引論:我們為您整理了13篇信息安全議論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
1建立完善的網絡保管制度
1.1建立嚴格的機房管理制度,禁止無關人員隨便進出機房,網絡系統的中心控制室更應該有嚴格的出人制度。同時機房選址要可靠,重要部門的機房要有必要的保安措施。
1.2規定分級使用權限。首先,對計算機中心和計算機數據劃分密級,采取不同的管理措施,秘密信息不能在公開的計算機中心處理,密級高的數據不能在密級低的機中心處理;其次,根據使用者的不同情況,規定不同使用級別,低級別的機房不能進行高級別的操作;在系統開發中,系統分析員、程序員和操作員應職責分離,使知悉全局的人盡可能少。
1.3加強對媒體的管理。錄有秘密文件的媒體,應按照等密級文件進行管理,對其復制、打印、借閱、存放、銷毀等均應遵守有關規定。同一片軟盤中不要棍錄秘密文件和公開文件,如果同時錄有不同密級的文件,應按密級最高的管理。還應對操作過程中臨時存放過秘密文件的磁盤以及調試運行中打印的廢紙作好妥善處理。
2從技術上保證網絡檔案信息的安全
2.1使用低輻射計算機設備。這是防止計算機輻射泄密的根本措施,這些設備在設計和生產時,已對可能產生信息輻射的元器件、集成電路、連接線和等采取了防輻射措施,把設備的信息輻射抑制到最低限度。
2.2屏蔽。根據輻射量的大小和客觀環境,對計算機機房或主機內部件加以屏蔽,檢測合格后,再開機上作。將計算機和輔助設備用金周屏蔽籠(法拉第籠)封閉起來,并將全局屏蔽籠接地,能有效地防止計算機和輔助設備的電磁波輻射。不具備上述條件的,可將計算機輻射信號的區域控制起來,不許外部人員接近。
2.3干擾。根據電子對抗原理,采用一定的技術措施,利用干擾器產生噪聲與if調:機設備產生的信息輻射一起向外輻射。對計算機的輻射信號進行一于擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。不具備上述條件的,也可將處理重要信息的計算機放在中間,四周置放處理一般信息的計算機。這種方法可降低輻射信息被接收還原的可能性。
2.4對聯網泄密的技術防范措施:一是身份鑒別。計算機對用戶的識別,主要是核查用戶輸人的口令,網內合法用戶使用資源信息也有使用權限問題,因此,對口令的使用要嚴格管理。二是監視報警。對網絡內合法用戶工作情況作詳細記錄,對非法用戶,計算機將其闖人網絡的嘗試次數、時間。電話號碼等記錄下來,并發出報警,依此追尋非法用戶的下落。三是加密。將信息加密后存貯在計算機里,并注上特殊調用口令。
篇2
隨著醫院業務對IT系統的依賴不斷增大,用戶對于醫院系統的可用性要求也不斷上升。一旦某一臺服務器由于軟件、硬件或人為原因發生問題時,系統必須維持正常運行。因此,應采用雙機熱備份的方式實現系統集群,提高系統可用性。服務器以主從或互備方式工作,通過心跳線偵查另一臺服務器的工作情況,一旦某臺機器發生故障,另外一臺立即自動接管,
變成工作主機,平時某臺機器需要重啟時,管理員可以在節點間任意切換,整個過程只要幾秒鐘,將系統中斷的影響降到最低。此外,還可以采用第三臺服務器做集群的備份服務器。在制度上,建立服務器管理制度及防護措施,如:安全審計、入侵檢測(IDS)、防病毒、定期檢查運行情況、定期重啟等。
3網絡安全
惡意攻擊是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。
醫院網絡信息安全是一個整體的問題,系統網絡所產生數據是醫院賴以生存的寶貴財富,一旦數據丟失或出現其他問題,都會給醫院建設帶來不可估量巨大的損失。所以必須高度重視,必須要從管理與技術相結合的高度,制定與時俱進的整體管理策略,并切實認真地實施這些策略,才能達到提高網絡信息系統安全性的目的。
4數據庫安全
在醫院信息系統的后臺,數據信息是整個系統的靈魂,其安全性至關重要,而數據庫管理系統是保證數據能有效保存、查詢、分析等的基礎;數據被安全存儲、合法地訪問數據庫以及跟蹤監視數據庫,都必須具有數據有效訪問權限,所以應該實現:數據庫管理系統提供的用戶名、口令識別,試圖、使用權限控制、審計、數據加密等管理措施;數據庫權限的劃分清晰,如登錄權限、資源管理權限和數據庫管理權限;數據表的建立、數據查詢、存儲過程的執行等的權限必須清晰;建立用戶審計,記錄每次操作的用戶的詳細情況;建立系統審計,記錄系統級命令和數據庫服務器本身的使用情況。
醫院如何開展信息安全工作,應該本著從實際出發的精神,先進行風險評估,研究信息系統存在的漏洞缺陷、面臨的風險與威脅,對于可能發現的漏洞、風險,制定相應的策略:首先在技術上,確定操作系統類型、安全級別,以選擇合適的安全的服務器系統和相關的安全硬件;再確定適當的網絡系統,從安全角度予以驗證;選擇合適的應用系統,特別要強調應用系統的身份認證與授權。在行為上,對網絡行為、各種操作進行實時的監控,對各種行為規范進行分類管理,規定行為規范的范圍和期限,對不同類型、不同敏感度的信息,規定合適的管理制度和使用方法,限制一些不安全的行為。在管理上,制定各項安全制度,并定期檢查、督促落實;確定醫院的安全領導小組,合理分配職責,做到責任到人。
當然,還要意識到信息安全工作的開展有可能會影響到系統使用的方便性,畢竟,安全和方便是矛盾的統一體,要安全就不會很方便,相關工作效率必定降低,要方便則安全得不到保證,因此必須權衡估量。
參考文獻:
[1]王淑容,劉平.醫院管理信息系統的設計與實現.四川輕化工學院學報.2002.
篇3
2提高醫院網絡信息安全性能的有效技術措施
對于醫院網絡信息系統來說,現階段主要安全問題指的是計算機病毒以及黑客惡意攻擊。其中計算機病毒指的是一種惡意破壞計算機系統的程序,并且隨著計算機網絡技術的發展,病毒的形式多種多樣,給計算機網絡帶來巨大的威脅。另外,計算機病毒具有很強的破壞性、傳染性、隱蔽性,不容易被發覺。當醫院信息系統感染病毒后,計算機運行速度減慢,降低了醫院工作效率,嚴重時造成整個信息系統癱瘓,影響醫院各項工作的運轉;黑客指的是惡意攻擊入侵他人計算機系統的人,隨著信息技術的發展與普及,黑客入侵事件頻頻發生。當黑客侵入醫院網絡信息系統后,可能竊取相關信息,甚至會對相關數據進行惡意刪除與更改,導致醫院信息數據丟失,威脅整個網絡信息系統的安全。基于此類安全問題,主要采取的技術措施包括以下幾個方面:
2.1強化醫院網絡信息系統數據加密技術的應用
數據加密技術是傳統的計算機數據保護技術之一,就是通過特定的方式,將醫院網絡信息數據進行從新組合表示,表示形式多為一堆亂碼,這樣即使入侵者得到加密文件,也根本看不懂文件的內容,防止入侵者對其進行惡意改動。應用數據加密技術,能夠確保醫院網絡信息系統數據的安全,增強了醫院信息數據的保密性與可靠性。
2.2強化防火墻技術
防火墻技術在當前醫院網絡信息系統中應用廣泛,是一種有效的信息安全防范技術。其實質就是在多個網絡間,通過相關設置,控制網絡間的訪問,并且能夠對用戶訪問信息進行有效的監測。只有在確認用戶信息后,才允許進行訪問,對于訪問信息不能確認的用戶不給予放行。利用防火墻技術,能夠過濾掉絕大部分非法用戶以及引起系統不安全的因素,實現對醫院內部網絡信息系統的安全保護,降低系統受到惡意攻擊的可能性。
2.3強化防病毒技術
現階段,醫院網絡信息系統防病毒技術主要體現在防病毒軟件的使用方面,即在醫院中心系統、局域網等上加裝防病毒軟件。目前較為常用的防病毒軟件包括卡巴斯基、諾頓等國外軟件以及瑞星、金山毒霸等國內軟件。這些防病毒軟件不僅可以起到抵御病毒的作用,還可以實現對未知文件的實時檢測與查殺。但是計算機病毒更新速度很快,這就需要及時對防病毒軟禁進行升級更新,才能發揮其應有的效果。補丁也是防病毒技術中重要的一種,能夠修補計算機系統漏洞,降低系統受到病毒攻擊的可能性。在醫院網絡信息系統中安裝漏洞甄別系統,及時發現并提醒補丁下載,增強系統的安全性能。
2.4強化醫院網絡信息安全管理
加強網絡安全管理需要在新網絡系統建設初期對其的安全運行進行整體的評估與設計,強化對相關系統的安全評測,建立完善的信息安全加固系統,保證系統安全穩定的運行。其次,要建立完善的網絡信息安全管理制度,并明確安全責任。另外,要加強對網絡系統的安全檢查工作,不斷的提升網絡安全系數,完善安全運行機制。最后,要強相關人才的培養,壯大計算機網絡安全維護力量,為計算機網絡安全創造良好的環境。另外對重要的數據一定要選擇一個存儲器做好定期備份工作,以避免數據被破壞的時候,可以及時進行補救。
篇4
(二)TCP/IP協議主要工作流程
TCP/IP協議主要工作流程如下(以文件傳輸為例):
(1)源主機應用層將相關數據流傳送給傳輸層。
(2)傳輸層將數據流進行分組,并加上TCP包頭傳送給網絡層。
(3)在網絡層加上包括源、目的主機IP地址的IP報頭,生成IP數據包,并將生成的IP數據包傳送至鏈路層。
(4)在鏈路層將MAC幀的數據部分裝入IP數據包,然后將源、目的主機的MAC地址和幀頭加上,并根據目的主機的MAC地址,將完整的MAC幀發往目的主機或者IP路由器。
(5)MAC幀到達目的主機后,在鏈路層將MAC幀的幀頭去掉,并將去掉MAC幀頭的IP數據包傳送至網絡層。
(6)網絡層對IP報頭進行檢查,如果校驗與計算結果不同,則將該IP數據包丟棄,如果結果一致就去掉IP報頭,將TCP段傳送至傳輸層。
(7)傳輸層對順序號進行檢查,判斷是否是正確的TCP分組,然后再對TCP報頭數據進行檢查。如果正確就源主機發出確認信息,如果不正確或者是出現丟包,就想源主機發出重發要求。
(8)在目的主機的傳輸層將TCP報頭去掉后根據順序對分組進行組裝,然后將組裝好的數據流傳送給應用程序。這樣目的主機接收到的來自于源主機的數據量,就像直接接收來自源主機的數據一樣。
二、TCP/IP協議的安全性
TCP/IP協議在設計之初沒有對安全問題考慮很多,但是在安全性方面仍然有著其自身的優勢。
(一)TCP/IP協議的安全性
