时间:2023-09-11 09:18:45
引言:寻求写作上的突破?我们特意为您精选了12篇网络安全监督体系范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
中图分类号TP39 文献标识码A 文章编号 1674-6708(2010)33-0228-02
Region Scheduling Data Network Security Assessment and Emergency System
CAO Jianfeng
AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.
KeyWordSecondary system;networking;security
0 引言
电力监控系统及调度数据网作为电力系统的重要基础设施,不仅与电力系统生产、经营和服务相关,而且与电网调度、与控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。电力生产直接关系到国计民生,其安全问题一直是国家有关部门关注的重点之一。
随着通信技术和网络技术的发展,接入电力调度数据网的电力控制系统越来越多。电力系统一次设备的改善,其可控性已满足闭环的要求。随着变电集控所模式的建立、变电站减人增效,大量采用远方控制,这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术和因特网已得到广泛使用,使得病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时,对网络安全问题重视不够,构成了对电网安全运行的严重隐患。除此之外,还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的威胁。因此电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。
1福州地区电网二次系统网络安全评估概述
1.1 概况
福州地调二次系统安全评估包括:二次系统资产评估、网络与业务构架评估、节点间通信关系分析、二次系统威胁评估、现有防护措施评估、主机安全性评估、网络系统评估、安全管理评估、业务系统安全评估、二次系统风险计算和分析、安全建议等评估内容,评估之后针对系统的薄弱点进行安全加固,并制定《福州局电力调度自动化系统应急预案体系》,提高调度自动化系统运行的可靠性,安全性,有效预防和正确、快速处置电力调度自动化系统瘫痪事件,不断提高福州电网预防和控制调度自动化事件的能力,最大限度地减少其影响和损失,保障电网的安全运行。安全评估的实施基本流程如图1所示。
1.2 网络安全评估的过程
1.2.1资产调查
资产调查作为信息收集的一个关键步骤,是开始安全评估工作的第一步,也是安全加固工作的基础,其主要目的是准确全面的获得被评估系统的信息资产清单。
因此,在进行评估项目实施时,我们很重视资产调查的过程和方法,以期收集到准确、全面的信息资产清单。对于每一个资产来说,都需要比较准确的收集各项属性,因此我们计划整个资产调查过程如下,以确保我们的资产调查目标的实现。
1.2.2采用了正向测试与逆向渗透相结合的漏洞深度检测方法
在本项目中,安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。应用正向测试与逆向渗透相结合的漏洞深度检测方法,对电力二次系统主机信息安全进行分析。
1.2.3采用了远程漏洞扫描与本地主机自动化脚本检测相结合的脆弱性获取方法
渗透测试主要依据安全专家已经掌握的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。所有的测试将在授权和监督下进行。渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业机能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
1.2.险计算和分析
信息安全风险评估的风险计算部分主要以业务系统作为风险计算和分析的对象,以福州电业局本部为例,本次对福州电业局SCADA系统、电能量采集系统、OMS系统和DMIS网站共4个业务系统进行了评估和测试,各个业务系统的信息资产价值、威胁发生可能性和脆弱性严重程度的进行赋值,并通过风险计算,得出风险计算结果,确定各个系统的危险程度,找到业务系统的安全薄弱点。
1.2.5安全建议
根据计算出来的安全结果,通过管理和技术等两方面来加强网络设备和安全设备的安全性,对访问重要设备的用户应遵循一定规章制度,对网络配置的更改、权限的分配要及时进行记录备份归档。
对重要业务系统和服务器进行定期的漏洞病毒扫描,对扫描结果进行分析记录并归档。对新系统上线前应进行扫描和加固,对扫描的日志及时进行安全审计并归档。
对网络运行日志、操作系统运行日志、数据库运行日志、业务系统运行日志进行定期的安全审计并提交安全审计记录和报告,对报告中的非法行为应及时报告并处理。
对于网络设备和安全设备的配置日志应另存储在日志服务器中,而非存储在本地路由器或是交换机上,并定期的进行备份归档。对于日志的种类应当包括所有用户对网络设备和安全设备的查看、更改等。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
2地区电网自动化系统整体应急预案体系建设
2.1应急预案体系的出现
现阶段地区调度自动化各系统联系紧密,单个系统的故障将连锁影响多个其他系统运行,电力调度数据网建设向县调及110kV变电站延伸,接入系统种类日趋复杂,二次安全防护木桶效应日趋明显。由于系统风险主要来自于病毒及相关联系统的故障,故障类型复杂并存在触发或并况,应急预案的思路逐步摆脱了自动化单个系统预案的思路,慢慢向以自动化二次整体应急预案体系进行转变。该思路面对系统出现严重故障时,整体地考虑恢复手段及措施,隔离故障区域,屏蔽受影响系统的部分功能,将日常人工或自动备份的硬件及软件快速导入故障设备,恢复系统。在日常备份及演练过程中,综合考虑各系统间的互补能力和约束条件,并切合地调实际,高效率低成本地实现该预案体系。该体系重视系统整体恢复的效率和日常投入成本的二维标准,兼收并蓄各种技术手段和管理手段的优势。
2.2 应急预案体系的特点
该预案体系适应自动化系统日益联系紧密的特点,摆脱之前针对某一系统制定预案的思路,采用“整体考虑,互为备用,分散管理,集中恢复”总体思路,避免出现系统孤岛,综合考虑,兼顾各个系统及全面事故预想,具有兼容性强,各子系统预案操作性强,入门要求低,恢复手段有效快速,投资成本低,日常维护工作量少,实用化推广价值高的特点。
预案体系总体框架图各子预案关联关系图
2.3 预案体系各个子预案之间的关系
2.3.1共存关系
各预案体系间存在互相引用,互为补充关系。简化了对预案编写的复杂程度,将复杂的系统问题转化成为多个专项问题来解决。
集控系统资源成为EMS预案中的备用设备,将整体自动化系统一体化考虑,互为备用,充分利用资源,降低预案成本。
2.3.2互斥关系
预案体系中的电源子预案和其他预案间存在互斥关系,当涉及到整体电源异常时,就要考虑牺牲小系统,保全大系统的整体
3 结论
本项目对地区电网二次系统网络安全防御体系开展了专题研究与实践,研究结果有效提高了地区电网二次系统网络的安全防御能力,对网省调度中心乃地市电业局的二次系统安全建设都起到了重要的指导意义。项目根据研究结果构建了调度自动化应急预案体系以及与之相配套开发的快速备份恢复系统,投资少,效益高,为电网的安全可靠运行提供坚强的技术支撑。该项目的开展促进了调度中心对现有二次系统安全现状和存在的各种安全风险有了深入的了解 ,确保调度中心对二次系统中存在的各种安全风险采取相应的网络安全手段和部署选用必要的安全产品 ,对今后全省乃至全国地区电网二次系统网络安全建设具有重要的指导意义。
参考文献
[1]张王俊,唐跃中,顾立新.上海电网调度二次系统安全防护策略分析.电网技术,2004(18).
[2]王治华.安全运营中心及其在调度中心二次系统中的应用.电力系统自动化,2007(22).
[3]陈文斌.电力二次系统网络与信息安全技术研究.电工技术,2008(11).
[4]民,辛耀中,向力,卢长燕,邹国辉,彭清卿.调度自动化系统及数据网络的安全防护.电力系统自动化,2001(21).
[5]葛海慧,卢潇,周振宇.网络安全管理平台中的数据融合技术 .电力系统自动化,2004(24).
[6]胡炎,辛耀中.韩英铎 二次系统安全体系结构化设计方法.电工技术,2003(21).
