前言:中文期刊网精心挑选了网络安全保障措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全保障措施范文1
关键词 医院;计算机;网络;病毒攻击
中图分类号:V355.1 文献标识码:A 文章编号:1671-7597(2013)11-0000-00
随着社会信息化水平的不断提高,信息化已经逐渐渗透到各行各业,人们变得更加的依赖计算机网络带来的信息化服务,计算机网络的成熟与发展引起了医疗行业的高度关注[1],经过多年的不断发展,大部分的医院基本上实现了网络化的全面普及,医院所有的数据信息都存储在自身的计算机网络环境中,计算机网络给予人民带来方便的同时,也使得计算机网络的正常运行时刻遭受着各种因素的威胁,因此必须总结出一套足以保障医院计算机网络安全的措施以及方法,才能使得医院的计算机网络环境更加安全、更加高效。
1 医院计算机网络存在的安全隐患
1.1 计算机病毒感染
计算机病毒(Computer Virus)是造成计算机网络中大量信息资源泄漏的主要途径,医院内部的所有计算机都存在着感染到计算机病毒的可能性,计算机病毒与医学中的病毒完全不同,计算机病毒具体指的是制造者在计算机应用程序中植入的具备破坏数据信息资源或者计算机功能的程序,该计算机程序能够对计算机产生一定的影响,通常具备自我复制性、极大的破坏性以及极强的传染性。
计算机病毒隐蔽性非常强,通常隐蔽在文件、网上下载的程序、不健康的网页等,这种形式再借助互联网网络、移动存储介质、电子邮件等传播媒介进行复制传播。一旦计算机遭受到病毒的攻击,轻的情况下会影响到计算机系统的运行效率、占用被攻击计算机的存储空间等,重的情况下则会造成重要数据信息资源的丢失,用户帐号以及密码等信息的丢失则会直接造成用户财产的不安全性,此外,计算机病毒还能够删除以及篡改计算机内部的数据信息,造成信息数据的丢失以及不准确性,医院的局域网由于具备较多的客户端机器,因此在安全维护上存在着诸多问题,当计算机遭受到类似蠕虫一样的计算机病毒的时候,则会造成整个医院计算机服务器以及网络出现瘫痪的严重现象。
1.2 黑客攻击
黑客攻击通常采取的攻击技术手段便是非法入侵以及拒绝服务(DOS,DENIAL-OF-SERVICE)攻击,非法入侵攻击手段的主要措施便是对攻击的计算机中的数据进行删除、篡改以及复制等[3],有的医疗工作人员借助黑客软件或者其他的一些非法措施窃取到数据库访问密码以及帐号,并通过该帐号以及密码对医院的核心数据库进行修改,给医院的数据信息的安全带来极大的隐患。拒绝服务攻击也是黑客攻击最为常用的攻击手段,具体指的是攻击者通过各种技术措施使得目标计算机停止提供服务,进而造成被攻击目标出现瘫痪的现象,或者使得整个医院的网络出现瘫痪。
1.3 软件自身漏洞
计算机系统的组成通常离不开软件以及硬件,其中不完善的软件系统通常会存在着巨大的安全隐患,攻击者针对软件系统的漏洞能够迅速的找到攻击策略,进而成功对计算机进行攻击。
1.4 计算机网络物理硬件安全
硬件物理设备的安全是整个医院计算机网络安全的基础,物理安全的最终目标是确保计算机网络设备不会遭受到环境事故或人为操作失误以及犯罪等行为而导致的物理破坏。
2 医院计算机网络安全保障措施以及方法研究
医院计算机网络安全的保障措施非常多,本文针对前面提到的几点安全隐患给出了对应的安全防范措施以及方法。
2.1 计算机病毒防治方法
计算机病毒是目前医院计算机网络中防护的重点对象,计算机病毒的不定时攻击对医院的计算机网络带来了极大的安全隐患,针对此种现象,本文提出统一管理、统一防护以及统一升级的防范措施,统一管理具体指的是对医院的所有计算机进行统一全面管理,统一防护指的是采用同样的防治策略能够确保医院网络中的计算机都能够得到防护,统一升级指的是对于计算机病毒库的升级同样采取统一策略,并且病毒库的升级尽量避免人为因素的干扰,可以采取自动下载升级的策略更新病毒库系统[4]。除此之外计算机病毒防护还需要软件以及硬件相结合的防治策略,硬件指的是在整个医院计算机网络拓扑中添加防火墙、三层交换机等设备,从物理角度防范病毒软件的植入等安全攻击,软件系统指的是则可以借助现有的比较流行的安全防护软件系统对计算机进行安全保护,定时扫描计算机。时刻监控计算机是否遭受到计算机病毒的攻击。
2.2 数据信息资源备份
医院计算机网络中的数据信息资源量比较大,可以对医院的数据库服务器数据采用双机热备份措施,本文建议对于医院的数据可以采取每五个小时进行一次差异备份,数据完全备份的时间间隔建议在一天以内,在数据完全备份的同时将数据转存到数据库备份服务器上,如果医院条件允许,则建议将备份数据进行异地存储。
