時(shí)間:2023-10-12 09:36:46
引言:易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐,為您精心挑選了九篇信息安全所面臨的威脅范例。如需獲取更多原創(chuàng)內(nèi)容,可隨時(shí)聯(lián)系我們的客服老師。
關(guān)鍵詞:煙草行業(yè) 信息安全 安全管理 安全防護(hù)體系
中圖分類號:TS48 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號:1674-098X(2013)03(c)-0-01
中國的卷煙市場是全球最大的市場,擁有30%的全球消費(fèi)者,中國煙草行業(yè)實(shí)行專賣專營體制以來,緊緊圍繞“做精做強(qiáng)主業(yè),保持平穩(wěn)發(fā)展”的基本方針,實(shí)現(xiàn)了經(jīng)濟(jì)效益的連年增長。在取得成績的同時(shí),中國的煙草行業(yè)也一直貫徹堅(jiān)持科技進(jìn)步,大力推進(jìn)技術(shù)創(chuàng)新的思想,全面推進(jìn)煙草行業(yè)信息化網(wǎng)絡(luò)的建設(shè)。但是隨著信息化應(yīng)用的日益廣泛,信息系統(tǒng)中存儲(chǔ)的信息和數(shù)據(jù)的數(shù)量的不斷加大,其安全形勢不容樂觀,該文先介紹煙草行業(yè)信息安全的概念,然后對其現(xiàn)狀進(jìn)行描述,最后對如何推進(jìn)信息安全體系建設(shè),加強(qiáng)煙草行業(yè)信息安全管理進(jìn)行了研究與探索。
1 信息安全概述
信息安全本身包括的范圍很大,是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵,自中國加入世貿(mào)組織后,煙草行業(yè)的競爭日趨激烈,煙草行業(yè)在制造以及銷售方面信息化應(yīng)用的不斷擴(kuò)大,所以其安全程度對整個(gè)煙草行業(yè)起到?jīng)Q定性的作用。信息安全主要包括保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性五個(gè)方面的內(nèi)容,其中任何一個(gè)方面的安全漏洞都能威脅到全局安全,因此必須做好信息安全的管理工作。
由于近年來煙草行業(yè)進(jìn)行了幾輪大規(guī)模的重組合并,其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也越來越復(fù)雜,信息集成共享也更加廣泛,所以煙草行業(yè)信息安全所面臨的威脅來自各個(gè)方面,下面主要從內(nèi)部和外部兩方面進(jìn)行描述。
(1)由于煙草行業(yè)信息系統(tǒng)是由人員進(jìn)行設(shè)計(jì)、監(jiān)管以及操作的,其本身就存在一定的薄弱環(huán)節(jié)和不安全因素,若內(nèi)部保密工作不到位、內(nèi)部管理出現(xiàn)漏洞則會(huì)對系統(tǒng)造成破壞,數(shù)據(jù)發(fā)生丟失,給信息安全系統(tǒng)構(gòu)成威脅。
(2)黑客可以利用信息安全系統(tǒng)自身的缺陷非法闖入,進(jìn)行數(shù)據(jù)的“竊聽”和攔截,或者其他的破壞活動(dòng)。一般的煙草企業(yè)的網(wǎng)絡(luò)與整個(gè)外部網(wǎng)絡(luò)是相互連接的,這就無法避免垃圾郵件的威脅,這是防不勝防的。病毒侵入由于其無孔不入的能力以及無法預(yù)防的特性,一直是行業(yè)信息系統(tǒng)的最大隱患。
3 煙草行業(yè)信息安全管理現(xiàn)狀
經(jīng)過多年的信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè),對于煙草信息安全系統(tǒng),主要存在以下現(xiàn)象。
(1)網(wǎng)絡(luò)基礎(chǔ)設(shè)施不健全,信息安全設(shè)備不穩(wěn)固。由于大范圍的兼并重組,新建的網(wǎng)絡(luò)設(shè)施、設(shè)備的穩(wěn)定性依然無法得到保證,對設(shè)備運(yùn)行的監(jiān)控參數(shù)沒有得到重視,不具備容災(zāi)功能。
(2)煙草行業(yè)信息安全管理制度和措施沒有得到有效的落實(shí),專業(yè)人員的素質(zhì)無法得到保證。盡管國家制定和頒布的煙草信息安全管理制度大部分得到了較好的貫徹落實(shí),但缺乏相關(guān)的管理制度,使得管理工作也只是流于形式,存儲(chǔ)設(shè)備的管理要求無法得到徹底落實(shí)。其次由于這個(gè)系統(tǒng)的動(dòng)態(tài)特性,對工作人員的要求較高,所以培訓(xùn)工作的滯后影響著整個(gè)系統(tǒng)的安全。
(3)缺乏整體性的防護(hù)措施。盡管近年來的信息安全保障體系建設(shè)已經(jīng)取得了一定的成效,但在建設(shè)初期的缺乏對整個(gè)系統(tǒng)的全盤考慮或是預(yù)算的原因使得現(xiàn)在已經(jīng)成型的煙草信息安全系統(tǒng)缺乏整體性的防護(hù)措施。
4 提高安全管理的對策
4.1 技術(shù)層面的建設(shè)
一個(gè)有效的網(wǎng)絡(luò)信息安全技術(shù)體系是整個(gè)信息安全管理的基礎(chǔ),所以安全體系的建設(shè)是所有安全構(gòu)架的基礎(chǔ),運(yùn)用先進(jìn)的技術(shù)手段,進(jìn)一步完善機(jī)房硬件設(shè)備等基礎(chǔ)設(shè)施;對不同的安全威脅要進(jìn)行針對性的建設(shè),確保核心設(shè)備具有較高的安全級別并且要對其端口進(jìn)行流量控制;對于核心信息資源所面臨的風(fēng)險(xiǎn)要進(jìn)行正確的評估,提高網(wǎng)絡(luò)信息化的安全保障能力;對于網(wǎng)絡(luò)存儲(chǔ)的大量信息和數(shù)據(jù)要做好備份工作,并對進(jìn)行傳輸?shù)男畔⑦M(jìn)行實(shí)時(shí)監(jiān)控,加強(qiáng)對突發(fā)安全事件的處理效率。通過以上技術(shù)層面的手段使整個(gè)安全體系在預(yù)警、防護(hù)、監(jiān)控等方面的能力得到提高。
4.2 管理層面的建設(shè)
管理層面的建設(shè)主要通過完善和優(yōu)化安全管理體系和建立相應(yīng)的措施來提高信息安全網(wǎng)絡(luò)的安全管理能力與監(jiān)督能力。制定出清晰完整的信息安全政策,從整體層面上指導(dǎo)整個(gè)網(wǎng)絡(luò)的安全建設(shè),對所有的管理人員以及工作人員實(shí)行法律化管理;建立嚴(yán)密的密碼管理制度,并且要定時(shí)更換,控制密碼的擴(kuò)散;此外對使用安全體系網(wǎng)絡(luò)的人員要進(jìn)行身份的辨別,對于管理員以及普通使用人員的權(quán)限進(jìn)行分離,在信息控制中心成立安全管理小組,專門負(fù)責(zé)電腦的安全運(yùn)行;重視煙草行業(yè)安全文化建設(shè),提高員工的基本安全意識(shí)和安全防范能力,營造出一個(gè)濃厚的網(wǎng)絡(luò)信息安全氛圍;最后要加強(qiáng)網(wǎng)絡(luò)信息安全專業(yè)人才的培養(yǎng),從安全意識(shí)和安全技術(shù)兩個(gè)方面著手,對這些人員進(jìn)行定期、持續(xù)、系統(tǒng)地培訓(xùn)。
5 結(jié)語
盡管對煙草行業(yè)信息安全的管理存在很多困難,但是只要我們能做到將以人為本、技術(shù)、管理和法制這些手段綜合起來進(jìn)行治理,網(wǎng)絡(luò)信息安全將會(huì)得到很好地解決,煙草行業(yè)的信息化進(jìn)程將會(huì)為整個(gè)行業(yè)帶來更大的發(fā)展空間。
參考文獻(xiàn)
[1] 李益文.基于煙草行業(yè)業(yè)務(wù)可持續(xù)運(yùn)行的信息安全運(yùn)維管理體系的思考[J].東方企業(yè)文化,2012(22).
[2] 高萍,黃偉達(dá).煙草企業(yè)信息安全方面的思考[J].黑龍江科技信息,2010(31).
[3] 林加忠,葉鵬華.淺析網(wǎng)絡(luò)環(huán)境下煙草信息資源建設(shè)[J].硅谷,2009(5).
