前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全建设现状主题范文,仅供参考,欢迎阅读并收藏。
油田企业的数据信息资源,对油田企业非常重要,一旦受到破坏,将会给油田企业带来巨大的经济损失。所以在油田网络信息安全体系建设的过程中,需要将其安全性提升,加强外部安全建设。在预防为主的基础上进行,对外部因素、病毒因素的影响,只有将系统的安全性提升,才可以杜绝此类影响的发生。在油田网络信息安全体系建设中,建立防火墙,可以将体系的安全性提升,在网络和油田网络信息安全体系之间建立一个安全网关,保护体系不受非法入侵者侵入和攻击。防火墙的建设,将体系的安全性、网络的安全性提升,有效地阻止了体系的非法访问,不允许外网访问内网。在建设网络防火墙的基础,增加入侵检测设置,对系统入侵进行控制。入侵检测技术是防火墙的一种互补,可以提升油田网络信息安全体系中信息管理的性能,保证信息的完整性,减少网络威胁。
2加强内部建设
在加强外部安全建设之后,油田网络安全信息体系的建设,想要保证信息管理的安全性,保证信息的完整性,还需要加强系统的内部建设。从当前油田网络信息安全体系建设现状进行分析,加强内部建设,可以从设置系统访问权限、对网络病毒进行防治、加强网络信息安全体系的管理等方面入手。保证油田网络信息安全体系以及信息安全的有效手段之一,就是设置系统的访问权限,采用虚拟网络技术对油田企业的数据信息安全进行保护。其次是加强病毒防治技术的应用,提高网络信息体系的安全。病毒在网络中的传播途径和传播方法有多种,为了提升油田网络信息安全体系的安全,提升信息管理质量,需要坚持层层设防、集中控制、以防为主防治结合的原则,进行系统安全性的建设。最后加强系统的安全管理,如果网络安全管理缺乏,系统在工作的过程中,也会对数据信息的安全产生一定的威胁,为此需要在油田网络信息安全体系运用中,加强网络安全管理,提高系统的病毒防治有效性。
3结语
关键词:财政系统;网络信息安全;建设
财政,作为一个国家、一个地区的核心工作之一。财政安全就是国家最高层次、地区最高层次的安全问题,而财政安全又关乎到国计民生、国家命脉,所以就需要做好财政系统网络信息安全建设,才能够满足财政系统整体的要求。
1财政系统网络信息安全面临的问题
基于财政系统网络信息安全建设分析,其主要面临的问题在于:(1)计算机系统本身漏洞计算机系统本身是通过人类的不断研究开发与更新才能够实现的,但是不能够将所有的问题都考虑进去,这样也使得系统漏洞的存在是无法避免的。存在漏洞,就代表会给黑客留下入侵的机会。在当前的大数据时代背景下,财政系统的数据被大量的收集与使用,这也给黑客更多的入侵机会,一旦成功,财政系统数据就会毫无保留地被黑客获取,这样就会面临大数据信息泄漏的危机,这样也会让财政系统的信息安全得不到保障[1]。(2)信息传输中面临的隐患在信息的实际传输环节,财政系统信息安全还会受到信息损耗、被窃取等威胁。为了避免通信传输之中出现信息篡改和窃取的问题,就需要懂得利用IDS监控、VPN加密等安全手段,这样才可以确保网络传输协议之中网络层的安全性,通过系统安全对应的加固,才能够避免财政系统传输过程之中出现信息安全方面的隐患。(3)数据多样化,影响网络信息安全管理在当前的大数据环境中,数据使用相对广泛,这样会影响数据的有效控制。庞大的数据量,使得财政系统的信息越来越多,这样无疑就会增大管理难度,并且数据传播途径也会变得多样化,使得数据传输也越来越快速,最终就有可能会脱离有效的控制范围,常规化的管理就无法满足多样化的数据要求,最终就会影响系统网络信息的安全性。
2加强财政系统网络信息安全建设的有效途径
基于财政系统网络信息安全建设可能面临的难点汇总之中,首先,我们就需要找准网络信息安全建设的目标,这样才能够提出财政系统网络信息安全建设的有效途径,最终推动财政系统的可持续发展要求。
2.1网络信息安全建设的目标
通过财政系统网络信息安全建设,就可以实现用户行为规范化的管理,能够实现安全管理制度的有效完善,并且也可以将临时用户和内部用户的行为直接限定在可控的范围之中,这样就可以落实制度,让网络信息安全的理念真正深入人心;保证财政系统的正常运行,需要完善的网络应急机制和保障预案的支持,在面临突发网络安全事件的时候,财政系统的服务不会出现中断,单位能够实现资金的正常运转;积极抵御非法入侵,做好网络之中可疑行为的严密监控;保证财政系统网络信息数据的安全,确保数据本身的完整性,实现对各种信息数据丢失风险的有效抵御,在安全事件发生之后,能够及时的进行恢复[2]。
2.2财政系统网络信息安全建设的有效途径
(1)积极转变观念,增强网络信息安全忧患意识目前,财政系统的信息化建设还处于初期的发展阶段,还有诸多需要探索的区域,并且很多部门和个人的安全忧患意识没有得到形成,不重视计算机网络安全技术的使用。针对这一种情况,完全依靠信息部门是无法实现的,还需要相关的领导和管理部门共同支持,为信息部门牵线搭桥。让业务部门和应用人员能够真正意识到网络安全的重要性,这样才可以在实际的工作之中做好安全防范,才能够针对涉密的财政信息真正实现“如临深渊,如履薄冰”的有效处理。(2)安全管理的具体实施在当前财政系统的信息安全建设之中,还需要考虑到财政信息管理法律法规、制度与标准的制定和落实,能够严格按照当前的网络信息安全管理制度、系统建设管理制度、人员安全管理制度,再配合上全员参与的基本原则,通过建立网络信息安全管理责任制与考核机制,最终就可以满足各级安全组织结构的建立健全,实现信息安全管理人员职责的明确。具体来说,还需要考虑到:第一,实现内网与外网的物理隔离。为了保障财政系统网络信息安全,能够杜绝互联网出现的干扰与攻击,就需要将内外网的隔离落实,将内外网的物理连接切断,这样才可以保障财政系统网络信息的安全。第二,新建下一代防火墙,构建日志审计、数据库审计,上网行为管控、系统预警监控平台,完善内外网的杀毒防毒。