前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)系統(tǒng)安全論文主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:網(wǎng)絡(luò)安全;病毒防范;防火墻
0引言
如何保證合法網(wǎng)絡(luò)用戶對資源的合法訪問以及如何防止網(wǎng)絡(luò)黑客的攻擊,已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容。
1網(wǎng)絡(luò)安全威脅
1.1網(wǎng)絡(luò)中物理的安全威脅例如空氣溫度、濕度、塵土等環(huán)境故障、以及設(shè)備故障、電源故障、電磁干擾、線路截獲等。
1.2網(wǎng)絡(luò)中信息的安全威脅①蠕蟲和病毒。計算機蠕蟲和病毒是最常見的一類安全威脅。蠕蟲和病毒會嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性,其傳播速度也更快,甚至能在片刻間使信息處理處于癱瘓狀態(tài),而要清除被感染計算機中的病毒所要耗費的時一間也更長。②黑客攻擊?!昂诳汀币辉~由英語Hacker英譯而來,原意是指專門研究、發(fā)現(xiàn)計算機和網(wǎng)絡(luò)漏洞的計算機愛好者?,F(xiàn)如今主要用來描述那些掌握高超的網(wǎng)絡(luò)計算機技術(shù)竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人。黑客攻擊主要包括系統(tǒng)入侵、網(wǎng)絡(luò)監(jiān)聽、密文破解和拒絕服務(wù)(DtS)攻擊等。
2網(wǎng)絡(luò)安全技術(shù)
為了消除上述安全威脅,企業(yè)、部門或個人需要建立一系列的防御體系。目前主要有以下幾種安全技術(shù):
2.1密碼技術(shù)在信息傳輸過程中,發(fā)送方先用加密密鑰,通過加密設(shè)備或算法,將信息加密后發(fā)送出去,接收方在收到密文后,用解密密鑰將密文解密,恢復(fù)為明文。如果傳輸中有人竊取,也只能得到無法理解的密文,從而對信息起到保密作用。
2.2身份認(rèn)證技術(shù)通過建立身份認(rèn)證系統(tǒng)可實現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán),防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)環(huán)境中,信息傳至接收方后,接收方首先要確認(rèn)信息發(fā)送方的合法身份,然后才能與之建立一條通信鏈路。身份認(rèn)證技術(shù)主要包括數(shù)字簽名、身份驗證和數(shù)字證明。
2.3病毒防范技術(shù)計算機病毒實際上是一種惡意程序,防病毒技術(shù)就是識別出這種程序并消除其影響的一種技術(shù)。從防病毒產(chǎn)品對計算機病毒的作用來講,防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測技術(shù)和病毒清除技術(shù)。
①病毒預(yù)防技術(shù)。計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理,而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計算機病毒。病毒預(yù)防技術(shù)包括磁盤引導(dǎo)區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等。②病毒檢測技術(shù)。它有兩種:一種是根據(jù)計算機病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù);另一種是不針對具體病毒程序的自身校驗技術(shù),即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進行檢驗,若出現(xiàn)差異,即表示該文件或數(shù)據(jù)段完整性己遭到破壞,感染上了病毒,從而檢測到病毒的存在。③病毒清除技術(shù)。計算機病毒的清除技術(shù)是計算機病毒檢測技術(shù)發(fā)展的必然結(jié)果,是計算機病毒傳染程序的一個逆過程。目前,清除病毒大都是在某種病毒出現(xiàn)后,通過對其進行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動的,帶有滯后性。而且由于計算機軟件所要求的精確性,殺毒軟件有其局限性,對有些變種病毒的清除無能為力。
2.4入侵檢測技術(shù)入侵檢測技術(shù)是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),也是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。
①特征檢測的假設(shè)是入侵者活動可以用一種模式來表示,系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在于如何設(shè)計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。②異常檢測的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?;顒拥摹盎顒雍啓n”,將當(dāng)前主體的活動狀況與“活動簡檔”相比較,當(dāng)違反其統(tǒng)計規(guī)律時,認(rèn)為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
2.5漏洞掃描技術(shù)漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進行檢查,發(fā)現(xiàn)其中可被黑客所利用的漏洞。漏洞檢測技術(shù)就是通過對網(wǎng)絡(luò)信息系統(tǒng)進行檢查,查找系統(tǒng)安全漏洞的一種技術(shù)。它能夠預(yù)先評估和分析系統(tǒng)中存在的各種安全隱患,換言之,漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進行檢查,發(fā)現(xiàn)其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷,預(yù)先評估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。漏洞掃描的結(jié)果實際上就是系統(tǒng)安全性能的評估報告,它指出了哪些攻擊是可能的,因此成為網(wǎng)絡(luò)安全解決方案中的一個重要組成部分。
漏洞掃描技術(shù)主要分為被動式和主動式兩種:
①被動式是基于主機的檢測,對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進行檢查。②主動式則是基于對網(wǎng)絡(luò)的主動檢測,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。
2.6慝。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。
1.1不具備健全的信息化系統(tǒng)
一個供電企業(yè)想要正常的運營下去就需要使用大量的信息,通過收集信息、處理信息、傳送信息、執(zhí)行信息來實現(xiàn)對整個供電企業(yè)的有效控制。但是,隨著信息化程度的不斷提高,信通部門人員配置跟不上快速增長的業(yè)務(wù)需求。這些供電企業(yè)只是將信息作為一種口頭形式,在實際執(zhí)行上,無法貫徹落實。所以,供電企業(yè)需要設(shè)置相應(yīng)的管理機構(gòu),并且通過這些管理機構(gòu)來完善信息化系統(tǒng)建設(shè)。
1.2網(wǎng)絡(luò)病毒威脅著網(wǎng)絡(luò)信息的安全管理
計算機網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)病毒直接影響到所有的網(wǎng)絡(luò)用戶信息的安全,也影響著供電企業(yè)的網(wǎng)絡(luò)信息安全。
1.3供電企業(yè)安全意識較為薄弱
供電企業(yè)一般將自己的關(guān)注點聚集在網(wǎng)絡(luò)的利用效率上,同時,在使用計算機網(wǎng)絡(luò)進行日常工作學(xué)習(xí)的過程中,也只關(guān)注其運行效率的高低,而對其信息的安全性的保護管理卻缺乏足夠的重視。在網(wǎng)絡(luò)運行的過程中,如果出現(xiàn)問題,也沒有足夠的實力以及專業(yè)的人員去處理,造成網(wǎng)絡(luò)信息系統(tǒng)的安全性受到很大的威脅。
1.4供電企業(yè)的網(wǎng)絡(luò)信息安全面臨著非常多的風(fēng)險
