伦理失范。网络本身具有极大的开放性和自由性,网络上人们的匿名性,网上行为的隐蔽性,以及没有成熟的管理模式和监控模式,这给网络的管理与约束加大了难度性。

当我们以原有的道德准则去要求网络时,会发现原有的伦理观念的无力,因此,网络又给现实的伦理道德带来了新的挑战。网络是对现有伦理关系的冲击与挑战,网络本身的特点打破了人与人交流的地域性,也打破了人与人之间固有的交往形式,这意味着现有的道德规范无法调节网络社会带来的人与网络、人与非实在的人之间的关系。因此如何调节之间的关系,就成为了现有伦理准则面临的巨大难题。面对网络对现有伦理的挑战,我们必须要进行网络伦理的研究和建构,建立起网络伦理的规范体系和建设机制。

二、网络的伦理原则

网络伦理确立的在于要结合网络伦理关系自身的特点,归纳出适应网络社会需要的伦理法则。面对当前网络伦理危机,需要我们建立将网络的特点与伦理道德相结合的网络伦理,而在其构建的过程中,需要借鉴和吸收传统文化,以期构建符合中国特色的网络伦理,指导人们正确上网,正确行为,提高网民的道德修养与自律。

在生活中,我们国家有优良的文化传统道德和较为完备的法律规范作为重要的道德准则来指导行动。但在虚拟空间的网络世界,在其飞速发展的过程中,没有及时建立起相应的法律监管制度,也没有形成较为完备的伦理道德规范。构建网络伦理的过程中,我们需要借鉴和吸收传统文化,更要考虑到网络社会的特殊性。

自由,宽容,无害的原则是网络伦理的原则。人们在平等自主的前提下,可以跨越国界和超越信仰地交往和交流。网络是一个价值观多元化的空间,因此想要在网络中建立统一的价值观和伦理观是十分困难的。为了解决网上人们虚拟交往中的矛盾与碰撞,就必须提倡宽容的精神,它的前提是无害,这也是网络伦理的最起码的道德规范,要求任何网络行为对于自己、他人和网络社会至少是无害的。人们不应该利用互联网和网络技术给其他网络主体和网络空间造成直接的或间接的伤害。同时,还要确立起自由的准则,人们有在互联网上选择自己的生活方式和行为方式的自由,可以充分表达自己的意见和观点的自由,任何个人和组织不得干涉别人的行为方式和压制网上言论自由,也允许人们拥有不同的价值观念和。并且,在维护自己的个人信息的权利的同时,也要尊重他人的隐私权。

网络伦理原则是构建网络道德体系的根本指导原则,为网络道德的具体规范提供了基本的准则和尺度,也为我们在进行网络伦理建设提供了方向。

三、网络伦理建设

网络社会在带给人们极大自由与便利的同时,也带来了现实道德难以应付的难题。网络虚拟社会与现实社会一样,也必然存在一个社会公共秩序与安全问题。这就需要人们自觉遵守网络规则,维护网络安全秩序。因此在面对新问题的时候,如何建构网络伦理显得日趋迫切与必要。

首先,从网络社会的主体本身而言,是主体自身的道德缺失。目前人们对网络伦理还不是很理解,旧道德与网络交叉中出现的较多不能很好处理的新问题,不知道如何合理的处理问题以及指导自己的网络行为,容易出现网络行为失范。因此,要加快网络伦理教育的步伐,、使伦理道德思想深入人心,增强个人的道德责任心,提高全体国民的网络伦理道德水准,使他们能在合理价值观指导下,成为合格网络公民。

其次,加强法律、规范建设,规范网络行为。仅靠自律约束上网行为不做违反伦理道德违反法律的事情是不够的,因此,加强网络立法,通过法律建设进行网络规范是网络伦理建设的有力武器。制定出相关的法律和措施,对网络上出现的种种违法行为进行管制和惩罚,可以通过有效和明细的法律规定,有效地规范人们的网络行为。

