P2DR安全策略

P2DR安全策略（精选5篇）

P2DR安全策略 篇1

摘要：随着数字化医院建设的不断发展,医疗业务越来越依赖于医院信息系统(HIS),HIS安全显得至关重要。本文借鉴安全模型P2DR的理论及其体系结构,分析目前HIS存在的安全风险和隐患,探讨将P2DR模型用于HIS安全建设,确保HIS可靠、安全、高效运行。

关键词：医疗业务,P2DR,医院信息系统,网络安全

医院信息系统(HIS)是对医院医疗、财务、物资、药房、行政管理等信息进行采集、传输、处理、统计和存储的计算机应用系统[1]。随着医院信息化的普及,各家医院的HIS已涉及医院的每个部门,涵盖医院日常工作的每个环节。HIS是7×24 h不间断运行的,一旦网络瘫痪或数据丢失,将会给医院和病人造成不可估量的损失。因此,建立一套科学有效的医院信息安全防护体系对HIS正常高效运行是十分重要的。本文尝试结合P2DR(Protection Policy Detection Response)理论,探讨实现HIS安全的策略和方法。

1 动态网络安全模型P2DR

1985年,美国国防部发布了可信计算机安全评估准则TCSEC(Trusted Computer System Evaluation Criteria)。这个准则的发布对操作系统及数据库等方面的安全发展起到了很大的推动作用,被称为信息安全的里程碑[2]。但是,TCSEC是基于主机/终端环境的静态安全模型建立起来的标准,已经不能完全适应当前的技术需要。因此,针对日益严重的网络信息安全问题和越来越突出的安全需求,美国ISS(安氏)公司率先提出了动态安全模型PDR(Protection Detection Response)。PDR模型通过防护(Protection)、检测(Detection)和响应(Response)三位一体来保障动态网络系统安全性。PDR模型,见图1。随后安氏公司在PDR模型的基础上增加了策略(Policy),也就是P2DR模型,见图2。

从图2可以看出它是一个动态、周期性的过程,是一种动态/风险模型,特点是动态性和适时性。防护、检测和响应组成了一个完整和动态的安全循环,通过安全策略指导保证系统安全。该模型的核心思想是系统防护时间大于检测时间与响应时间之和,则认为系统安全;系统检测时间与响应时间之和越小,则系统越安全。所以要使系统安全可靠就要努力降低系统检测和响应时间,同时还要根据安全策略定时对系统进行安全检测,并及时修复和解决系统存在的安全漏洞。

目前,基于P2DR模型的网络安全设计在电子商务、银行信息安全系统、公安户籍管理信息系统等方面均得到广泛的应用,并取得比较理想的防护效果[3]。

2 医院信息系统网络安全分析

HIS网络分为内网和外网,内网一般包括HIS、实验室信息系统(LIS)、电子病历(EMR)、影像存储与传输系统(PACS)等业务系统,根据P2DR安全模型的指导思想,不同区域采取不同安全保护措施。其中核心业务区由医院业务系统的HIS、EMR、LIS、PACS、数据库服务器组成,主要安全问题是数据库安全,重点是研究如何防范病毒侵入或外来移动设备的接入以及外来非法用户的侵入。外网指医院网络向其他外部单位(如各县市医保中心、市卫生局、物价局、银行等)开放的一个出口。外网区域由于连接的外网单位的安全防范措施各不相同,存在安全隐患——如果边界区域没有防范好,其他单位的病毒和攻击很容易侵入医院网络中。

3 P2DR模型在医院信息安全中的应用

3.1 防护功能(Protection)实现

3.1.1 软件防护

HIS安全防护的重点是访问控制、加密、认证等。(1)访问控制主要任务是保证网络资源不被非法使用和非法占用,HIS主要通过设立用户权限口令来阻止非法登录访问HIS资源;(2)加密技术的基本思想是通过对网络数据的加密来保障网络的安全可靠性[4]。HIS在数据传输时采用数据加密技术,在数据发送方和接受方给以一些特殊的信息用于加/解密信息;(3)医院认证系统能对操作员用户名/密码、登录终端、登录时间进行认证,HIS中对不同的用户设置不同的权限、不同的安全策略,这样能保证系统与网络资源的安全。现在在EMR中应用非常广泛的数字签名是实现唯一身份认证非常有效的方法,该方法仅次于指纹认证系统。通过唯一身份认证能对用户的并发行为加以控制,便于网络系统对用户数据访问的统一管理[3];(4)内网管理软件,通过内网管理软件可以及时掌握终端使用情况,及时制止人为误操作可能产生的安全隐患,防患于未然。

3.1.2 硬件防护

HIS的安全防护还有防火墙安全、防病毒攻击、终端防护管理。(1)医院网络有多个边界,为确保外网访问控制和保护内网访问,对于出口处的防火墙,在上面建立DMZ(内网和外网均不能直接访问的区域)网段;(2)在所有计算方面安全威胁中,计算机病毒最为严重,发生频率高、损失大、潜伏性强、覆盖面广。医院通过建立各自动更新服务网站,保证医院各终端能进行病毒库及时升级,避免受到病毒攻击;(3)医院终端分布范围广、数量庞大,通过限制医院各终端USB接口,严格控制非法软件安装,利用MAC地址绑定的办法,严禁外来电脑私入医院网络。

3.2 检测功能(Detection)实现

3.2.1 防火墙检测

在网络安全循环过程中,入侵检测是非常重要的一个环节,它帮助系统有效对付网络攻击,增强系统管理员的安全管理能力,提高信息安全基础结构的完整性[5]。防火墙本身具备入侵检测功能,服务于整个网络系统,同时根据需要配置入侵检测的特征库设置检测到入侵行为之后的动作,进行安全事务处理。

3.2.2 数据库安全检测(审计)

HIS数据库存储着患者检查检验结果、疾病诊断、疾病治疗方案、病人处方、医疗费用等敏感信息,它是HIS中最核心、最重要的部分,这些信息的非法访问和修改将会造成重大的医疗纠纷及经济损失。通过对数据库操作的痕迹进行详细记录和审计,使数据的所有者对数据库访问活动有据可查,及时掌握数据库的使用情况,并对存在的安全隐患进行调整和改进,是安全事件追踪分析和责任追究数据库安全检测运用的必要手段。数据库安全审计系统通过对特定行为进行逻辑描述,找出可疑行为的发起人员(Who);根据对所有操作和访问行为细粒度的客观记录进行追溯,找出可疑人员所在科室、所在房间、使用的主机等物理访问位置(Where),根据行为使用访问数据协议进行分析,找出可疑人员使用的工具(Way)、时间(When);根据对非正常访问的逻辑特征,系统进行阻断和告警(Work),并通过对可疑行为相关特征地深度分析,找出可疑人员的行为目的(What);从这6大类入手,对敏感数据进行实时监控,对各类行为(FTP、TELNET、HTTP)进行有效审计和追溯,对违规操作进行及时控制。

3.3 响应功能(Response)实现

当信息系统出现故障和安全问题时,及时恢复和响应是非常重要的环节,在系统安全中占有最重要的地位[6,7]。要解决好响应问题,就要制订好应急响应方案,在发现信息系统故障和不安全因素后,安全系统需要及时反应:(1)报告:无论系统的自动化程度多高,都需要管理员知道是否有安全事件发生;(2)记录:必须将所有的情况记录下来,包括安全事件的各个细节以及系统的反映;(3)反应:进行相应的处理以阻止安全隐患的进一步蔓延;(4)恢复:清除故障隐患,及时提供容灾备份系统,使业务能够连续运行。

医院数据库的安全备份非常重要,一般有本地磁盘冗余阵列(RAID5方式)、异地备份、磁带备份等多种备份策略,一旦某设备出现错误,能及时报警,对发生的错误事件,日志能自动将所有情况记录下来。为此各大医院均采用双机热备份方式实现系统集群,一旦某台机器发生故障,另外一台机器通过自动接管服务器变成主服务器,整个过程切换一般不超过1 min,这样可以将系统中断时间降到最低,使医院业务能够连续运行。因此医院系统容灾备份与恢复是HIS安全响应过程中极其重要的一部分[8]。

3.4 策略功(Policy)能实现

安全策略是安全管理的核心,要实施动态网络安全循环过程,必须首先制定医院的安全策略,所有的防护、检测、响应都要依据安全策略实施,医院安全策略为安全管理提供管理方向和支持手段。

在安全策略实现上,主要按照最小授权的原则,一般只开放业务应用需要的端口,同时为了保障业务系统的最高优先级,在做好相应的QOS(Quality Of Service)的同时,对内部人员访问核心数据进行必要的限制等措施。同时在允许的规则中起用日志审计功能。按照纵深防御原则,网络安全防护系统应该是一个多层次的安全系统,避免网络中的“单点失效”,网络系统设计的过程中关键的部分需要采用备份网络设备、主机和数据库,以防设备失效和数据丢失[9]。

再好的防护措施也不能保证万无一失,针对医院这一特殊应用客户,还要制定合理的应急预案,我院规定:如果网络故障超过15 min,则启动本地系统程序,所有数据均暂时存放本地硬盘,这样可以不间断地进行挂号、收费、取药,减少病人排队等待时间,等网络故障解决后,数据自动上传,保证医疗数据完整安全。

本文将P2DR模型的理论应用于HIS安全,希望能为HIS安全防护提供有益的参考。医院信息安全是一项复杂的工程,需要全面考虑,P2DR模型在HIS安全的应用只是医院信息安全建设中的一部分,建立严格的安全管理制度、使用成熟的安全技术才是解决HIS安全的根本。不可能有一套通用的HIS安全模型,具体问题还要结合实际具体分析应用。

参考文献

[1]王玉珍,贺滢,马婧,等.医院信息系统安全保障体系存在的风险分析[J].医疗卫生装备,2007,28(6):38-39.

[2]刘志.基于P2DR动态安全模型的SHTERM产品设计与实现[D].北京:北京邮电大学,2008.

[3]冯毅.基于P2DR模型的网银安全体系方案设计[J].中国科技信息,2011,(14):104-105.

[4]范春雨.医院信息系统安全及对策[J].科技创新导报,2010,(1):215-216.

[5]黄泽斌.基于P2DR模型的安全解决方案研究[J].计算机与信息技术,2007,(2):79-80.

[6]杨雪梅.基于P2DR模型的关键应用信息系统防御体系[J].计算机与应用化学,2010,27(8):1154-1156.

[7]阿孜古丽.医院数据库数据安全维护的分析及策略[J].中国医疗设备,2011,26(6):87,69.

[8]靳燕,王建珍.实现系统安全的技术方案分析[J].电脑开始与应用,2010,23(7):20-22.

[9]李结松.办公网络安全策略研究及技术实现[J].计算机与现代化,2012,(3):101-102.

P2DR安全策略 篇2

信息安全 总体 策略

项目名称

XXX 安全运维服务项目 客户名称

XXX 信息化服务中心 实施地点

XXX 信息化服务中心 实施单位

XXX 信息技术有限 实施时间

XXX 年 7 月 20 日星期五

文档修订情况

版本 修订记录 日期 修订 审核 批准 v1.0 制作文档 XXX-07-17

目录

物理安全策略..........................................................................................................................................3

网 网 XXX 全策略.........................................................................................................................................3

系统安全策略..........................................................................................................................................4

病毒管理策略..........................................................................................................................................4

身份认证策略..........................................................................................................................................5

用户授权与访问控制策略.......................................................................................................................5

数据加密策略..........................................................................................................................................5

数据备份与灾难恢复..............................................................................................................................6

应急响应策略..........................................................................................................................................6

安全教育策略......................................................................................................................................7

物理安全策略  计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、布线施工方面的标准，保证物理环境安全。

 关键应用系统的服务器主机和前置机服务器、主要的网络设备必须放置于计算机机房内部的适当位置，通过物理访问控制机制，保证这些设备自身的安全性。

 应当建立人员出入访问控制机制，严格控制人员出入计算机机房和其它重要安全区域，访问控制机制还需要能够提供审计功能，便于检查和分析。

 应当指定专门的部门和人员，负责计算机机房的建设和管理工作，建立 24 小时值班制度。

 建立计算机机房管理制度，对设备安全管理、介质安全管理、人员出入访问控制管理等做出详细的规定。

 管理机构应当定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查，发现问题，进行改进。网 网 络安 全策略  必须对网络和信息系统进行安全域划分，建立隔离保护机制，并且在各安全域之间建立访问控制机制，杜绝发生未授权的非法访问现象，特别的，必须对生产网和办公网进行划分和隔离。

 应当部署网络管理体系，管理网络资源和设备，实施监控网络系统的运行状态，降低网络故障带来的安全风险。

 应当对关键的通信线路、网络设备提供冗余设计，防止关键线路和设备的单点故障造成通信服务中断。

 应当在各安全域的边界，综合部署网 XXX 全访问措施，包括防火墙、入侵检测、VPN，建立多层次的，立体的网 XXX 全防护体系。

 应当建立网络弱点分析机制，发现和弥补网络中存在的安全漏洞，及时进行自我完善。

 应当建立远程访问机制，实现安全的远程办公和移动办公。

 应当指定专门的部门和人员，负责网 XXX 全系统的规划、建设、管理维护。

 应当建立网 XXX 全系统的建设标准和相关的运营维护管理规范，在范围内指导实际的系统建设和维护管理。

 管理机构应当定期对网 XXX 全措施和安全管理制度的有效性和实施状况进行检查，发现问题，进行改进。系统安全策略  应当对关键服务器主机设备提供冗余设计，防止单点故障造成网络服务中断。

 应当建立主机弱点分析机制，发现和弥补系统软件中存在的不当配置和安全漏洞，及时进行自我完善。

 应当建立主机系统软件版本维护机制，及时升级系统版本和补丁程序版本，保持系统软件的最新状态。

 应当建立主机系统软件备份和恢复机制，在灾难事件发生之后，能够快速实现系统恢复。

 可以建立主机入侵检测机制，发现主机系统中的异常操作行为，以及对主机发起的攻击行为，并及时向管理员报警。

 应当指定专门的部门和人员，负责主机系统的管理维护。

 应当建立主机系统管理规范，包括系统软件版本管理、主机弱点分析、主机审计日志检查和分析、以及系统软件的备份和恢复等内容。

 应当建立桌面系统使用管理规范，约束和指导用户使用桌面系统，并对其进行正确有效的配置和管理。

 管理机构应当定期对各项系统安全管理制度的有效性和实施状况进行检查，发现问题，进行改进。病毒管理策略  应当建立全面网络病毒查杀机制，实现 XXX 信息化服务中心全网范围内的病毒防治，抑止病毒的传播。

 所有内部网络上的计算机在联入内部网络之前，都应当安装和配置杀毒软件，并且通过管理中心进行更新，任何用户不能禁用病毒扫描和查杀功能。

 所有内部网络上的计算机系统都应当定期进行完整的系统扫描。

 从外部介质安装数据和程序之前，或安装下载的数据和程序之前，必须对其进行病毒扫描，以防止存在病毒感染操作系统和应用程序。

 第三方数据和程序在安装到内部网络的系统之前，必须在隔离受控的模拟系统上进行病毒扫描测试。

 任何内部用户不能故意制造、执行、传播、或引入任何可以自我复制、破坏或者影响计算机内存、存储介质、操作系统、应用程序的计算机代码

 应当指定专门的部门和人员，负责网络病毒防治系统的管理维护。

 应当建立网络病毒防治系统的管理规范，有效发挥病毒防治系统的安全效能。

 应当建立桌面系统病毒防治管理规范，约束和指导用户在桌面系统上的操作行为，以及对杀毒软件的配置和管理，达到保护桌面系统、抑止病毒传播的目的。

 管理机构应当定期对与病毒查杀有关安全管理制度的有效性和实施状况进行检查，发现问题，进行改进。身份认证策略  应当在范围内建立统一的用户身份管理基础设施，向应用系统提供集中的用户身份认证服务。

 应当选择安全性高，投入收益比率较好，易管理维护的身份认证技术，建立身份管理基础设施。

 每个内部员工具有范围内唯一的身份标识，用户在访问应用系统之前，必须提交身份标识，并对其进行认证；员工离职时，要撤销其在信息系统内部的合法身份。

 应当对现有的应用系统进行技术改造，使用身份管理基础设施的安全服务。

 应当建立专门的部门和岗位，负责用户身份的管理，以及身份管理基础设施的建设、运行、维护。

 应当在范围内建立用户标识管理规范，对用户标识格式，产生和撤销流程进行统一规定。用户授权与访问控制策略  应当依托身份认证基础设施，将集中管理与分布式管理有机结合起来，建立分级的用户授权与访问控制管理机制。

 每个内部员工在信息系统内部的操作行为必须被限定在合法授权的范围之内；员工离职时，要撤销其在信息系统内部的所有访问权限。

 应当对现有的应用系统进行技术改造，使用授权与访问控制系统提供的安全服务。

 应当建立专门岗位，负责用户权限管理，以及授权和访问控制系统的建设、运行、维护。

 应当在范围内，建立包括用户权限的授予和撤销在内的一整套管理流程和制度。数据加密策略  加密技术的采用和加密机制的建立，应该符合国家有关的法律和规定。

 应当建立内部信息系统的密级分级标准，判定信息系统在消息传输和数据存储过程中，是否需要采用加密机制。

 应当建立密钥管理体制，保证密钥在产生、使用、存储、传输等环节中的安全性。

 加密机制应当使用国际标准的密码算法，或者国内通过密码管理委员会审批的专用算法，其中对称密码算法的密钥长度不得低于 128 比特，公钥密码算法的密钥长度不得低于 1024 比特。

 应当在物理上保证所有的硬件加密设备和软件加密程序，以及存储涉密数据的介质载体的安全。

 应当指定专门的管理机构，负责本策略的维护，监督本策略的实施。

 任何内部信息系统，都需要向管理机构提出申请，经管理机构审批，获得授权后，才能够使用加密机制。禁止任何内部信息系统和人员，在未授权的情况下，使用任何加密机制。

 管理机构应当每年对加密算法的选择范围和密钥长度的最低要求进行一次复审和评估，使得本策略与加密技术的发展相适应。数据备份与灾难恢复  在业务系统主要应用服务器中采用硬件冗余技术，避免硬件的单点故障导致服务中断。

 综合考虑性能和管理等因素，采用先进的系统和数据备份技术，在范围内建立统一的系统和数据备份机制，防止数据出现逻辑损坏。

 对业务系统采取适当的异地备份机制，使得数据备份计划具备一定的容灾能力。

 建立灾难恢复计划，提供灾难恢复手段，在灾难事件发生之后，快速对被破坏的信息系统进行恢复。

 应当建立专门岗位，负责用户权限管理，以及授权和访问控制系统的建设、运行、维护。

 建立日常数据备份管理制度，对备份周期和介质保管进行统一规定。

 建立灾难恢复计划，对人员进行灾难恢复培训，定期进行灾难恢复的模拟演练。应急响应策略  应当建立应急响应中心，配置专门岗位，负责制定范围内的信息安全策略、完成计算机网络和系统安全事件的紧急响应、及时发布安全漏洞和补丁修补程序等安全公告、进行安全系统审计数据分析、以及提供安全教育和培训。

 应当制定详细的安全事件的应急响应计划，包括安全事件的检测、报告、分析、追查、和系统恢复等内容。安全教育策略  应该建立专门的机构和岗位，负责安全教育与培训计划的制定和执行  应当制定详细的安全教育和培训计划，对信息安全技术和管理相关人员进行安全专业知识和技能培训，对普通用户进行安全基础知识、安全策略和管理制度培训，提高人员的整体安全意识和安全操作水平。

3策略，培养安全意识 篇3

很多家长把大部分的精力放在为孩子营造一个安全的环境，提供细致的保护，这是非常有必要的。与此同时，我们的孩子早晚要离开家，离开父母，如果社会安全意识、机制还没有建立起来，就不能够给他们充足的保护。孩子们养成安全意识的过程中，最主要的策略有三个：模仿、体会、重复练习。

模仿父母的榜样作用

情景再现

小鱼儿经常问：“妈妈，其他人不等红绿灯，为什么我们要等？”

我回答：“宝贝，我很爱你，想一直陪着你。这些红绿灯可以保护我们的安全，远离危险”。

小鱼儿：“他们不知道危险吗？”

我回答：“应该知道！但是很多人认为，发生危险的次数很少，不一定会碰上。”

小鱼儿：“你觉得我们会碰上吗？”

我回答：“没有人知道谁会碰到，但是我们要学会保护自己……”

在孩子面前不做存在安全隐患或者违反公共秩序的行为，不给孩子模仿的机会。孩子们还小，还没有足够的能力去分辨哪些行为该模仿，哪些行为不该模仿。我们经常会看到一些家长过马路的时候，在自认为“安全”的情况下，会跨护栏，闯红灯……此时，孩子还没有能力分辨什么是“安全”情况，什么是“危险”情况。但是孩子们会模仿父母的行为，这样就留下了极大的安全隐患！红灯的时候，无论有没有车，就算身边的人都在走，我们都要带着孩子们在人行道上面等着。

体会适度地承担后果

在一些没有生命危险的事情上，可以让孩子尝试、感受一些情况的后果，帮助他们在语言和感受之间建立联系。比如，当孩子们听见家长说：“烫！危险！”的时候，孩子可以联想到身体上的感受，这是非常重要的！

孩子在1岁左右的时候，特别喜欢“冒险”，喜欢用手和舌头尝试各种物品。吃饭的时候，刚刚端上一碗汤，很烫。Nola很着急想吃，会自己伸手去拿。妈妈提醒她：“Nola！烫！危险！”一开始，Nola还是会伸手去摸，因为她不懂这几个字与她有什么关系。如果妈妈在这时拿着她的小手放在碗边，等她感觉到“烫”之后，自然会迅速地缩回手去。此时，妈妈要问她：“烫，对吗？”一定要让她感受到“烫”是什么感觉。反复几次后，她再听到“烫”或者“危险”的时候，手自然就缩回去了。

爱心小贴士

这个过程就是在帮助她建立语言和感受之间的联系。同时，她也会学习到顺服爸爸妈妈的话，了解这是为了保护她，而非限制。

记得，小鱼儿刚刚学会骑自行车的时候，我提醒她：“眼睛要看着前面，经常回头会很危险！”最初的时候，她还是会经常回头跟我说话或者喊妹妹们。结果可想而知，摔了两次，其中一次很严重，腿出了很多血。我抱着她安慰了很长时间，也没说什么，更没有再提醒她。从这次以后，每次要跟我说话的时候，她会停下来，说完之后再继续骑。体验到后果后，她自己会慢慢建立起安全意识。

重复练习正向引导，不断重复

大部分的习惯在建立的过程中，重复练习是最重要的，孩子的安全意识也是一样。这个过程中，最大的挑战就是孩子的情绪——“哭”。当他们的意愿没有被满足的时候，他们一定会用“哭”来表达不满和示威，他们在“测试”家长的边界，一旦发现家长是非常认真的，不会妥协，几次之后，他们就不会再去尝试了。

孩子在10个月左右的时候，刚会爬，很好奇，四处探索。经常对“小窟窿”表现出极大的热情。电源孔就是其中之一，我家四个孩子都有过这个阶段，每次她们要去摸或者要去抠的时候，我都会很严肃地跟她们说：“危险！疼！”同时会用“家法”很用力地打她们的小手，同时告诉她们：“疼”。让她们知道碰这些东西就是这种“疼”的感觉。她们会哭得很厉害。反复几次后，她们就不会再碰了。这个时候，感觉和话语要对等，如果只是说不要碰，而没有任何后果，在没有人提醒的时候，她们还是会去探索。

2岁之前，我们禁止孩子独自进入卫生间和厨房，因为这两个地方的危险隐患太多，每次当她们走到门口，就会告诉她们：“STOP，危险！”一开始她们也会试探，因为水龙头、泡泡、马桶之类的东西对她们而言都太有吸引力了。她们会迈一只脚进来，或者扔一个玩具进来，或者直接冲进来，结果是同样被“家法”管教。但是很快，孩子就会养成基本的安全习惯，我们就不会担心她们去碰这些危险物品或者进入危险的地方了。

爱心小贴士

切记不要用手管教孩子，手是用来拥抱和表达爱的。

关于户外乱跑的问题

P2DR安全策略 篇4

动态安全模型（P2DR）最早由ISS公司提出，又可以称为PPDR模型。P2 DR是由PDR模型引申出的概念模型，增加了安全策略（Policy）功能，并突出了管理策略在信息安全工程中的主导地位。

P2DR模型给网络安全管理提供了一个较为完备的模型。按照P2DR模型，采取统一和完备的安全策略，通过防护（Protection）、检测（Detection）、响应（Response）等不断循环的动态过程，可以保障网络系统安全，如图1所示[1]。

P2DR模型的理论基础是基于时间的安全理论。该理论认为，信息安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt。在入侵发生的同时，检测系统也在发挥作用，检测到入侵行为也要花费时间——检测时间Dt；在检测到入侵后，系统会做出应有的响应动作，这也要花费时间——响应时间Rt。P2DR模型就可以用一些典型的数学公式来表达安全的要求[2]。公式（1）:Pt>Dt+Rt, 其中，Pt：代表系统为了保护安全目标设置各种保护后的防护时间；或者理解为在这样的保护方式下，黑客（入侵者）攻击安全目标所花费的时间。

Dt：代表从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间。

Rt：代表从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。

针对于需要保护的安全目标，如果公式（1）满足——防护时间大于检测时间加上响应时间，也就是在入侵者危害安全目标之前就能够被检测到并及时处理。

公式（2）:E t=D t+R t，如果P t=0，公式的前提是假设防护时间为0。其中，Dt：代表从入侵者破坏了安全目标系统开始，系统能够检测到破坏行为所花费的时间。Rt：代表从发现遭到破坏开始，系统能够做出足够的响应，将系统调整到正常状态的时间。比如，对Web Server被破坏的页面进行恢复。Dt与Rt的和是该安全目标系统的暴露时间Et。针对于需要保护的安全目标，如果Et越小系统就越安全。通过公式（1）和公式（2）的描述，实际上给出了安全一个全新的定义：“及时的检测和响应就是安全”，“及时的检测和恢复就是安全”。而且，这样的定义为安全问题的解决给出了明确的方向：提高系统的防护时间Pt，降低检测时间Dt和响应时间Rt。

2. 网银安全体系方案设计

在发生恶意入侵或者误用的情况下，都是针对数据的获取或者破坏的，所以保证了数据的安全性，就是保证了网银系统的安全性。根据P2DR安全模型，要提高网银系统的安全性能，需要降低检测时间Dt和响应时间Rt。针对网银系统特殊的安全要求，本文提出的安全方案以数据保护为中心，对交易流程的各个环节提供安全保障，它覆盖了P2 DR安全模型中的防护、检测和响应三个阶段，集防护、检测、响应为一体，具有很好的安全性能。

评价安全性能，主要是根据P2DR安全模型的两个公式得出的结论：降低检测时间Dt和响应时间Rt。下面针对这两个方面进行论述。对于网络中发生的攻击行为，可以分为3个阶段，入侵事件发生前、入侵事件发生中、入侵事件发生后，下面简称事前、事中、事后。如图3为入侵发生的时间图。

在防护阶段，配置系统的安全策略。根据数据的安全性需要，以及对系统的输入输出的安全性需要，设置相应的安全规则，同时根据事后相应的需要，设置相应的入侵响应策略。这两部分规则的统一就是P2DR安全模型中所描述的核心安全策略。安全策略是整个系统安全性的基石，必须用全局的思想，加上缜密的思维，建立正确高效的安全策略。

在检测阶段，检测入侵行为。这个阶段是评价安全系统指标的最重要的阶段。检测时间Dt是系统对入侵行为检测的最重要的指标。网银系统采用动态和静态两种检测方式。

其中动态检测方式用于外部入侵检测。首先是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。然后针对收集到异常的行为和入侵的行为特征，利用一定的技术手段，进行数据的分析检测，发现入侵行为，这个时候入侵的行为已经发生了，可能是一些重要性的数据已经遭到的破坏，那么Dt值是一个大于零的值。

静态检测方式主要用于内部网行为监管，来弥补动态检测的不足。系统维护一套静态安全检测规则，针对数据的行为——文件目录操作行为 (固定存储设备) ，数据文件的输入输出行为 (移动存储设备、打印输出设备) ，进程运行行为和传输通道而进行监控、响应的，分布式用户存取控制，保护各种文件，只有被授权的人才能存取数据，无论在线与否，都能强制实行安全保护。静态检测方式是在事件发生的时候进行阻止，所以Dt值接近于零。在响应阶段，系统针对检测所发现的违犯安全策略的行为进行响应，提供了两种响应方式，实时响应和事后响应。这两种方式是同时存在的，所以响应时间Rt可以以实时响应时间来计算。实时响应模式，当检测到违规的行为以后，立即进行记录和报警，并及时采取切断攻击行为的响应，这段时间是很短的一段时间，所以Rt值也是比较小的。另外，网银系统还提供了事后响应——安全审计。当事件发生以后，这些违规行为都有相应的记录，管理员利用本系统提供的安全审计功能，有充足的时间进行事后的分析。这可以作为一种电子取证的方法，来进行事后行为的责任追究。

3. 网银安全体系中心数据信息安全控制

中心数据是存放在informix online数据库中的，因此，对数据库设计了一套安全机制来保证数据的安全和完整。

3.1 数据存储安全控制

从存储方法上，数据库不以文件形式存放，而是存放在被称为数据库空间（Dbspace）的原始磁盘空间上[3]。它将数据表存储在一个或多个字符设备上，而不是一个标准操作系统的文件系统中，这样，不但可以提高数据的处理效率，而且可以有效地保护数据，因为，对非授权访问数据库的用户来说，他们能看到只是硬盘分区的设备文件名，而无法看到数据库表的内容（甚至数据库的大小都看不到）。

创建Informix的数据库空间的一般方法如下：

(1）利用操作系统的硬盘分区命令创建一个块设备（这个字符在HP unix中叫做l o g i c v o l u m n，在S c o u n i x中叫做Division），同时会产生一个字符设备，此时这两个设备的文件存放在/dev目录下，假设块设备文件名为/dev/dbs1) ，那么字符设备的文件名则为/dev/rdbs1;

(2）然后把此字符设备的用户主名和组名改为infromix，读写模式改为644:

chown Informix:Informix/dev/rdbs1

chmod 644/dev/rdbs1

(3）用informix登录到unix主机；

(4）为保护将要使用到的字符设备，一般会创建一个联接文件指向此字符设备（假设informix目录为/home/Informix）:

ln–s/dev/rdbsl/home/informix/dbs＿link

$HOME/dbs1就是在informix中使用到的文件名。当然也可以直接使用/d e v/rdbs1。

(5）使用informix命令建立数据库空间，假设此数据空间名为dbs＿name，空间大小为2 G，则使用命令如下：

onmode-sy/

*进入单用户状态*/

onspaces–c-ddbs＿name–p/home/informix/dbs＿link–o0–s2000000

onmode–my/

*进入多用户状态*/

至此, 就创建了一个数据库空间, 它的空间可以是2G, 而外人只能看到联接文件。

3.2 数据库设置访问权限

对不同的用户授予不同的数据库访问权限（包括查询、创建、修改、删除等权限），这样可以有效地控制对数据库的访问，保证数据库只给合法的用户使用，从而保证数据的安全，informix实现此功能通过执行isq1命令grant和revoke来实现[4]：

G R A N T d b-p r i v i l e g e T O{PUBLIC|user-list}

REVOKE{stab-privilege ON tablename|db-privilege}FROM

{PUBLIC|user-list}

GRANT表示把所在的数据库开放给指定的用户使用，而REVOKE则是取消用户的访问权限。

其中db-privilege即数据库的权限（D A T A B A S E P R I V I L E G E S），分三个等级：C O N N E C T、R E S O U R C E、D B A，其中DBA权限最大，CONNECT权限最小；

t a b-p r i v i l e g e指数据库表的权限（T A B L E P R I V I L E G E S），分为下面几个等级：

(1) A L T E R表示可以修改此表；

(2) DELETE表示可以删除此表；

(3) I N D E X表示可以对此表建立索引；

(4) I N S E R T表示可以对此表增加记录；

(5) A L L表示上述所有功能。

3.3 数据库中数据的安全

首先，因为数据库中有许多数据都是一些密码或口令信息（如存折的密码、操作员的密码等），这些如果以明码存储，必然会给一些不法之徒有机可乘，从而危及客户的资金安全。因此在存储这类信息时，应用程序会运用加密技术对这类信息加密后才存储到数据表中。

其次，对于存放在数据库内的应用系统数据，为了确保数据的安全性，在开发应用系统时除充分利用数据库管理系统本身提供的安全保证手段来保护数据的安全以外，还通过对数据库中关键字段加DAC的方式来确保数据的安全性。

D A C=F (K E Y, D A T A)

其中F：加密函数；K E Y：加密密钥；D A T A：关键性字段组成的数据。如果有人直接修改了数据库中的数据，由于不知道系统的加密密钥和算法以及关键字段结构的构成，无法得出正确的D A C。应用系统一旦发现有人非法改动了系统数据，则系统会自动提示数据不正确，同时拒绝处理。通过这种独立于数据库系统以外的对数据安全的保护，进一步提高了系统的安全性。

通过数据库系统级对数据的安全性的保护，再加上独立于数据库管理的D A C的处理，将系统的内数据的安全性提高到一个极高的水平。

3.4 银行客户账号的安全处理

对类似存折号码的这种账号，在生成时运用算法会自动增加一位校验位，这样可以使账号缺乏规律性，增加非法人员撞账号的难度。

3.5 数据的完整性和可靠性措施

为保证数据库的完整性和安全性，每天都对数据库做一次0级备份，全天24小时做逻辑日志备份，这样当数据库系统出现问题时可以从备份带上恢复数据，从而保证数据的准确和完整。

结束语

网上银行在带来便捷的同时，也带来了大量的与技术、管理等相关的风险。这是由于计算机及网络本身固有的脆弱性，容易受到本身系统稳定性的影响，特别是外部环境和人为的有意或无意的攻击，给银行原先相对封闭的系统增加了很多来自外部不可知、不可控、不可预测的因素。因此，可靠的计算机安全防御系统是金融行业保证网上银行系统安全和发展的前提条件。

摘要：从二十世纪八十年代出现计算机病毒以来, 人类社会为战胜信息网络安全威胁付出了大量努力, 到目前为止, 取得了很多成果。但同样, 各种最新的攻击手段, 新的攻击技术, 新的安全威胁层出不穷。面对这些威胁, IT安全研究机构和专家不断发展信息安全理论与技术, 这些被各种信息网络安全公司付诸实践, 开发了大量的, 种类繁多的信息安全产品和服务。

参考文献

[1]张庆华.信息网络动态安全体系模型综述[J].计算机应用研究.2008.10

[2]侯小梅, 等.基于P2DR模型的Internet技术[J].计算机工程与应用.2010.12

[3][美]PaulR.Allen.Infomix关系型数据库--客户/服务器应用程序开发[M].北京:电子工业出版社.1998.9

消防安全教育策略研究 篇5

一、加强学习，提高教师的执教水平，改变学生的学习方式

消防教育课是一门新兴的课程，但要上好这门课需要学习的东西太多了，这对于我们来说，困难是可想而知的。因此为了进一步提高消防知识教育水平，我校多次派人到张家港、南京、苏州等实践基地去学习他们的消防安全教育，在学习培训过程中，学员们从理论和实践的角度，系统学习了各基地的“三防”知识基础理论（如张家港的防火、防毒、防震教育以及在此基础上延伸的生存教育）和教学指导、防灾救灾、自救互救知识及简易防护器材的制作，并组织了以“生存”为主题的教育经验交流会。

多次的学习与教育经验交流，使我转变了以前学生被动地听，根本没有主动性的学习方式，让学生积极地参与到消防安全教育活动中来。学生收集资料、交流消防事故案例的过程就是掌握安全知识的过程；学生分组、进行火灾模拟演练的过程就是形成生存本领的过程；学生在灭火器使用区体验灭火器的使用，就是掌握生存技巧的过程。而在这些过程中，学生也会自然而然地内化珍爱生命的价值观。比如，学生在演练中体现出的积极主动的意识、镇定自若的神情、互助合作的态度、无私奉献的精神等，都超乎想象，令人赞叹不已。

二、加强消防课堂教学，编写一套适合的教材

课堂教学是消防安全教育的基本形式，也是最有效的手段之一。加拿大1999年就开始实施一项名为“学生与消防教育”的计划，从幼儿园到八年级开设消防教育课程，以帮助学生加深对火灾及其后果的认识。现在，我国有许多学校没有消防安全教育的计划，更没有制定消防安全教育大纲，没有形成常态化和制度化，没有课时保证。为改变这种状况，我们应该针对不同年龄段学生的身体、心理特点，让消防安全也步入课堂教学，作为学生必修课，并选择适合不同年级学生“口味”的教育方式，提高教育质量，使广大学生学会用消防知识抵御火灾的伤害。

课堂教育要有好的教材。有关部门能否从实际出发，编写一套适合于中小学生的消防教育培训教材，尽快制定消防安全教育大纲，对学校消防安全教育的内容、课时、教学目标等做出具体、明确的规定，形成系统、规范的学校消防安全教育体制，形成全国统一的消防安全教育权威教材和适合各年龄段特点的消防读本，使教材形成专业性与教育性的统一，从而使学校都能按要求主动地、独立地、持久地开展消防安全教育。

三、亲身实践，提高安全意识，做好消防安全宣传工作

根据学生的好动性，让学生亲身实践，参与到消防安全教育的过程中是必不可少的手段之一。为此，学校可以选择性地配备如逃生体验装置、厨房火灾演示体验装置、模拟电气线路火灾演示设施、模拟灭火器演示装置、模拟火灾报警等消防体验设施，让学生参与到“实战体验”中，使其不仅学习消防安全的理论知识，并且还不断提高灭火和逃生技能，使之成为消防安全的参与者。

提高安全意识，做好消防安全宣传工作。一次次惨痛的消防事故告诫我们，火灾猛如虎，尤其是灾后带来的社会影响和损失是不可估量的。因此，我们一定要充分认识消防安全宣传的重要性，要充分认清学校是开展消防安全宣传最好的阵地、学生是最好的宣传教育对象，消防安全教育从学生抓起，继而通过“小手拉大手”影响到大人，进一步增强了学生社会安全责任感和使命感。

四、选择适当的教学方法，确保消防教育、教学效能

在实施小学生消防安全教育过程中，采用灵活的学习方法和选择适当的教学方法十分重要。因此，上课时，我为学生设计了模拟体验、讨论畅谈、竞赛、表演、宣传等学习方法。在教学中，首先，我借助其好动性，采用角色扮演教学法，组织学生演练报火警；其次，借助其好奇性，运用情境教学法，在校园中模拟火灾现场，组织学生开展形式新颖的逃生体验；其三，借助学生的好强性，采用任务驱动法、评价激励法，给每组学生设置任务，通过小组竞争，激起学生的求胜欲；最后，借助学生记忆力强的特点，采用多媒体教学法，直观演示法，让学生通过直观形象的教育形式来学习灭火的方法，灭火器的使用。只有选择适当的教学方法，加深小学生对消防知识的理解，把理论知识变为直观易懂，才能充分发挥教学效能。

五、通过举办技能竞赛，提高学生学习的积极性

我市每年十月份都组织中小学生生存技能竞赛，通过知识竞答、说课比赛、骨折固定、使用灭火器比赛等活动，提高学生参与学习的积极性。消防安全教育是生命教育。在教学活动中，学生永远是主体，学生之所想、所学、所感才是教学之关键，想他们所想，给他们所要的，我们才能走进他们内心，使消防安全教育成为他们钟爱的课程，使消防安全教育课程在他们的生存能力发展中发挥重要作用。

“隐患险于明火，防范胜于救灾，责任重于泰山”这个道理大家都懂，但消防事故还时有发生，无论对于学校，还是社会，消防安全教育课程都是一门非常适合的课程。而能否真正发挥它的作用，关键在于我们教师如何做。策略研究是老师的内功，正确地剖析与践行，才能真正达到课程目标。