信息安全服务范文

时间:2023-01-12 16:53:43

引言:寻求写作上的突破?我们特意为您精选了12篇信息安全服务范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。

信息安全服务

篇1

信息安全服务因为涉及用户信息化建设和管理制度的多个方面,显得更加复杂。“现在,信息安全、软件、网络,往往被企业分成三个包,在信息化建设招标中被分包给不同的企业,独立的市场需求使得这个产业很快成熟起来。”申龙哲这样说,“信息安全市场的快速成长速度也曾给产业带来了困惑,许多安全产品厂商还延用着以自身产品为中心,为用户提品、方案设计、系统集成、后期服务等多种信息安全服务的传统做法。但如今规模较大安全需求较高的用户进行信息安全建设时,通常要考虑多个安全平台的建设和协同,涉及多种产品和技术手段,关系到厂商、用户、主管单位和制度建设等多个方面,必须要有一个理论扎实、经验丰富,能站在更高的高度上统筹全局的安全服务提供商,来对项目的咨询、设计、选型、实施、服务等多个环节提供全面支撑。”

产业链亟待成熟

“目前安全服务市场包括两类企业,一类是安全产品厂商,另一类是信息安全的集成服务商。”申龙哲说,“信息安全集成服务市场还处在培育期,产业链需要成熟、明晰分工。比如说某些安全产品厂商也在将自己的安全集成服务业务剥离出来,在大型综合性项目里信息安全产品厂商和信息安全集成服务商为了实现更好的实施效果,也开始尝试进行全面的合作,这都是大趋势。”

按照公司整体战略的愿景,太极信息安全事业部提出了做“可信赖的信息安全服务专家”的发展目标,谈到太极的竞争优势,申龙哲成竹在胸。

首先,太极公司具有深厚的技术积累和人才储备。太极公司与华北计算技术研究所,从“八五”期间即开始从事与信息安全相关领域的研究和产品开发工作。华北计算技术研究所强大的研发实力和成熟产品与太极公司丰富的行业服务经验相结合,形成了太极公司强化网络安全集成方案的独特优势。

其次,太极非常注重在提供各类应用服务的过程中采用成熟的安全产品及技术,从中积累了大量系统集成服务的经验,结合太极近20年的行业服务经验,太极在提供任何网络系统集成服务方案时,都将实用、安全放在第一位,为用户“量体裁衣”制订个性化方案,这无疑是最符合用户需求的。

第三,太极一直强调以用户为导向进行开发。例如,太极公司在建设网络安全平台时一直坚持“博采众长”的原则。这使公司在挑选系统集成方案过程中,不带任何倾向性,始终坚持最优化的选择,坚持服务用户的思路,为用户搭建出性能最佳的安全平台。

第四,太极一直把“值得信赖”作为打造太极品牌的关键因素,公司成立20年来,积累了一大批核心用户,我们是与用户共同成长的。

申龙哲说:“在政府行业太极已经是信息安全集成服务的绝对领先者,但是我们更希望更多有实力的企业参与到竞争当中来,把市场做大、做规范。去年公司年终总结大会上我曾说:‘信息安全,希望与挑战并存。’希望我们的事业伴随信息安全市场的发展,在希望中不断成长。”

太极信息安全成功案例

•北京市建委网络安全运维服务项目(北京市建委)

•国家发展改革委计算机网络改扩建安全设备及软件采购与系统集成工程

•国家棉花市场监测系统安全系统建设项目

•外经贸专用网CA容灾备份项目网络安全项目

•国家工商行政管理总局网络与信息安全建设项目-基本防护系统建设及安全维护服务合同书

•北京市监察局纪检监察专网系统改造工程项目

•外交部“某系统”防病毒、内网安全软件及IPS设备采购项目

•外交部“某系统”网络交换机采购项目

•某网络安全防范系统建设

篇2

远望电子是浙江省信息安全标准化技术委员会委员、公安部《公安综合信息安全管理平台技术规范》主要起草单位,同时还是浙江省治安监控网络综合保障系统行业标准》、工业和信息化部《信息安全技术政府部门信息安全管理指南》(国家标准),及全国信息安全标准化委员会《信息系统安全管理平台产品技术要求和测试评价方法》(国家标准)参与起草单位。

远望电子本着诚信为本的经营理念,连续多年均被评为AAA级信用等级单位。

远望电子与公安部第一研究所、公安部安全与警用电子产品检测中心、西北工业大学、杭州电子科技大学等科研院所建立了长期友好合作关系,从而提升了公司的软件研发、人力资源开发、人才培养和储备能力。

远望电子自主研发的信息与网络安全管理平台及监管系统等在国内二十余个省市的公安、法院、政府、保密等领域及大型企事业单位得到了广泛应用。近年来,远望电子开发的信息与网络安全平台已在浙江省公安厅及所属116个单位全面部署应用。浙江省公安厅借助该平台建立了较完善的信息安全综合保障体系,连续五年在全国公安信息安全综合评比中名列第一。

远望信息与网络安全管理平台及监管系统,融业务管理(规范、组织、培训、服务)、工作流程、应急响应(预警、查处、通报、报告)和安全技术应用(监测、发现、处置)为一体,集成了各类信息安全监管、分析技术,实现了对网络边界安全、保密安全、网站安全、主机基础安全,以及各类威胁信息安全的违规行为、资源占用行为等的有效监测、处置和管理。

产品同时结合工作流技术,实现了监测、警示、处置、反馈、考核五位一体安全管理工作模式,建立起长效的信息安全管理工作机制,并将其日常化、常态化,实现了信息安全管理工作的信息化、网络化。

远望信息与网络安全产品被列入“2010年度全国公安信息系统安全大检查”指定检查工具,并获得公安部2011年科学技术奖。

远望信息与网络安全管理平台及监管系统针对安全风险产生的根源,对网络中的安全事件和安全风险进行全程全网监测、管控,在技术的层面上突破了网络边界的定位、信息的准确鉴别、网站的定位,以及应用分析和监管等难题。

篇3

在信息发达的现代社会,“云服务”带给我们非常好的数据存储平台。我们可以将自己的信息放到云端,以便于随时随地的应用。将云服务的主要特征划分为以下几个方面:一,方便快捷。“云服务”的普及,使得使用者具有了一个内存大且不易丢失的存储工具,人们只要将数据信息传到上面,就可以放心的查看,使用,大大的节省了时间,给人们的生活带来便捷。二,高性能,高可靠性。“云服务”的各个单元相互独立,不会互相影响,它们有各自的软件及硬件资源,提供了高性能的服务。同时,在云端,提供各种数据的存储以及备份,还可以在工作失误的情况下,提供恢复的服务,大大的提高了使用的可靠性。三,隐私问题的保护和安全性有待提高。每件事情都有两面性,“云服务”也有。如何保证用户的数据不被非法的查看、盗窃、修改,是现在技术方面要着重考虑的问题。

2“云服务”信息安全隐患产生原因

2.1前期开发阶段安全性不高

软件在开发过程中,设计者没有考虑到来自互联网方面的各种危害,没有对软件本身的安全度加固。还有就是监管不到位,使用者没有注意到软件的防护与定期监管,就会使得各种恶意软件有了入侵的机会。

2.2使用者安全意识淡薄

使用者在注册登录的时候设置的密码过于简单,大大的降低了安全度。此外,没有做好安全加固和内部访问设限等都是潜在的安全隐患。

2.3黑客对信息的窃取

因为“云服务”的大范围使用,用户会将很多重要信息传到云端,这样就吸引大部分的竞争者。他们想要窃取并修改对方的信息,以造成对方的巨大损失,这样就产生了很多侵入别人信息内部的黑客。黑客是“云服务”信息安全的重大隐患。

2.4相关使用法律不规范

“云服务”的相关法律法规存在不规范之处,其对于使用者缺乏有效的监管与约束,从而造成了大量的使用者肆意妄为的现象频频发生。

3大数据时代“云服务”信息安全保护的重要性

因为“云服务”使用的范围广泛,大到国家,军队的相关信息,小到企业,个人的相关信息都与“云服务”密切相关。一个信息的泄露有可能影响到全局的发展,所以提高安全性是必要的。信息是一种资源,而信息安全主要包括信息的完整性、可用性、保密性和可靠性。完整性是指确保信息完整,不能丢失。当用户将数据传输到云端,要确保数据永久存在,这样才可以让广大的使用者产生信任,吸引更多的使用者。可用性是指数据传输成功后,当用户再次使用,应确保数据仍旧可以被使用。保密性是指信息不能被泄露和修改。最后一个可靠性是指这个平台无论是本身存储方面,还是后期的管理方面,都要确保万无一失。这样才能使“云服务”更加广泛、放心地被使用。

4“云服务”信息安全保护措施

4.1加强技术保护

技术能力的提高是信息安全保护的直接方式。在网络普及的现代,侵权者的手段在不断的提高,过去保护的方法已经被破解,为了信息的安全存储,技术方面的提高迫在眉睫。在各方面迅速发展的情况下,研究新型的技术,培养高技术人才是网络信息安全保护的重大任务。4.2加强监管能力这里的监管包括软件自身的监管,行政监管和本身使用规范的监管三方面。软件自身的监管就是要增强软件自身防恶意侵袭和对软件时刻监管的能力,只有这个能力增强了,软件自身的可靠性也就大大的提高了。行政监管就是网络安全部门要制定相关的制度,必须明确使用者权限以及越权的相关惩罚。本身使用的监管就是使用者本身要有自我约束能力。

4.3增强加密系统

设置加密系统,首先要设定用户权限。具体表现为;为不同用户设置不同的使用权限,当非本人操作时,就会发出报警和自动加锁。其次要对数据进行加密,当用户申请访问数据时,就会有相应的解密,如果解密成功,就可以访问。反之,就会发出报警。当然,针对时间长久遗忘了相关加密信息的使用者,也应该有相关的验证,然后重新获取。

4.4增加相关保护法则

近年来,国家越来越致力于大数据的应用,那么越来越多的重要信息被传入到“云服务”。这些数据都是至关重要的,应该添加重要的法则加以约束。

5结语

大数据和“云服务”的时代已经到来,各行各业得到了迅速的发展,这给我们带来众多益处的同时也带来了更多的机遇和挑战。我们应该积极的面对,不断地发展,提高使用的安全性,让使用者更加放心的使用,让时代快速发展。

篇4

XP停止服务的决定,将会给中国的信息安全带来巨大的影响。微软停止XP服务意味着它将不再对XP的安全问题负责,它将不再XP的漏洞和补丁,这显然会让XP用户面临很大的安全风险。看来,微软此举是希望XP用户在这种压力下能升级到“Windows 8”。

在中国的PC用户中,XP的市场份额占73.5%,即XP在用量约为2亿台,其中84.2%用户没有升级到“Windows 8”的计划。也就是说,绝大多数中国XP的用户都希望继续使用XP,微软的决定不符合他们的愿望。由于微软此举涉及的电脑数量巨大,因此是一个重大的信息安全事件,需要认真应对。

中国将要为此付出巨大的成本。应对这一事件需要作长期打算,不仅是为了减轻近期风险,而且还要大大增强长期的信息安全,为此进行投入、付出代价都是值得的。

现实情况是,中国在智能终端操作系统上完全受制于人。所谓智能终端,指的是各种信息终端,随着云计算的兴起,这些就是各种接受云服务的终端,包括桌面PC、智能手机、平板电脑、智能电视等家用智能终端、可穿戴设备、车载设备等等。这类智能终端使用的操作系统具有高度的垄断性,现在全世界基本上只有三家――苹果、谷歌和微软的系统。中国尽管是世界上智能终端的最大制造国,可是我们制造的所有智能终端都是用的这三家系统,这种局面不改变,不仅我们智能终端制造业的利润和发展受到制约,而且所有终端都运行外国操作系统,从大数据的角度看,我国用户的数据都被人所掌握,信息安全没有保障。由此可见,解决这个问题是刻不容缓的。

积极构建信息安全环境

过去我们在信息安全方面的许多措施,例如在信息系统设置防火墙、进行漏洞扫描,安装杀毒、杀木马软件等等,不一定真正解决问题。例如2008年微软对其认为是使用盗版软件的用户电脑实行“黑屏”,当时有人问:我的电脑装了杀毒软件,为什么防不了“黑屏”?这是因为操作系统是最基础的软件,是一切软件运行的平台,杀毒软件也在操作系统之上运行,也受它的控制,当然不可能干预操作系统,操作系统要电脑“黑屏”,其他软件是无法阻止的。

应当指出,信息系统的核心软硬件,尤其是操作系统和CPU芯片等与系统的安全关系极大,一些重要信息系统中,大量采用外国的操作系统和CPU等核心软硬件,存在极大的安全隐患,为了从根本上增强信息安全,今后我们要对这些系统中使用的核心软硬件以自主可控的国产软硬件进行替代,由替代XP所引发的操作系统国产化替代就是重要的环节。

在信息安全领域,我们应当针对在信息安全领域的那些受制于人的关键核心技术,包括上述的智能终端操作系统、CPU和网络架构等等,发展自主可控的国产技术和设备,推进若干国产化替代工程,以便达到自主可控的目标。当然,自主可控只是一个先决条件,在这基础上还要做到安全可信,最终使国家信息安全得到有力保障。

发展国产操作系统

据报道,我国版权局曾就微软停止XP服务一事与微软商议,希望微软能考虑用户的需求,延长支持,但微软并未响应。不论此事是否合理,要真正解决问题,停留在议论上是没有用的,必须立即采取果断措施,应对此事带来的安全风险。

那么,针对微软的决定,产业界等应该如何来应对呢?我认为,为长远着想,首先应防止“Windows 8”进入政府和重要行业。回顾2006年微软“Windows Vista”时,当时有关机构根据专家评估,确认其架构会使用户电脑被微软高度掌控。其结果是“Vista”未列入政府采购目录。现同类架构的“Windows 8”的安全风险远超过“Vista”,更不应被引入政府和重要行业,故不应将其列入政府采购目录。

同时,应在信息安全领域权威机构――中国国家信息安全漏洞库的支撑下,集中我国信息安全领域的力量协同攻关,采用自主创新的可信计算技术进行安全加固,在微软停止对“XP”支持后,推出有公信力的“安全云服务”,接管我国2亿台XP电脑用户的服务支撑。这样,可防止在微软中止支持XP后,继续使用XP的电脑出现严重安全事件。

中国“政产学研用”各界要共同努力,自主发展替代XP的国产操作系统及其生态环境。

篇5

秉承“卓越创新”的理念,公司获得多项技术专利并成功应用于政府、交通、通信、金融等领域。本着“多元协作”的价值观,公司与国内外众多IT厂商、科研院校广泛合作,分别与IBM、HP建立了“Linux联合实验室”和“IA-64J技术应用研发中心”,主动与各界分享信息安全领域的先进技术和成功经验。

公司获得的资质有:国家信息安全服务二级资质;涉及国家秘密的计算机信息系统集成甲级资质;ISO9001:2008质量管理体系认证、深圳市重点软件企业;计算机信息系统集成二级资质、商用密码产品定点生产与销售单位。

公司获得荣誉有:四川省科技进步二等奖、国家火炬计划项目证书、国家重点新产品证书、奥运政务网络和信息安全优秀服务企业、铁道科技奖励证书、知识产权优势企业、国家“863”立项支持单位。

篇6

云计算服务是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。基于云计算是一种提供信息技术服务的模式,积极推进云计算在政府部门的应用,获取和采用以社会化方式提供的云计算服务,将有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。但云计算还处于不断发展阶段,技术架构复杂,采用社会化的云计算服务,使用者的数据和业务从自己的数据中心转移到云服务商的平台中心,大量数据集中,使云计算面临新的安全风险。当政府部门采用云计算服务,尤其是社会化的云计算服务时,应特别关注信息安全问题。因此政府部门在采购云计算服务时,要做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更好云服务商的安全风险,做好在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全使用云计算服务。

 

1 云计算服务信息安全管理存在的风险

 

在传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。存在诸多潜在的风险。

 

(1)客户对数据和业务系统的控制能力减弱及与云服务商之间的责任难以界定。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力,增加了客户数据和业务的风险。缺乏数据安全的责任主体界定的问题。

 

(2)可能产生司法管辖及容易产生对云服务商的过度依赖问题。在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心,改变了数据和业务的司法管辖关系。由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,导致客户对云服务商过度依赖

 

(3)数据保护更加困难,所有权保障面临风险。云计算平台采用虚拟化等技术实现多客户共享计算,资源,随着复杂性的增加,实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。

 

2 云计算服务信息安全管理的要求

 

采用云计算服务期间,为了能够保障云计算服务的安全,需对客户和云服务商在信息安全管理方面提出要求。

 

2.1 安全责任及安全管理水平不变

 

信息安全管理责任不应随服务外包而转移,无论客户数据和业务是处于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。

 

2.2 资源的所有权及司法管辖关系不变

 

客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。

 

客户数据和业务的司法管辖权不应因采用云计算服务而改变。

 

2.3 坚持先审后用原则

 

云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。

 

3 云计算服务的信息安全技术能力的要求

 

云服务商在提供云计算服务时,要相应具备云计算服务的信息安全技术能力要求,以保障云计算环境中客户信息和业务的安全,具体要求如下。

 

3.1 系统开发与供应链安全及系统与通信保护

 

云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提供相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。

 

3.2 访问控制及配置管理

 

云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。云服务商应对云计算平台进行配置管理,设置和实现云计算平台中各类产品的安全配置参数。

 

3.3 维护及应急响应与灾备

 

云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。

 

3.4 审计及风险评估与持续监控

 

云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查。云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。

 

3.5 安全组织与人员及物理与环境保护

 

云服务商应确保能够接触客户信息或业务的各类人员上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查。云服务商应确保机房位于中国境内、机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求,云服务商应对机房进行监控。

 

4 结语

 

篇7

1 社区卫生服务中心信息安全背景

 

20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,特别是原卫生部《卫生信息化发展规划(2011~2015年)》之后,明确了卫生信息化是深化医药卫生体制改革的重要内容。那么作为整个卫生信息化体系的“网底”的社区卫生服务中心,其重要性不言而喻。随着卫生信息化的建设不断扩展和深入,依托于区域卫生信息中心的各类应用系统不断上线推广应用。网络与数据安全已逐步成为各项卫生信息工作开展的重要基础依托。因此社区卫生服务中心作为区域卫生信息中心的重要结点。信息安全管理就显得尤为重要。

 

2 什么是信息安全管理

 

“三分技术,七分管理”是信息安全保障工作中经常提到的。可见,信息安全管理是信息安全保障的至关重要的组成部分。信息安全管理(Information Security Management)指组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动。作为组织完成的管理体系中的一个重要环节,它构成了信息安全具有能动性的部分,是指导和控制组织相互协调完成关于信息安全风险的活动,其对象就是包括人员在内的各类信息相关资产。在社区卫生服务中心由于信息系统应用较为广泛,基本包含了医疗、护理、医技、行政等所有科室及其人员。

 

长期以来,社区卫生服务中心在信息安全建设方面,存在重技术轻管理、重产品功能轻安全管理、缺乏整体性信息安全体系考虑等各方面的问题。区域卫生信息中心采用集中管理的信息安全技术及产品的应用,一定程度上可以来解决社区卫生服务中心在网络传输时的信息安全问题。但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。近年来,由于管理不善、操作失误等原因导致的卫生信息及病患基本信息泄露的安全事件数量不断攀升,更加剧了社区卫生服务中心需要信息安全管理的迫切性。

 

3 社区卫生服务中心信息安全管理作用

 

社区卫生服务中心信息安全管理的作用体现任以下几个方面。

 

3.1信息安全管理是社区卫生服务中心组织整体管理的重要的、固有的组织部分,是组织实现中心业务目标的重要保障。在信息时代的今天,信息安全威胁已经成为社区卫生服务中心等医疗机构业务正常运营和持续发展的最大威胁。如在社区卫生服务中心发生的费用结算85%以上通过医保信息系统来进行,所有的医生工作站都依托中心服务器来提供数据进行操作,医技部门也通过信息系统获取病人信息和传送结果。一旦信息系统发生故障对于社区卫生服务中心来说是灾难性的。因此中心需要信息安全管理,有其必然性。

 

3.2信息安全管理是信息安全技术的融合剂,是各项技术措施能够发挥作用的重要保障。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则,安全技术职能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那么信息安全管理就是融合剂和催化剂,良好的管理可以变废为宝,使现有的各项技术相互配合发挥应有的作用,而糟糕的管理会使技术措施变得毫无用处。实现信息安全,技术和产品是基础,管理才是关键。在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路

 

3.3信息安全管理是预防、阻止或减少信息安全事件发生的重要保障。早期人们对于信息安全的认识主要侧重在技术措施的开发和利用上,这种技术主导论的思路能够解决信息安全的一部分问题,但却解决不了根本,据权威机构统计表明,信息安全问题大约70%以上是由管理方面原因造成的,大多数信息安全事件的发生,与其说是技术上的原因,不如说是管理不善造成的。因此解决信息安全问题、防止发生信息安全事件不应仅从技术方面着手,同时更应加强信息安全的管理工作。

 

信息安全涉及的范畴非常广,信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。因此,要求社区卫生服务中心的相关人员正确理解信息安全、理解信息安全管理的关键作用,以更好地开展信息安全管理工作。强调信息安全管理的作用,并不是要削弱信息安全技术的作用;开展信息安全管理工作,要处理好管理和技术的关系,要坚持管理与技术并重的原则,这也是信息安全保障工作的主要原则之一。

 

4 社区卫生服务中心信息安全管理控制措施

 

在我国对于信息安全等同采用IS0 27002:2005,命名为《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。可见对于社区卫生服务中心的信息安全来说,安全控制措施是必要且十分重要的。其中比较重要的如下:

 

4.1安全方针 社区卫生服务中心的信息安全方针控制目标,是指中心的信息安全方针能够依据业务的要求和相关法律法规提供管理指导并支持信息安全。社区卫生服务中心信息安全方针文件的内容应包含中心管理者的管理承诺、组织管理信息安全的方法、中心信息安全整体目标和范围的定义、中心管理者意图的声明、控制目标和控制措施的框架、重要安全策略、原则、标准和符合性要求说明、中心信息安全管理的一般和特定职责的定义、支持方针的文件的引用等。

 

4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分,不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。

 

4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素,有资料表明,70%的安全问题是来自人员管理的疏漏,为了对人员有一个有效的管理,需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。

 

4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全,需考虑到角色是否适合相应岗位,以降低设施被窃、信息泄露和误用的风险,这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。

 

4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。

 

4.3.3社区卫生服务中心发生任用的终止或变更时,应确保信息的安全不外泄,确保员工、承包方人员和第三方人员以一个规范的方式退出或改变其任用关系。可以通过终止职责、资产的归还、撤销访问权限等控制措施来实现。

 

4.4物理和环境安全 社区卫生服务中心的物理和环境安全可以从安全区域和设备安全来入手管理。定义安全区域是为了防止对中心场所和信息的未授权物理访问、损坏和干扰。可以通过设置物理安全边界、物理入口控制、办公室房间和设施的安全保护、外部和环境的安全防护、在安全区域工作、公共访问和交接区安全。设备安全是指防止由于资产丢失、损坏、失窃而危及社区卫生服务中心的资产安全以及信息安全。中心可通过设备安置和保护、支持性设施、布缆安全、设备维护、场所外的设备安全、设备的安全处置和再利用,资产的移动等措施来进行保障。

 

4.5通信和操作管理 社区卫生服务中心的通信和操作管理一般可从操作规程和职责、第三方服务交付管理、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视等方面入手。

 

4.6访问控制 对于社区卫生服务中心来说,访问控制可从访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等控制目标来入手。

 

4.7信息安全事件管理 社区卫生服务中心的信息安全事件管理可以从报告信息安全事态和弱点、信息安全事件和改进的管理两个控制目标入手进行管理。

 

4.7.1报告信息安全事态和弱点这项控制目标旨在确保中心与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。该目标下有报告信息安全事态和报告安全弱点这两项控制措施来保障这一目标的实现。①报告信息安全事态控制措施,是指信息安全事态应该尽可能快地通过适当的管理渠道进行报告。实施过程中应建立正式的信息安全事态报告程序,以及在收到信息安全事态报告后采取措施的事件响应和上报程序。②报告安全弱点控制措施,是指中心应要求信息系统和服务的所有职员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。报告机制应尽可能容易、易理解和方便可用。应告知他们在任何情况下,都不应试图去证明被怀疑的弱点。

 

4.7.2信息安全事件和改进的管理。社区卫生服务中心信息安全事件和改进的管理这一控制目标旨在确保采用一致和有效的方法对信息安全事件进行管理。中心可以用职责和程序的控制措施、对信息安全事件的总结、证据的收集三项控制措施来保障这一目标的实现。①职责和程序的控制措施。它是指中心应当建立管理职责和程序,以确保能对信息安全事件做出快速、有效和有序的响应。该项措施实施时除了对中心的信息安全事态和弱点进行报告外,还应利用对系统、报警和脆弱性的监视来检测中心信息安全事件。遵循严格的信息安全事件管理程序的前提是中心需建立规程以处理不同类型的信息安全事件,如恶意代码、拒绝服务、信息系统故障和服务丢失、违反保密性和完整性、信息系统误用等。中心除了考虑正常的应急计划还要考虑事件原因的分析和确定、遏制事件影响扩大的策略、向合适的机构报告所采取的措施等。②中心对信息安全事件的总结控制措施,是指社区卫生服务中心应有一套机制量化和监视信息安全事件的类型、数量和代价。从信息安全事件评价中获取的信息应用来识别再发生的事件或高影响的事件。③证据的收集。证据的收集对于社区卫生服务中心来说,是指当中心的一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。过程有:为应对惩罚措施而收集和提交证据,应制定和遵循内部程序,为了获得被容许的证据,中心应确保其信息系统符合任何公布的标准或实用规则来产生被容许的证据:任何法律取证工作应仅在证据材料的拷贝上进行。

 

4.8业务连续性管理 对于社区卫生服务中心来说业务连续性管理是指防止中心业务中断,保证中心重要业务流程不受重大故障与灾难的影响。业务连续性管理过程中包含信息安全,该控制措施是指应为贯穿于组织的业务连续性开发和保持一个管理过程。解决中心的业务连续性所需的信息安全要求,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。应包含中心的信息安全、业务连续性和风险评估、制定和实施包含信息安全的连续性计划、业务连续性计划框架、测试、维护和再评估业务连续性计划等内容。

 

5 社区卫生服务机构信息安全的展望

 

篇8

现今信息技术在电力行业中广泛应用,双向互动服务由于大量使用了通信、网络和自动化等新技术,使自身的安全问题变得更加复杂、更加紧迫。信息安全问题显得越来越重要,它不仅威胁到电力系统的安全、稳定、经济和优质运行,而且影响着电力系统信息化建设的实现进程。

 

针对上述情况,本文在双向互动服务平台物理架构的基础上,分析双向互动服务的安全防护需求,并由此提出了一套切实有效的保护方案,对跨区通信进行重点防护,提升整体信息安全防护能力,实现对双向互动服务信息的有力支撑和保障。

 

1 双向互动服务平台物理架构

 

双向互动服务平台的物理架构包括:

 

a.安全架构:终端安全接入平台,公网与DMZ区(隔离区)通过防火墙进行防护,DMZ区(隔离区)与信息外网通过防火墙隔离,信息外网与信息内网通过网络物理隔离装置隔离;专网(电力应用专网VPN)越过DMZ区(隔离区),通过防火墙接入,实现与信息外网通讯,信息外网与信息内网通过安全接入网关实现安全接入。

 

b.内外互动:所有应用部署分信息内网部署和信息外网部署,移动作业、控制类的涉及敏感数据的互动服务部署在信息内网,普通互动服务部署在信息外网。

 

c.通信方式:电力专网(包括电力应用专网VPN)、互联网(家庭宽带)、2G/3G/4G无线公网无线专网(VPN)、电力载波(PLC)、RS485、Zigbee、RFID、其它无线等。

 

2 双向互动服务安全防护需求分析

 

从网络边界安全防护、网络环境安全防护、主站和终端设备的主机安全防护、业务应用系统安全防护等四个方面提出双向互动服务的安全防护需求。

 

(1)网络边界安全防护需求

 

双向互动服务需要对信息数据的流入流出建设相应的边界安全防范措施(如防火墙系统)和数据的入侵检测系统。由于双向互动服务平台中属于企业信息网络的管理大区,同生产大区之间应该实现逻辑隔离,但管理大区和生产大区之间要相互交换数据,所以在网络大区之间应建设安全隔离与信息交换设备,如隔离网闸。

 

(2)网络环境安全防护需求

 

需要针对双向互动服务的整个网络环境建立完整的网络环境安全防护手段。网络环境安全防护需要对系统中的组网方式、网络设备以及经过网络传输的业务信息流进行安全控制措施设计。

 

针对黑客入侵的威胁,需要增加入侵检测系统,以防止黑客的威胁和及时发现入侵;需要对病毒及恶意代码的威胁建立相应的安全措施。

 

(3)主站和终端设备主机安全防护需求

 

需要对操作系统和数据库的漏洞增加相应的安全防范措施,对主站和终端设备提供防窃、防破坏、用电安全的措施。为满足数据终端存储和系统访问控制、终端设备网络安全认证、数据加解密等安全需求,可使用安全认证芯片所提供的密码服务功能,保障主站与终端设备的安全。

 

(4)业务应用安全防护需求

 

业务应用系统安全防护需求应从使用安全和数据安全两个层面进行描述。

 

1)系统使用安全需求。该项需求包括管理规章、系统备份、密码管理、测试及运行、操作记录等方面安全需求。

 

2)系统数据安全需求。该项需求包括系统数据、用户身份数据、传输数据、交易数据、终端数据等安全需求。

 

3 双向互动服务安全防护方案

 

双向互动服务安全防护方案应该基于上述物理架构,从边界防护、网络安全防护、主机安全防护、应用与数据安全防护等四个方面进行设计,具体如下所示:

 

(1)边界防护。1)横向网络边界:横向域间边界安全防护是针对各安全域间的通信数据流传输所制定的安全防护措施,各系统跨安全域进行数据交换时应当采取适当的安全防护措施以保证所交换数据的安全。2)纵向网络边界:信息内网纵向上下级单位边界,此外,如果平级单位间有信息传输,也按照此类边界进行安全防护。3)第三方网络边界:信息内网第三方边界指信息内网与其他第三方网络连接所形成的网络边界,在双向互动服务中指通过公网信道(GPRS、 CDMA)接入信息内网的网络边界。

 

(2)网络安全防护。网络安全防护面向企业的整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由、交换设备及安全防护体系建设所引入的安全设备、网络基础服务设施。

 

(3)主机安全防护。双向互动服务的主机安全防护主要包括系统服务器及用户计算机终端的安全防护。服务器主要包括数据库服务器、应用服务器、网络服务器、WEB服务器、文件与通信服务器、接口服务器等。计算机终端包括各地市供电公司远程工作站、省级公司工作站的台式机与笔记本计算机等。

 

(4)应用数据安全防护。应用安全防护包括对于主站应用系统本身的防护,用户接口安全防护、系统间数据接口的安全防护、系统内数据接口的安全防护。应用安全防护的目标是通过采取身份认证、访问控制等安全措施,保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;采取审计措施在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

 

4 结论

 

篇9

0 引言

 

随着两化融合进程的不断推进及工业控制系统的逐渐开放,无线传感网络、移动信息互联、物联网技术、精准定位授时等信息技术,在能源、制造、化工、水利、交通等重要领域的控制系统中得到了深入的应用,工业控制系统与IT系统逐步实现了协同工作和信息共享,进一步提高了企业的运营管理水平。但在企业综合效益提升的同时,工业控制系统也开始面临IT系统面临的木马攻击、病毒入侵和信息窃取等安全威胁,如果被敌对势力获取工业控制超级用户管理权限,对核心设施进行恶意攻击的话,不仅会造成经济损失,也将会对人民生命安全造成严重的威胁[1]。

 

目前,我国明确提出要做好重要工业基础设施信息安全保障工作,这也对信息安全保障服务的专业化程度和服务体系的建设提出了更高的要求,加强工业控制系统信息安全管理水平,提高抵御外来攻击的能力,降低工业控制系统造成破坏的概率和可能性,以技术和管理手段改善工业控制信息安全现状,保障国家安全与社会稳定,已经刻不容缓[2]。本文将围绕工业控制系统风险评估、等级保护测评、代码验证等核心环节,设计并提出工业控制系统信息安全专业化服务体系架构,进一步完善安全测评与加固、技术研发、人才培养以及信息安全咨询等服务质量,提高服务效率。

 

1 构建专业化服务体系

 

目前,我国的工业控制系统信息安全管理和服务的相关标准规范还在酝酿中,仅部分行业部门出台了试行的安全评估、测评等相关服务规范,整体安全服务工作还缺少依据[3]。综合工业控制系统的共性特点、安全需求,其需要的核心服务主要包括系统安全测评、代码检测与环境验证、系统建设与加固、人才培养、渗透测试和网络监测预警等服务,以及能提供技术支撑的功能平台[4]。对工业控制系统的安全服务需求进行梳理,提出如下服务体系架构,该架构围绕专业化服务项目、服务平台和支撑环境建设展开,将为工控信息安全服务工作的开展提供组态化的解决方案。其中,服务项目是指服务机构或部门要具备的必须的技术能力和评估水平,服务平台是为相关服务开展提供技术支持的功能性平台,支撑环境是为服务的有效性提供验证和基础运行的必要条件。

 

2 服务能力建设

 

2.1 内网监测与预警服务能力建设

 

根据工业控制系统内部构成情况,实现能够对内网非法入侵、恶意攻击、内常规网络木马、后门事件、常规蠕虫事件、僵尸网络事件、异常流量(端口流量、协议流量、IP流量等)事件进行监测预警的服务能力。

 

2.2 安全咨询与培训能力建设

 

信息安全咨询与培训能力建设包括对安全体系建设咨询、研究项目合作咨询、测评技术培训、系统安全体系培训等。通过信息咨询服务体系定期重要工业控制系统最新漏洞、脆弱性、病毒等信息,为提高工业控制系统信息安全提供技术参考。同时,针对工业企业的现场管理流程和规范,对相关人员提供培训服务,主要从培训课程与实验环境两个方面进行人才培养,提升工业现场人员的安全管理能力和技术能力,构建信息安全知识体系。

 

2.3 系统建设与加固服务能力建设

 

以工业控制系统实际运行情况为基础,参照国际和国内的安全标准和规范,充分利用成熟的信息安全理论成果,为工业控制系统设计出兼顾整体性、可操作性,并且融策略、组织、运作和技术为一体的安全解决方案。安全技术建设的总体目标是:根据工控信息系统等级对应的信息安全要求,建立一套可以满足和实现这些安全要求的安全管理措施。安全管理措施包括适用的安全组织建设、安全策略建设和安全运行建设。安全管理措施与具体的安全要求相对应,在进行安全管理建设时,针对各系统现状和安全要求的差距选择安全管理措施中对应的安全管理手段。信息系统安全建设与加固的总体目标是:采用等级化和体系化的设计方法,为工业企业订制一整套的工控系统信息安全保障体系。根据安全体系的要求进行安全规划,将安全体系中的各类安全措施进行打包,形成多个系列的解决方案,并落实安全实施项目规划和工作规划。

 

2.4 系统渗透测试服务能力建设

 

根据工业控制领域安全性需要,组织工业控制系统渗透性测试能力建设,以保障工业控制系统配置、系统漏洞、网络流量、网络信息定位等方面的安全。所涉及到的技术不仅仅包括传统网络安全渗透测试技术还有工业控制系统渗透测试技术,这些技术通过对传统技术框架的改进方式,实现对工业控制系统硬件、软件和协议的支持。

 

2.5 代码检测与环境验证服务能力建设

 

针对工业控制系统的主要功能、性能指标进行检测,检验系统是否在连续性、实时性等方面满足工业要求,并提供稳定性验证服务以及实时性验证服务。

 

(1)稳定性验证服务。通过并发访问、单人多线登录、压力测试等方法对系统的稳定性进行评价,验证系统的稳定性是否符合工业生产要求。

 

(2)实时性验证服务。通过数据完整性、保密性、可用性检测,对工业控制系统内传输数据的时间数量级进行记录和评估,根据本行业的工业生产标准,验证系统实时性是否能够满足生产要求。

