導語：如何才能寫好一篇內(nèi)網(wǎng)信息安全管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：企業(yè)內(nèi)網(wǎng)；信息安全管理系統(tǒng)；設(shè)計；研究

網(wǎng)絡(luò)信息和計算機技術(shù)發(fā)展的背景下，為人們的工作帶來極大便利性，然而由于信息出現(xiàn)泄露的情況十分嚴重，這使得企業(yè)蒙受嚴重的損失。因此，這就需要企業(yè)不斷加強對信息安全的管理工作，從而更好地保護企業(yè)信息的安全性。尤其是企業(yè)中財務信息、高層機密決策以及技術(shù)信息等更是需要加強管理，這能夠充分保障企業(yè)發(fā)展所需要的優(yōu)勢資源。本文重點分析企業(yè)如何設(shè)計信息管理的系統(tǒng)，進一步提升企業(yè)中信息管理的可靠性。

1.闡述企業(yè)內(nèi)部對信息管理的情況

1.1企I缺乏監(jiān)控體系

目前，許多企業(yè)中在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接處基本依靠防火墻進行控制，而對企業(yè)中員工的上網(wǎng)行為則主要是依靠訪問管理的方式進行控制。然而這些防護方式并沒有對企業(yè)內(nèi)部信息實施有效的監(jiān)控，一旦受到來自外界干擾或者是外界系統(tǒng)對公司的入侵，極易造成企業(yè)中的信息發(fā)生泄漏的問題，因此，為了能夠更好地管理企業(yè)信息，就需要不斷提升監(jiān)控能力。

1.2企業(yè)缺乏安全管理機制

這主要表現(xiàn)在企業(yè)中沒有一個安全管理的機制，企業(yè)中對信息安全管理還處于初級認識階段。因此，在管理工作中沒有嚴格地監(jiān)控機制，從而導致了企業(yè)中的信息安全存在較大的威脅性。然而盡管有的企業(yè)對信息管理采取一定的措施，然而在管理方面的力度不夠，尤其對企業(yè)員工的管理沒有十分明確的制度規(guī)定，這一方面導致了企業(yè)員工對信息安全的認識度不高，另一方面對信息安全的保護力度不足，使得企業(yè)內(nèi)部信息受到極大的威脅。

1.3企業(yè)缺乏應急流程

目前，企業(yè)在信息安全保護工作中沒有一套有效的應急流程，一旦企業(yè)中發(fā)生信息問題，難以找到有效的負責人，這不僅沒有有效管理信息，而且也難以防止類似信息問題再次發(fā)生。尤其是信息管理的機房以及子系統(tǒng)中，實施遠程控制沒有取得顯著的效果，而發(fā)生信息問題時，也不能及時上報，從而延緩了信息問題處理的良好時機。

2.分析安全隱患

2.1操作系統(tǒng)存在安全隱患的問題

這主要是由于企業(yè)中許多員工在工作中操作系統(tǒng)方面沒有十分注意信息安全的問題，并認為只要電腦能夠正常使用，并且不影響自己的工作情況即可，而較少考慮自己信息安全方面的問題，所以這就導致了需要操作中出現(xiàn)信息泄露的問題，例如從不同的端口中出現(xiàn)黑客入侵的情況，從而導致了信息安全受到較大的影響。

2.2應用系統(tǒng)存在安全隱患的問題

由于企業(yè)中各個不用的工作種類對信息的需要量不同，因此，在信息管理方面也出現(xiàn)需要一定的困難，因為工作中所涉及的應用系統(tǒng)較多，而且其中的信息保密程度不同，所以一旦應用系統(tǒng)出現(xiàn)問題就會對信息安全帶來較大的威脅性。此外，由于應用系統(tǒng)具有不斷變化的特點，這對信息安全帶來一定的威脅。

2.3病毒侵害

目前，各種各樣的病毒入侵，對信息安全帶來較大的影響，而且這些病毒還有快速傳播的特點，因此，信息安全受到較大的威脅。此外，在傳播途徑方面出現(xiàn)的多樣化，也對信息安全產(chǎn)生了較大影響。例如通過郵件、下載以及移動設(shè)備等方式而攜帶病毒，從而對企業(yè)中的管理信息的系統(tǒng)造成不良影響。

3.分析信息管理系統(tǒng)設(shè)計

在文章中主要分析信息系統(tǒng)設(shè)計工作中通過客戶端和服務器端的模式而不斷提升信息系統(tǒng)的安全性，在這一模式下，可以通過服務器端和客戶端而對企業(yè)中的信息進行有效管理，這能夠更好地降低當前企業(yè)中信息安全的威脅度，同時也能夠有效提升企業(yè)中信息管理的工作效率。從當前市場上所流行的一些主流應用軟件可知，基本是分布式的模式發(fā)展較快，此外，在分散網(wǎng)絡(luò)以及終端設(shè)備方面也能夠通過組件的方式而不斷提升管理的效率，這就能夠在滿足企業(yè)對信息的需求情況。無論出于企業(yè)中的何種位置上，只要出于互聯(lián)網(wǎng)支持的背景下，都能夠隨意訪問企業(yè)內(nèi)部的系統(tǒng)，同時還能夠在各個應用系統(tǒng)中做到組件共享和系統(tǒng)升級。由此可知，運用客戶端和服務器端的方式就能夠更好地提升信息保護的能力，當企業(yè)工作人員對信息進行提取時，此時企業(yè)內(nèi)部的服務器就會接收對應的信息，然后經(jīng)過系統(tǒng)的處理，而將信息提取的結(jié)果有效反饋給信息需求者。當前企業(yè)中運用客戶端和服務器端的模式在信息管理工作中不斷提升了工作效率，同時也對信息安全保護帶來幫助。這種模式具有良好的交互性、安全性、響應快以及網(wǎng)絡(luò)負載較低等特點田，從而能夠提升信息數(shù)據(jù)的處理速度。

3.1分析系統(tǒng)工作的原理

在本次設(shè)計的信息管理系統(tǒng)中主要從如下三個不同部分共同組成，即控制端、客戶端以及服務器端。而在信息管理工作中的人員則需要按照三者不同的作用而控制好企業(yè)中內(nèi)網(wǎng)的情況，因此，這就需要安裝控制端、客戶端以及服務端，然后做好對企業(yè)中的信息工作。其中，在企業(yè)中的信息保護工作就需要在計算機中的客戶端做好控制，而系統(tǒng)中的客戶端則能夠加強控制，最后是存儲信息方面，計算機需要對計算機中的信息實施有效的保護，這對具有存儲功能的計算機而言，這一個服務項目就稱之為服務器端，它主要的作用就是能夠在數(shù)據(jù)庫中保護好客戶端中的信息，并能夠在日常監(jiān)控中記下監(jiān)聽日志。該信息管理的系統(tǒng)在實際工作中的操作方式是：

第一，做好數(shù)據(jù)源的統(tǒng)計工作，這主要是對客戶端中各種信息（包括軟硬件）、屏幕采集、信息數(shù)據(jù)以及監(jiān)聽日志做好統(tǒng)計工作；

第二，對不同的數(shù)據(jù)信息進行收集和整理，這主要是從服務段每天所收集的信息而進行分類處理，尤其是在對其中的不同的類型的信息都需要做好整理，從而能將數(shù)據(jù)劃分在對應的數(shù)據(jù)庫中，便于做好信息管理的工作；

第三，從信息管理系統(tǒng)中下載數(shù)據(jù)，這主要是從數(shù)據(jù)庫中對不同的信息數(shù)據(jù)進行下載和管理，并能夠?qū)⑦@些數(shù)據(jù)保存在對應的數(shù)據(jù)庫中，從能夠在為信息管理工作提供一定的指導依據(jù)；

第四，動作響應，這主要是對客戶端中的信息進行管理，此時工作人員可以從信息控制端中接收信息指令，然后根據(jù)系統(tǒng)中的掌握信息是否處于安全的環(huán)境下。例如通過網(wǎng)絡(luò)中所收集的信息，則能夠通過客戶端而更好地掌握網(wǎng)絡(luò)中的信息傳輸情況，從而幫助企業(yè)帶來良好的信息保護依據(jù)。通過分析上述信息實施的過程情況可知，客戶端屬于信息安全保護的重點內(nèi)容，主要的內(nèi)容模塊有：通信、安全策略、信息采集以及命令執(zhí)行。而在該系統(tǒng)中，服務器端則主要是對系統(tǒng)中的數(shù)據(jù)進行科學管理，其主要包括的內(nèi)容有：系統(tǒng)部署、信息服務、管理、信息匯總以及遠程安裝模塊。系統(tǒng)中的控制端主要是對管理人員而言的，它能夠為數(shù)據(jù)查詢工作提供幫助，同時更好地將數(shù)據(jù)信息傳遞給對應的工作人員，主要的模塊有：命令控制、通訊、策略配置以及圖形化。

3.2分析信息系統(tǒng)的功能設(shè)計情況

1）運行中系統(tǒng)資源的占用情況

這主要是因為系統(tǒng)通過屏幕錄制的模塊可以和計算機運行保持同步，所以在安全角度就需要做到完整性以及隱秘性，而屏幕錄制在運行時沒有占據(jù)較多的內(nèi)存，從而能夠充分保存計算機為日常工作提供便利性。從近年來發(fā)展情況可知，存儲技術(shù)在不斷進步，其中以大容量存儲設(shè)備最為顯著，通過這些大容量的設(shè)備而更好地滿足信息管理中對空間的需求情況。此外，通過壓縮的方式也可以釋放一定的內(nèi)存。

2）分析監(jiān)聽模塊

在本文中所設(shè)計的信息系統(tǒng)還增加了監(jiān)聽模塊，主要是從網(wǎng)絡(luò)流量的情況而做好信息保密工作。因此，在設(shè)計本系統(tǒng)中，還增加了一個管理信息管理的模K，主要是信息管理計算機進行監(jiān)聽，例如其中的網(wǎng)絡(luò)流量情況、數(shù)據(jù)傳輸速度以及信息的保密性等，經(jīng)過技術(shù)人員研究之后所得到本系統(tǒng)的功能如下：第一，系統(tǒng)對信息數(shù)據(jù)包的截獲情況，此時可以運用軟件對網(wǎng)絡(luò)中的信息進行監(jiān)測，然后通過信息源中的主機情況進行分析，從而能夠?qū)⑿畔闹鳈C服務口實施過濾，促成相關(guān)信息形成日志，第二，協(xié)議分析，這主要是針對信息傳輸工作中，主要是將數(shù)據(jù)信息轉(zhuǎn)化文字信息，同時能夠掌握好數(shù)據(jù)信息，從而便于工作人員提升對網(wǎng)絡(luò)性能的監(jiān)控能力，從而能夠?qū)W(wǎng)絡(luò)安全運行而提供良好的保障性。因此，在計算機中需要通過網(wǎng)絡(luò)正常的方式而提升信息的安全度。通過數(shù)據(jù)包的截獲，可以對其中的信息數(shù)據(jù)進行分析與匹配，工作人員就能夠從一些可以信息中找出可疑信息，進而能夠?qū)ΡＷo原始數(shù)據(jù)帶來幫助。

篇2

信息安全準則是風險評估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準則包括：根據(jù)企業(yè)業(yè)務目標執(zhí)行風險管理；有組織的確定員工角色和責任；對用戶和數(shù)據(jù)實行最小化權(quán)限管理；在應用和系統(tǒng)的計劃和開發(fā)過程中就考慮安全防護的問題；在應用中實施逐層防護；建立高度集成的安全防護框架；將監(jiān)控、審計和快速反應結(jié)合為一體。良好信息安全準則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門更好地對風險進行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標準，因此存在信息安全隱患。控制此類風險的手段主要有：對用戶賬戶使用硬件KEY等強驗證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠程接入控制。隨著VPN技術(shù)的不斷發(fā)展，遠程接入的風險已降低到企業(yè)的可控范圍，而近年來移動辦公的興起更是推動了遠程接入技術(shù)的發(fā)展。企業(yè)采用USBKEY，動態(tài)口令牌等硬件認證方式的遠程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過去，企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測到可疑傳輸行為時報警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門鐵克，思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。

（5）無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全，信息管理部門需要使用更新更安全的協(xié)議（如無線保護接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強對無線網(wǎng)絡(luò)的訪問控制。

2.2訪問控制

（1）密碼策略。高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進入公司到離職是一個完整的生命周期，要便捷有效地在這個生命周期中對員工的權(quán)限進行管理，需要企業(yè)具有完善的身份管理平臺，從而實現(xiàn)授權(quán)流程的自動化，并實現(xiàn)企業(yè)內(nèi)應用的單點登陸。

（3）公鑰系統(tǒng)。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊，無線網(wǎng)絡(luò)訪問授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平，因此企業(yè)應當部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計

（1）病毒掃描與補丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進行病毒自掃描，自動更新操作系統(tǒng)補丁，以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進行定制，在終端接入企業(yè)內(nèi)網(wǎng)時，終端管理系統(tǒng)會在隔離區(qū)域?qū)υ摻K端進行綜合評估打分，通過評估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過濾網(wǎng)關(guān)；郵件過濾網(wǎng)關(guān)；惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件。

（3）安全事件記錄和審計。企業(yè)應當配置日志審計系統(tǒng)，收集信息安全事件，產(chǎn)生審計記錄，根據(jù)記錄進行安全事件分析，并采取相應的處理措施。

2.4培訓與宣傳提高企業(yè)管理層和員工的信息安全意識，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會支持信息安全管理建設(shè)，用戶才會配合信息管理部門工作。利用定期培訓，宣傳海報，郵件等方式定期反復對企業(yè)用戶進行信息安全培訓和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

篇3

1.1信息化機構(gòu)建設(shè)不健全

電力企業(yè)很少為信息管理部門專門設(shè)置機構(gòu)，因而缺乏應有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下，甚至僅設(shè)置一個專責人員負責。信息化管理是一項系統(tǒng)性的工程，沒有專門的部門負責是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

1.2企業(yè)管理阻礙信息化發(fā)展

有些電力企業(yè)管理辦法革新緩慢，大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進的信息化設(shè)備，也只能受落后的企業(yè)管理模式所制約，無法發(fā)揮其應有的作用。

1.3網(wǎng)絡(luò)結(jié)構(gòu)不合理

電力企業(yè)大多將公司網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng)，兩種網(wǎng)絡(luò)之間實行物理隔離措施，但很多企業(yè)的網(wǎng)絡(luò)交換機是一臺二層交換機，決定了內(nèi)網(wǎng)和外網(wǎng)用戶在網(wǎng)絡(luò)中地位是平等的，導致安全問題只能靠完善管理系統(tǒng)去解決，給系統(tǒng)編寫帶來很多不必要的困難。

1.4身份認證缺陷

電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng)，而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級的授權(quán)，根據(jù)授權(quán)等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認證為基礎(chǔ)的信息訪問控制，但在當前的企業(yè)身份認證系統(tǒng)中大多存在缺陷和漏洞，給信息安全留下隱患。

1.5軟件系統(tǒng)安全風險較大

軟件系統(tǒng)安全風險指兩方面，一是編寫的各種應用系統(tǒng)可能有漏洞造成安全風險，二是操作系統(tǒng)本身風險，隨著近期微軟停止對windowsXP系統(tǒng)的服務支持，大量使用windowsXP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補，這無疑會給信息安全帶來極大風險。

1.6管理人員意識不足

很多電力企業(yè)員工網(wǎng)絡(luò)安全意識參差不齊，一方面是時代的迅速發(fā)展導致較年輕的管理人員安全意識較高，而對網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識較為缺乏；另一方面也有電力企業(yè)管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下，如果管理人員配備不當、信息管理系統(tǒng)設(shè)置不合理都會給企業(yè)信息埋下安全隱患。

2、電力企業(yè)網(wǎng)絡(luò)信息安全管理措施

要建立完善合理的網(wǎng)絡(luò)信息安全管理體系，需要各企業(yè)認清企業(yè)現(xiàn)狀，根據(jù)實際進行統(tǒng)一規(guī)劃，分部建設(shè)，保證建設(shè)內(nèi)容能科學有效的運行。

2.1加強信息安全教育培訓

不論計算機程序有多么先進多么完善，如果操作管理人員素質(zhì)和意識不足，那也不能保證企業(yè)信息化的安全。因此，實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全管理的根本在人，可以根據(jù)員工職責分層次進行培訓，一方面提高安全管理員工的專業(yè)知識水平及安全管理意識，另一方面加強對一線工作人員的安全意識教育，將網(wǎng)絡(luò)信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。

2.2完善管理制度建設(shè)

電力企業(yè)要把網(wǎng)絡(luò)信息安全管理視為一個系統(tǒng)工程來考慮，必須在企業(yè)內(nèi)部建立起合理而完善的管理制度，比如：加強網(wǎng)絡(luò)日志管理；對安全審計數(shù)據(jù)嚴格管理；在企業(yè)網(wǎng)絡(luò)上安裝病毒防護軟件；規(guī)定不能隨意在內(nèi)網(wǎng)主機上下載互聯(lián)網(wǎng)數(shù)據(jù)、不能在內(nèi)網(wǎng)計算機上隨意使用來歷不明的移動存儲設(shè)備等。

2.3不斷更新完善信息安全管理系統(tǒng)

大力推進信息安全新技術(shù)的探索和應用，建立信息安全防護體系，可以圍繞數(shù)據(jù)庫安全、數(shù)據(jù)備份和恢復、網(wǎng)絡(luò)服務完全、病毒防護系統(tǒng)的應用、數(shù)據(jù)加密技術(shù)及數(shù)據(jù)傳輸安全等方面建立一個多方面多層次聯(lián)合的技術(shù)安全體系，從而提高信息系統(tǒng)安全防護能力，確保企業(yè)信息安全可靠。

3、總結(jié)

篇4

關(guān)鍵詞：多層準入控制 內(nèi)網(wǎng)安全 合規(guī)管理

0 引言

重慶市電力公司教培中心學員培訓計算機房已經(jīng)使用多年，但是存在著不少安全問題，主要表現(xiàn)為：外來終端不難接入內(nèi)網(wǎng)，這樣就會使一些已經(jīng)感染了未知或新型病毒欺騙病毒的終端，使內(nèi)網(wǎng)受到病毒感染，直接威脅網(wǎng)絡(luò)的安全運行。在培訓學員時，沒有注意讓學員嚴格按照相關(guān)的規(guī)定對指定的防病毒軟件、桌面安全管理等安全軟件進行卸載，在安裝和運行游戲軟件、網(wǎng)絡(luò)視頻工具等其他可能存在安全隱患的軟件時也缺少相關(guān)的必要指導。內(nèi)網(wǎng)多使用的是以U盤為代表的移動存儲設(shè)備，這樣就不難導致病毒的侵襲或者是木馬傳播、泄露內(nèi)部重要數(shù)據(jù)和文件；同時U盤的廣泛使用也為機房組織考試增加了管理難度。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，特別是無線網(wǎng)絡(luò)互聯(lián)技術(shù)的飛快發(fā)展，使Internet的聯(lián)入擺脫了地域的限制，現(xiàn)在內(nèi)、外網(wǎng)在一定程度上實現(xiàn)了互通，一些不合法外聯(lián)事件也逐漸的增多了，這給企業(yè)核心業(yè)務系統(tǒng)的穩(wěn)定安全運行造成了很大的影響。接入內(nèi)網(wǎng)的終端，在未授權(quán)的情況下就可連接其內(nèi)部重要服務器，這樣給合法用戶的訪問帶來不同程度影響的同時，還可能成為來自內(nèi)部或外部的非法人員，以此為跳板，攻擊其內(nèi)部關(guān)鍵業(yè)務系統(tǒng)……

經(jīng)過一番認真的調(diào)查和仔細的研究，我們發(fā)現(xiàn)現(xiàn)有多于80%的安全事故是在內(nèi)網(wǎng)條件下出現(xiàn)的，在整個網(wǎng)絡(luò)安全管理中，在內(nèi)網(wǎng)的管理上還是很欠缺的。

1 內(nèi)網(wǎng)終端合規(guī)管理實施終端準入控制

經(jīng)過研究發(fā)信，強制內(nèi)網(wǎng)終端合規(guī)準入控制機制的建立，從終端系統(tǒng)啟動一直到終端之間互訪的安全接入實施有效地控制，從而實現(xiàn)對終端整個過程的管理與控制，還能夠?qū)K端安全狀態(tài)做好實時的監(jiān)控，并能夠進行修復，給內(nèi)網(wǎng)建立“終端安檢系統(tǒng)”，這樣，不管是終端用戶有意的還是無意的不按照內(nèi)網(wǎng)合規(guī)管理方案操作，這一管理系統(tǒng)就會自動開啟違規(guī)處理，對這些不按照相關(guān)規(guī)定進行操作的終端做出不同程度的處理，如提示、警告、自動修復或者是對終端進行安全隔離，但是違規(guī)終端會很好的保護網(wǎng)絡(luò)資源，更好的完成內(nèi)網(wǎng)合規(guī)管理。

從上面的分析中，我們制定了幾種內(nèi)網(wǎng)終端合規(guī)管理解決方案的原則：①終端接入內(nèi)網(wǎng)后，從網(wǎng)絡(luò)邊界、業(yè)務應用系統(tǒng)到其他客戶端做好控制。②終端接入內(nèi)網(wǎng)后，要對其強制執(zhí)行內(nèi)網(wǎng)合規(guī)管理策略。③監(jiān)控終端的全過程、動態(tài)的合規(guī)狀態(tài)，如果出現(xiàn)終端違規(guī)現(xiàn)象，就會對違規(guī)行為進行提示、警告、自動修復甚至對終端實施安全隔離。

2 能夠?qū)崿F(xiàn)合規(guī)管理無盲區(qū)，不妥協(xié)

構(gòu)筑多層準入的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)

基于以上原則，我們廣泛了解現(xiàn)在內(nèi)網(wǎng)終端安全管理市場，考察了多家國內(nèi)外專業(yè)安全廠商，深入了解和測試了多款這些廠家所提供的成熟和穩(wěn)定的內(nèi)網(wǎng)終端安全管理產(chǎn)品，最終決定跟國內(nèi)著名的安全公司“啟明星辰”合作，發(fā)展好內(nèi)網(wǎng)終端計算機的綜合信息中心，在合規(guī)管理平臺的運行上不斷創(chuàng)新，作為教培中心培訓機房的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)承載平臺，這樣就使得教培中心培訓機房擁有了全新的多層準入內(nèi)網(wǎng)安全管理體系架構(gòu)。

在多層準入控制的幫助下，我們能夠?qū)崿F(xiàn)以下準入控制流程：終端層網(wǎng)絡(luò)層應用層（包括客戶端準入、網(wǎng)絡(luò)準入和應用準入等）。

2.1 如果終端想借助交換機接入內(nèi)網(wǎng)

管理服務器可以跟接入層和匯聚層網(wǎng)絡(luò)設(shè)備聯(lián)動，控制那些想要連入內(nèi)網(wǎng)的終端網(wǎng)絡(luò)準入，不僅會對其進行嚴格的身份驗證，還要進行合理的合規(guī)檢查，我們要做到的是只允許合法的和安全的終端接入內(nèi)網(wǎng)。那些違規(guī)的或者是不合法的終端，系統(tǒng)會自動將其劃入修復區(qū)甚至是隔離。詳見下圖：

2.2 當接入網(wǎng)絡(luò)的終端試圖訪問內(nèi)網(wǎng)服務器或關(guān)鍵業(yè)務系統(tǒng)時

在內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)中，需要有一個特有準入控制組件—策略網(wǎng)關(guān)，把它安裝在企業(yè)網(wǎng)的重要服務器或者是關(guān)鍵業(yè)務系統(tǒng)上，這樣就能夠保障有效地控制終端應用層的準入，一旦出現(xiàn)不受控的終端或者是不合規(guī)的終端，就無法訪問該服務器或業(yè)務系統(tǒng)。

應用準入與網(wǎng)絡(luò)準入的主要區(qū)別：①在數(shù)據(jù)中心的服務器區(qū)就可實現(xiàn)應用準入，不涉及網(wǎng)絡(luò)環(huán)境，如果出現(xiàn)與網(wǎng)絡(luò)準入條件不相符合的情況，或者是由于內(nèi)網(wǎng)終端合規(guī)管理的現(xiàn)實情況，在網(wǎng)絡(luò)準入控制方面可以不必太嚴格，此時使用應用準入控制就可以，不必進行終端合規(guī)準入控制。②應用準入具有自動重定向功能，一旦發(fā)現(xiàn)未受控終端，以及不合規(guī)終端，系統(tǒng)就會出現(xiàn)相關(guān)的提示，通知其被攔截的消息，并告知其原因。而且在提示頁面中還能夠設(shè)置合規(guī)管理客戶端下載鏈接，這樣在很大程度上使系統(tǒng)維護人員的工作量變少了，使用戶的滿意程度不斷提高，使他們更樂于接受，進而實現(xiàn)了內(nèi)網(wǎng)合規(guī)的最佳效果。

2.3 當兩個終端相互之間進行訪問時

來訪的終端會受到合規(guī)受控的終端的客戶端準入控制，同時還要接受合規(guī)檢查，只有合規(guī)安全的終端才能進行訪問，如果是不合規(guī)的終端或者是不合法的終端都將無法訪問，這樣當那些感染了蠕蟲病毒的非受控終端想要對合規(guī)終端進行病毒感染時，就可以將其及時的切斷。

3 全面進入內(nèi)網(wǎng)終端合規(guī)管理

教培中心培訓機房首先完成構(gòu)建混合準入控制體系，然后充分考慮到內(nèi)網(wǎng)終端合規(guī)管理以及內(nèi)網(wǎng)安全等級保護的要求，編輯和下發(fā)了一些終端合規(guī)安全管理策略，通過對這些策略的認真執(zhí)行，使內(nèi)網(wǎng)終端的安全保護能力得到顯著提高，而且由于非安全終端造成的很多內(nèi)網(wǎng)安全問題也減少了很多，此外，不僅僅是教培中心培訓學員網(wǎng)絡(luò)安全防護等級提高了，而且信息安全管理水平也有了明顯的改善。

4 總結(jié)

教培中心培訓學員機房通過部署內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)，構(gòu)建多種準入控制手段混合共存的內(nèi)網(wǎng)終端合規(guī)準入管理體系，更好地實施內(nèi)網(wǎng)終端合規(guī)管理規(guī)范，在信息安全系統(tǒng)投資中收到最好的效益。

參考文獻：

[1]孫強，陳偉，王東紅著.信息安全管理：全球最佳實務與實施指南. 北京：清華大學出版社，2004.

篇5

遠望電子已獲得浙江省“雙軟企業(yè)”認定及國家級高新技術(shù)企業(yè)認證，是國家創(chuàng)新基金支持單位、浙江省軟件服務業(yè)重點扶持企業(yè)、“國家863信息系統(tǒng)安全等級保護產(chǎn)業(yè)技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟”成員、浙江省計算機學會信息安全專業(yè)委員會委員》。

遠望電子是浙江省信息安全標準化技術(shù)委員會委員、公安部《公安綜合信息安全管理平臺技術(shù)規(guī)范》主要起草單位，同時還是浙江省治安監(jiān)控網(wǎng)絡(luò)綜合保障系統(tǒng)行業(yè)標準》、工業(yè)和信息化部《信息安全技術(shù)政府部門信息安全管理指南》（國家標準），及全國信息安全標準化委員會《信息系統(tǒng)安全管理平臺產(chǎn)品技術(shù)要求和測試評價方法》（國家標準）參與起草單位。

遠望電子本著誠信為本的經(jīng)營理念，連續(xù)多年均被評為AAA級信用等級單位。

遠望電子與公安部第一研究所、公安部安全與警用電子產(chǎn)品檢測中心、西北工業(yè)大學、杭州電子科技大學等科研院所建立了長期友好合作關(guān)系，從而提升了公司的軟件研發(fā)、人力資源開發(fā)、人才培養(yǎng)和儲備能力。

遠望電子自主研發(fā)的信息與網(wǎng)絡(luò)安全管理平臺及監(jiān)管系統(tǒng)等在國內(nèi)二十余個省市的公安、法院、政府、保密等領(lǐng)域及大型企事業(yè)單位得到了廣泛應用。近年來，遠望電子開發(fā)的信息與網(wǎng)絡(luò)安全平臺已在浙江省公安廳及所屬116個單位全面部署應用。浙江省公安廳借助該平臺建立了較完善的信息安全綜合保障體系，連續(xù)五年在全國公安信息安全綜合評比中名列第一。

遠望信息與網(wǎng)絡(luò)安全管理平臺及監(jiān)管系統(tǒng)，融業(yè)務管理（規(guī)范、組織、培訓、服務）、工作流程、應急響應（預警、查處、通報、報告）和安全技術(shù)應用（監(jiān)測、發(fā)現(xiàn)、處置）為一體，集成了各類信息安全監(jiān)管、分析技術(shù)，實現(xiàn)了對網(wǎng)絡(luò)邊界安全、保密安全、網(wǎng)站安全、主機基礎(chǔ)安全，以及各類威脅信息安全的違規(guī)行為、資源占用行為等的有效監(jiān)測、處置和管理。

產(chǎn)品同時結(jié)合工作流技術(shù)，實現(xiàn)了監(jiān)測、警示、處置、反饋、考核五位一體安全管理工作模式，建立起長效的信息安全管理工作機制，并將其日?；⒊B(tài)化，實現(xiàn)了信息安全管理工作的信息化、網(wǎng)絡(luò)化。

遠望信息與網(wǎng)絡(luò)安全產(chǎn)品被列入“2010年度全國公安信息系統(tǒng)安全大檢查”指定檢查工具，并獲得公安部2011年科學技術(shù)獎。

遠望信息與網(wǎng)絡(luò)安全管理平臺及監(jiān)管系統(tǒng)針對安全風險產(chǎn)生的根源，對網(wǎng)絡(luò)中的安全事件和安全風險進行全程全網(wǎng)監(jiān)測、管控，在技術(shù)的層面上突破了網(wǎng)絡(luò)邊界的定位、信息的準確鑒別、網(wǎng)站的定位，以及應用分析和監(jiān)管等難題。

該平臺能對信息網(wǎng)絡(luò)進行全程全網(wǎng)實時監(jiān)管，全面、清晰掌握網(wǎng)絡(luò)系統(tǒng)狀況，及時發(fā)現(xiàn)并分析、處置各類安全事件和風險隱患。

篇6

醫(yī)院網(wǎng)絡(luò)信息安全與醫(yī)療衛(wèi)生服務質(zhì)量、效率息息相關(guān)，因此做好網(wǎng)絡(luò)信息安全防護體系建設(shè)有助于確保醫(yī)療信息安全與信息服務平臺應用，對于進一步提升醫(yī)療服務質(zhì)量至關(guān)重要。文章分析了我國醫(yī)院網(wǎng)絡(luò)信息安全防護體系現(xiàn)狀，并對醫(yī)院網(wǎng)絡(luò)信息安全防護體系的設(shè)計與應用進行了探討，希望能為醫(yī)療信息服務改革與創(chuàng)新提供參考。

關(guān)鍵詞：

醫(yī)院；信息安全；防護體系；設(shè)計

0引言

醫(yī)院作為提供醫(yī)療衛(wèi)生服務的主體，本身的發(fā)展關(guān)鍵在于做好綜合管理，信息平臺作為進行醫(yī)療服務、醫(yī)學研究、教學、對外交流宣傳等工作的主要陣地，建設(shè)與服務情況直接關(guān)系到醫(yī)院工作質(zhì)量與效率，因此建立完善的信息安全防護體系不僅可有效保障信息平臺運作的有效性，同時也可及時消除信息服務過程中出現(xiàn)的各類故障與問題，確保醫(yī)院工作順利進行。

1我國醫(yī)院網(wǎng)絡(luò)信息安全防護體系現(xiàn)狀分析

（1）安全需求。

醫(yī)院信息網(wǎng)絡(luò)安全防護涉及計算機、通信安全、信息安全、密碼、信息論、數(shù)論等多種專業(yè)知識與技術(shù)，計算機信息系統(tǒng)平臺的防護要做好到不因偶然或者故意的外界因素影響系統(tǒng)運行，保障信息的安全，減少信息丟失、受損、更改、泄露等，確保信息提供服務醫(yī)療工作的延續(xù)性、長期性、可用性與高效性，提升系統(tǒng)運行安全性與可靠性。結(jié)合我國信息安全防護規(guī)范與醫(yī)院醫(yī)療信息工作防護需求來看，技術(shù)層面上醫(yī)院網(wǎng)絡(luò)信息安全主要分為三個層次，一是硬件設(shè)施安全，包括計算機、網(wǎng)絡(luò)交換機、機房、線路、電源等物理設(shè)備在內(nèi)的設(shè)備安全，二是數(shù)據(jù)或應用安全，即軟件安全，保證信息系統(tǒng)相關(guān)軟件、程序、數(shù)據(jù)庫等操作的訪問安全，三是網(wǎng)絡(luò)與系統(tǒng)安全，即包括網(wǎng)絡(luò)通信、信息交換、信息應用、信息備份、計算機系統(tǒng)等在內(nèi)的系統(tǒng)平臺免受系統(tǒng)入侵、攻擊等影響。

（2）安全防護現(xiàn)狀。

目前國內(nèi)經(jīng)濟發(fā)達地區(qū)的二級醫(yī)院與三級醫(yī)院基本上已經(jīng)建立起了HIS系統(tǒng)與局域網(wǎng)，通過與因特網(wǎng)連接構(gòu)建服務院內(nèi)醫(yī)療工作的信息平臺，信息網(wǎng)絡(luò)運行遵照內(nèi)外網(wǎng)物理隔離形式，因此相對而言運行風險減小，在安全防護方面投入比例相對較低，不過面對越來越進步的醫(yī)療需求，實現(xiàn)內(nèi)外網(wǎng)合一成為必然，有助于構(gòu)建更為高效的醫(yī)療信息共享模式、預防傳染疾病、建立大范圍醫(yī)療服務體系等，但是內(nèi)外網(wǎng)合一將會面臨更多的安全風險與漏洞，因此加強安全防護體系建設(shè)迫在眉睫，是保證醫(yī)療信息安全與高效管理的必然舉措。醫(yī)院信息安全防護體系的建設(shè)面臨著來自安全管理、硬件軟件等多方面的風險，目前防護體系建設(shè)主要是通過升級硬件、軟件防護確保信息安全，通過加強人員管理與安全管理降低安全風險威脅，對于醫(yī)院醫(yī)療系統(tǒng)而言，隨著越來越多的信息化醫(yī)療設(shè)備、儀器、就醫(yī)人員等介入信息平臺，安全防護體系建設(shè)所面臨的風險與需求也將會越來越大，因此針對醫(yī)療信息安全需求做好防護體系的建設(shè)與推廣應用是目前進步發(fā)展的關(guān)鍵。

（3）信息安全建設(shè)問題。

當前醫(yī)院網(wǎng)絡(luò)信息安全問題已經(jīng)成為困擾信息系統(tǒng)平臺運行、應用的瓶頸，為了應對信息網(wǎng)絡(luò)時代頻繁的網(wǎng)絡(luò)攻擊與信息安全威脅，殺毒軟件、防火墻、入侵檢測技術(shù)、信息備份技術(shù)、數(shù)據(jù)庫安全技術(shù)等廣泛應用于醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)。上述技術(shù)雖然在確保網(wǎng)絡(luò)信息安全方面發(fā)揮了一定作用，但是同時也存在不足之處，就目前來看，我國醫(yī)院網(wǎng)絡(luò)信息安全防護體系還存在不少問題。醫(yī)院網(wǎng)絡(luò)信息安全防護系統(tǒng)使用的硬件、軟件產(chǎn)品因不屬于同一企業(yè)，在整合、規(guī)劃、管理中容易存在漏洞導致重復建設(shè)或者潛在安全風險等問題，影響信息系統(tǒng)安全。信息平臺的構(gòu)造與使用專業(yè)性要求較高，并且設(shè)備、軟件需進行專業(yè)整合，院內(nèi)桌面終端的分散與多邊、醫(yī)護人員水平高低、使用情況等都直接增加了信息安全防護的難度。目前醫(yī)院網(wǎng)絡(luò)信息安全防護系統(tǒng)的建設(shè)與應用缺乏統(tǒng)一的技術(shù)標準與規(guī)范，不利于信息技術(shù)的整合和信息平臺潛力的挖掘，一定程度上增加安全防護系統(tǒng)構(gòu)建與應用的難度。網(wǎng)絡(luò)信息技術(shù)的發(fā)展與安全防護本身處于此消彼長的態(tài)勢，在制定安全防護策略、構(gòu)建防護體系時必須做好與時俱進，最大限度的在降低經(jīng)濟成本的同時提升技術(shù)應用效率與效益。

2醫(yī)院網(wǎng)絡(luò)信息安全防護體系的設(shè)計與應用

（1）硬件設(shè)施建設(shè)。

醫(yī)院安全防護系統(tǒng)硬件設(shè)施建設(shè)關(guān)鍵要做好核心服務器、交換機、應用計算機、網(wǎng)絡(luò)設(shè)備等建設(shè)，硬件建設(shè)優(yōu)劣直接決定信息服務效果與質(zhì)量，是確保醫(yī)院信息平臺順利運行的關(guān)鍵物質(zhì)基礎(chǔ)，因此為提升防護穩(wěn)定性與可靠性，加強硬件設(shè)施建設(shè)勢在必行。硬件設(shè)施建設(shè)要從設(shè)備型號、性能等入手，配合網(wǎng)絡(luò)布局規(guī)劃、服務需求制定最佳建設(shè)方案。以機房設(shè)計為例，作為安全防護信息系統(tǒng)的神經(jīng)中樞，醫(yī)院至少要建立兩個A級標準機房作為主機房與備用機房，并對監(jiān)控間、設(shè)備間、空調(diào)電源間做好設(shè)計，比如空調(diào)電源間要做好精密控溫、恒溫恒濕、備用UPS電源等建設(shè)，并留有充足的后續(xù)設(shè)備空間，另外要著重做好消防安全工作。監(jiān)控間要應用專業(yè)的設(shè)備環(huán)境監(jiān)控系統(tǒng)及時掌握主機房環(huán)境變化，以便在意外發(fā)生時做到準確應對。硬件配備方面為滿足醫(yī)院工作網(wǎng)絡(luò)信息安全防護需求，要配備優(yōu)質(zhì)的設(shè)備以保證數(shù)據(jù)訪問效率，利用HIS服務器、PACS服務器等為實現(xiàn)辦公自動化、電子病歷、信息安全管理提供強勁動力；應用混合光纖磁盤陣列、近線存儲等完成海量數(shù)據(jù)的存儲、交換與備份，并采用核心交換機、光纖寬帶等構(gòu)件高性能網(wǎng)絡(luò)平臺，并在醫(yī)院內(nèi)部配備優(yōu)質(zhì)計算機服務終端。網(wǎng)絡(luò)布局方面，根據(jù)醫(yī)院性質(zhì)做好軍網(wǎng)、醫(yī)保專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)的聯(lián)合建設(shè)，內(nèi)網(wǎng)建設(shè)是關(guān)鍵部分，要著重加強安全防護建設(shè)，并留有網(wǎng)站備份與未來拓展空間，為醫(yī)院信息安全管理提供支持與保障。

（2）網(wǎng)絡(luò)系統(tǒng)安全建設(shè)。

醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全威脅主要來自于外部攻擊入侵或者網(wǎng)絡(luò)本身缺陷所導致的運行失誤、效率下降、系統(tǒng)崩潰等問題，攻擊入侵包括木馬病毒攻擊、系統(tǒng)漏洞等，因此要著重做好網(wǎng)絡(luò)安全防護與系統(tǒng)安全防護。網(wǎng)絡(luò)安全防護要根據(jù)醫(yī)院網(wǎng)絡(luò)性質(zhì)做好內(nèi)外網(wǎng)融合與統(tǒng)一，保證專網(wǎng)、軍網(wǎng)等介入內(nèi)網(wǎng)時受到物理防火墻、網(wǎng)閘的有效保護，屏蔽內(nèi)網(wǎng)信息、運行情況及結(jié)構(gòu)，有效預防、制止非法入侵及破壞行為，并且為了提升防護效果，要盡量配合網(wǎng)絡(luò)運行監(jiān)控系統(tǒng)以達到理想防護效果。系統(tǒng)安全防護需要建立完善的病毒防護體系，處理好系統(tǒng)終端計算機內(nèi)的病毒、木馬等，建立有效權(quán)限制度以達到保護信息、防護內(nèi)外入侵等行為，可通過采購企業(yè)版病毒防護軟件定期更新病毒庫達到自動殺毒維護安全效果；系統(tǒng)內(nèi)部防護安全與計算機個人網(wǎng)絡(luò)終端關(guān)系密切，因此要在院內(nèi)移動終端上增加桌面控制軟件以實施全面安全管理，通過系統(tǒng)補丁分發(fā)、端口訪問、安全準入等機制實現(xiàn)防護。

（3）數(shù)據(jù)應用安全。

數(shù)據(jù)應用安全關(guān)鍵要做好數(shù)據(jù)存儲、訪問、應用安全及信息系統(tǒng)軟件運行安全。數(shù)據(jù)存儲安全與系統(tǒng)環(huán)境、硬件設(shè)備、數(shù)據(jù)庫安全密切相關(guān)，因系統(tǒng)漏洞、硬件損毀、數(shù)據(jù)庫錯誤等造成數(shù)據(jù)毀壞要通過采取備份、恢復、數(shù)據(jù)容錯等舉措解決。為保證數(shù)據(jù)安全性與完整性，要建立數(shù)據(jù)庫本機與多機備份機制，尤其是核心數(shù)據(jù)庫要分別建立主、備用服務器，一旦其中之一發(fā)生意外立即采取補救措施實現(xiàn)自動切換，尤其是電子病歷要進行專業(yè)備份及歸檔，確保數(shù)據(jù)完整性與可用性。數(shù)據(jù)訪問安全問題主要以非法用戶訪問、非法篡改數(shù)據(jù)為主要表現(xiàn)，要完善醫(yī)院內(nèi)部訪問權(quán)限與身份準入系統(tǒng)，實現(xiàn)統(tǒng)一授權(quán)管理，以減少信息丟失、錯誤等情況。要對數(shù)據(jù)庫安全環(huán)境建設(shè)、應用軟件環(huán)境建設(shè)倍加關(guān)注，如lP±IE址的設(shè)置、數(shù)據(jù)庫配置、環(huán)境變量設(shè)置等，實現(xiàn)統(tǒng)一運行環(huán)境與地址綁定，降低安全運行風險。

（4）安全管理制度。

醫(yī)院內(nèi)部要做好信息安全管理制度的完善與執(zhí)行，根據(jù)國家政策、行業(yè)法規(guī)、院內(nèi)需求積極完善系統(tǒng)及數(shù)據(jù)應用，確保網(wǎng)絡(luò)信息安全防護系統(tǒng)始終維持良性運行狀態(tài)，為醫(yī)院安全建設(shè)奠定基石。要加強網(wǎng)絡(luò)安全值班制度建設(shè)，配備專業(yè)人員監(jiān)督網(wǎng)絡(luò)系統(tǒng)運行，并配備專業(yè)監(jiān)控系統(tǒng)及時處理各類問題與意外，對于問題嚴重者要及時通報技術(shù)科室進行維修養(yǎng)護，確保醫(yī)院信息系統(tǒng)始終處于24小時監(jiān)控維護下。值班管理中，要做好系統(tǒng)運行情況記錄，并進行數(shù)據(jù)備份，確保值班日記連貫、完整，為安全管理提供幫助。院內(nèi)用戶管理是安全管理另一重點，權(quán)限管理中要嚴格管理員權(quán)限準入機制，做好院內(nèi)計算機終端設(shè)備的改造，做好院內(nèi)工作人員專業(yè)培訓，以便實現(xiàn)用戶合法、合規(guī)訪問系統(tǒng)，減少系統(tǒng)運行與訪問風險，保證信息數(shù)據(jù)的安全性。

（5）應用實踐。

為了確保醫(yī)院網(wǎng)絡(luò)安全信息防護系統(tǒng)得到有效運行，在實際運營中要增加相應的運維管理系統(tǒng)與安全防護系統(tǒng)達到理想防護效果。比如在主機房設(shè)置機房動力與環(huán)境監(jiān)控系統(tǒng)，對機房準入權(quán)限、電源供應、通風、控溫、消防等情況進行監(jiān)控，確保機房始終維持在理想的恒溫、恒濕現(xiàn)狀，電壓、電流、頻率滿足需求，并將變化做好數(shù)據(jù)記錄監(jiān)控，為機房高效管理提供保障；在醫(yī)院內(nèi)網(wǎng)設(shè)置專門的安全防護系統(tǒng)，以規(guī)范約束院內(nèi)終端用戶操作與應用，避免非法訪問與數(shù)據(jù)篡改，該系統(tǒng)與院內(nèi)身份認證系統(tǒng)合作，通過靈活的安全策略實現(xiàn)對內(nèi)網(wǎng)用戶、終端計算機的安全管理，充分踐行事前預防、事中控制、事后審計的原則，實現(xiàn)安全行為管理；針對電子病歷管理，要建立專門的VERITAS存儲管理系統(tǒng)對病例數(shù)據(jù)進行存儲、備份與恢復，并根據(jù)備份策略做好病程文件的保護與恢復，以確保醫(yī)療工作的順利進行。

3結(jié)語

綜上所述，醫(yī)院網(wǎng)絡(luò)安全防護體系的建設(shè)與應用有助于降低醫(yī)院信息安全風險，提升信息系統(tǒng)可靠性、可用性與安全性，對于提升醫(yī)院醫(yī)療服務質(zhì)量與效果有積極意義，可有效減少院內(nèi)信息系統(tǒng)安全故障、降低安全運行風險，提升系統(tǒng)運行服務質(zhì)量，對于國內(nèi)醫(yī)療改革進步、創(chuàng)新有重要實用價值。

作者：朱凌峰 單位：湖南省衡陽市南華大學附屬第二醫(yī)院

參考文獻：

[1]胡祎.醫(yī)院信息網(wǎng)絡(luò)建設(shè)中的安全技術(shù)體系[J].網(wǎng)絡(luò)安全技術(shù)與應用,2013(10):59

篇7

伴隨信息技術(shù)的發(fā)展和高校信息化構(gòu)建的深入，高校對信息資源的應用越來越廣泛，關(guān)于信息安全問題已成為高校信息化構(gòu)建中的主要問題之一。對此，本文從內(nèi)外兩個角度對高校信息化構(gòu)建中產(chǎn)生的信息安全問題進行詳細分析，并究其原因，從管理和技術(shù)兩點提出有效的解決措施，為未來高校信息化構(gòu)建中的信息安全問題提供借鑒依據(jù)。

關(guān)鍵詞:

高校;信息化構(gòu)建;信息安全;措施;借鑒

0前言

所謂的高校信息化構(gòu)建，是高校結(jié)合自身發(fā)展，利用目前最新的信息技術(shù)來強化校園管理、加強服務質(zhì)量、提高教學效率和提升科研水平，從而促進高校教學流程的重組和管理職能的轉(zhuǎn)變，形成有效的教學管理體制，提升高校的綜合競爭力。就信息技術(shù)在高校信息化構(gòu)建中的具體應用而言，盡管其促進了教學模式和教學手段的改革，推動了高等教育的現(xiàn)代化發(fā)展，然而受互聯(lián)網(wǎng)開放性特征的影響，校園內(nèi)網(wǎng)極易遭遇黑客、病毒、惡意軟件等的非法入侵，嚴重危害了校園安全。由此可見，關(guān)于高校信息化建設(shè)中產(chǎn)生的信息安全問題的研究有一定的現(xiàn)實意義。

1目前高校信息化建設(shè)存在的信息安全問題及其產(chǎn)生原因

伴隨信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)已被廣泛運用于高校信息化構(gòu)建的各方面，比如教學資源管理系統(tǒng)、自動化辦公系統(tǒng)、考核評價系統(tǒng)和課件制作等，其都存在信息存儲、信息傳遞和信息運用等信息安全問題。如果數(shù)據(jù)庫中存儲的教學資料信息丟失、破壞或未及時傳遞，都會對高校教學活動的開展產(chǎn)生一定程度的影響。由此可見，加強高校信息化構(gòu)建的安全問題防范和管理有一定的現(xiàn)實意義。對此，我們要找出存在的信息安全問題及其產(chǎn)生原因。

1.1目前高校信息化構(gòu)建存在的信息安全問題

目前，高校信息化構(gòu)建存在的信息安全問題主要有外部威脅和內(nèi)部隱患兩種。外部威脅信息安全問題有:(1)計算機病毒，即某類人利用軟件或硬件自身的漏洞編寫的程序，影響計算機正常使用或者損壞數(shù)據(jù)庫信息，具有自我復制性。一般情況下，計算機病毒會潛藏在軟件程序或存儲媒介之中，在達到某些條件時會被激活，對其他軟件程序有自我傳播性，從而破壞數(shù)據(jù)庫信息。據(jù)有關(guān)數(shù)據(jù)調(diào)查，計算機病毒日益本土化、變化多端、潛藏性較強，且難以識別;(2)網(wǎng)絡(luò)攻擊，即利用互聯(lián)網(wǎng)的安全漏洞來對計算機軟硬件和數(shù)據(jù)庫信息發(fā)動攻擊，包括直接攻擊和間接攻擊兩種。其中，直接攻擊是網(wǎng)絡(luò)攻擊者有針對地訪問相關(guān)信息;間接攻擊有竊聽、拒絕服務等，會造成數(shù)據(jù)信息被篡改偽造或軟硬件故障等問題;(3)垃圾郵件，一些非法入侵人員會利用校園服務器向?qū)W校師生發(fā)送垃圾郵件，過分占用網(wǎng)速，增加了校內(nèi)服務器管理人員的工作量。尤其是在大量郵件發(fā)送至同一郵箱的情況下，收件箱會嚴重堵塞而癱瘓，導致信息泄露。除此之外，郵件的收發(fā)需要通過不同的路由器來實現(xiàn)，非法人員很可能會在該過程竊取郵件，導致信息泄露;(4)惡意軟件，高校教務人員或?qū)W生可能在瀏覽網(wǎng)頁時被迫下載安裝一些廣告軟件、不良插件等，便于非法人員的入侵;(5)偶然性事故，比如火災、偷竊等。盡管這類事故發(fā)生概率較小，但其發(fā)生造成的損失難以估測。內(nèi)部隱患信息安全問題有:(1)管理方面。當前，高校信息化管理水平較低，導致信息安全風險較高。雖然高校管理層已認識到信息化建設(shè)的意義，然而未正確認識管理理念對信息化構(gòu)建的影響，仍然采取傳統(tǒng)的管理方式，同時高校學生流動性較大，尚為建立有效的信息安全權(quán)限管理制度，高校信息極易泄露;(2)人員方面。關(guān)于高校信息化構(gòu)建，校教務人員、學生的信息安全意識薄弱，未意識到信息安全保護的重要性。并且隨著高校信息化應用水平的提升，而教務人員的專業(yè)水平仍停留在之前的狀態(tài)，一些不正確的操作會對校園內(nèi)網(wǎng)構(gòu)成威脅;(3)資金方面。高校信息化構(gòu)建是一項龐大的工程項目，無論是軟硬件的配置，還是信息化系統(tǒng)的運轉(zhuǎn)和管理，都需大量資金來維持。然而，大部分高校對信息化構(gòu)建的資金投入不充分，更不用提及信息安全。(4)軟件方面。任何操作系統(tǒng)都不可能是完美的，校園內(nèi)網(wǎng)也不例外，極易受到非法入侵，導致信息泄露。另外，教學過程中使用的教學管理軟件也存在一定的缺陷;(5)硬件方面。高校信息化構(gòu)建中常見的硬件問題有機房故障、線路故障、電源故障和硬件故障四種。

1.2高校信息化構(gòu)建信息安全問題的產(chǎn)生原因

(1)信息安全意識薄弱，管理制度不完善高校相關(guān)人員一般存在以下兩種想法:第一，高校有形資產(chǎn)比信息資產(chǎn)重要;第二，信息安全問題不會帶來嚴重的后果。因此，高校管理人員難以從戰(zhàn)略角度來研究信息安全問題，從而影響高校信息化構(gòu)建的深入。另外，一些高校信息安全管理體制不完善，過于強調(diào)信息建設(shè)，忽視信息管理。(2)人才缺乏，技術(shù)落后高校信息管理人才的素養(yǎng)對高校信息系統(tǒng)的安全有重要影響。據(jù)有關(guān)數(shù)據(jù)表明，當前我國高校內(nèi)網(wǎng)極易被非法攻擊的主要原因是系統(tǒng)管理者未及時完善系統(tǒng)漏洞。除此之外，和發(fā)達國家比較，盡管國內(nèi)信息技術(shù)已有明顯發(fā)展，然而網(wǎng)絡(luò)技術(shù)仍比較落后，在技術(shù)上難以保證高校信息系統(tǒng)的安全性。

2高校信息化構(gòu)建信息安全問題的解決措施

2.1管理方面

(1)完善高校信息安全管理制度。關(guān)于計算機信息系統(tǒng)安全管理，技術(shù)和工具只是輔助方式，有效的管理制度才是保證網(wǎng)絡(luò)信息安全的重要因素。對此，高校要明確信息安全目的，建立有效健全的信息安全管理制度，比如權(quán)限設(shè)置、密碼管理、病毒防范等;建立合理的人員安全管理制度，公開人員招聘、考核等標準，定期安排人員教育培訓;完善信息安全責任制和監(jiān)督檢查制度，做到權(quán)責分明，自我約束，定期檢查，提高高校信息構(gòu)建的信息安全;(2)重視高校相關(guān)人員的安全教育培訓，強化安全觀念，明確安全責任。事實上，高校信息資產(chǎn)對高校信息化構(gòu)建有很大程度的影響，而高校信息化構(gòu)建對高校管理水平和整體競爭力有重要影響，甚至會決定高校的未來發(fā)展。由此可見，高校管理層要從戰(zhàn)略角度認識信息安全，重視信息安全預防工作的開展，強化相關(guān)人員的專業(yè)素養(yǎng)和安全意識，從而最大限度保證高校信息安全，推動高校信息化構(gòu)建的深入;(3)堅持不斷改進、完善信息安全系統(tǒng)。目前，網(wǎng)絡(luò)技術(shù)發(fā)展快速，信息安全系統(tǒng)開發(fā)的復雜程度導致其各種問題的產(chǎn)生，沒有一個信息安全系統(tǒng)能徹底預防各種信息安全威脅。因此，要建立信息安全評估體制，定期對高校校園網(wǎng)安全情況進行評估，找出其缺陷和漏洞，不斷改進、完善信息安全系統(tǒng)，從而預防信息安全問題;(4)強化存儲設(shè)備的安全管理?？赏ㄟ^限制移動設(shè)備或接口的方式來預防U盤、硬盤、光盤等偷取信息;還可通過限制共享來預防筆記本電腦以對等網(wǎng)形式來竊取信息。另外，還可對用戶訪問校內(nèi)資源的權(quán)限進行嚴格控制，來避免非法用戶的侵入。

2.2技術(shù)方面

就技術(shù)層面而言，一般是通過對高校信息化構(gòu)建的有關(guān)設(shè)備安裝防病毒軟件、設(shè)置防火墻、入侵檢測等方式來消除技術(shù)方面的信息安全問題。(1)安裝防病毒軟件。計算機病毒的出現(xiàn)對許多網(wǎng)絡(luò)用戶帶來的損失難以估量，并且隨著信息技術(shù)的發(fā)展，計算機病毒也日益復雜化，對高校信息化構(gòu)建的威脅較大。當前，關(guān)于計算機病毒的防范，大多采取安裝防病毒軟件的方式，比如金山毒霸、諾頓、360安全衛(wèi)士等，定期對設(shè)備下載的應用程序、文檔資料、移動設(shè)備進行病毒查殺，同時不斷升級防病毒軟件來改進軟件漏洞和缺陷。防病毒軟件通常包含單機版和聯(lián)機版兩種，前端是安裝于單臺計算機，對本地資源進行病毒查殺，后者是針對網(wǎng)絡(luò)病毒，對聯(lián)網(wǎng)資源進行病毒查殺。(2)設(shè)置防火墻。防火墻是采取隔離網(wǎng)絡(luò)拓撲結(jié)構(gòu)和服務類型的方式來提高網(wǎng)絡(luò)安全，其保護對象是具有閉合界限的網(wǎng)塊，而防范的是外部入侵的安全威脅。高校防火墻設(shè)置在內(nèi)網(wǎng)和外網(wǎng)之間，通過控制訪問來篩選存在安全威脅的服務，將危險服務隔離在內(nèi)網(wǎng)之外，并對訪問記錄進行記錄監(jiān)控，形成日志記錄，從而提高校園內(nèi)網(wǎng)的安全系數(shù)。(3)入侵檢測。所謂的入侵檢測，是識別非法使用計算機本地和網(wǎng)絡(luò)資源的檢測系統(tǒng)。其是關(guān)于防火墻的補充，主要負責識別外部非法入侵和內(nèi)部越權(quán)行為，一旦有不正當行為的出現(xiàn)，會立即采取阻斷行為，同時追蹤攻擊源頭。

3結(jié)語

總之，伴隨信息技術(shù)的不斷發(fā)展，關(guān)于校園信息安全防范體制的構(gòu)建不可能是一次實現(xiàn)的，新的信息安全問題會不斷出現(xiàn)，關(guān)于高校信息化構(gòu)建中產(chǎn)生的信息安全問題將日益復雜化。對此，高校要結(jié)合自身發(fā)展，從管理和技術(shù)兩方面來加強高校信息化管理，保證教學設(shè)備和教學手段的及時更新，強化教務人員的信息安全意識，同時要引進專業(yè)信息化人才來保證高校信息安全防范體制的良好運轉(zhuǎn)。由此可見，關(guān)于高校信息化構(gòu)建中產(chǎn)生的信息安全是高校信息化發(fā)展的永久性研究課題。

作者：王曉磊 單位：黑龍江中醫(yī)藥大學

參考文獻

［1］孫海玲．高校信息化建設(shè)的現(xiàn)狀與對策探索［J］．產(chǎn)業(yè)與科技論壇，2015(19)．

［2］張園園，劉睿．我國民辦高校信息化建設(shè)的現(xiàn)狀及策略研究［J］．吉林華橋外國語學院學報，2013(02)．

［3］農(nóng)業(yè)團．對高校信息化建設(shè)的若干思考［J］．科技信息，2013(15)．

［4］胡海英．云計算在高校信息化建設(shè)中的運用［J］．軟件，2014(01)．

［5］史曉卓，付鵬．高校信息化建設(shè)現(xiàn)存問題的探討［J］．電子技術(shù)與軟件工程，2014(03)．

［6］袁清．高校信息化建設(shè)的“云”之路［J］．信息化建設(shè)，2013(11)．

［7］曹麗蓉．高校信息化建設(shè)相關(guān)性探究［J］．數(shù)字技術(shù)與應用，2013(03)．

［8］孫海玲．美國高校信息化建設(shè)啟示［J］．教育與職業(yè)，2013(28)．

［9］趙小剛．淺談高校信息化建設(shè)現(xiàn)狀與發(fā)展趨勢［J］．江蘇科技信息，2013(20)．

［10］季云．高校信息化建設(shè)的問題與對策［J］．常州信息職業(yè)技術(shù)學院學報，2012(05)．

［11］王任．云計算在高校信息化建設(shè)中的意義［J］．數(shù)字技術(shù)與應用，2012(01)．

［12］董日波．基于云計算的高校信息化建設(shè)［J］．電腦編程技巧與維護，2012(08)．

［13］李煒．論高校信息化建設(shè)與高校核心競爭力提升［J］．教育教學論壇，2012(23)．

篇8

關(guān)鍵詞：企業(yè)內(nèi)網(wǎng)，安全，管理策略

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)08-1pppp-0c

1 引言

內(nèi)網(wǎng)安全理論的提出是相對于傳統(tǒng)的網(wǎng)絡(luò)安全而言的。在傳統(tǒng)的網(wǎng)絡(luò)安全威脅模型中，假設(shè)內(nèi)網(wǎng)的所有人員和設(shè)備都是安全和可信的，而外部網(wǎng)絡(luò)則是不安全的。基于這種假設(shè)，產(chǎn)生了防病毒軟件、防火墻、IDS等外網(wǎng)安全解決方案，部署在內(nèi)網(wǎng)和外網(wǎng)之間的邊界，防外為主。這種解決策略是針對外部入侵的防范，對于來自網(wǎng)絡(luò)內(nèi)部的對企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護卻無任何作用。

但是，隨著各單位信息化程度的提高以及用戶計算機使用水平的提高，安全事件的發(fā)生更多是從內(nèi)網(wǎng)開始，由此引發(fā)了對內(nèi)網(wǎng)安全的關(guān)注。對于那些需要經(jīng)常移動的終端設(shè)備在安全防護薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會有人私自以Modem 撥號方式、手機或無線網(wǎng)卡等方式上網(wǎng)，而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務器宕機以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究表明:超過80%的信息安全隱患來自組織內(nèi)部,而大多數(shù)公司都沒有設(shè)置相應的工具來監(jiān)視和檢測內(nèi)部資源的使用和濫用。相對于外網(wǎng)安全來自互聯(lián)網(wǎng)的威脅，內(nèi)網(wǎng)安全的重點是數(shù)據(jù)和信息的安全，而這些數(shù)據(jù)和信息，才是企業(yè)真正有價值的資源。

2 企業(yè)內(nèi)網(wǎng)安全隱患分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進行交互的窗口，同時也為企業(yè)外部提供了進入企業(yè)最核心地帶―企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導致企業(yè)安全策略不能真正的得到很好的落實，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。內(nèi)網(wǎng)安全威脅主要包括如下幾個方面：

2.1 網(wǎng)絡(luò)病毒

目前企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到最多的安全威脅來自計算機病毒，病毒的傳播形式越來越復雜、傳播的速度越來越快，影響范圍越來越大，其造成的損失已不僅限于個人計算機系統(tǒng)，還可以造成服務器系統(tǒng)癱瘓、主干網(wǎng)絡(luò)擁堵，甚至崩潰。在企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中存在網(wǎng)絡(luò)病毒對郵件服務器及個人操作系統(tǒng)的破壞，以及網(wǎng)絡(luò)病毒造成的網(wǎng)速變慢，系統(tǒng)無法正常響應等情況，并且在病毒發(fā)作時不能及時處理，難以快速發(fā)現(xiàn)被病毒感染機器的IP地址。

2.2 非法入侵

網(wǎng)絡(luò)黑客對內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊隨時都可能發(fā)生。因此，通常首要考慮的問題是如何有效地防范來自外部的攻擊。來自外部的攻擊通常只會影響采用合法IP地址的網(wǎng)絡(luò)設(shè)備及服務器，或者說它們只對Internet上的可見設(shè)備進行攻擊。但是這并非就意味著網(wǎng)絡(luò)內(nèi)部采用保留IP地址的網(wǎng)絡(luò)就不會受到攻擊。企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)用戶較多，安全系統(tǒng)參差不齊，缺乏統(tǒng)一有效的控制手段。因此，在考慮外部入侵的同時，也要考慮來自Intranet內(nèi)部的安全威脅。

2.3 系統(tǒng)安全漏洞、補丁修補不及時

隨著各類網(wǎng)絡(luò)和操作系統(tǒng)軟件的不斷更新和升級，由于邊界處理不善和質(zhì)量控制差等綜合原因，網(wǎng)絡(luò)和系統(tǒng)軟件存在越來越多的缺陷和漏洞，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標和有利條件。網(wǎng)絡(luò)入侵行為的成功大多是利用了網(wǎng)絡(luò)系統(tǒng)的安全漏洞，這些漏洞包括安全管理的漏洞、操作系統(tǒng)的漏洞、數(shù)據(jù)庫系統(tǒng)的漏洞、應用系統(tǒng)的漏洞、網(wǎng)絡(luò)管理的漏洞等。如果不及時修補補丁，其相關(guān)的漏洞就可能會被隨之而來的攻擊手段所利用，給整個計算機網(wǎng)絡(luò)的安全性帶來威脅。在實施網(wǎng)絡(luò)安全策略時，很重要的一步就是查清各種漏洞并及時彌補。在上述所有漏洞中，操作系統(tǒng)漏洞及數(shù)據(jù)庫系統(tǒng)漏洞多被外部黑客所利用，而來自內(nèi)部的黑客則可能利用所有的漏洞。

2.4 IP地址管理和非法內(nèi)聯(lián)外聯(lián)問題

企業(yè)內(nèi)部網(wǎng)絡(luò)由于沒有嚴格的管理策略，IP地址使用存在一定混亂，部分員工隨意設(shè)置IP地址，造成IP地址沖突，甚至導致關(guān)鍵設(shè)備的工作異常。一旦出現(xiàn)惡意盜用、冒用IP地址以謀求非法利益，后果將更為嚴重。

另外企業(yè)辦公樓層規(guī)?；木W(wǎng)絡(luò)接口方便了員工接入網(wǎng)絡(luò)，同時也方便了外來計算機接入網(wǎng)絡(luò)，接入內(nèi)網(wǎng)的計算機應該是專門用于完成業(yè)務工作且經(jīng)過認可的計算機。但是存在著用戶利用這些計算機設(shè)備進行其它活動, 或使用未經(jīng)確認許可的計算機接入內(nèi)網(wǎng)，管理人員對此類情況難以判定并加以監(jiān)視和控制，造成內(nèi)網(wǎng)安全的極大隱患。

隨著企業(yè)信息化工作的開展和不斷深化，越來越多的企業(yè)信息通過網(wǎng)絡(luò)溝通、共享和保存。這些信息和數(shù)據(jù)既包含業(yè)務數(shù)據(jù)，也包括財務憑證、報表以及人事檔案資料、公司內(nèi)部公文，還包括合作伙伴的結(jié)算信息。這些信息有些是供電企業(yè)的行業(yè)機密和商業(yè)機密，有些用于企業(yè)的規(guī)范管理，有些用于輔助決策，它們對企業(yè)的生存和發(fā)展起到至關(guān)重要的作用。因此，管理信息系統(tǒng)的安全保密性成為系統(tǒng)開發(fā)中必須著重考慮的問題。這些機密數(shù)據(jù)和文件的外泄，造成的影響和危害非常嚴重，由于部分特定行業(yè)的特殊性，其造成的危害往往還涉及到國家的利益，因此嚴禁網(wǎng)絡(luò)和專有網(wǎng)絡(luò)與Internet互聯(lián)。

2.5缺乏有效監(jiān)控措施

目前一般企業(yè)內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間采用物理隔離的安全措施，在一定程度上保證了內(nèi)部網(wǎng)絡(luò)的安全性，但是各類網(wǎng)絡(luò)基礎(chǔ)信息采集不全。大型計算機網(wǎng)絡(luò)的管理應該以基礎(chǔ)信息的管理為核心, 信息管理中心如果對所管轄網(wǎng)絡(luò)的用戶和資源狀況難以掌握, 對整個網(wǎng)絡(luò)的管理工作也就無從談起, 在發(fā)生違規(guī)事件時也很難及時將問題定位到具體的用戶。網(wǎng)絡(luò)安全存在著“木桶”效應，整個網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶，單個用戶計算機的安全性不足，時刻威脅著整個計算機網(wǎng)絡(luò)的安全。常見的防火墻、入侵檢測等系統(tǒng)主要針對的是網(wǎng)絡(luò)運行安全，對于終端用戶的監(jiān)控始終是網(wǎng)絡(luò)安全管理中的薄弱環(huán)節(jié)，對網(wǎng)絡(luò)內(nèi)部的安全威脅缺乏防護、監(jiān)控和審計機制。

3 企業(yè)內(nèi)網(wǎng)安全管理策略

企業(yè)內(nèi)網(wǎng)安全管理策略能夠極好地解決網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全管理問題，通過對終端節(jié)點進行嚴防死守，對網(wǎng)絡(luò)層面進行系統(tǒng)聯(lián)動，對內(nèi)網(wǎng)平臺進行整合管理，從而為企業(yè)提供一個自防御的內(nèi)網(wǎng)安全管理平臺，為網(wǎng)絡(luò)管理員展現(xiàn)一個安全的、易使用的環(huán)境，幫助企業(yè)解決大量的內(nèi)網(wǎng)安全隱患問題。

3.1 資產(chǎn)管理

資產(chǎn)管理模塊自動收集被管理的計算機全面的軟硬件信息，包括：計算機名、品牌、硬盤型號及大小、CPU、內(nèi)存等配置信息；此外，還能定義包含合同采購保修在內(nèi)的全面資產(chǎn)維護信息及使用者狀態(tài)，自動收集計算機安裝的各種應用軟件，并根據(jù)需要動態(tài)導出管理報表。

3.2 進程管理

網(wǎng)絡(luò)聊天軟件、股票軟件、網(wǎng)絡(luò)電影軟件等現(xiàn)象在辦公室蔓延令許多管理者頭痛，通過進程管理模塊，能實時監(jiān)控與查殺企業(yè)內(nèi)部任何計算機當前運行進程，并通過黑白名單功能切實保障非法進程無法運行，此外還能對特殊進程設(shè)置詳細說明信息，使計算機只運行指定的應用程序，規(guī)范桌面應用程序環(huán)境。

3.3 補丁管理及軟件分發(fā)

不同版本的操作系統(tǒng)，不同應用軟件專用補丁，龐大的計算機數(shù)量，僅僅依靠著網(wǎng)絡(luò)維護管理人員手工安裝的解決辦法，只能讓網(wǎng)絡(luò)維護管理人員疲于奔命。系統(tǒng)補丁自動管理功能為補丁的自動安裝及升級提供了解決方案；此外，通過系統(tǒng)軟件分發(fā)功能，可以定制分發(fā)任務，從而極大地提高工作效率。

3.4 網(wǎng)絡(luò)訪問管理

網(wǎng)絡(luò)訪問管理可以部署企業(yè)內(nèi)部計算機的網(wǎng)絡(luò)訪問規(guī)則，只允許或禁止某些計算機訪問特定的資源。例如一般員工不能訪問部門領(lǐng)導級的計算機資源、不能訪問內(nèi)部重要數(shù)據(jù)服務器等；另外，可以限制員工只能使用某些網(wǎng)絡(luò)，或者只允許或禁止某些端口，從而合理地規(guī)劃內(nèi)網(wǎng)計算機的網(wǎng)絡(luò)資源訪問。

3.5 遠程維護管理

企業(yè)跨樓層、跨地域的內(nèi)部網(wǎng)絡(luò)使得維護工作越來越繁瑣。遠程維護模塊基于Java組件的實現(xiàn)方式，通過Internet Explorer瀏覽器讓網(wǎng)絡(luò)維護管理人員對計算機桌面遠程接管，并且能提供連接時限的設(shè)置和分級授權(quán)等功能讓遠程維護管理省時省心。

3.6 外設(shè)管理

針對企業(yè)內(nèi)的一些特殊業(yè)務要求，網(wǎng)絡(luò)維護管理人員必須全部或部分禁止外部設(shè)備，相比較于對計算機進行硬件拆卸、外設(shè)端口貼封條的傳統(tǒng)方法，內(nèi)網(wǎng)安全管理解決方案的外設(shè)管理功能通過USB存儲設(shè)備的控制策略、USB接口的鍵盤鼠標等輸入設(shè)備例外管理策略及各種光驅(qū)、軟驅(qū)等驅(qū)動器的控制策略完美地解決了上述問題。

3.7 桌面設(shè)置管理

由于非法修改IP地址，而造成網(wǎng)絡(luò)沖突和網(wǎng)絡(luò)安全隱患。針對此種情況，桌面設(shè)置功能提供是否允許管理共享控制、開Guest賬號及自動登錄等功能，并通過IP地址與計算機綁定功能，實現(xiàn)IP地址和網(wǎng)卡MAC地址的捆綁，機器就無法再更改IP地址，有效地控制網(wǎng)絡(luò)內(nèi)計算機的網(wǎng)絡(luò)行為。

3.8 系統(tǒng)預警管理

如何進行全方位的系統(tǒng)預警是企業(yè)信息安全非常重要的一環(huán)。預警管理功能可以定義異常事件并及時向網(wǎng)絡(luò)維護管理人員進行警告，它提供對一些特殊TCP/UDP端口訪問的告警及非法外聯(lián)警告，讓網(wǎng)絡(luò)維護管理人員實時地了解每臺計算機的系統(tǒng)狀態(tài)，及時地掌握網(wǎng)絡(luò)數(shù)據(jù)，從而有充分的準備來應付可能的突發(fā)事件。

3.9 接入安全控制

企業(yè)越來越難以在保持網(wǎng)絡(luò)資源可用性的同時確保企業(yè)網(wǎng)絡(luò)的接入安全，接入安全控制功能提供了對非法接入計算機、卸載關(guān)鍵軟件等進行了阻斷或重定向等管理手段，使企業(yè)業(yè)務數(shù)據(jù)不輕易泄露，對私自改變IP地址和安裝非法軟件等安全隱患進行更加有效的預防。

4 結(jié)束語

網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都會導致全網(wǎng)的安全問題，我們應該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施，必須從網(wǎng)絡(luò)、計算機操作系統(tǒng)、應用業(yè)務系統(tǒng)甚至系統(tǒng)安全管理規(guī)范、使用人員安全意識等各個層面統(tǒng)籌考慮。內(nèi)網(wǎng)安全問題在安全體系中是至關(guān)重要的環(huán)節(jié)，解決內(nèi)網(wǎng)安全問題必須從規(guī)劃內(nèi)網(wǎng)資源、規(guī)范內(nèi)網(wǎng)行為、防止內(nèi)網(wǎng)信息泄露等多方面入手，構(gòu)建有效的企業(yè)內(nèi)網(wǎng)安全管理策略，這樣才能真正保證整個網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻：

[1]葉代亮,孫鈺華.內(nèi)網(wǎng)的安全管理[J].計算機安全,2006.1.

[2]寧潔.內(nèi)網(wǎng)安全建設(shè)的問題分析與解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應用,2006.10.

[3]宋弘,薛雯波.構(gòu)建內(nèi)網(wǎng)安全體系的幾個要點[J].計算機與網(wǎng)絡(luò),2005.18.

[4]馬先.信息網(wǎng)絡(luò)安全防護分析[J].青海電力,2006.3.

[5]王為.內(nèi)部網(wǎng)絡(luò)中客戶端計算機安全策略[J].計算機安全,2006.10.

[6]劉曄,彭宗勤,志.淺論威脅企業(yè)網(wǎng)絡(luò)信息安全的因素及防范對策[J].集團經(jīng)濟研究,2007.5.

[7]王迎新,牛東曉.電力企業(yè)網(wǎng)絡(luò)信息安全管理研究[J].中國管理信息化(綜合版),2007.3.

篇9

1.1對網(wǎng)絡(luò)環(huán)境的規(guī)范作用

隨著計算機網(wǎng)絡(luò)技術(shù)的廣泛應用,網(wǎng)絡(luò)己經(jīng)成為我國國民生活的一部分,信息傳播速度的不斷提升和觀念交流的及時有效逐漸的形成了對網(wǎng)絡(luò)環(huán)境的威脅。網(wǎng)絡(luò)環(huán)境是確保網(wǎng)絡(luò)信息安全、健康的基礎(chǔ),只有確保網(wǎng)絡(luò)環(huán)境的清潔,網(wǎng)民的信息安全才有所保障。推進內(nèi)網(wǎng)信息安全保障體系的建設(shè)對網(wǎng)絡(luò)環(huán)境有一定的規(guī)范作用。首先,內(nèi)網(wǎng)信息安全保障體系是針對網(wǎng)絡(luò)信息安全這項內(nèi)容的,而該項內(nèi)容是網(wǎng)絡(luò)環(huán)境中極為重要的部分,網(wǎng)民之間的信息交流構(gòu)成網(wǎng)絡(luò)環(huán)境的基礎(chǔ)。保障體系的建立能夠有效地提高網(wǎng)絡(luò)環(huán)境的清潔力度。其次,內(nèi)網(wǎng)信息安全保障體系的建立有利于加強局域網(wǎng)絡(luò)的穩(wěn)定性,減少因網(wǎng)絡(luò)故障導致的全網(wǎng)癱瘓。

1.2對用戶信息安全的保障作用

網(wǎng)絡(luò)用戶的信息安全一直都是網(wǎng)絡(luò)平臺信息管理者需要關(guān)注的重點。隨著網(wǎng)絡(luò)用戶數(shù)量的增加,網(wǎng)絡(luò)安全問題逐漸凸顯,部分網(wǎng)民私人信息泄露己經(jīng)成為網(wǎng)絡(luò)常態(tài)。建設(shè)內(nèi)網(wǎng)信息安全保障體系對用戶信息安全有著積極的意義。一方面,內(nèi)網(wǎng)信息安全要求工作者將網(wǎng)絡(luò)信息進行管理,并利用一定的網(wǎng)絡(luò)技術(shù)保護網(wǎng)民的信息資料安全;另一方面,內(nèi)網(wǎng)信息安全保障體系在建設(shè)過程中不斷地完善自身的應用技術(shù),對推動網(wǎng)絡(luò)平臺的穩(wěn)定十分有利,從而能夠確保用戶的資料安全。

2內(nèi)網(wǎng)安全風險分析

與外網(wǎng)的信息安全相比,內(nèi)網(wǎng)的信息安全工作的開展具有—定的困難,網(wǎng)絡(luò)黑客雖然不容易經(jīng)由翻墻技術(shù)進入局域網(wǎng)盜竊信息或者進行破壞活動,但通過局域網(wǎng)內(nèi)部人員的關(guān)系,內(nèi)網(wǎng)信息安全就有極大的安全隱患。1內(nèi)網(wǎng)安全保障技術(shù)的防護性能不''''強,不能很好地開展網(wǎng)絡(luò)信息安全保障工作。內(nèi)網(wǎng)使用人員在進行信息交流時,其網(wǎng)絡(luò)信息的安全保障技術(shù)并沒有較大的技術(shù)性,簡單的黑客技術(shù)就能夠?qū)?nèi)網(wǎng)信息掌控到手。這是由多方面因素造成的。第一,內(nèi)網(wǎng)技術(shù)維護人員并沒有設(shè)定專門的安全保障技術(shù),部分信息共享、使用等都只通過簡單口令的保護,防護手段不到位,另外,一些研發(fā)階段的技術(shù)也沒有提供專業(yè)的安全防護,導致數(shù)據(jù)和資料丟失現(xiàn)象較常見。2內(nèi)網(wǎng)工作人員的信息安全防護意識不強。內(nèi)網(wǎng)的使用大部分都是統(tǒng)一范圍內(nèi)的單位員工或企業(yè)職員。這些人對內(nèi)網(wǎng)各部分信息都十分熟悉,因此,從一定程度上講,該網(wǎng)絡(luò)內(nèi)部的工作人員是威脅網(wǎng)絡(luò)安全的重要部分。員工渠道的信息泄露包括員工有意進行的泄露和員工無意開展的行為。一方面,部分員工的職業(yè)素質(zhì)不高,對所在企業(yè)的歸屬感不強,對企業(yè)重要資料的安全防護意識也就相對較弱,在被不法分子利用后,這部分員工極易成為網(wǎng)絡(luò)信息安全的最大威脅。另一方面,相當一部分員工對企業(yè)的重要資料的重視程度較高,但其對安全保障措施的運用卻不靈活,對技術(shù)保護不甚了解,因此,會出現(xiàn)無意的信息泄露,進而影響企業(yè)的資料安全。內(nèi)部信息泄露手段主要有:資料的復制、電子郵件通信、辦公電腦與私人電腦混用、文件共享等,這些途徑不僅簡單快捷,節(jié)約時間,同時還是技術(shù)難度較低的行為。

3推進內(nèi)網(wǎng)信息安全保障體系建設(shè)

內(nèi)網(wǎng)信息安全保障體系的建設(shè)需要工作人員結(jié)合其信息安全常出現(xiàn)的問題進行技術(shù)改進和工作落實。

3.1規(guī)范網(wǎng)絡(luò)節(jié)點接入,減少信息安全隱患

我國目前的網(wǎng)絡(luò)接入狀態(tài)是,非內(nèi)網(wǎng)成員可以通過一定的技術(shù)輕松訪問內(nèi)部網(wǎng)絡(luò),這一現(xiàn)象一方面是由于現(xiàn)代化的樓宇布線技術(shù)導致的,另一方面,科學技術(shù)的進步降低了內(nèi)網(wǎng)接入的難度。非內(nèi)網(wǎng)成員在進入內(nèi)網(wǎng)后,對內(nèi)網(wǎng)信息的安全形成威脅,部分核心數(shù)據(jù)面臨著被盜用泄露的風險,因此,工作人員需要針對這一問題展開工作,及時的發(fā)現(xiàn)未知接入點的存在,并根據(jù)其性質(zhì)進行隔離處理,減少信息泄露的可能。非法接入點的規(guī)范工作還包括對計算機IP地址的轉(zhuǎn)變進行及時的記錄和分析,當該IP的轉(zhuǎn)換對局域網(wǎng)內(nèi)部信息的安全造成威脅時,工作人員要對該網(wǎng)絡(luò)進行阻斷。病毒庫的更新也是保障內(nèi)網(wǎng)信息安全的要素之一。內(nèi)網(wǎng)的組成是多臺計算機的連接,這些計算機組中性能較差或者應用技術(shù)較落后的計算機往往是網(wǎng)絡(luò)安全工作中的重點,黑客在侵入內(nèi)網(wǎng)時多選擇在這一端口進入。因此,企業(yè)需要及時的進行病毒庫的更新,保障計算機的安全,降低黑客入侵的可行性。

3.2完善內(nèi)網(wǎng)信息監(jiān)控系統(tǒng),確保信息安全使用

內(nèi)網(wǎng)信息的安全不僅需要一定的技術(shù)支持,也需要有完善的內(nèi)網(wǎng)監(jiān)控系統(tǒng)的輔助。內(nèi)網(wǎng)中各種先進科學技術(shù)的應用以及軟件等的配合都為監(jiān)控工作的進行提供了可能。運行軟件、設(shè)備、網(wǎng)絡(luò)拓撲等都能夠積極參與到網(wǎng)絡(luò)信息安全監(jiān)控中來。工作人員需要針對不同的現(xiàn)象幵展相應的工作,如中斷運行異常的軟件,控制移動設(shè)備在辦公主機上的運用,監(jiān)控系統(tǒng)運行情況等。實時監(jiān)控的進行是保障信息基本安全的有力措施,同時,企業(yè)需要對監(jiān)控措施的管理工作進行人員安排,確保監(jiān)控力度到位。

3.3結(jié)合安全保障技術(shù)和安全管理理念,維護內(nèi)網(wǎng)信息安全

企業(yè)的內(nèi)網(wǎng)信息安全離不開技術(shù)和管理理念的支持,只有這兩者協(xié)作才能夠確保企業(yè)內(nèi)部工作的安全。1企業(yè)需要對內(nèi)網(wǎng)的安全保障技術(shù)進行革新,及時的應用先進的科學技術(shù),對計算機組進行定期維護和系統(tǒng)升級,確保其功能的穩(wěn)定,減少系統(tǒng)漏洞的出現(xiàn)。積極鼓勵技術(shù)人員學習新知識,完善自身的知識儲備,研發(fā)出有自主知識產(chǎn)權(quán)的設(shè)備和系統(tǒng),推動自身網(wǎng)絡(luò)技術(shù)的發(fā)展。2企業(yè)需要進行規(guī)章制度的建立。①企業(yè)要制定出完善的符合社會發(fā)展要求的網(wǎng)絡(luò)信息安全等級,為技術(shù)人員開展網(wǎng)絡(luò)信息維護提供數(shù)據(jù)參照:②企業(yè)要對辦公電腦和核心數(shù)據(jù)的使用人進行管理;③加強對內(nèi)網(wǎng)各環(huán)節(jié)的管理,保障數(shù)據(jù)訪問的設(shè)備安全。

4結(jié)束語

篇10

關(guān)鍵詞：內(nèi)網(wǎng)安全；安全威脅；監(jiān)控

中圖分類號：TP393文獻標識碼：A文章編號：16727800（2012）009013103

0引言

長期以來，人們談到網(wǎng)絡(luò)安全都是指一些外部的病毒入侵、黑客攻擊，常規(guī)防御理念往往局限于利用網(wǎng)關(guān)、網(wǎng)絡(luò)邊界設(shè)備等進行防御，然而很多這方面的技術(shù)對保護內(nèi)網(wǎng)卻沒有效用。大量關(guān)于黑客入侵、病毒攻擊的報道，將人們的注意力導向到重視防范來自外部的攻擊，卻忽視了來自內(nèi)部的安全威脅。內(nèi)部人員誤用、濫用、惡用內(nèi)網(wǎng)資源，盜竊機密數(shù)據(jù)等嚴重破壞信息安全的行為，已成為網(wǎng)絡(luò)中的主要威脅。對此，人們不僅缺乏必要的認識，也缺少合適的防范工具與處理手段。

1內(nèi)網(wǎng)安全威脅

FBI和CSI在2005年的調(diào)查結(jié)果顯示：將近50%的安全威脅來自內(nèi)部網(wǎng)絡(luò)的誤用，有35%來自未授權(quán)的訪問，有10%來自專利信息被竊取，有8%來自內(nèi)部人員的財務欺騙；在損失金額上，未授權(quán)的訪問導致了31 233 100美元的損失，專利信息的竊取導致了30 933 000美元的損失，內(nèi)部網(wǎng)絡(luò)的誤用導致了6 856 450美元的損失，內(nèi)部人員的財務欺騙導致了2 565 000美元的損失，總計達71 587 550美元。這組數(shù)據(jù)充分說明了內(nèi)網(wǎng)安全的重要性，也提醒我們應盡快加強內(nèi)網(wǎng)安全建設(shè)。

內(nèi)網(wǎng)安全的目標就是要建立一個可信、可控的內(nèi)部安全網(wǎng)絡(luò)，內(nèi)網(wǎng)90%以上的設(shè)備由終端主機組成，因此它當之無愧地成為內(nèi)網(wǎng)安全的重中之重。安全、有效地監(jiān)控終端主機，必須首先了解來自內(nèi)部網(wǎng)絡(luò)的安全威脅。

1.1非法外聯(lián)

內(nèi)部人員使用撥號、寬帶等方式接入外網(wǎng)，使本來隔離的內(nèi)網(wǎng)與外網(wǎng)之間開辟了新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內(nèi)外網(wǎng)之間的防護屏障，順利侵入非法外聯(lián)的主機，盜竊內(nèi)網(wǎng)的敏感信息和機密數(shù)據(jù)，造成泄密事件。

1.2使用軟件違規(guī)

內(nèi)部人員出于好奇或者惡意破壞的目的，在計算機上

（3）基于理解的分詞法。此法主要以句法分析、語法分析為依據(jù)，結(jié)合語義分析進行分詞。即在分詞的同時要從語料庫中的句法、語法，結(jié)合語義進行分析，模擬人的思維對句子進行理解，在理解的基礎(chǔ)上進行分詞。該方法處理流程比較復雜，在實際應用中工作量很大，目前還不能全面推廣。

5結(jié)語

本文闡述了基于地鐵運營服務行業(yè)網(wǎng)絡(luò)輿情監(jiān)控系統(tǒng)的實現(xiàn)，主要從業(yè)務需求、系統(tǒng)框架、關(guān)鍵技術(shù)三個方面對輿情監(jiān)控系統(tǒng)進行了全面解構(gòu)。采用網(wǎng)絡(luò)輿情監(jiān)控系統(tǒng)對網(wǎng)絡(luò)輿情進行收集、分析、整理，建立起全面高效的輿情監(jiān)控預警機制。

通過實行網(wǎng)絡(luò)輿情監(jiān)控，能夠了解輿論動向，從而制定應對策略，并及時采取措施。因此，網(wǎng)絡(luò)輿情監(jiān)控對于了解社情民意，緩解輿論壓力，促進地鐵運營服務質(zhì)量和管理水平的提高具有重要意義。

安裝使用一些黑客軟件，從內(nèi)部發(fā)起攻擊。還有一些內(nèi)部人員安全意識淡薄，沒有安裝指定的防病毒軟件等等，這些行為都對內(nèi)網(wǎng)安全構(gòu)成了重大威脅。

1.3外設(shè)接口使用不當

為了方便使用，計算機提供了各種大量的外設(shè)接口，如USB接口、串行接口、并行接口、軟盤控制器、DVD/CD-ROM驅(qū)動器等，而這些外設(shè)接口都可能成為信息泄漏的途徑。

1.4外部設(shè)備管理不當

如果不加限制地讓內(nèi)部人員在內(nèi)網(wǎng)主機上安裝、使用可移動的存儲設(shè)備，如軟驅(qū)、光驅(qū)、U盤、移動硬盤、可讀寫光盤等，會通過移動存儲介質(zhì)間接地與外網(wǎng)進行數(shù)據(jù)交換，導致病毒的傳入或者敏感信息、機密數(shù)據(jù)的傳播與泄漏。

1.5重要文件缺乏保護

計算機內(nèi)部的相關(guān)機密文件被隨意進行篡改、刪除等操作，個別內(nèi)部人員對文件進行了共享操作，從而有意無意地造成了內(nèi)部信息泄漏。

1.6打印機的濫用

一般內(nèi)部的關(guān)鍵資料不允許打印帶出，這些關(guān)鍵資料包括重要的設(shè)計圖紙、設(shè)計文檔、參考文獻等。對于這些重要電子文檔的打印，要進行嚴格的登記和日志記錄，登記所有打印機上的打印記錄，以便為資料泄漏提供強有力的線索和證據(jù)。

2內(nèi)網(wǎng)安全管理系統(tǒng)

內(nèi)網(wǎng)安全首先假設(shè)所有的內(nèi)部網(wǎng)絡(luò)都存在安全威脅，相對于外網(wǎng)有著更細粒度的安全管理控制，直接控制到主機系統(tǒng)，甚至是數(shù)據(jù)文件本身，這樣就極大地提高了安全性。方案要能保障內(nèi)部主機與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定、可靠地運行，確保內(nèi)部信息與網(wǎng)絡(luò)資源受控、合法地使用，確保內(nèi)部重要信息的安全與保密。

2.1系統(tǒng)概述

桌面安全管理系統(tǒng)的出現(xiàn)為內(nèi)網(wǎng)安全提供了一個較好的解決方案，它是一種基于“內(nèi)部用戶不可信”前提的內(nèi)網(wǎng)安全類產(chǎn)品。它需要對各種類型的操作系統(tǒng)進行研究和控制，結(jié)合訪問控制、操作系統(tǒng)核心技術(shù)、網(wǎng)絡(luò)驅(qū)動、密碼學、數(shù)據(jù)安全等技術(shù)手段，對信息、重要的內(nèi)部數(shù)據(jù)等敏感信息、信息載體及信息處理過程實施保護，使之免遭違規(guī)或非法操作的威脅，并能夠完整記錄相應操作的日志。

從產(chǎn)品功能和實現(xiàn)的安全目標來看，桌面安全管理系統(tǒng)似乎和主機審計類產(chǎn)品有些相似，兩者都涉及到了對操作的日志審計和對主機的控制，也就是“監(jiān)”和“控”。其實兩者是有區(qū)別的：主機審計類產(chǎn)品主要側(cè)重于對系統(tǒng)信息和操作的監(jiān)視、審計，也就是“監(jiān)”；而桌面安全管理系統(tǒng)不僅能夠進行日志審計，更重要的是它的控制功能很強大，因此重在“控”。桌面安全管理系統(tǒng)可以對客戶端主機進行實時監(jiān)控，還可以通過實時修改下發(fā)安全策略對客戶端主機進行更為嚴格、粒度更細的控制，從而保證在發(fā)生內(nèi)部安全事件時，能夠做出及時、有效的響應；在事后可以通過查看各種審計日志，形成有力的“佐證”，以便對相關(guān)人員進行責任追究。

2.2系統(tǒng)結(jié)構(gòu)

桌面安全管理系統(tǒng)根據(jù)其功能要求一般分為3個部分：服務器、控制臺和客戶端。各部分關(guān)系如圖1所示。

服務器是桌面安全管理系統(tǒng)的核心部分，包括服務程序和后臺數(shù)據(jù)庫，一般安裝在一臺具有高性能CPU和大容量內(nèi)存的主機上。服務器主要負責將管理員指定的各種安全策略下發(fā)到各個客戶端，接收客戶端收集的各種數(shù)據(jù)信息存入數(shù)據(jù)庫，并將適當?shù)臄?shù)據(jù)傳遞給控制臺顯示。

控制臺是系統(tǒng)與管理員的人機接口，是服務器的操作界面。既可以安裝專門的控制臺軟件，通過GUI界面管理服務器，也可以使用瀏覽器，通過Web界面來管理服務器。管理員通過控制臺可以實現(xiàn)管理配置安全策略、系統(tǒng)管理、參數(shù)配置、事件管理和日志審計等功能。

客戶端是部署在被監(jiān)控主機上的軟件，它主要負責執(zhí)行管理員下發(fā)的安全策略和管理命令，收集主機相關(guān)的數(shù)據(jù)并傳輸給服務器。

2.3系統(tǒng)安全及性能

終端安全管理系統(tǒng)采用密碼學技術(shù)，對服務器和客戶端、服務器和控制臺之間的通訊數(shù)據(jù)進行了加密處理，保證各組件之間的通信信道的安全性。管理員設(shè)置的各種安全策略在客戶端主機離線的狀態(tài)下仍然能夠生效，而且在此期間對主機的各種審計日志仍然會正常記錄，在客戶端主機再次連入內(nèi)網(wǎng)以后，審計日志就會自動上傳到服務器，這樣就能夠避免主機在離線狀態(tài)下的違規(guī)操作。由于客戶端是安全策略的最終執(zhí)行者和主機信息的收集者，因此其自身的安全保護尤為重要。終端安全管理系統(tǒng)采用各種技術(shù)手段來防止客戶端在正常模式和安全模式下，進程和服務被惡意停止、程序被惡意卸載、下發(fā)的安全策略和各種配置文件被惡意修改和刪除，保證客戶端能夠正常運行，使管理主機時刻對各臺計算機進行有效監(jiān)控。

桌面安全管理系統(tǒng)的主體架構(gòu)一般采用C/S模式，客戶端應用占用主機的系統(tǒng)資源很小，不會影響到主機的正常運行；同時對內(nèi)網(wǎng)帶寬的占用也很小，因此能夠在不影響正常工作的前提下最大程度地完成內(nèi)部數(shù)據(jù)的保護以及內(nèi)網(wǎng)安全管理工作。

2.4內(nèi)網(wǎng)安全管理系統(tǒng)的實現(xiàn)

2.4.1監(jiān)控程序

讀模塊負責從操作系統(tǒng)的審計日志文件中讀取連續(xù)的審計日志數(shù)據(jù)，并將其轉(zhuǎn)換為一個便于存取操作的通用記錄格式，傳送給數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊根據(jù)安全規(guī)則對收到的審計數(shù)據(jù)進行分析。如果安全規(guī)則給出了明確的響應動作，則向動作響應模塊發(fā)出動作指令，同時向發(fā)送模塊傳送匹配的數(shù)據(jù)記錄。發(fā)送模塊負責將接收到的數(shù)據(jù)傳送給監(jiān)控信息中心服務器。接收模塊負責接收控制中心傳來的安全規(guī)則和動作指令，刷新安全規(guī)則和向動作相應模塊發(fā)送動作指令。動作響應模塊負責切斷用戶與系統(tǒng)的連接和封鎖用戶系統(tǒng)帳號。各模塊關(guān)系框圖如圖2所示。

2.4.2監(jiān)控信息中心

監(jiān)控信息中心服務器的接收模塊負責接收多個監(jiān)控發(fā)送的數(shù)據(jù)，并傳送給數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊根據(jù)安全規(guī)則對接收到的數(shù)據(jù)進行分析，通過發(fā)送模塊將動作響應傳送給特定的監(jiān)控。報警信息通過管理模塊傳送給管理員控制臺，同時歸檔的數(shù)據(jù)存入數(shù)據(jù)庫中。管理模塊為管理員控制臺提供安全監(jiān)控系統(tǒng)的各種管理、監(jiān)控與數(shù)據(jù)分析服務，包括修改和部署安全規(guī)則，查詢和分析數(shù)據(jù)庫的審計數(shù)據(jù)，并通過發(fā)送模塊向各個監(jiān)控部署新的安全規(guī)則和發(fā)起響應動作。如圖3所示。

2.4.3管理員控制臺

管理員控制臺可以集中顯示安全報警信息，擁有對歸檔審計數(shù)據(jù)的分析和查詢功能，并且安全管理員能夠?qū)χ鳈C安全監(jiān)控系統(tǒng)進行安全策略的集中配置和部署。主要分為7個模塊：用戶界面模塊、身份認證模塊、報警模塊、統(tǒng)計分析模塊、策略編輯模塊，系統(tǒng)狀態(tài)模塊和通信模塊（發(fā)送與接收）。如圖4所示。

3結(jié)語

目前，市場上已經(jīng)存在一定數(shù)量的內(nèi)網(wǎng)安全管理產(chǎn)品，例如：中網(wǎng)信息技術(shù)有限公司的中網(wǎng)桌面安全管理系統(tǒng)、北京天融信科技有限公司的網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)等，這些產(chǎn)品都是針對內(nèi)網(wǎng)安全威脅和內(nèi)網(wǎng)安全管理系統(tǒng)的功能等方面設(shè)計的，對這些產(chǎn)品進行分析和比較，我們發(fā)現(xiàn)各個產(chǎn)品的功能主要方面差異不大，只是在個別功能和性能上有所不同，在使用的模式和系統(tǒng)的穩(wěn)定性上也參差不齊。隨著公安信息系統(tǒng)信息化建設(shè)的發(fā)展，公安內(nèi)部網(wǎng)絡(luò)安全問題也日漸突出，打造適合信息化發(fā)展需要的內(nèi)網(wǎng)信息安全產(chǎn)品十分必要。

參考文獻：

[1][美] CHRISTOPHER ALBERTS，AUDREY DOROFEE.信息安全管理[M].北京：清華大學出版社，2011.