时间:2022-04-12 16:29:48
导语:在网络系统安全论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
1.1网络通信结构不合理网络通信自身结构的不合理是造成当前我国网络通信信息安全隐患的首要原因。互联网通信技术是以网间网技术为主要依托的,用户需要通过自身固定的IP协议或TCP协议在网上注册账号,从而在获得网络的远程授权后开展网络通信。由于网络结构是树状型,用户在使用网络通信功能时可能被黑客攻击从而通过树状连接网络窃取用户的通信信息。
1.2网络通信软件存在安全隐患由于客户在使用网络通信软件时需要通过下载补丁等方式让软件能够符合计算机终端操作系统的要求,而这些被广泛应用并下载的软件程序可能由于补丁程序等的引入而成为公开化的信息,这种公开化的软件信息一旦被不法分子利用则会给人们的网络通信带来严重影响,这种影响甚至会波及整个计算机网络系统,造成整个网络的通信安全隐患。
1.3人为的网络系统攻击在利益的驱使下,部分不法分子企图通过不合法的网络系统攻击方式对网络通信进行人为的攻击从而获取大量的网络资源。这些“黑客”的攻击不仅出现在商业管理终端等能够获取大量经济利益的领域,甚至还可能出现在个人的计算机中获取个体用户的信息,给用户的信息安全造成重大隐患。应该客观认识的是,我国网络通信在人们生活水平不断提升及通信方式变革的背景下发展速度一日千里,但是作为保障的信息安全维护工作却与网络通信的发展现状存在较大差距。再加上网络通信管理部门对于网络通信信息安全认识不足、网络通信管理制度不健全等问题也加剧了网络通信信息安全隐患,甚至给整个互联网通信系统带来安全隐患,给不法分子以利用的机会。正是基于当前我国网络通信中信息安全的严峻现状及在这一过程中所出现问题的原因,笔者认为,不断加强网络通信技术革新与网络通信制度建设,充分保障网络通信信息安全是时展的必然要求。
2保障网络通信信息安全的途径
2.1充分保障用户IP地址由于黑客对用户网络通信的侵入与攻击大都是以获取用户IP地址为目的的,因此,充分保障用户的IP地址安全是保护用户网络通信安全的重要途径。用户在使用互联网时也要特别注意对自身IP地址的保护,通过对网络交换机的严格控制,切断用户IP地址通过交换机信息树状网络结构传递被透露的路径;通过对路由器进行有效的隔离控制,经常关注路由器中的访问地址,对非法访问进行有效切断。
2.2完善信息传递与储存的秘密性信息传递与信息储存的两个过程是当前给网络通信信息安全造成隐患的两个主要途径,在网络信息的存储与传递过程中,黑客可能会对信息进行监听、盗用、恶意篡改、拦截等活动以达到其不可告人目的的需求。这就要求用户在使用网络通信技术时要对网络信息的传递与储存环节尽量进行加密处理,保证密码的多元化与复杂性能够有效甚至从根本上解决信息在传递与储存环节被黑客攻击利用的威胁。当前在网络通信过程中用户可以选择自身合适的加密方式对自身的信息进行加密处理,而网络维护工作者也要根据实际情况加强对信息的加密设置。
2.3完善用户身份验证对用户的身份进行有效的验证是保障网络通信信息安全的另一条重要途径。在进行网络通信之前对用户身份进行严格验证,确保是本人操作从而对用户的私人信息进行充分有效的保护。当前,用户的身份验证主要是通过用户名与密码的“一对一”配对实现的,只有二者配对成功才能获得通信权限,这种传统的验证方法能够满意一般的通信安全需求,但是在网络通信技术发展速度不断加快的背景下,传统的身份验证方法需要新的变化,诸如借助安全令牌、指纹检测、视网膜检测等具有较高安全性的方法进一步提升网络通信信息安全水平。此外,在保障网络通信信息安全的过程中还可以通过完善防火墙设置,增强对数据源及访问地址恶意更改的监测与控制,从源头上屏蔽来自外部网络对用户个人信息的窃取以及对计算机的攻击。加强对杀毒软件的学习与使用,定期对电脑进行安全监测,从而确保用户自身的信息安全。
3结语
医院的信息系统网络安全问题关系到日常管理的方方面面,医院信息系统在在运行期间,如果出现意外中断,或者受到恶意程序的攻击,那么很容易导致信息的大量丢失,由于医院信息系统中录入了病人的基本信息,因此会造成严重的后果,甚至医疗事故。由于医院性质的特殊性,在计算机信息系统的网络安全防护方面,除了一般的日常维护,还需要通过特殊的策略来确保信息系统的安全。医院信息系统的网络安全与防范文/魏瑜帅王耀炜王立准随着信息技术的发展,社会各行各业已经开始通过计算机网络来进行内部业务管理,信息化极大地提高了管理效率以及社会生产率。网络是医院向信息化、数字化发展的基础要素,是整个医院内部信息运行的平台,构建安全的医院信息系统至关重要。因此,本文首先对医院信息系统的网络安全进行概述,强调了其重要性与必要性,其次,重点讨论了医院信息系统的安全防范策略。
2医院信息系统网络安全的防范策略
2.1选择优质设备
医院信息网络安全维护是一项系统的技术工作,运行良好的优质设备是维护系统安全的保障。因此,医院的信息中心需要选择性能良好、运行稳定、便于升级的设备。个别医院没有认识到信息系统安全的重要性,忽视网络建设,将资金投入到医疗设备以及医院基础设施上,在网络设备上不重视质量,由于医院的工作具有连续性,性能较差的网络设备经常会出现多种问题,特别是核心交换机和服务器,一旦运行故障,医院内部网络瘫痪,必将严重影响医院的正常工作。因此,维护医院信息网络安全首先要选择优质的网络设备。
2.2优化系统程序