1 网络型病毒的特点
1.1 具有较强的执行力
网络型病毒在编制的过程中其原理与正常程序是相同的,因此都能够执行程序中的命令,网络型病毒是一个比较微小的程序,与一般的程序相比,它不是完整的程序结构,往往不能够单独存在,只能通过寄生在文件或是源程序中,通过正常程序的运用进行命令的执行。
1.2 具有传染性,传播速度快
网络型病毒具有自我复制能力,能够在文件或是源程序中进行自我复制,并且在接触其他设备时进行感染。它的攻击速度比较快,可以进行许多破坏活动,并在攻击的同时进行传播。
1.3 具有潜伏性
网络型病毒在感染计算机设备时通常不会马上进行进行攻击,而是会在计算机设备中进行潜伏,然后传染给其他的文件,这个过程人们一般很难发现计算机感染了网络病毒,从而给计算机设备造成了巨大的隐患。
1.4 具有可触发性
网络型病毒潜伏在计算机设备中,在进行某项操作时就可能触发病毒的爆发,造成计算机程序的破坏,因此在进行计算机使用时,严格规范操作可以防止触发网络型病毒,从一定程度上保障网络的安全使用。
2 网络型病毒的防范措施
2.1 加强工作站的防治技术
工作站的防治技术一般分为三种:第一种是利用网络病毒查杀软件,杀毒软件能够检测出计算机中潜藏的病毒,然后提示工作人员进行查杀工作,并且杀毒软件还能根据技术的提升增强杀毒能力,在防治网络病毒的过程中发挥着很大的作用。第二种是在工作站安装防护病毒卡,防病毒卡可以对信息终端的病毒进行随时检测,但是其升级的过程十分复杂,因此会降低网络的运行效率。第三种是安装防病毒芯片,防病毒芯片安装在网络连接口处可以都病毒进行控制和防治,但是病毒芯片的升级也十分缓慢,对网络的运行有一定的影响。
2.2 预防引导型病毒的方法
引导型病毒可以对计算机内存进行控制,其破坏原理是,当人们启动计算机设备时,引导型就会抢先占领内存,然后计算机的运行速度就是被拖慢,另外计算机软盘是最容易产生引导型病毒的,软盘一旦被引导型病毒攻击就会彻底失去工作能力,并且病毒在攻击软盘之后很快进行攻击硬盘设备。因此保护好计算机软盘是防止引导型病毒产生、破坏计算机程序的有效方式,同时也可以利用软盘来对硬盘进行保护。
2.3 预防文件型病毒的方法
文件型病毒是指潜伏在文件中的病毒,攻击对象是计算机中的文件,预防文件型病毒需要加强文件的安全性工作。在计算机系统中安装源程序的检测、查杀软件对于增强计算机系统中的文件有着较好的效果,该软件可以有效区分计算机中的文件和病毒,不会给文件型病毒留下攻击的空间,以此来抑制文件型病毒的传播。
2.4 实行个性化预防措施
网络型病毒通常具有普遍性和大众性,因此具备充分的传播条件,在计算机网络之间进行大肆传播,因而如果我们能够对计算机中的文件或是源代码进行个性化设置,设置出一定的特性,网络型病毒在传播中就会存在一定的困难,从而被有效的阻止,因为病毒并不能随着文件形式的改变而改变,例如我们对文件进行加密或是将文件的扩展名更改,这样病毒就失去了传播的条件,有效进行了防治。
2.5 加强IT人员的职业素养
IT行业的专业性很强,在现在的应用范围也也十分广,IT技术人员运用高科技技术丰富网络环境,维护网络的稳定运行。但同时IT技术也可以对网络环境进行破坏,实施非法行为,并且大量数据显示,网络型病毒的制造者也都是IT行业的从业人员,这都是由于IT技术人员职业素养不高造成的。因此在对IT人员进行职业技能培训的同时也要加强职业素养的培养,提升IT人员的综合素质,让高技术人员更多的为计算机事业做贡献。
3 计算机网络安全技术
3.1 及时进行系统补丁,保障系统稳定性
计算机系统将常会出现漏洞,给病毒的侵入以可乘之机,及时给系统进行补丁可以有效防止网络型病毒攻击计算机的可能,保证计算机的正常工作。用户应该一周至少进行以此补丁,然后在补丁之后重新启动计算机,按照规范进行计算机的操作,并且经常清理不常使用的软件,将不能再使用的应用插件进行卸载,可以增强计算机对病毒的抵御能力,保障网络使用的安全。
3.2 建立防火墙
防火κ潜U霞扑慊不收外界攻击的良好攻击,防火墙可以将计算机系统中的内网和外网进行区分,对于进入计算机网络的信息进行筛选,将带有病毒的或是危险性比较高的信息的数据进行拦截,从而保障计算机系统的安全使用。网络型病毒想要侵入计算机系统时,首先需要攻破防火墙,因此病毒侵入计算机系统的概率就会大大降低。
3.3 构建计算机网络安全监督体系
构建网络安全监督体系,充分发挥网络安全部门的监管职责也是维护网络安全的重要手段,网络安全监管部门应该建立完善的网络安全监督体系,加强网络安全的监管,引进更先进的技术,运用加密技术等方式保护网络信息的安全。
3.4 漏洞扫描技术
漏洞扫描技术是一种主动防范的技术,通过自我检测的方式发现网络环境中的漏洞,进行病毒的查杀,并且梯形网络管理人员对漏洞进行修补,从而阻止网络型病毒对网络环境的攻击。漏洞扫描一般有两种方法,一是获取网络端口的数据与漏洞扫描数据库中的数据进行匹配,发现匹配的数据就是网络环境中的漏洞,然后进行相应的修补;另一种是模拟黑客的身份,对网络环境进行攻击,从而发现网络环境中比较容易被攻击的漏洞,两种方式都可以有效检测到网络环境中的漏洞,在网络型病毒攻击之前进行漏洞的修补,可以有效防止病毒对网络环境的攻击,保障用户的上网安全。
4 结语
网络是一把双刃剑,使用不当就会给自己的生活带来麻烦和损失,因此用户要规范网络使用,安装杀毒软件定期进行病毒查杀,不登录没有安全认证的网页。同时网络技术人员应该运用网络安全技术保障网络环境的安全,防止不法分子的攻击给用户带来损失。
参考文献
[1]张士波.网络型病毒分析与计算机网络安全技术[J].硅谷,2013.
在油气田安全生产中,稳步推进关键装置和生产要害部位的安保防控工作的深入开展,一直是油田企业安全管理的一项重要工作。为减少和预防安全事故发生,保护油气田生产区域内的人员、财产安全,需要建立一套适应当前油气田生产新形势的数字网络监控系统,实现安全检查、消防、保安联动。只有这样,才能通过科学有效的技术手段提高安保防控工作的水平和质量,切实满足当前油气田生产要好部位的安全管理需要。
一、加强油气田生产要害部位安保防控工作的重要性
根据相关法律法规的规定,油气田生产要好部位主要覆盖这些内容:1)油气田相对集中的油气生产与处理装置区域;2)在高温、高压、真空、深冷、临氢、烃氧化等条件下运行的装置;3)对装置安全和运行起着关键作用的工程系统;4)易发生火灾危害的装卸站台、油品交接站、罐区等;5)频繁拆卸、搬运、安装的大型野外作业设备,等等。
从某种程度上看,油气田生产实际上属于高危行业,稍有不甚就极可能出现火灾、爆炸、采油气井坍塌等安全事故。而且,近年来生产区域内的涉油案件增加趋势明显,为油气田生产要害部位的安防预控带来了新问题。随着我国油气田生产形势的迅猛发展,生产过程安全风险增高、安全管理难度增大,生产要害部位的安保防控工作正面临着的新的难题。为很好的应对新的难题,必须把生产要害部位安保防控工作纳入油气田发展和运营管理的这个大局中来,并制定科学有效的监控和监督工作机制,以保证油气田生产要害部位的安全管理工作质量。
二、油气田生产要害部位安保防控工作的加强措施
(一)建立数字网络监控系统
在信息化、数字化日益深化的今天,为适应这一社会发展趋势并提高油气田生产要害部位的安保防控工作成效,应当利用信息技术和数字技术等建立一套数字网络监控系统,实时动态的监控生产要害部位。建立数字网络监控系统时,可以在原有的监控系统基础上融入当前流行的网络监控技术,建立集可视化信息、传递与利用等多种功能一体的应用信息系统,并制定内部监控技术规范,确保监控管理工作切实落实到位。在数字网络监控系统中,根据油气田规模设置相应数量的总控中心、分控中心,授权的网络用户则不限制数量,但要设置用户登入权限。总控中心设在油气田安保监督处、公安消防处,分控中心设在各二级单位。总控中心与分控中心之间通过内部局域网连接,获得授权的用户登入系统后,便可以查询、调运历史或实时监控图像。
为保证数字网络监控系统达到既定的安保防控效果,实现安全检查、消防、保安联动,这一系统必须具备实时采集重点监控设备各种运行参数和自动联动报警功能。通过实时采集重点监控设备各种运行参数,分析与掌握重点监控设备的运行状态,及时发现异常情况,及时消除安全隐患,以实现全天候24小时的无死角监控。自动联动报警功能是网络安全监控快速、及时、有效的基本保障,一旦生产要害部位发生异常,该处探头会发出提示报警,并在总控中心系统页面上显示出来。
(二)细化安全防御体系
建立并细化安全防御体系,可以把油气田生产要害部位的事故风险及事故造成的损失减到最低。为避免酿成生产事故、降低事故后果影响,油气田要以预防事故为中心,对生产要害部位的固有、潜在的危险进行安全分析、预测与评价,然后制定对应的防控措施,控制或消除危险,防止生产事故发生。同时,还要建立与事故防御体系相适应的事故应急救援预案。油气田单独设立应急指挥中心,根据生产事故的严重程度,设置4个等级预案,分别为特大、重大、较大、一般。如果生产要害部位发生事故,可立即启动相应等级的应急救援预案,把事故损失降到最低。
此外,应很好的利用数字网络监控系统的远程视频监控、数据网络传输等功能,形成一个信息化的快速运转的应急决策和辅助系统,为生产安全事故预控与应急救援提供有力的辅助决策依据,保证预控工作的效率和质量。
(三)夯实基层安全监督检查
