时间:2022-11-29 12:28:05
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇网络安全管理范例。如需获取更多原创内容,可随时联系我们的客服老师。
1、网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型问题点问题描述
协议设计安全问题被忽视制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误协议设计错误,导致系统服务容易失效或招受攻击。
软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护默认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统软件和操作系统的各种补丁程序没有及时修复。
内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二网络安全面临的主要问题
1.网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全措施加以防范,完全处于被动挨打的位置。
2.组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐患,从而失去了防御攻击的先机。
3.组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击者以可乘之机。
4.组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5.网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1.安全需求分析"知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2.安全风险管理安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3.制定安全策略根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4.定期安全审核安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5.外部支持计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6.计算机网络安全管理安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
在目前的医院网络安全管理工作中,其管理和服务的层次还比较低,尤其在对资源的整理与加工工作上不够深入;其次,在迎合院方与患病者的需求服务工作上有待改进,医院不能仅依赖于传统的纸质资源,应该充分挖掘数字化信息服务与管理职能;与此同时,目前各大医院的网络安全管理还存在很多系统方面的问题,网络管理服务软件滞后、医院网络速度慢、网络安全性不高、信息失真等,这些问题是由网络系统自身存在的不足与外部因素共同作用的结果,需要医院引起足够的重视,有针对性的进行措施的解决。
2加强医院网络安全管理的相关对策
2.1强化医院网络安全意识,建立网络安全管理制度
1)提高医院全体医疗人员的安全防范意识与责任心。医院正常医疗工作的开展需要全体医疗人员的共同努力,对于医院网络安全管理工作亦是如此,只有全员的行动一致才能促进医院网络安全管理工作的效率提升。因此,加强医院网络安全管理首先需要强化医院全体人员的网络安全防范意识与责任心。医院的相关领导要高度重视医院网络安全工作,加大医院网络管理的投入,并强化医疗人员的安全防范意识与责任心。医院应开展全员思想教育工作,宣传普及医院网络安全知识与计算机操作技术知识,让全体医疗人员明确认识到网络安全管理的重要性,进而强化其网络安全防范意识与责任心。
2)加强网络系统管理人员的业务技能。医院网络系统管理人员是医院网络信息化系统最重要的管理人员,加强其业务技能,有利于更好的保证医院网络安全管理工作的开展。因此,对于网络系统管理人员的业务技能的增强,应该重视其对医院网络安全策略的设计,尤其重视资源系统在安全分支应用的管理工作的方案设计,要切实减少数据被破坏丢失的现象。同时,网络系统管理人员应该根据医院网络系统的实际需求进行安全管理策略的设计,并争取策略被采纳和应用。
3)完善医院网络安全管理制度。医院网络安全管理制度是确保网络安全管理工作的制度保证,医院要建立健全的网络安全管理机制,坚持网络技术创新与管理创新,要制定网络管理配套的方法,保证各项网络工作严格按照制度流程执行,并且要科学的应对网络危机,确保网络环境的安全。同时,医院还应该建立网络安全监督机制与应急机制,及时有效的了解网络系统运行状况,并保证其正常高效运行。
2.2建立健全的安全备份机制
1)制定高效的安全备份策略。安全备份是为保证系统在受到破坏时,能通过备份恢复原有的数据信息。在医院网络安全管理工作中,当网络系统遭受自然灾害或人为破坏时,系统中数据内容的会通过备份软件得到恢复。医院应该引进先进的备份软件,并包含对数据、系统、设备的多方面备份功能。在结合利用了备份软件、备份硬件的自动化作业下,确保数据信息及系统运转的完整性。
2)建立医院网络应急预案。医院网络系统存在本身的不足之处与外界因素的干扰,发生异常故障问题是难以避免的,此刻最需要的是科学合理的应急对策以降低损失,恢复系统运行。因此,事发前的应急预案规划就显得尤为重要和迫切。应急预案要充分考虑到医院网络安全突发事件的多种可能性,才能保证预案的全面性。例如,主干线不同、主交换机突发状况、住院信息系统故障、门诊系统突况等,这些预案都应该涉及到医院各个职能部门,尽量在预案中将工作人员的联系方式加入,以便及时有效的执行工作人员的安全备份工作。
2.3加强医院网络安全问题的防范措施
1)加强防范计算机网络病毒。很多情况下网络安全问题出现的原因都来自于计算机网络病毒的入侵,致使网络系统的瘫痪。对于医院网络系统同样有来自于网络病毒的入侵威胁,医院应该采取技术措施,积极防范网络病毒。首先,应该从根源上堵住病毒的来源,主要依靠内外网物理分离的网络进行,严格禁止使用移动硬盘等存储设备接入计算机入内网中,严禁私自更改网络终端操作操作系统,杜绝出现病毒来源的一切条件。其次,要加强对医院网络的系统修复功能、黑客入侵检系统、杀毒软件及木马程序查杀软件的升级,有效防止网络病毒的入侵;同时要建立医院的防火墙系统,对进出医院网络的访问和服务进行有效检查与控制,全面保护医院网络环境的安全。
2)加强网络系统的加密工作。为了提高医院网络系统的安全稳定性能,采用技术含量高的加密技术对系统信息数据进行加密是一种非常高效的方法。三重加密技术是现代网络系统加密的重要手段,这一加密技术可以对多个对象进行连续性的加密保护,极大了增强了网络数据的安全性。与此同时,用户在进行网络数据加密时,要重视加强密码的复杂度与密码更改次数,尽量让密码复杂并重复修改,减轻密码被破解的可能性,以防数据信息的丢失。
3)做好医院网络安全管理系统的维护与保养。做好医院网络安全管理系统的维护与保养能更好的加强网络安全管理技术的应用并延长网络系统设备的使用寿命。积极开展医院网络安全管理系统的维护保养工作,是最有效的确保医院网络安全的途径之一。医院在进行网络系统装备和工具的管理中,要组织专业的网络系统安全检查小组,定期检查和维护系统设备,确保系统运转的顺畅,尤其要加强对核心备份系统的维护与保养,以保证系统恢复技术的高效使用。对于网络安全管理系统的维护保养工作还应重视对系统垃圾文件、系统设备上积尘的清理工作以及网络系统机房的清洁工作,保证系统设备的通风散热,促进其工作性能的优化。与此同时,还要定期检查网络电线插头、内存插槽及各种插件的接触,及时发现问题并予以解决,加强网络工具的自我修复能力,确保网络工具的正常运行。
2.4加强软件的桌面安全管理
任何一所综合型医院都拥有成百上千种设备终端,其设备的日常维护工作量相对较大,在系统操作遇到麻烦时,维护人员需要花费大量的时间与精力去解决问题。针对这种情况,加强软件的桌面安全管理能为设备日常维护带来很大的便利。在桌面安全管理中,对补丁、软件分发、资产、远程协助等都进行了有效的功能维护,能极大的减轻系统维护人员的工作压力,使系统正常运转。
3结束语
1、医院网络安全管理重要性分析
信息安全其实质是防止信息网络或信息系统中的资源受到各式各样的干扰、威胁以及破坏,即保证信息的安全性。医院中的信息安全政策类似于国家制定的法律法规,具体而言,医院中的信息安全政策给出了相关的信息系统用户要遵守的规定,这样便可以在很大程度上降低信息安全事故发生的频率并有效地降低由信息安全事故造成的损失,进一步保护整个信息系统中的软硬件。