 

2.6 人才培养能力建设

 

从工控安全理论研究、技术研发等实验方面以及工控系统安全服务两方面培养高层次信息安全专业人才,力争将实验室建成一流信息安全人才培养基地。利用实验室的优厚技术条件,进行实际演练,掌握工业控制系统信息安全领域的关键技术,成为精通信息安全理论与技术的尖端人才。同时与各工控安全权威机构联合,通过共同开发与研究项目的形式,利用工业控制系统模拟环境,提供项目的实验与开发环境,保证技术领先性,培养可以从事信息安全研究的专业队伍,为实现工业企业的信息安全保障输送高质量人才。

 

2.7 系统安全测评服务能力建设

 

测评服务能力是指为工业控制信息系统提供安全测评服务,集风险评估、等级保护测评等功能于一体。通过安全测评服务能力的建设,完善工业控制系统信息安全产品测评能力与手段,充实工业控制系统信息安全相关资源库,在工控系统物理安全、网络安全、主机安全和管理安全等方面,为系统应用和控制过程提供最优的安全尺度、安全层面、安全平台。

 

3 服务平台建设

 

服务平台是服务开展的重要技术环境,平台的建设将进一步完善工业控制领域信息安全服务体制,提升工业控制领域信息安全服务效能,信息安全测评验证服务体系,逐步形成工业控制安全领域的产业多层次、多渠道、多元化的综合服务体系。平台架构如图2所示。

 

代码检测与环境验证子平台:通过为工业控制系统提供代码检测和环境验证等服务,将对工业控制嵌入式操作系统、应用软件进行代码安全性验证,找出软件代码的潜在威胁所在,加以防护,提高软件应用的安全性。将代码检测和环境验证平台作为技术支撑,实现工业控制系统PLC系统安全检测和嵌入式系统测试服务。

 

内网监控与预警子平台:对工业控制系统内部网络中的安全事件包括:恶意攻击、非法入侵、内网病毒、端口流量异常等进行监控,当安全事件发生时发出预警信息。

 

工控系统业务管理子系统平台:对测评、评估等服务项目提供全生命周期的过程管理,包括服务队伍建立、需求分析、资产识别、威胁分析和脆弱性识别等过程的管理,并可以通过内建的知识库为服务人员提供技术支持和信息查询。

 

工控系统安全测评服务子平台:结合网络安全建设和发展的实际情况,综合漏洞挖掘、安全评估、扫描分析和管理体系评估等多种手段,建设对于工业控制系统提供专项安全测评、检测服务、风险评估等服务。

 

4 支撑环境建设

 

4.1 工控模拟实验模拟环境建设

 

工业控制系统模拟环境是根据工业控制系统现场实际情况搭建的仿真模拟测试环境,是开展安全技术理论研究、漏洞验证、渗透测试、代码测试环境验证以等研究的基础,同时也是工具集研发的技术环境依托。模拟环境将以SCADA、DCS等为核心,结合无线、微波等网络技术,针对工业控制系统安全现状,将搭建电力、水利、燃气等重要工业控制领域的模拟环境,为开展攻防实验、技术研究等奠定基础。

 

4.2 软硬件支撑环境

 

软硬件支撑环境是整个服务体系的基础支撑环境,能够为模拟环境建设、服务平台建设以及服务能力建设提供必要的基础环境。软硬件基础环境主要包括基础网络环境、数据存储和服务系统和实现平台自身安全的防病毒、防入侵等安全措施。

 

5 结语

 

篇10

0 引言

图书馆拥有大量的纸质资料、电子资源、文献资料和多媒体资源等,充分利用图书馆的这些资源尽可能发挥出最大的利用价值。随着当今时代计算机和网络技术的快速发展,传统的图书馆服务模式难以跟上步伐,基于云计算的数字图书馆应用而生,这种全新的服务模式可以将图书馆中分散的数字信息进行有效的整合、调度和分配,为用户提供最便捷的使用方式,可以最大程度的满足用户的需求。但于互联网本身潜在的安全隐患、黑客的恶意攻击和病毒的传播等,使得数字图书馆资源安全面临风险。建立切实可信的信息安全策略和手段,使数字图书馆系统工作能够稳定有序的进行。

1 云计算

云计算是将分布式处理、并行处理、虚拟化和网格计算以及互联网相结合的一种先进的资源服务模式,它将计算工作分布在多个的服务器构成的资源池上,使用户能够按所需获取计算能力、存储空间和信息服务。一般由存储与计算机服务器、宽带资源等大型服务器的集群,通过专门的软件进行自动管理,同时也可以进行自我的维护,无需人工参与。云计算中,软件和硬件可以成为资源而提供给用户使用,用户可以动态申请所需资源,云计算对软件和硬件资源可以进行很好的分配,用户能够更加专注自己的业务,提高工作效率和降低成本。由于云计算具备动态扩展、伸缩特性,随着用户的不断增长,云计算可以根据不断对系统进行扩展。此外,云计算的物理资源利用率高,使得其运行管理成本大幅度降低,使其在数字图书馆构建中拥有非常好的性能价格比。云计算的层次架构可分为三层,其结构层次及提供服务如下图1所示:

云计算的主要特点有:(1)稳定性:具备良好的容错能力,当某个节点发生故障时,云计算平台能快速找到故障并恢复;(2)高扩展性:云计算平台具有高扩展性和灵活的弹性,能够动态地满足用户规模的增长和需要;(3)虚拟化:云计算通过虚拟化技术将分布式的物理和数字资源进行虚拟化,统一存放在数据中心,用户可以在任何地方使用终端来获取服务;(4)通用性:云计算环境下可以构造出各种功能的应用,满意用户的大部分需求(5)成本低廉:云平台的特殊容错机制可以采用极其廉价物理资源,资源成本低。且具有强大的软硬件资源,并有专业的维护团队,维护成本大大降低。

2 数字图书馆的特点

数字图书馆是采用高新数字技术处理和存储纸质图书、电子文献、多媒体资料等的图书馆。它把各个不同区域、不同形式的信息资源通过数字技术存储,以便于跨区域的传播和服务用户,它涉及信息资源加工、存储、检索、传输和利用的全过程。数字图书馆改变了传统图书馆的服务模式,扩大了信息处理的数字化服务平台,体现了高科技在图书馆管理工作中的重要性,使图书馆管理工作能安全智能的运作。数字图书馆具有智能化、信息化、一体化等特点。近年来,云计算技术在数字图书馆的建设中得到大力推广,提高了图书馆数据库的可用性,实现了信息安全系统的多功能改造。

数字图书馆的主要特点有:(1)占用空间小且易保存:将重要纸质资料存放在磁盘或硬盘中,所占用的物理资源相对较少,同时通过计算机设备查阅,避免了翻阅过多和保存过久而损坏;(2)检索快捷:采用了高科技的数字图书馆能提供一站式服务,用户通过统一的界面操作就能够快速地查询到自己所需的信息;(3)资源共享:数字图书馆的信息资源可以一份供多人共享,且不受地理位置和时间的限制,实现了资源共享,提高了资源利用率;(4)资源定制能力增强:数字图书馆成为信息资源主体和客体,更具个性化定制能力;(5)动态集成性:数字图书馆利用各种技术对各种信息进行整合,使各种异构资源形成一个有机整体。

3 云计算环境下数字图书馆存在的安全隐患

基于云计算的数字图书馆是虚拟的,是在网络环境下超大规模的、分布式的、可以实现跨库链接的知识检索中心。面对复杂的网络环境和越来越多的黑客,云计算环境下的数字图书馆存在一些安全风险问题,它主要体现在以下几个方面:

(1)用户认证的安全:数字图书馆采用了数字化技术、虚拟化分布式技术技术等,系统管理员个人技能水平有限会造成系统数据的泄露和损坏。同时由于系统管理员有权限对数字图书馆云服务平台进行操作,可以蓄意泄露或破坏信息资源。(2)数据的安全:在云计算环境下的数字图书馆系统中,信息资源都处于共享状态,在传输和存储过程中即使采用了数据加密方案,也无法确保做到万无一失。同时在很多情况下数据加密方法并不是有效的,且加密后会降低系统的效率。(3)系统的安全:数字图书馆云服务平台上系统安全漏洞和应用软件的安全性不足都是潜在的安全隐患。随着图书馆典藏规模的不断壮大和用户数量的不断增加,图书馆内检索终端、服务器节点、监控设备数量持续增长,系统处理数据速率降低,数据处理过程易受到限制,这些都会降低图书馆云服务平台的服务效率。

4 云计算环境下的安全策略

基于以上提出的数字图书馆云平台存在的安全问题,可以采用一些安全可信的技术手段,确保数字图书馆云平台正常提供服务的同时,还能最大程度的保障图书馆信息资源的完整性、一致性和保密性。本次对于数字图书馆云平台的安全问题主要从应用层安全、数据安全和网络层安全三个方面进行设计。

4.1 应用层安全

应用层是提供用户交互和各个应用软件服务的接口,应用层是保障数字图书馆云平台能够高效、快速和稳定的服务。该层是数字图书馆云服务平台的入口,采用web形式向用户提供提供统一的服务界面。在数字图书馆云服务平台中,影响到应用层安全的主要因素有超级管理员的权限、一般管理员、图书馆管理员和普通用户等几个方面,所有用户登录到数字图书馆云服务平台都需要通过身份验证才能对数据库的进行操作。本次设计的数字图书馆云服务平台对于用户的权限也进行了划分,如表1所示:

超级管理员具有最高权限,能对任何用户进行增删改。以外,要确保管理员操作和维护的安全性,也就要确保数字图书馆云服务平台的安全。这就要求管理人员要具备相应的专业技能外和良好的职业素质。

4.2 数据安全

数据的安全是数字图书馆云服务平台最重要的内容,但是考虑到系统自身的漏洞和应用软件的漏洞会使数字的安全遭到威胁,目前最佳的解决方案是利用云计算的分布式特点,将图书馆的个人数据和其他用户的数据隔离开来,同时对一些机密敏感的体,服务模式发展呈现多样化。由于自身的学数据进行加密存储。考虑到数据以静态和动态并存的方式存在,对于信息的加密应从传输和存储两个方面来加密重要数据。在传输数据时,设计采用 ESA非对称加密算法进行加密,保证了传输信息的安全性。对于存储的静态信息的加密是一个复杂的过程,主要作用就是防止重要数据丢失,即使黑客通过非法的手段得到加密后的数据,也不能获得原数据。另外,云计算会是比较复杂的平台,即容易发生无法预估的系统运行故障和数据丢失情况,我们必须定期做好数据的备份和恢复工作,最大程度地确保系统稳定的运行。

4.3 网络层安全

篇11

信息安全是指信息系统中的硬件、软件、网络、数据等受到保护,不因偶然的或故意的原因而遭到删除、更改、泄露等,系统连续正常地运行,信息系统的服务不中断[1]。信息系统安全问题主要存在于硬件环境、软件、系统配置、用户管理等多个层面,具有动态性、时效性、复杂性、隐蔽性、多样性等特征,其内容主要包括信息的机密性、完整性和可用性三个方面。机密性是指重要信息不被泄露,不被非授权的组织、个人和计算机程序使用;完整性是指信息不被篡改或破环,保证信息的真实性,否则,一旦信息被篡改或破坏,将带来严重的后果;可用性是指合法用户或程序可以及时、正常地使用信息。图书馆信息系统主要包括馆藏书目数据、读者信息、各种数据库、图书馆自动化系统、图书馆自建的特色数据等,其中很多数据已经接入广域网。图书馆信息系统是图书馆几年甚至是十几年工作的积累,一旦遭到破坏,损失将会非常惨重,甚至会造成整个图书馆工作的瘫痪。因此,图书馆对安全问题必须要有足够的认识和重视,积极采取有效的对策,保障信息系统的保密性、完整性、可用性等,促进图书馆信息系统持续健康发展。

2 影响图书馆信息系统安全的主要因素

2.1 信息系统的硬件及软件环境

硬件环境包括系统所处的外界环境、硬件设备安全等。图书馆机房应有合适的、符合规定的工作温度、温度、稳定的供电系统、可靠的不间断电源等,以保证系统安全运行。硬件设备安全主要包括硬件的材料、集成电路与总线设计、制作工艺、电磁辐射、信号屏蔽、设备安装等方面。硬件存在缺陷可直接影响其使用寿命和信息信息系统的安全,甚至造成信息系统不可修复的物理损毁。因此,在购买硬件设备时,一定要把好质量关,为信息系统安全打下基础。

软件系统环境主要包括操作系统、应用软件及数据库设计等方面。操作系统控制和管理系统所有硬件和软件资源,是计算机操作的核心,技术人员要对每种操作系统的特点有充分的了解,尤其是每种操作系统存在的漏洞要引起重视,在服务器上选用适合本馆的操作系统。图书馆管理信息系统是图书馆主要的应用软件之一,目前的各种管理系统在设计与使用中都有不同程度的缺陷,一旦被人非法利用,将会对系统安全造成重大威胁。因此对软件存在的Bug,要及时打补丁,更新版本。在数据库软件方面,应重视用户授权、身份识别、访问控制、数据加密等安全问题,目前常用的ORACLE、SQL等都具有较高的可靠性与安全性。

2.2 信息系统遭受攻击

黑客主要是利用计算机网络软硬件的漏洞、缺陷以及操作者的专业知识不足等攻击信息系统,主要有植入病毒、木马、口令入侵、虚假网页、发送大量垃圾邮件、攻击计算机系统的安全漏洞等方式。病毒具有破坏性、复制性和传染性,一旦感染病毒很容易造成数据丢失、系统崩溃等;信息系统中一旦被植入了木马,非授权人员可远程控制计算机,而且非常隐蔽,很难被发现。口令入侵是通过利用目的主机某些合法的账号或口令,实施攻击。黑客可以向用户发送某些已经修改过的网页,当用户浏览恶意网页的时候,网页就会自动向黑客的服务器发出请求,黑客就可以利用这些恶意网页欺骗用户。攻击者可向目标的邮箱发送大量垃圾邮件,导致邮箱无法正常运行和使用。有的攻击者利用操作系统或应用软件本身具有安全漏洞,特别准备攻击字符,达到访问计算机的根目录的目的,甚至能掌握图书馆网络的绝对控制权。

3 图书馆信息系统安全应对策略

要解决信息系统的安全问题,必须建立一支高素质的信息安全维护队伍,加强对技术人员的培训,努力学习先进的技术,做到与时俱进,能够随时解决信息系统中的安全问题。还应该规范各种规章制度,并严格执行,做到对不同的工作人员明确定义其工作职责,能在出现问题时找到第一责任人;要做到严把权限关,图书馆工作人员的帐号密码要妥善保管,严防机密文件被随意访问;要制定清晰完善的操作流程,规范计算机网络的应用和操作。以下重点从技术角度来分析信息系统安全问题的应对策略:

3.1 数据备份

数据是图书馆信息系统中最重要的部分,软硬件故障及病毒、木马等都可能造成数据的破坏、丢失,建立并严格执行数据备份与恢复制度是信息系统安全保障的基本要求。图书馆信息系统中数据备份应做到及时、准确、完整。常用的备份策略主要有三种:完全备份、增量备份和差分备份,不同的图书馆可以根据实际情况来选择相应的备份策略。备份的数据还应注意进行恢复测试,保证在需要恢复时能够完整准确地恢复。

3.2 防火墙技术

防火墙是建立在被保护网络和外网之间的一道屏障,依照某种特定的规则,允许或限制网络之间的数据传输,尽可能地屏蔽外部非法入侵,具有很好的保护作用,在很大程度上防止了受保护网络受到黑客的攻击[2],但是防火墙无法阻拦网络内部的非法操作。防火墙的类型主要有网络层防火墙、应用层防火墙,图书馆可根据具体情况进行配置,以维护信息系统的安全运行。

3.3 防病毒技术

安装正版杀毒软件并定期升级,开启杀毒软件的实时监控程序;从网上下载软件要慎重,选择信誉较好的大型网站下载;下载的软件在安装之前要先进行查毒;来历不明的电子邮件不要随意打开,防止病毒邮件感染计算机;不要浏览非法网站等;定期用杀毒软件进行全盘扫描;该升级和打补丁的软件要及时升级和打补丁;在插U盘或光盘的时候,先进行查毒。通过以上措施,基本上可以预防病毒和木马。

3.4 访问控制技术

篇12

中图分类号:C270.7 文献标识码:A 文章编号:1001-828X(2012)07-0-01

网络时代的到来,使得各行业的工作方式发生了根本变化。对于排水行业而言,对排水信息的日常归档和管理也已主要借助计算机来完成。网络环境的运行,对排水档案信息的整理、细化和储存,都带来了极大的方便,但凡事都具有两面性,在方便排水档案工作的同时,也对档案信息的安全服务提出了更高的考验。如何使网络环境下的排水档案信息更安全地服务于经济社会的发展以及生态环境的保护呢?

一、保证网络环境和硬件设施的安全

网络环境和硬件设施是排水档案信息存在的依附体。只有保证二者的安全,才能保证排水档案信息的安全。环境安全主要是指计算机等网络设施存放环境的安全,能确保网络资源的信号畅通,并处于良性运转状态。硬件设施安全是指计算机的各个部分都能正常使用,不会因故障而导致排水档案信息无法正常查找和使用。

二、保证网络资源的全面建设和安全管理

为保证排水信息能更有效地进行管理,并能在需要时随时查找到,可在排水行业内部根据区域或者单位建立起局域网,使局域范围内的排水档案信息实现资源共享,能在出现任何排水问题需要档案信息调度时,可以通过局域网站内部的查找,及时地拿到需要的资料,并尽快解决问题。局域网不仅可以极大方便工作,而且能通过信息输送,及时保证排水系统的安全隐患得到排查,保证一个城市或区域的用水安全,并能在洪涝灾害等特殊情况下,保证城市或一个区域的整体安全。局域网建好后,还应注意随时维护,并加强对网络资源的管理,能及时更改新的排水系统信息,及时行业内的最新动态,以利于相关工作人员的工作开展,利于整个行业工作的正常有序运作。同时,还应注意警惕病毒的入侵,防范恶意更改,加强对排水档案信息的安全管理。

三、建设好数据库,保证排水信息基本资料的安全

排水行业内部的资料是非常复杂的,仅就一个城市而言,整个城市的排水管道情况、排水设施情况以及容易出现问题的排水系统情况等等,都需要在排水档案信息中有较详细完整的记录和存储。这些庞大复杂的资料,在网络时代之前,需要耗费工作人员大量的时间进行随时记录,并占用大量的空间进行保管存档,还极易面临信息丢失或者不完整等不安全情况,而在网络环境下,这种不安全因素得到了很好的解决,只要建立起一个数据库,便可以将所有的排水档案信息存储起来,并且信息资料更清晰,更方便查找,容易保存。当然,应对数据库做好安全管理工作,保证电脑的正常运行,数据库的存储完好无损,避免排水档案信息的遗失,从而可以保证排水行业安全工作和为民服务安全到位。

四、做好排水文档一体化工作流安全体系设计

数据库的建设及使用,还需要做好网络环境下文档一体化工作流安全体系设计,这是一系列更为具体的工作,具体内容涵括:归档电子文件的采集、鉴定、整理、录入、归档保管、移交、使用以及归档管理者责任界定等各个环节,在这些环节中,要保证环环相扣,有序运作,各个阶段的工作必须保证做到位,并保证信息的准确无误,丝毫的差错可能会酿成整个排水档案信息的大错,使得整个数据信息无法安全使用。对整个流程进行安全体系设计,将是保证排水信息准确无误,安全使用,保证排水行业工作安全的有效途径。

五、完善智能档案信息管理系统

通过进一步完善排水档案的动态信息与静态信息建设,对城市排水档案进行综合化、模拟化分析,构建污水处理厂调度、泵站调度等相应模型,并且随着时间的推移而不断补充、修正、完善。当完成城市排水档案的信息化、数字化建设之后,将转变传统的纸质文字、图像、声音存储模式,将重要材料分布于网络媒体中,并通过计算机网络实现资源共享、信息共享。通过档案信息建设,对城市排水管网、污水处理厂、泵站等动态信息进行综合管理,可以通过计算机浏览,并且任意放大、缩小、移动等;同时系统还可以与相关数据库进行连接,实现数据的实时交换,同时采取必要的安全防范措施;系统界面以中文为主,一切功能通过菜单进行操作,在输入属性资料过程中,可以对选项菜单进行优化,以提高参数记忆能力;同时系统的操作应注意安全性,由专人负责管理,避免数据内容的任意篡改或删除;通过应用网络信息,实现了信息共享,更利于提高城市排水管理单位的交互性。

六、提高排水行业工作人员的网络工作能力和安全意识

网络环境下的档案工作人员,必须适应新的形势,转变观念,改变原有的人工为主的档案整理保管工作,而逐渐学会运用计算机,并能逐步熟练各项操作,以保证排水档案信息在网络时代,能更安全有效地管理。工作人员业务素质的提高,需要一个过程,不可急于求成,避免工作人员技术不到位即上岗操作,对排水信息的安全存储带来麻烦,出现信息遗失等错误,影响整个排水信息的安全服务。另外,应聘请专门的网络技术人员,对习惯于手工操作的老员工进行专门培训,使他们尽快学会相关的技术工作,准确进行计算机操作。同时,在加强业务素质提高的同时,应同步提高他们安全保管信息的意识,以保证所有排水信息的安全完整。

七、结语

网络环境下,排水行业各单位应积极转变观念,充分利用计算机带来的便捷,并加强排水档案信息安全意识。建好数据库,设计好文档一体化工作流安全体系,开设局域网并进行安全管理,同时提高工作人员的业务技能和安全意识,从各环节全面做好工作,以保证排水档案信息的服务安全。

参考文献:

[1]赵毅强,张晖.网络环境下档案信息服务安全对策[J].黑龙江档案,2009(03).

友情链接