注重油气田生产要害部位的日常监督检查,采用有效的监督检查方法,建立完善的信息系统,以提高基层安全监督检查工作成效。对生产要害部位的安全监督检查方法:日常生产运行巡视监督、特殊危险作业旁站、重点工作专项监督、重大隐患整改跟踪监督。通过这四种方法全面夯实基层安全监督检查基础,做好生产要害部位的安全预控工作。
为了确保基层安全监督检查工作质量,要细化安全监督检查职责,提高安全监督检查工作的计划性和针对性。第一,制定完善的安全监督检查责任制度,明确岗位分工,以及违章行为认定、处罚的规定,提高各岗位人员的责任意识,切实落实各项监控、安全预控、应急救援、监督检查等工作;第二,根据安全生产运行阶段、天气等因素制定每月的油气田生产要害部位安全监督检查计划;第三,根据安全分析与评价结果制定日常巡检、旁站、专项监督计划,使生产要好部位全面受控。
三、结语
综上所述,石油、天然气是我国发展的重要战略能源,对国民经济发展和人们日常生活的影响重大,需要做好油气田生产要害部位的安保预控工作。为此,应当建立数字网络监控系统,细化安全防御体系,夯实基层安全监督检查,同时联合公安部门联合打击涉油案件,全方面的提高生产要好部位的安保预控工作成效,确保油气田生产要害部位安全生产。
参考文献:
中图分类号:TP393 文章编号:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
公共卫生行业承担的职责主要包括重大传染病防控、慢性非传染病防控、卫生监督、职业病防制、精神卫生管理、健康危险因素评价、突发公共卫生事件处置和儿童免疫接种管理等,在管理过程中要涉及到大量的重要信息数据,包括疾病监测数据、健康危险因素监测数据和免疫规划管理数据等,这就对公共卫生行业在信息数据管理的方面提出了很高的要求,务必要将计算机网络安全管理防范问题放在重要位置,从网络防范技术和监督管理等方面建立健全计算机信息安全保障体系,确保各类信息数据安全有效。
2 目前公共卫生行业计算机网络安全存在的问题
2.1 数据信息安全威胁
信息数据面临的安全威胁来自于多个方面,有通过病毒、非授权窃取来破坏数据保密性的安全威胁,有因为操作系统故障、应用系统故障等导致的破坏数据完整性的安全威胁,有因为硬盘故障、误操作等导致的破坏数据可用性的安全威胁,还有因为病毒威胁、非授权篡改导致的破坏数据真实性的安全威胁,这些潜在的安全威胁将会导致信息数据被删除、破坏、篡改甚至被窃取,给公共卫生行业带来无法弥补的损失。
2.2 安全管理缺失
公共卫生行业在信息化建设工作中,如果存在重应用、轻安全的现象,在IT系统建设过程中没有充分考虑信息安全的科学规划,将导致后期信息安全建设和管理工作比较被动,业务的发展及信息系统的建设与信息安全管理建设不对称;或由于重视信息安全技术,轻视安全管理,虽然采用了比较先进的信息安全技术,但相应的管理措施不到位,如病毒库不及时升级、变更管理松懈、岗位职责不清、忽视数据备份等现象普遍存在,很有可能会导致本不应该发生的信息安全事件发生。
3 分析问题产生的主要原因
3.1 经费投入不足导致的安全防范技术薄弱
许多公共卫生机构的信息化基础设施和软硬件设备,都是在2003年SARS疫情爆发以后国家投入建设的,运行至今,很多省级以下的公共卫生单位由于领导认识不足或经费所限,只重视疾病防控能力和实验室检验检测能力的建设,而忽视了对公共卫生信息化的投入,很少将经费用于信息化建设和信息安全投入,信息化基础设施陈旧、软硬件设备老化,信息安全防范技术比较薄弱,因网络设备损坏、服务器宕机等故障或无入侵检测、核心防火墙等安全防护设备,导致信息数据丢失、窃取的现象时有发生,严重影响了重要信息数据的保密性、完整性和安全性,一旦发生信息安全事件后果将不堪设想。
3.2 专业技术人才缺乏
建设信息化、发展信息化最大的动力资源是掌握信息化的专业技术人才,人才的培养是行业信息化高速发展的基础,然而,公共卫生行业的人才梯队主要以疾病控制、医学检验专业为主,信息化、信息安全专业技术人才缺乏,队伍力量薄弱,不能很好地利用现有的计算机软硬件设备,也很难对本单位现有的信息化、信息安全现状进行有效的评估,缺乏制定本行业长期、可持续信息化建设发展规划的能力,这也是制约公共卫生行业信息化发展的重要因数。
3.3 信息安全培训不足,职工安全保密意识不强
信息安全是一项全员参与的工作,它不仅是信息化管理部门的本职工作,更是整个公共卫生行业的重要工作职责,很多单位没有将信息安全培训放在重要位置,没有定期开展信息安全意识教育培训,许多职工对网络安全不够重视,缺乏网络安全意识,随意接收、下载、拷贝未知文件,没有查杀病毒、木马的习惯,经常有意无意的传播病毒,使得单位网络系统经常遭受ARP、宏病毒等病毒木马的攻击,严重影响了单位网络的安全稳定运行;同时,许多职工对于单位的移动介质缺乏规范化管理意识,随意将拷贝有信息的移动硬盘、优盘等介质带出单位,在其他联网的计算机上使用,信息容易失窃,存在非常严重的信息安全隐患。
4 如何促进公共卫生行业计算机网络安全性提升
4.1 强化管理,建立行业计算机网络安全管理制度
为了确保整个计算机网络的安全有效运行,建立出一套既符合本行业工作实际的,又满足网络实际安全需要的、切实可行的安全管理制度势在必行。主要包括以下三方面的内容:
4.1.1 成立信息安全管理机构,引进信息安全专业技术人才,结合单位开展的工作特点,从管理、安全等级保护、安全防范、人员管理等方面制定统管全局的网络安全管理规定。
4.1.2 制定信息安全知识培训制度,定期开展全员信息安全知识培训,让全体员工及时了解计算机网络安全知识最新动态,结合信息安全事件案列,进一步强化职工对信息安全保密重要性的认识。同时,对信息技术人员进行专业知识和操作技能的培训,培养一支具有安全管理意识的队伍,提高应对各种网络安全攻击破坏的能力。
4.1.3 建立信息安全监督检查机制,开展定期或不定期内部信息安全监督检查,同时将信息安全检查纳入单位季度、年度综合目标责任制考核体系,检查结果直接与科室和个人的奖励绩效工资、评先评优挂钩,落实奖惩机制,惩防并举,确保信息安全落实无死角。
4.2 开展信息安全等级保护建设
开展信息安全等级保护建设,通过对公共卫生行业处理、存储重要信息数据的信息系统实行分等级安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,建立健全信息安全应急机制,定期对信息系统安全等保建设情况进行测评,存在问题及时整改,从制度落实、安全技术防护、应急处置管理等各个方面,进一步提高公共卫生行业信息安全的防护能力、应急处置能力和安全隐患发现能力。
4.3 加强网络安全技术防范
随着信息技术的高速发展,信息网络安全需要依托防火墙、入侵检测、VPN等安全防护设施,充分运用各个软硬件网络安全技术特点,建立安全策略层、用户层、网络与信息资源层和安全服务层4个层次的网络安全防护体系,全面增强网络系统的安全性和可靠性。
4.3.1 防火墙技术。防火墙技术在公共卫生行业网络安全建设体系中发挥着重要的作用,按照结构和功能通常划分为滤防火墙、应用防火墙和状态检测防火墙三种类型,一般部署在核心网络的边缘,将内部网络与Internet之间或者与其他外部网络互相隔离,有效地记录Internet上的活动,将网络中不安全的服务进行有效的过滤,并严格限制网络之间的互相访问,从而提高网络的防毒能力和抗攻击能力,确保内部网络安全稳定运行。
4.3.2 入侵检测。入侵检测是防火墙的合理补充,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,检测方法包括基于专家系统入侵检测方法和基于神经网络的入侵检测方法两种,利用入侵检测系统,能够迅速及时地发现并报告系统中未授权或异常现象,帮助系统对付内部攻击和外部网络攻击,在网络系统受到危害之前拦截和响应入侵,在安全审计、监视、进攻识别等方面进一步扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
4.3.3 虚拟专用网络(VPN)技术。VPN技术因为低成本、高度灵活的特点,在很多行业信息化建设中被广泛应用,公共卫生行业也有很多信息系统都是基于VPN进行数据传输的,如中国疾病预防控制信息系统等,通过在公用网络上建立VPN,利用VPN网关将数据包进行加密和目标地址转换,以实现远程访问。VPN技术实现方式目前运用的主要有MPLS、IPSEC和SSL三种类型,中国疾病预防控制信息系统VPN链路网络采用的就是IPSECVPN模式,利用VPN链路隧道,实现国家到省、市、县四级的互联互通和数据传输共享。VPN通过使用点到点协议用户级身份验证的方法进行验证,将高度敏感的数据地址进行物理分隔,只有授权用户才能与VPN服务器建立连接,进行远程访问,避免非授权用户接触或窃取重要数据,为用户信息提供了很高的安全性保护。
5 结语
在信息化高速发展的今天,计算机网络安全已经成为影响公共卫生行业健康稳定发展的重要因数,只有通过不断完善网络安全制度,加大网络安全软硬件投入、强化安全防范技术、开展信息安全等级保护建设、加快信息安全人才培养和网络安全知识培训等,才能保障公共卫生行业在良好的环境中有序、顺利的开展工作。
参考文献
[1] 庞德明.办公自动化网络的安全问题研究[J].电脑知识与技术,2009,(6).
