网络安全设施建设篇1
1.1安全防御意识缺失
企业内部人员并没有充分认知到网络安全防护的重要性,安全防护意识存在很大程度的缺失。随着数字化技术的普及,网络办公方式将逐步实现数字化,办公模式网络化将会致使企业内部人员对自动化技术产生高度依赖性。但是企业内部人员并没有对网络安全防护工作给予高度重视,很多企业内部的防御系统都存在陈旧老化的现象,没有对网络防御系统进行及时更新,网络建设没有足够的资金支持,没有针对网络安全构建完善的防护机制;面对网络恶意破坏,企业内部的网络系统并不具备良好的抵抗能力,一旦遭受破坏,将会很难进行维修;企业领导者并没针对网络安全开设相应的管理部门,也没有配备专业人员对网络系统进行信息安全监管。
1.2网络非法入侵
企业网络系统存在较多漏洞,网络黑客将会利用这些漏洞非法入侵企业内部网络系统,继而篡改企业信息资源、下载企业重要资料,致使企业内部商业机密出现损坏、丢失或是泄漏等问题,会对企业的生存与发展造成巨大的不良影响。除此之外,网络黑客还可以利用网络系统漏洞,冒充他人,在网络上进行非法访问、窃取商业机密、泄露传输信息、诈骗、对计算进行病毒破坏以及干扰等行为,对企业的信息化网络工程建设造成非常大的威胁,是企业实现信息化建设的主要障碍性因素。
1.3网络病毒
网络病毒可以通过多种途径对企业网络系统进行感染与侵害,例如,文件打开、软件下载、聊天传输信息以及邮寄电子邮件等。病毒可以通过及时网络进行传播,因此网络病毒的感染范围非常大,感染效率较快,对企业网络系统具有较大的危害性。随着计算机技术的普及,网络技术在各个领域受到了大力推广,为网络病毒的传播提供了主要途径,并在很大程度上提高了网络病毒的感染效率。企业内部人员在使用介质软件或是数据时,都有可能促使企业网络系统感染网络病毒,致使企业网络系统出现崩溃现象,整个网络工程处于瘫痪状态,导致企业网络系统无法发挥自身的服务功能,会给企业造成严重的经济损失。除此之外,网络病毒还可以采取其他手段对企业网络系统进行病毒感染,例如窃取用户名、登录密码等。
1.4忽视内部防护
企业在构建网络化工程时,将对外工程作为系统防护重点,高度重视安全防火墙技术,并没有对内部防护工程的重要性形成正确的认知。安全防火墙只能提高企业网络工程的对外防护质量,对内部防护毫无作用,如果使用企业内的计算机攻击网络工程的局部区域,网络工程的局部区域将会受到严重破坏。现阶段,内部攻击行为也被列为企业网络安全建设的主要障碍性因素之一,因此,企业领导者要高度重视内部防护工程建设,只有这样,才能确保企业网络化工程实现安全建设。根据相关调查资料显示,现阶段,我国企业网络所遭受的安全攻击中,内部网络攻击在中发生事件中占据着非常大的比例,企业内部人员对于网络安全没有形成良好的防范意识、网络结构被无意泄漏、ip地址随意更改、乱用敏感数据等都会对企业网络系统内部防护工程造成巨大威胁。
2企业实现网络安全建设的具体措施
2.1完善网络安全体系
企业内部人员在构建网络化工程前,要深入了解网络信息的安全情况,对网络信息的需求进行准确把握,具体分析企业内部人员的使用情况以及非法攻击情况,继而采取科学合理的措施,开展具有针对性的信息安全管理工作,这样可以为网络安全建设提供基础保障。企业网络化工程安全性受到影响主要体现在两方面,分别是外部入侵、内部使用。内部使用是指企业内部工作人员没有遵照相关规范标准进行网络操作、信息安全防护意识存在缺失等,致使企业内部信息出现泄漏等现象;外部入侵是指网络木马、黑客攻击以及网络病毒等。这两种方式都会对企业网络安全建设造成巨大的不良影响,会致使企业信息丢失,危害企业的生存与发展,因此,企业内部人员应根据企业网络化工程的实际使用情况,构建相应的安全体系,企业领导者还要针对工作人员的行为进行标准规范,避免工作人员在实际网络应用中,出现违规操作行为,提高企业内部人员的安全防护意识,并构建软硬件防护体系,可以有效抵抗外部入侵,从而保障企业网络信息的安全。
2.2构建网络安全系统
现阶段,企业在网络化工程建设过程中,主要采取两种防护方式构建安全系统,分别是软件防护、硬件防护。面对现阶段科学技术发展对网络安全建设提出的要求,企业内部人员在构建网络安全系统时,应该将软件防护与硬件防护进行有效结合,只有这样,才能确保企业网络工程系统实现安全化建设,提高网络信息的安全性,促使网络化工程的服务功能得以全面发挥。随着企业规模的不断扩大,企业内部人员要想全面提升企业的网络化工程的防护能力,还要对网络硬件的使用情况进行深入分析,继而才能对防火墙服务器标准进行选择,这样可以有效提升服务器的可行性。企业内部人员要想构建良好的网络安全系统,首先要对系统硬件设备进行深入调查,确定系统设备类型,准确把握企业内部人员的实际使用需求,继而再对防火墙类型进行选择。
2.3对网络安全设置进行有效强化
首先,企业内部人员要对企业网络系统进行充分了解,准确把握其与互联网之间的接入方式,然后选择适宜的软件设备以及防火墙设备,这样可以促使互联网与企业网络化工程之间实现安全接入,有效提升企业网络工程的防护能力。对于企业原有的防火墙,不应进行拆除,应该在其基础上构建入侵检测系统,这样可以对企业内部网络工程的运行状况进行实时检测,如果有突况,可以进行及时反映,这样不仅可以为企业内部人员的工作提供很大的便捷性,还能为企业网络信息安全建设提供技术保障。为了实现移动办公,企业内部人员可以构建一种加密系统,例如,Vpn加密系统,利用该系统,企业内部人员可以通过互联网对企业内网进行访问,而不必担心出现信息泄露等情况,可以有效提升企业网络安全的防护功效。
3结语
网络安全设施建设篇2
