前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全建設(shè)計(jì)劃主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:醫(yī)院;信息化;計(jì)算機(jī)網(wǎng)絡(luò);管理;維護(hù)
在網(wǎng)絡(luò)技術(shù)快速發(fā)展的背景下,醫(yī)療行業(yè)信息化建設(shè)發(fā)展得到推動(dòng),醫(yī)院內(nèi)的財(cái)務(wù)管理系統(tǒng)以及行政管理系統(tǒng)已經(jīng)形成了較為明顯的信息化發(fā)展趨勢(shì)。現(xiàn)如今計(jì)算機(jī)網(wǎng)絡(luò)以在醫(yī)院各個(gè)部門全面應(yīng)用,為醫(yī)院醫(yī)療工作的高效率開展提供技術(shù)支持。由于醫(yī)院業(yè)務(wù)工作的特殊性,因此對(duì)醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)安全要求極高,為了確保醫(yī)院信息系統(tǒng)的正常運(yùn)轉(zhuǎn),需要探索計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作,加強(qiáng)對(duì)醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理的重視程度,為醫(yī)院的信息化建設(shè)發(fā)展提供技術(shù)支持。
一、醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理及維護(hù)的重要性
在醫(yī)院信息化建設(shè)過程中,計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的應(yīng)用對(duì)于醫(yī)院綜合管理水平的提升有著促進(jìn)作用,因此需要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)制定網(wǎng)絡(luò)安全管理模式工作,繼而實(shí)現(xiàn)醫(yī)院的可持續(xù)發(fā)展目標(biāo)。
(一)為醫(yī)院信息化建設(shè)提供技術(shù)支撐現(xiàn)如今信息化系統(tǒng)以廣泛應(yīng)用于醫(yī)院管理系統(tǒng)之中,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用能夠?yàn)獒t(yī)護(hù)人員診療患者提供診療信息,同時(shí)也能為醫(yī)院行政管理工作的開展提供信息支持。若沒有計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的支持,醫(yī)院信息化系統(tǒng)內(nèi)部各個(gè)模塊則無法實(shí)現(xiàn)互通,醫(yī)院業(yè)務(wù)功能無法有效開展。為此基于計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)開展的信息化建設(shè),能夠?yàn)橹腔坩t(yī)院的建設(shè)提供技術(shù)支持。
(二)可提供高質(zhì)量的醫(yī)療服務(wù)所有患者都希望能夠在醫(yī)院內(nèi)獲得高質(zhì)量的醫(yī)療服務(wù),為此醫(yī)院需要對(duì)各項(xiàng)業(yè)務(wù)工作進(jìn)行有效處理。計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的開展能夠保證醫(yī)院信息安全,為醫(yī)院現(xiàn)代化建設(shè)創(chuàng)造條件。為此醫(yī)院需要加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理維護(hù)的重視程度,有效提升醫(yī)院的信息技術(shù)應(yīng)用成效。
(三)可提升醫(yī)院的業(yè)務(wù)工作效率在醫(yī)院信息化建設(shè)過程中,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用較為廣泛,計(jì)算機(jī)網(wǎng)絡(luò)信息管理主要分為信息傳遞以及信息處理。計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理維護(hù)工作的開展,能夠幫助醫(yī)院構(gòu)成高效、智能的信息系統(tǒng),可對(duì)信息系統(tǒng)上的醫(yī)療業(yè)務(wù)數(shù)據(jù)隨時(shí)進(jìn)行查閱應(yīng)用,全面提升醫(yī)院的診療效率。
(四)可確保醫(yī)院數(shù)據(jù)信息安全現(xiàn)階段醫(yī)院信息化系統(tǒng)的管理應(yīng)用是依賴于計(jì)算機(jī)網(wǎng)絡(luò),一旦醫(yī)院發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)安全事故,將會(huì)導(dǎo)致醫(yī)院出現(xiàn)業(yè)務(wù)工作癱瘓問題,導(dǎo)致醫(yī)院診療患者的個(gè)人醫(yī)療信息被泄露。為此計(jì)算機(jī)網(wǎng)絡(luò)安全管理維護(hù)工作的有效開展,能夠推動(dòng)醫(yī)院信息化建設(shè)工作,避免醫(yī)院診療患者個(gè)人隱私被侵犯。
二、信息化建設(shè)中醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理及維護(hù)的現(xiàn)狀
(一)醫(yī)院網(wǎng)絡(luò)系統(tǒng)外部環(huán)境有待優(yōu)化對(duì)于醫(yī)院管理者而言,信息化系統(tǒng)網(wǎng)絡(luò)安全建設(shè)離不開安全的外部工作環(huán)境。部分醫(yī)院管理者并不重視網(wǎng)絡(luò)安全信息化建設(shè)工作,因此對(duì)于網(wǎng)絡(luò)信息安全保護(hù)以及維護(hù)的關(guān)注程度不高。此外,醫(yī)院投放在網(wǎng)絡(luò)保護(hù)上的人力、物力相對(duì)較少,僅采用簡(jiǎn)單的存儲(chǔ)設(shè)備開展數(shù)據(jù)存儲(chǔ)工作,也并不會(huì)聘請(qǐng)專業(yè)技術(shù)水平高的團(tuán)隊(duì)進(jìn)行網(wǎng)絡(luò)系統(tǒng)維護(hù),不僅會(huì)影響醫(yī)院信息化建設(shè)集成,同時(shí)也會(huì)造成醫(yī)院關(guān)鍵數(shù)據(jù)信息的丟失。
(二)醫(yī)院信息系統(tǒng)存在系統(tǒng)安全問題醫(yī)院信息系統(tǒng)安全問題主要是指系統(tǒng)內(nèi)部的應(yīng)用程序安全問題,通過保證醫(yī)院操作系統(tǒng)應(yīng)用的穩(wěn)定性,繼而保證醫(yī)院信息系統(tǒng)的應(yīng)用安全。數(shù)據(jù)安全主要是指醫(yī)院各個(gè)科室的工作數(shù)據(jù)以及患者數(shù)據(jù)信息的安全。在網(wǎng)絡(luò)信息技術(shù)不斷更完善更新的背景下,醫(yī)院所應(yīng)用的信息系統(tǒng)需要進(jìn)行更新升級(jí),但信息系統(tǒng)存在的網(wǎng)絡(luò)安全威脅問題未能得到妥善解決。此外雖然計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在醫(yī)院信息系統(tǒng)中廣泛應(yīng)用,但由于網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)極為復(fù)雜,讓網(wǎng)絡(luò)結(jié)構(gòu)極易成為病毒木馬攻擊的首選目標(biāo)。不同設(shè)備開發(fā)應(yīng)用的技術(shù)存在一定的差異性,也因此增加了信息系統(tǒng)出現(xiàn)系統(tǒng)漏洞的機(jī)率,導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行不穩(wěn)定。
(三)醫(yī)院系統(tǒng)硬件問題計(jì)算機(jī)網(wǎng)絡(luò)作為連接醫(yī)院與客戶端的重要技術(shù),計(jì)算機(jī)是推動(dòng)醫(yī)院醫(yī)患信息共享系統(tǒng)建設(shè)的重要設(shè)備。部分醫(yī)院為了節(jié)約硬件資金投入問題,忽略計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)備更新?lián)Q代的必要性,繼而導(dǎo)致醫(yī)院的信息化建設(shè)發(fā)生建設(shè)滯后的問題。長(zhǎng)此以往,計(jì)算機(jī)在應(yīng)用過程中極易出現(xiàn)死機(jī)、卡頓等情況,不僅會(huì)影響醫(yī)院信息系統(tǒng)的工作效率,同時(shí)也會(huì)影響共享系統(tǒng)終端用戶的應(yīng)用體驗(yàn)?,F(xiàn)階段醫(yī)院應(yīng)用的操作系統(tǒng)為微軟Windows10,但是仍有部分醫(yī)院應(yīng)用的操作系統(tǒng)為XP系統(tǒng)或是低版本操作系統(tǒng),繼而導(dǎo)致系統(tǒng)硬件漏洞相對(duì)較多。醫(yī)院業(yè)務(wù)工作的特殊性,要求信息系統(tǒng)需要二十四小時(shí)不間斷的運(yùn)行,一旦發(fā)生電擊、高溫等問題時(shí),極易導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備發(fā)生運(yùn)行故障,影響醫(yī)院診療業(yè)務(wù)的開展。
(四)人員個(gè)人問題醫(yī)院的信息化建設(shè)能夠提升工作人員的工作效率,實(shí)現(xiàn)醫(yī)院整體經(jīng)濟(jì)效益的全方面優(yōu)化,是醫(yī)院可持續(xù)發(fā)展的重要支撐。雖然大多數(shù)醫(yī)院管理者能夠認(rèn)可計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用優(yōu)勢(shì),但仍舊存在醫(yī)護(hù)人員并不重視計(jì)算機(jī)網(wǎng)絡(luò)安全管理維護(hù)工作的問題。如用戶主體不能遵守電子信息系統(tǒng)的應(yīng)用流程,對(duì)于涵蓋病毒的U盤任意拔取,將會(huì)導(dǎo)致整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)生癱瘓。此外醫(yī)院內(nèi)部缺乏專業(yè)的網(wǎng)絡(luò)技術(shù)人員,其計(jì)算機(jī)網(wǎng)絡(luò)管理維護(hù)能力無法達(dá)到系統(tǒng)安全防御需求,進(jìn)而導(dǎo)致醫(yī)院信息化建設(shè)無法進(jìn)一步開展。
三、信息化建設(shè)中醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理及維護(hù)優(yōu)化的策略
(一)優(yōu)化醫(yī)院網(wǎng)絡(luò)系統(tǒng)的外部環(huán)境第一,為了優(yōu)化醫(yī)院信息機(jī)房的外部環(huán)境,醫(yī)院管理層需要配備基礎(chǔ)設(shè)施,合理安排信息機(jī)房在醫(yī)院的具置。第二,在信息機(jī)房?jī)?nèi)部以及室外配設(shè)無死角的監(jiān)控設(shè)備,同時(shí)為了確保信息機(jī)房的安全性需要設(shè)置完善的門禁系統(tǒng),避免外來無關(guān)人員進(jìn)入信息機(jī)房。第三,為了確保網(wǎng)絡(luò)外部環(huán)境安全,管理人員需要對(duì)機(jī)房?jī)?nèi)部系統(tǒng)上的硬件設(shè)備進(jìn)行全方面管理,避免機(jī)房受到靜電以及電磁的干擾,嚴(yán)格按照機(jī)房安全指南對(duì)信息機(jī)房進(jìn)行有效管理。
(二)強(qiáng)化醫(yī)院網(wǎng)絡(luò)安全管理信息系統(tǒng)第一,醫(yī)院信息化系統(tǒng)所應(yīng)用的系統(tǒng)軟件較為繁瑣,因此在開展信息系統(tǒng)殺毒處理過程中,需要對(duì)殺毒軟件應(yīng)用進(jìn)行規(guī)劃,避免惡意軟件對(duì)信息系統(tǒng)造成破壞。為此管理人員需要應(yīng)用與信息系統(tǒng)相匹配的殺毒軟件,借助防火墻技術(shù)避免病毒木馬入侵信息系統(tǒng)。此外需要根據(jù)網(wǎng)絡(luò)系統(tǒng)軟件的更新升級(jí)情況升級(jí)系統(tǒng)殺毒軟件,確保網(wǎng)絡(luò)系統(tǒng)應(yīng)用的安全性。第二,在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中,需要對(duì)網(wǎng)絡(luò)信息進(jìn)行管理和維護(hù),對(duì)沒有應(yīng)用價(jià)值的數(shù)據(jù)信息進(jìn)行銷毀處理,確保計(jì)算機(jī)網(wǎng)絡(luò)信息數(shù)據(jù)的安全性。管理者需要對(duì)訪問計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶身份信息進(jìn)行保密,確保來訪用戶的個(gè)人信息不會(huì)被泄露,有效保護(hù)用戶個(gè)人隱私安全。此外需要定期開展系統(tǒng)安全監(jiān)測(cè)工作,對(duì)于常規(guī)程序進(jìn)行系統(tǒng)掃描工作。如計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可利用PKI技術(shù)開展系統(tǒng)密碼設(shè)置工作,對(duì)用戶的私密數(shù)據(jù)進(jìn)行隔離。第三,服務(wù)器作為計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)的重要部件,服務(wù)器的高效運(yùn)作能夠讓數(shù)據(jù)在不同主機(jī)之間快速傳輸。為此計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)人員需要正確認(rèn)識(shí)服務(wù)器應(yīng)用的價(jià)值作用,對(duì)服務(wù)器進(jìn)行優(yōu)化維護(hù),避免外來入侵者對(duì)醫(yī)院內(nèi)重要數(shù)據(jù)信息進(jìn)行盜取應(yīng)用。