(1)供電企業(yè)內(nèi)部的影響。在供電企業(yè)的發(fā)展中,計算機網(wǎng)絡(luò)技術(shù)已經(jīng)受到了廣泛的使用,使供電企業(yè)內(nèi)部重要數(shù)據(jù)大部分需要在網(wǎng)絡(luò)上進行傳輸。這樣一來就為非法用戶竊取供電企業(yè)信息提供了溫床,導(dǎo)致供電企業(yè)內(nèi)部信息出現(xiàn)混亂現(xiàn)象,使其難以維持一個正常的經(jīng)營秩序。(2)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)置不科學(xué)。網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)置不科學(xué),主要表現(xiàn)如下:核心交換系統(tǒng)安排不科學(xué),沒有分級處理網(wǎng)絡(luò)用戶,導(dǎo)致全部用戶具有相同的信息處理地位,這樣一來,不管是何人都可以對供電企業(yè)形成相應(yīng)的威脅和影響。
1.5缺乏上網(wǎng)行為管理監(jiān)控
網(wǎng)絡(luò)用戶通過Internet訪問娛樂網(wǎng)站、瀏覽購物網(wǎng)站、過度使用聊天工具、濫用p2p下載工具,引發(fā)不明的網(wǎng)絡(luò)攻擊、帶來網(wǎng)絡(luò)病毒、頻頻收到垃圾郵件、造成網(wǎng)絡(luò)堵塞等。沒有設(shè)置防火墻的電網(wǎng)會和容易收到病毒以及其他惡性軟件的破壞,造成數(shù)據(jù)的損失。目前大部分電網(wǎng)還沒有很好的設(shè)置防火墻,沒有做好網(wǎng)絡(luò)應(yīng)用控制故縱以及帶寬流量管理工作,存在很大的隱患,時刻威脅著網(wǎng)絡(luò)的正常運行。
2電力系統(tǒng)網(wǎng)絡(luò)安全的相關(guān)維護技術(shù)
2.1防病毒侵入技術(shù)
供電企業(yè)設(shè)置防病毒侵入系統(tǒng)可以有效的阻止病毒的進入,防止病毒破壞電力系統(tǒng)的信息資料。防病毒侵入技術(shù)具體是從計算機上下載相應(yīng)的殺毒軟件,同時需要按照相應(yīng)的服務(wù)器,定期的維護防病毒系統(tǒng),為其有效正常地運行提供切實的保障。除此之外,在供電企業(yè)的網(wǎng)關(guān)處還要安裝網(wǎng)關(guān)防病毒系統(tǒng),指的是在電力系統(tǒng)的所有信息系統(tǒng)中去安裝一種全面防護的防病毒軟件,通過這個軟件去管理和處理各個環(huán)節(jié),與此同時,建立科學(xué)合理的安全管理制度。借此有效的防御、檢測、治理計算機病毒的侵入。并且還要做好防病毒系統(tǒng)的升級工作,有利于及時的檢測和處理即將侵入信息管理系統(tǒng)的病毒。
2.2防火墻系統(tǒng)技術(shù)
防火墻系統(tǒng)指的是準(zhǔn)許那些被信任的網(wǎng)絡(luò)信息順利通過,阻止那些非信任網(wǎng)絡(luò)信息通過。防火墻系統(tǒng)技術(shù)通過固定的信息集合的檢查點,在這個固定的檢查點來統(tǒng)一的、強制的檢查和攔截網(wǎng)絡(luò)信息。限制非法指令,保護自身存儲的信息。電力系統(tǒng)是在不同的環(huán)節(jié)實現(xiàn)管理、生產(chǎn)、計算以及銷售的,所以,整合全部的信息需要使用兩段不一致的信息渠道。之后通過篩選以及過濾,對信息的出入進行有效的控制,組織具有破壞作用的信息,使被信任的網(wǎng)絡(luò)信息順利通過,同時還要設(shè)置相應(yīng)的訪問權(quán)限,為信息資源的安全提供切實的保障。
2.3信息備份技術(shù)
在傳輸電力系統(tǒng)的所有信息之前,需要進行相應(yīng)的等級備份工作。等級劃分需要按照數(shù)據(jù)的重要程度來排列。并且統(tǒng)一管理備份信息,定期的檢查備份信息,為備份信息的準(zhǔn)確性以及可用性提供切實的保障。借此避免當(dāng)電力系統(tǒng)信息出現(xiàn)故障時,因為數(shù)據(jù)丟失給供電企業(yè)造成巨大的損失。
2.4虛擬局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)
虛擬局域網(wǎng)技術(shù)就是指將局域網(wǎng)技術(shù)分成幾個不同的方面,使各個虛擬局域網(wǎng)技術(shù)都可以有效的滿足計算機實際工作的需要。因為在每個工作站上都存在局域網(wǎng)技術(shù)網(wǎng)段,每一個虛擬局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)中的的信息不能很好的實現(xiàn)跟其他虛擬局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)的順利交換。虛擬局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)可以有效地控制信息的流動,有利于網(wǎng)絡(luò)控制更加的簡單化,為網(wǎng)絡(luò)信息的安全性提供切實的保障。
3維護電力系統(tǒng)網(wǎng)絡(luò)安全的管理工作
3.1強調(diào)安全制度建設(shè)的重要性
如果一個供電企業(yè)不具備完善的制度,就沒有辦法準(zhǔn)確的確定信息安全,也就無法正確的衡量信息的合法性以及安全性,同時也無法形成針對性強的安全防護系統(tǒng)。所以,供電企業(yè)需要全面分析實際情況,在充分分析相關(guān)的網(wǎng)絡(luò)信息安全制度的前提下,按照供電企業(yè)的實際情況,為供電企業(yè)制定健全的、完善的、具有很強指導(dǎo)意義的安全制度。與此同時,要不斷的具體化、形象化安全制度,使其得到最大程度的貫徹落實。供電企業(yè)需要頒布相應(yīng)的條文,連接供電企業(yè)的網(wǎng)絡(luò)信息安全管理和法律兩個主體,有效的懲治危害供電企業(yè)網(wǎng)絡(luò)信息安全的因素,保證供電企業(yè)網(wǎng)絡(luò)信息的安全性。
3.2設(shè)置專門的安全管理
部門設(shè)置專門的安全管理部門,通過這個部門來管理供電企業(yè)的信息安全,并且研究分析供電企業(yè)的相關(guān)資料,結(jié)合實際情況,設(shè)置適合供電企業(yè)實際情況的網(wǎng)絡(luò)安全管理系統(tǒng),同時還要不斷升級和完善網(wǎng)絡(luò)安全管理系統(tǒng)。除此之外,還要設(shè)置特定的崗位,分級任務(wù)。按照不同等級來劃分系統(tǒng)的任務(wù),并將任務(wù)下達到相關(guān)人員的手中。對這些人員進行垂直管理,不斷協(xié)調(diào)和配合部門內(nèi)所有人員,為網(wǎng)絡(luò)安全管理系統(tǒng)安全有序地開展下去。
3.3網(wǎng)絡(luò)信息安全的意識和相應(yīng)的措施
人類的意識決定著人類的行動,如果供電企業(yè)想要提升網(wǎng)絡(luò)信息的安全性,具體的做法如下,供電企業(yè)需要經(jīng)過有效的學(xué)習(xí)以及培訓(xùn)工作,使供電企業(yè)的信息管理部門形成正確的、科學(xué)的網(wǎng)絡(luò)信息安全意識。讓供電企業(yè)的員工熟練的掌握安全防護意識,提升挖掘問題的能力,提升工作的積極性以及創(chuàng)新性。第二步,通過對供電企業(yè)的人員進行網(wǎng)絡(luò)信息安全技能培訓(xùn)。讓他們熟練掌握操作統(tǒng)計網(wǎng)絡(luò)信息的設(shè)備的正確使用,在這個前提下有效的管理供電企業(yè)內(nèi)部網(wǎng)系統(tǒng)的網(wǎng)絡(luò)信息的安全性。
4結(jié)束語
1.1通過TCP/IP直接進行破壞目前來講,很多種網(wǎng)絡(luò)互連協(xié)議得以廣泛應(yīng)用,TCP/IP協(xié)議組便是其中之一。在設(shè)計TCP/IP協(xié)議的時候,首先假定其所處的網(wǎng)絡(luò)環(huán)境是可信的,并且考慮到兩個主要因素,分別是網(wǎng)絡(luò)的開放性、網(wǎng)絡(luò)的互聯(lián)性。然而卻沒有充分考慮網(wǎng)絡(luò)的安全性這個重要因素,造成該協(xié)議組自身存在一定的安全性問題,這樣一來就會使所有基于該協(xié)議的網(wǎng)絡(luò)服務(wù)存在安全性問題。
1.2操作系統(tǒng)遠程登錄入侵因為操作系統(tǒng)本身就存在一定的漏洞,所以一些不法分子可以使用遠程登錄獲取對計算機進行管理的權(quán)限,在此基礎(chǔ)上,更改或者破壞計算機中存儲的數(shù)據(jù)。舉個例子,通過Unix系統(tǒng)中的Telent服務(wù)器就可以非法遠程登錄其他計算機。
1.3對計算機系統(tǒng)內(nèi)置文件進行更改有些病毒程序或木馬程序會攻擊計算機系統(tǒng),更改其中的相關(guān)系統(tǒng)文件,非法竊取計算機用戶重要的文件或者數(shù)據(jù)。“特洛伊木馬”是目前為止最為著名的一種木馬程序,它的存在給計算機網(wǎng)絡(luò)安全造成非常嚴(yán)重的影響。
1.4通過IP源路徑進行破壞用戶通過網(wǎng)絡(luò)向其他用戶發(fā)送信息時使用的IP路徑是不確定的,所以不法分子會通過修改IP路徑獲取用戶信息。
2計算機網(wǎng)絡(luò)安全防范措施
2.1及時修復(fù)系統(tǒng)漏洞補丁系統(tǒng)漏洞是威脅計算機網(wǎng)絡(luò)安全的重要因素之一。一般來講,主要包括三個方面,分別是硬件漏洞、軟件漏洞、應(yīng)用程序漏洞。值得注意的是,計算機用戶安裝計算機系統(tǒng)時,假如操作不當(dāng)也會使計算機產(chǎn)生系統(tǒng)漏洞。針對此問題,系統(tǒng)開發(fā)商為了維護系統(tǒng)安全,避免出現(xiàn)系統(tǒng)漏洞,會及時地更新系統(tǒng)補丁。