在网络出口及安全域与安全域之间进行隔离和访问控制,实时不间断地将用户和来自不同安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息进行汇集,实现全网综合安全审计。通过正版杀毒软件在计算机上安装运行,做好病毒数据库的及时更新,对于电脑病毒需要保持高压态势。第三,落实数据备份,做好软件更新,完善硬件检修。针对重要的数据,还应该做好定期的备份,保障其安全性。针对业务软件,需要升级补丁,做好漏洞的及时弥补。一般来说,其备份可以选择:首先,分级集中式备份,也就是将下级财政单位的网络信息数据直接备份到上一级财政单位数据库之中,落实分解集中管理。其次,分布式备份,将各个财政单位各自负责管理自己的业务数据,上级财政单位的服务器挂接高容量磁盘,从而实现对下级单位重要增量数据的备份处理。最后,本地备份、介质传送,也就是直接将高容量的磁盘连接到地市/区县财政局的服务器上,仅仅是备份本地服务器之中的数据。数据通过磁盘等存储介质的传送,不依赖网络实施。三种不同的方案,都拥有各自的优点与缺点,所以,财政单位还需要考虑到自己的实际情况,有针对性地进行应用的选择。建设严格科学的财政系统网络信息安全运行保障体系。而运行保障体系的建立,就需要长效应急流程和处理响应应急预案机制的支持,再配合上责任安全管理制度,这样就可以保证在突发事件出现之后,财政系统依旧可以正常的运行。第三,积极学习,努力提升安全防范能力。在《提高信息安全意识》中,欧洲网络信息安全局提出:在当前所有的信息安全框架之中,人这一个因素是最为薄弱的环节。只有实现人们陈旧安全观念和认知文化的革新,才能够将信息安全方面存在的隐患真正的减少。所以,财政部门还需要积极引导干部职工做好相关业务的学习,能够致力于网络安全知识的普及,不断增强全体成员的网络安全意识,能够努力提升网络安全技术,提倡懂技能、有意识、负责任、讲文明的网络行为规范,形成人人保信息、人人重安全的氛围,真正从思想上和技术上重视网络信息安全意识,这样才能够让财政人员在掌握最新网络安全现状的同时,又能够实现对最新网络信息安全威胁的有效应对[3]。
【关键词】云平台 系统安全 轨道交通 AFC系统
1 国内轨道交通AFC发展现状
在地铁大系统中,自动售检票系统(AFC系统)以其高度的智能化设计,扮演着售票员、检票员、会计、统计、审计等角色,以数据收集和控制系统实现了票务管理的高度自动化。随着电子技术的高速发展,自动收费系统理念和技术也发生了巨大变化,一卡通、微信支付宝,电子钱包等便利手段的应用愈来愈普及,为广大乘客带来极大便利。
随着微信支付,支付宝支付、银联支付等网上支付兴起,AFC系统也在积极探索寻求新的发展途径。
传统的AFC系统是封闭的,也是安全的。传统的AFC系统难以快速、安全地接入外部互联网,云平台很好地补充传统AFC系统业务场景的不足,支撑网上支付的云平台网络安全问题必然成为了城市轨道交通业务扩展的首要面临的问题。
2 云平台系统安全的必要性
2.1 云平台的主要功能
云平台承担线网互联网票务管理职能,实现线网互联网终端统一管理、互联网车票统一发行和管理、乘客移动端服务界面管理、支付系统对接管理等功能。
2.2 云平台的现状
云平台部署在AFC网络内,依赖现有的物理网络,互联网售取票机直接连接云平台。云平台通过网络运营商提供的服务连接外部互联网,实现与不同支付平台以及移动端的连接。
2.3 现阶段云平台的架构
如图1所示,云平台作为传统AFC系统的补充,作为城市轨道交通运营公司统一的对外接口,实现与第三方支付平台、商业银行等支付机构的对接,为运营公司提供广泛的中间业务支持,也可以对互联网售票机进行票务管理。
2.4 现阶段云平台的安全隐患风险分析
云平台是城市轨道交通的重要业务网络,其网络环境的安全性直接影响到市民的日常生活及公共安全。云平台受到破坏后,会对社会秩序和公共利益造成特别严重损害,甚至在敏感地^对国家安全造成严重损害。
3 云平台系统安全在AFC系统应用的可行性
强化云平台系统安全建设,按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室和相关国家部门关于信息系统在物理、网络安全运行、主机安全、应用安全、备份及容灾等技术方面和管理等方面的总体要求,科学合理评估系统风险,合理确定安全保护等级,在此基础上科学规划设计一整套完整的安全体系建设方案。
(1)为云平台系统提供安全的网络环境;
(2)保障的现有AFC系统的安全性和独立性;
(3)增强了云平台对抗攻击和病毒的能力,同时具有主动安全防御能力,在现有复杂的安全形势下加强了生产网络的安全性,保障业务的稳定性;
(4)按照立体式的安全体系设计,做到对风险可预防,可控制;
(5)满足国家和行业对网络安全建设的要求,符合相关等保标准要求。
4 云平台系统安全技术应用方案研究
4.1 云平台系统安全设计原则
(1)实用性和先进性原则;
(2)高性能原则;
(3)可靠性原则;
(4)安全性原则;
(5)可扩展性原则;
(6)可管理性原则;
(7)前瞻性原则;
(8)等级标准性原则。
4.2 云平台系统技术架构
云平台系统安全模型是整体的、动态的,该模型对于安全环境的理解与传统的安全模式有很多不同,要真正实现一个系统的安全,就需要建立一个从检测、防御、预测到恢复的一套全方位的安全技术体系。
4.3 云平台系统安全规划
4.3.1 网络边界安全
针对常见的SQL注入、缓冲区溢出、暴力破解等黑客入侵攻击行为进行有效的防护。通过切断终端计算机对网络和服务器资源的直接访问,而采用协议的方式,接管了终端计算机对网络和服务器的访问。过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
4.3.2 应用主机安全
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;应能够对重要程序完整性进行检测。
