前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的加强网络安全队伍建设主题范文,仅供参考,欢迎阅读并收藏。
关键词:信息安全 防御体系 医院信息化管理
中图分类号:TP316 文献标识码:A 文章编号:1674-098X(2014)06(a)-0038-01
1 医院信息安全现状分析
1.1 信息安全策略不明确
医院信息安全策略工作的不明确,使医院对于信息工作提出了更高的要求。医院信息安全工作的建设并不是那样的简单,有些医院只是简单的注重各种网络安全产品的采购,但是并没有制定信息安全的中、长期的计划,这些医院没有根据自己的网络安全出现的一些问题而采取一些应对措施,也没有根据自己的信息安全目标制定符合实际的安全管理策略。以上现象的出现,使医院信息安全产品不能发挥出应有的作用,不能得到适当的优化和合理的配置。
1.2 计算机病毒等危害日益严重
医院网络安全事件频繁发生,直接影响到医院活动的正常运行。据调查,网络安全问题是由病毒泛滥、黑客攻击、系统漏洞等原因造成的,网络安全事件与脆弱的用户终端和“失控”的网络密切相关,用户终端不及时升级系统补丁和病毒库,或者私设服务器、滥用政府禁用软件、私自访问外部网络的现象普遍存在,如果失控的用户终接入网络,就会使潜在的威胁趁虚而入,并大幅度的扩散开来,后果不可想象。想要解决目前医院网络安全管理问题,需要我们保证用户终端的安全、阻止威胁入侵网络和对用户的网络访问行为进行有效的控制。这样,医院网络安全才可以进入可观局面。
1.3 信息安全意识不强,安全制度不健全
信息安全事件存在多方面的不足,归结起来要么是医院未制定安全管理制度,要么制度后实际却没去实施。对于医院信息安全问题来说,医院内部人员起到很大的作用,但是实际情况下,医院内部人员的计算机知识却相对薄弱,特别是在信息安全知识和意识方面,所以医院应加强对内部员工安全知识的培训。
2 构建医院信息安全及防御体系的措施
目前,想要完成医院信息安全的任务,首先要根据医院的实际状况出发,制定出相应的措施。医院信息安全应包括安全策略、安全管理和安全技术,只有将这三个方面的安全措施做好,医院信息安全便可取得一定的效果。
2.1 提升信息安全策略
网络信息安全需要从管理和技术两方面下功夫。网络信息安全并不是一个单一或独立的问题,在根据医院网络信息实际出现的问题采取相对应的措施外,还应该严格务实的实施下去,只有这样可以提高网络信息系统安全性。我们在网络安全实施的策略及步骤上应包括以下五方面的内容: 制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。
2.2 完善信息安全管理
从安全管理上,要制定出相对完善的机制,遵守并实施安全管理制度,加强对医院员工的安全意识培训,引导并督促他们对安全意识深入了解,最后还要制定出网络安全应急方案等。
第一,安全机构建设。成立专门的信息管理组,并设立各个部门及其主要领导,每个部门规定相应的职责,层层推进,共同实施信息管理任务。除此之外,还应该及时的进行信息的安全检查和应急安全演练。
第二,安全队伍建设。若想要医院信息系统能够正常有序的运行,则需要建立一支较高水平、较高实力的安全管理队伍。安全管理队伍可通过引进或则培训等渠道建立。
第三,安全制度建设。为了确保医疗工作的正常运行,需要建立一套可行的安全制度,其内容包括很多方面,比如:系统与数据安全、应用安全、网络安全、信息安全、物理安全和运行安全等等。
2.3 提升医院信息安全技术水平
依据安全技术的实施结果分析,要针对检测到的安全漏洞,制定出全面且彻底的补救方案与改进措施。
(1)冗余技术。冗余技术的作用可以实现网络的可靠性,冗余技术包括:电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等。若无冗余技术的作用,医院信息网络就会就会出现故障或变化,这样会导致医院业务的瞬间质量的恶化甚至内部业务系统的中断,并且医院信息网络作用于整个医院的业务系统,需要保证网络可靠并正常的运转,这就更需要冗余技术来发挥维持网络稳定性的作用了。
(2)建立安全的数据中心。无论对于患者或是医院来说,医院的医疗数据都是非常重要的,但是由于医疗系统的数据类型非常丰富,在对数据的多次读取的和储存的同时,难免造成数据的丢失,或则被恶意破坏、非法利用等安全问题,所以,建立一个安全的数据中心成为必需。一个安全的数据中心具有以下功能:有效的杜绝安全隐患、确保病患的及时信息交互、保证各个医疗系统的健康运转和加强医疗系统的安全等级。数据交换、数据库、服务器集群、安全防护和远程优化等组件都是融合的医疗数据中心的组成部分。
2.4 安装安全监控系统
想要保持医院内部的安全策略,安全监控系统扮演着非常重要的角色。安全监控系统不仅能充分的利用了医院现有的网络投资,还可以起到监督的作用,监控各种网络行为和操作进行,可以随时随地的记录各个终端和网络设备的使用状况,而且还能起到隔离部分被攻击的组件的作用,
3 结语
医院信息安全并不是一个简单的系统,应该采取多种有效的技术手段来应对不同网络威胁,当然,也应该清醒的认识到不可能把信息安全问题彻底解决掉,绝对安全是不存在的。但是,只要我们把系统合理、安全规划,技术上制定好相应的安全防护措施并认真务实的执行下去,建立一个将误差降低最小的安全防护系统,才是我们一直追求的目标,才能实现保护医院信息安全的目的。
参考文献
[1] 魏牧.浅谈医院信息系统的安全管理[J].科技资讯,2009(8).
