前言:中文期刊网精心挑选了网络安全建设实施方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全建设实施方案范文1
一、网络安全制度建设的必要性
1、制度建设是网络安全建设的根基
无论是电信网还是互联网,都植根于一定的制度环境之中。制度环境是一系列基本的经济、政治、社会及法律规则的集合,它是制定生产、交换以及分配规则的基础。在这些规则中,支配经济活动、产权和合约权利的基本法则和政策构成了经济制度环境。在一定的制度环境下,存在着一系列的制度安排。制度安排可以理解为游戏规则,不同的游戏规则导致人们不同的激励反应和不同的权衡取舍。
社会主义市场经济的建立为调整人们之间的关系构建了最广泛的制度环境,它作为经济活动的外生变量是人们无法选定的既成事实,但对于具体的制度安排,人们可以随着生产力的发展而不断做出相应的调整。电信网和互联网作为代表信息社会最先进的生产力组成部分,已逐渐渗透到社会的各个领域,在未来的军事对抗和经济竞争中,因网络的崩溃而造成全部或局部的失败,已成为时刻面临的威胁。这在客观上要求建立与之相适应的生产关系,也就是能促进网络安全有效运行的一系列制度安排。
网络安全可分为电信网络的安全可靠性、互联网的安全可靠性和信息安全三个层次。具体包括网络服务的可用性(Availability)、网络信息的保密性(Confi-dentiality)和网络信息的完整性(Integrality)。技术保障、管理保障和法律保障是网络安全运营的三项重要措施。只有从制度安排上保障网络的安全性即网络的可用性,才能在技术层面和管理层面上保障网络信息的保密性和完整性,才能使杀毒软件、防火墙、加密技术、身份验证、存取控制、数据完整性、安全协议等发挥其最大的效力。
2、网络的外部性客观上要求必须进行制度建设
网络产业具有很强的外部性特征。从经济学角度看,通过市场机制自身对经济活动外部性的克服主要是通过三个方面进行的。一是组织一个足够大的经济实体,即一体化经济组织来将外部成本或收益内部化;二是通过界定并保护产权而使市场交易达到帕累托最优;三是以社会制裁的道德力量规范负的外部性及其行为。
首先,电信网和互联网等网络产业不同于制造业,其面临的外部性不可能通过一体化效应来使外部成本或外部收益内部化。网络的正的外部性与负的外部性都主要通过麦特卡尔夫定律(Metcalfe’s Law)表现出来。麦特卡尔夫定律表明:网络价值同网络用户数量的平方成正比(即N个联结能创造N2的效益)。随着网络用户的增加,无论是技术知识等正面信息还是网络病毒及扰乱社会政治经济秩序等负面信息都呈几何级数扩散,其扩散范围之广、速度之快、对经济社会发展影响之深刻都是前所未有的。网络自身对国界、民族及地域的超越,使通过一体化来解决外部性问题成本极大。
其次,通过界定和清晰产权,不能解决电信网及互联网等网络产业的外部性问题。科斯定理(Coase’sLaw)对外部性的解决是建立在产权明确界定并受到法律有效保护这一基础之上的。而电信网和互联网作为一种公共资源,使每个人都可以自主地在网络上和获取信息,这种对公共资源均等使用的权力,使市场机制无法在这一领域充分发挥作用,而必须通过政府的制度建设克服人们对公共资源的滥用。
最后,以道德力量来建立电信网及互联网的安全体系几乎是不可能的。网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。网络空间秩序企图通过伦理道德、个人自律和对共同利益的维护和驱动来实现,几乎像现实世界没有国防、司法制度就可以保障一个国家的安全和社会的稳定一样不可想象。因此,只有通过制度建设,才能真正建立起对电信网及互联网安全有效运行的保护屏障。
3、信息安全要求政府必须建立网络空间秩序 从网络信息安全的角度看,绝对的网络自由是不存在的。那种认为网络空间创造了一种比以往任何文明所创造的世界更友善、更公正的新文明,从而使任何人可以在任何时间、地点自由发表自己的意见和主张,实践证明是不可能的。电信网和互联网不仅是重要的通信媒体,而且是各种信息特别是知识和娱乐信息的宝库,它既给人类社会的发展带来了巨大的福利,同时也向人们打开了一个潘多拉的盒子,而中立的技术无法对危害网络信息安全的行为进行根本性的抑制。因此,靠网络参与主体的自律和技术手段是不可能代替法律等制度安排来实现对网络参与者有效的规制的。基于信息安全的考虑,政府对电信网和互联网进行管制也就成为国家立法的重要内容。
二、我国网络安全在制度建设上存在的主要问题
网络安全的本质在于促进和维持社会发展与经济繁荣。因此,围绕着网络安全问题,各国都进行了一系列的制度建设,从而使技术层面和管理层面的安全设置更好地发挥其安全保障作用。
目前除了网络黑客的攻击和其他的网络犯罪危及我国的网络安全外,最大的风险是我国网络自身缺乏一整套完整严密的制度安排,从而使网络自身缺少一层制度屏障,降低了网络自身的免疫力。这种制度缺失主要体现在以下几个方面:
1、网络安全缺少最基本的法律保护层
电信网络作为国家信息化的基础设施,在保障网络与信息安全上担负着重要的责任。随着互联网的普及、IP业务的发展,电信网、互联网和有线电视网逐渐走向融合,如何保障电信网络信息服务的安全,将电信网络建成真正安全、可靠的网络,是网络信息社会亟待解决的重要问题之一。
市场经济的典型特征是政府通过一系列制度安排来规范市场主体的经济行为。电信法是网络安全最基本的保护层,也是网络安全技术得以发挥作用的制度安排。而在电信市场,我国政企合一的电信管理体制使电信法至今仍处于难产状态。早在1956年我国就组织起草过电信法,几上几下之后,最终未能修成正果。上世纪90年代中期,政府再一次启动电信法的起草工作,千呼万唤的电信法到2000年也只是出台了《电信管理条例》。2001年又开始了新一轮电信法的起草工作。电信法是保障网络安全的最基本的制度安排,法律制度的缺失使政府无法公平公正地调整利益冲突各方的关系。有数据显示从1998年开始,上报到信息产业部的互联互通恶性案件达540起,至少影响到l亿人次的用户使用,造成10亿元的直接损失和20亿