4.3.3 数据存储安全
部署安全审计系统,对存在的数据库操作行为进行审计。审计的内容包含操作的人员,操作的时间,操作的内容等,当内部出现数据库安全事件时可以通过数据库审计系统定位到相应的责任人,做到有据可查。
4.3.4 安全态势感知
在大规模网络环境中,收集安全运行的各类要素,采集各类安全状态信息、汇聚各类安全事件和网络攻击,基于大数据计算技术,监控、识别、感知安全威胁、异常流量与攻击源等,分析预判未来一段时间内的安全影响趋势,感知风险威胁,预知安全隐患并协同处置。
4.3.5 《网络安全等级保护管理办法》
云平台系统设计、建设和运营需要满足国家和行业对网络安全建设的要求,符合等保三级及以上要求。
云平台作为轨道交通的重要业务系统,需要加强系统安全建设,贯彻落实总书记2016年4月19日《在网络安全和信息化工作座谈会上的讲话》精神,建立“威胁识别、精准监管、整体协同、预警响应”的安全态势感知体系,推动轨道交通行业信息系统安全技术发展,协同构建国家自主可控的信息安全保障体系。
作者单位
一、我省财政系统网络安全建设基本情况
辽宁省财政厅的办公局域网系统建于1996年,经过几坎改造升级后,现在已经做到全厅800多节点速度全部为100M。安全建设方面,我们除了将厅办公局域网与其他物理网络隔离开之外,在厅局域网核心交换机和核心路由器之间,我们使用了1台东软防火墙,用以保障厅内各应用服务器避免受到来自外联单位的攻击。同时还在核心交换机上部署了IDS入侵检测设备和“天镜漏洞扫描系统”软件,以及“局域网综合网络管理平台”和“局域网流量管理”两套软件。用以保护厅内办公人员的终端系统安全。病毒防范方面我们统一采购了“趋势防毒墙”防病毒软件。在数据存储方面,我们将“国库集中支付”、“非税收入管理”、“办公自动化”等重要应用系统的数据集中迁移到可靠性更高的HP EVA5000存储设备上,并通过veritas备份软件每天将重要应用系统的数据集中备份到HP6030磁带库设备上,为各应用系统的数据安全提供一定的保障。各市财政系统在网络安全建设方面也都大体与省厅类似,基本上都在自己的办公局域网络边界配置了各种品牌的防火墙设备用以保障本地办公网络的安全,以及部署了“趋势”、“瑞星”等网络版杀毒软件用以防范网络病毒。
二、财政系统网络信息安全面临的问题
1 网络黑客攻击。黑客是网络的天敌,根据我国财政信息化网络建设的现状。黑客攻击又分为来自内部的隐性攻击与来自外部的显性攻击。黑客通常具有计算机系统和网络脆弱性的知识,能使用各种计算机工具非法侵人重要信息系统,窃听、获取、攻击有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。
2 网络病毒破坏。20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
3 信息传输中的隐患。信息传输过程中的信息损耗、被窃取越来越威胁到财政信息的安全。为了防止在通信传输过程中对信息的窃取和篡改,可采用VPN加密、IDS监控等安全手段,以保证网络传输协议中网络层的安全。不断进行系统安全加固处理,将财政安全隐患扼杀在传输过程中。
4 缺乏严格的安全管理制度。财政信息化改革才刚刚起步,有很多规章制度还不成熟,没有严格的安全管理机制,缺乏整体安全方案,还没有可以借鉴的经验,机房、网络的混乱管理造成了财政信息网络安全的隐患,一旦出现问题,造成的损失将是无法估量的。
5 各方面防范措旋不到位。财政信息网络是复杂而庞大的,财政信息网需要承担的任务有很多:web网站、办公自动化、各业务软件的正常运行、实现与上级的联网、保障各县区网络畅通等等,这样,不可避免地要面对来自各个方面的攻击。例如,web站点遭受的恶意代码攻击等。
三、保障财政系统网络信息安全的对策
1 转变观念,增强网络安全忧患意识。现在,财政系统信息化建设刚刚开始,仍处于探索阶段,许多部门和个人的安全忧患意识还尚未形成,对计算机网络安全技术还未能给予足够的重视。对于这种情况。仅仅依靠信息部门的努力还不够,也要有领导和管理部门来搭台。然后由信息部门唱戏。让业务部门和应用人员从思想上认识到网络安全的重要性,然后才能在实际工作中处处注意安全防范,对的财政信息,处理时真正做到“如临深渊,如履薄冰”。
2 培植系统健壮性,提高系统自身防范能力。选择安全性能良好的系统作为财政网络的信息平台,才能从根本上保证信息网络的安全。及时升级、更新操作与应用系统。选用网络版的杀毒软件,通过控制中心对整个财政内部网络进行监控,把病毒扼杀在摇篮中。购买了反病毒软件、防火墙软件,只是实现网络安全的第一步,是否充分发挥了安全产品的作用。是否定期去升级最新病毒代码,定期检查网络的每个终端配置是否正确,运行是否正常等等,这些才是防范病毒、黑客,保证网络安全畅通的关键所在。采取对用户口令、指纹的识别等手段来识别合法的用户。采用用户身份认证机制,确保对系统资源的合法使用。采用具有安全机制的数据库系统和其它系统软件,加强对使用事件的审计记录的管理,以保证财政信息在网络协议系统层的安全。
关键词:大学;校园网络;网络通信安全;现状;对策
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2011) 24-0000-01
University Campus Network Communication Security Situation and Countermeasures
Wang Xiaowen,Chai Dapeng
(Engineering College of Shanxi University,Taiyuan030013,China)
Abstract:This paper campus network traffic status and countermeasures to do a series of elaborate,for your reference.
Keywords:College;Campus network;Network communications security;Status;Countermeasures
网络技术在当今已经渗透了社会的各个领域,大学校园的网络也已经投入使用。校园网是互联网极为重要的组成部分,对于大学生的生活和学习影响很大。当前大学校园的网络存在着很多安全隐患,不利于学生的身心健康。大学的校园网络系统具有开放性和信息的共享性,很容易导致网络遭到病毒或者黑客攻击,大学的校园网在教学、管理、科研及对外联络的工作当中起着举足轻重的作用。如何保证校园网络安全、高效、稳定地运转,成了越来越多的人员开始关注的问题。
一、大学校园的网络特征
互联网技术已经广泛应用于大学的各个学科教学当中,并且取得了一定成效。大学的校园网络能够实现校内的计算机、局域网、国际互联网的互连,实现了资源共享和信息的沟通。由于使用校园网的用户群比较密集和活跃,所以存在着很多安全隐患,其安全管理极为复杂。
(一)管理的复杂性。大学的校园网络并不同于其它领域的网络系统管理,校园网当中的计算机购置及管理情况极为复杂。通常学生宿舍当中的电脑都是由学生自己购买和维护的,院系的电脑一般都是统一购买、有专门技术人员维护或者教师自己购买,没有专门人员的维护。在这样的情况下,如果要求对所有计算机系统实施统一安全管理是很困难的。
(二)用户的规模大。一般大学生都是集中住宿的,所以用户群较为密集,而且数目比较多,这就形成了大学的校园网具有高带宽和用户量大的特点,使得网络的安全问题蔓延快,对网络所产生的影响极为严重。
(三)网络安全的意识淡薄,管理制度不完善。大学的教学及科研特点决定校园网络的环境具有开放性,其管理也较为宽松。大学生往往是比较活跃的,对网络技术有强烈的好奇心,很多非正常的访问都有可能导致网络的资源浪费,与此同时也会为校园网络的安全带来隐患。
(四)资金的投入有限。大学校园的网络建设与管理通常对网络安全没有足够的重视,仅仅将有限经费投入到关键的设备方面,对于网络的安全建设并没有系统投入,尤其是对于维护和管理人员方面没有足够的投入。
二、大学的校园网络中所存在的问题
(一)操作系统的漏洞。当前大学的校园网中使用的操作系统中所存在的IIS漏洞、游览器的漏洞及TCP/IP协议的漏洞对信息安全和系统的使用都有可能构成严重威胁,导致系统瘫痪等状况。很多校园网中计算机的病毒都借助操作系统中所存在的漏洞传播,不利于校园网络为学生服务。
(二)病毒危害。众所周知,病毒会对计算机的系统运行产生一定影响,甚至有可能导致计算机及网络系统瘫痪,影响着校园的网络安全。病毒如果通过网络进行传播的话,其传播速度及破坏性远超过其它类型的病毒,学校所接入的INTERNET网络有可能为外界病毒的进入提供使得条件,学生们所下载的电子邮件和程序都有可能携带着病毒。
(三)安全管理方面的缺陷。校园网是近些年才发展起来的,在很多方面校园网络建设并不完善,大学校园的网络建设大都存在着软件投资方面的问题。纯粹把网络系统当成技术工程进行实施,而没有系统、安全的管理政策,势必不利于校园网络的安全。校园网络管理措施如果不够得力的话,随时都可能导致病毒传播的泛滥或信息丢失等,后果相当严重。
三、大学校园的网络安全防范策略
当今大学的校园网络已经成为了一个极为复杂的系统。如果想确保校园网站的安全,应当从管理及技术等多个层面入手,针对校园网用户的情况制定相关政策。由于校园网的用户大多都是学校管理及教学人员,不能够对用户做太多限制,一定要尽可能的利用现有设备,发挥现有设备所具有的技术潜力,同时也要考虑到添置的设备先进性及扩展性,为今后的网络发展创造更为有利的条件。
(一)网络监控。校园网络系统的管理人员在不影响校园网络系统正常运转的情况之下,应当增强内部的网络监控制度,以便最大限度保护校园网络资源,为学生提供更为有利的资源。管理人员可以通过有效的监控方式,增强校园网络系统安全的反应和自我适应能力,对不安全的因素及时做好防范,保证网络的服务能够正常提供,形成功能完善的监控系统。
(二)培养素质高的维护队伍。高等院校的网络中心可以组建起网络安全维护的队伍,对其进行网络安全的管理培训及指导,以便加强对大学的校园网络管理力度,保证校园的网络能够快捷、规范、方便地运行。
(三)构建良好文化氛围。信息安全对于实现高校教育的信息化来说极为重要,除了安全技术的管理之外,文化氛围是否良好对于高校信息的安全工作开展也起着至关重要的作用。
大学校园的网络信息安全日益复杂化,其安全建设应当以校园网的信息安全现状作为前提,通过对信息安全知识的培训来加强用户安全意识。只有建立起便捷、安全的网络环境,保障了校园网安全,才能够提高校园网络信息资源的保密性、可用性及完整性。
四、结论
在大学校园中,计算机技术在迅速发展着,为师生学习、工作提供了方便。然而我们在享受科技带来方便的时,也应当认识到网络安全的问题已经成为了网络应用过程中的巨大障碍。一定要根据校园网情况的发展变化制定一系列解决方案,保证校园网络的安全,使得校园网向着良性方向发展,为学生的成长创造有利条件。
参考文献:
[1]林瑞云.大学校园网网络安全对策[J].现代通信,2003,10期
[2]田进华.高校校园网无线局域网通信安全策略探析[J].信息系统工程,2011,3
关键词:医院信息系统安全体系网络安全数据安全
中国医院信息化建设经过20多年的发展历程目前已经进入了一个高速发展时期。据2007年卫生部统计信息中心对全国3765所医院(其中:三级以上663家:三级以下31O2家)进行信息化现状调查显示,超过80%的医院建立了信息系统…。随着信息网络规模的不断扩大,医疗和管理工作对信息系统的依赖性会越来越强。信息系统所承载的信息和服务安全性越发显得重要。
1、医院信息安全现状分析
随着我们对信息安全的认识不断深入,目前医院信息安全建设存在诸多问题。
1.1信息安全策略不明确
医院信息化工作的特殊性,对医院信息安全提出了很高的要求。医院信息安全建设是一个复杂的系统工程。有些医院只注重各种网络安全产品的采购没有制定信息安全的中、长期规划,没有根据自己的信息安全目标制定符合医院实际的安全管理策略,或者没有根据网络信息安全出现的一些新问题,及时调整医院的信息安全策略。这些现象的出现,使医院信息安全产品不能得到合理的配置和适当的优化,不能起到应有的作用。
1.2以计算机病毒、黑客攻击等为代表的安全事件频繁发生,危害日益严重
病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。
1.3安全孤岛现象严重
目前,在医院网络安全建设中网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
