信息安全实践(精选8篇)
信息安全实践 篇1
信息安全综合实践任务书
一、计算机综合能力设计的性质和目的
本设计是针对于计算机科学与技术而独立设置的,要求在学生学完《网络基础》、《C语言程序设计》、《网络安全》等课程后,对学生所学课程的一种综合应用和提高,使学生能够对已经学过的知识进行总结和综合训练。信息安全综合实践的目的在于提高学生的实际应用能力,熟悉信息安全的基本方法。
二、课程设计的基本要求
要求学生掌握网络安全原理和技术在实践中的应用,在掌握理论学习的基础上,动手编写程序,通过应用所学习的知识,来解决一些实际网络安全应用问题。在此基础上,真正理解和掌握网络安全的相关理论,具备程序设计的能力。小组成员共同协作完成一个安全系统的开发任务,实现整个系统的设计。
三、设计课题及内容和要求 1.基本要求
根据所给任务书的要求,从中选择项目,应用所学的知识,完成题目所规定的各项要求。总体要求如下:
程序代码要精练,有效(其中不包括编译器自动生成的代码),关键代码必须有合理注释。
课程设计报告正文字数不少于8000汉字,概念清楚、叙述正确、内容完整、书写规范。
课程设计中必须按指导书要求,综合应用所学的网络安全知识解决实际问题,有必要的理论分析,设计要有合理的依据。独立完成课程设计,不得抄袭他人。
功能正确、有一定实用性,鼓励创新。程序界面友好,便于交互。
在设计过程中要考虑用户使用的便利,提供一些多样化的选择,比如在算法的安全性和便利方面做出折衷。
积极交流与讨论(通过同学、网络等途径)、善于查阅资料、分析与借鉴他人编写的软件和源代码。2.课程设计题目 题目一:VPN软件
任务:设计一个虚拟专用网系统,可以在虚拟环境下利用公网进行保密通信。基本要求:
(1)可以产生公钥密钥对;
(2)可以采用共享对称密钥或者公钥建立安全连接;
(3)进行通信的身份认证,认证对方来自虚拟网的某个局域网。题目二:安全的即时通讯软件
任务:采用加密、数字签名技术技术对即时通讯软件的通信进行保护。功能要求:
(1)可以进行通信的身份验证,登陆时需要对密码进行加密;(2)采用公钥密码技术验证和签名;
(3)采用公钥密码和对称密码结合来进行消息加密,每一次会话产生一个对称加密的会话密钥,会话密钥用公钥建立;
(4)具备正常的密钥管理功能,自己的私钥要加密,对方好友的公钥要加以存储和管理,具备导入导出功能;(5)验证完整性,确保消息在传输过程中没有被更改;(6)文件传输的安全,防止病毒文件的传播,防止有害内容的传播,包括一些病毒、恶意程序,甚至防止窃取密码的木马。题目三:安全数据库系统
任务:该系统实现一个安全的数据库系统,对数据库进行数字签名保证完整性,数据加密保证隐秘性。
功能要求:
(1)数据库的数据要进行加密;(2)对数据库的完整性进行保护;
(3)防止用户根据部分密文明文对,恢复数据库总密钥;(4)数据采用一个密钥以某种形式衍生子密钥进行加密;(5)保证密钥的安全性。
说明:可以采用总密钥,根据hash函数,以及每一个数据的各种属性来产生子密钥。
题目四:安全网络身份认证系统
任务:实现一个安全的网络身份系统,用于身份验证,能够抵抗大多数的攻击。
功能要求:(1)抵抗重放攻击,可采用序列号、时间戳、应答响应、流密码、密钥反馈机制;
(2)认证信息在网络上应当进行加密;(3)利用公钥机制共享身份验证信息。
题目五:安全电子商务(政务)网站设计
任务:实现一个安全电子商务(政务)网站 功能要求:
(1)网站登录采用Ssl之内的安全协议,密码的保存采用hash函数,或者加密技术;
(2)客户访问采用sll加密所有通信数据;
(3)数据库设计一定的备份恢复机制以及完整性验证机制;
(4)选作:商务网站可以增加网上拍卖、电子货币,电子支付,还有类似支付宝之内的功能。密钥管理软件。
(5)选作:电子政务网站可以增加具有数字签名的审批功能,电子投票、电子选举功能。
题目六:网络内容安全过滤系统
任务:设计针对邮件、网页以及文件进行过滤的软件。功能要求:
(1)对文本内容、url、网址、ip进行过滤;(2)可以自动去一些网址下载黑名单;
(3)软件本身设置一定的安全保护措施,防止被篡改、非法访问等;(4)可以根据需要增加其他的过滤和功能设置,比如限时上网、超时下线、黑屏警告一些非法行为等;
(5)增加一定的自学习功能,通过非法信息的特征来升级特征库。题目七:安全电子锁
任务:实现一个安全的电子锁。功能要求
此题目要求较高,可以只完成一部分。要求熟悉硬件编程、hash算法设计,具体的要求:
(1)设计简化的hash算法,用于锁和钥匙之间的认证;(2)防止重放攻击,采用应答响应机制;
(3)钥匙关锁的时候,锁验证钥匙的身份,通过则开启锁;
(4)锁关好后发出一个信息,钥匙予以确认身份,并且发出声音等提示。题目八:入侵检测系统 任务:实现一个入侵检测系统 功能要求
(1)具有嗅探功能;
(2)能够分析数据包,甚至能够对系统日志进行检测和分析;(3)设定检测的规则,可以参考snort的规则;
(4)可以根据用户自己设置的规则进行报警、记录、甚至响应;(5)能够生成入侵检测系统的日志,记录各种检测到的事件。
题目八:CA系统
任务:实现一个ca系统,可以接受用户的认证请求,安全储存用户信息,记录储存对用户的一些认证信息,给用户颁发证书,可以吊销。
功能要求:
(1)接受用户的提交申请,提交时候让用户自己产生公钥对;(2)接受用户的申请,包括用户信息的表单提交,公钥的提交;(3)在对用户实施认证的过程中,储存相应的电子文档,比如证书、营业执照的扫描文档;
(4)通过验证的给予颁发证书;
(5)用户密钥丢失时,可以吊销证书,密钥作废。题目九:基于代理签名的代理销售软件
任务:设计一个基于代理签名的代理销售软件,解决电子商务中的一些信任问题。
功能要求:
(1)采用代理签名算法或者用多重数字签名构建代理签名;
(2)供货商、代理商和客户之间可以相互进行加密的、可以验证身份的通信,即使在对代理商无法信任的情况下,可以通过对供货商的信任来建立对销售的信任,签名可以针对一些承诺、质量保证等做数字签名,以保证客户可以直接追溯责任至供货商;
(3)签名部分可以和原文件合成一个新文件,也可以另外单独生成一个小签名文件。
四、综合应用设计时间及进度安排
大体上可分成五个阶段: 1.资料查阅准备阶段(1天)2.分析设计阶段(3天)3.编程调试阶段(3天)4.课程设计报告书写阶段(2天)5.验收阶段(1天)
五、综合应用设计书写规范
完成设计任务后,在设计的最后阶段,需要总结全部设计工作,写出规范的设计报告,在指定的时间内提交指导教师。课程设计报告要求有完整的格式,包括封面、正文等,具体如下:
一、封面(见附页1)
包括:课程设计题目、姓名、班级学号、指导教师、完成日期。
二、正文(标题小四加粗,正文小四,均为宋体)正文包括的内容有:(1)设计任务与要求;(2)可行性研究报告;(3)系统设计(4)系统实现
(6)结果截图、编码清单(部分或全部);
(7)设计心得体会(在整个课程设计过程中的总结和体会);(8)参考资料。
信息安全实践 篇2
信息安全学科是综合数学、计算机、电子、通信、生物、管理、法律和教育等学科发展演绎而形成的交叉学科,具有涉及知识面宽、知识点繁多庞杂、知识体系庞大的特点[1]。因此,信息安全学科在教学过程中,容易停留在抽象的理论层面或技术防护等实践操作层面,对创新型人才培养的力度有待加强;同时由于其特殊的学科特点,课程设置和教学内容容易出现零散、抽象和重复的现象,学生学习过程困难,不易形成完整的信息安全知识体系。
信息安全学科除了要求有很强的理论支撑之外,更重要的是其对实践能力的要求,许多安全技术与手段需要在实践过程中去认识和掌握[2]。当前信息安全的研究领域主要涉及密码学、操作系统安全、数据库安全、软件安全、网络安全、信息隐藏等[3],而相关课程的设置无疑对高校的计算机实践教学提出了更高的要求。基于信息安全学科的综合性、应用性及工程性等特点,从完善学科体系建设、丰富专业人才培养与教学手段的角度出发,研究探讨信息安全专业的实践教学体系是十分必要的。
本文通过对信息安全实践教学的研究,利用信息安全技术,构建了信息安全专业实践教学体系,对信息安全技术支持下的教学进行了初步的研究和探索。
1 信息安全的定义和特性
信息安全在我们的生活中占据了越来越重要的地位,它是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科[4]。信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
信息安全的定义为:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。
信息安全的特性包含了以下几点:(1) 攻防特性:攻防技术交替改进;(2) 相对性:信息安全总是相对的,够用就行;(3) 配角特性:信息安全总是陪衬角色,不能为了安全而安全,安全的应用是先导;(4) 动态性:信息安全是持续过程。
信息安全的六个方面:保密性(C, confidentiality):信息不泄漏给非授权的用户、实体或者过程的特性;完整性(I,integri-ty):数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性(A,availability):可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。真实性:内容的真实性;可核查性:对信息的传播及内容具有控制能力,访问控制即属于可控性。可靠性:系统可靠性。
2 信息安全实践教学体系概述
信息安全实践教学体系是针对高校信息安全及相关专业开发的教学实验系统。根据教育部高等学校信息安全类专业教学指导委员会制定的信息安全类专业知识结构及能力要求[5],提供了多方面的辅助教学实践内容,设计了多层次的实践操作。针对信息安全学科人才的特点,在实验设计上以实验手段辅助原理教学,包括了原理的验证、实践的应用、综合分析等内容,所有模块都采用了从原理到实践、分析、综合的“阶梯式”的内容设计,更能满足实际教学需求。
3 信息安全实践教学体系设计
信息安全专业建设目标是为社会培养信息安全工科应用型人才,信息安全课程的教学应该服务于该目标。针对信息安全课程的上述特点和教学中出现的问题,在实际教学过程中,在教学模式方面积极探索,该文提出了以下信息安全实践教学系统的五大模块及其内容。
1)信息系统安全模块:包括了操作系统安全、数据库安全、容灾备份、计算机病毒、安全审计、身份认证和数字取证等实验内容。操作系统安全可以进行Windows系统安全和Linux系统安全实验;数据库安全可以进行SQL Server安全、MySQL安全的实验;计算机病毒可以进行脚本病毒、DLL注入型病毒、木马攻击、PE型病毒、COM病毒、邮件型病毒、Word宏病毒、HTML恶意代码等实验;安全审计可以进行文件事件审计、网络事件审计、应用程序审计、主机监管等实验;容灾备份可以进行FAT32数据恢复、NTFS数据恢复、ext2数据恢复等实验。
2)网络安全模块:包括了防火墙、入侵检测与入侵防御、漏洞扫描、通信安全、无线安全、网络攻防、VPN、WEB安全等实验内容。防火墙可以进行普通包过滤、状态检测、应用代理、NAT转换、事件审计等实验;入侵检测与入侵防御可以进行入侵行为检测、入侵检测规则编写、误报及漏报分析、异常行为检测、蜜罐实验等;网络攻防可以进行数据诱探(ARP欺骗、FTP连接与密码明文抓取、邮件明文密码窃听)、缓冲区溢出(栈溢出、整数溢出、格式化字符串溢出、
DNS溢出)、拒绝服务攻击(SYN攻击、ICMP攻击)、密码破解(MD5暴力破解、Word文件破解、本地系统密码破解)、系统后门种植(TELNET服务开启、账户管理与权限提升、ASP后门)、软件后门种植(NC连接、灰鸽子远程控制)、无线安全(无线组网、WEP密码破解、提高WEP安全设置)等实验。
3)密码学及应用模块:包括了密码学、PKI、PMI等实验内容。密码学可以进行古典密码、流密码加密、对称密码基本加密、对称密码工作模式、散列函数、非对称加密、数字签名、文件加解密、数据库加密、基于SSH协议的安全通信、基于Gun PG的加密及签名等实验;PKI和PMI可以进行证书申请、请求管理、证书管理、交叉认证、证书应用等实验。
4)信息安全内容模块:包括了信息隐藏等实验内容。可以进行LSB图像信息隐藏、DCT图像信息隐藏、WAVE信息隐藏、MP3信息隐藏、MIDI信息隐藏、文本信息隐藏、网页信息隐藏、数字水印攻击等实验。
5)综合实践模块:包括了安全编程、信息安全工程实践、安全设备实训、安全管理、风险评估等实验内容。
4 结束语
信息安全专业是一个实践性很强的专业。应该根据信息安全专业的发展趋势和我国信息化快速发展中的安全需求,结合本校专业结构特征和本地区专业特色,充分利用现有学科条件和优势,建设有特色的信息安全专业课程与实践体系,加强学生的应用实践能力,提高专业师资能力,并注重专业培养的基础性、实用性和实践性。
参考文献
[1]杨冬晓,严晓浪,于慧敏.信息类特色专业建设的若干实践[J].中国电子教育,2010(1).
[2]彭国军,张焕国,杜瑞颖,等.信息安全竞赛与本科生科研创新实践能力培养[J].计算机教育,2010(24).
[3]张焕国,王丽娜,黄传河,等.武汉大学信息安全学科建设与人才培养的探索[J].计算机教育,2007(12).
[4]唐成华,钟艳如,王鑫,王勇,张瑞霞.信息安全专业发展现状及促进对策[J].中国电子教育,2013(2).
信息系统安全等级保护研究与实践 篇3
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
信息安全实践 篇4
【摘 要】构建科学的、全面的并具有较强适应性的职业院校实践教学体系是解决目前职业院校课程设置和人才培养模式与社会需求脱节的突出矛盾,是培养学生应用能力和职业经验的主要途径和手段。本文以职业能力培养为中心,研究了以基本素质教育为核心,技术应用能力培养为主线,应变能力养成为关键,产学结合为途径的高等教育人才培养模式。
【关键词】职业能力 培养模式 教学改革 信息安全技术
【中图分类号】G710 【文献标识码】A 【文章编号】1006-9682(2012)06-0033-02
随着全球信息技术的广泛应用,网络系统的安全问题已成为全社会关注的焦点,并且成为涉及国家政治、军事、经济和文教等诸多领域的重要课题。近年来,各行业用户已经认识到信息安全的重要性,纷纷采用防火墙、加密、身份认证、访问控制等手段来保护信息系统的安全。然而,用户网络安全意识的提高,网络安全投入的加大和网络安全厂商的兴起、产品的日益增多和技术的进步,并没有带来网络安全问题的好转,相反,安全问题却日益严重。病毒、木马、黑客攻击、网络钓鱼等安全威胁层出不穷。目前,国内对安全人才需求的特点是“数量大、质量要求高”,高技能应用人才十分缺乏。据天基人才网、51job网、中华英才网等人力资源网站统计,近年人才市场对网络安全工程师的需求量激增,企业需要精通网络安全的网管人员。网络安全行业的就业需求以年均18%的速度递增,2012年,网络安全行业的就业人数达到300万。为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《国务院关于大力发展职业教育的决定》、《教育部关于全面提高高等职业教育教学质量的若干意见》,进一步加强信息网络安全专业人才队伍建设,培养和建设一支政治可靠、技术过硬的信息网络安全专业人才队伍,全国各高等院校纷纷开设信息安全专业。
一、信息安全专业开设的现状分析
截止到2011年,国内开设信息安全专业的高等院校共有86所,其中北京邮电大学、西安电子科大、解放军信息工程学院、武汉大学等均设有信息安全专业,并形成从专科、本科、硕士到博士的人才培养体系,培养了一大批信息安全方面的高层次专业人才和技能应用型人才。然而对于高职院校而言,专业办学尚处于起步阶段,一方面是开设该专业的学校不多;另一方面是高职院校也是近几年才得到快速发展的,受资金、场地、师资等条件的制约,涉及网络安全实践方面的课程就更少了。随着近几年高职教育的兴起,加快信息安全专业高技能人才培养、构建适应高技能人才培养的实践教学体系成为各高职院校专业发展的必然要求。在2011年全国高等学校计算机教育高峰论坛上,教育部高等学校信息安全类专业教学指导委员会主任委员明确提出加快计算机专业实践体系的建设,注重职业能力培养。高职信息安全技术专业学生职业能力培养的教学改革与实践,有利于进一步提高高职学生信息技术应用能力,有利于进一步加快信息安全技术专业建设,有利于提高高职教育教学质量和就业质量,从而起到积极的引领示范作用。
二、高职信息安全技术专业教学的现状分析
目前高职信息安全技术专业教学主要存在以下几个方面的问题:①缺乏与行业、企业相适应的专业实训环境以及人才培养模式的改革;②信息安全技术领域和职业岗位群要求与课程体系有一定距离;③专业学生素质教育和职业道德需要进一步加强;④专业学生职业能力培养有待进一步提高;⑤课程教学内容相对与职业岗位任职要求明显滞后,信息技术从开发到应用于社会生产实践到老化的周期越来越短,学生在大学期间所学习的新技术,尚未走出大学校门有的便已老化被淘汰,不再具有实用价值;⑥专业教师队伍无法满足人才培养模式改革的需要。
以上问题不仅是我集团计算机学院需要加以思考和努力解决的,也是各高职院校信息安全专业普遍面临的问题。对此,高职院校中的许多有识之士都给予了充分的关注,不少高校进行了一些结合自身情况的改革尝试。
信息安全技术专业是适应经济社会发展需要的高技能紧缺专业。高职信息安全技术专业学生职业能力培养的教学改革与实践对专业建设发展具有十分重要的意义,本项目试图在这方面做一些有益的尝试与探索,从而提高专业学生的教学质量和就业质量。
三、高职信息安全技术专业学生职业能力培养的教学改革与实践的研究内容与目标
以高教〔2006〕16号文件以及河南省高教〔2008〕172号文件精神为指针,充分体现信息安全技术专业教育特点,加强职业素质和职业道德教育,突出职业能力培养,以课程建设为抓手,构建开放式信息安全专业实训环境以及人才培养模式改革,在此基础上,根据已知或预见的教学问题,拟定以下几个方面进行研究和探索:
1.研究内容
研究内容:①根据信息安全技术领域和职业岗位群的任职要求,参照网络管理员职业资格标准,突出教学内容的应用性和实践性,开展课程体系建设和改革;②在近几年教材建设的基础上,力争编写出一套适合突出能力培养的基于典型工作任务的实训教材;③积极探索基于典型工作任务的信息安全专业课程教学模式;④加大各专业课之间的联系教学,充分挖掘课程之间的内在联系;⑤充分利用网络资源,构建课程资源的网络平台;⑥积极开展校企合作,建立符合行业需求、突出职业能力培养的开放式信息安全专业实训平台。
2.研究目标
通过高职信息安全技术专业学生职业能力培养的教学改革与实践,形成具有自身优势、符合高职教育特色的信息安全人才培养模式,提升专业学生的教学质量和就业质量,为培养社会区域经济发展所需的高技能人才做出贡献。
四、高职信息安全技术专业学生职业能力培养的教学改革解决的关键问题
利用我集团现有的资源,制定详细的突出职业能力培养的信息安全专业人才培养方案,加强对专业课程的基于典型工作任务的教学模式研究和实践,着力解决以下几个方面的问题:
第一,在课时压缩、教学内容变化、学生差异加大等客观条件下,如何提升专业学生良好的职业素质和职业道德,突出职业能力培养,提高教学质量和就业质量,以适应高职教育需要;项目组认为,必须以课程建设为突破口,如何选择体现职业能力的专业核心课程进行重点建设和改革,并以专业教师为主,与行业、企业共同开发紧密结合生产实际的实训教材,确保优质教材进课堂。
第二,在现有专业实训平台的基础上,如何紧密联系行业企业,改善实训、实习基地条件,构建开放式信息安全技术专业实训环境;并在此基础上充分利用实验、实训、实习三个关键环节,研究专业教学模式,体现教学过程的实践性、开放性和职业性。
第三,如何充分利用优质教学资源和网络信息资源开展专业教学资源共享平台,提供远程服务,构建教学网络,扩大受益面。
五、取得的成果
第一,已经制定了详细的高职信息安全技术专业学生职业能力研究培养方案,在此基础上,以课程建设为突破口,制定了基于典型工作过程的专业课程教学大纲。结合课程教学实践,初步形成了适应高职教育、特色鲜明的信息安全高技能人才地培养模式。
第二,在近几年教材建设的基础上,编成若干反映上述思想的优秀教材、教学辅导书或讲义,其中专业课程教材已开始着手准备,力求尽快出版。
第三,建立了一个对教师有参考意义,对学生有帮助作用的交互性信息安全教学网络主页,并争取在国家及省精品课程建设上有更好的突破,充分实施网络教学。
第四,部分教改与教学研究成果在国内外公开发行的刊物上发表,为高职计算机类专业和课程建设提供经验。
第五,已经为计算机学院、合作院校计算机专业二年级学生学习这些课程创造良好的条件,为培养信息安全技术高技能人才做出贡献打下坚实的基础。
参考文献于璐.高职信息安全专业应用型人才培养模式探讨[J].太原城市职业技术学院学报,2011(6):32~33开红梅、杨茂云、王树梅.非信息安全专业的信息与网络安全课程教学初探[J].科技创新导报,2011
信息安全风险与信息安全体系结构 篇5
信息安全风险与信息安全体系结构
摘 要 在计算机、手机、电话等通讯技术迅速发展的今天,信息安全风险成为当下全社会关注的热点问题。作为信息系统安全开发中的引导和约束主体,网络的应用范围无疑是广大的,从最初的游侠网络发展到今时今日的网络区域性,然而在使用网络带来的方便同时人们也面临着网络带来的信息失窃泄露隐患,因此本文针对网络信息安全进行介绍,对网络安全系统的构建问题加以讨论。 关键词 信息安全;风险评估;预防措施 中图分类号:TP393 文献标识码:A 文章编号:1671-759718-0056-01 信息安全的概念经历了一个漫长的发展过程,20世纪90年代以来得到了深化,进入21世纪,日益凸显。信息的存在范围是巨大的,大方向可以影响国家政治与军事的走向,小到企业之间的公司机密的安全,个人的隐秘信息安全等。安全作为信息系统领域的一个重要问题,在信息作战环境中的信息安全尤其举足轻重。如今,网络快速发展,所以网络环境下的信息安全体系是保证信息安全的关键。新一代信息网络体系结构保障了人们的信息安全。 1 信息的发展 在刚刚过去的几十年时间里,人们的不断发明创造,让信息技术发生了日新月异的变化。在现代网络技术逐渐的发展取代了人们传统的信息结构,从以往的写信报纸到了在网络上可以实现多方面信息的获取,实现了人们异地交流同步的最终目的,虽然网络还处于发展初期,但是其影响力超过现代任何一种信息传递模式,为此人们对于网络的依赖性就越发严重。但是由于网络安全问题所带来的信息非法获取以及私人信息泄露、机密信息丢失等问题频繁发生,世界上很多国家都遭到了网络信息窃取所带来的巨大损失,为此不少西方国家率先提出一系列网络信息安全维护措施,但是由于网络自身的特点这些措施所取得的收效并不高。 2 信息安全的重要意义 信息安全不仅关系信息自身的安全,更是对国家安全具有重大战略价值。信息安全关涉一个国家的政治安全,经济问题以及文化问题。信息安全不是一个纯粹的技术问题。信息是国家的眼睛和窗户,为此在我国进入网络信息时代后就更要注重自身网络信息的安全性,信息主导着国家的舆论方向,因此一条错误的信息或扭曲的信息都会在网络环境内造成巨大的破坏,这种破坏是多方向的,可能会引起一系列现实社会中的不安和动荡,因此针对网络信息的特点就需要格外注意这一系列问题。随着信息技术的`不断发展,信息的负面影响不仅仅表现在企业的经济损失,各种关于信息安全的侵权行为也开始肆意横行,网络的快速发展也给这些侵权行为提供了良好的载体,还有各种国家的机密被盗事件的频繁发生等等。因此,信息安全不容忽视,特别是国家信息安全,办公信息系统安全更不容忽视。 3 漏洞扫描技术与网络信息安全管理 3.1 漏洞扫描技术 网络信息化是通过电子计算机网络进行数据共享的一个过程,因此在上网获取信息的同时在一定角度上来讲也属于暴露了个人的信息,因此在网路普及的过程中个人信息的丢失就成为现代人用网安全最需要关注的地方了。从网络数据的共享上来管制信息漏洞,防止信息非法获取以及病毒针对系统漏洞进行个人信息的窃取。漏洞扫描的结果实际上就是系统安全性能的一个评估报告,因此成为网络安全解决方案中的一个重要组成部分。 3.2 网络信息安全体系 网络资源的信息共享是现代计算机技术最为热门的一个方向。网络实现了交流的平台提供,并且对于一些相关的异地化进行同化信息操作,降低交流困难,但是在日益进步的网络信息时代网络信息安全问题又成了热门话题以及网络应用人员的安全隐患,信息安全管理不仅需要还需要合理的信息安全管理政策及制度,而且还需要好的信息安全体系来保障。而在网络技术如此广泛的普及之下,保证上网环境的安全是首要的任务,因此针对于这一问题就要针对以下三方面进行梳理,保证上网的环境安全性,第一确保上网系统漏洞的检测,对防火墙个人信息保护软件等软件进行漏洞修复,对上网条例进行所属签订,对网络环境进行优化检查删除恶意软件。 4 制定信息安全管理策略及制度 1)制度的建立过程是从基础开始做起的,因此为了确保我国网络使用安全以及相关信息保护措施的到位就必须完善相关监管部门的专业技术,作为问题处理的单位相关的监管人员网络安全技术过硬才能灵活应对各类突发事件,并且对于层出不穷的网络信息安全问题进行识别,此外还需要定时定期的培训以及技术经验交流以适应逐渐发展的网络环境。 2)制定信息安全管理制度应遵循如下统一的安全管理原则:①规范化原则;②系统化原则制定安全策略;③综合保障原则;④以人为本原则;⑤首长负责原则;⑥预防原则;⑦风险评估原则;⑧动态原则;⑨成本效益原则。 3)立法保护确保网络安全法的执行力度,吸收西方网络安全工作经验总结出一套适合中国的网络使用安全方案,确保网络信息不出现非法流失。 4)建立既符合我国国情又能跟国际接轨的信息安全策略,确保信息最高的安全程度,保障每一位公民能够切实享受到隐私权,保护每位合法公民的财产不被侵犯。更希望信息安全保护能够走到世界的前沿,保护国家信息的绝对安全。 5 信息安全系统工程 网络安全系统的开发是离不开以下几个方面的。 1)系统构建。系统的构建过程属于细致的专业的过程,因此需要系统开发人员有十分充分的开发技术,并且对开发出的安全系统经常性、周期性的进行维护、检测以及漏洞修复。 2)识别信息安全问题隐患。随着网络科技的发展窃取信息的方式变得越发多种多样,因此识别这些窃取信息的网络安全问题就十分重要。 3)是安全问题的处理。处理技术是随着网络更新换代而发展变化的,由于网络的发展周期太快因此处理问题的方法就不可以局限于时间段而需要及时的针对问题进行处理方式的进化更新,优化相应的处理方式和处理技巧。 6 结束语 信息技术的发展让人类开始步入信息化,网络化的时代,促进了社会的繁荣与进步,给人们的学习,工作,生活带来了极大的方便,也使人们对计算机网络的生活有着极大的依赖性,并且随着网络科技的发展人们的生活与网络的结合会越来越紧密。因此,信息安全成为社会各界关心的问题。它系着个人,企业乃至国家的命脉,一定做好信息安全保护工程。 参考文献 [1]陈媛媛.计算机网络安全与防范策略探析[J].山西煤炭管理干部学院学报,2013(02). [2]王林.计算机网络信息安全防护策略[J].信息安全与技术,2013(05).
信息安全实践 篇6
摘要:随着我国经济水平的不断发展,企业管理制度也在逐步完善与改进。但是,由于市场变化以及企业自身因素等,导致企业经济信息管理始终存在一定的安全性问题,这些问题将会对企业发展产生严重的不利影响。提高企业经济信息管理安全性就要健全经济信息体系的安全保障,提高工作人员的工作能力。
关键词:信息安全;企业管理;经济
信息管理高效的经济信息管理是企业不断发展的重要保障,而要想实现高效的信息管理,对信息安全性的管理与控制是十分重要的一个因素。近年来,随着科技与管理理念的不断丰富,对信息管理中的信息安全性控制也在不断强化并起到了一定的作用。但是,由于企业
信息管理涉及的因素较多,导致目前仍旧存在一定的安全隐患。因此,有必要对企业的经济信息管理中的信息安全进行分析与探讨。
一、企业经济信息管理的信息安全存在的问题
(一)企业管理力度不足
企业管理力度不足是信息管理目前存在的普遍问题,也是导致企业信息管理存在安全隐患的主要原因之一。一方面,部分企业将管理重点放在了人员管理与财务控制方面,忽视了对经济信息安全的管理与控制;另一方面,部分企业的管理人员由于专业素质与工作经验的缺乏,对信息安全管理没有采取科学的方式方法,导致信息安全管理难以充分发挥其作用与价值,进而导致信息管理存在一定的安全隐患。总之,管理人员与管理制度是导致企业管理力度不足的重要因素。
(二)缺乏总体规划
在企业管理中,对经济信息的管理涉及到许多因素,所以高效的管理需要一个科学的总体规划。对于企业来说,经济信息管理不是单个部门或人员的工作,而是需要整个企业人员都具有信息保护的意识。但在实际工作中,由于工作内容具有一定的差异性或工作重点不同等原因,使得不同的员工与信息安全的意识程度不同,所以管理效果也难以达到最佳状态。考虑到这些问题,企业在进行经济信息管理时就需要制定一个整体规划,但许多企业在这方面的工作力度仍有不足。(三)对信息安全不够重视随着我国经济的不断发展,市场竞争也越来越激烈,此时保证企业的经济信息安全是管理中十分重要的一部分。但是,在实际竞争中,许多企业对经济信息的安全保障意识不够强烈。只是单一的对市场信息进行分析,而没有完善的管理系统,难免会导致信息储存或管理出现一定的问题,甚至造成企业关键经济信息的泄露,给企业发展带来不可挽回的损失。另外,信息管理中管理人员作用的发挥也非常重要。部分企业没有重视到这一点,管理人员的管理能力提升速度较慢,导致安全隐患的存在。
二、对企业信息管理安全产生影响的主要因素分析
(一)环境因素的影响
由于市场竞争比较激烈,许多企业将管理重心放在了市场拓展与产品优化等方面,出现了先重视产品与业务,再考虑信息安全的现象,导致信息安全管理滞后于业务的进行,产生一定的安全隐患。这是外部环境的影响,内部环境对企业的信息管理也有着一定的影响。企业的业务流程对信息管理体系的设置与实施有着一定的影响。此外,部分企业虽然重视对信息安全的管理,但由于防范体系的不够完善等原因,使得安全责任没有落实到具体,这些都是导致经济信息管理存在安全隐患的因素。
(二)人为因素的影响
人为因素的影响主要是指经济信息管理人员的工作能力与工作态度等因素的影响。一方面,安全管理人员是接触机密信息的直接人员,这部分工作人员若是出现刻意泄露或工作疏忽等现象,极易导致企业关键经济信息的泄露,给企业带来不可挽回的损失,影响企业的稳定发展。另一方面,技术人员也是人为因素中的重要部分,技术人员主要对相关设备进行管理与维护,也能够直接接触到关键信息。需要维护的设备较多,但部分企业为了节约人力成本,让同一个技术人员负责多个设备的维护,导致技术人员的工作难度增加,进而影响其工作效率。
(三)技术因素的影响
信息安全技术是保证信息安全的重要因素,也是企业在这方面管理中比较重视的一部分。具体来说,技术因素对信息安全的影响主要体现在以下两个方面:一是软件方面影响,包含了设计漏洞或技术缺陷,以及杀毒软件更新较慢或临时发生的运行故障等问题,这些都是
对信息安全管理产生影响的因素。二是信息管理体系的设计方面,包含了风险评估数据、业务流程数据、测试数据、访问权限设置以及对信息资产的保护程度等。这些因素导致信息管理体系存在必然的安全隐患或漏洞,而这些漏洞将会为整个企业管理带来严重的不利影响。
三、强化企业经济信息管理中信息安全的必要性
(一)企业信息管理的主要特征
企业信息管理的特征主要包括三个内容:第一是具有保密性,这是信息管理的基本特征,也是信息管理的基本要求。各个部门负责的事项不同,部门人员只能获取应当了解的信息,而不能越权了解其他私密信息。第二是完整性。保证经济信息的完整是企业信息管理的基本原则,只有保证信息具有基本的完整性,才能更加精准地获得数据价值,从而发挥其作用。第三是可用性。只有具有较强的可用价值与企业的私密信息,才具有一定的安全保护价值,才能在企业发展中发
挥其本身的作用。
(二)强化信息管理安全的必要性
正是由于经济信息具有的这些特征,才使其有了明确的强化必要性。首先,强化信息安全的管理有助于保证数据的保密性与完整性。只有保证信息的完整与私密,才能促使其在企业竞争中充分发挥价值。其次,信息的高效运用与价值发挥的实现,本身就需要一定的网络条件,而网络环境比较复杂,所以对数据的安全保护就显得十分关键。例如,不法分子的信息盗取、网路黑客的恶意攻击等,都是影响信息安全的因素。所以,对信息安全管理进行加强,是企业实现进一步发展的重要手段。
四、提高企业经济信息管理安全性的建议
(一)健全经济信息体系的安全保障
构建健全的经济信息体系的安全保障,是实现高效经济信息管理的重要前提,也是实现信息管理制度能够稳定发展的重要条件。在健全管理体系的保障过程中,最为首要的任务,即是在系统设计过程中就强调安全性。从目前来看,由于市场的宽容度逐渐升高,越来越多的企业参与到市场竞争中。由于部分企业对信息安全的认知不够明确,或者管理制度不够合理等因素,导致其经济信息管理制度本身就存在一定的安全隐患,不利于企业的发展。因此,企业需充分明确自身实力与发展情况,确定当前发展中的关键,设计针对性的安全管理制度。具体来说,企业可加强对进入内部信息系统的准入设置与权限、增加必要的保护屏障技术等。另外,还可借助科学技术与计算机技术,将指纹识别等运用到信息管理中,以保障管理制度的安全性。
(二)提高工作人员的工作能力
企业重要的经济信息泄露,其中一个关键的原因,即是工作人员的刻意为之或工作疏忽导致的。因此,在企业的经济信息管理中,提升工作人员的工作能力与安全意识是十分有必要的一项措施。一方面,企业可加强对管理人员的培训,促使其对信息安全有明确的认识;同时,还可借助培训,提升管理人员的管理能力与风险意识。另一方面,管理责任的落实也十分重要。企业的经济信息涉及到许多企业的重要信息,要在日常管理者中将管理责任落实到具体,进而提高工作人员的管理责任心。此外,提高管理人员的职业道德以及综合素质等,也是一个比较有效的方式,能够在一定程度上提高企业的经济信息管理效率。
(三)强调对硬件的安全管理
在信息安全这个问题上,管理设备与硬件条件的强化是必不可少的一部分。可以说,硬件设备是高效的信息安全管理中的重要基础。首先,针对企业的实际情况,可淘汰一部分功能比较传统的设备,购进更先进、安全保障程度更高的设备,进而促使设备在信息安全管理
中充分发挥作用。其次,在运用过程中,随着运用时间的增长硬件设备的损耗程度也更大,所以对硬件设备的维护工作必须得到重视。企业可安排专门的维护人员,定期对设备进行检查或零件更换,避免因硬件系统而导致的信息泄露等问题。同时,还可对维护人员进行培训,以提高其技术水平。此外,合理的安全屏障与接入控制、禁止未授权访问或下载文件等措施都是硬件强化中的重要方法,能够在一定程度上加强对经济信息的安全保障。
(四)健全企业信息安全管理制度
企业信息安全管理制度的完善,是保证企业经济信息管理安全性的重要因素。从企业管理的角度来讲,企业对经济信息进行的管理是根据本身的信息安全需要、业务分析以及风险预测等的结果,并结合科学技术与计算机技术实现的信息管理。构建完善的信息管理制度,能够为信息管理提供包括设计、运行等各个方面的安全保障,并有效避免因安全隐患导致的各类安全事故。一方面,企业可建立起相关的安全管理体系与防范制度,加强对关键数据的保存与备份,以保证在发生安全事故时能够及时进行弥补,避免业务受到影响,进而将企业的损失降到最小程度;另一方面,还可建立起集中的管理控制体系,将经济信息进行综合管理,并借助企业内部的管理平台对其进行管理。
结语
据上述的分析可知,强化企业经济信息管理中的信息安全,不仅是推动企业不断发展的重要方法,更是推进我国企业管理理念不断完善的重要手段。通过健全经济信息体系的安全保障、提高工作人员的工作能力、强调对硬件的安全管理,以及健全企业信息安全管理制度等方式,从企业管理的各个角度强调了信息安全的重要性,在一定程度上提高了企业信息管理中的信息安全。
参考文献:
信息安全实践 篇7
目前,医院信息系统(hospital information system,HIS)在国内医院已经得到了广泛应用,随着系统功能模块的不断完善,日常医疗工作对其依赖性不断增强。它在提高医院的管理水平和工作效率的同时,所承担的任务和压力也越来越大。与其他计算机网络不同的是,HIS要求7×24 h不间断地运行,系统中所保存的数据与患者的切身利益息息相关,一旦出现客户端故障、网络瘫痪或者数据丢失,都将给医院和患者带来无法挽回的损失。因此,医院信息系统的安全性和稳定性对于医院的正常运营至关重要,而相关系统故障的及时准确排查又是维护系统安全性和稳定性的关键。
2 内网客户端系统安全性分析
随着信息化的不断推进,计算机的应用已遍布医院的各个科室,HIS通过局域网的互联在客户端可以共享数据库的数据。客户端主要是指工作站,包括硬件(如计算机打印机等)和软件(如操作系统等),它既是网络得以实现的起点,也是网络工作的终点。因此客户端的安全、高效运行就成为网络管理工程师时时关心的一个重要而繁琐的问题。针对这方面的问题,大部分医院都制定了一些适合各自医院具体运维情况的管理办法,如:建立安全管理制度;规范工作人员的操作;制定系统应急预案;内部网络与外部网络的物理隔离;入侵检测、防火墙与杀毒软件的应用;定期进行数据备份等。但由于医院信息化的不断发展,各种硬件设备的更新和软件的升级,这些传统的措施已经不能满足实际应用。本文从以下4个方面对该问题进行分析:
2.1 设备管理困难
随着医院信息化的发展,客户端不断增加,给终端资产管理带来了很大的困难。客户端计算机设备、网络设备的数量型号及其分布位置,客户端计算机的配置以及所安装的软件等都很难进行及时有效的管理和统计,这样就容易发生计算机或网络设备配件的丢失或被替换,使得医院硬件资产流失。
2.2 客户端外接设备使用混乱
HIS网络应是封闭式局域网,客户端的计算机应为无光驱、USB口等外接设备。由于近年来HIS迅速扩张,许多单位一直未能对客户端计算机的光驱软驱USB口进行限制,使得私自通过U盘进行网络数据的拷贝或安装游戏等非终端工作站软件的行为时有发生。同时,在局域网中一旦某些工作站感染了病毒,就有可能造成整个网络染毒,进而影响网络运行速度,造成服务器和客户端数据丢失或破坏,甚至网络的瘫痪。经日常故障报修统计和相关调查发现,医院局域网感染病毒的途径大多是由于U盘的随意接入,由此,U盘的使用给数据库安全带来的隐患是不容忽视的。
2.3 系统补丁难以及时更新
医院的终端用户大多使用Windows操作系统,此类系统应用广泛,市场占有率很高,其本身也存在着非常多的安全漏洞,需要及时安装操作系统的补丁程序以避免客户端系统发生故障。而目前大部分医院网络管理工程师的人力不足,除了处理繁杂的日常业务外,很难有时间经常性地对全院成百上千台计算机逐一安装系统补丁。对一些重要的补丁如果更新不及时,势必会给攻击者留下可乘之机,严重影响客户端的安全和日常运行,以致引发更为严重的内网安全问题。
2.4 信息化建设工作量激增
随着信息化的不断深入,医院信息化建设部门的工作量越来越大,如计算机、打印机的安装、保养、维修;服务器、磁盘阵列硬件软件管理;数据库管理和安全;数据备份、导入导出;网络工程的实施;保障网络(机房)设备及软件的正常运行;网络资产管理;服务器、存储设备的硬件、软件、操作系统的选型、安装、调试、维护;应用系统的选型、安装、调试、维护;记录、分析、解决用户提出的应用系统问题;对其他科室人员进行计算机培训指导等。而客户端计算机使用人员的操作水平有限,使得一些很小的问题也需要信息中心工程师现场解决,加之整个医院客户端众多,分布很广,一旦某个或某几个信息点出现问题,仅靠现场的维护难以保证及时性,并且像手术室等需要净化的地方出入十分不方便,这也给信息中心工程师的工作造成了麻烦和困难。
3 加强医院内网客户端安全管理的实践
综上所述,为了解决上述医院内网客户端的安全问题,并提高网络性能和客户端工作效率,对网络传输数据加以控制、优化、管理和整合,某医院引进了北信源VRV EDP内网安全及补丁分发管理系统,并加以正确的策略和科学的管理,大大减轻了日常的维护工作量,也从很大程度降低了内网客户端的故障报修率。
3.1 北信源VRV EDP内网管理平台系统
如图1所示,北信源内网安全及补丁分发管理系统由8部分组成。
(1)Winpcap程序:嗅探驱动软件,监听共享网络上传送的数据。
(2)SQL server管理信息数据库。
(3)Web中央管理配置平台:VRV EDP系统的管理配置中心,包括区域管理器、扫描器、注册客户端的功能参数设定、网络设备信息发现、系统应用策略制定、报警信息显示、定义任务功能制定、系统用户维护等配置操作。
(4)区域管理器(region manage,系统数据处理中心):与管理信息数据库通讯,接受注册程序提供的用户信息,将用户信息并行存入数据库;接受来自控制台的命令操作,发送到客户端或扫描器执行。
(5)客户端注册程序:用户访问指定网站获得,填写本机必要信息后上报区域管理器;注册程序自动探测系统硬件信息也上报区域管理器。区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
(6)管理器主机保护模块:可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突及各种网络病毒攻击。
(7)报警中心模块:本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、手机短信等多种报警方式。
3.2 借助软件管理功能,加强内网安全管理
(1)采用终端资产管理功能,强化对网络计算机终端的控制。管理内容包括:资源资产、终端安全策略、桌面风险审计、补丁检测分发、终端运行状态监控及终端行为审计等。客户端桌面安全管理系统提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们的管理盲区进行监控,成为一个实时安全监控系统,并能够同其他网络安全设备或网络安全系统进行安全集成和报警联动。
(2)针对网络管理工作中遇到的实际管理需求进行网络安全资源规划,如:IP资源分配管理、提供设备资源登记及硬件设备(硬盘、CPU、内存等)变化报警、进行内部网络连接阻断等功能。
(3)为了有效解决网络中计算机非法接入和非法外联的问题,借助该内网管理平台系统提供实施的监控功能,即实时报警并及时切断非法计算机同内网的连接。
(4)通过Web方式对整个系统进行策略配置,管理网络和查询报警数据,方便用户操作,有效防范不安全因素对内部网络构成威胁。
(5)针对客户端系统的非网络故障,通过屏幕监控托管功能进行内网终端的安全管理与维护。该功能提供给工程师远程终端控制,而不用去现场技术支持,减轻了工作量。系统的多路帮助平台亦可向客户端工作站提供主动请求负责工程师进行远程协助的功能,大大减轻了工程师的工作量,提高了工作效率。
(6)软件提供的系统补丁及文件客户端分发功能大大减少了全院客户端系统补丁升级的工作量,提高了内网客户端的安全性。
4 结语
通过引进VRV EDP内网安全及补丁分发管理系统,并进行一段时间的实际应用,将医院的计算机硬件设备、网络设备进行了更加有效的管理,使网络维护人员的工作量也大大降低,医院信息系统的安全性和稳定性得到了进一步的提高。现代化的医院离不开计算机网络的支持,只有维护好医院的信息终端和网络,才能促进医院信息质量管理,提高信息网络安全,为患者提供更好的服务。
参考文献
[1]宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].卫生研究,2007,45(17):104.
[2]张晓娟,李哲成.医院信息系统信息安全的管理[J].中国医疗设备,2008,23(3):83.
[3]张宗然,屈景辉,漆家学,等.医疗设备管理网络化软件系统的开发与应用[J].医疗卫生装备,2008,29(2):58.
[4]张毅,于广远,蒋华勇.浅谈医院信息系统的安全管理[J].医疗卫生装备,2006,27(5):31.
信息安全实践 篇8
【摘要】随着武器装备行业信息化应用水平的发展,网络信息安全建设普遍引起企业高度重视,如何构建安全、快速的信息系统应用平台已成为关注焦点。本文由目前国内行业信息安全建设形势引发思考,从物理安全、运行安全、信息安全保密角度介绍了如何加强信息系统安全建设,结合不同类型安全产品介绍如何部署及应用网络安全产品,最大程度做到信息系统可管、可用、可控的高层次管理。
【关键词】信息系统;安全;建设
【中图分类号】P208 【文献标识码】A 【文章编号】1672-5158(2013)01—0080-01
一、国内武器装备行业信息安全建设形势
近年武器装备行业越来越多的单位组建了局域网或广域网,营造快速、高效的工作氛围,各类业务管理系统得到较高水平应用,但信息化快速发展的脚步已成为一把双刃剑,信息安全的外忧内患(内外部安全)已引起高度重视。武器装备行业作为特殊行业,不容有半点涉密信息泄露。但是我们也遗憾的看到,随着信息技术的发展,行业内部失、泄密事件时有发生,最常采用的途径恰恰是通过网络盗取、传输国家涉密信息,给国家的政治、经济都带来了无法弥补的损失。信息安全问题亦引起国家相关部门高度重视,近年不断出台各类管理制度、管理规范,总体规划指导网络安全建设,使信息网络安全建设逐渐走向成熟。
二、信息安全建设角度
信息系统安全建设主要从物理安全、运行安全、信息安全保密三方面入手。
物理安全。作为信息化建设核心部位的中心机房、信息存储关键部位的选址应符合标准,机房建设应在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等方面达到国家相关建设要求,为设备运行提供良好环境。采用有效的电子门控措施,实现关键部位的安全控制。加强输出设备安全控制,防止打印输出结果被非授权查看和获取。
运行安全。对关键业务数据定期备份,除本机备份外充分考虑物理环境威胁,防止异常事故发生时被同时破坏。信息系统中关键设备也应备份,可能的话重要服务器应进行热备份,实现服务器异常时的平滑切换,不影响终端业务正常运行。建立完善的系绕恢复预案,对预案进行完整测试和演练,充分考虑各种可能,将系统基本功能恢复时间或重建能力控制在有效时间内。提高各环节反应能力及速度,定期对预案进行演练,根据演练结果进行修订,保证预案的可实施性。
信息安全保密管理。对系统内部本地登录和远程登录进行身份鉴别,对信息系统中重要信息的访问应采取强制访问控制策略,按照主体类别、客体类别进行访问控制设置。
三、安全产品部署及应用
防火墙:网络安全建设初期,综合考虑各部分访问控制情况,至少规划三个安全域,应用服务器域、安全管理服务器域、终端应用域,三个安全域接人防火墙不同接口,通过设置访问控制策略限制各域访问端口,实现第一层网络级访问控制,企业还可根据需要增加其他安全域满足其他访问控制需求,提高访问控制强度。访问控制列表最后应增加一条any到any的禁止策略,封锁一切不必要的端口。
CA认证系统:CA认证系统包含证书密钥管理系统、身份认证介质、安全代理网关和系统控制中心。证书密钥管理系统部署在信息系统安全管理组,身份认证介质配发给终端用户,证书密钥管理系统为身份认证介质分发数字证书,证书代表介质持有人用户身份;安全代理网关部署在防火墙与应用服务器组间,所有应用系统被代理网关隔离在受信网段内,安全代理网关代理应用服务器的服务端口,用户需要访问代理网关后面的应用服务器时,首先需通过身份认证系统认证,认证通过后,身份认证系统自动建立用户身份传递给应用系统。根据终端用户不同职能赋予每个人不同的角色,按照角色分配可以访问对应服务器端口。
漏洞扫描:漏洞扫描系统一般可分为独立式部署和分布式部署。对于规模较大的武器装备企业,一般都是组织结构复杂、分布点多、数据相对分散,因此多采用树形拓扑或者混合型拓扑。企业可根据自身的情况设置一台或多台漏洞扫描分析机,若拓扑结构简单,建议设置一台分析机,部署在核心交换设备上,漏洞扫描分析机通过核心交换设备扫描网络内部所有计算机,若拓扑结构复杂,建议使用分布式系统部署。
入侵检测:入侵检测部署方式较为单一,一般旁挂在核心交换机上。交换机开启镜像端口,将其他干线接口或普通接口镜像到镜像口,然后与入侵检测业务口相连接即可。同时为了对网络中的攻击达到较好的防御效果,一般采取入侵检测和防火期联动。即在入侵检测设备检测网络攻击行为时,及时和防火墙通信,由防火墙阻断非正常流量。
四、控制关键点:三分技术,七分管理
在信息安全领域“三分技术,七分管理”已成为不争的事实。任何高水平的技术措施或多或少掺杂人为因素,因此必须辅以严谨的管理措施才能达到最佳的应用效果。武器装备企业涉密信息的外泄已成为管理重点,必须严防死守信息的输入输出控制。系统内信息的输入输出有多种途径,包括承载电子格式数据的光盘、软盘、U盘、硬盘等,输入输出纸介质的扫描仪、打印机等。
介质安全:近年网络上流行摆渡病毒,以隐藏文件的形式存留在移动存储介质中达到窃取信息的目的。由于此病毒较为隐蔽不易被人发现,操作不当很容易将系统内部信息带出内部网络。针对这种可在介质中回写的病毒,开发商已研制出集单项导入、专用移动存储介质和违规外联相结合的三合一产品。单项导入设备,即普通U口移动存储介质可以直接插在该设备上,设备内部采用光纤传输,在物理条件上杜绝信息回写的可能。专用移动存储介质,与普通移动存储介质接口不同,须插入专用设备后接入受控计算机,方可实现读写功能,对于其他未授权计算机无法使用。管理上,封闭信鼠系统内部所有光驱、软驱、USB移动存储设备接口,信鼠输出工作归口到不连接任何网络的单机计算机。
打印安全:集中控制,设立独立打印间,保证输出介质可控,严格履行打印审批手续,打印管理员依据审批单发放打印文件。不具备集中打印条件的企业应限制打印输出点数量,为防止打印信息被非授权查看,禁止网络共享打印功能,只授权打印管理员打印权限,履行打印审批手续后由打印负责人打印相关内容,并及时交予申请人。