医院在系统的选择上,除了可以通过技术人员设计专门的程序,还可以选择安全性能较高的操作系统与软件,并且及时进行升级与更新,定期优化系统程序,这样才能确保安全。同时,如果系统设置密码,密码需要进行不定期更换,这样避免网络中一些恶意程序的攻击,防止病毒、黑客入侵窃取重要信息,也最大程度降低被跟踪痕迹的可能性。在系统程序的日常管理中,也要定时更新数据库,做好信息的备份工作。
2.3加强技术人员管理
网络安全的操作主体主要是信息技术人员,因此,提高技术工作人员的职业水平,构建科学的网络安全管理制度也是必不可少的。医院要确保信息系统的持续稳定,并且在网络环境中运行良好,这对技术人员要提出了更高的要求。医院可以通过培训提高技术人员业务水平、开展网络安全教育提高思想认识等。在日常工作中,严格禁止通过移动终端来进行信息的输入与输出,避免病毒带入。同时设置专门的信息共享平台,严禁技术人员将系统文件进行共享。除此之外,网络管理员要定期进行数据的整理,并且完善网络运行后台,对于计算机网络终端进行检查,及时处理安全漏洞。
2.4构建病毒防御体系
医院信息系统的网络安全防范,除了确保系统中各计算机通信设备及相关设施的物理安全,使其免于人为或自然的破坏,还要构建病毒防御体系。由于互联网具有开放性与交互性的特征,在网络中运行的程序有必要建立不同层次的防护系统。例如在每台计算机终端上都安置网络版的杀毒软件,在服务器上设置保障服务器安全的杀毒软件,在网关处设置维护网关的防病毒软件,这样将信息系统的各个部分都纳入了安全保护中。但是,由于计算机病毒传播途径多、传播速度快,在构建病毒防御体系时,也要重点预防不同来源的病毒,通过系统的设置,维护信息系统的安全。
2.5完善身份验证程序
身份验证程序的漏洞是系统内部信息泄露的重要原因,因此,需要进行身份认证以及授权,对进入系统的用户进行审查,确保其具备信息查看的资格。在信息系统程序中,要将身份验证方式、权限审查内容进行详细规定,并且通过动态密码、安全口令等,阻止非法用户的入侵。除此之外,还可以应用防火墙,对于网络数据的访问、修改等操作进行记录,一旦出现比较可疑的操作行为,系统可以自动报警或者中断操作,避免非法用户对数据进行篡改。总而言之,身份验证程序与防火墙的有效配合,可以为医院信息系统网络建立一道安全屏障。
3结束语
改进的煤矿供电网络安全监控系统主要由地面集控中心、工业以太环网、监控分站、电气设备智能控制模块等组成。教学矿井的中央变电所、中央水泵房、盘区配电点、采煤工作面等配备有带微处理器的高性能智能开关设备,微处理器通过监控分站和以太环网完成与集控中心的连接,实现集控中心对井下智能电气设备的遥视、遥调、遥控等功能。监控系统中地面井下设一个环网,被控电气设备通过RS485总线与监控分站组成一个监控子系统,监控分站间的通信线路为以太环网,数据交换采用以太网交换机进行。系统中贯穿地面井下的以太环网主干网络传输速率为100Mbps,该环网提供备份链路,当网络中某个交换机出现故障,可以在500ms内切换到备份连接。井下原有的各种底层设备、现场总线、监控子系统等可方便地就近接入主干环网。井上部分包括地面变电所的监控分站及集控中心监控主站,井下部分包括井下监控分站、通讯光缆和设备微机综合保护装置等。所有与监控分站连接设备的运行信息都通过环形网络传输到集控中心监控主站的电脑上显示。工作人员在地面上即可以方便地监视全矿所有智能供电设备的运行信息,又可以对其进行远程控制。监控分站安装在监控主站与智能供配电设备之间,接收被控设备的运行信息并进行初步数据处理,将处理结果通过以太环网上传至地面集控主机,也可以把初步处理后的数据实时输出,其输出设备为被控设备的控制器和报警装置,实现对电气设备的实时控制和保护。该系统中选用KJ254-F型矿用隔爆兼本质安全型传输分站,其适用于井下潮湿和有瓦斯及煤尘爆炸的危险场所,具有PLC功能,可独立运行用来完成对设备的参数设置、监测及控制功能,实现软件化控制、自动检测设备等;也可连接在通信网络中,完成集控中心与井下电气设备的通信连接。监控分站到智能设备终端保护装置之间的传输介质选用矿用阻燃通信电缆,信号传输方式为异步时分制RS485传输,最大距离可为1km,信号传输速率为1200bps。整体网络初步设计为由信息站、服务器、工控机、大屏幕液晶显示器和安全设备等组成,实现对井下被控设备的实时运行数据读取和监控。同时,大屏显示系统可实时显示被测变电所及采煤工作面的环境,由大屏幕控制器对显示视频进行控制。工程师站和操作员站可用于对井下各监控子系统进行监测和控制,功能相同,实际使用时可互为后备,保证监控的可靠性。控制网使用硬件防火墙共同构成调度室网络与外部网络的隔离连接,以保证调度指挥中心网络的相对独立性,保证网络安全运行。工作站可以实时显示和查看接收井下设备的数据、画面、表格和管理信息等,可在集控中心对井下智能设备进行遥测和遥控等操作。
2煤矿供电网络安全监控系统软件设计
2.1监控主站系统软件
