網絡安全及等級保護
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全及等級保護范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全及等級保護范文第1篇
【關鍵詞】網絡;安全等級保護;實施策略
1.1安全計算環境的建構
其中安全計算環境能夠實現相關等級系統的有效管理,在信息存儲以及處理,安全策略實施過程中,能夠對信息系統的重要情況全面掌控。安全計算環境在其有效區域邊界安全防護中,實現對外界網絡的各種攻擊行為有效防護,并能夠避免出現非授權訪問。針對這一問題,安全計算機環境整體安全防范,也就是針對網絡實施有計劃有標準的安全性改造,以能夠顯著提升系統整體性,以免系統本身出現安全漏洞及缺陷等,出現安全風險或者受到攻擊問題。另外,安全計算環境安全防護工作主要也就是有效防范和控制系統內部的攻擊和非授權訪問問題,以免內部人員因為自身操作方式問題出現破壞行為。
1.2安全網絡環境的建構
在信息系統中,通過網絡能夠有效實現不同計算機和計算域,用戶和用戶域的有效銜接,在不同系統間信息傳輸過程中網絡具有通道作用。網絡可以在系統內外應用,部分網絡信息流在傳輸過程中,都會不同程度的經過不穩定網絡環境。因此,在實際操作中,網絡安全防護工作首先也就需要提高網絡設備的整體安全性,針對網絡中的各個設備制定定期維護方案,以免出現網絡攻擊問題,基于此顯著提升網絡中的信息流總體安全性,在以上基礎上進一步提升通信架構的整體性、安全性以及保密性。在網絡自身安全保密中,可以采用網絡加密技術和本身結合方式,滿足網絡安全等級保護的不同要求。其中在網絡安全域建設中,需要制定相應的網絡結構安全范圍,并實現網絡不同訪問操作的有效控制,在實際工作中也需要重視網絡的安全審計工作,提高相應邊界完整性,以免在網絡運行中受到網絡入侵和攻擊,并可以有效防范出現惡性代碼問題,能夠對網絡設備的安全防護及信息起到有效的保護作用。
1.3安全管理中心的建構
在信息系統中,安全管理中心是重要的安全管理系統,直接影響整個系統的安全管理有效性。安全管理中心作為管理平臺,能夠實現對系統中不同信息安全機制的整合性管理,對于系統中存在的分散安全機制,安全管理中心可以對其實施系統化管理,實現集中管理有助于顯著提升安全防范效果。安全管理中心在應用中,可以系統性統籌管理系統的相關體系域的安全計算域、網絡安全域以及安全用戶域等,并對其實現統一調度和應用,可以實現對廣大用戶身份以及授權的管理,實現對用戶操作和審計過程的管理,實現對用戶訪問和控制,也就可以實現系統的整體風險防范,全面掌握通信架構運行情況,顯著提升網絡安全防護系統的整體效果。
2網絡安全等級保護的實施策略
網絡安全及等級保護范文第2篇
關鍵詞:網絡安全,網絡管理,多級安全
1 引言網絡技術,特別是Internet的興起,正在從根本上改變傳統的信息技術(IT)產業,隨著網絡技術和Internet的普及,信息交流變得更加快捷和便利,然而這也給信息保密和安全提出了更高的要求。近年來,研究人員在信息加密,如公開密鑰、對稱加密算法,網絡訪問控制,如防火墻,以及計算機系統安全管理、網絡安全管理等方面做了許多研究工作,并取得了很多究成果。
本論文主要針對網絡安全,從實現網絡信息安全的技術角度展開探討,以期找到能夠實現網絡信息安全的構建方案或者技術應用,并和廣大同行分享。
2 網絡安全風險分析影響局域網網絡安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結起來,主要有六個方面構成對網絡的威脅:
(1) 人為失誤:一些無意的行為,如:丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應進入網絡的人上網等,都會對網絡系統造成極大的破壞。
(2) 病毒感染:從“蠕蟲”病毒開始到CIH、愛蟲病毒,病毒一直是計算機系統安全最直接的威脅,網絡更是為病毒提供了迅速傳播的途徑,病毒很容易地通過服務器以軟件下載、郵件接收等方式進入網絡,然后對網絡進行攻擊,造成很大的損失。
(3) 來自網絡外部的攻擊:這是指來自局域網外部的惡意攻擊,例如:有選擇地破壞網絡信息的有效性和完整性;偽裝為合法用戶進入網絡并占用大量資源;修改網絡數據、竊取、破譯機密信息、破壞軟件執行;在中間站點攔截和讀取絕密信息等。
(4) 來自網絡內部的攻擊:在局域網內部,一些非法用戶冒用合法用戶的口令以合法身份登陸網站后,查看機密信息,修改信息內容及破壞應用系統的運行。