结合医院信息网络系统的建设问题,对其中存在的安全风险进行了分析,并提出了合理有效的建设措施,希望可以促进医院信息化建设的发展。
【关键词】医院信息网络系统安全风险建设措施
随着科学技术的发展和进步,互联网在人们的日常生活和工作中得到了十分广泛的应用,社会逐渐进入了网络信息化时代,医院也开始不断加强信息网络系统的建设。结合了计算机技术和网络通信技术的信息网络系统,可以极大地提高医院的管理水平,同时推动医院向着现代化的方向发展,应该引起医院管理人员的重视。
1医院信息网络系统概述
医院信息网络系统是实现医院信息化和现代化的前提,医院信息化,是指以病人的病例信息共享为核心,可以为病人的就医提供便利,同时方便对医院进行管理,不仅包括了硬件设备的安装,还包括了系统的设计和维护,以及信息的分析管理等。要想充分发挥医院信息网络系统的作用,需要医院全体员工的共同努力。从目前来看,在我国,绝大部分三级医院都已经建立起了医院信息网络系统,并且经过不断的发展和完善,逐渐成为了医院管理活动中的重要组成部分,同时开始向着临床应用和管理决策的方向发展,对于医院整体管理水平的提高有着不容忽视的作用。
2医院信息网络系统建设中的安全风险
从目前来看,在医院信息网络系统的建设中,存在的安全风险主要表现在以下几个方面:
2.1系统漏洞
系统漏洞主要表现在tCp/ip网络协议、计算机操作系统、应用软件等方面。在不断的发展过程中,系统需要进行不断的更新,不可避免地会产生相应的缺陷和漏洞,这些漏洞的存在,给黑客的攻击以及病毒的入侵提供了相应的渠道,容易造成系统信息混乱、数据丢失甚至系统的瘫痪。因此,要对系统进行有效管理,对漏洞进行及时更新和修复,对使用的软件产品的安全性进行检测,同时设置相应的防火墙,配合iDS入侵检测设备,实现对于系统的安全防护。
2.2网络攻击
一方面,如果网络覆盖的服务器遭到攻击,会导致服务器误动,在短时间内大量创建客户端连接,占用系统资源,影响系统功能的正常发挥;另一方面,网络黑客会对通过系统漏洞,或者利用病毒等,侵入系统中,窃取、修改、删除数据库中的信息,从而导致医院信息管理系统的混乱,严重的甚至可能导致整个医院信息网络的瘫痪。针对这种情况,应该在系统中加入internet边界安全控制系统,部署相应的防火墙以及入侵检测系统,对网络进行实时在线监控,降低受到网络攻击的机率。
2.3病毒威胁
网络病毒是威胁网络系统安全的重要因素之一,一般情况下,病毒会潜伏在邮件或者应用程序中,利用系统漏洞,对系统中的文件和信息进行修改、删除,造成数据的混乱或者丢失。对于这个问题,可以建立病毒防火墙,同时在系统中加入杀毒软件,对病毒进行预防和处理,减少其对于系统的危害。
2.4人为失误
在实际操作过程中,由于操作人员的粗心大意,或者对于操作流程不熟悉,同样会对系统的安全造成影响。因此,要加强对于系统操作人员教育和培训,提高其专业能力和责任意识,避免人为失误的发生。
3医院信息网络系统的建设措施
在对医院信息网络系统进行建设时,要在保证系统功能的基础上,采取相应的安全防范措施,确保系统的安全性能。结合实际情况,医院信息网络系统的建设措施主要包括:
3.1安全策略
一般来说,医院信息网络系统采用的都是服务器/客户端(C/S)结构,作为系统的数据中心,服务器会对系统的所有信息进行收集,提供给客户端使用。由于医院信息网络系统的数据不仅包括了病人的病例信息等,还包含有医院的经营管理数据,因此需要确保其可以始终保持正常运行状态,避免数据的丢失,同时在发生断电、系统故障等灾难性事件后,可以及时恢复数据,以保证数据的连续性和完整性。通常情况下,系统的中心服务器可以采用“2+2”模式双机热备份系统,以避免单点故障的影响。然后,应该在主机房之外的地方,建立相应的容灾备份服务器,与中心服务器进行数据同步,这样,即使中心服务器出现故障,也可以保证医院医疗工作的正常进行。
3.2设备安全
在信息网络系统中,网络设备是多种多样的,主要包括交换机、服务器、电源等,这些设备是系统的基础,也是信息网络的物理保障,因此,需要采取有效措施,保证网络设备的安全。一方面,应该将医院信息系统网络与其他网络相互隔离,采用两台模块化交换机,配置双电源、双引擎,并通过双网卡,实现与核心交换机的分别连接,避免因单点故障引起的网络业务中断。另一方面,要根据医院信息化网络系统的特点,对医院的不同系统和工作站进行分类,形成各自独立的模块,可以有效减少病毒在网络系统中的泛滥和传播,避免了医院网络全面瘫痪的风险。
3.3软件安全
首先,要设置相应的网络杀毒软件,对医院信息网络的安全进行保护,对病毒库进行升级,对客户机的杀毒情况进行实时监控,减少病毒对于系统的影响和危害。其次,加入内网安全管理软件,对客户机的实际运行情况进行管理,通过权限管理的方式,全面掌握医院信息网络的运行状况。然后,针对系统机房内可能存在的安全风险,要设置相应的安全防护软件和报警软件,切实做好防火、防水、防静电、防盗等工作,确保系统功能的有效发挥。
4结语
总而言之,医院信息网络系统在医院的正常运行和发展中发挥着十分巨大的作用,一旦出现问题,轻则影响医院的运行,重则导致医院管理系统的瘫痪,造成巨大的经济损失。因此,相关技术人员应该充分重视起来,做好安全风险的防范工作,采取有效的建设措施,确保医院信息网络系统的建设和发展,从而推动医院信息化水平和管理水平的提高。
参考文献
[1]胡.医院信息网络建设中的安全技术体系[J].网络安全技术与应用,2013(10):59-61.
[2]张延荣.浅谈医院信息网络系统的建设与应用[J].现代经济信息,2012(10):234.
[3]刘大愚.医院信息网络体系的建设与安全浅论[J].信息与电脑,2011(09):89-91.