2.2安裝殺毒軟件由于心理作用,部分計算機用戶不愿意在計算機上安裝殺毒軟件,用個如今社會流行的詞語來描述這種行為就是讓個人電腦“裸奔”。這樣一來,電腦的安全系數(shù)非常低,這種行為的直接后果就是會給病毒提供更多的途徑來入侵電腦,損害計算機系統(tǒng)、文件或數(shù)據(jù),從而降低個人電腦的工作效率。
2.3定期對電腦進行體檢對于經(jīng)常使用電腦網(wǎng)絡(luò)的用戶而言,定期清理電腦對于維護計算機網(wǎng)絡(luò)安全是非常重要的,所以用戶要養(yǎng)成定期檢查硬盤、定期體檢電腦、定期掃描病毒的良好上網(wǎng)習(xí)慣。隨著我國軟件技術(shù)的蓬勃發(fā)展,市場上出現(xiàn)了許許多多的計算機防護軟件,而且都具有著非常強的專業(yè)防護功能,比如,360殺毒軟件、金山毒霸、諾頓殺毒軟件等,就目前而言,360殺毒軟件使用的相對廣泛些。如果計算機用戶能夠科學(xué)地使用這些軟件對電腦進行清理防護,養(yǎng)成良好的上網(wǎng)習(xí)慣,就可以在一定程度上保證個人計算機網(wǎng)絡(luò)的安全,從而使個人信息得到很好的保護。
3結(jié)語
促進電力行業(yè)發(fā)展的需要,就要保障電力行業(yè)的良好發(fā)展,必須要確保其信息安全。但是,就目前情況來看,威脅電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全的因素還比較多,從而使電力行業(yè)產(chǎn)生了網(wǎng)絡(luò)安全問題。具體來講,主要包括以下三個方面。第一,技術(shù)方面,在電廠MIS系統(tǒng)中,其TCP/IP協(xié)議自身存在一些安全漏洞,再加上計算機的硬軟件配置不夠靈活,從而導(dǎo)致其產(chǎn)生網(wǎng)絡(luò)安全問題;第二,人為因素。人們的網(wǎng)絡(luò)安全意識淡薄,在電廠MIS系統(tǒng)中為了采取有效的安全防護措施,給不法分子對電廠信息的竊聽、攔截等埋下安全隱患。第三,網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒具有傳播快、破壞性強、繁殖力高等方面的特點,往往很難將其根除。因此,為了有效促進電力行業(yè)的良好發(fā)展,必須要加強電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計,確保其信息安全。
二、電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計
(一)電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計原則
為了有效提高電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計質(zhì)量,為其后期發(fā)展提供重要的安全保障。在設(shè)計的過程中,應(yīng)遵循以下幾個方面的原則。第一,整體性。即在電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計中,擁有一套科學(xué)、完整的安全體系,主要包括應(yīng)急體系、安全技術(shù)體系以及安全管理體系,從而有效保障其網(wǎng)絡(luò)安全。第二,動態(tài)化。世界是處于不斷變化中,信息技術(shù)的發(fā)展更是日新月異,所以電廠MIS系統(tǒng)總是處于不斷發(fā)展中,最終得以不斷更新和完善。因此,在設(shè)計的過程中,不能拘泥于當(dāng)下,而是堅持一種動態(tài)發(fā)展的理念,最大程度上引進多種變量因素,確保電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全具有良好的適應(yīng)性。第三,層次性。在電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計中,還應(yīng)根據(jù)不同的需要,設(shè)置不同層次的安全等級,比如譜密、秘密、機密、絕密等,不僅滿足信息保護的要求,而且還實現(xiàn)保密資源的有效利用。第四,可控性。在設(shè)計的過程中,為了有效避免安全技術(shù)被不法分子用在不正當(dāng)?shù)牡胤?,必須要對安全技術(shù)進行控制。
(二)電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計的入手點
在電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計中,可以從以下三個方面入手。第一,數(shù)據(jù)的安全性。電廠擁有大量的數(shù)據(jù),要想保障其網(wǎng)絡(luò)安全,必須要保障其數(shù)據(jù)安全。具體來講,可以通過數(shù)據(jù)備份、數(shù)據(jù)庫的安全設(shè)計等手段加以解決。第二,使用防火墻。利用相關(guān)的防火墻技術(shù),有效抵御外網(wǎng)系統(tǒng)的不法分子入侵電廠MIS系統(tǒng),保護內(nèi)網(wǎng)資源的安全。第三,確保單向連接。換而言之,在電廠MIS系統(tǒng)中,它與SIS系統(tǒng)的連接要保持單向連接,并且在防火墻、路由器等方面,都要設(shè)置成單向傳輸?shù)姆绞健?/p>
(三)電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全的設(shè)計方案
在電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計中,可以根據(jù)電廠的實際情況,選擇合適的解決方案,具體的方案有以下三種。胡曉博河南理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院河南焦作454150
1、完全隔離法
所謂完全隔離法,指的是確保MIS系統(tǒng)內(nèi)的所有計算機不能有上網(wǎng)功能,如果某些業(yè)務(wù)確實需要上網(wǎng)處理,則將其從MIS系統(tǒng)中劃去。這樣一來,有上網(wǎng)功能的計算機就不可以進入電廠MIS系統(tǒng);而那些可以進入電廠MIS系統(tǒng)的計算機則不具備上網(wǎng)功能。使用這種方法來提高電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全性,有利有弊。一方面,其安全性能非常高,可以有效抵御網(wǎng)絡(luò)病毒、TCP/IP網(wǎng)絡(luò)協(xié)議漏洞等方面的攻擊。另一方面,這種方法大大降低了計算機的利用率,不利于相關(guān)工作人員的使用;此外,其成本也比較高,因為對于那些既要進入電廠MIS系統(tǒng),同時又要上網(wǎng)的工作人員來講,則需要使用兩種網(wǎng)絡(luò)系統(tǒng)和兩套網(wǎng)線,所以就耗費了大量的成本。
2、將防火墻技術(shù)與各種防病毒軟件有機結(jié)合
隨著防火墻技術(shù)的不斷發(fā)展與進步,它在保障網(wǎng)絡(luò)安全方面發(fā)揮著重要的作用。它可以對網(wǎng)絡(luò)通信的訪問進行強制監(jiān)管,有效保護電廠MIS系統(tǒng)內(nèi)部網(wǎng)絡(luò)的安全,從而避免其遭受來自外部網(wǎng)絡(luò)的各種攻擊,比如一些不法分子非法使用、盜取、修改電廠MIS系統(tǒng)內(nèi)部網(wǎng)絡(luò)的各種資源。但是,就目前病毒情況來看,其更新變化的速度非??欤瑢τ谀承┬碌木W(wǎng)絡(luò)病毒,防火墻的隔離作用不明顯。因此,需要借助相關(guān)的防病毒軟件(比如卡巴、諾頓、金山衛(wèi)士等)的作用,進一步抵御各種網(wǎng)絡(luò)病毒的攻擊。通常情況下,這種方法比較適合運用于中小型電廠的MIS系統(tǒng)中。
3、將網(wǎng)閘與各種防病毒軟件有機結(jié)合
網(wǎng)閘是一種基于硬件層的讀寫功能交換,是一種類似電子開關(guān)的防火墻。將其運用于電廠MIS系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計中,不允許任何有網(wǎng)絡(luò)連接存在于內(nèi)外網(wǎng)主模塊之間,從而有效實現(xiàn)了內(nèi)外網(wǎng)之間的隔離。比如相關(guān)工作人員需要上網(wǎng)時,需授權(quán)用戶并進行安全監(jiān)測,只有監(jiān)測過關(guān)后才可以進行上網(wǎng),從而有效阻止外網(wǎng)系統(tǒng)對電廠MIS系統(tǒng)的入侵;如果工作人員不需要使用上網(wǎng),它就直接等同于將內(nèi)網(wǎng)斷開Internet連接。與此同時,電廠MIS系統(tǒng)還借助相關(guān)防病毒軟件的作用,通過其升級,不斷更新其病毒庫,最大程度上攔截各種網(wǎng)絡(luò)病毒的攻擊。一般情況下,一些大中型電廠MIS系統(tǒng)運用這種方法,因為大中型電廠對網(wǎng)絡(luò)安全的要求一般比較高。
三、結(jié)束語
