时间:2023-10-12 09:36:46
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇信息安全所面临的威胁范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:烟草行业 信息安全 安全管理 安全防护体系
中图分类号:TS48 文献标识码:A 文章编号:1674-098X(2013)03(c)-0-01
中国的卷烟市场是全球最大的市场,拥有30%的全球消费者,中国烟草行业实行专卖专营体制以来,紧紧围绕“做精做强主业,保持平稳发展”的基本方针,实现了经济效益的连年增长。在取得成绩的同时,中国的烟草行业也一直贯彻坚持科技进步,大力推进技术创新的思想,全面推进烟草行业信息化网络的建设。但是随着信息化应用的日益广泛,信息系统中存储的信息和数据的数量的不断加大,其安全形势不容乐观,该文先介绍烟草行业信息安全的概念,然后对其现状进行描述,最后对如何推进信息安全体系建设,加强烟草行业信息安全管理进行了研究与探索。
1 信息安全概述
信息安全本身包括的范围很大,是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。网络环境下的信息安全体系是保证信息安全的关键,自中国加入世贸组织后,烟草行业的竞争日趋激烈,烟草行业在制造以及销售方面信息化应用的不断扩大,所以其安全程度对整个烟草行业起到决定性的作用。信息安全主要包括保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性五个方面的内容,其中任何一个方面的安全漏洞都能威胁到全局安全,因此必须做好信息安全的管理工作。
由于近年来烟草行业进行了几轮大规模的重组合并,其网络拓扑结构也越来越复杂,信息集成共享也更加广泛,所以烟草行业信息安全所面临的威胁来自各个方面,下面主要从内部和外部两方面进行描述。
(1)由于烟草行业信息系统是由人员进行设计、监管以及操作的,其本身就存在一定的薄弱环节和不安全因素,若内部保密工作不到位、内部管理出现漏洞则会对系统造成破坏,数据发生丢失,给信息安全系统构成威胁。
(2)黑客可以利用信息安全系统自身的缺陷非法闯入,进行数据的“窃听”和拦截,或者其他的破坏活动。一般的烟草企业的网络与整个外部网络是相互连接的,这就无法避免垃圾邮件的威胁,这是防不胜防的。病毒侵入由于其无孔不入的能力以及无法预防的特性,一直是行业信息系统的最大隐患。
3 烟草行业信息安全管理现状
经过多年的信息化建设和网络安全建设,对于烟草信息安全系统,主要存在以下现象。
(1)网络基础设施不健全,信息安全设备不稳固。由于大范围的兼并重组,新建的网络设施、设备的稳定性依然无法得到保证,对设备运行的监控参数没有得到重视,不具备容灾功能。
(2)烟草行业信息安全管理制度和措施没有得到有效的落实,专业人员的素质无法得到保证。尽管国家制定和颁布的烟草信息安全管理制度大部分得到了较好的贯彻落实,但缺乏相关的管理制度,使得管理工作也只是流于形式,存储设备的管理要求无法得到彻底落实。其次由于这个系统的动态特性,对工作人员的要求较高,所以培训工作的滞后影响着整个系统的安全。
(3)缺乏整体性的防护措施。尽管近年来的信息安全保障体系建设已经取得了一定的成效,但在建设初期的缺乏对整个系统的全盘考虑或是预算的原因使得现在已经成型的烟草信息安全系统缺乏整体性的防护措施。
4 提高安全管理的对策
4.1 技术层面的建设
一个有效的网络信息安全技术体系是整个信息安全管理的基础,所以安全体系的建设是所有安全构架的基础,运用先进的技术手段,进一步完善机房硬件设备等基础设施;对不同的安全威胁要进行针对性的建设,确保核心设备具有较高的安全级别并且要对其端口进行流量控制;对于核心信息资源所面临的风险要进行正确的评估,提高网络信息化的安全保障能力;对于网络存储的大量信息和数据要做好备份工作,并对进行传输的信息进行实时监控,加强对突发安全事件的处理效率。通过以上技术层面的手段使整个安全体系在预警、防护、监控等方面的能力得到提高。
4.2 管理层面的建设
管理层面的建设主要通过完善和优化安全管理体系和建立相应的措施来提高信息安全网络的安全管理能力与监督能力。制定出清晰完整的信息安全政策,从整体层面上指导整个网络的安全建设,对所有的管理人员以及工作人员实行法律化管理;建立严密的密码管理制度,并且要定时更换,控制密码的扩散;此外对使用安全体系网络的人员要进行身份的辨别,对于管理员以及普通使用人员的权限进行分离,在信息控制中心成立安全管理小组,专门负责电脑的安全运行;重视烟草行业安全文化建设,提高员工的基本安全意识和安全防范能力,营造出一个浓厚的网络信息安全氛围;最后要加强网络信息安全专业人才的培养,从安全意识和安全技术两个方面着手,对这些人员进行定期、持续、系统地培训。
5 结语
尽管对烟草行业信息安全的管理存在很多困难,但是只要我们能做到将以人为本、技术、管理和法制这些手段综合起来进行治理,网络信息安全将会得到很好地解决,烟草行业的信息化进程将会为整个行业带来更大的发展空间。
参考文献
[1] 李益文.基于烟草行业业务可持续运行的信息安全运维管理体系的思考[J].东方企业文化,2012(22).
[2] 高萍,黄伟达.烟草企业信息安全方面的思考[J].黑龙江科技信息,2010(31).
[3] 林加忠,叶鹏华.浅析网络环境下烟草信息资源建设[J].硅谷,2009(5).