[關(guān)鍵詞]網(wǎng)絡(luò)信息;防護(hù)策略;思考
中圖分類號:TM58 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號:1009-914X(2015)45-0289-01
網(wǎng)絡(luò)的飛速發(fā)展徹底改變?nèi)藗兊墓ぷ饕约吧罘绞剑藗冊谙硎艿骄W(wǎng)絡(luò)信息所帶來的便利性的同時(shí),卻也不得不面對網(wǎng)絡(luò)信息泄露的風(fēng)險(xiǎn),如何采取有效的措施來化解網(wǎng)絡(luò)信息安全所面臨的沖擊已經(jīng)成為相關(guān)學(xué)者高度關(guān)注的一個(gè)課題,而作為普通的網(wǎng)絡(luò)用戶也應(yīng)該具有一些基本的網(wǎng)絡(luò)信息安全知識(shí),從而有效地保護(hù)自身的網(wǎng)絡(luò)信息不被泄露。
一、網(wǎng)絡(luò)信息安全面臨的威脅
有關(guān)網(wǎng)絡(luò)信息泄露的事件可謂層出不窮,每個(gè)人的電腦都面臨信息泄露的風(fēng)險(xiǎn),通過總結(jié)威脅網(wǎng)絡(luò)信息安全的因素,發(fā)現(xiàn)有以下幾個(gè)方面:
1、意識(shí)層面的忽視
很多計(jì)算機(jī)用戶對于網(wǎng)絡(luò)信息安全的維護(hù)并沒有一個(gè)明確的認(rèn)識(shí),他們認(rèn)為信息儲(chǔ)存在自己的電腦上,別人根本沒有辦法將自己的信息盜取,持有此種觀念的人不在少數(shù)。意識(shí)上的忽略導(dǎo)致網(wǎng)絡(luò)信息被泄露的概率大大增加,數(shù)據(jù)顯示,大多數(shù)的網(wǎng)絡(luò)信息泄露都是因?yàn)橛脩魶]有信息安全意識(shí)所導(dǎo)致的。例如很多計(jì)算機(jī)用戶沒有設(shè)置開機(jī)密碼,或者密碼設(shè)置過于簡單,這都是信息安全意識(shí)不強(qiáng)的表現(xiàn)。
2、不可抗力因素
信息安全的另外一個(gè)威脅來自于不可抗力因素,不可抗力是指諸如地震、火災(zāi)電磁干擾等因素,此類因素對于信息的安全的威脅幾乎是毀滅性的,雖然發(fā)生的概率不大,但是一旦發(fā)生其后果是災(zāi)難性的。計(jì)算機(jī)的運(yùn)行是一個(gè)脆弱的系統(tǒng),在運(yùn)行過程中外部不可抗力因素的影響很容易導(dǎo)致其運(yùn)行的中斷,并給數(shù)據(jù)安全帶來威脅。舉例而言,經(jīng)常發(fā)生的斷電現(xiàn)象就類似于不可抗力,往往會(huì)導(dǎo)致信息的丟失。
3、計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是導(dǎo)致信息安全受到威脅的又一因素,每個(gè)互聯(lián)網(wǎng)上的電腦每天都要受到成千上萬次的病毒襲擊,這些計(jì)算機(jī)病毒的侵襲有些是有目的的,有些則是無目的的,無論哪種情況都會(huì)給信息安全帶來威脅。而且由于計(jì)算機(jī)病毒導(dǎo)致的信息泄露,計(jì)算機(jī)用戶往往很難發(fā)現(xiàn),總是在過了一段時(shí)間以后,受到了某種損失才豁然發(fā)現(xiàn)信息已經(jīng)泄露,因此計(jì)算機(jī)病毒對于信息安全的威脅更具有隱蔽性。
4、政府層面的缺位
目前國家對于網(wǎng)絡(luò)信息安全的保護(hù)力度還不夠,同時(shí)也沒有一套完善的法律來規(guī)范網(wǎng)絡(luò)信息的盜竊行為,這導(dǎo)致威脅網(wǎng)絡(luò)信息安全的行為的違法成本低廉,很多黑客利用法律的空白進(jìn)行各種違法行為,制度上的缺失因此成為了信息安全受到威脅的另外一個(gè)因素。
二、網(wǎng)絡(luò)信息安全防護(hù)策略
網(wǎng)絡(luò)信息安全的防護(hù)意義重大,針對上文提到的威脅到網(wǎng)絡(luò)信息安全的因素,本文認(rèn)為可以從以下幾個(gè)方面加以解決:
1、提升網(wǎng)絡(luò)信息安全意識(shí)
網(wǎng)絡(luò)信息安全意識(shí)的提升對于計(jì)算機(jī)用戶而言是必不可少的,只有在意識(shí)層面加以重視信息安全的防護(hù)工作,才會(huì)采取具體的行動(dòng)措施。計(jì)算機(jī)用戶網(wǎng)絡(luò)信息安全意識(shí)的培養(yǎng)需要社會(huì)媒介的高度重視,社會(huì)媒介應(yīng)承擔(dān)起宣傳網(wǎng)絡(luò)信息安全宣傳的責(zé)任,通過廣泛的宣傳,來提升計(jì)算機(jī)用戶的網(wǎng)絡(luò)信息安全意識(shí)。
2、重視不可抗力的威脅
針對生活中可能出現(xiàn)的造成信息安全受威脅的不可抗力因素,計(jì)算機(jī)用戶應(yīng)做好充分的準(zhǔn)備,尤其是對于那些重要的信息最好進(jìn)行備份,這樣可以避免因?yàn)椴豢煽沽Φ囊蛩卦斐傻男畔?shù)據(jù)被毀。舉例而言,對于那些經(jīng)常受到斷電困擾的計(jì)算機(jī)用戶,最好通過不間斷電源的設(shè)施減少斷電帶給信息安全的威脅。
3、構(gòu)筑網(wǎng)絡(luò)防火墻
針對計(jì)算進(jìn)病毒的侵襲,最有效的措施就是構(gòu)筑一個(gè)防火墻,通過預(yù)先的設(shè)置來過濾、阻斷各種計(jì)算機(jī)病毒的入侵。殺毒軟件本身也屬于防火墻,通過給電腦安裝正版的殺毒軟件,定時(shí)查殺病毒,這樣可以大大減少病毒的攻擊。同時(shí)還要注意對計(jì)算機(jī)軟件定時(shí)升級,避免計(jì)算機(jī)病毒利用軟件的漏洞進(jìn)行攻擊,并威脅到信息的安全。
4、加強(qiáng)對網(wǎng)絡(luò)信息安全的監(jiān)管
網(wǎng)絡(luò)信息安全的威脅因素有些可以通過提升計(jì)算機(jī)用戶的安全意識(shí)以及安全技能來加以解決,有些則不能,例如黑客的惡意攻擊,這時(shí)候就需要政府部門的有效監(jiān)管來加以解決。政府部門通過完善信息安全的監(jiān)管法規(guī),對于那些惡意的進(jìn)行網(wǎng)絡(luò)信息盜竊的行為施以重罰,加大其違法成為,繼而減少乃至杜絕對網(wǎng)絡(luò)信息安全的威脅行為。
計(jì)算機(jī)用戶應(yīng)正確的認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性,綜合采用多種防護(hù)措施來確保信息的安全,這樣才能在充分的享受到網(wǎng)絡(luò)信息便利性的同時(shí),最大限度的將網(wǎng)絡(luò)信息的安全威脅摒棄在外。
參考文獻(xiàn)
[1] 徐峰.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的探討[J].中國科技博覽,2011(11).
[2] 焦新勝.對計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全及其防護(hù)策略的探討[J].科技傳播,2011(5).
[4] 陳斌.計(jì)算機(jī)網(wǎng)絡(luò)安全于防御[M].信息技術(shù)與網(wǎng)絡(luò)服務(wù),2006.
論文摘 要:隨著電子商務(wù)時(shí)代的到來,電子商務(wù)安全問題越來越受到關(guān)注。特別是近年來的威脅網(wǎng)絡(luò)安全事件成出不窮,成為阻礙電子商務(wù)發(fā)展的一個(gè)大問題。對電子商務(wù)安全面臨的的威脅進(jìn)行研究分析,提出電子商務(wù)安全策略的總體原則及使用的主要技術(shù)。
電子商務(wù)安全策略是對企業(yè)的核心資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),不斷的更新企業(yè)系統(tǒng)的安全防護(hù),找出企業(yè)系統(tǒng)的潛在威脅和漏洞,識(shí)別,控制,消除存在安全風(fēng)險(xiǎn)的活動(dòng)。電子商務(wù)安全是相對的,不是絕對的,不能認(rèn)為存在永遠(yuǎn)不被攻破的系統(tǒng),當(dāng)然無論是何種模式的電子商務(wù)網(wǎng)站都要考慮到為了系統(tǒng)安全所要付出的代價(jià)和消耗的成本。作為一個(gè)安全系統(tǒng)的使用者,必須應(yīng)該綜合考慮各方因素合理使用電子商務(wù)安全策略技術(shù),作為系統(tǒng)的研發(fā)設(shè)計(jì)者,也必須在設(shè)計(jì)的同時(shí)考慮到成本與代價(jià)的因素。在這個(gè)網(wǎng)絡(luò)攻防此消彼長的時(shí)代,更應(yīng)該根據(jù)安全問題的不斷出現(xiàn)來檢查,評估和調(diào)整相應(yīng)的安全策略,采用適合當(dāng)前的技術(shù)手段,來達(dá)到提升整體安全的目的。電子商務(wù)所帶來的巨大商機(jī)背后同樣隱藏著日益嚴(yán)重的電子商務(wù)安全問題,不僅為企業(yè)機(jī)構(gòu)帶來了巨大的經(jīng)濟(jì)損失,更使社會(huì)經(jīng)濟(jì)的安全受到威脅。
1 電子商務(wù)面臨的安全威脅
在電子商務(wù)運(yùn)作的大環(huán)境中,時(shí)時(shí)刻刻面臨著安全威脅,這不僅僅設(shè)計(jì)技術(shù)問題,更重要的是管理上的漏洞,而且與人們的行為模式有著密不可分的聯(lián)系。電子商務(wù)面臨的安全威脅可以分為以下幾類:
1.1 信息內(nèi)容被截取竊取
這一類的威脅發(fā)生主要由于信息傳遞過程中加密措施或安全級別不夠,或者通過對互聯(lián)網(wǎng),電話網(wǎng)中信息流量和流向等參數(shù)的分析來竊取有用信息。
1.2 中途篡改信息
主要破壞信息的完整性,通過更改、刪除、插入等手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途篡改,并將篡改后的虛假信息發(fā)往接受端。
1.3 身份假冒
建立與銷售者服務(wù)器名稱相似的假冒服務(wù)器、冒充銷售者、建立虛假訂單進(jìn)行交易。
1.4 交易抵賴
比如商家對賣出的商品因價(jià)格原因不承認(rèn)原有交易,購買者因簽訂了訂單卻事后否認(rèn)。
1.5同行業(yè)者惡意競爭
同行業(yè)者利用購買者名義進(jìn)行商品交易,暗中了解買賣流程、庫存狀況、物流狀況。
1.6 電子商務(wù)系統(tǒng)安全性被破壞
不法分子利用非法手段進(jìn)入系統(tǒng),改變用戶信息、銷毀訂單信息、生成虛假信息等。
2 電子商務(wù)安全策略原則
電子商務(wù)安全策略是在現(xiàn)有情況,實(shí)現(xiàn)投入的成本與效率之間的平衡,減少電子商務(wù)安全所面臨的威脅。據(jù)電子商務(wù)網(wǎng)絡(luò)環(huán)境的不同,采用不同的安全技術(shù)來制定安全策略。在制定安全策略時(shí)應(yīng)遵循以下總體原則:
2.1 共存原則