論文摘要 做好計算機網(wǎng)絡(luò)系統(tǒng)安全防護體系的建設(shè),并通過關(guān)鍵技術(shù)的攻關(guān),以確保電網(wǎng)企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)安全工作的安全性、系統(tǒng)性、創(chuàng)新性和實用性。本文對智能電網(wǎng)中計算 機網(wǎng)絡(luò)系統(tǒng)的基本安全防護和安全監(jiān)控及保密進行了介紹。
0 引言
我國隨著近年來的智能電網(wǎng)建設(shè),其計算機網(wǎng)絡(luò)系統(tǒng)的安全問題也越來越突出,并且在多個方面均面臨著可能的信息安全威脅,計算機網(wǎng)絡(luò)系統(tǒng)的信息安全已經(jīng)成為智能電網(wǎng)穩(wěn)定運行和可靠供電的關(guān)鍵保障,也是電力企業(yè)管理、經(jīng)營和生產(chǎn)的重要組成。而隨著計算機網(wǎng)絡(luò)系統(tǒng)信息安全形勢的日益嚴(yán)峻,其信息安全的防護也還需要進一步的深入探討和研究,做好計算機網(wǎng)絡(luò)系統(tǒng)安全防護體系的建設(shè),并通過關(guān)鍵技術(shù)的攻關(guān),以確保電網(wǎng)企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)安全工作的安全性、系統(tǒng)性、創(chuàng)新性和實用性。
1 智能電網(wǎng)中計算機網(wǎng)絡(luò)系統(tǒng)的基本安全防護
1.1 防病毒系統(tǒng)
在計算機網(wǎng)絡(luò)系統(tǒng)安全中,病毒問題一直是很嚴(yán)峻的問題。隨著各種業(yè)務(wù)系統(tǒng)的推廣和網(wǎng)絡(luò)的建設(shè)和發(fā)展,計算機的病毒擴散也呈現(xiàn)出了新特征,所以在電網(wǎng)企業(yè)的內(nèi)外網(wǎng)建設(shè)中,均不能忽視計算機病毒的防治問題,并且要聯(lián)合其他的安全防護措施,一起構(gòu)建出多維的防護體系。
1.2 防火墻
為了保障網(wǎng)絡(luò)系統(tǒng)資源的安全,則電網(wǎng)企業(yè)應(yīng)當(dāng)采用防火墻來做為安全防護體系中的第一道防御,通過控制訪問來防御攻擊。配備防火墻對于提高內(nèi)外網(wǎng)絡(luò)和邊界的安全能夠起到重要的作用。而防火墻的選型也應(yīng)根據(jù)業(yè)務(wù)安全性的要求和業(yè)務(wù)數(shù)據(jù)流量的不同來進行有針對性的處理。
1.3 入侵檢測系統(tǒng)
作為系統(tǒng)安全檢測最后的一道防線,入侵檢測系統(tǒng)提供了監(jiān)視、安全審計、反攻擊和攻擊識別等多項功能,能夠?qū)φ`操作、外部攻擊和內(nèi)部攻擊進行實時的監(jiān)控。而且入侵檢測系統(tǒng)有著事后取證、事中防護和事前警告等特點,因此建議對其采用高級的分析技術(shù),比如多個相關(guān)協(xié)議、相關(guān)事件的綜合分析。而在入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊時,能夠自動記錄該攻擊,并通知網(wǎng)絡(luò)系統(tǒng)管理人員,通過與防火墻的聯(lián)動,來及時阻斷攻擊。
1.4 安全審計系統(tǒng)
通過對網(wǎng)絡(luò)數(shù)據(jù)進行采集、識別和分析,動態(tài)、實時地監(jiān)測網(wǎng)絡(luò)流量、網(wǎng)絡(luò)行為和通信內(nèi)容,安全審計系統(tǒng)能夠發(fā)現(xiàn)并捕獲各種違規(guī)行為和敏感信息,開啟實時報警,全面記錄計算機網(wǎng)絡(luò)系統(tǒng)當(dāng)中的各種事件和會話,實現(xiàn)對系統(tǒng)安全的智能關(guān)聯(lián)評估、分析及安全事件的全程準(zhǔn)確跟蹤定位,從而為整體的計算機網(wǎng)絡(luò)系統(tǒng)安全的策略制定提供權(quán)威而可靠的支持。
2 智能電網(wǎng)中計算機網(wǎng)絡(luò)系統(tǒng)的安全監(jiān)控及保密
2.1 安全監(jiān)控系統(tǒng)
作為一種防護性系統(tǒng),安全監(jiān)控系統(tǒng)就是為了在日常的工作當(dāng)中對系統(tǒng)平臺來進行安全方面有效地監(jiān)控而建立。針對通用的操作系統(tǒng)環(huán)境下存在的各種安全隱患,通過主動的對操作系統(tǒng)行為進行監(jiān)管的方法,利用智能軟件技術(shù)、操作系統(tǒng)的底層技術(shù)和系統(tǒng)的引導(dǎo)固件技術(shù)等,設(shè)計且實現(xiàn)一個面對主流通用的操作系統(tǒng)安全管制與監(jiān)測平臺。并通過在操作系統(tǒng)的引導(dǎo)層、應(yīng)用層、核心層等多個層面,來對操作系統(tǒng)的啟動前、啟動過程中和運行中的一系列操作行為來實行安全管制和監(jiān)測,從而達到保障計算機網(wǎng)絡(luò)系統(tǒng)安全的目標(biāo)。其功能主要包括了遠程主機的監(jiān)測功能、對應(yīng)用系統(tǒng)的完整性進行監(jiān)管的功能、安全配置各信息監(jiān)管的功能以及系統(tǒng)輸入及輸出的監(jiān)管功能等。
2.2 安全保密管理系統(tǒng)
安保管理系統(tǒng)能夠提供自動化的安全規(guī)章和技術(shù)規(guī)范的管理、安全狀態(tài)的管理、安全策略的管理和安全資產(chǎn)的管理等功能,并能有效增強內(nèi)外電力網(wǎng)的可管理性和可控性。而其中,安全規(guī)章和技術(shù)規(guī)范的管理是通過安全規(guī)章管理體系的建立,對與電網(wǎng)企業(yè)相關(guān)的制度、法律、法規(guī)和技術(shù)規(guī)范來進行統(tǒng)一的管理,明確各項安全規(guī)章和有關(guān)環(huán)境、系統(tǒng)和設(shè)備的關(guān)系,并確保安全規(guī)章發(fā)生變化時能在安全策略當(dāng)中及時得到體現(xiàn);安全狀態(tài)的管理是建立安全狀態(tài)的管理系統(tǒng),并對電網(wǎng)企業(yè)涉及到的網(wǎng)絡(luò)和系統(tǒng)設(shè)施的安全狀態(tài)及變化進行相應(yīng)的管理;安全策略的管理是建立安全策略的管理系統(tǒng),管理和維護內(nèi)外電力網(wǎng)的各種安全策略;安全資產(chǎn)的管理是對內(nèi)外電力網(wǎng)涉及到的安全設(shè)備進行數(shù)據(jù)庫的建立,并自動化地管理各安全設(shè)備的操作規(guī)范、配置狀況、與設(shè)備有關(guān)的人員信息和技術(shù)支持信息。
2.3 信息安全管控平臺
信息安全的管控平臺是電網(wǎng)企業(yè)的計算機網(wǎng)絡(luò)安全防護系統(tǒng)當(dāng)中的核心部分。而通過信息安全的管控平臺,還可以對于電網(wǎng)企業(yè)的資產(chǎn)進行有效的管理;同時,也可以對于用戶訪問資產(chǎn)來進行有效的控制,對所有的訪問行為來進行統(tǒng)一的日志管理,并對電網(wǎng)企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全服務(wù)來進行統(tǒng)一的管理和監(jiān)控,又能對各類事件的反應(yīng)機制進行統(tǒng)一的管理。最終將各種系統(tǒng)安全服務(wù)、資產(chǎn)、事件、響應(yīng)都融合到平臺中,從而為用戶來提供統(tǒng)一的管理平臺與手段。
2.4 信息加密系統(tǒng)
要保障網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)安全性,則在電網(wǎng)企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)安全防護體系當(dāng)中,其信息加密的技術(shù)是必不可少的安全保障措施,特別是在數(shù)據(jù)傳輸和存儲等關(guān)鍵的階段。對于智能電網(wǎng)來說,有大量的數(shù)據(jù)要進行傳輸,因而傳輸過程當(dāng)中的數(shù)據(jù)安全性是極為重要的,這就必須采用可靠的傳輸手段來保障信息的傳送安全。同時數(shù)據(jù)在關(guān)鍵節(jié)點、終端的保存,也需要安全可靠的措施,來保障數(shù)據(jù)得到安全的存儲。因此在電網(wǎng)企業(yè)中,應(yīng)用加密協(xié)議、數(shù)據(jù)加密傳輸與存儲,就成為重要的環(huán)節(jié)。另外,將數(shù)據(jù)加密技術(shù)與個人身份識別相結(jié)合,可以避免同一機構(gòu)的不同人員之間的數(shù)據(jù)不安全訪問,從而實現(xiàn)分層的數(shù)據(jù)安全機制。
參考文獻
[1]王繼業(yè).支撐智能電網(wǎng)的信息技術(shù)[j]電力信息化,2010(4).
[2]劉金長,賴征田,楊成月,李浩松.面向智能電網(wǎng)的信息安全防護體系建設(shè)[j]電力信息化,2010(9).