[关键词]网络信息;防护策略;思考
中图分类号:TM58 文献标识码:A 文章编号:1009-914X(2015)45-0289-01
网络的飞速发展彻底改变人们的工作以及生活方式,人们在享受到网络信息所带来的便利性的同时,却也不得不面对网络信息泄露的风险,如何采取有效的措施来化解网络信息安全所面临的冲击已经成为相关学者高度关注的一个课题,而作为普通的网络用户也应该具有一些基本的网络信息安全知识,从而有效地保护自身的网络信息不被泄露。
一、网络信息安全面临的威胁
有关网络信息泄露的事件可谓层出不穷,每个人的电脑都面临信息泄露的风险,通过总结威胁网络信息安全的因素,发现有以下几个方面:
1、意识层面的忽视
很多计算机用户对于网络信息安全的维护并没有一个明确的认识,他们认为信息储存在自己的电脑上,别人根本没有办法将自己的信息盗取,持有此种观念的人不在少数。意识上的忽略导致网络信息被泄露的概率大大增加,数据显示,大多数的网络信息泄露都是因为用户没有信息安全意识所导致的。例如很多计算机用户没有设置开机密码,或者密码设置过于简单,这都是信息安全意识不强的表现。
2、不可抗力因素
信息安全的另外一个威胁来自于不可抗力因素,不可抗力是指诸如地震、火灾电磁干扰等因素,此类因素对于信息的安全的威胁几乎是毁灭性的,虽然发生的概率不大,但是一旦发生其后果是灾难性的。计算机的运行是一个脆弱的系统,在运行过程中外部不可抗力因素的影响很容易导致其运行的中断,并给数据安全带来威胁。举例而言,经常发生的断电现象就类似于不可抗力,往往会导致信息的丢失。
3、计算机病毒
计算机病毒是导致信息安全受到威胁的又一因素,每个互联网上的电脑每天都要受到成千上万次的病毒袭击,这些计算机病毒的侵袭有些是有目的的,有些则是无目的的,无论哪种情况都会给信息安全带来威胁。而且由于计算机病毒导致的信息泄露,计算机用户往往很难发现,总是在过了一段时间以后,受到了某种损失才豁然发现信息已经泄露,因此计算机病毒对于信息安全的威胁更具有隐蔽性。
4、政府层面的缺位
目前国家对于网络信息安全的保护力度还不够,同时也没有一套完善的法律来规范网络信息的盗窃行为,这导致威胁网络信息安全的行为的违法成本低廉,很多黑客利用法律的空白进行各种违法行为,制度上的缺失因此成为了信息安全受到威胁的另外一个因素。
二、网络信息安全防护策略
网络信息安全的防护意义重大,针对上文提到的威胁到网络信息安全的因素,本文认为可以从以下几个方面加以解决:
1、提升网络信息安全意识
网络信息安全意识的提升对于计算机用户而言是必不可少的,只有在意识层面加以重视信息安全的防护工作,才会采取具体的行动措施。计算机用户网络信息安全意识的培养需要社会媒介的高度重视,社会媒介应承担起宣传网络信息安全宣传的责任,通过广泛的宣传,来提升计算机用户的网络信息安全意识。
2、重视不可抗力的威胁
针对生活中可能出现的造成信息安全受威胁的不可抗力因素,计算机用户应做好充分的准备,尤其是对于那些重要的信息最好进行备份,这样可以避免因为不可抗力的因素造成的信息数据被毁。举例而言,对于那些经常受到断电困扰的计算机用户,最好通过不间断电源的设施减少断电带给信息安全的威胁。
3、构筑网络防火墙
针对计算进病毒的侵袭,最有效的措施就是构筑一个防火墙,通过预先的设置来过滤、阻断各种计算机病毒的入侵。杀毒软件本身也属于防火墙,通过给电脑安装正版的杀毒软件,定时查杀病毒,这样可以大大减少病毒的攻击。同时还要注意对计算机软件定时升级,避免计算机病毒利用软件的漏洞进行攻击,并威胁到信息的安全。
4、加强对网络信息安全的监管
网络信息安全的威胁因素有些可以通过提升计算机用户的安全意识以及安全技能来加以解决,有些则不能,例如黑客的恶意攻击,这时候就需要政府部门的有效监管来加以解决。政府部门通过完善信息安全的监管法规,对于那些恶意的进行网络信息盗窃的行为施以重罚,加大其违法成为,继而减少乃至杜绝对网络信息安全的威胁行为。
计算机用户应正确的认识到网络信息安全的重要性,综合采用多种防护措施来确保信息的安全,这样才能在充分的享受到网络信息便利性的同时,最大限度的将网络信息的安全威胁摒弃在外。
参考文献
[1] 徐峰.关于计算机网络信息安全及其防护策略的探讨[J].中国科技博览,2011(11).
[2] 焦新胜.对计算机网络信息和网络安全及其防护策略的探讨[J].科技传播,2011(5).
[4] 陈斌.计算机网络安全于防御[M].信息技术与网络服务,2006.
论文摘 要:随着电子商务时代的到来,电子商务安全问题越来越受到关注。特别是近年来的威胁网络安全事件成出不穷,成为阻碍电子商务发展的一个大问题。对电子商务安全面临的的威胁进行研究分析,提出电子商务安全策略的总体原则及使用的主要技术。
电子商务安全策略是对企业的核心资产进行全面系统的保护,不断的更新企业系统的安全防护,找出企业系统的潜在威胁和漏洞,识别,控制,消除存在安全风险的活动。电子商务安全是相对的,不是绝对的,不能认为存在永远不被攻破的系统,当然无论是何种模式的电子商务网站都要考虑到为了系统安全所要付出的代价和消耗的成本。作为一个安全系统的使用者,必须应该综合考虑各方因素合理使用电子商务安全策略技术,作为系统的研发设计者,也必须在设计的同时考虑到成本与代价的因素。在这个网络攻防此消彼长的时代,更应该根据安全问题的不断出现来检查,评估和调整相应的安全策略,采用适合当前的技术手段,来达到提升整体安全的目的。电子商务所带来的巨大商机背后同样隐藏着日益严重的电子商务安全问题,不仅为企业机构带来了巨大的经济损失,更使社会经济的安全受到威胁。
1 电子商务面临的安全威胁