网络安全设施建设篇3
企业计算机网络所面临的威胁
当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。
1网络管理制度不完善
网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。
2网络建设规划不合理
网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。
3网络设施设备的落后
网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。
4网络操作系统自身存在漏洞
操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。
网络安全防护体系的构建策略
如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。
1完善企业计算机网络制度
制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。
2配置有效的防火墙
防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。
3采用有效的病毒检测技术
计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据,并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素,要采用一些有效的病毒检测及反应技术,及时检测到病毒并对其进行删除。
网络安全设施建设篇4
近年来,关键基础设施控制系统的日益标准化、智能化、网络化,伴随而来的是网络攻击快速增多。电力、石化、轨道交通等涉及国计民生的关键基础设施一旦被攻击,很可能造成灾难性后果。关键基础设施信息安全成为悬在各国政府头上的达摩克利斯之剑,采取措施加强其信息安全保障能力势在必行。
安全事件复杂化
关键基础设施(Criticalinfrastructure)是指对国家至关重要的、实体的或虚拟的系统和资产,这些系统和资产一旦遭到破坏或功能丧失,就会危及国防安全、国家经济安全、公众健康或社会稳定。控制系统或工业控制系统(industrialControlSystem)是关键基础设施的大脑和中枢神经,被广泛地使用于水处理、能源、电力、化工、交通运输、金融等行业的关键基础设施中,典型形态包括监控和数据采集系统(SCaDa)、分布式控制系统(DCS)以及可编程逻辑控制器(pLC)等。
随着工业化和信息化的深度融合,网络化管理操作成为关键基础设施发展的趋势。传统的关键基础设施安全往往关注的是人为破坏等情况,与之相比,近期频发的关键基础设施信息安全事件具有以下特点。
攻击来源复杂化。2010年,美国黑客开发建立了“嗅弹”(shodan)搜索引擎,能搜索到包括关键基础设施在内的、几乎所有与网络相连的控制系统,目前已经有过亿的控制系统暴露在互联网上。攻击者能够借助互联网随时随地地对关键基础设施控制系统发起攻击,难以判断和掌握攻击来源。
攻击目的多样化。“震网”病毒导致伊朗近1000多个离心机一度瘫痪,伊朗核计划被显著拖延。近年仍在中东地区肆虐的“火焰”、“Duqu”等病毒,能够自动录音、记录用户密码和键盘敲击规律、窃取敏感信息,并将结果和其他重要文件发送给远程操控病毒的服务器。这充分表明,针对关键基础设施网络攻击的目的呈现出多样化的特点,不仅能够破坏或瘫痪关键基础设施的运行,也能够窃取敏感信息。
攻击过程持续化。针对关键基础设施的网络攻击呈现出持续化的特点,其过程一般从搜集信息开始,搜集范围包括商业秘密、军事秘密、经济情报、科技情报等,这些情报收集工作为后期攻击服务。攻击可能会持续几天、几周、几个月,甚至更长时间。据专家的判断,2011年伊朗导弹爆炸事件,是因为导弹电脑控制系统遭“震网”病毒感染所致,而该事件距“震网”病毒爆发已一年以上,足见此攻击的持续性。
形势严峻
当前,关键基础设施面临的网络威胁日趋严峻,直接威胁各国经济发展、国家安全和社会稳定,成为各国必须直面的最严重的国家安全挑战之一。
据统计,目前美国大约有7200个可以直接通过互联网进行操作的关键基础设施控制设备。根据美国工业控制系统网络应急小组(iCS-CeRt)的最新报告显示,在2009年到2012年间,美国关键基础设施公司报告的网络安全事件数量急剧增加。2009年,iCS-CeRt仅确定了9起安全事件报告。2010年,这个数字上升到41起。2011年和2012年,均确定了198起安全事件报告。急剧上升的网络攻击,严重威胁着关键基础设施的正常运转。
以往的网络攻击,攻击者多数是个人或黑客团体,但近年来国家政府开始加入进来。据《纽约时报》披露,美国总统奥巴马从上任的第一个月开始,就密令加快对伊朗主要铀浓缩设施进行代号为“奥运会”的网络攻击。2010年给伊朗核电站造成破坏的“震网”病毒,经证实是由美国和以色列联合研发的,目的在于阻止伊朗发展核武器。据专家研判,目前仍在对关键基础设施进行持续网络攻击的“火焰”、“Duqu”等病毒,与“震网”病毒一脉相承,其背后也有国家政府的影子。
近年来国家支持的网络攻击活动频繁,引起了各国对网络战争的担忧,尤其是“火焰”等病毒威力强大,足以用来攻击任何一个国家,更使人相信未来针对一个国家发动网络攻击,以瘫痪该国的关键基础设施,并非绝无可能。针对关键基础设施的网络攻击将可能给被攻击国家和社会造成灾难性的危害,为防御他国可能的上述攻击,美国等一些国家在积极开展网络武器研发,组建网络部队,并且通过立法方式授权军队在遭受网络攻击时使用武力进行反击。
提升防护能力多方着手
关键基础设施信息安全事关国家安全,为有效应对网络攻击的新变化,提升我国关键基础设施安全防护能力,应从以下几方面着手:
抓紧建立关键基础设施信息安全法律体系。我国虽已建立重要信息系统等级保护制度,但还缺乏体系化的关键基础设施信息安全立法。建议充分借鉴国外关键基础设施网络安全保护相关法律,分析我国现有立法的不足和主要问题,抓紧建立我国关键基础设施信息安全法律体系,从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者和所有者的运营资质要求。
尽快建立关键基础设施风险信息共享机制。关键基础设施网络安全涉及部门多,影响范围广,共享网络威胁信息有助于更好地应对网络攻击。建议借鉴美国、欧盟等的先进经验,充分了解关键基础设施设备提供商、运营单位、政府部门、信息安全承包商、专家队伍、公众等各方对信息共享的需求,尽快建立有效的关键基础设施风险信息共享机制,明确信息共享的条件,确定信息共享步骤,建立信息共享公共服务平台。
抓紧制定关键基础设施网络安全风险分级规范。关键基础设施数量众多,其重要性和潜在的破坏力也不尽相同,有必要划分关键基础设施信息安全风险等级并对其进行分级管理。建议抓紧制定关键基础设施网络安全风险分级规范,根据关键基础设施的重要性、不可替代性、一旦出现问题之后的影响范围,以及网络攻击的可能性等因素,提出界定关键基础设施信息安全风险等级的量化标准,分级别制定管理要求。
网络安全设施建设篇5
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SmiS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2是船舶计算机网络拓扑结构图。其中,局域网服务器采用HpCompaQDX7400(pentiUmDUaLe2160/1.8GHZ/DDR2512m/80G);网关采用inDUStRiaLCompUteR610(p42.8GHZ/DDR333512m/80G);交换机采用D-LinKDeS-1024D快速以太网交换机(10/100m自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amoSmaiL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。转贴于
