時間:2023-10-12 09:36:46
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇信息安全所面臨的威脅范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:煙草行業 信息安全 安全管理 安全防護體系
中圖分類號:TS48 文獻標識碼:A 文章編號:1674-098X(2013)03(c)-0-01
中國的卷煙市場是全球最大的市場,擁有30%的全球消費者,中國煙草行業實行專賣專營體制以來,緊緊圍繞“做精做強主業,保持平穩發展”的基本方針,實現了經濟效益的連年增長。在取得成績的同時,中國的煙草行業也一直貫徹堅持科技進步,大力推進技術創新的思想,全面推進煙草行業信息化網絡的建設。但是隨著信息化應用的日益廣泛,信息系統中存儲的信息和數據的數量的不斷加大,其安全形勢不容樂觀,該文先介紹煙草行業信息安全的概念,然后對其現狀進行描述,最后對如何推進信息安全體系建設,加強煙草行業信息安全管理進行了研究與探索。
1 信息安全概述
信息安全本身包括的范圍很大,是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。網絡環境下的信息安全體系是保證信息安全的關鍵,自中國加入世貿組織后,煙草行業的競爭日趨激烈,煙草行業在制造以及銷售方面信息化應用的不斷擴大,所以其安全程度對整個煙草行業起到決定性的作用。信息安全主要包括保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性五個方面的內容,其中任何一個方面的安全漏洞都能威脅到全局安全,因此必須做好信息安全的管理工作。
由于近年來煙草行業進行了幾輪大規模的重組合并,其網絡拓撲結構也越來越復雜,信息集成共享也更加廣泛,所以煙草行業信息安全所面臨的威脅來自各個方面,下面主要從內部和外部兩方面進行描述。
(1)由于煙草行業信息系統是由人員進行設計、監管以及操作的,其本身就存在一定的薄弱環節和不安全因素,若內部保密工作不到位、內部管理出現漏洞則會對系統造成破壞,數據發生丟失,給信息安全系統構成威脅。
(2)黑客可以利用信息安全系統自身的缺陷非法闖入,進行數據的“竊聽”和攔截,或者其他的破壞活動。一般的煙草企業的網絡與整個外部網絡是相互連接的,這就無法避免垃圾郵件的威脅,這是防不勝防的。病毒侵入由于其無孔不入的能力以及無法預防的特性,一直是行業信息系統的最大隱患。
3 煙草行業信息安全管理現狀
經過多年的信息化建設和網絡安全建設,對于煙草信息安全系統,主要存在以下現象。
(1)網絡基礎設施不健全,信息安全設備不穩固。由于大范圍的兼并重組,新建的網絡設施、設備的穩定性依然無法得到保證,對設備運行的監控參數沒有得到重視,不具備容災功能。
(2)煙草行業信息安全管理制度和措施沒有得到有效的落實,專業人員的素質無法得到保證。盡管國家制定和頒布的煙草信息安全管理制度大部分得到了較好的貫徹落實,但缺乏相關的管理制度,使得管理工作也只是流于形式,存儲設備的管理要求無法得到徹底落實。其次由于這個系統的動態特性,對工作人員的要求較高,所以培訓工作的滯后影響著整個系統的安全。
(3)缺乏整體性的防護措施。盡管近年來的信息安全保障體系建設已經取得了一定的成效,但在建設初期的缺乏對整個系統的全盤考慮或是預算的原因使得現在已經成型的煙草信息安全系統缺乏整體性的防護措施。
4 提高安全管理的對策
4.1 技術層面的建設
一個有效的網絡信息安全技術體系是整個信息安全管理的基礎,所以安全體系的建設是所有安全構架的基礎,運用先進的技術手段,進一步完善機房硬件設備等基礎設施;對不同的安全威脅要進行針對性的建設,確保核心設備具有較高的安全級別并且要對其端口進行流量控制;對于核心信息資源所面臨的風險要進行正確的評估,提高網絡信息化的安全保障能力;對于網絡存儲的大量信息和數據要做好備份工作,并對進行傳輸的信息進行實時監控,加強對突發安全事件的處理效率。通過以上技術層面的手段使整個安全體系在預警、防護、監控等方面的能力得到提高。
4.2 管理層面的建設
管理層面的建設主要通過完善和優化安全管理體系和建立相應的措施來提高信息安全網絡的安全管理能力與監督能力。制定出清晰完整的信息安全政策,從整體層面上指導整個網絡的安全建設,對所有的管理人員以及工作人員實行法律化管理;建立嚴密的密碼管理制度,并且要定時更換,控制密碼的擴散;此外對使用安全體系網絡的人員要進行身份的辨別,對于管理員以及普通使用人員的權限進行分離,在信息控制中心成立安全管理小組,專門負責電腦的安全運行;重視煙草行業安全文化建設,提高員工的基本安全意識和安全防范能力,營造出一個濃厚的網絡信息安全氛圍;最后要加強網絡信息安全專業人才的培養,從安全意識和安全技術兩個方面著手,對這些人員進行定期、持續、系統地培訓。
5 結語
盡管對煙草行業信息安全的管理存在很多困難,但是只要我們能做到將以人為本、技術、管理和法制這些手段綜合起來進行治理,網絡信息安全將會得到很好地解決,煙草行業的信息化進程將會為整個行業帶來更大的發展空間。
參考文獻
[1] 李益文.基于煙草行業業務可持續運行的信息安全運維管理體系的思考[J].東方企業文化,2012(22).
[2] 高萍,黃偉達.煙草企業信息安全方面的思考[J].黑龍江科技信息,2010(31).
[3] 林加忠,葉鵬華.淺析網絡環境下煙草信息資源建設[J].硅谷,2009(5).