在电子商务运作的大环境中,时时刻刻面临着安全威胁,这不仅仅设计技术问题,更重要的是管理上的漏洞,而且与人们的行为模式有着密不可分的联系。电子商务面临的安全威胁可以分为以下几类:
1.1 信息内容被截取窃取
这一类的威胁发生主要由于信息传递过程中加密措施或安全级别不够,或者通过对互联网,电话网中信息流量和流向等参数的分析来窃取有用信息。
1.2 中途篡改信息
主要破坏信息的完整性,通过更改、删除、插入等手段对网络传输的信息进行中途篡改,并将篡改后的虚假信息发往接受端。
1.3 身份假冒
建立与销售者服务器名称相似的假冒服务器、冒充销售者、建立虚假订单进行交易。
1.4 交易抵赖
比如商家对卖出的商品因价格原因不承认原有交易,购买者因签订了订单却事后否认。
1.5同行业者恶意竞争
同行业者利用购买者名义进行商品交易,暗中了解买卖流程、库存状况、物流状况。
1.6 电子商务系统安全性被破坏
不法分子利用非法手段进入系统,改变用户信息、销毁订单信息、生成虚假信息等。
2 电子商务安全策略原则
电子商务安全策略是在现有情况,实现投入的成本与效率之间的平衡,减少电子商务安全所面临的威胁。据电子商务网络环境的不同,采用不同的安全技术来制定安全策略。在制定安全策略时应遵循以下总体原则:
2.1 共存原则
是指影响网络安全的问题是与整个网络的运作生命周期同时存在,所以在设计安全体系结构时应考虑与网络安全需求一致。如果不在网站设计开始阶段考虑安全对策,等网站建设好后在修改会耗费更大的人力物力。
2.2 灵活性原则
安全策略要能随着网络性能及安全威胁的变化而变化,要及时的适应系统和修改。
2.3 风险与代价相互平衡的分析原则
任何一个网络,很难达到绝对没有安全威胁。对一个网络要进行实际分析,并且对网络面临的威胁以及可能遇到的风险要进行定量与定性的综合分析,制定规范的措施,并确定本系统的安全范畴,使花费在网络安全的成本与在安全保护下的信息的价值平衡。
2.4 易使用性原则
安全策略的实施由人工完成,如果实施过程过于复杂,对于人的要求过高,对本身的安全性也是一种降低。
2.5 综合性原则
一个好的安全策略在设计时往往采用是多种方法综合应用的结果,以系统工程的观点,方法分析网络安全问题,才可能获得有效可行的措施。
2.6 多层保护原则
任何单一的安全保护措施都不是能独当一面,绝对安全的,应该建立一个多层的互补系统,那么当一层被攻破时,其它保护层仍然可以安全的保护信息。
3 电子商务安全策略主要技术
3.1 防火墙技术
防火墙技术是一种保护本地网络,并对外部网络攻击进行抵制的重要网络安全技术之一,是提供信息安全服务,实现网络信息安全的基础设施。总体可以分为:数据包过滤型防火墙、应用级网关型防火墙、服务型防火墙等几类。防火墙具有5种基本功能:
(1)抵挡外部攻击;
(2)防止信息泄露;
(3)控制管理网络存取和访问;
(4)vpn虚拟专用网功能;
(5)自身抗攻击能力。
防火墙的安全策略有两种情形:
(1)违背允许的访问服务都是被禁止的;
(2)未被禁止的访问服务都是被允许的。
多数防火墙是在两者之间采取折中策略,在安全的情况之下提高访问效率。
3.2 加密技术
加密技术是对传输的信息以某种方法进行伪装并隐藏其内容,而达到不被第三方所获取其真实内容的一种方法。在电子商务过程中,采用加密技术将信息隐藏起来,再将隐藏的信息传输出去,这样即使信息在传输的过程中被窃取,非法截获者也无法了解信息内容,进而保证了信息在交换过程中安全性、真实性、能够有效的为安全策略提供帮助。
3.3 数字签名技术
是指在对文件进行加密的基础上,为了防止有人对传输过程中的文件进行更改破坏以及确定发信人的身份所采取的手段。在电子商务安全中占有特别重要的地位,能够解决贸易过程中的身份认证、内容完整性、不可抵赖等问题。数字签名过程:发送方首先将原文通过hash算法生成摘要,并用发送者的私钥进行加密生成数字签名发送给接受方,接收方用发送者的公钥进行解密,得到发送方的报文摘要,最后接收方将收到的原文用hash算法生成其摘要,与发送方的摘要进行比对。
3.4 数字证书技术
数字证书是网络用户身份信息的一系列数据,由第三方公正机构颁发,以数字证书为依据的信息加密技术可以确保网上传输信息的的保密性、完整性和交易的真实性、不可否认性,为电子商务的安全提供保障。标准的数字证书包含:版本号,签名算法,序列号,颁发者姓名,有效日期,主体公钥信息,颁发者唯一标识符,主体唯一标示符等内容。一个合理的安全策略离不开数字证书的支持。
3.5 安全协议技术
安全协议能够为交易过程中的信息传输提供强而有力的保障。目前通用的为电子商务安全策略提供的协议主要有电子商务支付安全协议、通信安全协议、邮件安全协议三类。用于电子商务的主要安全协议包括:通讯安全的ssl协议(secure socket layer),信用卡安全的set协议(secure electronic transaction),商业贸易安全的超文本传输协议(s-http),internetedi电子数据交换协议以及电子邮件安全协议s/mime和pem等。
4 结论
在电子商务飞速发展的过程中,电子商务安全所占的比重越发重要。研究电子商务安全策略,意在于减少由电子商务安全威胁带给人们电子商务交易上的疑虑,以推动电子商务前进的步伐。解除这种疑虑的方法,依赖着安全策略原则的制定和主要技术的不断开发与完善。
参考文献
[1]田沛. 浅谈电子商务安全发展战略[j]. 知识经济, 2010, (2).
[2]如先姑力•阿布都热西提. 计算机网络安全对策的研究[j]. 科技信息(学术研究), 2008, (10).
[3]陈伟. 电子商务安全策略初探[j].才智, 2009,(11).