1创建独立安全局域网服务器
当前,我国较多局域网体系没有单独创建针对服务器的安全措施,虽然简单的设置可令各类数据信息位于网络系统中高效快速的传播,然而同样为病毒提供了便利的传播感染渠道。局域网之中虽然各台计算机均装设了预防外界攻击影响的安全工具,制定了防范措施,然而该类措施恰恰成为网络安全的一类薄弱环节。在应对局域网络内部影响攻击时,效果不佳,尤其在其服务器受到病毒侵袭影响,会令全网系统不良崩溃。为此,对其服务器独立装设有效防护措施尤为重要。我们应在服务器内部安装单独的监控网内系统、各类病毒库的实时升级系统,令其在全过程的实时安全监督、优化互补管控之下安全快速的运行。当发觉网内计算机系统受到病毒侵袭时,应快速将联系中断,并面向处理中心报告病毒种类,实施全面系统的杀毒处理。而当服务器系统被不良攻击影响时,则可利用双机热备体系、阵列系统安全防护数据信息,提升整体系统安全水平。
树立安全防范意识,提升应用者防毒水平
局域网产生的众多安全问题之中,较多由于内网操作应用人员没有树立安全防范意识,令操作失误频繁发生。例如操作控制人员没有有效进行安全配置令系统存在漏洞、或是由于安全防范意识不强,令外网攻击借机入侵。在选择口令阶段中由于操作不慎,或将自身管理应用账号随意的借他人应用,均会给网络安全造成不良威胁影响。另外,网络钓鱼也成为影响计算机局域网络安全的显著隐患问题。不法分子惯用该类方式盗取网络系统账号、窃用密码,进而获取满足其利益需求的各类重要资讯、信息,还直接盗取他人经济财产。一些网络罪犯基于局域网络系统资源信息全面共享的客观特征而采取各类方式手段实施数据信息的不良截获,或借助垃圾邮件群发、发送不明数据包、危险链接等诱导迷惑方式,令收信方进行点击,对于计算机局域网络系统的优质安全管理运行形成了较大的隐患威胁。为此,应用管理局域网人员应明晰自身责任重大性,以身作则,对于陌生人传输信息、不明邮件不应理睬,还可利用删除、截获、屏蔽、权限管控等手段阻断钓鱼者侵入通道,不给他们以可乘之机,进而净化网络环境。
3实施制度化的文件信息备份管理,预防不可逆损失
中图分类号:TP309 文献标识码:A 文章编号:1009-3044(2013)10-2330-03
随着计算机技术和网络技术的不断发展,各行各业都如火如荼地进行着信息化建设。而网络的开放性、互连性、连接形式的多样性,也会带来数据安全的问题,如:数据窃取、数据泄漏、病毒传播、黑客攻击等问题。同时,自然环境的影响,如雷击火灾、恶略天气、电磁辐射等这些都严重威胁着数据的安全,而这些数据是否安全关系着业务是否正常运转。因此如何提高计算机数据的安全性,保障用户的社会效益和经济效益是个亟需解决的重大问题[1]。该文从五个方面对计算机数据安全策略进行分析。
1 数据安全的概念
数据安全有对立的两方面的含义:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等;二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。数据安全是一种主动的包含措施,数据本身的安全必须基于可靠的加密算法与安全体系,主要是有对称算法与公开密钥密码体系两种[2]。
2 当前计算机数据安全存在的主要问题
2.1 内部数据的泄密
内部数据的泄密是指一个被授权的人为了金钱或利益, 或因粗心, 将信息泄露给非授权的人。内部数据的泄密很大部分都发生在企业单位中,由于企事业单位对数据安全的重要性认识不足,采用的安全防范措施不够,结果导致了内部数据泄密事故频繁发生,对单位的数据安全构成了重大影响。
2.2 非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒合法用户、假冒服务网络、获取可以假冒合法用户身份的认证参数,滥用用户及网络服务职权进行非法操作以获得非法利益。
2.3 破坏数据完整性
以非法手段窃得对数据的完全控制权(包括增加、 删除、修改、或重发等)并对这些数据进行违法操作。例如通过恶意侵入程序与病毒传播,利用操作系统和应用程序的漏洞主动进行攻击, 窃取对方数据的使用权,任意删除、修改用户数据以获得非法利益[3]。
2.4 自然事故
3 计算机数据安全的防范策略
3.1 修复漏洞
几乎所有网络系统都存在着漏洞,这些漏洞有的是系统本身所有的,如Windows、UNIX 等操作系统都有一定数量的漏洞;有点是计算机应用软件自身存在的漏洞;有的是管理疏忽造成的计算机网络系统漏洞。修复漏洞包括修复应用软件程序的BUG、操作系统的安全漏洞、数据库的安全漏洞等。黑客或病毒经常利用漏洞对网络数据进行恶意攻击, 造成巨大损失。因此必须经常进行程序及数据库更新补丁;对数据的访问控制、网络权限,文件共享的进行合理设置; 禁止非必要端口的使用等[5]。
3.2 部署防火墙
3.3 使用安全监督软件
安全监督软件是提高数据安全性的重要工具,能记录用户使用计算机进行系统登录;查询数据修改、删除、插入等所有活动的过程。另外, 通过对安全事件的不断收集与积累并加以分析, 可以选择性地对其中的某些环节或用户进行审计跟踪,通过实时入侵检测,对进出网络的常见操作进行实时检查、监控、报警和阻断,及时发现并阻止违规操作的功能,从而防止针对数据的攻击与非授权访问。
3.4 防范计算机病毒
计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机安装杀毒软件,可以有效抵御大多数病毒攻击,加强用户的网络数据安全,同时要定期给杀毒软件升级更新。防范计算机病毒还可以采用内外网物理隔绝,拆除计算机终端光驱,禁用USB端口等从物理上防范计算机病毒的入侵。
3.5 建立完善的计算机安全管理制度
面对数据安全的脆弱性,除了在技术和硬件设计方面加强安全服务功能外, 还要在制度上、管理上下功夫。 首先,对机房及网络设备进行科学合理的管理。严禁非机房工作人员进入机房,保持机房清洁、卫生,定期打扫,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等);其次,做好网络安全工作,严格规范管理各种重要帐号;严禁不经许可对设备及系统的设置及参数进行修改;定期做好各种资料和数据的备份,建立安全实时响应和应急恢复的整体防护,确保数据一旦丢失或被破坏能及时修复或恢复;最后,加强对管理人员进行安全技术及安全管理培训,加强管理员安全意识等。
4 结束语
数据安全不仅仅是技术问题,同时也是一个安全管理问题。数据安全维护是一项复杂的系统工程,需要统一考虑,长远规划,不仅需要一套先进性、可扩展性的技术保障,还需要制定合理规范的管理制度、法规等。世界上不存在绝对安全的数据安全防范技术,随着计算机技术的进一步发展,数据安全防范技术也必然随着计算机应用的发展而不断发展,这都需要我们在实践中不断地积累经验,积极探索。
参考文献:
[1] 宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007, 45(17):104.
[2] 陈家琪.计算机网络安全[EB].上海理工大学,电子教材,2005.
[3] 龚奕.计算机网络安全问题和对策研究[J].软件导刊,2009 (2).