關(guān)鍵詞:信息系統(tǒng),網(wǎng)絡(luò)安全,對策措施
1.建立一套較完善的、操作性強的管理制度
根據(jù)實際情況,對不同類型、不同敏感度的信息,規(guī)定合適的管理制度和使用方法,制定詳細的安全管理制度,保證信息系統(tǒng)安全風(fēng)險規(guī)避管理有章可循,有法可依,促使每個系統(tǒng)管理人員和使用人員將系統(tǒng)安全風(fēng)險規(guī)避管理形成一種習(xí)慣。制定系統(tǒng)安全獎懲制度,對于違反制度者視情節(jié)輕重給予相應(yīng)的經(jīng)濟懲罰或行政處分,情節(jié)特別惡劣的可提起法律訴訟,對違規(guī)制度者進行舉報的人員給予適當(dāng)?shù)莫剟?。院?nèi)每人都有義務(wù)和責(zé)任舉報任何系統(tǒng)不安全現(xiàn)象和行為。
安全管理制度包括中心機房安全管理制度、子系統(tǒng)使用人員安全管理制度、系統(tǒng)設(shè)備安全管理制度、網(wǎng)絡(luò)安全管理制度、病毒防范安全管理制度、安全管理登記制度、應(yīng)答制度、考核制度等。做好設(shè)備的運行情況記錄,檢查記錄,日常維護記錄及用戶的監(jiān)控記錄等。
2.制定詳細而周密的應(yīng)急預(yù)案
充分考慮各種系統(tǒng)故障,設(shè)計與各管理崗位相符的系統(tǒng)安全風(fēng)險規(guī)避管理常規(guī)處理預(yù)案和緊急處理預(yù)案,根據(jù)安全事件的嚴(yán)重程度適時采用,以保證正常的服務(wù)和秩序,提高應(yīng)對突發(fā)事件的能力。在信息系統(tǒng)出現(xiàn)故障時,將系統(tǒng)中斷時間、故障損失和社會影響降到最低。由分管院長、相應(yīng)科室及計算機中心組成故障排除小組,當(dāng)災(zāi)難發(fā)生時應(yīng)用應(yīng)急預(yù)案進行恢復(fù)。應(yīng)定期進行應(yīng)急預(yù)案的演練,查找問題,加以整改,提高其針對性和實用性。
應(yīng)急預(yù)案包括服務(wù)器、硬件、軟件、網(wǎng)絡(luò)等方面的系統(tǒng)安全風(fēng)險應(yīng)急措施、具體的協(xié)調(diào)部門及相應(yīng)的工作、常用的應(yīng)急電話等。應(yīng)急預(yù)案須明顯張貼,使應(yīng)急操作人員方便地看到。
3.建立系統(tǒng)安全監(jiān)控體系
設(shè)立安全管理人員,對那些給信息系統(tǒng)安全帶來嚴(yán)重隱患的行為和人員進行重點管理和監(jiān)督。建立數(shù)據(jù)質(zhì)量監(jiān)控體系和數(shù)據(jù)操作員、職能科室、部門領(lǐng)導(dǎo)三個層次的數(shù)據(jù)質(zhì)量監(jiān)控層,對信息系統(tǒng)數(shù)據(jù)安全具有重要意義。建立信息系統(tǒng)數(shù)據(jù)質(zhì)量考評和反饋制度。建立合理的系統(tǒng)安全風(fēng)險規(guī)避管理的組織結(jié)構(gòu),成立信息系統(tǒng)安全領(lǐng)導(dǎo)小組,在硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)等各個方面合理配置系統(tǒng)安全管理人員,選擇適當(dāng)學(xué)歷和專業(yè)的人員擔(dān)任并讓其明確各自的責(zé)任,根據(jù)實際情況,制定合理的管理制度和使用方法。論文參考網(wǎng)。系統(tǒng)安全管理人員在工作上要求責(zé)任心強,業(yè)務(wù)熟悉。系統(tǒng)安全培訓(xùn)工作也是保證系統(tǒng)正常運行的關(guān)鍵。應(yīng)合理配備技術(shù)人員,保證維護力量。同時,專業(yè)人員應(yīng)對每個操作人員進行培訓(xùn),使其熟悉操作規(guī)程,熟練系統(tǒng)操作。目前員工的安全意識相對淡薄,在實際工作中,存在利用業(yè)務(wù)系統(tǒng)登錄口令過于簡單的漏洞,私自訪問不安全網(wǎng)站,下載并安裝與工作無關(guān)的軟件,私自接入不安全設(shè)備等問題,這些都給信息系統(tǒng)造成了極大的安全隱患和威脅。因此,要下大力氣做好員工信息系統(tǒng)安全知識的宣傳教育和培訓(xùn)工作,使員工自覺遵守信息管理的各項規(guī)定,增強其系統(tǒng)安全意識,保證信息系統(tǒng)安全。對系統(tǒng)安全培訓(xùn)不太重視的,今后應(yīng)豐富培訓(xùn)內(nèi)容和方式,注重培訓(xùn)時間和頻率的選擇,適當(dāng)增加培訓(xùn)投入,做好相關(guān)方面的改進以提高培訓(xùn)效果,加強系統(tǒng)安全風(fēng)險規(guī)避管理。領(lǐng)導(dǎo)轉(zhuǎn)變觀念,充分認(rèn)識到系統(tǒng)安全風(fēng)險規(guī)避管理的重要性,根據(jù)的實際情況每年編制合理的系統(tǒng)安全預(yù)算,避免投入的盲目性。加大對重要設(shè)備如服務(wù)器等的投入,提高其可靠性,防止因設(shè)備檔次低而引起的可靠性問題,避免設(shè)備的核心部件為偽劣品最終導(dǎo)致系統(tǒng)不能正常運行。
4.建立健全風(fēng)險評估和檢測機制
可采取與專業(yè)安全服務(wù)公司建立長期合作的策略實現(xiàn)安全風(fēng)險評估機制的建立,加強多部門之間的安全信息溝通與共享,積極利用其在安全風(fēng)險評估技術(shù)、方法等方面的優(yōu)勢,結(jié)合信息系統(tǒng)安全實際,建立符合信息安全要求的風(fēng)險評估與管理機制,不斷研究和發(fā)現(xiàn)信息系統(tǒng)存在的漏洞、缺陷以及面臨的風(fēng)險與威脅,并積極尋找相應(yīng)的補救方法,力求做到防范于未然。
應(yīng)制定安全檢測計劃和方案并組織實施,組成專門的檢測小組,在領(lǐng)導(dǎo)和系統(tǒng)運行維護部門的積極配合下,對系統(tǒng)的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)結(jié)構(gòu)、信息保護、安全管理以及應(yīng)急預(yù)案等方面進行認(rèn)真測試與核查。
做好硬件設(shè)備的預(yù)防性維護。論文參考網(wǎng)。定期對主機、顯示器、打印機等設(shè)備內(nèi)部除塵,更換老化的零部件。定期運行磁盤碎片整理程序、磁盤清理程序,優(yōu)化硬盤設(shè)置,優(yōu)化每個工作站子系統(tǒng),確保系統(tǒng)運行環(huán)境的安全。
5.加強系統(tǒng)重要信息和文檔的管理
完整的系統(tǒng)文檔是分析故障、排除故障的基礎(chǔ),是系統(tǒng)正常運行的保證,因此,應(yīng)加強系統(tǒng)文檔的管理。論文參考網(wǎng)。系統(tǒng)文檔包括計算機資料、驅(qū)動軟件、系統(tǒng)軟件、應(yīng)用軟件安裝盤、應(yīng)用軟件安裝說明書、程序使用說明書、源程序代碼及詳細說明、各計算機的IP地址、計算機名、服務(wù)器配置說明書。
6.完善系統(tǒng)功能,提高應(yīng)用程序級的安全性
根據(jù)各級操作員的操作范圍,合理設(shè)置系統(tǒng)軟件的權(quán)限,慎重考慮系統(tǒng)功能,如在財務(wù)收費報表中及時反映收費票據(jù)號碼,退費、退藥票據(jù)號碼,以便核查,禁止票據(jù)重打功能。
根據(jù)備份原則,不能只有一個人能進行系統(tǒng)管理或數(shù)據(jù)庫管理。嚴(yán)格限制超級用戶數(shù),系統(tǒng)超級用戶只能由系統(tǒng)管理人員掌握,并定期更換口令。系統(tǒng)管理員嚴(yán)格按照“審批單”為各工作站子系統(tǒng)用戶分配適當(dāng)?shù)臋?quán)限。嚴(yán)禁帳號及密碼外借他人,防止非法用戶入侵系統(tǒng)。
7. 強化信息系統(tǒng)安全技術(shù)保障
硬件方面的信息系統(tǒng)安全技術(shù)主要包括:物理隔離。對內(nèi)部信息系統(tǒng)和外部互聯(lián)網(wǎng)實行物理隔離;同時,對內(nèi)部局域網(wǎng)中的醫(yī)療網(wǎng)絡(luò)系統(tǒng)和辦公網(wǎng)絡(luò)系統(tǒng)進行物理分割,封閉醫(yī)療網(wǎng)絡(luò)系統(tǒng)中所有對外的接口;保證存有重要數(shù)據(jù)的子系統(tǒng)只能使用內(nèi)網(wǎng)而不能使用外網(wǎng)。建立一套完整的數(shù)據(jù)備份策略,預(yù)防硬盤損壞等風(fēng)險,保證服務(wù)器長期可靠地運行。數(shù)據(jù)安全是整個信息系統(tǒng)安全的核心,數(shù)據(jù)備份是保證數(shù)據(jù)安全避免損失的最佳途徑。不同的數(shù)據(jù)備份方法如雙機熱備份、異地備份、磁帶備份等有各自的優(yōu)缺點,應(yīng)根據(jù)的實際情況適當(dāng)采用。
軟件方面的信息系統(tǒng)安全技術(shù)主要包括:選擇符合系統(tǒng)安全要求的操作系統(tǒng)并及時更新??蛻舳税惭b遠程監(jiān)控軟件,幫助系統(tǒng)管理員實時監(jiān)控和記錄系統(tǒng)各個終端的運行情況,防止非法用戶侵入系統(tǒng)。同時,強化行為管理,對各種網(wǎng)絡(luò)和操作行為進行實時監(jiān)控和分類管理,規(guī)定行為的范圍和期限,及時發(fā)現(xiàn)并去掉一些設(shè)備共享或文件夾共享,盡可能地制止一切與信息管理無關(guān)的現(xiàn)象和行為,減少網(wǎng)絡(luò)的安全隱患。購置網(wǎng)絡(luò)版殺毒軟件,在服務(wù)器及每個客戶端都安裝相應(yīng)的防病毒軟件,定時更新病毒庫,周期性地對系統(tǒng)中的程序進行檢查,利用病毒防火墻對系統(tǒng)進行實時監(jiān)控。選擇和使用更為安全的數(shù)據(jù)庫系統(tǒng),并嚴(yán)格規(guī)范使用制度及方式。采用適宜技術(shù)與設(shè)備保證鏈路安全。強化桌面系統(tǒng)安全管理。
參考文獻:
[1]劉臣. 略論信息系統(tǒng)建設(shè)[J]現(xiàn)代管理, 2007, (05) .
