前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络信息安全论文主题范文,仅供参考,欢迎阅读并收藏。
1.1设计目标网络安全检测系统需要对网络中的用户计算机和网络访问行为进行审计,检测系统具有自动响应、自动分析功能。自动相应是指当系统发现有用户非法访问网络资源,系统将自动阻止,向管理员发出警示信息,并记录非法访问来源;自动分析是根据用户网络应用时应用的软件或者网址进行分析,通过建立黑名单功能将疑似威胁的程序或者方式过滤掉。此外,系统还具有审计数据自动生成、查询和系统维护功能等。
1.2网络安全检测系统架构网络安全检测系统架构采用分级式设计,架构图如。分级设计网络安全检测系统具有降低单点失效的风险,同时还可以降低服务器负荷,在系统的扩容性、容错性和处理速度上都具有更大的能力。
2系统功能设计
网络安全检测系统功能模块化设计将系统划分为用户身份管理功能模块、实时监控功能模块、软件管理模块、硬件管理模块、网络管理和文件管理。用户身份管理功能模块是实现对网络用户的身份识别和管理,根据用户等级控制使用权限;实时监控模块对在线主机进行管理,采用UDP方式在网络主机上的检测程序发送监控指令,检测程序对本地进行列表进行读取,实时向服务器反馈信息;软件管理模块是将已知有威胁的软件名称、参数等纳入管理数据库,当用户试图应用此软件时,检测系统会发出警告或者是拒绝应用;硬件管理模块对网络中的应用硬件进行登记,当硬件非法变更,系统将发出警告;网络管理模块将已知有威胁网络IP地址纳入管理数据库,当此IP访问网络系统时,检测系统会屏蔽此IP并发出警告;文件管理模块,对被控计算机上运行的文件进行实时审计,当用户应用的文件与系统数据库中非法文件记录匹配,则对该文件进行自动删除,或者提示用户文件存在风险。
3数据库设计
本文所设计的网络安全检测系统采用SQLServer作为数据库,数据库中建立主体表,其描述网络中被控主机的各项参数,譬如编号、名称、IP等;建立用户表,用户表中记录用户编号、用户名称、用户等级等;建立网络运行状态表,其保存网络运行状态结果、运行状态实际内容等,建立软件、硬件、信息表,表中包含软件的名称、版本信息、容量大小和硬件的配置信息等;建立软件、网址黑名单,对现已发现的对网络及主机具有威胁性的非法程序和IP地址进行记录。
4系统实现
4.1用户管理功能实现用户管理功能是提供网络中的用户注册、修改和删除,当用户登录时输出错误信息,则提示无此用户信息。当创建用户时,系统自动检测注册用户是否出现同名,如出现同名则提示更改,新用户加入网络应用后,网络安全检测系统会对该用户进行系统审核,并将其纳入监管对象。系统对网络中的用户进行监控,主要是对用户的硬件资源、软件资源、网络资源等进行管控,有效保护注册用户的网络应用安全。
4.2实时监控功能实现系统实时监控功能需要能够实时获取主机软硬件信息,对网络中用户的软件应用、网站访问、文件操作进行检测,并与数据库中的危险数据记录进行匹配,如发现危险则提出警告,或者直接屏蔽危险。
4.3网络主机及硬件信息监控功能实现网络主机及硬件信息监控是对网络中的被控计算机系统信息、硬件信息进行登记记录,当硬件设备发生变更或者网络主机系统发生变化,则安全检测系统会启动,告知网络管理人员,同时系统会对网络主机及硬件变更的安全性进行判定,如发现非法接入则进行警告并阻止连接网络。
5结束语
明确网络服务提供者在信息网络社会中居于何种法律地位,是探讨网络服务提供者承担信息安全保障义务的首要前提。站在用户的角度,所有能够供用户接入网络,得以存储、传输信息的服务提供商都可构成本文所言的网络服务提供者。之所以立足于这样一个视角,对网络服务提供者做出如此笼统、概括的解释,是由于计算机信息技术的发展,正在衍生出更多类型的网络服务提供者,如越来越多的智能设备制造商以及软件服务提供商。于此情形下,任何试图从正面对网络服务提供者做出的界定都将是不完整的。此外,本文也不认为对现有的网络服务提供者进行分类会有助于我们认识其内涵,恰恰相反,它会割裂我们对网络服务提供者法律地位的整体性认识,分类仅在阐述其负有的信息安全保障义务的范围时,才具有一定的意义。本文主要从网络服务提供者在网络技术运行规则中所起的整体作用来为其定位。互联网的诞生和发展由始至终都是一场信息技术革命,这场革命区别于以往任何一次技术革命的特殊之处在于,物理世界是由原子构成的,信息的载体为能够直接进行控制的实体物;而互联网络时代信息的载体转化为以比特为单位,可被计算机进行处理、保存和分析的一系列数据。信息的表现形式皆为不可触摸,只可感知的文字、声音、图片以及视频。不仅如此,借由计算机网络技术的发展,人类得以搭建起了一个信息的虚拟平台,通过它把各个点、面、体的信息联系到一起,从而最终跨越时间和空间的距离实现这些资源的共享。随着信息技术的不断深入发展,网络对人类的影响已蔓延至工作、生活的各个角落,大到一国军事机密情报的保管和传输,小至普通用户的人际交往和购物行为,均是借助于网络实现。而支撑整个网络系统运行的正是形形的各类网络服务提供者,可以说,他们是这个整体系统的集体构建者和缔造者。简单讲,无论是提供基础宽带服务的电信运营商,或是接入互联网的路由器制造商,抑或是提供即时通讯服务的软件服务商,用户皆是通过其提供的某一部分网络服务记录、传输信息。任何一个环节出现安全问题,信息的存储和传输都会受到影响。由此可以说,无论单个的网络服务提供者为整个系统的运转提供何种服务,从整体上看,在这场技术革命中,都扮演着信息看门人的角色。信息网络独有的这些技术特征,使得网络社会中对一国金融安全、军事安全或个人人身安全及财产安全的保护更多的表现为对信息在存储、传输等过程中安全的维系。由于网络用户使用者无法对信息进行最直接的控制,而是需要依托网络服务提供者所提供的技术服务,在此基础上享有有限的使用权和控制权,导致物理世界中简单易行的安全规则无法有效适用于信息网络社会,用户面对安全隐患时常常处于被动的地位。以近期发生的路由器被破译事件为例,由于部分路由器在技术上存在着安全漏洞,致使用户在上网过程中留下的银行账号、支付密码等个人信息被盗取,使用户的人身和财产安全受到损害或威胁。导致这种情况出现的部分原因正是由于路由器厂商未能积极、及时的升级其系统,以致出现安全漏洞,造成用户的个人信息泄露,进而损害其实际权益。实践中,类似的信息泄露事件不胜枚举,无一不与网络服务提供者密切相关,而用户面对这种情况在很大程度上缺少主动有效的防范能力,只能寄希望于网络服务提供者采取有效的措施确保产品或技术的安全。基于上述客观事实,我们认为,网络服务提供者基于其所处的信息看门人地位,既有责任,也有能力,向所有网络用户承担信息安全保障的义务。这是一种最低限度的保护义务,其特点如下:第一,这项义务不同于网络服务提供者对国家或个体所负有的有如一般经营主体的其他义务,它不以任何具体的主体作为自己履行义务的直接对象。这是由于信息网络具有开放性、互联性的特点,任何一种不安全因素会同时危及国家、企业或个人的国家安全、商业机密或人身、财产安全等等。故而其既不同于私法上的义务,也异于公法上的义务。第二,该义务内生于网络服务提供者成立之时,贯穿于其为网络用户提供网络服务的全部过程,即使在其退出网络服务领域之时,也需为该义务的履行做出最为妥善的安排。恰如雅虎中国邮箱在关闭之前,通过各种公开渠道向所有注册用户发出停止服务通知,详细列明与此相关的一切事宜,并敦促用户及时注册新的邮箱,以确保其信件的安全。