1.4信息安全意识不强,安全制度不健全
从许多安全案例来看,很多医院要么未制定安全管理制度,要么制定后却得不到实施。医院内部员工计算机知识特别是信息安全知识和意识的缺乏是医院信息化的一大隐患。加强对员工安全知识的培训刻不容缓。
2、医院信息安全防范措施
医院信息安全的任务是多方面的,根据当前信息安全的现状,医院信息安全应该是安全策略、安全技术和安全管理的完美结合。
2.1安全策略
医院信息系统~旦投入运行,其数据安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统,一些大中型医院要求每天二十四小时不问断运行,如门诊挂号、收费、检验等系统,不能有太长时间的中断,也绝对不允许数据丢失,稍有不慎就会造成灾难性后果和巨大损失医院信息系统在医院各部门的应用,使得各类信息越来越集中,构成医院的数据、信息中心,如何合理分配访问权限,控制信息泄露以及恶意的破坏等信息的访问控制尤其重要:PACS系统的应用以及电子病历的应用,使得医学数据量急剧膨胀,数据多样化,以及数据安全性、实时性的要求越来越高,要求医院信息系统(HIS)必须具有高可用性,完备可靠的数据存储、备份。医院要根据自身网络的实际情况确定安全管理等级和安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等,建立适合自身的网络安全管理策略。网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。
2.2安全管理
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,加强安全培训,增强医务人员的安全防范意识以及制定网络安全应急方案等。
2.2.1安全机构建设。设立专门的信息安全领导小组,明确主要领导、分管领导和信息科的相应责任职责,严格落实信息管理责任l。领导小组应不定期的组织信息安全检查和应急安全演练。
2.2.2安全队伍建设。通过引进、培训等渠道,建设一支高水平、稳定的安全管理队伍,是医院信息系统能够正常运行的保证。
2.2.3安全制度建设。建立一整套切实可行的安全制度,包括:物理安全、系统与数据安全、网络安全、应用安全、运行安全和信息安全等各方面的规章制度,确保医疗工作有序进行。
2.2.4应急预案的制定与应急演练
依据医院业务特点,以病人的容忍时间为衡量指标,建立不同层面、不同深度的应急演练。定期人为制造“故障点”,进行在线的技术性的分段应急演练和集中应急演练。同时信息科定期召开“系统安全分析会”。从技术层面上通过数据挖掘等手段,分析信息系统的历史性能数据,预测信息系统的运转趋势,提前优化系统结构,从而降低信息系统出现故障的概率;另一方面,不断总结信息系统既往故障和处理经验,不断调整技术安全策略和团队应急处理能力,确保应急流程的时效性和可用性。不断人为制造“故障点”不仅是对技术架构成熟度的考验,而且还促进全员熟悉应急流程,提高应急处理能力,实现了技术和非技术的完美结合。
2.3安全技术
从安全技术实施上,要进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案。
2.3.1冗余技术
医院信息网络由于运行整个医院的业务系统,需要保证网络的正常运行,不因网络的故障或变化引起医院业务的瞬间质量恶化甚至内部业务系统的中断。网络作为数据处理及转发中心,应充分考虑可靠性。网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。
2.3.2建立安全的数据中心
医疗系统的数据类型丰富,在不断的对数据进行读取和存储的同时,也带来了数据丢失,数据被非法调用,数据遭恶意破坏等安全隐患。为了保证系统数据的安全,建立安全可靠的数据中心,能够很有效的杜绝安全隐患,加强医疗系统的数据安全等级,保证各个医疗系统的健康运转,确保病患的及时信息交互。融合的医疗系统数据中心包括了数据交换、安全防护、数据库、存储、服务器集群、灾难备份/恢复,远程优化等各个组件。
2.3.3加强客户机管理
医院信息的特点是分散处理、高度共享,用户涉及医生、护士、医技人员和行政管理人员,因此需要制定一套统一且便于管理的客户机管理方案。通过设定不同的访问权限,加强网络访问控制的安全措施,控制用户对特定数据的访问,使每个用户在整个系统中具有唯一的帐号,限定各用户一定级别的访问权限,如对系统盘符读写、光驱访问、usb口的访问、更改注册表和控制面板的限制等。同时捆绑客户机的IP与MAC地址以防用户随意更改IP地址和随意更换网络插口等恶意行为,检查用户终端是否安装了信息安全部门规定的安全软件、防病毒软件以及漏洞补丁等,从而阻止非法用户和非法软件入网以确保只有符合安全策略规定的终端才能连入医疗网络。
2.3.4安装安全监控系统
安全监控系统可充分利用医院现有的网络和安全投资,随时监控和记录各个终端以及网络设备的运行情况,识别、隔离被攻击的组件。与此同时,它可以强化行为管理,对各种网络行为和操作进行实施监控,保持医院内部安全策略的符合性。
2.3.5物理隔离
根据物理位置、功能区域、业务应用或者管理策略等划分安全区域,不同的区域之间进行物理隔离。封闭医疗网络中所有对外的接口,防止黑客、外部攻击、避免病毒的侵入。
[关键词]财政;信息系统安全;寿光
1寿光财政信息系统应用现状
(1)网络情况。寿光财政信息网络分别部署互联网(俗称外网)、财政内部专网(俗称内网),并对内网和外网实行物理隔离,其中内网纵向连接部、省、市级财政及乡镇财政,横向连接各预算单位、商业银行等相关职能部门。现连接到寿光财政内网的单位达175个,计算机终端278台,均实行实名注册认证管理。(2)业务系统部署情况。寿光财政目前运行了财政一体化平台(市本级)、财政一体化平台(镇街级)、四方志诚账务系统(市本级)、四方志诚账务系统(镇街级)、非税收入系统、国有资产管理系统、财政CA身份认证系统、基础设施建设资金管理系统、政府投资建设项目管理信息系统、部门预算系统、部门预算基础信息系统、寿光市财政局内部网站、FTP网络存储系统、OA办公自动化系统、通软安全桌面系统、电子监察等16套业务系统。(3)硬件设备配备情况。寿光市财政局现有科室15个,计算机使用人员119名,实际配备计算机160台、打印机100台,开通网络接口160个(外网接口100个、内网接口60个)。
2存在的问题和面临的风险