[2]李華才. 信息化建設(shè)存在的問題與發(fā)展對策[J]華北國防醫(yī)藥, 2002, (02) .
[3]袁永林. 軍隊衛(wèi)生信息化的建設(shè)與發(fā)展[J]解放軍管理雜志, 2003, (01) .
關(guān)鍵詞:計算機,網(wǎng)絡(luò)安全,防火墻
隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用,網(wǎng)絡(luò)安全問題日漸突出。網(wǎng)絡(luò)具有跨國界、無主管、不設(shè)防、開放、自由、缺少法律約束力等特性,網(wǎng)絡(luò)的這些特性顯示了它的許多優(yōu)點,但同時也使它容易受到來自各方面的入侵和攻擊。如果不很好地解決這個問題,必將阻礙計算機網(wǎng)絡(luò)化發(fā)展的進程。
1 網(wǎng)絡(luò)安全概述
網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全,指網(wǎng)絡(luò)系統(tǒng)中流動和保存的數(shù)據(jù),不受到偶然的或者惡意的破壞、泄露、更改,系統(tǒng)能連續(xù)正常的工作,網(wǎng)絡(luò)服務(wù)不中斷。從廣義上來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。
2 網(wǎng)絡(luò)安全的威脅因素
歸納起來,網(wǎng)絡(luò)安全的威脅主要有:
(1)網(wǎng)絡(luò)協(xié)議的局限性?!nternet的基石是TCP/IP協(xié)議簇,該協(xié)議簇在實現(xiàn)上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設(shè)計上就是不安全的。并且,由于TCP/IP協(xié)議是公布于眾的,若人們對TCP/IP協(xié)議很熟悉,就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。
(2) 人為的無意失誤。如操作員安全配置不當(dāng)造成的安全漏洞,用戶口令選擇不慎,用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。雖然網(wǎng)絡(luò)中設(shè)置了不少保護屏障,但由于人們的安全意識淡薄,從而使保護措施形同虛設(shè)。例如防火墻,它是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目的就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡(luò)遭受外界因素的干擾和破壞。如有人為了避開防火墻服務(wù)器的額外認(rèn)證,進行直接的PPP連接,就會使防火墻失去保護作用。
(3)計算機病毒的危害。 計算機病毒是一個能夠通過修改程序,把自身復(fù)制進去進而去傳染其它程序的程序。它并不獨立存在,而是寄生在其他程序之中,它具有能自我“復(fù)制”并能“傳播”這一基本特征,并在計算機網(wǎng)絡(luò)內(nèi)部反復(fù)地自我繁殖和擴散,危及網(wǎng)絡(luò)系統(tǒng)正常工作,最終使計算機及網(wǎng)絡(luò)系統(tǒng)發(fā)生故障和癱瘓。目前全世界的計算機活體病毒達14萬多種,其傳播途徑不僅通過軟盤、硬盤傳播,還可以通過網(wǎng)絡(luò)的電子郵件和下載軟件傳播。隨著計算機應(yīng)用的發(fā)展,人們深刻地認(rèn)識到病毒對計算機信息系統(tǒng)造成嚴(yán)重的破壞。
(4) 黑客的威脅和攻擊。 這是計算機網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為2種:一種是網(wǎng)絡(luò)攻擊,以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網(wǎng)絡(luò)偵察,他是在不影響網(wǎng)絡(luò)正常工作的情況下,進行截獲、竊取、破譯以獲得對方重要的機密信息。這2種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機密數(shù)據(jù)的泄露。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo)。黑客入侵的例子枚不勝舉,從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。
3計算機網(wǎng)絡(luò)安全防范措施
針對網(wǎng)絡(luò)系統(tǒng)現(xiàn)實情況,處理好網(wǎng)絡(luò)的安全問題是當(dāng)務(wù)之急。為了保證網(wǎng)絡(luò)安全采用如下方法:
(1)配置防火墻。防火墻將內(nèi)部網(wǎng)和公開網(wǎng)分開,實質(zhì)上是一種隔離技術(shù)。它是網(wǎng)絡(luò)安全的屏障,是保護網(wǎng)絡(luò)安全最主要的手段之一。免費論文。利用防火墻,在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進人自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客隨意訪問自己的網(wǎng)絡(luò)。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。免費論文。
(2)安裝防病毒網(wǎng)關(guān)軟件。防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)發(fā)現(xiàn)病毒時,可能已經(jīng)感染了很多計算機,防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部,它同時具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時,管理員只要將防病毒網(wǎng)關(guān)升級就可以抵御新病毒的攻擊。
(3)應(yīng)用入侵檢測系統(tǒng)。入侵檢測技術(shù)是近20年來出現(xiàn)的一種主動保護自己免受黑客攻擊的新型網(wǎng)絡(luò)安全技術(shù)。它能夠檢測那些來自網(wǎng)絡(luò)的攻擊,檢測到超過授權(quán)的非法訪問。一個網(wǎng)絡(luò)入侵檢測系統(tǒng)不需要改變服務(wù)器等主機的配置。由于它不會在業(yè)務(wù)系統(tǒng)的主機安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業(yè)務(wù)的性能。它從系統(tǒng)運行過程中產(chǎn)生的或系統(tǒng)所處理的各種數(shù)據(jù)中查找出威脅系統(tǒng)安全的因素,并對威脅做出相應(yīng)的處理。免費論文。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。
(4)利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下,可以采用對各個子網(wǎng)做一有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的審計文件提供備份。
(5)采用漏洞掃描技術(shù)。漏洞掃描是針對特定信息網(wǎng)絡(luò)中存在的漏洞而進行的。信息網(wǎng)絡(luò)中無論是主機還是網(wǎng)絡(luò)設(shè)備都可能存在安全隱患,有些是系統(tǒng)設(shè)計時考慮不周而留下的,有些是系統(tǒng)建設(shè)時出現(xiàn)的。這些漏洞很容易被攻擊,從而危及信息網(wǎng)絡(luò)的安全。漏洞掃描是自動檢測遠端或本地主機安全的技術(shù),它查詢TCP/IP各種服務(wù)的端口,并記錄目標(biāo)主機的響應(yīng),收集關(guān)于某些特定項目的有用信息。它的具體實現(xiàn)是安全掃描程序,掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的安全脆弱點。掃描程序開發(fā)者利用可得到的攻擊方法,把它們集成到整個掃描中,掃描后以統(tǒng)計的格式輸出,便于參考和分析。
(6)應(yīng)用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)就是對信息進行重新編碼,從而隱藏信息內(nèi)容,使非法用戶無法獲取信息的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。
(7)常做數(shù)據(jù)備份。由于數(shù)據(jù)備份所占有的重要地位,它已經(jīng)成為計算機領(lǐng)域里相對獨立的分支機構(gòu)。時至今日,各種操作系統(tǒng)都附帶有功能較強的備份程序,但同時也還存在這樣或那樣的缺陷;各類數(shù)據(jù)庫管理系統(tǒng)也都有一定的數(shù)據(jù)復(fù)制的機理和功能,但對整個系統(tǒng)的數(shù)據(jù)備份來說仍有不夠完備之處。所以,若想根本解決整個系統(tǒng)數(shù)據(jù)的可靠備份問題,選擇專門的備份軟、硬件,建立專用的數(shù)據(jù)備份系統(tǒng)是不可缺少的。
結(jié)語
隨著網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)技術(shù)的日漸更新,網(wǎng)絡(luò)時代的計算機信息安全越來越重要,網(wǎng)絡(luò)安全是一個系統(tǒng)的工程,需要仔細考慮系統(tǒng)的安全需求,并將各種安全技術(shù)結(jié)合在一起,才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。
f參考 文 獻 ]
[1盧開澄:《計算機密碼學(xué)一計算機網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)安全》(清華大學(xué)出版社1998).
[2余建斌:《黑客的攻擊手段及用戶對策》(北京人民郵電出版社1998).
[3〕蔡立軍:《計算機網(wǎng)絡(luò)安全技術(shù)》(中國水利水電出版社2002).
[41鄧文淵、陳惠貞、陳俊榮:(ASP與網(wǎng)絡(luò)數(shù)據(jù)庫技術(shù)》(中國鐵道出版社2003.4).
論文摘要:急救指揮中心所有的軟件和用戶數(shù)據(jù)都存儲在服務(wù)器硬盤這個核心的數(shù)據(jù)倉庫中,如何保證服務(wù)器數(shù)據(jù)的安全,并且保證服務(wù)器最大程度上的不間斷運作對每個指揮中心來說都是一個關(guān)鍵問題。針對急救通訊指揮系統(tǒng)的安全保障問題,從數(shù)據(jù)物理安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施。對保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有重要意義。
1數(shù)據(jù)的物理安全方法
1.1RAID技術(shù)
對每臺服務(wù)器的兩塊硬盤做RAID技術(shù)處理,把多塊獨立的硬盤(物理硬盤)按不同的方式組合起來形成一個硬盤組(邏輯硬盤),從而提供比單個硬盤更高的存儲性能和提供數(shù)據(jù)備份技術(shù)。數(shù)據(jù)備份的功能是在用戶數(shù)據(jù)一旦發(fā)生損壞后,利用備份信息可以使損壞數(shù)據(jù)得以恢復(fù),從而保障了用戶數(shù)據(jù)的安全性,而且數(shù)據(jù)備份是自動的。在用戶看起來,組成的磁盤組就像是一個硬盤,用戶可以對它進行分區(qū),格式化等等??傮w來說,RAID技術(shù)的兩大特點是速度和安全。
1.2雙機熱備系統(tǒng)
從狹義上講,雙機熱備特指基于active/standby模式的服務(wù)器熱備。服務(wù)器數(shù)據(jù)包括數(shù)據(jù)庫數(shù)據(jù)同時往兩臺或多臺服務(wù)器寫,或者使用一個共享的存儲設(shè)備。在同一時間內(nèi)只有一臺服務(wù)器運行。當(dāng)其中運行著的一臺服務(wù)器出現(xiàn)故障無法啟動時,另一臺備份服務(wù)器會通過軟件診測(一般是通過心跳診斷)將standby機器激活,保證應(yīng)用在短時間內(nèi)完全恢復(fù)正常使用。雙機熱備的工作機制實際上是為整個網(wǎng)絡(luò)系統(tǒng)的中心服務(wù)器提供了一種故障自動恢復(fù)能力。
2、網(wǎng)絡(luò)安全保障體系
中心網(wǎng)絡(luò)由局域網(wǎng)、外部網(wǎng)兩大部分組成。因此,我們?yōu)榱私⑵饛姶?、穩(wěn)定、安全的網(wǎng)絡(luò),可從兩大安全層次著手設(shè)計與管理:局域網(wǎng)安全和外部網(wǎng)安全,這兩大層次結(jié)合起來才能構(gòu)成完善的網(wǎng)絡(luò)安全保障體系。
2.1應(yīng)用系統(tǒng)安全
應(yīng)用系統(tǒng)的安全主要是保護敏感數(shù)據(jù)數(shù)據(jù)不被未授權(quán)的用戶訪問。并制訂出安全策略。包括身份認(rèn)證服務(wù);權(quán)限控制服務(wù);信息保密服務(wù);數(shù)據(jù)完整;完善的操作日志。這些服務(wù)互相關(guān)聯(lián)、互相支持,共同為本系統(tǒng)提供整體安全保障體系。
2.2數(shù)據(jù)安全
數(shù)據(jù)的安全主要體現(xiàn)在兩個方面,首先,是數(shù)據(jù)不會被非授權(quán)用戶訪問或更該,其次,數(shù)據(jù)在遭到破壞時的恢復(fù)。
3應(yīng)用安全系統(tǒng)
資料永久保存,磁帶回復(fù)時間無嚴(yán)格限制。數(shù)據(jù)存儲:磁盤陣列+磁帶庫;Tier1=4TB HDD存放線上經(jīng)常使用的數(shù)據(jù);備份帶庫:3TB定時定期備份所有數(shù)據(jù)。
3.1采用磁帶庫
磁帶庫具有如下優(yōu)點:更高的價值;簡化IT;集成的解決方案;靈活的數(shù)據(jù)存儲和轉(zhuǎn)移;多種接口選擇;AES256位嵌入式硬件加密和壓縮功能;用戶可自行維護和更換的組件;廣泛的兼容性測試;久經(jīng)考驗的可靠性。
3.2數(shù)據(jù)備份軟件
3.2.1基于LAN備份方案
LAN是一種結(jié)構(gòu)簡單,易于實現(xiàn)的備份方案,廣泛的存在于各中小企業(yè)中LAN方案在企業(yè)發(fā)展壯大過程中所發(fā)揮的作用一直被客戶所認(rèn)同。由于急救系統(tǒng)用戶數(shù)據(jù)量的巨大,基于LAN備份的弊端較突出:此方案對LAN的依賴非常強;因為內(nèi)部LAN為企業(yè)內(nèi)部辦公用網(wǎng)絡(luò),而LAN方案依賴現(xiàn)有網(wǎng)絡(luò)進行備份恢復(fù)數(shù)據(jù)流的傳輸,所以必然會影響現(xiàn)有辦公網(wǎng)絡(luò)環(huán)境;基于LAN備份難于擴展,因為需要而添加存儲設(shè)備將導(dǎo)致繁忙的辦公網(wǎng)絡(luò)更加繁忙;管理困難是LAN備份的又一難題,因為設(shè)備分散于網(wǎng)絡(luò)各個環(huán)節(jié),使管理員進行數(shù)據(jù)備份恢復(fù)及平時維護工作有一定難度。
3.2.2基于IPSAN的備份方案
基于IPSAN的備份方案,通過結(jié)合CBS備份管理軟件,將使備份恢復(fù)工作簡單而有效。
備份網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)有效隔離開,備份數(shù)據(jù)不通過辦公網(wǎng)絡(luò)傳輸,而是直接通過IPSAN交換機與存儲設(shè)備進行連接。
系統(tǒng)具備良好的擴展性能,在現(xiàn)有基礎(chǔ)上,客戶能夠添加各種存儲設(shè)備(需支持ISCSI)。
根據(jù)客戶需要,可以實現(xiàn)D2D2T功能。將數(shù)據(jù)首先備份于速度較快的磁盤陣列上,加快備份的速度。再將數(shù)據(jù)從磁盤陣列備份到磁帶庫。
通過CBS備份管理軟件能夠集中管理其中各種設(shè)備,制定備份策略,安排備份時間,實現(xiàn)無人值守作業(yè),減輕管理員的工作量。下圖為CBS備份框架。
備份服務(wù)器作為整個CBS備份架構(gòu)的中心,實現(xiàn)管理功能。
4告警控制系統(tǒng)
通訊指揮系統(tǒng)出現(xiàn)故障時自動告警提示,確保系統(tǒng)安全運行。2M口通訊故障告警、網(wǎng)絡(luò)通訊故障告警、終端網(wǎng)絡(luò)斷開告警、電話到達告警、定時放音、擴音、報時控制,也可自動循環(huán)播放、電源出現(xiàn)故障可自動向受理臺告警。
警告系統(tǒng)整體性能:輸入:8-32通道,8通道遞增;電源輸入:AC 180V-250V 50Hz;控制通道輸入及輸出:AC<240V/3ADC<30V/3A;告警控制盒與計算機的通訊連接告警控制盒端用:232口;計算機端用:COMl口或COM2口;使用電纜:232串口電纜;各告警通道開啟時間超過10分鐘將自動關(guān)閉;各開/關(guān)控制通道接通時間超過10分鐘將自動斷開。
5總結(jié)
隨著數(shù)據(jù)管理與控制信息化綜合系統(tǒng)的不斷完善,對服務(wù)器數(shù)據(jù)的安全要求也越來越高,論文就如何保障急救指揮中心證服務(wù)器數(shù)據(jù)的安全,論文從數(shù)據(jù)物理安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施。對保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有指導(dǎo)性的作用。
參考文獻:
[1]何全勝,姚國祥.網(wǎng)絡(luò)安全需求分析及安全策略研究.計算機工程,2000,(06).