[關鍵詞]網絡信息;防護策略;思考
中圖分類號:TM58 文獻標識碼:A 文章編號:1009-914X(2015)45-0289-01
網絡的飛速發展徹底改變人們的工作以及生活方式,人們在享受到網絡信息所帶來的便利性的同時,卻也不得不面對網絡信息泄露的風險,如何采取有效的措施來化解網絡信息安全所面臨的沖擊已經成為相關學者高度關注的一個課題,而作為普通的網絡用戶也應該具有一些基本的網絡信息安全知識,從而有效地保護自身的網絡信息不被泄露。
一、網絡信息安全面臨的威脅
有關網絡信息泄露的事件可謂層出不窮,每個人的電腦都面臨信息泄露的風險,通過總結威脅網絡信息安全的因素,發現有以下幾個方面:
1、意識層面的忽視
很多計算機用戶對于網絡信息安全的維護并沒有一個明確的認識,他們認為信息儲存在自己的電腦上,別人根本沒有辦法將自己的信息盜取,持有此種觀念的人不在少數。意識上的忽略導致網絡信息被泄露的概率大大增加,數據顯示,大多數的網絡信息泄露都是因為用戶沒有信息安全意識所導致的。例如很多計算機用戶沒有設置開機密碼,或者密碼設置過于簡單,這都是信息安全意識不強的表現。
2、不可抗力因素
信息安全的另外一個威脅來自于不可抗力因素,不可抗力是指諸如地震、火災電磁干擾等因素,此類因素對于信息的安全的威脅幾乎是毀滅性的,雖然發生的概率不大,但是一旦發生其后果是災難性的。計算機的運行是一個脆弱的系統,在運行過程中外部不可抗力因素的影響很容易導致其運行的中斷,并給數據安全帶來威脅。舉例而言,經常發生的斷電現象就類似于不可抗力,往往會導致信息的丟失。
3、計算機病毒
計算機病毒是導致信息安全受到威脅的又一因素,每個互聯網上的電腦每天都要受到成千上萬次的病毒襲擊,這些計算機病毒的侵襲有些是有目的的,有些則是無目的的,無論哪種情況都會給信息安全帶來威脅。而且由于計算機病毒導致的信息泄露,計算機用戶往往很難發現,總是在過了一段時間以后,受到了某種損失才豁然發現信息已經泄露,因此計算機病毒對于信息安全的威脅更具有隱蔽性。
4、政府層面的缺位
目前國家對于網絡信息安全的保護力度還不夠,同時也沒有一套完善的法律來規范網絡信息的盜竊行為,這導致威脅網絡信息安全的行為的違法成本低廉,很多黑客利用法律的空白進行各種違法行為,制度上的缺失因此成為了信息安全受到威脅的另外一個因素。
二、網絡信息安全防護策略
網絡信息安全的防護意義重大,針對上文提到的威脅到網絡信息安全的因素,本文認為可以從以下幾個方面加以解決:
1、提升網絡信息安全意識
網絡信息安全意識的提升對于計算機用戶而言是必不可少的,只有在意識層面加以重視信息安全的防護工作,才會采取具體的行動措施。計算機用戶網絡信息安全意識的培養需要社會媒介的高度重視,社會媒介應承擔起宣傳網絡信息安全宣傳的責任,通過廣泛的宣傳,來提升計算機用戶的網絡信息安全意識。
2、重視不可抗力的威脅
針對生活中可能出現的造成信息安全受威脅的不可抗力因素,計算機用戶應做好充分的準備,尤其是對于那些重要的信息最好進行備份,這樣可以避免因為不可抗力的因素造成的信息數據被毀。舉例而言,對于那些經常受到斷電困擾的計算機用戶,最好通過不間斷電源的設施減少斷電帶給信息安全的威脅。
3、構筑網絡防火墻
針對計算進病毒的侵襲,最有效的措施就是構筑一個防火墻,通過預先的設置來過濾、阻斷各種計算機病毒的入侵。殺毒軟件本身也屬于防火墻,通過給電腦安裝正版的殺毒軟件,定時查殺病毒,這樣可以大大減少病毒的攻擊。同時還要注意對計算機軟件定時升級,避免計算機病毒利用軟件的漏洞進行攻擊,并威脅到信息的安全。
4、加強對網絡信息安全的監管
網絡信息安全的威脅因素有些可以通過提升計算機用戶的安全意識以及安全技能來加以解決,有些則不能,例如黑客的惡意攻擊,這時候就需要政府部門的有效監管來加以解決。政府部門通過完善信息安全的監管法規,對于那些惡意的進行網絡信息盜竊的行為施以重罰,加大其違法成為,繼而減少乃至杜絕對網絡信息安全的威脅行為。
計算機用戶應正確的認識到網絡信息安全的重要性,綜合采用多種防護措施來確保信息的安全,這樣才能在充分的享受到網絡信息便利性的同時,最大限度的將網絡信息的安全威脅摒棄在外。
參考文獻
[1] 徐峰.關于計算機網絡信息安全及其防護策略的探討[J].中國科技博覽,2011(11).
[2] 焦新勝.對計算機網絡信息和網絡安全及其防護策略的探討[J].科技傳播,2011(5).
[4] 陳斌.計算機網絡安全于防御[M].信息技術與網絡服務,2006.
論文摘 要:隨著電子商務時代的到來,電子商務安全問題越來越受到關注。特別是近年來的威脅網絡安全事件成出不窮,成為阻礙電子商務發展的一個大問題。對電子商務安全面臨的的威脅進行研究分析,提出電子商務安全策略的總體原則及使用的主要技術。
電子商務安全策略是對企業的核心資產進行全面系統的保護,不斷的更新企業系統的安全防護,找出企業系統的潛在威脅和漏洞,識別,控制,消除存在安全風險的活動。電子商務安全是相對的,不是絕對的,不能認為存在永遠不被攻破的系統,當然無論是何種模式的電子商務網站都要考慮到為了系統安全所要付出的代價和消耗的成本。作為一個安全系統的使用者,必須應該綜合考慮各方因素合理使用電子商務安全策略技術,作為系統的研發設計者,也必須在設計的同時考慮到成本與代價的因素。在這個網絡攻防此消彼長的時代,更應該根據安全問題的不斷出現來檢查,評估和調整相應的安全策略,采用適合當前的技術手段,來達到提升整體安全的目的。電子商務所帶來的巨大商機背后同樣隱藏著日益嚴重的電子商務安全問題,不僅為企業機構帶來了巨大的經濟損失,更使社會經濟的安全受到威脅。
1 電子商務面臨的安全威脅
在電子商務運作的大環境中,時時刻刻面臨著安全威脅,這不僅僅設計技術問題,更重要的是管理上的漏洞,而且與人們的行為模式有著密不可分的聯系。電子商務面臨的安全威脅可以分為以下幾類:
1.1 信息內容被截取竊取
這一類的威脅發生主要由于信息傳遞過程中加密措施或安全級別不夠,或者通過對互聯網,電話網中信息流量和流向等參數的分析來竊取有用信息。
1.2 中途篡改信息
主要破壞信息的完整性,通過更改、刪除、插入等手段對網絡傳輸的信息進行中途篡改,并將篡改后的虛假信息發往接受端。
1.3 身份假冒