最后,建立网上监督机制,保证网络伦理要求的实现,预防网络行为失范。

还要通过提高网络技术手段,阻止不良信息的获取,传播扩散。仅通过道德规范的制约难以达到网络伦理建设的要求,还要靠提高国家的网络执法部队的科学水平和执法水平。

网络伦理的建设是一个全面系统性的工程,只有进行全方位的法制建设和道德建设,才能真正建立起网络的良好秩序和道德环境。

参考文献:

[1] 严庚等 《网络伦理》 北京出版社.1985年5月第1版;

[2] 孔汉思等著 《全球伦理》 四川人民出版社.1997年6月第1版;

[3] 朱银瑞 《网络文化》社会科学文献出版社.2004;

[4] 黄寰 《网络伦理危机及对策》科学出版社.2003;

[5] 倪愫襄著《伦理学导论》 武汉大学出版社.2002年10月第1版;

第7篇:如何构建网络安全体系范文

        【关键词】会计信息化;机遇与对策

        【abstract】in today's china's rapid economic development, enterprise information technology success is a measure of each enterprise information construction and management of high and low quality standards. how to effectively implement the strategic development objectives of the enterprise is widespread concern. in this article, long steel group in the implementation of the accounting aspects of information technology are discussed. willing to colleagues questionable.

        【key words】accounting information trend; opportunities and strategies



        1. 前言

        在社会进入信息化时代,企业信息化建设中,会计信息化建设是整个工作中不可忽视的重要环节。会计信息化是在会计电算化基础上产生和发展起来的,它是基于现代信息技术平台,融物流、资金流、信息流与业务流为一体,反映会计与现代信息技术相结合,高度数字化、多元化、实时化、个性化、动态化的会计信息系统,这种会计信息系统将全面运用现代网络系统,使业务处理高度自动化并达到资源共享。它不仅仅是信息技术运用于会计上的变革,它更代表的是一种与现代信息技术环境相适应的新的会计思想。

        2. 问题的提出(现状)

        长钢是个有着数十个子公司、三十余家二级非法人单位,以钢铁为龙头,涉及机械制造、焦化、水泥、房地产、工程建设等领域的综合性集团公司,在日益发达的信息技术条件下,如何利用信息化技术、资源来实现长钢高效的管理,提升企业的现代化管理水平,从而达到提高企业经济效益的水平,是长钢人始终追寻的目标。然而,由于信息化建设是一项系统工程,它涉及到企业的方方面面。某个环节稍有疏忽,就会影响企业整体的信息化建设。

        早在2002年,长钢集团就已开始了其会计信息化建设工作,由于缺乏企业系统内各业务部门规范的会计核算标准体系,会计基础管理工作规范化、标准化较低,与企业管理信息系统要求脱节,最终以流产而告终。

        同样,在2004年长钢集团也实施了oa(办公自动化)系统的运作,但由于这些软件引进或开发,因时间、版本、各种平台等问题,而使当时的oa系统在运行中产生的数据相对而言都是独立的,信息“孤岛”现象十分严重,并不能将各方面的信息在企业内进行有效交流。 

        那时长钢集团引进的erp销售子系统,对企业的销售管理及销售结算中曾起到过一定的作用,但企业的财务管理系统中不能直接对其管理成果予以反映,为了生成财务系统中数据,人们不得不花费大量的人力物力,对其数据进行再加工和转换,尽管那样也很难提高工作效率。

        随着长钢网络系统的开通,企业的经营管理活动几乎完全依赖于网络系统,由于网络的开放性,会计信息化建设中的网络安全问题又被企业内部提了出来。

        种种事实在提醒着人们,信息化建设中各个环节都应该引起人们的重视。如何扭转这种不正常的现状,是企业信息化建设能步入正常状态,是长钢人亟待解决的问题。

        3. 实施机遇

        随着国家产业政策的调整,长钢集团经历了大转型、大发展、大变革后,规模日益扩大,特别是2009年8月长钢集团与首钢集团的联合重组成功签约,标志着长钢集团的事业又登上了历史的顶峰企业内部的管理也随之而加速创新发展。此时,财政部又提出了《关于全面推进我国会计信息化工作的指导意见》为长钢发展会计信息化提供了一个千载难逢的机遇,具体表现在以下几方面:

        3.1高度集中的财务管理系统。随着企业集团的发展和多元化战略的实施,为实现企业财富最大化,针对集团公司众多的分支公司及复杂的组织结构、管理链条长等特点,为有效监控集团公司的经营运作,尤其是资金运作,采取了企业集团的财务集中管理,从而使集团内各子公司的资金动作完全置于集团的监控之下,以确保资金合理有效地使用。因此,企业会计信息化的重要性在集中管理中凸显了出来。

        3.2erp销售子系统的成功运用。erp销售子系统在公司推广运用后,集团公司为该系统提供一个局域网平台,通过该系统,对所有入库产成品实施在线监控,在销售全部实行先款后货的方式下,对于提货结算起到了一个很好的系统控制作用。由于有规范的流程加以控制,信息可以准确、无误、及时共享和传递。该系统的成功实施,标志着长钢集团财务管理信息化建设可以有一个好的开端。

        3.3培养了一批技术骨干。十几年来,随着会计电算化技术在集团内的不断深入使用,会计电算化的制度建设已逐步完善,同时也培养了一批能熟练运用电算化软件的技术骨干队伍,为实现企业会计信息化打下了良好的基础。        3.4内部制度的建立与逐步完善。长钢集团实行的是法人治理下公司管理制,在此前提下的内部控制方法如不相容职务相互分离控制、授权审批控制、会计系统控制、预算控制、风险控制、内部报告控制等在企业的生产经营管理中发挥着巨大的作用。

        上述各种条件和机会都给长钢集团在新形势下完全实施信息化建设,提供了一个很好的机遇。

        4. 实施策略

        会计信息化不仅仅是会计部门的事情,同时也是涉及财务管理和业务管理各相关部门的一项系统工程。企业高质量的信息化建设就是要有效解决企业在集团化(甚至国际化)发展过程中的管理滞后、风险反应迟缓、管理层次过多、数据过于分散、标准差异较大、系统融合度不高等问题。经过梳理之后,我们认为长钢集团在实施企业内信息化建设的高标准上应做到:

        4.1提高认识,理性规划。会计信息化是一个系统工程,需要企业领导高度重视,企业领导必须对会计信息化的实施过程进行组织、领导和监督,同时教育广大职工改变思想认识,使企业全体人员认识到实行会计信息化的必要性。企业的信息化过程中要有规划的理念与思路,在对企业会计信息化建设的整体目标进行战略性思考的同时,要将企业会计信息化的层次提到一定高度,因其是企业信息化的基石,必须充分认识其重要性。

        4.2更新管理理念,促进管理思想变革。在企业会计信息化实施过程中,切忌将信息技术直接用于模拟手工业务处理方式,而对传统的管理理念、管理模式、管理方式均不做任何重大改变,使许多在新技术条件下不合理、不必要或无效的工作与流程坚固地锁定在新的系统中,从而限制信息技术巨大功能的发挥。这就迫切需要对企业业务流程进行重组,这是信息技术应用必然促进管理思想变革的一个方面。

        4.3建立标准体系。鉴于此,首先企业应建立内部控制标准体系,编制会计手册,并在该体系指导下建立以产、供、销为一体的各自点的会计信息化系统,然后以点带面,通过企业建立的会计信息化平台,逐步促进其他相关业务部门的会计信息化工作。

        4.4解决信息“孤岛”,实现信息有效流畅。oa系统的成功运行,为长钢集团未来会计信息化工程奠定了一定的基础。此外,企业在会计信息处理系统向会计信息化发展的过程中,始终要将会计业务处理流程融入到企业可持续发展变革中。只有这样,它既能满足使用者的需求,同时为企业在信息化建设过程中的巨大投资得到应有的回报。

        4.5风险控制制度的完善。集团公司要顺应内外部发展环境变化,依据国家财政部《内部会计控制规范——基本规范(试行)》,进一步完善有效的风险管理系统,通过风险预警、风险识别、风险评估、风险分析、风险报告等措施对财务风险和经营风险进行全面的防范和控制,并将风险控制的理念溶入到企业信息化建设中去,达到企业防范经营风险的迫切需求。