元的间接损失①。在全国范围内,由于恶性竞争而砍电缆、锯铁塔等破坏通信设施的恶性事件屡禁不止,严重影响了网络安全与畅通。除了物理性破坏之外,更多的情况则是在通信软件上做手脚或者恶意修改信令,对竞争对手经营的电信业务进行各种形式的限呼、拦截,造成了网间接通率偏低甚至完全中断。1999年,兰州市电信公司采用恶性竞争手段使本市27万手机用户打不通固定电话。目前,阻碍互联互通的情况已经从几年前的直接挥大刀砍电缆、互联中继不足、整个省不通IP卡等现象,转化为落地拦截、掉线、噪音等更为隐蔽的技术手段,甚至出现了主导运营商不再对一个局向或者一个号段全部进行干扰拦截的方式,而是针对个别用户特别是高端用户直接进行拦截干扰,手段更为有效和隐蔽。对于这些影响网络安全的无序竞争,来自体系内的监管力量发挥的作用一直相当有限。出台电信法的呼声越来越高。随着我国在WTO中电信承诺表的兑现,国外电信运营商及外资的进入,会使竞争更加激烈。允许竞争但却缺乏竞争规则,会使无序的恶性竞争愈演愈烈,这一切都使网络随时面临着瘫痪的可能。因此,没有法律制度的网络运行是网络最大的安全隐患。
2、制度摩擦使网络存在安全隐患
如果一国的制度安排有利于基于网络交易的电子商务市场容量最大化,有利于网络安全运营及经济效率的提高,那么就可以说该国具有高的制度资本。不利于网络市场交易的制度,则使交易的成本变高,这种成本通常被称为“制度成本”。当然,制度成本不仅仅指在网络市场交易发生过程中实际要支付的成本,也包括由于制度障碍而根本无法进行或选择放弃的市场交易所带来的机会成本,这种机会成本包括“本来可深化的市场”因制度障碍而只能半途而废的情况,以及市场勉强得到发展的情况。根据国际惯例,广播和电视网络都属于电信。有史以来,欧洲多数国家和日本的广播电视业都归口国家邮电部直接管理,美国则由联邦通信委员会统一归口管理,国际电信联盟(ITU)也设有广播电视分支机构。世界公认的电信定义就是“利用有线、无线,电磁和光的设备,发射、传输、接收任何语音、图像、数据、符号、信号”。但是由于我国某些历史原因,广播电视属于意识形态重要宣传机构,不能划归信息产业部,使网络电视(IPTV)之类的新业务难以发展,并使不同网络之间由于管理归口问题而纷争不断,人为阻断网络运行的情况时有发生。
3、制度资本投入不足导致网络安全运行成本较高
网络互联互通是一道世界难题,各国电信引入多家竞争机制以后,原来由一家公司完成一次通信服务现在改为多家来共同完成。网络的全程全网性使运营商之间形成既竞争又合作的关系。因此,各国都通过电信法等一系列制度安排及相应的管制机构来协调各运营商之间的行为和利益关系。在我国,竞争规则等一系列制度安排的缺失,导致网络安全运营成本较高。目前,RSA信息安全公司了一项新的指数来反映网络的不安全程度,即“互联网不安全指数”(Inter-net Insecurity Index)。计数方法从1到10,显示每年的互联网不安全程度。例如互联网不安全指数从2002年的5上升到2003年6.5,说明网络安全运行状况越来越令人担忧。这一指数是从网络安全受到威胁的间接角度来衡量网络安全的,笔者认为若直接从安全角度来衡量网络安全,则网络安全指数(S)最大化主要取决于以下变量的投入及其组合关系:网络安全的制度资本(I)、技术强度(T)、管制水平(R)、资本投入量(K)和人力资本状况㈣,并与以上各变量投入呈正相关关系。其函数关系式可写成:
S=(I,T,R,K,L)
在技术强度、资本投入和人力资本既定的条件下,网络安全指数大小主要取决于制度资本的投入和管制水平的高低。与互联网相关的法律制度的健全是保障网络安全的最基本的制度资本。而制度资本投入滞后于网络的快速扩展和纵深延伸,致使我国网络安全运行成本相对较高。制度资本的投入应建立最有利于促进市场交易发生、尽量使交易成本最低、保证网络安全运营的一系列法律规章制度。当一国的制度机制不利于市场交易时,人们相当一部分技术投入、资本投入和人力资本投入等都是为了对冲制度成本而没有形成社会经济效益。例如,联通公司与移动公司用户互发短信的结算争议,电信公司出售“手机休息站”设备拦截移动手机业务量,全国手机与固定电话互通结算问题,用户驻地网纠纷,全国电话卡出售与结算矛盾等问题此起彼伏、接连不断。制度成本过高致使我国为获得同样的网络安全要投入更多的技术和人力物力财力。
三、完善我国网络安全制度建设的建议
公用电信网是国家信息网的基础,其安全方面的某一弱点可能把其他部分都置于风险之中。网络遭到重大破坏,除了对社会和国家经济造成重大损失外,还可能使国家安全受到威胁,因此,各国都非常重视加强对公用电信网的安全管理。
1、尽快完善以电信法为核心的一系列制度建设
国际上,特别是美国、英国等西方发达国家从20世纪70年代中期就开始高度关注网络与信息安全问题,经过30多年的发展,在理论研究、产品开发、标准制定、保障体系建设、安全意识教育和人才培养等方面都取得了许多实用性成果。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国已经颁布的网络法规主要有:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。与网络安全相关的一系列制度建设是保障网络安全运营的第一道防护屏障,也是最基本的制度保障。而电信法又是保障网络安全运营的基础中的基础。在我国由于电信法至今仍未出台,也就无法从法律制度的角度来规范电信网、互联网等网络参与者的行为。电信法的难产,暴露了我国新旧体制转轨中制度建设的滞后性,使我国电信网和互联网处于不设防的状态,从而对网络安全运营构成致命威胁。并使微观经济主体要损耗掉比市场制度健全的国家更多的人力物力和财力,才能对冲阻碍市场交易的制度成本。因此,尽快完善以电信法为核心的一系列制度建设,是市场经济制度的必然要求,也是在国际互联网中布设保证国内网络安全的一道安全防线。
2、建立不同层级的网络安全保护制度
制定“国家网络安全计划”,建立有效的国家信息安全管理体系。例如,美国已将信息安全战略纳入国家安全的整体战略之中;美国的空间战略以强化部门协调和强化政府协调的互动合作而适应网络社会的需求和特点,其网络空间战略是一个全社会共同参与、实施的战略。我国要充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划
要能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。网络安全的制度安排和保护是分为不同层级的。要重点保护以电信网为代表的基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。信息安全领域中,密级分类、等级保护就是把信息资产分为不同等级,根据信息资产不同的重要等级,采取不同的制度安排及相应的技术措施进行防护。这样就可以在投入有限的情况下,确保网络及信息的安全性。
3、各种制度安排要随着网络的发展而不断深化
一个好的制度安排必须具有激励机制,推动生产力的快速发展,而不是阻碍生产力的发展与科学技术的进步。网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。一旦一国缺乏自主创新的网络安全策略和手段,国家的信息就有可能完全被葬送。例如,为适应电信飞速发展的要求,美国电信法几次修改,欧洲大部分国家也都是立法在先改革在后。因为一个成熟的社会,在涉及国计民生和千家万户的越来越重要的网络领域,没有完善的法律制度约束是不可能稳步发展的。我国电信领域出现的许多问题都与制度安排有关。由于没有完善的制度环境,企业明显违规,政府束手无策。即使已有了较完善的制度安排,各种制度安排也还要随着网络的发展而不断深化。正如制度经济学家道格拉斯・诺思所言:“制度安排的发展才是主要的改善生产效率和要素市场的历史原因”②。从长远来看,在电信网和国际互联网中,决定一国网络安全运营的最基本的要素是其制度资本,即制度机制是否更有利于网络社会的网络安全。
总之,关于网络安全问题,需要政府和各部门从上到下充分重视,并从国家政策、法律规范、技术保障和公众意识等方面来设置防线。必须在社会主义市场经济体制框架内进行各种制度安排,即建立游戏规则,才能不断降低阻碍市场交易的制度成本。这种制度资本投资的增加,将会在既定的管制水平、资本投入量和人力资本条件下,挖掘出网络安全技术的最大潜力,建立安全指数较高的网络世界。
注释:
①赵平:“河南互联互通问题铁幕调查,要如何保卫钱袋”,《中国经营报》2004年3月19日。
②道格拉斯・诺思(Douglass North):《制度变迁与经济增长》,引自盛洪主编:《现代制度经济学(上卷)》,第290页,北京大学出版社2003年版。
参考文献:
①盛洪主编:《现代制度经济学(上卷)》,北京大学出版社2003年版。
②李 娜:“世界各国有关互联网信息安全的立法和管制”,《世界电信》2002年第6期。
③吴瑞坚:“我国互联网信息政府管制制度探析”,《探求》2004年第3期。
网络安全建设实施方案范文2
【关键词】 复方樟柳碱注射液;缺血;视神经;视网膜脉络膜;疗效;安全性
doi:103969/jissn1004-7484(s)201306458 文章编号:1004-7484(2013)-06-3187-01
缺血视神经视网膜脉络膜病变的致病原因主要是由于严重贫血、眼外伤、高血压、糖尿病等所引起的眼部供血障碍。近年对缺血视神经视网膜脉络膜病变的治疗采用复方樟柳碱注射液的报道不在少数,且取得了不错的临床治疗效果。为了更加详细地观察对原发性和继发性眼部视神经、脉络膜、视网膜缺血性病变等应用复方樟柳碱注射液治疗的疗效和安全性,本院进行了本组应用研究,现报告如下。
1 资料与方法
11 临床资料 我院自2012年2月至2013年2月收治缺血视神经视网膜脉络膜病变患者61例,年龄为18-65岁,病程均在3个月之内。病例的选择:①继发性眼部缺血性视神经视网膜脉络膜病变,眼部缺血性视神经视网膜脉络膜病变主要是外伤所导致的;②原发性眼部缺血性视神经视网膜脉络膜病变,包括了视网膜中央动脉及分支阻塞以及后部和前部缺血性视神经病变。患者入组标准:①疾病程度不限;②经询问病伤史,视野、眼底、视力等检查确定的继发性或原发性眼部缺血性病变患者。除外标准:①哺乳期妇女或孕妇;②颞动脉炎性前部缺血性视神经病变,并发影响视功能的其他眼病;③各项检查因全身状况而不允许完成的患者;④视神经管骨折及颅脑出血的患者;⑤超过1周无光感的患者;⑥对试验药物过敏的患者。将61例患者随机分为治疗组和对照组,每组各25例,其余11例患者归为开放组,如果入选患者双眼与入选标准均相符合,则选择重病眼为研究对象。治疗组中继发性患者17例,原发性患者8例;对照组中继发性患者16例,原发性患者9例;开放组中继发性患者3例,原发性患者8例。三组患者的一般资料差异不具有统计学意义(P>005),具有可比性。
12 方法 治疗组患者给予复方樟柳碱注射液患眼侧颞浅动脉旁皮下注射,每次注射剂量为2ml,对照组患者给予妥拉苏林注射液患眼侧颞浅动脉旁皮下注射,每次注射剂量为25mg,开放组患者与治疗组患者一样,也给予复方樟柳碱注射液患眼侧颞浅动脉旁皮下注射,每次注射剂量为2ml。如果患者病情程度为重度,则可作患眼球旁注射,每天给予1次注射,持续应用21d。
13 观察项目 所有患者在试验前对其眼病史和全身病史进行询问,分别于试验前和开始试验后第3天、第7天、第14天和第21天对眼底和矫正视力进行复查。试验前和试验结束的时候对前节、眼底、晶体、血压、眼压、心率等进行检查,并做肝肾功能、血尿常规、视野、空腹血糖和心电图检查。对患者进行注射的时候,注意观察有无不良反应。
14 疗效判定 以视野、视力和眼底三项对疗效进行判断,患者的评分根据治疗前后每个项目的情况进行。疗效的重要性按项目判断,分别给予视野权数为3,视力权数为4,眼底权数为2。最低的总分为0分,总分最高为36分。治愈:三项得分之和在24分及其以上;显效:三项得分之和在12-23分;有效:三项得分之和在3-11分;无效:三项得分之和在0-2分。视力下降或无增加评分为0分,如果由无光感变有光感评为1分,视力增为002评为2分,视力增为005评为3分,视力增为01评为4分。眼前指数增为01评3分,增为005评2分,增为002评1分。从002增为01评2分,增为005评1分。从005增为01评1分。视力在01以上者,最多评4分,每增加1行评1分。视野缺损范围减少在40%以上,评4分;范围减少在30%-40%,评3分;范围减少在15%-30%,评2分;范围减少低于15%,评1分;如果患者缺损范围无减少或增加,评0分。
15 统计学方法 采用SPSS130统计学软件处理,采用t检验及x2检验,以P
2 结 果
21 临床疗效 治疗组患者临床疗效明显优于对照组,差异性具有统计学意义(P
3 讨 论
在以往的研究中,缺血视神经视网膜脉络膜病变应用复方樟柳碱注射液治疗的机理,主要是通过对颞浅动脉旁皮下的植物神经末梢进行注射,对脉络膜植物神经活动进行调整,促使稳定脉络膜血管活性物质在一个正常的范围内,从而对脉络膜血管运动功能进行改善,使得眼部供血状况得到改善,眼血流量得到增加。通过对血流动力学的研究,其结果提示应用复方樟柳碱注射液治疗缺血视神经病变患者之后,其血供改善波幅在眼血流图中显示升高。眼外伤的早期,在先前的动物实验中也发现应用复方樟柳碱注射液治疗,可使得脉络膜和视网膜的免疫活性内皮素水平保持稳定,对血管的基础张力的维持和调整有帮助,促进了组织的修复,改善了循环,具有突出的避免和减轻外伤性缺血造成损害的作用。复方樟柳碱对患者眼部血管舒缩功能的改善和恢复,在眼外伤患者的血流动力学研究中也得到了体现,对眼组织血管痉挛的消除和缓解,从而使得眼组织的血供得到改善。目前有很多种治疗缺血视神经视网膜脉络膜病变的方法,但是疗效均不是很确切。本组研究中,充分表明了复方樟柳碱注射液比妥拉苏林注射液治疗本疾病的疗效更加满意,从而为缺血视神经视网膜脉络膜病变的实际临床治疗提供了一种比较有效的方法。
通过本组研究,表明复方樟柳碱对人体的血糖、血细胞、心脏、肝和肾功能等,均没有明显的毒性反应,眼压及血压没有明显的病理性变化。本组研究中试验药物没有出现任何严重的不良反应,应用过程中只出现了个别患者的轻度心慌、口干、头晕等,充分表明了复方樟柳碱注射液治疗缺血视神经视网膜脉络膜病变的安全性。
参考文献
[1] 刘汉榴复方樟柳碱治疗缺血性视神经视网膜脉络膜病变32例护理体会[J]吉林医学,2011,32(1):158-159
[2] 于强,欧杰雄,胡兆科,李绍珍复方樟柳碱治疗缺血性视神经视网膜脉络膜病变[J]广东医学,2010,21(1):68-69
[3] 张倩,刘艳,夏江南复方樟柳碱联合长春胺治疗原发性缺血性视神经视网膜脉络膜病变疗效观察[J]医学新知杂志,2012,21(1):1094-1095
[4] 陈选义,马勇,李裕钦,王建萍,薛雨顺,王利峰复方樟柳碱联合葛根素治疗缺血性视神经视网膜脉络膜病变[J]国际眼科杂志,2010,12(4):284-285
网络安全建设实施方案范文3
【 关键词 】 等级保护;烟草企业;信息安全体系
1 等级保护思想
等级保护思想自20世纪80年代在美国产生以来,对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台,被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确规定计算机信息系统实行安全等级保护。至此,等级保护思想开始在我国逐渐盛行。
我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导,分阶段实施建设、管理和监督,以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级,通过分级分类,以相应的技术和管理为支撑,实现不同等级的信息安全防护。
2 烟草行业引入等级保护思想的意义
烟草行业高度重视等级保护工作,实施信息安全等级保护,能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。
2.1 开展安全等级结构化安全设计
安全等级保护在注重分级的同时,也强调分类、分区域防护。烟草行业虽强调分类、分区域,但存在一定局域性。同时,由于缺少分级准则,差异化保护尚未深化。引入等级保护思想,有助于深化结构化安全设计理念,通过细分类型、划分区域,全面梳理安全风险,明晰防护重点,构建统一的安全体系架构。
2.2 注重全生命周期安全管理
等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则,其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深,未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想,明确新建系统安全保护要求,提升安全管理效率。
3 等级保护在烟草行业的实施路径
信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作,其实施路径主要有几条。
3.1 信息系统安全定级
主要包括信息系统识别、信息系统划分、安全等级确定。其中,原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定,合理定级。
3.2 等级保护安全测评
在等级保护环境下对信息系统重要资产进行风险评估,通过等保测评,发现与等级保护技术、管理要求的不符合项。
3.3 制订等级保护实施方案
依据安全建设总体方案、等级保护不符合项,全面梳理存在问题,分类形成各层级问题清单;并合理评估安全建设整改的难易度,全面有效制订等级保护方案,明确安全整改目标。
3.4 开展安全整改与评估
根据等级保护实施方案开展建设,具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估,不断巩固信息安全与信息系统安全。
4 基于等级保护的烟草企业信息安全体系建设
根据等级保护工作的实施路径分析得出,等级保护与信息安全体系存在许多共性,有较好的融合度。因此,探索基于等级保护的行业信息安全体系具有深刻意义。
信息安全体系的核心是策略,由管理、技术、运维三部分组成。在等级保护思想的融合下,信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想,烟草行业信息安全体系概述有几点。
4.1 分级保护
烟草行业的信息安全体系以信息系统等级为落脚点,实行系统关联分级,具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级,即人员、可信人员、不可信人员等;其次,根据人员分级,划分操作权限,即高权限、特殊权限、中权限、低权限等;最后根据业务信息安全等级和应用服务等级,明确应用系统等级,即一至五级安全等级。通过“人员—操作—应用”的关联链,制订分级准则,从而达到分级保护的目的。
4.2 分类设计
信息安全体系分类设计,主要涉及不同类型、不同区域、不同边界三方面的结构化设计。
4.2.1 类型设计
根据安全等级保护要求以及安全体系特点,分为技术、管理和运维三大类型,并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。
(1)技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理,其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现;而不同的策略同样也要根据两大层面按需设计。
(2)管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成,岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。
(3)运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标,诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。
4.2.2 区域设计
区域设计主要指安全域。安全域从不同角度可以进行划分,主要分为横向划分和纵向划分,横向划分按照业务分类将系统划分为各个不同的安全域,如硬件系统部分、软件系统部分等;纵向在各业务系统安全域内部,综合考虑其所处位置或连接以及面临威胁,将它们划分为计算域、用户域和网络域。
烟草行业根据体系建设需要,将采用多种安全域划分方法相结合的方式进行区域划分。
(1)以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施,防止重要信息系统数据被其它业务系统频繁访问。
(2)以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区,DMZ区的安全级别要低于其它所有安全域。
4.2.3 边界设计
要清晰系统、网络、应用等边界,通过区域之间划分,明晰边界安全防护措施。边界设计的理念基于区域设计,在区域划分成不同单元的基础上,实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。
4.3 分阶段实施
烟草信息安全体系建设要充分体现全生命周期管理思想,从应用系统需求开始,分阶段推进体系建设。
4.3.1 明确安全需求
为保证信息安全体系建设能顺利开展,行业新建系统必须在规划和设计阶段,确定系统安全等级,明确安全需求,并将应用系统的安全需求纳入到项目规划、设计、实施和验证,以避免信息系统后期反复的整改。
4.3.2 加强安全建设
要在系统建设过程中,根据安全等级保护要求,以类型、区域和边界的设计为着力点,全面加强安全环节的监督,及时跟踪安全功能的“盲点”,使在系统建设中充分体现安全总体设计的要求,稳步推进安全体系稳步开展。
4.3.3 健全安全运维机制
自系统进入运维期后,要建立健全安全运维机制。梳理运维工作事项,理顺运维业务流程,并通过制订运维规范、运维质量评价标准、运维考核标准等,规范安全运维管理,提高安全运维执行力,以确保系统符合安全等级要求。
4.3.4 开展全面安全测评
在安全建设阶段,对行业现状要全面诊断评估,尤其是对已定级的信息系统,加强安全测评,形成安全整改方案,并结合安全体系设计框架,按阶段、分步骤落实,注重整改质量与效率,降低安全风险。
4.3.5 落实检查与评估
检查评估必须以安全等保要求为检查内容,充分借助第三方力量,准确评估行业安全管理水平,并及时调整安全保护等级,不断促进行业信息安全工作上台阶。
5 结束语
信息安全体系建设作为一项长期的系统工程,等级保护思想的引入,以其保护理念的先进性和实施路径的可行性,为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全,保障行业系统的安全、稳定、优质运行,更好地服务国家和社会。
参考文献
[1] 公安部等.信息安全等级保护管理办法[Z]. 2007-06-22.
[2] 国家烟草专卖局.烟草行业信息安全保障体系建设指南[Z].2008-04-25.
网络安全建设实施方案范文4
本文主要阐述了检察网络安全需求、网络安全问题分析及解决途径,以及如何提升检察机关网络安全应用防护保障能力,确保网络安全。
伴随着检察机关科技强检的逐步推进,计算机网络技术在检察工作中的应用日趋普及极大的提高了检察事务的工作效率,但其安全性和互联性问题也更加突出。因此如何在检察信息化发展大趋势下防范可能存在的安全隐患,保障网络信息的安全性、可控性、完整性、可用性,将是一个严峻的问题。
因此,在检察机关设计建设涉密网络时,必须严格按照信息安全保密技术规范执行,建立起安全可靠实用的防护网络,从而从技术层面防止检察机关信息泄露,让网络技术在检察机关中发挥更大作用,主要从以下几个方面进行探究。
1 网络信息安全概述
网络信息安全是指网络系统中的硬件、软件及其产生的数据信息不受到偶然或者恶意的一些原因造成对计算机系统网络的破坏、泄露、更改、删除,保障系统可靠正常运行。
计算机信息安全从其本质上来说是网络上信息的保密性、完整性、可控性、可用性的研究领域。网络安全是一门涉及计算机科学、信息技术、网络通信、密码学、信息安全、应用数学、信息论等诸多学科的综合性学科。
2 检察网络信息安全的需求
检察院网络信息系统在检察业务中所要处理的信息都涉及到保密和限制信息,因此需要一个统一的安全策略和实施方案。
网络信息安全需求主要包括以下几个方面:
实现网络保密管理:信息不泄露给非授权实体,一般采用对信息进行加密处理并对信息划分访问权限设置层级,网络系统根据身份权限控制对不同信息密级的访问。此外建立网络保密安全体系,切实加强信息化保密建设,提高全体干警的保密意识,广泛培训提高操作人员水平,防止因操作失误造成的泄密也很重要。在检察机关统一的应用平台上集中处理所有涉及的数据处理问题。
完善网络安全管理:需要建立长期有效便捷的安全管理机制,规范管理所涉及的安全问题,建立长期制度防范安全隐患。
制定信息安全管理手册,明确检察系统网络信息安全建设要求,严格执行安全管理规范。有效划分已有网络,严格隔离外网内网,划分安全域和子网,建设可信化程度高的网络环境。集成网络各环节,整合防火墙、入侵检验防护、审计审查、杀毒软件等技术环节,构造起可靠安全的计算机网络信息安全防护体系。
保障物理安全管理:对于传输介质及网络设备进行保护和管理,制定机房和网络硬件相关标准和制度。保障物理安全就是保护计算机网络系统、网络服务器、传输介质、交换机等实体和通信链路免受认为损坏、自然破坏,因此制定对设备的安全性指标确保计算机网络系统有一个良好的电磁环境尤为重要。
3 检察网络信息安全存在的问题分析
检察网络信息安全存在的主要安全问题来自以下几个方面:
网络病毒问题:随着计算机网络技术的发展繁多的网络病毒威胁着计算机系统。它们导致网络效率低下,数据和程序被破坏。检察机关所要处理的信息量大,事务多,应用复杂,用户权限安全性高,对访问机密信息,篡改数据等病毒程序防范问题要求高。
网络系统漏洞问题:网络系统大多注重对来自外面侵入的防护而对于内部针对网络设施和系统应用服务的攻击关注较少,这样很可能造成网络服务不可用、数据篡改泄密。网络软件自身的缺陷也造成一些恶意人员通过“后门”窃取涉密信息,造成后果不堪设想。
设备安全问题:设备安全是指存储介质或者通信、系统介质层面上对信息安全的防护,如通信线路、光纤、局域网造成破坏造成的网络故障和泄密问题。
4 检察网络信息安全问题解决途径
最高人民检察院曾多次发文要求做好信息安全保护工作,明确内外网物理隔离,如需信息交互必须采用涉密设备等防范措施。
针对上述问题检察网络信息保护策略主要有以下几个方面:
建立完善的网络安全制度:根据本单位实际情况制定切实可行的安全管理制并严格落实。制定检察网络操作安全制度、设备安全制度、机房巡查制度、安全操作制度、密钥安全制度等。
加强网络访问控制和安全防护:网络访问控制是网络安全的核心,也是维护网络信息安全的重要措施。
(1)网络权限控制:网络权限控制是指用户被赋予一定权限,从而能在网络中执行某些操作的过程。它不仅限制了访问系统资源的用户,也能随时对非法侵入进行拦截。针对检察局域网进行合理的安全边界划分,对不同的网络安全域采用不同的安全策略。
针对用户口令的识别和账号的检查也能提高网络安全。
(2)网络服务器安全:网络服务器可以允许一系列网络交换、数据通信服务,用户通过服务器可以共享网络资源。通过检察网络服务器可以实现对涉密软件客户端的安装和卸载,也可以监控整个网络的安全运行。网络服务器的安全设置包括用户口令设置,防止非法用户对重要数据的修改、删除等操作,限制非授权访问。
(3)网络防火墙保护:网络防火墙是要隔在网络内部、外部之间的一个安全控制软件,它可以实现对访问的监控和服务的审计控制。通过防火墙可以实现网络监控防止外部入侵,从而保护网络不受攻击。目前防火墙主要有包过滤防火墙、双穴主机防火墙、防火墙等。
(4)外部入侵检测监控:虽然防火墙可以抵挡绝大部分网络威胁但是对于内部的攻击却无能为力。因此动态监控网络数据,遇到入侵时及时作出相应响应显得十分重要。检察网络入侵检测可以对非法网络访问起到预警和拒绝作用,从而保护信息网络的安全。
(5)网络信息加密保护:对数据加密可以保护检察内网的信息安全。
(6)网络病毒软件防护:使用网络防病毒软件,统一对病毒库升级,实现对检察内网的保护。
网络信息安全保护是检察机关信息化安全体系的一个重要内容,为了适应检察机关信息化发展对网络安全的需求,必须从各方面解决网络安全问题,以网络安全为课题的研究将是一个长期的过程。
网络安全建设实施方案范文5
对于医疗业信息化系统的安全问题,大多数医疗行业考虑最多的还是病毒,认为病毒对医疗行业的HIS和 OA系统影响最大,所以大部分的财力人力都投向了防病毒系统,当然这是对的;但这还远远不够,仍然会有很多心怀叵测的人或者组织对医疗行业发起攻击,甚至数据窃密等,往往会对医疗行业的核心数据造成不可弥补的损失。
1 影响网络安全性的因素主要有以下几个方面
1.1网络结构因素 例如1家3甲综合性医院一般有计算机几百台,通过内部网相互连接,根据该医院的统一规划,在内部网络中,各计算机在同一网段,通过交换机连接。
1.2网络协议因素 在建造内部网时,科室为了节省开支,会保护原有的网络基础设施,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信,同时,也带来了安全隐患。
1.3用户因素 医疗行业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解行业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客” 。
1.4主机因素 建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现漏洞,就可能造成整个网络的大隐患。
1.5单位安全政策 实践证明,80%的安全问题是由网络内部引起的,因此,单位对自己内部网的安全性要有高度的重视,必须制订出一套安全管理的规章制度。
1.6人员因素 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。
1.7其他 其他因素如自然灾害等,也是影响网络安全的因素。
2 医疗行业网络安全漏洞分析
2.1物理防护不足 普遍医院都部署了防弹式的防御体系来应对“典型的”互联网攻击,如:病毒、木马、蠕虫以及间谍软件,由于员工违法使用iPod音乐播放系统和P-to-P,网络性能被大大削弱。同时单位的知识产权会因为员工的不当操作或不道德的行为通过邮件泄露出去。肆意的使用即时消息会使单位陷入员工服从性的危险之中。
2.2防火墙性能不足 用户网络中现有的防火墙一般都是采用X86架构,采用Asic架构的都很少。他们的网络性能一般都不高,尤其是对于Internet应用骤增的网络环境来说,现有防火墙的网络性能更是导致网络传输延迟增大的直接原因,使其成为整个网络传输的瓶颈之一,严重影响医疗行业的正常办公需求,已经不能够满足医疗行业持续发展的需要。而一款高性能、高吞吐、价格适中的防火墙是医疗行业用户所急切需要的。
2.3缺乏防攻击手段及有效性能 一般认为Internet上充斥着各种病毒和攻击源,但随着局域网技术的发展,网络安全不再只是外网的专利,在内网,同样面临着巨大的攻击压力。如:Arp欺骗攻击、Mac欺骗攻击、流量攫取、地址欺骗、地址扫描和端口扫描。而医疗行业现有防火墙并不具备内、外网防攻击手段及能力,在面临大范围病毒爆发或攻击发作的时候无法提供良好的处理性能,严重时将导致设备宕机,严重影响医疗行业用户的正常工作。
2.4对于应用层无法有效管控 网络中所有的网络通讯都是基于应用的。而目前Internet上的应用以几何倍数在增长,每天都有大量新应用出现,如何有效管控这些网络应用是用户急需解决的问题。
2.5网络需要更好的冗余备份机制 医疗行业网络在医疗行业生产中扮演着至关重要的角色,医疗行业网络的稳定性严重影响着医疗行业生产的稳定性,冗余技术是解决网络单点故障、维护网络持续稳定性的最有效解决方案。医疗行业网络建设需要充分考虑冗余技术的应用,尤其是网络关键节点,如网络接入端、网络核心层等等。
2.6医疗行业需要更简单实用的VPN VPN 在医疗行业网络应用中极为广泛,是医疗行业扩展远程应用的有效解决方案。随着医疗行业规模的扩大及业务发展的需要,各分支机构之间、移动办公员工和公司之间以及合作伙伴和公司之间的VPN加密远程数据传输是医疗行业解决远程传输数据的私密性、安全性和降低费用的有效办法。而如何简单、方便快捷的维护整个医疗行业的VPN以及降低医疗行业VPN的维护成本是医疗行业用户同样需要考虑的。
3 医疗行业网络安全对策
在企业对于信息化系统严重依赖的情况下,如何有效地增强企业安全防范以及有效的控制安全。
3.1建立网络安全的体系结构 网络安全的体系结构是一个理论基础,可以使网络安全建设纲举目张、有条不紊、全面周到、相对完善。赵战先生在提出了适合中国国情的模型,即WPDRRC(预警、保护、检测、反应、恢复和反击)。
3.2专网与互联网的隔离 为了安全而与外部网物理隔绝,会使内部网变成“信息孤岛”,大大降低使用效能;采用相对完善的安全方案,使内部网与外部网安全互联,使专网用户也能共享互联网的丰富资源。
3.3防火墙技术 防火墙是1种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统。防火墙可以为专网加强访问控制、提供信息过滤、应用层的专用、日志分析统计报告、对用户进行“钥匙口令+防火墙一次性口令”的双因于认证等功能。
3.4入侵检测技术 入侵检测被认为是继防火墙、信息加密之后的新一代网络安全技术。入侵检测是在指定的网段上及早发现具有入侵特征的网络连接,并予以即时地报警、切断连接或其它处置。难点在于:检测耗费时间加响应耗费时间之和必须小于攻击耗费时间,要对非法入侵发现得及时、抓住特征、防止销毁证据并做出反击,是一场不折不扣的高科技战争。
3.5虚拟安全专网(VPN) VPN是指业务提供商利用公众网(如互联网)将多个用户子网连接成1个专用网,VPN是1个逻辑网络而非物理网络,它既拥有公众网的丰富资源而又拥有专用网的安全性和灵活性。
3.6其它网络安全对策 除了上述几条外,网络安全方面还应采用以下一些对策:①适当强度的密码算法,密码始终是网络安全的基石,也是一切安全对策的核心;②采用安全性好的操作系统;③采用电磁防护措施,一方面要防止有用信息的电磁漏泻发射,另一方面要采用抗电磁干扰传输方式;④采用防雷电的保护措施;⑤采用适当的物理防护措施;⑥加强行政管理、完善规章制度、严格人员选任、法律介入网络等。
4 医疗行业网络安全解决方案
4.1物理安全 医疗行业定制好符合其策略和优先级的互联网安全防护解决方案,接着使用健全报表功能来很好控制医疗行业所面临的商业风险,彻底关闭点对点网络,释放重要网络资源并消除版权侵权的风险。
4.2数据库控制 对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
4.3用户访问控制 对医疗行业信息安全的威胁不仅来自医疗行业网络外部,大量的安全威胁来自医疗行业内部。由于是内部人员所为,这样的安全犯罪往往目的明确,如针对医疗行业机密和专利信息的窃取、财务欺骗等,因此,对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
4.4防火墙部署 网络安全性问题关系到未来网络应用的深入发展,它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技术。
5 总结
本文对医疗网络安全问题分析与研究,主要做了以下几项工作。首先,从各个方面对网络信息系统存在的脆弱点和面临的各种威胁与攻击进行分析与探讨。其次,就目前常用的信息系统的安全保护措施进行分析与研究,探讨了各种技术措施的优点及不足。为建立和完善网络安全体系,选择安全手段提供了重要的参考。最后,分析和探讨了设计安全信息系统应遵循的原则和步骤,并根据实际情况选择实施方案。
网络信息系统安全问题是信息系统设计应考虑的重要方面。安全问题伴随着信息系统的整个生命周期而存在.在本文中分析和讨论了多种安全技术,但在网络系统的安全保护上,没有一种网络安全技术是万能的。信息安全体系的建立与管理只有从法律道德、基础实施、网络管理、网络设备、软件系统、密码体制、密钥管理、产品认证等各方面入手,根据多重保护的原则,建立多层次的防御框架,才能更有效地保证整个系统的安全性。
参考文献:
[1]袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.
[2]王常吉,龙冬阳.信息与网络安全实验教程[M].北京:清华大学出版社,2007.
[3]王其良,高敬瑜.计算机网络安全技术[M].北京:北京大学出版社,2006.
[4]贺思德,申浩如.计算机网络安全与应用[M].北京:科学出版社,2007.
[5]唐正军,李建华.入侵检测技术[M].北京:清华大学出版社.2008
Adis药学核心期刊数据库检索方法例析
刘秉文,汪新久
(沈阳药科大学图书馆,辽宁 沈阳 110016)
摘要:本文以实例说明Adis药学核心期刊数据库的检索方法,旨在为药学研究人员检索高质量药学文献提供参考。
关键词:Adis;数据库;检索方法
Retrieval Methods of Adis Pharmaceutical Core Periodical Database
LIU Bing-wen,WANG Xin-jiu
(Library of Shenyang Pharmaceutical University,Shenyang 110016,Liaonin,China)
网络安全建设实施方案范文6
学校信息管理系统受到来自外部的攻击等恶意行为,部分系统在受到黑客等外部入侵或者攻击后,可能变为黑客利用的工具,然后再次攻击其它计算机。而学校信息系统的内部攻击主要是内部用户的不当行为,内部用户的尝试授权访问、探测预攻击等行为,如Satan扫描等都可能影响到校园网络的正常运行。1.4资源滥用和不良信息的传播校园网中的一些内部用户滥用网络资源,如利用校园网下载商业资料等,这样就让大量校园信息资源被占用。同时一些用户会在有意识或者无意识的情况下,在校园网络中传播不良信息,或者发送垃圾邮件,这些行为都增加了安全隐患。
2学校信息管理系统的安全防护体系模型
学校信息管理系统的安全建设属于一个系统而复杂的工程,需要根据信息系统的实际需求,构建动态的安全防护体系调整策略。信息系统的安全建设过程不属于单纯的技术问题,也并非将技术与产品简单堆砌在一起,而是需要我们积极转变思想观念,综合策略、技术和管理等多方面的因素,进一步形成动态的、可持续发展的过程。学校信息管理系统的主要服务对象是教学和学生,而大学生是网络中十分活跃的群体,因此,构建校园网络信息安全防护体系是十分必要的。本文结合P2DR模型,构建出了一个动态、多层次的校园网络信息安全防护体系模型如图1所示。计算机系统中会出现很多新的漏洞,新的病毒以及黑客攻击手法也不断涌现,同时校园网络自身也是动态变化的,因此,在构建好一个校园网络信息安全防护体系后,网络管理者必须对该防护体系进行实时更新,并定期进行维护,以此保障该防范体系的稳定运行,进而保障校园网络的安全性和有效性。在校园网络信息安全防范体系中,将安全策略作为中心内容,而安全技术为该体系提供支持,安全管理是一种执行手段,并积极开展安全培训,提高用户的网络信息安全意识,以此让安全防范体系得以不断完善。在这个信息安全防范体系中,安全策略是最为基础和核心的部分,它可以在检测、保护等过程中指导和规范文件。可以说该体系中所有活动的开展实施,都是在安全策略的架构下完成的。安全技术为信息安全的实现提供了支撑,其中涵盖了产品、工具和服务等内容。信息系统中常用的安全技术有入侵检测、漏洞扫描和系统防火墙等,这些技术手段是安全防范体系中较为直观的构成部分,也是其中必不可少的内容,缺少了任何一项都有可能引发巨大的威胁。由于学校的资金等条件有限,在构建安全防范体系过程中,对于部分技术无法及时部署,这时候就需要以安全策略作为参考,制定合理的实施方案,让所有的安全技术构成一个有机整体。
3建设校园网络信息安全防护体系的目标与策略
3.1网络信息安全防护体系的建设目标
根据学校信息管理系统中存在的安全问题,综合考虑安全策略、技术和管理等多方面的内容,制定出一个动态的信息安全防范方案,并根据该方案构建安全、稳定、易于管理的数字化校园,保障学校信息管理系统的正常运行,这就是网络信息安全防护体系的建设目标。具体来讲,就是首先提高学校主干网络的稳定性,以此保障校园信息系统的可靠性。其次,不断完善学校网络信息安全管理体制,运用有效的安全防护手段,严格控制访问并核实用户身份,确保信息的保密性和真实性。第三,避免校园网络中内部或者外部的攻击、破坏,维护系统的稳定、安全运行。第四,在保障安全的基础上,防护体系应该尽可能地为系统的各项应用提供便利,全网的身份认证应该统一,并对角色访问进行适当控制。第五,构建稳定、安全和操作性强的网络信息平台,为学校的管理、教学等活动提供支撑。
3.2网络信息安全防护体系的建设策略
结合相关的安全防范体系模型,我们可以从安全策略、技术和管理等方面开展安全防护体系的建设工作。安全策略是建设工作的核心内容,所有的工作都应该以此为参考。在建设过程中,首先应该制定总体的安全防护体系建设方针,然后构建网络信息安全防范体系,并在这个基础上制定相关的网络安全策略,如病毒防护、系统和数据安全等。在这个过程中为了确保安全策略的顺利实施,也需要制定相应的安全管理体制,并给出规范的操作流程。
4校园网络信息安全防护体系的总体架构
4.1划分安全区域
在网络信息安全防护体系的建设过程中,分层和分区防护是其较为基本的原则,要想保障信息安全防护体系的完整性,应该综合考虑安全防护层次和区域这两个方面。根据校园信息管理系统的实际需求,可以把安全防护体系划分为5个安全区域(如下图2),然后根据每一个安全区域的具体特征,制定相关的安全防护策略。在每一个划分的安全区域中,其安全防护也可以分为物理、系统、应用和数据安全这5个层次。
4.2互联网边界和校园骨干网安全区域的架构
为了保障互联网边界和校园骨干网中数据的可靠传输,以及保障各项业务的正常运作,可以根据网络的实际需求,将双核心冗余结构应用于核心交换设备中,让核心交换设备与每一个汇聚交换设备实现双上联。将带宽管理设备、防火墙和链路负载均衡设备设置在互联网边界上,并在防火墙的隔离区设置域名解析和邮件服务等公共服务器。首先将防DDoS设备设置于外部网络中,以此避免校园网络以及内部用户受到外界攻击;将基于端口的地址转换应用于互联网的出口,这样外部用户就得不到真实的内部用户地址;在系统数据中心防火墙的隔离区放置公共服务器。
4.3校园数据中心安全区域的架构
根据学校建设数字化校园的实际情况,以及信息系统各服务器之间的关系,可以将校园数据中心划分为多个安全子区域,如应用服务器外区和内区、公共服务器区和数据库服务区。其中公共服务器中有电子邮件、Web等重要服务器,因此需要配备2台以上档次相同的物理服务器,服务器的高性能主要通过系统的负载均衡设备来体现。在防火墙的隔离区设置校园托管服务器,以避免外部用户的访问。要想将校园数据中心网络和校园网连接起来,需要经过核心交换机中的虚拟防火墙,防火墙隔离区的公共服务器能够为外部网络提供服务,并可以保护网络免受外界攻击。数据中心的服务器可以通过负载均衡设备来均衡负载,以此优化网络服务,并发挥安全冗余的作用;由IPS实现对网络攻击的阻断,防止超文本传输服务器在统一身份认证等过程中外部用户的访问。
5结语