建立與銷售者服務器名稱相似的假冒服務器、冒充銷售者、建立虛假訂單進行交易。
1.4 交易抵賴
比如商家對賣出的商品因價格原因不承認原有交易,購買者因簽訂了訂單卻事后否認。
1.5同行業者惡意競爭
同行業者利用購買者名義進行商品交易,暗中了解買賣流程、庫存狀況、物流狀況。
1.6 電子商務系統安全性被破壞
不法分子利用非法手段進入系統,改變用戶信息、銷毀訂單信息、生成虛假信息等。
2 電子商務安全策略原則
電子商務安全策略是在現有情況,實現投入的成本與效率之間的平衡,減少電子商務安全所面臨的威脅。據電子商務網絡環境的不同,采用不同的安全技術來制定安全策略。在制定安全策略時應遵循以下總體原則:
2.1 共存原則
是指影響網絡安全的問題是與整個網絡的運作生命周期同時存在,所以在設計安全體系結構時應考慮與網絡安全需求一致。如果不在網站設計開始階段考慮安全對策,等網站建設好后在修改會耗費更大的人力物力。
2.2 靈活性原則
安全策略要能隨著網絡性能及安全威脅的變化而變化,要及時的適應系統和修改。
2.3 風險與代價相互平衡的分析原則
任何一個網絡,很難達到絕對沒有安全威脅。對一個網絡要進行實際分析,并且對網絡面臨的威脅以及可能遇到的風險要進行定量與定性的綜合分析,制定規范的措施,并確定本系統的安全范疇,使花費在網絡安全的成本與在安全保護下的信息的價值平衡。
2.4 易使用性原則
安全策略的實施由人工完成,如果實施過程過于復雜,對于人的要求過高,對本身的安全性也是一種降低。
2.5 綜合性原則
一個好的安全策略在設計時往往采用是多種方法綜合應用的結果,以系統工程的觀點,方法分析網絡安全問題,才可能獲得有效可行的措施。
2.6 多層保護原則
任何單一的安全保護措施都不是能獨當一面,絕對安全的,應該建立一個多層的互補系統,那么當一層被攻破時,其它保護層仍然可以安全的保護信息。
3 電子商務安全策略主要技術
3.1 防火墻技術
防火墻技術是一種保護本地網絡,并對外部網絡攻擊進行抵制的重要網絡安全技術之一,是提供信息安全服務,實現網絡信息安全的基礎設施。總體可以分為:數據包過濾型防火墻、應用級網關型防火墻、服務型防火墻等幾類。防火墻具有5種基本功能:
(1)抵擋外部攻擊;
(2)防止信息泄露;
(3)控制管理網絡存取和訪問;
(4)vpn虛擬專用網功能;
(5)自身抗攻擊能力。
防火墻的安全策略有兩種情形:
(1)違背允許的訪問服務都是被禁止的;
(2)未被禁止的訪問服務都是被允許的。
多數防火墻是在兩者之間采取折中策略,在安全的情況之下提高訪問效率。
3.2 加密技術
加密技術是對傳輸的信息以某種方法進行偽裝并隱藏其內容,而達到不被第三方所獲取其真實內容的一種方法。在電子商務過程中,采用加密技術將信息隱藏起來,再將隱藏的信息傳輸出去,這樣即使信息在傳輸的過程中被竊取,非法截獲者也無法了解信息內容,進而保證了信息在交換過程中安全性、真實性、能夠有效的為安全策略提供幫助。
3.3 數字簽名技術
是指在對文件進行加密的基礎上,為了防止有人對傳輸過程中的文件進行更改破壞以及確定發信人的身份所采取的手段。在電子商務安全中占有特別重要的地位,能夠解決貿易過程中的身份認證、內容完整性、不可抵賴等問題。數字簽名過程:發送方首先將原文通過hash算法生成摘要,并用發送者的私鑰進行加密生成數字簽名發送給接受方,接收方用發送者的公鑰進行解密,得到發送方的報文摘要,最后接收方將收到的原文用hash算法生成其摘要,與發送方的摘要進行比對。
3.4 數字證書技術
數字證書是網絡用戶身份信息的一系列數據,由第三方公正機構頒發,以數字證書為依據的信息加密技術可以確保網上傳輸信息的的保密性、完整性和交易的真實性、不可否認性,為電子商務的安全提供保障。標準的數字證書包含:版本號,簽名算法,序列號,頒發者姓名,有效日期,主體公鑰信息,頒發者唯一標識符,主體唯一標示符等內容。一個合理的安全策略離不開數字證書的支持。
3.5 安全協議技術
安全協議能夠為交易過程中的信息傳輸提供強而有力的保障。目前通用的為電子商務安全策略提供的協議主要有電子商務支付安全協議、通信安全協議、郵件安全協議三類。用于電子商務的主要安全協議包括:通訊安全的ssl協議(secure socket layer),信用卡安全的set協議(secure electronic transaction),商業貿易安全的超文本傳輸協議(s-http),internetedi電子數據交換協議以及電子郵件安全協議s/mime和pem等。
4 結論
在電子商務飛速發展的過程中,電子商務安全所占的比重越發重要。研究電子商務安全策略,意在于減少由電子商務安全威脅帶給人們電子商務交易上的疑慮,以推動電子商務前進的步伐。解除這種疑慮的方法,依賴著安全策略原則的制定和主要技術的不斷開發與完善。
參考文獻
[1]田沛. 淺談電子商務安全發展戰略[j]. 知識經濟, 2010, (2).
[2]如先姑力•阿布都熱西提. 計算機網絡安全對策的研究[j]. 科技信息(學術研究), 2008, (10).
[3]陳偉. 電子商務安全策略初探[j].才智, 2009,(11).
1信息安全風險評估的方法
1.1定性分析方法
這是評估方法具有的一個明顯特點就是它的主觀性較強,在風險評估人員主觀上對資產風險因素所面臨的威脅以及漏洞等作出評估判斷的過程。它的結構構成包括故障樹分析法、事件樹分析法以及原因———后果法等。(1)故障樹分析法。這種分析方法的適用于對風險事件的發生源之間關系以及它的深層次原因進行探究的,它的主要目的是在發現信息故障后對信息安全所進行的定性分析。從它的運行原理來看,它是把信息系統中發生的結果來作為首要解決的問題,分析總結出不愿發生事件的形成因素,從而確定出各個因素之間的邏輯關系。(2)事件樹分析方法。這種方法是在原有的信息系統風險基礎上,來對這些信息安全風險事件發生可能產生的風險結果進行詳細的分析探究,它的分析工作開展的一個顯著特點就是需要對序列組中可能發生的危險事故的結果進行合理的列舉,需要注意的是這并代表是最后的結果,只是其中的一個環節,但是它的缺點就是不適于進行大范圍的普適。(3)原因———后果分析方法。這種分析方法從運行原理的實質上來看,它是對前兩種分析方法的一種融合,它是前兩種分析方法所具有顯著特點的結合,但是,這種方法也有應用的缺點,就是它在大型的、復雜的信息系統中應用并起不到應有的效果。