1信息安全风险评估的方法
1.1定性分析方法
这是评估方法具有的一个明显特点就是它的主观性较强,在风险评估人员主观上对资产风险因素所面临的威胁以及漏洞等作出评估判断的过程。它的结构构成包括故障树分析法、事件树分析法以及原因———后果法等。(1)故障树分析法。这种分析方法的适用于对风险事件的发生源之间关系以及它的深层次原因进行探究的,它的主要目的是在发现信息故障后对信息安全所进行的定性分析。从它的运行原理来看,它是把信息系统中发生的结果来作为首要解决的问题,分析总结出不愿发生事件的形成因素,从而确定出各个因素之间的逻辑关系。(2)事件树分析方法。这种方法是在原有的信息系统风险基础上,来对这些信息安全风险事件发生可能产生的风险结果进行详细的分析探究,它的分析工作开展的一个显著特点就是需要对序列组中可能发生的危险事故的结果进行合理的列举,需要注意的是这并代表是最后的结果,只是其中的一个环节,但是它的缺点就是不适于进行大范围的普适。(3)原因———后果分析方法。这种分析方法从运行原理的实质上来看,它是对前两种分析方法的一种融合,它是前两种分析方法所具有显著特点的结合,但是,这种方法也有应用的缺点,就是它在大型的、复杂的信息系统中应用并起不到应有的效果。
1.2定量分析方法
这种分析方法是对定性方法的一种改进,削弱了定性方法的主观性,但是在一些大型复杂的信息系统中,就很可能造成一些定量数据难以获得,需要浪费较多的时间成本,基于此,它的应用最为广泛的是定量的故障树分析法和风险评审技术两种。
1.3定性分析和定量分析相结合的方法
这种两相结合的方法在现代应用领域中是最为常见的,也是最适合的形式,这两种方法相结合的主要目的是为了有效的弥补定性分析法和定量分析法之间的缺陷,因此,它的综合性就会相对强一些。这种分析模式,适用范围最为广泛的并且最为主流的是层次分析法。
2在业务流程基础上的信息安全风险评估方法
2.1信息资产的辨别
信息安全风险评估主要是针对于信息和信息处理设备所受到的威胁、影响以及威胁事件发生后所带来的损失而进行的评估预测,那么所进行评估的内容主要涉及到四个要素,即资产、威胁、漏洞以及原有的安全措施。对于这四个要素之间的关系论述,它们是属于相互关系、相互作用的因素,各自对系统风险的影响各不相同,共同构成复杂的风险评估系统工程。我们在实际的风险评估工作中,主要是对已经存在的风险提出一系列有效的安全防范措施,并依据风险措施实行采取合理的控制措施,从而使风险控制到最合理的范围内,那么这么讲就可以把它的具体实施流程划分为两大部分,即对风险的分析和对风险的控制。
2.2业务流程的风险模型分析
在业务开展的基本流程中,对于位置变动资产的识别可以在它的开始阶段就进行,这是对位置变动来说的,而对于位置固定的资产识别,就需要对每一个具体业务的节点进行逐一开展。对于位置固定资产的识别来说,因为其自身需要有大量的人工操作,因此它的风险一般是集中于业务节点环节上,并且各个节点上的风险类别、发生方式、起源以及造成的后果影响都是不相同的。此外,由于这些风险的产生是因为位置固定资产而引起的,因此,在业务流程的过程中一般只需要对位置固定资产的风险采取相应的控制措施就可以了,这样也就确保了位置别动不会对资产的保密性、完整性以及可用性造成威胁。
3总结
1.1恶意攻击
人为因素是目前世界范围内计算机网络信息安全所面临的主要问题和威胁。通常我们所说的黑客,就是其中最主要的攻击者。由于网络信息保密意识的淡薄,对于安全的维护不到位,致使信息被篡改、利用等,所造成的损失不胜枚举。黑客通常利用计算机和网络的缺陷和漏洞,针对这些漏洞进行恶意攻击,以达到其最终目的。这其中的缺陷和漏洞,包括计算机本身硬件、软件及用户自身人为造成的失误。
1.2系统本身的脆弱性
网络是信息的传输、接收、共享、整合的开放性平台,开放性是其最主要的特点,任何人、任何时间、任何地点都可以从平台上面获取所需要的信息。网络诞生的目的,就是为了人类的生活更加便捷、高效,内容更加丰富,来达到促进人类社会向前进步发展的目的。网络的开放使得我们与之联系更加密切,可是在信息安全性这一方面,也恰恰就是其受到攻击、遭受到威胁的弱点。
1.3用户自身存在的问题
用户本身不良的操作习惯,信息安全意识的淡薄,也是网络信息泄露、丢失的因素之一。用户信息的设置过于简单,对于登录地点、登录平台的选择麻痹大意,疏忽安全性,都极易造成用户信息被窃取,安全防护被恶意攻破,从而造成损失。
1.4计算机病毒
计算机病毒是病毒本身编制者利用自己所学知识,在编程的过程当中,插入了能够破坏计算机正常运行或者破坏数据为目的的一组指令或者代码。病毒本身具有极强的隐蔽性、潜伏性,一般杀毒软件查不出来,或者时隐时现,变化多端,让使用者无法去分辨其真实性和存在性,处理起来通常都是很困难的。计算机病毒的危害性、危害范围之广,让人不寒而栗,最知名的莫过于2006年的熊猫烧香及其变种病毒,对社会秩序、互联网安全造成的损失和影响是无法估量的。
2防护策略
2.1反病毒软件的安装策略
反病毒软件也称杀毒软件或防毒软件,是用于清理和消除电脑使用过程中所面临的威胁的一类常用软件。目前市面上所用的杀毒软件基本上都具备云查杀技术,所以在拦截效率、清理木马和恶意软件的程度上有着明显的改善和提高。杀毒软件本身具有的自我修复与维护、实时升级、主动防御、启发等技术,从安全上能够满足大部分用户的需求,所以广受青睐。而这也是计算机网络信息安全与防护的主要策略之一。反病毒软件和电脑病毒可以说是一对天敌,对于初学者或者刚刚上手的电脑操作者来说,一款简单好用的杀毒软件对其提升计算机安全性和信息的保密性是至关重要的。
2.2用户自身安全防范意识的提升
用户本身由于对互联网信息的了解程度低,安全防范意识操作的淡薄,是导致产生网络安全威胁的潜在因素。对这些用户进行必要的网络安全知识的普及和相关安全防护操作的应用指导,是十分必要的。试想一下,如果用户本身的安全意识提高了,那么在面对未知来源的信息、邮件、程序的安装使用上,自然就会小心翼翼,而这也从根本上杜绝了那些木马病毒、恶意软件、间谍软件制造者想要窃取信息、用户资料的目的,从而维护了信息安全的秩序,达到了确保用户网络信息安全的目的,是一种简单方便明了的手段。
2.3数据加密技术