        4.6构建网络环境下会计信息安全防范体系。因此,在软件开发、硬件管理、组织机构、人员管理、系统操作、文档资料、计算机病毒的预防和消除等各个方面,都要建立起一套安全的保障措施和制度,构建网络财会安全保障体系。

        5. 结语

        随着国家产业政策的调整,长钢集团经历了大转型、大发展、大变革后,规模日益扩大,特别是2009年8月长钢集团与首钢集团的联合重组成功签约,标志着长钢集团已进入中国钢铁工业的顶峰,在加速推进企业信息化进程、满足企业信息化应用过程中逐步发展壮大自己,以此增强核心竞争力,带动长钢企业的进一步提升和持续快速健康发展,从而拉动整个国民经济的发展。如今长钢人正在朝着更远大的目标奋斗着。

参考文献

[1]中华人民共和国财政部.《企业会计准则》北京:经济科学出版社,2006.2

第8篇:如何构建网络安全体系范文

关键词:PKI;可信计算;行政审批系统;行政审批;电子政务

一、引言

行政审批系统是辅助各级政府的行政审批中心实现网上服务和网上办公,增强公众服务的主动推送力度、提高内部办证人员办理证件的效率,并对各办事窗口进行全面监督管理的综合信息化系统。它通过网络与公众、办证窗口、监察人员等相连接,实现审批中心办证服务办公自动化,提高中心的信息传递效率,大幅降低管理成本。

但是,大部分行政审批系统都有网上审批部分,也就是说,大部分行政审批系统会建设在互联网中。而互联网中的不安全性,使得行政审批系统在申报、审批、结果公示等各个环节下产生的结果不具有可信度,从而极大地影响了基于互联网的行政审批系统的发展。如何解决好基于互联网的行政审批系统中的数据安全,是一个亟待解决的问题。

本文提出的基于PKI密码体系的可信行政审批系统,是在现有行政审批业务系统的基础上,结合了公钥密码基础设施(PKI)的支持,将密码学中的加密、解密、签名、验证签名行为充分应用在了行政审批业务的申报->审批两端,极大地加强了行政审批业务数据的机密性、真实性、完整性及不可抵赖性,最终保障了政府数据安全。

二、公钥密码基础设施简介

PKI是PublicKeyInfrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。在X.509标准中,将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究的基础设施。这个概念不仅仅叙述PKI能提供的安全服务,更强调PKI必须支持公开密钥的管理。也就是说,仅仅使用公钥技术还不能叫做PKI,还应该提供公开密钥的管理。总体来说,PKI是用公钥概念和技术实施的,支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分:

认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征。

数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥。

密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但需注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。

证书作废系统:证书作废处理系统是PKI一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。

通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。

PKI作为一种安全技术,已深入网络的各个层面。这从一个侧面反映了PKI强大的生命力和无与伦比的技术优势。PKI的灵魂来源于公钥密码技术,这种技术使得“知其然不知其所以然”成为一种可以证明的状态,使得网络上的数字签名有了理论上的安全保障。围绕着如何用好这种非对称密码技术,数字证书破壳而出,并成为PKI中最为核心的元素。

PKI的优势主要表现在:

第一,采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。支持公开地进行验证,或者说任意的第三方可验证,能更好地保护弱势个体,完善平等的网络系统间的信息和操作的可追究性。

第二,由于密码技术的采用,保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密,同时也可以为陌生的用户之间的通信提供保密支持。

第三,由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。PKI采用数字证书方式进行服务,即通过第三方颁发的数字证书证明末端实体的密钥,而不是在线查询或在线分发。这种密钥管理方式突破了过去安全验证服务必须在线的限制。

第四,PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。撤销机制提供了在意外情况下的补救措施,在各种安全环境下都可以让用户更加放心。另外,因为有撤销技术,不论是永远不变的身份、还是经常变换的角色,都可以得到PKI的服务而不用担心被窃后身份或角色被永远作废或被他人恶意盗用。为用户提供“改正错误”或“后悔”的途径是良好工程设计中必须的一环。