二、私权视角下网络服务提供者注意义务的局限性
(一)侵权法领域网络服务提供者承担注意义务的规则
互联网技术发达的美国和欧洲较早地注意到了网络服务提供者在维护个人权益安全方面的作用。因而通过国内或地区立法针对不直接提供网络内容的服务者在某些情形下承担侵权责任做出规定。以美国为例,其在《数字千年版权法案》中即以避风港规则和红旗规则为非网络内容服务提供者对版权领域内出现的某些侵权行为设定了一定的注意义务。依据避风港规则,自身不提供内容的网络服务提供者根据权利人提出的符合法律规定的通知及时地处理了涉嫌侵权的信息,便能够享受免于承担侵权责任的资格。②红旗规则是避风港规则的一项例外适用,其含义是如果侵犯信息网络传播权的事实是如此的明显,如同红旗一样飘扬,那么网络服务提供者即不能以避风港规则推卸责任,在此情况下,即使权利人没有发出请求删除、屏蔽的通知,网络服务提供者也应当对此承担侵权责任。立法者意图通过这两项规则的适用达到既能不为网络服务提供者设置过重的负担,妨碍其行业发展,又能保护相关权利人版权利益的目的,初衷不可谓不深远。我国的《信息网络传播权保护条例》、《侵权责任法》相继吸收了美国法中的这两项规则。③但在适用上做出了三点不同的变通,这表现在《侵权责任法》第36条第2款的制度设计上:其一,网络服务提供者的类型由非网络内容服务提供者扩大至其他类型的软件服务提供者;其二,侵犯的权益由信息传播权扩大至所有可能被通过网络侵犯的民事财产权及人身权;其三,改变了美国法中以网络服务提供者不承担审查义务为主要原则,仅在有限的情况下就其未尽到注意义务需承担侵权责任为辅的立法初衷,而是代之以网络服务提供者承担与实际侵权人同等程度的网络侵权责任作为一般原则,将原避风港规则中的通知和删除程序作为衡量网络服务提供者是否承担侵权责任的决定性标准。美国法中的避风港规则与红旗规则在引入我国《侵权责任法》时发生的上述变化,表明网络服务提供者需要对他人的网络侵权行为承担更为严格的侵权责任。这种以救济受害人为主要目的的侵权归责模式,源于当时出现的许多人肉搜索、网络谣言等侵权事件这一社会背景。立法者在做出这种制度设计时,更多的是基于一种政策考量,而不是从网络服务提供者本身的地位出发,规定与其能力相适应的义务和责任。这种出发点决定了第36条在适用的过程中并无法解决诸多实际问题。首先,网络侵权行为所侵犯的权利类型越来越多,不仅包括知识产权,还包括名誉权、隐私权等人格权。对于某网络用户是否侵犯了他人的权利,这其中涉及价值判断,该问题在司法实践中一般是由法院作出裁决。从根本上讲,网络服务提供者并无资格仅仅根据权利人的权利通知即采取删除、屏蔽等消除侵权信息的措施。如果无视这种资格缺陷,在知识产权领域赋予网络服务提供者以审查权限,那么鉴于此类权利的识别性较为容易,这尚且处于其能力范围之内,但在权利类型扩张到人格权的情形下,权利冲突已经变得极为复杂,网络服务提供者对此已经失去了甄别的能力。这也从侧面说明了为何美国的避风港规则和红旗规则仅适用于版权法领域,而没有扩及其他侵权情形。其次,WEB2.0技术的应用和普及,出现了博客、微博、微信等网络交流平台。原来由网络服务提供者集中控制主导的信息和传播体系,逐渐转变成了由广大用户集体智能和力量主导的体系。此外,随着用户数量的激增,信息的产生和传播呈现出海量化和碎片化的特征。网络服务提供者在这种信息流动模式下,难以行使针对具体个人权利的信息审查义务。前述两项客观制约因素决定了侵权法对网络服务提供者义务和责任的规定已超出了其能力范围之外,这种规则本身的运行并无法起到保护受害人权益,净化网络的初衷。
(二)从私权角度审视网络服务提供者义务的局限性
无论是美国法中网络服务提供者承担宽松的注意义务规则,或是我国侵权法中以严格救济受害人为主的制度设计,两者均是站在维护私权的角度对网络服务提供者应尽之安全保障义务做出规定。严格讲来,任何安全维系规则的终极目标都是为了保护民事主体的私人权益不被侵犯,这是理所应当且毫无疑问的。然而问题的关键在于实践中威胁民事主体权益的不安全因素有诸多表现形式,并非每一项都表现为直接侵权,换言之,传统的侵权归责模式并不适用于所有的安全威胁情形,民事主体个人权益的最终保护并不能都通过主动提起侵权诉讼来获得解决。这在当下层出不穷的网络安全频发的各色事件中表现的尤为明显。如2011年腾讯公司与奇虎360公司发生不兼容大战,腾讯迫使6000多万用户卸载了360安全软件。该事件本身虽是两类网络服务提供者因不正当竞争而起,表面上看,并没有直接侵犯网络用户的实际权益,但实际上腾讯公司迫使所有使用QQ的用户卸载360杀毒软件的行为正是无视这些用户的网络安全选择,间接地置其人身和财产安全处于危险境地。当QQ用户因卸载杀毒软件遭受信息泄露,实际权益受到侵犯时,却无法依据目前的私权规则提起侵权之诉保护自身权益。另一方面,依据前述我们对信息网络运行规则的解读,网络是一个纵横交错的整体性系统,所有的网络服务提供者均处于进入网络通道看门人的地位。不独网络软件服务提供商,即使是网络硬件设备提供者,也应负有信息安全保障义务。如电脑的芯片制造商,在芯片投入批量生产之前应尽可能地对其技术安全性进行全面的检测,当其在使用过程中发现存在漏洞时,也应及时采取技术修复等各种可能的措施最大限度的确保用户的使用安全。而私权规则仅针对在某些直接侵权情形下未尽到注意义务,而需承担侵权责任的软件服务提供者。从本质上看,这是将网络关系简单化为软件服务提供者与网络用户之间的债权化网络结构,从而将网络服务提供者等同于一般安全保障义务主体,忽略了信息网络其他构建者应负有的信息安全保障义务,上文所述之路由器被破译以致个人信息泄露事件即是证明。在具体的侵权法领域,网络仅是一种使用工具,网络服务提供者犹如普通的商品制造商一样,并不对任何个人通过使用该工具而侵犯他人的行为负责。综上可知,站在维护个体私权的角度看待网络服务提供者应承担的信息安全保障义务,加重了网络服务提供者对所有个体用户承担义务的负担,随着网络技术的不断纵深发展,网络用户在使用人数和行为模式上也发生了很大的变化,前述私权规则在解决具体侵权问题方面,仅具有有限的适用性。此外,该规则将保护主体限于私人用户,忽略了网络服务提供者对国家、公司等商事组织负有的信息安全保障义务,具有很大的片面性和局限性。现实情况下,面对越来越多的各类网络安全事件,私权规则中对网络服务提供者义务和责任的规定却无法适用于其中。鉴于此,我们应该跳出私权视角俯瞰整个公共领域,重新审视网络服务提供者应当负有的信息安全保障义务,该义务应具有更深远的价值取向和目标,并且配有更为细化和恰当的义务履行规则。