(三)加強(qiáng)對(duì)計(jì)算機(jī)硬件設(shè)備的安全管理第一,為了推動(dòng)醫(yī)院信息化建設(shè),需要確保計(jì)算機(jī)硬件應(yīng)用的安全性,避免由于硬件問題導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)生故障,確保醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)能夠正常運(yùn)行。為此醫(yī)院管理人員需要對(duì)計(jì)算機(jī)主板進(jìn)行定期檢查,對(duì)計(jì)算機(jī)內(nèi)部的灰塵雜物進(jìn)行定期清理,同時(shí)還要做好計(jì)算機(jī)接口的防氧化問題。第二,管理人員需要做好硬件設(shè)備的CPU散熱工作,及時(shí)更換硬件設(shè)備的散熱器,同時(shí)還要定期維護(hù)管理應(yīng)用的計(jì)算機(jī)硬盤,對(duì)于已經(jīng)發(fā)生故障的計(jì)算機(jī)硬盤進(jìn)行處理換新,對(duì)計(jì)算機(jī)硬盤的醫(yī)務(wù)信息定期進(jìn)行備份。此外需要對(duì)顯示器、信號(hào)源以及顯卡等硬件進(jìn)行有效維護(hù),確保計(jì)算機(jī)安全系統(tǒng)能夠正常運(yùn)行,避免醫(yī)院內(nèi)重要的信息文件丟失。第三,需要保證應(yīng)用網(wǎng)絡(luò)布線的安全性,通過應(yīng)用優(yōu)質(zhì)的網(wǎng)絡(luò)布線材料,提升信息系統(tǒng)的應(yīng)用安全性,避免線路在安置過程中出現(xiàn)纏繞問題。通過將強(qiáng)電流線路距離保持在30cm以上,繼而解決線路之間的電流干擾問題。
(四)做好相關(guān)人員的培訓(xùn)工作第一,為了確保計(jì)算機(jī)網(wǎng)絡(luò)安全管理維護(hù)工作能夠高效開展,需要對(duì)相關(guān)醫(yī)護(hù)人員進(jìn)行定期培訓(xùn),夯實(shí)相關(guān)醫(yī)護(hù)人員的計(jì)算機(jī)基礎(chǔ)知識(shí),降低計(jì)算機(jī)安全網(wǎng)絡(luò)隱患。第二,對(duì)相關(guān)醫(yī)護(hù)人員的知識(shí)技能操作進(jìn)行考核,有效提升計(jì)算機(jī)應(yīng)用人員的個(gè)人操作水平,避免個(gè)人因素導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全事故的發(fā)生,繼而提升醫(yī)護(hù)人員的工作效率。第三,加強(qiáng)醫(yī)院工作人員的計(jì)算機(jī)網(wǎng)絡(luò)安全管理維護(hù)意識(shí),讓其正確看待計(jì)算機(jī)網(wǎng)絡(luò)安全問題,采取必要手段預(yù)防并解決計(jì)算機(jī)網(wǎng)絡(luò)安全問題。
關(guān)鍵詞:民航 信息網(wǎng)絡(luò) 系統(tǒng)安
一、民航信息網(wǎng)絡(luò)系統(tǒng)安全問題分析
近年來,隨著我國(guó)經(jīng)濟(jì)水平的不斷提升,大幅度推動(dòng)民航領(lǐng)域的發(fā)展,在這一背景下,民航的信息網(wǎng)絡(luò)系統(tǒng)隨之進(jìn)入建設(shè)高峰期,該系統(tǒng)除與飛機(jī)的飛行安全有關(guān)之外,還與空防和運(yùn)行安全有著極為密切的關(guān)聯(lián),一旦系統(tǒng)出現(xiàn)問題,輕則會(huì)影響民航的正常運(yùn)營(yíng),嚴(yán)重時(shí)將會(huì)危及到飛機(jī)的飛行安全,極有可能造成巨大的經(jīng)濟(jì)損失。如某機(jī)場(chǎng)的空管飛行數(shù)據(jù)處理系統(tǒng)發(fā)生故障,致使機(jī)場(chǎng)的空管雷達(dá)無法提供正常的數(shù)據(jù),直接導(dǎo)致70余架航班不能按時(shí)起落降,數(shù)千名乘客的出行受到影響;又如,某航空公司的電子客票系統(tǒng)被黑客入侵,導(dǎo)致多名乘客的機(jī)票信息泄露,媒體報(bào)道后,造成嚴(yán)重的社會(huì)影響,諸如此類事件不勝枚舉。
通過對(duì)國(guó)內(nèi)一些航空公司進(jìn)行調(diào)查后發(fā)現(xiàn),絕大部分都曾經(jīng)發(fā)生過信息網(wǎng)絡(luò)安全事件,在誘發(fā)安全事件的原因中,計(jì)算機(jī)病毒、木馬、電腦蠕蟲等所占的比例較大,約為70-80%左右,網(wǎng)頁被惡意篡改、端口掃描等網(wǎng)絡(luò)攻擊約為20-30%左右。上述安全事件之所以會(huì)頻繁發(fā)生,主要是因?yàn)槊窈叫畔⒕W(wǎng)絡(luò)系統(tǒng)的安全防護(hù)水平不高,給惡意入侵、黑客攻擊提供了可能。鑒于此,必須從管理和技術(shù)兩個(gè)方面著手,加強(qiáng)民航信息網(wǎng)絡(luò)安全建設(shè)。
二、民航信息網(wǎng)絡(luò)安全建設(shè)策略
為確保民航信息網(wǎng)絡(luò)系統(tǒng)安全,必須建立起一套科學(xué)合理、切實(shí)可行的安全管理制度,并采取先進(jìn)的技術(shù)措施,提高系統(tǒng)的安全等級(jí)。
(一)加強(qiáng)安全管理
1.構(gòu)建完善的制度體系。民航信息網(wǎng)絡(luò)系統(tǒng)的安全離不開管理,而想要使管理發(fā)揮出應(yīng)有的成效,就必須構(gòu)建起一套較為完整的制度體系。各大航空公司應(yīng)當(dāng)結(jié)合自身的實(shí)際情況,并總結(jié)以往的經(jīng)驗(yàn)教訓(xùn),量身定制安全計(jì)劃和方案,如網(wǎng)絡(luò)信息安全等級(jí)保護(hù)與分級(jí)保護(hù)、安全通報(bào)制度等等,確保所有的安全管理工作都能有制度可依。與此同時(shí),還應(yīng)不斷加強(qiáng)對(duì)相關(guān)人員的管理,提高他們的安全意識(shí),從根本上保證信息網(wǎng)絡(luò)系統(tǒng)的安全性。
2.做好管理維護(hù)工作。民航信息網(wǎng)絡(luò)系統(tǒng)是由諸多設(shè)備組成,想要保證系統(tǒng)的安全,就必須做好運(yùn)行設(shè)備的維護(hù)管理。鑒于民航信息網(wǎng)絡(luò)系統(tǒng)的特點(diǎn),即啟動(dòng)后不能隨意關(guān)閉,因此,可從如下幾個(gè)方面保證系統(tǒng)安全、穩(wěn)定運(yùn)行:①控制主機(jī)溫度??稍谛畔⒕W(wǎng)絡(luò)系統(tǒng)建設(shè)時(shí),為相關(guān)的硬件設(shè)施配備一套雙機(jī)熱備加磁盤陣列,這樣能夠確保網(wǎng)絡(luò)信息系統(tǒng)的安全性,同時(shí)可以選用小型機(jī)作為民航運(yùn)營(yíng)數(shù)據(jù)庫(kù)或是離港系統(tǒng)的服務(wù)器,該服務(wù)器采用的是分布式架構(gòu),其能夠在確保安全的基礎(chǔ)上,提高系統(tǒng)的可用性。②定期檢查。民航信息網(wǎng)絡(luò)系統(tǒng)中,有一些軟件的可靠性相對(duì)較低,若是大量用戶同時(shí)上線可能會(huì)導(dǎo)致系統(tǒng)死機(jī)的問題發(fā)生,通過定期的檢查,能及時(shí)發(fā)現(xiàn)問題,并進(jìn)行升級(jí)維護(hù),由此不但能夠提高系統(tǒng)運(yùn)行效率,而且還能確保\行安全。
(二)安全技術(shù)措施
民航在進(jìn)行信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的過程中,要采取合理可行的技術(shù)措施,為信息網(wǎng)絡(luò)系統(tǒng)的安全保駕護(hù)航。
1.入侵檢測(cè)技術(shù)。該技術(shù)是近年來興起的一種網(wǎng)絡(luò)信息安全防范技術(shù),其能夠通過對(duì)網(wǎng)絡(luò)信息系統(tǒng)的審計(jì)數(shù)據(jù)、安全日志等進(jìn)行檢測(cè),找出入侵以及入侵企圖,這種技術(shù)最為主要的作用是對(duì)網(wǎng)絡(luò)信息系統(tǒng)的入侵和攻擊進(jìn)行監(jiān)控,進(jìn)而采取相應(yīng)的措施加以應(yīng)對(duì),從而確保系統(tǒng)的安全。民航可基于該技術(shù)構(gòu)建一套相對(duì)完善的IDS系統(tǒng),運(yùn)用該系統(tǒng)對(duì)外部的非法入侵以及內(nèi)部用戶的非授權(quán)行為進(jìn)行檢測(cè),發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)信息系統(tǒng)中的異?,F(xiàn)象,對(duì)針對(duì)信息網(wǎng)絡(luò)系統(tǒng)安全的行為做出及時(shí)有效地應(yīng)對(duì)。
2.身份認(rèn)證技術(shù)。該技術(shù)具體是對(duì)系統(tǒng)操作者身份的確認(rèn),其能夠借助網(wǎng)絡(luò)防火墻、安全網(wǎng)關(guān)等,對(duì)信息網(wǎng)絡(luò)系統(tǒng)的用戶身份權(quán)限進(jìn)行管理,民航的信息網(wǎng)絡(luò)系統(tǒng)一般只能對(duì)操作者的數(shù)字身份信息進(jìn)行識(shí)別,而通過身份認(rèn)證技術(shù)的應(yīng)用,則可有效解決系統(tǒng)操作者物理與數(shù)字身份的對(duì)應(yīng)問題,由此為系統(tǒng)的權(quán)限管理提供了可靠依據(jù)。民航在進(jìn)行信息網(wǎng)絡(luò)系統(tǒng)建設(shè)時(shí),可以采用以下幾種方式對(duì)系統(tǒng)操作者的身份進(jìn)行認(rèn)證:用戶名+密碼;用戶基本信息驗(yàn)證,如證件號(hào)碼、信用卡號(hào)等;特征識(shí)別,如視網(wǎng)膜、指紋、聲音等。此外,還可以采用USB key,這樣可以進(jìn)一步提升系統(tǒng)的安全性能。
3.加密與數(shù)字簽名。這是目前保障網(wǎng)絡(luò)信息系統(tǒng)及數(shù)據(jù)安全最為常用的一種技術(shù),它能夠有效防止各種機(jī)密數(shù)據(jù)被外部竊取、更改,對(duì)于信息安全具有極強(qiáng)的保證。具體應(yīng)用時(shí),可對(duì)一些重要的文件進(jìn)行加密,這樣即便有非法用戶入侵到系統(tǒng)當(dāng)中也無法查看加密文件的內(nèi)容,加密后等于給文件上鎖,其安全性自然會(huì)獲得保證。而數(shù)字簽名則可確保用戶收到的郵件均為所需用戶發(fā)送而來,可有效防止垃圾郵件。民航在信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)時(shí),可合理運(yùn)用加密和數(shù)字簽名技術(shù),為各類重要信息提供安全保障。
4.網(wǎng)路防火墻。民航在進(jìn)行信息網(wǎng)絡(luò)安全建設(shè)時(shí),應(yīng)當(dāng)選用高端的防火墻產(chǎn)品,除要具備防火墻的基本功能之外,還應(yīng)兼具VPN網(wǎng)關(guān)功能,建議采用分組過濾式防火墻或是雙穴網(wǎng)關(guān)防火墻,同時(shí)要考慮不同接入方式的適應(yīng)性。需要注意的是,防火墻要選用正版的,并定期進(jìn)行升級(jí),這樣才能使其作用得以最大限度地發(fā)揮。
三、結(jié)語
綜上所述,民航信息網(wǎng)絡(luò)安全的重要性不言而喻,因此,必須做好信息網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)工作,民航企業(yè)可以結(jié)合自身的實(shí)際情況,制定科學(xué)的管理制度,并采取先進(jìn)的技術(shù)措施,提高系統(tǒng)的安全性,這樣不但能減少或是杜絕各類安全事件的發(fā)生,而且還有利于促進(jìn)我國(guó)民航事業(yè)的持續(xù)發(fā)展。
參考文獻(xiàn):
[1]余焰,余凱.以空管信息為核心,建立民航信息集成共享系統(tǒng)空管系統(tǒng)信息網(wǎng)絡(luò)建設(shè)需求分析[J].黑龍江科技信息,2015,(04).
[2]梁有程.分組交換技術(shù)在民航數(shù)據(jù)通信網(wǎng)絡(luò)中的應(yīng)用探析[J].電信網(wǎng)技術(shù),2015,(07).
[3]趙航.以安全保障為前提的民航空管信息系統(tǒng)安全體系的研究[J].科技經(jīng)濟(jì)市場(chǎng),2014,(07).