論文摘要:隨著計算機技術(shù)和信息網(wǎng)絡(luò)技術(shù)的發(fā)展,全球信息化已成為人類發(fā)展的趨勢。行政部門信息網(wǎng)絡(luò)的互聯(lián),最大限度地實現(xiàn)了信息資源的共享和提高行政部門對企事業(yè)單位監(jiān)管監(jiān)察的工作效率。然而網(wǎng)絡(luò)易受惡意軟件、黑客等的非法攻擊。如何保障計算機信息網(wǎng)絡(luò)的安全,已成為備受關(guān)注的問題。
行政機關(guān)的計算機網(wǎng)絡(luò)系統(tǒng)通常是跨區(qū)域的Intranet網(wǎng)絡(luò),提供信息管理、資源共享、業(yè)務(wù)窗口等應(yīng)用服務(wù)的平臺,網(wǎng)絡(luò)內(nèi)部建立數(shù)據(jù)庫,為各部門的業(yè)務(wù)應(yīng)用提供資源、管理,實現(xiàn)數(shù)據(jù)的采集、信息、流程審批以及網(wǎng)絡(luò)視頻會議等應(yīng)用,極大提高了日常工作效率,成為行政機關(guān)辦公的重要工具,因此要求計算機網(wǎng)絡(luò)具有很高的可操作性、安全性和保密性。
1、開放式網(wǎng)絡(luò)互連及計算機網(wǎng)絡(luò)存在的不安全要素
由于計算機網(wǎng)絡(luò)中存在著眾多的體系結(jié)構(gòu),體系結(jié)構(gòu)的差異性,使得網(wǎng)絡(luò)產(chǎn)品出現(xiàn)了嚴(yán)重的兼容性問題,國際標(biāo)準(zhǔn)化組織ISO制定了開放系統(tǒng)互聯(lián)(OSI)模型,把網(wǎng)絡(luò)通信分為7個層次,使得不同結(jié)構(gòu)的網(wǎng)絡(luò)體系在相應(yīng)的層次上得到互聯(lián)。下面就根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu),對網(wǎng)絡(luò)的不安全因素分層次討論并構(gòu)造網(wǎng)絡(luò)安全策略。
(1)物理層的安全要素:這一層的安全要素包括通信線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)環(huán)境設(shè)施的安全性等。包括網(wǎng)絡(luò)傳輸線路、設(shè)備之間的聯(lián)接是否尊從物理層協(xié)議標(biāo)準(zhǔn),通信線路是否可靠,硬件和軟件設(shè)施是否有抗干擾的能力,網(wǎng)絡(luò)設(shè)備的運行環(huán)境(溫度、濕度、空氣清潔度等),電源的安全性(ups備用電源)等。
(2)網(wǎng)絡(luò)層的安全要素:該層安全要素表現(xiàn)在網(wǎng)絡(luò)傳輸?shù)陌踩?。包括網(wǎng)絡(luò)層的數(shù)據(jù)傳輸?shù)谋C苄院屯暾浴①Y源訪問控制機制、身份認(rèn)證功能、層訪問的安全性、路由系統(tǒng)的安全性、域名解析系統(tǒng)的安全性以及入侵檢測應(yīng)用的安全性和硬件設(shè)備防病毒能力等。
(3)系統(tǒng)層的安全要素:系統(tǒng)層是建立在硬件之上軟環(huán)境,它的安全要素主要是體現(xiàn)在網(wǎng)絡(luò)中各服務(wù)器、用戶端操作系統(tǒng)的安全性,取決于操作系統(tǒng)自身的漏洞和不足以及用戶身份認(rèn)證,訪問控制機制的安全性、操作系統(tǒng)的安全配置和來自于系統(tǒng)層的病毒攻擊防范手段。
(4)應(yīng)用層的安全要素:應(yīng)用層的安全要素主要考慮網(wǎng)絡(luò)數(shù)據(jù)庫和信息應(yīng)用軟件的安全性,包括網(wǎng)絡(luò)信息應(yīng)用平臺、網(wǎng)絡(luò)信息系統(tǒng)、電子郵件系統(tǒng)、web服務(wù)器,以及來自于病毒軟件的威脅。
(5)管理層的安全要素:網(wǎng)絡(luò)安全管理包括網(wǎng)絡(luò)設(shè)備的技術(shù)和安全管理、機構(gòu)人員的安全組織培訓(xùn)、安全管理規(guī)范和制度等。
2、網(wǎng)絡(luò)安全策略模型及多維的網(wǎng)絡(luò)安全體系
行政機關(guān)的網(wǎng)絡(luò)安全需要建立一個多維的安全策略模型,要從技術(shù)、管理和人員三位一體全方位綜合考慮。
技術(shù):是指當(dāng)今現(xiàn)有使用的設(shè)備設(shè)施產(chǎn)品、服務(wù)支持和工具手段,是網(wǎng)絡(luò)信息安全實現(xiàn)的基礎(chǔ)。
管理:是組織、策略和流程。行政機關(guān)信息網(wǎng)絡(luò)的安全建設(shè)關(guān)鍵取決于組織人員的判斷、決策和執(zhí)行力,是安全成敗的必要措施。
人員:是信息網(wǎng)絡(luò)安全建設(shè)的決定性因素,不論是安全技術(shù)還是安全管理,人員是最終的操作者。人員的知識結(jié)構(gòu)、業(yè)務(wù)水平是安全行為執(zhí)行的關(guān)鍵。
基于網(wǎng)絡(luò)信息安全是一個不斷發(fā)現(xiàn)問題進而響應(yīng)改進的循環(huán)系統(tǒng),我們構(gòu)造網(wǎng)絡(luò)安全策略模型為:防護-->檢測-->響應(yīng)-->恢復(fù)-->改善-->防護。
運用這個安全體系我們解決網(wǎng)絡(luò)中的不安全要素,即在物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全等多個層次利用技術(shù)、組織和人員策略對設(shè)備信息進行防護、檢測、響應(yīng)、恢復(fù)和改善。
(1)物理安全:采用環(huán)境隔離門禁系統(tǒng)、消防系統(tǒng)、溫濕度控制系統(tǒng)、物理設(shè)備保護裝置(防雷設(shè)備)等,設(shè)置監(jiān)控中心、感應(yīng)探測裝置,設(shè)置自動響應(yīng)裝置,事故發(fā)生時,一方面防護裝置自動響應(yīng),另一方面人員發(fā)現(xiàn)處理,修復(fù)或更換設(shè)備的軟、硬件,必要時授權(quán)更新設(shè)備或設(shè)施。
(2)網(wǎng)絡(luò)安全:采用防火墻、服務(wù)器、訪問控制列表、掃描器、防病毒軟件等進行安全保護,采用網(wǎng)絡(luò)三層交換機通過劃分VLAN,把網(wǎng)絡(luò)中不同的服務(wù)需求劃分成網(wǎng)段,采用入侵檢測系統(tǒng)(IDS)對掃描、檢測節(jié)點所在網(wǎng)段的主機及子網(wǎng)掃描,根據(jù)制定的安全策略分析并做出響應(yīng),通過修改策略的方式不斷完善網(wǎng)絡(luò)的安全。
(3)系統(tǒng)安全:采用性能穩(wěn)定的多用戶網(wǎng)絡(luò)操作系統(tǒng)Linux作為服務(wù)器的基礎(chǔ)環(huán)境,使用身份認(rèn)證、權(quán)限控制進行保護,用登陸控制、審計日志、文件簽名等方式檢測系統(tǒng)的安全性,進行接入控制審計響應(yīng),通過對系統(tǒng)升級、打補丁方式恢復(fù)系統(tǒng)的安全性,可以通過更新權(quán)限來改善用戶對系統(tǒng)操作的安全性。
(4)應(yīng)用安全:采用身份認(rèn)證、權(quán)限控制、組件訪問權(quán)限和加密的辦法進行保護,用文件、程序的散列簽名、應(yīng)用程序日志等方式檢測應(yīng)用程序的安全性,通過事件響應(yīng)通知用戶,采用備份數(shù)據(jù)的辦法恢復(fù)數(shù)據(jù),通過更新權(quán)限完善應(yīng)用系統(tǒng)的安全性。
(5)管理安全:通過建立安全管理規(guī)章制度、標(biāo)準(zhǔn)、安全組織和人力資源,對違規(guī)作業(yè)進行統(tǒng)計,制定緊急響應(yīng)預(yù)案,進行安全流程的變更和組織調(diào)整,加強人員技能培訓(xùn),修訂安全制度。
3、行政機關(guān)人員安全的重要性
行政機關(guān)網(wǎng)絡(luò)信息的安全,人員占據(jù)重要的地位,網(wǎng)絡(luò)安全的各要素中都涉及人員的參與,因此對人員的安全管理是行政機關(guān)網(wǎng)絡(luò)信息安全的重點。
首先組織領(lǐng)導(dǎo)要高度重視網(wǎng)絡(luò)信息的安全性,建立周密的安全制度(包括網(wǎng)絡(luò)機房安全制度、計算機操作員技術(shù)規(guī)范等),提高從業(yè)人員的素質(zhì)和業(yè)務(wù)水平,防范人為因素造成的損失。
其次是組織員工進行信息安全培訓(xùn)教育,提高安全意識。對專業(yè)技術(shù)人員做深入的安全管理和安全技術(shù)培訓(xùn)。
再次是網(wǎng)絡(luò)技術(shù)人員要定期對設(shè)備巡檢維護,及時修改和更新與實際相應(yīng)的安全策略(防火墻、入侵檢測系統(tǒng)、防病毒軟件等)。
最后是安全管理人員定期檢查員工的網(wǎng)絡(luò)信息方面的安全問題。
4、結(jié)語
行政機關(guān)網(wǎng)絡(luò)安全從其本質(zhì)上講就是保障網(wǎng)絡(luò)上的信息安全,網(wǎng)絡(luò)安全是一個全方位的系統(tǒng)工程,需要我們不斷地在實踐和工作中發(fā)現(xiàn)問題和解決,仔細考慮系統(tǒng)的安全需求,將各種安全技術(shù),人員安全意識級水平、安全管理等結(jié)合在一起,建立一個安全的信息網(wǎng)絡(luò)系統(tǒng)為行政機關(guān)工作服務(wù)。
參考文獻
[1]陳曉光.淺談計算機網(wǎng)絡(luò)教學(xué)[J].才智,2009,(08).