2.3 安装网络实时监控软件系统
实时监控软件系统的部署能够有效的帮助医院计算机管理工作人员实时监控所有的操作,能够第一时间发现用户的非法操作,并且能够将用户非法操作的画面进行截图存储到控制台中,画面可以作为证据,此外还能够发送警告等指令提醒用户正在进行非法操作。通过实时监控软件系统能够很大程度上降低用户非法操作所产生的安全隐患。此外,还可以对整个医院网络进行信息侦听,借助信息侦听软件能够迅速的捕获非授权的违规访问以及网络尝试访问,进而第一时间侦听到系统所遭受到的攻击危害。信息侦听技术是现阶段防范黑客攻击效果最好的技术措施。
2.4 计算机网络物理隔离
物理隔离指的是对于医院中的计算机网络则采用三层交换机、防火墙以及虚拟网络技术等措施进行隔离,通过虚拟网络的分割划分能够有效的实现子网段的物理隔离,这样某个网段的安全隐患则不会渗透到整个网段。
2.5 数据信息加密以及访问控制
数据信息资源以及网络资源是医院计算机网络中最为珍贵的资源,因此可以对数据信息采取加密的措施,与此同时,还必须对数据信息资源的访问进行安全控制,对于所有的非授权访问全部拒绝。
2.6 建立完善的计算机网络安全管理制度
医院的计算机网络的安全防护必须建立在一套完善的计算机网络安全管理规章制度上,制度与技术的结合才能够有效的保障医院计算机网络信息系统的安全,才能够确保医院的计算机网络安全、稳定、高效的运行。
3 总结
随着计算机网络技术的不断进步,以全球互联网网络作为代表的互联网技术瞬间渗透到了世界的每个角落,这同时也给计算机网络带来了潜在的安全隐患。医院的计算机网络安全防护是一个巨大而艰巨的工程,需要依赖于一个全面的、整体的技术保障,与此同时也是一个动态以及长期的防护过程,医院计算机网络安全措施的研究需要紧密的将医院实际情况以及技术结合起来,并制定有效的保证措施以及规章制度才能逐步提升医院计算机网络系统的安全。
参考文献
[1]周薇.医院网络系统中病毒防范策略研究[J].中国医疗设备,2009(02).
[2]张真真.大型医院网络安全防护体系的架构[J].现代医院管理,2008(06).
[3]刘莉.医院信息网络系统的安全维护[J].中国医疗设备,2008(12).
[4]毛晔沁.医院网络安全的技术实现与改进[J].信息安全与技术,2011(06).
网络安全保障措施范文2
在当今社会,上网即对互联网的使用,已经成为人们工作、生活不可分隔的重要组成部分。作为重要的信息“源地”的图书馆,在现代信息技术快速发展和应用的时代,同样也面临者提供数字化服务的新要求,并推动图书馆朝着信息化、处理自动化、媒体多样化、馆藏数字化、通信网络化和服务手段渠道多样化的方向转型和发展。以有线网络和无线网络为基础,以智能手机为代表的移动终端,在互联网应用技术的支持下,大有“一部手机走天下”的气势。许多图书馆都在建设和不断完善数字化服务体系,尤其是国家“211”,“985”高校图书馆在这方面表现的更为突出,其中一些高校已初步实现了如短信、微信、WAP移动数字化图书馆在线服务。但随着图书馆数字化服务步伐的加快以及基于数字化服务路径的增加,数字化图书馆体系所面临的网络信息安全问题日益突出。作为互联网世界应用的主要组成部分,同样也面临着各种不安全因素的威胁。就目前而言,更多的图书馆机构首先关注的图书馆数字化服务功能的实现,由于资金、安全意识等原因,对于实现数字化多路径服务时产生的安全问题重视不够,安全体系建设与数字化服务功能建设不够同步。因此,本文着重对数字化多路径服务过程中图书馆数字化网络信息安全问题的综合防护措施进行研究分析。
1当前数字化图书馆网络信息安全面临的问题
1.1我国网络信息安全的总体态势
根据中国互联网络信息中心(CNNIC)的第35次“中国互联网络发展状况统计报告”,截至2014年12月,我国网民规模达6.49亿,全年共计新增网民3117万人。互联网普及率为47.9%,较2013年底提升了2.1个百分点。到2014年12月,我国手机网民规模达5.57亿,较2013年增加5672万人。网民中使用手机上网的人群提升至85.8%。2014年3月21日,中国互联网协会、国家互联网应急中心在京“中国互联网站发展状况及其安全报告(2014年)”中指出,中国网站安全问题形势严峻,受境外攻击、控制明显增多,是网络安全问题的受害者。在篡改问题上,2013年被篡改的中国网站数量为24034个,增长了46.7%;其中被篡改的政府网站数量为2430个,大幅增长了34.9%。在植入后门问题上,2013年76160个中国网站被植入网站后门,其中政府网站有2425个。“中国互联网络发展状况统计报告”指出:2014年,总体网民中有46.3%的网民遭遇过网络安全问题。本次调查显示,49.0%的网民表示互联网不太安全或非常不安全。我国互联网使用的安全状况不容乐观。今天,图书馆尤其是高校图书馆在不断引进数字资源,丰富图书馆的馆藏数字资源的同时,数字化、网络化的图书馆在网络信息安全方面的问题日益突出,受到的各种安全威胁越来越多。