(1)信息安全设备投入不足。在财政业务系统建设过程中,只重视基础设备的标准和配置,忽视网络安全建设在信息系统中的重要性,安全设备的投入不足。在系统建设中,只看到了信息化建设带来的便利和快捷,忽视了信息化建设的信息安全问题,未对信息安全采取适当的防范措施,致使信息化发展存在安全隐患。(2)专业人员配备不足和安全管理制度更新不够。信息系统安全管理人员配置相对较为紧缺,尤其是关键岗位未配备多人共同管理;在安全管理制度方面,不能根据系统实际运行状况和变化及时进行制度更新。(3)软件使用规范性不强。在操作系统、办公软件和防病毒软件应用中缺乏网络安全意识,安装使用不规范的现象比较普遍。同时,使用人员不能及时为杀毒软件升级和为操作系统下载补丁,从而存在一定的网络安全隐患。(4)信息安全防范意识不强,安全保密意识差。干部职工对当前信息安全形势的严峻性缺乏足够认识,全员防范、主动防范意识较为薄弱,执行安全制度还存在不到位的现象。许多财政干部职工对网络安全知识非常欠缺,例如有些人认为内网比较安全,不存在病毒攻击,为了提高电脑运行速度,将杀毒软件卸载,这样将最基本的网络安全措施都取消了。部分人员没有做到专网专机专用,存在违规使用U盘和内外网违规切换使用的问题;有的系统操作人员不及时更改密码,极易造成数据丢失等安全隐患。(5)存在违规接入和非法外联风险。一些单位与个人没有经过财政授权直接将计算机接入财政内网,虽然非法接入不是暴力入侵,但会给财政内网带来极大的威胁,尤其是有可能带有病毒的计算机与移动设备的非法接入,很可能会造成在内网传播病毒、移植木马等严重后果。同时,财政内网本身是与外网物理隔离的网络,不允许连接互联网,但个别单位用户为了上网办公方便,使用一些手段(如人工切换)建立互联网非法连接,从而绕开内网的连接限制,给财政内网系统安全带来巨大的隐患,会导致病毒入侵、泄密甚至网络瘫痪的后果。
3安全风险控制对策与措施
系统安全问题一直是一个先发现问题,再补救问题的过程。建成一个绝对安全的网络是不可能的,但我们要保证及时发现问题,第一时间解决问题。根据财政部对财政信息系统安全建设和财政业务专网网络安全接入提出的“可控性、可管理型、可用性、安全性、规范性”相关原则要求,针对我市财政信息系统的现状和存在的信息安全方面的问题,我们提出如下对策和措施,严格执行财政业务网络与其他网络的隔离限制,严格移动终端接入管理,加强客户端防护、入网身份鉴别、数据传输等安全问题管理,以全面提升我市财政信息系统的整体安全保障水平。(1)加强信息安全投入,提高安全防御能力。第一,加大信息安全资金投入。增加综合日志审计、防病毒网关、入侵防御、运维审计等信息安全设备投入,防止网络的恶意攻击,尽量使用安全级别高的技术或设备用于网络接入,增加硬件UKEY验证机制。在设备中做好安全验证及网络传输加密设置,至少保证将用户与计算机硬件互相绑定,从而缩小操作人员的操作环境,提高安全系数。第二,强化技术支持。严格控制接入用户的网络接入方式,禁止内网用户连接其他网络,禁止使用无线网络产品。并在系统设置中记录用户的登录时间及基本操作内容,做到出现安全问题时有据可依。第三,加强网络与信息安全人员的培养和激励。加强财政信息系统的日常技术和安全知识培训,提高对计算机病毒及恶意程序的防范意识,提高网络安全保密意识。加强财政信息系统管理人员和使用人员的业务培训,使财政工作人员掌握常见的网络信息安全知识和防范技能,提高信息安全问题的处置能力,提升信息专业技术能力。(2)建立健全信息系统安全管理制度。第一,切实做好信息设备和信息系统安全制度管理更新工作,维护财政信息设备和系统环境安全、稳定、健康,根据信息安全法律、法规的有关规定,结合寿光财政工作实际,及时建立健全寿光财政信息设备和信息系统安全管理制度,通过对原有安全管理制度及时进行修订和新增,使安全意识贯穿于日常财政系统业务操作中,提升财政信息系统的防范能力,保障财政业务系统的安全、稳定运行。第二,建立健全财政信息系统内部控制制度。根据内控有关管理规定,从信息系统建设管理、信息系统流程控制管理、数据管理与应用、信息系统安全管理等四个方面建立健全内部控制管理制度,提升信息安全意识,确保安全防护技术或管理措施到位,提升财政信息系统自身抵御外部攻击能力,确保财政资金安全有效运行。(3)完善和健全计算机软件管理制度。第一,在新购、更新计算机等硬件设备时,全面预装正版操作系统软件、办公软件和杀毒软件。第二,要切实增强知识产权意识,按照谁使用、谁负责的原则对使用的软件资产进行登记管理,不随意下载、安装、更换软件,保证已使用的正版软件得到有效维护。第三,健全资产管理制度。制订软件资产管理制度,健全计算机软件配套购买和使用登记制度,将软件作为资产纳入财政资产管理体系,强化软件的购买、安装、更换、使用、报废等管理工作。(4)实施财政客户端安全监控管理系统应用工作。对与财政专网相连的预算单位、人民银行及银行终端全部启用财政客户端安全监控管理系统进行管理,实施“3+1”管理策略。“3”是指准入管理、补丁修复、非法外联策略,“1”是指终端PC实名制。实现所有预算单位,银行等使用财政专网计算机专网专机使用,保证了财政专网的安全性。(5)加强安全宣传和培训,强化财政信息和网络监管力度,建立财政信息安全管理责任制。第一,突出安全宣传和培训,强化专网监管力度。信息系统安全防护全部靠技术手段是做不到的,更重要的是加强日常的安全宣传和培训,增强使用人员信息安全的防范意识和责任意识。第二,加强日常维护,建立定期巡查制度,及时了解和掌握信息系统运行状况,及时排除出现的不安全因素和故障,变“事后处理”为“事前预防”。加强日常检测检查、管理维护,及时了解信息系统正常运行情况,建立网络安全巡查检查记录,定期进行设备维护,及时了解和掌握设备运行中存在的问题,做到巡查有记录、检查有目标、查后有改进,从源头上构建一张严密的“信息安全网”。第三,建立健全网络与信息安全防范工作责任制,财政内网电脑全部实行IP地址与网卡MAC地址绑定,确定每个使用人员是相关直接责任人,明确信息安全责任,保证网络信息安全管理工作的正常开展。长期以来,我国对重要网络和信息系统安全保护重视不够,没有在法律中做出明确规定,导致单位在信息安全方面的责任存在缺位,许多针对性工作由于缺乏依据无法顺利开展。随着《中华人民共和国网络安全法》的正式实施,明确将重要网络和信息系统等关键信息基础设施纳入国家重点保护范围,对其运行安全进行详细规定。这是我国首次在法律高度提出关键信息基础设施概念,并对关键信息基础设施保护提出具体要求,是我国在关键信息基础设施保护方面取得的重大措施,将国家关键信息基础设施网络安全提升到一个新的局面,也对寿光财政信息系统安全提出了新的要求。
【关键词】 管理 信息安全 准入
一、专业管理理念和目标
1.1 专业管理的理念或策略
信息安全管理的理念为主动作为,从技术上做到信息安全“可控、能控、在控和预控”,实现事前认证、事中监控、事后审计的全流程安全管理。
1.2 专业管理的范围
综合数据网信息安全体系建设涉及公司所有员工。
