时间:2023-03-02 14:57:31
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网络安全信息化范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
网络信息安全是目前网络建设的重要内容,主要原因是目前社会经济的发展,需要网络提供便利的条件,如果网络安全存在严重问题,会直接导致社会经济的受损。另外,现在无论是政府办公,还是私人利用,网络已经成为了一种不可缺少的工具,网络环境的不安全一旦造成重要信息的泄露,那后果可想而知。所以为了经济的更好发展,为了社会稳定的平稳运行,强化网络安全,对网络技术进行安全化管理成为了社会发展的必然诉求。
1网络信息化进程安全技术和管理现状
1.1技术安全风险比较高。目前的网络技术,安全风险比较高。主要表现在三方面:首先是网络软件的纯粹性比较低,而这种网络软件很容易附带不安全因素,在网络利用中,这种不安全因素随时可能引发网络安全事故。其次是在网络运行环境中,部分技术达不到安全标准,而利用这些技术进行安全检测的时候,不安全的因素也不能被识别出来,这就导致网络运行安全受到严重威胁。最后是目前的网络技术,专业性都比较弱。虽然目前网络技术得到了普遍的发展,但是由于技术更新快,导致一些技术的安全性没有得到充分的认定,而这些技术就是网络安全的重大隐患。
1.2技术人员和管理人员素质较低。技术人员和管理人员的素质较低也是目前网络信息化进程中安全技术和管理的普遍现状。技术人员和管理人员素质较低主要体现在两方面:首先是技术人员在技术方面缺少专业性。目前的技术人员,缺乏技术的独创性和专业性,利用的大部分都是大众化的技术,这样的技术在应对网络安全方面显得力不从心。其次是管理人员在管理方面,缺乏系统的管理理念,在管理中应用的是哪里有问题即管那里的策略,这种管理方式缺乏严重的科学性,效果也不甚明显。
1.3管理没有明确的方向。在技术安全管理工作中,没有明确的管理方向是目前的一大现状。管理缺少方向有三方面的危害:首先是缺少管理方向的管理,没有系统完善的管理体系,这样的管理只能够进行一些小修小补,要想实现彻底的管理革新,存在巨大的困难。其次是没有方向的管理,管理理念不清楚,这就会导致管理工作走很多弯路,而且很有可能造成管理成本的增加。最后是没有管理方向的管理,管理措施和方法缺乏全面性和系统性,在管理过程中无法做到精细。
2强化网络安全的意义
2.1有利于打造安全平稳的网络运行环境。现在的社会发展,对于网络环境的依赖性越来越强,而强化网络安全,有利于打造出安全平稳的网络运行环境。安全平稳的网络运行环境主要体现在两个方面:首先是信息泄露比较少。目前的社会,个人或者是公众信息泄露会产生诸多不利的影响,而网络环境的安全平稳主要指此类安全事故的大幅度减少。其次是网络监管能够隔离到位。对于网络信息的监管和掌控,需要利用必要的技术手段,通过技术革新使得网络环境安全。
2.2促进互联网经济的安全运行。强化网络安全的另一个重要意义就是可以促进网络经济的快速发展。目前,互联网产业蓬勃发展,各行各业也开通了网络渠道来进行经济活动,网络安全存在的隐患对于网络经济而言具有非常重要的影响,通过网络环境的安全强化,网络经济的运行将会更加的顺畅,网络经济的发展也会更加的迅速。
3网络信息化进程安全技术和管理策略
3.1加强技术安全性研究。网络信息化进程安全技术和管理的重要内容就是要加强技术安全性研究。由于目前的网络信息化技术更新换代较快,所以在安全性的研究方面显得相对不足,这也是网络技术存在安全隐患的重要原因。为了克服此问题,进行网络技术的安全性研究非常重要,安全性研究主要包括两方面:首先是要进行网络安全的问题研究,通过问题研究了解技术漏洞。其次就是要进行针对性的技术细节建设,通过细节建设完善技术问题,使得网络信息技术更加的全面。除此之外,在技术安全性研究的同时还要进行独创性建设,通过独创摆脱一些附着软件对技术的不安全影响。
3.2加强技术人员的专业性打造。加强技术人员的专业性打造也是进行网络技术安全和管理的重要措施。在网络安全实践中,技术人员是维护网络安全的忠诚卫士,他们的专业程度和标准化程度决定着网络安全的专业化和标准化。所以在进行技术人员的打造时一方面要从专业性入手,另一方面要从标准化入手。专业性打造主要是要从技术人员的理论建设和技术研究两方面进行,通过理论建设,使得技术人员对网络技术安全的了解更加的深入和全面,而技术建设则是帮助技术人员深化技术利用,提高技术成熟度。标准化打造主要是从技术人员的操作来进行,在实践中,操作失误也会发生网络安全事故,所以标准化的操作,可以减少有毒软件对网络系统的侵害。
3.3加强网络安全监管。加强网络安全管理监管也是保证网络技术安全和管理的重要措施。加强网络安全监管主要从三方面进行:首先是对于网络软件要进行安全检测,主要目的是对软件的纯粹度进行检测,避免一些附着病毒通过软件进入到网络环境中,威胁网络安全。其次是要加强对网络安全的技术监管。通过技术监管,保证网络技术在利用过程中不会造成安全事故,通过监管,网络技术的可信度会得到明显的提升。最后是要强化网络环境的监管。也就是说要对网络环境中的不安全信息要做好及时的排查及清理,避免不安全的信息在网络中流通,进而对网络环境造成影响。
结束语
在网络信息化越来越频繁的今天,网络安全不仅关系着个人信息的安全,对于社会信息和经济也有着重要的影响。在这样的环境中,为了保证网络安全,必须一方面强化安全技术的研究,利用技术安全来实现网络环境的安全,另一方面就是要进行科学有效的网络管理,通过网络监管,使得网络运行能够在安全的环境下进行。总之,强化网络信息化进行中的安全技术和管理,是当今网络工作中的重要任务。
参考文献
[1]张学明.技术与管理共同保障网络安全———浅谈税务信息化网络安全系统的建设[J].每周电脑报,2008,31:29-30.
[2]王瑛,贾义敏,张晨婧仔,王文惠,焦建利.教育信息化管理实践中的领导力研究[J].远程教育杂志,2014,2:13-24.
[3]黄瑞,邹霞,黄艳.高校信息化建设进程中信息安全问题成因及对策探析[J].现代教育技术,2014,3:57-63.