1.2数字化图书馆网络信息安全的涵义
网络信息安全是指防止信息网络本身的安全,包括采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。具体到数字图书馆网络信息安全是指数字化图书馆网络系统的硬件、软件及其系统中的数据受到保护,不受偶然和恶意因素而遭到破坏、更改、泄露,系统连续正常运行,网络服务不中断。
1.3图书馆网络信息安全面临的威胁
数字化图书馆系统受到安全威胁,总的来看,主要来自外部和内部两个方面。1.3.1外部安全威胁(1)病毒破坏。病毒威胁同样也是数字化图书馆所面临的安全问题,数字图书馆大多由内、外网构成,一旦内网中的服务器感染病毒就有可能危及整个图书馆信息的安全。(2)后门木马。它的危害大多是隐形的,由于后门木马是以窃取信息同时还能对服务器时行操控,可在管理者不知情的情况下窃取信息,对数字化图书馆有较大的威胁。(3)黑客攻击和信息间谍。这是人为的一种形式,对系统进行入侵、网络窃听、密文破译、流量分析、密钥破解等活动,因为数字化图书馆有大量的资源,其又以破坏或盗窃资源为目的,因此具有很大的威胁性。(4)信息恐怖活动和信息战争。主要是国与国层面的信息战争,这种威胁虽然不是经常出现,但它的危害不容小视。(5)自然灾害。因温度、湿度、灰尘、雷击、静电、地震等因素引起的设备损坏,这种危害发生的几率较小,但一旦发生,后果往往是灾难性的。1.3.2图书馆数字化的内部安全威胁(1)安全意识不强。主要体现在系统管理员和大多数的内部使用者身上,导致信息保护弱化。(2)恶意破坏。主要是内部安全管理人员对内部服务器和网络设备进行的破坏,甚至人为设置故障活动等。(3)内外勾结。主要是内部人员为了金钱等个人利益,给外部人员出卖信息情报资源、透露口令、入侵系统、破坏数据、盗窃资源、破坏系统等。(4)。非职责者,非职权者使用系统等。(5)管理疏漏和操作不当。体现在管理上制度不完善、人员组织不合理、缺乏监控措施及权责不清等。
2图书馆数字化网络安全的保障策略
图书馆数字化网络安全需要进行全面详细的考虑。对于常规如有线网络,主要从物理安全、网络安全、软件平台安全和应用安全几个方面相融合考虑安全策略。首先,建立一个全面立体的安全防护墙,以保证图书馆数字化系统其它层的安全。其次,防范病毒也是图书馆数字化系统需要考虑的问题,通过对图书馆数字化网络中服务器和客户端的防护以及在网关处对病毒进行拦截,可以有效预防病毒侵入。针对图书馆数字化网络安全要解决来自外部和内部的各种非法入侵和攻击、非授权的访问、信息泄露和被窃取等行为,在建立有线图书馆数字化网络安全体系时,要根据图书馆数字化所提供服务路径特征,结合各种网络信息安全防护技术,进行综合保护。如图1所示,给出根据开放式系统互联OSI(OpenSystemInterconnection)模型的常规网络安全结构防护方式。(1)应用层。主要研究事故原因,评估事故的破坏程度。涉及到网络管理,网络监控和系统管理。(2)网络层。一旦发现在任何时间发生意外事故及危险,立即终止该进程,最大限度地减少运行时间的事故,将事故损害降到最低。技术手段的使用包括应用访问控制,安全过滤,入侵检测,病毒防护。(3)物理层。使网络系统从通信开始最大限度地降低风险。包括网络分析和规划设计,同时使用网络安全漏洞扫描技术,及时发现事故征兆,并加以控制。可进行预防性安全检查,找到网络安全系统中存在的最大的风险,进行有效纠正。对于一个可提供完整数字化服务的数字图书馆网络系统来说,一般由单位内网、外部网络和门户网站构成。可在内部网络和外网间设置物理隔离;由于还需要进行数据交换,在外网与门户网站间可采用网闸定时交换所需数据信息,实现逻辑隔离,强化保护。结构如图2所示。
3基于图书馆数字化服务的移动网络安全保护
3.1图书馆数字化移动服务概述
图书馆数字化移动服务实际上是依托国际互联网、无线移动通讯技术以及多媒体技术,通过使用智能手机、掌上电脑、笔记本电脑等便携式移动设备,自由访问数字图书馆系统,方便灵活地进行图书馆文献信息咨询、浏览、检索及获取的一种新型文献信息服务方式。数字化图书馆为读者提供移动、交互、便捷、自由服务。但同时数字化移动图书馆所面临的安全问题也越来越严峻。只有建立一个综合、安全、可靠的移动图书馆信息平台,才能为用户提供长久安全的服务。