關(guān)鍵詞 邊防部隊(duì) 網(wǎng)絡(luò)安全 信息技術(shù)
中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2012)71-0166-02
當(dāng)今社會(huì)是一個(gè)信息技術(shù)高度發(fā)達(dá)的社會(huì),其各種信息技術(shù)已經(jīng)不斷的應(yīng)用在各個(gè)發(fā)展領(lǐng)域之中。網(wǎng)絡(luò)信息技術(shù)在部隊(duì)之中,已成為其各個(gè)管理和控制的重點(diǎn)。極大地提高了作戰(zhàn)指揮、教育訓(xùn)練、管理工作和在工作中科學(xué)研究水平和效益的有效提高。但是隨著社會(huì)發(fā)展中,由于各種核心器件的依賴心不斷增加,對(duì)各種國(guó)外技術(shù)的需求日益提高,使得其各種安全性能和管理措施逐步與各個(gè)發(fā)達(dá)國(guó)家脫節(jié),信息安全保密問題確實(shí)令人擔(dān)憂, 各種病毒、黑客攻擊已成為當(dāng)前信息安全的主要隱患和面臨的主要形式。面對(duì)這種嚴(yán)峻形勢(shì),如何做好信息安全與信息保密技術(shù)已成為當(dāng)前各個(gè)科研機(jī)構(gòu)和邊防部隊(duì)探討的重點(diǎn)。著力解決信息安全保密之策,積極的鑄造出各種信息安全的保護(hù)措施和保護(hù)構(gòu)建是當(dāng)前現(xiàn)代化軍隊(duì)組建和發(fā)展的主要措施和前提基礎(chǔ)。
1?在信息爭(zhēng)奪日趨激烈條件下,強(qiáng)化維護(hù)網(wǎng)絡(luò)信息安全的緊迫意識(shí)
在當(dāng)前社會(huì)不斷發(fā)展過程中,各種信息技術(shù)要求不斷提高,信息技術(shù)已成為當(dāng)前各個(gè)行業(yè)發(fā)展所不可缺少的一部分。所謂信息安全,是指信息本身的安全、信息處理系統(tǒng)的安全和信息在傳輸過程中傳輸?shù)目旖莺蜏?zhǔn)確以及其保密系能。在當(dāng)前網(wǎng)絡(luò)信息的安全性主要是體現(xiàn)在信息的機(jī)密、安全、可用和可靠性能。
網(wǎng)絡(luò)信息安全隨著社會(huì)發(fā)展已成為一個(gè)關(guān)系國(guó)家命運(yùn)和安全的重大問題,更是當(dāng)前各個(gè)國(guó)家所追求和探索的重點(diǎn),在當(dāng)前各個(gè)國(guó)家的競(jìng)爭(zhēng)中,網(wǎng)絡(luò)信息技術(shù)的競(jìng)爭(zhēng)已成為各個(gè)國(guó)家追求和探索的重點(diǎn),更是其在發(fā)展中追求的主要問題所在。針對(duì)網(wǎng)絡(luò)的突然襲擊將成為國(guó)家安全的最嚴(yán)重威脅之一。在當(dāng)前信息資源開發(fā)和利用日益擴(kuò)大,各個(gè)行業(yè)之間都不可缺少的對(duì)信息資源進(jìn)行充分的利用和探討,它在加速推進(jìn)人類社會(huì)整體進(jìn)步的同時(shí),更是為當(dāng)前各個(gè)國(guó)家之間的信息交流帶來便捷,同歲也為國(guó)家的敵人提供了便利的信息索取平臺(tái)。因此在當(dāng)前提高網(wǎng)絡(luò)信息安全已成為國(guó)家發(fā)展的當(dāng)務(wù)之急,更是邊防部隊(duì)建設(shè)中的重中之重。
2?在信息破壞逐漸增多的條件下,強(qiáng)化網(wǎng)絡(luò)信息安全面臨的挑戰(zhàn)意識(shí)
隨著近年來社會(huì)不斷發(fā)展中,人為的網(wǎng)上惡意攻擊已成為當(dāng)前網(wǎng)絡(luò)信息安全面臨的最大威脅。在信息化條件下,網(wǎng)絡(luò)的快速普及給世界各國(guó)的網(wǎng)絡(luò)信息帶來了前所未有的挑戰(zhàn),其網(wǎng)絡(luò)信息安全已成為世界性的話題,更是世界探討的關(guān)鍵。
目前,邊防軍網(wǎng)絡(luò)化建設(shè)尚處于起步階段,在其對(duì)網(wǎng)絡(luò)技術(shù)應(yīng)用的過程中還存在著諸多的缺陷和問題,各個(gè)問題都需要當(dāng)前的良好建設(shè)。在我國(guó)邊防軍網(wǎng)絡(luò)信息安全主要存在的缺陷和因素主要有以下幾點(diǎn):
一是安全網(wǎng)絡(luò)意識(shí)淡薄,缺乏網(wǎng)絡(luò)安全保密知識(shí)。隨著互聯(lián)網(wǎng)技術(shù)在當(dāng)前社會(huì)中的不斷應(yīng)用,全球性互聯(lián)網(wǎng)技術(shù)的廣泛連接,使得信息通用化的到了良好的發(fā)展,但是其安全防范意識(shí)卻是一直不夠,造成在網(wǎng)絡(luò)信息安全技術(shù)中的不足和不夠。
二是信息網(wǎng)絡(luò)安全技術(shù)落后,由于我國(guó)過去國(guó)情的影響,使得我國(guó)截止現(xiàn)在對(duì)國(guó)外的各種硬件和軟件設(shè)備依賴性較高,造成在使用的過程中存在著嚴(yán)重的不足和缺陷,以至于造成各種網(wǎng)絡(luò)信息技術(shù)的丟失。
三是我軍網(wǎng)絡(luò)系統(tǒng)重使用、輕防護(hù)的現(xiàn)象比較突出,安全防范能力較低,在邊防軍信息網(wǎng)絡(luò)建設(shè)中只顧著重視各種網(wǎng)絡(luò)信息的傳遞效率和準(zhǔn)確性,而忽視對(duì)其機(jī)密和保密性的保管和探討。網(wǎng)絡(luò)信息安全的法規(guī)標(biāo)準(zhǔn)不完善,組織管理未跟上,缺乏宏觀規(guī)劃,各種規(guī)章制度不夠完善和健全。
四是維護(hù)網(wǎng)絡(luò)信息安全工作缺乏系統(tǒng)性,整體功效發(fā)揮不夠。
3?邊防軍信息安全意識(shí)建設(shè)
在當(dāng)前社會(huì)發(fā)展過程中最為注重的還是對(duì)其意識(shí)的培養(yǎng)和建設(shè)。新軍革方興未艾,信息技術(shù)日新月異,由于我國(guó)邊防軍網(wǎng)絡(luò)安全信息系統(tǒng)剛剛起步,其在發(fā)展中要培養(yǎng)良好的安全防范意識(shí),樹立全面的安全防范措施是當(dāng)前的當(dāng)務(wù)之急,更是保證網(wǎng)絡(luò)建設(shè)中做到其安全防范保護(hù)的關(guān)鍵。
3.1技術(shù)領(lǐng)域
為了避免其他國(guó)家在電腦硬件和軟件制造中留下個(gè)中隱藏后手,應(yīng)當(dāng)采用先進(jìn)的技術(shù)對(duì)各種硬件和軟件進(jìn)行分析,大力的投入去鉆研自主開發(fā)的硬件和軟件設(shè)備,是保證日后網(wǎng)絡(luò)信息戰(zhàn)爭(zhēng)過程中不受制于人的關(guān)鍵。開發(fā)自己的安全產(chǎn)品,研制自己的信息作戰(zhàn)武器在當(dāng)前信息技術(shù)應(yīng)用和發(fā)展中是其主要的關(guān)鍵。
3.2素質(zhì)培養(yǎng)領(lǐng)域
未來信息條件下的網(wǎng)絡(luò)戰(zhàn)將不僅是技術(shù)的較量,更是各個(gè)國(guó)家之間人才交流和較量的前提和關(guān)鍵。必須把網(wǎng)絡(luò)人才的培訓(xùn)納入全軍人才發(fā)展戰(zhàn)略規(guī)劃,制定出合理、科學(xué)的培養(yǎng)計(jì)劃,保證邊防建設(shè)中各個(gè)工作人員素質(zhì)的要求。確保對(duì)人才培養(yǎng)中各種管理制度的完善是保證信息網(wǎng)絡(luò)安全的前提關(guān)鍵。
4 防火墻的構(gòu)建
隨著當(dāng)前社會(huì)和科學(xué)技術(shù)的不斷發(fā)展和應(yīng)用,網(wǎng)絡(luò)信息技術(shù)在當(dāng)前邊防部隊(duì)建設(shè)中有著不可替代的作用,防火墻作為當(dāng)前現(xiàn)代化建設(shè)中不可缺少的一部分,是保證網(wǎng)絡(luò)信息安全的主要基礎(chǔ)關(guān)鍵。在當(dāng)前科學(xué)技術(shù)飛速發(fā)展中,網(wǎng)絡(luò)技術(shù)可以說是已成為當(dāng)前各個(gè)國(guó)家,各個(gè)部隊(duì)進(jìn)行分析和研究的重點(diǎn)。防火墻是一個(gè)保護(hù)裝置,是當(dāng)前信息網(wǎng)絡(luò)技術(shù)安全的主要保證基礎(chǔ),是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)使用過程中的主要防護(hù)措施和防御工具,更是面對(duì)各種安全隱患和惡意攻擊進(jìn)行良好的抵擋和保證的基礎(chǔ)關(guān)鍵。通常是指運(yùn)行特別編寫或更改過操作系統(tǒng)的計(jì)算機(jī),是以保護(hù)計(jì)算機(jī)使用中內(nèi)部網(wǎng)絡(luò)安全和各種網(wǎng)絡(luò)訪問暢通的主要措施和方法。
為了確定防火墻設(shè)計(jì)策略,在邊防部隊(duì)網(wǎng)絡(luò)信息安全建設(shè)過程中,防火墻是不可缺少的一部分,應(yīng)從最安全的防火墻設(shè)計(jì)策略開始,即除非明確允許,否則禁止某種服務(wù)。其在設(shè)計(jì)的過程中要以各種先進(jìn)的技術(shù)措施為基礎(chǔ),在必要的時(shí)候?qū)幙刹捎弥袛喾?wù)器的方式也要保證信息的安全性與保密性。因此在防火墻的設(shè)計(jì)中是一項(xiàng)不可忽視的過程。
為了保障企業(yè)的信息安全,必須建立一個(gè)企業(yè)信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術(shù)和信息安全建設(shè)與運(yùn)行四部分內(nèi)容(如圖1所示),四者既有機(jī)結(jié)合、又相互支撐。企業(yè)的信息安全體系運(yùn)作就是企業(yè)根據(jù)安全策略,由安全組織(或人員)以安全技術(shù)作為工具和手段進(jìn)行操作,來維持企業(yè)網(wǎng)絡(luò)的安全運(yùn)行,從而使網(wǎng)絡(luò)安全可靠。
安全體系的普遍問題
當(dāng)前大多數(shù)企業(yè)的信息安全體系普遍存在以下四方面的問題:
信息安全策略方面:許多企業(yè)沒有統(tǒng)一的安全運(yùn)行體系;公司的安全策略沒有正式的審批和過程,沒有公司的行政力度進(jìn)行保障,使得安全策略在企業(yè)內(nèi)的執(zhí)行缺乏保障;缺乏規(guī)范的機(jī)制定期對(duì)信息安全策略、標(biāo)準(zhǔn)制度進(jìn)行評(píng)審和修訂。
信息安全組織方面:缺乏完整、有效、責(zé)權(quán)統(tǒng)一的專門的信息安全組織,只是配有少量的兼職安全人員。信息安全工作沒有明確的責(zé)任歸屬,工作的開展與落實(shí)有困難;缺少信息安全專業(yè)人員,缺乏相應(yīng)的安全知識(shí)和技能,安全培訓(xùn)不足;缺乏對(duì)于全員的信息安全意識(shí)教育,桌面系統(tǒng)用戶的安全意識(shí)薄弱。
信息安全技術(shù)方面:用戶認(rèn)證強(qiáng)度不夠;應(yīng)用系統(tǒng)安全功能與強(qiáng)度不足;缺乏有效的信息系統(tǒng)安全監(jiān)控與審計(jì)手段;系統(tǒng)配置存在安全隱患;網(wǎng)絡(luò)安全域劃分不夠清晰,網(wǎng)絡(luò)安全技術(shù)的采用缺乏一致性。
信息安全建設(shè)與運(yùn)行方面:沒有建立起完善的IT項(xiàng)目建設(shè)過程的安全管理機(jī)制,應(yīng)用系統(tǒng)的開發(fā)沒有同步考慮信息安全的要求,存在信息安全方面的缺陷;日常的安全運(yùn)維工作常處于被動(dòng)防御狀態(tài);缺乏明確的檢查和處罰機(jī)制,多數(shù)企業(yè)在運(yùn)維管理方面缺乏統(tǒng)一的安全要求和檢查;缺乏應(yīng)急響應(yīng)機(jī)制;對(duì)已有安全設(shè)施的維護(hù)、升級(jí)和管理不到位。
面對(duì)以上種種問題,企業(yè)必須認(rèn)真考慮下列問題: 企業(yè)如何建立信息安全策略體系?企業(yè)信息安全組織如何建立?企業(yè)信息安全技術(shù)是否有效可靠?企業(yè)信息安全建設(shè)與運(yùn)行是否有完整的制度保障?要解決這些問題,企業(yè)應(yīng)充分利用成熟的信息安全理論成果,設(shè)計(jì)出兼顧整體性、具有可操作性,并且融策略、組織、運(yùn)行和技術(shù)為一體的信息安全保障體系,保障企業(yè)信息系統(tǒng)的安全。
信息安全策略體系
信息安全策略體系規(guī)劃為三層架構(gòu),包括信息安全策略、信息安全標(biāo)準(zhǔn)及規(guī)范、信息安全操作流程和細(xì)則(如圖2所示),涉及的要素包括信息管理和技術(shù)兩個(gè)方面,覆蓋信息系統(tǒng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層四個(gè)層面。
技術(shù)安全體系
在IAARC信息系統(tǒng)安全技術(shù)模型中,包含了身份認(rèn)證、內(nèi)容安全、訪問控制、響應(yīng)恢復(fù)和審核跟蹤五個(gè)部分,當(dāng)前主要的信息安全技術(shù)或產(chǎn)品都可以歸結(jié)到上述五類安全技術(shù)要素(如圖3所示)。
充分利用信息安全的技術(shù)手段(包括身份認(rèn)證、訪問管理、內(nèi)容安全、審核跟蹤和響應(yīng)恢復(fù)等五種保護(hù)措施),同時(shí),結(jié)合信息安全所保護(hù)的對(duì)象層次,以及目前主流的信息安全產(chǎn)品和信息安全技術(shù),完善企業(yè)信息安全技術(shù)體系框架。
整個(gè)企業(yè)信息安全技術(shù)體系的總體框架如圖4所示:
物理層安全
主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等。
網(wǎng)絡(luò)層安全
要建立注重安全域劃分和安全架構(gòu)的設(shè)計(jì)??梢愿鶕?jù)信任程度、受威脅的級(jí)別、需要保護(hù)的級(jí)別和安全需求,將網(wǎng)絡(luò)從總體上分成四個(gè)安全域,即公共區(qū)、半安全區(qū)、普通安全區(qū)和核心安全區(qū)。針對(duì)不同的安全區(qū)域采用不同的安全防范手段。
安全邊界的防護(hù)。邊界是不同網(wǎng)絡(luò)安全區(qū)域之間的分界線,是不同網(wǎng)絡(luò)安全區(qū)域間數(shù)據(jù)流動(dòng)的必經(jīng)之路。安全區(qū)域的邊界防護(hù)是根據(jù)不同安全區(qū)域的安全需要,采取相應(yīng)的安全技術(shù)防護(hù)手段,制定合理的安全訪問控制策略,控制低安全區(qū)域的數(shù)據(jù)向高安全區(qū)域流動(dòng)。
