前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的确保网络安全的要素主题范文,仅供参考,欢迎阅读并收藏。
医院的信息系统网络安全问题关系到日常管理的方方面面,医院信息系统在在运行期间,如果出现意外中断,或者受到恶意程序的攻击,那么很容易导致信息的大量丢失,由于医院信息系统中录入了病人的基本信息,因此会造成严重的后果,甚至医疗事故。由于医院性质的特殊性,在计算机信息系统的网络安全防护方面,除了一般的日常维护,还需要通过特殊的策略来确保信息系统的安全。医院信息系统的网络安全与防范文/魏瑜帅王耀炜王立准随着信息技术的发展,社会各行各业已经开始通过计算机网络来进行内部业务管理,信息化极大地提高了管理效率以及社会生产率。网络是医院向信息化、数字化发展的基础要素,是整个医院内部信息运行的平台,构建安全的医院信息系统至关重要。因此,本文首先对医院信息系统的网络安全进行概述,强调了其重要性与必要性,其次,重点讨论了医院信息系统的安全防范策略。
2医院信息系统网络安全的防范策略
2.1选择优质设备
医院信息网络安全维护是一项系统的技术工作,运行良好的优质设备是维护系统安全的保障。因此,医院的信息中心需要选择性能良好、运行稳定、便于升级的设备。个别医院没有认识到信息系统安全的重要性,忽视网络建设,将资金投入到医疗设备以及医院基础设施上,在网络设备上不重视质量,由于医院的工作具有连续性,性能较差的网络设备经常会出现多种问题,特别是核心交换机和服务器,一旦运行故障,医院内部网络瘫痪,必将严重影响医院的正常工作。因此,维护医院信息网络安全首先要选择优质的网络设备。
2.2优化系统程序
医院在系统的选择上,除了可以通过技术人员设计专门的程序,还可以选择安全性能较高的操作系统与软件,并且及时进行升级与更新,定期优化系统程序,这样才能确保安全。同时,如果系统设置密码,密码需要进行不定期更换,这样避免网络中一些恶意程序的攻击,防止病毒、黑客入侵窃取重要信息,也最大程度降低被跟踪痕迹的可能性。在系统程序的日常管理中,也要定时更新数据库,做好信息的备份工作。
2.3加强技术人员管理
网络安全的操作主体主要是信息技术人员,因此,提高技术工作人员的职业水平,构建科学的网络安全管理制度也是必不可少的。医院要确保信息系统的持续稳定,并且在网络环境中运行良好,这对技术人员要提出了更高的要求。医院可以通过培训提高技术人员业务水平、开展网络安全教育提高思想认识等。在日常工作中,严格禁止通过移动终端来进行信息的输入与输出,避免病毒带入。同时设置专门的信息共享平台,严禁技术人员将系统文件进行共享。除此之外,网络管理员要定期进行数据的整理,并且完善网络运行后台,对于计算机网络终端进行检查,及时处理安全漏洞。
2.4构建病毒防御体系
医院信息系统的网络安全防范,除了确保系统中各计算机通信设备及相关设施的物理安全,使其免于人为或自然的破坏,还要构建病毒防御体系。由于互联网具有开放性与交互性的特征,在网络中运行的程序有必要建立不同层次的防护系统。例如在每台计算机终端上都安置网络版的杀毒软件,在服务器上设置保障服务器安全的杀毒软件,在网关处设置维护网关的防病毒软件,这样将信息系统的各个部分都纳入了安全保护中。但是,由于计算机病毒传播途径多、传播速度快,在构建病毒防御体系时,也要重点预防不同来源的病毒,通过系统的设置,维护信息系统的安全。
2.5完善身份验证程序
身份验证程序的漏洞是系统内部信息泄露的重要原因,因此,需要进行身份认证以及授权,对进入系统的用户进行审查,确保其具备信息查看的资格。在信息系统程序中,要将身份验证方式、权限审查内容进行详细规定,并且通过动态密码、安全口令等,阻止非法用户的入侵。除此之外,还可以应用防火墙,对于网络数据的访问、修改等操作进行记录,一旦出现比较可疑的操作行为,系统可以自动报警或者中断操作,避免非法用户对数据进行篡改。总而言之,身份验证程序与防火墙的有效配合,可以为医院信息系统网络建立一道安全屏障。
3结束语
关键词:网络安全;防护机制;烟草公司;互联网
随着Internet技术的不断发展和网络应用技术的普及,网络安全威胁频繁地出现在互联网中。近年来,网络攻击的目的逐渐转变为获取不正当的经济利益。在此种情况下,加强网络安全建设已成为各个企业的迫切需要。烟草公司的网络安全防护机制和安全技术是确保其网络信息安全的关键所在。只有加强防护体系建设和创新安全技术,才能在保证网络安全的前提下,促进烟草公司的发展。
1县级烟草公司网络现面临的威胁
目前,烟草公司计算机网络面临的威胁从主体上可分为对网络信息的威胁、对网络设备的威胁。
1.1人为无意的失误
如果网络的安全配置不合理,则可能会出现安全漏洞,加之用户选择口令时不谨慎,甚至将自己的账号随意转借给他人或与他人共享,进而为网络埋下了安全隐患。
1.2人为恶意的攻击
人为恶意的攻击可分为主动攻击和被动攻击,这两种攻击都会对烟草公司的计算机网络造成较大的破坏,导致机密数据存在泄露的风险。比如,相关操作者未及时控制来自Internet的电子邮件中携带的病毒、Web浏览器可能存在的恶意Java控件等,进而对计算机网络造成巨大的影响。
1.3网络软件的漏洞
对于网络软件而言,会存在一定的缺陷和漏洞,而这些缺陷和漏洞为黑客提供了可乘之机。
1.4自然灾害和恶性事件
该种网络威胁主要是指无法预测的自然灾害和人为恶性事件。自然灾害包括地震、洪水等,人为恶性事件包括恶意破坏、人为纵火等。虽然这些事件发生的概率较低,但一旦发生,则会造成异常严重的后果,必须严以防范。
2构建烟草公司信息网络安全防护体系
要想形成一个完整的安全体系,并制订有效的解决方案,就必须在基于用户网络体系结构、网络分析的基础上开展研究。对于安全体系的构建,除了要建立安全理论和研发安全技术外,还要将安全策略、安全管理等各项内容囊括其中。总体来看,构建安全体系是一项跨学科、综合性的信息系统工程,应从设施、技术、管理、经营、操作等方面整体把握。安全系统的整体框架如图1所示。安全系统的整体框架可分为安全管理框架和安全技术框架。这两个部分既相互独立,又相互融合。安全管理框架包括安全策略、安全组织管理和安全运作管理三个层面;安全技术框架包括鉴别与认证、访问控制、内容安全、冗余与恢复、审计响应五个层面。由此可见,根据烟草公司网络信息安全系统提出的对安全服务的需求,可将整个网络安全防护机制分为安全技术防护、安全管理和安全服务。
2.1安全技术防护机制
在此环节中,旨在将安全策略中的各个要素转化成为可行的技术。对于内容层面而言,必须明确安全策略的保护方向、保护内容,如何实施保护、处理发生的问题等。在此情况下,一旦整体的安全策略形成,经实践检验后,便可大幅推广,这有利于烟草公司整体安全水平的提高。此外,安全技术防护体系也可划分为1个基础平台和4个子系统。在这个技术防护体系中,结合网络管理等功能,可对安全事件等实现全程监控,并与各项技术相结合,从而实现对网络设备、信息安全的综合管理,确保系统的持续可用性。
