前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的加強網絡安全隊伍建設主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:信息安全 防御體系 醫院信息化管理
中圖分類號:TP316 文獻標識碼:A 文章編號:1674-098X(2014)06(a)-0038-01
1 醫院信息安全現狀分析
1.1 信息安全策略不明確
醫院信息安全策略工作的不明確,使醫院對于信息工作提出了更高的要求。醫院信息安全工作的建設并不是那樣的簡單,有些醫院只是簡單的注重各種網絡安全產品的采購,但是并沒有制定信息安全的中、長期的計劃,這些醫院沒有根據自己的網絡安全出現的一些問題而采取一些應對措施,也沒有根據自己的信息安全目標制定符合實際的安全管理策略。以上現象的出現,使醫院信息安全產品不能發揮出應有的作用,不能得到適當的優化和合理的配置。
1.2 計算機病毒等危害日益嚴重
醫院網絡安全事件頻繁發生,直接影響到醫院活動的正常運行。據調查,網絡安全問題是由病毒泛濫、黑客攻擊、系統漏洞等原因造成的,網絡安全事件與脆弱的用戶終端和“失控”的網絡密切相關,用戶終端不及時升級系統補丁和病毒庫,或者私設服務器、濫用政府禁用軟件、私自訪問外部網絡的現象普遍存在,如果失控的用戶終接入網絡,就會使潛在的威脅趁虛而入,并大幅度的擴散開來,后果不可想象。想要解決目前醫院網絡安全管理問題,需要我們保證用戶終端的安全、阻止威脅入侵網絡和對用戶的網絡訪問行為進行有效的控制。這樣,醫院網絡安全才可以進入可觀局面。
1.3 信息安全意識不強,安全制度不健全
信息安全事件存在多方面的不足,歸結起來要么是醫院未制定安全管理制度,要么制度后實際卻沒去實施。對于醫院信息安全問題來說,醫院內部人員起到很大的作用,但是實際情況下,醫院內部人員的計算機知識卻相對薄弱,特別是在信息安全知識和意識方面,所以醫院應加強對內部員工安全知識的培訓。
2 構建醫院信息安全及防御體系的措施
目前,想要完成醫院信息安全的任務,首先要根據醫院的實際狀況出發,制定出相應的措施。醫院信息安全應包括安全策略、安全管理和安全技術,只有將這三個方面的安全措施做好,醫院信息安全便可取得一定的效果。
2.1 提升信息安全策略
網絡信息安全需要從管理和技術兩方面下功夫。網絡信息安全并不是一個單一或獨立的問題,在根據醫院網絡信息實際出現的問題采取相對應的措施外,還應該嚴格務實的實施下去,只有這樣可以提高網絡信息系統安全性。我們在網絡安全實施的策略及步驟上應包括以下五方面的內容: 制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。
2.2 完善信息安全管理
從安全管理上,要制定出相對完善的機制,遵守并實施安全管理制度,加強對醫院員工的安全意識培訓,引導并督促他們對安全意識深入了解,最后還要制定出網絡安全應急方案等。
第一,安全機構建設。成立專門的信息管理組,并設立各個部門及其主要領導,每個部門規定相應的職責,層層推進,共同實施信息管理任務。除此之外,還應該及時的進行信息的安全檢查和應急安全演練。
第二,安全隊伍建設。若想要醫院信息系統能夠正常有序的運行,則需要建立一支較高水平、較高實力的安全管理隊伍。安全管理隊伍可通過引進或則培訓等渠道建立。
第三,安全制度建設。為了確保醫療工作的正常運行,需要建立一套可行的安全制度,其內容包括很多方面,比如:系統與數據安全、應用安全、網絡安全、信息安全、物理安全和運行安全等等。
2.3 提升醫院信息安全技術水平
依據安全技術的實施結果分析,要針對檢測到的安全漏洞,制定出全面且徹底的補救方案與改進措施。
(1)冗余技術。冗余技術的作用可以實現網絡的可靠性,冗余技術包括:電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等。若無冗余技術的作用,醫院信息網絡就會就會出現故障或變化,這樣會導致醫院業務的瞬間質量的惡化甚至內部業務系統的中斷,并且醫院信息網絡作用于整個醫院的業務系統,需要保證網絡可靠并正常的運轉,這就更需要冗余技術來發揮維持網絡穩定性的作用了。
(2)建立安全的數據中心。無論對于患者或是醫院來說,醫院的醫療數據都是非常重要的,但是由于醫療系統的數據類型非常豐富,在對數據的多次讀取的和儲存的同時,難免造成數據的丟失,或則被惡意破壞、非法利用等安全問題,所以,建立一個安全的數據中心成為必需。一個安全的數據中心具有以下功能:有效的杜絕安全隱患、確保病患的及時信息交互、保證各個醫療系統的健康運轉和加強醫療系統的安全等級。數據交換、數據庫、服務器集群、安全防護和遠程優化等組件都是融合的醫療數據中心的組成部分。