1运行管理的安全原则
(1)制定并不断完善公司专用的安全策略。为了保护网络安全,最重要的事情就是编写安全策略,描述要保护的对象,保护的理由,以及如何保护它们。安全策略的内容最好具有可读性,同时,注意哪些是保密的,哪些是可以公开的。此外,应严格执行。最后,必须随时保持更新。
(2)安全防范应基于技术、动机和机会3个方面考虑,以减少攻击者的成功率。从技术上讲,系统应同时需要相当高的通用技术和专用技术,从而避免不同级别的人员滥用系统。攻击者的动机方面,应消除攻击者的满足程度,使其感到受挫。每次攻击失败时,安全系统让攻击者移动到网络系统的其它地方,使攻击者工作很辛苦。
(3)应尽可能少地向攻击者提供可攻击的机会。首先关闭不用或不常用的服务,需要时再打开。第二,访问控制权限的管理应合理。第三,系统应能自我监视,掌握违反策略的活动。第四,一旦发现问题,如果有补救措施,应立刻采用。第五,如果被保护的服务器不提供某种服务,如FTP,那么,应封锁FTP请求。
(4)安全只能通过自己进行严格的测试,才能达到较高的安全程度。因为每个人都可能犯错误,只有通过完善的安全测试,才能找到安全系统的不足。要做到主动防御和被动防御相结合,应能提前知道自己被攻击。如果知道自己被攻击,其实已经赢了一半。安全系统不但防御攻击者,同时防御他们的攻击。因为攻击者经常失败后就换个地方,再次实行新的攻击,因此,不但防御攻击的源地址,同时防御主机周围灵活选择的范围。
(5)战时和训练相结合,也就是说,主动防御必须严格测试,并不断改进。同时,安全软件的选择应基于应用的重要性和产品的更新周期,保证安全系统应能跟上新技术的发展。应经常维护、定期测试和检查防御系统的每一个部件,避免安全系统的能力退化。
(6)在企业内部,应让每一为员工都深刻理解安全是大家的事,不是口号,而是警告,安全和业务可能有冲突,最好能够得到领导和业务人员的理解和支持。安全管理过程中,对人员的信任应合理、明智,不能盲目信任。在企业的安全防御系统中,除了采用常规的防御方案,应尽可能采用一些适合行业特点的新方案,对攻击者而言,也就多了一层堡垒。要有运行规范,包括管理制度、审计评估、网络安全规划、工程管理、安全监督和灾难恢复。
2运行管理的组织结构
为实现整个梯级调度的网络安全,需要各种保证网络安全的手段。网络安全功能的实现,必须从安全管理功能和管理员的职责上结合。企业的调度中心的信息部门应成立安全系统运行小组管理整个安全系统的运行,负责完成全企业的安全系统总体运行方案的编制,负责安全管理中心的建设,制订全企业范围的安全管理规范,对相关人员进行基本培训,指导各电站(厂)完成其安全系统的运行。应有专人负责网络安全,成立网络安全管理组,其成员包括领导、系统管理员、网络工程师以及网络安全专家等组成。
3运行管理的培训支持
3.1建立安全教育培训体系
为企业建立信息安全教育培训的制度,包括安全教育政策制订、安全教育计划制订和安全教育实施支持方案。此外,文档包括《企业信息安全组织管理》、《企业信息安全人员岗位指南》和《企业信息安全教育培训体系》。
3.2提供教育培训课程
(1)安全基础培训。
对象:企业全部与网络安全相关的人员。
容:系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施和商用安全产品分类等。
目标:增强系统管理员的安全意识,基本了解安全的实际要领,能够分辩出系统中存在的安全问题。
(2)Unix/Windows系统安全管理培训。
对象:公司安全相关的系统管理员。
内容:掌握Unix/Windows系统的安全策略,常见的攻击手段分析,各种流行安全工具的使用,在实验环境中实际编译、配置和使用各种安全工具。
目标:能够独立配置安全系统,独立维护Unix/Windows系统安全。在没有防火墙的情况下,使Unix/Windows系统得到有效的保护。
(3)防火墙、入侵检测、安全扫描、防病毒和加密等技术方面的培训课程。
对象:企业的安全运行和管理人员。
内容:安全软件和设备的基本概念和原理、作用与重要性、局限性、分类、安全设备安全策略、设计、自身的安全与日常维护、安全设备代表产品的演示和上机。
目标:了解Internet防火墙的基本概念,基本原理和基本的设计方法。能够对安全设备作日常维护。能够根据系统需求,做出相应的安全设备设计。能够对现有安全产品有一定的了解。
要求:具有基本UNIX/Windows, TCP/IP的知识,了解网络设计常识。
(4)安全开发培训课程。
对象:应用系统设计开发中与安全相关的人员。
内容:TCP/IP协议和传统Socket编程、IPSpoofing的详细剖析、StackOverflow的详细剖析、其他流行进攻方法IP Sniff: Sniff, Deny of Service,Connection Killing, IP hijacking等的解释、并配有实验。
目标:使系统管理员掌握黑客进攻的手段、原理和方法;并能在实际工作中保护系统的安全性。
3.3安全人员考核
协助企业建立信息安全人员考核体系,包括制订信息安全人员考核标准和建立安全相关人员定期的评估和考核制度。此外,文档包括《企业信息安全人员考核体系》。
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)81-0224-02
0引言
局域网平台为人们提供了一种实时交流传输、信息化、电子化工作模式,逐步被人们广泛利用并充分重视。局域网络具备显著的客观特征,其开放、广泛的应用环境令自身面临较多不良风险影响,提升了安全应用隐患。为此科学创建计算机局域网络安全应用环境,降低风险影响,优化维护管理势在必行。
1计算机局域网络及其安全内涵
计算机局域网络是在一定区域范畴中将多个计算机集成互联构成的网络系统。其区域界定较为自由,可以是单独的办公室或者建筑物,还可以是校区或社区等。基于不同的硬件设施设备组建构成的计算机局域网络系统可高达数千米范围。计算机局域网体系之中,可借助互联手段实现各项工作日程的高效统一、数据文件的良好同步、利用软件及硬件工具的全面共享等。然而该类功能的达成需要位于局域网之中创建安全有效的措施,而当前,一些安全手段并非十分严格,对于文件信息的安全扫描以及防火墙系统的安全水平设置等级有限。一些单位局域网自身的相互组成连接由于较为简单,应用的技术相对薄弱,没有创建切实可行的安全措施,便给网内传播病毒、安全攻击、漏洞侵袭造成了可乘之机。虽然局域网络系统之中的计算机实现了无缝高效互联,然而简单的设置令来自外界的风险、威胁因素可较为轻易的实现网络系统内部的快速蔓延扩散,一旦其中一台计算机由于操控误差或人为影响感染病毒、遭到侵袭攻击,便很可能令整体局域网络系统面临瘫痪。因此如何确保网络系统内部在高效互联的同时、同外界网络全面沟通的基础上,有效抑制来自外部系统的安全影响威胁,实施有效隔离,成为我们应首要探讨的重点问题。
2计算机局域网网络安全建设策略
2.1创建独立安全局域网服务器
当前,我国较多局域网体系没有单独创建针对服务器的安全措施,虽然简单的设置可令各类数据信息位于网络系统中高效快速的传播,然而同样为病毒提供了便利的传播感染渠道。局域网之中虽然各台计算机均装设了预防外界攻击影响的安全工具,制定了防范措施,然而该类措施恰恰成为网络安全的一类薄弱环节。在应对局域网络内部影响攻击时,效果不佳,尤其在其服务器受到病毒侵袭影响,会令全网系统不良崩溃。为此,对其服务器独立装设有效防护措施尤为重要。我们应在服务器内部安装单独的监控网内系统、各类病毒库的实时升级系统,令其在全过程的实时安全监督、优化互补管控之下安全快速的运行。当发觉网内计算机系统受到病毒侵袭时,应快速将联系中断,并面向处理中心报告病毒种类,实施全面系统的杀毒处理。而当服务器系统被不良攻击影响时,则可利用双机热备体系、阵列系统安全防护数据信息,提升整体系统安全水平。
2.2树立安全防范意识,提升应用者防毒水平
局域网产生的众多安全问题之中,较多由于内网操作应用人员没有树立安全防范意识,令操作失误频繁发生。例如操作控制人员没有有效进行安全配置令系统存在漏洞、或是由于安全防范意识不强,令外网攻击借机入侵。在选择口令阶段中由于操作不慎,或将自身管理应用账号随意的借他人应用,均会给网络安全造成不良威胁影响。另外,网络钓鱼也成为影响计算机局域网络安全的显著隐患问题。不法分子惯用该类方式盗取网络系统账号、窃用密码,进而获取满足其利益需求的各类重要资讯、信息,还直接盗取他人经济财产。一些网络罪犯基于局域网络系统资源信息全面共享的客观特征而采取各类方式手段实施数据信息的不良截获,或借助垃圾邮件群发、发送不明数据包、危险链接等诱导迷惑方式,令收信方进行点击,对于计算机局域网络系统的优质安全管理运行形成了较大的隐患威胁。为此,应用管理局域网人员应明晰自身责任重大性,以身作则,对于陌生人传输信息、不明邮件不应理睬,还可利用删除、截获、屏蔽、权限管控等手段阻断钓鱼者侵入通道,不给他们以可乘之机,进而净化网络环境。