由于系统本身的开放性,决定了其时时刻刻处在被攻击和窃取的处境当中。如何对系统中的数据安全进行维护?数据加密技术。加密是通过密钥以及加密函数的转换,将数据变成没有意义的密文。如果没有相对应的解密函数和解密密文还原成明文,那么即使数据被窃取了,也没有办法从中提取到有用的信息和数据,这样极大保证了在数据传输过程中的安全性。加密技术是网络信息安全防护技术的基石。加密技术的应用,由于涉及了很多方面的知识,结构性比较复杂,因此,使用这技术的都是具有了一定基础或者有着丰富的计算机知识的用户。随着互联网经济的发展,电子商务的兴起,关于加密这一领域也在向着操作简单化、成本低廉化、数据保密的保密性等几个方面改进。相信不久将来,加密技术的普及,将不再是一个困扰大多数用户的难题,而网络信息安全化也将得到一个质的提升。
2.4网络监控与入侵检测技术的应用
入侵检测是通过对日常行为、日志、信息数据的检测来判断是否有闯入者来攻击己方电脑的技术。针对于这种刚刚兴起但是前景广阔的技术,本文将其纳入防护策略中,相信时间会证明这种技术的可靠性与应用的广泛性。
3结语
关键词:信息安全建设;风险;存在问题;途径
中图分类号:R197.3 文献标识码:A 文章编号:1007-9599 (2012) 12-0000-02
在新的时代和社会背景下,为了提升自身的核心竞争力,在激烈的市场竞争中把握一定的主动权,各个医院都在努力加快信息化建设的步伐,以适应国际形势发展的需要,可以说当前医院的信息化建设水平已经成为衡量医院现代化程度的一项重要标志。与传统的管理模式相比,信息化管理模式具有方便快捷的优势,在很大程度上提高了管理工作的质量和效率,但是由于网络信息平台具有一定的安全风险,因此医院的信息化建设也面临着安全威胁。为此,医院相关部门和人员必须要对此有一个正确的认识和了解,积极采取有效措施加强医院信息安全建设,尽可能地将安全风险降到最低,提高医院的经济效益与社会效益。
一、医院信息安全所面临的风险
(一)外部网络安全风险
为了满足医生查房以及传染病信息的及时上报等工作需要,在医院的很多区域都设置了无线网络,一般只要经过简单的认证就能够进入到医院的内部网络系统中,这就为攻击者的入侵活动提供了便利。再加上一些行政办公人员的网络安全意识淡薄,在打开网页或者使用邮件的过程中容易感染病毒,从而使医院内部信息系统面临严重的安全威胁。
(二)系统内部安全风险
当前我国不少医院的信息系统没有设置严格的访问权限,用户所享用的权限要比实际授予的多,并且对于调离医院的工作人员不能及时取消他们的用户权限,从而容易出现他人使用医院权限的现象。再加上一些工具软件与应用程序的设置不太科学,客户端安装了一些不必要的应用程序,使得系统内部安全风险大大增加。
(三)医院信息系统数据存在安全风险
在医院信息系统建设中,一旦服务器出现故障就可能会导致医院信息网络陷入全面瘫痪的状态,而医院信息系统数据主要是存储在服务器系统磁盘上的,因此服务器损坏会给医院的各项经营管理活动带来很大的不便,严重损害医院的经济效益和社会效益。同时,由于人为操作失误或者是感染病毒等原因,也会造成重要文件和资料被修改或者是删除。
二、当前医院信息安全建设中存在的主要问题
(一)硬件安全问题
硬件设备是确保信息系统顺利运行的基础和前提,它主要包括服务器、网络设备、以及存储设备等构件,这些硬件设备的运行状况会在很大程度上影响到信息系统的安全性和稳定性。一般医院硬件安全问题主要包括设备陈旧老化、应急设备不足、以及电压不稳定等。特别是当服务器或者是中心交换机等一些关键设备出现问题时会造成整个信息系统陷入瘫痪状态,这时一旦缺少备用设备就会使信息数据面临不可挽回的损失。
(二)软件安全问题
信息系统可以说是一个比较庞杂的人机系统,一旦操作人员进行不当操作或者是软件本身存在问题就会在很大程度上影响信息系统的正常运作。医院信息系统软件安全方面存在的主要问题一般表现为以下几个方面:首先是由于人员的操作失误导致忘记登陆密码、不能进入系统结算、无法摆药、无法打印等;其次,由于不当使用存储介质而带来的安全问题,具体来说就是随着移动存储设备的大量应用,病毒入侵现象越来越突出,单纯依靠杀毒软件与维护人员难以对病毒实施有效控制;此外,软件的意外行为也会造成安全问题,比如软件实现升级后一般会要求重启计算机,一旦没有及时保存相关数据就会造成数据的丢失。
(三)网络安全问题
在医院信息安全建设中存在的网络安全问题主要包括两大方面:1)伴随医院网络系统应用的不断开放,我国不少医院的信息网络已经逐渐变成公共信息平台的一个组成部分,并对医疗保险网络提供数据,这就不可避免地增加了人为恶意攻击或者是网络病毒入侵对医院信息系统所产生的威胁。2)当前随着计算机信息技术的不断发展,医院信息系统面临的安全威胁更多的来自内部网络,特别是近年来内部工作人员对信息系统的有意或者是无意攻击行为越来越多,从而给医院内部安全技术防范与管理工作带来了不小的压力。
三、医院信息安全建设途径
(一)加强对医院信息安全建设的管理力度
加强对医院信息安全建设的管理工作主要从以下两个方面来进行:1)制定和完善各项管理制度与操作规范,从而有效制约有关计算机操作的不规范行为,确保医院信息系统的有效运行。一般制定管理制度的最终目标是为了充分发挥和利用信息系统功能,从而提高信息系统效率,并确保信息数据质量。具体来说需要制定岗前培训制度、考核制度、网络管理制度、用户权限制度、数据备份制度、以及口令管理制度等,同时还要规范各子系统的操作流程和操作方法。2)加强对信息安全知识的宣传工作。医院大部分信息数据的采集工作都是依靠人工来完成的,一旦工作人员的信息安全意识和责任意识淡薄,就容易产生信息安全隐患,因此必须要加强对信息安全知识的宣传力度,最大限度地确保所采集信息的安全性,从源头上消除信息安全隐患。
(二)确保硬件、软件、以及网络的安全运行
主要从以下三个方面来进行:1)中心机房。由于中心机房会对服务器的安全运行产生非常重要的影响,因此在中心机房选址时要尽可能地远离各种有害气体与强电磁波的干扰,机房环境要充分满足采光、隔音、以及防尘等条件,并且要对照明灯具、湿度设备、以及空调等的配置进行综合考虑。同时,中心机房内要为计算机设备设置专门的动力配电箱,实现与其他电力负荷之间的分别供电,确保积分那个用电安全。2)服务器。作为医院信息系统的核心部分,服务器的安全运行直接关系到信息系统的安全,一旦服务器出现故障,轻则数据丢失,重则系统瘫痪。因此必须要根据医院的实际业务量来合理选择服务器,最好要配备双服务器,在主服务器出现问题的情况下由从服务器来代替其继续工作。同时还要建立健全服务器档案和运行日志,,对服务器的运行情况实施全程监管。3)网络设备。网络设备主要是用来传输信息数据的,因此网络设备的正常运行与医院信息安全关系密切,这就需要定期对路由器、集线器、交换机、以及光纤收发器等进行检查和维护。