近年来,随着医院信息化系统 (Hospital Information System,HIS)、实验室信息管理系统(Laboratory Information Management System,LIS)、临床管理信息系统(Clinic Information System,CIS)、医学影像存档与通讯系统“PACS”(Picture Archiving and Communication Systems)等信息化系统的迅速发展和普及,使得医院的信息网络架构逐渐开始从传统的小型局域网向着大型的三层网络架构演化,现代化的大中型医院网络规模日益庞大,这就使得相关信息网络系统中的各种安全问题成为网络管理工作中的一项重要课题。总体看来,医院网络安全管理问题不仅直接影响到医院工作的稳定性和正常进行,也会对医院中信息的准确性和可靠性产生很大的影响。因此,为了保证医院网络信息系统的顺畅运行,构建一个稳定可靠的网络信息安全防护系统是整个医院信息建设工作中的重中之重。
2、医院网络安全管理现状
从医院网络信息安全管理现状看来,传统的信息安全技术包括基础安全技术和应用安全技术两个方面,具体而言它们分别为一般性的信息系统和特殊领域的应用系统提供安全防护。在传统的医院信息化建设中,发挥主要作用的是医院信息化系统(Hospital Information System,HIS),其中医院信息化系统是通过计算机和网络通信等信息技术来对医院中存在的庞大的信息进行数字化管理工作的信息系统,该系统可以把整个医院经济状况、医疗质量状态、工作质量状态等信息进行有机地整合,同时得到医院各部门的信息反馈,这样便可以为医院各部门的管理者的计划决策、组织实施和协调控制工作提供有价值的参考信息。医院信息化系统是整个医院信息网络应用系统的核心,也是数字化医院的数据中心,在整合其他辅助系统功能的方面起着至关重要的作用。
医院信息化系统在当今医院的正常运营过程中越来越重要,而这其中又涉及到相关的计算机网络技术和通信技术,加之计算机本身以及计算机网络安全管理系统的规章制度还不是很完善,所以在医院网络安全管理方面存在很多潜在风险因素。一般情况下,就医院日常工作及业务的特点而言,医院网络安全管理方面的问题主要包括计算机硬件问题、计算机软件问题和信息管理问题。
3、医院网络安全管理策略
3.1 医院信息数据的安全防护
在医院的现代化信息系统中,最重要的信息就是数据,这些数据中包含非常重要信息,比如患者的病历档案,如果数据库出现问题,将会对医院带来非常难以估量的损失,此外,也对患者的正常治疗工作存在着影响。所以,重要数据的备份工作是医院网络安全管理工作中非常重要的一环。除了重要数据的备份工作以外,另一个不可忽视的方面就是数据的备份 数据的管理。通常而言,备份数据的管理包括备份数据的可计划性、自动化操作和历史记录日志的保存。当今数据备份技术的发展方向是实现无人职守的自动化备份,还包括备份数据的可管理性和灾难性恢复。医院信息系统中常见的备份技术有磁盘阵列、双机容错、异地容灾、SAN(存储区域网络)等技术。
3.2 计算机设备的管理
这方面的信息安全工作可以通过设置对计算机的USB、光驱、移动存储设备等设备的安全防范措施进行,例如实时监测USB、串/并口、红外、蓝牙、1394等借口的管理状态,管理人员负责允许或禁止计算机使用上述设备。相关的医院网络安全管理工作人员可以根据需要,制定相应的安全管理制度,例如可以设置授权/安全/保密U盘等,使得重要的信息只能入网不能出网,这样可以有效防止医院的网内重要信息通过移动存储设备泄密。
3.3 网络流量管理
通过对网络流量进行管理,能够对每台计算机允许使用的外网和内网带宽进行配置工作。这样便能够有效地防止工作人员占用大量网络带宽做与工作无关的事情。同时,还可以从每个网络终端计算机开始,从系统上全面、准确了解整个网络的工作情况,对产生异常流量的进程进行监控,从而快速解决相关的问题,更能实施有效管理措施,从而防止问题再次发生。进行网络流量管理工作可以很大程度上对病毒大量发包、BT下载、ARP欺骗和服务器瘫痪等网络异常行为进行预防、定位和排除。
4、结语
人们越来越重视网络安全问题所产生的严重后果,因为中国医疗行业的计算机网络和信息化建设的应用工作开展时间较短,所以医院网络安全管理人员要做好医院网络的安全维护工作,加快发展医院信息系统。
参考文献
[1]刘松林,沈国伟.双机热备份及异地备份在医院信息系统数据安全中的应用[J].中国医院统计,2004,11(2):169―170.
[2]姚西侠,于昕,任斌等.医院信息化建设和管理[J].中国医院统计,2004,11(4):329.
[3] David J.Stang,Sylvia moon.计算机网络安全奥秘[M].北京:电子工业出版社,1999:306-317.
关键词:网络安全;嗅探器;检测;响应;托管式安全监控
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)05-1068-03
Network Security Management and Monitoring
WANG Li-zan
(Modern Education Technology Center,Guangdong Pharmaceutical University, Guangdong Province,Guangzhou 510000,China)
Abstract: This article presents an analysis to the causes of the security risk that enterprises may have in the Internet, the current security risks and counter measures. Furthermore, an explanation to the importance of monitoring in the network security, and a brief introduction to Managed Security Monitoring, as well as its potential in enterprises development, which is constructive to enterprise network security.
Key words: network security; sniffer; detection; response; managed security monitoring
1 引言
互联网对于商业来说是至关重要的。一个跨国大公司往往别无选择地将其内部网络连接到世界上各个地区,因为那里有着他们的客户,供应商,合作伙伴和自己的雇员。 然而随着网络的扩展新的威胁也随之而来,恶意黑客,犯罪分子,工业间谍等的数量与日俱增。 这些网络上的掠食者,不断的企图窃取公司资产和知识产权,或者通过对关键性的服务器进行攻击来使系统服务停止甚至崩溃。这种行为产生的后果,不仅损害到了公司的声誉,而且还会惊吓到客户。 如果一个公司不能成功地进行防范和解决这些问题,那么他们的业务在商业因特网上的扩展在很大程度上也将会受到阻碍。
2 网络安全
2.1 安全的重要性
计算机安全是互联网的一个根本技术,它起源于纯粹学术上的好奇心,发展到现在已经演变成为一个十分重要的商业应用。在互联网上,任何企业或个人都无法忽略对安全的需求。
网络上贸易机密,客户资料,金钱等被窃取的风险是真实存在的。由计算机安全问题所造成的损失也可能是相当巨大的。例如ILOVEYOU病毒,据不完全统计,它在全球范围内造成的损失已高达100亿美元;其中生产上的损失占了绝大部分,同时它带来了其它间接的影响:顾客的流失,品牌和商誉上的损害,这些都是难以进行估计的。 除此之外,新的问题将接踵而至。因为欧洲的国家都有严格的隐私法:如果公司或企业不采取相关措施来保护客户的隐私,他们将被追究法律责任。在美国也有类似的法律,尤其是银行和医疗保健等行业-都会制定相关的法案来专门针对隐私保护。
虽然在互联网上进行业务的同时伴随着如此大的风险,但是公司和企业并不会停止去利用这个平台。因为网络能给企业带来新的市场,新的客户,新的收入来源,甚至新的商业模式。这是具有相当巨大的诱惑力的,所以即便是存在这样的风险性,他们也会不断的在这个互联网环境里拓展自己的业务。正因如此,比起其它问题来,计算机安全更加显得重要。
2.2 落后的传统安全