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义iSmS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pDCa的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
网络安全设施建设篇6
关键词:全球化;网络安全;新思维;镜鉴;下一步
中图分类号:tp309文献标识码:a文章编号:1673-1069(2016)15-151-2
1概述
现如今以网络技术和信息技术为依托的各种智能化、自动化系统逐步深入发展,网络安全作为我国国家安全体系中重要的组成部分变得日益重要。现阶段,网络安全已成为全球化性问题,世界各国都将其上升到国家战略层面,并且深刻认识、科学合理的规划与管理。世界各国都从各自国家的战略利益出发,运用网络安全新思维、新技术加强了网络安全建设。我国也应在中央网络安全和信息化领导小组的总体架构下深刻认识、理解网络安全的最新国际发展趋势,深化体制机制建设,构建具有中国特色的网络安全战略框架。本文首先分析了英国网络安全和信息化领导机制建设的相关经验,之后提出了强化我国网络安全的必要途径,旨在为提高我国网络安全水平提供一些建议和思路。
1.1国家网络安全战略
近年来,英国不断制定国家层面的信息安全战略规划,连续了两份国家网络安全战略,分别是09年的《英国网络安全战略》报告与11年的《英国网络安全战略:在数字世界里保护英国并促进国家发展》。英国的网络安全战略将网络安全作为新的经济增长点,关注于维护本国网络安全、加强本国网络安全产业竞争力、创造新的商业机遇,从而促进经济增长和经济繁荣。它坚持技术为本,立足于网络安全技术的发展和更新;强调政府间的跨部门协作和国际合作;注重发动社会的力量,鼓励全民参与;坚持积极防御和主动出击相结合。
1.2网络安全管理机构的设置
网络安全管理体制是贯彻执行网络安全战略的基础保障,英国政府也在这方面进行了不断的调整,并将其演化为实现英国国家战略目标的崭新武器。英国政府并未设置全国统一的机构来维护网络安全,而是加强统筹协作,明确各部门、各岗位的职责分工与权限。在互联网管理上,英国还运用了本国固有的自由主义,其轻政府管制、重社会自治。因此,在维护网络安全方面,应将设置的政府职能部门与自律组织、独立的规制机构有效结合,共同管理本国的网络安全,实现最佳的管理目标。
1.3立法保障和行业自律
一直以来,英国出台了很多互联网及相关领域的立法,并且也在不断完善和发展网络自治自律机制,立法保障和行业自律是英国实施网络管理的两种主要手段,并辅之以政府指导。最初互联网立法的重点是保护关键性信息基础设施,随着互联网的不断发展,逐渐开始强调网络信息的安全,加强对网络犯罪的打击。同时,行业自律机制在控制和监管网络非法信息方面发挥着重要的作用。英国的网络监管拥有比较完善的法律框架以及完善的法律法规基础,这为保障英国的网络信息安全以及权益提供了必要的支撑。
2英国网络安全战略经验对我国网络安全和信息化的启示及建议
2.1构建符合我国国情的网络安全战略
现如今,我国建立了网络安全和信息化领导小组,但其重要地位和价值没有得到充分的体现,尤其是网络安全战略思维的重要性。因此,必须结合我国现阶段的具体国情、国家治理体系、现代化的治理能力以及现代化的军事理论等关键环节,全面、系统、有侧重点的构建具有中国特色的网络安全战略。首先要将相关的关键概念发展起来,在此条件下明确我国网络安全战略框架的构成要素、各要素的地位与作用以及相关关系,确立网络安全战略框架的具体任务和项目。
2.2不断完善相应的法律法规体系
现在我国的信息立法存在滞后性,不符合信息化建设的需求,极大的限制了我国社会经济的发展与稳定。网络管理必须有强大的法律法规体系做后盾,提升网络安全管理水平。因此我国应重视信息立法建设,不断完善相应的法律法规体系,可以借鉴国外较为成功的信息立法经验,强化前瞻性信息立法,满足网络安全维护与我国信息化发展的需求,加大依法管理网络的力度。
2.3重构互联网管理领导体制
当前我国建立的网络安全和信息化领导小组,虽然统筹协调了网络安全与信息化建设,但其下设机构的合理布局仍有待研究。“领导小组”机制主要是发挥统筹协调各职能部门的作用,“领导小组”办公室也就是网信办是其日常办事机构,作为辅助领导小组制定并统筹实施国家网络安全与信息化战略机构应保持独立性,处理好同网络安全与信息化的具体业务领域的监管部门的关系,例如,负责实施“两化融合”战略的工业和信息化部等,并且与国务院互联网信息管理办公室分离。另外,还要赋予网信办规划落实信息化战略、规划管理国家网络建设、系统开发关键技术、系统采购核心设备的宏观指导以及国家网络安全评估与审查等职能,真正发挥“领导小组”统筹协调的价值和作用。
2.4协调组织政府各方资源
网络安全和信息化建设涉及领域和内容都较为广泛,是一项复杂、庞大的任务,因此必须协调全国各个机构及全民的参与,共同维护国家的网络安全。在此过程中“领导小组”要充分发挥其集中统一领导作用,针对各领域的网络安全和信息化建设存在的重大问题,统筹协调解决。另外,还要加强互联网国际交流与合作,积极参与国际交流,扩大信息基础设施发展和研发信息技术与设备方面的国际合作,积极参与信息安全国际标准的制定,切实提供我国的网络安全水平。
2.5积极推进信息基础设施的建设与维护 各国网络安全战略的高效实施都离不开信息基础设施的建设与维护,因此,我国应高度重视关键信息基础设施的建设与维护工作,并将其上升到国家战略高度,在此基础上制定和实施网络政策。首先要准确掌握和了解现阶段我国信息化发展和网络安全维护的实际情况,尤其是要深化对关键信息基础设施、党政军重要业务系统的统计调查,加快建立国家网络安全评估与审查机制。
2.6创新研发关键技术与设备
过分依赖国外的技术支持,会导致本国的信息化建设和网络安全维护失去本质上的意义,因此我国应增强自主创新能力,研发关键技术与设备,为维护网络安全和信息化建设提供保障。国家政府要大力支持国内信息安全技术和产品的研发工作,创造有利条件促进国内市场的发展。另外,还可以借助高等院校中计算机和数学基础,鼓励自主创新,制定信息领域的核心技术设备发展战略,促进我国it产业和网络安全产业的可持续发展。
2.7强化高素质网络安全和信息化人才队伍的建设
除了注重建设合理、完善的管理体制以及自主创新研发技术与设备之外,人才队伍的建设也是推进网络安全维护和信息化建设的关键点,我国应利用高校及相关的科研单位与组织,加大这方面人才的培养力度,同时制定科学合理的人才培训机制,为保障国家网络信息安全提供有力的智力支撑。
3结语
综上所述,英国实施的网络安全战略对我国构建网络安全和信息化建设的新型领导体制具有重要的参考价值,我国应结合我国的国情,积极借鉴其成功经验,构建符合我国国情的网络安全战略,正确指导我国网络管理;不断完善相应的法律法规体系,为保障网络安全提供法律保障;重构互联网管理领导体制,协调组织政府各方资源,积极推进信息基础设施的建设与维护,创新研发关键技术与设备,强化高素质网络安全和信息化人才队伍的建设,稳步推进我国网络安全维护与信息化建设。
参考文献
[1]任琳.全球公域:不均衡全球化世界中的治理与权力[J].国际安全研究,2014(6):114-128.