2.2安全管理机制
依据ISO/IEC17700信息安全管理标准思路及其相关内容,信息安全管理机制的内容包括制订安全管理策略、制订风险评估机制、建设日常安全管理制度等。基于该项内容涉及的管理、技术等各个方面,需各方面资源的大力支持,通过技术工人与管理者的无隙合作,建立烟草公司内部的信息安全防范责任体系。2.3安全服务机制安全服务需结合人、管理、产品与技术等各方面,其首要内容是定期评估整个网络的风险,了解网络当前的安全状况,并根据评估结果调整网络安全策略,从而确保系统的正常运行。此外,还可通过专业培训,进一步促进烟草公司员工安全意识的增强。
3烟草公司的网络信息安全技术
3.1访问控制技术
在烟草公司的网络信息安全技术中,访问控制技术是最重要的一项,其由主体、客体、访问控制策略三个要素组成。烟草公司访问用户的种类多、数量大、常变化,进而增加了授权管理工作的负担。因此,为了避免发生上述情况,直接将访问权限授予了主体,从而便于管理。此外,还应革新并采用基于角色的访问控制模型RBAC。
3.2数字签名技术
在烟草公司,数字签名技术的应用很普遍。数字签名属于一种实现认证、非否认的方法。在网络虚拟环境中,数字签名技术仍然是确认身份的关键技术之一,可完全代替亲笔签名,其无论是在法律上,还是技术上均有严格的保证。在烟草公司的网络安全中应用数字签名技术,可更快地获得发送者公钥。但在这一过程中需要注意,应对发送者私钥严格保密。
3.3身份认证技术
身份认证是指在计算机与网络系统这一虚拟数字环境中确认操作者身份的过程。在网络系统中,用户的所有信息是用一组特定的数据来表示的;而在现实生活中,每个人都有着独一无二的物理身份。如何确保这两种身份的对应性,已成为相关工作者遇到的难题。而采用身份认证技术可很好地解决该难题。该技术主要包括基于随机口令的双因素认证和基于RKI体制的数字证书认证技术等。基于口令的身份认证技术具有使用灵活、投入小等特点,在一些封闭的小型系统或安全性要求较低的系统中非常适用;基于PKI体制的数字证书认证技术可有效保证信息系统的真实性、完整性、机密性等。
4结束语
综上所述,安全是烟草公司网络赖以生存的重要前提,网络安全的最终目标是确保在网络中交换的数据信息不会被删除、篡改、泄露甚至破坏,从而提高系统应用的可控性和保密性。因此,烟草公司必须具备一套行之有效的网络安全防护机制,增强自身网络的整体防御能力,研发网络安全立体防护技术。只有建立完善的信息安全防范体系,才能使烟草公司内部的重要信息资源得到有效保护。
参考文献
[1]张珏,田建学.网络安全新技术[J].电子设计工程,2011,19(12).
防火墙是确保网络安全的有效手段,其基本功能如下:
(1)过滤网络中的不安全要素,只让授权的服务和协议进入内部网络。
(2)如果子网络的大部分或者全部需要修改的软件能够集中地放在防火墙的系统之中,而并非分散到各个主机中,这样其保护作用将会集中一些。
(3)防火墙为用户提供制定网络安全以及执行这些策略的有效手段。
(4)使用防火墙技术的网络站点可以有效防止finger和DNS域名,也可以封锁域名中的服务信息。
(5)防火墙能够对企业的内部网进行集中的安全网络管理,不用在内部网各个计算机设备上分别设立相应的安全策略。
(6)提供其他的安全控制服务,各个组织机构能够根据自身特殊要求配置独特的防火墙技术和服务。
2防火墙技术的缺陷
防火墙技术也并非完美无缺,它同样存在着一些缺陷。
(1)限制了网络服务。防火墙为了最大限度提高网络安全性,对一些存在着一些安全隐患的服务进行关闭或者限制措施,这让具有实用价值但是在设计过程中为充分考虑到网络的安全性的一些网络服务不能得到有效使用。
(2)不能抵御绕过防火墙系统的攻击。不分用户认为需要进行认证的服务器很麻烦,因而尝试跳过防火墙所提供的安全服务直接进行连接,这给后门攻击创造了很大的机会,不利于个人网络的安全,网络用户应该杜绝这种不安全的连接。
(3)无法防御内网用户的攻击。防火墙作为网络安全系统的重要组成部分,但也并不是全部。防火墙系统不可能为用户解决一切安全问题。相反,它只能保护网络边沿,而并不能有效防止网络内部的一些攻击,防火墙技术与内网用户来讲形同虚设。
(4)不能预防新产生的网络安全问题。防火墙技术是被动的网络安全手段,只能对其已知的攻击产生作用,而对于一些不短翻新和变化的安全问题,唯有不断地改进防火墙技术、提高安全防护的水平,如制定相应的法规、提高安全意识、对信息进行加密等措施,才能切实保护网络安全。
3防火墙技术未来的发展趋势
防火墙技术变化和发展速度惊人,它将顺应着更易于管理、集成全新的信息安全防护技术、和更加便于推广和应用的趋势发展,具体来讲,防火墙的未来发展趋势如下:
(1)防火墙对用户网络流量的损耗和影响将会降到最低。
(2)将增强检测以及预警的功能,完善网络安全所谓管理工具,尤其是针对一些可疑进程的日志进行分析的工具。
(3)过滤的功能将会不断加强,从技术层面来讲更加具有综合性,结合了网关技术以及过滤技术,而且将采用对数据进行加密的技术和对身份验证加以强化的技术等控制访问的措施。
(4)现在的防火墙技术采用的是静态的安全策略,当网络安全受到威胁时,静态的防火墙技术经常束手无策,而未来的防火墙技术精能够根据动态的网络威胁,进行自主的学习,这将是防火墙发展的一种趋势。
(5)想在的防火墙技术产品多种多样,在网络安全维护方面都发挥着突出作用,当下的防火墙技术有一种多功能化设计的趋势。防火墙技术不断发展,并且一直在创新,这种良好的发展趋势将会一直持续下去。同时,防火墙技术的管理功能也会在未来的不断发展中得到强化。
4结束语
关键字:电子商务;计算机;计算机安全技术
电子商务安全是一个复杂的系统问题。这不仅关系到其支撑平台 - 计算机技术,电子商务环境下的应用,质量人员,交易形式,以及社会因素。计算机网络系统的安全性是确保任何运行的平台上最基本的要求和系统的安全性。
一、网络安全问题
电子商务的安全要素主要体现在以下几个方面。
1.保密性
在一个开放的网络环境中,电子商务是基于商业信息的保密性是全面推广电子商务应用的一个重要保证。所谓的机密信息在传输过程中或存储过程中被窃取。交易是商业机密信息的要求,如信用卡账号和密码,要知道它可能会被窃取,你可能会失去商业机会。
2.完整性
数据在保存和传送过程中完整性是十分重要,也是十分必要的,以防止数据免受未经授权的修改和破坏。数据存储,传输,信息丢失在事故中的数据输入错误或舞弊的不同,是因为数据信息在传导中,信息传输命令的准确导致交易双方信息错误,影响交易的当事人及业务策略。
3.不可抵赖性
市场千变万化,交易双方要达成信任是很难的。因此电子交易通信过程的双方不信任,抵赖行为必须被拒绝。交易抵赖通常包括很多方面,如发件人后来否认曾发送一条信息,信息接收后否认曾收到一条信息,商家售出的商品,因为价格差异,不承认原来的交易。在传统的国际贸易项目下,通过书面文件,手写签名或者盖章,寻找合作伙伴,以防止抵赖行为的发生。这就是俗称的“白纸黑字”,一旦签名或者盖章,交易的任何一方不得在交易中被拒绝。