1.3专业管理的目标
信息安全体系建设的目标为违规外联事件为0,桌面弱口令为0,杀毒软件安装率为100%,桌面管控系统安装率为100%以及不出现其它受到考核的不安全行为和事件。
二、当前的计算机网络安全形势
随着信息化的发展,业务和应用完全依赖于计算机网络和桌面计算机。但是计算机病毒、黑客木马、间谍软件进入桌面计算机,在计算机上安装非法软件,肆意破坏网络和业务系统,外来电脑接入本单位计算机网络等问题时有发生,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。最近几年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,越来越容易获得,所需要的技能越来越低,只需下载一个黑客程序就可以进行攻击,漏洞利用的时间越来越短。攻击的目的性,过去纯粹为了比技术,现在商业目的越来越明显。
三、国网眉山供电公司综合数据网信息安全现状
国网眉山供电公司综合数据网经过2011年到2012年的大规模建设,网络覆盖到了35KV变电站及供电所等机构,形成了规模巨大的数据网络,包含连接各级机关、各个电压等级的变电站和供电所的广域网,以及各个站点的局域网。
综合数据网的建成为所有办公终端提供了高速数据通道,大大提升了信息化水平和办公效率。但也带来了一个严重问题――安全问题。国网眉山供电公司在网的计算机多,爆发的安全问题多,管理难度很大。从国网推广的北信源安全管控系统监控的结果来看,目前内网计算机违规外联、计算机使用弱口令、计算机没有安装防病毒软件等问题还很多,北信源的安全管控系统主要是监控并不能够从技术上进行事前规避。国网眉山供电公司实施了大量的管理措施得了一定的效果,但是没有建立一套全方位的安全技术系统,提升网络的安全性,保护电力公司的信息资产安全。
为了真正提升网络安全性需要建立一个整体安全架构,从局部安全、全局安全、智能安全三个层面,建设一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。
四、国网眉山供电公司综合数据网信息安全体系建设规划
4.1局部安全
目前国网眉山供电公司的网络仅在连接省干网的出口部署了防火墙设备,防火墙能够进行边界保护和基于网络层面的访问控制,但是对应用层的攻击如通过Email携带病毒,通过网页挂木马方式对用户攻击等不能够阻断,应用层攻击行为能够对业务系统造成较大损害。
局部安全建设要对电业局网络进行分区:外联区、服务器区、接入区。外联区:外联区是国网眉山供电公司与省干网连接的边界区域;服务器区:服务器区是国网眉山供电公司的数据中心,存放重要的业务数据;接入区:接入区是各个站点及电力公司的局域网区域;
完成局部安全建设后,本电业局与省公司及其他电业局之间的安全攻击将被隔离,本电业局的攻击不会影响到省公司和其他电业局。本电业局内部的攻击也不会影响到服务器区的业务系统。提升了业务系统的安全性。对于电业局的网络系统基本上没有安全防范的措施,所以需要重建安全技术体系。
4.2全局安全
全局安全是通过网络设备与安全设备的配合提供端到端的安全防护。通过局部安全建设能够抵御内部的安全攻击,但是不能够控制攻击的在内部的泛滥,需要通过网络设备的准入功能,在网络的与用户终端的边界建立准入机制,只允许合法的用户访问网络,且只允许合法用户符合安全要求的终端访问网络,并通过客户端软件强制功能提升终端的自身的安全性。
全局安全的主要建设内容为:
身份认证:变开放的网络为封闭网络防止外来非法计算机访问网络;在网络接入设备上开启网络认证功能,开启该功能后,当计算机接入网络时是无法转发任何数据的,只有认证报文能够通过网络与认证服务器交互,只有合法的员工输入正确的用户名和密码后认证成功,该用户获得第一级访问网络的权限,仅能够访问安全隔离区;外来的非法计算机因没有账号和口令而无法向网络发送任何数据。
安全评估:加强计算机的安全性,只有符合安全规范的计算机才能够访问网络;当合法员工输入正确的账号和口令后获得第一访问网络的权限后,启动对计算机的安全检查,检查内容包括弱口令检查、防病毒软件、操作系统补丁、必须要运行的软件等。弱口令检查是扫描计算机账号的口令,与弱口令字典进行比对,如果存在弱口令则认证失败,要求用户修改口令,直到口令改为强口令,避免被破解口令后远程控制该计算机;防病毒软件检查是扫描系统是否安装防病毒软件以及是否更新病毒库,如果没有安装防病毒软件或者病毒库没有更新,则认证失败。并要求计算机访问安全隔离区进行修复,安装防病毒软件或者进行病毒库升级,保证计算机具有防病毒能力,能够对通过计算机外设及通过网络散播的病毒进行杀毒。
软件管理:目前国网要求所有终端安装北信源的安全管控软件,但是部分终端没有安装,导致无法评估真实网络安全状态,建设全局安全启动了网络准入功能,如果终端不安装北信源软件就无法访问网络,通过技术手段保证每个接入网络的终端必须安装北信源安全管控软件,提升国网考核的注册率。
防内网外联:启用网络准入功能后,准入客户端可以在终端上对网络驱动下发隔离策略,只有被安全认证服务器认证通过的网卡才能够访问网络,而安全认证服务器是在信息内网中的。当终端接入到互联网上时,只有认证数据能够通过,因互联网上没有安全认证服务器所以认证不通过,终端无法获得授权而无法访问网络。在终端运行过程中插入WLAN网卡或者3G网卡也无法联网,因为在互联网上无法进行认证所以网卡被隔离无法访问互联网。
全局安全建设后,对于具有安全隐患的终端将无法接入到网络,大大提高网络的安全性,终端自身也具有了较高的防御性,可以抵御网络中的攻击。
4.3智能安全
局部安全和全局安全建设后,整个网络具有了较高的安全性。但是还不具备足够的智能性。智能安全的目标是动态调整终端安全性、识别安全攻击并快速定位和隔离攻击,将安全事件控制在最小的范围之内。在终端使用过程安全状态会发生变化,智能安全的目标是使得终端具备智能提升安全性能力,通过动态补丁升级服务器可以保证终端缺乏必要安全补丁时能够自动从补丁服务器上获取补丁,避免操作系统受到漏洞攻击;当病毒库版本升级后终端能够自动进行升级。
另外,部署安全审计服务器将整个网络中的网络设备、安全设备、业务服务器等日志能够统一管理,当出现安全事件时能够主动告警并快速定位,并且可以隔离攻击源。
【关键词】校园网;网络安全;信息化;应对策略
1 引言
随着移动互联网的快速发展以及宽带中国战略的推进,计算机网络在在各个领域中得到了广泛的应用,最为突出的应该是教育行业,特别是高校的计算机网络。现如今各个高校的 “数字化校园”建设如火如荼,为教学、科研、学术探讨、办公自动化等校园应用系统提供了坚实的网络基础,学生宿舍网络接入、多媒体教学、电子图书阅览室、网络课堂等网络应用,使得校园网络资源得以全面共享,一方面丰富了现代化教育手段,另一方面极大的提高了学生的学习兴趣。但是,网络的开放性、共享性也使得校园网络出现了诸多让人担忧的安全问题,无论是网络安全还是信息安全都能影响学校正常工作的开展。因此,构建安全和谐的数字化校园,需要全面剖析校园网络信息安全现状,进而深入研究信息安全应用对策。