(三)注重对病毒的防治工作
医院网络立足于互联网平台,因此必然会面临各种病毒的恶意攻击,而一旦受到感染就会造成机器罢工,甚至会迅速蔓延到其他机器上,因此必须要积极采取有效措施加强对计算机病毒的防治工作。这就需要在工作站禁止安装光驱和软驱,并禁用USB端口;如果一些工作站安装有光驱和软驱等设备,就需要配备有防病毒软件,并不断进行系统升级。同时要积极应用防火墙技术,对流经数据进行实时监控,尽可能地减少外网病毒入侵,从而避免病毒对医院信息资源所造册很难过的破坏。
(四)强化对信息数据的安全管理
数据安全是医院信息系统安全的重点和关键,因此在提高操作人员信息安全意识的同时还要建立健全数据备份和恢复策略。在信息系统中,最重要的东西不是硬件设备,而是信息数据,因此建立健全数据备份和数据恢复策略,尽可能地减少数据丢失就显得至关重要。具体来说就是要备份归档日志文件,并定期将所有文件转存到光盘或者是磁带等载体中进行异地存放;而在数据恢复策略中,要根据实际需要进行数据的完全或者是不完全恢复,以确保信息的安全。
四、结束语
在现代化医院的建设过程中,计算机信息技术的应用必不可少,当前计算机信息技术的应用水平已经成为衡量医院软实力的一项重要指标。但是计算机信息技术本身存在的安全隐患以人为因素的影响为医院信息安全建设带来了一定的难题,为此医院方面必须要加强对医院信息安全建设的认识,采取一些有效措施加以应对,促进医院的健康长远发展。
参考文献:
[1]毛琳琳.医院信息安全保障系统建设及策略分析[J].中国医学装备,2010(03)
[2]孙琦.构建安全可靠的医院信息化系统[J].中国信息界(医疗),2010(06)
[3]陈凌平,马宗庆,郭振华.医院信息系统的安全与管理[J].医院管理论坛,2010(02)
[4]黄慧勇,黄冠朋,胡名坚.医院信息系统安全风险与应对[J].医学信息.2009(06)
本文将在分析计算机网络安全隐患的基础上对如何做好港口码头区的网络安全防护进行分析阐述,并在此基础上提出了一些解决的措施以确保港口码头区网络安全、可靠的运行。
随着科学技术的发展以及计算机应用的普及,网络安全已经成为了广大群众关心的重点问题,随着各种网络安全问题频繁曝出使得计算机网络安全的形势更为严峻。做好港口码头区的网络安全防护对于保护港口码头的信息安全与促进港口码头的经济快速发展有着十分重要的意义。
1 计算机网络安全简述
随着经济以及科学技术的快速发展,信息化已经成为了推动社会发展的重要推动力,网络已经深入了居民生产、生活的方方面面。计算机网络安全从广义上说是要确保计算机用户的个人信息不泄露,从狭义上讲是指要在确保计算机系统正常运行的前提下,对计算机系统中的数据和计算机的软、硬件加以保护,从而使其在任何情况下免遭任何形式的的泄露、更改和破坏。
因此,计算机用户的利益与计算机网络本身的安全密切相关,保护好计算机网络安全就是保护好计算机用户的切身利益。为做好计算机的网络安全防护,可以从三个方面入手:(1)加强对于接入端的控制,这主要是针对计算机网络的进入权限进行设定和控制,对不具有相应权限的用户禁止接入,在接入端控制的过程中主要采用的是加密技术来用于接入控制系统的设计。
(2)安全协议,安全协议主要了为了确保通信协议的安全,但是一个安全通信协议的设计极为复杂,为了确保网络通信的的安全,一般采取的是找漏洞分析法、经验分析法和形式化法相结合的方式。(3)增加网络安全信息的保密性,计算机网络安全核心目的就是为了向用户提供安全可靠的保密通讯,因此,需要加强计算机网络用户的保密信息的确认,增强其保密性,从而加强计算机网络信息安全。
2 计算机网络安全所面临的威胁
现今,随着计算机网络覆盖的范围与人群越来越广,所面临的网络安全环境也越来越复杂,从而使得计算机网络安全面临着极大的不安全性。在对计算机网络安全威胁进行分析的基础上发现,造成计算机网络安全问题的原因除了人为因素外,最大的安全威胁来自于计算机系统本身所具有的漏洞。
总体来说,对计算机网络安全造成安全隐患的因素主要集中在以下几个方面:(1)计算机网络安全问题最大的威胁来自于计算机系统本身所具有的漏洞,现今所使用的系统由于受到科学技术发展水平的限制,并不存在一种绝对完美的计算机网络系统,同时由于广大用户缺乏专业的知识,使得计算机网络系统中的漏洞何难被用户察觉和修补,从而为计算机网络信息安全埋下了极大的安全隐患。同时,在同步和文件处理方面,计算机系统程序由于自身所存在的缺陷,使得其在应对网络攻击以及网络安全威胁时常常显得力不从心,攻击者可以在计算机信息处理的过程中在计算机外部展开入侵,并利用这些机会干扰到计算机程序的正常进行。
其次,计算机外部的网络安全环境日益恶化,其来自于外部网络的安全威胁时刻影响着计算机的信息安全,近些年来,由于计算机入侵而导致的信息泄露事件日益频发,前一段事件所曝光的油箱用户信息大规模泄露事件所引发的一系列网络安全问题为我们敲响了警钟。
在计算机网络安全的威胁中,来自于系统外部的问题是除了计算机系统本身这一安全漏洞外所面临的另一安全威胁.总的来说,计算机系统外部的网络安全威胁主要来自于三个方面:(1)各种间谍软件的威胁,此种软件是由黑客设计出来的专门窃取存储于计算机网络系统中的各种数据信息的软件,其具有极强的攻击性,这些间谍软件甚至于还能够隐蔽与系统中对用户在上网时的数据进行监视,从而达到窃取用户信息的目的。
同时间谍软件潜藏在计算机网络系统中还会对计算机的性能造成严重的影响。(2)计算机病毒所造成的威胁,计算机病毒是长期存在于网络中的一种毒瘤,与间谍软件一样成为困扰计算机网络系统发展的难题。相较于间谍软件等,计算机病毒对计算机网络所造成的安全威胁更为突出、也更大。计算机病毒具有传播速度快、范围广、危害大等的特点,其直接攻击计算机系统,造成计算机系统的损坏,使得计算机用户的信息与资料等丢失,严重的甚至会造成计算机硬件发生不可逆转的损坏,浪费计算机用户的时间与金钱。
(3)网络黑客对计算机网络所造成的安全威胁,计算机黑客都是一些具有较为扎实功底的计算机网络知识的人,其为了某种目的(窃取、窥视等)使用自身的计算机知识来肆意攻击普通用户的计算机进行信息的窃取或是破坏,这些黑客由于在暗中进行,缺少监管使得其行为肆意妄为,而一般的普通用户由于缺乏专业的计算机知识无法对这种攻击进行有效的防护。找到用户计算机系统中的漏洞并发动攻击获取相应的权限或信息是网络黑客锲而不舍的目标,也是最难防御的一种网络安全威胁。