1.2定量分析方法
這種分析方法是對定性方法的一種改進,削弱了定性方法的主觀性,但是在一些大型復雜的信息系統中,就很可能造成一些定量數據難以獲得,需要浪費較多的時間成本,基于此,它的應用最為廣泛的是定量的故障樹分析法和風險評審技術兩種。
1.3定性分析和定量分析相結合的方法
這種兩相結合的方法在現代應用領域中是最為常見的,也是最適合的形式,這兩種方法相結合的主要目的是為了有效的彌補定性分析法和定量分析法之間的缺陷,因此,它的綜合性就會相對強一些。這種分析模式,適用范圍最為廣泛的并且最為主流的是層次分析法。
2在業務流程基礎上的信息安全風險評估方法
2.1信息資產的辨別
信息安全風險評估主要是針對于信息和信息處理設備所受到的威脅、影響以及威脅事件發生后所帶來的損失而進行的評估預測,那么所進行評估的內容主要涉及到四個要素,即資產、威脅、漏洞以及原有的安全措施。對于這四個要素之間的關系論述,它們是屬于相互關系、相互作用的因素,各自對系統風險的影響各不相同,共同構成復雜的風險評估系統工程。我們在實際的風險評估工作中,主要是對已經存在的風險提出一系列有效的安全防范措施,并依據風險措施實行采取合理的控制措施,從而使風險控制到最合理的范圍內,那么這么講就可以把它的具體實施流程劃分為兩大部分,即對風險的分析和對風險的控制。
2.2業務流程的風險模型分析
在業務開展的基本流程中,對于位置變動資產的識別可以在它的開始階段就進行,這是對位置變動來說的,而對于位置固定的資產識別,就需要對每一個具體業務的節點進行逐一開展。對于位置固定資產的識別來說,因為其自身需要有大量的人工操作,因此它的風險一般是集中于業務節點環節上,并且各個節點上的風險類別、發生方式、起源以及造成的后果影響都是不相同的。此外,由于這些風險的產生是因為位置固定資產而引起的,因此,在業務流程的過程中一般只需要對位置固定資產的風險采取相應的控制措施就可以了,這樣也就確保了位置別動不會對資產的保密性、完整性以及可用性造成威脅。
3總結
1.1惡意攻擊
人為因素是目前世界范圍內計算機網絡信息安全所面臨的主要問題和威脅。通常我們所說的黑客,就是其中最主要的攻擊者。由于網絡信息保密意識的淡薄,對于安全的維護不到位,致使信息被篡改、利用等,所造成的損失不勝枚舉。黑客通常利用計算機和網絡的缺陷和漏洞,針對這些漏洞進行惡意攻擊,以達到其最終目的。這其中的缺陷和漏洞,包括計算機本身硬件、軟件及用戶自身人為造成的失誤。
1.2系統本身的脆弱性
網絡是信息的傳輸、接收、共享、整合的開放性平臺,開放性是其最主要的特點,任何人、任何時間、任何地點都可以從平臺上面獲取所需要的信息。網絡誕生的目的,就是為了人類的生活更加便捷、高效,內容更加豐富,來達到促進人類社會向前進步發展的目的。網絡的開放使得我們與之聯系更加密切,可是在信息安全性這一方面,也恰恰就是其受到攻擊、遭受到威脅的弱點。
1.3用戶自身存在的問題
用戶本身不良的操作習慣,信息安全意識的淡薄,也是網絡信息泄露、丟失的因素之一。用戶信息的設置過于簡單,對于登錄地點、登錄平臺的選擇麻痹大意,疏忽安全性,都極易造成用戶信息被竊取,安全防護被惡意攻破,從而造成損失。
1.4計算機病毒
計算機病毒是病毒本身編制者利用自己所學知識,在編程的過程當中,插入了能夠破壞計算機正常運行或者破壞數據為目的的一組指令或者代碼。病毒本身具有極強的隱蔽性、潛伏性,一般殺毒軟件查不出來,或者時隱時現,變化多端,讓使用者無法去分辨其真實性和存在性,處理起來通常都是很困難的。計算機病毒的危害性、危害范圍之廣,讓人不寒而栗,最知名的莫過于2006年的熊貓燒香及其變種病毒,對社會秩序、互聯網安全造成的損失和影響是無法估量的。
2防護策略
2.1反病毒軟件的安裝策略
反病毒軟件也稱殺毒軟件或防毒軟件,是用于清理和消除電腦使用過程中所面臨的威脅的一類常用軟件。目前市面上所用的殺毒軟件基本上都具備云查殺技術,所以在攔截效率、清理木馬和惡意軟件的程度上有著明顯的改善和提高。殺毒軟件本身具有的自我修復與維護、實時升級、主動防御、啟發等技術,從安全上能夠滿足大部分用戶的需求,所以廣受青睞。而這也是計算機網絡信息安全與防護的主要策略之一。反病毒軟件和電腦病毒可以說是一對天敵,對于初學者或者剛剛上手的電腦操作者來說,一款簡單好用的殺毒軟件對其提升計算機安全性和信息的保密性是至關重要的。
2.2用戶自身安全防范意識的提升
用戶本身由于對互聯網信息的了解程度低,安全防范意識操作的淡薄,是導致產生網絡安全威脅的潛在因素。對這些用戶進行必要的網絡安全知識的普及和相關安全防護操作的應用指導,是十分必要的。試想一下,如果用戶本身的安全意識提高了,那么在面對未知來源的信息、郵件、程序的安裝使用上,自然就會小心翼翼,而這也從根本上杜絕了那些木馬病毒、惡意軟件、間諜軟件制造者想要竊取信息、用戶資料的目的,從而維護了信息安全的秩序,達到了確保用戶網絡信息安全的目的,是一種簡單方便明了的手段。
2.3數據加密技術
由于系統本身的開放性,決定了其時時刻刻處在被攻擊和竊取的處境當中。如何對系統中的數據安全進行維護?數據加密技術。加密是通過密鑰以及加密函數的轉換,將數據變成沒有意義的密文。如果沒有相對應的解密函數和解密密文還原成明文,那么即使數據被竊取了,也沒有辦法從中提取到有用的信息和數據,這樣極大保證了在數據傳輸過程中的安全性。加密技術是網絡信息安全防護技術的基石。加密技術的應用,由于涉及了很多方面的知識,結構性比較復雜,因此,使用這技術的都是具有了一定基礎或者有著豐富的計算機知識的用戶。隨著互聯網經濟的發展,電子商務的興起,關于加密這一領域也在向著操作簡單化、成本低廉化、數據保密的保密性等幾個方面改進。相信不久將來,加密技術的普及,將不再是一個困擾大多數用戶的難題,而網絡信息安全化也將得到一個質的提升。
2.4網絡監控與入侵檢測技術的應用
入侵檢測是通過對日常行為、日志、信息數據的檢測來判斷是否有闖入者來攻擊己方電腦的技術。針對于這種剛剛興起但是前景廣闊的技術,本文將其納入防護策略中,相信時間會證明這種技術的可靠性與應用的廣泛性。
3結語
關鍵詞:信息安全建設;風險;存在問題;途徑