2 校园网网络信息安全现状
2.1 校园网用户信息安全意识相对淡薄
2.1.1 在校园信息化建设中,多数用户最为关心的问题就是网速,如果网速出现问题,校园网用户就会认为校园网带宽做了限制或者所提供数据交互服务出现了故障,而不会首先意识到是否是自己的计算机系统本身出现问题。
2.1.2 在高校中,用户很大一部分都是在校大学生,除了少数计算机学院的学生对于网络信息安全知识了解稍多一些,其他学生用户这方面的意识还是非常淡薄,例如:对自己保密的文件并不会进行加密处理,计算机系统不设置登陆密码或密码设置过于简单,所有这些这都给系统入侵留下了后门。
2.1.3 经过长时间的使用,校园网用户不会经常扫描自己的计算机系统,不知道是否存在一些系统漏洞并安装补丁,在日常使用过程中,没有养成移动设备病毒扫描等良好习惯。
2.1.4 个别学生特别是计算机相关专业的学生,因一时对计算机病毒的好奇心,满足自己对于黑客行为的实践,拿校园网其他用户的主机甚至是校园网控制中心的服务器作为实践对象,采取黑客攻击手段,有意无意的破坏校园网络安全。
2.2 高校对于网络信息安全的投入存在不足
考虑到前期投入与后期收益的问题,许多高校对校园网络的经费投入不足,大多将有限的经费投入在关键的网络设备上,而对于网络的安全建设并没有比较系统的战略投入,从而导致校园网络安全防范能力不够,随时都有被侵袭的危险,存在极大的安全隐患。另外,一些学校网络安全运行维护人员不足,采取与网络运营服务商合作的方式以弥补这些不足,而运营商通常以谋利为目的,难免忽视了网络安全维护方面的投入。最后,部分高校校园网基本处于一个较为开放的状态,没有有效的安全预警手段和防范措施。
2.3 计算机网络自身的缺陷和不足
2.3.1 TCP/IP的脆弱性。TCP/IP协议是因特网使用的最基本的通信协议,但不足的是该协议对于网络的安全性考虑得并不多,可以找到能被攻击者利用的漏洞。当今,多数高校的校园网络还是IPV4,由于TCP/IP协议是公布于众的,如果对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
2.3.2 网络结构的不安全性。随着高校规模的拓张,多数高校的网络缺乏战略发展规划,而是由多数局域网堆积而成,尤其是网络边界设备和安全设备大多是发现问题后,为了解决问题而部署,设备之间缺乏有效的联动,网络拓扑结构不合理,因此内网与外网的数据交换以及校园网内部的数据流转都存在着不安全性因素。
2.3.3 易被窃听、篡改和伪造。与其它商业网络或者政务网络不通,除个别信息安全要求部门之外,高校校园网上多数数据流都是明文传输,没有有效的信息安全加密手段,教职工与学生方便的同时,也为不法分子对校园网内外的电子邮件、口令和文件传输进行窃听、篡改提供了便利。
3 网络信息安全应对策略
3.1 加强学校网络安全教育,提升校园网用户防护技能
3.1.1 基于校园网用户信息安全意识淡薄,学校应当在开设计算机相关课程的同时选择性的开设网络安全课程,宣传网络安全防护,同时开展行之有效的技术实践活动,进行网络道德的教育,并提高公德意识,使每一个校园网用户在上网之余,了解和明确自己对于网络信息安全防护的责任。
3.1.2 开展一系列的校园培训教程,培养学生基本的网络防护技能。例如对自己的计算机系统开启自动更新功能,及时修补计算机系统出现的安全漏洞;辨别不良网站,以及对自己的计算机开启防火墙,定期对电脑进行病毒扫描,在校园网内部将产生较大影响的计算机病毒,木马程序等扼杀在源头。
3.2 加大校园网安全维护投入,合理配置资源
基于很多学校对校园网安全信息防护投入不够而导致一系列漏洞的产生,使得不法分子趁虚而入破坏校园网安全。高校应当指派专门的安全人员进行系统维护,合理利用物力和财力,建设网络信息安全预警机制,加强网络管理人员的技术水平,结合校园网络自身的情况,制定校园网络发展规划,从而合理、适时地选择网络安全防护设备和技术投入。
3.3 建立校园网络安全隐患排查机制
3.3.1 建立资源管理机制。建立IP地址的分配、登记与回收机制,由网络安全管理人员统一分配管理。这样,若校园网内部用户对学校网络安全服务器发起攻击,能很快的找出攻击源。
3.3.2 在校园网内部建立完整的账户管理和身份认证制度。明确、设定密码保护机制。比如可以按照使用用户类别及权限,分为教学用户、办公用户、学生用户。用户用完随时退出,防止信息泄露。
3.3.3 使用加强密码。加强密码是至少有8位字符长,是由大小写字母、数字和符号组合起来的密码。考虑普通密码容易受到网络字典的攻击,容易造成信息的丢失或篡改。因此构建合理的密码使用机制,即使加强密码,也要经常更改,时间不能超过3个月,并且更改的密码要与先前的密码有较大差别。
3.4 建立完整的安全信息保障制度
建立保障安全信息的规章制度。除了建立培养一支具有安全信息管理意识的网管队伍之外,还必须建立一套严格的安全信息管理规章制度。网管人员建立并维护网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的使用登记制度。从而可对网络用户和服务账号进行精确的控制。同时,定时对校园网系统的安全状况做出评估和审核,关注网络安全动态,进行网络安全态势评估,调整相关安全设置,结合网络安全阀值的预警,全方位地进行入侵防范,在校园网内部推送安全公告,紧急修复系统通知等,从而防范于未然。
4 结束语
在教育信息化快速发展的今天,建立健全校园网络安全体系结构,对校园网络进行精细化管理,构建完全和谐的数字化校园环境,为学校的教学、科研工作保驾护航,每个校园网用户共同期盼,也是一项复杂的长期的重要的任务。首先,学校一方面要制定中长期发展规划,其次,不仅要加大网络安全建设投入,还要制定合理有效的安全对策以及预警、应对机制,最后,校园网络信息安全是师生共同面对的问题,因此同样需要每一个校园网用户共同担当。
参考文献:
[1] 袁津生.计算机网络安全基础[M].北京:人民邮电出版社.2005.60 -76.
[2] 湛成伟.网络安全技术发展趋势浅析[J].重庆工学院学报.2006,(08): 120-121.
[3] 江雨燕.计算机网络黑客及网络攻防技术探析[J].计算机应用与软件,2003,20(1):56-58.
[4] 钟嘉鸣.校园网安全平台的规划与设计[J].中国科技信息,2007,21(5):141-143