(5) 系統的漏洞及“后門”:操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。科技論文。另外,編程人員為自便而在軟件中留有“后門”,一旦“漏洞”及“后門”為外人所知,就會成為整個網絡系統受攻擊的首選目標和薄弱環節。大部分的黑客入侵網絡事件就是由系統的“漏洞”和“后門”所造成的。
3 網絡安全技術管理探討3.1 傳統網絡安全技術目前國內外維護網絡安全的機制主要有以下幾類:
Ø訪問控制機制;
Ø身份鑒別;
Ø加密機制;
Ø病毒防護。
針對以上機制的網絡安全技術措施主要有:
(1) 防火墻技術
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它用來控制內部網和外部網的訪問。
(2) 基于主機的安全措施
通常利用主機操作系統提供的訪問權限,對主機資源進行保護,這種安全措施往往只局限于主機本身的安全,而不能對整個網絡提供安全保證。
(3) 加密技術
面向網絡的加密技術是指通信協議加密,它是在通信過程中對包中的數據進行加密,包括完整性檢測、數字簽名等,這些安全協議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數及其它一些序列密碼算法實現信息安全功能,用于防止黑客對信息進行偽造、冒充和篡改,從而保證網絡的連通性和可用性不受損害。
(4) 其它安全措施
包括鑒別技術、數字簽名技術、入侵檢測技術、審計監控、防病毒技術、備份和恢復技術等。鑒別技術是指只有經過網絡系統授權和登記的合法用戶才能進入網絡。審計監控是指隨時監視用戶在網絡中的活動,記錄用戶對敏感的數據資源的訪問,以便隨時調查和分析是否遭到黑客的攻擊。這些都是保障網絡安全的重要手段。
3.2 構建多級網絡安全管理多級安全作為一項計算機安全技術,在軍事和商業上有廣泛的需求。科技論文。“多級”包括數據、進程和人員的安全等級和分類,在用戶訪問數據時依據這些等級和分類進行不同的處理。人員和信息的安全標識一般由兩部分組成,一部分是用“密級”表示數據分類具有等級性,例如絕密、秘密、機密和無密級;另一部分是用“類別”表示信息類別的不同,“類別”并不需要等級關系。在具體的網絡安全實現上,可以從以下幾個方面來構建多級網絡安全管理:
(1) 可信終端
可信終端是指經過系統軟硬件認證通過、被系統允許接入到系統的終端設備。網絡安全架構中的終端具有一個最高安全等級和一個當前安全等級,最高安全等級表示可以使用該終端的用戶的最高安全等級,當前安全等級表示當前使用該終端用戶的安全等級。
(2) 多級安全服務器
多級安全服務器上需要部署具有強制訪問控制能力的操作系統,該操作系統能夠為不同安全等級的用戶提供訪問控制功能。該操作系統必須具備很高的可信性,一般而言要具備TCSEC標準下B1以上的評級。
(3) 單安全等級服務器和訪問控制網關
單安全等級服務器本身并不能為多個安全等級的用戶提供訪問,但結合訪問控制網關就可以為多安全等級用戶提供訪問服務。對于本網的用戶,訪問控制網關旁路許可訪問,而對于外網的用戶則必須經過訪問控制網關的裁決。訪問控制網關的作用主要是識別用戶安全等級,控制用戶和服務器之間的信息流。科技論文。如果用戶的安全等級高于單級服務器安全等級,則只允許信息從服務器流向用戶;如果用戶的安全等級等于服務器安全等級,則允許用戶和服務器間信息的雙向流動;如果用戶的安全等級低于服務器安全等級,則只允許信息從用戶流向服務器。
(4) VPN網關
VPN網關主要用來保護跨網傳輸數據的保密安全,用來抵御來自外部的攻擊。VPN網關還被用來擴展網絡。應用外接硬件加密設備連接網絡的方式,如果有n個網絡相互連接,那么就必須使用n×(n-1)個硬件加密設備,而每增加一個網絡,就需要增加2n個設備,這對于網絡的擴展很不利。引入VPN網關后,n個網絡只需要n個VPN網關,每增加一個網絡,也只需要增加一個VPN網關。
4 結語在網絡技術十分發達的今天,任何一臺計算機都不可能孤立于網絡之外,因此對于網絡中的信息的安全防范就顯得十分重要。針對現在網絡規模越來越大的今天,網絡由于信息傳輸應用范圍的不斷擴大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點對網絡的信息安全管理系統展開了分析討論,相信通過不斷發展的網絡硬件安全技術和軟件加密技術,再加上政府對信息安全的重視,計算機網絡的信息安全是完全可以實現的。
參考文獻:
[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.
[2] 黃國言.WEB方式下基于SNMP的網絡管理軟件的設計和實現[J].計算機應用與軟件,2003,20(9):92-94.
[3] 李木金,王光興.一種被用于網絡管理的性能分析模型和實現[J].軟件學報,2000,22(12): 251-255.