第五,PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。

三、可信行政审批系统中的安全需求

随着1999年开始启动的政府上网工程,全国绝大多数城市都纷纷建立了政务门户网站,为了真正做到便民、利民,实现政府工作透明化和提高行政执行效率,各级政府部门纷纷建立网上业务受理系统。2004年7月1日颁布的《中华人民共和国行政许可法》中明确规定了申报项目必须在网上审批,这极大地推动了政府网上审批系统的建设,各地政府开始纷纷构建网上行政审批系统。

由于行政审批系统是构建在开放的、虚拟的互联网中,且系统中传输和存储着大量机密和敏感的数据,使得网络信任体系建设成为一项非常重要的工作。近年来,盗用账号、越权访问、非法信息、数据篡改等问题在各级政府部门都时有发生,并呈逐年上升趋势,这给系统的信息安全建设提出了非常迫切的需求,这些问题主要集中体现在以下几个方面:

第一,身份认证:系统中的用户采用简单的“用户名+口令”登录方式,数据以明文方式在开放的互联网中传输,很容易被非法用户窃取,非法用户可伪造、假冒用户的身份,业务系统无法证明访问的用户是否是真正的合法用户本身,用户也无法知道他们所登录的系统是否为真实、可信的业务系统。因此,有必要明确网络用户双方的真实身份,以维护系统的可靠运行。

第二,数据机密性:行政审批业务系统中双方操作的交互数据都是通过开放的互联网络进行传输,若这些数据以明文方式或以简单的加密技术进行处理,很容易被非法用户截取、破解并加以利用,可能会给数据操作的双方带来严重的损失。因此,需要保证数据传输的机密性。

第三,数据完整性:敏感数据在开放的网络中传输,很可能遭到非法用户的恶意篡改,使得数据不完整或不真实。因此,需要保证传输数据的完整性。

第四,数据不可抵赖性:行政审批系统的运行往往关系到政府的信用度和执政形象,若没有一定的监测机制,申报者有可能否认自己的申报数据及申报行为,审批者也可以否认自己的审批意见及审批行为,甚至出现假冒他人进行申报或审批的行为。因此,需要实现信息交互双方对于操作事实的不可否认性,同时对涉及信息安全的事件,系统能够提供事后追踪、审核及统计等功能。

四、基于PKI密码体系的可信行政审批系统的设计

系统的总体架构由四大部分组成,即申报模块、审批模块、管理模块和安全模块。整个系统采用面向对象的方法实现。

(一)审批流程

行政审批系统的申请审批流程,如图1所示:

在该流程中,涉及到密码的部分有:所有环节操作者在操作之前都必须验证用户身份;“提交申报材料”环节,涉及到对电子申报材料的安全保护,包括加密保证其机密性、签名保证其真实性、有效性和不可抵赖性;“相关部门审批”环节,涉及到对审批环节的安全保护;“反馈审批结果”环节,涉及到对审批结果的安全保护;所有环节都涉及到对操作者的权限控制。

(二)部署结构

系统的整体部署结构,如图2所示:

系统部署结构,如图2所示。图2中,应用服务器:系统运行所需要的应用服务器,主要的系统业务程序运行于此;数据库服务器:系统运行的业务数据、用户数据和文件附件都加密签名后存储于此;证书服务器:即PKI体系的核心部分――CA的服务器,包括证书的管理、密钥的管理功能都运行于此;LDAP服务器:根据PKI体系的要求,的数字证书存储于LDAP中;行政服务申报点:负责行政审批业务中的项目申报工作;通过插入的KEY进行身份认证、数据加密、签名行为;行政审批点:行政服务中心负责审批工作的工作终端,通过插入的KEY进行身份认证、数据加密、签名行为;管理员:管理员通过纯WEB方式进行系统的数据配置和权限管理,通过KEY进行管理员的身份认证。

(三)逻辑结构

系统的逻辑结构,如图3所示。

图3中,系统主要分为系统环境、软件支持、密码支持、后台管理、业务管理(包括申报管理和审批管理)几个层次,下层给上层提供业务支持。

第一,系统环境层:主要是指操作系统的支持,包括服务器操作系统和客户端操作系统两部分,通常情况下,服务器操作系统使用LINUX,客户端操作系统兼容主流WINDOWS。

第二,软件支持层:主要是数据库软件,系统中使用的是MYSQLFORLINUX,另外,还有网页系统必须的WEB服务器支持,本系统用的是JDK1.6+JBOSS4.2。