是指影響網(wǎng)絡(luò)安全的問題是與整個(gè)網(wǎng)絡(luò)的運(yùn)作生命周期同時(shí)存在,所以在設(shè)計(jì)安全體系結(jié)構(gòu)時(shí)應(yīng)考慮與網(wǎng)絡(luò)安全需求一致。如果不在網(wǎng)站設(shè)計(jì)開始階段考慮安全對策,等網(wǎng)站建設(shè)好后在修改會(huì)耗費(fèi)更大的人力物力。
2.2 靈活性原則
安全策略要能隨著網(wǎng)絡(luò)性能及安全威脅的變化而變化,要及時(shí)的適應(yīng)系統(tǒng)和修改。
2.3 風(fēng)險(xiǎn)與代價(jià)相互平衡的分析原則
任何一個(gè)網(wǎng)絡(luò),很難達(dá)到絕對沒有安全威脅。對一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析,并且對網(wǎng)絡(luò)面臨的威脅以及可能遇到的風(fēng)險(xiǎn)要進(jìn)行定量與定性的綜合分析,制定規(guī)范的措施,并確定本系統(tǒng)的安全范疇,使花費(fèi)在網(wǎng)絡(luò)安全的成本與在安全保護(hù)下的信息的價(jià)值平衡。
2.4 易使用性原則
安全策略的實(shí)施由人工完成,如果實(shí)施過程過于復(fù)雜,對于人的要求過高,對本身的安全性也是一種降低。
2.5 綜合性原則
一個(gè)好的安全策略在設(shè)計(jì)時(shí)往往采用是多種方法綜合應(yīng)用的結(jié)果,以系統(tǒng)工程的觀點(diǎn),方法分析網(wǎng)絡(luò)安全問題,才可能獲得有效可行的措施。
2.6 多層保護(hù)原則
任何單一的安全保護(hù)措施都不是能獨(dú)當(dāng)一面,絕對安全的,應(yīng)該建立一個(gè)多層的互補(bǔ)系統(tǒng),那么當(dāng)一層被攻破時(shí),其它保護(hù)層仍然可以安全的保護(hù)信息。
3 電子商務(wù)安全策略主要技術(shù)
3.1 防火墻技術(shù)
防火墻技術(shù)是一種保護(hù)本地網(wǎng)絡(luò),并對外部網(wǎng)絡(luò)攻擊進(jìn)行抵制的重要網(wǎng)絡(luò)安全技術(shù)之一,是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施。總體可以分為:數(shù)據(jù)包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)型防火墻、服務(wù)型防火墻等幾類。防火墻具有5種基本功能:
(1)抵擋外部攻擊;
(2)防止信息泄露;
(3)控制管理網(wǎng)絡(luò)存取和訪問;
(4)vpn虛擬專用網(wǎng)功能;
(5)自身抗攻擊能力。
防火墻的安全策略有兩種情形:
(1)違背允許的訪問服務(wù)都是被禁止的;
(2)未被禁止的訪問服務(wù)都是被允許的。
多數(shù)防火墻是在兩者之間采取折中策略,在安全的情況之下提高訪問效率。
3.2 加密技術(shù)
加密技術(shù)是對傳輸?shù)男畔⒁阅撤N方法進(jìn)行偽裝并隱藏其內(nèi)容,而達(dá)到不被第三方所獲取其真實(shí)內(nèi)容的一種方法。在電子商務(wù)過程中,采用加密技術(shù)將信息隱藏起來,再將隱藏的信息傳輸出去,這樣即使信息在傳輸?shù)倪^程中被竊取,非法截獲者也無法了解信息內(nèi)容,進(jìn)而保證了信息在交換過程中安全性、真實(shí)性、能夠有效的為安全策略提供幫助。
3.3 數(shù)字簽名技術(shù)
是指在對文件進(jìn)行加密的基礎(chǔ)上,為了防止有人對傳輸過程中的文件進(jìn)行更改破壞以及確定發(fā)信人的身份所采取的手段。在電子商務(wù)安全中占有特別重要的地位,能夠解決貿(mào)易過程中的身份認(rèn)證、內(nèi)容完整性、不可抵賴等問題。數(shù)字簽名過程:發(fā)送方首先將原文通過hash算法生成摘要,并用發(fā)送者的私鑰進(jìn)行加密生成數(shù)字簽名發(fā)送給接受方,接收方用發(fā)送者的公鑰進(jìn)行解密,得到發(fā)送方的報(bào)文摘要,最后接收方將收到的原文用hash算法生成其摘要,與發(fā)送方的摘要進(jìn)行比對。
3.4 數(shù)字證書技術(shù)
數(shù)字證書是網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),由第三方公正機(jī)構(gòu)頒發(fā),以數(shù)字證書為依據(jù)的信息加密技術(shù)可以確保網(wǎng)上傳輸信息的的保密性、完整性和交易的真實(shí)性、不可否認(rèn)性,為電子商務(wù)的安全提供保障。標(biāo)準(zhǔn)的數(shù)字證書包含:版本號,簽名算法,序列號,頒發(fā)者姓名,有效日期,主體公鑰信息,頒發(fā)者唯一標(biāo)識(shí)符,主體唯一標(biāo)示符等內(nèi)容。一個(gè)合理的安全策略離不開數(shù)字證書的支持。
3.5 安全協(xié)議技術(shù)
安全協(xié)議能夠?yàn)榻灰走^程中的信息傳輸提供強(qiáng)而有力的保障。目前通用的為電子商務(wù)安全策略提供的協(xié)議主要有電子商務(wù)支付安全協(xié)議、通信安全協(xié)議、郵件安全協(xié)議三類。用于電子商務(wù)的主要安全協(xié)議包括:通訊安全的ssl協(xié)議(secure socket layer),信用卡安全的set協(xié)議(secure electronic transaction),商業(yè)貿(mào)易安全的超文本傳輸協(xié)議(s-http),internetedi電子數(shù)據(jù)交換協(xié)議以及電子郵件安全協(xié)議s/mime和pem等。
4 結(jié)論
在電子商務(wù)飛速發(fā)展的過程中,電子商務(wù)安全所占的比重越發(fā)重要。研究電子商務(wù)安全策略,意在于減少由電子商務(wù)安全威脅帶給人們電子商務(wù)交易上的疑慮,以推動(dòng)電子商務(wù)前進(jìn)的步伐。解除這種疑慮的方法,依賴著安全策略原則的制定和主要技術(shù)的不斷開發(fā)與完善。
參考文獻(xiàn)
[1]田沛. 淺談電子商務(wù)安全發(fā)展戰(zhàn)略[j]. 知識(shí)經(jīng)濟(jì), 2010, (2).
[2]如先姑力•阿布都熱西提. 計(jì)算機(jī)網(wǎng)絡(luò)安全對策的研究[j]. 科技信息(學(xué)術(shù)研究), 2008, (10).
[3]陳偉. 電子商務(wù)安全策略初探[j].才智, 2009,(11).
1信息安全風(fēng)險(xiǎn)評估的方法
1.1定性分析方法
這是評估方法具有的一個(gè)明顯特點(diǎn)就是它的主觀性較強(qiáng),在風(fēng)險(xiǎn)評估人員主觀上對資產(chǎn)風(fēng)險(xiǎn)因素所面臨的威脅以及漏洞等作出評估判斷的過程。它的結(jié)構(gòu)構(gòu)成包括故障樹分析法、事件樹分析法以及原因———后果法等。(1)故障樹分析法。這種分析方法的適用于對風(fēng)險(xiǎn)事件的發(fā)生源之間關(guān)系以及它的深層次原因進(jìn)行探究的,它的主要目的是在發(fā)現(xiàn)信息故障后對信息安全所進(jìn)行的定性分析。從它的運(yùn)行原理來看,它是把信息系統(tǒng)中發(fā)生的結(jié)果來作為首要解決的問題,分析總結(jié)出不愿發(fā)生事件的形成因素,從而確定出各個(gè)因素之間的邏輯關(guān)系。(2)事件樹分析方法。這種方法是在原有的信息系統(tǒng)風(fēng)險(xiǎn)基礎(chǔ)上,來對這些信息安全風(fēng)險(xiǎn)事件發(fā)生可能產(chǎn)生的風(fēng)險(xiǎn)結(jié)果進(jìn)行詳細(xì)的分析探究,它的分析工作開展的一個(gè)顯著特點(diǎn)就是需要對序列組中可能發(fā)生的危險(xiǎn)事故的結(jié)果進(jìn)行合理的列舉,需要注意的是這并代表是最后的結(jié)果,只是其中的一個(gè)環(huán)節(jié),但是它的缺點(diǎn)就是不適于進(jìn)行大范圍的普適。(3)原因———后果分析方法。這種分析方法從運(yùn)行原理的實(shí)質(zhì)上來看,它是對前兩種分析方法的一種融合,它是前兩種分析方法所具有顯著特點(diǎn)的結(jié)合,但是,這種方法也有應(yīng)用的缺點(diǎn),就是它在大型的、復(fù)雜的信息系統(tǒng)中應(yīng)用并起不到應(yīng)有的效果。
1.2定量分析方法
這種分析方法是對定性方法的一種改進(jìn),削弱了定性方法的主觀性,但是在一些大型復(fù)雜的信息系統(tǒng)中,就很可能造成一些定量數(shù)據(jù)難以獲得,需要浪費(fèi)較多的時(shí)間成本,基于此,它的應(yīng)用最為廣泛的是定量的故障樹分析法和風(fēng)險(xiǎn)評審技術(shù)兩種。
1.3定性分析和定量分析相結(jié)合的方法
這種兩相結(jié)合的方法在現(xiàn)代應(yīng)用領(lǐng)域中是最為常見的,也是最適合的形式,這兩種方法相結(jié)合的主要目的是為了有效的彌補(bǔ)定性分析法和定量分析法之間的缺陷,因此,它的綜合性就會(huì)相對強(qiáng)一些。這種分析模式,適用范圍最為廣泛的并且最為主流的是層次分析法。
2在業(yè)務(wù)流程基礎(chǔ)上的信息安全風(fēng)險(xiǎn)評估方法
2.1信息資產(chǎn)的辨別
信息安全風(fēng)險(xiǎn)評估主要是針對于信息和信息處理設(shè)備所受到的威脅、影響以及威脅事件發(fā)生后所帶來的損失而進(jìn)行的評估預(yù)測,那么所進(jìn)行評估的內(nèi)容主要涉及到四個(gè)要素,即資產(chǎn)、威脅、漏洞以及原有的安全措施。對于這四個(gè)要素之間的關(guān)系論述,它們是屬于相互關(guān)系、相互作用的因素,各自對系統(tǒng)風(fēng)險(xiǎn)的影響各不相同,共同構(gòu)成復(fù)雜的風(fēng)險(xiǎn)評估系統(tǒng)工程。我們在實(shí)際的風(fēng)險(xiǎn)評估工作中,主要是對已經(jīng)存在的風(fēng)險(xiǎn)提出一系列有效的安全防范措施,并依據(jù)風(fēng)險(xiǎn)措施實(shí)行采取合理的控制措施,從而使風(fēng)險(xiǎn)控制到最合理的范圍內(nèi),那么這么講就可以把它的具體實(shí)施流程劃分為兩大部分,即對風(fēng)險(xiǎn)的分析和對風(fēng)險(xiǎn)的控制。
2.2業(yè)務(wù)流程的風(fēng)險(xiǎn)模型分析