坚持科学发展观,充分发挥学校网络的技术指导的管理职能,强化服务意识、责任意识、发展意识,巩固我校教育信息化成果,不断完善信息化建设水平,大力推进教育现代化进程,科学、规范、高效抓管理,求真、务实、优质育人才,努力争创教学示范学校,办优质教育,特制订以下计划:
一、网络管理与建设
1、采取切实可行的措施,加强对校园网的管理,继续完善相关规章制度,落实各项管理措施,确保学校网络安全畅通。学校要继续完善相关的网络制度,杜绝网络信息安全事故的发生,确保网络畅通,更好的服务与教育教学工作。采取积极可行的措施,在保证网络畅通的情况下,杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题,充分发挥网络的作用,提高教育教学质量。
2、网络防毒。加强对教师信息技术的培训力度,使教师学会使用杀毒软件进行计算机病毒的查杀,确保学校网络畅通。基本上解决网络病毒在我校计算机上的传播,保证网络不因病毒而导致堵塞、停网等现象的发生。
二、网站建设
加强学校校园网网站建设和应用力度,使其服务于教学、服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管理员要不断学习相关业务知识,不断提高自己的业务能力,树立服务于教学的思想,管好用好学校网络。
三、信息技术使用与培训工作
加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班,加强培训指导,教师要将学习走在前头,自觉地学。
网络信息安全工作计划(二)
为加强本单位网络与信息安全保障工作,经局领导班子研究,制定**县工业商务和信息化局20**年网络与信息安全工作计划。
一、加强考核,落实责任
结合质量管理体系建设,建立健全信息化管理和考核制度,进一步优化流程,明确责任,与各部门重点涉密岗位签订《网络与信息安全及保密责任书》。加大考核力度,将计算机应用及运维情况列入年度考核中,通过考核寻找信息安全工作存在的问题和不足,认真分析原因,制定切实可行的预防和纠正措施,严格落实各项措施,持续改进信息安全工作。
二、做好信息安全保障体系建设
进一步完善信息安全管理制度,重点加强用户管理、变更管理、网络安全检查等运行控制制度和数据安全管理、病责防护管理等日常网络应用制度;加强入侵检测系统应用,通过桌管系统、瑞星控制台密切关注各移动存储介质(移动硬盘、U盘、CD光驱)等设备运行情况;在业务分析需求的基础上,合理设置安全策略,充分利用局域网优势,进一步发挥技术防范措施的作用,从源头上杜绝木马、病毒的感染和传播,提高信息网络安全管理实效;
进一步完善应急预案,通过应急预案演练检验预案的科学性、有效性,提高应对突发事件的应变能力。
三、加强各应用系统管理
进一步作好政府信息公开网站后台管理系统、OA等业务系统应用管理。加强与各部门勾通,收集使用过程中存在的问题,定期检查系统内各模块使用情况及时反馈给相关部门,充分发挥系统功能;完善系统基础资料,加大操作人员指导力度,确保系统有效运行,切实提高信息安全水平。
四、加强信息安全宣传教育培训
利用局域网、OA系统,通过宣传栏等形式,加大信息安全宣传力度,不断提高员工对信息安全重要性的认识,努力形成“广泛宣传动员、人人积极参与”的良好气氛;着力加强信息化工作人员的责任意识,切实增强做好信息化工作的责任感和使命感,不断提高服务的有效性和服务效率。
网络信息安全工作计划(三)
各乡镇党委、县直各部门单位:
根据自治区、地区有关要求,按照《XXX新闻宣传报道管理办法》有关内容,为进一步加强我县网络和信息安全管理工作,现就有关事项通知如下。
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站、微信公众平台信息审查监管
各单位通过门户网站、微信公众平台在互联网上公开信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。
严肃突发、敏感事(案)件的新闻报道纪律,对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害,涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传报道的,经县领导同意,上报地区层层审核,经自治区党委宣传部审核同意后,方可按照宣传内容做到统一口径、统一,确保信息的时效性和严肃性。
Network Security Analysis and Protection in the Construction of Hospital Informatization
Han Hui
(People's Hospital of Pei County,Jiangsu Province JiangsuPeixian 221600)
【 Abstract 】 Due to the development of modern medical technology, the hospital of dependence on the network and system has been enhanced, hospital network security directly related to the normal conduct of business. In this paper, through the analysis of internal, external security risks of hospital network that may exist, to solve the security problem through the security technology and management system, forming a system, the associated security architecture, provides a feasible solution for network security protection of hospital.
【 Keywords 】 hospital; network security; security protection
1 前言
随着医院信息化的不断发展,医院的HIS、CIS、RIS、LIS等信息系统大大提高了医疗水平与诊断准确性及效率,但是随着业务系统的逐渐扩展,对于网络的管理越来越复杂,而恶意软件的猖獗,对医院的网络造成了更多安全威胁,网络安全是一项动态工程,既需要技术手段,更需要人为配合,如何保障医院网络的健康运转行,已成为当前医院信息化建设过程中所需关注的重要事项之一。
2 医院信息化建设中存在的安全隐患
2.1 影响医院网络安全的技术因素
医院在进行信息化建设过程中,与其它局域网相同,涉及到基础链路、网络设备、存储设备、服务器、客户端、业务系统等多种元素。医院信息化水平的不断发展大大提高医院的治疗、服务水平,但是其网络安全问题也日益突出,如物理环境的安全性、操作系统的安全性、数据备份的安全性等问题,采取传统的防火墙与防病毒等被动式的防御措施已无法解决各个层面可能产生的安全问题,由此导致的重要数据损坏、丢失等问题,不仅影响了医院业务网络的正常运转,同时也威胁到了患者的隐私数据甚至生命安全,需要更全面的安全解决方案。
安全设备简单罗列,未规划一个整体的安全防御体系。医院在进行安全防范时,存在一定的思维误区,认为有了防火墙就可高枕无忧,关于网络的管理可做可不做,实际上防火墙仅是安全类产品中的之一,其功能存在一定的局限性,对于基于网络内部或旁路的攻击无法抵御,对基于内容的攻击也无法防范。IDS设备也是如此,仅可对存在的安全问题提供报警信息,并不能有效防御;数据库审计,虽可以记录到登录到数据库的用户所做的操作,可定位到操作的源IP地址,但是无法防止对数据的恶意操作者,如窃取、篡改等操作的具体医务人员,也即无法追究到最终的责任人。
安全措施操作复杂,且无关联性。如IP与MAC地址绑定,产生的问题之一是管理人员需要单独操作每台交换机,对其绑定信息进行逐条输入,工作量非常大,操作不便。问题之二是拥有网络基础知识的内部人员可轻松更改IP地址与MAC地址,导致绑定失效。再如医院主机上安全了杀毒软件,但是由于数量之多,且对各个主机的杀毒软件缺乏统一管理,对于病毒库是否更新、主机是否开启了杀毒软件都不得而知,操作系统的补丁更新也存在同样的问题。医院可能花费大量的人力、物力制定了大量的安全措施与手段,但是对其可操作性,相互之间的关联性未做评估,造成形同虚设。
2.2 影响医院网络安全的人为因素
无专门的网络管理部门,无法在出现问题时责任到人;未制定统一的医院信息系统建设的安全规范或标准;无强制性的安全检查、监督机制,且无第三方专业机构介入;无网络安全上岗人员资质认定标准,无定期的网络安全知识培训、宣传、考核制度。
由以上因素可能造成严重的安全问题,如医院内部的人员将个人电脑接入医院内部网络,可能会将携带的病毒感染至医院内网,影响业务系统的正常运行;或医院内部人员将业务网络的电脑接入至互联网,也可能将互联网上的木马、病毒传播至医院内网;医院内部人员利用职务之便,直接访问数据库窃取重要数据、篡改医患的数据数据,造成医院的重大经济损失。此外,黑客可利用电脑,非法接入医院的业务网络,发动攻击,由于医院与医保等社保网络是必须相联进行相应的数据验证,因此一旦被攻击,其后果可想而知。
3 医院信息化建设中的安全防护策略
医院网络安全构架见图1所示,通过管理与技术两方面对其安全性进行保障。
3.1 网络安全技术手段
3.1.1运行环境安全
物理环境是所有设备、业务系统运行的基础,因此它的安全性也是整个网络安全的基础。机房中旋转服务器或网络设备的机柜均上锁,并设专人保管钥匙。机房内安装专业视频监控设备,配备防雷、防静电、防尘装置。重要的网络设备安装UPS或提供双路供电;部分重要科室的汇聚层交换机应设计为互相冗余,避免因单点传输故障造成的业务中断,确保医院重要业务的不间断运行。医院网络基础建设中应采取VPN技术,防止外部网络未授权用户的非法访问。
3.1.2网络边界安全
安全隔离设备:用于实现医院内网与互联网的安全物理隔离,为各类威胁进入医院内网设置第一道屏障,同时可根据配置实现相应的安全数据交换。
下一代防火墙:用于对医院内部网络与外部网络通信内容的扫描,过滤来自互联网的攻击,如DOS攻击、Java、JavaScript侵入等,还可用于通过关闭不必要的端口增强安全性,禁止来自非法站点的访问,用以抵御不明通信,除了传统防火墙功能外,下一代防火墙还具备应用识别功能,包括识别普通应用与移动应用中包含的风险,识别应用中的用户信息,并具备主动防御功能。
入侵检测系统IDS:依照相应的安全策略库,监测网络与业务系统的通信情况,对不符合安全策略的可能入侵情况进行告警,并可与防火墙进行联动,阻断攻击事件,抵御主机资源免受来自内部或外部网络的攻击。
划分VLAN划分:用于划分不同科室的用户可访问的信息资源,避免医院内部网络遭受广播风暴,同时可降低工作人员的管理与维护负担。
3.1.3重要信息系统安全
流量监测系统:此处的流量监测系统是针对医院的重要信息系统,一般旁路部署于三层交换机,通过镜像端口进行各个应用系统流量的分流,分别可对其访问流量、访问用户、停留时间等进行全面监测与分析,通过用户自行设置的阀值进行判断,一旦发现异常则告警。
SAN存储系统:对数据存储设备进行集中管理与整合,可实现存储的冗余,并利用数据的权限设置、数据备份、容灾等技术保障数据的安全性。
3.1.4桌面终端安全
防病毒软件:建立可自动下载、统一分发、同步更新、集中管理的防病毒中心,无论是最新病毒,还是流行病毒,无论是基于Windows,还是Linux,一旦发现其入侵到任意系统,便可即刻清除。
终端管理:主要用于对终端使用USB、移动硬盘等外接设备的控制,安装和使用互联网非法软件的控制,访问非法网站的控制等功能,将安全风险降到最低。
软件升级:主要用于进行系统补丁的即时更新与分发,修复全网的安全漏洞。
3.1.5全网安全监测与管理
安全监测平台:通过与其它安全设备的联动,实现对医院内部全网的所有基础设备与安全设备进行全面监测,包括业务的运行情况、性能、配置的分析与预警、风险分析并生成量化报告、将安全运维的流程进行标准化等功能,将单点的安全防范提升为整体的安全把控。
云安全管理平台:一般借助虚拟化平台,将各类安全措施进行集中管理,如数据防丢失(DLP)、安全信息与事件管理(SIEM)与终端保护方案等,用于提供相应的云服务,以虚拟化降低维护成本,同时高效地解决医院内部网络安全问题,例如,通过防病毒厂商与VMware vSphere 5结合实现服务器的安全检测,实时地识别网络通信和阻止虚拟架构的配置更改,可有效停止用户的未授权操作,并在不影响系统正常运行的前提下抵御0day攻击。
3.2 网络安全管理制度
一方面,需要建立套较为完善,且操作性较强的管理制度,如业务系统管理制度、病毒防范制度、安全管理登记制度、日常维护记录查看制度等,对于未遵守相关规章制度的人员有相应的惩罚措施。另一方面,需要制度详尽的应急预案,并成立常年的应急小组,根据事件的严重事件进行适时采用,当发生灾难时尽快恢复,将医院中断时间、故障损失与社会影响降到最低,并形成问题整改的长效机制。此外,需要对医院网络的所有使用人员进行安全意识培训,尤其是对于网络管理人员,需定期对其进行考核,以确认其岗位胜任与否。
4 结束语
网络发展越智能,其伴随而来的安全问题越复杂,医院在进行病患病情分析、诊断、治疗等多个环节都需要借助信息系统,医院网络的正常运转直接影响到其业务与服务的开展,因此医院网络的安全性与医院利益息息相关,需要从技术方面、管理方面,上至领导,下至工作中的每个员工共同来维护其安全性,共同铸造一道牢不可破的安全防线。
参考文献
[1] 管丽莹,黄小蓉.医院计算机网络及信息安全管理[J].现代医院,2006,6(8):144.
[2] 王玮,鲁万鹏,牟鑫.医院信息系统中的安全运行保障[J].中国医疗设备,2008,23(1):63-65.
[3] 雷震甲.网络工程师教程[M].北京:清华大学出版社,2006:320.
[4] 王辉.浅议网络信息安全[J].农业图书情报学刊,2008,20(6):112-115.
[5] 陈克霞,袁耀岚,李平.计算机网络信息安全策略探讨[J].数字石油和化工,2008,4:38-40.
[6] 肖敏.稳定与高速兼顾 安全与管理并重――珠江医院网络改造纪实[J].中国医药导报,2007,4(25):11.
1当前数字化图书馆网络信息安全面临的问题
1.1我国网络信息安全的总体态势
根据中国互联网络信息中心(CNNIC)的第35次“中国互联网络发展状况统计报告”,截至2014年12月,我国网民规模达6.49亿,全年共计新增网民3117万人。互联网普及率为47.9%,较2013年底提升了2.1个百分点。到2014年12月,我国手机网民规模达5.57亿,较2013年增加5672万人。网民中使用手机上网的人群提升至85.8%。2014年3月21日,中国互联网协会、国家互联网应急中心在京“中国互联网站发展状况及其安全报告(2014年)”中指出,中国网站安全问题形势严峻,受境外攻击、控制明显增多,是网络安全问题的受害者。在篡改问题上,2013年被篡改的中国网站数量为24034个,增长了46.7%;其中被篡改的政府网站数量为2430个,大幅增长了34.9%。在植入后门问题上,2013年76160个中国网站被植入网站后门,其中政府网站有2425个。“中国互联网络发展状况统计报告”指出:2014年,总体网民中有46.3%的网民遭遇过网络安全问题。本次调查显示,49.0%的网民表示互联网不太安全或非常不安全。我国互联网使用的安全状况不容乐观。今天,图书馆尤其是高校图书馆在不断引进数字资源,丰富图书馆的馆藏数字资源的同时,数字化、网络化的图书馆在网络信息安全方面的问题日益突出,受到的各种安全威胁越来越多。
1.2数字化图书馆网络信息安全的涵义
网络信息安全是指防止信息网络本身的安全,包括采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。具体到数字图书馆网络信息安全是指数字化图书馆网络系统的硬件、软件及其系统中的数据受到保护,不受偶然和恶意因素而遭到破坏、更改、泄露,系统连续正常运行,网络服务不中断。
1.3图书馆网络信息安全面临的威胁
数字化图书馆系统受到安全威胁,总的来看,主要来自外部和内部两个方面。1.3.1外部安全威胁(1)病毒破坏。病毒威胁同样也是数字化图书馆所面临的安全问题,数字图书馆大多由内、外网构成,一旦内网中的服务器感染病毒就有可能危及整个图书馆信息的安全。(2)后门木马。它的危害大多是隐形的,由于后门木马是以窃取信息同时还能对服务器时行操控,可在管理者不知情的情况下窃取信息,对数字化图书馆有较大的威胁。(3)黑客攻击和信息间谍。这是人为的一种形式,对系统进行入侵、网络窃听、密文破译、流量分析、密钥破解等活动,因为数字化图书馆有大量的资源,其又以破坏或盗窃资源为目的,因此具有很大的威胁性。(4)信息恐怖活动和信息战争。主要是国与国层面的信息战争,这种威胁虽然不是经常出现,但它的危害不容小视。(5)自然灾害。因温度、湿度、灰尘、雷击、静电、地震等因素引起的设备损坏,这种危害发生的几率较小,但一旦发生,后果往往是灾难性的。1.3.2图书馆数字化的内部安全威胁(1)安全意识不强。主要体现在系统管理员和大多数的内部使用者身上,导致信息保护弱化。(2)恶意破坏。主要是内部安全管理人员对内部服务器和网络设备进行的破坏,甚至人为设置故障活动等。(3)内外勾结。主要是内部人员为了金钱等个人利益,给外部人员出卖信息情报资源、透露口令、入侵系统、破坏数据、盗窃资源、破坏系统等。(4)。非职责者,非职权者使用系统等。(5)管理疏漏和操作不当。体现在管理上制度不完善、人员组织不合理、缺乏监控措施及权责不清等。
2图书馆数字化网络安全的保障策略
图书馆数字化网络安全需要进行全面详细的考虑。对于常规如有线网络,主要从物理安全、网络安全、软件平台安全和应用安全几个方面相融合考虑安全策略。首先,建立一个全面立体的安全防护墙,以保证图书馆数字化系统其它层的安全。其次,防范病毒也是图书馆数字化系统需要考虑的问题,通过对图书馆数字化网络中服务器和客户端的防护以及在网关处对病毒进行拦截,可以有效预防病毒侵入。针对图书馆数字化网络安全要解决来自外部和内部的各种非法入侵和攻击、非授权的访问、信息泄露和被窃取等行为,在建立有线图书馆数字化网络安全体系时,要根据图书馆数字化所提供服务路径特征,结合各种网络信息安全防护技术,进行综合保护。如图1所示,给出根据开放式系统互联OSI(OpenSystemInterconnection)模型的常规网络安全结构防护方式。(1)应用层。主要研究事故原因,评估事故的破坏程度。涉及到网络管理,网络监控和系统管理。(2)网络层。一旦发现在任何时间发生意外事故及危险,立即终止该进程,最大限度地减少运行时间的事故,将事故损害降到最低。技术手段的使用包括应用访问控制,安全过滤,入侵检测,病毒防护。(3)物理层。使网络系统从通信开始最大限度地降低风险。包括网络分析和规划设计,同时使用网络安全漏洞扫描技术,及时发现事故征兆,并加以控制。可进行预防性安全检查,找到网络安全系统中存在的最大的风险,进行有效纠正。对于一个可提供完整数字化服务的数字图书馆网络系统来说,一般由单位内网、外部网络和门户网站构成。可在内部网络和外网间设置物理隔离;由于还需要进行数据交换,在外网与门户网站间可采用网闸定时交换所需数据信息,实现逻辑隔离,强化保护。结构如图2所示。
3基于图书馆数字化服务的移动网络安全保护
3.1图书馆数字化移动服务概述
图书馆数字化移动服务实际上是依托国际互联网、无线移动通讯技术以及多媒体技术,通过使用智能手机、掌上电脑、笔记本电脑等便携式移动设备,自由访问数字图书馆系统,方便灵活地进行图书馆文献信息咨询、浏览、检索及获取的一种新型文献信息服务方式。数字化图书馆为读者提供移动、交互、便捷、自由服务。但同时数字化移动图书馆所面临的安全问题也越来越严峻。只有建立一个综合、安全、可靠的移动图书馆信息平台,才能为用户提供长久安全的服务。
3.2完善数字化图书馆移动安全系统总体结构设计
上面主要分析了基于有线网络路径提供数字化服务网络信息安全的保护方式。在以数字化图书馆以移动路径方式提供数字化服务时,由于其服务更加灵活和开发,其安全保障体系更显得十分重要。其移动安全系统应进一步完善,应当由安全信息服务平台和移动终端设备组成,总体架构如图3所示。数字化图书馆安全信息服务平台应具有身份认证、密钥管理、用户权限管理、数据加解密、信息查询、数据存储管理、网络状态监视和日志管理等功能融为一体;安全信息服务平台能对移动设备用户进行身份认证、加解密与移动设备用之同传输的信息,要根据移动设备用户提供的关键字,从后台数据库中查询相应的数据,并返回给用户,对移动设备用户上传的文件进行统一存储管理;信息服务平台的日志管理模块实时记录不同用户所执行的操作,包括所进行的查询、上传的文件和系统异常,日志中所记录的字段可由系统管理员自由设定。
3.3完善数字化图书馆移动安全技术保障
就目前来看,图书馆数字化环境常用的移动网络安全架构还不够完善,对其进行改进完善是数字化图书馆移动服务快速发展的必然要求,可考虑采用如下两个技术措施进一步完善移动网络体系安全:(1)在移动终端增加安全措施。这样不至于因使用者出现安全问题而祸及图书馆数字化环境。因此,可在移动终端增加具有移动可信计算功能的独立模块。该模块使其具有安全计算和识别能力,能计算出移动终端中所有软件的完整性,检查所安装和所执行软件的合法性,如果没有授权,就不能安装和执行,但它可与安全服务提供者实现安全通信,并把计算发现的情况随时报告给安全服务提供者。(2)在移动网络中再添加安全服务提供者角色。在互联网中,软件提供商向移动用户提供的软件让其必须持有安全服务提供者签发的数字证书,只有这样该软件才能被安装和运行使用。因此增加安全服务提供者角色后,可通过其为移动终端提供软件合法性证明,从而避免对图书馆数字化安全体系所造成的威胁和破坏。如图4所示,给出了加上可信服务的移动网络安全结构。在如图4的安全结构中,安全服务提供者的服务器是直接接入网络服务器的,因此对已经有的移动网络安全系统结构不会造成大的改动。如果安全服务提供者检查发现软件完整性遭到破坏,则说明终端可能已经染毒了,为了避免终端将病毒扩散到数字化图书馆环境中,就主动不允许其进一步接入图书馆网络系统,以保障数字化图书馆移动服务功能的安全。
4图字化图书馆基于IPSecVPN访问方式实现移动服务的安全保障
使用移动通讯终端设备尤其是智能手机可随时随地接人因特网,但接入Internet不等于不受限制地访问获取图书馆所有资源。比如高校数字化图书馆服务对象主要是本校教职工,是有身份限制的,为了识别访问者身份和信息的安全传输,大多采用了VPN技术。4.1IPSecVPN分析虚拟专用网VPN(VirtualPrivateNetwork)实现不同网络组件和资源之问的相互连接,同时对用户提供透明的服务,利用Internet或其他公共互联网络设施为用户创建一个传输的逻辑隧道,在一个公共网上传输信息时,其它用户不能进入此隧道,这样就为使用者提供一个专用网络信息通道,起到了对资源提供者和访问者的安全保障。IPSecVPN即指采用IPSec(InternetProtocolSecurity)协议来实现远程接入的一种VPN技术。在VPN技术中可提供公用和专用网络的端对端加密和验证服务。IPsec提供IP层上的安全服务,这样系统就可以选择所要求的安全协议,以决定服务所使用的算法、配置所需要的密钥,实现数据传输的机密性和完整性。4.2完善IPSecVPN接入安全布置为通过IPSecVPN实现移动用户和数字图书馆的端到端的加密传输。在移动终端可安装安全卡和安全软件;在移动公网部署二层隧道协议访问集中器LAC(1ayer2tunnelprotocolaccessconcentrator)、二层隧道协议访问服务器LNS(1ayer2tunnelprotocolnetworkserver)和验证授权以及帐户AAA(authentication、authorization、accounting)提供虚拟专用拨号网服务;对移动安全接入部署防火墙、VPN网关、身份认证鉴别管理、安全策略和评估、监控审计和应用隔离系统进行完善,具体如图5所示。(1)为了使移动终端系统对移动用户的身份识别更加准确,可采用开机密码或硬件双要素的认证方式;(2)针对无线虚拟专用拨号网,在拨号过程中加强网络运营商对拨号终端身份认证采用“用户名@域名/口令”的方式;(3)在移动终端接入IPSecVPN网关时,要对移动终端接入采用数字签名认证。采用通过三次握手周期性对端的身份进行校验,同时在初始链路建立完成时,以及在链路建立之后重复进行。改善审计记录的关联性,以增强安全强度。
5系统认证方式
在数字化图书馆基于局域网、有线网络以及无线网络针对特定对象提供多路径数字化服务这一特点,如何识别服务对象、发现非服务对象甚至恶意侵入者,对保护图书馆数字化环境体系安全具有十分重要的作用。数字化图书馆虽然大多都有认证功能,但总的来说认证方式比较单一,不能完全适应多路径数字化服务的发展要求。建立一个统一的,各种认证方式相融合、互为补充的身份认证系统迫在眉睫,可考虑将以下认证方式进行融合使用。5.1系统接入虚拟专用网的认证现在数字化图书馆大多采用以VPN的方式进行访问接入,IPSec基于证书认证的方式非常适合大型VPN,这也符合数字化图书馆用户不断增加的趋势。它所采用的PKI(PublicKeyInfrastructure)安全体系架构,保证了VPN的安全性,并可在必要时,重新颁发证书来增加用户数量。5.2SD扩展卡与终端之间的认证增加安全数码SD(SecureDigita)扩展卡与终端之间的认证,分别针对扩展卡和读写设备的合法性认证。一是可验证终端卡的合法性,杜绝伪造卡使用的可能;二是可用卡来验证终端的合法性,以判定此终端是否具有读写卡的权限。5.3对持卡人的身份认证SD扩展卡需要持有人使用PIN(PersonalIdentificationNumber)码,即SIM卡的个人识别密码,证明它的身份。当用户将SD扩展卡插入移动终端,在使用之前,系统要求用户要输入只有其本人知道的PIN码,若输入正确,则表明用户为该SD扩展卡的合法拥有者,系统也才能进行SD读写操作,反之就拒绝。
6用好其它常规安全技术和安全管理措施
(1)其它常规安全技术保护措施。比如设置防火墙,安装使用网络管理软件,本地与在线杀毒等,这里不作过多叙述。(2)加强管理体系的建设①坚持功能规划、建设与网络信息安全建设同步的思想,确保安全的基础条件达标。②加快建立图书馆数字化安全机制。完善组织机构,加快建立完善图书馆数字化各项安全制度。加大使用安全宣传,共建数字化图书馆网络安全环境。③对图书馆工作人员进行网络信息安全知识、技能的培训,提高基于数字化服务的安全能力。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2102-02
Information-based Network Security Applications
ZHU Wei-xiong
(Zhaoqing Yingyi Information Technology Co., Ltd. Zhaoqing 526040, China)
Abstract: This paper from the analysis of information network security status and threats, are given to solve the problem of response measures, and to make recommendations to improve safety for the information-based network security applications to provide reference.
Key words: information technology; networking; security
信息化网络正高速发展,人们越来越多利用网络进行一些如银行事务,电子邮件、电子商务和自动化办公等应用,给社会、企业、个人带来方便,但网络特别是互联网的开放性、互联性、匿名性也给网络应用带来了安全隐患。
1 网络的安全威胁
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。网络安全面临威胁来自多方面,并随着时间变化而更新着,网络的威胁主要有:
1) 由于在广播网络系统中,每个结点都可以读取网上传送的数据,网络体系结构允许监视器接受网上传送的所有数据,使得窃取网上的数据或非授权访问变得很容易。
2) 利用重放数据帧的方法,产生被授权的效果,假冒另一实体进行网络非授权活动。
3) 网络资源的非授权使用,与所定义的安全策略使用不一致,非法越权使用网络资源。
4) 破坏数据完整性,包括设备故障或人为有意无意破坏修改系统信息。
5) 受到网络攻击使网络设备或数据遭到破坏,并可能产生拒绝某种网络服务功能的后果。
2 信息化网络安全应用
信息化网络应用既有保密性和稳定要求较高信息系统子网,又有互联网接入易遭攻击的资源共享子网,需要对信息系统均衡、全面的保护。充分、全面、完整地对系统的安全漏洞和安全威胁进行分析强调安全防护、监测和应急恢复,目前网络安全检查措施有数据备份、防火墙、数据加密、数字签名、身份认证、入侵检测、病毒防护等提供多层次全方位防护。
1) 数据备份与数据恢复能最大限度地降低系统风险不仅备份系统中数据,还备份网络中安装的应用程序、数据库系统、用户设置、系统参数等信息,及时迅速恢复整个网络。硬件备份方案有磁盘镜像、磁盘阵列(RAID),双机容错等,可以防止部分物理故障。磁盘镜像在每次向文件服务器的主磁盘写入数据采用写后读校验,将数据再同样写到备份磁盘上,但未能使服务器的磁盘I/O速度提高,一般应用在分支机构作数据备份。磁盘双工应用二级容错技术,在磁盘控制器出现故障时,起到数据保护作用,数据库服务器一般采用磁盘冗余阵列, RAID5技术磁盘数据I/O、效率、容量利用率较高,其中RAID6和RAID7是RAID5的改进版有条件可考虑使用。
2) 防火墙硬件将网络分为内网和外网,能有效地监视内部网络和Internet之间活动,保证内部网络的安全,只有内部访问策略授权的通信才能被允许通过。在物理实现上,防火墙是一组硬件设备,路由器、计算机或其他特定的硬件设备。防火墙有包过滤防火墙、应用防火墙,工作层次越高,则工作效率越低,安全性越高,较小的分支机构可以使用基于路由器的防火墙,公司内部使用具有安全操作系统的防火墙,由内到外,由外到内业务均经过防火墙,严格限制外部网络用户进入内部具有抗穿透攻击能力。
3) 数据加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私钥加密和公钥加密。VPN和IPsec用于各分支机构的互联传输方面,通过信息重新组合使得只有通信双方才能解码并还原信息,一般采用DES和RAS技术,通信双方通过加/解密函数和密钥对通讯信息加密解密而使信息得以保护不被监听。
4) 数字签名与手写签名一样,使得收信人可以确认消息来自发信者,收信者不能编造或改变信息,发信者也不能否认,多应用在电子商务方面,较多使用报文摘要算法(MD5)和安全散列算法(SHA),SHA算法速度比MD5较慢但安全性较高。
5) 身份认证要求用户使用一项网络服务前需输入用户名及密码,实现用户的身份认证,并给用户一定的使用权限。可给硬件如虚拟专用网(VPN)、服务器、路由器等,软件操作系统、应用软件进行加密保护,权限外用户将无法使用功能。
6) 反病毒软件是最常用安全保护措施之一,较常见的病毒有寄生病毒、存储器驻留病毒、引导区病毒、隐形病毒、多形病毒等。可采用较先进的类属解密对多形病毒进行激活解密自身结构,使得反病毒程序可以容易检出甚至复杂的多形病毒,同时保持较快的扫描速度。数字免疫当病毒进入系统,免疫系统立刻能识别来,对它进行分析隔离,并将这个病毒信息传递到其他地方,使它运行前能被检测出来。
7) 入侵检测是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在监视或者可能的情况下,对可能损害系统的机密性、完整性或可用性等行为进行检测,通过监视受保护系统的状态和活动,阻止入侵或者试图控制网络系统或资源,采用异常检测或误用检测的方式,监视限制非授权或恶意的系统及网络行为,为防止入侵行为提供有效的方法。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。
8) 虚拟专用网(VPN)就是在公用网上建立分支机构或项目部互连的专用虚拟网络。VPN之外用户无法访问VPN内部网络资源,VPN内部用户之间可以实现安全安全通信。在Internet上建立隧道技术可以在不同协议层如数据链路层、网络层实现。利用点对点协议(PPP),可传送多种上层隧道协议(PPTP、L2TP),创建隧道就地址分配、加密、认证和压缩等参数进行沟通,也可利用SSL VPN、IPsec VPN协议建立秘密隧道,使用预加密、数据完整性和身份认证技术。
3 信息化网络安全建议
1) 信息安全不仅是技术问题,也是管理问题,要高度重视信息安全管理,在加强信息系统的软硬件建设的同时,对信息安全管理工作也不能松懈和忽视。企业的信息安全政策不应再单单是信息部门的责任,企业对于组织安全的认知,应通过整体安全分析与定期安全检查获得提升。
2) 严格执行信息安全标准,减少内部的弱点和威胁,使安全隐患不再有机可乘。对于安全事件的处置,提倡强制实施应变作业流程,并针对特定目标提供安全训练,协助建立必要的作业程序,经常性对网络进行检测,扫描网络系统的安全漏洞,以及时发现安全隐患、及时打上补丁,降低并控制安全事件的损害。
3) 信息安全技术的日新月异,使得安全管理有着很大的不确定性。再严密的安保措施也不能保证网络安全的万无一失,因此必须增强信息安全管理的危机处理能力,将危机处理程序标准化,在危机来临之际,采取有效措施,积极将损失减少到最小程度。同时针对各种安全事件拟定一套顺畅且有效的应变措施,如为了封堵某一网络蠕虫病毒的传播,自动配置防火墙,阻塞已中病毒主机的IP地址或者该病毒传播所利用的TCP/UDP端口等等。
4) 网络安全和信息安全是信息资源共享的前提,发展信息化必须高度重视信息网络安全体系的建设。安全体系的建立并不是单一技术的堆叠,而应是整体预防体系,积极争取网络安全认证机构的合作和支持,同时加强信息安全技术平台的建设,加强企业内部的安全技术建设和监察管理工作,保障信息网络安全。
4 结束语
随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。只有重视信息化网络安全工作,才能使网络稳定运行,实现安全访问可控性,数据储存完整性,数据传送保密性,商务活动认证性等目标,从而更好地为计算机网络增值服务。
参考文献:
0 引言
在信息化社会建设的进程中,网络的应用和开发已成为衡量一个国家政治、经济和军事综合能力水平的重要标志,网络的作用和地位越来越重要。网络为信息交换、存储和处理提供了极大的便利。计算机网络因其开放性、互联性的体系结构使网络扩展更加便利,信息利用更加快捷高效,网络的服务性和需求日益提高,社会、经济、军事等领域对网络信息作用的依赖日益增强。然而,也正是网络开放、互联等特点增加了网络的复杂性和脆弱性,网络信息遭受来自网络内部和外部的各种安全威胁。因此,网络安全问题已成为信息时代人类共同面临的挑战,越来越被重视。就其本质而言,网络安全就是信息安全。网络安全是指通过各种技术和管理措施,使网络系统正常运行,保护网络数据(信息)的可用性、完整性、私密性和可控性。网络安全是一个完整的体系,其防护主要包含技术方面和管理方面,二者相互补充,缺一不可。加强网络安全不仅要从技术防护着手,更要注重网络安全管理工作。本文试对网络安全管理存在的问题简要分析,并就加强网络安全管理提出几点措施。
1 网络安全现状及存在的原因
1.1 现状
经过长期的努力,我国在信息安全管理上取得了一些成就,制定了一系列信息安全的制度法规,建立了专门的加强法制信息安全管理机构,出台了一系列信息安全技术标准。从国家互联网应急中心(CNCERT)的2011年互联网网络安全态势报告,显示我国基础网络防护水平明显提升,政府网站安全事件显著减少。其中,2011年我国大陆被篡改的政府网站数量较2010年下降39.4%。但由于缺乏自己的计算机网络及信息安全核心技术,互联网新技术和新应用快速发展而网络安全法规建设相对滞后,加之人们对网络信息安全的认识存有误区,网络信息安全事件频繁发生。数据泄露事件层出不穷,钓鱼网站数量持续增加,虚假信息和垃圾信息泛滥,用户信息安全保障难度加大;病毒、木马、蠕虫变化多、更专业,其破坏性和危害性更强。有数据表明,我国2011年遭受境外网络攻击持续增多,网上银行面临的钓鱼威胁、手机恶意程序、应用软件漏洞、工业控制系统安全事件等也呈增长态势。其中,2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。为此这些将成为网络安全管理工作的主要难点。
1.2 主要原因
1.2.1 网络安全意识淡薄。
网络安全实质就是要保障网络信息安全。影响网络安全的因素有许多,既有网络硬件、软件或系统等问题造成;也有人为因素造成。但是一些企事业单位机关对网络安全的认识存在误区,过度依赖网络设备和技术方面的防御,把防范的重点放在外部,忽视从内外结合上,技术和管理上构建网络信息系统的安全防范体系;对网络管理制度、管理队伍建设重视不够;网络工作人员和用户安全意识淡薄,导致疏于安全管理的网络安全问题时有发生。大量的调查表明,因人为因素或自然灾害所造成的计算机信息系统的损失事件中,至少有70%是因为管理措施不得力或管理不善所致,而其中95%是可以通过正确的信息安全配置管理来消除的。增强网络安全管理意识,强化管理措施是做好网络信息系统安全保护工作不可缺少的保障。
1.2.2 网络信息安全管理体系建设滞后于网络技术的发展。
网络安全是以安全技术为支撑,以安全管理为手段。虽然随着网络信息技术运用的不断深入,网络信息安全管理工作有所改进,但是由于没有及早认识到网络信息安全管理的重要性,网络信息安全管理工作还存在诸多不足。一是我国安全管理法规制度建设不健全。相对网络信息发展,我们在网络立法方面明显落后于信息技术的发展,难于满足网络信息发展的需要,不能有效地适应各类网络非法行为。二是网络建设处于分散管理状态。信息安全管理条块分割,各管理部门之间缺乏有效的沟通和联系,网络信息安全的多头领导,极易引起信息安全管理的混乱。三是网络信息管理队伍建设发展不平衡。从整体而言,网络信息管理队伍重视程度远低于网络硬件建设,网络安全管理的人才无论是数量还是质量都达不到信息发展及信息安全管理的需要。
2 加强网络安全管理几点建议
2.1 重视管理在网络安全的作用
加强网络信息安全必须从管理上着手,有人提出“网络信息安全的工作是三分技术、七分管理”。诸多事实证明,仅从防火墙、密码机单一设备加强信息安全已不能适应当今网络安全的需要,尽管目前已经有成百上千种的安全产品,但人们仍然越来越感觉不安全。网络的规模、复杂性、日趋增多的应用等,是造成这种状况的主要原因之一。要保证真正的意义安全,必须从管理上着手,加强对网络安全的防范意识、法规制度建设,加强网络技术、市场和人员等管理。
2.2 完善网络管理的法规制度
法规制度建设是管理运行的基本依据和最有效手段。经过长期的努力,我国在信息安全管理取得了一些成就,制定了一系列信息安全的制度法规,建立了专门的加强法制信息安全管理机构,出台了一系列信息安全技术标准。但是,与信息技术发展比较,我们的信息安全管理工作相对落后,加之网络发展速度迅速导致了法制的滞后性,使有关部门在打击网络犯罪的过程中面临无法可依的尴尬局面。所以法制建设应该不断健全,做到规范网络运行商、企事业单位和用户的行为,规范网络信息与资源的管理制度,切实做到有法可依、有法必依、违法必究。
2.3 加大舆论宣传
加强思想上网络安全意识建设,文化和法制等部门在社会主要加大基本网络安全知识的普及。同时加强网络用户的安全意识的宣传,要求网络用户在思想上要引起高度重视,既要他们认识到网络犯罪的概念与危害,增强法律意识;也要增进他们的自我安全意识,主动规避风险,最大限度地预防与减少网络犯罪的发生。
2.4 制定切实可行的网络安全管理策略
网络的安全是保证网络使用安全为前提,安全策略的制定应是建立在信息使用足够方便的基础上,寻求最有效的安全措施。第一,明确本网络的开放性要求和安全性要求,寻求二者的均衡点,对两者间有矛盾的根据实际情况决定取舍。第二,对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。第三,要建立全网统一、有效的身份识别系统。遵循最小特权、最小泄露和多级管理的授权原则,未经授权相关信息和资源不允许访问、引用和使用。第四,建立网络信息监控机制。对信息、传输和使用等,需要有较全面的审计、记录的机制,以便于事后的调查和处理。第五,制定各种网络安全事件的应急预案,一旦网络安全事故发生,能在第一时间予以控制,防止事态的扩大,减少损失。
参考文献:
中图分类号:G271 文献标识码:A 文章编号:1674-3520(2015)-04-00-01
二十一世纪,是一个网络的时代。打开计算机,网上浏览一圈,就知天下事。这是信息网络时代的突出特点。人们在小小的电脑前,可以快捷、准确、高效,远距离地实现自己的愿望,真是方便又明了。这就是信息网络时代对档案利用者带来的优越,也是档案工作的一种变革,更是一种挑战。随着科学技术的迅猛发展,信息网络的连通,档案工作者只有随时代的发展而提高自己,实现网上办公、网上用档,才能准确、高效地为利用者服务,才能让档案信息体现出真正的有效价值。
一、实现档案信息网络化的对策
随着网上办公、网上用档的普及,档案部门还有许多工作要做,针对网上用档的条件,我们还必须做好以下几方面工作,为档案实现信息网络化奠定坚实的基础。
(一)加强网上用档管理理论研究。为了更好地开展网上工作,保证提供系统、完整、真实的电子文件信息给利用者,我们必须加强归档电子文件的理论研究,其探讨的理论主要包括:1、用文字处理技术形成的电子文件,归档时应有文字存储格式、属性和文字处理平台的说明材料。2、用扫描仪等设备获得的图像电子文件,用计算机辅助设计或绘图等获得的图形电子文件等如何归档的理论研究。3、档案信息上网后信息如何管理、利用的理论研究。4、档案信息源如何系统编辑上网的理论研究等等。
(二)加强档案部门网上办公先进设备的配置。现阶段档案部门设备十分落后,现代化程度不高。因此,我们要加强宣传,争取社会的支持,争取政府加大对档案事业的投入。再就是要把档案事业推向市场,让档案体现其经济价值,把档案信息作为一种特殊商品经营,增加社会对档案事业的投入。总之,要采取多种方式来解决档案资金的不足,以便档案界配置先进的管理设备。
(三)加强档案管理人才的培养。人才决定事业成败,档案事业发展与否,关键在人才。网络时代,档案管理人才必须重新更新自己的知识,争做档案信息网络管理软件的编辑开发人才,争做网络档案信息管理人才,争做网络档案信息源组织编研人才和其它载体形式的管理人才。
(四)加强网上用档的法律、制度的制定。必须加强网上用档工作立法和制度的建设,用法律和制度来保障档案资源的齐全完整。为此,需要从以下几方面进行规范:1、加强网上用档的立法规定,对那些非授权访问,冒充合法用户破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等形式的犯罪分子,要以法律为武器进行坚决的打击。2、制定应急计划,进行安全检查和审计,撰写安全情况汇报的规定;3、严格进行权限管理,包括授予完成工作所需最小特权、回收特权的规定。4、网上查阅档案信息目录的规定。5、定期进行安全评估,不断改进、优化系统的规定。
二、档案信息网络安全管理与防护措施
随着计算机技术的不断发展,在网络环境下,各种破坏手段、病毒及黑客攻击等无时无刻都在威胁着电子档案信息的安全管理。因此,档案信息网络安全管理需要管理的网络、存储设备、主机服务器、系统软件等都应该有相对较高的安全管理及安全防护措施。以下粗浅的谈几点网络安全管理与防护的措施,仅供参考:
(一)做好网关病毒入侵的防御工作
如今,计算机病毒通过互联网进行传播,因此,做好网关病毒入侵的防御工作,可以起到防患于未然的作用,这样可以将病毒防御工作做在开头,而非等到病毒入侵之后造成一定破坏才去做亡羊补牢的杀毒工作。其具体措施为:首先,阻截来自互联网的文件病毒入侵内部网络,对进出的数据信息全部进行杀毒;其次,阻截来自互联网的黑客对应用服务器的破坏及入侵;另外,阻截来自互联网的病毒对终端操作系统的入侵及破坏,并禁止病毒在内部网络之间相互传播。
(二)提升档案信息管理人员的专业素质和网络安全意识
在档案信息的安全管理过程中,档案管理人员的专业素质及网络安全意识在很大程度上决定着档案信息管理的安全与否。因为,在档案管理过程中,存在的安全隐患并非完全来自计算机软硬件方面,另外还涉及到档案信息管理人员的安全意识及安全防护措施,因此,在档案信息管理过程中,管理人员必须做到杜绝用档案管理专用机访问外网;坚决不在档案管理专用机上随意安装软件;尽量不要利用U盘移交档案信息,在迫不得已的情况下,也一定要对U盘进行彻底杀毒;另外,互联网上每时每刻都在传送各种各样、形形的文件,而这些文件,或多或少都带着一定的病毒,甚至有些文件根本就是黑客和病毒入侵的一种媒介,因此,对于一些无法搞清楚来路以及内容的文件,千万不要打开,也不要接受陌生人发的文件,只有做好这些防范工作,才能做到在最大限度内对病毒、黑客等入侵的防范工作,以确保档案信息的网络安全管理工作。
(三)做好防火墙的访问防范工作
防火墙处于网络安全的最底层,不但为网络应用提供安全服务,也承担着网络病毒、垃圾等的过滤任务,是内网与外网之间的重要防护屏。因此,做好防火墙的访问权限及防范工作,力争将网络病毒、垃圾等侵害网络安全的因素阻挡在防火墙之外,这一环节对于档案信息网络安全管理与防护有着直接而至关重要的作用;另外,在档案信息管理系统和每个地区的服务点之间,还有安全等级不相同的系统之间的互联边界处,也应该利用防火墙做好访问防范工作,还以利用划分虚拟局域网来增强网络安全防护效果。
三、结语
档案信息网络化管理让档案信息快速、及时、准确地为用户提供相应的档案信息服务的同时,相比传统的纸质档案,也在安全管理与防护方面存在着较大隐患。因此,做好档案信息网络安全管理与防护体系并为其提供安全的网络环境及管理人员显得尤为重要,才能更大程度地发挥档案信息的效益,才能保证档案信息在网络环境下的完整及安全。
参考文献:
会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指有人为的或非人为的因素是会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面。
1.会计信息的真实性、可靠性。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。
2.企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。
3.会计信息是否被篡改。会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。
4.网络系统的安全性。网络是一把双刃剑,它使企业在利用lnternet网寻找潜在的贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:泄密与恶意攻击。所谓泄密是指未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或卖出商业机密换取钱财。所谓恶意攻击是指网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。
二、网络会计信息系统安全应考虑的一般原则
1.需求、风险、代价平衡分析的原则
任何网络的绝对安全都是难以达到的,也不一定是必要的。对一个网络要进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后确定本系统的安全策略。
2.综合性、整体性原则
应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施包括:行政法律手段、各种管理制度(人员审查、工作流等)以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之,不同的安全措施的代价、效果对不同的网络并不完全相同,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。
3.一致性原则
一致性原则是指网络安全问题应存在于整个网络的工作周期,制定的安全体系结构必须与网络的安全需求相一致,安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的初期就应该考虑网络安全对策,比等网络建设好后再考虑安全措施不但较容易,且成本也大大的降低。
三、网络会计信息系统安全的几项措施
通过加强会计信息系统的安全建设与管理,提高会计信息系统安全的防护和反应综合能力,使系统能够抵御各种威胁,有效保护企业资产,提高会计的完整服务。在会计信息系统建设过程中,必须克服“重建设轻安全、重技术轻管理、重使用轻维护”的思想。应逐步建立以“检查与管理、保密与防护、检测与防治、测评与服务”为基本结构的安全管理和技术系统。通过管理和技术两种手段,使会计信息系统的技术风险防范能力不断提高到一个新的水平。为了更好的利用网络会计带来的优势,保证信息数据质量和安全,应从以下几方面入手,以网络技术为基础,结合会计需要,确保网络安全有效的传递信息。
1.系统加密管理。在会计信息系统中,对一些须严格控制操作的环节,设上“双口令”只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置,不得告知他人。对“双口令”进行“并钥”处理后,方可执行相应的操作。这样不仅加强了控制管理,保证了数据安全,而且也保护了相关的人员,便于分清各自的责任。
2.形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储,应利用网络所特有的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控(即网上公证)。
2医院信息化建设网络安全的防护措施
2.1对医院的网络进行安全隔离
医院的财务部门、人事部门及领导用户等重要计算机中往往保存这非常重要的文件、数据等,这些文件与数据都直接关系着医院的生产与发展。在医院信息化建设的过程中,一方面要让这些部门充分享受到网络所带来的便利性,另一方面也要重视这些部门的网络安全。因此,要对医院中的重要部门及关键用户进行安全隔离工作,排除一些不允许访问的用户。医院网络的安全隔离工作主要包括三个方面的网络技术解决方案:第一,运用网络掩码或者VLAN技术对网络进行划分,形成子网络;第二,对医院的重要部门与关键用户进行单独划分,将其归到特定的子网络中;第三,对医院的重要部门与关键用户进行网络隔离工作。
2.2对医院的网络进行杀毒软件部署
当前,计算机病毒在不断的发展中呈现出混合型的特征,能够通过各种途径进行传播,具有破坏性较强、欺骗性较大等特点。在计算机病毒传播的过程中,最为有力的方式为系统漏洞传播。
2.2.1杀毒软件的常规部署工作
针对计算机病毒呈现出的新特点,医院应该采用杀毒能力较强的防病毒软件,例如SymantecEndpointProtection等,首先需要具备最为基本的防病毒功能,其次需要具备管理控制客户端应用程序的功能。医院信息化建设过程中,通过杀毒软件能够对病毒进行查杀,对文件进行监控,同时能够实时监控客户端,不给病毒以可乘之机。医院中包括多个子系统模块,每个子系统模块都具有特定的功能,要依据子系统模块的特点选择不同的杀毒软件部署工作,例如药房组、医技组等可以部署普通杀毒软件,非受管组具有一定的独立性,需要增加扩展功能、更新功能等。
2.2.2恶意软件的深度防护工作
最新版本的防病毒软件在理论上是可以对最新病毒进行查杀的,但是实际上杀毒软件病毒库的更新总是滞后于病毒产生,存在部分病毒无法得到及时的预防与查杀。此外,服务系统中存在着较多的安全漏洞,而且呈现出不断增加的状态,需要通过大量的补丁程序对其进行修复。因此,需要对恶意软件进行深度防护。首先,对客户端进行防护工作,主要的措施包括:第一,将计算机中不需要的应用程序、服务等进行及时的删除或者禁止,降低计算机的受攻击面;第二,要对应用及时地进行安全更新工作;第三,在客户端使用的过程中要启用防火墙;第四,在客户端中进行防病毒软件的安装与更新;第五,对漏洞扫描程序进行测试,确保不存在安全漏洞;第六,在登录系统中要采用最小特权策略,将管理员用户与普通用户进行划分。其次,对服务器端进行防护,服务器端的防护措施与客户端防护措施基本相同,除上述的几种措施之外,还需要注重的就是对软件总体服务器进行防护工作。
2.2.3对医院网络系统中的数据实现备份与恢复
数据备份指的是将计算机网络中的数据进行复制并存储到安全区域,当计算机出现问题并恢复系统之后,数据备份能够将计算机中丢失、破坏、损毁的数据进行恢复。在数据备份工作进行的过程中,要依据医院信息化建设的安全数据保护级别选择备份工作的类型,同时要对备份文件进行有效的保护工作,为医院信息系统的数据恢复提供保障。当前,数据备份较为常用的方法为多层次冗余备份法,主要的功能包括结构本身的数据备份、本地磁盘定时备份、异地备份、备份库定时刻盘等。
2.2.4对操作系统进行安全管理
在医院信息网络中,终端、服务器等都安装了操作系统,操作系统的稳定性与安全性对信息网络具有非常重要的意义。在对信息系统进行管理的过程中,最为核心的任务就是对应用系统依赖的IT基础设施进行日常运行维护与监控管理,确保信息系统在运行的过程中能够实现稳定与流畅。针对信息系统要部署运行维护管理软件,对信息系统管理人员提供综合网络管理,对信息系统进行全方位的管理工作。
2.2.5对信息系统的用户账户安全策略进行管理
在医院的信息网络中,最为重要的就是要确保服务器系统的安全。在整个网络运行的过程中,服务器系统发挥着源头与动力的作用。入侵者在进攻网络过程中的第一步为破译用户口令,因此需要对用户账号进行有效的安全性配置。在用户口令设置的过程中要尽可能的长,最好选择字母与数字组合的方式,同时口令最好是没有规律的、定时更换的,不同的系统要采用不同的用户口令。医院信息中心的服务器应该有专人进行管理,只有管理人员能够拥有密码口令。
1.1消防信息化的范畴
消防信息化是利用先进可靠、实用有效的现代计算机、网络及通信技术对消防信息进行采集、储存、处理、分析和挖掘,以实现消防信息资源和基础设施高程度、高效率、高效益的共享与共用的过程。
消防信息化建设的范畴包括通信网络基础设施建设、信息系统建设及应用、安全保障体系建设、运行管理体系建设和标准规范体系建设等内容。
全国消防通信网络从逻辑上分为三级:一级网是从部消防局到各省(区、市)消防总队以及相关的消防科研机构和消防院校;二级网是各省(区、市)消防总队到市(地、州)消防支队;三级网是各市(地、州)消防支队到基层消防大队及中队。对北京、上海、天津、重庆等直辖市,二级网和三级网可合并考虑。每一级网络所在机关均应建设本级局域网。
1.3安全保障体系建设
安全保障体系是实现公安消防机构信息共享、快速反应和高效运行的重要保证。安全保障体系首先应保证网络的安全、可靠运行,在此基础上保证应用系统和业务的保密性、完整性和高度的可用性,同时为将来的应用提供可扩展的空间。安全保障体系建设的基本要求是:
(1)保障网络安全、可靠、持续运行,能够防止来自外部的恶意攻击和内部的恶意破坏;
(2)保障信息的完整性、机密性和信息访问的不可否认性,要求采取必要的信息加密、信息访问控制、访问权限认证等措施;
(3)提供容灾、容错等风险保障;
(4)在确保安全的条件下尽量为网络应用提供方便,实行全网统一的身份认证和基于角色的访问控制;
(5)建立完备的安全管理制度。
2.消防信息化建设中面I临的网络安全问题
2.1计算机网络安全的定义
从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害;从其本质上来讲就是系统上的信息安全。
从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。
2.2网络系统的脆弱性
2.2.1操作系统安全的脆弱性
操作系统不安全,是计算机不安全的根本原因。主要表现在:
(1)操作系统结构体制本身的缺陷;