地面集控中心服务器操作系统选用Windowssever2012简体中文版,主要安装实时监控和历史数据存储等软件,完成矿井供电网络中被控设备实时运行参数的存储、运算等。监控中心主机上安装MCGS监控组态软件和MaTLaB软件。MCGS根据教学矿井的供电系统图和井下电气设备具体安装工作情况做出电网监控系统人机交互界面,在屏幕中可以显示整个矿井电气设备运行信息的监控界面,也可以切换到每个监控子系统,各子系统有分画面,即能全面了解整个教学矿井供电系统中各智能供配电设备的实时运行情况,也能详细查看单个设备的历史运行信息及数据变化趋势,实现各子系统间的信息共享。同时完成现场数据采集与处理,报警和安全机制、动画显示等功能。MaTLaB软件用来计算井下供电网络中各被控设备的电气参数,进行继电保护的整定计算和优化,将整定结果传送至组态软件的数据处理模块。组态软件接收到MaTLaB的数据处理结果以后,并将之与整定的被控设备的运行状态数据进行比较,实时分析设备的工作状态,最后在监控软件界面上进行正常显示或报警。设备运行信息存储软件选用SQLSERVER2012标准版,利用SQL语言可以操作数据库,具有对设备运行信息数据库表的新增、删除、更新、查询等功能。系统软件中历史数据库的制定和数据存储是面向煤矿电气设备的运行参数及环境信息,如电压、电流、温度、工作状态等。传感器测得的设备的运行状态及环境参数通过RS485通信传输给监控分站,分站通过网络接口把测得的信息传输给环形网络到井上集控中心的监控主站,进行数据处理、存储、显示和网络等,监控分站也可以接收地面发送的控制信息对电气设备进行控制,从而实现系统的整体监控功能。
2.2系统软件主要功能
(1)信息的综合功能
集控中心将各子系统的数据信息进行综合处理,将分析后的数据信息在人机交互界面上进行显示,对井下设备进行远距离观察和控制,在服务器中存储以便调用和查询,接入到网络中进行数据共享等。系统中软件要求矿井的供电监控网络化功能满足教学矿井供电信息自动化需求,具有良好的扩展性。
(2)环境监测
在井下安装温度、烟雾、湿度等传感器来监测井下环境信息并故障报警,另外井下还安装有摄像头对工作环境进行视频监视。当接收数据异常超越报警整定值时,系统触发启动智能报警功能进行声光报警。
(3)电源监测
系统对被控电气设备的电网电压、电流、功率等信息实时采集并显示,把测得的数据与预先整定值进行比较,如果有故障系统将启动智能报警功能。
(4)图形画面监控
组态软件的监控界面上直观地显示井下的供配电关系并实时监控智能电气设备的运行信息和数据,当故障发生时,画面相应的位置颜色或状态显示改变,同时产生报警信息。
(5)网络浏览功能
系统可将接收的井下各智能供配电设备的实时运行参数信息接入到矿井网络中,供矿上其他部门工作人员通过网络进行查询和监控。
(6)数据系统分级管理
软件系统为不同工作人员设定不同的访问权限,实现井下供配电设备的安全监测信息、设备运行信息及其他安全信息的分类显示等。
3结论
在利益的驱使下,部分不法分子企图通过不合法的网络系统攻击方式对网络通信进行人为的攻击从而获取大量的网络资源。这些“黑客”的攻击不仅出现在商业管理终端等能够获取大量经济利益的领域,甚至还可能出现在个人的计算机中获取个体用户的信息,给用户的信息安全造成重大隐患。应该客观认识的是,我国网络通信在人们生活水平不断提升及通信方式变革的背景下发展速度一日千里,但是作为保障的信息安全维护工作却与网络通信的发展现状存在较大差距。再加上网络通信管理部门对于网络通信信息安全认识不足、网络通信管理制度不健全等问题也加剧了网络通信信息安全隐患,甚至给整个互联网通信系统带来安全隐患,给不法分子以利用的机会。正是基于当前我国网络通信中信息安全的严峻现状及在这一过程中所出现问题的原因,笔者认为,不断加强网络通信技术革新与网络通信制度建设,充分保障网络通信信息安全是时展的必然要求。
2保障网络通信信息安全的途径
2.1充分保障用户IP地址
由于黑客对用户网络通信的侵入与攻击大都是以获取用户IP地址为目的的,因此,充分保障用户的IP地址安全是保护用户网络通信安全的重要途径。用户在使用互联网时也要特别注意对自身IP地址的保护,通过对网络交换机的严格控制,切断用户IP地址通过交换机信息树状网络结构传递被透露的路径;通过对路由器进行有效的隔离控制,经常关注路由器中的访问地址,对非法访问进行有效切断。
2.2完善信息传递与储存的秘密性
信息传递与信息储存的两个过程是当前给网络通信信息安全造成隐患的两个主要途径,在网络信息的存储与传递过程中,黑客可能会对信息进行监听、盗用、恶意篡改、拦截等活动以达到其不可告人目的的需求。这就要求用户在使用网络通信技术时要对网络信息的传递与储存环节尽量进行加密处理,保证密码的多元化与复杂性能够有效甚至从根本上解决信息在传递与储存环节被黑客攻击利用的威胁。当前在网络通信过程中用户可以选择自身合适的加密方式对自身的信息进行加密处理,而网络维护工作者也要根据实际情况加强对信息的加密设置。
2.3完善用户身份验证
对用户的身份进行有效的验证是保障网络通信信息安全的另一条重要途径。在进行网络通信之前对用户身份进行严格验证,确保是本人操作从而对用户的私人信息进行充分有效的保护。当前,用户的身份验证主要是通过用户名与密码的“一对一”配对实现的,只有二者配对成功才能获得通信权限,这种传统的验证方法能够满意一般的通信安全需求,但是在网络通信技术发展速度不断加快的背景下,传统的身份验证方法需要新的变化,诸如借助安全令牌、指纹检测、视网膜检测等具有较高安全性的方法进一步提升网络通信信息安全水平。此外,在保障网络通信信息安全的过程中还可以通过完善防火墙设置,增强对数据源及访问地址恶意更改的监测与控制,从源头上屏蔽来自外部网络对用户个人信息的窃取以及对计算机的攻击。加强对杀毒软件的学习与使用,定期对电脑进行安全监测,从而确保用户自身的信息安全。
3结语
关键词:民航 信息网络 系统安
一、民航信息网络系统安全问题分析