网络安全上的攻防如同在进行军备上的较量,且攻击者一方具有较大的优势。首先,防卫者必需对所有可能的攻击进行防范,而攻击者需要做的只是找到其中一个弱点或者漏洞。其次,现代巨大而复杂的网络使得防卫者不可能保证100%的安全性。另外,熟练的攻击者可以将复杂的攻击手段整合到软件中,使得即使是一些非内行人士也可以很容易的使用它们。这就不奇怪为什么连一个专业的首席信息官(CIO)也无法完全地掌握所有这些可能存在的威胁,普通人就更不可能做到了。
计算机安全已经发展了40几年,每年都有新的研究,新的技术,新的产品,甚至新的法律不断出现,然而网络的安全状况却似乎一年比一年更糟。在互联网上,安全只能说是相对的。
今天安全的东西明天可能会变得不再安全,即使是微软这样大的公司,也会受到攻击和入侵。因此我们对网络安全的考虑重点不应该放在安全设备的数量方面,而应该更多的将注意力集中到严谨的流程和制度上。我们必须停止一味地寻找能避免一切攻击威胁的神奇的防范技术,更多时候应该完善好攻击和防范的处理措施及方案,这将有益于我们更好地掌握到可能存在的风险。
2.3 安全与风险管理
每当同网络管理员提及计算机安全技术,他们往往谈到的是“如何去避免威胁”。这是传统规范的计算机安全所产生的一种计算机科学心态:找出有什么威胁,并通过技术的手段来避免和根除。可惜的是,技术可以在某种程度上“解决”电脑安全问题,而最终的结果往往是安全程序成为了一个裸的商业牺牲品。
安全并不仅仅是纯技术上的问题,它同每个人也是息息相关的。 没有任何一个计算机安全产品,能完全保障网络与财产的安全性,而且这也不是企业应有的经营方式。
对于企业管理风险,网络安全只是其中的一个环节,安全性也并不是在任何情况下都越大越好的。你可以通过一进门就对每一个人进行严格审查的方式来改善一间银行的安全与风险管理,但是如果采取这种做法,会很大程度上影响到商业利益。因此所有这些企业都在寻找着一个合理的安全的平衡点,这样的局面给另外一些公司和企业开拓了新的市场:为了在执行安全的同时吸引和留住新客户,他们需要根据所处的环境以及他们所从事的行业,来选择特定的计算机安全解决方案。
3 安全管理监控
3.1 预防,检测,响应
现实世界里的安全,可概括为预防,检测,响应。 如果预防机制很完善,你甚至可以不需要检测和响应,但遗憾的是没有哪个预防机制是100%完美的。实际上,对于计算机网络,所有的软件产品都存在或大或小的安全漏洞,大多数网络设备也都存在错误的配置,用户方面也可能会出现各种操作上的失误。所以没有检测和响应,预防机制所体现出来的价值是相当有限的。另外,比起设置更多的预防措施,加入检测和响应反而更具成本效益,也更加高效。在互联网上,我们统称为监控。
监控才是真正的安全。一个偷窃者,无论如何入侵或者怎样做。只要有足够的行为感应器,电子眼,和压力板设置在你的房子里,只要他进来过,您都可以捉到他的蛛丝马迹。同理,如果您可以很仔细的监控网络,那么无论黑客利用什么漏洞进行入侵和攻击,您都能第一时间发现它。如果迅速作出有效的应对措施,您也同样可以在他造成损害前阻止他。良好的检测和响应可以弥补不完善的预防措施-没有哪一家银行敢这样说:”我们的安全措施是十分完美的,我们不需要一个警报系统” 。检测和响应是在现实世界中我们得到安全的方式,也是保障我们可以在互联网上安全穿梭的唯一手段。一个企业的CIO如果要妥善管理相关的风险与他们的网络基础设施,那么就必须在网络监控服务上进行一定的投资。
3.2 网络安全监控
网络监控意味着一系列的嗅探器覆盖在网络的周围,并针对每一个网络设备和服务器生成连续的数据流的审计讯息。若发现可疑的行为,智能检测系统便发送提示信息,每一个其他的安全产品便会以某种方式产生报警信号。然而这些嗅探器本身并不提供安全性,所以你必须清楚地了解他们的不足之处,并且在假设攻击者已经完全掌握这些嗅探器的特征的前提下作出应对措施。
第一步是智能地提高警觉,根据整个网络环境的不同,网络攻击的蛛丝马迹可以是很微小的。对于一个中等规模的网络, 软件可以在一天里,过滤数万兆字节的审计信息的,但攻击者却可以很容易就瞒过软件的检测。所以智能地提高警觉,要求人们做到:
1) 分析软件发现的可疑讯息;
2) 更加深入地了解可疑事件,确定真实的状况;
3) 将错误的警报和真正的攻击区别开来;
4) 了解它们之间的联系。
总的来说,提高警觉性,可能相对于整体来讲只是稍微有效的,更重要的应该是要知道如何去应对,这是第二步。再好的网络监控软件提供的也只是一种信息,而这些信息要体现出它的价值则需要专家。最后,必须结合组织的业务需求做出合适的处理措施,所有这一切,是检测和响应用于计算机网络所要求达到的。
网络设备每天产生兆字节甚至更多的审计信息,自动搜索软件通过这些字节进行筛选,寻找并发现攻击的迹象;专家再进行分析,了解攻击的行为,并决定如何作出回应;最后网络的使用者-组织-则在针对主要业务的基础上进行合理的安全决策。
因此做好网络监控工作,人们需要做到上面的每一步。软件不会象人一样思考,不会发问,也不会自我适应。 缺少了人,计算机安全软件,只是一种静态的防御。 而软件与专家相结合,将使你拥有一个完整的更高级别的安全性。
3.3 监控服务托管
检测和响应系统成功的关键是自身的警觉性:攻击可以发生在一年中的任何一天以及一天中的任何时间。虽然公司或企业是有可能为自己的网络建立专门的检测和响应服务,但成本效益较低。部署在安全方面的工作人员,以每日二十四小时,一年365天来算,需要5个全职员工;如果包括主管和其它专门技能的备份人员,则还可能还需要更多。
即使这个组织有资金和预算可以投入到这方面人力上,在今天的就业市场仍然很难聘请到他们。想留住他们将更难:因为对一个单一的组织的攻击行为,并非经常发生,不足以让一队高素质的人员感兴趣和从事于此。
在现实世界中,这方面的专业项目大多数情况都是进行托管,它是唯一满足需求的符合成本效益的方式。除了专业技术的聚集,这个讯息的服务同时带来了其它的经济规模。因为它需要更多的人,所以它更容易雇用和训练其人员。它可以为他们建立一个基础设施进行支援和培训。对新的黑客工具,新的安全产品,新的软件以及新漏洞的监控手段的了解都保持直至目前为止。一个托管式安全监控(MSM)服务可以将这些费用分摊到所有客户上。
MSM服务提供商在互联网上相对于单一客户来说也有一个更广泛的视野,它通过对某个客户的攻击行为的了解,将新的知识用以保障其所有的客户。对于一个MSM公司 ,网络攻击是每天都在发生的;而公司内部的专家,他们也知道如何去回应和处理这些特定的攻击,因为在所有可能的情况下,他们已经碰到过很多次这样相同的行为和事件。因此,安全是相当复杂的,而且至关重要,将其进行托管比起自己去实施可要有效的多。
3.4 监控优先
监控应该是任何网络安全计划的第一步.它是网络管理员可以做的即时起作用的手段。而政策分析和脆弱性评估需要时间,如果不付诸于实践,实际上并不能很好的改善网络的安全。另外,安装安全产品,往往需要正确安装在适当的地方才能达到提高了安全性的效果,监控,可以确保安全产品是否正在提供它们应有的安全保障。
大型的网络通常是由内部网和外部网组成,监控的最佳时间是当网络中数据相互流通的时侯。监控的主旨是即时的安全,既不做脆弱性评估,也没有为网络提供防火墙。 监控提供了其它的安全产品所不能提供的动态的安全方式。并作为安全产品已嵌入到IDSs网络防火墙,一个专门的安全装置,它使监控得到了更好的发挥。
监控是公司和企业安全的视窗。监控可以通过信息反馈,以保证其他网络安全活动更加有效。它可以帮助您确定在哪个位置安装安全装置,以及确认他们的状态是否正常。它可以使您知道如何去正确配置安全设备;它可以确保你的安全性始终走在前沿。所以,实施网络安全计划,监控是需要做的第一件事。
4 结束语
一个高度连接网络必然存在着安全隐患。安全产品并不能完全“解决”网际网路安全性的问题,实际上,存在着许多它们无法涉及到的盲点。进行安全和风险上的管理:在企业网络拓展的同时采用合理的计算机安全解决方案,这是一个比较好的方式。
计算机安全关键在于提高警觉性,是需要每天都要保持的。千百年来,不管技术进步如何迅速,世界上仍然没有一个绝对安全的地方,警报和安全服务仍然是国家的重要指标。
要达到有效的安全性是必须有人的参与,自动化的安全系统始终是会存在缺陷的。一个狡猾的攻击者可以利用新的攻击欺骗软件绕过安全设备 。人们需要接受这个事实,并对新的攻击和新的威胁作出反应,重新对事件进行权衡:人的思维是攻击的源头,所以人的思维同样可以用来进行防范。
互联网的现状使得托管式安全监控(MSM)服务发展为最具成本效益的方式,它提供了更具弹性的安全,它可以把人,制度和产品很好的结合在一起,它将为混乱的现代商业网络创造了一个安全的环境。
参考文献:
[1] 杜向文.中小企业的网络安全[J].计算机安全,2006,(8):47-50.
[2] 石焱.计算机网络安全的现状及对策[J].科技广场,2008,(8):89-90.