网络安全设施建设篇7
信息安全是一项社会系统的工程,主要包含有三个层面,分别是法律、技术以及管理。除此之外,文化和观念层面也被涉及其中。例如,一些关于信息技术的准则主要是建立在文化层面的,通过这些行为准则,规范网络空间的道德行为。信息建设的安全组织,主要包括安全组织体系的建设、规定组织的主要管理体系,如主要的管理领导、部门主管、技术主管、宣传主管以及保卫主管。在这些基础上,制定安全信息管理的保障方案,实施信息安全的服务、监管以及宣传教育。目前我国的很多高校的网络中心都设置有网络安全管理的技术部门,同时技术部门还兼有安全管理和维护的功能,但是在实际的操作中,对于网络安全的监控并没有很好的实际的进行解决,只是在网络被攻破之后采取补救措施,因此,一旦网络安全出问题,就有很多不能解决的问题被遗留,给整个网络的信息安全造成了威胁。由此可知,为了完善高校的信息建设,高校需要进行专门的安全组织机构的建设,这种机构主要是由学校的领导人员负责,并且由网络的技术人员和管理人员实施,网络中心的主要负责人进行具体的指挥,并且各个部门进行协调,真正的发挥这些机构的管理功能和作用。进行具体的网络安全的政策的实施监控和指导。
2加强高校师生信息安全的思想认识
高校的信息安全建设需要从学生和教师的进行加强,需要对学生和教师的信息安全意识进行教育。网络中心应当充分发挥作用,协调和配合教务处和保卫处,维护校园网络的安全。可以在学校积极的开展一些活动,宣讲有关网络安全的知识,同时邀请一些信息安全方面的专家与学生和教师进行安全知识的互动。从而达到增强学生和教师的网络安全的意识,强化校园网络的安全,为信息安全的实际建设,奠定一定的基础,从而实现网络信息安全的维护。
3确保信息安全技术的有效性
网络信息安全维护的重要的保证就是网络信息安全建设的技术。从网络安全建设的技术层面来说,相关的工作人员应当培养自身的技术,对校园的网络进行定时的升级、漏洞处理、病毒处理。对于校园网络中的一些常用的网站,例如校园的BBS、相关论坛等等,需要加强信息安全的巡视频率,及时的控制随时出现的相关漏洞。从信息安全建设的技术层面来说,设计的网络安全问题,包括应用软件系统、数据库平台和操作系统的安全以及网络通信系统的安全与保密。通过这三个方面,对网络信息系统的技术进行升级和保护,促进整个网络信息建设的安全。
4定期进行信息安全审核和评估
网络安全设施建设篇8
关键词:安全生产;网络建设;安全管理
有线电视自二十世纪建设以来,已由广播式传播演变为互动式传播,传播方式的变革,使的有线电视网成为集广播电视、文化娱乐、科学教育、资讯信息、政务公开、商务服务于一体的现代服务业重要支撑平台。《广播电视安全播出管理规定》(国家广播电影电视总局令第62号)进一步明确了有线广播电视网络是国家重要信息基础设施建设战略性资源平台。目前,中国电信、中国移动等运营商网络建设的安全管理、安全监督已经日趋完善,由于有线电视网络的发展经历了组织架构的不断变更等因素,导致了有线电视网络建设受重视度不够,加之有线电视的安全播出、安全传输、安全生产非常重要,有线电视网络建设的安全生产尤为迫切。
1有线电视网络建设的现状
安全播出、安全传输、安全生产是有线电视的生命线。随着有线电视的发展,网络工程的建设步伐日益加快,工程数量逐年攀升,在施工过程中出现的各种各样的问题随之凸显出来,管理体制和管理办法的落后、缺失,施工人员对施工安全的忽视,施工人员的整体素质偏低等,都成为影响施工安全、施工质量的重要因素。管理制度的制订、执行、施工人员对安全意识的敬畏是提高施工质量和保障施工安全的必然要求。我国于2000年和2003年分别了《建设工程质量管理条例》《建设工程安全生产管理条例》,2000年以来,国家广播电视总局也先后了《广播电视安全播出管理规定》《广播电视管理条例》《广播电视设施保护条例》等一系列法律法规。这些法律法规为有线电视安全生产提供了制度和依据,厘清了责任和义务。
2网络建设安全生产的工作内容
2.1施工准备阶段安全生产管理
2.1.1施工单位编制安全管理实施细则。施工单位编制安全管理实施细则应贯彻“安全第一,预防为主”的方针,主要有人、机、管理三个方面。人是安全生产的第一要素,编制细则时需从人的心理、生理和能力等方面来考虑,以避免人为将不安全因素带入施工现场;机即生产所需的交通工具、施工机具,确保生产机具不带病工作;管理即建立管理制度,通过制度来约束人得行为、避免将不安全因素带到施工现场[1]。安全实施细则内还需包含安全生产应急预案,预案内需包含紧急救援组织、程序、措施、责任和协调等方面的方案和计划,提前制定的处理方案是对潜在的风险发生后的行动指南。2.1.2建设单位审查施工单位安全生产建立情况。施工单位安全生产管理体系包括证书和制度执行两个方面。首先应审查施工单位的资质证书、安全生产许可证是否合格有效;安全员人数配置是否符合规定、安全员资格证是否合格;特种行业操作证(电工证、登高证、焊工证等)是否合法有效;施工人员的保险是否齐全;新员工上岗前的三级(单位、施工队、班组)安全教育是否完成,是否考核合格。其次,需要检查施工单位的安全生产规章制度、安全管理机构的执行情况、施工单位安全管理台账,检查方式包括定期检查、不定期抽查、季节性检查、重点节假日前后的检查。
2.2实施阶段安全生产管理的工作内容