三、信息安全保障义务的价值取向:公共秩序与公共安全
以维护纯粹的个体私益捆绑网络服务提供者应负有的信息安全保障义务,具有很大的局限性。基于信息网络开放、互联的结构性特点,以及网络服务提供者在整体系统中所处的地位,网络服务提供者负有的信息安全保障义务应以公共秩序与公共安全为价值目标。网络空间是否存在着公共性,这是我们在理解这一价值目标时首先需要面对的问题。通常我们基于网络空间的虚拟性而倾向于淡化其公共性和社会性的一面,进而将网络社会简化为无数个用户与软件网络服务提供者之间的相对法律关系,对于网络纠纷也倾向于以纯私法的方式进行处理。网络的虚拟性是指信息的存在方式皆以文字、图形、声音、视频形式表现,而缺少现实世界中立体、固有的形态实体物。这个特点常常在视觉上给用户以错觉,认为自己脱离了群体性的生活,面对的仅仅是不可触摸的信息,而忽略了任何信息流产生和传播的背后均是人际关系在发生互动这一基本事实。物理世界中,先存在着一个公共空间和领域,而后才会产生聚合的公共行为;而网络空间的虚拟性打破了这个传统的模式,先有人与人之间的互动,而后才形成一个公共空间。换言之,不论空间的表现形态如何,只要人们以言行的方式聚集在一起,展现的空间就形成了。由此可以说,虚拟性并不排斥公共性,甚至在某种程度上,虚拟性成就了网络空间所特有的公共性。网络空间具有公共性意味着作为信息看门人地位的网络服务提供者需为空间中所有用户承担最低限度的信息安全保障义务,即维护网络公共秩序与公共安全。秩序关注的是网络空间内各类信息流的畅通、有序运行;安全强调的是不被搅扰,能够自由流动的一种状态。秩序与安全虽然指向性不同,然而两者并非可以分割,而是紧密连为一体的价值。秩序的维持有助于确保安全,而对安全的保障,也有利于秩序的实现。秩序与安全是人类生存与发展最基本的价值需求,但与现实的物理社会相比,网络社会似乎对此表现出了更强烈的需求。这主要源于两个原因:一方面,现实社会已经发展的较为成熟,形成了一套运行稳定的制度体系来确保社会秩序与安全,而对于新生的网络社会而言,面对的是一个全新的领域,建立起一套基本的秩序与安全规则,是网络社会得以运行的基本前提和保障;另一方面,与现实社会不同,网络社会中人与人之间工作、生活等各方面的交际均是以信息流的形式通过网络平台进行,这种长线距离的曲线往最容易在过程中产生波澜,因而确保个人信息在流转过程中的有序与安全成为网络社会必然的价值选择。换言之,网络世界更需要对信息产生、传播过程的管控,这迥然于现实世界对私人权利的静态保护。可以说,公共秩序与公共安全这两项价值内生于网络社会,也将伴随其永久存在和发展。网络社会对公共秩序与公共安全的渴求,在很大程度上表现为网络服务提供者需对所有用户承担信息安全保障义务。这归根结底是由网络特有的技术特征以及网络服务提供者所处的法律地位决定的。网络社会的一切活动都需借助于网络平台进行,人与人之间的行为表现为各种信息的流动,因而从技术上确保信息流有序、安全的产生、存储和传输,显得尤为迫切和重要。实践中许多危害公共秩序与公共安全的行为均是由于网络技术存在缺陷所导致。如2011年,程序员网站CSDN、天涯社区、美团网等网站数据库遭到黑客攻击,网络个人信息泄露事件曾集中爆发,上亿用户的注册信息被公之于众,其中,广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料。针对这些问题,网络服务提供者与政府机构或其他主体相比,既有能力,也有条件积极、主动的进行预防和事后应对。此外,随着大数据分析技术的发展,信息越来越成为一种各类网络服务提供者争相攫取的新型资源,网络服务提供者作为受益者,理应对这一资源的有序流动和安全承担保障义务。需要说明的是,网络服务提供者以公共秩序与公共安全为价值目标承担信息安全保障义务,并非忽略对私权的保护。公共秩序与公共安全着眼于潜在不特定多数人的利益,因而对其进行维护恰恰能够最大限度地保护私权。实践中,许多个体的私权受到侵犯往往是由于网络服务提供者未尽到信息安全保障义务所致。如家、汉庭等大批酒店的开房记录泄露事件,正是因酒店Wi-Fi管理、认证管理系统存在信息安全加密等级较低问题,以致这些信息被黑客窃取、泄露,危及开房人的实际权益。
四、信息安全保障义务内容———以个人信息保护为例
在公共秩序与公共安全的价值指引下,网络服务提供者需要承担的信息安全保障义务范围广泛,既包括所有的网络服务提供者不得制造或提供危害网络公共秩序与公共安全的产品或服务,也包括需采取技术措施不断升级自身产品或信息系统,确保不会出现安全漏洞从而被他人侵入和破坏;既包括某些非内容服务提供者对用户利用平台传播与该价值目标不符的言论或行为做出禁止,也包括相关网络服务提供者在经营过程中产生矛盾纠纷时对自己行为(如不正当竞争)进行克制,避免因自己的行为将用户的基本使用安全置于危险境地;等等。如此广泛的范围使得清晰规定网络服务提供者承担的信息安全保障义务内容绝非易事。目前,网络服务提供者未尽信息安全保障义务常常表现为个人信息被非法收集、处理、利用、泄露,以致危害不特定多数人的人身及财产权益,在此以个人信息的保护为主线说明网络服务提供者应承担的信息安全保障义务的主要内容。
(一)网络服务提供者未经法律规定或用户同意不得任意收集、存储和处理他人信息
信息网络时代,信息不断的产生和流动,网络服务提供者凭借其先进的技术手段,能够对用户使用网络留下的诸多信息进行收集、存储和处理。由于个人信息能够单独或与其他信息结合识别出特定的信息主体,从而将信息主体的人身安全、隐私、财产等权益曝光于众目睽睽之下,增加受害的几率,因而对网络服务提供者收集、存储和处理个人信息的行为应当进行规制。任何网络服务提供者都不得未经许可收集个人信息,应当是一般原则。对于用户同意收集的个人信息,网络服务提供者应当在指定的收集用途范围内使用,不得超出该范围另作它途,同时也不得基于一定的目的,将该信息提供给其他主体使用。