【关键词】职业院校;软件定义网络技术;信息化系统;网络安全管理
职业院校信息化系统建设中,网络信息安全管理是非常重要的一项工作,一旦网络信息安全管理出现问题,职业院校将面临巨大的损失[1]。因此,在职业院校信息化系统建设规模、广度不断提升的大背景下,职业院校信息化网络安全管理工作的重要性将不断得到提升,对网络安全管理工作的要求也随之提高[2]。同时,因为信息化技术的高速发展,网络安全管理工作复杂度进一步提升,也加剧了网络安全管理工作难度,一些传统的网络安全管理手段已经不再适用。软件定义网络技术(SoftwareDefinedNetwork,SDN)是一种可以有效保障网络安全的新型技术,目前在网络安全管理领域应用较为广泛,适宜应用于职业院校信息化网络安全管理之中。据此,本文在研究当前职业院校网络信息管理系统建设现状的基础上,结合大数据、云服务以及5G网络技术的特征,详细探讨了软件定义网络技术为依托的新型安全管理系统在职业院校信息化网络安全管理中的应用。
1软件定义网络安全技术及其应用
1.1SDN概念
SDN,是一种以软件定义的方式对网络中节点间通信转发进行管理的技术统称,其是指为一种可用于控制与转发分离并直接进行编程的网络架构。在传统网络设备架构体系中,通常可分为3层,即应用、控制与转发[3]。通常控制功能被集成于服务器之上,其上层为应用层,而下层为转发层,在网络系统架构中需要抽象为逻辑实体。而基于传统网络设备架构体系基础上,斯坦福大学的CleanSlate项目对原本架构进行了改进,从而形成了一种可以免于互联网技术架构影响的新型网络架构。
1.2SDN应用优势
传统模式的网络管理设备采购成本较高,应用范围难以兼顾各类网络服务需求。而且需要按照不同业务应用需求,配置不同类型网络协议的设备,耗费大量人力和物力,且运营、维护成本也较为昂贵。而SDN作为一种新型网络构架模式,最突出的运行特点是能够将数据平面层与控制平面层进行分离,改变了传统网络构架模式的局限性。SDN技术利用开放的OpenFlow协议,采用标准化交换机,突破了传统模式下的分布式管理机制的限制,对网络设备的管理控制权进行了系统性优化,分离传统网络设备中的控制层与数据层,使控制层和基础设施层之间能够实现网络流交互,运行不受限于业务类型,便于实施集中管理。这种模式不仅大大提高设备管理灵活性,操作高效便捷,而且能够达到有效节省运行成本的目的。具体来说,SDN技术支持下的管理系统将构架体系分为控制层、基础设施层以及应用层3类系统分支。其中,控制层是SDN架构中的核心组成部分,充当人脑的作用,支配其他两个体系,主控运行。控制层主要设备是控制器,控制所有资源,主要工作为制定访问和控制策略、网络拓扑维护以及设备状态监控等,常见的控制器有OpenDaylight、ONOS等。以SDN交换机为核心设备的基础设施层则只执行决策,负责数据转发处理。应用层则包括各类业务应用系统,针对各类用户需求提出请求。
1.3SDN应用现状
软件定义网络作为新型网络架构目前在网络安全管理中应用非常广泛,目前因应用其进行防御的软件有很多,较为常见的包括防火墙、杀毒软件与包过滤[4]。防火墙在应用软件定义网络技术主要是设置拦截数据的启发式规则,帮助防火墙识别木马病毒等不满足规则要求的数据,并对这些数据进行拦截。杀毒软件是目前较为典型的将软件定义网络技术应用于安全管理的工具,常见的杀毒软件有360安全卫士、腾讯管家等,在杀毒软件中应用软件定义网络技术主要是对数据流中的病毒基金特征进行高效识别,并及时清除潜在的网络安全隐患。包过滤同时结合了作为新一代网络安全防护技术,是当前倍受认可的网络架构模式,具备较高的可编程软件防御技术与硬件防御技术,采取枚举与迭代的规则,对数据包进行深度的穿透式检测,对数据包中的所有协议字段内容进行检测,可有效满足大流量网络应用需求。SDN系统目前正在呈现出向应用导向型转变的发展趋势,以用户需求为驱动力,逐步实现网络虚拟环境的开放性和自动化服务目标。
2职业院校信息化系统建设现状及面临的安全问题
2.1职业院校信息化系统建设现状
第三次IT革命的到来,社会信息化发展再次出现了较大变化,云计算也从此成了一种主流的信息化服务模式。云模型主要分为3种服务模式以及4种部署模型,可以帮助物理服务器大大提高其处理业务效率的能力,其性能远超于单一用户对硬件性能的要求[5]。在云服务模式的快速发展下,基于云服务的系统架构逐渐得到普及。“十四五”规划开启以后,信息化建设已成为各个领域发展的关键词,职业院校也不例外。职业院校信息化规模与日俱增,信息数据成比例提升,更需要云计算技术快速处理信息,通过虚拟化手段将物理服务器虚拟为多台虚拟机,从而帮助云计算提供运行载体,以达到快速处理信息数据的目的[6]。但随之而来的便是网络安全管理问题,大量数据一旦出现问题,便直接造成严重的损失。高职院校信息技术的规模不断扩大,使得商业信息系统也越来越集中。同时,云计算技术的普及使得大量网络计算资源集中到一起,逐渐处于高度整合的状态。此基础上,高职网络信息管理系统结合了物理设备和虚拟网络于一体的网络环境,安全管理复杂性不断增加。传统的网络安全管理方法很难快速、高效地解决安全隐患,同时也难以有效部署网络安全设备位置。这就进一步要求高职院校提高对信息系统的安全管理意识,严格执行网络数据安全审计工作,构建以学生、教师等用户为导向的新型安全网络环境。
2.2职业院校信息化系统面临的安全问题
新型网络环境主要利用虚拟化技术构建网络架构系统,应用在高职院校信息系统当中,可对学校网络的私有云形态和仅适用于服务器虚拟化技术的网络环境进行有效优化。但在这样的网络环境中,业务系统通常不只是存在于虚拟化环境当中。信息系统技术的限制导致系统无法实现向虚拟化平台的快速迁移,从而导致实际应用环境中出现两种网络形态,一个是混合的虚拟化网络,另外一个则是传统物理网络环境。这种复杂的信息系统使得日常安全管理工作的难度有所增加,出现一些性能方面的问题。在职业院校信息化网络安全管理中,系统面临的安全问题主要分别为业务信息监测、网络边界界定、安全设备接入以及设备监测负载4个方面。2.2.1业务信息监测方面首先,关于业务信息监测方面。职业院校在实施网络安全管理工作时,需要明确业务系统间的通信关系,同时以此为基础进行实时的信息监测。然而因为职业院校信息化系统在发展中呈现出明显的高度集中化特征,业务主机完全集中于私有云的环境之中,导致职业院校在实施网络安全管理工作时很难对相应的信息流进行监测,无法根据信息流找到与之对应的主机,而且缺乏合适的监测点,从而造成监测数据难以整合与分析的问题。2.2.2网络边界界定方面在网络边界界定方面,由于云计算的集成,职业院校信息化系统不再应用物理服务器,而是多个虚拟机。而虚拟机的漂移特性导致在网络边界上无法以传统物理网络边界准确、及时地进行界定。尽管虚拟机的业务系统仍然从逻辑构成上与传统物理服务器相似,然而在物理拓扑位置上却存在差异,甚至物理拓扑位置并非固定的,有可能会因为资源调配而出现改变,而传统网络安全管理主要是对网络边界进行防护,很显然传统网络安全管理手段对虚拟机为服务器的新型信息化系统是无效的。2.2.3安全设备接入方面针对安全设备接入方面,以虚拟机作为服务器的新型信息化系统因为不存在网络边界,因此需要通过在虚拟机上进行抓包的方式以确保安全监控的全面覆盖。2.2.4设备监测负载方面我国职业院校在转向新型网络架构系统模式后,受到网络设备更新不及时、新系统网络边界模糊等因素的影响,不可避免地出现安全设备监测负载量超值、噪音数据超量的问题。传统的网络运行模式对于网络流量的监控需要依赖于交换机,利用交换机捕获数据包,然后再通过安全设备对其进行检测和安全性分析。而在虚拟化的网络环境中,网络边界模糊,容易出现安全监控盲区。因此,为了保证安全监控活动涉及各个网络流,通常要捕获所有物理交换机或虚拟交换机上的数据包。这种情况下,被监控业务的通信流量被抓包的同时,大量干扰数据也会被系统捕获,造成监测功能载荷量超过系统标准值,安全检测和防御安全设备容易因接收量过大而存在过多噪音数据,进而影响计算机系统的响应速度和信息处理性能。同时,过量的噪声数据也会降低系统安全检测的准确性,产生不准确的误报警示,增加人工工作量,降低信息安全系统的运行效率。
3软件定义网络技术在职业院校信息化网络安全管理中的应用
