前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的加強(qiáng)網(wǎng)絡(luò)安全建設(shè)主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)健詞:局域網(wǎng)絡(luò) 信息資源 數(shù)據(jù)加密
信息作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對于人類具有特別重要的意義。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵,包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制,直至安全系統(tǒng),其中任何一個(gè)安全漏洞便可以威脅全局安全。信息安全服務(wù)至少應(yīng)該包括支持信息網(wǎng)絡(luò)安全服務(wù)的基本理論,以及基于新一代信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。
一、網(wǎng)絡(luò)信息安全的孟要性
網(wǎng)絡(luò)信息安全涉及到信息的機(jī)密性、完整性、可用性、可控性。它為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。信息保障依賴于人和技術(shù)實(shí)現(xiàn)組織的任務(wù)運(yùn)作,針對技術(shù)信息基礎(chǔ)設(shè)施的管理活動同樣依賴于這三個(gè)因素,穩(wěn)健的信息保障狀態(tài)意味著信息保障和政策、步驟、技術(shù)和機(jī)制在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上均能得到實(shí)施。
目前,除有線通信外,短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應(yīng)用。與此同時(shí),國外敵對勢力為了竊取我國的政治、軍事、經(jīng)濟(jì)、科學(xué)技術(shù)等方面的秘密信息,運(yùn)用偵察臺、偵察船、衛(wèi)星等手段,形成固定與移動、遠(yuǎn)距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng),截取我通信傳輸中的信息。單一的保密措施己很難保證通信和信息的安全,必須綜合應(yīng)用各種保密措施。
二、局域網(wǎng)內(nèi)病毒防治問題
局域網(wǎng)病毒來源主要有以下幾種方式:①從網(wǎng)站下載的軟件帶有病毒:瀏覽網(wǎng)站的時(shí)候ActiveX控件帶來的病毒;②安裝程序附帶的流氓軟件:不明郵件帶來的病毒;③移動存儲設(shè)備存儲數(shù)據(jù)傳染病毒等等方式。使用者日常使用時(shí)應(yīng)盡量從正規(guī)網(wǎng)站下載軟件、少瀏覽不正當(dāng)網(wǎng)站、不明郵件應(yīng)該盡量不打開等。處理方法主要有以下幾類。
首先:在網(wǎng)關(guān)上的網(wǎng)絡(luò)層時(shí)常進(jìn)行病毒檢測和掃描,及時(shí)清除明顯的病毒封包,對病毒源客戶機(jī)進(jìn)行阻塞與隔離,大規(guī)模爆發(fā)網(wǎng)絡(luò)病毒時(shí)也能夠有效的隔離病毒疫區(qū)。
其次:監(jiān)測每臺計(jì)算機(jī)的殺毒軟件安裝情況和病毒庫更新情況,以及操作系統(tǒng)或者其它應(yīng)用軟件的補(bǔ)丁安裝情況,若發(fā)現(xiàn)客戶機(jī)或者服務(wù)器存在嚴(yán)重的高危險(xiǎn)性安全缺陷或者漏洞的話就應(yīng)該將其暫時(shí)斷開網(wǎng)絡(luò),拒絕其接入單位網(wǎng)絡(luò),直至缺陷或漏洞修復(fù)完畢,補(bǔ)丁安裝完畢后再將其接入網(wǎng)絡(luò)內(nèi)。
再次:使用U盤、移動硬盤等移動存儲設(shè)備傳遞各類數(shù)據(jù),已經(jīng)成為各類病毒傳播的主要途徑之一。由于U盤和移動硬盤使用方便,很多計(jì)算機(jī)用戶都選擇使用它來進(jìn)行數(shù)據(jù)文件的存儲和拷貝,無形中使得U盤和移動硬盤成為這些病毒和惡意木馬程序傳播的媒體,給計(jì)算機(jī)用戶的數(shù)據(jù)安全和系統(tǒng)的正常使用帶來很大危害。鑒于通過U盤和移動硬盤傳播的計(jì)算機(jī)病毒在互聯(lián)網(wǎng)絡(luò)上的傳播日趨增多,辦公網(wǎng)絡(luò)內(nèi)用戶可以按照以下幾點(diǎn),正確安全地使用U盤和移動硬盤進(jìn)行數(shù)據(jù)文件的存儲和拷貝。
最后:根據(jù)實(shí)際情況可進(jìn)行數(shù)據(jù)加密,VPN系統(tǒng)VPN(虛擬專用網(wǎng))可以通過一個(gè)公用網(wǎng)絡(luò)(通常是互聯(lián)網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。它可用于不斷增長的移動用戶的全球互聯(lián)網(wǎng)接入,以實(shí)現(xiàn)安全連接;也可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
三、實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的策略
明確等級保護(hù)措施。合理劃分安全域,確定各安全域的物理邊界和邏輯邊界,明確不同安全域之間的信任關(guān)系。在安全域的網(wǎng)絡(luò)邊界建立有效的訪問控制措施。通過安全區(qū)域最大限度地實(shí)施數(shù)據(jù)源隱藏,結(jié)構(gòu)化和縱深化區(qū)域防御,防止和抵御各種網(wǎng)絡(luò)攻擊,保證信息系統(tǒng)各個(gè)網(wǎng)絡(luò)系統(tǒng)的持續(xù)、穩(wěn)定、可靠運(yùn)行。
1.系統(tǒng)安全策略
對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進(jìn)行漏洞修補(bǔ)和安全加固,對關(guān)鍵業(yè)務(wù)的服務(wù)器建立嚴(yán)格的審核機(jī)制。最大限度解決由操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、服務(wù)系統(tǒng)、網(wǎng)絡(luò)協(xié)議漏洞帶來的安全問題,解決黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患。
2安全管理策略
針對企業(yè)信息系統(tǒng)安全管理需求,在安全管理上需要在完善人員管理、資產(chǎn)管理、站點(diǎn)維護(hù)管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理等方面機(jī)制、制度的同時(shí),與管理技術(shù)緊密結(jié)合,形成一套比較完備的企業(yè)信息系統(tǒng)安全管理保障體系。
油田企業(yè)的數(shù)據(jù)信息資源,對油田企業(yè)非常重要,一旦受到破壞,將會給油田企業(yè)帶來巨大的經(jīng)濟(jì)損失。所以在油田網(wǎng)絡(luò)信息安全體系建設(shè)的過程中,需要將其安全性提升,加強(qiáng)外部安全建設(shè)。在預(yù)防為主的基礎(chǔ)上進(jìn)行,對外部因素、病毒因素的影響,只有將系統(tǒng)的安全性提升,才可以杜絕此類影響的發(fā)生。在油田網(wǎng)絡(luò)信息安全體系建設(shè)中,建立防火墻,可以將體系的安全性提升,在網(wǎng)絡(luò)和油田網(wǎng)絡(luò)信息安全體系之間建立一個(gè)安全網(wǎng)關(guān),保護(hù)體系不受非法入侵者侵入和攻擊。防火墻的建設(shè),將體系的安全性、網(wǎng)絡(luò)的安全性提升,有效地阻止了體系的非法訪問,不允許外網(wǎng)訪問內(nèi)網(wǎng)。在建設(shè)網(wǎng)絡(luò)防火墻的基礎(chǔ),增加入侵檢測設(shè)置,對系統(tǒng)入侵進(jìn)行控制。入侵檢測技術(shù)是防火墻的一種互補(bǔ),可以提升油田網(wǎng)絡(luò)信息安全體系中信息管理的性能,保證信息的完整性,減少網(wǎng)絡(luò)威脅。
2加強(qiáng)內(nèi)部建設(shè)
在加強(qiáng)外部安全建設(shè)之后,油田網(wǎng)絡(luò)安全信息體系的建設(shè),想要保證信息管理的安全性,保證信息的完整性,還需要加強(qiáng)系統(tǒng)的內(nèi)部建設(shè)。從當(dāng)前油田網(wǎng)絡(luò)信息安全體系建設(shè)現(xiàn)狀進(jìn)行分析,加強(qiáng)內(nèi)部建設(shè),可以從設(shè)置系統(tǒng)訪問權(quán)限、對網(wǎng)絡(luò)病毒進(jìn)行防治、加強(qiáng)網(wǎng)絡(luò)信息安全體系的管理等方面入手。保證油田網(wǎng)絡(luò)信息安全體系以及信息安全的有效手段之一,就是設(shè)置系統(tǒng)的訪問權(quán)限,采用虛擬網(wǎng)絡(luò)技術(shù)對油田企業(yè)的數(shù)據(jù)信息安全進(jìn)行保護(hù)。其次是加強(qiáng)病毒防治技術(shù)的應(yīng)用,提高網(wǎng)絡(luò)信息體系的安全。病毒在網(wǎng)絡(luò)中的傳播途徑和傳播方法有多種,為了提升油田網(wǎng)絡(luò)信息安全體系的安全,提升信息管理質(zhì)量,需要堅(jiān)持層層設(shè)防、集中控制、以防為主防治結(jié)合的原則,進(jìn)行系統(tǒng)安全性的建設(shè)。最后加強(qiáng)系統(tǒng)的安全管理,如果網(wǎng)絡(luò)安全管理缺乏,系統(tǒng)在工作的過程中,也會對數(shù)據(jù)信息的安全產(chǎn)生一定的威脅,為此需要在油田網(wǎng)絡(luò)信息安全體系運(yùn)用中,加強(qiáng)網(wǎng)絡(luò)安全管理,提高系統(tǒng)的病毒防治有效性。
3結(jié)語
關(guān)鍵詞:商業(yè)銀行 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)風(fēng)險(xiǎn)
1 城市商業(yè)銀行網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀
銀行的信息與網(wǎng)絡(luò)安全建設(shè)與銀行的整個(gè)電子化、信息化和網(wǎng)絡(luò)化密切相關(guān),把金融風(fēng)險(xiǎn)監(jiān)管現(xiàn)代化和金融電子化、信息化和網(wǎng)絡(luò)化風(fēng)險(xiǎn)的監(jiān)管密切結(jié)合起來,是搞好銀行與阿絡(luò)安全建設(shè)的根本思路。目前城市商業(yè)銀行信息化安全的觀念對于網(wǎng)絡(luò)與系統(tǒng)的虛擬世界的“行為與內(nèi)容的監(jiān)管”和“大范圍的網(wǎng)絡(luò)環(huán)境的安全問題”,考慮較少。
1.1銀行網(wǎng)絡(luò)行為和內(nèi)容的安全情況
銀行網(wǎng)絡(luò)的安全問題實(shí)際是銀行風(fēng)險(xiǎn)監(jiān)管的問題,銀行風(fēng)險(xiǎn)監(jiān)管既要檢查銀行和客戶人員在現(xiàn)實(shí)世界中的人與銀行業(yè)務(wù)相關(guān)的行為結(jié)果,又要檢查網(wǎng)絡(luò)虛擬世界中用戶、系統(tǒng)和的行為,實(shí)際上要對銀行監(jiān)管實(shí)行監(jiān)管現(xiàn)代化的建設(shè)和銀行信息化實(shí)行監(jiān)管。
1.2銀行業(yè)務(wù)運(yùn)營信息化安全情況
主要涉及銀行價(jià)值管理信息系統(tǒng)、資源管理信息系統(tǒng)、銀行產(chǎn)品服務(wù)管理信息系統(tǒng)等。對于這些業(yè)務(wù)信息系統(tǒng),由于銀行系統(tǒng)有高度的安全意識銀行系統(tǒng)的安全工作開展的較早,制定了相關(guān)的標(biāo)準(zhǔn)和規(guī)范,進(jìn)行了安全規(guī)劃與實(shí)施等。
1.3銀行網(wǎng)絡(luò)系統(tǒng)安全情況
當(dāng)前銀行網(wǎng)絡(luò)系統(tǒng)安全問題重要表現(xiàn)在數(shù)據(jù)大集中后的安全,其特點(diǎn)是數(shù)據(jù)服務(wù)大集中,前置通信中心強(qiáng)大的和眾多本地與遠(yuǎn)端終端的中心體系結(jié)構(gòu)。
應(yīng)該看到,電子化在給銀行帶來利益的同時(shí),也給銀行帶來了新的安全問題。原因主要有三個(gè):伴隨金融體制改革的深入、對外開放的擴(kuò)大,金融風(fēng)險(xiǎn)迅速增大;當(dāng)前計(jì)算機(jī)應(yīng)用日益廣泛、日趨網(wǎng)絡(luò)化,系統(tǒng)的安全性漏洞也隨之增加;計(jì)算機(jī)知識日益普及,金融網(wǎng)絡(luò)向國際化發(fā)展,計(jì)算機(jī)犯罪技術(shù)在不斷提高。
2 銀行網(wǎng)絡(luò)安全重點(diǎn)關(guān)注的方面
目前銀行用戶關(guān)注的信息化安全問題主要是客戶隱私、用戶權(quán)益、信息內(nèi)容安全和客戶可信接入銀行網(wǎng)等問題:
全面整合銀行信息化安全建設(shè),在此基礎(chǔ)上建立銀行信息安全保障、應(yīng)急和監(jiān)管系統(tǒng)。