(二)网络服务提供者需采取措施维护信息在产生及流转过程中的安全
网络服务提供者在使用信息系统对个人信息进行存储、处理时,应当采取适当的管理措施和技术手段保护个人信息安全,防止未经授权检索、披露及丢失、泄露、损毁和篡改个人信息。一般而言,网络服务提供者应从管理和技术两个方面确保个人信息的安全。网络服务提供者应当实施各项管理措施,如建立个人信息收集、使用及其相关活动的工作流程和安全管理制度;对工作人员及人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;妥善保管记录个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;等等。实践中,尽管不同的网络服务提供者根据自己所处的地位和提供的网络服务的不同会采取各异的管理措施,但只要最大限度的确保其管理上不存在人为的漏洞致使他人信息泄露,即可视为网络服务提供者尽到了该项义务。除了管理措施不够完善导致个人信息泄露外,技术因素是另一个重要原因。由于互联网络的发展,大量个人信息被计算机和各种网站等各类网络服务提供者存储,因而一旦网络出现系统漏洞、程序漏洞等各种危害安全的漏洞后往往会导致大规模个人信息发生泄露。从技术上而言,漏洞是软硬件在设计上存在的缺陷,攻击者能够在未授权的情况下访问或破坏系统。一个系统自时起,就一直处于漏洞发现和修补的循环之中,漏洞问题会长期存在。这种特性要求网络服务提供者应对储存用户个人信息的信息系统实行接入审查,实时注意网络异常,当发现问题时,及时进行补丁修复,并采取防入侵、防病毒等措施,增强系统的抗攻击性,确保信息安全;同时,网络服务提供者应建立网络安全日志,对重要网络系统及数据、信息及时备份。此外,一旦发生个人信息泄漏、丢失,网络服务提供者应及时通过网络、报纸、电视等媒体渠道告知受影响的个人信息主体事件的发生情况以及应采取的防护措施,以免给其造成无法挽回的损失,并且还应当及时向国家相关信息管理机构进行通报。
(三)网络服务提供者对用户违反法律、法规规定或传输信息的行为应当予以禁止
网络服务提供者应当加强对其用户的信息的管理,对法律、法规禁止或者传输的信息,应当立即予以禁止,采取消除等处置措施,保存有关记录,并向有关主管部门报告。法律、法规禁止或传输的信息,一般而言是危害国家安全、严重损害公共秩序与公共安全或有损社会风气等信息。如宣传思想的视频或文字;教授用户破解他人路由器方法的文字;某网站已被泄露的用户银行账号、身份证号等个人信息;等等。网络服务提供者对前述信息的和传输进行管理,意味着其对信息的和传输具有一定的审查义务,这不同于侵权法领域要求网络服务提供者站在私域角度纯粹依据自己的价值取向保护个体私权之情形,该项义务的履行具有较为明确的参考标准,因而也不会对用户的言论自由构成侵犯。事实上,在对用户或传输的信息进行审查方面,网络服务提供者在某种程度上更类似于一个公共管理机构,因而这既是其承担的义务,也是其享有的部分公共管理权限。
(四)网络服务提供者终止其技术服务时应最大限度的确保使用该技术服务的用户的信息安全
网络服务提供者在经营过程中,如若要停止某项技术服务,对于使用该技术的所有用户应当提前发出通知,及时提醒其继续使用将会带来的风险,以及告知其避免这些风险需要采用的措施,给用户足够的时间进行技术更换工作。如微软中国此前宣布于2014年4月8日停止对WindowsXP的支持,但考虑该操作系统在我国通信等重要行业仍占据较高比例,若立即停止将会给基础通信网络带来直接风险,威胁基础通信网络的整体安全,故其决定将与包括腾讯在内的国内领先的互联网安全及防病毒厂商密切合作,为中国全部使用XP的用户,在用户选择升级到新一代操作系统之前,继续提供独有的安全保护,帮助用户安全度过系统过渡期。网络服务提供者之所以在其技术服务结束时仍需向用户承担信息安全保障义务,源于长久以来二者之间的一种相互生存倚赖,尤其在当下的互联网行业,某类网络服务提供者在某些技术方面长期处于垄断地位,导致其地位已具有不可替代性,因而在退出时理应采取一些安全措施保护所有使用其技术服务用户的安全,避免因其退出技术服务而给用户带来人身及财产损失。在当下网络新产品或服务不断涌现的时代背景下,网络服务提供者承担信息安全保障义务的内容非常之多,不同类型的网络服务提供者承担的信息安全保障义务内容也各不相同,于此情形下,穷尽其所有的义务内容绝非易事。上述以个人信息被非法收集、使用及泄露为例说明网络服务提供者应承担的义务,仅具有概括作用,具体到实践中,每一网络服务提供者究竟有无尽到信息安全保障义务,应以公共秩序与公共安全为价值指引做出判断。
五、结语
1.1资源数据数字化故宫博物馆的资源主要有三个方面,一是世界文化遗产故宫古建筑群;二是收藏的众多国内外藏品;三是数以万计的观众资源。而这些资源的动态,则是我们每天都要了解的。以往要想实现这一步是需要耗费大量人力物力财力的,而数字化让这一工作变得简单许多。
1.2数字化信息的应用资源数字化以后,如何更好的利用这些资源就成了信息化工作的另一项任务。为此故宫博物院建立了不同的信息管理系统,使得从业者能更好的利用我们收集上来的数以百万计的各类文物信息。
1.3数字化资源的安全与保护在文物资源采集完成后,如何更好地存储和保护好这些资源,也是一项极其重要的工作。数据存储安全目标是保护机密数据的完整性,一旦发生数据丢失或被破坏,后果可想而知。在实践中,建立存储安全需求专业的知识,留意细节,确保存储解决方案继续满足业务不断改动的需要。最重要的是,安全的本质是要求三方面达到平衡,即采取安全措施的成本,安全缺口带来的影响,入侵者要突破安全措施所需要的资源。
2网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2.1网络软件安全网络软件是实现网络功能所不可缺少的软环境。
⑴网络操作系统。网络操作系统是运行在网络硬件基础之上的,为网络用户提供共享资源管理服务、基本通信服务、网络系统安全服务及其他网络服务的软件系统。
⑵网络协议软件。连入网络的计算机依靠网络协议实现互相通信,而网络协议是靠具体的网络协议软件的运行支持才能工作。
2.2网络安全防护
⑴防火墙。故宫外网防火墙采用路由模式工作,通过安全区域划分把故宫内部网络按照安全需求划分不同的区域,只允许安全等级高的区域向下进行访问。
⑵防病毒软件。针对故宫来说,由于办公网络与互联网完全处于物理隔离的状态,因此要求防病毒软件具有以下特点:配有独立控制中心;软件部署及补丁下发便捷;信息收集准确等。这些特点都能大大节省人力物力。
3结语