2.2.1资料技术交底。由公司项目经理向施工单位项目技术负责人交底,交底内容包括施工图纸解说、施工范围、施工方案、工作量、施工进度、操作工艺、技术指标、检查验收要求、与其他单位及工种之间的配合与矛盾等方面外,重点需要交底工程的安全重点防范点、保证质量安全的措施、施工注意事项等。2.2.2重点工程的安全生产专项检查。对于危险工程、重点工程,需要有针对性地实施安全生产专项检查,安全生产专项检查是对重点工程施工中某项问题进行专业重点检查。危险性较大工程专项施工方案的主要内容应包括工程概况、编制依据、施工计划、施工工艺技术、施工安全保护措施、施工管理及作业人员配备和分工以及验收条件及相关施工图纸。特殊危险工程、重点工程施工包含中心机房、分前端机房等重点部位的施工工程、跨公路、铁路、高速公路等工程、高度超过6m的跨杆路施工工程、管道开挖施工工程、与电力、煤气、等管线交叉施工工程,高低温季节、雨雪季节露天作业工程、播出重要保障期的施工工程等。2.2.3现场安全生产管理的检查要点。开工前应审查危险性较大工程清单,施工过程中应定期巡视检查施工单位对工程的作业和监管情况。监督施工单位是否按照施工组织设计中的安全技术措施和专项施工方案组织施工,检查重点包括“六查”“三违”和安全责任制的落实,六查即查思想、查管理、查隐患、查整改、查伤亡事故处理;“三违”即违章作业、违章指挥、违反劳动纪律。[2]检查后应填写有线电视网络工程建设施工管理月表,内容包括检查的内容、检查结果、原因分析、整改和预防措施等(如表1)。
2.3网络工程建设竣工验收阶段安全生产管理
①工程竣工完成后应制定专人负责安全管理资料整理;②安全管理资料应及时收集、分类有序、真实完整、妥善保管;③工程竣工后,施工单位应编写施工安全工作总结并与工程竣工资料一起按规定立卷存档;④建设单位应将安全管理工作中的有关文件资料按规定立卷存档;⑤安全管理资料档案的验收、移交等按公司有关规定执行。
3网络建设安全生产管理的工作方法和程序
3.1网络建设安全生产管理的工作方法
1)提高施工管理人员和施工人员的安全意识,避免施工中的危险行为;2)加强安全生产技术的教育和培训,提高施工人员安全技能;3)强化“安全第一预防为主”的理念,发现安全隐患与事故苗头及时跟踪整改,避免事故发生;4)注重安全生产管理方法,正确处理安全与效益、安全与进度的关系,突出安全生产的基础地位;5)坚持“六查”原则,层层落实责任人,做好自查、互查工作;6)坚持按照安全管理工作流程施工[2](如图1)。
3.2网络建设安全生产管理的管理手段
1)及时审核施工单位报审的涉及安全的资料文件,并提出修改意见,不符合规范的应要求施工单位完善后再次报审。2)巡检。在巡检过程中发现的安全隐患,现场召开“工地安全会议”,签发《工程联系单》《安全通知单》《工程暂停令》《安全报告》等。3)经济手段。施工安全与经济效益挂钩,建立安全奖罚制度,对违章行为进行处罚,对遵守安全行为给予奖励。
3.3网络建设安全生产管理的安全与隐患的处理
严格按照“四不放过”的原则(即事故原因不查明不放过、事故责任人未处理不放过、群众未受教育不放过、纠正预防措施为落实不放过)防止类似事故再次发生。安全生产事态较为严重或事故有扩大的可能,应及时下发工程暂停令暂停施工,保护现场,处理方法如表2。[3]
网络安全设施建设篇9
论文关键词:金融信息系统;灾备中心;网络;生产中心;安全
0、引言
随着我国金融体制改革的不断深入和金融业的快速发展以及全球经济一体化进程的加快.我国商业银行逐步完成数据集中与新一代综合业务系统的推广.业务自动化处理程度与管理水平进一步提高。从长远发展以及确保其安全、连续、稳定运行等方面考虑.建设金融信息系统灾备中心以保证数据安全和业务连续性是非常必要的.有利于各银行增强抵御金融风险能力、提高金融服务水平、增强国际竞争力。而建设先进、可靠、稳定的网络是业务系统运行的基础,也是为系统提供必要的安全保障。
本文从工程建设的角度.并结合在金融信息系统灾备中心网络运行维护的实际经验,对数据集中程度高、分支机构多的金融单位灾难备份中心网络建设提出了一套切实可行的技术方案。
1、建设目标
金融信息系统灾备中心网络建设目标是构建能够适应金融业务和应用发展要求的高可靠、高性能、可灵活扩展、安全可控的网络公用基础设施。灾备中心网络的服务模型如图1所示。
灾备中心网络建成后。作为系统的备用网络节点,可为业务系统在以灾备中心为辅的运行提供通信服务.同时还应具备与生产中心、灾备中心共同为业务系统的连续性提供保障的能力。
灾备中心网络结构能够满足接替生产中心运行的网络需要.且具备灾难备份保障功能.建设生产中心和灾备中心之间互连的高速数据通道,可用于备份数据的传输,辅以网络切换功能,保障业务运行的连续性.提高整个系统的可用性。
构建面向应用和系统的服务网络.为金融信息系统中的各应用系统提供统一的基础网络服务平台。
根据业务类型、功能要求、安全等级等因素。进行安全域、功能化、层次化和模块化分区,从而构建出满足业务系统要求、且具有一定先进性的数据中心。
构建完善的灾备中心网络安全体系:利用主动防御与被动防范相结合的安全技术。形成从网络边界、内部网络到系统的多层面的整体纵深防御体系,具备信息加密、入侵检测与防范、病毒防护、访问控制、身份认证和安全审计等功能。
部署统一集中的网络管理中心和安全管理中心.能对整个金融信息系统网络和安全状况进行统一的管理和监控。
2、设计原则
(1)高可用性
统一的、标准化的网络架构;结构化、模块化的设计方式:通过高可靠的网络部署(包括链路和设备的冗余,尽量避免单点故障)以提高网络的可用性;采取功能、对象、风险、控制的层次性划分,降低网络故障的影响区域,提高整体网络可用性;选用成熟稳定的网络设备和网络技术。
(2)高安全性
灾备中心系统结构设计必须根据不同应用系统特点和业务数据敏感度实施不同的安全防护措施.确保数据中心各类业务系统的信息安全。
遵循中国人民银行安全规范:制定和实施贯穿整个灾备中心网络的统一安全策略:具备对灾备中心内的服务器、存储设备和用户提供相应的安全防护和控制的能力:网络基础设施自身具备安全防护能力。
(3)高灵活性、高可扩展性
近年来。我国金融信息系统的建设呈现出”数量越来越多、规模越来越大、系统结构越来越复杂、数据安全性要求越来越高、运行责任越来越重大”的特点。因此。灾备中心网络的总体结构设计要具有灵活的扩展性.既要满足今后新系统上线运行的要求。也要满足每个业务系统处理能力的扩展性的要求。