近年来,随着我国经济水平的不断提升,大幅度推动民航领域的发展,在这一背景下,民航的信息网络系统随之进入建设高峰期,该系统除与飞机的飞行安全有关之外,还与空防和运行安全有着极为密切的关联,一旦系统出现问题,轻则会影响民航的正常运营,严重时将会危及到飞机的飞行安全,极有可能造成巨大的经济损失。如某机场的空管飞行数据处理系统发生故障,致使机场的空管雷达无法提供正常的数据,直接导致70余架航班不能按时起落降,数千名乘客的出行受到影响;又如,某航空公司的电子客票系统被黑客入侵,导致多名乘客的机票信息泄露,媒体报道后,造成严重的社会影响,诸如此类事件不胜枚举。
通过对国内一些航空公司进行调查后发现,绝大部分都曾经发生过信息网络安全事件,在诱发安全事件的原因中,计算机病毒、木马、电脑蠕虫等所占的比例较大,约为70-80%左右,网页被恶意篡改、端口扫描等网络攻击约为20-30%左右。上述安全事件之所以会频繁发生,主要是因为民航信息网络系统的安全防护水平不高,给恶意入侵、黑客攻击提供了可能。鉴于此,必须从管理和技术两个方面着手,加强民航信息网络安全建设。
二、民航信息网络安全建设策略
为确保民航信息网络系统安全,必须建立起一套科学合理、切实可行的安全管理制度,并采取先进的技术措施,提高系统的安全等级。
(一)加强安全管理
1.构建完善的制度体系。民航信息网络系统的安全离不开管理,而想要使管理发挥出应有的成效,就必须构建起一套较为完整的制度体系。各大航空公司应当结合自身的实际情况,并总结以往的经验教训,量身定制安全计划和方案,如网络信息安全等级保护与分级保护、安全通报制度等等,确保所有的安全管理工作都能有制度可依。与此同时,还应不断加强对相关人员的管理,提高他们的安全意识,从根本上保证信息网络系统的安全性。
2.做好管理维护工作。民航信息网络系统是由诸多设备组成,想要保证系统的安全,就必须做好运行设备的维护管理。鉴于民航信息网络系统的特点,即启动后不能随意关闭,因此,可从如下几个方面保证系统安全、稳定运行:①控制主机温度。可在信息网络系统建设时,为相关的硬件设施配备一套双机热备加磁盘阵列,这样能够确保网络信息系统的安全性,同时可以选用小型机作为民航运营数据库或是离港系统的服务器,该服务器采用的是分布式架构,其能够在确保安全的基础上,提高系统的可用性。②定期检查。民航信息网络系统中,有一些软件的可靠性相对较低,若是大量用户同时上线可能会导致系统死机的问题发生,通过定期的检查,能及时发现问题,并进行升级维护,由此不但能够提高系统运行效率,而且还能确保\行安全。
(二)安全技术措施
民航在进行信息网络系统安全建设的过程中,要采取合理可行的技术措施,为信息网络系统的安全保驾护航。
1.入侵检测技术。该技术是近年来兴起的一种网络信息安全防范技术,其能够通过对网络信息系统的审计数据、安全日志等进行检测,找出入侵以及入侵企图,这种技术最为主要的作用是对网络信息系统的入侵和攻击进行监控,进而采取相应的措施加以应对,从而确保系统的安全。民航可基于该技术构建一套相对完善的IDS系统,运用该系统对外部的非法入侵以及内部用户的非授权行为进行检测,发现并报告网络信息系统中的异常现象,对针对信息网络系统安全的行为做出及时有效地应对。
2.身份认证技术。该技术具体是对系统操作者身份的确认,其能够借助网络防火墙、安全网关等,对信息网络系统的用户身份权限进行管理,民航的信息网络系统一般只能对操作者的数字身份信息进行识别,而通过身份认证技术的应用,则可有效解决系统操作者物理与数字身份的对应问题,由此为系统的权限管理提供了可靠依据。民航在进行信息网络系统建设时,可以采用以下几种方式对系统操作者的身份进行认证:用户名+密码;用户基本信息验证,如证件号码、信用卡号等;特征识别,如视网膜、指纹、声音等。此外,还可以采用USB key,这样可以进一步提升系统的安全性能。
3.加密与数字签名。这是目前保障网络信息系统及数据安全最为常用的一种技术,它能够有效防止各种机密数据被外部窃取、更改,对于信息安全具有极强的保证。具体应用时,可对一些重要的文件进行加密,这样即便有非法用户入侵到系统当中也无法查看加密文件的内容,加密后等于给文件上锁,其安全性自然会获得保证。而数字签名则可确保用户收到的邮件均为所需用户发送而来,可有效防止垃圾邮件。民航在信息网络系统安全建设时,可合理运用加密和数字签名技术,为各类重要信息提供安全保障。
4.网路防火墙。民航在进行信息网络安全建设时,应当选用高端的防火墙产品,除要具备防火墙的基本功能之外,还应兼具VPN网关功能,建议采用分组过滤式防火墙或是双穴网关防火墙,同时要考虑不同接入方式的适应性。需要注意的是,防火墙要选用正版的,并定期进行升级,这样才能使其作用得以最大限度地发挥。
三、结语
综上所述,民航信息网络安全的重要性不言而喻,因此,必须做好信息网络系统的安全建设工作,民航企业可以结合自身的实际情况,制定科学的管理制度,并采取先进的技术措施,提高系统的安全性,这样不但能减少或是杜绝各类安全事件的发生,而且还有利于促进我国民航事业的持续发展。
参考文献:
[1]余焰,余凯.以空管信息为核心,建立民航信息集成共享系统空管系统信息网络建设需求分析[J].黑龙江科技信息,2015,(04).
[2]梁有程.分组交换技术在民航数据通信网络中的应用探析[J].电信网技术,2015,(07).
[3]赵航.以安全保障为前提的民航空管信息系统安全体系的研究[J].科技经济市场,2014,(07).
【关键词】DCS系统;网络;信息安全;思考
随着DCS系统在电力行业的普遍推广,DCS系统对于电厂安全生产有决定性的影响。SIS系统完成生产过程的监控和管理,故障诊断和分析,性能计算和分析、生产调度、生产优化等业务过程,是集电厂各专业(如:炉、机、热控等)综合优势,经过长期科研开发、成果储备和丰富的现场实践经验积累而成的。SIS系统以DCS系统为基础,以经济运行和提高发电企业整体效益为目的,采用先进、适用、有效的专业计算方法,实现整个电厂范围内信息共享和全厂生产过程的实时信息监控,提高了机组运行的可靠性。
一、DCS系统网络不安全因素
(1)物理层的不安全因素分析。网络的物理不安全因素主要指网络物理特性和周边环境的变化,而引起的线路和网络设备的不可用,而造成网络系统的不可用,物理层的安全是整个网络系统安全的前提条件。(2)网络层不安全因素分析。一方面由于在上下级网络数据传输线路和同级局域网之间存在被窃听的威胁,另一方面,局域网内部也存在内部攻击行为。(3)管理层不安全因素分析。网络离不开人的管理,网络安全策略需要人去实现,在整个网络中,人起着重要的作用。同时对人的管理也是网络安全管理中的最重要的环节。
二、解决DCS网络实时信息安全问题措施
(1)网络安全方案提出的原则。对于DCS网络而言,在指导思想上,首先,应该在对DCS网络不安全因素分析的基础上,做到全面考虑、统一规划;其次,应积极采用各种先进技术,防火墙技术,虚拟交换网络,虚拟专用网络技术、加密技术、PKI技术等等,特别是入侵检测系统,并实现集中统一的监控、配置、管理;最后,应加强各项有关网络安全保密的规章制度的制定,并严格执行。(2)DCS网络安全解决方案。第一,物理层安全解决方案。一是环境安全:对系统所在环境的安全保护,如灾难保护和区域保护。我们可以参考国家相关标准,例如《计算站场地技术条件》、《电子计算机机房设计规范》、《计算站产地安全要求》等等。二是设备安全:主要包括设备的、防电磁信息辐射泄露、防毁,防止线路截获、防盗、抗电磁干扰和电源保护;设备冗余备份等等,以上这些问题,需要我们加强管理及和提高员工整体安全意识来克服。三是媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除了在网络规划和环境、场地等高要求外,还要防止系统信息在空间的扩散。第二,网络层安全解决方案。一般采用VPN、防火墙、访问控制表等等技术手段,而目前基于数据挖掘的入侵检测系统也日趋成熟。入侵检测给我们提供了一个用于发现合法用户滥用特权和入侵攻击的重要方法。常见的检测方法包括神经网络法和概率统计法。第三,安全管理解决方案。安全体系也就是安全组织机构,它具体可以划分为:管理层、决策层、执行层;而安全制度则包括规范、章程、法律;安全管理手段包括有:咨询、评估、审计,以及人员安全培训等等。
三、DCS系统安全解决方案的检验
DCS数据网络安全措施应主要包括三个目标:(1)保持系统及数据的完整;(2)对实时控制信息传输及存取的控制;(3)能
够对系统进行恢复和对数据进行备份。对于DCS系统安全问题,我们应该做到事先防范,未雨绸缪,方可避免不必要的损失。任何商业性的经营都离不开成本核算,而电力部门也不例外。我们在对一个网络的安全进行评估是,首先要考虑的是其保护的是什么、防范的又是什么、打算有多少投入。只有把这些问题都搞清楚了,我们才能制定出一套综合、完善的方案来,进而确定该方案所需要的技术。在某种意义上讲,安全也是一种投资。既然是投资,我们就不得不考虑其性价比。例如选用防火墙技术,其安全级别和价倍的关系等。正所谓旁观者清,网络是否安全,有时并不是网络所有者自己能完全清楚的。因此,很多公司要请专家或者第三方评估机构对网络安全进行评估。这样做可以使我们对自己所处的环境有个更加清醒的认识,力争把未来可能的风险降到最小。研究和解决我们通向信息化社会中遇到的网络安全问题,已经不仅仅是单纯的技术问题,其难度和负责度已经不容忽视。
综上所述,DCS系统是电厂发展成数字化企业的基础和根本,因此,DCS系统的安全是电厂信息安全的关键。目前我国有许多电厂的DCS系统安全,只是简单依靠某一单一技术,常见的如防火墙等,信息安全问题十分严峻,内人士务必要对此引起高度重视。
参考文献
论文摘要:该文通过对于图书馆计算机的网络系统的分析,详细的阐述了图书馆计算机的网络系统安全维护的必要性,并且提供了一部分能够实现图书馆计算机的网络系统维护的相关技术措施,其中包括图书馆中心机房的物理环境维护、计算机系统软件的防护、图书馆网络资源的管理、计算机网络数据的安全维护等几个方面。
随着计算机技术的不断发展,计算机网络与人们的生活息息相关,并渗透到各个领域中来。计算机网络不仅使得社会经济的高速发展,也使得人们的生活、工作和学习等方面呈现出巨大的变化。计算机网络在图书馆中的应用,文献信息数字化,给传统图书馆的管理带来了无限的生机和新鲜的活力,向数字图书馆方向发展成为当今图书馆发展方向的主流。
但是,随着计算机网络规模的扩大,各种导致图书馆计算机网络出现问题的部分也不断出现:如调制调解器、交换机以及通信线路等各种网络硬件的故障问题;网络管理软件和服务软件的设置与优化问题;同时,网络病毒使得网络存在各种安全隐患等。对于如何有效地建设、维护好图书馆计算机网络系统,并保持其健康稳定的发展,是一座现代化图书馆所面临的一个重要问题,对此,对于图书馆计算机网络系统维护给出几点论述。
1 图书馆计算机网络中心机房的物理环境的维护
1)机房是图书馆的数据中心,是图书馆网络系统的心脏。建立良好的空调系统以及良好的防静电系统,从而使得机房之中的温度、湿度等指标得到保证,从而保证系统能够长时间运行。所以机房内必须使温度控制在(20±2)℃,而至于相对湿度也应该控制在(50±5)%。空调系统与温度控制和湿度控制要构成一个有机整体,还得采取除尘、防尘、降噪等措施。对于如何高效率地避免静电的影响,机房地面应该铺设静电地板。
2)为了保证中心机房的供电系统能够具有更高的稳定性和可靠性,需要使用配套的稳定电源,配备大功率、长使用时间并且具有防雷击功能的UPS系统。
3)对于机房的防盗措施管理,应该要采取比其他部门更严格的体系设施,在加固门窗同时还要科学地安装视频监视系统。而在防火方面得措施主要包括:装备专用的灭火工具灯、灭火器,安全隔离通道和火灾报警体系等。
2 软件系统的维护
软件系统的维护是图书馆计算机网络维护的重中之重包括对于计算机操作系统、数据库系统以及访问控制等几个方面的维护。
1)图书馆应该选择技术比较成熟、安全性较高的操作系统。如果图书馆对于系统和数据的安全要求较高的话的,应该最好采用UNIX或者由其衍生的操作系统作为服务器的平台,因为它的抗病毒攻击、防黑客等性能要比Windows操作系统平台更出色。
2)操作系统和应用软件安装后,必须先安装所有的系统补丁并安装病毒监控软件还要将其升级到最新版本后才能将服务器连入网络。
3)关闭系统那些不必要的服务器端口,将安装系统的默认开启的不必要服务端口统一关闭。
4)以系统安全为基础,根据用户的需要,分别设定不同的用户对数据库的访问权限。
5)制定软件巡检维护报告,建立软件信息档案,同时对软件进行定期的性能评价,选择更具性价比和使用性的软件进行使用。
3 做好针对计算机网络服务器的维护
服务器是一种特殊的计算机,其主要功能是能有效地在网络服务中为各个终端计算机提供各种服务,同时,在网络操作系统的控制下,它将与其相连的打印机、硬盘等专用终端设备提供给网络上的客户站点并实现资源共享,还能为网络用户提供集中计算、数据管理和信息发表等服务。作为图书馆计算机网络运作的核心服务器,承担着所有图书书目数据和读者的信息,包括借阅记录,押金金额,罚款等等。一旦出现问题,那就意味着可能全馆工作瘫痪。所以一定要保证它的稳定运行。除了硬件的稳定之外,数据的安全性也很重要。网关和入侵检测系统无疑是很好的应对措施,同时,对于系统权限的管理也必须要制定一个严格的守则。
4 网络系统的安全维护
1)计算机网络的维护,首先是要全面的了解图书馆各部分的网络组成。制定详细的网络交换设备和线路的检查制度。并能对客户端进行定期的日常维护操作,利用路由器或防火墙等能更有效地管理该计算机网络。此外,配置路由器设备来分别制定图书馆内部各个部门对Internet的不同使用权限等。
2)提高对计算机病毒防范效率。计算机病毒是由人编译制造的并对用户计算机系统进行破坏进而窃取信息影响计算机运行的程序。目前对于计算机病毒的防范,一般都是使用较好的杀毒软件。
一般使用的杀毒软件应具备以下一些要求:强大的杀毒功能。目前较常见的计算机病毒约有4万多种,然而计算机各种操作系统一般都包含大量能够造成危害的计算机病毒,这就需要杀毒软件能够具有杀毒范围广、杀毒能力强的特点;完善的软件升级功能。需要对杀毒软件不断地进行升级,主要是为了查杀不断更新的各种计算机病毒;完好的实时监控能力。在运行计算机系统时,使其能够得
到杀毒软件的全方位保护。图书馆安装的防病毒软件可以与网络防火墙相结合,使病毒与内部网络隔离。所有的计算机都应该安装能够实时监测和查杀病毒的杀毒软件,同时不断更新最新的版本。图书馆内部使用的计算机一旦发现病毒,必须立即清除,以防止扩散。
5 图书馆网络的数据安全措施
对计算机网络数据进行备份:因为在硬软件运行过程中不可避免发生故障或者遭到病毒的恶意攻击甚至火灾、地震等自然灾难都会使得原有的数据丢失。为了使得各种因素所造成的数据丢失损失最小以及能够重新恢复丢失的数据,我们必须要定期地对数据库进行数据备份。数据备份不仅能够确保数据库的安全,还能够对数据实现并行操作,来提高数据库的使用性能。并且在用户没有关闭计算机的情况下还可以替换发生故障的部分。
计算机网络数据加密:网络数据加密是几乎所有数据通信安全的基础。加密过程必须由众多的加密算法来实现,主要包括公共密钥算法和对称密钥算法两种。数据加密主要有数据存储、传输和完整性鉴别等几个方面。
1)数据传输过程中加密。也就是对传输过程中的数据进行加密,一般采用的加密方法有端口加密和线路加密。前者侧重于在信息发送端自动进行数据包的回封,进行加密,最终形成不可识别的数据传送或者不可阅读部分,当到达用户目的地后,系统自动重组和解密,成为可读的数据;而后者则对加密信息对于不同线路使用不一样的加密密钥。
2)数据完整性鉴别。通过对介入信息的传输、处理者身份和相关数据内容验证关卡。通常包括密钥、口令、身份等鉴别途径,通过对比验证对象输入的特征值与预先设定的数值是否相一致,验证其合法性。
3)数据存储加密。同时,为了避免用户数据存储的失密,需要进行密文存储和存取控制。前者通常经过附加密码和加密算法转换等方面实现;但后者则是通过对用户访问权限进行审查或者限制,来防止非法用户存取甚至可以阻止合法用户越权。
4)密钥管理。如今密钥已广泛应用于各种数据加密系统,包括密匙的分发、生成、更换、存储和销毁等几个主要环节。
6 计算机网络资源管理
网络中的资源种类繁多,例如域名资源、IP地址资源、磁盘资源等方面。在客观上,一方面要做好网上资源的规划,如 Windows NT网的域管理,保证数据存储的安全性;另一方面,要管理和控制网络上的各种资源,进行共享目录、共享文件、共享打印机的管理。这里还有一个突出的矛盾就是现在互联网上危害特别巨大的蠕虫病毒,木马病毒,一旦局域网当中的某个用户感染上了这些病毒,它就有可能通过网络传播到整个局域网当中的任何一台工作用机,甚至是服务器,虽然可以采用防病毒软件和划分不同的IP断和工作组,通过限制访问来减少病毒感染的可能性,但是防病毒软件通常需要及时的更新病毒库和引擎,在限制访问权限的同时,也限制了这些工作用机无法通过互联网络来更新病毒库,这就要求做好更新工作,然后在这些不能登陆到互联网的用户作好病毒库更新的设置,通过下载病毒库,在局域网内实现病毒库的更新工作。
7 由于计算机数据资源安全和网络系统的各项要求,建立和健全成熟的安全管理制度
其中包括操作人员、管理人员的责任制度;用户日常数据备份以及恢复制度;各类口令制度;计算机主机房日常管理制度;计算机病毒的监控和防范体系等。只有建立并完善这些制度,才能够更有效地规范图书馆计算机网络系统的管理体系,并加强管理人员的责任制,从而保证图书馆计算机网络系统的安全运行,同时强化工作人员的责任心,使他们能更高效地完成网络系统的安全管理工作。因此,只有通过强化制度的执行力度,才能真正做到规范行为,标准进行。除此以外,安全的网络需要有健全的安全管理体系作为保障 。只有规范相应的操作规程,才使得各类技术保障人员能够各司其职,最终使得安全措施和管理制度可以融为一个整体。
图书馆计算机网络系统维护工作是一项持之以恒的工作。随着计算机技术的不断发展,图书馆计算机的网络系统将会面临更多的威胁。如果一旦图书馆网络系统受到威胁 ,感染病毒,数十万乃至数百万的馆藏书目信息,流通信息,图书馆内部数据库等数据丢失或者被破坏,其带来的损失将会是灾难性的。因此,采取较为完好的维护手段,将系统到应用 、设备到服务等各个方面有机的结合起来,才能够保证图书馆计算机的网络系统安全高效的运行,进而形成一套比较完善的图书馆网络安全防御体系。
参考文献
[1] 颜昌茂.高校图书馆网络系统的安全与维护策略[J].甘肃科技,2009(6).