針對(duì)VPN的接入安全控制。用戶遠(yuǎn)程VPN接入主要用于員工出差時(shí)訪問內(nèi)部網(wǎng)絡(luò)的需求和各企業(yè)小規(guī)模分支機(jī)構(gòu)訪問內(nèi)部網(wǎng)的需求。VPN(虛擬專用網(wǎng))是為通過一個(gè)公用網(wǎng)絡(luò)(通常是互聯(lián)網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。
網(wǎng)絡(luò)準(zhǔn)入控制。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是通過對(duì)網(wǎng)絡(luò)用戶合法身份的驗(yàn)證以及對(duì)網(wǎng)絡(luò)終端計(jì)算機(jī)安全狀態(tài)的檢測(cè)和評(píng)估,決定是否允許這臺(tái)網(wǎng)絡(luò)終端計(jì)算機(jī)接入企業(yè)網(wǎng)絡(luò)中。若不符合制定的準(zhǔn)入策略,將其放入隔離區(qū)以修復(fù),或僅允許其有限地訪問資源。降低非法用戶隨意接入企業(yè)網(wǎng)和不安全的計(jì)算機(jī)終端接入企業(yè)網(wǎng)對(duì)網(wǎng)絡(luò)安全帶來的潛在威脅。
做好網(wǎng)絡(luò)設(shè)備登錄認(rèn)證。建立集中的網(wǎng)絡(luò)設(shè)備登錄認(rèn)證系統(tǒng),用于對(duì)網(wǎng)絡(luò)設(shè)備維護(hù)用戶的集中管理,認(rèn)證用戶的身份,決定其是否可以登錄到網(wǎng)絡(luò)設(shè)備;通過定義不同級(jí)別的用戶,授權(quán)他們能執(zhí)行的不同操作,記錄并審計(jì)用戶的登錄和操作。
系統(tǒng)層安全
做好系統(tǒng)主機(jī)的入侵檢測(cè),針對(duì)系統(tǒng)主機(jī)的網(wǎng)絡(luò)訪問進(jìn)行監(jiān)測(cè),及時(shí)發(fā)現(xiàn)外來入侵和系統(tǒng)級(jí)用戶的非法操作行為;要做好系統(tǒng)主機(jī)的訪問控制,系統(tǒng)主機(jī)訪問控制提供給系統(tǒng)安全管理員最有效的方法,從用戶登錄安全、訪問控制安全、系統(tǒng)日志安全等方面加入安全機(jī)制;要做好系統(tǒng)主機(jī)的安全加固,定期對(duì)服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全配置和加固,在不影響業(yè)務(wù)處理能力的前提下對(duì)系統(tǒng)的配置進(jìn)行安全優(yōu)化,以提高系統(tǒng)自身的抗攻擊性,消除安全漏洞,降低安全風(fēng)險(xiǎn);做好主機(jī)的安全審計(jì)工作,提供全面的安全審計(jì)日志和數(shù)據(jù),提升主機(jī)審計(jì)保護(hù)能力,對(duì)審計(jì)數(shù)據(jù)的訪問進(jìn)行嚴(yán)格控制,加強(qiáng)對(duì)審計(jì)數(shù)據(jù)的完整性保護(hù)。
應(yīng)用層安全
隨著各種各樣的系統(tǒng)應(yīng)用不斷深化和普及,一些應(yīng)用系統(tǒng)安全問題不斷凸現(xiàn)出來。為了最大限度及時(shí)規(guī)避因應(yīng)用安全問題帶來的威脅,應(yīng)著力抓好六個(gè)方面的工作:建立應(yīng)用安全基礎(chǔ)設(shè)施;健全應(yīng)用安全相關(guān)規(guī)范;改進(jìn)應(yīng)用開發(fā)過程;組織關(guān)鍵應(yīng)用安全性測(cè)試;加強(qiáng)應(yīng)用安全相關(guān)人員管理;制定應(yīng)用安全文檔及應(yīng)急預(yù)案。
終端層安全
加強(qiáng)終端電腦的安全管理。終端安全指對(duì)接入企業(yè)網(wǎng)絡(luò)的終端設(shè)備(主要是臺(tái)式計(jì)算機(jī)、筆記本電腦和其他移動(dòng)設(shè)備等)進(jìn)行的安全管理。內(nèi)容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產(chǎn)管理、終端補(bǔ)丁管理、終端配置管理、終端準(zhǔn)入控制以及法規(guī)遵從等內(nèi)容。
備份與恢復(fù)
備份與恢復(fù)是基于安全事件發(fā)生后保證災(zāi)難所造成的損失在一個(gè)可以接受的范圍內(nèi)、并使災(zāi)難得到有效恢復(fù)的安全機(jī)制,包括數(shù)據(jù)級(jí)、應(yīng)用級(jí)和業(yè)務(wù)級(jí)三個(gè)層次。參照國(guó)際標(biāo)準(zhǔn)Share78中定義的容災(zāi)系統(tǒng)層次劃分,對(duì)不同等級(jí)的信息系統(tǒng)建立不同的備份與恢復(fù)機(jī)制。主要工作包括:開發(fā)容災(zāi)計(jì)劃,通過對(duì)不同等級(jí)的信息系統(tǒng)容災(zāi)需求分析,確定容災(zāi)等級(jí)、RTO\RPO等容災(zāi)指標(biāo)、備份策略、恢復(fù)性測(cè)試要求等,設(shè)計(jì)容災(zāi)方案;備份與恢復(fù)基礎(chǔ)設(shè)施的建設(shè),包括建立異地災(zāi)難恢復(fù)系統(tǒng)和重要數(shù)據(jù)的本地備份設(shè)施。
信息安全組織
信息安全組織的角色與職責(zé)要界定清晰。信息管理層進(jìn)行適當(dāng)?shù)穆氊?zé)劃分,能合理阻止關(guān)鍵流程的破壞。同時(shí)應(yīng)加強(qiáng)全員的信息安全意識(shí)教育,提高員工整體信息安全意識(shí)。建立安全組織與定義安全職責(zé)是密不可分的兩項(xiàng)工作,組織與職責(zé)的清晰定義可以有效地促進(jìn)信息安全各項(xiàng)工作的進(jìn)行,包括信息安全教育與培訓(xùn)以及人員安全。企業(yè)要建立的信息安全組織要包含決策、管理、執(zhí)行與監(jiān)管四個(gè)層面。
信息安全教育與培訓(xùn)要覆蓋公司各個(gè)層面的人員,提升整個(gè)企業(yè)人員安全的水平,同時(shí)人員安全的相關(guān)工作在制度和機(jī)制方面為教育與培訓(xùn)提供有效保障。
關(guān)鍵詞:智能電網(wǎng) 信息安全 可信平臺(tái) 云計(jì)算
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-3973(2013)012-215-02
1 引言
以“自動(dòng)化、信息化、互動(dòng)化”為主要特征的智能電網(wǎng),必將引入更多的智能基礎(chǔ)設(shè)施,這些設(shè)備組成的龐大網(wǎng)絡(luò)所產(chǎn)生的數(shù)據(jù)量是傳統(tǒng)電網(wǎng)無法比擬的,智能電網(wǎng)也被稱為“電網(wǎng)2.0”。如何有效應(yīng)用電網(wǎng)產(chǎn)生的龐大數(shù)據(jù)量,是未來智能電網(wǎng)領(lǐng)域的研究人員面臨的一大挑戰(zhàn)。因此,將云計(jì)算方法與智能電網(wǎng)的屬性特征相結(jié)合,可以提供嶄新的解決思路。隨著智能電網(wǎng)建設(shè)步伐的推進(jìn),更多的設(shè)備和用戶接入電力系統(tǒng),例如,智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等,它們?cè)谔嵘娋W(wǎng)監(jiān)測(cè)與管理的同時(shí)也給數(shù)據(jù)與信息的安全帶來了隱患。因此,如何使眾多的用戶能在一個(gè)安全的環(huán)境下使用電網(wǎng)的服務(wù),成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。
云計(jì)算是在分布式計(jì)算、網(wǎng)格計(jì)算、并行計(jì)算等基礎(chǔ)上發(fā)展出的一種新型計(jì)算模型,云計(jì)算的出現(xiàn)使得人們可以直接通過網(wǎng)絡(luò)應(yīng)用獲取軟件和計(jì)算能力。IBM公司在2007年末的云計(jì)算計(jì)劃中將其定義為:按用戶的需求進(jìn)行動(dòng)態(tài)部署、配置、重配置以及取消服務(wù)等伸縮性平臺(tái)。在云計(jì)算平臺(tái)中的服務(wù)必須是可伸縮的,屬于元(Meta)計(jì)算系統(tǒng),可以是具體的物理的服務(wù)器機(jī)群,也可以另外一個(gè)云計(jì)算平臺(tái);通常一個(gè)通用的云計(jì)算平臺(tái)包含強(qiáng)大的計(jì)算資源、存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SANS)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。
2 電力企業(yè)的云計(jì)算需求
智能電網(wǎng)的信息化特征實(shí)質(zhì)上是電力企業(yè)的信息化,包括電力生產(chǎn)、調(diào)度自動(dòng)化和管理信息化等。目前調(diào)度自動(dòng)化的各個(gè)系統(tǒng),如SCADA、AGE以及EMS等已經(jīng)成熟應(yīng)用,省級(jí)電力調(diào)度機(jī)構(gòu)全部建成了以EMS/SCADA為基礎(chǔ)的三級(jí)調(diào)度自動(dòng)化系統(tǒng)。但這些系統(tǒng)之間缺乏暢通的聯(lián)系:信息不能共享,業(yè)務(wù)不能協(xié)同發(fā)展,對(duì)企業(yè)管理決策的作用十分有限,形成了大量的“信息孤島”。未來電力信息系統(tǒng)需要對(duì)大量的信息資源進(jìn)行共享,構(gòu)筑一體化企業(yè)級(jí)信息集成平臺(tái),即電力企業(yè)的云平臺(tái)。
云計(jì)算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用,另外,隨著技術(shù)的成熟和商業(yè)成本的降低,基于可信計(jì)算平臺(tái)的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計(jì)算與云計(jì)算結(jié)合起來,將會(huì)使電網(wǎng)的管理水平如虎添翼。圖1所示為電力營(yíng)銷系統(tǒng)的云模型。
在可信計(jì)算環(huán)境下,每臺(tái)主機(jī)嵌入一個(gè)可信平臺(tái)模塊。由于可信平臺(tái)模塊內(nèi)置密鑰,在模塊間能夠構(gòu)成一個(gè)天然的安全通信信道。因此,可以將廣播的內(nèi)容放在可信平臺(tái)模塊中,通過安全通信信道來進(jìn)行廣播,這樣可以極大地節(jié)約通信開銷。智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測(cè)量層、信息通信層和調(diào)度運(yùn)維層四個(gè)層次。那么,智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此,其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級(jí)防護(hù)方案等方面入手。
3 智能電網(wǎng)中可信云的構(gòu)造
未來接入智能電網(wǎng)的客戶,不是傳統(tǒng)意義上的單向服務(wù)接受者,而是具有與電網(wǎng)互動(dòng)能力的雙向參與者,客戶的信息不但關(guān)系到隱私保護(hù)的問題,也同樣會(huì)影響到電網(wǎng)安全,亟待構(gòu)建一個(gè)可信的智能電網(wǎng)云計(jì)算環(huán)境。目前,計(jì)算技術(shù)與密碼技術(shù)相結(jié)合,推動(dòng)信息安全研究進(jìn)入了可信計(jì)算(Trusted Computing, TC)階段。隨著技術(shù)的成熟和商業(yè)成本的降低,基于可信計(jì)算平臺(tái)的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。
因此,需要借鑒可信計(jì)算平臺(tái)的特點(diǎn),研究如何設(shè)計(jì)高效的電力企業(yè)可信云計(jì)算平臺(tái),以解決電力信息化建設(shè)過程中的“信息孤島”與信息安全問題,具有重要的現(xiàn)實(shí)意義和應(yīng)用價(jià)值。
根據(jù)國(guó)家關(guān)于《信息系統(tǒng)等級(jí)保護(hù)基本要求》中關(guān)于信息安全管理的內(nèi)容,針對(duì)電網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的不同等級(jí),設(shè)計(jì)了各應(yīng)用系統(tǒng)的安全技術(shù)規(guī)劃,內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等,如圖2所示。
在該實(shí)驗(yàn)平臺(tái)中,采用PGP(pretty Good privaey)加密算法對(duì)不同模塊中的信息進(jìn)行加密處理,如對(duì)保存文件進(jìn)行加密、對(duì)電子郵件進(jìn)行加密等,做到系統(tǒng)間信息的安全傳輸。
4 結(jié)束語
未來智能電網(wǎng)的安全保障不但要與信息安全技術(shù)相結(jié)合,還要融合先進(jìn)的計(jì)算技術(shù),如云計(jì)算、可信計(jì)算等,而不僅僅是簡(jiǎn)單的集成,智能電網(wǎng)將會(huì)發(fā)展成基于可信計(jì)算的可信網(wǎng)絡(luò)平臺(tái)。本文以電力企業(yè)營(yíng)銷系統(tǒng)的實(shí)驗(yàn)平臺(tái)與可信計(jì)算結(jié)合起來,設(shè)計(jì)了面向智能電網(wǎng)的可信云計(jì)算環(huán)境。但信息安全是一個(gè)沒有盡頭的工作,需要及時(shí)在最新的案例中找到改進(jìn)方法,不斷完善信息安全方案,智能電網(wǎng)的信息化建設(shè)也將充分吸收新技術(shù)的優(yōu)勢(shì),爭(zhēng)取做到真正的智能、堅(jiān)強(qiáng)。
(基金項(xiàng)目:中央高?;究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目(11MG50);河北省高等學(xué)??茖W(xué)研究項(xiàng)目(Z2013007))
參考文獻(xiàn):
[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù),2009,33(8):1-7.
[2] 陳康,鄭緯民.云計(jì)算:系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào),2009(5):1337-1348.