中圖分類號:R197.3 文獻標識碼:A 文章編號:1007-9599 (2012) 12-0000-02
在新的時代和社會背景下,為了提升自身的核心競爭力,在激烈的市場競爭中把握一定的主動權,各個醫院都在努力加快信息化建設的步伐,以適應國際形勢發展的需要,可以說當前醫院的信息化建設水平已經成為衡量醫院現代化程度的一項重要標志。與傳統的管理模式相比,信息化管理模式具有方便快捷的優勢,在很大程度上提高了管理工作的質量和效率,但是由于網絡信息平臺具有一定的安全風險,因此醫院的信息化建設也面臨著安全威脅。為此,醫院相關部門和人員必須要對此有一個正確的認識和了解,積極采取有效措施加強醫院信息安全建設,盡可能地將安全風險降到最低,提高醫院的經濟效益與社會效益。
一、醫院信息安全所面臨的風險
(一)外部網絡安全風險
為了滿足醫生查房以及傳染病信息的及時上報等工作需要,在醫院的很多區域都設置了無線網絡,一般只要經過簡單的認證就能夠進入到醫院的內部網絡系統中,這就為攻擊者的入侵活動提供了便利。再加上一些行政辦公人員的網絡安全意識淡薄,在打開網頁或者使用郵件的過程中容易感染病毒,從而使醫院內部信息系統面臨嚴重的安全威脅。
(二)系統內部安全風險
當前我國不少醫院的信息系統沒有設置嚴格的訪問權限,用戶所享用的權限要比實際授予的多,并且對于調離醫院的工作人員不能及時取消他們的用戶權限,從而容易出現他人使用醫院權限的現象。再加上一些工具軟件與應用程序的設置不太科學,客戶端安裝了一些不必要的應用程序,使得系統內部安全風險大大增加。
(三)醫院信息系統數據存在安全風險
在醫院信息系統建設中,一旦服務器出現故障就可能會導致醫院信息網絡陷入全面癱瘓的狀態,而醫院信息系統數據主要是存儲在服務器系統磁盤上的,因此服務器損壞會給醫院的各項經營管理活動帶來很大的不便,嚴重損害醫院的經濟效益和社會效益。同時,由于人為操作失誤或者是感染病毒等原因,也會造成重要文件和資料被修改或者是刪除。
二、當前醫院信息安全建設中存在的主要問題
(一)硬件安全問題
硬件設備是確保信息系統順利運行的基礎和前提,它主要包括服務器、網絡設備、以及存儲設備等構件,這些硬件設備的運行狀況會在很大程度上影響到信息系統的安全性和穩定性。一般醫院硬件安全問題主要包括設備陳舊老化、應急設備不足、以及電壓不穩定等。特別是當服務器或者是中心交換機等一些關鍵設備出現問題時會造成整個信息系統陷入癱瘓狀態,這時一旦缺少備用設備就會使信息數據面臨不可挽回的損失。
(二)軟件安全問題
信息系統可以說是一個比較龐雜的人機系統,一旦操作人員進行不當操作或者是軟件本身存在問題就會在很大程度上影響信息系統的正常運作。醫院信息系統軟件安全方面存在的主要問題一般表現為以下幾個方面:首先是由于人員的操作失誤導致忘記登陸密碼、不能進入系統結算、無法擺藥、無法打印等;其次,由于不當使用存儲介質而帶來的安全問題,具體來說就是隨著移動存儲設備的大量應用,病毒入侵現象越來越突出,單純依靠殺毒軟件與維護人員難以對病毒實施有效控制;此外,軟件的意外行為也會造成安全問題,比如軟件實現升級后一般會要求重啟計算機,一旦沒有及時保存相關數據就會造成數據的丟失。
(三)網絡安全問題
在醫院信息安全建設中存在的網絡安全問題主要包括兩大方面:1)伴隨醫院網絡系統應用的不斷開放,我國不少醫院的信息網絡已經逐漸變成公共信息平臺的一個組成部分,并對醫療保險網絡提供數據,這就不可避免地增加了人為惡意攻擊或者是網絡病毒入侵對醫院信息系統所產生的威脅。2)當前隨著計算機信息技術的不斷發展,醫院信息系統面臨的安全威脅更多的來自內部網絡,特別是近年來內部工作人員對信息系統的有意或者是無意攻擊行為越來越多,從而給醫院內部安全技術防范與管理工作帶來了不小的壓力。
三、醫院信息安全建設途徑
(一)加強對醫院信息安全建設的管理力度
加強對醫院信息安全建設的管理工作主要從以下兩個方面來進行:1)制定和完善各項管理制度與操作規范,從而有效制約有關計算機操作的不規范行為,確保醫院信息系統的有效運行。一般制定管理制度的最終目標是為了充分發揮和利用信息系統功能,從而提高信息系統效率,并確保信息數據質量。具體來說需要制定崗前培訓制度、考核制度、網絡管理制度、用戶權限制度、數據備份制度、以及口令管理制度等,同時還要規范各子系統的操作流程和操作方法。2)加強對信息安全知識的宣傳工作。醫院大部分信息數據的采集工作都是依靠人工來完成的,一旦工作人員的信息安全意識和責任意識淡薄,就容易產生信息安全隱患,因此必須要加強對信息安全知識的宣傳力度,最大限度地確保所采集信息的安全性,從源頭上消除信息安全隱患。
(二)確保硬件、軟件、以及網絡的安全運行
主要從以下三個方面來進行:1)中心機房。由于中心機房會對服務器的安全運行產生非常重要的影響,因此在中心機房選址時要盡可能地遠離各種有害氣體與強電磁波的干擾,機房環境要充分滿足采光、隔音、以及防塵等條件,并且要對照明燈具、濕度設備、以及空調等的配置進行綜合考慮。同時,中心機房內要為計算機設備設置專門的動力配電箱,實現與其他電力負荷之間的分別供電,確保積分那個用電安全。2)服務器。作為醫院信息系統的核心部分,服務器的安全運行直接關系到信息系統的安全,一旦服務器出現故障,輕則數據丟失,重則系統癱瘓。因此必須要根據醫院的實際業務量來合理選擇服務器,最好要配備雙服務器,在主服務器出現問題的情況下由從服務器來代替其繼續工作。同時還要建立健全服務器檔案和運行日志,,對服務器的運行情況實施全程監管。3)網絡設備。網絡設備主要是用來傳輸信息數據的,因此網絡設備的正常運行與醫院信息安全關系密切,這就需要定期對路由器、集線器、交換機、以及光纖收發器等進行檢查和維護。
(三)注重對病毒的防治工作
醫院網絡立足于互聯網平臺,因此必然會面臨各種病毒的惡意攻擊,而一旦受到感染就會造成機器罷工,甚至會迅速蔓延到其他機器上,因此必須要積極采取有效措施加強對計算機病毒的防治工作。這就需要在工作站禁止安裝光驅和軟驅,并禁用USB端口;如果一些工作站安裝有光驅和軟驅等設備,就需要配備有防病毒軟件,并不斷進行系統升級。同時要積極應用防火墻技術,對流經數據進行實時監控,盡可能地減少外網病毒入侵,從而避免病毒對醫院信息資源所造冊很難過的破壞。