[2] 管斌,孙曼凌.浅谈医院信息管理系统[J].中国社区医师(综合版),2007(18).
[3] 黄俊星.现代化医院建设中医院信息系统管理的探索[J].江苏卫生事业管理,2007(1).
关键词:网络安全;风险评估;安全措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
论文关键词:金触信息系统风险隐患防范措施
随着,国金融电子化建设的不断深人,电子化、网络化、集约化已经成为金融业信息化发展的大趋势,电子计算机及信息技术的应用已经渗透到金融业经营的各个层面,成为了金融业务开展的基础,现代金融就是“货币+信息”。金融信息化系统安全的重要性也与日俱增,成为金融业经营管理工作中的头等大事。本文就当前金融信息系统风险隐患的成因进行剖析并提出对策措施。
一、金融信息风险成因
1.系统运行环境的不安全。一是操作系统平台的漏洞。金融信息系统主要是基于UNIX.Windows,SUN等系统平台设计的,而这些操作系统,安全级别较差,存在着安全漏洞,如系统崩溃漏洞、拒绝服务攻击漏洞、缓冲区溢出漏洞等,都能导致系统的瘫痪。二数据库管理系统的缺陷。数据管理系统是信息系统的基础,必须与操作系统的安全配套,但这无疑是一个先天不足。三是网络协议安全的脆弱。计算机网络系统大都使用TCPIIP协议,传统的FTP,E-MAIL等服务都包含着影响金融信息安全的因素,存在着漏洞,容易被攻击,直接威胁到金融信息系统的安全。
2.信息系统设计不完善。近几年,金融信息系统不断开发出来和投人运用,创新了金融工具和金融业务,但由于有的系统在开发中,片面注重科技创新追求快出成果,对安全的认知程度不高,缺少风险管理概念,忽视了系统的有效性和安全性,系统没有统一的安全标准,功能单一、容灾、容错能力弱,应用效果差,没有发挥应有的作用,造成信息资源的浪费。
3.安全系统建设缺乏整体性。根据木桶理论,金融信息系统的整体安全性,取决于安全系统的最薄弱环节,而当前安全系统只重视单一或几个安全产品的部署,网络安全产品仍然是在以“点”发展,停留在访问控制、病毒扫描、内容过滤等方面,而忽视整体安全系统建设。
4.安全队伍建设和员工安全意识教育不到位。高素质的安全管理人员的缺乏严重地影响了计算机信息系统安全措施的有效落实。就当前情况来看,金融机构安全管理人员大都是由计算机工程技术人员兼任,他们既是电子化工程项目的建设者、管理者,也是信息安全的管理者,集电子化建设和信息安全管理于一身,职责不明,责任不清,不能有效地对安全现状进行真实、客观的评估和审计。
5.安全防范措施不力,内部控制不产。落后的管理也使计算机安全工作大打折扣。据统计我国银行业的IT投人有59%花费在了硬件设施上,软件投人所占比例为23%,管理服务上的投人少,只有18%,这与国外银行业的IT投人比例形成了鲜明的对比。落后的管理也使计算机安全工作大打折扣。从已经发生过的金融计算机犯罪事例来看,大多数问题出在疏于检查、放松管理上。据有关部门统计,我国银行系统发生的计算机犯罪案件,85%来自内部人员或内外勾结作案。
二、构建安全的金触信息系统
1.树立正确的信息安全观。从金融管理机构到金融机构、从金融管理层到基层员工都要高度重视金融信息安全,清醒的认识到加强金融信息安全的根本是保障金融业务的连续性、是促进金融的可持续发展,有效的金融信息安全管理策应对企业的财务状况,现金流量等进行分析。一是资产负债结构。分析受评企业负债水平与债务结构有助于了解管理层理财策略(如债务到期安排,企业偿付能力等)。此外,企业的融资租赁、未决诉讼中的负债项目也会影响评级结果;二是盈利能力。通过对销售利润率、净值报酬率、总资产报酬率等指标衡量;三是现金流量充足性。现金流量是衡量受评企业偿债能力的核心指标。净现金流量、留存现金流量和自由现金流量与到期总债务的比率,基本可以反映受评企业营运现金对债务的保障程度;四是资产流动性。主要考察企业流动资产与长期资产的比例结构。同时,通过存货周转率、应收账款周转率等指标反映流动资产转化为现金的速度,以评估企业偿债能力的高低。
为了能准确地考察借款人的偿债能力,非财务因素对于借款人的影响也是不可忽视的。非财务因素主要指借款人所处的行业、经营特征、管理方式、还款意愿以及其他一些因素。
上述模型考虑了企业自身的内部组织结构,经营方式的不同给银行在实际贷款时可能带来的不同程度风险。该模型对各因素的内容作了具体描述,对风险的程度划分详细,便于操作。在深层次的信用评级中,还应考虑相关的实际因素如行业风险、业务风险等对企业信用的影响。