首先,TCP協議是面向連接的協議,指的是在進行通信前,通信雙方需要建立起連接才能夠進行通信,在通信結束后終止連接。當目的主機接收到由源主機發來的IP數據包后,會通過TCP協議向源主機發送確認消息。同時在TCP協議中有一個重傳記時器(RTO),源主機從IP包發送時開始計時,如果在超時前接收到了確認信號,計時器歸零;如果計時超時,則表示IP包已丟失,源主機重傳。利用這個計時器能夠保證數據傳輸的完整性,而且TCP協議能夠根據不同的情況來規定計時時長。TCP協議為應用層提供了面向連接的服務,從而保證了網絡上所傳送的數據包被完整、正確、可靠地接收。
其次,利用IP協議進行信息傳送,就像信息的明信片傳送,對于運營商設備、協議乃至網絡拓撲對用戶均屬開放可見。這也就是說,安全服務的提供不需要應用程序、其他通信層次和網絡部件做任何改動。但是這種透明性也是容易被利用的一種安全漏洞。
(二)TCP/IP協議存在的安全問題
TCP/IP協議所存在的安全性問題主要體現在以下的幾方面。TCP/IP協議是建立在可信環境之下的,在考慮網絡互聯時缺乏對安全方面的考慮。TCP/IP協議是建立在三次握手的基礎上的,三次握手本就存在一定的不安全因素。TCP/IP這種基于地址的協議本身就會泄露口令,并會經常運行一些無關程序。同時互聯網技術對底層網絡的硬件細節進行了屏蔽,使得不同種類的網絡能夠進行互相通信。這就給“黑客”攻擊網絡提供了更多的機會。因為很多程序都需要利用TCP協議來來作為傳輸層協議,因此TCP協議的安全性問題會為網絡帶來嚴重的后果。同時TCP/IP協議是完全公開的,這就使得攻擊者利用遠程訪問就能夠的手,同時所連接的主機基于互相信任的原則也容易處于各種威脅之下。
三、利用TCP/IP協議保護信息安全
篇5
(3)客戶通信信息包括但不限于詳單、原始話單、賬單、客戶位置信息、客戶消費信息、基本業務訂購關系、增值業務(含數據業務)訂購關系、增值業務信息、客戶通信行為信息和客戶通信錄等。
(4)客戶通信內容信息包括但不限于客戶通信內容記錄、客戶上網內容及記錄和行業應用平臺上交互的信息內容。客戶信息安全面臨的風險和威脅主要包括因為權限管理與控制不當,導致客戶信息被隨意處置;因為流程設計與管理不當,導致客戶信息被不當獲取;因為安全管控措施落實不到位,導致客戶信息被竊取等。
2客戶信息安全保護的目標
客戶信息安全保護的目標如下。
(1)利用安全保護手段和審計系統對業務支撐網客戶信息的數據泄漏及篡改做到事前預防、事中控制、事后審計。
(2)通過管理制度及細化管理流程強化客戶信息安全的日常管理和審核,及時處理客戶信息泄密事件的處理,落實信息泄露的懲罰措施。
3客戶信息安全保護的要求
客戶信息安全保護的總體要求如下。
(1)對業務支撐網客戶信息按數據價值、數據安全需求兩方面進行分級管理。
(2)對業務支撐網客戶信息的所有存儲方式及獲取途徑應進行深入分析,及時發現并彌補業務層面和系統層面中可能導致客戶信息被篡改和泄漏的漏洞。
(3)利用安全技術和管理手段加強客戶信息管控,避免數據泄露和非法篡改。
4總體設計
結合業務支撐網客戶信息安全保護要求給出安全保護體系架構、功能模塊。主要從客戶信息授權鑒權、電子審批、數據提取控制、維護工具管理、數字水印、文檔管控、操作行為審計等方面加強客戶信息安全控制,提高業務支撐系統的客戶信息安全保障能力。
4.1體系架構
整個體系由數據層、應用層、服務層構成,每個層次分別對應客戶信息安全保護的主要功能模塊。
4.2功能模塊設計
整個客戶信息安全保護體系功能模塊設計和系統交互。下面針對每個部分進行詳細功能設計。
4.2.1授權與訪問控制
通過4A管理平臺實現維護終端集中化授權與訪問控制。4A管理平臺上采用堡壘主機的技術,基于用戶的權限,進行統一的資源層和應用層訪問控制,避免維護人員使用不安全的終端直接訪問客戶信息。4A管理平臺進行統一的審計操作,原有系統功能和性能不會受到影響,在減輕管理員負擔的同時,提高了賬號控制和操作審計。
4.2.2客戶信息鑒權控制
客戶信息鑒權控制首先對業務支撐網中所存儲的數據進行梳理調研,根據數據機密性把數據分為敏感數據和非敏感數據兩大類,并對敏感數據按機密程度級別進行分類。鑒權控制模塊包括數據屬性綜合分析、實體敏感度定義、內容敏感度定義、屬性敏感度定義、敏感度分級、敏感度分級核查和數據安全鑒權控制調度等7部分;本文工程數據安全鑒權控制主要實現以下目標。
(1)數據屬性綜合分析:制定敏感數據定義原則,并對全網的數據進行分析整理,分析出當前業務支撐網中的所有敏感數據的存儲位置和訪問方式。
(2)實體敏感度:實體敏感度是根據實體的保密程度來劃分的敏感度。數據庫表實體根據業務內容和行業背景等視角的不同,其敏感級別也有所不同。
(3)內容敏感度:根據實體內容的保密程度來設定的敏感度。根據數據庫實體關鍵屬性值的不同,其相對的保密程度也有所不同。如按月周期(或其它周期)屬性來劃分,將數據分為當月、3個月內、6個月內,并分別設置不同的敏感級別,擁有不同級別的用戶所能查看的KPI周期范圍就會不同。內容敏感度的優先級低于實體敏感度。
(4)屬性敏感度:屬性敏感度是根據實體屬性(如字段)的保密程度來劃分的敏感度。梳理系統的所有數據庫表及其字段信息,運用這些集中管理的實體屬性內容,給每個屬性設置相應的敏感級別。在數據敏感度控制方面,屬性敏感度的優先級僅次于實體敏感度。用戶首先要有實體的瀏覽權限,才進一步考慮屬性敏感度。
(5)敏感度分級:根據敏感數據的實體敏感度、內容敏感度、屬性敏感度來計算出數據的敏感度級別。
(6)敏感度分級核查:根據預訂的檢查策略和規則對敏感數據的分級進行核查。
(7)數據安全鑒權控制調度:實現對數據安全鑒權控制的整體調度管理,負責對敏感數據模塊的整體控制。
4.2.3電子審批管理
電子審批模塊包括自管理模塊、審批內容管理、審批時間管理、電子審批引擎、電子審批服務支撐、審批賦權管理、電子驗證碼管理、臨時訪問審批管理、永久賦權審批管理和審批任務管理等。用戶訪問業務支撐網時,如需要臨時性獲得直接上級某個功能點的用戶權限,訪問用戶需進行權限升級的電子審批,將電子驗證碼傳給業務支撐門戶,由業務支撐應用門戶向訪問用戶的直接上級發送。直接上級如同意該申請則轉發電子驗證碼到訪問用戶,訪問用戶輸入該電子驗證碼通過審批,用戶通過審批后在限定時間內獲得查看權限;如直接上級不同意該申請則不進行轉發。
4.2.4數字水印管理
數字水印模塊包括自管理模塊、敏感度內容配置、數字水印生成引擎、數字水印調用管理、用戶數據采集、數字水印配置服務、條形碼規則管理、水印校驗服務和流程管理接口等。主要實現以下目標。(1)自管理模塊:負責數字水印服務自身的配置管理,主要包括用戶管理、敏感數據內容控制等功能。(2)敏感度內容配置:負責數字水印服務自身的配置管理,主要包括用戶管理、敏感數據內容控制等功能。(3)數字水印生成引擎:水印生成引擎給請求的應用返回數字水印圖片文件,數字水印圖片文件由用戶的條碼圖多次重復出現形成,用戶條碼圖用請求應用的用戶ID計算得出的,不同的用戶ID生成不同的條碼圖。(4)數字水印調用管理:負責對業務支撐系統提供數字水印服務的整套調度和支撐管理。(5)用戶數據采集:根據數字水印的生成需要,采集業務支撐系統的訪問員工ID、時間日期、登錄IP及菜單ID等信息。(6)數字水印配置服務:負責用戶訪問頁面時調用數字水印服務的配置管理,通過配置來定義哪些業務支撐網內容需要提供數字水印服務。(7)條形碼規則管理:定義數字水印的條形碼規則,根據規則實現計算、加密、編碼并進一步生成用戶條碼。(8)水印校驗服務:提供后臺服務,管理人員可以通過該功能解讀條形碼并找出真正的用戶姓名。用戶訪問頁面時可以根據訪問員工ID、時間日期、登錄IP及菜單ID生成數字水印信息內容,將數字水印信息內容傳送給業務支撐系統,由業務支撐系統門戶進行水印展現。
4.2.5客戶信息取數控制
4A管理平臺針對客戶信息訪問提供了圖形化工具與審計相結合的集中管理,構建了一個完整的用戶管理、用戶鑒權、操作審計和訪問控制的體系。不再允許用戶對數據庫后臺資源的直接訪問;需要將通過數據庫的堡壘取數控制主機來訪問,由堡壘主機預裝的圖形化工具訪問數據庫的后臺資源。
4.2.6維護工具集中管理
客戶信息的維護工具通過4A管理平臺進行統一的Web,將系統運行維護工作所涉及的應用軟件或工具集中部署在4A管理平臺服務器上。通過Web方式來向不同用戶或用戶群并僅其所需應用;用戶在客戶端通過IE瀏覽器訪問權限訪問內的客戶信息。
4.2.7客戶信息文檔管控
針對業務支撐網中涉及客戶信息訪問的維護人員都建立一個個人文件夾,個人文件夾的文件存放在4A文檔服務器上,通過4A管理平臺訪問每個賬號的文件夾。文件夾設置權限為只能某個主賬號訪問。管理中心通過FTP協議訪問文檔服務器的目錄,客戶端通過HTTP協議管理文件夾,上傳下載通過HTTP/FTP協議。實現客戶信息批量文檔下載操作行為的可控化,如果維護人員的確因業務需要下載用戶數據,則需要根據事先約定的申請、審批等環節,同時通過短信通知上級主管,形成基于信息安全監察機制的閉環控制體系。
4.2.8客戶信息訪問審計
通過4A管理平臺任何用戶使用和應用的過程可以被全程監控,其審計的內容包括錄像審計、SecurerCRT審計、Sql訪問審計、客戶信息批量下載審計等。任何用戶使用維護功能的過程將被全程監控:用戶的操作行為及顯示器上的內容變化可以存放到集中存儲上,然后在需要的時候像看電影一樣回放。為有效利用資源和保護隱私,客戶信息訪問審計允許靈活定制以時間、角色、應用名稱、位置為參數的錄像策略來控制錄像的開始和停止。業務支撐系統從各環節層次抽取的審計日志信息,按照4A管理平臺的要求對其進行重新過濾和格式化整理,并最終進行日志信息入庫。整個過程需實現處理的流程化及自動調度機制,以保證4A管理平臺能夠及時地獲取日志數據。4A管理平臺提供統一日志采集接口(API或WebServices),所有應用系統都可以調用該接口,記錄日志信息。
5意義
客戶信息保護體系的建設是以強化業務支撐系統數據安全管理,實現信息安全審計、數據安全保護為最終目的。通過對系統權限、操作日志、訪問控制等安全措施,滿足中國移動在客戶信息安全保護方面的需求,提升業務支撐系統抗客戶信息安全風險能力,更進一步推動業務支撐系統的持續、健康發展。
篇6
對于醫院信息網絡安全風險的應對,我們要針對信息網絡系統中常見的安全網絡風險,從提高技術水平與與加強網絡管理兩方面入手,采取正確的對策,防范醫院信息網絡安全事故的發生。
2.1從技術手段應對安全風險
1)防范操作系統漏洞帶來的威脅針對信息網絡操作系統存在漏洞的情況,我們可以采用漏洞掃描技術,實時的檢測系統安全狀況,同時記錄系統運行的工作參數,及時發現系統中存在的安全漏洞,并且自動對漏洞進行修補。另外,我們還可以大力發展信息系統的容災技術。所謂系統的容災技術,就是系統可以容忍一定的錯誤的出現,此時錯誤并不影響系統的正常工作。當系統因安全事故癱瘓時,容災技術又可以在最短的時間內使系統恢復正常,同時還能夠快速的恢復系統數據。對此,我們可以利用服務器虛擬化技術,建立一個由2臺以上服務器組成的云集群,這樣可以及時的對信息系統的工作數據進行備份,同時還可以有效的預防因服務器故障造成信息系統癱瘓的問題。另外,還可以采取新型的數據存儲技術,擴大信息網絡的信息存儲容量,提高信息存儲的速度,確保信息的安全可靠。2)防范網絡病毒與黑客入侵的威脅在計算機行業中,我們一般是依靠防火墻技術與殺毒軟件來防范黑客和病毒的入侵。目前計算機行業的防火墻技術可以防范大部分的黑客入侵,但是凡事都有例外,一些計算機技術比較精湛的黑客還是可以繞過防火墻,進入醫院信息網絡系統中,因此我們不能只采用防火墻這一種防護技術。為更好的抵御黑客的入侵保護數據安全,我們還可以使用數據加密技術。數據加密技術可以對想要存儲的信息進行重新編碼,使非用戶無法獲得信息的真正內容,從而保護了信息的安全。數據加密技術按照作用分為多種,因此我們要結合信息存儲和提取中的各個環節采用不同的加密技術,以保證數據傳輸、儲存、提取過程中的安全性。
篇7
(3)網絡通信安全較為脆弱。網絡通信安全五項指標中,網絡攻擊防護與業務文檔記錄方面,醫院相對比較重視,比例分別達到94%與84%,但實地調查發現其網絡攻擊防護還處于低水平狀態。實行網絡隔離與訪問控制的醫院僅占30%,大多數醫院網絡訪問隨意性大,醫院網絡可隨意互訪,信息流通和共享暢通無阻,這給醫院信息安全帶來極大的安全隱患。實行入侵檢測的醫院不到30%,說明中國數字化醫院還處于被動防御階段,遠未達到主動防御水平,同時信息系統的縱深防護水平不高,由此導致數字化醫院以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生。實行密鑰管理的醫院則僅13%,說明醫院網絡密鑰其實幾乎還處于無人監管狀態。
(4)人員安全隱患重重。人員安全四項指標調查結果都不容樂觀,尤其是進行第三方合作合同的控制和管理的醫院僅占10%,說明中國數字化醫院在人員安全管理方面還遠未重視,由此導致醫院內部存在大量網絡操作違規現象。如,網絡操作人員隨意將自己的登錄賬號轉借他人,隨意將一些存儲介質接入信息系統,未經授權同時訪問外網與內網,一些人員為了謀取個人私利,非法訪問內部網絡,竊取、偽造、篡改醫療數據等,這使得中國數字化醫院信息安全事故頻頻發生。
(5)組織管理安全有待加強。組織管理安全四項指標中,160家醫院都設置了安全管理組織機構,說明所有醫院都很重視信息安全管理工作,但安全管理制度完整的醫院僅114家,且多數在應急管理制度制定方面較為欠缺,而安全管理制度實施情況調查顯示,只有40%的醫院安全管理制度得到實施,這意味著60%的醫院的安全管理制度形同虛設。在人力財力保障方面給予充分保障的醫院不到50%,由于缺乏人力財力的保障,目前許多醫院信息安全系統建設難以為繼。綜上所述,中國數字化醫院還存在著極大的信息安全隱患。因此,數字化醫院信息安全建設已迫在眉睫。
2動態網絡安全模型的比較分析
面對復雜多樣的信息安全風險以及日益嚴峻的信息安全局勢,動態網絡安全模型為中國數字化醫院信息安全建設提供了理論基礎。典型的動態網絡安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,這些安全模型各有特點,各有側重,已廣泛應用于多個領域的信息安全建設實踐。環節。它強調在安全策略的指導下,綜合采用防火墻、VPN等安全技術進行防護的同時,利用入侵檢測系統等檢測工具,發現系統的異常情況,以及可能的攻擊行為,并通過關閉端口、中斷連接、中斷服務等響應措施將系統調整到一個比較安全的狀態。其中,安全策略是核心,防護、檢測和響應環節組成了一個完整、動態的安全循環,它們共同保證網絡系統的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎上增加恢復(Recovery)環節發展而來,由防護(Protection)、檢測(Detection)、響應(Re-sponse)和恢復(Recovery)四個環節組成(見圖2)。其核心思想是在安全策略的指導下,通過采取各種措施對需要保護的對象進行安全防護,并隨時進行安全跟蹤和檢測以了解其安全狀態,一旦發現其安全受到攻擊或存在安全隱患,則馬上采取響應措施,直至恢復安全保護對象的安全狀態。與PPDR模型相比,PDRR模型更強調一種故障的自動恢復能力,即系統在被入侵后,能迅速采取相應措施將系統恢復到正常狀態,從而保障系統的信息安全。因此,PDRR模型中的安全概念已經從信息安全擴展到了信息保障,信息保障內涵已超出傳統的信息安全保密,是防護、檢測、響應、恢復的有機結合。
3基于動態網絡安全模型的中國數字化醫院信息安全體系構建
結合動態網絡安全模型,并依據《信息安全技術信息系統安全等級保護基本要求》(GB/T22239—2008)、《信息安全技術信息系統等級保護安全設計技術要求》(GB/T25070—2010)等標準規范,本文試構建一個以信息安全組織機構為核心,以信息安全策略、信息安全管理、信息安全技術為維度的數字化醫院信息安全體系三維立體框架。即,在進行數字化醫院信息安全建設時,我們應成立一個信息安全組織機構,并以此為中心,通過制定信息安全總體策略、加強信息安全管理,利用各項信息安全技術,并將其貫徹在預警、保護、檢測、響應、恢復和反擊6個環節中,針對不同的安全威脅,采用不同的安全措施,從而對系統物理設備、系統軟件、數據信息等受保護對象進行全方位多層次保護。
(1)信息安全組織機構是數字化醫院信息安全體系構成要素中最重要的因素,在信息安全體系中處于核心地位。它由決策機構、管理機構與執行機構三部分組成。其中,決策機構是醫院信息安全工作的最高領導機構,負責對醫院信息安全工作進行總體規劃與宏觀領導,其成員由醫院主要領導及其他相關職能部門主要負責人組成。管理機構在決策機構的領導下,負責信息安全體系建設規劃的制定,以及信息安全的日常管理工作,其成員主要來自于信息化工作部門,也包括行政、人事等部門相關人員參與。執行機構在管理機構的領導下,負責保證信息安全技術的有效運行及日常維護,其成員主要由信息化工作部門相關技術人員及其他相關職能部門的信息安全員組成。信息安全組織機構應對醫院信息安全工作進行科學規劃,經常進行不定期的信息安全檢查、評估和應急安全演練。其中對那些嚴重危及醫院信息安全的行為應進行重點管理和監督,明確信息安全責任制,從而保證信息安全各項工作的有效貫徹與落實。
(2)信息安全策略是數字化醫院信息安全得以實現的基礎。其具體制定應依據國家信息安全戰略的方針政策、法律法規,遵循指導性、原則性、可行性、動態性等原則,按照醫療行業標準規范要求,并結合醫院自身的具體情況來進行,由總體方針與分項策略兩個層次組成,內容涵蓋技術層、管理層等各個層面的安全策略,最終實現“進不來、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在訪問控制機制方面做到“進不來”、授權機制方面做到“拿不走”、加密機制方面做到“看不懂”、數據完整性機制方面做到“改不了”、審計/監控/簽名機制方面做到“逃不掉”。
(3)信息安全管理是數字化醫院信息安全得以實現的保障。它包括人員管理、技術管理和操作管理等方面。當前中國數字化醫院在信息安全管理中普遍存在的問題:在安全管理中對人的因素重視不夠、缺乏懂得管理的信息安全技術人員、信息安全意識不強、員工接受的教育和培訓不夠、安全管理中被動應付的較多等。因此,數字化醫院一方面應加強全員信息安全意識,加大信息安全人員的引進、教育與培訓力度,提高信息安全管理水平;另一方面應制定具體的信息安全管理制度,以規范與約束相關人員行為,保證信息安全總體策略的貫徹與信息安全技術的實施。
(4)信息安全技術是數字化醫院信息安全得以實現的關鍵。數字化醫院信息安全建設涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災、數據加密、安全加固和緊急響應等技術手段,它們貫穿于信息安全預警、保護、檢測、響應、恢復與反擊六個環節。數字化醫院應切實加強這六個環節的技術力量,確保其信息安全得以實現,具體體現在:①預警。醫院應通過部署系統監控平臺,實現對路由器、交換機、服務器、存儲、加密機等系統硬件、操作系統和數據庫等系統軟件以及各種應用軟件的監控和預警,實現設備和應用監控預警;或采用入侵防御系統,分析各種安全報警、日志信息,結合使用網絡運維管理系統,實現對各種安全威脅與安全事件的預警;并將這些不同層面的預警,統一到一套集中的監控預警平臺或運維管理平臺,實現統一展現和集中預警。②保護。主要包括物理安全、系統安全與網絡通信安全等方面的安全保護。對于中心機房、交換機、工作站、服務器等物理設備的安全防護,主要注意防水、防雷、防靜電以及雙機熱備等安全防護工作。系統安全主要包括操作系統與數據庫系統等的安全防護。操作系統的主要風險在于系統漏洞和文件病毒等。為此,醫院需運用防火墻技術控制和管理用戶訪問權限,并定期做好監視、審計和事件日志記錄和分析。所有工作站應取消光驅軟驅,屏蔽USB接口,同時為各個客戶端安裝殺毒軟件,并及時更新,從源頭上預防系統感染病毒。數據庫安全涉及用戶安全、數據保密與數據安全等。為此,需對數據庫進行權限設置。對于關鍵數據,應進行加密存儲。對于重要數據庫應做好多種形式的備份工作,如本地備份與異地備份、全量備份與增量備份等,以保證數據萬無一失。對于網絡通信安全防護,醫院網絡應采用物理隔離的雙網架構,如果內網確需開展對外的WWW等服務,應單獨設置VLAN,結合防火墻設備,通過設置DMZ的方式實現與外界的安全相連。同時,醫院應合理的設置網絡使用權限,嚴格進行用戶網絡密碼管理,防止越權操作。③檢測。檢測是從監視、分析、審計信息網絡活動的角度,發現對于信息網絡的攻擊、破壞活動,提供預警、實時響應、事后分析和系統恢復等方面的支持,使安全防護從單純的被動防護演進到積極的主動防御。前述防護系統能阻止大部分入侵事件的發生,但是它不能阻止所有的入侵。因此安全策略的另一個重要屏障就是檢測。常用工具是入侵檢測系統(IDS)和漏洞掃描工具。利用入侵檢測系統(IDS)對醫院系統信息安全狀況進行實時監控,并定期查看入侵檢測系統生成的報警日志,可及時發現信息系統是否受到安全攻擊。而通過漏洞掃描工具,可及時檢測信息系統中關鍵設備是否存在各種安全漏洞,并針對漏洞掃描結果,對重要信息系統及時進行安全加固。④響應。主要包括審計跟蹤、事件報警、事件處理等。醫院應在信息系統中部署安全監控與審計設備以及帶有自動響應機制的安全技術或設備,當系統受到安全攻擊時能及時發出安全事故告警,并自動終止信息系統中發生的安全事件。為了確保醫院正常的醫療服務和就醫秩序,提高醫院應對突發事件的能力,醫院還應成立信息安全應急響應小組,專門負責突發事件的處理,當醫院信息系統出現故障時,能迅速做出響應,從而將各種損失和社會影響降到最低。其他事件處理則可通過咨詢、培訓和技術支持等得到妥善解決。⑤恢復。主要包括系統恢復和信息恢復兩個方面。系統恢復可通過系統重裝、系統升級、軟件升級和打補丁等方式得以實現。信息恢復主要針對丟失數據的恢復。數據丟失可能來自于硬件故障、應用程序或數據庫損壞、黑客攻擊、病毒感染、自然災害或人為錯誤。信息恢復跟數據備份工作密切相關,數據備份做得是否充分影響到信息恢復的程度。在信息恢復過程中要注意信息恢復的優先級別。直接影響日常生活和工作的信息必須先恢復,這樣可提高信息恢復的效率。另外,恢復工作中如果涉及機密數據,需遵照機密系統的恢復要求。⑥反擊。醫院可采用入侵防御技術、黑客追蹤技術、日志自動備份技術、安全審計技術、計算機在線調查取證分析系統和網絡運維管理系統等手段,進行證據收集、追本溯源,實現醫院網絡安全系統遭遇不法侵害時對各種安全威脅源的反擊。
篇8
篇9
1.信息安全保護能力技術要求分類中,業務信息安全類記為A。
錯誤
2.OSI安全體系結構標準不是一個實現的標準,而是描述如何設計標準的標準。正確
3.只靠技術就能夠實現安全。
錯誤
4.災難恢復和容災是同一個意思。
正確
5.VPN與防火墻的部署關系通常分為串聯和并聯兩種模式。
正確
6.美國的布什切尼政府把信息高速公路,互聯網的發展推動起來了。
錯誤
7.兩種經濟形態并存的局面將成為未來世界競爭的主要格局。
正確
8.電子商務是成長潛力大,綜合效益好的產業。
正確
9.電子商務促進了企業基礎架構的變革和變化。
正確
10.在企業推進信息化的過程中應認真防范風險。
正確
11.科研課題/項目是科學研究的主要內容,也是科學研究的主要實踐形式,更是科研方法的應有實踐范疇,是科研管理的主要抓手。
正確
12.科研方法注重的是研究方法的指導意義和學術價值。
錯誤
13.西方的“方法”一詞來源于英文。
錯誤
14.科學觀察可以分為直接觀察和間接觀察。
正確
15.統計推論目的是對整理出的數據進行加工概括,從多種角度顯現大量資料所包含的數量特征和數量關系。
錯誤
16.學術論文是學位申請者為申請學位而提交的具有一定學術價值的論文。
錯誤
17.期刊論文從投稿到發表需要有一個編輯評價的標準,但是它更需要有一個質量的監控體系、監控體制。
正確
18.科研成果是衡量科學研究任務完成與否、質量優劣以及科研人員貢獻大小的重要標志。正確
19.一稿多投產生糾紛的責任一般情況由作者承擔。
正確
20.知識產權保護的工程和科技創新的工程是一個系統的工程,不是由某一個方法單獨努力就能做到的,需要國家、單位和科研工作者共同努力。
正確
二、單項選擇(每題2分)
21.信息安全的安全目標不包括(C)。
A、保密性
B、完整性
D、可用性
22.《計算機信息系統安全保護條例》規定,(B)主管全國計算機信息安全保護工作。
A、國家安全部
B、公安部
C、國家保密局
D、教育部
23.《計算機信息系統安全保護條例》第14條規定:“對計算機信息中發生案件,有關使用單位應當在24小時內向當地(B)人民政府公安機關報告。”
A、區級以上
B、縣級以上
C、市級以上
D、省級以上
24.根據SHARE 78標準,在(D)級情況下,備份中心處于活動狀態,網絡實時傳送數據、流水日志、系統處于工作狀態,數據丟失與恢復時間一般是小時級的。
A、本地冗余設備級
B、應用冷備級
C、數據零丟失級
D、應用系統溫備級
25.(A)是密碼學發展史上唯一一次真正的革命。
A、公鑰密碼體制
B、對稱密碼體制
C、非對稱密碼體制
D、加密密碼體制
26.以下(C)不屬于計算機病毒特征。
A、潛伏性
B、傳染性
C、免疫性
D、破壞性
27.在進行網絡部署時,(B)在網絡層上實現加密和認證。
A、防火墻
B、VPN
C、IPSec
D、入侵檢測
28.美國(A)政府提出來網絡空間的安全戰略
A、布什切尼
B、克林頓格爾
C、奧巴馬克林頓
D、肯尼迪
29.對于電子商務發展存在的問題,下列說法中錯誤的是(C)
A、推進電子商務發展的體制機制有待健全
B、電子商務發展的制度環境不完善
C、電子商務的商業模式成熟
D、電子商務對促進傳統生產經營模
30.下列選項中,不屬于電子商務規劃框架的是(C)
A、應用
B、服務
C、物流
D、環境
31.(D)是創新的基礎。
A、技術
C、人才
D、知識
32.兩大科研方法中的假設演繹法以(B)為代表。
A、達爾文的《進化論》
B、笛卡爾的《論方法》
C、馬克思的《資本論》
D、弗蘭西斯?培根的《新工具》
33.以下不屬于理論創新的特征的是(D)
A、繼承性
B、斗爭性
C、時代性
D、減速性
34.(A)主要是應用已有的理論來解決設計、技術、工藝、設備、材料等具體技術問題而取得的。
A、科技論文
B、學術論文
C、會議論文
D、學位論文
35.(B)是通過查閱相關的紙質或電子文獻資料或者通過其他途徑獲得的行業內部資料或信息等。
A、直接材料
B、間接材料
C、加工整理的材料c
D、實驗材料
36.(C)是整個文章的整體設計,不僅能指導和完善文章的具體寫作,還能使文章所表達的內容條理化、系統化、周密化。
A、摘要
B、引言
C、寫作提綱
D、結論
37.期刊論文的發表載體是(C)。
A、娛樂雜志
B、生活雜志
C、學術期刊
D、新聞報紙
38.(B)是指科研課題的執行人在科研過程中要向科研主管部門或課題委托方匯報研究工作的進度情況以及提交階段性成果的書面材料。
A、開題報告
B、中期報告
C、結項報告
D、課題報告
39.我國于(A)年實施了《專利法》。
A、1985
B、1986
C、1987
D、1988
40.知識產權具有專有性,不包括以下哪項(D)。
A、排他性
B、獨占性
C、可售性
三、多項選擇(每題2分)
41.我國信息安全管理政策主要包括(ACD)。
A、法律體系
B、行政體系
C、政策體系
D、強制性技術標準
E、道德體系
42.信息系統安全的總體要求是(ABCD)的總和。
A、物理安全
B、系統安全
C、網絡安全
D、應用安全
E、基礎安全
43.網絡隔離技術發展經歷了五個階段:(ABCDE)。
A、完全的物理隔離階段
B、硬件的隔離階段
C、數據轉播隔離階段
D、空氣開關隔離階段
E、完全通道隔離階段
44.以下屬于我國電子政務安全工作取得的新進展的有(ABCDE)
A、重新成立了國家網絡信息安全協調小組
B、成立新一屆的國家信息化專家咨詢委員會
C、信息安全統一協作的職能得到加強
D、協調辦公室保密工作的管理得到加強
E、信息內容的管理或網絡治理力度得到了加強
45.下列說法正確的是(ABCDE)
A、電子商務產業是以重大技術突破和重大發展需求為基礎的新興產業
B、電子商務對經濟社會全局和長遠發展具有重大引領帶動作用
C、電子商務是知識技術密集的產業
D、電子商務是物質資源消耗少的產業
E、應把優先發展電子商務服務業放到重要位置
46.科研論文按發表形式分,可以分為(ABE)
A、期刊論文
B、學術論文
C、實驗論文
D、應用論文
E、會議論文
47.學術期刊的文章類型有(ABC)。
A、綜述性的文章
B、專欄性的文章
C、報道性的文章
D、文言文
E、以上都正確
48.期刊發表的周期有(BCDE)。
A、日刊
B、周刊
C、半月刊
D、月刊
E、旬刊
49.知識產權的三大特征是(ABC)。
B、時間性
C、地域性
D、大眾性
E、以上都不正確
50.從個人層面來講,知識產權保護的措施有(ABC)。
A、在日常的科研行為中一定要有相應的行動策略
B、在科研轉化的過程中,要注意保護自己的著作權
篇10
Three Dimension Multi-view Structure E-government Security System Model
LIU Ying
(Computer Sciences School, Panzhihua University, Panzhihua 617000, China)
Abstract: Combining with space-time characteristics, the paper used method of software architecture in software engineering and proposed a security system model for E-government which has multi-view 3D layout. It attempted to provide a conceptual framework for analysis and design ofsecurity system for E-government.
Key words: e-government; information security; safety view
1 引言
電子政務是基于互聯網的面向政府機關、企業以及社會公眾的信息服務和信息處理系統,它是一種集通信、計算機和信息處理為一體的復雜信息系統,其安全問題涉及的內容非常廣泛,包括物理安全、網絡安全、數據安全、信息內容安全和信息基礎設施安全等多個方面。網絡管理領域的經驗教訓表明,單從局部的對象和信息環境來考慮復雜信息系統的安全問題是遠遠不夠的,而應該從體系結構的層面上全面而系統地加以研究[1]。
安全體系結構理論就是要從整體上解決信息系統的安全問題,但現有的安全體系結構模型,對信息系統的時間和空間特性考慮不足,本文結合信息安全的時空特性[2],利用軟件工程領域關于軟件體系結構的研究方法,提出了一種三維多視圖結構的電子政務安全體系模型,試圖為電子政務安全體系分析和設計提供了一個概念框架。
2 信息安全的時空特性
Internet是一個開放的復雜巨系統[3],而信息安全保障體系也是一個復雜巨系統[4],復雜巨系統中的復雜主要體現在:一是子系統的種類繁多;二是系統的層次復雜;三是子系統之間相互聯系與作用很強。因此,信息安全的研究非常復雜,特別是面對現在的復雜網絡環境,需要在復雜系統理論和方法上有所突破。下面從時間和空間兩個角度分析信息安全的特點。
2.1 信息安全的空間特性
信息系統的構成從空間上看具有橫向分布、縱向層次化和結構異構等特點。
2.1.1 橫向分布
網絡化使得信息系統的組成呈現地域分布的特點,小到局域網,大到城域網、廣域網,它們都以高度分布為其特征,特別是現代的Internet和一些Intranet都是分布極其復雜的網絡。信息系統的橫向分布結構內部也包含有層次,這種層次是拓撲結構上的層次,一般與信息系統的管理機構的管理特點密切相關。如:主干網、區域網、局域網等。對分布式的復雜網絡環境來說,網絡拓撲上的分布層次也是比較復雜的。
2.1.2 縱向層次
任何網絡,無論橫向分布結構如何,也不論規模大小,其中的網絡設備,也就是網絡拓撲結構中的節點,都呈現出由上而下的層次特征。ISO/OSI參考模型是這種網絡處理層次特征的最好抽象,盡管ISO的七層模型不一定在實際的網絡設備中全部得到反映,實際應用的TCP/IP模型與OSI模型存在一種大致對應關系。處理的層次化最大的益處是簡化了復雜的網絡通信問題研究,使系統互連建立起共同的基礎。網絡處理的縱向層次化也為層次化的信息安全技術研究提供了基礎。
2.1.3 結構異構
復雜信息系統的組成結構各不相同,網絡中的組成部件也千變萬化,系統中的計算機、路由器、交換機等網絡設備多種多樣,網絡通信協議和軟件種類繁多,系統服務等資源也存在不同的類型。
2.2 信息安全的時間特性
信息安全的空間特性給出了信息系統的“靜態”視圖,而系統是隨時間的推移在不斷地演進的。研究時間特性的目的是考察系統的“動態”特征,是達到持續安全保障的關鍵。信息安全的時間特性包含兩方面的內容,一是信息本身可能處于產生、存儲、處理、傳遞、使用五個不同的環節,二是信息系統可能處于生命期的不同階段。為達到持續的保障,必須對信息系統執行有效的風險管理,在給定的資金和資源下,選擇適當的保護、檢測和糾正措施,以達到最佳的信息安全保障效果,PPDR模型較好的反映了信息安全的這種時間特性,也體現了動態適應安全的思想。
3 維多視圖體系結構框架的提出
體系結構代表了系統公共部分高層次的抽象,而體系結構框架則為體系結構提供了通用和規范化的研究和描述方法。由于系統本身的復雜性,我們從不同的方面分析可以得到不同的結果,但這些結果都反映了系統某一方面的特性,而系統的全貌則需要從多個角度進行分析,因此,體系結構框架一般具有不同的層次結構。
在軟件工程領域,軟件體系結構設計作為一個重要的更高層次的設計正成為軟件工程研究的新熱點,軟件體系結構是一個程序或系統構件的組織結構,它們之間的關聯關系,以及支持系統設計和演化的原則及方針。為了能夠完整地描述軟件體系結構,研究人員引入了數據庫理論中視圖的概念,用一組視圖來描述系統的體系結構,其中每個視圖代表了系統某些特定方面的投影、抽象(忽略其它方面),描述了系統體系結構的一個特定方面。例如UML中為了表達系統單個方面的建模結構的子集而引入的視圖和圖[5]如表1所示:
表1 UML視圖和圖
■
在Rational Rose中則使用了用例視圖、邏輯視圖、構件視圖,配置視圖來描述軟件系統。不同的體系結構視圖可能得到不同的組成元素和結構關系,但一般都需要描述組成元素(Component)、連接關系(Relationship)和約束規則(Constraints)。
開放式分布處理參考模型[6](RM-ODP )引入了五個視點(Viewpoint),如表2所示,每一個視點代表了對原始系統的不同角度的抽象,并采用相應的視點描述語言提出一組概念定義和構造規則,以便對該視點進行標準化描述。
表2 RM-ODP中視點及其描述
■
電子政務安全體系結構的構建是一項復雜的系統工程,涉及的問題包括數據安全、系統安全和網絡安全等多個方面,從不同的方面可得到不同的描述。為了縮小問題域,區分不同的關心重點來構造系統,我們引入了安全維、安全視圖的概念。
首先我們將體系框架劃分為時間維,空間維,安全功能維三個維度,體現了信息安全的時空特性;其次安全維本身也具有復雜性和多面性,需要從多個角度分析才能得到系統的全貌,如空間維可從系統橫向分布方面描述,也可以從縱向層次方面描述,因此我們又引入了安全視圖來描述安全維,如安全域視圖和協議層次視圖從不同方面描述了空間維;這樣最后就形成了一種三維多視圖體系結構框架,它代表了對系統的不同層次和不同角度的抽象,提供了一種安全模型分析和安全系統集成的方法。如表3所示:
表3 基于時空特性的電子政務安全框架結構
■
電子政務系統中的任何一個安全措施都可以映射成這個三維空間System中的一個點(t,s,f),而安全體系結構則可以看成是這個三維空間點的集合。
System={(t,s,f)|t∈T, s∈S, f∈F}
系統主要安全措施及其聯系可用下面的函數關系式來表示:
P=P(T(t1,t2...), S(s1,s2...), F(fl,f2...);
其中P為實際安全體系使用的三維組合,同時我們還可以給出組織投入的價值與保護方式的關系式:
V=V(T(t1,t2...),S(s1,s2...),F(fl,f2...);
其中V是被保護對象的平均投入,根據函數V我們可以得到相對于價值的各種坐標的偏導數,即單位因素的價值彈性,可作為信息安全投資時的參考因素。
三維空間中的任一維用安全視圖SV來描述,安全視圖參考軟件體系結構視圖的描述,定義如下:
SV={Component,Relationship,Constraints}
安全視圖SV是一個三元關系,其中Component表示該視點下系統組成元素的集合。Relationship?哿Component × Component,描述了Component之間的連接關系集合。Constraints是指作用于Component或Relationship上的一組謂詞(或規則)的集合,一般是特定的安全政策,它描述了Component和Relationship的相關屬性和約束說明。
通常從不同視點可以得到不同的視圖,即安全視圖是視點Viewpoint的函數,視點是系統的某些特定方面的投影,抽象。不同的分類方法給出的視圖子集是不同的,而且可能存在交叉的情況,因此,通常情況下視點Viewpoint同時作為一種分類標準,給出該分類標準下的所有視圖。
安全維SD可由安全視圖的并集定義如下:
SD=YiSV (xi)=Yi{Component (xi),Relationship (xi),Constraints (xi)};
xi∈Viewpoint
x是一種分類標準,因此SV(x)滿足互斥性和完備性,即
SV(xi)∩SV(xj)=?I;
YiSV(xi)=SD(i≠j,i,j∈{1,2...n})
例如安全功能維F可以從用戶角色的安全服務視點分析,包括可用性,完整性,可鑒別性,機密性,不可抵賴性等;從開發人員的安全機制視點分析,包括加密,數字簽名,訪問控制,安全檢測,安全恢復等技術;從安全管理員角色的安全管理視點分析,包括運行管理,技術管理和人員管理等。
4 結束語
模型給出了一種理解、比較和集成安全體系結構的方法和思路,在實踐中可以根據模型理解和幫助考慮一些安全問題,并根據模型的指導給出解決問題的方法。
參考文獻:
[1] 李桂.電子政務中安全體系結構的研究[D].(碩士學位論文). 廣西大學,2004.
[2] 李守鵬.信息安全及其模型與評估的幾點新思路[D].(博士學位論文). 成都:四川大學,2002(5):15-28.
[3] 戴汝為, 操龍兵. Internet――一個開放的復雜巨系統[J].中國科學(E輯), 2003,33(4).
篇11
一.前言
知識經濟是現代經濟發展的重要趨勢之一,掌握了信息便掌握了各種競爭力,掌握著主動權,。在知識信息時代,各種各數據信息在國家經濟的發展,政治的穩定,社會的和諧和人們生活水平的提高中都扮演著越來越重要的角色。在計算機網絡技術廣泛被應用到各個領域的同時,也有越來越多的人逐漸認識到整個網絡安全管理的重要意義。在信息時代,計算機網絡技術在廣泛運用的同時,也因為各種原因面臨著破壞或者是數據的丟失,不僅僅嚴重妨礙了整個信息系統的安全和其功能的正常發揮,比如設備故障,數據丟失,操作人員失誤,數據庫受到病毒侵襲等,在造成整個信息系統無法正常使用的同時,對一些核心數據也有著泄露的風險,帶來巨大的經濟損失,隨著計算機網絡的逐漸推廣,加強對信息的安全管理,提高操作人員的專業技能,規范操作,從設備等各個方面,加強安全控制,保證整個計算機網絡系統的安全運行。
二.計算機網絡安全所面臨的威脅分析
1.操作中存在問題
在操作過程中國,主要是體現在操作系統中存在的問題,比如各種病毒,數據和操作系統的關聯等。主要體現幾個方面。第一,各種病毒會使得數據庫中存在很多的安全隱患,比如特洛伊木馬程序能夠從操作系統中,利用操作系統和數據庫的關聯性,很大程度的威脅到整個數據庫的安全性,比如,特洛伊木馬程序會更改入住程序的密碼,使得程序的信息密碼安全被入侵者威脅。第二,在整個操作系統的后面,由于數據庫的相關參數使得管理更方便管理,但是也因此使得數據庫的服務主機上容易出現各種后門,這些后門也為各種入侵的黑客提供了方便。
2.安全管理力度不夠,管理缺乏規范性
在計算機網絡的使用過程中,對計算機網絡的安全管理缺乏重視,對計算機網絡安全管理的意義沒有能夠真正深入了解,從而,在使用計算機網絡時候,操作不規范,各種安全管理措施沒有能夠得到貫徹落實。比如,在數據庫管理過程中,安全管理人員沒有按照規定定期對數據庫補丁進行修復,對數據庫服務器的訪問權限沒有做出較好設置等,這些不規范的操作都使得整個數據庫系統時刻都面臨著各種風險的侵襲,比如,如果數據庫管理人員幾個月都沒有對補丁進行修復,則隨時會讓數據庫處于漏洞狀態,為各種病毒,黑客的入侵大開了方便之門。筆者多年計算機數據庫安全管理經驗而言,在計算機網絡的安全管理中,很大程度上,各種風險都是因為計算機網絡系統中存在的安全漏洞沒有得到修復,或者是太過簡單的登陸密碼很久沒有進行修改造成的。計算機網絡系統的使用人員缺乏安全意識,風險控制常識缺乏,這是整個計算機網絡面臨著很大威脅最為關鍵的原因之一。
3.計算機網絡系統自身存在缺陷
在我國,計算機網絡技術的推廣應用已經有了比較長的時間了,理論上,各種產品和系統也較為成熟,特性也比較強大,但是,在具體實際操作中,現在廣泛使用的計算機網絡技術中那些比較強大的特性沒有能夠真正的顯現出來,比如安全性能,在整個系統中遠遠難以滿足需求。總的而言,現在的各種計算機網絡系統在成熟度上依然缺乏。
4. 人為的惡意攻擊
這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏
三.計算機網絡安全管理措施分析
1.加強訪問控制和識別
(一)加強用戶標識的識別和鑒定
在計算機網絡系統中,系統會對用戶的標識做出識別和鑒定,這是整個計算機網絡系統安全保護最基本的措施之一。經過幾十年的發展,用戶標識的識別鑒定已經有了多種方法,比如,用戶用身份證來驗證,或者是通過身份證來回答驗證口令,或者隨機進行數據運算回答等等,因此,要據計算機網絡系統的實際情況作出科學合理的選擇。也可以在同一個系統中同時使用多種鑒別方法,如此,可以很大程度的提高整個系統的安全性。
(二)加強訪問控制
在計算機網絡系統安全管理中,要能夠使得系統能夠滿足用戶的訪問,加強安全控制,這是整個系統安全管理的重要措施之一。加強對計算機網絡系統的訪問控制便可以限制一些非法用戶進行破壞,或者是越權使用一些受到保護的網絡資料,通過嚴格的訪問控制,使得對數據的輸入,修改,刪除等各個環節都有著嚴格的規范,防止沒有授權的用戶訪問,保證整個系統信息的機密性和安全性。
2.物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
3. 防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進 / 出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。
四.結束語
計算機網絡的安全管理是整個信息系統安全管理的重要組成部分,在安全管理的各個環節中,最關鍵的是減少各種風險和威脅,避免各種來自外部風險的威脅,很多類型的威脅和風險是無法徹底消除的,那就需要采取有效的措施,對各種可能發生風險的環節做出強有力的控制,以減少對企業核心數據庫的威脅和破壞要從多方面進行,不僅僅要不斷研發計算機網絡安全技術,也要采用先進合理的系統設備,并加強對操作人員的專業技術培訓,規范操作,利用網絡安全技術將整個計算機網絡的安全管理納入到規范管理范圍,促進整個計算機網絡安全性能的提升,保證數據安全,實現良好的社會經濟效益。
參考文獻:
[1]于柏仁 張海波 淺析計算機網絡安全的威脅及維護措施 [期刊論文] 《中小企業管理與科技》 -2008年29期
[2]張瑞娟 新網絡環境下的計算機網絡安全思考 [期刊論文] 《科技廣場》 -2011年11期
[3]李尹浩 計算機網絡安全的威脅及維護措施 [期刊論文] 《中國科技縱橫》 -2010年11期
[4]莊偉 維護計算機網絡安全的措施研究 [期刊論文] 《中國科技財富》 -2010年4期
篇12
Cao Zi-xi Lu Qi Xue Zhi
(Shanghai Jiao Tong University Shanghai 200240)
【 Abstract 】 With the continuous development of the internet technology, the continuous application of the Cloud Computing, the Big Data era has arrived. The Data Mining technology has brought the analysis capabilities of the data processing to a new level. In this article we studied the Data Mining and the technologies of the network information security. We proposed a network information security policy based on data mining, and improved the difficult issues of dealing with the large amount of data in network information security policy.
【 Keywords 】 dating mining; network information security;tactics
1 引言
近年來,網絡技術的飛速發展,互聯網上的數據以每天數千萬條的速度迅速增長,數據的產生、傳輸、存儲、訪問和處理方式都發生了翻天覆地的變化。在這樣的一個大背景下,數據挖掘孕育而生。另一方面,各種網絡安全檢測技術、設備和產品會生成大量的關于網絡安全及流量的檢測數據,單單依靠傳統人工處理以及簡單查詢統計方法的數據處理模式已經無法適應新時代的需要了,如何從海量網絡信息安全檢測數據中挖掘發現有價值的信息,需要在網絡信息安全策略中運用到數據挖掘的技術。
2 數據挖掘的相關概念
2.1 數據挖掘的定義
數據挖掘就是在一些沒有規律、異構結構并且熟練龐大的數據中,通過相關的計算機方法及算法,提煉出具有不確定和未知性的信息的一種方法。數據挖掘的數據源應該是大量且真實的,所尋找出的信息應該是對我們有用的、具有價值的。理論上來說,數據量越大、越隨機,數據挖掘所得到的結果就越準確、越具有代表性、越有價值,這就對數據挖掘的相關算法與技術的效率提出了很高的要求。數據挖掘是一門交叉學科,融合了數據庫、人工智能、統計學、機器學習等多領域的理論與技術。數據庫、人工智能與數理統計為數據挖掘的研究提供了三大技術支持。數據挖掘是將一些離散的、底層的、無序的大規模數據利用相關的技術手段提升到有序的、可接受的、有價值的知識,從而為決策提供幫助的一個過程。具體的說,數據挖掘是通過對大規模的海量數據進行分析,從中找出一些數據間的內在規律與聯系。具體過程包括了數據準備、信息挖掘和結果表達三個階段。
2.2 數據挖掘的主要任務
數據挖掘的主要任務包括有監督學習(Supervised Learning)、關聯分析或頻繁模式分析(Frequent Pattern Analysis)、聚類分析(Clustering Analysis)、異常檢測(Anomaly Detection)等。
有監督學習包括兩種形式:分類(Classification)和預測(Prediction),是指根據已知樣本的大小、類型來預測新到樣本。關聯分析或頻繁模式分析指的是找到某一事件發生時,另一事件也會發生的這樣一種規律性的聯系模式。聚類分析指的是將找出所有數據的一些內在規律及特征,并且按照這些特征將數據源劃分成若干個數據簇。異常檢測通過建立一個數據樣本的范本,并將數據源中的數據與其進行比對分析,找出里面存在的異常樣本。
3 網絡信息安全的相關概念
3.1 網絡信息安全的概念
網絡信息安全問題的解決方案包括數據挖掘信息安全技術的應用和數據挖掘信息的安全的管理。管理是指根據事物發展的客觀規律,通過綜合運用人力資源和其他相關的資源,以便有效地實現組織目標的過程,是指在集體活動中,為了完成一定的任務,或者實現一個具體目標,針對特定的對象,遵循既定的原則,依照完善的程序,使用適當的方法,所進行的計劃、組織、指揮、協調和控制的活動。比如,在網絡安全控制方面,防火墻技術已被廣泛應用,為了更好地發揮防火墻的安全保護作用,就必須考慮如何設置防火墻的安全策略,并對它的物理保護和訪問控制進行設置。
3.2 網絡信息安全的相關技術
3.2.1爬蟲技術
Web 爬蟲(Crawler)通常也被稱為機器人(Robot)或者蜘蛛(Spider),它是一個能夠自動下載網頁的程序。互聯網上有數以萬計的網頁,這些網頁存在于分布在全球各地的各個服務器上。用戶可以通過網頁鏈接進行各個網頁直接的切換和瀏覽,而爬蟲正是模仿人的行為,將多個站點或者網頁下載或存取,然后交給數據處理模塊。
3.2.2結構化數據抽取
Web信息收取指的是從一個網頁中分析目標信息。通常包括兩個問題,第一個是從自然語言文本中抽取信息,第二個就是從網頁的結構化數據中抽取信息。我們稱抽取這種數據的程序為包裝器(Wrapper),包裝器有三種方法,分別是手工方法、包裝器歸納、自動抽取。
3.2.3規則引擎技術
一旦數據獲取了,我們就要對其進行處理和分析。常用的基于 Python 的規則引擎有幾種。PyKE 是一個基于知識的專家系統,采用類似于 Prolog 的語言規范。Prolog 是一種邏輯編程語言,廣泛應用于人工智能領域。Pychinko 是一個可以處理語義網的規則引擎,它可以用 RDF 來定義。Intellect 是一個基于領域描述語言(Domain Specific Language,DSL)的規則引擎,可以定義一些規則表達式,來監測網絡數據。規則引擎指的是一個創建、存儲和管理規則,然后執行規則并推斷出其它事實的應用程序。其中的規則主要是指企業或商務業務邏輯、法律條款等。在規則引擎發展的過程中,Rete 算法和 Prolog 語言是兩個重要的理論分支,多數規則引擎都是基于以上二者擴展而來的。在工業活動鑄造中,發展時間較長、應用廣泛的兩個體系是 Clips 體系和 Prolog 體系。
4 基于數據挖掘的網絡信息安全策略
4.1 安全的網絡環境
安全的網絡環境包括系統的安全性、防病毒和網絡入侵檢測、審計分析、網絡備份和災難的恢復等。具體措施如下:隔離和訪問控制技術,包括物理和邏輯的隔離,可信與不可信網絡的隔離,只允許有授權的用戶訪問網絡資源;采用反病毒技術,病毒已經嚴重威脅到了網絡的安全,它的威脅和破壞性是很難用數字估量的,建立病毒預警、病毒防護和應急機制,就顯得尤其必要;網絡入侵檢測技術會及時對非法入侵者及惡意破壞者建立預警機制,并定期對網絡系統進行安全性分析,發現并修正漏洞;分析審計,記錄用戶使用過程中的計算機網絡系統,它不僅能夠確定是誰訪問了系統,還能記錄系統的使用狀態,確定是否有網絡攻擊,審計數據挖掘信息是非常重要的;網絡備份和災難恢復可以確保在最短的時間內使受到破壞的系統恢復可用。
4.2 保證數據挖掘信息安全的策略
安全的數據挖掘信息指數據挖掘信息的存儲安全、傳輸安全和使用安全。數據挖掘信息的物理完整性,邏輯完整性和保密性組成了數據挖掘信息的存儲安全;并要通過數據傳輸加密技術、數據完整性技術和防抵賴性技術來保證數據挖掘信息傳輸的安全;數據挖掘信息的使用安全是指,為防止非授權主體擅自使用資源,必須對網絡中的主體進行驗證。
4.3 基于數據挖掘的網絡安全數據分析策略
4.3.1關聯性分析
關聯分析模型的含義是通過對攻擊行為要素的歸并和組合,結合數據挖掘相關技術,體現宏觀網絡上最熱門的攻擊行為態勢。一次攻擊行為中,(源地址、目的地址、攻擊類型)三要素體現了攻擊的本質,三要素任意指定和組合,都反應了有意義的網絡攻擊態勢。
4.3.2 事件預測機制
事件預測機制是通過對某一事件的發展趨勢進行跟蹤觀測,運用數據挖掘聚類算法,判斷其是否會成為大規模網絡事件的模型。對于大規模的網絡事件,其最具代表性的特點并不是事件發生的次數,而是其擴散趨勢。例如連續觀測到涉及同一類木馬病毒事件的IP地址數量急劇上升,可能就是一次木馬網絡攻擊事件。
4.3.3 可控數量預測模型
可控數量預測模型是通過觀察事件中受控主機狀態增長數量,對事件的感染能力做出判斷。受控主機狀態增長指的是之前未檢測到發出某類攻擊的主機,通過檢測被發現后的狀態變化增長。例如對于某種病毒,若以前未檢測到主機X受到過感染,但是在觀測周期內發現了主機X已經被感染了病毒,那么對于該病毒而言,主機X就是其受控主機增長狀態。
4.3.4分析處理模型
分析處理模型的作用在于對運營商的事件處理反饋進行分析,判斷其對被控主機的處理能力。該模型從各運營商的被控主機、已處理主機、未處理主機以及處理效率等各方面進行綜合評估,由此來分析判斷運營商對其轄區內的被控主機處理能力。
4.3.5網絡安全數據分析模型
網絡安全數據分析模型用于觀測網絡特征事件的數量,判斷是否存在異常。分為學習階段和實時檢測階段兩個階段運行。學習階段可以建立事件的判斷標準,等學習階段滿足特定條件后便進入實時檢測階段。
學習階段,先由用戶給定各類安全事件的定義,統計學習階段事件內每個時間間隔中安全事件的數量。然后以小時計數,統計單位時間內安全事件的平均數和方差,記平均數為x,方差為?滓。
實時檢測階段首次按統計當前時間間隔內各類安全事件的數量xi,再判斷各安全事件數量是否異常,
xi-x
?滓0?艽xi-x
2σ0?艽xi-x
xi-x?艸3?滓0 重度異常的安全事件數量。
其中的?滓0為判斷標準,在模型建立時進行配置,可以根據不同情況,重新調整該參數。最后將各類安全事件數量異常的最高值,作為當前時間間隔的安全事件數量指標值。
5 結束語
當今社會已經進入云計算和大數據時代,計算機網絡的應用已經深入到人們生活和生產的各個領域,但隨著計算機信息的價值和重要性越來越高,不法分子入侵網絡的手段也不斷地翻新,使得傳統的網絡安全防御技術難以應對。將數據挖掘技術應用于網絡信息安全策略中,通過聚類挖掘等方法,能夠發現一些潛在的威脅與漏洞,更使得該技術具有了良好的發展前景。
參考文獻
[1] 朱玉全,楊鶴標,孫蕾.數據挖掘技術[M].南京:東南大學出版社,2006.11.
[2] Han J., Kamber M., 范明(譯).數據挖掘: 概念與技術 [M].北京: 機械工業出版社,2001.
[3] 中華人民共和國科學技術部火炬中心“推進我國軟件企業工509000質量體系認證的研究”課題組.軟件企業工509000質量體系的建立和認證.清華大學出版社,2011.
[4] 劉占全.網絡管理與防火墻技術.人民郵電出版社,2010.
[5] 樊成豐、林東.網絡數據挖掘信息安全&PGP加密.清華大學出版社,2010.
[6] 斯帝芬P羅賓斯.管理學.中國人民大學出版社,2010.
[7] 張健.防毒殺毒一防殺計算機病毒自學教程.電子工業出版社,2010.
篇13
1 供電企業信息安全的總體要求
1.1 信息安全
信息安全就是要保證信息的連續性,而且不可以因為外來的各種因素而遭到破壞和丟失,特別是具有保密性質的信息,更不可以被竊取。因此,從廣義的層面理解“信息安全”的概念,就是指在計算機信息網絡中所公布或者是存儲的信息,無論是計算機硬件、軟件,還是系統數據,都不可以因為各種因素的干擾而丟失,同時,計算機信息網絡不可以因受到不良攻擊而導致信息服務出現中斷。現在計算機信息網絡已經普及,也正是因為如此,給網絡信息帶來的來自各方面的威脅。信息被竊取,系統遭到病毒的攻擊而導致網絡癱瘓,這些都會為網絡用戶帶來不同程度的損失。為了提高計算機信息網絡的安全,就需要建立起網絡信息安全保護機制,以確保信息網絡的正常運行。
1.1.1 設置系統口令,以防止非法用戶進入信息網絡
這主要是針對外網用戶的訪問,要通過申請并被準許之后,才能夠進入到網站。一般是通過設置系統口令的方式。惡意攻擊的人員如果沒有通過口令或者是獲得申請,就無法進入。具體的操作步驟上,可以先對用戶進行身份的識別,并根據計算機系統中對于用戶驗證的設置進行用戶身份的驗證;當用戶輸入口令后,計算機可以自動地識別和驗證;通過控制和限制用戶賬號,對于信息網絡進行有效管理。普通用戶的賬號,計算機網站的管理員有權進行控制,對于不符合要求的用戶,管理員就會在登錄權限上加以限制,以避免不良用戶獲取資源。另外,網絡管理員還可以對于用戶的入網時間和訪問的網站加以控制,同時做好審計工作。如果訪問用戶連續三次輸入不正確的口令,就會被限制訪問,并顯示出警告。
1.1.2 要設置訪問權限,以提高信息網絡資源的安全性
對于信息訪問,還可以設置訪問權限。對于沒有資格瀏覽信息的用戶,就要將其設置為低權限用戶,從而使其無法訪問高權限用戶可以獲取的資料。對于網絡中的資源,包括目錄和文件,都可以將訪問群體控制在局部的用戶,這部分用戶有權享受網絡中的信息資源。比如,信息管理員可以訪問計算機網絡資源,并有權管理各種信息,進行完善和修改。一般用戶要訪問網站,就需要根據自己的訪問權限訪問被允許登錄的網站,也可以向計算機網絡信息管理員申請,以獲得操作權限。審計人員有權登錄網站,其目的是控制網站,以確保網站資源不受破壞。對于不允許被訪問的信息,要進行加密處理,以保護信息不會向非法用戶泄露。為了防止信息被隨意更改,還要對信息設置只讀功能,除了信息網站管理員,或者是有權更改信息的用戶可以對信息數據進行處理之外,其他人無權修改信息。
1.1.3 做好目錄和屬性的安全控制工作,以保護網絡信息不被隨意更改
對于信息網絡訪問用戶,網站管理員有權利控制其對于網絡信息的目錄和文件的訪問權限,一方面要使用戶有效地訪問自己所需要的信息,另一方面要控制好用戶對于網絡服務器的更改,以提高計算機網絡和服務器的安全性能。用戶對于目錄和文件的訪問權限一般包括以下幾種,用戶不可以超越系統管理員的權限來完成不被允許的各項內容;對于網絡的信息不可以隨意更改,即具有讀寫權限;網絡上的信息一般都會被設置為制度,用戶沒有插入的權力和刪除的權力,更不可以對于網絡信息進行擅自修改。對于網絡中的重要文件,設定網絡屬性可以對于目錄和文件進行有效保護。
1.1.4 對于信息網絡要做好審計工作,以對信息網絡實時監控
制定必要的監控管理制度,使用審計的手段,對于惡意攻擊的人進行嚴厲地懲治。網絡服務器可以根據用戶訪問申請資料記錄下對于網絡資源訪問的用戶,并對于其所訪問的信息內容進行監控。如果出現非法的訪問,服務器就應該進行報警,一般是出現光標閃動,并發出報警的聲音,以提示管理員立即采取措施。對于非法用戶訪問網絡,網絡服務器應該對于其試圖闖入的方式和次數進行記錄,當其訪問的次數達到服務器所限定的數值的時候,就要自動對其賬戶進行鎖定,禁止其訪問網站的權力。
1.2 供電企業對于信息安全的要求
供電企業的信息安全是否有所保證,關乎到電力系統的正常運行。一旦供電企業信息網絡遭到破壞,就會對電力企業造成巨大的經濟損失,對于電能用戶的影響也是非常大的。要保證供電企業的信息安全,就要堅持信息安全總體防護策略,即要堅持雙網雙機,進行分區分域管理,以避免信息網絡受到攻擊之后,導致整個信息網絡的癱瘓,影響供電信息網絡的運營。另外,要安全接入,尤其是外網的接入,要對端口進行安全技術處理,做好病毒防御工作。對于所建立的動態感知的電力信息網絡系統,要進行精益管理,以保供電信息網絡得到全面的防護。防護策略的主要目的,就是確保供電信息網絡不會因為故障而中斷服務,更不可以因為受到黑客的攻擊,或者是病毒的感染而導致信息系統無法正常使用,尤其是供電信息網絡上面的信息數據和內容,如果被更改或者是丟失,就會為電力系統造成極大的損失,甚至于導致運行事故的發生。
2 提高信息安全水平,要做好計算機硬件方面的工作
2.1 防火墻
目前普遍使用的網絡安全屏障就是防火墻,其作為計算機網絡外界安全系統,可以對于進入網絡中訪問的客戶進行強制控制。作為一種維護計算機網絡安全的硬件技術性措施,其可以組織黑客以及各種病毒的入侵,已經成為了控制進 / 出兩個方向通信的門檻。網絡防火墻的作用主要是用來阻擋外部網絡的侵入,所以,相應的架空系統的主要功能是對于內部網絡和外部網絡有效隔離。在防火墻的應用上,當我們發現一些不良信息遭到了攔截,就是防火墻在發揮其功能性的作用。防護墻除了防止黑客或者是病毒的侵入之外,會能夠將一些垃圾信息阻攔在網絡之外,以凈化網絡信息,防止干擾必要的信息,以保證信息安全。為了保證供電信息網絡的安全,防火墻可以安裝在信息網絡和Internet之間,當網絡信息在進行頻繁傳遞的時候,防火墻就會將不可信任的信息阻止在供電信息網絡之外,以防止重要的信息資源被非法存取和訪問,保護信息系統安全。
2.2 入侵檢測系統
如果說防火墻可以防止來自于Internet網絡的非法訪問侵入到供電信息網絡當中,那么對于成功入侵的非法訪問,防火墻則無能為力了。入侵檢測系統,則成為了保護供電信息網絡的又一道門檻。與防火墻相比,入侵檢測系統是一種動態安全技術,當計算機網絡對于信息進行收集整理之后,通過入侵檢測系統,可以對于這些信息進行篩選、分析和檢測,以對于違反安全策略的行為進行判斷,并將檢測的結果記錄下來。使用入侵檢測系統,降低了網絡干擾信息量,網絡搜索引擎或者瀏覽信息的效率被大大地提高了。并且一旦入侵檢測系統發現有非法入侵,卻沒有有效組織,就會啟動自動報警系統,以通知有關人員采取必要的措施對于非法信息進行處理。在供電信息網絡安裝入侵檢測系統是非常適合的,其不僅可以檢測來自外部的入侵行為,而且還能夠對于供電信息網絡的瀏覽用戶進行實時監督。
2.3 提高電力信息系統的配置
為了防止供電企業的信息網絡遭到破壞而導致整個的電力系統癱瘓,可以采取必要的預防措施,即采用雙線路和雙電源的方式以防后患。目前一些供電企業在交換機的配置上,還采用單個核心機交換機,采用冗余核心交換機則可以在原有的基礎之上提高安全系數。一旦供電信息網絡出現故障,可以為維修人員爭取時間搶修,以避免更大的事故發生。對于重要的信息系統配置,諸如核心交換機、服務器等等,其供電方式可以采用雙電源,如果有突然出現電源中斷,可以通過自動切換系統將電源切換到安全的線路當中,以大大地提高了供電信息系統的安全性,保證電力系統可靠運行。
3 提高信息安全水平,要做好計算機軟件方面的工作
3.1 安裝統一的防病毒軟件
現在網絡病毒不斷地升級,單純地采取硬件措施已經無法達到要求。鑒于病毒傳播之外,一旦進入到網絡系統中之后,就會迅速蔓延,可以在計算機系統中安裝防病毒軟件,并且實時升級,以有效地阻止由于病毒而造成的文件破壞、信息泄露,甚至于計算機死機的現象發生。病毒本身是一種計算機程序,能夠對于系統文件或者是計算機系統造成破壞,一般傳播的方式是通過移動存儲介質作為主要的傳播方式。安裝計算機軟件,可以對于對于計算機系統進行自控掃描,并對于各種信息進行實時監控,以保證網絡中斷設備的信息安全。
3.2 安裝桌面終端管理系統
為了保證計算機系統在可控制下運行,安裝桌面終端管理系統以及提高操作系統的安全性,從而對于威脅信息系統的各種行為具有抑制的作用。病毒往往會通過系統的漏洞進行入侵,終端管理系統中的補丁管理可以對于電腦系統中所出現的漏洞進行及時地修補。對于安全威脅,計算機可以自動檢測并分析,尤其是信息網絡的共享平臺、瀏覽器等等,都可以通過自動檢測的方式發現安全問題,并自動修補。
3.3建立供電信息網絡的安全審計系統
計算機的審計產品是一種較為特殊的安全設備,其可以對于維護計算機的正常業務操作行為。在供電信息系統中,所建立的數據可承載了大量的數據信息,尤其是一些關乎企業效益和電能用戶的各種關鍵數據,諸如用電數量等信息,如果被不良用戶所訪問后進行篡改,就會造成嚴重的經濟后果。采用業務審計產品,則可以對于系統進行有針對性地監督。
3.3.1 數據庫審計
主要的職能是對于數據庫的操作行為進行智能化監督。諸如數據庫的登錄,內容的刪改以及數據庫表格的更新等等,都在監控之下,除了實施操作的用戶名以及登錄時間和IP地址之外,還要將各種操作記錄下來進行分析。除此之外,對于數據庫,諸如SQLServer、Informi中所出現的的錯誤代碼進行審計,可以使得計算機信息網絡管理員對于數據庫的狀態進行全面了解,并且及時地采取必要措施處理故障信息。
3.3.2 網絡運維審計
在供電系統的信息網絡中,通過對于Telnet、X11、FTP等等運維協議的審計,能夠將用戶訪問和操作的全過程都記錄下來,并進行自動分析。與此同時,還可以通過錄像回放的形式,對類似的窗口進行還原。
4 總結
綜上所述,電力是國家基礎能源產業,其發展狀況直接關乎到我國的國民經濟發展水平。進入到新的歷史時期,電力系統應社會經濟發展的需要呈現出迅猛發展的勢頭。供電信息網絡的建立,為電力企業的發展帶來了新的發展機遇。然而一些電力信息網絡上面的信息面臨著因受到攻擊而被盜取、破壞或者丟失的可能,提高供電企業信息安全防護水平勢在必行。
參考文獻
[1]代光明,谷宇.電力企業信息網絡中的業務審計系統研究[C].重慶市電機工程學會2012年學術會議論文,2012.
[2]浮小學,馮海英,劉偉,韓運榮.關于提高供電企業信息安全防護水平的探討[J].中國信息化,2012(11).
[3]徐建梅.淺談供電企業信息網絡安全防護的管理[J].現代經濟信息,2012(11).
[4]張浩.電力企業信息安全管理[J].科技傳播,2013(01).
[5]何紅燕.提升煤礦工會的服務管理效能研究[J].商,2013(06).
[6]李勁.遵循等級化保護的電力調度數據網安全防護[J].廣西電力,2008(04).
[7]汪江.談網絡安全技術與電力企業網絡安全解決方案研究[J].價值工程,2012(30).
[8]張維佳.吳忠禮.王鵬.彭海.譚宏.信息安全防護體系的研究與應用[c]. 2011年全國電力企業信息化大會論文集,2011.