当以下问题发生时,使得网络在遭受安全攻击时,显得非常脆弱:上层应用的安全收到Internet底层TCP/IP网络协议安全性的影响,如果底层TCMP网络协议受到攻击,那么上层应用也会存在安全隐患;黑客技术和解密工具在网络上无序传播,而给一些不法分子利用这些技术来攻击网络;软件的更新周期较长,而极有可能使得操作系统和应用程序出现新的的攻击漏洞;网络管理中的法律法规不健全,各种条款的严谨性不足,而给管理工作带来不便,对于法规的执行力度不足,缺乏切实可行的措施。
2对企业办公网络安全造成威胁的因素
对办公网络的信息安全实施有效的保护有着非常重要的意义,但同时也存在着一定的难度。由于网络技术自身存在很多不足,如系统安全性保障不足。没有安全性的实践等,而使得办公网络不堪一击。除了自然灾害会给办公网络埋下巨大的安全隐患外,还有计算机犯罪、黑客攻击等因素也是影响网络信息安全的不稳定因素。
2.1自然灾害造成的威胁
从本质上来说,企业办公网络的信息系统就是一台机器,根本不具备抵御自然灾害、温度、湿度等环节因素影响的能力,再加上防护措施的欠缺,必然会加大自然灾害和环境对办公网络信息的威胁。最常见的就是断电而造成的影响,会使得正处于运行状态中的设备受到损害或者导致数据丢失等情况的发生。
2.2网络软件漏洞造成的威胁
一般来说,网络软件自身就存在着一些不可避免的漏洞,而给黑客攻击提供了便利,黑客会利用这些软件漏洞对网络实施攻击,在常见的案例中,网络安全受到攻击的主要原因就是由于网络软件不完善。还有一些软件编程人员,为了自身使用方便而设置“后门”,一旦这些“后门”被不法分子找到,将会造成不可预料的后果。
2.3黑客造成的威胁
办公网络信息安全遭受黑客攻击的案例数不胜数,这些黑客利用各种计算机工具,对自己所掌握的系统和网络缺陷下手,从而盗取、窃听重要信息,或者攻击系统中的重要信息,甚至篡改办公网络中的部分信息,而造成办公网络瘫痪,给企业造成严重的损失。
2.4计算机病毒造成的威胁
计算机病毒会以极快的速度蔓延,而且波及的范围也非常广,一旦爆发计算机病毒将会造成不可估计的损失。计算机病毒无影无形,以依附于其他程序的形式存在,随着程序的运行进一步侵入系统,并迅速扩散。一旦办公网络被病毒入侵,会降低工作效率,甚至导致系统死机,数据丢失等严重情况的发生。
3如何加强办公网络中的网络安全
3.1数据加密
数据加密技术指的是通过加密钥匙和加密函数转化,将信息处理成为无意义的密文。而接收方再通过解密钥匙和解密函数,将密文还原成为明文。加密技术是网络安全技术的基石。加密的原理就是改变数据的表现形式,而目的就是确保密文只能被特定的人所解读。一个加密网络,不仅可以实现对非授权用户的搭线窃听和入网的阻拦,而且还能有效的防止恶意软件的入侵。一般的数据加密可以在通信的三个层次来实现,分别是链路加密、节点加密和端到端加密。
3.2建立网络管理平台
现阶段,随着网络系统的不断扩大,越来越多的技术也应用到网络安全当中,常见的技术主要有防火墙、入侵检测、防病毒软件等。但不足的就是这些系统都处于独立地工作状态,要保证网络安全以及网络资源能够被充分利用,应当为其提供一个经济安全、可靠高效、功能完善的网络管理平台来实现对这些网络安全设备的综合管理,使其能够充分发挥应有的功能。
3.3设置防火墙
信息安全的内涵随着信息技术的不断发展而得到了扩展,从原始的保密性逐渐增加了完整性、可控性及可用性等,最终形成的集攻击、防范、检测与控制、管理、评估等与一体的理论体系。传统的信息安全技术将注意力都集中在计算机系统本身的安全方面,针对单机系统环境而进行设置,不能够对计算机网络环境安全进行良好的描述,也缺乏有效应对动态安全问题的措施。随着计算机网络的不断发展与推广,互联网逐渐具备了动态变化性,而传统的静态安全模式已经不能够满足其安全要求了。在这种背景之下,信息安全体系结构的出现更好地满足了计算机网络的安全需求,因此得到了迅速的发展与推广。信息安全体系结构的思路为:通过不同安全防护因素的相互结合实现比单一防护更加有效的综合型防护屏障,这种安全防护体系结构能够更好地降低黑客对计算机网络的入侵与破坏,确保计算机网络安全。
计算机网络的信息安全体系结构的主要作用就是为信息保障、数据传递奠定坚实的基础。随着计算机网络所面临的风险与压力的不断增大,为了能够更好地确保信息安全,必须注重计算机网信息安全体系结构完整性、实用性的提高。在科技的不断发展与进步的基础之上,提出了计算机网络信息安全体系结构——WPDRRC结构,不同的字母代表不同的环节,主要包括warnin(g预警)、protect(保护)、detectio(n检测)、respons(e响应)、restor(e恢复)、counterattac(k反击)六个方面,各个环节之间由于时间关系而具有动态反馈的关系。在计算机网络的信息安全体系结构中,预警模块、保护模块与检测模块都是以预防性为主的,通过保护与检测行为对黑客入侵计算机进行较为有效的制止。当前,虽然计算机网络信息安全技术已经比较先进,但是由于计算机网络所具有的开放性,其安全性依旧是面临一定威胁的。因此,在计算机网络的信息安全体系结构中,响应模块、恢复模块与反击模块主要的作用是解决实质性的工作,对已经出现的各种安全问题进行有效地解决,确保计算机网络信息安全。
1.1warnin(g预警)整个计算机网络的信息安全体系结构中,预警模块是最为根本的所在,主要的作用是对计算机网络的信息安全进行诊断,该诊断具有预防性。同时,预警结构通过研究计算机网络的性能,提出具有科学性与合理性的评估报告。
1.2protect(保护)保护结构主要的作用是对计算机的信息安全系统提供保护,确保计算机网络在使用过程中的安全性,有效地封锁、控制外界对计算机网络的入侵及攻击行为。保护结构能够对计算机网络进行安全设置,实现对计算机网络的检查与保护,其检查与保护工作的重点内容就是网络总存在的各种可能被攻击的点或者是存在的漏洞,通过这些方式为信息数据在计算机网络中的安全、通畅应用提供条件。
1.3detectio(n检测)计算机网络的信息安全体系结构中的检查结构主要的作用是对计算机受到的各种攻击行为进行及时、准确的发觉。在整个信息安全体系结构中,检测结构具有隐蔽性,主要的目的是防止黑客发现并恶意修改信息安全体系结构中的检测模块,确保检测模块能够持续为计算机网络提供保护,同时还能够促进检测模块自身保护能力的提高。检测模块一般情况下需要与保护模块进行配合应用,从而促进计算机网络保护能力与检测能力的提高。
1.4respons(e响应)当计算机网络信息安全体系结构中出现入侵行为之后,需要及时通过冻结措施对计算机网络进行冻结,从而防止黑客的入侵行为进一个侵入到计算机网络中。同时,要通过相应的响应模块对入侵进行响应。例如,计算机网络信息安全体系结构中可以通过阻断响应系统技术实现对入侵及时、准确的响应,杜绝黑客对计算机网络更加深入的入侵行为。