2.3实施制度化的文件信息备份管理,预防不可逆损失
一般来讲,各类网络攻击或者是病毒侵袭,均需要首先找到网络系统中的落脚点方能实现攻击窃取目标。而计算机系统漏洞、局域网络后门则为攻击者提供了落脚点,成为不安全攻击的主体目标。当然该类漏洞无法绝对全面的彻底消除。因而,为有效提升各单位计算机局域网络系统的综合安全防护性能,应对系统以及各类数据、信息与文件进行定期全面备份,并确保制度化的实时升级管理,令该项制度成为应用局域网的现实规范。只有快速、及时、全面的实施整体数据信息及系统备份,方能在系统受到不良侵袭、导致信息不慎丢失时能够快速恢复,杜绝不可逆影响的发生并产生永久损失。另外,对于资料信息的整体备份内容同日常应用储存数据不应放于同一计算机或服务器之中,不然该类备份便会毫无意义。如果备份程序还支持加密,我们则可借助数据加密处置,多为磁盘增设一道密码保护屏障。基于计算机病毒发展快速、更新频繁、攻击方式变幻莫测的状况,工作人员还应为整体系统做好维护管理、打补丁升级及全面更新的应用控制,提升整体系统防护病毒影响水平。可通过防火墙系统安装、监督控制手段应用、安装强力查杀病毒工具软件、定期备份杀毒、整理磁盘,注册表清理及冗余删除,规范文件应用及垃圾文件删除等方式,实现系统的安全最优化目标。
3结论
总之,计算机局域网网络安全建设尤为重要,我们只有明晰其攻击影响特征、安全隐患状况,制定切实可行的防护管理策略,规范操作行为、做好病毒查杀、危险源防控,及时更新升级,才能真正提升计算机局域网安全环境水平,进而创设显著的经济效益与社会效益。
【关键词】
计算机;网络安全;有效性
如今,计算机的运用已经涉及到我们生活的方方面面,因为它是与社会的各个阶层、行业息息相关的,所以许多行业内的数据流通都是通过计算机网络进行的,特别是一些重要的信息传递,也是通过相应的网络链接进行的。在数据和信息传递工作开始之前,网络的使用安全必须是我们首要保证的。目前,计算机网络安全的危害类型主要有计算机病毒、网站信息泄露、系统入侵等,这其实也都是和信息数据的保密、完整、有效性三个方面有关。为了进一步增强大众对计算机网络安全有效性的了解,本文结合作者多年研究探索,对计算机网络安全管理的有效性进行了下述的分析,从安全管理的基本内涵到实际的运行管理都进行了一一论述。
1.计算机网络安全管理概述
计算机网络的安全管理,是指当信息在一个网络环境中传递的时候,我们利用先进的网络控制和管理技术实现数据的完整、保密和有效。网络环境的构建主要有两个方面,一个是物理网络,另一是虚拟网络(逻辑网络),这是与计算机的实际构造相互对应的。因此,计算机网络还有物理安全和逻辑安全两个方面。物理网络安全主要是与一些计算机的传输系统设备相关,比如服务器、路由器等。至于虚拟网络的安全,则是和具体的软件、系统相关,关于它的安全防护,我们需要重点从防火墙、数据密码加密等方面下手。计算机网络的主要特征是资源共享,又同时具有开放性、国际性。目前计算机网络的安全存在着巨大的隐患,除了相关物理运行设备的外在因素,比如自然灾害等突发状况、设备故障等偶发因素,以及人为的破坏影响,这还和虚拟网络的病毒传播、系统非法入侵等有关。很多不法分子,为了获得相应的数据信息,不惜人为破坏计算机的电脑配件,甚至利用一些恶意代码和计算机病毒从而使得计算机系统瘫痪,这都使得我们在使用计算机时的网络安全无法得到保证。
2.计算机网络安全运行过程中存在的问题
2.1网络运行安全模型低。计算机网络在运行时,它都是按照一个安全模型进行工作的,但很多现有的计算机网络的安全保护模型的等级较低,当故障出现,对网络硬件设备进行保护时,其划分的功能区域不明显,保护工作常常不能及时进行,并还会出现在一个区域内重复保护工作。网络的运行安全模式必须能够对使用者的信息储存、传递等方面进行良好的保护工作,并且还需要对入侵者的破坏行为进行阻止,及时保证使用者的信息不被泄露。因此,安全模型必须事先能够对入侵者的行为进行破坏评估,并及时根据评估进行安全策略预防工作。与此同时,物理设备都应有相应的安全策略和权限设置,比如路由器,对于网络接入者必须严格限制和监督。目前计算机网络安全按照保护的等级可分为最低保护、自定式保护和强制性保护三类,为了加强虚拟网络的保护范围和力度,我们对于系统软件都要设定为基本的自定式保护,对于某些重要的信息数据,还要设定为强制性保护。
2.2计算机网络的不稳定性。计算机网络的不稳定性,主要体现在操作系统和计算机内部系统上。操作系统的不稳定是因为其原本的体系结构存在漏洞,这些漏洞在运行的过程中,非常容易给病毒软件提供攻击的机会,比如操作系统的创建进程和超级用户的越级操作。至于计算机内部系统,一般而言是计算机的硬件故障,比如电源、驱动器、硬件故障,当然还有软件故障,比如操作系统的失灵、驱动程序和应用软件的故障等。网络的组成是还需要交换机、路由器等设备的,在网络连接中,网络端口的一个使用安全也是非常重要的。在虚拟网络中,TCP/IP协议是保证用户进入网络的一个重要安全协议,但是如果有非法用户搭线进行非法访问,这个协议是无法全面保证计算机内部的信息安全。
3.保证计算机网络安全的有效性措施
3.1研发安全技术,维护网络环境。计算机网络安全的保证,首先需要我们进一步研发它的安全技术,并从多个方面维护网络的安全环境。物理网络中,各个设备的接口和运行使用方面都要做好安全使用的准备工作,一旦出现网络故障时,能够防止信息传递时的信息泄露。在虚拟网络中,防火墙应该是重点的安全保护,对于现阶段防火墙还不能够防护的方面要及时完善。安全技术的研发要建立在实际的物理设备上,并根据虚拟网络运行的要求及时进行补充。
3.2提升个人安全防范意识,做好网络安全的监督管理。对于用户来说,计算机网络的安全使用,还需要个人提升自我的安全防护意识。用户在进行网络冲浪时,应事先开启网络的系统防护,对于一些不法网站应该拒绝登陆,如果发现有病毒恶意攻击计算机,立即开启杀毒软件进行防护。企业和个人在进行网上交易时,要了解其相关的注意事项。网络的安全监督管理,应该由政府相关部门积极出面,对网络犯罪进行严格的侦查处理,一旦发现问题网站,及时对这些网站进行问题查处。
4.结语
总而言之,就当前的时展要求下,计算机网络安全管理是非常有必要的,因为它不仅是保障信息安全的重要手段,同时它也是维护我们网络使用的主要工具。计算机网络安全的保障工作,不仅需要硬件、技术的支持,更需要政府的监管以及广大互联网使用者的共同努力。作为网络使用者一定要提高自身的安全防范的意识,而政府部门也要加强对网络的监督管管理,对于违法的网络行为及时进行处理。
参考资料:
0 引言
随着当代信息科学与技术的突飞猛进,特别是信息网络化的飞速发展,人类社会正在向信息化社会全面发展。信息化进程对教育产生了深刻的影响,高校的教学与管理借助计算机网络已经司空见惯,大学资源计划(URP)更是涵盖了大学校园网各种应用系统的集成系统,使全校的信息能通过统一的接口实现有效的共享。但与此同时也出现了诸多网络安全问题,病毒、特洛伊木马、网络蠕虫、恶意软件、间谍软件以及拒绝服务(DOS)攻击等各种安全威胁事件成指数级增长,因此网络的安全管理显得非常重要。
1 安全问题探因
目前,我国高校计算机网络的安全管理普遍存在问题,或是病毒入侵致使校园网瘫痪,或是信息过滤不足致使大量垃圾邮件冲垮邮件服务器等。造成这些问题的原因主要有以下五个方面:
(1)在高校计算机网络兴起的初期,校园网的建设只重视规模不在乎安全。大部分的学校将主要精力和财力集中于校园网的扩容建设,在网络安全方面的投入不足,缺乏必要的网络安全意识。
(2)高校网络安全管理人才缺乏。现有的网管人员多数对网络安全的技术和经验不足,难以应付日益复杂多变的网络环境,缺乏处理突发网络安全事故的经验和能力。
(3)网络用户安全防范意识薄弱,缺乏足够的网络安全防御技术和能力。高校校园网内的网络用户主体是大学生,收发邮件、聊天、下载等很流行,如果缺乏足够的网络安全防御技术和能力,就会在不经意间感染病毒并加以传播,对校园网造成严重影响甚至瘫痪。
