时间:2023-09-28 16:01:32
导语:在网络安全服务内容的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
作为新兴技术,网络安全态势感知技术一经使用便得到了业内人士的广泛关注,其可以有效解决以往网络安全技术存在的弊端,切实对网络环境中的安全状况动态监控情况进行优化,而随着基于融合网络安全态势量化感知概念的提出,该项技术又得到了进一步的发展。本文将以网络安全态势感知介绍为切入点,对基于融合的网络安全态势感知量化方式产生全面论述,仅供参考。
【关键词】态势感知 量化 融合 网络安全 网络环境
由于网络安全事件发生机率的不断上升,信息网络安全问题再次成为了人们关注的焦点,社会各界也加大了对网络安全环境的营造力度,网络安全态势感知作为网络环境安全管理的重要手段,自然也成为了人们关注的重点。业内人士不仅加大了对网络安全B势感知量化的研究,同时为了解决网络安全事件不确定性因素较为复杂的问题,开始加大对融合感知的研究力度,并已经取得了一定的成绩。
1 网络安全态势感知
所谓态势感知就是以规模性系统环境为基础,对引发系统安全问题的因素进行分析、提取与预估的过程。由于其能够通过对态势感知工具的运用,科学对复杂的动态化环境的动态变化情况进行明确,从而准确做出判断,以保证环境安全性。网络态势不仅包含网络运行设备综合情况,同时用户行为因素以及网络行为因素等内容也涵盖在其中。而安全态势感知技术可以对网络系统情况实施实时监控,并会将监控结果制成全局安全视图以及局部安全视图,能够为决策者提供出更加可靠的数据支持。
2 融合网络安全态势感知量化方式
由于目前融合方式种类较多,本文在此将以DS证据理论为例,对网络安全态势感知(以下简称为态势感知)融合进行全面论述。
2.1 态势要素提取
所谓态势要素,就是安全态势属性的简称,能够对态度基本特征进行描述,并会按照要素,形成威胁态势以便后续工作的开展。通常情况下,态度要素组成内容往往会涉及到多个部分,较为综合,像安全事件威胁程度、发生频率以及事件类型等内容都包含在其中,其中威胁程度始终都是研究中的难点部分,专家往往只能依靠自己多年经验来威胁情况进行判断,这就会直接影响到要素判断的准确性,需要运用相关理论来对要素的隶属关系以及要素关系进行反复推演。笔者将以目标决策理论为基础,对正态分布实施离散化处理,且会通过对威胁因子进行收集的方式,将其和威胁因子收集目标要求进行拟合处理,并在简单层次分析环境中,对网络环境中的威胁因子进行生成,以开展后续环境监督工作。
2.2 层次量化感知处理
在得到相应的要素之后,相关人员需要对要素进行量化,进而将多种类型要素映射到统一的量纲之中,以完成感知量化的过程。而整体过程处理方式主要分为服务安全态度、主机安全态势以及网络安全态势三种。
(1)攻击强弱以及威胁因子等因素会组成服务安全态度,是以组成因素为基础,通过对多种攻击威胁因子量化权重情况,来对服务遭受攻击种类以及数目进行分析的方式,主要目的就是为了对攻击数量进行弱化,以提高相关人员对于威胁程度重要性的认知程度。
(2)顾名思义,主机安全态度和主机运行态势以及运行服务数目有着直接关联,如果将主机时间窗口设为B,将主机Hl(1≤l≤u)中的运行服务设为si,而将服务失效之后所生成的不良后果设置为?si则主机安全态势就可以表示为:
(3)网络安全态势主要是由主机数据敏感性、主机安全态势以及主机数目等内容所组成。如果网络系统中的关键数目以及资产值出现较大的变动,则就会证明系统中存在着威胁,相关人员需要对其进行准确判断,以便及时对网络系统中存在的安全问题进行解决,保证网络系统的安全运行。
3 安全态势量化感知融合仿真实验
本实验将对融合、专家加权DS理论与传统DS理论进行对比,从而分析出权值环境的适应性以及其数据的变化情况,从而准确分析出融合量化感知的优势所在。
3.1 服务安全态势
相关人员需要通过实验收集到威胁因子、攻击强弱以及攻击类型等方面的内容,其中攻击类型与攻击强度会在DS融合引擎中所获得,并会在时间窗口中对其进行统计与研究,以实现对威胁因子的计算。而仿真网络在运行一段时间之后,相关人员会开始模拟对网络进行攻击,且攻击时间由此自行进行安排,并会对攻击对象实施选择性重放处理。通过对攻击前后网络安全态势的分析发现,虽然攻击之后系统会出现异常情况,却有着一定规律,可以按照服务安全态度与发展情况对其进行合理防护,便能科学对服务问题进行控制。
3.2 主机安全态势
通过对该部分安全态势感知的分析可以发现,如果主机运行服务出现问题,就会生成不良后果,而其能够作为重要依据来对服务权重进行明确,通常权重等级主要分为高级、中级以及低级三类。通过分析可以发现,如果服务相同,则其安全态势也较为类型,且在重大问题出现前,其安全态势会出现异常的情况,管理人员可以按照这一特点,提前做好攻击防护准备,并按照威胁程度等级做出相应的处理即可。
3.3 网络安全态势
在对网络安全态势需通过对主机重要权重进行确定来进行感知,其与机密数据存在性、主机资产价值以及关键服务数目有着直接的关联,通过归一化手段处理之后,相关人员能够对一段时间内的安全态势变化情况进行明确,并可以准确分析出可能存在的攻击情况,从而及时对其做出应对,以确保网络威胁因素能够在可控范围之内。
4 结束语
基于融合理念进行的网络安全态势感知,能够通过多源融合的方式,来对网络中的异质环境内存在的威胁因素进行融合,进而形成威胁因素分子,进而对量化感知过程进行完善,确保管理者能够通过对层次关联内容进行推理的方式,来对存在的安全隐患进行确定,以便及时对其进行剖析与解决,进而切实强化环境适应能力,保证网络环境安全系数。
参考文献
[1]文志诚,陈志刚,唐军.基于信息融合的网络安全态势量化评估方法[J].北京航空航天大学学报,2016(08):1593-1602.