網絡安全及等級保護范文第3篇
關鍵詞:電子政務外網 安全保障體系 計算區域 網絡基礎設施 計算區域邊界 安全域 等級保護 風險評估
一、前言
國家電子政務外網(以下簡稱政務外網)是中辦發[2002]17號文件明確規定要建設的政務網絡平臺。政務外網是政府的業務專網,主要為黨委、人大、政府、政協、法院和檢察院各級政務部門服務,運行各級政務部門面向社會的專業業務和不需要在內網上運行的業務。
為保證電子政務外網的安全運行,中辦發[2003]27號文和[2006]18號文明確提出,電子政務外網與政務內網之間采用物理隔離,政務外網與互聯網之間采用邏輯隔離。政務外網的建設要按照信息安全等級保護的有關要求,分別采用相應的保護措施,通過建立統一的密碼和密鑰管理體系、網絡信任體系和安全管理體系,分級、分層、分域保障信息安全。
二、政務外網(一期工程)安全需求
⒈政務外網安全防護對象
政務外網的基礎網絡環境如圖1所示。
依據政務外網的網絡環境,政務外網的安全防護對象分為如下三類:計算區域、網絡基礎設施和計算區域邊界。
⑴計算區域
政務外網所涉及的計算環境有:中央網絡管理中心計算區域、各省市節點的二級網絡管理中心計算區域、中央城域網接入單位計算區域以及外網骨干網接入的各省市節點的計算區域。
在各計算區域內主要防護如下對象:
①數據資源,主要包括各應用系統管理的數據資源;
②軟件資源,包括系統軟件、網絡軟件、支撐軟件和應用系統等;
③中心計算機;
④存儲介質,包括數據備份磁帶、軟盤、可讀寫光盤等;
⑤用戶,包括普通操作員、業務管理員、高級業務管理員以及系統(數據庫)管理員和網絡管理員等。
⑵網絡基礎設施
政務外網所要防護的網絡基礎設施主要有:各計算區域的網絡基礎設施,以及實現各計算區域相聯的網絡基礎設施。
⑶計算區域邊界
由于計算區域與其他外部實體相聯而產生區域邊界,區域邊界與計算區域直接相關,與計算區域相聯的外部實體的性質直接決定區域邊界的保護的策略。
政務外網中的計算區域邊界主要有:與中央城域網相聯的各計算區域因與中央城域網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界、各省市節點計算區域因與政務外網骨干網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界。
⒉安全需求
根據政務外網的特點,政務外網的安全需求體現在如下幾方面:
①建設政務外網安全信任體系,確保政務外網資源不能被非法用戶訪問;
②建設政務外網數據交換中心,確保不同安全域之間的安全數據交換;
③確保政務外網的安全保障體系具有高可靠性,并具有可審計、可監控性;
④實現政務外網統一的安全管理體系;
⑤確保政務外網與互聯網的安全互連。
三、政務外網安全保障體系框架
政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務。從政務外網的實際出發,政務外網的安全保障體系設計應重點針對政務外網的如下特點:
①政務外網必須與互聯網邏輯隔離;
②政務外網主要運行面向社會的專業業務,這些業務所涉及的業務信息具有面向公眾的特性,所以保護業務信息的完整性、可鑒別性以及抗抵賴性十分重要;
③政務外網是國家電子政務的基礎性網絡環境,支持電子政務系統互聯互通、數據交換、信息共享、業務互動、便民服務的需求,所以政務外網要滿足公用網絡安全可信的需求;
根據以上分析,政務外網(一期工程)安全保障體系由網絡防護體系、網絡信任體系、安全管理體系、安全服務體系等構成,邏輯模型如圖2所示。
⒈網絡安全防護體系
網絡安全防護系統是政務外網安全保障體系中最重要的安全設施,主要保護電子政務外網的各子網網絡節點及整個電子政務外網,保證整個政務外網及相關業務系統的可用性、完整性、可控性等。網絡安全防護系統重點要考慮防火墻系統、入侵防御系統、防病毒系統、遠程安全接入系統、流量監測系統等的配置和建設。
政務外網的網絡安全防護體系將涵蓋以下幾個方面:
⑴物理安全
保證政務外網中各種骨干設備的物理安全是整個政務外網安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
⑵網絡安全
網絡安全主要考慮VPN、防火墻、入侵檢測系統、非法外聯監控系統、PKI接入認證網關等安全設備在政務外網中的配置與部署。
⑶系統層安全
系統層安全主要包括漏洞掃描、操作系統安全加固、數據庫安全加固。
⑷應用層安全
應用層安全主要考慮應用系統的鑒別、授權和訪問控制等安全機制。
⒉網絡信任體系
網絡信任體系是為網絡用戶、設備提供信息安全服務的具有普適性的信息安全基礎設施。該體系在統一的安全認證標準和規范基礎上提供在線身份認證、授權管理和責任認定。其核心是要解決信息網絡空間中的信任問題,確定信息網絡空間中各種經濟和管理行為主體(包括組織和個人)身份的唯一性、真實性和合法性,保護信息網絡空間中各種主體的安全利益。政務外網網絡信任體系的建設與政務外網的安全運營息息相關,是電子政務安全運行的支撐基礎設施。
政務外網(一期工程)的網絡信任體系,主要是在國家主管部門的指導下,建設政務外網身份認證系統,組建政務外網身份認證管理協調機構和技術保障隊伍,制定有關政務外網身份認證的相關標準體系、管理運行規章制度和規范,逐步形成統一的政務外網網絡信任體系。
⒊安全服務體系
政務外網安全服務體系主要由安全評估和安全培訓組成。安全評估主要是對政務外網及其處理的傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學識別和掃描評估的過程。安全評估的主要目的是定期對網絡系統進行安全性分析,及時發現并修正動態運行的網絡系統中存在的弱點和漏洞,認清信息安全環境、信息安全狀況,明確責任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續性。
⒋安全管理體系