4.认证
电子商务的交易通常是在一个虚拟的网络环境中进行,因此,交易各方的身份确认的关键,必须存在一个机制,在不能满足对方见面的情况下确认对方的真实身份,那就是,当一个个人或企业,声称有一个特定的身份,由认证机构认证和数字证书,认证服务提供一种验证的声明交易是正确的。
二、电子商务安全要求
作为一个成功的电子商务系统,我们必须首先解决交易过程中的安全问题,能够吸引用户购买产品和服务,解决网络客户的担忧。用户不用担心信用卡和个人信息在网络上传被截获,但不幸的是不良的商业习惯,信用卡信息的不当使用,同时商家也担心信用卡号码被盗,或交易后买家不认账。由于网络和应用软件设计不当导致黑客所造成的损失。消费者,商家和金融单位,权力和责任的关系之间尚未完全理清,以及安全控制电子商场或专卖店使用的支付系统是不同的,它可能会导致用户有不知道该怎么办的感觉。因此,顺利发展电子商务的核心和关键的问题,是保证交易的安全性,这是网上交易的基础。
三、计算机网络安全技术
网络的安全性一般可分为物理安全和信息安全。物理安全是计算机系统的各种设备,包括环境安全,传输安全,媒体安全。在整个信息系统安全的前提下,保证安全。网络与信息安全是指必须保障网络信息不会被非法窃取,泄露,删除和破坏。
1.常见的电脑病毒
(1)引导型病毒通常隐藏在引导扇区的存储介质,当计算机感染了引导区病毒的启动盘,或者当电脑从存储介质中的引导区读取数据,感染病毒开始攻击。
(2)文件型病毒寄生在其他文件中,通常是通过编码加密或使用其他技术来达到隐藏的目的。当运行被感染了的病毒程序文件时,病毒便可能被激活,并能进行自我复制,执行大量的操作,将病毒自身经过伪装后依附在用户系统的其他可执行文件,使用户不易察觉。
(3)宏病毒的文档或模板宏中的病毒,打开此文档,宏将在同一时间执行激活宏病毒,并驻留在Normal模板中,所有文件均会感染病毒。
(4)脚本病毒:它的特点是依靠一个特殊的脚本语言,互联网作为传输介质,传播速度快。
(5)蠕虫病毒是通过间接方式复制自身的一种非感染型病毒。这种病毒的公有特性是通过网络或者系统漏洞进行传播,大部分蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
(6)木马病毒,通常是指非传染性病毒伪装成合法软件,但他不自我复制。有些木马可以模仿运行环境,收集所需的信息。
2.病毒的预防
(1)充分利用杀毒软件:使用正版杀毒软件,并及时在线升级,更新病毒库,定期扫描,尽可能地防止病毒的侵入。
(2)提高意识,主动防御:及时为系统打补丁,使用外部存储介质前杀毒,保存系统的备份。
(3)保持警觉,及时杀毒:平时积累一些的病毒知识,了解中毒后的症状,并采取积极措施治理。
3.黑客防范技术
(1)黑客攻击的三个阶段:攻击准备阶段,实施阶段,攻击善后阶段攻击。
(2)黑客攻击方法:端口扫描,网络监控,密码,破译,木马,拒绝服务攻击,电子邮件攻击,缓冲区溢出攻击。
黑客防范措施:使用一个安全的密码,实施访问控制,确保数据的安全性,关闭一些黑客更容易侵入的端口,并使用了防火墙的服务器系统,安全性能不断提高。
4. 防火墙技术
(1)防火墙功能:控制进出网络系统,过滤掉不安全和非法用户,防止内部信息的外泄,限制内部用户访问外部主机,控制网络上的特殊站点访问,已达到保护网络系统的目的。
(2)防火墙分类:通过路由器的IP层防火墙和使用过滤器来限制计算机访问内部网络的应用级防火墙。
四、结语
总之,在电子商务的安全中,计算机网络安全和业务交易的安全性是两个最重要的方面。由于电子商务交易主要是基于互联网的交易活动,业务交易的安全是电子交易的安全重点之一,它是电子商务活动的核心和最关键的问题。当然,计算机网络安全与电子交易安全紧密联系的,是互相影响的,是交易不可缺少的要素。没有计算机网络安全作为商业交易的基础,就像是在空中建筑城堡,很容易出现问题。即使计算机网络本身再安全,电子商务安全专用要求仍无法达到。电子商务的安全内容和相关的安全要素,包括加密技术,数字签名,CA认证,消息摘要和数字时间戳等电子交易安全的主要技术,它是确保最常见的计算机网络安全,防病毒和防火墙技术,正常使用的有效技术。
【参考文摘】
论文关键词:网络安全技术;防范;教学模式
学习网络安全技术不仅是为了让学生掌握网络安全的理论知识,增强学生的网络安全意识,提高学生的法律意识和职业素养,更重要的是树立他们正确的人生观和价值观,把他们培养成为高技能的应用型网络人才。
一、网络安全的探析
网络安全是指网络系统的硬件、软件和数据受到保护,不因偶然的或恶意的原因遭到破坏、更改和泄露,确保网络系统正常的工作,网络服务不中断,确保网络系统中流动和保存的数据具有可用性、完整性和保密性。网络的安全在技术上应综合考虑到防火墙技术、入侵检测技术、漏洞扫描技术等多个要素。不断提高防范病毒的措施,提高系统抵抗黑客入侵的能力,还要提高数据传输过程中的保密性,避免遭受非法窃取。因此,对网络安全问题的研究总是围绕着信息系统进行的,主要包括以下几个方面:
(一)internet开放带来的数据安全问题。伴随网络技术的普及,internet所具有的开放性、国际性和自由性以及各方面因素导致的网络安全问题,对信息安全也提出了更高的要求。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用,但网络的安全仍然存在很大隐患,主要可归结为以下几点:1.就网间安全而言,防火墙可以起到十分有效的安全屏障作用,它可以按照网络安全的需要设置相关的策略,对于进出网络的数据包进行严密的监视,可以杜绝绝大部分的来自外网的攻击,但是对于防范内网攻击,却难以发挥作用。2.对于针对网络应用层面的攻击、以及系统后门而言,其攻击数据包在端口及协议方面都和非网络攻击包十分相似,这些攻击包可以轻易的通过防火墙的检测,防火墙对于这类攻击是难以发现的。3.网络攻击是开放性网络中普遍难以应对的一个问题,网络中的攻击手段、方法、工具几乎每天都在更新,让网络用户难以应对。为修复系统中存在的安全隐患,系统程序员也在有针对性的对系统开发安全补丁,但这些工作往往都是滞后于网络攻击,往往是被黑客攻击后才能发现安全问题。旧的安全问题解决了,新的攻击问题可能随时出现。因此,应对开放性网络中的黑客攻击是重要的研究课题。
(二)网络安全不仅仅是对外网,而对内网的安全防护也是不可忽视的。据统计,来自内部的攻击呈现着极具上升的趋势。这是因为内网用户对网络结构和应用系统更加熟悉。以高校的校园网为例,网络用户人数众多,而学生的好奇心和渴望攻击成功的心理,使得他们把校园网当作网络攻击的试验场地,且其中不乏计算机应用高手(特别是计算机专业的学生),防火墙对其无法监控,这种来自内部不安全因素对网络的破坏力往往更大。2008年7月的旧金山的网络系统内部的侵害事件,2008年6月深圳“泄密门”等网络内部的安全事件向我们警示着内网安全防范的重要性。
(三)网络中硬件设备的安全可靠性问题。对计算机网络而言网络硬件设备在其中起到了重要的作用。比如:路由器,交换机,以及为网络用户提供多种应用服务的服务器等,这些设备的可用性、可靠性,以及设备自身的高安全保护能力都是网络安全中应该加以研究和认真对待的问题。
二、通过教学研究,提高学生对网络安全体系的管理与防范
由于网络技术水平和人为因素,以及计算机硬件的“缺陷”和软件的“漏洞”的原因,让我们所依赖的网络异常脆弱。在教学过程中,我们必须加强对网络安全体系管理与防范意识的传授,才能提高学生的管理和防范能力,常用的方法如下:
(一)防火墙是在内外网之间建立的一道牢固的安全屏障,用来加强网络之间访问控制,提供信息安全服务,实现网络和信息安全的网络互联设备。能防止不希望的、未授权的信息流出入被保护的网络,具有较强的抗攻击能力,是对黑客防范最严、安全性较强的一种方式,是保护内部网络安全的重要措施。防火墙可以控制对特殊站点的访问,还能防范一些木马程序,并监视internet安全和预警的端点,从而有效地防止外部入侵者的非法攻击行为。
(二)入侵检测是指对入侵行为的发觉。它通过对网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现是否有被攻击的迹象。如果把防火墙比作是网络门卫的话,入侵检测系统就是网络中不间断的摄像机。在网络中部署入侵检测系统可以有效地监控网络中的恶意攻击行为。
(三)网络病毒的防范。对于单独的计算机而言,可以使用单机版杀毒软件来应对病毒的问题,由于其各自为政,在应对网络中的计算机群时,则无法应对网络病毒的防杀要求,且在升级方面也很难做到协调一致。要有效地防范网络病毒,应从两方面着手:一是加强网络安全意识,有效控制和管理内网与外网之间的数据交换;二是选择使用网络版杀毒软件,定期更新病毒库,定时查杀病毒,对来历不明的文件在运行前进行查杀。保障网络系统时刻处于最佳的防病毒状态。
(四)对于网络中的email,web,ftp等典型的应用服务的监控。在这些服务器中应当采用,应用层的内容监控,对于其中的传输的内容加以分析,并对其中的不安全因素加以及时发现与处理,比如可以利用垃圾邮件处理系统对email的服务加以实施的监控,该系统能发现其中的不安全的因素,以及垃圾内容并能自动的进行处理,从而可以杜绝掉绝大部分来自邮件的病毒与攻击。
(五)主动发现系统漏洞是减少网络攻击的一个重要手段。在网络中单靠网络管理人员人为的去发现并修复漏洞显然是不够的。因此主动的分析网络中的重点安全区域,掌握其主要的安全薄弱环节,利用漏洞扫描系统主动的去发现漏洞是十分总要的一个手段。同时在网络中配以系统补丁自动更新系统,对于网络中有类似安全隐患的主机主动的为其打上系统补丁。事实证明上述两种机制的结合可以有效地减少因为系统漏洞所带来的问题。
(六)ip地址盗用与基于mac地址攻击的解决,这个可以在三层交换机或路由器中总将ip和mac地址进行绑定,对于进出网络设备的数据包进行检查,如果ip地址与mac地址相匹配则放行,否则将该数据包丢弃。
三、通过教学改革,把学生培养成高技能应用型的网络人才
网络安全技术是非常复杂,非常庞大的,对初学者来说,如果直接照本宣科,学生肯定会觉得网络安全技术太多太深,从而产生畏学情绪。为了提高学生的学习兴趣,让他们更好地掌握网络安全技术的知识,就要培养学生的创新能力,就必须改革教学方法,经过几年的教学实践证明,以下几种教学方法能弥补传统教学中的不足。
(一)案例教学法
案例教学法是指在教师的指导下,根据教学目的的要求,通过教学案例,将学习者引入到教学实践的情景中,教会他们分析问题和解决问题的方法,进而提高他们分析问题和解决问题的能力,从而培养他们的职业能力。我们在教学实践中深深感受到,在计算机网络安全技术教学中,引入案例教学,将抽象的、枯燥的网络安全的理论知识和精湛的、深邃的网络安全技术涵寓于具体的案例中,打破传统理论教学中教师要么照本宣科,要么泛泛而谈,以至于学生学起来枯燥无味,用起来糊里糊涂的局面,变复杂为简单,变被动为主动的学习过程,调动了学生的学习积极性,培养了学生的职业能力。在具体案例中,将古城墙的功能和作用与防火墙比较;选择学生接触最多的校园网作为典型的案例,向学生系统地讲授网络安全体系结构、安全策略的制定、安全技术的应用、安全工具的部署,以及安全服务防范体系的建立等理论,从而降低网络安全的复杂度,使学生对网络安全体系有比较全面、透彻的理解。
(二)多媒体教学法
多媒体教学是指在教学过程中,根据教学目标和教学对象的特点,通过教学设计,合理选择和运用现代教学媒体,以多媒体信息作用于学生,形成合理的教学过程结构,达到最优化的教学效果。它具有交互性、集成性、可控性等特点。可以把抽象的、难理解的知识点直观地展示和动态地模拟,充分表达教学内容。例如:pgp技术的操作步骤、防火墙的配置和使用等。通过多媒体教学,边讲边操作, 做到声像并行、视听并行,使学生在有限课堂时间内获得更多的信息,从而激发了学生的学习兴趣,提高了教学效果。
(三)实践教学
根据高职院校学生的岗位能力和培养目标, 实践教学是职业技术教育的中重之重。运用学校提供的网络实验室和网络设备,为学生搭建良好的计算机网络学习平台,突出实用性,做到“专机专用”。例如,将3台计算机搭建一个小型局域网,安装微软网络监视器,使用网络监视器来嗅探ftp会话,解释捕获的数据,确定使用的用户名和口令。从抽象的概念上升到理性的认识,使学生真正体会到网络安全的重要性。为了使学生全面了解计算机网络,可带领学生到电信公司或网络公司进行参观学习和实训,培养学生的岗位技能和工程意识。
网络安全产业是知识密集型产业,网络安全学科与其他学科有很多交叉,是高技术专业,需要构建完善的知识体系。当前,我国网络安全人才储备不足,亟待加强人才队伍建设。2015年6月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,此举充分体现了国家对网络安全的重视,希望将分散在计算机科学、通信技术和软件工程学等学科的相关网络安全科目进行统筹,集中资源和力量来培养网络安全人才。
笔者近年供职于中国信息安全研究院,深入参与了国家网络安全顶层设计和标准编制等工作,目睹了国际和国内网络安全政策、产业和技术的重要变革,对产业政策、产业现状和需求,以及网络安全技术体系进行了深入研究。本文结合近年工作经验与高教研究,以打造网络安全体系性人才为目标,对网络安全专业的教学特点、教学内容、教学方法和考核方式等进行了一系列探索。
一、网络安全专业的教学特点
网络安全专业涉及范围广,涵盖了计算机、通信、电子、数学、生物、法律、教育和国际贸易等多学科内容,属知识密集型专业,具有很强的专业性、广泛性和实践性,随着物联网、云计算、大数据等新技术新应用的出现,网络安全专业的特点更加突出。
1.内容涉及范围广。网络安全专业涉及信息系统软硬件的本质安全,以及应对网络威胁、数据传输等方面的动态过程安全,在安全访问领域涉及密码学和生物学等,在网络安治理方面涉及法律学,在网络安全服务方面涉及教育学和管理学等,WTO第二十一条“国家安全例外”等内容涉及国际贸易学。
2.知识和技术迭代速度快。网络安全由传统意义上的信息安全演变而来。狭义的信息安全重点关注内容安全,即确保信息的完整性、可用性和保密性。随着新技术新应用的层出不穷,异构信息系统和复杂多变的网络威胁带来了新挑战。除具备网络安全基础知识和技能以外,了解和掌握更多新技术知识是网络安全专业对学生提出的新要求。
3.对实际操作能力要求高。网络安全对实践操作能力有很高要求,构建具有本质安全的自主可控软硬件系统需要丰富开发经验和集成适配能力。应对复杂多变的网络安全威胁,需要提前具备应急响应和灾难恢复能力;面对国际贸易中技术壁垒的挑战,需要深入研究国际贸易保护下的信息安全产业和政策竞争策略等。
二、教学内容设置
对于网络安全专业学生和非网络安全专业学生,在设置网络安全专业课程和教学内容时应予以区分,以使不同发展方向的学生在毕业以后将在校期间学习的知识充分发挥,适应未来职位对其知识储备的差异化需求。
(一)网络安全专业学生
网络安全涵盖本质安全和动态过程安全两大部分。对于网络安全专业的学生,在教学内容设置上,应鼓励学生通过理论和实践,构建网络安全体系观念,并依据个人爱好,深耕具体技术方向,使网络安全专业毕业生具备顶层大局观和技术优势。
1.本质安全方向。近年来,“棱镜门”等事件充分说明美国政府可利用其全球大型IT或互联网企业的技术、产品和服务,甚至对产品植入后门,来窃听、窃取各国数据和信息,这促使我国政府和产业界高度重视本质安全。本质安全涉及包括CPU、芯片、操作系统、数据库、整机、网络设备等软硬件技术产品的自主研发,目前我国党政军和“8+2”对以上技术产品渴求度很大,人才队伍建设亟待加强,因此在课程内容应增强核心硬件和基础软件知识的普及力度,使学生在本质安全基础理论、产品设计和集成适配等方面有所突破。
2.过程安全方向。学习了本质安全相关知识后,就可了解如何构建一个相对完整、安全的信息系统,但在信息系统运行过程中,还需要针对系统构建运维服务体系,从外围加强整个信息系统的安全性和健壮性。过程安全相关的教学内容包括容灾备份、追踪溯源、安全访问等技术,在过程安全教学内容中,可以以聚合式的思维来教授相关知识,以使学生具备完整的运维服务体系思维。 (二)非网络安全专业学生
1.专业与网络安全有交互的学生。本部分以涉及网络安全的国际贸易和法律专业为例,阐述如何面向专业与网络安全有交互的学生进行教学。
对于国际贸易专业学生,引导学生加强国际IT贸易问题研究,特别是WTO第二十一条“国家安全例外”,即从国家安全考量出发,深入研究世界主要国家限制其他国家企业在其本土投资的案例,以及外国企业如何规避WTO限制,在我国广泛开展IT投资,总结国际贸易争端经验,为未来围绕“技术性贸易壁垒”的国际贸易纠纷做好充分准备。
对于法律专业学生,鼓励学生加强《中华人民共和国网络安全法》法理研究,深入学习互联网治理和网络安全相关法律和法规,培养网络安全法人才,为党政军和相关产业提供网络安全法律力量支撑,提升国家和企业的国际竞争力。
2.其他专业学生。对于其他专业学生,设置网络安全知识普及课程,通过案例分析和实践体验等手段,培养学生安全使用互联网的习惯,提升网络安全意识,了解和掌握网络安全防范和处理基本方法,巩固意识形态,促使学生做到文明上网、安全使用、加强防护,构建和谐清朗网络空间。
三、创新教学方法
教学方法和理念因学校和教师的不同而千差万别。总的来看,现代教学方法秉承以学生为主体、互动教学和构建体系化知识三项原则[1],重视创新性和突破性,符合新时代和新形势对我国高等教育提出的要求。本节结合网络安全专业的特点,总结了三个面向该专业的创新教学方法。
(一)教法和学法结合
网络安全专业涉及范围广且实践性很强,因此在教学方法上需要创新,将教法和学法进行有机结合,构建学生的理论和技术体系,提高实践能力。
PPT教授法。教师精炼教材重点,利用互联网和多媒体手段,将要点和案例以图文并茂的PPT展示,并结合课堂上的口头表述将知识展现给学生。比如利用信息系统模拟工控系统运行环境,利用DDOS进行持续攻击,使学生从各生产节点和控制系统观察受攻击时的状态,调动学生的注意力,加深学生的印象,使学生随着教师思路来学习。
互动提问法。在课堂上利用互动提问法可启发学生的思维,调动学生积极性和学习热情,促进学生提高注意力和快速学习到重要知识点,避免无精打采或溜号走神等现象发生。同时,提问法给学生提供了讨论、发表个人观点的机会,也促进了学生表达能力的提升。比如讲到构建本质安全信息系统时,可以首先向学生提问,构建该系统需要具备什么样的要素,请学生总结自己认为的具有本质安全信息系统的构造,以此增加师生间的互动,培养探究意识和发现问题的敏感性。
分组发表法。将学生分组并布置特定研究方向,鼓励学生利用互联网资源来获取知识、查找案例,并编制集文字、图片和视频等素材为一体的PPT,在课堂上进行发表,通过教授的点评和同学的提问促使学生深入了解该方向内容,做到专;通过聆听其他组的同学做发表,可以了解其他人的研究成果,并可通过课堂提问和课下交流来深入了解其他网络安全技术知识,做到广。例如学习网络安全政策时,可组建学生小组,基于学生网络安全基础技术和知识,深入研究包括FedRAMP、美关键基础设施保护总统令或国防部云计算安全指南等网络安全政策,并在课堂上做发表,与师生共同分享和研讨美国的网络安全治理经验。
(二)传统授课和网络授课结合
目前,采用传统教学模式依然是我国教育的主要方式,作为“以教师为中心”的课堂教学模式,传统授课模式通过教师在课堂上当面将知识教授给学生,可以促进有意义的学习、加深学生的理解和记忆,也有利于未来对知识的提取。而网络授课的教学模式在传统课堂教学模式的基础上融合了互联网的优势,该模式相较传统教授模式具有更好的灵活性、互动性和广泛性。特别是对于教师资源相对匮乏的地域,可以依托互联网基础设施,通过网络授课的模式将发达地区的优质教育资源引入到地方课堂,使学生享受到公平的先进的网络安全教育资源。
(三)注重实训体系建设
依托网络安全企业或其他专业机构建设网络安全实训基地,与高校等人才培养单位联合,对网络安全专业学生进行实践技能训练。实训基地对于我国网络安全人才培养具有重要意义。首先,实训基地可解决我国网络安全人才培养和使用相“脱节”、学生实际动手能力严重不足等问题。其次,实训基地涵盖技术、战略、法规等多个领域,有利于培养跨学科、复合型人才。
实训基地培训既要涵盖网络安全技术,也要涵盖网络安全战略规划和法律标准等。针对网络安全专业的不同研究方向,有针对性地分类建设攻防、追踪溯源、容灾备份、安全测评、自主可控等实训场景;针对网络安全战略规划,针对性地研究世界主要国家网络安全战略规划,分析各国目前网络安全现状和未来发展重点;针对法律标准,深入研究WTO“国家安全例外”、 中美网络安全相关标准,为未来工作找到技术和法律依据。
四、改进考核方式
计算机网络将数量庞大的计算机终端连为一体,各计算机终端通过网络传递信息,从而实现信息、数据的共享和管理,极大地提高了网络资源使用效率。信息是计算机网络的关键要素,信息安全是计算机网络安全问题的核心问题。所以,在计算机网络安全设计的相关研究中,要把信息安全作为设计工作的首要内容,只有信息安全得到保证,计算机网络的存在意义才能真正得以发挥。从实现途径上看,网络信息安全和网络信息传输与存储媒质的安全息息相关。要保证网络信息安全,就必须保障网络媒质安全。
1.1计算机网络信息安全设计的基本内涵
计算机网络设计是一项系统工程,包涵的内容极为广泛,技术难度较大,尤其是对于多样性、开放性和互连性等方面具有较高的要求。上述这项原因的存在,使得计算机网络信息安全设计极为复杂。从信息传输系统的区别来看,当前网络信息传输的方式主要有局域网和广域网两类。不同的传输方式面临的信息安全问题也不一样。由于信息安全隐患的多样性,在进行计算机网络信息安全设计时,要从实际情况出发,全面系统地考虑设计的影响因素和设计方案的效果,采用不同的方法进行设计,确保设计方案的针对性和有效性。
1.2信息安全设计中信息存储设计
信息存储安全性的高低直接关系到计算机信息安全。强化信息存储安全是保障信息安全的重要途径。信息在计算机网络中的存在状态,主要是信息传输和信息储存两种情况。信息在网络中存储的位置以及安全性对于信息的使用和管理至关重要。信息存储位置选择的是否合理,对于信息的完整性和安全性有着很大的影响。在进行信息存储设计时,要围绕信息的存储状态进行科学规划,确保信息在整个过程中的可用性和保密性。
1.2.1计算机网络信息存储安全风险分析大量统计数据表明,计算机网络信息存储方面存在的安全问题有主要有以下几种类型。
(1)外部非法入侵。
黑客行为是当前计算机网络安全的主要威胁。少数外部用户通过规避计算机网络安全设置,在未经授权的情况下进入计算机系统,或者盗窃计算机信息,直接危害计算机信息安全,或者对计算机信息存储状态进行非法改变,使得存储信息的完整性遭到破坏,严重降低信息使用性,从这个角度而言,也是对计算机信息安全的破坏。
(2)计算机网络硬件设施的损坏。
计算机网络信息以硬件设备为媒介进行使用、管理和存储。如果存储信息用的硬件设备受到发生故障或受到破坏,那么存储在上面的信息也会受到影响。
1.2.2计算机网络信息存储安全保障措施鉴于以上情况,为保障计算机网络信息存储安全,推动网络信息安全性整体水平的提升,可以从以下几个方面着手进行设计。
(1)保障硬件设备运行正常、状况良好。
硬件设施状况的完好是计算机信息储存的基本条件。在日常使用过程中,一定要认真做好计算机硬件设备的保养和维护工作。要做到定期清洁,规范使用,避免因维护或使用不当造成的硬件损坏。
(2)规范设置计算机访问权限。
为有效防范外来非法入侵对计算机信息安全造成的破坏,计算机使用者要针对计算机访问权限进行设置。结合信息的重要性、保密性、敏感性等情况,对访问计算机的用户权限进行区分设置,不同的访问权限针对不同的安全等级。安全访问设置是防范外来非法入侵的重要手段。在原有的计算机系统安全控制基础上,进行人为的优化和调整,从而使得防范措施更加具有针对性,效果更加突出。具体来说,该方法通过对用户访问安全级别的控制、查验访问信息用户的身份、访问用户行为记录跟踪、文件安全控制和物理逻辑位置判断等一系列方法和步骤,加强对访问者在访问计算机上信息时的行为控制。对于更重要的信息,还可以采取加密的方法进行保护,防止被无关或无权限人员查阅。针对信息完整性破坏的问题,可以采用数据备份的方法在信息遭受破坏,在无法正常使用的情况下使用备份信息进行恢复,从而减小外部非法访问计算机造成的负面影响。
2.计算机网络安全系统化管理分析
系统化管理是与安全设计互为补充,共同承担起计算机网络安全的重要职责。与安全设计不同,系统化管理的实施者不是计算机网络技术人员,而是计算机用户本身。通过实施诸多安全措施,对计算机予以系统化的长效安全管理,从而进一步提高计算机的安全水平。一是采用安全证书管理系统认证的方法。安全证书采用国际通用的技术体系进行开发,其核心的密匙管理系统包括注册系统、签发系统、、查询以及备份等5个单元。二是设置目录服务器。通过目录服务器,用可以实现对计算机用户访问应用层的有效管理,在提高使用效率的同时保障计算机安全。三是进行服务器认证。采用授权与认证的方法,对用户访问进行控制,从而保证外来访问的可控性和安全性。
3.结束语
在电力企业的发展中,企业逐步加强防病毒、防黑客的措施,通过浏览器隔离的方式减少病毒和黑客的破坏作用,使重要内容得到有效的保存,使网络隐患降到最低。同时加强了对黑客的跟踪,使带有破坏性的黑客问题得到有效的抑制,使违反网络法规的黑客得到法律的严惩,维护了法律的尊严,降低了网络盗窃的发生率。并且通过黑客跟踪,找到他们的信息窝藏点,使盗窃的信息得到还原,为数据安全保护提供了一个安全的发展平台。此外,加强响应恢复,通过对存储和转入的数据进行响应确定,在确保安全的环境下进行数据交流,让数据在最安全的平台下进行与其他组织的交换,确保信息和数据不被黑客盗取。通过不断的总结实现数据的安全管理,让出现的问题及时得到更正,并经过总结,使问题不再重复发生,为安全奠定一个好的环境,通过纪律实现数据安全的优化管理。通过软件更新,改变了软件出现的问题,使软件病毒得到遏制,并更新游览器,使游览的重要内容得到保护。通过以上措施使过去传统的网络管理问题得到了优化和升级,使过去出现的隐患得到了控制,改变了病毒和黑客对网络和数据安全造成的重大损失,使新的数据安全措施得到了应用和普及,让新的网络技术走进更多的电力企业,为新的网络及数据安全提供了新的平台。
2电力企业信息系统数据的安全保护措施
2.1建立系统安全管理制度,规划数据备份方案企业工作人员要加强对网络的管理,通过制度来规范工作人员的行为,对网络布局进行相应的规划和管理,控制出现的隐患问题。同时要加强岗位职责,通过对数据管理人员的规范,使出现的错误率降到最低。对工作人员加强网络安全培训,使工作人员认识到安全管理的重要性,并提高控制水平,促进人员的整体素质,提高安全水平。要加强对操作流程的管理,通过每一个流程的控制和把握,实现整体的安全高效性能,把每一个操作流程中的问题降到最低,通过相应的安全措施来实现对整体的宏观把握。工作人员在工作中要正确地使用内网和外网,不可把工作中的重要信息放到外网上,也不可在内网上进行聊天和游戏。管理人员要加强管理和监督,控制网络出现的泄密现象和问题。工作人员要设置相应的用户账号,在登录网络的时候输入自己的信息,确保其他人员无法窃取到重要的内容。密码不可泄露给其他工作人员,要注意密码的保密性。要加强数据的备案方案,确保在数据丢失的情况下可以重新得到信息,保证数据可以得到还原,并且要对数据内容制定一定的方案,并要进行严格的检查并投入到应用中,确保内容的准确性。当数据没有丢失时,备案要存放好,并要注意保密,不可让其他工作人员查阅和游览。要对数据的确立进行正确的计算,并要规划出正确的数据和方案,使整体电力企业数据安全得到有效的应用。2.2根据企业的实际情况,建立相应的信息网络防护体系在电力系统的安全发展中要建立相应的信息网络防护体系,要考虑到网络的安全因素,要建立网络防火墙,通过对网络的维护实现网络的安全运行。同时要加入虚拟网络,通过网络来实现整体的防护管理,实现体系的整体创新。要加入安全的管理技术,通过技术的创新和应用实现对网络的整体把握,使落后的技术被新技能所代替,技术的掌握要具备安全性,不可把技术和保密性拆开,要把握整体的安全性方向。要把握整体操作防范原则,对出现的安全问题要进行正确的防范,把问题降低到最低,并通过合理的操作来实现电力的安全发展。要坚持保密、安全第一的原则,不可把操作和防范分离开,要统筹兼顾,共同利用、共同发展。要把网络安全因素放到重要的位置上,确保网络安全可以带动电力的安全管理。要设计安全的方案,通过方案实施安全生产,使整体的信息资源可以带动网络防护体系,为数据安全管理服务。2.3解决应用软件系统安全的问题在电力系统的安全发展中要加强应用软件的安全管理问题。通过对应用软件的处理和管理实现整体的高效安全性。让软件具有更安全的性能,实现最优的软件开发,为整体的软件发展服务,并促进软件的安全发展,共同实现企业的优质发展。要解决身份认证问题,通过对身份的有效认证实现对工作人员身份的确立,通过对身份的确立实现每一个账户只能有本人才能登录的目的,使盗窃信息的现象得到抑制,控制信息外流。同时要选择合适的访问控制,所有访问人员要通过认证才可访问其他人员的认证空间,不可随意访问和游览其他人员的信息,确保整体信息的安全性。选择的控制渠道也要适中,不可造成对网页的破坏,也不可造成资源的浪费,要以安全性和适中性为主要原则。要坚持授权的原则,不可在没有授权的情况下进行资源的使用,造成违反规定的相关问题,要通过对整体的管理、把握、控制,实现对系统的有效掌握,从而解决应用软件系统的安全问题,实现电力系统的安全运行。在电力系统的安全发展中要提出相应的保护步骤,通过对步骤的确立实现整体的安全发展。步骤要合乎法律的规定,不可违反公司的相关规定,每一个步骤都要具备行动性特点,并且要符合管理的逻辑,要具备实用性等特点。同时要提出相应的策略,要针对出现的问题提出合理的解决措施,要把问题转化到合理的层面上,使策略为安全服务,带动整体的安全生产。策略的提出要符合经济和政治的发展规律,要以形势为前提,以发展为主要动力。思路的建立也要有正确的方向,方向要有正确的思路为发展前提,思路是解决安全问题的重要内容,思路的失误会导致整体的内容出现偏离,所以管理人员要把步骤、策略和思路联系在一起,让三者得到有效的统一。在发展中要结合国家电监局的制度要求,要符合电监局和国家的发展方向,不可出现违反大方向的问题,要以制度为依据,以要求为准绳,在不断的安全管理中发挥制度与要求的优越性,为整体的安全发展服务。
3结语
[摘 要] 随着计算机网络技术的发展,网络安全越来越重要。文章从信息安全策略技术和管理两个方面出发,介绍信息安全体系的构成,详细阐述信息安全体系的基本要素以及相关的技术和管理构件,建构信息安全体系的技术构架和管理框架。
[关键词] 网络安全;安全架构;安全技术
[作者简介] 陈宝光,河北省信息资源管理中心,河北 石家庄,050071
[中图分类号] tp393.08 [文献标识码] a [文章编号] 1007-7723(2013)04-0021-0003
一、引 言
由于网络的开放性,交换与共享平台在提供高效、友好信息资源交换共享服务的同时,将不可避免地面临网络入侵、病毒侵袭、信息篡改等安全问题,从而为使用人员和管理部门带来了一定的威胁、风险和责任。
本体系从信息安全策略技术和管理两个方面出发,深入了解信息安全体系的构成,详细阐述信息安全体系的基本要素以及相关的技术和管理构件,详细阐述它们在信息安全系统中的地位和作用以及它们之间的关联性、互补性,采用纵深防御的战略思想,建构信息安全体系的技术构架和管理框架。
二、总体框架
信息安全是整体的、动态的,安全体系不是指单一的某种安全设备,而是指几种安全设备的综合。建立网络安全系统也不是一件一劳永逸的事情,针对安全体系的特性,可以采用“统一规划、分步实施”的原则。先对整个网络进行整体的安全规划,然后根据实际状况逐步建立一个安全防护体系,提高整个信息系统基础的安全性,保证应用系统的安全性。
信息安全体系包括三个要素:安全策略、管理和技术。
位于顶层的是平台安全总体策略,这是整个平台安全体系的基本标准,是所有安全行为的指导方针,是整个平台信息安全建设的依据,用于指导管理体系和技术体系来实现整体安全目标,因此它是信息安全的最核心问题,是平台安全规划的基础。
其次是在以上策略制度指导下制定的一系列针对系统自身漏洞和外部威胁的管理措施,即安全管理体系,包含法规、制度、培训、组织、程序等,是对安全策略的更具体化体现。
最下面的是安全技术体系,包括各种基础的安全技术、工具、产品和服务等,为整个安全体系提供基本的技术支撑。
信息网络的安全技术体系是根据网络不同层次采用不同的安全技术来缓解网络安全风险,层次化和体系化地解决网络安全问题。如图1所示。
三、安全技术
(一)物理安全
物理安全是保障整个平台网络与计算机信息系统各种设备的安全。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的电磁兼容工作环境;防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全是信息安全的保障,是系统不可缺少或忽视的。
安全域划分
1.安全策略
(1)实施“分级保护”,依据安全等级要求确定平台安全等级并实施网络系统安全防护措施;
(2)实施“分域保护”,合理划分安全域,进行安全域边界保护和逻辑隔离,控制平台各安全域之间的访问;
对平台的所有网络访问行为进行监控和审计追踪;
(3)对操作系统、数据库系统进行严格的安全配置,及时更新安全补丁;
(4)部署网络防病毒系统,并定期更新病毒库,防止病毒和木马的入侵和攻击;
(5)定期对系统进行漏洞扫描和安全风险评估,及时发现系统存在的漏洞和风险,提出安全改进报告;
(6)建立完备的容灾备份和应急响应机制,建设平台统一的容灾体系和应急响应体系;
(7)建立有效的安全管理保障体系,以适应网络安全的动态性、复杂性和长期性特点。
2.部署漏洞扫描系统,定期扫描、及时堵塞漏洞
在网络安全体系的建设中, 安全扫描工具的运行相对独立,能较全面检测流行漏洞,检测最严重的安全问题,安装运行简单,可以大规模减少安全管理员的手工劳动,降低安全审计人员的劳动强度,有利于保持全网安全政策的统一和稳定。
3.ca认证
有效地防止信息篡改的方法就是ca认证。在交换平台的应用层实施细粒度的访问控制,实现对用户的身份鉴别、实现信息的保密性、完整性、真实性和抗抵赖性等保护。应用系统以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录用户的真实身份,采用数字签名技术解决抗抵赖性和数据完整性的问题,利用安全系统提供的加密算法,解决信息的保密性问题。
4.终端管理
终端管理主要解决内网安全管理被动和执行力低下的问题,通过实现从“准入控制”、“主动防御”、“数据防泄密”、“桌面信息管理”和“终端审计”的动态闭环的内网管理体系,在应对内网安全威胁的斗争中,掌握主动权和制高点,依靠有限的安全控制手段,有效应对无限的内网威胁。
5.ip管理
ip地址管理支持ip-mac绑定,mac-ip绑定,user-ip绑定。ip-mac绑定功能保护特定的ip地址只能由特定的mac地址的电脑使用,这保护了服务器、网络设备或重要用户的ip地址不被其他人随便使用。mac-ip绑定功能使指定的电脑只能使用指定的ip地址,或强制使用dhcp。user-ip绑定确保每个用户使用专属于自己的ip地址,配合动态vlan技术,user-ip绑定使用户在企业内漫游时也能始终使用自己的ip地址。支持批量设置绑定,减轻管理员的工作负荷。
6.移动存储管理
移动存储管理,是解决终端通过移动存储进行数据交换和共享过程中,防泄密控制的要求,通过实现终端的移动存储的认证、数据加密和共享受控管理,彻底解决用户对防泄密控制中通过移动存储进行数据安全交换和受控共享的迫切要求。
7.防火墙
防火墙是以访问控制技术为代表的传统网络安全设备,是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合,使internet与intranet之间建立起一个安全网关(security gateway),从而保护内部网免受非法用户的侵入。
8.入侵检测(ids)
ids是一种网络安全系统,当有恶意用户试图通过internet进入网络甚至计算机系统时,ids能够根据已有的、最新的信息代码对进出网段的所有操作行为进行实时监控、记录,并进行报警,通知网络该采取措施进行响应。
9.入侵防御(ips)
它是一种主动的、积极的入侵防范、阻止系统,可以
简单理解为入侵检测系统和防火墙的结合体。它部署到放火墙和内网之间,可以有效地弥补防火墙阻断不了的入侵行为。一般来说,我们关注的是自己的网络能否避免被攻击,对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处,在一些专业的机构,或者说如果我们对网络安全要求很高,除了部署ips和防火墙之外,还要部署入侵检测系统,入侵检测系统和其他审计跟踪产品结合,可以提供针对平台信息资源全面的审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等都有很重要的作用。
(二)数据安全
数据的安全主要是通过数据传输过程中的保密性、完整性保护、完善的存储设施和适当的备份策略来实现。在前面论述的ca认证可以实现数据在传输过程中的保密性、完整性保护。
1.构建数据库集群
利用oracle数据库集群技术解决数据安全性、高可用性的需求。oracle数据库集群技术可以将多台数据库服务器整合至集群环境中,并通过负载均衡机制实现数据库服务器的并发访问处理,而且能够实现快速的故障切换。由于交换平台的各应用系统(交换系统除外)采用的是典型的b/s架构,即客户端-中间件服务器-数据库集群。如下图3所示:
数据库集群主要构成:
oracle rac :全称为oracle real application clusters,主要实现数据库的集群,集群可以提高系统性能并充分实现数据库服务器的高可靠性,当出现单一的数据库故障时应用系统可以迅速地切换至备机继续运行。
数据库软件:采用oracle 10
ibm小型机:采用集群技术需要有多台数据库服务器构成,平台一般采用ibm p520小型机,oracle rac集群支持硬件的异构,只要新购置的机器操作系统一致就可以构建集群环境。
光纤交换机:连接磁盘阵列和服务器,为高性能的数据存储提供保障。
磁盘阵列:用于存储数据,当一台数据库服务器有意外发生时,另一台服务器从磁盘阵列中读取数据,迅速完成切换。
2.数据备份
由于存储设备的限制,现在采用基于用户的逻辑备份的方法,这种备份在数据规模不大、数据完整性要求不高的时候是可以用的,随着业务的发展,服务器和存储设备的扩展,就需要建立一套完善的备份计划。好的备份策略可以减轻管理员的工作压力,提高工作效率,也可以在灾难发生后及时地恢复系统。
3.数据库备份策略
以物理备份为主,同时使用逻辑备份作为辅助备份方式。导出产生的数据文件可以保存在一个合适的位置。在备份管理系统中选定这些文件件作为一个备份作业,使用磁带保存相应的备份。
从逻辑形式上分,数据库的备份主要分为两种:一种是物理备份,主要是对数据库的数据文件、日志文件、控制文件进行备份,它需要通过使用数据库的备份工具如oracle的rman等;另一种备份为逻辑备份,是表一级的备份。通常情况下,大型数据库的备份以物理备份为主,逻辑备份为辅,因为物理备份/恢复速度快。物理备份又分为在线备份和脱机备份两种。在线备份是在数据库运行的情况下实施的备份,而脱机备份则是在数据库关闭的情况下进行。对于7x24的数据库只能进行在线备份。
4.网络存储
随着交换与共享应用的深入,数据规模会越来越大,平台可以采用san和nas相结合的技术构建立存储备份系统。存储系统将独立于主机环境和操作系统环境,为多台服务器提供集中的存储备份服务,并通过高度自动化的大型磁带库和智能化的备份管理软件对业务数据进行用户化、策略化的自动备份。在保证现有应用系统存储模式到新存储模式的平滑过渡,可以将现有的主机系统、直联存储设备等整合集成到san存储网络中。
四、安全管理
安全管理是为实现安全目标而进行的有关决策、计划、组织和控制等方面的活动;主要运用现代安全管理原理、方法和手段,分析和研究各种不安全因素,从技术上、组织上、管理上采取有力的措施,解决和消除各种不安全因素,防止事故的发生。主要是通过一系列的规章制度,明确机房管理人员的安全职责,强化机房管理人员的安全意识,确保各项安全措施的实施并真正发挥作用。可以制定人员安全管理制度、文档管理制度、物理环境安全管理制度、应用系统安全管理制度、访问控制制度、应急安全管理制度和安全评估制度。
五、结 语
为保障平台网络安全,应采取网络安全管理措施,加强网络安全策略、安全管理组织和安全技术培训,加大经费投入,一起做好平台网络的安全管理工作,建设一个安全、可靠的网络环境。
[参考文献]
[1]史晓红.网络安全技术宝典[m].北京:中国铁道出版社,2010.
[2]周学广,等.信息安全学[m].北京:机械工业出版社,2003.