1.5restor(e恢复)计算机网络信息安全体系结构中的恢复模块主要的作用是在计算机网络遭受到黑客的攻击与入侵之后,对已经损坏的信息数据等进行及时的恢复。在对其进行恢复的过程中,主要的原理为事先对计算机网络中的信息文件与数据资源进行备份工作,当其受到攻击与入侵之后通过自动恢复功能对其进行修复。
1.6counterattac(k反击)计算机网络信息安全体系结构中的反击模块具有较高的性能,主要的作用为通过标记跟踪功能对黑客的入侵与攻击进行跟踪与标记,之后对其进行反击。反击模块首先针对黑客的入侵行为进行跟踪与标记,在此基础上利用侦查系统对黑客入侵的方式、途径及黑客的地址等进行解析,保留黑客对计算机网络进行入侵的证据。与此同时,反击模块会采用一定的反击措施,对黑客的再次攻击进行有效的防范。
2计算机网络信息安全体系结构的防护分析
当前,在对计算机网络信息安全体系结构进行防护的过程中,较为常用的就是WPDRRC结构,其主要的流程包括攻击前防护、攻击中防护与攻击后防护三个方面。
2.1信息安全体系结构被攻击前防护工作在整个的计算机网络中,不同的文件有着不同的使用频率,而那些使用频率越高的文件就越容易受到黑客的攻击。因此,信息安全体系结构的被攻击前防护工作的主要内容就是对这些比较容易受到黑客攻击的文件进行保护,主要的保护方式包括防火墙、网络访问控制等。通过WPDRRC结构对其中存在的威胁因素进行明确,有针对性地进行解决措施的完善。
2.2信息安全体系结构被攻击中防护工作当计算机网络受到攻击之后,信息安全体系结构的主要防护工作为阻止正在进行中的攻击行为。WPDRRC结构能够通过对计算机网络系统文件的综合分析对正在进行中的攻击行为进行风险,同时能够对计算机网络中各个细节存在的变动进行感知,最终对黑客的攻击行为进行有效的制止。
2.3信息安全体系结构被攻击后防护工作当计算机网络受到攻击之后,信息安全体系结构主要的防护工作内容为对计算机网络中出现的破坏进行修复,为计算机网络的政策运行提供基础。同时,恢复到对计算机网络信息安全的保护中。
3计算机网络信息安全体系结构中加入人为因素
IT领域中都是以技术人员为主体来对产业雏形进行构建的,因此在IT领域中往往存在着及其重视技术的现象,主要的表现为以功能单纯而追求纵向性能的产品为代表,产品的覆盖范围限制在技术体系部分,缺乏对组织体系、管理体系等其他重要组成部分的重视。因此,只有在计算机网络信息安全体系结构中加入人为因素才具有现实意义。在计算机网络信息安全体系结构的构建过程中,应该注重以组织体系为本,以技术体系为支撑,以管理系统为保证,实现三者之间的均衡,从而真正发挥计算机网络信息安全体系结构的重要作用。
4总结
信息人才教育培养途径
1.学历教育
加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。
2.安全竞赛
信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。
3.单位内训
高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。
4.持续教育
信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。
信息安全人才教育培养所需条件
信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。
1.体系化教材
体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。
2.专业化师资
信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。
3.系统化实践
网络空间安全是一门综合性学科,不仅具有很强的理论性,同时也具有很强的实践性,许多安全技术与手段需要在最新的仿真实践环境中去认识和体会。提高学生维护网络安全的实际能力,需要结合课程设计逼真的网络攻防环境,搭建基于网络对抗的仿真模拟演练平台,进行系统化实践才能为社会提供具有丰富的理论知识和良好的实践技能的应用型人才。
1.1客观因素
1.1.1计算机网络的资源共享。资源共享是计算机网络的一大优点,同时资源共享也是人们所偏爱的功能。网络不受国界和语言的限制。不论你身在何方,只要在你的身边有计算机网络的存在,就可以随时进行信息传输和交流。因此,资源共享也会给系统的安全性带来巨大的挑战,网络入侵者可以利用数据在网上传播的过程中通过计算机监听网络,同时获取相应的数据,破坏网络上的资源共享。
1.1.2计算机网络的安全漏洞。计算机网络由于受到各种因素的制约,在这个过程中存在着多种系统安全漏洞,各种安全问题和严重事故是由计算机本身存在的各种技术缺陷导致的。这些漏洞和缺陷经常在时间推移的过程中被用户忽视,从而构成了系统安全的潜在威胁。
1.1.3计算机网络的设计缺陷。拓扑结构和硬件设备的选用等是计算机网络设计的重要内容。由于设计人员在设计过程中没有实现最优配置,这个原因就使系统存在设计不规范、可扩充不强、安全性缺乏和稳定性差等方面的问题。设计不规范、可扩充不强、安全性缺乏和稳定性差等方面的问题是影响网络系统的设备、协议和OS等的主要因素,这些因素也会给网络信息带来一定的安全隐患。
1.1.4计算机网络的开放性。任何用户在网络上能够方便地访问Internet资源,同时可以查找和下载对自己有用的信息。同时,网络信息在通信过程中遇到的各种威胁会使其线变得非常脆弱。如:TCP/IP为全球信息的共享提供了途径和方法,TCP/IP的安全漏洞严重影响了计算机网络的安全性;FTP和E-mail是信息通信的常用工具,FTP和E-mail也存在很多潜在的安全漏洞。
1.1.5计算机网络的威胁。(1)计算机网络的无意威胁通常是指无预谋地破坏网络系统安全和破坏网络资源的信息完整性。计算机网络的无意威胁主要是指网络威胁的偶然因素。如:垃圾数据是由突发性的软件和硬件设备的功能出错而产生的,这些垃圾数据会造成网络受阻,更有甚者会导致无法正常通信的情况;主机重复发出具有攻击性的Server请求是由人为错误操作导致的软件和硬件设备损坏会导致的。(2)计算机网络的有意威胁。计算机网络的有意威胁实际上包括人为威胁和人为攻击。通常情况下,计算机网络的有意威胁主要是由网络的脆弱性造成的。计算机网络的有意威胁主要包括以下几方面:电子窃听;非法入网;工商业间谍;军事情报员;由于盗窃等原因使得网络硬件破坏也会给网络造成威胁。