以安全觀點(diǎn)再度審核銀行應(yīng)用數(shù)據(jù)大集中的安全建設(shè)問題、專網(wǎng)與公網(wǎng)的隔離安全建設(shè)、銀行外包服務(wù)安全建設(shè)、安全檢測、監(jiān)控、審計(jì)、追蹤和定位系統(tǒng)建設(shè)、制定安全應(yīng)急標(biāo)準(zhǔn)與安全應(yīng)急培訓(xùn)。
3 安全風(fēng)險(xiǎn)分析
我們可以參考國際標(biāo)準(zhǔn)化組織ISO開放系統(tǒng)互聯(lián)(OSI)模型,將整個(gè)銀行系統(tǒng)的安全風(fēng)險(xiǎn)統(tǒng)一劃分成五個(gè)層次,即物理層安全、網(wǎng)絡(luò)層安全、操作系統(tǒng)層安全、應(yīng)用層安全以及管理層安全。
3.1物理層安全風(fēng)險(xiǎn)分析。物理層安全包括通信線路的安全,物理設(shè)備的安全,機(jī)房的安全等。
3.2網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析。網(wǎng)絡(luò)層安全包括網(wǎng)絡(luò)層身份認(rèn)證,網(wǎng)絡(luò)資源的訪問控制,數(shù)據(jù)傳輸?shù)谋C芎屯暾裕h(yuǎn)程接入的安全,路由系統(tǒng)的安全等。
a數(shù)據(jù)傳輸風(fēng)險(xiǎn)分析。表現(xiàn)在重要業(yè)務(wù)數(shù)據(jù)泄漏、重要數(shù)據(jù)被破壞等,如果沒有專門的軟件或硬件對數(shù)據(jù)進(jìn)行控制,所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸,因此任何一個(gè)對通信進(jìn)行監(jiān)測的人都可以對通信數(shù)據(jù)進(jìn)行截取
b網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析。主要表現(xiàn)于銀行業(yè)務(wù)系統(tǒng)安全和互聯(lián)網(wǎng)出口的安全。
c網(wǎng)絡(luò)設(shè)備的安全風(fēng)險(xiǎn)。由于銀行專用網(wǎng)絡(luò)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備,如交換機(jī)、路由器等,使得這些設(shè)備的自身安全性也會直接關(guān)系的銀行系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。
3.3系統(tǒng)層的安全風(fēng)險(xiǎn)。主要表現(xiàn)在兩方面:一是操作系統(tǒng)本身的安全漏洞和隱患;二是對操作系統(tǒng)的錯誤配置。
3.4應(yīng)用層安全風(fēng)險(xiǎn)分析。應(yīng)用層安全是用戶采用的應(yīng)用軟件和數(shù)據(jù)庫的安全性,包括數(shù)據(jù)庫軟件、Web服務(wù)、電子郵件系統(tǒng)、域名服務(wù)系統(tǒng)、業(yè)務(wù)應(yīng)用軟件,以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)(如Telnet、FTP等)。
3.5管理層安全風(fēng)險(xiǎn)分析
管理層安全包括安全技術(shù)和設(shè)備的管理,安全管理制度的制定,部門和人員的組織規(guī)劃等。要建立完備的安全網(wǎng)絡(luò)最終要靠人來實(shí)現(xiàn),因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)。因此我們有必要認(rèn)真的分析管理所帶來的安全風(fēng)險(xiǎn),并采取相應(yīng)的安全措施。
4 安全方案總體設(shè)計(jì)
4.1網(wǎng)絡(luò)安全建設(shè)原則
網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程,銀行網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排,統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行,采用先進(jìn)的“平臺化”建設(shè)思想,避免重復(fù)投入、建設(shè),充分考慮整體和局部的利益,堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。
在實(shí)際實(shí)施中還要按照系列基本原則進(jìn)行:系統(tǒng)性原則;簡單性原則;實(shí)時(shí)、連續(xù)、安全統(tǒng)一原則;需求、風(fēng)險(xiǎn)、代價(jià)平衡原則;實(shí)用與先進(jìn)相互結(jié)合的原則;方便與安全相互統(tǒng)一原則;全面防護(hù)、突出重點(diǎn)原則;分層、分區(qū)原則;整體規(guī)劃、分布實(shí)施原則;責(zé)任明確,分級管理,聯(lián)合防護(hù)原則。
4.2網(wǎng)絡(luò)安全建設(shè)目標(biāo)
我們對于銀行網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的目標(biāo)為:采用防護(hù)、檢測、反應(yīng)、恢復(fù)四方面行之有效的安全措施,建立一個(gè)全方位并易于管理的安全體系,確保銀行網(wǎng)絡(luò)系統(tǒng)安全可靠的運(yùn)行
a系統(tǒng)級安全目標(biāo)。保證操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的安全補(bǔ)丁不斷升級、安全設(shè)置正確,防止計(jì)算機(jī)終端、服務(wù)器感染通過軟盤、光盤、網(wǎng)絡(luò)、電子郵件及其它網(wǎng)絡(luò)途徑傳播的計(jì)算機(jī)病毒。
b網(wǎng)絡(luò)級安全目標(biāo)。保證內(nèi)外網(wǎng)之間、內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域之間的安全隔離和有效的訪問控制,保證系統(tǒng)業(yè)務(wù)敏感信息網(wǎng)絡(luò)傳輸中的機(jī)密性、完整性,保證網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全漏洞及時(shí)發(fā)現(xiàn)、告警,網(wǎng)絡(luò)安全狀況不斷改善,以及保證銀行網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)傳輸系統(tǒng)的高可靠性:主要指線路、設(shè)備的備份、冗余等。
c應(yīng)用級別安全目標(biāo)。防止本地用戶和遠(yuǎn)程用戶的非授權(quán)訪問、越權(quán)訪問和身份假冒,保證各種服務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。
d管理級安全目標(biāo)。對安全軟硬件設(shè)備(如防殺病毒軟件、入侵檢測軟件、安全MPN設(shè)備、防火墻設(shè)備)和安全策略、安全狀況能夠集中統(tǒng)一管理、監(jiān)控、審計(jì)和響應(yīng),保證安全責(zé)任分解到人、出現(xiàn)問題有跡可尋,加強(qiáng)管理制度和管理體系建設(shè)。
4.3整體安全設(shè)計(jì)概述
整體安全設(shè)計(jì)要最大限度保障業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)的安全,做到安全性和方便性的統(tǒng)一。
a數(shù)據(jù)庫服務(wù)器是業(yè)務(wù)系統(tǒng)中最重要的數(shù)據(jù)庫部分,它保存了所有業(yè)務(wù)交易相關(guān)的各種帳務(wù)數(shù)據(jù),因此必須對它們實(shí)行有限訪問控制防護(hù)——配置雙機(jī)熱備防火墻系統(tǒng)。
b由于辦公機(jī)器眾多、員工的安全防范意識較差,需要與互聯(lián)網(wǎng)接入,又要直接接入OA辦公、決策等系統(tǒng),因此,辦公機(jī)器應(yīng)受到高度關(guān)注。
c由于網(wǎng)絡(luò)中設(shè)備、主機(jī)數(shù)量眾多,應(yīng)此使用日志審計(jì)系統(tǒng)收集全網(wǎng)中的安全設(shè)備、服務(wù)器的日志,進(jìn)行歸檔、分析,及時(shí)發(fā)現(xiàn)系統(tǒng)中發(fā)生的安全時(shí)間,起到事后審計(jì)的安全機(jī)制。
[關(guān)鍵詞]醫(yī)院;信息化;系統(tǒng);安全建設(shè);重要性
doi:10.3969/j.issn.1673 - 0194.2016.18.108
[中圖分類號]R197.324 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194(2016)18-0-02
醫(yī)院信息化系統(tǒng)安全防護(hù)措施的建設(shè)對保證醫(yī)院系統(tǒng)的安全性和穩(wěn)定性具有重要的意義,其網(wǎng)絡(luò)安全管理水平直接關(guān)系到醫(yī)院中各個(gè)醫(yī)療部門的正常運(yùn)作。一旦出現(xiàn)信息安全問題,將會導(dǎo)致網(wǎng)絡(luò)癱瘓、大量數(shù)據(jù)丟失,為醫(yī)院的正常運(yùn)行和患者帶來難以彌補(bǔ)的損失。因此,醫(yī)院應(yīng)建立健全信息化系統(tǒng)安全防護(hù)體系,制定相關(guān)的安全防護(hù)措施,從而建立高效、安全、穩(wěn)定的醫(yī)院信息化體系。
1 醫(yī)院信息化系統(tǒng)建設(shè)的基本手段
1.1 建立完善的網(wǎng)絡(luò)安全管理制度
建立完善的網(wǎng)絡(luò)安全管理制度是醫(yī)院信息化系統(tǒng)建設(shè)的基本制度保障,科學(xué)的網(wǎng)絡(luò)安全管理制度能夠保障網(wǎng)絡(luò)運(yùn)營的安全性及穩(wěn)定性。為此,醫(yī)院應(yīng)根據(jù)自身需求,對網(wǎng)絡(luò)系統(tǒng)進(jìn)行科學(xué)管理,制定與各部門相關(guān)的網(wǎng)絡(luò)安全執(zhí)行規(guī)定。同時(shí),對醫(yī)院人員進(jìn)行定期網(wǎng)絡(luò)安全知識培訓(xùn),使醫(yī)護(hù)人員能夠科學(xué)地利用信息化網(wǎng)絡(luò),促進(jìn)醫(yī)療服務(wù)水平的提高。通過培訓(xùn)提升網(wǎng)絡(luò)意識以及制定安全管理制度兩方面展開工作,從制度上及意識上提升網(wǎng)絡(luò)安全的執(zhí)行效率,提高人們的安全意識。另外,落實(shí)網(wǎng)絡(luò)安全責(zé)任制,將醫(yī)院的各個(gè)環(huán)節(jié)網(wǎng)絡(luò)安全工作責(zé)任落實(shí)到人,促進(jìn)團(tuán)隊(duì)到個(gè)人的監(jiān)督工作,通過層層問責(zé)、層層監(jiān)督的形式,實(shí)現(xiàn)網(wǎng)絡(luò)安全管理,與此同時(shí),也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全人人有責(zé),提升醫(yī)護(hù)人員網(wǎng)絡(luò)安全的責(zé)任心,使之能夠更加用心地維護(hù)網(wǎng)絡(luò)安全、科學(xué)使用網(wǎng)絡(luò),避免由于個(gè)人操作失誤、人為破壞及意外泄露等原因造成網(wǎng)絡(luò)安全問題。
1.2 加強(qiáng)人員管理與制度管理
醫(yī)院的信息化系統(tǒng)與網(wǎng)絡(luò)安全管理制度歸根結(jié)底是人在使用,因此在進(jìn)行網(wǎng)絡(luò)安全建設(shè)過程中最重要的是對人的管理。第一,對人員素質(zhì)及人員品質(zhì)進(jìn)行考核,促進(jìn)人員集體意識及服務(wù)意識的加強(qiáng),摒棄個(gè)人利己主義,以防止由于利益、職位等因素造成醫(yī)院數(shù)據(jù)及信息的泄露。第二,在對人員素質(zhì)品質(zhì)進(jìn)行考核的基礎(chǔ)上要有針對地進(jìn)行網(wǎng)絡(luò)安全培訓(xùn),提升網(wǎng)絡(luò)操作的科學(xué)性,通過培訓(xùn)給予醫(yī)護(hù)工作者正確的網(wǎng)絡(luò)使用指引,引導(dǎo)醫(yī)護(hù)工作者充分利用信息系統(tǒng)提供醫(yī)療服務(wù)的同時(shí)能夠自覺維護(hù)網(wǎng)絡(luò)安全。第三,針對一些重要的部門以及人員信息應(yīng)進(jìn)行網(wǎng)絡(luò)隔離監(jiān)管。由于某些部門數(shù)據(jù)的重要性以及文件的機(jī)密性,信息一旦泄露將會造成不可估量的損失,因此針對一些重要的部門以及人員信息應(yīng)進(jìn)行網(wǎng)絡(luò)隔離監(jiān)管,使重要數(shù)據(jù)以及醫(yī)院機(jī)密文件得以保持其機(jī)密性,防止黑客攻擊或網(wǎng)絡(luò)漏洞造成的數(shù)據(jù)泄露,使醫(yī)院的重要信息包括患者病例以及醫(yī)院人事檔案等外泄。通過以上三點(diǎn)具體措施來促進(jìn)人對制度進(jìn)行科學(xué)管理,同時(shí)也實(shí)現(xiàn)制度對人的行為的監(jiān)督制約作用。以此促進(jìn)二者協(xié)調(diào)可持續(xù)發(fā)展。
1.3 完善網(wǎng)絡(luò)應(yīng)急管理措施及事故處置方案
完善的網(wǎng)絡(luò)安全應(yīng)急措施以及事故處置方案,能夠在網(wǎng)絡(luò)安全災(zāi)難發(fā)生后切實(shí)減少網(wǎng)絡(luò)癱瘓時(shí)間,及時(shí)恢復(fù)系統(tǒng)及數(shù)據(jù),降低事故損失。為此,完善的網(wǎng)絡(luò)應(yīng)急管理措施應(yīng)包括:網(wǎng)絡(luò)監(jiān)督維護(hù)工作、數(shù)據(jù)檔案備份工作及事故應(yīng)急處理工作。網(wǎng)絡(luò)監(jiān)督維護(hù)工作主要是指對網(wǎng)絡(luò)安全系統(tǒng)的漏洞進(jìn)行及時(shí)排查、修復(fù),對可能存在的風(fēng)險(xiǎn)予以規(guī)避,避免由于監(jiān)督疏忽造成的病毒侵入等問題。數(shù)據(jù)檔案備份工作是指利用備份軟件進(jìn)行有層次有部門的數(shù)據(jù)備份工作,使醫(yī)院系統(tǒng)數(shù)據(jù)有一個(gè)較完整的備份,一旦發(fā)生網(wǎng)絡(luò)安全問題,可以及時(shí)恢復(fù)數(shù)據(jù),盡可能地減少數(shù)據(jù)丟失問題。而事故應(yīng)急處理工作是對網(wǎng)絡(luò)安全事故第一時(shí)間做出反應(yīng),以減小事故損失及社會影響為基本著眼點(diǎn),采取應(yīng)急措施等一系列事故應(yīng)急方案,保障事故的影響降低到最小.
2 醫(yī)院信息化系統(tǒng)安全建設(shè)的重要性
2.1 促進(jìn)醫(yī)院系統(tǒng)的正常運(yùn)行以及數(shù)字化管理
由于網(wǎng)絡(luò)信息化實(shí)現(xiàn)了電子化病例與地域醫(yī)療系統(tǒng)等信息化手段的結(jié)合,為醫(yī)療工作提供了大量的醫(yī)療信息,保證了醫(yī)療手段的先進(jìn)性以及獲取病患信息的及時(shí)性。目前,醫(yī)院各個(gè)繁雜的項(xiàng)目都極其依賴于網(wǎng)絡(luò)的功能性,因此醫(yī)院網(wǎng)絡(luò)必須保證其安全覆蓋24小時(shí)安全運(yùn)營。故而醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全性對醫(yī)院能否正常運(yùn)行具有重要的影響作用,同時(shí)對病患得到及時(shí)高效的就醫(yī)具有重要作用??梢哉f,醫(yī)院系統(tǒng)安全建設(shè)是保證醫(yī)院網(wǎng)絡(luò)安全運(yùn)行的前提及數(shù)字化管理的重要手段。在目前醫(yī)療系統(tǒng)的不斷推進(jìn)過程中,醫(yī)院的信息網(wǎng)絡(luò)具有較強(qiáng)的開放性,在給患者帶來便利的同時(shí),在一定程度上為醫(yī)院的網(wǎng)絡(luò)安全帶來隱患。醫(yī)院進(jìn)行信息化系統(tǒng)安全建設(shè)時(shí)要做好實(shí)時(shí)監(jiān)督,并化解醫(yī)院信息網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn),最大限度使醫(yī)院各個(gè)系統(tǒng)避免網(wǎng)絡(luò)攻擊帶來的侵害,且規(guī)避網(wǎng)絡(luò)泄露對醫(yī)院造成的經(jīng)濟(jì)損失和社會影響,確保醫(yī)療系統(tǒng)的正常運(yùn)行,保證醫(yī)院各項(xiàng)工作的順利開展。
2.2 優(yōu)化工作環(huán)境,提高醫(yī)護(hù)工作效率
安全的網(wǎng)絡(luò)信息系統(tǒng)能夠促進(jìn)系統(tǒng)的有序進(jìn)行,優(yōu)化醫(yī)院的就醫(yī)環(huán)境,提高醫(yī)護(hù)的工作效率及病患的就醫(yī)體驗(yàn)。應(yīng)用信息系統(tǒng),患者可以通過網(wǎng)絡(luò)掛號、預(yù)約,醫(yī)護(hù)人員通過信息化系統(tǒng)查看患者的病例以及檢查結(jié)果,形成電子病歷,同時(shí)針對外地客戶通過互聯(lián)網(wǎng)能夠及時(shí)地獲取病患病史及醫(yī)治信息,優(yōu)化患者看病的程序,減少患者等待時(shí)間,實(shí)現(xiàn)醫(yī)療模式的規(guī)范化,為患者提供更加優(yōu)質(zhì)的醫(yī)療服務(wù)。另外,針對敏感性部門以及管理層人員的網(wǎng)絡(luò),采取子網(wǎng)分離的安全隔離措施能夠有效地排除不允許訪問用戶的訪問請求,減少信息泄露的可能,提高重要數(shù)據(jù)和機(jī)密文件的安全性和保密性,使各部門處于安全有序的信息化系統(tǒng)環(huán)境中,提升醫(yī)護(hù)人員的工作效率,促進(jìn)現(xiàn)代醫(yī)療機(jī)構(gòu)管理水平的全面提升。
2.3 優(yōu)化經(jīng)費(fèi)管理,提高經(jīng)濟(jì)效益
安全的信息化系統(tǒng)能夠有效防止人為惡意入侵,降低人為更改系統(tǒng)內(nèi)數(shù)據(jù)的可能性,保證系統(tǒng)內(nèi)數(shù)據(jù)的真實(shí)有效性。通過信息化系統(tǒng),能夠清晰地查看醫(yī)院的醫(yī)療經(jīng)費(fèi)和物資管理,實(shí)現(xiàn)經(jīng)費(fèi)的合理利用,減少醫(yī)院不必要的開支,提高經(jīng)濟(jì)效益。同時(shí),針對于病患的醫(yī)藥費(fèi),患者可以通過醫(yī)院各角落的終端實(shí)現(xiàn)藥品劃價(jià),使醫(yī)患就醫(yī)實(shí)現(xiàn)公平透明化,解決患者的就醫(yī)疑問。通過安全的信息化系統(tǒng)管理,能夠優(yōu)化財(cái)政系統(tǒng),減少醫(yī)療經(jīng)費(fèi)管理漏洞,提高患者就醫(yī)費(fèi)用的透明度,保護(hù)醫(yī)患雙方利益。
2.4 能夠提高醫(yī)護(hù)人員網(wǎng)絡(luò)安全意識
醫(yī)院信息化系統(tǒng)安全的建設(shè)能夠促使醫(yī)院實(shí)現(xiàn)科學(xué)的網(wǎng)絡(luò)安全管理制度,提高醫(yī)院工作人員的網(wǎng)絡(luò)安全意識,以使工作人員在進(jìn)行醫(yī)療系統(tǒng)使用時(shí),注重安全細(xì)節(jié),減少不當(dāng)?shù)木W(wǎng)絡(luò)利用行為,例如:不在網(wǎng)絡(luò)終端機(jī)上使用U盤、光驅(qū)等外界存儲,不在終端機(jī)上拷貝等以防止病毒的偶然入侵以及數(shù)據(jù)信息的泄露。與此同時(shí),建立網(wǎng)絡(luò)安全信息要求各個(gè)系統(tǒng)的使用者建立難度系數(shù)較高的口令,以提高系統(tǒng)的安全性。
2.5 提升應(yīng)對病毒的能力
目前,由于信息科技手段的不斷提高,計(jì)算機(jī)病毒水平也不斷復(fù)雜化,建立安全的信息化系統(tǒng)能夠有效地預(yù)防病毒的侵入,通過殺毒軟件部署及時(shí)修復(fù)系統(tǒng)漏洞,減少系統(tǒng)的缺陷性,使病毒無處可侵。與此同時(shí),實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全化能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全管理者對客戶端應(yīng)用程序進(jìn)行管控,提升病毒應(yīng)對能力、病毒檢測及病毒修復(fù)能力,有效的病毒應(yīng)對能力,能夠提升網(wǎng)絡(luò)系統(tǒng)的安全性。而安全的網(wǎng)絡(luò)系統(tǒng)能夠不斷提升病毒應(yīng)對能力,兩者相互作用能促進(jìn)醫(yī)院信息系統(tǒng)處于優(yōu)化循環(huán)中。
3 結(jié) 語
醫(yī)院信息化系統(tǒng)安全建設(shè)能夠行之有效地為患者提供透明化的服務(wù),使之賬目透明,用藥透明及管理透明,提高患者對醫(yī)院消費(fèi)的了解程度,減少醫(yī)患糾紛?;诎踩木W(wǎng)絡(luò)信息系統(tǒng)下的醫(yī)院能夠利用數(shù)字化管理提升管理工作簡潔性真心落實(shí)醫(yī)院“以人為本”的管理理念,促進(jìn)管理的有序進(jìn)行,推動現(xiàn)代醫(yī)院管理制度的完善。
主要參考文獻(xiàn)
【關(guān)鍵詞】校園網(wǎng)絡(luò);安全問題;對策
一、校園網(wǎng)絡(luò)的安全問題
當(dāng)前,校園網(wǎng)絡(luò)安全問題主要存在以下幾方面:
(1)校園網(wǎng)絡(luò)安全軟、硬件基礎(chǔ)設(shè)施投入不足,沒有建立一套完善的網(wǎng)絡(luò)安全系統(tǒng),大多數(shù)學(xué)校網(wǎng)絡(luò)安全建設(shè)和管理費(fèi)用短缺,網(wǎng)絡(luò)設(shè)備更新和維護(hù)占據(jù)了主要經(jīng)費(fèi)支出,而網(wǎng)絡(luò)安全方面資金投入明顯不足。大多學(xué)校校園網(wǎng)絡(luò)沒有建立安全防范系統(tǒng),安全級別較低。
(2)學(xué)校網(wǎng)絡(luò)使用環(huán)境十分混亂。每個(gè)學(xué)校都為師生提供了公共上網(wǎng)環(huán)境,以方便師生工作和學(xué)習(xí)。這雖然能夠解決廣大師生網(wǎng)絡(luò)使用問題,提高學(xué)校信息管理人性化水平,為提高校園信息化水平做出了有益貢獻(xiàn),但是由于缺乏統(tǒng)一管理和監(jiān)督,學(xué)校內(nèi)部網(wǎng)絡(luò)機(jī)房的管理十分混亂,存在嚴(yán)重的部門條塊分割管理問題。許多網(wǎng)絡(luò)機(jī)房管理存在諸多缺陷,計(jì)算機(jī)用戶沒有采用實(shí)名登記,導(dǎo)致公共網(wǎng)絡(luò)成為校園網(wǎng)重大安全威脅。
(3)電子郵件系統(tǒng)技術(shù)不成熟,疏于安全管理。電子郵件是網(wǎng)絡(luò)常用溝通工具,幾乎每個(gè)網(wǎng)絡(luò)用戶都會使用電子郵件。電子郵件在提升溝通效率的同時(shí),也給校園網(wǎng)絡(luò)安全造成了致命威脅,許多計(jì)算機(jī)病毒、不良信息通過電子郵件肆意傳播和擴(kuò)散,給網(wǎng)絡(luò)信息安全造成了重大威脅。因此,校園網(wǎng)絡(luò)安全建設(shè)要將電子郵件系統(tǒng)作為重點(diǎn)工作對象來抓。當(dāng)前,大多數(shù)校園采用互聯(lián)網(wǎng)免費(fèi)平臺郵件系統(tǒng),由于這類郵件系統(tǒng)具有很大的公開性和公用性,其網(wǎng)絡(luò)安全防范水平較低,很容易讓不良信息有機(jī)可乘。
(4)網(wǎng)絡(luò)病毒肆虐,嚴(yán)重影響網(wǎng)絡(luò)信息安全,各種保密信息不斷遭受泄露和丟失,造成嚴(yán)重?fù)p失?;ヂ?lián)網(wǎng)絡(luò)在方便公眾信息生活的同時(shí),也給社會帶來了嚴(yán)重的病毒威脅。隨著網(wǎng)絡(luò)不斷普及和推廣,網(wǎng)絡(luò)病毒的傳播效率越來越快,病毒潛藏能力不斷提升,對網(wǎng)絡(luò)信息安全的危害性日益增大。同時(shí),網(wǎng)絡(luò)病毒的存在還擠占了用戶電腦資源,嚴(yán)重影響了計(jì)算機(jī)運(yùn)行速度;例如前不久發(fā)生的“紅色代碼”、“尼姆達(dá)”等網(wǎng)絡(luò)病毒事件,足以警示我們要加強(qiáng)網(wǎng)絡(luò)病毒的防范。病毒防范不能采取單機(jī)防備方式,而是要從網(wǎng)絡(luò)全局規(guī)劃和統(tǒng)籌,統(tǒng)一部署和監(jiān)控,制定完善的網(wǎng)絡(luò)病毒防控體系。
(5)校園工作人員網(wǎng)絡(luò)安全意識薄弱,缺乏一條完善的網(wǎng)絡(luò)安全管理制度。校園網(wǎng)絡(luò)經(jīng)常會發(fā)生非法訪問、盜用賬戶、入侵合法數(shù)據(jù)庫、竊取軟件信息等問題。此外,通過電子郵件等溝通工具對他人進(jìn)行詆毀、誣賴的情況時(shí)有發(fā)生。由于大多數(shù)學(xué)校沒有制定一套完善的網(wǎng)絡(luò)安全管理制度,使得校園面臨上述網(wǎng)絡(luò)安全問題的困擾,嚴(yán)重干擾了廣大師生正常工作和學(xué)習(xí)活動。
二、校園網(wǎng)絡(luò)安全解決方案
(1)規(guī)范出口的管理實(shí)施校園網(wǎng)的整體安全架構(gòu),必須對原有的網(wǎng)絡(luò)架構(gòu)進(jìn)行改造,首先需要解決的就是多出口的問題。出口如果不進(jìn)行規(guī)范管理,校園網(wǎng)絡(luò)安全體系就無法得以實(shí)施。因此,作為校園網(wǎng)絡(luò)管理機(jī)構(gòu)必須將所有的校園網(wǎng)絡(luò)出口統(tǒng)一管理,嚴(yán)禁私自開后門的情況出現(xiàn),為安全的實(shí)施提供最基礎(chǔ)的保障。
(2)配備完整的系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備校園網(wǎng)絡(luò)雖然比較復(fù)雜,但從整體技術(shù)架構(gòu)來看,還是屬于局域網(wǎng)范疇,因此,在局域網(wǎng)和外部網(wǎng)絡(luò)接口處配置統(tǒng)一的網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備即可將絕大多數(shù)外部攻擊拒之門外。另外需要注意的是,校園網(wǎng)絡(luò)現(xiàn)在基本上都是高速網(wǎng)絡(luò),因此配置安全設(shè)備既要考慮到功能同時(shí)也必須考慮性能,將配置安全設(shè)備后對網(wǎng)絡(luò)性能的影響盡可能的降到最低。據(jù)此要求,校園網(wǎng)絡(luò)需要配備以下安全設(shè)備:高性能的硬件防火墻、旁路監(jiān)聽型的入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)、旁路監(jiān)聽型不良內(nèi)容過濾系統(tǒng)、覆蓋全校范圍的網(wǎng)絡(luò)版防病毒系統(tǒng)、網(wǎng)絡(luò)故障檢測以及網(wǎng)絡(luò)故障診斷設(shè)備。通過配置以上安全產(chǎn)品可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網(wǎng)絡(luò)的故障可以迅速定位并解決。
(3)要在全校實(shí)施統(tǒng)一的網(wǎng)絡(luò)用戶實(shí)名登記制。校園網(wǎng)絡(luò)是一種公共使用空間,要化解網(wǎng)絡(luò)信息安全問題必須首先解決用戶身份信息登記問題,要將身份認(rèn)證作為校園網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)工作。如果不能對用戶信息進(jìn)行識別和登記,網(wǎng)絡(luò)用戶違規(guī)成本降低,就會縱容各種網(wǎng)絡(luò)違法行為的發(fā)生,加劇校園網(wǎng)絡(luò)安全嚴(yán)重性。同時(shí)在全校實(shí)施統(tǒng)一的用戶身份認(rèn)證制,可以有效提高廣大師生網(wǎng)絡(luò)安全意識和自覺性。
(4)嚴(yán)格規(guī)范上網(wǎng)場所的管理,集中進(jìn)行監(jiān)控和管理校園網(wǎng)絡(luò)建設(shè)從教學(xué)科研的角度出發(fā),應(yīng)該鼓勵建設(shè)更多的公眾上網(wǎng)場所,給學(xué)校師生提供了解網(wǎng)絡(luò)和通過網(wǎng)絡(luò)學(xué)習(xí)、工作的方便。但從安全管理的角度來看,對于眾多上網(wǎng)場所的管理,只有使用統(tǒng)一的機(jī)房管理軟件、集中身份認(rèn)證并且進(jìn)行集中的管理和監(jiān)控,才可以有效的保證網(wǎng)絡(luò)安全?,F(xiàn)在,大多校園內(nèi)的上網(wǎng)場所管理基本處在“網(wǎng)絡(luò)管理孤島”的狀態(tài),大量的上網(wǎng)用戶身份無法鑒別,在這些上網(wǎng)場所的行為也基本上是不受控制的;另外,上網(wǎng)場所采用“還原卡”的方式可以簡化機(jī)房管理,但這給安全管理帶來了麻煩。根據(jù)有關(guān)部門規(guī)定,上網(wǎng)場所的上網(wǎng)日志要保存至少三個(gè)月。因此,要解決用戶上網(wǎng)身份認(rèn)證、上網(wǎng)日志保存和查詢的問題,最有效的解決辦法就是采用集中身份認(rèn)證、集中管理監(jiān)控的方式,具體來說有以下兩點(diǎn):①用戶使用網(wǎng)絡(luò)首先通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn),非合法用戶無法使用校園網(wǎng)絡(luò),合法用戶上網(wǎng)的行為受到統(tǒng)一的監(jiān)控,并且上網(wǎng)行為日志集中保存在中心服務(wù)器上。這樣既可以不給機(jī)房管理增加負(fù)擔(dān),同時(shí)也可以提供至少三個(gè)月以上的日志備查。②由于訪問日志直接傳送到中心監(jiān)控服務(wù)器上,保證了這個(gè)記錄的嚴(yán)肅性和準(zhǔn)確性。
(5)提升電子郵件系統(tǒng)使用安全水平,要采用多種安全技術(shù)來提升校園電子郵件系統(tǒng)安全水平,要針對落后的安全技術(shù)進(jìn)行升級改造,保證電子郵件系統(tǒng)安全防護(hù)措施滿足校園網(wǎng)絡(luò)安全管理需要。此外,要將強(qiáng)校園網(wǎng)絡(luò)安全監(jiān)督和日志管理,對所有不良信息進(jìn)行過濾和識別。
三、結(jié)束語
本文介紹了校園網(wǎng)絡(luò)安全建設(shè)要點(diǎn),針對當(dāng)前校園網(wǎng)絡(luò)安全問題提出了有效整改措施,希望本文研究能夠?yàn)樘嵘咝P@網(wǎng)絡(luò)信息安全水平做出有益貢獻(xiàn),也期待有更多學(xué)者投入到相關(guān)研究工作中,切實(shí)提高網(wǎng)絡(luò)安全技術(shù)水平。
關(guān)鍵詞:工控;網(wǎng)絡(luò)安全;安全建設(shè)
1前言
隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實(shí)踐,制造業(yè)工業(yè)控制系統(tǒng)的應(yīng)用越來越多,隨之而來的網(wǎng)絡(luò)安全威脅的問題日益突出。特別是國家重點(diǎn)行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個(gè)國家經(jīng)濟(jì)命脈,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)一旦出現(xiàn)特殊情況可能會引發(fā)直接的人員傷亡和財(cái)產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務(wù)的安全建設(shè)為例介紹工業(yè)信息安全防護(hù)思路,系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性,以網(wǎng)絡(luò)安全法和工業(yè)基礎(chǔ)設(shè)施的相關(guān)法規(guī)和要求等為依據(jù),并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀,從技術(shù)設(shè)計(jì)和管理系統(tǒng)建設(shè)兩個(gè)方面來構(gòu)建工控系統(tǒng)網(wǎng)絡(luò)安全。
2工業(yè)信息安全概述
2.1工控網(wǎng)絡(luò)的特點(diǎn)
工業(yè)控制系統(tǒng)是指各種自動化組件、過程監(jiān)控組件共同構(gòu)成的以完成實(shí)時(shí)數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測控制的管控系統(tǒng),也可以說工業(yè)控制系統(tǒng)是控制技術(shù)(Control)、計(jì)算機(jī)技術(shù)(Computer)、通信技術(shù)(Communication)、圖形顯示技術(shù)(CRT)和網(wǎng)絡(luò)技術(shù)(Network)相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡(luò)安全是指工業(yè)自動控制系統(tǒng)網(wǎng)絡(luò)安全,涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領(lǐng)域,其中超過60%的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施(如公路、軌道交通等)都依靠工控系統(tǒng)來實(shí)現(xiàn)自動化作業(yè)。
2.2國內(nèi)外工業(yè)安全典型事件
眾所周知,工業(yè)控制系統(tǒng)是國家工業(yè)基礎(chǔ)設(shè)施的重要組成部分,近年來由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展,使得工控系統(tǒng)正逐漸成為網(wǎng)絡(luò)戰(zhàn)的重點(diǎn)攻擊目標(biāo),不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡(luò)安全正面臨著嚴(yán)峻的挑戰(zhàn)。(1)美國列車信號燈宕機(jī)事件2003年發(fā)生在美國佛羅里達(dá)州鐵路服務(wù)公司的計(jì)算機(jī)遭遇震網(wǎng)病毒感染,導(dǎo)致美國東部海岸的列車信號燈系統(tǒng)瞬間宕機(jī),部分地區(qū)的高速環(huán)線停運(yùn)。這次事件主要是由于感染震網(wǎng)病毒引起的,而這種病毒常被用來定向攻擊基礎(chǔ)(能源)設(shè)施,比如國家電網(wǎng)、水壩、核電站等。(2)烏克蘭電網(wǎng)攻擊事件2015年,烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電,調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站,在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓?jiān)斐赏k娛鹿?。?)舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年,黑客攻擊美國舊金山輕軌系統(tǒng),造成上千臺服務(wù)器和工作站感染勒索病毒,數(shù)據(jù)全部被加密,售票系統(tǒng)全面癱瘓。其實(shí)國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件,主要也是因?yàn)楦腥纠账鞑《疽鸬摹@账鞑《靖腥玖酥匾獦I(yè)務(wù)系統(tǒng)里面的一些工作站,例如在軌道交通行業(yè)里的典型系統(tǒng):綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號系統(tǒng)等,其中大部分是由于移動接入設(shè)備的不合規(guī)使用而帶來的風(fēng)險(xiǎn)。從以上事件可以看出,攻擊者要發(fā)動網(wǎng)絡(luò)攻擊只需發(fā)送一個(gè)普通的病毒就可以達(dá)到目的,隨著網(wǎng)絡(luò)攻擊事件的頻發(fā)和各種復(fù)雜病毒的出現(xiàn),讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財(cái)產(chǎn)安全正遭受著嚴(yán)重的威脅。
2.3工控安全參考標(biāo)準(zhǔn)、規(guī)范
作為國家基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng),正面臨著來自網(wǎng)絡(luò)攻擊等的威脅,為此針對工控網(wǎng)絡(luò)安全,我國制定和了相關(guān)法律法規(guī)來指導(dǎo)網(wǎng)絡(luò)安全建設(shè)防護(hù)工作。其中有國家標(biāo)準(zhǔn)委在2016年10月的《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC)第1部分:系統(tǒng)要求》等多項(xiàng)國家標(biāo)準(zhǔn)[2]。同年,工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,該標(biāo)準(zhǔn)以當(dāng)前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點(diǎn),分別從技術(shù)防護(hù)和管理設(shè)計(jì)兩方面來對工業(yè)控制系統(tǒng)的安全防護(hù)提出建設(shè)防護(hù)要求。2017年6月,《網(wǎng)絡(luò)安全法》開始實(shí)施,網(wǎng)安法從不同的網(wǎng)絡(luò)層次規(guī)定了網(wǎng)絡(luò)安全的檢測、評估以及防護(hù)和管理等要求,促進(jìn)了我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展。
3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析
軌道交通信號系統(tǒng)(CBTC)是基于通信技術(shù)的列車控制系統(tǒng),該系統(tǒng)依靠通信技術(shù)實(shí)現(xiàn)“車地通信”并且實(shí)時(shí)地傳遞“列車定位”信息[3]。目前CBTC安全建設(shè)存在以下問題:(1)網(wǎng)絡(luò)邊界無隔離隨著CBTC的集成度越來越高,各個(gè)子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切,根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場,根據(jù)業(yè)務(wù)又劃分為ATO、ATS、CI、DCS等多個(gè)子系統(tǒng),各區(qū)域之間沒有做好訪問控制措施,缺失入侵防范和監(jiān)測的舉措。各個(gè)子系統(tǒng)之間一般都是互聯(lián)互通的,不同的子系統(tǒng)由于承載的業(yè)務(wù)的重要等級不同也是需要對其邊界進(jìn)行防護(hù)的,還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。(2)網(wǎng)絡(luò)異常查不到針對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵行為一般隱蔽性很強(qiáng),沒有專門的設(shè)備去檢測的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計(jì)記錄和追溯的手段,等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進(jìn)行實(shí)時(shí)監(jiān)測和記錄,不能及時(shí)發(fā)現(xiàn)高級持續(xù)威脅、不能有效應(yīng)對攻擊、不能及時(shí)發(fā)現(xiàn)各種異常操作。(3)工作站、服務(wù)器無防護(hù)CBTC系統(tǒng)工作站、服務(wù)器的大部分采用Windows系列的操作系統(tǒng),還有一部分Linux系列的操作系統(tǒng),系統(tǒng)建設(shè)之初基本不會對工作站和服務(wù)器的操作系統(tǒng)進(jìn)行升級,操作系統(tǒng)在使用過程中不斷暴露漏洞,而系統(tǒng)漏洞又無法得到及時(shí)的修復(fù),這都會導(dǎo)致工作站和服務(wù)器面臨風(fēng)險(xiǎn)。沒有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務(wù),沒有加強(qiáng)系統(tǒng)的密碼策略。除此之外,運(yùn)維人員可以在調(diào)試過程中在操作站和服務(wù)器上安裝與業(yè)務(wù)無關(guān)的軟件,也可能會開啟操作系統(tǒng)的遠(yuǎn)程功能,上線后也不會關(guān)閉此功能,這些操作都會使得系統(tǒng)配置簡單,更容易受到攻擊。目前在CBTC系統(tǒng)各個(gè)區(qū)域部分尚未部署桌管軟件和殺毒軟件,無法對USB等外接設(shè)備的接入行為進(jìn)行管控,隨意使用移動存儲介質(zhì)的現(xiàn)象非常普遍,這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。(4)運(yùn)維管理不完善單位內(nèi)安全組織機(jī)構(gòu)人員職責(zé)不完善,缺乏專業(yè)的人員。沒有針對信號系統(tǒng)成立專門的安全管理部門,未明確相關(guān)業(yè)務(wù)部門的安全職責(zé)和職員的技能要求,也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡(luò)安全管理制度政策來規(guī)劃安全建設(shè)和設(shè)計(jì)工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運(yùn)維工作外包給第三方人員后并無相關(guān)的審計(jì)和監(jiān)控措施,當(dāng)?shù)谌竭\(yùn)維人員進(jìn)行設(shè)備維護(hù)時(shí),業(yè)務(wù)系統(tǒng)的運(yùn)營人員不能及時(shí)了解第三方運(yùn)維人員是否存在誤操作行為,一旦發(fā)生事故無法及時(shí)準(zhǔn)確定位問題原因、影響范圍和責(zé)任追究。目前CBTC系統(tǒng)的網(wǎng)絡(luò)采用物理隔離,基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡(luò)后,工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全防護(hù)措施無法有效抵御來自外部的攻擊和威脅,而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡(luò)邊界實(shí)現(xiàn),因此做好邊界保護(hù)尤為重要。
4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系
工控系統(tǒng)信息化建設(shè)必須符合國家有關(guān)規(guī)定,從安全層面來看要符合國家級防護(hù)的相關(guān)要求,全面規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)安全保障體系,使得工控體系符合相關(guān)安全標(biāo)準(zhǔn),確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護(hù)體系,通過管理和技術(shù)實(shí)現(xiàn)主被動安全相結(jié)合,有效提升了工控業(yè)務(wù)系統(tǒng)的安全防護(hù)能力。根據(jù)業(yè)務(wù)流量和業(yè)務(wù)功能特點(diǎn)以及工控系統(tǒng)網(wǎng)絡(luò)安全的基本要求來設(shè)計(jì)不同的項(xiàng)目技術(shù)方案,從技術(shù)角度來識別系統(tǒng)的安全風(fēng)險(xiǎn),依據(jù)系統(tǒng)架構(gòu)來設(shè)計(jì)安全加固措施,同時(shí)還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡(luò)安全管理制度體系,來確保整體業(yè)務(wù)系統(tǒng)的安全有效運(yùn)行。
4.1邊界訪問控制
考慮到資產(chǎn)的價(jià)值、重要性、部署位置、系統(tǒng)功能、控制對象等要素,我們將軌道交通信號系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)劃分為多個(gè)子安全域,根據(jù)CBTC業(yè)務(wù)的重要性、實(shí)時(shí)性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對現(xiàn)場受控設(shè)備的影響程度等,將工控網(wǎng)絡(luò)劃分成不同的安全防護(hù)區(qū)域,所有業(yè)務(wù)子系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權(quán)限分配、訪問控制等安全措施來實(shí)現(xiàn)工業(yè)現(xiàn)場中的設(shè)備登錄控制、應(yīng)用服務(wù)資源訪問的身份認(rèn)證管理,使得只有獲得授權(quán)的用戶才能對現(xiàn)場設(shè)備進(jìn)行數(shù)據(jù)更新、參數(shù)設(shè)定,在控制設(shè)備及監(jiān)控設(shè)備上運(yùn)行程序、標(biāo)識相應(yīng)的數(shù)據(jù)集合等操作,防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測與審計(jì)網(wǎng)絡(luò)入侵檢測主要用于檢測網(wǎng)絡(luò)中的惡意探測和惡意攻擊行為,常見有網(wǎng)絡(luò)蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]??梢岳寐┒磼呙柙O(shè)備掃描探測操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡(luò)資產(chǎn)和應(yīng)用,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的安全漏洞,提出修復(fù)和整改建議來保障系統(tǒng)和設(shè)備自身的安全性。惡意代碼防護(hù)可以檢測、查殺和抵御各種病毒,如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設(shè)備來及時(shí)發(fā)現(xiàn)識別系統(tǒng)設(shè)備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強(qiáng)安全審計(jì)管理,通常包括日常運(yùn)維操作安全審計(jì)、數(shù)據(jù)庫訪問審計(jì)以及所有設(shè)備和系統(tǒng)的日志審計(jì),主要體現(xiàn)在對各類用戶的操作行為進(jìn)行審計(jì)和對重要安全事件進(jìn)行記錄和審計(jì),審計(jì)日志的內(nèi)容需要包括事件發(fā)生的確切時(shí)間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。
4.3建立統(tǒng)一監(jiān)測管理平臺
根據(jù)等級保護(hù)制度要求規(guī)定,重要等級在第二級以上的信息系統(tǒng)需要在網(wǎng)絡(luò)中建立統(tǒng)一集中管理中心,通過統(tǒng)一安全管理平臺能夠?qū)W(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)等的運(yùn)行狀況、安全日志、配置策略進(jìn)行集中監(jiān)測、采集、日志范化和歸并處理,平臺可以呈現(xiàn)CBTC系統(tǒng)中各類設(shè)備間的訪問關(guān)系,形成基于網(wǎng)絡(luò)訪問關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單,從而可以及時(shí)識別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務(wù)操作指令的異常行為。可以設(shè)置監(jiān)控指標(biāo)告警閾值,觸發(fā)告警并記錄,對各類報(bào)警和日志信息進(jìn)行關(guān)聯(lián)分析和預(yù)警通報(bào)。
4.4編制網(wǎng)絡(luò)安全管理制度
設(shè)立安全專屬職能的管理部門和領(lǐng)導(dǎo)者及管理成員的崗位,制定總體安全方針,指明組織機(jī)構(gòu)的總體目標(biāo)和工作原則。對于安全管理成員的角色設(shè)計(jì)需按三權(quán)分立的原則來規(guī)劃并落實(shí),必須配備專職的安全成員來指導(dǎo)和管理安全的各方面工作。指派專人來制定安全管理制度,而且制度要經(jīng)過上層組織機(jī)構(gòu)評審和正式,保持對下發(fā)制度的定期評審和落實(shí)情況的核查。由專人來負(fù)責(zé)單位內(nèi)人員的招聘錄用工作,對人員的專業(yè)能力、背景及任職資格進(jìn)行審核和考察,人員錄用時(shí)需要跟被錄用人簽訂保密協(xié)議和崗位責(zé)任書。編制完善的制度規(guī)范,編制范圍應(yīng)涵蓋信息系統(tǒng)在規(guī)劃和建設(shè)、安全定級與備案、方案設(shè)計(jì)、開發(fā)與實(shí)施、驗(yàn)收與測試以及完成系統(tǒng)交付的整個(gè)生命周期。針對不同系統(tǒng)建設(shè)階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗(yàn)收制度,在測試和交付階段記錄和收集各類表單、清單。加強(qiáng)安全運(yùn)維建設(shè),制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設(shè)備介質(zhì)管理以及漏洞風(fēng)險(xiǎn)管理等方面的規(guī)范要求,對于機(jī)房等辦公區(qū)域的人員進(jìn)出、設(shè)備進(jìn)出進(jìn)行記錄和控制,建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為,保存相關(guān)的資產(chǎn)清單,對各種軟硬件資產(chǎn)做好定期維護(hù),對資產(chǎn)采購、領(lǐng)用和發(fā)放制定嚴(yán)格的審批流程。針對漏洞做好風(fēng)險(xiǎn)管理,針對發(fā)現(xiàn)的安全問題采取相關(guān)的應(yīng)對措施,形成書面記錄和總結(jié)報(bào)告。在第三方外包人員管理方面應(yīng)該與外包運(yùn)維服務(wù)商簽訂第三方運(yùn)維服務(wù)協(xié)議,協(xié)議中應(yīng)明確外包工作范圍和具體職責(zé)。
5結(jié)束語
由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡(luò)安全攻擊的趨勢,近年來我國將網(wǎng)絡(luò)安全建設(shè)提升到了國家安全戰(zhàn)略的高度,并且制定了相關(guān)的標(biāo)準(zhǔn)、政策、技術(shù)、程序等來積極應(yīng)對安全風(fēng)險(xiǎn),業(yè)務(wù)主管部門還應(yīng)進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全意識,開展網(wǎng)絡(luò)安全評估,制定網(wǎng)絡(luò)安全策略,提高工控網(wǎng)絡(luò)安全水平,確保業(yè)務(wù)的安全穩(wěn)定運(yùn)行。
參考文獻(xiàn):
[1]石勇,劉巍偉,劉博.工業(yè)控制系統(tǒng)(ICS)的安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4).
[2]李?。I(yè)控制系統(tǒng)信息安全管理措施研究[J].自動化與儀器儀表,2014(9).
關(guān)鍵詞:網(wǎng)絡(luò)安全;異常檢測;方案
網(wǎng)絡(luò)安全事件異常檢測問題方案,基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)展的研究之上。定義網(wǎng)絡(luò)安全異常事件檢測模式,提出網(wǎng)絡(luò)頻繁密度概念,針對網(wǎng)絡(luò)安全異常事件模式的間隔限制,利用事件流中滑動窗口設(shè)計(jì)算法,對網(wǎng)絡(luò)安全事件流中異常檢測進(jìn)行探討。但是,由于在網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對安全問題的忽視以及在管理和使用上的不健全,使網(wǎng)絡(luò)安全受到嚴(yán)重威脅。本文通過針對網(wǎng)絡(luò)安全事件流中異常檢測流的特點(diǎn)的探討分析,對此加以系統(tǒng)化的論述并找出合理經(jīng)濟(jì)的解決方案。
1、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全
在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上,網(wǎng)絡(luò)安全事件流中異常檢測在未來網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進(jìn)行安全防護(hù)。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性,將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi),這樣可以提高系統(tǒng)的檢測精度。
1.1網(wǎng)絡(luò)安全帳號口令管理安全系統(tǒng)建設(shè)
終端安全管理系統(tǒng)擴(kuò)容,擴(kuò)大其管理的范圍同時(shí)考慮網(wǎng)絡(luò)系統(tǒng)擴(kuò)容。完善網(wǎng)絡(luò)審計(jì)系統(tǒng)、安全管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署,采用高新技術(shù)流程來實(shí)現(xiàn)。采用信息化技術(shù)管理需要帳號口令,有效地實(shí)現(xiàn)一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統(tǒng)一管理系統(tǒng),對所有帳號口令進(jìn)行統(tǒng)一管理,做到職能化、合理化、科學(xué)化。
信息安全建設(shè)成功結(jié)束后,全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn),各種安全產(chǎn)品充分發(fā)揮作用,安全管理也到位和正規(guī)化。此時(shí)進(jìn)行安全管理建設(shè),主要完善系統(tǒng)體系架構(gòu)圖編輯,加強(qiáng)系統(tǒng)平臺建設(shè)和專業(yè)安全服務(wù)。體系框架中最要的部分是平臺管理、賬號管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理,本階段可以考慮成立安全管理部門,聘請專門的安全服務(wù)顧問,建立信息安全管理體系,建立PDCA機(jī)制,按照專業(yè)化的要求進(jìn)行安全管理通過系統(tǒng)的認(rèn)證。
邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強(qiáng)安全邊界防護(hù)措施,重點(diǎn)考慮Internet外網(wǎng)出口安全問題和各節(jié)點(diǎn)對內(nèi)部流量的集中管控。因此,加強(qiáng)各個(gè)局端出口安全防護(hù),并且在各個(gè)節(jié)點(diǎn)位置部署入侵檢測系統(tǒng),加強(qiáng)對內(nèi)部流量的檢測。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界防病毒、內(nèi)容安全管理等。
1.2綜合考慮和解決各種邊界安全技術(shù)問題
隨著網(wǎng)絡(luò)病毒攻擊越來越朝著混合性發(fā)展的趨勢,在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進(jìn)行邊界防護(hù),考慮到性價(jià)比和防護(hù)效果的最大化要求,統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇。在各分支節(jié)點(diǎn)交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng),考慮到以后各節(jié)點(diǎn)將實(shí)現(xiàn)INITERNET出口的統(tǒng)一,要充分考慮分支節(jié)點(diǎn)的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng),可以實(shí)現(xiàn)對內(nèi)部流量訪問業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控,包括進(jìn)行訪問控制、內(nèi)容過濾等。
網(wǎng)絡(luò)入侵檢測問題通過部署UTM產(chǎn)品可以實(shí)現(xiàn)靜態(tài)的深度過濾和防護(hù),保證內(nèi)部用戶和系統(tǒng)的安全。但是安全威脅是動態(tài)變化的,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統(tǒng)對通過UTM的流量進(jìn)行動態(tài)的檢測,實(shí)時(shí)發(fā)現(xiàn)其中的異常流量。在各個(gè)分支的核心交換機(jī)上將進(jìn)出流量進(jìn)行集中監(jiān)控,通過入侵檢測系統(tǒng)管理平臺將入侵檢測系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn),從而提高安全維護(hù)人員的預(yù)警能力。
1.3防護(hù)IPS入侵進(jìn)行internet出口位置的整合
防護(hù)IPS入侵進(jìn)行internet出口位置的整合,可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域。同時(shí)在核心服務(wù)器區(qū)域邊界位置采用入侵防護(hù)系統(tǒng)進(jìn)行集中的訪問控制和綜合過濾,采用IPS系統(tǒng)可以預(yù)防服務(wù)器因?yàn)闆]有及時(shí)添加補(bǔ)丁而導(dǎo)致的攻擊等事件的發(fā)生。
在整合后的internet邊界位置放置一臺IPS設(shè)備,實(shí)現(xiàn)對internet流量的深度檢測和過濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點(diǎn),為了更好地對各種服務(wù)器進(jìn)行集中防護(hù)和監(jiān)控,將各種業(yè)務(wù)服務(wù)器進(jìn)行集中管控,并且考慮到未來發(fā)展需要,可以將未來需要新增的服務(wù)器進(jìn)行集中放置,這樣我們可以保證對服務(wù)器進(jìn)行同樣等級的保護(hù)。在接入交換機(jī)上劃出一個(gè)服務(wù)器區(qū)域,前期可以將已有業(yè)務(wù)系統(tǒng)進(jìn)行集中管理。
2、科學(xué)化進(jìn)行網(wǎng)絡(luò)安全事件流中異常檢測方案的探討
網(wǎng)絡(luò)安全事件本身也具有不確定性,在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過渡。在網(wǎng)絡(luò)安全事件檢測中引入模糊集理論,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來,采用模糊化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征,從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中,在建立正常模式時(shí)必須盡可能多得對網(wǎng)絡(luò)行為進(jìn)行全面的描述,其中包含出現(xiàn)頻率高的模式,也包含低頻率的模式。
2.1基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析
針對網(wǎng)絡(luò)安全事件流中異常檢測問題,定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié),主要基于無折疊出現(xiàn)的頻繁度研究,提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法,該方法中針對事件流的特點(diǎn),提出了頻繁度密度概念。針對網(wǎng)絡(luò)安全異常事件模式的時(shí)間間隔限制,利用事件流中滑動窗口設(shè)計(jì)算法。針對復(fù)合攻擊模式的特點(diǎn),對算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測的需求。
傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法,將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間,然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法,這樣做會產(chǎn)生明顯的邊界問題,如果正?;虍惓B晕⑵x其規(guī)定的范圍,系統(tǒng)就會做出錯誤的判斷。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中,建立網(wǎng)絡(luò)安全防火墻,在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護(hù)屏障。針對事件流的特點(diǎn),利用事件流中滑動窗口設(shè)計(jì)算法,采用復(fù)合攻擊模式方法,對算法進(jìn)行科學(xué)化的測試。
2.2采用系統(tǒng)連接方式檢測網(wǎng)絡(luò)安全基本屬性
在入侵檢測系統(tǒng)中,直接采用網(wǎng)絡(luò)連接記錄中的基本屬性,其檢測效果不理想,如果將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi),可以提高系統(tǒng)的檢測精度。網(wǎng)絡(luò)安全事件流中異常檢測引入數(shù)據(jù)化理論,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來,采用設(shè)計(jì)化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征,從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中,在建立正常的數(shù)據(jù)化模式盡可能多得對網(wǎng)絡(luò)行為進(jìn)行全面的描述,其中包含出現(xiàn)頻率高的模式,也包含低頻率的模式。
在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中,發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏,這意味著對于一個(gè)特定的定量屬性,其取值可能只包含它的定義域的一個(gè)小子集,屬性值分布也趨向于不均勻。這些統(tǒng)計(jì)特征屬性大多是定量屬性,傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間,然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法,這樣做會產(chǎn)生明顯的邊界問題,如果正?;虍惓B晕⑵x其規(guī)定的范圍,系統(tǒng)就會做出錯誤的判斷。網(wǎng)絡(luò)安全事件本身也具有模糊性,在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過渡。
另外,不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同,某些攻擊會產(chǎn)生大量的連續(xù)記錄,占總記錄數(shù)的比例很大,而某些攻擊只產(chǎn)生一些孤立的記錄,占總記錄數(shù)的比例很小。針對網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布,不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況,采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)。實(shí)驗(yàn)結(jié)果證明,設(shè)計(jì)算法的引入不僅可以提高異常檢測的能力,還顯著減少了規(guī)則庫中規(guī)則的數(shù)量,提高了網(wǎng)絡(luò)安全事件異常檢測效率。
2.3建立整體的網(wǎng)絡(luò)安全感知系統(tǒng),提高異常檢測的效率
作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的一部分,建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測。為了提高異常檢測的效率,解決傳統(tǒng)流量分析方法效率低下、單點(diǎn)的問題以及檢測對分布式異常檢測能力弱的問題。對網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用,基于高位端口信息的分布式異常檢測算法實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測。
通過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果,最后采集局域網(wǎng)中的數(shù)據(jù),通過對比試驗(yàn)進(jìn)行驗(yàn)證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是數(shù)據(jù)持續(xù)到達(dá)、速度快、規(guī)模宏大。因此,如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進(jìn)行檢測網(wǎng)絡(luò)異常并為提供預(yù)警信息,是目前需要解決的重要問題。結(jié)合入侵檢測技術(shù)和數(shù)據(jù)流挖掘技術(shù),提出了一個(gè)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法,根據(jù)“加權(quán)歐幾里得”距離進(jìn)行模式匹配。