3.2完善数字化图书馆移动安全系统总体结构设计
上面主要分析了基于有线网络路径提供数字化服务网络信息安全的保护方式。在以数字化图书馆以移动路径方式提供数字化服务时,由于其服务更加灵活和开发,其安全保障体系更显得十分重要。其移动安全系统应进一步完善,应当由安全信息服务平台和移动终端设备组成,总体架构如图3所示。数字化图书馆安全信息服务平台应具有身份认证、密钥管理、用户权限管理、数据加解密、信息查询、数据存储管理、网络状态监视和日志管理等功能融为一体;安全信息服务平台能对移动设备用户进行身份认证、加解密与移动设备用之同传输的信息,要根据移动设备用户提供的关键字,从后台数据库中查询相应的数据,并返回给用户,对移动设备用户上传的文件进行统一存储管理;信息服务平台的日志管理模块实时记录不同用户所执行的操作,包括所进行的查询、上传的文件和系统异常,日志中所记录的字段可由系统管理员自由设定。
3.3完善数字化图书馆移动安全技术保障
就目前来看,图书馆数字化环境常用的移动网络安全架构还不够完善,对其进行改进完善是数字化图书馆移动服务快速发展的必然要求,可考虑采用如下两个技术措施进一步完善移动网络体系安全:(1)在移动终端增加安全措施。这样不至于因使用者出现安全问题而祸及图书馆数字化环境。因此,可在移动终端增加具有移动可信计算功能的独立模块。该模块使其具有安全计算和识别能力,能计算出移动终端中所有软件的完整性,检查所安装和所执行软件的合法性,如果没有授权,就不能安装和执行,但它可与安全服务提供者实现安全通信,并把计算发现的情况随时报告给安全服务提供者。(2)在移动网络中再添加安全服务提供者角色。在互联网中,软件提供商向移动用户提供的软件让其必须持有安全服务提供者签发的数字证书,只有这样该软件才能被安装和运行使用。因此增加安全服务提供者角色后,可通过其为移动终端提供软件合法性证明,从而避免对图书馆数字化安全体系所造成的威胁和破坏。如图4所示,给出了加上可信服务的移动网络安全结构。在如图4的安全结构中,安全服务提供者的服务器是直接接入网络服务器的,因此对已经有的移动网络安全系统结构不会造成大的改动。如果安全服务提供者检查发现软件完整性遭到破坏,则说明终端可能已经染毒了,为了避免终端将病毒扩散到数字化图书馆环境中,就主动不允许其进一步接入图书馆网络系统,以保障数字化图书馆移动服务功能的安全。
4图字化图书馆基于IPSecVPN访问方式实现移动服务的安全保障
使用移动通讯终端设备尤其是智能手机可随时随地接人因特网,但接入Internet不等于不受限制地访问获取图书馆所有资源。比如高校数字化图书馆服务对象主要是本校教职工,是有身份限制的,为了识别访问者身份和信息的安全传输,大多采用了VPN技术。4.1IPSecVPN分析虚拟专用网VPN(VirtualPrivateNetwork)实现不同网络组件和资源之问的相互连接,同时对用户提供透明的服务,利用Internet或其他公共互联网络设施为用户创建一个传输的逻辑隧道,在一个公共网上传输信息时,其它用户不能进入此隧道,这样就为使用者提供一个专用网络信息通道,起到了对资源提供者和访问者的安全保障。IPSecVPN即指采用IPSec(InternetProtocolSecurity)协议来实现远程接入的一种VPN技术。在VPN技术中可提供公用和专用网络的端对端加密和验证服务。IPsec提供IP层上的安全服务,这样系统就可以选择所要求的安全协议,以决定服务所使用的算法、配置所需要的密钥,实现数据传输的机密性和完整性。4.2完善IPSecVPN接入安全布置为通过IPSecVPN实现移动用户和数字图书馆的端到端的加密传输。在移动终端可安装安全卡和安全软件;在移动公网部署二层隧道协议访问集中器LAC(1ayer2tunnelprotocolaccessconcentrator)、二层隧道协议访问服务器LNS(1ayer2tunnelprotocolnetworkserver)和验证授权以及帐户AAA(authentication、authorization、accounting)提供虚拟专用拨号网服务;对移动安全接入部署防火墙、VPN网关、身份认证鉴别管理、安全策略和评估、监控审计和应用隔离系统进行完善,具体如图5所示。(1)为了使移动终端系统对移动用户的身份识别更加准确,可采用开机密码或硬件双要素的认证方式;(2)针对无线虚拟专用拨号网,在拨号过程中加强网络运营商对拨号终端身份认证采用“用户名@域名/口令”的方式;(3)在移动终端接入IPSecVPN网关时,要对移动终端接入采用数字签名认证。采用通过三次握手周期性对端的身份进行校验,同时在初始链路建立完成时,以及在链路建立之后重复进行。改善审计记录的关联性,以增强安全强度。