计算机网络所面临的威胁是多方面的,而计算机网络系统管理制度的缺陷也会使得计算机网络系统面临巨大的网络安全威胁,计算机网络系统的管理所带来的威胁主要集中在以下几个方面:(1)管理人员疏忽大意或是由于自身计算机网络知识的不足,从而使得计算机网络系统存在漏洞,使用户的信息泄露从而造成的损失。
(2)此外就是个别的工作人员疏忽大意或是主观行为而造成的用户信息的泄露,个别的计算机网络管理人员为了获取不法利益而私自出售计算机网络用户的个人信息,这种行为在现今的社会是较为常见的。其主要做法是将保密系统资料和文件提供给第三方或是故意泄露计算机网络信息系统中数据库的重要数据等。以上这两种行为都被归结为管理上的漏洞或是疏忽,这些都会对计算机网络造成巨大的安全威胁,同时由此所引发的计算机网络安全维护是不可估量的。3 做好计算机网络安全防护的措施
3.1 计算机网络安全防护的原则
计算机网络安全是十分重要的,尤其是计算机网络日益发达的今天,大量的数据被存储在用户的计算机中,一旦丢失或是损坏将会面临严重的后果。因此,做好计算机网络的安全与防护刻不容缓。同时在做好计算机网络安全防护时要按照以下的原则进行:(1)加强信息的高密级防范原则,在对多密级信息进行处理时,很多的计算机网络安全信息系统都必须严格遵循相应的防护原则,做好计算机网络信息的加密,必要时应当将计算机网络信息提升至最高级以应对日益复杂的计算机网络安全威胁。
(2)安全适度原则,现今对于计算机网络安全威胁最大的是黑客的入侵对计算机网络所造成的影响。在计算机网络的安全防护中绝对安全的网络是不存在的,现今所采取的计算机网络安全防护归根结底都只是针对具体某一方面的安全威胁进行防护,为进一步做好网络安全防护,需要分析不同网络安全威胁的特点,实事求是因地制宜的做好防护措施,做好计算机网络安全防护。(3)授权最小化原则,对于重要的计算机进行物理隔离。
3.2 应对计算机网络安全威胁的措施
应对计算机网络安全威胁最主要的是做好技术防护,提高计算机网络信息技术需要从入侵检测技术、防病毒技术、计算机防火墙的开发和计算机漏洞的修补等多方面进行,在此基础上还需要定期及时的更新计算机中的各种软件和硬件设施,将计算机网络安全防护技术做到最好,不断的提高计算机网络的安全防护性能。在用户授权访问控制和数据加密技术上,不断探索研究新的技术,通过技术的不断升级完善使得计算机网络用户的安全防护更为牢固、可靠,从而从基础端堵死网络安全威胁。
在最好技术防护的同时还需要加强对于计算机网络使用人员的管理,即使是在技术层面最为安全的计算机网络系统仅仅依靠技术防护也是无法应对全部的威胁,做好计算机网络安全管理制度的建设,严控一些非法行为对于计算机网络安全防护的威胁,通过建立起安全管理制度与技术的全方位防护,多方协作共同实现对于计算机网络安全的防护。
结语
现今,计算机网络应用得越来越广泛,其在为人们带来便利的同时,也面临着巨大的安全威胁,做好计算机网络安全威胁的分析与防护对于保证计算机网络用户的信息安全有着十分重要的意义,本文在分析计算机网络所面临的安全威胁的基础上对如何做好计算机网络的安全防护进行了分析阐述。
一、目前企业网络信息安全管理中存在的问题
目前各级供电企业对信息安全日趋重视,但主要侧重于防备外来未授权用户的非访问,并过于注重如防火墙、入侵检测等技术问题,忽略了信息安全中人的管理,造成了几个突出问题:
1、人员安全意识淡薄
由于系统的专业教育与培训不足,许多专业技术人员仍然抱着“防火墙等于安全”的侥幸心理,缺乏“防黑防毒”的意识和内部员工操作失误或恶意攻击的警惕性,对信息安全采取的防护措施非常简单。大多数信息系统使用员工对信息安全知识和技能掌握不够,认为信息安全只是技术部门的事,安全防护意识不强。
2、网络信息机构不健全
有些供电企业没有专门的信息技术运行机构或没有规范的建制和岗位,人员配置又偏少,而且信息系统架构的分散也导致人力资源不集中,信息战线拉得大长,几乎没有时间关注信息安全。由于IT技术发展很快,基层信息技术人员得不到相应的培训,难以对日新月异的IT技术中有关主机、操作系统、数据库、网络、存储、安全等方面作全面的了解和掌握,运行维护能力低下,系统安全监控不到位。
3、网络信息安全管理专业化程度不够
大多数基层供电公司缺乏专门的信息安全监督管理机构,或者没有配备专业的信息安全监督管理人员,或者只设兼职。由于缺乏信息安全管理专业知识和技能,对信息安全特殊性认识不足,难于发挥有效的信息安全监督管理,使信息安全管理工作处于一种似管非管或基本不管的真空状态。
4、管理制度滞后且执行不力
随着国网公司集中集成工作的展开和信息网络基础建设不断加强,原有的信息安全管理制度已相对滞后,而且有些制度不完全适合基层实际,个别条款操作性较差,难于执行,这就造成制度执行不力、有章不循、违规操作,这些都增加了信息安全风险。
二、加强企业网络信息安全管理的几点建议
1、加强全员网络信息安全意识教育
通过普及信息安全知识教育,提高企业员工网络信息安全知识和安全意识,掌握发现、解决某些常见安全问题的能力。信息安全教育的具体内容一般应包括以下内容:(1)信息安全所面临的风险;
(2)企业信息安全方针及目标;
(3)企业安全管理规章制度;
(4)与信息安全有关的其它内容。通过安全教育使所有员工增强整体信息系统的安全防护意识。
2、加强企业员工相应技能培训
为了确保企业员工在日常工作过程中具有保护企业信息安全方面的能力,应当加强对员工计算机安全技能培训,教育员工平时应做到所有操作应符合规定、不得向他人泄露自己的操作口令、不访问陌生的网站、不浏览或打开一些来历不明的邮件及附件、外来光盘、U盘等存储设备须先杀毒后使用、发现问题立即通知技术人员处理等基本的安全技能。
3、健全信息技术部门建设
根据需要合理配置信息技术人员,加强信息技术队伍建设,明确机房管理员、网络管理员、应用系统管理员、数据库管理员、防病毒管理员、运行维护员等岗位配置,重要岗位设置A、B岗,落实岗位职责具体到人。对技术人员应注重技术培训,可以定期或不定期参加各种针对性的技术培训,增强技术储备力度。
4、加强信息安全规章制度建设
建立健全适应企业实际的安全管理制度是信息安全管理的前提。标准化的安全管理,能够克服传统管理中个人的主观意志驱动的管理模式。应在对企业信息安全评估下,根据单位实际情况,遵照上级有关规定,制定出切实可行、全面的安全管理制度。如:保密制度、机房管理制度、网络运行管理制度、应用系统运行管理制度、设备维护工作制度、值班制度、计算机系统使用规范等,管理制度应明确描述所有信息技术人员以及信息系统使用人员的信息安全职责和信息系统日常使用规范,规范信息系统操作流程,减少人为失误。