實(shí)驗(yàn)結(jié)果表明,該算法可以檢測出網(wǎng)絡(luò)流量異常。為增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力,提出了一種可控可管的網(wǎng)絡(luò)智能體模型。該網(wǎng)絡(luò)智能體能夠主動識別潛在異常,及時(shí)隔離被攻擊節(jié)點(diǎn)阻止危害擴(kuò)散,并報(bào)告攻擊特征實(shí)現(xiàn)信息共享。綜合網(wǎng)絡(luò)選擇原理和危險(xiǎn)理論,提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法,使其在網(wǎng)絡(luò)中能更有效的識別節(jié)點(diǎn)上的攻擊行為。通過分析智能體與對抗模型,表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。
結(jié)語:
伴隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展,伴隨著網(wǎng)絡(luò)用戶需求的不斷增加,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛,其規(guī)模也越來越龐大。同時(shí),網(wǎng)絡(luò)安全事件層出不窮,使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢的挑戰(zhàn),傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全安全檢測技術(shù)能夠綜合各方面的安全因素,從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況,并對安全狀況的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警,為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此,針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。
參考文獻(xiàn):
[1]沈敬彥.網(wǎng)絡(luò)安全事件流中異常檢測方法[J].重慶師專學(xué)報(bào),2000,(4).
(北京中油瑞飛信息技術(shù)有限責(zé)任公司北京100007)
摘要:通過對大中型跨國企業(yè)海外信息安全體系的研究,形成了一個(gè)完整的海外信息安全體系框架,包括安全策略、安全技術(shù)體系、安全管理體系、運(yùn)行保障體系和建設(shè)實(shí)施規(guī)劃等。依照該框架,企業(yè)可以針對各部分進(jìn)行具體實(shí)施,從而完成整個(gè)的海外信息安全建設(shè)。
關(guān)鍵詞 :大中型企業(yè);信息安全體系;框架;理論指導(dǎo);安全模型
1海外信息安全體系建設(shè)原則
大中型企業(yè)海外信息安全體系的建設(shè),涉及面廣、工作量大,整體設(shè)計(jì)必須堅(jiān)持以下的原則,以保證建設(shè)和運(yùn)營的效果。
1.1統(tǒng)一規(guī)劃管理
要對信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃,制定信息安全體系框架,明確保障體系中所包含的內(nèi)容。同時(shí),還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范,使得信息安全體系建設(shè)遵循一致的標(biāo)準(zhǔn)、管理遵循一致的規(guī)范。
1.2分步有序?qū)嵤?/p>
信息安全體系建設(shè)的內(nèi)容龐雜,必須堅(jiān)持分步有序的實(shí)施原則,循序漸進(jìn)。
1.3技術(shù)管理并重
僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的,安全管理也具有同樣的重要性。信息安全體系的建設(shè),必須遵循安全技術(shù)和安全管理并重的原則,制定統(tǒng)一的安全建設(shè)管理規(guī)范,指導(dǎo)安全管理工作。
1.4突出安全保障
信息安全體系建設(shè)要突出安全保障的重要性,通過數(shù)據(jù)備份、冗余設(shè)計(jì)、應(yīng)急響應(yīng)、安全審計(jì)、災(zāi)難恢復(fù)等安全保障機(jī)制,保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。
2海外信息安全體系建設(shè)目標(biāo)
大型跨國企業(yè)海外信息安全的建設(shè)目標(biāo)是:基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo),提供全面的安全服務(wù)內(nèi)容,覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)直至數(shù)據(jù)和應(yīng)用平臺各個(gè)層面,以及保護(hù)、檢測、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié),構(gòu)建全面、完整、高效的信息安全體系,從而提高企業(yè)信息系統(tǒng)的整體安全等級,為企業(yè)海外業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。
3海外信息安全體系框架
企業(yè)進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個(gè)全面、有效的信息安全體系,包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素,信息安全建設(shè)的內(nèi)容多,規(guī)模大,必須進(jìn)行全面的統(tǒng)籌規(guī)劃,明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)、管理規(guī)范、人員崗位配備、實(shí)施步驟、資金投入,才能夠保證信息安全建設(shè)有序可控地進(jìn)行,使信息安全體系發(fā)揮最優(yōu)的保障效果。
同時(shí)還應(yīng)該制定一系列的安全管理規(guī)范,指導(dǎo)信息安全建設(shè)和運(yùn)營工作,使得信息安全建設(shè)能夠依據(jù)統(tǒng)一的標(biāo)準(zhǔn)開展,信息安全體系的運(yùn)營和維護(hù)能夠遵循統(tǒng)一的規(guī)范進(jìn)行。
3.1安全目標(biāo)模型
根據(jù)大型跨國企業(yè)海外信息安全體系建設(shè)目標(biāo)和總體安全策略,建立與之對應(yīng)的目標(biāo)模型,稱為WP2DRR安全模型。該模型由預(yù)警( Warning)、策略(Policy)、保護(hù)(Protectlon)、檢測(Detection)、響應(yīng)(Response)、恢復(fù)(Recovery)6個(gè)要素環(huán)節(jié)構(gòu)成了一個(gè)基于時(shí)間的、完整的、動態(tài)的信息安全體系。WP2DRR模型在P2DR模型的基礎(chǔ)上新增加了預(yù)警Warnlng和恢復(fù)Recover,增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力,系統(tǒng)一旦發(fā)生安全事故,也能恢復(fù)系統(tǒng)功能和數(shù)據(jù),恢復(fù)系統(tǒng)的正常運(yùn)行。
安全目標(biāo)模型是信息安全體系框架的基礎(chǔ),大型跨國企業(yè)的海外信息安全體系框架應(yīng)該緊密圍繞安全模型的6個(gè)要素環(huán)節(jié)進(jìn)行設(shè)計(jì),每個(gè)要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來。
3.2信息安全體系框架組成
通過對企業(yè)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險(xiǎn)的分析,根據(jù)安全保障目標(biāo)模型,制定了大型跨國企業(yè)海外信息安全體系框架。制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營。
該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中,以安全策略為指導(dǎo),融會了安全技術(shù)、安全管理和運(yùn)行保障3個(gè)層次的安全體系,以達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。大型跨國企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示。
3.2.1安全策略
在這個(gè)框架中,安全策略是指導(dǎo),與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這3大體系相互作用。一方面,3大體系是在安全策略的指導(dǎo)下構(gòu)建的,主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段,全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)。另一方面,安全策略本身也有包括草案設(shè)計(jì)、評審、實(shí)施、培訓(xùn)、部署、監(jiān)控、強(qiáng)化、重新評佶、修訂等步驟在內(nèi)的生命周期,需要采用一些技術(shù)方法和管理手段進(jìn)行管理,保證安全策略的及時(shí)性和有效性。
按照要保障的資產(chǎn)對象的不同,總體策略劃分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、病毒防治、身份認(rèn)證、應(yīng)用授權(quán)和訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份和災(zāi)難恢復(fù)、應(yīng)急響應(yīng)、教育培訓(xùn)等若干方面進(jìn)行闡述。
隨著技術(shù)的發(fā)展以及系統(tǒng)的升級、調(diào)整,安全策略也應(yīng)該進(jìn)行重新評估和制定,隨時(shí)保持策略與安全目標(biāo)的一致性。
3.2.2安全技術(shù)體系
安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ),包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這3個(gè)部分,以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐,以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助,在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架。
安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo),立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制,從物理和通信安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個(gè)層次出發(fā),建立起的一個(gè)各個(gè)部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。
應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù),提升自身的安全等級,以更加安全的方式,提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備,對這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制,負(fù)責(zé)管理和維護(hù)安全策略,配置管理相應(yīng)的安全機(jī)制,確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作,可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與備類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接,促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化,使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。
統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理,從而提高安全管理工作的效率,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障,安全管理體系的設(shè)計(jì)立足于總體安全策略,并與安全技術(shù)體系相互配合,增強(qiáng)技術(shù)防護(hù)體系的效率和效果,同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。
技術(shù)和管理是相互結(jié)合的。一方面,安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng),另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。在大型跨國企業(yè)海外信息安全體系框架中,安全管理體系的設(shè)計(jì)充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799 (IS017799)》的建議。
大型跨國企業(yè)海外信息安全管理體系由若干信息安全管理類組成,每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制。每個(gè)安全目標(biāo)都有若干安全控制與其相對應(yīng),這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求。
3.2.4運(yùn)行保障體系
運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成,包括了系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)的備份計(jì)劃、安全事件的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)、災(zāi)難恢復(fù)計(jì)劃等,運(yùn)行和保障體系對于企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營提供了重要的保障手段。
3.2.5建設(shè)實(shí)施規(guī)劃
建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系、運(yùn)行保障體系設(shè)計(jì)的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。
任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施,因此,首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu),明確各級管理機(jī)構(gòu)的人員配備,職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作、對信息安全系統(tǒng)進(jìn)行監(jiān)控與審計(jì)管理。
信息安全體系建設(shè),應(yīng)該首先從物理環(huán)境安全建設(shè)入手,確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè),并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理。
在接下來的網(wǎng)絡(luò)安全建設(shè)中,應(yīng)對計(jì)算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分,對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整,以確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰;在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測等安全產(chǎn)品,形成立體的區(qū)域邊界保護(hù)機(jī)制,對各安全域進(jìn)行邏輯安全隔離,禁止未授權(quán)的網(wǎng)絡(luò)訪問;在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具,定期對內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查,并采取措施及時(shí)彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。
在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時(shí),還可以進(jìn)行系統(tǒng)安全建設(shè),在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng),有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播,避免對系統(tǒng)和數(shù)據(jù)造成損害。另外,主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求,借助主機(jī)脆弱性分析和安全加固工具,定期對主機(jī)系統(tǒng)進(jìn)行檢查,更新安全漏洞補(bǔ)丁的級別,修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置,查看和分析系統(tǒng)審計(jì)日志,控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)。
應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)、應(yīng)用授權(quán)和訪問控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等,對專業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)。
按照統(tǒng)一標(biāo)準(zhǔn),建立安全審計(jì)與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計(jì)劃、安全事件應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等安全保障機(jī)制,重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn),保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性。
對所有員工進(jìn)行基本安全教育,為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn),提高全員的安全意識,打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍。
4結(jié)論
海外信息安全體系是一個(gè)全方位的體系,從技術(shù)到管理、從網(wǎng)絡(luò)到設(shè)備再到人。任何一個(gè)方面都要考慮周全,只有每一個(gè)部分的安全才是整體的安全。
參考文獻(xiàn)
對于具有開發(fā)性、國際性和自由度的互聯(lián)網(wǎng)在增加應(yīng)用自由度的同時(shí),也存在著太多太復(fù)雜的安全隱患,信息安全令人擔(dān)擾。有人這樣說:“如果上網(wǎng),你所受到的安全威脅將增大幾倍;而如果不上網(wǎng),則你所得到的服務(wù)將減少幾倍”。因此,可信網(wǎng)絡(luò)已經(jīng)成為當(dāng)前研究的熱點(diǎn)話題。網(wǎng)絡(luò)應(yīng)為科研服務(wù),作為校園網(wǎng)在提高管理效率、促進(jìn)教科研發(fā)展、方便校園生活的同時(shí),網(wǎng)絡(luò)中的各種安全問題也層出不窮,提高IT安全建設(shè)和管理水平已成為高校信息化建設(shè)中不容忽視的重要工作內(nèi)容。
2 校園網(wǎng)安全面臨的困難
現(xiàn)在大多數(shù)校園網(wǎng)以Windows作為系統(tǒng)平臺,因?yàn)槠涔δ芴?,太?fù)雜了(Windows操作系統(tǒng)就有上千萬行程序),致使操作系統(tǒng)都不可能做到完全正確,所以其它系統(tǒng)的安全性能都是很難保證的。對于具有更復(fù)雜環(huán)境的校園網(wǎng)來說,不但面臨著系統(tǒng)安全及其威脅,而且還具有自已的特殊性。一方面,學(xué)生的好奇心強(qiáng),一些學(xué)生社會責(zé)任感較輕,喜歡挑戰(zhàn);另一方面,校園網(wǎng)的網(wǎng)絡(luò)條件普遍較好,計(jì)算機(jī)來源又較為復(fù)雜,隱蔽的IP地址使之更容易實(shí)施網(wǎng)絡(luò)攻擊。同時(shí),教育信息化管理中長期形成的“重技術(shù),輕管理”的思想,也使得校園網(wǎng)的安全形勢更加嚴(yán)峻。
隨著信息技術(shù)的不斷發(fā)展,病毒傳播的途徑越來越多樣化。對于校園網(wǎng)管理人員而言,還不得不面對大面積的ARP欺騙病毒,這對于用戶群龐大而導(dǎo)致可控性和有序性很差的校園網(wǎng)提出了巨大的挑戰(zhàn),構(gòu)建校園網(wǎng)絡(luò)應(yīng)急響應(yīng)機(jī)制迫在眉睫。
3 校園網(wǎng)應(yīng)急響應(yīng)機(jī)制的建立
2007年6-7月間,由教育部科技發(fā)展中心主辦、中國教育網(wǎng)絡(luò)雜志承辦的“2007教育行業(yè)信息安全大會”在北京等地召開。會議對“高校建立應(yīng)急響應(yīng)機(jī)制”進(jìn)行了專題問卷調(diào)查,調(diào)查結(jié)果顯示,66%的高校未建立安全應(yīng)急響應(yīng)機(jī)制,33%的高校計(jì)劃在年內(nèi)建立學(xué)校的安全應(yīng)急響應(yīng)機(jī)制。由此可見還有大部分高校在網(wǎng)絡(luò)安全管理方面還需加大力度,僅憑單純的安全產(chǎn)品和簡單的防御技術(shù)是無法抵擋攻擊的,必須依靠應(yīng)急響應(yīng)等一套完整的服務(wù)管理機(jī)制,建立其相應(yīng)的流程,通過加強(qiáng)學(xué)習(xí)努力提高隊(duì)伍的技術(shù)水平及響應(yīng)能力,從技術(shù)和管理兩個(gè)維度保證網(wǎng)絡(luò)安全。
校園網(wǎng)應(yīng)急響應(yīng)是指在校園網(wǎng)內(nèi)行使CERT/CC(計(jì)算機(jī)緊急響應(yīng)小組及其協(xié)調(diào)中心)的職能,對校園網(wǎng)內(nèi)的各網(wǎng)絡(luò)應(yīng)用部門和用戶提供網(wǎng)絡(luò)安全事件的快速響應(yīng)或技術(shù)支持服務(wù),也對校園網(wǎng)內(nèi)的各接入單位及用戶提供安全事件響應(yīng)相關(guān)的咨詢服務(wù)。校園網(wǎng)應(yīng)急響應(yīng)組的主要職能是:對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全事件一是進(jìn)行緊急反應(yīng),盡快恢復(fù)系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。二是要使系統(tǒng)和網(wǎng)絡(luò)設(shè)施所遭受的破壞最小化。三是對影響系統(tǒng)和網(wǎng)絡(luò)安全的漏洞及防治措施進(jìn)行通報(bào),對安全風(fēng)險(xiǎn)進(jìn)行評估等。
比較完善的網(wǎng)絡(luò)安全機(jī)制,應(yīng)包括網(wǎng)絡(luò)安全服務(wù)、網(wǎng)絡(luò)安全管理和用戶安全意識三方面。因此,校園網(wǎng)應(yīng)急響應(yīng)組依據(jù)其職責(zé)不同分為以下三個(gè)安全工作小組。
(1)事件處理工作小組及職能:主要負(fù)責(zé)安全事件的應(yīng)急與救援、事件的分析、安全警報(bào)的等。主要職能是服務(wù),制定和實(shí)施校園網(wǎng)安全策略及網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急響應(yīng)預(yù)案;監(jiān)測網(wǎng)絡(luò)運(yùn)行日常狀態(tài),及時(shí)安全公告、安全建議和安全警報(bào),當(dāng)發(fā)生了安全事件時(shí)及時(shí)向CERT熱線響應(yīng);解答用戶的安全方面的咨詢;定期對網(wǎng)內(nèi)用戶進(jìn)行風(fēng)險(xiǎn)評估等。
(2)技術(shù)研發(fā)工作小組及職能:主要通過研發(fā),尋求安全漏洞的解決方案,應(yīng)急處理的信息與技術(shù)支持平臺。主要職能是安全研究,研究內(nèi)容是校園網(wǎng)常用網(wǎng)絡(luò)攻擊技術(shù)及防范。
(3)教育培訓(xùn)工作小組及職能:建立應(yīng)急處理服務(wù)隊(duì)伍,通過各種形式的培訓(xùn)提高全校師生的網(wǎng)絡(luò)安全意識,加強(qiáng)師生行為安全。主要職能是宣傳教育,對校園網(wǎng)用戶進(jìn)行安全知識的教育與網(wǎng)絡(luò)安全技術(shù)培訓(xùn),使其提高自我保護(hù)意識,自覺關(guān)注網(wǎng)絡(luò)上最新的病毒和黑客攻擊,自主解決網(wǎng)絡(luò)安全問題。
應(yīng)急響應(yīng)是全方位的工作,再好的經(jīng)驗(yàn)也是具有不可復(fù)制性,無論建立何種模式的機(jī)制,最重要的是要與高校網(wǎng)絡(luò)自身特點(diǎn)相結(jié)合,建立有自身特色的應(yīng)急響應(yīng)機(jī)制并在實(shí)踐過程中不斷改進(jìn)和完善。一個(gè)良好的響應(yīng)機(jī)制要技術(shù)力量到位、部門責(zé)任明確、合作流程清晰,并遵循可行性、高效率、高效益和低風(fēng)險(xiǎn)的原則。因此我們應(yīng)通過加強(qiáng)主動性,使安全故障的應(yīng)急響應(yīng)能力從報(bào)警向預(yù)警的道路上邁出堅(jiān)實(shí)的步伐,為從容不迫應(yīng)對網(wǎng)絡(luò)突發(fā)安全事件打下基礎(chǔ)。