发布时间:2023-09-26 09:34:55
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇网络安全培训技术,期待它们能激发您的灵感。
兖矿鲁南化肥厂(以下简称鲁化)作为一个具有四十余年化工生产历史的企业。近年来,生产经营、人员输出、项目建设、改革改制任务繁重,给安全管理带来更大的挑战。面对安全管理的严峻形势,企业充分发挥科技创新优势,积极探索利用信息化手段改进和提升安全教育培训水平,将网络信息技术与企业自身实际情况相结合,构架起符合鲁化自身状况、具有企业特色的安全信息网络平台。通过安全信息网络平台,实施阳光安全教育培训,使全员安全素质和安全意识明显提升,进一步巩固了企业良好的安全发展态势。截至2011年12月31日,累计实现安全生产4169天。
一、安全信息网络平台系统的建立
(一)安全管理办公自动化系统
包括公文管理、公共信息、电子邮件以及其它应用等模块,根据安全生产的需要,在内部网站上专设了安全新闻、基层安全通讯、部门安全动态、安监在线、安全生产分析、安全文件、和谐鲁化、“集思广益”等栏目,实现信息共享、公开透明,提高了员工安全意识,自觉参与安全生产管理。
(二)重大危险源视频监控系统
利用厂内局域网已铺设的主干光纤网络,设置重大危险源监控点10个,关键部位监控点12个,使网络系统与监控系统结合,通过网络实现远端监控,可多人同时监控多个点,即时传输图像,无距离限制,传输图像无损失,图像式感官刺激,激发了员工安全生产热情,各部门领导及相关人员均可利用计算机监控相应地点情况,及时掌握并迅速处理突况。
(三)网上培训、考试与积分系统
创新安全培训管理,开发了网上培训学习系统。针对人员分散、倒班员工不易集中的特点,利用现有网络设立专栏,设立安全考试题库和考核积分系统,使各单位充分了解、掌握企业安全培训信息,更好地组织培训和管理,实现了网上培训与考核。
(四)企业信息系统
在内部网企业安全管理信息,并利用手机短信群发系统,实现企业资料管理、个人资料管理、信息发送管理等,进一步提高了员工安全意识。
二、信息网络平台在安全教育培训上的应用
(一)建立科学的管理制度,保证安全教育培训有效运行
为了使员工广泛、及时、迅速掌握生产单位的安全运行、安全管理、安全隐患排查和治理、设备检修、危化品的监控等情况,实现安全工作动态监控,更好地服务和支持安全生产工作。企业制定和完善了《安全教育管理信息制度》、《兖矿鲁南化肥厂安全教育工作体系》等,要求各生产单位每天9:00将本单位安全生产有关情况的信息在内部网上相关安全管理栏目。厂安全监察处设专人负责信息管理,对有关建议、意见及安全管理方面的需求及时予以答复和服务。
(二)依托办公自动化系统(OA),实现“四全”安全管理
1、建立安监在线,对安全管理过程实施实时跟踪监控
为进一步强化安全管理,我厂自主开发了安监在线软件。“安监在线”栏目设有干部下现场反馈情况、当日单位出勤情况、当日安全活动开展情况、当日外来施工单位情况、当日动火作业基本情况、当日检修项目基本情况、当日安全检查基本情况及安监在线历史查询十个子栏目,通过授权,各处室、分厂将有关信息及时上传到相应栏目,每天更新。全体员工均可了解现场人员、检修、施工等具体情况,使各级管理人员有的放矢地深入现场监督检查,从而发现问题、查找原因、落实责任、制定措施、督促整改、检查验收,通过完善的闭环管理,培养和锻炼了员工良好的安全专业素质。
2、实施安全生产分析
创新安全理念,坚持“每周一三五安全分析制度”。积极发动全厂各单位创新安全思维,以生产现场存在的问题或现象为切入点,收集安全管理上存在的问题,进而分析原因,提出见解或解决办法,在厂内部网上相互交流学习。通过案例式剖析,一方面对出现的问题从全局角度进行综合分析,提出整改措施并进行跟踪,避免“头疼医头、脚疼医脚”;另一方面正面引导挖掘安全管理过程中的亮点,给其他单位以借鉴。通过安全分析,为全厂员工提供了一个学习、思考、借鉴的平台,从而达到减少和控制危害、事故,更好地促进了安全生产工作。
3、及时反映基层安全动态。
企业内部网设有安全新闻、基层安全通讯和部门安全动态等安全氛围营造版块,由党务工作处和各基层单位根据总厂和各单位实际安全生产情况天天更新内容。为鼓励安全信息的,成立安全教育培训通讯员网络,定期授课,布置安全生产宣传重点,并对各单位安全教育培训情况实施奖惩考核。引导安全教育培训通讯员及时捕捉基层安全生产点滴,弘扬安全生产主旋律,宣传基层安全管理亮点和先进事迹,同时及时反馈基层关于安全生产的意见和建议。
(三)依托重大危险源视频监控系统,对关键部位、关键设备实施不间断全程监控
重大危险源管理是化工企业安全管理的关键环节。我厂根据厂内重大危险源分布情况,购置网络数字多媒体信息系统,在厂区各重大危险源分别安装了网络数字化一体球,实施24小时录像监控。通过重大危险源视频监控系统,生产调度管理人员可以实时查看各重大危险源的运行状态和相关记录数据,及时发现设备的不正常状态,为迅速准确采取相应措施、防止事故发生起到了重要作用。
(四)依托网上培训教育系统,提高员工自主安全学习意识
为加强员工的安全教育培训,我们建立了网上培训、考试与积分系统。该系统设有教育培训计划、实施、评价体系。我厂定期按安全培训计划在内部网安全培训信息系统中公布安全学习通知和有关的学习内容。管理人员和员工可以自主选择学习时间,也可通过授权异地远程登陆内部网进行在线学习、在线考试。建立网上员工学习档案,实施积分制管理,并对培训效果按季度、半年、全年进行评价。这套系统不但使员工能够及时学习掌握安全生产方面的相关知识,也使安全学习有了更大的主动权,提高了员工学习的自觉性和主动性。
(五)依托安全信息网络系统,实现安全管理全员联动
安全信息网络系统包括网上信息系统和手机短信群发系统。利用网上信息系统,及时公布安全文件制度信息。通过内部网安全管理和安全文件等版块,一方面及时上传企业内部各种安全生产文件、安全专项检查信息、安全工作总结、安全工作计划等,使全体员工迅速了解安全生产形势。另一方面,根据安全检查通报情况,及时整改现场存在的问题,消除事故隐患,保证安全生产。
利用手机短信群发系统,提高全员安全生产意识。每天给厂领导、中层管理人员、安监人员、班组长分层次当日安全生产情况短消息,使干部员工及时掌握安全生产动态信息。针对下雪、降温、雷雨等特殊天气,及时启动应急预案,利用手机群发短信在一分钟内即可将信息传递到每个员工。
三、实施效果和基本经验
(一)提高安全管理效率,降低管理成本
企业利用安全网络信息平台,把安全教育培训资源有效整合,利用网络信息手段进行沟通的比例显著提高,比如在安全会议、文件传达、部门讨论、问题跟踪反馈等方面,全部通过在企业内部网安全信息网络平台上进行传递,工作效率明显提高。经过授权,通过计算机在任何地方、任何时间,只要上网,都能及时地查询到企业安全管理信息,实现了网络学习,使随时随地培训成为可能。同时,大量节约了纸张、复印、电话、传真等费用,系统应用为每个员工带来了工作便利,也使企业安全管理成本明显降低。
(二)为提高员工安全素质提供了新途径
传统的安全教育培训,采用讲课和自学等枯燥、被动安全教育培训模式,而这种模式的培训效率和成本显然不能很好地适应现代安全管理的需求。应用安全信息网络平台进行公开、引导式安全教育培训,克服了厂内不同单位、不同部门、不同员工之间的沟通和管理障碍,使普通员工可以与管理者直接交流。网上学习培训系统在应用过程中实现了教育功能与现代管理观念的传递,培训与考试过程更加公开透明,促进了员工的自主学习意识,促进企业人员素质整体提升。
(三)为企业安全管理决策提供依据
关键词:系统工程;预警机制;安全管理;安全服务
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-02
Research of the Early Warning Mechanism of Campus Network Security
Li Xia
(Network Center of Binzhou Medical University,Binzhou256603,China)
Abstract:Based on the campus network environment of Binzhou Medical University,from the view of system engineering,the research on early warning mechanism about technology, management,service and the other aspects of the campus network security is given.With the security policy as the core,technology as the support,security management and security services for the implementation of means,It emphasizes the close cooperation in administrators and users,points out the importance of safety training to enhance safety awareness,and how to improve the quality of network service.
Keywords:System engineering;Early warning mechanism;Safety management;Safety service
校校园网作为学校重要的基础设施,担负着学校教学、科研、管理和对外交流等许多重要任务;在推动教育改革发展、促进思想文化科技交流、丰富师生精神文化生活和加强大学生思想政治教育等方面起到了积极作用。但是我们也要看到,在健全制度、形成机制、网络安全、职责划分等方面还存在问题和薄弱环节。因此,我们应该进一步采取有效措施,加强管理,不断促进校园网络健康发展和良性运行。建立一套切实可行的校园网络安全预警机制,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网安全现状分析
要构建有效可行的校园网络安全预警机制必须了解网络安全现状和存在的主要问题。
以滨州医学院校园网为例,我校校园网络自2000年成立以来,形成了初步的安全管理制度。技术方面,根据校园网络现状,采用了瑞星杀毒软件网络版的分级管理、多重防护体系作为校园网络的防病毒管理架构,为我校校园网络建立起一个比较完善的防病毒体系。为打造网络整体安全,如在滨州校区Internet与校园网的接口处采用了天融信防火墙,对Internet与校园网之间进行隔离。针对网络用户盗用IP现象,采用城市热点软件,进行IP绑定和账户维护。网络安全技术方面做了必要的防御措施。
通过近几年的网络运行,随着网络数字化教学与办公的应用,网络规模不断扩大,网络建设和管理方面不可避免的暴露了一些问题:硬件设施日趋老化,网络规模不断扩大,而网络资金投入有限;管理制度不完善,如在安全角色的定义上,我们设立了专门的人员负责相关操作的安全维护和安全检查。但实际上因为人员明确但人员的任务不明确,造成了安全角色划分模糊。网络用户教师和学生网络水平不一,安全意识不够,基本防护措施掌握不到位等,被动攻击、亡羊补牢。
二、校园网安全预警机制模型
校园网中针对网络安全的预警机制研究不仅是一个非常重要的技术问题,还是一个较为复杂的系统工程。校园网安全问题不仅涉及技术、产品;还要有安全管理和安全服务,校园网安全预警机制不仅考虑网管员的技术支持,重要的是网络安全预警机制的构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,并通过安全培训加强所有人的安全意识,完善安全体系赖以生存的大环境。
实践一再告诉我们,仅有安全技术防范,而无严格的安全预警机制相配套,是难以保障网络系统安全的。必须制订一系列安全管理制度,对安全技术和安全设施进行管理。校园网网络安全预警机制,必然要求网络管理员、用户相配合,多层次、多方位的分析、诊断校园网络安全可能存在的问题,做到防患、预后相结合。由此我们提出如图模型:
安全策略是整个校园网安全预警机制的核心,安全技术是整个机制的支撑。常见的安全技术和工具主要包括防火墙、安全漏洞扫描、入侵检测,重要数据的备份恢复,最基本的病毒防范等。这些工具和技术手段是网络安全中直观的部分,缺少任何一种都会有巨大的危险。这就要求单位必须加大相应的网络投入,对网络管理人员进行相应的培训,对设备进行更新换代,对应用系统及常用软件进行必要的升级,做好网络安全管理的技术支撑。
安全管理贯穿整个安全预警机制,是落实手段。代表了安全预警机制中人的因素。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。单位专门设置主管领导、专管领导和使用部门分级负责,按块管理的模式,逐步加强,步步落实。
安全培训:最终用户的安全意识是信息系统是否安全的决定因素,因此对校园网络用户的安全培训是整个安全体系中重要、不可或缺的一部分。根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员和用户定期进行安全教育和培训,提高技术人员和用户的网络安全的警惕性和自觉性。
安全服务:这是面向校园网络管理的一个重要方面,通过网络管理员对校园网各个网络用户进行技术解答、对网络设备进行安全检查,对发现得的问题及时解决,采取上门服务,问卷调查,定期回访等方式,取得网络用户对网络安全问题的积极反馈,分别在系统级、应用级、用户级等各个方面提高网络服务质量,做好网络安全防护工作,真正发挥校园网络服务教学的作用。
三、结论
一套可行有效的校园网安全预警机制必须不断的实践与探索。在可能获得的设备和条件的基础上,整合资源,多层次、多方位的分析、诊断校园网络安全可能存在的问题,从技术、管理、服务等几方面来来不断的验证并进行质量的提升。长期来看,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的预警机制,提高校园网络的安全防范能力与应急处理能力,才能更好的给校园网用户提供安全可靠的网络运行环境。
参考文献:
[1]冯登国.国内外信息安全研究现状及发展趋势(摘编)[J].信息网络安全,2007,1:15-17
[3]王晓军.公共机房针对ARP欺骗的诊断分析与防御[J].实验室研究与探索.2009,8(28):8,56
[4]刘钦创.关于高校校园网安全若干问题的思考[J].网络安全技术与应用.2006,1(2):30-31
[5]杨尚森.网络管理与维护技术[J].电子工业出版社,2006
一、加强顶层设计,确立信息安全教育国家战略
1.《网络空间安全国家战略》
布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
2011年8月11日,NIST授权《美国网络
安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
3.联邦政府信息技术安全培训标准(FIPS)
FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架,使得全世界的信息安全专业人员能够以相同的术语和理念,讨论、辩论和解决信息安全相关问题。
黑客的技术门槛早就降低了,在谷歌和百度里,可以轻而易举搜索到上千个黑客网站,下载一款工具,你也就成了旁人闻之色变的黑客。这些“黑客培训”的授课内容几乎囊括了各种病毒、木马制作技术和各种网络攻击技术,培训价格则由数百元到近万元不等,视乎你是想偷QQ号还是想黑掉一个网站。
“黑客基地”的漂白之路
成立于6年前的“黑客基地”原本只是一个黑客技术狂热爱好者聚集的论坛,很多人是冲着创始人王献冰的名号来拜师学艺。作为中国黑客元老,王献冰是行里公认的高手,传说给他5秒钟时间,他可以黑掉四大门户。
从“黑客基地”走出的黑客众多,通常都有惊人之举。圈里流传,著名的京东商城被黑一案,据说就是王献冰的学生搞出的杰作:“京东网管是个大!”2003年的一天,京东商城的老总刘强东打开京东的BBS论坛,就看到屏幕上出现这几个触目惊心的大红字,他命令下属格式化了服务器,但重新启动后,屏幕上仍旧是这几个大字。短短的一个小时里,京东商城少做了几十万的生意。
尽管学成者出尽风头,但“黑客基地”的运作一直处在最原始的状态,要靠微薄的会员费来维持运作。事实上,“黑客基地”有400多万会员,中国2/'3的黑客都和它沾亲带故,熊晓鸽曾给“黑客基地”的品牌价值估过价:至少值500万元。这个价格到今天已经翻番,王献冰已经拿到了1000万元的风投,他预估:“加上原本的会员费,‘黑客基地’是内地活得最滋润的黑客培训网站。”
除去瑞壕投资、泽华资本的投资之外,1000万中也有王献冰自己的投资。这意味着“黑客基地”要重新考量自己的商业定位,曾经引以为豪的黑客色彩必须被淡化。中国互联网的飞速发展带来的现象是,“网络安全人才匮乏到一个相当严重的地步,人才的培育至少滞后于社会需求5到10年。”王献冰认为,这才是风险投资看中这个领域的原因。以北大青鸟每年的培训收入超过20亿元来做参照,在整个IT培训市场中,保守的估计网络安全培训也将占据15%-20%的份额,即10亿元。如果他成功,“黑客基地”能抢占其中1亿的市场。
让“黑客”成为“红客”
现在,搜索“黑客基地”,百度上的链接会自动指向“北京黑基国际信息科技有限公司”,字面上已经隐去了“黑客”,代之的是网络安全培训的意义。这是王献冰考虑最多的问题,让这个灰色的产业能够存在于阳光之下。
“黑客基地”6年的内容积淀,很多非法的信息和工具必须清理,这是一个大工程。同样要正规化的,还有课程。所有课程都必须公布,审核,备案,要小心翼翼地越过政策界限。在风投进入之前,“黑客基地”没有纸质教材,王献冰只好自己编制了整体教材架构,分为初、中、高三个档次,面向不同需求,走正规途径出版。
除了软件反破解、网站反黑等技能培训外,王献冰设计的新业务是职业培训,他给自己找的样板是北大青鸟。“北大青鸟去年的收入是21亿,差不多占了中国培训市场的40%的份额,它的商业模式其实很简单,但最直接――做职业化培训,保证你学了之后立刻能就业。”砚在“黑客基地”计划把更多低端内容免费,以争取更大市场占有率:与北京电视台合作的个人电脑安全节日已经洽谈,黑基网开设的“黑基安全大讲堂”也进入了录制流程。
在中国IT培训市场,网络安全占20%的份额,一家出众的公司做到年收入5000万并不是稀奇的事情。但“黑客基地”进军安全培训,与现有培训公司的市场竞争是绕不过去的障碍,尤其是北大青鸟这个庞然大物。王献冰只能把更多的目光投向国外学员。目前“黑客基地”的国外会员并不多,大约只占总数的5%,大多都是技术狂热派的美籍华人,但5%的国外会员带来的业务收入却很可观。王献冰也给自己找了一个国外模板astalavista,这家瑞士黑客网站的年收入已经超过500万美元。
两难的黑客
几乎和“黑客基地”拿到1000万风投发生在同一时间,三大黑客门户中的“华夏联盟”遭遇了另外一种结局――被警察封铺捉人,直到现在,“华夏联盟”的网站仍然不能访问。
“熊猫烧香”烧坏数万台电脑后,再没商业头脑的人也心领神会――每一个漏洞都能变成真金白银。只要一个木马软件,菜鸟就可以摇身一变成为黑客。而黑客类网站也到了十字路口的中间,怎样坚持技术至上,又怎样避免陷入法律漩涡?
关键词:计算机;网络安全;结构;技术;云安全;完善
0 引言
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。
1 计算机网络安全体系结构
计算机网络安全体系结构是由硬件网络、通信软件、防毒杀毒、防火墙以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。对于小范围的无线局域网而言,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,目前广泛采用WPA2加密协议实现协议加密,通常可以将驱动程序看作操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,因此计算机网络安全涉及网络硬件、通信协议、加密技术等领域。
2 计算机网络安全技术研究
2.2.1 使用数据加密技术提高系统安全性
传统的信息加密技术和新兴的信息隐藏技术可为计算机信息的存储及传输提供安全保障,用户在进行绝密或重要信息的传输过程中,不仅要做好信息本身的加密,还可以利用隐藏技术对信息发送者、接受者及信息本身进行隐藏。常用的隐藏技术有隐藏术、数字嵌入、数据隐藏、数字水印和指纹技术。
2.2.2 安装防病毒软件和防火墙
在计算机主机上安装可靠性高的防病毒软件和防火墙,及时对主机的各个存储空间进行安全保护,定时扫描、修补可能出现的技术漏洞,做到及时发现异常,及时处理;防火墙是通过软、硬件组合,对企业内部网和外部网起到过滤网关的作用,从而严格控制外网用户的非法访问,并只打开允许的服务,防止外部网络拓展服务的攻击。
2.2.3 使用安全路由器
安全路由器的使用可将内部网络及外部网络进行安全隔离、互联,通过阻塞信息及不法地址的传输,保护企业内部信息及网络的安全性。安全路由器是对其芯片进行密码算法和加/解密技术,通过在路由器主板增加安全加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。
2.2.4 安装入侵检测系统和网络诱骗系统
计算机全防御体系是否完整有效的主要衡量因素为入侵检测能力的高低,入侵检测系统由软件和硬件组成;网络诱骗系统是通过构建虚假的计算机网络系统,诱骗入侵者对其进行攻击,从而起到保护实际网络系统的目的。
2.2.5 做好重要信息的备份工作
计算机信息存储工作要遵循多备份和及时更新的工作原则,数据信息可根据其重要性或数据量进行不同方式的存储:对于不需修改的重要数据可直接刻录光盘存储;需要修改的数据可存储在U盘或移动硬盘中;不重要的数据可存储在本地计算机或局域服务器中;较小数据可存储在邮箱中。
2.3 重视网络信息安全人才的培养
加强计算机网络人员的安全培训,使网络人员熟练通过计算机网络实施正确有效的安全管理,保证计算机网络信息安全。一方面要注意管理人员及操作人员的安全培训,在培训过程中提高专业能力、安全保密观念、责任心;对内部人员更要加强人事管理,定期组织思想教育和安全业务培训,不断提高网络人员的思想素质、技术素质和职业道德。
3 云计算安全技术分析
3.1 数据安全技术性分析
云计算服务模式包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(laaS)三种,这三种服务模式面临的主要问题是避免数据的丢失或被窃,因此,应在数据传输、隔离及残留方面进行安全保护。
首先,在使用公共云时,传输数据应采取加密算法和传输协议,以保证数据的安全性和完整性;其次,云计算供应商为实现服务的可扩展性、提高数据计算效率及管理等优势,多采用多租户模式,易与其他用户的数据混合存储,给数据的安全性带来威胁。在安全技术未发展至可给任意数据进行安全加密的阶段下,可采取的措施就是将重要或者敏感的数据与其他数据进行隔离,保障数据信息的安全性。最后,数据残留是数据安全遭受威胁的另一因素,云计算环境下,数据残留会无意泄露敏感信息,因此需要服务供应商能提供将用户信息进行彻底清除的保障。
3.2 云计算的应用安全技术性分析
云计算应用安全性需要终端用户及云服务商双方共同采取保护措施。一方面,云计算的终端用户应保证本人或本企业计算机的安全,利用安全软件降低计算机被不法分子进行技术攻击的可能。如反恶意软件、防病毒、个人防火墙以及IPS类型的软件等,可保护用户浏览器免受攻击,并能定期完成浏览器打补丁和更新工作,以保护云用户数据信息的安全性。另一方面,用户可使用客户端设备访问各种应用,但不能对云平台基础设备进行管理或者控制,因此,选择云平台供应商就显得十分重要。评价供应商主要原则为依据保密协议,要求供应商提供有关安全实践的信息,如设计、架构、开发、黑盒与白盒应用程序安全测试和管理。
3 结语
综上所述,计算机网络的应用越来越广泛,这就对安全方面提出了更高的要求,如何加强计算机网络安全就需要从多方面建立立体的计算机网络安全结构体系,从而确保计算机网络安全结构的科学和严密,提高对网络风险的控制和预防,真正的做到计算机网络应用的安全。
参考文献:
[1]焦开荣.计算机网络安全体系结构分析[J].科技风,2011(3):272.
关键词:计算机;网络;安全;结构;技术;完善
0 引言
网络安全技术指致力于解决诸如如何有效进行介入控制以及如何保证数据传输的安全性的技术手段,在网络技术高速发展的今天,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究意义重大,对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好地为广大用户服务。
1 计算机网络安全体系结构
计算机网络安全体系结构是由硬件网络、通信软件、防毒杀毒、防火墙以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。对于小范围的无线局域网而言,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,目前广泛采用WPA2加密协议实现协议加密,通常可以将驱动程序看作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序调用。
2 计算机网络安全技术研究
2.1 安装防病毒软件和防火墙 在计算机主机上安装可靠性高的防病毒软件和防火墙,及时对主机的各个存储空间进行安全保护,定时扫描、修补可能出现的技术漏洞,做到及时发现异常,及时处理;防火墙是通过软、硬件组合,对企业内部网和外部网起到过滤网关的作用,从而严格控制外网用户的非法访问,并只打开允许的服务,防止外部网络拓展服务的攻击。
2.2 安装入侵检测系统和网络诱骗系统 计算机安全防御体系是否完整有效的主要衡量因素为入侵检测能力的高低,入侵检测系统由软件和硬件组成;网络诱骗系统是通过构建虚假的计算机网络系统,诱骗入侵者对其进行攻击,从而起到保护实际网络系统的目的。
2.3 使用数据加密技术提高系统安全性 传统的信息加密技术和新兴的信息隐藏技术可为计算机信息的存储及传输提供安全保障,用户在进行绝密或重要信息的传输过程中,不仅要做好信息本身的加密,还可以利用隐藏技术对信息发送者、接收者及信息本身进行隐藏。常用的隐藏技术有隐藏术、数字嵌入、数据隐藏、数字水印和指纹技术。
2.4 做好重要信息的备份工作 计算机信息存储工作要遵循多备份和及时更新的工作原则,数据信息可根据其重要性或数据量进行不同方式的存储:对于不需修改的重要数据可直接刻录光盘存储;需要修改的数据可存储在U盘或移动硬盘中;不重要的数据可存储在本地计算机或局域服务器中;较小数据可存储在邮箱中。
2.5 使用安全路由器 安全路由器的使用可将内部网络及外部网络进行安全隔离,互联,通过阻塞信息及不法地址的传输,保护企业内部信息及网络的安全性。安全路由器是对其芯片进行密码算法和加/解密技术,通过在路由器主板增加安全加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。
2.6 重视网络信息安全人才的培养 加强计算机网络人员的安全培训,使网络人员熟练通过计算机网络实施正确有效的安全管理,保证计算机网络信息安全。一方面要注意管理人员及操作人员的安全培训,在培训过程中提高专业能力、安全保密观念、责任心;对内部人员更要加强人事管理,定期组织思想教育和安全业务培训,不断提高网络人员的思想素质、技术素质和职业道德。
3 云计算安全技术的应用
云计算通过集中所需要计算的个体资源,通过需求而获得企业所需要的资源,并且通过自动化管理与运行,从而将计算的需求传达给网络,使网络能够处理企业所需要的计算服务。云计算开创了一种资源共享的新模式,能够改变当前用户使用计算机的习惯,通过网络计算,能够大大节省企业所需要的空间以及实践,从而节约企业运行成本,提升企业的工作效率。因此在云计算的过程中,必须考虑到信息安全的问题,避免商业机密泄露,给企业带来重大的损失。
3.1 云计算的应用安全技术性分析 云计算应用安全性需要终端用户及云服务商双方共同采取保护措施。一方面,云计算的终端用户应保证本人或本企业计算机的安全,利用安全软件降低计算机被不法分子进行技术攻击的可能。如反恶意软件、防病毒、个人防火墙以及IPS类型的软件等,可保护用户浏览器免受攻击,并能定期完成浏览器打补丁和更新工作,以保护云用户数据信息的安全性。另一方面,用户可使用客户端设备访问各种应用,但不能对云平台基础设备进行管理或者控制,因此,选择云平台供应商就显得十分重要。评价供应商主要原则为依据保密协议,要求供应商提供有关安全实践的信息,如设计、架构、开发、黑盒与白盒应用程序安全测试和管理。
3.2 数据安全技术性分析 云计算服务模式包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(laaS)三种,这三种服务模式面临的主要问题是避免数据的丢失或被窃,因此,应在数据传输、隔离及残留方面进行安全保护。
首先,在使用公共云时,传输数据应采取加密算法和传输协议,以保证数据的安全性和完整性。其次,云计算供应商为实现服务的可扩展性、提高数据计算效率及管理等优势。在安全技术未发展至可给任意数据进行安全加密的阶段下,可采取的措施就是将重要或者敏感的数据与其他数据进行隔离,保障数据信息的安全性。最后,数据残留是数据安全遭受威胁的另一因素,云计算环境下,数据残留会无意泄露敏感信息,因此需要服务供应商能提供将用户信息进行彻底清除的保障。
4 结语
综上所述,加强计算机网络安全就需要从多方面建立立体的计算机网络安全结构体系提高对网络风险的控制和预防,全面保障计算机网络安全。
参考文献:
关键词:网站;防篡改技术;WEB;动态网页
中图分类号:TP399 文献标识码:A文章编号:1007-9599 (2011) 14-0000-02
Anti-tampering Technology Application of Government Portal WEB
Li Xuefeng
(Qingyuan Informatization Technology Equipment Office,Qingyuan511515,China)
Abstract:Website WEB government departments,security has become an important part of the building site,the government portal,security system,safety management system should be split from the technical safeguards and security are two aspects to the construction,construction safety management system,including technical management specifications,personnel and organizational structure,emergency response services,security,safety training in four aspects;safety precautions main WEB tamper system construction.
Keywords:Website;Anti-tampering technology;WEB;Dynamic pages
一、前言
随着互联网WEB技术的应用发展,网站在信息发展中越来越重要,由于互联网是个开放的网络,网站的信息都随时被查询、阅读、下载或转载。网站内容复制容易,转载速度快,后果难以预料,网页如果被篡改,将直接危害该网站的利益,尤其是政府门户部门的网站,网上的重要新闻、重大方针政策以及法规等具有权威性,一旦被黑客篡改,将严重损害政府的形象,破坏群众对政府部门的信任。如果没有坚固的安全体系和有效的事件响应能力,无异于将重要信息暴露于外。由此看来,网络安全问题已成为政府部门网站建设的一项重要内容。
政府部门的网络安全不是纯粹的技术问题,它涉及了一个政府的政治、军事、经济等多方面的安全。同时影响网络安全的因素也是多方面的,如计算机病毒的传播、黑客的破坏、管理人员的安全防范意识不强等等。因此做好政府门户网站的安全不是件轻而易举的事情。
二、建立网站安全管理制度
在管理制度上,加强网络和信息安全管理等方面的管理制度建设工作,为政府门户网站的建设、运行、维护和管理提供依据保障,构筑促进电子政务安全发展的环境,形成适用于政府门户网站安全的需要。我们必须按照管理制度的要求,提高我们保护网络安全意识,建立一系列安全管理制度。
由于网络的复杂性,必然导致网络安全防护的复杂性。“三分技术,七分管理”这句话是对网络安全非常客观的描述。任何网络仅在技术上是做不到完整的安全的。根据管理规范内容的重要程度和安全管理的复杂性特点,安全管理体系应包括技术管理规范、人员与组织结构、应急事件安全响应服务、安全培训等四个方面的内容。
(一)技术管理规范
面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还要加强网络的安全管理。如:(1)非、网机器不允许混用。(2)非网机器不允许运行信息,网机器不允许上非网。(3)必须严格按照安全等级、安全域划分,制定相应的安全保密制度。(4)不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。
(二)人员与组织结构
网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。安全操作员负责安全系统的具体实施。另外,应建立安全专家小组,负责安全问题的重大决策。
(三)应急事件响应
当一个严重网络漏洞出现或重大安全事件发生时,有可能威胁到系统的正常运行时,值班工程师,将会立刻通知系统管理员,并告知补救的措施。在网站出现非正常运行时,值班工程师将立刻到现场,帮助分析问题的原因,在尽可能短的时间内恢复网站正常工作,并做出事故分析报告,并提交上级主管部门。在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行。
(四)安全培训
系统管理员是直接和系统打交道的工作者,在整个信息系统维护中的地位非常重要。所以非常有必要给系统管理员进行有效的系统安全培训,掌握计算机安全的高级知识,了解黑客使用的流行手段,掌握各种主流操作系统上所需的安全策略、各种安全防御工具等技能,并能采取必要的防范措施。从众多的信息安全事件分析来看,人员的安全意识、系统和网络管理员的安全技术水平和实际的安全知识直接影响到整个系统安全状况。而信息系统的全面安全不仅和管理员的安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高工作人员的安全理论实践水平和安全意识。
三、建立有效安全技术措施
在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。目前常见网站被攻击事件有SQL注入攻击和跨站脚本攻击,其更加有效的狙击手段是什么呢?主要采取的安全手段:第一,对于SQL注入攻击:采用对SQL查询语句中的查询参数进行过滤;使用类型安全的SQL参数化查询方式,从根本上解决SQL注入的问题;URL参数类型、数量、范围限制功能,解决恶意用户通过地址栏恶意攻击的问题等,这些手段是控制SQL注入的,还包括其它的一些过滤处理,和其它的对用户输入数据的验证来防止SQL注入攻击。第二,对于跨站脚本攻击:在对于不支持HTML的内容直接实行编码处理的办法,来从根本上解决跨站问题。而对于支持Html的内容,我们有专门的过滤函数,会对数据进行安全处理,虽然这种方式目前是安全的,但不代表以后也一定是安全的,因为攻击手段会不断翻新,过滤函数库也会不断更新。另外对于外站访问和直接访问也需要做判断,从一定程度上也可以避免跨站攻击。近年来,出现了网站WEB防篡改系统(也叫WEB应用防火墙),可使系统修改检测时间缩小到毫秒级,而且,由于采用的事件触发技术,系统监测基本不额外占用系统资源。目前主流的网页防篡改技术主要包括如下三种技术:
(一)外挂扫描技术
外挂扫描技术也叫外挂轮询技术,是利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。采用从外部逐个扫描网页文件的方式来判断对网页的非法修改,采用这种技术一般会有一定的时间间隔,而且网站文件越多,时间间隔越长,不能保证被黑客修改的网页不被访问者看到。
(二)核心内嵌技术
核心内嵌技术是将篡改检测模块内嵌在Web服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复。采用核心内嵌技术的防篡改系统,其篡改检测模块运行于Web服务器软件内部,与Web服务器无缝结合。每次Web服务器对外发送网页时,系统都进行网页防篡改检测,从而能够实时地确保每个网页的真实性。
(三)事件触发技术
事件触发技术是利用操作系统的文件系统接口,在网页文件的被修改时进行合法性检查,对于非法操作进行报警和恢复。事件触发技术是把系统的篡改检测模块嵌入到操作系统内核,因此所有的文件非法变更事件都会被事件触发器无延迟的获取,该机制完全区别于扫描技术和核心内嵌技术,不需要与备份库对比分析的繁琐过程,因此可以做到监控的实时性和系统资源低占用率。是当前比较先进的一种防篡改检测技术。
四、WEB防篡改三种技术应用比较
传统的网页保护技术有基于轮询检测检测技术、内嵌技术、事件触发机制等,大量实践表明,轮询检测技术检测效率较低,对服务器负载以及带宽资源消耗较大,而且不能完全杜绝短时间出现外部访问到非法篡改后的网站,是第一代网页防篡改技术,在过去带宽资源相对不丰富,应用系统对系统应用资源较少的情况下使用,但不能实时对网页进行恢复,往往比较滞后;随着技术发展,网站上运行的各类应用逐渐增多,服务器负载将是网页防篡改技术面临的最大挑战,内嵌技术的应用在一定程度上降低了篡改的几率,但其部署方式较为复杂,加密算法的选择严重影响到了服务器的负载,而且时常会出现大量网页外部不可访问的状况,这属于第二代监测技术;基于事件触发机制被大量事实证明是服务器的负载最小的一种检测技术,简单,成熟,可靠,已经成为目前最主流的检测技术,结合事件触发机制的基于文件过滤驱动级多因子检测技术是第三代全新防篡改技术,通过文件底层驱动技术从根本上解决了文件检测的准确度,以及针对子文件夹的保护,程序后台运行监测程序,一旦发现文件属性变化,则立即从安全目录中(不对外提供访问)加以恢复,效率和安全性都得到了较好的保证,对大中型网站均可以起到很好的保护效果。
五、总结
综上所述,要搞好政府门户网站的安全建设,不是轻而易举的,而是一项复杂的、综合的、系统的信息安全工程。
参考文献:
在网络安全博弈中,设定参与人是网络系统和黑客,网络系统的纯战略是防守和不防守,黑客的纯战略是攻击和不攻击。网络系统防守时能防御到黑客的攻击概率为e(0<<e<<1),在防守到攻击后一定能对攻击者做出相应的惩罚。为了研究网络系统和黑客之间的博弈,本出如下假设:局中人集合:{网络系统,黑客}局中人策略空间:网络系统的策略空间为{放守,不防守};黑客的策略空间为{攻击,不攻击}局中人收益:黑客如攻击成功,收益为a,黑客攻击如碰到防守,网络系统对黑客进行惩罚的收益为e•b,网络系统的防御成本为c,网络系统的惩罚成本为d。则当黑客攻击且网络系统防守时,黑客的收益为-e•b,网络系统的收益为e•b-c-d-(1-e)a;当黑客攻击且网络系统不防守时,黑客的收益为a,网络系统的收益的-a;当黑客不攻击且网络系统防守时,网络系统成本为-c,黑客的收益为0;当黑客不攻击且网络系统不防守时,网络系统收益为0,黑客收益为0。根据以上假设,参与人同时选择或非同时选择,但后行动者不知前行动者采用了什么具体行动,因此此问题为静态博弈,参与人对另一参与人的特征、策略空间及收益函数都有了准确信息,因此为完全信息博弈,综合而来此问题涉及黑客攻击与网络系统防御的完全信息静态博弈,其相应的收益矩阵见表。假设网络系统以概率p进行防守,则不防守的概率就是1-p;q为黑客的攻击概率,则不攻击的概率为1-q。下面就来讨论混合战略的纳什均衡问题。
2攻防博弈模型的求解
在给定的网络系统以概率p进行防守时,黑客攻击q=1的期望收益F(p,1)和黑客不攻击q=0的期望收益F(p,0)分别为。由(4)式可知,当网络系统防守概率大于a/a+eb时,不攻击是黑客的最优策略;当网络系统的防守概率小于a/a+eb时,攻击是黑客的最优策略;当网络的防守概率等于a/a+eb时,黑客攻击和不攻击都具有相同的效果。同理,在给定黑客以概率q进行攻击时,网络系统防守p=1的期望收益F(1,q)和网络系统不防守的p=0的期望收益F(0,q)分别为。由(8)式可知,当黑客的攻击概率小于c/eb+ea-d时,网络系统的最优选择是不防守;当黑客的攻击概率大于c/eb+ea-d时,网络系统的最优选择是防守;当黑客的攻击概率是c/eb+ea-d时,防守和不防守具有相同的概率。
3攻防成本的博弈分析
下面对混合纳什均衡进行深入的分析:
3.1网络系统的防守概率(9)式说明网络系统的防守概率p*是a的单调增函数,即p*随a的增大而增大,p*随a的减少而减少。这可以解释为黑客的攻击收益越大,则相对应的网络系统损失越大,网络系统的防守概率越高;黑客的攻击收益越小,则相对应的网络系统损失越小,网络系统的防守概率越低。(10)式说明网络系统的防守概率p*是eb的单调减函数,即p*随eb的增大而减少。这可以理解为黑客得到防御系统的惩罚收益越大,则相应的对黑客的威慑越大,网络系统的防守概率越小。把eb分开来看,当eb为定值时,e值越小则b值越大,这说明防守成功的概率越低,则相应的应加大惩罚值。
3.2黑客的攻击概率是由网络系统的防守成本c、网络系统对黑客的惩罚值eb、网络系统成功防御到黑客攻击所减少的损失值ea、网络系统的惩罚成本d所决定的。由黑客的攻击概率q*可知,q与c成正比、与eb+ea-d成反比。q与c成正比,即在其他条件不变的情况下,防守的成本c越小,黑客攻击概率越小;这可以解释为:防守成本c越小,网络系统防守的就越多,那么被黑客攻击的概率就会越少。q与eb+ea-d成反比,即当c一定时,防守系统对黑客的惩罚收益越大,网络系统成功防御到黑客攻击所减少的损失值越大,网络系统的惩罚成本越小,则黑客的攻击概率越小。分开来看,q与eb、ea均成反比,与d成正比;即防守系统对黑客的惩罚收益越大,则给黑客的威慑越大,黑客的攻击概率越低;防守系统成功防御到黑客攻击所减少的损失值越大,也就是防御系统内部的防御信息越重要,防御系统就越会加大防御,黑客的攻击概率就越低;防守系统的惩罚成本越大,则防守方实际所得的收益越小,黑客的攻击概率越大。q与ea、eb均成反比,则当a、b是定值时,q与e成反比;又由于q与c成正比,则当其他条件不变时,e与c成反比。从而可知网络系统防御的成功率越高,网络系统的防御成本就越低,即增加网络系统的防御成功率可以降低网络系统的防御成本。由q与c成正比、q与eb成反比可知,若使黑客的攻击概率越小,则最好使网络系统的防御成本越低,对网络系统黑客的惩罚值越大。但目前由于网络系统的复杂性,防御成本很难降下来,因此就可以加大惩罚力度。这也说明了在网络安全方面惩罚机制和防御机制同样重要。
4网络安全治理建议
由以上网络安全攻防博弈分析可知,网络安全是由网络的防守成本、网络系统对黑客的惩罚值、黑客的攻击收益值、网络系统的惩罚成本所决定的。对这些方面,特提出如下建议:
4.1加大取证技术建设。网络安全的取证技术既是防御系统的根基,也是惩罚体系的根基。比如取证技术的典型蜜罐技术,它通过设置陷阱取证记录攻击源和攻击方法,在防御方面根据记录到的攻击源和攻击方法,得出相应的应对策略,然后给防火墙和入侵检测系统加入相应的策略,以应对后面的攻击;在惩罚方面以记录的攻击源和攻击方法作为证据,运用法律等相关手段对攻击者做出相应的惩罚。取证工作做不好,面对新型的攻击,防御和惩罚就都不可能执行下去。
4.2加大防御技术建设,使防御系统廉价,做好防御系统普及工作。防御系统价格越低,防御普及率才会越高,安全性才会越好。加大对网络内各个部位核心技术的掌握(一些重要部门的内部网络最好全部运用自己的技术),防御的成功率才会较高,防御系统的成本才会大大减少。比如国内电脑基本都用微软的操作系统,核心交换机大部分用思科的设备,打印机基本都用HP等国外设备。只要这些设备厂商开启后门,网络将无安全可言。内部技术不掌握,防御总是处于被动之中,投资再高,实际效果也不会大。目前网络系统内很多设备的核心技术都不在自己的掌握下,因此军工等一些重要情报部门内部网络最好不要接入到Internet网。防御系统方面可以建立各层防御体系,电脑开发免费的取证审计系统,使每个用户都有监督自己电脑的方式。其他网络的各个部件也要建立自己的取证审计系统,方便网络管理员对网络其他部件的监控管理工作。
4.3加大网络惩罚机制建设和惩罚力度,降低惩罚成本。网络安全方面的惩罚方式很多,比如法律惩罚、网络反攻等。针对目前国内严峻的网络安全问题,应该完善网络安全法规,做到有法可依,执法必严,违法必究,使执行的成本大大减少,这样就能对黑客给予足够的威慑,有效降低攻击概率。比如图书馆网络系统面对黑客的攻击时,只要对黑客的惩罚相比黑客获得的利益越大,理性的黑客就越不敢攻击。惩罚可以根据国家的立法进行,比如发现某些公司运用自己的产品进行犯罪牟利时,就可以根据相应的法律措施给予惩罚。国家间的网络犯罪,可以在全世界成立一个集体的组织比如联合国,建立相应的法规,对国与国之间的网络攻击给予严厉的惩罚。二战后以美国为首的西方国家,就建立了联合国国际机构,对一些国际间的违规事务进行处理,比如成立原子弹不扩散条约,以避免对世界毁灭性的伤害。美国作为联合国的五大常任理事国之一,如果想维护世界的网络安全,也需要对最近出现的斯诺登“棱镜门”事件等,给出相应的说明或解决方法,这样才能更好地带头制定和实施相应的惩罚制度,以维护世界的网络安全。对于国家间的网络攻击,当联合国的法律惩罚难以实施时,也可以发展网络反攻惩罚技术,在国家内部建立起强大的网络部队,给予别国巨大的威慑,以减少网络战争。只要攻击方法发展起来、攻击成本降低,实施反击更加容易,给另一个国家的惩罚相对于其获得的收益越大,就会给想攻击的国家带来足够大的威慑,这样理性的国家就越不敢攻击。
1 局域网安全现状分析
气象信息局域网是气象局日常办公和业务运行所依托的平台,通过气象信息局域网把各个业务单位和职能处室相互连接在一起,但由于各个不同的网段间能互相访问,且办公用机的病毒感染率普遍比较高,所以会使业务系统用机遭受办公用机(已感染病毒)攻击的概率增大,另外,因没有统一规划防病毒措施,且各个网段的防病毒方式各不相同,所以会造成一定的漏洞,给流氓软件及各种病毒以可乘之机。现将局域网的网络安全威胁分为以下几类:
1.1服务器没有独立的安全防护
在局域网内数据传输的特性是快速、便捷和高效,如果局域网内的服务器未做病毒防护,其使病毒也会的直接、快速的感染。如果局域网中服务器区域不进行独立保护,网内任一台电脑感染病毒,在与服务器进行信息传递后,就会感染服务器,这样局域网中任何一台通过服务器进行信息传递的电脑,就有可能会感染病毒。局域网内部的攻击才是难以防范的死角。
1.2计算机病毒和流氓软件威胁
由于计算机病毒的层出不穷,局域网计算机的病毒感染率不断上升,其中不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵是主要因素。绝大多数的病毒和恶意代码攻击,正是利用了这个漏洞。现如今许多的病毒和流氓软件已经成为网络犯罪的载体,由此犯罪软件被提出。一般网络管理都极其重视与外部网络连接的安全防护,而忽视了来自局域网内部的威胁,这就造成了计算机病毒和恶意代码更加容易从内部逐渐渗透的局面。
1.3钓鱼软件的威胁
局域网是一个用于资源共享的平台,而正是由于资源共享的“开放性”,所导致信息被更改、删除,数据的安全可靠性较低,易被植入盗取用户各种信息的木马和病毒,其中钓鱼软件就是典型代表。“钓鱼软件”和“钓鱼网页”功能类似,都是通过大量发送一些虚假的信息或邮件,声称自己来自某些知名机构,以此骗取用户的信任来得到他们的诸如:用户名、口令、银行账户、信用卡账户和各类密码等各种敏感信息的一种方式。因大型网络公司的安全性能日趋完善,所以网络钓鱼者的目标逐渐向一些安全意识薄弱的小型网站或企事业单位的内网用户发展,所以防钓也是我们刻不容缓的一项安全内容。
2 气象信息局域网安全防护策略
2.1对局域网用户进行必要的安全培训
网络安全不是仅仅针对计算机或其它网络设备而言,更多的是人使用网络的安全。在安全中,集中了使用者、软件、硬件和网络。所有在网络上的数据交互、资料交互等的操作最根本都是人为实现的,所以对局域网内用户的安全培训师必须的。首先要使大家明白网络安全的重要性,和他们在网络安全中所处的地位及起到的作用,从思想上加强对网络安全的认识,以便更有效地对网络进行安全管理。对局域网用户应进行的安全培训可以从以下几方面开展:
1) 对局域网用户进行加强安全意识的培训,使其明白数据安全和信息安全的重要性,并自发积极地共同维护信息和数据安全。
2) 普及安全知识的培训,使每个网内用户掌握一定的安全知识,使其具备如何备份本地的数据,保证本地数据信息的安全可靠等基本安全技能。
3) 进行基本的网络知识培训,使各个用户掌握一定的网络知识,熟悉IP地址的配置和如何共享及取消共享文件的操作,并具有一定的网络排查能力。
2.2对局域网进行必要的安全策略配置
气象信息网络中最需安全防护的一块是数据安全,在对气象数据要求必要保密的今天,内部网络的信息安全就是必要的前提,再坚固的堡垒最薄弱的地方都是内部,只有通过各种安全定制,使局域网络内部安全达到一定的标准,才能最大程度的消除安全隐患,其中包括:本地设置、防火墙技术、IP安全和密码保护等内容。利用现有的安全管理软件,再加上本身对系统的安全设置时解决局域网安全的基本方法。
2.2.1使用Windows NT正版操作系统(Windows2000及以上)对用户的强大控制机制
可以分别限制各个用户的权限,指定其何时入网并使其只能对指定的目录、文件或其它资源进行一定限度的操作(如复制、上传)。使用密码策略,及时检测不符合规定的密码,对不符合要求的口令进行多次警告,无效后断网。通过以上对用户和口令的强制控制,可在一定程度上提高系统的安全性。
2.2.2在核心节点和各个主要节点处使用硬件防火墙
防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击。防火墙可以关闭不使用的端口,而且它还能禁止特定端口的输出信息。防火墙可以禁止来自特殊用户的访问,从而可以防止来自不明入侵者的所有通信,过滤掉不安全的服务和控制非法用户对网络的访问。防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心,极大地加强了网络安全,并简化了网络管理。
2.2.3属性安全控制
它能控制以下几个方面的权限:防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。
2.2.4 IP地址中央集权管理
对所有的IP地址,无论是各个直属单位,还是各地市县局都要统一归信息中心管理,尤其是核心网络的IP地址绝对不能私用。信息中心统一规划和安排IP地址的归属问题,各个网段的网络管理人员要报备IP地址的使用情况,并及时更新,上报信息中心。对于IP地址 要做到唯一性,必须与指定的MAC地址进行绑定,力求一机一地址,有效地防止因IP地址冲突而造成的网络中断和非法用户接入网络而造成的病毒传播。
2.2.5 强制安装网络版杀毒软件
因气象信息局域网是一个庞大的网络,拥有众多的网段,所以必须每个网段内都需要有一台网络杀毒软件中控机,用以调配和控制局域网用户杀毒软件的安装和升级。杀毒软件需要强制安装执行,即入网用户必须安装,对无防毒软件的计算机要及时阻断其与网络的链接。
2.3局域网病毒的防治措施
计算机病毒依靠网络而不断的发展,随着新技术的出现,新型的病毒也在不断的被制造出来,由于局域网的快速读取、互相访问等特性使得病毒更加容易传播。病毒通过计算机的传播,可在很短的时间内使整个网络陷入瘫痪状态,因此防毒是首要措施,防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防毒系统是需要逐级建立的,所以主要通过以下几个途径来制定有针对性的防毒策略:
2.3.1 增加安全意识
杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传的渠道有很多种,可通过网络、物理介质等。查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。
2.3.2 有效防止移动存储设备病毒
如何有效地防止移动存储设备的病毒,是防止局域网病毒传播的重要手段,所以在使用移动存储设备的时候,首先要进行病毒扫描和查杀,有效把病毒拒之门外。
2.3.3网络版杀毒软件的选择。
常规来讲,杀毒软件的选择,遵循以下原则:查杀是否彻底;界面是否友好、方便;能否实现远程控制、集中管理等。瑞星杀毒软件在这些方面都相当不错,能够熟练掌握瑞星杀毒软件使用,及时升级杀毒软件病毒库,有效使用杀毒软件是防毒杀毒的关键。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。
3 结束语
气象信息网络的安全控制与病毒防治是一项长期且艰巨的任务,要在不断探索、完善的基础上,及时应对随着网络应用发展的各种计算机病毒和新的病毒传播途径,以及日益复杂的安全问题,需要建立全方位、立体式的网络防护体系,要具备完善的管理机制用以维护和设置网络安全策略。
参考文献:
[1] 吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用[J].真空电子技术,2004:34-36.
[2] 杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003:76-89.
[3] 李学诗.计算机系统安全技术[M].武汉:华中理工大学出版社,2003:73-79.
[4] 胡伟建.网络安全与保密[M].西安:西安电子科技大学,2003.
关键词:电力;信息化;安全问题
中图分类号:[TM622]文献标识码:A
一、电力系统信息安全概念和保护现状
电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。结合电力工业特点,电力工业信息网络系统和电力运行实时控制系统,分析电力系统信息安全存在的问题,电力系统信息没有建立安全体系,只是购买了防病毒软件和防火墙。有的网络连防火墙也没有,没有对网络安全做统一长远的归划。网络中有许多的安全隐患。因此急需建立同电力行业特点相适应的计算机信息安全体系。
二、目前电力企业网络信息安全管理存在的主要问题
电力企业在网络信息安全管理方面存在以下问题。
(一)信息化机构建设尚需进一步健全
信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,这种状况势必不能适应信息化对人才、机构的要求。
(二) 企业管理革新滞后于信息化发展进程
相对于信息技术的发展与应用,电力企业管理革新处于落后状况,最终导致了信息系统未能发挥预期的、应有的作用。
(三)网络信息安全管理需要成为企业安全文化的重要组成部分
目前,在电力企业安全文化建设中,信息安全管理仍然处于从属地位,需要进行不断努力,使之成为企业安全文化的中坚力量。
(四)网络信息安全风险的存在
电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险,主要表现在以下几方面:
1、网络结构不合理
2、来自互联网的风险
3、来自企业内部的风险
4 、病毒的侵害
5 、管理人员素质风险
6、 系统的安全风险
三、电力企业网络信息安全管理问题的成因分析
(一)安全意识淡薄是网络信息安全的瓶颈
技术人员往往对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。
(二) 运行管理机制的缺陷和不足制约了安全防范的力度
从目前的运行管理机制来看,有以下几方面的缺陷和不足:
1、 网络安全管理方面人才匮乏
2、 安全措施不到位
3、缺乏综合性的解决方案
四、 网络信息安全管理的内容
(一) 风险管理
识别企业的信息资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险、避免风险、转嫁风险、接受风险等多种风险管理方式,来协助管理部门制定企业信息安全策略。
(二)安全策略
信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档,广泛到企业所有员工手中。
(三)安全教育
信息安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。
五、 加强电力企业网络信息安全管理的建议
(一)重视安全规划
企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。
(二)合理划分安全域
电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域。重点防范的区域是网络安全的核心。
(三) 加强安全管理。重视制度建设
1、加强日志管理与安全审计
2、建立内网的统一认证系统
3、建立病毒防护体系
4、重视网络管理制度建设
严格的管理制度,是保证企业信息网络安全的重要措施之一。
(1)领导应当高度重视网络信息安全问题。
(2)加强基础设施和运行环境的管理建设。
(3)建立必要的安全管理制度。
(4)坚持安全管理原则、多人负责原则。
(5)定期督导检查制度。
(四)加强企业员工和网络管理人员安全意识教育
对于网络信息安全,企业员工和网络管理人员的素质非常重要。
1、在安全教育具体实施过程中应该有一定的层次性。
(1)对主管信息安全工作的高级负责人或各级管理人员,重点掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。
(2)对负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略、安全评估基本方法、安全操作和维护技术运用等。
2、对于特定人员的安全培训
对于关键岗位和特殊岗位的人员,通过送往专业机构学习和培训,使其获得特定的安全方面的知识和技能。
六、总 论
电力网络安全是一个系统的,全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业措施。解决网络信息安全问题,技术是安全的主体,管理是安全的灵魂。加强信息安全管理,建立安全长效机制才能有效的解决电力系统网络安全问题,只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。在企业中建立安全文化,并将网络信息安全管理贯彻到整个企业文化体系中才是最根本的解决办法。
参考文献:
[1] 周冰.电力信息化切入核心[J].《信息系统工程》,2003年.
信息人才教育培养途径
1.学历教育
加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。
2.安全竞赛
信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。
3.单位内训
高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。
4.持续教育
信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。
信息安全人才教育培养所需条件
信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。
1.体系化教材
体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。
2.专业化师资
信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。
3.系统化实践
网络空间安全是一门综合性学科,不仅具有很强的理论性,同时也具有很强的实践性,许多安全技术与手段需要在最新的仿真实践环境中去认识和体会。提高学生维护网络安全的实际能力,需要结合课程设计逼真的网络攻防环境,搭建基于网络对抗的仿真模拟演练平台,进行系统化实践才能为社会提供具有丰富的理论知识和良好的实践技能的应用型人才。
1数据信息安全威胁信息数据
面临的安全威胁来自于多个方面,有通过病毒、非授权窃取来破坏数据保密性的安全威胁,有因为操作系统故障、应用系统故障等导致的破坏数据完整性的安全威胁,有因为硬盘故障、误操作等导致的破坏数据可用性的安全威胁,还有因为病毒威胁、非授权篡改导致的破坏数据真实性的安全威胁,这些潜在的安全威胁将会导致信息数据被删除、破坏、篡改甚至被窃取,给公共卫生行业带来无法弥补的损失。
2安全管理缺失公共卫生行业
在信息化建设工作中,如果存在重应用、轻安全的现象,在IT系统建设过程中没有充分考虑信息安全的科学规划,将导致后期信息安全建设和管理工作比较被动,业务的发展及信息系统的建设与信息安全管理建设不对称;或由于重视信息安全技术,轻视安全管理,虽然采用了比较先进的信息安全技术,但相应的管理措施不到位,如病毒库不及时升级、变更管理松懈、岗位职责不清、忽视数据备份等现象普遍存在,很有可能会导致本不应该发生的信息安全事件发生。
二分析问题产生的主要原因
1经费投入不足导致的安全防范技术
薄弱许多公共卫生机构的信息化基础设施和软硬件设备,都是在2003年SARS疫情爆发以后国家投入建设的,运行至今,很多省级以下的公共卫生单位由于领导认识不足或经费所限,只重视疾病防控能力和实验室检验检测能力的建设,而忽视了对公共卫生信息化的投入,很少将经费用于信息化建设和信息安全投入,信息化基础设施陈旧、软硬件设备老化,信息安全防范技术比较薄弱,因网络设备损坏、服务器宕机等故障或无入侵检测、核心防火墙等安全防护设备,导致信息数据丢失、窃取的现象时有发生,严重影响了重要信息数据的保密性、完整性和安全性,一旦发生信息安全事件后果将不堪设想。
2专业技术人才缺乏
建设信息化、发展信息化最大的动力资源是掌握信息化的专业技术人才,人才的培养是行业信息化高速发展的基础,然而,公共卫生行业的人才梯队主要以疾病控制、医学检验专业为主,信息化、信息安全专业技术人才缺乏,队伍力量薄弱,不能很好地利用现有的计算机软硬件设备,也很难对本单位现有的信息化、信息安全现状进行有效的评估,缺乏制定本行业长期、可持续信息化建设发展规划的能力,这也是制约公共卫生行业信息化发展的重要因素。
3信息安全培训不足
职工安全保密意识不强信息安全是一项全员参与的工作,它不仅是信息化管理部门的本职工作,更是整个公共卫生行业的重要工作职责,很多单位没有将信息安全培训放在重要位置,没有定期开展信息安全意识教育培训,许多职工对网络安全不够重视,缺乏网络安全意识,随意接收、下载、拷贝未知文件,没有查杀病毒、木马的习惯,经常有意无意的传播病毒,使得单位网络系统经常遭受ARP、宏病毒等病毒木马的攻击,严重影响了单位网络的安全稳定运行;同时,许多职工对于单位的移动介质缺乏规范化管理意识,随意将拷贝有信息的移动硬盘、优盘等介质带出单位,在其他联网的计算机上使用,信息容易失窃,存在非常严重的信息安全隐患。
三如何促进公共卫生行业计算机网络安全性提升
1强化管理
建立行业计算机网络安全管理制度为了确保整个计算机网络的安全有效运行,建立出一套既符合本行业工作实际的,又满足网络实际安全需要的、切实可行的安全管理制度势在必行。主要包括以下三方面的内容:
1.1成立信息安全管理机构
引进信息安全专业技术人才,结合单位开展的工作特点,从管理、安全等级保护、安全防范、人员管理等方面制定统管全局的网络安全管理规定。
1.2制定信息安全知识培训制度
定期开展全员信息安全知识培训,让全体员工及时了解计算机网络安全知识最新动态,结合信息安全事件案列,进一步强化职工对信息安全保密重要性的认识。同时,对信息技术人员进行专业知识和操作技能的培训,培养一支具有安全管理意识的队伍,提高应对各种网络安全攻击破坏的能力。
1.3建立信息安全监督检查机制
开展定期或不定期内部信息安全监督检查,同时将信息安全检查纳入单位季度、年度综合目标责任制考核体系,检查结果直接与科室和个人的奖励绩效工资、评先评优挂钩,落实奖惩机制,惩防并举,确保信息安全落实无死角。
2开展信息安全等级保护
建设开展信息安全等级保护建设,通过对公共卫生行业处理、存储重要信息数据的信息系统实行分等级安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,建立健全信息安全应急机制,定期对信息系统安全等级保护建设情况进行测评,存在问题及时整改,从制度落实、安全技术防护、应急处置管理等各个方面,进一步提高公共卫生行业信息安全的防护能力、应急处置能力和安全隐患发现能力。
3加强网络安全技术防范
随着信息技术的高速发展,信息网络安全需要依托防火墙、入侵检测、VPN等安全防护设施,充分运用各个软硬件网络安全技术特点,建立安全策略层、用户层、网络与信息资源层和安全服务层4个层次的网络安全防护体系,全面增强网络系统的安全性和可靠性。
3.1防火墙技术
防火墙技术在公共卫生行业网络安全建设体系中发挥着重要的作用,按照结构和功能通常划分为滤防火墙、应用防火墙和状态检测防火墙三种类型,一般部署在核心网络的边缘,将内部网络与Internet之间或者与其他外部网络互相隔离,有效地记录Internet上的活动,将网络中不安全的服务进行有效的过滤,并严格限制网络之间的互相访问,从而提高网络的防毒能力和抗攻击能力,确保内部网络安全稳定运行。
3.2入侵检测
入侵检测是防火墙的合理补充,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,检测方法包括基于专家系统入侵检测方法和基于神经网络的入侵检测方法两种,利用入侵检测系统,能够迅速及时地发现并报告系统中未授权或异常现象,帮助系统对付内部攻击和外部网络攻击,在网络系统受到危害之前拦截和响应入侵,在安全审计、监视、进攻识别等方面进一步扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
3.3虚拟专用网络(VPN)技术
VPN技术因为低成本、高度灵活的特点,在很多行业信息化建设中被广泛应用,公共卫生行业也有很多信息系统都是基于VPN进行数据传输的,如中国疾病预防控制信息系统等,通过在公用网络上建立VPN,利用VPN网关将数据包进行加密和目标地址转换,以实现远程访问。VPN技术实现方式目前运用的主要有MPLS、IPSEC和SSL三种类型,中国疾病预防控制信息系统VPN链路网络采用的就是IPSECVPN模式,利用VPN链路隧道,实现国家到省、市、县四级的互联互通和数据传输共享。VPN通过使用点到点协议用户级身份验证的方法进行验证,将高度敏感的数据地址进行物理分隔,只有授权用户才能与VPN服务器建立连接,进行远程访问,避免非授权用户接触或窃取重要数据,为用户信息提供了很高的安全性保护。
四结语
大庆油田采油二厂作业区计算机网络安全存在如下问题: 网络病毒泛滥、来自黑客攻击、信息丢失、服务被拒绝等。另外作业区采用的是对等网网络系统, 系统漏洞补丁不能自动下载、分发、安装, 使用的是固定IP 地址, 更容易受到攻击。为此确定了以下几个必须考虑的安全防护要点: ①采用域管理网络系统方式; ②由于网络协议本身以及网络产品设计上的缺陷, 使病毒及非法访问有了可乘之机, 并且新的漏洞不断被发现, 评估网络安全性可提高信息网络抗风险能力; ③保证每台上网的计算机都安装防病毒软件, 是计算机网络安全工作的重要环节之一; ④作业区内部网络与外部网络之间安置防火墙进行有效地隔离是必要的; ⑤增加对网络的监控机制可以规范网络访问行为, 进一步完善网络安全策略, 提高网络安全防御能力。
2. 网络安全整体规划
(1) 网络安全目标: ①防止病毒、黑客对网络系统的破坏; ②保证网络数据的安全性, 将网络系统风险降到最低; ③在异常访问情况下, 保证系统正常运行; ④在网络管理传输时数据不被修改和不被窃取; ⑤规范网络访问行为, 正确确定安全策略及科学的安全风险评估; ⑥保证系统满足提供其它增值服务的需要; ⑦为客户不间断(7 ×24) 、全天候、多方位的满意服务。
(2) 安全方案设计原则。从现网络系统的整体角度考虑安全项目, 制定有效、可行的安全措施,建立完整的网络安全防范体系。
3. 网络安全方案
网络安全评估方案针对作业区目前的网络结构和计算机系统分布, 实施全面的网络安全评估。
通过漏洞扫描、系统评估等技术定期对网络硬件系统、网络软件平台、网络数据、网络通信及网络管理等5 个层次进行全面的安全隐患和脆弱性分析, 全面给出每个层次的安全隐患、脆弱性报告以及安全性整改建议, 为信息安全决策和管理提供依据。
(1) 网络防病毒方案。采用网络版防病毒软件, 保证病毒库及时更新, 从而防病毒更有效。
(2) 防火墙隔离方案。边界采用高速硬件防火墙, 防止来自外部的非法入侵、攻击。
(3) 网络入侵检测系统。入侵检测机制能够对网络系统各主要环节进行实时检测, 以便能及时发现或识别攻击者的企图。当发现异常时, 网络系统及时做出适当的响应, 通知网络管理员。在作业区网络与Internet 网络之间设置入侵检测系统, 它与防火墙联动并行接入网络中, 监测来自Internet 、作业区内网的攻击行为。当有入侵行为时, 主动通知防火墙阻断攻击源。
(4) 网络管理系统及系统结构。采用域管理模式, 使管理员可以全网监视, 也可远程实时管理网络, 将固定IP 改为虚拟IP , 实现系统漏洞补丁的自动下载、分发及安装, 从而保证网络内计算机系统的及时更新。
(5) 网络安全服务体系方案。通过网络安全公司工程师对网络安全风险评估结果和建设性意见,对网络进行脆弱性修补, 以提高作业区的网络安全: ①对实体的修补和改造; ②对平台的修补和改造; ③对数据安全性的修补和改造; ④对通信安全性的修补和改造; ⑤对管理机制的完善。网络安全跟踪服务: ①全程跟踪服务; ②7 ×24 小时技术支持服务; ③重大疫情的公告; ④紧急救援服务; ⑤定期检测和审计。
网络安全信息服务: 网络安全公司为作业区网络实时提供世界上最新出现的安全漏洞和安全升级、病毒疫情通告, 保证作业区网络安全体系达到与当月世界最新安全技术的同步。
网络安全培训服务: 通过专业的培训将使作业区网络管理人员对反病毒、反黑客的意识和产品的使用达到一个全新的层次。
关键词:校园网;病毒;防护
1 校园网病毒
校园网病毒是指在校园网这个特定环境下爆发的,具有传播性、执行性、隐蔽性、破坏性等特征的计算机病毒。对校园网的破坏性和传染力是以往的攻击类型所不可比拟的。校园网一旦被病毒入侵并发作,会造成数据破坏、网络及服务器瘫痪等问题,严重影响正常的教学科研等工作。因此,病毒和防病毒之间的战争已经由简单地“杀”病毒发展到积极地全角度的“防”病毒,只有这样才能保证网络数据的真正安全。
校园网病毒具有感染速度快、扩散面广,传播形式复杂多样,彻底清除困难,破坏性大,针对性强等特点。近年来校园网病毒的发展呈现出五种趋势:蠕虫病毒更加泛滥;病毒破坏性更大;传播渠道更多;检测方式更困难;病毒与黑客程序相结合。
2 校园网病毒入侵途径
2.1 外部网络
通过Internet传播病毒,入侵校园网是最常见的病毒传播途径。使用校园网的学生由于缺少信息安全意识,有意无意的访问不健康网站,通过邮箱打开不明信件,或通过不正规的网站下载游戏、应用软件,将病毒从Internet网带入自己的机器上,进而在校园网内传播,泛滥。
2.2 内部终端
校园网内部终端有学生自购的计算机,也有教师用的教学机,还有机房内公共的计算机。所以计算机形式多样,管理也各不相同。学生、教师机是由学生、教师自己维护,机房内的机器由网管或机房专业管理人员负责维护。每个类型的计算机终端都可能是病毒入侵的对象。
2.3 内部服务器
校园网的服务器为网络中所有终端提供服务,随着校园网终端的增多和信息交换信息交互的频繁,一旦服务器感染了病毒,就可能轻易地将病毒扩散到网络中的所有机器上。因此,服务器也被称为病毒集散地。
3 校园网病毒防范策略
校园网病毒防范是一项系统工程,不仅需要学校的各类人群增强防范网络病毒的意识,强化网络安全的重要性,而且还需要从技术层面上不断更新和完善。因此,需要做好以下几方面的工作。
3.1 加强网络安全培训
通过网络安全培训提高用户安全防范意识。分层次对网络管理员和普通用户进行培训,网络管理员和实验室管理员要加强专业培训,全面系统掌握针对校园网的病毒防治技术和管理方法,普通用户要提高安全防范意识,掌握基本的病毒防治技术。
3.2 合理网络规划
合理的校园网规划和计算机“实名制”管理是有效防治网络病毒的基础。合理规划校园网。利用VLAN技术将网络划分成若干个子网。每个子网对应固定的交换机端口,从而使具体的计算机只能在相应的位置范围内使用。对入网计算机的命名实行“实名制”管理,例如所有机器一律以“责任人名一部门名”的模式命名,并将部门名称作为机器的工作组名,借助这些行之有效的措施,网络管理人员可以准确定位到“问题计算机”,而这正是病毒查杀技术环节实施的前提。
3.3 升级Windows系统及补丁
在Windows系统的开发过程中由于受各种条件的局限难免会有一些缺陷或错误,我们把修正这些缺陷的程序称之为“补丁”。如果不对系统进行修补,反病毒软件将不能防控、清除这种病毒。通过打补丁可以提高系统兼容性,并封堵已知安全漏洞。有些病毒是针对系统漏洞进行攻击的(如冲击波病毒)等。
3.4 各级防护
在校园网的Internet出口处应当配置硬件的防毒网关,将网络病毒挡在“门”外,解决了软件防毒的“瓶颈”,以实现病毒防护的软硬兼施。
在校园网服务器上部署一套网络版的防病毒平台,它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,同时根据管理员控制台的设置,实现对整个防护系统的自动控制。通过系统中心可以实现整个信息网络防病毒策略的强制实施,以及通过其与Intemet的实时连接获得防病毒工具的最新病毒定义代码,确保以最快的响应速度完成整个信息网络病毒防护系统的自动升级工作。
严格要求每台接入校园网的终端必须安装有最新版本的防毒软件,才允许进入校园网络。
3.5 防病毒系统恢复体制
校园网的管理部门要严密注意国家计算机病毒应急处理中心的病毒疫情,及时做好预防工作,避免大规模疫情暴发,同时对各级网络及服务器系统做好系统恢复方案,当病毒爆发时。可尽快恢复系统,将损失降到最低。
3.6 机房重点防范
学校的计算机机房往往拥有上百台机器,使用频率较高,由于其特殊性,很容易大规模染毒,对校园网影响极大,必须实施有针对性的防病毒措施。机房计算机大多在学期开始前就统一安装操作系统和应用软件,并且使用了还原卡,在开机后对系统盘自动还原。
[参考文献]