前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全建設現狀主題范文,僅供參考,歡迎閱讀并收藏。
油田企業的數據信息資源,對油田企業非常重要,一旦受到破壞,將會給油田企業帶來巨大的經濟損失。所以在油田網絡信息安全體系建設的過程中,需要將其安全性提升,加強外部安全建設。在預防為主的基礎上進行,對外部因素、病毒因素的影響,只有將系統的安全性提升,才可以杜絕此類影響的發生。在油田網絡信息安全體系建設中,建立防火墻,可以將體系的安全性提升,在網絡和油田網絡信息安全體系之間建立一個安全網關,保護體系不受非法入侵者侵入和攻擊。防火墻的建設,將體系的安全性、網絡的安全性提升,有效地阻止了體系的非法訪問,不允許外網訪問內網。在建設網絡防火墻的基礎,增加入侵檢測設置,對系統入侵進行控制。入侵檢測技術是防火墻的一種互補,可以提升油田網絡信息安全體系中信息管理的性能,保證信息的完整性,減少網絡威脅。
2加強內部建設
在加強外部安全建設之后,油田網絡安全信息體系的建設,想要保證信息管理的安全性,保證信息的完整性,還需要加強系統的內部建設。從當前油田網絡信息安全體系建設現狀進行分析,加強內部建設,可以從設置系統訪問權限、對網絡病毒進行防治、加強網絡信息安全體系的管理等方面入手。保證油田網絡信息安全體系以及信息安全的有效手段之一,就是設置系統的訪問權限,采用虛擬網絡技術對油田企業的數據信息安全進行保護。其次是加強病毒防治技術的應用,提高網絡信息體系的安全。病毒在網絡中的傳播途徑和傳播方法有多種,為了提升油田網絡信息安全體系的安全,提升信息管理質量,需要堅持層層設防、集中控制、以防為主防治結合的原則,進行系統安全性的建設。最后加強系統的安全管理,如果網絡安全管理缺乏,系統在工作的過程中,也會對數據信息的安全產生一定的威脅,為此需要在油田網絡信息安全體系運用中,加強網絡安全管理,提高系統的病毒防治有效性。
3結語
關鍵詞:財政系統;網絡信息安全;建設
財政,作為一個國家、一個地區的核心工作之一。財政安全就是國家最高層次、地區最高層次的安全問題,而財政安全又關乎到國計民生、國家命脈,所以就需要做好財政系統網絡信息安全建設,才能夠滿足財政系統整體的要求。
1財政系統網絡信息安全面臨的問題
基于財政系統網絡信息安全建設分析,其主要面臨的問題在于:(1)計算機系統本身漏洞計算機系統本身是通過人類的不斷研究開發與更新才能夠實現的,但是不能夠將所有的問題都考慮進去,這樣也使得系統漏洞的存在是無法避免的。存在漏洞,就代表會給黑客留下入侵的機會。在當前的大數據時代背景下,財政系統的數據被大量的收集與使用,這也給黑客更多的入侵機會,一旦成功,財政系統數據就會毫無保留地被黑客獲取,這樣就會面臨大數據信息泄漏的危機,這樣也會讓財政系統的信息安全得不到保障[1]。(2)信息傳輸中面臨的隱患在信息的實際傳輸環節,財政系統信息安全還會受到信息損耗、被竊取等威脅。為了避免通信傳輸之中出現信息篡改和竊取的問題,就需要懂得利用IDS監控、VPN加密等安全手段,這樣才可以確保網絡傳輸協議之中網絡層的安全性,通過系統安全對應的加固,才能夠避免財政系統傳輸過程之中出現信息安全方面的隱患。(3)數據多樣化,影響網絡信息安全管理在當前的大數據環境中,數據使用相對廣泛,這樣會影響數據的有效控制。龐大的數據量,使得財政系統的信息越來越多,這樣無疑就會增大管理難度,并且數據傳播途徑也會變得多樣化,使得數據傳輸也越來越快速,最終就有可能會脫離有效的控制范圍,常規化的管理就無法滿足多樣化的數據要求,最終就會影響系統網絡信息的安全性。
2加強財政系統網絡信息安全建設的有效途徑
基于財政系統網絡信息安全建設可能面臨的難點匯總之中,首先,我們就需要找準網絡信息安全建設的目標,這樣才能夠提出財政系統網絡信息安全建設的有效途徑,最終推動財政系統的可持續發展要求。
2.1網絡信息安全建設的目標
通過財政系統網絡信息安全建設,就可以實現用戶行為規范化的管理,能夠實現安全管理制度的有效完善,并且也可以將臨時用戶和內部用戶的行為直接限定在可控的范圍之中,這樣就可以落實制度,讓網絡信息安全的理念真正深入人心;保證財政系統的正常運行,需要完善的網絡應急機制和保障預案的支持,在面臨突發網絡安全事件的時候,財政系統的服務不會出現中斷,單位能夠實現資金的正常運轉;積極抵御非法入侵,做好網絡之中可疑行為的嚴密監控;保證財政系統網絡信息數據的安全,確保數據本身的完整性,實現對各種信息數據丟失風險的有效抵御,在安全事件發生之后,能夠及時的進行恢復[2]。
2.2財政系統網絡信息安全建設的有效途徑
(1)積極轉變觀念,增強網絡信息安全憂患意識目前,財政系統的信息化建設還處于初期的發展階段,還有諸多需要探索的區域,并且很多部門和個人的安全憂患意識沒有得到形成,不重視計算機網絡安全技術的使用。針對這一種情況,完全依靠信息部門是無法實現的,還需要相關的領導和管理部門共同支持,為信息部門牽線搭橋。讓業務部門和應用人員能夠真正意識到網絡安全的重要性,這樣才可以在實際的工作之中做好安全防范,才能夠針對涉密的財政信息真正實現“如臨深淵,如履薄冰”的有效處理。(2)安全管理的具體實施在當前財政系統的信息安全建設之中,還需要考慮到財政信息管理法律法規、制度與標準的制定和落實,能夠嚴格按照當前的網絡信息安全管理制度、系統建設管理制度、人員安全管理制度,再配合上全員參與的基本原則,通過建立網絡信息安全管理責任制與考核機制,最終就可以滿足各級安全組織結構的建立健全,實現信息安全管理人員職責的明確。具體來說,還需要考慮到:第一,實現內網與外網的物理隔離。為了保障財政系統網絡信息安全,能夠杜絕互聯網出現的干擾與攻擊,就需要將內外網的隔離落實,將內外網的物理連接切斷,這樣才可以保障財政系統網絡信息的安全。第二,新建下一代防火墻,構建日志審計、數據庫審計,上網行為管控、系統預警監控平臺,完善內外網的殺毒防毒。在網絡出口及安全域與安全域之間進行隔離和訪問控制,實時不間斷地將用戶和來自不同安全設備、網絡設備、主機、操作系統、數據庫系統、用戶業務系統的日志、警報等信息進行匯集,實現全網綜合安全審計。通過正版殺毒軟件在計算機上安裝運行,做好病毒數據庫的及時更新,對于電腦病毒需要保持高壓態勢。第三,落實數據備份,做好軟件更新,完善硬件檢修。針對重要的數據,還應該做好定期的備份,保障其安全性。針對業務軟件,需要升級補丁,做好漏洞的及時彌補。一般來說,其備份可以選擇:首先,分級集中式備份,也就是將下級財政單位的網絡信息數據直接備份到上一級財政單位數據庫之中,落實分解集中管理。