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2012)04-0000-00
1、校園網(wǎng)安全問題分析
1.1 校園網(wǎng)接入安全建設(shè)的煩惱
(1)整網(wǎng)安全狀況無法掌控;(2)內(nèi)部病毒泛濫;(3)用戶接入隨意;(4)事故屢禁不止。
1.2 校園網(wǎng)出口安全建設(shè)的煩惱
(1)來自外部網(wǎng)絡(luò)的DoS攻擊、病毒、惡意掃描防不勝防;(2)P2P應(yīng)用大行其道,蠶食出口帶寬,上網(wǎng)速度不堪忍受,師生怨聲載道;(3)出口鏈路眾多,多鏈路負(fù)載均衡和策略路由充滿挑戰(zhàn);(4)帶寬擴(kuò)容,原有的路由器、防火墻超負(fù)荷運(yùn)行;(5)并發(fā)連接回話激增,NAT網(wǎng)關(guān)頻繁死機(jī);(6)出口日志記錄不詳,檢索復(fù)雜;(7)IPv6網(wǎng)絡(luò)出口缺乏安全防護(hù)手段,跨棧攻擊一觸即發(fā)。
2、校園網(wǎng)絡(luò)安全策略
制定安全有效的校園網(wǎng)安全策略,可以最大可能降低校園網(wǎng)受故意或無意的攻擊而造成的性能下降、失效、數(shù)據(jù)丟失或泄密。好的安全策略要從環(huán)境、用戶、產(chǎn)品、意識(shí)等方面來進(jìn)行綜合分析,安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和行之有效的規(guī)章制度。
2.1 物理安全策略
物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。
2.2 防火墻控制策略
防火墻是一種網(wǎng)絡(luò)安全設(shè)備,它可以防止某些數(shù)據(jù)的出入。防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性,并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。防火墻處于網(wǎng)絡(luò)邊緣,它就像一個(gè)邊界衛(wèi)士一樣,每時(shí)每刻都要面對(duì)黑客的入侵,這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵,只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能,除了專門的防火墻嵌入系統(tǒng)外,再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說是相對(duì)的。
2.3 訪問控制策略
訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一,各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用。禁止無關(guān)的對(duì)外訪問,減少不必要的對(duì)外訪問,從而節(jié)省帶寬,降低風(fēng)險(xiǎn),嚴(yán)格控制核查外來的訪問,最大限度地阻止黑客的攻擊破壞。
2.3.1 入網(wǎng)訪問控制
入網(wǎng)訪問控制是網(wǎng)絡(luò)訪問的第1層安全機(jī)制。它控制哪些用戶能夠登錄到服務(wù)器并獲準(zhǔn)使用網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和位置。用戶的入網(wǎng)訪問控制通常分為三步執(zhí)行:用戶名的識(shí)別與驗(yàn)證;用戶口令的識(shí)別與驗(yàn)證;用戶賬戶的默認(rèn)權(quán)限檢查,三道控制關(guān)卡中只要任何一關(guān)未過,該用戶便不能進(jìn)入網(wǎng)絡(luò)。
用戶登錄時(shí)首先輸入用戶名和口令,服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在,口令必須經(jīng)過加密,最好是數(shù)字、字母和其他字符的組合,長(zhǎng)度應(yīng)不少于6個(gè)字符。用戶名和口令通過驗(yàn)證之后,系統(tǒng)需要進(jìn)一步對(duì)賬戶權(quán)限進(jìn)行檢查??刂朴脩舻卿浫刖W(wǎng)的位置、限制用戶登錄入網(wǎng)的時(shí)間、入網(wǎng)的主機(jī)數(shù)量等等。
2.3.2 操作權(quán)限控制策略
操作權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶被賦予一定的權(quán)限,網(wǎng)絡(luò)管理員通過設(shè)置,可以控制用戶資源訪問的范圍,可以指定用戶對(duì)這些資源能夠執(zhí)行哪些操作。系統(tǒng)通常將操作權(quán)限控制策略,通過訪問控制表來描述用戶對(duì)網(wǎng)絡(luò)資源的操作權(quán)限。
2.3.3 網(wǎng)絡(luò)監(jiān)測(cè)控制
網(wǎng)絡(luò)管理員可以對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控, 服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問,對(duì)非法的網(wǎng)絡(luò)訪問, 服務(wù)器應(yīng)以圖形、文字或聲音等形式報(bào)警,以引起網(wǎng)絡(luò)管理員的注意。對(duì)于非法試圖進(jìn)入網(wǎng)絡(luò)的, 網(wǎng)絡(luò)服務(wù)器應(yīng)能夠自動(dòng)記錄這種活動(dòng)的次數(shù),當(dāng)次數(shù)達(dá)到設(shè)定數(shù)值,如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值, 那么該賬戶將被自動(dòng)鎖定。
2.4 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)
入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)。它不僅檢測(cè)來自外部的入侵行為,同時(shí)也檢測(cè)來自內(nèi)部用戶的未授權(quán)活動(dòng)。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,以提高系統(tǒng)管理員的安全管理能力,及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范。
入侵檢測(cè)系統(tǒng)包括進(jìn)行入侵檢測(cè)的軟件和硬件,主要功能有:檢測(cè)并分析用戶和系統(tǒng)的活動(dòng);檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞、統(tǒng)計(jì)分析異常行為等等。在校園網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù)最好采用混合入侵檢測(cè),在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。
2.5 加強(qiáng)網(wǎng)絡(luò)安全管理
網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持。首先應(yīng)對(duì)學(xué)生進(jìn)行法制教育,加強(qiáng)學(xué)生的法制觀念,約束自身的行為;第二,加強(qiáng)網(wǎng)絡(luò)的安全管理,應(yīng)制定有關(guān)的規(guī)章制度, 這對(duì)于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用;第三,積極支持網(wǎng)絡(luò)管理員的工作,妥善處理好網(wǎng)絡(luò)安全問題。
3、校園網(wǎng)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)
校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)主要是進(jìn)行網(wǎng)絡(luò)的物理設(shè)計(jì)和邏輯設(shè)計(jì),在完成結(jié)構(gòu)設(shè)計(jì)后才能對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行選型。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)對(duì)于整個(gè)網(wǎng)絡(luò)系統(tǒng)來說是十分重要的,它設(shè)計(jì)的成功與否都直接影響網(wǎng)絡(luò)的使用功能的實(shí)現(xiàn)以及網(wǎng)絡(luò)是否能滿足網(wǎng)絡(luò)的需求。
3.1 物理設(shè)計(jì)
根據(jù)需求分析,可以知道整個(gè)校園網(wǎng)信息點(diǎn)的總數(shù)、分布情況。當(dāng)我們確定網(wǎng)絡(luò)控制中心的位置后,就應(yīng)該考慮如何把信息點(diǎn)連到網(wǎng)絡(luò)控制中心以及各種設(shè)備的連接速率和網(wǎng)絡(luò)使用的拓?fù)浣Y(jié)構(gòu)等,同時(shí)傳輸介質(zhì)也是需要考慮的問題。
3.2 邏輯設(shè)計(jì)
網(wǎng)絡(luò)的邏輯設(shè)計(jì)主要考慮校園網(wǎng)的IP子網(wǎng)網(wǎng)段的劃分,通過實(shí)際的網(wǎng)絡(luò)物理連接,依據(jù)實(shí)際需求來實(shí)現(xiàn)虛擬網(wǎng)絡(luò)(VLAN)的設(shè)置。無論從網(wǎng)絡(luò)的安全性和IP地址的可管理性來考慮,還是從有效利用IP地址資源的角度來考慮,將整個(gè)校園網(wǎng)劃分為多個(gè)子網(wǎng)網(wǎng)段并對(duì)IP地址資源進(jìn)行有效管理都是十分必要的。
3.3 組網(wǎng)技術(shù)
組網(wǎng)技術(shù)就是在把不同的網(wǎng)絡(luò)設(shè)備按設(shè)計(jì)方案的要求連接起來所用到的各種技術(shù)。它直接關(guān)系到建設(shè)出來的網(wǎng)絡(luò)系統(tǒng)能否達(dá)到設(shè)計(jì)要求,能不能投入使用這樣嚴(yán)重的問題,如在組網(wǎng)中有不按規(guī)范和標(biāo)準(zhǔn)來施工的話,建出的網(wǎng)絡(luò)系統(tǒng)的質(zhì)量是達(dá)不到設(shè)計(jì)要求,是不能滿足用戶需求的。
3.3.1布線系統(tǒng)設(shè)計(jì)
校園內(nèi)布線一般是在建筑物內(nèi)、建筑群之間,這就要求布線系統(tǒng)均采用符合國(guó)際標(biāo)準(zhǔn)的綜合布線系統(tǒng),園區(qū)采用光纖、雙絞線的混合布線方式。
在結(jié)構(gòu)化布線完工后,必須對(duì)整個(gè)系統(tǒng)進(jìn)行測(cè)試后才能投入使用,以保證系統(tǒng)能達(dá)到設(shè)計(jì)要求一次性布線,可保證在十五到二十年之內(nèi),其系統(tǒng)性能不會(huì)下降,功能也不會(huì)落后,真正達(dá)到一次投資,長(zhǎng)期受益。
3.3.2網(wǎng)絡(luò)系統(tǒng)平臺(tái)選擇
在網(wǎng)絡(luò)系統(tǒng)平臺(tái)的選擇上,要根據(jù)用戶需要以及實(shí)際情況選擇合適網(wǎng)絡(luò)系統(tǒng)。例如UNIX在支持應(yīng)用服務(wù)器方面功能最強(qiáng)。在眾多局域網(wǎng)的情況下整合構(gòu)建數(shù)字校園網(wǎng)可靠性最好、可以長(zhǎng)時(shí)間提供服務(wù)、安全性強(qiáng)、幾乎不染毒。缺點(diǎn)是版本多、系統(tǒng)命令多、管理復(fù)雜。Windows 2008 server也是一款非常不錯(cuò)的服務(wù)器操作系。界面簡(jiǎn)單、容易上手、管理方便,目前使用者眾多。
3.3.3Internet接入技術(shù)
目前校園網(wǎng)接入Internet的方式主要有:光纖、DDN、ISDN、ADSL等。
(1)光纖:光纖是一種在校園網(wǎng)建設(shè)中普遍使用的一種技術(shù),它是通過構(gòu)建專用的Internet服務(wù)器來實(shí)現(xiàn)的,是速度最快的Internet接入方式,光纖接入的優(yōu)點(diǎn)是可提供比較高的網(wǎng)絡(luò)帶寬和穩(wěn)定性,但它的連接較為復(fù)雜,當(dāng)然它的技術(shù)要求和成本也是最高的。
(2)DDN :DDN是目前校園網(wǎng)接入Internet的主要方式,速度最高可達(dá)2Mbit/s。它性能穩(wěn)定,成本適中,比較適合中型校園網(wǎng)。
(3)ISDN:對(duì)于終端較少的小型校園網(wǎng),可選用ISDN接入Internet。ISDN接入Internet的標(biāo)準(zhǔn)速度是64Kbit/s(1B+D)。ISDN配置簡(jiǎn)單,雖然像Modem一樣利用電話線路,但可以在上網(wǎng)的同時(shí)打電話。
(4)ADSL:ADSL是 Asymmetric Digital Subscriber Line的縮寫,中文意思是非對(duì)稱數(shù)字用戶線路,它的一個(gè)明顯優(yōu)勢(shì)是經(jīng)濟(jì)上實(shí)用。ADSL的使用費(fèi)和維護(hù)費(fèi)用遠(yuǎn)遠(yuǎn)低于DDN,而速度卻高于DDN,是校園網(wǎng)接入 Internet的理想選擇。 ADSL寬帶線路通過ADSL Modem接入Internet服務(wù)器的網(wǎng)卡上的,不過ADSL專線的接入是用傳統(tǒng)的模擬電話雙絞線線路布線不很規(guī)范,線路質(zhì)量不夠好,達(dá)不到高速傳輸?shù)囊?,目前它只用在一些中小型網(wǎng)絡(luò)。
3.3.4防火墻控制
防火墻也是校園網(wǎng)中非常重要的一個(gè)部分,它使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪,用來保護(hù)內(nèi)部網(wǎng)絡(luò),是內(nèi)網(wǎng)和外網(wǎng)之間的一道安全屏障。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來自簡(jiǎn)化網(wǎng)絡(luò)的安全管理,用于保護(hù)內(nèi)網(wǎng)中信息不受外網(wǎng)的非法侵犯。它的原理是根據(jù)報(bào)文的源IP地址、目的IP地址、源端口、目的端口報(bào)文信息來判斷是否允許報(bào)文通過,簡(jiǎn)單的可以用路由器完成,復(fù)雜的則可以用主機(jī)甚至一個(gè)子網(wǎng)來實(shí)現(xiàn)。防火墻可以經(jīng)濟(jì)、有效的保證網(wǎng)絡(luò)安全。
3.4 防病毒措施和信息保密技術(shù)
3.4.1防病毒措施
計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序。它能夠傳染其它程序,并進(jìn)行自我復(fù)制,特別是在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力。
因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié),應(yīng)該在學(xué)校培養(yǎng)起集體防病毒意識(shí),制定出防病毒管理機(jī)制??梢允褂梅啦《拒浖?duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè),或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。
3.4.2信息保密技術(shù)
信息保密技術(shù)是研究對(duì)信息進(jìn)行變換,以防止第三方對(duì)信息進(jìn)行竊取、破壞其機(jī)密性的技術(shù)。保密重要從以下幾個(gè)方面入手:
第一,采用密碼技術(shù)對(duì)信息加密。這是最常用、有效的安全保護(hù)手段。使用密碼技術(shù)的核心目的是實(shí)現(xiàn)信息或數(shù)據(jù)的安全應(yīng)用與安全傳輸,從密碼技術(shù)本身所提供的基礎(chǔ)功能上講,可實(shí)現(xiàn)數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性驗(yàn)證及數(shù)據(jù)不可抵賴性驗(yàn)證。
第二,身份認(rèn)證。身份認(rèn)證即用戶身份的確認(rèn)技術(shù),要求參與安全通信的雙方在進(jìn)行安全通信前,必須互相鑒別對(duì)方的身份。它是網(wǎng)絡(luò)安全的第一道防線,也是最重要的一道防線。身份認(rèn)證保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的人訪問,未經(jīng)授權(quán)的人則無法訪問到數(shù)據(jù)。
第三,數(shù)字簽名。數(shù)字簽名技術(shù)就是根據(jù)某種協(xié)議來產(chǎn)生一個(gè)反映被簽署文件的特征以及簽署人的特性的數(shù)字化簽名,以保證文件的真實(shí)性和有效性。數(shù)字簽名是實(shí)現(xiàn)認(rèn)證的重要工具,其根本目的在于驗(yàn)證消息的完整性以及數(shù)據(jù)在傳輸和存儲(chǔ)過程中是否會(huì)被篡改重放或延遲等。
4、安全措施的實(shí)現(xiàn)
4.1 服務(wù)器的安全
校園網(wǎng)服務(wù)器的安全可以從以下幾方面考慮;
第一,硬件系統(tǒng)的安全防護(hù)
硬件穩(wěn)定的安全運(yùn)轉(zhuǎn),是網(wǎng)絡(luò)系統(tǒng)良好運(yùn)行的首要保證。我們對(duì)放置服務(wù)器的機(jī)房應(yīng)切實(shí)做好防雷、防火、防水、防電、防高溫等工作。應(yīng)配備不間斷電源或采用雙電源系統(tǒng)保證服務(wù)器時(shí)刻處于工作狀態(tài)。禁止無關(guān)人員隨意進(jìn)入機(jī)房,防止人為的蓄意破壞和盜竊事件發(fā)生。
第二,軟件系統(tǒng)的安全防護(hù)
軟件系統(tǒng)的安全防護(hù)一般可以從以下幾方面著手:
(1)建立服務(wù)器檔案:包括服務(wù)器的硬件配置、型號(hào)、操作系統(tǒng)、維修記錄等進(jìn)行記錄,以便出現(xiàn)故障時(shí)能進(jìn)行對(duì)照。
(2)操作系統(tǒng)及時(shí)升級(jí)安裝補(bǔ)丁程序。
(3)加強(qiáng)操作系統(tǒng)權(quán)限管理和口令管理:檢查用戶和組里是否有非法用戶, 開啟審核策略,修改終端管理端口,以及配置MS-SQL刪除危險(xiǎn)的存儲(chǔ)過程。
(4)安裝防火墻與殺毒軟件:安裝病毒防火墻和網(wǎng)絡(luò)防火墻,定期對(duì)病毒庫(kù)進(jìn)行更新,按計(jì)劃查毒殺毒;定期用對(duì)服務(wù)器開放的端口進(jìn)行檢測(cè);用進(jìn)程檢測(cè)軟件監(jiān)測(cè)服務(wù)器所開的進(jìn)程,并和以往的進(jìn)程列表作比較;服務(wù)器盡可能不要設(shè)置文件共享,不要打開寫文件的權(quán)限,即使開啟共享,也應(yīng)設(shè)置相應(yīng)密碼。
(5)定期對(duì)服務(wù)器進(jìn)行備份與維護(hù):為防止意外的系統(tǒng)故障或用戶非法操作,系統(tǒng)管理員需要定期備份服務(wù)器上的重要系統(tǒng)文件。文件資料可以用RAID方式進(jìn)行備份,重要的資料還應(yīng)用保存在存儲(chǔ)中。
4.2 校園網(wǎng)絡(luò)的管理安全
任何先進(jìn)的系統(tǒng)都是為人服務(wù)的,因此想使計(jì)算機(jī)網(wǎng)絡(luò)的各種故障減少到最低,網(wǎng)絡(luò)管理員就要在平時(shí)做好網(wǎng)絡(luò)的預(yù)防性維護(hù)以及重要數(shù)據(jù)的備份、計(jì)算機(jī)病毒的防護(hù),記錄網(wǎng)絡(luò)事件等工作,建立起一整套完善的現(xiàn)代化網(wǎng)絡(luò)運(yùn)行、使用、管理規(guī)范永遠(yuǎn)是保證其發(fā)揮出最大效益的重要保障。
加強(qiáng)網(wǎng)絡(luò)的安全管理, 制定有關(guān)的規(guī)章制度,對(duì)于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。包括:確定安全管理等級(jí)和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。
預(yù)防性維護(hù)也是非常重要的,預(yù)防性維護(hù)可以為系統(tǒng)管理員減少很多的麻煩,例如:清理污垢和其他一些污染,如果灰塵污垢太多的話就會(huì)造成設(shè)備散熱不良,嚴(yán)重的還會(huì)引起電子器件間的短路。
檢查各種網(wǎng)絡(luò)設(shè)備的連接情況,每隔一段日期就檢查一下局域網(wǎng)中所有計(jì)算機(jī)系統(tǒng)的連線是否松動(dòng),查看一下電源線、顯示器、網(wǎng)絡(luò),串行和并行電纜以及各種配件等。
系統(tǒng)、數(shù)據(jù)的備份工作是必需的。在安裝了服務(wù)器或者對(duì)系統(tǒng)進(jìn)行了重大的修改之后,一定要把整個(gè)系統(tǒng)備份下來。在備份之后還要進(jìn)行測(cè)試,以保證備份的系統(tǒng)能夠正常工作。
校園網(wǎng)絡(luò)的安全問題,不僅是設(shè)備、技術(shù)的問題,更是管理的問題。對(duì)于校園網(wǎng)絡(luò)的管理人員來講,一定要提高網(wǎng)絡(luò)安全意識(shí),加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的掌握,注重對(duì)學(xué)生教工的網(wǎng)絡(luò)安全知識(shí)培訓(xùn),而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。
5、結(jié)語
總之,校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)的安全有待于在實(shí)踐中進(jìn)一步研究和探索。在目前的情況下,我們應(yīng)當(dāng)全面考慮綜合運(yùn)用防火墻、加密技術(shù)、防毒軟件等多項(xiàng)措施,互相配合,加強(qiáng)管理,從中尋找確保網(wǎng)絡(luò)安全與網(wǎng)絡(luò)效率的平衡點(diǎn),綜合提高校園網(wǎng)絡(luò)的安全性,從而建立起一套真正適合學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)的安全體系,以確保校園網(wǎng)正常安全運(yùn)行和朝著健康有序方向發(fā)展。
參考文獻(xiàn)
[1] 覃肖云.基于校園網(wǎng)分布式入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).《大眾科技》,2009.4.