第三,密码支持层:主要包括密码设备和密码接口,提供加密、解密、签名、验证签名、证书管理和权限控制等安全功能。

第四,后台管理:主要有用户、组织架构、角色、权限、申报项目、日志审计等内容,为前台业务运行提供必要的初始化数据和控制因素。

第五,业务管理:主要包括申报和审批,围绕着行政审批的业务进行编写的对应功能。

五、基于PKI密码体系的可信行政审批系统实现及应用

本系统在某县行政服务中心得到应用,在全县范围内构建了“县行政服务中心->乡镇行政服务分中心->村行政申报点”三级联动的可信行政审批服务体系,旨在通过信息化手段解决农村公共服务业务中“路途远、周期长、结果迟”的不足,更好地为农村群众服务。

该系统基于互联网,因此,在各环节根据设计保证数据安全是本系统必须确保的目标。系统应用过程中使用国家商用密码设备来构建这一PKI安全体系。具体如下:

第一,“用户登录”环节。在用户登录环节,系统目前惯用但不够安全的“用户名+密码”方式加强为“智能密码钥匙+密码”方式。用户必须持USB智能密码钥匙以及输入对应密码才能进入系统。用户插入KEY后,自动会读出用户名,如用户没有插入KEY,则系统会弹出出错提示。

第二,“文件上传”环节。文件上传前进行数据加密、签名,并将文件的密码信息在文件头部生成电子文件安全标签,然后将包含标签和密文的安全电子文件实体上传至服务器。

第三,“提交申报材料”环节。提交申报材料环节中,将要提交的表单以及表单中包含的已加密签名的安全电子文件上传至服务器。

第四,“审批”环节。审批环节主要关注的是审批意见和审批后材料的安全性,会对审批意见和审批后材料进行加密签名、然后将安全的结果数据保存在数据库中。

另外,对数据库中每一条审批记录都做了防篡改校验,即将数据库中的每一条审批记录内容进行摘要计算,然后将摘要记录在记录中的某一个字段内。如果审批记录被修改,系统会立即检查出并报错,以达到保证结果不被篡改的目的。

第五,权限管理。所有用户在系统中都有指定权限,任何用户的权限都将由系统管理员在后台设置,设置后系统将按业务规则控制申请、审批用户的操作权限,杜绝未授权的不安全操作行为。

系统经过各个环节全方位的安全加固以后,以由一个普通的行政审批系统上升成为安全的可信行政审批系统,并在用户处得到广泛应用,用户评价很好。

整体来看,通过PKI密码基础设施,可以有效地提高行政审批系统的安全性,使得信息化为行政服务中心及广大群众服务的同时,也保护了政府信息的安全。

六、结束语

本文提出的基于PKI密码体系的可信行政审批系统,成功实施后,对行政审批中心信息化工作有着较大的推进作用,典型的实施效果如下:

第一,为政府部门及时完成工作任务实现公文无纸化传输等应用提供强有力的安全保护。

第二,有效地保证系统用户与应用系统之间信息传递的安全性,为职能部门的决策提供及时、准确、全面、安全和不可抵赖的信息服务。

第三,为政府外网的安全、稳定运行提供有效的保障:保证政府通过外网获得的大量决策信息和参考信息的真实性、可靠性;同时为推动政务公开、职能转变、网上互动、增加透明,树立政府“公开、廉政、高效”的良好形象提供安全可靠的网络基础。

第四,防止公文数据泄漏,防止越权操作,提高电子政务的工作效率,满足各办公单位进行高效、快捷的的需求。

第五,提高政务工作的透明度,提高政府部门的形象;为整个电子政务信息化建设提供安全的应用环境。

同时,由于PKI密码体系是业务无关的,因此这种设计思路不仅可以应用于行政审批系统,也可以应用于其他与文件安全、数据安全有关的应用系统,从而可以使本设计思路的应用范围更广泛,应用效果更好。

参考文献:

1、关振胜.公钥基础设施PKI及其应用[M].电子工业出版社,2008.

2、荆继锵.PKI技术[M].科学出版社,2008.