(4)网络道德教育严重后。恶意使用网络资源、浏览黄色网页、接受、不良信息等问题日趋严重,大学生网络犯罪也呈现上升趋势。
(5)相关的管理法规、制度不健全,监督机制不完备,管理漏洞多。高校对国家已出台的法规,如《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等宣传力度不够,很多师生不了解,也未定出适应于本校的网络安全管理规定。另外,网络安全监督的机制也没有完善,大部分高校未发挥学校在网络安全管理中的主导作用。
据此,学校在计算机网络的安全管理方面应加大力度,采取相应的措施,防范可能存在的网络安全隐患,保障校园网的安全运行。
2 构建全面的安全策略
2.1 改进管理
从学校政策层面考虑,应重视高校计算机网络的安全管理,加大投入,完善校园网安全管理的各项规章制度,健全网络安全监督机制;并引进专业的网络安全管理人才,对网络管理人员进行专项培训,加强安全意识和安全业务技能;重视校园网络用户安全教育,大力开展学生网络道德教育,对大学生进行安全常识教育,如防杀病毒软件的安装、病毒库的更新、来历不明电子邮件的处理等,以抵御来自校园网外部的攻击。
2.2 技术安全策略
从技术应用层面考虑,应通过合理有效的网络管理技术来应对日趋复杂多变的网络环境,通过各种技术手段来监督、组织和控制网络通信服务以及信息处理,确保计算机网络的持续正常运行,并在计算机网络运行异常时能及时响应和排除故障。以下将主要阐述四种技术在高校计算机网络安全管理上的应用。
(1)入侵检测系统
入侵检测系统(IDS)是一种不同于防火墙的主动保护网络资源的网络安全系统,是防火墙合理和必要的补充。它完全改变了传统网络安全防护体系被动防守的局面,使网络防护变得更积极、更主动,特别是IDS可视化安全管理功能给网络安全防护工作带来了革命性的变化。
拥有防火墙的用户可以通过IDS与防火墙的联动,进一步加强网络安全管理的控制功能。当IDS发现入侵时,可以在报警的同时通知防火墙拦截可疑的数据包,实现对入侵行为全方位的控制。对于网络中原先就使用网管软件的用户来说,如果IDS产生的报警消息可以被他们的网管软件所接收,那就意味着其现有资源可以得到最大限度的利用,而且可以实现对包括入侵在内的各种网络异常现象的统一管理。另外,IDS还可以通过SNMP?Trap消息将报警事件发送到网管平台,实现与各类网管平台的集成。
(2)身份认证管理与准入控制
在众多的网络安全事件背后,普遍存在的事实是大多数的网络用户不能及时安装系统补丁和升级病毒库。每个网络用户都可能成为网络攻击的发起者,同时也是受害者。因此,如何管理众多的用户及其接入计算机,如何确保绝大多数的接入计算机是安全的,这些问题决定了能在多大程度上保证网络的可用性。
网络准入控制就是思科为了应对这种情况而率先提出来的。它通过对用户的身份认证,对用户的接入设备进行安全状态评估(包括防病毒软件,系统补丁等),使每个接入点都具有较高的可信身份和基本的安全条件,从而保护网络基础设施。从中可以看出,身份认证是网络准入控制的基础,不论采用哪种准入控制方案,都必须采用某种形式的身份认证技术。目前常用的身份认证方式包括:用户名/密码方式,公钥证书方式,动态口令方式等。
以清华大学的准入控制系统为例,它通过提供综合管理平台,对用户和接入设备进行集中管理,统一实施校园网的安全策略。在用户终端试图接入网络时,安全客户端首先搜集、评估用户机器的安全特征,包括系统补丁、病毒库版本等信息;并把这些特征和用户信息上传至认证服务器,进行用户身份认证和安全策略对照;根据对照结果,非法用户将被策略控制服务器拒绝接入网络;是合法用户、但接入计算机没有达到基本安全要求的将被隔离到隔离区;进入隔离区的用户可以根据组织的网络安全策略,进行安装系统补丁、升级病毒库、检查终端系统信息等操作,直到接入终端符合组织网络安全策略;合法合格的接入终端可以根据组织安全策略正常访问网络。
(3)蠕虫主动防治
Internet蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫在传播速度和危害性两个方面上远远高于传统意义上的病毒。因此,在Internet上必须采用自动化的防范系统。
目前,主要有三类Internet蠕虫主动防治技术:接种疫苗用于遏制易感主机数量;强制关机用于遏制已感主机数量;双向疏导用于遏制蠕虫传播流量。在蠕虫防治的不同阶段――预防、检测、遏制和清除阶段,这三类技术既可以单独形成自动蠕虫防治系统,也可以组合在一起构成更大规模的自动防治系统。
蠕虫疫苗接种的过程必须首先建立易感主机列表,并利用漏洞攻击代码,随后嵌入蠕虫疫苗,实施疫苗接种。而强制关机 是针对已感主机的主动防治技术,在某些情况下,直接关掉已感主机是比较有效的降低蠕虫传播速度的措施,仅靠在网络边界封堵流量并不能直接减少已感主机的数量。双向疏导则是通过控制已感主机的流量来控制蠕虫的传播流量,对于本地网络而言,已感主机的出流量可以通过DNS劫持技术来控制,已感主机的入流量可以通过零路由技术来控制。
(4)出口流量的分析与管理
高校校园网的网络规模正在不断扩大,校园网内部数据传输率越来越高,上网用户数量多,上网时间比较集中,并且网络应用越来越丰富,这些因素对校园网的出口压力越来越大。部分用户的过度下载,占用了校园网出口的大部分网络带宽,也使网络设备严重地超负荷运转。如以BitTorrent(BT)为代表的P2P下载就占用了网络接入的大量带宽,据统计已超过50%。因此,学校网络中心应利用技术手段禁止或限制某些不合理的网络应用,限制用户校外下载,合理地使用校内的网络资源。与此同时,也可以尽量减少外部不良信息、病毒、蠕虫等对校园网络的危害,减轻校园网安全管理的负担。
对BT应用进行封锁,大致有三种方法。第一,针对BT客户软件的应用端口6880~6890,在出口路由器或防火墙上,利用ACL访问控制方法将此范围的应用禁止使用;第二,对BT种子服务器、BT跟踪服务器进行封锁;第三,对出口使用CISCO路由器的网络,可利用CISCO公司出品的PDLM模块,针对BT应用服务标识封锁BT等点对点应用。而要对BT应用进行带宽限制,可以利用校园网出口三层交换机或路由器提供的QOS质量服务功能,对不同应用给予一定的带宽限制,并对不同的应用给予不同的优先级,以保障重要应用的服务质量。或者运用针对点对点应用的专用流量控制设备,从应用层来识别点到点应用,并根据管理策略有针对性地对点对点应用加以带宽限制,保障用户合理使用网络资源。
引 言:计算机网络系统越来越多的被运用到信息资源的共享和开放上,信息安全问题日益突出,互联网的规模不断拓展,各类网络安全事故呈现不断增长的态势,黑客、网络犯罪、病毒等安全隐患正在威胁着信息资源的安全。由此可见,作为一项综合开发的系统工程,计算机网络安全需要我们进行长远的规划和摸索。
一、计算机网络安全的定义
互联网技术起源于20世纪60年代,繁荣于90年代,在人们的日常生活中起着举足轻重的作用。计算机网络安全要求各类数据在任何情况下不被篡改、泄露、损坏,同时要保证计算机系统内部硬件、软件以及数据资料的稳定、安全,除此之外,还要充分保证计算机系统的持久稳定运转,保证网络连接的延续性和及时性。由此可见,计算机网络安全有着其深层的内核,即保证网络信息资源传播的安全、完整、严密、真实、实用等。
二、计算机网络安全问题分析
计算机安全隐患是由多种因素造成的,信息技术不断进步,信息化成为时代潮流,信息处理主要依靠网络手段,信息数据的机密性和重要性等都加剧了信息资源的安全隐患,截至目前,计算机主要存在黑客攻击、恶意篡改资料、病毒、系统漏洞等安全隐患。
1.计算机网络的物理安全问题
计算机网络安全最基本、最核心的是计算机物理安全,水灾、火灾、地震等灾害均会影响到计算机的网络安全。除此之外,防雷电、电磁干扰、防火、防水等设备环境也会影响到计算机网络安全。
2.计算机病毒
《中华人民共和国计算机信息系统安全保护条例》曾如此解读计算机病毒:计算机编程人员在进行程序输入时无意识的行为造成计算机操作功能障碍或者损坏计算机原有的数据资源,所编的计算机程序代码或者指令影响到计算机的正常操作功能和自我修复、自我复制。计算机病毒有其自身显著的特征,如传染性强、破坏性大、复制性强等。计算机病毒以网络媒体作为传播媒介,时刻威胁着计算机系统的网络安全。“极虎病毒”出现于2010年,“极虎病毒”侵入计算机后会占用CPU程序,360安全卫士、瑞星等杀毒软件会出现自动关闭的现象。“极虎病毒”会自行篡改系统文件、损害杀毒软件等,更为甚者会泄露网络或计算机的账户信息,一旦出现账户被盗的现象将会造成严重的经济损失。
