導(dǎo)語(yǔ)：如何才能寫好一篇網(wǎng)絡(luò)安全制度體系建設(shè)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

本文闡述了國(guó)內(nèi)煙草企業(yè)面對(duì)的網(wǎng)絡(luò)信息安全的主要威脅，分析其網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的應(yīng)用現(xiàn)狀，指出其中存在的問(wèn)題，之后，從科學(xué)設(shè)定防護(hù)目標(biāo)原則、合理確定網(wǎng)絡(luò)安全區(qū)域、大力推行動(dòng)態(tài)防護(hù)措施、構(gòu)建專業(yè)防護(hù)人才隊(duì)伍、提升員工安全防護(hù)意識(shí)等方面，提出加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略，希望對(duì)相關(guān)工作有所幫助。

關(guān)鍵詞：

煙草企業(yè)；網(wǎng)絡(luò)安全防護(hù)；體系建設(shè)

隨著信息化的逐步發(fā)展，國(guó)內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平，打造信息化時(shí)代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡(luò)帶來(lái)便捷的同時(shí)，也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來(lái)的影響。因此，越來(lái)越多的煙草企業(yè)對(duì)如何強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)給予了高度關(guān)注。

1威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素

受各種因素影響，煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅。

1.1人為因素

人為的無(wú)意失誤，如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。人為的惡意攻擊，這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動(dòng)攻擊，他是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取與破譯等行為獲得重要機(jī)密信息。

1.2軟硬件因素

網(wǎng)絡(luò)安全設(shè)備投資方面，行業(yè)在防火墻、網(wǎng)管設(shè)備、入侵檢測(cè)防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位，但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過(guò)黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，其大部分是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設(shè)想。另外，各種新型病毒發(fā)展迅速，超出防火墻屏蔽能力等，都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅。

1.3結(jié)構(gòu)性因素

煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)，多數(shù)采用的是混合型結(jié)構(gòu)，星形和總線型結(jié)構(gòu)重疊并存，相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網(wǎng)絡(luò)使用者因系統(tǒng)過(guò)于復(fù)雜而導(dǎo)致錯(cuò)誤操作，都可能造成網(wǎng)絡(luò)安全問(wèn)題。

2煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)現(xiàn)狀

煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，仍然存在著很多不容忽視的問(wèn)題，亟待引起高度關(guān)注。

2.1業(yè)務(wù)應(yīng)用集成整合不足

不少煙草企業(yè)防護(hù)系統(tǒng)在建設(shè)上過(guò)于單一化、條線化，影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性，安全防護(hù)信息沒有實(shí)現(xiàn)跨部門、跨單位、跨層級(jí)上的交流，相互之間不健全的信息共享機(jī)制，滯后的信息資源服務(wù)決策，影響了信息化建設(shè)的整體效率。缺乏對(duì)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的頂層設(shè)計(jì)，致使信息化建設(shè)未能形成整體合力。

2.2信息化建設(shè)特征不夠明顯

網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志，但如基礎(chǔ)平臺(tái)的集成性、基礎(chǔ)設(shè)施的集約化、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后。主營(yíng)煙草業(yè)務(wù)沒有同信息化建設(shè)高度契合，對(duì)影響企業(yè)發(fā)展的管理制度、業(yè)務(wù)需求、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo)，缺乏宏觀角度上的溝通協(xié)調(diào)，致使在信息化建設(shè)中，業(yè)務(wù)、管理、技術(shù)“三位一體”的要求并未落到實(shí)處，影響了網(wǎng)絡(luò)安全防護(hù)的效果。

2.3安全運(yùn)維保障能力不足

缺乏對(duì)運(yùn)維保障工作的正確認(rèn)識(shí)，其尚未完全融入企業(yè)信息化建設(shè)的各個(gè)環(huán)節(jié)，加上企業(yè)信息化治理模式構(gòu)建不成熟等原因，制約了企業(yè)安全綜合防范能力與運(yùn)維保障體系建設(shè)的整體效能，導(dǎo)致在網(wǎng)絡(luò)威脅的防護(hù)上較為被動(dòng)，未能做到主動(dòng)化、智能化分析，導(dǎo)致遭受病毒、木馬、釣魚網(wǎng)站等反復(fù)侵襲。

3加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略

煙草企業(yè)應(yīng)以實(shí)現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo)，秉承科學(xué)頂層設(shè)計(jì)、合理統(tǒng)籌規(guī)劃、力爭(zhēng)整體推進(jìn)的原則，始終堅(jiān)持兩級(jí)主體、協(xié)同建設(shè)和項(xiàng)目帶動(dòng)的模式，按照統(tǒng)一架構(gòu)、安全同步、統(tǒng)一平臺(tái)的技術(shù)規(guī)范，才能持續(xù)推動(dòng)產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。

3.1遵循網(wǎng)絡(luò)防護(hù)基本原則

煙草企業(yè)在建設(shè)安全防護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)明白建設(shè)安全防護(hù)網(wǎng)絡(luò)的目標(biāo)與原則，清楚網(wǎng)絡(luò)使用的性質(zhì)、主要使用人員等基本情況。并在邏輯上對(duì)安全防護(hù)網(wǎng)絡(luò)進(jìn)行合理劃分，不同區(qū)域的防御體系應(yīng)具有針對(duì)性，相互之間邏輯清楚、調(diào)用清晰，從而使網(wǎng)絡(luò)邊界更為明確，相互之間更為信任。要對(duì)已出現(xiàn)的安全問(wèn)題進(jìn)行認(rèn)真分析，并歸類統(tǒng)計(jì)，大的問(wèn)題盡量拆解細(xì)分，類似的問(wèn)題歸類統(tǒng)一，從而將復(fù)雜問(wèn)題具體化，降低網(wǎng)絡(luò)防護(hù)工作的難度。對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，應(yīng)以功能為界限來(lái)劃分，以劃分區(qū)域?yàn)榘踩雷o(hù)區(qū)域。同時(shí)，要不斷地完善安全防護(hù)體系建設(shè)標(biāo)準(zhǔn)，打破不同企業(yè)之間網(wǎng)絡(luò)安全防護(hù)體系的壁壘，實(shí)現(xiàn)信息資源更大程度上的互聯(lián)互通，從而有效地提升自身對(duì)網(wǎng)絡(luò)威脅的抵御力。

3.2合理確定網(wǎng)絡(luò)安全區(qū)域

煙草企業(yè)在使用網(wǎng)絡(luò)過(guò)程中，不同的區(qū)域所擔(dān)負(fù)的角色是不同的。為此，內(nèi)部網(wǎng)絡(luò)，在設(shè)計(jì)之初，應(yīng)以安全防護(hù)體系、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對(duì)區(qū)域進(jìn)行劃分。同時(shí)，對(duì)生產(chǎn)、監(jiān)管、流通、銷售等各個(gè)環(huán)節(jié)，要根據(jù)其業(yè)務(wù)特點(diǎn)強(qiáng)化對(duì)應(yīng)的網(wǎng)絡(luò)使用管理制度，既能實(shí)現(xiàn)網(wǎng)絡(luò)安全更好防護(hù)，也能幫助企業(yè)實(shí)現(xiàn)更為科學(xué)的管控與人性化的操作。在對(duì)煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分時(shí)，不能以偏概全、一蹴而就，應(yīng)本著實(shí)事求是的態(tài)度，根據(jù)企業(yè)實(shí)際情況，以現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ)，有針對(duì)性地進(jìn)行合理的劃分，才能取得更好的防護(hù)效果。

3.3大力推行動(dòng)態(tài)防護(hù)措施

根據(jù)網(wǎng)絡(luò)入侵事件可知，較為突出的問(wèn)題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護(hù)效果滯后等。為此，煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系時(shí)，應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護(hù)技術(shù)，且系統(tǒng)要能夠隨時(shí)升級(jí)換代，從而提升總體防護(hù)力。同時(shí)，要定期對(duì)煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進(jìn)行分析，確定系統(tǒng)存在哪些漏洞、留有什么隱患，實(shí)現(xiàn)入侵實(shí)時(shí)監(jiān)測(cè)和系統(tǒng)動(dòng)態(tài)防護(hù)。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機(jī)制，在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時(shí)，確保在最短的時(shí)間內(nèi)恢復(fù)系統(tǒng)的基本功能，為后期確定問(wèn)題原因與及時(shí)恢復(fù)系統(tǒng)留下時(shí)間，并且確保企業(yè)業(yè)務(wù)的開展不被中斷，不會(huì)為企業(yè)帶來(lái)很大的經(jīng)濟(jì)損失。另外，還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護(hù)企業(yè)合作，構(gòu)建病毒防護(hù)戰(zhàn)略聯(lián)盟，為更好地實(shí)現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護(hù)效果提供堅(jiān)實(shí)的技術(shù)支撐。

3.4構(gòu)建專業(yè)防護(hù)人才隊(duì)伍

人才是網(wǎng)絡(luò)安全防護(hù)體系的首要資源，缺少專業(yè)性人才的支撐，再好的信息安全防護(hù)體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)的工作專業(yè)性很強(qiáng)，既要熟知信息安全防護(hù)技術(shù)，也要對(duì)煙草企業(yè)生產(chǎn)全過(guò)程了然于胸，并熟知國(guó)家政策法規(guī)等制度。因此，煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護(hù)人才隊(duì)伍，要采取定期選送、校企聯(lián)訓(xùn)、崗位培訓(xùn)等方式，充分挖掘內(nèi)部人力資源，提升企業(yè)現(xiàn)有信息安全防護(hù)人員的能力素質(zhì)，也要積極同病毒防護(hù)企業(yè)、專業(yè)院校和科研院所合作，引進(jìn)高素質(zhì)專業(yè)技術(shù)人才，從而為企業(yè)更好地實(shí)現(xiàn)信息安全防護(hù)效果打下堅(jiān)實(shí)的人才基礎(chǔ)。

3.5提升員工安全防護(hù)意識(shí)

技術(shù)防護(hù)手段效果再好，員工信息安全防護(hù)意識(shí)不佳，系統(tǒng)也不能取得好的效果。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心，統(tǒng)一對(duì)企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行管理培訓(xùn)，各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位，負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況。賬號(hào)使用、信息、權(quán)限確定等，都要置于信息管理培訓(xùn)中心的制約監(jiān)督下，都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中，杜絕違規(guī)使用網(wǎng)絡(luò)、肆意泄露信息等現(xiàn)象的發(fā)生。對(duì)全體員工開展網(wǎng)絡(luò)安全教育，提升其網(wǎng)絡(luò)安全防護(hù)意識(shí)，使其認(rèn)識(shí)到安全防護(hù)體系的重要性，從而使每個(gè)人都能依法依規(guī)地使用信息網(wǎng)絡(luò)。

4結(jié)語(yǔ)

煙草企業(yè)管理者必須清醒認(rèn)識(shí)到，利用信息網(wǎng)絡(luò)加快企業(yè)升級(jí)換代、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢(shì)所趨，絕不能因?yàn)榫W(wǎng)絡(luò)存在安全威脅而固步自封、拒絕進(jìn)步。但也要關(guān)注信息化時(shí)代下網(wǎng)絡(luò)安全帶來(lái)的挑戰(zhàn)，以實(shí)事求是的態(tài)度，大力依托信息網(wǎng)絡(luò)安全技術(shù)，構(gòu)建更為安全的防護(hù)體系，為企業(yè)做大做強(qiáng)奠定堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)：

［1］楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護(hù)體系研究［J］.計(jì)算機(jī)與信息技術(shù),2012(5).

［2］賴如勤,郭翔飛,于閩.地市煙草信息安全防護(hù)模型的構(gòu)建與應(yīng)用［J］.中國(guó)煙草學(xué)報(bào),2016(4).

篇2

企業(yè)按照分級(jí)部署網(wǎng)絡(luò)版殺毒及管理軟件等終端計(jì)算機(jī)安全軟件，做到每臺(tái)計(jì)算機(jī)可管理可控制，并掌握整體終端計(jì)算機(jī)安全動(dòng)態(tài)。通過(guò)桌面安全軟件部署，保證病毒定義碼和補(bǔ)丁更新，也可自動(dòng)分發(fā)企業(yè)定制的安全策略，如安全基線設(shè)置、違規(guī)接入審計(jì)、系統(tǒng)補(bǔ)丁等，保證企業(yè)信息安全政策連貫執(zhí)行，達(dá)到統(tǒng)一標(biāo)準(zhǔn)。

2運(yùn)行環(huán)境安全

在終端計(jì)算機(jī)安全防護(hù)體系建設(shè)中，運(yùn)行環(huán)境至關(guān)重要。運(yùn)行環(huán)境主要有物理環(huán)境、網(wǎng)絡(luò)環(huán)境等。本文主要介紹網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)環(huán)境中給終端計(jì)算機(jī)加幾把鎖，把握其方向軌跡和動(dòng)態(tài)。

2.1IP地址固定

在網(wǎng)絡(luò)中，IP地址固定可以解決信息安全事故溯源、IP地址沖突、準(zhǔn)確掌握上網(wǎng)計(jì)算機(jī)數(shù)量等問(wèn)題。實(shí)施中通過(guò)管理和技術(shù)相結(jié)合的辦法，技術(shù)上在網(wǎng)絡(luò)設(shè)備里通過(guò)DHCPSnooping和A－CL列表，實(shí)現(xiàn)IP和MAC地址綁定。

2.2控制上互聯(lián)網(wǎng)計(jì)算機(jī)

因工作性質(zhì)和安全考慮,部分終端計(jì)算機(jī)僅處理企業(yè)內(nèi)部業(yè)務(wù)不需上互聯(lián)網(wǎng)。因此加大終端計(jì)算機(jī)上互聯(lián)網(wǎng)權(quán)限審核力度，技術(shù)上實(shí)施是在IP地址固定的前提下，在網(wǎng)絡(luò)設(shè)備通過(guò)訪問(wèn)控制列表ACL或者互聯(lián)網(wǎng)出口安全設(shè)備里進(jìn)行配置。

2.3部署準(zhǔn)入設(shè)備

為保證網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)邊界或內(nèi)部部署準(zhǔn)入設(shè)備，設(shè)立終端計(jì)算機(jī)入網(wǎng)規(guī)則，如必須安裝企業(yè)桌面安全軟件和配置安全基線等等，通過(guò)進(jìn)程檢測(cè)合規(guī)后入網(wǎng)或可訪問(wèn)關(guān)鍵業(yè)務(wù)。

2.4部署內(nèi)容審計(jì)系統(tǒng)

在互聯(lián)網(wǎng)出口邊界部署內(nèi)容審計(jì)系統(tǒng)，在線對(duì)終端計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)的行為進(jìn)行2~7層的識(shí)別，可進(jìn)行關(guān)鍵字的設(shè)置過(guò)濾、URL過(guò)濾，對(duì)于計(jì)算機(jī)的互聯(lián)網(wǎng)行為做到可控制、可管理、可審計(jì)，以保證網(wǎng)絡(luò)信息的安全。

2.5部署服務(wù)器

為保證終端計(jì)算機(jī)上網(wǎng)安全，一般建議在互聯(lián)網(wǎng)出口設(shè)置服務(wù)器，用戶通過(guò)服務(wù)器訪問(wèn)互聯(lián)網(wǎng)。通過(guò)服務(wù)器訪問(wèn)互聯(lián)網(wǎng)可以提高訪問(wèn)速度，方便對(duì)用戶行為進(jìn)行管理和審計(jì)，起到防火墻作用，保護(hù)局域網(wǎng)安全。

3安全管理

三分技術(shù)七分管理，是終端計(jì)算機(jī)安全防護(hù)體系建設(shè)的準(zhǔn)繩。在自身系統(tǒng)和運(yùn)行環(huán)境建設(shè)中，技術(shù)操作都是通過(guò)管理來(lái)實(shí)施的，因此形成一套安全管理機(jī)制并始終貫徹運(yùn)行，是十分重要的。

3.1建立終端計(jì)算機(jī)管理制度

建立終端計(jì)算機(jī)管理制度也是終端計(jì)算機(jī)安全防護(hù)體系建設(shè)的組成部分和重要措施，如《計(jì)算機(jī)信息系統(tǒng)管理》《計(jì)算機(jī)安全管理實(shí)施細(xì)則》《計(jì)算機(jī)工作考核評(píng)比細(xì)則》《計(jì)算機(jī)保密管理規(guī)定》《信息化考核體系》等都是非常重要的制度，通過(guò)建立健全這些制度，形成信息化考核機(jī)制，使得終端計(jì)算機(jī)安全工作有章可循。

3.2提高計(jì)算機(jī)安全管理的力度和深度

在企業(yè)計(jì)算機(jī)安全管理管理中，管理人員首先要提高各級(jí)領(lǐng)導(dǎo)和員工網(wǎng)絡(luò)安全重視程度，其次定期通過(guò)各種手段完成終端計(jì)算機(jī)安全檢查工作，如通過(guò)桌面安全系統(tǒng)、審計(jì)系統(tǒng)檢查計(jì)算機(jī)違規(guī)行為，根據(jù)規(guī)定實(shí)施處罰等，最后安全管理人員要主動(dòng)識(shí)別和評(píng)估安全風(fēng)險(xiǎn)，制定和落實(shí)安全整改措施，確保終端計(jì)算機(jī)持續(xù)安全穩(wěn)定運(yùn)行。

3.3建設(shè)完整的計(jì)算機(jī)實(shí)名庫(kù)

通過(guò)建設(shè)終端計(jì)算機(jī)實(shí)名庫(kù)，掌握計(jì)算機(jī)管理動(dòng)態(tài)，實(shí)現(xiàn)計(jì)算機(jī)資產(chǎn)管理，給領(lǐng)導(dǎo)提供決策依據(jù)。實(shí)名庫(kù)建設(shè)可采用各單位簽字蓋章上報(bào)、在桌面安全管理系統(tǒng)里注冊(cè)、定期現(xiàn)場(chǎng)抽查等，從而完成終端計(jì)算機(jī)實(shí)名庫(kù)的建設(shè)。

3.4建立網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)

通過(guò)網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)的建立，保障終端計(jì)算機(jī)安全運(yùn)行環(huán)境，也加強(qiáng)了桌面安全防護(hù)體系在網(wǎng)絡(luò)體系建設(shè)中的作用。

3.5建設(shè)一支過(guò)硬的信息化隊(duì)伍

在企業(yè)中，建立信息安全組織架構(gòu)、明確組織責(zé)任、設(shè)置相應(yīng)崗位，建立一支過(guò)硬的專業(yè)信息化安全隊(duì)伍,切實(shí)加強(qiáng)計(jì)算機(jī)管理、維護(hù)終端計(jì)算機(jī)安全。

4結(jié)語(yǔ)

篇3

【關(guān)鍵詞】電子政務(wù) 信息安全 體系建設(shè)

當(dāng)前我國(guó)交通電子政務(wù)實(shí)施過(guò)程的兩大矛盾的解決，依賴于安全、穩(wěn)定、可靠的交通運(yùn)輸電子政務(wù)平臺(tái)信息安全保障體系。對(duì)于電子政務(wù)平臺(tái)實(shí)施過(guò)程中所面臨的信息安全保障問(wèn)題，我國(guó)早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》中明確提出了建立等級(jí)保護(hù)制度和風(fēng)險(xiǎn)管理體系的要求。2004年11月，公安部等國(guó)家四部委聯(lián)合推出信息安全等級(jí)保護(hù)要求、測(cè)評(píng)準(zhǔn)則和實(shí)施指南，為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對(duì)交通電子政務(wù)平臺(tái)的安全保障體系作了詳細(xì)的技術(shù)規(guī)范。

隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善，建立一套信息安全管理平臺(tái)，既滿足電子政務(wù)平臺(tái)的開放性和可訪問(wèn)性，又保證電子政務(wù)平臺(tái)的安全性，也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個(gè)角度進(jìn)行充分構(gòu)建：

1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開發(fā)的為多個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問(wèn)控制、應(yīng)用審計(jì)和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，它可以將不同地理位置、不同基礎(chǔ)設(shè)施（主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等）中分散且海量的安全信息進(jìn)行樣式化、匯總、過(guò)濾和關(guān)聯(lián)分析，形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理，并依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng)，對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個(gè)方面：

1）保密性。主要體現(xiàn)在誰(shuí)能擁有信息，如何保證秘密和敏感信息僅為授權(quán)者享有。

2）完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿，傳輸、存儲(chǔ)、處理中未被刪改、增添、替換。

3）可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。

4）可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。

5）不可否認(rèn)性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任，保證信息行為人不能否認(rèn)其信息行為。

總之，信息安全保障體系的基本要求主要從技術(shù)和管理兩個(gè)層面得以實(shí)現(xiàn)。技術(shù)層面在實(shí)現(xiàn)信息資源的公開性、共享性和可訪問(wèn)性的同時(shí)，通過(guò)主機(jī)安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過(guò)安全管理機(jī)制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營(yíng)管理等規(guī)范化機(jī)制得以保障信息的安全性。

2交通電子政務(wù)平臺(tái)信息安全保障體系的構(gòu)建

交通電子政務(wù)平臺(tái)的信息安全保障體系，應(yīng)該由組織體系、技術(shù)體系、運(yùn)營(yíng)體系、策略體系和保障對(duì)象體系等共同組成。

2.1安全組織體系。政府高度重視交通運(yùn)輸信息化工作的同時(shí)，堅(jiān)持把“積極防御，綜合防范”放在優(yōu)先位置，首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)主管信息安全工作，下設(shè)信息安全工作組，各管理部門負(fù)責(zé)人、業(yè)務(wù)部門負(fù)責(zé)人為成員。

2.2安全技術(shù)體系。交通電子政務(wù)平臺(tái)的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營(yíng)中心，并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個(gè)方面去搭建安全技術(shù)支撐體系。

2.3安全運(yùn)營(yíng)體系。交通電子政務(wù)的安全運(yùn)營(yíng)體系一般可由安全體系推廣與落實(shí)、項(xiàng)目建設(shè)的安全管理、安全風(fēng)險(xiǎn)管理與控制和日常安全運(yùn)行與維護(hù)四個(gè)部分組成。安全運(yùn)營(yíng)體系是一個(gè)完整的過(guò)程體系，在交通電子政務(wù)平臺(tái)的整個(gè)過(guò)程中，正常的運(yùn)作流程，其信息流遵循自上而下的流程，即交通上級(jí)部門根據(jù)電子政務(wù)平臺(tái)信息安全需求的目標(biāo)、規(guī)劃和控制要求做計(jì)劃，下級(jí)交通部門根據(jù)計(jì)劃進(jìn)行執(zhí)行、檢查和改進(jìn)。而若交通電子政務(wù)平臺(tái)其安全性出現(xiàn)威脅，影響正常的運(yùn)作流程時(shí)，此時(shí)信息流則遵循自下而上的逆向過(guò)程，下級(jí)交通部門向上級(jí)部門報(bào)送安全事件，上級(jí)部門根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)。

2.4安全策略體系。網(wǎng)絡(luò)安全策略是為了保護(hù)網(wǎng)絡(luò)不受來(lái)自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和，因此信息安全策略是信息安全保障體系建設(shè)和實(shí)施的指導(dǎo)和依據(jù)，全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終。安全策略體系，主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運(yùn)行體系四個(gè)方面的要素，在采用各種安全技術(shù)控制措施的同時(shí)，必須制訂層次化的安全策略，完善安全管理組織機(jī)構(gòu)和人員配備，提高安全管理人員的安全意識(shí)和技術(shù)水平，完善各種安全策略和安全機(jī)制，利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的多層保護(hù)，減小網(wǎng)絡(luò)受到攻擊的可能性，防范網(wǎng)絡(luò)安全事件的發(fā)生，提高對(duì)安全事件的反應(yīng)處理能力，并在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡量減少事件造成的損失。

篇4

關(guān)鍵詞：檔案；信息安全；管理體系；

中圖分類號(hào)：G270 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-3520（2015）-01-00-01

檔案信息化是云計(jì)算環(huán)境下檔案部門加快檔案管理現(xiàn)代化步伐，實(shí)現(xiàn)檔案信息資源共享，提高工作效率，加快檔案事業(yè)發(fā)展的重要手段和基礎(chǔ)。順利推進(jìn)云計(jì)算環(huán)境下檔案信息化建設(shè)的前提是營(yíng)造一個(gè)可靠的檔案信息安全管理體系，所以構(gòu)筑安全的檔案信息管理體系，必將成為檔案部門今后很長(zhǎng)時(shí)期安全管理中不可忽視的課題。

一、建設(shè)檔案信息安全管理體系的意義

提高員工信息安全意識(shí)，提升檔案信息安全管理的水平，增強(qiáng)檔案系統(tǒng)抵御災(zāi)難性事件的能力，是檔案信息化建設(shè)中的重要環(huán)節(jié)，可大幅提高信息管理工作的安全性和可靠性。有效提高對(duì)信息安全風(fēng)險(xiǎn)的管控能力，使得信息安全管理更加科學(xué)有效。

（一）檔案信息安全管理現(xiàn)狀

中原油田系統(tǒng)內(nèi)聯(lián)網(wǎng)主要以局域網(wǎng)聯(lián)接，屬于油田二級(jí)單位的檔案系統(tǒng)的網(wǎng)絡(luò)環(huán)境是在油田骨干信息網(wǎng)絡(luò)系統(tǒng)上建設(shè)自己的子系統(tǒng)，各類系統(tǒng)間相互獨(dú)立，因此，檔案信息化系統(tǒng)面臨的威脅大體可分為兩種：1、對(duì)網(wǎng)絡(luò)中信息的威脅；2、對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。

（二）影響檔案信息安全體系建設(shè)的威脅主要有二個(gè)方面：

1、外部隱患：計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性共同構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅。信息網(wǎng)絡(luò)化使信息公開化、信息利用自由化，其結(jié)果是信息資源的共享和互動(dòng)，任何人都可以在網(wǎng)上信息和獲取信息，這樣，網(wǎng)絡(luò)信息安全問(wèn)題就成為危害網(wǎng)絡(luò)發(fā)展的核心問(wèn)題，與外界的因特網(wǎng)連接使信息受侵害的問(wèn)題尤其嚴(yán)重。目前檔案信息的不安全因素來(lái)自病毒、黑客、木馬等方面。

2、企業(yè)局域網(wǎng)內(nèi)部的信息安全更是不容忽視的。網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間通過(guò)網(wǎng)絡(luò)共享網(wǎng)絡(luò)資源，就可能因無(wú)意中把重要的信息或個(gè)人隱私信息存放在共享目錄下，因此造成信息泄漏，甚至存在內(nèi)部人員編寫程序通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，或者利用黑客程序入侵他人主機(jī)的現(xiàn)象。因此，網(wǎng)絡(luò)安全不僅要防范外部網(wǎng)，更要防范內(nèi)部網(wǎng)。一旦低級(jí)別的數(shù)據(jù)信息出現(xiàn)安全問(wèn)題，將直接影響核心保密信息的安全完整。

二、建設(shè)檔案信息安全管理體系的措施 通過(guò)細(xì)化檔案內(nèi)部相應(yīng)的安全管理體系，采取集中控制、分級(jí)管理的模式

建立起完整的安全管理體系并加以實(shí)施與保持，實(shí)現(xiàn)動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的以預(yù)防為主的安全管理模式，從而在管理上確保全方位，多層次、快速有效的檔案信息安全防護(hù)。

（一）外部入侵的防范措施

1、網(wǎng)絡(luò)加密（Ipsec）IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機(jī)制可對(duì)上層各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此，IP安全是整個(gè)TCP/IP安全基礎(chǔ)，是網(wǎng)絡(luò)安全核心。IPSec為網(wǎng)絡(luò)數(shù)據(jù)傳輸提供了數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)來(lái)源認(rèn)證、抗重播等安全服務(wù)，使得數(shù)據(jù)在通過(guò)公共網(wǎng)絡(luò)傳輸時(shí)，不用擔(dān)心被監(jiān)視、篡改和偽造。

2、防火墻。防火墻是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度，主要目標(biāo)是通過(guò)控制進(jìn)出網(wǎng)絡(luò)權(quán)限，在內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)進(jìn)行控制和審計(jì)，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)、干擾和破壞內(nèi)部網(wǎng)絡(luò)資源。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效監(jiān)視內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。

（二）身份認(rèn)證是網(wǎng)絡(luò)安全的關(guān)鍵

1、網(wǎng)絡(luò)安全身份認(rèn)證是指登錄計(jì)算機(jī)網(wǎng)絡(luò)時(shí)系統(tǒng)對(duì)用戶身份的確認(rèn)技術(shù)。是網(wǎng)絡(luò)安全的第一道防線，也是最重要的一道防線。黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)，一旦身份認(rèn)證系統(tǒng)被攻破，那么系統(tǒng)的所有安全措施將形同虛設(shè)。

2、訪問(wèn)控制是保證信息安全的重要措施。訪問(wèn)控制決定用戶可以訪問(wèn)的網(wǎng)絡(luò)范圍、使用的協(xié)議、端口，能訪問(wèn)系統(tǒng)何種資源以及如何使用這些資源。適當(dāng)?shù)脑L問(wèn)控制能夠阻止未經(jīng)允許的用戶有意或無(wú)意地獲取數(shù)據(jù)，根據(jù)授予權(quán)限限制其對(duì)資源的利用范圍和程度。

三、建立部門信息員體系，強(qiáng)化事件管理與應(yīng)急管理機(jī)制

檔案系統(tǒng)應(yīng)在所屬各部門內(nèi)部設(shè)立兼職信息員管理網(wǎng)絡(luò)，當(dāng)系統(tǒng)發(fā)生安全事件時(shí)，能夠及時(shí)為應(yīng)用業(yè)務(wù)提供保護(hù)，并嚴(yán)格按照相關(guān)程序，謹(jǐn)慎披露安全事件信息，避免不良影響。

計(jì)算機(jī)受故障影響、遭受病毒等攻擊是不可能完全避免的，部門信息員能在第一時(shí)間向所屬信息部門上報(bào)網(wǎng)絡(luò)安全情況，并能夠按應(yīng)急方案，處理流程，采取相應(yīng)的技術(shù)措施將網(wǎng)絡(luò)安全隱患化解。

在部門設(shè)立信息員還可以定期對(duì)應(yīng)急計(jì)劃相關(guān)的備份與恢復(fù)流程進(jìn)行可靠性測(cè)試，并可有的放矢的對(duì)三級(jí)單位網(wǎng)絡(luò)關(guān)四、加強(qiáng)安全教育培訓(xùn)，深化檔案系統(tǒng)內(nèi)部管理

（一）定期對(duì)信息系統(tǒng)運(yùn)行、使用和管理的管理人員和技術(shù)人員進(jìn)行培訓(xùn)，主要內(nèi)容包括安全事件和安全案例分析總結(jié)、安全價(jià)值觀、國(guó)家相關(guān)法律法規(guī)、國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)、種類安全戰(zhàn)略、安全制度、網(wǎng)絡(luò)和主機(jī)設(shè)備安全配置管理、網(wǎng)絡(luò)攻擊與防御、安全體系、防病毒技術(shù)、入侵檢測(cè)技術(shù)、安全管理技術(shù)、防火墻技術(shù)、認(rèn)證與加密技術(shù)等。

（二）加強(qiáng)人員安全管理，特別是信息管理系統(tǒng)用戶的管理和核心運(yùn)行維護(hù)人員的管理。對(duì)于關(guān)健崗位人員要進(jìn)行技術(shù)類、個(gè)人技能類和安全價(jià)值觀的培訓(xùn)。對(duì)一般計(jì)算機(jī)系統(tǒng)用戶進(jìn)行基本安全技能和安全文化教育。

篇5

【關(guān)鍵詞】?jī)?nèi)網(wǎng)建設(shè) 疾控中心 信息安全

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，信息網(wǎng)絡(luò)系統(tǒng)在疾控系統(tǒng)中得到良好應(yīng)用，為疾控系統(tǒng)的發(fā)展提供了良好的外部展示和溝通平臺(tái)，提高了工作效率，奠定了疾控現(xiàn)代化的基礎(chǔ)。計(jì)算機(jī)技術(shù)在給人帶來(lái)便利的同時(shí)也存在不少隱患，計(jì)算機(jī)硬件故障、網(wǎng)絡(luò)癱瘓、網(wǎng)絡(luò)運(yùn)行故障等都為網(wǎng)絡(luò)帶來(lái)了巨大的風(fēng)險(xiǎn)，同時(shí)由于互聯(lián)網(wǎng)的開放性、自由性、國(guó)際性等特點(diǎn)，一旦出現(xiàn)數(shù)據(jù)丟失、數(shù)據(jù)破壞等現(xiàn)象，就會(huì)帶來(lái)不可估量的損失。因此，要推進(jìn)內(nèi)網(wǎng)安全保障體系建設(shè)并將其更好地應(yīng)用于疾控系統(tǒng)中就需要有效實(shí)施內(nèi)網(wǎng)建設(shè)和為信息化安全技術(shù)提供安全保障。

1 網(wǎng)絡(luò)系統(tǒng)安全技術(shù)的風(fēng)險(xiǎn)分析

1.1 技術(shù)風(fēng)險(xiǎn)

技術(shù)風(fēng)險(xiǎn)是指在網(wǎng)絡(luò)運(yùn)行安全方面的風(fēng)險(xiǎn)，主要包括網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險(xiǎn)、操作系統(tǒng)風(fēng)險(xiǎn)、應(yīng)用安全風(fēng)險(xiǎn)和管理安全風(fēng)險(xiǎn)。目前疾控系統(tǒng)中存在著網(wǎng)絡(luò)建設(shè)體系不完善、拓?fù)浣Y(jié)構(gòu)搭建不合理、關(guān)鍵設(shè)備未考慮冗余、機(jī)密電腦直接與因特網(wǎng)連接、網(wǎng)絡(luò)資源配置不科學(xué)合理、未將網(wǎng)絡(luò)系統(tǒng)按應(yīng)用劃分不同網(wǎng)段、硬件設(shè)備使用維護(hù)不當(dāng)、操作系統(tǒng)本身存在的漏洞、業(yè)務(wù)軟件不夠完善存在重大缺陷或漏洞、技術(shù)人員綜合素質(zhì)較低等問(wèn)題，使信息安全得不到應(yīng)有的保障。其中，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要表現(xiàn)在非授權(quán)訪問(wèn)、冒充合法用戶、數(shù)據(jù)完整性被破壞、系統(tǒng)正常運(yùn)行擾、病毒與惡意攻擊、線路被竊聽等方面。由于疾控中心網(wǎng)絡(luò)需要與Internet連接以進(jìn)行業(yè)務(wù)活動(dòng)，在信息共享的同時(shí)也存在被攻擊的危險(xiǎn)。Internet的基本協(xié)議時(shí)TCP/IP協(xié)議，該協(xié)議強(qiáng)調(diào)開放性和便利性，存在安全隱患，TCP協(xié)議運(yùn)用三次握手建立連接，其中第三次握手報(bào)文僅僅只是應(yīng)答，攻擊者可以通過(guò)監(jiān)聽前兩次響應(yīng)方報(bào)文，再假冒連接方發(fā)送報(bào)文，得到響應(yīng)方響應(yīng)后再假冒響應(yīng)方向連接方發(fā)送響應(yīng)方發(fā)硬報(bào)文，如此一來(lái)，攻擊者便可借此插入有害數(shù)據(jù)，對(duì)網(wǎng)絡(luò)安全造成極大破壞。

2 內(nèi)網(wǎng)信息安全保障體系建設(shè)探討

2.1 服務(wù)器方面的安全策略

服務(wù)器必須安置在標(biāo)準(zhǔn)化機(jī)房中，機(jī)房應(yīng)采取雙路供電，有條件可配備監(jiān)控管理系統(tǒng)以便于對(duì)電量、電壓、溫度、濕度等環(huán)境信息和進(jìn)出人員進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)掌控相關(guān)信息以備不時(shí)之需，同時(shí)要定期對(duì)機(jī)房環(huán)境進(jìn)行評(píng)估，評(píng)估標(biāo)準(zhǔn)包括溫度、濕度、噪音控制、電磁強(qiáng)度、防塵埃、防雷與接地、防火、防盜等，防患于未然。對(duì)于服務(wù)器本身也需要樹立評(píng)估制度并定期進(jìn)行安全評(píng)估，對(duì)服務(wù)器的評(píng)估內(nèi)容應(yīng)包括硬件和操作系統(tǒng)的定期檢測(cè)和升級(jí)，對(duì)于不必要的服務(wù)和端口可禁用、殺毒軟件狀況和病毒庫(kù)版本、定期查看系統(tǒng)日志等。對(duì)于服務(wù)器中的數(shù)據(jù)要進(jìn)行多次備份，包括但不限于多介質(zhì)備份、異地備份等，從而為數(shù)據(jù)安全提供保障。

2.2 網(wǎng)絡(luò)設(shè)備方面的安全策略

根據(jù)設(shè)備的重要程度定期對(duì)網(wǎng)絡(luò)設(shè)備硬件進(jìn)行檢查和維護(hù)，軟件需要定期進(jìn)行升級(jí)，重要網(wǎng)絡(luò)配置需要定期進(jìn)行備份，對(duì)網(wǎng)絡(luò)拓?fù)鋱D、各信息接入點(diǎn)位置等重要信息做好記錄，以保證在出現(xiàn)故障時(shí)快速定位以排除故障。要對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)，根據(jù)制定的規(guī)則跟蹤記錄網(wǎng)絡(luò)活動(dòng)，定期對(duì)各活動(dòng)記錄進(jìn)行查詢和分析，檢查是否存在非法利用網(wǎng)絡(luò)資源、網(wǎng)絡(luò)資源配置不合理、泄密、信息系統(tǒng)破壞等安全問(wèn)題，及時(shí)解決問(wèn)題以保障網(wǎng)絡(luò)信息安全性。

2.3 終端用戶方面的安全策略

信息網(wǎng)絡(luò)系統(tǒng)管理的重點(diǎn)之一是終端用戶，由于工作人員個(gè)人操作水平、設(shè)備配置等各方面情況不一，因此需要對(duì)用戶配置固定IP地址，根據(jù)業(yè)務(wù)內(nèi)容和范圍劃分不同網(wǎng)絡(luò)時(shí)段并分配相應(yīng)的網(wǎng)絡(luò)訪問(wèn)權(quán)限，所有用戶必須登記在案，新用戶需要在提交申請(qǐng)通過(guò)后才能獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限，定期對(duì)工作人員展開技術(shù)和安全培訓(xùn)，提高工作人員技術(shù)水平和安全意識(shí)，進(jìn)一步確保信息網(wǎng)絡(luò)安全性。

2.4 業(yè)務(wù)系統(tǒng)方面的安全策略

業(yè)務(wù)系統(tǒng)的安全策略應(yīng)以系統(tǒng)級(jí)安全、程序資源訪問(wèn)控制、功能性安全和數(shù)據(jù)域安全四個(gè)方面為切入點(diǎn)，制定業(yè)務(wù)系統(tǒng)管理和使用辦法。由于疾控中心涉及業(yè)務(wù)種類繁雜，各部門工作職能和職責(zé)范圍不盡相同，因此系統(tǒng)管理員要根據(jù)具體的崗位和職責(zé)分配權(quán)限，該權(quán)限只能用于相應(yīng)的模塊和功能。所有應(yīng)用軟件必須通過(guò)相應(yīng)的軟件測(cè)試，對(duì)軟件認(rèn)證部分的數(shù)據(jù)進(jìn)行加密，軟件投入使用后定期使用殺毒軟件進(jìn)行檢查，例如金山、瑞星、卡巴斯基等，及時(shí)發(fā)現(xiàn)軟件漏洞并進(jìn)行更新，同時(shí)對(duì)軟件使用者信息進(jìn)行檢測(cè)，記錄軟件使用者的具體信息，保留使用痕跡。同時(shí)應(yīng)用防火墻和入侵檢測(cè)系統(tǒng)，安裝在內(nèi)部受保護(hù)的網(wǎng)絡(luò)連接到外部Internet節(jié)點(diǎn)上，從內(nèi)部網(wǎng)或者互聯(lián)網(wǎng)上進(jìn)行的活動(dòng)，比如文件傳輸、收發(fā)電子郵件、搜索等必須通過(guò)防火墻，過(guò)濾經(jīng)過(guò)的數(shù)據(jù)信息的攻擊行為，避免各類攻擊行為通過(guò)互聯(lián)網(wǎng)活動(dòng)到達(dá)目標(biāo)設(shè)備。

2.5 內(nèi)外網(wǎng)物理隔開

根據(jù)國(guó)家保密局頒布的《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》第二章保密制度第六條規(guī)定，為了保證內(nèi)部網(wǎng)不會(huì)受到來(lái)自外部公共網(wǎng)絡(luò)的惡意攻擊，內(nèi)部網(wǎng)與公共網(wǎng)必須實(shí)行物理隔離。物理隔離技術(shù)的工作原理是明確定義正常業(yè)務(wù)傳輸和交換的合法數(shù)據(jù)，將合法數(shù)據(jù)列入“白名單”，在兩方網(wǎng)絡(luò)邊界僅允許“白名單”上的數(shù)據(jù)通過(guò)，未列入“白名單”的數(shù)據(jù)無(wú)法通過(guò)。這一機(jī)制可通過(guò)專用硬件固化形成專門的物理隔離裝置，改善傳統(tǒng)物理隔離技術(shù)的被動(dòng)性，從消極仿佛變?yōu)橹鲃?dòng)防御。

3 結(jié)束語(yǔ)

信息系統(tǒng)安全工作貫是疾控系統(tǒng)現(xiàn)代化建設(shè)的重要內(nèi)容，任重而道遠(yuǎn)，需要給予足夠的重視，時(shí)刻關(guān)注各類新技術(shù)發(fā)展情況并不斷學(xué)習(xí)，完善各項(xiàng)管理制度以更好地應(yīng)對(duì)隨著新技術(shù)的發(fā)展而涌現(xiàn)出的新的安全隱患，以將內(nèi)網(wǎng)建設(shè)更好地運(yùn)用于集控系統(tǒng)中。

參考文獻(xiàn)

[1]周瑩，王磊，聶武等.內(nèi)網(wǎng)建設(shè)信息安全的保障及在疾控系統(tǒng)中的應(yīng)用[J].中國(guó)工業(yè)醫(yī)學(xué)雜志，2012，02：157-158.

[2]丁焰.內(nèi)網(wǎng)信息安全保障體系建設(shè)探討[J].硅谷，2013，16：129+121.

[3]張靳冬，錢建東，潘明珠.疾控中心信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)策略探討[J].現(xiàn)代預(yù)防醫(yī)學(xué)，2013，16：3054-3055+3058.

篇6

關(guān)鍵詞：醫(yī)院；信息化；網(wǎng)絡(luò)；安全

中圖分類號(hào)：TP309.2

隨著醫(yī)改的不斷深入，借助信息化提高醫(yī)院的管理水平和服務(wù)質(zhì)量已成為大勢(shì)所趨，伴著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，Web化應(yīng)用呈現(xiàn)出爆發(fā)式增長(zhǎng)趨勢(shì)，一方面，增強(qiáng)了各行業(yè)及部門間的協(xié)作能力，提高了生產(chǎn)效率，另一方面也不可避免的帶來(lái)了新的安全威脅。從國(guó)家到地方，衛(wèi)生行政主管部門非常重視醫(yī)院信息安全，與公安部門聯(lián)合發(fā)文，要求醫(yī)院完成等級(jí)保護(hù)工作。

1 我院網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

1.1 醫(yī)院信息系統(tǒng)現(xiàn)狀

我院的信息信息系統(tǒng)主要有：醫(yī)院信息管理系統(tǒng)（HIS）、醫(yī)學(xué)影像信息系統(tǒng)（PACS）、臨床實(shí)驗(yàn)室檢驗(yàn)信息系統(tǒng)（LIS）、電子病歷系統(tǒng)（EMR）、手術(shù)麻醉信息系統(tǒng)（AIMS）、醫(yī)院辦公自動(dòng)化系統(tǒng)（HOA）等。隨著各系統(tǒng)應(yīng)用的不斷深入，以及這些系統(tǒng)與醫(yī)保、合療、健康檔案、財(cái)務(wù)、銀行一卡通等系統(tǒng)的直連，安全問(wèn)題已越來(lái)越突顯，網(wǎng)絡(luò)安全作為信息安全的基礎(chǔ)，變得尤為重要。

1.2 網(wǎng)絡(luò)安全現(xiàn)狀與不足

1.2.1 網(wǎng)絡(luò)安全現(xiàn)狀

（1）我們采用內(nèi)外網(wǎng)物理隔離，內(nèi)網(wǎng)所有U口禁用。對(duì)開放的U口通過(guò)北信源的桌面管理軟件進(jìn)行管理；（2）內(nèi)外網(wǎng)都使用了賽門鐵克的網(wǎng)絡(luò)殺毒軟件，對(duì)網(wǎng)絡(luò)病毒進(jìn)行了防范；（3）與外部連接。

內(nèi)網(wǎng)與省醫(yī)保是通過(guò)思科防火墻、路由器和醫(yī)保專線連接進(jìn)行通信；與市醫(yī)保是通過(guò)聯(lián)想網(wǎng)御的網(wǎng)閘、醫(yī)保路由器與醫(yī)保專線連接進(jìn)行通信；與合療及虛擬桌面是通過(guò)綠盟的下一代防火墻與互聯(lián)網(wǎng)進(jìn)行通信；與健康檔案是通過(guò)天融信的VPN與互聯(lián)網(wǎng)進(jìn)行通信的。另外，內(nèi)網(wǎng)與財(cái)務(wù)專用軟件、一卡通也是通過(guò)網(wǎng)閘及防火墻進(jìn)行通信的。

另外，我們有較完善的網(wǎng)絡(luò)安全管理制度體系，這里不再贅述。

1.2.2 網(wǎng)絡(luò)安全存在的問(wèn)題

（1）由于醫(yī)院信息系統(tǒng)與外部業(yè)務(wù)連接不斷增長(zhǎng)，專線與安全設(shè)備比較繁雜，運(yùn)維復(fù)雜度較高；（2）通過(guò)部署網(wǎng)絡(luò)殺毒軟件及安全設(shè)備，雖然提升了網(wǎng)絡(luò)的安全性，但卻帶來(lái)了系統(tǒng)性能下降的問(wèn)題，如何在不過(guò)多影響整體網(wǎng)絡(luò)性能的前提下，又可以完善整網(wǎng)的安全策略的部署，是后續(xù)網(wǎng)絡(luò)優(yōu)化所需要重點(diǎn)關(guān)注的；（3）終端用戶接入網(wǎng)絡(luò)后所進(jìn)行的網(wǎng)絡(luò)訪問(wèn)行為無(wú)法進(jìn)行審計(jì)和追溯。

2 醫(yī)院網(wǎng)絡(luò)層安全策略部署規(guī)劃

在等級(jí)保護(hù)安全策略指導(dǎo)下，我們將整個(gè)醫(yī)院的安全保障體系設(shè)計(jì)分為安全管理體系建設(shè)和安全技術(shù)體系建設(shè)兩個(gè)方面，其中安全技術(shù)體系建設(shè)的內(nèi)容包括安全基礎(chǔ)設(shè)施（主要包括安全網(wǎng)關(guān)、入侵防護(hù)系統(tǒng)、安全審計(jì)系統(tǒng)等），安全管理體系建設(shè)的內(nèi)容包括組織、制度、管理手段等。通過(guò)建立醫(yī)院安全技術(shù)體系、安全服務(wù)體系和安全管理體系，提供身份認(rèn)證、訪問(wèn)控制、抗抵賴和數(shù)據(jù)機(jī)密性、完整性、可用性、可控性等安全服務(wù)，形成集防護(hù)、檢測(cè)、響應(yīng)于一體的安全防護(hù)體系，實(shí)現(xiàn)實(shí)體安全、應(yīng)用安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、管理安全，以滿足醫(yī)院安全的需求[1]。

在這里，我主要從安全技術(shù)體系建設(shè)方面闡述醫(yī)院網(wǎng)絡(luò)層安全策略。

網(wǎng)絡(luò)層安全主要涉及的方面包括結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)幾大類安全控制。

2.1 安全域劃分[2]

2.1.1 安全域劃分原則

（1）業(yè)務(wù)保障原則。安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率；（2）適度安全原則。在安全域劃分時(shí)會(huì)面臨有些業(yè)務(wù)緊密相連，但是根據(jù)安全要求（信息密級(jí)要求，訪問(wèn)應(yīng)用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務(wù)按安全域的要求強(qiáng)性劃分，還是合并安全域以滿足業(yè)務(wù)要求？必須綜合考慮業(yè)務(wù)隔離的難度和合并安全域的風(fēng)險(xiǎn)（會(huì)出現(xiàn)有些資產(chǎn)保護(hù)級(jí)別不夠），從而給出合適的安全域劃分；（3）結(jié)構(gòu)簡(jiǎn)化原則。安全域方法的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡(jiǎn)單，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。比如，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過(guò)多過(guò)雜可能導(dǎo)致安全域的管理過(guò)于復(fù)雜和困難；（4）等級(jí)保護(hù)原則。安全域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)安全環(huán)境安全策略等；（5）立體協(xié)防原則。安全域的主要對(duì)象是網(wǎng)絡(luò)，但是圍繞安全域的防護(hù)需要考慮在各個(gè)層次上立體防守，包括在物理鏈路網(wǎng)絡(luò)主機(jī)系統(tǒng)應(yīng)用等層次；同時(shí)，在部署安全域防護(hù)體系的時(shí)候，要綜合運(yùn)用身份鑒別訪問(wèn)控制檢測(cè)審計(jì)鏈路冗余內(nèi)容檢測(cè)等各種安全功能實(shí)現(xiàn)協(xié)防；（6）生命周期原則。對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過(guò)程中要考慮工程化的管理。

2.2.2 區(qū)域劃分

業(yè)務(wù)網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)類型及安全需求劃分為如圖1所示的幾個(gè)個(gè)安全區(qū)域，也可以根據(jù)醫(yī)院自己的業(yè)務(wù)實(shí)際情況，添加刪減相關(guān)的安全域，網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D[3]如下：

圖1

（1）外聯(lián)區(qū)：主要與醫(yī)保網(wǎng)、外聯(lián)單位進(jìn)行互聯(lián)，此區(qū)域與數(shù)據(jù)中心核心交換機(jī)互聯(lián)；在外聯(lián)區(qū)接入處部署防火墻、IPS、硬件殺毒墻，也可以部署下一代防火墻產(chǎn)品，添加IPS功能模塊、殺毒功能模塊，通過(guò)防火墻、IPS、殺毒進(jìn)行訪問(wèn)控制，實(shí)現(xiàn)安全隔離；與數(shù)據(jù)中心核心交換機(jī)處部署網(wǎng)閘設(shè)備，實(shí)現(xiàn)物理隔離；（2）運(yùn)維管理區(qū)：主要負(fù)責(zé)運(yùn)維管理醫(yī)院信息化系統(tǒng)，此區(qū)域與數(shù)據(jù)中心核心交換機(jī)互聯(lián)；在運(yùn)維管理區(qū)與核心交換機(jī)之間部署堡壘機(jī)（SAS-H），對(duì)運(yùn)維操作進(jìn)行身份識(shí)別與行為管控；部署遠(yuǎn)程安全評(píng)估系統(tǒng)（RSAS），對(duì)系統(tǒng)的漏洞進(jìn)行安全評(píng)估；部署安全配置核查系統(tǒng)，對(duì)系統(tǒng)的安全配置做定期檢查；部署日志管理軟件，對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、重要服務(wù)器的日志做收集整理和報(bào)表呈現(xiàn)；部署網(wǎng)絡(luò)版殺毒系統(tǒng)，與硬件殺毒墻非同一品牌；部署網(wǎng)絡(luò)審計(jì)系統(tǒng)，對(duì)全網(wǎng)所有用戶行為進(jìn)行網(wǎng)絡(luò)審計(jì)；部署主機(jī)加固系統(tǒng)，對(duì)重要服務(wù)器定期進(jìn)行安全加固，以符合等保的安全配置要求；（3）辦公接入?yún)^(qū)：主要負(fù)責(zé)在住院部大樓、門急診樓、公寓后勤樓等辦公用戶的網(wǎng)絡(luò)接入；接入?yún)R聚交換機(jī)旁路部署IDS；與核心交換機(jī)接入采用防火墻進(jìn)行訪問(wèn)控制；重要辦公用戶安裝桌面終端系統(tǒng)控制非法接入問(wèn)題；（4）核心交換區(qū)：主要負(fù)責(zé)各個(gè)安全域的接入與VLAN之間的訪問(wèn)控制；在兩臺(tái)核心交換機(jī)上采用防火墻板卡，來(lái)實(shí)現(xiàn)各個(gè)區(qū)域的訪問(wèn)控制。在核心交換機(jī)旁路部署安全審計(jì)系統(tǒng)，對(duì)全網(wǎng)數(shù)據(jù)進(jìn)行內(nèi)容審計(jì)，可以與運(yùn)維管理區(qū)的網(wǎng)絡(luò)審計(jì)使用同一臺(tái)；（5）互聯(lián)網(wǎng)接入?yún)^(qū)：主要負(fù)責(zé)為辦公區(qū)用戶訪問(wèn)互聯(lián)網(wǎng)提供服務(wù)，以及互聯(lián)網(wǎng)用戶訪問(wèn)門戶網(wǎng)站及網(wǎng)上預(yù)約等業(yè)務(wù)提供服務(wù)；在互聯(lián)網(wǎng)出口處，部署負(fù)載均衡設(shè)備對(duì)鏈路做負(fù)載處理；部署下一代防火墻設(shè)備（IPS+AV+行為管理），對(duì)進(jìn)出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行安全審計(jì)和管控；在門戶服務(wù)器與匯聚交換機(jī)之間部署硬件WEB應(yīng)用防火墻，對(duì)WEB服務(wù)器進(jìn)行安全防護(hù)；在門戶服務(wù)器上安裝防篡改軟件，來(lái)實(shí)現(xiàn)對(duì)服務(wù)器的防篡改的要求；部署網(wǎng)閘系統(tǒng)，實(shí)現(xiàn)互聯(lián)網(wǎng)與業(yè)務(wù)內(nèi)網(wǎng)的物理隔離要求；（6）數(shù)據(jù)中心區(qū)：此區(qū)域主要為醫(yī)院信息系統(tǒng)防護(hù)的核心，可分為關(guān)鍵業(yè)務(wù)服務(wù)器群和非關(guān)鍵業(yè)務(wù)服務(wù)器群，為整個(gè)醫(yī)院內(nèi)網(wǎng)業(yè)務(wù)提供運(yùn)算平臺(tái)；在非關(guān)鍵業(yè)務(wù)服務(wù)器群與核心交換區(qū)之間部署防火墻和入侵保護(hù)系統(tǒng)，對(duì)服務(wù)器做基礎(chǔ)的安全防護(hù)；在關(guān)鍵業(yè)務(wù)服務(wù)器群與核心交換機(jī)之間部署防火墻、入侵保護(hù)系統(tǒng)、WEB應(yīng)用防護(hù)系統(tǒng)，對(duì)服務(wù)器做安全防護(hù)；（7）開發(fā)測(cè)試區(qū)：為軟件開發(fā)機(jī)第三方運(yùn)維人員提供接入醫(yī)院內(nèi)網(wǎng)服務(wù)，與核心交換機(jī)互聯(lián)；部署防火墻進(jìn)行訪問(wèn)控制，所有的開發(fā)測(cè)試區(qū)的用戶必須通過(guò)堡壘機(jī)訪問(wèn)醫(yī)院內(nèi)網(wǎng)；（8）存儲(chǔ)備份區(qū)：此區(qū)域主要為醫(yī)院信息化系統(tǒng)數(shù)據(jù)做存儲(chǔ)備份，與核心交換機(jī)互聯(lián)。

2.2 邊界訪問(wèn)控制[1]

在網(wǎng)絡(luò)結(jié)構(gòu)中，需要對(duì)各區(qū)域的邊界進(jìn)行訪問(wèn)控制，對(duì)于醫(yī)院外網(wǎng)邊界、數(shù)據(jù)交換區(qū)邊界、應(yīng)用服務(wù)區(qū)域邊界及核心數(shù)據(jù)區(qū)邊界，需采取部署防火墻的方式實(shí)現(xiàn)高級(jí)別的訪問(wèn)控制，各區(qū)域訪問(wèn)控制方式說(shuō)明如下：

（1）外聯(lián)區(qū)：通過(guò)部署高性能防火墻，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)與醫(yī)院外網(wǎng)之間的訪問(wèn)控制；（2）核心交換區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)數(shù)據(jù)交換區(qū)的訪問(wèn)控制；（3）數(shù)據(jù)中心區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)區(qū)的訪問(wèn)控制；（4）運(yùn)維區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)核心數(shù)據(jù)區(qū)的訪問(wèn)控制；（5）互聯(lián)網(wǎng)區(qū)：與內(nèi)網(wǎng)核心交換區(qū)采用網(wǎng)閘系統(tǒng)進(jìn)行物理隔離；與互聯(lián)網(wǎng)出口采用防火墻實(shí)現(xiàn)訪問(wèn)控制；（6）開發(fā)測(cè)試區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)區(qū)的訪問(wèn)控制；（7）辦公網(wǎng)接入?yún)^(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)區(qū)的訪問(wèn)控制；（8）備份存儲(chǔ)區(qū)：通過(guò)核心交換機(jī)的VLAN劃分、訪問(wèn)控制列表以及在出口處部署防火墻實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)區(qū)的訪問(wèn)控制。

2.3 網(wǎng)絡(luò)審計(jì)[1]

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作，偵查系統(tǒng)中存在的現(xiàn)有和潛在的威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部事件和內(nèi)部事件。在數(shù)據(jù)中心核心交換機(jī)處旁路部署網(wǎng)絡(luò)行為監(jiān)控與審計(jì)系統(tǒng)，形成對(duì)全網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)的流量檢測(cè)并進(jìn)行相應(yīng)安全審計(jì)，同時(shí)和其他網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測(cè)。

網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)將獨(dú)立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)據(jù)匯聚點(diǎn)設(shè)備上，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析、匹配、統(tǒng)計(jì)，通過(guò)特定的協(xié)議算法，從而實(shí)現(xiàn)入侵檢測(cè)、信息還原等網(wǎng)絡(luò)審計(jì)功能，根據(jù)記錄生成詳細(xì)的審計(jì)報(bào)表。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)采取旁路技術(shù)，不用在目標(biāo)主機(jī)中安裝任何組件。同時(shí)玩了個(gè)審計(jì)系統(tǒng)可以與其他網(wǎng)絡(luò)安全設(shè)備進(jìn)行聯(lián)動(dòng)，將各自的監(jiān)控記錄送往安全管理安全域中的安全管理服務(wù)器，集中對(duì)網(wǎng)絡(luò)異常、攻擊和病毒進(jìn)行分析和檢測(cè)。

2.4 網(wǎng)絡(luò)入侵防范[1]

根據(jù)數(shù)據(jù)中心的業(yè)務(wù)安全需求和等級(jí)保護(hù)三級(jí)對(duì)入侵防范的要求，需要在網(wǎng)絡(luò)中部署入侵防護(hù)產(chǎn)品。

入侵防護(hù)和產(chǎn)品通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)產(chǎn)品應(yīng)支持深度內(nèi)容檢測(cè)、技術(shù)。配合實(shí)時(shí)更新的入侵攻擊特征庫(kù)，可檢測(cè)網(wǎng)絡(luò)攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測(cè)與掃描等各種網(wǎng)絡(luò)威脅。當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

入侵防護(hù)產(chǎn)品部署在數(shù)據(jù)中心與核心交換機(jī)之間，繼防火墻邊界訪問(wèn)控制后的第二道防線。

2.5 邊界惡意代碼防范[1]

根據(jù)數(shù)據(jù)中心業(yè)務(wù)風(fēng)險(xiǎn)分析和等級(jí)保護(hù)三級(jí)對(duì)邊界惡意代碼防范的要求，需要在互聯(lián)網(wǎng)邊界部署防病毒產(chǎn)品，也可以在下一代防火墻添加防病毒模塊來(lái)實(shí)現(xiàn)此功能；防病毒產(chǎn)品應(yīng)具備針對(duì)HTTP、FTP、SMTP、POP3、IMAP以及MSN協(xié)議的內(nèi)容檢查、清除病毒的能力。支持查殺引導(dǎo)區(qū)病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼，并定期提供對(duì)病毒庫(kù)版本的升級(jí)。

2.6 網(wǎng)絡(luò)設(shè)備保護(hù)[1]

對(duì)于網(wǎng)絡(luò)中關(guān)鍵的交換機(jī)、路由器設(shè)備，也需要采用一定的安全設(shè)置及安全保障手段來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)層的控制。主要是根據(jù)等級(jí)保護(hù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登錄地址、標(biāo)識(shí)符、口令復(fù)雜度、失敗處理、傳輸加密、特權(quán)用戶權(quán)限分配等方面對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。

由于不同網(wǎng)絡(luò)設(shè)備安全配置的不同、配置維護(hù)工作繁雜，且信息安全是動(dòng)態(tài)變化的，因此這里推薦通過(guò)自動(dòng)化的配置核查設(shè)備，對(duì)網(wǎng)絡(luò)層面和主機(jī)層的安全配置進(jìn)行定期掃描核查，及時(shí)發(fā)現(xiàn)不滿足基線要求的相關(guān)配置，并根據(jù)等級(jí)保護(hù)的安全配置要求提供相對(duì)應(yīng)的安全配置加固指導(dǎo)。

3 結(jié)束語(yǔ)

通過(guò)以上六個(gè)方面的安全加固，重點(diǎn)解決了醫(yī)院當(dāng)前網(wǎng)絡(luò)安全環(huán)境中面臨的主要問(wèn)題。隨著醫(yī)院數(shù)字化進(jìn)程的不斷深入，我們還將重點(diǎn)跟蹤網(wǎng)絡(luò)安全方面出現(xiàn)的新問(wèn)題、新的技術(shù)思路和新的技術(shù)解決方案，做好醫(yī)院的網(wǎng)絡(luò)安全工作，為醫(yī)院信息化建設(shè)保駕護(hù)航。

目前，網(wǎng)絡(luò)已經(jīng)深刻影響與改變現(xiàn)有的醫(yī)療模式[4]，網(wǎng)絡(luò)安全已成為醫(yī)院信息化建設(shè)中的重中之重，它是一項(xiàng)復(fù)雜而艱巨的系統(tǒng)工程，需全方位入手，切實(shí)保障醫(yī)院各信息系統(tǒng)安全穩(wěn)定的運(yùn)行、醫(yī)院各項(xiàng)工作順利的開展，真正為廣大患者提供優(yōu)質(zhì)便捷的服務(wù)。

參考文獻(xiàn)：

[1]GB/T 22239-2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[2]GB/T 9387.2-1995，開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)《醫(yī)療機(jī)構(gòu)》，P14-P18：安全服務(wù)與安全機(jī)制的配置[S].

[3]ISO 10181：1996 信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架[S].

[4]陳理兵，陳起燕.論醫(yī)院網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全設(shè)計(jì)[J].福建電腦，2013（11）.

篇7

關(guān)鍵詞:消防網(wǎng)絡(luò)；建設(shè)；思考；問(wèn)題分析

Abstract: Fire Fire is a modern expression network construction to build the necessary work for the fire department's disaster relief played an important role in the process. In the era after the advent of the information society, computer networks in various industries in the use of more extensive and advanced network system has been extended. In order to meet the social technology trends, the fire department also actively create a network system to serve the fire service. Networks in building fire must be in-depth understanding of network-building elements, of which there are network problems preventing effective treatment strategies, the paper described on this issue.

Keywords: fire network; construction; thinking; Analysis

通過(guò)將傳統(tǒng)消防網(wǎng)絡(luò)與計(jì)算機(jī)聯(lián)網(wǎng)，既能實(shí)現(xiàn)整體上的網(wǎng)絡(luò)控制，也能協(xié)調(diào)好各個(gè)環(huán)節(jié)之間的連接運(yùn)行，保證了各項(xiàng)消防數(shù)據(jù)信息得到充分運(yùn)用。但在消防網(wǎng)絡(luò)構(gòu)建時(shí)，對(duì)于一些潛在的安全問(wèn)題也要及時(shí)處理，避免消防數(shù)據(jù)庫(kù)被入侵者襲擊，阻礙了網(wǎng)絡(luò)功能的有效發(fā)揮。

一、消防網(wǎng)絡(luò)化建設(shè)的具體內(nèi)容

若想在全國(guó)范圍內(nèi)推廣網(wǎng)絡(luò)化消防模式還存在較大的難度，這是由于國(guó)內(nèi)各個(gè)地區(qū)之間的經(jīng)濟(jì)條件與技術(shù)條件還存在很大的差異，這些都是阻礙網(wǎng)絡(luò)化消防建設(shè)的主要因素。而對(duì)于經(jīng)濟(jì)發(fā)達(dá)的城市地區(qū)，在構(gòu)建網(wǎng)絡(luò)消防是必須要深入分析網(wǎng)絡(luò)化模式的具體內(nèi)容，這樣才能更好地指導(dǎo)網(wǎng)絡(luò)化模式的創(chuàng)建。從現(xiàn)有的技術(shù)水平看，我國(guó)消防網(wǎng)絡(luò)化建設(shè)需涉及到以下幾點(diǎn)內(nèi)容：

1、消防信息化。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)是同步發(fā)展的，兩種技術(shù)之間相互聯(lián)系、相互促進(jìn)。在信息化時(shí)代到來(lái)之后，國(guó)內(nèi)計(jì)算機(jī)技術(shù)的運(yùn)用也更為廣泛，就消防網(wǎng)絡(luò)建設(shè)來(lái)說(shuō)，其必須要實(shí)現(xiàn)消防信息化的改革[1]。消防信息化融合了現(xiàn)代計(jì)算機(jī)、互聯(lián)網(wǎng)絡(luò)、通信技術(shù)等內(nèi)容，實(shí)現(xiàn)了消防信息進(jìn)行采集、儲(chǔ)存、處理、分析、挖掘的信息化處理。

2、通信網(wǎng)絡(luò)化。傳統(tǒng)的消防網(wǎng)絡(luò)結(jié)構(gòu)中采用的都是有線通信設(shè)施，而消防網(wǎng)絡(luò)模式的構(gòu)建需使用互聯(lián)網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)信息的傳輸，達(dá)到無(wú)線通信的操作要求。網(wǎng)絡(luò)通信主要涉及：通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、信息系統(tǒng)建設(shè)及應(yīng)用、安全保障體系建設(shè)、運(yùn)行管理體系建設(shè)、標(biāo)準(zhǔn)規(guī)范體系建設(shè)等方面的內(nèi)容。此外，在信息報(bào)警上也創(chuàng)建新的模式，如圖一：

圖一 消防網(wǎng)絡(luò)報(bào)警系統(tǒng)

3、級(jí)別全面化。消防網(wǎng)絡(luò)是一個(gè)綜合性的功能體系，其在網(wǎng)絡(luò)化建設(shè)期間要考慮到地區(qū)之間的差異性，建立不同級(jí)別的消防網(wǎng)絡(luò)才能適應(yīng)消防需要。國(guó)內(nèi)的消防網(wǎng)絡(luò)可具體劃分為三級(jí)：從部消防局到各省(區(qū)、市)消防總隊(duì)以及相關(guān)的消防科研機(jī)構(gòu)和消防院校；各省(區(qū)、市)消防總隊(duì)到市(地、州)消防支隊(duì)；各市(地、州)消防支隊(duì)到基層消防大隊(duì)及中隊(duì)。

4、保障的完整化。構(gòu)建消防網(wǎng)絡(luò)不僅要注重網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的需要，還要對(duì)網(wǎng)絡(luò)之外的建設(shè)內(nèi)容給予重視。對(duì)消防網(wǎng)絡(luò)設(shè)計(jì)完整的保障體系也是建設(shè)階段的重點(diǎn)，這是維持消防網(wǎng)絡(luò)正常運(yùn)行的基礎(chǔ)[2]。在安全保障體系建設(shè)階段，應(yīng)維持保障網(wǎng)絡(luò)安全、可靠、持續(xù)運(yùn)行，避免網(wǎng)絡(luò)內(nèi)部受到外在因素的干擾，讓網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)信息都能實(shí)現(xiàn)有效傳輸。

二、消防網(wǎng)絡(luò)化面臨的安全問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)本身就是一個(gè)多風(fēng)險(xiǎn)的功能體系，在構(gòu)建消防網(wǎng)絡(luò)時(shí)同樣會(huì)面臨來(lái)自網(wǎng)絡(luò)的各種安全隱患，給消防網(wǎng)絡(luò)的運(yùn)用帶來(lái)諸多不便。消防部門在利用網(wǎng)絡(luò)開展消防指導(dǎo)時(shí)，也要注意保護(hù)網(wǎng)絡(luò)內(nèi)部的資源信息，避免數(shù)據(jù)失竊而引起的各種問(wèn)題。目前，消防網(wǎng)絡(luò)建設(shè)存在的安全問(wèn)題受到了普遍關(guān)注。

1、操作系統(tǒng)安全。計(jì)算機(jī)網(wǎng)絡(luò)是消防網(wǎng)絡(luò)的根本，而操作系統(tǒng)則是計(jì)算機(jī)運(yùn)行的控制核心。若構(gòu)架消防網(wǎng)絡(luò)時(shí)選用的操作系統(tǒng)不當(dāng)，會(huì)給后期的消防控制帶來(lái)很大的安全隱患。如：操作系統(tǒng)結(jié)構(gòu)組成；操作系統(tǒng)支持的傳輸文件、安裝程序等等，一旦系統(tǒng)出現(xiàn)問(wèn)題則會(huì)給網(wǎng)絡(luò)管理造成困難，或直接讓管理權(quán)被入侵者掌控，原先穩(wěn)定的操作系統(tǒng)性能受損。

2、網(wǎng)絡(luò)運(yùn)行安全。消防網(wǎng)絡(luò)在運(yùn)行期間也是安全問(wèn)題多發(fā)的階段，因?yàn)镮nternet／Intmnet的形成造成了更多的網(wǎng)絡(luò)安全問(wèn)題。如：在TCP／IP協(xié)議下，網(wǎng)絡(luò)創(chuàng)建的FTP、E-Mail、RPC和NFS均有安全漏洞，使得網(wǎng)絡(luò)傳輸時(shí)的文件容易被竊取、損壞、丟失[3]。另外，Intemet網(wǎng)絡(luò)屬于開放性的網(wǎng)絡(luò)，在滿足用戶資源共享的同時(shí)也為安全問(wèn)題的發(fā)生提供條件。

3、數(shù)據(jù)管理安全。數(shù)據(jù)庫(kù)是龐大的信息資源構(gòu)成體，消防網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)中儲(chǔ)存了諸多消防信息。隨著數(shù)據(jù)庫(kù)信息量的增長(zhǎng)，其面臨的數(shù)據(jù)安全隱患也更為多樣。如：防火墻在運(yùn)行時(shí)難以抵擋龐大數(shù)據(jù)量造成的安全襲擊，雖然防火墻的設(shè)置能夠避免安全網(wǎng)免受外部黑客的攻擊，但這種安全防范并不是絕對(duì)的，對(duì)于一些新型的網(wǎng)絡(luò)攻擊手段抵抗力很弱。

4、服務(wù)流程安全。網(wǎng)絡(luò)服務(wù)是消防網(wǎng)絡(luò)作用發(fā)的基礎(chǔ)，只有利用服務(wù)器來(lái)控制各項(xiàng)網(wǎng)絡(luò)結(jié)構(gòu)才能發(fā)揮消防調(diào)控作用。如：IIS服務(wù)、FTP服務(wù)、E-Mail服務(wù)等，這些都是網(wǎng)絡(luò)消防必須具備的服務(wù)構(gòu)成。在服務(wù)流程中常會(huì)面臨著：分布式拒絕服務(wù)攻擊。入侵者對(duì)系統(tǒng)或網(wǎng)絡(luò)傳輸有害信息，導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)癱瘓，中斷了服務(wù)器裝置的運(yùn)行功能。

三、消防網(wǎng)絡(luò)安全對(duì)策問(wèn)題的思考

科學(xué)的消防網(wǎng)絡(luò)不僅降低了消防部門的工作難度，也能通過(guò)網(wǎng)絡(luò)監(jiān)控及時(shí)發(fā)現(xiàn)各種災(zāi)情。互諒網(wǎng)絡(luò)運(yùn)用于消防事業(yè)是一項(xiàng)工作模式的創(chuàng)新，也是現(xiàn)代化消防系統(tǒng)的必然要求。為了更好地利用消防網(wǎng)絡(luò)，消防部門必須針對(duì)網(wǎng)絡(luò)化建設(shè)存在的問(wèn)題制定有效的處理方案，保證網(wǎng)絡(luò)模式的正常運(yùn)行。

1、規(guī)范管理流程。消防部門領(lǐng)導(dǎo)者要制定嚴(yán)格的管理制度，日常工作中加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，對(duì)網(wǎng)絡(luò)化運(yùn)行期間存在的安全隱患及時(shí)防范。如：制定系統(tǒng)維護(hù)制度，每隔一周對(duì)部門內(nèi)部的消防網(wǎng)進(jìn)行檢測(cè)，對(duì)潛在的安全隱患提前處理。只有優(yōu)化管理流程，才能改善消防網(wǎng)絡(luò)的運(yùn)行質(zhì)量。

2、優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。從消防部門內(nèi)部結(jié)構(gòu)設(shè)置看，其在網(wǎng)絡(luò)建設(shè)中也要注重各個(gè)部門之間的協(xié)調(diào)性，讓消防網(wǎng)絡(luò)的作用得到充分發(fā)揮。大隊(duì)網(wǎng)絡(luò)結(jié)構(gòu)則是一個(gè)接入層的路由器，由可網(wǎng)管的交換機(jī)、視頻會(huì)議終端、IP電話等構(gòu)成，如圖三；支隊(duì)網(wǎng)絡(luò)結(jié)構(gòu)則是匯聚層的路由器，由召開會(huì)議的MCU、硬件防火墻、DMZ區(qū)域等，同時(shí)具備了保護(hù)支隊(duì)的網(wǎng)站、ftp服務(wù)器、視頻服務(wù)器、辦公自動(dòng)化業(yè)務(wù)系統(tǒng)服務(wù)器等等[4]。

圖二 消防大隊(duì)網(wǎng)絡(luò)結(jié)構(gòu)

3、創(chuàng)建領(lǐng)導(dǎo)小組?？紤]到消防網(wǎng)絡(luò)是一項(xiàng)新事物，在構(gòu)建網(wǎng)絡(luò)模式時(shí)應(yīng)創(chuàng)建領(lǐng)導(dǎo)小組，從網(wǎng)絡(luò)技術(shù)、系統(tǒng)維護(hù)、信息建設(shè)等方面維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全性。如：創(chuàng)建“信息化建設(shè)領(lǐng)導(dǎo)小組”，從消防部門、辦事部門、網(wǎng)絡(luò)建設(shè)人員等綜合領(lǐng)導(dǎo)，營(yíng)造良好的網(wǎng)絡(luò)環(huán)境。

4、引進(jìn)網(wǎng)控技術(shù)?？茖W(xué)的網(wǎng)絡(luò)安全技術(shù)能減少網(wǎng)絡(luò)被入侵的次數(shù)，讓消防網(wǎng)絡(luò)建設(shè)工作有序進(jìn)行。如：網(wǎng)絡(luò)管理人員需防止消防網(wǎng)與Internet連接直接接入，要添加一個(gè)合適的服務(wù)器，使得上網(wǎng)的終端在Internet上無(wú)法顯示真實(shí)IP的，有效抵制了攻擊[5]。同時(shí)，也在消防網(wǎng)絡(luò)控制中可引進(jìn)分布式檢測(cè)模式，如圖三，防止網(wǎng)絡(luò)出現(xiàn)入侵故障。

圖三 分布式網(wǎng)絡(luò)檢測(cè)原理

5、維護(hù)數(shù)據(jù)安全。當(dāng)前，消防部門采用的是Microsoft的Access，這種數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)功能必須要借助于ASP、PHP等動(dòng)態(tài)網(wǎng)頁(yè)平臺(tái)才能實(shí)現(xiàn)。利用 SQL查詢語(yǔ)句與頁(yè)面進(jìn)行數(shù)據(jù)交換，既能維持消防網(wǎng)絡(luò)系統(tǒng)的安全，也能避免數(shù)據(jù)庫(kù)受到外在因素的襲擊。此外，Microsoft的SQL Server和Oracle也是常用的。

結(jié)論

總之，消防網(wǎng)絡(luò)化模式的構(gòu)建不僅是消防工作的需要，也是新時(shí)期網(wǎng)絡(luò)技術(shù)推廣的必然要求。在構(gòu)建消防網(wǎng)絡(luò)時(shí)，消防部門不能僅考慮網(wǎng)絡(luò)運(yùn)行的性能，還要重點(diǎn)考慮網(wǎng)絡(luò)運(yùn)行的安全問(wèn)題，防止重要的信息數(shù)據(jù)被竊取或丟失，加強(qiáng)消防網(wǎng)絡(luò)安全工作是網(wǎng)絡(luò)建設(shè)的重中之重。

參考文獻(xiàn)：

[1]石小琳.消防網(wǎng)絡(luò)建設(shè)中的安全防范策略[J].消防科技，2010,14（12）：48-51.

[2]朱家林.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)運(yùn)用于消防建設(shè)[J].計(jì)算機(jī)應(yīng)用技術(shù)，2009,33（16）：32-35.

[3]呂軍德.現(xiàn)代消防模式中的安全控制技術(shù)[J].中小企業(yè)管理，2009,26（15）：76-78.

[4]歐佳華.分析消防網(wǎng)絡(luò)模式的服務(wù)功能優(yōu)化問(wèn)題[J].網(wǎng)絡(luò)技術(shù)，2010,18（14）：34-37.

[5]王書汶.有關(guān)消防網(wǎng)絡(luò)建設(shè)工程的思考[J].消防工程建設(shè)，2009,30（18）：42-44.

篇8

關(guān)鍵詞：大數(shù)據(jù)；計(jì)算機(jī)；網(wǎng)絡(luò)；安全防范

1引言

大數(shù)據(jù)技術(shù)的研究應(yīng)用對(duì)于眾多企事業(yè)單位自身的發(fā)展起了較大的促進(jìn)作用，并提供了重要的數(shù)據(jù)支撐。但是，在大數(shù)據(jù)技術(shù)應(yīng)用的過(guò)程中，計(jì)算機(jī)網(wǎng)絡(luò)安全成為了較大的問(wèn)題。因此，如何在大數(shù)據(jù)技術(shù)引入的情況下，強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)安全防范是值得研究的問(wèn)題。本文指出了在大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題，提出了完善的策略，為做好計(jì)算機(jī)安全防護(hù)工作提供支持。

2大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題

結(jié)合筆者的實(shí)際探究來(lái)看，大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全問(wèn)題主要包括以下幾個(gè)層面：第一，網(wǎng)絡(luò)系統(tǒng)漏洞問(wèn)題。新時(shí)期計(jì)算機(jī)技術(shù)迅速發(fā)展，很多的系統(tǒng)設(shè)計(jì)相比過(guò)去無(wú)論是在效率還是在質(zhì)量上都提升了很多，不過(guò)網(wǎng)絡(luò)系統(tǒng)不是萬(wàn)能的，更不是完美的。任何新系統(tǒng)都會(huì)存在漏洞，這就會(huì)使得網(wǎng)絡(luò)安全問(wèn)題以及相關(guān)的漏洞不可能完全解決，只能盡量降低其中存在的安全隱患，因此這方面的問(wèn)題會(huì)使相關(guān)的數(shù)據(jù)安全性受到一定的制約。第二，主要體現(xiàn)在信息內(nèi)容安全隱患上。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)的數(shù)量相比過(guò)去成幾何倍數(shù)增長(zhǎng)，計(jì)算機(jī)和網(wǎng)絡(luò)空間也要實(shí)時(shí)接收大量的數(shù)據(jù)，這就使得其內(nèi)容日漸豐富，數(shù)據(jù)量不斷增加，在自由度相對(duì)較高的環(huán)境下，整體的安全性和可靠性逐步降低。這類的安全隱患不僅在硬件方面可能會(huì)造成一定的損害，也有可能使得整個(gè)數(shù)據(jù)體系造成一定的損失。第三，主要體現(xiàn)在人為操作的不安全上。新時(shí)期雖然很多業(yè)務(wù)的操作已經(jīng)進(jìn)入了半自動(dòng)化或全自動(dòng)化處理模式。不過(guò)依舊有很多業(yè)務(wù)是需要人工操作的，特別是對(duì)于一些數(shù)據(jù)問(wèn)題而言，計(jì)算機(jī)操作中用戶的水平參差不齊，一些缺乏安全認(rèn)知的用戶的不當(dāng)操作會(huì)導(dǎo)致很多問(wèn)題的發(fā)生，特別是在數(shù)據(jù)方面，比如數(shù)據(jù)泄露、密碼丟失、數(shù)據(jù)損壞等，都會(huì)使整體的系統(tǒng)安全性下降，因此這方面的問(wèn)題也需要格外注意。

3大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略

在大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全防范措施方面，可以從以下幾個(gè)角度入手來(lái)開展相關(guān)的研究。第一，提升網(wǎng)絡(luò)系統(tǒng)整體的可靠性，盡量降低因漏洞出現(xiàn)而造成的風(fēng)險(xiǎn)和損失。雖然計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞是不可避免的，但是結(jié)合新的防護(hù)軟件和防火墻體系建設(shè)可以盡量降低因系統(tǒng)漏洞所帶來(lái)的各類問(wèn)題。所以對(duì)于企事業(yè)單位而言，應(yīng)當(dāng)及時(shí)安裝最新的殺毒軟件和防火墻程序，使得安全隱患系數(shù)降到最低，這對(duì)于提升整體的安全性而言很有幫助。第二，做好信息內(nèi)容數(shù)量和質(zhì)量的保證工作。在信息數(shù)量不斷提升的基礎(chǔ)之上，盡量提升數(shù)據(jù)的質(zhì)量。結(jié)合著國(guó)家及社會(huì)機(jī)構(gòu)制定的各類標(biāo)準(zhǔn)來(lái)起草本單位內(nèi)部的內(nèi)容質(zhì)量規(guī)范，提升數(shù)據(jù)使用的安全性和可靠性，在正確的操作規(guī)范引領(lǐng)下提升整體的業(yè)務(wù)水平，保證信息內(nèi)容的安全可靠。第三，提升相關(guān)工作人員及實(shí)際用戶的個(gè)人操作能力，提升他們的網(wǎng)絡(luò)安全感知能力，這可以有效地防止計(jì)算機(jī)遭受網(wǎng)絡(luò)的攻擊。在提升網(wǎng)絡(luò)安全感知能力方面應(yīng)當(dāng)建立完善的安全管理機(jī)制，結(jié)合脆弱性感知、資產(chǎn)管理、錯(cuò)誤操作、安全事件研究等方面來(lái)全方位地提供相應(yīng)的業(yè)務(wù)課程，這對(duì)于提升工作人員和用戶的個(gè)人網(wǎng)絡(luò)操作能力而言都很有幫助。

篇9

關(guān)鍵詞：智慧城市；智慧徐州；網(wǎng)絡(luò)安全；安全防范

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）27-0037-03

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術(shù)的迅速發(fā)展，世界各地有競(jìng)爭(zhēng)力的城市已迎來(lái)了數(shù)字向智慧城市邁進(jìn)的大潮。智慧城市建設(shè)注重城市物理基礎(chǔ)設(shè)施與IT基礎(chǔ)設(shè)施之間進(jìn)行完美結(jié)合，旨在改變政府、企業(yè)和市民交互的方式，提高明確性、效率、靈活性和響應(yīng)速度，促進(jìn)城市內(nèi)外部信息產(chǎn)生、交流、釋放和傳遞向有序化、高效化發(fā)展，關(guān)注提高城市經(jīng)濟(jì)和社會(huì)活動(dòng)的綜合競(jìng)爭(zhēng)力，越來(lái)越受到中國(guó)各個(gè)城市領(lǐng)導(dǎo)者的認(rèn)同和肯定。

徐州市在“十二五”伊始，深刻認(rèn)識(shí)到智慧徐州建設(shè)在提升綜合競(jìng)爭(zhēng)力、加快轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式、加強(qiáng)社會(huì)建設(shè)與管理，解決發(fā)展深層次問(wèn)題等方面的重要作用，將“智慧徐州”建設(shè)納入了未來(lái)城市發(fā)展的戰(zhàn)略主題，希望通過(guò)智慧徐州建設(shè)，以信息資源整合、共享、利用為抓手，健全公共服務(wù)，增進(jìn)民生幸福，科技創(chuàng)新驅(qū)動(dòng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)，智能手段創(chuàng)新城市管理模式，采約建設(shè)實(shí)現(xiàn)信息基礎(chǔ)全面領(lǐng)先，為把我市建設(shè)成“同類城市中環(huán)境最為秀美、文化事業(yè)最為繁榮、富民強(qiáng)市最為協(xié)調(diào)的江南名城”提供有力支撐。

網(wǎng)絡(luò)系統(tǒng)作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過(guò)網(wǎng)絡(luò)系統(tǒng)進(jìn)行數(shù)據(jù)傳輸，規(guī)劃一張合理的、高效的、安全的網(wǎng)絡(luò)系統(tǒng)能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩(wěn)定、高速地運(yùn)行。

1 網(wǎng)絡(luò)安全建設(shè)

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來(lái)的安全事件后果與風(fēng)險(xiǎn)也較傳統(tǒng)應(yīng)用高出很多，因此在建設(shè)中安全系統(tǒng)建設(shè)將作為一項(xiàng)重要工作加以實(shí)施。網(wǎng)絡(luò)安全建設(shè)應(yīng)包括以下幾方面：

1.1 安全的網(wǎng)絡(luò)結(jié)構(gòu)

安全的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該能夠滿足為了保證主要的網(wǎng)絡(luò)設(shè)備在進(jìn)行業(yè)務(wù)處理時(shí)能夠有足夠的冗余空間，來(lái)滿足處理高峰業(yè)務(wù)時(shí)期帶來(lái)的需求；確保網(wǎng)絡(luò)各部分的帶寬能夠滿足高峰業(yè)務(wù)時(shí)期的需要；安全的訪問(wèn)路徑則通過(guò)路由控制可以在終端與服務(wù)器之間建立；按照提出需求的業(yè)務(wù)的重要性進(jìn)行排序來(lái)指定分配帶寬優(yōu)先級(jí)別，如果網(wǎng)絡(luò)發(fā)生擁堵，則優(yōu)先保護(hù)重要的主機(jī)；能夠繪制出當(dāng)前網(wǎng)絡(luò)運(yùn)行情況的拓?fù)浣Y(jié)構(gòu)圖；參考不同部門之間的工作職能和涉及相關(guān)信息的重要程度等因素，來(lái)劃分成不同的子網(wǎng)和網(wǎng)段，與此同時(shí)在以方便管理和控制的前提下，進(jìn)行地址分配；重要網(wǎng)段部署不能處在網(wǎng)絡(luò)的邊界處而且不能與外部信息系統(tǒng)直接連接，應(yīng)該采取安全的技術(shù)隔離手段將重要網(wǎng)段與其他網(wǎng)段進(jìn)行必要的隔離。

1.2 訪問(wèn)控制安全

當(dāng)在網(wǎng)絡(luò)邊界對(duì)控制設(shè)備進(jìn)行訪問(wèn)時(shí)，能夠啟動(dòng)訪問(wèn)控制功能；對(duì)實(shí)現(xiàn)過(guò)濾信息內(nèi)容的功能，并且能對(duì)應(yīng)用層的各種網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)命令級(jí)的控制；能自動(dòng)根據(jù)會(huì)話的狀態(tài)信息為傳輸?shù)臄?shù)據(jù)流提供較為明確的允許或者拒絕訪問(wèn)的能力，將控制粒度設(shè)為端口級(jí)；能夠及時(shí)限制網(wǎng)絡(luò)的最大流量數(shù)和網(wǎng)絡(luò)的連接數(shù)量；當(dāng)會(huì)話結(jié)束或非活躍狀態(tài)的會(huì)話處于一段時(shí)間后將終止網(wǎng)絡(luò)的連接；要采取有效的技術(shù)手段防止對(duì)重要的網(wǎng)段地址欺騙；能在遵守系統(tǒng)和用戶之間的訪問(wèn)規(guī)則條件下，來(lái)決定用戶對(duì)受控系統(tǒng)進(jìn)行資源的訪問(wèn)是否被允許或拒絕，同時(shí)將單個(gè)用戶設(shè)置為控制粒度；具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量受到限制。

在關(guān)鍵的位置部署網(wǎng)關(guān)設(shè)備是實(shí)現(xiàn)訪問(wèn)控制安全的最有效途徑，政務(wù)網(wǎng)接入邊界安全網(wǎng)關(guān)：為內(nèi)部區(qū)域提供邊界防護(hù)、訪問(wèn)控制和攻擊過(guò)濾。

1.3 審計(jì)安全

安全審計(jì)方面應(yīng)包括能夠?qū)W(wǎng)絡(luò)系統(tǒng)中設(shè)備的用戶行為、網(wǎng)絡(luò)流量、運(yùn)行狀況等進(jìn)行相關(guān)的記錄；并且能夠分析所記錄的數(shù)據(jù)，生成相關(guān)的報(bào)表；為避免審計(jì)記錄受到未預(yù)期的修改、覆蓋或刪除等操作，應(yīng)當(dāng)安全保護(hù)審計(jì)記錄。通過(guò)防火墻可以實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)的功能。

網(wǎng)絡(luò)的審計(jì)安全主要內(nèi)容有：為能夠有效記錄網(wǎng)絡(luò)設(shè)備、各區(qū)域服務(wù)器系統(tǒng)和安全設(shè)備等這些設(shè)備以及經(jīng)過(guò)這些設(shè)備的所有訪問(wèn)行為，應(yīng)在這些設(shè)備上開啟相應(yīng)的審計(jì)功能，由安全管理員定期對(duì)日志信息和活動(dòng)狀態(tài)進(jìn)行分析，并發(fā)現(xiàn)深層次的安全問(wèn)題。

1.4 檢查邊界的完整性

為對(duì)私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的非授權(quán)設(shè)備行為進(jìn)行安全檢查，邊界完整性檢查要求能夠準(zhǔn)確定出其位置，并進(jìn)行有效的阻斷。

實(shí)現(xiàn)邊界完整性檢查的相關(guān)技術(shù)：

1）制定嚴(yán)格的檢查策略，將服務(wù)器區(qū)域在網(wǎng)絡(luò)設(shè)備上劃分為具有獨(dú)立功能的VLAN，同時(shí)禁止除來(lái)自網(wǎng)絡(luò)入侵防御系統(tǒng)以外的其他VLAN的訪問(wèn)；

2）為提升系統(tǒng)自身的安全訪問(wèn)控制能力，應(yīng)對(duì)安全加固服務(wù)器系統(tǒng)采取相應(yīng)措施。

1.5 入侵防范

網(wǎng)絡(luò)的入侵防范應(yīng)能在網(wǎng)絡(luò)邊界處監(jiān)視到木馬后門攻擊、拒絕服務(wù)攻擊、IP碎片攻擊、端口掃描、強(qiáng)力攻擊、網(wǎng)絡(luò)蠕蟲攻擊和緩沖區(qū)溢出攻擊等攻擊行為。當(dāng)攻擊行為被檢測(cè)到時(shí)，應(yīng)能記錄攻擊的時(shí)間、源IP、目的和類型，如果發(fā)生較為嚴(yán)重的入侵事件，應(yīng)及時(shí)提供警報(bào)信息。通過(guò)前置防火墻實(shí)現(xiàn)入侵防御的功能。

1.6 惡意代碼防范

在網(wǎng)絡(luò)邊界處檢測(cè)和清除惡意代碼，對(duì)惡意代碼數(shù)據(jù)庫(kù)的升級(jí)和系統(tǒng)檢測(cè)的更新等，是惡意代碼防范的范疇。目前，主要是通過(guò)網(wǎng)絡(luò)邊界的安全網(wǎng)關(guān)系統(tǒng)防病毒模塊來(lái)檢測(cè)和清除系統(tǒng)漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務(wù)類等一系列惡意代碼進(jìn)行來(lái)實(shí)現(xiàn)惡意代碼防范的技術(shù)。

1.7 網(wǎng)絡(luò)設(shè)備的安全防護(hù)

網(wǎng)絡(luò)設(shè)備的安全防護(hù)要求能夠限制網(wǎng)絡(luò)設(shè)備管理員的登錄地址；在網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網(wǎng)絡(luò)設(shè)備對(duì)同一用戶進(jìn)行身份時(shí)鑒別時(shí)，應(yīng)當(dāng)選擇幾種組合的鑒別技術(shù)來(lái)鑒別，避免只使用一種鑒別技術(shù)；鑒別身份的信息應(yīng)不易被冒用，網(wǎng)絡(luò)口令應(yīng)定期更換而且要有一定的復(fù)雜度，不易破解；當(dāng)?shù)卿浭r(shí)，能自動(dòng)采取限制登錄次數(shù)、結(jié)束會(huì)話和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等相應(yīng)措施；當(dāng)網(wǎng)絡(luò)設(shè)備被用戶遠(yuǎn)程管理時(shí)，能夠有防止網(wǎng)絡(luò)傳輸過(guò)程的鑒別信息被竊聽的相關(guān)措施。

網(wǎng)絡(luò)設(shè)備安全防護(hù)的技術(shù)實(shí)現(xiàn)主要是通過(guò)提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，根據(jù)前面的網(wǎng)絡(luò)結(jié)構(gòu)分析，系統(tǒng)采用若干臺(tái)核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)，實(shí)現(xiàn)各個(gè)安全區(qū)域的連接。

對(duì)于網(wǎng)絡(luò)設(shè)備，應(yīng)進(jìn)行相應(yīng)的安全加固：

1）將樓層接入交換機(jī)的接口安全特性開啟，并將MAC進(jìn)行綁定。

2）關(guān)閉不必要的服務(wù)，包括關(guān)閉CDP、Finger服務(wù)、NTP服務(wù)、BOOTp服務(wù)（路由器適用）等。

3）登錄要求和帳號(hào)管理，包括采用enable secret設(shè)置密碼、采用認(rèn)證、采用多用戶分權(quán)管理等。

4）SNMP協(xié)議設(shè)置和日志審計(jì)，包括設(shè)置SNMP讀寫密碼、更改SNMP協(xié)議端口、限制SNMP發(fā)起連接源地址、開啟日志審計(jì)功能。

5）其它安全要求，包括禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網(wǎng)絡(luò)安全防護(hù)

邊界防護(hù)：在智慧徐州信息資源樞紐工程的邊界設(shè)立一定的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺(tái)的物理網(wǎng)絡(luò)之間，智慧徐州信息資源樞紐工程的產(chǎn)品和邊界安全防護(hù)技術(shù)主要采用交換機(jī)接入、前置防火墻及網(wǎng)閘。

區(qū)域防護(hù)：比邊界防護(hù)更小的范圍是區(qū)域防護(hù)，指在一個(gè)區(qū)域設(shè)立的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中，區(qū)域是比較小的網(wǎng)段或者網(wǎng)絡(luò)，智慧徐州信息資源樞紐工程的區(qū)域防護(hù)技術(shù)和產(chǎn)品采用接入防火墻。

節(jié)點(diǎn)防護(hù)：節(jié)點(diǎn)防護(hù)主要是指系統(tǒng)健壯性的保護(hù)，查堵系統(tǒng)的漏洞，它已經(jīng)具體到其中某一臺(tái)主機(jī)或服務(wù)器的防護(hù)措施，建議智慧徐州信息資源樞紐工程中的產(chǎn)品和節(jié)點(diǎn)防護(hù)技術(shù)都應(yīng)采用病毒防范系統(tǒng)、信息安全檢查工具和網(wǎng)絡(luò)安全評(píng)估分析系統(tǒng)等。

3 網(wǎng)絡(luò)高可用

在智慧徐州信息資源樞紐工程網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)設(shè)備本身以及設(shè)備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網(wǎng)絡(luò)的穩(wěn)定性，在智慧徐州信息資源樞紐工程核心網(wǎng)絡(luò)部分，核心交換機(jī)、接入防火墻等設(shè)備全部采用冗余配置，包括引擎、交換網(wǎng)、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務(wù)局域網(wǎng)互聯(lián)，與服務(wù)器接入交換機(jī)互聯(lián)。在數(shù)據(jù)應(yīng)用區(qū)，服務(wù)器通過(guò)雙網(wǎng)卡與服務(wù)器接入交換機(jī)互聯(lián)，保障了服務(wù)器連接的高可靠性。

4 數(shù)據(jù)安全

4.1 數(shù)據(jù)安全建設(shè)

數(shù)據(jù)的安全是整個(gè)安全建設(shè)中非常重要的一部分內(nèi)容。數(shù)據(jù)的安全建設(shè)主要涉及數(shù)據(jù)的完整性、數(shù)據(jù)的保密性以及數(shù)據(jù)的備份和恢復(fù)。對(duì)于系統(tǒng)管理、鑒別信息和重要業(yè)務(wù)的相關(guān)數(shù)據(jù)在存儲(chǔ)過(guò)程中進(jìn)行檢測(cè)，如檢測(cè)到數(shù)據(jù)完整性有錯(cuò)誤時(shí)采取必要的恢復(fù)措施，并且能對(duì)這些數(shù)據(jù)采用加密措施，以保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

對(duì)于資源共享平臺(tái)系統(tǒng)的數(shù)據(jù)安全及備份恢復(fù)要求如下：

1）對(duì)于鑒別信息數(shù)據(jù)存儲(chǔ)的保密性要求，均可以通過(guò)加強(qiáng)物理安全及網(wǎng)絡(luò)安全，并實(shí)施操作系統(tǒng)級(jí)數(shù)據(jù)庫(kù)加固的方式進(jìn)行保護(hù)；

2）對(duì)于備份及恢復(fù)要求，配置了備份服務(wù)器和虛擬帶庫(kù)對(duì)各系統(tǒng)重要數(shù)據(jù)進(jìn)行定期備份；

3）需要通過(guò)制定并嚴(yán)格執(zhí)行備份與恢復(fù)管理制度和備份與恢復(fù)流程，加強(qiáng)各系統(tǒng)備份恢復(fù)能力。

4.2 數(shù)據(jù)安全加密傳輸（VPN）

針對(duì)數(shù)據(jù)傳輸?shù)陌踩?，部分接入部門到智慧徐州信息資源樞紐工程的數(shù)據(jù)進(jìn)行VPN加密傳輸。接入部門和平臺(tái)兩端之間運(yùn)行IPSec 或SSL VPN協(xié)議，保證數(shù)據(jù)在傳輸過(guò)程中的端到端安全性。

4.3 數(shù)據(jù)交換過(guò)程的安全保障

平臺(tái)數(shù)據(jù)交換過(guò)程的安全保障主要指信息在交換過(guò)程中不能被非法篡改、不能被非法訪問(wèn)、數(shù)據(jù)交換后不能抵賴等功能。

平臺(tái)業(yè)務(wù)系統(tǒng)在傳遞消息的過(guò)程中可以指定是否采用消息內(nèi)容的校驗(yàn)，校驗(yàn)方法是由發(fā)送消息的業(yè)務(wù)系統(tǒng)提供消息的原始長(zhǎng)度和根據(jù)某種約定的驗(yàn)證碼生成規(guī)則（比如 MD5 校驗(yàn)規(guī)則）生成的驗(yàn)證碼。

4.4 數(shù)據(jù)交換接口安全設(shè)計(jì)

平臺(tái)提供的消息傳輸接口支持不同的安全標(biāo)準(zhǔn)。對(duì)于對(duì)安全性要求比較高的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，在調(diào)用平臺(tái)的Web Service接口時(shí)使用HTTPS 協(xié)議，保證了傳輸層面的安全；而對(duì)于安全性不那么重要，只想通過(guò)很少的改動(dòng)使用平臺(tái)功能的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，可以簡(jiǎn)單的通過(guò)HTTP方式調(diào)用平臺(tái)的Web Service接口進(jìn)行消息的傳輸。

5 安全管理體系建設(shè)

在智慧徐州信息資源樞紐工程安全保障體系建設(shè)中，應(yīng)該建立相應(yīng)的安全管理體系，而不是僅靠技術(shù)手段來(lái)防范所有的安全隱患。安全建設(shè)的核心是安全管理。在安全策略的指導(dǎo)下，安全技術(shù)和安全產(chǎn)品的保障下，一個(gè)安全組織日常的安全保障工作才能簡(jiǎn)明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強(qiáng)對(duì)客戶網(wǎng)絡(luò)的安全管理，確保重點(diǎn)設(shè)施的安全，應(yīng)該加強(qiáng)安全管理體系的建設(shè)。

5.1 安全策略

安全策略是管理體系的核心，在對(duì)信息系統(tǒng)進(jìn)行細(xì)致的調(diào)查、評(píng)估之后，結(jié)合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實(shí)際情況的安全策略體系。應(yīng)包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個(gè)體系的主導(dǎo)，是安全策略體系基本結(jié)構(gòu)的最高層，它指明了安全策略所要達(dá)到的最高安全目標(biāo)及其管理和適用范圍。

在安全方針的指導(dǎo)下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責(zé)，明確了子策略的管理和實(shí)施要求，它是子策略的上層策略，子策略內(nèi)容的制定和執(zhí)行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導(dǎo)組成安全保障體系的各項(xiàng)安全措施正確實(shí)施的指導(dǎo)方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對(duì)于整個(gè)智慧徐州信息資源樞紐工程系統(tǒng)的安全建設(shè)非常重要。因此，需要建立具有適當(dāng)管理權(quán)的信息安全管理委員會(huì)來(lái)批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。建立和組織外部安全專家的聯(lián)系，以跟蹤行業(yè)趨勢(shì)，監(jiān)督安全標(biāo)準(zhǔn)和評(píng)估方法，并在處理安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對(duì)于安全性要求非常高，因此安全制度的建立要求也很嚴(yán)格。由管理層負(fù)責(zé)制定切實(shí)可行的日常安全保密制度、審計(jì)制度、機(jī)房管理、操作規(guī)程管理、系統(tǒng)管理等，明確定義日常安全審計(jì)的例行制度、實(shí)施日程安排與計(jì)劃、報(bào)告的形式及內(nèi)容、達(dá)到的目標(biāo)等。

智慧徐州信息資源樞紐工程建成后，需要針對(duì)各系統(tǒng)制定完善的動(dòng)作體系，保證系統(tǒng)的安全運(yùn)行。

參考文獻(xiàn)：

[1] 吳小坤，吳信訓(xùn).智慧城市建設(shè)中的信息技術(shù)隱患與現(xiàn)實(shí)危機(jī)[J].科學(xué)發(fā)展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設(shè)計(jì)的信息安全管理研究[J].中國(guó)管理信息化，2015（5）：214-215.

[3] 趙軍.信息安全體系下的東營(yíng)智慧城市建設(shè)研究[J].中國(guó)安防，2014（9）：84-89.

篇10

美國(guó)網(wǎng)絡(luò)空間安全戰(zhàn)略啟示

美國(guó)現(xiàn)在在信息安全、網(wǎng)絡(luò)空間安全上占據(jù)絕對(duì)的優(yōu)勢(shì)，他們?cè)噲D確立霸主地位，制定規(guī)則謀求優(yōu)勢(shì)來(lái)控制世界。

2005 年4 月，美國(guó)政府公布了總統(tǒng)IT 咨詢委員會(huì)向總統(tǒng)提交的《網(wǎng)絡(luò)空間安全：迫在眉睫的危機(jī)》的緊急報(bào)告，對(duì)美國(guó)網(wǎng)絡(luò)空間安全戰(zhàn)略提出不同看法，指出過(guò)去10 年美國(guó)保護(hù)國(guó)家信息技術(shù)基礎(chǔ)建設(shè)工作是失敗的。

2006 年4 月，信息安全研究委員會(huì)的《聯(lián)邦網(wǎng)絡(luò)空間安全及信息保障研究與發(fā)展計(jì)劃（CSIA）》確定了14個(gè)技術(shù)優(yōu)先研究領(lǐng)域，13 個(gè)重要投入領(lǐng)域。改變無(wú)窮無(wú)盡打補(bǔ)丁和封堵的被動(dòng)防御策略。

2009 年5 月29 日，奧巴馬公布了名為《網(wǎng)絡(luò)空間政策評(píng)估――保障可信和強(qiáng)健的信息和通信基礎(chǔ)設(shè)施》的報(bào)告，并在其講話中強(qiáng)調(diào)網(wǎng)絡(luò)空間安全威脅是“舉國(guó)面臨的最嚴(yán)重的國(guó)家經(jīng)濟(jì)和國(guó)家安全挑戰(zhàn)之一”。

2009 年6 月，美國(guó)建立網(wǎng)絡(luò)空間司令部，統(tǒng)一協(xié)調(diào)保障美軍網(wǎng)絡(luò)安全和開展網(wǎng)絡(luò)戰(zhàn)等與網(wǎng)絡(luò)有關(guān)的軍事行動(dòng)。

2011 年5 月，美國(guó)白宮網(wǎng)絡(luò)安全協(xié)調(diào)員施密特美國(guó)首份《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》，闡述美國(guó)“在日益以網(wǎng)絡(luò)相聯(lián)的世界如何建立繁榮、增進(jìn)安全和保護(hù)開放”。

7 月14 日，美國(guó)國(guó)防部的《網(wǎng)絡(luò)空間行動(dòng)戰(zhàn)略》再次強(qiáng)調(diào)：“網(wǎng)絡(luò)安全威脅是我們作為一個(gè)國(guó)家所面臨的最嚴(yán)重的國(guó)家安全、公共安全和經(jīng)濟(jì)安全挑戰(zhàn)”。該戰(zhàn)略將指導(dǎo)美國(guó)國(guó)防部捍衛(wèi)美國(guó)在網(wǎng)絡(luò)空間的利益，使得美國(guó)及其盟國(guó)和國(guó)際合作伙伴可繼續(xù)從信息時(shí)代的創(chuàng)新中獲益。

2013 年2 月，奧巴馬第13636 號(hào)行政命令《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》，明確指出“這是美國(guó)提升國(guó)家關(guān)鍵基礎(chǔ)設(shè)施并維護(hù)環(huán)境安全與恢復(fù)能力的政策，在提升安全性、商業(yè)機(jī)密、隱私和公民自由的同時(shí)提升效率、創(chuàng)新與繁榮”。

2014 年2 月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所提出了《美國(guó)增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》（V1.0），強(qiáng)調(diào)利用業(yè)務(wù)驅(qū)動(dòng)指導(dǎo)網(wǎng)絡(luò)安全行動(dòng)，并考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為組織風(fēng)險(xiǎn)管理進(jìn)程的一部分。

美國(guó)網(wǎng)絡(luò)空間戰(zhàn)略表明，網(wǎng)絡(luò)空間已成為第五大領(lǐng)域空間，也是國(guó)際戰(zhàn)略在軍事領(lǐng)域的演進(jìn)。我們應(yīng)積極應(yīng)對(duì)，加快建設(shè)網(wǎng)絡(luò)安全保障體系，捍衛(wèi)我國(guó)網(wǎng)絡(luò)安全和國(guó)家。

加強(qiáng)網(wǎng)絡(luò)安全保障體系建設(shè)

面對(duì)日益嚴(yán)峻的形勢(shì)，我們?cè)撛趺崔k？要構(gòu)架主動(dòng)防御的技術(shù)保障體系，當(dāng)前大部分網(wǎng)絡(luò)安全系統(tǒng)主要是由防火墻、入侵檢測(cè)和病毒防范等組成，成為“老三樣”，然而消極被動(dòng)的封堵查殺是防不勝防的。

2005年美國(guó)已經(jīng)否定了這樣的做法，我們認(rèn)為應(yīng)該有一個(gè)好的、可信的計(jì)算機(jī)體系結(jié)構(gòu)，可信的計(jì)算是什么？它是一個(gè)計(jì)算模式，而不是一個(gè)帶一點(diǎn)安全技巧的?？尚庞?jì)算就是計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，使得計(jì)算結(jié)果總是與預(yù)期是一樣的，全程可測(cè)可控，不擾，是一種運(yùn)算和防護(hù)并存的主動(dòng)棉衣的新計(jì)算模式。同時(shí)要有主動(dòng)免疫，識(shí)別“自己”和“非己”的成份，從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)?？尚庞?jì)算發(fā)展的結(jié)果是從數(shù)字計(jì)算到數(shù)值計(jì)算到事務(wù)計(jì)算，我們從可靠性可用性發(fā)展到可信性。我們還提出了建立運(yùn)算和和防御并行的雙重體系結(jié)構(gòu)，一邊是原來(lái)PC機(jī)的結(jié)構(gòu)，另一邊是一個(gè)主動(dòng)防御的免疫的結(jié)構(gòu)雙體系結(jié)構(gòu)。

尤其是現(xiàn)在云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、虛擬動(dòng)態(tài)異構(gòu)計(jì)算環(huán)境更需要可信。我們有可信的辦法做到體系結(jié)構(gòu)、操作行為、資源配置、數(shù)據(jù)存儲(chǔ)、策略管理都可信，構(gòu)成可信的體系架構(gòu)。我們國(guó)家等級(jí)保護(hù)的基礎(chǔ)設(shè)施安全的要求，構(gòu)成了三重防御體系，在安全管理中心支持下的三重防護(hù)體系，在系統(tǒng)安全審計(jì)三個(gè)管理方向的支撐下進(jìn)行。這樣做的效果怎么樣？攻擊者進(jìn)不去，非授權(quán)者拿不到重要信息，竊取保密信息也看不懂，系統(tǒng)和信息篡改不了，還有系統(tǒng)工作癱不成，攻擊行為因此也賴不掉。

在可信計(jì)算上我國(guó)是原始結(jié)構(gòu)創(chuàng)新和體系結(jié)構(gòu)創(chuàng)新。我國(guó)可信計(jì)算源于1992年國(guó)家正式立項(xiàng)研究并規(guī)模應(yīng)用，TCG是2000年正式成立的，經(jīng)過(guò)長(zhǎng)期攻關(guān)，形成了自主創(chuàng)新的體系。我國(guó)可信計(jì)算技術(shù)的結(jié)構(gòu)框架是以密碼為基礎(chǔ)，芯片為支柱、主辦為平臺(tái)、軟件為核心、網(wǎng)絡(luò)為紐帶、應(yīng)用成體系。

標(biāo)準(zhǔn)是先制定的，其次要構(gòu)建主體芯片、主板、軟件、網(wǎng)絡(luò)，此外還要搞配套，要把服務(wù)做好，服務(wù)器、存儲(chǔ)器……都要可信，對(duì)應(yīng)用來(lái)講要辦公、網(wǎng)站以及其他新的云計(jì)算，這樣來(lái)構(gòu)成體系。

為什么我們比TCG好呢？TCG有兩大局限性，第一是密碼體制的局限性。因?yàn)門CG有100多家核心的有用的企業(yè)構(gòu)成的，密碼是每個(gè)國(guó)家的，各國(guó)都有政策與法令，借助企業(yè)性的、行業(yè)性的國(guó)際組織，因此采用了公開的密碼RSA，不安全且管理復(fù)雜。第二是體系結(jié)構(gòu)不合理。目前還主要停留在工程層面，尚缺乏比較完善的理論模型，TPM外掛，子程序調(diào)用被動(dòng)模式。

而我們是以密碼為基礎(chǔ)，主動(dòng)認(rèn)證、主動(dòng)度量、主動(dòng)安全防御存儲(chǔ)。其次，我們是一個(gè)雙體系結(jié)構(gòu)，構(gòu)成一個(gè)可信計(jì)算的節(jié)點(diǎn)要有芯片層面做成可信的CPU。更重要的是平臺(tái)要構(gòu)成雙節(jié)點(diǎn)的體系，一邊計(jì)算一邊防護(hù)。軟件我們采用的是基礎(chǔ)軟件基，改變了TCG的被動(dòng)調(diào)動(dòng)的局面，在網(wǎng)絡(luò)層面我們提出了三元三層對(duì)等的架構(gòu)。

如今我國(guó)已經(jīng)具備了可信計(jì)算產(chǎn)業(yè)化條件?！秶?guó)家中長(zhǎng)期科學(xué)技術(shù)發(fā)展（2006-2020）》明確提出“以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn)，開發(fā)網(wǎng)絡(luò)安全技術(shù)地相關(guān)產(chǎn)品，建立網(wǎng)絡(luò)安全技術(shù)保障體系” 。“十二五”規(guī)劃了一些重大項(xiàng)目都把可信列為重點(diǎn)，尤其是我國(guó)可信計(jì)算標(biāo)準(zhǔn)正逐步制定，先后有幾十個(gè)單位共同努力，不少單位和部門已按有關(guān)標(biāo)準(zhǔn)研制了芯片、整機(jī)、軟件和網(wǎng)絡(luò)連接等可信設(shè)備，并得到了廣泛的應(yīng)用，尤其是今年4月16日成立了中關(guān)村可信計(jì)算產(chǎn)業(yè)聯(lián)盟，大力推進(jìn)產(chǎn)業(yè)化和市場(chǎng)化。

XP停止服務(wù)以后，全國(guó)約2億臺(tái)運(yùn)行XP操作系統(tǒng)的終端面臨無(wú)人服務(wù)的局面，安全操作風(fēng)險(xiǎn)將顯著增加。升級(jí)為Windows8不僅耗費(fèi)巨資，還是去安全控制權(quán)和二次開發(fā)權(quán)。因此我們建議開發(fā)自己的系統(tǒng)，不允許網(wǎng)絡(luò)提升到Windows8，國(guó)家要求信息類采購(gòu)的時(shí)候禁止裝Windows8。這也給我們產(chǎn)業(yè)化提供了很好的契機(jī)，我們也抓住了這個(gè)機(jī)遇大力推進(jìn)基于可信計(jì)算的創(chuàng)新的制度、可控安全可信的創(chuàng)新系統(tǒng)研發(fā)和產(chǎn)業(yè)化。

盡管國(guó)產(chǎn)化產(chǎn)品存在更多的缺陷和漏洞，有可信保障，使得缺陷和漏洞不被攻擊利用，確保比國(guó)外產(chǎn)品更安全，為國(guó)產(chǎn)化自主可控、安全可信保駕護(hù)航。