5、建立安全监督保证体系
成立安全领导小组,由分管领导抓信息安全工作,并设置一个独立于信息技术部门的信息安全管理监督部门作为企业的信息安全日常管理机构,根据信息系统安全需要设定安全事务的职位,负责企业范围内信息安全监督管理工作。各部门应配备计算机技能较强的信息安全专兼职人员,负责所在部门信息安全制度的落实和执行,形成良好的信息安全监督保证体系。
6、加强信息安全考核力度
关键词:网络安全;网络设计原则
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)18-4332-02
随着信息技术的快速发展、现代网络的普及、企业网络化运作,企业门户网站、企业电子商务等在企业经营运作过程中扮演着重要的角色,许多有远见的企业都认识到依托先进的信息技术构建企业自身业务和运营平台将极大地提升企业的竞争力,使企业在残酷的竞争中脱颖而出。然而,企业在具有信息优势的同时,也对企业的网络安全提出了严峻的考验。据报道,现在全世界平均每20秒就会发生一次计算机网络入侵事件。据智能网络安全和数据保护解决方案的领先供应商SonicWALL公司日前了其2011年年中网络威胁情报报告:“报告显示,企业正面临越来越多网络犯罪分子的攻击,这些人企图攻击的主要对象是那些通过移动设备连接访问企业网络以及越来越频繁使用社交媒体的企业员工。基于恶意软件以及社交媒体诈骗的增多,正引发新的以及更严重的来自数据入侵、盗窃和丢失等方面造成的企业业务漏洞。”可见,企业网络安全面临的压力越来越大,认清企业网络安全面临的主要威胁、设计实施合适的网络安全策略,已成为摆在企业面前迫在眉睫的问题。
1企业网络安全面临的主要威胁
由于企业网络由内部网络、外部网络和企业广域网所组成,网络结构复杂,面临的主要威胁有以下几个方面:
1.1网络缺陷
Internet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要的是考虑资源共享基本没有考虑安全问题,缺乏相应的安全监督机制。
1.2病毒侵袭
计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘等诸多手段进行传播,通过网络传播计算机病毒,其传播速度相当快、影响面大,破坏性大大高于单机系统,用户也很难防范,因此它的危害最能引起人们的关注,病毒时时刻刻威胁着整个互联网。
1.3黑客入侵
黑客入侵是指黑客利用企业网络的安全漏洞、木马等,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至破坏数据的活动。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。
1.4数据窃听与拦截
这种方式是直接或间接截取网络上的特定数据包并进行分析来获取所需信息。这使得企业在与第三方网络进行传输时,需要采取有效的措施来防止重要数据被中途截获、窃听。
1.5拒绝服务攻击
拒绝服务攻击即攻击者不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统相应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务,是黑客常用的攻击手段之,其目的是阻碍合法网络用户使用该服务或破坏正常的商务活动。
1.6内部网络威胁
据网络安全界统计数据显示,近80%的网络安全事件是来自企业内部。这样的安全犯罪通常目的比较明确,如对企业机密信息的窃取、数据更改、财务欺骗等,因此内部网络威胁对企业的威胁更为严重。
2企业网络安全设计的主要原则
针对企业网络安全中主要面临的威胁,考虑信息安全的机密性、完整性、可用性、可控性、可审查性等要素,建议在设计企业网络时应遵循以下几个原则:
2.1整体性原则
在设计网络时,要分析网络中的安全隐患并制定整体网络的安全策略,然后根据制定的安全策略设计出合理的网络安全体系结构。要清楚计算机网络中的设备、数据等在整个网络中的作用及其访问使用权限,从系统整体的角度去分析,制定有效可行的方案。网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、灾难恢复等多个安全组件共同组成的,每一个单独的组件只能完成其中部分功能,而不能完成全部功能。
2.2平衡性原则
任何一个网络,不可能达到绝对的安全。这就要求我们对企业的网络需求(包括网络的作用、性能、结构、可靠性、可维护性等)进行分析研究,制定出符合需求、风险、代价相平衡的网络安全体系结构。
2.3扩展性原则
随着信息技术的发展、网络规模的扩大及应用的增加,面临的网络威胁的也会随之增多,网络的脆弱性也会增多,一劳永逸地解决网络中的安全问题也是不可能的,这就要求我们在做网络安全设计时要考虑到系统的可扩展性,包括接入能力的扩展、带宽的扩展、处理能力的扩展等。
2.4多层保护原则
任何的网络安全措施都不会是绝对的安全,都有可能被攻击被破坏。这就要求我们要建立一个多层保护系统,各层保护相互补充、相互协调,组成一个统一的安全防护整体,当一层保护被攻击时,其它层保护仍可保护信息的安全。
图1基于网络安全设计原则的拓扑示意图
防火墙:网络安全的大门,用来鉴别什么样的数据包可以进出企业内部网络,阻断来自外部的威胁,防火墙是不同网络或网络安全域之间信息的唯一出入口,防止外部的非法入侵,能根据网络的安全策略控制访问资源。
VPN:是Internet公共网络在局域网络之间或单点之间安全传递数据的技术,是进行加密的最好办法。一条VPN链路是一条采用加密隧道构成的远程安全链路,远程用户可以通过VNP链路来访问企业内部数据,提高了系统安全性。
访问控制:为不同的用户设置不同的访问权限,为特定的文件或应用设定密码保护,将访问限制在授权用户的范围内,提高数据访问的安全性。
数据备份:是为确保企业数据在发生故障或灾难性事件的情况下不丢失,可以将数据恢复到发生故障、灾难数据备份的那个状态,尽可能的减少损失。
3小结
通过分析企业网络安全面临的主要威胁及主要设计原则,提出了一个简单的企业网络安全设计拓扑示意图,该图从技术手段、可操作性上都易于实现,易于部署,为企业提供了一个解决网络安全问题的方案。
参考文献: