网络系统信息安全

网络系统信息安全（精选12篇）

网络系统信息安全 篇1

0引言

信息安全、网络安全、网络空间安全是非传统安全领域中受到广大民众重点关注的几个问题,新闻媒体、国家的安全战略、政策文件等中都频繁出现这些词汇,普通民众对于它们的详细定义并没有一个十分清晰的概念,本文主要对它们的定义及相互之间的关系进行一个比较详细的归纳总结。

1 信息安全

20世纪50年代“信息安全”这个专业词汇开始出现在科学文献之中,20世纪90年代,许多国家的政府文件中陆续出现“信息安全”一词,这一学术概念逐渐引起学术界的关注。“信息安全”涉及的领域十分广泛,国际信息系统安全认证组织将信息安全划分为通信与网络安全、操作安全、物理安全等十个领域。随着各国政府逐渐开始出台信息安全相关的法规条例,信息安全这一问题的影响范围进一步扩大。具体来说,信息安全指的是保证个体本身、社会机构以及国家的信息资源、空间、载体不受到内外各种危害。现阶段,各国建立了各种信息安全机构,包括行业机构、学术研究机构、中央及地方政府机构,发布了各种信息安全政策,包括国际政策、地区组织政策、国家政策、城市政策等,可以说21世纪,世界各国开始将信息安全作为国家安全问题研究的重点。

2“信息安全”与“网络安全”、“网络空间安全”之间的关系

伴随着网络信息技术的不断发展,全球信息化进程不断加快,各行各业开始向数字化、网络化发展,信息安全问题开始更多地出现在了网络社会领域,信息安全问题与网络安全及网络空间安全之间的联系逐渐加强。

2.1 互联网时代,信息安全开始聚焦于网络数字世界

互联网始于1969年的美国,自发端至今,互联网迅速在全世界普及应用,随之而来的计算机网络病毒、非法入侵等各种网络安全问题严重危害了计算机网络用户的个人隐私及计算机系统的安全,信息安全研究也逐渐开始将网络数字世界作为实际研究的重点之一。但互联网带来的网络安全问题种类繁多,特点各异,实际上很难以“信息安全”进行整体的概括,也难以表现出网络空间安全与网络安全的一些特征,因此“网络安全”与“网络空间安全”渐渐开始与“信息安全”处于同一研究平台之上,2002年世界经济合作与发展组织(OECD)通过一个关于信息系统与网络安全的指南文件,“网络安全”及“网络空间安全”的关注度进一步得到了提高。

2.2 信息安全、网络安全、网络空间安全之间的相同点

国内外各种非传统领域安全政策及标准文献中,在使用信息安全、网络安全及网络空间安全时经常会三者交替或者并行,社会广大民众对于这三个概念也大多分辨不清晰,这主要是因为三者之间相似点较多。首先,与传统安全问题相比,这三类安全问题都属于非传统安全领域,三者都是20世纪末甚至21世纪初才逐渐凸显出来的安全问题,进入21世纪以来,中共中央多次在全面各大会议中提出信息安全、网络安全及网络空间安全的相关问题。我国与世界其它国家及组织签订双边或者多边协议中也都将这三类问题作为重要的协商内容之一。其次,网络安全、信息安全、网络环境安全实际上工作的核心问题都是为了保障个体本身、社会机构以及国家的信息资源、空间、载体不受到内外各种危害,只是三类安全工作的出发点及侧重点各有不同。其中信息安全包含线下及线上两类安全,实际上也包含了网络安全及网络空间安全,它的使用范围最为广泛,网络安全的侧重点主要是网络社会安全及线上安全,网络空间安全具有很浓重的军事性质,侧重于海陆空等并行空间的安全问题,它们三者之间可以相互地协调配合。

2.3 信息安全、网络安全与网络空间安全三者的不同点

为了能够清晰的认识这3个概念必须要对它们的不同之处进行归纳分析。

首先三者的视角存在着一定的区别,信息安全的主要视角为信息,网络安全问题则指的是基于网络的一些问题,网络空间很明显反映的安全问题主要是“空间”问题。

其次,三个概念提出的背景不同,信息安全的具体实践在很多年前在世界各国都已经出现,只是长期以来没有一个系统的概念,直至20世纪50年代,它是基于现实社会的信息安全提出的学术概念。网络安全及网络空间安全都是基于互联网及网络社会的到来提出的新的概念,它们两者之间依然存在着十分明显的差别,随着互联网的发展,网域成为与海陆空三域并立的现代社会及国家公域空间,基于此出现了网络空间安全的概念。

由于三个概念提出的背景及三者视角之间的区别,信息安全、网络安全、网络空间安全的内涵及外延存在着很多不同之处。长期以来,信息安全都是非传统安全领域的重要内容之一,互联网时代到来之前,信息系统的技术安全、物理安全是信息安全的主要研究对象,其中物理安全主要涉及系统配套部件、设备的安全性能、环境等方面的问题,而随着网络信息技术的不断进步,物联网、大数据等信息技术与载体相继出现,伴随着它们而来的各种新的信息安全问题较以往的问题更加复杂,具有泛在模糊性、隐蔽关联性、总体综合性等特点,网络安全问题的扩展往往十分迅速,危害较大,为计算机网络用户带来了重大的安全风险。计算机病毒、非法入侵等都是网络时代最常见的网络安全问题,可能会涉及到政治、经济、文化等各个领域,比如07年初熊猫烧香病毒肆虐我国网络,造成了不可挽回的重大损失,网络病毒的传染性强、繁殖性高、破坏性大,对于普通的计算机用户来说很难发现,将其彻底清除也很有难度,计算机病毒是威胁网络安全的一大毒瘤,再比如许多网络黑客通过口令入侵和盗用IP地址两种形式非法入侵他人、社会组织、政府部门的计算机系统,对目的主机实施攻击活动,严重危害社会稳定及国家安全。这些问题都是“信息安全”概念难以完全涵盖的。此外,网络安全及网络空间安全还可以与其它的安全领域交叉渗透。网络空间安全具有很强的专指性,虽然与网络安全同样聚焦于网络,但具体对象差别很大,网络空间安全注重全球及空间范畴,体现出网络空间的专指性。

3 结束语

信息安全、网络安全、网络空间安全是现阶段非传统安全领域研究的重点问题,互联网时代,各国都已经加强了对这三类问题的研究讨论,三者拥有许多相似之处,也各自有着自身的特点,实际的工作研究过程中必须充分认识到三者的异同点,才能做好国家信息安全、网络安全及网络空间安全的保障工作,从而实现促进社会和谐与国家兴盛的目标。

摘要：近年来,网络安全、信息安全、网络空间安全等词汇频繁出现在了广大民众的视野之中,大多数人对于这些非传统安全问题都不太了解,在实际的工作与生活中很多人将这些问题混淆起来,本文主要就这三类非传统安全问题的定义进行简单的介绍,就它们之间的区别与联系进行具体的分析总结。

关键词：信息安全,网络安全,网络空间安全,相同点,不同点

参考文献

[1]冷爽.信息安全、网络安全与网络空间安全探讨[J].通讯世界,2016.

[2]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015.

[3]周莲波.信息安全、网络安全、网络空间安全问题研究[J].网络安全技术与应用,2015.

[4]马民虎,张敏.信息安全与网络社会法律治理:空间、战略、权利、能力[J].西安交通大学学报(社会科学版),2015.

网络系统信息安全 篇2

随着计算机技术的飞速发展，网络信息已经渗透到社会发展的各个领域，信息网络已经成为社会发展的重要保证。随之而来的网络信息安全，也成为了全球的热点问题。网络信息安全事关国家安全，社会稳定，经济发展以及文化领域建设等诸多领域。可以说，如果一个国家不能保证信息网络的安全运行，就不可能获得信息化的效率和效益，就不可能保证社会生活健康有序地进行。然而当前网络信息安全现状并不容乐观，各国网络系统面临着很大的威胁，因此要采取积极有效的信息安全对策，确保我国网络信息安全。

一、网络信息安全现状

1.黑客威胁加剧并且攻击手段多样

黑客利用计算机软件与硬件的缺陷，不断制造信息网络破坏技术。计算机病毒肆虐、逻辑炸弹、口令攻击、间谍软件等网络破坏技术在这些黑客手里不断更新而且攻击手段多种多样，给网络信息安全带来极大危害。以2005年上半年的统计为例，总共发现计算机软件新的安全漏洞1862个，最新数据平均每天发现10个，计算机厂商推出修补“漏洞”的补丁软件的周期平均为54天，而黑客仅需要6天就可以根据漏洞编写攻击软件。美国作为当今世界网络技术最为发达和成熟的国家，美军曾对其军事用途的计算机系统进行了3.8万次模拟袭击，袭击成功率高达65%，而被发现的概率仅为0.12，对发现的攻击及时通报的只有27%，能作出反应的则不到1%。

2.计算机犯罪案件逐年增多

计算机犯罪是指一些掌握计算机专业技术的人员，通过已掌握的技术，查询网络缺陷，对网络缺陷部分进行攻击，以达到盗取他人信息和钱财的目的，现实施的犯罪已经涵盖了所有物质以及精神层面的内容。在物质层面上，通过篡改和盗窃他人信息，以达到盗用他人账

户的钱财的目的；在精神层面上，通过盗用他人个人隐私，将其发布在互联网上，以达到攻击他人，诋毁他人名誉的目的。由于目前计算机普遍应用到各行各业，因此计算机犯罪也遍布于各行业，随着全世界进入信息化时代，未来信息化犯罪即计算机犯罪将演变成主要犯罪方式。作为一种新型的犯罪方式，已经越来越引起行政执法机关的重视。当前许多传统犯罪方式，在计算机上均能找到影子，而且危害已经远远超过传统犯罪。

3.计算机病毒入侵频繁

计算机病毒以其极强的传染性，破坏性以及惊人的繁衍性，不断向网络系统频繁入侵。目前计数机病毒频繁入侵网络服务器系统，致使服务器瘫痪，大量有效数据丢失，极大地影响了信息系统的稳定性和安全性。目前相当多的网络服务器防毒软件系统还很单一，很多服务器仅安装了单机版杀毒软件，而不是服务器版杀毒软件，集中升级机制欠缺，不能实现所有机器同时升级，总体防毒能力较弱。计算机病毒制造者经常抓住服务器防毒能力差的弱点，重点攻击各部门服务器系统，一旦病毒入侵服务器，将影响正常的服务，破坏数据库，甚至造成网络系统瘫痪。

二、确保信息安全对策

确保信息安全在关系到国计民生的社会的各个领域都具有至关重要的作用。在这场保卫战中首先要做到技术领先，技术可靠，同时要不断提高网络安全意识，在日常工作中强化网络安全教育，规范网上行为，自觉远离潜在网络危险区域。笔者将从充分合理运用信息安全技术以及加强信息安全管理两个方面来阐述确保信息安全对策。

1.充分合理运用信息安全技术

（1）USG防火墙技术

USG防火墙采用高性能的硬件构架和一体化的软件设计，集防火墙、防病毒、反垃圾

邮件等多种安全技术于一身，通过加强网络之间的访问控制，有效控制互联网络用户、保护网络之间的访问，防止外部网络的病毒在内部网络中大范围的爆发，避免信

息泄露和网络中毒。

（2）入侵防御系统（IPS）和入侵检测系统（IDS）

在网络最外端部署入侵防御系统，对网络中深层攻击行为进行准确的分析与判断，实时阻断恶意网络流量的攻击与破坏；在网络管理中心核心区域部署入侵检测系统，可以提供对入侵事件、黑客程序、网络病毒的在线实时检测和警告功能，能够有效地防止恶意入侵事件的发生。

（3）数字认证技术

数字证书通常分为三种类型，即个人证书、企业证书、软件证书。个人证书（PersonalDigital）是通过为某一个用户提供证书，帮助个人在网上安全操作电子交易。企业证书，也称作服务器证书（ServerID），通过对网上服务器提供的一个证书，使拥有Web服务器的企业用具有证书的Internet网站（WebSite）来做安全的电子交易。软件证书通常是为网上下载的软件提供证书，证明该软件的合法性。由于数字证书克服了密码在安全性和方便性方面的局限性，因此提高了总体的保密性。

（4）网络防病毒系统和补丁分发系统

网络防病毒系统采用分布式的体系结构，由服务器、客户端、管理控制台三个子系统协同工作，共同完成对整个网络的病毒防护，达到最大限度全面封杀病毒的目的。补丁分发系统通过监控网络补丁状况，实现补丁的实时在线升级和补丁自动下载安装，防止利用系统的漏洞而进行的病毒攻击和黑客入侵。

2.加强信息安全管理

（1）加快立法进程 健全法律体系

我国自1996年成立国务院信息化工作领导小组以来，先后颁布了《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等法规。1997年10月1日起生效的新《刑法》增加了专门针对信息系统安全的计算机犯罪的规定。这些法规在维护网络安全方面起到了重要作用的同时仍有很多不健全的地方需要完善。我们还需吸取和借鉴国外网络信息安全立法的先进经验，结合我国实际，不断修改和完善现行法律体系，做到与时俱进和科学发展。

（2）抓紧网络安全基础设施建设

一个网络信息系统，即使你设置有多道防火墙，增加了多级保护，但是其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的，就存在安全隐患。因此要加大自主创新力度，确保国民经济要害部门的软硬产品是具有自我知识产权品牌，同时要加大信息安全产品检测评估基础设施、应急响应处理基础设施等的建设。

（3）建立网络风险防范机制

建立网络风险防范机制避免在网络建设与经营中，因为安全技术滞后以及法律疲软等原因，使网络运行陷于困境。我们可以遵循危险产生前的预防、危险发生中的抑制和危险发生后的补救原则，建立网络风险防范机制，防止和规避网络安全产生的风险。随着网络信息技术日新月益的飞速发展，新的安全问题将不断产生和变化。网络信息的安全问题必须依靠技术创新与进步、不断完善和加强自身管理制度、不断提高网络工作人员素质等措施来解决。同时要把加快网络信息安全技术手段的研究和创新提高到重要日程，从而使网络的信息能安

网络系统信息安全 篇3

关键词：网络；信息安全；现状；根源；措施

一、网络信息安全现状

（一）黑客日趋猖狂

计算机软件与硬件存在固有的缺陷，这就为黑客提供了机会，使他们得以开展破坏工作。更可怕的是，他们的攻击手段不断变换花样，一系列复杂的病毒、逻辑炸弹让防毒软件应接不暇，利用这些攻击手段，他们窃取机密信息，给网络信息安全带来极大危害。美国《金融时报》曾报道过：全球平均每20秒就发生一次网上入侵事件，他们给美国每年造成的经济损失也是令人咋舌，竟高达100多亿美元。

（二）计算机犯罪案件逐年增多

“计算机犯罪是指一些掌握计算机专业技术的人员，通过已掌握的技术，查询网络缺陷，对网络缺陷部分进行攻击，以达到盗取他人信息和钱财的目的。”计算机犯罪涉及物质和精神层面的内容，已经随着计算机的普及渗透到各行各业，且将演变成主要犯罪方式，危害更甚于传统犯罪。

我国的计算机犯罪数量逐年上升，曾经震惊世人的一起案件竟造成直接经济损失2100万元，令人不得不反思和警醒。

（三）计算机病毒入侵频繁

跟传统病毒一样，计算机病毒有极强的传染性，破坏性以及惊人的繁衍性，可以不断向网络系统入侵。计算机病毒入侵网络服务器系统后，可致使服务器瘫痪，大量有效数据丢失，信息系统的稳定性和安全性自然受到威胁。防毒软件发展滞后拿它也是束手无策。

（四）网络信息安全问题的重要性日益提升

2013年6月，前中情局（CIA）职员爱德华·斯诺登披露了美国国安局代号为“棱镜（PRISM）”的秘密项目，一时间美国舆论一片哗然。而事实上，美国还有惊人规模的海外监听计划，经斯诺登揭露，有引发外国外交地震的趋势。

正所谓“明者因时而变，知者随事而制”，当前各种不安全因素充斥着我们的生活，面对此种复杂的环境，习总书记的新安全观应势而生，恰逢其时。这也表明中国越来越关注网络信息安全，将其上升至国家战略高度，但同时也存在着纰漏，有待进一步提高改善。

二、网络信息安全问题产生的根源

（一）认知上的根源

首先，对普通大众来说，他们对计算机安全问题特别是网络犯罪的态度较为“宽容”，主要原因是：（1）无人员伤害，破坏不明显；（2）造成的损失并非个人承担，而是由政府或单位善后；（3）认为计算机罪犯是“天才”。因此，他们对信息安全问题不太关心，安全意识淡薄。

（二）社会性根源

互联网中的自由为道德相对主义（“你想怎样就怎样”或者“怎样都行”）和极端个人主义提供了最好的土壤和借口，最直接表现为滥用网络现象的出现与屡禁不止。此外，西方社会传统的“冒险和发现”的精神滋生了大批黑客。虽然，我们应该承认早期的黑客确实存在冒险、发现知识一类的正面因素，然而，冒险和犯罪只有一线之隔，在物欲横流的今天，有些年轻人经不住诱惑，顶风作案。

（三）技术性根源

1、计算机系统本身的脆弱性。计算机系统本身具有脆弱性，无法抵御自然灾害和人为的破坏。如水、火、地震的破坏及环境（湿度、振动、冲击、污染）的影响以及硬件设备故障，突然断电或电源波动大及各种误操作等危害。这些危害有的会损害设备，有的则造成数据丢失。

2、技术本身的缺陷。电磁泄露、通信与网络的弱点、软件缺乏安全性、安全技术标准不统一等都是计算机网络本身存在的技术缺陷，即便是微软巨头也不可避免地存在技术漏洞。

（四）政治性根源

美国著名学者托夫勒曾经指出：“谁掌握了信息、控制了网络，谁就将拥有整个世界。”一句话道出了互联网对世界政治经济格局的影响，美国便是最好的例子，它凭借其在网络技术上的基础和优势，利用互联网，在各方面、各领域抢占先机，其他国家认识到这一重要性也加大投资想分一杯羹，甚至不惜从网上窃取他国机密信息，散布不实言论。“棱镜计划”的曝光，正是让美国的这种政治野心暴露无遗，也让其“贼喊捉贼”的虚伪外交公之于众。

（五）经济性根源

经济上的根源主要指：一方面是指网络犯罪成本低，仅需一台联网的终端机，过程大大加快；第二方面，网络犯罪获利高，例如，美国金融界就是相当大的受害者，每年损失达100多亿美元，英国每年近30亿美元。

三、网络信息安全的防范措施

（一）突出网络安全的战略地位

树大招风，中国作为最大的发展中国家，其崛起让其他国家不安，因而成为受网络冲击严重的国家，必须提高对网络安全的重视程度，将其上升至国家战略高度，建立完善网络安全防护体系，从根本上提升我国网络安全防护水平。

（二）建立一个权威性强的职能部门

各级领导要重视网络信息安全管理，做到有计划、有措施、有检查、有落实。成立技术管理机构，积极开展保密技术的研究和开发，对出现的安全问题能及时、准确的处理。建立健全软、硬件操作规程，作业运行规程和上机时间记录规程，形成有效、完整的网络信息安全管理运行机制。对违反制度的人要作出相应的处罚。

（三）提高重要档案管理人员的业务水平

国家各部门，社会各领域要对负责档案管理的工作人员进行培训，使之具备将各类重要信息分归档案和计算机高水平管理的能力，从而实现档案的安全管理。

（四）加快立法进程，健全法律体系

自1996年成立国务院信息化工作领导小组以来，我国先后颁布了《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》等法规，且网络安全法制工作还在进行。尽管这些法规在维护网络安全方面还有不健全的地方，但也起到了重要作用，我们还需吸取和借鉴国外的先进经验，结合我国实际，不断修改和完善现行法律体系，做网络安全强国。

四、结论

随着网络信息技术的飞速发展，新的安全问题将更加难以对抗。这就需要信息安全技术不断的创新与完善，要不断完善和加强自身管理制度，不断提高网络工作人员素质。从而引导网络发挥其正面的作用，让其更安全可靠地服务于国计民生。

参考文献：

[1] 唐明双.论对计算机网络安全及建设的研究[J].数字技术与应用.2012（12）.

[2] 王大鹏.计算机网络安全与防范策略研究[J].科技视界.2012（26）.

[3] 朝晓华.浅析计算机信息安全技术[J].黑龙江科技信息，2010.

[4] 关良辉.电力企业局域网的信息安全研究[J].电力安全技术，2010.（6）.

[5] 钟福训.网络安全方案探讨[J].齐鲁石油化工，2004.32（4）：322-325.

[6] 刘广辉.计算机网络通信安全问题与防范策略探讨[J].信息安全与技术.2012（06）.

[7] 杨珂.浅谈网络信息安全现状[J].天津市信息中心.2005

[8] 张钢.从美国“棱镜计划”看我国网络信息安全问题.法制与社会.2014，02.

医院信息网络系统安全 篇4

1 硬件系统的物理安全措施

硬件系统是整个HIS系统正常运行的物理基础,它的安全是指HIS系统中各计算机通信设备及相关设施的物理保护,使其免于人为或自然的破坏[2]。硬件安全隐患主要有机房的供电、网络及设备等三方面故障。采取的措施是安装了防雷系统,所有插座的地线严格接地,工程得到了防雷装置检测中心认证。更换了主机房的不间断电源(UPS),保证断电后8h的供电量;为每台交换机配备一个小的PC用UPS;为电压不稳的高发区的工作站点配备了稳压源。对工作站点集中的一、二层挂号收费处,用交换机替代了集线器(HUB),用光纤替代了双绞线。每一个服务器机柜后面单独一组UPS、电池组和供电柜。由于全院的供电系统采用集中供电。而且地面上有很多的插座,一旦有一路插座短路,就有可能一直冲到配电的总闸。为此做了三级的开关保护。

目前医院将通过互联网实现医院间的互联,使医院网络逐渐向开放式转变,增加了感染病毒的可能性。我院采取的防护措施是:(1)医院网络布线采用内外方式,就是把医院的信息系统做成内网,让非医院的信息系统做成外网,所以我想我们可能应该保证医院信息系统的主服务器的高可靠性。(2)安装了网络版杀毒软件,对网络进行适时监控,并有专人每天对网络有无病毒的情况观察登记。由于我院安装了医学期刊库需要与互联网与内网接口,为了防止外来病毒的入侵,医院又购置了防火墙对所有进出数据进行过滤。(3)我院的客户端一律不安装光驱、软驱,并且将部分没有USB接口打印机的主机的USB口封掉,更不准擅自安装光驱、软驱及使用U盘和移动硬盘。由此导致网络感染病毒或损坏者,根据绩效考核予以情节进行处理。并且对客户端用户的密码强调专人专用。

2 软件系统的安全措施

HIS系统软件安全问题涉及操作系统、网络协议、数据库、应用程序以及病毒感染等许多方面

2.1 操作系统、数据库系统的安全

应尽量选择正版的安全漏洞较少的操作系统和数据库系统,并时常更新漏洞补丁,对操作系统和数据库系统进行合理的安全策略配置,管理好超级用户并定期更换其密码是非常重要的。对操作系统、数据库的关键操作应开启审计,并记录用户的误操作或恶意行为,以便事后跟踪及管理。同时也要加强对数据的冗余备份与恢复工作。

2.2 应用程序的安全

HIS系统的特点是涉及部门多,系统复杂。医院信息系统的外包依赖程度比其他行业系统明显偏高,使得医院的核心业务程序或数据大量暴露在外部不可控的专业人员面前,一旦这些外部人员有恶意动机(如移植木马、设置逻辑炸弹等)将对医院造成巨大的安全损失[3]。因此,医院在建设HIS系统时一定要选择技术力量雄厚、信誉良好的公司的产品,以保证数据安全和享有良好的后期服务。

2.3 病毒防治

当今,计算机病毒呈现出种类繁多,变异速度快,传播网络化,隐蔽性强,危害多样化,危害后果日趋严重等特点。一些恶性病毒除了攻击计算机网络系统中的核心设备和资源、降低网络运行速率、造成网络拥堵甚至瘫痪外,甚至盗窃被攻击系统中的用户帐号、密码、机密资料、用户档案等信息。为保证HIS系统安全,采取软件和硬件相结合的病毒防治方案,经常升级安全补丁和病毒库。

3 网络用户的安全管理

由于医院网络用户涉及操作人员、医护人员、管理人员等诸多使用者,覆盖面大,给系统带来了不少的安全隐患。因此,对于网络用户的安全管理也成为网络安全管理中必不可少的一部分。对每一个用户都进行岗前培训,在熟练操作规程的同时,加强网络安全教育,增强安全意识。

为了限定一般用户权限,可以利用操作系统为其定义唯一的帐号,在不影响用户操作程序和调用数据的情况下,限定用户访问权限,不管用户通过什么程序,即使是数据库工具,也不能访问到未经授权的数据;而用于远程传输注册的用户,可以限定登录时数、定期修改登录密码、做登录及注销审核,以防止用户非法侵入网络,保证网络安全运行。

4 服务器及工作站管理

4.1 服务器管理

网络服务器是整个网络的核心,对其进行管理的方法:(1)建立服务器档案。有关服务器的随机资料、操作系统、数据库、应用程序安装盘、补丁盘要严格入档。在档案中要详细记录服务器的硬件类型、启用时间、网络配置(机器名、域名、IP地址等)、数据库的定义(库名、设备名及大小)、备份设备、添加的服务、定义的任务及其他相关参数。(2)建立服务器日志。要每日做服务器设备安全检查记录;服务器启停记录;错误日志检查记录;数据库的使用、扩展、修改、备份情况记录;服务器性能监视记录等。

4.2 工作站管理

对工作站的管理方法:(1)建立工作站档案,记录工作站台号、网络配置、操作系统、应用软件的安装情况。(2)对于每一台工作站应建立工作日志,记录每日操作人员姓名,所使用的模块(如记帐、出院结算等);机器的使用情况,是否出现异常,是否做单机/网络切换;网管人员须及时记录维护情况(包括硬件维修、软件补丁等)。(3)制定工作站机房管理制度、机房管理员职责。

参考文献

[1]卫生部.医院信息系统基本功能规范[S].卫生部,2002.

[2]夏舜.医院管理信息系统的安全及防范措施[J].医院管理论坛,2003(2):60-62.

[3]沈惠德,陆培明,范启勇.上海市医院计算机信息网络系统安全策略的制定实施与效果[J].中国医院管理,2005,25(2):20.

[4]刘晓辉.医院信息系统中灾备系统的设计与实现[J].医疗设备信息,2007(1):22-24.

[5]尚邦治,等.医院局域网安全设计[J].医疗设备信息,2006(11):17-20.

网络系统信息安全 篇5

网络安全在网络银行应用

[摘 要] 网络银行作为网络经济在金融领域应用与延伸的产物,网络安全问题对网络银行的 发展提出了严峻挑战｡信息安全是金融消费者最关心的,也是网络银行发展中最为敏感的问题｡VPN这一虚拟的专用网络技术是理想的银行电子网络远程访问解决方案｡其关键技术有隧道协议技术､加密技术､认证技术､存取控制等,并可以多种方式实现私有隧道通信｡

[关键词] 网络银行;网络安全;VPN技术

[Abstract ]Internet banking in the financial field as a network of economic applications and extension of the product, network security issues on the development of Internet banking presents a challenge to information security｡ financial consumers are most concerned about the development of Internet Banking is the most sensitive issue in this｡ VPN Virtual Private Network technology is ideal for electronic banking network remote access solution for its key technologies｡ Tunneling Protocol technology, encryption technology, authentication, access control, etc., and can be a variety of ways to achieve the private tunnel communication｡

[Keywords ] Internet banking;network security;VPN Technology

1.网络银行及现状分析

1.1网络银行的概念｡

网络银行是指银行利用因特网技术,通过因特网向客户提供各种金融服务的银行,是

利用计算机､网络､银行的三合一,通过网络上的虚拟银行柜台向客户提供全天候的网络金融服务,又称网上银行｡网络银行的运行环境与传统环境不同,网络银行生存在虚拟的网络世界中,突破传统银行经营所受到的时间与空间的限制,按照开放的原则为客户提供数字化和高附加值的不间断服务｡

1.2网络银行的发展阶段｡

网络银行的发展可以划分为3个阶段:

第一阶段是计算机辅助银行管理阶段,这个阶段始于20世纪50年代,直到80年代中后期｡早期的金融电子化基础技术是简单的脱机处理,只是用于分支机构及各营业网点的记账和结算｡到了20世纪60年代,金融电子化开始从脱机处理发展为联机处理系统,以满足银行之间的汇兑业务发展的需要｡20世纪60年代末兴起的电子资金转账技术及网络,为网络银行发展奠定了技术基础｡

第二阶段是银行电子化或金融信息化阶段,这个阶段是从20世纪80年代后期至90

年代中期｡随着计算机普及率的提高,商业银行逐渐将发展重点调整为PC机银行,即个人电脑为基础的电子银行业务｡20世纪80年代中后期,在我国国内不同银行之间的网络化金融服务系统基础上,又形成了在不同国家之间､不同银行之间的电子信息网络,进而促进了全球金融通讯网络的产生,在此基础上,出现了各种新型的电子网络服务,如自助方式为主的在线银行服务(网上银行)､自助柜员机系统(ATM)､销售终端系统(POS)等｡

第三阶段是网络银行阶段,时间是从20世纪90年代中期至今｡20世纪90年代中期以来,网络银行或因特网银行出现,使银行服务完成了从传统银行到现代银行的一次变革｡

1.3我国网上银行业务发展的特点

1.31网上银行业务持续增长｡

有关报告表明:在2007年调查的我国10个经济发达的城市中,有37.8%的个人正在使用网上银行服务,较2006年增加了4.2个百分点;有31.7%的企业正在使用网上银行服务,较2006年增加了1.7个百分点｡2007年,各收入人群的网上银行成长指数均上涨｡其中,月收入500元以下和2000-2999元的人群增长幅度最多,分别为14.45%和10.36%｡个人收入在7000-9999元/月的群体网上银行成长指数最高,为68.91;个人收入在500-999元/月的群体成长指数最低,为54.96｡除安全指数外,其余一级指标基本呈现出收入越高､指数越高的趋势｡可以看出,个人网上银行成长指数随着收入增加而上升｡

1.32外资银行开始进入网上银行领域｡

目前,获准在中国内地开办网上银行业务的外资银行包括汇丰银行､东亚银行､渣打银行､恒生银行､花旗银行等｡另外,还有几家外资银行的申请正在审核之中｡

1.33网上银行发展空间广阔｡

有关报告表明:2007年中国个人网上银行成长指数为62.07,比2006年增长6.4%｡企业网上银行成长指数为58.84,比2006年增长0.2%｡目前,不论是企业还是个人,需求指数在所有指数中都是发展最好的,而通过个人与企业指数比较,个人网银的认知指数得分排名第一,企业网银的需求指数得分排名第一,说明在现阶段的环境下,企业比个人更加需要网上银行｡

1.34网上银行业务种类､服务品种迅速增多｡2000年以前,我国银行网上服务单一,一些银行仅提供信息类服务｡但目前各大银行的网上银行业务覆盖面进一步扩大,交易类业务已经成为网上银行服务的主要内容,除了覆盖传统银行柜面业务外,还包括除现金业务外的全部对私业务和对公业务,其中包括存贷款利率查询､外汇牌价查询､投资理财咨询､账户查询､账户资料更新､挂失､转账､汇款､银证转账､网上支付(B2B､B2C)､代客外汇买卖等,部分银行还开办网上小额质押贷款､住房按揭贷款等授信业务｡同时,银行日益重视网上银行业务经营中的品牌战略,出现了一些名牌网站和名牌产品｡但目前我国尚未出现完全依赖或主要依赖信息网络开展业务的纯虚拟银行｡

1.4对我国网上银行发展状况的分析

1.41我国网上银行发展的竞争优势｡网上银行同样要基于成熟的商业模式和对市场的深刻理解,代表网上银行的“鼠标”必须加上代表传统柜台业务的“水泥”才有可能发挥更大的效力｡因此,我国银行传统业务积累的丰富客户资源,将为网上银行初期发展提供源源不断的“氧气”｡

1.42我国网上银行发展面临的问题｡目前,大多数商业银行发展网上银行的主要动力在很大程度上是为了争取传统客户,而将网上银行作为一种宣传工具和稳定客户的手段｡网上银行的发展缺乏科学的规划,投入高,效益差,管理水平有待提高｡对于国外银行所重视的对网上银行风险检测､安全控制等技术提出专利申请,我国银行没有引起重视｡

1.43我国网上银行发展所面临的机会｡从1998年中国第一笔网上支付在中国银行成交,网上银行在我国涨势迅猛｡随着银行业务的全面开放,网上银行快速发展的各项条件日趋成熟｡目前,中资银行和外资银行共处同一个竞争平台,我国网上银行的发展将直接受到外资网上银行的影响,必须学会如何在竞争中学习其先进的管理模式与方法｡

1.44我国网上银行发展的外部潜在障碍｡在我国,网上银行发展的外部动力不足,体现在老百姓对网上银行的接受是被动的,交易量､交易额和传统柜面相比所占份额很小｡网上银行业务更多的是复制传统柜面业务,缺乏根据互联网特点的新的金融创新,对客户的吸引力较弱｡客户对网上业务接受比较被动,这和西方发达国家的情况形成鲜明对比｡西方发达国家的整个社会信息化程度比较高,金融信息化的速度和社会信息化的速度相适应｡而在我国,金融企业信息化程度领先于社会平均水平,很大程度上,客户从心理和认知上都不接受网上银行｡接

受程度低,使用度也就相应降低,网上银行的规模效应无法体现｡同时,我国金融产品尤其是理财型的产品相对较少,很多银行将网上银行作为低值业务的分流渠道,因此查询､转账､代缴费大行其道,成为各网上银行的主流业务,所不同的是形式上的包装,就产品来讲更缺乏对客户的吸引力｡

2.网络安全对网络银行应用的必要性

资金在网上汇划,安全性是最大问题｡发展网上银行业务,大量经济信息在网上传递,而计算机及计算机网络系统极易遭受黑客和病毒的袭击,技术和操作方面的故障都难以避免｡在网络环境下,银行业一些传统业务的风险将被放大,使银行面临的风险更大｡

消费者对网络银行服务的态度如何呢?有关调查显示:消费者更愿意接受在线的金融服务,前提就是希望在一个网址上就能够得到各种各样的金融服务而且交易一定要保密｡现有个人用户选择网银的因素2007年与2006年最大的变化是:“网络银行的安全性能”超过了“选择网银主要根据原来的开户行而定”上升到了第一位｡与2006年对比,2007年企业选择网上银行的因素中,公司因原有银行账户的原因仍然排名第一,其比例仍然在50%以上,2007年排名第二､第三､第四名的分别为网银的安全性能､银行的知名度､网银的服务水平和态度｡而无论个人和企业,非现有用户选择网银时看重的因素没有显著变化,最重视的依然是网银的安全性能｡由此看出,消费者不但需要一体化的服务,而且网上交易的安全至关重要,消费者表示交易时隐私权被侵犯比在网上被欺诈钱财更令人担心｡信息安全是消费者最关心的,也是网络银行发展中最为敏感和头疼的问题｡要想让网络银行被消费者接受,首先得解决安全问题｡安全性作为网络银行赖以生存和得以发展的核心和基础,从一开始就备受关注,各家银行都积极采取有效的技术和业务手段来确保网络银行的安全｡

3.VPN技术

3.1VPN的关键技术

3.11隧道协议技术｡隧道协议技术将原始报文在A地进行封装,到达B地后去掉封装,还原成原始报文,形成一条由A到B的专用通信隧道｡该技术分为:①端对端隧道技术｡从用户的PC延伸到用户所连接的服务器,每个端点的VPN设备都必须负责隧道的建立及端点之间资料的加密和解密等工作｡②点对点隧道技术｡主要是连接不同地区的局域 网络 ｡在局域网络内部传送的资料并不需做任何改动｡一旦资料必须经由网络外围的设备传送到不同的局域网络时,这些数据才会被加密且经由隧道传送给下一个节点的对应设备｡当节点收到资料后,VPN设备将这些资料解密,还原成原来的格式,再传送到内部局域网络｡利用软件隧道覆盖在一个实体网络之上,构成虚拟特性,让其上任何一个连接看起来像是线路上唯一的 交通 ｡隧道也将使内部网络的安全性和优先性得以维持,提供交通控制能力｡

3.12加密技术｡VPN支持目前市场上主要的几种加密技术,如Rivest Cipher技术､DES及Triple-DES(三重DES)等｡密钥长度的选择主要取决于资料机密的重要程度以及资料所流经的网络安全性等｡一旦VPN采用加密技术后,系统必须为用户提供一套取得密钥的方法｡最常见的密钥管理技术为点对点协议(PPP)中的加密控制协议(ECP)､具备密钥管理功能的点对点加密技术(MPPE)等｡对于特别敏感的业务信息通信,通过加装硬件加密模块予以解决｡

3.13认证技术｡VPN采用了许多现有的用户认证技术,如密码认证协议(PAP)､挑战性握手验证协议(CHAP)以及Mi-crosoft CHAP的支持能力｡连接中一般都包括两种形式的认证:

(1)用户身份认证｡在VPN连接建立之前,VPN服务器对请求建立连接的VPN客户机进

行身份验证,核查其是否为合法的授权用户｡如果使用双向验证,还需进行VPN客户机对VPN服务器的身份验证,以防伪装的非法服务器提供错误信息｡

(2)数据完整性和合法性认证｡检查链路上传输的数据是否出自源端,在传输过程中是否经过篡改｡VPN链路中传输的数据包含密码检查,密钥只由发送者和接收者双方共享｡

3.14存取控制｡在确认用户身份后,就要给不同用户授予不同的存取权限｡用户必须接受身份认证(Authentication)和授权程序验证(Authorization),让网络知道是谁发出的业务请求,让用户知道他们可以进行哪些操作｡一个完善的系统同时还能执行账户稽核(Accounting),以追踪支出源｡

3.2实现私有隧道通信的方法

3.21通过封装通用路由实现｡采用通用路由封装(GRE)技术,为IP数据包加上一个IP头,将私有数据进行包装后,传送到其他地方｡因为银行私有网络的地址通常是自己规划的,因此无法与外部互联网建立正确的路由｡但在银行网络的出口,至少会有一个合法的地址,它在互联网中是唯一的｡GRE就是将内部的目的IP地址和源地址的数据报文进行封装,加上一个远端机构互联网出口的IP地址(目的地址)和本地互联网出口的IP地址(源地址),即加上IP头｡通过互联网IP帧结构如图所示｡

3.22通过点对点隧道协议实现｡采用点对点隧道协议(PPTP),将控制包与数据包分开｡控制包采用TCP控制,用于严格的状态查询和信令信息｡数据包先封装在PPP协议中,然后封装到GRE协议中｡

3.33通过第二层隧道传输协议实现｡采用第二层隧道传输协议(L2TP),将二层协议PPP的报文封装在报文中进行传输｡用户可以通过拨号网络直接访问银行内部网络,在特定链路层实现VPN技术｡

3.34通过网络协议安全实现｡采用网络协议安全(IPSec)协议,运用互联网的验证､加密等功能,实现数据的安全传输｡同时,还可采用该协议构建VPN网络｡其原理也是对IP包进行封装(可提供多种方式)并进行加密,然后在互联网中进行传输｡与前面方法相比,这种技术提供了更好的安全性｡但是,协议的复杂性导致了处理IPSec的网络设备(如路由器)需要占用大量的资源,效率较低｡如果使用专门的加密硬件,又会增加成本｡

3.35通过多协议标记交换实现｡采用多协议标记交换(MPLS),VPN实现底层标签自动分配,即为每个VPN分配一个独有的标识符,称为路由区分符(RD),在网络中的每个In-tranet或Extranet的区分符都不同｡转发表包含独有的地址,称为VPN_IP地址,由RD 和用户的IP地址构成｡VPN_IP地址是网络中每个端点独有的,条目存储在VPN中每个节点的转发表中｡边界网关协议(BGP)是一个路由选择分配协议,它定义谁可以与使用多协议分支和群体属性的人对话｡在MPLS的VPN中,BGP只向同一个VPN中的成员发布有关VPN的信息,通过业务分离来提供本机安全性｡这种基于标记的模式保证了帧中继和ATM连接中的私密性,也更容易实现跨运营网点骨干网服务质量的保证｡

4.结束语

网络银行作为金融服务信息化最集中､最突出的表现形式,代表着银行业发展的未来,是大势之所趋｡无论国际还是国内,网络银行都面临着不少亟待解决的问题｡网络银行发展的关键就在于如何打破安全这个最大的瓶颈,在这个方面,显然还有很多工作要做｡

参考 文献 :

提升电厂信息网络系统安全的策略 篇6

[关键词]电厂；希望；网络；安全

[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158（2013）06-0389-01

网络安全是随着信息化发展而出现的，很多时候信息在传播过程中会出现丢失、改变、非法读取等状况，会严重信息机密性、可用性、完整性等，为了确保经网络传送的信息数据能够安全地到达目的地，网络安全就出现了。

不同领域里的网络安全的重点也是不一样的，互联网用户网站关注信息传输可用性和可控性，电子商务关心的是信息的保密性。那么电厂信息的重要性主要表现在那些方面？一般说来，可以分为四级，最重要的是和电厂运行安全直接相关信息；其次是和电厂财务相关信息；再次是电厂重要内部管理信息；最后是电厂的一般信息。其一级信息需要最高等级的安全性服务甚至超过税务、电信、证券等行业。

电厂信息的威胁主要包含以下几个方面。非法获取系统中存贮的信息，尽管不一定能够影响电厂的运行，但是却是电厂信息网络系统遭受安全侵害的最初开端；影响较大的是内部系统之间的通信中断，一方面没法了解主站的控制命令也无法正确执行，另一方面排除原因也很费劲，尤其是无人值班的电厂；有些时候一些伪造信息和计算机病毒发往电厂，影响了电厂运行的正确性，甚至可能使运行程序瘫痪。

而这些威胁从来源上看也是非常复杂的，既可能是来自外部的原因，也有可能是内部的原因，因为电厂的网络是一个多连接的网络，存在许多外部连接和各片间的连接，又有各片内连接。

从外部连接上，电厂信息网络系统会与其它网络互连，同上级主管部门，企业事业单位等交流各种信息资，进一步加强国内际合作。这个过程中外部攻击就可以通过外部网络来实现。外部攻击中主要人为破坏和自然破环，自然破坏相对较轻，因为可以通过数据冗余设置等来降低损失，但是人为攻击却是有目的的攻击，防不胜防。如阻止服务器发送它所提供的服务的拒绝服务供给，使网络无法及时处理外界请求或主机受害，是一种破坏网络服务的方式；有些攻击者对被保护文件进行读、写或执行的尝试，删除系统文件、释放病毒，甚至继续获取更高的权限，对其他部分发动攻击；还有一些针对单个主机发起的系统代理攻击，预攻击探测等。

有些时候网络病毒并不是遭受攻击而影响电厂网络安全系统的，是因为人员网络安全意识薄弱，不小心携带进来的，对整个网络安全造成威胁，对本工作站资源进行破坏。电厂信息网络系统一般会允许用户拨号接入网络，但是当人员不在的时候攻击者可以通过拨号接人这一渠道访问电厂信息网络，来破坏网络。

从内部威胁来看，内部网络的安全涉及到技术、应用以及管理等多方面的因素。电厂网络规模庞大，节点众多，网络管理困难，一不小心就会造成安全隐患，存在着很多的漏洞和困难如：对网络的运行状况较难实施有效监控；网络结构变化无法监控，内部攻击者对网络结构了解的更加细致，非法访问更易成功；对于已经或正在发生的攻击缺乏有效的追查手段和保护措施；无法了解网络的漏洞和可能发生的攻击和病毒，使用软盘、移动硬盘存储的funlove.4099病毒曾导致某电力局人计算机和服务器系统崩溃；网络规模庞大，连接复杂，交叉访问增多，而交叉访问使得访问权限难以有效控制。

所以针对这些出现的问题，电厂信息网络安全的建设时非常重要的，针对电厂信息网络系统的实际情况，首要要进行的工作就是要注重安全保密问题，搞清楚电厂信息网络系统设计的目的，易于操作、维护，不影响原网络拓扑结构，有较好的性能价格比，安全与密码产品具有合法性。

电厂防火墙配置方案是非常重要的，可以实现屏蔽和允许指定的数据通讯，主要有包过滤防火墙和代理防火墙，两种类型防火墙的技术对比，代理防火墙有着明显的优越性，避免了数据驱动动式攻击的发生，能够透彻地理解相关服务的命令。对来往的数据包进行安全化处理理。防火墙配置中，一定要根据电厂的网络结构情况，在各内部网络与纵横向网络、拨号网络、国际互联网的联网通道上分别部署一道代理防火墙，代理防火墙通过分析这些数据包的性质控制网络中对各网络资源的访问，所有安全边界外部针对电厂网络中心或各内部网络的访问请求都首先到达代理防火墙。

系统设置了防火墙后，用户可以在防火墙上针对某些服务定义强制用户认证。可以记录通讯过程的许多内容，如访问的事件、访问的发起方、传输的数据，可以有效防止非法访问，保护重要服务器上的数据，提高网络的安全。在现有的Windows等操作系统以及网络中，系统本身也有着脆弱的一面，安全扫描却是网络安全体系的建设中花费低、效果好，安装运行简单的工具，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。入侵检测解决方案对安全防范来说是一个至关重要的措施，在重要服务器上配置实时入侵检测系统，负责发现入侵行为。

总之，随着时代的发展，保障一个健康、可靠、有效的计算机网络通信对于电厂的发展至关重要，而电厂是电力系统最重要的企业之一，需要电厂人员积极重视计算机网络系统安全，在日常管理中提高认识，负起责任。

参考文献

网络系统信息安全问题研究 篇7

一、操作系统的源代码

当前国内绝大多数用户都在使用Windows操作系统, 且很多是盗版的。微软总裁比尔·盖茨曾经说过一句话:我会让中国人加倍偿还的。话中不外两种含义, 一是通过知识产权保护法为他的公司争取最大的赔偿;二是他们掌握着WINDOWS操作系统的源代码, 这样他们可轻易进入任何系统, 偷取信息、情报, 甚至在关键时刻搞破坏, 造成系统的全面瘫痪, 其后果不堪设想。

前不久微软中国宣布将向中国政府公开OFFICE 2003中90%的源代码, 这是一个好消息。但公开90%说明不敢公开10%, 哪怕只有0.001%的源代码不公开, 就无法达到真正的安全。

这里我举一个例子:“伽利略计划”是与美国“全球定位系统” (GPS) 相似的卫星定位系统, 拥有对全球任何目标实施定位的能力。与美国的GPS相比, “伽利略计划”更先进, 也更可靠。美国的GPS向别国提供的卫星信号, 只能发现地面大约10米长的物体, “伽利略计划”的卫星则提供能发现1米长目标的信号。一位军事专家形象地比喻说, GPS只能找到街道, 而“伽利略计划”则可找到家门。2004年10月, 中国与欧盟签署了“伽利略计划”合作协议, 成为正式加入“伽利略计划”的第一个非欧盟国家, 而且将拥有这一系统20%的所有权和全部使用权。美国对“伽利略计划”的态度, 先是阻挠, 说可以使用他们的GPS;其次是联合开发, 让“伽利略计划”并入GPS;第三是恐吓, 据美国《商业周刊》报道, 美国政府不久前扬言, 如果“伽利略计划”系统被中国等国家利用来对付美国, “美国可能攻击该卫星系统”。究其原因, 是中国掌握了“伽利略计划”的核心技术, 对美国的所谓国家安全构成了威胁。据报道, “伽利略计划”已被推迟。

信息安全技术是具有对抗性的敏感技术, 真正先进的核心信息安全技术和产品是买不来的。由外国购买的安全产品中的任何“隐信道”、“嵌入式恶性代码”和“可恢复密码”等, 都可能对我军信息安全带来严重后果。要想真正解决网络安全问题, 研制开发自己的操作系统, 才是长久之计。因此, 在我军信息化建设进程中, 掌握信息安全技术与产品的自主权和自控权, 发展和形成有自主知识产权的信息安全技术, 是提高军队安全保障能力的重要举措。我们必须全面提高创新能力, 大力发展基于自主技术的信息安全产业, 才能从根本上保证网络信息的安全。

二、网络信息系统漏洞和病毒

网络信息系统中, 安全漏洞可以说“不可避免”。可以说, 不存在绝对安全的网络系统, 但只要我们加强网络管理与防御, 积极采取有效的防护手段, 计算机网络的安全性就会得到提高。

众所周知, 病毒具有传染性、潜伏性、隐藏性和破坏性。传染性使得计算机病毒的分布以几何级数增长;潜伏性使得病毒在一定时间内只传染不发作, 潜伏期一过再想控制为时已晚;隐蔽性是指病毒存在的隐蔽性和攻击的隐蔽性;破坏性使得程序、数据毁坏, 造成不可挽回的损失。据报道, 全球每天产生具有恶意攻击性病毒百余种, 每周产生各类病毒上千种以上。病毒等安全问题每年都会造成上万亿美元的经济损失。

防御病毒和黑客的入侵, 主要有以下几种方法:一是实体的安全防范, 主要包括控制机房、网络服务器、线路和主机等实体的检查和全天候监控。二是基础安全防范, 主要包括授权认证、数据加密、信息传输加密和采用防火墙技术等。但是与计算机病毒、黑客的较量, 将是长期的、艰巨的任务, 没有一劳永逸的解决办法, 我们要做好打持久战的准备。

三、人的安全防范意识

由于媒体对黑客、病毒的报导较多, 把人们的注意力强烈地导向到重视防范来自外部的威胁, 而忽视了来自内部的威胁。据从事信息安全的专业人士调查了解到, 外部入侵事件只占所有安全事件的20%—30%, 而70%—80%的安全事件来自于内部。

在已知的网络安全事件中, 约70%的攻击是来自内部网。首先, 各节点内部网中用户之间通过网络共享网络资源。对于常用的操作系统Windows, 其网络共享的数据便是局域网所有用户都可读甚至可写, 这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下, 因此造成信息泄漏。另外, 内部管理人员无意泄漏系统管理员的用户名、口令等关键信息;泄漏内部网的网络结构以及重要信息的分布情况, 甚至存在内部人员编写程序通过网络进行传播, 或者故意把黑客程序放在共享资源目录做个陷阱, 乘机控制并入侵他人主机。因此, 网络安全不仅要防范外部网, 同时更过且过应防范内部网。

安全检查保障信息系统安全 篇8

随着信息技术的飞速发展和网络技术在各行业的广泛应用, 世界各国的信息化取得了飞速的发展。信息系统在国民经济和社会信息化的背景下, 提高了办公效率, 改善决策和投资环境, 为信息管理、服务水平的提高提供了强大的技术支持。同时, 由于其信息系统的开放性, 针对信息系统的信息安全事件也频繁发生, 安全威胁越来越严重, 信息系统的信息安全问题已成为世界各国重点关注和亟待解决的问题。

世界各国为了解决信息系统的安全问题, 普遍采用了检查、评估等方法来保证信息系统的安全性, 并建立了相应的法律、标准、规范等, 其中以美国的信息安全检查指标体系最具代表性。我国一些关系到国计民生的重点行业为保证信息系统的安全性, 也采取了安全检查的方法来保证信息系统的安全性。

2. 国外信息系统安全检查评估现状

美国联邦信息安全管理法案 (Federal Information Security Management Act, FISMA) 要求联邦各机构对每一个系统实施“定期的有效性测试与评估, 考察信息安全的策略、流程与措施。评估的频率视风险而定, 但不能少于每年一次”。这种评估包括对管理、运行和技术类控制的测试。该条款不要求联邦机构实施国家标准技术研究院 (National Institute of Standards and Technology, NIST) 的认证和认可指南中所需要的复杂的测试, 而是要求维护一个持续不断的风险评估过程, 以确保安全控制能将风险维持在一种可接受的级别上。该条款还强调了对各系统安全状态的了解, 以便正确地维护系统级的行动和里程碑计划 (Plan of Action and Milestone, POA&M) , 并要求在每年度准确地报告各机构IT安全项目的总体态势。

年度FISMA检查的广度和深度依赖于多种因素。

1) 可接受的风险级别以及系统或信息遭受危害的程度;

2) 系统配置和设置得到在案记录以及持续监督的范围;

3) 补丁管理的实施范围;

4) 最近一次检查的相对综合性;

5) 作为系统认证和认可的组成部分的最近一次深度测试与评估的时间。

行政管理和预算局 (Office of Management and Budget, 以下简称OMB) 在每年夏季公布上一年7月1日至下一年6月30日 (一个会计年度) 的信息安全管理实施报告指南, 要求各部门信息主管及由美国审计总署委派、总统任命、独立于各部门的监察长提交报告, OMB再根据前面两个来源的报告撰写总报告后提交国会审议。

OMB制定了一个考评准则, 满分为100分。在OMB的考评准则中, 大部分是针对广泛人群的提问调查。因此, 得分与某项信息安全工作在部门内实施的范围成正比。0分表示比例小于最低要求, 例如只有29%甚至更低比例的雇员接受过信息安全培训;不同的比例范围将被赋予不同的分数, 总分数由各单项分数汇总而成。

除OMB提交的报告外, 美国还有另外一份由国会众议院监管及政府改革委员会 (Committee on Oversight and Government Reform) 做出的政府信息系统安全评估报告。监管及政府改革委员会做出的报告的基础数据来源也是各部门提交的报告, 但其评价方法是量化的。监管及政府改革委员会特地制定了一套政务信息系统安全检查指标体系, 评分后可以直观地了解政府各部门电子政府信息安全的基本情况。

美国众议院监管及政府改革委员会根据各部门提交的报告, 依照评分框架, 每年春季提出各部门的评分与评级结果。该指标体系提供了一个政府各部门信息安全基本情况的排名方法:首先是依据信息安全检查评分框架对各政府部门进行评分, 然后再根据不同部门的评分或评级的高低对部门进行排序, 得出各部门之间信息安全基本情况的横向比较。

俄罗斯在保障政府信息系统信息安全方面做了大量的工作。俄罗斯宪法把信息安全纳入了国家安全管理范围, 颁布了《联邦信息、信息化和信息网络保护法》, 强调了国家在建立信息资源和信息网络化中的责任。俄罗斯联邦政府联络与情报局为俄罗斯联邦国家政权机关建立了因特网网段RGIN (Russian Government Internet Network) , 并建成了高效安全的“阿特拉斯”数据传输, 确保俄罗斯联邦各主体行政中心之间文件的网络传输。

他们还确立了《计算机系统安全评估标准》、《产品安全评估软件》等一系列完善的系统安全评估指标。同时, 建立了联邦经济信息保护中心, 负责政府网络及其他的专门网络、网络信息配套保护、国家政权机关信息技术保障等。俄罗斯十分重视信息安全检查工作, 从法令、机构人员、资金、技术、管理等角度对信息安全检查工作予以全方位的支持和保障。

英国政府非常重视对信息安全法律法规执行情况的监督检查。一些政府部门设有专门的工作小组负责对有关电子政务建设法律法规和规章制度的贯彻落实和监督检查。例如英国教育与技能部有6人工作小组, 专门负责《数据保护法案》和《信息自由法》两法执行情况的监督检查。为形成制约机制, 对法律法规执行情况进行有效的监管, 他们采取了一些行之有效的措施, 如将机关工作人员执行法律法规和规章制度的情况与其业绩和奖惩挂钩, 若有违犯有关规定的行为, 一经发现轻则由人事部门提出警告, 重则开除。

德国在内政部下建立了信息安全局, 负责促进政府、企业和个人在IT应用方面的安全工作, 保证政府信息系统的安全性、实施信息安全技术的合法性及相关标准的统一性等。从确立安全要求, 到应用信息安全技术的计划、设计、实施、评估以及安全检查等, 德国政府进行了多方面的信息安全任务。但是德国信息安全检查工作还存在着一些不足, 例如工作人员责任不清, 授权不明, 检查工作无认证、无标准、无评估, 缺乏经常的监控工作等。

3. 国内信息系统安全检查评估现状

近几年来, 我国电力企业信息化投资占企业总投资的比重越来越大, IT基础设施不断完善, 信息系统越来越多。信息系统安全对电力企业意义重大, 它应该与电网安全一样被重视。

事实上, 2003年, 国家电网公司已将国家电力信息系统的安全运行纳入到电力安全生产管理的范畴, 把信息系统的安全管理纳入电力安全生产体系, 实行了信息系统安全运行报表制度和监督管理制度。电力企业经过多年的电力生产安全管理实践, 形成了一套电力安全生产规章制度, 建立了电力生产安全管理机制, 并且根据现代电力生产管理需求, 基于风险管理的理论, 开展了安全性评价工作。《供电企业安全检查性评价》从生产设备系统、劳动和作业环境、安全生产管理三个方面进行危险性查评诊断, 并坚持“自查、自检、自改”以及专家查评与单位班组自查相结合的原则, 将安全生产管理的重心放到一线班组, 实现安全生产各项管理工作的标准化、规范化, 用规范化的管理实现安全生产的动态过程管理。

供电企业将信息系统安全检查提高到电力安全生产的高度, 并借鉴电力生产安全性评价的做法, 对信息系统安全检查工作常态化, 坚持“自查、自检、自改”, 并坚持安全性评价专家查评与班组自查相结合的原则。

保险信息系统安全问题关系保险业发展全局, 也关系到社会经济的稳定。现代保险业的运转对信息化的依赖程度与日俱增, 信息化不再只是一种辅助的手段, 而是已成为保险机构的大动脉。

中国保监会早已认识到保险业信息系统安全检查的重要性, 在2008年奥运和2009年国庆期间, 保监会都组织了保险业的信息系统安全大检查。保险业信息安全检查工作以各公司自查为主, 主要围绕“内控与组织管理”和“信息技术管理”两个重点开展。保监会统计信息部负责全行业信息系统安全检查工作的组织领导, 并组织检查组对部分公司进行现场检查;各公司负责各自信息系统的安全检查工作的组织实施。

在保险公司进行自查的基础上, 保监会组织网络与信息安全检查组, 对部分保险公司和部分地区的分公司进行现场检查, 在检查中采用抽查方式对核心业务系统进行安全评测, 根据检查情况和评测结果对被检查单位提出整改意见。

随着电信新技术、新业务的不断涌现, 尤其是互联网的蓬勃发展以及电信运营企业向综和信息服务提供商的战略转型, 传统电信网络与现代通信网络的“网络与信息安全”概念有了很大的不同, 做好网络与信息安全工作显得更加重要与突出。在工业和信息化部的要求下, 各省通信管理局开展了信息系统安全检查工作, 提高了电信网络的抗风险能力, 推动了电信网络信息安全保障工作。

电信信息系统安全检查重点检查计算机安全规章制度的落实情况、安全人员的配备、防病毒措施等, 采取企业自查、分组交叉检查和重点抽查相结合的方式, 督促和检查各企业电信网络安全工作的落实情况, 帮助企业进一步完善电信网络安全防范和应急体系。企业以自查工作为契机和动力, 发现自身存在的问题和不足, 制定整改计划和措施着手解决。通过分组交叉检查对电信企业进行了横向比较分析和总结, 促进了相互学习、取长补短, 提高了网络与信息安全的保障能力和水平。

随着税收信息化的快速推进, 各级税务机关对信息安全越来越重视, 信息安全方面的投入也越来越大。税务系统信息安全检查以非涉密的网络系统和物理环境为检查对象, 检查内容包括安全管理检查和安全技术检查两大部分。检查技术和实施方案按照安全评估和等级保护要求, 结合税务行业标准制定的完善, 确保检查的系统性、完整性、针对性和时效性, 提高了税务信息的安全保障能力。在检查实施过程中, 主要使用了人工检查评估和工具检查评估两种方法。所涉及的过程包括安全管理策略问卷调查、网络安全设备评估、主机系统工具扫描、主机系统人工评估、安全威胁调查、渗透性测试、现场勘察等。

税务系统进行信息安全检查, 按照综合评估、点面结合、以点带面、注重实效的工作思路, 在全面系统检查的同时, 对基础性的安全管理、关键技术平台设备、技术实施、运维监控和风险防范进行重点抽查, 既有全面性的问卷调查, 又有重点性的现场上机检查, 紧密围绕建立网络与信息安全基本保障体系建设, 持续性地进行安全加固和风险防范。

综合上述分析, 我国的信息安全起步较晚, 在信息系统安全检查方面开展工作的时间也不长, 在信息安全检查方面还存在着一些不足。

没有统一完善的标准和规范。我国各行业在进行信息安全检查工作时没有统一完善的行业标准和规范, 在开展信息安全检查工作时存在各级企业或机关自定标准自行检查的情况, 这不利于对各级信息系统进行安全性的横向比较, 也不利于检查工作的持续开展。各行业应制定一套明确、全面的检查标准和规范, 建立一套清晰的信息安全检查工作体系, 增强自身的检查评估能力, 推动信息安全建设的持续发展和深化落实。

缺乏良好的指标体系和监管机制。我国各行业信息安全检查虽然取得了一定的效果, 但各行业都没有建立一个良好的信息系统安全检查指标体系和监管机制。各企业和机关在进行自检时随意性较强, 没有规范的执行流程, 没有一套完善的指标体系;上级指导机构对其没有缺乏统一的监督和管理, 没有建立公开、明确的奖惩机制。

对内部威胁的重视不够。各行业的信息安全建设和检查大多还限制在堵漏洞、做高墙、防外攻这些老路上。实际上, 企业和机关内部数据安全的危害性正在日益上升, 如未经授权的雇员对文件或数据的访问、带有涉密数据的可移动设备遗失或失窃等, 恶意员工故意破坏信息系统甚至泄漏机密等, 但这些还没有引起足够的重视。

对信息安全的认识存在误区。目前各行业还普遍存在以是否发生安全事故作为信息安全工作好坏的衡量标准的现象。一些信息系统的建设时间较短, 没有发生足以引起信息安全管理机构重视的安全事件, 因此就盲目地认为当前信息安全防范工作已经足够, 这样的认识存在着误区, 并对信息安全带来极大的安全隐患。信息安全的处理应该遵循风险管理的原则和方法, 安全事件的防范应该以安全风险防范的方式来处理。

4. 启示

目前, 我国政府对信息系统虽然在信息安全检查方面开展了一些相应的工作, 取得了一定的效果。但与其他行业信息安全检查情况类似, 存在着上述问题。与国外信息安全工作开展较早的国家相比, 我国目前还没有成熟有效的信息系统安全检查方法和相应的管理机制、管理制度和规范等, 在这方面还需要开展很多工作。通过对美、俄、英、德等国信息系统安全检查现状的分析, 在我国政府信息系统安全检查体系建设中可得到以下启示。

加强信息安全基础工作。政府信息系统的信息安全检查评估工作需要依赖已开展的信息安全基础工作, 如信息系统安全性建设、信息安全技术的实施、政府人员的安全教育与培训等。

建立信息安全法规和标准体系。国外的信息安全检查评估大多是针对信息安全标准、法规等进行符合性检查, 这需要建立一套全面完善的法规、标准体系。我国目前在这方面还有很大的不足。

技术与管理并重。国外的信息安全检查很多集中在管理方面, 对技术方面涉及较少。我国在建立信息安全检查指标体系时应该管理与技术并重, 进行全方位的信息安全检查, 来充分保障我国政府信息系统的安全。

自查与监督检查的相结合。政府各部门内部的经常性、规律性的自查可以增强政府人员的信息安全意识, 提高部门信息安全人员的管理和技术水平。监督检查可以在自查的基础上进行针对性的检查和监督, 节约检查时间和成本。

建立信息安全检查评估的管理机制。建立国家层面上的、权威统一的信息安全检查评估管理机制, 对相关工作进行统一的协调和管理, 避免在信息安全检查评估过程中造成检查人员责任不清、授权重叠、授权不足、检查标准降低等情况, 加强对信息安全检查工作的监督管理, 使信息安全检查工作规范、有序地进行, 保证检查工作的高质、高效。

参考文献

[1]Office of Management and Budget.http://www.whitehouse.gov/omb/.

[2]Committee on Oversight and Government Reform.http://oversight.house.gov/.

[3]樊国桢等.美国联邦政府资讯安全管理系统稽核作业与相关标准初探.

[4]刘洋海.浅谈电力企业信息安全性检查.南方电网技术研究.2006, 2 (3) :65-67.

电力信息系统的信息安全技术 篇9

1.1电力系统信息网络基本构架由于电力企业生产的特殊性, 电力通信的建设是伴随着电力企业建设同步进行的。由于现代大电网运行管理的信息交换量越来越大, 各种应用和服务对信息质量提出了越来越高的要求, 其中包括实时性、可靠性、安全性、数据完整性、通信容量和标准化等方面。为了解决这些问题, 国电公司又建立了信息网络, 作为电力系统的专用广域网。国家电力信息网 (SPI net) 即中国电力系统数据网络 (CED net) 采用分组交换技术和数字网络复接技术, 形成了独立的数据通信网络, 实现了电网调度自动化系统全国联网。它可以分为4级结构:国电公司到各区电力公司 (西北、华北、华东、华中) 是一级网络, 从大区电力公司到省电力公司是二级网络, 省电力公司到地区供电局是三级网络, 地区供电局以下就属于四级网络。

1.2省网级电力信息网络省网级电力信息网络处于我国国家电力信息网 (SPI net) 的第二和第三级, 起着承上启下的作用。它既要完成区域电网和国家电网之间的信息沟通, 同时也要承担区域电网内部之间各种生产信息和管理信息的管理和传输, 保障电网的安全有效的运行。目前通道采用微波和光纤混合使用, 速率从64Kbps到2M bps, 有的省份则达到155M bps高速传输。未来将大力发展光纤通信, 从微波为主逐步过渡到以光纤为主, 建成全国电力通信光纤传输一级网络:80%的网公司建成电力通信光纤传输二级网络, 50%的省公司建成电力通信光纤传输三级网络。区域电力信息网络基本框架如图1所示。

IP网络的传输方案在实际应用中采用IP over SDH, IP over SDH将IP网技术介入到SDH传送平台川, 可以与各种不同的技术标准相兼容, 实现网络互联及多媒体业务互通, 具有较高的传输效率, 相对便宜的价格。IP over SDH是城市与城市, 干线数据传输中最有效的技术。

1.3地市级电力信息网络地市级电力信息网是指包括县、区在内的所有供电单位的计算机局域网及连接这些局域网的计算机广域网。地市级网络逻辑图如图2所示。

建设地市级电力信息网, 可以有效的提高电力企业效率, 实现办公自动化、决策智能化, 在保障地方安全可靠供电的同时为省电网公司、国家电网公司提供可靠的基础信息, 保障整个电网快速、健康、稳定的发展。中国电力信息网作为电力行业内的Intranet, 其广域网体系结构主要采用TPC/IP, 为了与中国电力信息网顺利连接, 同时为了将来与Internet, 地市级电力信息网须将TPC/IP作为主要协议体系。根据地市电力企业网络建设的具体情况, 应采用主干网和局域子网两个层次, 地调和地市电力企业机关直接接人主干网中, 而下属分支单位和县级电力企业可自组局域网并作为局域子网接人到主干网中。

2 电力系统信息安全关键技术的分析

电力信息安全是电网安全运行和可靠供电的保障, 但是现实是电力系统信息没有建立安全体系, 有的只是购买了防病毒软件和防火墙。网络中有许多的安全隐患。

2.1现状及局限性 (1) 缺乏统一的信息安全管理规范:电力系统急需一套统一、完善的能够用于指导整个电力系统信息网络系统安全运行的管理规范; (2) 电力职工的网络安全意识有待提高:随着信息技术高速发展, 信息安全策略和技术取得了非常大的进步, 但是我们目前的认识与实际差距较大, 对新出现的信息安全问题认识不足; (3) 需要建立一套适合电力企业其自身特点的信息安全体系:电力信息网络应用可分为4类:管理信息类、生产控制类、话音视频类、经营类。生产控制类应用与其他应用的物理隔离, 以确保实时的生产控制类应用的安全。同时外网与内网间也应该物理隔离。

2.2密码保护措施当网络交易的动作开始后, 接下来要担心的就是如何防止网络交易的资料被篡改、窃取、迟滞、冒名传送、否认己传送或是非法侵人等威胁, 所以网际网络上的信息安全是非常重要的。在金融界、企业界大家在信息安全技术内广泛运用了DES以及RSA等加密技术作为信息安全的保障。

2.3电力系统信息安全关键技术的分析电力信息安全是电网安全运行和可靠供电的保障, 是一项涉及电网调度自动化、厂站自动化、配电网自动化、电力负荷控制、继电保护及安全装置、电力营销、电力市场等有关生产、经营和管理方面的多领域、复杂的大型系统工程, 但是现实是电力系统信息没有建立安全体系, 有的只是购买了防病毒软件和防火墙。有的网络连防火墙也没有, 没有对网络安全做统一长远的规划。

3 电力系统信息安全关键技术的应用展望

对电力企业信息网络这样一个年轻的又特殊的网络来说, 在网络安全问题上有其特殊性, 同时它所面临的安全威胁是比较严重的。我们可以采取有效的应对手段, 包括先进的企业版防火墙、先进的密码编码方式和算法等都可以有效防御, 只要应对得当, 足以有效保护电力系统信息网络安全, 保障电力生产经营活动的安全。未来将采用更加先进的网络安全体系架构、密码算法、防火墙、IDS和病毒防治软件等来保卫电力系统的信息安全, 但是堡垒往往是从内部攻破的。因此需要一套良好的安全制度和安全思想, 才是确保系统安全的根本。

3.1改进网络安全技术 (1) 科学安全的设置和保管密码。密码安全可以说是网络安全中最为重要的。一旦密码被泄漏, 非法用户可以很轻易的进人你的系统。由于穷举软件的流行, Root的密码要求最少要10位, 一般用户的密码要求最少要8位, 并且应该有英文字母大小写以及数字和其他符号进行不规则的设置。同时不要选取如生日、名字等熟悉的信息作为密码; (2) 加强人员的安全意识和管理。思想意识松懈造成的系统隐患要远大于系统自身的漏洞。将不知是否有病毒的软盘随意的插人计算机中、不当的设置密码、将密码写下来或存人计算机的文件中、长期不改密码、随意的从网上下载不明文件或内部合法用户本身的非法活动等都给企业信息网络带来最大的威胁; (3) 实时的监控网络端口和节点的信息流向, 定期对企业信息网络进行安全检查、日志审计和病毒扫描, 对相关重要数据进行备份以及在全网络范围内建立一套科学的安全管理体系同样对企业信息网络的安全运行有着很重要的意义。

3.2完善电力系统建设 (1) 电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联, 或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时, 必须采用经国家有关部门认证的专用、可靠的安全隔离设施; (2) 建立和完善电力调度数据网络, 应在专用通道上利用专用网络设备组网, 采用专线、同步数字序列、准同步数字序列等方式, 实现物理层面上与公用信息网络的安全隔离。电力调度数据网络只允许传输与电力调度生产直接相关的数据业务。 (3) 电力监控系统和电力调度数据网络均不得和互联网相连, 并严格限制电子邮件的使用。

参考文献

[1]殷小贡, 刘涤尘.电力系统通信工程[M].武汉:武汉大学出版社, 2004.

[2]杨明.密码编码学与网络安全[M].北京:电子工业出版社, 2002.

信息时代的网络信息安全问题 篇10

(一)网络面临的安全威胁。

随着互联网的普及,计算机和网络正被广泛应用于社会的各个领域,基于先进的计算机、电子、网络等技术建立起来的信息系统正在改变着人们的生活、工作方式。如今,信息已经逐步上升为推动经济和社会发展的关键因素。信息跨越了时空的界限,给人们的生活、工作都带来了无限好处。在我们享受信息系统带来的方便的同时,必须正视资源共享带来的安全和威胁。据美国FBI统计,每年因信息和网络安全问题所造成的损失高达75亿美元,而且还有上升的趋势。在我国的信息技术和网络信息安全技术与国外相比还存在着较大的差距,大量的硬件,软件基础设施都是依靠从国外引进。据统计,目前我国的计算机使用的操作系统几乎全是美国微软公司的Windows系统,并且Windows程序能够自动搜集有关用户的信息,即使用户已经指明不要这样做,注册程序还是会在用户不知情的情况下将这些信息发送给微软,这些无疑给我国的用户安全造成巨大威胁。

(二)网络安全的大敌——黑客。

“黑客”一词来源于英语hack意为“恶作剧”,今天被人们引用到计算机领域,意指那些未经许可擅自闯入别人计算机系统的人。

1、黑客攻击的方式。

(1)外部攻击,是指外部黑客通过各种手段,从该子网以外的地方向该子网或者该子网内的系统发动攻击。外部攻击的时间一般发生在目标系统当地时间的晚上或者凌晨时分,外部攻击发起者一般不会用自己的机器直接发动攻击,而是通过跳板的方式,对目标进行迂回攻击,以迷惑系统管理员,防止暴露真实身份;(2)内部攻击,是指本单位的内部人员,通过所在的局域同,向本单位的其他系统发动攻击,在本机上进行非法越权访问也是本地攻击。本地攻击不排除使用跳板的可能;(3)伪外部攻击,是指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的假象,从而使追查者以为攻击者是来自外单位。

2、黑客攻击的主要类型。

主要有:(1)窃听,主要通过检测从连线上发射出来的电磁辐射来收集所需要的信号;(2)口令陷阱,是指设计一个代码模块(运行后和登录屏幕一样)。使用户看到的是两个登录屏幕,第一次登录显示失败后,用户被要求输入用户名和口令。而实际上第一次登录并未失败,代码设计者只是将登录的数据写入一个数据文件以便今后使用,从而非法进入该系统;(3)拒绝服务,是指临时降低系统性能,系统崩溃而需要人工重新启动,或因数据永久性的丢失而导致较大范围的系统崩渍;(4)非法访问,是指了解到某个机构的账户,该机构的网络又缺少安全防范措施,侵入者可通过远程拨号访问该机构的网络,从而破坏该机构的网络系统;(5)篡改信息,是指数据传输的内容被改变而用户未发觉,并导致一种未授权后果;(6)特洛伊木马,是指把黑客设计的程序伪装成系统上已存在的某一程序,而该系统用户并不知情,当运行该程序时,黑客程序同时被启动运行,从而达到毁坏数据,破坏系统的目的。

二、网络信息安全性的目标及要求

(一)网络信息安全性目标。

1、保密性,是指不向未授权用户泄露信息和资源;2、完整性,是指保证信息和资源不被非授权的用户修改或利用;3、可用性,是指保证信息和资源不拒绝授权用户的访问。

(二)网络信息安全性要求。

1、安全策略,是指有一种由系统实施的、明确的、定义好的安全策略;2、安全级别,是指为表示信息的不同敏感程度,按保密程度的不同对信息进行层次划分;3、安全标识,是指用于安全可靠地识别每个主体。主体(通常为用户)必须在得到身份验证之后才能访问客体;4、安全标记,是指每个客体(通常为文件)必须有一个安全标记,这个标记显示客体的安全级别并记录哪些主体可以对特定的客体进行访问;5、安全机制,是指计算机系统必须有一系列实施网络安全的机制,并且能够评价这些安全机制的有效性;6、安全管理,是指主要是指安全服务管理和安全机制的管理。

三、网络信息安全防范措施

(一)网络层的安全管理。

用户应该制定网络安全规范,明确各级部门对网络使用的范围与权限,保证经授权许可的信息才能在客户机和服务器之间通信。

1、访问控制。

访问控制是在向鉴别机制提供的信息基础上,判断某一主体对特定网络资源是否能访问。

2、密码保护。

设置密码是最常用的网络安全手段,而密码的获取是黑客们最喜欢做的事情。获取密码的方法有:字符穷举法、字典穷举法、密码文件破译法、特洛伊木马法等。

3、地址转换。

使用地址转换技术,让IP数据包的源地址和目的地址以及CP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址。

4、安装防火墙。

防火端技术是近年来维护网络安全的较重要的手段,他是一个位于内联网与因特同之间的计算机或网络设备中的一个功能模块,是按照一定的安全策略建立起来的硬件和软件的有机组成体,通过网络拓扑结构和服务类型上的隔离来加强网络安全的保护。

5、安装入侵检测系统。

传统的防火墙技术对于来自网络内部的攻击无能为力(而据调查50/100的攻击来自于内部),对于病毒的入侵也束手无策,在此基础上,出现入侵检测系统(简称IDS),它弥补了防火墙的不足。IDS从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象,为制定网络的安全策略提供依据。

(二)系统的安全管理。

是指操作系统和应用系统的安全管理问题。1、使用安全性较高的网络操作系统。“Linux已被证明是高性能、稳定可靠的操作系统,有着空前强大的网络功能。除进行必要的安全配置外,还应配备安全扫描系统,对操作系统进行安全扫描,并有针对性地对网络设备重新配置或升级;2、安装所有的操作系统和服务器的补丁程序,随时与销售商保持联系,以取得最新的补丁程序;3、更新操作系统和与网络相关的软件,在计算机桌面上,删除未与局域网相连的用户,检查与局域网相连的用户的网络适配器、网卡、协议,除上网使用的适配器外,其他的协议都要删除;4、开发我国自己的操作系统及软件产品。要做到网络信息安全,更重要的一点是要摆脱国外产品的限制,努力开发自己的操作系统及应用软件。

(三)注重用户的安全管理。

1、提高安全意识。不随便运行不太了解的人给你的程序;不随意透露个人信息;不随意运行黑客程序。2、实施单一的登录机制。实行一人一个账号一个口令的管理模式。可采用ATM和PIN密钥管理、数据加密、数字签名等安全机制,最大限度地保证用户和口令等信息的安全。

参考文献

[1]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011.1.

[2]袁宏昊.浅谈计算机网络安全技术的应用[J].科技咨讯,2009.14.

网络信息安全风险分析 篇11

关键词：网络信息安全；概念；风险分析

当今网络信息技术飞速发展，人们的日常生活已经离不开网络。网络极大地改变了当今社会、经济、文化的结构，极大改变了人们的思维方式，数字化生存的方式、空间、时间不断开拓。不过随着计算机技术的普及，也有人会利用计算机中存在的漏洞进行网络攻击，盗取用户的个人资料，比如银行账户信息、个人邮件数据等。因此，如何保证网络信息安全已成为一个非常重要的问题。

一、网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统能够连续可靠正常地运行，网络服务不中断。从广义来说，凡是涉及网络上信息的保密性、完整性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

二、信息安全

信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露，防范青少年对不良信息的浏览，防范个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。

三、网络信息安全的风险分析

1.信息资产确定

信息资产大致分为物理资产、知识资产、时间资产和名誉资产

（1）物理资产：是具有物理形态的资产，例如服务器、网络连接设备、工作站等。

（2）知识资产：是可以为任意信息的形式存在。例如一些系统软件、数据库或者组织内部的电子邮件。

（3）名誉资产：是公众对于一个企业的看法与意见，也可以直接影响其业绩。

2.信息安全评估

对资产进行标示后，下一步就是对这些资产面临的威胁进行标示，首先有以下关键词便于理解这些风险。

（1）安全漏洞：是存在于系统之中，可以用于越过系统的安全防护。

（2）安全威胁：是一系列可能被利用的漏洞。

（3）安全风险：当漏洞与安全威胁同时存在时就会存在风险。

3.风险管理

在确定了资产与资产面临的风险之后，应该对这些资产进行风险管理。具体来说，风险管理可以分为4个部分：风险规避、风险最小化、风险承担、风险转移。

（1）风险规避。此方法为最简单的风险管理方法，当资产收益远大于操作该方法所损失的收益时可使用。例如，以各系统可能把员工与外界进行邮件交换视为一个不可接受的安全威胁，因为他们认为这样可能会把系统内的秘密发布到外部环境中，所以系统就直接禁用邮件服务。

（2）风险最小化：对于系统来说，风险影响最小化是最为常见的风险管理方法，该方法的具体做法是管理员进行一些防御措施来降低资产面临的风险。例如，对于黑客攻击Web服务器的威胁的，管理员可以在黑客与服务器主机之间建立防火墙来降低攻击发生的概率。

（3）风险承担：管理者可能选择承担一些特定的风险，并将其造成的损失当作运营成本，这一方法称为风险承担。这种情况往往出现在危险发生的概率是极其低的（例如交通设备撞上数据中心）或者是不可避免的（例如硬盘工作中的磨损）情况下，当管理员选择了这一风险进行承担时，就会将其视为无风险。

（4）风险转移：作为风险转移，最为常见的例子就是保险，当一个人对自己身体健康状态担忧时，为了对抗生病的风险，可以为自己投入保险，保险公司同意将助其进行治疗，同样的道理可以用在系统维护上面。

在现实世界中，以上4种方法都不是独立使用的，一般来说，企业或者组织都可以对4种方法进行综合使用。

在互联网高速发展的今天，发生在我们身边的许多的信息泄密事件说明当前保密技术发展的不平衡，说明我们对信息安全还不够重视，所以我们必须对网络信息安全这个问题加以重视，要加大国产化安全产品的开发力度，加强培训提高用户的安全防范意识，加大对信息安全产业的投入力度，加快高等信息安全人才培养。

参考文献：

白伟涛.高校信息安全风险评估[J].中国科技信息，2009（19）.

医院信息网络系统的安全措施 篇12

1、硬件系统的物理安全措施

硬件系统是整个HIS系统正常运行的物理基础, 它的安全是指HIS系统中各计算机通信设备及相关设施的物理保护, 使其免于人为或自然的破坏, 硬件安全隐患主要有机房的供电、网络及设备等三方面故障。采取的措施是安装了防雷系统, 所有插座的地线严格接地, 工程得到了防雷装置检测中心认证。更换了主机房的不间断电源 (U P S) , 保证断电后8H的供电量;为每台交换机配备一个小的P C用UPS;为电压不稳的高发区的工作站点配备了稳压源。对工作站点集中了一、二层挂号收费处, 用交换机替代了集线器 (H U B) , 用光纤替代了双绞线。每一个服务器机柜后面单独一组UPS, 电池组和代伸展柜。由于全院的供电系统采用集中供电。而且地面上有很多的插座, 一旦有一路插座短路, 就有可能一直冲到配电的总闸, 为此做了三级的开头保护。

目前医院将通过互联网实现医院间的互联, 使医院网络逐渐向开放式转变, 增加了感染病毒的可能性, 我院采取的防护措施有: (1) 医院网络布线采用内外方式, 就是把医院的信息系统做成内网, 让非医院的信息系统做成外网, 所以我想我们可能应该保证医院信息系统的主服务器的高可靠性。 (2) 安装了网络版杀毒软件, 以网络进行适时监控, 并有专人每天对网络有无病毒的情况观察登记。由于我院安装了医学期刊库需要与互联网与内网接口, 为了防止外来病毒的入侵, 医院又购置了防火墙对所有进出数据进行过滤。 (3) 我院的客户端一律不安装光驱, 软驱, 并且将部分没有USB接口打印机的主机的USB口封掉, 更不准擅自安装光驱, 软驱及使用U盘和移动硬盘。由此导致网络感染病毒或损坏, 根据绩效考核予以情节进行处理, 并且对客户端用户的密码强调专人专用。

2、软件系统的安全措施

H I S系统软件安全问题涉及操作系统, 网络协议, 数据库, 应用程序以及病毒感染等许多方面。

2.1 操作系统, 数据库系统的安全

应尽量选择正版的安全漏洞较少的操作系统和数据库系统, 并时常更新漏洞补丁, 对操作系统和数据库系统进行合理的安全策略配置, 管理好超级用户并定期更换其密码是非常重要的。对操作系统, 数据库的关键操作应开启审计, 并记录用户的误操作或恶意行为, 以便事后跟踪及管理。同时也要加强对数据的冗余备份和恢复工作。

2.2 应用程序的安全

HIS系统的特点是涉及部门多, 系统复杂, 医院信息系统的外包依赖程度比其他行业系统明显偏高, 使得医院的核心业务程度或数据大量暴露在外部不可控的专业人员面前, 一旦这些外部人员有恶意动机 (如移植木马、设置逻辑炸弹等) 将对医院造成巨大的安全损失, 因此, 医院在建设HIS系统时一定要选择技术力量雄厚, 信誉良好的公司的产品, 以保证数据安全和享有良好的后期服务。

2.3 病毒防治

当今, 计算机病毒呈现出种类繁多, 变异速度快, 传播网络化, 隐蔽性强, 危害多样化, 危害后果日趋严重等特点, 一些恶性病毒除了攻击计算机网络系统中的核心设备和资源, 降低网络运行速率, 造成网络拥堵甚至瘫痪外, 甚至盗窃被攻击系统中的用户帐号、密码、机密资料、用户档案等信息。为保证HIS系统安全, 采取软件和硬件相结合的病毒防治方案, 经常升级安全补丁和病毒库。

3、网络用户的安全管理

由于医院网络用户涉及操作人员、医护人员、管理人员等诸多使用者, 覆盖面大, 给系统带来了不少的安全隐患。因此, 对于网络用户的安全管理也成为网络安全管理中必不可少的一部分。对每一个用户都进行岗前培训, 在熟练操作规程的同时, 加强网络管理教育, 增强安全意识。

为了限定一般用户权限, 可以利用操作系统为其定义唯一的帐号, 在不影响用户操作程序和调用数据的情况下, 限定用户访问权限, 不管用户通过什么程序, 即使是数据库工具, 也不能访问到未经授权的数据, 而用于远程传输注册的用户, 可以限定登录时数、定期修改登录密码, 做登录及注销审核, 以防止用户非法侵入网络, 保证网络安全运行。

4、服务器及工作站管理

4.1 服务器管理

网络服务器是整个网络的核心, 对其进行管理的方法:建立服务器档案, 有关服务器的随机资料, 操作系统, 数据库, 应用程序安装盘, 补丁盘要严格入档, 在档案中要详细记录服务器的硬件类型, 启用时间, 网络配置 (机器名、域名、I P地址等) 数据库的定义 (库名、设备名及大小) 备份设备、添加的服务、定义的任务及其他相关参数。 (2) 建立服务器日志。要每日做服务器设备安全检查记录;服务器启停记录;错误日志检查记录;数据库的使用、扩展、修改、备份情况记录;服务器性能监视记录等。

4.2 工作站管理

对工作站的管理方法: (1) 建立工作站档案, 记录工作站台号、网络配置、操作系统、应用软件的安装情况; (2) 对于每一台工作站应建立工作日志, 记录每日操作人员姓名, 所使用的模块 (如记帐、出院结算等) , 机器的使用情况, 是否出现异常, 是否做单机/网络切换;网管人员须及时记录维护情况 (包括硬件维修、软件补丁等) ; (3) 制定工作站机房管理制度, 机房管理员职责。

摘要：结合医院信息系统的实际, 从硬件系统的物理安全、软件系统的安全和网络用户的安全管理等方面, 阐述了信息系统安全的必要性和医院信息系统安全维护的措施。

关键词：医院信息系统,互联网,计算机病毒,网络安全,措施

参考文献

[1]夏舜.医院管理信息系统的安全及防范措施[J].医院管理论坛.2003 (2) 60-62

[2]沈惠德, 陆培明, 范启勇.上海市医院计算机信息网络系统安全策略的制定实施与效果[J].中国医院管理.2005, 25 (2) , 20

[3]刘晓辉.医院信息系统中灾各系统的设计与实现[J].医疗设备信息.2007 (1) 22-24

[4]尚邦治, 等.医院局域网安全设计[J].医疗设备信息.2006 (11) :17-20