在業(yè)務(wù)開展的基本流程中,對于位置變動(dòng)資產(chǎn)的識(shí)別可以在它的開始階段就進(jìn)行,這是對位置變動(dòng)來說的,而對于位置固定的資產(chǎn)識(shí)別,就需要對每一個(gè)具體業(yè)務(wù)的節(jié)點(diǎn)進(jìn)行逐一開展。對于位置固定資產(chǎn)的識(shí)別來說,因?yàn)槠渥陨硇枰写罅康娜斯げ僮鳎虼怂娘L(fēng)險(xiǎn)一般是集中于業(yè)務(wù)節(jié)點(diǎn)環(huán)節(jié)上,并且各個(gè)節(jié)點(diǎn)上的風(fēng)險(xiǎn)類別、發(fā)生方式、起源以及造成的后果影響都是不相同的。此外,由于這些風(fēng)險(xiǎn)的產(chǎn)生是因?yàn)槲恢霉潭ㄙY產(chǎn)而引起的,因此,在業(yè)務(wù)流程的過程中一般只需要對位置固定資產(chǎn)的風(fēng)險(xiǎn)采取相應(yīng)的控制措施就可以了,這樣也就確保了位置別動(dòng)不會(huì)對資產(chǎn)的保密性、完整性以及可用性造成威脅。
3總結(jié)
1.1惡意攻擊
人為因素是目前世界范圍內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)信息安全所面臨的主要問題和威脅。通常我們所說的黑客,就是其中最主要的攻擊者。由于網(wǎng)絡(luò)信息保密意識(shí)的淡薄,對于安全的維護(hù)不到位,致使信息被篡改、利用等,所造成的損失不勝枚舉。黑客通常利用計(jì)算機(jī)和網(wǎng)絡(luò)的缺陷和漏洞,針對這些漏洞進(jìn)行惡意攻擊,以達(dá)到其最終目的。這其中的缺陷和漏洞,包括計(jì)算機(jī)本身硬件、軟件及用戶自身人為造成的失誤。
1.2系統(tǒng)本身的脆弱性
網(wǎng)絡(luò)是信息的傳輸、接收、共享、整合的開放性平臺(tái),開放性是其最主要的特點(diǎn),任何人、任何時(shí)間、任何地點(diǎn)都可以從平臺(tái)上面獲取所需要的信息。網(wǎng)絡(luò)誕生的目的,就是為了人類的生活更加便捷、高效,內(nèi)容更加豐富,來達(dá)到促進(jìn)人類社會(huì)向前進(jìn)步發(fā)展的目的。網(wǎng)絡(luò)的開放使得我們與之聯(lián)系更加密切,可是在信息安全性這一方面,也恰恰就是其受到攻擊、遭受到威脅的弱點(diǎn)。
1.3用戶自身存在的問題
用戶本身不良的操作習(xí)慣,信息安全意識(shí)的淡薄,也是網(wǎng)絡(luò)信息泄露、丟失的因素之一。用戶信息的設(shè)置過于簡單,對于登錄地點(diǎn)、登錄平臺(tái)的選擇麻痹大意,疏忽安全性,都極易造成用戶信息被竊取,安全防護(hù)被惡意攻破,從而造成損失。
1.4計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是病毒本身編制者利用自己所學(xué)知識(shí),在編程的過程當(dāng)中,插入了能夠破壞計(jì)算機(jī)正常運(yùn)行或者破壞數(shù)據(jù)為目的的一組指令或者代碼。病毒本身具有極強(qiáng)的隱蔽性、潛伏性,一般殺毒軟件查不出來,或者時(shí)隱時(shí)現(xiàn),變化多端,讓使用者無法去分辨其真實(shí)性和存在性,處理起來通常都是很困難的。計(jì)算機(jī)病毒的危害性、危害范圍之廣,讓人不寒而栗,最知名的莫過于2006年的熊貓燒香及其變種病毒,對社會(huì)秩序、互聯(lián)網(wǎng)安全造成的損失和影響是無法估量的。
2防護(hù)策略
2.1反病毒軟件的安裝策略
反病毒軟件也稱殺毒軟件或防毒軟件,是用于清理和消除電腦使用過程中所面臨的威脅的一類常用軟件。目前市面上所用的殺毒軟件基本上都具備云查殺技術(shù),所以在攔截效率、清理木馬和惡意軟件的程度上有著明顯的改善和提高。殺毒軟件本身具有的自我修復(fù)與維護(hù)、實(shí)時(shí)升級、主動(dòng)防御、啟發(fā)等技術(shù),從安全上能夠滿足大部分用戶的需求,所以廣受青睞。而這也是計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防護(hù)的主要策略之一。反病毒軟件和電腦病毒可以說是一對天敵,對于初學(xué)者或者剛剛上手的電腦操作者來說,一款簡單好用的殺毒軟件對其提升計(jì)算機(jī)安全性和信息的保密性是至關(guān)重要的。
2.2用戶自身安全防范意識(shí)的提升
用戶本身由于對互聯(lián)網(wǎng)信息的了解程度低,安全防范意識(shí)操作的淡薄,是導(dǎo)致產(chǎn)生網(wǎng)絡(luò)安全威脅的潛在因素。對這些用戶進(jìn)行必要的網(wǎng)絡(luò)安全知識(shí)的普及和相關(guān)安全防護(hù)操作的應(yīng)用指導(dǎo),是十分必要的。試想一下,如果用戶本身的安全意識(shí)提高了,那么在面對未知來源的信息、郵件、程序的安裝使用上,自然就會(huì)小心翼翼,而這也從根本上杜絕了那些木馬病毒、惡意軟件、間諜軟件制造者想要竊取信息、用戶資料的目的,從而維護(hù)了信息安全的秩序,達(dá)到了確保用戶網(wǎng)絡(luò)信息安全的目的,是一種簡單方便明了的手段。
2.3數(shù)據(jù)加密技術(shù)
由于系統(tǒng)本身的開放性,決定了其時(shí)時(shí)刻刻處在被攻擊和竊取的處境當(dāng)中。如何對系統(tǒng)中的數(shù)據(jù)安全進(jìn)行維護(hù)?數(shù)據(jù)加密技術(shù)。加密是通過密鑰以及加密函數(shù)的轉(zhuǎn)換,將數(shù)據(jù)變成沒有意義的密文。如果沒有相對應(yīng)的解密函數(shù)和解密密文還原成明文,那么即使數(shù)據(jù)被竊取了,也沒有辦法從中提取到有用的信息和數(shù)據(jù),這樣極大保證了在數(shù)據(jù)傳輸過程中的安全性。加密技術(shù)是網(wǎng)絡(luò)信息安全防護(hù)技術(shù)的基石。加密技術(shù)的應(yīng)用,由于涉及了很多方面的知識(shí),結(jié)構(gòu)性比較復(fù)雜,因此,使用這技術(shù)的都是具有了一定基礎(chǔ)或者有著豐富的計(jì)算機(jī)知識(shí)的用戶。隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展,電子商務(wù)的興起,關(guān)于加密這一領(lǐng)域也在向著操作簡單化、成本低廉化、數(shù)據(jù)保密的保密性等幾個(gè)方面改進(jìn)。相信不久將來,加密技術(shù)的普及,將不再是一個(gè)困擾大多數(shù)用戶的難題,而網(wǎng)絡(luò)信息安全化也將得到一個(gè)質(zhì)的提升。
2.4網(wǎng)絡(luò)監(jiān)控與入侵檢測技術(shù)的應(yīng)用
入侵檢測是通過對日常行為、日志、信息數(shù)據(jù)的檢測來判斷是否有闖入者來攻擊己方電腦的技術(shù)。針對于這種剛剛興起但是前景廣闊的技術(shù),本文將其納入防護(hù)策略中,相信時(shí)間會(huì)證明這種技術(shù)的可靠性與應(yīng)用的廣泛性。
3結(jié)語
關(guān)鍵詞:信息安全建設(shè);風(fēng)險(xiǎn);存在問題;途徑
中圖分類號:R197.3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號:1007-9599 (2012) 12-0000-02
在新的時(shí)代和社會(huì)背景下,為了提升自身的核心競爭力,在激烈的市場競爭中把握一定的主動(dòng)權(quán),各個(gè)醫(yī)院都在努力加快信息化建設(shè)的步伐,以適應(yīng)國際形勢發(fā)展的需要,可以說當(dāng)前醫(yī)院的信息化建設(shè)水平已經(jīng)成為衡量醫(yī)院現(xiàn)代化程度的一項(xiàng)重要標(biāo)志。與傳統(tǒng)的管理模式相比,信息化管理模式具有方便快捷的優(yōu)勢,在很大程度上提高了管理工作的質(zhì)量和效率,但是由于網(wǎng)絡(luò)信息平臺(tái)具有一定的安全風(fēng)險(xiǎn),因此醫(yī)院的信息化建設(shè)也面臨著安全威脅。為此,醫(yī)院相關(guān)部門和人員必須要對此有一個(gè)正確的認(rèn)識(shí)和了解,積極采取有效措施加強(qiáng)醫(yī)院信息安全建設(shè),盡可能地將安全風(fēng)險(xiǎn)降到最低,提高醫(yī)院的經(jīng)濟(jì)效益與社會(huì)效益。
一、醫(yī)院信息安全所面臨的風(fēng)險(xiǎn)
(一)外部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
為了滿足醫(yī)生查房以及傳染病信息的及時(shí)上報(bào)等工作需要,在醫(yī)院的很多區(qū)域都設(shè)置了無線網(wǎng)絡(luò),一般只要經(jīng)過簡單的認(rèn)證就能夠進(jìn)入到醫(yī)院的內(nèi)部網(wǎng)絡(luò)系統(tǒng)中,這就為攻擊者的入侵活動(dòng)提供了便利。再加上一些行政辦公人員的網(wǎng)絡(luò)安全意識(shí)淡薄,在打開網(wǎng)頁或者使用郵件的過程中容易感染病毒,從而使醫(yī)院內(nèi)部信息系統(tǒng)面臨嚴(yán)重的安全威脅。
(二)系統(tǒng)內(nèi)部安全風(fēng)險(xiǎn)
當(dāng)前我國不少醫(yī)院的信息系統(tǒng)沒有設(shè)置嚴(yán)格的訪問權(quán)限,用戶所享用的權(quán)限要比實(shí)際授予的多,并且對于調(diào)離醫(yī)院的工作人員不能及時(shí)取消他們的用戶權(quán)限,從而容易出現(xiàn)他人使用醫(yī)院權(quán)限的現(xiàn)象。再加上一些工具軟件與應(yīng)用程序的設(shè)置不太科學(xué),客戶端安裝了一些不必要的應(yīng)用程序,使得系統(tǒng)內(nèi)部安全風(fēng)險(xiǎn)大大增加。
(三)醫(yī)院信息系統(tǒng)數(shù)據(jù)存在安全風(fēng)險(xiǎn)
在醫(yī)院信息系統(tǒng)建設(shè)中,一旦服務(wù)器出現(xiàn)故障就可能會(huì)導(dǎo)致醫(yī)院信息網(wǎng)絡(luò)陷入全面癱瘓的狀態(tài),而醫(yī)院信息系統(tǒng)數(shù)據(jù)主要是存儲(chǔ)在服務(wù)器系統(tǒng)磁盤上的,因此服務(wù)器損壞會(huì)給醫(yī)院的各項(xiàng)經(jīng)營管理活動(dòng)帶來很大的不便,嚴(yán)重?fù)p害醫(yī)院的經(jīng)濟(jì)效益和社會(huì)效益。同時(shí),由于人為操作失誤或者是感染病毒等原因,也會(huì)造成重要文件和資料被修改或者是刪除。
二、當(dāng)前醫(yī)院信息安全建設(shè)中存在的主要問題
(一)硬件安全問題
