财政网络信息安全分析论文

财政网络信息安全分析论文（共9篇）

财政网络信息安全分析论文 篇1

财政信息化迅速发展是我国信息化发展的缩影,也加速了地方财政信息化建设的进程,这就更显得计算机网络安全问题的重要性,同时计算机网络具有开放性、共享性、复杂性,加上网络信息系统本身具有极其脆弱的性质,人为因素、网络通信协议缺陷、系统漏洞等都会给地方财政计算机网路信息带来安全威胁。所以,加强计算机网络信息安全防范对地方财政信息化工作具有重要的意义。

1 地方财政计算机网络信息存在的安全问题

地方财政计算机网络信息安全的影响因素有很多,包括网络漏洞、操作失误等等,归纳来说主要是人为因素以及非人为因素。

1.1 地方财政计算机网络信息安全的人为威胁

根据对地方财政计算机网络调查分析可以看出,可以将地方财政计算机网络信息安全人为威胁主要包括以下几个方面:第一,财政内部人员造成的安全威胁。地方财政内部人员对于财政计算机网络信息系统都具有合法的访问权,而内部安全人员造成的安全威胁也包括非恶意性质的以及恶意性质的威胁。其中非恶意安全威胁主要指的是内部人员无意中给网络系统造成安全威胁,包括工作人员经验不足、操作失误、对员工的培训不足等等;恶意性质主要是一些内部人员带有目的的对计算机网络系统进行攻击,或恶意的更改地方财政计算机网络系统中的数据等;第二、随着国家对财政科学化精细化管理的要求,地方财政建设了一体化的“大平台”系统,庞大的信息系统通过政府购买外包服务的方式,有大量的外包人员驻场维护,他们了解财政的软、硬件,他的失误及恶意操作将会对网络系统造成灾难,并带来资金安全。第三,主动攻击。主动攻击主要指的是攻击者主动的对地方财政计算机网络信息系统进行攻击,包括引入恶意的代码、恶意避开安全保护、破坏系统的完整性。第四,临近攻击。所谓的临近攻击,主要指的是攻击者采用各种各样的手段,试图接近想要被攻击的网络系统,然后对系统进行破坏。同时临近攻击就是靠近地方财政计算机网络系统最容易受到攻击的地方,更加有利于破坏实施者的行为。目前,临近攻击主要包括窃取屏幕信息、收集系统生成的打印纸等等;第五,分发攻击。所谓的分发攻击,一般发生在硬件与软件开发、生产以及运行安装阶段中,攻击者利用各种手段对软硬件设计参数以及配置等行为进行恶意修改。地方财政是地方政务中关键的工作,其计算机网络系统选用的软件与硬件都必须具有合法性,严格通过政府采购从正规的硬件厂商进货,同时具有相关资质的集成商提供必要的外包服务。如若不然,在地方财政信息系统硬件与软件设备的采购过程中,包括在信息系统建设阶段,都会受到安全威胁。包括一些软件厂商对软件的参数进行修改、植入病毒等等。

1.2 地方财政计算机网络信息安全的非人为威胁

非人为的安全威胁大致分为两大类。一方面是来自于自然灾害,存在很大的不可预见性和不可抵抗性;另一方面主要是信息技术局限性的直接造成的威胁,此类还包括了电磁干扰、电磁辐射、运行环境等造成的威胁。自然灾害(火灾、地震、水灾等)对地方财政信息系统的破坏是毁灭性的。同时,不管是哪种技术都存在局限性,计算机网络技术也并不是完美的,也会存在缺陷与漏洞,及时技术当时与系统十分吻合,但是由于地方财政工作改革与发展、信息技术发展等,都会使原本的信息系统受到安全威胁,主要安全威胁体现在新技术对旧技术带来的漏洞攻击等。

2 加强地方财政计算机网络信息安全防范的对策

针对现阶段地方财政计算机网络信息安全现状,想要保证计算机网络信息技术在地方财政工作中的优势,必须加强地方财政计算机网络信息安全管理,做好安全防范工作,提高信息安全性,为地方财政工作打下坚实的基础。具体来说,做好地方财政计算机网络信息安全防范工作,需要从以下几个方面入手:

2.1 采用有效的技术措施

大部分地方财政计算机网络信息系统安全体系建设都是采用ISSE体系设计的,同时利用一定的安全防范策略开展动态的安全保护。这种财政系统的安全模式下,在访问其内部的网络信息,通过下一代防火墙,根据防护系统预设的规则,发出访问请求,只有与访问规则相吻合才能进行访问,否则访问请求就会被阻挡。对于符合防火墙设置规则的信息就会进入到内部网中,然后就会由入侵检测系统对这些信息进行侦测,这些检测软件运行并不会占用网络宽带,通过和防火墙的联动将具有攻击行为的信息阻塞,然后利用防火墙中的新规则,对后续攻击起到阻断。利用防毒墙对全网存在的病毒进行查杀,通过漏扫软件定期对整个网络系统进行扫描,并对发现的漏洞进行修补。财政信息部门的网关人员需要根据安全产品日志,对防火墙的规则进行及时的维护与调整,确保其能够对财政计算机网络信息系统起到良好的动态性安全防护。建立独立、客观的第三方运维审计监管系统,有效侦测、记录和警示任何针对业务数据和软件程序、硬件配置的修改。

另外,计算机网络信息安全技术如何设计方面并不是一个一劳永逸的做法,也不可能存在一劳永逸的做法,任何技术也都具有一定的生命周期,这就必须采用动态的安全防护技术,构建动态的计算机网络信息安全管理体系,对地方财政信息安全提供安全保障。

2.2 做好管理措施

做好地方财政计算机网络信息安全防范工作,单靠先进的科学技术是不行的,先进的科学技术弥补不了人为威胁对信息系统带来的危害。技术属于信息安全防范体系中的一分子,是信息安全防范的一种技术,也是一种辅助性的手段。如果没有对信息系统的使用人员进行专业的培训,也没有进行相应的指导,信息安全防护技术就是一纸空谈。信息系统的使用者,是最直接接触到网络系统的人员,也是网络系统安全中最不稳定的因素所在。根据不完全统计的结果显示,每年地方财政计算机网络信息安全事故,绝大多数事故原因都是由于使用人员操作失误或由于对系统不够了解造成的,而黑客等外部因素造成的安全事故仅仅占10%左右。因此,可以说明内部人为威胁是地方财政信息系统安全的主要威胁因素。

这就需要加强信息安全管理工作,将人为因素控制作为安全管理工作的核心,坚持以人为本的管理理念,为地方财政计算机网络信息系统提供最安全的防线。同时,加强安全管理,制定完善的安全管理措施,还能保证安全技术以及安全设备发挥其应有的作用,弥补程序性的安全措施存在的不足,降低地方财政信息泄露的几率,确保地方财政信息安全。同时,在信息安全系统安全防护工作中,地方财政部门需要建立与完善相关的安全规章制度,加强对内部人员的技术培训,让每一位内部人员都能够对信息系统有足够的认识,同时加强思想政治教育,提高每一位员工的责任心,使其能在操作中严格按照相关的安全操作规范进行,降低人为事故发生的几率。此外,必须加强信息安全管理,将地方财政信息分为涉密信息和非涉密信息,严格按照国家规定对涉密信息进行安全管理。同时对于相关的数据信息采用专业的加密技术,在整个数据传输与使用的过程中,都采用与机密程度相适应的安全防范措施,避免信息泄露,对地方财政工作造成影响。

配合第三方运维审计系统,建立信息系统运行维护操作制度,制定标准的系统安全运行流程。配备专职系统安全管理员,定期对业务办理、电子凭证管理、日志记录等进行检查,确保对相关系统操作人员、管理人员、开发商等有合理的授权控制,强化运维管理、规范运维人员操作流程、防控事故隐患,实现财政信息系统规范、高效、安全地运行。

2.3 完善计算机网络信息系统物理安全措施

物理安全管理主要包括对地方财务计算机网络系统计算环境设备、网络设施、支持性设备等安全的管理,属于系统安全管理中重要的组成部分。通过物理安全措施,能够有效地避免没有被授权的人员登录访问地方财政信息系统,避免恶意攻击者非法接近地方财政信息系统的相关设施,排除采用物理手段对地方财政信息造成的威胁,有效地避免地方财政信息数据设备,包括硬盘、优盘或一些应用软件被窃取,防治攻击者直接获得相关数据。

采用物理安全管理,需要采取以下几点措施:第一,合理的划分信息安全区。对于员工工作区域进行合理划分,划分为系统保护区域、系统测试区域、办公区域,同时对于每一个区域都限定出入的制度,对于信息机房应该采用门禁系统,只有出示相关的身份证明,才能出入计算机机房,同时还需要登记出入的原因以及进入的时间等;第二,增设机房设备管理人员,专门对机房中各种设备的安全负责,加强日常巡检。列出机房设备清单,并对每一台设备进行标注,并记录设备的配置与接线情况,及时地对设备运行状态进行检查;第三,增设涉密信息数据载体安全管理员岗位,对于光盘、优盘、电脑硬盘等数据载体进行专门的管理,负责对这些载体的清理、销毁以及保存。同时制定完善的保密制度以及责任制度,实行一对一的物理保护,切实提高地方财政信息安全。

3 总结

通过上述分析可知,地方财政信息安全十分重要,特别是应用计算机网络信息系统后,为了保证信息数据的安全性,不仅需要做好安全技术措施,同时加强对财政网络系统的管理,并通过物理安全控制,切实保护地方财政信息安全,提高地方财政信息的安全性。

财政网络信息安全分析论文 篇2

信息时代的来临，让越来越多人开始注意到对于信息的安全保护。信息安全即是指保证信息的真实性、完整性和安全性。在网络环境下想要保证信息安全，关键是要把信息安全体系的重要作用发挥好。网络安全体系包含着计算机安全操作系统、各种安全协议和安全机制，对于保障信息网络环境下的各类信息安全都有着重要影响。保障信息安全，有利于各项活动的顺利开展，对于人身、社会安全都起到一定的保障作用[2]。

1.2网络安全

随着网络技术的不断发展，人们的日常生活中已经不能离开网络技术的参与，而想要更好发挥网络技术的作用，就需要保障其安全。网络安全主要是指保护网络系统的各种硬件、软件以及其中系统内部的各种数据，保证这些系统和数据不会因为一些恶意软件的侵害而遭到破坏和泄露，达到确保网络服务连续不断地进行工作、网络系统正常可靠地运行的目标。网络安全是需要不断对其进行维护工作的，主要通过采取各种技术和保障措施，保证网络系统中信息数据的完整机密[3]。

1.3网络空间安全

财政信息化网络体系分析 篇3

财政管理信息化建设是利用信息技术进行财政管理的一项改革, 它是适应信息时代公共财政体制建设需要的必然选择。随着财政体制改革的深化, 建立透明、公开的公共财政体系的要求越来越迫切, 部门预算、国库集中支付、政府采购、非税收入等重大财政改革措施, 都离不开强大的信息网络和信息系统的支撑。下面就对铁岭市财政局的信息化网络体系进行如下分析。

1 处理中心

处理中心是整个信息中心的重要部分, 担负着“大脑”的作用。包含服务器、存储、备份。

1.1 服务器

服务器作为网络的节点, 存储、处理网络上80%的数据、信息, 因此也被称为网络的灵魂。做一个形象的比喻:服务器就像是邮局的交换机, 而微机、笔记本、PDA、手机等固定或移动的网络终端, 就如散落在家庭、各种办公场所、公共场所等处的电话机。我们与外界日常的生活、工作中的电话交流、沟通, 必须经过交换机, 才能到达目标电话;同样如此, 网络终端设备如家庭、企业中的微机上网, 获取资讯, 与外界沟通、娱乐等, 也必须经过服务器, 因此也可以说是服务器在“组织”和“领导”这些设备。全局的信息数据都由机房内的18 台服务器来进行交互处理的。该局信息中心主要有两种服务器一种是机架式服务器, 另一种是刀片式服务器。详细的还可以分为应用服务器, 数据服务器还有备份服务器。在这些服务上分别运行着各种应用软件和系统。

1.2 存储

存储就如一间大仓库, 将各种数据装在里面。虽然服务器有强大的信息处理能力但是它不能存储大量的冗余数据和重要的备份。所以就需要磁盘阵列来帮助服务器存储数据。其原理是利用数组方式来做磁盘组, 配合数据分散排列的设计, 提升数据的安全性。磁盘阵列主要针对硬盘, 在容量及速度上, 无法跟上CPU及内存的发展, 提出改善方法。磁盘阵列是由很多便宜、容量较小、稳定性较高、速度较慢磁盘, 组合成一个大型的磁盘组, 利用个别磁盘提供数据所产生的加成效果来提升整个磁盘系统的效能。同时, 在储存数据时, 利用这项技术, 将数据切割成许多区段。存储设备主要有IBM DS4700 和IBM EXP810, 其中4700 是主存储810 是对4700 做扩展存储, 保存服务器应用数据和备份数据。主要做RAID 5E (RAID 5Enhencement) , RAID 5E是在RAID 5 级别基础上的改进, 与RAID5 类似, 数据的校验信息均匀分布在各硬盘上, 但是, 在每个硬盘上都保留了一部分未使用的空间, 这部分空间没有进行条带化, 最多允许两块物理硬盘出现故障。看起来, RAID 5E和RAID 5 加一块热备盘好像差不多, 其实由于RAID 5E是把数据分布在所有的硬盘上, 性能会与RAID5 加一块热备盘要好。当一块硬盘出现故障时, 有故障硬盘上的数据会被压缩到其他硬盘上未使用的空间, 逻辑盘保持RAID 5 级别。

1.3 备份

备份是容灾的基础, 是指为防止系统出现操作失误或系统故障导致数据丢失, 而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。我们主要是应用2 台服务器, 备份软件和存储设备进行整个机房内重要服务器的全备份包含数据备份和系统备份。主要模式如图1。

在备份上, 不仅仅有数据的备份, 还有服务器的硬件备份。根据我们的实际需要, 我们主要应用服务器的物理备份即双机冷备。如刀箱服务器上的资产管理服务器就是使用物理备份。当服务器A故障可以在几分钟内启用服务器B替代A进行记录如图2。这么做可以灵活备份并且降低备份成本, 而且还可以根据需要进行转换, 缺点是不能时时做冗余备份。

2 楼层交换

楼层交换具体指的就是双数楼层的弱电间内的交换机柜, 是网络的神经元, 汇集着各个楼层的数据接入, 起到各个节点和中心机房内的交换, 机房服务器处理信息的交互, 并可以在楼层交互上部署带宽限制的策略。如果某一楼层交换机柜出现故障就会导致该机柜下属的楼层终端不能接入中心机房的交换机和服务器。机柜内分别包括网络接点和电话接点。经统计内网接点全楼供剩余107个, 外网接点剩余66 个。楼层交换不对信息进行处理, 只是交换, 并且每个交换机对应在三层核心交换上相应的VLAN范围, 每个VLAN对象相应的网络接点。这样可以有效地管理网络, 并且提高安全级别, 在病毒爆发时, 可以控制在VLAN内, 不会进行全网络的传染。

3 网络

铁岭市财政局网络分为内网、外网和专网。局域网络是把分布在数公里范围内的不同物理位置的计算机设备连在一起, 在网络软件的支持下可以相互通讯和资源共享的网络系统。局域网络内的计算机可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的, 有全楼的所有具备内网资格的计算机互联而成。并且我们的内外网是隔离开的, 在同一计算机上使用内外网是用隔离卡分开的, 并采用双硬盘模式物理隔离。

计算机网络往往由许多种不同类型的网络互联连接而成。如果几个计算机网络只是在物理上连接在一起, 它们之间并不能进行通信, 那么这种“互联”并没有什么实际意义。因此通常在谈到“互联”时, 就已经暗示这些相互连接的计算机是可以进行通信的, 也就是说, 从功能和逻辑上看, 这些计算机网络已经组成了一个大型的计算机网络, 或称为互联网络, 也可简称为互联网、互连网。

将网络互相连接起来要使用一些中间设备 (或中间系统) , ISO的术语称之为中继 (relay) 系统。根据中继系统所在的层次, 可以有以下五种中继系统:

①物理层 (即常说的第一层、层L1) 中继系统, 即转发器 (repeater) 。

②数据链路层 (即第二层, 层L2) , 即网桥或桥接器 (bridge) 。

③网络层 (第三层, 层L3) 中继系统, 即路由器 (router) 。

④网桥和路由器的混合物桥路器 (brouter) 兼有网桥和路由器的功能。

⑤在网络层以上的中继系统, 即网关 (gateway) 。

3.1 内网

由于财政系统信息的保密特性, 我们绝大部分软件都是在内网和内网服务器上运行的, 保证了信息不外泄, 并且安装2 套防火墙做热备, 而保证了网络的稳定和安全。具体结构如图3。

从拓扑图中我们可以看出内网是采用目录树形网, 它和星型拓扑结构类似, 其扩展性好, 可以延伸出许多分支, 单条支路出现故障时不会影响到整个网络, 但对中央节点的可靠性要求较高, 如果中央节点出现故障则整个网络就会瘫痪。整个内网的交换中心就是三层核心交换。

第三层交换机具有以下特征:

①转发基于第三层地址的业务流;

②完全交换功能;

③可以完成特殊服务, 如报文过滤或认证;

④执行或不执行路由处理。

第三层交换机与传统路由器相比有如下优点:

a子网间传输带宽可任意分配。

传统路由器每个接口连接一个子网, 子网通过路由器进行传输的速率被接口的带宽限制。而三层交换机则不同, 它可以把多个端口定义成一个虚拟网, 把多个端口组成的虚拟网作为虚拟网接口, 该虚拟网内信息可通过组成虚拟网的端口送给三层交换机, 由于端口数可任意指定, 子网间传输带宽没有限制。

b合理配置信息资源。

由于访问子网内资源速率和访问全局网中资源速率没有区别, 子网设置单独服务器的意义不大, 通过在全局网中设置服务器群不仅节省费用, 更可以合理配置信息资源。

c降低成本。

通常的网络设计用交换机构成子网, 用路由器进行子网间互联。目前采用三层交换机进行网络设计, 既可以进行任意虚拟子网划分, 又可以通过交换机三层路由功能完成子网间通信, 为此节省了价格昂贵的路由器。

d交换机之间连接灵活。

作为交换机, 它们之间不允许存在回路, 作为路由器, 又可有多条通路来提高可靠性、平衡负载。三层交换机用生成树算法阻塞造成回路的端口, 但进行路由选择时, 依然把阻塞掉的通路作为可选路径参与路由选择。

3.2 外网

对互联网的接入, 需要很高的安全防护, 所以在外网上我们有熊猫网关和防火墙对传出传入的数据信息进行过滤, 并对每个VLAN做限速规则, 防止单个或者几个终端霸占带宽。 (图4)

外网从结构上看和内网结构大致相同, 只是在防火墙中间和上层多了熊猫网关和广域网光钎接收器, 并且也是采用三层核心交换。

3.3 专网

专网指在局域内使用的专用网络通道, 该局有省厅专网和内网防病毒数据库自动升级专线。我们还有一条虚拟专网资产系统VPN, 可以使在同一系统内的不同地点的人员进入到一个相对的局域网内进行办公。依靠ISP和其他NSP (网络服务提供者) 在公用网络 (如Internet、Frame Relay、ATM) 建立专用的数据通信网络的技术。在虚拟网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路。 (图5)

最后, 整个内外网的架构从2 张拓扑图可以看出, 均使用了目录树形网结构。有些时候需要内网服务器对外连接, 由此我们使用了网闸。使内网服务器可以映射到外网接口。如图6。

在内外网, 我们有众多的管理系统对整个大的局域网进行管理和监控, 并且定期抓包进行分析。我们的局域网的设备应用合理, 防止网络阻塞, 并强化了网络过滤和病毒防护。提高整体的安全, 使信息数据得到了保护。在物理层上更是加强了传输能力, 全楼设备间使用光纤铺设, 不但提高个使用寿命还提高了网络速度。

4 网络控制和应用程序

在内外网各有一台防病毒服务器, 为每台客户端提供趋势防病毒软件的更新服务, 并能降低整个网络病毒感染的概率。并且我们还有内外网的网管服务器, 可以更方便地控制网络, 基本上可以做到网络出现问题, 及时报警。同时还有伟思盾安、熊猫网关、天融信防火墙。软件上我们有科来网络分析软件、通软网络管理软件。

4.1 科来网络分析系统的主要功能

流量分析:多达42 种的流量分析数据, 能对整个网络、单个部门、单个VLAN、单个IP和单个MAC进行统计分析;

安全分析:查找网络中存在的安全风险;

性能分析:查找网络性能瓶颈;

协议分析:深入分析网络中的所有应用;

网络连接和通讯监视:直观反映网络中机器的连接情况, 监视网络活动。

科来网络分析系统为网络管理工作提供了全面可靠的数据依据, 它可以帮助用户排查网络故障、规避网络风险、提升网络性能、提高故障处理能力、减少故障损失并降低管理成本。

4.2 通软网络管理软件

使用网络管理软件可以有效、方便、快捷地管理内外网络。通软网络管理软件使用的是B/S结构。我们在内网共实施节点120 个, 外网节点336 个。并对这些节点对应如下策略, 保证网络的安全运行。

IP绑定, 可以将使用人、计算机IP、计算机资产情况一一对应, 并且对其流量使用情况、使用流量的进程组成、流量的使用人等能够提供一个清晰的可视化展示。出现问题时可以及时地查找根源。

限制流量。通过流量报表、流量变化图以及流量行为图等能够有效准确地找出网络堵塞问题, 并可以对一些不当的下载行为进行禁止, 保障业务宽带, 限制非工作用带宽。

同一绑定杀毒软件, 可以有效地统计部署杀毒软件工作进度和病毒库更新情况, 自动将没有杀毒软件的客户机隔离在局域网之外。

4.3 OA系统

采用了Java技术, J2EE架构开发的先进的自主群件平台。落实管理制度、工作流程自动化, 并采用B/S结构, 保证系统具有很好的可扩展性。

这牵涉到流转过程的实时监控、跟踪, 解决多岗位、多部门之间的协同工作问题, 实现高效率的协作。目前的企业和单位都存在着大量的工作流程, 例如公文的处理、收发文、各种审批、请示、汇报, 等等, 都是一些流程化的工作。通过实现工作流程的自动化, 就可以规范各项工作, 提高单位协同工作的效率, 极大的减少中间环节的摩擦。 (图7)

4.4 预算指标

采用C/S结构, Sybase数据库。

预算指标系统的使用, 可以提高财政工作的流程速度和准确性。计划具体化, 业务计划数据化;配置资源:合理、高效地配置公司资源;协调部门:明确业务目标关系, 有利于各部门相互合作和沟通, 利于增强部门间合作;控制支出:预算编制过程就是对业务目标的可行性、项目支出的合理性和准确性的严格论证, 在预算基础上可以更好地实行对费用支出的合理控制;安排资金:合理预计现金流量, 制定切实可行的资金使用计划, 避免资金冗余、短缺, 降低资金成本, 提高资金使用效率

5 财政信息体系建设

5.1网络整体建设

机房是财政信息化建设的核心环节。铁岭市各级财政部门在建设规划上, 严格按照国家有关计算机机房标准执行。机房建设做到有网络通信、不间断电源、恒温恒湿空调, 有防尘防雷防静电性能, 有安全供电保证, 机房面积在20 平方米以上。

二是网络环境建设。

网络环境建设是实现信息化办公的前提。目前, 铁岭市各级财政部门都建立了独立的财政内部网络系统、专线网络系统 (与财政网络化办公有横向业务联系) 和外部网络系统 (互联网) 。同时按照部门预算、国库集中支付、工资统发、非税收入收缴等系统的应用需要, 有计划、有步骤地完成财政与同级预算单位、国库、银行、税收等职能部门的横向联网。与同级预算单位 (下级预算部门) 连接采用了ADSL VPN专线或2M数字电路连接, 与国库、银行、税收等职能部门连接采用了2M数字电路专线或10M光纤连接。县级财政与市级财政要启用财政内网邮件系统 (传送财政内部数据) 。县级财政的外网 (互联网) 要统一为一个入口。

三是网络安全建设。

网络安全建设是财政信息化工作正常开展的保证, 铁岭市各县 (市) 、区财政部门切实把网络信息安全工作放在信息化建设工作的首位。财政内网在入口端加装防火墙、入侵检测、入侵防御等网络安全设备, 严禁内网外连 (连入外网的计算机直接连入财政内网) 。同时建成财政内部办公网络系统的县区财政, 要结合实际需要, 优化网络结构, 提高网络性能, 弥补一切网络安全漏洞, 严格实行内网准入控制, 确保财政数据信息的安全。完善各项网络安全管理制度, 对县级财政涉及有内、外网办公业务的人员, 做到财政内网与互联网的物理隔离 (或安装隔离卡) 。

各县 (市) 、区财政, 在实施国库集中支付、非税收入收缴软硬件网络系统建设时加强了对网络边界、专线加密、安全网关设备的布控工作。办公网络软、硬件系统总体方案, 选择权威的网络公司根据本单位的具体业务需求和政府有关部门对网络安全的具体规定而制定, 并报市财政局信息科审批。同时, 建立健全安全管理的规章制度, 职责明确, 责任到人, 定期不定期对财政工作人员进行计算机、网络、数据安全和保密知识的教育与培训。计算机机房有专人负责安全体系建设和维护工作, 熟练掌握各种安全设备的应用和维护技术, 确保财政业务系统、信息数据系统、网络和计算机的安全。建立了应急保障机制, 确保遇有突发事件的情况下财政数据信息的安全。

一是机房建设。

5.2 应用软件建设

一是应用支撑平台建设。

应用支撑平台是对核心业务系统的公共数据进行公共控制的高度集中和有效集成, 由若干通用业务组件和技术组件构成, 是构建核心业务一体化管理大系统的基础, 是实现本级系统集成及上下级系统衔接和连动的保障。按照财政部和省厅应用支撑平台推广实施计划, 铁岭市财政局于2012 年年底对应用支撑平台进行了统一的开发、完善、升级及扩展。

二是统一基础标准。

统一业务规范和技术标准, 是财政信息化建设能否进一步向纵深推进、实现一体化的关键。铁岭市财政部门从财政改革与管理的大局出发, 在具体工作过程中, 秉持创新理念, 优化业务规范, 制订技术标准, 确保财政信息化发挥重要作用。为下一步整合财政信息资源, 完成大平台系统建设奠定坚实的基础。

三是公共网站建设 (外网) 。

铁岭市财政部门于2013 年年底前建成了面向社会公众开放的门户网站, 按照各级政府和上级财政部门对“阳光财政”的要求, 将财政部门的数据信息、政策信息实时在网上给予公开。

6 总结

铁岭市财政局信息化建设对财政事业的发展起到了积极作用, 为财政系统各部门提供准确、及时、完整的各项数据和结果, 为财政局管理提供了技术上的支持和保障。

组织机构和队伍建设得到加强。形成了具有一定信息化知识水平的业务技术队伍, 为信息化建设的顺利开展提供了组织和人才保障。

财政业务信息网络系统建设稳步推进。为适应财政核心业务系统深入开展的要求, 该局在局域网上安装了隔离卡, 实行了机关内网和外网的隔离, 确保了涉密计算机与公共信息网络隔离。

一系列财政业务应用系统得到推广应用。近年来, 该局以财政核心业务应用系统为中心, 从技术手段上有力地配合和促进了各项财政改革。推进乡镇财政预算管理方式改革, 建立乡镇财政管理信息化网络, 实现了“网上申报, 网上审批, 网上查询。

办公自动化建设取得较大进展, 提高了办公效率和管理水平。该局安装了财政办公自动化 (简称OA) 系统, 基本实现了无纸化办公, 有效地提高了行政效率和办公自动化水平, 降低了行政成本, 极大地推进了该局电子政务建设工作。

在网络建设上, 我们以保证工作带宽为主要目标, 切合实际的对每个VLAN做出合理的限制策略。同时为了保证信息数据的安全, 还提高了网络安全等级, 物理隔离内外网、统一的杀毒软件、网络信息安全监控等等。对我们的整条“神经系统”做出了安全稳定的保护。

经过以上的一系列分析, 笔者提出几点建议做参考, 来提高我们全局的网络信息安全建设。

我们可以加入定期的病毒预警信息发布, 将最新的病毒信息特征进行发布, 提高全局对计算机病毒的认识, 可以有效防止和发现最新的病毒, 病毒信息可以从国家计算机病毒应急处理中心获得, 网址是http://www.antivirus-china.org.cn/。

在几个月的工作中, 我发现不少科室都需要进行科室内的文件传输, 通常都是以优盘为介质进行传送, 这样就可能加大在同一科室内传播病毒的概率, 我们可以使用一些在网络传输软件, 如飞鸽传书, 他是一款绿色软件, 只在同一网段使用TCP/IP协议的传输软件。使用简单, 并且不会干扰整个网络, 在计算机上即可传输, 方便快捷。

网络信息安全问题及对策分析论文 篇4

当前，计算机病毒是网络信息安全问题的主要“杀手”，其具有传染性、隐蔽性和潜伏性，对网络信息安全带来极大的威胁。在网络信息技术快速发展的大背景之下，计算机病毒呈现出快速发展之势，已发现的计算机病毒已达1.5万余种。计算机病毒通过移动硬盘、网络电子邮件等途径传播病毒，病毒的传染也决定了计算机病毒一旦发生，将会形成较大范围内的网络信息安全问题。据不完全统计，我国有近83%的计算机用户有过病毒感染的经历。其中，16%的用户在计算机病毒的入侵下，出现全部数据遭到破坏;58%的用户是部分数据遭到破坏。足以见得，计算机病毒所造的网络信息安全威胁是巨大的，轻则造成用户数据出现部分丢失或损坏，重则导致系统瘫痪，直接给用户造成致命的安全威胁。

2.2拒绝服务攻击

当前，在恶意人为进攻中，拒绝服务攻击的网络安全问题尤为突出。通过利用操作系统漏洞、TCP/IP漏洞，对网络设备实施恶意攻击，进而造成不同程度的网络信息安全问题。一般情况之下，攻击者通过对网络服务系统进行恶意干扰，进而造成服务系统流程发生改变，一些无关的恶意程序被执行，以至于操作系统运行减慢，甚至出现系统瘫痪。而对于合法的用户，被恶意程序排斥无法进入网络服务系统。从实际来看，电子邮件炸弹等网络安全事例，就是拒绝服务攻击所带来的网络信息安全问题。

2.3不法分子入侵

信息网络安全体系分析 篇5

信息网络安全体系建设是一个融合管理安全、应用安全、网络安全、系统安全、物理安全等多方面的综合过程,各方面并重,且重在防护。

1 典型组织型信息系统

一个典型的组织如企业、政府、金融等网络信息系统结构如图1所示,主要包括内部办公区域、内部服务系统、外网服务系统(DMZ区域)、数据中心、分支机构、异地备份系统、外地办公人员等部分。下文将就信息系统各部分进行安全性分析并给出相应防护策略。

2 信息安全技术

2.1 内网安全防护

交换机和路由器作为政府网络内部网络互连的核心设备,一旦某台设备存在安全,将会危及整个网络安全,因此对网络设备的安全防护尤为重要。针对内网可从网络隔离,用户认证,路由协议保护,网管安全等几个方面实施。

(1)网络隔离

内部网设计一般采用接入层、汇聚层和核心层的三层交换结构设计体系,接入层直接面向用户,安全性也最差。在网络规划部署时,应考虑VLAN设计,实现不受物理限制的逻辑分组同时,每一个VLAN对应一个子网,实现逻辑网络隔离,限制广播域,而且在网络三层路由实施ACL,实现对VLAN间的访问控制。

(2)用户认证

为方便网络设备的管理和维护,一般会开启交换机和路由器远程访问功能,这样对用户的访问认证就至关重要。首先可采用如下基本访问控制方法:

●配置强健的系统密码并对密码加密

●确保Console控制台和物理端口的物理访问安全

●使用ACL限制管理访问

●用SSH取代Telnet作为远程访问协议

●禁用集成HTTP进程及不需要的服务

此外用户认证可采用集中式安全架构AAA模式, 对网络接入服务用户提供认证(Authentication)、授权 (Authorization)、审计(Accounting)三个独立功能,AAA服务一般采用RADIUS或TACACS+(cisco私有)协议作安全服务器,采用分布式Client/Server结构完成密码的集中管理和访问控制功能,交换机和路由器作为AAA结构的客户端,用户通过网络对网络设备的访问,须通过网络设备与AAA服务器之间的RADIUS或TACACS+ 等安全协议交互,经过认证、授权和审计的3A功能后方可获取访问权限[1],从而保证了用户接入的高安全性。

(3)路由协议保护

由于一些路由协议本身设计就存在安全漏洞,特别是针对大型网络,均采用动态路由协议,若恶意将路由器链接到网络,并发送伪造的路由更新,将会导致网络原有路由器将网络拓扑及路由信息发送到错误的目的地,从而造成网络信息的泄露。因此基于路由器的身份及路由认证就很有必要,对于主流常用的动态路由协议如广域骨干网eBGP和iBGP邻居关系均使用MD5密码验证,以及内网使用最广泛的动态路由OSPF启用基于Area的MD5身份验证和EIGRP(cisco私有)邻居采用MD5身份验证。

(4)网管安全

SNMP几乎已成了网络管理的标准协议,目前网络设备一般也内置有SNMP网管代理,与标准兼容,便于将网络设备纳入统一网络管理架构基础,随之也带来安全隐患。早期SNMPv1和SN- MPv2都不提供安全方面的特性,而在SNMPv3引入基于HMAC-MD5或HMAC-SHA认证和CBC-DES加密机制,确保被管理设备间传输重要数据的安全性。

(5)二层攻击防护

二层交换网络作为整个网络体系的接入部分,由于其开放性,不易管理,必须采取相应措施针对向交换机发起的二层攻击,针对主要的二层攻击提出相应防护措施见表1。

2.2 特殊区域防护

对于网络内部重点保护区域、对外提供公共服务的DMZ服务器区、以及与外网网络或Internet公网连接的网络边界应部署防火墙(Firewall)、IDS和IPS,也可根据需要将防火墙与IDS或IPS结合使用[2]。防火墙提供应用层代理判断、传输层状态检测包过滤或网络层包过滤的流量控制策略;IDS作为防火墙的补充,收集网络信息进行分析、审计,针对穿透防火墙的深层攻击网络入侵监测报警。但这两者都不能完全将攻击阻断在网络之外,而IPS正是将DDoS、嗅探(sniffer)、病毒、蠕虫、木马等攻击隔离在内网之外,提供一道防御屏障[3]。

2.3 核心数据保护

针对大型数据备份容灾需求,SAN(Storage Area Network)是非常理想的解决方案。SAN是大型的共享数据存储网络,采用FC光纤通道的Switch设备互连提供Gbps级速率的高速数据存储通道,保证数据可靠性、安全性,且能兼容原有网络共享存储模式,融合iSCSI组成IP SAN数据存储兼容网络,利用RAID技术可以保证数据容错性。

同时,SAN也让大型数据中心最高备份方式远程异地备份成为可能,因为SAN采用光纤网,传输距离可达数百千米,对于大容量数据的快速访问处理奠定了完备的物理基础,结合LAN-FREE(与LAN无关)和SERVER-LESS(与SERVER无关) 的备份与恢复技术,完美提供异地数据备份方案。

2.4 异地分支机构安全保障

VPN技术是目前异地远程分支机构组网最经济、灵活的方式,虽然MPLS VPN技术以其良好的可扩展性、丰富的QOS服务而被大量使用,但是由于MPLS VPN不提供加密、认证等安全服务,数据均是明文传输的,因此对于安全性要求较高的机构,最佳还是采用IPSEC VPN技术[4]。因为IPSEC作为IETF提出的网络安全协议,而IPSEC VPN由安全关联(Security Associ- ation,SA),封装安全载荷(ESP)、密钥管理协议(IKE) 及相关认证和加密算法构成的一个完整的安全体系, 为Internet传输提供非常强的安全性保障。

然而由于IPSEC VPN不支持NAT和动态路由等限制,其扩展性较差,配置维护也相对复杂,但结合GRE和MPLS使用,可以得到改善。作为大型固定的分支机构组网需求,IPSEC VPN仍然是最理想的高安全性VPN技术。

2.5 外地办公人员安全体系

当出差外地办公时,也有接入总部内网处理事务的需求,针对这种情况,SSL(Secure Socket Layer)是最佳的解决方案,因为SSL VPN基于最常用的WEB浏览器实现,通过X.509证书和公开密钥体制提供Inter- net基础上的身份认证和数据加密传输等安全保证,由于其安全、可靠和灵活性,在移动用户远程接入场景获得广泛应用。

3 信息安全管理工程

3.1 信息安全风险评估

根据信息系统的安全要求、访问应用要求等,对信息系统进行安全风险评估,将信息网络划分为不同的安全域,每个安全域的信息资产价值相近,具有相近的安全策略、安全环境、安全等级等,针对不同安全域提供不同等级安全保护[5]。

3.2 信息安全等级保护

针对本文网络结构,考虑不同部分的重要程度及风险威胁、安全需要,安全成本等,可分为边界接入域、核心数据域、网络基础域、服务环境域等安全域,针对不同安全域采取不同的安全保护等级策略并选用相应的安全保护技术、管理措施,以保障业务支撑的网络和信息安全。

4 结束语

安全不是针对某一种攻击和漏洞而进行设计,安全防护必须针对不同应用场景和需求进行全面的分析与设计。同时,安全设计又不仅仅是安全技术和安全产品的简单堆砌,而是安全策略、安全管理和安全技术的综合。

摘要：随着各类机构对信息网络安全重视度提高,目前各类安全产品和防护技术层出不穷,但是鱼龙混杂,不成体系。文章根据典型信息网络系统架构,针对不同安全域和常见的安全漏洞,从安全技术、安全策略、安全管理等方面提出信息网络安全防护体系。

计算机网络信息安全分析 篇6

1 网络信息安全

我们都知道随着互联网的不断发展, 每天都会出现越来越多的信息安全问题, 网络信息安全更是普遍, 这些问题都严重涉及到每个人的隐私, 所以信息安全对每一个用户都很重要网络安全就是网络上的信息安全, 是指网络系统软件, 硬件和计算机系统中数据的安全【1】。换句话说就是指保证信息不泄露, 不被黑客等盗取;同时也还要保证计算机硬件不受损毁。

2 网络信息安全的现状

随着全球网络的不断发展, 网络信息安全问题已越发突出, 有一些调查显示可知, 我国2013年上半年网民互联网应用情况发展比较平稳, 基本了保持2012年的发展趋势。我国的手机即时通信网民规模已达到3.97亿, 比2012年底增长了4520万, 使用率为85.7%, 网民规模增长率和使用率均超过即时通信整体水平。直到2013年6月底, 即时通行的中国网民比2012年底增加了2931万, 已经达4.97亿。增长规模在各种应用中属于第一, 网民使用率到84.2%, 比2012年底增加了1.3个百分点, 使用率保持第一且持续攀升, 特别是以手机端的发展更为迅速。

根据瑞星杀毒软件和“云安全”客户端上报的数据, 2008年10月份, 瑞星对1万台上网电脑进行抽样调查, 该调查表明这些电脑每天遇到的挂马网站, 高峰期达到8428个, 最低也有1689个, 除了单台电脑访问多个挂马网站的情况, 每天平均有30%的网民访问过挂马网站, 中国大陆地区已经成为全球盗号木马最猖獗的地区之一。从2008年1月至10月, 我国约有8100多万台电脑曾经感染病毒, 其中通过网页挂马方式被感染的超过90%。

3 网络信息安全的隐患

随着互联网技术的不断发展, 互联网在很多行业都应用广泛, 网络无处不在, 已经涉及到我们生活的方方面面, 在其非常普及的同时由于其的开放性, 使得网络存在许多的信息安全问题, 我们虽然会利用很多的技术对这些问题进行处理, 但是有些安全隐患还是很难解决, 这些隐患可以总结如下几点:

1) 网络系统的设计问题和操作系统的漏洞。如今, 我们设计的好多网络系统都不合理、不规范以及缺乏安全性考虑进而影响到我们的信息安全。还有缺少网络安全管理认证, 其他人员就会很容易窃用。而且目前我们的电脑使用的操作系统都存在着许多网络安全漏洞, 如此以来, 我们身边的黑客就会趁着我们电脑的这些安全漏洞侵入我们的电脑系统。这些都属于人为因素造成的网络信息安全隐患。

2) 互联网的时代, 任何地方都可能会遇到安全问题, 所以一个安全机制对于网络来说是尤其重要的, 但是任何一个安全机制都应该有自己独特的利用场合, 互联网中最重要的也是最常用的安全机制就是防火墙, 我们都知道防火墙可以对于外网到内网的访问有很好的防范作用, 可是好多人都不知道防火墙最令人失望就是对于内网之间的访问束手无措, 这就会导致很多问题都无法解决, 所以说安全机制也不能完全解决安全问题。

3) 一般传统的安全工具很难考虑到的地方可能就是系统的后门。多数情况下, 对于这类安全问题防火墙是很难考虑到的, 它们可以很随便地通过系统而很难被防火墙检测到。例如, 我们都知道的ASP源码问题, 在IIS服务器4.0以前这个问题就一直存在, 其实它也就是IIS服务器设计者留下的一个后门, 随便一个人都可以很方便地从网络上通过使用浏览器跳出ASP程序的源代码, 这样就可以方便收集系统信息, 然后就会对系统进行攻击。防火墙对于这类入侵行为是无法发觉的, 其实这是因为这种入侵行为对系统的访问过程很正常的web访问是相似的, 最大的区别其实就是在请求链接是入侵访问多加了一个后缀。

4) 每一次设计都会存在漏洞, 漏洞无处不在, 没有那个软件是完美无缺的。更可以肯定的是, 我们每天都会用到的安全工具其本身就会存在安全漏洞。软件的开发者每天都会在修改和更新程序中所存在的bug, 但是我们知道只要是设计bug肯定会存在而且对随机会产生新的bug, 这样会导致周而复始的系统安全问题, 这样黑客就会利用这些存在的漏洞对网络系统进行攻击, 但是这样的攻击是不会产生日志的, 我们就无法对这些攻击进行分析处理。例如说, 我们都知道在很多软件中都会存在内存溢出的bug, 我们对于这些bug根本没有任何安全工具可以防范。

5) 人为的因素也会影响到安全工具的使用。安全工具的使用者在很大程度上决定了能不能实现一个安全工具期望的效果, 对于我们这些每一个普通网络用户, 我们这些不正确的设置就会导致很多不安全的因素。所以说人为因素很重要。

6) 不断更性的黑客的攻击手段, 就会导致每天大量的安全问题出现在我们的用户系统中。但是我们的安全工具更新速度实在太慢, 这就会导致有些以前位置的安全问题需要人为参与, 就使得我们对新问题的处理速度相当的缓慢。这样的问题就会导致安全工具不能同时处理新旧问题, 这样就会使得问题很难处理, 黑客就会利用这一缺陷对系统进行攻击。如今黑客所采用的攻击方法已远远超过了我们所知道的计算机病毒的种类, 并且都是致命的, 攻击手段更加灵活, 攻击源相对集中。目前计算机病毒技术和黑客手段紧密结合, 这样黑客可以利用病毒进入黑客无法到达的企业网络系统, 为黑客安装后门或窃取商业机密, 黑客总是可以使用安全工具不知道的先进的先进的手段进行攻击。

7) 没有有效的手段来评估网络系统的安全性。一般情况下人们都很少通过硬盘设备对网络安全性能做出准确、科学的评估分析, 进而可以保障在经济上的可行性、组织上的可执行性和实施的安全策略技术上的可实现性。

8) 计算机病毒更会影响网络信息安全性。大部分很厉害的计算机病毒都会导致数据和程序严重破坏甚至被盗取, 计算机系统瘫痪, 进而导致降低网络的效率, 无法使用或不敢使用很多重要的功能。

以上所述的这些因素都会导致网络信息的安全, 我们必须采取有效的安全防御措施维护我们的信息安全。

3 网络信息系统的安全防御

3.1 网络信息系统认证技术

网络信息系统认证技术是很重要的网络安全防护技术, 所以很多国家的企业和各个部门通常都会使用这一技术, 利用这一技术主要有以下两个目的: (1) 在信息传送过程中保证信息未被重放、篡改或延迟等。 (2) 验证网络中信息的发送者是否为真正的主人。

3.2 网络系统中的防火墙技术

在网络中, 所谓“防火墙”, 是指一种将内部网和公众访问网 (如Internet) 分开的方法, 它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度, 它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之门外, 最大限度地阻止网络中的黑客来访问你的网络。换句话说, 如果不通过防火墙, 公司内部的人就无法访问Internet, Internet上的人也无法和公司内部的人进行通信。防火墙作为外部网络和被保护网络之间的一道屏障, 是为了防止发生潜在波坏性、不可预测的侵入。它是通过限制、监测、更改穿越防火墙的数据流, 尽其最大的效率对外部环境屏蔽网络内部的结构、信息和运行状况, 进而来保护我们网络信息的安全。

3.3 网络信息加密技术

加密技术在当今时代利用的范围越来越广泛了, 加密技术现在来说还是发展挺好的, 它可以实现保证信息在传播和存储过程中不容易泄露出来, 这就保证了用户信息的安全, 所以说加密技术对于信息加密是非常重要的一种很有效的方法。网络信息加密的方法有很多, 但主要的都有自己独特的优点, 它们可以通过合理的协调配合使用, 是信息的保密效果达到最佳。

3.4 入侵检测技术

入侵检测系统是一种实时监视网络传输, 并在发现可疑传输时及时采取主动反应措施或者发出警报的网络安全设备。其他的网络安全设备与它有着明显的不同之处, 其不同之处便在于它的安全防护是一种主动形式。我们都知道入侵检测技术是从网络系统或者多种计算机系统中收集各种传输信息, 并通过分析这些信息的入侵特征, 然后做出反应的网络安全系统, 被称为网络系统的第二道安全闸门, 在网络遭到攻击时能够及时的做出反应, 能减少攻击所造成的损失。并且最好的是它在受到攻击后能够收集此次所受攻击的相关信息, 分析判断并作出更好地解决方案为以后的再次相遇而收集一手资料, 避免网络系统再次受到同种类型的入侵攻击。入侵检测技术尽可能对各种情况进行分析, 从中发现不安全的行为是入侵检测系统的核心功能。从技术上, 入侵检测分为两类:一种基于安全情况, 另一种基于标志。

基于标识的入侵检测, 第一件事必须了解违背安全策略的事件及其特征, 比如计算机网络中出现的一些数据包的头信息, 必须掌握其特征。这类检测主要为了判别此类特征是否在所收集到的数据中出现。

而基于异常的入侵检测技术而是首先自己定义一组系统“正常”情况的数值, 如内存利用率、CPU利用率、文件校验等, 然后在系统运行时将其数值与系统所定义的“正常”情况进行对比、判断以及分析得出是否有被攻击的迹象。

3.5 数字水印技术

数字水印技术在信息安全方面是非常重要的技术, 它主要是通过水印技术对信息进行隐藏, 达到信息安全保密的效果。信息隐藏指在设计和确定模块时, 使得一个模块内包含的特定信息 (过程或数据) , 而对于不需要这些信息的其他模块来说, 是不透明的。随着信息技术和网络技术的不断发展应用, 这就导致信息隐藏技术有了更加广阔的应用与发展前景。数字水印可以标识和验证出数字化图像, 视频和声频记录的作者、所有者、发行者或授权消费者的信息, 还可追溯数字作品的非法分发, 是目前进行数字作品版权保护的一种较为有效的技术手段。

4 结论

随着我国经济的不断发展, 网络技术也发生了质的飞跃, 网络安全问题就会不断出现在我们的生活中, 我们就无法避免这些安全问题, 所以我们就应该努力研究更好地安全机制技术, 加强我们的安全意识, 网络工作者也应该提高自身的专业素质, 这样才能保证我们的信息安全, 为企业更好地服务, 实现自我的人生价值, 更重要的是使网络的信息能安全可靠地为广大用户服务。

参考文献

[1]赵国福.浅议计算机网络安全[J].中国新技术新产品, 2009, 4 (7) .

[2]吴诗豪.计算机网络安全性研究[J].管理观察, 2009, 5 (10) .

[3]李晓明.浅谈计算机网络安全与防范方法[J].科技资讯, 2008, 10 (30) .

水声网络信息安全保密风险分析 篇7

现代战争需要及时获取尽可能全局的敌我信息和环境信息, 准确识别目标, 得出战场态势并进行信息共享, 及时做出有利的战略决策或战术决策, 以立于不败之地。而水下战场环境涉及多维的作战空间和复杂的电磁环境, 面临各种威胁和攻击, 所以保证其通信网络的安全性和可靠性是首要问题。由于水下环境和水下通信网络的特殊性, 现有传统无线通信网络的安全技术不能直接移植应用到水下。因此, 研究水下无线通信网络的安全风险, 研究适用于水下无线通信网络的安全技术, 使水下无线通信网络能更好地、更安全地为构建一体化的水下信息预警探测网络、有效扩大信息优势、增加侦察和捕获目标的范围和效力提供重要支撑作用。

2 水下网络特点与隐患

利用水下通信网络进行预警探测主要是建立反潜监视网络和海洋环境监视网络, 包括水面舰艇、潜艇、水下UUV、浮标、海底声呐阵等。网络传感器节点主要装备有各类综合声呐、侦察声呐, 探测声呐、噪声测距声呐、磁感应量测等设备。对于这些节点, 当采用被动探测方式时, 在对目标稳定跟踪后可获得的目标信息主要是方位;采用侦察方式或用侦察节点则可获得目标方位、载频、脉冲宽度和重复周期等数据;通过噪声测距节点可获得目标距离和方位。出于安全、隐蔽的考虑, 舰艇 (特别是潜艇) 装备的声呐设备通常采用被动方式工作, 只能得到目标的方位信息。由于海水声传播特性极其复杂, 水下无线通信网络通常包括大量在水下分布的、能源受限的、自配置和自感知的传感器节点, 在诸多方面不同于传统网络系统。军用水下无线通信网络具有如下重要特性:

(1) 各种移动模式:尽管一些传感器以超音速移动, 其他的水下节点可能是固定的。

(2) 广泛的终端类型:范围广泛的设备, 如传感器、单声道收音机和计算机, 可能是军事水下通信网络的终端。

(3) 可变的通信距离:通信距离从几米到几千千米, 无线电波在海水中选择性衰减严重, 无法满足远距离传输的要求, 因此, 水下无线通信系统多采用声波作为传输载体, 但水声通信技术存在着难以克服的传输速率低、高延时、功耗大等缺陷。

(4) 可变的通信介质特征:各种媒介类型 (如有线、光纤、空气和海水) 可台会组合起来使用。

(5) 快速改变通信地点:被广泛的水下通信网络覆盖的区域可能需要清空, 同时在一次军事行动中, 同样的网络在不同的地区内几天之内能够安装好。

(6) 敌对和嘈杂的环境:在水下战场, 对方的通信设施是高优先级目标。此外上千的炸弹爆炸、车辆和故意干扰会产生噪声。

(7) 突发流量:通信流量常常是与时间和空间相关的。长时间的无线电静默可能在特定的地区突然被极其密集的报告和通信需求打破, 然而其他的地区保于静默。

(8) 各种安全限制:非涉密数据与涉密数据在同一个通信信道里传输。

3 安全设计考虑

在水下无线通信网络环境中, 设计实现一个完善的无线网络系统时, 首先要分析网络中存在的各种安全威胁, 针对这些威胁提炼必需的安全需求, 从而设计相应的安全方案, 需要考虑的因素包括以下几个方面。

(1) 无线传输信道。水下无线通信网络节点有严格的能量限制、低容量和微型传感器节点的小尺寸。在水下无线通信网络中, 能量最小化假设具有重大意义, 超过衰变、散射、阴影、反射、衍射、多径效应和衰落影响。总的来说, 在距离d内传输信号需要的最小输出功率与dn成比例, 其中2≤n <4。因此, 有着更多跳数和更短距离的路径比那些少跳数长距离的路径, 能效更高。

(2) 网络体制。在水下无线通信网络中, 一个中心点或一个关键节点的存在使得它们在敌对环境中更加脆弱。通过分析流量可能发现一个收集节点, 并且在这些关键节点中监视或阻止所有数据流量。在水下无线通信网络中, 节点间相互依靠来传送一个包。这种多跳自组织特性也带来了额外的弱点, 使它们易受攻击。当一个恶意节点使其他节点相信它是一个中继节点时, 它可以接收它们的包, 且不转发它们。

(3) 流量特性。在水下无线通信网络中, 数据流量通常是与时间和空间相关的。网络节点覆盖范围通常是重叠的, 因此当一个事件发生时, 它在同一个区域触发多个传感器。时间和空间的相关性表明, 对于某些区域和时间段来说过度使用, 对另一些区域和时间段来说未充分利用。这给通信协议和算法设计包括安全方案带来了额外的挑战。当数据流量是相关的, 对付流量分析攻击变得更具有挑战性。

(4) 服务质量。在水下无线通信网络中, 功率是首先要考虑的, 当然这取决于应用。当网络用于军事实时应用方面时, 延时也是一个重要的限制, 通常和功率限制相冲突。对于这术的网络, 带宽需求可能会高些。水下通信网络应用中, 延时和带宽问题是一个最重要的挑战。对于声纳水下介质, 传播延迟很长时间 (平均每100m为67ms) , 容量十分有限 (5~30kbit/s) 。

(5) 容错性。水下无线通信网络中的收集节点代表了故障的关键点。数据通过这些节点中继到外部系统, 若它们不存在, 网络将变得不相连。这在网络中尤其重要, 因为如果传感器收集的数据没有到达用户, 它们不会有任何用处, 而且传感器节点中的数据只能通过收集节点访问。因此, 它们可能成为拒绝服务攻击的重要目标, 容错性方案应该考虑到这一点。

(6) 操作环境。水下无线通信网络的设计是在恶劣和难以接近的地区无人值守运行的, 这给容错方案带来了额外的挑战。此外, 传感器网络可能在敌后的对抗性环境中。在这种情况下, 它们易受物理攻击, 且更容易篡改。

(7) 能效问题。功耗是影响水下无线通信网络协议设计的最重要因素之一, 这也需要安全方面的特殊处理。水下无线通信的安全方案必须在计算和网络需求方面都是低成本的。

(8) 可扩展性。水下无线通信网络设计方案需要高度可扩展, 这也影响到了安全协议。对于水下军事通信网络来说, 可扩展需求和功率限制一起阻碍了后部署密钥分配方案的适用性, 因此, 在这种应用中, 密钥应在节点部署之前先行部署。

(9) 硬件成本。水下无线通信网络节点的存储和计算能力有限, 因此, 有着更少存储和计算需求的安全方案更适合于水下军事通信网络。

4 认证与完整性设计

在一个安全的水下无线通信网络中, 节点由网络授权, 并且只有被授权的节点才被允许使用网络资源。建立这样一个网络的一般步骤包括自举、预认证、网络安全关联、认证、行为监控和安全关联撤销。在这几部分中, 认证是最重要的, 同时也是网络安全中最基本的一项服务。其它的基本安全服务例如机密性、完整性和不可抵赖性均取决于认证。秘密信息只有在节点进行互相验证和确认后才能进行交换。

4.1 认证问题

在水下无线通信网络中, 敌手很容易篡改数据, 并把一些消息注入数据, 这样接收者应该确保接收到的数据来自一个合法的发送方, 并且没有被篡改过。数据认证允许接收方验证数据真正是由声称的发送方发送的。这样, 接收方需要确保任何决策过程用到的数据来自正确的源节点。

在双方通信情况下, 发送方用秘密密钥计算消息内容的校验和, 产生一个消息认证码 ( MAC) 。数据认证能被接收方验证, 这个接收方拥有用于产生相同消息认证码 ( MAC) 的共享密钥和源消息。然而在水下多方通信中, 比如基站广播数据给一些节点时, 就不能使用对称的数据认证。这种情况下, 可采用非对称机制如定时高效流容忍损耗认证 (TESLA) 。在这种方法中, 首先发送方用密钥产生的消息认证码 (MAC) 广播一个消息, 这里的密钥稍后将公开。当节点收到消息时, 如果它还没收到发送方透露的密钥, 将首先缓存消息。当节点收到密钥以后, 它将用密钥和缓存的消息产生消息认证码 ( MAC) 来认证此消息。TESLA的缺点是认证的初始参数应该单播给每一个接收方, 这对拥有庞大数量节点的网络来说是低效的。因此将多级密钥链用于密钥分配中, 初始参数是预设的, 并广播给接收方, 而不是单播发送, 这样做增加了拥有大量节点网络的可扩展性, 同时可抵抗重放攻击和拒绝服务攻击。

4.2 完整性问题

数据完整性的含义是接收方收到的数据和发送方发出的数据是一样的。在水下无线通信网络中, 如果一个节点被敌手捕获, 敌手可能会修改数据或把一些错误的信息注入网络里。由于节点有限的资源和节点部署在恶劣的环境中, 通信数据会丢失或被损坏, 或数据的完整性可能会受到破坏。为了保护数据完整性, 最简单的办法是使用循环冗余校验 ( CRC) ;另一个方法是使用基于加密的完整性方法, 比如在认证时使用消息认证码MAC, 这会更加安全, 但也更复杂。

机密性可以阻止信息泄漏。然而, 为了扰乱通信, 敌手仍然可能会篡改数据。比如, 一个恶意节点可能会在一个包里添加片段或操纵包中的数据。这个新数据包会被发送给原接收方。由于恶劣的通信环境, 甚至都不需要出现恶意节点, 数据就会丢失或遭到破坏。因此, 数据完整性要确保任何接收到的数据在传输过程中不会被修改。

5 结语

水下通信网络的迅速部署、自组织和容错特性使其在军事C4ISR系统中有着非常广阔的应用前景。因此需要针对水下无线通信网的威胁提炼必需的安全保密需求, 从而设计相应的安全体系架构与安全方案, 通常包括用户接入控制设计、用户身份认证方案设计、密钥协商及密钥管理方案设计等, 以满足其安全保密需求。尤其是认证与完整性问题, 是水下通信网络安全需要解决的首要问题, 这也是今后开展研究工作的重点。

摘要：水下战场环境涉及多维的作战空间和复杂的电磁环境, 研究水下无线通信网络的安全风险, 是研究适用于海战场水下无线通信网络安全保密技术及体系的前提。本文根据水下通信网络的特点, 分析了水下无线通信网络的安全保密需求, 研究了水声网络信息安全保密设计考虑要素, 并对认证与完整性问题进行了探讨, 可为研究军用水声网络安全保密体系提供借鉴参考。

关键词：水声网络,安全保密,风险

参考文献

[1]吴学智, 靳煜, 何如龙.水声网络及其军事应用研究[J].电声技术, 2012 (08) .

[2]郎为民, 杨宗凯, 吴世忠, 谭运猛.一种基于无线传感器网络的密钥管理方案[J].计算机科学, 2005 (04) .

[3]熊飞, 吴浩波, 徐启建.一种传感器网络的分布式信任模型[J].无线电工程, 2009 (08) .

[4]荆琦, 唐礼勇, 陈钟.无线传感器网络中的信任管理[J].软件学报, 2008 (07) .

网络信息安全的分析及对策 篇8

现在信息共享达到了一个前所未有的高度, 因此信息安全的内涵也不断扩大。不仅从一般性的防卫变成了一种非常普遍的防范, 因此建立一套高效的网络安全体系, 并在政策上和法律上保证网络安全体系正常运行。

1 网络安全现状

对于广域网来说, 目前已经有了比较完善的安全防护体系, 如防火墙、防病毒软件、漏洞扫描、IDS等网关级别的防御等, 这些安全措施大都集中于网络的入口处, 减小了外部网络的安全威胁;局域网络内部的计算机客户端的安全管理措施相对缺乏;个人防范意识较弱。

2 网络信息安全的成因

2.1 服务器上数据库安全问题

数据库设计主要考虑的是信息方便存储、利用和管理, 安全防御方面较弱。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核, 窃取信息。

2.2 操作系统本身存在的安全问题

操作系统是管理硬件与软件的程序, 操作系统本身的安全问题主要表现为:一是，操作系统提供了远程的管理功能, 管理便捷的同时, 也是网络安全诱因;二是，支持远程进程的创建和激活, 提供了可以通过远程安装“间谍软件”的环境;三是，操作系统本身存在很多的后门和漏洞。很多黑客们正式利用了这些漏洞, 对服务器进行攻击, 从而造成了信息的泄密或者丢失。

2.3 用户本身的安全意识不强

许多用户使用移动存储设备进行数据的传输的时候, 经常将外部数据不经过必要的安全检查就通过移动设备存入本地网络, 与此同时, 将本地网络的数据带出到互联网, 这些操作大大增加了木马程序、蠕虫程序等病毒进入系统的机会。另外, 用户将互联网上用过的笔记本电脑在未经许可的情况下就擅自带入本地网络或硬盘、移动设备, 造成了病毒的传入和信息的泄密。

2.4 防火墙本身具有一定的脆弱性

防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的层面上构造的保护屏障。它是一种计算机硬件和软件的结合, 使互联网与互联网之间建立起一个安全网关, 从而保护内部网免受非法用户的外部侵入。防火墙利用安全策略保护你设定的威胁, 但不能防范从LAN内部的攻击, 所以防火墙的具有局限性。

2.5 服务器区域没有进行独立的防护

虽然在网络出口有防火墙阻断对外来攻击, 如果局域网中服务器区域不进行独立保护, 仍无法抵挡来自局域网内部的攻击, 局域网内计算机病毒将快速传播。

3 网络信息安全对策

3.1 建立并完善信息安全风险制度

信息安全制度着重体现： (1) 风险管理的责任机制。将风险管理与组织成员的责任联系起来，在信息安全风险管理工作中，切实执行责任制，不断增强组织上至各级领导，下至普通员工的风险责任意识，将信息安全风险管理合理分工，执行信息安全风险管理措施，保证信息安全风险管理工作有序开展； (2) 风险管理的预防机制。预防机制是风险管理的核心内容，风险管理要重视事前管理，事前对信息系统涉及的关键环节和重要部门进行严格的风险评估、检查工作，得出准确的风险报告； (3) 风险管理的应急机制。有效的应急机制是降低和化解此类风险的必备手段，针对关键的应用系统群组，乃至针对整个数据中心的突发事件必须具有可操作性很强的应急方案，并且还要有成熟的应急反应体系能在事件发生之时，合理决策落实执行应急方案。

3.2 制定信息安全的管理策略

3.2.1 风险评估和预警策略。

采用科学的分析方法，对系统存在的不同频度的风险定期作系统评估工作，以定量与定性的评估方法，探测风险的来源以及风险的大小。

3.2.2 风险规避策略。

通过降低风险发生的可能性和降低风险发生后的影响等手段，努力在风险发生前规避风险或降低风险大小，并对整改成果进行再评估。

3.2.3 应急管理策略。

经过系统风险评估，针对评估结果存在的安全隐患，制定应急预案通过有效的应急处置，争取在风险事件发生后快速地恢复生产运行，控制风险的影响范围和影响程度。

3.2.4 风险管理策略。

对于涉及信息安全风险管理的组织内部架构和对外客户端可能存在的风险，制定一系列的规章和规范，防范内部风险。

3.3 强化信息安全的监督管理

3.3.1 是制定网络法律法规, 保护用户的网络权益。

网络的言论比较自由, 出现问题追责比较困难, 当网民的道德意识水平不高, 又缺少相应的法律制约时, 导致很多网民在网上胆大妄为, 受害者维权难。

3.3.2 是增强用户网络安全意识和安全常识。

通过网络或媒体的宣传, 提高网民的自我保护意识, 加强他们对病毒危害的理解, 对网络上的私人信息进行保护和增强密码, 对可疑文件和可以的移动设备进行病毒的查杀, 这些都可以很好的防止病毒在网络中的传播, 从而保证网络信息的安全。具体如下：（a）是数据的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。（b）是加强网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。（c）是应用密码技术。应用密码技术是信息安全的核心技术, 密码手段为信息安全提供了可靠的保证。（d）是提高网路的防病毒能力。通过安装病毒防火墙, 进行实时过滤。对网络服务器中的文件进行扫描和监测, 在工作站上采用防病毒卡, 加强网络目录和文件访问权限的设置。

3.3.3 是加强网络安全技术。

网络作为一种新的技术, 自身还有许多不完善的地方, 以前由于技术本身的限制, 网络安全技术不够完善, 但是随着网络的不断发展, 加强网络安全技术也迫在眉睫, 并且加强网络安全技术对于解决网络信息安全问题是至关重要的一个步骤。

4 结束语

目前, 我国已是互联网使用第一大国, 当我们在享用互联网带给我们的乐趣和资源的同时, 我们更应该保护网民网络信息的安全, 保护我们的网络信息不受侵犯。当然, 网络安全问题是一项长期而又艰巨的任务, 还需要我们不断的去摸索、去总结经验, 通过完备的网络管理机制和维护网络信息安全的防护策略及时、准确、有效的保护网络的安全。S

参考文献

[1]李辉.计算机网络安全与对策[J].潍坊学院学报, 2007.

[2]杨月江, 刘士杰, 耿子林.网络安全管理的分析与研究[J].商场现代化, 2008 (1) .

[3]冯登国, 等.信息安全技术概论[M].电子工业出版社, 2009, 04.

医院信息系统网络安全管理分析 篇9

一、医院信息系统网络潜在风险分析

医院信息化建设工作离不开信息系统网络的构建,而构建信息系统网络最为关键的是确保网络安全的可靠性及网络管理的完善,这样才能够使信息系统网络处于正常、可靠且安全的运行环境。反之,如果信息系统网络缺乏安全性,且存在管理缺失问题,则会大大影响信息系统网络的正常、安全运行。从现状来看,医院信息系统网络尚且存在一些较为明显的风险,风险的存在会在很大程度上影响医院信息化水平的提高。主要风险如下:(1)自然灾害风险。自然灾害风险通常是难以避免的,比如水灾、地震以及火灾等事故,均会对计算机设备造成损害;严格意义上而言,这属于一种物理性质的风险。(2)人为因素风险。此类风险主要指的是人为出现的失误及错误,进而引发一系列的网络安全风险,例如遭遇黑客的攻击、病毒入侵以及设备受到损坏等[2]。(3)技术层面风险。基于网络运行过程中,由于受到内外部环境的影响,导致系统潜在问题,加之技术人员未能及时排查,便会使网络受到安全方面的风险,例如:操作系统发生缺陷、应用系统运行受阻等。(4)管理层面风险。医院信息系统网络需从技术与管理两个方面加以完善,当管理制度缺乏、管理人员责任心不强以及管理规范程度不高的情况下,便很有可能诱发信息系统网络风险。

二、医院信息系统网络安全管理策略探讨

在上述分析过程中,认识到医院信息系统网络潜在一系列的风险,为了使医院信息系统网络的安全性及可靠性得到有效提升,便有必要做好其安全管理工作。具体安全管理策略如下:

1. 设施设备方面的安全管理策略

一方面,由于医院网络中心属于医院信息系统的中心结构,同时负责信息的处理,并关系到医院信息系统网络的稳定、安全运行,所以有必要对其加强管理:其一,对医院中心机房供应质量好的电源;其二,将室内温湿度控制在合理范围内,取证温度一般为23℃~25℃之间,相对湿度则需控制在40%~70%之间;其三,设置可靠的报警系统,并做好防静电地板的铺设;其四,做好防雷、防火方面的工作。

另一方面,针对医院信息系统网络设备采取安全管理措施,充分重视核心部位的设备,相关检修人员需对硬件进行定期检查、维护;同时,在软件设备方面,需定期进行升级,加强软件终端状态检测,对医院的网络动态及时掌控,遇到问题及时解决,进而确保医院信息系统网络的安全、可靠运行。

2. 技术方面的安全管理策略

一方面,对防毒软件进行合理安装,及时更新病毒数据库,针对潜在的病毒风险采取有效处理策略,落实“预防为主,解决为辅”的安全管理思想,以此将安全隐患消除在萌芽之中。另一方面,对医院信息系统内网设置防火墙,同时外网页需要设置防火墙,控制非法用户访问,确保内网的安全性。此外,利用入侵检测技术、数据安全访问控制技术以及认证技术,使医院信息系统网络的安全等级得到全面提升,大大降低病毒入侵、黑客入侵以及非法用户入侵等风险隐患的发生,进一步使医院信息系统网络时刻处于正常且安全的运行状态当中。

3. 人员方面的安全管理策略

在医院信息系统网络安全管理工作当中,管理工作人员起到了至关重要的作用。为了使该项工作的安全性得到有效提高,便有必要做好人员方面的安全管理工作。一方面,构建完善的安全管理制度,以制度为导向,规范管理工作人员的工作行为习惯,使管理工作人员认识到做好医院信息系统网络安全管理工作的重要性,进而使管理工作人员在此项工作中提高积极性,明确自身职责,进一步为管理工作的优化及完善奠定基础。另一方面,为管理工作人员提供学习与培训的机会,通过管理基础知识以及管理技巧等方面的培训,使管理工作人员的整体管理能力水平得到有效提高,从而能够在日常管理工作中技术找出潜在的问题或风险,以此为管理工作的优化奠定基础[3]。此外,还必要加强激励机制建设,将培训结果和晋升相挂钩,提高管理人员参与管理培训的积极性,进一步使管理人员能够从中学习到真正的知识,当管理人员能够认清现状下医院信息系统网络安全管理风险问题,并及时组织各方人员对潜在管理风险加以排查的条件下,医院信息系统网络安全管理便能够得到全面强化。

三、结语

通过本文的探究,认识到现状下医院信息系统网络潜在风险诸多,因此有必要落实医院信息系统网络安全管理策略,在避免医院信息系统网络风险发生的基础上,使医院信息系统网络的可靠性及安全性得到有效保障,进一步使医院信息化建设水平得到有效提高。总结起来,需从设施设备、技术以及人员三大方面出来,认真落实医院信息系统网络安全管理策略,最终为医院的良性发展奠定夯实的基础。

参考文献

[1]贾鑫.基于医院信息系统的网络安全分析与设计[J].中国管理信息化,2013,16(10):46-47.

[2]姚征.医院信息系统网络安全构建与实施[J].计算机光盘软件与应用,2013,16(3):77-78.