安全并非只是一個技術問題,它也是一個關于人和管理的問題。安全不是個產品,它是一個完整的過程。作為一個過程,它有人、技術、流程這3個組成部分,這些組成部分匹配得越好,過程進展得就越順利。
安全管理在政務外網的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術措施,如果管理的力度不夠,將會造成很大的安全隱患。因此,必須加強安全保密管理,設置安全保密管理機構,制定嚴格的安全保密管理制度,采用適當的安全保密管理技術將政務外網中各種安全保密產品進行集成,并加強對人員的管理。
安全管理體系的建設包括安全保密管理機構的建立、安全保密制度的制定、安全保密管理技術的使用以及人員的管理等幾方面內容,這里不再予以贅述。只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態的安全過程,才能為政務外網提供制度上的保證。
四、幾個重要問題
在整個政務外網(一期工程)安全保障體系的規劃和建設當中,有幾個重要問題需要特別說明。
⒈安全域劃分
政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務,要滿足政府公用網絡安全可信的需求。所以,在政務外網內有必要劃分不同的安全域,定義每個安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權威定義和執行的公共安全策略的安全要素的集合,有利于每個安全域共享相似的安全策略。
政務外網具有數據量龐大、業務復雜多樣、安全等級各異的特點,因此安全域的劃分遵循以下原則:
①根據信任等級劃分安全域。在政務外網中,要為政務信息資源和國家基礎信息資源的登記、備案、、交換和共享提供服務,同時相關的業務系統也要有連接到互聯網和有需求的其它單位,不同的系統由于處理的數據和交互的實體不同,需要在不同的位置或業務流程中,劃分不同的安全域。
②根據業務節點類型,對不同的節點劃分相應的安全域,并配置和節點業務量相匹配的安全措施和安全設備。在政務外網中,政務外網要連接不同類型的網絡節點,網絡節點的安全等級決定了安全域的劃分和安全設施的投資建設規模。
③依據數據的安全等級,在存儲和傳輸的不同區域,劃分安全域,并采用不同的安全策略,體現數據的分等級保護。
根據以上原則,在政務外網中,網絡各節點的局域網構成相對獨立的安全域,并在各節點內部進行安全域細化。政務外網中,按節點所劃分的安全域有中央網絡管理中心局域網、中央城域網接入節點單位、各省市節點的二級網絡管理中心局域網和各省市節點的各自的接入網絡。
⒉等級保護
根據公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室2007年聯合頒布的43號文件《信息安全等級保護管理辦法》的相關規定,為保障電子政務外網的網絡安全,對電子政務外網需采用等級保護機制。等級保護以網絡安全域劃分為基礎,電子政務外網包括網絡基礎設施,包括眾多接入網絡,各個子網絡又包括不同的應用系統。只有根據這些資產的重要性以及它們面臨的安全威脅的不同,結構化地劃分為安全域,才能有效地進行安全保護。
根據政務外網的邏輯結構、安全域劃分情況、面向對象及應用模式,中央網絡管理中心局域網、中央城域網接入節點單位二級網絡管理中心局域網和各省區市接入節點二級網絡管理中心局域網,至少要達到第三級(監督保護級)的要求。對于這類的安全域,將依照國家管理規范和技術標準進行自主保護,并接受信息安全監管職能部門的監督、檢查。
中央城域網接入節點單位接入網絡和各省區市接入節點單位接入網絡至少要達到第二級(指導保護級)的要求。對于這類安全域,將在信息安全監管職能部門的指導下,依照國家管理規范和技術標準進行自主保護。
⒊風險評估
在政務外網(一期工程)安全保障體系規劃和設計時,國家信息中心網絡安全部將風險管理的思想引入到政務外網的建設中,獲取規劃和設計階段的政務外網的安全風險,提出并確定外網安全建設的要求,改進規劃中的不合理因素,為后續的網絡建設的實施提供安全建設依據。此次事前評估范圍主要是政務外網一期工程第一階段工程初步設計規劃方案,評估著重考慮外網規劃中系統平臺的安全性。為支持整個風險評估過程的推進,國家信息中心網絡安全部成立了由領導層、相關業務骨干、外網相關人員等組成的風險評估小組。評估結束后,針對不可接受的風險,風險評估小組對規劃和設計做了相應的修改,很好地兼顧了風險與成本的平衡。
五、結語
根據政務外網(一期工程)安全保障體系整體規劃和一期工程建設進度安排,政務外網中央節點安全保障體系已初步建成。通過幾個月的試運行,整個政務外網安全保障體系運轉良好,初步達到了預期的設計目標。下一步的工作重點將是:進一步完善政務外網安全保障體系,建立健全政務外網安全管理機制,明確各級網管部門安全管理責任;開展信息安全風險評估工作,按照信息安全等級保護的要求,對全網分級、分層、分域確定信息安全等級;從技術和管理兩方面入手,不斷完善信息安全保障體系,初步建成統一的政務外網信任體系,形成面向外網用戶的服務能力。
作者簡介:
王勇,男,漢族,1977年生,山東鄄城人,國家信息中心網絡安全部工程師;研究方向:網絡安全。
網絡安全及等級保護范文第4篇
關鍵詞:網絡信息安全;等級保護
中圖分類號:TP311 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-02
The Public Security Frontier Forces Information Security Construction Discussion
Jiang Haijun
(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)
Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.
Keywords:Network information security;Level protection
隨著科學技術和邊防部隊勤務工作的深入發展,信息化建設已成為提高邊防執法水平的有力途徑,全國邊防部隊近年來已基本實現信息資源網絡化。但是,緊隨信息化發展而來的網絡安全問題日漸凸出,給邊防部隊管理工作帶來了新的挑戰,筆者結合邊防部隊當前網絡安全工作實際,就如何構建全方位的網絡安全管理體系略陳管見。
一、影響邊防部隊信息網絡安全的主要因素分析
(一)物理層的安全問題。構成網絡的一些計算機設備主要包括各種服務器、計算機、路由器、交換機、集線器等硬件實體和通信鏈路,這些設備分向在各種不同的地方,管理困難。其中任何環節上的失誤都有可能引起網絡的癱瘓。物理安全是制定區域網安全解決方案時首先應考慮的問題。
(二)計算機病毒或木馬的危害。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓,是影響網絡安全的豐要因素。新型的木馬和病毒的界限越來越模糊,木馬往往借助病毒強大的繁殖功能使其傳播更加廣泛。
(三)黑客的威脅和攻擊。現在各類打著安全培訓旗號的黑客網站不勝枚舉,大量的由淺到深的視頻教程,豐富的黑客軟件使得攻擊變得越來越容易,攻擊者的年齡也呈現低齡化,攻擊越演越烈。黑客入侵的常用手法有:系統溢出、端口監聽、端口掃描、密碼破解、腳本滲透等。
二、邊防部隊信息網絡安全的特征分析
(一)網絡安全管理范圍不斷擴大。從工作點來看,網絡覆蓋范圍已從機關直接深入到基層一線,從機關辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網絡接入點的地方,無論是物理線路還是無線上網點都必須進行網絡安全管理,點多線長,情況復雜;從工作環節來看,從設備的選購、網絡的組建、專線的租用到日常網絡應用,從設備維護保養、設備出入庫到送修和報廢,無一不涉及到網絡信息安全,網絡安全已滲透到工作的每一個環節。如:某單位被通報發現違規事件,經調查,結果是有人將手機接上公安網計算機充電,而該手機正在無線上網。
(二)安全管理對象類型復雜多樣。目前,公安信息網、互聯網、業務專網、機要專網在日常工作中頻繁使用,成為管理的難點。同時,公安網上各類使用中的網絡安全管理軟件系統應用有待深化,一些網絡管理軟件使用功能僅停留在表層,未能成為得力工具。
(三)網絡安全問題不斷翻新。目前互聯網、公安網、業務網、網四種網絡必須物理隔離,禁止交叉使用移動存儲介質,但四種網絡的信息資源在一定范圍內卻必須共享交流。曾經出現過這種情況,某單位人員在互聯網上建立論壇,發表不健康言論,觸犯邊防部隊管理條例。究其原因,是因為我們的網絡安全工作一直以來是局限在公安網內部,尚未隨著網絡應用發展趨勢擴展到互聯網的管理上。
三、邊防部隊信息網絡安全的技術分析
網絡安全產品的自身安全的防護技術網絡安全設備安全防護的關鍵,一個自身不安全的設備不僅不能保護被保護的網絡而且一旦被入侵,反而會變為入侵者進一步入侵的平臺。
(一)虛擬網技術。虛擬網技術主要基于近年發展的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。因此,網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。
(二)防火墻技術。網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。雖然防火墻是保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
(三)病毒防護技術。病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互聯,病毒的傳播途徑和速度大大加快。在防火墻、服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。
(四)入侵檢測技術。利用防火墻技術,經過仔細的配置,通常能夠在內外網之間提供安全的網絡保護,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠。需要監視的服務器上安裝監視模塊(agent),分別向管理服務器報告及上傳證據,提供跨平臺的入侵監視解決方案;在需要監視的網絡路徑上,放置監視模塊(sensor),分別向管理服務器報告及上傳證據,提供跨網絡的入侵監視解決方案。
四、邊防部隊信息網絡安全管理體系的對策
網絡安全是一個范圍相對較大的概念,根據具體的實際情況組成不同安全管控層次或等級的網絡系統,既是網絡實際發展應用的趨勢,更是網絡現實應用的一種必然。
(一)提高多層次的技術防范措施。按照網絡實際應用中出現故障的原因和現象,參考網絡的結構層次,我們可以把網絡安全工作的對象分為物理層安全、系統層安全、網絡層安全和應用層安全,不同層次反映不同的安全問題,采取不同的防范重點:一是確保物理環境的安全性。包括通信線路的安全、物理設備的安全、機房的安全等。在內網、外網共存的環境中,可以使用不同顏色的網線、網口標記、網口吊牌來標記區分不同的網絡,如灰色的公安網專用,紅色的互聯網專用,黃色的網專用。二是確保軟硬件設備安全性。必須預備一定的備用設備,并定期備份重要網絡設備設置。對待報廢的各類存儲類配件,一定要進行消磁處理,確保信息安全。三是提供良好的設備運行環境機房要有嚴格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施,并且有單獨的電源供電系統;安裝有計算機的辦公室要有防塵、防火、防潮、防泄密等措施,電源要符合計算機工作要求。四是完善操作系統的安全性必須設置系統自動升級系統補丁。五是加強密碼的管理。存取網絡上的任何數據皆須通過密碼登錄。同時設制復雜的計算機開機密碼、系統密碼和屏保密碼。
(二)建立嚴格的網絡安全管理制度。嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應通過制度規范協調網絡安全的組織、制度建設、安全規劃、應急計劃,筑起網絡安全的第一道防線。
(三)合理開放其它類型的網絡應用。目前,很多單位都建立了警營網吧,給官兵提供良好的學習娛樂平臺,這種情況下就必須把互聯網的網絡安全工作納入安全工作范圍,采取多種方法,規范和引導官兵進行互聯網的應用,合理開放所需的應用功能,有效控制不合理的功能應用。目前,邊防部隊的信息網絡安全技術的研究仍處于起步階段,有大量的工作需要我們去探索和開發。公安部已在全國范圍內大力推進信息網絡安全工作,相信在大家的共同努力下,邊防部隊將建立起一套完整的網絡安全體系,確保信息網絡的安全,推動邊防部隊信息化高度發展。
五、結論
網絡信息安全系統建設完成后,將實現信息系統等級保護中有關數據安全保護的基本要求和目標,尤其是應用密碼技術和手段對信息系統內部的數據進行透明加密保護。網絡信息安全系統還為單位內部機密電子文檔的管理提供了一套有效的管理辦法,為電子文檔的泄密提供了追查依據,解決了信息系統使用方便性和安全共享可控制的難點,為部隊深化信息化建設提供技術保障。網絡信息安全系統能夠有效提高單位的數據安全保護等級,與其他信息系統模塊協調工作,實現了資源的整合和系統的融合,形成一個更加安全、高效、可控、完善的信息系統風險監控與等級保護平臺,提高了部隊內部核心數據,特別是對內部敏感電子文檔的安全管理,隨著系統的不斷完善和擴大,將對部隊內部網絡和信息系統的安全保護發揮更大作用。
參考文獻:
網絡安全及等級保護范文第5篇
關鍵詞:醫院;信息化;網絡;安全
中圖分類號:TP309.2
隨著醫改的不斷深入,借助信息化提高醫院的管理水平和服務質量已成為大勢所趨,伴著網絡技術的迅猛發展,Web化應用呈現出爆發式增長趨勢,一方面,增強了各行業及部門間的協作能力,提高了生產效率,另一方面也不可避免的帶來了新的安全威脅。從國家到地方,衛生行政主管部門非常重視醫院信息安全,與公安部門聯合發文,要求醫院完成等級保護工作。
1 我院網絡安全建設現狀
1.1 醫院信息系統現狀
我院的信息信息系統主要有:醫院信息管理系統(HIS)、醫學影像信息系統(PACS)、臨床實驗室檢驗信息系統(LIS)、電子病歷系統(EMR)、手術麻醉信息系統(AIMS)、醫院辦公自動化系統(HOA)等。隨著各系統應用的不斷深入,以及這些系統與醫保、合療、健康檔案、財務、銀行一卡通等系統的直連,安全問題已越來越突顯,網絡安全作為信息安全的基礎,變得尤為重要。
1.2 網絡安全現狀與不足
1.2.1 網絡安全現狀
(1)我們采用內外網物理隔離,內網所有U口禁用。對開放的U口通過北信源的桌面管理軟件進行管理;(2)內外網都使用了賽門鐵克的網絡殺毒軟件,對網絡病毒進行了防范;(3)與外部連接。
內網與省醫保是通過思科防火墻、路由器和醫保專線連接進行通信;與市醫保是通過聯想網御的網閘、醫保路由器與醫保專線連接進行通信;與合療及虛擬桌面是通過綠盟的下一代防火墻與互聯網進行通信;與健康檔案是通過天融信的VPN與互聯網進行通信的。另外,內網與財務專用軟件、一卡通也是通過網閘及防火墻進行通信的。
另外,我們有較完善的網絡安全管理制度體系,這里不再贅述。
1.2.2 網絡安全存在的問題
(1)由于醫院信息系統與外部業務連接不斷增長,專線與安全設備比較繁雜,運維復雜度較高;(2)通過部署網絡殺毒軟件及安全設備,雖然提升了網絡的安全性,但卻帶來了系統性能下降的問題,如何在不過多影響整體網絡性能的前提下,又可以完善整網的安全策略的部署,是后續網絡優化所需要重點關注的;(3)終端用戶接入網絡后所進行的網絡訪問行為無法進行審計和追溯。
2 醫院網絡層安全策略部署規劃
在等級保護安全策略指導下,我們將整個醫院的安全保障體系設計分為安全管理體系建設和安全技術體系建設兩個方面,其中安全技術體系建設的內容包括安全基礎設施(主要包括安全網關、入侵防護系統、安全審計系統等),安全管理體系建設的內容包括組織、制度、管理手段等。通過建立醫院安全技術體系、安全服務體系和安全管理體系,提供身份認證、訪問控制、抗抵賴和數據機密性、完整性、可用性、可控性等安全服務,形成集防護、檢測、響應于一體的安全防護體系,實現實體安全、應用安全、系統安全、網絡安全、管理安全,以滿足醫院安全的需求[1]。
在這里,我主要從安全技術體系建設方面闡述醫院網絡層安全策略。
網絡層安全主要涉及的方面包括結構安全、訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備防護幾大類安全控制。
2.1 安全域劃分[2]
2.1.1 安全域劃分原則
(1)業務保障原則。安全域方法的根本目標是能夠更好的保障網絡上承載的業務。在保證安全的同時,還要保障業務的正常運行和運行效率;(2)適度安全原則。在安全域劃分時會面臨有些業務緊密相連,但是根據安全要求(信息密級要求,訪問應用要求等)又要將其劃分到不同安全域的矛盾。是將業務按安全域的要求強性劃分,還是合并安全域以滿足業務要求?必須綜合考慮業務隔離的難度和合并安全域的風險(會出現有些資產保護級別不夠),從而給出合適的安全域劃分;(3)結構簡化原則。安全域方法的直接目的和效果是要將整個網絡變得更加簡單,簡單的網絡結構便于設計防護體系。比如,安全域劃分并不是粒度越細越好,安全域數量過多過雜可能導致安全域的管理過于復雜和困難;(4)等級保護原則。安全域的劃分要做到每個安全域的信息資產價值相近,具有相同或相近的安全等級安全環境安全策略等;(5)立體協防原則。安全域的主要對象是網絡,但是圍繞安全域的防護需要考慮在各個層次上立體防守,包括在物理鏈路網絡主機系統應用等層次;同時,在部署安全域防護體系的時候,要綜合運用身份鑒別訪問控制檢測審計鏈路冗余內容檢測等各種安全功能實現協防;(6)生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態設計,還要考慮不斷的變化;另外,在安全域的建設和調整過程中要考慮工程化的管理。
2.2.2 區域劃分
業務網內部根據業務類型及安全需求劃分為如圖1所示的幾個個安全區域,也可以根據醫院自己的業務實際情況,添加刪減相關的安全域,網絡規劃拓撲圖[3]如下:
圖1
(1)外聯區:主要與醫保網、外聯單位進行互聯,此區域與數據中心核心交換機互聯;在外聯區接入處部署防火墻、IPS、硬件殺毒墻,也可以部署下一代防火墻產品,添加IPS功能模塊、殺毒功能模塊,通過防火墻、IPS、殺毒進行訪問控制,實現安全隔離;與數據中心核心交換機處部署網閘設備,實現物理隔離;(2)運維管理區:主要負責運維管理醫院信息化系統,此區域與數據中心核心交換機互聯;在運維管理區與核心交換機之間部署堡壘機(SAS-H),對運維操作進行身份識別與行為管控;部署遠程安全評估系統(RSAS),對系統的漏洞進行安全評估;部署安全配置核查系統,對系統的安全配置做定期檢查;部署日志管理軟件,對網絡設備、安全設備、重要服務器的日志做收集整理和報表呈現;部署網絡版殺毒系統,與硬件殺毒墻非同一品牌;部署網絡審計系統,對全網所有用戶行為進行網絡審計;部署主機加固系統,對重要服務器定期進行安全加固,以符合等保的安全配置要求;(3)辦公接入區:主要負責在住院部大樓、門急診樓、公寓后勤樓等辦公用戶的網絡接入;接入匯聚交換機旁路部署IDS;與核心交換機接入采用防火墻進行訪問控制;重要辦公用戶安裝桌面終端系統控制非法接入問題;(4)核心交換區:主要負責各個安全域的接入與VLAN之間的訪問控制;在兩臺核心交換機上采用防火墻板卡,來實現各個區域的訪問控制。在核心交換機旁路部署安全審計系統,對全網數據進行內容審計,可以與運維管理區的網絡審計使用同一臺;(5)互聯網接入區:主要負責為辦公區用戶訪問互聯網提供服務,以及互聯網用戶訪問門戶網站及網上預約等業務提供服務;在互聯網出口處,部署負載均衡設備對鏈路做負載處理;部署下一代防火墻設備(IPS+AV+行為管理),對進出互聯網的數據進行安全審計和管控;在門戶服務器與匯聚交換機之間部署硬件WEB應用防火墻,對WEB服務器進行安全防護;在門戶服務器上安裝防篡改軟件,來實現對服務器的防篡改的要求;部署網閘系統,實現互聯網與業務內網的物理隔離要求;(6)數據中心區:此區域主要為醫院信息系統防護的核心,可分為關鍵業務服務器群和非關鍵業務服務器群,為整個醫院內網業務提供運算平臺;在非關鍵業務服務器群與核心交換區之間部署防火墻和入侵保護系統,對服務器做基礎的安全防護;在關鍵業務服務器群與核心交換機之間部署防火墻、入侵保護系統、WEB應用防護系統,對服務器做安全防護;(7)開發測試區:為軟件開發機第三方運維人員提供接入醫院內網服務,與核心交換機互聯;部署防火墻進行訪問控制,所有的開發測試區的用戶必須通過堡壘機訪問醫院內網;(8)存儲備份區:此區域主要為醫院信息化系統數據做存儲備份,與核心交換機互聯。
2.2 邊界訪問控制[1]
在網絡結構中,需要對各區域的邊界進行訪問控制,對于醫院外網邊界、數據交換區邊界、應用服務區域邊界及核心數據區邊界,需采取部署防火墻的方式實現高級別的訪問控制,各區域訪問控制方式說明如下:
(1)外聯區:通過部署高性能防火墻,實現數據中心網絡與醫院外網之間的訪問控制;(2)核心交換區:通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對數據交換區的訪問控制;(3)數據中心區:通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制;(4)運維區:通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對核心數據區的訪問控制;(5)互聯網區:與內網核心交換區采用網閘系統進行物理隔離;與互聯網出口采用防火墻實現訪問控制;(6)開發測試區:通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制;(7)辦公網接入區:通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制;(8)備份存儲區:通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制。
2.3 網絡審計[1]
網絡安全審計系統主要用于監視并記錄網絡中的各類操作,偵查系統中存在的現有和潛在的威脅,實時地綜合分析出網絡中發生的安全事件,包括各種外部事件和內部事件。在數據中心核心交換機處旁路部署網絡行為監控與審計系統,形成對全網網絡數據的流量檢測并進行相應安全審計,同時和其他網絡安全設備共同為集中安全管理提供監控數據用于分析及檢測。
網絡行為監控和審計系統將獨立的網絡傳感器硬件組件連接到網絡中的數據匯聚點設備上,對網絡中的數據包進行分析、匹配、統計,通過特定的協議算法,從而實現入侵檢測、信息還原等網絡審計功能,根據記錄生成詳細的審計報表。網絡行為監控和審計系統采取旁路技術,不用在目標主機中安裝任何組件。同時玩了個審計系統可以與其他網絡安全設備進行聯動,將各自的監控記錄送往安全管理安全域中的安全管理服務器,集中對網絡異常、攻擊和病毒進行分析和檢測。
2.4 網絡入侵防范[1]
根據數據中心的業務安全需求和等級保護三級對入侵防范的要求,需要在網絡中部署入侵防護產品。
入侵防護和產品通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測產品應支持深度內容檢測、技術。配合實時更新的入侵攻擊特征庫,可檢測網絡攻擊行為,包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網絡威脅。當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。
入侵防護產品部署在數據中心與核心交換機之間,繼防火墻邊界訪問控制后的第二道防線。
2.5 邊界惡意代碼防范[1]
根據數據中心業務風險分析和等級保護三級對邊界惡意代碼防范的要求,需要在互聯網邊界部署防病毒產品,也可以在下一代防火墻添加防病毒模塊來實現此功能;防病毒產品應具備針對HTTP、FTP、SMTP、POP3、IMAP以及MSN協議的內容檢查、清除病毒的能力。支持查殺引導區病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼,并定期提供對病毒庫版本的升級。
2.6 網絡設備保護[1]
對于網絡中關鍵的交換機、路由器設備,也需要采用一定的安全設置及安全保障手段來實現網絡層的控制。主要是根據等級保護基本要求配置網絡設備自身的身份鑒別與權限控制,包括:登錄地址、標識符、口令復雜度、失敗處理、傳輸加密、特權用戶權限分配等方面對網絡設備進行安全加固。
由于不同網絡設備安全配置的不同、配置維護工作繁雜,且信息安全是動態變化的,因此這里推薦通過自動化的配置核查設備,對網絡層面和主機層的安全配置進行定期掃描核查,及時發現不滿足基線要求的相關配置,并根據等級保護的安全配置要求提供相對應的安全配置加固指導。
3 結束語
通過以上六個方面的安全加固,重點解決了醫院當前網絡安全環境中面臨的主要問題。隨著醫院數字化進程的不斷深入,我們還將重點跟蹤網絡安全方面出現的新問題、新的技術思路和新的技術解決方案,做好醫院的網絡安全工作,為醫院信息化建設保駕護航。
目前,網絡已經深刻影響與改變現有的醫療模式[4],網絡安全已成為醫院信息化建設中的重中之重,它是一項復雜而艱巨的系統工程,需全方位入手,切實保障醫院各信息系統安全穩定的運行、醫院各項工作順利的開展,真正為廣大患者提供優質便捷的服務。
參考文獻:
[1]GB/T 22239-2008,信息系統安全等級保護基本要求[S].
[2]GB/T 9387.2-1995,開放系統互連基本參考模型第2部分:安全體系結構《醫療機構》,P14-P18:安全服務與安全機制的配置[S].
[3]ISO 10181:1996 信息技術開放系統互連開放系統安全框架[S].
[4]陳理兵,陳起燕.論醫院網絡應用系統的安全設計[J].福建電腦,2013(11).