一.研究内容
本报告研究内容主要包括以下几个方面:1.中小企业网络安全的需求特点。根据对中小企业的分类(见报告正文),分别对初级、中级、高级中小企业网络安全的需求特点做了分析。
2.针对初级、中级、高级中小企业的网络安全需求分别研究了解决方案。
3.对中小企业网络安全市场做了增长趋势预测。
4.分析了网络安全厂商的捆绑策略,并对网络安全厂商合作中需要注意的问题和选择合作伙伴的标准做了建议。
二.中小企业网络安全的需求
1.中级中小企业防入侵、防垃圾邮件的需求没有得到中小企业的足够重视,这两个方面的需求没有得到有效的满足。市场上虽然有解决此类问题的产品,但由于中级中小企业防护意识的缺乏,以及存在信息不对称和相关知识缺乏的问题,需求并没有被满足。这需要厂商加强宣传和引导。
2.高级中小企业的网络安全方面,防止内部人员窃取和攻击、防止无线数据的拦截这两方面没有得到中小企业的足够重视。网络安全厂商所关注的重点,仍主要集中于防病毒、防垃圾邮件、防止非法入侵、身份识别与访问控制、反端口扫描、数据的备份和恢复等方面,对防止内部人员窃取和攻击、防止无线数据的拦截这两方面重视程度不够。例如防止无线数据的拦截方面,网络安全市场就缺乏针对中小企业此方面需求的相关产品。
三.中小企业网络安全市场的增长趋势
1.初级中小企业网络安全的市场价值20__年为0.7亿元人民币。在20__年,市场价值将增加到1.6亿元人民币,但年增长率由20__年的42.9降低到20__年的23.1。
2.中级中小企业网络安全的市场价值在20__年为2.2亿元人民币。20__年市场价值将增加到5.3亿元人民币,但年增长率由20__年的45.5降低到20__年的23.3。
【关键词】 做中学;VMware;计算机网络安全
一、引言
在高职课程基于CDIO(即构思(Conceive)、设计(Design)、实现(Implement)、运作(Operate)4个单词的缩写,是“做中学”原则和“基于项目的教育、学习”的集中体现)思想进行课程改革的今天,相信同样担任《计算机网络安全》课程教学任务的同行们有这样的感受:作为计算机网络专业的经典课程,《计算机网络安全》课程改革在实现起来困难重重。
究其原因,大致分如下两个方面:首先实训平台的搭建。《计算机网络安全》的项目实践需要计算机网络环境的支持,这无形中提高了实训的环境建设的成本。另外,如果学生人手一台计算机,多人合作进行实训,学生也会受到所担角色的限制,只能完成某一方面的任务,不能窥其全貌。其次如何对课程体系解构,重新排序知识点,才能凸显行动体系的重构,实现学习领域的定位?网络安全知识众多,像网络攻击与防护、网络嗅探、加密和虚拟专用网VPN等,它不像语言类课程一样,通过一个综合项目的程序编写就可以切身体会数据结构和算法的功用,而且网络安全更强调正反两方面分析问题,要从安全隐患确定防范策略。
因此,如何引入新的教学平台和教学手段,对于《计算机网络安全》课程改革,已显的尤为重要。本文将通过一个教学案例的设计,提出VMware Workstation虚拟工具实现《计算机网络安全》“做中学”课程改革的实现思路。
二、平台概述
VMware Workstation是VMware公司推出的一款虚拟机仿真程序,它可以在一台计算机上模拟多台虚拟计算机,并可以实现虚拟机与物理计算机、虚拟机与虚拟机之间的网络连接。VMware主要支持三种网络连接形式,即“桥接”方式、“NAT”方式、“仅主机”方式。基于VMware Workstation,可以实现《计算机网络安全》教学所需的网络操作环境。笔者在一台安装有Windows XP的物理微机上,安装一台Windows XP和Windows 2003 Server的虚拟机各一台,并且通过“仅主机”方式实现三者的内部联网,再辅以《计算机网络安全》课程思想和相关工具,以此搭建出实践教学平台。
三、实现过程
通过VMware Workstation虚拟软件,在一台安装有Windows XP的计算机上,安装配置一台Windows XP的虚拟机和安装有Windows 2003 Server的虚拟机,并通过“仅主机”方式实现物理计算机和两台虚拟机系统的网络连接。其中,安装了Windows 2003 Server系统的虚拟机作为网络中的服务器,并且通过Serv-U的安装配置,实现FTP服务器的功能。另外安装PGP软件,实现加密解密的实训环节;物理计算机担任网络客户端的角色,可以使用Internet Explorer和CuteFTP 软件实现对服务器FTP资源的常规访问;配置有Windows XP的虚拟机作为网络中的“不良分子”,通过Sniffer Pro和“Wireshark”软件侦听网络环境,实现网络嗅探的功能。(如图2所示)的三台设备分别配置好IP地址之后,即虚拟实现了(图1中)的小型局域网的环境,实现网络安全实训平台的搭建。
(1)网络侦听实训模块。正常情况下,当我们在Windows 2003 Server平台下,经过释放IIS的FTP资源,启用Serv-U程序,然后新建FTP站点,再创建相应访问账号后,FTP服务器即对局域网内的其他用户开放了。为了保证合法使用者的访问权,FTP采用授权用户访问的形式有限对客户端开放上传和下载功能,授权账户信息的用户名为admin,密码也是admin。这个时候,作为正常客户的物理计算机,可以通过Internet Explorer访问FTP服务器的资源。假设企图进行侦听的Windows XP虚拟计算机,早先开启了Sniffer Pro工具进行侦听,则可以截获(如图3所示的信息)。由此可以看出合法用户的登录账号被侦听者直接获取,这主要是因为默认FTP信息是以明文的形式进行传递导致。
负责侦听的虚拟机甚至可以通过“Wireshark”工具直接读取上传、下载数据文件的内容。“a1.txt”文件是一个ASCII编码的纯文本文件,在合法用户在服务器上下载的同时,(通过图4可以看到)“a1.txt”的正文被侦听程序直接截获。以模块一所暴露出来网路安全问题,让学生对当前网络安全的现状进行反思,鼓励学生提出自己的处理方法,并且引导学生通过数据加密等思想、工具来解决问题。
(2)加密模块。针对“Wireshark”可以侦听到数据文件内容的问题,数据加密技术可以有针对性的进行解决。数据加密的基本过程是对原为明文的文件或数据内容按照某种算法进行处理,使其成为不可读的一段代码,即密文,使其只能在输入相应的密钥后,才能显示本来的内容的过程。主流的加密工具有很多,例如PGP软件,作为一款诞生于1991年的优秀的加密软件的代表,PGP可以实现大部分的加密和认证算法,并且可以非常好的支持现代加密技术中的非对称加密技术。若在服务器虚拟机上,执行PGP软件的加密功能,将涉及传输的数据文件在传输之前,封装成可以不依靠PGP软件自解封的文件,则PGP软件的像RSA等优秀加密技术可以保证在资源传输过程中,即使被侦听软件抓取到数据内容,由于数据本身是经过加密的,作为未获得合法用户密钥的侦听者,也无法读取到文件的内容。
(3)虚拟专用网VPN模块。随着数据应用规模的扩大,单纯的从数据文件角度进行加密操作显的无法满足用户对网络安全的需要。如果可以针对数据传输过程进行始于发送、终于接收的安全加密,才能更好的实现网络安全的目标。以隧道技术为实现核心的VPN技术,正可以提供出与企业级别的专用网络一样的安全性和可管理性。VPN(Virtual Private Network)即虚拟专用网,是通过综合利用访问控制技术和机密技术,并通过一定的密钥管理机制,在公共网络中建立起的安全的“专用”网络,保证数据在“加密管道”中进行安全传输。作为提供FTP服务器支持的Windows 2003 Server操作系统,可以原生支持VPN功能。仅需要在开始菜单上面,选择“管理我的服务器”,添加虚拟专用网(VPN)角色,即可以完成VPN服务器的创建。为了更好的实现VPN的易用性和可靠性,还需要进行“路由和远程访问”功能的设置,比方说VPN客户身份验证方法的确定,客户端网络地址的分配,以及网络端口的设计。
然后,Windows 2003 服务器再为登陆客户设置合法账户,设置访问权限。物理计算机即可通过“新建网络连接”的方式,建立起与服务器的安全连接。(像图5所示)的那样,合法客户在VPN安全连接的支持下,可以128位加密的形式,进行数据传输。此时,包括“Wireshark”、“Sniffer Pro”在内的嗅探软件,也无法直接读取到用户的账户信息和数据文件的正文了。
(4)基于客户端软件支持的账户保护措施。除了借助于第三方的加密工具和VPN的支持外,深度挖掘FTP本身应用工具的潜力,也是可以帮助提高网络安全性能的选择。Serv-U的FTP服务器工具内就包含有保护网络安全的相应选项,像数字安全证书等,其实,最为简单的,可以直接对账户本身进行MD5、MD4的加密,以解决账户信息被“Sniffer Pro”这样的软件侦听到内容的问题。Serv-U程序可以在上传、下载账户选项处,选择将“密码类型”由“规则密码”设置为“OTP S/KEY MD4”或者“OTP S/KEY MD5”方式(如图6所示)。这个时候,作为客户端计算机,由于Internet Explorer不支持直接通过带MD5加密的账户访问FTP,则需使用第三方FTP客户端(比方说CuteFTP等)实现对服务器的访问。相应的,在FTP客户端的密码保护类型选择处,也需设置为MD5或者MD4类型。设置完毕后,再次通过“Sniffer Pro”捕获数据封包,密码部分会以无序字符的形式进行显示(如图7所示),即实现了网络安全的访问保护。
通过网络侦听、数据加密、传输加密、工具强化等一系列模块的过程化的学习和实践,学生一方面可以在网络应用的同时,体会安全、分析安全、实现安全,而且还能从网络节点端、信道传输、应用层次上,基于具体操作过程化的掌握网络安全的相应技术。
教学过程即将结束之时,还可向学生提出几点建议和注意事项:
建议一:网络环境中存在着各式各样的安全隐患,在网络安全问题面前,可以通过网络安全技术有针对性的解决问题。
建议二:抛弃浏览器,选择专用FTP工具,用带有“嗅探”功能的下载工具可以提升FTP下载速度,也可以增强网络访问的安全性。
建议三:在实践过程中,不断发现问题、分析问题、解决问题,培养独立处理网络安全问题、错误的能力。
建议四:网络应用安全功能的强化的过程,也是针对前序课程知识深化的过程,需不断巩固以前所学,增加新知识的积累,才能更好的在专业学习上有所突破。
四、结语
美国著名教育学家杜威说过,“从做中学是比从听中学更好的学习方法。”它把学校里知识的获得与生活过程中的活动联系起来,充分体现了学与做的结合,知与行的统一。凭借VMware Workstation我们可以在单一的一台计算机上建立一个可以实现完整安全技术实训的虚拟网络平台,全方位的来实践安全配置操作,提高解决实际问题的能力。这就好比是一个框架,在这个框架里你可以配置任何类型的安全功能或所要求的安全软件,同时实现网络数据的捕获和安全控制。虽然网络安全工具众多,功能强大,但很难针对大多数网络安全问题提出解决方案。这也就使得我们培养的学生学会多方面的网络安全设置办法,通过特定的设置降低危险性。危险只能减缓,不可能全部消除,网络安全就是“魔高一尺,道高一丈”。人们研究新的技术来模拟攻击者的行为,使相同的攻击行为在针对这些技术演化中得出相应的对抗措施。
参考文献
[1]查建中.《面向经济全球化的工程教育改革战略》.《高等工程教育研究》.2008(1)
关键词:计算机信息管理技术;网络安全
中图分类号:TP393.08
在当前信息化的时代背景下,计算机信息管理技术越来越深入到社会各阶层和各个生活方面,并且得到了广泛的应用,对社会的广大用户和整个社会利益产生了巨大的影响。网络已然成为人们日常生活中必不可少的一部分,许许多多重要的计算机信息化管理、服务系统都依托于网络而运行,因此,网络安全便成为计算机信息管理系统中安全能动性的重要组成部分,它贯穿在计算机信息管理系统的规划、设计、运行、实施和维护的各个阶段,提高网络安全的警惕性,保证计算机信息管理可以在网络安全中应用更加合理、可行,成为推动整个社会信息化建设步伐的重要内容。
1 网络安全的现状
《CNNIC:2014年第33次中国互联网络发展状况统计报告》提供的统计数据显示:截至2013年12月,我国网民规模达6.18亿,我国手机网民规模达5亿,域名总数为1844万个,相较于2012年都有很大比例的增长;我国企业使用互联网的比例为83.2%,全国宽带的普及率也越来越高,我国的信息安全技术和研究依然处于初级阶段,目前常见的网络不安全现象有:木马病毒、手机病毒、网站攻击事件、网络钓鱼事件、漏洞情况、浏览器的恶意篡等典型的网络安全事件等等,病毒威胁成为普遍的网络不安全现象,给网络使用者带来了极大的不便,甚至产生了很大的损失。
2 网络安全的主要内容
网络安全对政府、企事业单位和个人使用者来说都是极端重要的,而在互联网络中没有绝对的安全,网络是在一个国际性的开放性的环境中存在,所以,“安全”的这种担保就显得日益薄弱,甚至在一个比较小型的环境中的安全也显得格外的困难。在国际标准化组织(OSI)网络管理标准中规定了网络管理的五大功能,配置管理、性能管理、故障管理、安全管理和计费管理,由此可以看出,安全管理是网络管理五大功能中非常重要的一个功能。
网络安全管理的内容有:
(1)计算机信息管理系统(即软件)的安全。计算机信息管理系统(即软件)的安全可以采用用户认证、访问控制、数据传输、数据维护、数据存储的保密与完整性机制等内容,保障网络管理系统本身的安全。
(2)网络资源的安全。网络资源包括有:IP地址资源、域名资源、服务器资源(Web服务器、E-mail服务器、FTP服务器、DNS服务器、Proxy服务和数据库服务器等)、用户资源、网络信息资源(信息的、过滤、导航、查询、统计、汇总、分类等)和磁盘资源等等,我们能够通过控制这些网络资源来保证网络资源的安全访问,从而使得网络为用户提供更好、更优质、更有保证的服务。
(3)网络存储技术安全。网络存储数据的安全性是网络安全管理中极其重要的一个组成部分,若重要的计算机存贮数据被损坏或者丢失,会对企业日常生产、经营、销售等各个环节产生很大的危害,甚至是会形成无法估计和难以弥补的损失,影响是相当大的,所以计算机系统不是永远可靠的,也不是绝对安全的,仅仅依靠双机热备份、磁盘阵列、磁盘镜像、数据库软件的自动复制等备份功能已经解决不了网络安全的问题,所以,计算机网络需要有完整的数据存储模式。
3 网络安全防御与改善措施:
网络安全问题潜藏在我们每一个人周边的现实存在着威胁,网络攻击时刻都在发生,威胁无处不在。在云计算、大数据等现代化技术日益进化的今天,在即将到来的移动互联网、物联网新时代,计算机信息管理技术在网络安全中的实际应用越来越明显,我们有必要加强网络安全的防御,提高个人防范意识,提出相应的改善网络应用问题的相关措施与策略。
3.1 网络安全风险评估
网络安全风险评估主要有:识别网络安全事故的危害、评估危害的风险和控制网络安全风险的措施及管理。通过进行网络安全风险评估,我们可以做到实时发现问题,及时地防范风险带来的危害,有步骤的调整网络安全措施,从而达到保障网络安全运行的目的,保证计算机信息管理系统更加及时地应对不断发展变化着的网络安全问题,提出解决方案,提高自身网络安全的防御能力。
3.2 网络安全风险防范管理
国家可以通过建立网络信息安全漏洞共享平台和反网络病毒联盟组织等政府性、专门性质网络安全风险防范组织或团体等,尽可能减小或者避免网络攻击所造成的损失,做好对不良因素的防范工作,减轻网络危害的效果及带来的影响,更深层次地、有针对性地应用网络安全技术,全面地提高网络安全水平,推动我国信息化纵向发展。
3.3 建立良好的网络安全机制
为了有效地发挥计算机信息管理技术在网络安全中的作用,要求建立良好的网络安全机制和网络信息安全系统,强化机信息网络的安全规范化管理力度,构建信息管理技术模型,从而确保网络系统的安全。
目前,我们常用的安全机制有身份验证、授权技术、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。这些网络安全管理机制,需要得到社会性的推广和应用,我们依然需要进行详细、具体和长期的规划与实践,网络安全机制是计算机信息技术网络安全管理中的重要组成部分,也是最核心与关键的技术控制环节,我们要不断的进行研究与改进,提高应对突发事件处理和解决的能力,全方位、多角度的做好这部分工作。
4 结束语
随着经济全球化的发展和信息化的浪潮不断壮大,计算机信息管理技术得到了越来越多的普及及应用,加强网络安全系统建设刻不容缓,网络安全业务的发展离不开个人、企业、组织、国家和国际社会的共同努力,只有依靠各方各尽其责、紧密合作,才能保障互联网的健康、有序和持续发展。同时,要提高网络信息安全的防范和应对处理意识,做好网络安全风险的防范计划与策略,保证我国的信息网络安全,为我国的国民经济发展做出有利的铺垫,进而使得计算机信息管理在网络安全应用中的管理技术能够健康、全面的发展,推动整个社会的信息化的步伐。
参考文献:
[1]耿金秀.浅谈计算机网络安全防范措施[J].中国科技信息,2011(08).
[2]马小娟.浅谈计算机信息管理技术在网络安全中的应用[J].2013(03).
[3]张统豪.计算机信息管理技术在网络安全中的应用[J].计算机光盘软件与应用,2012.
[4]尧新远.计算机信息管理技术在网络安全中的应用[J].软件,2012(07).
作者简介:周军辉(1973.01-),男,湖南岳阳人,计算机副教授,研究方向:网络技术、信息处理。
关键词:计算机网络安全;网络技术;网络管理
中图分类号:TN71 文献标识码:A
1 关于网络安全的定义和具体的特点
从根源上说,网络安全是网络中的信息安全,是体系中的软硬件等不扰。不受到不当的更改等,为保证体系的运行顺畅,网路活动一直持续开展。站在使用者的层次上来看,其总是想让那些牵扯到个体以及和商业等的数据在网络中才传递的时候受到精准的维护,防止别的人对其干扰,比如偷听以及改动等等。站在运作者和管控人员的层次上来看,其总是想让所在区域的数据方位以及其他的一些活动受保护,防止存在病毒以及不合法的存取等等的一些现象出现。防止黑客的干扰。
对于网络的安全来讲,结合它的本质的明确,要具备如下的一些具体的特征。第一,机密特征。具体的说是信息不会传递给那些没有受到权限许可的个体。在体系中,所有的层次中多有不一样的机密特征,同时还有具体的应对方法。从物理层来讲,要确保实体不会按照电磁的体系来外泄信息,在运行领域之中,要确保体系结合授权带来服务活动,确保体系在何种时刻都不会被那些没有授权的人运行,不会扰,不会入,同时也不会出现顺序的错乱等等。第二,可用特征,它是说使用者可以访问而且结合规定的次序运行信息,也就是说确保使用者在需求的时候能够访问相关的信息内容。对于物理层次来讲,要确保信息能够在非常差的氛围之中活动。对于运行层次来讲,要确保体系能够为授权者带来活动,确保体系可以有序的运行,此时人不能够否认其信息。而接受人不能够否认获取的信息。
2 关于当前的具体状态
由于电脑和通信科技的高速前进,此时信息的保密性等受到人们的普遍关注。网络本身的开放性和共享性等等的一些特征使得其中的信息稳定性受到干扰,同时因为体系中的一些不利现象的存在等,使得网络容易扰,所以是用的方法要能够综合的处理面对的不利现象,以此来确保信息精准合理。目前的体系和协议并非是完整的。
所谓的网络的安全,具体的说是探索和电脑有关的安全事项。实际的讲,其探索了安全相关的内容。任何电脑都不能够脱离人而存在,网络的安全性不但要借助于技术层次的方法,同时还要靠着法规层次中的一些方法。客户/服务器计算模式下的网络安全研究领域,一是OSI安全结构定义的安全服务:鉴别服务、数据机密、数据完整、访问控制服务等;二是OSI安全结构定义的安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、通信填充等机制以及事件检测、安全审查跟踪、安全恢复;三是访问控制服务:访问控制服务中的安全技术有静态分组过滤、动态分组过滤、链路层网关、应用层网关;四是通信安全服务:OSI结构通信安全服务包括鉴别、数据机密性和完整性和不可抵赖服务;五是网络存活性:目前对Internet存活性的研究目的是开发一种能保护网络和分布式系统免遭拒绝服务攻击的技术和机制。
3 关于网络安全的应对措施
如今的网络安全是一项非常综合的活动,其是一个整体。它由很多个要素构成,比如应用体系以及防火墙等等,任何独立的组件是不能够保证安全的。(1)防病毒技术。网络中的系统可能会受到多种病毒威胁,对于此可以采用多层的病毒防卫体系。即在每台计算机,每台服务器以及网关上安装相关的防病毒软件。由于病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略;(2)防火墙技术。防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通信,提高内部网络的安全。(3)入侵检测技术。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段。实时入侵检测能力之所以重要,是因为它能够同时对付来自内外网络的攻击;(4)安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。如果说放火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然;(5)网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
4 关于网络的安全管控活动
安全管控是对全部的电脑网络的应用体系里的多项安全工艺和产品等开展综合化的维护,进而提升整体的防御水平。最开始的时候,人对于其安全的认知只是一种单点模式的,比较不集中的。容纳后的体系都使用不一样的安全装置来获取与之对应的安全功效,现在的安全设备不是很集中,所有的安全活动要单独的开展配置工作,各个管控设备间不存在有效连通特征,不过因为各类科技和产品的组成体系非常的繁琐。假如管控工作者要设置综合的安全策略的话,要对不一样的装置开展单独的维护活动,尤其是在总的安全方法要调节的时候,一般无法综合的分析总体的一致特点。
网络管理的趋势是向分布式、智能化和综合化方向发展。(1)基于Web的管理。www以其能简单、有效地获取如文本、图形、声音与视频等不同类型的数据在Internet上广为使用;(2)基于CORBA的管理。公共对象请求体系结构CORBA是由对象管理小组为开发面向对象的应用程序提供的一个通用框架结构;(3)采用Java技术管理。Java用于异购分布式网络环境的应用程序开发,它提供了一个易移植、安全、高性能、简单、多线程和面向对象的环境,实现“一次编译,到处运行”。将Java技术集成至网络管理,可以有助于克服传统的纯SNMP的一些问题,降低网络管理的复杂性。
参考文献
[1]张世永.网络安全原理与应用[M].北京:科学出版社.
关键词:三网融合;计算机网络;安全问题
中图分类号:TN915.08;TN943.6
1 三网融合概述
1.1 三网融合概念。三网融合是通信融合的广义说法,主要是指广播电视网、互联网、电信网的融合,现阶段三网融合的发展已经不仅仅局限于三大通讯网络的物理结合,而是通过高层业务应用的应用对网络通信系统的优化。三网融合主要表现三个以上网络技术的趋向一致性,从而实现通讯信息在网络上的互通互联,业务上的交叉和渗透。在网络应用上,一般使用统一的IP协议,在经营上互相合作、相互竞争、明确职能关系、从而构建出完善的信息服务监管体系。
三网融合建设完成之后,网络用户不需要使用电话、电视、物联网等多个线路来实现信号的传送,只需要三网融合线路就可以获得所有通讯服务,也就是说用户可以通过一条通讯线路就可以完成打电话、看电视、上网等日常信息处理,但是随着用户通讯途径的拓广,随着而来的网络安全问题也变得日益严重起来。
1.2 我国三网融合发展现状。近几年来,世界上很多发达国家、发展中国家都陆续投身到三网融合建设中来,我国相较于发达国家,三网融合建设仍处于起步阶段。2002年我国首次提出三网融合建设纲要,倡导“电视、电信、计算机三网融合”,2009年,在我国国务院常务会议上,提出“加快推进广播电视网、互联网、电信网的三网融合,同时会议还明确提出了三网融合建设方针,可见三网融合建设是我国经济建设的重要组成部分。2010年后,我国先后在20多个试点城市开展三网融合建设,这也标志着我国三网融合建设进入实质性推行阶段。
2 三网融合下计算机网络安全问题
三网融合下的计算机网络安全问题,一直困扰着我国计算机网络技术安全科研人员,如何快速找到网络危险来源进而更好的抵制网络威胁,是科研人员要考虑的重要问题。三网融合下计算机网络安全威胁主要分为两类,即人为故意攻击和破坏、非人为灾害和系统故障。本文主要从计算机网络安全角度介绍人为故意攻击和破坏手段,主要有以下几种。
2.1. 网络协议欺诈攻击。此类计算机网络安全攻击是利用网络协议漏洞进行信息系统攻击的,通过假定的数据包和一系列欺诈信息,造成计算机网络出现“错误认证”现象的网络攻击手段,如源路由和源IP地址欺骗攻击,通过对网络节点IP的自封包装或修改,冒充可信IP网络对其进行网络攻击。
2.2 拒绝服务攻击。在三网融合的网络环境下,会经常出现拒绝服务现象,攻击者会加载多个服务侵占对方全部网络信息资源,使得网络无法供其他用户使用。其攻击目的就是让网络系统失去全部或一部分服务功能,使网络失去服务请求能力,实现对整体网络安全系统的破坏。在这些网络服务攻击中,以网络协议为核心的服务攻击最为普遍,由于网络协议是针对不同网络平台制定的,其本质上没有太大区别,所以该网络攻击手段具有良好的平台无关性。
2.3 内存缓冲攻击。在程序缓存时,内存缓冲攻击经常将大量垃圾内容加载到缓冲区当中,致使缓冲区溢出,程序将无法执行当前命令,从而破坏网络程序的正常堆栈。普通的缓冲区堆积信息一般不会造成网络系统的瘫痪,所以为了实现其攻击目标,网络攻击黑客通常会在缓冲区溢出程序中运行shell用户,通过shell执行攻击指令。在网络程序有root权限的情况下,攻击者就可以通过内存缓冲攻击对网络系统实施任意操作指令。
2.4 计算机病毒攻击,是网络安全攻击中最常见的一种攻击手段,通过计算机病毒的传播行为和不断自我复制干扰计算机网络程序正常运行。计算机病毒会广泛传播的主要原因就是目前我国计算机windows系统安全级别较低,对访问权限和系统资源都没有进行有效的保护措施。
3 传统的计算机网络安全技术
计算机网络安全技术是为了抵御网络攻击应运而生的网络技术,传统的计算机网络安全技术主要有以下几种。
3.1 虚拟计算机网路技术。是指不同区域内的计算机通过网络管理设备虚拟连接组成的虚拟网络,它消除了不同区域内的通讯限制,使多个网络可以共享一个信息平台。目前的虚拟计算机网络技术有局域网技术、虚拟专网技术等。
3.2 防火墙技术。防火墙是互联网在各基层网络之间设置的安全保护屏障,在网络进行信息传送之前对信息来源进行安全检测。防火墙主要分为三类:服务型、应用网关型和过滤型,其安全技术主要是对信息数据进行检测。防火墙有软件防火墙和硬件防火墙之分,硬件防火墙的安全性能好,但是其造价非常昂贵,只使用于对网络安全环境要求较高的网络系统;软件防火墙虽然安全性能较差,成本造价低,对于网络安全环境要求较低的网络系统软件防火墙应用更为广泛。
3.3 入侵检测技术。入侵检测技术是防火墙的加强和延伸,它是一种检测网络安全策略的行为技术,能够同时应对不同网络形式的攻击。入侵检测技术主要分为三类:基于网络的入侵检测技术、基于主机的入侵检测技术、分布入侵检测技术。
3.4 用户访问控制技术和数据加密技术。对网络通讯信息进行数据加密可以有效的保护网络传输过程中的内部文件和数据信息,是对动态网络信息的保护。访问控制主要是对静态网络信息的保护,通过不同系统的安全检测,对传送至各个系统的文件进行安全检测。
4 三网融合下的计算机网络安全架构
三网融合下的计算机网络安全体系,主要采用分级、分层处理。
4.1 分级处理。分级就是根据计算机网路安全的级别制定不同的防护措施,对安全级别要求高的领域如政务系统、公安系统、电台系统等采用级别、安全系数较高的计算机网路安全技术;对安全级别要求不高的如普通网络用户采用级别、安全系数一般的计算机网路安全技术。级别、安全系数较高的计算机网路技术主要是通过专用的防火墙、各类网闸、杀毒软件、入侵检测系统等,使网络系统在安全环境下进行信息传递。级别、安全系数一般的计算机网络技术主要是通过杀毒软件、普通的网络防火墙实施对计算机网路系统的安全防护工作。以上文提到的电台计算机网络安全维护技术为例,电台的外网和内网的网络安全技术就是分级处理的,电视制作播放的视频数据需要级别、安全系数较高的安全保护,因此在内网制作播出的视频数据传送之间的网络采用隔离网闸技术和杀毒软件双重保护,外网采用级别、安全系数较低的入侵检测系统和普通防火墙保护。
4.2 分层处理。(1)分层处理从信息内容和网络安全两个层面选用计算机网路安全技术,并建立完善的网络安全体系。三网融合下的网络信息量非常庞大,在大量危险信息充斥网络的情况下,单一过滤危险信息解决不了网络安全的根本问题。所以在计算机网络安全技术改革中,首先要制定完善的计算机网络法律体系,确定信息安全标准。之后在通过计算机网络安全技术的分层处理,对计算机网络安全进行保护,采用的技术手段主要有:1)利用数据加密技术对通讯信息内容进行加密;2)通过网络防病毒技术实时检测信息内容的病毒并进行处理;3)设置网络监听、过滤不良信息机制。计算机网络层面技术方法有网路访问控制、入侵检测、防火墙等技术,在需要保护网络和单元之间设置一个安全屏障,以便对外来信息进行安全检测或过滤。(2)分层处理也可以从广域网、大型局域网、中型局域网、小型局域网、TC机的角度划分,以基础网络为基准,把网络分为内网、外网、内外网之间三个部分。主要是为了解决内网和内外网之间的计算机网络安全问题,针对每个基层网络的特点制定不同的安全策略。
5 总结
近年来,我国三网融合建设已经具备了网络基础、市场空间和安全技术等发展条件。随着三网融合的飞速发展,建设过程中的信息和网络安全也备受关注,通过对计算机网络安全技术的改革和创新,目前我国的三网融合安全体系已初步建立,相信未来的三网融合建设会更加稳定向前发展。
参考文献:
[1]熊磊.三网融合下广电网络运营商发展战略研究[D].华中科技大学,2012(10).
[2]朱建军.三网融合视野下的网络安全与信息监控初探[J].公安研究,2011(1).
【关键词】校园网络;网络安全;信息安全;防范体系
【中图分类号】G40-057 【文献标识码】A 【论文编号】1009-8097(2012)09-0053-04
随着信息技术的快速发展和高校网络基础设施的不断完善,资源整合、应用系统和校园信息化平台建设已经成为校园信息化的主要任务。在新的网络信息环境下,信息资源也得到更大程度地共享,3G、IPV6、虚拟化和云计算等新技术开始研究和实施应用;三网融合、云服务及“智慧校园”等服务新理念的不断提出,使得校园网规模不断扩大,复杂性和异构性也不断增加,而这些需求都要求有一个能够承载大容量、高可信、高冗余和快速稳定安全的校园网作为基础条件。与此同时,高校用户在享受信息化成果所带来的工作高效和便利的同时,也面临着来自校园网内部和外部带来的各种安全威胁和挑战。因此,有必要建立一套高效、安全、动态网络安全防范体系,来加强校园网络安全防护和监控,为校园信息化建设奠定更加良好的网络基础。
一 校园网络安全面临的问题
1、网络安全投入少,安全管理不足
在校园网建设过程中,管理单位主要侧重技术和设备投入,对网络安全管理不重视,在网络安全方面投入也较少,一般通过架设出口防火墙来保护校园内部网,缺少对安全漏洞的分析和病毒的主动防范的系统。同时,由于高校机构设置的原因,很多高校在网络管理方面存在人员不足,同一个技术人员同时肩负着建设、管理和安全的工作情况Ⅲ,在校园网安全管理方面,实践经验告诉我们,校园网络安全的保障不仅需要安全设备和安全技术,更需要有健全的安全管理体系。很多高校没有成立信息安全机构,缺乏完善的安全管理制度和管理规范,在网络和信息安全方面没有根据重要程度进行分级管理。有统计表明,70%以上的信息安全问题是由管理不善造成的,而这些安全问题的95%是可以通过科学的信息安全管理制度来避免。
2、系统和应用软件漏洞较多,存在严重威胁
传统的计算机网络是基于TCP/IP协议的网络。在实际运用中,TCP/IP协议在设计的时候是以简单高效为目标,缺少完善的安全机制。因此,基于TCP/IP而开发的各种网络系统都存在安全漏洞,黑客往往把这些漏洞作为攻击的突破口。安全漏洞主要包括交换机IOS漏洞、操作系统漏洞和应用系统漏洞等,操作系统漏洞如WINDOWS、UNIX、LINUX等往往存在着某些组件的安全漏洞,如果管理员没有及时更新系统补丁或升级软件,就会成为众多黑客攻击的目标。应用程序漏洞往往出现在最常用的软件上,如IE、QQ、迅雷、暴风影音等经常存在一些安全漏洞,这些漏洞很容易成为黑客攻击最直接的目标,给校园网带来了严重威胁,使得校园网络安全需要投入更多的精力,需要从各个层次进行防范。
3、网络安全意识淡薄,计算机病毒较多
高校校园网主要的服务群体是教职工和学生,用户计算机网络水平参差不齐,在日常上网行为和使用计算机过程中,很多用户缺少足够的网络安全意识,比如教职工为了教学科研和日常办公方便,经常使用简单的密码来管理计算机和各种业务系统,造成密码容易被非法盗用,从而导致系统和网络安全问题,黑客通过盗取个人信息进行诈骗或者获取用户账号信息来谋求不法利益,甚至有些黑客在用户的计算机安装后门木门,并作为僵尸网络的攻击工具。另外,计算机技术的飞速发展也使得计算机病毒获得了更加快捷多样的传输途径,各种新型病毒不断升级变异,并通过U盘、移动终端、局域网等各种方式进行广泛传播。如何提高用户的网络安全意识,有效解决病毒对校园网络安全的威胁,也是校园网管理人员必须面临的一个问题。
二 构建校园网络安全防范体系
针对校园网络安全的各种安全隐患和威胁,要有效地进行防范,我们必须了解网络安全的体系结构及其包含的主要内容,国际电信联盟电信标准部(ITU-T)在X-800建议中提出了开放系统互连(OSI)安全体系结构,OSI安全体系结构集中在三个方面:安全攻击,安全机制和安全服务。安全攻击是指损害机构所拥有信息的安全的任何行为;安全机制是指设计用于检测、预防安全攻击或者恢复系统的机制;安全服务是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如图1所示。
在校园网络管理中,网络安全防范根本任务就是防范安全攻击,提供安全可靠的信息服务。在计算机网络发展过程中,人们在不断实践总结的基础上逐渐形成了动态信息安全理论体系模型,如P2DR模型,主要包括:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。该模型以安全策略为指导,将安全防护、安全检测和及时响应有机地结合起来,形成了一个完整的、动态的安全循环,有效地保障了保证网络信息系统的安全。
关键词:信息安全 网络 安全对策
中图分类号:TP393.0 文献标识码:A 文章编号:1007-9416(2012)10-0187-01
在当今社会,信息、能源、物质一起构成三大支柱资源,而其中的信息资源,对人们来说已十分熟悉。随着科技的进步,信息越来越显得重要,信息是一种财富,对经济的繁荣、科技的进步,社会的发展都起着极为重要的作用。同样,对信息的保护也是一件非常重要的工作。因此,在我们尽享互联网带给的方便与快捷的同时,如何保障计算机信息安全也成了不可忽视的问题。
1、什么是计算机网络信息安全
计算机网络信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
2、网络信息安全的目标
网络安全的最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性和拒绝否认性。
可靠性(reliability)是所有信息系统正常运行的基本前提,通常指信息系统能够在规定的条件与时间内完成规定功能的特性。可控性(controllability)是指信息系统对信息内容和传输具有控制能力的特性。拒绝否认性(no-repudiation)也称为不可抵赖性或不可否认性,是指通信双方不能抵赖或否认已完成的操作和承诺。利用数字签名能够防止通信双方否认曾经发送和接受信息的事实。
3、网络信息安全面临的漏洞与威胁
3.1 软件漏洞
软件漏洞(flaw)是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成的安全隐患,也称为软件脆弱性(vulnerability)或软件隐错(bug)。软件漏洞产生的主要原因是软件设计人员不可能将所有输入都考虑周全,因此,软件漏洞是任何软件都不可避免的客观事实。
3.2 网络协议漏洞
网络协议漏洞是指网络通信协议不完善而导致的安全隐患。目前,Internet上广泛使用的TCP/IP协议族中几乎所有协议都存着安全隐患,比如数据链路层的地址解析协议ARP(address resolution protocol)、逆向地址解析协议RARP(reverse address resolution protocol)、应用层的域名系统DNS(domain name systems)等。
3.3 安全管理漏洞
软件漏洞和网络协议漏洞都是天生具有的,但是由于安全管理疏漏而产生的安全漏洞则的人为造成的。
由于计算机网络包含各种网设设施、服务器、工作站和网络终端等设备,每个设备又可能安装了不同操作系统和应用软件,各自都具有不同的安全隐患。因此计算机网络安全隐患由大量子系统安全隐患聚集而成,导致网络安全隐患数量庞大并且非常复杂,由此提升了网络安全技术管理的难度和成本。
3.4 网络威胁来源
网络安全威胁是指事件对信息资源的可靠性、完整性、保密性、可控性、有效性和拒绝否认性可能产生的危害,根据威胁产生的因素,网络安全威胁可以分为自然和人为两大类。
由自然因素产生的网络安全威胁主要包括硬件故障、软件故障、电磁干扰、电源故障、电磁辐射和各种不可抗拒的自然灾害等。
由人为因素导致的网络安全威胁又可以分成意外损坏和蓄意攻击两类。意外损坏主要包括偶然删除文件、格式化磁盘带电插拔和系统断电等各种误操作,这类危害主要影响了信息的完整性和有效性,对保密性影响不大。蓄意攻击是指有意利用软件漏洞、协议漏洞和管理漏洞试图绕过网络安全策略破坏、窃听、篡改、假冒、泄露和非法访问信息资源的各种恶意行为,包括网络攻击、木马攻击、病毒攻击、网络窃听等。
4、加强计算机网络安全的对策
随着计算机网络的发展,影响计算机网络信息安全的威胁日益增多,如何制定更严谨的网络安全策略是我们目前要解决的首要问题:
4.1 强化网络安全意识
个人要增强网络安全保密意识,增加网络安全保密知识,提高网络保密素质,改善网络安全保密环境。还可以参加一些网络技术的培训.掌握最新的网络肪病毒和黑客技术,确保个人计算机信息万无一失不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的程序,比如“特洛伊”类黑客程序就需要骗你运行;尽量避免从Internet下载不知名的软件、游戏程序。
4.2 安装防病毒软件和防火墙
在主机上安装防病毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,变被动清毒为主动截杀,既能查杀未知病毒,又可对文件、邮件、内存、网页进行个而实时监控,发现异常情况及时处理。防火墙是硬件和软件的组合.它在内部网和外部网间建立起个安个网关,过滤数据包,决定是否转发到目的地。它能够控制网络进出的信息流向。提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节。
4.3 设置服务器.隐藏自已的IP地址
保护自己的IP地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时.服务器接受申请.然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。
综上所述,随着网络和计算机技术日新月异地飞速发展,新的安全问题不断产生和变化。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新,从而使网络的信息能安全可靠地为广大用户服务。
参考文献
[1]彭新光.计算机网络安全技术与应用.科学出版社.
[2]高永强,郭世泽.网络平安技术和应用大典.人民邮电出版社.
信息安全问题与互联网的发展相伴相生,在网络时代,我们一方面要享受到信息爆炸、社交便捷的福利,另一方面也需要应对信息泄露的风险。在医院的内部管理中,信息化建设已经成为一股不可逆转的发展趋势,因此,医院要想利用互联网提高管理效率,优化医疗卫生服务,就应该正视网络体系构建中存在的安全问题,并构建严密可行的管理措施,防范网络安全风险,让医疗信息、管理信息能够更好地服务于患者,确保医院的有效运行。
2医院网络安全体系构建中存在的问题
虽然网络体系的构建是医院信息化管理的必要环节,但是其在安全风险防范方面却依旧漏洞百出,使得医院的网络安全体系建设形同虚设,难以充分发挥其风险控制与防范的实际效果。具体来讲,医院网络安全体系构建中存在的问题如下:第一,医院内部系统对数据的收集与应用效果并不理想,目前多数医院对于网络系统的建设还处于起步阶段,许多数据的收集并不完整,例如电子病历的形成尚处于“模板+标签”阶段,缺乏专业化处理,影响了数据传输与共享效果,各部门之间的信息沟通不畅,“信息孤岛”的状况没有被完全打破。第二,网络安全规划缺乏投入,对信息安全的预期投入严重不足,虽然信息安全问题是医院网络信息系统构建的关键,但是从整体上来看,相关部门对于信息安全体系的构建并不积极,例如在硬件投入中缺乏预算支持,使得硬件设备一旦出现损毁就会造成大量医疗卫生信息的丢失;对软件技术的应用不到位,防火墙、加密系统的建立存在漏洞;各部门对于安全系统的认识存在偏见,在某一科室出现网络安全问题的时候则相互推诿,缺乏有效的追责与监督。第三,网络安全体系构建与实现的方案缺乏有效的落实,任何网络安全问题在没有爆发前往往都显得不那么重要,医院在网络安全体系建设中也存在这种侥幸,对安全规划的设计头头是道,但是到了具体的落实阶段却又推三阻四,影响了网络安全体系建设工作的实效性。
3医院网络安全体系构建与实现的相关对策
医院网络安全体系的构建与实现需要从硬件设备、软件系统、组织管理者三个方面入手。
3.1硬件设备安全的构建与实现
根据信息化管理的技术需要,医院的硬件设备安全管理主要包括以下内容:第一,网络布线。对于医院的信息化建设而言,网络布线不仅影响着系统的信息传递速度,更关系着信息沟通的安全,因此,相关技术人员应采取内外网物理断开的方法,对医院网络系统进行科学布线;考虑到信息安全,对于各楼宇的主干线可以采用光纤和备份光纤相结合的方式;在连接客户端的时候,应做好屏蔽处理,及时排除干扰源,保证信号强度,以及信息数据传递的有效性和完整性。第二,根据《电子信息系统机房设计规范》做好对机房的设计,如根据“电子信息系统机房的耐火等级不能低于2级”等规定做好防火安全管理;根据“主机房气流组织、风口及送回风温差”的相关数据做好防潮工作等,确保主机房能够充分发挥信息存储与传输的功能。第三,服务器、交换机的数据安全,在医院网络安全系统构建中,技术人员应对关键设备的基本性能以及冗余做好分析,并确保系统能时刻运行。为避免停电故障造成信息丢失,医院的服务器应采用不间断电源,并在出现安全故障的时候,自动接入另一个服务器完成信息备份,从而做好“双保险”,提高网络系统运行的持续性和安全性。
3.2软件安全系统的构建与实现
在网络安全系统构建中,系统软件可以通过与硬件设备的交互作用,实现对系统的控制与调度,并连接网络,实现信息的传输与存储。因此,医院在网络安全系统构建与实现中,应该不断完善软件系统,从而确保信息数据的安全。医院在软件安全系统的构建与实现上可以从以下几个方面入手:第一,设置安全口令。软件系统的登录应控制开放程度,利用安全口令对访问者的身份进行确定,在使用软件系统的过程中,口令的设置也应该提高安全系数,避免使用缺省值,保证长度不少于八位,且内容包含字母和数字及至少包含两个特殊字符。此外,为进一步确保软件系统的安全,相关部门的操作人员应对安全口令进行定期更换,提高被破译的难度。第二,安装杀毒软件。在医院的网络系统建设中,内外网的完全物理隔离是不可能的,只要存在接入外网的机会,病毒就会见缝插针对网络系统进行攻击。针对此,医院在网络安全系统构建中应该要求客户机及服务器安装杀毒软件,利用软件对病毒进行甄别与抵御,及时检测违规操作,并对高风险行为做出提示,控制病毒对网络系统的威胁。第三,应用防火墙。目前一些软件公司在技术研发中,对防火墙的设计更加严谨,医院在网络安全系统建设中,应利用方便、快捷的防火墙进行定期扫描,及时检测出危险信息,控制恶意脚本在目标计算机上的执行过程,避免外网攻击的入侵,以及信息的泄露。第四,加强对工作站的安全管理。各个工作站在使用系统的过程中,都应该利用账号、用户权限、网络访问以及文件访问等实行严格管理程序规范进行安全控制,严格监控光驱、软驱,USB接口等外来信息的接入,提高安全管理效果。
3.3组织机构的构建与实现
在医院的网络安全保障系统建设中,工作人员是落实安全措施、执行安全方案的主体。再高端的硬件设备、再完善的软件系统都需要人的操作来发挥作用。因此,医院在网络安全保障体系的建设中,应该将人的因素纳入其中,并确定、尊重其主体地位,利用安全管理制度,提高工作人员构建网络安全保障体系的能力。具体来讲:第一,建立一支强有力的安全管理小组,体现组织管理效果,并在管理小组内部做好明确分工,确保一旦出现安全问题能够迅速做出反应。第二,完善安全制度建设,对于医院网络安全管理人员而言,制度建设是规范其安全行为,提高安全方案执行效果的关键,因此医院应该从多方面做出安全规定,明确管理细则,推动安全管理人员工作的有序开展。第三,规范内部人员网络操作,根据信息安全问题的调查显示,操作者的不规范操作是造成病毒入侵,信息泄露的主要问题。因此,在组织管理中,医院应对内部人员的违规操作进行严格控制。第四,做好应急预案的制定与演练,对出现的信息安全问题应做好各部门的联动,提高应急能力,及时止损。
4结束语
总之,进入到互联网时代,信息化已经成为医院内部管理创新的基本思路,信息化的实现需要网路系统的支持,但是在网络系统构建的过程中,无处不在的安全问题使得医院的信息化建设举步维艰。针对此,医院应该从网络安全系统的建设要点出发,增加对硬件设备的投入,做好软件系统的技术应用,加强组织管理建设,进而完成医院的网络安全体系构建与实现。
参考文献:
[1]张宝伟.医院网络安全体系构建及实现方式分析[J].网络安全技术与应用,2018.