[2] 范红领.图书馆计算机网络安全与维护[J].大舞台,2010(6).
[3] 高玉德.图书馆计算机网络安全与维护[N].河南图书馆学刊,2002(7).
[论文关键词】电力信息安全策略
[论文摘要]通过对电力系统计算机网络存在的网络安全问厦的分析,提出相应的安全对策,并介绍应用于电力系统计算机网络的网络安全技术。
在全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏,其影响或损失也十分巨大,电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。应结合电力工业特点,深入分析电力系统信息安全存在的问题,探讨建立电力系统信息安全体系,保证电网安全稳定运行,提高电力企业社会效益和经济效益,更好地为国民经济高速发展和满足人民生活需要服务。
研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。
一、电力系统的信息安全体系
信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完雅性、可用性、真实性、可靠性、责任性等几个方面。
信息安全涉及的因素有,物理安全、信息安全、网络安全、文化安全。
作为全方位的、整体的信息安全体系是分层次的,不同层次反映了不同的安全问题。
信息安全应该实行分层保护措施,有以下五个方面,
①物理层面安全,环境安全、设备安全、介质安全,②网络层面安全,网络运行安全,网络传输安全,网络边界安全,③系统层面安全,操作系统安全,数据库管理系统安全,④应用层面安全,办公系统安全,业务系统安全,服务系统安全,⑤管理层面安全,安全管理制度,部门与人员的组织规则。
二、电力系统的信息安全策略
电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:
(一)设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其它转接设备要落实到人,进行严格管理。
(一)安全技术策略
为了达到保障信息安全的目的,要采取各种安全技术,其不可缺少的技术层措施如下:
1.防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实糟相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
2.病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,既这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4.数据与系统备份技术。电力企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立企业数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。
5.安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。
6.建立信息安全身份认证体系。CA是CertificateAuthority的缩写,即证书授权。在电子商务系统中,所有实体的证书都是由证书授权中心(CA中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据安全。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此,建立全国和网、省公司的cA机构,对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间、上下级CA机构之间、其他需要CA机构之间的交叉认证的技术研究及试点工作。
(三)组织管理策略
信息安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。据统计,在所有的计算机安全事件中,属于管理方面的原因比重高达70%以上。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。
1.安全意识与安全技能。通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识,使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。
2.安全策略与制度。电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全,没有法规,无从遵循信息安全的制度,没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
3.安全组织与岗位。电力企业的组织体系应实行“统一组织、分散管理”的方式,建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作,使各级信息技术部门也因此会很好配合信息安全推行工作。
关键词:网络安全,防火墙医院信息管理
随着医院信息化的深入,越来越多的医院已经部署了医院信息系统。医院业务每天都要产生大量的信息,大部分数据都实现电子化记录,如财务数据、病人的就诊记录等重要信息。信息化的应用在提高医院工作效率,降低管理成本的同时,也为数据窃取、数据篡改行为衍生了机会。同时,基于系统漏洞的病毒、木马等危害也日益严重,导致很多医院因病毒爆发而中断业务,丢失数据。因此,信息安全越来越成为医院信息化建设重点关注的问题之一。计算机网络已经成为信息系统赖以运行不可或缺的基础平台。如何保障医院网络的不间断运行,及时排除网络安全方面的隐患,确保医院网络安全无故障持续运行,是医院网络管理者们不可避免的一个课题。
一、医院信息系统的安全,涉及面比较广,主要包含以下几个方面: 1用户权限验证:每一个操作人员登录系统的权限; 2 数据安全:数据库的安全策略,备份与恢复策略,用户操作痕迹及回溯等; 3 网络安全:与外网的连接,授权访问与非法访问等; 4 防病毒防黑客:桌面防毒的问题是最易解决的了,装一个网络版的杀毒软件就行了; 5 安全管理体系:用户权限的变更管理,帐号口令的管理等; 6 有医生/护士工作站的,可能还会有医生护士操作的电子签名的问题。
二、影响医院信息网络安全问题的内外因素
医院信息系统安全涉及网络安全、服务器组安全、存储设备安全、操作系统安全、备份方案的可靠性、群集技术的可靠性、供电安全、计算机工作环境、计算机病毒问题、防止非法访问、系统管理等内容与问题。如今对医疗行业提供的网络安全技术解决方案中,仍以防火墙(FW)+防病毒(AV) 为主流选择,忽视其他网络管理系统的网络管理功能。随着医院网络整体应用规模的不断扩大,网络安全环境的日益恶化,大规模DOS侵入、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥,这些安全技术手段逐渐暴漏出某些“先天不足”的问题,导致“安全门”一次次“洞开”,引发重要数据的丢失、破坏,造成难以弥补的损失,不仅严重影响到医院网络的正常运行,还直接威胁到患者的隐私和生命安全。
虽然这里有安全环境变化的原因,但更重要的是医院对于网络管理系统产品的部署和认识存在着误区,偏爱防火墙,认为有了防火墙就可高枕无忧,其它网络管理系统就不必了。其实防火墙产品本身就有技术上的不足,被动式的防御措施,不能防范不经过防火墙的攻击(包括来自网络内部和网络旁路的攻击)、新的威胁和攻击以及基于内容的攻击等。
目前影响威胁国内医院信息网络安全问题的主要人为因素有4个方面:一、没有设立专门的网络管理机构,没有行政和技术上的有效安全管理,网络设计缺陷威胁网络安全,比如过于单方面依赖防火墙;二、没有制定、公布卫生系统的信息网络安全规范和安全标准;三、没有实行强制性的安全监督、审查、验收机制,特别是没有第三方介入的监督、审查、验收机制;四、没有重视和执行对用户的安全知识、法规、标准的宣传、培训、考核,没有规定和实行医院信息系统安全员配备和持证上岗制度。 认识影响威胁医院信息网络安全问题的内外因素,才能“对症下药,药到病除”。
三、 医院基础网络应用常见的安全隐患
1.1内部威胁
医院内部人员将携带病毒的个人电脑接入医院业务网络,对医院业务网络造成破坏,导致业务中断;医院部分人员利用同一台电脑,采用插拔线缆的方式,同时访问业务网络和Internet网络。论文大全。这样在访问Internet时传染的病毒或木马将直接带入业务网络; 同时可能存在个别人员,利用网络访问数据库,从而获取有价值的重要数据,如产生医患纠纷时,篡改病人就诊数据,使医院蒙受巨大损失。 1.2外部威胁外来人员利用非授权电脑,私自接入医院业务网络,发动攻击、传播病毒、窃取或篡改数据;医院业务系统需与医保等社保网络相连,进行数据的传输,由此也会为医院带来安全的威胁。
2 医院信息化管理存在的安全隐患2.1杀毒软件、系统补丁更新不及时大部分医院都为业务主机安装了杀毒软件,但由于主机数量较多,维护量大,网管人员无法确保所有主机的病毒库为最新版本。操作系统补丁的更新也存在同样的问题。这样必然无法防御新的病毒或系统漏洞所带来的安全威胁。2.2IP、MAC地址绑定,无实际意义部分医院为了防止外来人员随意接入内部网络,在接入层交换机进行了IP、MAC地址与端口的绑定操作。此安全防御行为有2个问题:地址绑定工作量大,不方便操作,需网管人员逐条输入,每台交换机单独操作;拥有一定网络技术的人员可轻松更改主机的IP、MAC地址,至使地址绑定无效。IDS入侵检测,“亡羊补牢”IDS只具备入侵检测的功能,当出现异常数据时发出告警信息,但无法进行有效防御,因此很多网管人员认为在医院内部网络部署无意义。数据库审计,无法定位到人为了防止数据篡改或泄露,医院对用户访问权限进行了严格控制,但仍无法避免对数据库的恶意操作行为,数据库安全审计系统可以详细记录每个会话连接对数据库的操作行为,但是只能定位到IP地址,无法与人员做绑定。医院中很多主机为公共设备,只追查到IP地址无法追究责任。论文大全。通过上面的分析,我们不难发现,医院的业务网络存在非常严重的安全威胁,而于此同时,医院的很多安全防御措施却无法起到很好的防范效果。论文大全。
四、医院网络安全的防治策略
1 用户准入&基于网络身份授权俗话说“病从口入”,如果我们能够很好地解决医院业务网络的安全接入问题,将接入医院业务网络的来源进行“消毒处理”的话,就能够还医院一个干净、安全的网络。1.1用户帐号的合法性 用户帐号的合法性主要是确认用户身份的合法,并且可以将用户帐号灵活地与IP 、MAC、VLAN、交换机的物理接口、IP、MAC等信息绑定。该信息的绑定无需网管人员在接入层交换机进行配置,是由SMP(安全管理平台)服务器配置后,统一下发给接入层交换机的策略。1.2网络授权确定用户身份合法、且主机合规后,针对该用户自动下发访问策略(可以访问哪些服务,不可以访问哪些服务)。
2 主机入网安全检测判断主机是否合规,可以灵活定义主机的合规性要求,如病毒库是否为最新版本、指定的系统补丁是否有安装、未允许的程序是否有启动等等。其中更为关键的是,主机安装的安全客户端能够自动收集主机的特定信息生成唯一的标识符,SMP服务器可以判断该标识符是否是合法的主机,从而拒绝外来主机的接入(即使是有用户帐号,IP、MAC做了修改也没有)。
向网络中的违规主机(如,病毒库不是指定版本,指定系统补丁没有安装,运行了不允许安装的软件等)发出警告; 用户根据提示信息,自主进行程序下载或修复漏洞; 安全检查合格后,连入网络。
3 主动防御、安全隔离
4 用户行为审计,准确定位到人
通过在服务器区域部署防火墙,一方面可以防御对服务器的攻击、异常操作等行为,另一方面对于用户的访问行为进行记录,并传送到指定的日志收集服务器(E-log);E-log与GSN联动,将IP地址信息与用户、主机信息进行关联,从而确认用户在网络中的访问行为;结合数据库审计或数据库日志,将用户的网络行为与数据库中的IP地址、时间等信息进行匹配,从而定位到什么人,在什么时间,在哪台主机,连接了数据库,进行了哪些操作。
5 要注意医院网络安全中的非技术因素
在所发生的网络安全问题中, 除了技术方面的因素外,更多的是非技术的因素。影响医院网络安全的非技术因素:网络安全意识淡薄,缺乏防范意识;管理观念没有及时跟上;信息管理部门对网络安全的现状认识不足;缺乏完善的网络安全管理体系;网络安全管理人员和技术人员缺乏必要的专业安全知识;网络使用者的安全意识薄弱等。这些非技术因素也需要非常注意。
五、结束语:
随着医院计算机网络的逐步发展,它渐渐成为一个医院关键的、不可缺少的资源。我们必须积极主动的利用各种手段管理网络、诊断问题、防患于未然,为医院计算机信息系统提供良好的运行环境。网络的安全与医院利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,医院网络管理人员要掌握最先进的技术,把握住医院网络安全的大门。
五、参考文献
[1] 韩雪峰, 等. 医院信息网络的管理, 医学信息, 2006-12.
[2] 管丽莹, 等. 医院计算机网络及信息安全管理,现代医院, 2006-8.
[3] 张震江.医院网络安全现状及研究[J].计算机系统应用,2006,7:88-93.[4] 张会芹. 医院网络的安全维护措施[J].中国医院统计,2006,12(2):191-192.