5系统认证方式
在数字化图书馆基于局域网、有线网络以及无线网络针对特定对象提供多路径数字化服务这一特点,如何识别服务对象、发现非服务对象甚至恶意侵入者,对保护图书馆数字化环境体系安全具有十分重要的作用。数字化图书馆虽然大多都有认证功能,但总的来说认证方式比较单一,不能完全适应多路径数字化服务的发展要求。建立一个统一的,各种认证方式相融合、互为补充的身份认证系统迫在眉睫,可考虑将以下认证方式进行融合使用。5.1系统接入虚拟专用网的认证现在数字化图书馆大多采用以VPN的方式进行访问接入,IPSec基于证书认证的方式非常适合大型VPN,这也符合数字化图书馆用户不断增加的趋势。它所采用的PKI(PublicKeyInfrastructure)安全体系架构,保证了VPN的安全性,并可在必要时,重新颁发证书来增加用户数量。5.2SD扩展卡与终端之间的认证增加安全数码SD(SecureDigita)扩展卡与终端之间的认证,分别针对扩展卡和读写设备的合法性认证。一是可验证终端卡的合法性,杜绝伪造卡使用的可能;二是可用卡来验证终端的合法性,以判定此终端是否具有读写卡的权限。5.3对持卡人的身份认证SD扩展卡需要持有人使用PIN(PersonalIdentificationNumber)码,即SIM卡的个人识别密码,证明它的身份。当用户将SD扩展卡插入移动终端,在使用之前,系统要求用户要输入只有其本人知道的PIN码,若输入正确,则表明用户为该SD扩展卡的合法拥有者,系统也才能进行SD读写操作,反之就拒绝。
6用好其它常规安全技术和安全管理措施
(1)其它常规安全技术保护措施。比如设置防火墙,安装使用网络管理软件,本地与在线杀毒等,这里不作过多叙述。(2)加强管理体系的建设①坚持功能规划、建设与网络信息安全建设同步的思想,确保安全的基础条件达标。②加快建立图书馆数字化安全机制。完善组织机构,加快建立完善图书馆数字化各项安全制度。加大使用安全宣传,共建数字化图书馆网络安全环境。③对图书馆工作人员进行网络信息安全知识、技能的培训,提高基于数字化服务的安全能力。
7结语
网络安全保障措施范文3
引言
人类文明发展有文字之后,档案便开始了漫长的保存与利用过程。?档案,是整个人类的宝贵财富。
档案的开放和安全保障是信息保存和开展相关工作的重要保障。目前档案的开放和信息的保护遭到多方面的干扰,电子档案的兴起更对信息安全提出了更高的要求。因此,加强档案安全利用是档案部门需要重点研究和建设的项目。
一、档案开放与信息安全的必要性
档案开放是顺应市场经济发展的必然,是政府实施“信息公开”制度和“政务上网工程”的要求。
档案开放能够推动民主政治的实现,并能推动其发展。总之,它推动着社会各项文明建设。
档案信息必须附着于不同的载体上,在保存过程中,遇到破坏在所难免,而因此造成的信息的丢失对社会的影响非常大。
另外,随着信息时代的发展,档案管理电子化,即电子档案的应用普遍开来。网络巨大开放性更是威胁着档案信息的安全使用。
无论是从自然环境还是社会人文环境来看,加强档案信息安全的研究和保护刻不容缓。
二、档案开放利用的现状
目前,已经有大量的档案公开给社会公众利用。但是,由于种种原因,我国档案信息资源的开放程度仍然较低,开放的档案仅占国家档案保存总量的28%。
首先,外部环境的巨大变动严重威胁保存档案的硬件设备。
其次,网络安全直接影响着电子档案的安全。在虚拟的网络环境里,黑客、病毒等的恶意篡改和攻击严重毁坏了档案的完整性和准确性。
网络一旦瘫痪,所有的信息可能会消失殆尽。另外,信息安全的相关法规存在漏洞、执行能力差,安全管理上工作细致性不足,风险评估体系和水平不足。
三、档案开放与信息安全的辩证关系
作为档案工作的核心和最终目的,档案开放必须有严格的工作标准和规定。
档案工作者利用多种渠道获得相关信息,进行统一的加工整理形成档案,交给档案使用人员同时加以保存。
非保密档案可以依法向社会和人民大众公开,提供给民众参与社会化服务与政策的机会,保障知情权的行使。档案的开放极大的促进了信息的共享和资源的高效利用,能有效的促进相关工作的顺利进行。在档案的开放过程中,信息的安全保护相当关键。
档案信息必须附着于不同的载体上,在保存过程中,遇到破坏在所难免,而因此造成的信息的丢失对社会的影响非常大。
另外,随着信息时代的发展,档案管理电子化,即电子档案的应用普遍开来。网络巨大开放性更是威胁着档案信息的安全使用。
无论是从自然环境还是社会人文环境来看,加强档案信息安全的研究和保护刻不容缓。
档案的开放极大的促进了信息的共享和资源的高效利用,能有效的促进相关工作的顺利进行。但是,在档案的开放过程中,信息安全保障是现阶段高校档案不容忽视的一项工作。
档案具有历史性,真实性和唯一性,一旦损毁,势必给社会造成难以挽回的重大损失,影响档案工作的发展。因此,如何健康安全地开放档案是档案工作的关键。
四、档案安全保障措施及防范体系
(一)建立完善的法律法规
当前我国涉及档案安全的法规主要是信息安全和保密管理。它可以帮助档案开放工作的健康、科学的发展。但针对信息安全重点建设的等级保护、风险评估、应急响应等内容在法规里仍是空白。这阻碍着档案信息安全系统的完善和对信息的保护。
因此,建设完整的法律法规体系,加强档案部门工作人员的法律意识和责任感,保障法规的执行力度。同时,针对电子档案的法规也需建设和完善起来,以指导和规范电子档案的安全使用。
(二)加强档案基础环境建设
对于实体档案,如纸质、胶片、磁带档案要严格控制材料的选择,并根据不同的环境需求分开保存,分别配备相应的库房设备。?电子档案的保存硬件设备即服务器、终端、存储设备和网络设备。这需要保证设备的物理条件,相关单位需定期检修保障设备的正常运行。
电子档案安全更重要的环节是网络的安全保障,网络的安全管理、漏洞检测和病毒查杀都需要网络安全技术的保障。
(三)加强安全技术能力建设
1、实体档案信息安全保障技术。主要有保存技术和修复技术。保存技术重点对库房的环境建设和装帧技术展开。修复技术用于解决在档案的保存、利用过程中受不可抗外力作用,如纸张老化、胶片断折、光盘磨损等。加固技术、去酸去污技术,修裱技术都是常用的修复技术。
电子档案安全保障技术就是从系统安全,数据安全,网络安全,用户安全等角度进行安全保护。
2、档案信息安全保障手段。通过安全审计保障系统安全;利用数据加密技术、备份技术、应急响应技术保障数据安全;利用防病毒技术、防火墙技术、漏洞扫描技术保障网络安全;利用身份认证、权限控制技术保障用户安全。
3、档案信息安全保障措施。对档案员工进行安全教育是保障信息安全的重要措施。首先,应该大力推广信息安全观。将个人电脑设定防毒措施,加强资料备份观念。防止在档案信息公开的过程中无意带入电脑病毒。
档案部门需要在档案服务器上安装杀毒工具,建立起基本的的防毒安全环境。在工作过程中,养成重要资料备份的习惯,将档案信息备份到服务器中,并备份到光盘或磁盘中。另外,制定文件信息安全防护和应急计划,定期进行修订。
(四)完善档案安全管理体系建设
档案的管理工作是真正实现档案安全的重要部分。好的管理思想和制度,负责的管理人员和到位的工作程序是保障档案信息安全的灵魂。建立起档案信息安全组织体系,设立信息安全管理部门,规划组织,明确职责。制定档案信息安全保障工作的整体规划确立明确的目标,拟定长期规划。同时加强管理制度的执行力度,成立安全工作领导小组,定期对档案信息进行检查。
(五)大力推广应用电子档案
从安全角度来看,电子档案较传统纸质档案有较大的安全性。首先电子文件对环境条件、气候条件耐受性较高,不易被破坏,因此较安全。第二在文件保管使用的整个环节都可以凭借高科技手段加以安全保护。第三影响电子文件信息安全所需智力、技术、设备、环境等条件较高。
第四我们一直在不懈努力大幅提高电子文件的安全技术研发功效,努力杜绝文件信息泄露的可能性。
网络安全保障措施范文4
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
网络安全保障措施范文5
关键词:无线局域网;安全技术;措施
1 无线局域网的发展现状及技术问题
以往的有线局域网在特定的场合会受到很大的限制,如布线以及改线,且设计的工程量相当大,线路容易受到人为损坏,以及网络中的节点不能够轻易移动。无线局域网(WLAN)就是在这种情况下应运而生的,主要为了解决有限局域网的各种技术缺陷。无线局域网能够在无线技术的支持下快速连入以太网,不需要特别布线,也可以不用受到布线的限制,十分适合用于移动办公客户,发展的市场前景非常广阔。主要应用的领域有医疗保健行业、库存管理与控制等特殊的行业领域,近几年已经逐渐普及到家庭网络和相关教育机构。
无线局域网主要利用的载体是电磁波,它能够穿过天花板、楼板、玻璃、强等阻隔物体,在任何一个无线局域网覆盖的服务范围内,用户都能接收到电磁波,并实现自由上网。所以,没有经过授权的客户端用户也能够接收到这种电磁波信号,很容易实现对无线局域网的干扰以及窃听。因此,加强无线局域网的安全技术问题就显得尤为重要。
事实上,无线局域网的应用比普通的有线局域网在安全性上来的更高,在第二次世界大战的时候,无线局域网就被应用于军方的信号传输。目前世界上主要使用的无线局域网产品参考IEEE国际标准,绝大多数产品都使用DSSS通讯技术来传输信号数据,这项技术能够信号在无线传输的途中以外丢失或者干扰破坏等问题。无线局域网的技术安全保障主要来自于三项特定技术:第一种是SSID技术,它能够将无线局域网划分成不同身份的子网络,每一个子网络都有不同的身份验证,用户只有通过了身份验证才能够连入该项子网络;第二项是MAC技术,此技术能够在无线局域网的每个接入点上设置一个特定的用户地址清单,对于MAC地址无法通过的用户,则会被拒绝连入网络;第三种是WEP技术,即一种加密技术,由于无线局域网的信号传播主要依靠电磁波,电磁波泄露就会增加被窃听的风险,运用加密技术能够降低此项风险。
2 无线局域网的安全技术发展
2.1 防止未授权客户端接入
无线局域网应该使用各种科学化的身份验证手段,防止没有经过授权的用户随意接入网络。由于无线的电磁波信号能够在空气中进行传播,信号很可能会在非预定的范围内传播自如,在较大范围的信号范围之内,一些非法的客户端不需要任何线路连接就能无线网络的信号数据。因此,必须要加强阻止非法入侵的客户端,防止网络数据信号的泄露。
2.2 利用MAC地址清单
每个无线局域网的网卡都有一个特定的MAC地址,这个地址是唯一不变的,保证只有注册过的客户才能够连入该局域网。采用802.1x的端口认证方式进行客户身份验证,并结合后台运行的认证服务设备,对所有连入用户的身份进行精确认证,将非法入侵者拒绝在网络门槛之外,保证数据信息的安全性。
2.3 利用加密技术,拦截非法用户
利用WEP的加密来阻止非法用户进行拦截或窃听无线局域网络中的数据信号。WEP是世界标准网络协议,能够通过对传输过程的信号进行加密提供网络保护,经过简单便利的安装和启用便可以设置密钥,达到保护的目的。
2.4 防止非法AP接入
把无线的AP接入到有限的集线器时,可能会遭遇到来自非法AP的入侵和攻击。这些非法的AP会扰乱网络的正常秩序,浪费宝贵的资源,只有加强对每个AP的合法验证,才能保证无线局域网的安全技术问题。AP支持的互联网技术将客户主机与局域网络互相连接起来,并进行相互的验证。在此过程中,不仅仅是AP要被确认合法性,无限的终端数据也要认证该AP是否真实,只有验证通过之后才能继续访问。这种双向验证的手段可以在极大程度上防止非法的AP入侵。对于一些不支持特定端口的AP,需要进一步通过周期性的站点审核。赶在非法入侵的AP进入网络之前,利用接收天线寻找未经授权的用户,使用物理监测系统发现未授权站点的所在,并选用小型的检测设备进行扫描,确定网络各个角落的非法入侵AP。
2.5 限制非授权跨部门联网
ESSID技术是一项可以进行部门分组的安全保障技术,有够在极大程度上避免任意连接带来的安全风险。使用MAC地址设置能够有效控制各个连接入网的部门AP终端,防止未经授权的非法用户跨部门连入无线局域网,避免泄露数据的同时能够保护网络资源。此外,利用特定的检测器和分析设备能够监测无线局域网的各项数据流情况,一旦发现未经授权的端口,就能阻止该客户端非法入侵。
以上就是主要的无线局域网安全技术保障措施。由于网络安全在现今社会的地位越来越重要,加强安全保障措施也显得意义非凡。绝大部分的局域网络都必须配备有一定的安全保障措施。相对于有限网络来说,无线网路在安全性能方面要高出一截。但是值得关注的一点是:无线局域网并不能完全替代有限局域网,智能是对有限局域网的提高与弥补,使用无线局域网并不代表最终我们将消灭所有的有限设备和有限网络,主要目的还是减少布线和断线发生的概率,使得有限网络与无线网络能够和睦相处,共同取得进步。
网络安全保障措施范文6
关键词:无线传感器网络;安全技术;技术应用
无线传感器网络的民用化进程近些年来显著加快,其应用安全问题也越来越为人们所关注。但从现状来看,相关安全技术的实际应用并不理想,以目前对无线传感器网络应用较多的医疗领域为例,网络滞涩现象非常严重,物理损坏率很高,实际运作的可用网络空间与节点往往不足50%,安全问题导致了应用能效的极大下降。因此文章将针对这种特殊网络的常见安全技术问题加以分析并探析其安全技术的发展方向。
1无线传感器网络概述
无线传感器网络是一种以大量的外部传感器作为末梢的分布传感网络,这些传感器可以以无线的方式进行外部通信。由于网络灵活性非常高,而且三次元涵盖面极广,所以被认为在军事上有很大的发展潜力,近些年来更进一步进行了大量的民用应用研究。但民间的技术力毕竟与军方有一定的差距,所以无线传感器网络在民用领域的应用推广面临了一系列的困难,安全技术问题正是其中一例。