[2] 張惠平.淺談高校校園網(wǎng)絡(luò)安全分析及防護(hù)策略.《網(wǎng)絡(luò)安全》,2008.9.
[3] 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全出版社:清華大學(xué)出版社.
網(wǎng)絡(luò)安全 LTE網(wǎng)絡(luò)安全域劃分 EPC網(wǎng)絡(luò)安全部署 IP承載網(wǎng)安全部署 LTE網(wǎng)絡(luò)邊界安全部署
1 引言
隨著移動(dòng)通信技術(shù)的發(fā)展,3GPP標(biāo)準(zhǔn)組織啟動(dòng)了面向無線網(wǎng)絡(luò)演進(jìn)計(jì)劃的長(zhǎng)期演進(jìn)(Long Term Evolution,LTE)以及面向核心網(wǎng)絡(luò)演進(jìn)計(jì)劃的系統(tǒng)框架演進(jìn)(System Architecture Evolution,SAE)項(xiàng)目,以滿足高用戶數(shù)據(jù)速率、大系統(tǒng)容量、無縫覆蓋的網(wǎng)絡(luò)演進(jìn)需求。
LTE網(wǎng)絡(luò)架構(gòu)變化為移動(dòng)通信發(fā)展帶來新的契機(jī)。與此同時(shí),扁平的網(wǎng)絡(luò)結(jié)構(gòu)、全I(xiàn)P化的網(wǎng)絡(luò)等特征也為L(zhǎng)TE網(wǎng)絡(luò)帶來一定的安全威脅。
為適應(yīng)LTE/EPC網(wǎng)絡(luò)的引入,解決LTE/EPC網(wǎng)絡(luò)建設(shè)和演進(jìn)中存在的安全問題,本文將從LTE網(wǎng)絡(luò)演進(jìn)特點(diǎn)及LTE網(wǎng)絡(luò)安全威脅分析入手,通過分析LTE網(wǎng)絡(luò)面臨的安全威脅,探索并提出LTE網(wǎng)絡(luò)安全部署解決方案。
2 LTE網(wǎng)絡(luò)安全威脅分析
LTE/SAE的關(guān)鍵特性主要表現(xiàn)為:
(1)網(wǎng)絡(luò)架構(gòu)全面分組化:網(wǎng)絡(luò)全I(xiàn)P化,只有分組域,語音業(yè)務(wù)由分組域配合IMS域提供,提升網(wǎng)絡(luò)效率和性能。
(2)網(wǎng)絡(luò)架構(gòu)扁平化:網(wǎng)絡(luò)結(jié)構(gòu)趨于簡(jiǎn)單,通過S-GW和P-GW的可選合設(shè)達(dá)到網(wǎng)絡(luò)扁平化的目的,簡(jiǎn)化網(wǎng)絡(luò)部署,縮短時(shí)延。
(3)支持多接入技術(shù):支持與現(xiàn)有3GPP系統(tǒng)的互通,同時(shí)支持非3GPP網(wǎng)絡(luò)的接入,支持用戶在3GPP及非3GPP網(wǎng)絡(luò)間的漫游和切換。
(4)高速率:峰值速率可以達(dá)到下行100Mbit/s,上行50Mbit/s。
(5)部署快:由于網(wǎng)絡(luò)的簡(jiǎn)單化,可以快速部署網(wǎng)絡(luò),以適應(yīng)業(yè)務(wù)不斷豐富化發(fā)展的趨勢(shì)。
LTE網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)的特征如圖1所示。
由于LTE網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)特征的變化,使得LTE網(wǎng)絡(luò)面臨特定的安全威脅,主要表現(xiàn)在以下幾個(gè)方面:
(1)扁平的網(wǎng)絡(luò)結(jié)構(gòu)
缺少對(duì)在回傳網(wǎng)上的數(shù)據(jù)的保護(hù),數(shù)據(jù)存在泄漏風(fēng)險(xiǎn);來自終端和eNB的攻擊可直達(dá)EPC。
(2)全I(xiàn)P化
無連接及開放的IP網(wǎng)絡(luò)使攻擊更容易;IP網(wǎng)絡(luò)的安全問題將被引入LTE網(wǎng)絡(luò)。
(3)高帶寬與終端智能化
高帶寬使得攻擊移動(dòng)終端成為可能,移動(dòng)終端面臨成為DDoS的攻擊工具的風(fēng)險(xiǎn);終端的智能化及應(yīng)用的多樣化,使得信令風(fēng)暴愈演愈烈,針對(duì)SCTP和GTP的攻擊增多。
3 LTE網(wǎng)絡(luò)安全部署方案
針對(duì)LTE網(wǎng)絡(luò)安全威脅,需要全面考慮LTE網(wǎng)絡(luò)安全問題,設(shè)計(jì)LTE網(wǎng)絡(luò)安全部署方案。根據(jù)LTE網(wǎng)絡(luò)安全建設(shè)需求,構(gòu)建涵蓋LTE網(wǎng)絡(luò)安全域劃分、EPC網(wǎng)絡(luò)安全部署、IP承載網(wǎng)安全部署、LTE網(wǎng)絡(luò)邊界安全部署的整體網(wǎng)絡(luò)安全部署方案,如圖2所示。
3.1 LTE網(wǎng)絡(luò)安全域
通過劃分安全域,能夠在一定程度上隔離/減輕各安全域之間安全威脅的擴(kuò)散或相互影響,從而提高全網(wǎng)的安全性、可靠性和可控性。
安全域劃分的原則為,劃分在同一安全域內(nèi)的網(wǎng)絡(luò)設(shè)備需要具有相同的安全保護(hù)需求、安全保護(hù)等級(jí)、安全訪問控制策略、邊界控制策略,各網(wǎng)絡(luò)設(shè)備之間能相互信任。
據(jù)此,可將LTE網(wǎng)絡(luò)劃分為6個(gè)安全域:
(1)E-UTRAN安全域,包括eNB、PTN、CE、SEG。
(2)核心網(wǎng)安全域,包括MME、S-GW、P-GW、BG、CE、DNS。
(3)計(jì)費(fèi)安全域,包括CG、計(jì)費(fèi)服務(wù)器。
(4)用戶信息安全域,包括HSS、BOSS前置機(jī)。
(5)互聯(lián)網(wǎng)安全域,包括互聯(lián)網(wǎng)接入路由器。
(6)OMC安全域,包括LTE網(wǎng)管服務(wù)器、工作終端、安全管理設(shè)備、防火墻以及組成本域網(wǎng)絡(luò)的數(shù)據(jù)通信設(shè)備等。
3.2 LTE網(wǎng)絡(luò)邊界安全
LTE網(wǎng)絡(luò)邊界安全包括LTE核心網(wǎng)與OMC之間、LTE核心網(wǎng)與互聯(lián)網(wǎng)之間、LTE核心網(wǎng)與其他PLMN之間的安全3個(gè)部分。
(1)LTE核心網(wǎng)與OMC之間
LTE核心網(wǎng)與OMC之間網(wǎng)元需要配置單獨(dú)的物理接口,與其它業(yè)務(wù)流量獨(dú)立;為防止對(duì)核心網(wǎng)設(shè)備的攻擊,需要在OMC接口配置嚴(yán)格的授權(quán)訪問機(jī)制,同時(shí)在核心網(wǎng)端進(jìn)行狀態(tài)檢測(cè)和設(shè)置ACL包過濾機(jī)制。
(2)LTE核心網(wǎng)與互聯(lián)網(wǎng)之間
LTE核心網(wǎng)與互聯(lián)網(wǎng)邊界配置防火墻,防火墻及安全策略為:在防火墻安全區(qū),配置包過濾,建議采用狀態(tài)防火墻;針對(duì)外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊,配置針對(duì)典型攻擊的安全策略;在核心網(wǎng)與出口路由器之間進(jìn)行路由控制,防止泄漏核心網(wǎng)的內(nèi)部拓?fù)湫畔ⅰ?/p>
(3)LTE核心網(wǎng)與其他PLMN之間
LTE核心網(wǎng)與其他PLMN之間的安全涉及S8、S9和S10等接口,在邊界部署B(yǎng)G、防火墻等設(shè)備,控制GTP、DNS、路由數(shù)據(jù)的傳輸,防止來自其它PLMN的安全問題。
邊界防護(hù)策略主要有ACL包過濾(可用防火墻實(shí)現(xiàn));IP攻擊防護(hù)(可用防火墻實(shí)現(xiàn));支持GTP協(xié)議解析功能的防火墻;采用加密的動(dòng)態(tài)路由協(xié)議等。
3.3 EPC網(wǎng)絡(luò)安全
EPC網(wǎng)絡(luò)安全包括業(yè)務(wù)安全機(jī)制和設(shè)備安全這2個(gè)方面。
(1)業(yè)務(wù)安全機(jī)制
NAS層、IRAT互操作的安全機(jī)制符合3GPP TS 33.401要求。接入控制:NAS信令完整性和機(jī)密性保護(hù)、AKA、GUTI分配、IMEI識(shí)別等;EUTRAN內(nèi)和EUTRAN和GERAN/UTRAN之間切換場(chǎng)景下的安全機(jī)制;支持UE IP地址反盜用功能(Anti-spoofing)。
(2)設(shè)備安全機(jī)制
設(shè)備安全機(jī)制涵蓋管理面、控制面以及用戶面。管理面的安全保護(hù)主要是安全的網(wǎng)管連接,特別是遠(yuǎn)程連接,同時(shí)管理用戶的認(rèn)證、授權(quán)和審計(jì);控制面的安全保護(hù)主要為設(shè)備防火墻,關(guān)閉不必要的端口,開啟路由協(xié)議的安全認(rèn)證;用戶面的安全保護(hù)主要為采用訪問控制列表(ACL),對(duì)攻擊流量進(jìn)行有效限制和跟蹤。
3.4 IP承載網(wǎng)安全
IP承載網(wǎng)安全主要包括業(yè)務(wù)接入安全策略和協(xié)議保護(hù)2個(gè)方面。
(1)業(yè)務(wù)接入安全策略
采取措施以充分保證業(yè)務(wù)系統(tǒng)接入IP承載網(wǎng)的安全。業(yè)務(wù)之間通過MPLS VPN進(jìn)行隔離;應(yīng)用系統(tǒng)配置防病毒軟件,關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)應(yīng)通過防火墻保護(hù);IP承載網(wǎng)應(yīng)采取路由過濾、路由限制、流量過濾、uRPF相關(guān)的安全措施控制流量沖擊帶來的安全風(fēng)險(xiǎn),以保證PE的安全。
(2)協(xié)議保護(hù)措施
BGP保護(hù)
限定合法PEER路由器IP地址和所在AS號(hào);在Access端口上采用嚴(yán)格反向路徑查找技術(shù),過濾來自其他網(wǎng)絡(luò)的偽造源地址的BGP攻擊包,對(duì)不能支持嚴(yán)格反向路徑查找的設(shè)備,通過ACL過濾源地址實(shí)現(xiàn)類似功能;在所有Access端口上采用分組過濾策略拒絕非法的EBGP協(xié)議數(shù)據(jù)包[1]。
NTP保護(hù)
IP承載網(wǎng)通過分組過濾限制從外網(wǎng)進(jìn)入承載網(wǎng)的NTP數(shù)據(jù)包,同時(shí)在NTP會(huì)話上進(jìn)行MD5認(rèn)證[2]。
組播保護(hù)
Access端口上利用分組過濾技術(shù)缺省禁止組播數(shù)據(jù)流,對(duì)MSDP進(jìn)行MD5認(rèn)證,在RP上對(duì)SA消息進(jìn)行過濾。
SNMP
實(shí)施MD5認(rèn)證和DES加密,通過MIB View限制對(duì)包含大數(shù)據(jù)量的表類型變量的訪問(路由表和CEF表)[2]。
3.5 網(wǎng)絡(luò)操作安全管理
網(wǎng)絡(luò)操作安全管理涵蓋對(duì)網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)口令、網(wǎng)絡(luò)功能端口的管理和安全策略。
(1)網(wǎng)絡(luò)管理員
對(duì)網(wǎng)絡(luò)管理員進(jìn)行分權(quán)和分級(jí)制,對(duì)網(wǎng)絡(luò)訪問的權(quán)限進(jìn)行嚴(yán)格控制,避免由內(nèi)部管理員誤操作帶來的安全隱患;高級(jí)網(wǎng)管員可以修改配置、刪除賬號(hào);低級(jí)管理員只能察看網(wǎng)管界面,不能做任何改動(dòng)。
(2)網(wǎng)絡(luò)口令管理
對(duì)設(shè)備的訪問實(shí)施AAA集中管理控制,避免采用設(shè)備本身的認(rèn)證;采用TACACS+等加密的認(rèn)證方式,保證用戶名和密碼在網(wǎng)上的傳遞是經(jīng)過加密的[1],采用One-Time密碼,防止密碼強(qiáng)制攻擊等手段;同時(shí)網(wǎng)絡(luò)口令需要有審計(jì)的功能,防止密碼被盜用的現(xiàn)象發(fā)生。
(3)網(wǎng)絡(luò)功能和端口
根據(jù)應(yīng)用的不同,關(guān)閉不必要的端口和功能(如ICMP Redirect、Direct Broadcast、Proxy ARP),防止利用這些功能攻擊網(wǎng)絡(luò)系統(tǒng)。
4 結(jié)束語
LTE網(wǎng)絡(luò)架構(gòu)變化為移動(dòng)通信發(fā)展帶來新的契機(jī),與此同時(shí),扁平的網(wǎng)絡(luò)結(jié)構(gòu)、全I(xiàn)P化的網(wǎng)絡(luò)等特征也為L(zhǎng)TE網(wǎng)絡(luò)帶來一定的安全威脅。為適應(yīng)LTE/EPC網(wǎng)絡(luò)的引入,解決LTE/EPC網(wǎng)絡(luò)建設(shè)和演進(jìn)中存在的安全問題,分析了LTE網(wǎng)絡(luò)面臨的安全威脅,在此基礎(chǔ)上提出并構(gòu)建涵蓋LTE網(wǎng)絡(luò)安全域劃分、EPC網(wǎng)絡(luò)安全部署、IP承載網(wǎng)安全部署、LTE網(wǎng)絡(luò)邊界安全部署的整體網(wǎng)絡(luò)安全部署方案。網(wǎng)絡(luò)安全攻防技術(shù)動(dòng)態(tài)演進(jìn)發(fā)展,因此網(wǎng)絡(luò)安全部署需要不斷升級(jí)改造,隨著LTE網(wǎng)絡(luò)的建設(shè)運(yùn)營(yíng)及移動(dòng)網(wǎng)絡(luò)攻擊技術(shù)的變化,未來可能出現(xiàn)新的安全問題,因此需要不斷跟進(jìn)和進(jìn)一步深入研究網(wǎng)絡(luò)安全部署方案。
參考文獻(xiàn):
[1] 林秋輝. 城域網(wǎng)設(shè)計(jì)方案研究[D]. 北京: 北京郵電大學(xué), 2010.