硬件設(shè)備是確保信息系統(tǒng)順利運(yùn)行的基礎(chǔ)和前提,它主要包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、以及存儲(chǔ)設(shè)備等構(gòu)件,這些硬件設(shè)備的運(yùn)行狀況會(huì)在很大程度上影響到信息系統(tǒng)的安全性和穩(wěn)定性。一般醫(yī)院硬件安全問題主要包括設(shè)備陳舊老化、應(yīng)急設(shè)備不足、以及電壓不穩(wěn)定等。特別是當(dāng)服務(wù)器或者是中心交換機(jī)等一些關(guān)鍵設(shè)備出現(xiàn)問題時(shí)會(huì)造成整個(gè)信息系統(tǒng)陷入癱瘓狀態(tài),這時(shí)一旦缺少備用設(shè)備就會(huì)使信息數(shù)據(jù)面臨不可挽回的損失。
(二)軟件安全問題
信息系統(tǒng)可以說是一個(gè)比較龐雜的人機(jī)系統(tǒng),一旦操作人員進(jìn)行不當(dāng)操作或者是軟件本身存在問題就會(huì)在很大程度上影響信息系統(tǒng)的正常運(yùn)作。醫(yī)院信息系統(tǒng)軟件安全方面存在的主要問題一般表現(xiàn)為以下幾個(gè)方面:首先是由于人員的操作失誤導(dǎo)致忘記登陸密碼、不能進(jìn)入系統(tǒng)結(jié)算、無法擺藥、無法打印等;其次,由于不當(dāng)使用存儲(chǔ)介質(zhì)而帶來的安全問題,具體來說就是隨著移動(dòng)存儲(chǔ)設(shè)備的大量應(yīng)用,病毒入侵現(xiàn)象越來越突出,單純依靠殺毒軟件與維護(hù)人員難以對病毒實(shí)施有效控制;此外,軟件的意外行為也會(huì)造成安全問題,比如軟件實(shí)現(xiàn)升級后一般會(huì)要求重啟計(jì)算機(jī),一旦沒有及時(shí)保存相關(guān)數(shù)據(jù)就會(huì)造成數(shù)據(jù)的丟失。
(三)網(wǎng)絡(luò)安全問題
在醫(yī)院信息安全建設(shè)中存在的網(wǎng)絡(luò)安全問題主要包括兩大方面:1)伴隨醫(yī)院網(wǎng)絡(luò)系統(tǒng)應(yīng)用的不斷開放,我國不少醫(yī)院的信息網(wǎng)絡(luò)已經(jīng)逐漸變成公共信息平臺(tái)的一個(gè)組成部分,并對醫(yī)療保險(xiǎn)網(wǎng)絡(luò)提供數(shù)據(jù),這就不可避免地增加了人為惡意攻擊或者是網(wǎng)絡(luò)病毒入侵對醫(yī)院信息系統(tǒng)所產(chǎn)生的威脅。2)當(dāng)前隨著計(jì)算機(jī)信息技術(shù)的不斷發(fā)展,醫(yī)院信息系統(tǒng)面臨的安全威脅更多的來自內(nèi)部網(wǎng)絡(luò),特別是近年來內(nèi)部工作人員對信息系統(tǒng)的有意或者是無意攻擊行為越來越多,從而給醫(yī)院內(nèi)部安全技術(shù)防范與管理工作帶來了不小的壓力。
三、醫(yī)院信息安全建設(shè)途徑
(一)加強(qiáng)對醫(yī)院信息安全建設(shè)的管理力度
加強(qiáng)對醫(yī)院信息安全建設(shè)的管理工作主要從以下兩個(gè)方面來進(jìn)行:1)制定和完善各項(xiàng)管理制度與操作規(guī)范,從而有效制約有關(guān)計(jì)算機(jī)操作的不規(guī)范行為,確保醫(yī)院信息系統(tǒng)的有效運(yùn)行。一般制定管理制度的最終目標(biāo)是為了充分發(fā)揮和利用信息系統(tǒng)功能,從而提高信息系統(tǒng)效率,并確保信息數(shù)據(jù)質(zhì)量。具體來說需要制定崗前培訓(xùn)制度、考核制度、網(wǎng)絡(luò)管理制度、用戶權(quán)限制度、數(shù)據(jù)備份制度、以及口令管理制度等,同時(shí)還要規(guī)范各子系統(tǒng)的操作流程和操作方法。2)加強(qiáng)對信息安全知識(shí)的宣傳工作。醫(yī)院大部分信息數(shù)據(jù)的采集工作都是依靠人工來完成的,一旦工作人員的信息安全意識(shí)和責(zé)任意識(shí)淡薄,就容易產(chǎn)生信息安全隱患,因此必須要加強(qiáng)對信息安全知識(shí)的宣傳力度,最大限度地確保所采集信息的安全性,從源頭上消除信息安全隱患。
(二)確保硬件、軟件、以及網(wǎng)絡(luò)的安全運(yùn)行
主要從以下三個(gè)方面來進(jìn)行:1)中心機(jī)房。由于中心機(jī)房會(huì)對服務(wù)器的安全運(yùn)行產(chǎn)生非常重要的影響,因此在中心機(jī)房選址時(shí)要盡可能地遠(yuǎn)離各種有害氣體與強(qiáng)電磁波的干擾,機(jī)房環(huán)境要充分滿足采光、隔音、以及防塵等條件,并且要對照明燈具、濕度設(shè)備、以及空調(diào)等的配置進(jìn)行綜合考慮。同時(shí),中心機(jī)房內(nèi)要為計(jì)算機(jī)設(shè)備設(shè)置專門的動(dòng)力配電箱,實(shí)現(xiàn)與其他電力負(fù)荷之間的分別供電,確保積分那個(gè)用電安全。2)服務(wù)器。作為醫(yī)院信息系統(tǒng)的核心部分,服務(wù)器的安全運(yùn)行直接關(guān)系到信息系統(tǒng)的安全,一旦服務(wù)器出現(xiàn)故障,輕則數(shù)據(jù)丟失,重則系統(tǒng)癱瘓。因此必須要根據(jù)醫(yī)院的實(shí)際業(yè)務(wù)量來合理選擇服務(wù)器,最好要配備雙服務(wù)器,在主服務(wù)器出現(xiàn)問題的情況下由從服務(wù)器來代替其繼續(xù)工作。同時(shí)還要建立健全服務(wù)器檔案和運(yùn)行日志,,對服務(wù)器的運(yùn)行情況實(shí)施全程監(jiān)管。3)網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備主要是用來傳輸信息數(shù)據(jù)的,因此網(wǎng)絡(luò)設(shè)備的正常運(yùn)行與醫(yī)院信息安全關(guān)系密切,這就需要定期對路由器、集線器、交換機(jī)、以及光纖收發(fā)器等進(jìn)行檢查和維護(hù)。
(三)注重對病毒的防治工作
醫(yī)院網(wǎng)絡(luò)立足于互聯(lián)網(wǎng)平臺(tái),因此必然會(huì)面臨各種病毒的惡意攻擊,而一旦受到感染就會(huì)造成機(jī)器罷工,甚至?xí)杆俾拥狡渌麢C(jī)器上,因此必須要積極采取有效措施加強(qiáng)對計(jì)算機(jī)病毒的防治工作。這就需要在工作站禁止安裝光驅(qū)和軟驅(qū),并禁用USB端口;如果一些工作站安裝有光驅(qū)和軟驅(qū)等設(shè)備,就需要配備有防病毒軟件,并不斷進(jìn)行系統(tǒng)升級。同時(shí)要積極應(yīng)用防火墻技術(shù),對流經(jīng)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控,盡可能地減少外網(wǎng)病毒入侵,從而避免病毒對醫(yī)院信息資源所造冊很難過的破壞。
(四)強(qiáng)化對信息數(shù)據(jù)的安全管理
數(shù)據(jù)安全是醫(yī)院信息系統(tǒng)安全的重點(diǎn)和關(guān)鍵,因此在提高操作人員信息安全意識(shí)的同時(shí)還要建立健全數(shù)據(jù)備份和恢復(fù)策略。在信息系統(tǒng)中,最重要的東西不是硬件設(shè)備,而是信息數(shù)據(jù),因此建立健全數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)策略,盡可能地減少數(shù)據(jù)丟失就顯得至關(guān)重要。具體來說就是要備份歸檔日志文件,并定期將所有文件轉(zhuǎn)存到光盤或者是磁帶等載體中進(jìn)行異地存放;而在數(shù)據(jù)恢復(fù)策略中,要根據(jù)實(shí)際需要進(jìn)行數(shù)據(jù)的完全或者是不完全恢復(fù),以確保信息的安全。
四、結(jié)束語
在現(xiàn)代化醫(yī)院的建設(shè)過程中,計(jì)算機(jī)信息技術(shù)的應(yīng)用必不可少,當(dāng)前計(jì)算機(jī)信息技術(shù)的應(yīng)用水平已經(jīng)成為衡量醫(yī)院軟實(shí)力的一項(xiàng)重要指標(biāo)。但是計(jì)算機(jī)信息技術(shù)本身存在的安全隱患以人為因素的影響為醫(yī)院信息安全建設(shè)帶來了一定的難題,為此醫(yī)院方面必須要加強(qiáng)對醫(yī)院信息安全建設(shè)的認(rèn)識(shí),采取一些有效措施加以應(yīng)對,促進(jìn)醫(yī)院的健康長遠(yuǎn)發(fā)展。
參考文獻(xiàn):
[1]毛琳琳.醫(yī)院信息安全保障系統(tǒng)建設(shè)及策略分析[J].中國醫(yī)學(xué)裝備,2010(03)
[2]孫琦.構(gòu)建安全可靠的醫(yī)院信息化系統(tǒng)[J].中國信息界(醫(yī)療),2010(06)
[3]陳凌平,馬宗慶,郭振華.醫(yī)院信息系統(tǒng)的安全與管理[J].醫(yī)院管理論壇,2010(02)
[4]黃慧勇,黃冠朋,胡名堅(jiān).醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)與應(yīng)對[J].醫(yī)學(xué)信息.2009(06)
本文將在分析計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的基礎(chǔ)上對如何做好港口碼頭區(qū)的網(wǎng)絡(luò)安全防護(hù)進(jìn)行分析闡述,并在此基礎(chǔ)上提出了一些解決的措施以確保港口碼頭區(qū)網(wǎng)絡(luò)安全、可靠的運(yùn)行。
隨著科學(xué)技術(shù)的發(fā)展以及計(jì)算機(jī)應(yīng)用的普及,網(wǎng)絡(luò)安全已經(jīng)成為了廣大群眾關(guān)心的重點(diǎn)問題,隨著各種網(wǎng)絡(luò)安全問題頻繁曝出使得計(jì)算機(jī)網(wǎng)絡(luò)安全的形勢更為嚴(yán)峻。做好港口碼頭區(qū)的網(wǎng)絡(luò)安全防護(hù)對于保護(hù)港口碼頭的信息安全與促進(jìn)港口碼頭的經(jīng)濟(jì)快速發(fā)展有著十分重要的意義。
1 計(jì)算機(jī)網(wǎng)絡(luò)安全簡述
隨著經(jīng)濟(jì)以及科學(xué)技術(shù)的快速發(fā)展,信息化已經(jīng)成為了推動(dòng)社會(huì)發(fā)展的重要推動(dòng)力,網(wǎng)絡(luò)已經(jīng)深入了居民生產(chǎn)、生活的方方面面。計(jì)算機(jī)網(wǎng)絡(luò)安全從廣義上說是要確保計(jì)算機(jī)用戶的個(gè)人信息不泄露,從狹義上講是指要在確保計(jì)算機(jī)系統(tǒng)正常運(yùn)行的前提下,對計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)和計(jì)算機(jī)的軟、硬件加以保護(hù),從而使其在任何情況下免遭任何形式的的泄露、更改和破壞。
因此,計(jì)算機(jī)用戶的利益與計(jì)算機(jī)網(wǎng)絡(luò)本身的安全密切相關(guān),保護(hù)好計(jì)算機(jī)網(wǎng)絡(luò)安全就是保護(hù)好計(jì)算機(jī)用戶的切身利益。為做好計(jì)算機(jī)的網(wǎng)絡(luò)安全防護(hù),可以從三個(gè)方面入手:(1)加強(qiáng)對于接入端的控制,這主要是針對計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)入權(quán)限進(jìn)行設(shè)定和控制,對不具有相應(yīng)權(quán)限的用戶禁止接入,在接入端控制的過程中主要采用的是加密技術(shù)來用于接入控制系統(tǒng)的設(shè)計(jì)。
(2)安全協(xié)議,安全協(xié)議主要了為了確保通信協(xié)議的安全,但是一個(gè)安全通信協(xié)議的設(shè)計(jì)極為復(fù)雜,為了確保網(wǎng)絡(luò)通信的的安全,一般采取的是找漏洞分析法、經(jīng)驗(yàn)分析法和形式化法相結(jié)合的方式。(3)增加網(wǎng)絡(luò)安全信息的保密性,計(jì)算機(jī)網(wǎng)絡(luò)安全核心目的就是為了向用戶提供安全可靠的保密通訊,因此,需要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)用戶的保密信息的確認(rèn),增強(qiáng)其保密性,從而加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全。
2 計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅
現(xiàn)今,隨著計(jì)算機(jī)網(wǎng)絡(luò)覆蓋的范圍與人群越來越廣,所面臨的網(wǎng)絡(luò)安全環(huán)境也越來越復(fù)雜,從而使得計(jì)算機(jī)網(wǎng)絡(luò)安全面臨著極大的不安全性。在對計(jì)算機(jī)網(wǎng)絡(luò)安全威脅進(jìn)行分析的基礎(chǔ)上發(fā)現(xiàn),造成計(jì)算機(jī)網(wǎng)絡(luò)安全問題的原因除了人為因素外,最大的安全威脅來自于計(jì)算機(jī)系統(tǒng)本身所具有的漏洞。
總體來說,對計(jì)算機(jī)網(wǎng)絡(luò)安全造成安全隱患的因素主要集中在以下幾個(gè)方面:(1)計(jì)算機(jī)網(wǎng)絡(luò)安全問題最大的威脅來自于計(jì)算機(jī)系統(tǒng)本身所具有的漏洞,現(xiàn)今所使用的系統(tǒng)由于受到科學(xué)技術(shù)發(fā)展水平的限制,并不存在一種絕對完美的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),同時(shí)由于廣大用戶缺乏專業(yè)的知識(shí),使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的漏洞何難被用戶察覺和修補(bǔ),從而為計(jì)算機(jī)網(wǎng)絡(luò)信息安全埋下了極大的安全隱患。同時(shí),在同步和文件處理方面,計(jì)算機(jī)系統(tǒng)程序由于自身所存在的缺陷,使得其在應(yīng)對網(wǎng)絡(luò)攻擊以及網(wǎng)絡(luò)安全威脅時(shí)常常顯得力不從心,攻擊者可以在計(jì)算機(jī)信息處理的過程中在計(jì)算機(jī)外部展開入侵,并利用這些機(jī)會(huì)干擾到計(jì)算機(jī)程序的正常進(jìn)行。
其次,計(jì)算機(jī)外部的網(wǎng)絡(luò)安全環(huán)境日益惡化,其來自于外部網(wǎng)絡(luò)的安全威脅時(shí)刻影響著計(jì)算機(jī)的信息安全,近些年來,由于計(jì)算機(jī)入侵而導(dǎo)致的信息泄露事件日益頻發(fā),前一段事件所曝光的油箱用戶信息大規(guī)模泄露事件所引發(fā)的一系列網(wǎng)絡(luò)安全問題為我們敲響了警鐘。
在計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅中,來自于系統(tǒng)外部的問題是除了計(jì)算機(jī)系統(tǒng)本身這一安全漏洞外所面臨的另一安全威脅.總的來說,計(jì)算機(jī)系統(tǒng)外部的網(wǎng)絡(luò)安全威脅主要來自于三個(gè)方面:(1)各種間諜軟件的威脅,此種軟件是由黑客設(shè)計(jì)出來的專門竊取存儲(chǔ)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的各種數(shù)據(jù)信息的軟件,其具有極強(qiáng)的攻擊性,這些間諜軟件甚至于還能夠隱蔽與系統(tǒng)中對用戶在上網(wǎng)時(shí)的數(shù)據(jù)進(jìn)行監(jiān)視,從而達(dá)到竊取用戶信息的目的。
同時(shí)間諜軟件潛藏在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中還會(huì)對計(jì)算機(jī)的性能造成嚴(yán)重的影響。(2)計(jì)算機(jī)病毒所造成的威脅,計(jì)算機(jī)病毒是長期存在于網(wǎng)絡(luò)中的一種毒瘤,與間諜軟件一樣成為困擾計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)展的難題。相較于間諜軟件等,計(jì)算機(jī)病毒對計(jì)算機(jī)網(wǎng)絡(luò)所造成的安全威脅更為突出、也更大。計(jì)算機(jī)病毒具有傳播速度快、范圍廣、危害大等的特點(diǎn),其直接攻擊計(jì)算機(jī)系統(tǒng),造成計(jì)算機(jī)系統(tǒng)的損壞,使得計(jì)算機(jī)用戶的信息與資料等丟失,嚴(yán)重的甚至?xí)斐捎?jì)算機(jī)硬件發(fā)生不可逆轉(zhuǎn)的損壞,浪費(fèi)計(jì)算機(jī)用戶的時(shí)間與金錢。
(3)網(wǎng)絡(luò)黑客對計(jì)算機(jī)網(wǎng)絡(luò)所造成的安全威脅,計(jì)算機(jī)黑客都是一些具有較為扎實(shí)功底的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的人,其為了某種目的(竊取、窺視等)使用自身的計(jì)算機(jī)知識(shí)來肆意攻擊普通用戶的計(jì)算機(jī)進(jìn)行信息的竊取或是破壞,這些黑客由于在暗中進(jìn)行,缺少監(jiān)管使得其行為肆意妄為,而一般的普通用戶由于缺乏專業(yè)的計(jì)算機(jī)知識(shí)無法對這種攻擊進(jìn)行有效的防護(hù)。找到用戶計(jì)算機(jī)系統(tǒng)中的漏洞并發(fā)動(dòng)攻擊獲取相應(yīng)的權(quán)限或信息是網(wǎng)絡(luò)黑客鍥而不舍的目標(biāo),也是最難防御的一種網(wǎng)絡(luò)安全威脅。
計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅是多方面的,而計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)管理制度的缺陷也會(huì)使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨巨大的網(wǎng)絡(luò)安全威脅,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理所帶來的威脅主要集中在以下幾個(gè)方面:(1)管理人員疏忽大意或是由于自身計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的不足,從而使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)存在漏洞,使用戶的信息泄露從而造成的損失。
(2)此外就是個(gè)別的工作人員疏忽大意或是主觀行為而造成的用戶信息的泄露,個(gè)別的計(jì)算機(jī)網(wǎng)絡(luò)管理人員為了獲取不法利益而私自出售計(jì)算機(jī)網(wǎng)絡(luò)用戶的個(gè)人信息,這種行為在現(xiàn)今的社會(huì)是較為常見的。其主要做法是將保密系統(tǒng)資料和文件提供給第三方或是故意泄露計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中數(shù)據(jù)庫的重要數(shù)據(jù)等。以上這兩種行為都被歸結(jié)為管理上的漏洞或是疏忽,這些都會(huì)對計(jì)算機(jī)網(wǎng)絡(luò)造成巨大的安全威脅,同時(shí)由此所引發(fā)的計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)是不可估量的。3 做好計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的措施
3.1 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的原則
計(jì)算機(jī)網(wǎng)絡(luò)安全是十分重要的,尤其是計(jì)算機(jī)網(wǎng)絡(luò)日益發(fā)達(dá)的今天,大量的數(shù)據(jù)被存儲(chǔ)在用戶的計(jì)算機(jī)中,一旦丟失或是損壞將會(huì)面臨嚴(yán)重的后果。因此,做好計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)刻不容緩。同時(shí)在做好計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)時(shí)要按照以下的原則進(jìn)行:(1)加強(qiáng)信息的高密級防范原則,在對多密級信息進(jìn)行處理時(shí),很多的計(jì)算機(jī)網(wǎng)絡(luò)安全信息系統(tǒng)都必須嚴(yán)格遵循相應(yīng)的防護(hù)原則,做好計(jì)算機(jī)網(wǎng)絡(luò)信息的加密,必要時(shí)應(yīng)當(dāng)將計(jì)算機(jī)網(wǎng)絡(luò)信息提升至最高級以應(yīng)對日益復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅。
(2)安全適度原則,現(xiàn)今對于計(jì)算機(jī)網(wǎng)絡(luò)安全威脅最大的是黑客的入侵對計(jì)算機(jī)網(wǎng)絡(luò)所造成的影響。在計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)中絕對安全的網(wǎng)絡(luò)是不存在的,現(xiàn)今所采取的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)歸根結(jié)底都只是針對具體某一方面的安全威脅進(jìn)行防護(hù),為進(jìn)一步做好網(wǎng)絡(luò)安全防護(hù),需要分析不同網(wǎng)絡(luò)安全威脅的特點(diǎn),實(shí)事求是因地制宜的做好防護(hù)措施,做好計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)。(3)授權(quán)最小化原則,對于重要的計(jì)算機(jī)進(jìn)行物理隔離。
3.2 應(yīng)對計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的措施
應(yīng)對計(jì)算機(jī)網(wǎng)絡(luò)安全威脅最主要的是做好技術(shù)防護(hù),提高計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)需要從入侵檢測技術(shù)、防病毒技術(shù)、計(jì)算機(jī)防火墻的開發(fā)和計(jì)算機(jī)漏洞的修補(bǔ)等多方面進(jìn)行,在此基礎(chǔ)上還需要定期及時(shí)的更新計(jì)算機(jī)中的各種軟件和硬件設(shè)施,將計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)做到最好,不斷的提高計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)性能。在用戶授權(quán)訪問控制和數(shù)據(jù)加密技術(shù)上,不斷探索研究新的技術(shù),通過技術(shù)的不斷升級完善使得計(jì)算機(jī)網(wǎng)絡(luò)用戶的安全防護(hù)更為牢固、可靠,從而從基礎(chǔ)端堵死網(wǎng)絡(luò)安全威脅。
在最好技術(shù)防護(hù)的同時(shí)還需要加強(qiáng)對于計(jì)算機(jī)網(wǎng)絡(luò)使用人員的管理,即使是在技術(shù)層面最為安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)僅僅依靠技術(shù)防護(hù)也是無法應(yīng)對全部的威脅,做好計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度的建設(shè),嚴(yán)控一些非法行為對于計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的威脅,通過建立起安全管理制度與技術(shù)的全方位防護(hù),多方協(xié)作共同實(shí)現(xiàn)對于計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)。
結(jié)語
現(xiàn)今,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用得越來越廣泛,其在為人們帶來便利的同時(shí),也面臨著巨大的安全威脅,做好計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的分析與防護(hù)對于保證計(jì)算機(jī)網(wǎng)絡(luò)用戶的信息安全有著十分重要的意義,本文在分析計(jì)算機(jī)網(wǎng)絡(luò)所面臨的安全威脅的基礎(chǔ)上對如何做好計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)進(jìn)行了分析闡述。
一、目前企業(yè)網(wǎng)絡(luò)信息安全管理中存在的問題
目前各級供電企業(yè)對信息安全日趨重視,但主要側(cè)重于防備外來未授權(quán)用戶的非訪問,并過于注重如防火墻、入侵檢測等技術(shù)問題,忽略了信息安全中人的管理,造成了幾個(gè)突出問題:
1、人員安全意識(shí)淡薄
由于系統(tǒng)的專業(yè)教育與培訓(xùn)不足,許多專業(yè)技術(shù)人員仍然抱著“防火墻等于安全”的僥幸心理,缺乏“防黑防毒”的意識(shí)和內(nèi)部員工操作失誤或惡意攻擊的警惕性,對信息安全采取的防護(hù)措施非常簡單。大多數(shù)信息系統(tǒng)使用員工對信息安全知識(shí)和技能掌握不夠,認(rèn)為信息安全只是技術(shù)部門的事,安全防護(hù)意識(shí)不強(qiáng)。
2、網(wǎng)絡(luò)信息機(jī)構(gòu)不健全
有些供電企業(yè)沒有專門的信息技術(shù)運(yùn)行機(jī)構(gòu)或沒有規(guī)范的建制和崗位,人員配置又偏少,而且信息系統(tǒng)架構(gòu)的分散也導(dǎo)致人力資源不集中,信息戰(zhàn)線拉得大長,幾乎沒有時(shí)間關(guān)注信息安全。由于IT技術(shù)發(fā)展很快,基層信息技術(shù)人員得不到相應(yīng)的培訓(xùn),難以對日新月異的IT技術(shù)中有關(guān)主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、存儲(chǔ)、安全等方面作全面的了解和掌握,運(yùn)行維護(hù)能力低下,系統(tǒng)安全監(jiān)控不到位。
3、網(wǎng)絡(luò)信息安全管理專業(yè)化程度不夠
大多數(shù)基層供電公司缺乏專門的信息安全監(jiān)督管理機(jī)構(gòu),或者沒有配備專業(yè)的信息安全監(jiān)督管理人員,或者只設(shè)兼職。由于缺乏信息安全管理專業(yè)知識(shí)和技能,對信息安全特殊性認(rèn)識(shí)不足,難于發(fā)揮有效的信息安全監(jiān)督管理,使信息安全管理工作處于一種似管非管或基本不管的真空狀態(tài)。
4、管理制度滯后且執(zhí)行不力
隨著國網(wǎng)公司集中集成工作的展開和信息網(wǎng)絡(luò)基礎(chǔ)建設(shè)不斷加強(qiáng),原有的信息安全管理制度已相對滯后,而且有些制度不完全適合基層實(shí)際,個(gè)別條款操作性較差,難于執(zhí)行,這就造成制度執(zhí)行不力、有章不循、違規(guī)操作,這些都增加了信息安全風(fēng)險(xiǎn)。
二、加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全管理的幾點(diǎn)建議
1、加強(qiáng)全員網(wǎng)絡(luò)信息安全意識(shí)教育
通過普及信息安全知識(shí)教育,提高企業(yè)員工網(wǎng)絡(luò)信息安全知識(shí)和安全意識(shí),掌握發(fā)現(xiàn)、解決某些常見安全問題的能力。信息安全教育的具體內(nèi)容一般應(yīng)包括以下內(nèi)容:(1)信息安全所面臨的風(fēng)險(xiǎn);
(2)企業(yè)信息安全方針及目標(biāo);
(3)企業(yè)安全管理規(guī)章制度;
(4)與信息安全有關(guān)的其它內(nèi)容。通過安全教育使所有員工增強(qiáng)整體信息系統(tǒng)的安全防護(hù)意識(shí)。
2、加強(qiáng)企業(yè)員工相應(yīng)技能培訓(xùn)
為了確保企業(yè)員工在日常工作過程中具有保護(hù)企業(yè)信息安全方面的能力,應(yīng)當(dāng)加強(qiáng)對員工計(jì)算機(jī)安全技能培訓(xùn),教育員工平時(shí)應(yīng)做到所有操作應(yīng)符合規(guī)定、不得向他人泄露自己的操作口令、不訪問陌生的網(wǎng)站、不瀏覽或打開一些來歷不明的郵件及附件、外來光盤、U盤等存儲(chǔ)設(shè)備須先殺毒后使用、發(fā)現(xiàn)問題立即通知技術(shù)人員處理等基本的安全技能。
3、健全信息技術(shù)部門建設(shè)
根據(jù)需要合理配置信息技術(shù)人員,加強(qiáng)信息技術(shù)隊(duì)伍建設(shè),明確機(jī)房管理員、網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員、防病毒管理員、運(yùn)行維護(hù)員等崗位配置,重要崗位設(shè)置A、B崗,落實(shí)崗位職責(zé)具體到人。對技術(shù)人員應(yīng)注重技術(shù)培訓(xùn),可以定期或不定期參加各種針對性的技術(shù)培訓(xùn),增強(qiáng)技術(shù)儲(chǔ)備力度。
4、加強(qiáng)信息安全規(guī)章制度建設(shè)
建立健全適應(yīng)企業(yè)實(shí)際的安全管理制度是信息安全管理的前提。標(biāo)準(zhǔn)化的安全管理,能夠克服傳統(tǒng)管理中個(gè)人的主觀意志驅(qū)動(dòng)的管理模式。應(yīng)在對企業(yè)信息安全評估下,根據(jù)單位實(shí)際情況,遵照上級有關(guān)規(guī)定,制定出切實(shí)可行、全面的安全管理制度。如:保密制度、機(jī)房管理制度、網(wǎng)絡(luò)運(yùn)行管理制度、應(yīng)用系統(tǒng)運(yùn)行管理制度、設(shè)備維護(hù)工作制度、值班制度、計(jì)算機(jī)系統(tǒng)使用規(guī)范等,管理制度應(yīng)明確描述所有信息技術(shù)人員以及信息系統(tǒng)使用人員的信息安全職責(zé)和信息系統(tǒng)日常使用規(guī)范,規(guī)范信息系統(tǒng)操作流程,減少人為失誤。
5、建立安全監(jiān)督保證體系
成立安全領(lǐng)導(dǎo)小組,由分管領(lǐng)導(dǎo)抓信息安全工作,并設(shè)置一個(gè)獨(dú)立于信息技術(shù)部門的信息安全管理監(jiān)督部門作為企業(yè)的信息安全日常管理機(jī)構(gòu),根據(jù)信息系統(tǒng)安全需要設(shè)定安全事務(wù)的職位,負(fù)責(zé)企業(yè)范圍內(nèi)信息安全監(jiān)督管理工作。各部門應(yīng)配備計(jì)算機(jī)技能較強(qiáng)的信息安全專兼職人員,負(fù)責(zé)所在部門信息安全制度的落實(shí)和執(zhí)行,形成良好的信息安全監(jiān)督保證體系。
6、加強(qiáng)信息安全考核力度
關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)設(shè)計(jì)原則
中圖分類號:TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號:1009-3044(2012)18-4332-02