2无线传感器网络在安全上的技术问题
2.1安全机制缺失问题
虽然无线传感器网络近些年的民用发展很快,但从总体水平来看仍远不及普通网络,在诸多方面都存在着一定的局限性,比如后文将要说明的节点能量、通信稳定性等。在这种情况下,很难系统性地构建完整的安全防护机制,因此目前的安全措施大多是分散的、阶段性的,只针对无线传感器网络中的个别节点,所以不仅漏洞很多,而且有效性也难以保障,安全隐患扩散的几率相当高。
2.2节点能量限制问题
无线传感器的网络节点通常具有小型化、广域化特征,所以一旦部署完毕,不仅难以更换,而且充电也很困难。可另一方面,无线网络设备中有相当一部分属于高能耗设备,对能量的需求量非常大,这样一来容量小、充电困难的网络节点很难满足长效的能量需求。这种能量限制不仅会阻碍无线传感器网络通讯功能的进一步发展,而且会对安全技术的应用造成一定的负面影响。因为目前常用的安全算法中,有相当一部分会消耗大量的能量,在节点能量的限制下,这些安全算法无法使用,需要研究新的节能型安全算法。
2.3节点组织随机问题
无线传感器网络的构成基础是大量成规模的传感器,这些传感器的布置往往存在很强的自发性,而不是根据系统化、规范化的章程制度加以布置,在这种情况下,节点组织在布置上的随机性无法避免。这种随机性令安全技术在应用上面临很大的困难,因为节点位置随机,所以无法进行先期预知,先期安全防护自然无法实现,导致了节点安全防护的滞后性。
2.4节点物理安全问题
由于节点较小,所以在无线传感器网络中时常会产生被俘节点,这是一种物理安全问题。为了保证网络整体的运作效率,当被俘节点产生时,有必要迅速对其进行检测和拆除,否则被俘节点造成的安全隐患有进一步扩大化的可能。但目前来看,我们仍缺乏第一时间发现和拆除被俘节点的有效手段,而且拆除被俘节点这个行为本身也有可能令安全隐患发生扩散。
2.5通信稳定低下问题
使用无线传感器网络实现的通信属于一种无线通信,所以本身就具有无线通信固有的诸多通信不稳定特征,比如无线信道不稳、节点并发冲突等。此外,这种特殊的网络还具有自身独有的一些通信稳定性问题,例如,由于该类网络中多条路由同时存在,所以延迟性很强,在传输信息时,个别信息被拦截或者泄漏的可能性很高,在这种情况下,网络通信的安全性与稳定性都受到很大的负面影响。
3无线传感器网络在安全上的技术措施
3.1通过密码技术保障网络安全
在无线传感器网络的安全保障措施中,密码技术是较为传统也较为常规的一种。这种技术通过建立密钥来构成网络安全机制,通常情况下代码和数据的长度越长,防护等级越高,但这两项参数的长度增加会导致处理时间延长、能耗增大,进而令无线传感器网络的运作能效降低,所以在实际应用时要注意网络的基础条件,平衡安全防护能力和实际应用性。
3.2通过安全路由保障网络安全
通常情况下,路由只追求效率和能耗两大指标,对安全防护方面的要求比较低,在普通网络中,路由安全问题相对较少,但无线传感器网络由于具有多路由延迟,所以路由安全风险非常高。为此,安全路由技术被作为一种网络安全保障措施引入,具体来说,就是应用多种安全路由协议对多路径下的路由风险进行防范或者危害限制。
3.3通过密钥管理保障网络安全
密钥管理是另一种网络安全保障技术,严格来说,这种安全技术是从属于密码技术的,是对密码技术中所创立的密钥采取的安全管理措施。需要注意的是,虽然普通网络已经有了较为完善的密钥管理技术,但是在网络拓扑严重不稳定的无线传感器网络中,这种传统技术的应用适性很低,所以目前使用的大多是针对无线传感器网络特征开发的特殊密钥管理技术,比如预共享密钥模型等。
3.4通过入侵检测保障网络安全
以密码技术为基础构建的安全防护机制有一定的缺陷,具体来说,虽然可以对外来节点入侵加以识别,但对被捕获节点的入侵识别是做不到的。为此,相关人士研究了入侵监测技术,尝试通过SEF机制来识别网络中的虚假数据,用邻接节点评价机制来识别恶意节点。这两种入侵检测技术可以通过密码以外的技术进行被俘节点的检测,但相对的需要消耗更多的能量,所以在应用上仍待完善。
3.5通过数据融合保障网络安全
无线传感器网络中的数据大多是融合后使用的,但由于聚合数据中有可能存在虚假数据,所以最终融合值的安全性难以保障,在这种情况下我们需要安全融合措施。具体来说,一方面要借助上文所述的入侵检测技术分析和识别恶意节点,另一方面要订立安全评估用的数学框架,以对数据融合过程进行安全评价,规避恶意数据的干扰。