具备网络容量的扩展能力。能满足服务器数量、用户数量和数据流量的增长需求;具备适应上层应用模式变化的能力,既满足现有的应用模式.又能满足多层次的应用模式对网络服务和网络结构的要求;能适应安全策略的变化,可灵活划分安全等级,部署安全措施;符合世界技术发展趋势,能向未来可能采用的技术架构平稳过渡。
(4)便于运行维护和管理
强大的网络管理平台;提供带外管理网络支持,特别为紧急情况下提供增强的管理渠道;相对统一的设备类型和型号;充足完备的网络分析工具;充分考虑灾备中心运维管理流程的需要。
(5)先进性
采用先进的高性能网络产品和相关技术.以满足灾备中心未来5年业务快速发展的需求。
3、解决方案
(1)网络体系结构
根据灾备中心不同的服务功能.灾备中心网络在功能上分为核心交换区、生产区、管理区、mis服务区、内联接人区、外联接人区、开发,测试区和internet接人区等区域。灾备中心网络体系结构如图2所示。
(2)灾备中心网络逻辑结构
灾备中心网络的逻辑层次有三层:核心层、分布层和接入层。核心层的主要功能是负责各个分布层数据的高速转发:分布层的主要功能是为接人层提供网络服务:接入层的功能是向最终用户和设备提供接入。分布层和接入层可以根据应用、管理功能和安全要求划分为若干模块。
各个层次的功能是:
核心层是灾备中心内部高速的三层交换骨干.该层不进行终端系统的连接.不实施影响高速交换性能的安全访问控制策略。
分布层作为接入层和核心层的分界层.该层完成的功能包括:区内vlan问的路由;区内i王’地址或路由区域的汇聚:实施安全访问控制策略。
接人层提供layer2的网络接入.通过vlan定义实现接入的隔离。该层具有的主要特点是:根据实际使用情况规划接入端口容量。并具有一定的扩展性;不同功能分区的接人层相对独立;不同类型的接人层应各自分开,连接到对应功能区的分布层:为实施qos。对数据包进行分类和标记。
各层之间的连接:
上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。
在相邻层次之间.同样需要采用冗余的连接(物理连接或协议)来保障各层次结构之间的稳定可靠。
网络扩展时.核心层和分布层的架构保持不变,接入层可以随接人需要扩展。
物理实现时.分布层和接人层设备可以合并。
(3)灾备中心信息安全体系设计
灾备中心信息安全体系的建设目标是以信息安全标准为依据.建立一套具有统一安全策略、纵深防御能力、监控和审计功能的信息系统平台.具有可持续建设能力的业务系统支撑平台和具有高效率的网络通讯平台。信息安全体系的建设在确保网络通讯畅通的同时最大限度地保护核心业务系统的安全。通过技术、人员、管理等方面的综合建设、保障最终使灾备中心的信息系统达到保密性、完整性、可用性、可控性、抗抵赖性的要求。灾备中心网络的信息安全体系结构如图4所示。
为达到信息安全建设的总体目标.灾备中心信息安全体系分为七个方面:信息系统安全技术和安全服务;基于安全域的纵深防御体系;安全管理体系;安全法规;信息安全技术保障;信息安全策略和审计:信息系统基础设施。七个方面的内容可划分为”四个层面。两个支撑。一个确保”。
第一个层面为信息安全技术和安全服务。在这个层面上描述灾备中心信息安全建设中采用的安全技术手段和实现方法.以及这些技术提供了鉴别、加密、访问控制、完整性、抗抵赖等信息安全服务。从技术实现的角度落实信息安全要求。确保灾备中心信息安全。
第二个层面为基于安全域的纵深防御体系。在这个层面上主要从系统设计的层次描述了贯彻信息安全要求的设计、规划理念.从网络边界安全到内部局域网网络安全以及计算机系统的安全综合考虑。统筹规划。在网络和计算机等相关系统的设计过程中充分考虑信息安全的总体要求。
第三个层面为安全管理。在这个层面上要认真树立信息安全理论中”三分技术。七分管理”科学管理理念,建立符合灾备中心实际的协调、高效、可行的管理制度。把人员管理放在首位。加强以人员教育为主要手段的社会工程学管理。巩固信息安全。同时制定风险管理、安全评估、应急响应和灾难恢复等相关制度。
第四个层面为安全法规和制度。在这个层面上要以国家的有关信息安全的法律、法规、标准为依据.指导灾备中心的信息安全建设.同时落实中国人民银行关于信息安全建设的相关要求。在这个层面还体现了各级领导、信息安全管理部门在信息安全建设中的主导地位和重要作用。信息安全建设要依靠标准、法规、制度,政策,依靠领导关心、指导、协调,依靠所有部门齐心协力、齐抓共管.依靠全体员工同心同德。群策群力才能确保成效。
以上四个层面由低到高描述了信息安全建设的基本思路。
除了四个层面的内容外.信息安全保障、信息安全策略和审计起到支撑作用,保障信息系统建设和稳定运行。信息安全保障主要从技术、人员、工程、管理的角度建立有效的信息安全保障技术和保障制度。依靠准则和标准建设灾备中心的信息系统工程:依靠人员借助技术手段对灾备中心庞大、复杂的信息系统进行操作、运行和维护。为灾备中心的信息安全系统以及各个业务系统提供强有力的技术支持:依靠制度和技术手段对信息安全事件进行有效地发现、分析和处理。信息安全策略和审计主要起到统一规划。加强审计、监督的作用。利用审计手段明确责任,定位责任.巩固信息安全建设。在信息安全的建设和规划中落实”职责分离.最小授权”的信息安全原则。
最终.确保灾备中心整个信息系统的安全、稳定、高效的运行。实现信息安全建设的目标。
4可行性分析
方案分析主要包括网络可靠性分析、网络安全性分析和网络扩展性分析等方面
(1)网络可靠性分析
灾备中心网络的可靠性应能满足业务稳定运行的要求.具体分析如下:
线路的可靠性
灾备中心网络的线路主要包括:灾备中心网络内部连接;灾备中心网络的内联和外联接口等。其中:灾备中心网络由局域网交换机构成.基本上功能相似的一个或一组交换机均与骨干交换机保持2个连接.避免线路的单点故障。内联区提供的广域网接口.针对每个分支行提供2条不同电信运营商的电路.外联接口同样为外联机构提供2条不同电信运营商提供的电路。如采用光纤接入方式的atm电路,每条atm电路的可用率为99.9%.因此总体广域网线路的可用率大于99.96%。