其次,分布式備份,將各個財政單位各自負責管理自己的業務數據,上級財政單位的服務器掛接高容量磁盤,從而實現對下級單位重要增量數據的備份處理。最后,本地備份、介質傳送,也就是直接將高容量的磁盤連接到地市/區縣財政局的服務器上,僅僅是備份本地服務器之中的數據。數據通過磁盤等存儲介質的傳送,不依賴網絡實施。三種不同的方案,都擁有各自的優點與缺點,所以,財政單位還需要考慮到自己的實際情況,有針對性地進行應用的選擇。建設嚴格科學的財政系統網絡信息安全運行保障體系。而運行保障體系的建立,就需要長效應急流程和處理響應應急預案機制的支持,再配合上責任安全管理制度,這樣就可以保證在突發事件出現之后,財政系統依舊可以正常的運行。第三,積極學習,努力提升安全防范能力。在《提高信息安全意識》中,歐洲網絡信息安全局提出:在當前所有的信息安全框架之中,人這一個因素是最為薄弱的環節。只有實現人們陳舊安全觀念和認知文化的革新,才能夠將信息安全方面存在的隱患真正的減少。所以,財政部門還需要積極引導干部職工做好相關業務的學習,能夠致力于網絡安全知識的普及,不斷增強全體成員的網絡安全意識,能夠努力提升網絡安全技術,提倡懂技能、有意識、負責任、講文明的網絡行為規范,形成人人保信息、人人重安全的氛圍,真正從思想上和技術上重視網絡信息安全意識,這樣才能夠讓財政人員在掌握最新網絡安全現狀的同時,又能夠實現對最新網絡信息安全威脅的有效應對[3]。
【關鍵詞】云平臺 系統安全 軌道交通 AFC系統
1 國內軌道交通AFC發展現狀
在地鐵大系統中,自動售檢票系統(AFC系統)以其高度的智能化設計,扮演著售票員、檢票員、會計、統計、審計等角色,以數據收集和控制系統實現了票務管理的高度自動化。隨著電子技術的高速發展,自動收費系統理念和技術也發生了巨大變化,一卡通、微信支付寶,電子錢包等便利手段的應用愈來愈普及,為廣大乘客帶來極大便利。
隨著微信支付,支付寶支付、銀聯支付等網上支付興起,AFC系統也在積極探索尋求新的發展途徑。
傳統的AFC系統是封閉的,也是安全的。傳統的AFC系統難以快速、安全地接入外部互聯網,云平臺很好地補充傳統AFC系統業務場景的不足,支撐網上支付的云平臺網絡安全問題必然成為了城市軌道交通業務擴展的首要面臨的問題。
2 云平臺系統安全的必要性
2.1 云平臺的主要功能
云平臺承擔線網互聯網票務管理職能,實現線網互聯網終端統一管理、互聯網車票統一發行和管理、乘客移動端服務界面管理、支付系統對接管理等功能。
2.2 云平臺的現狀
云平臺部署在AFC網絡內,依賴現有的物理網絡,互聯網售取票機直接連接云平臺。云平臺通過網絡運營商提供的服務連接外部互聯網,實現與不同支付平臺以及移動端的連接。
2.3 現階段云平臺的架構
如圖1所示,云平臺作為傳統AFC系統的補充,作為城市軌道交通運營公司統一的對外接口,實現與第三方支付平臺、商業銀行等支付機構的對接,為運營公司提供廣泛的中間業務支持,也可以對互聯網售票機進行票務管理。
2.4 現階段云平臺的安全隱患風險分析
云平臺是城市軌道交通的重要業務網絡,其網絡環境的安全性直接影響到市民的日常生活及公共安全。云平臺受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,甚至在敏感地^對國家安全造成嚴重損害。
3 云平臺系統安全在AFC系統應用的可行性
強化云平臺系統安全建設,按照公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室和相關國家部門關于信息系統在物理、網絡安全運行、主機安全、應用安全、備份及容災等技術方面和管理等方面的總體要求,科學合理評估系統風險,合理確定安全保護等級,在此基礎上科學規劃設計一整套完整的安全體系建設方案。
(1)為云平臺系統提供安全的網絡環境;
(2)保障的現有AFC系統的安全性和獨立性;
(3)增強了云平臺對抗攻擊和病毒的能力,同時具有主動安全防御能力,在現有復雜的安全形勢下加強了生產網絡的安全性,保障業務的穩定性;
(4)按照立體式的安全體系設計,做到對風險可預防,可控制;
(5)滿足國家和行業對網絡安全建設的要求,符合相關等保標準要求。
4 云平臺系統安全技術應用方案研究
4.1 云平臺系統安全設計原則
(1)實用性和先進性原則;
(2)高性能原則;
(3)可靠性原則;
(4)安全性原則;
(5)可擴展性原則;
(6)可管理性原則;
(7)前瞻性原則;
(8)等級標準性原則。
4.2 云平臺系統技術架構
云平臺系統安全模型是整體的、動態的,該模型對于安全環境的理解與傳統的安全模式有很多不同,要真正實現一個系統的安全,就需要建立一個從檢測、防御、預測到恢復的一套全方位的安全技術體系。
4.3 云平臺系統安全規劃
4.3.1 網絡邊界安全
針對常見的SQL注入、緩沖區溢出、暴力破解等黑客入侵攻擊行為進行有效的防護。通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議的方式,接管了終端計算機對網絡和服務器的訪問。過濾掉所有對目標設備的非法訪問行為,并對內部人員誤操作和非法操作進行審計監控,以便事后責任追蹤。
4.3.2 應用主機安全
應安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫;應能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發生嚴重入侵事件時提供報警;應能夠對重要程序完整性進行檢測。
4.3.3 數據存儲安全
部署安全審計系統,對存在的數據庫操作行為進行審計。審計的內容包含操作的人員,操作的時間,操作的內容等,當內部出現數據庫安全事件時可以通過數據庫審計系統定位到相應的責任人,做到有據可查。
4.3.4 安全態勢感知
在大規模網絡環境中,收集安全運行的各類要素,采集各類安全狀態信息、匯聚各類安全事件和網絡攻擊,基于大數據計算技術,監控、識別、感知安全威脅、異常流量與攻擊源等,分析預判未來一段時間內的安全影響趨勢,感知風險威脅,預知安全隱患并協同處置。
4.3.5 《網絡安全等級保護管理辦法》
云平臺系統設計、建設和運營需要滿足國家和行業對網絡安全建設的要求,符合等保三級及以上要求。
云平臺作為軌道交通的重要業務系統,需要加強系統安全建設,貫徹落實總書記2016年4月19日《在網絡安全和信息化工作座談會上的講話》精神,建立“威脅識別、精準監管、整體協同、預警響應”的安全態勢感知體系,推動軌道交通行業信息系統安全技術發展,協同構建國家自主可控的信息安全保障體系。
作者單位
一、我省財政系統網絡安全建設基本情況
遼寧省財政廳的辦公局域網系統建于1996年,經過幾坎改造升級后,現在已經做到全廳800多節點速度全部為100M。安全建設方面,我們除了將廳辦公局域網與其他物理網絡隔離開之外,在廳局域網核心交換機和核心路由器之間,我們使用了1臺東軟防火墻,用以保障廳內各應用服務器避免受到來自外聯單位的攻擊。同時還在核心交換機上部署了IDS入侵檢測設備和“天鏡漏洞掃描系統”軟件,以及“局域網綜合網絡管理平臺”和“局域網流量管理”兩套軟件。用以保護廳內辦公人員的終端系統安全。病毒防范方面我們統一采購了“趨勢防毒墻”防病毒軟件。在數據存儲方面,我們將“國庫集中支付”、“非稅收入管理”、“辦公自動化”等重要應用系統的數據集中遷移到可靠性更高的HP EVA5000存儲設備上,并通過veritas備份軟件每天將重要應用系統的數據集中備份到HP6030磁帶庫設備上,為各應用系統的數據安全提供一定的保障。各市財政系統在網絡安全建設方面也都大體與省廳類似,基本上都在自己的辦公局域網絡邊界配置了各種品牌的防火墻設備用以保障本地辦公網絡的安全,以及部署了“趨勢”、“瑞星”等網絡版殺毒軟件用以防范網絡病毒。
二、財政系統網絡信息安全面臨的問題
1 網絡黑客攻擊。黑客是網絡的天敵,根據我國財政信息化網絡建設的現狀。黑客攻擊又分為來自內部的隱性攻擊與來自外部的顯性攻擊。黑客通常具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具非法侵人重要信息系統,竊聽、獲取、攻擊有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。
2 網絡病毒破壞。20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進人到系統中進行擴散。計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。
3 信息傳輸中的隱患。信息傳輸過程中的信息損耗、被竊取越來越威脅到財政信息的安全。為了防止在通信傳輸過程中對信息的竊取和篡改,可采用VPN加密、IDS監控等安全手段,以保證網絡傳輸協議中網絡層的安全。不斷進行系統安全加固處理,將財政安全隱患扼殺在傳輸過程中。
4 缺乏嚴格的安全管理制度。財政信息化改革才剛剛起步,有很多規章制度還不成熟,沒有嚴格的安全管理機制,缺乏整體安全方案,還沒有可以借鑒的經驗,機房、網絡的混亂管理造成了財政信息網絡安全的隱患,一旦出現問題,造成的損失將是無法估量的。
5 各方面防范措旋不到位。財政信息網絡是復雜而龐大的,財政信息網需要承擔的任務有很多:web網站、辦公自動化、各業務軟件的正常運行、實現與上級的聯網、保障各縣區網絡暢通等等,這樣,不可避免地要面對來自各個方面的攻擊。例如,web站點遭受的惡意代碼攻擊等。
三、保障財政系統網絡信息安全的對策
1 轉變觀念,增強網絡安全憂患意識。現在,財政系統信息化建設剛剛開始,仍處于探索階段,許多部門和個人的安全憂患意識還尚未形成,對計算機網絡安全技術還未能給予足夠的重視。對于這種情況。僅僅依靠信息部門的努力還不夠,也要有領導和管理部門來搭臺。然后由信息部門唱戲。讓業務部門和應用人員從思想上認識到網絡安全的重要性,然后才能在實際工作中處處注意安全防范,對的財政信息,處理時真正做到“如臨深淵,如履薄冰”。
2 培植系統健壯性,提高系統自身防范能力。選擇安全性能良好的系統作為財政網絡的信息平臺,才能從根本上保證信息網絡的安全。及時升級、更新操作與應用系統。選用網絡版的殺毒軟件,通過控制中心對整個財政內部網絡進行監控,把病毒扼殺在搖籃中。購買了反病毒軟件、防火墻軟件,只是實現網絡安全的第一步,是否充分發揮了安全產品的作用。是否定期去升級最新病毒代碼,定期檢查網絡的每個終端配置是否正確,運行是否正常等等,這些才是防范病毒、黑客,保證網絡安全暢通的關鍵所在。采取對用戶口令、指紋的識別等手段來識別合法的用戶。采用用戶身份認證機制,確保對系統資源的合法使用。采用具有安全機制的數據庫系統和其它系統軟件,加強對使用事件的審計記錄的管理,以保證財政信息在網絡協議系統層的安全。
關鍵詞:大學;校園網絡;網絡通信安全;現狀;對策
中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2011) 24-0000-01
University Campus Network Communication Security Situation and Countermeasures
Wang Xiaowen,Chai Dapeng
(Engineering College of Shanxi University,Taiyuan030013,China)
Abstract:This paper campus network traffic status and countermeasures to do a series of elaborate,for your reference.
Keywords:College;Campus network;Network communications security;Status;Countermeasures
網絡技術在當今已經滲透了社會的各個領域,大學校園的網絡也已經投入使用。校園網是互聯網極為重要的組成部分,對于大學生的生活和學習影響很大。當前大學校園的網絡存在著很多安全隱患,不利于學生的身心健康。大學的校園網絡系統具有開放性和信息的共享性,很容易導致網絡遭到病毒或者黑客攻擊,大學的校園網在教學、管理、科研及對外聯絡的工作當中起著舉足輕重的作用。如何保證校園網絡安全、高效、穩定地運轉,成了越來越多的人員開始關注的問題。
一、大學校園的網絡特征
互聯網技術已經廣泛應用于大學的各個學科教學當中,并且取得了一定成效。大學的校園網絡能夠實現校內的計算機、局域網、國際互聯網的互連,實現了資源共享和信息的溝通。由于使用校園網的用戶群比較密集和活躍,所以存在著很多安全隱患,其安全管理極為復雜。
(一)管理的復雜性。大學的校園網絡并不同于其它領域的網絡系統管理,校園網當中的計算機購置及管理情況極為復雜。通常學生宿舍當中的電腦都是由學生自己購買和維護的,院系的電腦一般都是統一購買、有專門技術人員維護或者教師自己購買,沒有專門人員的維護。在這樣的情況下,如果要求對所有計算機系統實施統一安全管理是很困難的。
(二)用戶的規模大。一般大學生都是集中住宿的,所以用戶群較為密集,而且數目比較多,這就形成了大學的校園網具有高帶寬和用戶量大的特點,使得網絡的安全問題蔓延快,對網絡所產生的影響極為嚴重。
(三)網絡安全的意識淡薄,管理制度不完善。大學的教學及科研特點決定校園網絡的環境具有開放性,其管理也較為寬松。大學生往往是比較活躍的,對網絡技術有強烈的好奇心,很多非正常的訪問都有可能導致網絡的資源浪費,與此同時也會為校園網絡的安全帶來隱患。
(四)資金的投入有限。大學校園的網絡建設與管理通常對網絡安全沒有足夠的重視,僅僅將有限經費投入到關鍵的設備方面,對于網絡的安全建設并沒有系統投入,尤其是對于維護和管理人員方面沒有足夠的投入。
二、大學的校園網絡中所存在的問題
(一)操作系統的漏洞。當前大學的校園網中使用的操作系統中所存在的IIS漏洞、游覽器的漏洞及TCP/IP協議的漏洞對信息安全和系統的使用都有可能構成嚴重威脅,導致系統癱瘓等狀況。很多校園網中計算機的病毒都借助操作系統中所存在的漏洞傳播,不利于校園網絡為學生服務。
(二)病毒危害。眾所周知,病毒會對計算機的系統運行產生一定影響,甚至有可能導致計算機及網絡系統癱瘓,影響著校園的網絡安全。病毒如果通過網絡進行傳播的話,其傳播速度及破壞性遠超過其它類型的病毒,學校所接入的INTERNET網絡有可能為外界病毒的進入提供使得條件,學生們所下載的電子郵件和程序都有可能攜帶著病毒。
(三)安全管理方面的缺陷。校園網是近些年才發展起來的,在很多方面校園網絡建設并不完善,大學校園的網絡建設大都存在著軟件投資方面的問題。純粹把網絡系統當成技術工程進行實施,而沒有系統、安全的管理政策,勢必不利于校園網絡的安全。校園網絡管理措施如果不夠得力的話,隨時都可能導致病毒傳播的泛濫或信息丟失等,后果相當嚴重。
三、大學校園的網絡安全防范策略
當今大學的校園網絡已經成為了一個極為復雜的系統。如果想確保校園網站的安全,應當從管理及技術等多個層面入手,針對校園網用戶的情況制定相關政策。由于校園網的用戶大多都是學校管理及教學人員,不能夠對用戶做太多限制,一定要盡可能的利用現有設備,發揮現有設備所具有的技術潛力,同時也要考慮到添置的設備先進性及擴展性,為今后的網絡發展創造更為有利的條件。
(一)網絡監控。校園網絡系統的管理人員在不影響校園網絡系統正常運轉的情況之下,應當增強內部的網絡監控制度,以便最大限度保護校園網絡資源,為學生提供更為有利的資源。管理人員可以通過有效的監控方式,增強校園網絡系統安全的反應和自我適應能力,對不安全的因素及時做好防范,保證網絡的服務能夠正常提供,形成功能完善的監控系統。
(二)培養素質高的維護隊伍。高等院校的網絡中心可以組建起網絡安全維護的隊伍,對其進行網絡安全的管理培訓及指導,以便加強對大學的校園網絡管理力度,保證校園的網絡能夠快捷、規范、方便地運行。
(三)構建良好文化氛圍。信息安全對于實現高校教育的信息化來說極為重要,除了安全技術的管理之外,文化氛圍是否良好對于高校信息的安全工作開展也起著至關重要的作用。
大學校園的網絡信息安全日益復雜化,其安全建設應當以校園網的信息安全現狀作為前提,通過對信息安全知識的培訓來加強用戶安全意識。只有建立起便捷、安全的網絡環境,保障了校園網安全,才能夠提高校園網絡信息資源的保密性、可用性及完整性。
四、結論
在大學校園中,計算機技術在迅速發展著,為師生學習、工作提供了方便。然而我們在享受科技帶來方便的時,也應當認識到網絡安全的問題已經成為了網絡應用過程中的巨大障礙。一定要根據校園網情況的發展變化制定一系列解決方案,保證校園網絡的安全,使得校園網向著良性方向發展,為學生的成長創造有利條件。
參考文獻:
[1]林瑞云.大學校園網網絡安全對策[J].現代通信,2003,10期
[2]田進華.高校校園網無線局域網通信安全策略探析[J].信息系統工程,2011,3
關鍵詞:醫院信息系統安全體系網絡安全數據安全
中國醫院信息化建設經過20多年的發展歷程目前已經進入了一個高速發展時期。據2007年衛生部統計信息中心對全國3765所醫院(其中:三級以上663家:三級以下31O2家)進行信息化現狀調查顯示,超過80%的醫院建立了信息系統…。隨著信息網絡規模的不斷擴大,醫療和管理工作對信息系統的依賴性會越來越強。信息系統所承載的信息和服務安全性越發顯得重要。
1、醫院信息安全現狀分析
隨著我們對信息安全的認識不斷深入,目前醫院信息安全建設存在諸多問題。
1.1信息安全策略不明確
醫院信息化工作的特殊性,對醫院信息安全提出了很高的要求。醫院信息安全建設是一個復雜的系統工程。有些醫院只注重各種網絡安全產品的采購沒有制定信息安全的中、長期規劃,沒有根據自己的信息安全目標制定符合醫院實際的安全管理策略,或者沒有根據網絡信息安全出現的一些新問題,及時調整醫院的信息安全策略。這些現象的出現,使醫院信息安全產品不能得到合理的配置和適當的優化,不能起到應有的作用。
1.2以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生,危害日益嚴重
病毒泛濫、系統漏洞、黑客攻擊等諸多問題,已經直接影響到醫院的正常運營。目前,多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中,用戶終端不及時升級系統補丁和病毒庫的現象普遍存在;私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡,對用戶的網絡訪問行為進行有效的控制,是保證醫院網絡安全運行的前提,也是目前醫院網絡安全管理急需解決的問題。
1.3安全孤島現象嚴重
目前,在醫院網絡安全建設中網絡、應用系統防護上雖然采取了防火墻等安全產品和硬件冗余等安全措施,但安全產品之間無法實現聯動,安全信息無法挖掘,安全防護效果低,投資重復,存在一定程度的安全孤島現象。另外,安全產品部署不均衡,各個系統部署了多個安全產品,但在系統邊界存在安全空白,沒有形成縱深的安全防護。
1.4信息安全意識不強,安全制度不健全
從許多安全案例來看,很多醫院要么未制定安全管理制度,要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。
2、醫院信息安全防范措施
醫院信息安全的任務是多方面的,根據當前信息安全的現狀,醫院信息安全應該是安全策略、安全技術和安全管理的完美結合。
2.1安全策略
醫院信息系統~旦投入運行,其數據安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統,一些大中型醫院要求每天二十四小時不問斷運行,如門診掛號、收費、檢驗等系統,不能有太長時間的中斷,也絕對不允許數據丟失,稍有不慎就會造成災難性后果和巨大損失醫院信息系統在醫院各部門的應用,使得各類信息越來越集中,構成醫院的數據、信息中心,如何合理分配訪問權限,控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要:PACS系統的應用以及電子病歷的應用,使得醫學數據量急劇膨脹,數據多樣化,以及數據安全性、實時性的要求越來越高,要求醫院信息系統(HIS)必須具有高可用性,完備可靠的數據存儲、備份。醫院要根據自身網絡的實際情況確定安全管理等級和安全管理范圍,制訂有關網絡操作使用規程和人員出入機房管理制度,制定網絡系統的維護制度和應急措施等,建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題,需要從管理與技術相結合的高度,制定與時俱進的整體管理策略,并切實認真地實施這些策略,才能達到提高網絡信息系統安全性的目的。
在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容:制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。
2.2安全管理
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,加強安全培訓,增強醫務人員的安全防范意識以及制定網絡安全應急方案等。
2.2.1安全機構建設。設立專門的信息安全領導小組,明確主要領導、分管領導和信息科的相應責任職責,嚴格落實信息管理責任l。領導小組應不定期的組織信息安全檢查和應急安全演練。
2.2.2安全隊伍建設。通過引進、培訓等渠道,建設一支高水平、穩定的安全管理隊伍,是醫院信息系統能夠正常運行的保證。
2.2.3安全制度建設。建立一整套切實可行的安全制度,包括:物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度,確保醫療工作有序進行。
2.2.4應急預案的制定與應急演練
依據醫院業務特點,以病人的容忍時間為衡量指標,建立不同層面、不同深度的應急演練。定期人為制造“故障點”,進行在線的技術性的分段應急演練和集中應急演練。同時信息科定期召開“系統安全分析會”。從技術層面上通過數據挖掘等手段,分析信息系統的歷史性能數據,預測信息系統的運轉趨勢,提前優化系統結構,從而降低信息系統出現故障的概率;另一方面,不斷總結信息系統既往故障和處理經驗,不斷調整技術安全策略和團隊應急處理能力,確保應急流程的時效性和可用性。不斷人為制造“故障點”不僅是對技術架構成熟度的考驗,而且還促進全員熟悉應急流程,提高應急處理能力,實現了技術和非技術的完美結合。
2.3安全技術
從安全技術實施上,要進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案。
2.3.1冗余技術
醫院信息網絡由于運行整個醫院的業務系統,需要保證網絡的正常運行,不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心,應充分考慮可靠性。網絡的可靠性通過冗余技術實現,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。
2.3.2建立安全的數據中心
醫療系統的數據類型豐富,在不斷的對數據進行讀取和存儲的同時,也帶來了數據丟失,數據被非法調用,數據遭惡意破壞等安全隱患。為了保證系統數據的安全,建立安全可靠的數據中心,能夠很有效的杜絕安全隱患,加強醫療系統的數據安全等級,保證各個醫療系統的健康運轉,確保病患的及時信息交互。融合的醫療系統數據中心包括了數據交換、安全防護、數據庫、存儲、服務器集群、災難備份/恢復,遠程優化等各個組件。
2.3.3加強客戶機管理
醫院信息的特點是分散處理、高度共享,用戶涉及醫生、護士、醫技人員和行政管理人員,因此需要制定一套統一且便于管理的客戶機管理方案。通過設定不同的訪問權限,加強網絡訪問控制的安全措施,控制用戶對特定數據的訪問,使每個用戶在整個系統中具有唯一的帳號,限定各用戶一定級別的訪問權限,如對系統盤符讀寫、光驅訪問、usb口的訪問、更改注冊表和控制面板的限制等。同時捆綁客戶機的IP與MAC地址以防用戶隨意更改IP地址和隨意更換網絡插口等惡意行為,檢查用戶終端是否安裝了信息安全部門規定的安全軟件、防病毒軟件以及漏洞補丁等,從而阻止非法用戶和非法軟件入網以確保只有符合安全策略規定的終端才能連入醫療網絡。
2.3.4安裝安全監控系統
安全監控系統可充分利用醫院現有的網絡和安全投資,隨時監控和記錄各個終端以及網絡設備的運行情況,識別、隔離被攻擊的組件。與此同時,它可以強化行為管理,對各種網絡行為和操作進行實施監控,保持醫院內部安全策略的符合性。
2.3.5物理隔離
根據物理位置、功能區域、業務應用或者管理策略等劃分安全區域,不同的區域之間進行物理隔離。封閉醫療網絡中所有對外的接口,防止黑客、外部攻擊、避免病毒的侵入。
[關鍵詞]財政;信息系統安全;壽光
1壽光財政信息系統應用現狀
(1)網絡情況。壽光財政信息網絡分別部署互聯網(俗稱外網)、財政內部專網(俗稱內網),并對內網和外網實行物理隔離,其中內網縱向連接部、省、市級財政及鄉鎮財政,橫向連接各預算單位、商業銀行等相關職能部門。現連接到壽光財政內網的單位達175個,計算機終端278臺,均實行實名注冊認證管理。(2)業務系統部署情況。壽光財政目前運行了財政一體化平臺(市本級)、財政一體化平臺(鎮街級)、四方志誠賬務系統(市本級)、四方志誠賬務系統(鎮街級)、非稅收入系統、國有資產管理系統、財政CA身份認證系統、基礎設施建設資金管理系統、政府投資建設項目管理信息系統、部門預算系統、部門預算基礎信息系統、壽光市財政局內部網站、FTP網絡存儲系統、OA辦公自動化系統、通軟安全桌面系統、電子監察等16套業務系統。(3)硬件設備配備情況。壽光市財政局現有科室15個,計算機使用人員119名,實際配備計算機160臺、打印機100臺,開通網絡接口160個(外網接口100個、內網接口60個)。
2存在的問題和面臨的風險
(1)信息安全設備投入不足。在財政業務系統建設過程中,只重視基礎設備的標準和配置,忽視網絡安全建設在信息系統中的重要性,安全設備的投入不足。在系統建設中,只看到了信息化建設帶來的便利和快捷,忽視了信息化建設的信息安全問題,未對信息安全采取適當的防范措施,致使信息化發展存在安全隱患。(2)專業人員配備不足和安全管理制度更新不夠。信息系統安全管理人員配置相對較為緊缺,尤其是關鍵崗位未配備多人共同管理;在安全管理制度方面,不能根據系統實際運行狀況和變化及時進行制度更新。(3)軟件使用規范性不強。在操作系統、辦公軟件和防病毒軟件應用中缺乏網絡安全意識,安裝使用不規范的現象比較普遍。同時,使用人員不能及時為殺毒軟件升級和為操作系統下載補丁,從而存在一定的網絡安全隱患。(4)信息安全防范意識不強,安全保密意識差。干部職工對當前信息安全形勢的嚴峻性缺乏足夠認識,全員防范、主動防范意識較為薄弱,執行安全制度還存在不到位的現象。許多財政干部職工對網絡安全知識非常欠缺,例如有些人認為內網比較安全,不存在病毒攻擊,為了提高電腦運行速度,將殺毒軟件卸載,這樣將最基本的網絡安全措施都取消了。部分人員沒有做到專網專機專用,存在違規使用U盤和內外網違規切換使用的問題;有的系統操作人員不及時更改密碼,極易造成數據丟失等安全隱患。(5)存在違規接入和非法外聯風險。一些單位與個人沒有經過財政授權直接將計算機接入財政內網,雖然非法接入不是暴力入侵,但會給財政內網帶來極大的威脅,尤其是有可能帶有病毒的計算機與移動設備的非法接入,很可能會造成在內網傳播病毒、移植木馬等嚴重后果。同時,財政內網本身是與外網物理隔離的網絡,不允許連接互聯網,但個別單位用戶為了上網辦公方便,使用一些手段(如人工切換)建立互聯網非法連接,從而繞開內網的連接限制,給財政內網系統安全帶來巨大的隱患,會導致病毒入侵、泄密甚至網絡癱瘓的后果。
3安全風險控制對策與措施
系統安全問題一直是一個先發現問題,再補救問題的過程。建成一個絕對安全的網絡是不可能的,但我們要保證及時發現問題,第一時間解決問題。根據財政部對財政信息系統安全建設和財政業務專網網絡安全接入提出的“可控性、可管理型、可用性、安全性、規范性”相關原則要求,針對我市財政信息系統的現狀和存在的信息安全方面的問題,我們提出如下對策和措施,嚴格執行財政業務網絡與其他網絡的隔離限制,嚴格移動終端接入管理,加強客戶端防護、入網身份鑒別、數據傳輸等安全問題管理,以全面提升我市財政信息系統的整體安全保障水平。(1)加強信息安全投入,提高安全防御能力。第一,加大信息安全資金投入。增加綜合日志審計、防病毒網關、入侵防御、運維審計等信息安全設備投入,防止網絡的惡意攻擊,盡量使用安全級別高的技術或設備用于網絡接入,增加硬件UKEY驗證機制。在設備中做好安全驗證及網絡傳輸加密設置,至少保證將用戶與計算機硬件互相綁定,從而縮小操作人員的操作環境,提高安全系數。第二,強化技術支持。嚴格控制接入用戶的網絡接入方式,禁止內網用戶連接其他網絡,禁止使用無線網絡產品。并在系統設置中記錄用戶的登錄時間及基本操作內容,做到出現安全問題時有據可依。第三,加強網絡與信息安全人員的培養和激勵。加強財政信息系統的日常技術和安全知識培訓,提高對計算機病毒及惡意程序的防范意識,提高網絡安全保密意識。加強財政信息系統管理人員和使用人員的業務培訓,使財政工作人員掌握常見的網絡信息安全知識和防范技能,提高信息安全問題的處置能力,提升信息專業技術能力。(2)建立健全信息系統安全管理制度。第一,切實做好信息設備和信息系統安全制度管理更新工作,維護財政信息設備和系統環境安全、穩定、健康,根據信息安全法律、法規的有關規定,結合壽光財政工作實際,及時建立健全壽光財政信息設備和信息系統安全管理制度,通過對原有安全管理制度及時進行修訂和新增,使安全意識貫穿于日常財政系統業務操作中,提升財政信息系統的防范能力,保障財政業務系統的安全、穩定運行。第二,建立健全財政信息系統內部控制制度。根據內控有關管理規定,從信息系統建設管理、信息系統流程控制管理、數據管理與應用、信息系統安全管理等四個方面建立健全內部控制管理制度,提升信息安全意識,確保安全防護技術或管理措施到位,提升財政信息系統自身抵御外部攻擊能力,確保財政資金安全有效運行。(3)完善和健全計算機軟件管理制度。第一,在新購、更新計算機等硬件設備時,全面預裝正版操作系統軟件、辦公軟件和殺毒軟件。第二,要切實增強知識產權意識,按照誰使用、誰負責的原則對使用的軟件資產進行登記管理,不隨意下載、安裝、更換軟件,保證已使用的正版軟件得到有效維護。第三,健全資產管理制度。制訂軟件資產管理制度,健全計算機軟件配套購買和使用登記制度,將軟件作為資產納入財政資產管理體系,強化軟件的購買、安裝、更換、使用、報廢等管理工作。(4)實施財政客戶端安全監控管理系統應用工作。對與財政專網相連的預算單位、人民銀行及銀行終端全部啟用財政客戶端安全監控管理系統進行管理,實施“3+1”管理策略。“3”是指準入管理、補丁修復、非法外聯策略,“1”是指終端PC實名制。實現所有預算單位,銀行等使用財政專網計算機專網專機使用,保證了財政專網的安全性。(5)加強安全宣傳和培訓,強化財政信息和網絡監管力度,建立財政信息安全管理責任制。第一,突出安全宣傳和培訓,強化專網監管力度。信息系統安全防護全部靠技術手段是做不到的,更重要的是加強日常的安全宣傳和培訓,增強使用人員信息安全的防范意識和責任意識。第二,加強日常維護,建立定期巡查制度,及時了解和掌握信息系統運行狀況,及時排除出現的不安全因素和故障,變“事后處理”為“事前預防”。加強日常檢測檢查、管理維護,及時了解信息系統正常運行情況,建立網絡安全巡查檢查記錄,定期進行設備維護,及時了解和掌握設備運行中存在的問題,做到巡查有記錄、檢查有目標、查后有改進,從源頭上構建一張嚴密的“信息安全網”。第三,建立健全網絡與信息安全防范工作責任制,財政內網電腦全部實行IP地址與網卡MAC地址綁定,確定每個使用人員是相關直接責任人,明確信息安全責任,保證網絡信息安全管理工作的正常開展。長期以來,我國對重要網絡和信息系統安全保護重視不夠,沒有在法律中做出明確規定,導致單位在信息安全方面的責任存在缺位,許多針對性工作由于缺乏依據無法順利開展。隨著《中華人民共和國網絡安全法》的正式實施,明確將重要網絡和信息系統等關鍵信息基礎設施納入國家重點保護范圍,對其運行安全進行詳細規定。這是我國首次在法律高度提出關鍵信息基礎設施概念,并對關鍵信息基礎設施保護提出具體要求,是我國在關鍵信息基礎設施保護方面取得的重大措施,將國家關鍵信息基礎設施網絡安全提升到一個新的局面,也對壽光財政信息系統安全提出了新的要求。
【關鍵詞】 管理 信息安全 準入
一、專業管理理念和目標
1.1 專業管理的理念或策略
信息安全管理的理念為主動作為,從技術上做到信息安全“可控、能控、在控和預控”,實現事前認證、事中監控、事后審計的全流程安全管理。
1.2 專業管理的范圍
綜合數據網信息安全體系建設涉及公司所有員工。
1.3專業管理的目標
信息安全體系建設的目標為違規外聯事件為0,桌面弱口令為0,殺毒軟件安裝率為100%,桌面管控系統安裝率為100%以及不出現其它受到考核的不安全行為和事件。
二、當前的計算機網絡安全形勢
隨著信息化的發展,業務和應用完全依賴于計算機網絡和桌面計算機。但是計算機病毒、黑客木馬、間諜軟件進入桌面計算機,在計算機上安裝非法軟件,肆意破壞網絡和業務系統,外來電腦接入本單位計算機網絡等問題時有發生,這些行為非常容易導致桌面計算機和計算機網絡系統的癱瘓。最近幾年來,網絡安全威脅愈演愈烈,網絡攻擊工具越來越多樣,越來越容易獲得,所需要的技能越來越低,只需下載一個黑客程序就可以進行攻擊,漏洞利用的時間越來越短。攻擊的目的性,過去純粹為了比技術,現在商業目的越來越明顯。
三、國網眉山供電公司綜合數據網信息安全現狀
國網眉山供電公司綜合數據網經過2011年到2012年的大規模建設,網絡覆蓋到了35KV變電站及供電所等機構,形成了規模巨大的數據網絡,包含連接各級機關、各個電壓等級的變電站和供電所的廣域網,以及各個站點的局域網。
綜合數據網的建成為所有辦公終端提供了高速數據通道,大大提升了信息化水平和辦公效率。但也帶來了一個嚴重問題――安全問題。國網眉山供電公司在網的計算機多,爆發的安全問題多,管理難度很大。從國網推廣的北信源安全管控系統監控的結果來看,目前內網計算機違規外聯、計算機使用弱口令、計算機沒有安裝防病毒軟件等問題還很多,北信源的安全管控系統主要是監控并不能夠從技術上進行事前規避。國網眉山供電公司實施了大量的管理措施得了一定的效果,但是沒有建立一套全方位的安全技術系統,提升網絡的安全性,保護電力公司的信息資產安全。
為了真正提升網絡安全性需要建立一個整體安全架構,從局部安全、全局安全、智能安全三個層面,建設一個多層次、全方位的立體防護體系,使網絡成為智能化的安全實體。局部安全針對關鍵問題點進行安全部署,抵御最基礎的安全威脅;全局安全利用安全策略完成產品間的分工協作,達到協同防御的目的;智能安全在統一的安全管理平臺基礎上,借助于開放融合的大安全模型,將網絡安全變為從感知到響應的智能實體。
四、國網眉山供電公司綜合數據網信息安全體系建設規劃
4.1局部安全
目前國網眉山供電公司的網絡僅在連接省干網的出口部署了防火墻設備,防火墻能夠進行邊界保護和基于網絡層面的訪問控制,但是對應用層的攻擊如通過Email攜帶病毒,通過網頁掛木馬方式對用戶攻擊等不能夠阻斷,應用層攻擊行為能夠對業務系統造成較大損害。
局部安全建設要對電業局網絡進行分區:外聯區、服務器區、接入區。外聯區:外聯區是國網眉山供電公司與省干網連接的邊界區域;服務器區:服務器區是國網眉山供電公司的數據中心,存放重要的業務數據;接入區:接入區是各個站點及電力公司的局域網區域;
完成局部安全建設后,本電業局與省公司及其他電業局之間的安全攻擊將被隔離,本電業局的攻擊不會影響到省公司和其他電業局。本電業局內部的攻擊也不會影響到服務器區的業務系統。提升了業務系統的安全性。對于電業局的網絡系統基本上沒有安全防范的措施,所以需要重建安全技術體系。
4.2全局安全
全局安全是通過網絡設備與安全設備的配合提供端到端的安全防護。通過局部安全建設能夠抵御內部的安全攻擊,但是不能夠控制攻擊的在內部的泛濫,需要通過網絡設備的準入功能,在網絡的與用戶終端的邊界建立準入機制,只允許合法的用戶訪問網絡,且只允許合法用戶符合安全要求的終端訪問網絡,并通過客戶端軟件強制功能提升終端的自身的安全性。
全局安全的主要建設內容為:
身份認證:變開放的網絡為封閉網絡防止外來非法計算機訪問網絡;在網絡接入設備上開啟網絡認證功能,開啟該功能后,當計算機接入網絡時是無法轉發任何數據的,只有認證報文能夠通過網絡與認證服務器交互,只有合法的員工輸入正確的用戶名和密碼后認證成功,該用戶獲得第一級訪問網絡的權限,僅能夠訪問安全隔離區;外來的非法計算機因沒有賬號和口令而無法向網絡發送任何數據。
安全評估:加強計算機的安全性,只有符合安全規范的計算機才能夠訪問網絡;當合法員工輸入正確的賬號和口令后獲得第一訪問網絡的權限后,啟動對計算機的安全檢查,檢查內容包括弱口令檢查、防病毒軟件、操作系統補丁、必須要運行的軟件等。弱口令檢查是掃描計算機賬號的口令,與弱口令字典進行比對,如果存在弱口令則認證失敗,要求用戶修改口令,直到口令改為強口令,避免被破解口令后遠程控制該計算機;防病毒軟件檢查是掃描系統是否安裝防病毒軟件以及是否更新病毒庫,如果沒有安裝防病毒軟件或者病毒庫沒有更新,則認證失敗。并要求計算機訪問安全隔離區進行修復,安裝防病毒軟件或者進行病毒庫升級,保證計算機具有防病毒能力,能夠對通過計算機外設及通過網絡散播的病毒進行殺毒。
軟件管理:目前國網要求所有終端安裝北信源的安全管控軟件,但是部分終端沒有安裝,導致無法評估真實網絡安全狀態,建設全局安全啟動了網絡準入功能,如果終端不安裝北信源軟件就無法訪問網絡,通過技術手段保證每個接入網絡的終端必須安裝北信源安全管控軟件,提升國網考核的注冊率。
防內網外聯:啟用網絡準入功能后,準入客戶端可以在終端上對網絡驅動下發隔離策略,只有被安全認證服務器認證通過的網卡才能夠訪問網絡,而安全認證服務器是在信息內網中的。當終端接入到互聯網上時,只有認證數據能夠通過,因互聯網上沒有安全認證服務器所以認證不通過,終端無法獲得授權而無法訪問網絡。在終端運行過程中插入WLAN網卡或者3G網卡也無法聯網,因為在互聯網上無法進行認證所以網卡被隔離無法訪問互聯網。
全局安全建設后,對于具有安全隱患的終端將無法接入到網絡,大大提高網絡的安全性,終端自身也具有了較高的防御性,可以抵御網絡中的攻擊。
4.3智能安全
局部安全和全局安全建設后,整個網絡具有了較高的安全性。但是還不具備足夠的智能性。智能安全的目標是動態調整終端安全性、識別安全攻擊并快速定位和隔離攻擊,將安全事件控制在最小的范圍之內。在終端使用過程安全狀態會發生變化,智能安全的目標是使得終端具備智能提升安全性能力,通過動態補丁升級服務器可以保證終端缺乏必要安全補丁時能夠自動從補丁服務器上獲取補丁,避免操作系統受到漏洞攻擊;當病毒庫版本升級后終端能夠自動進行升級。
另外,部署安全審計服務器將整個網絡中的網絡設備、安全設備、業務服務器等日志能夠統一管理,當出現安全事件時能夠主動告警并快速定位,并且可以隔離攻擊源。
【關鍵詞】校園網;網絡安全;信息化;應對策略
1 引言
隨著移動互聯網的快速發展以及寬帶中國戰略的推進,計算機網絡在在各個領域中得到了廣泛的應用,最為突出的應該是教育行業,特別是高校的計算機網絡。現如今各個高校的 “數字化校園”建設如火如荼,為教學、科研、學術探討、辦公自動化等校園應用系統提供了堅實的網絡基礎,學生宿舍網絡接入、多媒體教學、電子圖書閱覽室、網絡課堂等網絡應用,使得校園網絡資源得以全面共享,一方面豐富了現代化教育手段,另一方面極大的提高了學生的學習興趣。但是,網絡的開放性、共享性也使得校園網絡出現了諸多讓人擔憂的安全問題,無論是網絡安全還是信息安全都能影響學校正常工作的開展。因此,構建安全和諧的數字化校園,需要全面剖析校園網絡信息安全現狀,進而深入研究信息安全應用對策。
2 校園網網絡信息安全現狀
2.1 校園網用戶信息安全意識相對淡薄
2.1.1 在校園信息化建設中,多數用戶最為關心的問題就是網速,如果網速出現問題,校園網用戶就會認為校園網帶寬做了限制或者所提供數據交互服務出現了故障,而不會首先意識到是否是自己的計算機系統本身出現問題。
2.1.2 在高校中,用戶很大一部分都是在校大學生,除了少數計算機學院的學生對于網絡信息安全知識了解稍多一些,其他學生用戶這方面的意識還是非常淡薄,例如:對自己保密的文件并不會進行加密處理,計算機系統不設置登陸密碼或密碼設置過于簡單,所有這些這都給系統入侵留下了后門。
2.1.3 經過長時間的使用,校園網用戶不會經常掃描自己的計算機系統,不知道是否存在一些系統漏洞并安裝補丁,在日常使用過程中,沒有養成移動設備病毒掃描等良好習慣。
2.1.4 個別學生特別是計算機相關專業的學生,因一時對計算機病毒的好奇心,滿足自己對于黑客行為的實踐,拿校園網其他用戶的主機甚至是校園網控制中心的服務器作為實踐對象,采取黑客攻擊手段,有意無意的破壞校園網絡安全。
2.2 高校對于網絡信息安全的投入存在不足
考慮到前期投入與后期收益的問題,許多高校對校園網絡的經費投入不足,大多將有限的經費投入在關鍵的網絡設備上,而對于網絡的安全建設并沒有比較系統的戰略投入,從而導致校園網絡安全防范能力不夠,隨時都有被侵襲的危險,存在極大的安全隱患。另外,一些學校網絡安全運行維護人員不足,采取與網絡運營服務商合作的方式以彌補這些不足,而運營商通常以謀利為目的,難免忽視了網絡安全維護方面的投入。最后,部分高校校園網基本處于一個較為開放的狀態,沒有有效的安全預警手段和防范措施。
2.3 計算機網絡自身的缺陷和不足
2.3.1 TCP/IP的脆弱性。TCP/IP協議是因特網使用的最基本的通信協議,但不足的是該協議對于網絡的安全性考慮得并不多,可以找到能被攻擊者利用的漏洞。當今,多數高校的校園網絡還是IPV4,由于TCP/IP協議是公布于眾的,如果對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
2.3.2 網絡結構的不安全性。隨著高校規模的拓張,多數高校的網絡缺乏戰略發展規劃,而是由多數局域網堆積而成,尤其是網絡邊界設備和安全設備大多是發現問題后,為了解決問題而部署,設備之間缺乏有效的聯動,網絡拓撲結構不合理,因此內網與外網的數據交換以及校園網內部的數據流轉都存在著不安全性因素。
2.3.3 易被竊聽、篡改和偽造。與其它商業網絡或者政務網絡不通,除個別信息安全要求部門之外,高校校園網上多數數據流都是明文傳輸,沒有有效的信息安全加密手段,教職工與學生方便的同時,也為不法分子對校園網內外的電子郵件、口令和文件傳輸進行竊聽、篡改提供了便利。
3 網絡信息安全應對策略
3.1 加強學校網絡安全教育,提升校園網用戶防護技能
3.1.1 基于校園網用戶信息安全意識淡薄,學校應當在開設計算機相關課程的同時選擇性的開設網絡安全課程,宣傳網絡安全防護,同時開展行之有效的技術實踐活動,進行網絡道德的教育,并提高公德意識,使每一個校園網用戶在上網之余,了解和明確自己對于網絡信息安全防護的責任。
3.1.2 開展一系列的校園培訓教程,培養學生基本的網絡防護技能。例如對自己的計算機系統開啟自動更新功能,及時修補計算機系統出現的安全漏洞;辨別不良網站,以及對自己的計算機開啟防火墻,定期對電腦進行病毒掃描,在校園網內部將產生較大影響的計算機病毒,木馬程序等扼殺在源頭。
3.2 加大校園網安全維護投入,合理配置資源
基于很多學校對校園網安全信息防護投入不夠而導致一系列漏洞的產生,使得不法分子趁虛而入破壞校園網安全。高校應當指派專門的安全人員進行系統維護,合理利用物力和財力,建設網絡信息安全預警機制,加強網絡管理人員的技術水平,結合校園網絡自身的情況,制定校園網絡發展規劃,從而合理、適時地選擇網絡安全防護設備和技術投入。
3.3 建立校園網絡安全隱患排查機制
3.3.1 建立資源管理機制。建立IP地址的分配、登記與回收機制,由網絡安全管理人員統一分配管理。這樣,若校園網內部用戶對學校網絡安全服務器發起攻擊,能很快的找出攻擊源。
3.3.2 在校園網內部建立完整的賬戶管理和身份認證制度。明確、設定密碼保護機制。比如可以按照使用用戶類別及權限,分為教學用戶、辦公用戶、學生用戶。用戶用完隨時退出,防止信息泄露。
3.3.3 使用加強密碼。加強密碼是至少有8位字符長,是由大小寫字母、數字和符號組合起來的密碼。考慮普通密碼容易受到網絡字典的攻擊,容易造成信息的丟失或篡改。因此構建合理的密碼使用機制,即使加強密碼,也要經常更改,時間不能超過3個月,并且更改的密碼要與先前的密碼有較大差別。
3.4 建立完整的安全信息保障制度
建立保障安全信息的規章制度。除了建立培養一支具有安全信息管理意識的網管隊伍之外,還必須建立一套嚴格的安全信息管理規章制度。網管人員建立并維護網絡用戶數據庫,嚴格對系統日志進行管理,對公共機房實行精確到人、到機位的使用登記制度。從而可對網絡用戶和服務賬號進行精確的控制。同時,定時對校園網系統的安全狀況做出評估和審核,關注網絡安全動態,進行網絡安全態勢評估,調整相關安全設置,結合網絡安全閥值的預警,全方位地進行入侵防范,在校園網內部推送安全公告,緊急修復系統通知等,從而防范于未然。
4 結束語
在教育信息化快速發展的今天,建立健全校園網絡安全體系結構,對校園網絡進行精細化管理,構建完全和諧的數字化校園環境,為學校的教學、科研工作保駕護航,每個校園網用戶共同期盼,也是一項復雜的長期的重要的任務。首先,學校一方面要制定中長期發展規劃,其次,不僅要加大網絡安全建設投入,還要制定合理有效的安全對策以及預警、應對機制,最后,校園網絡信息安全是師生共同面對的問題,因此同樣需要每一個校園網用戶共同擔當。
參考文獻:
[1] 袁津生.計算機網絡安全基礎[M].北京:人民郵電出版社.2005.60 -76.
[2] 湛成偉.網絡安全技術發展趨勢淺析[J].重慶工學院學報.2006,(08): 120-121.
[3] 江雨燕.計算機網絡黑客及網絡攻防技術探析[J].計算機應用與軟件,2003,20(1):56-58.
[4] 鐘嘉鳴.校園網安全平臺的規劃與設計[J].中國科技信息,2007,21(5):141-143