2.4 安裝安全監控系統
想要保持醫院內部的安全策略,安全監控系統扮演著非常重要的角色。安全監控系統不僅能充分的利用了醫院現有的網絡投資,還可以起到監督的作用,監控各種網絡行為和操作進行,可以隨時隨地的記錄各個終端和網絡設備的使用狀況,而且還能起到隔離部分被攻擊的組件的作用,
3 結語
醫院信息安全并不是一個簡單的系統,應該采取多種有效的技術手段來應對不同網絡威脅,當然,也應該清醒的認識到不可能把信息安全問題徹底解決掉,絕對安全是不存在的。但是,只要我們把系統合理、安全規劃,技術上制定好相應的安全防護措施并認真務實的執行下去,建立一個將誤差降低最小的安全防護系統,才是我們一直追求的目標,才能實現保護醫院信息安全的目的。
參考文獻
[1] 魏牧.淺談醫院信息系統的安全管理[J].科技資訊,2009(8).
[2] 管斌,孫曼凌.淺談醫院信息管理系統[J].中國社區醫師(綜合版),2007(18).
[3] 黃俊星.現代化醫院建設中醫院信息系統管理的探索[J].江蘇衛生事業管理,2007(1).
關鍵詞:網絡安全;風險評估;安全措施
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發生的信息安全事件正在日益引起全球的關注,列舉的近年來的網絡突發事件,不難發現,強化提升網絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估,是指網絡安全防御中的一項重要技術,它的原理是,根據已知的安全漏洞知識庫,對目標可能存在的安全隱患進行逐項檢查。然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平提供重要依據。完成一個信息安全系統的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現,以及所導致的信息技術環境的轉變,信息安全工作人員要不斷地評估當前的安全威脅,并不斷對當前系統中的安全性產生認知。
2 網絡安全風險評估的現狀
2.1 風險評估的必要性
有人說安全產品就是保障網絡安全的基礎,但有了安全產品,不等于用戶可以高枕無憂地應用網絡。產品是沒有生命的,需要人來管理與維護,這樣才能最大程度地發揮其效能。病毒和黑客可謂無孔不入,時時伺機進攻。這就更要求對安全產品及時升級,不斷完善,實時檢測,不斷補漏。網絡安全并不是僅僅依靠網絡安全產品就能解決的,它需要合適的安全體系和合理的安全產品組合,需要根據網絡及網絡用戶的情況和需求規劃、設計和實施一定的安全策略。通常,在一個企業中,對安全技術了如指掌的人員不多,大多技術人員停留在對安全產品的一般使用上,如果安全系統出現故障或者黑客攻擊引發網絡癱瘓,他們將束手無策。這時他們需要的是安全服務。而安全評估,便是安全服務的重要前期工作。網絡信息安全,需要不斷評估方可安全威脅。
2.2 安全評估的目標、原則及內容
安全評估的目標通常包括:確定可能對資產造成危害的威脅;通過對歷史資料和專家的經驗確定威脅實施的可能性;對可能受到威脅影響的資產確定其價值、敏感性和嚴重性,以及相應的級別,確定哪些資產是最重要的;準確了解企業網的網絡和系統安全現狀;明晰企業網的安全需求;制定網絡和系統的安全策略;制定網絡和系統的安全解決方案;指導企業網未來的建設和投入;通過項目實施和培訓,培養用戶自己的安全隊伍。而在安全評估中必須遵循以下原則:標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。
安全評估的內容包括專業安全評估服務和主機系統加固服務。專業安全評估服務對目標系統通過工具掃描和人工檢查,進行專業安全的技術評定,并根據評估結果提供評估報告。
目標系統主要是主流UNIX及NT系統,主流數據庫系統,以及主流的網絡設備。使用掃描工具對目標系統進行掃描,提供原始評估報告或由專業安全工程師提供人工分析報告。或是人工檢查安全配置檢查、安全機制檢查、入侵追查及事后取證等內容。而主機系統加固服務是根據專業安全評估結果,制定相應的系統加固方案,針對不同目標系統,通過打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強。
系統加固報告服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出加固報告。系統加固報告增強服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統加固實施服務選擇使用該服務包,必須以選擇 ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶,并由專業安全工程師實施加固工作。
3 網絡安全風險評估系統
討論安全評定的前提在于企業已經具有了較為完備的安全策略,這項工作主要檢測當前的安全策略是否被良好的執行,從而發現系統中的不安全因素。當前計算機世界應用的主流網絡協議是TCP/IP,而該協議族并沒有內置任何安全機制。這意味著基于網絡的應用程序必須被非常好的保護,網絡安全評定的主要目標就是為修補全部的安全問題提供指導。
評定網絡安全性的首要工作是了解網絡拓撲結構,拓撲描述文檔并不總能反映最新的網絡狀態,進行一些實際的檢測是非常必要的。最簡單的,可以通過Trackroute工具進行網絡拓撲發現,但是一些網絡節點可能會禁止Trackroute流量的通過。在了解了網絡拓撲之后,應該獲知所有計算機的網絡地址和機器名。對于可以訪問的計算機,還應該了解其正在運行的端口,這可以通過很多流行的端口發現工具實現。當對整個網絡的架構獲得了足夠的認知以后,就可以針對所運行的網絡協議和正在使用的端口發現網絡層面的安全脆弱點了。通常使用的方法是對協議和端口所存在的安全漏洞逐項進行測試。
安全領域的很多專家都提出邊界防御已經無法滿足今天的要求,為了提高安全防御的質量,除了在網絡邊界防范外部攻擊之外,還應該在網絡內部對各種訪問進行監控和管理。企業組織每天都會從信息應用環境中獲得大量的數據,包括系統日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險,是風險管理中重要一環。目前的技術手段主要被應用于信息的收集、識別和分析,也有很多廠商開發出了整合式的安全信息管理平臺,可以實現所有系統模塊的信息整合與聯動。
數據作為信息系統的核心價值,被直接攻擊和盜取數據將對用戶產生極大的危害。正因為如此,數據系統極易受到攻擊。對數據庫平臺來說,應該驗證是否能夠從遠程進行訪問,是否存在默認用戶名密碼,密碼的強度是否達到策略要求等。而除了數據庫平臺之外,數據管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證,不但要檢驗其是否存在安全問題,還要確認其有效性。大部分數據管理產品都附帶了足夠的功能進行安全設定和數據驗證,利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用,而這往往是獲得系統權限和數據的跳板。事實上大部分的安全漏洞都來自于應用層面,這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規程化的面向體系底層的安全評定相比,應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。
4 結束語
目前我國信息系統安全風險評估工作,在測試數據采集和處理方面缺乏實用的技術和工具的支持,已經成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法,總結出一套適用于我國國情的信息安全效用評價體系,以保證信息安全風險評估結果準確可靠,可以為風險管理活動提供有價值的參考;加強我國信息安全風險評估隊伍建設,促使我國信息安全評估水平得到持續改進。
參考文獻:
[1] 陳曉蘇,朱國勝,肖道舉.TCP/IP協議族的安全架構[N].華中科技大學學報,2001,32-34.
[2] 賈穎禾.國務院信息化工作辦公室網絡與信息安全組.信息安全風險評估[J].網絡安全技術與應用,2004(7),21-24.
[3] 劉恒,信息安全風險評估挑戰[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.
[4] [美]Thomas A Wadlow.網絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.
[5] 張衛清,王以群.網絡安全與網絡安全文化[J].情報雜志,2006(1),40-45
[6] 趙戰生,信息安全風險評估[R],第全國計算機學術交流會,2004.7.3.
論文關鍵詞:金觸信息系統風險隱患防范措施
隨著,國金融電子化建設的不斷深人,電子化、網絡化、集約化已經成為金融業信息化發展的大趨勢,電子計算機及信息技術的應用已經滲透到金融業經營的各個層面,成為了金融業務開展的基礎,現代金融就是“貨幣+信息”。金融信息化系統安全的重要性也與日俱增,成為金融業經營管理工作中的頭等大事。本文就當前金融信息系統風險隱患的成因進行剖析并提出對策措施。
一、金融信息風險成因
1.系統運行環境的不安全。一是操作系統平臺的漏洞。金融信息系統主要是基于UNIX.Windows,SUN等系統平臺設計的,而這些操作系統,安全級別較差,存在著安全漏洞,如系統崩潰漏洞、拒絕服務攻擊漏洞、緩沖區溢出漏洞等,都能導致系統的癱瘓。二數據庫管理系統的缺陷。數據管理系統是信息系統的基礎,必須與操作系統的安全配套,但這無疑是一個先天不足。三是網絡協議安全的脆弱。計算機網絡系統大都使用TCPIIP協議,傳統的FTP,E-MAIL等服務都包含著影響金融信息安全的因素,存在著漏洞,容易被攻擊,直接威脅到金融信息系統的安全。
2.信息系統設計不完善。近幾年,金融信息系統不斷開發出來和投人運用,創新了金融工具和金融業務,但由于有的系統在開發中,片面注重科技創新追求快出成果,對安全的認知程度不高,缺少風險管理概念,忽視了系統的有效性和安全性,系統沒有統一的安全標準,功能單一、容災、容錯能力弱,應用效果差,沒有發揮應有的作用,造成信息資源的浪費。
3.安全系統建設缺乏整體性。根據木桶理論,金融信息系統的整體安全性,取決于安全系統的最薄弱環節,而當前安全系統只重視單一或幾個安全產品的部署,網絡安全產品仍然是在以“點”發展,停留在訪問控制、病毒掃描、內容過濾等方面,而忽視整體安全系統建設。
4.安全隊伍建設和員工安全意識教育不到位。高素質的安全管理人員的缺乏嚴重地影響了計算機信息系統安全措施的有效落實。就當前情況來看,金融機構安全管理人員大都是由計算機工程技術人員兼任,他們既是電子化工程項目的建設者、管理者,也是信息安全的管理者,集電子化建設和信息安全管理于一身,職責不明,責任不清,不能有效地對安全現狀進行真實、客觀的評估和審計。
5.安全防范措施不力,內部控制不產。落后的管理也使計算機安全工作大打折扣。據統計我國銀行業的IT投人有59%花費在了硬件設施上,軟件投人所占比例為23%,管理服務上的投人少,只有18%,這與國外銀行業的IT投人比例形成了鮮明的對比。落后的管理也使計算機安全工作大打折扣。從已經發生過的金融計算機犯罪事例來看,大多數問題出在疏于檢查、放松管理上。據有關部門統計,我國銀行系統發生的計算機犯罪案件,85%來自內部人員或內外勾結作案。
二、構建安全的金觸信息系統
1.樹立正確的信息安全觀。從金融管理機構到金融機構、從金融管理層到基層員工都要高度重視金融信息安全,清醒的認識到加強金融信息安全的根本是保障金融業務的連續性、是促進金融的可持續發展,有效的金融信息安全管理策應對企業的財務狀況,現金流量等進行分析。一是資產負債結構。分析受評企業負債水平與債務結構有助于了解管理層理財策略(如債務到期安排,企業償付能力等)。此外,企業的融資租賃、未決訴訟中的負債項目也會影響評級結果;二是盈利能力。通過對銷售利潤率、凈值報酬率、總資產報酬率等指標衡量;三是現金流量充足性。現金流量是衡量受評企業償債能力的核心指標。凈現金流量、留存現金流量和自由現金流量與到期總債務的比率,基本可以反映受評企業營運現金對債務的保障程度;四是資產流動性。主要考察企業流動資產與長期資產的比例結構。同時,通過存貨周轉率、應收賬款周轉率等指標反映流動資產轉化為現金的速度,以評估企業償債能力的高低。
為了能準確地考察借款人的償債能力,非財務因素對于借款人的影響也是不可忽視的。非財務因素主要指借款人所處的行業、經營特征、管理方式、還款意愿以及其他一些因素。
上述模型考慮了企業自身的內部組織結構,經營方式的不同給銀行在實際貸款時可能帶來的不同程度風險。該模型對各因素的內容作了具體描述,對風險的程度劃分詳細,便于操作。在深層次的信用評級中,還應考慮相關的實際因素如行業風險、業務風險等對企業信用的影響。