1.2主观因素
1.2.1计算机网络缺乏安全措施。网络终端的管理人员在配置防火墙的过程中由于不按规定操作,在这个过程中有意或无意地扩大了网络资源被访问的便利性,网络终端的管理人员为了使网络资源在方便自己使用的过程中却忽视了网络的入侵性,导致了安全措施的缺乏,安全措施缺乏就导致了网络信息安全问题的存在和发生。
1.2.2计算机网络的配置错误。计算机网络的配置有很多特点,复杂性是计算机网络的配置的主要特点,由于计算机网络配置的复杂性的特点就使得计算机网络在访问控制的过程中会出现配置失误和漏洞等问题,计算机网络的配置错误会给非法操作者提供进入的有利时机。
1.2.3管理人员渎职。由于网络化时代的出现和快速发展,网络化在发展的过程中由于缺乏健全和完善的网络管理制度,很多管理人员由于缺乏网络管理的正确的思想意识,因此,管理人员在进行管理和维护过程中,管理人员渎职的情况经常发生。
1.2.4电磁泄漏。内部信息在管理的过程中出现的数据库泄密是由于信息数据的传输中的屏蔽不佳而造成的电磁辐射而引起的,电磁泄漏是造成计算机网络安全的一个重要因素。
2计算机网络信息安全的防护措施
2.1物理安全防护措施物理安全防护措施的众多的目的中,有效保护和维护计算机的网络链路是物理安全防护措施的主要目的,从而使计算机网络能避免自然因素和人为因素的破坏。物理安全防护措施主要是为了验证用户身份和进入权限,通过物理安全防护措施强化网络的安全管理,从而可以有效地确保网络安全。
2.2加强安全意识物质决定意识,意识是客观事物在人脑中的反映,正确的意识促进客观事物的发展,错误的思想意识阻碍客观事物的发展。因此,在计算机网络的维护中,要树立正确的思想意识,克服错误的思想意识,从而,促进计算机网络又好又快地发展。
2.3加密保护措施加密技术的出现有利于确保计算机网络的安全运行,加密技术有利于保障全球EC的高速发展,并且加密技术也有利于保护网络数据的安全性。加密算法可以使信息在整个加密过程中实现其安全性和正确性。加密保护措施中常用的方法有两种,一种是对称加密算法,另一种是非对称加密算法。通过安全加密措施,能够以极小的代价获得强大的安全保障措施。
2.4防火墙措施防火墙在计算机网络中是一种安全屏障,这种安全屏障通常在保护网和外界间之间使用,防火墙措施有利于实现网络间的控制与访问的目的,通过鉴别以及各种限制措施可以防止外网用户非法进入和访问内部资源,通过鉴别以及各种限制,保护内网设备。防火墙措施是保障计算机网络安全的一项重要措施。
2.5网络安全措施我们通常所说的网络安全措施是指对有关安全问题采取的方针和对安全使用以及网络安全保护的一系列要求。网络安全措施主要包括保障网络安全的整个过程中所运用的安全技术、运用的安全防范技术和措施以及采取的管理措施以及管理方针。
3结语
1.1电力信息网络安全的相关理论
随着社会的不断进步发展,我国的电力企业在新的阶段取得了瞩目的成就,国家的有关部门以及各级的电力企业对电力信息网络安全问题有着很高的重视度,故此在2002年国家经贸委制定了相关的电网和电厂计算机监控系统及调度数据网络安全防护规定。次年,将国家电力信息网络安全运行归入到电力安全生产的管理范畴,并将其纳入电力安全生产的体系。在网络的安全技术措施方面,电力信息部门在国家信息安全防护框架下,在2002年开始了电力系统信息安全示范工程,针对电力信息网络安全系统的建设已经是近些年的电力企业信息网络化建设的重点内容,诸多的电力企业在网络身份认证以及防病毒、攻击方面得到了加强,各电力单位也有了不同等级以及种类的信息网络安全体系。
1.2电力信息网络安全当前面临的风险分析
在电力信息网络安全所面临的安全风险可分为网络设备风险以及网络中信息风险两个层面。在电力信息网络安全并非是单点安全,它所指的是在整个电力企业的信息网络整体安全,这就涵盖着管理以及技术两方面。在电力信息网络安全的物理安全风险方面主要就是信息网络服务系统中的设备以及服务器和用户端计算机等这些设备,在物理安全风险方面主要有火灾以及雷电等,这些风险会使得电力信息网络突然中断或者系统发生瘫痪等。在网络安全风险方面主要有电力实时系统安全风险以及网络体系结构安全风险和网络通信协议安全风险。在电力信息网络安全系统的安全风险主要就是操作系统安全风险和数据库安全风险以及病毒危害风险、黑客入侵风险。应用安全风险方面就是身份认证和授权控制安全风险,信息传输完整性风险,信息传输机密性以及不可抵赖性风险。在管理上的安全风险主要就是责权不明以及管理的混乱,安全管理制度的不完善和操作性不强,网络管理员自身方面存在的问题以及缺乏对网络可控性和可审查性。
2当前我国电力信息网络安全现状及应对策略探究
2.1当前我国电力信息网络安全现状分析
从当前我国的电力信息网络安全现状情况来看,还存在着诸多的问题有待进一步的解决,首先就是电力企业的员工在信息网络安全意识方面还有待加强,最为突出的就是用户的安全意识有待加强,系统登陆口令比较的简单,有的甚至是将账号以及密码借给他人使用,对电力信息资源的共享以及管理不理性,这些方面对信息网络安全都有着比较大的威胁。另外,就是电力企业员工多网络长时间的占用,从而大量的消耗了网络资源,从而给电力信息网络安全的通信增加了负担,这对电力系统内部的网络通信效率有了很大的影响,有的由于对网页的浏览以及使用了优盘致使一些网络病毒在信息网络中大肆的传播,从而给电力信息网络安全带来了很大的威胁。再者就是缺乏统一的信息安全管理的规范,由于种种因素使得电力信息网络安全的管理规范还没有得到统一完善的建立。还有就是在和电力行业特点相适应的信息网络安全体系方面的建设还没有完善,在电力系统当中的信息网络已经渗透到了诸多的领域,在管理以及经营和生产等方面的应用已经是愈来愈多,但实际的安全技术和策略等应对措施比较的缺乏。还有就是信息网络硬件系统不牢固,这是比较普遍的问题,虽然互联网的硬件系统已经在安全性和稳定性方面都具备,但依然在一些方面还存在着脆弱性,硬件故障对信息的传输会造成不安全的威胁以及信息失真。
2.2针对我国电力信息网络安全现状的应对策略
在对电力信息网络安全的相关问题采取防范措施时,要能够从实际出发,首先要对电力企业人员在信息安全网络的意识上得到加强,对员工在信息网络的安全教育和培训方面进行强化,要能够让电力企业的员工通过教育培训对电力信息网络安全的重要性有充分的认识,要能够对相关的要求规定严格的遵守。另外,就是要创建电力信息网络安全体系的防护骨架,要能够将其和电力工业特色、企业电脑信息技术的实际得到有机的结合,从而来创建电力新提案权体系的防护骨架,还要能够根据信息业务的功能,把电力信息系统分成不同的层面,也就是信息网络安全自动化系统以及生产管理系统和电力信息管理系统,这样能够循序渐进有规律的对实际问题加以解决。再者就是对安全管理的强化,首先在网络的设备安全管理方面,网络设备的安全管理要能够将分区防御以及双网双机得以实现,进而再建立多层防御以及登记防御的体系,对信息网络的数据要做好检测和控制工作,并要能够对网络的访问加以严格控制,要进行实施入侵防护措施,在网络的访问权限进行设置。对网络的性能要进行及时的检测,从而使得网络的安全运行得以保证,在电力信息的传输过程中要进行加密处理,要保证信息的保密性,针对敏感性的数据信息要设置复杂的保密方式,防止非法的侦听和盗取信息数据。另外还可以通过防火墙的隔离措施进行对非法网络入侵问题进行防范,安装入侵检测系统以及服务器核心防护系统,对网络的安全性进行实时的监控,这样能够使得电力企业信息网络安全事故得以较低。为能够有效的将电力企业的生产控制区安全得以保障,通过在生产控制区以及外部网络汇接点上架设网络隔离设备,能够将生产控制区的安全得以有效的保障,网络隔离设备能够在不影响电力系统的状况下,把生产控制系统的数据单向发到与之相连的MIS网络或者是其它的业务系统当中,能够将一些网络入侵以及病毒的攻击等得以有效的隔离,这样就对电力企业的生产控制系统的安全运营有了保障。最后在信道安全方面进行采取相关的手段也能够对电力信息网络的安全起到保护作用,在跨广域网的安全措施方面可通过MPLSVPN将多种业务进行隔离,这样能够保证各种业务间的安全性和独立性,为能够使得各电力部门的网络正常的运行,将MPLS进行引入是最佳的解决方案,这样能够实现电力调度等生产控制业务在跨广域网时的安全防护。
3结语
对于企业信息通信网络环境来说,容易出现问题是用户。很多企业用户,包括高级管理人员以及其他具有访问特权的人,每天都在网络中进行各种行为,没有安全意识中进行一些违规操作,从而企业网络安全出行问题。对此,最佳的防范措施应该是开展安全知识培训,规范用户行为,提高安全意识。
1.1网络用户的行为管理需要规范。
网络行为的根本出发点,不仅仅是对设备进行保护,也不是对数据进行监控防范,而是规范企业员工在网络中的各种行为,也就是对人的管理。规范企业员工的网络行为需要通过技术设备和规章制度的结合来进行。网络中用户的各种不规范行为主要包括:正常使用互联网时访问到被人为恶意控制的网站或者网页。这些被控制的网站被黑客植入后门,方便攻击者窃取企业的各类内部数据或者控制其连接互联网的服务器。
1.2网络用户的安全意识需要加强。
各种安全设备的建立和安全技术的应用只是企业信息通信网络安全防护的一部分,关键是加强企业网络用户的安全意识,贯彻落实企业的安全制度。企业只依靠技术不可能完全解决自身的安全防护,因为技术在不断发展,设备在不断更新,黑客技术也在发展和更新。所以企业管理人员必须有安全意识,重视自己企业的安全措施。加强对员工的安全培训,使得全体人员提高安全意识,从根本杜绝安全隐患。
2企业信息通信网络的安全防护
信息通信网络安全防护工作,主要包括几个方面:安全组织、安全技术、安全运行体系。
2.1安全组织体系的构架
信息通信网络安全组织建设方面,需要建立决策、管理、协作三级组织架构,明确各层组织的职责分工和职能,对应合理的岗位,配备相应的人员,同时根据企业信息通信网络实际情况,建立起垂直和水平的沟通、协调机制。企业中有具体的人和组织来承担安全工作,即成立专业的信息通信网络安全部门,设置不同的岗位,明确对应的职责,并且赋予部门相应的权力和信任;安全部门组织专业人员制订出安全策略来指导和规范安全工作的开展,明确哪些可以做,哪些不能做,哪些如何做,做到何种程度等等。另外需要创造合理的外部环境来推动安全部门的工作,建立起一套快速有效的沟通协调机制,确保安全工作的高效推动。
2.2安全技术的应用
有了安全组织制订的安全目标和安全策略后,需要选择合适的安全技术来满足安全目标;这里主要分为信息通信网络系统的整体防护和个人终端的防护。
2.2.1信息通信网络系统的安全防护。
系统自身漏洞而导致的安全风险,经常是因为信息通信网络应用本身的漏洞使得网站被病毒入侵或者被植入控制程序,导致企业丢失数据。因此需要建立以下防范措施:(1)部署网络应用防火墙和网络应用安全扫描器,重要的网络应用通过各种安全认证或者许可才能进行使用,同时保证验证程序本身的安全性。(2)时刻对系统进行更新,对应用程序和系统软件进行补丁安装和升级。对于客户端漏洞有以下几种防范措施:(1)系统管理员要通过相应的认证软件拦截限制用户访问一些具有安全威胁的网页;(2)系统管理员要通过相关方案防止用户访问含有攻击和恶意软件的网站;(3)系统管理员要禁止用户从网上下载任何媒体播放文件;(4)系统管理员要通过部署相关软件禁止外网访问企业的邮件服务器;(5)禁止系统管理员在企业内部服务器上使用网页浏览器、电子邮件客户端、媒体播放器以及办公软件。从技术层面上而言,安全问题无处不在,单一的防火墙、防病毒软件、区域防御系统已经不能满足企业网的需要,为了应对网络中存在的多元、多层次的安全威胁,必须首先构建一个完备的安全体系,在体系架构下层层设防、步步为营,才能够将安全问题各个击破,实现全网安全。安全体系架构:由以太网交换机、路由器、防火墙、流量控制与行为审计系统、接入认证与强制管理平台等多种网络设备做技术支撑。从可信终端准入、资产管理、访问控制、入侵防御、远程访问、行为审计、全局安全管理等多方面,构成完善的防护体系,从而实现“可信、可控、可取证”的全网安全。其中以太网交换机、路由器、防火墙、流量控制与行为审计系统作为部署在网络各个层面的组件,接入认证与强制管理平台作为全网调度和策略分发的决策核心,通过安全联动,从内外两个安全域,三个维度构建自适应的安全体系。
2.2.2信息通信网络中个人应用的安全防护。
为了更好地加强企业信息通信网络安全,必须规范用户自己的安全行为,加强个人安全意识,建立自己的计算机安全系统,这就需要企业每个员工做到以下几方面的安全措施:(1)修改计算机管理员账户,为系统管理员和备份操作员创建特殊账户。用户要禁止所有具有管理员和备份特权的账户浏览Web,严禁设置缺省的Guest账户;(2)限制远程管理员访问NT平台;(3)在域控制器上,修改注册表设置;(4)严格限制域中Windows工作站上的管理员特权,严禁使用缺省值;(5)对于注册表严格限制,只能进行本地注册,不能远程访问;(6)限制打印操作员权限的人数;(7)合理配置FTP,确保服务器必须验证所有FTP申请。在确定了安全组织和安全技术后,必须通过规范的运作过程来实施安全工作,将安全组织和安全技术有机地结合起来,形成一个相互推动、相互联系地整体安全运行体系,最终实现企业信息通信网络的安全防护。
3结束语