3.计算机操作系统、软件安全漏洞
漏洞指协议、软件、硬件等在实施或者在系统安全问题等方面存在问题和缺陷,它会使计算机攻击者在未经授权的情况下肆意访问或者损坏计算机系统。Windows XP、Windows 7等系统不断完善,但仍存在漏洞。计算机用户所使用的应用软件不可避免的存在设计上的不足,极易引起黑客恶意攻击和网络病毒的乘机而入,这些都为计算机网络安全敲响了警钟。
4.人为因素造成的网络安全问题
(1)计算机操作人员安全意识较为薄弱,安全意识薄弱。威胁网络安全的因素是多方面的,如网络管理员、系统设置错误、计算机用户操作口令泄露,新建文件未有效删除被窃取等。
(2)计算机的群体水平良莠不齐,任何不合理的人为原因都会造成网络安全隐患的发生。群体计算机的水平不一,人为操作引起的失误也会破坏网络安全。
(3)对网络信息安全缺乏健全的管理机制,监督力度不够,相关执法人员对网络安全制度的实施和监管力度不够,给网络安全埋下了严重的隐患。
三、解决计算机网络安全问题的对策
计算机网络存在的若干问题需要健全的安全策略进行监管。安全策略作为一项规则,是计算机使用者在特定环境为得到安全保护所必须遵守的。计算机网络安全策略涉及多方面因素:
(1)建立健全完整严密的信息安全体系。国家和政府应该从中国实际情况出发,制定符合规律的法律、法规和相关政策,严厉打击网络犯罪行为,建立健康、稳定、安全的网络环境;
(2)引进和开发先进的网络安全技术,从技术层面保证计算机网络的安全;
(3)加强对网络安全的监督和管理,完善网络使用企业、单位或机构的信息安全管理机制,加大网络安全监督的执法力度,培养网络使用者的安全防护意识。
1.加强网络安全的物理环境建设
相应的物理环境因素会危害计算机的网络安全,保证计算机系统、通信链路或者网络设备安全,必须化解人为破坏、自然灾害和各种物理手段对计算机的损害。同时,要对计算机设备的关键部分进行电磁防护,为计算机网络安全建构安全、稳定的物理环境。
2.信息加密技术
信息加密技术能最有效的保证信息资源的安全。密码技术是多学科综合的交叉学科,集计算机科学、通信、电子、数学等各类学科特点于一身,能对数据资料等进行加密,同时能实现有效身份验证、秘密分存、数字化签名等手段,杜绝信息被恶意篡改和盗取。通常所说的信息加密技术指:保护关键密钥KEK定期变换加密会话密钥的安全密钥、动态会话密钥。
3.防火墙技术
网络防火墙能创设安全的计算机网络环境。防火墙能够有效隔离内部网络和外部网络,通过建立网络通信监督体系实现阻隔外部网络入侵的作用,与此同时,还能实现杜绝网络非法操作现象的发生。防火墙技术能对存在安全隐患的因素进行拦截、过滤和阻挡,还能最大限度的保证网络信息传播途径的安全、可靠。目前市场上广泛使用的防火墙技术包括防火墙和包过滤防火墙两种类型,能为客户提供多样的防护技术和方法。
4.计算机防毒和杀毒
计算机病毒是网络安全的一大隐患,安装杀毒软件能保障网络安全。杀毒软件安装完成后要定期对计算机进行扫描和杀毒,及时消除可能存在的安全隐患,与此同时,及时升级或更新病毒库和杀毒软件。常用的杀毒软件包括瑞星杀毒软件、360安全卫士等。
5.安装补丁程序
目前广泛使用的WindowsXP,Vista,Windows7等操作系统都或多或少的存在系统漏洞。为了防止黑客恶意攻击,要及时在官方网站进行补丁程序的下载和安装,为计算机网络构建和谐、安全的运行环境。
6.提高安全防范意识
网络使用者安全意识薄弱是引发网络安全事件的重要因素。加强网络操作者的安全防护意识、提升网络安全的整体技术水平,实现计算机网络系统的安全操作,同时,加强网络监管的力度,减少人为原因造成的网络安全事故。
四、总结
互联网技术的迅猛发展使网络安全成为不容忽视的问题,计算机网络有着显著的开放性特征,所以网络攻击和破坏现象时有发生。人为因素和自然因素都会不同程度的损坏计算机网络系统,潜在威胁除了影响局域网还会危害广域网。网络安全需要引起我们的极大重视,我们要规范自身行为,文明上网,不访问不健康网站,严格遵守网络安全的各项规章制度,保证良好、健康、安全的网络使用环境。
参考文献:
[1]蒲飞.计算机网络安全问题分析与对策[J].2012(04)
1 银行计算机风险的表现
1.1 黑客和病毒
计算机在银行业广泛应用,计算机系统一旦遭受黑客的侵犯,后果十分严重。黑客监视网络数据截取信息、从事经济领域的间谍活动、未经授权对计算机系统的功能进行修改、从事进行信用卡诈骗和资金盗用、对计算机系统进行恶意破坏。近年来,计算机病毒名目繁多,花样不断翻新,银行系统一旦感染,计算机系统立刻瘫痪,程序和数据遭受破坏。
1.2 安全管理存在漏洞
目前,我国的银行管理制度尚不完善,管理者缺乏加强计算机安全管理的意识。或者系统内从事计算机安全管理的工作人员计算机技术水平不高、职责划分不清。一些不法之徒利用内部防范机制的缺乏,窃取管理员身份,盗用操作密码,非法获取信息。
1.3 计算机网络犯罪
近年来,银行业利用计算机网络技术犯罪呈上升趋势,而我国法律法规尚不健全,往往缺乏针对性强的条款对其量罪定刑。在实践中,往往非法获利或者非法获取情报等定罪,法律法规已经严重滞后。因此,银行业有必要强化安全保障措施,提高计算机网络系统的安全性,同时国家也需要加快立法进程,为保障计算机网络安全提供法律依据。
2 银行业计算机风险产生的原因
2.1 安全防范责任不明确
银行业往往缺乏专业的计算机安全监控部门,或是虽然设置了专门机构,但由于管理层对计算机安全防范工作不重视,监督和管理力度不系统、不全面,导致银行业缺乏一套完整的安全防范体系,导致不法分子有机可乘。银行业计算机安全系统在运行的过程中没有做好维护,安全防范责任不明确,给计算机网络犯罪留下了一定空间。
2.2 从业人员计算机水平较差
技术应用范围的扩大,计算机犯罪现象越来越频繁,手段越来越先进。当前,我国银行业从业人员业务素质相对较高,但计算机水平相对普遍较差。员工的计算机水平与银行业高度发达的现状很不适应,操作过程中存在误操作的可能性,对计算机安全防范意识差、安全管理工作容易被忽视。计算机安全保障体系不健全,无法对计算机犯罪进行有效防范。
2.3 内部机制不健全
计算机安全管理流于形式,安全管理措施不当,无法发现管理漏洞,无法及时采取措施避免经济损失。很多银行为了减少成本,对计算机系统缺乏定期的安全检查和必要的技术升级,计算机的系统安全级别无法及时提升,计算机系统缺乏加密技术和管理措施,一些重要信息处于不加密或低加密状态。缺乏职业道德和安全防范培训,从业人员难以抵制金钱诱惑。
3 银行计算机风险的防范策略
3.1 明确计算机网路安全防范职责
成立计算机的安全防范小组,明确网路安全管理工作人员的工作职责。加强行业内安全意识培训工作,帮助从业人员树立计算机安全防范意识。网络安全管理工作人员做好定期检查、安全监督等工作,定期对银行安全防范系统进行升级。计算机开发、维护和运行过程中岗位分离、相互制约的内控机制。
3.2 提高员工的安全防范素质
对银行各个岗位进行定期轮岗培训,提高银行工作人员的防范意识和计算机素质。培养从业人员提高对行业内部资料保密意识和计算机网络安全防范意识。引导每个员工了解网络安全防范技术手段,防止员工因为计算机素质缺乏留给计算机网络犯罪分子可乘之机。
3.3 健全计算机安全管理制度
健全安全管理制度,对计算机代码、源程序、密钥、密码、账户信息等重要资料进行严格保密,对废弃报表和存储设备及时销毁。重要应用程序尽可能由行内技术人员开发,确实需要交由外部软件公司开发的,要签订责任书。加强密码管理,禁止使用公用密码,重要密码应由专人管理。健全计算机安全应急制度,模拟突发性事件,完善各项应急措施。建立计算机网络安全定期检查制度,定期组织安全检查,防患于未然。
3.4 配合国家出台相应的法律法规
加强银行业计算机安全管理,打击计算机犯罪需要健全的法律保障。银行系统需要定期向国家提供最新信息,反馈现行法律法规存在的一些漏洞。要与国家立法部门、司法部门、行政部门通力联合,出台相关法律法规,加强计算机安全体系建设。只有国家出台了法律法规保障,银行业计算机风险防范才能获取最坚强的后盾。
综上所述,银行业计算机风险防范直接关系我国金融机构的生存和发展,关系国家经济的安全。目前,我国银行业计算机网络安全管理存在很多不完善的地方,相信通过明确安全防范职责,提高员工安全防范素质,健全计算机安全管理制度,配合国家出台相应的法律法规,银行业一定可以建设一套科学的,完整的,有效的计算机安全防范体系。
[参考文献]