前言:中文期刊网精心挑选了网络安全建设方向范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全建设方向范文1
【关键词】网络安全;网络攻击;建设与规划;校园网
1、网络现状
扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。
2、安全威胁分析
目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。
2.1安全设备现状
Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。
2.2外部网络安全威胁
互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。
2.3内部网络安全威胁
内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。
3、安全改造需求分析
本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。
4、解决方案
网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。
4.1短期网络建设规划
4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。
4.2长期网络建设规划
网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。
5、结语
从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。
参考文献:
[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184
[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3
[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4
[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17
[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31
网络安全建设方向范文2
完善检察机关信息网络安全自主可控的规范化。检察机关的信息技术具有保密的特点,检察信息化管理中许多管理都应在安全有序的状态下进行信息网络安全自主可控的运作。应将信息网络安全的的自主化管理模式纳入到整个管理的格局之中,如果不及时的使用自主化管理模式,就会使总体的检察机关信息网络在运行时出现紧张的局面,必将会导致检察机关总体管理工作的堵塞。当网络信息化技术发展到一定阶段的时候,就会暴露出许多信息网络安全管理的问题。与此同时,与其相互配合使用的许多信息管理软件也会出现相应的操作上的问题。建立检察信息网络安全自主保障系统是解决问题的最有效的方法,它使原本由静态的管理模式向动态的信息安全管理模式转变。由此可见,完善的检察信息网络安全自主保障系统通过规范信息安全管理机制,改进检察信息网络安全自主保障系统,促进了队伍更好地建设与发展。而且对信息网络安全自主可控机制的健康运行起到了很好的促进作用,使检察机关信息网络安全自主可控的管理机制能够快速的、科学的发展。为加强制度的管理和落实,有必要完善检察机关信息系统运行的操作规范,并且定期的总结规章制度的执行落实情况,及时发现漏洞并进行整改。还有必要规范电子论坛、挂网内容等的制度,既鼓励了干警学习网络安全知识,又提升了检察机关的整体素质,还保证了检察机关信息网络运行的畅通和安全。网络信息化建设的基础性工作是检察机关网络信息技术的开发,而最关键的则是对网络信息的具体运行和安全管理。检察机关网络信息化建设中存在着很多的问题,对网络信息安全自主可控机制多少都会有一些影响。对此,规范网络信息管理是非常有必要的,检察机关对于各类案件、各种工作以及信息安排都必须在网络信息系统上进行传达,使各个部门都能准时、安全的接受。
完善检察机关信息网络安全自主可控的科学化。检察工作的开展与检察机关掌握信息量的多少、优劣和信息技术程度的高低有着直接的关系。随着信息时代的快速发展,大部分的干警对信息化了解越来越少,连最基本的打字、上网都不精通就别说利用信息技术了。这些问题严重的阻碍了信息网络安全建设的步伐。要想建立新型的工作机制,必须先从思想观念开始更新,将现代化的信息管理理论融入到检察工作之中。必须大力引进精通网络知识的技术型人才,以促进检察干警更新观念,主动学习钻研。如过有必要可以实行全员培训。例如:在各科室开设小的学习环境,发挥本部门骨干的作用,边做边学;或者是在全体部门开设学习环境,定期的邀请专业技术人员来讲解在操作过程中所遇到的疑难问题。在此基础上,还要组织本院的技术骨干走出去,才能引进来更好的创新观念。在检察机关干警信息网络安全自主可控的工作能力不断提高的基础上,检察机关还必须加大完善基础设施的建设,才能更好地适应信息网络安全工作快速发展的需要。检察机关对信息网络安全的技术投入不能松懈,而且为了满足检察机关自主可控的需求,还应对信息网络安全保障的各项设备进行改造与升级。只有配置先进的局域网设备,才能有效的防止非法技术的入侵。应用了高标准的信息系统以后,使新型的信息管理模式的安全含量更高、更强。
完善检察机关信息网络安全自主可控的高效化。为保证检察工作能够高效的发展,就必须不断的更新办案系统以及信息安全建设。提高信息安全监督,变结果监督为过程监督,变静态监督为动态监督。为有效地预防办案人员在办案过程中不规范的使用信息网络,可以通过局域网进行信息安全自动监督。办公行政管理部门可以在内网上公开信息网络安全督察事项,并对落实、执行不彻底的个人或部门给予相应的告诫或处罚,这样既提高了信息的质量与安全系数,又使检察机关信息网络安全内部监督机制向着良性的方向发展。为了确保检察业务信息的安全,必须研发新的办案软件,使局域网内部也实现联网办公。与此同时,还要对侦查指挥、讯问监控系统进行开发和升级,以防止秘密的泄露。还应该实现对举报自动受理,探索出一条新的、快速的、安全的、保密的举报受理系统,防止举报信息被外部的非法网络技术入侵、窃取。
信息网络的安全建设关系到了检察机关的未来走势,面对飞速发展的科学技术,只有不断地完善检察机关信息网络安全自主可控的规范化、科学化和高效化,才能使检察事业在新形势下更快的朝着目标迈进。
本文作者:赵连升工作单位:海南省琼海市人民检察院
网络安全建设方向范文3
通信网络是经济社会发展的重要基础设施,做好通信网络安全防护工作对国家信息安全建设起到关键作用。近几年,在政府主管部门的大力指导和强有力的推动下,通信网络安全工作取得了全面成效,管理制度愈加规范,技术检测手段愈加深入,防护能力逐步提高。网络攻击、黑客入侵、病毒威胁种类多样化,致使网络安全形势依然严峻,新业务应用及发展更是带来新的安全挑战,这需要政府管理部门进一步加强监管力度,创新管治方法,强化安全防护范围和深度。
为深入宣贯通信网络安全管理办法,解读政策方向和安全防护标准及应用,分析当前网络安全发展形势,探讨更新更好的安全防护思路,本月由中国通信企业协会通信网络安全专业委员会主办的“2013通信行业网络安全年会”在贵阳隆重召开。工信部通信保障局副局长熊四皓等领导出席了会议。天融信作为本次年会的赞助商由副总裁宫一鸣在会上进行了“大数据和运营商安全”主题演讲。
会上调查显示,当前,用户普遍最为关注的是以下10大安全话题:
1、大数据安全
2、APT攻击
3、下一代防火墙
4、WEB防护
5、如何高效的实现企业信息安全管控体系
6、云安全
7、IDC安全
8、移动互联网安全
9、业务安全
10、如何提升入侵感知能力
可见,大数据安全已经成为其中最重要的问题,这也是此次通信行业网络安全年会上重点讨论的议题。天融信演讲的“大数据和运营商安全”从安全角度帮助企业分析了如何应对“大数据”时代的来临。通过建立宏观层面的信息,大数据可以让企业更深入地了解自身业务,通过分析海量数据可以实现新的业务洞察力。大数据信息对于企业的信息安全团队来说也同样具有非凡价值。安全团队同样可以利用大数据来加强企业安全建设,抵御内外部网络威胁。
现在,企业已经可以利用各种安全工具来进行日志记录、安全监控、设定应用程序访问控制、远程配置。通过天融信等专业安全企业提供的安全服务对这些数据进行收集和分析,企业安全团队就可以确定安全风险,制定更有针对性的安全防范措施,真正做到“知己知彼,百战不殆”。
天融信在面对大数据时代带来的新挑战时,提出了大数据综合管理平台战略,目前已经推出海量日志数据自动收集与实时智能分析产品(TopAudit-Log,简称TA-L),为企业转型、成长提供必要的战略技术支撑,帮助企业将新挑战变为新机遇。通过海量数据的自动收集、处理以及实时的智能分析实现企业高效、便捷、经济的大数据管理。
网络安全建设方向范文4
持续推动的等级保护
信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。
可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。
从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:
第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。
第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。
第三,对信息系统应用的一些重要单位,开展等级保护工作检查。
公安部网络安全保卫局郭启全处长说:“目前全国范围内,大规模的重要系统定级工作已经基本完成,相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数,掌握国家信息安全的基本情况,为全面贯彻落实信息安全等级保护制度,推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时,某些地方、企业或者单位没有完成定级工作,但会纳入到我们下一阶段的检查工作当中完成。另外,有些企业会随后逐步执行该工作,不会影响国家等级保护制度的大规模推动。”
实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。
奥运留下的财富
“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过,奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作,同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中,各部门均表现得很优秀。在北京奥运会期间,无论是核心网络还是信息系统,都遭受了大规模的攻击和入侵,却没有出现相关安全事故,支撑北京奥运会顺利举办,这是我国信息网络安全领域经历的考验。
实际上,奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验,充分利用好奥运留下的财富,进一步开展今后的工作。
记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。
在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”
郭启全强调:“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么?其实就是来自黑客的攻击破坏,所以搞风险评估要针对最大的风险去做。举个例子,我到国家体育总局去了三次,就是研究他们的网络安全问题、网站安全问题,这就有针对性,搞等级保护、风险评估非常有针对性。这使得我们的风险找得准,漏洞找得准,问题找得准,因此相关措施就有针对性。”
2009年的新工作
中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。
郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”
开展的重点工作主要分为三个方面。第一个方面是全面开展等级保护安全建设整改工作,要建设安全设施,落实安全措施,建立并落实安全管理制度,落实责任制。第二个方面是各单位建立安全整改工作规划,完成定级系统整改规划和制定具体实施方案。第三个方面是以三级以上系统为重点,确定安全需求,制定安全方案。“当然,一些单位可能不太明白具体的操作办法,届时我们会选择有代表性的信息系统进行安全建设试点、示范,结合行业特点制定行业标准规范,按照有关工作实施的规范要求组织实施信息系统安全建设工程。”
网络安全建设方向范文5
信息安全是当前的一个热门话题。究其原因,其一是人们意识的提高,开始关心自己的和客户的信息安全了,其二就是当前普遍存在的问题是信息不安全。
数据显示,全球每年由于安全事件的损失高达数百亿美元,而这些安全事件中,由于管理缺乏所致的比例高达70%。
目前,保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。而我们日常提及信息安全时,多是在技术相关的领域,例如IDS技术、Firewall技术、Anti-Virus技术、加密技术、CA认证技术等等。
其实,在安全领域,技术提供商在培育市场,同时国家的法律法规、有专门的部门在研究和制定推广相关政策和标准的同时,必须划分一个可以分级管理的区域,以实现信息安全认证和管理的需要。
分级而治
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
当前,我国计算机信息系统的建设和使用正向互联互通、信息共享的方向发展,特别是电子政务的快速发展,对信息系统的安全保护工作提出了前所未有的强烈需求。重要信息系统使用单位可根据其信息化建设工作的重要程度和自身安全需求,确定安全等级,选择符合该级别要求的安全产品,并按照相关建设和管理的标准规范进行安全建设和安全管理。实行信息安全产品分级认证,有利于建立长效机制,保证信息安全工作稳固、持久地进行;也有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调。
实行信息安全产品分级认证是推行等级保护的关键问题,对信息系统的安全建设起着至关重要的作用,关系到我国的基础信息网络和重要信息系统是否足以应对相应级别的安全隐患。等级保护体系建立后,既要“一手要抓发展”,又要“一手要抓安全”,必须具备有效的、持续性的验证方法,确保信息系统在不断发展的同时保证符合安全等级要求,因此,开展分级认证是实行等级保护的一项重要具体措施。
策略为先
根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级:
第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
在2006年3月颁布的规则(试行)中,国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。
同时,对于信息安全事件,也将实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案响应和处置。
网络安全分级是重点
目前,相对于单一安全产品而言,网络安全的控制认证更具备管理的挑战性。目前,在网络技术的不断发展中,NGN已经成为电信网络和互联网共同演进的方向,但同时也不可避免地成为网络安全问题的主角。NGN内容涵盖广泛,除了广义的多业务运营外,多种接入技术、复杂的智能终端,以及IP承载网的缺陷和运营商不断变化的组织结构都给网络安全带来了更大的威胁。虽然NGN在世界范围内仍没有大范围商用的案例,但是作为通信业的新亮点,从现在开始设计完善的安全分级防护体系,防患于未然是完全必要的。
目前,在NGN网络中,运营商必须保证提供的各种业务的安全,可以把NGN系统设备,各种业务服务器归属于不同的安全域,不同的安全域对应为不同的安全等级,安全等级的划分保证了高级别安全域的系统设备与低等级系统的安全隔离。等级高的安全域可以访问低等级的安全域,低等级的安全域不能直接访问高等级的安全域,如果要访问,必须经过严格的状态检测。 通常有如下两种手段。
MPLSVPN保证核心网安全
通过采用MPLSVPN技术可以让开放的IP网络具有类似TDM的安全性。采用该技术构建相对独立的VPN网络。这种方法可以在NGN的核心网络使用,将整个IP网络分成几个不同的隔离空间:公共网络、ISP、ASP、用户网络、业务子网等,使得非MPLSVPN内的用户无法访问到NGN网络中的设备,从而保证NGN网络的安全。
IPSec保证接入安全
NGN网络和用户终端的信息包括控制信息和媒体信息。控制信息涉及的协议有H.248、MGCP、SIP和H.323。为了防止未授权的实体利用这些协议建立非法呼叫或干涉合法呼叫,需要对这些协议的传输建立安全机制。目前在IP网络中广泛推荐的是IPSec,用它对协议的传输提供安全保护。
网络安全建设方向范文6
关键词:公共卫生行业;计算机网络安全管理;安全技术防范;信息技术;信息安全等级 文献标识码:A
中图分类号:TP393 文章编号:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
公共卫生行业承担的职责主要包括重大传染病防控、慢性非传染病防控、卫生监督、职业病防制、精神卫生管理、健康危险因素评价、突发公共卫生事件处置和儿童免疫接种管理等,在管理过程中要涉及到大量的重要信息数据,包括疾病监测数据、健康危险因素监测数据和免疫规划管理数据等,这就对公共卫生行业在信息数据管理的方面提出了很高的要求,务必要将计算机网络安全管理防范问题放在重要位置,从网络防范技术和监督管理等方面建立健全计算机信息安全保障体系,确保各类信息数据安全有效。
2 目前公共卫生行业计算机网络安全存在的问题
2.1 数据信息安全威胁
信息数据面临的安全威胁来自于多个方面,有通过病毒、非授权窃取来破坏数据保密性的安全威胁,有因为操作系统故障、应用系统故障等导致的破坏数据完整性的安全威胁,有因为硬盘故障、误操作等导致的破坏数据可用性的安全威胁,还有因为病毒威胁、非授权篡改导致的破坏数据真实性的安全威胁,这些潜在的安全威胁将会导致信息数据被删除、破坏、篡改甚至被窃取,给公共卫生行业带来无法弥补的损失。
2.2 安全管理缺失
公共卫生行业在信息化建设工作中,如果存在重应用、轻安全的现象,在IT系统建设过程中没有充分考虑信息安全的科学规划,将导致后期信息安全建设和管理工作比较被动,业务的发展及信息系统的建设与信息安全管理建设不对称;或由于重视信息安全技术,轻视安全管理,虽然采用了比较先进的信息安全技术,但相应的管理措施不到位,如病毒库不及时升级、变更管理松懈、岗位职责不清、忽视数据备份等现象普遍存在,很有可能会导致本不应该发生的信息安全事件发生。
3 分析问题产生的主要原因
3.1 经费投入不足导致的安全防范技术薄弱
许多公共卫生机构的信息化基础设施和软硬件设备,都是在2003年SARS疫情爆发以后国家投入建设的,运行至今,很多省级以下的公共卫生单位由于领导认识不足或经费所限,只重视疾病防控能力和实验室检验检测能力的建设,而忽视了对公共卫生信息化的投入,很少将经费用于信息化建设和信息安全投入,信息化基础设施陈旧、软硬件设备老化,信息安全防范技术比较薄弱,因网络设备损坏、服务器宕机等故障或无入侵检测、核心防火墙等安全防护设备,导致信息数据丢失、窃取的现象时有发生,严重影响了重要信息数据的保密性、完整性和安全性,一旦发生信息安全事件后果将不堪设想。
3.2 专业技术人才缺乏
建设信息化、发展信息化最大的动力资源是掌握信息化的专业技术人才,人才的培养是行业信息化高速发展的基础,然而,公共卫生行业的人才梯队主要以疾病控制、医学检验专业为主,信息化、信息安全专业技术人才缺乏,队伍力量薄弱,不能很好地利用现有的计算机软硬件设备,也很难对本单位现有的信息化、信息安全现状进行有效的评估,缺乏制定本行业长期、可持续信息化建设发展规划的能力,这也是制约公共卫生行业信息化发展的重要因数。
3.3 信息安全培训不足,职工安全保密意识不强
信息安全是一项全员参与的工作,它不仅是信息化管理部门的本职工作,更是整个公共卫生行业的重要工作职责,很多单位没有将信息安全培训放在重要位置,没有定期开展信息安全意识教育培训,许多职工对网络安全不够重视,缺乏网络安全意识,随意接收、下载、拷贝未知文件,没有查杀病毒、木马的习惯,经常有意无意的传播病毒,使得单位网络系统经常遭受ARP、宏病毒等病毒木马的攻击,严重影响了单位网络的安全稳定运行;同时,许多职工对于单位的移动介质缺乏规范化管理意识,随意将拷贝有信息的移动硬盘、优盘等介质带出单位,在其他联网的计算机上使用,信息容易失窃,存在非常严重的信息安全隐患。
4 如何促进公共卫生行业计算机网络安全性提升
4.1 强化管理,建立行业计算机网络安全管理制度
为了确保整个计算机网络的安全有效运行,建立出一套既符合本行业工作实际的,又满足网络实际安全需要的、切实可行的安全管理制度势在必行。主要包括以下三方面的内容:
4.1.1 成立信息安全管理机构,引进信息安全专业技术人才,结合单位开展的工作特点,从管理、安全等级保护、安全防范、人员管理等方面制定统管全局的网络安全管理规定。
4.1.2 制定信息安全知识培训制度,定期开展全员信息安全知识培训,让全体员工及时了解计算机网络安全知识最新动态,结合信息安全事件案列,进一步强化职工对信息安全保密重要性的认识。同时,对信息技术人员进行专业知识和操作技能的培训,培养一支具有安全管理意识的队伍,提高应对各种网络安全攻击破坏的能力。
4.1.3 建立信息安全监督检查机制,开展定期或不定期内部信息安全监督检查,同时将信息安全检查纳入单位季度、年度综合目标责任制考核体系,检查结果直接与科室和个人的奖励绩效工资、评先评优挂钩,落实奖惩机制,惩防并举,确保信息安全落实无死角。
4.2 开展信息安全等级保护建设
开展信息安全等级保护建设,通过对公共卫生行业处理、存储重要信息数据的信息系统实行分等级安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,建立健全信息安全应急机制,定期对信息系统安全等保建设情况进行测评,存在问题及时整改,从制度落实、安全技术防护、应急处置管理等各个方面,进一步提高公共卫生行业信息安全的防护能力、应急处置能力和安全隐患发现能力。
4.3 加强网络安全技术防范
随着信息技术的高速发展,信息网络安全需要依托防火墙、入侵检测、VPN等安全防护设施,充分运用各个软硬件网络安全技术特点,建立安全策略层、用户层、网络与信息资源层和安全服务层4个层次的网络安全防护体系,全面增强网络系统的安全性和可靠性。
4.3.1 防火墙技术。防火墙技术在公共卫生行业网络安全建设体系中发挥着重要的作用,按照结构和功能通常划分为滤防火墙、应用防火墙和状态检测防火墙三种类型,一般部署在核心网络的边缘,将内部网络与Internet之间或者与其他外部网络互相隔离,有效地记录Internet上的活动,将网络中不安全的服务进行有效的过滤,并严格限制网络之间的互相访问,从而提高网络的防毒能力和抗攻击能力,确保内部网络安全稳定运行。
4.3.2 入侵检测。入侵检测是防火墙的合理补充,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,检测方法包括基于专家系统入侵检测方法和基于神经网络的入侵检测方法两种,利用入侵检测系统,能够迅速及时地发现并报告系统中未授权或异常现象,帮助系统对付内部攻击和外部网络攻击,在网络系统受到危害之前拦截和响应入侵,在安全审计、监视、进攻识别等方面进一步扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
4.3.3 虚拟专用网络(VPN)技术。VPN技术因为低成本、高度灵活的特点,在很多行业信息化建设中被广泛应用,公共卫生行业也有很多信息系统都是基于VPN进行数据传输的,如中国疾病预防控制信息系统等,通过在公用网络上建立VPN,利用VPN网关将数据包进行加密和目标地址转换,以实现远程访问。VPN技术实现方式目前运用的主要有MPLS、IPSEC和SSL三种类型,中国疾病预防控制信息系统VPN链路网络采用的就是IPSECVPN模式,利用VPN链路隧道,实现国家到省、市、县四级的互联互通和数据传输共享。VPN通过使用点到点协议用户级身份验证的方法进行验证,将高度敏感的数据地址进行物理分隔,只有授权用户才能与VPN服务器建立连接,进行远程访问,避免非授权用户接触或窃取重要数据,为用户信息提供了很高的安全性保护。
5 结语
在信息化高速发展的今天,计算机网络安全已经成为影响公共卫生行业健康稳定发展的重要因数,只有通过不断完善网络安全制度,加大网络安全软硬件投入、强化安全防范技术、开展信息安全等级保护建设、加快信息安全人才培养和网络安全知识培训等,才能保障公共卫生行业在良好的环境中有序、顺利的开展工作。
参考文献
[1] 庞德明.办公自动化网络的安全问题研究[J].电脑知识与技术,2009,(6).
[2] 陈棠晖.浅析疾控系统的网络安全[J].网络安全技术与应用,2011,(4).