网络设备的可靠性
灾备中心网络设备采用中高档设备.关键设备不仅配置冗余电源,还配有冗余的处理模块、冗余的总线等。设备自身具有很高的可靠性。同时,对生产区等关键区域,还采取l:1热备份,进一步提高了整个网络的可靠性.应完全能够满足业务系统对可靠性的要求。
(2)网络安全性分析
为保障灾备中心业务系统的安全.采取了多种网络安全措施。部署了多种网络安全产品。采取了相应的网络安全管理技术手段。主要有:在外联区采用防火墙进行安全隔离.对进出灾备中心的访问进行控制。内部各区域之问也部署防火墙.对内部区域问的数据流向和访问进行较有效的控制:每个区域均部署ids、漏洞扫描系统,作为主动防御的技术措施,对系统漏洞、数据和访问进行监控:敏感数据采取加密措施.可防止泄密的产生;建立统一的防病毒系统,尽可能将病毒维护减少到可接受的水平;部署认证系统。对用户权限进行必要的管理:建设网络安全监控和安全分析系统.综合监控和分析各种安全设备产生的日志等信息。可比较全面地对网络安全进行管理;集中的审计系统,以从网络、系统和安全等三个层面。对操作行为进行跟踪和记录。减少违规行为产生的危害。这些安全措施。可建立主动和被动相结合的纵深防御体系.对业务系统的安全运行起到积极的保障作用。
(3)网络扩展性分析
网络扩展性主要体现在:
通信容量的扩展
按照方案的配置。连接各分支行和外联机构的接口。可满足每个分支行及外联机构以2条atm电路接入的要求.平均每条atm电路的速率不低于2mbps,在业务量增加后,如总计业务量不超过155mbps,可逐步扩容pvc带宽满足业务需求。如总计业务量超过155mbps,可根据需要。增加atm接口的数量。
支持业务系统的扩展
灾备中心网络采用了以安全域进行分区、在分区内按系统类型进一步划分子区的设计思想。新的业务系统按其安全等级可部署在相应的安全域(区)内,系统(如前置、服务器等)在连接到子区内.基本上不需要改变数据中心网络的结构。因此在这种思想下设计的数据中心具有较强的业务扩展能力。
5、结束语
网络安全设施建设篇10
关键词:学校网络安全;存在问题;解决措施
中图分类号:G63文献标识码:a文章编号:1673-9132(2016)18-0168-29
Doi:10.16657/ki.issn1673-9132.2016.18.083
校园网络是学校的基础性设施,是提供综合服务的宽带多媒体网络。校园网络是辅助教师上课的工具,是学生查阅资料的途径,是校内进行管理的方式,同样也是与校外交流的渠道。因此,校园网络应该建设提供学校教师教学、科研、管理的信息化教学环境。
一、校园网络安全存在的问题
校园网络方便、快捷,但是网络系统规模大,管理系统复杂。随着校园网络的普遍使用,校园网络安全问题也频频出现,受到广泛的关注。目前,校园网络安全存在以下几个问题:
(一)网路硬件设备损坏
校园网络系统覆盖着整个校园,需要大量的网络硬件设备支撑,这些设备可能会因为环境不好、摆放位置不恰当、日常维护不到位等因素而受到损坏。硬件设备的损坏可能影响到整个校园网络系统,甚至造成校园网络部分或者整个网络的瘫痪。
(二)计算机系统存在漏洞
随着科技技术的飞速发展,操作系统逐渐复杂化,计算机的运用不免会存在系统上的漏洞问题。黑客可能趁机而入,窃取信息,远程操控,损害计算机用户的合法权益。系统上存在漏洞,可能会造成文件,信息的丢失,甚至影响到整个网络的运营,造成网络的瘫痪。
(三)病毒的侵害
计算机病毒是指能自我复制影响计算机正常运行和使用的指令或程序代码,恶意代码。计算机病毒激发后,会破坏计算机数据,数据信息可能会被格式化、改写、删除、破坏设置等。病毒的产生,易于不法分子窃取网络内用户的隐私信息,盗用用户财产,甚至利用被病毒控制的计算机进行违法行为。
(四)不良信息的传播
互联网的广泛使用推动着信息的飞速传递,随着社会信息化进程的加快,信息网络全球化的普及,网络信息安全问题日益突出,网络不良信息传递的问题备受关注,校园网络存在着不良信息传播的危害。不良信息的传播会侵袭对青少年人生观、价值观、道德观。
(五)网络安全管理制度不完善
随着校园内计算机应用的普遍应用,校园网内的计算机日益增多,但是校园网络安全防范意识较差,学校关于校园网络规章制度不完善,没有具体的责任划分,都为校园网络安全带来隐患。
(六)网络外部的侵害
校园网络都具备信息的公开性,一些人为利用网络协议,操作系统的安全漏洞,甚至是管理上的疏忽,非法访问网络资源、删改数据、破坏系统,以达到自己非法行为的目的,这种人为的恶意攻击,网络外部的侵害,给校园信息安全带来很大的损害。
二、维护校园网络安全的措施
(一)完善校园网络制度
校园网络制度的建立,必须遵守国家有关法律、法规。建立健全完善的制度、规定,是校园网络安全的必备前提。学校应当设置相应的制度,责任到人,营造安全的网络环境。
(二)网络硬件的维护
网络硬件日常的维护是每位师生都要注意、呵护的。每位师生都要遵守学校的网络安全管理制度,爱护公共网络硬件设施、设备,正确使用网络设备,保证网络设施、设备的正常运行。机房要装置相应的设备以确保温度、湿度、防雷、防火、防盗等,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案,落实好各项设备资料的记录、分类和妥善保存工作。
(三)预防病毒的侵害
学校要合理的对校园网络系统进行安全配置,采取有效措施防范网络安全,学校需要设置专人,对网络系统定期进行维护、完善。对不同的情况可以采取不同的措施,以便最有效的方式处理问题。采取严格的措施对校园网络系统的软件应用,和大量的信息数据进行保护。信息资源可以分不同的保密等级,对学校各部门开放。以确保信息的安全,不被盗取、泄漏。
(四)防范不良信息的传播