为应对职业院校信息化系统建设中存在的各类问题,本次研究中提出了一种基于软件定义(SDN)网络技术安全管理系统。本文主要从系统架构、业务安全管理流程、安全设备接入和网络流检测几个方面对应用于职业院校的网络安全管理系统进行全面阐述。3.1系统架构本文提出的SDN新型职业院校信息化网络安全管理系统,在系统架构上采用集中式的闭环管理架构,在全景式拓扑与业务关联技术基础上对职业院校信息安全网络环境进行了系统性审查、信息流管理与安全管理。为了更好地实现全景式系统拓扑,并尽可能地提高细粒度的网络安全能力,需要借助SDN架构对职业院校网络安全环境进行重新定义,实际操作中需要保证职业院校内所有的网络软件和硬件交换机都能够开启对OpenFlow协议的支持。校内的安全管理系统通过对软件定义网络的调试与控制能够获取网络控制器的所有网络拓扑信息内容,并且根据职业院校网络安全管理的实际需求能够实现业务系统操作之间的信息流交换与多频次转发。同时,在云技术支持下,职业院校传统网络安全管理系统具有了虚拟化处理能力,此时需要保证传统的物流交换机与虚拟交换机时刻开启并支持OpenFlow协议。职业院校传统的物理网络结构仍需要以物理局域网进行安全检测以达到边界安全防护的目的,而虚拟局域网的应用方式可以在虚拟环境中借助虚拟机的方式拓展传统物理局域网的规模,不断提高职业院校的系统架构安全性与稳定性。3.2业务安全管理流程为了满足职业院校对业务处理系统的安全管理需要,本文提出了结合业务流可信表的方式加强业务模型与系统网络流之间的安全管控效率,在职业院校信息化网络安全管理系统中通过管配接口,可以保证系统安全管理员完成逻辑边界的构建工作,不断形成职业院校安全管理边界模型。系统内业务流以可信表的方式进行管理控制则在系统层面提供了以软件方式进行业务流程信息访问的便捷途径,其中包含业务系统内部主机之间的访问可信,系统中不同业务之间的相互访问可信等具有明显差异化的访问规则。系统中与业务安全管理流程相关的互访关系的构建是在SDN控制流表生成规则基础上构建的,当系统确认职业院校业务互访关系为可信状态时,则不会对业务流进行检测。3.3安全设备接入在基于SDN技术的职业院校网络安全管理系统中,在完成所有业务流安全管理流程工作后,需要由安全防护与专业检测工作对安全设备进行再次检测,之后系统中的安全设备需要直接接入到职业院校的网络环境中,安全设备自接入时起便由职业院校的安全管理系统进行统一调配管理。安全管理系统正常启动后,会率先通过管控与SDN技术管控获取全部的网络拓扑信息,并将拓扑信息内容进行可视化展示,帮助用户在可视化数据信息基础上完成业务系统逻辑边界的建模处理,并确定虚拟机应具体属于哪个业务系统内。在此基础上已经完成业务系统逻辑边界构建的能够自由地在业务流可信表中进行可信互访,在满足制定互信互访关系后业务系统环境下的主机便可进行可信互访,完成业务内容的交换与浏览。3.4网络流监测监测是信息网络安全管理系统内部不可或缺的重要部分,SDN技术可实现业务逻辑与网络流量控制的关联。基于SDN的网络安全管理系统能够利用业务流信任表,将业务和网络流进行连接,完成关联工作后,系统即可通过交换机的网络流,对每个网络流量进行系统性的监控和审核,具有全面、及时的优点。其中,针对符合业务流可信表定义监测条件的网络流,系统可以直接实现转发处理,以此降低系统与设备的安全负载压力。针对不符合监测要求的外部主机访问请求,系统对利用SDN功能自动转发到相关的安全设备上进行深层次分析与检测。其中需要考虑到系统的数据库服务器和web服务器的是否存在可信关系,如果认为二者之间的连接关系是可信的,则可以直接将其中的网络流进行转发处理。除此,SDN系统还可实时对业务流关系展开跟踪,分析数据安全性,提供了安全跟踪和预警功能,针对不受信任访问或病毒入侵的情况,系统可及时提供报警提示,进一步加强了整个系统的安全管理筛查和防入侵性能。
4结语
综上所述,尽管5G通信已经开始普及和应用,但IP网络在未来几年仍将占领市场,基于此趋势,SDN技术的研究仍具有重要意义。本次研究中,笔者首先对软件定义网络技术的的概念进行了定义,并以其应用优势为前提,对应用现状进行了阐述,同时指出了网络环境信息化发展的大背景下职业院校信息体系建设所面临的主要安全问题,根据职业院校业务网络环境建设情况与业务发展情况展开了较为全面、系统的分析。在此基础之上,本文提出了一种运用软件定义网络技术的安全管理系统机构,其中运用业务可问关系构建了业务系统之间的安全管理新模式,尝试为职业院校的网络安全管理工作提供了一种新的发展思路,为日后我国职业院校网络信息安全体系的可持续发展提供有价值的参考。
【参考文献】
[1]李可欣,王兴伟,易波,等.智能软件定义网络[J].软件学报,2021,32(1):118-136.
[2]李建华.能源关键基础设施网络安全威胁与防御技术综述[J].电子与信息学报,2020,42(9):2065-2081.
[3]叶福玲,张栋,林为伟.基于软件定义网络的安全攻防虚拟仿真实战平台[J].实验技术与管理,2018,35(11):125-129.
[4]刘世文,马多耀,雷程,等.基于网络安全态势感知的主动防御技术研究[J].计算机工程与科学,2018,40(6):1054-1061.
[5]王涛,陈鸿昶,程国振.软件定义网络及安全防御技术研究[J].通信学报,2017,38(11):133-160.
【关键词】 网络安全 管理技术 问题 措施
一、常见网络安全管理问题
网络安全管理是保证网络安全可靠的关键,当前网络安全管理中存在的问题主要表现在网络安全管理策略不完善和安全管理技术设置不全面。我国网络安全管理体系构建中大都没有合理设置安全管理策略,没有依照安全管理要求对网络系统协议进行对应把握,这在很大程度上影响了网络安全效益。常规网络安全管理过程中人员只是单纯对安全管理策略进行应用,并没有深入了解策略性质,没有依照具体策略模型内容及管理中心需求对策略进行调整、改善和优化,这在一定程度上导致策略内容与系统管理脱节。与此同时,人员在管理过程中只单纯运用防火墙及入侵检测技术,没有对其进行合理设置,这也在一定程度上导致安全管理效益大大折扣。防火墙技术在应用过程中可以导致网络数据流受到限制,在一定程度上屏蔽了外部信息、结构及运行状态,具有一定局限性。入侵检测技术在使用的过程中针对入侵行为进行发觉,以安全策略作为主要监测标准对行为进行控制,这种检测技术容易产生漏报、误报现象,造成安全检测效益大打折扣,对用户使用质量具有一定的影响。
二、网络安全管理优化措施
2.1 网络安全管理策略的优化
在对网络安全管理技术问题进行处理的过程中人员要首先把握好安全管理策略,要做好安全管理策略的细化和深化,确保将策略核心与安全管理有效结合在一起,从而形成科学、规范的策略体系,为网络安全管理技术优化奠定扎实的基础。
(1)策略内容的优化:优化过程中要加大对安全管理策略的研究,做好对策略模型、策略匹配等的细化,从而实现安全策略性能的改善。策略模型功能在构建过程中要把握好CIM与PICM两种建模方式,要由上述建模中的DMTF定义及IETE定义确定最终的组合策略结构,形成完善策略模型体系。策略匹配功能在构建的过程中要把握好安全性的映射,要依照网络安全层次形成对应资源配置,从而保证资源内容与辅助内容能够有机结合在一起,从而完成对策略映射的优化。要消除策略中可能存在的各项冲突,构建严格优先级策略,保证策略内容能够高效、有序地实施,从本质上提升安全策略的灵活性和可靠性。(2)策略管理的优化:优化过程中要加大对安全策略管理措施的研究,做好策略管理的分析,形成对应管理中心,从而保障各项管理内容能够高效地融合在一起。要首先依照网络安全目标形成对应安全管理策略实施过程,依照该过程构建对应管理结构,从而保证安全策略的核心位置。其次要在上述基础上对策略进行检验,确定策略管理中心。常规中可以划分为规则中心和安全本体中心两部分,规则中心负责对规则内容的构建和分析,安全本体中心负责对安全决策信息的采集与处理。最后要在结合上述两方面内容对网络安全管理方案进行选取,形成对应的安全本体。
2.2 网络安全管理技术的优化
在对安全管理技术进行优化的过程中,人员要在传统检测体系上完善信息集成、智能分析及协同规范等内容,要在防火墙技术及入侵检测技术上适当增加上述内容,从而提升策略协议及行为规范的有效性。
信息集成控制中要把握好对关联信息的处理,要做好数据采集及数据预处理,依照数据内容形成鬼影数据库和配置文件,从而保证数据技术与系统需求一致,提升数据的安全管理效益。要加大对数据处理技术的研究,提升处理技术对冗余信息或错误信息的处理效益,确保形成便捷分析途径,实现信息内容的高度集成。
智能分析过程中要把握好网络安全引擎,要做好对系统引擎的设置,确保引擎能够在网络安全数据出现问题后及时识别和预警。该过程中人员要把握好安全组件的设置和安全数据的选取,要尽量选取多种关联规则系统进行处理,从而保证系统分析可以覆盖网络安全管理的全方面,从本质上提升安全管理效益。
协同规范中要把握好对部件及宿主机之间的连接,要形成系统性安全管理协议,从而保证各项管理内容能够与安全标准融合在一起,形成规范的协同体系。要做好系统内在管理协议的构建,形成科学的安全管理结构,将协同规范内容与安全管理及通讯协调结合,形成统一的网络安全协议。
三、总结
在网络安全管理研究过程中要做好对网络管理的设置,将管理策略与管理技术有机融合在一起,形成灵活、统一的管理结构,尽量将集中安全管理转移到分布安全管理过程中,从安全领域及网络领域出发,加速网络安全管理进程。
参 考 文 献
[1] 王柳人. 计算机信息管理技术在网络安全应用中的研究[J]. 网络安全技术与应用,2014,05:34+36.
[2] 张彦忠. 论计算机网络安全管理技术[J]. 计算机光盘软件与应用,2012,22:171+173.
保障计算机网络安全是一项大事,在日常使用工作中,必须要采取科学的措施最大限度的保障信息安全,避免出现信息泄露问题。这种保障不仅是对计算机的信息储存功能的安全负责,也需要对在互联网中进行数据交换的过程进行保障,对信息传递、信息储存、信息传递中涉及的安全问题进行分析与处理,最大限度的保障计算机网络的安全性和可用性,满足用户的需求。但是,要注意到的一个前提问题就是,计算机是包括软件系统和硬件系统两个部分的,在具体的使用过程中,两者会出现不同的威胁。另外就是现在基于信息网络的应用不断增多,而由于各种原因,在应用的开发过程中可能会有一些未测试出的漏洞威胁到用户的信息安全,并且会占用用户的信息交换通道,使得用户正常的数据交换速度变极其慢。计算机网络在使用时,常常会受到各类不同类型病毒的入侵,一旦未得到科学的防范,往往会带来不可估量的影响,在网络的发展初期,病毒主要通过链接、网络文件来传播,以前几年出现的熊猫烧香病毒为例,对计算机系统产生了非常巨大的影响,受到波及的单位有能源单位、金融单位等等,这些重要的单位网络一旦受到病毒的入侵,后果不堪设想。除了病毒之外,计算机网络也会受到黑客攻击的影响,一些不怀好意的黑客会通过网络来潜入目标用户的电脑,从中盗取资料。还有一些非法分析会盗用用户的IP地址,并将虚假的数据伪造出真实的,以此来获取到自己想要获取的资料,目前,这种问题也是广泛存在的,对人们的正常生活造成了非常不良的影响。随着现在无线技术的发展,很多黑客仅仅是通过制作开放式的无线网络或者盗取MODEL的管理权限进行用户信息的非法收集。如现在新闻经常报道的“手机银行转账巨款不翼而飞”,大部分就是通过MODEL中残留的用户数据进行银行卡内金额的盗取。
2对计算机网络进行病毒防护,提升使用安全性
近年来,人们的网络安全意识得到了有效的提升,基本上所有的用户都明确了防火墙使用的意义,也会对自己的电脑定期进行杀毒,有效提升了网络使用安全性。截止到目前,互联网技术已经走过了很长的时间,有很多公司都致力与杀毒软件的防护,从早期的卡巴斯基,到目前常用的360杀毒软件。此外,我国的很多网站也推出了防护制度,很多的杀毒软件已经开始免费使用了,这给人们的使用提供了极大的安全,在安装好杀毒软件之后,需要定期进行杀毒和升级,及时修复系统中存在的漏洞。当然,用户自己也需要有网络安全意识,严禁在不信任网站上下载文件和视频,在下载任何资料时,都需要进行病毒查杀,避免给网络的正常使用带来不利影响。此外,在使用网络的过程中,要合理设置网络防火墙,提升计算机的安全级别,避免自己的计算机受到不法攻击。对于部分重要的软件,可以进行加密处理,设置访问权限,只有通过认证的访问者才有权利访问相关的信息。在对MODEL的设置中,必须更改管理员密码,并且对WIFI使用加密的服务。对于数据传输突然变慢的事情必须要有警觉性,可以通过不定期更改WIFI密码保障MODEL中交换数据的安全。另外,对于网络上流行的软件需要保持警惕心里。比如某些WIFI万能钥匙的手机APP,实际上是一个共享WIFI密码的软件,在你使用WIFI万能钥匙的过程中,会将你手机里原来储存的WIFI网络和密码全部进行共享,包括住宅公司等所有你曾经登录过的WIFI,其安全堪忧。在外上网,尽量不使用莫名的WIFI,用公共WIFI时,最好不要使用网银、支付宝等金融类的软件。近年来,针对非法盗取用户信息的案件还是有了一些处罚的案例,但是在整个互联网安全的规范中,预防性的法律法规还是相对薄弱。在互联网这个新生事物的面前,在互联网安全漏洞存在的情况下,还是需要相关的法律法规出台来保障互联网安全。
3利用防火墙技术保障网络安全
3.1防火墙种类与特点
防火墙的类型是非常多的,不同类型的防火墙针对性也存在差异,以我们日常生活中常常使用的过滤式防火墙为例,这种防火墙主要针对电脑路由器来设置,其过滤功能是非常理想的,可以过滤大部分病毒、木马等等,还可以筛选协议和端口。除了过滤型防火墙之外,常用的还有型防火墙,这种防火墙简单、便捷,其中间节点能够直接与客户端进行连接,这种防火墙与前面的类型不同,不仅可以预防病毒和木马,还可以为用户提供日志服务。复合型防火墙可以将服务与过滤有机结合起来,能够形成一种新型防火墙,其主机可以同时提供相关的服务。主机过滤防火墙与双宿主主机防火墙是由堡垒主机来提供服务,其网关是由堡垒主机来负责,需要安装相应的防火墙软件,才能够保证内部网络通信的安全性。主机过滤防火墙能够将外部网络与过滤防火器直接连接,保证内部网络不会受到外部的攻击。
3.2计算机防火墙技术的实际应用
社会生产对于网络安全的要求是十分严苛的,尤其是部分涉及到金钱交易的领域,一旦受到不法攻击,必将会造成非常不利的影响。在使用网络防火墙时,必须要考虑到具体的要求,不同的领域使用不同类型的防火墙,采用合理的ISP设置,在满足安全需求的情况下,尽可能降低成本。对于硬件防火墙,一般使用Netscreen-SGT产品,这可以提供安全、丰富的解决方案,不仅能够避免网络蠕虫、木马和间谍的攻击,还可以避免黑客与恶意软件的攻击,已经得到了非常广泛的应用。关于软件防火墙,需要采用ISAServer软件,该种防火墙取得了非常好的反响,可以免受各类攻击,在确定状态数据包之后,可以许可受保护数据为其服务,如果数据不受到认可,那么是不能进行服务的,这可以有效保障系统的易用性和安全性。此外,还可以保障数据的安全性,能够简化网络信息以及服务器的搜寻,再通过向导、界面、模板以及管理工具为用户提供服务。此外,还可以在日常访问中推广防火墙的使用,进行科学合理的配置,对网络信息进行深化处理,提升保护系统的完善性和科学性,在具体的使用中,需要进行全盘规划和设计,进行合理的分级,保障信息访问的安全性;其次,采用系统的访问措施了解计算机的端口地址与运行目的,了解网络运行特征,为提升网络安全性奠定好基础。最后,在应用这一技术时,有不同的保护方式,具体保护方式的应用需要考虑到计算机网络的需求,通过防火墙来合理调整参数,最大限度的提升保护工作的安全性。在制定这一策略时,需要合理的使用策略表,记录好相关活动,再利用防火墙来提升计算机使用的安全性。当然,网络安全不是一个小事,而是与人民生产和生活息息相关的大事,网络安全的重要性是不需多说的,每一个人都意识到了这一问题的严峻性。为了保障使用安全性,需要对防火墙技术进行深入分析,针对性采用防火墙技术,避免病毒、黑客影响网络使用安全。
4结语
【关键词】高校网络 安全 管理
随着网络信息的开放,我国各大高校均建立了校园网。校园网成为学校的全方位的数字信息载体。但是先进的科技能给人来便利也会遭受威胁和攻击。不健康资源利用木马、病毒、恶意插件等等肆意传播,轻者影响校园学习生活和秩序,重者影响学生道德,败坏学校风气。因此加强培养学生的安全防范意识,注重校园网络的安全管理是一场迫切的任务。
一、高校网络存在的安全隐患
(一)学生好奇心强,防范意识薄弱,不良信息传播
高校校园网络用户在校大学生占一定的主体,他们对于未知的网络世界充满了好奇。大部分学生缺少对互联网中复杂的信息资源判断。在浏览和下载过程中极容易带进病毒到校园网内,一旦网络病毒侵入,校园网中大量用户都会迅速受到感染,恶劣的影响一时半会难以收拾,导致学校数据丢失,甚至于机器瘫痪,不良的信息传播严重影响了校园文化。
(二)学校的监督管理力度不够
大多学校会不断完善硬件设施,促进校园网络资源利用和共享,但往往容易忽视网络管理制度的更新。对网络管理员的专业知识和管理技能的培训力度缺乏重视。而且,对于安全规范用网络的教育宣传和指导不够,学校缺乏网络监管手段。近来,许多高校为了师生更多的摄取有利的网络资源,在校园网未设置应有的监控和过滤软件的情况下直接让师生访问互联网,导致非法网站的侵入,不仅仅造成学校数据丢失,机器瘫痪,更严重的是损害了学生的身心健康,给学校带来极其不良的影响。
二、如何加强校园网络的安全管理
(一)加强网络安全防范意识
高校网络现已是学校教学和科研不可缺少的基础设施,是影响教学竞争力的重要因素。因此网络的安全管理担任着高校网络建设的重任。建立校园网络安全管理机构,加强网络安全管理规划,明确网络安保人及计算机系统管理。定期对网络安全管理人员进行培训,提高网络安全的警觉性和对不良资源侵入的抵御能力。一旦遇到网络安全事件要果断的运用技术措施处理,并及时地上报当地公安机关的计算机监察部门,以便备案和处查。
(二)加大学生的网络安全教育
学生是使用高校网络的主体,学校应在注重教学质量的同时抓紧对学生进行网络安全教育,强化网络安全的基础知识,提高个人的网络安全警觉腥、自觉性。在网络安全教育中应以道德教育为教学体系,通过开展讲座,开设网络信箱的方式教导和规范学生网络道德。学校还可以通过网络平台与家长进行交流和沟通,及时反馈学生在校信息,吸取家长的意见和建议,携手做好学生网络道德教育的建设工作。
(三)实行网络安全使用的监督
一些网站为了网站点击率传播不良信息,严重地毒害了青少年人群的思想。要管理好网络安全使用应从内网管理做起。身份认证系统是整个高校网络安全体系的基础,发现安全问题就可以立即找出并解决,对不规范使用网络的学生给予批评教育。为校园网络用户提供安全可靠的保证。学校要将不同类型的用户划分在不同的虚拟网中,将高校网络划分成多个子网。将用户限制在其所在的用户随意访问外界资源。网络管理员则利用虚拟网技术管理整个网络,对每个子网加密令管理和监督。不但可以阻止非法用户非法访问,防止网络病毒、木马程序还可以及时有效的隔离紧急故障。管理员要对高校的网络设备系统进行口令保护,定期记录网络安全审查分析,保护高校网络时刻安全。另外要对加强网络防御能力,安装定时查杀病毒的高效软件,杜绝病毒在校园网内传播。通过安装上网行为监控和过滤软件,设置有效的监督校园内部用户网络行为,尽量避免个别用户不安全的操作给校园网络带来危害。
(四)培养学生高素质和高技能
网络的盛行在带给学校教学、科研、管理和宣传的便利服务同时也为学校建设埋下了巨大的隐患。学生法律意识单薄,不知道不良网络对自己身心损害的严重性,对外界事物的好奇尝试往往会引导学生走歪路。因此对学生进行网络使用规范化是高校网络管理的根本职责所在。为了减少网络犯罪行为我们还应该加大法律知识的教育,提高学生的法律意识,自觉遵守网络法律法规。另外,部分学生沉迷于网络游戏也应当得到学校和家长的重视,给予正确劝导走出虚拟世界,师生和家长要更多的关爱和鼓励他们走进丰富多彩的校园生活中,建立正确的人生观和价值观。学校应引导学生多参加娱乐活动,在社会实践中学习知识,提高自身素质。
结束语
在网络数字信息化的时代,高校网络在教育建设中有着举足轻重的地位。而高校网络众多的用户以及教学应用的复杂又脆弱的特性指明了高校网络安全管理的难度和重要。随着高校网络安全管理建设的完善,我国各大高校已摆脱校园网络无序状态,朝着有序、适用、优质、高效的方向发展。让高校网络在教学、科研、管理等方面继续发挥强大作用。所以加强高校网络安全管理是保障学院安全、稳定、高效发展的重要前提,是一直以来严峻又充满挑战的任务。
【参考文献】
[1]张孝飞,岳鳯芝,宁佩林.搞笑数字图书馆网络安全分析与防护策略[J].情报索,2011(08).
关键词:医院信息系统;信息安全;网络安全;网络管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)01-0032-03
随着信息网络技术的迅猛发展,各医院都建立网络来推动医院信息化建设,计算机网络技术将各个信息系统(如HIS系统、PACS系统、LIS系统、OA系统、手麻系统、电子医嘱、电子病例、医保农保接入、体检系统、金蝶财务软件、血费直报系统、病案直报系统等等)联系在一起,信息网络技术给医院的各方面工作带来了很大的便利,大大提高了医院信息的利用率和医院整体运行效率。我院信息网络系统经过多年的建设及运行,已经具备了一定的网络规模,但随着医院业务系统的逐步扩展应用,网络恶意软件及网络黑客相继出现并呈泛滥趋势,这给医院信息系统带来了极大的威胁,给医院信息中心工作人员带来管理难度,如何保障医院信息化网络系统正常运行,已经成为一个亟待解决的问题。
1 医院信息系统面临的安全威胁
医院信息系统是一个多业务、多角色、多模块的信息系统,其受到安全威胁也比较复杂。
1)恶意攻击是医院计算机网络所面临的最大威胁,由于业务的需要医院信息系统与很多合作单位之间通过网络连接共享信息,如医院业务系统需要与医保、新农合等社保网络连接及数据传输,这样就给黑客攻击、病毒及蠕虫等带来入侵机会。
2)信息系统管理权限混乱,存在越岗、代岗现象,存在用户账号被滥用和业务数据被非法读取等安全隐患,有些合法用户利用计算机技术访问其权限之外的系统资源,有些非法用户假冒合法用户的身份访问其应用资源等安全隐患。
3)内外网之间缺乏相关隔离措施,有些医院部门人员需要同时访问内部业务网络及外部Internet,部分医院用户利用同一台计算机进行内外网访问,在访问外部Internet时,容易感染病毒或将木马带入内部业务网络,此外,移动存储介质的广泛应用也成为病毒入侵的重要途径,由于内外网之间缺乏必要的隔离设施,医院的核心业务信息存在互联网泄密的安全隐患。
4)对信息网络缺乏安全管理,缺少行之有效的安全保护措施和审计机制,如存在部分医院内部人员将个人电脑(可能携带病毒)接入医院业务网络,这样会给医院业务网络带来破坏,从而导致业务中断,而当网络受到安全威胁或出现攻击行为时,无法对其进行有效的检测及监控,无法及时报告与预警,并且当事故发生后,也无法提供攻击行为的追踪线索,此外还有些操作人员擅自修改计算机软硬件设置,擅自修改客户端 IP 地址容易造成操作系统,如在计算机上安装游戏、即时通讯等与工作无关的软件,都会导致业务程序瘫痪。
5)操作不当也是信息网络故障的常见原因,如管理人员的安全意识薄弱,保密意识不强,长时间不做修改更新密码或密码过于简单,这容易导致密码被非法用户破解,管理人员的个人素质不高,如操作人员对操作流程不熟悉或工作责任心差,都给信息网络带来安全隐患。
6)操作系统漏洞给黑客入侵及恶意攻击提供了便利,这需要系统及时更新造作系统补丁,如不及时打补丁,即使有正版杀毒软件的保护,黑客、非法用户也会通过多种方法实施攻击,截获、窃取及破译机密信息。
7)网络设备工作环境恶劣也会给信息网络带来安全隐患,医院信息系统要求网络设备全天不间断的运行,这要求设备工作环境(特别是中心机房环境)必须满足规程要求,另外自然灾害的影响,如火灾、静电、地震、电磁干扰、雷电、鼠害等会造成的系统数据损坏或丢失的安全隐患。
2 网络安全管理
通过建立技术先进、管理完善、机制健全建立医院信息网络安全管理体系,保证医院信息网络安全可靠畅通运行。
2.1 医院网络内部管理
1)建立网络安全管理规章制度
加强医院网络安全管理的重要措施之一就是建立健全网络安全管理规章制度,提高医院全员认识到医院网络安全管理重要性,设立以院领导为核心的信息安全领导小组,明确领导小组相应责任并落实信息管理人员责任,加大投入资金,对网络安全管理软硬件设备进行更新升级,对网络安全管理专业队伍需要加强建设,信息网络人员必须要有责任心及熟练的网络应用技术,同时要坚持管理创新及技术创新,根据本院信息网络的运行情况,制定应对网络危机的预案。
2)网络安全教育
网络安全工作的主体是人, 医院的各级领导、组织和部门工作人员从思想和行动上都要重视医院信息系统网络安全,提高全员安全意识,树立安全人人有责,由于医院的内部网络涉及临床科室、医技科室、职能科室等部门,计算机操作水平参差不齐,因此,必须定期培训计算机网络客户端的使用人员,使他们具有一些计算机方面的专业知识,尽量减轻医院计算机网络信息系统管理人员的工作压力,当其客户端出现问题之后能得到及时的解决,减少人为的差错及故障发生。
3)网络设备管理
网络设备是整个信息网络安全的基础, 整个网络中的关键设备包括服务器、数据储存、中心交换机、二级交换机、光缆等,因此这些设备的性能直接影响到整个信息系统的安全运行,从可靠性、稳定及容易升级等方面对网络设备进行选择,对重要设备最好采用双机热备份的方式实现系统集群,还要配备两套UPS电源,避免突然断电造成服务器数据流失,提高系统可用性,服务器以主从或互备方式工作,当一旦某台设备发生故障,另外一台设备可以立即自动接管,变成工作主机,将系统中断影响降到最低;此外,使用物理隔离设备将外部互联网和内部信息系统进行隔离,确保重要数据不外泄。
4)软件选择
从软件选择上来说, 统一购买正版操作系统,完成自动监测和智能升级,使用正版软件,并时常更新操作系统漏洞补丁及应用软件的版本。利用安全扫描系统软件定时进行网络安全漏洞扫描和智能升级,检查系统是否存在漏洞,合理配置操作系统的安全策略,对关键操作应开启审计,对用户的误操作或恶意行为进行记录,关闭默认共享,采用虚拟局部网络(VLAN),保障内网中敏感数据安全。
5)实时监控用户上网行为
应用主机安全监控系统,实现对用户上网行为的实时监控,从而让网管及时了解和控制局域网用户的的上网行为,在加强安全防护的同时也可以提高工作效率。主机安全监控系统可以对内部人员上网行为日志、客户端访问行为、终端行为日志、医院IT开发运维人员访问行为等信息进行监控、记录、审计能力,结合日志数据挖掘技术和关联分析功能,实现对非法行为的实时告警,输出符合医院纪委监察部门要求的完整的事件报告,既能够及时发现并阻断非法行为,也可以监控某些人员利用其特权对敏感数据进行非法复制。
6)多重的权限控制管理
采用多重的权限控制管理策略,将应用程序运行权限、数据库级用户权限和操作系统运行权限分为三重权限。在系统中的每个用户有唯一的账号及密码,且对应着相应的权限,服务器操作系统和软件系统最好采用安全的密码管理方式,特别是服务器密码要严格按照安全密码所采用的加密算法来进行设置,采用数字、字母和大小写混合的方式,并定期更换密码。
7)数据备份
为了防止信息系统中的数据丢失,可以采用双机备份方式。两台服务器采用相同的配置,安装相同的系统和数据库系统,实时将主服务器上数据库备份到备用服务器上,当主服务器无法正常工作时,启用备用服务器项替工作,同时信息系统管理部门可以采用一些有关的备份软件对其医院计算机网络信息系统的数据进行及时的监测,当这些数据出现安全方面的问题时,及时对其数据进行备份;此外,也可采用实时备份数据库,采用数据镜像增量备份方式。
8)定期进行安全分析,对新发现的安全隐患进行整改
运用技术手段定期进行安全分析,及时发现安全隐患并快速清除是完善医院网络安全管理的重要措施。定期进行安全分析是研究信息系统是否存在的漏洞缺陷,是否存在风险与威胁,针对发现的安全隐患,制定出相应的控制策略,主要是从软件设置、物理环境、电源配送、权限分配、网络管理、防火、防水、防盗、服务器交换机管理、温度湿度粉尘、人员培训及安全教育等各方面进行分析,寻找出当前的安全隐患,针对这些隐患提出有针对性的解决方案。
2.2 防止外来入侵
1)中心机房管理
作为医院信息系统的“神经中枢”及数据存储中心的机房安全是整个信息系统安全的前提,中心机房的安全应注意机房用电安全技术、防火、计算机设备及场地的防雷和计算机机房的场地环境的要求等问题,为了避免人为或自然破坏设备,应尽可能保证各通信设备及相关设施的物理安全,使系统和设备处于良好的工作环境,对于信息网络的可靠性,可以通过冗余技术实现,包括设备冗余、处理器冗余、链路冗余、模块冗余、电源冗余等技术来实现。
2)计算机病毒防护
杜绝病毒传染源是防范病毒最有效的办法,除特殊科室需要外,将所有网络工作站的外部输入设备(如光驱、软驱等)撤除,所有内网的计算机不准接U盘,在服务器及每个工作站点采用多层的病毒防卫体系,此外,还可以使用桌面管理软件来自动从系统厂商下载补丁,自动检查客户端需要安装的补丁、已经安装的补丁和未安装的补丁,以及限制或禁止移动存储介质的接入,减少病毒传播的途径,从而减少医院网络受到病毒的威胁。
3)防止黑客入侵
防止黑客入侵是医院网络安全工作的重点,可以采用防火墙技术、身份认证与授权技术等技术防止黑客入侵。其中,防火墙技术是在医院内部网和医院外部网之间的界面上构造一个保护层,对出入医院网络的访问和服务进行审计和控制;在防火墙基础上,建立黑客入侵检测系统,对黑客入侵、非法登录、DDOS攻击、病毒感染与传播、非法外连等进行监控,对网络设备、网络通讯通道等进行监控,详细掌控各类网络设备的运行状态,实时监督分析通道质量状况,对各类终端用户的补丁安装、软件安装、外接设备(U盘)等操作进行实时监控管理,发现有违规行为及时报警,也可以自动启动阻止机制来控制非法行为;在医院信息系统中,采用数字签名技术实现系统信息内容安全性,完整性和不可抵赖性等方面的要求,特别是通过采用安全审计或时间戳等技术手段解决传统纸质病历无法解决的信息可靠性问题,此外,还采用信息加密技术可以有效的保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
3 结束语
随着医院业务的不断拓展和医疗政策的不断发展,医院信息网络也由满足医院业务需求的封闭网络发展成为一个面向公共的信息系统,面临着巨大的安全威胁,这要求医院信息系统应具有更高的安全性,而医院信息系统安全管理是一项动态管理工程,随着外部环境(新病毒、新漏洞、新木马等)的变化而发生变化,其涉及技术、管理、使用等方面;因此,网络管理人员在对医院信息网络进行管理中,需要不断调整网络管理的安全方法,并制定出网络安全应急预案,确保医院信息系统的安全可靠运行。
参考文献:
[1] 刘聪.浅析医院网络建设中存在的问题及对策[J].电脑知识与技术,2011(12).
[2] 赵浩宇.浅谈我院网络安全管理[J].电脑知识与技术,2011(6).