隨著信息技術(shù)的快速發(fā)展、現(xiàn)代網(wǎng)絡(luò)的普及、企業(yè)網(wǎng)絡(luò)化運(yùn)作,企業(yè)門戶網(wǎng)站、企業(yè)電子商務(wù)等在企業(yè)經(jīng)營運(yùn)作過程中扮演著重要的角色,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的信息技術(shù)構(gòu)建企業(yè)自身業(yè)務(wù)和運(yùn)營平臺(tái)將極大地提升企業(yè)的競爭力,使企業(yè)在殘酷的競爭中脫穎而出。然而,企業(yè)在具有信息優(yōu)勢的同時(shí),也對企業(yè)的網(wǎng)絡(luò)安全提出了嚴(yán)峻的考驗(yàn)。據(jù)報(bào)道,現(xiàn)在全世界平均每20秒就會(huì)發(fā)生一次計(jì)算機(jī)網(wǎng)絡(luò)入侵事件。據(jù)智能網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)解決方案的領(lǐng)先供應(yīng)商SonicWALL公司日前了其2011年年中網(wǎng)絡(luò)威脅情報(bào)報(bào)告:“報(bào)告顯示,企業(yè)正面臨越來越多網(wǎng)絡(luò)犯罪分子的攻擊,這些人企圖攻擊的主要對象是那些通過移動(dòng)設(shè)備連接訪問企業(yè)網(wǎng)絡(luò)以及越來越頻繁使用社交媒體的企業(yè)員工。基于惡意軟件以及社交媒體詐騙的增多,正引發(fā)新的以及更嚴(yán)重的來自數(shù)據(jù)入侵、盜竊和丟失等方面造成的企業(yè)業(yè)務(wù)漏洞。”可見,企業(yè)網(wǎng)絡(luò)安全面臨的壓力越來越大,認(rèn)清企業(yè)網(wǎng)絡(luò)安全面臨的主要威脅、設(shè)計(jì)實(shí)施合適的網(wǎng)絡(luò)安全策略,已成為擺在企業(yè)面前迫在眉睫的問題。
1企業(yè)網(wǎng)絡(luò)安全面臨的主要威脅
由于企業(yè)網(wǎng)絡(luò)由內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和企業(yè)廣域網(wǎng)所組成,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,面臨的主要威脅有以下幾個(gè)方面:
1.1網(wǎng)絡(luò)缺陷
Internet由于它的開放性迅速在全球范圍內(nèi)普及,但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。Internet最初的設(shè)計(jì)考慮主要的是考慮資源共享基本沒有考慮安全問題,缺乏相應(yīng)的安全監(jiān)督機(jī)制。
1.2病毒侵襲
計(jì)算機(jī)病毒通常隱藏在文件或程序代碼內(nèi),伺機(jī)進(jìn)行自我復(fù)制,并能夠通過網(wǎng)絡(luò)、磁盤等諸多手段進(jìn)行傳播,通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒,其傳播速度相當(dāng)快、影響面大,破壞性大大高于單機(jī)系統(tǒng),用戶也很難防范,因此它的危害最能引起人們的關(guān)注,病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)。
1.3黑客入侵
黑客入侵是指黑客利用企業(yè)網(wǎng)絡(luò)的安全漏洞、木馬等,不經(jīng)允許非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源,從事刪除、復(fù)制甚至破壞數(shù)據(jù)的活動(dòng)。由于缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強(qiáng),這是網(wǎng)絡(luò)安全的主要威脅之一。
1.4數(shù)據(jù)竊聽與攔截
這種方式是直接或間接截取網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進(jìn)行分析來獲取所需信息。這使得企業(yè)在與第三方網(wǎng)絡(luò)進(jìn)行傳輸時(shí),需要采取有效的措施來防止重要數(shù)據(jù)被中途截獲、竊聽。
1.5拒絕服務(wù)攻擊
拒絕服務(wù)攻擊即攻擊者不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾,改變其正常的作業(yè)流程,執(zhí)行無關(guān)程序使系統(tǒng)相應(yīng)減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù),是黑客常用的攻擊手段之,其目的是阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的商務(wù)活動(dòng)。
1.6內(nèi)部網(wǎng)絡(luò)威脅
據(jù)網(wǎng)絡(luò)安全界統(tǒng)計(jì)數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件是來自企業(yè)內(nèi)部。這樣的安全犯罪通常目的比較明確,如對企業(yè)機(jī)密信息的竊取、數(shù)據(jù)更改、財(cái)務(wù)欺騙等,因此內(nèi)部網(wǎng)絡(luò)威脅對企業(yè)的威脅更為嚴(yán)重。
2企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)的主要原則
針對企業(yè)網(wǎng)絡(luò)安全中主要面臨的威脅,考慮信息安全的機(jī)密性、完整性、可用性、可控性、可審查性等要素,建議在設(shè)計(jì)企業(yè)網(wǎng)絡(luò)時(shí)應(yīng)遵循以下幾個(gè)原則:
2.1整體性原則
在設(shè)計(jì)網(wǎng)絡(luò)時(shí),要分析網(wǎng)絡(luò)中的安全隱患并制定整體網(wǎng)絡(luò)的安全策略,然后根據(jù)制定的安全策略設(shè)計(jì)出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。要清楚計(jì)算機(jī)網(wǎng)絡(luò)中的設(shè)備、數(shù)據(jù)等在整個(gè)網(wǎng)絡(luò)中的作用及其訪問使用權(quán)限,從系統(tǒng)整體的角度去分析,制定有效可行的方案。網(wǎng)絡(luò)的整體安全是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控、安全掃描、通信加密、災(zāi)難恢復(fù)等多個(gè)安全組件共同組成的,每一個(gè)單獨(dú)的組件只能完成其中部分功能,而不能完成全部功能。
2.2平衡性原則
任何一個(gè)網(wǎng)絡(luò),不可能達(dá)到絕對的安全。這就要求我們對企業(yè)的網(wǎng)絡(luò)需求(包括網(wǎng)絡(luò)的作用、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)進(jìn)行分析研究,制定出符合需求、風(fēng)險(xiǎn)、代價(jià)相平衡的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。
2.3擴(kuò)展性原則
隨著信息技術(shù)的發(fā)展、網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,面臨的網(wǎng)絡(luò)威脅的也會(huì)隨之增多,網(wǎng)絡(luò)的脆弱性也會(huì)增多,一勞永逸地解決網(wǎng)絡(luò)中的安全問題也是不可能的,這就要求我們在做網(wǎng)絡(luò)安全設(shè)計(jì)時(shí)要考慮到系統(tǒng)的可擴(kuò)展性,包括接入能力的擴(kuò)展、帶寬的擴(kuò)展、處理能力的擴(kuò)展等。
2.4多層保護(hù)原則
任何的網(wǎng)絡(luò)安全措施都不會(huì)是絕對的安全,都有可能被攻擊被破壞。這就要求我們要建立一個(gè)多層保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充、相互協(xié)調(diào),組成一個(gè)統(tǒng)一的安全防護(hù)整體,當(dāng)一層保護(hù)被攻擊時(shí),其它層保護(hù)仍可保護(hù)信息的安全。
圖1基于網(wǎng)絡(luò)安全設(shè)計(jì)原則的拓?fù)涫疽鈭D
防火墻:網(wǎng)絡(luò)安全的大門,用來鑒別什么樣的數(shù)據(jù)包可以進(jìn)出企業(yè)內(nèi)部網(wǎng)絡(luò),阻斷來自外部的威脅,防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,防止外部的非法入侵,能根據(jù)網(wǎng)絡(luò)的安全策略控制訪問資源。
VPN:是Internet公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間安全傳遞數(shù)據(jù)的技術(shù),是進(jìn)行加密的最好辦法。一條VPN鏈路是一條采用加密隧道構(gòu)成的遠(yuǎn)程安全鏈路,遠(yuǎn)程用戶可以通過VNP鏈路來訪問企業(yè)內(nèi)部數(shù)據(jù),提高了系統(tǒng)安全性。
訪問控制:為不同的用戶設(shè)置不同的訪問權(quán)限,為特定的文件或應(yīng)用設(shè)定密碼保護(hù),將訪問限制在授權(quán)用戶的范圍內(nèi),提高數(shù)據(jù)訪問的安全性。
數(shù)據(jù)備份:是為確保企業(yè)數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件的情況下不丟失,可以將數(shù)據(jù)恢復(fù)到發(fā)生故障、災(zāi)難數(shù)據(jù)備份的那個(gè)狀態(tài),盡可能的減少損失。
3小結(jié)
通過分析企業(yè)網(wǎng)絡(luò)安全面臨的主要威脅及主要設(shè)計(jì)原則,提出了一個(gè)簡單的企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)拓?fù)涫疽鈭D,該圖從技術(shù)手段、可操作性上都易于實(shí)現(xiàn),易于部署,為企業(yè)提供了一個(gè)解決網(wǎng)絡(luò)安全問題的方案。
參考文獻(xiàn):
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級期刊
國家發(fā)展和改革委員會(huì)稀土辦公室主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級期刊
自然資源部主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 省級期刊
江蘇省科學(xué)技術(shù)協(xié)會(huì)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 省級期刊
國防科技大學(xué)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級期刊
國家發(fā)展和改革委員會(huì)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 省級期刊
新疆維吾爾自治區(qū)科學(xué)技術(shù)廳主辦