[2] 左爽. 聯(lián)通IP承載網(wǎng)規(guī)劃與設(shè)計(jì)[D]. 天津: 天津大學(xué), 2007.
[3] 3GPP TS 23.401. Evolved Universal Terrestrial Radio Access Network (E-UTRAN) Access[S]. 2013.
[4] 3GPP TS 33.401. 3GPP System Architecture Evolution (SAE); Security Architecture[S]. 2013.
[5] 3GPP TS 33.310. Network Domain Security (NDS)[S]. 2013.
[6] 3GPP TS 33.210. 3G Security Network Domain Security IP Network Layer Security[S]. 2013.
基礎(chǔ)設(shè)施安全隱患自查報(bào)告范文(一)
根據(jù)《關(guān)于轉(zhuǎn)發(fā)<關(guān)于開展2019年六安市網(wǎng)絡(luò)安全檢查工作的通知>的通知》(區(qū)宣字〔2019〕23號(hào))的要求,椿樹鎮(zhèn)黨委、政府高度重視并迅速開展檢查工作,現(xiàn)將檢查情況總結(jié)報(bào)告如下:
一、成立領(lǐng)導(dǎo)小組
為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全管理工作,我鎮(zhèn)成立了網(wǎng)絡(luò)信息工作領(lǐng)導(dǎo)小組,由鎮(zhèn)長(zhǎng)任組長(zhǎng),分管副書記任副組長(zhǎng),下設(shè)辦公室,做到分工明確,責(zé)任具體到人,確保網(wǎng)絡(luò)信息安全工作順利實(shí)施。
二、網(wǎng)絡(luò)安全現(xiàn)狀
目前我鎮(zhèn)共有電腦32臺(tái),均采用防火墻對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù),并安裝了殺毒軟件對(duì)全鎮(zhèn)計(jì)算機(jī)進(jìn)行病毒防治。
三、網(wǎng)絡(luò)安全管理措施
為了做好信息化建設(shè),規(guī)范政府信息化管理,我鎮(zhèn)專門制訂了《椿樹鎮(zhèn)網(wǎng)絡(luò)安全管理制度》、《椿樹鎮(zhèn)網(wǎng)絡(luò)信息安全保障工作方案》、《椿樹鎮(zhèn)病毒檢測(cè)和網(wǎng)絡(luò)安全漏洞檢測(cè)制度》等多項(xiàng)制度,對(duì)信息化工作管理、內(nèi)部電腦安全管理、計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備管理、數(shù)據(jù)、資料和信息的安全管理、網(wǎng)絡(luò)安全管理、計(jì)算機(jī)操作人員管理、網(wǎng)站內(nèi)容管理、網(wǎng)站維護(hù)責(zé)任等各方面都作了詳細(xì)規(guī)定,進(jìn)一步規(guī)范了我鎮(zhèn)信息安全管理工作。
針對(duì)計(jì)算機(jī)保密工作,我鎮(zhèn)制定了《椿樹鎮(zhèn)鎮(zhèn)信息審核、登記制度》、《椿樹鎮(zhèn)突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》等相關(guān)制度,并定期對(duì)網(wǎng)站上的所有信息進(jìn)行整理,未發(fā)現(xiàn)涉及到安全保密內(nèi)容的信息;與網(wǎng)絡(luò)安全小組成員簽訂了《椿樹鎮(zhèn)網(wǎng)絡(luò)信息安全管理責(zé)任書》,確保計(jì)算機(jī)使用做到“誰使用、誰負(fù)責(zé)”;對(duì)我鎮(zhèn)內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進(jìn)行嚴(yán)格、規(guī)范管理,并及時(shí)存檔備份;此外,在全鎮(zhèn)范圍內(nèi)組織相關(guān)計(jì)算機(jī)安全技術(shù)培訓(xùn),并開展有針對(duì)性的“網(wǎng)絡(luò)信息安全”教育及演練,積極參加其他計(jì)算機(jī)安全技術(shù)培訓(xùn),提高了網(wǎng)絡(luò)維護(hù)以及安全防護(hù)技能和意識(shí),有力地保障我鎮(zhèn)政府信息網(wǎng)絡(luò)正常運(yùn)行。
四、網(wǎng)絡(luò)安全存在的不足及整改措施
目前,我鎮(zhèn)網(wǎng)絡(luò)安全仍然存在以下幾點(diǎn)不足:
一是安全防范意識(shí)較為薄弱;二是病毒監(jiān)控能力有待提高;三是對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用管理還不夠規(guī)范;四是遇到惡意攻擊、計(jì)算機(jī)病毒侵襲等突發(fā)事件處理能力不夠。
針對(duì)目前我鎮(zhèn)網(wǎng)絡(luò)安全方面存在的不足,提出以下幾點(diǎn)整改意見:
1、進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全小組成員計(jì)算機(jī)操作技術(shù)、網(wǎng)絡(luò)安全技術(shù)方面的培訓(xùn),強(qiáng)化計(jì)算機(jī)操作人員對(duì)網(wǎng)絡(luò)病毒、信息安全威脅的防范意識(shí),做到早發(fā)現(xiàn),早報(bào)告、早處理。
2、加強(qiáng)干部職工在計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)方面的學(xué)習(xí),不斷提高機(jī)關(guān)干部的計(jì)算機(jī)技術(shù)水平。
基礎(chǔ)設(shè)施安全隱患自查報(bào)告范文(二)
按照《XX市交通局關(guān)于開展全市重大交通基礎(chǔ)設(shè)施安全隱患排查工作的通知》文件的安排部署,10月25日至11月2日,市公路處副處長(zhǎng)劉大倫、劉志斌帶隊(duì)赴各縣、區(qū)(市),采取檢查組重點(diǎn)抽查與各縣、區(qū)(市)自查結(jié)合的方式,檢查了全市管養(yǎng)的縣公路、鄉(xiāng)公路和部分村公路XX縣鄉(xiāng)公路橋梁情況?,F(xiàn)將綜合檢查情況報(bào)告如下:
一、公路檢查情況
全面檢查了縣公路68條,抽查和自查了鄉(xiāng)公路692條、村公路310條。查出存在安全隱患的線路有958條,需處治隱患4521處,處治隱患里程1587.464公里,需總投資4307.23萬元。沒有發(fā)現(xiàn)重大安全隱患。檢查資料已上報(bào)省公路局。
二、橋梁檢查情況
抽查農(nóng)村公路管理養(yǎng)護(hù)橋梁211座(不含村道中小橋),自查管理養(yǎng)護(hù)農(nóng)村公路橋梁499座(不含村道中小橋)。大部分橋梁存在不同類型安全隱患的橋梁。已查出存在安全隱患的管理養(yǎng)護(hù)橋梁:二郎小橋、二郎大橋、兩河口二橋、兩蔑路一橋、梁蔑路二橋、官渡大橋、人仁路孔灘橋、官渡魚灣大橋、河閃渡大橋、戲子灘大橋、龍?zhí)翗?、半坎橋、樂莊橋、鹽津河大橋、兩河口大橋等,存在的隱患類型主要是超荷、地質(zhì)災(zāi)害、水毀等,隱患程度不一,有的僅需少量人財(cái)物即可恢復(fù),有的需列入危橋改造工程維修加固。針對(duì)隱患的不同類型和程度,分別采取了設(shè)置超載限速標(biāo)志、落實(shí)專人監(jiān)管、向省公路局上報(bào)檢查資料等措施。
募溪河橋(XX縣)、青杠塘橋(XX縣)、進(jìn)化新橋(XX縣)等在建橋梁、危橋維修加固橋梁未發(fā)現(xiàn)安全隱患。列入抽查的通村公路橋梁,以及各縣、區(qū)(市)自查通村公路橋梁,檢查中沒有發(fā)現(xiàn)重大安全隱患。
三、安保工程實(shí)施情況
根據(jù)省公路局“關(guān)于XX市農(nóng)村公路安全保障工程設(shè)計(jì)方案的批復(fù)”(黔路復(fù)〔2019〕169號(hào)文),我市今年18個(gè)項(xiàng)目的安保工程計(jì)劃,中央車購(gòu)稅投資827萬元,項(xiàng)目涉及習(xí)水、務(wù)川、湄潭、仁懷、綏陽、余慶、桐梓、正安、XX縣及習(xí)赤公司等十個(gè)縣、區(qū)(市),12月底完成鋼筋砼護(hù)欄14808米,波型護(hù)欄74698米,警示墩3589個(gè),禁令和警告標(biāo)志898套,地名和指路標(biāo)志18套,標(biāo)線4194㎡,處治隱患670處,處治隱患里程309k,完成投資827萬元。
四、水毀恢復(fù)情況
據(jù)統(tǒng)計(jì),進(jìn)入雨季以來,我市有41條農(nóng)村公路發(fā)生水毀,工程量:損毀路基13906 m3/2365m,沖毀路面砂路87000 m2/4428m,砼或?yàn)r青路面14261 m2/4428m;橋梁局部毀20米/1座;涵洞全毀18道,局部毀6道;擋墻15908 m3/193處,坍方259342 m3/620處,需恢復(fù)資金810.682萬元。今年共安排水毀搶險(xiǎn)資金320萬元,主要修復(fù)路基缺口、山體滑坡造成改移線路段截12月底共完成擋墻修復(fù)23500m3, 177處,改線3.2公里,恢復(fù)水毀線路37條。
檢查表明:我市列入管理養(yǎng)護(hù)的農(nóng)村公路及橋梁,安全形勢(shì)穩(wěn)定,無安全事故,
五、下步工作安排
(一)進(jìn)一步全面了解本轄區(qū)內(nèi)事故事易發(fā)路段,建立安保工程數(shù)據(jù)庫(kù)。
(二)逐年安排資金消除存在安全隱患的線路。
六、存在問題及建議
(一)我市農(nóng)村公路點(diǎn)多、線長(zhǎng)、面廣,公路建設(shè)中未考慮安保設(shè)施,安全隱患治理資金投入少,急需治理隱患較多,為保障公路安全運(yùn)行,需各級(jí)籌措資金治理現(xiàn)有農(nóng)村安全隱患。建議今后公路改建安全設(shè)施應(yīng)納入設(shè)計(jì)。
(二)汛期水毀災(zāi)害有突發(fā)性和季節(jié)性特征。由于無水毀預(yù)備資金,發(fā)生災(zāi)害后不能及時(shí)安排資金處治,計(jì)劃報(bào)送后,往往投資不足,造成水毀工程修復(fù)不徹底,部分路段只能設(shè)置簡(jiǎn)易警示標(biāo)志,建議安排水毀預(yù)備金。
基礎(chǔ)設(shè)施安全隱患自查報(bào)告范文(三)
根據(jù)南信聯(lián)發(fā)[XX]4號(hào)文件《關(guān)于開展**市電子政務(wù)網(wǎng)信息安全與網(wǎng)絡(luò)管理專項(xiàng)檢查的通知》文件精神,我局積極組織落實(shí),認(rèn)真對(duì)照,對(duì)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)情況、網(wǎng)絡(luò)安全防范技術(shù)情況及網(wǎng)絡(luò)信息安全保密管理情況進(jìn)行了自查,對(duì)我局的網(wǎng)絡(luò)信息安全建設(shè)進(jìn)行了深刻的剖析,現(xiàn)將自查情況報(bào)告如下:
一、加強(qiáng)領(lǐng)導(dǎo),成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組
為進(jìn)一步加強(qiáng)全局網(wǎng)絡(luò)信息系統(tǒng)安全管理工作,我局成立了網(wǎng)絡(luò)與信息系統(tǒng)安全保密工作領(lǐng)導(dǎo)小組,由局長(zhǎng)任組長(zhǎng),下設(shè)辦公室,做到分工明確,責(zé)任具體到人。確保網(wǎng)絡(luò)信息安全工作順利實(shí)施。
二、我局網(wǎng)絡(luò)安全現(xiàn)狀
我局的統(tǒng)計(jì)信息自動(dòng)化建設(shè)從一九九七年開始,經(jīng)過不斷發(fā)展,逐漸由原來的小型局域網(wǎng)發(fā)展成為目前與國(guó)家局、自治區(qū)局以及縣區(qū)局實(shí)現(xiàn)四級(jí)互聯(lián)互通網(wǎng)絡(luò)。網(wǎng)絡(luò)核心采用思科7600和3600交換機(jī),數(shù)據(jù)中心采用3com4226交換機(jī),匯集層采用3com4226交換機(jī)、思科2924交換機(jī)和聯(lián)想天工ispirit 1208e交換機(jī),總共可提供150多個(gè)有線接入點(diǎn),目前為止已使用80個(gè)左右。數(shù)據(jù)中心骨干為千兆交換式,百兆交換到桌面。因特網(wǎng)出口統(tǒng)一由市信息辦提供,為雙百兆光纖;與自治區(qū)統(tǒng)計(jì)局采用2兆光纖直聯(lián),各縣區(qū)統(tǒng)計(jì)局及三個(gè)開發(fā)區(qū)統(tǒng)計(jì)局采用天融信vpn虛擬專用網(wǎng)絡(luò)軟件從互聯(lián)網(wǎng)上連接進(jìn)入到自治區(qū)統(tǒng)計(jì)局的網(wǎng)絡(luò),vpn入口總帶寬為4兆,然后再連接到我局。橫向方面,積極推進(jìn)市統(tǒng)計(jì)局與政府網(wǎng)互聯(lián),目前已經(jīng)實(shí)現(xiàn)與100多家市級(jí)黨政部門和12個(gè)縣區(qū)政府的光纖連接。我局采用天融信硬件防火墻對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù),采用偉思網(wǎng)絡(luò)隔離卡和文件防彈衣軟件對(duì)重點(diǎn)計(jì)算機(jī)進(jìn)行單機(jī)保護(hù),安裝正版金山毒霸網(wǎng)絡(luò)版殺毒軟件,對(duì)全局計(jì)算機(jī)進(jìn)行病毒防治。
三、我局網(wǎng)絡(luò)信息化安全管理
為了做好信息化建設(shè),規(guī)范統(tǒng)計(jì)信息化管理,我局專門制訂了《**市統(tǒng)計(jì)局信息化規(guī)章制度》,對(duì)信息化工作管理、內(nèi)部電腦安全管理、機(jī)房管理、機(jī)房環(huán)境安全管理、計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備管理、數(shù)據(jù)、資料和信息的安全管理、網(wǎng)絡(luò)安全管理、計(jì)算機(jī)操作人員管理、網(wǎng)站內(nèi)容管理、網(wǎng)站維護(hù)責(zé)任等各方面都作了詳細(xì)規(guī)定,進(jìn)一步規(guī)范了我局信息安全管理工作。
針對(duì)計(jì)算機(jī)保密工作,我局制定了《涉密計(jì)算機(jī)管理制度》,并由計(jì)算機(jī)使用人員簽訂了《**市統(tǒng)計(jì)局計(jì)算機(jī)保密工作崗位責(zé)任書》,對(duì)計(jì)算機(jī)使用做到“誰使用誰負(fù)責(zé)”;對(duì)我局內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進(jìn)行嚴(yán)格、規(guī)范管理。
此外,我局在全局范圍內(nèi)每年都組織相關(guān)計(jì)算機(jī)安全技術(shù)培訓(xùn),計(jì)算站的同志還積極參加市信息辦及其他計(jì)算機(jī)安全技術(shù)培訓(xùn),提高了網(wǎng)絡(luò)維護(hù)以及安全防護(hù)技能和意識(shí),有力地保障我局統(tǒng)計(jì)信息網(wǎng)絡(luò)正常運(yùn)行。
四、網(wǎng)絡(luò)安全存在的不足及整改措施
目前,我局網(wǎng)絡(luò)安全仍然存在以下幾點(diǎn)不足:一是安全防范意識(shí)較為薄弱;二是病毒監(jiān)控能力有待提高;三是遇到惡意攻擊、計(jì)算機(jī)病毒侵襲等突發(fā)事件處理不夠及時(shí)。
針對(duì)目前我局網(wǎng)絡(luò)安全方面存在的不足,提出以下幾點(diǎn)整改辦法:
【 關(guān)鍵詞 】 數(shù)字化;數(shù)字化校園;安全;風(fēng)險(xiǎn);安全策略
Risk Analysis of the Network Security for the Digital Campus and the Countermeasures
Lei Yan-rui
(Hainan College of Software Technology HainanQionghai 571400)
【 Abstract 】 The continuous advancement in making digital campus has achieved enormously improved management efficiency. But it has also inflicted risks to the security of the campus network because of its open nature. In this paper, we provide several pieces of advice on the security of the campus network.
【 Keywords 】 digitization; digital campus; security; risk; security policy
1 引言
1998年,因美國(guó)前副總統(tǒng)戈?duì)栕钕忍岢觥皵?shù)字化地球”的概念而引出“數(shù)字化城市”和“數(shù)字化校園”的定義。數(shù)字化校園是指通過計(jì)算機(jī)相關(guān)技術(shù)、網(wǎng)絡(luò)通訊的相關(guān)技術(shù)對(duì)學(xué)校的教學(xué)、管理和生活等都進(jìn)行全面的數(shù)字化信息系統(tǒng)管理,在一定程度上最大限度地存儲(chǔ)、整合、利用和共享這些數(shù)據(jù),實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證、數(shù)據(jù)采集平臺(tái)和信息管理平臺(tái),從而簡(jiǎn)化傳統(tǒng)的工作流程,最終實(shí)現(xiàn)高效率、高競(jìng)爭(zhēng)力、數(shù)字化管理的校園平臺(tái)。
近十年來,國(guó)內(nèi)各本科院校對(duì)于數(shù)字化校園的建設(shè)都比較重視,大中專院校也緊隨其后,進(jìn)行了數(shù)字化校園建設(shè)的思考和行動(dòng)。大家建設(shè)的目標(biāo)都以教學(xué)、管理、消費(fèi)和身份認(rèn)證等服務(wù)為一體的新型的工作、學(xué)習(xí)和生活環(huán)境為中心,并且在建設(shè)上已經(jīng)取得了一定的成效。
2 現(xiàn)狀
隨著信息化的進(jìn)一步發(fā)展和學(xué)校業(yè)務(wù)的不斷深化,海南軟件職業(yè)技術(shù)學(xué)院也開始數(shù)字化校園建設(shè)的步伐。1996年即開始使用食堂一卡通,隨著后來考勤系統(tǒng)、教務(wù)系統(tǒng)、財(cái)產(chǎn)管理系統(tǒng)的開發(fā)使用,使用過程中暴露出的安全隱患問題越來越多,而這些安全問題在數(shù)字化校園的建設(shè)中值得我們深思。如表1所示。
3 初步解決方案
3.1 自然災(zāi)害
自然災(zāi)害是無法避免和預(yù)防的,對(duì)于天災(zāi)造成的任何風(fēng)險(xiǎn)我們都不可避免,也就無法通過任何技術(shù)降低風(fēng)險(xiǎn),只能在災(zāi)難發(fā)生后想辦法恢復(fù)或者提前備份等。
那么對(duì)于自然災(zāi)害發(fā)生之后的安全問題,管理者需提前制定一套完整可行的事件救援、災(zāi)難恢復(fù)計(jì)劃及方案,做好計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用軟件及各種資料數(shù)據(jù)的備份,建立備份數(shù)據(jù)庫(kù)系統(tǒng)。
3.2 軟、硬件環(huán)境故障
校園網(wǎng)絡(luò)設(shè)備的正常工作對(duì)網(wǎng)絡(luò)安全的影響巨大,如果電力設(shè)備、UPS、空調(diào)等設(shè)備規(guī)劃設(shè)計(jì)出錯(cuò)、參數(shù)設(shè)置不當(dāng)、維護(hù)不及時(shí)或者維護(hù)方法不對(duì)等,都可能間接影響校園網(wǎng)絡(luò)的信息安全。
對(duì)于硬件故障,應(yīng)確保不超負(fù)荷運(yùn)行、建立完善完備的管理制度并且嚴(yán)格執(zhí)行,保證溫度、濕度、設(shè)備的參數(shù)設(shè)置等處于可監(jiān)管的狀態(tài),平時(shí)需定時(shí)審計(jì),以保證制度的執(zhí)行力度。軟件故障中的設(shè)計(jì)缺陷,一經(jīng)發(fā)現(xiàn)應(yīng)立即修正;安裝新軟件時(shí),充分考慮兼容性的要求,提前保護(hù)已經(jīng)存在的被共享使用的DLL文件,防止安裝過程中被其他文件覆蓋;出現(xiàn)非法操作提示或者藍(lán)屏等信息時(shí),仔細(xì)研究其原因并糾錯(cuò);對(duì)于系統(tǒng)的資源占用情況,及時(shí)監(jiān)察并進(jìn)行有效清理。
3.3 學(xué)校網(wǎng)站面臨的安全威脅
網(wǎng)站是學(xué)校對(duì)外信息交流的主要工作平臺(tái),但因其共享性較高,也易成為黑客的攻擊對(duì)象。部分學(xué)校的官方網(wǎng)站被惡意掛馬時(shí)有發(fā)生,經(jīng)調(diào)查掛馬率甚至達(dá)到3.15%。主要原因是服務(wù)程序本身存在漏洞,如Apache 或 IIS 的漏洞;也存在網(wǎng)頁程序編寫不完善導(dǎo)致的安全漏洞,如 SQL 注入、緩沖區(qū)溢出等;同時(shí)也存在因管理缺失而導(dǎo)致的服務(wù)器感染病毒。
對(duì)于數(shù)字化校園網(wǎng)站安全面對(duì)的威脅,除了定期查殺分析原因,且需定期檢查訪問流量,對(duì)于流量高峰要得隨時(shí)監(jiān)視處理,還有完善管理制度避免類似問題再次發(fā)生,用以保證網(wǎng)站安全。
3.4 應(yīng)用系統(tǒng)數(shù)據(jù)信息面臨的威脅
海南軟件職業(yè)技術(shù)學(xué)院的教務(wù)、人事、財(cái)務(wù)、一卡通等應(yīng)用系統(tǒng)的重要數(shù)據(jù)是數(shù)字化校園信息安全防護(hù)的重中之重。這些重要數(shù)據(jù)一旦被篡改甚至丟失,其后果是不堪設(shè)想。目前應(yīng)用系統(tǒng)數(shù)據(jù)信息面臨的主要風(fēng)險(xiǎn)有數(shù)據(jù)庫(kù)弱口令及默認(rèn)用戶名易被破解;DBA 的權(quán)限沒有嚴(yán)格的限制;有些權(quán)限控制功能嵌套在應(yīng)用程序中,攻擊者很可能利用程序編寫的漏洞將普通用戶的權(quán)限轉(zhuǎn)化為管理員的權(quán)限;數(shù)據(jù)庫(kù)管理方式和管理流程編制不得當(dāng),造成數(shù)據(jù)不準(zhǔn)和修改錯(cuò)誤等。
對(duì)于這些系統(tǒng)數(shù)據(jù)面臨的威脅,我們所能處理的就是進(jìn)行數(shù)據(jù)訪問控制、提醒用戶進(jìn)行密碼強(qiáng)口令、權(quán)限設(shè)置一定要合理合法,并且及時(shí)檢查日志,統(tǒng)計(jì)因操作不當(dāng)、密碼輸入錯(cuò)誤等原因引起的錯(cuò)誤,對(duì)錯(cuò)誤進(jìn)行及時(shí)統(tǒng)計(jì)分析,查清原因,從制度上杜絕此類事件發(fā)生。
3.5 校園網(wǎng)內(nèi)部用戶的安全隱患
校園網(wǎng)內(nèi)部用戶的安全威脅不容忽視。一方面,校園網(wǎng)終端用戶的木馬、蠕蟲、病毒等是校園網(wǎng)絡(luò)安全威脅之一;另一方面,校園網(wǎng)絡(luò)出口帶寬受限,有P2P應(yīng)用占用資源嚴(yán)重,可能造成正常工作時(shí)段網(wǎng)絡(luò)擁堵,影響了教學(xué)、科研、管理工作的正常運(yùn)行。
對(duì)于巨大流量問題只能通過辦公時(shí)間限制端口等問題進(jìn)行解決,而網(wǎng)絡(luò)擁堵則可通過限制網(wǎng)絡(luò)訪問人數(shù)等解決,當(dāng)然這些都應(yīng)該形成正常的監(jiān)測(cè)程序和制度,不能因工作人員的變換等影響其執(zhí)行。
4 結(jié)束語
總之,校園網(wǎng)絡(luò)安全的保障應(yīng)從小做起,從細(xì)節(jié)做起,時(shí)刻保障校園網(wǎng)絡(luò)的正常進(jìn)行以為教學(xué)提供優(yōu)質(zhì)服務(wù)。
參考文獻(xiàn)
[1] 凌冠華.高校數(shù)字化校園的數(shù)據(jù)建設(shè)和安全管理研究[J].價(jià)值工程,2010(29):202-203.
[2] 王陽.高校數(shù)字化校園信息安全策略探討[J].中國(guó)教育信息化.2011(3):29-61.
[3] 皇甫斌.淺談數(shù)字化校園的網(wǎng)絡(luò)安全建設(shè)[J].信息科技,2009(18):96-103.
[4] 張升平. 高校數(shù)字化校園體系結(jié)構(gòu)研究及實(shí)踐[D]. 長(zhǎng)沙:湖南大學(xué),2008.32-38.
[5] 章晟.拒絕服務(wù)攻擊和自相似網(wǎng)絡(luò)流量研究[D]. 杭州:浙江大學(xué),2010.18-29.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)