(四)強化對信息數據的安全管理
數據安全是醫院信息系統安全的重點和關鍵,因此在提高操作人員信息安全意識的同時還要建立健全數據備份和恢復策略。在信息系統中,最重要的東西不是硬件設備,而是信息數據,因此建立健全數據備份和數據恢復策略,盡可能地減少數據丟失就顯得至關重要。具體來說就是要備份歸檔日志文件,并定期將所有文件轉存到光盤或者是磁帶等載體中進行異地存放;而在數據恢復策略中,要根據實際需要進行數據的完全或者是不完全恢復,以確保信息的安全。
四、結束語
在現代化醫院的建設過程中,計算機信息技術的應用必不可少,當前計算機信息技術的應用水平已經成為衡量醫院軟實力的一項重要指標。但是計算機信息技術本身存在的安全隱患以人為因素的影響為醫院信息安全建設帶來了一定的難題,為此醫院方面必須要加強對醫院信息安全建設的認識,采取一些有效措施加以應對,促進醫院的健康長遠發展。
參考文獻:
[1]毛琳琳.醫院信息安全保障系統建設及策略分析[J].中國醫學裝備,2010(03)
[2]孫琦.構建安全可靠的醫院信息化系統[J].中國信息界(醫療),2010(06)
[3]陳凌平,馬宗慶,郭振華.醫院信息系統的安全與管理[J].醫院管理論壇,2010(02)
[4]黃慧勇,黃冠朋,胡名堅.醫院信息系統安全風險與應對[J].醫學信息.2009(06)
本文將在分析計算機網絡安全隱患的基礎上對如何做好港口碼頭區的網絡安全防護進行分析闡述,并在此基礎上提出了一些解決的措施以確保港口碼頭區網絡安全、可靠的運行。
隨著科學技術的發展以及計算機應用的普及,網絡安全已經成為了廣大群眾關心的重點問題,隨著各種網絡安全問題頻繁曝出使得計算機網絡安全的形勢更為嚴峻。做好港口碼頭區的網絡安全防護對于保護港口碼頭的信息安全與促進港口碼頭的經濟快速發展有著十分重要的意義。
1 計算機網絡安全簡述
隨著經濟以及科學技術的快速發展,信息化已經成為了推動社會發展的重要推動力,網絡已經深入了居民生產、生活的方方面面。計算機網絡安全從廣義上說是要確保計算機用戶的個人信息不泄露,從狹義上講是指要在確保計算機系統正常運行的前提下,對計算機系統中的數據和計算機的軟、硬件加以保護,從而使其在任何情況下免遭任何形式的的泄露、更改和破壞。
因此,計算機用戶的利益與計算機網絡本身的安全密切相關,保護好計算機網絡安全就是保護好計算機用戶的切身利益。為做好計算機的網絡安全防護,可以從三個方面入手:(1)加強對于接入端的控制,這主要是針對計算機網絡的進入權限進行設定和控制,對不具有相應權限的用戶禁止接入,在接入端控制的過程中主要采用的是加密技術來用于接入控制系統的設計。
(2)安全協議,安全協議主要了為了確保通信協議的安全,但是一個安全通信協議的設計極為復雜,為了確保網絡通信的的安全,一般采取的是找漏洞分析法、經驗分析法和形式化法相結合的方式。(3)增加網絡安全信息的保密性,計算機網絡安全核心目的就是為了向用戶提供安全可靠的保密通訊,因此,需要加強計算機網絡用戶的保密信息的確認,增強其保密性,從而加強計算機網絡信息安全。
2 計算機網絡安全所面臨的威脅
現今,隨著計算機網絡覆蓋的范圍與人群越來越廣,所面臨的網絡安全環境也越來越復雜,從而使得計算機網絡安全面臨著極大的不安全性。在對計算機網絡安全威脅進行分析的基礎上發現,造成計算機網絡安全問題的原因除了人為因素外,最大的安全威脅來自于計算機系統本身所具有的漏洞。
總體來說,對計算機網絡安全造成安全隱患的因素主要集中在以下幾個方面:(1)計算機網絡安全問題最大的威脅來自于計算機系統本身所具有的漏洞,現今所使用的系統由于受到科學技術發展水平的限制,并不存在一種絕對完美的計算機網絡系統,同時由于廣大用戶缺乏專業的知識,使得計算機網絡系統中的漏洞何難被用戶察覺和修補,從而為計算機網絡信息安全埋下了極大的安全隱患。同時,在同步和文件處理方面,計算機系統程序由于自身所存在的缺陷,使得其在應對網絡攻擊以及網絡安全威脅時常常顯得力不從心,攻擊者可以在計算機信息處理的過程中在計算機外部展開入侵,并利用這些機會干擾到計算機程序的正常進行。
其次,計算機外部的網絡安全環境日益惡化,其來自于外部網絡的安全威脅時刻影響著計算機的信息安全,近些年來,由于計算機入侵而導致的信息泄露事件日益頻發,前一段事件所曝光的油箱用戶信息大規模泄露事件所引發的一系列網絡安全問題為我們敲響了警鐘。
在計算機網絡安全的威脅中,來自于系統外部的問題是除了計算機系統本身這一安全漏洞外所面臨的另一安全威脅.總的來說,計算機系統外部的網絡安全威脅主要來自于三個方面:(1)各種間諜軟件的威脅,此種軟件是由黑客設計出來的專門竊取存儲于計算機網絡系統中的各種數據信息的軟件,其具有極強的攻擊性,這些間諜軟件甚至于還能夠隱蔽與系統中對用戶在上網時的數據進行監視,從而達到竊取用戶信息的目的。
同時間諜軟件潛藏在計算機網絡系統中還會對計算機的性能造成嚴重的影響。(2)計算機病毒所造成的威脅,計算機病毒是長期存在于網絡中的一種毒瘤,與間諜軟件一樣成為困擾計算機網絡系統發展的難題。相較于間諜軟件等,計算機病毒對計算機網絡所造成的安全威脅更為突出、也更大。計算機病毒具有傳播速度快、范圍廣、危害大等的特點,其直接攻擊計算機系統,造成計算機系統的損壞,使得計算機用戶的信息與資料等丟失,嚴重的甚至會造成計算機硬件發生不可逆轉的損壞,浪費計算機用戶的時間與金錢。
(3)網絡黑客對計算機網絡所造成的安全威脅,計算機黑客都是一些具有較為扎實功底的計算機網絡知識的人,其為了某種目的(竊取、窺視等)使用自身的計算機知識來肆意攻擊普通用戶的計算機進行信息的竊取或是破壞,這些黑客由于在暗中進行,缺少監管使得其行為肆意妄為,而一般的普通用戶由于缺乏專業的計算機知識無法對這種攻擊進行有效的防護。找到用戶計算機系統中的漏洞并發動攻擊獲取相應的權限或信息是網絡黑客鍥而不舍的目標,也是最難防御的一種網絡安全威脅。
計算機網絡所面臨的威脅是多方面的,而計算機網絡系統管理制度的缺陷也會使得計算機網絡系統面臨巨大的網絡安全威脅,計算機網絡系統的管理所帶來的威脅主要集中在以下幾個方面:(1)管理人員疏忽大意或是由于自身計算機網絡知識的不足,從而使得計算機網絡系統存在漏洞,使用戶的信息泄露從而造成的損失。
(2)此外就是個別的工作人員疏忽大意或是主觀行為而造成的用戶信息的泄露,個別的計算機網絡管理人員為了獲取不法利益而私自出售計算機網絡用戶的個人信息,這種行為在現今的社會是較為常見的。其主要做法是將保密系統資料和文件提供給第三方或是故意泄露計算機網絡信息系統中數據庫的重要數據等。以上這兩種行為都被歸結為管理上的漏洞或是疏忽,這些都會對計算機網絡造成巨大的安全威脅,同時由此所引發的計算機網絡安全維護是不可估量的。3 做好計算機網絡安全防護的措施
3.1 計算機網絡安全防護的原則
計算機網絡安全是十分重要的,尤其是計算機網絡日益發達的今天,大量的數據被存儲在用戶的計算機中,一旦丟失或是損壞將會面臨嚴重的后果。因此,做好計算機網絡的安全與防護刻不容緩。同時在做好計算機網絡安全防護時要按照以下的原則進行:(1)加強信息的高密級防范原則,在對多密級信息進行處理時,很多的計算機網絡安全信息系統都必須嚴格遵循相應的防護原則,做好計算機網絡信息的加密,必要時應當將計算機網絡信息提升至最高級以應對日益復雜的計算機網絡安全威脅。
(2)安全適度原則,現今對于計算機網絡安全威脅最大的是黑客的入侵對計算機網絡所造成的影響。在計算機網絡的安全防護中絕對安全的網絡是不存在的,現今所采取的計算機網絡安全防護歸根結底都只是針對具體某一方面的安全威脅進行防護,為進一步做好網絡安全防護,需要分析不同網絡安全威脅的特點,實事求是因地制宜的做好防護措施,做好計算機網絡安全防護。(3)授權最小化原則,對于重要的計算機進行物理隔離。
3.2 應對計算機網絡安全威脅的措施
應對計算機網絡安全威脅最主要的是做好技術防護,提高計算機網絡信息技術需要從入侵檢測技術、防病毒技術、計算機防火墻的開發和計算機漏洞的修補等多方面進行,在此基礎上還需要定期及時的更新計算機中的各種軟件和硬件設施,將計算機網絡安全防護技術做到最好,不斷的提高計算機網絡的安全防護性能。在用戶授權訪問控制和數據加密技術上,不斷探索研究新的技術,通過技術的不斷升級完善使得計算機網絡用戶的安全防護更為牢固、可靠,從而從基礎端堵死網絡安全威脅。
在最好技術防護的同時還需要加強對于計算機網絡使用人員的管理,即使是在技術層面最為安全的計算機網絡系統僅僅依靠技術防護也是無法應對全部的威脅,做好計算機網絡安全管理制度的建設,嚴控一些非法行為對于計算機網絡安全防護的威脅,通過建立起安全管理制度與技術的全方位防護,多方協作共同實現對于計算機網絡安全的防護。
結語
現今,計算機網絡應用得越來越廣泛,其在為人們帶來便利的同時,也面臨著巨大的安全威脅,做好計算機網絡安全威脅的分析與防護對于保證計算機網絡用戶的信息安全有著十分重要的意義,本文在分析計算機網絡所面臨的安全威脅的基礎上對如何做好計算機網絡的安全防護進行了分析闡述。
一、目前企業網絡信息安全管理中存在的問題
目前各級供電企業對信息安全日趨重視,但主要側重于防備外來未授權用戶的非訪問,并過于注重如防火墻、入侵檢測等技術問題,忽略了信息安全中人的管理,造成了幾個突出問題:
1、人員安全意識淡薄
由于系統的專業教育與培訓不足,許多專業技術人員仍然抱著“防火墻等于安全”的僥幸心理,缺乏“防黑防毒”的意識和內部員工操作失誤或惡意攻擊的警惕性,對信息安全采取的防護措施非常簡單。大多數信息系統使用員工對信息安全知識和技能掌握不夠,認為信息安全只是技術部門的事,安全防護意識不強。
2、網絡信息機構不健全
有些供電企業沒有專門的信息技術運行機構或沒有規范的建制和崗位,人員配置又偏少,而且信息系統架構的分散也導致人力資源不集中,信息戰線拉得大長,幾乎沒有時間關注信息安全。由于IT技術發展很快,基層信息技術人員得不到相應的培訓,難以對日新月異的IT技術中有關主機、操作系統、數據庫、網絡、存儲、安全等方面作全面的了解和掌握,運行維護能力低下,系統安全監控不到位。
3、網絡信息安全管理專業化程度不夠
大多數基層供電公司缺乏專門的信息安全監督管理機構,或者沒有配備專業的信息安全監督管理人員,或者只設兼職。由于缺乏信息安全管理專業知識和技能,對信息安全特殊性認識不足,難于發揮有效的信息安全監督管理,使信息安全管理工作處于一種似管非管或基本不管的真空狀態。
4、管理制度滯后且執行不力
隨著國網公司集中集成工作的展開和信息網絡基礎建設不斷加強,原有的信息安全管理制度已相對滯后,而且有些制度不完全適合基層實際,個別條款操作性較差,難于執行,這就造成制度執行不力、有章不循、違規操作,這些都增加了信息安全風險。
二、加強企業網絡信息安全管理的幾點建議
1、加強全員網絡信息安全意識教育
通過普及信息安全知識教育,提高企業員工網絡信息安全知識和安全意識,掌握發現、解決某些常見安全問題的能力。信息安全教育的具體內容一般應包括以下內容:(1)信息安全所面臨的風險;
(2)企業信息安全方針及目標;
(3)企業安全管理規章制度;
(4)與信息安全有關的其它內容。通過安全教育使所有員工增強整體信息系統的安全防護意識。
2、加強企業員工相應技能培訓
為了確保企業員工在日常工作過程中具有保護企業信息安全方面的能力,應當加強對員工計算機安全技能培訓,教育員工平時應做到所有操作應符合規定、不得向他人泄露自己的操作口令、不訪問陌生的網站、不瀏覽或打開一些來歷不明的郵件及附件、外來光盤、U盤等存儲設備須先殺毒后使用、發現問題立即通知技術人員處理等基本的安全技能。
3、健全信息技術部門建設
根據需要合理配置信息技術人員,加強信息技術隊伍建設,明確機房管理員、網絡管理員、應用系統管理員、數據庫管理員、防病毒管理員、運行維護員等崗位配置,重要崗位設置A、B崗,落實崗位職責具體到人。對技術人員應注重技術培訓,可以定期或不定期參加各種針對性的技術培訓,增強技術儲備力度。
4、加強信息安全規章制度建設
建立健全適應企業實際的安全管理制度是信息安全管理的前提。標準化的安全管理,能夠克服傳統管理中個人的主觀意志驅動的管理模式。應在對企業信息安全評估下,根據單位實際情況,遵照上級有關規定,制定出切實可行、全面的安全管理制度。如:保密制度、機房管理制度、網絡運行管理制度、應用系統運行管理制度、設備維護工作制度、值班制度、計算機系統使用規范等,管理制度應明確描述所有信息技術人員以及信息系統使用人員的信息安全職責和信息系統日常使用規范,規范信息系統操作流程,減少人為失誤。
5、建立安全監督保證體系
成立安全領導小組,由分管領導抓信息安全工作,并設置一個獨立于信息技術部門的信息安全管理監督部門作為企業的信息安全日常管理機構,根據信息系統安全需要設定安全事務的職位,負責企業范圍內信息安全監督管理工作。各部門應配備計算機技能較強的信息安全專兼職人員,負責所在部門信息安全制度的落實和執行,形成良好的信息安全監督保證體系。
6、加強信息安全考核力度
關鍵詞:網絡安全;網絡設計原則
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)18-4332-02
隨著信息技術的快速發展、現代網絡的普及、企業網絡化運作,企業門戶網站、企業電子商務等在企業經營運作過程中扮演著重要的角色,許多有遠見的企業都認識到依托先進的信息技術構建企業自身業務和運營平臺將極大地提升企業的競爭力,使企業在殘酷的競爭中脫穎而出。然而,企業在具有信息優勢的同時,也對企業的網絡安全提出了嚴峻的考驗。據報道,現在全世界平均每20秒就會發生一次計算機網絡入侵事件。據智能網絡安全和數據保護解決方案的領先供應商SonicWALL公司日前了其2011年年中網絡威脅情報報告:“報告顯示,企業正面臨越來越多網絡犯罪分子的攻擊,這些人企圖攻擊的主要對象是那些通過移動設備連接訪問企業網絡以及越來越頻繁使用社交媒體的企業員工。基于惡意軟件以及社交媒體詐騙的增多,正引發新的以及更嚴重的來自數據入侵、盜竊和丟失等方面造成的企業業務漏洞。”可見,企業網絡安全面臨的壓力越來越大,認清企業網絡安全面臨的主要威脅、設計實施合適的網絡安全策略,已成為擺在企業面前迫在眉睫的問題。
1企業網絡安全面臨的主要威脅
由于企業網絡由內部網絡、外部網絡和企業廣域網所組成,網絡結構復雜,面臨的主要威脅有以下幾個方面:
1.1網絡缺陷
Internet由于它的開放性迅速在全球范圍內普及,但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要的是考慮資源共享基本沒有考慮安全問題,缺乏相應的安全監督機制。
1.2病毒侵襲
計算機病毒通常隱藏在文件或程序代碼內,伺機進行自我復制,并能夠通過網絡、磁盤等諸多手段進行傳播,通過網絡傳播計算機病毒,其傳播速度相當快、影響面大,破壞性大大高于單機系統,用戶也很難防范,因此它的危害最能引起人們的關注,病毒時時刻刻威脅著整個互聯網。
1.3黑客入侵
黑客入侵是指黑客利用企業網絡的安全漏洞、木馬等,不經允許非法訪問企業內部網絡或數據資源,從事刪除、復制甚至破壞數據的活動。由于缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強,這是網絡安全的主要威脅之一。
1.4數據竊聽與攔截
這種方式是直接或間接截取網絡上的特定數據包并進行分析來獲取所需信息。這使得企業在與第三方網絡進行傳輸時,需要采取有效的措施來防止重要數據被中途截獲、竊聽。
1.5拒絕服務攻擊
拒絕服務攻擊即攻擊者不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統相應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務,是黑客常用的攻擊手段之,其目的是阻礙合法網絡用戶使用該服務或破壞正常的商務活動。
1.6內部網絡威脅
據網絡安全界統計數據顯示,近80%的網絡安全事件是來自企業內部。這樣的安全犯罪通常目的比較明確,如對企業機密信息的竊取、數據更改、財務欺騙等,因此內部網絡威脅對企業的威脅更為嚴重。
2企業網絡安全設計的主要原則
針對企業網絡安全中主要面臨的威脅,考慮信息安全的機密性、完整性、可用性、可控性、可審查性等要素,建議在設計企業網絡時應遵循以下幾個原則:
2.1整體性原則
在設計網絡時,要分析網絡中的安全隱患并制定整體網絡的安全策略,然后根據制定的安全策略設計出合理的網絡安全體系結構。要清楚計算機網絡中的設備、數據等在整個網絡中的作用及其訪問使用權限,從系統整體的角度去分析,制定有效可行的方案。網絡的整體安全是由安全操作系統、應用系統、防火墻、網絡監控、安全掃描、通信加密、災難恢復等多個安全組件共同組成的,每一個單獨的組件只能完成其中部分功能,而不能完成全部功能。
2.2平衡性原則
任何一個網絡,不可能達到絕對的安全。這就要求我們對企業的網絡需求(包括網絡的作用、性能、結構、可靠性、可維護性等)進行分析研究,制定出符合需求、風險、代價相平衡的網絡安全體系結構。
2.3擴展性原則
隨著信息技術的發展、網絡規模的擴大及應用的增加,面臨的網絡威脅的也會隨之增多,網絡的脆弱性也會增多,一勞永逸地解決網絡中的安全問題也是不可能的,這就要求我們在做網絡安全設計時要考慮到系統的可擴展性,包括接入能力的擴展、帶寬的擴展、處理能力的擴展等。
2.4多層保護原則
任何的網絡安全措施都不會是絕對的安全,都有可能被攻擊被破壞。這就要求我們要建立一個多層保護系統,各層保護相互補充、相互協調,組成一個統一的安全防護整體,當一層保護被攻擊時,其它層保護仍可保護信息的安全。
圖1基于網絡安全設計原則的拓撲示意圖
防火墻:網絡安全的大門,用來鑒別什么樣的數據包可以進出企業內部網絡,阻斷來自外部的威脅,防火墻是不同網絡或網絡安全域之間信息的唯一出入口,防止外部的非法入侵,能根據網絡的安全策略控制訪問資源。
VPN:是Internet公共網絡在局域網絡之間或單點之間安全傳遞數據的技術,是進行加密的最好辦法。一條VPN鏈路是一條采用加密隧道構成的遠程安全鏈路,遠程用戶可以通過VNP鏈路來訪問企業內部數據,提高了系統安全性。
訪問控制:為不同的用戶設置不同的訪問權限,為特定的文件或應用設定密碼保護,將訪問限制在授權用戶的范圍內,提高數據訪問的安全性。
數據備份:是為確保企業數據在發生故障或災難性事件的情況下不丟失,可以將數據恢復到發生故障、災難數據備份的那個狀態,盡可能的減少損失。
3小結
通過分析企業網絡安全面臨的主要威脅及主要設計原則,提出了一個簡單的企業網絡安全設計拓撲示意圖,該圖從技術手段、可操作性上都易于實現,易于部署,為企業提供了一個解決網絡安全問題的方案。
參考文獻:
